王小飛

（安徽財(cái)經(jīng)大學(xué)管理科學(xué)與工程學(xué)院，安徽 蚌埠 233030）

位置服務(wù)中基于假數(shù)據(jù)的軌跡隱私度量方法

王小飛

（安徽財(cái)經(jīng)大學(xué)管理科學(xué)與工程學(xué)院，安徽 蚌埠 233030）

隨著各種各樣移動(dòng)設(shè)備的普及，軌跡隱私保護(hù)問(wèn)題變得日益嚴(yán)峻，作為軌跡隱私保護(hù)的一個(gè)方向，國(guó)內(nèi)外開(kāi)始慢慢建立起一些較為成熟的度量機(jī)制，常見(jiàn)的有基于k-匿名保護(hù)機(jī)制的隱私度量方法、基于跟蹤的度量方法、針對(duì)特定匿名系統(tǒng)的軌跡隱私度量方法等。文章在現(xiàn)有研究的基礎(chǔ)上構(gòu)建了了一種基于假數(shù)據(jù)軌跡隱私保護(hù)技術(shù)的隱私度量標(biāo)準(zhǔn)，從發(fā)布假軌跡上點(diǎn)之間的關(guān)聯(lián)性、發(fā)布數(shù)據(jù)所包含信息的精確度以及攻擊者所擁有背景知識(shí)多少三個(gè)方面進(jìn)行軌跡隱私保護(hù)度的全面度量。

軌跡隱私；隱私保護(hù)；隱私度量

隨著定位技術(shù)的發(fā)展，隨時(shí)隨地獲得個(gè)人精確位置成為可能，用戶在享受位置服務(wù)時(shí)，也產(chǎn)生了很多軌跡數(shù)據(jù)。軌跡數(shù)據(jù)本身蘊(yùn)含了豐富的時(shí)空信息，對(duì)軌跡數(shù)據(jù)的分析和挖掘可以支持多種移動(dòng)應(yīng)用，然而，假如惡意攻擊者在未經(jīng)授權(quán)的情況下，計(jì)算推理獲取與軌跡相關(guān)的其它個(gè)人信息，用戶的個(gè)人隱私通過(guò)其軌跡將完全暴露，導(dǎo)致用戶的位置隱私很容易受到威脅。因此，用戶軌跡隱私保護(hù)成為位置服務(wù)下一個(gè)迫切需要解決的問(wèn)題。目前，關(guān)于軌跡隱私保護(hù)的研究工作有軌跡隱私保護(hù)方法與技術(shù)、隱私度量和隱私保護(hù)系統(tǒng)結(jié)構(gòu)三個(gè)方面，其中關(guān)于隱私度量問(wèn)題，目前國(guó)內(nèi)外的研究還處于初級(jí)階段，為了評(píng)估保護(hù)隱私的技術(shù)水平是否有所提高需要我們對(duì)此進(jìn)行更加深入的研究。

1 軌跡隱私度量

1.1 隱私度量概念

在軌跡數(shù)據(jù)發(fā)布中，由于發(fā)布后的數(shù)據(jù)要供第三分析和使用，隱私保護(hù)技術(shù)要在保護(hù)軌跡隱私的同時(shí)有較高的數(shù)據(jù)可用性；在基于位置的服務(wù)中，隱私保護(hù)技術(shù)既要保護(hù)移動(dòng)對(duì)象的軌跡隱私，又要保證移動(dòng)用戶獲得較高的服務(wù)質(zhì)量。綜合起來(lái)，軌跡隱私保護(hù)技術(shù)的度量標(biāo)準(zhǔn)有以下兩個(gè)方面：（1）隱私保護(hù)度。一般通過(guò)軌跡隱私的披露風(fēng)險(xiǎn)來(lái)反映，披露風(fēng)險(xiǎn)越小，隱私保護(hù)度越高。（2）服務(wù)質(zhì)量。在軌跡數(shù)據(jù)發(fā)布中，數(shù)據(jù)質(zhì)量是指發(fā)布數(shù)據(jù)的可用性，數(shù)據(jù)的可用性越高，數(shù)據(jù)質(zhì)量越好。一般采用信息丟失率來(lái)衡量數(shù)據(jù)質(zhì)量的好壞。

1.2 隱私度量分類

對(duì)位置隱私度量的研究大致分為以下三種情況。第一種主要是針對(duì)位置隱私保護(hù)中的k-匿名保護(hù)機(jī)制的位置隱私度量方法。有學(xué)者認(rèn)為，在基于連續(xù)查詢的位置服務(wù)中，當(dāng)匿名集中各個(gè)用戶的概率不相等時(shí)，匿名集的大小則不再能正確的反映每個(gè)用戶的真正的匿名性。于是采取連續(xù)查詢攻擊算法，得到集合中k個(gè)用戶分別可能是真正查詢發(fā)送者的概率，然后根據(jù)香農(nóng)公式計(jì)算出熵值，來(lái)表示這個(gè)隱私保護(hù)系統(tǒng)的隱私保護(hù)水平。文獻(xiàn)[1]作者認(rèn)為在基于連續(xù)位置服務(wù)的k-匿名中，一個(gè)模糊區(qū)域中的用戶約束了它在下一個(gè)模糊區(qū)域中的位置，這給攻擊者提供了相關(guān)信息。因此，簡(jiǎn)單地保證每個(gè)模糊區(qū)域中包含至少k個(gè)用戶并不能提供給用戶k-匿名的保護(hù)。他們提出了一種基于模糊區(qū)域大小的熵度量機(jī)制，不僅考慮了在模糊區(qū)域內(nèi)的實(shí)體的數(shù)量，而且考慮了它們的匿名概率分布來(lái)量化系統(tǒng)匿名性。第二種常用方法是基于跟蹤的度量方法。文獻(xiàn)[2]使用平均時(shí)間以混淆來(lái)度量交通監(jiān)控系統(tǒng)中發(fā)送GPS跟蹤的車輛的隱私水平。他們的度量機(jī)制都是基于攻擊者跟蹤的不確定性的熵度量的。第三種主要是針對(duì)特定匿名系統(tǒng)的軌跡隱私度量框架。文獻(xiàn)[3]提出在V2X通信系統(tǒng)中的一種基于trip的度量機(jī)制來(lái)量化每個(gè)用戶的位置隱私水平。采用信息理論方法，將隱私水平量化為位置信息與特定的個(gè)人相聯(lián)系的不確定性，并考慮了攻擊者在一個(gè)更長(zhǎng)的時(shí)間內(nèi)所獲得的與隱私相關(guān)的累積信息對(duì)度量結(jié)果的影響。還有學(xué)者提出一種基于扭曲的隱私度量方法，通過(guò)比較攻擊者觀察得到的跟蹤用戶的運(yùn)動(dòng)軌跡與用戶真實(shí)運(yùn)動(dòng)軌跡之間的差異來(lái)反映用戶的隱私水平。

以上所介紹的度量方法有基于不同的隱私保護(hù)機(jī)制提出來(lái)的，也有基于特定隱私保護(hù)框架提出來(lái)的?；诓煌[私保護(hù)機(jī)制的隱私度量方法具有明顯的局限性，不能很好的適用于所有的隱私保護(hù)技術(shù)和隱私保護(hù)系統(tǒng)；而基于特定框架的隱私度量認(rèn)為攻擊者所擁有的背景知識(shí)是不變的，這顯然也不符合LBS服務(wù)中的實(shí)際情況。因此，針對(duì)這樣的兩個(gè)問(wèn)題，筆者需要結(jié)合攻擊者背景知識(shí)的變化以及隱私度量方法的應(yīng)用范圍構(gòu)建更完善的隱私度量標(biāo)準(zhǔn)。

2 基于假數(shù)據(jù)的軌跡隱私度量方法

2.1 隱私度量標(biāo)準(zhǔn)

在本模型中筆者所建立的隱私度量標(biāo)準(zhǔn)主要針對(duì)基于假數(shù)據(jù)的軌跡隱私保護(hù)技術(shù)來(lái)進(jìn)行隱私保護(hù)度的度量。通過(guò)對(duì)假數(shù)據(jù)軌跡隱私保護(hù)技術(shù)和現(xiàn)有軌跡隱私度量標(biāo)準(zhǔn)的分析和研究，我們選擇了三個(gè)指標(biāo)來(lái)評(píng)估隱私保護(hù)程度，分別是軌跡上點(diǎn)之間的關(guān)聯(lián)性、軌跡中所發(fā)布信息的精確度、不同背景知識(shí)下軌跡隱私泄露的概率。首先，軌跡隱私與位置隱私最大的不同是由于軌跡隱私本身在時(shí)間和空間上具有一定的連續(xù)性和關(guān)聯(lián)性，如果惡意攻擊者通過(guò)用戶軌跡上各點(diǎn)之間的聯(lián)系來(lái)進(jìn)行分析，那么用戶真實(shí)的位置信息和軌跡信息被披露的可能性將大大提高，這就要求基于假數(shù)據(jù)的軌跡隱私保護(hù)技術(shù)在發(fā)布假軌跡時(shí)考慮軌跡上各點(diǎn)之間的關(guān)聯(lián)性，提高隱私保護(hù)水平。其次，在實(shí)際的LBS服務(wù)場(chǎng)景中，服務(wù)器所發(fā)布的有關(guān)用戶的信息精確度越高，那么用戶的隱私越容易被泄露，這里的信息精確度包括發(fā)布數(shù)據(jù)的時(shí)間精確度、空間精確度、用戶的標(biāo)志屬性精確度等，所以發(fā)布信息的精確度也成為影響用戶軌跡隱私泄露可能性的一個(gè)關(guān)鍵因素。最后，最新的研究指出，當(dāng)攻擊者擁有新的背景知識(shí)時(shí)，任何一種隱私保護(hù)方法都會(huì)受到隱私威脅，而且攻擊者擁有的背景知識(shí)越多，用戶的隱私面臨的威脅越大，這里筆者利用軌跡被攻擊成功的概率來(lái)量化反映在不同背景知識(shí)條件下用戶軌跡隱私泄露的可能。下面筆者通過(guò)一個(gè)簡(jiǎn)單的LBS應(yīng)用場(chǎng)景來(lái)說(shuō)明隱私度量模型中各指標(biāo)的計(jì)算以及如何用最后的結(jié)果來(lái)評(píng)估具體隱私保護(hù)技術(shù)的隱私保護(hù)度。

2.2 隱私度量方法

現(xiàn)假定用戶A從家里出發(fā)然后由地鐵站坐地鐵到達(dá)公司上班，在這期間由于用戶在家、地鐵站、公司分別使用了LBS服務(wù)，產(chǎn)生了一條三點(diǎn)軌跡其中qi代表用戶的標(biāo)識(shí)符，它是用戶的相關(guān)屬性信息的集合，代表用戶在時(shí)刻的位置是。假定現(xiàn)在我們利用假軌跡隱私保護(hù)技術(shù)將這三個(gè)真實(shí)位置分別添加3個(gè)假位置，則一共產(chǎn)生了4×4×4＝64條軌跡其中真實(shí)軌跡為，從理論上而言，用戶的軌跡隱私被泄露的風(fēng)險(xiǎn)為1/64，而實(shí)際上由于發(fā)布假軌跡上點(diǎn)之間的關(guān)聯(lián)性、發(fā)布數(shù)據(jù)所包含信息的精確度以及攻擊者所擁有背景知識(shí)多少等方面的影響，用戶的軌跡隱私被泄露的風(fēng)險(xiǎn)時(shí)刻發(fā)生著變化，下面筆者通過(guò)對(duì)以上三個(gè)方面的介紹來(lái)具體說(shuō)明各個(gè)因素對(duì)于軌跡隱私保護(hù)程度的影響。

同樣的，筆者將攻擊者擁有不同的背景知識(shí)條件下攻擊成功的概率定義為，計(jì)算的難點(diǎn)在于攻擊者擁有背景知識(shí)多少的量化，這里我們借鑒現(xiàn)有的相關(guān)研究將攻擊者的背景知識(shí)

下面筆者通過(guò)一個(gè)較為簡(jiǎn)單的例子結(jié)合數(shù)據(jù)來(lái)對(duì)所選用的三個(gè)指標(biāo)進(jìn)行說(shuō)明。假定現(xiàn)在有8條軌跡其以及指標(biāo)如下。

表1與指標(biāo)

表1與指標(biāo)

軌跡指標(biāo) T1T2T3T4T5T6T7T8Fr0.44 0.28 0.30 0.12 0.06 0.52 0.08 0.38 Fa0.50 0.36 0.28 0.50 0.16 0.40 0.22 0.52

綜合上面的內(nèi)容，筆者將這三個(gè)方面結(jié)合起來(lái)反映軌跡隱私的保護(hù)程度，則在攻擊者擁有等級(jí)的背景知識(shí)的條件下，隱私保護(hù)度，其中，γβα，，是三個(gè)指標(biāo)所占的權(quán)重。D的值越大，隱私被泄露的風(fēng)險(xiǎn)越大，反之越小。γβα，，值的設(shè)定筆者可以采用統(tǒng)計(jì)學(xué)的方法，如因子分析法、灰色關(guān)聯(lián)法等進(jìn)行設(shè)定。

3 結(jié)束語(yǔ)

本文在現(xiàn)有研究的基礎(chǔ)上，提出一種基于假數(shù)據(jù)的軌跡隱私保護(hù)技術(shù)的度量方法，最終得到了針對(duì)特定軌跡隱私保護(hù)技術(shù)的隱私保護(hù)度公式。然而，由于該模型本身的局限性并不能適用于任意的軌跡隱私保護(hù)技術(shù)的度量，另外，有關(guān)假軌跡上點(diǎn)之間的關(guān)聯(lián)性、發(fā)布數(shù)據(jù)所包含信息的精確度以及攻擊者所擁有背景知識(shí)多少三方面權(quán)重的設(shè)定并沒(méi)有給出合適的標(biāo)準(zhǔn)，因此，后期筆者要針對(duì)以上兩個(gè)問(wèn)題做更進(jìn)一步的研究。

[1] Xu T,Ying C.Location anonymity in continuous locationbased services[J].In:Proceedings of the 15th Annual ACM International Symposium on Advances in Geographic Information Systems,2007:1-8.

[2] Hoh B，Gruteser M,Alrabady A.Preserving privacy in GPS traces via Uncertainy-aware path cloaking[J].In：Proceedings of the 14th ACM Conference on Computer and Communications Security,2007:161-171.

[3] Ma ZD，F(xiàn)rank K，Michael W.Measuring location privacy in V2X communication systems with accumulated information [J].In:Proceedings of the Sixth IEEE Intemational Conference on Mobile Adhoe and Sensor Systems,2009: 322-331.

[4] 林欣,李善平,楊朝暉.LBS中連續(xù)查詢攻擊算法及匿名性度量[J].軟件學(xué)報(bào),2009,20(4):1058-1068.

[5] 霍崢,孟小峰.軌跡隱私保護(hù)技術(shù)研究[J].計(jì)算機(jī)學(xué)報(bào), 2011,(10):1820-1830.

The measure methods of trajectory privacy protection in location-based service based on dummies

With the popularity of mobile devices, the trajectory of privacy protection has become an increasingly serious issue, as a direction of the trajectory of privacy protection, privacy measurement mechanism was built, such as trajectory privacy metric based on k-anonymity, trajectory privacy metric based on tracking and trajectory privacy metric based on pecific privacy trajectory systems. In this paper, on the basis of existing research we construct a standard which was built from the relationship between trajectory data, the accuracy of the data and background knowledge which attackers have known to measure of privacy protection technology based on dummies.

Trajectory privacy;privacy protection; privacy metric

G20

A

1008-1151(2015)01-0007-03

2014-12-11

王小飛（1990－），男，安徽人，安徽財(cái)經(jīng)大學(xué)管理科學(xué)與工程學(xué)院在讀研究生，研究方向?yàn)樾畔踩?/p>