位置服務(wù)（LBS）是近年來物聯(lián)網(wǎng)領(lǐng)域新興的業(yè)務(wù)，該業(yè)務(wù)的開展在給用戶帶來方便的同時也帶來了信息安全的隱患，成為物聯(lián)網(wǎng)信息安全領(lǐng)域的重要研究方向。本文分析了物聯(lián)網(wǎng)位置服務(wù)的信息安全隱患，并針對性的進行了需求分析，構(gòu)建了適合當前物聯(lián)網(wǎng)位置服務(wù)業(yè)務(wù)的基于隱私保護的信息安全模型，為位置服務(wù)業(yè)務(wù)在物聯(lián)網(wǎng)領(lǐng)域的拓展運用提供了理論基礎(chǔ)。

基于物聯(lián)網(wǎng)位置服務(wù)（LBS）是近年來發(fā)展起來的一種新型業(yè)務(wù)，其主要目的是通過部署各種規(guī)模的傳感設(shè)備實時感知目標事物的基本信息和位置信息，分析挖掘其活動特征和規(guī)律，并提供給用戶相關(guān)業(yè)務(wù)服務(wù)，方便人們?nèi)粘９ぷ骱蜕?，是近年來新興的一種物聯(lián)網(wǎng)信息服務(wù)業(yè)務(wù)。

1 物聯(lián)網(wǎng)位置服務(wù)的信息安全隱患

位置服務(wù)（LBS）業(yè)務(wù)是基于通信網(wǎng)絡(luò)發(fā)展起來的，與位置服務(wù)的其他通信支撐網(wǎng)絡(luò)相比，物聯(lián)網(wǎng)能夠使世界萬物擁有智慧，客觀物體的有關(guān)信息都很容易被物聯(lián)網(wǎng)感知下來，因此，物聯(lián)網(wǎng)位置服務(wù)業(yè)務(wù)可以感知個人隱私的信息更為全面、更為廣泛。這些信息除了能被惡意窺視之外，黑客還可以通過物聯(lián)網(wǎng)直接侵入到個人的物理隱私空間，或者在物聯(lián)網(wǎng)信息空間中篡改、刪除、偽造隱私記錄，以及對個人隱私進行散布和傳播。綜合分析物聯(lián)網(wǎng)技術(shù)的發(fā)展現(xiàn)狀，位置服務(wù)業(yè)務(wù)在物聯(lián)網(wǎng)支撐下面臨的安全隱患主要有以下幾個方面：

（1）終端用戶隱私信息被無意獲取

在物聯(lián)網(wǎng)環(huán)境中，利用傳感設(shè)備采集物體的信息，采集節(jié)點廣泛并且覆蓋面較大，采集到的數(shù)據(jù)類型非常豐富。但是，由于信息采集是不可見的系統(tǒng)行為，用戶在不知情的情況下有可能提交了他的隱私信息，從而引起用戶擔憂其個人隱私數(shù)據(jù)的泄漏。

（2）服務(wù)提供者的隱私泄漏

在位置服務(wù)系統(tǒng)中，各種LBS服務(wù)提供者將會獲得各種感知數(shù)據(jù)、用戶的位置信息和服務(wù)請求信息等。一方面，若LBS服務(wù)提供者不遵守相關(guān)的服務(wù)規(guī)范、法律法規(guī)等，故意泄漏或出售用戶的隱私信息;另一方面，由于LBS服務(wù)器端缺少必要的入侵檢測和安全防御系統(tǒng)，可能遭到惡意攻擊者對LBS系統(tǒng)的破壞，從而造成用戶隱私信息的泄漏。

（3）惡意第三方監(jiān)聽

LBS服務(wù)中的數(shù)據(jù)傳輸與信息交互包括感知數(shù)據(jù)的采集與傳輸、用戶服務(wù)請求的發(fā)送、服務(wù)器向用戶終端發(fā)送服務(wù)內(nèi)容等，這些數(shù)據(jù)傳輸需要在無線網(wǎng)絡(luò)、移動通信網(wǎng)絡(luò)、互聯(lián)網(wǎng)上進行傳輸，第三方惡意攻擊者可以在用戶終端、數(shù)據(jù)傳輸網(wǎng)絡(luò)中運行相應(yīng)的木馬和病毒程序等，從而截獲有關(guān)用戶的隱私信息。

（4）用戶對隱私的界定不同

LBS服務(wù)隱私是個相對的概念，對于不用的用戶或者不同類型的服務(wù)來說隱私界定是不同的，比如:用戶在查找其周圍最近的銀行時，用戶所處的地理位置被用戶視為隱私，如果用戶的位置隱私被暴露有可能會被惡意不法分子帶來財產(chǎn)危險。

（5）稀少用戶的環(huán)境下保護效率降低

匿名保護技術(shù)的主要思想是讓惡意者不能在用戶群體中辨別出是哪一個用戶提交的應(yīng)用需求，這種技術(shù)在用戶居多的環(huán)境下具有很高的保護效率，但是在用戶稀少環(huán)境下，該技術(shù)顯得略不足道。

（6）位置精確度制約服務(wù)質(zhì)量

 定位服務(wù)中，服務(wù)中心需要根據(jù)用戶提供的用戶位置信息來服務(wù)，用戶提供的位置信息越精確服務(wù)中心反饋的服務(wù)質(zhì)量越高，然而用戶位置信息越精確，其所帶來的隱私風險越大。對于不同的服務(wù)來說，對位置信息的準確程度不同，普通服務(wù)可以允許用戶提供位置信息為模糊化區(qū)域，特殊服務(wù)來說需要準確的位置信息。

（7）植入隱私保護降低服務(wù)質(zhì)量

現(xiàn)有的隱私保護研究方案中，通常是將用戶位置信息模糊化來隱藏用戶真實位置，但是在LBS服務(wù)系統(tǒng)在植入該隱私保護技術(shù)后，服務(wù)質(zhì)量受到嚴重影響，服務(wù)中心根據(jù)用戶提供的模糊的區(qū)域空間進行處理分析，一是增加了服務(wù)器處理需求的時間;二是服務(wù)器提供給用戶的服務(wù)信息中夾雜著一些用戶不感興趣的大量信息，用戶需要從大量的信息中找出自己需要的信息，降低了服務(wù)質(zhì)量。

（8）通過連續(xù)服務(wù)挖掘用戶信息

傳統(tǒng)的隱私保護方法通常是將每次服務(wù)作為一個孤立的服務(wù)來進行處理，然而用戶在物聯(lián)網(wǎng)環(huán)境下大部分情況下是連續(xù)不斷的發(fā)出LBS服務(wù)請求，這時惡意第三方如果得到用戶移動的模糊化區(qū)域，通過成熟的挖掘技術(shù)可以準確推測出用戶的基本信息，給用戶帶來極大的風險。

2 物聯(lián)網(wǎng)位置服務(wù)信息安全需求分析

隨著物聯(lián)網(wǎng)應(yīng)用領(lǐng)域的不斷擴大，基于物聯(lián)網(wǎng)的位置服務(wù)業(yè)務(wù)也將得到越來越廣泛的應(yīng)用，根據(jù)物聯(lián)網(wǎng)位置信息服務(wù)面臨的安全威脅，位置服務(wù)業(yè)務(wù)要想獲得可靠的發(fā)展，其信息安全機制需要滿足以下需求：

（1）保護用戶身份信息

用戶身份信息(如身份證號)被服務(wù)系統(tǒng)用來認證用戶的權(quán)限，根據(jù)用戶的身份提供相應(yīng)服務(wù)。如果惡意攻擊者獲取到某個用戶的身份，知道他是被攻擊對象的話，將有利于不法分子采取各種手段攻擊目標，從而對用戶安全性造成威脅。因此，LBS服務(wù)中保護用戶的身份信息非常重要。

（2）保護用戶位置信息

位置信息保護也同為重要，如果某個用戶在某時刻的位置被惡意攻擊者確定下來，不法分子會跟蹤、監(jiān)視該用戶的行為，并對其進行各種攻擊。

（3）保護用戶關(guān)聯(lián)信息

LBS服務(wù)中用戶敏感信息具有一定的關(guān)聯(lián)關(guān)系，對于攻擊者來說，獲取用戶敏感信息的關(guān)聯(lián)信息的意義遠大于獲取某單獨敏感信息。比如，用戶身份和位置信息同時被攻擊者獲取遠比單獨用戶身份信息或者位置信息的暴露對用戶的造成個人隱私侵犯強烈的多。因此，要求物聯(lián)網(wǎng)位置服務(wù)信息安全模型要保證攻擊者不能同時獲得有關(guān)聯(lián)的敏感信息。   

（4）非匿名化服務(wù)的信息安全

非匿名化服務(wù)隱私保護更為重要，因為在該服務(wù)下服務(wù)端是根據(jù)用戶真實身份查看其已定制的個性化需求，向用戶推出滿足其個性化需求的服務(wù)。然而，現(xiàn)有的信息安全機制大多數(shù)針對匿名化服務(wù)的信息安全，可以通過假名替代用戶的真實信息提交給服務(wù)器，達到用戶身份信息的隱藏。但是在非匿名化服務(wù)中，該保護機制已不適合對用戶隱私數(shù)據(jù)的保護，這就要求物聯(lián)網(wǎng)位置服務(wù)能夠解決非匿名化服務(wù)中用戶信息安全問題。

（5）信息安全保護與環(huán)境無關(guān)

在已有的定位信息保護機制下，信息安全在密集的用戶環(huán)境下取得了很好的保護效果。通常采用假位置或者假身份來混淆目標用戶的真實信息，達到以假亂真的效果，從而保護目標用戶的信息。但是該信息安全機制在用戶分布極其稀疏的環(huán)境下卻幾乎失去了保護能力。

（6）信息安全與服務(wù)質(zhì)量的平衡

定位信息安全防護方案中如何平衡保護力度與服務(wù)質(zhì)量是促進定位服務(wù)健康發(fā)展的重要因素，物聯(lián)網(wǎng)空間內(nèi)同樣占據(jù)重要地位。如果在使用信息安全策略后，定位服務(wù)的質(zhì)量和效率嚴重下降，將阻礙物聯(lián)網(wǎng)位置服務(wù)業(yè)務(wù)的發(fā)展。這就要求在物聯(lián)網(wǎng)空間內(nèi)植入定位信息防護方案后，原有的服務(wù)質(zhì)量不應(yīng)該受到太大的影響，并且無法避免的影響也應(yīng)控制在一定的范圍內(nèi)。

（7）用戶連續(xù)請求服務(wù)下具有同等的保護強度

在用戶連續(xù)不斷的請求定位服務(wù)時，要求隱私保護模型同樣具有很好的保護能力，不使惡意攻擊者因長時間跟蹤服務(wù)而從中挖掘用戶的隱私數(shù)據(jù)。

3 基于隱私保護的物聯(lián)網(wǎng)位置服務(wù)信息安全機制

從物聯(lián)網(wǎng)位置服務(wù)業(yè)務(wù)的實施過程看，用戶申請LBS服務(wù)時通常需要提交三個方面的信息，即身份信息、位置信息和服務(wù)內(nèi)容信息。隱私保護主要應(yīng)用于匿名化的物聯(lián)網(wǎng)信息服務(wù)業(yè)務(wù)中，即服務(wù)器端不需要驗證用戶的身份信息就可以提供相應(yīng)的服務(wù)信息。

3.1 指導(dǎo)思想

隱私保護主要有修改數(shù)據(jù)和數(shù)據(jù)加密兩種手段。其中，修改數(shù)據(jù)可以利用假名替換算法或模糊算法等擾亂技術(shù)對敏感數(shù)據(jù)進行修改，混淆真假數(shù)據(jù)，但是這種保護手段會帶來不必要的開銷；數(shù)據(jù)加密則是使用加密技術(shù)對敏感數(shù)據(jù)加密，使得數(shù)據(jù)保持原有性，但是整個使用過程中會造成過多的計算，導(dǎo)致服務(wù)效率降低。總而言之，隱私保護手段中使用的三種隱私算法都對LBS服務(wù)中隱私信息做了不同程度的隱私保護，其保護隱私的力度和隱私處理時間都各有優(yōu)劣。三種算法的隱私保護力度與服務(wù)效率成反比，假名替換算法在隱私保護中處理時間最短，但是其隱私保護力度最低，加密技術(shù)在隱私保護力度中最高，但是其所需隱私處理時間最長。因此，為了平衡隱私保護和服務(wù)質(zhì)量的矛盾，在基于隱私保護的物聯(lián)網(wǎng)位置服務(wù)信息安全模型設(shè)計中，用戶需要根據(jù)服務(wù)的類型以及使用對象的要求不同，選取合適的隱私保護方法。

3.2 信息安全模型體系結(jié)構(gòu)

根據(jù)物聯(lián)網(wǎng)位置服務(wù)信息安全問題和安全需求，可以采用中間器件-隱私保護器模型來保護用戶的隱私數(shù)據(jù)，隱私保護器由三部分組成，即網(wǎng)絡(luò)匿名模塊、結(jié)果集處理模塊和隱私處理模塊組成。其工作過程為:閱讀器獲取到物體或者用戶的信息后，首先經(jīng)過隱私保護器的網(wǎng)絡(luò)匿名模塊處理，使得服務(wù)器端無法從網(wǎng)絡(luò)地址追溯到使用對象。然后，物體或者用戶的信息經(jīng)過隱私處理模塊與LBS服務(wù)中心進行交流，LBS服務(wù)中心根據(jù)物體或者用戶的服務(wù)內(nèi)容進行分析處理得到相應(yīng)的結(jié)果集，由于物體或者用戶經(jīng)過隱私處理模塊處理后產(chǎn)生大量的使用對象不感興趣的服務(wù)信息，為提高服務(wù)質(zhì)量要求隱私保護器應(yīng)該消除結(jié)果集中的冗余信息。結(jié)果處理模塊就是處理服務(wù)中心返回的結(jié)果集，把物體或者對象所需要的信息分析出來反饋到物體或者用戶顯示屏上。

網(wǎng)絡(luò)匿名模塊的作用是使服務(wù)中心無法從發(fā)出消息者的網(wǎng)絡(luò)地址(如IP地址)來追溯用戶，相當于匿名通信研究中的發(fā)送者匿名問題。

結(jié)果集處理模塊的主要功能是在服務(wù)中心提供的服務(wù)結(jié)構(gòu)集中找到與其對應(yīng)的真實用戶所需要的結(jié)果信息，并將其及時的反饋給用戶。為了保護用戶的隱私，隱私處理模塊增加了許多混淆真實信息的假信息，這就造成服務(wù)其返回的結(jié)果集中存有大量用戶不需要的信息，如果直接將整個結(jié)果集返回給用戶，就會浪費用戶大量時間挑選感興趣的信息，阻礙物聯(lián)網(wǎng)空間內(nèi)LBS服務(wù)的快速發(fā)展。因此，在隱私保護中間件中我們要加入結(jié)果集處理模塊，該模塊要根據(jù)用戶的真實信息在服務(wù)器端返回的結(jié)果集中查詢用戶所需要的信息。

隱私處理模塊就是通過某種隱私保護算法來變換和混雜來自閱讀器發(fā)送過來的多個用戶的消息，然后將處理后的消息發(fā)送到LBS服務(wù)中心。在位置服務(wù)中每個用戶需要向位置服務(wù)提供方提交三個方面的消息:用戶ID、位置信息和服務(wù)請求內(nèi)容。用戶提交的這三個方面的信息中如果任意兩方面的信息被惡意攻擊者獲取，那就意味著用戶的隱私被泄露。因此，隱私處理模塊需要使用某種隱私保護算法來處理，使得惡意攻擊者無法確定用戶提交的三個方面的相互對應(yīng)關(guān)系。因此，可以在基于信任的網(wǎng)絡(luò)和網(wǎng)絡(luò)匿名模塊傳遞的基礎(chǔ)上，構(gòu)建一種復(fù)合型的隱私處理保護模塊，該模塊由四個層次組成:定位服務(wù)層、匿名服務(wù)層、位置模糊層和服務(wù)內(nèi)容保護層，分布結(jié)構(gòu)如圖1所示。

圖1 隱私處理模塊結(jié)構(gòu)圖

（1）定位服務(wù)層

定位服務(wù)層位于隱私處理模塊的最底層，用于將閱讀器傳送過來的信息實現(xiàn)定位，并生成用戶ID和位置信息對。定位服務(wù)層需要建立一個用戶信息庫，將用戶信息存儲到該信息庫，并且該信息庫在一定的周期內(nèi)更新所存儲的信息。用戶信息包括用戶ID、位置信息、服務(wù)內(nèi)容、請求時間以及服務(wù)類型。各個信息的屬性描述如表1所示。定位服務(wù)層不僅將用戶信息庫中相關(guān)信息提交給上層，而且還用于結(jié)構(gòu)集處理模塊查詢用戶感興趣的查詢條件。

    表1 用戶信息庫基本屬性

（2）匿名服務(wù)層

匿名服務(wù)層是匿名化服務(wù)中隱私處理的第一步，其職責就是利用假名替換算法將真實用戶ID替換為一個假用戶ID，記為ID'，并且建立一個匿名信息庫存儲用戶的真實ID和假名信息對。匿名替換完畢后，匿名服務(wù)層將匿名信息庫中的假名ID，以及與其對應(yīng)的用戶基本信息提交給上層。

（3）位置模糊層

位置模糊層針對用戶的位置信息處理，使用優(yōu)化了的位置模糊算法將定位系統(tǒng)產(chǎn)生的精確的用戶位置模糊化，使其由精確的點信息變換為區(qū)域信息，即產(chǎn)生一個位置匿名集提交給上層。并且該匿名集中要求必須存有n個用戶的位置信息，這樣惡意攻擊者就不能在n個用戶的位置信息中確定哪個是真實用戶位置，從而保護了用戶的位置。

（4）服務(wù)內(nèi)容保護層

服務(wù)內(nèi)容保護層的隱私處理是基于同態(tài)加密技術(shù)的隱私保護方案提供對用戶服務(wù)內(nèi)容的管理與維護，其包含兩個主要內(nèi)容:服務(wù)信息庫和加密/解密處理模塊。服務(wù)信息庫用于存儲加密前服務(wù)內(nèi)容的信息和加密后服務(wù)內(nèi)容的信息對;加密/解密處理模塊用于對服務(wù)內(nèi)容進行加密/解密處理。服務(wù)內(nèi)容保護層重要職責在于不影響正常服務(wù)下，使惡意攻擊者不但不能從用戶方獲取用戶的服務(wù)內(nèi)容，而且也不能從服務(wù)端獲取用戶的服務(wù)內(nèi)容。

4 結(jié)語

隨著物聯(lián)網(wǎng)位置服務(wù)業(yè)務(wù)的普遍應(yīng)用，用戶越來越多地擔心為獲得便利服務(wù)向服務(wù)器提交的用戶信息的安全去向，這也給許多網(wǎng)絡(luò)詐騙提供了可乘之機。本文提出的物聯(lián)網(wǎng)位置服務(wù)信息安全機制主要是針對位置服務(wù)類型的差別而采取相應(yīng)的保護策略，隨著物聯(lián)網(wǎng)位置服務(wù)業(yè)務(wù)的發(fā)展，還需要解決移動環(huán)境下隱私保護問題和用戶個性化定制業(yè)務(wù)的隱私保護問題，這將是物聯(lián)網(wǎng)位置服務(wù)信息安全技術(shù)的下步發(fā)展方向。