《物聯網信息安全》(桂小林版)(第4章)課件

1、第四章 隱私安全桂小林2014.9.17 24.1 隱私定義4.2 隱私度量4.3 隱私威脅4.4 數據庫隱私4.5 位置隱私4.6 外包數據隱私4.7 本章小結本章內容 3第四章 隱私安全基本要求熟悉隱私的概念和度量了解隱私的威脅模型和隱私保護方法熟悉數據隱私、位置隱私、外包數據隱私的概念、威脅模型和保護技術根據本章文獻，參閱一篇感興趣的文獻并總結。 4第四章 隱私安全 隱私對個人發(fā)展及建立社會成員之間的信任都是絕對重要和必不可少的。它對個人而言是非常重要的，且被社會所尊重，已被國際公認是個人的自然權力。 然而，隨著智能手機、無線傳感網絡、RFID等信息采集終端在物聯網中的廣泛應用，物聯網中

2、將承載大量涉及人們日常生活的隱私信息（如位置信息、敏感數據等），隱私保護問題也顯得越來越重要。如不能很好地解決隱私保護問題，人們對隱私泄露的擔憂勢必成為物聯網推行過程的最大障礙之一。 本章將介紹隱私的概念、度量、威脅；重點介紹數據庫隱私、位置隱私和數據隱私等的相關內容。 54.1 隱私的定義什么是隱私？據文獻記載，隱私的詞義來源于西方，一般認為最早關注隱私權的文章是美國人沃論（Samuel DWarren）和布蘭戴斯（Louis DBrandeis）發(fā)表的隱私權（The Right to Privacy）。2002年全國人大起草民法典草案，對隱私權保護的隱私做了規(guī)定，包括私人信息、私人活動、私

3、人空間和私人的生活安寧等四個方面。王利明教授在隱私權的新發(fā)展中指出“隱私是凡個人不愿意對外公開的、且隱匿信息不違反法律和社會公共利益的私人生活秘密，都構成受法律保護的隱私”。 64.1 隱私的定義什么是隱私？狹義的隱私是指以自然人為主體而不包括商業(yè)秘密在內的個人秘密。廣義隱私的主體是自然人與法人，客體包括商業(yè)秘密。簡單來說，隱私就是個人、機構或組織等實體不愿意被外部世界知曉的信息。在具體應用中，隱私為數據擁有者不愿意被披露的敏感信息，包括敏感數據以及數據所表征的特性，如個人的興趣愛好、身體狀況、宗教信仰、公司的財務信息等。 74.1 隱私的定義隱私分類個人隱私（Individual priva

4、cy）：一般是指數據擁有者不愿意披露的敏感信息，如個人的興趣愛好、健康狀況、收入水平、宗教信仰和政治傾向等。在個人隱私的概念中主要涉及4個范疇：信息隱私、收集和處理個人數據的方法和規(guī)則，如個人信用信息、醫(yī)療和檔案信息，信息隱私也被認為數據隱私；人身隱私，對涉及侵犯個人物理狀況相關信息，如基因測試等；通信隱私，郵件、電話、電子郵件以及其它形式的個人通信的信息；空間信息，對干涉自有地理空間的制約，包括辦公場所、公共場所，如搜查、跟蹤、身份檢查等。 84.1 隱私的定義隱私分類共同隱私（Corporate privacy: 共同隱私不僅包含個人隱私，還包含所有個人共同表現出來但不愿被暴露的信息，如公

5、司員工的平均薪資、薪資分布等信息。什么是隱私權？隱私權：個人信息的自我決定權 ，包含個人信息、身體、財產或者自我決定等。物聯網與隱私不當使用會侵害隱私恰當的技術可以保護隱私4.1 隱私的定義 104.2 隱私度量4.2.1 隱私度量的概念隱私度量是指用來評估個人的隱私水平及隱私保護技術應用于實際生活中能達到的效果，同時也為了測量“隱私”這個概念。本書主要從數據庫隱私、位置隱私、數據隱私三個方面介紹隱私度量方法及標準 114.2 隱私度量4.2.2 隱私度量標準數據庫隱私度量標準隱私保護度。通常通過發(fā)布數據的披露風險來反映。披露風險越小，隱私保護度越高。數據的可用性。對發(fā)布數據質量的度量，它反映

6、通過隱私保護技術處理后數據的信息丟失。數據缺損越高，信息丟失越多，數據利用率越低。 124.2 隱私度量4.2.2 隱私度量標準位置隱私度量標準隱私保護度。通常通過位置隱私的披露風險來反映。披露風險越小，隱私保護度越高。服務質量。用于衡量隱私算法的優(yōu)劣，在相同的隱私保護度下，服務質量越高說明隱私保護算法越好。一般情況下，服務質量由查詢響應時間、計算和通信開銷、查詢結果的精確性等來衡量。 134.2 隱私度量4.2.2 隱私度量標準數據隱私度量標準機密性。數據必須按照數據擁有者的要求保證一定的秘密性，不會被非授權的第三方非法獲知。完整性。完整性是指信息安全、精確與有效，不因為人為的因素而改變信息

7、原有的內容、形式和流向，即不能被未授權的第三方修改。可用性。保證數據資源能夠提供既定的功能，無論何時何地，只要需要即可使用，而不因系統(tǒng)故障和誤操作等使資源丟失或妨礙對資源的使用。 144.3 隱私威脅4.3.1 隱私威脅模型用戶在網絡中使用數據庫、位置服務、數據等資源時，會在網絡中留下大量的個人信息，而網絡實體、服務提供商以及網絡偵聽者等都可能是不可信。它們 會通過這些個人遺留在網絡中的信息，推理用戶的個人敏感信息，對用戶的隱私構成嚴重的威脅。為了保護個人隱私，需要保護用戶的私人數據不被泄露給不可信的第三方。 154.3 隱私威脅4.3.2 隱私保護技術數據庫隱私保護技術基于數據失真的技術。使

8、敏感數據失真但同時保持某些數據或數據屬性不變的方法。如采用添加噪聲、交換等技術對原始數據進行擾動處理，但要求保證處理后的數據仍然可以保持某些統(tǒng)計方面的性質，以便進行數據挖據等操作。基于數據加密的技術。采用加密技術在數據挖掘過程中隱藏敏感數據的方法，多用于分布式應用環(huán)境，如安全多方計算 164.3 隱私威脅4.3.2 隱私保護技術位置隱私保護技術基于隱私保護策略的技術。通過制定一些常用的隱私管理規(guī)則和可信任的隱私協(xié)定來約束服務提供商能公平、安全的使用個人位置信息?；谀涿突煜夹g的技術。利用匿名和混淆技術分隔用戶身份標識和其所在的位置信息、降低用戶位置信息的精度以達到隱私保護的目的?；诳臻g加

9、密的方法。通過對位置加密達到匿名的效果。 174.3 隱私威脅4.3.2 隱私保護技術數據庫隱私保護技術基于數據失真的技術。使敏感數據失真但同時保持某些數據或數據屬性不變的方法。如采用添加噪聲、交換等技術對原始數據進行擾動處理，但要求保證處理后的數據仍然可以保持某些統(tǒng)計方面的性質，以便進行數據挖據等操作。基于數據加密的技術。采用加密技術在數據挖掘過程中隱藏敏感數據的方法，多用于分布式應用環(huán)境，如安全多方計算。 184.3 隱私威脅4.3.2 隱私保護技術數據隱私保護技術支持計算的加密技術。是一類能滿足支持隱私保護的計算模式（如算數運算、字符運算等）的要求，通過加密手段保證數據的機密性，同時密文

10、能支持某些計算功能的加密方案的統(tǒng)稱。支持檢索的加密技術。指數據在加密狀態(tài)下可以對數據進行精確檢索和模糊檢索，從而保護數據隱私的技術。 194.4 數據庫隱私4.4.1 基本概念和威脅模型隱私保護技術集中在數據挖掘和數據發(fā)布兩個領域數據挖掘中的隱私保護 。是如何在保護用戶隱私的前提下，能進行有效的數據挖掘。數據發(fā)布中的隱私保護。是如何在保護用戶隱私的前提下，發(fā)布用戶的數據以供第三方有效的研究和使用。 204.4 數據庫隱私4.4.1 基本概念和威脅模型隱私保護技術集中在數據挖掘和數據發(fā)布兩個領域數據挖掘中的隱私保護 。是如何在保護用戶隱私的前提下，能進行有效的數據挖掘。數據發(fā)布中的隱私保護。是如

11、何在保護用戶隱私的前提下，發(fā)布用戶的數據以供第三方有效的研究和使用。 214.4 數據庫隱私4.4.2 數據庫隱私保護技術基于數據失真的隱私保護技術 通過擾動原始數據來實現隱私保護，擾動后的數據滿足：攻擊者不能發(fā)現真實的原始數據。經過失真處理后的數據要能夠保持某些性質不變 224.4 數據庫隱私4.4.2 數據庫隱私保護技術基于數據失真的隱私保護技術隨機化。數據隨機化就是在原始數據中加入隨機噪聲，然后發(fā)布擾動后的數據。隨機擾動隨機應答 3-2（a）隨機擾動過程3-2 (b)重構過程 234.4 數據庫隱私4.4.2 數據庫隱私保護技術基于數據失真的隱私保護技術阻塞與凝聚。將原始數據記錄分成組，

12、每一組內存儲由k條記錄產生的統(tǒng)計信息，包括每個屬性的均值、協(xié)方差等。 244.4 數據庫隱私4.4.2 數據庫隱私保護技術基于數據加密的隱私保護技術安全多方計算。安全多方計算協(xié)議是密碼學中非常活躍的一個學術領域，有很強的理論和實際意義。它可以被描述為一個計算過程：兩個或多個協(xié)議參與者基于秘密輸入來計算一個函數。安全多方計算假定參與者愿意共享一些數據用于計算。但是，每個參與者都不希望自己的輸入被其他參與者或任何三方所知。 254.4 數據庫隱私4.4.2 數據庫隱私保護技術基于數據加密的隱私保護技術安全多方計算。一般來說，安全多方計算可以看成是在具有n個參與者的分布式網絡中私密輸入x1,x2,x

13、n上的計算函數f(x1,x2,xn)，其中參與者i僅知道自己的輸入xi和輸出f(x1,x2,xn)，再沒有任何其它多余信息。如果假設有可信第三方存在，這個問題的解決十分容易，參與者只需要將自己的輸入通過秘密通道傳送給可信第三方，由可信第三方計算這個函數，然后將結果廣播給每一個參與者即可。但是在現實中很難找到一個讓所有參與者都信任的的可信第三方。 264.4 數據庫隱私4.4.2 數據庫隱私保護技術基于數據加密的隱私保護技術分布式匿名化。匿名化就是隱藏數據或數據來源。因為大多數應用都需要對原始數據進行匿名處理以保證敏感信息的安全，并在此基礎上進行挖掘、發(fā)布等操作。輸入： 站點S1,S2，數據ID

14、,A1,A2,An， ID,B1,B2,Bn輸出： k-匿名數據表T* 過程：1. 2個站點分別產生私有密鑰K1和K2，且滿足：E K1(EK2(D) = EK2(E K1(D)，其中D為任意數據; 2. 表T* NULL； 3. while T*中數據不滿足k-匿名條件 do 4. 站點i(i=1或2) 4.1 泛化ID,A1,A2,An為ID,A1*,A2*,An*，其中A1*表示A1泛化后的值； 4.2 ID,A1,A2,AnID,A1*,A2*,An* 4.3 用Ki加密ID,A1*,A2*,An*并傳遞給另一站點； 4.4 用Ki加密另一站點加密的泛化數據并回傳； 4.5 根據兩個站

15、點加密后的ID值對數據進行匹配，構建經K1和K2加密后的數據表T*ID,A1*,A2*,An*， ID,B1,B2,Bn 5. end while表4-1 分布式k-匿名算法 274.4 數據庫隱私4.4.2 數據庫隱私保護技術基于數據加密的隱私保護技術分布式關聯規(guī)則挖掘。在分布式環(huán)境下，關聯規(guī)則挖掘的關鍵是計算項集的全局計數，加密技術能保證在計算項集計數的同時，不會泄露隱私信息。分布式聚類。基于隱私保護的分布式聚類的關鍵是安全的計算數據間距離，有Nave聚類模型兩種模式和多次聚類模型，兩種模型都利用了加密技術實現信息的安全傳輸。 284.4 數據庫隱私4.4.2 數據庫隱私保護技術基于限制發(fā)

16、布隱私保護技術限制發(fā)布是指有選擇的發(fā)布原始數據、不發(fā)布或者發(fā)布精度較低的敏感數據以實現隱私保護。當前基于限制發(fā)布隱私保護方法主要采用數據匿名化技術，即在隱私披露風險和數據精度之間進行折中，有選擇地發(fā)布敏感數據及可能披露敏感數據的信息，但保證敏感數據及隱私的披露風險在可容忍的范圍內。 294.4 數據庫隱私4.4.2 數據庫隱私保護技術基于限制發(fā)布隱私保護技術數據匿名化的基本操作：抑制。抑制某數據項。泛化。即對數據進行更抽象和概括的描述。如把年齡30歲泛化成區(qū)間 20,40的形式，因為30歲在區(qū)間20,40內。數據匿名化的原則：數據匿名化處理的原始數據一般為數據表形式，表中每一行是一個記錄，對應

17、一個人。每條記錄包含多個屬性（數據項），這些屬性可分為3類 304.4 數據庫隱私4.4.2 數據庫隱私保護技術匿名化記錄屬性顯示標識符（explicit identifier）。能唯一表示單一個體的屬性，如身份證、姓名等。準標識符（quasi-identifiers）。幾個屬性聯合起來可以唯一標識一個人，如郵編，性別，出生年月等聯合起來可能是一個準標識符。敏感屬性（sensitive attribute）。包含用戶隱私數據的屬性，如疾病、收入、宗教信仰等。 314.4 數據庫隱私4.4.2 數據庫隱私保護技術匿名化記錄屬性姓名年齡性別郵編疾病Betty25F12300艾滋病Linda35M1

18、3000消化不良Bill21M12000消化不良Sam35M14000肺炎John71M27000肺炎David65F54000胃潰瘍Alice63F24000流行感冒Susan70F30000支氣管炎表3-2 某醫(yī)院原始診斷記錄表 324.4 數據庫隱私4.4.2 數據庫隱私保護技術匿名化原則K-匿名。K-匿名方法通常采用泛化和壓縮技術對原始數據進行匿名化處理以便得到滿足k-匿名規(guī)則的匿名數據，從而使得攻擊者不能根據發(fā)布的匿名數據準確的識別出目標個體的記錄。組標識年齡性別郵編疾病12, 60F12000,15000艾滋病12, 60M12000,15000消化不良12, 60M12000,1

19、5000消化不良12, 60M12000,15000肺炎261, 75M23000,55000肺炎261, 75F23000,55000胃潰瘍261, 75F23000,55000流行感冒261, 75F23000,55000支氣管炎表4-4 4-匿名數據 334.4 數據庫隱私4.4.2 數據庫隱私保護技術匿名化原則l-diversity。將原始數據中的記錄劃分成多個等價類，并利用泛化技術使得每個等價類中的記錄都擁有相同的準標識符屬性，l-diversity規(guī)則要求每個等價類的敏感屬性至少有l(wèi)個不同的值。表4-3 3-diversity年齡性別郵編疾病25F12300艾滋病35M13000消

20、化不良21M12000消化不良35M14000肺炎71M27000肺炎65F54000胃潰瘍63F24000流行感冒70F30000支氣管炎 344.4 數據庫隱私4.4.2 數據庫隱私保護技術匿名化規(guī)則t-closeness。t-closeness規(guī)則要求匿名數據中的每個等價類中敏感屬性值得分布接近于原始數據中的敏感屬性值的分布，兩個分布之間的距離不超過閾值t。Anatomy規(guī)則。Anatomy首先利用原始數據產生滿足l-diversity原則的數據劃分，然后將結果分成兩張數據表發(fā)布，一張表包含每個記錄的準標識符屬性值和該記錄的等價類ID號，另一張表包含等價類ID、每個等價類的敏感屬性值及其

21、計數。 354.4 數據庫隱私4.4.2 數據庫隱私保護技術數據匿名化算法基于通用原則的匿名化算法。通常包括泛化空間枚舉、空間修剪、選取最優(yōu)化泛化、結果判斷與輸出等步驟。基于通用匿名原則的匿名算法大都是基于k-匿名算法，不同之處僅在于判斷算法結束的條件，而泛化策略、空間修剪等都是基本相同的。面向特定目標的匿名化算法。面向特定目標的匿名化算法就是針對特定應用場景的隱私化算法。 364.4 數據庫隱私4.4.2 數據庫隱私保護技術數據匿名化算法基于聚類的匿名化算法。它將原始記錄映射到特定的度量空間，在對空間中的點進行聚類來實現數據匿名。基于聚類的匿名化算法面臨的挑戰(zhàn)。 如何對原始數據的不同屬性進行

22、加權，因為對屬性的度量越準確，聚類的效果就越好。如何使不同性質的屬性同意映射到同一度量空間。 374.4 數據庫隱私4.4.2 數據庫隱私保護技術數據匿名化場景 圖4-3 數據匿名化場景4.5 位置隱私4.5.1 基本概念 384.5 位置隱私4.5.1 基本概念軍事和政府產業(yè)GPS系統(tǒng)，最初主要用于軍事和涉及國家重要利益的民用領域商業(yè)領域信息娛樂服務（娛樂場所查詢、廣告、社交等），定位服務，追蹤服務，道路輔助與導航服務緊急救援1996年,FCC頒布法規(guī)要求移動通信運營商為手機用戶提供緊急求援服務。2003年歐洲實施“US FCC”標準 394.5 位置隱私4.5.1 基本概念用戶對自己位置信

23、息的掌控能力是否發(fā)布發(fā)布給誰詳細程度保護位置隱私的重要性三要素：時間、地點、人物人身安全隱私泄露位置隱私面臨的威脅通信服務商攻擊者 404.5 位置隱私4.5.1 基本概念位置信息與個人隱私 414.5 位置隱私移動設備用戶使用移動設備向服務器發(fā)送查詢。定位系統(tǒng)通過定位系統(tǒng)獲得查詢位置網絡查詢和結果通過網絡傳輸LBS服務器提供基于位置的服務 424.5.1物聯網中LBS的體系結構物聯網中LBS的通用威脅模型假定LBS服務器是惡意觀察者現實中是一個復雜的多方面的問題移動設備可能被俘獲，泄露用戶信息。網絡傳輸可能被監(jiān)聽和遭受中間人攻擊。 434.5 位置隱私用戶標識 位置數據LBS 服務提供商查找

24、離我最近的大使館搜索去商店的路線 444.5.1 隱私威脅模型4.5 位置隱私利用GPS軌跡數據分析基礎交通設施的建設情況，更新和優(yōu)化交通設施商品連鎖店根據用戶的刷卡情況，分析用戶的消費習慣等公司收集用戶的軌跡數據用戶標識 軌跡數據 454.5 LBS和隱私 464.5 物聯網中LBS隱私保護LBS中的隱私問題引起了用戶、服務商和政府的廣泛關注隱私保護問題已成為LBS發(fā)展的瓶頸，是LBS應用亟待突破的重要問題，其重要性和緊迫性不容忽視，直接影響到LBS的健康發(fā)展和普及 474.5 隱私的定義隱私定義指個人、機構等實體不愿意被外人知曉的信息。個人隱私數據擁有者不愿意被披露的敏感信息。位置隱私指防

25、止未授權實體知道自己當前或過去的位置信息的能力。軌跡隱私一種特殊的位置隱私，指個人軌跡本身含有的敏感信息或者由運行軌跡推導出的其他個人信息。 484.5 隱私定義敏感信息有關用戶的時空信息、查詢請求內容中涉及醫(yī)療或金融的信息，推斷出的用戶的運動模式、用戶的興趣愛好等個人隱私信息。位置隱私威脅是指攻擊者在某授權的情況下通過定位位置傳輸設備、竊聽位置信息傳輸通道等方式訪問到原始的位置數據，并計算推理獲取的與位置相關的個人隱私信息。 494.5 物聯網中LBS的隱私泄露位置隱私泄露位置，包括用戶過去和現在的位置查詢隱私泄露查詢內容，例如，查詢離我最近的腫瘤治療醫(yī)院軌跡隱私泄露對軌跡數據的攻擊性推理和

26、計算可以推導出個人的興趣愛好， 家庭住址，健康狀況和政治傾向等 504.5 物聯網中LBS的隱私保護位置隱私度量避免用戶和某一精確位置相匹配查詢隱私度量避免用戶和某一敏感信息（查詢屬性、內容）相匹配軌跡隱私度量避免用戶和某一精確的軌跡相匹配 514.5 網聯網中LBS的隱私度量位置隱私度量Location k-anonymityLocation l-diversity or Road Segment s-diversity查詢隱私度量K-anonymity、Location entropy、Query attribute軌跡隱私度量 融合攻擊者背景知識的隱私度量機制 524.5 物聯網中LBS

27、隱私保護方法假位置(Dummy)通過制造假位置，達到以假亂真的效果時空匿名(spati-temporal cloaking)將用戶的位置擴展到一個時空區(qū)域，達到匿名效果?？臻g加密(Space Encyption)通過對位置加密，達到匿名效果私有信息檢索(Private Information Retrieval)把隱私保護轉化為NN問題，通過加密技術實現 534.5 物聯網中LBS隱私保護方法發(fā)布假位置通過提交一些假位置，達到位置匿名的效果 544.5 物聯網中LBS隱私保護方法空間匿名把位置點擴展到一個時空區(qū)域，達到匿名的效果 554.5 物聯網中LBS隱私保護方法空間加密通過對位置加密，達

28、到匿名效果 564.5 物聯網中LBS隱私保護方法PIR允許用戶私自從數據庫檢索信息，而不需要數據庫服務器知道用戶的特定請求信息Ghinita, G. (2009). Private queries and trajectory anonymization: A dual perspective on location privacy. Transactions on Data Privacy 2(1): 3-19. 574.5 感知隱私保護的查詢處理假位置移動對象數據庫中的查詢處理技術，無需作任何修改時空匿名設計基于區(qū)域位置的查詢處理技術，查詢結果是一個包含真實結果的超集空間加密查詢技術與使

29、用的加密協(xié)議有關，如支持檢索的加密技術 584.5 物聯網中LBS隱私保護系統(tǒng)結構獨立結構優(yōu)點：結構簡單，易于配置缺點：客戶端負擔較重； 缺乏全局信息，隱蔽性弱。 594.5 物聯網中LBS隱私保護系統(tǒng)結構中心服務器結構優(yōu)點（1）減輕了客戶端負擔 （2）具有全局信息，隱私保護效果好缺點（1）成為系統(tǒng)瓶頸 （2）成為系統(tǒng)的唯一攻擊點 604.5 物聯網中LBS隱私保護系統(tǒng)結構分布式點對點結構優(yōu)點（1）消除唯一攻擊點 （2）具有全局信息，隱私保護效果好缺點（1）網絡通信代價高匿名組 614.5 物聯網中LBS隱私保護內容隱私保護方法位置隱私保護方法查詢隱私保護方法軌跡隱私保護方法感知隱私的查詢處理

30、基于區(qū)域位置的查詢處理技術基于加密位置的查詢處理技術隱私度量方法位置、查詢隱私度量軌跡隱私度量 624.5 物聯網中LBS隱私保護模型位置k-匿名當前僅當一個用戶的位置和其他（k-1）用戶的位置無法區(qū)分時，稱該用戶滿足位置k-匿名 634.5 基于四分樹的隱私保護方法問題面對大量移動用戶，如何快速高效的為移動用戶尋找匿名集解決方法位置k-匿名中提出了基于四分樹的方法，即遞歸式的劃分空間，直至某一子空間內的用戶數小于k,則返回其上一級的子空間作為位置匿名區(qū)域K=3 644.5 基于四分樹的隱私保護方法缺點所有移動用戶都假定使用同一個系統(tǒng)靜態(tài)k值，不適應個性化隱私需求。就產生的匿名集大小，沒有提供

31、任何服務質量保證和評估解決方法個性化的位置隱私K-匿名模型K=3 654.5 基于個性化的位置k-匿名模型問題如何為每一個用戶提供滿足個性化隱私需求的匿名方法解決方法利用圖模型形式化的定義此問題，并把尋找匿名集轉化為在圖中尋找k-點團的問題 664.5 物聯網中LBS連續(xù)查詢隱私保護問題位置服務中現有的隱私保護工作均針對snapshot查詢類型,將現有匿名算法直接應用于連續(xù)查詢會產生查詢隱私泄露 A,B,DA,B,FA,C,F=A Q1,Q2,Q4 Q1,Q2,Q6Q1 ,Q3 ,Q 5=Q1解決方法連續(xù)查詢的用戶在最初時刻形成的匿名集在其查詢有效期內均有效 67 684.5 軌跡隱私4.5.

32、3 軌跡隱私保護技術基本概念軌跡是指某個移動對象的位置信息按時間排序的序列。通常情況下，軌跡T可以表示為T=qi,(x1,y1,t1), (x2,y2,t2), (xn,yn,tn). 其中，qi表示該軌跡的標識符，它通常代表移動對象、個體或某種服務的用戶，(xi,yi,ti)(1in)表示移動對象在ti時刻的位置(xi,yi)，也稱為采樣位置或采樣點，ti為采樣時間。軌跡隱私是一種特殊的個人隱私，它是指個人運行軌跡本身含有的敏感信息，或者由運行軌跡推導出的其它個人信息，如家庭地址、工作單位、生活習慣、宗教信仰等。4.5 物聯網中LBS軌跡隱私保護基本概念針對軌跡數據的攻擊性推理可能導致個人隱

33、私信息的暴露現有位置隱私保護技術并不能解決軌跡隱私泄露問題解決方法基于假數據的軌跡隱私保護技術基于泛化的軌跡隱私保護技術基于抑制法的軌跡隱私保護技術 694.5 物聯網中LBS軌跡隱私保護問題針對軌跡數據的攻擊性推理可能導致個人隱私信息的暴露現有位置隱私保護技術并不能解決軌跡隱私泄露問題解決方法基于假數據的軌跡隱私保護技術基于泛化的軌跡隱私保護技術基于抑制法的軌跡隱私保護技術 704.5 物聯網中LBS感知隱私的查詢問題如何在位置被匿名后提供用戶滿意的服務。兩種位置數據類型：（1）公開位置數據。如加油站、旅館（2）隱私位置數據。如個人位置 714.5 物聯網中LBS隱私度量問題隱私保護方法用于

34、實際中時并不能達到理論上的隱私保護效果，用戶需要當前所用隱私保護程度的反饋如何評估保護隱私的技術水平是否有所提高解決方法建立一種隱私度量機制評估服務系統(tǒng)的隱私保護效果位置隱私度量、查詢隱私度量軌跡隱私度量 724.5 物聯網中LBS隱私度量隱私度量建立一個融合攻擊者背景知識的統(tǒng)一隱私度量框架，提出一些新的指標 73 744.6外包 數據隱私4.6.1 基本概念數據隱私外包計算模式下的數據隱私具有以下兩個獨有的特點：（1）外包計算模式下的數據隱私是一種廣義的隱私，其主體包括自然人和法人（企業(yè)）；（2）傳統(tǒng)網絡中的隱私問題主要發(fā)生在信息傳輸和存儲的過程中，外包計算模式下不僅要考慮數據傳輸和存儲中的

35、隱私問題，還要考慮數據計算和檢索過程中可能出現的隱私泄露。表4-4 4-匿名數據 754.6外包 數據隱私4.6.1 基本概念支持計算的加密技術支持計算的加密技術。能滿足支持隱私保護的計算模式的要求，通過加密手段保證數據的機密性，同時密文能支持某些計算功能的加密方案的統(tǒng)稱。支持計算的加密方案。（1）密鑰生成算法Gen為用戶U產生密鑰Key；（2）加密算法Enc可能為概率算法；（3）解密算法Dec為確定算法。（4）密文計算算法Cal可能為概率算法。 764.6外包 數據隱私4.6.2 隱私威脅模型圖4-13 外包計算模式下的隱私威脅模型 774.6外包 數據隱私4.6.2 隱私威脅模型數據從數據擁有者傳遞到服務提供者的過程中，外部攻擊者可以通過竊聽的方式盜取數據；外部攻擊者可通過無授權的訪問、木馬和釣魚軟件等方式來破壞服務提供者對用戶數據和程序的保護，實現非法訪問。外部攻擊者可通過觀察用戶發(fā)出的請求，從而獲得用戶的習慣、目的等隱私信息。由于數據擁有者的數據存放在服務提供者的存儲介質上，程序運行在服務提供者的服務器中，因此內部攻擊者要發(fā)起攻擊更為容易。以上4種威脅中，前三種是傳統(tǒng)網絡安全問題，可以通過已有的訪問控制機制來限制攻擊者的無授權訪問，通過VPN、OpenSSH或Tor等方法來保證通信線路的安全。最后一種威