微信公众号:计算机与网络安全
ID:Computer-network
随着智能手机、无线传感网络、RFID阅读器等信息采集终端在物联网中的广泛应用,个人隐私数据的暴露和非法利用的可能性大增。物联网环境下的数据隐私保护已经引起了政府和个人的密切关注。特别是手机用户在使用位置服务过程中,位置服务器上留下了大量的用户轨迹,而且附着在这些轨迹上的上下文信息能够披露用户的生活习惯、兴趣爱好、日常活动、社会关系和身体状况等个人敏感信息。当这些信息不断增加且被泄露给不可信第三方(如服务提供商)时,滥用个人隐私数据的大门就会被打开。
01 隐私的概念
狭义的隐私是指以自然人为主体的个人秘密,即凡是用户不愿让他人知道的个人(或机构)信息都可以称为隐私(privacy),如电话号码、身份证号、个人健康状况、企业重要文件等。广义的隐私不仅包括自然人的个人秘密,也包括机构的商业秘密。隐私蕴含的内容很广泛,而且对不同的人、不同的文化和民族,隐私的内含也不相同。简单来说,隐私就是个人、机构或组织等实体不愿意被外部世界知晓的信息。
随着社会文明进程的推进,隐私保护也渐渐受到了人们的重视。为了保护隐私,美国于1974年制定了《隐私权法》,随后,许多国家也相继立法保护隐私权。2002年我国颁布的《民法典草案》,对隐私权保护的隐私做了规定,包括私人信息、私人活动、私人空间和私人的生活安宁等4个方面。我国在《侵权责任法》中也提到了对隐私权的保护。2012年12月,我国出台了《关于加强网络信息保护的决定》,将网络上的个人信息保护作为重点加以规定。
随着物联网、云计算、大数据、人工智能等的快速发展,越来越多的人在日常生活中与各种网络、计算机和通信系统进行信息交互与共享。每一次交互的过程中必然会在通信和计算机系统中产生大量的关于“如何”“什么时候”“在哪里”“通过谁”“和谁”“为了什么目的”等的个人数据,而这些数据中包含了大量的个人敏感信息,如果处理不当,则很容易在数据交互和共享的过程中遭受恶意攻击者攻击而导致机密泄露、财物损失或正常的生产秩序被打乱,进而构成严重的隐私安全威胁。
王利明教授在其著作《人格权法新论》中指出:“在网络空间的个人隐私权主要指公民在网上享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵犯、知悉、搜集、复制、公开和利用的一种人格权,也指禁止在网上泄露某些与个人有关的敏感信息,包括事实、图像以及毁损声誉的意见等。”
但由于猎奇心理或是利益的驱动,许多恶意攻击者仍然时刻觊觎着他人的隐私。物联网的快速发展,一方面促使大量隐私信息存储在网络上,为恶意攻击者提供了丰富的潜在目标;另一方面,由于监管的困难及安全防范的不足,恶意攻击者也更容易通过网络实施各种侵犯隐私的行为。2011年12月,世纪乐知(Chinese Software Developer Network,CSDN)的安全系统遭到了黑客攻击,600万名用户的登录名、密码及邮箱遭到了泄露。此外,层出不穷的各类网上隐私照片泄露事件也都在提醒人们,存储在网络上的隐私其实处在一个十分容易泄露的环境中。
显然,仅仅依靠法律规范来保护隐私还远远不够,必须要从技术上防止恶意用户窃取用户隐私。
保护隐私信息最常见的技术是加密。信息经过加密后,可读的明文信息会被转变为无法识别的密文信息。即使密文被攻击者窃取,在没有密钥的情况下,攻击者也很难获得有效信息。因此,加密是保护隐私信息的有效手段。随着计算机及互联网技术的发展,人们越来越多地依靠互联网传输并存储信息,其中不乏隐私信息,如网络用户的敏感信息,甚至是经济、政治、军事机密。为了保障信息的安全,人们通常需要把敏感信息加密后再存储到网络上。
在具体应用中,隐私即为数据拥有者不愿意披露的敏感信息,包括敏感数据以及数据所表征的特性,如个人的兴趣爱好、身体状况、宗教信仰、公司的财务信息等。但当针对不同数据以及数据拥有者时,隐私的定义也会存在差别。例如,保守的病人会视疾病信息为隐私,而开放的病人却不会视之为隐私。从隐私拥有者的角度而言,隐私通常可分为以下两类。
1)个人隐私
个人隐私(privacy of individual)一般是指数据拥有者不愿意披露的敏感信息,如个人的兴趣爱好、健康状况、收入水平、宗教信仰和政治倾向等。
由于人们对隐私的限定标准不同,因此对隐私的定义也就有所差异。一般来说,任何可以确定是个人的,但个人不愿意披露的信息都可以认定为是个人隐私。在个人隐私的概念中主要涉及4个范畴:① 信息隐私、收集和处理个人数据的方法和规则,如个人信用信息、医疗和档案信息,信息隐私也被认为是数据隐私;② 人身隐私,涉及侵犯个人物理状况相关的信息,如基因测试等;③ 通信隐私,信件、电话、电子邮件以及其他形式的个人通信的信息;④ 空间隐私,对干涉自有地理空间的制约,包括办公场所、公共场所,如搜查、跟踪、身份检查等。
2)共同隐私
共同隐私(privacy of corporate)与个人隐私相对应,是指群体的私生活安宁不受群体之外的任何他人非法干扰,群体内部的私生活信息不被他人非法搜集、探听和公开。公开共同隐私一般需要共同隐私人全部同意。在没有征得共同隐私的其他成员的同意与许可的情况下,披露共同隐私一般情况下也属于侵权行为。但是,如果共同隐私主体之一或者全部为公众人物或者官员,则他们的隐私和共同隐私的保护也会受到社会公共利益的限制。为了满足人们知情权的需要以及舆论监督的需要,有时候需要对共同隐私予以必要的限制,即在特殊情况下,未经当事人同意而披露这部分共同隐私不属于侵犯隐私权。如果当事人有特别约定部分共同隐私人可以披露他们的共同隐私,则其也不会被视为侵权。另外,如果法律有特别规定,则也不应该视为侵犯共同隐私其他方的隐私权。共同隐私不仅包含个人的隐私,还包含所有个人共同表现出的、但不愿被暴露的信息,如公司员工的平均薪资、薪资分布等信息。
02 隐私与安全
隐私与安全存在紧密关系,但也存在一些细微差别。一般地,隐私总是相对于用户个人而言的,它与公共利益、群体利益无关,是指当事人不愿他人知道或他人不便知道的个人信息,当事人不愿他人干涉或他人不便干涉的个人私事,以及当事人不愿他人侵入或他人不便侵入的个人领域。
传统个人隐私在网络环境中主要表现为个人数据,包括可用来识别或定位个人的信息(如电话号码、地址和信用卡号等)、敏感的信息(如个人的健康状况、财务信息、公司的重要文件等)。网络环境下对隐私权的侵害也不再简单地表现为对个人隐私的直接窃取、扩散和侵扰,而更多的是收集大量的个人资料,通过数据挖掘方法分析出个人并不愿意让他人知道的信息。
安全更多地与系统、组织、机构、企业等相关。安全涉及的范围更广,影响范围更大,在我们日常的物联网信息生活中,安全问题一定存在,包括身份认证、访问控制、病毒检测和网络管理等。
另外,安全是绝对的,而隐私则是相对的。因为对某人来说属于个人隐私的事情,对他人来说可能不是隐私。而安全问题往往和个人的喜好关系不大,每个人的安全需求基本类同。况且,信息安全对个人隐私保护具有重大的影响,甚至决定了隐私保护的强度。
03 隐私度量
随着无线通信技术和个人通信设备的飞速发展,各种计算机、通信技术悄无声息地融入了人们的日常生活,深刻地影响着人们的生活方式。人们在利用这些技术享受信息时代的各种信息服务带来的便利的同时,个人隐私信息也难免会遭到威胁。虽然这些服务中融入了隐私保护技术,但是,再完美的技术也难免存在漏洞,面对恶意攻击者的强大攻击能力和可变的背景知识,个人隐私信息仍旧会泄露。这些隐私保护技术应用于实际生活中的效果如何?它们到底在多大程度上保护了用户的隐私?基于此,隐私度量的概念应运而生。
隐私度量就是指评估个人的隐私水平与隐私保护技术应用于实际生活中能达到的效果,同时也是为了测量“隐私”这个概念而被提出的。度量和量化用户的隐私水平是非常重要且必不可少的,它可以度量给定的隐私保护系统所能提供的真实的隐私水平,分析影响隐私保护技术实际效果的各个隐私,并为隐私保护技术设计者提供重要的参考。
不同的隐私保护系统的隐私保护技术的度量方法和度量指标有所不同,下面将从数据库隐私、位置隐私、数据隐私3个方面介绍隐私的概念与度量方法。
(1)数据库隐私度量
隐私保护技术需要在保护隐私的同时,兼顾数据的可用性。通常从以下两个方面对数据库隐私保护技术进行度量。
1)隐私保护度
通常通过发布数据的披露风险来反映隐私保护度。披露风险越小,隐私保护度越高。
2)数据可用性
数据可用性是对发布数据质量的度量,它可以反映通过隐私保护技术处理后数据的信息丢失情况:数据缺损越高,信息丢失越多,数据利用率越低。具体的度量指标有:信息缺损的程度、重构数据与原始数据的相似度等。
(2)位置隐私度量
位置隐私保护技术需要在保护用户隐私的同时,能为用户提供较高的服务质量。通常从以下两个方面对位置隐私保护技术进行度量。
1)隐私保护度
一般通过位置隐私或查询隐私的披露风险来反映隐私保护度。披露风险越小,隐私保护度越高。披露风险越大,隐私保护度越低。披露风险是指在一定的情况下,用户位置隐私或查询隐私泄露的概率。披露风险依赖于攻击者掌握的背景知识和隐私保护算法。攻击者掌握的关于用户查询内容属性和位置信息的背景知识越多,披露风险越大。
2)服务质量
在位置隐私保护中,通常采用服务质量来衡量隐私算法的优劣。在相同的隐私保护度下,移动对象获得的服务质量越高说明隐私保护算法越好。一般情况下,服务质量由查询响应时间、计算和通信开销、查询结果的精确性等来衡量。
(3)数据隐私度量
数据隐私披露风险是指由于个人的敏感数据或者企业和组织的机密数据被恶意攻击者或非法用户获取后,他们可以借助某些背景知识推理出个人的隐私信息或者企业和组织的机密信息,从而给个人、企业和组织带来严重损失。保护敏感数据常用的方法之一就是采用密码技术对敏感数据进行加密,因此,主要从机密性、完整性和可用性3个方面对数据隐私进行度量。
1)机密性
数据必须按照数据拥有者的要求保证一定的机密性,不会被非授权的第三方非法获知。敏感的机密信息只有得到拥有者的许可后,其他人才能够获得该信息。信息系统必须能够防止信息的非授权访问和泄露。
2)完整性
完整性是指信息安全、精确和有效,不因人为因素而改变信息原有的内容、形式和流向,即不能被未授权的第三方修改。它包含数据完整的内含,既要保证数据不被非法篡改和删除,又要包含系统的完整性内含,即保证系统以无害的方式按照预定的功能运行,不受有意的或意外的非法操作破坏。数据的完整性包括正确性、有效性和一致性。
3)可用性
可用性是指数据资源能够提供既定的功能,无论何时何地,只要需要即可使用,而不会受系统故障和误操作等影响,此类影响会导致使用资源丢失或妨碍资源使用,进而使服务不能得到及时的响应。
04 隐私保护技术分类
隐私保护技术是为了既能使用户享受各种服务和应用,又能保证其隐私不被泄露和滥用。在数据库隐私保护、位置隐私保护、数据隐私保护的研究中已经提出了大量的隐私保护技术,这些技术有些是相同的,有些因面向具体应用而不同。
下面从数据库隐私、位置隐私和数据隐私3个方面介绍常用的隐私保护技术。
(1)数据库隐私保护技术
一般来说,数据库中的隐私保护技术大致可以分为3类。
① 基于数据失真的技术,可使敏感数据失真但同时保持某些数据或数据属性不变。例如,采用添加噪声、交换等技术对原始数据进行扰动处理,但要求处理后的数据仍然可以保持某些统计方面的性质,以便进行数据挖据等操作。
② 基于数据加密的技术,它是一种采用加密技术在数据挖掘过程中隐藏敏感数据的技术,多用于分布式应用环境,如安全多方计算法。
③ 基于限制发布的技术,可根据具体情况有条件地发布数据,如不发布数据的某些阈值、进行数据泛化等。
基于数据失真的技术,效率比较高,但是存在一定程度的信息丢失;基于数据加密的技术则刚好相反,它能保证最终数据的准确性和安全性,但计算开销比较大;而基于限制发布的技术的优点是能保证所发布的数据一定真实,但发布的数据会有一定的信息丢失。
(2)位置隐私保护技术
目前的位置隐私保护技术大致可分为3类。
① 基于策略的隐私保护技术,是指通过制定一些常用的隐私管理规则和可信任的隐私协定来约束服务提供商,使其公平、安全地使用用户的个人位置信息。
② 基于匿名和混淆的隐私保护技术,是指利用匿名和混淆技术分隔用户的身份标志和其所在的位置信息,降低用户位置信息的精确度以达到隐私保护的目的,如k-匿名技术。
③ 基于空间加密的隐私保护技术,是通过对空间位置进行加密以达到匿名的效果,如Hilbert曲线法。
基于策略的隐私保护技术实现简单,服务质量高,但其隐私保护效果差;基于匿名和混淆的隐私保护技术在服务质量和隐私保护度上取得了较好的平衡,是目前位置隐私保护的主流技术;基于空间加密的隐私保护技术能够提供严格的隐私保护,但其需要额外的硬件和复杂的算法支持,计算开销和通信开销比较大。
(3)数据隐私保护技术
对于传统的敏感数据可以采用加密、Hash函数、数字签名、数字证书、访问控制等技术来保证其机密性、完整性和可用性。随着新型计算模式(如云计算、移动计算、社会计算等)的不断出现与应用,我们对数据隐私保护技术提出了更高的要求。传统网络中的隐私主要发生在信息传输和存储的过程中,而外包计算模式下的隐私不仅要考虑数据传输和存储过程中的隐私问题,还要考虑数据计算过程中可能出现的隐私泄露问题。外包数据计算过程中的数据隐私保护技术,按照运算处理方式不同可分为两种。
① 支持计算的加密技术,是一类能满足支持隐私保护的计算模式(如算数运算、字符运算等)的要求,通过加密手段保证数据的机密性,同时密文能支持某些计算功能的加密方案的统称,如同态加密技术。
② 支持检索的加密技术,是指在加密状态下可以对数据进行精确检索和模糊检索,从而保护数据隐私的技术,如密文检索技术。
