物联⽹安全:位置隐私保护技术69是什么意思知道吗
位置隐私保护是为了防⽌⽤户的历史位置以及现在的位置被不法分⼦或不可信的机构在未经⽤户允许的情况下获取,也是为了阻⽌不法分⼦或不可信的机构根据⽤户位置信息,结合相应的背景知识推测出⽤户的其他个⼈隐私情况,如⽤户的家庭住址、⼯作场所、⼯作内容、个⼈的⾝体状况和⽣活习惯等。下⾯介绍⼏种常⽤的位置隐私保护技术。
01基于⼲扰的位置隐私保护技术
基于⼲扰的隐私保护技术主要使⽤虚假信息和冗余信息来⼲扰攻击者对查询⽤户信息的窃取。根据查询⽤户信息(⾝份信息和位置信息)的不同,基于⼲扰的隐私保护技术⼤致可以分为假名技术和假位置技术两种。
(1)假名技术
假名技术通过分配给⽤户⼀个不可追踪的标志符来隐藏⽤户的真实⾝份,⽤户使⽤该标志符代替⾃⼰的⾝份信息进⾏查询。在假名技术中,⽤户需要有⼀系列的假名,⽽且为了获得更⾼的安全性,⽤户不能长时间使⽤同⼀个假名。假名技术通常使⽤独⽴结构和集中式结构,当在独⽴结构中使⽤时,⽤户何时何地更换假名只能通过⾃⼰的计算和推测来确定,这样就可能在同⼀时刻有两个名字相同的⽤户定位在
不同地点,令服务器和攻击者很轻易地知道⽤户使⽤了假名。⽽在集中式结构中使⽤时,⽤户把更换假名的权利交给匿名服务器,匿名服务器通过周围环境和其他⽤户的信息,能够更好地完成假名的使⽤。
为了使攻击者⽆法通过追踪⽤户的历史位置信息和⽣活习惯将假名与真实⽤户相关联,假名也需要以⼀定的频率定期交换。通常使⽤假名技术时需要在空间中定义若⼲混合区(Mix Zone),⽤户可在混合区内进⾏假名交换,但是不能发送位置信息。
如图1所⽰,进⼊混合区前的假名组合为(user1 user2 user3),在混合区内进⾏假名交换,将会产⽣6种可能的假名组合。由于⽤户在进⼊混合区前后的假名不同,并且⽤户的名字为假名的可能性会随着进⼊混合区的⽤户数⽬成指数增长,因此,在混合区模式下,攻击者很难通过追踪的⽅式将⽤户与假名关联,进⽽即可起到位置隐私保护的效果。
图1 混合区内的假名交换
混合区的⼤⼩设置与空间部署是假名技术的关键所在,因为在混合区内要求不能提交位置信息,所以混合区过⼤会将导致服务质量下降,混合区过⼩会将导致同⼀时刻区内的⽤户较少,进⾏假名交换的效率较低。当混合区内只有⼀个⽤户时,将不会发⽣假名更换,从⽽增⼤了被攻击的可能性。
(2)假位置技术
假位置技术是在⽤户提交查询信息中,使⽤虚假位置或者加⼊冗余位置信息对⽤户的位置信息进⾏⼲扰。假位置技术按照对位置信息的处理结果可分为孤⽴点假位置和地址集两种。
孤⽴点假位置是指⽤户向SP提交当前位置时,不发送⾃⼰的真实位置,⽽是⽤⼀个真实位置附近的虚假位置代替。例如,⽤户⼩张所在的位置是(X,Y),要查询他附近离他最近的KTV,⽤户⼩张发送的查询请求并不是:⼩张,位置(X,Y),“离我最近的KTV”,⽽是会采⽤虚假位置(M,N)代替真实位置,此时他的查询请求就变成了:⼩张,位置(M,N),“离我最近的KTV”。这样,攻击者就会认为处于位置(M,N)处的⼈是⼩张,⽤户⼩张也就成功地隐藏了⾃⼰的真实位置。
地址集则是在发送真实位置的同时,加⼊了冗余的虚假位置信息形成的。将⽤户真实的位置隐藏在地址集中,通过⼲扰攻击者对⽤户真实位置的判断,达到保护⽤户位置信息的⽬的。例如,⽤户⼩张所在的位置是(X,Y),要查询附近离他最近的KTV,这次⽤户⼩张发送的查询请求中,由⼀个包含真实位置(X,Y)的集合代替⽤户所在的位置。因此,他的查询请求就变成了:⼩张,地址集{(X,Y),(X,Y),(X1,Y1),(X2,Y2),(X3,Y3),…},“离我最近的KTV”。这样就可以使攻击者很难从地址集中寻到⽤户的真实位置。但地址集的选择⾮常重要,地址数量过少可能会达不到要求的匿名度,⽽地址数量过多则会增加⽹络传输的负载。采⽤随机⽅式⽣成假位置的算法,能够保证多次查询中⽣成的假位置带有轨迹性。
(3)哑元位置技术
哑元位置技术也是⼀种假位置技术,通过添加假位置的⽅式同样可以实现k-匿名。哑元位置技术要求在查询过程中,除
哑元位置技术也是⼀种假位置技术,通过添加假位置的⽅式同样可以实现k-匿名。哑元位置技术要求在查询过程中,除真实位置外还须加⼊额外的若⼲个假位置信息。服务器不仅响应真实位置的请求,还响应假位置的请求,以使攻击者⽆法从中区分出哪个是⽤户的真实位置。
假设⽤户的初始查询信息为(user_id locreal),locreal为⽤户的当前位置,那么使⽤假位置技术后⽤户的查询信息将变为q*=(user_id,locreal,dummy_loc1,dummy_loc2),其中dummy_loc1和dummy_loc2为⽣成的假位置。
哑元位置技术的关键在于如何⽣成⽆法被区分的假位置信息,若假位置出现在湖泊或⼈烟稀少的⼤⼭中,则攻击者可以对其进⾏排除。假位置可以直接由客户端产⽣(但客户端通常缺少全局的环境上下⽂等信息),也可以由可信第三⽅服务器产⽣。
02基于泛化的位置隐私保护技术
泛化技术是指将⽤户所在的位置模糊成⼀个包含⽤户位置的区域,最常⽤的基于泛化的位置隐私保护技术就是k-匿名技术。k-匿名是指在泛化形成的区域中,包含查询⽤户及其他k-1个⽤户。SP不能把查
有没有好看的动漫询⽤户的位置与区域中其他⽤户的位置区分开来。因此,匿名区域的形成是决定k-匿名技术好坏的重要因素,常⽤集中式结构和P2P结构来实现。
k-匿名技术要求发布的数据中包含k个不可区分的标志符,使特定个体被发现的概率为1/k。在位置隐私保护中,k-匿名通常要求⽣成⼀组包含k个⽤户的查询集,随后⽤户即可使⽤查询集所构成的⼀个共同的匿名区域。图2展⽰了⽤户User1、User2和User3所构成的匿名区域((Xl,Yl),(Xr,Yr))。
图2 混合区内的假名交换
k-匿名技术中通常要求的若⼲参数介绍如下。
①匿名度k:定义匿名集中的⽤户数量。匿名度k的⼤⼩决定了位置隐私保护的程度,更⼤的k值意味着匿名集包含更多的⽤户,这会使攻击者更难进⾏区分。
②最⼩匿名区域Amin:定义要求k个⽤户位置组成空间的最⼩值。当⽤户分布较密集时将导致组成的匿名区域过⼩,即使攻击者⽆法准确地从匿名集中区分⽤户,匿名区域也可能将⽤户的位置暴露给攻击者。
③最⼤延迟时间Tmax:定义⽤户可接受的最长匿名等待时间。
k-匿名技术在某些场景下仍可能导致⽤户的隐私信息暴露。例如,当匿名集中⽤户的位置经纬度信息都可以映射到某⼀具体的物理场所(如医院)时。对此,增强的l-多样性、t-closeness等技术被提出,要求匿名集中⽤户的位置要相隔得⾜够远以致不会处于同⼀物理场所内。
k-匿名技术可以通过匿名服务器来完成匿名集的收集与查询的发送,也可以通过分布式点对点的技术由若⼲客户端组成对等⽹络来完成。
(1)集中式k-匿名
典型的集中式k-匿名是间隔匿名。间隔匿名算法的基本思想为:匿名服务器构建⼀个四叉树的数据结构,将平⾯空间递归地⽤⼗字分成4个⾯积相等的正⽅形区间,直到所得到的最⼩正⽅形区间的⾯积为系统要求的允许⽤户所采⽤的最⼩匿名区⾯积为⽌,每个正⽅形区间对应四叉树中的⼀个节点。系统中的⽤户每隔⼀定的时间就将⾃⼰的位置坐标上报给匿名服务器,匿名服务器更新并统计每个节点对应区间内的⽤户数量。当⽤户U进⾏匿名查询时,匿名器会通过检索四叉树为⽤户U⽣成⼀个匿名区ASR,间隔匿名算法从包含⽤户U的四叉树的叶⼦节点开始向四叉树根的⽅向搜索,直⾄到包含不少于K个⽤户(包括⽤户U)的节点,进⽽即可将该节点所对应的区域作为⽤户U的⼀个匿名区。如图3所⽰,如果⽤户U1发起K=2的匿名查询,则间隔匿名算法将⾸先搜索到象限区间[(0,0),(4,4)],其中包含不少于两个⽤户,然后,向根的⽅向上升⼀级搜索到象限区间[(0,0),(2,2)],
该象限区间包含3个⽤户,⼤于要求的两个,算法停⽌搜索,并将该区间作为⽤户U1的匿名区。由于该算法所得到的匿名区所包含的⽤户数量可能远⼤于K,因此其会加⼤LBS服务器的查询处理负担和⽹络流量负荷。
图3 k-匿名实例
Hilbert匿名算法的基本思想是通过Hilbert空间填充曲线将⽤户的⼆维坐标位置转换成⼀维Hilbert值进⾏匿名,按照曲线
Hilbert匿名算法的基本思想是通过Hilbert空间填充曲线将⽤户的⼆维坐标位置转换成⼀维Hilbert值进⾏匿名,按照曲线通过的顺序对⽤户进⾏编号,此编号即为⽤户的Hilbert值,并把相邻的k个⽤户放⼊同⼀个桶中。匿名集就是包含请求服务的⽤户所在桶内的所有⽤户。计算出匿名集的最⼩绑定矩形并将其作为匿名区。若两个⽤户在⼆维空间中相邻,那么映射到⼀维空间的Hilbert值也有较⼤的概率会相邻。Hilbert匿名算法可以满⾜绝对匿名。如图4所⽰,⽤户U1的匿名度为3,他和他的相邻⽤户U3和U4共同组成了匿名区域。
40岁女人发型图4 Hilbert匿名实例
(2)P2P结构下的k-匿名
基于P2P结构的k-匿名查询算法的基本思想是:假设所有的节点都是可信的。每个⽤户都有两个独⽴的⽆线⽹络,⼀个⽹络⽤于与LBS通信,另⼀个⽹络⽤于P2P通信,并且系统中的⽤户都是安全可信的。⼀个完整的查询过程包括以下3步。
①对等点查询。移动⽤户需要通过单跳或多跳⽹络查不少于k-1个对等点邻居。
②⽣成匿名区。移动⽤户与他所查到的k-1个邻居形成⼀个组,将他准确地隐藏到⼀个覆盖整个组内所有⽤户的区域(即匿名区)中。如果⽣成的ASR⾯积⼩于⽤户所要求的最⼩匿名区⾯积Amin,那么就需要扩⼤这个匿名区ASR到最⼩匿名⾯积Amin。
③选择代理并查询。为了防⽌攻击者通过移动蜂窝定位技术进⾏攻击,移动⽤户需要在所形成的组内随机⼀个对等点邻居并将其作为代理。通过专门⽤于P2P通信的⽹络,将⽣成的匿名区和查询的参数内容告诉代理,由代理通过另⼀个⽹络与LBS服务器联系,发送查询参数和匿名区,并接收候选集,然后代理通过专门⽤于P2P的⽹络将候选集传回查询⽤户。最后查询⽤户对返回的候选集进⾏过滤,得到查询结果。
03基于模糊法的位置隐私保护技术
位置混淆技术的核⼼思想在于通过降低位置精度来提⾼隐私保护程度。⼀种模糊法可将坐标替换为语
义位置,即利⽤带有语义的地标或者参照物代替基于坐标的位置信息,实现模糊化。也有⽤圆形区域代替⽤户真实位置的模糊法技术,此时,将⽤户的初始位置本⾝视为⼀个圆形区域(⽽不是坐标点),并提出3种模糊⽅法:放⼤、平移和缩⼩。利⽤这3种⽅法中的⼀种或两种的组合,可⽣成⼀个满⾜⽤户隐私度量的圆形区域。
例如,可以将由⽤户位置的经纬度坐标转换⽽来的包含该位置的圆形或矩形区域作为⽤户的位置进⾏提交。当提交查询时,我们使⽤圆形区域C1替换⽤户的真实位置(X,Y)。
五一法定假日大乐透中奖规则表此外,还可以采⽤基于物理场所语义的位置混淆技术,该技术会提交⽤户所在的场所⽽不是⽤户的具体坐标。例如,使⽤在西安交通⼤学校园内的语义地点“图书馆”替换我的具体坐标;也可以使⽤“兴庆公园”内的⿊点位置所⽰⽤户,发起查询“最近加油站”的位置服务。
混淆技术的关键在于如何⽣成混淆空间。⽤户总是在混淆区域的中间位置,或混淆区域中⼤部分区域是⽤户⽆法到达的河流等场所,亦或混淆区域内⼈⼝相对稀疏,这些都会增加攻击者发现⽤户真实位置的可能性。
⼤多数模糊法技术⽆须额外信息辅助,即可在⽤户端直接实现,因此它们多使⽤独⽴结构。
与泛化法不同,多数模糊法技术没有能⼒对LBS返回的结果进⾏处理,往往会产⽣⽐较粗糙的LBS结
果。例如,使⽤图5中兴庆公园模糊化⽤户请求“最近加油站”时,事实上S1是最近的加油站,当将C1作为其模糊区域时能够寻到正确结果;但当将隐私程度更⾼的C2作为模糊区域时,SP将把S2作为结果返回。所以,虽然C2的半径⼤于C1的半径,这使得隐私程度提⾼,但此时SP没有最好地满⾜⽤户需求。模糊法技术应解决如何在“保证LBS服务质量”和“满⾜⽤户隐私需求”之间寻求平衡的问题。解决该问题的⼀种⽅式是在SP和⽤户之间采⽤迭代询问的⽅法,不断征求⽤户是否同意降低其隐私度量,在有限次迭代中尽可能地提⾼服务质量。
图5 基于模糊法的隐私保护技术
04基于加密的位置隐私保护技术
在基于位置的服务中,基于加密的位置隐私保护技术将⽤户的位置、兴趣点加密后,即会在密⽂空间内进⾏检索或者计算,⽽SP则⽆法获得⽤户的位置以及查询的具体内容。两种典型的基于加密的位置隐私保护技术分别是基于隐私信息检索(Private Information Retrieval,PIR)的位置隐私保护技术和基于同态加密的位置隐私保护技术。
(1)基于隐私信息检索(PIR)的位置隐私保护技术
PIR是客户端和服务器通信的安全协议,能够保证客户端在向服务器发起数据库查询时,客户端的私
有信息不被泄露给服务器的条件下完成查询并返回查询结果。例如,服务器S拥有⼀个不可信任的数据库DB,⽤户U想要查询数据库DB[i]中的内容,PIR可以保证⽤户能以⼀种⾼效的通信⽅式获取到DB[i],同时⼜不让服务器知道i的值。
在基于PIR的位置隐私保护技术中,服务器⽆法知道移动⽤户的位置以及要查询的具体对象,从⽽防⽌了服务器获取⽤户的位置信息以及根据⽤户查询的对象来确定⽤户的兴趣点并推断出⽤户的隐私信息。其加密思想如图6所⽰:⽤户想要获得SP服务器数据库中位置i处的内容,⽤户⾃⼰将查询请求加密得到Q(i),并将其发送给SP,SP在不知道i的情况下到X,将结果进⾏加密R(X,Q(i))并返回给⽤户,⽤户可以轻易地计算出Xi。包括SP在内的攻击者都⽆法通过解析得到i,因此⽆法获得查询⽤户的位置信息和查询内容。
图6 PIR⽅案
PIR可以保证⽤户的请求、信息的检索以及结果的返回都是安全可靠的。但是,PIR要求SP存储整个区域的兴趣点和地图信息,这使存储空间和检索效率受到了极⼤挑战。如何设计出更合适的存储结构及检索⽅式是PIR要继续研究的重点。
(2)基于同态加密的位置隐私保护技术
同态加密是⼀种⽀持密⽂计算的加密技术。对同态加密后的数据进⾏计算等处理,处理的过程不会泄露任何原始内容,处理后的数据⽤密钥进⾏解密,得到的结果与没有进⾏加密时的处理结果相同。基于同态加密的位置隐私保护最常⽤的场景是邻近⽤户相对距离的计算,它能够实现在不知道双⽅确切位置的情况下,计算出双⽅间的距离,如的“摇⼀摇”功能。Paillier同态加密是基于加密隐私保护技术常⽤的同态加密算法,最为典型的有Louis协议和Lester协议。Louis 协议允许⽤户A计算其与⽤户B的距离,Lester协议规定只有当⽤户A和⽤户B之间的距离在⽤户B设置的范围内时,才允许⽤户A计算两者之间的距离。
05位置隐私攻击模型
⽹络中的攻击者是⽤户位置隐私最⼤的威胁来源。攻击者针对不同的位置隐私保护技术形成了不同的攻击模型。这些攻击模型根据攻击者的⾏为主要可分为主动攻击模型和被动攻击模型。
1. 主动攻击模型
攻击者向受害⽤户或LBS服务器发送恶意的信息,从⽽获取⽤户的位置信息或者⼲扰⽤户使⽤LBS服务。主要包括伪装⽤户攻击和信息洪⽔攻击。
(1)伪装⽤户攻击
伪装⽤户攻击主要针对基于P2P结构的位置隐私保护技术。在P2P结构下,同⼀⽹络中的⽤户相互信任。攻击者可以假扮⽤户的好友或其他普通⽤户,也可以在该⽹络中的⽤户的移动设备中植⼊病毒来控制这些设备。这时攻击者会主动向受害者⽤户提出协助定位申请,由于得到受害⽤户的信任,攻击者可以轻松地获取⽤户精确的位置信息。
伪装⽤户攻击对于基于同态加密的位置隐私保护技术也有很好的攻击效果。当攻击者得到受害⽤户信任或距离受害⽤户的距离在受害⽤户设置的限定范围之内时,攻击者可以计算得知他与受害者的相对距离。根据三⾓定位原理,攻击者在成功取得3次及以上相对距离的时候,经过简单的计算就可以得知受害⽤户的精确位置。
⽬前已有的位置隐私保护算法中还没有能够很好地解决伪装⽤户攻击的⽅法。
(2)信息洪⽔攻击
信息洪⽔攻击的原理是拒绝服务。在独⽴结构和集中式结构中,攻击者向LBS服务器发送⼤量的LBS请求,占⽤LBS服务器的带宽和流量,以影响LBS服务器对受害⽤户的服务效率。在P2P结构中,由于⽤户之间可以发送协助定位申请,因此攻击者可直接向受害⽤户发送⼤量的协助定位申请,这些申请会像洪⽔⼀样涌向受害⽤户,受害⽤户不仅需要接受这些信息,还需要对这些信息进⾏处理和转发。数量巨⼤的信息会导致受害⽤户的移动⽹络阻塞,甚⾄会导致移动设备崩溃。
2. 被动攻击模型
被动攻击是指攻击者被动收集受害⽤户的信息,并通过收集到的信息来推断⽤户的真实位置。被动攻击主要包括基于历史信息的攻击、基于语义信息的攻击和基于社交关系的攻击。
(1)基于历史信息的攻击
基于历史信息的攻击主要通过收集受害⽤户相关的历史信息,分析⽤户对LBS的使⽤习惯来推测⽤户的具体位置。其中历史信息包括受害⽤户之前发起LBS请求的时间、内容、频率等。例如,如果受害⽤户经常在晚上或者周末在不同的地点使⽤导航到达同⼀地点,则该地点很可能是受害⽤户的家庭住址。同理,如果受害⽤户经常在⼯作⽇查询某⼀地点附近的餐厅,则该地点很可能是⽤户的⼯作地点。
十大喷毒眼镜蛇(2)基于语义信息的攻击
(3)基于社交关系的攻击
基于社交关系的攻击主要利⽤了如今发达的社交⽹络。⾸先攻击者收集受害⽤户的社交信息,通过对其社交⽹络中的其他⽤户进⾏攻击以间接地攻击该受害⽤户。如果⽤户甲对⾃⼰的位置隐私保护⾮常重视,攻击者很难直接对⽤户甲进⾏攻击,⽽通过社交⽹络了解到,⽤户甲和⽤户⼄是同事,则攻击
者就可以对⽤户⼄实施攻击,通过获取⽤户⼄的⼯作地点来推断出⽤户甲的⼯作地点。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论