物联网隐私保护问题.docx

1、物联网隐私保护问题1、物联网的体系结构目前人们对于物联网体系结构有一些不同的描述，但内涵基本相同。一般来说，可以把物联网的体系结构分为感知层、传输层、处理层和应用层四个部分，如表1所示a） 感知层的任务是全面感知外界信息，通过各种传感器节点获取各类数据，利用传感器网络或射频阅读器等网络和设备实现数据在感知层的汇聚和传输；b） 传输层把感知层收集到的信息安全可靠地传输到信息处理层，传输层的功能主要通过网络基础设施实现，如移动通信网、卫星网、互联网等；c） 处理层的任务是对传输层传输的信息进行相应的计算与处理，需要研究智能计算、并行计算、云计算和数据挖掘（da-ta mining）等多种关键技术；

2、d） 应用层是对智能处理后的信息的利用，是根据用户的需求建立相应的业务模型，运行相应的应用系统；应用层智能交通、环境监测、远程医疗、智能家居等处理层数据挖掘、智能计算、并行计算、云计算等传输层WiMAX 、GSM 、3G通信网、卫星网、互联网等感知层RFID、二维码、传感器、红外感应、GPS 等表1物联网体系结构2、物联网隐私威胁物联网的隐私威胁可以简单地分为两大类a）基于数据的隐私威胁数据隐私问题主要是指物联网中数据采集 传输和处理等过程中的秘密信息泄露，从物联网体系结构来看，数据隐私问题主要集中在感知层和处理层，如感知层数据聚合、数据查询和RFID数据传输过程中的数据隐私泄露问题，处理层中

3、进行各种数据计算时面临的隐私泄露问题数据隐私往往与数据安全密不可分，因此一些数据隐私威胁可以通过数据安全的方法解决，只要保证了数据的机密性就能解决隐私泄露问题，但有些数据隐私问题则只能通过隐私保护的方法解决。b）基于位置的隐私威胁位置隐私是物联网隐私保护的重要内容，主要指物联网中各节点的位置隐私以及物联网在提供各种位置服务时面临的位置隐私泄露问题，具体包括RFID阅读器位置隐私RFID用户位置隐私、传感器节点位置隐私以及基于位置服务中的位置隐私问题。3、物联网隐私威胁分析从前面的分析可以看出，物联网的隐私保护问题主要集中在感知层和处理层，下面将分别分析这两层所面临的隐私安全威胁。（1）物联网感

4、知层隐私安全分析感知层的数据一般要经过信息感知、获取、汇聚、融合等处理流程，不仅要考虑信息采集过程中的隐私保护问题，还要考虑信息传送汇聚时的隐私安全。感知网络一般由传感器网络RFID技术、条码和二维码等设备组成，目前研究最多的是传感器网络和RFID系统。a）RFID系统的隐私安全问题RFID 技术的应用日益广泛，在制造、零售和物流等领域均显示出了强大的实用价值，但随之而来的是各种RFID的安全与隐私问题，主要表现在以下两个方面：1）用户信息隐私安全 RFID 阅读器与 RFID 标签进行通信时，其通信内容包含了标签用户的个人隐私信息，当受到安全攻击时会造成用户隐私信息的泄露 无线传输方式使攻击

5、者很容易从节点之间传输的信号中获取敏感信息，从而伪造信号。例如身份证系统中，攻击者可以通过获取节点间的信号交流来获取机密信息用户隐私，甚至可以据此伪造身份，如果物品上的标签或读写设备（如物流门禁系统）信号受到恶意干扰，很容易形成隐私泄露，从而造成重要物品损失；2）用户位置隐私安全 RFID 阅读器通过 RFID 标签可以方便地探知到标签用户的活动位置，使携带 RFID 标签的任何人在公开场合被自动跟踪，造成用户位置隐私的泄露；并且在近距离通信环境中，RFID 芯片和 RFID 阅读器之间通信时，由于 RFID 芯片使用者距离 RFID 阅读器太近，以至于阅读器的地点无法隐藏，从而引起位置隐私问

6、题。b）传感器网络中的隐私安全问题传感器网络包含了数据采集、传输、处理和应用的全过程，面临着传感节点容易被攻击者物理俘获、破解、窜改甚至部分网络为敌控制等多方面的威胁，会导致用户及被监测对象的身份、行踪、私密数据等信息被暴露。由于传感器节点资源受限，以电池提供能量的传感器节点在存储、处理和传输能力上都受限制，因此需要复杂计算和资源消耗的密码体制对无线传感网络不适合，这就带来了隐私保护的挑战从研究内容的主体来分，无线传感器网络中的隐私问题可分为面向数据的隐私安全和面向位置的隐私安全。无线传感器网络的中心任务在于对感知数据的采集，处理与管理，面向数据的隐私安全主要包括数据聚合隐私和数据查询隐私定位

7、技术是无线传感器网络中的一项关键性基础技术，其提供的位置信息在无线传感器网络中具有重要的意义，在提供监测事件或目标位置信息 路由协议 覆盖质量及其他相关研究中有着关键性的作用。然而，节点的定位信息一旦被非法滥用，也将导致严重的安全和隐私问题；并且节点位置信息在无线传感器网络中往往起到标志的作用，因此位置隐私在无线传感器网络中具有特殊而关键的地位。（2）物联网处理层隐私安全分析物联网时代需要处理的信息是海量的，需要处理的平台也是分布式的，在分布式处理的环境中，如何保护参与计算各方的隐私信息是处理层所面临的隐私保护问题，这些处理过程包括数据查询、数据挖掘和各种计算技术等。基于位置的服务是物联网提供

8、的基本功能，包括定位和电子地图等技术。基于位置服务中的隐私内容涉及两个方面，即位置隐私和查询隐私。位置隐私中的位置是指用户过去或现在的位置；而查询隐私是指敏感信息的查询与挖掘，即数据处理过程中的隐私保护问题数据挖掘是指通过对大量数据进行较为复杂的分析和建模，发现各种规律和有用的信息，其可以被广泛地用于物联网中，但与此同时，误用、滥用数据挖掘可能导致用户数据，特别是敏感信息的泄露。目前，隐私保护的数据挖掘已经成为一个专门的研究主题，数据挖掘领域的隐私保护研究最为成熟，很多方法可以为物联网中其他领域的隐私保护研究所借鉴。分布式处理中要解决的隐私保护问题主要是指，当有多个实体以私有数据参与协作计算时

9、如何保护每个实体私有数据的安全。也就是说，当需要多方合作进行计算时，任何一方都只知道自己的私有数据，每一方的私有数据不会被泄露给其他参与方，且不存在可以访问任何参与方数据的中心信任方，当计算结束时，各方只能得到正确的最终结果，而不能得到他人的隐私数据。4、物联网隐私保护方法目前的隐私保护技术主要集中在数据发布、数据挖掘以及无线传感网等领域，结合数据隐私和位置隐私两类物联网隐私威胁，本文将物联网隐私保护方法分为三类：1）匿名化方法该方法通过模糊化敏感信息来保护隐私，即修改或隐藏原始信息的局部或全局敏感数据。2）加密方法基于数据加密的保护方法中，通过密码机制实现了他方对原始数据的不可见性以及数据的

10、无损失性，既保证了数据的机密性，又保证了数据的隐私性。加密方法中使用最多的是同态加密技术和安全多方计算（secure multi-party computation，SMC）。同态加密是一种允许直接对密文进行操作的加密变换技术，该算法的同态性保证了用户可以对敏感数据进行操作但又不泄露数据信息秘密同态技术是建立在代数理论之上的，其基本思想如下：假设Ek1和Dk2分别代表加密和解密函数，明文数据是有限集合M= m1，m2， ，mn 和代表运算，若（Ek1（m1），Ek1（m2）， ，Ek1（mn）= Ek1（m1，m2， ，mn）（1）成立，则称函数族（Ek1，Dk2，）为一个秘密同态，从式（1）

11、中可以看出，为了保护 m1，m2， ，mn 等原始隐私数据在进行运算的时候不被泄露，可以对已加密数据 Ek1（m1），Ek1（m2），Ek1（mn）进行运算后再将结果解密，其得到的最终结果与直接对原始数据进行运算得到的结果是一样的。SMC 是指利用加密机制形成交互计算的协议，可以实现无信息泄露的分布式安全计算，参与安全多方计算的各实体均以私有数据参与协作计算，当计算结束时，各方只能得到正确的最终结果，而不能得到他人的隐私数据。也就是说，两个或多个站点通过某种协议完成计算后，每一方都只知道自己的输入数据和所有数据计算后的最终结果。3）路由协议方法路由协议方法主要用于无线传感网中的节点位置隐私保护

12、，无线传感网的无线传输和自组织特性使得传感器节点的位置隐私保护尤为重要路由协议隐私保护方法一般基于随机路由策略，即数据包的每一次传输并不都是从源节点方向向汇聚节点方向传输的，转发节点以一定的概率将数据包向远离汇聚节点的方向传输。同时传输路径不是固定不变的，每一个数据包的传输路径都随机产生。这样的随机路由策略使得攻击者很难获取节点的准确位置信息。5、匿名化技术在物联网隐私保护中的应用（1）无线传感网位置隐私保护根据节点位置的可移动性，无线传感器网络的位置隐私保护可分为固定位置隐私保护和移动位置隐私保护。针对固定节点位置的隐私保护研究较多，而移动节点位置隐私保护的研究还较少。Tinycasper是

13、一种基于匿名技术的移动位置监控系统，该系统用伪装的空间位置来表示匿名节点的真实位置，从而保护节点的位置隐私。利用该系统，可以在监控无线传感网内移动对象的同时保护对象的位置隐私。（2）位置服务隐私保护基于位置的服务（LBS）是物联网提供的一个重要应用，当用户向位置服务器请求位置服务（如 GPS 定位服务）时，如何保护用户的位置隐私是物联网隐私保护的一个重要内容。利用匿名技术可以实现对用户位置信息的保护，具体方法如下：a）在用户和 LBS 之间采用一个可信任的匿名第三方，以匿名化用户信息；b）当需要查询 LBS 服务器，向可信任的匿名第三方发送位置信息；c）发送的信息不是用户的真实位置，而是一个掩

14、饰的区域，包含了许多其他的用户。（3）数据查询隐私保护数据查询是物联网提供的另一项重要服务，为了避免数据查询时的隐私泄露，可以采用数据匿名化方法，即通过将原始数据进行匿名化处理，使得数据在隐私披露风险和数据精度之间进行折中，从而兼顾数据的可用性和数据的隐私安全性，目前研究较多的是k-匿名方法。改进的 k-匿名算法，直接通过匿名化数据计算准标志符对敏感属性效用，在满足用户查询服务的同时有效地保护了数据隐私。除了以上提到的几种应用，匿名化技术还可以用于隐私保护数据挖掘。（4）小结匿名化技术用于数据隐私保护时，会在一定程度上造成原始数据的损失，从而影响了数据处理的准确性，并且所有经过干扰的数据均与真

15、实的原始数据直接相关，降低了对隐私数据的保护程度；。该方法用于位置隐私保护时，如 LBS 中， 由于需要信任匿名的第三方，安全性不够，从而降低了隐私保护程度该类方法的优点在于计算简单、延时少、资源消耗较低，并且该类方法既可用于数据隐私保护，也可用于位置隐私保护。例如无线传感器网络中移动节点位置隐私保护和 LBS 的位置保护，数据处理中的数据查询和数据挖掘隐私保护等，因此在物联网隐私保护中具有较好的应用前景。6、加密技术在物联网隐私保护中的应用（1）RFID 隐私保护RFID 主要面临阅读器位置隐私、用户信息隐私和用户位置隐私等隐私问题，下面介绍几种对应的隐私保护方法a）安全多方计算针对 RFI

16、D 阅读器位置隐私，一个有效方法是使用 SMC 的临时密码组合保护并隐藏 RFID 的标志b）基于加密机制的安全协议对于用户的数据 位置隐私问题以及防止未授权用户访问RFID 标签的研究，主要基于加密机制实现保护。密码机制的主要研究内容是利用各种成熟的密码方案和机制来设计与实现符合 RFID 安全需求的密码协议，安全性好，但增加了技术消耗，主要包括以下几类安全协议：1）基于 hash 函数的方法a）Hash 锁协议：为了避免信息泄露和被追踪，hash锁协议使用metaID来代替真实的标签ID，标签对阅读器进行认证之后再将其ID发送给阅读器。这种方法在一定程度上防止了非法阅读器对标签ID的获取，

17、但每次传送的metaID保持不变，容易受到攻击。b）随机化 hash 锁协议：为了改进hash锁协议的不足，随机化hash锁协议采用基于随机数的挑战应答机制，标签每次发给阅读器的认证信息是变化的。c）Hash 链协议：Hash 链协议是基于共享秘密的挑战应答协议，在 hash 链协议中，要求标签使用两个不同的杂凑函数，阅读器发起认证时，标签总是发送不同的应答。d）Hsap协议：基于 hash 函数设计一个介于 RFID 标签和后端服务器之间的安全认证协议，以解决假冒攻击、重传攻击、追踪和去同步化等安全问题。Hash 函数计算量小、资源损耗低，且hash 函数的伪随机性和单向性保证了 RFID

18、标签的安全性，能有效防止标签信息的泄露和追踪。但在 hash 链中认证时，服务器端的负载会随着标签数目的增加而成比例地增长。2）重加密方法重加密方案基于公钥加密体制实现重加密（即对已加密的信息进行周期性再加密），标签可以在用户请求下通过第三方数据加密装置定期地对标签数据进行重写。该方法中，由于标签和阅读器间传递的加密 ID 信息变化很快，使得标签电子编码信息很难被盗取，非法跟踪也很难实现，从而获得较高的隐私性和灵活性。但其使用公钥加密机制，运算量大、资源需求较多3）匿名ID方法匿名ID方法以保护RFID用户的数据和位置隐私。该方法中标签存储的是匿名ID，具体方法如下：a）当标签对阅读器进行响应

19、时，发送匿名 ID 给阅读器；b）阅读器把收到的匿名ID转发给后台服务器，由服务器进行解密；c）服务器把解密后的ID发送给阅读器该方案通过第三方数据加密装置生成匿名标签 ID，其实施前提是阅读器与后台服务器的通信建立在可信通道上，隐私侵犯者即使在消息传递过程中截获标签信息也不能获得标签的真实ID。该方法通过加密标签ID防止标签隐私信息的泄露，加密装置可以采用添加随机数等方法，资源消耗低、灵活性好。但为了防止用户的位置信息被追踪，需要定期更新标签中已加密的 ID，如果更新时间间隔太长，则隐私保护性能将大大降低。4）其他方法针对现有方法的不足，一些学者还提出了其他的RFID隐私保护方法，例如1、采

20、用伪随机函数原语实现的基于通用可组合安全模型的低成本RFID匿名认证协议；2、基于部分ID CRC校验以及ID动态更新的RFID相互认证协议，这些方法都能够有效地解决RFID安全隐私问题。（2）无线传感网数据隐私保护基于加密技术的无线传感器网络数据隐私保护方法主要是采用同态加密技术实现端到端数据聚合隐私保护。在WSN中对数据进行端到端加密可以保证数据的隐私性，因此数据聚合隐私保护的挑战在于如何使聚合节点在不能解密数据的前提下对数据进行聚合。数据聚合隐私保护方法CDA，即利用同态加密方法使聚合节点可以对已加密数据进行聚合操作。采用了基于加法的同态流加密算法，使得聚合节点可以对已加密数据进行聚合这

21、一类方法的不足之处在于所有节点与基站共享相同的密钥，攻击者通过攻击任意一个传感器节点可以获得密钥并访问加密数据，且不能保证单个节点的隐私性。另外同态加密方法算法复杂度高， 资源消耗较多。（3）数据挖掘隐私保护针对分布式环境下的数据挖掘方法，一般通过同态加密技术和安全多方计算实现隐私保护，众多分布环境下基于隐私保护的数据挖掘应用都可以抽象为无信任第三方（trustedthird party）参与的SMC问题。下面根据数据挖掘的分类方法，从分类挖掘、关联规则挖掘和聚类挖掘三个方面介绍利用同态加密技术实现的 SMC 隐私保护数据挖掘算法：1）隐私保护分类挖掘算法分类挖掘算法是数据挖掘中常用的一类方法

22、。分类的目标就是要构造一个分类模型，从而预测未来的数据趋势。目前分类采用的方法主要有决策树、贝叶斯算法和KNN算法等。隐私保护分类技术的主要目的是要在数据挖掘过程中建立一个没有隐私泄露的、准确的分类模型。目前隐私保护分类挖掘方案：1、基于同态加密和数字信封的合作决策树分类方法，参与的合作方不需要分享私有数据；2、垂直两方或多方合作下的ID3算法隐私保护方案；3、基于贝叶斯分类的隐私保护挖掘算法，可用于垂直分布的两方安全计算；4、基于最近邻居查找的隐私保护方法，并利用同态加密技术在数据用户终端对私有数据进行加密；5、基于转移概率矩阵隐私保护挖掘算法；6、基于数据处理和特征重构的朴素贝叶斯分类中的

23、隐私保护方法。2）隐私保护关联规则挖掘算法关联规则挖掘是寻找在同一事件中出现的不同项的相关性，即找出事件中频繁发生的项或属性的所有子集以及它们之间应用的相互关联性、规则支持度和置信度是关注规则中的两个重要概念，它们分别代表了所发现规则的有用性和确定性。规则A、B在事务数据库D中成立，具有支持度support，其中support是D中事务包含AB（即A 和B两者）的百分比，它是概率P（AB）规则A、B在事务集D中具有置信度confidence，D中包A的事务同时也包含B的百分比是confi-dence，这是条件概率P（B| A）关联规则挖掘就是在事务数据库D中找出具有用户给定的最小支持度阈值（m

24、in_sup）和最小置信度阈值（min_conf）的规则。3）隐私保护聚类挖掘算法聚类是一个将物理或抽象对象的集合分组组成由类似的对象组成的多个类的过程。由聚类所生成的簇是一组数据对象的集合，这些对象与同一个簇中的对象彼此相似，与其他簇中的对象相异，聚类分析就是从给定的数据集中搜索数据对象之间所存在的有价值联系。聚类的方法有很多，K-均值和 k-中心点是比较常用的聚类方法。（4）其他隐私保护利用匿名化技术可以实现 LBS 隐私保护，但这类方法需要一个可信任的第三方，降低了安全性。1、基于隐私信息恢复（PIR）的隐私保护方法，该方法不需要一个可信任的第三方，通过加密技术实现对位置隐私的保护，并通

25、过使用数据挖掘技术来优化查询过程；2、利用安全函数计算和同态加密理论来解决访问控制过程中策略和证书的隐私保护问题。（5）小结用于隐私保护的加密机制一般都基于公钥密码体制（如同态加密技术等），其算法复杂度通常要高于其他基于共享密钥的加密技术，也高于一般的扰乱技术， 计算延时长，且资源消耗较多加密机制的优点在于加密算法保证了数据的隐私性和准确性。因为利用同态加密技术的同态性质，可以在隐私数据加密的情况下对数据进行处理，既保证了数据的隐私性，又保证了数据处理结果的准确性。该类方法在现有的隐私保护技术中得到了广泛的应用，如无线传感器网络中端到端加密的数据聚合和隐私保护数据挖掘等。7、路由协议方法在物联

26、网隐私保护中的应用路由协议方法主要用于无线传感网中的节点位置隐私保护。根据保护范围不同，节点位置隐私保护可分为本地位置隐私保护和全局位置隐私保护。（1） 本地位置隐私保护1、针对无线传感器网络的位置隐私保护的幻影路由协议。幻影路由协议中包含了一个熊猫、猎人模型，作为恶意攻击方的猎人希望通过对 WSN 中无线传播信号的监测而逐跳追踪获取熊猫出现的位置。协议由两阶段构成，第一阶段是直接随机漫步，将报文随机漫步到网络中的一个伪源节点；第二阶段将报文从伪源节点路由到sink节点幻影路由协议基于随机路由策略保护节点的位置信息，但由于采用了洪泛技术，使得攻击者能很快地收集位置资源的信息；2、定向随机幻影路

27、由，与洪泛幻影路由不同的是，第二阶段中报文定向随机步直到基站，从而具有更大的安全期和更低的损耗。3、基于源节点有限洪泛的源位置隐私保护协议（PUSBRF协议），该协议能够产生远离真实源节点且地理位置多样性的幻像源节点，从而提高了源位置隐私的安全性和平均安全时间。（2）全局位置隐私保护1、保护本地和全局源位置隐私的路由方案。该方案由两种方法组成，路由到随机选择中间节点（RRIN）和网络混合环（NMR）。RRIN保护本地源位置隐私，采用两步路由策略把信息从实际源节点路由到sink节点，通过一个或多个随机选择的中间节点使攻击者不能通过逐跳路由分析追踪到源节点；NMR通过在一个网络混合环中路由可保护网

28、络级（全局）源位置隐私。2、可以对抗全局攻击的sink节点位置隐私保护方法DCARPS匿名路由协议。该协议中提出了一个新的网络拓扑发现方法，允许sink节点获得全局拓扑而不泄露自己的位置，sink负责所有的路由计算，该协议的另一大特点是使用标记交换方法，传感器节点在转发包时执行简单的标记交换无线传感器网络中的主要资源消耗在于通信模块，而路由协议保护方法需要发送大量额外的通信量以实现隐私保护，因此通信开销大、能量消耗多且通信延时长。目前的路由协议研究主要是集中于抵抗外部攻击，特别是外部攻击中的本地攻击，针对全局攻击。内部攻击和移动节点位置保护的研究相对较少，隐私保护程度不高。8、其它物联网隐私保

29、护方法基于隐私代理系统的解决方案，保证收集到的个人隐私只能被用于支持授权的服务。该方案中代理一方面与用户联系，另一方面与服务提供者联系，从而保证了提供者只能获得必需的用户信息，并且用户可以设置代理的优先权，设置和控制隐私代理使用的策略。9、总结结合前面讨论的物联网体系结构和隐私安全威胁，总结物联网隐私保护方法如表1 所示 表1 物联网隐私保护方法体系结构层次面临的隐私威胁 隐私保护方应用层访问控制隐私问题其他物联网应用中的隐私威胁隐私代理同态加密技术处理层数据挖掘和分布式处理隐私问题数据查询的隐私问题基于位置服务的隐私问题基于数据失真同态加密技术安全多方计算匿名化传输层现有通信网中存在的隐私威

30、胁因素跨网络架构信息传输的隐私威胁感知层阅读器位置隐私RFID 系统用户信息隐私用户位置隐私WSN 节点位置隐私数据聚合查询隐私安全多方计算hash 函数重加密匿名 ID路由协议同态加密技术对于物联网的感知部分，由于物联网所连接的很多终端设备的资源非常有限，因此要考虑使用计算和通信资源消耗较少的方法，如匿名化方法；对于物联网的数据处理部分，当对数据处理结果的准确性要求较高时，应考虑采用加密技术实现隐私保护由于物联网隐私保护的研究才刚刚开始，仍然存在着许多问题有待进一步研究：a）进一步完善现有的隐私保护方法以适应物联网环境的需求。物联网隐私保护研究可以在现有的一些隐私保护方法的基础上展开，如 W

31、SN 隐私保护和数据挖掘隐私保护等，但是物联网与其体系结构层次所对应的基础系统之间还是存在许多区别从前面的分析可以看出，同态加密技术、匿名化和路由协议是隐私保护的三类重要方法对于同态加密技术，需要研究如何有效地降低其算法复杂度；对于匿名化技术，要处理好隐私保护效果和处理结果准确性这两者之间的平衡；对于路由协议方法，应尽量减少额外通信，以实现通信量和隐私保护程度之间的平衡。b）针对物联网多源异构性的隐私安全研究。物联网的多源异构性使其安全面临巨大的挑战，因此如何建立有效的多网融合的隐私保护模型是今后研究的一个重要方向。主要可以从以下几个方面展开研究：研究多源异构数据的数据隐藏方法； 研究物联网关系链挖掘过程中的隐私保护方法；研究具有不同隐私保护安全级别的数据处理机制和协作计算算法。c） 基于语义模型的物联网隐私保护方法研究 物联网中存在着物的信息表示形式多样化与物的信息使用主体理解能力不足之间的矛盾，而语义标注和本体的引入将大为改善物的信息的共享使用，并可通过在物联网分层统一语义模型中扩展隐私保护语义属性，对指定的私密信息进行隐藏方式或销毁方式的信息遮掩，实现物联网信息的隐私保护。Welcome ToDownload !欢迎您的下载，资料仅供参考！