王宇航, 張宏莉

(哈爾濱工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院, 哈爾濱 150001)

1 相關(guān)工作

最近的研究試圖建立整個(gè)位置隱私保護(hù)機(jī)制。這些LPPM在文獻(xiàn)[1]中得到了系統(tǒng)闡述。基于現(xiàn)有工作，則有必要對(duì)LPPM可以提供給該位置的隱私數(shù)量進(jìn)行有效評(píng)定，并且位置隱私度量是在文獻(xiàn)[2-5]中進(jìn)行了有針對(duì)性的研究。只是對(duì)于LBS場(chǎng)景，這些研究都集中在如何安全地使用該位置。

與此同時(shí)，當(dāng)下也有部分研究正致力于在位置獲取場(chǎng)景中保留位置隱私，對(duì)此可以描述為如何安全地獲得位置。諸如文獻(xiàn)[6-8]等就給出了有效的方法來應(yīng)對(duì)這種威脅。

一般而言，包括匿名、混淆、噪聲添加、差異隱私和基于加密的方法在近年來均得到了深入研究和重要的實(shí)踐應(yīng)用部署。無論研究中采用了何種具體方法，這些研究中幾乎都擁有相同的系統(tǒng)模型以及邊界假設(shè)。在LBS場(chǎng)景中，亦無需擔(dān)心LBS提供商可能在沒有用戶意識(shí)或位置的情況下獲取位置信息。而且，在位置獲取場(chǎng)景中，研究也并不考慮該如何生成位置。在研究中提出的新服務(wù)方案中，不可避免地會(huì)在用戶意識(shí)之外獲得該位置。

迄今為止，當(dāng)今仍鮮有研究對(duì)LBS的發(fā)展和位置隱私挑戰(zhàn)給予足夠的重視。本文中首次定義了DLBS和新的隱私挑戰(zhàn)。文中提出的方案是可以解決DLBS場(chǎng)景中位置隱私挑戰(zhàn)的前沿研究。

2 DLBS和新型隱私威脅

DLBS極大地?cái)U(kuò)展了LBS的范圍，作為一種實(shí)踐中新的LBS形式，在本節(jié)中，首先列出了本文所指的DLBS的特征，對(duì)此可做闡釋分述如下。

(1) DLBS過程中涉及可本地化的服務(wù)設(shè)備，該設(shè)備將為用戶服務(wù)，同時(shí)在沒有用戶意識(shí)的情況下自行進(jìn)行本地化并與DLBS提供商進(jìn)行通信。

(2)DLBS設(shè)備在市區(qū)分開，隨時(shí)可用。為了享受DLBS，用戶需要靠近DLBS設(shè)備并將其激活。例如，使用用戶的智能手機(jī)掃描設(shè)備的QR碼。

(3)在服務(wù)期間，設(shè)備將為用戶提供特殊容量，也將由用戶使用。在DLBS期間，設(shè)備和用戶的位置被視為相同。

(4)為了維護(hù)DLBS系統(tǒng)，以及DLBS設(shè)備上的所有權(quán)，DLBS提供商需要了解設(shè)備的位置。這個(gè)要求(也是提供商的權(quán)利)違背了用戶的位置隱私保護(hù)需求。在最基本的情況下，DLBS提供商至少需要知道那些不在服務(wù)中的設(shè)備的位置，以便DLBS提供商可以確保維護(hù)DLBS系統(tǒng)。

由于上述功能，在DLBS場(chǎng)景中，傳統(tǒng)的LPPM及其威脅模型正面臨著挑戰(zhàn)。研究可得剖析概述如下。

(1)傳統(tǒng)LBS場(chǎng)景中的LPPM不必考慮服務(wù)提供商未經(jīng)用戶許可就能獲得該位置的情況。 但是在DLBS中，由于可本地化的設(shè)備，這種假設(shè)不再存在。 這對(duì)那些僅考慮如何對(duì)即將發(fā)送給服務(wù)提供商的位置信息進(jìn)行保存的LPPM來說是一個(gè)災(zāi)難性的挑戰(zhàn)。

(2)一般而言，從法律角度來看，DLBS提供商確實(shí)有權(quán)知道其DLBS設(shè)備的位置。 這至少與用戶方的位置隱私提議相同。 這種矛盾也超出了傳統(tǒng)LPPM的容量范圍。 需要新型LPPM來平衡位置隱私要求和“知情權(quán)”事實(shí)。

(3)具體地，在DLBS場(chǎng)景中，用戶獲取設(shè)備并激活DLBS的位置幾乎不可能隱藏，因?yàn)镈LBS提供商必須知道相對(duì)應(yīng)的自身設(shè)備的位置。

結(jié)合前述DLBS功能和位置隱私挑戰(zhàn)，在本文中，研發(fā)設(shè)計(jì)了一個(gè)全新的DLBS框架來應(yīng)對(duì)這些問題。 通常，在本文的框架中，將尊重、保護(hù)和實(shí)現(xiàn)位置隱私要求和來自用戶與DLBS提供商方的位置感知要求。本次研發(fā)框架的基本原則是只鼓勵(lì)DLBS提供商在最低滿意度下詢問足以維護(hù)的位置信息。最后，本文的框架具有與傳統(tǒng)LPPM的兼容性，用戶仍然可以使用自身的LPPM來保護(hù)本文研發(fā)框架上的位置隱私。 在下一節(jié)中，對(duì)此擬展開研究詳述。

3 基于信譽(yù)體系評(píng)價(jià)的DLBS位置隱私保護(hù)方法

在本文的框架中，首先需解開用戶和DLBS提供商之間的直接通信，也在DLBS提供商和其配備的設(shè)備之間。 此處引入了受信任的第三方代理來執(zhí)行信用系統(tǒng)。圖1顯示了本文研發(fā)的系統(tǒng)架構(gòu)。通常，DLBS提供商將設(shè)備的位置廣播到TTP代理，用戶則從TTP代理查詢可用設(shè)備。當(dāng)需要位置信息時(shí)，TTP代理就從DLBS提供者接收位置請(qǐng)求，根據(jù)其信用值決定是否滿足當(dāng)下需求。 在用戶方面，如果位置請(qǐng)求獲得批準(zhǔn)，就可以使用LPPM執(zhí)行一定程度的保存，再將保存結(jié)果發(fā)送回DLBS提供商。研究設(shè)計(jì)內(nèi)容詳見如下。

圖1 隱私保護(hù)系統(tǒng)架構(gòu)

3.1 基本思路

由于DLBS提供商在必要時(shí)有權(quán)知道其設(shè)備的位置，這就使得研究將無法假設(shè)DLBS提供商獲取該位置的真正動(dòng)機(jī)。因此，與傳統(tǒng)的LPPM有所不同，在DLBS中，研究會(huì)將用戶的位置隱私和DLBS系統(tǒng)的可用性放在規(guī)模的兩邊。

換句話說，本次研究允許DLBS提供商知道設(shè)備的位置(受LPPM保護(hù))，但卻必須承擔(dān)相應(yīng)的費(fèi)用。從興趣的角度來看，DLBS提供商必須保持規(guī)模的平衡，以使其自身的DLBS系統(tǒng)發(fā)揮應(yīng)有的作用。這也意味著DLBS提供商不能過度搶占用戶的位置隱私，但只能獲得足夠的適當(dāng)位置信息以維持DLBS的操作。本次研究提出的系統(tǒng)假設(shè)可總述如下。

(1)用戶誠(chéng)實(shí)，即喜歡DLBS，沒有任何不正當(dāng)?shù)南敕?。且總是隨身攜帶DLBS設(shè)備，并報(bào)告其所在位置，雖然由LPPM保存，但做如實(shí)匯報(bào)。

(2)用戶的激活位置超出了本文的方案保護(hù)，如關(guān)于DLBS的特征所陳述的，研究將激活位置視為想要享受DLBS的用戶支付的必要成本。本次研究希望在本文框架中保留的是DLBS期間的軌跡信息。

(3) DLBS提供商不受信任，且知道所有已停用設(shè)備的位置信息，同時(shí)也有權(quán)查詢激活設(shè)備的位置，如果TTP代理批準(zhǔn)該用戶請(qǐng)求，則用戶必須報(bào)告其所在位置。此外，由于位置查詢會(huì)損害DLBS系統(tǒng)的可用性，因此DLBS提供商將始終尋求位置隱私和系統(tǒng)可用性之間的利益最大化。

3.2 信譽(yù)評(píng)價(jià)系統(tǒng)

為了最小化維護(hù)DLBS系統(tǒng)的位置信息要求，DLBS提供商僅需要知道設(shè)備的激活位置，其中用戶終止DLBS并離開設(shè)備。 DLBS提供商將獲取此位置且更新設(shè)備的狀態(tài)，從而為下一輪服務(wù)做好準(zhǔn)備。

在本文研發(fā)的框架中，設(shè)計(jì)建立了信用評(píng)分系統(tǒng)，用來鼓勵(lì)DLBS提供商僅從TTP代理請(qǐng)求其設(shè)備的停用位置。研究中引入了信任硬幣的概念，DLBS提供商使用此概念來獲取TTP代理上的位置信息。接下來，對(duì)于該系統(tǒng)的工作原理將做整體闡述如下。

(1)每次用戶激活DLBS時(shí)，系統(tǒng)將創(chuàng)建一定量的TCoin，并將其提供給DLBS提供商。在基本條件下，對(duì)于每次DLBS服務(wù)，將創(chuàng)建一個(gè)TCoin、且將其提供給DLBS。

(2)對(duì)于在線設(shè)備，DLBS提供商必須購買設(shè)備位置。文中建議可提送至TTP代理，TPP代理會(huì)告知用戶這個(gè)請(qǐng)求。由于知情權(quán)原則，用戶必須響應(yīng)該請(qǐng)求，然而，由用戶決定DLBS提供者可以獲得的位置的精確度。

(3)研究定義了值為1的TCoin的精確位置，LPPM的位置輸出值取決于隱私級(jí)別的粒度。位置的精度越低，就越便宜。

(4)由于DLBS提供商與用戶之間的一對(duì)多關(guān)系，DLBS提供商可能在DLBS系統(tǒng)的運(yùn)行時(shí)期間具有TCoin的余額。顯然，較小的TCoin仍然是更值得信賴的DLBS提供商。因此，在本次研發(fā)的系統(tǒng)中，通過將DLBS提供商的信用評(píng)級(jí)定義為0～1之間的數(shù)字，1表示DLBS提供商沒有TCoin的余額，0表示TCoin的余額等于或大于當(dāng)前活躍用戶。最后，研究進(jìn)一步定義了在服務(wù)開始時(shí)創(chuàng)建的TCoins數(shù)量為1次C $ TCoins。

鑒于上述信用評(píng)分系統(tǒng)和本文給出的系統(tǒng)假設(shè)，可以確保DLBS提供商將表現(xiàn)出維持其DLBS系統(tǒng)的可用性，對(duì)于合理的情況，這是在獲得用戶的位置隱私之前。在本文研發(fā)的系統(tǒng)中，理想情況是DLBS提供商總是花費(fèi)其持有的TCoin在DLBS結(jié)束后請(qǐng)求精確位置。由于沒有剩余的冗余TCoin，因此在DLBS啟動(dòng)時(shí)總是會(huì)獲得一個(gè)TCoin，并且在DLBS結(jié)束后總是花費(fèi)一個(gè)TCoin。

在下一節(jié)中，將分析信用評(píng)分系統(tǒng)，以及DLBS提供商和用戶在此類規(guī)則下的行為。基于這個(gè)信用評(píng)分系統(tǒng)，研究分析了本文框架的一些其它細(xì)節(jié)特征和設(shè)計(jì)，具體如下。

3.3 方法的隱私性分析

在本節(jié)中，首先分別從DLBS提供商和用戶的角度分析本文研發(fā)的方案。然后，仿真模擬本文研發(fā)的框架并顯示其對(duì)各種行為的表現(xiàn)。實(shí)際上，通過選擇共用自行車作為模擬的原型，本文研發(fā)的框架中涉及的參數(shù)被認(rèn)為是合理的。對(duì)此可做重點(diǎn)論述如下。

3.3.1 隱私度量

這里使用文獻(xiàn)[1]中定義的位置隱私度量，并將用戶的位置隱私量化為對(duì)手的預(yù)期錯(cuò)誤。該指標(biāo)還表明LPPM保存后位置的模糊程度。然后，也可以使用此值來為DLBS提供商定價(jià)以獲取位置。

3.3.2 靜默攻擊

對(duì)于濫用TCoins并且無法負(fù)擔(dān)在DLBS之后獲得的位置，為了實(shí)際應(yīng)用的目的，研究使用隱藏設(shè)備而不是讓設(shè)備永遠(yuǎn)消失作為懲罰。 如果DLBS提供商在DLBS后不再需要設(shè)備的位置，TTP代理則會(huì)在足夠長(zhǎng)的時(shí)間內(nèi)將該設(shè)備隱藏起來，諸如24 h。 這將導(dǎo)致DLBS提供商的某些財(cái)務(wù)損失。

3.3.3 延遲通信

為了避免DLBS的去激活位置顯示用戶的當(dāng)前位置，在本次研發(fā)方案中，當(dāng)用戶結(jié)束DLBS時(shí)，就會(huì)在DLBS的結(jié)束時(shí)間和DLBS提供商的可搜索時(shí)間之間設(shè)置時(shí)間間隔。 在此延遲期后，DLBS提供者可以將一個(gè)TCoin用于設(shè)備位置，如果希望在此期間內(nèi)獲得設(shè)備位置，則仍然需要花費(fèi)額外的TCoin。

3.3.4 隱私性

雖然必須滿足來自DLBS提供商的設(shè)備位置請(qǐng)求，但是本文研發(fā)的系統(tǒng)對(duì)用戶的位置隱私的惡意行為提供了強(qiáng)烈的排斥性。研發(fā)論述內(nèi)容如下。

首先，如果DLBS提供商在DLBS期間花費(fèi)了一定的TCoins請(qǐng)求該位置，就將無法在DLBS之后獲得其所需的設(shè)備的位置，這意味著該屬性丟失以及DLBS系統(tǒng)的可用性降低，對(duì)此DLBS提供商則不會(huì)接受。

其次，當(dāng)DLBS提供商尋求TCoins的某些平衡并準(zhǔn)備使用TCoins以獲得更多的位置隱私時(shí)，將只能保持這樣做的時(shí)間窗口，因?yàn)橛捎赥Coin生成機(jī)制，更多的平衡意味著每個(gè)TCoins的收益減少。 DLBS的時(shí)間，并且為了維護(hù)DLBS系統(tǒng)，提供者每次總是需要花費(fèi)一個(gè)TCoin來獲得設(shè)備的位置。這種赤字將很快耗盡DLBS提供商的TCoins。

最后，即使在DLBS提供商的情況下，考慮到所有可用性和好處，都非常積極地獲取用戶的位置，其將獲得的位置信息并不比在傳統(tǒng)LBS場(chǎng)景中得到的更好，因?yàn)橛脩魝?cè)的LPPM將控制發(fā)回的位置信息的粒度。

4 實(shí)驗(yàn)結(jié)果及分析

本次研究在PC上使用Intel 8 Core 2.4 Hz CPU和16 GB ROM實(shí)現(xiàn)了研發(fā)框架的測(cè)試仿真。1 000個(gè)設(shè)備被發(fā)射到100平方公里的方形區(qū)域。研究將隨機(jī)觸發(fā)DLBS服務(wù)和不同頻率的相應(yīng)隨機(jī)軌跡，觀察輸出在本節(jié)中的顯示和解釋。本文研發(fā)設(shè)計(jì)了架構(gòu)和信用評(píng)分系統(tǒng)，不同類型的行為也參與了模擬。文中設(shè)定的仿真硬件環(huán)境和軟件見表1。

表1 實(shí)驗(yàn)環(huán)境配置

4.1 系統(tǒng)功能性

仿真測(cè)試本文提出的框架，檢視其是否能夠支持DLBS系統(tǒng)的順利運(yùn)行。研究得到的信用評(píng)級(jí)如圖2所示，其中展示了DLBS提供商的TCoin余額以及當(dāng)前丟失設(shè)備的百分比的模擬結(jié)果。

圖2 信譽(yù)評(píng)價(jià)體系運(yùn)行下DLBS功能

Fig. 2 Runtime situation of DLBS system with the proposed credit system

研究假設(shè)一個(gè)誠(chéng)實(shí)的DLBS提供商來衡量本文研發(fā)框架的功能。 由于DLBS無法承受請(qǐng)求而丟失通信設(shè)備的數(shù)量在整個(gè)模擬中保持為0，因此DLBS保持TCoins的合理平衡。在模擬的中期，當(dāng)數(shù)字DLBS上升時(shí)，余額也隨即上升，這即導(dǎo)致DLBS提供商的信用評(píng)級(jí)下降。然后，如后期運(yùn)行結(jié)果所示，余額保持消耗，并且信用評(píng)級(jí)返回到正常水平。

4.2 監(jiān)控方法

通過執(zhí)行TCoin余額的拍攝來測(cè)試信用評(píng)分系統(tǒng)的監(jiān)管機(jī)制。圖3給出了前一次模擬中在相同條件下為200分配余額時(shí)的余額變化和得分等級(jí)。如果DLBS提供商通過犧牲DLBS系統(tǒng)的可用性來執(zhí)行與協(xié)作者的共謀攻擊，則可能在實(shí)際情況中發(fā)生平衡的拍攝。

圖3 Tcoin余額和信用值的關(guān)系

由圖3可知，平衡點(diǎn)的上升直接將信用評(píng)級(jí)壓低到0.03，結(jié)果是前幾個(gè)小時(shí)幾乎沒有收入，而TCoin的凈流出是為了獲得這些收益。查詢位置幾乎耗盡了8 h的平衡。換言之，即使在這種極端情況下，DLBS提供商執(zhí)行惡意獲取的時(shí)間窗口在本文研究的模擬中還不到8 h。

4.3 隱私攻擊

研究中，進(jìn)一步考慮DLBS提供商愿意犧牲DLBS可用性并且傾向于探知用戶位置隱私的情況。在前一個(gè)模擬案例中，研究認(rèn)為DLBS將使用TCoins來請(qǐng)求額外的位置信息，并且用戶將使用基本的混淆LPPM來保護(hù)其位置隱私。這種行為的結(jié)果則如圖4所示。

圖4 惡意跟蹤行為下信譽(yù)體系變化

Fig. 4 Balance and missing devices when performing the malicious tailing

當(dāng)DLBS提供商花費(fèi)額外的TCoin來請(qǐng)求設(shè)備的位置時(shí)，余額很快接近于零，同時(shí)需要在稍后的時(shí)間獲得服務(wù)設(shè)備的位置數(shù)。通過分析運(yùn)行結(jié)果可知，丟失設(shè)備的百分比開始增加，在本次的模擬中，在最后一個(gè)時(shí)期中有45%的DLBS設(shè)備丟失，這對(duì)于惡意行為來說將是災(zāi)難性的結(jié)果。

5 結(jié)束語

在本文中，研究定義了一種新型的基于位置的服務(wù)，該服務(wù)命名了與設(shè)備相關(guān)的基于位置的服務(wù)。對(duì)于DLBS，傳統(tǒng)的LPPM因傾覆系統(tǒng)模型而無效。然后，基于信用評(píng)分系統(tǒng)和代理架構(gòu)，本文設(shè)計(jì)了一個(gè)全新的DLBS框架，可以有效地保護(hù)位置隱私。研究中平衡了位置隱私與DLBS系統(tǒng)的可用性，這卻可能導(dǎo)致位置隱私的惡意行為將受到對(duì)DLBS系統(tǒng)可用性的損害。仿真結(jié)果表明，本次研發(fā)的框架可以在真實(shí)環(huán)境中有效保護(hù)位置隱私。