《物联网信息安全》(桂小林版)(第4章)

5
4.1 隐私的定义
什么是隐私？
狭义的隐私是指以自然人为主体而不包括商业秘密在内 的个人秘密。 广义隐私的主体是自然人与法人，客体包括商业秘密。 简单来说，隐私就是个人、机构或组织等实体不愿意被 外部世界知晓的信息。在具体应用中，隐私为数据拥有 者不愿意被披露的敏感信息，包括敏感数据以及数据所 表征的特性，如个人的兴趣爱好、身体状况、宗教信仰 、公司的财务信息等。
机密性。数据必须按照数据拥有者的要求保证一 定的秘密性，不会被非授权的第三方非法获知。
完整性。完整性是指信息安全、精确与有效，不 因为人为的因素而改变信息原有的内容、形式和 流向，即不能被未授权的第三方修改。 可用性。保证数据资源能够提供既定的功能，无 论何时何地，只要需要即可使用，而不因系统故 障和误操作等使资源丢失或妨碍对资源的使用。
26
4.4 数据库隐私
4.4.2 数据库隐私保护Байду номын сангаас术
基于数据加密的隐私保护技术
分布式关联规则挖掘。在分布式环境下，关联规则挖掘 的关键是计算项集的全局计数，加密技术能保证在计算项 集计数的同时，不会泄露隐私信息。 分布式聚类。基于隐私保护的分布式聚类的关键是安全的 计算数据间距离，有Naï ve聚类模型两种模式和多次聚类 模型，两种模型都利用了加密技术实现信息的安全传输。
本章将介绍隐私的概念、度量、威胁；重点介绍数据库隐 私、位置隐私和数据隐私等的相关内容。
4
4.1 隐私的定义
什么是隐私？
据文献记载，隐私的词义来源于西方，一般认为最早关 注隐私权的文章是美国人沃论（Samuel D•Warren） 和布兰戴斯（Louis D•Brandeis）发表的≪隐私权≫ （The Right to Privacy）。 2002年全国人大起草《民法典草案》，对隐私权保护 的隐私做了规定，包括私人信息、私人活动、私人空间 和私人的生活安宁等四个方面。 王利明教授在《隐私权的新发展》中指出“隐私是凡个 人不愿意对外公开的、且隐匿信息不违反法律和社会公 共利益的私人生活秘密，都构成受法律保护的隐私”。
25
4.4 数据库隐私
4.4.2 数据库隐私保护技术
基于数据加密的隐私保护技术
分布式匿名化。匿名化就是隐藏数据或数据来源。因
为大多数应用都需要对原始数据进行匿名处理以保证敏感 信息的安全，并在此基础上进行挖掘、发布等操作。
表4-1 分布式k-匿名算法
输入： 站点S1,S2，数据{ID,A1,A2,…,An}，{ ID,B1,B2,…,Bn} 输出： k-匿名数据表T* 过程：1. 2个站点分别产生私有密钥K1和K2，且满足：E K1(EK2(D)) = EK2(E K1(D))，其中D为任意数据; 2. 表T* ← NULL； 3. while T*中数据不满足k-匿名条件 do 4. 站点i(i=1或2) 4.1 泛化{ID,A1,A2,…,An}为{ID,A1*,A2*,…,An*}，其中A1*表示A1泛化后的值； 4.2 {ID,A1,A2,…,An}←{ID,A1*,A2*,…,An*} 4.3 用Ki加密{ID,A1*,A2*,…,An*}并传递给另一站点； 4.4 用Ki加密另一站点加密的泛化数据并回传； 4.5 根据两个站点加密后的ID值对数据进行匹配，构建经K1和K2加密后的数据表T*{ID,A1*,A2*,…,An*， ID,B1,B2,…,Bn} 5. end while
基于空间加密的方法。通过对位置加密达到匿名 的效果。
16
4.3 隐私威胁
4.3.2 隐私保护技术
数据库隐私保护技术
基于数据失真的技术。使敏感数据失真但同时保 持某些数据或数据属性不变的方法。如采用添加 噪声、交换等技术对原始数据进行扰动处理，但 要求保证处理后的数据仍然可以保持某些统计方 面的性质，以便进行数据挖据等操作。
15
4.3 隐私威胁
4.3.2 隐私保护技术
位置隐私保护技术
基于隐私保护策略的技术。通过制定一些常用的 隐私管理规则和可信任的隐私协定来约束服务提 供商能公平、安全的使用个人位置信息。 基于匿名和混淆技术的技术。利用匿名和混淆技 术分隔用户身份标识和其所在的位置信息、降低 用户位置信息的精度以达到隐私保护的目的。
支持检索的加密技术。指数据在加密状态下可以 对数据进行精确检索和模糊检索，从而保护数据 隐私的技术。
18
4.4 数据库隐私
4.4.1 基本概念和威胁模型
隐私保护技术集中在数据挖掘和数据发布两个领域
数据挖掘中的隐私保护 。是如何在保护用户隐私 的前提下，能进行有效的数据挖掘。
数据发布中的隐私保护。是如何在保护用户隐私 的前提下，发布用户的数据以供第三方有效的研 究和使用。 Alice
Bob 数据发布 Cathy Doug 数据接收者 数据收集 数据发布
20
4.4 数据库隐私
4.4.2 数据库隐私保护技术
基于数据失真的隐私保护技术
通过扰动原始数据来实现隐私保护，扰动后的数据 满足：
攻击者不能发现真实的原始数据。
经过失真处理后的数据要能够保持某些性质不变
21
4.4 数据库隐私
3-2（a）随机扰动过程
输入
1. 随机扰动后的数据x1+y1,x2+y2,…,xn+yn 2. 扰动数据的分布Y 原始数据分布X
3-2 (b)重构过程
输出
输出
随机应答
22
4.4 数据库隐私
4.4.2 数据库隐私保护技术
基于数据失真的隐私保护技术
阻塞与凝聚。将原始数据记录分成组，每一组内 存储由k条记录产生的统计信息，包括每个属性 的均值、协方差等。
Bob 数据发布 Cathy Doug 数据接收者 数据收集 数据发布
19
4.4 数据库隐私
4.4.1 基本概念和威胁模型
隐私保护技术集中在数据挖掘和数据发布两个领域
数据挖掘中的隐私保护 。是如何在保护用户隐私 的前提下，能进行有效的数据挖掘。
数据发布中的隐私保护。是如何在保护用户隐私 的前提下，发布用户的数据以供第三方有效的研 究和使用。 Alice
13
4.3 隐私威胁
4.3.1 隐私威胁模型 用户在网络中使用数据库、位置服务、数据等资 源时，会在网络中留下大量的个人信息，而网络 实体、服务提供商以及网络侦听者等都可能是不 可信。它们 会通过这些个人遗留在网络中的信息 ，推理用户的个人敏感信息，对用户的隐私构成 严重的威胁。 为了保护个人隐私，需要保护用户的私人数据不 被泄露给不可信的第三方。
7
4.1 隐私的定义
隐私分类
共同隐私（Corporate privacy: 共同隐私不仅包含个 人隐私，还包含所有个人共同表现出来但不愿被暴露的 信息，如公司员工的平均薪资、薪资分布等信息。
8
4.1 隐私的定义
什么是隐私权？
隐私权：个人信息的自我决定权 ，包含个人信息、身体、财
产或者自我决定等。
4.2.2 隐私度量标准
数据库隐私度量标准
隐私保护度。通常通过发布数据的披露风险来反 映。披露风险越小，隐私保护度越高。
数据的可用性。对发布数据质量的度量，它反映 通过隐私保护技术处理后数据的信息丢失。数据 缺损越高，信息丢失越多，数据利用率越低。
11
4.2 隐私度量
4.2.2 隐私度量标准
位置隐私度量标准
根据本章文献，参阅一篇感兴趣的文献并总结。
3
第四章 隐私安全
隐私对个人发展及建立社会成员之间的信任都是绝对重要 和必不可少的。它对个人而言是非常重要的，且被社会所尊重 ，已被国际公认是个人的自然权力。
然而，随着智能手机、无线传感网络、RFID等信息采集 终端在物联网中的广泛应用，物联网中将承载大量涉及人们日 常生活的隐私信息（如位置信息、敏感数据等），隐私保护问 题也显得越来越重要。如不能很好地解决隐私保护问题，人们 对隐私泄露的担忧势必成为物联网推行过程的最大障碍之一。
物联网与隐私
•不当使用会侵害隐私 •恰当的技术可以保护隐私
4.2 隐私度量
4.2.1 隐私度量的概念
隐私度量是指用来评估个人的隐私水平及隐私保 护技术应用于实际生活中能达到的效果，同时也 为了测量“隐私”这个概念。 本书主要从数据库隐私、位置隐私、数据隐私三 个方面介绍隐私度量方法及标准
10
4.2 隐私度量
6
4.1 隐私的定义
隐私分类
个人隐私（Individual privacy）：一般是指数据拥 有者不愿意披露的敏感信息，如个人的兴趣爱好、健康 状况、收入水平、宗教信仰和政治倾向等。在个人隐私 的概念中主要涉及4个范畴：①信息隐私、收集和处理 个人数据的方法和规则，如个人信用信息、医疗和档案 信息，信息隐私也被认为数据隐私；②人身隐私，对涉 及侵犯个人物理状况相关信息，如基因测试等；③通信 隐私，邮件、电话、电子邮件以及其它形式的个人通信 的信息；④空间信息，对干涉自有地理空间的制约，包 括办公场所、公共场所，如搜查、跟踪、身份检查等。
14
4.3 隐私威胁
4.3.2 隐私保护技术
数据库隐私保护技术
基于数据失真的技术。使敏感数据失真但同时保 持某些数据或数据属性不变的方法。如采用添加 噪声、交换等技术对原始数据进行扰动处理，但 要求保证处理后的数据仍然可以保持某些统计方 面的性质，以便进行数据挖据等操作。
基于数据加密的技术。采用加密技术在数据挖掘 过程中隐藏敏感数据的方法，多用于分布式应用 环境，如安全多方计算
4.4.2 数据库隐私保护技术
基于数据失真的隐私保护技术
随机化。数据随机化就是在原始数据中加入随机 噪声，然后发布扰动后的数据。
随机扰动
输入 1. 原始数据x1,x2,…,xn,服从未知X分布 2. 扰动数据y1,y2,…,yn,服从特定Y分布 随机扰动后的数据x1+y1,x2+y2,…,xn+yn