[[374098]]

01 位置與位置服務(wù)

位置是人或物體所在或所占的地方、所處的方位。位置的近義詞是地址，也指一種空間分布。定位是指確定方位，確定場所或界限。下面介紹常用的定位方法和位置服務(wù)過程。

1. 定位服務(wù)

定位服務(wù)即用戶獲取自己位置的服務(wù)，定位服務(wù)是基于位置的服務(wù)（Location Based Service，LBS）發(fā)展的基礎(chǔ)，客戶端只有獲取到當前的位置后，才能進行LBS的查詢?，F(xiàn)在使用最廣泛的定位方式主要有全球定位系統(tǒng)定位和基于第三方定位服務(wù)商（Location Provider，LP）所提供的Wi-Fi定位。

（1）全球定位系統(tǒng)定位

全球定位系統(tǒng)（Global Positioning System，GPS）通過全球24顆人造衛(wèi)星，能夠提供三維位置和三維速度等無線導(dǎo)航定位信息。在一個固定的位置完成定位需要4顆衛(wèi)星，客戶端首先需要搜索出4顆在當前位置可用的衛(wèi)星，然后4顆衛(wèi)星將其位置和與客戶端的距離發(fā)送給客戶端，最后由客戶端的GPS芯片計算出客戶端的當前位置。GPS的定位精度較高，一般在10 m 以內(nèi)，但是其缺點也很明顯：① 首次搜索衛(wèi)星時間相對較長；② GPS無法在室內(nèi)或建筑物相對密集的場所使用；③ 使用GPS的電量損耗較高。

為了解決首次搜索可定位衛(wèi)星時間較長的問題，AGPS（Assisted GPS）技術(shù)被提出。AGPS技術(shù)的特點主要是在定位時使用網(wǎng)絡(luò)直接將當前地區(qū)的可用衛(wèi)星信息下載下來用于定位，這不僅可以提高發(fā)現(xiàn)衛(wèi)星的速度，還能夠降低設(shè)備的電量使用情況。

（2）Wi-Fi定位

Wi-Fi定位不僅支持室外定位，也支持室內(nèi)定位。Wi-Fi設(shè)備分布廣泛，每個Wi-Fi接入點（Access Point，AP）都有全球唯一的Mac地址，并且AP在一段時間內(nèi)是不會大幅度移動的，移動設(shè)備可以收集到周圍的AP信號，獲取其Mac地址和信號強度（Received Signal Strength Indication，RSSI）。通常，LP會通過現(xiàn)場采集或用戶提交的方式建立自己的定位數(shù)據(jù)庫，并對數(shù)據(jù)庫進行定期更新。在定位過程中，LP會要求移動客戶端提交其周圍的AP集合信息，并將這些信息作為其位置指紋，進而LP即可通過與定位數(shù)據(jù)庫進行匹配計算估計出當前的位置。Wi-Fi定位的精度通常在80m以內(nèi)。

Wi-Fi定位可以測量不同信號的到達時刻（Time of Arrival，TOA）或到達角度（Angle of Arrival，AOA），較用的是基于 Wi-Fi指紋的定位。正如每個人的指紋不同，每個位置的Wi-Fi指紋也不同，一個確定位置的 Wi-Fi指紋包括該位置采集的AP的Mac地址和RSSI的集合。

Wi-Fi指紋定位主要包含兩個步驟：離線采集和在線定位。

離線采集會將已知的確定位置作為參考點，將在該位置所采集到的AP的Mac地址和 RSSI作為該位置的指紋，并將其加入數(shù)據(jù)庫中。

在線定位會將在某個非確定位置采集到的AP的Mac地址和RSSI作為指紋以與指紋數(shù)據(jù)庫進行匹配估計，從而獲得用戶的確切位置，常用的指紋數(shù)據(jù)庫匹配算法包括最近鄰（Nearest Neighbor，NN）算法、Top-K近鄰（Top K-Nearest Neighbor，TKNN）算法、距離加權(quán)K近鄰算法（Weight K-Nearest Neighbors，WKNN）算法等。

2. 基于位置的服務(wù)

基于位置的服務(wù)（LBS）是首先獲取移動終端用戶的位置信息，然后在地理信息系統(tǒng)（Geographic Information System，GIS）平臺的支持下，為用戶提供相應(yīng)服務(wù)的一種增值業(yè)務(wù)。

圖1展示了LBS的系統(tǒng)結(jié)構(gòu)，包括定位組件、移動設(shè)備、LBS提供商和通信網(wǎng)絡(luò)等。

圖1  LBS的系統(tǒng)結(jié)構(gòu)

① 定位組件為確定移動設(shè)備的位置提供了基礎(chǔ)，移動設(shè)備可以通過內(nèi)置的GPS芯片或第三方網(wǎng)絡(luò)定位提供商追蹤其具體位置，并將位置信息傳給應(yīng)用程序。

② 移動設(shè)備是指可以連入網(wǎng)絡(luò)并傳遞數(shù)據(jù)的電子設(shè)備，移動設(shè)備作為采集位置數(shù)據(jù)并發(fā)送LBS請求的基礎(chǔ)，通常包括智能手機、筆記本計算機、智能手表和車聯(lián)網(wǎng)設(shè)備等。

③ LBS服務(wù)商是指可以為移動設(shè)備提供LBS服務(wù)的第三方，LBS服務(wù)商通常擁有或可以創(chuàng)造基于位置的信息內(nèi)容。

④ 通信網(wǎng)絡(luò)用于將移動設(shè)備同LBS服務(wù)商或網(wǎng)絡(luò)定位提供商相連接，實現(xiàn)它們之間的信息傳輸，包括無線通信網(wǎng)絡(luò)、衛(wèi)星網(wǎng)絡(luò)等。

LBS服務(wù)主要包含以下兩個階段。

① 位置獲取階段：移動設(shè)備通過GPS定位或者第三方網(wǎng)絡(luò)定位獲取當前位置的階段。

② 服務(wù)獲取階段：移動設(shè)備將第一階段獲取的位置信息和查詢的興趣點發(fā)送給LBS提供商，LBS提供商進行信息查詢并將查詢結(jié)果返回給移動設(shè)備的階段。

3. 位置服務(wù)的隱私安全問題

隨著移動互聯(lián)網(wǎng)技術(shù)的發(fā)展與智能手機設(shè)備的迅速普及，越來越多的人開始習慣于使用LBS。LBS應(yīng)用程序在智能手機中得到了迅猛的發(fā)展，LBS也獲得了非常廣泛的注意。為了使用LBS，智能手機用戶可以從應(yīng)用商店下載基于位置的應(yīng)用，這些應(yīng)用首先通過GPS或網(wǎng)絡(luò)等方式獲取用戶的位置，然后將用戶的位置信息以及用戶希望獲得的服務(wù)通過查詢請求的方式發(fā)送到LBS服務(wù)器，LBS服務(wù)器進行相應(yīng)的查詢并將查詢結(jié)果返回給用戶。據(jù)統(tǒng)計全球數(shù)以億計的智能手機、車載導(dǎo)航等設(shè)備每秒發(fā)送的位置信息就超過了1億條。目前，位置服務(wù)覆蓋了各行各業(yè)，被應(yīng)用到了不同的領(lǐng)域，如健康、工作、個人生活等。

在位置服務(wù)過程中，用戶產(chǎn)生的空間數(shù)據(jù)具有復(fù)雜、異構(gòu)、實時、巨量等大數(shù)據(jù)特征，通過開放共享與智能管理，這些數(shù)據(jù)不僅可以為個人生活（如交通路線導(dǎo)航、周邊興趣點查詢等）提供便利，也可以為政府決策（如重大事件應(yīng)急響應(yīng)、住宅小區(qū)規(guī)劃等）和企業(yè)生產(chǎn)（如廣告投放、商業(yè)布點等）提供精準服務(wù)。但是，用戶在獲取這些服務(wù)的過程中，數(shù)據(jù)服務(wù)器上會留下大量的用戶記錄，而且附著在這些記錄上的上下文信息能夠披露用戶的生活習慣、興趣愛好、日?；顒?、社會關(guān)系和身體狀況等個人敏感信息。因此，如何在保護用戶隱私的同時又能為用戶提供高質(zhì)量的數(shù)據(jù)分析與決策服務(wù)，是空間數(shù)據(jù)服務(wù)過程中必須解決的重要技術(shù)問題。

加密是一種保護數(shù)據(jù)隱私的有效方法，然而，加密后的數(shù)據(jù)不能直接進行檢索和利用，不能有效地提供分析和決策支持，并不適合數(shù)據(jù)開放共享的應(yīng)用場景。中國衛(wèi)星導(dǎo)航定位協(xié)會公布的數(shù)據(jù)顯示，我國衛(wèi)星導(dǎo)航與位置服務(wù)產(chǎn)業(yè)總產(chǎn)值超過2000億元，國內(nèi)導(dǎo)航定位終端產(chǎn)品總銷量突破10億臺；根據(jù)思科公司的預(yù)測，到2019年，全球約有46億部智能手機，每月全球移動互聯(lián)網(wǎng)流量將達24.3EB。如此大規(guī)模的數(shù)據(jù)，已超出了傳統(tǒng)數(shù)據(jù)處理技術(shù)在可接受時間下獲取、管理、檢索、分析、挖掘和可視化的能力。

顯然，服務(wù)提供商為了增強位置信息的精度，需要實時獲取每個用戶的位置及相關(guān)信息，以進一步提高用戶的服務(wù)質(zhì)量（如獲得實時位置以提供更智能的路線規(guī)劃方案）。用戶在上傳移動位置信息的同時，其個人隱私也會遭到泄露。一旦大量個人隱私信息被攻擊者盜取，將導(dǎo)致整個社會產(chǎn)生安全信任危機。

此外，位置信息也可以被公開發(fā)布給相關(guān)研究機構(gòu)和研究人員進行挖掘分析，并將分析結(jié)果作為決策依據(jù)。例如，某數(shù)據(jù)部門通過分析不同時間段的GPS位置數(shù)據(jù)來分析不同職業(yè)群體的飲食習慣；通過數(shù)據(jù)挖掘，可以發(fā)現(xiàn)相同的職業(yè)群體經(jīng)常在相同或者不同的時刻出現(xiàn)在同樣的地方。因此，當這種位置關(guān)聯(lián)被利用后通過再次挖掘，就可以分析出用戶之間的社交關(guān)聯(lián)。一旦社交關(guān)聯(lián)被披露，更多的敏感信息將面臨二次泄露的風險。

例如，假設(shè)A、B、C均是學生，他們在相同的時間段內(nèi)在相同的位置共同出現(xiàn)了兩次，因此攻擊者可能會推測他們是同班同學。再通過他們的背景知識，如果A的年紀、學?；蛘呱鐣P(guān)系被泄露，那么B和C的相應(yīng)背景也會被泄露。如果不考慮用戶之間的關(guān)聯(lián)信息，只是單純地進行位置保護，那么攻擊者可以利用這種關(guān)聯(lián)屬性進行關(guān)聯(lián)推理攻擊，使用戶的個人隱私遭到更多的泄露，危及用戶的個人生命和財產(chǎn)安全。因此，為更好地保護用戶隱私，隱私保護還需要充分考慮群體用戶的關(guān)聯(lián)位置所帶來的風險。

4. 位置隱私及位置隱私保護對象

隱私是個人或群體通過選擇性表達有意識地保護的相關(guān)信息。不同的人對于隱私有不同的關(guān)注程度，同時也與人們所處的環(huán)境信息有關(guān)，但是相同的是，這些信息對于個人來說一定是十分敏感的。位置隱私是物聯(lián)網(wǎng)中用戶的位置信息，指人們在獲取位置和使用位置時將自身的位置信息視作一種個人隱私信息，同時也可以指用戶為了保護自身位置隱私所應(yīng)具備的權(quán)利和能力。

通常，移動用戶在使用位置服務(wù)時需要提交用戶的身份標志符（identity）、空間信息（position）、時間信息（time）等。根據(jù)移動用戶提交的信息，我們可以概括隱私保護的對象如下。

① 身份標志符：用來唯一標志用戶信息的憑證。即使用戶在發(fā)布查詢的過程中隱藏了身份標志符信息，攻擊者仍然可以通過發(fā)布的位置信息或提交的特定查詢等上下文信息推測出用戶的身份。

② 空間信息：在LBS中指用戶提交的位置信息，在定位服務(wù)中指用戶所提交的用于定位的相關(guān)信息，包括Wi-Fi指紋信息等。用戶的空間信息泄露會直接或間接地導(dǎo)致攻擊者知道用戶的當前位置，進而可根據(jù)用戶的當前位置，合理地判斷用戶的工作場所、生活習慣等。例如，攻擊者可以根據(jù)用戶在工作日經(jīng)常提交的位置信息推測出用戶的工作地點。用戶可能希望提供不同的位置精度，例如，告訴朋友們準確的位置，而為天氣服務(wù)提供粗略的位置。此外，位置信息不只是具體的經(jīng)緯度信息，例如，用戶不希望發(fā)布其在醫(yī)院的信息，這里需要保護的空間信息代表一個位置場所。

③ 軌跡：時間信息和空間信息一起定義了在一段時間內(nèi)用戶的位置移動順序，即軌跡。相對于位置信息，軌跡信息更容易導(dǎo)致用戶的生活習慣泄露，例如，攻擊者可以推測出用戶的上下班線路。

02 位置隱私保護結(jié)構(gòu)

根據(jù)用戶的位置是否連續(xù)，位置隱私保護技術(shù)可以分為單點位置的隱私保護技術(shù)和連續(xù)軌跡的隱私保護技術(shù)。單點位置的隱私是指誰在某個時刻到過什么地方，而連續(xù)軌跡的隱私是指誰在什么時間段內(nèi)到過哪些地方。

這里所指的位置隱私是單點位置隱私。位置隱私保護的目標有3種：

① 身份保護，隱藏用戶身份，SP只能知道位置但不知道是誰在請求服務(wù)；

② 位置保護，SP知道是誰在請求服務(wù)，但不能獲取其準確位置；

③ 身份和位置保護，SP不知道是誰在哪里請求服務(wù)。

目前的位置隱私保護技術(shù)所采用的結(jié)構(gòu)大體可以分為以下3類：獨立結(jié)構(gòu)、集中式結(jié)構(gòu)和P2P結(jié)構(gòu)。

（1）獨立結(jié)構(gòu)

獨立結(jié)構(gòu)由用戶和SP兩部分構(gòu)成，因此又稱為客戶服務(wù)器結(jié)構(gòu)。如圖2所示，獨立結(jié)構(gòu)中一次LBS的整體流程如下：首先用戶在通過定位技術(shù)獲取位置信息后，通過假名或者模糊位置對自己要發(fā)送給SP的信息進行匿名處理，形成一個虛假的結(jié)果或者一個結(jié)果集，這些工作全部由用戶獨立完成，并直接和SP進行通信，并將結(jié)果發(fā)送給SP，SP根據(jù)接收到的信息，完成用戶提出的查詢?nèi)蝿?wù)，并將查詢結(jié)果返回給用戶，用戶收到后從中選出符合自己需要的結(jié)果即可。獨立結(jié)構(gòu)比較簡單，容易實現(xiàn)，但是，所有的隱私保護工作需要用戶自己來完成，對移動設(shè)備要求高，而且在人員稀疏的環(huán)境中保護效果會很差，很容易被攻擊者識別出真實的身份信息和位置信息。

圖2  獨立結(jié)構(gòu)

（2）集中式結(jié)構(gòu)

集中式結(jié)構(gòu)是在獨立結(jié)構(gòu)的基礎(chǔ)上引入了可信的第三方——匿名服務(wù)器。該服務(wù)器位于用戶和SP之間，負責管理用戶的位置信息、匿名需求、定位結(jié)果處理、查詢結(jié)果篩選等，須對用戶的位置進行保護。圖3所示為集中式結(jié)構(gòu)中一次LBS的整體流程。用戶首先獲得自己精確的位置信息，然后將精確的位置信息發(fā)送給匿名服務(wù)器。匿名服務(wù)器結(jié)合其他用戶上傳的位置信息，使用匿名算法按照用戶的匿名需求對位置進行匿名處理，之后將處理過的結(jié)果發(fā)送給SP。SP根據(jù)接收到的數(shù)據(jù)，查詢相應(yīng)的結(jié)果并將其返回給匿名服務(wù)器，經(jīng)過對結(jié)果的篩選，匿名服務(wù)器即可把最終的結(jié)果返回給查詢用戶。從服務(wù)過程的變化可以看出，引入可信第三方（匿名服務(wù)器）能夠充分減小移動設(shè)備的工作負擔，解決了移動設(shè)備計算和存儲能力有限的問題，可以把更復(fù)雜的匿名算法引入位置保護系統(tǒng)，還能夠利用周邊環(huán)境和其他用戶的信息，有效提高位置隱私保護的效率和安全性。但是，集中式結(jié)構(gòu)也有明顯的缺點：每個用戶的匿名都需要通過匿名服務(wù)器的計算和分析，當用戶數(shù)量大幅增加時，匿名服務(wù)器就會成為性能的瓶頸，影響LBS的時效性，甚至會發(fā)生服務(wù)器崩潰的情況。更為重要的是，匿名服務(wù)器中保存著大量的用戶身份信息和位置信息數(shù)據(jù)，一旦遭到攻擊，大量用戶隱私必將泄露，這將會造成十分嚴重的后果。

圖3  集中式結(jié)構(gòu)

（3）P2P結(jié)構(gòu)

因為集中式結(jié)構(gòu)中匿名服務(wù)器的局限性和移動設(shè)備性能的飛速發(fā)展，P2P結(jié)構(gòu)應(yīng)運而生。P2P結(jié)構(gòu)去掉了可信第三方中間件，僅由移動用戶和SP組成。與獨立結(jié)構(gòu)不同的是，移動設(shè)備用戶為了利用其他用戶的信息來保護自身的位置隱私，用戶之間建立了對等網(wǎng)絡(luò)。雖然同樣是由用戶自身完成位置隱私保護工作，但是P2P結(jié)構(gòu)中有許多對等的移動節(jié)點提供了平等的信息共享服務(wù)，在每個節(jié)點發(fā)起查詢時，其他節(jié)點會提供協(xié)助以共同完成隱私保護，抵御攻擊。圖4所示為P2P結(jié)構(gòu)中一次LBS的整體流程。當用戶需要發(fā)起LBS時，其首先會請求網(wǎng)絡(luò)內(nèi)其他用戶的協(xié)助，即會將請求協(xié)助信息在網(wǎng)絡(luò)內(nèi)廣播。收到其他節(jié)點的回復(fù)后，將其中符合匿名要求的信息收集到一起作為匿名集合。之后由用戶隨機選擇的代理用戶將查詢請求發(fā)送給SP。SP經(jīng)過查詢后將結(jié)果返回給代理用戶并由代理用戶最終返回給用戶。P2P結(jié)構(gòu)取消了匿名服務(wù)器，解決了集中式結(jié)構(gòu)中第三方處理數(shù)據(jù)的瓶頸問題（如可行度、性能等），但是要求每個移動用戶都必須具有兩個獨立的網(wǎng)絡(luò)，一個網(wǎng)絡(luò)用于LBS通信，另一個網(wǎng)絡(luò)用于P2P通信；同時對移動設(shè)備的性能和網(wǎng)絡(luò)的傳輸效率要求較高；在人員稀少的地區(qū)比較難以實現(xiàn)匿名區(qū)的組建；惡意節(jié)點的存在會導(dǎo)致匿名的安全性和質(zhì)量難以滿足要求。

圖4  P2P結(jié)構(gòu)