物聯(lián)網(wǎng)安全2016(第4章)-隱私安全

1、第四章 隱私安全第四章 隱私安全基本要求熟悉隱私的概念和度量了解隱私的威脅模型和隱私保護(hù)方法熟悉數(shù)據(jù)隱私、位置隱私、外包數(shù)據(jù)隱私的概念、威脅模型和保護(hù)技術(shù)根據(jù)本章文獻(xiàn)，參閱一篇感興趣的文獻(xiàn)并總結(jié)。第四章 隱私安全 隨著智能手機(jī)、無線傳感網(wǎng)絡(luò)、RFID等信息采集終端在物聯(lián)網(wǎng)中的廣泛應(yīng)用，物聯(lián)網(wǎng)中將承載大量涉及人們?nèi)粘Ｉ畹碾[私信息（如位置信息、敏感數(shù)據(jù)等），隱私保護(hù)問題也顯得越來越重要。如不能很好地解決隱私保護(hù)問題，人們對(duì)隱私泄露的擔(dān)憂勢(shì)必成為物聯(lián)網(wǎng)推行過程的最大障礙之一。 本章將介紹隱私的概念、度量、威脅；重點(diǎn)介紹數(shù)據(jù)庫隱私、位置隱私和數(shù)據(jù)隱私等的相關(guān)內(nèi)容。 4.1 隱私的定義u什么是隱私？據(jù)

2、文獻(xiàn)記載，隱私的詞義來源于西方，一般認(rèn)為最早關(guān)注隱私權(quán)的文章是美國人沃論（Samuel DWarren）和布蘭戴斯（Louis DBrandeis）發(fā)表的隱私權(quán)（The Right to Privacy）。2002年全國人大起草民法典草案，對(duì)隱私權(quán)保護(hù)的隱私做了規(guī)定，包括私人信息、私人活動(dòng)、私人空間和私人的生活安寧等四個(gè)方面。王利明教授在隱私權(quán)的新發(fā)展中指出“隱私是凡個(gè)人不愿意對(duì)外公開的、且隱匿信息不違反法律和社會(huì)公共利益的私人生活秘密，都構(gòu)成受法律保護(hù)的隱私”。4.1 隱私的定義u什么是隱私？狹義的隱私是指以自然人為主體而不包括商業(yè)秘密在內(nèi)的個(gè)人秘密。廣義隱私的主體是自然人與法人，客體包括商

3、業(yè)秘密。簡單來說，隱私就是個(gè)人、機(jī)構(gòu)或組織等實(shí)體不愿意被外部世界知曉的信息。在具體應(yīng)用中，隱私為數(shù)據(jù)擁有者不愿意被披露的敏感信息，包括敏感數(shù)據(jù)以及數(shù)據(jù)所表征的特性，如個(gè)人的興趣愛好、身體狀況、宗教信仰、公司的財(cái)務(wù)信息等。4.1 隱私的定義u隱私分類個(gè)人隱私（Individual privacy）：一般是指數(shù)據(jù)擁有者不愿意披露的敏感信息，如個(gè)人的興趣愛好、健康狀況、收入水平、宗教信仰和政治傾向等。在個(gè)人隱私的概念中主要涉及4個(gè)范疇：信息隱私、收集和處理個(gè)人數(shù)據(jù)的方法和規(guī)則，如個(gè)人信用信息、醫(yī)療和檔案信息，信息隱私也被認(rèn)為數(shù)據(jù)隱私；人身隱私，對(duì)涉及侵犯?jìng)€(gè)人物理狀況相關(guān)信息，如基因測(cè)試等；通信隱私，

4、郵件、電話、電子郵件以及其它形式的個(gè)人通信的信息；空間信息，對(duì)干涉自有地理空間的制約，包括辦公場(chǎng)所、公共場(chǎng)所，如搜查、跟蹤、身份檢查等。4.1 隱私的定義u隱私分類共同隱私（Corporate privacy: 共同隱私不僅包含個(gè)人隱私，還包含所有個(gè)人共同表現(xiàn)出來但不愿被暴露的信息，如公司員工的平均薪資、薪資分布等信息。什么是隱私權(quán)什么是隱私權(quán)？隱私權(quán)：隱私權(quán)：個(gè)人信息的自我決定權(quán)個(gè)人信息的自我決定權(quán) ，包含個(gè)人信息、身體、財(cái)，包含個(gè)人信息、身體、財(cái)產(chǎn)或者自我決定等。產(chǎn)或者自我決定等。物聯(lián)網(wǎng)與隱私物聯(lián)網(wǎng)與隱私不當(dāng)使用會(huì)侵害隱私恰當(dāng)?shù)募夹g(shù)可以保護(hù)隱私4.1 隱私的定義隱私的定義4.2 隱私度量u

5、4.2.1 4.2.1 隱私度量的概念隱私度量是指用來評(píng)估個(gè)人的隱私水平及隱私保護(hù)技術(shù)應(yīng)用于實(shí)際生活中能達(dá)到的效果，同時(shí)也為了測(cè)量“隱私”這個(gè)概念。本書主要從數(shù)據(jù)庫隱私、位置隱私、數(shù)據(jù)隱私三個(gè)方面介紹隱私度量方法及標(biāo)準(zhǔn)4.2 隱私度量4.2.2 隱私度量標(biāo)準(zhǔn)u數(shù)據(jù)庫隱私度量標(biāo)準(zhǔn)數(shù)據(jù)庫隱私度量標(biāo)準(zhǔn)隱私保護(hù)度隱私保護(hù)度。通常通過發(fā)布數(shù)據(jù)的披露風(fēng)險(xiǎn)來反映。披露風(fēng)險(xiǎn)越小，隱私保護(hù)度越高。數(shù)據(jù)的可用性數(shù)據(jù)的可用性。對(duì)發(fā)布數(shù)據(jù)質(zhì)量的度量，它反映通過隱私保護(hù)技術(shù)處理后數(shù)據(jù)的信息丟失。數(shù)據(jù)缺損越高，信息丟失越多，數(shù)據(jù)利用率越低。4.2 隱私度量4.2.2 隱私度量標(biāo)準(zhǔn)隱私度量標(biāo)準(zhǔn)u位置隱私度量標(biāo)準(zhǔn)位置隱私度量

6、標(biāo)準(zhǔn)隱私保護(hù)度隱私保護(hù)度。通常通過位置隱私的披露風(fēng)險(xiǎn)來反映。披露風(fēng)險(xiǎn)越小，隱私保護(hù)度越高。服務(wù)質(zhì)量服務(wù)質(zhì)量。用于衡量隱私算法的優(yōu)劣，在相同的隱私保護(hù)度下，服務(wù)質(zhì)量越高說明隱私保護(hù)算法越好。一般情況下，服務(wù)質(zhì)量由查詢響應(yīng)時(shí)間、計(jì)算和通信開銷、查詢結(jié)果的精確性等來衡量。4.2 隱私度量4.2.2 隱私度量標(biāo)準(zhǔn)隱私度量標(biāo)準(zhǔn)u數(shù)據(jù)隱私度量標(biāo)準(zhǔn)數(shù)據(jù)隱私度量標(biāo)準(zhǔn)機(jī)密性機(jī)密性。數(shù)據(jù)必須按照數(shù)據(jù)擁有者的要求保證一定的秘密性，不會(huì)被非授權(quán)的第三方非法獲知。完整性完整性。完整性是指信息安全、精確與有效，不因?yàn)槿藶榈囊蛩囟淖冃畔⒃械膬?nèi)容、形式和流向，即不能被未授權(quán)的第三方修改?？捎眯浴？捎眯?。保證數(shù)據(jù)資源能夠提

7、供既定的功能，無論何時(shí)何地，只要需要即可使用，而不因系統(tǒng)故障和誤操作等使資源丟失或妨礙對(duì)資源的使用。4.3 隱私威脅4.3.1 隱私威脅模型隱私威脅模型用戶在網(wǎng)絡(luò)中使用數(shù)據(jù)庫、位置服務(wù)、數(shù)據(jù)等資源時(shí)，會(huì)在網(wǎng)絡(luò)中留下大量的個(gè)人信息，而網(wǎng)絡(luò)實(shí)體、服務(wù)提供商以及網(wǎng)絡(luò)偵聽者等都可能是不可信。它們 會(huì)通過這些個(gè)人遺留在網(wǎng)絡(luò)中的信息，推理用戶的個(gè)人敏感信息，對(duì)用戶的隱私構(gòu)成嚴(yán)重的威脅。為了保護(hù)個(gè)人隱私，需要保護(hù)用戶的私人數(shù)據(jù)不被泄露給不可信的第三方。4.3 隱私威脅4.3.2 隱私保護(hù)技術(shù)隱私保護(hù)技術(shù)u數(shù)據(jù)庫隱私保護(hù)技術(shù)數(shù)據(jù)庫隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的技術(shù)。使敏感數(shù)據(jù)失真但同時(shí)保持某些數(shù)據(jù)或數(shù)據(jù)屬性不變的

8、方法。如采用添加噪聲、交換等技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行擾動(dòng)處理，但要求保證處理后的數(shù)據(jù)仍然可以保持某些統(tǒng)計(jì)方面性質(zhì)，以便進(jìn)行數(shù)據(jù)挖據(jù)等操作?；跀?shù)據(jù)加密的技術(shù)。采用加密技術(shù)在數(shù)據(jù)挖掘過程中隱藏敏感數(shù)據(jù)的方法，多用于分布式應(yīng)用環(huán)境，如安全多方計(jì)算4.3 隱私威脅4.3.2 隱私保護(hù)技術(shù)隱私保護(hù)技術(shù)u位置隱私保護(hù)技術(shù)位置隱私保護(hù)技術(shù)基于隱私保護(hù)策略的技術(shù)。通過制定一些常用的隱私管理規(guī)則和可信任的隱私協(xié)定來約束服務(wù)提供商能公平、安全的使用個(gè)人位置信息?；谀涿突煜夹g(shù)的技術(shù)。利用匿名和混淆技術(shù)分隔用戶身份標(biāo)識(shí)和其所在的位置信息、降低用戶位置信息的精度以達(dá)到隱私保護(hù)的目的?；诳臻g加密的方法。通過對(duì)位置加密

9、達(dá)到匿名的效果。4.3 隱私威脅4.3.2 隱私保護(hù)技術(shù)隱私保護(hù)技術(shù)u數(shù)據(jù)隱私保護(hù)技術(shù)數(shù)據(jù)隱私保護(hù)技術(shù)支持計(jì)算的加密技術(shù)。是一類能滿足支持隱私保護(hù)的計(jì)算模式（如算數(shù)運(yùn)算、字符運(yùn)算等）的要求，通過加密手段保證數(shù)據(jù)的機(jī)密性，同時(shí)密文能支持某些計(jì)算功能的加密方案的統(tǒng)稱。支持檢索的加密技術(shù)。指數(shù)據(jù)在加密狀態(tài)下可以對(duì)數(shù)據(jù)進(jìn)行精確檢索和模糊檢索，從而保護(hù)數(shù)據(jù)隱私的技術(shù)。4.4 數(shù)據(jù)庫隱私4.4.1 基本概念和威脅模型基本概念和威脅模型u隱私保護(hù)技術(shù)集中在數(shù)據(jù)挖掘和數(shù)據(jù)發(fā)布兩個(gè)領(lǐng)域隱私保護(hù)技術(shù)集中在數(shù)據(jù)挖掘和數(shù)據(jù)發(fā)布兩個(gè)領(lǐng)域數(shù)據(jù)挖掘中的隱私保護(hù) 。是如何在保護(hù)用戶隱私的前提下，能進(jìn)行有效的數(shù)據(jù)挖掘。數(shù)據(jù)發(fā)布

10、中的隱私保護(hù)。是如何在保護(hù)用戶隱私的前提下，發(fā)布用戶的數(shù)據(jù)以供第三方有效的研究和使用。4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)數(shù)據(jù)庫隱私保護(hù)技術(shù)u基于數(shù)據(jù)失真的隱私保護(hù)技術(shù)基于數(shù)據(jù)失真的隱私保護(hù)技術(shù) 通過擾動(dòng)原始數(shù)據(jù)來實(shí)現(xiàn)隱私保護(hù)，擾動(dòng)后的數(shù)據(jù)滿足：通過擾動(dòng)原始數(shù)據(jù)來實(shí)現(xiàn)隱私保護(hù)，擾動(dòng)后的數(shù)據(jù)滿足：攻擊者不能發(fā)現(xiàn)真實(shí)的原始數(shù)據(jù)。經(jīng)過失真處理后的數(shù)據(jù)要能夠保持某些性質(zhì)不變4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)u基于數(shù)據(jù)失真的隱私保護(hù)技術(shù)隨機(jī)化。數(shù)據(jù)隨機(jī)化就是在原始數(shù)據(jù)中加入隨機(jī)噪聲，然后發(fā)布擾動(dòng)后的數(shù)據(jù)。隨機(jī)擾動(dòng)隨機(jī)擾動(dòng)隨機(jī)應(yīng)答隨機(jī)應(yīng)答 3-2（a）隨機(jī)擾動(dòng)過程3-2 (b)重

11、構(gòu)過程4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)u基于數(shù)據(jù)失真的隱私保護(hù)技術(shù)阻塞與凝聚。將原始數(shù)據(jù)記錄分成組，每一組內(nèi)存儲(chǔ)由k條記錄產(chǎn)生的統(tǒng)計(jì)信息，包括每個(gè)屬性的均值、協(xié)方差等。4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)u基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)安全多方計(jì)算。安全多方計(jì)算協(xié)議是密碼學(xué)中非?；钴S的一個(gè)學(xué)術(shù)領(lǐng)域，有很強(qiáng)的理論和實(shí)際意義。它可以被描述為一個(gè)計(jì)算過程：兩個(gè)或多個(gè)協(xié)議參與者基于秘密輸入來計(jì)算一個(gè)函數(shù)。安全多方計(jì)算假定參與者愿意共享一些數(shù)據(jù)用于計(jì)算。但是，每個(gè)參與者都不希望自己的輸入被其他參與者或任何三方所知。4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)u基于數(shù)據(jù)加密的隱

12、私保護(hù)技術(shù)安全多方計(jì)算。一般來說，安全多方計(jì)算可以看成是在具有n個(gè)參與者的分布式網(wǎng)絡(luò)中私密輸入x1,x2,xn上的計(jì)算函數(shù)f(x1,x2,xn)，其中參與者i僅知道自己的輸入xi和輸出f(x1,x2,xn)，再?zèng)]有任何其它多余信息。如果假設(shè)有可信第三方存在，這個(gè)問題的解決十分容易，參與者只需要將自己的輸入通過秘密通道傳送給可信第三方，由可信第三方計(jì)算這個(gè)函數(shù)，然后將結(jié)果廣播給每一個(gè)參與者即可。但是在現(xiàn)實(shí)中很難找到一個(gè)讓所有參與者都信任的的可信第三方。4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)u基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)分布式匿名化。匿名化就是隱藏?cái)?shù)據(jù)或數(shù)據(jù)來源。因?yàn)榇蠖鄶?shù)應(yīng)用都需要對(duì)原始

13、數(shù)據(jù)進(jìn)行匿名處理以保證敏感信息的安全，并在此基礎(chǔ)上進(jìn)行挖掘、發(fā)布等操作。輸入：輸入： 站點(diǎn)站點(diǎn)S S1 1,S,S2 2，數(shù)據(jù)，數(shù)據(jù)ID,AID,A1 1,A,A2 2, ,A,An n ， ID,B ID,B1 1,B,B2 2, ,B,Bn n 輸出：輸出： k-k-匿名數(shù)據(jù)表匿名數(shù)據(jù)表T T* * 過程過程：1. 21. 2個(gè)站點(diǎn)分別產(chǎn)生私有密鑰個(gè)站點(diǎn)分別產(chǎn)生私有密鑰KK1 1和和KK2 2，且滿足：，且滿足：E E K1K1(E(EK2K2(D) = E(D) = EK2K2(E (E K1K1(D)(D)，其中，其中D D為任意數(shù)據(jù)為任意數(shù)據(jù); ; 2. 2. 表表T T* * NU

14、LL NULL； 3. while T3. while T* *中數(shù)據(jù)不滿足中數(shù)據(jù)不滿足k-k-匿名條件匿名條件 dodo 4. 4. 站點(diǎn)站點(diǎn)i(i=1i(i=1或或2)2) 4.1 4.1 泛化泛化ID,AID,A1 1,A,A2 2, ,A,An n 為為ID,AID,A1 1* *,A,A2 2* *, ,A,An n* * ，其中，其中A A1 1* *表示表示A A1 1泛化后的值；泛化后的值； 4.2 ID,A4.2 ID,A1 1,A,A2 2, ,A,An nID,AID,A1 1* *,A,A2 2* *, ,A,An n* * 4.3 4.3 用用KKi i加密加密ID,

15、AID,A1 1* *,A,A2 2* *, ,A,An n* * 并傳遞給另一站點(diǎn)；并傳遞給另一站點(diǎn)； 4.4 4.4 用用KKi i加密另一站點(diǎn)加密的泛化數(shù)據(jù)并回傳；加密另一站點(diǎn)加密的泛化數(shù)據(jù)并回傳； 4.5 4.5 根據(jù)兩個(gè)站點(diǎn)加密后的根據(jù)兩個(gè)站點(diǎn)加密后的IDID值對(duì)數(shù)據(jù)進(jìn)行匹配，構(gòu)建經(jīng)值對(duì)數(shù)據(jù)進(jìn)行匹配，構(gòu)建經(jīng)KK1 1和和KK2 2加密后的數(shù)據(jù)表加密后的數(shù)據(jù)表T T* *ID,AID,A1 1* *,A,A2 2* *, ,A,An n* *， ID,BID,B1 1,B,B2 2, ,B,Bn n 5. end while 5. end while表4-1 分布式k-匿名算法4.4

16、數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)u基于數(shù)據(jù)加密的隱私保護(hù)技術(shù)分布式關(guān)聯(lián)規(guī)則挖掘。在分布式環(huán)境下，關(guān)聯(lián)規(guī)則挖掘的關(guān)鍵是計(jì)算項(xiàng)集的全局計(jì)數(shù)，加密技術(shù)能保證在計(jì)算項(xiàng)集計(jì)數(shù)的同時(shí)，不會(huì)泄露隱私信息。分布式聚類?；陔[私保護(hù)的分布式聚類的關(guān)鍵是安全的計(jì)算數(shù)據(jù)間距離，有Nave聚類模型兩種模式和多次聚類模型，兩種模型都利用了加密技術(shù)實(shí)現(xiàn)信息的安全傳輸。4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)u基于限制發(fā)布隱私保護(hù)技術(shù)限制發(fā)布是指有選擇的發(fā)布原始數(shù)據(jù)、不發(fā)布或者發(fā)布精度較低的敏感數(shù)據(jù)以實(shí)現(xiàn)隱私保護(hù)。當(dāng)前基于限制發(fā)布隱私保護(hù)方法主要采用數(shù)據(jù)匿名化技術(shù)，即在隱私披露風(fēng)險(xiǎn)和數(shù)據(jù)精度之間進(jìn)行折中，有

17、選擇地發(fā)布敏感數(shù)據(jù)及可能披露敏感數(shù)據(jù)的信息，但保證敏感數(shù)據(jù)及隱私的披露風(fēng)險(xiǎn)在可容忍的范圍內(nèi)。4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)數(shù)據(jù)庫隱私保護(hù)技術(shù)u基于限制發(fā)布隱私保護(hù)技術(shù)基于限制發(fā)布隱私保護(hù)技術(shù)數(shù)據(jù)匿名化的基本操作：抑制。抑制某數(shù)據(jù)項(xiàng)抑制。抑制某數(shù)據(jù)項(xiàng)。泛化。泛化。即對(duì)數(shù)據(jù)進(jìn)行更抽象和概括的描述。如把年齡即對(duì)數(shù)據(jù)進(jìn)行更抽象和概括的描述。如把年齡3030歲泛化成區(qū)歲泛化成區(qū)間間 20,40 20,40的形式，因?yàn)榈男问?，因?yàn)?030歲在區(qū)間歲在區(qū)間20,4020,40內(nèi)。內(nèi)。 數(shù)據(jù)匿名化的原則：數(shù)據(jù)匿名化處理的原始數(shù)據(jù)一般為數(shù)據(jù)數(shù)據(jù)匿名化處理的原始數(shù)據(jù)一般為數(shù)據(jù)表形式，表中每一行是

18、一個(gè)記錄，對(duì)應(yīng)一個(gè)人。每條記錄包表形式，表中每一行是一個(gè)記錄，對(duì)應(yīng)一個(gè)人。每條記錄包含多個(gè)屬性（數(shù)據(jù)項(xiàng)），這些屬性可分為含多個(gè)屬性（數(shù)據(jù)項(xiàng)），這些屬性可分為3 3類類4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)數(shù)據(jù)庫隱私保護(hù)技術(shù)u匿名化記錄屬性匿名化記錄屬性顯示標(biāo)識(shí)符（顯示標(biāo)識(shí)符（explicit identifierexplicit identifier）。能唯一表示單一個(gè)）。能唯一表示單一個(gè)體的屬性，如身份證、姓名等。體的屬性，如身份證、姓名等。準(zhǔn)標(biāo)識(shí)符（準(zhǔn)標(biāo)識(shí)符（quasi-identifiersquasi-identifiers）。幾個(gè)屬性聯(lián)合起來可以）。幾個(gè)屬性聯(lián)合起來可以唯一標(biāo)

19、識(shí)一個(gè)人，如郵編，性別，出生年月等聯(lián)合起來可能唯一標(biāo)識(shí)一個(gè)人，如郵編，性別，出生年月等聯(lián)合起來可能是一個(gè)準(zhǔn)標(biāo)識(shí)符。是一個(gè)準(zhǔn)標(biāo)識(shí)符。 敏感屬性（敏感屬性（sensitive attributesensitive attribute）。包含用戶隱私數(shù)據(jù)的）。包含用戶隱私數(shù)據(jù)的屬性，如疾病、收入、宗教信仰等。屬性，如疾病、收入、宗教信仰等。4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)u匿名化記錄屬性姓名年齡性別郵編疾病Betty25F12300艾滋病Linda35M13000消化不良Bill21M12000消化不良Sam35M14000肺炎John71M27000肺炎David65F54000胃

20、潰瘍Alice63F24000流行感冒Susan70F30000支氣管炎表3-2 某醫(yī)院原始診斷記錄表4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)u匿名化原則 K-K-匿名匿名。K-K-匿名方法通常采用泛化和壓縮技術(shù)對(duì)原始數(shù)據(jù)進(jìn)匿名方法通常采用泛化和壓縮技術(shù)對(duì)原始數(shù)據(jù)進(jìn)行匿名化處理以便得到滿足行匿名化處理以便得到滿足k-k-匿名規(guī)則的匿名數(shù)據(jù)，從而使匿名規(guī)則的匿名數(shù)據(jù)，從而使得攻擊者不能根據(jù)發(fā)布的匿名數(shù)據(jù)準(zhǔn)確的識(shí)別出目標(biāo)個(gè)體的得攻擊者不能根據(jù)發(fā)布的匿名數(shù)據(jù)準(zhǔn)確的識(shí)別出目標(biāo)個(gè)體的記錄記錄。組標(biāo)識(shí)組標(biāo)識(shí)年齡年齡性別性別郵編郵編疾病疾病1 12, 60F12000,15000艾滋病1 12, 6

21、0M12000,15000消化不良1 12, 60M12000,15000消化不良1 12, 60M12000,15000肺炎2 261, 75M23000,55000肺炎2 261, 75F23000,55000胃潰瘍2 261, 75F23000,55000流行感冒2 261, 75F23000,55000支氣管炎表4-4 4-匿名數(shù)據(jù)4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)數(shù)據(jù)庫隱私保護(hù)技術(shù)u匿名化原則匿名化原則 l-diversityl-diversity。將原始數(shù)據(jù)中的記錄劃分成多個(gè)等價(jià)類，并。將原始數(shù)據(jù)中的記錄劃分成多個(gè)等價(jià)類，并利用泛化技術(shù)使得每個(gè)等價(jià)類中的記錄都擁有相同

22、的準(zhǔn)標(biāo)識(shí)利用泛化技術(shù)使得每個(gè)等價(jià)類中的記錄都擁有相同的準(zhǔn)標(biāo)識(shí)符屬性，符屬性，l-diversityl-diversity規(guī)則要求每個(gè)等價(jià)類的敏感屬性至少規(guī)則要求每個(gè)等價(jià)類的敏感屬性至少有有l(wèi) l個(gè)不同的值。個(gè)不同的值。表4-3 3-diversity年齡年齡性別性別郵編郵編疾病疾病2525F12300艾滋病3535M13000消化不良2121M12000消化不良3535M14000肺炎7171M27000肺炎6565F54000胃潰瘍6363F24000流行感冒7070F30000支氣管炎4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)數(shù)據(jù)庫隱私保護(hù)技術(shù)u匿名化規(guī)則匿名化規(guī)則t-closene

23、ss。t-closenesst-closeness規(guī)則要求匿名數(shù)據(jù)中的每個(gè)等價(jià)類規(guī)則要求匿名數(shù)據(jù)中的每個(gè)等價(jià)類中敏感屬性值得分布接近于原始數(shù)據(jù)中的敏感屬性值的分布中敏感屬性值得分布接近于原始數(shù)據(jù)中的敏感屬性值的分布，兩個(gè)分布之間的距離不超過閾值，兩個(gè)分布之間的距離不超過閾值t t。 Anatomy規(guī)則。AnatomyAnatomy首先利用原始數(shù)據(jù)產(chǎn)生滿足首先利用原始數(shù)據(jù)產(chǎn)生滿足l-l-diversitydiversity原則的數(shù)據(jù)劃分，然后將結(jié)果分成兩張數(shù)據(jù)表發(fā)布原則的數(shù)據(jù)劃分，然后將結(jié)果分成兩張數(shù)據(jù)表發(fā)布，一張表包含每個(gè)記錄的準(zhǔn)標(biāo)識(shí)符屬性值和該記錄的等價(jià)類，一張表包含每個(gè)記錄的準(zhǔn)標(biāo)識(shí)符屬性值

24、和該記錄的等價(jià)類IDID號(hào)，另一張表包含等價(jià)類號(hào)，另一張表包含等價(jià)類IDID、每個(gè)等價(jià)類的敏感屬性值及、每個(gè)等價(jià)類的敏感屬性值及其計(jì)數(shù)。其計(jì)數(shù)。4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)數(shù)據(jù)庫隱私保護(hù)技術(shù)u數(shù)據(jù)匿名化算法數(shù)據(jù)匿名化算法基于通用原則的匿名化算法。通常包括泛化空間枚舉、空間。通常包括泛化空間枚舉、空間修剪、選取最優(yōu)化泛化、結(jié)果判斷與輸出等步驟?；谕ㄓ眯藜?、選取最優(yōu)化泛化、結(jié)果判斷與輸出等步驟?；谕ㄓ媚涿瓌t的匿名算法大都是基于匿名原則的匿名算法大都是基于k-k-匿名算法，不同之處僅在匿名算法，不同之處僅在于判斷算法結(jié)束的條件，而泛化策略、空間修剪等都是基本于判斷算法結(jié)束的

25、條件，而泛化策略、空間修剪等都是基本相同的。相同的。 面向特定目標(biāo)的匿名化算法。面向特定目標(biāo)的匿名化算法就面向特定目標(biāo)的匿名化算法就是針對(duì)特定應(yīng)用場(chǎng)景的隱私化算法。是針對(duì)特定應(yīng)用場(chǎng)景的隱私化算法。4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)u數(shù)據(jù)匿名化算法基于聚類的匿名化算法。它將原始記錄映射到特定的度量空間，在對(duì)空間中的點(diǎn)進(jìn)行聚類來實(shí)現(xiàn)數(shù)據(jù)匿名。 基于聚類的匿名化算法面臨的挑戰(zhàn)。 如何對(duì)原始數(shù)據(jù)的不同屬性進(jìn)行加權(quán)，因?yàn)閷?duì)屬性的度量越準(zhǔn)確，聚類的效果就越好。如何使不同性質(zhì)的屬性同意映射到同一度量空間。4.4 數(shù)據(jù)庫隱私4.4.2 數(shù)據(jù)庫隱私保護(hù)技術(shù)u數(shù)據(jù)匿名化場(chǎng)景 圖4-3 數(shù)據(jù)匿名化場(chǎng)景

26、4.5 位置隱私4.5.1 基本概念4.5 位置隱私4.5.1 基本概念軍事和政府產(chǎn)業(yè)軍事和政府產(chǎn)業(yè)GPS系統(tǒng)，最初主要用于軍事和涉及國家重要利益的民用領(lǐng)域商業(yè)領(lǐng)域商業(yè)領(lǐng)域信息娛樂服務(wù)（娛樂場(chǎng)所查詢、廣告、社交等），定位服務(wù)，追蹤服務(wù)，道路輔助與導(dǎo)航服務(wù)緊急救援緊急救援1996年,FCC頒布法規(guī)要求移動(dòng)通信運(yùn)營商為手機(jī)用戶提供緊急求援服務(wù)。2003年歐洲實(shí)施“US FCC”標(biāo)準(zhǔn)4.5 位置隱私4.5.1 基本概念 用戶對(duì)自己位置信息的掌控能力用戶對(duì)自己位置信息的掌控能力是否發(fā)布是否發(fā)布發(fā)布發(fā)布給誰給誰詳細(xì)程度詳細(xì)程度 保護(hù)位置隱私的重要性保護(hù)位置隱私的重要性三要素：時(shí)間、地點(diǎn)、人物三要素：時(shí)間

27、、地點(diǎn)、人物人身安全人身安全隱私泄露隱私泄露 位置隱私面臨的威脅位置隱私面臨的威脅通信通信服務(wù)商服務(wù)商攻擊者攻擊者4.5 位置隱私4.5.1 基本概念 位置信息與個(gè)人隱私位置信息與個(gè)人隱私4.5 位置隱私移動(dòng)設(shè)備用戶使用移動(dòng)設(shè)備向服務(wù)器發(fā)送用戶使用移動(dòng)設(shè)備向服務(wù)器發(fā)送查詢。查詢。定位系統(tǒng)通過定位系統(tǒng)獲得查詢位置通過定位系統(tǒng)獲得查詢位置網(wǎng)絡(luò)查詢和結(jié)果通過網(wǎng)絡(luò)傳輸查詢和結(jié)果通過網(wǎng)絡(luò)傳輸LBS服務(wù)器提供基于位置的服務(wù)提供基于位置的服務(wù)4.5.1物聯(lián)網(wǎng)中LBS的體系結(jié)構(gòu)物聯(lián)網(wǎng)中LBS的通用威脅模型假定LBS服務(wù)器是惡意觀察者現(xiàn)實(shí)中是一個(gè)復(fù)雜的多方面的問題移動(dòng)設(shè)備可能被俘獲，泄露用移動(dòng)設(shè)備可能被俘獲，泄

28、露用戶信息。戶信息。網(wǎng)絡(luò)傳輸可能被監(jiān)聽和遭受中網(wǎng)絡(luò)傳輸可能被監(jiān)聽和遭受中間人攻擊。間人攻擊。4.5 位置隱私u用戶標(biāo)識(shí) u位置數(shù)據(jù)LBS 服務(wù)提供商查找離我最查找離我最近的大使館近的大使館搜索去商搜索去商店的路線店的路線4.5.1 隱私威脅模型4.5 位置隱私利用利用GPSGPS軌跡數(shù)據(jù)分析基礎(chǔ)交通設(shè)施的建設(shè)情況，更新和優(yōu)軌跡數(shù)據(jù)分析基礎(chǔ)交通設(shè)施的建設(shè)情況，更新和優(yōu)化交通設(shè)施化交通設(shè)施商品連鎖店根據(jù)用戶的刷卡情況，分析用戶的消費(fèi)習(xí)慣等商品連鎖店根據(jù)用戶的刷卡情況，分析用戶的消費(fèi)習(xí)慣等公司收集用戶的軌跡數(shù)據(jù)u用戶標(biāo)識(shí) u軌跡數(shù)據(jù) 4.5 LBS和隱私4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)nLBS中的隱私

29、問題引起了用戶、服務(wù)商和政府的廣泛關(guān)注n隱私保護(hù)問題已成為LBS發(fā)展的瓶頸，是LBS應(yīng)用亟待突破的重要問題，其重要性和緊迫性不容忽視，直接影響到LBS的健康發(fā)展和普及4.5 隱私的定義隱私定義指?jìng)€(gè)人、機(jī)構(gòu)等實(shí)體不愿意被外人知曉的信息。指?jìng)€(gè)人、機(jī)構(gòu)等實(shí)體不愿意被外人知曉的信息。個(gè)人隱私數(shù)據(jù)擁有者不愿意被披露的敏感信息數(shù)據(jù)擁有者不愿意被披露的敏感信息。位置隱私指防止未授權(quán)實(shí)體知道自己當(dāng)前或過去的位置信息的能力指防止未授權(quán)實(shí)體知道自己當(dāng)前或過去的位置信息的能力。軌跡隱私一種特殊的位置隱私，指?jìng)€(gè)人軌跡本身含有的敏感信息或一種特殊的位置隱私，指?jìng)€(gè)人軌跡本身含有的敏感信息或者由運(yùn)行軌跡推導(dǎo)出的其他個(gè)人信息

30、者由運(yùn)行軌跡推導(dǎo)出的其他個(gè)人信息。4.5 隱私定義敏感信息有關(guān)用戶的時(shí)空信息、查詢請(qǐng)求內(nèi)容中涉及醫(yī)療或金融的有關(guān)用戶的時(shí)空信息、查詢請(qǐng)求內(nèi)容中涉及醫(yī)療或金融的信息，推斷出的用戶的運(yùn)動(dòng)模式、用戶的興趣愛好等個(gè)人信息，推斷出的用戶的運(yùn)動(dòng)模式、用戶的興趣愛好等個(gè)人隱私信息。隱私信息。位置隱私威脅是指攻擊者在某授權(quán)的情況下通過定位位置傳輸設(shè)備、竊是指攻擊者在某授權(quán)的情況下通過定位位置傳輸設(shè)備、竊聽位置信息傳輸通道等方式訪問到原始的位置數(shù)據(jù)，并計(jì)聽位置信息傳輸通道等方式訪問到原始的位置數(shù)據(jù)，并計(jì)算推理獲取的與位置相關(guān)的個(gè)人隱私信息算推理獲取的與位置相關(guān)的個(gè)人隱私信息。4.5 物聯(lián)網(wǎng)中LBS的隱私泄露位置

31、隱私泄露位置，包括用戶過去和現(xiàn)在的位置位置，包括用戶過去和現(xiàn)在的位置查詢隱私泄露查詢內(nèi)容，例如，查詢離我最近的腫瘤治療醫(yī)院查詢內(nèi)容，例如，查詢離我最近的腫瘤治療醫(yī)院軌跡隱私泄露對(duì)軌跡數(shù)據(jù)的攻擊性推理和計(jì)算可以推導(dǎo)出個(gè)人的興趣對(duì)軌跡數(shù)據(jù)的攻擊性推理和計(jì)算可以推導(dǎo)出個(gè)人的興趣愛好，愛好， 家庭住址，健康狀況和政治傾向等家庭住址，健康狀況和政治傾向等4.5 物聯(lián)網(wǎng)中LBS的隱私保護(hù)n位置隱私度量避免用戶和某一精確位置相匹配n查詢隱私度量避免用戶和某一敏感信息（查詢屬性、內(nèi)容）相匹配n軌跡隱私度量避免用戶和某一精確的軌跡相匹配4.5 網(wǎng)聯(lián)網(wǎng)中LBS的隱私度量n位置隱私度量Location k-anon

32、ymityLocation l-diversity or Road Segment s-diversityn查詢隱私度量K-anonymity、Location entropy、Query attributen軌跡隱私度量 融合攻擊者背景知識(shí)的隱私度量機(jī)制4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法假位置(Dummy)通過制造假位置，達(dá)到以假亂真的效果通過制造假位置，達(dá)到以假亂真的效果時(shí)空匿名(spati-temporal cloaking)將用戶的位置擴(kuò)展到一個(gè)時(shí)空區(qū)域，達(dá)到匿名效果。將用戶的位置擴(kuò)展到一個(gè)時(shí)空區(qū)域，達(dá)到匿名效果?？臻g加密(Space Encyption)通過對(duì)位置加密，達(dá)到匿名效果通

33、過對(duì)位置加密，達(dá)到匿名效果私有信息檢索(Private Information Retrieval)把隱私保護(hù)轉(zhuǎn)化為把隱私保護(hù)轉(zhuǎn)化為NN問題，通過加密技術(shù)實(shí)現(xiàn)問題，通過加密技術(shù)實(shí)現(xiàn)4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法n發(fā)布假位置通過提交一些假位置，達(dá)到位置匿名的效果4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法n空間匿名把位置點(diǎn)擴(kuò)展到一個(gè)時(shí)空區(qū)域，達(dá)到匿名的效果4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法n空間加密通過對(duì)位置加密，達(dá)到匿名效果4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)方法nPIR允許用戶私自從數(shù)據(jù)庫檢索信息，而不需要數(shù)據(jù)庫服務(wù)器知道用戶的特定請(qǐng)求信息Ghinita, G. (2009). Private quer

34、ies and trajectory anonymization: A dual perspective on location privacy. Transactions on Data Privacy 2(1): 3-19.4.5 感知隱私保護(hù)的查詢處理n假位置移動(dòng)對(duì)象數(shù)據(jù)庫中的查詢處理技術(shù)，無需作任何修改n時(shí)空匿名設(shè)計(jì)基于區(qū)域位置的查詢處理技術(shù)，查詢結(jié)果是一個(gè)包含真實(shí)結(jié)果的超集n空間加密查詢技術(shù)與使用的加密協(xié)議有關(guān)，如支持檢索的加密技術(shù)4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu)n獨(dú)立結(jié)構(gòu)優(yōu)點(diǎn)：結(jié)構(gòu)簡單，易于配置缺點(diǎn)：客戶端負(fù)擔(dān)較重； 缺乏全局信息，隱蔽性弱。4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)

35、結(jié)構(gòu)n中心服務(wù)器結(jié)構(gòu)優(yōu)點(diǎn)（1）減輕了客戶端負(fù)擔(dān) （2）具有全局信息，隱私保護(hù)效果好缺點(diǎn)（1）成為系統(tǒng)瓶頸 （2）成為系統(tǒng)的唯一攻擊點(diǎn)4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu)n分布式點(diǎn)對(duì)點(diǎn)結(jié)構(gòu)優(yōu)點(diǎn)（1）消除唯一攻擊點(diǎn) （2）具有全局信息，隱私保護(hù)效果好缺點(diǎn)（1）網(wǎng)絡(luò)通信代價(jià)高匿名組4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)內(nèi)容隱私保護(hù)方法位置隱私保護(hù)方法位置隱私保護(hù)方法查詢隱私保護(hù)方法查詢隱私保護(hù)方法軌跡隱私保護(hù)方法軌跡隱私保護(hù)方法感知隱私的查詢處理基于區(qū)域位置的查詢處理技術(shù)基于區(qū)域位置的查詢處理技術(shù)基于加密位置的查詢處理技術(shù)基于加密位置的查詢處理技術(shù)隱私度量方法位置、查詢隱私度量位置、查詢隱私度量軌跡隱私度

36、量軌跡隱私度量4.5 物聯(lián)網(wǎng)中LBS隱私保護(hù)模型n位置k-匿名當(dāng)前僅當(dāng)一個(gè)用戶的位置和其他（k-1）用戶的位置無法區(qū)分時(shí)，稱該用戶滿足位置k-匿名4.5 基于四分樹的隱私保護(hù)方法n問題面對(duì)大量移動(dòng)用戶，如何快速高效的為移動(dòng)用戶尋找匿名集n解決方法位置k-匿名中提出了基于四分樹的方法，即遞歸式的劃分空間，直至某一子空間內(nèi)的用戶數(shù)小于k,則返回其上一級(jí)的子空間作為位置匿名區(qū)域K=34.5 基于四分樹的隱私保護(hù)方法n缺點(diǎn)所有移動(dòng)用戶都假定使用同一個(gè)系統(tǒng)靜態(tài)k值，不適應(yīng)個(gè)性化隱私需求。就產(chǎn)生的匿名集大小，沒有提供任何服務(wù)質(zhì)量保證和評(píng)估n解決方法個(gè)性化的位置隱私K-匿名模型K=34.5 基于個(gè)性化的位置

37、k-匿名模型n問題如何為每一個(gè)用戶提供滿足個(gè)性化隱私需求的匿名方法n解決方法利用圖模型形式化的定義此問題，并把尋找匿名集轉(zhuǎn)化為在圖中尋找k-點(diǎn)團(tuán)的問題4.5 物聯(lián)網(wǎng)中LBS連續(xù)查詢隱私保護(hù)n問題位置服務(wù)中現(xiàn)有的隱私保護(hù)工作均針對(duì)snapshot查詢類型,將現(xiàn)有匿名算法直接應(yīng)用于連續(xù)查詢會(huì)產(chǎn)生查詢隱私泄露 A,B,DA,B,FA,C,F=A Q1,Q2,Q4 Q1,Q2,Q6Q1 ,Q3 ,Q 5=Q1n解決方法連續(xù)查詢的用戶在最初時(shí)刻形成的匿名集在其查詢有效期內(nèi)均有效4.5 軌跡隱私4.5.3 軌跡隱私保護(hù)技術(shù)基本概念軌跡是指某個(gè)移動(dòng)對(duì)象的位置信息按時(shí)間排序的序列。通常情況下，軌跡T T可以表

38、示為T T=qi,(x1,y1,t1), (x2,y2,t2), (xn,yn,tn). 其中，qi表示該軌跡的標(biāo)識(shí)符，它通常代表移動(dòng)對(duì)象、個(gè)體或某種服務(wù)的用戶，(xi,yi,ti)(1in)表示移動(dòng)對(duì)象在ti時(shí)刻的位置(xi,yi)，也稱為采樣位置或采樣點(diǎn)，ti為采樣時(shí)間。軌跡隱私是一種特殊的個(gè)人隱私，它是指?jìng)€(gè)人運(yùn)行軌跡本身含有的敏感信息，或者由運(yùn)行軌跡推導(dǎo)出的其它個(gè)人信息，如家庭地址、工作單位、生活習(xí)慣、宗教信仰等。4.5 物聯(lián)網(wǎng)中LBS軌跡隱私保護(hù)n基本概念針對(duì)軌跡數(shù)據(jù)的攻擊性推理可能導(dǎo)致個(gè)人隱私信息的暴露現(xiàn)有位置隱私保護(hù)技術(shù)并不能解決軌跡隱私泄露問題n解決方法基于假數(shù)據(jù)的軌跡隱私保護(hù)技

39、術(shù)基于泛化的軌跡隱私保護(hù)技術(shù)基于抑制法的軌跡隱私保護(hù)技術(shù)4.5 物聯(lián)網(wǎng)中LBS軌跡隱私保護(hù)n問題針對(duì)軌跡數(shù)據(jù)的攻擊性推理可能導(dǎo)致個(gè)人隱私信息的暴露現(xiàn)有位置隱私保護(hù)技術(shù)并不能解決軌跡隱私泄露問題n解決方法基于假數(shù)據(jù)的軌跡隱私保護(hù)技術(shù)基于泛化的軌跡隱私保護(hù)技術(shù)基于抑制法的軌跡隱私保護(hù)技術(shù)4.5 物聯(lián)網(wǎng)中LBS感知隱私的查詢n問題如何在位置被匿名后提供用戶滿意的服務(wù)。兩種位置數(shù)據(jù)類型：（1）公開位置數(shù)據(jù)。如加油站、旅館（2）隱私位置數(shù)據(jù)。如個(gè)人位置4.5 物聯(lián)網(wǎng)中LBS隱私度量n問題隱私保護(hù)方法用于實(shí)際中時(shí)并不能達(dá)到理論上的隱私保護(hù)效果，用戶需要當(dāng)前所用隱私保護(hù)程度的反饋如何評(píng)估保護(hù)隱私的技術(shù)水平是

40、否有所提高n解決方法建立一種隱私度量機(jī)制評(píng)估服務(wù)系統(tǒng)的隱私保護(hù)效果位置隱私度量、查詢隱私度量軌跡隱私度量4.5 物聯(lián)網(wǎng)中LBS隱私度量n隱私度量建立一個(gè)融合攻擊者背景知識(shí)的統(tǒng)一隱私度量框架，提出一些新的指標(biāo)4.6外包 數(shù)據(jù)隱私4.6.1 基本概念u數(shù)據(jù)隱私 外包計(jì)算模式下的數(shù)據(jù)隱私具有以下兩個(gè)獨(dú)有的特點(diǎn)：（1）外包計(jì)算模式下的數(shù)據(jù)隱私是一種廣義的隱私，其主體包括自然人和法人（企業(yè)）；（2）傳統(tǒng)網(wǎng)絡(luò)中的隱私問題主要發(fā)生在信息傳輸和存儲(chǔ)的過程中，外包計(jì)算模式下不僅要考慮數(shù)據(jù)傳輸和存儲(chǔ)中的隱私問題，還要考慮數(shù)據(jù)計(jì)算和檢索過程中可能出現(xiàn)的隱私泄露。4.6外包 數(shù)據(jù)隱私4.6.1 基本概念u支持計(jì)算的加

41、密技術(shù)支持計(jì)算的加密技術(shù)。能滿足支持隱私保護(hù)的計(jì)算模式的要求，通過加密手段保證數(shù)據(jù)的機(jī)密性，同時(shí)密文能支持某些計(jì)算功能的加密方案的統(tǒng)稱。 支持計(jì)算的加密方案。（1）密鑰生成算法Gen為用戶U產(chǎn)生密鑰Key；（2）加密算法Enc可能為概率算法；（3）解密算法Dec為確定算法。（4）密文計(jì)算算法Cal可能為概率算法。4.6外包 數(shù)據(jù)隱私4.6.2 隱私威脅模型圖4-10 外包計(jì)算模式下的隱私威脅模型4.6外包 數(shù)據(jù)隱私4.6.2 隱私威脅模型隱私威脅模型數(shù)據(jù)從數(shù)據(jù)擁有者傳遞到服務(wù)提供者的過程中，外部攻擊者數(shù)據(jù)從數(shù)據(jù)擁有者傳遞到服務(wù)提供者的過程中，外部攻擊者可以通過竊聽的方式盜取數(shù)據(jù)可以通過竊聽的方

42、式盜取數(shù)據(jù)；外部攻擊者可通過無授權(quán)的訪問、木馬和釣魚軟件等方式來外部攻擊者可通過無授權(quán)的訪問、木馬和釣魚軟件等方式來破壞服務(wù)提供者對(duì)用戶數(shù)據(jù)和程序的保護(hù)，實(shí)現(xiàn)非法訪問。破壞服務(wù)提供者對(duì)用戶數(shù)據(jù)和程序的保護(hù)，實(shí)現(xiàn)非法訪問。外部攻擊者可通過觀察用戶發(fā)出的請(qǐng)求，從而獲得用戶的習(xí)外部攻擊者可通過觀察用戶發(fā)出的請(qǐng)求，從而獲得用戶的習(xí)慣、目的等隱私信息。慣、目的等隱私信息。由于數(shù)據(jù)擁有者的數(shù)據(jù)存放在服務(wù)提供者的存儲(chǔ)介質(zhì)上，程由于數(shù)據(jù)擁有者的數(shù)據(jù)存放在服務(wù)提供者的存儲(chǔ)介質(zhì)上，程序運(yùn)行在服務(wù)提供者的服務(wù)器中，因此內(nèi)部攻擊者要發(fā)起攻序運(yùn)行在服務(wù)提供者的服務(wù)器中，因此內(nèi)部攻擊者要發(fā)起攻擊更為容易。擊更為容易。以上

43、以上4種威脅中，前三種是傳統(tǒng)網(wǎng)絡(luò)安全問題，可以通過已有的訪問種威脅中，前三種是傳統(tǒng)網(wǎng)絡(luò)安全問題，可以通過已有的訪問控制機(jī)制來限制攻擊者的無授權(quán)訪問，通過控制機(jī)制來限制攻擊者的無授權(quán)訪問，通過VPN、OpenSSH或或Tor等等方法來保證通信線路的安全。最后一種威脅是外包計(jì)算模式下出現(xiàn)的方法來保證通信線路的安全。最后一種威脅是外包計(jì)算模式下出現(xiàn)的新威脅，也是破壞性最大的一種威脅。因此，需要一種技術(shù)可以同時(shí)新威脅，也是破壞性最大的一種威脅。因此，需要一種技術(shù)可以同時(shí)抵御這抵御這4種威協(xié)。種威協(xié)。4.6外包 數(shù)據(jù)隱私4.6.3 外包數(shù)據(jù)加密檢索外包數(shù)據(jù)加密檢索外包數(shù)據(jù)加密計(jì)算模型 加密檢索涉及到的三類實(shí)體分別為：加密檢索涉及到