借助現代 GPS 感知設備，位置數據被廣泛收集并用于交通監控、路線規劃、朋友查找、廣告交易、緊急服務等應用。基于位置的服務 (LBS) 是一種基于用戶的服務關于他們的位置信息。智能手機、互聯網和 GIS 等技術的融合使 LBS 成為可能。用戶可以從他們的移動設備通過設備上可用的移動互聯網訪問它，同時與服務提供商共享他們的地理位置（和其他所需信息）。

LBS 提供的服務質量取決于服務類型、底層架構以及所收集數據的準确性。為基于位置的服務收集高度精确的數據，根據服務的類型，這些數據可以是單一的位置更新，也可以是連續的位置更新。對這種高度精确的時空數據的分析，當在一段時間内收集時，可以導緻識别個人、估計軌迹（識别流行的源/目的地點），并最終确定他們的行為。通過分析位置數據，可以推斷出很多關于一個人的信仰、偏好、宗教和健康的信息。

例如：

• 可以确定個人去看醫生（醫院）的時間和頻率。保險提供商可以使用此信息來區分或強制收取更高的保費。
• 個人的家、辦公室、朋友和家人的位置可能會被具有有害意圖的人用來跟蹤他或她的活動并發送人身威脅。
• 識别個人訪問的商店/購物中心的位置可以導緻識别他或她的購物頻率/模式，也可以表明社會經濟地位。

位置隐私是個人控制對其當前或過去位置信息的訪問的能力。個人或團體有權控制何時、如何以及有多少個人位置數據被共享或透露給第三方（Krumm 等人，Kulik 等人）。

位置隐私的丢失可能導緻以下類型的問題：

• 推理攻擊：可以将個人的位置聯系在一起，以對他的政治觀點、宗教、性取向、朋友和家人進行一系列推理。此信息可用于影響、瞄準或威脅他們。
• 基于位置的廣告 (LBA)是根據使用手機收集的物理位置向個人發送垃圾郵件。LBA 不僅會用無用的消息激怒移動用戶，還會破壞他與周圍環境的關系（Wicker 等人）。
• 對人身安全的威脅：跟蹤或人身攻擊

實施位置隐私的挑戰是：

• 位置隐私要求：位置隐私要求因個人的理解和需求而異。對于同一用戶在不同地點和不同時間的情況也有所不同。
• 隐私與效用權衡：位置信息對于提供和增強服務很有用，而未經授權訪問此類信息可能會洩露有關個人的大量敏感信息。對于所需的隐私級别可以實現的最佳服務質量也取決于應用程序。

位置信息提取分為三個階段：

位置數據由服務提供商或組織收集。例如，當您請求路由服務時，您的當前位置會不斷更新給服務提供商。

可以收集和分析這些位置更新以增強服務或用于數據挖掘目的。例如，路線查找服務收集個人的曆史運動數據，并使用這些數據來确定他的駕駛行為，以建議未來的個性化路線。

收集的數據或數據的一些統計數據可以發布，并且不應該洩露個人的私人信息。

此外，隐私目标可能因模型和實施技術的選擇而異。

用戶可能需要：

• 用戶位置隐私：用戶希望隐藏他們的位置信息，在大多數情況下，查詢内容。
• 用戶查詢隐私：用戶希望隐藏他們的查詢内容，但不擔心洩露位置信息（即查詢最近的酒吧位置）。
• 軌迹隐私：用戶希望避免洩露足夠多的信息（時空點），這些信息可以鍊接在一起形成軌迹。

除隐私法律和政策外，确保位置隐私的方法如下。

匿名性是位置信息與用戶身份分離的情況。

實現匿名的最簡單技術之一是将用戶 ID 替換為假名，從而将身份與位置信息分開。因此，個人是匿名的，但具有持久的身份。但是，在位置數據的情況下，假名不起作用，因為可以将假名鍊接到位置信息。這可以被反向地理編碼以推斷用戶的身份（在一段時間内從家庭/工作地點推斷出的身份）。

匿名化的一項重要技術是隐藏，它可以是空間或時空的。在空間僞裝中，用戶位置被表示為一個更大的區域，其中包括确切的用戶位置。時間隐藏通過延遲查詢直到該區域中存在足夠的用戶來降低時間信息的頻率（Gruteser 等人）。但是，基于匿名的方法不适用于需要身份驗證或提供個性化的應用程序（朗海因裡希等人）。

位置混淆被定義為故意降低位置信息的質量（通過不精确、不準确或模糊）以保護個人的位置隐私。位置混淆是對匿名概念的補充。與基于匿名的技術不同，在基于混淆的技術中，身份是匿名的并且用戶是“衆多中的一員”，用戶身份是已知的，并且位置信息的質量會降低（Kulik 等人）。

不精确是指用戶位置信息不精确，因為用戶沒有提供單個位置，而是提供了一個更大的集合，其中包括用戶位置。

這是在提供給服務提供商的位置信息集中不存在用戶位置信息時定義的。用戶的真實位置與該集合的距離越大，實現的隐私級别越高。

用戶對位置信息的描述很模糊，沒有定義确切的邊界；例如，使用“近-遠”、“近”和“步行五分鐘内”等短語來描述位置。

可以應用不同的系統架構來實現使用上述隐私定位方法的隐私保護 LBS。下面讨論為隐私保護 LBS 的不同系統架構獲得高質量服務和匿名化的問題。

這是用戶直接與服務器通信的集中式架構。存在不準确或錯誤的基于位置的方法。Kido 等人提出了一種基于假人的方法，其中用戶發送 n-1 個假人或位置以及他或她的真實位置信息。服務器返回一個答案集，其中也包含對真實位置的答案。然後，用戶從集合中計算出所需的确切答案。洪等提出了一種基于地标的方法，其中基于某些 POI 将空間劃分為 Voronoi 單元。用戶将他或她最近的地标的位置發送到服務器以獲得答案。在這些方法中，通過獲取近似解決方案，服務質量很低，或者當服務器為每個查詢響應多個位置時，服務器負載非常高。

在這個架構中，有一個集中的可信第三方負責實現隐私。可信方，也稱為位置匿名者，位于用戶和 LBS 提供者之間。用戶将他們的确切位置傳達給受信任的第三方，然後第三方匿名并将查詢發送到查詢服務器。響應被發送回位置匿名器，然後将其轉發給相應的用戶。通常假設用戶和匿名者之間的通信通道是安全的，而匿名者和服務提供者之間的通信通道可以是公開的。使用這種基于僞裝、k-匿名和混淆的架構設計了許多方法 (Gruteser et al, Gedik et al）。然而，與任何集中式系統一樣，該系統具有将位置匿名器作為單點故障和潛在瓶頸的缺點。此外，如果第三方本身受到損害，系統隐私為零。

點對點(P2P) 是一種去中心化的架構，無需中心化的可信第三方來滿足隐私要求。移動用戶通過802.11、藍牙等P2P通信技術直接相互通信，與其他用戶協同工作，形成隐蔽的空間區域。查詢用戶通過單跳或多跳通信發現對等點，以形成滿足他或她的k匿名或隐私區域要求的隐蔽區域。P2P架構沒有集中式基于TTP架構的缺點。但是，它還有其他設計和實施挑戰。莫克貝爾等人讨論為 LBS 實施 P2P 架構的挑戰和研究問題。對等點搜索的挑戰包括定義跳躍距離以找到k-1 個對等點和估計對等點的可信度。形成空間隐身區域的挑戰包括運動不确定性，因為對等方不斷移動，隐身區域需要相應調整。最後，還存在移動環境的限制，包括電池電量和網絡斷開。

如前所述，任何基于位置的服務收集位置數據的能力都會引起個人隐私問題。然而，問題仍然是人們在多大程度上關心位置隐私。盡管早期的研究似乎表明人們不太關心隐私，但最近的研究表明相反。

劍橋大學的研究人員對 74 名計算機科學專業的本科生進行了一項（虛構的）研究，以收集他們的精确位置信息（通過手機），為期一個月。他們發現，為了研究目的，學生們設定了 10 英鎊的中位數價格來顯示他們的個人位置軌迹。如果數據将用于商業目的，則中位定價翻倍。

在對來自不同背景的 55 人進行小組訪談後，研究人員 發現，這些人并不擔心使用位置感知服務的隐私。然而，他們指出：“大多數受訪者并沒有想到他們可以在使用該服務時被定位。”

研究員 John Krumm 對來自 Microsoft 的 219 人進行了一項 GPS 調查，以提供兩周内記錄的 GPS 數據，以便有 100 分之一的機會赢得 200 美元的 MP3 播放器。其中 97 人被問及這些數據是否可以在微軟之外使用，隻有 20% 的人否認了這一點。可能是參與者沒有很好地理解共享位置數據的含義。

作為數據隐私日（每年 1 月 28 日舉行）的一部分，我們進行了一項調查，以了解人們對位置隐私的擔憂以及對使用基于位置的服務的認識。調查報告稱，52% 的人對與其他人或組織分享他們的位置表示強烈擔憂。絕大多數受訪者表示擔心在未經同意的情況下分享他們的位置 (84%)、個人信息或身份被盜 (84%) 以及整體隐私丢失 (83%)。

基于位置服務的日益增長的使用要求我們投資于與用戶和服務提供商建立信任和透明的生态系統。隐私不必在收集所有數據後成為事後的想法，它需要從系統設計和架構級别本身開始。服務提供商需要明确他們正在收集哪些數據以及他們将使用數據的時間和方式。用戶需要在同意的情況下對其數據進行更精細的控制，這也強調和教育如何收集和使用數據。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!