| 隐私可以分为身份隐私、属性隐私、社交关系隐私、位置轨迹隐私等几大类。各类隐私特性及保护要求如下所述。
|
|
|
|
|
| 身份隐私是指用户数据可以分析识别出特定用户的真实身份信息。身份隐私保护的目标是降低攻击者从数据集中识别出某特定用户的可能性。身份隐私的常用保护方法是对公开的数据或信息进行匿名化处理,去掉与真实用户相关的标识和关联信息,防止用户身份信息泄露。
|
|
|
|
|
| 属性信息是指用来描述个人用户的属性特征,例如用户年龄、用户性别、用户薪水、用户购物史。属性隐私保护的目标是对用户相关的属性信息进行安全保护处理,防止用户敏感属性特征泄露。
|
|
|
|
|
| 社交关系隐私是指用户不愿公开的社交关系信息。社交关系隐私保护则是通过对社交关系网中的节点进行匿名处理,使得攻击者无法确认特定用户拥有哪些社交关系。
|
|
|
|
|
| 位置轨迹隐私是指用户非自愿公开的位置轨迹数据及信息,以防止个人敏感信息暴露。目前,位置轨迹信息的获取来源主要有城市交通系统、GPS导航、行程规划系统、无线接入点以及打车软件等。对用户位置轨迹数据进行分析,可以推导出用户隐私属性,如私密关系、出行规律、用户真实身份,从而给用户造成伤害。位置轨迹隐私保护的目标是对用户的真实位置和轨迹数据进行隐藏或安全处理,不泄露用户的敏感位置和行动规律给恶意攻击者,从而保护用户安全。
|
|
|
| 隐私保护技术的目标是通过对隐私数据进行安全修改处理,使得修改后的数据可公开发布而不会遭受隐私攻击。同时,修改后的数据要在保护隐私的前提下最大限度地保留原数据的使用价值。目前,隐私保护的方法主要有k-匿名方法和差分隐私方法。
|
|
|
|
|
| k-匿名方法是Samarati和Sweeney在1998年提出的技术。k-匿名方法要求对数据中的所有元组进行泛化处理,使得其不再与任何人一一对应,且要求泛化后数据中的每一条记录都要与至少k-1条其他记录完全一致,如下表所示。k-匿名方法容易遭受到一致性攻击,研究人员Machanavajjhala等人在k-匿名的基础上,提出了改进,即1-多样性方法,在任意一个等价类中的每个敏感属性(如“疾病”)至少有1个不同的值,从而避免了一致性攻击。
|
|
|
|
|
|
|
|
|
| 差分隐私方法是指对保护数据集添加随机噪声而构成新数据集,使得攻击者无法通过已知内容推出原数据集和新数据集的差异,从而保护数据隐私。
|
|
|
| 目前,隐私保护的常见技术措施有抑制、泛化、置换、扰动、裁剪等。其中,抑制是通过将数据置空的方式限制数据发布;泛化是通过降低数据精度来提供匿名的方法;置换方法改变数据的属主;扰动是在数据发布时添加一定的噪声,包括数据增删、变换等,使攻击者无法区分真实数据和噪声数据,从而对攻击者造成干扰;裁剪是将敏感数据分开发布。
|
|
|
| 除此之外,密码学技术也用于实现隐私保护。利用加密技术阻止非法用户对隐私数据的未授权访问和滥用。
|
|
|
