基于利益最大化的位置隱私保護技術研究

王宇航, 張宏莉

(哈爾濱工業大學 計算機科學與技術學院, 哈爾濱 150001)

1 相關工作

最近的研究試圖建立整個位置隱私保護機制。這些LPPM在文獻[1]中得到了系統闡述。基于現有工作，則有必要對LPPM可以提供給該位置的隱私數量進行有效評定，并且位置隱私度量是在文獻[2-5]中進行了有針對性的研究。只是對于LBS場景，這些研究都集中在如何安全地使用該位置。

與此同時，當下也有部分研究正致力于在位置獲取場景中保留位置隱私，對此可以描述為如何安全地獲得位置。諸如文獻[6-8]等就給出了有效的方法來應對這種威脅。

一般而言，包括匿名、混淆、噪聲添加、差異隱私和基于加密的方法在近年來均得到了深入研究和重要的實踐應用部署。無論研究中采用了何種具體方法，這些研究中幾乎都擁有相同的系統模型以及邊界假設。在LBS場景中，亦無需擔心LBS提供商可能在沒有用戶意識或位置的情況下獲取位置信息。而且，在位置獲取場景中，研究也并不考慮該如何生成位置。在研究中提出的新服務方案中，不可避免地會在用戶意識之外獲得該位置。

迄今為止，當今仍鮮有研究對LBS的發展和位置隱私挑戰給予足夠的重視。本文中首次定義了DLBS和新的隱私挑戰。文中提出的方案是可以解決DLBS場景中位置隱私挑戰的前沿研究。

2 DLBS和新型隱私威脅

DLBS極大地擴展了LBS的范圍，作為一種實踐中新的LBS形式，在本節中，首先列出了本文所指的DLBS的特征，對此可做闡釋分述如下。

(1) DLBS過程中涉及可本地化的服務設備，該設備將為用戶服務，同時在沒有用戶意識的情況下自行進行本地化并與DLBS提供商進行通信。

(2)DLBS設備在市區分開，隨時可用。為了享受DLBS，用戶需要靠近DLBS設備并將其激活。例如，使用用戶的智能手機掃描設備的QR碼。

(3)在服務期間，設備將為用戶提供特殊容量，也將由用戶使用。在DLBS期間，設備和用戶的位置被視為相同。

(4)為了維護DLBS系統，以及DLBS設備上的所有權，DLBS提供商需要了解設備的位置。這個要求(也是提供商的權利)違背了用戶的位置隱私保護需求。在最基本的情況下，DLBS提供商至少需要知道那些不在服務中的設備的位置，以便DLBS提供商可以確保維護DLBS系統。

由于上述功能，在DLBS場景中，傳統的LPPM及其威脅模型正面臨著挑戰。研究可得剖析概述如下。

(1)傳統LBS場景中的LPPM不必考慮服務提供商未經用戶許可就能獲得該位置的情況。 但是在DLBS中，由于可本地化的設備，這種假設不再存在。 這對那些僅考慮如何對即將發送給服務提供商的位置信息進行保存的LPPM來說是一個災難性的挑戰。

(2)一般而言，從法律角度來看，DLBS提供商確實有權知道其DLBS設備的位置。 這至少與用戶方的位置隱私提議相同。 這種矛盾也超出了傳統LPPM的容量范圍。 需要新型LPPM來平衡位置隱私要求和“知情權”事實。

(3)具體地，在DLBS場景中，用戶獲取設備并激活DLBS的位置幾乎不可能隱藏，因為DLBS提供商必須知道相對應的自身設備的位置。

結合前述DLBS功能和位置隱私挑戰，在本文中，研發設計了一個全新的DLBS框架來應對這些問題。 通常，在本文的框架中，將尊重、保護和實現位置隱私要求和來自用戶與DLBS提供商方的位置感知要求。本次研發框架的基本原則是只鼓勵DLBS提供商在最低滿意度下詢問足以維護的位置信息。最后，本文的框架具有與傳統LPPM的兼容性，用戶仍然可以使用自身的LPPM來保護本文研發框架上的位置隱私。 在下一節中，對此擬展開研究詳述。

3 基于信譽體系評價的DLBS位置隱私保護方法

在本文的框架中，首先需解開用戶和DLBS提供商之間的直接通信，也在DLBS提供商和其配備的設備之間。 此處引入了受信任的第三方代理來執行信用系統。圖1顯示了本文研發的系統架構。通常，DLBS提供商將設備的位置廣播到TTP代理，用戶則從TTP代理查詢可用設備。當需要位置信息時，TTP代理就從DLBS提供者接收位置請求，根據其信用值決定是否滿足當下需求。 在用戶方面，如果位置請求獲得批準，就可以使用LPPM執行一定程度的保存，再將保存結果發送回DLBS提供商。研究設計內容詳見如下。

圖1 隱私保護系統架構

3.1 基本思路

由于DLBS提供商在必要時有權知道其設備的位置，這就使得研究將無法假設DLBS提供商獲取該位置的真正動機。因此，與傳統的LPPM有所不同，在DLBS中，研究會將用戶的位置隱私和DLBS系統的可用性放在規模的兩邊。

換句話說，本次研究允許DLBS提供商知道設備的位置(受LPPM保護)，但卻必須承擔相應的費用。從興趣的角度來看，DLBS提供商必須保持規模的平衡，以使其自身的DLBS系統發揮應有的作用。這也意味著DLBS提供商不能過度搶占用戶的位置隱私，但只能獲得足夠的適當位置信息以維持DLBS的操作。本次研究提出的系統假設可總述如下。

(1)用戶誠實，即喜歡DLBS，沒有任何不正當的想法。且總是隨身攜帶DLBS設備，并報告其所在位置，雖然由LPPM保存，但做如實匯報。

(2)用戶的激活位置超出了本文的方案保護，如關于DLBS的特征所陳述的，研究將激活位置視為想要享受DLBS的用戶支付的必要成本。本次研究希望在本文框架中保留的是DLBS期間的軌跡信息。

(3) DLBS提供商不受信任，且知道所有已停用設備的位置信息，同時也有權查詢激活設備的位置，如果TTP代理批準該用戶請求，則用戶必須報告其所在位置。此外，由于位置查詢會損害DLBS系統的可用性，因此DLBS提供商將始終尋求位置隱私和系統可用性之間的利益最大化。

3.2 信譽評價系統

為了最小化維護DLBS系統的位置信息要求，DLBS提供商僅需要知道設備的激活位置，其中用戶終止DLBS并離開設備。 DLBS提供商將獲取此位置且更新設備的狀態，從而為下一輪服務做好準備。

在本文研發的框架中，設計建立了信用評分系統，用來鼓勵DLBS提供商僅從TTP代理請求其設備的停用位置。研究中引入了信任硬幣的概念，DLBS提供商使用此概念來獲取TTP代理上的位置信息。接下來，對于該系統的工作原理將做整體闡述如下。

(1)每次用戶激活DLBS時，系統將創建一定量的TCoin，并將其提供給DLBS提供商。在基本條件下，對于每次DLBS服務，將創建一個TCoin、且將其提供給DLBS。

(2)對于在線設備，DLBS提供商必須購買設備位置。文中建議可提送至TTP代理，TPP代理會告知用戶這個請求。由于知情權原則，用戶必須響應該請求，然而，由用戶決定DLBS提供者可以獲得的位置的精確度。

(3)研究定義了值為1的TCoin的精確位置，LPPM的位置輸出值取決于隱私級別的粒度。位置的精度越低，就越便宜。

(4)由于DLBS提供商與用戶之間的一對多關系，DLBS提供商可能在DLBS系統的運行時期間具有TCoin的余額。顯然，較小的TCoin仍然是更值得信賴的DLBS提供商。因此，在本次研發的系統中，通過將DLBS提供商的信用評級定義為0～1之間的數字，1表示DLBS提供商沒有TCoin的余額，0表示TCoin的余額等于或大于當前活躍用戶。最后，研究進一步定義了在服務開始時創建的TCoins數量為1次C $ TCoins。

鑒于上述信用評分系統和本文給出的系統假設，可以確保DLBS提供商將表現出維持其DLBS系統的可用性，對于合理的情況，這是在獲得用戶的位置隱私之前。在本文研發的系統中，理想情況是DLBS提供商總是花費其持有的TCoin在DLBS結束后請求精確位置。由于沒有剩余的冗余TCoin，因此在DLBS啟動時總是會獲得一個TCoin，并且在DLBS結束后總是花費一個TCoin。

在下一節中，將分析信用評分系統，以及DLBS提供商和用戶在此類規則下的行為。基于這個信用評分系統，研究分析了本文框架的一些其它細節特征和設計，具體如下。

3.3 方法的隱私性分析

在本節中，首先分別從DLBS提供商和用戶的角度分析本文研發的方案。然后，仿真模擬本文研發的框架并顯示其對各種行為的表現。實際上，通過選擇共用自行車作為模擬的原型，本文研發的框架中涉及的參數被認為是合理的。對此可做重點論述如下。

3.3.1 隱私度量

這里使用文獻[1]中定義的位置隱私度量，并將用戶的位置隱私量化為對手的預期錯誤。該指標還表明LPPM保存后位置的模糊程度。然后，也可以使用此值來為DLBS提供商定價以獲取位置。

3.3.2 靜默攻擊

對于濫用TCoins并且無法負擔在DLBS之后獲得的位置，為了實際應用的目的，研究使用隱藏設備而不是讓設備永遠消失作為懲罰。 如果DLBS提供商在DLBS后不再需要設備的位置，TTP代理則會在足夠長的時間內將該設備隱藏起來，諸如24 h。 這將導致DLBS提供商的某些財務損失。

3.3.3 延遲通信

為了避免DLBS的去激活位置顯示用戶的當前位置，在本次研發方案中，當用戶結束DLBS時，就會在DLBS的結束時間和DLBS提供商的可搜索時間之間設置時間間隔。 在此延遲期后，DLBS提供者可以將一個TCoin用于設備位置，如果希望在此期間內獲得設備位置，則仍然需要花費額外的TCoin。

3.3.4 隱私性

雖然必須滿足來自DLBS提供商的設備位置請求，但是本文研發的系統對用戶的位置隱私的惡意行為提供了強烈的排斥性。研發論述內容如下。

首先，如果DLBS提供商在DLBS期間花費了一定的TCoins請求該位置，就將無法在DLBS之后獲得其所需的設備的位置，這意味著該屬性丟失以及DLBS系統的可用性降低，對此DLBS提供商則不會接受。

其次，當DLBS提供商尋求TCoins的某些平衡并準備使用TCoins以獲得更多的位置隱私時，將只能保持這樣做的時間窗口，因為由于TCoin生成機制，更多的平衡意味著每個TCoins的收益減少。 DLBS的時間，并且為了維護DLBS系統，提供者每次總是需要花費一個TCoin來獲得設備的位置。這種赤字將很快耗盡DLBS提供商的TCoins。

最后，即使在DLBS提供商的情況下，考慮到所有可用性和好處，都非常積極地獲取用戶的位置，其將獲得的位置信息并不比在傳統LBS場景中得到的更好，因為用戶側的LPPM將控制發回的位置信息的粒度。

4 實驗結果及分析

本次研究在PC上使用Intel 8 Core 2.4 Hz CPU和16 GB ROM實現了研發框架的測試仿真。1 000個設備被發射到100平方公里的方形區域。研究將隨機觸發DLBS服務和不同頻率的相應隨機軌跡，觀察輸出在本節中的顯示和解釋。本文研發設計了架構和信用評分系統，不同類型的行為也參與了模擬。文中設定的仿真硬件環境和軟件見表1。

表1 實驗環境配置

4.1 系統功能性

仿真測試本文提出的框架，檢視其是否能夠支持DLBS系統的順利運行。研究得到的信用評級如圖2所示，其中展示了DLBS提供商的TCoin余額以及當前丟失設備的百分比的模擬結果。

圖2 信譽評價體系運行下DLBS功能

Fig. 2 Runtime situation of DLBS system with the proposed credit system

研究假設一個誠實的DLBS提供商來衡量本文研發框架的功能。 由于DLBS無法承受請求而丟失通信設備的數量在整個模擬中保持為0，因此DLBS保持TCoins的合理平衡。在模擬的中期，當數字DLBS上升時，余額也隨即上升，這即導致DLBS提供商的信用評級下降。然后，如后期運行結果所示，余額保持消耗，并且信用評級返回到正常水平。

4.2 監控方法

通過執行TCoin余額的拍攝來測試信用評分系統的監管機制。圖3給出了前一次模擬中在相同條件下為200分配余額時的余額變化和得分等級。如果DLBS提供商通過犧牲DLBS系統的可用性來執行與協作者的共謀攻擊，則可能在實際情況中發生平衡的拍攝。

圖3 Tcoin余額和信用值的關系

由圖3可知，平衡點的上升直接將信用評級壓低到0.03，結果是前幾個小時幾乎沒有收入，而TCoin的凈流出是為了獲得這些收益。查詢位置幾乎耗盡了8 h的平衡。換言之，即使在這種極端情況下，DLBS提供商執行惡意獲取的時間窗口在本文研究的模擬中還不到8 h。

4.3 隱私攻擊

研究中，進一步考慮DLBS提供商愿意犧牲DLBS可用性并且傾向于探知用戶位置隱私的情況。在前一個模擬案例中，研究認為DLBS將使用TCoins來請求額外的位置信息，并且用戶將使用基本的混淆LPPM來保護其位置隱私。這種行為的結果則如圖4所示。

圖4 惡意跟蹤行為下信譽體系變化

Fig. 4 Balance and missing devices when performing the malicious tailing

當DLBS提供商花費額外的TCoin來請求設備的位置時，余額很快接近于零，同時需要在稍后的時間獲得服務設備的位置數。通過分析運行結果可知，丟失設備的百分比開始增加，在本次的模擬中，在最后一個時期中有45%的DLBS設備丟失，這對于惡意行為來說將是災難性的結果。

5 結束語

在本文中，研究定義了一種新型的基于位置的服務，該服務命名了與設備相關的基于位置的服務。對于DLBS，傳統的LPPM因傾覆系統模型而無效。然后，基于信用評分系統和代理架構，本文設計了一個全新的DLBS框架，可以有效地保護位置隱私。研究中平衡了位置隱私與DLBS系統的可用性，這卻可能導致位置隱私的惡意行為將受到對DLBS系統可用性的損害。仿真結果表明，本次研發的框架可以在真實環境中有效保護位置隱私。