本節書摘來自華章出版社《位置大資料隐私管理》一 書中的第2章,第2.5節,作者潘曉、霍 峥、孟小峰,更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
連續查詢是移動資料管理中非常重要的一種查詢類型。chow等人在2007年第一次提出連續查詢攻擊[40]問題。如果直接将為靜态位置設計的位置匿名算法應用于連續查詢,将産生連續查詢攻擊。具體來說,連續查詢在查詢有效期内位置是動态變化的。是以使用者在查詢有效期内不同時刻形成的匿名集不同,且匿名集中包含的使用者不同。是以,通過将查詢有效期内匿名集中使用者集合取交,可唯一确定提出連續查詢的使用者身份,即使用者隐私洩露。
用一個例子具體說明連續查詢隐私攻擊場景。如圖2-19所示,系統中存在a、b、c、d、e、f 6個使用者,分别提出查詢qa、qb、qc、qd、qe、qf。攻擊者事先知道6個使用者中存在連續查詢,但并不知道連續查詢是什麼,以及由誰提出。在3個不同時刻ti、ti+1、ti+2,使用者a分别形成了3個不同的匿名集,即{a, b, d}、{a, b, f}、{a, c, e},如圖2-19中實線矩形框所示。将3個匿名集取交,即可獲知是使用者a提出的連續查詢以及相應的查詢qa。
文獻[42]對連續查詢攻擊進行了形式化定義。
會話資料(session profile):設使用者在t1,t2,…,tn時刻的匿名區域分别為r1,r2,…,rn,s1,s2,…,sn是使用者u在不同時刻形成的匿名集對應的查詢内容集合。使用者u的會話資料定義為
,會話資料中的每一個元素是一個三元組(t, r, s)。
表2-2顯示的是與圖2-19對應的會話資料。表中第三清單示匿名區域r的空間範圍,分别表示匿名區域的左下角和右上角坐标。在t1時刻,匿名區域r1的空間位置是一個矩形,該矩形的左下角坐标為(3.5, 0.5),右上角坐标為(6.5, 2.5)。t1時刻r1的匿名區域中包含3個查詢内容即{qa, qb, qd},即表2-2中的第1~3行。類似地,在時刻t2,r2對應的查詢内容是{qa, qb, qf},即表2-2中的第4至第6行;在時刻t3,r3對應的查詢内容即{qa, qe, qc},即表2-2中的第7~9行。
背景知識:攻擊者的背景知識是由元組組成的集合,其中每一個元組以(t, x, y, u)的形式存在,表示使用者u在時刻t的位置是(x, y)。
圖2-20給出了一個關于使用者a(alice)和使用者b(bob)的背景知識示例。攻擊者知道a在時刻t1、t2、t3所在位置的坐标分别是(5.1, 2.3)、(5.8, 3.6)、(5.9, 5.8)。
下面給出連續查詢攻擊的正式定義。
連續查詢攻擊:給定會話資料sp(u)和背景知識bk(u),一個在使用者u上的連續查詢攻擊即是一個映射f : bk(u)→sp(u)且滿足:
1)針對每一個 ,在sp(u)中有唯一确定的 與b對應。
2)針對每一個 且f (b)=e,滿足:
① (b.x, b.y)在e.r中,即攻擊者知道的使用者位置在釋出的匿名區域r内。
② b.t=e.t,即背景知識與會話資料中的時間互相對應。
③ 對于所有 ,即使用者u在所有有效期内,查詢内容保持不變。
條件①和條件②表達了使用者在給定時間内一定在匿名區域中;條件③要求使用者在查詢有效期内始終對應一種查詢類型。繼續前面的例子。根據圖2-20顯示的背景知識,以b=(t1, 5.1, 2.3, a)為例,對應表2-2的會話資料發現隻有r1與其對應,滿足定義2-17的條件1);針對b=(t2, 5.8, 3.1, a), b=(t3, 5.9, 5.8, a),其中b.u均為a,且對應的e.s均為qa,滿足條件2)。是以圖2-19所示的例子屬于連續查詢攻擊。
觀察發現,連續查詢攻擊的問題主要是由同一使用者(a)在其有效生命期内形成的匿名集不同而造成的。是以解決此問題的最簡單方法是讓提出連續查詢的使用者在最初時刻形成的匿名集,在其查詢有效期内均有效[40]。如在前面的例子中,使用者a在時刻t1形成的匿名集是{a,b,d},則在t2、t3時刻,匿名集依然是{a,b,d},如圖2-19中虛線矩形所示。雖然這種方式成功地保護了查詢隐私,但是也将産生新的問題。第一,位置隐私洩露。如在圖2-19b中,在ti+1時刻,a、b、d位置過于鄰近,造成匿名框過小(極端情況下集中于一點),位置隐私洩露。第二,服務品質qos降低。服務品質與資料精度成反比。在ti+2時刻,{a,b,d}分布在距離較遠的位置,形成的匿名框過大,造成過高的查詢處理代價。極端情況下,匿名集中所有使用者背向而行,一段時間之後,匿名區将覆寫整個服務區域。由此可見,僅僅簡單地把在最初時刻形成的匿名集作為連續查詢有效期内的匿名集傳回并不能解決問題。
滿足m-不變性模型[42]的匿名算法可以防止連續查詢攻擊。在給出m-不變性模型的具體定義前,先來看一下文獻[42]定義的資訊披露風險。
資訊披露風險:給定一個會話資料sp(u), qaa(u)是在使用者u上所有可能的連續查詢攻擊集合。設qaab(u)是qaa(u)的子集,可以唯一辨別使用者真實服務屬性的連續查詢攻擊集合的子集,即給定 。使用者u的資訊披露風險即在使用者u上反映真實敏感屬性的連續查詢攻擊在所有連續查詢集合中的比值,即 。
設另一個會話資料如圖2-21所示,攻擊者的背景知識依然如圖2-20所示。圖2-22展示了與圖2-20和圖2-21所列會話資料和背景知識對應的所有連續查詢攻擊的可能性。對比圖2-22和圖2-21的内容,alice和bob對應的敏感屬性隻可能是a、b兩種。圖2-21枚舉了alice和bob對a和b的所有對應情況。是以,|qaa(u)|=4。使用者alice的真實敏感屬性是a,能反映該敏感屬性的查詢關聯性攻擊的是第一個和第二個。是以|qaab(u)|=2,alice的披露風險是0.5(2/4)。
位置k-匿名模型保證匿名區域中至少有k個使用者。然而,在不同的匿名區域中,無法保證每一個匿名區域包含的都是相同的k個使用者。查詢l-差異性保證在一個匿名集中至少包含l個不同的敏感屬性值,但卻沒有要求維護這l個不同值要在不同匿名集中保持不變。基于這樣的想法,rinku dewri等人提出了查詢m-不變性。
查詢m-不變性:設r1,…,rn是使用者u分别在時刻t1,t2,…,tn的匿名區域,當i>j時,ti>tj。如果 ,其中
,users(r, t)表示在時刻t在匿名區域r中的使用者集合,則稱該匿名區域rj滿足查詢m-不變性。
查詢m-不變性蘊含了位置m-匿名和查詢m-差異性。文獻[42]中證明了滿足m-不變性的匿名集合的洩露風險最多為1/m。一個使用者如果可以與多個服務屬性值關聯,則該使用者對應的可能的查詢關聯攻擊的個數會增加。該規則要求在所有時刻的匿名集中都包含多個服務屬性值,且該值的個數不能小于m。在圖2-23所示的例子中,a和b兩個值在所有匿名區域中保持不變,其揭露風險是1/2。