2.1節至2.3節中介紹的攻擊模型僅關注快照(snapshot)位置,若使用者位置發生連續更新將產生新的攻擊模型,典型的攻擊模型有位置依賴攻擊和連續查詢攻擊。本節先介紹位置依賴攻擊,2.5節將介紹連續查詢攻擊模型。
位置依賴攻擊模型也被稱為基於速度的連線攻擊模型,指當攻擊者獲知使用者的運動模式(如最大運動速度)時產生的位置隱私洩露現象。具體來講,根據使用者的最大運動速度,可得到使用者在某一時間段內的最大可達範圍。因此,可以將使用者的位置限制在最大可達到的區域與第二次發布的匿名區域的交集中,進而產生位置隱私洩露[57, 54]。在位置依賴攻擊中,攻擊者的背景知識包括歷史匿名區域組成的集合和使用者的最大運動速度。定義2-14給出了位置依賴攻擊的形式化定義。
位置依賴攻擊:假設
則稱使用者u的位置隱私受到威脅,稱此攻擊為位置依賴攻擊。
位置依賴攻擊表達的語義是:如果攻擊者知道使用者上乙個時刻匿名區域 和最大運動速度va,則使用者a在ti+1的位置被限定於最大運動邊界(maximum movement boundary,mmb) 當中。從而攻擊者可以推測出使用者在ti+1時刻一定位於 和 的交集中。類似地,攻擊者通過使用者在ti+1時刻發布的匿名區域 可以得到從時刻ti到ti+1期間,使用者a可以從哪些位置到達 中,形成匿名集。所以使用者a在上乙個時刻ti被限定於 和 的交集中。在最壞情況下,如果兩個陰影區域中的任何乙個成為精確點,則使用者位置隱私洩露。
下面用乙個具體例項說明位置依賴攻擊模型的語義。圖2-18的例子中,使用者a、b、c在時刻ti組成匿名集,其匿名區域是 ;使用者a、e、f在時刻ti+1組成匿名集,匿名區域是 。服務提供商收集使用者連續的匿名區域 和 ,以及使用者a的最大運動速度va。
攻擊者根據已知的使用者上乙個時刻的匿名區域 和最大運動速度va,可以推測使用者a在ti+1時刻的位置一定在 (如圖2-18左上角圓角矩形所示)中。從而攻擊者可以推測出使用者a在時刻ti+1一定位於右下角灰色陰影區域( 和 的交集)中。類似地,攻擊者通過使用者a在ti+1時刻發布的匿名區域 可以得到從時刻ti到ti+1期間,使用者a可以從哪些位置到達 中,形成匿名集,即圖2-18中右下角的圓角矩形。所以使用者a在上乙個時刻ti被限定於左上角陰影區域)中( 和 的交集)。使用者a的 是圖2-18中的右下角灰色陰影區域。因為 ,所以此例中的a在ti+1時刻的位置洩露。另外, 是圖2-18中左上角陰影區域, ,所以使用者a在時刻ti的位置亦洩露。
位置依賴攻擊是由使用者運動模式已知造成的。防止位置依賴攻擊的匿名方法可以沿用位置k-匿名模型保護使用者的識別符號,採用空間粒度標準,即時空匿名法保護使用者的位置資訊。文獻[29]中提出,對於時刻ti和時刻tj的匿名區域ri到rj,從ri到rj (從rj到ri)的最大最小距離若滿足maxmind(ri, rj)≤vu(tj -ti)(maxmind(rj, ri)≤vu(tj -ti)),任意兩個時刻發布的匿名區域均可防止位置依賴攻擊(具體保護方法可參見4.1節)。
《位置大資料隱私管理》 1 2 概念與定義
1.2.1 位置表示與定位技術 位置通常由三元組 x,y,t 表示,其中 x,y 表示移動物件所在的經緯度或者在某個參考座標系 如utm座標系 下的座標值,t表示時刻。表1 1展示移動物件o1 o2 o3在t1 t2 t3時刻的位置。以o1為例,在t1時刻,o1的位置座標是 1,2 在t2時刻,o1...
《位置大資料隱私管理》 2 3 查詢同質性攻擊
2.3.1 攻擊模型 簡單來講,查詢同質性攻擊即攻擊者結合匿名集中發布查詢的語義窺探使用者隱私。在極端情況下,如果乙個匿名集合中的所有服務請求都表示了同樣的內容,如同一匿名集中使用者均提出了乙個 尋找腫瘤醫院 的查詢,則攻擊者無須獲知使用者的具體位置,也無須確定哪個使用者提出了哪個查詢,也可推測攻擊...
大資料時代 我們還有隱私嗎?
隨著數字資訊科技的不斷發展,網路匿名 有可能會變成 數學上不可能 的事。1995年,歐盟出台的隱私法例將 個人資料 定義為可以直接或間接識別乙個人的資訊。很顯然,當時立法者考慮的是那些帶有身份標識號的檔案資料之類的東西,這些標識號就好像人的姓名,而立法者們希望它們可以得到保護。如今,個人資料 這一定...