每日分享最新，最流行的软件开发知识与最新行业趋势，希望大家能够一键三连，多多支持，跪求关注，点赞，留言。

越来越多地使用基于位置的服务需要投资以建立一个与用户和服务提供商信任和透明的生态系统。在这里了解更多。

借助现代 GPS 感知设备，位置数据被广泛收集并用于交通监控、路线规划、朋友查找、广告交易、紧急服务等应用。基于位置的服务 (LBS) 是一种基于用户的服务关于他们的位置信息。智能手机、互联网和 GIS 等技术的融合使 LBS 成为可能。用户可以从他们的移动设备通过设备上可用的移动互联网访问它，与服务提供商共享他们的地理位置（和其他所需信息）。

LBS 提供的服务质量取决于服务类型、底层架构以及所收集数据的准确性。为基于位置的服务收集高度精确的数据，根据服务的类型，这些数据可以是单一的位置更新，也可以是连续的位置更新。对这种高度精确的时空数据的分析，当在一段时间内收集时，可以导致识别个人、估计轨迹（识别流行的源/目的地点），并最终确定他们的行为。通过分析位置数据，可以推断出很多关于一个人的信仰、偏好、宗教和健康的信息。

例如

• 可以确定个人去看医生（医院）的时间和频率。保险提供商可以使用此信息来区分或强制收取更高的保费。
• 个人的家、办公室、朋友和家人的位置可能会被具有有害意图的人用来跟踪他或她的活动并发送人身威胁。
• 识别个人访问的商店/购物中心的位置可以导致识别他或她的购物频率/模式，也可以表明社会经济地位。

位置隐私是个人控制对其当前或过去位置信息的访问的能力。个人或团体有权控制何时、如何以及有多少个人位置数据被共享或透露给第三方（Krumm 等人，Kulik 等人）。

位置隐私的丢失可能导致以下类型的问题

• 推理攻击可以将个人的位置联系在一起，以对他的政治观点、宗教、性取向、朋友和家人进行一系列推理。此信息可用于影响、瞄准或威胁他们。
• 基于位置的广告 (LBA)是根据使用手机收集的物理位置向个人发送垃圾邮件。LBA 不仅会用无用的消息激怒移动用户，还会破坏他与周围环境的关系（Wicker 等人）。
• 对人身安全的威胁跟踪或人身攻击

挑战

实施位置隐私的挑战是

• 位置隐私要求位置隐私要求因个人的理解和需求而异。对于同一用户在不同地点和不间的情况也有所不同。
• 隐私与效用权衡位置信息对于提供和增强服务很有用，而未经授权访问此类信息可能会泄露有关个人的大量敏感信息。对于所需的隐私级别可以实现的最佳服务质量也取决于应用程序。

位置数据提取的阶段

位置信息提取分为三个阶段

1. 数据收集

位置数据由服务提供商或组织收集。例如，当您请求路由服务时，您的当前位置会不断更新给服务提供商。

2. 数据分析

可以收集和分析这些位置更新以增强服务或用于数据挖掘目的。例如，路线查找服务收集个人的历史运动数据，并使用这些数据来确定他的驾驶行为，以建议未来的个性化路线。

3. 数据发布

收集的数据或数据的一些统计数据可以发布，并且不应该泄露个人的私人信息。

用户的隐私目标

，隐私目标可能因模型和实施技术的选择而异。

用户可能需要

• 用户位置隐私用户希望隐藏他们的位置信息，在大多数情况下，查询内容。
• 用户查询隐私用户希望隐藏他们的查询内容，但不担心泄露位置信息（即查询最近的酒吧位置）。
• 轨迹隐私用户希望避免泄露足够多的信息（时空点），这些信息可以链接在一起形成轨迹。

确保位置隐私的方法

除隐私法律和政策外，确保位置隐私的方法如下。

匿名

匿名性是位置信息与用户身份分离的情况。

假匿名

实现匿名的最简单技术之一是将用户 ID 替换为假名，从而将身份与位置信息分开。，个人是匿名的，但具有持久的身份。，在位置数据的情况下，假名不起作用，因为可以将假名链接到位置信息。这可以被反向地理编码以推断用户的身份（在一段时间内从家庭/工作地点推断出的身份）。

伪装（空间和时间）

匿名化的一项重要技术是隐藏，它可以是空间或时空的。在空间伪装中，用户位置被表示为一个更大的区域，其中包括确切的用户位置。时间隐藏通过延迟查询直到该区域中存在足够的用户来降低时间信息的频率（Gruteser 等人）。，基于匿名的方法不适用于需要身份验证或提供个性化的应用程序（朗海因里希等人）。

混淆

位置混淆被定义为故意降低位置信息的质量（通过不精确、不准确或模糊）以保护个人的位置隐私。位置混淆是对匿名概念的补充。与基于匿名的技术不同，在基于混淆的技术中，身份是匿名的并且用户是“众多中的一员”，用户身份是已知的，并且位置信息的质量会降低（Kulik 等人）。

不精确

不精确是指用户位置信息不精确，因为用户没有提供单个位置，而是提供了一个更大的集合，其中包括用户位置。

不准确

这是在提供给服务提供商的位置信息集中不存在用户位置信息时定义的。用户的真实位置与该集合的距离越大，实现的隐私级别越高。

模糊性

用户对位置信息的描述很模糊，没有定义确切的边界；例如，使用“近-远”、“近”和“步行五分钟内”等短语来描述位置。

位置隐私系统架构

可以应用不同的系统架构来实现使用上述隐私定位方法的隐私保护 LBS。下面讨论为隐私保护 LBS 的不同系统架构获得高质量服务和匿名化的问题。

客户端服务器架构

这是用户直接与服务器通信的集中式架构。存在不准确或错误的基于位置的方法。Kido 等人提出了一种基于假人的方法，其中用户发送 n-1 个假人或位置以及他或她的真实位置信息。服务器返回一个答案集，其中也包含对真实位置的答案。然后，用户从集合中计算出所需的确切答案。洪等提出了一种基于地标的方法，其中基于某些 POI 将空间划分为 Voronoi 单元。用户将他或她最近的地标的位置发送到服务器以获得答案。在这些方法中，通过获取近似解决方案，服务质量很低，或者当服务器为每个查询响应多个位置时，服务器负载非常高。

集中式可信第三方架构 (TTP)

在这个架构中，有一个集中的可信第三方负责实现隐私。可信方，也称为位置匿名者，位于用户和 LBS 提供者之间。用户将他们的确切位置传达给受信任的第三方，然后第三方匿名并将查询发送到查询服务器。响应被发送回位置匿名器，然后将其转发给相应的用户。通常假设用户和匿名者之间的通信通道是安全的，而匿名者和服务提供者之间的通信通道可以是公开的。使用这种基于伪装、k-匿名和混淆的架构设计了许多方法 (Gruteser et al, Gedik et al）。，与任何集中式系统一样，该系统具有将位置匿名器作为单点故障和潜在瓶颈的缺点。，如果第三方本身受到损害，系统隐私为零。

对等架构

点对点(P2P) 是一种去中心化的架构，无需中心化的可信第三方来满足隐私要求。移动用户通过802.11、蓝牙等P2P通信技术直接相互通信，与其他用户协同工作，形成隐蔽的空间区域。查询用户通过单跳或多跳通信发现对等点，以形成满足他或她的k匿名或隐私区域要求的隐蔽区域。P2P架构没有集中式基于TTP架构的缺点。，它还有其他设计和实施挑战。莫克贝尔等人讨论为 LBS 实施 P2P 架构的挑战和研究问题。对等点搜索的挑战包括定义跳跃距离以找到k-1 个对等点和估计对等点的可信度。形成空间隐身区域的挑战包括运动不确定性，因为对等方不断移动，隐身区域需要相应调整。，还存在移动环境的限制，包括电池电量和网络断开。

人们对位置隐私的看法

如前所述，任何基于位置的服务收集位置数据的能力都会引起个人隐私问题。，问题仍然是人们在多大程度上关心位置隐私。尽管早期的研究似乎表明人们不太关心隐私，但最近的研究表明相反。

剑桥大学的研究人员对 74 名计算机科学专业的本科生进行了一项（虚构的）研究，以收集他们的精确位置信息（通过手机），为期一个月。他们发现，为了研究目的，学生们设定了 10 英镑的中位数价格来显示他们的个人位置轨迹。如果数据将用于商业目的，则中位定价翻倍。

在对来自不同背景的 55 人进行小组访谈后，研究人员 发现，这些人并不担心使用位置感知服务的隐私。，他们指出“大多数受访者并没有想到他们可以在使用该服务时被定位。”

研究员 John Krumm 对来自 Microsoft 的 219 人进行了一项 GPS 调查，以提供两周内记录的 GPS 数据，以便有 100 分之一的机会赢得 200 美元的 MP3 播放器。其中 97 人被问及这些数据是否可以在微软之外使用，只有 20% 的人否认了这一点。可能是参与者没有很好地理解共享位置数据的含义。

作为数据隐私日（每年 1 月 28 日举行）的一部分，我们进行了一项调查，以了解人们对位置隐私的担忧以及对使用基于位置的服务的认识。调查报告称，52% 的人对与其他人或组织分享他们的位置表示强烈担忧。绝大多数受访者表示担心在未经同意的情况下分享他们的位置 (84%)、个人信息或身份被盗 (84%) 以及整体隐私丢失 (83%)。

结论

基于位置服务的日益增长的使用要求我们投资于与用户和服务提供商建立信任和透明的生态系统。隐私不必在收集所有数据后成为事后的想法，它需要从系统设计和架构级别本身开始。服务提供商需要明确他们正在收集哪些数据以及他们将使用数据的时间和方式。用户需要在同意的情况下对其数据进行更精细的控制，这也强调和教育如何收集和使用数据。