位置隱私保護(hù)是為了防止用戶的歷史位置以及現(xiàn)在的位置被不法分子或不可信的機(jī)構(gòu)在未經(jīng)用戶允許的情況下獲取，也是為了阻止不法分子或不可信的機(jī)構(gòu)根據(jù)用戶位置信息，結(jié)合相應(yīng)的背景知識(shí)推測(cè)出用戶的其他個(gè)人隱私情況，如用戶的家庭住址、工作場(chǎng)所、工作內(nèi)容、個(gè)人的身體狀況和生活習(xí)慣等。下面介紹幾種常用的位置隱私保護(hù)技術(shù)。

　　一、基于干擾的位置隱私保護(hù)技術(shù)

　　基于干擾的隱私保護(hù)技術(shù)主要使用虛假信息和冗余信息來(lái)干擾攻擊者對(duì)查詢用戶信息的竊取。根據(jù)查詢用戶信息（身份信息和位置信息）的不同，基于干擾的隱私保護(hù)技術(shù)大致可以分為假名技術(shù)和假位置技術(shù)兩種。

　?。?1 ） 假名技術(shù)

　　假名是基于干擾的位置隱私保護(hù)技術(shù)中干擾身份信息的技術(shù)之一。用戶使用假名來(lái)隱藏真實(shí)的身份信息，如用戶小張所處的位置是（X,Y），要查詢他附近的KTV，用戶小張的查詢請(qǐng)求包括：小張，位置（X,Y），“離我最近的KTV”。當(dāng)攻擊者截獲了這個(gè)請(qǐng)求后，可以很輕易地識(shí)別出用戶的所有信息。而采用假名技術(shù)，用戶小張使用假名小李，他的查詢請(qǐng)求就變成了：小李，位置（X,Y），“離我最近的KTV”。這樣攻擊者就認(rèn)為處于位置（X,Y）的人是小李，用戶成功地隱藏了自己的真實(shí)身份。

　　假名技術(shù)通過分配給用戶一個(gè)不可追蹤的標(biāo)志符來(lái)隱藏用戶的真實(shí)身份，用戶使用該標(biāo)志符代替自己的身份信息進(jìn)行查詢。在假名技術(shù)中，用戶需要有一系列的假名，而且為了獲得更高的安全性，用戶不能長(zhǎng)時(shí)間使用同一個(gè)假名。假名技術(shù)通常使用獨(dú)立結(jié)構(gòu)和集中式結(jié)構(gòu)，當(dāng)在獨(dú)立結(jié)構(gòu)中使用時(shí)，用戶何時(shí)何地更換假名只能通過自己的計(jì)算和推測(cè)來(lái)確定，這樣就可能在同一時(shí)刻有兩個(gè)名字相同的用戶定位在不同地點(diǎn)，令服務(wù)器和攻擊者很輕易地知道用戶使用了假名。而在集中式結(jié)構(gòu)中使用時(shí)，用戶把更換假名的權(quán)利交給匿名服務(wù)器，匿名服務(wù)器通過周圍環(huán)境和其他用戶的信息，能夠更好地完成假名的使用。

　　為了使攻擊者無(wú)法通過追蹤用戶的歷史位置信息和生活習(xí)慣將假名與真實(shí)用戶相關(guān)聯(lián)，假名也需要以一定的頻率定期交換。通常使用假名技術(shù)時(shí)需要在空間中定義若干混合區(qū)（Mix Zone），用戶可在混合區(qū)內(nèi)進(jìn)行假名交換，但是不能發(fā)送位置信息。

　　如圖1所示，進(jìn)入混合區(qū)前的假名組合為（user1 user2 user3），在混合區(qū)內(nèi)進(jìn)行假名交換，將會(huì)產(chǎn)生6種可能的假名組合。由于用戶在進(jìn)入混合區(qū)前后的假名不同，并且用戶的名字為假名的可能性會(huì)隨著進(jìn)入混合區(qū)的用戶數(shù)目成指數(shù)增長(zhǎng)，因此，在混合區(qū)模式下，攻擊者很難通過追蹤的方式將用戶與假名關(guān)聯(lián)，進(jìn)而即可起到位置隱私保護(hù)的效果。

　　圖1  混合區(qū)內(nèi)的假名交換

　　混合區(qū)的大小設(shè)置與空間部署是假名技術(shù)的關(guān)鍵所在，因?yàn)樵诨旌蠀^(qū)內(nèi)要求不能提交位置信息，所以混合區(qū)過大會(huì)將導(dǎo)致服務(wù)質(zhì)量下降，混合區(qū)過小會(huì)將導(dǎo)致同一時(shí)刻區(qū)內(nèi)的用戶較少，進(jìn)行假名交換的效率較低。當(dāng)混合區(qū)內(nèi)只有一個(gè)用戶時(shí)，將不會(huì)發(fā)生假名更換，從而增大了被攻擊的可能性。

　?。?2 ） 假位置技術(shù)

　　假位置技術(shù)是在用戶提交查詢信息中，使用虛假位置或者加入冗余位置信息對(duì)用戶的位置信息進(jìn)行干擾。假位置技術(shù)按照對(duì)位置信息的處理結(jié)果可分為孤立點(diǎn)假位置和地址集兩種。

　　孤立點(diǎn)假位置是指用戶向SP提交當(dāng)前位置時(shí)，不發(fā)送自己的真實(shí)位置，而是用一個(gè)真實(shí)位置附近的虛假位置代替。例如，用戶小張所在的位置是（X,Y），要查詢他附近離他最近的KTV，用戶小張發(fā)送的查詢請(qǐng)求并不是：小張，位置（X,Y），“離我最近的KTV”，而是會(huì)采用虛假位置（M,N）代替真實(shí)位置，此時(shí)他的查詢請(qǐng)求就變成了：小張，位置（M,N），“離我最近的KTV”。這樣，攻擊者就會(huì)認(rèn)為處于位置（M,N）處的人是小張，用戶小張也就成功地隱藏了自己的真實(shí)位置。

　　地址集則是在發(fā)送真實(shí)位置的同時(shí)，加入了冗余的虛假位置信息形成的。將用戶真實(shí)的位置隱藏在地址集中，通過干擾攻擊者對(duì)用戶真實(shí)位置的判斷，達(dá)到保護(hù)用戶位置信息的目的。例如，用戶小張所在的位置是（X,Y），要查詢附近離他最近的KTV，這次用戶小張發(fā)送的查詢請(qǐng)求中，由一個(gè)包含真實(shí)位置（X,Y）的集合代替用戶所在的位置。因此，他的查詢請(qǐng)求就變成了：小張，地址集{（X,Y），（X,Y），（X1,Y1），（X2,Y2），（X3,Y3），…}，“離我最近的KTV”。這樣就可以使攻擊者很難從地址集中尋找到用戶的真實(shí)位置。但地址集的選擇非常重要，地址數(shù)量過少可能會(huì)達(dá)不到要求的匿名度，而地址數(shù)量過多則會(huì)增加網(wǎng)絡(luò)傳輸?shù)呢?fù)載。采用隨機(jī)方式生成假位置的算法，能夠保證多次查詢中生成的假位置帶有軌跡性。

　?。?3 ） 啞元位置技術(shù)

　　啞元位置技術(shù)也是一種假位置技術(shù)，通過添加假位置的方式同樣可以實(shí)現(xiàn)k-匿名。啞元位置技術(shù)要求在查詢過程中，除真實(shí)位置外還須加入額外的若干個(gè)假位置信息。服務(wù)器不僅響應(yīng)真實(shí)位置的請(qǐng)求，還響應(yīng)假位置的請(qǐng)求，以使攻擊者無(wú)法從中區(qū)分出哪個(gè)是用戶的真實(shí)位置。

　　假設(shè)用戶的初始查詢信息為（user_id locreal），locreal為用戶的當(dāng)前位置，那么使用假位置技術(shù)后用戶的查詢信息將變?yōu)?/p>

　　q*=（user_id,locreal,dummy_loc1,dummy_loc2），其中dummy_loc1和dummy_loc2為生成的假位置。

　　啞元位置技術(shù)的關(guān)鍵在于如何生成無(wú)法被區(qū)分的假位置信息，若假位置出現(xiàn)在湖泊或人煙稀少的大山中，則攻擊者可以對(duì)其進(jìn)行排除。假位置可以直接由客戶端產(chǎn)生（但客戶端通常缺少全局的環(huán)境上下文等信息），也可以由可信第三方服務(wù)器產(chǎn)生。

　　二、 基于泛化的位置隱私保護(hù)技術(shù)

　　泛化技術(shù)是指將用戶所在的位置模糊成一個(gè)包含用戶位置的區(qū)域，最常用的基于泛化的位置隱私保護(hù)技術(shù)就是k-匿名技術(shù)。k-匿名是指在泛化形成的區(qū)域中，包含查詢用戶及其他k-1個(gè)用戶。SP不能把查詢用戶的位置與區(qū)域中其他用戶的位置區(qū)分開來(lái)。因此，匿名區(qū)域的形成是決定k-匿名技術(shù)好壞的重要因素，常用集中式結(jié)構(gòu)和P2P結(jié)構(gòu)來(lái)實(shí)現(xiàn)。

　　k-匿名技術(shù)要求發(fā)布的數(shù)據(jù)中包含k個(gè)不可區(qū)分的標(biāo)志符，使特定個(gè)體被發(fā)現(xiàn)的概率為1/k。在位置隱私保護(hù)中，k-匿名通常要求生成一組包含k個(gè)用戶的查詢集，隨后用戶即可使用查詢集所構(gòu)成的一個(gè)共同的匿名區(qū)域。圖2展示了用戶User1、User2和User3所構(gòu)成的匿名區(qū)域（（Xl，Yl），（Xr，Yr））。

　　圖2  混合區(qū)內(nèi)的假名交換

　　k-匿名技術(shù)中通常要求的若干參數(shù)介紹如下。

　?、?匿名度k：定義匿名集中的用戶數(shù)量。匿名度k的大小決定了位置隱私保護(hù)的程度，更大的k值意味著匿名集包含更多的用戶，這會(huì)使攻擊者更難進(jìn)行區(qū)分。

　　② 最小匿名區(qū)域Amin：定義要求k個(gè)用戶位置組成空間的最小值。當(dāng)用戶分布較密集時(shí)將導(dǎo)致組成的匿名區(qū)域過小，即使攻擊者無(wú)法準(zhǔn)確地從匿名集中區(qū)分用戶，匿名區(qū)域也可能將用戶的位置暴露給攻擊者。

　?、?最大延遲時(shí)間Tmax：定義用戶可接受的最長(zhǎng)匿名等待時(shí)間。

　　k-匿名技術(shù)在某些場(chǎng)景下仍可能導(dǎo)致用戶的隱私信息暴露。例如，當(dāng)匿名集中用戶的位置經(jīng)緯度信息都可以映射到某一具體的物理場(chǎng)所（如醫(yī)院）時(shí)。對(duì)此，增強(qiáng)的l-多樣性、t-closeness等技術(shù)被提出，要求匿名集中用戶的位置要相隔得足夠遠(yuǎn)以致不會(huì)處于同一物理場(chǎng)所內(nèi)。

　　k-匿名技術(shù)可以通過匿名服務(wù)器來(lái)完成匿名集的收集與查詢的發(fā)送，也可以通過分布式點(diǎn)對(duì)點(diǎn)的技術(shù)由若干客戶端組成對(duì)等網(wǎng)絡(luò)來(lái)完成。

　?。?1 ） 集中式k-匿名

　　典型的集中式k-匿名是間隔匿名。間隔匿名算法的基本思想為：匿名服務(wù)器構(gòu)建一個(gè)四叉樹的數(shù)據(jù)結(jié)構(gòu)，將平面空間遞歸地用十字分成4個(gè)面積相等的正方形區(qū)間，直到所得到的最小正方形區(qū)間的面積為系統(tǒng)要求的允許用戶所采用的最小匿名區(qū)面積為止，每個(gè)正方形區(qū)間對(duì)應(yīng)四叉樹中的一個(gè)節(jié)點(diǎn)。系統(tǒng)中的用戶每隔一定的時(shí)間就將自己的位置坐標(biāo)上報(bào)給匿名服務(wù)器，匿名服務(wù)器更新并統(tǒng)計(jì)每個(gè)節(jié)點(diǎn)對(duì)應(yīng)區(qū)間內(nèi)的用戶數(shù)量。當(dāng)用戶U進(jìn)行匿名查詢時(shí)，匿名器會(huì)通過檢索四叉樹為用戶U生成一個(gè)匿名區(qū)ASR，間隔匿名算法從包含用戶U的四叉樹的葉子節(jié)點(diǎn)開始向四叉樹根的方向搜索，直至找到包含不少于K個(gè)用戶（包括用戶U）的節(jié)點(diǎn)，進(jìn)而即可將該節(jié)點(diǎn)所對(duì)應(yīng)的區(qū)域作為用戶U的一個(gè)匿名區(qū)。如圖3所示，如果用戶U1發(fā)起K=2的匿名查詢，則間隔匿名算法將首先搜索到象限區(qū)間[（0,0），（4,4）]，其中包含不少于兩個(gè)用戶，然后，向根的方向上升一級(jí)搜索到象限區(qū)間[（0,0），（2,2）]，該象限區(qū)間包含3個(gè)用戶，大于要求的兩個(gè)，算法停止搜索，并將該區(qū)間作為用戶U1的匿名區(qū)。由于該算法所得到的匿名區(qū)所包含的用戶數(shù)量可能遠(yuǎn)大于K，因此其會(huì)加大LBS服務(wù)器的查詢處理負(fù)擔(dān)和網(wǎng)絡(luò)流量負(fù)荷。

　　圖3  k-匿名實(shí)例

　　Casper匿名算法與間隔匿名算法類似，但不同于間隔匿名算法的是：Casper采用Hash表來(lái)識(shí)別和訪問四叉樹的葉子節(jié)點(diǎn)，同時(shí)當(dāng)搜索節(jié)點(diǎn)用戶數(shù)小于K時(shí)，首先會(huì)對(duì)其相鄰的兩個(gè)兄弟節(jié)點(diǎn)進(jìn)行搜索，如果該節(jié)點(diǎn)與其相鄰的兩個(gè)兄弟節(jié)點(diǎn)合并后的總用戶數(shù)大于K，則將它們合并，并作為匿名區(qū)，否則，再對(duì)其父節(jié)點(diǎn)進(jìn)行搜索。Casper生成的匿名區(qū)面積相比于間隔匿名算法生成的要小，這會(huì)減少網(wǎng)絡(luò)的負(fù)載。

　　Hilbert匿名算法的基本思想是通過Hilbert空間填充曲線將用戶的二維坐標(biāo)位置轉(zhuǎn)換成一維Hilbert值進(jìn)行匿名，按照曲線通過的順序?qū)τ脩暨M(jìn)行編號(hào)，此編號(hào)即為用戶的Hilbert值，并把相鄰的k個(gè)用戶放入同一個(gè)桶中。匿名集就是包含請(qǐng)求服務(wù)的用戶所在桶內(nèi)的所有用戶。計(jì)算出匿名集的最小綁定矩形并將其作為匿名區(qū)。若兩個(gè)用戶在二維空間中相鄰，那么映射到一維空間的Hilbert值也有較大的概率會(huì)相鄰。Hilbert匿名算法可以滿足絕對(duì)匿名。如圖4所示，用戶U1的匿名度為3，他和他的相鄰用戶U3和U4共同組成了匿名區(qū)域。

　　圖4  Hilbert匿名實(shí)例

　?。?2 ） P2P結(jié)構(gòu)下的k-匿名

　　基于P2P結(jié)構(gòu)的k-匿名查詢算法的基本思想是：假設(shè)所有的節(jié)點(diǎn)都是可信的。每個(gè)用戶都有兩個(gè)獨(dú)立的無(wú)線網(wǎng)絡(luò)，一個(gè)網(wǎng)絡(luò)用于與LBS通信，另一個(gè)網(wǎng)絡(luò)用于P2P通信，并且系統(tǒng)中的用戶都是安全可信的。一個(gè)完整的查詢過程包括以下3步。

　?、?對(duì)等點(diǎn)查詢。移動(dòng)用戶需要通過單跳或多跳網(wǎng)絡(luò)查找不少于k-1個(gè)對(duì)等點(diǎn)鄰居。

　?、?生成匿名區(qū)。移動(dòng)用戶與他所查找到的k-1個(gè)鄰居形成一個(gè)組，將他準(zhǔn)確地隱藏到一個(gè)覆蓋整個(gè)組內(nèi)所有用戶的區(qū)域（即匿名區(qū)）中。如果生成的ASR面積小于用戶所要求的最小匿名區(qū)面積Amin，那么就需要擴(kuò)大這個(gè)匿名區(qū)ASR到最小匿名面積Amin。

　　③ 選擇代理并查詢。為了防止攻擊者通過移動(dòng)蜂窩定位技術(shù)進(jìn)行攻擊，移動(dòng)用戶需要在所形成的組內(nèi)隨機(jī)找一個(gè)對(duì)等點(diǎn)鄰居并將其作為代理。通過專門用于P2P通信的網(wǎng)絡(luò)，將生成的匿名區(qū)和查詢的參數(shù)內(nèi)容告訴代理，由代理通過另一個(gè)網(wǎng)絡(luò)與LBS服務(wù)器聯(lián)系，發(fā)送查詢參數(shù)和匿名區(qū)，并接收候選集，然后代理通過專門用于P2P的網(wǎng)絡(luò)將候選集傳回查詢用戶。最后查詢用戶對(duì)返回的候選集進(jìn)行過濾，得到查詢結(jié)果。

　　三、基于模糊法的位置隱私保護(hù)技術(shù)

　　位置混淆技術(shù)的核心思想在于通過降低位置精度來(lái)提高隱私保護(hù)程度。一種模糊法可將坐標(biāo)替換為語(yǔ)義位置，即利用帶有語(yǔ)義的地標(biāo)或者參照物代替基于坐標(biāo)的位置信息，實(shí)現(xiàn)模糊化。也有用圓形區(qū)域代替用戶真實(shí)位置的模糊法技術(shù)，此時(shí)，將用戶的初始位置本身視為一個(gè)圓形區(qū)域（而不是坐標(biāo)點(diǎn)），并提出3種模糊方法：放大、平移和縮小。利用這3種方法中的一種或兩種的組合，可生成一個(gè)滿足用戶隱私度量的圓形區(qū)域。

　　例如，可以將由用戶位置的經(jīng)緯度坐標(biāo)轉(zhuǎn)換而來(lái)的包含該位置的圓形或矩形區(qū)域作為用戶的位置進(jìn)行提交。當(dāng)提交查詢時(shí)，我們使用圓形區(qū)域C1替換用戶的真實(shí)位置（X,Y）。

　　此外，還可以采用基于物理場(chǎng)所語(yǔ)義的位置混淆技術(shù)，該技術(shù)會(huì)提交用戶所在的場(chǎng)所而不是用戶的具體坐標(biāo)。例如，使用在西安交通大學(xué)校園內(nèi)的語(yǔ)義地點(diǎn)“圖書館”替換我的具體坐標(biāo)；也可以使用“興慶公園”內(nèi)的黑點(diǎn)位置所示用戶，發(fā)起查詢“最近加油站”的位置服務(wù)。

　　混淆技術(shù)的關(guān)鍵在于如何生成混淆空間。用戶總是在混淆區(qū)域的中間位置，或混淆區(qū)域中大部分區(qū)域是用戶無(wú)法到達(dá)的河流等場(chǎng)所，亦或混淆區(qū)域內(nèi)人口相對(duì)稀疏，這些都會(huì)增加攻擊者發(fā)現(xiàn)用戶真實(shí)位置的可能性。

　　大多數(shù)模糊法技術(shù)無(wú)須額外信息輔助，即可在用戶端直接實(shí)現(xiàn)，因此它們多使用獨(dú)立結(jié)構(gòu)。

　　與泛化法不同，多數(shù)模糊法技術(shù)沒有能力對(duì)LBS返回的結(jié)果進(jìn)行處理，往往會(huì)產(chǎn)生比較粗糙的LBS結(jié)果。例如，使用圖5中興慶公園模糊化用戶請(qǐng)求“最近加油站”時(shí)，事實(shí)上S1是最近的加油站，當(dāng)將C1作為其模糊區(qū)域時(shí)能夠?qū)ふ业秸_結(jié)果；但當(dāng)將隱私程度更高的C2作為模糊區(qū)域時(shí)，SP將把S2作為結(jié)果返回。所以，雖然C2的半徑大于C1的半徑，這使得隱私程度提高，但此時(shí)SP沒有最好地滿足用戶需求。模糊法技術(shù)應(yīng)解決如何在“保證LBS服務(wù)質(zhì)量”和“滿足用戶隱私需求”之間尋求平衡的問題。解決該問題的一種方式是在SP和用戶之間采用迭代詢問的方法，不斷征求用戶是否同意降低其隱私度量，在有限次迭代中盡可能地提高服務(wù)質(zhì)量。

　　圖5  基于模糊法的隱私保護(hù)技術(shù)

　　四、基于加密的位置隱私保護(hù)技術(shù)

　　在基于位置的服務(wù)中，基于加密的位置隱私保護(hù)技術(shù)將用戶的位置、興趣點(diǎn)加密后，即會(huì)在密文空間內(nèi)進(jìn)行檢索或者計(jì)算，而SP則無(wú)法獲得用戶的位置以及查詢的具體內(nèi)容。兩種典型的基于加密的位置隱私保護(hù)技術(shù)分別是基于隱私信息檢索（Private Information Retrieval，PIR）的位置隱私保護(hù)技術(shù)和基于同態(tài)加密的位置隱私保護(hù)技術(shù)。

　　（ 1 ） 基于隱私信息檢索（PIR）的位置隱私保護(hù)技術(shù)

　　PIR是客戶端和服務(wù)器通信的安全協(xié)議，能夠保證客戶端在向服務(wù)器發(fā)起數(shù)據(jù)庫(kù)查詢時(shí)，客戶端的私有信息不被泄露給服務(wù)器的條件下完成查詢并返回查詢結(jié)果。例如，服務(wù)器S擁有一個(gè)不可信任的數(shù)據(jù)庫(kù)DB，用戶U想要查詢數(shù)據(jù)庫(kù)DB[i]中的內(nèi)容，PIR可以保證用戶能以一種高效的通信方式獲取到DB[i]，同時(shí)又不讓服務(wù)器知道i的值。

　　在基于PIR的位置隱私保護(hù)技術(shù)中，服務(wù)器無(wú)法知道移動(dòng)用戶的位置以及要查詢的具體對(duì)象，從而防止了服務(wù)器獲取用戶的位置信息以及根據(jù)用戶查詢的對(duì)象來(lái)確定用戶的興趣點(diǎn)并推斷出用戶的隱私信息。其加密思想如圖6所示：用戶想要獲得SP服務(wù)器數(shù)據(jù)庫(kù)中位置i處的內(nèi)容，用戶自己將查詢請(qǐng)求加密得到Q（i），并將其發(fā)送給SP，SP在不知道i的情況下找到X，將結(jié)果進(jìn)行加密R（X,Q（i））并返回給用戶，用戶可以輕易地計(jì)算出Xi。包括SP在內(nèi)的攻擊者都無(wú)法通過解析得到i，因此無(wú)法獲得查詢用戶的位置信息和查詢內(nèi)容。

　　圖6  PIR方案

　　PIR可以保證用戶的請(qǐng)求、信息的檢索以及結(jié)果的返回都是安全可靠的。但是，PIR要求SP存儲(chǔ)整個(gè)區(qū)域的興趣點(diǎn)和地圖信息，這使存儲(chǔ)空間和檢索效率受到了極大挑戰(zhàn)。如何設(shè)計(jì)出更合適的存儲(chǔ)結(jié)構(gòu)及檢索方式是PIR要繼續(xù)研究的重點(diǎn)。

　　（ 2 ） 基于同態(tài)加密的位置隱私保護(hù)技術(shù)

　　同態(tài)加密是一種支持密文計(jì)算的加密技術(shù)。對(duì)同態(tài)加密后的數(shù)據(jù)進(jìn)行計(jì)算等處理，處理的過程不會(huì)泄露任何原始內(nèi)容，處理后的數(shù)據(jù)用密鑰進(jìn)行解密，得到的結(jié)果與沒有進(jìn)行加密時(shí)的處理結(jié)果相同?；谕瑧B(tài)加密的位置隱私保護(hù)最常用的場(chǎng)景是鄰近用戶相對(duì)距離的計(jì)算，它能夠?qū)崿F(xiàn)在不知道雙方確切位置的情況下，計(jì)算出雙方間的距離，如微信的“搖一搖”功能。Paillier同態(tài)加密是基于加密隱私保護(hù)技術(shù)常用的同態(tài)加密算法，最為典型的有Louis協(xié)議和Lester協(xié)議。Louis協(xié)議允許用戶A計(jì)算其與用戶B的距離，Lester協(xié)議規(guī)定只有當(dāng)用戶A和用戶B之間的距離在用戶B設(shè)置的范圍內(nèi)時(shí)，才允許用戶A計(jì)算兩者之間的距離。

　　五、位置隱私攻擊模型

　　網(wǎng)絡(luò)中的攻擊者是用戶位置隱私最大的威脅來(lái)源。攻擊者針對(duì)不同的位置隱私保護(hù)技術(shù)形成了不同的攻擊模型。這些攻擊模型根據(jù)攻擊者的行為主要可分為主動(dòng)攻擊模型和被動(dòng)攻擊模型。

　　1. 主動(dòng)攻擊模型

　　攻擊者向受害用戶或LBS服務(wù)器發(fā)送惡意的信息，從而獲取用戶的位置信息或者干擾用戶使用LBS服務(wù)。主要包括偽裝用戶攻擊和信息洪水攻擊。

　?。?1 ） 偽裝用戶攻擊

　　偽裝用戶攻擊主要針對(duì)基于P2P結(jié)構(gòu)的位置隱私保護(hù)技術(shù)。在P2P結(jié)構(gòu)下，同一網(wǎng)絡(luò)中的用戶相互信任。攻擊者可以假扮用戶的好友或其他普通用戶，也可以在該網(wǎng)絡(luò)中的用戶的移動(dòng)設(shè)備中植入病毒來(lái)控制這些設(shè)備。這時(shí)攻擊者會(huì)主動(dòng)向受害者用戶提出協(xié)助定位申請(qǐng)，由于得到受害用戶的信任，攻擊者可以輕松地獲取用戶精確的位置信息。

　　偽裝用戶攻擊對(duì)于基于同態(tài)加密的位置隱私保護(hù)技術(shù)也有很好的攻擊效果。當(dāng)攻擊者得到受害用戶信任或距離受害用戶的距離在受害用戶設(shè)置的限定范圍之內(nèi)時(shí)，攻擊者可以計(jì)算得知他與受害者的相對(duì)距離。根據(jù)三角定位原理，攻擊者在成功取得3次及以上相對(duì)距離的時(shí)候，經(jīng)過簡(jiǎn)單的計(jì)算就可以得知受害用戶的精確位置。

　　目前已有的位置隱私保護(hù)算法中還沒有能夠很好地解決偽裝用戶攻擊的方法。

　?。?2 ） 信息洪水攻擊

　　信息洪水攻擊的原理是拒絕服務(wù)。在獨(dú)立結(jié)構(gòu)和集中式結(jié)構(gòu)中，攻擊者向LBS服務(wù)器發(fā)送大量的LBS請(qǐng)求，占用LBS服務(wù)器的帶寬和流量，以影響LBS服務(wù)器對(duì)受害用戶的服務(wù)效率。在P2P結(jié)構(gòu)中，由于用戶之間可以發(fā)送協(xié)助定位申請(qǐng)，因此攻擊者可直接向受害用戶發(fā)送大量的協(xié)助定位申請(qǐng)，這些申請(qǐng)會(huì)像洪水一樣涌向受害用戶，受害用戶不僅需要接受這些信息，還需要對(duì)這些信息進(jìn)行處理和轉(zhuǎn)發(fā)。數(shù)量巨大的信息會(huì)導(dǎo)致受害用戶的移動(dòng)網(wǎng)絡(luò)阻塞，甚至?xí)?dǎo)致移動(dòng)設(shè)備崩潰。

　　2. 被動(dòng)攻擊模型

　　被動(dòng)攻擊是指攻擊者被動(dòng)收集受害用戶的信息，并通過收集到的信息來(lái)推斷用戶的真實(shí)位置。被動(dòng)攻擊主要包括基于歷史信息的攻擊、基于語(yǔ)義信息的攻擊和基于社交關(guān)系的攻擊。

　?。?1 ） 基于歷史信息的攻擊

　　基于歷史信息的攻擊主要通過收集受害用戶相關(guān)的歷史信息，分析用戶對(duì)LBS的使用習(xí)慣來(lái)推測(cè)用戶的具體位置。其中歷史信息包括受害用戶之前發(fā)起LBS請(qǐng)求的時(shí)間、內(nèi)容、頻率等。例如，如果受害用戶經(jīng)常在晚上或者周末在不同的地點(diǎn)使用導(dǎo)航到達(dá)同一地點(diǎn)，則該地點(diǎn)很可能是受害用戶的家庭住址。同理，如果受害用戶經(jīng)常在工作日查詢某一地點(diǎn)附近的餐廳，則該地點(diǎn)很可能是用戶的工作地點(diǎn)。

　?。?2 ） 基于語(yǔ)義信息的攻擊

　　基于語(yǔ)義信息的攻擊者通過分析受害用戶所在位置區(qū)域的信息及其周圍環(huán)境的語(yǔ)義信息，可縮小用戶所在區(qū)域的范圍，增加識(shí)別用戶位置的概率。例如，攻擊者截獲了一個(gè)受害用戶所在的位置區(qū)域信息，經(jīng)過對(duì)該信息進(jìn)行分析，發(fā)現(xiàn)該區(qū)域包括一片人工湖、幾棟高層樓房和一個(gè)停車場(chǎng)。由此可以推斷用戶位于湖面的概率遠(yuǎn)小于位于樓房?jī)?nèi)和停車場(chǎng)的概率。如果又知道用戶正在使用導(dǎo)航功能查找去往某地的路線，則用戶位于停車場(chǎng)的概率就高于位于樓房?jī)?nèi)的概率。

　?。?3 ） 基于社交關(guān)系的攻擊

　　基于社交關(guān)系的攻擊主要利用了如今發(fā)達(dá)的社交網(wǎng)絡(luò)。首先攻擊者收集受害用戶的社交信息，通過對(duì)其社交網(wǎng)絡(luò)中的其他用戶進(jìn)行攻擊以間接地攻擊該受害用戶。如果用戶甲對(duì)自己的位置隱私保護(hù)非常重視，攻擊者很難直接對(duì)用戶甲進(jìn)行攻擊，而通過社交網(wǎng)絡(luò)了解到，用戶甲和用戶乙是同事，則攻擊者就可以對(duì)用戶乙實(shí)施攻擊，通過獲取用戶乙的工作地點(diǎn)來(lái)推斷出用戶甲的工作地點(diǎn)。