一、 什么是隐私
在当前互联网时代的大背景下,各种通讯互联设备正在迅猛发展,而且随着物联网的发展,各个设备彼此互联,设备之间的信息通讯变得更加频繁。为了给用户提供更好的服务,这些设备往往会收集用的一些隐私信息,从而造成了用户的隐私泄露。
首先我们来看一下什么是隐私。根据维基百科中的定义,隐私是个人或者群体保护他们的相关信息的能力,从而实现有选择性的表达与自己相关的内容。隐私的界限因人而异,同时也与个人所处的文化环境有关,比如普遍认为西方人比东方人更加开放。但是相同的是,这些信息对于个人来说一定是十分敏感的。我个人对隐私的理解就是,隐私是一些个人信息,这些信息我不想让别人知道,或者说不想未经我的允许就被别人知道。
二、 移动设备的隐私泄露
目前,涉及隐私泄露的方面有很多,比如网站数据库被黑客攻击;互联网公司在提供服务的同时收集我们的个人信息;各种病毒,木马和钓鱼网站等。在这里我想谈一下我对移动设备即手机的隐私泄露的几点看法。
基于位置的服务(Location Based Services,以下简称LBS)是当前移动终端服务中的热点。在当前移动应用市场中,LBS的应用非常广泛,购物应用中,利用LBS获取用户位置,既省去了用户手动输入位置信息的繁琐过程,又为配送仓库的选择提供了地理位置信息的依据;在导航应用中,LBS实时获取用户的位置信息并返回给用户,使路况信息的获取和查询更加直观和简单;除此之外,在社交、天气、打车、团购、旅游等各种移动应用中,LBS都扮演着重要的角色,LBS所提供的地理位置信息能够丰富应用的功能,并极大的提高用户的使用体验。
然而,在改善用户体验的同时,LBS应用需要收集用户的地理位置信息,在信息时代,对商家来说,用户信息是宝贵的财富,可以帮助商家更好的锁定用户并推出针对性服务;对于LBS应用的使用者来说,地理位置信息的公开则涉及到个人隐私的问题。在这个信息爆炸的时代,对于个人信息被泄露的用户来说,轻则会被商家的垃圾广告和垃圾邮件所烦扰,重则会造成个人名誉或财产上的损失。从实际情况来看,位置信息隐私的确应当得到良好的保护,因为从位置信息中,我们可以分析出目标人物的住址、工作地点等。同时,研究发现人们的活动具有很强的规律性,因此获得人们的位置信息不仅对当前时刻人们的隐私有所侵犯,而且对将来位置的预测也有着很大的帮助。因此,对于地理位置信息,越来越多的人认为其属于个人隐私的一部分,不应当被他人获取。
目前,在我们的移动设备上安装的各种应用软件中,大部分都会需要获取用户的地理位置信息,LBS在各类应用中都发挥了或多或少的作用,因此,基于LBS应用的涵盖范围也越来越广。对于一部分LBS应用而言,正如前文所述,用户的地理位置信息确实是其要实现其功能所必须的;对另外一些应用,获取用户的位置信息虽然并不是必须的,但这些信息能极大的帮助改善用户体验,对于这两种应用,不能简单的依靠屏蔽应用获取地理位置信息的权限来实现对用户隐私的保护,原因就在于这种方式对于应用功能和体验的影响过大。甚至出现了一些以收集用户数据为主要目的而请求定位权限的移动应用,严格来说,这类应用并不属于LBS应用,但其同样涉及地理位置信息隐私保护的问题。目前,针对移动设备的各种应用市场和应用软件种类繁多、鱼龙混杂,多数用户并不关注用户信息的泄露问题,而只是从功能和用户体验的角度上去评价一款应用软件,许多用户并不会留意每一款应用在安装时所请求的权限,更不会深究某一项权限和功能的对应关系,因此,相应的情况是应用的所有权限请求被不谨慎的通过,用户自己也不能明确究竟哪些信息会被暴露给商家。
针对以上问题和现状,如何既能保障用户的隐私安全,又能够尽可能少的影响应用的用户体验,就成为了当前亟待解决的问题。
三、 基于扭曲法的LBS隐私保护技术
过去几年里,基于扭曲法的LBS隐私保护技术已成为LBS隐私保护社区最活跃的研究方向。它是指对LBS查询中用户的位置敏感信息的原始数据进行必要的扰动,以避免攻击者获得用户的真实数据,同时要能保证用户不受妨碍地获得服务。采用的技术主要包括假名(删除或用一个临时的标识代替用户身份)、随机化(添加哑元)、模糊化(泛化或扰动查询中的时空信息)和隐蔽化(对攻击者隐蔽整个查询)。
假名技术采用了集中式结构,因为假名的发布、使用、撤销等需要在可信服务器上完成。假名技术是将LBS查询中的用户身份信息用一个临时的假名代替或者直接删除用户身份信息,以达到打破用户身份和查询之间的联系。假名是一个对象的标识而非真实的名字[1],不包含用户能被识别的信息。因此,LBS 查询不会被连接到用户标识上,从而保护了用户的查询隐私。通常,为了增强假名的有效性,往往需要结合一些复杂的加密方法[2]。仅仅采用假名并不能充分地保护查询隐私,因为攻击者可以通过多种方式(如监测手机的信号等)获得用户的位置,并借助一些公开的信息确定用户的身份。
随机化是指在 LBS 查询用户地理位置信息时加入随机哑元,并将哑元查询和真实查询一起发送给 LBS 提供商。但是随意地对查询进行随机化并不能保护隐私,哑元查询只有在攻击者看来同样可能是真实查询时才有用。随机化采用分布式结构,用户在移动终端上产生哑元查询,并将其和真实查询一起提交,LBS提供商响应所有查询并向用户返回所有结果。随机化技术的关键是如何以智能的方式产生有效的哑元,从而使攻击者很难识别真实的查询且不会耗费太大的开销。文献[3]最先使用了随机化技术,它考虑了诸如普适、拥挤、均匀等指标来产生和那些真实用户移动模式相近的哑元位置,试图使它们看起来更真实。但由这些哑元位置组成的历史数据中的移动特征与真实对象的移动特征具有很大的差别,甚至产生的一些位置可能是实际中不可用的位置(如在海洋里),很容易被攻击者识别,因此,哑元位置的产生需要考虑真实环境的一些约束,如运动的一致性、路网、移动速度等[4]。
模糊化是指泛化或扰动LBS查询用户位置信息时的中的时间和定位,使攻击者无法识别查询用户及精确位置。泛化是指以可控的方式降低查询中时间和定位的精度,通常用一个区域或时段来代替,以便一定数量的用户和查询用户共享相同的时间和经纬度。区域和时段的计算称为隐形。泛化包括空间泛化和时间泛化:空间泛化在一定程度上降低查询中定位的精度,以满足用户的隐私需求,并确保用户不受妨碍地获得 LBS 服务;时间泛化通过增加位置数据时间的不确定性来减少loc的精度。扰动是指在loc中以可控的方式有意地引入部分错误,如用锚点代替真实位置[5],但数据仍要满足给定的服务质量要求。
隐蔽化是指通过从 LBS 服务器上完全删除和隐藏LBS查询到的用户位置信息来达到保护用户隐私的目的,主要思想是:用户请求LBS时不是向LBS服务器发送查询,而是向自己附近的同伴(如附近其他可访问的用户设备)请求查询信息,从而对 LBS 服务器隐蔽查询,最大化了用户的位置隐私。文献[6]首先提出了隐蔽化方法,已经拥有一些具体位置信息(最初来于提供商,存储在用户设备的缓存中)的用户可以将它传递给正在搜索这样信息的其他附近用户。在信息过期之前,可以转手多次,用户之间可以通过无线 P2P 的方式进行交互。但由于没有考虑用户的移动模型,其实用性大打折扣。最近,他们使用位置区域集合上的离散隐马尔可夫链形式化了用户的移动模型,极大地提高了方法的实用性[7]。隐蔽化技术采用分布式结构,使用攻击者的期望估计误差量化位置隐私。
四、总结
上述对地理位置信息隐私保护的研究可以总结为一下两个方面,一是位置隐私的保护,二是数据隐私的保护。位置隐私保护技术主要有区域覆盖和位置欺骗,假名和随机化是就属于位置隐私保护。数据隐私保护的最主要方法是借助于传统的加密技术,模糊法和隐蔽化就是就是数据隐私保护。
除了从技术上进行改善,从个人的角度讲我们自己在平时安装和使用软件时也要注意,不要安装自己不信任的应用,安装应用时多注意应用需要的权限等等。
[1]. Pfitzmann A, Hansen M. A terminology for talking about privacy by data minimization: Anonymity, unlinkability, unobservability, pseudonymity, and identity management (v0.34). 2010. http://dud.inf.tu-dresden.de/Anon_Terminology.shtml.
[2]. Schaub F, Ma ZD, Kargl F. Privacy requirements in vehicular communication systems. In: Proc. of the IEEE Int’l Conf. on Computational Science and Engineering. Piscataway: IEEE, 2009. 139−145. [doi: 10.1109/cse.2009.135].
[3]. Kido H, Yanagisawa Y, Satoh T. An anonymous communication technique using dummies for location-based services. In: Proc. of the 2nd Int’l Conf. on Pervasive Services. Santorini: IEEE Computer Society, 2005. 88−97. [doi: 10.1109/perser.2005.1506394].
[4]. Suzuki A, Iwata M, Arase Y, Hara T, Xie X, Nishio S. A user location anonymization method for location based services in a real environment. In: Proc. of the 18th ACM SIGSPATIAL Int’l Conf. on Advances in Geographic Information System. New York: ACM Press, 2010. 398−401. [doi: 10.1145/1869790.1869846].
[5]. Yiu ML, Jensen S, Huang XG, Lu H. SpaceTwist: Managing the trade-offs among location privacy, query performance, and query accuracy in mobile services. In: Proc. of the IEEE 24th Int’l Conf. on Data Engineering. Piscataway: IEEE, 2008. 366−375.
[6]. Shokri R, Papadimitratos P, Theodorakopoulos G, Hubaux JP. Collaborative location privacy. In: Proc. of the 8th IEEE Int’l Conf. on Mobile Adhoc and Sensor Systems. Piscataway: IEEE, 2011. 500−509. [doi: 10.1109/mass.2011.55].
[7]. Shokri R, Theodorakopoulos G, Papadimitratos P, Kazemi E, Hubaux JP. Hiding in the mobile crowd: Location privacy through collaboration. IEEE Trans. on Dependable and Secure Computing, 2014,11(3):266−279. [doi: 10.1109/TDSC.2013.57].