源位置隐私范文

源位置隐私范文（精选7篇）

源位置隐私 第1篇

无线传感器网络(Wireless Sensor Networks,WSN) 由普通传感器节点(Node)和基站(也叫汇聚节点,Sink Node)组成,集感知、通信和数据处理于一体,扩展了人们的信息获取能力［１］。在基于事件驱动的WSN中,距离监测事件最近的节点被称为源节点(Source Node),在某一时刻,任意一个传感器节点都有可能成为一个源节点。节点一旦监测到事件,便产生事件消息并发送给基站［２］。然而,共享的无线传输媒介使得敌方很容易定位消息发送者。所以,敌方虽然不能获取加密后的数据包内容,却能够逆向、逐跳追踪源节点位置。 在目标追踪和监测型WSN应用中,源节点位置的暴露将严重威胁到监测对象的安全。例如,大量传感器节点部署在野外监测珍稀动物或者散布于战场获得军队的实时消息。动物的位置不能被偷猎者获知,军队的位置不能被对方掌握。因此,源节点的物理位置隐私保护成了一个值得研究的问题。

此外,传感器节点通常使用电池供电,节点尺寸、计算能力、存储空间和能量资源等都受到限制。数据包发送能耗也远远大于计算能耗,传感器节点发送1bit数据消耗的能量可以被用来执行3 000条计算指令［３］。因此,在网络运行过程中如何节省能量,从而最大限度提高网络生命周期,是安全策略设计需要兼顾的问题。

1 WSN源位置隐私保护技术

经典的源位置隐私保护问题即为“熊猫-猎人博弈” 模型［４］。在该模型中,传感器节点散布在森林中监测熊猫的生活习性。每个熊猫身上安装一个发射器,当熊猫距离某个节点足够近时,节点能够接收到来自熊猫的信号并成为源节点。源节点每隔一段时间产生与熊猫相关的事件消息并将消息通过逐跳的方式发送给基站。如图1所示, 节点n４为源节点并产生事件消息,该消息分别被节点n３, n２和n１转发后到达基站。攻击者的追踪流程为:基站→ n１→n２→n３→n４。显然,若源节点采用唯一不变的路径(即n４→n３→n２→n１)持续发送若干消息,攻击者经过四跳后即能追踪至源节点并发现熊猫。

2源位置隐私面临的安全威胁:流量分析攻击

已有研究假定攻击者具有足够大的存储空间和强大的计算能力［５］。根据攻击者监听范围的不同,源位置攻击分为两类:全局流量攻击［６］和局部流量攻击［７］。

(1)全局流量攻击。全局流量分析攻击者是一种很有威胁的强攻击者,能够对整个网络的通信流量进行监测。 有两种方法可以实现全局流量分析攻击:1攻击者通过部署一个由大量廉价的监听设备组成的偷听网络来监测目标网络流量;2部署几个强有力的节点来监听整个网络。然而,用于监测野外环境和战地的传感器网络大多覆盖面积广,例如唐家河国家级自然保护区面积40 000hm２。显然,攻击者很难对如此巨大的传感器网络进行全局流量监测。

(2)局部流量攻击。局部流量攻击者利用某种特定的无线信号定位装置来定位无线信号的来源,以此来反向逐跳追踪数据包的传输过程。攻击者所配备的无线信号定位装置与普通传感器节点的通信能力相当,通常只能监听距离攻击者几跳范围内的无线信号。

基于局部流量分析的攻击者还分为:有耐心的攻击者和谨慎的攻击者。前者,攻击者监听消息并朝着消息的发送方移动,在其移动过程中,若攻击者监听到有其它节点发送的消息,攻击者忽略该信息。后者,攻击者可以抵御假包策略,能够记录其所经历的每一跳,当攻击者在一段时间内监听不到新的消息时,认为自己被假包迷惑,回跳到原追踪路径上。两种攻击者的追踪过程分别如图2、图3所示。

3基于幻影源的源节点位置隐私保护路由协议

针对具有局部流量监测能力的攻击者,Ozturk等［８］于2004年首次提出了无线传感器网络中的源位置隐私保护问题,国内外研究者也提出了一些源位置隐私保护策略。本文主要讨论基于幻影源的源节点位置隐私保护路由协议,此类协议就是通过随机路由策略产生一个幻影源,这些幻影源远离真实源节点,使攻击者很难追踪到真实源,从而保护了源节点的位置隐私。图4展示了幻影源节点的分布,表1列出了几种具有代表性的基于幻影源的源位置隐私保护协议。

4路由过程中动态调整节点发射半径

与一般的无线网络不同,WSN中节点的计算能力、节点能量以及存储能力均受到限制。所以,在设计安全策略时应该最大限度地提高网络生命周期。本文提出在路由过程中动态维护节点的发射半径。

路由过程中动态调整节点发射半径的思想描述如下: 如图5所示,假设攻击者从基站反向追踪到A节点,在A位置侦听r范围内的数据包流量,以期待能继续反向追踪直到源节点。当节点B向节点A转发数据包M１时,因为节点B在攻击者的r范围内,所以攻击者可以通过数据包流量分析追踪到节点B。而当节点C向节点A发送数据包M２时,由于节点C不在攻击者的侦听范围内,所以攻击者不能通过流量分析进行下一步追踪,于是不得不在节点A等待更长时间。这样一来,就为数据源节点提供了更长的安全时间。

卢妙杰［１５］在研究源位置隐私保护问题时提出了功率可调的无重复有向随机步策略,该策略是在有向随机步路由的过程中根据节点的剩余能量和它周围邻居节点个数来调整发射半径,半径调整公式如下:

式中符号含义见表2。

从整个网络来说,对于某次特定的数据转发过程,从源节点到幻影节点,再到达基站这条路径上的所有节点是相关联的,每一个节点发射半径的选取会在一定程度上影响到该路径上的其他它节点。越靠近基站的节点,发射距离选取范围越小。

5结语

本文总结了WSN中源位置隐私面临的安全威胁之流量分析攻击,包括全局流量攻击和局部流量攻击。研究分析了几种具有代表性的基于幻影源的源节点位置隐私保护策略,并试图将卢妙杰提出的节点半径调整公式应用于这些策略中,从而尽可能提高网络寿命。实际应用环境下,信源不一定是静止不动的,甚至基站位置也有可能是变化的。 目前研究工作中,一般都假设网络中只有一个源节点。而实际应用中,网络中可能同时存在多个源节点。因此,需要进一步研究多源节点应用背景下的隐私保护策略。

摘要：探讨如何提高无线传感器网络中源位置隐私的安全性和节点能量的利用率。分析基于流量分析的攻击者对源位置的安全威胁,总结7种典型的基于幻影源的源位置隐私保护策略,并提出在路由过程中,节点可以根据自身的邻节点个数、剩余能量及其到基站的距离自适应调整发射半径,打破以往的发送距离为一跳的数据包转发方式。

浅谈位置隐私保护技术 第2篇

在数据信息爆炸的今天, 数据信息已经成为我们生活和工作的一个重要的资源。大量数据被访问、挖掘与共享使得数据使得用户越来越关注数据隐私保护的问题。如何在得到高质量的服务又能得到保护是信息安全的一个要重视的问题, 也是基于位置服务中隐私保护研究的重点课题。

到目前为止, 许多的专家和学者, 对基于位置服务的隐私保护的研究做了大量的工作, 在研究过程中, 也取得了一系列的研究成果。但从当前研究的现状和基于位置隐私保护的情况看来, 在互联网上, 用户信息隐私保护方面还是存在很多缺陷和不足之处。本文出于对当前基于位置服务的研究, 初步探讨了当前隐私保护的方法的相关技术和需要解决的等问题。

二、关系数据的隐私保护的问题

关系数据技术经历了几十年的发展, 已经比较成熟。不管从关系数据库理论, 还是关系数据库的运用和产品方面来说, 都取得了巨大的成就。关系数据库是将大量数据以记录的方式存储在数据库中, 人们为了从这些数据中获得到有用的信息, 一般都要对这些数据信息进行发布处理。然后再这些发布的数据信息里, 蕴含了用户的很多个人隐私的信息, 因此, 在发布这些数据的同时, 用户数据安全性问题存在一定隐患, 容易发生泄密等情况。为了在发布这些信息同时, 应该做到对数据隐私保护的工作。当前对于数据发布隐私保护的研究方法主要集中在对以记录方式存储的数据的隐私保护[1]。例如, 对于银行客户的个人信息资料、移动电信等用户的资料等数据。关于数据发布中的隐私保护问题, 已经有很多的研究人员提出了大量的数据隐私保护方法[2]。

对于这些隐私保护方法, 虽然对以记录形式存储的数据提供了较好的保护, 但是这些方法时一种间接的方法, 也就是说它们不能直接应用在隐私保护中, 从而使数据保护存在隐患。这些保护方法之所以不能直接应用在隐私保护中, 原因有三: (1) 这些方法不能在用户数据存储在服务器后进行数据保护, 也就是说它只能在发布中保护; (2) 这些隐私保护方式针对的数据隐私而不是数据查询, 因此不便于查询处理; (3) 这些方法保护的时效性存在局限, 在某时刻或某时间段有效, 其它时间则可能失效, 不适合关系数据库动态的、快速的查询和更新操作的需要。

三、位置隐私保护

所谓的位置隐私保护指的是阻止其它个体或团体用户去了解当前某个用户现在或过去位置的能力。在隐私保护的信息中主要有标识信息和位置信息构成的[3]。标识信息记录的是静态的, 是用户身份信息的唯一标识。位置信息是来标识用户的空间位置信息。传统的隐私保护方法中, 主要是针对这两者进行考虑的。

1. 基于身份保护方法

从目前研究的成果和参考文献看来, 有相当一部分的研究是针对基于身份保护的方法来对用户数据信息进行隐私保护的。针对身份的保护又可细分为从位置信息和匿名或假名的方法来提供身份的保护。在文献[3]中对于位置的服务与隐私之间的关系进行了探讨, 然后针对之间关系提出了两种隐私保护的方法。其中更多的文献研究是采用匿名或假名的方法来实现对数据隐私的保护, 但这类方法存在一定的缺点, 特别是在空间应用领域。这种方法会严重阻碍应用的需求, 所以采用匿名或假名技术来实现位置隐私保护并不一个可取的很好方案。

2. 基于位置信息保护方法

目前, 数据挖掘技术相对的比较成熟, 因而要判定出用户的位置信息, 是一件比较容易的事。因此匿名方法和假名技术不能提供可靠的位置隐私保护的要求。这样, 另一个研究方向:基于对位置信息的保护的方法则成为研究人员所关注。这类方法, 只允许服务器有权了解用户的真实信息。这样就可以减少因位置信息而导致用户数据信息的泄漏, 从而在一定程度上起到了对用户数据信息隐私保护的作用。但是这类方法实现的是位置隐私的保护, 可能会因为数据的不段更新, 从而使存储在服务器上的位置不准确而导致数据存在一定不完整性。

3. 隐私模型

在过去对数据隐私保护研究的十多年中, 为了保护从客户端到服务器的数据隐私安全问题, 许多的专家和学者针对隐私保护, 提出了多种数据隐私保护模型和建立了多种安全体系结构。这些模型或体系结构中, 在很大程度上, 为用户数据隐私保护方面提供了良好的思路与方法。在这诸多的模型中, 通过引入第三方来进行相关的操作和处理并构建相应数据保护模型。为第三方进行信任检测和验证, 使得第三方可信任。然后借助建立信任的第三方, 来对用户的位置信息进行区域化, 实现对用户进行匿名处理, 从而达到位置隐私保护的目的。

四、基于的轨迹隐私保护

对于上述谈到的位置隐私保护的方法来说, 在数据发布的过程存在数据从服务器到客户端和客户端到服务器数据传输的运动轨迹。如果恶意攻击者, 在数据传输的过程中, 通过一定的方法和手段获取到了用户的运动轨迹和话, 这些攻击者就可以对轨迹进行分析和研究, 来推测出用户的行为模式。再通过这些行为模式, 便可以达到窃取用户信息的母的, 因而也会严重威胁用户的隐私。

五、隐私保护存在的问题和总结

近年来, 有关位置隐私保护的研究取得的一定的进展。但是仍然存在着一些问题又待于解决: (1) 目前的隐私保护方法研究中, 没能很好考虑移动用户之间的交互问题; (2) 在轨迹保护研究中, 提供的技术比较单薄; (3) 隐私保护主要侧重于阻止非法用户对位置信息保护上, 而忽视了对滥用用户位置信息的考虑, 这也是一个需要解决的问题。

本文初步对基于位置服务中的位置隐私保护方法和技术进行了阐述, 对位置隐私问题的研究方法及存在的问题做了较详细的分析与探讨。在互联网快速发展的今天, 网络和信息安全话题, 成了我们每个关注和重视的焦点。基于位置服务的隐私保护的研究为用户的信息安全提供了一个很好的保障, 但目前隐私保护的技术和方法仍存在很多的缺陷, 这些问题是我们都需要面对和有待于解决的问题。位置隐私保护是一个综合性很强的新兴研究领域, 需要进一步的研究和探索。

摘要：在通信和移动技术的飞速发展过程中出现了一个新的研究热点:基于位置的服务。这些服务现被广泛应用, 然而关于隐私保护的问题却突显出来。本文初步讨论了当前隐私保护的方法的相关技术和需要解决的问题进行了归纳与总结。

关键词：位置隐私,轨迹隐私,隐私模型,隐私保护,服务质量

参考文献

[1]Agrawal R, Jr R J B, Falout sos C, et al.Auditing Compliance with a Hippocratic Database//Proceeding s of the International Conference on Very Large Data Bases.VLDB, 2004:516-527.

[2]Xiao X, Tao Y.Anatomy:simple and effective privacy preservation//Proceedings of the International Conference on Very Large Data Bases.VLDB, 2006

[3]Baugh J P, JinHua G.Location Privacy in Mobile Computing Environments.In UIC.2006:936-945

LBS下的位置隐私保护 第3篇

关键词：位置服务,位置隐私,k-匿名方法,轨迹隐私保护

随着移动设备的普及, 物联网的飞速发展, 基于位置的服务LBS (Location based service) 越来越流行, 也逐渐成为人们生活中不可或缺的一部分。LBS是指使用某种定位技术 (如全球卫星定位系统、手机定位和通过Wi-Fi接入点的定位) , 为移动用户提供与当前的位置有关的个性化服务。

因结合了完备的地理信息数据和信息搜索引擎, 位置服务系统可以提供给用户各种各样的位置信息服务。其主要应用有如下几种:人身安全和紧急救助;机动车反劫防盗;集团车队、人员和租凭设备的调度管理;与位置相关的信息服务;物流管理;广告;友情、娱乐性服务等。如今, 我们已经可以随处可见基于位置的服务, 找寻附近的酒店、餐馆、娱乐场所, 道路导航, 社交平台提供的就近交友, 无不是LBS的功劳。

通常LBS过程如下, 移动终端用户以WAP协议通过WAP网关向WEB服务器发出包含用户代码、密码和电话号码的请求。WEB服务器将这些信息发送至定位服务器, 定位服务器在检测用户合法性后, 接受请求并记录合法用户当前位置, 再将此位置信息送回到WEB服务器。此时, WEB服务器将通知用户, 他已经成功登陆, 同时用户可以进一步提出请求, 如想要查找的内容等。Web服务器根据用户的位置信息及其选择形成LDAP服务请求并发送到LDAP服务器, 一旦LDAP服务器在数据库中搜寻到满足用户请求的信息, LDAP服务器将通过Web服务器将相关信息返回给用户。在用户所在蜂窝范围内, 如果没找到满足条件的内容, LDAP服务器会搜索相邻的蜂窝, 在仍未找到的情况下, 会返回给用户相关的信息。

随着LBS占据移动市场越来越重的份额, 一方面可以预见LBS将更为深刻地影响人们生活和出行的方式, 与此同时, 这种趋势也对LBS提出了更高的要求。移动用户所携带的移动终端获取用户当前的位置信息, 用户想服务器提出服务请求, 继而获取与当前位置相关的服务。由于服务器是根据用户的位置信息来处理服务请求, 那么用户的位置信息则存在被泄露或者被非法使用的风险。随着LBS的发展, 由此带来的位置隐私保护也越来越受到人们的重视。某些不法分子可以通过获取特定用户的位置信息, 推测出用户的生活轨迹和习惯, 从而得知用户的其他私密信息, 这将极大危害到用户的隐私和利益。如何保护用户位置隐私成为近年来亟待解决的问题, 也是近几年信息安全领域的一大研究热点。

目前, 已有很多针对LBS环境下的位置隐私保护研究, 也有一些相对而言简单有效的技术提出。位置隐私保护是阻止其他个体或团体知道某个用户当前或过去的位置的能力。由于位置信息服务需借助用户位置信息, 因此用户信息越准确, 服务器返回给用户的服务信息的正确性、可靠性、准确性也会越高, 用户信息的精确度决定了LBS的质量。而用户却需要在不暴露隐私信息的前提下获得高质量的服务。因此, 平衡位置隐私保护和服务质量之间的矛盾是基于位置服务中位置隐私保护的核心问题。

1 位置隐私保护

位置隐私信息由标识信息和位置信息组成。标识信息用来唯一标识一个用户, 它表征用户的静态属性或特征。位置信息则用来描述某个个体或团体的行踪。传统的位置隐私保护的方法主要根据标识信息和位置信息这两个组成位置隐私信息组成元素进行分类。一类方法是隐藏用户的标识信息 (如使用匿名、假名) , 但向服务器提供准确的用户位置信息, 以便得到高质量的服务信息;另一类方法是将用户的标识信息完全暴露给服务器而隐藏用户位置信息, 以达到位置隐私保护的目的, 此方法先将用户的位置信息模糊化 (泛化) 再提供给服务器;再者是将上两类方法的结合方案。

1.1 身份保护方法

1.1.1 k- 匿名位置隐私技术

Sweeney在2002年最先提出的k- 匿名方法是一种广泛应用于数据发布中的数据隐私保护的技术。该方法对每条记录的非敏感属性进行泛化, 使得发布后的数据中的每条记录都至少不能和其他k-1条记录区别开来。该方法的思想被一些研究者移植到位置隐私保护中, 是最早提出的位置隐私保护方法, 并成为了目前使用最普遍的方法。其中, “匿名”的思想, 属于身份保护, 即用户的ID不能跟其他k-1个用户的ID区分开来, 这样, 即使攻击者截获了某个用户的位置信息, 也无法得知向服务器发送请求的究竟是哪个用户。

k- 匿名技术被证明能够防止用户位置信息以及身份信息的泄露。所谓k- 匿名保护, 是指用户发送给服务器的LBS服务请求中, 用户的位置信息并非准确的用户位置坐标, 而是被泛化的, 包含至少k个用户的区域。这块区域称作匿名区ASR (Anonymous spatial region) , 具有k- 匿名性质。由此需要引入一个称为“匿名器”的集中式的第三方平台。它接收用户发送给LBS服务器的请求, 将用户位置信息泛化成面积不小于某个阈值的匿名区。由于该区域有不少于k个用户, 所以在该区域内, 实际发送请求的用户其身份被识别出来的概率仅为1/k。该技术除了需要引进匿名器外, 还需提供快速处理空间区域查询, 这时便需引入一个查询处理器, 负责找出所有的候选结果即候选集 (Candidate Set, CS) 返回给用户, 由用户选择最优结果。该方案既考虑了用户位置信息的保护, 又解决了快速查询的问题, 然而第三方平台和专门查询处理器的引入都将增加服务器的运算资源, 且返回大量的查询结果也加重了网络的负载。

目前, k- 匿名方法是普遍使用的位置隐私保护方法。其中, 间隔匿名 (Interval Cloak) 算法和Casper匿名 (Casper cloak) 算法的基本思路相似:由匿名服务器构建一个四叉树的数据结构, 其每个节点对应平面空间的一个正方形区域。算法递归地从横竖两个方向将平面空间分成四个面积相等的正方形区域, 递归在最小的正方形区间的面积达到系统规定的允许用户采用的最小匿名面积阈值时结束。系统中的用户按固定的时间间隔向匿名服务器发送自己的位置坐标, 匿名服务器也会更新四叉树节点信息, 包括区间内的用户数量。用户发送匿名查询请求时, 匿名器将检索四叉树, 并生成一个合适的匿名区ASR, 返回给用户U。两个算法的区别体现在对于合法区域的搜索和生成的方式上。间隔匿名算法从包含用户U的四叉树的叶子节点开始向四叉树根的方向搜索, 直到找到包含不低于k个用户的节点 ( 包括用户U在内 ) , 并把该节点所对应的区域作为用户U的一个匿名区ASR。

1.1.2 k- 匿名位置隐私技术的优化与改进

位置隐私保护随着用户的不同, 也具有不同的需求, K- 匿名法无法满足所有用户的需要。针对K- 匿名法的局限性, Gedik and Liu首先提出了个性化K- 匿名法。个性化K- 匿名法是改进的K- 匿名法, 该算法使得匿名等级可以由每位用户根据所需自行定义, 而位置隐私策略又可以根据匿名等级选择, 隐私保护程度也可以通过分类树的节点来定义, 此时有着相同K值的移动用户信息可能被一起匿名化。这种方法的缺点在于当K值增高时, 模糊的信息量就会减少, 匿名化信息的比例会逐渐下降。

文献提供了一种个性k- 匿名算法, 在普通匿名算法中增加匿名群记忆模块, 从而加快匿名算法的匿名速度。仿真结果表明当用户对安全要求较高的情况下, 新匿名算法与普通算法相比具有更快的匿名速度, 同时匿名成功率也得到了提升。

1.1.3 假名技术

假名是匿名的一种特殊类型, 每个用户使用一个假名来达到隐藏真实ID的目的。由于使用的假名技术, 用户的真实信息很难与其位置信息联系起来, 即使用户的准确位置信息被恶意的攻击者虽然可能从服务器端获得, 也很难定位到某个具体用户, 从而达到用户位置隐私保护的目的。

假名技术被用在一种称为混合区域 (mix zone) 重要身份保护方法中, 并大大提高了其有效性。该方法由Beresford和Stajano提出, 他们定义了两种类型的空间区域:应用区域和混合区域。前者是指用户提出位置服务请求并接收服务信息的区域;后者则是于用户而言没有任何通信的区域。用户在应用区域使用假名通信, 进入混合区域停止通信。在出混合区域后再次进入应用区域时需要更换假名。这就要求使用同一个假名的时间进行限制。由于关联同一个用户在进入混合区域前后使用的不同假名是困难的, 用户的ID信息便得到了更好地保护, 从而更好地保护了用户的位置隐私。

1.2 位置信息保护方法

位置信息保护方法允许服务器知道用户的真实身份, 但是降低用户位置信息的准确度, 以此达到位置隐私保护的目的。这类方法可以分为四类:错误的或假的位置信息;冗余信息;路标对象;区域化位置信息。

错误或假位置信息指用户发送多个不同的位置信息给服务器, 只有一个为准确位置。

冗余信息是指, 可以在一段时间内发送多个同一用户的请求。得到响应后, LSP将按照正常流程定位用户位置服务请求, 而对冗余请求, 以随机的方式向LBSs发送一些随机位置坐标。LBSs会将所有查询结果返回给LSP, 由LSP甄别其中真实结果返回给用户, 丢弃冗余结果。

路标对象则是说用户发送的不是用户准确位置信息而是路标或标志性位置信息。

区域化位置信息则是将用户的准确位置信息用包含用户准确位置的空间区域代替。区域化位置信息最典型的方法是Space Twist方法。

这些方法均能够增加攻击者从截获的某个用户发送的请求信息中准确判断出用户位置的难度。但同时也使得服务质量大大下降, 且增加服务器的负载和反应时间。

2 轨迹隐私保护

k- 匿名算法可以有效保护用户身份信息不被泄露, 但这只是针对短时间的少数几次位置查询。实际生活中, 需求用户的请求往往是长时间实时发送的。对于一次查询, 攻击者均不能准确定位是匿名集中哪个用户请求的查询, 但若攻击者持续监测, 则可以通过收集或观察不同时刻的或者一段时间内某个特定匿名集内的用户组合, 推测出是哪个用户发送了查询消息, 例如攻击者可按时间序列将相邻的匿名集做取交处理, 从而推测出发送消息的用户。这就是轨迹隐私保护的问题。经过短时间连时间发送位置服务请求, 用户不仅可能暴露行踪, 还有可能暴露准确位置和行迹。大体上, 攻击类型可以分为连续查询攻击和最大速度攻击。

贾金营, 张凤荔介绍了一些典型的连续查询轨迹匿名算法, 该算法实现了一个基于移动终端的用户移动轨迹保护方法。彭志宇, 李善平针对移动环境下的用户轨迹隐私保护, 提出移动模式攻击 (MPA) 攻击的方法, 并针对这种攻击建立防范移动模型, 提出了移动环境下的k- 匿名算法Mclique, 以及其快速版本Fclique有效抵御MPA攻击。

轨迹隐私保护是位置隐私保护的一个重要分支, 然而尚在理论阶段。

3 隐私模型

在过去的10年, 为了保证从客户端发往服务器的数据的隐私安全, 已经提出了多种体系结构。主要有以下三种模型:非协作模型;对等协作模型 (P2P) ;集中受信任的第三方模型。上面提到的很多算法都是基于集中受信任的第三方模型, 如k- 匿名方法, 就需要可信任的第三方将用户准确位置信息泛化后再提交给服务提供方。

参考文献

[1]贾金营, 张凤荔.位置隐私保护技术综述[J].计算机应用研究, 2013, 30 (3) :641-646.

[2]魏琼, 卢炎生.:位置隐私保护技术研究进展[J].计算机科学, 2008, 35 (9) :21-25.

[3]Sweeney L.:k-anonymity:a model for protecting privacy[J].Int1 Journal on Uncertainly, Fuzziness and Knowledge-based Systems, 2002 (7) .

[4]彭志宇, 李善平.移动环境下LBS位置隐私保护[J].电子与信息学报, 2011, 33 (5) :1211-1216.

[5]杨洋, 王汝.增强现实中的位置隐私保护[J].计算机技术与发展, 2012, 22 (9) :232-235.

[6]霍峥, 孟小峰.轨迹隐私保护技术研究[J].计算机学报, 2011, 34 (10) :1820-1830.

[7]何康, 吴蒙.一种个性化的k-匿名位置隐私保护算法[J].南京邮电大学学报 (自然科学版) , 2012, 32 (6) :69-73.

[8]何泾沙, 徐菲, 徐晶.基于位置的服务中用户隐私保护方法[J].北京工业大学学报, 2010, 36 (8) :1130-1134.

[9]刘宇, 朱仲英.位置信息服务 (LBS) 体系结构及其关键技术[J].微型电脑应用, 2003, 19 (5) :5-9.

LBS中位置隐私保护研究 第4篇

近年来,随着无线通信技术和移动定位技术的快速发展,形成了一种新的基于位置信息的服务(Location-Based Service,简称LBS)[1]。在LBS中,用户可通过向服务器提供自己的地理位置来查询感兴趣的信息,例如查询离自己最近的书店、咖啡店等。然而,LBS在给用户提供生活便利性的同时也引入了隐私泄露风险。因为位置信息本身可能就是敏感数据,通过这些数据可揭示用户的个人隐私信息。例如用户身处某医院,且向服务器发送了基于位置服务的请求,一旦位置信息暴露,不法分子可根据这一信息推测出用户可能患了疾病。而且由于LBS中位置信息的物理特性,使得人们很难通过传统的隐私保护技术,如加密技术、数字签名、数字水印等进行保护[2]。随着人们对隐私保护的日益重视,LBS中的位置隐私保护问题亟待解决。

1 国内外研究现状

目前,国内外针对LBS位置隐私保护问题提出了多种解决方案。从用户角度来划分,位置隐私保护技术可以分为以用户为中心和非用户为中心两类。其中,以用户为中心的模式中采用的是用户、LBS服务器的两层结构,如图1所示。由于用户是位置信息的拥有者,对于位置信息有绝对控制权,用户会提出自己的要求并参与到整个位置隐私保护过程中。在该模式中,主要采用的是策略保护机制,如静态策略和动态策略[3,4]。一方面,用户会阐述自己对位置隐私保护的要求;另一方面,LBS服务器会对其所需位置信息的采集、使用、保存等作出承诺,即发布服务隐私策略[5]。若LBS服务器能保证用户的要求,LBS服务器将获得用户位置信息的采集和使用权限。

在实际应用中,用户通常只关心LBS服务是否提供了足够的位置隐私保护,并不关心位置隐私保护具体实现细节,即用户只需要提供位置信息而不需要参与到LBS位置隐私保护中[2]。基于此,形成了一种以非用户为中心的隐私保护模式[6,7,8,9,10,11]。该模式采用用户、隐私保护中间件、LBS服务器三层结构,如图2所示。用户提供准确的位置信息给隐私保护中间件,由它对位置信息进行处理,再将处理过的信息发送给LBS服务器进行查询。位置信息处理遵循的原则为在满足LBS数据要求的前提下,尽量提高对用户位置隐私的保护程度。

2 位置隐私保护技术

如前所述,在非用户为中心的模式中保护位置隐私的关键在于采用何种技术来处理隐私保护中间件位置信息。总体来说,处理技术分为3种:伪码法、区域混淆法和假位置干扰法。

2.1 伪码法

伪码也称为假名。在该方法中,由于LBS服务只关心是否有用户向其发送请求,而不关心是哪个用户发送的请求,所以在请求中可以用伪码或假名来代替用户的真实身份。但是单个伪码并不足以保护用户的位置隐私,因为在一些特定的位置,不法分子也可以将单个伪码与用户的真实身份关联起来。例如,某个用户早晨经常会在同一位户住址,很容易将业主与服务中的伪码关联起来,从而揭露用户的真实身份。于是,在单个伪码的基础上提出了频繁更改伪码的方法,即在某一位置或时间更改用户的伪码以切断伪码之间的关联性,从而达到保护用户位置隐私的目的。例如Mix zones方法[6]中,伪码更换发生在混合区域(如十字路口)。虽然这些方法提供了用户的准确位置,保证了服务质量,但是Mix zones方法保护位置隐私的程度与混合区域内的用户数量密切相关。如果混合区内用户少,那么即使更换伪码,不法分子将更改前后的伪码关联起来的概率较大,这会大大降低隐私保护程度。

2.2 区域混淆法

区域混淆法中具有代表性的主要有k-匿名[7]和位置偏移方法[10]。

k-匿名法利用用户附近包含k-1个邻居的位置区域来代替用户的准确位置,将用户与其k-1个邻居混淆在一起,从而达到保护用户位置隐私的目的。假设当k=5时,用户A发送给服务器的是位置区域,用([x1,x2],[y1,y2])表示,其中包含B、C、D、E四个邻居,如图3所示。显然这种方法k值越高,隐私保护程度越高,但相应地会大大降低服务质量,而且服务器在该位置区域进行查询处理也会增加开销和反应时间。而且,当用户处于稀疏环境下,例如邻居个数小于k-1时,则无法获得满足条件的位置区域。

位置偏移法与k-匿名法一样,并不发送用户的准确位置给服务器,而是选择用户位置附近的某一特殊路标,用该路标的位置代替用户准确位置发送给LBS服务器以获取服务。该方法利用位置偏移原理隐藏了用户的准确位置,从而达到保护用户位置隐私的目的。但位置偏移会降低服务质量,而且用户必须对从服务器返回的查询信息进行筛选,这无疑会增加客户端开销。

2.3 假位置干扰法

假位置干扰法采用假位置信息进行位置混淆,以达到保护用户真实位置的目的[11]。通常,用户会发送多个位置信息给LBS服务器,但其中只有一个是用户的真实位置。这样,即使LBS服务器上的位置信息被不法分子获取,也无法判断出哪一个是用户的真实位置信息。但这种方法往往增加了服务器端的开销和通信开销。

相较于k-匿名方法,假位置干扰法更适合于稀疏用户环境。一方面,由于k-匿名方法受邻居密度的影响较大,至少需要k-1个邻居,这在稀疏用户环境中可能很难实现;另一方面,在稀疏用户环境中通信开销以及服务器查询开销较低,虽然假位置干扰法会增加一定开销,但能为用户提供位置隐私保护。

3 结语

LBS服务在拥有美好前景的同时,也存在严重的隐私威胁。用户总是希望在获取基于位置的服务时尽量不暴露自己的位置信息。实际上,享受服务与隐私保护是一对矛盾:高效的服务需要提供精确的位置;好的隐私保护策略需要使用户的位置信息尽量模糊化[12]。如何在高效的位置服务和位置隐私保护之间寻求平衡,是近年来研究的方向。本文详细介绍了目前提出的保护位置隐私方法,即以用户为中心模式中的策略方法、伪码法、区域混淆法和假位置干扰法。随着LBS应用的增加,策略方法研究重点应在如何实现策略的完整性、准确性及简化性。伪码法可以提供用户准确的位置信息,从而保证LBS服务的质量,但不法分子一旦将属于同一用户的不同伪码关联起来,就容易揭示用户的真实身份,达到获取用户位置隐私的目的。区域混淆法保护位置隐私则是以增加服务器的查询开销和降低服务质量为代价的。干扰法的关键在于如何生成虚假的位置信息已达到保护用户隐私的目的。总体来说,对LBS中位置隐私问题的研究尚处于起步阶段,缺乏系统性和统一性,许多问题还有待未来进一步研究。

参考文献

[1]肖燕芳,徐红云.一种基于匿名区域变换的位置隐私保护方法[J].计算机工程,2013,39(1):157-163.

[2]刘恒.普适计算环境下基于位置服务的隐私保护若干技术研究[D].成都:电子科技大学,2010.

[3]BAUGH J,GUO J.Location privacy in mobile computing environments[J].Ubiquitous Intelligence and Computing,2006:936-945.

[4]LEDERER S,DEY A K,MANKOFF J.A conceptual model and a metaphor of everyday privacy in ubiquitous computing environments[R].University of California:Berkley,Technical report UCB/CSD-2-1188,2002.

[5]LANGHEINRICH M.A privacy awareness system for ubiquitous computing environments[J].Ubiquitous Computing,2002:315-320.

[6]A R BERESFORD,F STAJANO.Location privacy in pervasive computing[J].IEEE Pervasive Computing,2003,2(1):46-55.

[7]GRUTESER M,GRUNWALD D.Anonymous usage of location based services through spatial and temporal cloaking[C].Proceedings of the International Conference on Mobile Systems,Applications,and Services,2003:163-168.

[8]MEYEROWITZ J,CHOUDHURY R R.Hiding stars with fireworks:location privacy through camouflage[C].Proceedings of ACM Special Interest Group on Mobility of Systems,Users,Data and Computing,2009:345-356.

[9]YIU MAN-LUNG,JENSEN C S,HUANG XUEGANG,et al.Spacetwist:managing the trade-offs among location privacy,query performance,and query accuracy in mobile services[C].Proceedings of the 24th International Conference on Data Engineering,2008:366-375.

[10]HONG J I,LANDAY J A.An architecture for privacy-sensitive ubiquitous computing[C].Proceedings of the 2nd International Conference on Mobile Systems,Applications and Services,2004:177-189.

[11]KIDO H,YANAGISAWA Y,SATOH T.An anonymous communication technique using dummies for location-based services[C].Proceedings of International Conference on Pervasive Services,2005:88-97.

车载自组织网中的位置隐私综述 第5篇

车载自组织网络(Vehicular Ad Hoc Networks, VANETs)是一种新型的移动自组织网络(Mobile Ad Hoc Networks,MANETs),以车辆为移动节点,并且具有节点数量大、高速运动、沿路径移动等特性［１］。在车载自组织网络中,每辆车都安装无线通信装置,它既作为通信节点, 又兼具报文转发功能,能采用多跳的方式将数据转发给更远的车辆。此外,每辆车安装GPS传感器,能实时采集自身的常规交通信息,如位置、速度、方向等,并将包含这些信息的安全信标广播给其它节点。利用这些信息能为司机提供即时警告,从而为司机和乘客提供安全保障。例如碰撞预警,当一辆车在道路上紧急刹车时,车载系统可以在第一时间将刹车板传感器采集的数据广播出去,后续车辆收到该信息后,可以通过减速或调整车道避免碰撞。

虽然车载自组织网提高了交通系统的安全性、有效性和便利性,但与此同时也带来了位置隐私的风险。车载自组织网络中的车辆被要求周期性地向它一跳的邻居车辆广播安全信标。由于安全信标没有进行加密,在无线网络环境中很容易被监听。不法分子利用这些安全信标中的位置信息可以勾勒出车辆的运行轨迹,从而跟踪车辆,造成用户隐私泄露。随着人们越来越关注自身的隐私,车载自组织网想要真正成功应用,车辆位置隐私问题亟待解决。

1国内外研究现状

目前,车载自组织网作为一个新兴的研究领域,具有广阔的应用前景。在各国政府和工业界的大力支持和投入下,大型科研项目不断启动。在欧洲,由欧盟资助或主导的项目有COMeSafety、SAFESPOT、CarTalk2000、 COOPERS、SEVECOM、ADASE03、FleetNet以及NOW等［２］。其中在SEVECOM和NOW项目中考虑了安全和隐私方面的问题。在美国,加州政府、加州大学以及工业界共同参与了PATH项目［３］,还有美国交通部主持的智能交通项目ITS［４］。目前,美国主要的工业项目由车辆基础设施集(Vehicle Infrastracture Integration,VII)项目启动组(Initiative 2008)与车辆安全通信应用(Vehicle Safety Communications Application,VSC-A)项目中的车辆安全通信2(VSC2)联盟实施,可能会对IEEE P1609.2标准产生影响。IEEE P1609协议族则是IEEE专门制定的车载环境下的无线通信标准。日本启动了Smartway项目［５］, 旨在利用车辆间通信来减少交通事故,缓解交通拥堵。一些高校和交通研究机构在上世纪90年代即开始对国际上智能运输系统的发展进行跟踪,交通部将智能运输系统的研究纳入了公路、水运科技发展“九五”计划和2010发展纲要。在2006年,上海交通大学的TIG项目采集了上海市4000多辆出租车的实时信息用以智能交通应用［６］。十一五期间,国家设立了“智能车路协同关键技术研究”等相关项目,对VANETs的体系结构、应用定义等进行了研究,取得了一定成果,但总体来说在VANETs领域的研究才刚起步,很多VANETs关键技术仍有待突破。

2更改伪码方法

在车载自组织网中,频繁更改伪码是一种被广泛接受的保护位置隐私的方法［７］。该方法用伪码代替车辆的真实标识,例如车牌号、车主姓名等,通过此方法匿名的方式来减少对车辆的跟踪。目前频繁更改伪码方法可分为混合区域(Mix-zone)、静默(Silence)和基于触发器(Trigger- based)3种方法［８］。

2.1混合区域法

混合区域法是指车辆只在混合区域(Mix-zone)更改伪码,这个混合区域的作用就是混淆车辆进入事件和离开事件之间的相关性,使攻击者无法将进入该区域和离开该区域的车辆关联起来,从而降低车辆被跟踪的概率。 Buttyán等［９］率先将Mix-zone概念运用到车载自组织网的位置隐私保护中。他们假设攻击者只能在有限的地点和区域监听车辆广播信息,如此可将整个路网划分为监听区和不可监听区。当车辆进入不可监听区(如十字路口) 并更改其伪码时,该区域就起到混合区域的作用,攻击者无法通过伪码将离开的车辆与进入的车辆关联起来。如图1所示,有A、B两辆车分别从端口1和端口2进入混合区域并更改各自的伪码。随后当一辆车从端口3离开该区域时,攻击者无法将该车的新伪码和A、B两车的旧伪码关联起来,从而减少正确跟踪车辆的概率。

2.2静默法

静默方法要求车辆在随机的一段时间内停止广播,并在此期间更改伪码,其目的也是使攻击者无法将改变前后的伪码关联起来［１０］。如图2所示,相邻的两辆车A、B分别以伪码a′、b′进行广播。假设车辆A在t１时刻停止广播并更改伪码,直到t２时刻以新的伪码a″继续广播。t１到t２这段时间称为静默期。如果邻车B在这段静默期更改伪码为b″,由于这两辆车有相同的方向、相近的速度和位置,攻击者很难判断新的伪码b″属于哪辆车,从而降低了新旧伪码关联的概率,对攻击者跟踪车辆起到误导作用。虽然理论上静默期越长成功关联新旧伪码的概率越低,但长时间停止广播会对车辆安全造成威胁。

2.3触发器法

基于触发器的方法只要给定一个触发条件,一旦该条件满足,车辆就会更改伪码。Buttyán等［１１］提出了以车辆速度作为触发条件,当车辆速度低于一个阈值时就更改伪码。Freudiger等［１２］则以车辆伪码的使用时间作为触发条件,当车辆伪码使用足够长时间并且该车周围有相邻的车辆时就更改伪码。

3结语

随着车载自组织网的发展及人们对保护个人隐私信息的日益重视,保护位置隐私的研究越来越受到人们的关注。本文详细介绍了混合区域、静默和基于触发器3种保护位置隐私的方法。通过以上分析可知,虽然混合区域和静默这两种方法能提供较好的位置隐私保护,但是混合区域法需要预先设定混合区位置因而缺少灵活性,而静默法保护位置隐私可能要以牺牲车辆的安全性为代价。基于触发器的方法避免了混合区域和静默方法的这些缺点,灵活而且不会威胁到车辆的安全性,但它提供位置隐私保护的有效性相对较低。而且这些方法大部分都存在一定的局限性,即仅考虑攻击者是被动监听信息的情况,缺少在主动攻击下的有效性验证。因此,对于车载自组织网中位置隐私保护仍有许多问题有待进一步研究。

摘要：车载自组织网作为一种新的研究领域越来越受到关注。车载自组织网在提高交通系统安全性、有效性和便利性的同时,也带来了位置隐私的风险。回顾近几年国内外在保护车载自组织网中位置隐私方面取得的主要研究成果,然后对隐私保护的主要方法进行介绍并分析其特点,最后指出这些方法的局限性以及车载自组织网中隐私保护的发展方向。

关键词：车载自组织网,位置隐私,隐私保护,伪码更改

参考文献

[1]J BlUM,A ESKANDARIAN,L HOFFMMAN.Challenges of intervehicle ad hoc networks[J].IEEE Trans.Intelligent Transportation Systems,2004,5(4):347-351.

[2]HASSNAA MoOUSTAFA,YAN ZHANG.Vehicular networks techniques,standards and applications[M].CPC Press,2009:15-18.

[3]The PATH project[EB/OL].http://www-path.eecs.berkeley.edu/.

[4]USDoT ITS program[EB/OL].http://www.its.dot.gov/.

[5]王建昱.V2X车联网及其关键技术[J].信息技术与信息化,2013,(5):61-64.

[6]刘小洋,伍民友.车联网:物联网在城市交通网络中的应用[J].计算机应用,2012,32(4):900-904.

[7]PAPADIMITRATOS P,BUTTYAN L,HOLCZER T,et al.Secure vehicular communication systems:design and architecture[J].IEEE Communications Magazine,2008,46(11):100-109.

[8]李建庆,潘媛媛,冯丽.车载自组织网络中一种同时更改伪码算法[J].计算机工程与应用,2012,48(2):18-22.

[9]L BUTTYAN,T HOLCZER,I VAJDA.On the effectiveness of changing pseudonyms to provide location privacy in vanets[C].In Proc.the 4th European Workshop on Security and Privacy in AdHoc and Sensor Networks(ESAS 2007),2007:129-141.

[10] L HUANG,K MATSUURA,H YAMANE,et al..Enhancing wireless location privacy using silent period[C].In Proc.2005IEEE Wireless Communications and Networking Conference(WCNC),2005:1187-1192.

[11] L BUTTYAN,T HOLCZER,W WHYTE,et al.Slow:A practical pseudonym changing scheme for location privacy in vanets[C].InVNC 2009,2009:1-8.

社交网络近邻检测中的位置隐私保护 第6篇

社交网络服 务 (Social Network Service,简称SNS)是目前极具发展前景的互联网应用服务之一。 社交网络的出现,让人们的虚拟网络生活与真实现实生活联系越来越紧密。 社交网络已成为人们在互联网上传播与共享信息、 进行社会交流活动以及基于位置服务的重要平台,具有覆盖面广泛、传播力度大、互动性、开放性、及时性和共享性等特点。 随着移动智能终端、传感设备等位置感知技术、社交网络服务的广泛应用,社交、位置和移动相融合是移动互联网发展的一个重要趋势,社交网站如Face Book、Twitter、 新浪微博等都提供并扩展了基于位置的服务功能,传统的位置服务功能,如QQ、微信提供的近邻信息查找也融入了社交化元素,形成了崭新的移动社交网络(Mobile Social Networking)。 但是随着众多位置服务的迅速发展, 位置隐私保护普遍受到关注,并且成为阻止这一应用快速发展的重要因素。 社交网络中基于位置的服务,用户根据需要时向服务提供商服务器提出位置相关的服务请求, 如查询离自己最近的医院、银行、饭店等,通过服务器处理用户的请求,最终用户获得了所需要的服务,但同时向不可信的第三方暴露了自己的具体地理位置, 很有可能被他人掌握和跟踪,从某种意义上用户的隐私和安全受到威胁。 在某种程度上, 用户的位置信息也是一项非常敏感的个人隐私数据,除了位置信息本身涉及个人隐私,还可以通过位置信息推测出用户其他的信息,如家庭住址、工作单位、兴趣爱好、 生活习惯、 健康状况等。 根据爱伦·威斯汀在《Privacy and Freedom》 一书的定义 , 隐私是指个人或团体决定何时、在何种程度下、以何种方式把关于自己的信息传递给他人的权利。 另外,如微信中的发现“附近的人”功能模块,可以搜索位于用户某一范围的邻近的人;Apple的智能手机操作系统IOS7.0版本以上中的 “常去地点”服务功能,即使用户关闭了定位服务功能,仍然能够通过Wi Fi、软件定位并记录用户行迹,移动用户所处的具体位置也很容易被不信任的第三方掌握。 随着大数据时代的到来,位置信息外泄的风险越来越大,攻击者可以从各种方式获取更多更广的与用户相关的数据,运用交叉分析、协同分析等数据分析方法可以对用户个人隐私信息进行更加准确更加细致的推测。 目前传统的基于位置的服务要求用户连续不断地向服务器传送自己的位置数据, 用户已经默许了被服务提供商被跟踪、并记录的事实,为了享受更多更便捷的服务,用户也愿意与不可信的第三方服务提供商共享自己的位置信息。 近年来,学术界致力于可靠实用的隐私保护技术,能最大限度保护用户位置等个人信息, 但是面临着以下挑战:第一,位置隐私保护是非常个性化的需求,不同用户、不同时间、不同地点,用户有着不同的安全需求;第二,隐私保护与数据可用性是矛盾的,服务提供商需要根据用户的位置信息处理与位置相关的服务请求,而用户则希望保护自己的个人隐私信息。 因此设计与实现基于位置的服务,既能最小程度上将用户个人的位置信息传递给服务提供商, 而又尽可能最大限度获得用户需要的服务,在移动网络环境中,具有很重要理论意义和实用价值。 在这篇文章中,我们着重关注社交网络近邻检测中的位置隐私保护,这是社交网络基于位置服务中一项重要的和发展迅速的基础服务。 通过私有的近邻检测,使一对具有信任关系的用户能够判断他们是否在许可的门限距离范围内,而不向任何第三方暴露相关他们位置的个人隐私信息。

2 基于私有相等性判断的近邻检测

2.1 近邻检测

基于位置服务的社交网络日趋活跃,近邻检测已经成为重要的基础服务。 它要求移动用户连续向服务器上传明文位置数据,服务器以此检测两个移到用户是否近邻,也就是判断距离是否小于给定的某一阈值。 为了保护用户个人的位置隐私信息,Laurynas譒ik觢nys,Jeppe R.Thomsen等人提出了“Grid-and-Hashing”的方法 ,将空间划分为统一的网格单元并赋予一个唯一的标识符ID,然后将用户所在单元的标识符ID经过哈希运算后发送给服务器,通过判断两个用户所在单元标识符的哈希值是否相等,来进行近邻检测,同时服务器无法掌握每个用户的具体的物理位置信息。 但由于网格的划分是预先指定的,即使两个移动用户相距甚近,也有可能被划分到不同的网格单元中,导致他们上传到服务器的哈希值不同,最终得到错误的检测结果。

2.2 近邻检测到相等性检验的的归约

本文将社交网络中近邻检测归约到密码学问题—私有相等性判断(Private Equality Testing,PET),考虑有服务器参与或无服务器参与两种不同的环境,当然在服务器环境中具有更高的效率,但不是能抵抗服务器与用户的合谋攻击。

设G是一网格,Lu是用户u的位置,以用户所处的网格为中心区域表示。对于任意两个用户u和v,相等性检验协议 Πu,v须满足:

假如Lu=Lv,则u知道Lv;

假如Lu≠Lv,则u除了知道Lu≠Lv以外不掌握有关Lv的任何信息。

在如图1所示的三个六边形网格G1,G2,G3中,方形点表示用户不在同一个网格单元时最小的距离,圆点表示用户在同一个网格单元的最大距离,在此运行上述协议 Πu,v,就得到了如下一个近邻检测协议 Π':

假如| Xu-Xv|燮δ,则u至少掌握了Lv1,Lv2和Lv3中的一个;

假如| Xu-Xv|≤γδ, 则u除了知道| Xu-Xv| >δ 以外不掌握有关Xv的任何信息。

Lu,i表示用户u在网格i上的量化的位置信息,δ 是六边形网格高的一半,γδ 是六边形的对角线长,Xu是用户u的精确位置。 显然协议 Π' 近邻检测的理想函数,它仅仅揭露量化的位置信息。

2.3 保密相等性检验协议

在很多文献中研究了保密相等性测试问题用来解决。

输入:用户a持有表示他的位置信息的值a,用户B持有表示他的位置信息的值b。

输出:假如a=b,则用户a知道b,否则不知道任何信息,而用户b不知道任何信息。

这是一个非对称的相等性检验, 在某种程度上,这种非对称确实能够满足社交网络的应用需求。

2.4 基于服务器的同步保密相等性检验协议

在这个协议中, 服务端仅仅在用户之间转发消息,而不进行任何的计算。 它是一个两轮的同步的协议,要求用户双 方必须在 线 , 假定标准 的判定性Diffie-Hellman问题是困难的 , 它能抵抗任意的合谋攻击。 协议如下:

上述协议是一个非对称的协议,即确保用户a知道用户b是否与他邻近,用户b并不能判断用户a是否与他相近。 如果想互相都能判断双方相近,执行两次协议即可。

3 基于位置标签的近邻检测

Qiu等人2009年首次提出位置标签的概念 ,它是一个短暂的,不可预知的与位置相关的随机数,可以从特定环境中的可用的不同的电子信号中提取。 实际上,它是一个与时空中的点相关的秘密值,具有再生性和不可预知性的特点,可以通过Wi Fi广播数据包、Wi Fi接入点标识、蓝牙、GPS、GSM等多种方式提取不同的多个位置标签。 基于位置标签的保密近邻检测,每一个用户持有多个具有不同环境下的位置标识,如何确定两个用户是否相近 , 可以转化 为保密计 算集合相 交 (Private Set Intersection,简称PSI)密码学问题。用户a和用户b分别持有集合A和B,希望能保密地计算| A∩B |,A和B分别表示用户的位置标识,当交集的大小超过了一个预先给定的门 限值t, 用户就可 以断定他 们相邻近 的 。Freedman,Nissim和Pinks(FNP) 于2004年基于不 经意多项式计算提出PSI协议。 他们用多项式来表示集合中的元素,并且集合的元素是多项式的根。 客户端将自己私有集合中的元素编码为一个环R上的度为v的多项式的根,即假定pkC是C的具有加法同态公钥密码体制(如Paillier加密)的公钥,C用pkC加密多项式的系数,并发送给服务器S,S对于每一个元素sj∈S同态地计算f,当且仅当sj∈S∩C时,就有f(sj)=0。服务器S对于每一个sj∈S=(s1,...,sw),随机选择rj计算uj=Ε(rjf(sj)+sj),并将uj返回给客户端。 如果sj∈S∩C,C通过解密掌握了sj,假如sj埸S∩C,C解密后得到一个随机值。 基于同态加密体制的保密集合交运算协议的一个劣势它的效率非常低,尤其在移动智能终端资源配置有限的情况下,达不到实用的程度。 本文提出一个基于RSA假设的改进的高效保密集合交运算协议, 极大程度上降低了计算复杂度和通信复杂度, 并且RSA的参数可以预先初始化生成。 该协议运行在Zp群,p是一个大素数,q是p-1的一个除数,安全性基于用户的随机分布的输入,位置标识的随机性。 具体协议如下:

上述协议也是一个非对称的协议, 执行上述协议,用户a掌握了双方位置集合的交集,通过判断交集的大小是否超过了一个预先给定的门限值t, 用户a就可以断定是否与b相邻近。

4 结束语

大数据时代用户的位置数据会从不同的视角和渠道被收集。 位置大数据在给人们的生活、商业运作方式以及科学研究带来巨大收益的同时,由于其中蕴含了人们的行为模式、习惯偏好和敏感信息等隐私信息,为人们带来了严重的隐私威胁。 位置信息是现实社会中是非常重要的个人隐私数据,如何保护个人位置隐私越来越受到学术界和工业界关注和重视,本文从更加坚定的理论立足点出发,提出了两个基于密码学的社交网络近邻检测的位置隐私保护协议,以达到实用化和对现实约束的最优化处理。 因此,结合社交关系的新型位置隐私模型与技术,以便能够全方位地深度保护用户的个人隐私信息,让更多的用户能够放心使用移动社交网络的各项应用服务。

摘要：近邻检测是社交网络基于位置服务(Location-Based Service,简称LBS)中一个极其重要和实用的基础服务。论文提出了两个基于密码学原语的社交网络近邻检测时的位置隐私保护协议,以满足实用化的需要和对现实约束的最优化处理。

源位置隐私 第7篇

用户在位置服务中的隐私保护一般分为以下两种: 查询隐私和位置隐私。例如,刘某想知道距离自己最近的公交车站,可以通过移动终端中的LBS应用软件来完成查询。这是LBS应用中比较普遍的一类最邻近查询服务[2]。用户不想其他任何人得知自己发出了哪种类型的业务请求,如与某特定区域有联系的公交车站的查询,同时也不希望泄露自己当前的地理位置( 比如医院) 。前一种情况属于查询隐私的保护范畴,第二种情况则属于位置隐私的保护范畴。随着用户对个人信息安全的日益重视, 如何为用户提供LBS近邻查询服务的同时又能保证用户隐私安全不受侵犯,成为信息安全领域的研究热点。

1现有位置隐私保护技术

当下主流的保护位置隐私的技术大致分为以下3类。

1. 1插入随机产生的假位置信息

其原理是,用户除了发送自己真实准确的位置信息以外,同时还发送多个随机生成的假信息给服务器。因此,即使恶意攻击者获取到服务器上存储的某个用户的数据,也无法轻易地从中分辨出该用户的准确地理位置信息。但是,服务器在处理每个用户的请求时,实际上要同时处理该用户提交的多个位置信息,无疑大大增加了服务器的开销,还在一定程度上延长了服务器处理相应服务请求的时间,试想当用户提出非常紧急的服务请求时,这个缺陷则是用户所不能忍受的,除此之外,此技术还要求移动终端具有一定的检索准确的服务信息的能力[3]。

1. 2参照物对象

其思想是,发起查询的用户发送给服务器的是某个参照物( 如路标) 或某个标志性对象的位置信息,而不是自身的真实地理位置,因而恶意攻击者截获到的并不是用户的真实位置,所以这种方法可以在一定程度上保护用户的隐私不被泄露,但需要该用户从服务器返回的响应中识别出哪些信息才是自己真正所需,这将会大大增加移动客户端的负担[4]。

1. 3位置信息的区域化

在这种方法中,发起查询的用户的真实地理位置由一个包含该用户准确位置的泛化的空间范围来替代。这个空间区域的构造可以借鉴k - 匿名机制。例如将用户的准确位置泛化为一个比较大的区域范围,而这个范围中包含了其他至少k - 1个移动用户。这种方法的局限在于由于服务器无法分辨出该用户在这个足够大区域中的准确位置,便必须从这个区域中按照一定原则选取位置点作为参考,在保证返回给查询用户的服务结果更准确的前提下如何选择参考点以及选择多少个参考点的判断无疑将会增加服务器的开销,此外也会不同程度地增加服务器的响应时间,还会大大降低其服务质量[5]。

2基于RSA盲签名的隐私保护技术

2. 1系统设计

本文在原有LBS体系结构下,提出了一种改进的隐私保护方法,其思想是将RSA盲签名技术作为位置隐私保护的一种机制,顺利实现了授权匿名身份的注册和验证,在很大程度上满足了用户的隐私要求。该设计中涉及到的应用程序具体如下:

客户端程序(Client),承载在用户的移动终端之上,主要负责为发起查询的用户注册匿名ID,与Provider共同协商查询过程中的会话密钥,在用户的位置发生变更时实时地更新动态位置信息,当收到发自其他用户的位置信息的询问请求时,执行特定的位置信息隐私控制策略。

服务端程序( Provider) ,承载在LBS服务提供商之上,主要负责当收到来自用户的处理请求时,首先认证该用户的合法性,接着为其授权具有唯一性的匿名身份,同时还负责该用户访问权限的终止与撤回。

生成器( Generator) ,运行在本地PC机上,用于在用户注册过程中的RSA公私钥对的生成以及相应的辅助计算,同时保证与Client交互过程中的安全性。

为了实现这三个应用程序之间的交互,本文主要设计了两种协议: 注册协议和访问控制协议。这两种协议是基于RSA密码体制中的盲签名的思想而实现的,其详细内容具体如下。

1) 注册协议: 注册协议负责授权匿名ID的下发。在移动用户成功注册后,就可以通过LBS应用软件使用该注册匿名ID来访问LBS服务提供商,同时,该授权匿名ID与该用户的真实身份完全独立,不存在任何关系,无线链路上的恶意攻击者即使窃取到该用户与LBS服务器交互过程中所使用到的这个匿名ID,也无法将其与用户的真实身份联系起来,更不用说获取到该用户的真实地理位置了。注册协议如图1所示。

该协议主要由三部分内容构成: 授权匿名ID的产生, 公私钥对( 与用户有关的个人隐私信息毫无关联) 的生成,Client( 以下简称为C) 与Provider( 以下简称为P) 的认证。如前假设,C与P之间的通信过程是完全保密的,安全的,Generator则在与互联网物理隔断的本地计算机上实现,然后将所生成的公私钥对通过数据线传送到用户的移动终端上。该协议中,认证过程是双向的,C在进行签名以后,会获得一个授权的匿名ID,并且该身份自生成起便被添加了一个过期时间戳,也就是说,超过有效时间以后,该ID可以被判为无效,从而无法继续使用。为了防止恶意攻击者运用数据挖掘技术找出用户真实身份与过期时间戳的联系,从而识别出用户的真实身份,该协议将移动用户的过期时间戳设定为不唯一的,也就是说,在相同时间段内注册的有效用户共享同一个过期时间戳。此外, 当有效用户再次发起LBS请求时,用户不需要再次提供在注册协议中用到的加密的身份,而仅需要提交首次注册时生成的匿名ID即可完成第二部分中的认证过程。通过以上验证后,P将会为C的新公钥生成一个新的带过期时间戳的签名,这样用户就完成了新的授权匿名ID的获取。 该协议中的授权匿名身份彻底切断了它与用户真实身份之间的联系。用户只有在授权匿名ID过期以后,才需要利用如图1所示的注册协议重新认证,从而获得一个新的匿名ID完成下一部分与LBS服务提供商的通信。

2) 访问控制协议: 当C获取了授权匿名ID以后,该用户就通过访问控制协议来访问LBS服务提供商,获取对应的查询结果信息。从图2中不难看出,该协议的实现主要包括以下两个阶段: 授权匿名ID的认证过程以及会话密钥的协商过程。当P收到来自C的查询请求后,首先验证C的公钥是否真实有效,接下来验证在第一部分中获取到的匿名ID的有效性,经过这部分处理以后,当核实该公钥拥有有效的数字签名,并且生存期也在有效范围内以后,P紧接着与C协商会话密钥用于随后进行的信息交互过程。

2. 2新模式的安全性分析

新模式的优点主要体现在如下几个方面:

首先,假设恶意攻击者从无线链路中截获到与用户有关的数据信息,比如: 注册阶段中用户与服务器交互的信息,访问控制协议中用户与服务器交互的信息,成功建立连接后,用户与服务器之间传输的信息。

在注册过程中,用户X用公钥加密以后生成密文m3,恶意窃听者只有在知晓用户采用公钥的前提下,才能破解此公钥算法,截获到明文信息,这种可能性非常小; m4是P给C的签名,但是这个签名是带有盲因子的,假如恶意窃听者获取到这个签名,但由于并不知晓盲因子,因此仍然无法获取C的真实签名信息。

在访问控制阶段,假如恶意窃听者截获到C发送给P的请求,也无法破解出m0,因为m0中带有由P的私钥对C的公钥产生的签名,在进行解密运算时如果不使用事先约定好的私钥,就无法解出明文。此外,如果恶意攻击者偷偷修改认证请求,将无法通过A的检测从而终止通信过程; m是用P的公钥加密生成的密文,虽然公钥可用来加密,但却不能用来解密,m1中带有该密文的hash值,恶意攻击者无法修改它,并且由于m1还包含由C的公钥加密以后得到的会话密钥,同样无法被解密。

成功建立连接后,C与P之间所有的信息传输将会由之前产生的会话密钥来加密,恶意窃听者破解这个密钥的难度非常大,几乎无法实现,因此将无法获取到明文。不仅如此,鉴于用户C在注册协议中生成的公私钥对中不包含任何个人信息,并且由于P在签名时,盲因子已对该用户的公钥进行盲化处理,因此该用户的公钥对P是不可见的。在接下来的交互过程中,窃听者也同样无法知晓使用匿名ID发送认证请求的用户的真实身份。不难发现,这种方式就实现了用户对其位置隐私的控制。除此之外,因为采用了公钥算法的缘故,这个方案能克服一些原有模式中计算复杂度高、开销大的弱点,从而在最大程度上发挥全性方面的优势。

3性能测试

3. 1测试环境

模拟测试采用著名的Thomas Brinkhoff路网数据生成器,以城市Oldenburg的交通路网( 周长大约6 000 km) 作为输入,生成模拟数据. 算法采用C语言实现,在处理器CPU Intel Pentium 4主频2. 0 GHz、内存2 Gbyte的平台上运行。

3. 2测试结果

实验评测了匿名处理时间、匿名成功率和内存占用随着隐私度( k ) 增加的变化情况,测试结果如下。

3. 2. 1匿名处理时间测试

匿名处理时间指的是用户的查询请求从提出到匿名成功所花费的时间。如图3所示,各个模式的匿名处理时间均随着隐私度的增加而增长。这是因为随着隐私度的增长,每一个查询均需要更多的时间处理、等待才能匿名成功。如图3所示,新模式相对于另外三种模式,在处理隐私度较高的查询时,处理时间并没有急剧上升,波动很小,性能上得到了较大改善,与预期的结果相符合。

3. 2. 2匿名成功率测试

该测试的目的主要是为了比较各个模式在外部环境相同的前提下随着隐私度的增加,处理查询请求的匿名成功率的情况。

匿名成功率是用户成功获得的匿名查询数量占发送的总查询数的百分比。隐私度k的值越大,代表用户的隐私保密要求更加严格。如图4所示,随着隐私度k的增长,成功率逐渐下降,但是新模式相对于其他3种模式在隐私度较大的情况下,成功率依然保持在94% 以上,性能上得到了较大改善,与预期的结果相符合。

3. 2. 3内存消耗测试

该测试的目的主要是为了比较各个模式在外部环境相同的前提下,在处理过程中内存空间的开销情况,绘制内存占用图。如图5所示,新模式的内存占用与另外三种算法相比,性能上得到了较大改善,与预期的结果相符合。

通过对各个算法在匿名处理时间、匿名成功率和内存占用方面的测试可以得出以下结论:

1) 改进的模式不受隐私度的限制。

2) 改进的模式在随着用户的隐私度增加的情况下匿名成功率较高,能够很好地抵抗高隐私度带来的性能低的问题。

3) 改进的模式对内存资源的消耗并没有很大的增长。

4总结

本文通过对各种位置隐私保护技术进行分析和总结, 基于RSA密码体制提出了一种盲签名方案,并基于此方案, 借助现有LBS架构体系和公钥体质的支撑,提出了一种基于授权匿名身份的位置隐私保护技术。仿真实验证明了这种新的模式能有效地降低恶意攻击者对用户位置信息的识别率,大大加强了对用户隐私的保护,而且该算法在内存占用上有显著地改进,是一个切实可行的模式。

摘要：针对传统的基于位置的服务(LBS)隐私保护模式的不足,提出了一种新的位置隐私保护技术,利用RSA密码体制,构造一种盲签名方案来实现用户真实身份的隐藏,从而达到了保护位置信息的目的,实现用户对位置隐私的完全控制,分析结果 表明,该技术能有效降低通信开销以及服务器与客户端的处理代价。