位置服務與隱私保護7

位置服務與隱私保護

摘 要 隨著無線通信和移動技術的飛速發(fā)展，人們隨時隨地獲取自己位置的要求成為可
能，各種基于位置的服務也應運而生。人們在享受服務的同時，也越來越關注自己的隱
私狀況。本文總結了現(xiàn)有的位置服務中典型的隱私保護方法，并進行分析指出了這些方
法與位置服務本身的矛盾。文章還大膽地提出了一些位置服務隱私保護未來的發(fā)展方向
并給出了一些建議。
關鍵詞：位置服務 隱私威脅 隱私保護 軌跡隱私 瞬時查詢

1 引言
定位技術和移動數(shù)據(jù)庫的飛速發(fā)展引發(fā)了一個新型研究領域——基于位置服務（Location Based Service）。位置服務是基于移動客戶地理位置數(shù)據(jù)而開展的服務，這類服務一般都具有非常強的位置相關性，并逐漸顯示出廣闊的市場前景。比如，基于位置的緊急救援服務(如查詢“離我最近醫(yī)院”等)、基于位置的信息娛樂服務(如查詢“距離我100m內(nèi)最近的餐館”等)和基于位置的廣告服務(如“向所有在我咖啡店50m范圍內(nèi)的客人發(fā)送咖啡店介紹”等)�！皳�(jù)瑞典市場研究公司Berg Insight的一份最新報告預測，2013年歐洲手機定位服務用戶將從2008年的2000萬用戶增長到1.3億用戶。而市場研究公司ABI Research預測在2011年，全球享受位置服務的人數(shù)將由2006年的1．2 千萬增長到31．5 千萬。隨著3G時代的到來，移動定位服務有可能成為又一重要盈利引
……（新文秘網(wǎng)http://jey722.cn省略970字，正式會員可完整閱讀）……　
未經(jīng)授權的情況下，通過定位位置傳輸設備、竊聽位置信息傳輸通道等方式訪問到原始的位置數(shù)據(jù)，并計算推理獲取的與位置信息相關的個人隱私信息�！� [7] 位置隱私泄露的途徑有三種[7]：第一，直接交流(Direct Communication)．指攻擊者從位置設備或者從位置服務器中直接獲取用戶的位置信息；第二，觀察(Observation)，指攻擊者通過觀察被攻擊者行為直接獲取位置信息；第三，連接泄露(Link Attack)，指攻擊者可以通過“位置”連接外部的數(shù)據(jù)源(或者背景知識)從而確定在該位置或者發(fā)送該消息的用戶。
傳統(tǒng)的位置隱私保護的方法主要是根據(jù)組成位置隱私信息的兩類信息來進行分類。一類方法是向服務器提供準確的用戶位置信息，以便得到高質量的服務信息，而將用戶的標識信息(例如匿名、假名等)進行隱藏（即“保護身份”）；另一類方法是將用戶的標識信息完全暴露給服務器，而將用戶位置信息進行隱藏（即“保護位置”）。而“保護位置”中又分為瞬時位置隱私保護和軌跡隱私保護兩種。這些針對不同類別信息的保護方法將在下一節(jié)中作簡述。

3 已有的隱私保護技術
自從位置服務誕生之時起，各方都在努力尋求對位置服務中隱私保護的切實可行的辦法。其實保護位置隱私與享受服務是一對矛盾。在傳統(tǒng)的關系數(shù)據(jù)庫中，數(shù)據(jù)的精確性越高，可用性越強，隱私度就越低；數(shù)據(jù)的效用和隱私必須保持一種平衡(Trade—off)，既能保證數(shù)據(jù)的隱私度，又使數(shù)據(jù)的可用性不受損害。類似的，在LBS中，用戶使用基于位置的服務時．需要發(fā)送自己的當前位置信息，位置信息越精確，服務質量越高，隱私度卻相應越低，位置隱私和服務質量之間的平衡是一個難以處理卻又必須處理的問題。
3.1 數(shù)據(jù)發(fā)布中的隱私保護
Sweeney[3] [4]在2002年最先提出的“k--匿名”[3] [4]方法是一種廣泛應用于數(shù)據(jù)發(fā)布中的數(shù)據(jù)隱私保護的技術。該方法對每條記錄的非敏感屬性進行泛化，使得發(fā)布后的數(shù)據(jù)中的每條記錄都至少不能和其他k-1條記錄區(qū)別開來。然而該方法存在一定的缺陷，例如惡意的攻擊者也有可能從一張匿名表中準確地推測出某個個體的真實敏感信息，這個現(xiàn)象主要是因為根據(jù)k--匿名方法得到的等價類中的敏感信息可能完全相同。同時，k-匿名方法采用泛化技術[6]將導致原始數(shù)據(jù)中的大量信息丟失，從而嚴重威脅到數(shù)據(jù)分析的準確性。
為解決k--匿名數(shù)據(jù)仍可能使得用戶的敏感信息被惡意攻擊者獲取這一問題Machanavajjhala提出了一種新的隱私保護標準——I-diversity[5]，這種方法將原始數(shù)據(jù)分割成多個等價類，使得每個等價類中至少有n組不同的敏感值。因此，惡意的攻擊者不可能以100％的可能性推斷出某個個體的敏感信息。盡管I-diversity能提供更強的隱私保護，但是它仍然采用泛化技術發(fā)布原始數(shù)據(jù)，從而與k--匿名方法存在相同的缺陷——發(fā)布的數(shù)據(jù)會丟失大量原始數(shù)據(jù)中存在的信息。
后來*.*iao在文獻[5]的基礎上又提出了一種新的隱私保護方法——“Anatomy” [6]。在對原始數(shù)據(jù)進行發(fā)布時，將原始數(shù)據(jù)的關系表分解成ID表(存放原始表中的非敏感屬性)和敏感表(存放用戶的敏感屬性和一些統(tǒng)計信息)并發(fā)布每條記錄的準確非敏感屬性值。anatomy在一定程度上抓住了數(shù)據(jù)之間的聯(lián)系信息，提高數(shù)據(jù)分析的準確性，緩解了k--匿名方法會丟失大量原始數(shù)據(jù)問內(nèi)在聯(lián)系信息的問題。
3.2 瞬時位置信息隱私保護
Marco Gruteser最先將k--匿名的概念應用到位置隱私上來，提出位置k--匿名(Location k—Anonymity) [8]：當一個移動用戶的位置無法與其他(k-1)個用戶的位置相區(qū)別時。稱此位置滿足位置k--匿名。更具體地說，在位置k--匿名模型下，每一個用戶的位置由一個三元坐標組表示，即（[*1 , *2] [y1 , y2] [t1 , t2]）其中*、y代表平面位置區(qū)域，t代表時間。[t1 , t2]時間段內(nèi)，除此用戶外，應有其他k-1個用戶在[*1 , *2] [y1 , y2]平面區(qū)域內(nèi)。描述成表格后如下：

用戶 真實位置 k—匿名后的位置
A [ *A , yA ] ( [*1 , *2] [y1 , y2] )
B [ *B , yB ] ( [*1 , *2] [y1 , y2] )
C [ *C , yC ] ( [*1 , *2] [y1 , y2] )
D [ *D , yD ] ( [*1 , *2] [y1 , y2] )
E [ *E , yE ] ( [*1 , *2] [y1 , y2] )
k=5的k—匿名結果

k--匿名技術中的k值是由用戶自定義的，也就是說用戶可根據(jù)自己的具體情況對匿名區(qū)域的大小進行調整。通常來說，k值越大，相應的匿名框也就越大；k值越小，相應的匿名框也就越小。但是若用戶在正在上課的教學樓中，則k值很大，相應的匿名框也很��；若用戶在澳洲北部荒原冒險，則k值很小，相應的匿名框也很大。所以k值由用戶自定義是很有必要的。
因 ……（未完，全文共7759字，當前僅顯示2725字，請閱讀下面提示信息。收藏《位置服務與隱私保護7》）