張源策,尤海鑫,段明月,李麗紅*

(1.華北理工大學(xué) 理學(xué)院,河北 唐山 063210;2.河北省數(shù)據(jù)科學(xué)與應(yīng)用重點實驗室,河北 唐山 063210;3.唐山市工程計算重點實驗室,河北 唐山 063210)

0 引言

生活中很多使用場景都是基于位置服務(wù)(Location Based Service,LBS)[1]的,在發(fā)展LBS的同時,如何保護(hù)用戶的位置隱私不被泄露,是位置隱私保護(hù)所要解決的問題。

1 LBS的隱私保護(hù)架構(gòu)

目前,LBS主要有兩種隱私保護(hù)架構(gòu):集中式結(jié)構(gòu)和P2P架構(gòu)。

1.1 集中式器結(jié)構(gòu)

此方案由用戶端、可信第三方(Trusted Third Party,TTP)和LSP平臺(Location Services Platform,LSP)[1]組成,該架構(gòu)有效應(yīng)用的前提是TTP完全可信。

集中式結(jié)構(gòu)的優(yōu)點是:(1)隱私保護(hù)效果好;(2)請求效率高;(3)具有較好的服務(wù)效用。但同時,該結(jié)構(gòu)的缺點如下:(1)TTP可信問題;(2)成本問題;(3)匿名服務(wù)器是整個架構(gòu)的薄弱環(huán)節(jié)。

1.2 P2P結(jié)構(gòu)

基于P2P結(jié)構(gòu)的隱私保護(hù)方案不需要TTP匿名服務(wù)器,僅由用戶端和LBS服務(wù)平臺組成,通過客戶端之間形成的匿名區(qū)域,相互協(xié)作,用匿名區(qū)域代替真實位置向LSP發(fā)起請求。LSP處理請求并返回請求結(jié)果,用戶端篩選得到符合的位置記錄。

P2P結(jié)構(gòu)的優(yōu)點:(1)無須考慮可信匿名服務(wù)器的安全性;(2)無須部署匿名服務(wù)器;(3)匿名區(qū)域更有效地保護(hù)了用戶的位置隱私。

P2P結(jié)構(gòu)的缺點:(1)客戶端需要有一定的計算能力;(2)沒有考慮匿名用戶的可信性;(3)用戶數(shù)量是否符合匿名區(qū)域的匿名要求。

2 LBS隱私保護(hù)技術(shù)

本文從4個部分對位置隱私保護(hù)方案[2]進(jìn)行介紹。

2.1 基于模糊的位置隱私保護(hù)方案

基于模糊的位置保護(hù)方案,即通過位置偏移、假位置等技術(shù)對LBS查詢中的真實位置信息進(jìn)行模糊化處理。

(1)假名技術(shù)[3],核心思想是用沒有具體含義的符號消除真實用戶的位置與相關(guān)信息的關(guān)聯(lián)性,從而達(dá)到保護(hù)隱私的目的。針對單一假名的技術(shù)缺陷,多次修改假名只是治標(biāo)不治本。

(2)隨機(jī)化技術(shù),主要應(yīng)用在P2P結(jié)構(gòu)中,作用是在LBS查詢中隨機(jī)添加啞元,并發(fā)起啞元查詢。

(3)假位置生成方法,由Shin等[4]提出假位置生成SpaceTwis方案,用隨機(jī)錨點代替真實位置點。為了解決SpaceTwis方案敏感點選取的問題,周長利等[5]提出了利用相關(guān)位置語義信息,提高錨點選取的準(zhǔn)確性。

2.2 基于密碼學(xué)的位置隱私保護(hù)方案

基于密碼學(xué)的位置隱私保護(hù)方案一般基于P2P結(jié)構(gòu),引入加密解密原理,其原理是先將用戶發(fā)送給LSP的LBS查詢信息進(jìn)行加密處理,即使獲得密文也無法獲取真實位置數(shù)據(jù)。

2.3 基于k-匿名技術(shù)的位置隱私保護(hù)方案

基于k-匿名技術(shù)的位置隱私保護(hù)方案中,真實用戶與其他k-1個用戶共同組成一個匿名區(qū)域,用匿名區(qū)域發(fā)起LBS查詢請求。

2.3.1 基于歐氏距離的方案

傳統(tǒng)的隱私方案大多基于歐式距離,楊洋等[6]提出了一種LBS矩形區(qū)域的劃分算法,有效提升了匿名性能。考慮到合謀攻擊的情況,葉吉祥等[2]引入用戶密度,提出了一種基于用戶自我感知的USA算法,感知鄰居用戶分布密度,劃分子區(qū)域、隨機(jī)添加啞元位置均衡用戶密度后發(fā)起LBS查詢,最后對結(jié)果篩選。

為解決匿名數(shù)據(jù)集的隱私問題,謝奇愛[7]提出了基于時空k-匿名的隱私保護(hù)持續(xù)改進(jìn)的DLP算法,在一定時間和空間范圍內(nèi)產(chǎn)生多個啞元位置。宋成等[8]基于k-匿名思想和雙線性對性質(zhì),提出一種基于概率的保護(hù)方案:隨機(jī)地生成2k個啞元位置,選取k-1個概率較高的假位置,并分配虛假的用戶身份標(biāo)識。

2.3.2 基于路網(wǎng)環(huán)境的方案

基于歐氏空間距離來度量的方案未考慮到敏感位置的情況。因此,倪巍偉等[9]通過引入路網(wǎng)環(huán)分布的概念,結(jié)合隱匿環(huán)的組成結(jié)構(gòu),提出了隱匿環(huán)剪枝方法,有效防御重放攻擊、提高位置泛化和近鄰查詢效率。為了解決路網(wǎng)環(huán)境中敏感位置匿名區(qū)域的生成問題,戴佳筑等[10]考慮現(xiàn)實中的路網(wǎng)環(huán)境和真實區(qū)域的敏感度,生成與之相適應(yīng)的匿名區(qū)域。為了優(yōu)化算法的開銷,周長利等[11]提出了基于路網(wǎng)環(huán)境的k近鄰興趣點查詢算法,利用四叉樹索引劃分路網(wǎng)節(jié)點,計算相應(yīng)的路網(wǎng)節(jié)點,查詢k近鄰POI點,構(gòu)造匿名區(qū)域并隨機(jī)添加啞元查詢。

2.4 基于差分隱私的位置隱私保護(hù)方案

相較于k-匿名技術(shù),差分隱私的應(yīng)用也十分有前景,是一種不受攻擊者背景知識限制、具有較好隱私保護(hù)效果的技術(shù)。為了解決現(xiàn)有k-means算法初始點敏感等問題,徐啟元等人[12]結(jié)合了人流密度、差分隱私技術(shù)和k-means技術(shù)。為了解決加噪過度的問題,張可鏵[13]等人提出了基于空間動態(tài)劃分的差分隱私聚類算法DPQTk-means算法,減少隨機(jī)噪聲后進(jìn)行k均值聚類。

3 分析與展望

基于差分隱私技術(shù)的位置隱私保護(hù)方案無須考慮背景知識,也不受某條數(shù)據(jù)變化的影響,適合與其他多種方案進(jìn)行結(jié)合,有著良好的應(yīng)用前景;基于密碼學(xué)的技術(shù)雖然有著較好的隱私保護(hù)效果,但卻對通信和計算能力提出了要求;基于匿名的技術(shù)保護(hù)效果直接與k值的選取有關(guān),基于模糊的技術(shù)雖然能降低通信開銷,但不適用于精度較高的LBS查詢服務(wù)。

下一步研究方向可以包含以下方面。首先,啞元位置選取仍是一個需要繼續(xù)研究的問題,如何更有效地應(yīng)對攻擊者預(yù)測用戶位置,抵御差分攻擊、中心區(qū)域選擇攻擊等攻擊手段,是一個值得研究的方向。其次,本地化差分隱私很好地解決了TTP不可信的問題,但加重了客戶端的負(fù)擔(dān),下一步可以研究如何降低算法開銷、提高算法效用。最后,社交網(wǎng)絡(luò)也是一個很有應(yīng)用價值的領(lǐng)域,應(yīng)在確保用戶體驗的同時保證用戶的位置隱私,提出適用于社交網(wǎng)絡(luò)的LBS隱私保護(hù)模型。