5.4　RFID安全和隱私

從信息安全和隱私保護的角度講，物聯(lián)網終端（RFID、傳感器、智能信息設備）的廣泛引入在提供更豐富信息的同時也增加了暴露這些信息的危險。本節(jié)將重點討論RFID安全和位置隱私兩大安全隱私問題。

5.4.1　RFID安全和隱私概述

隨著RFID能力的提高和標簽應用的日益普及，安全問題，特別是用戶隱私問題變得日益嚴重。用戶如果帶有不安全的標簽的產品，在用戶沒有感知的情況下，可能被附近的閱讀器讀取，從而泄露個人的敏感信息，例如攜帶的金錢、藥物（與特殊的疾病相關聯(lián)）、書（可能包含個人的特殊喜好）等物品被讀取后泄露個人信息，特別是可能暴露用戶的位置隱私，使得用戶被跟蹤。

因此，在RFID應用時，必須仔細分析所存在的安全威脅，研究和采取適當的安全措施，既需要技術方面的措施，也需要政策、法規(guī)方面的制約。

1.主要安全隱患

基本的RFID系統(tǒng)如圖5.2所示，電子標簽中一般保存有約定格式的電子數據，在實際應用中，電子標簽附著在待識別物體的表面。讀寫器可無接觸地讀取并識別電子標簽中所保存的電子數據，從而達到自動識別物體的目的。通常讀寫器與電腦相連，所讀取的標簽信息被傳送到電腦上進行下一步處理，在以上基本配置之外，還應包括相應的應用軟件。

圖5.2　基本的RFID系統(tǒng)

（1）竊聽

竊聽即信息泄露，如圖5.3所示，在末端設備或RFID標簽使用者不知情的情況下，信息被讀?。ㄐ畔㈦[私泄露）。

（2）追蹤

利用RFID標簽上的固定信息，對RFID標簽攜帶者進行跟蹤（地點隱私泄露）。

（3）欺騙、重放、克隆

欺騙：攻擊者將獲取的標簽數據發(fā)送給閱讀器，以此來騙過閱讀器。

重放：攻擊者竊聽電子標簽的響應信息并將此信息重新傳給合法的讀寫器，以實現對系統(tǒng)的攻擊。

克?。嚎寺∧┒嗽O備，冒名頂替，對系統(tǒng)造成攻擊。

圖5.3　信息竊聽

（4）信息篡改

將竊聽到的信息進行修改之后再將信息傳給原本的接收者。

（5）中間人攻擊

攻擊者偽裝成合法的讀寫器獲得電子標簽的響應信息，并用這一信息偽裝成合法的電子標簽來響應讀寫器。這樣，在下一輪通信前，攻擊者可以獲得合法讀寫器的認證。

案例分析

“扒手”系統(tǒng)

2005年以色列特拉維夫大學的Ziv Kfir和AvishaiWool發(fā)表了一篇如何攻擊電子錢包的論文。在這篇論文中，作者構建了一個簡單的“扒手”系統(tǒng)，這個系統(tǒng)可以神不知鬼不覺地使用受害者的RFID卡片來消費。這個攻擊系統(tǒng)包含兩個RFID設備：“幽靈”和“吸血鬼”，如圖5.4所示?！拔怼笨梢栽诰嚯x受害者50 cm左右，盜取受害者儲值卡的信息?！拔怼睂⒈I取來的信息通過某種方式快速直接地轉交給“幽靈”，“幽靈”進而通過讀卡器盜刷儲值卡中的存款。使用“扒手”系統(tǒng)，“幽靈”和“吸血鬼”之間可以相距很遠。這樣一來，即使受害者和讀卡器相距千里，儲值卡也存在被盜刷的危險。中間人攻擊成本低廉，與使用的安全協(xié)議無關，是RFID系統(tǒng)面臨的重大挑戰(zhàn)之一。

圖5.4　“扒手”系統(tǒng)

（6）物理破解

獲取標簽后，通過逆向工程等技術，將其破解，破解之后可以發(fā)起進一步攻擊，推測此標簽之前發(fā)送的消息內容，推斷其他標簽的秘密。

（7）拒絕服務攻擊（DDoS）

通過不完整的交互請求消耗系統(tǒng)資源，如：產生標簽沖突，影響正常讀??；發(fā)起認證消息，消耗系統(tǒng)計算資源；消耗有限的標簽內部狀態(tài)，使之無法被正常識別等。

（8）RFID病毒

RFID標簽能攜帶病毒嗎？聽起來有點天方夜譚，但這是可能的。RFID標簽本身不能檢測所存儲的數據是否有病毒或者蠕蟲。攻擊者可以事先把病毒代碼寫入到標簽中，然后讓合法的閱讀器讀取其中的數據。這樣，病毒就有可能被注入到系統(tǒng)中。當病毒、蠕蟲或惡意程序入侵數據庫，就有可能迅速傳播并摧毀整個系統(tǒng)及重要資料。

過去認為RFID標簽不容易受到病毒攻擊，主要因為標簽的存儲容量十分有限。但2006年研究人員發(fā)現：病毒可以通過RFID標簽從閱讀器傳播到中間件，進而傳播到后臺數據庫和系統(tǒng)中。即使RFID標簽的存儲容量有限，攻擊者還是可以通過SQL注入或緩沖區(qū)溢出攻擊系統(tǒng)。下面是一個可能的例子：

機場在行李箱上附著一個標簽，標簽中的數據可能記載了目的地機場。攻擊者可能將標簽數據從“SHA”改為“SHA；shutdown”。如果后臺數據庫發(fā)起查詢“select* from destine＿table where destine＝＜tag data＞”，這個查詢命令會變成“select* from destine_ table where destine=＜SHA；shutdown＞”。這就有可能導致數據庫系統(tǒng)關閉，從而造成機場混亂，如圖5.5所示。標簽中可以寫入一定量的代碼，讀取tag時，代碼被注入系統(tǒng)，如SQL注入等。

圖5.5　RFID病毒

（9）其他隱患

電子破壞：攻擊者可以用物理或者電子的方法破壞一個標簽，此后此標簽無法再為用戶提供服務。

屏蔽干擾：攻擊者還有可能通過干擾或者屏蔽來破壞標簽的正常訪問。干擾是使用電子設備來破壞閱讀器的正常訪問。屏蔽是指用機械的方法阻止標簽的讀取。這兩種手段因為可以影響閱讀器對標簽的訪問，也能用來阻止非法閱讀器對標簽的訪問。

標簽拆除：攻擊者可能將物品上附著的標簽拆除。這樣，他可以帶走這個物品而不擔心被閱讀器發(fā)現。閱讀器可能會認為標簽所對應的物品仍然存在，沒有丟失。

案例分析

RFID破解案例

（1）2008年8月，美國麻省理工學院的3名學生宣布成功破解了波士頓地鐵資費卡。而世界各地的公共交通系統(tǒng)都采用幾乎同樣的智能卡技術，這意味著使用他們的破解方法可以“免費搭車游世界”。

（2）國內某職業(yè)技術學院的學生破解了德克士消費卡，可以進行不斷地充值。

（3）破解RFID芯片啟動汽車。

捷克的RadkoSoucek是一個32歲的汽車竊賊。根據調查，他使用一個收訊器與一臺筆記本電腦，在布拉格市內與郊區(qū)偷了數臺名貴的汽車。Soucek并不是個新手，他從11歲時就開始偷車。但直到最近他發(fā)現，使用高科技來偷車是十分容易的事情。

諷刺的是，讓他身陷囹圄的，也是他的筆記本電腦，因為里面存有過去所有他嘗試解碼的證據。在他的硬盤里還有一個成功解碼字串的數據庫，有了這個數據庫，他可以在極短時間內把從未謀面的汽車的鎖解開。

現在新型的免鑰匙發(fā)動系統(tǒng)為人們提供了方便性，只需要按下遙控按鈕便可以發(fā)動。無線遙控跟上述的電子鎖一樣，只有使用正確的芯片才能啟動汽車。然而它不同于傳統(tǒng)的無線遙控，傳統(tǒng)的遙控鎖需要安裝電池，而且有效距離較短，免鑰匙啟動系統(tǒng)是被動的，不需要裝電池。它依賴汽車本身發(fā)送的信號來運作。

因為汽車會持續(xù)對附近發(fā)送信號，收取回應，所以理論上竊賊有可能測試不同的密碼，來看看汽車的回應是什么。

2.主要隱私問題

（1）隱私信息泄露

信息泄露是指暴露標簽發(fā)送的信息，該信息包括標簽用戶或者是識別對象的相關信息。例如，當RFID標簽應用于圖書館管理時，圖書館信息是公開的，讀者的讀書信息可以被任何其他人獲得。當RFID標簽應用于醫(yī)院處方藥物管理時，很可能暴露藥物使用者的病理，隱私侵犯者可以通過掃描服用的藥物推斷出某人的健康狀況，如圖5.6所示，黑客用筆記本電腦竊取信息。當個人信息比如電子檔案、物理特征添加到RFID標簽里時，標簽信息泄露問題便會極大地危害個人隱私。如美國原計劃2005年8月在入境護照上裝備電子標簽的計劃，因為考慮到信息泄露的安全問題而被延遲。

圖5.6　黑客竊取信息

（2）跟蹤

RFID系統(tǒng)后臺服務器提供有數據庫，標簽一般不需包含和傳輸大量的信息。通常情況下，標簽只需要傳輸簡單的標識符，然后，通過這個標識符訪問數據庫獲得目標對象的相關數據和信息。因此，可通過標簽固定的標識符實施跟蹤，即使標簽進行加密后不知道標簽的內容，仍然可以通過固定的加密信息跟蹤標簽。也就是說，人們可以在不同的時間和不同的地點識別標簽，獲取標簽的位置信息。這樣，攻擊者可以通過標簽的位置信息獲取標簽攜帶者的行蹤，比如得出他的工作地點，以及到達和離開工作地點的時間。

雖然利用其他的一些技術，如視頻監(jiān)視、全球移動通信系統(tǒng)（GSM）、藍牙等，也可進行跟蹤。但是，RFID標簽識別裝備相對低廉，特別是RFID進入普通人的日常生活以后，擁有閱讀器的人都可以掃描并跟蹤他人。而且，被動標簽信號不能切斷，尺寸很小極易隱藏，使用壽命長，可自動識別和采集數據，從而使惡意跟蹤更容易。

（3）效率和安全性的矛盾

標簽身份保密增加了標簽檢索的代價，影響了系統(tǒng)的吞吐量?？焖衮炞C標簽需要知道標簽身份，才能找到需要的信息，安全的標簽身份驗證降低了檢索速度。如何平衡安全、隱私和系統(tǒng)可用性，是所有RFID系統(tǒng)都必須考慮的問題。

案例分析

RFID應用失敗的案例

迄今為止，工業(yè)企業(yè)所謂失敗的RFID項目和RFID技術與能否正常工作以及能否帶來預期的投資回報并沒有太多的直接關系。而更多的是，當人們把這項應用技術和顧客隱私權聯(lián)系到一起時，他們就開始抱怨這項技術的失敗。他們認為RFID標簽是“間諜芯片”（Spychip），這些芯片通過RFID侵犯人們的隱私權。

（1）班尼騰（Benetton）

2003年，著名的半導體制造商菲利普宣布其將為著名的服裝制造商班尼騰（Benetton）實施服裝RFID管理。當隱私權保護者組織得到這個消息后，他們發(fā)起了聯(lián)合抵制Benetton的運動。他們甚至還建立了專門的網站（www boycottbenetton com）來進行抵制活動。他們向公眾呼吁“送給Benetton一句話：我們將不會購買具有跟蹤標簽的服裝”。還提出了一個更加露骨的口號：“我們寧愿裸體也不會穿戴采用間諜芯片的服裝?！?/p>

面對如此大的公眾壓力，Benetton最終退卻了，幾個星期后，Benetton宣布，他們取消了對服裝進行單品級RFID管理的應用項目。

（2）麥托集團（Metro）

麥托集團，德國最大的零售商，建立了其未來商店，也就是為測試新技術而建立的實驗性場所。2004年，麥托集團在其會員卡中采用了RFID技術，但是，他們并沒有預先對消費者進行告知。隱私權保護主義者借此大做文章，竭力反對，還積極準備集會抵制。麥托讓步了。就在隱私權保護主義者組織的集會前兩天，麥托的領導層宣布他們不會再在會員卡中使用RFID，而且還會替換已經發(fā)出的RFID會員卡。但是，麥托集團依然在其未來商店進行關于包括RFID在內的新技術的創(chuàng)新性的、具有冒險性的試驗探索。他們已經對其供應商提出了RFID應用要求，供應商必須在包裝級或者托盤級層面上使用RFID為其供貨。

下面簡單總結一下Benetton和麥托兩個失敗的RFID應用項目的經驗教訓：

●對隱私權應有足夠的重視。理解顧客對RFID的警覺性只是這項工作的第一步，還要坦誠面對消費者，或者可以聘請消費者代表組織參與RFID項目的實施。

●采取積極的措施，減輕對隱私權的侵犯。例如，可以采用可以“殺死”的RFID標簽或者采用可以撕下的紙標簽，提醒消費者按照說明撕毀。這些措施都會減少對消費者隱私權的侵犯。

●面對面地為消費者演示已經采取了措施來保護隱私權，可以讓消費者自己進行測試。這樣做的目的是為了向消費者證明系統(tǒng)并沒有侵犯其隱私權。

●給RFID標簽加上一個屏蔽封套。麥托在給消費者發(fā)放RFID會員卡時犯了一個嚴重的錯誤，它沒有給會員卡加上任何屏蔽封套。屏蔽封套可以使得從RFID標簽中非法獲取信息變得幾乎不可能。

Benetton和Metro是前車之鑒，制造商和零售商越來越關注消費者隱私權的問題。他們在實施RFID項目之前，都會預先充分考慮隱私權的保護問題，采取積極措施，減少對隱私權的侵犯，改善通信安全，減少消費者對隱私權的擔心。

5.4.2　RFID安全和隱私保護機制

1.早期物理安全機制

（1）滅活（kill）：殺死標簽，使標簽喪失功能，不能響應攻擊者的掃描。例如，在超市買完物品后，可以殺死消費者所購買商品上的標簽，以保護消費者的隱私。完全殺死標簽可以完美地防止掃描和跟蹤，但是這種方法破壞了RFID標簽的功能，無法讓消費者繼續(xù)享受到以RFID標簽為基礎的物聯(lián)網服務。比如，如果商品賣出去后，標簽上的信息無法再使用，則售后服務以及跟此商品有關的其他服務都無法進行了。另外，如果Kill命令的識別序列號（PIN）一旦泄露，則攻擊者可以使用這個PIN來殺死超市中商品上的標簽，然后把對應的商品偷走而不被察覺。

（2）法拉第網罩：屏蔽電磁波，阻止標簽被掃描。法拉第網罩由金屬網或者金屬箔形成，根據電磁場理論，法拉第網罩可以屏蔽電磁波，這樣無論是外部信號還是內部信號，都無法穿過法拉第網罩。因此，如果把標簽放在法拉第網罩內，則外部的閱讀器查詢信號無法到達標簽，而被動標簽不能獲得查詢信號，也就沒有能量和動機發(fā)送響應。對應主動標簽，它的信號也無法穿過法拉第網罩，因此無法被攻擊者接收到。這樣，把標簽放進法拉第網罩內就可以阻止標簽被掃描，從而阻止攻擊者掃描標簽來獲取隱私信息。比如，當把標簽放到帶有法拉第網罩構造的錢包后，就可以避免攻擊者知道錢包里所裝的物品。

這種方法的缺點是，在使用標簽時又需要把標簽從法拉第網罩中取出，這樣就無法便利地使用標簽；另外，如果要提供廣泛的物聯(lián)網服務，不能把標簽一直屏蔽起來，而更多時候需要讓標簽能夠跟閱讀器自由的通信。

（3）主動干擾：用戶可以主動廣播無線信號來阻止或者破壞對RFID閱讀器的讀取，從而確保消費者隱私。這種方法的缺點是可能會產生非法煩擾，使得附近其他RFID系統(tǒng)無法正常工作；更嚴重的是可能會干擾附近其他無線系統(tǒng)的正常運作。

（4）阻止標簽（block tag）：阻止標簽（block tag）又稱為鎖定者（blocker）。這種標簽可以通過特殊的標簽碰撞算法來阻止非授權的閱讀器讀取那些阻止標簽預訂保護的標簽。在需要的時候，阻止標簽可以防止非法閱讀器掃描和跟蹤標簽，而在需要的時候，則可以取消阻止，使標簽開放可讀。

以上的這些物理安全機制通過犧牲標簽的部分功能來滿足隱私保護的要求。這些方法可以一定程度上保護低成本的標簽，但由于驗證、成本和法律等約束，物理安全機制還存在各種各樣的缺點

2.基于密碼學的安全機制

（1）哈希鎖（hash-lock）

哈希鎖（hash-lock）是一個抵制標簽未授權訪問的隱私增強協(xié)議，2003年由麻省理工學院和Auto-ID Center提出。整個協(xié)議只需要采用單向密碼學哈希函數（one-way cryptographic hash function）實現簡單的訪問控制，因此可以保證較低的標簽成本。在哈希鎖協(xié)議中，標簽不使用真實ID，而是使用一個metaID來代替。每個標簽內部都有一個哈希函數和一個用來存儲臨時metaID的內存。使用哈希鎖機制的標簽有鎖定和非鎖定兩種狀態(tài)，在鎖定狀態(tài)下，標簽用metaID響應所有查詢；在非鎖定狀態(tài)下，標簽向閱讀器提供自己的信息。

小知識

哈希函數可以把任意長的輸入壓縮變換成固定長度的輸出。單向密碼學哈希函數在給定輸入的時候，很容易計算出其結果；而當給定結果的時候，很難計算出輸入。這種函數的輸出可以當作輸入信息的指紋來使用。

哈希鎖協(xié)議如圖5.7所示，其協(xié)議執(zhí)行過程如下：

圖5.7　哈希鎖協(xié)議

①閱讀器向標簽發(fā)送Query認證請求。

②標簽將metaID發(fā)送給閱讀器。

③閱讀器將metaID轉發(fā)給后端數據庫。

④后端數據庫查詢自己的數據庫，如找到與metaID匹配的項，則將該項的（key、ID）發(fā)送給閱讀器。公式為metaID=H（key），否則，返回給閱讀器認證失敗消息。

⑤閱讀器將接受自后端數據庫的部分信息key發(fā)送給標簽。

⑥標簽驗證metaID=H（key）是否成立，如果是，將其ID發(fā)送給標簽閱讀器。

⑦閱讀器比較自標簽接收到的ID是否與后端數據庫發(fā)送過來的ID一致，如果一致，則認證通過。

哈希鎖方案為標簽提供了初步的訪問控制，可以在一定程度上保護標簽數據。但是metaID不會更新，因此每次標簽響應時都使用固定的metaID。攻擊者可以將這個固定的metaID當作對應標簽的一個別名，然后通過這個別名來跟蹤標簽及其攜帶者。而且，由于key是通過明文傳輸，因此很容易被攻擊者偷聽獲取。攻擊者因而可以計算或者記錄（metaID，key，ID）的組合，并在與合法的標簽或者閱讀器的交互中假冒閱讀器或者標簽，實施欺騙。

（2）隨機哈希鎖

隨機哈希鎖（randomized hash lock）是哈希鎖協(xié)議的擴展，在這個協(xié)議中，閱讀器每次訪問標簽得到的輸出信息都不同。在隨機哈希鎖協(xié)議中，標簽需要包含一個單向密碼學哈希函數和一個偽隨機數發(fā)生器；閱讀器也擁有同樣的哈希函數和偽隨機數發(fā)生器；在后臺系統(tǒng)數據庫中存儲所有標簽的ID；閱讀器還與每一個標簽共享一個唯一的密鑰key，這個key將作為密碼學哈希函數的密鑰用于計算。

隨機哈希鎖協(xié)議如圖5.8所示，基于隨機數的詢問應答機制，協(xié)議的執(zhí)行過程如下：

圖5.8　隨機哈希鎖協(xié)議

①閱讀器向標簽發(fā)送Query認證請求。

②標簽生成一個隨機數R，計算H（IDk‖R），其中IDk為標簽的表示。標簽將（R，H （IDk‖R））發(fā)送給閱讀器。

③閱讀器向后端數據庫提出獲得所有標簽標識的請求。

④后端數據庫將自己數據庫中的所有標簽標識發(fā)送給閱讀器。

⑤閱讀器檢查是否有某個IDj，使得H（ID j‖R）=H（IDk‖R）成立。如果有則認證通過，并將IDk發(fā)給標簽，對標簽進行解鎖，認證通過。

在該方案中，標簽每次發(fā)送的應答由兩部分組成，一個隨機數R和一個由這個隨機數作為參數計算的哈希值。由于R是隨機產生的，因此對應的哈希值也是隨機的。這樣，每次標簽的響應都會隨機變化，故而不能對其進行跟蹤。

但這個協(xié)議不能夠防止重放攻擊。這是因為在標簽返回的消息中只含有標簽內的一些信息，而不含有來自閱讀器的信息，也即沒有可以唯一確定本次會話的信息。若攻擊者偷聽一個標簽的響應，然后在閱讀器查詢時回放這個響應，就可以偽裝為這個標簽。另外，每次確認一個標簽身份都需要窮盡整個數據庫中所存的所有ID，并進行哈希運算，整個認證過程耗時較多，因此本方法不具有很強的可擴展性，只能適用于小規(guī)模的應用。

（3）哈希鏈

基于共享秘密的詢問應答協(xié)議，哈希鏈（Hash Chain Scheme）協(xié)議中，標簽和閱讀器共享兩個單向密碼學哈希函數G（·）和H（·），其中G（·）用來計算響應消息，H（·）用來進行更新；它們還共享一個初始的隨機化標識符S。當閱讀器查詢標簽時，標簽返回當前標識符Si的哈希值ai=G（Si），同時標簽更新當前標識符Si至Si 1=G（Si）。哈希鏈協(xié)議如圖5 9所示。

圖5.9　哈希鏈協(xié)議

它的優(yōu)點是提供了“前向安全性”，即在標簽被破解之前的所有標簽信息都是正確有效的。

（4）同步方法

閱讀器可以將標簽的所有可能回復（表示為一系列狀態(tài)）預先計算出來，并存儲到數據庫中。在收到標簽的回復時，閱讀器直接在數據庫中進行查找和匹配，達到快速認證標簽的目的。在這種方法中，閱讀器需要知道標簽的狀態(tài)，即和標簽保持狀態(tài)同步，以保證標簽的回復可以根據其狀態(tài)預先計算和存儲，因此被稱為同步方法。

（5）樹形協(xié)議

樹形協(xié)議（Tree-Based Protocol）是一類重要的RFID認證協(xié)議，在樹形協(xié)議中，標簽含有多個密鑰，標簽中的密鑰被組織在一個樹形結構中，圖5.10是一個有8個標簽的系統(tǒng)，每個標簽存儲log2 8= 3個密鑰，對應于從根節(jié)點到標簽所在的葉節(jié)點的路徑。

其中，標簽T4擁有（k1，1，k2，2，k3，4）作為它的密鑰，閱讀器和標簽共享密碼學哈希函數h（·），并記錄所有標簽的密鑰。

3.其他方法

①物理不可克隆函數（Physical unclonable function，PUF）：利用制造過程中必然引入的隨機性，用物理特性實現函數。具有容易計算，難以特征化的特點。

②掩碼：使用外加設備給閱讀器和標簽之間的通信加入額外保護。

③通過網絡編碼（network coding）原理得到信息。

④可拆卸天線。

⑤帶方向的標簽。

圖5.10　樹形協(xié)議

4.如何面對安全和隱私挑戰(zhàn)

①可用性與安全的統(tǒng)一：無需為所有信息提供安全和隱私保護，信息分級別管理。

②與其他技術結合。

●生物識別：生物識別技術根據人體自身的生理特征來對人的身份進行識別，比較方便易用，私人化程度高，也不容易被竊取。生物識別技術將為RFID的標簽使用提供所有者的授權和確認，從而阻止非授權的訪問，提高系統(tǒng)的安全性和隱私性。

●近場通信（Near Field Communication，NFC）：NFC由RFID及互聯(lián)互通技術整合演變而來，在單一芯片上結合了閱讀器、標簽的功能。NFC手機內置NFC芯片，組成RFID模塊的一部分，既可以當作RFID標簽使用，又可以當作RFID閱讀器使用。

這些方法將RFID閱讀器和標簽的功能與其他一些技術結合起來，可以提供更高的安全性。

③法律法規(guī)：從法律法規(guī)角度增加通過RFID技術損害用戶安全與隱私的代價，并為如何防范做出明確指導。

5.4.3　位置信息與個人隱私

隨著感知定位技術的發(fā)展，人們可以更加快速、精確地獲知自己的位置。基于位置的服務（Location-Based Service，LBS）應運而生。利用用戶的位置信息，服務提供商可以提供一系列便捷的服務。例如在逛街的時候餓了，可以快速地搜索出所在地點附近有哪些餐館，并獲取它們提供的菜單；又比如根據用戶的位置，推薦附近的旅游景點，并附上相關的介紹。這一類服務已經在手機平臺大量應用，只要擁有一臺帶有定位功能的手機，就可以隨時享受到物聯(lián)網給生活帶來的便捷。

然而新科技也同時帶來了新的隱患。隨著位置信息的精度變得越來越高，位置信息的使用變得越來越頻繁，用戶位置隱私受到侵害的隱憂也漸漸浮上水面。

1.位置隱私的定義

位置隱私可以說是用戶自己位置信息的掌控能力。所謂掌控能力，是指用戶能自由決定是否發(fā)布自己的位置信息，將信息發(fā)布給誰，通過何種方式來發(fā)布，以及發(fā)布的位置信息有多詳細。假如這幾點都能做到，那么該用戶的位置信息就是高度隱私的；反過來，倘若有一點未能滿足。例如：

①用戶本不想發(fā)布自己的位置信息，但是自己的位置卻被他人得知了。

②用戶A只想將自己的位置信息告訴用戶B，但這個信息也被用戶C得知了。

③用戶A本只想公開自己在哪個城市，但是卻被他人知道了自己在哪條街道。

在這些情況下，這個用戶的隱私就遭到了侵害。

2.保護位置隱私的重要性

位置隱私的重要性往往被人們低估。對大多數人來說，位置隱私看似遠不及其他的個人隱私重要。位置泄露最直接的危險是可能被不法分子利用，對當事人進行跟蹤，從而造成人身安全的威脅。一條位置信息記錄同時包含了時間、空間以及人物三大要素，其內涵可謂十分豐富。

根據位置信息，有時候可以推知用戶進行的活動。在一個特殊的時候，一個特殊的地點，出現一個特殊的人，這個人做的事情也許就可以推斷出來——而這些事情，當事人往往不希望被他人知曉。譬如在上課時間一個學生出現在公園，顯而易見他曠課了；再如某員工出現在所屬公司競爭對手的大樓里面，那這名員工很可能正在與對方洽談跳槽事宜。除了所從事的活動，用戶的健康狀況、宗教信仰、政治面貌、生活習慣、興趣愛好等個人隱私信息，都可以從位置信息中推斷出來。訪問某?？撇≡\所的人很有可能罹患該種疾病，定期前往清真寺的人很可能是回教徒，常常出現在風景名勝區(qū)的很可能是個旅游愛好者。

由此可見，保護位置隱私，保護的不只是個人的位置信息，還有其他各種各樣的個人隱私信息。隨著位置信息的精度不斷提高，其包含的信息量也越來越大，攻擊者通過截獲位置信息可以竊取的個人隱私也變得越來越多。因此，保護位置隱私也刻不容緩。

圖5.11　位置隱私面臨的威脅

3.位置隱私面臨的威脅

在了解了位置隱私的重要性之后，再來看看位置隱私面臨哪些威脅，如圖5.11所示。

①用戶和服務提供商之間的通信線路遭到了攻擊者的竊聽。當用戶發(fā)送位置信息給服務提供商的時候，就會被攻擊者得知。

②服務提供商對用戶的信息保護不力。服務提供商可能會在自己數據庫中存儲用戶的位置信息，攻擊者通過攻擊服務提供商的數據庫，就可能竊取到用戶的位置信息。

③服務提供商與攻擊者沆瀣一氣，甚至服務提供商就是由攻擊者偽裝而成。在這種情況下，假如用戶將自己的位置信息對服務商全盤托出，那用戶的位置隱私可以說徹底暴露在攻擊者面前了。

5.4.4　保護位置隱私的手段

為了應對與日俱增的針對位置隱私的威脅，人們想出了種種手段來保護位置隱私。這些保護手段，大致來說可以分成4類。

①制度約束：通過法律和規(guī)章制度來規(guī)范物聯(lián)網中對位置信息的使用。

②隱私方針：允許用戶根據自己的需要來制訂相應的位置隱私方針，以此指導移動設備與服務提供商之間的交互。

③身份匿名：將位置信息中的真實身份信息替換為一個匿名的代號，以此來避免攻擊者將位置信息與用戶的真實身份掛鉤。

④數據混淆：對位置信息的數據進行混淆，避免讓攻擊者得知用戶的精確位置。

其中，前兩類手段可以說是“以行政對抗技術”，而后兩種手段可以說是“以技術對抗技術”，它們都有各自的優(yōu)缺點。需要注意的是，天下沒有免費的午餐，為了保護位置隱私，往往需要犧牲服務的質量。如果需要得到完全徹底的隱私保護，只有徹底切斷與外界的通信。換言之，只要設備還連接在網絡中，還在享受著各種服務的便利，就不可能完全保護隱私。隱私的保護，往往是在位置隱私的安全程度和服務質量之間找一個均衡點。

下面將對這4大類的位置隱私保護手段一一解說。

1.制度約束

遵循5條原則：①用戶享有知情權；②用戶享有選擇權；③用戶享有參與權；④數據采集者有確保數據準確性和安全性的義務；⑤強制性，上述條款須有強制力的保證執(zhí)行。

優(yōu)點：一切隱私保護的基礎，有強制力確保實施。

缺點：各國隱私法規(guī)不同，為服務跨區(qū)域運營造成不便；一刀切，難以針對不同的人不同的隱私需求進行定制；只能在隱私被侵害后發(fā)揮作用；立法耗時甚久，難以趕上最新的技術進展。

2.隱私方針

可以為不同的用戶定制針對性隱私保護。分為兩類：

①用戶導向型：由用戶指定一套位置隱私的要求，例如限定信息的用途，指定信息的保存期限，限制數據的重傳等。

②服務提供商導向型：由服務提供商公布自己對于用戶信息的使用方式，由用戶來決定是否將位置信息提供給服務方。

優(yōu)點：可定制性好，用戶可根據自身需要設置不同的隱私級別。

缺點：缺乏強制力保障實施；對采用隱私方針機制的服務商有效，對不采用該機制的服務商無效。

3.身份匿名

“身份匿名”的思想認為“一切服務商皆可疑”；隱藏位置信息中的“身份”；服務商能利用位置信息提供服務，但無法根據位置信息推斷用戶身份。

常用技術是K匿名。K匿名的基本思想是，讓用戶發(fā)布的位置信息和另外k 1個用戶的位置信息變得不可分辨，這樣，即使攻擊者通過某些途徑得知了這k個用戶的真實身份，他也難將k個匿名代號和k個真實身份一一對應起來。為了達到這個效果，需要對位置信息進行一些處理，為此需要引入一個可信的中介。當用戶需要和服務提供商進行通信的時候，用戶將真實精確的位置信息發(fā)送給中介，而中介對信息進行處理之后，再將處理后的信息發(fā)送給服務提供商，并將提供商返回的數據傳遞給用戶。

中介又是如何對數據進行處理的呢？大致有兩種方式：一種是對空間信息進行處理，首先將所有用戶所在的區(qū)域劃分為許多個小塊，每個小塊中至少有k個用戶，然后當用戶要提交位置信息的時候，將信息中的空間位置調包成用戶所在的小塊區(qū)域，這樣任何一個提交的位置信息，都至少有k個處在同一個小塊中的一模一樣的位置信息，讓攻擊者無從分辨。第二種方法是對時間信息進行處理，將用戶的位置信息延遲發(fā)布，直到有k個不同的用戶都到過這一個位置之后，再將這k條信息一起發(fā)布。這兩種方法各有缺點，空間處理會造成位置精度的下降，有時候為了達成k匿名，不得不提交一個巨大的空間范圍，這會造成服務質量的下降；而時間處理則損失了信息的時效性，信息發(fā)布前的等待時間往往過長，用戶因此無法得到及時的服務。實際中，這兩種方法往往結合使用，在空間精度和時效性之間找到一個平衡。

圖5.12　3-匿名

身份匿名的隱私保護策略有兩個主要缺陷：其一，由于掩蓋了真實身份，一部分依賴于用戶身份的服務將無法正常進行，譬如在員工到達辦公地點后自動進行簽到的服務，如果不知道位置信息的真實身份，自然就無法正常運作。其二，要實現身份匿名，往往需要借助一個中介來統(tǒng)合不同用戶的位置信息，從而造成用戶的身份變得不可分辨，而中介的引入勢必帶來不菲的額外開銷。

例如：3-匿名，如圖5.12所示。

圓圈：3個用戶精確位置。

灰色方塊：向服務商匯報的位置信息。

4.數據混淆

“即使攻擊者知道我是誰，也不知道我正在做什么?！睘榱诉_到這個目的，需要對位置信息進行混淆。

數據混淆主要有3種方法：①模糊范圍是降低位置信息的精度，擴大其位置范圍，不采用精確的坐標，如圖5.13中的03、05所示。例如，假設用戶此時正在北京的人民英雄紀念碑前游覽，模糊范圍是用“我在天安門廣場”作為發(fā)布的位置信息。②聲東擊西則是指用附近的一個隨機地點來代替真實的位置，例如，假設用戶此時正在北京的人民英雄紀念碑前游覽，用“我在人民大會堂”作為發(fā)布的位置。③含糊其詞則是在發(fā)布的位置中引入一些模糊的語義詞匯，例如，假設用戶此時正在北京的人民英雄紀念碑前游覽，用“我在毛主席紀念堂附近”作為發(fā)布的位置信息。

圖5.13　數據混淆

與身份匿名相比，數據混淆的優(yōu)勢在于支持各種依賴用戶真實身份、需要認證的服務，同時不需要中介，可以進行輕量化、分布式的部署。

優(yōu)點：服務質量損失相對較小；不需中間層，可定制性好；支持需要身份信息的服務。

缺點：運行效率低；支持的服務有限。

技能練習

搜索查看并分析校園卡的安全隱患。