《物聯(lián)網(wǎng)信息安全》(桂小林版)(第4章)ppt課件

1、第四章 隱私安全,桂小林 2014.9.17,2,4.1 隱私定義 4.2 隱私度量 4.3 隱私威脅 4.4 數(shù)據(jù)庫隱私 4.5 位置隱私 4.6 外包數(shù)據(jù)隱私 4.7 本章小結(jié),本章內(nèi)容,3,第四章 隱私安全,基本要求 熟悉隱私的概念和度量 了解隱私的威脅模型和隱私保護(hù)方法 熟悉數(shù)據(jù)隱私、位置隱私、外包數(shù)據(jù)隱私的概念、威脅模型和保護(hù)技術(shù) 根據(jù)本章文獻(xiàn)，參閱一篇感興趣的文獻(xiàn)并總結(jié),4,第四章 隱私安全,隱私對個(gè)人發(fā)展及建立社會(huì)成員之間的信任都是絕對重要和必不可少的。它對個(gè)人而言是非常重要的，且被社會(huì)所尊重，已被國際公認(rèn)是個(gè)人的自然權(quán)力。 然而，隨著智能手機(jī)、無線傳感網(wǎng)絡(luò)、RFID等信息采集終

2、端在物聯(lián)網(wǎng)中的廣泛應(yīng)用，物聯(lián)網(wǎng)中將承載大量涉及人們?nèi)粘Ｉ畹碾[私信息（如位置信息、敏感數(shù)據(jù)等），隱私保護(hù)問題也顯得越來越重要。如不能很好地解決隱私保護(hù)問題，人們對隱私泄露的擔(dān)憂勢必成為物聯(lián)網(wǎng)推行過程的最大障礙之一。 本章將介紹隱私的概念、度量、威脅；重點(diǎn)介紹數(shù)據(jù)庫隱私、位置隱私和數(shù)據(jù)隱私等的相關(guān)內(nèi)容,5,4.1 隱私的定義,什么是隱私？ 據(jù)文獻(xiàn)記載，隱私的詞義來源于西方，一般認(rèn)為最早關(guān)注隱私權(quán)的文章是美國人沃論（Samuel DWarren）和布蘭戴斯（Louis DBrandeis）發(fā)表的隱私權(quán)（The Right to Privacy）。 2002年全國人大起草民法典草案，對隱私權(quán)保護(hù)的隱

3、私做了規(guī)定，包括私人信息、私人活動(dòng)、私人空間和私人的生活安寧等四個(gè)方面。 王利明教授在隱私權(quán)的新發(fā)展中指出“隱私是凡個(gè)人不愿意對外公開的、且隱匿信息不違反法律和社會(huì)公共利益的私人生活秘密，都構(gòu)成受法律保護(hù)的隱私,6,4.1 隱私的定義,什么是隱私？ 狹義的隱私是指以自然人為主體而不包括商業(yè)秘密在內(nèi)的個(gè)人秘密。 廣義隱私的主體是自然人與法人，客體包括商業(yè)秘密。 簡單來說，隱私就是個(gè)人、機(jī)構(gòu)或組織等實(shí)體不愿意被外部世界知曉的信息。在具體應(yīng)用中，隱私為數(shù)據(jù)擁有者不愿意被披露的敏感信息，包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性，如個(gè)人的興趣愛好、身體狀況、宗教信仰、公司的財(cái)務(wù)信息等,7,4.1 隱私的定義,隱

4、私分類 個(gè)人隱私（Individual privacy）：一般是指數(shù)據(jù)擁有者不愿意披露的敏感信息，如個(gè)人的興趣愛好、健康狀況、收入水平、宗教信仰和政治傾向等。在個(gè)人隱私的概念中主要涉及4個(gè)范疇：信息隱私、收集和處理個(gè)人數(shù)據(jù)的方法和規(guī)則，如個(gè)人信用信息、醫(yī)療和檔案信息，信息隱私也被認(rèn)為數(shù)據(jù)隱私；人身隱私，對涉及侵犯個(gè)人物理狀況相關(guān)信息，如基因測試等；通信隱私，郵件、電話、電子郵件以及其它形式的個(gè)人通信的信息；空間信息，對干涉自有地理空間的制約，包括辦公場所、公共場所，如搜查、跟蹤、身份檢查等,8,4.1 隱私的定義,隱私分類 共同隱私（Corporate privacy: 共同隱私不僅包含個(gè)人隱

5、私，還包含所有個(gè)人共同表現(xiàn)出來但不愿被暴露的信息，如公司員工的平均薪資、薪資分布等信息,什么是隱私權(quán),隱私權(quán)：個(gè)人信息的自我決定權(quán) ，包含個(gè)人信息、身體、財(cái)產(chǎn)或者自我決定等。 物聯(lián)網(wǎng)與隱私 不當(dāng)使用會(huì)侵害隱私 恰當(dāng)?shù)募夹g(shù)可以保護(hù)隱私,4.1 隱私的定義,10,4.2 隱私度量,4.2.1 隱私度量的概念 隱私度量是指用來評估個(gè)人的隱私水平及隱私保護(hù)技術(shù)應(yīng)用于實(shí)際生活中能達(dá)到的效果，同時(shí)也為了測量“隱私”這個(gè)概念。 本書主要從數(shù)據(jù)庫隱私、位置隱私、數(shù)據(jù)隱私三個(gè)方面介紹隱私度量方法及標(biāo)準(zhǔn),11,4.2 隱私度量,4.2.2 隱私度量標(biāo)準(zhǔn) 數(shù)據(jù)庫隱私度量標(biāo)準(zhǔn) 隱私保護(hù)度。通常通過發(fā)布數(shù)據(jù)的披露風(fēng)險(xiǎn)來

6、反映。披露風(fēng)險(xiǎn)越小，隱私保護(hù)度越高。 數(shù)據(jù)的可用性。對發(fā)布數(shù)據(jù)質(zhì)量的度量，它反映通過隱私保護(hù)技術(shù)處理后數(shù)據(jù)的信息丟失。數(shù)據(jù)缺損越高，信息丟失越多，數(shù)據(jù)利用率越低,12,4.2 隱私度量,4.2.2 隱私度量標(biāo)準(zhǔn) 位置隱私度量標(biāo)準(zhǔn) 隱私保護(hù)度。通常通過位置隱私的披露風(fēng)險(xiǎn)來反映。披露風(fēng)險(xiǎn)越小，隱私保護(hù)度越高。 服務(wù)質(zhì)量。用于衡量隱私算法的優(yōu)劣，在相同的隱私保護(hù)度下，服務(wù)質(zhì)量越高說明隱私保護(hù)算法越好。一般情況下，服務(wù)質(zhì)量由查詢響應(yīng)時(shí)間、計(jì)算和通信開銷、查詢結(jié)果的精確性等來衡量,13,4.2 隱私度量,4.2.2 隱私度量標(biāo)準(zhǔn) 數(shù)據(jù)隱私度量標(biāo)準(zhǔn) 機(jī)密性。數(shù)據(jù)必須按照數(shù)據(jù)擁有者的要求保證一定的秘密性，不

7、會(huì)被非授權(quán)的第三方非法獲知。 完整性。完整性是指信息安全、精確與有效，不因?yàn)槿藶榈囊蛩囟淖冃畔⒃械膬?nèi)容、形式和流向，即不能被未授權(quán)的第三方修改。 可用性。保證數(shù)據(jù)資源能夠提供既定的功能，無論何時(shí)何地，只要需要即可使用，而不因系統(tǒng)故障和誤操作等使資源丟失或妨礙對資源的使用,14,4.3 隱私威脅,4.3.1 隱私威脅模型 用戶在網(wǎng)絡(luò)中使用數(shù)據(jù)庫、位置服務(wù)、數(shù)據(jù)等資源時(shí)，會(huì)在網(wǎng)絡(luò)中留下大量的個(gè)人信息，而網(wǎng)絡(luò)實(shí)體、服務(wù)提供商以及網(wǎng)絡(luò)偵聽者等都可能是不可信。它們 會(huì)通過這些個(gè)人遺留在網(wǎng)絡(luò)中的信息，推理用戶的個(gè)人敏感信息，對用戶的隱私構(gòu)成嚴(yán)重的威脅。 為了保護(hù)個(gè)人隱私，需要保護(hù)用戶的私人數(shù)據(jù)不被泄露

8、給不可信的第三方,15,4.3 隱私威脅,4.3.2 隱私保護(hù)技術(shù) 數(shù)據(jù)庫隱私保護(hù)技術(shù) 基于數(shù)據(jù)失真的技術(shù)。使敏感數(shù)據(jù)失真但同時(shí)保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變的方法。如采用添加噪聲、交換等技術(shù)對原始數(shù)據(jù)進(jìn)行擾動(dòng)處理，但要求保證處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計(jì)方面的性質(zhì)，以便進(jìn)行數(shù)據(jù)挖據(jù)等操作。 基于數(shù)據(jù)加密的技術(shù)。采用加密技術(shù)在數(shù)據(jù)挖掘過程中隱藏敏感數(shù)據(jù)的方法，多用于分布式應(yīng)用環(huán)境，如安全多方計(jì)算,16,4.3 隱私威脅,4.3.2 隱私保護(hù)技術(shù) 位置隱私保護(hù)技術(shù) 基于隱私保護(hù)策略的技術(shù)。通過制定一些常用的隱私管理規(guī)則和可信任的隱私協(xié)定來約束服務(wù)提供商能公平、安全的使用個(gè)人位置信息。 基于匿名和混

9、淆技術(shù)的技術(shù)。利用匿名和混淆技術(shù)分隔用戶身份標(biāo)識和其所在的位置信息、降低用戶位置信息的精度以達(dá)到隱私保護(hù)的目的。 基于空間加密的方法。通過對位置加密達(dá)到匿名的效果,17,4.3 隱私威脅,4.3.2 隱私保護(hù)技術(shù) 數(shù)據(jù)庫隱私保護(hù)技術(shù) 基于數(shù)據(jù)失真的技術(shù)。使敏感數(shù)據(jù)失真但同時(shí)保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變的方法。如采用添加噪聲、交換等技術(shù)對原始數(shù)據(jù)進(jìn)行擾動(dòng)處理，但要求保證處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計(jì)方面的性質(zhì)，以便進(jìn)行數(shù)據(jù)挖據(jù)等操作。 基于數(shù)據(jù)加密的技術(shù)。采用加密技術(shù)在數(shù)據(jù)挖掘過程中隱藏敏感數(shù)據(jù)的方法，多用于分布式應(yīng)用環(huán)境，如安全多方計(jì)算,18,4.3 隱私威脅,4.3.2 隱私保護(hù)技術(shù) 數(shù)據(jù)隱

10、私保護(hù)技術(shù) 支持計(jì)算的加密技術(shù)。是一類能滿足支持隱私保護(hù)的計(jì)算模式（如算數(shù)運(yùn)算、字符運(yùn)算等）的要求，通過加密手段保證數(shù)據(jù)的機(jī)密性，同時(shí)密文能支持某些計(jì)算功能的加密方案的統(tǒng)稱。 支持檢索的加密技術(shù)。指數(shù)據(jù)在加密狀態(tài)下可以對數(shù)據(jù)進(jìn)行精確檢索和模糊檢索，從而保護(hù)數(shù)據(jù)隱私的技術(shù),19,4.4 數(shù)據(jù)庫隱私,4.4.1 基本概念和威脅模型 隱私保護(hù)技術(shù)集中在數(shù)據(jù)挖掘和數(shù)據(jù)發(fā)布兩個(gè)領(lǐng)域 數(shù)據(jù)挖掘中的隱私保護(hù) 。是如何在保護(hù)用戶隱私的前提下，能進(jìn)行有效的數(shù)據(jù)挖掘。 數(shù)據(jù)發(fā)布中的隱私保護(hù)。是如何在保護(hù)用戶隱私的前提下，發(fā)布用戶的數(shù)據(jù)以供第三方有效的研究和使用,20,4.4 數(shù)據(jù)庫隱私,4.4.1 基本概念和威脅

11、模型 隱私保護(hù)技術(shù)集中在數(shù)據(jù)挖掘和數(shù)據(jù)發(fā)布兩個(gè)領(lǐng)域 數(shù)據(jù)挖掘中的隱私保護(hù) 。是如何在保護(hù)用戶隱私的前提下，能進(jìn)行有效的數(shù)據(jù)挖掘。 數(shù)據(jù)發(fā)布中的隱私保護(hù)。是如何在保護(hù)用戶隱私的前提下，發(fā)布用戶的數(shù)據(jù)以供第三方有效的研究和使用,21,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 基于數(shù)據(jù)失真的隱私保護(hù)技術(shù) 通過擾動(dòng)原始數(shù)據(jù)來實(shí)現(xiàn)隱私保護(hù)，擾動(dòng)后的數(shù)據(jù)滿足： 攻擊者不能發(fā)現(xiàn)真實(shí)的原始數(shù)據(jù)。 經(jīng)過失真處理后的數(shù)據(jù)要能夠保持某些性質(zhì)不變,22,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 基于數(shù)據(jù)失真的隱私保護(hù)技術(shù) 隨機(jī)化。數(shù)據(jù)隨機(jī)化就是在原始數(shù)據(jù)中加入隨機(jī)噪聲，然后發(fā)布擾動(dòng)后的數(shù)據(jù)。 隨機(jī)

12、擾動(dòng) 隨機(jī)應(yīng)答,3-2（a）隨機(jī)擾動(dòng)過程,3-2 (b)重構(gòu)過程,23,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 基于數(shù)據(jù)失真的隱私保護(hù)技術(shù) 阻塞與凝聚。將原始數(shù)據(jù)記錄分成組，每一組內(nèi)存儲(chǔ)由k條記錄產(chǎn)生的統(tǒng)計(jì)信息，包括每個(gè)屬性的均值、協(xié)方差等,24,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 基于數(shù)據(jù)加密的隱私保護(hù)技術(shù) 安全多方計(jì)算。安全多方計(jì)算協(xié)議是密碼學(xué)中非?；钴S的一個(gè)學(xué)術(shù)領(lǐng)域，有很強(qiáng)的理論和實(shí)際意義。它可以被描述為一個(gè)計(jì)算過程：兩個(gè)或多個(gè)協(xié)議參與者基于秘密輸入來計(jì)算一個(gè)函數(shù)。安全多方計(jì)算假定參與者愿意共享一些數(shù)據(jù)用于計(jì)算。但是，每個(gè)參與者都不希望自己的輸入被其他參與者或

13、任何三方所知,25,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 基于數(shù)據(jù)加密的隱私保護(hù)技術(shù) 安全多方計(jì)算。一般來說，安全多方計(jì)算可以看成是在具有n個(gè)參與者的分布式網(wǎng)絡(luò)中私密輸入x1,x2,xn上的計(jì)算函數(shù)f(x1,x2,xn)，其中參與者i僅知道自己的輸入xi和輸出f(x1,x2,xn)，再?zèng)]有任何其它多余信息。如果假設(shè)有可信第三方存在，這個(gè)問題的解決十分容易，參與者只需要將自己的輸入通過秘密通道傳送給可信第三方，由可信第三方計(jì)算這個(gè)函數(shù)，然后將結(jié)果廣播給每一個(gè)參與者即可。但是在現(xiàn)實(shí)中很難找到一個(gè)讓所有參與者都信任的的可信第三方,26,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)

14、 基于數(shù)據(jù)加密的隱私保護(hù)技術(shù) 分布式匿名化。匿名化就是隱藏?cái)?shù)據(jù)或數(shù)據(jù)來源。因?yàn)榇蠖鄶?shù)應(yīng)用都需要對原始數(shù)據(jù)進(jìn)行匿名處理以保證敏感信息的安全，并在此基礎(chǔ)上進(jìn)行挖掘、發(fā)布等操作,表4-1 分布式k-匿名算法,27,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 基于數(shù)據(jù)加密的隱私保護(hù)技術(shù) 分布式關(guān)聯(lián)規(guī)則挖掘。在分布式環(huán)境下，關(guān)聯(lián)規(guī)則挖掘的關(guān)鍵是計(jì)算項(xiàng)集的全局計(jì)數(shù)，加密技術(shù)能保證在計(jì)算項(xiàng)集計(jì)數(shù)的同時(shí)，不會(huì)泄露隱私信息。 分布式聚類?；陔[私保護(hù)的分布式聚類的關(guān)鍵是安全的計(jì)算數(shù)據(jù)間距離，有Nave聚類模型兩種模式和多次聚類模型，兩種模型都利用了加密技術(shù)實(shí)現(xiàn)信息的安全傳輸,28,4.4 數(shù)據(jù)庫隱私,4

15、.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 基于限制發(fā)布隱私保護(hù)技術(shù) 限制發(fā)布是指有選擇的發(fā)布原始數(shù)據(jù)、不發(fā)布或者發(fā)布精度較低的敏感數(shù)據(jù)以實(shí)現(xiàn)隱私保護(hù)。當(dāng)前基于限制發(fā)布隱私保護(hù)方法主要采用數(shù)據(jù)匿名化技術(shù)，即在隱私披露風(fēng)險(xiǎn)和數(shù)據(jù)精度之間進(jìn)行折中，有選擇地發(fā)布敏感數(shù)據(jù)及可能披露敏感數(shù)據(jù)的信息，但保證敏感數(shù)據(jù)及隱私的披露風(fēng)險(xiǎn)在可容忍的范圍內(nèi),29,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 基于限制發(fā)布隱私保護(hù)技術(shù) 數(shù)據(jù)匿名化的基本操作：抑制。抑制某數(shù)據(jù)項(xiàng)。泛化。即對數(shù)據(jù)進(jìn)行更抽象和概括的描述。如把年齡30歲泛化成區(qū)間 20,40的形式，因?yàn)?0歲在區(qū)間20,40內(nèi)。 數(shù)據(jù)匿名化的原則：數(shù)據(jù)匿名化處理的原

16、始數(shù)據(jù)一般為數(shù)據(jù)表形式，表中每一行是一個(gè)記錄，對應(yīng)一個(gè)人。每條記錄包含多個(gè)屬性（數(shù)據(jù)項(xiàng)），這些屬性可分為3類,30,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 匿名化記錄屬性 顯示標(biāo)識符（explicit identifier）。能唯一表示單一個(gè)體的屬性，如身份證、姓名等。 準(zhǔn)標(biāo)識符（quasi-identifiers）。幾個(gè)屬性聯(lián)合起來可以唯一標(biāo)識一個(gè)人，如郵編，性別，出生年月等聯(lián)合起來可能是一個(gè)準(zhǔn)標(biāo)識符。 敏感屬性（sensitive attribute）。包含用戶隱私數(shù)據(jù)的屬性，如疾病、收入、宗教信仰等,31,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 匿名化記錄屬性,表

17、3-2 某醫(yī)院原始診斷記錄表,32,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 匿名化原則 K-匿名。K-匿名方法通常采用泛化和壓縮技術(shù)對原始數(shù)據(jù)進(jìn)行匿名化處理以便得到滿足k-匿名規(guī)則的匿名數(shù)據(jù)，從而使得攻擊者不能根據(jù)發(fā)布的匿名數(shù)據(jù)準(zhǔn)確的識別出目標(biāo)個(gè)體的記錄,表4-4 4-匿名數(shù)據(jù),33,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 匿名化原則 l-diversity。將原始數(shù)據(jù)中的記錄劃分成多個(gè)等價(jià)類，并利用泛化技術(shù)使得每個(gè)等價(jià)類中的記錄都擁有相同的準(zhǔn)標(biāo)識符屬性，l-diversity規(guī)則要求每個(gè)等價(jià)類的敏感屬性至少有l(wèi)個(gè)不同的值,表4-3 3-diversity,34,4.4

18、 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 匿名化規(guī)則 t-closeness。t-closeness規(guī)則要求匿名數(shù)據(jù)中的每個(gè)等價(jià)類中敏感屬性值得分布接近于原始數(shù)據(jù)中的敏感屬性值的分布，兩個(gè)分布之間的距離不超過閾值t。 Anatomy規(guī)則。Anatomy首先利用原始數(shù)據(jù)產(chǎn)生滿足l-diversity原則的數(shù)據(jù)劃分，然后將結(jié)果分成兩張數(shù)據(jù)表發(fā)布，一張表包含每個(gè)記錄的準(zhǔn)標(biāo)識符屬性值和該記錄的等價(jià)類ID號，另一張表包含等價(jià)類ID、每個(gè)等價(jià)類的敏感屬性值及其計(jì)數(shù),35,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 數(shù)據(jù)匿名化算法 基于通用原則的匿名化算法。通常包括泛化空間枚舉、空間修剪、選取最

19、優(yōu)化泛化、結(jié)果判斷與輸出等步驟?；谕ㄓ媚涿瓌t的匿名算法大都是基于k-匿名算法，不同之處僅在于判斷算法結(jié)束的條件，而泛化策略、空間修剪等都是基本相同的。 面向特定目標(biāo)的匿名化算法。面向特定目標(biāo)的匿名化算法就是針對特定應(yīng)用場景的隱私化算法,36,4.4 數(shù)據(jù)庫隱私,4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù) 數(shù)據(jù)匿名化算法 基于聚類的匿名化算法。它將原始記錄映射到特定的度量空間，在對空間中的點(diǎn)進(jìn)行聚類來實(shí)現(xiàn)數(shù)據(jù)匿名。 基于聚類的匿名化算法面臨的挑戰(zhàn)。 如何對原始數(shù)據(jù)的不同屬性進(jìn)行加權(quán)，因?yàn)閷傩缘亩攘吭綔?zhǔn)確，聚類的效果就越好。如何使不同性質(zhì)的屬性同意映射到同一度量空間,37,4.4 數(shù)據(jù)庫隱私,4.4.2

20、 數(shù)據(jù)庫隱私保護(hù)技術(shù) 數(shù)據(jù)匿名化場景,圖4-3 數(shù)據(jù)匿名化場景,4.5 位置隱私,4.5.1 基本概念,38,4.5 位置隱私,4.5.1 基本概念 軍事和政府產(chǎn)業(yè) GPS系統(tǒng)，最初主要用于軍事和涉及國家重要利益的民用領(lǐng)域 商業(yè)領(lǐng)域 信息娛樂服務(wù)（娛樂場所查詢、廣告、社交等），定位服務(wù)，追蹤服務(wù)，道路輔助與導(dǎo)航服務(wù) 緊急救援 1996年,FCC頒布法規(guī)要求移動(dòng)通信運(yùn)營商為手機(jī)用戶提供緊急求援服務(wù)。2003年歐洲實(shí)施“US FCC”標(biāo)準(zhǔn),39,4.5 位置隱私,4.5.1 基本概念 用戶對自己位置信息的掌控能力 是否發(fā)布 發(fā)布給誰 詳細(xì)程度 保護(hù)位置隱私的重要性 三要素：時(shí)間、地點(diǎn)、人物 人身安

21、全 隱私泄露 位置隱私面臨的威脅 通信 服務(wù)商 攻擊者,40,4.5 位置隱私,4.5.1 基本概念 位置信息與個(gè)人隱私,41,4.5 位置隱私,移動(dòng)設(shè)備 用戶使用移動(dòng)設(shè)備向服務(wù)器發(fā)送查詢。 定位系統(tǒng) 通過定位系統(tǒng)獲得查詢位置 網(wǎng)絡(luò) 查詢和結(jié)果通過網(wǎng)絡(luò)傳輸 LBS服務(wù)器 提供基于位置的服務(wù),42,4.5.1物聯(lián)網(wǎng)中LBS的體系結(jié)構(gòu),物聯(lián)網(wǎng)中LBS的通用威脅模型,假定LBS服務(wù)器是惡意觀察者 現(xiàn)實(shí)中是一個(gè)復(fù)雜的多方面的問題 移動(dòng)設(shè)備可能被俘獲，泄露用戶信息。 網(wǎng)絡(luò)傳輸可能被監(jiān)聽和遭受中間人攻擊,43,4.5 位置隱私,用戶標(biāo)識 位置數(shù)據(jù),LBS 服務(wù)提供商,查找離我最近的大使館,搜索去商店的路線

22、,44,4.5.1 隱私威脅模型,4.5 位置隱私,利用GPS軌跡數(shù)據(jù)分析基礎(chǔ)交通設(shè)施的建設(shè)情況，更新和優(yōu)化交通設(shè)施 商品連鎖店根據(jù)用戶的刷卡情況，分析用戶的消費(fèi)習(xí)慣等,公司收集用戶的軌跡數(shù)據(jù),用戶標(biāo)識 軌跡數(shù)據(jù),45,4.5 LBS和隱私,46,4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù),LBS中的隱私問題引起了用戶、服務(wù)商和政府的廣泛關(guān)注 隱私保護(hù)問題已成為LBS發(fā)展的瓶頸，是LBS應(yīng)用亟待突破的重要問題，其重要性和緊迫性不容忽視，直接影響到LBS的健康發(fā)展和普及,47,4.5 隱私的定義,隱私定義 指個(gè)人、機(jī)構(gòu)等實(shí)體不愿意被外人知曉的信息。 個(gè)人隱私 數(shù)據(jù)擁有者不愿意被披露的敏感信息。 位置隱私 指

23、防止未授權(quán)實(shí)體知道自己當(dāng)前或過去的位置信息的能力。 軌跡隱私 一種特殊的位置隱私，指個(gè)人軌跡本身含有的敏感信息或者由運(yùn)行軌跡推導(dǎo)出的其他個(gè)人信息,48,4.5 隱私定義,敏感信息 有關(guān)用戶的時(shí)空信息、查詢請求內(nèi)容中涉及醫(yī)療或金融的信息，推斷出的用戶的運(yùn)動(dòng)模式、用戶的興趣愛好等個(gè)人隱私信息。 位置隱私威脅 是指攻擊者在某授權(quán)的情況下通過定位位置傳輸設(shè)備、竊聽位置信息傳輸通道等方式訪問到原始的位置數(shù)據(jù)，并計(jì)算推理獲取的與位置相關(guān)的個(gè)人隱私信息,49,4.5 物聯(lián)網(wǎng)中LBS的隱私泄露,位置隱私泄露 位置，包括用戶過去和現(xiàn)在的位置 查詢隱私泄露 查詢內(nèi)容，例如，查詢離我最近的腫瘤治療醫(yī)院 軌跡隱私泄露

24、 對軌跡數(shù)據(jù)的攻擊性推理和計(jì)算可以推導(dǎo)出個(gè)人的興趣愛好， 家庭住址，健康狀況和政治傾向等,50,4.5 物聯(lián)網(wǎng)中LBS的隱私保護(hù),位置隱私度量 避免用戶和某一精確位置相匹配 查詢隱私度量 避免用戶和某一敏感信息（查詢屬性、內(nèi)容）相匹配 軌跡隱私度量 避免用戶和某一精確的軌跡相匹配,51,4.5 網(wǎng)聯(lián)網(wǎng)中LBS的隱私度量,位置隱私度量 Location k-anonymity Location l-diversity or Road Segment s-diversity 查詢隱私度量 K-anonymity、Location entropy、Query attribute 軌跡隱私度量 融合攻

25、擊者背景知識的隱私度量機(jī)制,52,4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法,假位置(Dummy) 通過制造假位置，達(dá)到以假亂真的效果 時(shí)空匿名(spati-temporal cloaking) 將用戶的位置擴(kuò)展到一個(gè)時(shí)空區(qū)域，達(dá)到匿名效果。 空間加密(Space Encyption) 通過對位置加密，達(dá)到匿名效果 私有信息檢索(Private Information Retrieval) 把隱私保護(hù)轉(zhuǎn)化為NN問題，通過加密技術(shù)實(shí)現(xiàn),53,4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法,發(fā)布假位置 通過提交一些假位置，達(dá)到位置匿名的效果,54,4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法,空間匿名 把位置點(diǎn)擴(kuò)展到一個(gè)時(shí)空區(qū)

26、域，達(dá)到匿名的效果,55,4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法,空間加密 通過對位置加密，達(dá)到匿名效果,56,4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法,PIR 允許用戶私自從數(shù)據(jù)庫檢索信息，而不需要數(shù)據(jù)庫服務(wù)器知道用戶的特定請求信息,Ghinita, G. (2009). Private queries and trajectory anonymization: A dual perspective on location privacy. Transactions on Data Privacy 2(1): 3-19,57,4.5 感知隱私保護(hù)的查詢處理,假位置 移動(dòng)對象數(shù)據(jù)庫中的查詢處理技術(shù)，無需

27、作任何修改 時(shí)空匿名 設(shè)計(jì)基于區(qū)域位置的查詢處理技術(shù)，查詢結(jié)果是一個(gè)包含真實(shí)結(jié)果的超集 空間加密 查詢技術(shù)與使用的加密協(xié)議有關(guān)，如支持檢索的加密技術(shù),58,4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu),獨(dú)立結(jié)構(gòu) 優(yōu)點(diǎn)：結(jié)構(gòu)簡單，易于配置 缺點(diǎn)：客戶端負(fù)擔(dān)較重； 缺乏全局信息，隱蔽性弱,59,4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu),中心服務(wù)器結(jié)構(gòu) 優(yōu)點(diǎn)（1）減輕了客戶端負(fù)擔(dān) （2）具有全局信息，隱私保護(hù)效果好 缺點(diǎn)（1）成為系統(tǒng)瓶頸 （2）成為系統(tǒng)的唯一攻擊點(diǎn),60,4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu),分布式點(diǎn)對點(diǎn)結(jié)構(gòu) 優(yōu)點(diǎn)（1）消除唯一攻擊點(diǎn) （2）具有全局信息，隱私保護(hù)效果好 缺點(diǎn)（1）網(wǎng)絡(luò)通

28、信代價(jià)高,匿名組,61,4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)內(nèi)容,隱私保護(hù)方法 位置隱私保護(hù)方法 查詢隱私保護(hù)方法 軌跡隱私保護(hù)方法 感知隱私的查詢處理 基于區(qū)域位置的查詢處理技術(shù) 基于加密位置的查詢處理技術(shù) 隱私度量方法 位置、查詢隱私度量 軌跡隱私度量,62,4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)模型,位置k-匿名 當(dāng)前僅當(dāng)一個(gè)用戶的位置和其他（k-1）用戶的位 置無法區(qū)分時(shí)，稱該用戶滿足位置k-匿名,63,4.5 基于四分樹的隱私保護(hù)方法,問題 面對大量移動(dòng)用戶，如何快速高效的為移動(dòng)用戶尋找匿名集 解決方法 位置k-匿名中提出了基于四分樹的方法，即遞歸式的劃分空間，直至某一子空間內(nèi)的用戶數(shù)小于k,則返

29、回其上一級的子空間作為位置匿名區(qū)域,K=3,64,4.5 基于四分樹的隱私保護(hù)方法,缺點(diǎn) 所有移動(dòng)用戶都假定使用同一個(gè)系統(tǒng)靜態(tài)k值，不適應(yīng)個(gè)性化隱私需求。 就產(chǎn)生的匿名集大小，沒有提供任何服務(wù)質(zhì)量保證和評估 解決方法 個(gè)性化的位置隱私K-匿名模型,K=3,65,4.5 基于個(gè)性化的位置k-匿名模型,問題 如何為每一個(gè)用戶提供滿足個(gè)性化隱私需求的匿名方法 解決方法 利用圖模型形式化的定義此問題，并把尋找匿名集轉(zhuǎn)化為在圖中尋找k-點(diǎn)團(tuán)的問題,66,4.5 物聯(lián)網(wǎng)中LBS連續(xù)查詢隱私保護(hù),問題 位置服務(wù)中現(xiàn)有的隱私保護(hù)工作均針對snapshot查詢類型,將現(xiàn)有匿名算法直接應(yīng)用于連續(xù)查詢會(huì)產(chǎn)生查詢隱私

30、泄露 A,B,DA,B,FA,C,F=A Q1,Q2,Q4 Q1,Q2,Q6Q1 ,Q3 ,Q 5=Q1 解決方法 連續(xù)查詢的用戶在最初時(shí)刻形成的匿名集在其查詢有效期內(nèi)均有效,67,68,4.5 軌跡隱私,4.5.3 軌跡隱私保護(hù)技術(shù) 基本概念 軌跡是指某個(gè)移動(dòng)對象的位置信息按時(shí)間排序的序列。通常情況下，軌跡T可以表示為T=qi,(x1,y1,t1), (x2,y2,t2), (xn,yn,tn). 其中，qi表示該軌跡的標(biāo)識符，它通常代表移動(dòng)對象、個(gè)體或某種服務(wù)的用戶，(xi,yi,ti)(1in)表示移動(dòng)對象在ti時(shí)刻的位置(xi,yi)，也稱為采樣位置或采樣點(diǎn)，ti為采樣時(shí)間。 軌跡隱私

31、是一種特殊的個(gè)人隱私，它是指個(gè)人運(yùn)行軌跡本身含有的敏感信息，或者由運(yùn)行軌跡推導(dǎo)出的其它個(gè)人信息，如家庭地址、工作單位、生活習(xí)慣、宗教信仰等,4.5 物聯(lián)網(wǎng)中LBS軌跡隱私保護(hù),基本概念 針對軌跡數(shù)據(jù)的攻擊性推理可能導(dǎo)致個(gè)人隱私信息的暴露 現(xiàn)有位置隱私保護(hù)技術(shù)并不能解決軌跡隱私泄露問題 解決方法 基于假數(shù)據(jù)的軌跡隱私保護(hù)技術(shù) 基于泛化的軌跡隱私保護(hù)技術(shù) 基于抑制法的軌跡隱私保護(hù)技術(shù),69,4.5 物聯(lián)網(wǎng)中LBS軌跡隱私保護(hù),問題 針對軌跡數(shù)據(jù)的攻擊性推理可能導(dǎo)致個(gè)人隱私信息的暴露 現(xiàn)有位置隱私保護(hù)技術(shù)并不能解決軌跡隱私泄露問題 解決方法 基于假數(shù)據(jù)的軌跡隱私保護(hù)技術(shù) 基于泛化的軌跡隱私保護(hù)技術(shù)

32、基于抑制法的軌跡隱私保護(hù)技術(shù),70,4.5 物聯(lián)網(wǎng)中LBS感知隱私的查詢,問題 如何在位置被匿名后提供用戶滿意的服務(wù)。 兩種位置數(shù)據(jù)類型：（1）公開位置數(shù)據(jù)。如加油站、旅館（2）隱私位置數(shù)據(jù)。如個(gè)人位置,71,4.5 物聯(lián)網(wǎng)中LBS隱私度量,問題 隱私保護(hù)方法用于實(shí)際中時(shí)并不能達(dá)到理論上的隱私保護(hù)效果，用戶需要當(dāng)前所用隱私保護(hù)程度的反饋 如何評估保護(hù)隱私的技術(shù)水平是否有所提高 解決方法 建立一種隱私度量機(jī)制評估服務(wù)系統(tǒng)的隱私保護(hù)效果 位置隱私度量、查詢隱私度量 軌跡隱私度量,72,4.5 物聯(lián)網(wǎng)中LBS隱私度量,隱私度量 建立一個(gè)融合攻擊者背景知識的統(tǒng)一隱私度量框架，提出一些新的指標(biāo),73,7

33、4,4.6外包 數(shù)據(jù)隱私,4.6.1 基本概念 數(shù)據(jù)隱私 外包計(jì)算模式下的數(shù)據(jù)隱私具有以下兩個(gè)獨(dú)有的特點(diǎn)：（1）外包計(jì)算模式下的數(shù)據(jù)隱私是一種廣義的隱私，其主體包括自然人和法人（企業(yè)）；（2）傳統(tǒng)網(wǎng)絡(luò)中的隱私問題主要發(fā)生在信息傳輸和存儲(chǔ)的過程中，外包計(jì)算模式下不僅要考慮數(shù)據(jù)傳輸和存儲(chǔ)中的隱私問題，還要考慮數(shù)據(jù)計(jì)算和檢索過程中可能出現(xiàn)的隱私泄露,表4-4 4-匿名數(shù)據(jù),75,4.6外包 數(shù)據(jù)隱私,4.6.1 基本概念 支持計(jì)算的加密技術(shù) 支持計(jì)算的加密技術(shù)。能滿足支持隱私保護(hù)的計(jì)算模式的要求，通過加密手段保證數(shù)據(jù)的機(jī)密性，同時(shí)密文能支持某些計(jì)算功能的加密方案的統(tǒng)稱。 支持計(jì)算的加密方案。（1）密

34、鑰生成算法Gen為用戶U產(chǎn)生密鑰Key；（2）加密算法Enc可能為概率算法；（3）解密算法Dec為確定算法。（4）密文計(jì)算算法Cal可能為概率算法,76,4.6外包 數(shù)據(jù)隱私,4.6.2 隱私威脅模型,圖4-13 外包計(jì)算模式下的隱私威脅模型,77,4.6外包 數(shù)據(jù)隱私,4.6.2 隱私威脅模型 數(shù)據(jù)從數(shù)據(jù)擁有者傳遞到服務(wù)提供者的過程中，外部攻擊者可以通過竊聽的方式盜取數(shù)據(jù)； 外部攻擊者可通過無授權(quán)的訪問、木馬和釣魚軟件等方式來破壞服務(wù)提供者對用戶數(shù)據(jù)和程序的保護(hù)，實(shí)現(xiàn)非法訪問。 外部攻擊者可通過觀察用戶發(fā)出的請求，從而獲得用戶的習(xí)慣、目的等隱私信息。 由于數(shù)據(jù)擁有者的數(shù)據(jù)存放在服務(wù)提供者的存儲(chǔ)介質(zhì)上，程序運(yùn)行在服務(wù)提供者的服務(wù)器中，因此內(nèi)部攻擊者要發(fā)起攻擊更為容易,以上4種威脅中，前三種是傳統(tǒng)網(wǎng)絡(luò)安全問題，可以通過已有的訪問控制機(jī)制來限制攻擊者的無授權(quán)訪問，通過VPN、OpenSSH或Tor等方法來保證通信線路的安全。最后一種威脅是外包計(jì)算模式下出現(xiàn)的新威脅，也是破壞性最大的一種威脅。因此，需要一種技術(shù)可以同時(shí)抵御這4種威協(xié),78,4.6外包 數(shù)據(jù)隱私,4.6.3 外包數(shù)據(jù)加