基于加密数据的位置感知隐私保护模型摘要:针对移动互联网基于位置的服务(LBS)的隐私安全问题,在对已有模型分析研究的基础上,提出了基于加密数据的位置感知隐私安全模型。通过第三方可信服务器对数据库进行加密,实现了服务和隐私之间的平衡。同时采用自主访问控制(DAC)策略,用户可以按照自己的意愿,在保证自己隐私的同时有选择地与其他用户共享数据。最后提出了一种改进的保序加密算法,通过数据转换、桶划分以及线性映射实现了高效的位置感知查询。实验分析表明,该模型实现了位置数据的加密查询和以用户为中心的访问控制策略,改进的算法具有更高的效率。关键词:移动互联网;隐私保护;自主访问控制;保序加密;位置感知中图分类号:TP309文献标志码:A0引言随着移动互联网的高速发展,基于位置的服务(LocationBasedService,LBS)越来越受到人们的青睐。一些应用(如微博、微信等)通过集成各大社会网络服务(SocialNetworkingService,SNS)网络,获取用户的个人资料和好友信息,从而可以查看有哪些好友在附近。对某些用户来说,这种社交方式能够带来意想不到的社交效果,但LBS应用自打面世以来就引发了许多关于隐私和安全问题的讨论。用户因使用LBS应用导致人财两失的新闻不在少数。同时,不法服务提供商还可能出售和利用服务器端的隐私数据,包括用户身份、当前位置、生活轨迹、行为习惯等个人隐私信息,导致严重的安全问题[1]。因此,必须采取适当的安全措施来保护用户的位置隐私。已有的移动互联网位置感知隐私保护模型并不能很好地适应SNS网络环境下用户隐私需求多样化的情景。本文提出了一种基于加密数据的移动互联网位置感知隐私保护模型。该模型使用合理的安全体系结构和灵活的访问控制策略,能够有效地满足了用户个性化的隐私需求,同时通过对数据库进行加密杜绝了服务提供商泄露用户位置隐私的可能。1相关研究移动互联网位置感知隐私保护模型大多是基于空间匿名服务器,使用K近邻算法将用户的位置映射到不同的空间精度,从而达到匿名的目的[2-4]。Mouratidis等[5]提出了一个路网中匿名查询的框架。当一个用户u想进行查询,他把自己的位置信息通过安全通道发送到一个可信的服务器,称之为匿名化处理器(anonymizer,AZ),接着AZ使用k近邻和rrange算法,用靠近u的匿名化的邻近空间区域(AnonymizingSpatialRegion,ASR)代替u的地理位置发送地理位置服务商(LocationService,LS),LS返回一个查询集,AZ接收到集合后反馈候选的子集给用户u。Chow等[6-7]提出了无线传感网中的隐私保护位置监视系统,设计两个网内位置匿名算法:资源和质量感知算法,它们都依赖于K匿名隐私概念。这样做的好处是有效地隐藏了用户的具体位置信息,但是把用户的位置映射到相应区域中,舍弃了用户的具体位置信息,造成了部分信息量的丢失,不利于后续服务的扩展。Kwon等[8]针对位置感知服务中的隐私安全问题设计基于用户隐私的位置感知协同查询系统,用模糊查询提供隐私保护,用户决定查询系统是否可以获取用户ID。当用户ID被查询系统获取后,系统可能访问用户本体实例,识别他的属性和喜好,包括即将进行的活动、当前的位置等。该系统中学习和调整安全的个性化概念距离仍然需要进一步改进,因为随着用户喜好的改变,实际概念距离需做相应的调整。Pingley等[9]提出了基于通信匿名的LBS系统上下文感知隐私保护(ContextAwarePrivacypreserving,CAP),将数据隐私和通信匿名保护相结合。该方案不需要可信第三方,在时间和空间复杂度上非常高效。文章将用户位置隐私和通信匿名相结合,并从理论和实验的角度验证了算法的可行性。但是在用户量巨大的复杂系统中,该算法效率较低,尤其是洋葱路由中资源消耗较多。Popa等[10]针对不可靠数据库服务器会泄露用户隐私数据等问题,提出了一种加密的关系数据库管理系统CryptDB。CryptDB的所有查询操作都是在服务器端进行的,这样做的好处是减少了传输负载和客户端工作量,但是CryptDB使用洋葱加密的方法加密数据,使得计算量较大,影响了查询效率,甚至有些复杂的查询不能在服务器端执行,不适合移动环境下用户位置数据经常变化的情景。