《物联网信息安全》(桂小林版)(第4章)ppt课件.ppt

《《物联网信息安全》(桂小林版)(第4章)ppt课件.ppt》由会员分享，可在线阅读，更多相关《《物联网信息安全》(桂小林版)(第4章)ppt课件.ppt（87页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第四章第四章 隐私安全隐私安全桂小林2014.9.17第四章第四章 隐私安全隐私安全基本要求熟悉隐私的概念和度量熟悉隐私的概念和度量了解隐私的威胁模型和隐私保护方法了解隐私的威胁模型和隐私保护方法熟悉数据隐私、位置隐私、外包数据隐私的概念、威胁熟悉数据隐私、位置隐私、外包数据隐私的概念、威胁模型和保护技术模型和保护技术根据本章文献，参阅一篇感兴趣的文献并总结。根据本章文献，参阅一篇感兴趣的文献并总结。第四章第四章 隐私安全隐私安全 隐私对个人发展及建立社会成员之间的信任都是绝对重要和必不可少的。它对个人而言是非常重要的，且被社会所尊重，已被国际公认是个人的自然权力。 然而，随着智能手机、无线传

2、感网络、RFID等信息采集终端在物联网中的广泛应用，物联网中将承载大量涉及人们日常生活的隐私信息（如位置信息、敏感数据等），隐私保护问题也显得越来越重要。如不能很好地解决隐私保护问题，人们对隐私泄露的担忧势必成为物联网推行过程的最大障碍之一。 本章将介绍隐私的概念、度量、威胁；重点介绍数据库隐私、位置隐私和数据隐私等的相关内容。 4.1 隐私的定义隐私的定义u什么是隐私？据文献记载，隐私的词义据文献记载，隐私的词义来源来源于西方，一般认为最早关于西方，一般认为最早关注隐私权的文章是美国人沃论（注隐私权的文章是美国人沃论（Samuel DSamuel D WarrenWarren）和布兰戴斯（和

3、布兰戴斯（Louis DLouis D BrandeisBrandeis）发表的）发表的隐私权隐私权（The Right to PrivacyThe Right to Privacy）。20022002年全国人大起草民法典草案，对隐私权保护年全国人大起草民法典草案，对隐私权保护的隐私做了规定，包括私人信息、私人活动、私人空间的隐私做了规定，包括私人信息、私人活动、私人空间和私人的生活安宁等四个和私人的生活安宁等四个方面方面。王利明王利明教授教授在隐私权的新发展在隐私权的新发展中指出中指出“隐私是凡个隐私是凡个人不愿意对外公开的、且隐匿信息不违反法律和社会公人不愿意对外公开的、且隐匿信息不违反法

4、律和社会公共利益的私人生活秘密，都构成受法律保护的隐私共利益的私人生活秘密，都构成受法律保护的隐私”。4.1 隐私的定义隐私的定义u什么是隐私？狭义的隐私是指以自然人为主体而不包括商业秘密在内狭义的隐私是指以自然人为主体而不包括商业秘密在内的个人秘密的个人秘密。广义隐私的主体是自然人与法人，客体包括商业秘密广义隐私的主体是自然人与法人，客体包括商业秘密。简单来说，隐私就是个人、机构或组织等实体不愿意被简单来说，隐私就是个人、机构或组织等实体不愿意被外部世界知晓的信息。在具体应用中，外部世界知晓的信息。在具体应用中，隐私为隐私为数据拥有数据拥有者不愿意被披露的敏感信息，包括敏感数据以及数据所者不

5、愿意被披露的敏感信息，包括敏感数据以及数据所表征的特性，如个人的兴趣爱好、身体状况、宗教信仰表征的特性，如个人的兴趣爱好、身体状况、宗教信仰、公司的财务信息、公司的财务信息等等。4.1 隐私的定义隐私的定义u隐私分类个人个人隐私（隐私（Individual privacyIndividual privacy）：一般是指数据拥）：一般是指数据拥有者不愿意披露的敏感信息，如个人的兴趣爱好、健康有者不愿意披露的敏感信息，如个人的兴趣爱好、健康状况、收入水平、宗教信仰和政治倾向等状况、收入水平、宗教信仰和政治倾向等。在个人隐私在个人隐私的概念中主要涉及的概念中主要涉及4 4个范畴：信息隐私、收集和处理

6、个范畴：信息隐私、收集和处理个人数据的方法和规则，如个人信用信息、医疗和档案个人数据的方法和规则，如个人信用信息、医疗和档案信息，信息隐私也被认为数据隐私；人身隐私，对涉信息，信息隐私也被认为数据隐私；人身隐私，对涉及侵犯个人物理状况相关信息，如基因测试等；通信及侵犯个人物理状况相关信息，如基因测试等；通信隐私，邮件、电话、电子邮件以及其它形式的个人通信隐私，邮件、电话、电子邮件以及其它形式的个人通信的信息；空间信息，对干涉自有地理空间的制约，包的信息；空间信息，对干涉自有地理空间的制约，包括办公场所、公共场所，如搜查、跟踪、身份检查等。括办公场所、公共场所，如搜查、跟踪、身份检查等。4.1

7、隐私的定义隐私的定义u隐私分类共同隐私（共同隐私（Corporate privacy: Corporate privacy: 共同隐私不仅包含个共同隐私不仅包含个人隐私，还包含所有个人共同表现出来但不愿被暴露的人隐私，还包含所有个人共同表现出来但不愿被暴露的信息，如公司员工的平均薪资、薪资分布等信息信息，如公司员工的平均薪资、薪资分布等信息。什么是隐私权什么是隐私权？隐私权：隐私权：个人信息的自我决定权个人信息的自我决定权 ，包含个人信息、身体、财，包含个人信息、身体、财产或者自我决定等。产或者自我决定等。物联网与隐私物联网与隐私不当使用会侵害隐私恰当的技术可以保护隐私4.1 隐私的定义隐私的

8、定义4.2 隐私度量隐私度量u4.2.1 4.2.1 隐私度量的概念隐私度量是指用来评估个人的隐私水平及隐私保护技术应用于实际生活中能达到的效果，同时也为了测量“隐私”这个概念。本书主要从数据库隐私、位置隐私、数据隐私三个方面介绍隐私度量方法及标准4.2 隐私度量隐私度量4.2.2 隐私度量标准u数据库隐私度量标准隐私保护度。通常通过发布数据的披露风险来反通常通过发布数据的披露风险来反映。披露风险越小，隐私保护度越映。披露风险越小，隐私保护度越高高。数据的可用性。对对发布数据质量的度量，它反映发布数据质量的度量，它反映通过隐私保护技术处理后数据的信息丢失。数据通过隐私保护技术处理后数据的信息丢

9、失。数据缺损越高，信息丢失越多，数据利用率越低。缺损越高，信息丢失越多，数据利用率越低。4.2 隐私度量隐私度量4.2.2 隐私度量标准u位置隐私度量标准隐私保护度。通常通常通过通过位置隐私的位置隐私的披露披露风险来反风险来反映。披露风险越小，隐私保护度越映。披露风险越小，隐私保护度越高高。服务质量。用于衡量隐私算法的优劣，在相同的用于衡量隐私算法的优劣，在相同的隐私保护度下，服务质量越高说明隐私保护算法隐私保护度下，服务质量越高说明隐私保护算法越好。一般情况下，服务质量由查询响应时间、越好。一般情况下，服务质量由查询响应时间、计算和通信开销、查询结果的精确性等来衡量。计算和通信开销、查询结果

10、的精确性等来衡量。4.2 隐私度量隐私度量4.2.2 隐私度量标准u数据隐私度量标准机密性。数据必须按照数据拥有者的要求保证一数据必须按照数据拥有者的要求保证一定的秘密性，不会被非授权的第三方非法获知。定的秘密性，不会被非授权的第三方非法获知。完整性。完整性是指信息安全、精确与有效，不完整性是指信息安全、精确与有效，不因为人为的因素而改变信息原有的内容、形式和因为人为的因素而改变信息原有的内容、形式和流向，即不能被未授权的第三方修改。流向，即不能被未授权的第三方修改。可用性。保证数据资源能够提供既定的功能，无保证数据资源能够提供既定的功能，无论何时何地，只要需要即可使用，而不论何时何地，只要需

11、要即可使用，而不因因系统故系统故障和误操作等障和误操作等使资源使资源丢失或妨碍对资源的使丢失或妨碍对资源的使用用。4.3 隐私威胁隐私威胁4.3.1 隐私威胁模型用户在网络中使用数据库、位置服务、数据等资用户在网络中使用数据库、位置服务、数据等资源时，会在网络中留下大量的个人信息，而网络源时，会在网络中留下大量的个人信息，而网络实体、服务提供商以及网络侦听者等都可能是不实体、服务提供商以及网络侦听者等都可能是不可信可信。它们它们 会通过这些个人遗留在网络中的信息会通过这些个人遗留在网络中的信息，推理用户的个人敏感信息，对用户的隐私构成，推理用户的个人敏感信息，对用户的隐私构成严重的威胁。严重的

12、威胁。为了保护个人隐私，需要保护用户的私人数据不为了保护个人隐私，需要保护用户的私人数据不被泄露给不可信的第三方。被泄露给不可信的第三方。4.3 隐私威胁隐私威胁4.3.2 隐私保护技术u数据库隐私保护技术基于数据失真的技术基于数据失真的技术。使使敏感数据失真但同时保敏感数据失真但同时保持某些数据或数据属性不变的方法持某些数据或数据属性不变的方法。如采用。如采用添加添加噪声、交换等技术对原始数据进行扰动处理，但噪声、交换等技术对原始数据进行扰动处理，但要求保证处理后的数据仍然可以保持某些统计方要求保证处理后的数据仍然可以保持某些统计方面的性质，以便进行数据挖据等操作面的性质，以便进行数据挖据等

13、操作。基于数据加密的技术基于数据加密的技术。采用采用加密技术在数据挖掘加密技术在数据挖掘过程中隐藏敏感数据的方法，多用于分布式应用过程中隐藏敏感数据的方法，多用于分布式应用环境，如安全多方计算环境，如安全多方计算4.3 隐私威胁隐私威胁4.3.2 隐私保护技术u位置隐私保护技术基于基于隐私保护策略的技术隐私保护策略的技术。通过制定一些常用的通过制定一些常用的隐私管理规则和可信任的隐私协定来约束服务提隐私管理规则和可信任的隐私协定来约束服务提供商能公平、安全的供商能公平、安全的使用个人使用个人位置信息。位置信息。基于基于匿名和混淆技术匿名和混淆技术的的技术。技术。利用匿名和混淆技利用匿名和混淆技

14、术分隔术分隔用户身份用户身份标识和其所在的位置信息、降低标识和其所在的位置信息、降低用户位置信息的用户位置信息的精度精度以达到隐私保护的以达到隐私保护的目的目的。基于空间加密的方法基于空间加密的方法。通过通过对位置加密达到匿名对位置加密达到匿名的效果。的效果。4.3 隐私威胁隐私威胁4.3.2 隐私保护技术u数据库隐私保护技术基于数据失真的技术基于数据失真的技术。使使敏感数据失真但同时保敏感数据失真但同时保持某些数据或数据属性不变的方法持某些数据或数据属性不变的方法。如采用。如采用添加添加噪声、交换等技术对原始数据进行扰动处理，但噪声、交换等技术对原始数据进行扰动处理，但要求保证处理后的数据仍

15、然可以保持某些统计方要求保证处理后的数据仍然可以保持某些统计方面的性质，以便进行数据挖据等操作面的性质，以便进行数据挖据等操作。基于数据加密的技术基于数据加密的技术。采用采用加密技术在数据挖掘加密技术在数据挖掘过程中隐藏敏感数据的方法，多用于分布式应用过程中隐藏敏感数据的方法，多用于分布式应用环境，如安全多方环境，如安全多方计算计算。4.3 隐私威胁隐私威胁4.3.2 隐私保护技术u数据隐私保护技术支持支持计算的加密技术计算的加密技术。是一类能满足支持隐私保是一类能满足支持隐私保护的计算模式（如算数运算、字符运算等）的要护的计算模式（如算数运算、字符运算等）的要求，通过加密手段保证数据的机密性

16、，同时密文求，通过加密手段保证数据的机密性，同时密文能支持某些计算功能的加密方案的统称能支持某些计算功能的加密方案的统称。支持检索的加密技术支持检索的加密技术。指数指数据在加密状态下可以据在加密状态下可以对数据进行精确检索和模糊检索，从而保护数据对数据进行精确检索和模糊检索，从而保护数据隐私的技术隐私的技术。4.4 数据库隐私数据库隐私4.4.1 基本概念和威胁模型u隐私保护技术集中在数据挖掘和数据发布两个领域数据挖掘中的数据挖掘中的隐私保护隐私保护 。是是如何在保护用户隐私如何在保护用户隐私的前提下，能进行有效的数据挖掘的前提下，能进行有效的数据挖掘。数据发布中的数据发布中的隐私保护隐私保护

17、。是是如何在保护用户隐私如何在保护用户隐私的前提下，发布用户的数据以供第三方有效的研的前提下，发布用户的数据以供第三方有效的研究和使用究和使用。4.4 数据库隐私数据库隐私4.4.1 基本概念和威胁模型u隐私保护技术集中在数据挖掘和数据发布两个领域数据挖掘中的数据挖掘中的隐私保护隐私保护 。是是如何在保护用户隐私如何在保护用户隐私的前提下，能进行有效的数据挖掘的前提下，能进行有效的数据挖掘。数据发布中的数据发布中的隐私保护隐私保护。是是如何在保护用户隐私如何在保护用户隐私的前提下，发布用户的数据以供第三方有效的研的前提下，发布用户的数据以供第三方有效的研究和使用究和使用。4.4 数据库隐私数据

18、库隐私4.4.2 数据库隐私保护技术u基于数据失真的隐私保护技术 通过扰动原始数据来实现隐私保护，扰动后的数据满足：攻击者不能发现真实的原始数据。攻击者不能发现真实的原始数据。经过失真处理后的数据要能够保持某些性质不变经过失真处理后的数据要能够保持某些性质不变4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u基于数据失真的隐私保护技术随机化。数据随机化就是在原始数据中加入随机随机化。数据随机化就是在原始数据中加入随机噪声，然后发布扰动后的数据。噪声，然后发布扰动后的数据。随机扰动随机扰动随机随机应答应答 3-2（a）随机扰动过程3-2 (b)重构过程4.4 数据库隐私数据库隐私4.4

19、.2 数据库隐私保护技术u基于数据失真的隐私保护技术阻塞与凝聚。阻塞与凝聚。将原始数据记录分成组，每一组内将原始数据记录分成组，每一组内存储由存储由k k条记录产生的统计信息，包括每个属性条记录产生的统计信息，包括每个属性的均值、协方差等的均值、协方差等。4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u基于数据加密的隐私保护技术安全多方计算安全多方计算。安全多方计算协议是密码学中非常活跃的一个学术领域，有很强的理论和实际意义。它可以被描述为一个计算过程：两个或多个协议参与者基于秘密输入来计算一个函数。安全多方计算假定参与者愿意共享一些数据用于计算。但是，每个参与者都不希望自己的输入

20、被其他参与者或任何三方所知。4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u基于数据加密的隐私保护技术安全多方计算安全多方计算。一般来说，安全多方计算可以看成是在具有n个参与者的分布式网络中私密输入x1,x2,xn上的计算函数f(x1,x2,xn)，其中参与者i仅知道自己的输入xi和输出f(x1,x2,xn)，再没有任何其它多余信息。如果假设有可信第三方存在，这个问题的解决十分容易，参与者只需要将自己的输入通过秘密通道传送给可信第三方，由可信第三方计算这个函数，然后将结果广播给每一个参与者即可。但是在现实中很难找到一个让所有参与者都信任的的可信第三方。4.4 数据库隐私数据库隐私4

21、.4.2 数据库隐私保护技术u基于数据加密的隐私保护技术分布式匿名化。分布式匿名化。匿名化就是隐藏数据或数据来源。因为大多数应用都需要对原始数据进行匿名处理以保证敏感信息的安全，并在此基础上进行挖掘、发布等操作。输入：输入： 站点站点S S1 1,S,S2 2，数据，数据ID,AID,A1 1,A,A2 2, ,A,An n ， ID,B ID,B1 1,B,B2 2, , ,B Bn n 输出：输出： k- k-匿名数据表匿名数据表T T* * 过程过程：1. 21. 2个站点分别产生私有密钥个站点分别产生私有密钥KK1 1和和KK2 2，且满足：，且满足：E E K1K1(E(EK2K2(

22、D) = E(D) = EK2K2(E (E K1K1(D)(D)，其中，其中D D为任意数据为任意数据; ; 2. 2. 表表T T* * NULL NULL； 3 3. while T. while T* *中数据不满足中数据不满足k-k-匿名条件匿名条件 do do 4 4. . 站点站点i i( (i i=1=1或或2)2) 4.1 4.1 泛化泛化ID,AID,A1 1,A,A2 2, ,A,An n 为为ID,AID,A1 1* *,A,A2 2* *, ,A,An n* * ，其中，其中A A1 1* *表示表示A A1 1泛化后的值；泛化后的值； 4.2 4.2 ID,AID,

23、A1 1,A,A2 2, ,A,An nID,AID,A1 1* *,A,A2 2* *, ,A,An n* * 4.3 4.3 用用KKi i加密加密ID,AID,A1 1* *,A,A2 2* *, ,A,An n* * 并传递给另一站点；并传递给另一站点； 4.4 4.4 用用KKi i加密另一站点加密的泛化数据并回传；加密另一站点加密的泛化数据并回传； 4.5 4.5 根据两个站点加密后的根据两个站点加密后的IDID值对数据进行匹配，构建经值对数据进行匹配，构建经KK1 1和和KK2 2加密后的数据表加密后的数据表T T* *ID,AID,A1 1* *,A,A2 2* *, ,A,A

24、n n* *， ID,BID,B1 1,B,B2 2, , ,B Bn n 5 5. end while. end while表4-1 分布式k-匿名算法4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u基于数据加密的隐私保护技术分布式关联规则挖掘分布式关联规则挖掘。在分布式环境下，关联规则挖掘的关键是计算项集的全局计数，加密技术能保证在计算项集计数的同时，不会泄露隐私信息。分布式聚类分布式聚类。基于隐私保护的分布式聚类的关键是安全的计算数据间距离，有Nave聚类模型两种模式和多次聚类模型，两种模型都利用了加密技术实现信息的安全传输。4.4 数据库隐私数据库隐私4.4.2 数据库隐私

25、保护技术u基于限制发布隐私保护技术限制发布是指有选择的发布原始数据、不发布或者发布精度较低的敏感数据以实现隐私保护。当前基于限制发布隐私保护方法主要采用数据匿名化技术，即在隐私披露风险和数据精度之间进行折中，有选择地发布敏感数据及可能披露敏感数据的信息，但保证敏感数据及隐私的披露风险在可容忍的范围内。4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u基于限制发布隐私保护技术数据匿名化的基本操作：抑制。抑制某数据项。泛化。即对数据进行更抽象和概括的描述。如把年龄30岁泛化成区间 20,40的形式，因为30岁在区间20,40内。数据匿名化的原则：数据匿名化处理的原始数据一般为数据表形式，

26、表中每一行是一个记录，对应一个人。每条记录包含多个属性（数据项），这些属性可分为3类4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u匿名化记录属性显示标识符（explicit identifier）。能唯一表示单一个体的属性，如身份证、姓名等。准标识符（quasi-identifiers）。几个属性联合起来可以唯一标识一个人，如邮编，性别，出生年月等联合起来可能是一个准标识符。敏感属性（sensitive attribute）。包含用户隐私数据的属性，如疾病、收入、宗教信仰等。4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u匿名化记录属性姓名姓名年龄年龄性别性别邮编邮编

27、疾病疾病BettyBetty25F12300艾滋病LindaLinda35M13000消化不良BillBill21M12000消化不良SamSam35M14000肺炎JohnJohn71M27000肺炎DavidDavid65F54000胃溃疡AliceAlice63F24000流行感冒SusanSusan70F30000支气管炎表3-2 某医院原始诊断记录表4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u匿名化原则K-K-匿名匿名。K-匿名方法通常采用泛化和压缩技术对原始数据进行匿名化处理以便得到满足k-匿名规则的匿名数据，从而使得攻击者不能根据发布的匿名数据准确的识别出目标个体

28、的记录。组标识组标识年龄年龄性别性别邮编邮编疾病疾病1 12, 60F12000,15000艾滋病1 12, 60M12000,15000消化不良1 12, 60M12000,15000消化不良1 12, 60M12000,15000肺炎2 261, 75M23000,55000肺炎2 261, 75F23000,55000胃溃疡2 261, 75F23000,55000流行感冒2 261, 75F23000,55000支气管炎表4-4 4-匿名数据4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u匿名化原则l-diversityl-diversity。将原始数据中的记录划分成多个等

29、价类，并利用泛化技术使得每个等价类中的记录都拥有相同的准标识符属性，l-diversity规则要求每个等价类的敏感属性至少有l个不同的值。表4-3 3-diversity年龄年龄性别性别邮编邮编疾病疾病2525F12300艾滋病3535M13000消化不良2121M12000消化不良3535M14000肺炎7171M27000肺炎6565F54000胃溃疡6363F24000流行感冒7070F30000支气管炎4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u匿名化规则t-closenesst-closeness。t-closeness规则要求匿名数据中的每个等价类中敏感属性值得分布

30、接近于原始数据中的敏感属性值的分布，两个分布之间的距离不超过阈值t。AnatomyAnatomy规则。规则。Anatomy首先利用原始数据产生满足l-diversity原则的数据划分，然后将结果分成两张数据表发布，一张表包含每个记录的准标识符属性值和该记录的等价类ID号，另一张表包含等价类ID、每个等价类的敏感属性值及其计数。4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u数据匿名化算法基于通用原则的匿名化基于通用原则的匿名化算法算法。通常包括泛化空间枚举、空间修剪、选取最优化泛化、结果判断与输出等步骤。基于通用匿名原则的匿名算法大都是基于k-匿名算法，不同之处仅在于判断算法结束的

31、条件，而泛化策略、空间修剪等都是基本相同的。面向特定目标的匿名化面向特定目标的匿名化算法算法。面向特定目标的匿名化算法就是针对特定应用场景的隐私化算法。4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u数据匿名化算法基于聚类的匿名化算法基于聚类的匿名化算法。它将原始记录映射到特定的度量空间，在对空间中的点进行聚类来实现数据匿名。基于聚类的匿名化算法基于聚类的匿名化算法面临的挑战。面临的挑战。 如何对原始数据的不同属性进行加权，因为对属性的度量越准确，聚类的效果就越好。如何使不同性质的属性同意映射到同一度量空间。4.4 数据库隐私数据库隐私4.4.2 数据库隐私保护技术u数据匿名化场景

32、 图4-3 数据匿名化场景4.5 位置隐私位置隐私4.5.1 基本概念4.5 位置隐私位置隐私4.5.1 基本概念军事和政府产业军事和政府产业GPS系统，最初主要用于军事和涉及国家重要利益的民用领域商业领域商业领域信息娱乐服务（娱乐场所查询、广告、社交等），定位服务，追踪服务，道路辅助与导航服务紧急救援紧急救援1996年,FCC颁布法规要求移动通信运营商为手机用户提供紧急求援服务。2003年欧洲实施“US FCC”标准4.5 位置隐私位置隐私4.5.1 基本概念用户用户对自己位置信息的掌控对自己位置信息的掌控能力能力是否发布是否发布发布发布给谁给谁详细程度详细程度保护位置隐私的重要性保护位置隐

33、私的重要性三要素：时间、地点、人物三要素：时间、地点、人物人身安全人身安全隐私泄露隐私泄露位置隐私面临的威胁位置隐私面临的威胁通信通信服务商服务商攻击者攻击者4.5 位置隐私位置隐私4.5.1 基本概念位置信息与个人隐私位置信息与个人隐私4.5 位置隐私位置隐私移动设备用户使用移动设备向服务器发送用户使用移动设备向服务器发送查询。查询。定位系统通过定位系统获得查询位置通过定位系统获得查询位置网络查询和结果通过网络传输查询和结果通过网络传输LBS服务器提供基于位置的服务提供基于位置的服务4.5.1物联网中LBS的体系结构物联网中物联网中LBS的通用威胁模型的通用威胁模型假定LBS服务器是恶意观察

34、者现实中是一个复杂的多方面的问题移动设备可能被俘获，泄露用移动设备可能被俘获，泄露用户信息。户信息。网络传输可能被监听和遭受中网络传输可能被监听和遭受中间人攻击。间人攻击。4.5 位置隐私位置隐私u用户标识 u位置数据LBS 服务提供商查找离我最查找离我最近的大使馆近的大使馆搜索去商搜索去商店的路线店的路线4.5.1 隐私威胁模型4.5 位置隐私位置隐私利用利用GPSGPS轨迹数据分析基础交通设施的建设情况，更新和优轨迹数据分析基础交通设施的建设情况，更新和优化交通设施化交通设施商品连锁店根据用户的刷卡情况，分析用户的消费习惯等商品连锁店根据用户的刷卡情况，分析用户的消费习惯等公司收集用户的轨

35、迹数据u用户标识 u轨迹数据 4.5 LBS和隐私和隐私4.5 物联网中物联网中LBS隐私保护隐私保护nLBS中的隐私问题引起了用户、服务商和政府的广泛关注n隐私保护问题已成为LBS发展的瓶颈，是LBS应用亟待突破的重要问题，其重要性和紧迫性不容忽视，直接影响到LBS的健康发展和普及4.5 隐私的定义隐私的定义隐私定义指个人、机构等实体不愿意被外人知晓的信息。指个人、机构等实体不愿意被外人知晓的信息。个人隐私数据拥有者不愿意被披露的敏感信息数据拥有者不愿意被披露的敏感信息。位置隐私指防止未授权实体知道自己当前或过去的位置信息的能力指防止未授权实体知道自己当前或过去的位置信息的能力。轨迹隐私一种

36、特殊的位置隐私，指个人轨迹本身含有的敏感信息或一种特殊的位置隐私，指个人轨迹本身含有的敏感信息或者由运行轨迹推导出的其他个人信息者由运行轨迹推导出的其他个人信息。4.5 隐私定义隐私定义敏感信息有关用户的时空信息、查询请求内容中涉及医疗或金融的有关用户的时空信息、查询请求内容中涉及医疗或金融的信息，推断出的用户的运动模式、用户的兴趣爱好等个人信息，推断出的用户的运动模式、用户的兴趣爱好等个人隐私信息。隐私信息。位置隐私威胁是指攻击者在某授权的情况下通过定位位置传输设备、窃是指攻击者在某授权的情况下通过定位位置传输设备、窃听位置信息传输通道等方式访问到原始的位置数据，并计听位置信息传输通道等方式

37、访问到原始的位置数据，并计算推理获取的与位置相关的个人隐私信息算推理获取的与位置相关的个人隐私信息。4.5 物联网中物联网中LBS的隐私泄露的隐私泄露位置隐私泄露位置，包括用户过去和现在的位置位置，包括用户过去和现在的位置查询隐私泄露查询内容，例如，查询离我最近的肿瘤治疗医院查询内容，例如，查询离我最近的肿瘤治疗医院轨迹隐私泄露对轨迹数据的攻击性推理和计算可以推导出个人的兴趣对轨迹数据的攻击性推理和计算可以推导出个人的兴趣爱好，爱好， 家庭住址，健康状况和政治倾向等家庭住址，健康状况和政治倾向等4.5 物联网中物联网中LBS的隐私保护的隐私保护n位置隐私度量避免用户和某一精确位置相匹配n查询隐

38、私度量避免用户和某一敏感信息（查询属性、内容）相匹配n轨迹隐私度量避免用户和某一精确的轨迹相匹配4.5 网联网中网联网中LBS的隐私度量的隐私度量n位置隐私度量Location k-anonymityLocation l-diversity or Road Segment s-diversityn查询隐私度量K-anonymity、Location entropy、Query attributen轨迹隐私度量 融合攻击者背景知识的隐私度量机制4.5 物联网中物联网中LBS隐私保护方法隐私保护方法假位置(Dummy)通过制造假位置，达到以假乱真的效果通过制造假位置，达到以假乱真的效果时空匿名(s

39、pati-temporal cloaking)将用户的位置扩展到一个时空区域，达到匿名效果。将用户的位置扩展到一个时空区域，达到匿名效果。空间加密(Space Encyption)通过对位置加密，达到匿名效果通过对位置加密，达到匿名效果私有信息检索(Private Information Retrieval)把隐私保护转化为把隐私保护转化为NN问题，通过加密技术实现问题，通过加密技术实现4.5 物联网中物联网中LBS隐私保护方法隐私保护方法n发布假位置通过提交一些假位置，达到位置匿名的效果4.5 物联网中物联网中LBS隐私保护方法隐私保护方法n空间匿名把位置点扩展到一个时空区域，达到匿名的效果

40、4.5 物联网中物联网中LBS隐私保护方法隐私保护方法n空间加密通过对位置加密，达到匿名效果4.5 物联网中物联网中LBS隐私保护方法隐私保护方法nPIR允许用户私自从数据库检索信息，而不需要数据库服务器知道用户的特定请求信息Ghinita, G. (2009). Private queries and trajectory anonymization: A dual perspective on location privacy. Transactions on Data Privacy 2(1): 3-19.4.5 感知隐私保护的查询处理感知隐私保护的查询处理n假位置移动对象数据库中的查询

41、处理技术，无需作任何修改n时空匿名设计基于区域位置的查询处理技术，查询结果是一个包含真实结果的超集n空间加密查询技术与使用的加密协议有关，如支持检索的加密技术4.5 物联网中物联网中LBS隐私保护系统结构隐私保护系统结构n独立结构优点：结构简单，易于配置缺点：客户端负担较重； 缺乏全局信息，隐蔽性弱。4.5 物联网中物联网中LBS隐私保护系统结构隐私保护系统结构n中心服务器结构优点（1）减轻了客户端负担 （2）具有全局信息，隐私保护效果好缺点（1）成为系统瓶颈 （2）成为系统的唯一攻击点4.5 物联网中物联网中LBS隐私保护系统结构隐私保护系统结构n分布式点对点结构优点（1）消除唯一攻击点 （

42、2）具有全局信息，隐私保护效果好缺点（1）网络通信代价高匿名组4.5 物联网中物联网中LBS隐私保护内容隐私保护内容隐私保护方法位置隐私保护方法位置隐私保护方法查询隐私保护方法查询隐私保护方法轨迹隐私保护方法轨迹隐私保护方法感知隐私的查询处理基于区域位置的查询处理技术基于区域位置的查询处理技术基于加密位置的查询处理技术基于加密位置的查询处理技术隐私度量方法位置、查询隐私度量位置、查询隐私度量轨迹隐私度量轨迹隐私度量4.5 物联网中物联网中LBS隐私保护模型隐私保护模型n位置k-匿名当前仅当一个用户的位置和其他（k-1）用户的位置无法区分时，称该用户满足位置k-匿名4.5 基于四分树的隐私保护方

43、法基于四分树的隐私保护方法n问题面对大量移动用户，如何快速高效的为移动用户寻找匿名集n解决方法位置k-匿名中提出了基于四分树的方法，即递归式的划分空间，直至某一子空间内的用户数小于k,则返回其上一级的子空间作为位置匿名区域K=34.5 基于四分树的隐私保护方法n缺点所有移动用户都假定使用同一个系统静态k值，不适应个性化隐私需求。就产生的匿名集大小，没有提供任何服务质量保证和评估n解决方法个性化的位置隐私K-匿名模型K=34.5 基于个性化的位置k-匿名模型n问题如何为每一个用户提供满足个性化隐私需求的匿名方法n解决方法利用图模型形式化的定义此问题，并把寻找匿名集转化为在图中寻找k-点团的问题4

44、.5 物联网中LBS连续查询隐私保护n问题位置服务中现有的隐私保护工作均针对snapshot查询类型,将现有匿名算法直接应用于连续查询会产生查询隐私泄露 A,B,DA,B,FA,C,F=A Q1,Q2,Q4 Q1,Q2,Q6Q1 ,Q3 ,Q 5=Q1n解决方法连续查询的用户在最初时刻形成的匿名集在其查询有效期内均有效4.5 轨迹隐私轨迹隐私4.5.3 轨迹隐私保护技术基本概念轨迹是指某个移动对象的位置信息按时间排序的序列。通常情况下，轨迹T T可以表示为T T=qi,(x1,y1,t1), (x2,y2,t2), (xn,yn,tn). 其中，qi表示该轨迹的标识符，它通常代表移动对象、个体

45、或某种服务的用户，(xi,yi,ti)(1in)表示移动对象在ti时刻的位置(xi,yi)，也称为采样位置或采样点，ti为采样时间。轨迹隐私是一种特殊的个人隐私，它是指个人运行轨迹本身含有的敏感信息，或者由运行轨迹推导出的其它个人信息，如家庭地址、工作单位、生活习惯、宗教信仰等。4.5 物联网中物联网中LBS轨迹隐私保护轨迹隐私保护n基本概念针对轨迹数据的攻击性推理可能导致个人隐私信息的暴露现有位置隐私保护技术并不能解决轨迹隐私泄露问题n解决方法基于假数据的轨迹隐私保护技术基于泛化的轨迹隐私保护技术基于抑制法的轨迹隐私保护技术4.5 物联网中物联网中LBS轨迹隐私保护轨迹隐私保护n问题针对轨迹

46、数据的攻击性推理可能导致个人隐私信息的暴露现有位置隐私保护技术并不能解决轨迹隐私泄露问题n解决方法基于假数据的轨迹隐私保护技术基于泛化的轨迹隐私保护技术基于抑制法的轨迹隐私保护技术4.5 物联网中物联网中LBS感知隐私的查询感知隐私的查询n问题如何在位置被匿名后提供用户满意的服务。两种位置数据类型：（1）公开位置数据。如加油站、旅馆（2）隐私位置数据。如个人位置4.5 物联网中物联网中LBS隐私度量隐私度量n问题隐私保护方法用于实际中时并不能达到理论上的隐私保护效果，用户需要当前所用隐私保护程度的反馈如何评估保护隐私的技术水平是否有所提高n解决方法建立一种隐私度量机制评估服务系统的隐私保护效果

47、位置隐私度量、查询隐私度量轨迹隐私度量4.5 物联网中物联网中LBS隐私度量隐私度量n隐私度量建立一个融合攻击者背景知识的统一隐私度量框架，提出一些新的指标4.6外包外包 数据隐私数据隐私4.6.1 基本概念u数据隐私外包计算模式下的数据隐私具有以下两个独有的特点：（1）外包计算模式下的数据隐私是一种广义的隐私，其主体包括自然人和法人（企业）；（2）传统网络中的隐私问题主要发生在信息传输和存储的过程中，外包计算模式下不仅要考虑数据传输和存储中的隐私问题，还要考虑数据计算和检索过程中可能出现的隐私泄露。表4-4 4-匿名数据4.6外包外包 数据隐私数据隐私4.6.1 基本概念u支持计算的加密技术

48、支持计算的加密技术。能满足支持隐私保护的计算模式的要求，通过加密手段保证数据的机密性，同时密文能支持某些计算功能的加密方案的统称。支持计算的加密方案。（1）密钥生成算法Gen为用户U产生密钥Key；（2）加密算法Enc可能为概率算法；（3）解密算法Dec为确定算法。（4）密文计算算法Cal可能为概率算法。4.6外包外包 数据隐私数据隐私4.6.2 隐私威胁模型图4-13 外包计算模式下的隐私威胁模型4.6外包外包 数据隐私数据隐私4.6.2 隐私威胁模型数据从数据拥有者传递到服务提供者的过程中，外部攻击者可以通过窃听的方式盗取数据；外部攻击者可通过无授权的访问、木马和钓鱼软件等方式来破坏服务提

49、供者对用户数据和程序的保护，实现非法访问。外部攻击者可通过观察用户发出的请求，从而获得用户的习惯、目的等隐私信息。由于数据拥有者的数据存放在服务提供者的存储介质上，程序运行在服务提供者的服务器中，因此内部攻击者要发起攻击更为容易。以上以上4种威胁中，前三种是传统网络安全问题，可以通过已有的访问种威胁中，前三种是传统网络安全问题，可以通过已有的访问控制机制来限制攻击者的无授权访问，通过控制机制来限制攻击者的无授权访问，通过VPN、OpenSSH或或Tor等等方法来保证通信线路的安全。最后一种威胁是外包计算模式下出现的方法来保证通信线路的安全。最后一种威胁是外包计算模式下出现的新威胁，也是破坏性最

50、大的一种威胁。因此，需要一种技术可以同时新威胁，也是破坏性最大的一种威胁。因此，需要一种技术可以同时抵御这抵御这4种威协。种威协。4.6外包外包 数据隐私数据隐私4.6.3 外包数据加密检索外包数据加密计算模型 加密检索涉及到的三类实体分别为：1. 数据拥有者；2. 被授权的数据使用者；3. 云端服务器。数据拥有者想要将其拥有的资料存储在租用的云存储服务器端，以供被授权的数据使用者使用。但考虑到数据存放在云端时会存在数据泄露的可能，故其希望可以以加密形式存放在云端。当被授权的使用者想要调回数据（文档）时，先对关键字进行加密，再上传至云端，在云端服务器进行处理后，选出需要的数据，返回给被授权的使