01 位置和位置服务
位置是人或物体所在或或位置。位置的同义词是地址,也指空间分布。定位是指确定位置、位置或边界。以下是常用的定位方法和位置服务流程。
1. 定位服务
定位服务是指用户获自己位置的服务,定位服务是基于位置的服务(Location Based Service,LBS)在发展的基础上,客户端只能在获得当前位置后进行LBS查询。目前使用最广泛的定位方法主要包括全球定位系统定位和基于第三方定位的服务提供商(Location Provider,LP)所提供的Wi-Fi定位。
(1)全球定位系统定位
全球定位系统(Global Positioning System,GPS)通过全球24颗人造卫星,可以提供三维位置、三维速度等无线导航定位信息。在固定位置完成定位需要4颗卫星。客户端首先需要在当前位置搜索4颗可用卫星,然后将其位置和距离发送给客户端,最后由客户端发送GPS芯片计算客户端的当前位置。GPS定位精度高,一般在10 m 以内,但其缺点也很明显:① 第一次搜索卫星的时间比较长;② GPS不能在室内或建筑相对密集的地方使用;③ 使用GPS高功耗。
为解决首次搜索可定位卫星时间较长的问题,AGPS(Assisted GPS)提出了技术。AGPS该技术的主要特点是利用网络直接下载当前区域的可用卫星信息进行定位,不仅可以提高发现卫星的速度,而且可以减少设备的功率使用。
(2)Wi-Fi定位
Wi-Fi定位不仅支持室外定位,还支持室内定位。Wi-Fi设备分布广泛,每个Wi-Fi接入点(Access Point,AP)全有世界上唯一的Mac地址,并且AP移动设备在一段时间内不会大幅移动,可以收集到周围的设备AP获取信号Mac地址和信号强度(Received Signal Strength Indication,RSSI)。通常,LP定位数据库将通过现场收集或用户提交建立,并定期更新。在定位过程中,LP移动客户端将被要求提交周围的移动客户端AP收集信息,将其作为位置指纹LP目前的位置可以通过匹配定位数据库来估计。Wi-Fi定位的精度通常是80m以内。
Wi-Fi定位可以测量不同信号的到达时间(Time of Arrival,TOA)或到达角度(Angle of Arrival,AOA),以 为基础Wi-Fi指纹定位。就像每个人的指纹不同一样,每个位置Wi-Fi指纹也不同,一个确定位置的 Wi-Fi该位置收集的指纹包括指纹AP的Mac地址和RSSI的集合。
Wi-Fi指纹定位主要包括离线采集和在线定位两个步骤。
离线采集会将已知的确定位置作为参考点,并在该位置采集AP的Mac地址和 RSSI将指纹添加到数据库中作为该位置。
在线定位将在非确定位置收集AP的Mac地址和RSSI常用的指纹数据库匹配算法包括最近的邻近数据库匹配算法作为指纹进行估计,以获得用户的确切位置(Nearest Neighbor,NN)算法、Top-K近邻(Top K-Nearest Neighbor,TKNN)算法,距离加权K近邻算法(Weight K-Nearest Neighbors,WKNN)算法等。
2. 基于位置的服务
基于位置的服务(LBS)在地理信息系统中,首先获取移动终端用户的位置信息(Geographic Information System,GIS)在平台的支持下,为用户提供相应的增值服务。
图1展示了LBS的系统结构,包括定位组件、移动设备、LBS提供商和通信网络等。
图1 LBS的系统结构
① 定位组件为确定移动设备的位置提供了基础,移动设备可以内置GPS芯片或第三方网络定位提供商跟踪其具体位置,并将位置信息传输给应用程序。
② 移动设备是指可以连接到网络并传输数据的电子设备。LBS要求的基础通常包括智能手机、笔记本电脑、智能手表和车联网设备。
③ LBS服务商是指可以为移动设备提供LBS第三方服务,LBS基于位置的信息内容通常由服务提供商拥有或创建。
④ 通信网络与移动设备相同LBS连接服务提供商或网络定位提供商,实现无线通信网络、卫星网络等信息传输。
LBS服务主要包括以下两个阶段。
① 位置获取阶段:移动设备通过GPS获取当前位置的阶段是定位或第三方网络定位。
② 服务获取阶段:移动设备将第一阶段获取的位置信息和兴趣点发送给查询LBS提供商,LBS提供商查询信息,并将查询结果返回移动设备阶段。
3. 位置服务的隐私安全问题
随着移动互联网技术的发展和智能手机设备的迅速普及,越来越多的人习惯于使用它LBS。LBS智能手机中的应用程序发展迅速,LBS也引起了广泛的关注。用于使用LBS,智能手机用户可以从应用商店下载基于位置的应用程序,首先通过GPS或者通过网络获取用户的位置,然后通过查询请求将用户的位置信息和服务发送到用户想要获得的位置信息LBS服务器,LBS服务器进行相应的查询,并将查询结果返回给用户。据统计,全球智能手机、车载导航等设备每秒发送的位置信息超过1亿条。目前,定位服务覆盖了各行各业,并应用于健康、工作、个人生活等不同领域。
在位置服务过程中,用户生成的空间数据具有复杂、异构、实时、巨大的大数据特征。通过开放共享和智能管理,这些数据不仅可以为个人生活(如交通路线导航、周边兴趣点查询等)提供便利,还可以为政府决策(如重大事件应急响应、住宅社区规划等)和企业生产(如广告、商业配送等)提供准确的服务。然而,在获取这些服务的过程中,用户会在数据服务器上留下大量的用户记录,附着在这些记录上的上下文信息可以披露用户的生活习惯、兴趣、日常活动、社会关系和身体状况。因此,如何在保护用户隐私的同时为用户提供高质量的数据分析和决策服务是空间数据服务过程中必须解决的一个重要技术问题。
加密是保护数据隐私的有效方法。然而,加密后的数据不能直接检索和使用,不能有效地提供分析和决策支持,也不适合数据开放和共享的应用场景。根据中国卫星导航定位协会发布的数据,中国卫星导航定位服务业总产值超过2000亿元,国内导航定位终端产品总销量超过10亿元;据思科预测,到2019年,全球约有46亿部智能手机,全球移动互联网流量将达到每月24.3EB。如此大规模的数据超出了传统数据处理技术在可接受时间内获取、管理、检索、分析、挖掘和可视化的能力。
显然,为了提高位置信息的准确性,服务提供商需要实时获取每个用户的位置和相关信息,以进一步提高用户的服务质量(如获得实时位置以提供更智能的路线规划方案)。用户在上传移动位置信息时也会泄露个人隐私。一旦攻击者窃取了大量的个人隐私信息,就会导致整个社会的安全信任危机。
此外,位置信息也可以公开发布给相关研究机构和研究人员进行挖掘和分析,并以分析结果作为决策依据。例如,数据部门分析了不同时间段GPS位置数据分析不同专业群体的饮食习惯;通过数据挖掘,可以发现相同的专业群体经常出现在相同或不同的时间。因此,当使用此位置关联时,用户之间的社会关联可以通过再次挖掘进行分析。一旦社会关联被披露,更敏感的信息将面临二次泄露的风险。
例如,假设A、B、C他们都是学生。他们在同一时间内出现在同一位置两次,因此攻击者可能会推测他们是同学。通过他们的背景知识,如果A如果年龄、学校或社会关系被泄露,B和C相应的背景也会被泄露。如果不考虑用户之间的相关信息,只是简单的位置保护,攻击者可以利用这种相关属性进行相关推理攻击,使用户的个人隐私更加泄露,危及用户的个人生命和财产安全。因此,为了更好地保护用户的隐私,隐私保护还需要充分考虑群体用户的相关位置所带来的风险。
4. 位置隐私和位置隐私保护对象
隐私是个人或群体通过选择性表达有意识保护的相关信息。不同的人对隐私有不同的关注,也与人们的环境信息有关,但同样的是,这些信息对个人必须非常敏感。位置隐私是物联网中用户的位置信息,是指人们在获取位置和使用位置时将自己的位置信息视为个人隐私信息,也是用户保护自己位置隐私的权利和能力。
通常,移动用户在使用位置服务时需要提交用户的身份标志(identity)、空间信息(position)、时间信息(time)等等。根据移动用户提交的信息,我们可以概括隐私保护的对象如下。
① 身份标志符:用于标志用户信息的唯一凭证。即使用户在发布查询过程中隐藏了身份标志信息,攻击者仍然可以通过发布的位置信息或提交的具体查询来推断用户的身份。
② 空间信息:在LBS在定位服务中,户提交的定位信息,包括用户提交的定位信息Wi-Fi指纹信息等。用户的空间信息泄露将直接或间接地导致攻击者知道用户的当前位置,然后根据用户的当前位置合理地判断用户的工作场所和生活习惯。例如,攻击者可以根据用户在工作日经常提交的位置信息推断用户的工作场所。用户可能希望提供不同的位置精度,例如告诉朋友准确的位置,并为天气服务提供粗略的位置。此外,位置信息不仅仅是具体的经纬度信息,例如,用户不想在医院发布信息,需要保护的空间信息代表一个位置。
③ 轨道:时间信息和空间信息共同定义了用户在一段时间内的位置移动顺序,即轨道。与位置信息相比,轨迹信息更容易导致用户的生活习惯泄露。例如,攻击者可以推断用户的通勤路线。
02 位置隐私保护结构
根据用户的位置是否连续,位置隐私保护技术可分为单点位置的隐私保护技术和连续轨迹的隐私保护技术。单点位置的隐私是指在某个时间到达的地方,而连续轨迹的隐私是指在某个时间段到达的地方。
位置隐私是单点位置隐私。位置隐私保护有三个目标:
① 身份保护,隐藏用户身份,SP只能知道位置,但不知道谁在要求服务;
② 位置保护,SP知道谁在要求服务,但无法获得准确的位置;
③ 身份和位置保护,SP我不知道谁在哪里要求服务。
隐私保护技术采用的结构可分为独立结构、集中结构和三类P2P结构。
(1)独立结构
用户和独立结构SP这两部分也被称为客户服务器结构。如图2所示,独立结构一次LBS整个过程如下:首先,用户在通过定位技术获取位置信息后,应通过假名或模糊位置发送给自己SP匿名处理信息,形成虚假结果或结果集,由用户独立完成,直接和SP通信并发送结果SP,SP根据收到的信息,完成用户提出的查询任务,并将查询结果返回给用户。用户收到后,可以选择满足自己需求的结果。独立结构相对简单,易于实现。然而,所有隐私保护工作都需要用户自己完成,对移动设备的要求很高,在稀疏的环境中保护效果会很差,攻击者很容易识别真实的身份信息和位置信息。
图2 独立结构
(2)集中结构
集中结构是在独立结构的基础上引入可信的第三方——匿名服务器。服务器位于用户和SP同时,负责管理用户的位置信息、匿名需求、定位结果处理、查询结果筛选等,并保护用户的位置。图3显示了集中结构中的一次LBS整个过程。用户首先获取自己准确的位置信息,然后将准确的位置信息发送给匿名服务器。匿名服务器使用匿名算法根据用户的匿名需求对位置进行匿名处理,然后发送处理结果SP。SP根据收到的数据,查询相应的结果并返回匿名服务器。匿名服务器可以在筛选结果后将最终结果返回给查询用户。从服务流程的变化可以看出,引入可信的第三方(匿名服务器)可以充分减轻移动设备的工作负担,解决移动设备计算和存储能力有限的问题,将更复杂的匿名算法引入位置保护系统,利用周边环境和其他用户信息,有效提高位置隐私保护的效率和安全性。集中结构也有明显的缺点:每个用户的匿名需要通过匿名服务器的计算和分析。当用户数量急剧增加时,匿名服务器将成为性能的瓶颈LBS服务器的及时性甚至会崩溃。更重要的是,匿名服务器中保存了大量的用户身份信息和位置信息数据。一旦受到攻击,大量泄露大量的用户隐私,造成非常严重的后果。
图3 集中结构
(3)P2P结构
由于匿名服务器在集中结构中的局限性和移动设备性能的快速发展,P2P结构应运而生。P2P可信的第三方中间件仅由移动用户和SP组成。与独立结构不同,移动设备用户在用户之间建立了平等的网络,以利用其他用户的信息来保护他们的位置隐私。虽然位置隐私保护也由用户自己完成,但P2P结构中有许多平等的移动节点提供平等的信息共享服务。当每个节点发起查询时,其他节点将协助完成隐私保护完成隐私保护御攻击。图4显示P2P结构中一次LBS整个过程。当用户需要启动时LBS当时,它将首先向网络中的其他用户寻求帮助,即在网络中广播请求帮助信息。在收到其他节点的回复后,收集符合匿名要求的信息作为匿名收集。然后,用户随机选择的代理用户将发送查询请求SP。SP查询后将结果返还给代理用户,代理用户最终返还给用户。P2P该结构取消了匿名服务器,解决了第三方在集中结构中处理数据的瓶颈(如可行性、性能等),但是,每个移动用户都必须有两个独立的网络,一个网络用于LBS另一个网络用于通信P2P通信;同时,移动设备的性能和网络传输效率要求较高;匿名区的建立难以在人口稀少的地区实现;恶意节点的存在将使匿名的安全性和质量难以满足要求。
图4 P2P结构