基于移動(dòng)終端位置的隱私泄露及隱私保護(hù)方法概述

李彬 高宗寧 崔 蘇

(中國科學(xué)院信息工程研究所 北京 100195)(libin@iie.ac.cn)

近年來，隨著手機(jī)等移動(dòng)終端的普及和3G，4G，WiFi等通信技術(shù)的發(fā)展，移動(dòng)互聯(lián)網(wǎng)正滲透到人們工作、生活的各個(gè)領(lǐng)域，即時(shí)通信、移動(dòng)支付、電子商務(wù)、視頻、廣告、閱讀、醫(yī)療、旅行等移動(dòng)互聯(lián)網(wǎng)應(yīng)用迅猛發(fā)展，深刻改變了信息時(shí)代的社會(huì)生活.與傳統(tǒng)的互聯(lián)網(wǎng)不同，移動(dòng)互聯(lián)網(wǎng)具有實(shí)時(shí)性、便攜性、可定位化的特點(diǎn)，這使得基于位置的服務(wù)(location-based services, LBS)在移動(dòng)互聯(lián)網(wǎng)中得到廣泛的應(yīng)用.

基于位置的服務(wù)是指通過電信運(yùn)營商的無線通信網(wǎng)絡(luò)或外部定位方式，獲取移動(dòng)終端的位置信息，在地理信息系統(tǒng)平臺(tái)的支持下，為用戶提供與其當(dāng)前位置相關(guān)的個(gè)性化的服務(wù).一般來講，基于位置服務(wù)的工作流程為:1)移動(dòng)用戶通過移動(dòng)定位技術(shù)獲取自身位置信息；2)用戶將其位置信息與服務(wù)請(qǐng)求發(fā)送給位置服務(wù)提供商(location-based service provider, LBSP)；3)LBSP基于用戶的位置信息為用戶提供相應(yīng)的個(gè)性化服務(wù).然而，人們?cè)谙硎芑谖恢玫姆?wù)帶來巨大便利的同時(shí)，也面臨著隱私泄露的風(fēng)險(xiǎn)[1].用戶在使用基于位置的服務(wù)時(shí)需將其位置發(fā)送給服務(wù)提供商，但位置數(shù)據(jù)不僅直接包含了用戶的位置信息，還隱含了用戶的個(gè)性習(xí)慣、健康狀況、政治傾向、社會(huì)地位等敏感信息.用戶提交的位置數(shù)據(jù)存在著被服務(wù)提供商或第三方組織濫用的風(fēng)險(xiǎn)，這給用戶各方面隱私帶來巨大的威脅，在軍事用途或保密場合中甚至可以威脅到國家安全和生命安全.

由此可見，位置數(shù)據(jù)對(duì)于用戶非常重要，只有為用戶提供有效的隱私保護(hù)后才可能有更多的用戶愿意使用基于位置的服務(wù)，并將自己的位置信息提交給位置服務(wù)提供商.因此，位置隱私能否得到妥善保護(hù)己成為制約移動(dòng)互聯(lián)網(wǎng)發(fā)展的瓶頸問題.

1 目前主流的定位服務(wù)技術(shù)及特點(diǎn)

當(dāng)前存在多種定位技術(shù)，主要有以下幾類：

1) 衛(wèi)星定位技術(shù).衛(wèi)星定位技術(shù)指終端通過捕獲到按一定衛(wèi)星截止角所選擇的待測衛(wèi)星，進(jìn)而測量出接收天線至衛(wèi)星的偽距離和距離的變化率等數(shù)據(jù)，根據(jù)測量出的已知位置的衛(wèi)星到接收機(jī)之間的距離，綜合多顆衛(wèi)星的數(shù)據(jù)最終計(jì)算出終端所在的具體位置信息.目前全球主要的衛(wèi)星定位系統(tǒng)有美國GPS系統(tǒng)、中國北斗衛(wèi)星導(dǎo)航系統(tǒng)、歐盟伽利略定位系統(tǒng)以及俄羅斯GLONASS系統(tǒng).

2) 基站定位技術(shù).基站定位技術(shù)主要采用三角測量的定位原理實(shí)現(xiàn).三角測量原理包括鏈路三角定位(advanced forward link trilateration, AFLT)技術(shù)、增強(qiáng)型觀測時(shí)間差(enhanced-observed time difference, E-OTD)定位技術(shù)、觀測到達(dá)時(shí)間差(observed time difference of arrival, OTDOA)等.其中，E-OTD技術(shù)用于GSM網(wǎng)絡(luò)，AFLT用于CDMA系統(tǒng)，OTDOA主要用于UMTS網(wǎng)絡(luò).E-OTD技術(shù)中定位終端通過測量來自于多個(gè)BTS信號(hào)的到達(dá)時(shí)間差，從而計(jì)算BTS到終端的時(shí)間延遲來確定終端位置；AFLT技術(shù)采用基站導(dǎo)頻相位測量，通過來自3個(gè)基站信號(hào)的時(shí)間差，確定終端位于圍繞任意2個(gè)基站的1個(gè)特定的橢圓中，3個(gè)橢圓的交點(diǎn)即為定位終端的位置；OTDOA技術(shù)通過測量不同基站的下行導(dǎo)頻(DwPTS)信號(hào)，得到1組基站下行導(dǎo)頻的TOA，根據(jù)測量結(jié)果并結(jié)合基站坐標(biāo)采用合適的位置估計(jì)算法計(jì)算出終端的位置.

3) 第三方定位服務(wù)技術(shù).該技術(shù)是指終端收集周邊環(huán)境的無線信號(hào)信息，將該信息上報(bào)給第三方定位服務(wù)器，定位服務(wù)器通過查找數(shù)據(jù)庫中已有的環(huán)境無線信息描述找到最匹配的信息，隨后把該位置的經(jīng)緯度作為定位結(jié)果返回給定位發(fā)起者.位置信息匹配式定位技術(shù)的關(guān)鍵點(diǎn)為：場景位置數(shù)據(jù)庫、場景信息收集方法和匹配算法.其中場景位置數(shù)據(jù)庫記錄了可定位點(diǎn)周邊的無線信號(hào)信息，該信息可以通過用戶自學(xué)習(xí)方式進(jìn)行采集，隨著用戶和數(shù)據(jù)點(diǎn)的增多，定位精度和可用性將不斷提高.

衛(wèi)星定位的優(yōu)點(diǎn)是能夠在全球范圍內(nèi)實(shí)現(xiàn)覆蓋，定位精度高，其定位半徑可以達(dá)幾米，且安全性較強(qiáng)；缺點(diǎn)是定位工作過程與定位精度受環(huán)境影響較大，例如GPS定位過程需要接收至少4顆衛(wèi)星信號(hào)，在室內(nèi)以及有遮擋區(qū)域定位精度受限.此外，近年來衛(wèi)星定位技術(shù)本身的隱私性也常常受到質(zhì)疑.基站定位精度取決于定位地點(diǎn)所處的基站覆蓋密度.如果基站多定位則相對(duì)準(zhǔn)確；如果定位區(qū)域基站少那么定位就不那么精確，定位精度因此會(huì)變得較差，其精度范圍可從幾米到幾百米不等.第三方定位服務(wù)技術(shù)相比衛(wèi)星與基站定位有較強(qiáng)的區(qū)域適應(yīng)性，在室內(nèi)和復(fù)雜區(qū)域環(huán)境下能夠良好地定位，但面臨著來自第三方定位服務(wù)器自身安全性以及其他惡意攻擊者的威脅.表1為不同定位技術(shù)的特點(diǎn)：

表1 不同定位技術(shù)特點(diǎn)

2 移動(dòng)終端位置隱私面臨的主要問題

用戶使用定位服務(wù)的過程中，如何保護(hù)其位置隱私顯得尤為重要.多數(shù)情況下，定位服務(wù)提供者(SP)必須首先獲知用戶位置才能提供服務(wù)，其中不僅包含地理坐標(biāo)信息，通過對(duì)位置的觀察和分析，SP還能夠通過大數(shù)據(jù)分析獲知大量其他隱私信息，其中包括用戶的工作地點(diǎn)、家庭住址、慣用路線、生活習(xí)慣等.由于SP的不可信性，用戶將位置發(fā)送給SP時(shí)將面臨個(gè)人隱私泄露的風(fēng)險(xiǎn).如何在充分利用位置服務(wù)提供便利的同時(shí)，保證用戶隱私安全是應(yīng)用中亟待解決的問題.

移動(dòng)互聯(lián)網(wǎng)環(huán)境下，研究位置隱私保護(hù)的一個(gè)需要考慮的問題是位置信息采集的安全性，即定位過程中存在哪些安全隱患.隨著定位技術(shù)趨于多樣化，定位功能本身也己經(jīng)成為一種第三方服務(wù).該過程中位置信息會(huì)被定位服務(wù)的提供者(location provider, LP)獲得，因此也產(chǎn)生了和用戶與SP之間類似的位置隱私問題. 盡管當(dāng)今的LP是由谷歌、微軟、蘋果、百度等此類國內(nèi)外IT巨頭擔(dān)任，其安全防護(hù)能力與一般SP相比而言相對(duì)較高，但單憑這點(diǎn)無法消除移動(dòng)互聯(lián)網(wǎng)用戶對(duì)自身位置隱私的顧慮，2013年爆發(fā)的Google協(xié)同美國NSA棱鏡計(jì)劃利用其定位服務(wù)追蹤用戶位置的丑聞足以說明這一點(diǎn)[2].如何保護(hù)用戶在使用定位服務(wù)過程中的位置隱私同樣是實(shí)際應(yīng)用中亟待解決的問題.

3 移動(dòng)終端位置隱私保護(hù)技術(shù)與方法

移動(dòng)終端位置隱私保護(hù)技術(shù)是讓位置服務(wù)提供商和惡意攻擊者不能或者無法輕易獲得用戶的真實(shí)位置相關(guān)信息(地理坐標(biāo)、終端信息、身份標(biāo)識(shí)等)的防護(hù)方法.當(dāng)前的位置隱私保護(hù)技術(shù)可以大致分為3類：位置模糊、身份隱藏和信息加密.位置模糊類方法通過擴(kuò)大或者改變用戶的真實(shí)位置，即用模糊的或者不準(zhǔn)確的位置代替精確位置，利用降低用戶位置信息的準(zhǔn)確度來達(dá)到位置隱私保護(hù)的目的；身份隱藏類方法保留了用戶的準(zhǔn)確位置信息，這樣就保證了服務(wù)質(zhì)量，而將用戶的身份信息通過一定的技術(shù)方法隱藏起來；信息加密類方法采用加密手段在位置信息使用過程中隱藏用戶隱私，使得惡意攻擊者即使得到了用戶的敏感數(shù)據(jù)，也無法破解出真實(shí)信息或者用戶真實(shí)身份.

3.1 位置模糊

位置模糊是指是故意降低用戶位置的空間粒度實(shí)現(xiàn)位置隱私保護(hù)，以及模糊位置信息和降低位置信息的空間粒度.其主要目的就是保護(hù)用戶在享受位置服務(wù)時(shí)的真實(shí)位置信息，因此需要在將查詢請(qǐng)求發(fā)送到服務(wù)提供商之前對(duì)位置信息進(jìn)行模糊處理.目前存在3種位置模糊方法：虛假位置、地標(biāo)技術(shù)和模糊空間.

1) 虛假位置.虛假位置指用戶用幾個(gè)假冒的位置代替自身所處的真實(shí)位置來發(fā)送服務(wù)請(qǐng)求.在這類位置隱私保護(hù)方法中，用戶不僅向位置服務(wù)器發(fā)送自己的真實(shí)坐標(biāo)，而且以一定的策略生成1組假位置同時(shí)發(fā)送出去，這些假位置用來掩護(hù)真實(shí)位置.真假位置在位置服務(wù)提供端是無法區(qū)分的，服務(wù)器必須查詢出所有相關(guān)位置的服務(wù)請(qǐng)求，返回候選結(jié)果集，然后由用戶根據(jù)自身的真實(shí)位置來判斷所需的服務(wù)結(jié)果.這種方法增加了服務(wù)器的查詢處理開銷，同時(shí)要求用戶有判斷結(jié)果準(zhǔn)確性的能力.

2) 地標(biāo)技術(shù).為了解決虛假位置技術(shù)對(duì)服務(wù)器性能的影響問題，文獻(xiàn)[3]提出了地標(biāo)技術(shù)，它是虛假位置技術(shù)的一種特殊形式.與虛假位置技術(shù)不同的是，用戶采用一個(gè)標(biāo)志性的地理位置來代替其真實(shí)位置，位置服務(wù)器通過對(duì)這個(gè)標(biāo)志性地理位置的處理來提供服務(wù).這樣攻擊者就只能得知用戶在這個(gè)標(biāo)志性的地理位置附近出現(xiàn)過，而無法確定其精確的位置，從而保護(hù)了用戶的位置隱私.可以看出，地標(biāo)位置與真實(shí)位置的距離遠(yuǎn)近會(huì)直接影響到基于位置服務(wù)的質(zhì)量.

3) 模糊空間.模糊空間是指用一個(gè)空間區(qū)域來代替用戶的真實(shí)位置坐標(biāo).區(qū)域的大小形狀不限，一般根據(jù)用戶的隱私保護(hù)需求和服務(wù)質(zhì)量要求確定.與虛假位置方法類似，位置服務(wù)器只知道用戶在這個(gè)模糊空間內(nèi)，而無法得知真實(shí)的位置信息.同樣地，由于模糊空間降低了用戶的位置精度，服務(wù)質(zhì)量會(huì)根據(jù)區(qū)域的大小成反比例下降，并且該方法也面臨服務(wù)器處理開銷增大的問題.

3.2 身份隱藏

如果攻擊者不知道用戶是誰，那么即使他得到了用戶的真實(shí)位置，能夠造成的危害也會(huì)小很多，因此如何隱藏用戶的真實(shí)身份是當(dāng)前研究的熱點(diǎn)之一.目前存在3種身份隱藏方法：匿名技術(shù)、假名技術(shù)、混合區(qū)(mix zone)方法.

1) 匿名技術(shù).匿名技術(shù)關(guān)注的是如何將用戶的位置信息與真實(shí)身份信息(如移動(dòng)終端標(biāo)識(shí)、用戶IMSI標(biāo)識(shí)、電話號(hào)碼等)分開，切斷位置和身份之間的聯(lián)系.具體方法可以采用Sweeney[4]于1998年提出的k-匿名技術(shù)[5]，通過使一個(gè)空間區(qū)域內(nèi)k個(gè)用戶的身份不可區(qū)分，即使某個(gè)用戶的位置信息被惡意的位置服務(wù)器或者攻擊者獲得，他們也無法推測出到底是哪個(gè)用戶發(fā)起的哪個(gè)位置服務(wù)請(qǐng)求.k-匿名技術(shù)主要關(guān)注查詢隱私的保護(hù)，其本質(zhì)是使查詢發(fā)送者不可區(qū)分，即切斷用戶身份與查詢內(nèi)容的聯(lián)系，抵抗攻擊者通過查詢內(nèi)容推理出用戶的隱私信息.

2) 假名技術(shù).假名技術(shù)是身份匿名的一種特殊形式，其主要思路是讓用戶在發(fā)送位置服務(wù)請(qǐng)求時(shí)采用虛假的用戶身份來代替真實(shí)的用戶身份，這樣也就使得服務(wù)提供商無法收集用戶身份與位置的關(guān)聯(lián)關(guān)系.即使非法攻擊者通過特殊的技術(shù)手段獲得了用戶的位置信息，由于用戶的身份是虛假的，這樣就大大降低了真實(shí)用戶面臨的安全風(fēng)險(xiǎn).Duckham和Kulik[6]提出了一種基于假點(diǎn)的用戶身份隱藏方案，該方案通過把一些虛擬用戶以相同的概率插入到真實(shí)用戶的位置周圍來達(dá)到隱私保護(hù)的效果.

3) 混合區(qū)方法.Beresford和Stajano[7]最早提出了混合區(qū)(mix zone)身份保護(hù)方法，即在混合區(qū)域用戶可以使用任意假名代替自己的真實(shí)ID.該方法將用戶訪問過的空間區(qū)域分為應(yīng)用區(qū)域和混合區(qū)域.在應(yīng)用區(qū)域中，用戶可以提出位置服務(wù)請(qǐng)求和接收服務(wù)信息；在混合區(qū)域中用戶禁止使用基于位置服務(wù)，同時(shí)用戶在離開混合區(qū)域時(shí)需要更換自己的假名.采用該方法攻擊者無法預(yù)測用戶在混合區(qū)域內(nèi)停留的時(shí)間，并且用戶在混合區(qū)域中沒有使用位置服務(wù)，因此攻擊者很難將同一用戶使用的不同假名相關(guān)聯(lián).這樣非法人員就無法繼續(xù)追蹤目標(biāo)，從而達(dá)到保護(hù)用戶身份信息的目的.

3.3 信息加密

信息加密技術(shù)是最基本的安全防護(hù)方法，通過將明文改變成不可讀的密文，從而起到保護(hù)敏感信息的目的.同樣地，信息加密的方法也可以應(yīng)用到位置隱私保護(hù)領(lǐng)域，由于每個(gè)位置信息的處理和查詢都是基于密文的，這就使得非法攻擊者無法解密出用戶真實(shí)的位置和身份信息.Khoshgozaran等人[8]提出了一種基于密碼學(xué)的位置隱私保護(hù)方法，與傳統(tǒng)的k-匿名、假名和混合區(qū)方案不同的是，該方案帶來的計(jì)算和通信開銷非常小，而且在查詢請(qǐng)求時(shí)不需要依賴于可信的中間匿名服務(wù)器.

傳統(tǒng)的信息加密機(jī)制能夠保護(hù)數(shù)據(jù)的機(jī)密性，但是大多依賴于公鑰基礎(chǔ)設(shè)施，資源提供方只有獲取用戶的真實(shí)公鑰證書之后才能加密.屬性基加密(ABE)[9]的提出解決了這一缺陷，它常用于設(shè)置靈活的訪問控制策略.通過把身份標(biāo)識(shí)看成是一系列的屬性，只有當(dāng)ABE中解密者的身份信息和信息加密者描述的信息一致時(shí)，才可以解密加密者加密的信息.ABE應(yīng)用在位置隱私保護(hù)中，可以在位置信息發(fā)布時(shí)提供加密，只允許有特殊屬性的用戶可以解密這些信息.Guo等人[10]設(shè)計(jì)了基于屬性隱私保護(hù)的移動(dòng)傳播方案，確保移動(dòng)用戶信息保密，加密解密機(jī)制依靠用戶權(quán)限，提出了一種保護(hù)隱私的相互身份驗(yàn)證方案.

4 針對(duì)定位服務(wù)的終端位置隱私保護(hù)方法

針對(duì)定位服務(wù)中的位置隱私保護(hù)技術(shù)主要有基于隱私政策的位置隱私保護(hù)和位置欺詐防御技術(shù).隱私政策基于二元選擇的用戶協(xié)議.當(dāng)用戶開啟其移動(dòng)設(shè)備的定位服務(wù)時(shí)，可以選擇同意或拒絕LP采集用戶周邊的各類接入點(diǎn)信息，用戶必須明確地同意LP采集其相關(guān)數(shù)據(jù)后，LP才能夠進(jìn)行數(shù)據(jù)采集，這從一定程度上保護(hù)了用戶的位置隱私.圖1是安卓系統(tǒng)下百度定位服務(wù)的請(qǐng)求提示.

圖1 百度定位服務(wù)的隱私政策

但當(dāng)前隱私政策單一，往往僅限于用戶對(duì)服務(wù)條款的二元選擇(是或否).應(yīng)該研究并使用較為完善的位置隱私政策，包括采集頻度政策、粒度控制政策、匿名政策等多種隱私保護(hù)政策.可以采用Damiani等人[11]提出如圖2所示的位置隱私政策管理架構(gòu)模型.在用戶與 LP 之間添加TTP作為定位請(qǐng)求管理器，相關(guān)隱私政策由專門的政策管理器管理.請(qǐng)求管理器將相關(guān)隱私政策和用戶的隱私需求向LP安全地請(qǐng)求位置信息.

圖2 定位服務(wù)中的隱私政策架構(gòu)

5 結(jié) 語

移動(dòng)互聯(lián)網(wǎng)時(shí)代的來臨，使基于位置的服務(wù)成為人們最為常用的信息服務(wù)類型，未來也勢必進(jìn)一步改變?nèi)祟惖纳罘绞?在移動(dòng)互聯(lián)網(wǎng)中，如何保護(hù)用戶的位置隱私是移動(dòng)互聯(lián)網(wǎng)能夠進(jìn)一步普及和發(fā)展的重要安全保證.當(dāng)前的各類相關(guān)研究向我們展示了位置隱私保護(hù)的可行性，以及技術(shù)上的不斷進(jìn)步.相信隨著位置隱私保護(hù)技術(shù)的不斷完善和進(jìn)步，移動(dòng)互聯(lián)網(wǎng)將更加深入地融入人類生活的各個(gè)領(lǐng)域.