第6章-物联网隐私安全第2次课

从隐私拥有者角度而言，隐私分为（

）个人隐私共同隐私数据隐私位置隐私ABCD提交多选题1分在个人隐私的概念中主要涉及（

）范畴信息隐私人身隐私通信隐私空间信息ABCD提交多选题1分关于共同隐私下面说法正确是的是（

）共同隐私不包含个人隐私共同隐私包含个人隐私包含公司员工的平均薪资包含公司员工的薪资分布ABCD提交多选题1分关于隐私权下面说法正确是（

）侵害隐私权的方式通常包括侵扰自然人的生活安宁，探听自然人的私生活秘密，或在知悉他人隐私后，向他人披露、公开，或者未经许可进行使用是指自然人享有的私人生活安宁与私人生活信息依法受到保护，不受他人侵扰、知悉、使用、披露和公开的权利。隐私权的主体只能是自然人。隐私的内容包括私人生活安宁和私人生活信息。ABCD提交多选题1分四、常用的隐私保护技术1.数据库隐私保护技术----6.23.外包数据隐私保护技术-----6.62.位置隐私保护技术------6.3

6.46.2、数据库隐私保护一、数据库的隐私威胁模型隐私保护技术集中在数据挖掘和数据发布两个领域1、数据挖掘中的隐私保护

是如何在保护用户隐私的前提下，能进行有效的数据挖掘。2、数据发布中的隐私保护

是如何在保护用户隐私的前提下，发布用户的数据以供第三方有效的研究和使用。二、数据库的隐私保护技术1、基于数据失真的技术

使敏感数据失真但同时保持某些数据或数据属性不变的方法。如采用添加噪声、交换等技术对原始数据进行扰动处理，但要求保证处理后的数据仍然可以保持某些统计方面的性质，以便进行数据挖据等操作。失真应满足：

（1）攻击者不能发现真实的数据，即不能重构原始信息（2）失真的数据应保持本真的性质，即仍有使用价值基于失真的隐私保护技术：

（1）随机化

是在原始数据中加入随机噪声，然后发布扰动后的数据。（a）随机扰动过程(b)重构过程第一种：随机化扰动

采用随机化技术来修改敏感数据，实现对数据隐私的保护第二种：随机化应答

数据所有者对原始数据进行扰动后发布，攻击者不能以高于预定的阈值的概率得出原始数据是否包含某些真实信息或伪信息的结论，实现对数据隐私的保护（2）阻塞与凝聚阻塞技术采用的是不发布某些特定数据的方法，因为某些应用更希望基于真实数据进行研究。于是，对敏感关联规则的隐藏就是在数据中的阻塞尽量少的情况下，将敏感关联规则可能的支持度和置信度控制在预定的阈值以下。凝聚技术基本思想是：将原始数据分成组，每组内存储着由k条记录产生的统计信息，包括每个属性的均值、协方差等。这样，只要是采用凝聚技术处理的数据，都可以用通用的重构算法进行处理，并且重构后的数据并不会披露原始数据的隐私，因为同一组内的k条记录是两两不可区分的。2、基于数据加密的隐私保护技术

（1）安全多方计算安全多方计算（SecureMuti-partyComputation，简称MPC）问题首先由华裔计算机科学家、图灵奖获得者姚期智教授于1982年提出，也就是为人熟知的百万富翁问题：两个争强好胜的富翁Alice和Bob在街头相遇，如何在不暴露各自财富的前提下比较出谁更富有？在现实生活中，我们时常会受到下列问题的困扰：医院需要共享医疗信息，但是又不想泄露单个患者的隐私；政府机构需要统计选举数据，但是又不想公开投票选民的选举记录；一家制造厂商想要以行业标准检验产品水准，但又不想让竞争对手知道他们真实的生产数据。“数据孤岛”MPC技术可以获取数据使用价值，却不泄露原始数据内容。姚氏“百万富翁问题”，其数学描述为，“有n个参与者P1,P2，…Pn，要以一种安全的方式共同计算一个函数，这里的安全是指输出结果的正确性和输入信息、输出信息的保密性。

具体地讲，每个参与者P1，有一个自己的保密输入信息X1，n个参与者要共同计算一个函数f(X1,X2,…,Xn)=(Y1,Y2,…,Yn),计算结束时，每个参与者Pi只能了解Yi,不能了解其他方的任何信息。”简单来说，安全多方计算协议作为密码学的一个子领域，其允许多个数据所有者在互不信任的情况下进行协同计算，输出计算结果，并保证任何一方均无法得到除应得的计算结果之外的其他任何信息。换句话说，MPC技术可以获取数据使用价值，却不泄露原始数据内容。（2）分布式关联规则挖掘。

在分布式环境下，关联规则挖掘的关键是计算项集的全局计数，加密技术能保证在计算项集计数的同时，不会泄露隐私信息。通过数据应用平移等几何变换隐藏敏感属性，然后使用常用的k-means等算法进行聚类。（4）分布式聚类（5）分类算法通过对原始数据叠加满足一定分布的随机量进行随机扰动然后进行恢复得到“模糊”的原始数据进行分类。基于数据加密的隐私保护技术包括（）安全多方计算分布式匿名化分布式关联规则挖掘分布式聚类ABCD提交多选题1分3、基于限制发布隐私保护技术

限制发布是指有选择的发布原始数据、不发布或者发布精度较低的敏感数据以实现隐私保护。

（1）采用数据匿名化技术

即在隐私披露风险和数据精度之间进行折中，有选择地发布敏感数据及可能披露敏感数据的信息，但保证敏感数据及隐私的披露风险在可容忍的范围内。（2）数据匿名化的基本操作：①抑制。抑制某数据项。②泛化。即对数据进行更抽象和概括的描述。如把年龄30岁泛化成区间[20,40]的形式，因为30岁在区间[20,40]内。（3）匿名化记录属性显示标识符：能唯一表示单一个体的属性，如身份证、姓名等。准标识符：几个属性联合起来可以唯一标识一个人，如邮编，性别，出生年月等联合起来可能是一个准标识符。敏感属性：包含用户隐私数据的属性，如疾病、收入、宗教信仰等。姓名年龄性别邮编疾病Betty25F12300艾滋病Linda35M13000消化不良Bill21M12000消化不良Sam35M14000肺炎John71M27000肺炎David65F54000胃溃疡Alice63F24000流行感冒Susan70F30000支气管炎匿名化记录属性有（）显示标识符准标识符敏感属性ABC提交多选题10分驾驶证属于那种匿名化记录属性（）显示标识符准标识符敏感属性ABC提交单选题10分（4）数据匿名化的原则：

数据匿名化处理的原始数据一般为数据表形式，表中每一行是一个记录，对应一个人。每条记录包含多个属性（数据项）第一类：K-匿名K-匿名方法通常采用泛化和压缩技术对原始数据进行匿名化处理以便得到满足k-匿名规则的匿名数据，从而使得攻击者不能根据发布的匿名数据准确的识别出目标个体的记录。第二类i-diversity

将原始数据中的记录划分成多个等价类，并利用泛化技术使得每个等价类中的记录都拥有相同的准标识符属性，i-diversity规则要求每个等价类的敏感属性至少有i个不同的值。第三类：t-closeness。

t-closeness规则要求匿名数据中的每个等价类中敏感属性值得分布接近于原始数据中的敏感属性值的分布，两个分布之间的距离不超过阈值t。K-匿名采用的技术有（）泛化技术压缩技术修改技术ABC提交多选题