情境感知的位置隐私保护方法研究进展

毛典辉，曹健，蔡强，李海生

（北京工商大学 计算机与信息工程学院，北京 100048）

1 引言

近年来，随着移动智能终端的普及与发展，与位置相关的空间信息服务技术得到了广泛应用，如移动用户通过终端设备查询“离我最近的银行在哪？”、“我所在的高速公路上的道路交通情况如何？”、“到达XX大厦最近的路径”等，或者在移动社交网络中向好友分享自己的实时行踪，这些基于位置的服务（LBS, location based service）使得用户能够实时获取位置情境信息，从而极大地改善人们的生活以及信息服务方式。然而，用户在消费LBS服务的同时，需向服务器发送包含个人位置信息的数据，而服务提供商不能保证用户信息被其他恶意攻击者窃取或被非法使用，攻击者可据此推断出用户的生活习惯、工作背景等诸多个人隐私信息[1]，因此这引发了用户的担忧，故位置隐私信息能否得到妥善保护成为制约LBS系统应用与发展的瓶颈[2]。

目前已有的位置隐私保护方法大都通过模糊用户真实位置或混淆用户真实身份的方式保护位置隐私，这些方法适用于特定的时空情境，而在LBS实际应用中，用户位置变化不定，其隐私保护意识个性化、主观化，容易因身份、环境、应用甚至心情的不同而改变，这使得如何根据用户位置情境以及个性化隐私保护需求提供相应的隐私保护服务成为一个亟待解决的难题[3]，因此，研究情境感知的位置隐私保护技术成为当前 LBS应用中极具潜力的发展方向。本文将从位置隐私与时空情境的特点出发，对现有的位置隐私保护方法进行了分类总结，并在此基础上对情境感知的位置隐私保护方法进行综述，讨论该领域存在的研究难点以及今后的发展趋势。

2 位置隐私保护概述

隐私是指个人、机构等实体不愿意被外部知晓的信息，而位置隐私是一种特殊的信息隐私，是防止其他人以任何方式获知对象过去、现在的位置。在基于位置的服务中，用户的位置隐私信息既包括与时空相关的位置信息，也包含能推断用户个人隐私（如个人的家庭工作地点、收入水平、生活习惯、健康状况等）的查询请求，因此，位置隐私保护的目的是保证用户的敏感信息不泄露，同时防止攻击者在未经授权的情况下获取用户的原始数据，并计算推理出与位置相关的个人隐私信息[4]。

在LBS服务实现过程中，用户需经历位置感知与移动信息服务2个阶段：位置感知的目的是通过感知环境中与对象时空位置相关的可用信息, 使得计算设备自动自主地进行推理、决策和计算，从而实现透明的、精确的服务。移动信息服务是指在移动环境中依据用户显式或隐式的请求提供与用户所处情境相关的信息载体[5]。在基于情境感知的LBS服务中，服务的准确性与用户提供的情境信息精确性直接相关，当用户的位置情境信息越精确，其服务质量越高，但导致用户位置隐私泄露的风险增加，因此，二者之间存在着天然的矛盾。

为了实现隐私保护度与服务质量间的平衡，相应的隐私保护方法必须从位置隐私的基本特性以及用户所处情境的上下文信息综合分析，这决定了位置隐私保护是一个动态变化的过程。总体来说，基于情境感知的位置隐私保护具有以下特征。

1) 位置隐私与情境感知信息具有个体性。位置隐私的界定受到社会因素和个体因素的共同影响，其界定过程是主观的，不同文化背景的个体对同一信息往往表现出差异性的价值取向和界定标准，因而位置隐私具有个体性。同时，用户感知的情境信息与其当前位置、环境相关，因此用户的情境信息表现出较大的差异性与个体性。

2) 位置隐私与情境感知信息具有动态性。即使用户主体确定，但随着用户所处场景的不同，用户位置隐私的界定发生变化，其情境信息也随着变化，因此二者具有较大的动态可变性。

3) 位置隐私与情境感知信息具有整体性和综合性。位置隐私是自然要素、社会要素、经济要素共同作用的对象，因而对位置隐私的研究必然要涉及到自然、社会与经济等多种因素。而位置情境信息与用户的所处环境有关（交通路网密集程度、人流量、移动速度与方向等信息），因此对二者的研究必须从整体上综合考虑。

3 位置隐私保护方法研究现状分析

目前 LBS中已取得的位置隐私保护方法大体上可以分为2类：基于隐私保护策略和基于隐私保护模型，前者是指用户通过设置 LBS 应用中所提供的策略与规则实现位置隐私保护；后者则指通过特定模型与算法将用户位置模糊化或虚假化从而保护用户位置隐私[6]。

3.1 基于隐私保护策略

在 LBS消费过程中，用户作为位置隐私的持有者对位置信息具有绝对的控制权，在信息生命周期内，用户根据风险偏好可自主设置隐私保护要求，系统通过上下文感知可自动完成隐私策略的制定[7]，如文献[8]从普适计算的角度研究了隐私策略的表示及其策略推理演变，但是没有明确给出具体的隐私保护解决方案。另外，现有的隐私保护策略研究大多通过提高策略覆盖的完整性、策略描述的准确性来增强隐私保护策略的合理性，同时对用户以及服务请求进行分类实现简化用户使用体验的策略设置[9]，如文献[10]基于 SPPF树结构的策略索引模型优化了策略库的管理。然而，该类研究成果存在一个共性不足：即大部分隐私保护策略是根据特定情境而制定，不同LBS应用系统的隐私保护策略缺乏通用性与可读性，这使得在不同情境间的策略迁移与传递问题制约了该技术的发展，因此，越来越多的研究倾向使用隐私保护模型。

3.2 基于隐私保护模型

用户位置隐私信息由个人标识信息和位置信息组成，位置隐私保护模型的目标是混淆用户身份或者位置信息，故采取的方法主要有：空间匿名、假地址查询、假名查询等，而隐私保护模型总体上可归纳为2种：位置K-匿名模型[11]以及SpaceTwist模型[12]。前者将单一用户位置点替换为k个用户组成的群组区域，使得攻击者无法进行用户区分，从而实现用户身份与位置信息保护；后者通过移动终端直接发送假位置点至服务提供商进行增量近邻查询，直至返回用户所需的近邻结果为止。

上述的隐私保护模型在实际LBS系统中因应用情境差异表现出诸多局限性，主要体现为如下几点。

1) 模型参数主观设置影响隐私保护效果。模型应用于特定的时空情境时，模型参数一般由用户主观设定，如K-匿名模型中K值设置、SpaceTwist模型中初始位置点的偏移距离，而用户隐私保护意识具有较强的主观性与随意性，因此在同一时空情境中，不同的参数设置导致隐私保护效果表现出较大差异[13]。文献[14]从关系数据的角度提出了K-匿名模型中K值的优选策略，但是没有在空间数据应用中进行讨论。文献[15]针对SpaceTwist模型提出了使用用户群组中心点代替随机挑选初始位置的策略，但是在用户合作模式下，用户数量无法得到保证，因此该策略的有效性值得怀疑。

2) 模型隐私保护效果与服务质量易失衡。隐私保护度与服务质量是一对矛盾，模型参数的主观设置不仅影响隐私保护效果，而且影响服务质量。当用户不合理的参数设置使得K-匿名模型的模糊区域过大或者 SpaceTwist模型的假位置偏移距离过远，从而增加了终端与服务器的计算开销以及通信开销，降低了系统通信效率[16,17]。文献[18]在K-匿名模型研究中提出δp-隐私模型和δq-质量模型来均衡隐私保护与服务质量的矛盾，但是缺乏理论分析与定量结果比较。

3) 模型隐私保护效果无法适应时空情境变换。现有研究成果大都是针对特定时空情境改进上述模型从而提高隐私保护强度或系统性能，如K-匿名模型，文献[19]在快照查询情境下利用其思想提出隐匿子图的位置保护方法、文献[20]在连续导航查询应用中利用其思想扩展 Mix-Zone实现轨迹隐私保护；然而必须指出的是，该类方法的隐私保护效果都是以用户合作为基础，当系统中用户密度较大时，上述方法能获得较好的保护效果，但当用户较为稀疏时，系统的匿名性无法得到保证，因此在复杂的时空情境变化中，系统内用户密度无法保持一致，这将导致模型匿名稳定性无法获得保障。另外，在SpaceTwist模型应用中，查询点的偏移距离应与用户所处情境相关，当用户处于路网密集区域，人流量大、交叉路口多，较小的位置偏移量即可获得较好的隐私保护效果；反之，路网稀疏区域，较大的位置偏移量才能保证一定的隐私保护效果[5]，因此，模型的改进必须具备自适应用户时空情境变化的要求。

4) 模型应用性能受系统结构局限。位置隐私保护系统结构目前主要有基于 TTP（trusted third party）结构[21]、P2P网络（peer-to-peer network）结构[22]以及独立结构，尽管当前TTP应用最为广泛，但是该结构的中心服务器角色使之容易成为系统性能瓶颈和集中攻击点，而且并没有一个权威机构来评估TTP的可信度，因此TTP并不完全可信；而文献[23]提出P2P结构具备良好的容错性与扩展性，且无可信第三方，但是P2P资源管理以及通信开销控制等问题到目前为止还没有得到解决，因此该结构暂时无法进行实际应用[24]；另外，基于上述系统结构的隐私保护方法均是以用户合作为基础，在时空情境变化中，系统用户无法保持一致，这将使得模型匿名稳定性无法得到保证，因此，无可信第三方、非用户合作的独立结构模式因移动用户的自主性成为当前发展趋势。

4 位置隐私保护的关键问题与发展趋势

从上述位置隐私保护方法的研究现状分析来看，建立移动情境感知的位置隐私保护方法成为当前 LBS隐私保护研究的发展趋势[25]，而国内外在该问题上的研究尚处于起步阶段。目前，大部分情境感知的位置隐私保护方法是从普适计算的角度出发，研究情境感知建模以及情境感知计算，如文献[25]在普适计算环境下利用多种隐私保护技术，实现了安全中间件PPSM平台型，达到多层次、多角度的用户隐私保护，但是在降低干扰保护系统中的服务负载、隐私保护策略描述上缺乏通用性和可读性。文献[26]在综合通用情境感知计算模型的基础上提出了“外观—内省”情境感知计算流程，但是该计算模式上还不够完善，缺乏未来位置情境计算策略与情境判定，也没有完成用户移动意图语义感知基础上进行语义推理、服务推送。

传统的普适计算大都针对异构、复杂的计算环境，且要求计算过程“不可见”，因此对普适服务进行信任评估非常困难，而在位置隐私保护研究中信息要求被用户知情且能选择，因此二者间的矛盾使得用户行为更偏向于保守，并且现有的普适计算理论也难以直接应用到该领域[27]。目前，已有研究者在现有位置隐私保护技术的基础上，从LBS系统特点出发开展相关研究，文献[28]在无 TTP、用户协作模式下开展了适合快照（snapshot）查询的位置隐私保护方法研究，建立了用户位置情境表达模型，并提出了自适应通信开销预算的隐私保护算法。文献[5]在无 TTP、无用户协作模式下提出了CAP隐私保护方法，解决了终端与位置服务器间的数据传输问题，探讨了隐私保护强度与用户位置情境间的关系。

从上述的研究成果可以看出，情境感知计算是位置隐私保护方法的研究重点，无可信第三方、非用户合作模式是未来LBS系统的发展趋势，而在目前的技术基础上，建立无可信第三方、非用户合作模式的基于情境感知的位置隐私保护方法还存在着诸多技术障碍，主要表现为如下几方面。

1) 系统时空情境感知、计算能力与信息传输要求与终端性能不足的矛盾。移动终端的位置情境感知是以大规模地理、交通数据为基础，且表征连续变化的时空情境信息具有海量性，而终端的存储、计算能力存在较大差异，无法保证终端能预存大规模基础空间数据，以及终端与服务器间无法实现海量空间数据与情境信息实时传输[29]，因此，这将导致时空情境信息感知、传输要求与终端性能不匹配的矛盾。

2) 时空情境信息的不确定性与服务准确性间的矛盾。移动对象时空位置情境信息的不确定性来自空间、时间、时空运动关系三者的不确定性以及数据离散化带来的不确定性，这直接导致信息服务查找过程中的概率性[30]，而用户在消费 LBS服务时，要求信息服务具有准确性、及时性，因此需要引入新的技术平衡二者间的矛盾，同时要求情境感知系统引入不确定性语义、新的理论判定模型和新的判定算法支持保护不确定性的时空位置情境推理[31]。

3) 用户位置隐私保护要求个性化与情境感知计算的统一性间的矛盾。在情境感知计算中，位置情境的产生、过滤、推理、使用的过程是连续的、统一的、动态的，而用户的隐私保护要求与服务质量要求均具有个性化，因此要求情境感知计算中时空统一模型在理论上能自适应用户个性要求，实现隐私保护效果与服务质量的平衡[32]。

5 结束语

随着移动定位设备、无线通信网络的发展，人们在方便地获取LBS服务的同时，也存在着严重的隐私泄露风险，因此位置隐私保护技术是LBS应用领域内的研究热点之一，而移动情境感知的位置隐私保护方法研究则是该领域的一个前沿课题。本文对近年来国内外在该领域的主要研究成果进行了综述，总结了现有的位置隐私保护技术共性特点以及存在的不足，指出了发展趋势以及研究方向。总体来说，位置隐私保护技术的研究仍然处于起步阶段，仍然有大量关键的问题还需要做深入细致的研究。

[1] WEI W, XU F Y, LI Q.Mobishare: flexible privacy preserving location sharing in mobile online social networks[A].Proceedings of INFOCOM 2012[C].Orlando, USA, 2012.2616-2620.

[2] SHIN K G, JU X E, CHEN Z G,et al.Privacy protection for users of location-based services[J].Wireless Communications, 2012, 19(1):30-39.

[3] 周傲英, 杨彬, 金澈清等.基于位置的服务:架构与进展[J].计算机学报, 2011, 34 (7):1155-1171.ZHOU A Y, YANG B, JIN C Q,et al.Location-based services: architecture and progress[J].Chinese Journal of Computers, 2011, 34(7) :1155-1171.

[4] 霍峥, 孟小峰.轨迹隐私保护技术研究[J].计算机学报, 2011,34(10):1820-1830.HUO Z, MENG X F.A survey of trajectory privacy preserving techniques[J].Chinese Journal of Computers, 2011, 34(10):1820-1830.

[5] ANIKET P, YU W, ZHANG N,et al.A context-aware scheme for privacy preserving location-based services[J].Computer Networks,2012, 56(11):2551-2568.

[6] CHOW C Y, MOKBEL M, HE T.A privacy preserving location monitoring system for wireless sensor networks[J].IEEE Transactions on Mobile Computing, 2011, 10(1):94-107.

[7] 刘昭斌, 刘文芝, 顾君忠.位置感知的自适应隐私保护策略[J].计算机工程与设计, 2011, 32(3):839-841.LIU Z B, LIU W Z, GU J Z.Adaptive privacy protection policy of location-aware[J].Computer Engineering and Design, 2011, 32(3):839-841.

[8] ANDERSEN M S, KJAERGAARD M B.Towards a new classification of location privacy methods in pervasive computing[J].Social Informatics and Telecommunications Engineering, 2012, 104:150-161.

[9] 魏志强, 康密军, 贾东宁等.普适计算隐私保护策略研究[J].计算机学报, 2010, 33(1):128-138.WEI Z Q, KANG M J, JIA D N,et al.Research on privacy protection policy for pervasive computing[J].Chinese Journal of Computers,2010, 33(1):128-138.

[10] TRONG N P, TRAN K D.A novel trajectory privacy-preserving future time index structure in moving object databases[A].Proceedings of the 3th International Conference on Computer and Computational Intelligence[C].Buenos Aives, Argentina, 2012.124-134.

[11] GRUTESER M, GRUNWALD D.Anonymous usage of location-based Services through spatial and temporal cloaking[A].Proceedings of the 1st International Conference on Mobile Systems Applications and Services[C].San Francisco, USA, 2003.31-42.

[12] YIU M L, JENSEN C S, HUANG X,et al.Spacetwist: managing the trade-offs among location privacy, query performance, and query accuracy in mobile services[A].Proceedings of the IEEE International Conference on Data Engineering 2008[C].Cancun, Mexico, 2008.366-375.

[13] 林欣, 李善平, 杨朝晖.LBS 中连续查询攻击算法及匿名性度量[J].软件学报, 2009, 20(4): 1058-1068.LIN X, LI S P, YANG Z H.attacking algorithms against continuous queries in LBS and anonymity measurement[J].Journal of Software,2009, 20(4):1058-1068.

[14] 宋金玲, 刘国华, 黄立明等.k-匿名隐私保护模型中k值的优化选择算法[J].小型微型计算机系统, 2011, 32(10):1987-1983.SONG J L, LIU G H, HUANG L M,et al.Selection algorithm for optimizedk-values in k-anonymity model[J].Journal of Chinese Computer Systems, 2011, 32(10):1987-1983.

[15] 黄毅, 霍峥, 孟小峰.CoPrivacy:一种用户协作无匿名区域的位置隐私保护方法[J].计算机学报, 2011, 34(10):1975-1985.HUANG Y, HUO Z, MENG X F.CoPrivacy: a collaborative location privacy preserving method without cloaking region[J].Chinese Journal of Computers, 2011, 34(10):1975-1985.

[16] PAN X, XU J, MENG X F.Protecting location privacy against location-dependent attack in mobile services[A].Proceedings of the ACM Conference on Information and Knowledge Management 2008[C].Napa Valley, USA, 2008.1475-1476.

[17] GONG Z, SUN G, XIE X.Protecting privacy in location-based services usingk-anonymity without cloaked region[A].Proceedings of the International Conference on Mobile Data Management 2010[C].Kansas, USA, 2010.366-371.

[18] 潘晓, 郝兴, 孟小峰.基于位置服务中的连续查询隐私保护研究[J].计算机研究与发展, 2010, 47(1):121-129.PAN X, HAO X, MENG X F.Privacy preserving towards continuous query in location-based services[J].Journal of Computer Research and Development, 2010, 47(1):121-129.

[19] 薛姣, 刘向宇, 杨晓春等.一种面向公路网络的位置隐私保护方法[J].计算机学报, 2011, 34(5):865-878.XUE J, LIU X Y,YANG X C,et al.A location privacy preserving approach on road network[J].Chinese Journal of Computers, 2011, 34(5):865-878.

[20] PALANISAMY B, LIU L, LEE K S,et al.Location privacy with road network mix-zones[A].Proceedings of the 8th IEEE International Conference on Mobile Ad-hoc and Sensor Networks[C].Chengdu,China, 2012.124-131.

[21] MOKBEL M F, CHOW C Y, AREF W G.The new casper: query processing for location services without compromising privacy[A].Proceedings of the 32nd International Conference on Very Large Data Bases[C].Seoul, South Korea, 2006.763-774.

[22] 徐建,黄孝喜,郭鸣等.动态P2P网络中基于匿名链的位置隐私保护[J].浙江大学学报(工学版), 2012, 46(4):712-718.XU J, HUANG X X, GUO M,et al.Location privacy through an anonymous chain in dynamic P2P network[J].Journal of Zhejiang University (Engineering Science), 2012, 46(4):712-718.

[23] CHOW C, MOKEL M F, LIU X.A peer to peer spatial cloaking algorithm for anonymous location based service[A].Proceedings of 14th ACM international symposium on geographic information systems[C].Arlington, USA, 2006.171-178.

[24] PAVELS, FRANK D, KURT R.Map-aware position sharing for location privacy in non-trusted systems[A].Proceedings of the 10th International Conference Pervasive Computing[C].Newcastle, England,2012.388-405.

[25] 刘恒.普适计算环境下基于位置服务的隐私保护若干技术研究[D].西安: 西安电子科技大学, 2010.LIU H.Research on Key Techniques in Privacy of Location Based Service for Pervasive Computing[D].Xi’an: University of Electronic Science and Technology of China, 2010.

[26] 邵非.基于位置感知的移动信息服务若干关键技术研究[D].上海:华东师范大学, 2011.SHAO F.Research on Some Key Issues of Location Awareness based mobile information service[D].Shanghai: East China Normal University, 2011.

[27] WANG Y, XU D B, HE X,et al.L2P2: location aware location privacy protection for location-based services[A]. Proceedings of INFOCOM’2012[C].Orlando, USA, 2012.1996-2004.

[28] 毛典辉, 蔡强, 李海生等.用户协作模式下自适应情境的LBS隐私保护方法[J].四川大学学报(工程科学版), 2013, 45(4):75-80.MAO D H, CAI Q, LI H S,et al.An adaptive context aware LBS privacy protection method based on users collaboration[J].Journal of Sichuan University (Engineering Science), 2013, 45(4):75～80.

[29] FARZANA R, MD E H, FERDAUS A K,et al.User privacy protection in pervasive social networking applications using PCO[J].International Journal of Social Computing and Cyber-Physical Systems,2012, 1(3):242-267.

[30] 周傲英, 金澈清, 王国仁等.不确定性数据管理技术研究综述[J].计算机学报, 2009, 32(1):1-16.ZHOU A Y, JIN C Q,WANG G R,et al.A survey on the management of uncertain data[J].Chinese Journal of Computers, 2009, 32(1):1-16.

[31] XU J, TANG X, HU H,et al.Privacy-conscious location-based queries in mobile environments[J].IEEE Transactions on Parallel and Distributed Systems, 2010, 21(3):313-326.

[32] YIU M L, CHRISTIAN S, JENSEN M L,et al.Design and analysis of a ranking approach to private location-based services[J].ACM Transactions on Database Systems, 2011, 36(2):1-42.