物聯(lián)網(wǎng)信息安全概述

第四章隱私安全桂小林2014.9.17第一頁，共八十八頁。

24.1隱私定義4.2隱私度量4.3隱私威脅4.4數(shù)據(jù)庫隱私4.5位置隱私4.6外包數(shù)據(jù)隱私4.7本章小結(jié)本章內(nèi)容第二頁，共八十八頁。

3第四章隱私安全基本要求熟悉隱私的概念和度量了解隱私的威脅模型和隱私保護方法熟悉數(shù)據(jù)隱私、位置隱私、外包數(shù)據(jù)隱私的概念、威脅模型和保護技術(shù)根據(jù)本章文獻，參閱一篇感興趣的文獻并總結(jié)。第三頁，共八十八頁。

4第四章隱私安全

隱私對個人發(fā)展及建立社會成員之間的信任都是絕對重要和必不可少的。它對個人而言是非常重要的，且被社會所尊重，已被國際公認是個人的自然權(quán)力。

然而，隨著智能手機、無線傳感網(wǎng)絡、RFID等信息采集終端在物聯(lián)網(wǎng)中的廣泛應用，物聯(lián)網(wǎng)中將承載大量涉及人們?nèi)粘Ｉ畹碾[私信息（如位置信息、敏感數(shù)據(jù)等），隱私保護問題也顯得越來越重要。如不能很好地解決隱私保護問題，人們對隱私泄露的擔憂勢必成為物聯(lián)網(wǎng)推行過程的最大障礙之一。

本章將介紹隱私的概念、度量、威脅；重點介紹數(shù)據(jù)庫隱私、位置隱私和數(shù)據(jù)隱私等的相關內(nèi)容。第四頁，共八十八頁。

54.1隱私的定義什么是隱私？據(jù)文獻記載，隱私的詞義來源于西方，一般認為最早關注隱私權(quán)的文章是美國人沃論（SamuelD?Warren）和布蘭戴斯（LouisD?Brandeis）發(fā)表的?隱私權(quán)?（TheRighttoPrivacy）。2002年全國人大起草《民法典草案》，對隱私權(quán)保護的隱私做了規(guī)定，包括私人信息、私人活動、私人空間和私人的生活安寧等四個方面。王利明教授在《隱私權(quán)的新發(fā)展》中指出“隱私是凡個人不愿意對外公開的、且隱匿信息不違反法律和社會公共利益的私人生活秘密，都構(gòu)成受法律保護的隱私”。第五頁，共八十八頁。

64.1隱私的定義什么是隱私？狹義的隱私是指以自然人為主體而不包括商業(yè)秘密在內(nèi)的個人秘密。廣義隱私的主體是自然人與法人，客體包括商業(yè)秘密。簡單來說，隱私就是個人、機構(gòu)或組織等實體不愿意被外部世界知曉的信息。在具體應用中，隱私為數(shù)據(jù)擁有者不愿意被披露的敏感信息，包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性，如個人的興趣愛好、身體狀況、宗教信仰、公司的財務信息等。第六頁，共八十八頁。

74.1隱私的定義隱私分類個人隱私（Individualprivacy）：一般是指數(shù)據(jù)擁有者不愿意披露的敏感信息，如個人的興趣愛好、健康狀況、收入水平、宗教信仰和政治傾向等。在個人隱私的概念中主要涉及4個范疇：①信息隱私、收集和處理個人數(shù)據(jù)的方法和規(guī)則，如個人信用信息、醫(yī)療和檔案信息，信息隱私也被認為數(shù)據(jù)隱私；②人身隱私，對涉及侵犯個人物理狀況相關信息，如基因測試等；③通信隱私，郵件、電話、電子郵件以及其它形式的個人通信的信息；④空間信息，對干涉自有地理空間的制約，包括辦公場所、公共場所，如搜查、跟蹤、身份檢查等。第七頁，共八十八頁。

84.1隱私的定義隱私分類共同隱私（Corporateprivacy:共同隱私不僅包含個人隱私，還包含所有個人共同表現(xiàn)出來但不愿被暴露的信息，如公司員工的平均薪資、薪資分布等信息。第八頁，共八十八頁。什么是隱私權(quán)？隱私權(quán)：個人信息的自我決定權(quán)，包含個人信息、身體、財產(chǎn)或者自我決定等。物聯(lián)網(wǎng)與隱私不當使用會侵害隱私恰當?shù)募夹g(shù)可以保護隱私4.1隱私的定義第九頁，共八十八頁。

104.2隱私度量4.2.1隱私度量的概念隱私度量是指用來評估個人的隱私水平及隱私保護技術(shù)應用于實際生活中能達到的效果，同時也為了測量“隱私”這個概念。本書主要從數(shù)據(jù)庫隱私、位置隱私、數(shù)據(jù)隱私三個方面介紹隱私度量方法及標準第十頁，共八十八頁。

114.2隱私度量4.2.2隱私度量標準數(shù)據(jù)庫隱私度量標準隱私保護度。通常通過發(fā)布數(shù)據(jù)的披露風險來反映。披露風險越小，隱私保護度越高。數(shù)據(jù)的可用性。對發(fā)布數(shù)據(jù)質(zhì)量的度量，它反映通過隱私保護技術(shù)處理后數(shù)據(jù)的信息丟失。數(shù)據(jù)缺損越高，信息丟失越多，數(shù)據(jù)利用率越低。第十一頁，共八十八頁。

124.2隱私度量4.2.2隱私度量標準位置隱私度量標準隱私保護度。通常通過位置隱私的披露風險來反映。披露風險越小，隱私保護度越高。服務質(zhì)量。用于衡量隱私算法的優(yōu)劣，在相同的隱私保護度下，服務質(zhì)量越高說明隱私保護算法越好。一般情況下，服務質(zhì)量由查詢響應時間、計算和通信開銷、查詢結(jié)果的精確性等來衡量。第十二頁，共八十八頁。

134.2隱私度量4.2.2隱私度量標準數(shù)據(jù)隱私度量標準機密性。數(shù)據(jù)必須按照數(shù)據(jù)擁有者的要求保證一定的秘密性，不會被非授權(quán)的第三方非法獲知。完整性。完整性是指信息安全、精確與有效，不因為人為的因素而改變信息原有的內(nèi)容、形式和流向，即不能被未授權(quán)的第三方修改。可用性。保證數(shù)據(jù)資源能夠提供既定的功能，無論何時何地，只要需要即可使用，而不因系統(tǒng)故障和誤操作等使資源丟失或妨礙對資源的使用。第十三頁，共八十八頁。

144.3隱私威脅4.3.1隱私威脅模型用戶在網(wǎng)絡中使用數(shù)據(jù)庫、位置服務、數(shù)據(jù)等資源時，會在網(wǎng)絡中留下大量的個人信息，而網(wǎng)絡實體、服務提供商以及網(wǎng)絡偵聽者等都可能是不可信。它們會通過這些個人遺留在網(wǎng)絡中的信息，推理用戶的個人敏感信息，對用戶的隱私構(gòu)成嚴重的威脅。為了保護個人隱私，需要保護用戶的私人數(shù)據(jù)不被泄露給不可信的第三方。第十四頁，共八十八頁。

154.3隱私威脅4.3.2隱私保護技術(shù)數(shù)據(jù)庫隱私保護技術(shù)基于數(shù)據(jù)失真的技術(shù)。使敏感數(shù)據(jù)失真但同時保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變的方法。如采用添加噪聲、交換等技術(shù)對原始數(shù)據(jù)進行擾動處理，但要求保證處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計方面的性質(zhì)，以便進行數(shù)據(jù)挖據(jù)等操作?；跀?shù)據(jù)加密的技術(shù)。采用加密技術(shù)在數(shù)據(jù)挖掘過程中隱藏敏感數(shù)據(jù)的方法，多用于分布式應用環(huán)境，如安全多方計算第十五頁，共八十八頁。

164.3隱私威脅4.3.2隱私保護技術(shù)位置隱私保護技術(shù)基于隱私保護策略的技術(shù)。通過制定一些常用的隱私管理規(guī)則和可信任的隱私協(xié)定來約束服務提供商能公平、安全的使用個人位置信息?；谀涿突煜夹g(shù)的技術(shù)。利用匿名和混淆技術(shù)分隔用戶身份標識和其所在的位置信息、降低用戶位置信息的精度以達到隱私保護的目的。基于空間加密的方法。通過對位置加密達到匿名的效果。第十六頁，共八十八頁。

174.3隱私威脅4.3.2隱私保護技術(shù)數(shù)據(jù)庫隱私保護技術(shù)基于數(shù)據(jù)失真的技術(shù)。使敏感數(shù)據(jù)失真但同時保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變的方法。如采用添加噪聲、交換等技術(shù)對原始數(shù)據(jù)進行擾動處理，但要求保證處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計方面的性質(zhì)，以便進行數(shù)據(jù)挖據(jù)等操作?；跀?shù)據(jù)加密的技術(shù)。采用加密技術(shù)在數(shù)據(jù)挖掘過程中隱藏敏感數(shù)據(jù)的方法，多用于分布式應用環(huán)境，如安全多方計算。第十七頁，共八十八頁。

184.3隱私威脅4.3.2隱私保護技術(shù)數(shù)據(jù)隱私保護技術(shù)支持計算的加密技術(shù)。是一類能滿足支持隱私保護的計算模式（如算數(shù)運算、字符運算等）的要求，通過加密手段保證數(shù)據(jù)的機密性，同時密文能支持某些計算功能的加密方案的統(tǒng)稱。支持檢索的加密技術(shù)。指數(shù)據(jù)在加密狀態(tài)下可以對數(shù)據(jù)進行精確檢索和模糊檢索，從而保護數(shù)據(jù)隱私的技術(shù)。第十八頁，共八十八頁。

194.4數(shù)據(jù)庫隱私4.4.1基本概念和威脅模型隱私保護技術(shù)集中在數(shù)據(jù)挖掘和數(shù)據(jù)發(fā)布兩個領域數(shù)據(jù)挖掘中的隱私保護

。是如何在保護用戶隱私的前提下，能進行有效的數(shù)據(jù)挖掘。數(shù)據(jù)發(fā)布中的隱私保護。是如何在保護用戶隱私的前提下，發(fā)布用戶的數(shù)據(jù)以供第三方有效的研究和使用。第十九頁，共八十八頁。

204.4數(shù)據(jù)庫隱私4.4.1基本概念和威脅模型隱私保護技術(shù)集中在數(shù)據(jù)挖掘和數(shù)據(jù)發(fā)布兩個領域數(shù)據(jù)挖掘中的隱私保護

。是如何在保護用戶隱私的前提下，能進行有效的數(shù)據(jù)挖掘。數(shù)據(jù)發(fā)布中的隱私保護。是如何在保護用戶隱私的前提下，發(fā)布用戶的數(shù)據(jù)以供第三方有效的研究和使用。第二十頁，共八十八頁。

214.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)基于數(shù)據(jù)失真的隱私保護技術(shù)

通過擾動原始數(shù)據(jù)來實現(xiàn)隱私保護，擾動后的數(shù)據(jù)滿足：攻擊者不能發(fā)現(xiàn)真實的原始數(shù)據(jù)。經(jīng)過失真處理后的數(shù)據(jù)要能夠保持某些性質(zhì)不變第二十一頁，共八十八頁。

224.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)基于數(shù)據(jù)失真的隱私保護技術(shù)隨機化。數(shù)據(jù)隨機化就是在原始數(shù)據(jù)中加入隨機噪聲，然后發(fā)布擾動后的數(shù)據(jù)。隨機擾動隨機應答3-2（a）隨機擾動過程3-2(b)重構(gòu)過程第二十二頁，共八十八頁。

234.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)基于數(shù)據(jù)失真的隱私保護技術(shù)阻塞與凝聚。將原始數(shù)據(jù)記錄分成組，每一組內(nèi)存儲由k條記錄產(chǎn)生的統(tǒng)計信息，包括每個屬性的均值、協(xié)方差等。第二十三頁，共八十八頁。

244.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)基于數(shù)據(jù)加密的隱私保護技術(shù)安全多方計算。安全多方計算協(xié)議是密碼學中非?；钴S的一個學術(shù)領域，有很強的理論和實際意義。它可以被描述為一個計算過程：兩個或多個協(xié)議參與者基于秘密輸入來計算一個函數(shù)。安全多方計算假定參與者愿意共享一些數(shù)據(jù)用于計算。但是，每個參與者都不希望自己的輸入被其他參與者或任何三方所知。第二十四頁，共八十八頁。

254.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)基于數(shù)據(jù)加密的隱私保護技術(shù)安全多方計算。一般來說，安全多方計算可以看成是在具有n個參與者的分布式網(wǎng)絡中私密輸入x1,x2,…,xn上的計算函數(shù)f(x1,x2,…,xn)，其中參與者i僅知道自己的輸入xi和輸出f(x1,x2,…,xn)，再沒有任何其它多余信息。如果假設有可信第三方存在，這個問題的解決十分容易，參與者只需要將自己的輸入通過秘密通道傳送給可信第三方，由可信第三方計算這個函數(shù)，然后將結(jié)果廣播給每一個參與者即可。但是在現(xiàn)實中很難找到一個讓所有參與者都信任的的可信第三方。第二十五頁，共八十八頁。

264.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)基于數(shù)據(jù)加密的隱私保護技術(shù)分布式匿名化。匿名化就是隱藏數(shù)據(jù)或數(shù)據(jù)來源。因為大多數(shù)應用都需要對原始數(shù)據(jù)進行匿名處理以保證敏感信息的安全，并在此基礎上進行挖掘、發(fā)布等操作。輸入：站點S1,S2，數(shù)據(jù){ID,A1,A2,…,An}，{ID,B1,B2,…,Bn}輸出：

k-匿名數(shù)據(jù)表T*過程：1.2個站點分別產(chǎn)生私有密鑰K1和K2，且滿足：EK1(EK2(D))=EK2(EK1(D))，其中D為任意數(shù)據(jù);2.表T*←NULL；

3.whileT*中數(shù)據(jù)不滿足k-匿名條件

do4.站點i(i=1或2)4.1泛化{ID,A1,A2,…,An}為{ID,A1*,A2*,…,An*}，其中A1*表示A1泛化后的值；

4.2{ID,A1,A2,…,An}←{ID,A1*,A2*,…,An*}4.3用Ki加密{ID,A1*,A2*,…,An*}并傳遞給另一站點；

4.4用Ki加密另一站點加密的泛化數(shù)據(jù)并回傳；

4.5根據(jù)兩個站點加密后的ID值對數(shù)據(jù)進行匹配，構(gòu)建經(jīng)K1和K2加密后的數(shù)據(jù)表T*{ID,A1*,A2*,…,An*，ID,B1,B2,…,Bn}5.endwhile表4-1分布式k-匿名算法第二十六頁，共八十八頁。

274.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)基于數(shù)據(jù)加密的隱私保護技術(shù)分布式關聯(lián)規(guī)則挖掘。在分布式環(huán)境下，關聯(lián)規(guī)則挖掘的關鍵是計算項集的全局計數(shù)，加密技術(shù)能保證在計算項集計數(shù)的同時，不會泄露隱私信息。分布式聚類?；陔[私保護的分布式聚類的關鍵是安全的計算數(shù)據(jù)間距離，有Na?ve聚類模型兩種模式和多次聚類模型，兩種模型都利用了加密技術(shù)實現(xiàn)信息的安全傳輸。第二十七頁，共八十八頁。

284.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)基于限制發(fā)布隱私保護技術(shù)限制發(fā)布是指有選擇的發(fā)布原始數(shù)據(jù)、不發(fā)布或者發(fā)布精度較低的敏感數(shù)據(jù)以實現(xiàn)隱私保護。當前基于限制發(fā)布隱私保護方法主要采用數(shù)據(jù)匿名化技術(shù)，即在隱私披露風險和數(shù)據(jù)精度之間進行折中，有選擇地發(fā)布敏感數(shù)據(jù)及可能披露敏感數(shù)據(jù)的信息，但保證敏感數(shù)據(jù)及隱私的披露風險在可容忍的范圍內(nèi)。第二十八頁，共八十八頁。

294.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)基于限制發(fā)布隱私保護技術(shù)數(shù)據(jù)匿名化的基本操作：①抑制。抑制某數(shù)據(jù)項。②泛化。即對數(shù)據(jù)進行更抽象和概括的描述。如把年齡30歲泛化成區(qū)間[20,40]的形式，因為30歲在區(qū)間[20,40]內(nèi)。數(shù)據(jù)匿名化的原則：數(shù)據(jù)匿名化處理的原始數(shù)據(jù)一般為數(shù)據(jù)表形式，表中每一行是一個記錄，對應一個人。每條記錄包含多個屬性（數(shù)據(jù)項），這些屬性可分為3類第二十九頁，共八十八頁。

304.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)匿名化記錄屬性顯示標識符（explicitidentifier）。能唯一表示單一個體的屬性，如身份證、姓名等。準標識符（quasi-identifiers）。幾個屬性聯(lián)合起來可以唯一標識一個人，如郵編，性別，出生年月等聯(lián)合起來可能是一個準標識符。敏感屬性（sensitiveattribute）。包含用戶隱私數(shù)據(jù)的屬性，如疾病、收入、宗教信仰等。第三十頁，共八十八頁。

314.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)匿名化記錄屬性姓名年齡性別郵編疾病Betty25F12300艾滋病Linda35M13000消化不良Bill21M12000消化不良Sam35M14000肺炎John71M27000肺炎David65F54000胃潰瘍Alice63F24000流行感冒Susan70F30000支氣管炎表3-2某醫(yī)院原始診斷記錄表第三十一頁，共八十八頁。

324.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)匿名化原則K-匿名。K-匿名方法通常采用泛化和壓縮技術(shù)對原始數(shù)據(jù)進行匿名化處理以便得到滿足k-匿名規(guī)則的匿名數(shù)據(jù)，從而使得攻擊者不能根據(jù)發(fā)布的匿名數(shù)據(jù)準確的識別出目標個體的記錄。組標識年齡性別郵編疾病1[2,60]F[12000,15000]艾滋病1[2,60]M[12000,15000]消化不良1[2,60]M[12000,15000]消化不良1[2,60]M[12000,15000]肺炎2[61,75]M[23000,55000]肺炎2[61,75]F[23000,55000]胃潰瘍2[61,75]F[23000,55000]流行感冒2[61,75]F[23000,55000]支氣管炎表4-44-匿名數(shù)據(jù)第三十二頁，共八十八頁。

334.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)匿名化原則l-diversity。將原始數(shù)據(jù)中的記錄劃分成多個等價類，并利用泛化技術(shù)使得每個等價類中的記錄都擁有相同的準標識符屬性，l-diversity規(guī)則要求每個等價類的敏感屬性至少有l(wèi)個不同的值。表4-33-diversity年齡性別郵編疾病25F12300艾滋病35M13000消化不良21M12000消化不良35M14000肺炎71M27000肺炎65F54000胃潰瘍63F24000流行感冒70F30000支氣管炎第三十三頁，共八十八頁。

344.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)匿名化規(guī)則t-closeness。t-closeness規(guī)則要求匿名數(shù)據(jù)中的每個等價類中敏感屬性值得分布接近于原始數(shù)據(jù)中的敏感屬性值的分布，兩個分布之間的距離不超過閾值t。Anatomy規(guī)則。Anatomy首先利用原始數(shù)據(jù)產(chǎn)生滿足l-diversity原則的數(shù)據(jù)劃分，然后將結(jié)果分成兩張數(shù)據(jù)表發(fā)布，一張表包含每個記錄的準標識符屬性值和該記錄的等價類ID號，另一張表包含等價類ID、每個等價類的敏感屬性值及其計數(shù)。第三十四頁，共八十八頁。

354.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)數(shù)據(jù)匿名化算法基于通用原則的匿名化算法。通常包括泛化空間枚舉、空間修剪、選取最優(yōu)化泛化、結(jié)果判斷與輸出等步驟?；谕ㄓ媚涿瓌t的匿名算法大都是基于k-匿名算法，不同之處僅在于判斷算法結(jié)束的條件，而泛化策略、空間修剪等都是基本相同的。面向特定目標的匿名化算法。面向特定目標的匿名化算法就是針對特定應用場景的隱私化算法。第三十五頁，共八十八頁。

364.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)數(shù)據(jù)匿名化算法基于聚類的匿名化算法。它將原始記錄映射到特定的度量空間，在對空間中的點進行聚類來實現(xiàn)數(shù)據(jù)匿名。基于聚類的匿名化算法面臨的挑戰(zhàn)。

①如何對原始數(shù)據(jù)的不同屬性進行加權(quán)，因為對屬性的度量越準確，聚類的效果就越好。②如何使不同性質(zhì)的屬性同意映射到同一度量空間。第三十六頁，共八十八頁。

374.4數(shù)據(jù)庫隱私4.4.2數(shù)據(jù)庫隱私保護技術(shù)數(shù)據(jù)匿名化場景

圖4-3數(shù)據(jù)匿名化場景第三十七頁，共八十八頁。4.5位置隱私4.5.1基本概念

38第三十八頁，共八十八頁。4.5位置隱私4.5.1基本概念軍事和政府產(chǎn)業(yè)GPS系統(tǒng)，最初主要用于軍事和涉及國家重要利益的民用領域商業(yè)領域信息娛樂服務（娛樂場所查詢、廣告、社交等），定位服務，追蹤服務，道路輔助與導航服務緊急救援1996年,FCC頒布法規(guī)要求移動通信運營商為手機用戶提供緊急求援服務。2003年歐洲實施“USFCC”標準

39第三十九頁，共八十八頁。4.5位置隱私4.5.1基本概念用戶對自己位置信息的掌控能力是否發(fā)布發(fā)布給誰詳細程度保護位置隱私的重要性三要素：時間、地點、人物人身安全隱私泄露位置隱私面臨的威脅通信服務商攻擊者

40第四十頁，共八十八頁。4.5位置隱私4.5.1基本概念位置信息與個人隱私

41第四十一頁，共八十八頁。4.5位置隱私移動設備用戶使用移動設備向服務器發(fā)送查詢。定位系統(tǒng)通過定位系統(tǒng)獲得查詢位置網(wǎng)絡查詢和結(jié)果通過網(wǎng)絡傳輸LBS服務器提供基于位置的服務

424.5.1物聯(lián)網(wǎng)中LBS的體系結(jié)構(gòu)第四十二頁，共八十八頁。物聯(lián)網(wǎng)中LBS的通用威脅模型假定LBS服務器是惡意觀察者現(xiàn)實中是一個復雜的多方面的問題移動設備可能被俘獲，泄露用戶信息。網(wǎng)絡傳輸可能被監(jiān)聽和遭受中間人攻擊。

43第四十三頁，共八十八頁。4.5位置隱私用戶標識

位置數(shù)據(jù)LBS服務提供商查找離我最近的大使館搜索去商店的路線

444.5.1隱私威脅模型第四十四頁，共八十八頁。4.5位置隱私利用GPS軌跡數(shù)據(jù)分析基礎交通設施的建設情況，更新和優(yōu)化交通設施商品連鎖店根據(jù)用戶的刷卡情況，分析用戶的消費習慣等公司收集用戶的軌跡數(shù)據(jù)用戶標識

軌跡數(shù)據(jù)

45第四十五頁，共八十八頁。4.5LBS和隱私

46第四十六頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私保護LBS中的隱私問題引起了用戶、服務商和政府的廣泛關注隱私保護問題已成為LBS發(fā)展的瓶頸，是LBS應用亟待突破的重要問題，其重要性和緊迫性不容忽視，直接影響到LBS的健康發(fā)展和普及

47第四十七頁，共八十八頁。4.5隱私的定義隱私定義指個人、機構(gòu)等實體不愿意被外人知曉的信息。個人隱私數(shù)據(jù)擁有者不愿意被披露的敏感信息。位置隱私指防止未授權(quán)實體知道自己當前或過去的位置信息的能力。軌跡隱私一種特殊的位置隱私，指個人軌跡本身含有的敏感信息或者由運行軌跡推導出的其他個人信息。

48第四十八頁，共八十八頁。4.5隱私定義敏感信息有關用戶的時空信息、查詢請求內(nèi)容中涉及醫(yī)療或金融的信息，推斷出的用戶的運動模式、用戶的興趣愛好等個人隱私信息。位置隱私威脅是指攻擊者在某授權(quán)的情況下通過定位位置傳輸設備、竊聽位置信息傳輸通道等方式訪問到原始的位置數(shù)據(jù)，并計算推理獲取的與位置相關的個人隱私信息。

49第四十九頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS的隱私泄露位置隱私泄露位置，包括用戶過去和現(xiàn)在的位置查詢隱私泄露查詢內(nèi)容，例如，查詢離我最近的腫瘤治療醫(yī)院軌跡隱私泄露對軌跡數(shù)據(jù)的攻擊性推理和計算可以推導出個人的興趣愛好，家庭住址，健康狀況和政治傾向等

50第五十頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS的隱私保護位置隱私度量避免用戶和某一精確位置相匹配查詢隱私度量避免用戶和某一敏感信息（查詢屬性、內(nèi)容）相匹配軌跡隱私度量避免用戶和某一精確的軌跡相匹配

51第五十一頁，共八十八頁。4.5網(wǎng)聯(lián)網(wǎng)中LBS的隱私度量位置隱私度量Locationk-anonymityLocationl-diversityorRoadSegments-diversity查詢隱私度量K-anonymity、Locationentropy、Queryattribute軌跡隱私度量融合攻擊者背景知識的隱私度量機制

52第五十二頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私保護方法假位置(Dummy)通過制造假位置，達到以假亂真的效果時空匿名(spati-temporalcloaking)將用戶的位置擴展到一個時空區(qū)域，達到匿名效果?？臻g加密(SpaceEncyption)通過對位置加密，達到匿名效果私有信息檢索(PrivateInformationRetrieval)把隱私保護轉(zhuǎn)化為NN問題，通過加密技術(shù)實現(xiàn)

53第五十三頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私保護方法發(fā)布假位置通過提交一些假位置，達到位置匿名的效果

54第五十四頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私保護方法空間匿名把位置點擴展到一個時空區(qū)域，達到匿名的效果

55第五十五頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私保護方法空間加密通過對位置加密，達到匿名效果

56第五十六頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私保護方法PIR允許用戶私自從數(shù)據(jù)庫檢索信息，而不需要數(shù)據(jù)庫服務器知道用戶的特定請求信息Ghinita,G.(2009)."Privatequeriesandtrajectoryanonymization:Adualperspectiveonlocationprivacy."TransactionsonDataPrivacy2(1):3-19.

57第五十七頁，共八十八頁。4.5感知隱私保護的查詢處理假位置移動對象數(shù)據(jù)庫中的查詢處理技術(shù)，無需作任何修改時空匿名設計基于區(qū)域位置的查詢處理技術(shù)，查詢結(jié)果是一個包含真實結(jié)果的超集空間加密查詢技術(shù)與使用的加密協(xié)議有關，如支持檢索的加密技術(shù)

58第五十八頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私保護系統(tǒng)結(jié)構(gòu)獨立結(jié)構(gòu)優(yōu)點：結(jié)構(gòu)簡單，易于配置缺點：客戶端負擔較重；缺乏全局信息，隱蔽性弱。

59第五十九頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私保護系統(tǒng)結(jié)構(gòu)中心服務器結(jié)構(gòu)優(yōu)點（1）減輕了客戶端負擔（2）具有全局信息，隱私保護效果好缺點（1）成為系統(tǒng)瓶頸

（2）成為系統(tǒng)的唯一攻擊點

60第六十頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私保護系統(tǒng)結(jié)構(gòu)分布式點對點結(jié)構(gòu)優(yōu)點（1）消除唯一攻擊點（2）具有全局信息，隱私保護效果好缺點（1）網(wǎng)絡通信代價高匿名組

61第六十一頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私保護內(nèi)容隱私保護方法位置隱私保護方法查詢隱私保護方法軌跡隱私保護方法感知隱私的查詢處理基于區(qū)域位置的查詢處理技術(shù)基于加密位置的查詢處理技術(shù)隱私度量方法位置、查詢隱私度量軌跡隱私度量

62第六十二頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私保護模型位置k-匿名當前僅當一個用戶的位置和其他（k-1）用戶的位置無法區(qū)分時，稱該用戶滿足位置k-匿名

63第六十三頁，共八十八頁。4.5基于四分樹的隱私保護方法問題面對大量移動用戶，如何快速高效的為移動用戶尋找匿名集解決方法位置k-匿名中提出了基于四分樹的方法，即遞歸式的劃分空間，直至某一子空間內(nèi)的用戶數(shù)小于k,則返回其上一級的子空間作為位置匿名區(qū)域K=3

64第六十四頁，共八十八頁。4.5基于四分樹的隱私保護方法缺點所有移動用戶都假定使用同一個系統(tǒng)靜態(tài)k值，不適應個性化隱私需求。就產(chǎn)生的匿名集大小，沒有提供任何服務質(zhì)量保證和評估解決方法個性化的位置隱私K-匿名模型K=3

65第六十五頁，共八十八頁。4.5基于個性化的位置k-匿名模型問題如何為每一個用戶提供滿足個性化隱私需求的匿名方法解決方法利用圖模型形式化的定義此問題，并把尋找匿名集轉(zhuǎn)化為在圖中尋找k-點團的問題

66第六十六頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS連續(xù)查詢隱私保護問題位置服務中現(xiàn)有的隱私保護工作均針對snapshot查詢類型,將現(xiàn)有匿名算法直接應用于連續(xù)查詢會產(chǎn)生查詢隱私泄露

{A,B,D}∩{A,B,F}∩{A,C,F}={A}{Q1,Q2,Q4}∩{Q1,Q2,Q6}∩{Q1,Q3,Q5}={Q1}解決方法連續(xù)查詢的用戶在最初時刻形成的匿名集在其查詢有效期內(nèi)均有效

67第六十七頁，共八十八頁。

684.5軌跡隱私4.5.3軌跡隱私保護技術(shù)基本概念軌跡是指某個移動對象的位置信息按時間排序的序列。通常情況下，軌跡T可以表示為T={qi,(x1,y1,t1),(x2,y2,t2),…,(xn,yn,tn).其中，qi表示該軌跡的標識符，它通常代表移動對象、個體或某種服務的用戶，(xi,yi,ti)(1≤i≤n)表示移動對象在ti時刻的位置(xi,yi)，也稱為采樣位置或采樣點，ti為采樣時間。軌跡隱私是一種特殊的個人隱私，它是指個人運行軌跡本身含有的敏感信息，或者由運行軌跡推導出的其它個人信息，如家庭地址、工作單位、生活習慣、宗教信仰等。第六十八頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS軌跡隱私保護基本概念針對軌跡數(shù)據(jù)的攻擊性推理可能導致個人隱私信息的暴露現(xiàn)有位置隱私保護技術(shù)并不能解決軌跡隱私泄露問題解決方法基于假數(shù)據(jù)的軌跡隱私保護技術(shù)基于泛化的軌跡隱私保護技術(shù)基于抑制法的軌跡隱私保護技術(shù)

69第六十九頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS軌跡隱私保護問題針對軌跡數(shù)據(jù)的攻擊性推理可能導致個人隱私信息的暴露現(xiàn)有位置隱私保護技術(shù)并不能解決軌跡隱私泄露問題解決方法基于假數(shù)據(jù)的軌跡隱私保護技術(shù)基于泛化的軌跡隱私保護技術(shù)基于抑制法的軌跡隱私保護技術(shù)

70第七十頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS感知隱私的查詢問題如何在位置被匿名后提供用戶滿意的服務。兩種位置數(shù)據(jù)類型：（1）公開位置數(shù)據(jù)。如加油站、旅館（2）隱私位置數(shù)據(jù)。如個人位置

71第七十一頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私度量問題隱私保護方法用于實際中時并不能達到理論上的隱私保護效果，用戶需要當前所用隱私保護程度的反饋如何評估保護隱私的技術(shù)水平是否有所提高解決方法建立一種隱私度量機制評估服務系統(tǒng)的隱私保護效果位置隱私度量、查詢隱私度量軌跡隱私度量

72第七十二頁，共八十八頁。4.5物聯(lián)網(wǎng)中LBS隱私度量隱私度量建立一個融合攻擊者背景知識的統(tǒng)一隱私度量框架，提出一些新的指標

73第七十三頁，共八十八頁。

744.6外包數(shù)據(jù)隱私4.6.1基本概念數(shù)據(jù)隱私外包計算模式下的數(shù)據(jù)隱私具有以下兩個獨有的特點：（1）外包計算模式下的數(shù)據(jù)隱私是一種廣義的隱私，其主體包括自然人和法人（企業(yè)）；（2）傳統(tǒng)網(wǎng)絡中的隱私問題主要發(fā)生在信息傳輸和存儲的過程中，外包計算模式下不僅要考慮數(shù)據(jù)傳輸和存儲中的隱私問題，還要考慮數(shù)據(jù)計算和檢索過程中可能出現(xiàn)的隱私泄露。表4-44-匿名數(shù)據(jù)第七十四頁，共八十八頁。

754.6外包數(shù)據(jù)隱私4.6.1基本概念支持計算的加密技術(shù)支持計算的加密技術(shù)。能滿足支持隱私保護的計算模式的要求，通過加密手段保證數(shù)據(jù)的機密性，同時密文能支持某些計算功能的加密方案的統(tǒng)稱。支持計算的加密方案。（1）密鑰生成算法Gen為用戶U產(chǎn)生密鑰Key；（2）加密算法Enc可能為概率算法；（3）解密算法Dec為確定算法。（4）密文計算算法Cal可能為概率算法。第七十五頁，共八十八頁。

764.6外包數(shù)據(jù)隱私4.6.2隱私威脅模型圖4-13外包計算模式下的隱私威脅模型第七十六頁，共八十八頁。

774.6外包數(shù)據(jù)隱私4.6.2隱私威脅模型數(shù)據(jù)從數(shù)據(jù)擁有者傳遞到服務提供者的過程中，外部攻擊者可以通過竊聽的方式盜取數(shù)據(jù)；外部攻擊者可通過無授權(quán)的訪問、木馬和釣魚軟件等方式來破壞服務提供者對用戶數(shù)據(jù)和程序的保護，實現(xiàn)非法訪問。外部攻擊者可通過觀察用戶發(fā)出的請求，從而獲得用戶的習慣、目的等隱私信息。由于數(shù)據(jù)擁有者的數(shù)據(jù)存放在服務提供者的存儲介質(zhì)上，程序運行在服務提供者的服務器中，因此內(nèi)部攻擊者要發(fā)起攻擊更為容易。以上4種威脅中，前三種是傳統(tǒng)網(wǎng)絡安全問題，可以通過已有的訪問控制機制來限制攻擊者的無授權(quán)訪問，通過VPN、OpenSSH或Tor等方法來保證通信線路的安全。最后一種威脅是外包計算模式下出現(xiàn)的新威脅，也是破壞性最大的一種威脅。因此，需要一種技術(shù)可以同時抵御這4種威協(xié)。第七十七頁，共八十八頁。

784.6外包數(shù)據(jù)隱私4.6.3外包數(shù)據(jù)加密檢索外包數(shù)據(jù)加密計算模型

加密檢索涉及到的三類實體分別為：1.數(shù)據(jù)擁有者；2.被授權(quán)的數(shù)據(jù)使用者；3.云端服務器。數(shù)據(jù)擁有者想要將其擁有的資料存儲在租用的云存儲服務器端，以供被授權(quán)的數(shù)據(jù)使用者使用。但考慮到數(shù)據(jù)存放在云端時會存在數(shù)據(jù)泄露的可能，故其希望可以以加密形式存放在云端。當被授權(quán)的使用者想要調(diào)回數(shù)據(jù)（文檔）時，先對關鍵字進行加密，再上傳至云端，在云端服務器進行處理后，選出需要的數(shù)據(jù)，返回給被授權(quán)的