物联网安全(第4章 )隐私安全

第四章隐私安全4.1隐私定义4.2隐私度量4.3隐私威胁4.4数据库隐私4.5位置隐私4.6外包数据隐私4.7本章小结本章内容第四章隐私安全第四章隐私安全

随着智能手机、无线传感网络、RFID等信息采集终端在物联网中的广泛应用，物联网中将承载大量涉及人们日常生活的隐私信息（如位置信息、敏感数据等），隐私保护问题也显得越来越重要。如不能很好地解决隐私保护问题，人们对隐私泄露的担忧势必成为物联网推行过程的最大障碍之一。

本章将介绍隐私的概念、度量、威胁；重点介绍数据库隐私、位置隐私和数据隐私等的相关内容。4.1隐私的定义什么是隐私？据文献记载，隐私的词义来源于西方，一般认为最早关注隐私权的文章是美国人沃论（SamuelD•Warren）和布兰戴斯（LouisD•Brandeis）发表的≪隐私权≫（TheRighttoPrivacy）。2002年全国人大起草《民法典草案》，对隐私权保护的隐私做了规定，包括私人信息、私人活动、私人空间和私人的生活安宁等四个方面。王利明教授在《隐私权的新发展》中指出“隐私是凡个人不愿意对外公开的、且隐匿信息不违反法律和社会公共利益的私人生活秘密，都构成受法律保护的隐私”。

64.1隐私的定义

74.1隐私的定义

84.1隐私的定义隐私分类共同隐私（Corporateprivacy:共同隐私不仅包含个人隐私，还包含所有个人共同表现出来但不愿被暴露的信息，如公司员工的平均薪资、薪资分布等信息。什么是隐私权？4.1隐私的定义

104.2隐私度量

114.2隐私度量

124.2隐私度量4.2.2隐私度量标准位置隐私度量标准隐私保护度。通常通过位置隐私的披露风险来反映。披露风险越小，隐私保护度越高。服务质量。用于衡量隐私算法的优劣，在相同的隐私保护度下，服务质量越高说明隐私保护算法越好。一般情况下，服务质量由查询响应时间、计算和通信开销、查询结果的精确性等来衡量。

134.2隐私度量

144.3隐私威胁

154.3隐私威胁

164.3隐私威胁

174.3隐私威胁

184.4数据库隐私

194.4数据库隐私

204.4数据库隐私3-2（a）随机扰动过程3-2(b)重构过程

214.4数据库隐私

224.4数据库隐私

234.4数据库隐私

244.4数据库隐私输入：站点S1,S2，数据{ID,A1,A2,…,An}，{ID,B1,B2,…,Bn}输出：

k-匿名数据表T*过程：1.2个站点分别产生私有密钥K1和K2，且满足：EK1(EK2(D))=EK2(EK1(D))，其中D为任意数据;2.表T*←NULL；

3.whileT*中数据不满足k-匿名条件

do4.站点i(i=1或2)4.1泛化{ID,A1,A2,…,An}为{ID,A1*,A2*,…,An*}，其中A1*表示A1泛化后的值；

4.2{ID,A1,A2,…,An}←{ID,A1*,A2*,…,An*}4.3用Ki加密{ID,A1*,A2*,…,An*}并传递给另一站点；

4.4用Ki加密另一站点加密的泛化数据并回传；

4.5根据两个站点加密后的ID值对数据进行匹配，构建经K1和K2加密后的数据表T*{ID,A1*,A2*,…,An*，ID,B1,B2,…,Bn}5.endwhile表4-1分布式k-匿名算法

254.4数据库隐私

264.4数据库隐私

274.4数据库隐私

284.4数据库隐私

294.4数据库隐私姓名年龄性别邮编疾病Betty25F12300艾滋病Linda35M13000消化不良Bill21M12000消化不良Sam35M14000肺炎John71M27000肺炎David65F54000胃溃疡Alice63F24000流行感冒Susan70F30000支气管炎表3-2某医院原始诊断记录表

304.4数据库隐私组标识年龄性别邮编疾病1[2,60]F[12000,15000]艾滋病1[2,60]M[12000,15000]消化不良1[2,60]M[12000,15000]消化不良1[2,60]M[12000,15000]肺炎2[61,75]M[23000,55000]肺炎2[61,75]F[23000,55000]胃溃疡2[61,75]F[23000,55000]流行感冒2[61,75]F[23000,55000]支气管炎表4-44-匿名数据

314.4数据库隐私表4-33-diversity年龄性别邮编疾病25F12300艾滋病35M13000消化不良21M12000消化不良35M14000肺炎71M27000肺炎65F54000胃溃疡63F24000流行感冒70F30000支气管炎

324.4数据库隐私

334.4数据库隐私

344.4数据库隐私

354.4数据库隐私

图4-3数据匿名化场景4.5位置隐私4.5.1基本概念

364.5位置隐私4.5.1基本概念军事和政府产业GPS系统，最初主要用于军事和涉及国家重要利益的民用领域商业领域信息娱乐服务（娱乐场所查询、广告、社交等），定位服务，追踪服务，道路辅助与导航服务紧急救援1996年,FCC颁布法规要求移动通信运营商为手机用户提供紧急求援服务。2003年欧洲实施“USFCC”标准

374.5位置隐私4.5.1基本概念用户对自己位置信息的掌控能力是否发布发布给谁详细程度保护位置隐私的重要性三要素：时间、地点、人物人身安全隐私泄露位置隐私面临的威胁通信服务商攻击者

384.5位置隐私4.5.1基本概念位置信息与个人隐私

394.5位置隐私移动设备用户使用移动设备向服务器发送查询。定位系统通过定位系统获得查询位置网络查询和结果通过网络传输LBS服务器提供基于位置的服务

40物联网中LBS的体系结构物联网中LBS的通用威胁模型假定LBS服务器是恶意观察者现实中是一个复杂的多方面的问题移动设备可能被俘获，泄露用户信息。网络传输可能被监听和遭受中间人攻击。

414.5位置隐私用户标识

位置数据LBS服务提供商查找离我最近的大使馆搜索去商店的路线

424.5.1隐私威胁模型4.5位置隐私利用GPS轨迹数据分析基础交通设施的建设情况，更新和优化交通设施商品连锁店根据用户的刷卡情况，分析用户的消费习惯等公司收集用户的轨迹数据用户标识

轨迹数据

434.5LBS和隐私

444.5物联网中LBS隐私保护LBS中的隐私问题引起了用户、服务商和政府的广泛关注隐私保护问题已成为LBS发展的瓶颈，是LBS应用亟待突破的重要问题，其重要性和紧迫性不容忽视，直接影响到LBS的健康发展和普及

454.5隐私的定义

464.5隐私定义敏感信息有关用户的时空信息、查询请求内容中涉及医疗或金融的信息，推断出的用户的运动模式、用户的兴趣爱好等个人隐私信息。位置隐私威胁是指攻击者在某授权的情况下通过定位位置传输设备、窃听位置信息传输通道等方式访问到原始的位置数据，并计算推理获取的与位置相关的个人隐私信息。

474.5物联网中LBS的隐私泄露位置隐私泄露位置，包括用户过去和现在的位置查询隐私泄露查询内容，例如，查询离我最近的肿瘤治疗医院轨迹隐私泄露对轨迹数据的攻击性推理和计算可以推导出个人的兴趣爱好，家庭住址，健康状况和政治倾向等

484.5物联网中LBS的隐私保护位置隐私度量避免用户和某一精确位置相匹配查询隐私度量避免用户和某一敏感信息（查询属性、内容）相匹配轨迹隐私度量避免用户和某一精确的轨迹相匹配

494.5网联网中LBS的隐私度量位置隐私度量Locationk-anonymityLocationl-diversityorRoadSegments-diversity查询隐私度量K-anonymity、Locationentropy、Queryattribute轨迹隐私度量融合攻击者背景知识的隐私度量机制

504.5物联网中LBS隐私保护方法

514.5物联网中LBS隐私保护方法发布假位置通过提交一些假位置，达到位置匿名的效果

524.5物联网中LBS隐私保护方法空间匿名把位置点扩展到一个时空区域，达到匿名的效果

534.5物联网中LBS隐私保护方法空间加密通过对位置加密，达到匿名效果

544.5物联网中LBS隐私保护方法PIR允许用户私自从数据库检索信息，而不需要数据库服务器知道用户的特定请求信息Ghinita,G.(2009)."Privatequeriesandtrajectoryanonymization:Adualperspectiveonlocationprivacy."TransactionsonDataPrivacy2(1):3-19.

554.5感知隐私保护的查询处理

564.5物联网中LBS隐私保护系统结构独立结构优点：结构简单，易于配置缺点：客户端负担较重；缺乏全局信息，隐蔽性弱。

574.5物联网中LBS隐私保护系统结构中心服务器结构优点（1）减轻了客户端负担（2）具有全局信息，隐私保护效果好缺点（1）成为系统瓶颈

（2）成为系统的唯一攻击点

584.5物联网中LBS隐私保护系统结构分布式点对点结构优点（1）消除唯一攻击点（2）具有全局信息，隐私保护效果好缺点（1）网络通信代价高匿名组

594.5物联网中LBS隐私保护内容

604.5物联网中LBS隐私保护模型位置k-匿名当前仅当一个用户的位置和其他（k-1）用户的位置无法区分时，称该用户满足位置k-匿名

614.5基于四分树的隐私保护方法问题面对大量移动用户，如何快速高效的为移动用户寻找匿名集解决方法位置k-匿名中提出了基于四分树的方法，即递归式的划分空间，直至某一子空间内的用户数小于k,则返回其上一级的子空间作为位置匿名区域K=3

624.5基于四分树的隐私保护方法缺点所有移动用户都假定使用同一个系统静态k值，不适应个性化隐私需求。就产生的匿名集大小，没有提供任何服务质量保证和评估解决方法个性化的位置隐私K-匿名模型K=3

634.5基于个性化的位置k-匿名模型问题如何为每一个用户提供满足个性化隐私需求的匿名方法解决方法利用图模型形式化的定义此问题，并把寻找匿名集转化为在图中寻找k-点团的问题

644.5物联网中LBS连续查询隐私保护问题位置服务中现有的隐私保护工作均针对snapshot查询类型,将现有匿名算法直接应用于连续查询会产生查询隐私泄露

{A,B,D}∩{A,B,F}∩{A,C,F}={A}{Q1,Q2,Q4}∩{Q1,Q2,Q6}∩{Q1,Q3,Q5}={Q1}解决方法连续查询的用户在最初时刻形成的匿名集在其查询有效期内均有效

65

664.5轨迹隐私4.5物联网中LBS轨迹隐私保护

674.5物联网中LBS轨迹隐私保护

684.5物联网中LBS感知隐私的查询问题如何在位置被匿名后提供用户满意的服务。两种位置数据类型：（1）公开位置数据。如加油站、旅馆（2）隐私位置数据。如个人位置

694.5物联网中LBS隐私度量

704.5物联网中LBS隐私度量隐私度量建立一个融合攻击者背景知识的统一隐私度量框架，提出一些新的指标

71

724.6外包数据隐私4.6.1基本概念数据隐私外包计算模式下的数据隐私具有以下两个独有的特点：（1）外包计算模式下的数据隐私是一种广义的隐私，其主体包括自然人和法人（企业）；（2）传统网络中的隐私问题主要发生在信息传输和存储的过程中，外包计算模式下不仅要考虑数据传输和存储中的隐私问题，还要考虑数据计算和检索过程中可能出现的隐私泄露。

734.6外包数据隐私

744.6外包数据隐私4.6.2隐私威胁模型图4-10外包计算模式下的隐私威胁模型

754.6外包数据隐私4.6.2隐私威胁模型数据从数据拥有者传递到服务提供者的过程中，外部攻击者可以通过窃听的方式盗取数据；外部攻击者可通过无授权的访问、木马和钓鱼软件等方式来破坏服务提供者对用户数据和程序的保护，实现非法访问。外部攻击者可通过观察用户发出的请求，从而获得用户的习惯、目的等隐私信息。由于数据拥有者的数据存放在服务提供者的存储介质上，程序运行在服务提供者的服务器中，因此内部攻击者要发起攻击更为容易。

764.6外包数据隐私4.6.3外包数据加密检索外包数据加密计算模型

加密检索涉及到的三类实体分别为：1.数据拥有者；2.被授权的数据使用者；3.云端服务器。数据拥有者想要将其拥有的资料存储在租用的云存储服务器端，以供被授权的数据使用者使用。但考虑到数据存放在云端时会存在数据泄露的可能，故其希望可以以加密形式存放在云端。当被授权的使用者想要调回数据（文档）时，先对关键字进行加密，再上传至云端，在云端服务器进行处理后，选出需要的数据，返回给被授权的使用者。

774.6外包数据隐私4.6.3外包数据加密