位置隐私保护技术研究进展

位置信息指用户所处的位置坐标，通常不同应用对位置信息有不同精确度需求。例如导航应用需要用户相对精确的位置，而天气预报应用只需要用户所在的城市即可。

4)POI

POI指用户查询的服务内容，包括查询附近餐厅、酒店、购物中心、医院和银行等。POI的暴露很可能导致用户隐私泄露。例如，某用户经常查询附近的酒吧，则可推断出其可能有酗酒习惯；某用户经常查询周围的医院，则可推断出其可能患有某种慢性疾病。

根据隐私保护机制(LPPM,locationprivacyprotectionmechanism)主体的不同，隐私保护系统构架可以分为2类。第一类依赖可信第三方(TTP,trustedthirdparty)的系统构架，如图2所示，由可信匿名服务器(trustedanonymityserver)获取所有用户的位置信息，并负责执行LPPM。第二类不依赖可信第三方的系统构架，如图3所示，由用户移动设备执行LPPM，直接发送服务请求并接收查询结果。这2类系统构架各有特点，前者的优势在于TTP能够获取海量用户的位置信息，并且辅助用户过滤服务数据，其缺点在于TTP可能成为攻击者的目标，在实际使用中它的可信性难以保障。后者的优势在于其部署LPPM的简易性，方便用户根据其隐私保护需求调整隐私保护粒度，其缺点为LPPM的实现受移动设备性能的限制，且无法获取全局用户位置信息。

在无背景知识模型下，攻击者的攻击方式主要包括位置同质攻击、区域中心攻击和位置分布攻击。

在背景知识模型下，攻击者的攻击方式主要包括同源攻击、概率分布攻击和位置相似性攻击。

在多点攻击模型下，攻击者的攻击方式主要包括位置依赖攻击、连续位置攻击和位置追踪攻击。

k-匿名和位置熵是目前被广泛使用的隐私保护度量指标，除此以外，一些学者结合各类应用场景提出了很多度量指标。

最后，计算出位置熵，即攻击者推断出真实位置的不确定性，位置熵越大，隐私保护水平越高。当所有pi相等时，位置熵最大，即lbk。同时该文献中群组组员缓存并共享数据，减少了向服务提供商提出请求的次数，提高了整体隐私保护水平，从而提出了全局隐私度量标准。对于由缓存应答的服务请求，服务器无法获得任何信息，因此，攻击者推断出真实位置的不确定性为lbN2。全局隐私度量标准可表示为

其中，Qcache表示由缓存提供的服务次数，Qserver表示由服务器提供的服务次数，Hq表示位置熵。可以看出，应当从两方面提高整体隐私保护水平，一方面提高每一次查询的位置熵，另一方面提升缓存的命中率，使更多请求通过缓存应答。

除了k-匿名和位置熵，学者们也提出了许多新的度量方法，扭曲度和差分隐私是其中较为典型的2种度量方法。

4.3.1扭曲度

位置熵越高，确定性越低，攻击者就越不容易确定出用户真实位置。正确性：即使攻击者收集到足够多的背景知识、推断出的用户位置分布律很准确、而且从用户位置分布律中很容易确定出用户位置，即确定性很高，但正确性未必很高，如在某次查询中，用户真实位置在以往数据中从未出现过。通过计算用户真实位置xc与攻击者猜测的所有可能值的期望距离来度量正确性，即

用户最关心的是攻击者能否推断出正确位置，以及攻击者推断结果与真实位置有多大差距，因此，正确性是度量隐私保护水平最重要的指标。

4.3.2差分隐私

其中，A(·)表示LPPM，使用δ-位置集的好处在于对于掌握道路环境和用户运动模型等精确背景知识的攻击者而言，将真实位置偏移到概率较低的位置意义不大，故基于δ-位置集的差分隐私更符合实际要求。

常用LBS隐私保护方法主要包括基于策略的方法、基于密码学的方法和基于泛化和模糊的方法。

以下主要介绍并详细分析基于泛化和模糊的LBS隐私保护技术，包括常用的4种技术：空间隐匿、位置偏移和模糊、伪造虚假位置和群组协作。

空间隐匿技术通过为每个查询用户形成一个包含k个真实用户的隐匿区域，使服务提供商难以从该隐匿区域中确定用户的真实身份和准确位置。

5.4.1陌生人之间的协作

陌生人之间的协作通常使用蓝牙通信技术，用户之间的信息交互发生在10m之内。

5.4.2基于信任关系的协作

本文综述了位置服务中2种隐私保护系统构架下基于泛化和模糊的4类LBS隐私保护技术。

依赖可信第三方系统构架中，现有方案一般采用空间隐匿技术将真实位置隐藏在包含其他k1个真实用户的隐匿区域中。该技术既能保护位置隐私，又能保护查询隐私，一般使用k-匿名和位置熵作为隐私保护度量标准。其优势在于：1)能够同时满足用户的k-匿名和隐匿区域要求；2)TTP能够获取海量用户的位置信息；3)TTP能够辅助用户过滤服务数据，降低用户端的计算和存储开销。缺点在于：1)在人口稀少地区，该技术容易导致隐匿区域过大或服务延迟过高；2)隐匿区域较大时，服务器端需消耗大量计算资源处理查询请求；3)系统负载的增加和单点失效的发生，使TTP成为系统瓶颈。

不依赖可信第三方的系统构架中，现有方案主要集中于3类技术：位置偏移和模糊技术、伪造虚假位置技术和群组协作技术。

伪造虚假位置技术将真实位置和多个虚假位置一并发送给服务提供商。该技术既能保护位置隐私，又能保护查询隐私，一般使用k-匿名和位置熵作为隐私保护度量标准。其优势在于：1)不受人口密度限制，无论用户处于何位置都能满足用户的隐私保护要求；2)由于向服务提供商发送的信息中包含真实位置，因此返回的服务数据较为精确；3)便于用户随时调整隐私保护策略。其缺点在于：1)LPPM的实现受移动设备性能的限制；2)由于无法收集和利用真实的用户位置，攻击者可以通过各种背景知识排除虚假位置；3)虚假位置会带来额外的通信消耗。

通过分析现有工作，不难看出LBS隐私保护方案有以下几方面问题亟需解决。

2)现有方案大都没有定量权衡隐私保护水平和位置精确度。为提高隐私保护水平，很多技术牺牲了一定的位置精确度，如使用隐匿区域代替真实位置、在真实位置中加入噪声等。然而，若位置精确度太低，会导致服务数据不能满足用户需求，影响可用性，隐私保护失去意义。此外，不同应用对位置精确度的要求各异，如对于POI搜索应用，真实位置和虚假位置的距离应有严格限制；对于天气预报应用，真实位置和虚假位置的距离要求较低。因此，设计方案时应对隐私保护水平和位置精确度进行均衡分析。

4)现有研究大多针对如何设计和改进隐私保护方案，专门针对隐私保护度量指标的研究尚不完善，由此导致对于不同隐私保护方案的评判没有一个统一的标准。因此，应当研究如何制定统一的隐私度量指标使各类方案都能得到合理的评估。

2)设计合适的LBS隐私保护度量标准。k-匿名和位置熵是最为广泛的LBS隐私保护度量标准，但很难准确表达用户多样化的隐私保护要求。差分隐私作为一种严格的、可证明的度量标准，在数据库隐私保护方向已经取得了很多成果，如拉普拉斯机制和指数机制。将差分隐私和相应隐私保护机制引入到位置隐私保护领域是一个重要的研究方向。

3)平衡隐私保护和服务质量。很多方案提高隐私保护水平需以牺牲服务质量为代价。博弈论的方法能够较好地解决双方或多方的利益均衡问题，如零和贝叶斯博弈、纳什均衡等。因此，将博弈论的方法引入到LBS隐私保护技术中是一个重要的研究方向。