淺談物聯網中的位置信息安全與隱私保護

摘要：本文通過介紹位置隱私的定義、重要性，竊取位置隱私的手段以及保護位置隱私的手段，使讀者了解物聯網中特有的安全和隱私問題。

關鍵詞：位置隱私；隱私保護；身份匿名；數據混淆

中圖分類號：TP391.44；TN915.08文獻標識碼：A文章編號：1674-7712 (2014) 08-0000-01

隨著物聯網中感知定位技術的發展，基于位置信息的服務應運而生。利用位置信息，人們可以更加快速、精確地獲知自己的位置，享受到諸如手機上一系列帶有定位系統的便捷服務。然而新科技同時帶來了新的隱患。隨著位置信息的精度的提高，用戶位置隱私受到侵害的隱憂也被日益關注。

一、位置隱私的定義

簡單地說，位置隱私可以說是用戶對自己位置信息的掌控能力。這種掌控能力，是指用戶是否有權決定發布位置信息，以何種方式發布，想要發布給誰以及信息的詳細程度。反之，在以下條件不能滿足的情況下，用戶的隱私就遭到了侵害。

（1）如果用戶在不想發布位置信息的情況下，位置信息被人獲知。

（2）如果用戶甲只需要把位置信息告知乙，卻被用戶丙也獲知了。

（3）用戶只想公開自己所在哪個城市，卻被人知道所在街道的信息。

二、位置隱私的重要性

位置信息的泄露最直接的危害顯而易見，被不法分子利用，對當事人進行跟蹤，從而造成人身危害。對于普通老百姓而言，其主要危害是間接泄露其個人隱私信息。因為位置信息并非單純的空間信息，還包含了用戶的身份信息和當前位置的時間。隨著位置信息的精度不斷提高，其包含的信息量也越多。由此可見，保護位置隱私刻不容緩。

三、竊取位置隱私的手段

（1）用戶和服務商的通信線路遭到竊聽。當用戶發送位置信息的時候，就會被竊取。

（2）服務商對信息保護不力。當攻擊者通過攻擊服務商的數據庫，就會竊取到用戶的信息。

（3）服務商與攻擊者私下存在交易。假如這樣，用戶的位置隱私就徹底被暴露了。

四、保護位置隱私的手段

針對與日劇增的位置隱私帶來的威脅，人們想出了各種手段來保護位置隱私，大致分為四類。

（一）制度約束

通過法律和規章制度來規范物聯網中對于位置信息的使用。大多遵循幾條原則，包括用戶享有知情權、選擇權、參與權，數據采集者有確保數據準確性和安全性的義務，所制定的條款須有強制力保證執行。但是這種方式的缺點顯而易見，比如不同國家、地區之間的法律依據不同，給海外拓展業務造成了無形的壁壘；不可能用“一刀切”的法律對待不同用戶的需求；這種方式只是亡羊補牢，無法預防隱私侵害的發生；規章制度滯后于科技的發展，無法應對新科技帶來的新威脅。

（二）隱私方針

根據需要來制定位置隱私方針，以此來指導移動設備與服務商之間的交互行為。實際中的隱私方針分為兩大類，一類是以PDF（Presence Information Data Format，由Internet Engineering Task Force所指定）為代表的“用戶導向性”，是由用戶指定一套位置隱私的要求，例如限定信息的用途和保存期限以及限制數據的重傳等，并且要與位置數據捆綁發布。服務商在接受這些要求的條件下，才能獲得用戶的位置信息。另一類是以P3P（Privacy PreferencesProject，由W3C所指定）為代表的“服務提供商導向性”，它與前者相反，由服務商公布用戶信息的使用方式，由用戶自己決定是否將位置信息提供給服務商。但是，這兩類共同缺陷在于缺少直接的強制力迫使服務商信守承諾，往往依賴于政治經濟壓力確保服務質量。

（三）身份匿名

將真實身份信息替換成某一匿名代號，避免與真實身份掛鉤。但是，簡單的匿名仍然可以借助發布的位置信息推斷出用戶的真實身份。人們又提出了K匿名方法，其思想是讓用戶與其他K-1的位置信息變得不可分辨，需要引入一個可信的中介。當用戶和服務商通信時，用戶只將自己的位置信息發送給中介，中介對這些數據進行時間和空間的處理再發給服務商，并將服務商返回的數據發送給用戶。存在兩個缺陷：一方面由于隱藏了真實身份導致有些依賴用戶身份的服務不能正常運行，另一方面由于中介統合不同用戶的位置信息，造成用戶的身份不可分辨，從而帶來不菲的額外開銷。

（四)數據混淆

對位置信息的數據進行混淆，避免攻擊者得到精確位置。身份匿名是讓攻擊者不知道信息的主人是誰，數據混淆是讓攻擊者即使知道我是誰，也不知道我在干什么。

主要有三種方法：模糊范圍、聲東擊西、含糊其辭。比如發布的位置信息是：我在北京故宮的門口售票處買票，模糊范圍就是降低位置信息的精度，如我在故宮；聲東擊西是用附近的隨機地點代替真實的位置，如我在中山公園；含糊其辭是指引入模糊的詞匯，如我在天安門附近。與身份匿名相比，數據混淆的優勢在于支持各種依賴真實身份、需要認證的服務，并且不需要中介，可以進行輕量化、分布式的部署。但其安全性有待考究，如何利用混淆的數據也值得充分研究。

參考文獻：

[1]物聯網[OL].http://www.51w.org.

[2]劉云浩.物聯網導論[M].北京:科學出版社，2011.