《位置服务与隐私保护.》由会员分享,可在线阅读,更多相关《位置服务与隐私保护.(35页珍藏版)》请在金锄头文库上搜索。
1、,位置服务(LBS)中的隐私保护,位置 服务,简言之,就是基于地理位置数据而展开的服务。是指通过移动终端和无线通讯网络(或卫星定位系统)的相互配合,以空间数据库为基础,确定移动用户的实际地理位置或坐标,并将其与其他信息整合起来,为用户提供所需要的与位置相关的增值服务。,LBS,LBS:Location Based Service Services that intergrate a mobile devices location or position with other information so as to provide added value to a user,GPS,SENSO
2、R,RFID,紧急救援服务,信息娱乐服务,分发服务,交通导航,跟踪服务,定位最近的救援者位置,查找距离我百米内最近的银行,向我餐馆500米范围内的用户发送电子优惠券,查找到达目的地的最优路径,对航空物流进行追踪,位置服务前景广阔.,2007年以来中国位置服务市场规模及增长,市场规模,位置服务前景广阔.,用户数量,2007年以来中国位置服务用户规模及增长,全球及国内移动位置服务市场发展阶段对比,位置服务 (LBS),军事产业,政府事务,求助服务,追踪监控,定位导航,休闲娱乐,分发服务,Form oracle,位置服务前景广阔.,使用领域,1,4,3,2,也许某天,当你经过熟悉的星巴克,打开手机记
3、录你的位置,却惊喜地发现一位好友也正在这里享用咖啡。而在不远处的商场内,某件你关注了很久的名牌衬衫正在打折,又或者你去一个遥远的城市旅行,打开手机,却发现自己瞬间对这个陌生的地方变得如此熟悉,想去哪儿就能随心所欲,想玩什么立马就能朝着目标出发此时,你肯定会为位置服务所带来的便捷生活方式而兴奋!,可是你又是否设想过,未来,无论你走到哪里,上班,下班,旅行亦或是散步,都会有漫天飞舞的各种广告铺天盖地向你席卷而来,你无处躲藏,只能被淹没在信息的垃圾中烦恼叹息,甚至有一天,对你而言,无论是熟悉的亲朋还是陌生人,都没有了秘密,每天无论你走到哪儿,干了什么,将要去哪,甚至你最近喜欢什么,想要计划什么,大家
4、都能知道的时候,你会不会又对这一新兴的服务产生恐惧呢。,隐私问题!,如何解决位置服务中堪忧的隐私保护问题呢?,内 容 导 览,导引:隐私保护问题,隐私保护的系统结构,隐私保护模型与匿名技术,隐私保护的算法实现,4,隐私问题举例,生活中这样的例子很常见:张某利用自己带有GPS的手机提出了“寻找距离我(现在所在位置)最近的肿瘤医院”的查询。这是导航系统中一个普通的最近邻查询(即NN查询)。此查询被提交给服务提供商,比如Google Maps,再由服务提供商通过查询空间数据库返回给用户查询结果。,此时涉及到的隐私问题包含两个方面:一是用户不想让人知道他此刻所在的位置,比如银行。二是用户不想让任何人知
5、道自己提出了某方面的查询,如张某不想让人知道自己将去肿瘤医院。,4,位置服务中的隐私泄露,查询隐私泄露,其他人以任何方式获知对象过去或现在的位置。,位置隐私泄露,查询请求的内容,可能透露用户的行为模式(如经常走的道路及经过的频率)、兴趣爱好(如喜欢去哪个商店、哪种俱乐部)、健康状况(如经常去的心理咨询诊所)以及政治倾向等个人隐私信息。,4,隐私泄露的三种途径,观察(Observation),攻击者从位置设备或者位置服务器中直接获取用户的位置信息。(如利用手机内置GPS定位导致的位置信息泄露),直接交流(Direct Communication),攻击者通过“位置”连接外部的数据源(或者背景知识
6、)从而确定在该位置或者发送该消息的用户。(如查询信息A是从别墅B发出的,当攻击者知道别墅B的主人是C这一背景时,那么就能确定A是由C发出的),攻击者通过观察被攻击者的行为直接获取位置信息。(如攻击者跟踪被攻击者),连接泄露(Link Attack),4,位置服务中的隐私保护,查询隐私保护,避免用户与某一精确位置匹配。,位置隐私保护,避免用户与某一敏感查询匹配。,4,寻找一种状态,在这种状态下很多对象组成一个集合(匿名集),从集合的外面向里看,组成集合的各个对象无法被区分,使得某一个位置的信息无法与确切的个人/组织/机构相匹配。,位置信息经过匿名处理后不再是用户的真实位置,可能是多个位置的集合或
7、者一个模糊化的位置,查询系统应该对应地返回包含真实查询信息的模糊信息集,隐私保护的工作,位置匿名,查询处理,4,位置服务VS隐私保护,鱼与熊掌可否兼得?,位置服务,隐私保护,提供精确位置,隐藏用户位置,不能兼得!只能寻找平衡点! 在最少的位置暴露下获得最好的服务,使隐私暴露处于“可控状态”!,隐私保护的特点,保护位置隐私与享受服务是一对矛盾,位置信息的多维性特点,位置匿名的即时性特点,基于位置匿名的查询处理,位置隐私需求个性化,隐私保护的系统结构,Non-cooperative Architecture,独立结构,中心服务器结构,Centralized Architecture,分布式点对点结
8、构,Peer-to-peer Architecture,仅有客户端与位置数据库服务器的C/S结构。该结构需要移动用户拥有具有强大定位、计算、存储能力的设备,自己完成位置匿名和查询结果求精。,在用户和位置数据库服务器之间加入第三方可信中间件位置匿名服务器,并由位置匿名服务器完成匿名处理和查询结果求精。,由客户端和位置数据库服务器组成,移动客户端根据匿名算法找到其他一些移动用户组成一个匿名组,以此进行位置匿名。同时组内的客户端之间的节点具有平等性,共同协调完成查询结果求精。,独 立 结 构,缺点:对客户端要求高; 缺乏全局信息,隐蔽性弱,优点:结构简单,易于配置,处理流程:将匿名后的位置连带查询一
9、起发送给位置数据库服务器;位置服务器根据匿名的位置进行查询处理并将候选结果集返回给用户;用户根据真实位置挑选出真正的结果。,独立结构示意图,优 点,缺 点,中心服务器结构,处理过程:(1)用户发送包含精确位置的查询请求给位置匿名服务器。(2)匿名服务器使用某种匿名算法完成位置匿名后,将匿名后的请求发送给位置数据库服务器。(3)位置数据库服务器根据匿名区域进行查询处理,并将查询结果的候选集返回给位置匿名服务器。(4)位置匿名服务器从候选结果集中挑出真正的结果返回给移动用户。,具有全局信息,隐私保护效果好。,位置匿名服务器成为系统的瓶颈; 位置匿名服务器还可以成为隐私泄露的唯一攻击点。,分布式点对
10、点结构,ThemeGallery is a Design Digital Content & Contents mall developed by Guild Design Inc.,优点:拥有全局信息,隐私效果好;消除了系统瓶颈;消除了唯一攻击点。 缺点:网络通讯代价高。,处理过程:(1)移动客户端根据匿名算法建立一个匿名组,进行位置匿名。(2)根据实际的网络通讯情况选择一个合适的头结点,头结点将匿名后的查询请求发送给位置数据库服务器。(3)位置数据库服务器根据匿名区域进行查询处理,并将查询结果的候选集返回给头结点。(4)头结点可以选择出真实结果发送给提出查询的用户,也可以将查询结果的候选集
11、发送给用户,由用户自己挑选出真实的结果。,头结点平衡网络负载!,位置K-匿名模型(Location K-Anonymity Model),隐私保护模型,模型描述,模型定义,把某一用户的真实位置点扩大为一个模糊的位置范围,使得该范围覆盖k个用户的位置,此时无法将该用户与其他(k-1)个用户相区别,称此位置满足位置k-匿名。,将任意用户的位置以一个三元组 (x1, x2, y1, y2, t1, t2)表示,其中(x1, x2, y1, y2)描述了对象所在的二维空间区域,t1, t2表示一个时间段。(x1, x2, y1, y2, t1, t2)表示用户在这个时间段的某一个时间点出现在(x1,
12、x2, y1, y2)所表示的二维空间中的某一点。除此用户外,还有其他至少(k-1)个用户也在此时间段内的某个时间出现在(x1, x2, y1, y2)的二维空间的某一点, 这样的用户集合满足位置k-匿名。,原 始 查 询,匿名后查询,K=3,隐私保护需求的四个参数: k:即 k-匿名,用户要求返回的匿名集中至少包含的用户数。 Amin:匿名空间的最小值,返回的匿名空间必须要超过此值,可以是面积或半径等。 Amax:匿名空间的最大值,返回的匿名空间必须不能超过此值,也可以是面积或半径等。 Tmax:可容忍的最长匿名延迟时间。即从用户提出请求的时刻起需要在Tmax的时间范围内完成用户的匿名。,隐
13、私保护技术,假位置,空间匿名,时空匿名,Dummy,Spatial Cloaking,Spatio-Temporal Cloaking,一、假位置,位置匿名,查询处理,不公开真实服务请求的位置,而是公布假位置,即哑元(Dummy)。 用户发送多个不同的位置信息给服务器,而这些位置信息中只有一个是该用户的真实准确位置,其他的都是错误的或假的位置信息。这样即使恶意的攻击者获取了某个用户的位置信息,也不能推测出该用户的准确位置。,基于假位置的匿名查询,位置数据库中的查询处理器无需作任何修改,因为发送给位置数据库服务器的仍是一些明确的位置点,可以直接利用已有的数据库查询处理技术完成各种查询,。只是返回
14、的结果不一定是真实结果,存在一定的误差。,二、空间匿名,降低对象的空间粒度,用一个空间区域来表示用户的真实精确位置,区域的形状不限,普遍使用圆和矩形。同时结合 k-匿名的思想来构造,即用户提供给服务器的位置区域不仅需要包含该用户的准确位置,并且还需要包含其他 k-1 个移动用户。这样用区域表示位置之后,用户在此区域内每一个位置上出现的概率相同。攻击者仅能知道用户在这个空间区域内,却无法确定具体的位置。,三、时空匿名,时空匿名就是在空间匿名的基础上,增加一个时间轴。在扩大位置区域的同时,延迟响应时间,可以在这段时间中出现更多的用户、提出更多的查询,隐私匿名度更高。,基于空间匿名与时空匿名的查询处
15、理,用户发送给位置服务器的不再是精确的位置点,而是一个匿名框。用户在框内的每一个位置出现的概率相同,查询处理器无法获知移动用户的确切位置。传统的查询方式不再适用。,查询处理器,查询的类别,基于位置数据库服务器中的数据可以分为两种:公开数据和隐私数据。相应的,根据查询点和被查询点是否隐私,可以将查询分为四种。,查 询 结 果,一、在候选结果集中随机挑选一个对象作为结果返回给用户;二、返回整个候选集,用户或第三方可信件求精;三、以概率查询处理技术处理查询结果。,某加油站500米内的所有出租车 将所有与查询范围相交的匿名区域都作为候选集。 将匿名框与圆形框的重叠区域面积大小表示查询结果是真正结果的概率。 查询结果:(B,50%)(C,90%)(D,1)(E,60%),示 例,三种匿名技术的对比,假位置,空间匿名,时空匿名,Dummy,Spatial Cloaking,Spatio-Temporal Cloaking,基于P2P的位置匿名算法实现,现有系统区域被划分成网格的形式,要求移动用户通过与其他用户的通信查找到 k-1 个用户,将自己真实的位置点扩大为一个模糊的匿名空间,使得该范围覆盖了 k 个用户的位置,同时还必须满足Amin。假定匿名空间是一个矩形,用一个左下-右上的二元(xl,ybxr,yu)表示。如何实现这一过程呢?,算法一:Function P2P Anonymit
