位置服務(wù)與隱私保護(hù)7

位置服務(wù)與隱私保護(hù)

摘 要 隨著無(wú)線通信和移動(dòng)技術(shù)的飛速發(fā)展，人們隨時(shí)隨地獲取自己位置的要求成為可
能，各種基于位置的服務(wù)也應(yīng)運(yùn)而生。人們?cè)谙硎芊⻊?wù)的同時(shí)，也越來(lái)越關(guān)注自己的隱
私狀況。本文總結(jié)了現(xiàn)有的位置服務(wù)中典型的隱私保護(hù)方法，并進(jìn)行分析指出了這些方
法與位置服務(wù)本身的矛盾。文章還大膽地提出了一些位置服務(wù)隱私保護(hù)未來(lái)的發(fā)展方向
并給出了一些建議。
關(guān)鍵詞：位置服務(wù) 隱私威脅 隱私保護(hù) 軌跡隱私 瞬時(shí)查詢

1 引言
定位技術(shù)和移動(dòng)數(shù)據(jù)庫(kù)的飛速發(fā)展引發(fā)了一個(gè)新型研究領(lǐng)域——基于位置服務(wù)（Location Based Service）。位置服務(wù)是基于移動(dòng)客戶地理位置數(shù)據(jù)而開(kāi)展的服務(wù)，這類服務(wù)一般都具有非常強(qiáng)的位置相關(guān)性，并逐漸顯示出廣闊的市場(chǎng)前景。比如，基于位置的緊急救援服務(wù)(如查詢“離我最近醫(yī)院”等)、基于位置的信息娛樂(lè)服務(wù)(如查詢“距離我100m內(nèi)最近的餐館”等)和基于位置的廣告服務(wù)(如“向所有在我咖啡店50m范圍內(nèi)的客人發(fā)送咖啡店介紹”等)。“據(jù)瑞典市場(chǎng)研究公司Berg Insight的一份最新報(bào)告預(yù)測(cè)，2013年歐洲手機(jī)定位服務(wù)用戶將從2008年的2000萬(wàn)用戶增長(zhǎng)到1.3億用戶。而市場(chǎng)研究公司ABI Research預(yù)測(cè)在2011年，全球享受位置服務(wù)的人數(shù)將由2006年的1．2 千萬(wàn)增長(zhǎng)到31．5 千萬(wàn)。隨著3G時(shí)代的到來(lái)，移動(dòng)定位服務(wù)有可能成為又一重要盈利引
……（新文秘網(wǎng)http://120pk.cn省略970字，正式會(huì)員可完整閱讀）……　
未經(jīng)授權(quán)的情況下，通過(guò)定位位置傳輸設(shè)備、竊聽(tīng)位置信息傳輸通道等方式訪問(wèn)到原始的位置數(shù)據(jù)，并計(jì)算推理獲取的與位置信息相關(guān)的個(gè)人隱私信息�！� [7] 位置隱私泄露的途徑有三種[7]：第一，直接交流(Direct Communication)．指攻擊者從位置設(shè)備或者從位置服務(wù)器中直接獲取用戶的位置信息；第二，觀察(Observation)，指攻擊者通過(guò)觀察被攻擊者行為直接獲取位置信息；第三，連接泄露(Link Attack)，指攻擊者可以通過(guò)“位置”連接外部的數(shù)據(jù)源(或者背景知識(shí))從而確定在該位置或者發(fā)送該消息的用戶。
傳統(tǒng)的位置隱私保護(hù)的方法主要是根據(jù)組成位置隱私信息的兩類信息來(lái)進(jìn)行分類。一類方法是向服務(wù)器提供準(zhǔn)確的用戶位置信息，以便得到高質(zhì)量的服務(wù)信息，而將用戶的標(biāo)識(shí)信息(例如匿名、假名等)進(jìn)行隱藏（即“保護(hù)身份”）；另一類方法是將用戶的標(biāo)識(shí)信息完全暴露給服務(wù)器，而將用戶位置信息進(jìn)行隱藏（即“保護(hù)位置”）。而“保護(hù)位置”中又分為瞬時(shí)位置隱私保護(hù)和軌跡隱私保護(hù)兩種。這些針對(duì)不同類別信息的保護(hù)方法將在下一節(jié)中作簡(jiǎn)述。

3 已有的隱私保護(hù)技術(shù)
自從位置服務(wù)誕生之時(shí)起，各方都在努力尋求對(duì)位置服務(wù)中隱私保護(hù)的切實(shí)可行的辦法。其實(shí)保護(hù)位置隱私與享受服務(wù)是一對(duì)矛盾。在傳統(tǒng)的關(guān)系數(shù)據(jù)庫(kù)中，數(shù)據(jù)的精確性越高，可用性越強(qiáng)，隱私度就越低；數(shù)據(jù)的效用和隱私必須保持一種平衡(Trade—off)，既能保證數(shù)據(jù)的隱私度，又使數(shù)據(jù)的可用性不受損害。類似的，在LBS中，用戶使用基于位置的服務(wù)時(shí)．需要發(fā)送自己的當(dāng)前位置信息，位置信息越精確，服務(wù)質(zhì)量越高，隱私度卻相應(yīng)越低，位置隱私和服務(wù)質(zhì)量之間的平衡是一個(gè)難以處理卻又必須處理的問(wèn)題。
3.1 數(shù)據(jù)發(fā)布中的隱私保護(hù)
Sweeney[3] [4]在2002年最先提出的“k--匿名”[3] [4]方法是一種廣泛應(yīng)用于數(shù)據(jù)發(fā)布中的數(shù)據(jù)隱私保護(hù)的技術(shù)。該方法對(duì)每條記錄的非敏感屬性進(jìn)行泛化，使得發(fā)布后的數(shù)據(jù)中的每條記錄都至少不能和其他k-1條記錄區(qū)別開(kāi)來(lái)。然而該方法存在一定的缺陷，例如惡意的攻擊者也有可能從一張匿名表中準(zhǔn)確地推測(cè)出某個(gè)個(gè)體的真實(shí)敏感信息，這個(gè)現(xiàn)象主要是因?yàn)楦鶕?jù)k--匿名方法得到的等價(jià)類中的敏感信息可能完全相同。同時(shí)，k-匿名方法采用泛化技術(shù)[6]將導(dǎo)致原始數(shù)據(jù)中的大量信息丟失，從而嚴(yán)重威脅到數(shù)據(jù)分析的準(zhǔn)確性。
為解決k--匿名數(shù)據(jù)仍可能使得用戶的敏感信息被惡意攻擊者獲取這一問(wèn)題Machanavajjhala提出了一種新的隱私保護(hù)標(biāo)準(zhǔn)——I-diversity[5]，這種方法將原始數(shù)據(jù)分割成多個(gè)等價(jià)類，使得每個(gè)等價(jià)類中至少有n組不同的敏感值。因此，惡意的攻擊者不可能以100％的可能性推斷出某個(gè)個(gè)體的敏感信息。盡管I-diversity能提供更強(qiáng)的隱私保護(hù)，但是它仍然采用泛化技術(shù)發(fā)布原始數(shù)據(jù)，從而與k--匿名方法存在相同的缺陷——發(fā)布的數(shù)據(jù)會(huì)丟失大量原始數(shù)據(jù)中存在的信息。
后來(lái)*.*iao在文獻(xiàn)[5]的基礎(chǔ)上又提出了一種新的隱私保護(hù)方法——“Anatomy” [6]。在對(duì)原始數(shù)據(jù)進(jìn)行發(fā)布時(shí)，將原始數(shù)據(jù)的關(guān)系表分解成ID表(存放原始表中的非敏感屬性)和敏感表(存放用戶的敏感屬性和一些統(tǒng)計(jì)信息)并發(fā)布每條記錄的準(zhǔn)確非敏感屬性值。anatomy在一定程度上抓住了數(shù)據(jù)之間的聯(lián)系信息，提高數(shù)據(jù)分析的準(zhǔn)確性，緩解了k--匿名方法會(huì)丟失大量原始數(shù)據(jù)問(wèn)內(nèi)在聯(lián)系信息的問(wèn)題。
3.2 瞬時(shí)位置信息隱私保護(hù)
Marco Gruteser最先將k--匿名的概念應(yīng)用到位置隱私上來(lái)，提出位置k--匿名(Location k—Anonymity) [8]：當(dāng)一個(gè)移動(dòng)用戶的位置無(wú)法與其他(k-1)個(gè)用戶的位置相區(qū)別時(shí)。稱此位置滿足位置k--匿名。更具體地說(shuō)，在位置k--匿名模型下，每一個(gè)用戶的位置由一個(gè)三元坐標(biāo)組表示，即（[*1 , *2] [y1 , y2] [t1 , t2]）其中*、y代表平面位置區(qū)域，t代表時(shí)間。[t1 , t2]時(shí)間段內(nèi)，除此用戶外，應(yīng)有其他k-1個(gè)用戶在[*1 , *2] [y1 , y2]平面區(qū)域內(nèi)。描述成表格后如下：

用戶 真實(shí)位置 k—匿名后的位置
A [ *A , yA ] ( [*1 , *2] [y1 , y2] )
B [ *B , yB ] ( [*1 , *2] [y1 , y2] )
C [ *C , yC ] ( [*1 , *2] [y1 , y2] )
D [ *D , yD ] ( [*1 , *2] [y1 , y2] )
E [ *E , yE ] ( [*1 , *2] [y1 , y2] )
k=5的k—匿名結(jié)果

k--匿名技術(shù)中的k值是由用戶自定義的，也就是說(shuō)用戶可根據(jù)自己的具體情況對(duì)匿名區(qū)域的大小進(jìn)行調(diào)整。通常來(lái)說(shuō)，k值越大，相應(yīng)的匿名框也就越大；k值越小，相應(yīng)的匿名框也就越小。但是若用戶在正在上課的教學(xué)樓中，則k值很大，相應(yīng)的匿名框也很��；若用戶在澳洲北部荒原冒險(xiǎn)，則k值很小，相應(yīng)的匿名框也很大。所以k值由用戶自定義是很有必要的。
因 ……（未完，全文共7759字，當(dāng)前僅顯示2725字，請(qǐng)閱讀下面提示信息。收藏《位置服務(wù)與隱私保護(hù)7》）