物联网应用隐私保护技术:

  • 基于身份匿名的隐私保护
  • 数据关联隐私保护
  • 基于位置的隐私保护

1. 基于身份匿名的隐私保护

1.1 身份匿名简易模型

匿名认证技术是指用户可以根据具体场景的要求,向服务提供者证明其拥有的身份拼争属于某个特定的用户集合(有资格访问服务的集合),但服务提供者无法识别出用户究竟是该特定用户集合中的哪一个具体用户。

在这里插入图片描述

1.2 匿名凭证系统

  • 采用匿名认证技术构造的凭证系统称为匿名凭证系统(Anonymous Credential System),亦称假名系统。
  • 匿名凭证系统可以让用户使用不同的假名与不同的机构进行通信,每个机构指导用户的期中一个假名且这些假名具有不可连接性(Unlinkability )。用户可以用某一个假名从一个机构手中获得一个凭证(Credential ) ,然后对另一个机构证明此凭证属于自己却不暴露自己的前一个假名。
    在这里插入图片描述

1.3 匿名验证系统的特性

  • 匿名性:对于某个安全策略,假设拥有该安全策略凭证的所有用户的集合为U则即使凭证签发者与凭证验证者合谋,也无法判定对于该安全策略的属性证明过程究竟为集合U中的哪个用户所执行的
  • 不可伪造性:当且仅当用户拥有合法凭证,且凭证中包含信息满足安全策略时,用户可以生成一个有效的证明a ,使得在凭证验证端校验该证明a为真
  • 不可转让性:匿名凭证系统应避免用户通过共享一些信息使得其他并无凭证的用户可以完成凭证校验过程
  • 属性证明:由于访问控制的需要,通常用户还需要向凭证验证者证明其凭证中包含若干属性信息。
  • 不可关联性:假如同一用户使用同一私钥执行多次凭证签发协议,获取了多个凭证则凭证签发者和验证者无法分辨使用这些凭证进行的多次凭证出示过程是否为同一私钥所对应的凭证所执行。

1.4 群签名

群签名允许一个群的任意一个成员可以代表群进行匿名签名,与其他数字签名一样,群签名是可以公开验证的,而且可以只用单个群公钥来验证,但是这种匿名性是可控制的,当发生争议时,群管理员可以揭露签名者的真实身份。
在这里插入图片描述

1.5 环签名

环签名由环中的一个成员利用它的私钥和其他成员的公钥进行签名,但却不需要征得其他成员的允许,而验证者只知道签名来自这个环,但不知道谁是真正的签名者。
在这里插入图片描述

1.6 零知识证明

证明者能够在不向验证者提供任何有用的信息的情况下,使验证者相信某个论断是正确的,即证明者在证明自己身份时不泄露任何信息,验证者得不到证明者的任何私有信息,但又能够有效证明对方身份的一种方法。

2. 数据关联隐私保护

2.1 基于隐私保护的数据挖掘

基于隐私保护的数据挖掘(Privacy Preserving DataMining )即指采用数据扰乱、数据重构、密码学等隐私保护技术手段,在保证足够精度和准确度的前提下,使数据玩着在不触及实际隐私数据的同时,仍能进行有效的挖掘工作。
在这里插入图片描述

2.2 面向数据收集的隐私保护技术

P3P协议∶服务端先呈现一段机器可读的P3P提议,其中表明了服务器端将对用户哪些隐私数据进行收集、用途、数据存储的方式和时间及数据后续发布策略等;用户代理(如浏览器)负责与服务端或者其他用户代理做异步的协议匹配,以及把P3P提议进行翻译,然后与用户已经制定好的隐私偏好策略进行比较,当两者得以匹配时,则达到了一个所谓P3P认同,并以此指导接下来的数据共享。期中用户数据信息存放在个人数据仓库,一般位于可信任的第三方机构。
在这里插入图片描述

2.3 面向数据传输的隐私保护技术

在这里插入图片描述

2.4 面向数据分发的隐私保护技术

  • 数据扰乱
  • Anatomy方法
  • K-匿名方法
  • L-diversity方法

2.5 数据扰乱

  • 不改变原始数据的整体分布趋势
  • 不能从修正后的数据中直接推算出原始数据值
  • 确保从修正后的数据中挖掘出的知识和规则,具有较高的准确度

数据扰乱方法如下:
在这里插入图片描述

2.6 K-匿名方法

在这里插入图片描述

  • 个人标识付ID:在数据表中,任何情况下都可以直接标识出个人身份的关键属性集,例如姓名、身份证号、银行卡号、手机号码、社会保险号等
  • 准标识符Ql:能够被数据持有者发现并通过与外部信息相链接造成个人隐私信息泄露的全部关键属性集,如出生日期、性别、年龄和居住地邮编等。
  • 隐私敏感属性:不愿意被别人知道的属性集,如病历、用药、收入等
  • K-匿名:一个关系表处理后是K-匿名的,当且仅当对于任何一个敏感属性(如疾病信息)组成的行,至少存在K个完全相同的由所有准标识属性(如邮编、性别、生日)组成的行。

3. 基于位置隐私泄露威胁

3.1 LBS位置隐私泄露威胁

  • 具体空间标识泄露:如果A知道L完全属于用户S,那么A就能推断出S在L内,而且消息是S发送的。
  • 观察标识泄露:如果A观察到S在位置L发送消息M,那么A知道S发送消息M,等价于S公开自己的位置信息和用户ID,那么在S后来发送的消息中,即便是匿名发送,也可以判断出是在位置L发送的
  • 定位跟踪泄露:如果攻击者A已经确定用户S在位置Li,并且能够获取S一系列的位置更新,那么A就能获得实体S去过的素有地方
  • 连接泄露:攻击者可以通过位置链接外部的数据源(或者背景知识),从而确定在该位置或者发送该消息的用户。

3.2 基于位置的隐私保护

  • 基于用户ID的隐私保护
  • 基于位置信息的隐私保护
  • 基于位置隐私保护的查询
  • 轨迹隐私保护

3.3 模糊化位置信息技术

将用户的精确位置用一个包含该用户真实位置的空间来替代,使得位置服务器只能缩小用户的位置范围而不能定位到用户的准确位置(即用一个空间区域来表示用户的真实精确位置)。
在这里插入图片描述

3.4 轨迹隐私保护

  • 基于假数据的轨迹隐私保护
  • 基于抑制法的轨迹隐私保护
  • 基于泛化的轨迹隐私保护

更多推荐