《位置大数据隐私管理》—— 2.4 位置依赖攻击

2.4 位置依赖攻击

2.1节至2.3节中介绍的攻击模型仅关注快照(snapshot)位置,若用户位置发生连续更新将产生新的攻击模型,典型的攻击模型有位置依赖攻击和连续查询攻击。本节先介绍位置依赖攻击,2.5节将介绍连续查询攻击模型。
位置依赖攻击模型也被称为基于速度的连接攻击模型,指当攻击者获知用户的运动模式(如最大运动速度)时产生的位置隐私泄露现象。具体来讲,根据用户的最大运动速度,可得到用户在某一时间段内的最大可达范围。因此,可以将用户的位置限制在最大可达到的区域与第二次发布的匿名区域的交集中,进而产生位置隐私泄露[57, 54]。在位置依赖攻击中,攻击者的背景知识包括历史匿名区域组成的集合和用户的最大运动速度。定义2-14给出了位置依赖攻击的形式化定义。
位置依赖攻击:假设

  • 用户u在时刻ti和tj的匿名区域分别是 和 。
  • 用户u的最大运动速度为vu。

则称用户u的位置隐私受到威胁,称此攻击为位置依赖攻击。
位置依赖攻击表达的语义是:如果攻击者知道用户上一个时刻匿名区域 和最大运动速度vA,则用户A在ti+1的位置被限定于最大运动边界(Maximum Movement Boundary,MMB) 当中。从而攻击者可以推测出用户在ti+1时刻一定位于 和 的交集中。类似地,攻击者通过用户在ti+1时刻发布的匿名区域 可以得到从时刻ti到ti+1期间,用户A可以从哪些位置到达 中,形成匿名集。所以用户A在上一个时刻ti被限定于 和 的交集中。在最坏情况下,如果两个阴影区域中的任何一个成为精确点,则用户位置隐私泄露。
下面用一个具体实例说明位置依赖攻击模型的语义。图2-18的例子中,用户A、B、C在时刻ti组成匿名集,其匿名区域是 ;用户A、E、F在时刻ti+1组成匿名集,匿名区域是 。服务提供商收集用户连续的匿名区域 和 ,以及用户A的最大运动速度vA。
攻击者根据已知的用户上一个时刻的匿名区域 和最大运动速度vA,可以推测用户A在ti+1时刻的位置一定在 (如图2-18左上角圆角矩形所示)中。从而攻击者可以推测出用户A在时刻ti+1一定位于右下角灰色阴影区域( 和 的交集)中。类似地,攻击者通过用户A在ti+1时刻发布的匿名区域 可以得到从时刻ti到ti+1期间,用户A可以从哪些位置到达 中,形成匿名集,即图2-18中右下角的圆角矩形。所以用户A在上一个时刻ti被限定于左上角阴影区域)中( 和 的交集)。用户A的 是图2-18中的右下角灰色阴影区域。因为 ,所以此例中的A在ti+1时刻的位置泄露。另外, 是图2-18中左上角阴影区域, ,所以用户A在时刻ti的位置亦泄露。

位置依赖攻击是由用户运动模式已知造成的。防止位置依赖攻击的匿名方法可以沿用位置k-匿名模型保护用户的标识符,采用空间粒度标准,即时空匿名法保护用户的位置信息。文献[29]中提出,对于时刻ti和时刻tj的匿名区域Ri到Rj,从Ri到Rj (从Rj到Ri)的最大最小距离若满足MaxMinD(Ri, Rj)≤vu(tj -ti)(MaxMinD(Rj, Ri)≤vu(tj -ti)),任意两个时刻发布的匿名区域均可防止位置依赖攻击(具体保护方法可参见4.1节)。

时间: 2024-09-20 01:14:07

《位置大数据隐私管理》—— 2.4 位置依赖攻击的相关文章

《位置大数据隐私管理》—— 导读

前言 大数据时代,移动通信和传感设备等位置感知技术的发展将人和事物的地理位置数据化,与用户位置相关的数据通过各种各样的服务以多种形式产生.例如,用户通过"签到"等移动社交网络服务(如Foursquare.Yelp.Flicker等)以文本.图片形式主动发布时空的行为.再如,通过用户手机通话.短信等记录,个人位置数据由基站自动隐式收集.无论自动发布还是被动收集的位置数据均具有规模大.产生速度快.蕴含价值高等特点.瑞典市场研究公司Berg Insight发布的最新报告预测,全球基于位置服务

《位置大数据隐私管理》—— 第1章 位置信息与隐私保护 1.1 位置大数据

第1章 位置信息与隐私保护 1.1 位置大数据      移动通信和传感设备等位置感知技术的发展将人和事物的地理位置数据化.移动对象的传感芯片以直接或间接的方式收集移动对象的位置数据,其自动采集位置信息的速度和规模远远超过现有系统的处理能力.据统计,每个移动对象平均15 s提交一次当前位置,这样算来,全球上亿手机.车载导航设备等移动对象每秒提交的位置信息将超过一亿条[3].未来移动传感设备的进步和通信技术的提升将使位置信息的产生更频繁.这类具有规模大.产生速度快.蕴含价值高等特点的位置数据被称为

《位置大数据隐私管理》—— 1.5 典型的位置隐私保护技术

1.5 典型的位置隐私保护技术 传统的LBS隐私保护技术可以归纳为3类:基于数据失真的位置隐私保护方法.基于抑制发布的位置隐私保护方法以及基于数据加密的位置隐私保护方法.不同的位置隐私保护技术基于不同的隐私保护需求以及实现原理,在实际应用中各有优缺点. 1.5.1 基于数据失真的位置隐私保护技术 基于数据失真的方法,顾名思义是指通过让用户提交不真实的查询内容来避免攻击者获得用户的真实信息.对于一些隐私保护需求不严格的用户,该技术假设用户在某时刻的位置信息只与当前时刻攻击者收集到的数据有关,满足直

《位置大数据隐私管理》—— 1.3 LBS中的个人隐私与挑战

1.3 LBS中的个人隐私与挑战 1.3.1 个人隐私      隐私是指个人或机构等实体不愿意被外界获知的私密信息.在具体应用中,隐私即数据所有者不愿意被披露的敏感信息,包括敏感数据以及数据所表征的特性,如病人的患病记录.财务信息等.信息隐私是由个人.组织或机构定义的何时.何地.用何种方式与他人共享信息,以及共享信息的内容.个人隐私即不愿意被披露的个人敏感信息,如个人的收入水平.健康状况.兴趣爱好等.由于人们对隐私的限定标准不同,对隐私的定义也有所差异.一般来说,任何可以确认特定某个人的,但个

《位置大数据隐私管理》—— 2.6 小结

2.6 小结 2003年,Marco Gruteser第一次提出位置连接攻击,在该攻击模型中泄露的是用户标识和查询内容,攻击者的背景知识是用户的精确位置.位置连接攻击体现的是快照位置的隐私泄露风险.由于匿名集合中位置语义相同或查询语义相同而造成的用户隐私泄露被统称为同质性攻击.位置同质性攻击中泄露的是敏感信息(健康状况),攻击者的背景知识是感兴趣点在地图上的分布状况.查询同质性攻击中泄露的也是敏感信息,攻击者的背景知识是用户的确切位置.若用户位置发生连续更新将产生新的攻击模型,典型的有位置依赖攻

《位置大数据隐私管理》—— 第2章 典型攻击模型和隐私保护模型 2.1 位置连接攻击

第2章 典型攻击模型和隐私保护模型 本章将对典型攻击模型和相应的隐私保护模型进行说明.攻击模型包括位置连接攻击.位置同质性攻击.查询同质性攻击.位置依赖攻击和连续查询攻击模型.隐私保护模型包括位置k-匿名模型.位置l-差异性模型.查询p-敏感模型和m-不变性模型.为解释方便,在介绍具体攻击模型和隐私保护模型前,首先介绍一种在基于数据失真的隐私保护技术中广泛使用的经典系统结构--中心服务器结构,如图2-1所示.需要说明的是,攻击模型的成立与否与采用的系统结构无关. 中心服务器结构包含移动用户.基于

《位置大数据隐私管理》—— 2.2 位置同质性攻击

2.2 位置同质性攻击 下面将在2.2节和2.3节分别介绍位置同质性攻击模型和查询同质性攻击模型,这两个模型被统称为同质性攻击.在建立攻击模型时,在背景知识方面,前者考虑的是位置语义,而后者基于查询语义. 2.2.1 攻击模型 对于采用空间模糊化方法生成的匿名集合,如果匿名集用户的匿名区域仅覆盖一个敏感位置(如医院),通过公开的信息如医院发布的就诊记录,攻击者可以以较高的概率确定目标对象敏感信息(如曾去医院就诊),攻击目标的隐私信息泄露(如健康状况),此攻击为位置同质性攻击.Hu等人[56]首次

《位置大数据隐私管理》—— 1.2 概念与定义

1.2 概念与定义 1.2.1 位置表示与定位技术 位置通常由三元组(x, y, t)表示,其中(x, y)表示移动对象所在的经纬度或者在某个参考坐标系(如UTM坐标系)下的坐标值,t表示时刻.表1-1展示移动对象O1.O2.O3在t1.t2.t3时刻的位置.以O1为例,在t1时刻,O1的位置坐标是(1, 2):在t2时刻,O1的位置坐标是(3, 3)等. 一个用户在不同时刻的位置组成该用户的轨迹.轨迹是移动对象的位置信息按时间排序形成的序列.通常情况下,一条轨迹可表示为: 其中,id是轨迹标识

《位置大数据隐私管理》—— 2.5 连续查询攻击

2.5 连续查询攻击 2.5.1 攻击模型 连续查询是移动数据管理中非常重要的一种查询类型.Chow等人在2007年第一次提出连续查询攻击[40]问题.如果直接将为静态位置设计的位置匿名算法应用于连续查询,将产生连续查询攻击.具体来说,连续查询在查询有效期内位置是动态变化的.所以用户在查询有效期内不同时刻形成的匿名集不同,且匿名集中包含的用户不同.因此,通过将查询有效期内匿名集中用户集合取交,可唯一确定提出连续查询的用户身份,即用户隐私泄露. 用一个例子具体说明连续查询隐私攻击场景.如图2-19