丁嘉欣 付宇 杜文瑾 应乐意

摘 要：近年来，随着信息网络技术的飞速发展，使得人们的生活变得非常便利，但同时也会暴露自己的位置隐私。为了解决问题，在LBS（Location-Based Service）服务器与客户端之间，增加了一个可信任的位置隐私保护服务器，以构成位置隐私保护系统来保护用户的位置隐私。文章将主要讨论位置隐私保护服务器的功能实现。

關键词：位置隐私；位置隐私保护系统；功能

中图分类号：TP309 文献标识码：A

1 引言

在当今互联网极速发展的社会下，人们的生活越来越方便快捷，这完全得益于各种各样的网络应用为我们提供的各种服务，其中一个重要的服务就是位置服务。然而，在互联网渗透到我们生活的同时，我们的个人信息也很有可能遭到泄露。就像2017年11月，Uber公开了曾向黑客支付10万美元封口费，以隐瞒5700万账户数据泄露事件。从这件事情上就可以说明，黑客可以根据这些被泄露的数据追踪到用户的位置，甚至是经常去的场所。因此，为了在给用户提供位置服务时更好地保护用户的位置信息，需要完善位置隐私保护服务器的功能，在保证用户体验的同时，防止信息泄露。本文旨在设计实现一个位置隐私保护系统，来保护用户的位置隐私。

2 位置隐私保护系统

位置隐私保护服务系统包括LBS服务器、移动客户端和位置隐私保护服务器。主要交互流程如图1所示。在正常情况下，移动客户端直接与LBS服务器交互，使用位置服务，在这个过程中用户的信息透明，很容易遭到泄露。在这种结构下，用户请求将自己的位置信息先发送到位置隐私保护服务器，经过位置隐私保护处理，再发送给LBS服务器，接收到返回消息以后，需要将消息处理还原，得到准确的消息再返回给移动客户端。

2.1 客户端

客户端是为客户提供本地服务的程序。客户端的主要功能是进行定位，查询周边的酒店、医院、银行、餐饮等兴趣点（兴趣点指用户查询的想要去的地方的地理位置）的位置信息，以及查询去某一兴趣点的路线。客户端另外一个主要的功能是与位置隐私保护服务器或者LBS服务器进行交互，进行请求与接收消息。

2.2 LBS服务器

LBS（基于位置的服务）是指通过电信移动运营商的无线电通讯网络或外部定位方式，获取移动终端用户的位置信息，在GIS平台的支持下，为用户提供相应服务的一种增值业务。

LBS服务器的功能有地图和兴趣点的显示功能、交互功能、路径计算功能。

本服务器通过直接从二进制网络文件中读取节点文件中的节点和边文件中的边，并把它们显示出来，从而构成所看到的地图和兴趣点。

与LBS服务器交互的对象一般有两个，第一个就是客户端，另一个就是位置隐私保护服务器。本文只讨论客户端在不信任LBS服务器时，LBS服务器与位置隐私保护服务器之间的交互情况。

当接收到位置隐私保护服务器的路线请求时，则通过路径计算功能计算最短路径，再返回给用户。

2.3 位置隐私保护服务器

位置隐私保护服务器主要是实现保护对客户端用户的位置隐私，把用户传来的消息进行保护处理并把LBS服务器返回的消息进行消息还原后返回给相应的用户。位置隐私保护服务器的功能主要有生成假用户、ID互换、生成假轨迹、交互功能。具体的功能实现会将在后面做详细介绍。

3 位置隐私保护服务器的功能

作为位置隐私保护系统，位置隐私保护服务器在其中扮演着非常重要的角色，而它的功能又是位置隐私保护服务器的核心。所以位置隐私保护服务器的功能决定了这个系统能否对客户端用户的位置信息起到保护的作用。

3.1 生成假用户

位置隐私保护服务器接收到客户端的定位请求后，在用户定位周围随机生成一定数目的假用户，这时需要讨论两个问题，第一个就是生成假用户的数量，第二个问题就是生成假用户与真用户之间的距离。

对于生成假用户数量的问题，应该根据当时用户所处的环境考虑。例如，用户在比较繁华的地段时需要生成的假用户多些，而在郊区人们的活动相对较少，所以生成的假用户应该少些。

对于生成真、假用户的距离问题，不能相隔太远，也不能相隔太近；假位置距离太远，会显得很不真实反而容易暴露真实位置，距离太近可能在之后形成假轨迹时过于接近真实轨迹从而暴露。所以，在生成假位置时，需要事先确定一个真、假位置距离的大致范围，这个范围被称作聚集区域，将在下文中用到，假用户会在这个聚集区域内随机确定一个点作为自己所在的位置。

如图2所示，ID号为28的位置代表的是真用户所在的位置，其他生成的位置代表的是假用户所在的位置。

3.2 ID互换

ID互换的原则就是当位置隐私保护服务器在聚集区域内生成假用户之后将真用户的ID换成任意一个假用户的ID，这个假用户的ID换成另一个不重复的假用户的ID。以此类推，当只剩下最后一个没有换ID的假用户时，这个假用户的ID换成真用户的ID。例如，如图3所示，在真、假用户到达在聚集点时发生ID互换。

3.3 生成假轨迹

当位置隐私保护服务器接收到客户端发来的路线请求时，假用户也会产生不同于真用户的路线请求，并一起发送给LBS服务器。

如图4所示，图（a）的显示为LBS服务器发送给位置隐私保护服务器的内容，图（b）则显示的是客户端接收到的内容，由此可以对比出LBS服务器接收到了真、假用户的轨迹并且发送给了位置隐私保护服务器，而位置隐私保护服务器经过信息的还原，将正确的信息发送给客户端，从而真正隐藏了客户的位置信息。

3.4 交互功能

将客户端发送过来的信息进行处理，然后发送到LBS服务器。

接收到LBS服务器发送过来的信息进行信息还原，将真实的位置信息发送到客户端上。

4 结束语

本文先对位置隐私保护服务系统进行了简单的介绍，然后主要对位置隐私保护服务器的功能进行具体的分析。随着移动技术的进一步发展与完善，用户将对位置服务质量提出更高的要求，同时对自身的隐私问题也会更加地关注，这将给基于位置服务的位置隐私研究带来新的挑战。已有的这些位置隐私保护技术将不能很好地解决移动环境下用户的位置隐私保护问题，需要我们继续完善位置隐私保护服务器的功能。因此，位置隐私保护将是一个综合性很强的新兴研究领域，仍然有大量关键问题值得我们去深入研究。

基金项目：

1.大学生创新创业训练计划项目（项目编号：201710059051）；

2.国家自然科学基金项目（项目编号：U1433116）。

参考文献

[1] 王家波.基于位置服务的轨迹隐私保护技术研究[D].杭州：杭州科技大学，2014.

[2] 张浩.基于位置服务的信息隐私保护技术研究[D].合肥：中国科学技术大学，2014.

[3] 吕云山.面向路网的位置隐私保护策略研究[D].重庆：西南大学，2012.

[4] 孟小峰，潘晓.基于位置服务的隐私保护[J].中国计算机学会通讯，2010，6（6）： 16-23.

[5] Kido H，Yanagisawa Y，Satoh T.Protection of location privacy using dummies for location-based services.The 21st international conference on Data Engineering Workshops，USA，2005.Washington：IEEE，1248-1248P.

[6] GhinitaG，Kalnis P，et al. PRIVE anonymous location-based queries in distributed mobile systems[C].Proceedings of the 16th international conference on World Wide Web.ACM，2007：371-380.

[7] Suzuki A，Iwata M，Arase Y，Hara T，Xie X，Nishio S.A user location anonymization method for location based services in a real environment.The 18th SIGSPATIAL International Conference on Advances in Geographic Information Systems，New York，2010.New York：ACM，398-401P.

[8] HohB， GruteserM， etal.Preserving privacy ingps tracesviauncertainty-awarepath cloaking[C].Proceedings of the 14th ACM conference on Computer and communicationssecurity.ACM，2007：161-171.

[9] 郭艷华.位置服务中轨迹隐私保护方法的研究[D].武汉：华中师范大学，2011.

[10] 林少聪.基于位置服务的隐私保护研究[D].福建：福建师范大学，2015.

[11] 武艳娜，赵泽茂，孙传林.划分子匿名区域的k-匿名位置隐私保护方法[J].信息安全与技术，2014，10（5）：33-37.

[12] 乜国雷.社交网络近邻检测中的位置隐私保护[J].信息安全与技术，2015，09（6）：23-26.