第7章-7.4-位置信息与隐私保护

7.4位置信息与隐私保护计算机学院李永忠学习任务位置服务隐私保护物联网隐私保护123本节主要涉及：4物联网中位置服务与隐私保护技术7.4位置信息与隐私保护7.4.3物联网隐私保护•隐私保护技术需要在保护数据隐私的同时不影响数据应用。根据采用技术的不同，出现了数据失真、数据加密、限制发布等隐私保护技术。7.4位置信息与隐私保护物联网隐私保护•在物联网发展过程中,大量的数据涉及到个体隐私问题(如个人出行路线、消费习惯、个体位置信息、健康状况、企业产品信息等)],物联网可以得到广泛应用必备的条件之一便是保护隐私。•如果无法保护隐私，物联网可能面临由于侵害公民隐私权从而无法大规模商用化。因此隐私保护是必须考虑的一个问题。7.4位置信息与隐私保护•业务应用常依赖地点作为判定决策的参变量，手机用户通过手机查询远程数据库，寻找的离自己最近的事件地点，例如，火车站、加油站等。•这项业务依赖当时用户所处的地点。但是，使用手机查询的客户却不希望泄露自己的地理位置，从而保护自己不受到跟踪。7.4位置信息与隐私保护•保护用户的地点隐私就成为普适计算应用的重要问题之一。•这个问题可以叙述为使用用户的地点信息，但是不把地点信息透漏给服务的提供者或者第三方。•这类隐私保护问题可以采用计算几何方法解决。在移动通信的场景下，对于地点以及2G／3G移动系统的身份隐私问题，可以使用安全多方计算解决空间控制和地点隐私的方案，隐私保护协议描述为三路身份认证。7.4位置信息与隐私保护•同样，在近距离通信环境中，RFID芯片和RFID阅读器之间通信时，由于RFID芯片使用者的距离和RFID阅读器太近,以至于阅读器的地点无法隐藏.•保护使用者的地点的惟一方法便是使用安全多方计算的临时密码组合保护并隐藏RFID的标识。7.4位置信息与隐私保护从技术角度看,当前隐私保护技术主要有2种方式:•1)采用匿名技术,主要包括基于代理服务器、路由和洋葱路由的匿名技术。•2)采用署名技术,主要是P3P技术即隐私偏好平台。然而P3P仅仅是增加了隐私政策的透明性,使用户可以清楚地知道个体的何种信息被收集、用于何种目的以及存储多长时间等,其本身并不能保证使用它的各个web站点是否履行其隐私政策。7.4位置信息与隐私保护除了上述2种方式外,隐私保护技术还有2个主要的发展方向:•一是对等计算(peertopeer,P2P),指通过直接交换共享计算机资源和服务;•二是语义web,语义web是通过规范定义和组织信息内容,使之具有语义信息,能被计算机理解,从而实现与人的沟通。7.4.4物联网中位置服务与隐私保护技术•隐私保护不是指要保护用户的个人信息不被他人使用，而是指用户对个人信息进行有效控制的权利。•位置信息是一种特殊的个人隐私信息，对其进行保护就是要给予所涉及的个人决定和控制自己所处位置的信息何时、如何及在何种程度上被他人获知的权利。7.4.4物联网中位置服务与隐私保护技术•目前，已有多种针对LBS中用户位置信息的隐私保护方法，如通过立法或行业规范的方式进行保护、通过匿名的方式进行保护、通过区域模糊的方式进行保护、通过隐私策略的方式进行保护等。•用户分别设置相应的隐私策略来保护个人的隐私成为目前众多隐私信息保护方法中最有效的方法之一。7.4.4物联网中位置服务与隐私保护技术LBS位置服务LBS作为多种技术的交叉点7.4.4物联网中位置服务与隐私保护技术1.基于位置的服务与隐私•很多调查研究显示，消费者非常关注个人隐私保护。•欧洲委员会通过的《隐私与电子通信法》中对于电子通信处理个人数据时的隐私保护问题给出了明确的法律规定。•明确指出位置数据只有在匿名或用户同意的前提下才能被有效并必要的服务使用。这突显了位置隐私保护的重要性与必要性。7.4.4物联网中位置服务与隐私保护技术2.隐私泄露•基于位置服务中的隐私内容涉及两个方面：位置隐私和查询隐私。位置隐私中的位置指用户过去或现在的位置；查询隐私指涉及敏感信息的查询内容，如查询距离我最近的艾滋病医院。•任何一种隐私泄露，都有可能导致用户行为模式、兴趣爱好、健康状况和政治倾向等个人隐私信息的泄露。•所以，位置隐私保护即防止用户与某一精确位置匹配；类似地，查询隐私保护要防止用户与某一敏感查询匹配。7.4.4物联网中位置服务与隐私保护技术3.位置服务VS隐私保护•我们似乎正面临一个两难的抉择。一方面，定位技术的发展让我们可以随时随地获得基于位置的服务；而另一方面，位置服务又将泄露我们的隐私……•当然，你可以放弃隐私，获得精确的位置，享受完美的服务；或者，你可以关掉定位设备，为了保护隐私而放弃任何位置服务。•是否存在折中的方法，即在保护隐私的前提下享受服务呢？可以，位置隐私保护研究所做的工作就是要在隐私保护与享受服务之间寻找一个平衡点。7.4.4物联网中位置服务与隐私保护技术4.隐私保护方法•为对LBS服务中的用户位置隐私进行保护，整个使用过程分为2部分：访问权限设置和访问控制决策。•首先，所有某一位置信息相关的隐私相关者设置相对于该位置信息对所有信息请求者的访问权限。通过权限的设置，隐私相关者可以设置哪些信息请求者、可以在什么环境下(如时间、地点等)获取该位置信息的全部或某些部分。7.4.4物联网中位置服务与隐私保护技术•在访问控制矩阵中设置了所有的权限之后，访问决策部分对访问请求者提出的具体的访问请求按照矩阵中的设置做出具体的允许或拒绝访问的决策。•在每次信息访问请求者提出访问位置信息的请求时，系统中的访问控制决策机制将查询设置在三维访问控制矩阵中的隐私权限，并根据隐私权限确定允许或拒绝访问请求。7.4.4物联网中位置服务与隐私保护技术下面将介绍在基于位置服务中的三种基本的隐私保护方法。1.假位置•第一种方法是通过制造假位置达到以假乱真的效果。如在下图中，用户寻找最近的餐馆。白色方块是餐馆位置，红色点是用户的真实位置。当该用户提出查询时，为其生成两个假位置，即哑元（如图中的黑色点）。真假位置一同发送给服务提供商。从攻击者的角度，同时看到三个位置，无法区分哪个是真实的哪个是虚假的。7.4.4物联网中位置服务与隐私保护技术假位置7.4.4物联网中位置服务与隐私保护技术2.时空匿名•第二种方法是时空匿名，即将一个用户的位置通过在时间和空间轴上扩展，变成一个时空区域，达到匿名的效果。以空间匿名为例，延续上图寻找餐馆的例子，当用户提出查询时，用一个空间区域表示用户位置，如下图中的红色框。从服务提供商角度只能看到这个区域，无法确定用户是在整个区域内的哪个具体位置上。7.4.4物联网中位置服务与隐私保护技术时空匿名7.4.4物联网中位置服务与隐私保护技术3.空间加密第三种方法是空间加密，即通过对位置加密达到匿名的效果。•继续前面的例子，首先将整个空间旋转一个角度（如图10.10），在旋转后的空间中建立希尔伯特（Hilbert）曲线。•每一个被查询点P（即图10.10中的白色方块）对应的希尔伯特值如该点所在的方格数字所示。7.4.4物联网中位置服务与隐私保护技术•当某用户提出查询Q时，计算出加密空间中Q的希尔伯特值。•在此例子中，该值等于2。寻找与2最近的希尔伯特值所对应的P，即P1。将P1返回给用户。•由于服务提供商缺少密钥，在此例子中即旋转的角度和希尔伯特曲线的参数，故无法反算出每一个希尔伯特值的原值，从而达到了加密的效果。7.4.4物联网中位置服务与隐私保护技术加密7.4.4物联网中位置服务与隐私保护技术感知隐私的查询处理•在基于位置的服务中，隐私保护的最终目的仍是为了查询处理，所以需要设计感知隐私保护的查询处理技术。根据采用匿名技术的不同，查询处理方式也不同：•如果采用的是假数据，则可采用移动对象数据库中的传统查询处理技术，因为发送给位置数据库服务器的是精确的位置点。7.4.4物联网中位置服务与隐私保护技术•如果采用时空匿名，由于查询处理数据变成了一个区域，所以需要设计新的查询处理算法。•这里的查询处理结果是一个包含真实结果的超集。如果采用空间加密技术，查询处理算法与使用的加密协议有关。7.4.4物联网中位置服务与隐私保护技术隐私度与效率对比•从匿名效率和隐私度两方面对上述三种隐私保护方法进行对比，可以看出加密是安全度最高的方法，但是加密解密效率较低；•生成假数据的方法最简单、高效但隐私保护度较低，可根据用户长期的运动轨迹判断出哪些是假数据；•从已有的工作来看，时空匿名在隐私度与效率之间取得了较好的平衡，也是普遍使用的匿名方法。7.4.4物联网中位置服务与隐私保护技术隐私度与效率对比7.4.4物联网中位置服务与隐私保护技术6.存在的挑战（1.）隐私保护与位置服务是一对矛盾；（2）基于位置服务的请求，具有在线处理的特点，故位置匿名具有实时性要求；（3）基于位置服务中的对象，位置频繁更新；（4）不同用户的隐私要求大相径庭，所以隐私保护需要满足个性化的需求。7.4.4物联网中位置服务与隐私保护技术隐私保护系统结构•隐私保护系统基本实体包括移动用户和位置服务提供商，它具有如下有四种结构：独立结构、中心服务器结构、主从分布式结构和移动点对点结构。1.独立式结构•独立结构是仅有客户端（或者移动用户）与位置服务器的客户端/服务器（Client/Server，C/S）结构。由移动用户自己完成匿名处理和查询处理的工作。该结构简单，易配置，但是增加了客户端负担，并且缺乏全局信息，隐私的隐秘性弱。7.4.4物联网中位置服务与隐私保护技术2.中心服务器结构•与独立结构相比，中心服务器结构在移动用户和服务提供商之间加入了第三方可信匿名服务器，由它完成匿名处理和查询处理工作。•该结构具有全局信息，所以隐私保护效果较上一种好。但是由于所有信息都汇聚在匿名服务器，故可能成为系统处理瓶颈，且容易遭到攻击。7.4.4物联网中位置服务与隐私保护技术3.主从分布式结构•为了克服中心服务器的缺点，研究人员提出了类似主从分布式结构。移动用户通过一个固定的通信基础设施（如基站）进行通信。•基站也是可信的第三方，与前者的区别在于它只负责可信用户的认及将所有认证用户的位置索引发给提出匿名需求用户。•位置匿名和查询处理由用户或者匿名组推举的头节点完成。该结构的缺点是网络通信代价高。7.4.4物联网中位置服务与隐私保护技术4.移动点对点结构•移动点对点结构与分布式结构工作流程类似，惟一不同的是它没有固定的负责用户认证的通信设施，而是利用多跳路由寻找满足隐私需求的匿名用户。•所以它拥有与分布式结构相同的优缺点7.4.4物联网中位置服务与隐私保护技术隐私保护研究内容1.隐私保护模型•k-匿名是隐私保护中普遍采用的方法。位置k-匿名的基本思想是让一个用户的位置与其他（k-1）用户的位置无法区别。•以位置3-匿名为例（如下图），将三个单点用户用同一个匿名区域表示，攻击者只知道在此区域中有3个用户，具体哪个用户在哪个位置，无法确定，达到了位置隐私保护目的。7.4.4物联网中位置服务与隐私保护技术位置3匿名7.4.4物联网中位置服务与隐私保护技术2.基于四分树的隐私保护方法•最早的匿名算法是基于四分树的隐私保护方法。它解决了面对大量移动用户高效寻找满足位置k-匿名模型的匿名集的问题。•其解决方法是：自顶向下地划分整个空间，如果提出查询的用户所在的区域的用户数大于ｋ，将整个空间等分为4份，重复这一步，直至用户所在的区域所包含的用户数小于ｋ，返回四分树的上一层区域，将其作为匿名区域返回。7.4.4物联网中位置服务与隐私保护技术基于四分树的匿名方法7.4.4物联网中位置服务与隐私保护技术3.个性化隐私需求匿名方法•在隐私保护中，不同的用户有不同的位置k-匿名需求，因此需要解决满足用户个性化隐私需求的位置k-匿名方法。•其解决方法是利用图模型形式化定义此问题，并把寻找匿名集的问题转化为在图中寻找k-点团的问题。7.4.4物联网中位置服务与隐私保护技术•下图中，点是用户提出查询时的位置，k表示用户的最小隐私需求，圆圈代表用户可接受的最差服务质量。•当新的对象m到达时，根据用户的隐私和质量要求，更新已有图，并找出m所在团。将覆