第10章位置信息与隐私保护-《物联网安全导论》

第10章位置信息与隐私保护

学习任务位置服务

位置服务技术原理

GIS地理信息系统

Clicktoaddtitleinhere123本章主要涉及：4隐私保护

基于位置服务的隐私保护

510.1位置服务位置服务（LBS，LocationBasedServices）又称定位服务，LBS是由移动通信网络和卫星定位系统结合在一起提供的一种增值业务，通过一组定位技术获得移动终端的位置信息(如经纬度坐标数据)，提供给移动用户本人或他人以及通信系统，实现各种与位置相关的业务。实质上是一种概念较为宽泛的与空间位置有关的新型服务业务。10.1位置服务10.1.1位置服务的定义关于位置服务的定义有很多。1994年，美国学者Schilit首先提出了位置服务的三大目标：你在哪里(空间信息)、你和谁在一起(社会信息)、附近有什么资源(信息查询)。这也成为了LBS最基础的内容。10.1位置服务

2004年，Reichenbacher将用户使用LBS的服务归纳为：定位(个人位置定位)、导航(路径导航)、查询(查询某个人或某个对象)、识别(识别某个人或对象)、事件检查(当出现特殊情况下向相关机构发送带求救或查询的个人位置信息)。10.1位置服务LBS位置服务

10.1位置服务在国内，基于位置的服务(LocationBasedService，LBS)通常是指通过电信移动运营商的无线电通讯网络（如GSM网、CDMA网）或外部定位方式(如GPS)获取移动终端用户的位置信息（地理坐标，或大地坐标），在GIS(GeographicInformationSystem，地理信息系统)平台的支持下，为用户提供相应服务的一种增值业务。10.1位置服务

对于位置定义有如下几种方法：

1)AOA(angleofarrival)指通过两个基站的交集来获取移动台(Mobilestation)的位置；2)TDOA(timedifferenceofarrival)工作原来类似与GPS。通过一个移动台和多个基站交互的时间差来定位；3)locationsignature位置标记。对每个位置区进行标识来获取位置；4)卫星定位。10.1位置服务

而需要特别说明的是，位置信息不是单纯的“位置”，而是包括：①地理位置（空间坐标）②处在该位置的时刻（时间坐标）③处在该位置的对象（身份信息）10.1位置服务10.1.2LBS发展历史其实LBS并不是什么新东西，建设GPS系统的目的就是为了给用户提供位置服务。早在上个世纪70年代，美国颁布了911服务规范。基本的911业务(Basic911)是要求FCC定义的移动和固定运营商实现的一种关系国家和生命安全的紧急处理业务。和我国的110/120等紧急号码一样。要求电信运营商在紧急情况下，可以跟踪到呼叫911号码的电话的所在地。

10.1位置服务10.1.3LBS位置服务应用类型1.服务种类（1）大众应用①位置信息查询②移动黄页查询③游戏娱乐④跟踪导航10.1位置服务（2）行业应用行业用户指的是公安消防、交通、企业、新闻媒体等领域用户。①紧急救援②智能交通③外勤人员管理和调度④物流和资产管理⑤位置敏感商业广告⑥巡检管理10.1位置服务2.目前LBS提供的主要服务（1）公共安全业务（2）跟踪业务（3）基于位置的个性化信息服务（4）导航服务（5）基于位置的计费业务10.1位置服务3.目前世界上广泛应用的定位服务目前，全球LBS服务的主要发展区域包括北美、亚太以及欧洲三大市场，其中以亚太市场的发展最早也最快，尤其是日、韩两国。10.1位置服务10.1.4位置服务在我国应用情况

中国移动在2002年11月首次开通位置服务，如移动梦网品牌下面的业务“我在哪里”、“你在哪里”、“找朋友”等；2003年，中国联通在其CDMA网上推出“定位之星”业务，用户可以在较快的速度下体验下载地图和导航类的复杂服务；而中国电信和中国网通似乎也看到了位置服务诱人前景，启动在PHS(小灵通)平台上的位置服务业务。10.2位置服务技术原理ＬＢＳ是一项集成系统，是GIS、空间定位、移动通信、无线互联网等技术的综合体。GIS技术、移动通讯技术、定位技术（基于基站定位和基于GPS定位），三者结合形成了LBS技术。为用户提供基于位置的信息交换、信息获取、共享和发布服务。

LBS作为多种技术的交叉点10.2.1LBS系统组成一个完整的LBS系统主要由空间定位系统、位置服务中心、通信网络和移动终端等部分组成。（1）移动终端移动终端可以是一个移动电话、一个PDA(个人数字助理，一般指掌上电脑)、笔记本电脑、个人电脑或者是一个应用程序接口。它其实就是既充当定位装置同时又充当查询和显示设备。10.2位置服务技术原理（2）无线网络这里的无线网络包括2G、2.5G网络以及以后的3G网络，只要能准确的确定出移动终端的位置，LBS就能很好的展开。（3）定位平台基于GPS或者MPS(移动定位系统)技术的定位系统。（4）提供位置服务的服务器LBS系统的核心部分，主要是用来处理分析并响应用户的请求。10.2位置服务技术原理（5）提供位置服务的应用程序来实现LBS服务的应用程序（6）与位置信息相关的内容主要包括相关的地理数据信息。以上除移动终端属于客户端外，其他部分都属于服务器端。服务器端的无线网络，定位平台都是由移动运营商拥有并进行维护。只有LBS服务器、LBS应用程序和位置信息相关的内容可以由开发者自己设计和实施。10.2位置服务技术原理

LBS系统组成10.2位置服务技术原理10.2.2LBS系统工作主要流程（1）用户通过移动终端发出位置服务申请；（2）该申请经过电信的各种通信网关后，为位置服务中心所接受；（3）经审核认证，服务中心调用定位系统获得用户的位置信息（用户若配有GPS等主动定位设备，这时可通过无线网络主动将位置参数发送给服务中心）；（4）服务中心根据用户的位置，对服务内容进行响应，如发送路线图.10.2位置服务技术原理10.2位置服务技术原理LBS系统工作流程

作为地理信息系统领域的重要组成部分，LBS是移动计算环境下的GIS(MobileGIS)，是一种特殊类型的GIS，同时也是与普通大众日常生活结合最为紧密的GIS领域。地理信息系统（GIS）是获取，处理，管理和分析地理空间数据的重要工具和技术。10.3GIS地理信息系统从技术和应用的角度，GIS是解决空间问题的工具、方法和技术；从功能上，GIS具有空间数据的获取、存储、现示、编辑、处理、分享、输出和应用等功能。凡是和空间位置相关的应用都可以采用GIS技术。10.3GIS地理信息系统地理信息系统的任务就是采集、存储、管理、分析和显示地球空间信息。它是以数字化的形式反映人类社会赖以生存的地球空间的现势和变迁的各种空间数据以及描述这些空间数据特征的属性，以模拟化的方法来模拟地球空间对象的行为，在计算机软、硬件的支持下，以特定的格式支持输入/输出、存贮、显示以及进行地理空间信息查询、综合分析、辅助决策的有效工具。10.3GIS地理信息系统GIS的主要特点有：（1）空间可视化空间可视化是指具有空间属性信息的有形无形地物以可见的图形图像形式表达出来，到达其空间信息直观可视的目的。(2)空间分析空间分析是GIS强大空间功能的体现。主要包括缓冲区分析、叠加分析、各种空间模拟等。空间分析需要专题元素模型、空间地学模型的支持。10.3GIS地理信息系统(3)空间思维空间思维是指GIS通过其功能引导决策者从空间信息的角度考虑分析问题，引导决策者从合理利用空间资源的出发点对问题进行分析解决。在资源管理、社会经济活动和人们生活中，有80%以上的信息属于具有空间位置特性的地理信息。10.3GIS地理信息系统无线移动用户迫切想知道她当时所处环境的信息，比如，“我在哪儿？”“我附近是什么？”“我怎么能到达目的地？”“我要找的人现在在何处？”等，是任何一个移动用户到一个陌生环境中经常要问的首要问题。10.3GIS地理信息系统10.3.1移动GIS移动GIS，是以移动互联网为支撑、以智能手机或平板电脑为终端、结合北斗、GPS或基站为定位手段的GIS系统。相较于传统的WEBGIS、桌面GIS，移动GIS的核心技术并没有什么大的不同，依然是空间数据的存储、索引、浏览交互、编辑、分析等，只是在移动设备上需要更多地考虑各种算法效率、服务端的通信交互、以及与其他信息的集成；

10.3GIS地理信息系统

移动端与服务端通信通常有两种模式：1，socket通信需要在移动端和服务端分别写socket客户端程序和socket服务端程序，自行定义传输信息的内容格式，这种模式的优点是通信效率高、一直连线、易实现服务器的信息下达，缺点是通用性不好、较复杂；10.3GIS地理信息系统2，Http通信服务端以WEB服务的方式对外发布服务，移动端以Http请求的方式获取服务端的信息，并能上传信息至服务端，可以是KVP、SOAP或REST服务的方式，在移动端较常用的是KVP方式，通信的数据内容通常采用XML或JSON来描述。具体选择哪种交互方式，根据具体项目需求而定；

10.3GIS地理信息系统当前主流的移动GIS开发组件有UCMap，UCMap支持矢量和瓦片地图，支持在线和离线，在各行业得到广泛应用，如管线巡检、城管巡查、移动执法、林业普查、水利普查、应急联动、农业测土配方、国土监察、实时交通、路政巡查、移动气象、地震速报、烟草物流、军事指挥、移动测绘、无线电监测、移动环保、LBS服务等。

10.3GIS地理信息系统10.3GIS地理信息系统移动GIS

LBS信息系统的开发工具可选用MapInfoMapX。MapX是一个基于ActiveX(OCX)技术的可编程控件。是MapInfo公司在嵌入式GIS开发领域的主打产品。MapX的主要功能包括：显示MapInfo格式的地图：对地图进行放大、缩小、漫游、选择等操作；专题地图；图层控制；数据绑定；动态图层和用户绘图图层；生成和编辑地图对象；简单地理查询；边界查询，地址查询。10.3GIS地理信息系统10.3.2定位技术定位技术是LBS的核心，移动定位技术是利用无线移动通信网络，通过对接收到的无线电波的一些参数进行测量，根据特定的算法对某一移动终端或个人在某一时间所处的地理位置进行精确测定，以便为移动终端用户提供相关的位置信息服务，或进行实时的监测和跟踪。10.3GIS地理信息系统

目前全球范围内普遍使用的移动定位技术主要有四种：分别是①CELL-ID基于移动网络的CELL-ID（起源蜂窝小区），基站控制站会将用户所在基站扇区的CELL-ID传送给移动交换中心可以用这个网络标志来确定移动终端的位置。10.3GIS地理信息系统②TOA/TDOA技术TOA(TimeofArrival)是使用到达时间定位技术，移动终端发射测量信号到达3个以上的基站，通过测量到达所用的时间|须保证时间同步,并施以特定算法的计算，实现对移动终端的定位。TDOA(TimeDifferenceofArrival)技术（到达时间差定位技术）是使用EOTO（增强型观测时间差分）技术；10.3GIS地理信息系统10.3GIS地理信息系统TOA技术

TDOA技术

③基于终端的GPS定位技术；④网络与终端混合的A-GPS技术。定位的精度，根据采用不同技术，从几十米到二百米，基本可以满足普通用户的要求。通过在现有的移动通讯网络中增加一个网络节点——移动定位中心（MLC,MobileLocationCenter）,就可以实现基于手机的定位业务。10.3GIS地理信息系统现有的LBS定位技术主要有两种，一是基于GPS技术，二是基于基站定位技术。目前手机室外定位最高国际技术标准，是由美国FCC(美国联邦通讯委员会)所制定的，按此标准，定位精确度在50米以内的准确率达到67%，定位精度在150米以内的准确率需达到95%即为合格。

10.3GIS地理信息系统10.3GIS地理信息系统各种定位技术的比较

10.4隐私保护“隐私”这一词源于英文Privacy，又被称为私生活秘密，是指私人生活安宁不受他人非法干扰,私人信息保密不受他人非法搜集和公开等。自1890年美国法学家布兰蒂斯和华伦首次提出隐私权(therighttoprivacy)概念至今，一般都认为它是一项独立的人格权，它的主体只限于自然人，其客体是隐私，包括个人信息、私人活动和个人领域；其内容包括隐私的隐瞒权、维护权、利用权和支配权。10.4隐私保护10.4.1隐私的定义1.隐私的定义简单地说，隐私就是个人、机构等实体不愿意被外部世界知晓的信息。在具体应用中，隐私即为数据所有者不愿意被披露的敏感信息，包括敏感数据以及数据所表征的特性。通常我们所说的隐私都指敏感数据，如个人的薪资、病人的患病记录、公司的财务信息等。

10.4隐私保护

从隐私所有者的角度而言，隐私可以分为两类：1）个人隐私（Individualprivacy）：任何可以确认特定个人或与可确认的个人相关、但个人不愿被暴露的信息，都叫做个人隐私，如身份证号、就诊记录等。2）共同隐私（Corporateprivacy）：共同隐私不仅包含个人的隐私，还包含所有个人共同表现出但不愿被暴露的信息。如公司员工的平均薪资、薪资分布等信息。10.4隐私保护2.隐私的度量数据隐私的保护效果是通过攻击者披露隐私的多寡来侧面反映的。现有的隐私度量都可以统一用“披露风险”（DisclosureRisk）来描述。披露风险表示攻击者根据所发布的数据和其它背景知识（BackgroundKnowledge），可能披露隐私的概率。通常，关于隐私数据的背景知识越多，披露风险越大。10.4隐私保护10.4.2网络隐私权1、网络隐私权的界定网络隐私权并非一种完全新型的隐私权,而是作为隐私权在网络空间的延伸。通常认为网络隐私权是指在网络环境中，公民享有私人生活安宁和私人信息依法受到保护，不被他人非法侵犯、知悉、搜集、利用或公开的一种人格权。10.4隐私保护2、网络隐私权的内容个人信息、私人生活安宁、私人活动与私人领域是网络隐私包含的重要内容,其中尤以个人信息最为重要。个人信息，又被称为个人识别资料。结合我国的实际，通常包括姓名、性别、年龄、电话号码、通讯地址、血型、民族、文化程度、婚姻家庭状况、病史、职业经历、财务资料、犯罪记录等内容，在网络环境中的个人信息是以个人数据的形式存在。10.4隐私保护3、网络个人(数据)信息隐私权的内容网络个人(数据)信息隐私权的内容具体包括：(1)知情权(2)选择权(3)控制权(4)安全请求权10.4隐私保护4、其它此外，网络隐私权还应包括个人有权按照自己的意志在网上从事或不从事某种与社会公共利益无关的活动(如网上交易、通信、下载文件等)，不受他人的干扰、干涉、破坏或支配。任何人包括网络服务商、不得不当侵入他人的网络空间和窥视、泄漏他人的私事。10.4隐私保护10.4.3侵犯网络隐私权的主要现象1、大量的网站通过合法的手段(要求用户填写注册表格)或者是隐蔽的技术手段搜集到网络用户的个人信息，由于缺少强有力的外部监督，网站可能不当使用个人信息(如共享、出租或转售)从而泄露用户的个人资料。10.4隐私保护2、由于利益的驱使，网络中产生了大批专门从事网上调查业务的公司，进行窥探业务，非法获取、利用他人的隐私。此类公司使用具有跟踪功能的cookie工具浏览和定时跟踪用户站上所进行的操作、自动记录用户访问的站点和内容，从而建立庞大的资料库。任何机构和个人只需支付低廉的费用，都可以获取他人详细的个人资料。10.4隐私保护3、有些软件和硬件厂商开发出的各种互联网跟踪工具。用于收集用户的隐私，加之网站出于经济利益考虑、对于此类行为有时会听之任之，使得人们在网络上就像生活在透明玻璃缸里的金鱼，已经没有隐私可言。10.4隐私保护4、黑客(Hacker)未经授权进入他人系统收集资料或打扰他人安宁，截获或复制他人正在传递的电子信息。窃取和篡改网络用户的私人信息，甚至制造、传播计算机病毒，破坏他人的计算机系统，从而引发了个人数据隐私权保护的法律问题。10.4隐私保护5、某些网络的所有者或管理者甚至是政府机构都可能通过网络中心监视或窃听局域网内的其他电脑，监控网内人员的电子邮件。6、公民个人缺乏隐私权的法律意识，未经授权在网络上公开或转让他人或自己和他人之间的隐私。10.4隐私保护10.4.4侵犯网络隐私权主要技术手段1.利用在线注册收集隐私信息2.利用IP地址跟踪用户的位置或行踪3.利用Cookies文件收集用户的隐私信息4.利用特洛依木马病毒窃取隐私信息5.利用嵌入式软件收集隐私信息6.利用Webbeacons窃取隐私信息7利用篡改网页收集隐私信息10.4隐私保护10.4.5网络隐私权的相关法律保护我国《计算机信息网络国际联网安全保护管理办法》第7条规定：“用户的通信自由和通信秘密受法律保护。任何单位和个人不得违反法律规定，利用国际联网侵犯用户的通信自由和通信秘密。”《计算机信息网络国际联网管理暂行规定实施办法》第18条规定：“不得擅自进入未经许可的计算机系统，篡改他人信息，冒用他人名义发出信息，侵犯他人隐私。”10.4隐私保护10.4.6隐私保护技术隐私保护技术需要在保护数据隐私的同时不影响数据应用。根据采用技术的不同，出现了数据失真、数据加密、限制发布等隐私保护技术。1.隐私保护技术分类没有任何一种隐私保护技术适用于所有应用。一般将隐私保护技术分为三类：10.4隐私保护1）基于数据失真（Distorting）的技术：使敏感数据失真但同时保持某些数据或数据属性不变的方法。例如，采用添加噪声（AddingNoise）、交换（Swapping）等技术对原始数据进行扰动处理，但要求保证处理后的数据仍然可以保持某些统计方面的性质，以便进行数据挖掘等操作10.4隐私保护2）基于数据加密的技术：采用加密技术在数据挖掘过程中隐藏敏感数据的方法。多用于分布式应用环境中，如安全多方计算（SecureMultipartyComputation，SMC）。3）基于限制发布的技术：根据具体情况有条件地发布数据。如：不发布数据的某些域值，数据泛化（Generalization）等。10.4隐私保护2.隐私保护技术的性能评估隐私保护技术需要在保护隐私的同时，兼顾对应用的价值以及计算开销。通常从以下三方面对隐私保护技术进行度量：1）隐私保护度：通常通过发布数据的披露风险来反映，披露风险越小，隐私保护度越高。10.4隐私保护2）数据缺损：是对发布数据质量的度量，它反映通过隐私保护技术处理后数据的信息丢失：数据缺损越高，信息丢失越多，数据利用率（Utility）越低。具体的度量有：信息缺损（InformationLoss）、重构数据与原始数据的相似度等。10.4隐私保护3）算法性能：一般利用时间复杂度对算法性能进行度量。均摊代价（AmortizedCost）是一种类似于时间复杂度的度量，它表示算法在一段时间内平均每次操作所花费的时间代价。除此之外，在分布式环境中，通讯开销（CommunicationCost）也常常关系到算法性能，常作为衡量分布式算法性能的一个重要指标。10.4隐私保护3.物联网隐私保护技术在物联网发展过程中,大量的数据涉及到个体隐私问题(如个人出行路线、消费习惯、个体位置信息、健康状况、企业产品信息等)],物联网会得到广泛应用必备的条件之一便是保护隐私。如果无法保护隐私，物联网可能面临由于侵害公民隐私权从而无法大规模商用化。因此隐私保护是必须考虑的一个问题。10.4隐私保护业务应用常依赖地点作为判定决策的参变量，手机用户通过手机查询远程数据库，寻找的离自己最近的事件地点，例如，火车站、加油站等。这项业务依赖当时用户所处的地点。但是，使用手机查询的客户却不希望泄露自己的地理位置，从而保护自己不受到跟踪。10.4隐私保护保护用户的地点隐私就成为普适计算应用的重要问题之一。这个问题可以叙述为使用用户的地点信息，但是不把地点信息透漏给服务的提供者或者第三方。这类隐私保护问题可以采用计算几何方法解决。在移动通信的场景下，对于地点以及2G／3G移动系统的身份隐私问题，可以使用安全多方计算解决空间控制和地点隐私的方案，隐私保护协议描述为三路身份认证。10.4隐私保护同样，在近距离通信环境中，RFID芯片和RFID阅读器之间通信时，由于RFID芯片使用者的距离和RFID阅读器太近,以至于阅读器的地点无法隐藏.保护使用者的地点的惟一方法便是使用安全多方计算的临时密码组合保护并隐藏RFID的标识。10.4隐私保护从技术角度看,当前隐私保护技术主要有2种方式:1)采用匿名技术,主要包括基于代理服务器、路由和洋葱路由的匿名技术。2)采用署名技术,主要是P3P技术即隐私偏好平台。然而P3P仅仅是增加了隐私政策的透明性,使用户可以清楚地知道个体的何种信息被收集、用于何种目的以及存储多长时间等,其本身并不能保证使用它的各个web站点是否履行其隐私政策。10.4隐私保护

除了上述2种方式外,隐私保护技术还有2个主要的发展方向:一是对等计算(peertopeer,P2P),指通过直接交换共享计算机资源和服务;二是语义web,语义web是通过规范定义和组织信息内容,使之具有语义信息,能被计算机理解,从而实现与人的沟通。

10.5基于位置服务的隐私保护隐私保护不是指要保护用户的个人信息不被他人使用，而是指用户对个人信息进行有效控制的权利。位置信息是一种特殊的个人隐私信息，对其进行保护就是要给予所涉及的个人决定和控制自己所处位置的信息何时、如何及在何种程度上被他人获知的权利。10.5基于位置服务的隐私保护目前，已有多种针对LBS中用户位置信息的隐私保护方法，如通过立法或行业规范的方式进行保护、通过匿名的方式进行保护、通过区域模糊的方式进行保护、通过隐私策略的方式进行保护等。用户分别设置相应的隐私策略来保护个人的隐私成为目前众多隐私信息保护方法中最有效的方法之一。10.5基于位置服务的隐私保护10.5.1隐私保护问题1.应用分类根据服务面向对象不同，基于位置的服务可以分为面向用户和面向设备两种。两种服务的主要区别在于，面向用户的基于位置的服务，用户对服务拥有主控权；面向设备的基于位置的服务，用户或物品属于被动定位，对服务无主控权。10.5基于位置服务的隐私保护2.基于位置的服务与隐私很多调查研究显示，消费者非常关注个人隐私保护。欧洲委员会通过的《隐私与电子通信法》中对于电子通信处理个人数据时的隐私保护问题给出了明确的法律规定。明确指出位置数据只有在匿名或用户同意的前提下才能被有效并必要的服务使用。这突显了位置隐私保护的重要性与必要性。

10.5基于位置服务的隐私保护3.隐私泄露基于位置服务中的隐私内容涉及两个方面：位置隐私和查询隐私。位置隐私中的位置指用户过去或现在的位置；查询隐私指涉及敏感信息的查询内容，如查询距离我最近的艾滋病医院。任何一种隐私泄露，都有可能导致用户行为模式、兴趣爱好、健康状况和政治倾向等个人隐私信息的泄露。所以，位置隐私保护即防止用户与某一精确位置匹配；类似地，查询隐私保护要防止用户与某一敏感查询匹配。10.5基于位置服务的隐私保护4.位置服务VS隐私保护我们似乎正面临一个两难的抉择。一方面，定位技术的发展让我们可以随时随地获得基于位置的服务；而另一方面，位置服务又将泄露我们的隐私……当然，你可以放弃隐私，获得精确的位置，享受完美的服务；或者，你可以关掉定位设备，为了保护隐私而放弃任何位置服务。是否存在折中的方法，即在保护隐私的前提下享受服务呢？可以，位置隐私保护研究所做的工作就是要在隐私保护与享受服务之间寻找一个平衡点。10.5基于位置服务的隐私保护10.5.2隐私保护方法为对LBS服务中的用户位置隐私进行保护，整个使用过程分为2部分：访问权限设置和访问控制决策。首先，所有某一位置信息相关的隐私相关者设置相对于该位置信息对所有信息请求者的访问权限。通过权限的设置，隐私相关者可以设置哪些信息请求者、可以在什么环境下(如时间、地点等)获取该位置信息的全部或某些部分。

10.5基于位置服务的隐私保护在访问控制矩阵中设置了所有的权限之后，访问决策部分对访问请求者提出的具体的访问请求按照矩阵中的设置做出具体的允许或拒绝访问的决策。在每次信息访问请求者提出访问位置信息的请求时，系统中的访问控制决策机制将查询设置在三维访问控制矩阵中的隐私权限，并根据隐私权限确定允许或拒绝访问请求。10.5基于位置服务的隐私保护

下面将介绍在基于位置服务中的三种基本的隐私保护方法。1.假位置第一种方法是通过制造假位置达到以假乱真的效果。如在下图中，用户寻找最近的餐馆。白色方块是餐馆位置，红色点是用户的真实位置。当该用户提出查询时，为其生成两个假位置，即哑元（如图中的黑色点）。真假位置一同发送给服务提供商。从攻击者的角度，同时看到三个位置，无法区分哪个是真实的哪个是虚假的。10.5基于位置服务的隐私保护假位置

10.5基于位置服务的隐私保护2.时空匿名第二种方法是时空匿名，即将一个用户的位置通过在时间和空间轴上扩展，变成一个时空区域，达到匿名的效果。以空间匿名为例，延续上图寻找餐馆的例子，当用户提出查询时，用一个空间区域表示用户位置，如下图中的红色框。从服务提供商角度只能看到这个区域，无法确定用户是在整个区域内的哪个具体位置上。10.5基于位置服务的隐私保护

时空匿名

10.5基于位置服务的隐私保护3.空间加密第三种方法是空间加密，即通过对位置加密达到匿名的效果。继续前面的例子，首先将整个空间旋转一个角度（如图10.10），在旋转后的空间中建立希尔伯特（Hilbert）曲线。每一个被查询点P（即图10.10中的白色方块）对应的希尔伯特值如该点所在的方格数字所示。10.5基于位置服务的隐私保护当某用户提出查询Q时，计算出加密空间中Q的希尔伯特值。在此例子中，该值等于2。寻找与2最近的希尔伯特值所对应的P，即P1。将P1返回给用户。由于服务提供商缺少密钥，在此例子中即旋转的角度和希尔伯特曲线的参数，故无法反算出每一个希尔伯特值的原值，从而达到了加密的效果。10.5基于位置服务的隐私保护加密

10.5基于位置服务的隐私保护4.感知隐私的查询处理在基于位置的服务中，隐私保护的最终目的仍是为了查询处理，所以需要设计感知隐私保护的查询处理技术。根据采用匿名技术的不同，查询处理方式也不同：如果采用的是假数据，则可采用移动对象数据库中的传统查询处理技术，因为发送给位置数据库服务器的是精确的位置点。10.5基于位置服务的隐私保护如果采用时空匿名，由于查询处理数据变成了一个区域，所以需要设计新的查询处理算法。这里的查询处理结果是一个包含真实结果的超集。如果采用空间加密技术，查询处理算法与使用的加密协议有关。10.5基于位置服务的隐私保护5.隐私度与效率对比从匿名效率和隐私度两方面对上述三种隐私保护方法进行对比，可以看出加密是安全度最高的方法，但是加密解密效率较低；生成假数据的方法最简单、高效但隐私保护度较低，可根据用户长期的运动轨迹判断出哪些是假数据；从已有的工作来看，时空匿名在隐私度与效率之间取得了较好的平衡，也是普遍使用的匿名方法。

10.5基于位置服务的隐私保护隐私度与效率对比

10.5基于位置服务的隐私保护6.存在的挑战（1.）隐私保护与位置服务是一对矛盾；（2）基于位置服务的请求，具有在线处理的特点，故位置匿名具有实时性要求；（3）基于位置服务中的对象，位置频繁更新；（4）不同用户的隐私要求大相径庭，所以隐私保护需要满足个性化的需求。10.5基于位置服务的隐私保护10.5.3隐私保护系统结构隐私保护系统基本实体包括移动用户和位置服务提供商，它具有如下有四种结构：独立结构、中心服务器结构、主从分布式结构和移动点对点结构。1.独立式结构独立结构是仅有客户端（或者移动用户）与位置服务器的客户端/服务器（Client/Server，C/S）结构。由移动用户自己完成匿名处理和查询处理的工作。该结构简单，易配置，但是增加了客户端负担，并且缺乏全局信息，隐私的隐秘性弱。10.5基于位置服务的隐私保护2.中心服务器结构与独立结构相比，中心服务器结构在移动用户和服务提供商之间加入了第三方可信匿名服务器，由它完成匿名处理和查询处理工作。该结构具有全局信息，所以隐私保护效果较上一种好。但是由于所有信息都汇聚在匿名服务器，故可能成为系统处理瓶颈，且容易遭到攻击。10.5基于位置服务的隐私保护3.主从分布式结构为了克服中心服务器的缺点，研究人员提出了类似主从分布式结构。移动用户通过一个固定的通信基础设施（如基站）进行通信。基站也是可信的第三方，与前者的区别在于它只负责可信用户的认及将所有认证用户的位置索引发给提出匿名需求用户。位置匿名和查询处理由用户或者匿名组推举的头节点完成。该结构的缺点是网络通信代价高。10.5基于位置服务的隐私保护4.移动点对点结构移动点对点结构与分布式结构工作流程类似，惟一不同的是它没有固定的负责用户认证的通信设施，而是利用多跳路由寻找满足隐私需求的匿名用户。所以它拥有与分布式结构相同的优缺点

10.5基于位置服务的隐私保护10.5.4隐私保护研究内容1.隐私保护模型k-匿名是隐私保护中普遍采用的方法。位置k-匿名的基本思想是让一个用户的位置与其他（k-1）用户的位置无法区别。以位置3-匿名为例（如下图），将三个单点用户用同一个匿名区域表示，攻击者只知道在此区域中有3个用户，具体哪个用户在哪个位置，无法确定，达到了位置隐私保护目的。10.5基于位置服务的隐私保护位置3匿名

10.5基于位置服务的隐私保护2.基于四分树的隐私保护方法最早的匿名算法是基于四分树的隐私保护方法。它解决了面对大量移动用户高效寻找满足位置k-匿名模型的匿名集的问题。其解决方法是：自顶向下地划分整个空间，如果提出查询的用户所在的区域的用户数大于ｋ，将整个空间等分为4份，重复这一步，直至用户所在的区域所包含的用户数小于ｋ，返回四分树的上一层区域，将其作为匿名区域返回。10.5基于位置服务的隐私保护基于四分树的匿名方法

10.5基于位置服务的隐私保护3.个性化隐私需求匿名方法在隐私保护中，不同的用户有不同的位置k-匿名需求，因此需要解决满足用户个性化隐私需求的位置k-匿名方法。其解决方法是利用图模型形式化定义此问题，并把寻找匿名集的问题转化为在图中寻找k-点团的问题。10.5基于位置服务的隐私保护下图中，点是用户提出查询时的位置，k表示用户的最小隐私需求，圆圈代表用户可接受的最差服务质量。当新的对象m到达时，根据用户的隐私和质量要求，更新已有图，并找出m所在团。将覆盖该团所有点的最小边界矩形作为匿名区域返回。10.5基于位置服务的隐私保护个性化隐私需求匿名方法

10.5基于位置服务的隐私保护4.连续查询隐私保护前面的隐私保护工作都是针对Snapshot查询类型。如果将现有的匿名算法直接应用于连续查询隐私保护将产生查询隐私泄露。如下图所示，系统中存在6个用户{A,B,C,D,E,F}。攻击者知道存在连续查询，但并不知道连续查询是什么，以及是由谁提出的。在3个不同时刻ti、ti+1、ti+2，用户A形成了3个不同的匿名集，即{A,B,D}、{A,B,F}、{A,C,E}。将三个匿名集取交，即可获知是用户A提出的查询Q1。10.5基于位置服务的隐私保护连续查询隐私保护技术

10.5基于位置服务的隐私保护5.感知查询差异性的隐私保护位置k-匿名模型只能防止用户与查询建立关联，但不能切断用户与查询内容之间的关联。下图显示的是在位置匿名后发布的匿名位置和查询，符合位置3匿名。但是，攻击者可以确定，位置落于的第一个匿名集中的用户，一定患了某种疾病。10.5基于位置服务的隐私保护查询隐私泄露

10.5基于位置服务的隐私保护解