檀毅，张春，王东炬

（中国移动通信集团辽宁有限公司，沈阳 110179）

位置服务信息安全防护

檀毅，张春，王东炬

（中国移动通信集团辽宁有限公司，沈阳 110179）

随着无线通信技术和智能移动终端的快速发展，基于位置的服务（LBS）在军事、交通、物流等诸多领域得到了广泛应用，它能够根据移动对象的位置信息提供个性化服务。在人们享受各种位置服务的同时，移动对象个人信息泄露的隐私威胁也渐渐成为一个严重的问题。为移动用户提供位置服务的同时，保护移动用户的位置隐私也至关重要。本文就位置业务隐私保护技术和位置业务隐私管控手段进行了探讨。

位置隐私； 位置服务； 手机定位； 信息安全

近年来，基于位置服务（LBS）逐渐走入人们的生活，以智能化的互动方式给人们的生活带来了极大便利，使人们对其需求出现了大量增长。为了获得基于位置服务，移动用户需要向位置服务提供商发送包含他们精确位置信息的查询请求。

通常情况下，用户的位置信息很容易被攻击者窃取。在窃取到移动用户的位置信息之后，攻击者可能会通过位置追踪进而得知用户更多的隐私信息，例如移动用户的生活方式、健康状况、政治背景等。

1 位置隐私保护面临的挑战

位置类业务是指与用户位置相关，通过调用中国移动的基站、GPS卫星（或北斗）、Wi-Fi热点地址等方式获得用户的位置信息，并基于此信息向个人用户或者集团客户等提供服务的数据及信息业务。

在移动环境中，由于位置信息的特殊性及移动用户对业务高质量的用户体验与高信息安全性的需求，位置隐私保护技术面临的主要挑战为：

第一，位置隐私需求个性化。隐私保护的程度问题并不是一个技术问题，而属于个人事件。不同的用户具有不同的隐私需求，即使相同的用户在不同的时间和地点隐私需求也不同。所以，技术不能迫使社会大众共同接受一个最小的隐私标准。

第二，保护位置隐私与高用户体验是一对矛盾。移动环境下用户使用位置业务时，往往需要用户确认使用自己的当前位置信息，而且每次定位后用户还会收到定位后通知短信，隐私度越高，用户体验却越低，位置隐私和用户体验之间的平衡是一个难处理却又必须考虑的问题。

2 位置隐私保护技术及管控手段

为了保护用户位置隐私，通过对位置业务技术实现、业务流程、使用方式等多方面的研究，可采用如下技术和管控手段对用户位置隐私进行保护：

针对不同类型的业务形式可采用相应不同的位置隐私保护技术：针对WAP方式使用的位置业务可采用WAP重定向技术；针对客户端方式使用的位置业务可采用客户端定位插件技术。

采用如下位置隐私保护管控手段作为技术补充可更好的保障位置隐私：订购关系鉴权；订购确认短信；网元主叫验证；黑白名单鉴权；定位前询问短信；定位后通知短信；定位授权协议；法律授权证明。

3 WAP位置业务隐私保护技术

WAP位置业务是面向移动终端浏览器用户提供的定位服务。当移动终端浏览器用户需要获得位置信息时，点击位置服务平台提供的链接地址后，定位请求将通过WAP网关发送给位置服务平台，平台将利用WAP网关可以透传手机号码的特点，获取定位用户手机号码进行定位。

当定位成功后，位置服务平台将定位结果信息和重定向URL推送给终端，而后由终端HTTP层自动向该重定向URL（即业务系统）发起重定向请求（该请求中包括定位结果信息），业务系统根据请求中的经纬度完成业务逻辑，并将结果推送给终端进行展示。

本定位服务只向移动终端浏览器用户提供自定位功能，不包括对他人进行定位。下面将就WAP定位方式对于用户隐私的安全性进行论证。

3.1 WAP位置业务定位流程

WAP位置业务的基本定位原理是在移动终端浏览器用户通过CMWAP接入移动网络的前提下，向用户提供位置服务。

第1步，用户通过手机(手机必须采用CMWAP接入点)访问业务页面。

第2～4步，业务系统将用户需要的WAP页返回给用户手机（因业务系统的连接在WAP网关上无白名单，所以业务系统无法获得用户手机）。

图1 WAP位置业务定位流程示意图

第5～6步，用户点击WAP页上的”定位”连接（业务系统会在连接上增加一些如用户ID、调用能力标识等参数），连接通过WAP网关将请求转给定位平台。

第7步，定位平台根据WAP网关白名单提供的手机号码，进行CELL-ID定位，获得用户的经纬度。

第8步，定位平台将用户的经纬度转发给业务系统，此时业务系统仅获得经纬度和用户ID，并不知道用户的手机号码。

第9步，业务通过经纬度完成业务逻辑，如以经纬度查询周围的商家。

第10～12步，应答页面的地址由业务系统开始，逐步通过各网元返回给最终用户。

3.2 WAP定位安全性论证

根据WAP定位业务流程分析，该种接入方式实际包括两个过程：第一个过程是用户发起定位流程；第二个过程是终端HTTP层自动向业务平台发起重定向业务流程。

3.2.1 用户发起流程安全性

手机浏览器用户的定位请求通过WAP网关发送到位置服务平台，位置服务平台通过WAP网关提供的用户手机号码信息获取定位用户的身份进行定位。

由于WAP网关是移动用于计费的手段，所以由WAP网关向位置服务平台提供定位手机号码是非常安全的，这种方式既保证了用户身份的真实可靠性，也保证了该定位请求一定是用户的自定位。

同时，定位结果信息直接返回给终端，而应答信息中并未包括手机号码信息，所以任何人无法通过网络抓分组或者在手机终端通过第三方软件获取到用户的手机号码，只能截获到定位结果，而由于定位结果无法跟踪到用户（手机号码），所以最终不会在该环节泄露用户的位置隐私信息。

以上，WAP定位方式中定位流程的安全性是完全可以保证的。

3.2.2 重定向流程安全性

手机用户在获得位置服务平台的位置信息后，向业务系统发起重定向请求，业务系统对于请求进行处理后，将定位结果以页面的形式展示给终端用户。

在此过程中，对于非WAP网关白名单的业务系统，在任何环节，包括网络抓分组、终端第三方软件获取、业务系统，都不能获取定位用户的手机号码信息，只能截获到定位结果，而定位结果无法跟踪到用户（手机号码）。所以，对于非WAP白名单的业务系统，重定向流程不会泄露用户的位置隐私信息。

综上所述，在重定向流程中WAP定位方式是完全可以避免用户位置信息的泄露。

图2 客户端位置业务定位流程示意图

4 客户端位置业务隐私保护技术

客户端定位服务即通过定位插件获取位置信息的服务，其是面向移动终端应用软件用户提供的定位服务。

当终端应用软件通过定位插件调用定位能力时，定位插件将终端的基站、Wi-Fi等信息上报给位置服务平台，平台根据定位数据库即可快速获取该终端的当前位置信息，并通过定位插件将位置信息返回给终端应用软件，以向用户展示定位结果；对于定位数据缺失的情况，平台将向LSP请求定位结果返回给定位插件。

本定位服务只向移动终端应用软件用户提供自定位服务，不包括对他人进行定位。下面将就客户端定位方式对于用户隐私的安全性进行论证。

4.1 客户端定位业务流程

客户端定位服务是通过定位插件调用终端侧定位能力进行定位的。具体流程如图2所示。

第1步，用户通过手机客户端应用使用定位功能（客户端接入点无要求）。

第2～3步，客户端应用向插件请求用户位置，插件会首先验证客户端应用是否有权定位，并通过操作系统获得用户所在小区号。并通过插件中安全组件加密将请求转给定位平台。

第4～5步，定位平台根据插件上报的小区号码、场强等信息进行Cell-ID定位，获得用户的经纬度。

第6～7步，定位平台将用户的经纬度返回给手机插件。

第8步，手机插件将经纬度返回给客户端应用，此时客户端应用仅获得经纬度，并不知道用户的手机号码。

第9～11步，客户端应用通过与业务系统连接，完成使用经纬度的业务逻辑，如以经纬度查询周围的商家。

第12步，完成后的业务处理由客户端应用展现给最终用户。

4.2 客户端定位安全性论证

根据客户端定位业务流程分析，该接入方式包括定位插件的调用过程和数据传输过程。下面将从以上两个过程阐述客户端定位的安全性。

4.2.1 定位插件调用过程的安全性

终端应用软件通过定位插件进行定位之前，定位插件将弹出免责提示框，待得到终端用户的许可后启动定位服务。该种业务功能的设计避免了应用软件在终端用户不知情的情况下调用定位服务，保证了定位插件调用的合法化。

并且调用定位插件进行定位时获取的是当前终端的基站、Wi-Fi信息，完全可以保证该定位请求一定是用户的自定位。

另一方面，系统将针对每个终端应用软件的特征值计算唯一的数字摘要信息并存储在平台侧，当定位插件每次发送定位请求前，将动态计算数字摘要，并随定位请求一同发送至位置服务平台进行软件版本的鉴权，该种手段有效的防止了非法终端应用软件调用位置服务以及对合法终端应用软件进行篡改的行为。

以上，客户端定位方式中定位插件的调用过程的安全性是完全可以保证的。

4.2.2 数据传输过程的安全性

客户端定位服务的原理是通过定位插件向位置服务平台上报基站、Wi-Fi数据进行定位的，在这个完成的业务流程中，所有的数据传输过程并不包括能够泄露用户真实身份的敏感信息（手机号码），而任何人无法通过网络抓分组或者在手机终端通过第三方软件、业务系统获取到用户的手机号码，只能截获到定位结果，而由于定位结果无法跟踪到用户（手机号码），所以最终不会在该环节泄露用户的位置隐私信息。

综上所述，在客户端定位方式的数据传输过程中是完全可以避免用户位置信息的泄露。

5 位置业务隐私保护管控手段

（1）订购关系鉴权：指位置服务平台对用户使用位置业务的合法性和有效性（状态是否为激活）进行检查。

（2） 订购确认短信：指当订购关系同步至位置服务平台时，位置服务平台向业务用户下发使其了解所订购业务并要求通过回复确认订购事实的短信。

（3） 网元主叫验证：指通过语音主叫验证、短信主叫验证等手段对业务请求进行合法性和有效性（状态是否为激活）的检查。由于该方式对业务开展方式有要求，所以仅应用于短信、话音类位置业务。话音主叫验证：当位置服务平台获得请求后通过接口向业务话音接入网元询问请求合法性，用以验证用户是否通过拨打过话音呼叫请求。短信主叫验证：当位置服务平台获得请求后通过接口向业务短信能力提供网元询问请求合法性，用以验证用户是否通过短信通道发起过定位请求。

（4） 黑白名单鉴权：指定位过程中被定位用户对定位发起用户可设置的“允许（白）”、“拒绝（黑）”、“询问（灰）”3种隐私状态。白名单策略：无需向被定位用户询问即同意定位；黑名单策略：无需向被定位用户询问即拒绝定位；灰名单策略：需要向被定位用户询问，并根据询问结果判断是否可以定位。业务用户的黑白名单必须通过用户确认后由位置服务平台产生，且用户黑白名单变更时须重新向被定位用户进行确认，确认生效后方可对其进行定位。业务系统不得以任何方式保存业务用户黑白名单及其它隐私状态，以防止其模拟伪造用户定位。

（5） 定位前询问短信：指当隐私策略设置为“询问”状态时向被定位用户下发的，需要被定位用户每次授权对其进行定位的询问短信。

（6） 定位后通知短信：在定位成功后，向被定位用户下发的使其了解自身已被定位事实的通知短信，该短信下发的频次可根据不同业务分为每次、每天、每周。集团业务最长周期为每周，个人类业务定位他人功能必须为每次。

（7） 定位授权协议：集团类位置业务由业务提供方、集团客户、集团客户下属的自有员工签署的定位授权许可和隐私保护协议；家庭类位置业务由中国移动、定位发起方、被定位方签署的定位授权许可和隐私保护协议，协议有效期不得少于1年。

（8） 法律授权证明：带有公安局、司法局等国家安全、法律单位盖章，并证明其开展的业务属于法律授权类位置业务的说明材料。

Study of information security for location based services

TAN Yi, ZHANG Chun, WANG Dong-ju
(China Mobile Group Liaoning Co., Ltd., Shenyang 110179, China)

With the rapid development of wireless communication technology and mobile intelligent terminal, LBS is widely applied in many fields, such as military, transport and logistics. According to the location information of moving object, LBS can provides personalized service. The disclosure of moving object location information is becoming to be a serious problem when we enjoying LBS. It is vitally important to protect location privacy of mobile subscriber when we provide location based services. This article discusses the protection technology of mobile subscriber location privacy and the protection management means of mobile subscriber location privacy.

location privacy; location based services; mobile phone positioning; information security

TN918

A

1008-5599（2013）02-0038-05

2012-11-20