《物聯(lián)網(wǎng)信息安全》(第4章).ppt

第四章隱私安全 桂小林2014 9 17 2 4 1隱私定義4 2隱私度量4 3隱私威脅4 4數(shù)據(jù)庫(kù)隱私4 5位置隱私4 6外包數(shù)據(jù)隱私4 7本章小結(jié) 本章內(nèi)容 3 第四章隱私安全 基本要求熟悉隱私的概念和度量了解隱私的威脅模型和隱私保護(hù)方法熟悉數(shù)據(jù)隱私 位置隱私 外包數(shù)據(jù)隱私的概念 威脅模型和保護(hù)技術(shù)根據(jù)本章文獻(xiàn) 參閱一篇感興趣的文獻(xiàn)并總結(jié) 4 第四章隱私安全 隱私對(duì)個(gè)人發(fā)展及建立社會(huì)成員之間的信任都是絕對(duì)重要和必不可少的 它對(duì)個(gè)人而言是非常重要的 且被社會(huì)所尊重 已被國(guó)際公認(rèn)是個(gè)人的自然權(quán)力 然而 隨著智能手機(jī) 無(wú)線(xiàn)傳感網(wǎng)絡(luò) RFID等信息采集終端在物聯(lián)網(wǎng)中的廣泛應(yīng)用 物聯(lián)網(wǎng)中將承載大量涉及人們?nèi)粘Ｉ畹碾[私信息 如位置信息 敏感數(shù)據(jù)等 隱私保護(hù)問(wèn)題也顯得越來(lái)越重要 如不能很好地解決隱私保護(hù)問(wèn)題 人們對(duì)隱私泄露的擔(dān)憂(yōu)勢(shì)必成為物聯(lián)網(wǎng)推行過(guò)程的最大障礙之一 本章將介紹隱私的概念 度量 威脅 重點(diǎn)介紹數(shù)據(jù)庫(kù)隱私 位置隱私和數(shù)據(jù)隱私等的相關(guān)內(nèi)容 5 4 1隱私的定義 什么是隱私 據(jù)文獻(xiàn)記載 隱私的詞義來(lái)源于西方 一般認(rèn)為最早關(guān)注隱私權(quán)的文章是美國(guó)人沃論 SamuelD Warren 和布蘭戴斯 LouisD Brandeis 發(fā)表的 隱私權(quán) TheRighttoPrivacy 2002年全國(guó)人大起草 民法典草案 對(duì)隱私權(quán)保護(hù)的隱私做了規(guī)定 包括私人信息 私人活動(dòng) 私人空間和私人的生活安寧等四個(gè)方面 王利明教授在 隱私權(quán)的新發(fā)展 中指出 隱私是凡個(gè)人不愿意對(duì)外公開(kāi)的 且隱匿信息不違反法律和社會(huì)公共利益的私人生活秘密 都構(gòu)成受法律保護(hù)的隱私 6 4 1隱私的定義 什么是隱私 狹義的隱私是指以自然人為主體而不包括商業(yè)秘密在內(nèi)的個(gè)人秘密 廣義隱私的主體是自然人與法人 客體包括商業(yè)秘密 簡(jiǎn)單來(lái)說(shuō) 隱私就是個(gè)人 機(jī)構(gòu)或組織等實(shí)體不愿意被外部世界知曉的信息 在具體應(yīng)用中 隱私為數(shù)據(jù)擁有者不愿意被披露的敏感信息 包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性 如個(gè)人的興趣愛(ài)好 身體狀況 宗教信仰 公司的財(cái)務(wù)信息等 7 4 1隱私的定義 隱私分類(lèi)個(gè)人隱私 Individualprivacy 一般是指數(shù)據(jù)擁有者不愿意披露的敏感信息 如個(gè)人的興趣愛(ài)好 健康狀況 收入水平 宗教信仰和政治傾向等 在個(gè)人隱私的概念中主要涉及4個(gè)范疇 信息隱私 收集和處理個(gè)人數(shù)據(jù)的方法和規(guī)則 如個(gè)人信用信息 醫(yī)療和檔案信息 信息隱私也被認(rèn)為數(shù)據(jù)隱私 人身隱私 對(duì)涉及侵犯?jìng)€(gè)人物理狀況相關(guān)信息 如基因測(cè)試等 通信隱私 郵件 電話(huà) 電子郵件以及其它形式的個(gè)人通信的信息 空間信息 對(duì)干涉自有地理空間的制約 包括辦公場(chǎng)所 公共場(chǎng)所 如搜查 跟蹤 身份檢查等 8 4 1隱私的定義 隱私分類(lèi)共同隱私 Corporateprivacy 共同隱私不僅包含個(gè)人隱私 還包含所有個(gè)人共同表現(xiàn)出來(lái)但不愿被暴露的信息 如公司員工的平均薪資 薪資分布等信息 什么是隱私權(quán) 隱私權(quán) 個(gè)人信息的自我決定權(quán) 包含個(gè)人信息 身體 財(cái)產(chǎn)或者自我決定等 物聯(lián)網(wǎng)與隱私不當(dāng)使用會(huì)侵害隱私恰當(dāng)?shù)募夹g(shù)可以保護(hù)隱私 4 1隱私的定義 10 4 2隱私度量 4 2 1隱私度量的概念隱私度量是指用來(lái)評(píng)估個(gè)人的隱私水平及隱私保護(hù)技術(shù)應(yīng)用于實(shí)際生活中能達(dá)到的效果 同時(shí)也為了測(cè)量 隱私 這個(gè)概念 本書(shū)主要從數(shù)據(jù)庫(kù)隱私 位置隱私 數(shù)據(jù)隱私三個(gè)方面介紹隱私度量方法及標(biāo)準(zhǔn) 11 4 2隱私度量 4 2 2隱私度量標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)隱私度量標(biāo)準(zhǔn)隱私保護(hù)度 通常通過(guò)發(fā)布數(shù)據(jù)的披露風(fēng)險(xiǎn)來(lái)反映 披露風(fēng)險(xiǎn)越小 隱私保護(hù)度越高 數(shù)據(jù)的可用性 對(duì)發(fā)布數(shù)據(jù)質(zhì)量的度量 它反映通過(guò)隱私保護(hù)技術(shù)處理后數(shù)據(jù)的信息丟失 數(shù)據(jù)缺損越高 信息丟失越多 數(shù)據(jù)利用率越低 12 4 2隱私度量 4 2 2隱私度量標(biāo)準(zhǔn)位置隱私度量標(biāo)準(zhǔn)隱私保護(hù)度 通常通過(guò)位置隱私的披露風(fēng)險(xiǎn)來(lái)反映 披露風(fēng)險(xiǎn)越小 隱私保護(hù)度越高 服務(wù)質(zhì)量 用于衡量隱私算法的優(yōu)劣 在相同的隱私保護(hù)度下 服務(wù)質(zhì)量越高說(shuō)明隱私保護(hù)算法越好 一般情況下 服務(wù)質(zhì)量由查詢(xún)響應(yīng)時(shí)間 計(jì)算和通信開(kāi)銷(xiāo) 查詢(xún)結(jié)果的精確性等來(lái)衡量 13 4 2隱私度量 4 2 2隱私度量標(biāo)準(zhǔn)數(shù)據(jù)隱私度量標(biāo)準(zhǔn)機(jī)密性 數(shù)據(jù)必須按照數(shù)據(jù)擁有者的要求保證一定的秘密性 不會(huì)被非授權(quán)的第三方非法獲知 完整性 完整性是指信息安全 精確與有效 不因?yàn)槿藶榈囊蛩囟淖冃畔⒃械膬?nèi)容 形式和流向 即不能被未授權(quán)的第三方修改 可用性 保證數(shù)據(jù)資源能夠提供既定的功能 無(wú)論何時(shí)何地 只要需要即可使用 而不因系統(tǒng)故障和誤操作等使資源丟失或妨礙對(duì)資源的使用 14 4 3隱私威脅 4 3 1隱私威脅模型用戶(hù)在網(wǎng)絡(luò)中使用數(shù)據(jù)庫(kù) 位置服務(wù) 數(shù)據(jù)等資源時(shí) 會(huì)在網(wǎng)絡(luò)中留下大量的個(gè)人信息 而網(wǎng)絡(luò)實(shí)體 服務(wù)提供商以及網(wǎng)絡(luò)偵聽(tīng)者等都可能是不可信 它們會(huì)通過(guò)這些個(gè)人遺留在網(wǎng)絡(luò)中的信息 推理用戶(hù)的個(gè)人敏感信息 對(duì)用戶(hù)的隱私構(gòu)成嚴(yán)重的威脅 為了保護(hù)個(gè)人隱私 需要保護(hù)用戶(hù)的私人數(shù)據(jù)不被泄露給不可信的第三方 15 4 3隱私威脅 4 3 2隱私保護(hù)技術(shù)數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的技術(shù) 使敏感數(shù)據(jù)失真但同時(shí)保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變的方法 如采用添加噪聲 交換等技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行擾動(dòng)處理 但要求保證處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計(jì)方面的性質(zhì) 以便進(jìn)行數(shù)據(jù)挖據(jù)等操作 基于數(shù)據(jù)加密的技術(shù) 采用加密技術(shù)在數(shù)據(jù)挖掘過(guò)程中隱藏敏感數(shù)據(jù)的方法 多用于分布式應(yīng)用環(huán)境 如安全多方計(jì)算 16 4 3隱私威脅 4 3 2隱私保護(hù)技術(shù)位置隱私保護(hù)技術(shù)基于隱私保護(hù)策略的技術(shù) 通過(guò)制定一些常用的隱私管理規(guī)則和可信任的隱私協(xié)定來(lái)約束服務(wù)提供商能公平 安全的使用個(gè)人位置信息 基于匿名和混淆技術(shù)的技術(shù) 利用匿名和混淆技術(shù)分隔用戶(hù)身份標(biāo)識(shí)和其所在的位置信息 降低用戶(hù)位置信息的精度以達(dá)到隱私保護(hù)的目的 基于空間加密的方法 通過(guò)對(duì)位置加密達(dá)到匿名的效果 17 4 3隱私威脅 4 3 2隱私保護(hù)技術(shù)數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的技術(shù) 使敏感數(shù)據(jù)失真但同時(shí)保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變的方法 如采用添加噪聲 交換等技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行擾動(dòng)處理 但要求保證處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計(jì)方面的性質(zhì) 以便進(jìn)行數(shù)據(jù)挖據(jù)等操作 基于數(shù)據(jù)加密的技術(shù) 采用加密技術(shù)在數(shù)據(jù)挖掘過(guò)程中隱藏敏感數(shù)據(jù)的方法 多用于分布式應(yīng)用環(huán)境 如安全多方計(jì)算 18 4 3隱私威脅 4 3 2隱私保護(hù)技術(shù)數(shù)據(jù)隱私保護(hù)技術(shù)支持計(jì)算的加密技術(shù) 是一類(lèi)能滿(mǎn)足支持隱私保護(hù)的計(jì)算模式 如算數(shù)運(yùn)算 字符運(yùn)算等 的要求 通過(guò)加密手段保證數(shù)據(jù)的機(jī)密性 同時(shí)密文能支持某些計(jì)算功能的加密方案的統(tǒng)稱(chēng) 支持檢索的加密技術(shù) 指數(shù)據(jù)在加密狀態(tài)下可以對(duì)數(shù)據(jù)進(jìn)行精確檢索和模糊檢索 從而保護(hù)數(shù)據(jù)隱私的技術(shù) 19 4 4數(shù)據(jù)庫(kù)隱私 4 4 1基本概念和威脅模型隱私保護(hù)技術(shù)集中在數(shù)據(jù)挖掘和數(shù)據(jù)發(fā)布兩個(gè)領(lǐng)域數(shù)據(jù)挖掘中的隱私保護(hù) 是如何在保護(hù)用戶(hù)隱私的前提下 能進(jìn)行有效的數(shù)據(jù)挖掘 數(shù)據(jù)發(fā)布中的隱私保護(hù) 是如何在保護(hù)用戶(hù)隱私的前提下 發(fā)布用戶(hù)的數(shù)據(jù)以供第三方有效的研究和使用 20 4 4數(shù)據(jù)庫(kù)隱私 4 4 1基本概念和威脅模型隱私保護(hù)技術(shù)集中在數(shù)據(jù)挖掘和數(shù)據(jù)發(fā)布兩個(gè)領(lǐng)域數(shù)據(jù)挖掘中的隱私保護(hù) 是如何在保護(hù)用戶(hù)隱私的前提下 能進(jìn)行有效的數(shù)據(jù)挖掘 數(shù)據(jù)發(fā)布中的隱私保護(hù) 是如何在保護(hù)用戶(hù)隱私的前提下 發(fā)布用戶(hù)的數(shù)據(jù)以供第三方有效的研究和使用 21 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的隱私保護(hù)技術(shù)通過(guò)擾動(dòng)原始數(shù)據(jù)來(lái)實(shí)現(xiàn)隱私保護(hù) 擾動(dòng)后的數(shù)據(jù)滿(mǎn)足 攻擊者不能發(fā)現(xiàn)真實(shí)的原始數(shù)據(jù) 經(jīng)過(guò)失真處理后的數(shù)據(jù)要能夠保持某些性質(zhì)不變 22 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的隱私保護(hù)技術(shù)隨機(jī)化 數(shù)據(jù)隨機(jī)化就是在原始數(shù)據(jù)中加入隨機(jī)噪聲 然后發(fā)布擾動(dòng)后的數(shù)據(jù) 隨機(jī)擾動(dòng)隨機(jī)應(yīng)答 3 2 a 隨機(jī)擾動(dòng)過(guò)程 3 2 b 重構(gòu)過(guò)程 23 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的隱私保護(hù)技術(shù)阻塞與凝聚 將原始數(shù)據(jù)記錄分成組 每一組內(nèi)存儲(chǔ)由k條記錄產(chǎn)生的統(tǒng)計(jì)信息 包括每個(gè)屬性的均值 協(xié)方差等 24 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)安全多方計(jì)算 安全多方計(jì)算協(xié)議是密碼學(xué)中非?；钴S的一個(gè)學(xué)術(shù)領(lǐng)域 有很強(qiáng)的理論和實(shí)際意義 它可以被描述為一個(gè)計(jì)算過(guò)程 兩個(gè)或多個(gè)協(xié)議參與者基于秘密輸入來(lái)計(jì)算一個(gè)函數(shù) 安全多方計(jì)算假定參與者愿意共享一些數(shù)據(jù)用于計(jì)算 但是 每個(gè)參與者都不希望自己的輸入被其他參與者或任何三方所知 25 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)安全多方計(jì)算 一般來(lái)說(shuō) 安全多方計(jì)算可以看成是在具有n個(gè)參與者的分布式網(wǎng)絡(luò)中私密輸入x1 x2 xn上的計(jì)算函數(shù)f x1 x2 xn 其中參與者i僅知道自己的輸入xi和輸出f x1 x2 xn 再?zèng)]有任何其它多余信息 如果假設(shè)有可信第三方存在 這個(gè)問(wèn)題的解決十分容易 參與者只需要將自己的輸入通過(guò)秘密通道傳送給可信第三方 由可信第三方計(jì)算這個(gè)函數(shù) 然后將結(jié)果廣播給每一個(gè)參與者即可 但是在現(xiàn)實(shí)中很難找到一個(gè)讓所有參與者都信任的的可信第三方 26 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)分布式匿名化 匿名化就是隱藏?cái)?shù)據(jù)或數(shù)據(jù)來(lái)源 因?yàn)榇蠖鄶?shù)應(yīng)用都需要對(duì)原始數(shù)據(jù)進(jìn)行匿名處理以保證敏感信息的安全 并在此基礎(chǔ)上進(jìn)行挖掘 發(fā)布等操作 表4 1分布式k 匿名算法 27 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)分布式關(guān)聯(lián)規(guī)則挖掘 在分布式環(huán)境下 關(guān)聯(lián)規(guī)則挖掘的關(guān)鍵是計(jì)算項(xiàng)集的全局計(jì)數(shù) 加密技術(shù)能保證在計(jì)算項(xiàng)集計(jì)數(shù)的同時(shí) 不會(huì)泄露隱私信息 分布式聚類(lèi) 基于隱私保護(hù)的分布式聚類(lèi)的關(guān)鍵是安全的計(jì)算數(shù)據(jù)間距離 有Na ve聚類(lèi)模型兩種模式和多次聚類(lèi)模型 兩種模型都利用了加密技術(shù)實(shí)現(xiàn)信息的安全傳輸 28 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于限制發(fā)布隱私保護(hù)技術(shù)限制發(fā)布是指有選擇的發(fā)布原始數(shù)據(jù) 不發(fā)布或者發(fā)布精度較低的敏感數(shù)據(jù)以實(shí)現(xiàn)隱私保護(hù) 當(dāng)前基于限制發(fā)布隱私保護(hù)方法主要采用數(shù)據(jù)匿名化技術(shù) 即在隱私披露風(fēng)險(xiǎn)和數(shù)據(jù)精度之間進(jìn)行折中 有選擇地發(fā)布敏感數(shù)據(jù)及可能披露敏感數(shù)據(jù)的信息 但保證敏感數(shù)據(jù)及隱私的披露風(fēng)險(xiǎn)在可容忍的范圍內(nèi) 29 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于限制發(fā)布隱私保護(hù)技術(shù)數(shù)據(jù)匿名化的基本操作 抑制 抑制某數(shù)據(jù)項(xiàng) 泛化 即對(duì)數(shù)據(jù)進(jìn)行更抽象和概括的描述 如把年齡30歲泛化成區(qū)間 20 40 的形式 因?yàn)?0歲在區(qū)間 20 40 內(nèi) 數(shù)據(jù)匿名化的原則 數(shù)據(jù)匿名化處理的原始數(shù)據(jù)一般為數(shù)據(jù)表形式 表中每一行是一個(gè)記錄 對(duì)應(yīng)一個(gè)人 每條記錄包含多個(gè)屬性 數(shù)據(jù)項(xiàng) 這些屬性可分為3類(lèi) 30 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)匿名化記錄屬性顯示標(biāo)識(shí)符 explicitidentifier 能唯一表示單一個(gè)體的屬性 如身份證 姓名等 準(zhǔn)標(biāo)識(shí)符 quasi identifiers 幾個(gè)屬性聯(lián)合起來(lái)可以唯一標(biāo)識(shí)一個(gè)人 如郵編 性別 出生年月等聯(lián)合起來(lái)可能是一個(gè)準(zhǔn)標(biāo)識(shí)符 敏感屬性 sensitiveattribute 包含用戶(hù)隱私數(shù)據(jù)的屬性 如疾病 收入 宗教信仰等 31 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)匿名化記錄屬性 表3 2某醫(yī)院原始診斷記錄表 32 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)匿名化原則K 匿名 K 匿名方法通常采用泛化和壓縮技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行匿名化處理以便得到滿(mǎn)足k 匿名規(guī)則的匿名數(shù)據(jù) 從而使得攻擊者不能根據(jù)發(fā)布的匿名數(shù)據(jù)準(zhǔn)確的識(shí)別出目標(biāo)個(gè)體的記錄 表4 44 匿名數(shù)據(jù) 33 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)匿名化原則l diversity 將原始數(shù)據(jù)中的記錄劃分成多個(gè)等價(jià)類(lèi) 并利用泛化技術(shù)使得每個(gè)等價(jià)類(lèi)中的記錄都擁有相同的準(zhǔn)標(biāo)識(shí)符屬性 l diversity規(guī)則要求每個(gè)等價(jià)類(lèi)的敏感屬性至少有l(wèi)個(gè)不同的值 表4 33 diversity 34 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)匿名化規(guī)則t closeness t closeness規(guī)則要求匿名數(shù)據(jù)中的每個(gè)等價(jià)類(lèi)中敏感屬性值得分布接近于原始數(shù)據(jù)中的敏感屬性值的分布 兩個(gè)分布之間的距離不超過(guò)閾值t Anatomy規(guī)則 Anatomy首先利用原始數(shù)據(jù)產(chǎn)生滿(mǎn)足l diversity原則的數(shù)據(jù)劃分 然后將結(jié)果分成兩張數(shù)據(jù)表發(fā)布 一張表包含每個(gè)記錄的準(zhǔn)標(biāo)識(shí)符屬性值和該記錄的等價(jià)類(lèi)ID號(hào) 另一張表包含等價(jià)類(lèi)ID 每個(gè)等價(jià)類(lèi)的敏感屬性值及其計(jì)數(shù) 35 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)數(shù)據(jù)匿名化算法基于通用原則的匿名化算法 通常包括泛化空間枚舉 空間修剪 選取最優(yōu)化泛化 結(jié)果判斷與輸出等步驟 基于通用匿名原則的匿名算法大都是基于k 匿名算法 不同之處僅在于判斷算法結(jié)束的條件 而泛化策略 空間修剪等都是基本相同的 面向特定目標(biāo)的匿名化算法 面向特定目標(biāo)的匿名化算法就是針對(duì)特定應(yīng)用場(chǎng)景的隱私化算法 36 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)數(shù)據(jù)匿名化算法基于聚類(lèi)的匿名化算法 它將原始記錄映射到特定的度量空間 在對(duì)空間中的點(diǎn)進(jìn)行聚類(lèi)來(lái)實(shí)現(xiàn)數(shù)據(jù)匿名 基于聚類(lèi)的匿名化算法面臨的挑戰(zhàn) 如何對(duì)原始數(shù)據(jù)的不同屬性進(jìn)行加權(quán) 因?yàn)閷?duì)屬性的度量越準(zhǔn)確 聚類(lèi)的效果就越好 如何使不同性質(zhì)的屬性同意映射到同一度量空間 37 4 4數(shù)據(jù)庫(kù)隱私 4 4 2數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)數(shù)據(jù)匿名化場(chǎng)景 圖4 3數(shù)據(jù)匿名化場(chǎng)景 4 5位置隱私 4 5 1基本概念 38 4 5位置隱私 4 5 1基本概念軍事和政府產(chǎn)業(yè)GPS系統(tǒng) 最初主要用于軍事和涉及國(guó)家重要利益的民用領(lǐng)域商業(yè)領(lǐng)域信息娛樂(lè)服務(wù) 娛樂(lè)場(chǎng)所查詢(xún) 廣告 社交等 定位服務(wù) 追蹤服務(wù) 道路輔助與導(dǎo)航服務(wù)緊急救援1996年 FCC頒布法規(guī)要求移動(dòng)通信運(yùn)營(yíng)商為手機(jī)用戶(hù)提供緊急求援服務(wù) 2003年歐洲實(shí)施 USFCC 標(biāo)準(zhǔn) 39 4 5位置隱私 4 5 1基本概念用戶(hù)對(duì)自己位置信息的掌控能力是否發(fā)布發(fā)布給誰(shuí)詳細(xì)程度保護(hù)位置隱私的重要性三要素 時(shí)間 地點(diǎn) 人物人身安全隱私泄露位置隱私面臨的威脅通信服務(wù)商攻擊者 40 4 5位置隱私 4 5 1基本概念位置信息與個(gè)人隱私 41 4 5位置隱私 移動(dòng)設(shè)備用戶(hù)使用移動(dòng)設(shè)備向服務(wù)器發(fā)送查詢(xún) 定位系統(tǒng)通過(guò)定位系統(tǒng)獲得查詢(xún)位置網(wǎng)絡(luò)查詢(xún)和結(jié)果通過(guò)網(wǎng)絡(luò)傳輸LBS服務(wù)器提供基于位置的服務(wù) 42 4 5 1物聯(lián)網(wǎng)中LBS的體系結(jié)構(gòu) 物聯(lián)網(wǎng)中LBS的通用威脅模型 假定LBS服務(wù)器是惡意觀察者現(xiàn)實(shí)中是一個(gè)復(fù)雜的多方面的問(wèn)題移動(dòng)設(shè)備可能被俘獲 泄露用戶(hù)信息 網(wǎng)絡(luò)傳輸可能被監(jiān)聽(tīng)和遭受中間人攻擊 43 4 5位置隱私 用戶(hù)標(biāo)識(shí)位置數(shù)據(jù) LBS服務(wù)提供商 查找離我最近的大使館 搜索去商店的路線(xiàn) 44 4 5 1隱私威脅模型 4 5位置隱私 利用GPS軌跡數(shù)據(jù)分析基礎(chǔ)交通設(shè)施的建設(shè)情況 更新和優(yōu)化交通設(shè)施商品連鎖店根據(jù)用戶(hù)的刷卡情況 分析用戶(hù)的消費(fèi)習(xí)慣等 公司收集用戶(hù)的軌跡數(shù)據(jù) 用戶(hù)標(biāo)識(shí)軌跡數(shù)據(jù) 45 4 5LBS和隱私 46 4 5物聯(lián)網(wǎng)中LBS隱私保護(hù) LBS中的隱私問(wèn)題引起了用戶(hù) 服務(wù)商和政府的廣泛關(guān)注隱私保護(hù)問(wèn)題已成為L(zhǎng)BS發(fā)展的瓶頸 是LBS應(yīng)用亟待突破的重要問(wèn)題 其重要性和緊迫性不容忽視 直接影響到LBS的健康發(fā)展和普及 47 4 5隱私的定義 隱私定義指?jìng)€(gè)人 機(jī)構(gòu)等實(shí)體不愿意被外人知曉的信息 個(gè)人隱私數(shù)據(jù)擁有者不愿意被披露的敏感信息 位置隱私指防止未授權(quán)實(shí)體知道自己當(dāng)前或過(guò)去的位置信息的能力 軌跡隱私一種特殊的位置隱私 指?jìng)€(gè)人軌跡本身含有的敏感信息或者由運(yùn)行軌跡推導(dǎo)出的其他個(gè)人信息 48 4 5隱私定義 敏感信息有關(guān)用戶(hù)的時(shí)空信息 查詢(xún)請(qǐng)求內(nèi)容中涉及醫(yī)療或金融的信息 推斷出的用戶(hù)的運(yùn)動(dòng)模式 用戶(hù)的興趣愛(ài)好等個(gè)人隱私信息 位置隱私威脅是指攻擊者在某授權(quán)的情況下通過(guò)定位位置傳輸設(shè)備 竊聽(tīng)位置信息傳輸通道等方式訪(fǎng)問(wèn)到原始的位置數(shù)據(jù) 并計(jì)算推理獲取的與位置相關(guān)的個(gè)人隱私信息 49 4 5物聯(lián)網(wǎng)中LBS的隱私泄露 位置隱私泄露位置 包括用戶(hù)過(guò)去和現(xiàn)在的位置查詢(xún)隱私泄露查詢(xún)內(nèi)容 例如 查詢(xún)離我最近的腫瘤治療醫(yī)院軌跡隱私泄露對(duì)軌跡數(shù)據(jù)的攻擊性推理和計(jì)算可以推導(dǎo)出個(gè)人的興趣愛(ài)好 家庭住址 健康狀況和政治傾向等 50 4 5物聯(lián)網(wǎng)中LBS的隱私保護(hù) 位置隱私度量避免用戶(hù)和某一精確位置相匹配查詢(xún)隱私度量避免用戶(hù)和某一敏感信息 查詢(xún)屬性 內(nèi)容 相匹配軌跡隱私度量避免用戶(hù)和某一精確的軌跡相匹配 51 4 5網(wǎng)聯(lián)網(wǎng)中LBS的隱私度量 位置隱私度量Locationk anonymityLocationl diversityorRoadSegments diversity查詢(xún)隱私度量K anonymity Locationentropy Queryattribute軌跡隱私度量融合攻擊者背景知識(shí)的隱私度量機(jī)制 52 4 5物聯(lián)網(wǎng)中LBS隱私保護(hù)方法 假位置 Dummy 通過(guò)制造假位置 達(dá)到以假亂真的效果時(shí)空匿名 spati temporalcloaking 將用戶(hù)的位置擴(kuò)展到一個(gè)時(shí)空區(qū)域 達(dá)到匿名效果 空間加密 SpaceEncyption 通過(guò)對(duì)位置加密 達(dá)到匿名效果私有信息檢索 PrivateInformationRetrieval 把隱私保護(hù)轉(zhuǎn)化為NN問(wèn)題 通過(guò)加密技術(shù)實(shí)現(xiàn) 53 4 5物聯(lián)網(wǎng)中LBS隱私保護(hù)方法 發(fā)布假位置通過(guò)提交一些假位置 達(dá)到位置匿名的效果 54 4 5物聯(lián)網(wǎng)中LBS隱私保護(hù)方法 空間匿名把位置點(diǎn)擴(kuò)展到一個(gè)時(shí)空區(qū)域 達(dá)到匿名的效果 55 4 5物聯(lián)網(wǎng)中LBS隱私保護(hù)方法 空間加密通過(guò)對(duì)位置加密 達(dá)到匿名效果 56 4 5物聯(lián)網(wǎng)中LBS隱私保護(hù)方法 PIR允許用戶(hù)私自從數(shù)據(jù)庫(kù)檢索信息 而不需要數(shù)據(jù)庫(kù)服務(wù)器知道用戶(hù)的特定請(qǐng)求信息 Ghinita G 2009 Privatequeriesandtrajectoryanonymization Adualperspectiveonlocationprivacy TransactionsonDataPrivacy2 1 3 19 57 4 5感知隱私保護(hù)的查詢(xún)處理 假位置移動(dòng)對(duì)象數(shù)據(jù)庫(kù)中的查詢(xún)處理技術(shù) 無(wú)需作任何修改時(shí)空匿名設(shè)計(jì)基于區(qū)域位置的查詢(xún)處理技術(shù) 查詢(xún)結(jié)果是一個(gè)包含真實(shí)結(jié)果的超集空間加密查詢(xún)技術(shù)與使用的加密協(xié)議有關(guān) 如支持檢索的加密技術(shù) 58 4 5物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu) 獨(dú)立結(jié)構(gòu)優(yōu)點(diǎn) 結(jié)構(gòu)簡(jiǎn)單 易于配置缺點(diǎn) 客戶(hù)端負(fù)擔(dān)較重 缺乏全局信息 隱蔽性弱 59 4 5物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu) 中心服務(wù)器結(jié)構(gòu)優(yōu)點(diǎn) 1 減輕了客戶(hù)端負(fù)擔(dān) 2 具有全局信息 隱私保護(hù)效果好缺點(diǎn) 1 成為系統(tǒng)瓶頸 2 成為系統(tǒng)的唯一攻擊點(diǎn) 60 4 5物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu) 分布式點(diǎn)對(duì)點(diǎn)結(jié)構(gòu)優(yōu)點(diǎn) 1 消除唯一攻擊點(diǎn) 2 具有全局信息 隱私保護(hù)效果好缺點(diǎn) 1 網(wǎng)絡(luò)通信代價(jià)高 匿名組 61 4 5物聯(lián)網(wǎng)中LBS隱私保護(hù)內(nèi)容 隱私保護(hù)方法位置隱私保護(hù)方法查詢(xún)隱私保護(hù)方法軌跡隱私保護(hù)方法感知隱私的查詢(xún)處理基于區(qū)域位置的查詢(xún)處理技術(shù)基于加密位置的查詢(xún)處理技術(shù)隱私度量方法位置 查詢(xún)隱私度量軌跡隱私度量 62 4 5物聯(lián)網(wǎng)中LBS隱私保護(hù)模型 位置k 匿名當(dāng)前僅當(dāng)一個(gè)用戶(hù)的位置和其他 k 1 用戶(hù)的位置無(wú)法區(qū)分時(shí) 稱(chēng)該用戶(hù)滿(mǎn)足位置k 匿名 63 4 5基于四分樹(shù)的隱私保護(hù)方法 問(wèn)題面對(duì)大量移動(dòng)用戶(hù) 如何快速高效的為移動(dòng)用戶(hù)尋找匿名集解決方法位置k 匿名中提出了基于四分樹(shù)的方法 即遞歸式的劃分空間 直至某一子空間內(nèi)的用戶(hù)數(shù)小于k 則返回其上一級(jí)的子空間作為位置匿名區(qū)域 K 3 64 4 5基于四分樹(shù)的隱私保護(hù)方法 缺點(diǎn)所有移動(dòng)用戶(hù)都假定使用同一個(gè)系統(tǒng)靜態(tài)k值 不適應(yīng)個(gè)性化隱私需求 就產(chǎn)生的匿名集大小 沒(méi)有提供任何服務(wù)質(zhì)量保證和評(píng)估解決方法個(gè)性化的位置隱私K 匿名模型 K 3 65 4 5基于個(gè)性化的位置k 匿名模型 問(wèn)題如何為每一個(gè)用戶(hù)提供滿(mǎn)足個(gè)性化隱私需求的匿名方法解決方法利用圖模型形式化的定義此問(wèn)題 并把尋找匿名集轉(zhuǎn)化為在圖中尋找k 點(diǎn)團(tuán)的問(wèn)題 66 4 5物聯(lián)網(wǎng)中LBS連續(xù)查詢(xún)隱私保護(hù) 問(wèn)題位置服務(wù)中現(xiàn)有的隱私保護(hù)工作均針對(duì)snapshot查詢(xún)類(lèi)型 將現(xiàn)有匿名算法直接應(yīng)用于連續(xù)查詢(xún)會(huì)產(chǎn)生查詢(xún)隱私泄露 A B D A B F A C F A Q1 Q2 Q4 Q1 Q2 Q6 Q1 Q3 Q5 Q1 解決方法連續(xù)查詢(xún)的用戶(hù)在最初時(shí)刻形成的匿名集在其查詢(xún)有效期內(nèi)均有效 67 68 4 5軌跡隱私 4 5 3軌跡隱私保護(hù)技術(shù)基本概念軌跡是指某個(gè)移動(dòng)對(duì)象的位置信息按時(shí)間排序的序列 通常情況下 軌跡T可以表示為T(mén) qi x1 y1 t1 x2 y2 t2 xn yn tn 其中 qi表示該軌跡的標(biāo)識(shí)符 它通常代表移動(dòng)對(duì)象 個(gè)體或某種服務(wù)的用戶(hù) xi yi ti 1 i n 表示移動(dòng)對(duì)象在ti時(shí)刻的位置 xi yi 也稱(chēng)為采樣位置或采樣點(diǎn) ti為采樣時(shí)間 軌跡隱私是一種特殊的個(gè)人隱私 它是指?jìng)€(gè)人運(yùn)行軌跡本身含有的敏感信息 或者由運(yùn)行軌跡推導(dǎo)出的其它個(gè)人信息 如家庭地址 工作單位 生活習(xí)慣 宗教信仰等 4 5物聯(lián)網(wǎng)中LBS軌跡隱私保護(hù) 基本概念針對(duì)軌跡數(shù)據(jù)的攻擊性推理可能導(dǎo)致個(gè)人隱私信息的暴露現(xiàn)有位置隱私保護(hù)技術(shù)并不能解決軌跡隱私泄露問(wèn)題解決方法基于假數(shù)據(jù)的軌跡隱私保護(hù)技術(shù)基于泛化的軌跡隱私保護(hù)技術(shù)基于抑制法的軌跡隱私保護(hù)技術(shù) 69 4 5物聯(lián)網(wǎng)中LBS軌跡隱私保護(hù) 問(wèn)題針對(duì)軌跡數(shù)據(jù)的攻擊性推理可能導(dǎo)致個(gè)人隱私信息的暴露現(xiàn)有位置隱私保護(hù)技術(shù)并不能解決軌跡隱私泄露問(wèn)題解決方法基于假數(shù)據(jù)的軌跡隱私保護(hù)技術(shù)基于泛化的軌跡隱私保護(hù)技術(shù)基于抑制法的軌跡隱私保護(hù)技術(shù) 70 4 5物聯(lián)網(wǎng)中LBS感知隱私的查詢(xún) 問(wèn)題如何在位置被匿名后提供用戶(hù)滿(mǎn)意的服務(wù) 兩種位置數(shù)據(jù)類(lèi)型 1 公開(kāi)位置數(shù)據(jù) 如加油站 旅館 2 隱私位置數(shù)據(jù) 如個(gè)人位置 71 4 5物聯(lián)網(wǎng)中LBS隱私度量 問(wèn)題隱私保護(hù)方法用于實(shí)際中時(shí)并不能達(dá)到理論上的隱私保護(hù)效果 用戶(hù)需要當(dāng)前所用隱私保護(hù)程度的反饋如何評(píng)估保護(hù)隱私的技術(shù)水平是否有所提高解決方法建立一種隱私度量機(jī)制評(píng)估服務(wù)系統(tǒng)的隱私保護(hù)效果位置隱私度量 查詢(xún)隱私度量軌跡隱私度量 72 4 5物聯(lián)網(wǎng)中LBS隱私度量 隱私度量建立一個(gè)融合攻擊者背景知識(shí)的統(tǒng)一隱私度量框架 提出一些新的指標(biāo) 73 74 4 6外包數(shù)據(jù)隱私 4 6 1基本概念數(shù)據(jù)隱私外包計(jì)算模式下的數(shù)據(jù)隱私具有以下兩個(gè)獨(dú)有的特點(diǎn) 1 外包計(jì)算模式下的數(shù)據(jù)隱私是一種廣義的隱私 其主體包括自然人和法人 企業(yè) 2 傳統(tǒng)網(wǎng)絡(luò)中的隱私問(wèn)題主要發(fā)生在信息傳輸和存儲(chǔ)的過(guò)程中 外包計(jì)算模式下不僅要考慮數(shù)據(jù)傳輸和存儲(chǔ)中的隱私問(wèn)題 還要考慮數(shù)據(jù)計(jì)算和檢索過(guò)程中可能出現(xiàn)的隱私泄露 表4 44 匿名數(shù)據(jù) 75 4 6外包數(shù)據(jù)隱私 4 6 1基本概念支持計(jì)算的加密技術(shù)支持計(jì)算的加密技術(shù) 能滿(mǎn)足支持隱私保護(hù)的計(jì)算模式的要求 通過(guò)加密手段保證數(shù)據(jù)的機(jī)密性 同時(shí)密文能支持某些計(jì)算功能的加密方案的統(tǒng)稱(chēng) 支持計(jì)算的加密方案 1 密鑰生成算法Gen為用戶(hù)U產(chǎn)生密鑰Key 2 加密算法Enc可能為概率算法 3 解密算法Dec為確定算法 4 密文計(jì)算算法Cal可能為概率算法 76 4 6外包數(shù)據(jù)隱私 4 6 2隱私威脅模型 圖4 13外包計(jì)算模式下的隱私威脅模型 77 4 6外包數(shù)據(jù)隱私 4 6 2隱私威脅模型數(shù)據(jù)從數(shù)據(jù)擁有者傳遞到服務(wù)提供者的過(guò)程中 外部攻擊者可以通過(guò)竊聽(tīng)的方式盜取數(shù)據(jù) 外部攻擊者可通過(guò)無(wú)授權(quán)的訪(fǎng)問(wèn) 木馬和釣魚(yú)軟件等方式來(lái)破壞服務(wù)提供者對(duì)用戶(hù)數(shù)據(jù)和程序的保護(hù) 實(shí)現(xiàn)非法訪(fǎng)問(wèn) 外部攻擊者可通過(guò)觀察用戶(hù)發(fā)出的請(qǐng)求 從而獲得用戶(hù)的習(xí)慣 目的等隱私信息 由于數(shù)據(jù)擁有者的數(shù)據(jù)存放在服務(wù)提供者的存儲(chǔ)介質(zhì)上 程序運(yùn)行在服務(wù)提供者的服務(wù)器中 因此內(nèi)部攻擊者要發(fā)起攻擊更為容易 以上4種威脅中 前三種是傳統(tǒng)網(wǎng)絡(luò)安全問(wèn)題 可以通過(guò)已有的訪(fǎng)問(wèn)控制機(jī)制來(lái)限制攻擊者的無(wú)授權(quán)訪(fǎng)問(wèn) 通過(guò)VPN OpenSSH或Tor等方法來(lái)保證通信線(xiàn)路的安全 最后一種威脅是外包計(jì)算模式下出現(xiàn)的新威脅 也是破壞性最大的一種威脅 因此 需要一種技術(shù)可以同時(shí)抵御這4種威協(xié) 78 4 6外包數(shù)據(jù)隱私 4 6 3外包數(shù)據(jù)