PDF《移动环境下的位置隐私》

第三, 连接泄露(Link Attack) ,指攻击者可以通过 位置 连接外部的数据源(或者背景知识)从而确定在该位置 或者发送该消息的用户. 2. 位置隐私保护面临的挑战 在移动环境中, 由于位置信息的特殊性及移动对象对高质量的位置服务的需求, 位置隐私保护技术面临的 主要挑战为: 第一,保护位置隐私与享受服务是一对矛盾.移动环境下用户使用基于位置的服务时,需要发送自己的当 前位置信息,位置信息越精确,服务质量越高,隐私度却越低,位置隐私和服务质量之间的平衡是一个难处理 却又必须考虑的问题.这里考虑的服务质量包含响应时间,通讯代价等等,与具体的环境有关. 第二,位置信息的多维性特点.在移动环境下,移动对象的位置信息是多维的,每一维之间互相影响,无 法单独处理.这时采用的隐私保护技术,必须把位置信息看作一个整体,在一个多维的空间中,处理每一个位 置信息.其中的处理包括存储,索引,查询处理等技术. 第三,位置匿名的即时性特点.在移动环境下,通常处理器面临着大量移动对象连续的服务请求以及连续 改变的位置信息,使得匿名处理的数据量巨大而且频繁的变化.在这种在线(Online)的环境下,处理器的性 能即匿名处理的效率是一个重要的影响因素,响应时间也是用户的满意度的一个重要衡量标准.其次,位置隐 私还要考虑对用户的连续位置保护的问题, 或者说对用户的轨迹提供保护, 而不仅仅处理当前的单一位置信息. 因为攻击者有可能积累用户的历史信息来分析用户的隐私. 第四,基于位置匿名的查询处理.在移动环境中,用户提出基于位置的服务请求.每一个移动对象不但关 注个人位置隐私是否受到保护, 同时还关心服务请求的查询响应质量. 服务提供商根据用户提供的位置信息进 行查询处理并把结果返回给用户. 经过匿名处理的位置信息, 通常是对精确的位置点进行模糊化处理后的位置 区域. 这样的位置信息传送给服务提供商进行查询处理时, 得到的查询结果跟精确的位置点的查询结果是不一 样的. 如何找到合适的查询结果集, 使得真实的查询结果被包含在里面, 同时也没有浪费通讯代价和计算代价, 是匿名成功之后需要处理的主要问题. 第五,位置隐私需求个性化.隐私保护的程度问题并不是一个技术问题,而属于个人事件.不同的用户具 有不同的隐私需求, 即使相同的用户在不同的时间和地点隐私需求也不同. 例如用户在休闲娱乐时 (比如逛街) 隐私度要求比较低,但是在看病或参与政治金融相关的活动时隐私度比较高.所以,技术不能迫使社会大众共 同接受一个最小的隐私标准. 3. 位置隐私保护技术 在位置隐私保护中主要有两方面的工作:第一,位置匿名(Location Anonymization) .匿名[6]指的是一种 状态,这种状态下很多对象组成一个集合,从集合外向集合里看,组成集合的各个对象无法区别,这个集合称 为匿名集. 位置匿名是指[9]系统能够保证无法将某一个位置信息通过推理攻击的方式与确切的个人/组织/机构 相匹配.在LBS 中的位置匿名处理要求经过某种手段处理用户的位置,使得个体位置无法识别从而起到保护 用户位置的目的.第二,查询处理.感知位置隐私的 LBS 系统中,位置信息经过匿名处理不再是用户的真实 位置,可能是多个位置的集合也可能是一个模糊化(Obfuscation)的位置.所以,在位置服务器端,查询处理 器的处理无法继续采用传统移动对象数据库中的查询处理方式,因为后者的技术均以确切的位置信息为基础. 可以在原有技术的基础上进行改进和修改,从而使其适应新的查询处理要求. 3.1 系统结构 在对移动对象的基于位置的服务请求进行响应时, 必须首先确定所采用的系统结构. 位置匿名系统的结构 有三种:独立结构(Non-cooperative Architecture) 、中心服务器结构(Centralized Architecture)和分布式的点 对点结构(Peer-to-peer Architecture) .独立结构中用户仅利用自己的知识、由客户端自身完成位置匿名的工作, 从而达到保护位置隐私的目的;