基于半可信服務(wù)器的位置隱私保護(hù)策略

陳 林，沈 航,2，白光偉，牛曉磊

(1.南京工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 211816；2.南京大學(xué) 計(jì)算機(jī)軟件新技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，江蘇 南京 210093)

0 引 言

隨著無(wú)線通信技術(shù)的發(fā)展，基于位置的服務(wù)開(kāi)始通過(guò)智能手機(jī)向用戶提供位置感知服務(wù)[1]。為保護(hù)用戶隱私不直接被LBS提供商獲取，提出了多種解決方案，其中較多的是通過(guò)可信第三方服務(wù)器[2]將用戶信息經(jīng)過(guò)加工再發(fā)送給LBS提供商。這種方法使LBS無(wú)法直接獲取用戶隱私，但是第三方服務(wù)器一般是具有計(jì)算能力的邊緣節(jié)點(diǎn)或其它移動(dòng)設(shè)備，容易被攻擊者攻擊，造成用戶隱私泄露。對(duì)此相關(guān)研究人員提出了許多隱藏位置的技術(shù)。Pahins和Stephens將這些隱藏真實(shí)位置信息的技術(shù)分為匿名和混淆[3]。雖然用戶在與第三方服務(wù)器共享數(shù)據(jù)之前，通過(guò)匿名方法呈現(xiàn)數(shù)據(jù)來(lái)保護(hù)隱私，但是，攻擊者可以通過(guò)背景知識(shí)，從假數(shù)據(jù)中推斷用戶的真實(shí)信息[4,5]。在混淆領(lǐng)域，信息在發(fā)送給第三方服務(wù)器前，真實(shí)位置被假的位置所取代?；诓罘蛛[私的噪聲是混淆領(lǐng)域中的主流技術(shù)[5,6]，該方法大多是將隨機(jī)噪聲用于混淆用戶的真實(shí)位置[7,8]。然而，隨機(jī)噪聲具有一定的概率分布，攻擊者使用統(tǒng)計(jì)方法推斷出真實(shí)位置。

本文提出基于半可信服務(wù)器的隱私保護(hù)方法，該方法中，用戶將信息發(fā)送給半可信服務(wù)器之前，對(duì)其真實(shí)位置進(jìn)行擾動(dòng)。與傳統(tǒng)的噪聲擾動(dòng)不同，該方法通過(guò)使用隨機(jī)函數(shù)來(lái)進(jìn)行擾動(dòng)，使得攻擊者無(wú)法通過(guò)傳統(tǒng)推測(cè)獲得真實(shí)數(shù)據(jù)。用戶在將擾動(dòng)后的請(qǐng)求發(fā)送給服務(wù)器后，服務(wù)器采用基于時(shí)間混淆的k匿名機(jī)制后發(fā)送給LBS。實(shí)驗(yàn)結(jié)果表明，本文提出的混淆算法能防止用戶被半可信服務(wù)器攻擊推測(cè)，減小了LBS成功重構(gòu)用戶軌跡的概率。

1 相關(guān)工作

近年來(lái)，針對(duì)第三方服務(wù)器和LBS服務(wù)器可能會(huì)帶來(lái)的隱私泄露問(wèn)題，相關(guān)研究人員提出了多種解決方案。

大多的解決方法是通過(guò)混淆技術(shù)向第三方服務(wù)器發(fā)送不準(zhǔn)確的位置來(lái)保護(hù)位置隱私。這個(gè)技術(shù)可以分為兩類：基于差分隱私(differential privacy)的噪聲和基于網(wǎng)格的方法。前者是通過(guò)在發(fā)送給第三方服務(wù)器前將隨機(jī)噪聲添加到準(zhǔn)確數(shù)據(jù)來(lái)實(shí)現(xiàn)保護(hù)位置隱私。在現(xiàn)有的工作中，添加的噪聲大都呈現(xiàn)高斯分布。攻擊者可以通過(guò)最小二乘法來(lái)推斷分布函數(shù)的類型，并且可以通過(guò)諸如最大似然估計(jì)的統(tǒng)計(jì)方法來(lái)獲得參數(shù)。當(dāng)獲得分布函數(shù)時(shí)，攻擊者可以通過(guò)統(tǒng)計(jì)方法推斷出真實(shí)位置。在基于網(wǎng)格的方法中，地圖被視為網(wǎng)格。并且一個(gè)網(wǎng)格中的所有位置將被相同的點(diǎn)(例如地標(biāo)或其它重要位置)替換[9,10]。基于網(wǎng)格的方法的缺點(diǎn)之一是位置精度低，會(huì)導(dǎo)致基于位置的服務(wù)質(zhì)量低下。最近，Embed sensors[11]和趙大鵬等[12]引入了一些新方法，但是這些技術(shù)不適用于基于第三方服務(wù)器中的位置數(shù)據(jù)。

匿名技術(shù)也已被廣泛用于保護(hù)用戶位置隱私，基于匿名方法的基本思想是在使用基于位置的服務(wù)時(shí)使用假數(shù)據(jù)。但是，攻擊者可以推斷出用戶的特征位置(如家庭，學(xué)校和公司)，然后從匿名數(shù)據(jù)中獲取用戶的身份[13]。k-anonymity模型是另一種被廣泛使用的技術(shù)，其關(guān)鍵是從真實(shí)請(qǐng)求中增加一些假的信息請(qǐng)求，使得每個(gè)信息請(qǐng)求在其它k-1請(qǐng)求中無(wú)法區(qū)分?，F(xiàn)在最新的概念是一種基于坐標(biāo)變換的k匿名位置隱私保護(hù)方法，用戶請(qǐng)求位置服務(wù)時(shí)，向匿名服務(wù)器發(fā)送經(jīng)過(guò)變換后的坐標(biāo)，匿名服務(wù)器可以在不知道用戶真實(shí)坐標(biāo)的情況下形成匿名區(qū)域[14]。文獻(xiàn)[15]采用了真實(shí)位置信息，將一個(gè)區(qū)域偽裝成一個(gè)可以輕易識(shí)別實(shí)際用戶位置的小區(qū)域，以此解決k匿名中的區(qū)域問(wèn)題。趙逢達(dá)等[16]提出了一種基于Unit的新路網(wǎng)模型，采用希爾伯特編碼對(duì)匿名區(qū)域進(jìn)行排序。這些通過(guò)匿名區(qū)域向第三方服務(wù)器發(fā)送請(qǐng)求，一定程度上保護(hù)了用戶的隱私，但是也造成了位置精度的損失，無(wú)法兼顧用戶的高服務(wù)質(zhì)量需求。

針對(duì)第三方服務(wù)器向LBS請(qǐng)求連續(xù)查詢，Hok等[17]設(shè)計(jì)了隱藏用戶軌跡的路徑混淆技術(shù)，而不是簡(jiǎn)單地隱藏用戶身份。文獻(xiàn)[18]使用(k-1)歷史軌跡來(lái)滿足基于軌跡的k匿名范式。由于軌跡被分解為一系列足跡，所提出的KAT技術(shù)隱藏了k軌跡上的足跡，包括服務(wù)用戶軌跡，但是當(dāng)用戶在移動(dòng)時(shí)，如果該路徑上沒(méi)有其他用戶，則LBS仍然可以輕松識(shí)別用戶的實(shí)際位置。雖然用戶軌跡受k匿名保護(hù)，但這項(xiàng)工作并未考慮可能引起隱私問(wèn)題的環(huán)境條件。文獻(xiàn)[19]通過(guò)考慮許多因素(例如，混合區(qū)幾何，用戶群和用戶的移動(dòng)模式)來(lái)提高道路網(wǎng)絡(luò)的攻擊彈性。林玉香等在文獻(xiàn)[20]中提出了一種通過(guò)路段間最短距離計(jì)算尋找匿名用戶的方法，解決了連續(xù)查詢環(huán)境下用戶匿名的問(wèn)題，盡管這些工作都在匿名方面保護(hù)了用戶位置不能被直接推測(cè)，但是它們都沒(méi)有考慮時(shí)間因素，LBS仍然可以根據(jù)所有觀察到的時(shí)間上相鄰的查詢推測(cè)可能的軌跡。

針對(duì)上述混淆和匿名中產(chǎn)生的問(wèn)題，本文提出了一種基于半可信服務(wù)器的隱私保護(hù)方法。該方法使用了隨機(jī)函數(shù)擾動(dòng)和時(shí)間混淆的技術(shù)，這可以有效防止半可信服務(wù)器和LBS服務(wù)器通過(guò)傳統(tǒng)的攻擊手段推測(cè)出用戶真實(shí)位置。

2 系統(tǒng)模型

本節(jié)將對(duì)提出的基于隨機(jī)函數(shù)混淆和時(shí)間擾動(dòng)k匿名的隱私保護(hù)方案做具體說(shuō)明。方便閱讀，將相關(guān)符號(hào)定義歸納為表1。

表1 相關(guān)符號(hào)及其意義

提出的保護(hù)機(jī)制使用的系統(tǒng)框架如圖1所示，該框架由移動(dòng)終端、半可信服務(wù)器、LBS服務(wù)器組成。

如圖1給出的經(jīng)過(guò)擾動(dòng)再k匿名的信息查詢框架，其中的符號(hào)含義歸納如下：

(1) (O1∈O)：u1表示原始用戶的個(gè)人身份，(x,y)即是用戶的真實(shí)位置，表示用戶的坐標(biāo)，s1為用戶的隱私語(yǔ)義(如可到達(dá)的地點(diǎn)，要購(gòu)買的商品等)集合，O1為用戶位置和秘密的笛卡爾積列表。

(2) (O′1)：x′表示用戶真實(shí)位置的經(jīng)度x在滿足用戶服務(wù)質(zhì)量的前提下，經(jīng)過(guò)隨機(jī)擾動(dòng)函數(shù)變換后的假經(jīng)度位置，同樣y′也是經(jīng)過(guò)函數(shù)擾動(dòng)后的假緯度位置，用戶的語(yǔ)義在變換過(guò)程中保持不變。

(3) (O′1,O2,…Ok)(Q)：Q表示半可信服務(wù)器在對(duì)用戶上傳的信息進(jìn)行k匿名后發(fā)送給LBS服務(wù)器的k個(gè)請(qǐng)求，其中k匿名中使用了時(shí)間擾動(dòng)方法。

圖1 基于半可信服務(wù)器的系統(tǒng)架構(gòu)

本文運(yùn)用傳統(tǒng)的方法對(duì)噪聲擾動(dòng)進(jìn)行推測(cè)攻擊，以此來(lái)評(píng)估用戶的隱私水平。如圖2所示，傳統(tǒng)的推測(cè)攻擊通過(guò)輸入和大量的輸出結(jié)果來(lái)推測(cè)出概率密度函數(shù)h() 和h(θ)， 通過(guò)密度函數(shù)、輸出的大量結(jié)果(x′,y′) 和已知的n，能夠推測(cè)出真實(shí)位置(x*,y*)。 (x*,y*) 和 (x,y) 的距離被用來(lái)量化推測(cè)誤差，具體推斷過(guò)程2.1節(jié)所示。

圖2 傳統(tǒng)噪聲攻擊推測(cè)

2.1 推測(cè)函數(shù)

將經(jīng)過(guò)擾動(dòng)函數(shù)f(x,y) 擾動(dòng)后的位置用(x′,y′) 表示，則

(1)

(2)

(3)

P(x)=P0+P1·x+P2·x2+…+Pm-2·xm-2

(4)

我們通過(guò)以下規(guī)則產(chǎn)生最優(yōu)多項(xiàng)式P(x)

P(A1)-F(A1)=+ε
P(A2)-F(A2)=-ε
……
P(Am)-F(Am)=±ε

(5)

將上述等式展開(kāi)，有

(6)

(3)在得到概率密度函數(shù)h() 和h(θ) 后，能夠計(jì)算出用戶的精確定位，過(guò)程如下

(7)

(8)

(9)

因?yàn)镈((x,y),(x′,y′))≤α， 得到∈[α,+α],θ∈[α,+α]。

概率密度函數(shù)用于定義隨機(jī)變量落入特定值范圍內(nèi)的概率。因此，h(ai) 指定落入接近ai的特定值范圍內(nèi)的概率。并且上述分析適用于bi,h(bi)。 因此，*和θ*可以被視為用于混淆真實(shí)數(shù)據(jù)的最高可能性的點(diǎn)。所以，使用 (x′-*,y′-θ*) 來(lái)近似精確位置 (x,y)。

在本文設(shè)計(jì)的混淆算法中，每個(gè)用戶都有一組函數(shù)，可以隨機(jī)選擇這些函數(shù)來(lái)混淆準(zhǔn)確的位置。因此，使用 Remez 算法或通過(guò)統(tǒng)計(jì)方法無(wú)法獲得近似的混淆函數(shù)。所以，與傳統(tǒng)的基于差分隱私噪聲的工作相比，本文的隱私保護(hù)算法在隱私保護(hù)方面實(shí)現(xiàn)了更好的效果。

2.2 時(shí)間混淆

隨著傳統(tǒng)的快照查詢逐漸被連續(xù)查詢?nèi)〈?，即使在k匿名的情況下，LBS服務(wù)器也能根據(jù)連續(xù)請(qǐng)求或最大移動(dòng)速度推斷出用戶的真實(shí)軌跡，因此本文采取了基于時(shí)間擾動(dòng)的k匿名，提高用戶隱私水平，相關(guān)定義如下：

定義1 移動(dòng)軌跡：T={lt1,lt2,…,ltn}，ltj是指在T軌跡上tj時(shí)刻的位置。

定義中的軌跡由用戶的一組位置組成，這些位置是由GPS設(shè)備跟蹤定位的。為了實(shí)現(xiàn)時(shí)間混淆，查詢處理器隨機(jī)選擇T上的一個(gè)ltj， 在一個(gè)隨機(jī)時(shí)間tj發(fā)出一個(gè)點(diǎn)查詢。換句話說(shuō)，查詢處理器不會(huì)定期從順序位置發(fā)出查詢。

定義2 查詢內(nèi)容m，m=(uid,ltj,k,s)， 其中uid是查詢用戶的id，ltj是指在T軌跡上tj時(shí)刻的位置，k表示k匿名，最后s是用戶查詢的語(yǔ)義內(nèi)容。

定義查詢信息m，在m發(fā)送給LBS之前，半可信服務(wù)器通過(guò)修改uid為pid，ltj改為ctj將m擾動(dòng)為查詢信息m*。

通過(guò)在半可信服務(wù)器上設(shè)置基于時(shí)間擾動(dòng)的k匿名混淆方法，能有效減小LBS服務(wù)器通過(guò)連續(xù)查詢排除虛假信息，重構(gòu)用戶移動(dòng)軌跡的概率，提高隱私水平。

3 隱私保護(hù)策略

本節(jié)對(duì)用戶的隱私需求進(jìn)行分析。通過(guò)在使用半可信服務(wù)器前，對(duì)用戶的真實(shí)位置提出了位置模糊算法。在滿足用戶服務(wù)質(zhì)量的前提下，設(shè)計(jì)了生成α擾動(dòng)函數(shù)算法，通過(guò)算法分析了用戶的需求和模糊策略。在半可信服務(wù)器中，本節(jié)使用了時(shí)間混淆的k匿名并對(duì)該算法進(jìn)行了分析。

3.1 位置模糊算法

在實(shí)現(xiàn)用戶位置的隨機(jī)擾動(dòng)上，通過(guò)混淆函數(shù)來(lái)生成模糊位置，提供了一種可以產(chǎn)生混淆函數(shù)的算法，模糊功能應(yīng)該滿足以下要求：

(1)準(zhǔn)確位置與由函數(shù)生成的假位置之間的歐幾里德距離應(yīng)該是有界的。

(2)對(duì)于R中的任何實(shí)際位置，模糊位置應(yīng)滿足(1)。

引入第一個(gè)要求的原因是，服務(wù)質(zhì)量是由基于位置服務(wù)中的位置準(zhǔn)確性決定的，在對(duì)用戶位置進(jìn)行模糊的同時(shí)也考慮到服務(wù)質(zhì)量的缺失。第二個(gè)要求即是設(shè)計(jì)的混淆函數(shù)算法應(yīng)該具有普遍適用性，即滿足一切實(shí)際位置的服務(wù)質(zhì)量要求。

令 (x,y) 是實(shí)際位置， (x′,y′) 是由函數(shù)f(x,y) 生成的混淆的位置。 (x,y) 和 (x′,y′) 之間的歐幾里德距離如下

(10)

D′表示所有真實(shí)位置及混淆后的位置之間的最大歐幾里德距離有

(11)

實(shí)現(xiàn)上述兩個(gè)要求的函數(shù)的定義如下：

定義3f(x,y) 是一個(gè)α擾動(dòng)函數(shù),考慮到用戶需要滿足自己的服務(wù)質(zhì)量的情況下，擾動(dòng)位置的范圍不能過(guò)大，所以設(shè)置參數(shù)α來(lái)限制D′。α是一個(gè)由用戶確定，代表了基于位置服務(wù)的數(shù)據(jù)精度要求的常數(shù)。即D′≤α。

許多函數(shù)在封閉區(qū)間內(nèi)有界，如多項(xiàng)式函數(shù)、三角函數(shù)、指數(shù)函數(shù)和它們的復(fù)合函數(shù)等，可以用來(lái)構(gòu)造R中有界的函數(shù)。然后通過(guò)設(shè)置合適的系數(shù)可以生成α擾動(dòng)函數(shù)。據(jù)此本文提出了一個(gè)模糊算法生成α擾動(dòng)函數(shù)。

算法1： 生成α擾動(dòng)函數(shù)

(1)Input：α,A←{g(x)|?c,T∈R,?x∈[0,T],|g(x)|≤c}

(2)Output：f(x,y)

(3) 從函數(shù)集A中隨機(jī)選擇兩個(gè)函數(shù)g1(x),g2(x)

(4)While|g1(x)|≤c1and|g2(x)|≤c2

(6)f(x,y)←(xf,yf)

(8)endwhile

(9)returnf(x,y)

定理1 由算法1生成的函數(shù)是α擾動(dòng)函數(shù)

因?yàn)槿我鈞∈[0,T1] 和y∈[0,T2]， 都存在 |g1(x)|≤c1,|g2(y)|≤c2， 所以D((x,y)(xf,yf))≤

根據(jù)定理1，算法1生成的函數(shù)滿足模糊功能的要求。

3.2 需求和模糊策略

雖然每個(gè)用戶都可以從算法1獲得特殊的混淆功能，但用戶的位置隱私尚未保留。攻擊者可以收集用戶的蹤跡，然后通過(guò)2.1節(jié)的推測(cè)方法推斷混淆函數(shù)，泄露用戶的準(zhǔn)確位置。本文指出，良好的隱私保護(hù)策略應(yīng)該具有以下2個(gè)屬性：

(1)當(dāng)位置被混淆時(shí)，應(yīng)該限制服務(wù)質(zhì)量的損失，即最大化服務(wù)質(zhì)量

(12)

(2)不應(yīng)通過(guò)隨機(jī)或近似方法從混淆數(shù)據(jù)推斷出準(zhǔn)確的位置

(13)

本節(jié)提出一種實(shí)用的混淆策略，稱為隨機(jī)函數(shù)混淆策略，該策略具有上述2個(gè)屬性。策略的關(guān)鍵思想是在使用基于位置的服務(wù)時(shí)隨機(jī)選擇混淆函數(shù)。具體的步驟如下：

步驟1 為每個(gè)用戶生成α混淆函數(shù)集RF，其中α由用戶給出，本文的用戶服務(wù)質(zhì)量用真實(shí)位置與混淆后位置的歐幾里得距離來(lái)衡量，即

(14)

步驟2 用戶當(dāng)需要對(duì)準(zhǔn)確的位置進(jìn)行模糊處理時(shí)，從RF中隨機(jī)選擇一個(gè)函數(shù)，其中 (x*,y*) 表示推測(cè)的用戶位置

(15)

該策略通過(guò)應(yīng)用混淆函數(shù)滿足要求。由于處理用戶真實(shí)位置的函數(shù)是不確定的并且隨著時(shí)間變化，用戶的可選函數(shù)集也發(fā)生變化，因此通過(guò)統(tǒng)計(jì)大量輸入輸出信息，運(yùn)用2.1節(jié)提出的傳統(tǒng)推測(cè)函數(shù)方法，推斷到的函數(shù)信息是單一的，不能推測(cè)得到具體幾個(gè)函數(shù)和函數(shù)的具體形式，充分保護(hù)的用戶隱私。

3.3 時(shí)間混淆算法

半可信服務(wù)器采用以下隱私保護(hù)機(jī)制：在用戶開(kāi)始行進(jìn)之前，服務(wù)器根據(jù)用戶的當(dāng)前位置和他們的目的地來(lái)從數(shù)據(jù)庫(kù)中選擇具有相關(guān)的歷史軌跡作為預(yù)測(cè)軌跡，如果沒(méi)有即歷史數(shù)據(jù)不存在，則使用基于Dijkstra算法來(lái)生成最短路徑軌跡。當(dāng)用戶在預(yù)測(cè)的軌跡上行進(jìn)時(shí)，半可信服務(wù)器通過(guò)k匿名發(fā)送k個(gè)請(qǐng)求，并在這些請(qǐng)求中使用時(shí)間混淆技術(shù)，即在不同時(shí)段發(fā)送下一刻的查詢請(qǐng)求以混淆LBS。具體的算法分析如算法2所示。

算法2： 時(shí)間混淆算法

(1)Input： (k,Tu)

(2)Output:QueryCell

(3) if (issueQuery(Tu)) 存在，則

(4)locu=getCur(Tu),UserQueryCell←getCellId(lu)

(5) /*否則隨機(jī)從Tu發(fā)送查詢*/

(6) if (RanIssueQuery(Tu)) 存在， 則

(7)UserQueryCell=getRandomCellId(Tu)

(8) /*發(fā)送查詢*/

(9)for(j=0ToMAX_QUERY_NUM)

(10)if (queryIndex==j)則

(11)QueryCell=UserQueryCell

(12) else

(13)QueryCell=getRandomCellId(r-Trajectory)

(14)Endfor

算法2中輸入包括兩個(gè)用戶隱私配置文件值k和用戶軌跡Tu。 當(dāng)用戶開(kāi)始朝目的地行走時(shí)，半可信服務(wù)器采用時(shí)間模糊技術(shù)隨機(jī)發(fā)送包括查詢時(shí)間的查詢，在該查詢時(shí)間用戶不發(fā)出查詢。執(zhí)行此方法直到用戶到達(dá)他/她的目的地。第(2)-(4)行檢查用戶在當(dāng)時(shí)是否發(fā)出查詢。如果是肯定的，則獲取用戶當(dāng)前占用空間所在的查詢單元。否則，在第(5)-(7)行中，系統(tǒng)決定是否以及在何處從Tu發(fā)出查詢。

4 性能分析

為了驗(yàn)證提出的位置隱私保護(hù)方案的性能，根據(jù)提出的方法，設(shè)計(jì)了一系列仿真實(shí)驗(yàn)。實(shí)驗(yàn)的軟硬件環(huán)境為Intel Core i5-2450M CPU，2.50 GHz，內(nèi)存為8 GB，Windows 10 64位操作系統(tǒng)，開(kāi)發(fā)工具為Visual Studio 2015和Matlab R2016a。

本節(jié)對(duì)提出的方案進(jìn)行評(píng)估，比較在使用半可信服務(wù)器的情況下，傳統(tǒng)算法和本文的隨機(jī)函數(shù)擾動(dòng)算法(RF)帶來(lái)的用戶服務(wù)質(zhì)量的差別和隱私保護(hù)的效果的不同。通過(guò)合成數(shù)據(jù)集的技術(shù)現(xiàn)狀，報(bào)告了各種參數(shù)設(shè)置條件下的結(jié)果質(zhì)量。同時(shí)，針對(duì)用戶的連續(xù)查詢，比較了在半可信服務(wù)器下傳統(tǒng)的k匿名和基于時(shí)間擾動(dòng)的k匿名所帶來(lái)的保護(hù)效果的差別。

在對(duì)比實(shí)驗(yàn)中，使用最常用的基于位置的服務(wù)算法，在精確的位置上加入高斯和均勻噪聲。

4.1 服務(wù)質(zhì)量比較

為了研究不同混淆算法的服務(wù)質(zhì)量，在圖3中，通過(guò)精確路徑和模糊位置之間的距離來(lái)測(cè)量結(jié)果。因?yàn)樵诖蠖鄶?shù)基于位置的服務(wù)中，高精確度實(shí)現(xiàn)了高服務(wù)質(zhì)量，從圖3(a)和圖3(b)可以看出，與高斯和均勻方法相比，RF生成的模糊數(shù)據(jù)更接近真實(shí)路徑，服務(wù)質(zhì)量更高。因?yàn)橄啾容^傳統(tǒng)的高斯噪聲擾動(dòng)和均勻噪聲擾動(dòng)，本文提出的隨機(jī)函數(shù)擾動(dòng)是在保證用戶服務(wù)質(zhì)量的基礎(chǔ)上設(shè)計(jì)的，即限制了真實(shí)位置和假位置之間的距離，實(shí)現(xiàn)高質(zhì)量服務(wù)。

圖3 比較3種不同的基于噪聲的方法

4.2 誤差推斷

為了研究3種技術(shù)在隱私保護(hù)方面的能力，本文使用傳統(tǒng)的推測(cè)方法從模糊的位置計(jì)算出近似路徑。在圖4中，通過(guò)隨機(jī)函數(shù)擾動(dòng)算法生成的精確數(shù)據(jù)與推測(cè)位置之間的距離來(lái)衡量位置隱私，距離越大，隱私保護(hù)效果越好。

圖4 推測(cè)路徑對(duì)比實(shí)際路徑

本節(jié)實(shí)現(xiàn)了3種模糊方法的比較，觀察到除RF外，其它兩個(gè)方法被推測(cè)到的模糊路徑與實(shí)際路徑非常接近。也就是說(shuō)，攻擊者可以通過(guò)高斯和均勻方法生成的數(shù)據(jù)中推測(cè)到接近真實(shí)位置的路徑。而在圖4(a)和圖4(b)中，RF生成的路徑是不規(guī)則的。因此，攻擊者很難收集到任何有用的信息來(lái)推斷真實(shí)的路徑。這是因?yàn)槲覀兊碾S機(jī)函數(shù)擾動(dòng)算法(RF)是通過(guò)從一個(gè)函數(shù)集中，隨機(jī)選擇函數(shù)來(lái)對(duì)真實(shí)位置進(jìn)行擾動(dòng)，攻擊者無(wú)法通過(guò)傳統(tǒng)的輸入輸出來(lái)進(jìn)行真實(shí)函數(shù)的推測(cè)。

在都使用R2函數(shù)集的情況下，對(duì)比圖4(a)和圖4(b)，當(dāng)α值越大時(shí)，假位置與真實(shí)位置之間的距離越大，攻擊者推測(cè)的路徑也更加模糊。

4.3 隱私水平比較

本小節(jié)比較了3種隱私方法：①RFKT(隨機(jī)擾動(dòng)下的時(shí)間混淆k匿名)；②RFK(隨機(jī)擾動(dòng)下的傳統(tǒng)k匿名)；③RF(只進(jìn)行隨機(jī)擾動(dòng))。為更好判斷隱私效果，本節(jié)采用同一個(gè)函數(shù)集R3進(jìn)行比較，在圖5(a)中k=5，圖5(b)中k=10。

圖5 3種方法的隱私水平

可以看到在圖5(a)、圖5(b)中，本文提出的在半可信匿名服務(wù)器中使用基于時(shí)間混淆的k匿名(RFKT)獲得的隱私水平最高且隨著α的增大，真實(shí)位置與假位置之間的距離增大，用戶的隱私水平也上升。盡管基于基本k匿名(RFK)方法滿足k-anonymity范式，但是它不考慮查詢發(fā)布時(shí)間因素，因此，根據(jù)連續(xù)查詢，攻擊者可以排除掉一些虛假的軌跡信息，重構(gòu)半可信服務(wù)器中用戶的真實(shí)軌跡。所以基于時(shí)間混淆的k匿名隱私水平比傳統(tǒng)的k匿名高。相比較RFK，不基于半可信服務(wù)器，只是通過(guò)用戶隨機(jī)擾動(dòng)方法，取得的隱私水平更低，這種情況下，用戶與LBS直接通信，將個(gè)人信息展現(xiàn)給攻擊者，缺少了第三方服務(wù)器的k匿名包裝，攻擊推測(cè)用戶的真實(shí)信息會(huì)變得更直接，用戶的隱私水平也會(huì)最低。

在都使用同一個(gè)混淆方法的情況下，從圖5(a)和圖5(b)中可以得到，k匿名中的k值越大，隱私水平越高。其中，對(duì)比其它兩個(gè)方法，本文提出的方法隨著k變大，隱私水平變化最大，表明了我們的基于半可信服務(wù)器的時(shí)間混淆方法在連續(xù)查詢上提供了更好的隱私保護(hù)效果。

5 結(jié)束語(yǔ)

本文在解決第三方服務(wù)器容易引發(fā)隱私泄露問(wèn)題中，提出了一種基于半可信服務(wù)器的隱私保護(hù)方法，在該方法中設(shè)計(jì)了隨機(jī)函數(shù)擾動(dòng)算法和時(shí)間混淆的k匿名機(jī)制。用戶將請(qǐng)求發(fā)送給半可信服務(wù)器前，在保證服務(wù)質(zhì)量基礎(chǔ)上，隨機(jī)選擇混淆函數(shù)對(duì)真實(shí)位置進(jìn)行擾動(dòng)，再通過(guò)半可信服務(wù)器使用基于時(shí)間混淆的k匿名。結(jié)果表明，該方法能有效地防止攻擊者通過(guò)傳統(tǒng)的信息統(tǒng)計(jì)和連續(xù)查詢，推測(cè)用戶的真實(shí)位置，實(shí)現(xiàn)了很好的隱私保護(hù)效果。

但是，在對(duì)服務(wù)質(zhì)量要求更高的今天，如何平衡位置擾動(dòng)后的隱私效果和質(zhì)量需求，減小服務(wù)器處理的時(shí)延消耗依舊是個(gè)很大的挑戰(zhàn)，也是下一步我們的研究工作。