《物聯(lián)網(wǎng)信息安全》(桂小林版)(第4章)課件

1、第四章 隱私安全桂小林2014.9.17 24.1 隱私定義4.2 隱私度量4.3 隱私威脅4.4 數(shù)據(jù)庫(kù)隱私4.5 位置隱私4.6 外包數(shù)據(jù)隱私4.7 本章小結(jié)本章內(nèi)容 3第四章 隱私安全基本要求熟悉隱私的概念和度量了解隱私的威脅模型和隱私保護(hù)方法熟悉數(shù)據(jù)隱私、位置隱私、外包數(shù)據(jù)隱私的概念、威脅模型和保護(hù)技術(shù)根據(jù)本章文獻(xiàn)，參閱一篇感興趣的文獻(xiàn)并總結(jié)。 4第四章 隱私安全 隱私對(duì)個(gè)人發(fā)展及建立社會(huì)成員之間的信任都是絕對(duì)重要和必不可少的。它對(duì)個(gè)人而言是非常重要的，且被社會(huì)所尊重，已被國(guó)際公認(rèn)是個(gè)人的自然權(quán)力。 然而，隨著智能手機(jī)、無(wú)線傳感網(wǎng)絡(luò)、RFID等信息采集終端在物聯(lián)網(wǎng)中的廣泛應(yīng)用，物聯(lián)網(wǎng)中

2、將承載大量涉及人們?nèi)粘Ｉ畹碾[私信息（如位置信息、敏感數(shù)據(jù)等），隱私保護(hù)問(wèn)題也顯得越來(lái)越重要。如不能很好地解決隱私保護(hù)問(wèn)題，人們對(duì)隱私泄露的擔(dān)憂勢(shì)必成為物聯(lián)網(wǎng)推行過(guò)程的最大障礙之一。 本章將介紹隱私的概念、度量、威脅；重點(diǎn)介紹數(shù)據(jù)庫(kù)隱私、位置隱私和數(shù)據(jù)隱私等的相關(guān)內(nèi)容。 54.1 隱私的定義什么是隱私？據(jù)文獻(xiàn)記載，隱私的詞義來(lái)源于西方，一般認(rèn)為最早關(guān)注隱私權(quán)的文章是美國(guó)人沃論（Samuel DWarren）和布蘭戴斯（Louis DBrandeis）發(fā)表的隱私權(quán)（The Right to Privacy）。2002年全國(guó)人大起草民法典草案，對(duì)隱私權(quán)保護(hù)的隱私做了規(guī)定，包括私人信息、私人活動(dòng)、私

3、人空間和私人的生活安寧等四個(gè)方面。王利明教授在隱私權(quán)的新發(fā)展中指出“隱私是凡個(gè)人不愿意對(duì)外公開(kāi)的、且隱匿信息不違反法律和社會(huì)公共利益的私人生活秘密，都構(gòu)成受法律保護(hù)的隱私”。 64.1 隱私的定義什么是隱私？狹義的隱私是指以自然人為主體而不包括商業(yè)秘密在內(nèi)的個(gè)人秘密。廣義隱私的主體是自然人與法人，客體包括商業(yè)秘密。簡(jiǎn)單來(lái)說(shuō)，隱私就是個(gè)人、機(jī)構(gòu)或組織等實(shí)體不愿意被外部世界知曉的信息。在具體應(yīng)用中，隱私為數(shù)據(jù)擁有者不愿意被披露的敏感信息，包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性，如個(gè)人的興趣愛(ài)好、身體狀況、宗教信仰、公司的財(cái)務(wù)信息等。 74.1 隱私的定義隱私分類個(gè)人隱私（Individual priva

4、cy）：一般是指數(shù)據(jù)擁有者不愿意披露的敏感信息，如個(gè)人的興趣愛(ài)好、健康狀況、收入水平、宗教信仰和政治傾向等。在個(gè)人隱私的概念中主要涉及4個(gè)范疇：信息隱私、收集和處理個(gè)人數(shù)據(jù)的方法和規(guī)則，如個(gè)人信用信息、醫(yī)療和檔案信息，信息隱私也被認(rèn)為數(shù)據(jù)隱私；人身隱私，對(duì)涉及侵犯?jìng)€(gè)人物理狀況相關(guān)信息，如基因測(cè)試等；通信隱私，郵件、電話、電子郵件以及其它形式的個(gè)人通信的信息；空間信息，對(duì)干涉自有地理空間的制約，包括辦公場(chǎng)所、公共場(chǎng)所，如搜查、跟蹤、身份檢查等。 84.1 隱私的定義隱私分類共同隱私（Corporate privacy: 共同隱私不僅包含個(gè)人隱私，還包含所有個(gè)人共同表現(xiàn)出來(lái)但不愿被暴露的信息，如公

5、司員工的平均薪資、薪資分布等信息。什么是隱私權(quán)？隱私權(quán)：個(gè)人信息的自我決定權(quán) ，包含個(gè)人信息、身體、財(cái)產(chǎn)或者自我決定等。物聯(lián)網(wǎng)與隱私不當(dāng)使用會(huì)侵害隱私恰當(dāng)?shù)募夹g(shù)可以保護(hù)隱私4.1 隱私的定義 104.2 隱私度量4.2.1 隱私度量的概念隱私度量是指用來(lái)評(píng)估個(gè)人的隱私水平及隱私保護(hù)技術(shù)應(yīng)用于實(shí)際生活中能達(dá)到的效果，同時(shí)也為了測(cè)量“隱私”這個(gè)概念。本書(shū)主要從數(shù)據(jù)庫(kù)隱私、位置隱私、數(shù)據(jù)隱私三個(gè)方面介紹隱私度量方法及標(biāo)準(zhǔn) 114.2 隱私度量4.2.2 隱私度量標(biāo)準(zhǔn)數(shù)據(jù)庫(kù)隱私度量標(biāo)準(zhǔn)隱私保護(hù)度。通常通過(guò)發(fā)布數(shù)據(jù)的披露風(fēng)險(xiǎn)來(lái)反映。披露風(fēng)險(xiǎn)越小，隱私保護(hù)度越高。數(shù)據(jù)的可用性。對(duì)發(fā)布數(shù)據(jù)質(zhì)量的度量，它反映

6、通過(guò)隱私保護(hù)技術(shù)處理后數(shù)據(jù)的信息丟失。數(shù)據(jù)缺損越高，信息丟失越多，數(shù)據(jù)利用率越低。 124.2 隱私度量4.2.2 隱私度量標(biāo)準(zhǔn)位置隱私度量標(biāo)準(zhǔn)隱私保護(hù)度。通常通過(guò)位置隱私的披露風(fēng)險(xiǎn)來(lái)反映。披露風(fēng)險(xiǎn)越小，隱私保護(hù)度越高。服務(wù)質(zhì)量。用于衡量隱私算法的優(yōu)劣，在相同的隱私保護(hù)度下，服務(wù)質(zhì)量越高說(shuō)明隱私保護(hù)算法越好。一般情況下，服務(wù)質(zhì)量由查詢響應(yīng)時(shí)間、計(jì)算和通信開(kāi)銷、查詢結(jié)果的精確性等來(lái)衡量。 134.2 隱私度量4.2.2 隱私度量標(biāo)準(zhǔn)數(shù)據(jù)隱私度量標(biāo)準(zhǔn)機(jī)密性。數(shù)據(jù)必須按照數(shù)據(jù)擁有者的要求保證一定的秘密性，不會(huì)被非授權(quán)的第三方非法獲知。完整性。完整性是指信息安全、精確與有效，不因?yàn)槿藶榈囊蛩囟淖冃畔?/p>

7、原有的內(nèi)容、形式和流向，即不能被未授權(quán)的第三方修改?？捎眯?。保證數(shù)據(jù)資源能夠提供既定的功能，無(wú)論何時(shí)何地，只要需要即可使用，而不因系統(tǒng)故障和誤操作等使資源丟失或妨礙對(duì)資源的使用。 144.3 隱私威脅4.3.1 隱私威脅模型用戶在網(wǎng)絡(luò)中使用數(shù)據(jù)庫(kù)、位置服務(wù)、數(shù)據(jù)等資源時(shí)，會(huì)在網(wǎng)絡(luò)中留下大量的個(gè)人信息，而網(wǎng)絡(luò)實(shí)體、服務(wù)提供商以及網(wǎng)絡(luò)偵聽(tīng)者等都可能是不可信。它們 會(huì)通過(guò)這些個(gè)人遺留在網(wǎng)絡(luò)中的信息，推理用戶的個(gè)人敏感信息，對(duì)用戶的隱私構(gòu)成嚴(yán)重的威脅。為了保護(hù)個(gè)人隱私，需要保護(hù)用戶的私人數(shù)據(jù)不被泄露給不可信的第三方。 154.3 隱私威脅4.3.2 隱私保護(hù)技術(shù)數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的技術(shù)。使

8、敏感數(shù)據(jù)失真但同時(shí)保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變的方法。如采用添加噪聲、交換等技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行擾動(dòng)處理，但要求保證處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計(jì)方面的性質(zhì)，以便進(jìn)行數(shù)據(jù)挖據(jù)等操作?；跀?shù)據(jù)加密的技術(shù)。采用加密技術(shù)在數(shù)據(jù)挖掘過(guò)程中隱藏敏感數(shù)據(jù)的方法，多用于分布式應(yīng)用環(huán)境，如安全多方計(jì)算 164.3 隱私威脅4.3.2 隱私保護(hù)技術(shù)位置隱私保護(hù)技術(shù)基于隱私保護(hù)策略的技術(shù)。通過(guò)制定一些常用的隱私管理規(guī)則和可信任的隱私協(xié)定來(lái)約束服務(wù)提供商能公平、安全的使用個(gè)人位置信息?；谀涿突煜夹g(shù)的技術(shù)。利用匿名和混淆技術(shù)分隔用戶身份標(biāo)識(shí)和其所在的位置信息、降低用戶位置信息的精度以達(dá)到隱私保護(hù)的目的?；诳臻g加

9、密的方法。通過(guò)對(duì)位置加密達(dá)到匿名的效果。 174.3 隱私威脅4.3.2 隱私保護(hù)技術(shù)數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的技術(shù)。使敏感數(shù)據(jù)失真但同時(shí)保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變的方法。如采用添加噪聲、交換等技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行擾動(dòng)處理，但要求保證處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計(jì)方面的性質(zhì)，以便進(jìn)行數(shù)據(jù)挖據(jù)等操作。基于數(shù)據(jù)加密的技術(shù)。采用加密技術(shù)在數(shù)據(jù)挖掘過(guò)程中隱藏敏感數(shù)據(jù)的方法，多用于分布式應(yīng)用環(huán)境，如安全多方計(jì)算。 184.3 隱私威脅4.3.2 隱私保護(hù)技術(shù)數(shù)據(jù)隱私保護(hù)技術(shù)支持計(jì)算的加密技術(shù)。是一類能滿足支持隱私保護(hù)的計(jì)算模式（如算數(shù)運(yùn)算、字符運(yùn)算等）的要求，通過(guò)加密手段保證數(shù)據(jù)的機(jī)密性，同時(shí)密文

10、能支持某些計(jì)算功能的加密方案的統(tǒng)稱。支持檢索的加密技術(shù)。指數(shù)據(jù)在加密狀態(tài)下可以對(duì)數(shù)據(jù)進(jìn)行精確檢索和模糊檢索，從而保護(hù)數(shù)據(jù)隱私的技術(shù)。 194.4 數(shù)據(jù)庫(kù)隱私4.4.1 基本概念和威脅模型隱私保護(hù)技術(shù)集中在數(shù)據(jù)挖掘和數(shù)據(jù)發(fā)布兩個(gè)領(lǐng)域數(shù)據(jù)挖掘中的隱私保護(hù) 。是如何在保護(hù)用戶隱私的前提下，能進(jìn)行有效的數(shù)據(jù)挖掘。數(shù)據(jù)發(fā)布中的隱私保護(hù)。是如何在保護(hù)用戶隱私的前提下，發(fā)布用戶的數(shù)據(jù)以供第三方有效的研究和使用。 204.4 數(shù)據(jù)庫(kù)隱私4.4.1 基本概念和威脅模型隱私保護(hù)技術(shù)集中在數(shù)據(jù)挖掘和數(shù)據(jù)發(fā)布兩個(gè)領(lǐng)域數(shù)據(jù)挖掘中的隱私保護(hù) 。是如何在保護(hù)用戶隱私的前提下，能進(jìn)行有效的數(shù)據(jù)挖掘。數(shù)據(jù)發(fā)布中的隱私保護(hù)。是如

11、何在保護(hù)用戶隱私的前提下，發(fā)布用戶的數(shù)據(jù)以供第三方有效的研究和使用。 214.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的隱私保護(hù)技術(shù) 通過(guò)擾動(dòng)原始數(shù)據(jù)來(lái)實(shí)現(xiàn)隱私保護(hù)，擾動(dòng)后的數(shù)據(jù)滿足：攻擊者不能發(fā)現(xiàn)真實(shí)的原始數(shù)據(jù)。經(jīng)過(guò)失真處理后的數(shù)據(jù)要能夠保持某些性質(zhì)不變 224.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的隱私保護(hù)技術(shù)隨機(jī)化。數(shù)據(jù)隨機(jī)化就是在原始數(shù)據(jù)中加入隨機(jī)噪聲，然后發(fā)布擾動(dòng)后的數(shù)據(jù)。隨機(jī)擾動(dòng)隨機(jī)應(yīng)答 3-2（a）隨機(jī)擾動(dòng)過(guò)程3-2 (b)重構(gòu)過(guò)程 234.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的隱私保護(hù)技術(shù)阻塞與凝聚。將原始數(shù)據(jù)記錄分成組，

12、每一組內(nèi)存儲(chǔ)由k條記錄產(chǎn)生的統(tǒng)計(jì)信息，包括每個(gè)屬性的均值、協(xié)方差等。 244.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)安全多方計(jì)算。安全多方計(jì)算協(xié)議是密碼學(xué)中非?；钴S的一個(gè)學(xué)術(shù)領(lǐng)域，有很強(qiáng)的理論和實(shí)際意義。它可以被描述為一個(gè)計(jì)算過(guò)程：兩個(gè)或多個(gè)協(xié)議參與者基于秘密輸入來(lái)計(jì)算一個(gè)函數(shù)。安全多方計(jì)算假定參與者愿意共享一些數(shù)據(jù)用于計(jì)算。但是，每個(gè)參與者都不希望自己的輸入被其他參與者或任何三方所知。 254.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)安全多方計(jì)算。一般來(lái)說(shuō)，安全多方計(jì)算可以看成是在具有n個(gè)參與者的分布式網(wǎng)絡(luò)中私密輸入x1,x2,x

13、n上的計(jì)算函數(shù)f(x1,x2,xn)，其中參與者i僅知道自己的輸入xi和輸出f(x1,x2,xn)，再?zèng)]有任何其它多余信息。如果假設(shè)有可信第三方存在，這個(gè)問(wèn)題的解決十分容易，參與者只需要將自己的輸入通過(guò)秘密通道傳送給可信第三方，由可信第三方計(jì)算這個(gè)函數(shù)，然后將結(jié)果廣播給每一個(gè)參與者即可。但是在現(xiàn)實(shí)中很難找到一個(gè)讓所有參與者都信任的的可信第三方。 264.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)分布式匿名化。匿名化就是隱藏?cái)?shù)據(jù)或數(shù)據(jù)來(lái)源。因?yàn)榇蠖鄶?shù)應(yīng)用都需要對(duì)原始數(shù)據(jù)進(jìn)行匿名處理以保證敏感信息的安全，并在此基礎(chǔ)上進(jìn)行挖掘、發(fā)布等操作。輸入： 站點(diǎn)S1,S2，數(shù)據(jù)ID

14、,A1,A2,An， ID,B1,B2,Bn輸出： k-匿名數(shù)據(jù)表T* 過(guò)程：1. 2個(gè)站點(diǎn)分別產(chǎn)生私有密鑰K1和K2，且滿足：E K1(EK2(D) = EK2(E K1(D)，其中D為任意數(shù)據(jù); 2. 表T* NULL； 3. while T*中數(shù)據(jù)不滿足k-匿名條件 do 4. 站點(diǎn)i(i=1或2) 4.1 泛化ID,A1,A2,An為ID,A1*,A2*,An*，其中A1*表示A1泛化后的值； 4.2 ID,A1,A2,AnID,A1*,A2*,An* 4.3 用Ki加密ID,A1*,A2*,An*并傳遞給另一站點(diǎn)； 4.4 用Ki加密另一站點(diǎn)加密的泛化數(shù)據(jù)并回傳； 4.5 根據(jù)兩個(gè)站

15、點(diǎn)加密后的ID值對(duì)數(shù)據(jù)進(jìn)行匹配，構(gòu)建經(jīng)K1和K2加密后的數(shù)據(jù)表T*ID,A1*,A2*,An*， ID,B1,B2,Bn 5. end while表4-1 分布式k-匿名算法 274.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)分布式關(guān)聯(lián)規(guī)則挖掘。在分布式環(huán)境下，關(guān)聯(lián)規(guī)則挖掘的關(guān)鍵是計(jì)算項(xiàng)集的全局計(jì)數(shù)，加密技術(shù)能保證在計(jì)算項(xiàng)集計(jì)數(shù)的同時(shí)，不會(huì)泄露隱私信息。分布式聚類?；陔[私保護(hù)的分布式聚類的關(guān)鍵是安全的計(jì)算數(shù)據(jù)間距離，有Nave聚類模型兩種模式和多次聚類模型，兩種模型都利用了加密技術(shù)實(shí)現(xiàn)信息的安全傳輸。 284.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于限制發(fā)

16、布隱私保護(hù)技術(shù)限制發(fā)布是指有選擇的發(fā)布原始數(shù)據(jù)、不發(fā)布或者發(fā)布精度較低的敏感數(shù)據(jù)以實(shí)現(xiàn)隱私保護(hù)。當(dāng)前基于限制發(fā)布隱私保護(hù)方法主要采用數(shù)據(jù)匿名化技術(shù)，即在隱私披露風(fēng)險(xiǎn)和數(shù)據(jù)精度之間進(jìn)行折中，有選擇地發(fā)布敏感數(shù)據(jù)及可能披露敏感數(shù)據(jù)的信息，但保證敏感數(shù)據(jù)及隱私的披露風(fēng)險(xiǎn)在可容忍的范圍內(nèi)。 294.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)基于限制發(fā)布隱私保護(hù)技術(shù)數(shù)據(jù)匿名化的基本操作：抑制。抑制某數(shù)據(jù)項(xiàng)。泛化。即對(duì)數(shù)據(jù)進(jìn)行更抽象和概括的描述。如把年齡30歲泛化成區(qū)間 20,40的形式，因?yàn)?0歲在區(qū)間20,40內(nèi)。數(shù)據(jù)匿名化的原則：數(shù)據(jù)匿名化處理的原始數(shù)據(jù)一般為數(shù)據(jù)表形式，表中每一行是一個(gè)記錄，對(duì)應(yīng)

17、一個(gè)人。每條記錄包含多個(gè)屬性（數(shù)據(jù)項(xiàng)），這些屬性可分為3類 304.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)匿名化記錄屬性顯示標(biāo)識(shí)符（explicit identifier）。能唯一表示單一個(gè)體的屬性，如身份證、姓名等。準(zhǔn)標(biāo)識(shí)符（quasi-identifiers）。幾個(gè)屬性聯(lián)合起來(lái)可以唯一標(biāo)識(shí)一個(gè)人，如郵編，性別，出生年月等聯(lián)合起來(lái)可能是一個(gè)準(zhǔn)標(biāo)識(shí)符。敏感屬性（sensitive attribute）。包含用戶隱私數(shù)據(jù)的屬性，如疾病、收入、宗教信仰等。 314.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)匿名化記錄屬性姓名年齡性別郵編疾病Betty25F12300艾滋病Linda35M1

18、3000消化不良Bill21M12000消化不良Sam35M14000肺炎John71M27000肺炎David65F54000胃潰瘍Alice63F24000流行感冒Susan70F30000支氣管炎表3-2 某醫(yī)院原始診斷記錄表 324.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)匿名化原則K-匿名。K-匿名方法通常采用泛化和壓縮技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行匿名化處理以便得到滿足k-匿名規(guī)則的匿名數(shù)據(jù)，從而使得攻擊者不能根據(jù)發(fā)布的匿名數(shù)據(jù)準(zhǔn)確的識(shí)別出目標(biāo)個(gè)體的記錄。組標(biāo)識(shí)年齡性別郵編疾病12, 60F12000,15000艾滋病12, 60M12000,15000消化不良12, 60M12000,1

19、5000消化不良12, 60M12000,15000肺炎261, 75M23000,55000肺炎261, 75F23000,55000胃潰瘍261, 75F23000,55000流行感冒261, 75F23000,55000支氣管炎表4-4 4-匿名數(shù)據(jù) 334.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)匿名化原則l-diversity。將原始數(shù)據(jù)中的記錄劃分成多個(gè)等價(jià)類，并利用泛化技術(shù)使得每個(gè)等價(jià)類中的記錄都擁有相同的準(zhǔn)標(biāo)識(shí)符屬性，l-diversity規(guī)則要求每個(gè)等價(jià)類的敏感屬性至少有l(wèi)個(gè)不同的值。表4-3 3-diversity年齡性別郵編疾病25F12300艾滋病35M13000消

20、化不良21M12000消化不良35M14000肺炎71M27000肺炎65F54000胃潰瘍63F24000流行感冒70F30000支氣管炎 344.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)匿名化規(guī)則t-closeness。t-closeness規(guī)則要求匿名數(shù)據(jù)中的每個(gè)等價(jià)類中敏感屬性值得分布接近于原始數(shù)據(jù)中的敏感屬性值的分布，兩個(gè)分布之間的距離不超過(guò)閾值t。Anatomy規(guī)則。Anatomy首先利用原始數(shù)據(jù)產(chǎn)生滿足l-diversity原則的數(shù)據(jù)劃分，然后將結(jié)果分成兩張數(shù)據(jù)表發(fā)布，一張表包含每個(gè)記錄的準(zhǔn)標(biāo)識(shí)符屬性值和該記錄的等價(jià)類ID號(hào)，另一張表包含等價(jià)類ID、每個(gè)等價(jià)類的敏感屬性值及其

21、計(jì)數(shù)。 354.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)數(shù)據(jù)匿名化算法基于通用原則的匿名化算法。通常包括泛化空間枚舉、空間修剪、選取最優(yōu)化泛化、結(jié)果判斷與輸出等步驟?；谕ㄓ媚涿瓌t的匿名算法大都是基于k-匿名算法，不同之處僅在于判斷算法結(jié)束的條件，而泛化策略、空間修剪等都是基本相同的。面向特定目標(biāo)的匿名化算法。面向特定目標(biāo)的匿名化算法就是針對(duì)特定應(yīng)用場(chǎng)景的隱私化算法。 364.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)數(shù)據(jù)匿名化算法基于聚類的匿名化算法。它將原始記錄映射到特定的度量空間，在對(duì)空間中的點(diǎn)進(jìn)行聚類來(lái)實(shí)現(xiàn)數(shù)據(jù)匿名?；诰垲惖哪涿惴媾R的挑戰(zhàn)。 如何對(duì)原始數(shù)據(jù)的不同屬性進(jìn)行

22、加權(quán)，因?yàn)閷?duì)屬性的度量越準(zhǔn)確，聚類的效果就越好。如何使不同性質(zhì)的屬性同意映射到同一度量空間。 374.4 數(shù)據(jù)庫(kù)隱私4.4.2 數(shù)據(jù)庫(kù)隱私保護(hù)技術(shù)數(shù)據(jù)匿名化場(chǎng)景 圖4-3 數(shù)據(jù)匿名化場(chǎng)景4.5 位置隱私4.5.1 基本概念 384.5 位置隱私4.5.1 基本概念軍事和政府產(chǎn)業(yè)GPS系統(tǒng)，最初主要用于軍事和涉及國(guó)家重要利益的民用領(lǐng)域商業(yè)領(lǐng)域信息娛樂(lè)服務(wù)（娛樂(lè)場(chǎng)所查詢、廣告、社交等），定位服務(wù)，追蹤服務(wù)，道路輔助與導(dǎo)航服務(wù)緊急救援1996年,FCC頒布法規(guī)要求移動(dòng)通信運(yùn)營(yíng)商為手機(jī)用戶提供緊急求援服務(wù)。2003年歐洲實(shí)施“US FCC”標(biāo)準(zhǔn) 394.5 位置隱私4.5.1 基本概念用戶對(duì)自己位置信

23、息的掌控能力是否發(fā)布發(fā)布給誰(shuí)詳細(xì)程度保護(hù)位置隱私的重要性三要素：時(shí)間、地點(diǎn)、人物人身安全隱私泄露位置隱私面臨的威脅通信服務(wù)商攻擊者 404.5 位置隱私4.5.1 基本概念位置信息與個(gè)人隱私 414.5 位置隱私移動(dòng)設(shè)備用戶使用移動(dòng)設(shè)備向服務(wù)器發(fā)送查詢。定位系統(tǒng)通過(guò)定位系統(tǒng)獲得查詢位置網(wǎng)絡(luò)查詢和結(jié)果通過(guò)網(wǎng)絡(luò)傳輸LBS服務(wù)器提供基于位置的服務(wù) 424.5.1物聯(lián)網(wǎng)中LBS的體系結(jié)構(gòu)物聯(lián)網(wǎng)中LBS的通用威脅模型假定LBS服務(wù)器是惡意觀察者現(xiàn)實(shí)中是一個(gè)復(fù)雜的多方面的問(wèn)題移動(dòng)設(shè)備可能被俘獲，泄露用戶信息。網(wǎng)絡(luò)傳輸可能被監(jiān)聽(tīng)和遭受中間人攻擊。 434.5 位置隱私用戶標(biāo)識(shí) 位置數(shù)據(jù)LBS 服務(wù)提供商查找

24、離我最近的大使館搜索去商店的路線 444.5.1 隱私威脅模型4.5 位置隱私利用GPS軌跡數(shù)據(jù)分析基礎(chǔ)交通設(shè)施的建設(shè)情況，更新和優(yōu)化交通設(shè)施商品連鎖店根據(jù)用戶的刷卡情況，分析用戶的消費(fèi)習(xí)慣等公司收集用戶的軌跡數(shù)據(jù)用戶標(biāo)識(shí) 軌跡數(shù)據(jù) 454.5 LBS和隱私 464.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)LBS中的隱私問(wèn)題引起了用戶、服務(wù)商和政府的廣泛關(guān)注隱私保護(hù)問(wèn)題已成為L(zhǎng)BS發(fā)展的瓶頸，是LBS應(yīng)用亟待突破的重要問(wèn)題，其重要性和緊迫性不容忽視，直接影響到LBS的健康發(fā)展和普及 474.5 隱私的定義隱私定義指?jìng)€(gè)人、機(jī)構(gòu)等實(shí)體不愿意被外人知曉的信息。個(gè)人隱私數(shù)據(jù)擁有者不愿意被披露的敏感信息。位置隱私指防

25、止未授權(quán)實(shí)體知道自己當(dāng)前或過(guò)去的位置信息的能力。軌跡隱私一種特殊的位置隱私，指?jìng)€(gè)人軌跡本身含有的敏感信息或者由運(yùn)行軌跡推導(dǎo)出的其他個(gè)人信息。 484.5 隱私定義敏感信息有關(guān)用戶的時(shí)空信息、查詢請(qǐng)求內(nèi)容中涉及醫(yī)療或金融的信息，推斷出的用戶的運(yùn)動(dòng)模式、用戶的興趣愛(ài)好等個(gè)人隱私信息。位置隱私威脅是指攻擊者在某授權(quán)的情況下通過(guò)定位位置傳輸設(shè)備、竊聽(tīng)位置信息傳輸通道等方式訪問(wèn)到原始的位置數(shù)據(jù)，并計(jì)算推理獲取的與位置相關(guān)的個(gè)人隱私信息。 494.5 物聯(lián)網(wǎng)中LBS的隱私泄露位置隱私泄露位置，包括用戶過(guò)去和現(xiàn)在的位置查詢隱私泄露查詢內(nèi)容，例如，查詢離我最近的腫瘤治療醫(yī)院軌跡隱私泄露對(duì)軌跡數(shù)據(jù)的攻擊性推理和

26、計(jì)算可以推導(dǎo)出個(gè)人的興趣愛(ài)好， 家庭住址，健康狀況和政治傾向等 504.5 物聯(lián)網(wǎng)中LBS的隱私保護(hù)位置隱私度量避免用戶和某一精確位置相匹配查詢隱私度量避免用戶和某一敏感信息（查詢屬性、內(nèi)容）相匹配軌跡隱私度量避免用戶和某一精確的軌跡相匹配 514.5 網(wǎng)聯(lián)網(wǎng)中LBS的隱私度量位置隱私度量Location k-anonymityLocation l-diversity or Road Segment s-diversity查詢隱私度量K-anonymity、Location entropy、Query attribute軌跡隱私度量 融合攻擊者背景知識(shí)的隱私度量機(jī)制 524.5 物聯(lián)網(wǎng)中LBS

27、隱私保護(hù)方法假位置(Dummy)通過(guò)制造假位置，達(dá)到以假亂真的效果時(shí)空匿名(spati-temporal cloaking)將用戶的位置擴(kuò)展到一個(gè)時(shí)空區(qū)域，達(dá)到匿名效果。空間加密(Space Encyption)通過(guò)對(duì)位置加密，達(dá)到匿名效果私有信息檢索(Private Information Retrieval)把隱私保護(hù)轉(zhuǎn)化為NN問(wèn)題，通過(guò)加密技術(shù)實(shí)現(xiàn) 534.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法發(fā)布假位置通過(guò)提交一些假位置，達(dá)到位置匿名的效果 544.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法空間匿名把位置點(diǎn)擴(kuò)展到一個(gè)時(shí)空區(qū)域，達(dá)到匿名的效果 554.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法空間加密通過(guò)對(duì)位置加密，達(dá)

28、到匿名效果 564.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法PIR允許用戶私自從數(shù)據(jù)庫(kù)檢索信息，而不需要數(shù)據(jù)庫(kù)服務(wù)器知道用戶的特定請(qǐng)求信息Ghinita, G. (2009). Private queries and trajectory anonymization: A dual perspective on location privacy. Transactions on Data Privacy 2(1): 3-19. 574.5 感知隱私保護(hù)的查詢處理假位置移動(dòng)對(duì)象數(shù)據(jù)庫(kù)中的查詢處理技術(shù)，無(wú)需作任何修改時(shí)空匿名設(shè)計(jì)基于區(qū)域位置的查詢處理技術(shù)，查詢結(jié)果是一個(gè)包含真實(shí)結(jié)果的超集空間加密查詢技術(shù)與使

29、用的加密協(xié)議有關(guān)，如支持檢索的加密技術(shù) 584.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu)獨(dú)立結(jié)構(gòu)優(yōu)點(diǎn)：結(jié)構(gòu)簡(jiǎn)單，易于配置缺點(diǎn)：客戶端負(fù)擔(dān)較重； 缺乏全局信息，隱蔽性弱。 594.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu)中心服務(wù)器結(jié)構(gòu)優(yōu)點(diǎn)（1）減輕了客戶端負(fù)擔(dān) （2）具有全局信息，隱私保護(hù)效果好缺點(diǎn)（1）成為系統(tǒng)瓶頸 （2）成為系統(tǒng)的唯一攻擊點(diǎn) 604.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu)分布式點(diǎn)對(duì)點(diǎn)結(jié)構(gòu)優(yōu)點(diǎn)（1）消除唯一攻擊點(diǎn) （2）具有全局信息，隱私保護(hù)效果好缺點(diǎn)（1）網(wǎng)絡(luò)通信代價(jià)高匿名組 614.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)內(nèi)容隱私保護(hù)方法位置隱私保護(hù)方法查詢隱私保護(hù)方法軌跡隱私保護(hù)方法感知隱私的查詢處理

30、基于區(qū)域位置的查詢處理技術(shù)基于加密位置的查詢處理技術(shù)隱私度量方法位置、查詢隱私度量軌跡隱私度量 624.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)模型位置k-匿名當(dāng)前僅當(dāng)一個(gè)用戶的位置和其他（k-1）用戶的位置無(wú)法區(qū)分時(shí)，稱該用戶滿足位置k-匿名 634.5 基于四分樹(shù)的隱私保護(hù)方法問(wèn)題面對(duì)大量移動(dòng)用戶，如何快速高效的為移動(dòng)用戶尋找匿名集解決方法位置k-匿名中提出了基于四分樹(shù)的方法，即遞歸式的劃分空間，直至某一子空間內(nèi)的用戶數(shù)小于k,則返回其上一級(jí)的子空間作為位置匿名區(qū)域K=3 644.5 基于四分樹(shù)的隱私保護(hù)方法缺點(diǎn)所有移動(dòng)用戶都假定使用同一個(gè)系統(tǒng)靜態(tài)k值，不適應(yīng)個(gè)性化隱私需求。就產(chǎn)生的匿名集大小，沒(méi)有提供

31、任何服務(wù)質(zhì)量保證和評(píng)估解決方法個(gè)性化的位置隱私K-匿名模型K=3 654.5 基于個(gè)性化的位置k-匿名模型問(wèn)題如何為每一個(gè)用戶提供滿足個(gè)性化隱私需求的匿名方法解決方法利用圖模型形式化的定義此問(wèn)題，并把尋找匿名集轉(zhuǎn)化為在圖中尋找k-點(diǎn)團(tuán)的問(wèn)題 664.5 物聯(lián)網(wǎng)中LBS連續(xù)查詢隱私保護(hù)問(wèn)題位置服務(wù)中現(xiàn)有的隱私保護(hù)工作均針對(duì)snapshot查詢類型,將現(xiàn)有匿名算法直接應(yīng)用于連續(xù)查詢會(huì)產(chǎn)生查詢隱私泄露 A,B,DA,B,FA,C,F=A Q1,Q2,Q4 Q1,Q2,Q6Q1 ,Q3 ,Q 5=Q1解決方法連續(xù)查詢的用戶在最初時(shí)刻形成的匿名集在其查詢有效期內(nèi)均有效 67 684.5 軌跡隱私4.5.

32、3 軌跡隱私保護(hù)技術(shù)基本概念軌跡是指某個(gè)移動(dòng)對(duì)象的位置信息按時(shí)間排序的序列。通常情況下，軌跡T可以表示為T=qi,(x1,y1,t1), (x2,y2,t2), (xn,yn,tn). 其中，qi表示該軌跡的標(biāo)識(shí)符，它通常代表移動(dòng)對(duì)象、個(gè)體或某種服務(wù)的用戶，(xi,yi,ti)(1in)表示移動(dòng)對(duì)象在ti時(shí)刻的位置(xi,yi)，也稱為采樣位置或采樣點(diǎn)，ti為采樣時(shí)間。軌跡隱私是一種特殊的個(gè)人隱私，它是指?jìng)€(gè)人運(yùn)行軌跡本身含有的敏感信息，或者由運(yùn)行軌跡推導(dǎo)出的其它個(gè)人信息，如家庭地址、工作單位、生活習(xí)慣、宗教信仰等。4.5 物聯(lián)網(wǎng)中LBS軌跡隱私保護(hù)基本概念針對(duì)軌跡數(shù)據(jù)的攻擊性推理可能導(dǎo)致個(gè)人隱

33、私信息的暴露現(xiàn)有位置隱私保護(hù)技術(shù)并不能解決軌跡隱私泄露問(wèn)題解決方法基于假數(shù)據(jù)的軌跡隱私保護(hù)技術(shù)基于泛化的軌跡隱私保護(hù)技術(shù)基于抑制法的軌跡隱私保護(hù)技術(shù) 694.5 物聯(lián)網(wǎng)中LBS軌跡隱私保護(hù)問(wèn)題針對(duì)軌跡數(shù)據(jù)的攻擊性推理可能導(dǎo)致個(gè)人隱私信息的暴露現(xiàn)有位置隱私保護(hù)技術(shù)并不能解決軌跡隱私泄露問(wèn)題解決方法基于假數(shù)據(jù)的軌跡隱私保護(hù)技術(shù)基于泛化的軌跡隱私保護(hù)技術(shù)基于抑制法的軌跡隱私保護(hù)技術(shù) 704.5 物聯(lián)網(wǎng)中LBS感知隱私的查詢問(wèn)題如何在位置被匿名后提供用戶滿意的服務(wù)。兩種位置數(shù)據(jù)類型：（1）公開(kāi)位置數(shù)據(jù)。如加油站、旅館（2）隱私位置數(shù)據(jù)。如個(gè)人位置 714.5 物聯(lián)網(wǎng)中LBS隱私度量問(wèn)題隱私保護(hù)方法用于

34、實(shí)際中時(shí)并不能達(dá)到理論上的隱私保護(hù)效果，用戶需要當(dāng)前所用隱私保護(hù)程度的反饋如何評(píng)估保護(hù)隱私的技術(shù)水平是否有所提高解決方法建立一種隱私度量機(jī)制評(píng)估服務(wù)系統(tǒng)的隱私保護(hù)效果位置隱私度量、查詢隱私度量軌跡隱私度量 724.5 物聯(lián)網(wǎng)中LBS隱私度量隱私度量建立一個(gè)融合攻擊者背景知識(shí)的統(tǒng)一隱私度量框架，提出一些新的指標(biāo) 73 744.6外包 數(shù)據(jù)隱私4.6.1 基本概念數(shù)據(jù)隱私外包計(jì)算模式下的數(shù)據(jù)隱私具有以下兩個(gè)獨(dú)有的特點(diǎn)：（1）外包計(jì)算模式下的數(shù)據(jù)隱私是一種廣義的隱私，其主體包括自然人和法人（企業(yè)）；（2）傳統(tǒng)網(wǎng)絡(luò)中的隱私問(wèn)題主要發(fā)生在信息傳輸和存儲(chǔ)的過(guò)程中，外包計(jì)算模式下不僅要考慮數(shù)據(jù)傳輸和存儲(chǔ)中的

35、隱私問(wèn)題，還要考慮數(shù)據(jù)計(jì)算和檢索過(guò)程中可能出現(xiàn)的隱私泄露。表4-4 4-匿名數(shù)據(jù) 754.6外包 數(shù)據(jù)隱私4.6.1 基本概念支持計(jì)算的加密技術(shù)支持計(jì)算的加密技術(shù)。能滿足支持隱私保護(hù)的計(jì)算模式的要求，通過(guò)加密手段保證數(shù)據(jù)的機(jī)密性，同時(shí)密文能支持某些計(jì)算功能的加密方案的統(tǒng)稱。支持計(jì)算的加密方案。（1）密鑰生成算法Gen為用戶U產(chǎn)生密鑰Key；（2）加密算法Enc可能為概率算法；（3）解密算法Dec為確定算法。（4）密文計(jì)算算法Cal可能為概率算法。 764.6外包 數(shù)據(jù)隱私4.6.2 隱私威脅模型圖4-13 外包計(jì)算模式下的隱私威脅模型 774.6外包 數(shù)據(jù)隱私4.6.2 隱私威脅模型數(shù)據(jù)從數(shù)據(jù)擁有者傳遞到服務(wù)提供者的過(guò)程中，外部攻擊者可以通過(guò)竊聽(tīng)的方式盜取數(shù)據(jù)；外部攻擊者可通過(guò)無(wú)授權(quán)的訪問(wèn)、木馬和釣魚(yú)軟件等方式來(lái)破壞服務(wù)提供者對(duì)用戶數(shù)據(jù)和程序的保護(hù)，實(shí)現(xiàn)非法訪問(wèn)。外部攻擊者可通過(guò)觀察用戶發(fā)出的請(qǐng)求，從而獲得用戶的習(xí)慣、目的等隱私信息。由于數(shù)據(jù)擁有者的數(shù)據(jù)存放在服務(wù)提供者的存儲(chǔ)介質(zhì)上，程序運(yùn)行在服務(wù)提供者的服務(wù)器中，因此內(nèi)部攻擊者要發(fā)起攻擊更為容易。以上4種威脅中，前三種是傳統(tǒng)網(wǎng)絡(luò)安全問(wèn)題，可以通過(guò)已有的訪問(wèn)控制機(jī)制來(lái)限制攻擊者的無(wú)授權(quán)訪問(wèn)，通過(guò)VPN、OpenSSH或Tor等方法來(lái)保證通信線路的安全。最后一種威