基于地理信息服务隐私安全保护的研究

◆唐 迪 杨小牛

0 引言

近些年来，随着移动通信技术的飞速发展、高性能智能移动终端的广泛普及、移动数据网络带宽的不断提高，基于地理位置信息服务（Location Based Service，LBS）成为移动互联网最重要的应用之一。LBS是由移动通信网络和卫星定位系统结合的一种增值业务，它通过一组定位技术获得移动终端的位置信息，并提供给移动用户本人、他人及通信系统，实现信息、娱乐等相关信息服务的业务。本质上它是一种概念较为宽泛的与空间位置有关的新型业务，即“确定地理位置”+“提供服务信息”的模式。

虽然 LBS通过用户位置信息可以为用户提供各种便利的服务，但用户位置信息的上传和使用引发了用户对其个人隐私信息泄露的担忧。2011年微软公司的一份调查报告表明，在使用LBS的用户中，有超过83%的用户认为该LBS服务提供商收集、使用和分享个人地理位置信息的行为会导致其个人隐私受到侵犯。随着LBS用户对个人隐私信息的重视，LBS隐私安全保护成为近年来的研究热点。

1 基于地理位置信息服务面临的安全威胁

1.1 基于地理位置信息服务概述

LBS在移动终端的应用不仅实现百度地图的地理位置功能、大众点评的地点搜索、评价查看功能，滴滴打车等P2P在线服务业务，同时实现了微信、人人网等社交网络平台上的人际互动功能，随着4G网络的普及，LBS整合了互联网平台和移动数据平台，通过基于地理位置信息服务模式，融合线上线下资源，建立了全方位的社会化网络服务体系，形成了全新的社会关系、群体互动联系、个体行为规律以及新的经济模式。本文结合工业界和学术界的相关表述对LBS有如下定义：LBS一般要求用户首先通过定位设备获取当前自身定位信息，并将该信息与相应的服务请求发送给LBS服务提供商，LBS服务商在接收到用户的服务请求后，根据用户的地理位置信息和请求提供相应的服务信息。

1.2 基于地理位置信息服务面临的安全威胁

在 LBS中，用户通过上传个人地理位置信息获得所需要的服务。其中，个人的地理位置信息和获得的服务信息都是个人的隐私信息。在LBS服务过程中，个人的隐私信息可能会被LBS服务提供商、无线互联网服务商，未经授权的第三方组织甚至是有目的的攻击者获得。信息收集者通过利用获得的历史地理位置信息和服务信息可以还原用户生活轨迹、生活习惯，从而推断用户的隐私信息，如职业、爱好、宗教信仰、消费、身体状况等信息。

2 地理位置信息隐私安全保护技术

最近几年，随着对LBS隐私信息保护的重视，LBS隐私保护技术成为学术界研究的重要领域之一。根据研究方法基础划分，隐私保护技术主要包括（1）用户位置信息保护原则；（2）用户身份信息保护原则；（3）基于密码的保护算法。

2.1 k-匿名（k-anonymity）保护模型

k-匿名保护模型作为隐私保护安全技术的安全模型被广泛使用。它的核心思想是将一组特殊属性定义为准标识符（Quasi-identification），并确保准标识符商取值相同的元组规模至少为k（k≥2），从而使攻击者发起连接攻击时得到的个体和敏感信息之间的关系变得模糊。针对LBS服务，k-匿名保护的实现是指，对发送服务请求的用户A生成一个隐匿空间R，该空间可以满足，攻击者根据发送的服务请求识别出其真实请求者A的概率 p≤1/k。k-匿名保护模型虽然能保证隐私信息相对安全，但是k-匿名化的过程中的泛化操作可能会导致数据服务的质量下降。

2.2 用户位置信息保护原则

用户位置信息保护原则的核心思想是通过保护用户的地理位置信息和隐私信息。而用户地理位置信息要求上传至服务器，因此，该原则一般通过模糊上传的用户地理位置信息或发送多个虚假地址实现k-匿名保护。

2.2.1 空间隐匿保护技术

空间隐匿技术（Spatia1 c1oaking）的基本思想是首先通过可信第三方建立一个或多个模糊的空间范围。该区域通过扩大用户的位置范围或调整用户地理位置信息在时域和空域的解析度模糊用户的精确位置，并将该区域代替用户的精确位置，上传至LBS服务商，从而获得相应的LBS服务。当该区域包含k个移动用户时，可以实现对该用户位置隐私的k-匿名保护。但是，上传的位置信息不是用户的精确位置，导致用户不能获得高质量的服务体验。

空时隐匿技术主要研究如何选择合理的空间范围替代用户的地理位置信息，并且在用户服务质量和隐私保护之间做出平衡。如在[3]中，作者分析了用户请求发生的地理位置的概率分布，根据该分布和用户真实位置生成相应的隐匿空间范围，从而保证k-匿名保护的实现。在[4]中，作者分析并量化了服务质量与隐私保护之间的折中关系，以此用户可根据需求选择安全度和服务质量。

这类算法主要依靠牺牲LBS服务质量来实现用户隐私安全。一方面 LBS服务要求用户提供精确位置，以保证服务质量；另一方面隐私保护算法希望通过混淆掩盖等方法将用户精确信息保护起来，防止隐私泄露。

2.2.2 假地址技术

假地址技术是指利用假地址替代准确的地理位置信息。该技术主要思想是通过一定的策略生成多个假的或者错误的地理位置信息混淆真实的地理位置信息。用户将多个假地址连同真实的地理位置信息发送给 LBS服务器。服务器根据这些位置向用户提供一组服务信息，从而避免 LBS服务商直接获得用户的真实地理位置。理论上，当用户向LBS服务发送k个位置（包含真实位置）时，攻击者无法从这k个位置中识别用户的真实位置，从而实现k-匿名保护。虚假位置的生成策略是假地址能够保证隐匿真实地理位置信息的关键。在[5]中，作者考虑了旁路信息攻击，并基于信息熵设计了虚假信息的生成策略，从而保证实现k-匿名保护。

假地址技术的安全性的实现主要依靠假地址的数量。一方面用户希望使用更多的假地址混淆自己的地理位置信息；另一方面，大量的假地址信息将导致 LBS服务器需要回复额外的服务信息，从而增加通信和计算的消耗。

2.3 用户身份信息保护原则

身份隐匿技术主要思想是通过混淆用户身份信息来实现用户隐私信息k-匿名保护。该技术一般包括两种方法，假名技术和基于多跳的路由技术。

2.3.1 假名技术

假名技术一般是通过可信第三方为每位用户生成一个假名，用户在通信过程中利用假名进行通信。LBS服务商不能将用户真实身份和假名进行一一对应，从而无法推断出接受的地理位置信息属于哪位用户。理论上，当用户数为k时，该方法可以实现k-匿名保护。

但是，长期使用相同的假名，攻击者可以利用旁路信息发现假名和用户真实身份之间的关系。因此，研究者提出了动态假名技术。混淆区域（Mixzone）作为动态假名中被广泛研究[6]。混淆区域的主要思想是通过可信第三方生成一个混淆区域，当用户进入该区域后，用户将被第三方随机赋予一个假名，当该用户离开混淆区域，该假名可被重新赋予新进入的用户。为抵御假名链接攻击，用户可以在该区域使用不同的假名。如果混淆区域用户数为k时，混淆区域技术可以实现用户的k-匿名保护。

2.3.2 基于多跳的路由技术

匿名技术主要基于洋葱路由理念。洋葱路由技术将传输信息多层加密，加密信息通过一个代理序列（多个洋葱路由器）传输到达目的地。每层代理仅能解密获得下一跳中继代理信息，从而保证路由信息和传输信息内容不可知。用户通过洋葱路由可以匿名访问互联网，从而保护用户的隐私信息。LBS网络中，文献[7]提出用户将信息传递或者交换给随机遇到的其他中继用户，通过中继用户多跳将请求发送给LBS服务器，从而完成k-匿名保护。

假名技术的核心是通过隐藏用户的真实身份信息，切断用户的身份信息与地理位置信息的联系，从而使攻击者不能获知某个地理位置信息的真实所属用户。

2.4 基于密码的保护算法

2.4.1 基于匿名认证

匿名认证是指对用户进行身份认证同时不泄露用户的真实身份。在LBS中，匿名认证被引入用于保护LBS用户的地理位置信息安全。其中，盲签名和群签名在LBS服务中被广泛研究。

群签名的核心思想是一个群体中的任意一个成员可以以匿名的方式代表整个群体对消息进行签名。根据一个群签名，攻击者不能识别出这个群签名的真实的所有者身份，只能确定该签名属于这个群体。当群成员的数量为k时，该方法对用户实现了k-匿名保护。在文献[8]中，作者提出了一种具有阀值认证的群签名的机制。该方法不但可以保护群成员的地理位置信息隐私，同时在多个群成员的帮助下实现消息的可追踪性。

2.4.2 基于同态加密算法

同态加密是基于数学难题的计算复杂性理论的密码学技术。对经过同态加密的数据进行处理得到一个输出，将这一输出进行解密，其结果与用同一方法处理未加密的原始数据得到的输出结果是一样的。同态加密算法可以允许用户将加密的地理位置信息发送给 LBS服务提供商，该信息可以用于计算但是计算过程和结果不能反应出用户地理位置。

在[9]中，作者提出了针对路径信息规划的LBS的隐私保护协议。该协议利用同态加密算法，将不同的用户信息汇总上传至LBS服务商，LBS服务商将汇总的城市交通状况发送给请求用户，LBS服务商只能获得每个区域的车辆数量，无法获得每辆车的位置信息。在[10]中，作者结合了同态加密算法和空时隐匿技术的优点，既保证了用户的隐私信息不泄露，同时保证了 LBS的服务质量。

3 LBS隐私安全技术研究展望

基于地理位置信息技术在过去的几年里发展迅速，个人隐私问题也逐渐成为人们关注的重点。但是，学术界和工业界对个人隐私没有准确的定义和技术要求。同时，传统信息安全领域中对信息安全的要求（保密性，可用性，完整性）不能准确表达隐私安全的技术需求和规范。在LBS中，在向用户提供相应的LBS服务的同时，用户地理位置信息将被传输、使用甚至分享。用户地理位置信息不能对LBS服务商保密。因此，未来LBS隐私安全研究将更多关注研究隐私安全的明确定义和技术要求。同时，当前的研究缺少对隐私保护技术安全性的量化标准。因此，结合我们对当前隐私保护技术问题的总结，未来基于地理位置信息隐私安全技术研究可能更多的关注以下几点：

（1）基于地理位置信息服务隐私安全研究将更多关注研究隐私安全的明确定义和技术要求；

（2）隐私信息安全性的量化标准和计算方法；

（3）隐私安全技术保护的性能衡量，如服务质量、时延、能量等；

（4）隐私安全保护技术将考虑更复杂的互联网环境；

（5）隐私安全技术不仅需要保护用户隐私信息并且需要具备信息的可追踪性。

4 结论

基于地理位置信息服务应用是移动互联网最重要的应用之一。但是由于该应用要求移动用户上传个人隐私信息，隐私安全问题成为当前技术研究热点。本文针对基于地理位置信息服务（LBS）的安全需求、研究方向、理论基础、核心技术和发展方向进行了系统的分析和总结，有助于了解当前基于地理位置信息服务安全算法的研究现状和发展方向。