第2卷第l2期 2016年12月 网络与信息安全学报 Chinese Journal ofNetwork and Information Security 、r01.2 No.12 December2016 基于语义的位置服务隐私保护综述 马明杰 ,杜跃进 ,李凤华1刘佳文 (1.中国科学院信息工程研究所信息安全国家重点实验室,北京100093; 2.阿里巴巴集团安全部,浙江杭州310052; 3.财经大学信息学院,北京100081) 摘要:位置服务发展引起的隐私泄露问题已不容忽视。基于语义的位置隐私保护是位置隐私保护工作中的 重要组成部分。首先总结了近年来基于语义的位置隐私保护研究工作,包括隐私保护设计中的关键因素、语 义保护可行性、相关概念等;随后讨论了基于语义的位置隐私保护机制、语义相似度测量方法、隐私保护度 量方法等;最后展望了基于语义的位置隐私保护未来的研究方向。 关键词:信息安全;语义;隐私保护;基于位置服务 中图分类号:TP393 文献标识码:A doi:10.11959/j.issn.2096—109x.2016.00088 ’Revi一 ‘ ew ol “ semantiC—Dased Pnvacy-preserving approaches ‘ ■ ’ ● ● 一 ln LB ● T— MA Ming-jie ,DU Yue-jin ,LI Feng.hua ,LIU Jia.Well (1.StateKeyLaboratoryofInformationSecuriyt,InstituteofInformationEngineering,ChineseAcademyofSciences,Beijng i100093,China; 2.Security Department,Alibaba Group,Hangzhou 310052,China; 3.School ofImformation,Central Universiyt ofFinance and Economics,Beijing 100081,China) Abstract:The development of location-based services(LBS)caused seirous privacy concerns.Semantic—based p 一 vacy-preserving approaches is an important part of privacy protection in LBS.The recent work on location privacy protection based on semantics were summarized,including key factors n idesign ofprivacy protection,the feasibility of semantic protection,related concepts.Then semantic-based location privacy-preserving mechanisms,measure— ment methods of semantic similariy,evaluatiton index of privacy for semantic location privacy were discussed.Fi・ nally,some future research directions of semantic-based location privacy protection were prospected. Keywords:information security,semantics,privacy-preserving,LBS 1引言 随着智能可穿戴设备、车联网等新技术的出 移动tMobi 6 : 截止到2016年3月,国内移动互联网月度活跃用 @iie.ac.n e收稿日期:2016.09.20;修回日期:2016—1I-06。通信作者:李风华, 基金项目:国家自然科学基金委一广东联合基金资助项目(No.U1401251);国家高技术研究发展计划(“863”计划)基 金资助项目(No.2015AA016007);国家自然科学基金一青年科学基金资助项目(No.61502489);国家“核高基”科技 重大专项基金资助项目(No.2015ZX01029101);中国科学院大学生创新实践训练计划基金资助项目(No.1188005088) Foundation Items:The Key Program of the National Natural Science Foundation of China-Guangdong Union Fotmdation (No.U1401251)。11heNationalHighTechnologyR&DProgramofChina(863Program)(No.2015AA016007),111eNationalNatu- ral Scince-eYouth Scincee Foundation of China(No.61502489).111e National Scincee and Technology Major Projcte of China (No.201 0l029101)_TheInnovativePractiePrcojectofCol/egeStudentsinChineseAcademyofScinces(eNo.1188005088) 网络与信息安全学报 第2卷 户数突破9.27亿,CNNIC发布的《第37次中国 互联网络发展状况统计报告》【2】显示,网络预约 求查询100 m内的工商银行和1 000 m内的银行 服务所需的用户地理位置精度以及攻击者可判断 下一刻用户位置的确定性是不一样的。同理,细 粒度的隐私保护在一定程度上也会牺牲服务质 量。如何权衡服务质量和隐私之间的关系是保护 位置隐私需要关注的问题。 2)隐私保护效果与资源消耗间的平衡。用户 出租车用户规模为9 664万人。由此可见位置服 务的用户在国内非常庞大。 位置服务是把双刃剑,位置服务的普及在给 人们带来便利的同时,也给人们的隐私保护带来 了严峻考验。2014年7月,电视台报道了苹 果搜集用户位置隐私的问题,报道中称苹果公司 在发起位置服务请求时,一般对服务的响应速度 有一定的要求,如果响应速度过慢,势必会影响 用户体验。现有的隐私架构无论是P2P架构还是 TTP架构,都需要在保证隐私效果的同时,考虑 资源消耗问题。 详细记录了用户的移动轨迹以及位置,并将其存 储在未加密的数据库中。2014年,英国综合性日 报《卫报》(The Guardian)也曝出即使用户已经 选择关闭定位功能,匿名应用Whisper也会泄露 用户的地理位置。在国内,微信“附近的人”功能 使其他用户可轻松定位用户位置,因此导致越来越 多的犯罪事件。由此,位置服务中的隐私保护刻不 容缓。 针对位置服务引起的隐私泄露问题,国内外学 基于位置的服务具有查询和数据更新频率高 等特点,因此传统的数据隐私保护方法并不适用。 除去加密的方法,现有的基于位置服务的隐私保 护技术主要分为3类。 11伪造数据。主要思想是用户要么发送与真 实位置相关的假数据,要么发送包含有真实位置 的多个数据给位置服务提供商以保护其真实位 者提出了多种解决方案。现有基于位置服务的隐私 保护方法主要分为数据加密、伪地址、空间转换以 及匿名区域等。这些方法大多针对位置本身,缺乏 对位置本身与用户的关系以及位置背后代表的意 义的探究,难以捕捉人类活动在现实生活中的意 义,为此,越来越多的研究者开始研究基于语义的 位置隐私保护,以期实现更深层次的保护效果。 置。伪造数据可通过泛化位置数据L3,4J、添加噪声 (如差分隐私方法) 】、基于语义的隐私保护等 方法实现 J。 2)空间转换。其主要思想是将位置信息转换 到另一个空问,即将位置信息转换为包含查询和 数据解码的空间关系,如利用Hilbert曲线转换形 成隐蔽空间【3 ,3引。 2位置服务隐私保护概述 用户在使用位置服务时,会在一定程度上泄 露其位置信息,有可能会泄露用户的敏感信息。 例如,根据用户历史位置数据,很容易推断出用 户经常出没的地点、经常行走的路线等,从而推 3 匿名区域。其主要思想是将用户的位置模 糊成 匿名空间。匿名空间的构成有2种形式: 一种是以P2P(peer-to—peer)【4uJ的方式构成用户 断出用户的家庭住址、人际关系、身体状况等敏 感信息。 2.1隐私保护关键因素 间的匿名空间;另一种是以路网为基础,构成路 网的匿名空间[41,42]。 表1列举了现有的位置服务的隐私保护方 案,并对比了现有主流方案的优缺点。现有的主 流方案根据是否依靠可信第三方(TTP,trusted third-party),可以分为包含可信第三方和点对点 在考虑设计隐私保护问题上往往要考虑以下 关键因素。 1)隐私保护与服务质量间的平衡。在LBS 中,隐私保护与服务质量的平衡是需要谨慎处理 的重要问题。用户要获得位置服务,需要将自己 的位置信息以某种方式提交给服务商或其他用 户,这就存在泄露隐私的风险。用户要求的服务 质量越高,泄露具体信息的风险越高。例如,要 结构两类方法,其中,依靠可信第三方的方法占 大多数,但有一定程度的风险;而不依靠第三方 的方法,又受到各种技术上或开销上的。其 中,基于语义的隐私保护方法因其计算量比较大, 属于依靠可信第三方的方法。该方法虽然同样有 依靠可信第三方的缺点,但其在数据可用性以及 箱12期 码明杰 : j 湃义的位置服务隐私保护综述 ・3・ 隐私保护等级 都远胜过其他的保护方法。市f{较 于差分隐私米说,肇于语义的方法更能适用J 实 位置,也I Jl以用于连续的化 保护即轨迹保护。基 了 语义的隐私保护 仪 『J于位置保护, 络搜 索 、数 I欠疗[删等领域也取得了较好的效 。 轴l 际的环境中,卡H较J:同样能实现i曲等级隐私保护 的P2P方法,基 J-语义的保护方法不受距离, 对用户来说更加通j日。 2.2基于语义的位置保护的优势 针对位 服务的隐私保护问题,很多学 提 出了解决方案。例如通过埘原始数据扰动平I1 产生假位置 J,住 一地方发送包含不同服务属 性的多个dummy 询,迷惑攻山 ll引,以及经 的如P2P 问 名的 匿名方法l4” 等,这 办法 住‘定程度上保护了用户的隐私,但无法 对 仃 定背景知识的攻击者的推理攻击。举例说I】JJ, 如 1所示,假设Mary晚上12点存北京 院发 起LBS服务,若采取 匿名方法对其进行隐私 2.3相关概念 1)柑l似性 圈1北京 院实例 镰 磐 : : ”” 。 矗0毪冀 0 a 。 保护,冈医院人【一]密度较人,发起服务时生成的 悟名区域可能就在医院内部,从l 泄露用广隐私; 特采用 间转换技术,凶 『口J较小,最后的结 也会集【}】在医院附近,导致隐私泄露:若采川L一 多样性的方法, 铝区域H丁能包括北京医院、尔 卡【I似性足摹于语义的化 隐私If1的 要概 念,川t求衡艟位置等事物之问的相像程度。在具 体方案 t 埘棚似度会彳 同n勺定义。 『__j , 位置服务r『1卜要有2种干u似性:语 义相似 J地理位置相似性。假设Alice、Bob、 公同、礼品店、『|_习仁医院4个位置,符合3一多 样性;但是攻击嚣结合背景知识,考虑到晚I:l2 点以及停留时 ,完全可以排除尔单公园以及礼 品店,进而推断…Mary在医院。住此背景下, 很多研究者开始研究基丁语义位 的隐私保护。 基于语义的他 隐私保护技术较其他技术仃 如卜优点。 John这3个川户某一人的轨迹如表2所示。 表2 不同用户某天轨迹 l1隐私保护水平高,且仃较岛的实现效率。 该办法能有效地抵抗推理攻击。 同于差分隐私, 该方法可以应用在实际的隐私保护rfJ,实现效率高。 21应用场景广 泛。该方法不仅可以应用于单点 表2 l1_『知,虽然Alice与Bob的活动范围 在地理位 有一定的 ,但其活动轨迹根据 网络与信息安全学报 第2卷 语义信息可总结为:办公地点(白天)一娱乐场 所(傍晚)_÷住宅区(晚上),在轨迹上其所做的 事情类似,这种情况可以认为Alice与Bob两者 轨迹语义相似性较高,地理位置相似性较低。对 比Alice与Jo}lIl,两者的活动范围围绕在闵庄、 玉泉路附近,但两者轨迹上的位置语义不相同, 图2停留点示意 即2个人活动的意义不相同,可认为两者地理相 似性度较高,而语义相似性较低。 2个位置语义相似表示在这2个位置有相似 用户以相似的概率在相似的时间从事相似活动, 如麦当劳和肯德基语义相似而学校和酒吧语义不 相似。另一方面,语义相似度也是相对的,例如, 3基于语义的位置隐私保护机制 基于语义的位置隐私保护主要分为单点位置 隐私保护和轨迹隐私保护两类,无论哪一类,其 保护过程都主要分为4个阶段。 1)建模。无论保护单点位置还是轨迹隐私首 先要对未处理的数据进行建模。建模的具体过程 包括数据清理【4 、地图匹配[4嗣、压缩数据H 等。 隐私保护在建模的过程中需要有特殊的处理过 程,例如,单点中针对路网环境中的位置分类, 根据位置敏感与否、敏感度多少等,将城市网络 分割成多个子图,构建单点模型;轨迹中则将真 实轨迹分割成停留点和路径2个部分,构建轨迹 模型。 21注解。根据位置上下文信息注解位置信 息[48 ̄51】。注解的值可以是属性值(如火车),也 可以是一个事件或目的的值(如娱乐场所)。注解 麦当劳、肯德基、全聚德虽同为餐厅,但麦当劳 和肯德基之间的语义相似度比全聚德要高。语义 相似性的衡量根据用户或作者提取特征的不同而 有所不同。语义特征可提取自上下文信息、时间 或使用目的等信息。文献[8】认为位置的语义特征 可用使用时间和停留时间表示。使用时间为位置 的活跃时间,如餐厅一般在饭点人比较多;停留 时间则表示用户在位置停留时间长短,如工作地 点的停留时间比餐厅的停留时间长。一般情况, 提取的位置语义特征越多,语义分类越精确,保 护用户的位置隐私能力越强。 2)停留点 可以从未处理的数据中直接计算,也可以通过从 分析轨迹的语义信息时,停留点是一个很重 上下文中抽取等方法获得【5 。单点的注解主要是对 位置点的实际含义进行描述;而轨迹的注解则较为 复杂,主要分为2种方式:一种是根据POI来 注解[48,491,另一种是根据活动的停留点注解[50,51】。 现有的注解存在以下问题:注解的分类现在缺少 一要的特征。文献【9】给出了停留点定义,如图2所 示,停留点表示用户曾经逗留过的位置。对于未 经处理的GPS轨迹,每个停留点都有特别的含 义,如人们生活或工作的地方、餐厅等。停留点 往往反映了用户的出行目的、喜好、工作性质等。 停留点有2种形式。 个强有力的规范;注解精确度有待提高;如何 结合地理信息,使其更符合现实生活等。这些都 是需要关注解决的问题。 3)语义挖掘。语义挖掘的目的是为了能够更 好地定义行为[53】或位置代表的意义[54】。根据语义 ①单点停留。它指用户在某个地点停留超过 一定时间。图2中P3点是一个典型的单点停留。 单点停留一般发生在用户进入一个建筑并失去信 号直到信号再次出现。 ②区域停留。用户在某个区域内停留超过一 定时间。图2中用户P5、P6、P7、P8在一定区域 范围内逗留一段时间。这种情况可能发生在旅游 景点区、住宿区、办公区等地点。 停留点的提取是保护轨迹隐私中的一个重要部 分,停留点选取不当,可能会泄露用户的敏感信息。 相似性判别方法(如聚类、分类等),获得相应的 语义类,或用相应的算法提取行为知识等,这些 方法都可以用于语义挖掘。 3.1基于语义的单点位置隐私保护 基于LBS的单点位置主要包括用户身份、位置 坐标、查询内容等。基于语义的单点位置隐私是根 据位置本身的语义实现保护位置信息的目的。 第l2期 马明杰等:基于语义的位置服务隐私保护综述 ・5・ Damiani等【l0'…首次在单点位置隐私保护中 引入语义的方法,并命名为语义感知模糊技术。 户端检查用户位置,如果用户的精确位置在匿名 区域,则用匿名区域代替精确的位置。 该方法先将位置初步分类,计算位置所在区域是 否小于定义闽值,若小于则该区域为模糊区域, 大于则合并该区域的邻近单元,使其小于定义值。 文献[12】用语义模型作为输入数据的规则说明, 用一个中间系统调节服务提供商和数据资源之间 的平衡,以保护用户隐私。 为保证即使用户位置隐私泄露,敌人也不能 以很高的概率将用户和敏感信息关联,Xiao等【l 提出了另一种有效机制,即p-sensitivity。针对该 机制,用户在相同的匿名集中将拥有相同的匿名 区域,并确保每个匿名集中至少有 个用户,以 保护用户隐私。论文采用PE—Tree的方法将查询 分为敏感和非敏感两类,并考虑了匿名用户位置 的语义信息和查询差异性,完善了Damiani等方 案中位置分类较粗糙的问题。 虽然Xiao等将查询分为敏感和非敏感,但并 未考虑位置之间的差异,保护效果并不理想。为 更进一步阐释位置的实际含义,Haav M】采用本 体论的方法定义了个人语义空间关系以体现位置 图3 PROBE架构 在考虑位置语义的同时,Che等【l 9J开始对隐 私保护的架构进行调整,其在考虑语义位置能够 影响用户位置分布因素的基础上,提出SALS位 置分享架构,允许用户以P2P的方式与其他用户 合作。 Li 20J将现实的路网情况也考虑进方案,提 出了一种新的隐私保护匿名架构保护路网环境中 的敏感位置。在二层非集中架构下,将路网图转 化为以路段交叉点和语义位置为中心点的 差异性;Xue等【1 5J给出了语义位置的概念,利用 位置的语义差异进行隐私保护。Xue等将语义位 置定义为地图中集合了相同背景信息(如年龄、 性别、活动等)人的区域。文章提出利用位置差 异性的概念解决一些现实生活中的情况,如要求 Voronoi分割图,每个顶点的Voronoi分割即是该 顶点的主域;其次,系统引入一个记录各主域内 移动用户数量的数据中心(DDC,dominance data center),查询用户个性化地选择一个舒适区域, 分割区域“有选择”地扩展以构建语义安全的匿 名区域。根据信息熵有选择地扩展Voronoi分割 区域,生成语义安全的匿名区域,该方法可有效 解决路网环境下可能存在单路段攻击和语义推断 攻击的问题。Pan等【2IJ利用在路网上的查询语义 实现了个人隐私保护。 在对位置的语义进行更准确的阐释和隐私保 用户身份的私人服务等,同时为提高 匿名的保 护力度,文章需要保证每个查询至少与£个不同 的语义位置相关。 文献[16~18】对敏感度进一步细化,如商场的 敏感度要比医院的敏感度低,并提出了PROBE 架构。PROBE架构中用户可根据自身意愿选择相 应的敏感项,其具体的实现过程如图3所示。首 先用户通过Profile编辑器编辑自己的隐私简档, 如用户可以从一个预先定义的列表中选择敏感特 征类型,并制定敏感首选项。用户选择比较敏感 护构架调整的基础上,后来的学者开始从不同层面 的位置通过减少位置信息精确度保护其隐私性, 而那些敏感度较低的位置,为获得更好的服务质 量则可以适当降低隐私保护等级。位置匿名服务 器将输入的隐私简档通过模糊引擎处理生成模糊 区域。用户发起服务请求时,位置转换应用在客 不同维度提出各自的保护方案。文献[22,23]提出在 数据库层面保护位置隐私的语义Bob.Tree的方 法,其中Bob—Tree是一个在节点上含有语义信息 的索引架构。文献[24】解释了用包含时空信息的 语义信息推断用户行为的过程,提出了在语义 00088—5 网络与信息安全学报 第2卷 LBS中,利用决策树防止语义行为泄露的保护技 引入EMD距离计算语义相似性。具体实现方法 是利用EMD距离计算两位置语义的概率分布, 生成位置语义图,图中顶点为位置集群,即一类 语义相似的位置集合,边的权重为2个不同聚类 间的EMD距离。根据用户所在位置的集群标签 进行扩展,形成匿名区域CA,选出有最小EMD 的区域,如果其值小于0则认为匿名区域符合 术。文献[25】用本体论分类方法实现语义位置模 糊技术,比传统的基于几何学的位置模糊技术保 护性好。文献[26】提出了语义模糊的方法,用一 个信任第三方将位置坐标转化为高度匿名的位置 特征。文献[27]7f入了贝叶斯推理的方法,用该 方法对位置语义进行建模,并证明了语义隐私度 量的细节。 安全。虽然文章很好地考虑了位置语义的选取, 但没有考虑路网环境。 越来越多的研究者开始关注基于位置服务的 语义隐私保护,但是现有的研究方案仍然有各自 的不足:1)语义分类大多比较粗糙,不能精确区 分位置语义的不同,如虽然同为医院,但传染病 文献[29】实现了对实时轨迹中敏感数据的保 护,在对城市网络位置匿名时融入语义轨迹的概 念。文章首先对城市网络进行建模,将城市根据 语义敏感度分割成若干个区域,由此形成以语义 医院和口腔医院的敏感度不同;21隐私保护的构 架仍然没有一个公认的模型,现有构架依然存在 资源消耗和隐私泄露的问题。 3.2基于语义的轨迹隐私保护 轨迹是指用户在连续查询的状况下,按时间 排序位置序列。因此,轨迹隐私保护可以认为是 由单点隐私保护拓展而来,是位置隐私的延伸与 为基础的子图G,每一个城市图由若干个子图组 成。用户请求服务时,如果用户所在位置区域为 敏感区域,则需要匿名处理后发出请求。文献[301 则采用语义匿名和代理建立SAP树来取代传统 的对中心匿名服务器的依赖,满足位置服务要求 并保护轨迹隐私。 发展。 文献[9】对语义轨迹进行了形式化表述,定义 了其概念数据模型,为后来的研究者提供了一种 表示移动目标行为的方法。该模型将语义轨迹定 义为停走序列,即停靠点代表的是位置,移动的 为路径。 Monreale 等进一步对位置进行分类,生成 然而上述方法都易受到几种位置隐私中常有 的攻击,即关系推断攻击、相似性攻击和推理攻 击。为解决这几种攻击,下面几种方法被提出。 为抵抗关系推断攻击,即攻击者根据模糊轨 迹推断出用户间的社会关系,文献[31]提出一种 基于语义树(semantic tree)的方法。作者根据匿 名算法建模模糊区域,并将此作为语义区域,根 据位置流行度和用户时空之间的相似度分配每个 区域上的权值。该方法同时还支持多种层次位置 的语义保护。文献[32】提出SST(semantic space translation)算法,采用不同的策略以获得隐私保 护与数据实用性的平衡。 文献[33】提出一种基于区域语义规则的数据 保护方法来抵御相似性攻击。 泛化用户访问地址,进而生成匿名轨迹数据集, 来保证攻击者推断出用户ID以及用户访问敏感 位置的概率不会高于数据拥有者给定的阈值。同 样是将敌手获得信息在某个阈值下,Lee等『28J 提出通过对用户在位置的停留时间的观察,来挖 掘位置语义的方法。文章利用停留时间作为语义 特征提取出位置可以提供什么类型的服务,将其 作为位置语义,保护用户隐私。该方法的提出基 Vincent等p 为解决推理攻击,提取出真实位 置轨迹的地理位置和语义特征,以合成可信的假 轨迹。作者认为其合成的假轨迹与真实轨迹有很 多相同且有用的静态特征,可以用于地理数据分 于以下的认知,即用户想要保护位置隐私是为了 保护他们在这个位置做了什么,如果一个轨迹上 在某个地点超过了一个时间阈值,就认为是在做 有意义的事情,该位置就定义为停靠点,而停留 时间长短则可以反映在该位置做的事情的种类, 进而判断位置的语义,如判断该场所是餐厅还是 析。具体实现过程为:首先随机抽样真实用户轨 迹数据集,成为种子数据集,利用语义相似性量 化2个移动模型的相似性,构建位置语义图。将 拥有高语义相似的分为一个组,代表一个位置语 工作场所。文章同时在位置隐私中定义了 安全, 第12期 马明杰等:基于语义的位置服务隐私保护综述 ・7・ 义类,不考虑位置的地理特性,只考虑不同的人 以相同的方式访问某个地方将会分成相同的类, 即用户访问概率、访问时间、以相似的方式从该 3.3,j、结 现有的基于语义的位置服务隐私保护工作 正处于起步阶段,还未形成成熟的理论体系。 在基于单点和基于轨迹的位置隐私中,都有许 地方转换到另一个地方的概率等因素相似,就认 为其语义相似。为保护种子数据集用户的隐私, 文章生成的假轨迹需要测试,测试其与种子痕迹 的地理相似性,确保生成的假轨迹与真实轨迹语 多尚未解决的问题,这些都是目前的研究热点。 表3将位置隐私保护工作分为单点和轨迹2个 类别,分别归纳了基于语义的位置隐私保护所 义相似地理非相似。文章很好地保护了种子用户 采用的技术方法,并总结了现有工作的优缺点。 的隐私,使攻击者不能确认种子用户轨迹或ID。 虽然方法多种多样,但都未达到理想的保护位 针对其他类型的位置服务隐私泄露,文献[351 置隐私的效果。 考虑到位置签到服务导致的用户私人信息泄露问 题,设计了推测用户动机的机器学习模型。根据 4语义相似度测量方法 该模型预测出来的动机,来选择对用户分享的位 为实现多层次的位置语义,体现位置间语义 置和话语的扰动程度。但该文章使用的数据集较 差异大小,采用位置语义相似度测量方法测量位 片面,只采集了美国的Foursquare用户数据。文 置间的语义差异。语义相似度测量即测量位置间 献[36]考虑到完全依赖语义的基于位置的云应用 语义的不同。语义相似的具体实例见2.3节中的 的隐私保护问题,通过语义匿名进行有效的保护。 相似性定义。为实现语义聚类,首先要计算位置 文章通过融合位置匿名和失真的时态数据达到了 或轨迹间的聚类,目前有很多种计算相似的方法, 更高层次的隐私保护,但没有将语义位置和物理 如欧几里得距离、共同序列距离、KL散度等, 位置相结合,即不能应用到实际场景中。文献[371 但这些距离应用到语义相似性上时有其局限性。 考虑到对路网的覆盖问题,提出了CloSed模型, 例如,文献[28]提到当用KL散度计算以停留时间 设计了能够覆盖路网不同语义区域的匿名集。该 为特征的语义聚类时,其表现较差。语义相似度 模型能够满足服务质量的需求,很好地平衡服务 的测量方法有很多,本文只介绍2种比较有代表 质量和隐私需求。 性的方法。 表3 基于语义的位置服务隐私保护工作的优缺点 网络与信息安全学报 第2卷 4.1基于EMD距离的测量方法 EMD是在区域上2个概率分布距离的度量L5 , 方法在测量语义相似度方面表现较为优异,能够 客观地反映位置的特点,但是不能很好地解决数 据稀疏问题。 数学上称为Wasserstein度量标准。EMD距离最 早用来解决运输问题【5引,它反映一种概率分布转 换到另一种概率分布时,移动权值所需的最小工 5基于语义的隐私保护度量方法 隐私度量是评价隐私方案保护力度的重要指 标。隐私方案的隐私度越高,其隐私保护程度越 好,用户被披露敏感信息的风险越小。现有基于 作量。EMD在调节距离上的优势可以用来捕捉语 义的不 J。 文献[57】采用EMD的方法保护发布数据的 隐私取得了良好效果,基于此,为更好地运用 语义的位置隐私保护度量模型都基于信息熵、 匿名等理论,根据选择的保护方法不同可选择不 同的度量方法。 5.1基于信息熵度量方法 EMD距离,文献[28]将EMD的地面距离 设置 为停留时间长短,计算EMD距离作为位置对语 义差异的大小,2个位置对之间的EMD距离越 大,表示2个位置对越不同。例如,用户在位置 P、位置O、位置R停留的时间分别为1 h、3 h 和9 h,计算两两位置对之问的EMD距离,得到 M。信息熵一般用来衡量一个随机变量出现的期 望值。一个变量的信息熵越大,需要越多的信息 才能确定变量。信息熵可以看作是随机变量的平 均不确定度,因此可用于度量隐私保护力度。一 般情况下,信息熵值越大,隐私保护程度越高。 概率分布为P.,P:,…,P 的信息熵【59J可定义为 一 (P,Q)<DEMo(P,R),即P与Q的相似度比P 与R的相似度要高。文献[341 ̄够在计算2个移 动模型不同的过程中将位置间的距离函数包含在 内,采用EMD距离方法测量的语义不相似性, 也取得了良好效果。 4.2基于余弦相似度的测量方法 基于余弦相似度测量是通过测量2个向量内 积的夹角余弦来度量它们的相似性,可用在任何 爿 一己Pilogpi f=1 学者在信息熵的基础上对位置隐私度量做出 一些改进,如文献【20】提出语义位置流行度度量。 维度的向量比较中,因此在相似度测量上使用广 泛,尤其是在文本相似度上有较好应用。 文献[58]计算余弦相似度时首先将位置中的 语义位置流行度是基于信息熵的度量方法,其与 访问者数量以及访问频率有关L6oJ。语义位置流行 度在2个区域访问者数量相同的情况下,用户越 分散,则流行度越高;单个用户访问频率相同的 情况下,用户数量越多,位置流行度越高,隐私 保护水平越高。文献[20】定义了构建以语义流行 度为基础的匿名区域,假设一个匿名区域中敏感 语义流行度占总语义流行度的比值小于某一个事 先定义的安全门限0,则称这个区域为一个 语 义安全隐匿区域。0越小,其保护程度越高。 语义特征映射到向量空问,形成位置语义与向量 数据的映射,计算向量间的差异大小。语义特征 可根据位置停留时间 、用户访问目的 l、周围 环境等信息作为输入的语义特征,将这些语义特 征以向量的形式呈现,计算两者之间的相似度, 从而得到位置之间的语义相似。 余弦相似度的定义如下:假设2个位置向量 的语义值分别为sem(A)、sem(B),其相似性可表 示为 用信息熵来度量隐私保护程度的方法,虽然 简单有效,但是该方法忽略了数据之间的相关性。 5.2 匿名 匿名是根据匿名集的大小度量隐私保护强 im(A. 1: ! ! ! !: !皇! If sem(A)…J sem(B)ll 余弦的取值范围为[0,11,2个位置语义相似度 度的方法。 匿名因其简单明了等优势广受青睐。 匿名的核心是将敏感项进行泛化处理,使其隐 匿于其余K-1条用户或位置信息中,使攻击者确 1 越高,其值越接近于1,相似度越低,越接近于0。 基于EMD距离和余弦相似度测量语义相似 度都是基于向量距离的语义测量的方法,这2种 认用户真实位置的概率不会高于 。一般情况 第l2期 马明杰等:基于语义的位置服务隐私保护综述 ・9・ 下, 的值越大,其隐私保护强度越高,但服务 质量也会受影响。文献[15】为抵御语义推断攻击, 利用位置语义多样性,确保其生成的隐匿空间中 至少包含上个不同的语义位置,攻击者获得正确 1 而有的地区以山区为主,道路崎岖,路况复杂, 引起的运动轨迹、行驶速度等也不尽相同。因此, 如何将基于语义的隐私保护应用到现实场景中, 是一个亟待解决的问题。 基于语义的位置隐私保护因结构较为复杂、 涉及多方面知识等问题,目前已知的国内外相关 位置的语义概率为二。对攻击者来说,这种位置 上 属性更加多样化的保护方案,更难以推断。 匿名的度量方法应用面比较窄,只能用于 度量那些 匿名隐私机制的方法。同时,有研究 研究较少,但其在隐私保护方面所起的作用不容 忽视。本文概括了现有的基于语义的位置隐私保 护近几年来的研究成果与进展,旨在为基于语义 表明, 匿名能对查询隐私有效度量,而对位置 隐私度量效果不好 。 的位置隐私保护发展尽绵薄之力。 6结束语 参考文献: [1】QuestMobile.春季APP实力榜【R].北京:QuestMobile,2016. 现有基于语义的位置隐私研究较少,因此存 QuestMobile.Spring APP power rankings[R].Beijing:QuestMo— bile,2016. 在很多亟待解决的问题。 [2】CNNIC.中国互联网络发展状况统计报告[R】.北京:中国互联 1)语义相似特征多样化。现有基于语义的位 网络信息中心,2016. 置隐私保护方案未明确提出语义的概念,没有一 CNNIC.Statistical report on interact development in China[R]. Beijing:China Internet Network Information Center,2016. 个规范能够明确语义的含义,且现有方案大多数 【3】HARA T,SUZUKI A,IWATA M,et a1.Dummy-based user loca- 只提取语义的一个特征,如停留时间等作为语义 tion anonymization under real—world constraints[J].IEEE Access, 2016.4:673-687. 的标识,对位置语义的分类来说不够精确。位置 [4】NIU B,GAO S,LI F H,et a1.Protection oflocation privacy in 的语义特征可以从时间、用户行为模式、位置本 continuous LBSs against adversaries with background informa- 身具有的特性等中提取。 tion[C]//The International Conference on Computing,Networking and Communications(ICNC’16).2016:1.6. 2)个性化隐私保护方案。在位置服务中,每 【5]NGO H,KIM J.Location privacy via differential private perturba- 个用户要求的隐私保护程度不同,如用户的工作 tion of cloaking area[C]//IEEE 28th Computer Security Founda— 地点是涉密单位,则其对工作地点的隐私保护比 tions Symposium(CSF’15).2015:63—74. 【6 XIAO 6]Y,XIONG L.Protecting locations with difreential vacy 在非涉密单位用户的要求要高;不同年龄层、不 nuder temporal correlations[C]//The 22nd ACM Confreence on 同性别的用户对相同地点的隐私保护程度要求也 ComputerandCommunicationsSecuriyt(ccs’15).2015:1298—1309. 不尽相同。同时,即使对于同一用户,随着时间 [7】 CHATzII∞KOLAKIs PALAMIDESSI C,STRONATI M.A predictive diferentially-private mechanism for mobiliyt traces[C]// 的变化,其对隐私保护的要求也可能改变。因此, The 14th Privacy Enhancing Technologies Symposium(PETS’14). 针对用户需求的不同产生相应的保护策略与保护 2014:21-41. [8】MONREALE A,TRASARTI RENSO C,et a1.Preserving pri- 力度是未来研究的重要方向。 vacy in semantic—rich trajectories of human mobiliyt[C]//The 3rd 3)位置语义标注自动化。现有方案对未知语 ACM SIGSPATIA;International Workshop on Securiyt and Pri— 义标注多是基于人工标注或粗略标注的形式,这 vacy in GIS and LBS(SPRINGL’10).2010:47-54. 【9】 SPACCAPIETRA S,PARENT C,DAMIANI M L,et a1.A con- 样的方式繁琐且容易出现问题。对于数据集中出 ceptual view oil Wajecmries旧.Data&Know/edge Engineering, 现的新位置,如何根据数据集中已有的数据对位 2008,65(1):126—146. [10】DAMIANI M L,BERTINO E,SILVESTRI C.Protecting location 置进行精准标记并分类,实现位置语义自动标注 privacy through semantics-aware obfuscation techniques[C]//Joint 也是未来研究位置隐私保护的重要基础。 iTrust and PST Confreences on Privacy,Trust Management and 4)隐私保护与现实环境中的位置相结合。现 Securiyt(IFIPTM’o8).2008:231—245. rl I1 DAMIANI M L,SILVESTRI C,BERTINo E.Semantics—aware 实的位置信息比理论要复杂得多,不仅要考虑路 obfuscation for location privacy .Journal of Computing Scinece 息,还需考虑路况等。不同位置的地理环境 nad Engineering,2008,2(2):137—160. 不一样,如有的地区以平原为主,路况较为简单, 【12]LIOUDAKlS G、‘DELLAS N L,KOUTsOLOI KAS E,et aI.A semantic framework for privacy-aware access eontrol[C]//The In— ・10・ 网络与信息安全学报 第2卷 temational Multiconference on Computer Science and Information on bayesian infrence[eC]//The International Conference on Web—Age Information Management(wlMvl’15).2015:297—308. [28】LEEB,OH J,YuH,et a1.Protectinglocationprivacyusingloca- Technology(IMCSIT’08).2008:813—820. [13】XIAO Z,XU J,MENG x.P—Sensitivity:a semantic pri- vacy-protection model for location--based services[C]//The Intema-- tional Conference on Mobile Data Management Work- tion semantics[C]//The 17th ACM SIGKDD international confer- ence on Knowledge discovery and data mining(KDD‘l1).201 1: l289—1297. shops(MDMW’08).2008:47-54. 【14】HAAV H M,KALJUVEE A,LUTS M,et a1.Ontology-based retrieval of spatially related objects for location based services[C]// On the Move to Meaningful Interact Systems:(OTM’09).2009: l010.1024. 【29]EMRE Y,MARIA L D,OSMAN A.,et a1.Privacy-preserving sharing of sensitive semantic locations under road-network COIl- straints[C]//The 13th International Conference on Mobile Data Management(MDM’12).2012:186—195. 【15]xuE M,KALNIS P,PuNG H—Location Diversity:enhanced privacy protection in location based services[C]//Tbe 4th Intema— tional Symposium on Location and Context Awareness(LoCA’09), Tokyo.2009:70-87. [3O】LJ M,CAO S,QIN Z.A trajectory preserving method based on semantic anonymity proxy[C]/hEEE International Conference on Dependable,Autonomic and Secure Computng(iDASC 2013). 2013:l6—20. [16]DAMIANI M L,BERTIN0 E,sILVESTRJ C.The PROBE framework for the personalized cloaking of prirate locations【J]. Transactions on Data Privacy,2010,2(3):123-148. [31]KOU Q,TIAN Y,SONG Z,et a1.Privacy preserving social tie discovery based on cloaked human trajectorieslC]//The 7th Interna— tional Workshop on Hot Topics in Planet—scale mobile computing (17】DAMIANI M L.Analyzing semantic location cloaking techniques in a probabilistic grid—based map[C]#The 18th SIGSPATIAL In— temational Conference on Advances in Geographic Information and online Social networking(HOTPOST’l5、 2015:13-18. [32】HAN P,TSAI H P.SST:privacy preserving for semantic trajecto・ ries[C]//IEEE International Conference on Mobile Data Manage— ment(MDM 15).2015:8O一85. Systems(GIS’10).2010:522—523. 【18】DAMIANI M L,SILVESTRI C,BERTlNO E.Fine—raigned cloak- ing of sensitive positions in location-sharing applications[J].IEEE Pervasive Computing,201 l,10(4):64-72. 【33]MUBARK A A,ELABD E,ABDuLKADER H.Semantic ano— nymization in publishing categorical sensitive attributes[C]//The International Conference on Knowledge and Smart Technol— [19】CHE Y,CHIEW K,HONG X,et a1.SALS:semantics—aware loca- tion sharing based on cloaking zone in mobile social net— ogy(KST 2016).2016:89 95. 【34]VINCENT,BINDSCHAEDLER,REZA,et a1.Synthesizing pln— asible privacy-preserving location traces[C]//The 37th IEEE Sympo・- works[C】//The First ACM SIGSPATIAL lnternational WorkshoD on Mobile Geographic Information Systems(MobiGIS’12).2012: 49—56. sium on Securiy tnd aPrivacy(S&P’16).2016:546・563. [35】BILOGREVIC I,HUGUENIN K,MIHAILA S,et a1.Predicting users’motivations behind location check-ins and utility implications 【20]Ll M,QrN z,WANG C.Sensitive semantics・aware personality cloaking on road network environmen|叨.International Journal of Security nd aIts Applications,2014,8(1):133—146. 【21】PAN x,WU L,PIAO C,et al,P RN:personalized privacy protec- tion using query semantics over road networks[C]//The Interna— tionalConference onWeb-AgeInformationManagement(WlAM’14), Macau.20l4:323—335. ofprivacy protection mechanisms[C]佃1e 22nd Annual Network nd aDistributed System Securiy tSymposium fr ̄SS’15).2015. [36]BARAK O,COHEN G TOCH E.Anonymizing mobility data using semantic cloaking[J].Pervasive&Mobile Computing,2016,28(C): 102一l12. [37】LI Y.Semantic・aware location privacy preservation on road net- f22]THI—BAo T L,DANG T K.Semantic B0b—rtee:a new obfuscation technique for location privacy protection[C]//The International Conference on Advances in Mobile Computing&Multimedia wors[kC]//Database Systems for Advanced Applications(DAS・ FAA’16).2016:3 14—33 l [38]NGo H,KIM J.Location privacy via diferential private perturba・ tion of cloaking area[C]//Computer Security Foundations Sympo— (MoMM’12).2012:28l一284. [23】LE T T B,DANG T K.Semantic—aware obfuscation for 1ocation privacy at database level[C]//The International Conference on In— formation nd aCommunication Technology(ICT’13).2013:ll 1-120 【24]OH Y,JUNG K,PARK S,et a1.A privacy preserving technique to prevent sensitive behavior exposure in semantic location—based ser. sium(CSF’15).2015:63—74 【39]THAT D H POPA I S,ZEITOUNI K,et a1.PAMPAS:pri- vacy-aware mobile participatory sensing using SeCtU ̄probes[Cl// The 28th International Conference on Scientiifc and Statistical Da- vice[C]//The 1 8th International Conference on Knowledge—Based and Intelligent Information&Engineering Systems(KES’14).2014. 35:318-327. tabase Management(SSDBM’16).2016:1-12. 【40]NOVAK E,LI Q.Near-private,proximiy based ltocation shar- ing[C]//The Conference on Computer Communications(rNFO- COM’14).2014:37—45. [4l】PALANISAMY B,LIU L.Effective mix—zone anonymization [25】ELKHODR M,SHAHRESTANI S,CHEUNG H.A semantic obfuscation technique for the internet of hitngs[C]//The Interna- techniques for mobile travelers[J].Geoinformatica,2014,18(1): 135—164. tional Conference on Communications Workshops(ICC’14).2014: 448—453 [42】ZUBERI R S,AHMAD S N.Secure mix—zones or fprivacy protec— 【26]YANG J,ZHU Z,SEITER J,et a1.Informative yet unrevealing: semantic obfuscation for location based services[C]//The 2nd Workshop on Privacy in Geographic Information Collection and tion of road network location based services users[J].Journal of Computer Networks&Communications,2016,2016(3):1-8. 【43]GERVAIS A,SHOKRI SINGLA A,et a1.Quantifying Web-search privacy[C]//The 2014 ACM Sigsac Conference on Computer nd aCommunications Security(CCS’14).2014:966—977. Analysis(GeoPrivacy’15).2015. (27】Wu Z,CHEN z,ZHU J,et a1.Location semantics protection based 00088.1O 第l2{tlj 5日J]杰等: J’ 义的他 Ⅲ毒务隐私 护 :述 [44]SU X,HYYSALO J,RAUT1AINEN M,et a1.Privacy as a service technology for location—based servicesl DI lChengdu:School ot‘ in digital health[J]Computers and Society,20 l 6:l一6 Computer Science and Engineering,20 1 5 [45]SAFI H,ASSEM1 B,MESBAtt M,et a1.Trip detection、vith 【59】SHANNON c、E.A mathematical theory ot’c0mmunicaIl0n The smartphone—assisted collection ol travel data[J]Transportation BelI System TechnicaJ Journal,I 948,27(3):379 423 Research Record Journal of the Transportation Research Board, [6()1夺敏;・L j f lJ}{务的隐私f 护研究【D].成 j:电r科技犬 2014. 2O16.2594:1 8—26. 【Jl M Research on privacy protection ill location based services[D] 【46】cETATEANu A,LuCA B A,PoPEScu A A,ct al A n0 ̄ el Chcngdu:School ofComputer Science and t:.ngineering,2(II 5 methodology for identifying enviromnental exposures using GPS I6 l】SHOKRI R,TR()NCOSO C.DIAZ C et al UIaraveling an old cloak: data[J].International Journal of Geographical Information Science, k-anonymity for location privacylC]//The A( M Workshop on Pri— 20l6:l一1 7 vacyinthe【 ̄lectronic Society(WPES’101 2()l(1:11 5一l18 【47】TRAJCEVSK1【i Compression of spatio—temporal data[C]//The 1 7th IEEE International Conference on Mobile Data Managc— ment[MDM’l6].2016:4-7 作者简介: [48]M()UsAVI S M,HARWOOD A,l(ARuNAsEKERA S,c1 al Geometry of interest(G()l1:spatio—temporal destination extraction 马明杰(1987一),奠,j】J尔浆兑人 and partitioning in GPS trajectory data[J].Journal of Ambient lntel— } j利.学院 息f 研究所博f ,1 ligence&Humanized Computing.2016:1—16. 研究 为 心 个、隐私保{,1。 [49】GRAAFF V,DE B R A,VAN K M Automated semantic trajectory annotation with indoor point—of-interest visits in urban ar. eas[C]//The 3 1 st Annual ACM Symposium on Applied Comput— ing(SAC’16),Pisa 20I6:552—559 [50]HUANG G,HE J,ZHOU W,et a1.Discovery of stop regions for understanding repeat travel behaviors of moving objects[J] Journal ofComputer&System Sciences,201 5,82{4):582—593. 杜跃进(1972一), J,宁 JI【人, [5 1】ILARRI S,STOJANOVIC D,RAY C.Semantic inanagernent of n9士,阿i 巴 … 个部技术剐总战, moving objects:a vision tuwards smart mobility[J】.Expert Systems t} 科学院 息】: t{1JI_究所客 敦授、 with Applications An International Journal,2(/l 5、42(3):J 4 i 8一 l435. 【:qi甘1』l1j,1 宄,J向为版权 j数 【52】CHRISTINE P,STEFANO S,CHIARA R,et a1.Semantic trajecto— 资产保护、安个念坍感 技术。 ries modeling and analysis[J].ACM Computing Surveys,20 l 3、 45f4) 】-32 [53】SIQUEIRA F D L,BOGORNY V.Discovering chasing behavior in moving object trajectories[J]Transactions in GIS,20 l1,1 5(5): 667—688 李凤华(1966一),I』j,湖北浠水人, [54】PANAGIOTAKIS C,PELEKIS N,KOPANAKIS I,et a1.Segmen— i,r…q科 院 心I. 研究所删总 ration and sampling of moving object trajectories based representa— l 、研究 、 } 帅,}要石J}究山 tire ness[J].IEEE Transactions on Knowledge&Data Engineering. 20I 1.24(99):l328一l343 为网络 j系统t奠个=、 息保护、隐私 【55】RUBNER Y,TOMASI C,GUIBAS L J A metric for distributions 汁算。 with applications to image databases[C]// Fhe International Confer— ence on Computer Vision(ICCV’98).Bombay 1 998:59—66 【56]RUBNER Y,TOMAsI C,GUIBAS L J.The earth mover s distance as a metric for image retrieval[J].International Journal of Computer 刘佳文(1995一),戈,陕 戚…人, Vision,2000,40(2):99—1 2 1 【57J LI N,Ll T,VENKATAsuBRAMANIAN s T—chJseness:prix’aey }i央 人 小科, l,1 研究,J¨为 beyond k-anonymity and/-diversity[C]//The International【、onfer・ 叫络安个、隐私f }r】。 ence un Data Engineering(JCDE’07).2007:1 O6一l1 5 [58】镁汁.基于位置讲义的化 服务(LBS)隐私保护例究 1成 ¨乜r科技人学,20l 5. HOU J Research on location semantics based privacy—preserving 00088—1 l
