物联网信息安全.pptx

1、

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,桂小林,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,桂小林,*,第四章 隐私安全,桂小林,.9.17,第1页,2,4.1,隐私定义,4.2,隐私度量,4.3,隐私威胁,4.4,数据库隐私,4.5,位置隐私,4.6,外包数据隐私

2、4.7,本章小结,本章内容,第2页,3,第四章 隐私安全,基本要求,熟悉隐私概念和度量,了解隐私威胁模型和隐私保护方法,熟悉数据隐私、位置隐私、外包数据隐私概念、威胁模型和保护技术,依据本章文件，参阅一篇感兴趣文件并总结。,第3页,4,第四章 隐私安全,隐私对个人发展及建立社会组员之间信任都是绝对主要和必不可少。它对个人而言是非常主要，且被社会所尊重，已被国际公认是个人自然权力。,然而，伴随智能手机、无线传感网络、,RFID,等信息采集终端在物联网中广泛应用，物联网中将承载大量包括人们日常生活隐私信息（如位置信息、敏感数据等），隐私保护问题也显得越来越主要。如不能很好地处理隐私保护问题，人们

3、对隐私泄露担忧势必成为物联网推行过程最大障碍之一。,本章将介绍隐私概念、度量、威胁,；重点介绍,数据库隐私、位置隐私和数据隐私等相关内容。,第4页,5,4.1 隐私定义,什么是隐私？,据文件记载，隐私词义起源于西方，普通认为最早关注隐私权文章是美国人沃论（Samuel DWarren）和布兰戴斯（Louis DBrandeis）发表隐私权（The Right to Privacy）。,全国人大起草民法典草案，对隐私权保护隐私做了要求，包含私人信息、私人活动、私人空间和私人生活安宁等四个方面。,王利明教授在隐私权新发展中指出“隐私是凡个人不愿意对外公开、且隐匿信息不违反法律和社会公共利益私人生活

4、秘密，都组成受法律保护隐私”。,第5页,6,4.1 隐私定义,什么是隐私？,狭义隐私是指以自然人为主体而不包含商业秘密在内个人秘密,。,广义隐私主体是自然人与法人，客体包含商业秘密。,简单来说，隐私就是个人、机构或组织等实体不愿意被外部世界知晓信息。在详细应用中，隐私为数据拥有者不愿意被披露敏感信息，包含敏感数据以及数据所表征特征，如个人兴趣兴趣、身体情况、宗教信仰、企业财务信息等,。,第6页,7,4.1 隐私定义,隐私分类,个人隐私（,Individual privacy,）：普通是指数据拥有者不愿意披露敏感信息，如个人兴趣兴趣、健康情况、收入水平、宗教信仰和政治倾向等。在个人隐私概念中主要

5、包括,4,个范围：信息隐私、搜集和处理个人数据方法和规则，如个人信用信息、医疗和档案信息，信息隐私也被认为数据隐私；人身隐私，对包括侵犯个人物理情况相关信息，如基因测试等；通信隐私，邮件、电话、电子邮件以及其它形式个人通信信息；空间信息，对干涉自有地理空间制约，包含办公场所、公共场所，如搜查、跟踪、身份检验等。,第7页,8,4.1 隐私定义,隐私分类,共同隐私（,Corporate privacy:,共同隐私不但包含个人隐私，还包含全部个人共同表现出来但不愿被暴露信息，如企业员工平均薪资、薪资分布等信息,。,第8页,什么是隐私权,？,隐私权：,个人信息自我决定权，包含个人信息、身体、财产或者自

6、我决定等。,物联网与隐私,不妥使用会侵害隐私,恰当技术能够保护隐私,4.1,隐私定义,第9页,10,4.2 隐私度量,4.2.1,隐私度量概念,隐私度量是指用来评定个人隐私水平及隐私保护技术应用于实际生活中能到达效果，同时也为了测量“隐私”这个概念。,本书主要从数据库隐私、位置隐私、数据隐私三个方面介绍隐私度量方法及标准,第10页,11,4.2 隐私度量,4.2.2,隐私度量标准,数据库隐私度量标准,隐私保护度,。,通常经过公布数据披露风险来反应。披露风险越小，隐私保护度越高,。,数据可用性。,对公布数据质量度量，它反应经过隐私保护技术处理后数据信息丢失。数据缺损越高，信息丢失越多，数据利用率

7、越低。,第11页,12,4.2 隐私度量,4.2.2,隐私度量标准,位置隐私度量标准,隐私保护度,。,通常经过,位置隐私,披露风险来反应。披露风险越小，隐私保护度越高,。,服务质量,。,用于衡量隐私算法优劣，在相同隐私保护度下，服务质量越高说明隐私保护算法越好。普通情况下，服务质量由查询响应时间、计算和通信开销、查询结果准确性等来衡量。,第12页,13,4.2 隐私度量,4.2.2,隐私度量标准,数据隐私度量标准,机密性,。,数据必须按照数据拥有者要求确保一定秘密性，不会被非授权第三方非法获知。,完整性,。,完整性是指信息安全、准确与有效，不因为人为原因而改变信息原有内容、形式和流向，即不能被

8、未授权第三方修改。,可用性。,确保数据资源能够提供既定功效，不论何时何地，只要需要即可使用，而不,因,系统故障和误操作等使资源丢失或妨碍对资源使,用。,第13页,14,4.3 隐私威胁,4.3.1,隐私威胁模型,用户在网络中使用数据库、位置服务、数据等资源时，会在网络中留下大量个人信息，而网络实体、服务提供商以及网络侦听者等都可能是不可信,。,它们 会经过这些个人遗留在网络中信息，推理用户个人敏感信息，对用户隐私组成严重威胁。,为了保护个人隐私，需要保护用户私人数据不被泄露给不可信第三方。,第14页,15,4.3 隐私威胁,4.3.2,隐私保护技术,数据库隐私保护技术,基于数据失真技术。,使敏

9、感数据失真但同时保持一些数据或数据属性不变方法。如采取添加噪声、交换等技术对原始数据进行扰动处理，但要求确保处理后数据依然能够保持一些统计方面性质，方便进行数据挖据等操作。,基于数据加密技术。,采取加密技术在数据挖掘过程中隐藏敏感数据方法，多用于分布式应用环境，如安全多方计算,第15页,16,4.3 隐私威胁,4.3.2,隐私保护技术,位置隐私保护技术,基于,隐私保护策略技术,。,经过制订一些惯用隐私管理规则和可信任隐私协定来约束服务提供商能公平、安全使用个人位置信息。,基于匿名和混同技术,技术。,利用匿名和混同技术分隔用户身份标识和其所在位置信息、降低用户位置信息精度以到达隐私保护目标,。,

10、基于空间加密方法。,经过对位置加密到达匿名效果。,第16页,17,4.3 隐私威胁,4.3.2,隐私保护技术,数据库隐私保护技术,基于数据失真技术。,使敏感数据失真但同时保持一些数据或数据属性不变方法。如采取添加噪声、交换等技术对原始数据进行扰动处理，但要求确保处理后数据依然能够保持一些统计方面性质，方便进行数据挖据等操作。,基于数据加密技术。,采取加密技术在数据挖掘过程中隐藏敏感数据方法，多用于分布式应用环境，如安全多方计算,。,第17页,18,4.3 隐私威胁,4.3.2,隐私保护技术,数据隐私保护技术,支持计算加密技术。,是一类能满足支持隐私保护计算模式（如算数运算、字符运算等）要求，经

11、过加密伎俩确保数据机密性，同时密文能支持一些计算功效加密方案统称。,支持检索加密技术。,指数据在加密状态下能够对数据进行准确检索和含糊检索，从而保护数据隐私技术,。,第18页,19,4.4 数据库隐私,4.4.1,基本概念和威胁模型,隐私保护技术集中在数据挖掘和数据公布两个领域,数据挖掘中隐私保护,。,是怎样在保护用户隐私前提下，能进行有效数据挖掘。,数据公布中隐私保护,。,是怎样在保护用户隐私前提下，公布用户数据以供第三方有效研究和使用。,第19页,20,4.4 数据库隐私,4.4.1,基本概念和威胁模型,隐私保护技术集中在数据挖掘和数据公布两个领域,数据挖掘中隐私保护,。,是怎样在保护用户

12、隐私前提下，能进行有效数据挖掘。,数据公布中隐私保护,。,是怎样在保护用户隐私前提下，公布用户数据以供第三方有效研究和使用。,第20页,21,4.4 数据库隐私,4.4.2,数据库隐私保护技术,基于数据失真隐私保护技术,经过扰动原始数据来实现隐私保护，扰动后数据满足：,攻击者不能发觉真实原始数据。,经过失真处理后数据要能够保持一些性质不变,第21页,22,4.4 数据库隐私,4.4.2,数据库隐私保护技术,基于数据失真隐私保护技术,随机化。数据随机化就是在原始数据中加入随机噪声，然后公布扰动后数据。,随机扰动,随机应答,3-2,（,a,）随机扰动过程,3-2(b),重构过程,第22页,23,4

13、4 数据库隐私,4.4.2,数据库隐私保护技术,基于数据失真隐私保护技术,阻塞与凝聚。,将原始数据统计分成组，每一组内存放由,k,条统计产生统计信息，包含每个属性均值、协方差等,。,第23页,24,4.4 数据库隐私,4.4.2,数据库隐私保护技术,基于数据加密隐私保护技术,安全多方计算。,安全多方计算协议是密码学中非常活跃一个学术领域，有很强理论和实际意义。,它,能够被描述为一个计算过程：两个或多个协议参加者基于秘密输入来计算一个函数。安全多方计算假定参加者愿意共享一些数据用于计算。不过，每个参加者都不希望自己输入被其它参加者或任何三方所知。,第24页,25,4.4 数据库隐私,4.4.2

14、数据库隐私保护技术,基于数据加密隐私保护技术,安全多方计算。,普通来说，安全多方计算能够看成是在含有,n,个参加者分布式网络中私密输入,x,1,x,2,x,n,上计算函数,f,(,x,1,x,2,x,n,),，其中参加者,i,仅知道自己输入,x,i,和输出,f,(,x,1,x,2,x,n,),，再没有任何其它多出信息。假如假设有可信第三方存在，这个问题处理十分轻易，参加者只需要将自己输入经过秘密通道传送给可信第三方，由可信第三方计算这个函数，然后将结果广播给每一个参加者即可。不过在现实中极难找到一个让全部参加者都信任可信第三方。,第25页,26,4.4 数据库隐私,4.4.2,数据库隐私保护

15、技术,基于数据加密隐私保护技术,分布式匿名化。,匿名化就是隐藏数据或数据起源。因为大多数应用都需要对原始数据进行匿名处理以确保敏感信息安全，,并,在此基础上进行挖掘、公布等操作,。,输入：站点,S,1,S,2,，数据,ID,A,1,A,2,A,n,，ID,B,1,B,2,B,n,输出：,k-匿名数据表T,*,过程：1.2个站点分别产生私有密钥K1和K2，且满足：E K1(EK2(D)=EK2(E K1(D)，其中D为任意数据;,2.表T*NULL；,3.while T*中数据不满足k-匿名条件 do,4.站点i(i=1或2),4.1 泛化ID,A1,A2,An为ID,A1*,A2*,An*，其

16、中A1*表示A1泛化后值；,4.2 ID,A1,A2,AnID,A1*,A2*,An*,4.3 用Ki加密ID,A1*,A2*,An*并传递给另一站点；,4.4 用Ki加密另一站点加密泛化数据并回传；,4.5 依据两个站点加密后ID值对数据进行匹配，构建经K1和K2加密后数据表T*ID,A1*,A2*,An*，ID,B1,B2,Bn,5.end while,表,4-1,分布式,k-,匿名算法,第26页,27,4.4 数据库隐私,4.4.2,数据库隐私保护技术,基于数据加密隐私保护技术,分布式关联规则挖掘,。,在分布式环境下，关联规则挖掘关键是计算项集全局计数，加密技术能确保在计算项集计数同时，

17、不会泄露隐私信息。,分布式聚类,。,基于隐私保护分布式聚类关键是安全计算数据间距离，有,Nave,聚类模型两种模式和屡次聚类模型，两种模型都利用了加密技术实现信息安全传输。,第27页,28,4.4 数据库隐私,4.4.2,数据库隐私保护技术,基于限制公布隐私保护技术,限制公布是指有选择公布原始数据、不公布或者公布精度较低敏感数据以实现隐私保护。当前基于限制公布隐私保护方法主要采取数据匿名化技术，即在隐私披露风险和数据精度之间进行折中，有选择地公布敏感数据及可能披露敏感数据信息，但确保敏感数据及隐私披露风险在可容忍范围内。,第28页,29,4.4 数据库隐私,4.4.2,数据库隐私保护技术,基于

18、限制公布隐私保护技术,数据匿名化,基本操作,：,抑制。抑制某数据项,。,泛化。即对数据进行更抽象和概括描述。如把年纪,30,岁泛化成区间,20,40,形式，因为,30,岁在区间,20,40,内。,数据匿名化,标准：,数据匿名化处理原始数据普通为数据表形式，表中每一行是一个统计，对应一个人。每条统计包含多个属性（数据项），这些属性可分为,3,类,第29页,30,4.4 数据库隐私,4.4.2,数据库隐私保护技术,匿名化统计属性,显示标识符（,explicit identifier,）。能唯一表示单一个体属性，如身份证、姓名等。,准标识符（,quasi-identifiers,）。几个属性联合起来

19、能够唯一标识一个人，如邮编，性别，出生年月等联合起来可能是一个准标识符。,敏感属性（,sensitive attribute,）。包含用户隐私数据属性，如疾病、收入、宗教信仰等。,第30页,31,4.4 数据库隐私,4.4.2,数据库隐私保护技术,匿名化统计属性,姓名,年纪,性别,邮编,疾病,Betty,25,F,12300,艾滋病,Linda,35,M,13000,消化不良,Bill,21,M,1,消化不良,Sam,35,M,14000,肺炎,John,71,M,27000,肺炎,David,65,F,54000,胃溃疡,Alice,63,F,24000,流行感冒,Susan,70,F,30

20、000,支气管炎,表,3-2,某医院原始诊疗统计表,第31页,32,4.4 数据库隐私,4.4.2,数据库隐私保护技术,匿名化标准,K-,匿名,。,K-,匿名方法通常采取泛化和压缩技术对原始数据进行匿名化处理方便得到满足,k-,匿名规则匿名数据，从而使得攻击者不能依据公布匿名数据准确识别出目标个体统计,。,组标识,年纪,性别,邮编,疾病,1,2,60,F,1,15000,艾滋病,1,2,60,M,1,15000,消化不良,1,2,60,M,1,15000,消化不良,1,2,60,M,1,15000,肺炎,2,61,75,M,23000,55000,肺炎,2,61,75,F,23000,5500

21、0,胃溃疡,2,61,75,F,23000,55000,流行感冒,2,61,75,F,23000,55000,支气管炎,表,4-4 4-,匿名数据,第32页,33,4.4 数据库隐私,4.4.2,数据库隐私保护技术,匿名化标准,l-diversity,。将原始数据中统计划分成多个等价类，并利用泛化技术使得每个等价类中统计都拥有相同准标识符属性，,l-diversity,规则要求每个等价类敏感属性最少有,l,个不一样值。,表,4-3 3-diversity,年纪,性别,邮编,疾病,25,F,12300,艾滋病,35,M,13000,消化不良,21,M,1,消化不良,35,M,14000,肺炎,7

22、1,M,27000,肺炎,65,F,54000,胃溃疡,63,F,24000,流行感冒,70,F,30000,支气管炎,第33页,34,4.4 数据库隐私,4.4.2,数据库隐私保护技术,匿名化规则,t-closeness,。,t-closeness,规则要求匿名数据中每个等价类中敏感属性值得分布靠近于原始数据中敏感属性值分布，两个分布之间距离不超出阈值,t,。,Anatomy,规则。,Anatomy,首先利用原始数据产生满足,l-diversity,标准数据划分，然后将结果分成两张数据表公布，一张表包含每个统计准标识符属性值和该统计等价类,ID,号，另一张表包含等价类,ID,、每个等价类敏感

23、属性值及其计数。,第34页,35,4.4 数据库隐私,4.4.2,数据库隐私保护技术,数据匿名化算法,基于通用标准匿名化算法,。通常包含泛化空间枚举、空间修剪、选取最优化泛化、结果判断与输出等步骤。基于通用匿名标准匿名算法大都是基于,k-,匿名算法，不一样之处仅在于判断算法结束条件，而泛化策略、空间修剪等都是基本相同。,面向特定目标匿名化算法,。,面向特定目标匿名化算法就是针对特定应用场景隐私化算法。,第35页,36,4.4 数据库隐私,4.4.2,数据库隐私保护技术,数据匿名化算法,基于聚类匿名化算法,。,它,将原始统计映射到特定度量空间，在对空间中点进行聚类来实现数据匿名,。,基于聚类匿名

24、化算法,面临挑战。,怎样对原始数据不一样属性进行加权，因为对属性度量越准确，聚类效果就越好。怎样使不一样性质属性同意映射到同一度量空间。,第36页,37,4.4 数据库隐私,4.4.2,数据库隐私保护技术,数据匿名化场景,图,4-3,数据匿名化场景,第37页,4.5,位置隐私,4.5.1,基本概念,38,第38页,4.5,位置隐私,4.5.1 基本概念,军事和政府产业,GPS系统，最初主要用于军事和包括国家主要利益民用领域,商业领域,信息娱乐服务（娱乐场所查询、广告、社交等），定位服务，追踪服务，道路辅助与导航服务,紧抢救援,1996年,FCC颁布法规要求移动通信运行商为手机用户提供紧急求援服

25、务。欧洲实施“US FCC”标准,39,第39页,4.5,位置隐私,4.5.1,基本概念,用户对自己位置信息掌控能力,是否公布,公布给谁,详细程度,保护位置隐私主要性,三要素：时间、地点、人物,人身安全,隐私泄露,位置隐私面临威胁,通信,服务商,攻击者,40,第40页,4.5,位置隐私,4.5.1,基本概念,位置信息与个人隐私,41,第41页,4.5,位置隐私,移动设备,用户使用移动设备向服务器发送查询。,定位系统,经过定位系统取得查询位置,网络,查询和结果经过网络传输,LBS,服务器,提供基于位置服务,42,4.5.1,物联网中,LBS,体系结构,第42页,物联网中,LBS,通用威胁模型,假

26、定,LBS,服务器是恶意观察者,现实中是一个复杂多方面问题,移动设备可能被俘获，泄露用户信息。,网络传输可能被监听和遭受中间人攻击。,43,第43页,4.5 位置隐私,用户标识,位置数据,LBS,服务提供商,查找离我最近大使馆,搜索去商店路线,44,4.5.1,隐私威胁模型,第44页,4.5 位置隐私,利用,GPS,轨迹数据分析基础交通设施建设情况，更新和优化交通设施,商品连锁店依据用户刷卡情况，分析用户消费习惯等,企业搜集用户轨迹数据,用户标识,轨迹数据,45,第45页,4.5 LBS,和隐私,46,第46页,4.5 物联网中LBS隐私保护,LBS,中隐私问题引发了用户、服务商和政府广泛关注

27、隐私保护问题已成为,LBS,发展瓶颈，是,LBS,应用,亟待,突破主要问题，其主要性和紧迫性不容忽略，直接影响到,LBS,健康发展和普及,47,第47页,4.5,隐私定义,隐私定义,指个人、机构等实体不愿意被外人知晓信息。,个人隐私,数据拥有者不愿意被披露敏感信息,。,位置隐私,指预防未授权实体知道自己当前或过去位置信息能力,。,轨迹隐私,一个特殊位置隐私，指个人轨迹本身含有敏感信息或者由运行轨迹推导出其它个人信息,。,48,第48页,4.5,隐私定义,敏感信息,相关用户时空信息、查询请求内容中包括医疗或金融信息，推断出用户运动模式、用户兴趣兴趣等个人隐私信息。,位置隐私威胁,是指攻击者在某

28、授权情况下经过定位位置传输设备、窃听位置信息传输通道等方式访问到原始位置数据，并计算推理获取与位置相关个人隐私信息,。,49,第49页,4.5,物联网中,LBS,隐私泄露,位置隐私泄露,位置，包含用户过去和现在位置,查询隐私泄露,查询内容，比如，查询离我最近肿瘤治疗医院,轨迹隐私泄露,对轨迹数据攻击性推理和计算能够推导出个人兴趣兴趣，家庭住址，健康情况和政治倾向等,50,第50页,4.5,物联网中,LBS,隐私保护,位置隐私度量,防止用户和某一准确位置相匹配,查询隐私度量,防止用户和某一敏感信息（查询属性、内容）相匹配,轨迹隐私度量,防止用户和某一准确轨迹相匹配,51,第51页,4.5,网联网

29、中,LBS,隐私度量,位置隐私度量,Location k-anonymity,Location l-diversity or Road Segment s-diversity,查询隐私度量,K-anonymity,、,Location entropy,、,Query attribute,轨迹隐私度量,融合攻击者背景知识隐私度量机制,52,第52页,4.5,物联网中,LBS,隐私保护方法,假位置,(Dummy),经过制造假位置，到达以假乱真效果,时空匿名,(spati-temporal cloaking),将用户位置扩展到一个时空区域，到达匿名效果。,空间加密,(Space Encyption)

30、经过对位置加密，到达匿名效果,私有信息检索,(,Private Information Retrieval),把隐私保护转化为,NN,问题，经过加密技术实现,53,第53页,4.5,物联网中,LBS,隐私保护方法,公布假位置,经过提交一些假位置，到达位置匿名效果,54,第54页,4.5,物联网中,LBS,隐私保护方法,空间匿名,把位置点扩展到一个时空区域，到达匿名效果,55,第55页,4.5,物联网中,LBS,隐私保护方法,空间加密,经过对位置加密，到达匿名效果,56,第56页,4.5,物联网中,LBS,隐私保护方法,PIR,允许用户私自从数据库检索信息，而不需要数据库服务器知道用户特定请求

31、信息,Ghinita,G.().Private queries and trajectory anonymization:A dual perspective on location privacy.,Transactions on Data Privacy,2(1):3-19.,57,第57页,4.5,感知隐私保护查询处理,假位置,移动对象数据库中查询处理技术，无需作任何修改,时空匿名,设计基于区域位置查询处理技术，查询结果是一个包含真实结果超集,空间加密,查询技术与使用加密协议相关，如支持检索加密技术,58,第58页,4.5,物联网中,LBS,隐私保护系统结构,独立结构,优点：结构简单，易

32、于配置,缺点：客户端负担较重；,缺乏全局信息，隐蔽性弱。,59,第59页,4.5,物联网中,LBS,隐私保护系统结构,中心服务器结构,优点,（,1,）,减轻了客户端负担,（,2,）含有全局信息，隐私保护效果好,缺点（,1,）成为系统瓶颈,（,2,）成为系统唯一攻击点,60,第60页,4.5,物联网中,LBS,隐私保护系统结构,分布式点对点结构,优点,（,1,）消除唯一攻击点,（,2,）含有全局信息，隐私保护效果好,缺点（,1,）网络通信代价高,匿名组,61,第61页,4.5,物联网中,LBS,隐私保护内容,隐私保护方法,位置隐私保护方法,查询隐私保护方法,轨迹隐私保护方法,感知隐私查询处理,基

33、于区域位置查询处理技术,基于加密位置查询处理技术,隐私度量方法,位置、查询隐私度量,轨迹隐私度量,62,第62页,4.5,物联网中,LBS,隐私保护模型,位置,k-,匿名,当前仅当一个用户位置和其它（,k-1,）用户位,置无法区分时，称该用户满足位置,k-,匿名,63,第63页,4.5,基于四分树隐私保护方法,问题,面对大量移动用户，怎样快速高效为移动用户寻找匿名集,处理方法,位置,k-,匿名中提出了基于四分树方法，即递归式划分空间，直至某一子空间内用户数小于,k,则返回其上一级子空间作为位置匿名区域,K=3,64,第64页,4.5,基于四分树隐私保护方法,缺点,全部移动用户都假定使用同一个系

34、统静态,k,值，不适应个性化隐私需求。,就产生匿名集大小，没有提供任何服务质量确保和评定,处理方法,个性化位置隐私,K-,匿名模型,K=3,65,第65页,4.5,基于个性化位置,k-,匿名模型,问题,怎样为每一个用户提供满足个性化隐私需求匿名方法,处理方法,利用图模型形式化定义此问题，并把寻找匿名集转化为在图中寻找,k-,点团问题,66,第66页,4.5,物联网中,LBS,连续查询隐私保护,问题,位置服务中现有隐私保护工作均针对,snapshot,查询类型,将现有匿名算法直接应用于连续查询会产生查询隐私泄露,A,B,DA,B,FA,C,F=A,Q1,Q2,Q4 Q1,Q2,Q6Q1,Q3,Q

35、 5=Q1,处理方法,连续查询用户在最初时刻形成匿名集在其查询使用期内都有效,67,第67页,68,4.5,轨迹隐私,4.5.3,轨迹隐私保护技术,基本概念,轨迹是指某个移动对象位置信息按时间排序序列。通常情况下，轨迹,T,能够表示为,T,=,q,i,(,x,1,y,1,t,1,),(,x,2,y,2,t,2,),(,x,n,y,n,t,n,).,其中，,q,i,表示该轨迹标识符，它通常代表移动对象、个体或某种服务用户，,(,x,i,y,i,t,i,)(1,in,),表示移动对象在,t,i,时刻位置,(,x,i,y,i,),，也称为采样位置或采样点，,t,i,为采样时间。,轨迹隐私是一个特殊个

36、人隐私，它是指个人运行轨迹本身含有敏感信息，或者由运行轨迹推导出其它个人信息，如家庭地址、工作单位、生活习惯、宗教信仰等,。,第68页,4.5,物联网中,LBS,轨迹隐私保护,基本概念,针对轨迹数据攻击性推理可能造成个人隐私信息暴露,现有位置隐私保护技术并不能处理轨迹隐私泄露问题,处理方法,基于假数据轨迹隐私保护技术,基于泛化轨迹隐私保护技术,基于抑制法轨迹隐私保护技术,69,第69页,4.5,物联网中,LBS,轨迹隐私保护,问题,针对轨迹数据攻击性推理可能造成个人隐私信息暴露,现有位置隐私保护技术并不能处理轨迹隐私泄露问题,处理方法,基于假数据轨迹隐私保护技术,基于泛化轨迹隐私保护技术,基于

37、抑制法轨迹隐私保护技术,70,第70页,4.5,物联网中,LBS,感知隐私查询,问题,怎样在位置被匿名后提供用户满意服务,。,两种位置数据类型：（,1,）公开位置数据。如加油站、旅馆（,2,）隐私位置数据。如个人位置,71,第71页,4.5,物联网中,LBS,隐私度量,问题,隐私保护方法用于实际中时并不能到达理论上隐私保护效果，用户需要当前所用隐私保护程度反馈,怎样评定保护隐私技术水平是否有所提升,处理方法,建立一个隐私度量机制评定服务系统隐私保护效果,位置隐私度量、查询隐私度量,轨迹隐私度量,72,第72页,4.5,物联网中,LBS,隐私度量,隐私度量,建立一个融合攻击者背景知识统一隐私度量

38、框架，提出一些新指标,73,第73页,74,4.6外包 数据隐私,4.6.1,基本概念,数据隐私,外包计算模式下数据隐私含有以下两个独有特点：（,1,）外包计算模式下数据隐私是一个广义隐私，其主体包含自然人和法人（企业）；（,2,）传统网络中隐私问题主要发生在信息传输和存放过程中，外包计算模式下不但要考虑数据传输和存放中隐私问题，还要考虑数据计算和检索过程中可能出现隐私泄露。,表,4-4 4-,匿名数据,第74页,75,4.6外包 数据隐私,4.6.1,基本概念,支持计算加密技术,支持计算加密技术,。,能满足支持隐私保护计算模式要求，经过加密伎俩确保数据机密性，同时密文能支持一些计算功效加密方

39、案统称。,支持计算加密方案,。,（,1,）,密钥生成算法,Gen,为用户,U,产生密钥,Key,；,（,2,）,加密算法,Enc,可能为概率算法；,（,3,）,解密算法,Dec,为确定算法,。（,4,）,密文计算算法,Cal,可能为概率算法。,第75页,76,4.6外包 数据隐私,4.6.2,隐私威胁模型,图,4-13,外包计算模式下隐私威胁模型,第76页,77,4.6外包 数据隐私,4.6.2,隐私威胁模型,数据从数据拥有者传递到服务提供者过程中，外部攻击者能够经过窃听方式盗取数据,；,外部攻击者可经过无授权访问、木马和钓鱼软件等方式来破坏服务提供者对用户数据和程序保护，实现非法访问。,外部

40、攻击者可经过观察用户发出请求，从而取得用户习惯、目标等隐私信息。,因为数据拥有者数据存放在服务提供者存放介质上，程序运行在服务提供者服务器中，所以内部攻击者要发起攻击更为轻易,。,以上,4,种威胁中，前三种是传统网络安全问题，能够经过已经有访问控制机制来限制攻击者无授权访问，经过,VPN,、,OpenSSH,或,Tor,等方法来确保通信线路安全。最终一个威胁是外包计算模式下出现新威胁，也是破坏性最大一个威胁。所以，需要一个技术能够同时抵抗这,4,种威协。,第77页,78,4.6外包 数据隐私,4.6.3,外包数据加密检索,外包数据加密计算模型,加密检索包括到三类实体分别为：,1.,数据拥有者,

41、2.,被授权数据使用者,；,3.,云端服务器。数据拥有者想要将其拥有资料存放在租用云存放服务器端，以供被授权数据使用者使用。但考虑到数据存放在云端时会存在数据泄露可能,，,故其希望能够以加密形式存放在云端。当被授权使用者想要调回数据（文档）时，先对关键字进行加密，再上传至云端，在云端服务器进行处理后，选出需要数据，返回给被授权使用者,。,第78页,79,4.6外包 数据隐私,4.6.3,外包数据加密检索,外包数据加密计算模型,图,4-10,加密检索模型,第79页,80,4.6外包 数据隐私,4.6.3,外包数据加密检索,加密检索分类,按检索关键字个数可分为单关键字加密检索和多关键字加密检索

42、两类。,按检索准确程度可分为准确关键字加密检索和含糊关键字加密检索。,按使用技术伎俩可分为基于密文索引技术加密检索算法，基于保序加密技术加密检索算法和基于同态加密技术加密检索算法,。,第80页,81,4.6外包 数据隐私,4.6.3,外包数据加密检索,加密检索算法,按相关排序检索,图,3-15,关键字索引结构,按,含糊关键字检索,对关键字中每一位进行插入删除替换操作，即枚举每一位上出现不一样字符可能,对需要改变字母用通配符*代替,将需要改变字母删去其余字母位置均不变,第81页,82,4.6外包 数据隐私,4.6.4,外包数据加密计算,外包数据加密计算模型,第82页,83,4.6外包 数据隐私,

43、4.6.4,外包数据加密计算,外包数据加密计算模型,图,4-13,加密计算模型,第83页,84,4.6外包 数据隐私,4.6.3,外包数据加密检索,加密计算分类,对于加密计算可依据其可参加运算和可运算次数分为同态加密计算和全同态加密计算。,同态加密计算,一个加密方案若对,r,1,r,2,r,t,满足,则称该加密方案支持,op,同态运算,.,其中,i,是,ri,密文，,op,表示一类运算,。,同态加密方案通常包含,4,个算法，密钥生成算法,KeyGen,加密算法,Enc,解密算法,Dec,运算算法,Evaluate,。相比于同态加密算法只支持部分运算类型或运算次数有限。全同态加密算法是指能够进行无限次全部运算,。,第84页,85,4.6外包 数据隐私,4.6.3,外包数据加密检索,加密计算算法,Unpadded RSA,第85页,86,4.6外包 数据隐私,Paillier,第86页,87,4.7 本章小结,本章介绍了隐私概念、隐私与信息安全区分以及隐私威胁定义。,着重介绍了隐私保护技术分类和度量标准，分别从数据库隐私、位置隐私、数据隐私三个方面详细介绍它们定义，度量标准、保护技术。,隐私保护是个多学科交叉问题，伴随移动网络、物联网、云计算、服务计算、数据挖掘等新型技术出现和发展，隐私保护研究必将必将面临更大挑战。,第87页,