本节书摘来自华章出版社《位置大数据隐私管理》一 书中的第2章,第2.6节,作者潘晓、霍 峥、孟小峰,更多章节内容可以访问云栖社区“华章计算机”公众号查看。
2.6 小结
2003年,Marco Gruteser第一次提出位置连接攻击,在该攻击模型中泄露的是用户标识和查询内容,攻击者的背景知识是用户的精确位置。位置连接攻击体现的是快照位置的隐私泄露风险。由于匿名集合中位置语义相同或查询语义相同而造成的用户隐私泄露被统称为同质性攻击。位置同质性攻击中泄露的是敏感信息(健康状况),攻击者的背景知识是感兴趣点在地图上的分布状况。查询同质性攻击中泄露的也是敏感信息,攻击者的背景知识是用户的确切位置。若用户位置发生连续更新将产生新的攻击模型,典型的有位置依赖攻击和连续查询攻击,其中位置依赖攻击关注的是随时间变化用户的运动模式对位置隐私泄露造成的影响。连续查询攻击模型中关注的是随着时间的变化,由于连续查询内容的不变性而造成的隐私泄露风险。在位置依赖攻击模型中泄露的是用户位置,攻击者的背景知识是移动用户的运动模式。在连续查询攻击模型中泄露的是敏感信息,攻击者具有的背景知识是匿名集中公布的查询类型。
现有的经典匿名模型有4种:位置k-匿名模型、位置l-差异性模型、p-敏感模型和查询m-不变性模型,分别保护目标用户的标识、位置和敏感信息。为防止位置连接攻击,文献[8]将在关系数据库中广泛应用的k-匿名模型应用到位置服务环境中,提出位置k-匿名模型。2007年,Liu Ling借鉴数据发布隐私处理中的l-差异性模型的思想,提出了位置l-差异性模型,以防止位置同质性攻击。无论是位置k-匿名模型还是位置l-差异性模型,均没有考虑查询语义,进而会产生敏感信息泄露。为解决此问题,Xiao Zhen等将查询分为敏感与非敏感两类,提出了p-敏感模型,即在满足k-匿名模型的基础上,任何用户被认定提出了敏感查询的概率应小于阈值p。为防止连续查询攻击,文献[42]提出了查询m-不变性模型,要求在用户查询有效期内,所有匿名集合的敏感属性交集最少有m个敏感属性保持不变。
