《社会网络中的隐私保护》由会员分享,可在线阅读,更多相关《社会网络中的隐私保护(5页珍藏版)》请在金锄头文库上搜索。
1、专栏第 7 卷 第 1 期 2011 年 1 月52引言传统的社会网络(Social Network)是指社会个体成员之间因互动而形成的相对稳定的关系体系。近几年,随着信息技术的发展和普及,这种关系已经延伸到虚拟网络环境中,通过基于网络的互动服务(即社交网络服务,Social Networking Service,SNS),如聊天、实时消息、文件分享、博客、讨论组等方式,用户可以相互交流和分享信息。互联网所具有的跨域时空的特点促使这种虚拟的社会网络迅猛发展,对人们的生活和工作产生了深刻的影响。在许多著名的社交服务网站中,注册用户少则几十万,多则几千万甚至上亿,如国际知名的Fa-cebook、M
2、yspace、Twitter以及国内的人人网、开心网和麦乐行等。社会网络不仅为人们提供了交友娱乐的平台,而且逐渐成为辅助行政、商务等活动的有力工具,成为一种新型的协同工作方式。同时,为了完善和改进社会网络的沟通和交互机制,各种协同技术也应用到社会网络中。例如,采用人工协同过滤技术提高自动推荐系统的有效性等。在社会网络中,用户存放了大量隐私数据,如个人身份信息、共享数据、人际关系等,一旦被恶意攻击者窃取和使用,将对人们的生活、学习和工作带来不良后果,甚至造成财产和声誉损失。例如“人肉搜索”,其影响范围之大、危害程度之深将超过现实中的社会网络。尤其是随着社会网络的普及和发展,社会网络聚集了众多用户
3、,如何有效保护用户隐私将对建设健康的社会软环境意义重大,对社会安定和发展有深远影响。社会网络中的隐私保护问题已经引起科学家和社会学家的广泛关注。近几年,在许多国际权威学术会议如IEEE Symposium on Security and Privacy、ACM Conference on Computer and Communications Security、Network and Distributed System Security Symposium和学术期刊IEEE Security & Privacy、IEEE Transactions on De-pendable and Sec
4、ure Computing等都有论述。本文将综述这些研究成果,讨论社会网络中隐私保护相关理论和技术,并展望未来发展方向。社会网络中的用户隐私面临的 威胁隐私权是指自然人享有的私人生活安宁与私人信息秘密依法受到保护,不被他人非法侵扰、知悉、收集、利用和公开的基本人权。网络隐私权是隐私权在网络空间中的体现,是人们在网上享有对个人数据、私人信息、个人领域有知情权、选择权、合理的访问控制权,以及保证其安全性和请求司法救助的权利。例如禁止在网上泄露个人相关的敏感信息,发表诽谤言论等。社会网络中的用户隐私可以分为以下三类: 身份信息(属性信息) 指可以惟一标识现实生活中特定个体的数据,如用户的姓名、年龄、
5、性别、身份证号码、民族和职业等,通常为保密信息。私人数据 指用户在社会网络中发布的有关个人行为或价值取向等方面的信息,如网络日记、创建的相册、视频和图像等,一般为受限访问的信马晓君 孙宇清 刘发朋 山东大学社会网络中的隐私保护关键词:社会网络 隐私保护第 7 卷 第 1 期 2011 年 1 月53息。信息拥有者可以通过网站提供的权限管理方法和工具,限定访问群体和操作,如设定好友列表、许可的信息转载或复制约定等。用户间关系 指在社会网络中用户之间的关系,如是否存在联系,紧密程度如何等,这种关系可能存在于同一个社交服务网站,也可能在多个不同类型的社交服务网站中。社会网络一般是由节点和联系两大部分
6、构成,可以表示成图G = (V, E)的形式。其中,节点集合V表示社会网络中的行为主体,即用户或组织;边的集合E表示节点之间的联系,它是基于用户之间的某些特定关系而建立,如共同兴趣爱好或贸易活动等。在社会网络结构图中,用户的隐私可通过以下几个属性表现:节点存在,即网络中的目标个体是否可以映射为现实社会中的特定个体;节点属性,即个体提供的敏感信息;链接关系,即个体之间是否存在某种特定的关系;链接权重,反映个体间的紧密程度。用户个人信息在网络中的财产化使得越来越多的恶意攻击者企图利用用户的个人信息谋取利益,网络技术和信息通信技术的发展在某种程度上为侵害网络隐私权的行为提供了便利手段。当前,针对社会
7、网络用户隐私的威胁主要包括用户数据的恶意收集和滥用两个方面。在社会网络活动中,用户通常需要提供部分个人信息,并认为泄露有限的信息是无关紧要的,但是攻击者通过采用信息检索或数据挖掘等技术,收集同一用户在社会网络中参加社交活动的情况以及在多个社会网络中发布的不同个人信息,找出这些信息间的联系,从而获得用户的大量隐私信息。攻击者也可能在未经用户允许的情况下私自传播、滥用和篡改用户信息等,从而损害用户的利益。针对社会网络中用户隐私面临的不同威胁,现有研究也提出了相应的用户隐私保护技术,下面分类论述。身份隐私攻击与保护在社会网络中,通常要求用户使用身份信息进行注册,并采用匿名化技术保护这些信息,即隐藏发
8、布数据中能够标识用户的相关信息。去匿名化攻击(De-Anonymization Attack)是恶意攻击者利用已经掌握的背景知识,如网络拓扑结构、节点之间的联系等,结合用户的公开信息进行去匿名化推理,以获取用户身份信息。例如,结合社会网络中组成员信息和浏览器历史痕迹进行攻击7。其攻击模型为,对于给定的社会网络S = (V, E),其中节点集合V代表用户集,边集合E表示用户之间的关系集合,首先选择组进行攻击,这是因为一个组的用户数目通常远远小于整个社会网络的用户总数;攻击者使用标准的网页爬行(Web Crawling)技术下载组目录,从网页源代码中抽取组标识号;然后攻击者利用偷窃方法检查用户浏览
9、器的统一资源定位符(Uniform/Universal Resource Locator,URL)。设茁v表示用户v的浏览器痕迹,用户每次访问一个页面p,准p表示该页面的URL并被加载到茁v中。对于特定的用户v,定义函数滓v(准p)描述目标URL 准p是否在浏览器历史茁v中。若准p茁v,则滓v(准p)=1,可判定用户v访问过页面p。特别是,当攻击者捕获的URL表明用户最近访问了与特定组相关的页面,则用户很可能是该组的成员。通过这些与组相关的URL信息,攻击者可以得到部分带有用户特征的组信息祝k(v)。若祝k(v) = 1,则表明用户v是组k的一个成员。检查祝k(v) = 1的记录,并将这些记录
10、所对应的用户形成一个候选集。对候选集中的每一个用户继续进行基本的攻击,最终可获得用户身份。为了识别出潜在的去匿名化攻击,需提出一种分析和评估匿名化程度的度量方法,如采用信息熵度量的方法1,从而客观地比较不同匿名化系统或策略的效率,为制定出更加可靠和高效的匿名化策略提供依据。假设攻击者掌握的背景知识是真实社会网络的分布,对于每一个特征分布Fi,计算匿名客体A的特征分布Fi,A与所有未匿名客体Uj的特征分布Fi,Uj之间的相似度sim(Fi,A,Fi,Uj),并用它来计算随机变量Xi,A,在客体A真实的未匿名化身份下,Fi的近似概率分布为 专栏第 7 卷 第 1 期 2011 年 1 月54sim
11、(Fi, A , Fi, Uj)P(Xi, A = Uj)= 蒡坌Uk sim(Fi, A , Fi, Uk)其中Uk表示该社会网络中任意一个客体。根据近似概率分布,计算A的信息熵H(A)进行风险衡量,熵值越小,客体去匿名化风险越大;熵值越大,客体去匿名化风险越小。此外,通过模拟攻击者的辅助信息,信息发布者可以检测攻击对其他客体去匿名化带来的影响;还可根据恶意攻击者所掌握的不同知识,将个人隐私分类,分别量化隐私信息泄露造成的风险,并制定出不同的解决方案。为了防范去匿名化攻击,通常采用修正社会网络结构图的方法达到匿名化目的,即通过添加或删除节点或者边来修改社会网络图。然而,研究表明简单的删除节点
12、标识,无法抵御节点的去匿名化攻击,必须结合边的修改才可以有效地阻止这种攻击,如K-度(K-Degree)匿名方法。给定图和整数K,通过一系列添加/删除边的操作修正图,构建一个新的K度匿名图,从而有效地保护用户身份信息。用户隐私数据保护针对社会网络中用户发布的大量隐私数据,一方面,采用访问控制技术限定其他用户的访问权限;另一方面采用加密技术保护隐私数据的完整性和保密性,防止敏感数据泄露。细粒度访问控制策略是满足社会网络中用户个性需求的基本方法,可设定好友、同事、同学和亲人等不同的访问群组以及相应的访问控制权限,还可为用户的隐私数据设定绝密、机密、秘密和公开等不同的安全级别。对可能导致用户高安全威
13、胁的数据,如姓名、地址、社会保障号以及经济信息等,设定较高的保密级别;昵称、一般爱好等非敏感信息则可设定成较低级别。例如,采用Z语言自定义细粒度的访问控制策略,用户可以表达允许访问和禁止访问的需求4。这种方法建立在对社会网络服务提供商和好友关系信任的基础上,但在实际应用中,无法确定用户提供信息的真实性,因此不能避免恶意用户通过提供虚假信息来逃避策略的约束。研究工作还有基于用户可能面临的信息,如安全威胁、网络名声和信用度、注册信息风险等,制定细粒度的访问控制策略5,根据用户对个人隐私的关注度,对隐私数据进行等级划分;根据用户对访问者的信任程度,对来访者进行等级划分;根据用户的隐私习惯划分隐私层次
14、,即不同类型的来访者可以访问不同类型的数据;允许用户自定义和配置这些分类,并利用XML语言描述相应的访问控制策略。针对有些网络服务商可靠程度低的情况(如将用户的隐私作为商品提供给广告商等谋取盈利),用户需要采用加密技术保护其隐私数据。一种方法是针对社会网络数据的伪随机加密方法NOYB2,让用户先将数据加密,并将密文存储到社会网络上,许可授权用户方可解密并查看真实的数据,网络服务商虽然能够获得数据,但是无法理解数据的意义。鉴于密钥不是由网络服务商统一提供,这种方法仅适用于小范围;另一种方法是基于属性的加密方法(Attribute-Based Encryption,ABE),如Per-sona方法
15、3,采用基于属性的加密法和传统的公钥加密组合的加密体系,允许用户基于组信息自定义访问控制策略,确定组成员和组可以访问的资源,以“组”作为属性进行加密,用户和组成员联合解密,从而实现资源安全访问。借助这一体系,用户可以在网络服务商处存储数据,而不需要双方存在相互信任关系。用户通过身份验证来保证数据的私密性。面向用户关系的攻击及保护面向用户关系的攻击是恶意攻击者利用所掌握的背景知识,借助关系挖掘技术、重识别攻击对社会网络用户潜在的关联信息进行挖掘,从而获得用户之间的关系。针对这类攻击,一种典型的防范方法是随机化图修改法,如Rand Add/Del方法,将原有社会网络图G(V, E),随机删除K个真
16、实的边,然后添加K个虚假的边,保证了原有图中节点的总数不变。修改后的匿名社会网络图为G (V, E ),从而第 7 卷 第 1 期 2011 年 1 月55保护节点间的敏感连接。因为攻击者的目的是将G (V, E )中节点和边与真实社会网络中的用户身份和用户关系进行映射,所以对此方法的研究主要有:改进随机添加边的数量与攻击者能够正确推断出节点身份、节点间的连接的能力之间的关系,量化身份泄露和连接泄露,以及采取相应的保护措施等。这类方法的不足是,随机修正社会网络图可能会影响社会网络中的许多属性,如最短路径、聚类系数等。为此,文献6提出了频谱保护图随机化方法,借助频谱与网络的许多属性紧密相关的特点,针对一些网络属性进行整体评估。这样不仅可以保护边的匿名化,而且可以更好地保护网络属性。万维网用户隐私保护规范万维网联盟(World Wide Web Consortium,W3C)制定了隐私偏好规范(Platform for Privacy Preferences Project,P3P),将其作为万维网站
