物聯(lián)網(wǎng)安全(第4章 )隱私安全

第四章隱私安全4.1隱私定義4.2隱私度量4.3隱私威脅4.4數(shù)據(jù)庫隱私4.5位置隱私4.6外包數(shù)據(jù)隱私4.7本章小結(jié)本章內(nèi)容第四章隱私安全第四章隱私安全

隨著智能手機(jī)、無線傳感網(wǎng)絡(luò)、RFID等信息采集終端在物聯(lián)網(wǎng)中的廣泛應(yīng)用，物聯(lián)網(wǎng)中將承載大量涉及人們?nèi)粘Ｉ畹碾[私信息（如位置信息、敏感數(shù)據(jù)等），隱私保護(hù)問題也顯得越來越重要。如不能很好地解決隱私保護(hù)問題，人們對隱私泄露的擔(dān)憂勢必成為物聯(lián)網(wǎng)推行過程的最大障礙之一。

本章將介紹隱私的概念、度量、威脅；重點(diǎn)介紹數(shù)據(jù)庫隱私、位置隱私和數(shù)據(jù)隱私等的相關(guān)內(nèi)容。4.1隱私的定義什么是隱私？據(jù)文獻(xiàn)記載，隱私的詞義來源于西方，一般認(rèn)為最早關(guān)注隱私權(quán)的文章是美國人沃論（SamuelD?Warren）和布蘭戴斯（LouisD?Brandeis）發(fā)表的?隱私權(quán)?（TheRighttoPrivacy）。2002年全國人大起草《民法典草案》，對隱私權(quán)保護(hù)的隱私做了規(guī)定，包括私人信息、私人活動、私人空間和私人的生活安寧等四個(gè)方面。王利明教授在《隱私權(quán)的新發(fā)展》中指出“隱私是凡個(gè)人不愿意對外公開的、且隱匿信息不違反法律和社會公共利益的私人生活秘密，都構(gòu)成受法律保護(hù)的隱私”。

64.1隱私的定義

74.1隱私的定義

84.1隱私的定義隱私分類共同隱私（Corporateprivacy:共同隱私不僅包含個(gè)人隱私，還包含所有個(gè)人共同表現(xiàn)出來但不愿被暴露的信息，如公司員工的平均薪資、薪資分布等信息。什么是隱私權(quán)？4.1隱私的定義

104.2隱私度量

114.2隱私度量

124.2隱私度量4.2.2隱私度量標(biāo)準(zhǔn)位置隱私度量標(biāo)準(zhǔn)隱私保護(hù)度。通常通過位置隱私的披露風(fēng)險(xiǎn)來反映。披露風(fēng)險(xiǎn)越小，隱私保護(hù)度越高。服務(wù)質(zhì)量。用于衡量隱私算法的優(yōu)劣，在相同的隱私保護(hù)度下，服務(wù)質(zhì)量越高說明隱私保護(hù)算法越好。一般情況下，服務(wù)質(zhì)量由查詢響應(yīng)時(shí)間、計(jì)算和通信開銷、查詢結(jié)果的精確性等來衡量。

134.2隱私度量

144.3隱私威脅

154.3隱私威脅

164.3隱私威脅

174.3隱私威脅

184.4數(shù)據(jù)庫隱私

194.4數(shù)據(jù)庫隱私

204.4數(shù)據(jù)庫隱私3-2（a）隨機(jī)擾動過程3-2(b)重構(gòu)過程

214.4數(shù)據(jù)庫隱私

224.4數(shù)據(jù)庫隱私

234.4數(shù)據(jù)庫隱私

244.4數(shù)據(jù)庫隱私輸入：站點(diǎn)S1,S2，數(shù)據(jù){ID,A1,A2,…,An}，{ID,B1,B2,…,Bn}輸出：

k-匿名數(shù)據(jù)表T*過程：1.2個(gè)站點(diǎn)分別產(chǎn)生私有密鑰K1和K2，且滿足：EK1(EK2(D))=EK2(EK1(D))，其中D為任意數(shù)據(jù);2.表T*←NULL；

3.whileT*中數(shù)據(jù)不滿足k-匿名條件

do4.站點(diǎn)i(i=1或2)4.1泛化{ID,A1,A2,…,An}為{ID,A1*,A2*,…,An*}，其中A1*表示A1泛化后的值；

4.2{ID,A1,A2,…,An}←{ID,A1*,A2*,…,An*}4.3用Ki加密{ID,A1*,A2*,…,An*}并傳遞給另一站點(diǎn)；

4.4用Ki加密另一站點(diǎn)加密的泛化數(shù)據(jù)并回傳；

4.5根據(jù)兩個(gè)站點(diǎn)加密后的ID值對數(shù)據(jù)進(jìn)行匹配，構(gòu)建經(jīng)K1和K2加密后的數(shù)據(jù)表T*{ID,A1*,A2*,…,An*，ID,B1,B2,…,Bn}5.endwhile表4-1分布式k-匿名算法

254.4數(shù)據(jù)庫隱私

264.4數(shù)據(jù)庫隱私

274.4數(shù)據(jù)庫隱私

284.4數(shù)據(jù)庫隱私

294.4數(shù)據(jù)庫隱私姓名年齡性別郵編疾病Betty25F12300艾滋病Linda35M13000消化不良Bill21M12000消化不良Sam35M14000肺炎John71M27000肺炎David65F54000胃潰瘍Alice63F24000流行感冒Susan70F30000支氣管炎表3-2某醫(yī)院原始診斷記錄表

304.4數(shù)據(jù)庫隱私組標(biāo)識年齡性別郵編疾病1[2,60]F[12000,15000]艾滋病1[2,60]M[12000,15000]消化不良1[2,60]M[12000,15000]消化不良1[2,60]M[12000,15000]肺炎2[61,75]M[23000,55000]肺炎2[61,75]F[23000,55000]胃潰瘍2[61,75]F[23000,55000]流行感冒2[61,75]F[23000,55000]支氣管炎表4-44-匿名數(shù)據(jù)

314.4數(shù)據(jù)庫隱私表4-33-diversity年齡性別郵編疾病25F12300艾滋病35M13000消化不良21M12000消化不良35M14000肺炎71M27000肺炎65F54000胃潰瘍63F24000流行感冒70F30000支氣管炎

324.4數(shù)據(jù)庫隱私

334.4數(shù)據(jù)庫隱私

344.4數(shù)據(jù)庫隱私

354.4數(shù)據(jù)庫隱私

圖4-3數(shù)據(jù)匿名化場景4.5位置隱私4.5.1基本概念

364.5位置隱私4.5.1基本概念軍事和政府產(chǎn)業(yè)GPS系統(tǒng)，最初主要用于軍事和涉及國家重要利益的民用領(lǐng)域商業(yè)領(lǐng)域信息娛樂服務(wù)（娛樂場所查詢、廣告、社交等），定位服務(wù)，追蹤服務(wù)，道路輔助與導(dǎo)航服務(wù)緊急救援1996年,FCC頒布法規(guī)要求移動通信運(yùn)營商為手機(jī)用戶提供緊急求援服務(wù)。2003年歐洲實(shí)施“USFCC”標(biāo)準(zhǔn)

374.5位置隱私4.5.1基本概念用戶對自己位置信息的掌控能力是否發(fā)布發(fā)布給誰詳細(xì)程度保護(hù)位置隱私的重要性三要素：時(shí)間、地點(diǎn)、人物人身安全隱私泄露位置隱私面臨的威脅通信服務(wù)商攻擊者

384.5位置隱私4.5.1基本概念位置信息與個(gè)人隱私

394.5位置隱私移動設(shè)備用戶使用移動設(shè)備向服務(wù)器發(fā)送查詢。定位系統(tǒng)通過定位系統(tǒng)獲得查詢位置網(wǎng)絡(luò)查詢和結(jié)果通過網(wǎng)絡(luò)傳輸LBS服務(wù)器提供基于位置的服務(wù)

40物聯(lián)網(wǎng)中LBS的體系結(jié)構(gòu)物聯(lián)網(wǎng)中LBS的通用威脅模型假定LBS服務(wù)器是惡意觀察者現(xiàn)實(shí)中是一個(gè)復(fù)雜的多方面的問題移動設(shè)備可能被俘獲，泄露用戶信息。網(wǎng)絡(luò)傳輸可能被監(jiān)聽和遭受中間人攻擊。

414.5位置隱私用戶標(biāo)識

位置數(shù)據(jù)LBS服務(wù)提供商查找離我最近的大使館搜索去商店的路線

424.5.1隱私威脅模型4.5位置隱私利用GPS軌跡數(shù)據(jù)分析基礎(chǔ)交通設(shè)施的建設(shè)情況，更新和優(yōu)化交通設(shè)施商品連鎖店根據(jù)用戶的刷卡情況，分析用戶的消費(fèi)習(xí)慣等公司收集用戶的軌跡數(shù)據(jù)用戶標(biāo)識

軌跡數(shù)據(jù)

434.5LBS和隱私

444.5物聯(lián)網(wǎng)中LBS隱私保護(hù)LBS中的隱私問題引起了用戶、服務(wù)商和政府的廣泛關(guān)注隱私保護(hù)問題已成為LBS發(fā)展的瓶頸，是LBS應(yīng)用亟待突破的重要問題，其重要性和緊迫性不容忽視，直接影響到LBS的健康發(fā)展和普及

454.5隱私的定義

464.5隱私定義敏感信息有關(guān)用戶的時(shí)空信息、查詢請求內(nèi)容中涉及醫(yī)療或金融的信息，推斷出的用戶的運(yùn)動模式、用戶的興趣愛好等個(gè)人隱私信息。位置隱私威脅是指攻擊者在某授權(quán)的情況下通過定位位置傳輸設(shè)備、竊聽位置信息傳輸通道等方式訪問到原始的位置數(shù)據(jù)，并計(jì)算推理獲取的與位置相關(guān)的個(gè)人隱私信息。

474.5物聯(lián)網(wǎng)中LBS的隱私泄露位置隱私泄露位置，包括用戶過去和現(xiàn)在的位置查詢隱私泄露查詢內(nèi)容，例如，查詢離我最近的腫瘤治療醫(yī)院軌跡隱私泄露對軌跡數(shù)據(jù)的攻擊性推理和計(jì)算可以推導(dǎo)出個(gè)人的興趣愛好，家庭住址，健康狀況和政治傾向等

484.5物聯(lián)網(wǎng)中LBS的隱私保護(hù)位置隱私度量避免用戶和某一精確位置相匹配查詢隱私度量避免用戶和某一敏感信息（查詢屬性、內(nèi)容）相匹配軌跡隱私度量避免用戶和某一精確的軌跡相匹配

494.5網(wǎng)聯(lián)網(wǎng)中LBS的隱私度量位置隱私度量Locationk-anonymityLocationl-diversityorRoadSegments-diversity查詢隱私度量K-anonymity、Locationentropy、Queryattribute軌跡隱私度量融合攻擊者背景知識的隱私度量機(jī)制

504.5物聯(lián)網(wǎng)中LBS隱私保護(hù)方法

514.5物聯(lián)網(wǎng)中LBS隱私保護(hù)方法發(fā)布假位置通過提交一些假位置，達(dá)到位置匿名的效果

524.5物聯(lián)網(wǎng)中LBS隱私保護(hù)方法空間匿名把位置點(diǎn)擴(kuò)展到一個(gè)時(shí)空區(qū)域，達(dá)到匿名的效果

534.5物聯(lián)網(wǎng)中LBS隱私保護(hù)方法空間加密通過對位置加密，達(dá)到匿名效果

544.5物聯(lián)網(wǎng)中LBS隱私保護(hù)方法PIR允許用戶私自從數(shù)據(jù)庫檢索信息，而不需要數(shù)據(jù)庫服務(wù)器知道用戶的特定請求信息Ghinita,G.(2009)."Privatequeriesandtrajectoryanonymization:Adualperspectiveonlocationprivacy."TransactionsonDataPrivacy2(1):3-19.

554.5感知隱私保護(hù)的查詢處理

564.5物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu)獨(dú)立結(jié)構(gòu)優(yōu)點(diǎn)：結(jié)構(gòu)簡單，易于配置缺點(diǎn)：客戶端負(fù)擔(dān)較重；缺乏全局信息，隱蔽性弱。

574.5物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu)中心服務(wù)器結(jié)構(gòu)優(yōu)點(diǎn)（1）減輕了客戶端負(fù)擔(dān)（2）具有全局信息，隱私保護(hù)效果好缺點(diǎn)（1）成為系統(tǒng)瓶頸

（2）成為系統(tǒng)的唯一攻擊點(diǎn)

584.5物聯(lián)網(wǎng)中LBS隱私保護(hù)系統(tǒng)結(jié)構(gòu)分布式點(diǎn)對點(diǎn)結(jié)構(gòu)優(yōu)點(diǎn)（1）消除唯一攻擊點(diǎn)（2）具有全局信息，隱私保護(hù)效果好缺點(diǎn)（1）網(wǎng)絡(luò)通信代價(jià)高匿名組

594.5物聯(lián)網(wǎng)中LBS隱私保護(hù)內(nèi)容

604.5物聯(lián)網(wǎng)中LBS隱私保護(hù)模型位置k-匿名當(dāng)前僅當(dāng)一個(gè)用戶的位置和其他（k-1）用戶的位置無法區(qū)分時(shí)，稱該用戶滿足位置k-匿名

614.5基于四分樹的隱私保護(hù)方法問題面對大量移動用戶，如何快速高效的為移動用戶尋找匿名集解決方法位置k-匿名中提出了基于四分樹的方法，即遞歸式的劃分空間，直至某一子空間內(nèi)的用戶數(shù)小于k,則返回其上一級的子空間作為位置匿名區(qū)域K=3

624.5基于四分樹的隱私保護(hù)方法缺點(diǎn)所有移動用戶都假定使用同一個(gè)系統(tǒng)靜態(tài)k值，不適應(yīng)個(gè)性化隱私需求。就產(chǎn)生的匿名集大小，沒有提供任何服務(wù)質(zhì)量保證和評估解決方法個(gè)性化的位置隱私K-匿名模型K=3

634.5基于個(gè)性化的位置k-匿名模型問題如何為每一個(gè)用戶提供滿足個(gè)性化隱私需求的匿名方法解決方法利用圖模型形式化的定義此問題，并把尋找匿名集轉(zhuǎn)化為在圖中尋找k-點(diǎn)團(tuán)的問題

644.5物聯(lián)網(wǎng)中LBS連續(xù)查詢隱私保護(hù)問題位置服務(wù)中現(xiàn)有的隱私保護(hù)工作均針對snapshot查詢類型,將現(xiàn)有匿名算法直接應(yīng)用于連續(xù)查詢會產(chǎn)生查詢隱私泄露

{A,B,D}∩{A,B,F}∩{A,C,F}={A}{Q1,Q2,Q4}∩{Q1,Q2,Q6}∩{Q1,Q3,Q5}={Q1}解決方法連續(xù)查詢的用戶在最初時(shí)刻形成的匿名集在其查詢有效期內(nèi)均有效

65

664.5軌跡隱私4.5物聯(lián)網(wǎng)中LBS軌跡隱私保護(hù)

674.5物聯(lián)網(wǎng)中LBS軌跡隱私保護(hù)

684.5物聯(lián)網(wǎng)中LBS感知隱私的查詢問題如何在位置被匿名后提供用戶滿意的服務(wù)。兩種位置數(shù)據(jù)類型：（1）公開位置數(shù)據(jù)。如加油站、旅館（2）隱私位置數(shù)據(jù)。如個(gè)人位置

694.5物聯(lián)網(wǎng)中LBS隱私度量

704.5物聯(lián)網(wǎng)中LBS隱私度量隱私度量建立一個(gè)融合攻擊者背景知識的統(tǒng)一隱私度量框架，提出一些新的指標(biāo)

71

724.6外包數(shù)據(jù)隱私4.6.1基本概念數(shù)據(jù)隱私外包計(jì)算模式下的數(shù)據(jù)隱私具有以下兩個(gè)獨(dú)有的特點(diǎn)：（1）外包計(jì)算模式下的數(shù)據(jù)隱私是一種廣義的隱私，其主體包括自然人和法人（企業(yè)）；（2）傳統(tǒng)網(wǎng)絡(luò)中的隱私問題主要發(fā)生在信息傳輸和存儲的過程中，外包計(jì)算模式下不僅要考慮數(shù)據(jù)傳輸和存儲中的隱私問題，還要考慮數(shù)據(jù)計(jì)算和檢索過程中可能出現(xiàn)的隱私泄露。

734.6外包數(shù)據(jù)隱私

744.6外包數(shù)據(jù)隱私4.6.2隱私威脅模型圖4-10外包計(jì)算模式下的隱私威脅模型

754.6外包數(shù)據(jù)隱私4.6.2隱私威脅模型數(shù)據(jù)從數(shù)據(jù)擁有者傳遞到服務(wù)提供者的過程中，外部攻擊者可以通過竊聽的方式盜取數(shù)據(jù)；外部攻擊者可通過無授權(quán)的訪問、木馬和釣魚軟件等方式來破壞服務(wù)提供者對用戶數(shù)據(jù)和程序的保護(hù)，實(shí)現(xiàn)非法訪問。外部攻擊者可通過觀察用戶發(fā)出的請求，從而獲得用戶的習(xí)慣、目的等隱私信息。由于數(shù)據(jù)擁有者的數(shù)據(jù)存放在服務(wù)提供者的存儲介質(zhì)上，程序運(yùn)行在服務(wù)提供者的服務(wù)器中，因此內(nèi)部攻擊者要發(fā)起攻擊更為容易。

764.6外包數(shù)據(jù)隱私4.6.3外包數(shù)據(jù)加密檢索外包數(shù)據(jù)加密計(jì)算模型

加密檢索涉及到的三類實(shí)體分別為：1.數(shù)據(jù)擁有者；2.被授權(quán)的數(shù)據(jù)使用者；3.云端服務(wù)器。數(shù)據(jù)擁有者想要將其擁有的資料存儲在租用的云存儲服務(wù)器端，以供被授權(quán)的數(shù)據(jù)使用者使用。但考慮到數(shù)據(jù)存放在云端時(shí)會存在數(shù)據(jù)泄露的可能，故其希望可以以加密形式存放在云端。當(dāng)被授權(quán)的使用者想要調(diào)回?cái)?shù)據(jù)（文檔）時(shí)，先對關(guān)鍵字進(jìn)行加密，再上傳至云端，在云端服務(wù)器進(jìn)行處理后，選出需要的數(shù)據(jù)，返回給被授權(quán)的使用者。

774.6外包數(shù)據(jù)隱私4.6.3外包數(shù)據(jù)加密