| 标题 | 多用户位置共享隐私保护框架研究 |
| 范文 | 摘 要:针对多用户位置共享场景下的隐私保护问题,基于区域混淆发布的用户位置隐私保护方法无法解决多用户汇合问题,而基于位置概率的精确假位置混淆发布方法执行效率较低,因此提出多用户位置共享隐私保护框架以解决该难题。对于不共享位置的用户,以及与好友距离较远时共享位置的用户,采用k-时空匿名思想将位置发布成安全区域;对与好友距离小于阈值的共享位置用户,根据位置点概率发布思想及类HMM模型,将安全区域发布切换成假位置点发布;当两用户过于接近时,将其视为一个用户并将假位置点发布重新切换成安全区域发布。通过将两种位置发布方法的响应时间进行对比,得出结论:该框架能高效地对多用户位置共享下的用户位置进行隐私保护。 关键词:位置共享;隐私保护;概率发布;k-时空匿名;HMM DOI:10. 11907/rjdk. 182279 中图分类号:TP309文献标识码:A文章编号:1672-7800(2019)004-0153-05 0 引言 近年来,由于智能手机及其它智能移动设备的普及,移动互联网得到了迅速发展。移动互联网将互联网技术与移动通信技术相对接,使智能移动终端加入互联网平台,并开展商业应用。根据中国移动2018年5月公布的运营数据显示,仅移动一家的4G用户即达到6.718 23亿户。极光大数据2018年移动互联网行业数据研究报告指出,中国移动网民(指通过移动终端参与互联网活动的公民)每日平均花费4.2小时使用手机APP。同时,智能移动终端所特有的定位方式催生出各种LBS(基于位置服务)应用,使移动互联网活动带给用户前所未有的新体验。如在线旅游、共享单车、团购外卖类APP均是由LBS辅助,网络社交类、地图导航类APP也是依赖LBS为用户提供服务。笔者于2017年提出一种基于LBS的多用户位置共享方法MULS[1],指出市场上多数基于LBS的应用缺乏用户间的位置交互。通过引入MULS方法,可使LBS充分发挥对应用的辅助功能,提升应用服务层次,拓宽应用业务范围。高德导航与微信的APP目前也已出现基于多用户位置共享思想的新功能。 位置服务通过虚实结合(线上线下)为用户提供便利,并在大数据背景下为数据分析与挖掘带来新的发挥空间。但是位置信息泄露也成为人们关注的问题:对包含位置信息的应用服务数据进行适当分析与挖掘,不仅可直接获取用户历史位置记录[2],还可能通过时空位置序列规律推导用户出行规律;通过用户历史移动轨迹,可能分析出特殊用户的行为模式及生活方式等[3];服务提供商历史用户服务数据的泄露会造成用户信息滥用,或出现倒卖用户信息等违法现象。因此,许多学者对于位置隐私保护领域进行研究,并针对特定场景提出一些行之有效的保护措施,但对于多用户位置共享下的位置隐私保护尚无特别有效的保护措施。本文提出在多用户位置共享下的隐私保护框架,该框架能解决位置共享与位置隐私保护之间的冲突,在不影响用户位置共享体验的前提下,可对用户位置隐私进行有效保护。 1 相关工作 国内外学者针对不同场景下的位置隐私保护提出了许多不同解决方案。从保护对象角度出发,隐私保护分为用户位置信息隐私保护和服务提供商历史位置点服务信息隐私保护[4-5];从位置发布方式角度出发,分为单一位置隐私保护和连续移动轨迹隐私保护[6-8]。不管是哪种隐私保护,其目的都是保护用户隐私,也即是说服务数据可以加以使用,但不能让数据与实际用户直接产生联系,不能将某个或某些敏感位置同用户真实身份关联起来。近年来,隐私保护研究取得了大量成果,可通过假名[2]、匿名[9]、位置混淆[10]以及加密技术[11]等实现隐私保护。 假名策略原理简单,采用符号代替用户真实姓名与用户位置进行关联。该策略运行效率较高,但在用户位置特殊的情况下,攻击者能迅速将假名与用户真实身份相关联,且假名策略对于用户连续移动轨迹的隐私保护效果甚微;匿名策略又分为空间匿名和时空匿名。空间匿名通过泛化用户位置,降低对象空间粒度,用一个空间区域代替用户真实精确位置,且区域形状不限(常用矩形与圆形)。该策略针对单一位置的隐私保护效果较好,但运行效率较假名策略低,且当用户位置持续移动时,有可能超出泛化空间区域。对其进行改良后,出现了时空匿名策略。时空匿名在空间匿名基础上增加了时间轴,在不断重建位置区域的同时延迟响应时间。时空匿名策略的隐私匿名度更高,但同时会降低服务效率;位置混淆也称为假位置,即将用户当前位置发布为用户历史位置或虚假位置。该策略在单一瞬时位置保护上比假名策略的隐私保护性更强,攻击者获取用户当前发布位置也无法推测出用户实际位置。将其应用于连续移动轨迹隐私保护中,若在移动位置序列中发布的假位置太少,则攻击者仍能根据整个移动位置序列中的特征规律甄别出用户,若发布的假位置太多,则会严重影响服务效率[12];对用户提交给服务提供商,再由服务提供商提交给云平台的位置及相关信息进行加密也是一种有效的位置隐私保护策略。攻击者获取已加密数据后要先进行破解,然后才能进行挖掘并寻找有用信息,从而使攻击难度及成本大大提高。但加解密过程本身也增加了服务商及云平台运算负担,运行效率较其它策略有一定程度下降[13-14]。 然而,上述工作未专门针对多用户位置共享场景给出有效的隐私保护机制。随着高德导航和微信两个地图导航及社交网络类应用代表推出多用户位置共享功能,可预测将有更多LBS应用对其进行效仿。因此,为多用户位置共享设计有效的保护机制势在必行。本文结合前人研究成果,针对多用户位置共享功能中位置共享与位置隐私保护的冲突,提出多用戶位置共享隐私保护框架。该框架能在用户具有良好共享体验的前提下,有效保障用户位置隐私。 2 问题描述 在传统LBS应用中,位置信息传递一般只存在于位置查询发起用户与服务商之间。因此,传统位置隐私攻击一般将攻击重点放在位置查询发起端,或对服务商数据进行挖掘攻击。 在多用户位置共享中,假设有3个用户A、B、C,A可通过位置查询获取自身当前位置,还可通过服务商将该位置分享给好友B和C。也即是说,B、C不仅可以通过位置查询获取自身当前位置,还可通过服务商获取A的当前位置。如果该服务商允许共享用户间移动轨迹,则B、C还可获取到A历史位置序列。在该场景中,若攻击者想获取A的隐私位置,不仅可以通过A的终端及服务商历史数据,还可通过A的好友列表从其他用户终端获取。并且在很多情况下,由于A、B、C想借助共享位置进行汇合,要求发布共享的位置必须精确,从而使攻击者更容易得到用户隐私位置,多用戶位置共享下的位置隐私保护也变得更加困难[1]。 3 多用户位置共享隐私保护框架 该隐私保护框架与传统隐私保护不同,首先要对多用户位置共享中的用户位置出现情况进行分析。仍然以A、B、C 3用户为例,A与B、C分享自己的位置。在A进行位置查询后,哪些角色会获取A的位置?主要包括:①A会实时获取自身当前位置;②服务提供商数据库会将A的当前位置与其最近一次位置进行比对。若两位置不同,则将A当前位置及时间保存并添加到A的移动轨迹中;③若时间满足推送频率,且A当前位置被保存,则服务器根据A的好友列表将A的当前位置推送给B和C。因此,A用户位置可能存在于3个不同地方:A终端、好友终端与服务商数据库。本文提出的框架在兼顾用户共享体验并保证运行效率的同时,可对用户隐私进行全方位保护。由于在服务商数据库中对用户历史数据进行隐私保护属于后期隐私保护,可单独使用BF-P2Ak[15]技术对历史数据集D进行过滤,形成安全数据集D′ ,以保证数据有效性及用户数据的k-匿名。因此,本文仅从前两方面介绍框架具体内容。 3.1 非位置共享用户位置保护 假设A不与其他用户共享自己的位置,并假设攻击者能远程监听A终端,获取A发布的位置信息。本文尝试采用时空匿名方式将用户具体位置泛化成区域,使攻击者仅能得到模糊位置,而A可以根据周围场景对自身位置进行确认。但随着用户移动并进行频繁的连续位置查询,发布的位置按照时间轴会形成模糊移动轨迹,可将其看作一个位置区域序列。虽然时空匿名会不断重建区域,似乎一直无法得到A的精确位置,但若随时间轴将一系列重建区域联系起来,根据移动轨迹的空间相关性,攻击者还是能够缩小用户位置区域。随着用户的不断移动,位置区域也会越来越小,最终锁定用户的精确位置(见图1)。 因此,本文对该空间匿名方法进行优化。结合k-匿名思想,在每次泛化用户位置区域的同时,通过服务器查找A附近其他用户。将位置区域构建成包含A在内用户数u≥k的矩形区域,并称之为安全区域[16-18],在安全区域内无法分辨k个用户中哪个是A。当用户移动位置超出该安全区域,服务器将重建此区域,该方法被称为k-时空匿名。 图2简单描述了采用k-时空匿名优化空间匿名方法后的效果。假设k=4,在图中每个矩形区域内,星形为A每次进行位置查询后发布的位置,圆环为其他用户位置。几乎每次重建的安全区域都包括至少4个用户,但第2个区域只有3个用户,用户数u小于k。此时有两种方案可供选择,对此次查询位置不进行发布,或在发布该位置的同时随机虚拟出多个其他用户位置。图2采用后一种方案,使第二个安全区域的用户数u=k,其中小矩形即为虚拟用户位置。使用k-时空匿名构建安全区域,不仅泛化了A的位置,并且在连续移动过程中,不断重建的安全区域联合分析出的移动轨迹与用户A的实际移动轨迹不同。图2中连接每颗星形的轨迹为A的移动轨迹,另一条轨迹为安全区域联合分析出的移动轨迹。由于每个安全区域都至少有k个用户,攻击者跟随大致移动轨迹进行寻找,也难以在当前安全区域内从k个用户中锁定A。 3.2 位置共享用户位置保护 该框架可对位置查询用户A进行保护,那么当A的位置被分享给其他用户后,其是否还能被有效保护?假设A与B、C共享自身位置,并假设攻击者能远程监听A、B、C三者终端。随着A位置的变化,服务器会在数据库中查询A的好友列表,并按照一定频率将A的最新位置逐一推送给B和C。按照3.1节中的k-时空匿名方法,B和C查询到的自身当前位置,以及服务器推送给B和C的A当前位置也同样是重建后的安全区域,从而使B、C在大致了解A位置的同时,没有增加攻击者获取A位置的信息量。 为了保证用户具有良好的位置共享体验,服务端要以一定频率不断对A及A的好友位置距离进行计算。当A与其任意好友的距离S小于等于某值时,则理解为A要与该好友汇合。此时若将用户位置简单发布成k-时空匿名安全区域,则会严重影响用户的位置共享体验,A与A的好友将难以通过位置共享快速找到对方,但若将位置发布成实际位置又会将其暴露。因此,将A和B位置发布为假位置点,也称为观察位置。如图3所示,星形点为A的位置,A所在安全区域对角线长为S1;螺旋形点为B的位置,B所在安全区域对角线长为S2。在汇合过程中,当A和B的安全区域逐渐接近时,将两区域中心点距离视作A与B的距离S。当Smin 多用户位置共享隐私保护框架将位置点概率发布的思想,结合类HMM模型以及隐藏状态到观察状态的发布概率矩阵进行假位置发布[19-20]。由于A是位置共享方,将A的敏感位置按照提前建立的模型发布成观察位置A′ 。图4为A位置发布模型,当A位置准备发布成假位置时,将A所在安全区域中k个(设k=5)用户实际位置看作敏感位置,构成隐藏位置集合H={h1,…,h5}。这里选取n个(设n=4)观察位置作为可能发布的假位置,构成观察位置集合O={o1,…,o4},其中每个隐藏位置hi(i∈[1,5])都有一定概率发布成任意一个观察位置oj(j∈[1,4])。图5是将隐藏位置发布成观察位置的概率矩阵R,每个rij表示将隐藏位置hi发布成观察位置oj的概率。 當Smin 4 效果论证 多用户位置共享中的用户位置保护有以下两个难点:一是用户位置随着用户的不断移动会形成轨迹,从而使针对单一瞬时位置的隐私保护策略失效;二是当好友汇合时,用户间的共享位置最终要作为用户行动的导向,因此位置不能发布成区域,必须是位置点,从而使一系列泛化位置的隐私保护策略失效。然而,现有针对移动轨迹的位置点发布隐私保护策略,执行效率远低于位置区域发布隐私保护策略[14]。图6大致展示了位置点概率发布响应时间随敏感位置数目变化的趋势[12]。从图中可以看出,位置点概率发布响应时间超过24s。图7展示了k-时空匿名安全区域发布响应时间随k值的变化规律。k值越大,隐私保护度越高,但响应时间会缩短。当k=5时,响应时间仍小于4s。显然两类技术中,位置区域发布比位置点发布的响应时间短得多。多用户位置共享隐私保护框架对非位置共享用户,以及还不需要精确位置点进行导航的位置共享用户采用k-时空匿名安全区域发布方法,既对用户位置进行了保护,又保证了服务的快速响应。当且仅当位置共享用户与好友即将见面Smin 5 结语 本文提出的多用户位置共享隐私保护框架从用户位置可能存在的两种不同情况出发,分别给出最合适的隐私保护策略,其中的难点为对位置共享用户的位置保护。针对多用户位置共享中位置共享与位置隐私保护的冲突,该隐私保护框架在位置共享好友间距较远时采用k-时空匿名方法。当好友间距Smin 该框架在保证执行效率的前提下,有效解决了多用户位置共享下既要保证用户良好的共享体验,又要对用户位置进行有效保护的难题。未来将对该框架不断进行完善,以进一步提高整体执行效率。 参考文献: [1] 龚宁静,冷静. 一种基于LBS的多用户位置共享方法MULS[J]. 软件导刊,2017(12):143-146. [2] GRUTESER M,GRUNWALD D. Anonymous usage of location based services through spatial and temporal cloaking[C]. Proceedings of the International Conference on Mobile Systems,Applications,and Services(MobiSys03),San Fransisco,USA,2003:31-42. [3] ZHENG H. A survey of trajectory privacy-preserving techniques[J].? Chinese Journal of Computers, 2011, 34(10):1820-1830. [4] 霍峥,孟小峰. 轨迹隐私保护技术研究[J]. 计算机学报,2011(10):1820-1830. [5] 潘媛媛,王岌. LBS中位置隐私保护研究[J]. 软件导刊,2016(12):147-149. [6] 唐红梅,闫春杰,郭强. 连续LBS查询环境下的改进K匿名隐私保护方案[J]. 通信技术,2017(8):1805-1809. [7] KRUMM J. A survey of computational location privacy[J]. Personal and Ubiquitous Computing,2009,13(6):391-399. [8] YAROVOY R,BONCHI F,LAKSHMANAN L,et al. Anonymizing moving objects:How to hide a MOB in a crowd[C]. Proccedings of the 12th International Conference on Extending Database Technology:Advances in Database Technology(EDBT‘09),Saint-Petersburg,2009:72-83. [9] BERESFORD A R,RICE A,SKEHIN N,et al. Mockdroid:trading privacy for application functionality on smartphones[C]. Proccedings of the 12th Workshop on Mobile Computing Systems and Applications.Phoenix,USA,2011:49-54. [10] HONG J I,LANDAY JA. An architecture for privacy-scensitive ubiquitous computing [C]. Proceedings of the 2nd International Conference on Mobile Systeims,Applications and Services,2004:177-189. [11] MASCETTI S,FRENI D,BETTINI C,et al. Privacy in Geo-social networks:proximity notification with untrusted service providers and curious buddies[J]. The VLDB Journal-The International Journal on Very Large Data Bases,2011,20(4):541-566. [12] 李婕. 基于PSO优化的移动位置隐私保护算法[J]. 计算机学报,2018(5):1037-1051. [13] 马鑫迪. 轻量级位置感知推荐系统隐私保护框架[J]. 计算机学报,2017(5):1017-1030. [14] 周凯,彭长根. 可证明安全的LBS中连续查询的轨迹隐私保护方案[J],信息网络安全,2017(1):43-47. [15] RUGGERO G PENSA,ANNA MOUREALE,FABIO PINELLI,et al.Pattern-preserving k-anonymization of sequences and its application to mobility data mining[C]. Proceedings of the Ist International Workshop on Privacy in Location-Based Applications(PiLBA08). Malaga,Spain,2008. [16] 倪巍偉,马中系,陈萧. 面向路网隐私保护连续近邻查询的安全区域构建[J]. 计算机学报,2016(3):628-642. [17] 霍峥,孟晓峰,黄毅. PrivateChekIn:一种移动社交网络中的轨迹隐私保护方法[J]. 计算机学报,2013(4):716-726. [18] 冀亚丽,桂小林. 支持轨迹隐私保护的两阶段用户兴趣区构建方法[J]. 计算机学报,2017(12):2734-2747. [19] TENG G E, CHANG-ZHENG H E, JIANG X Y. Research advancement of hidden Markov model and its application in management[J]. Soft Science,2012,26(2):122-126. [20] RABINER L R,JUANG B H.An introduction to hidden Markov models[J]. ASSP Magazine,1986,3(1):4-16. (责任编辑:黄 健) |
| 随便看 |
|
科学优质学术资源、百科知识分享平台,免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。