定位服务中的位置隐私保护策略

1、第27卷第4期武汉理工大学学报信息与管理工程版V ol .27N o .42005年8月JO U RN A L O F WU T (IN F OR M A T IO N &M A N A GEM EN T EN G IN EERIN G A ug .2005文章编号:1007-144X (200504-0031-04收稿日期:2005-04-02.作者简介:常翠芝(1975-,女,湖北钟祥人,武汉理工大学信息工程学院硕士研究生.定位服务中的位置隐私保护策略常翠芝1,邹中元2(1.武汉理工大学信息工程学院,湖北武汉430070;2.盛帆电子股份有限公司研发中心,湖北武汉430072摘要:随着定位

2、技术越来越成熟,提供的准确度也越来越高,同时服务消费者的隐私保护问题也日益受到关注,基于此提出了如何让消费者自己选择不同的位置精度。首先阐述了构建策略可能要用到的概念,即对定位对象的观测,观测参数包括对象的身份、观测时间及对象速度,主要思想是使用户能够自主调整要发布的观察结果的准确度,这取决于参数,诸如获取这些位置信息的目的、接受者本人身份等,最后用巴斯科诺尔范式构建个人位置隐私策略的部分语言,并设计了几个例子予以说明。关键词:定位服务;隐私策略;格中图法分类号:T N 929.533文献标识码:A1前言移动定位服务是指通过无线终端和无线网络的配合,确定移动用户的实际位置信息(经纬度坐标数据,

3、提供用户所需的与位置和方向相关的增值服务,比如手机间互相查询,紧急救援定位等服务。最典型的例子包括美国的E-911紧急服务和“最近的XX (饭店,旅社在哪儿”等诸如此类的服务。然而由于施行这种服务常常暴露了个人的敏感信息,因此有几个关于隐私问题值得考虑,调查表明很多用户担心自己的隐私问题1,隐私权的保护受到广大用户的关注,从某种意义上说,态度、隐私、法律管制等给LBS 的部署带来了障碍2,如果人们能设计一种方法来增进信任并且建立许可证明,这样可能会减少LBS 的部署障碍。目前在有些国家法律要求处理个人敏感信息(如位置数据时要经过许可,例如“挪威的个人数据法”。关键问题是在哪种情况下以及谁有权利

4、获取位置信息。解决方案之一是应该给用户在位置服务中可以按自己的实际需要选择自己的位置隐私策略,且这种工具既实用又可管理,人们就可能更愿意公布他们的敏感信息了。2策略概念目前制定WWW 相关技术国际标准的团体W 3C (World Wide Conso rtium 公布了P 3P (Platfor m fo r Preference1.03。P3P 的特点是提高了用户的控制功能,能够以用户理解的形式进行确认。通过使用P 3P ,可以开发全新的W eb 工具/Web 服务,有助于用户隐私的保护,同时也促使电子商务趋于公平合理4。笔者提出的方法是向用户提供控制方法以控制向服务供应商公布位置数据的准确

5、度。位置隐私策略可以反映在3个不同的层次上,即用户界面;逻辑结构;机器语言描述。以下重点讨论与策略的逻辑结构相关的概念。策略是具体说明对哪些地址信息应该什么时候公布给谁。隐私和控制信息流的能力紧密相关,策略的目的是具体指明什么信息能被公布,要公布的信息的关键要素就是观测的关键要素:观察的时间;定位对象被观测的位置;定位对象在被观测时的速度;被观测的定位对象的身份,为简便起见,当提到时间、地点等暂忽略单位问题。假定观察时刻为t 1,当前时刻是t 2,(t 1t 2,观测的定位对象在位置(a ,b ,c ,定位对象身份为i ,已知其速度在v 1和v 2之间,那么可公布的观测结果构成如下格:OBS(

6、t 1,t 2,(a ,b ,c ,i ,v 1,v 2=T L(t 1,t 2SL(a ,b ,c IL(i V L(v 1,v 2(1TL(t 1,t 2=x t 1x x A t t t 2;SL(a ,b ,c =s (a ,b ,c s ,IL(i =x i xx A N;VL(v1,v2=svv1vv2A s(2所有可公布的观察集可定义如下集合: OBSERV=t1t2(a,b,ciN(OBS(t1,t2,(a,b,c,i,v1,v2(3对于一个定位对象,实质有2种查询:“你在哪儿”;“你在武汉吗”。在请求中,要求信息元的绝对值,而情况要2个信息元,然而在2种情况下,查询的动机是证

7、实定位对象的身份、地点、时间之间的关系。那么概括起来发出请求的环境包含如下要素:当前时间N;服务提供商;服务消费者;服务发起者;服务请求者身份;目的:格;请求类型:信息证实;查询预期:观测设P代表某种策略,用评估函数eval(.来定义其含义,这里引入强制性策略,强制性策略限定了一些最低限度的要求,在这里强制性策略可解释为可公布信息的准确度的上限,设P1是强制性策略,即在既定的情况下可公布信息的最大准确度;P2是任意策略。则可定义策略P1JOIN P2如下。eval(P1JOIN P1=K b1c.g lb(eal(p1(b(1(c,eval(p2(b(1(c若规定策略就是降低观测准确度的规则,

8、能将强制策略的评估函数的输出结果作为一般函数的输入。ev al(P1FILTER P2=K b1c.ev al(P2(K12t.eval(P1(b(12(c+CT t(1(c这里c+CT t指的是在情况c下,根据响应的当前时间c的域被值t取代。思路为若有人在t1时刻执行策略P2,很可能有一个或更多的人在t2时刻执行P1,那么应该是在t2时刻而不是t1时刻来决定能公布的信息。3构建位置隐私策略语言段3.1策略程序阐述了基本概念之后,现在可以说明怎样定义策略。对每一个定位对象而言,都将有一个默认(缺省公布策略,即规定在所有没有具体说明的情况下愿意公布位置信息。策略的其余部分包含有序对列表,每对包含

9、一个警戒和一个响应。用类似符号的巴斯科诺尔范式说明。(策略:=(/默认响应(+鉴于可读性和限于篇幅,将程序简述如下:=初始观测(下一步观测(,Ng lb(,(查询预期在公布什么信息的决策取决于与服务请求者相联系的观测的情况下,规定初始观测(函数指在请求者和定位对象为同一个人的情况下来自位置提供商的未经处理的原始位置数据,在其他情况下,该观测要受到适当安全策略的过滤,下一级的操作员将接收到一部分观测数据并且返回一些没有具体说明的成分,第二个参数N具体说明减小的准确度大小。警戒可以由标准逻辑运算符和各种测试构成,测试包括观察时间、地点等方面。警戒可以由标准逻辑运算符和各种测试构成,测试包括观测时间

10、、空间等方面。:=.;各单元测试由格命令、等号和各种速记符及比较谓词构成,例如定义位置对还是很有用的,这些位置对具体指明定位物体在彼此邻近区域,重要的是这些谓词使策略显得简洁。:=(=+/例如:是星期天?:=(=+/例如:在武汉?限于篇幅,类似的等不再具体阐述。以上测试条件由环境变量、常量,格中的32武汉理工大学学报信息与管理工程版2005年8月glb(.运算符、观察投影运算符及下一级操作组成。限于篇幅,仅对时间的说明程序阐述如下:=glb(,/来自环境.时间下一级的时间(.,N,等与此类似,在此不再赘述。3.2隐私策略的应用情境为说明上述概念和策略是如何应用的,设计了几个例子,首先选择某些策

11、略具体规定信息公布给特定个人。策略一:“在我发起服务请求的情况下,要求查阅我的地址应返回尽可能准确的位置数据,我的亲戚及朋友应知道我是不是在武汉”。持有人:张三;定位对象:张三的移动电话;默认响应:(B,B,B,B;服务发起者=张三初始观察值(张三的移动电话(当前时刻服务请求者=服务消费者服务发起者=服务消费者是朋友或是亲戚吗?(服务消费者请求类型=证实(武汉(初始观察(张三的移动电话 (当前时刻.武汉(当前时刻,武汉,张三,B策略二:“如果我在寻找一个的士,我很想让在附近的的士司机知道我在何处,然而不允许他们知道我的身份”持有人:张三;定位对象:张三的移动电话;默认响应:(B,B,B,B;服

12、务者发起者=张三 服务消费者=服务请求者是的士司机吗(服务消费者(提供的士服务目的在附近(初始观察(张三的移动电话(当前时刻.位置(初始观察(服务发起者(当前时刻.位置(初始观察(张三的移动电话(当前时刻.时间(初始观察(张三的移动电话(当前时刻.位置,某人,(B。4结论和展望阐述了几个构建个人隐私策略的概念,提出了构建个人隐私策略的部分语言并且设计了几个例子予以说明,然而仍有几个问题值得进一步研究。(1假定了始初位置数据可以通过函数: Raw Observatio n(得到,但给出的部分语言程序段并不容易使P(包括Raw Observation(的反函数与t有关,那就是说返回时间集合应和给定

13、的观测相一致。因此如何改善策略语言使有反函数有待进一步研究。(2仅指出怎样将几个隐私策略合为一体,并没有讨论如何处理相矛盾的策略,很显然会有这种情况出现,即决定什么信息予以公布将取决于过去的查询,如何构建需要进一步讨论。参考文献:1Fo x S.T he Inter net L ife Repor t:T r ust and Pr iv-acy O nlineED/OL.htt p:/ww w.pew inter net.or g/repor ts/pdfs/PI P T r ust Pr iv acy R epo rt.pdf.2002-08-20.2L eonhardt U,M eg ee

14、 J.Security Co nsider ation fora Distr ibuted L ocation Serv iceJ.Jo urnal ofN etwo rk and Sy stem M ana gement,1998,6(1:51-70.3L ee C,Hw ang M,Y ang W.Enhanced Pr iva cy andA uthentication fo r the Global System for M obileCo mmunica tio nJ.W ireless Netw o rks,1999,8(4:231-243.4R obinson T.L ocati

15、on Is Ever ythingED/O L.ht-t p:/w w ernetw d/lead091200.htm.2000-09-12.5Spreitzer M,T heimer M.Sca ble&M o bile Co mp-uting with L o catio n Info rmationJ.Co mmuni-cation of the A CM,1993,36(7:27-29.6刘继兴,李军.3G网络中LBS的分析与发展思路J.中国数据通信,2003(8:63-67.33第27卷第4期常翠芝等:定位服务中的位置隐私保护策略34武汉理工大学学报信息与管理工程版2005

16、年8月Location Privacy Protection Strategy in LBSChang Cuiz hi,Zou Zhongy uanAbstract:Wit h mor e mature location technique,t he accuracy is much hig her and the issue o f co nsumer pr iv acy pro tectio n is hig hly concer ned.Based o n this,it is presented that t he consumer is allow ed to choo se dif

17、fer ent location accur acy.T he concept ions mig ht be used in t he constr uction of stra tegies ar e ex plicated,for ex ample the obser vation of locatio n objective,including the identificatio n o f o bjectiv es,t he observ ation t ime and speed of objectives.Its main idea is to make the user s ad

18、just the accur acy of the observ atio n r esults depending on the g oal of obtaining this infor mation,the identification of receiver s.BN F is used to co nstr uct a par tial lang ua ge of the personal lo catio n privacy str ateg y w ith some cases.Key words:lo catio n-based ser vice;privacy str ateg y;lat ticeChang Cuizhi:Postg r aduate;Scho ol of Info rmat ion Engineer in