普適計(jì)算中的隱私管理技術(shù)探究

夏卓越

（陜西國(guó)防工業(yè)職業(yè)技術(shù)學(xué)院 陜西 西安 710300）

1 引言

普適計(jì)算（pervasive computing environment，以下簡(jiǎn)稱PCE）在當(dāng)下的大量應(yīng)用凸顯了用戶隱私保護(hù)需求，由于普適計(jì)算環(huán)境具有自動(dòng)采集用戶個(gè)人信息以及自適應(yīng)需求的特點(diǎn)，用戶與系統(tǒng)的主動(dòng)交互頻率降低，往往忽視了個(gè)人隱私信息的保護(hù)現(xiàn)狀。另一方面，普適計(jì)算系統(tǒng)收集用戶隱私信息并存儲(chǔ)至數(shù)據(jù)服務(wù)中心，過(guò)程中的隱私泄露問(wèn)題保護(hù)不周導(dǎo)致用戶隱私信息被多方共享、截取、濫用，對(duì)用戶隱私造成侵犯，導(dǎo)致用戶對(duì)信息服務(wù)商缺乏信任。當(dāng)前PCE大多采取用戶匿名保護(hù)設(shè)計(jì)，可能導(dǎo)致用戶對(duì)普適計(jì)算接入權(quán)限涉入不深，無(wú)法享受PCE提供的個(gè)性化服務(wù)，這造成了隱私保護(hù)和PCE信息服務(wù)之間的矛盾。因此，應(yīng)對(duì)現(xiàn)有的基于PCE環(huán)境下隱私管理技術(shù)進(jìn)行詳細(xì)分析，根據(jù)用戶個(gè)人隱私保護(hù)需求而選擇個(gè)性化的隱私策略，有效地消除用戶隱私策略矛盾。

2 普適計(jì)算與隱私管理

2.1 普適計(jì)算背景

普適計(jì)算(Ubiquitous／Pervasive computing)誕生于20世紀(jì)90年初，首先由美國(guó)科學(xué)家Mark Weiser在1991年提出核心思想[1]。其思想內(nèi)涵的出發(fā)點(diǎn)是推進(jìn)計(jì)算機(jī)在人類生活與工作中的功能性，淡化計(jì)算機(jī)的設(shè)備設(shè)施屬性。普適計(jì)算所包含的主要內(nèi)容有分布式計(jì)算、移動(dòng)計(jì)算、嵌入式計(jì)算、信息化網(wǎng)絡(luò)、傳感器等基礎(chǔ)技術(shù)，通過(guò)平臺(tái)化的集成應(yīng)用技術(shù)將計(jì)算機(jī)和數(shù)據(jù)服務(wù)融入物理空間，使用戶隨時(shí)隨地感受到周圍環(huán)境中無(wú)處不在的信息計(jì)算服務(wù)。普適計(jì)算具備自動(dòng)感知、自動(dòng)采集、自動(dòng)上傳與分析外部環(huán)境的功能，被獲取數(shù)據(jù)術(shù)語(yǔ)叫做上下文(Context)，普適計(jì)算的本質(zhì)上是上下文感知計(jì)算(Context aware computing)，用戶只需少量人機(jī)交互就可以獲得大量適合自身需求的個(gè)性化服務(wù)。

2.2 隱私管理問(wèn)題

普適計(jì)算環(huán)境中的數(shù)據(jù)采集屬于系統(tǒng)行為，具有覆蓋范圍廣、采集方式不可見(jiàn)等特點(diǎn)，普適計(jì)算系統(tǒng)通過(guò)上下文感知功能獲取了用戶的身份、偏好、生理特征、當(dāng)前位置、日程安排等用戶私密性信息，用戶希望這些信息受到保護(hù)，而系統(tǒng)數(shù)據(jù)處理過(guò)程中用戶個(gè)人私密可能被上傳、存儲(chǔ)、交互、乃至被網(wǎng)絡(luò)攻擊截獲時(shí)，用戶缺乏對(duì)這些數(shù)據(jù)傳輸過(guò)程的控制能力，引發(fā)了普適計(jì)算的隱私保護(hù)問(wèn)題。當(dāng)前這些問(wèn)題集中體現(xiàn)在移動(dòng)APP持續(xù)性地收集用戶數(shù)據(jù)并為用戶提供個(gè)性化的推送服務(wù)，包括消費(fèi)方式、消費(fèi)頻率、價(jià)格范圍、購(gòu)買偏好等，導(dǎo)致用戶自己的行為信息暴露，包括但不限于個(gè)人屬性、當(dāng)前位置、行動(dòng)路線、社會(huì)關(guān)系等的敏感信息。

2.3 普適計(jì)算下的隱私保護(hù)

普適計(jì)算下的隱私保護(hù)本質(zhì)上屬于信息的訪問(wèn)控制問(wèn)題，通過(guò)隱私策略語(yǔ)句設(shè)計(jì)保證用戶隱私信息的機(jī)密性。隱私策略語(yǔ)句被設(shè)計(jì)為結(jié)構(gòu)化的訪問(wèn)控制描述，規(guī)定了合理的情境條件下，特定的主體訪問(wèn)對(duì)應(yīng)的客體，通過(guò)計(jì)算機(jī)語(yǔ)言進(jìn)行實(shí)現(xiàn)，又牽扯到計(jì)算機(jī)語(yǔ)言與自然語(yǔ)言的交互問(wèn)題[2]。用戶通過(guò)輸入自然語(yǔ)言已實(shí)現(xiàn)隱私策略語(yǔ)句的分析與計(jì)算，系統(tǒng)通過(guò)將自然語(yǔ)言中的句法和結(jié)構(gòu)，分析轉(zhuǎn)換為隱私策略語(yǔ)句，通過(guò)元語(yǔ)言結(jié)構(gòu)還原情景條件、主體、客體，并進(jìn)行定義，由于自然語(yǔ)言描述性質(zhì)偏多，容易產(chǎn)生歧義導(dǎo)致系統(tǒng)分析、理解產(chǎn)生謬誤或者歸類偏差，影響隱私策略的執(zhí)行效率。例如某用戶通過(guò)自然語(yǔ)言設(shè)置一條隱私策略“僅同事可見(jiàn)”，同時(shí)也是一個(gè)有意義的命題。同事是一個(gè)特定詞匯，但系統(tǒng)進(jìn)行自動(dòng)化推理時(shí)解讀“同事”的概念范圍具有一定難度，執(zhí)行起隱私策略很難建立起與實(shí)際情況相符合的形式系統(tǒng)，自然難以滿足普適計(jì)算環(huán)境中動(dòng)態(tài)和個(gè)性化的隱私保護(hù)需求。

3 普適計(jì)算下的隱私管理技術(shù)

3.1 數(shù)據(jù)資源的分類與授權(quán)控制

當(dāng)下PCE普遍存在于用戶手機(jī)中的各種硬件及軟件設(shè)備，用戶希望享受PCE服務(wù)同時(shí)又不希望與他人分享這些信息，例如姓名、聯(lián)系方式、家庭住址、個(gè)人職業(yè)、個(gè)人賬戶、商務(wù)信息等。這些信息中敏感等級(jí)不同，用戶對(duì)于其中部分信息可訪問(wèn)是表示支持的，這部分信息共享不會(huì)造成客戶認(rèn)知上的隱私泄露，而另一部分則不希望他人共享，因此服務(wù)商可提供相應(yīng)的分類機(jī)制對(duì)用戶所有信息資源劃分共享級(jí)別，進(jìn)行權(quán)限設(shè)置以保護(hù)用戶個(gè)人信息的濫用或未經(jīng)授權(quán)問(wèn)題。這一目標(biāo)涉及到多系統(tǒng)及組件中的數(shù)據(jù)分發(fā)儲(chǔ)存問(wèn)題，較為復(fù)雜，信息服務(wù)商可以通過(guò)對(duì)用戶個(gè)人信息數(shù)據(jù)設(shè)置時(shí)間約束，為信息訪問(wèn)權(quán)限設(shè)置基于身份標(biāo)識(shí)加密的生存期層次以限制數(shù)據(jù)存儲(chǔ)時(shí)間，降低泄露風(fēng)險(xiǎn)。

3.2 適當(dāng)降低信息粒度感知

PCE中諸如時(shí)間、位置等可能連續(xù)發(fā)生動(dòng)態(tài)變化的用戶信息由于細(xì)化級(jí)別較高，用戶的動(dòng)態(tài)信息和PCE服務(wù)所產(chǎn)生的信息量不平衡，過(guò)量數(shù)據(jù)為信息泄露提供了更大的基數(shù)和可能性[3]。例如一些基于用戶所在位置的PCE系統(tǒng)更新信息時(shí)間比較短暫，處理短距離位移的精準(zhǔn)度很高，但長(zhǎng)距離、長(zhǎng)時(shí)間的移動(dòng)狀態(tài)下往往會(huì)導(dǎo)致其連續(xù)工作狀態(tài)不佳，導(dǎo)致大量冗余數(shù)據(jù)信息阻礙了用戶信息的更新服務(wù)。基于此類，在層次型基于身份標(biāo)識(shí)加密中，可以降低粒度感知級(jí)別來(lái)控制信息服務(wù)作業(yè)的中阻，對(duì)發(fā)送—接收路徑中的情境信息有時(shí)間階段性地進(jìn)行轉(zhuǎn)化，類似于SPARCLE中的隱私粒度限制，將數(shù)據(jù)庫(kù)接入控制最小單位降為單個(gè)字段（field）以阻礙在大范圍內(nèi)連續(xù)作業(yè)的應(yīng)用程序功能，通過(guò)對(duì)請(qǐng)求信息的粒度進(jìn)行評(píng)估并拒絕可能導(dǎo)致服務(wù)中阻的信息訪問(wèn)請(qǐng)求，從而清除連續(xù)性較強(qiáng)的信息流，通過(guò)控制信息接收的訪問(wèn)權(quán)限來(lái)提高信息服務(wù)的精確性與連續(xù)性。

3.3 基于角色的訪問(wèn)控制模型

當(dāng)前信息服務(wù)商們廣泛使用的訪問(wèn)控制方法是基于角色的訪問(wèn)控制（RBAC），RBAC模型包括用戶、角色、會(huì)話、權(quán)限四個(gè)部分，用戶屬于角色中的成員，角色是系統(tǒng)分配給用戶的權(quán)限集合，權(quán)限是用戶在系統(tǒng)中可控制的資源，四個(gè)部分之間又組分為用戶角色分配(UA)與角色權(quán)限分配(PA)，為了適應(yīng)普適計(jì)算情境感知的特點(diǎn)，RBAC中又增加了情境角色和操作對(duì)象表。操作對(duì)象表進(jìn)一步細(xì)化粒度，增加了訪問(wèn)控制策略的靈活性和可操作性，而情境角色提高了RBAC模型根據(jù)具體情境為用戶分配角色的適應(yīng)能力，用戶在基礎(chǔ)身份認(rèn)證確定合法以后，UA和情境角色共同為用戶完成角色分配與具體權(quán)限分配過(guò)程。

3.4 用戶服務(wù)接入保護(hù)

用戶在接入PCE服務(wù)時(shí)會(huì)考慮到隱私信息泄露問(wèn)題，由于信息交互是享受服務(wù)的前提條件，用戶往往希望自己能從信息服務(wù)商處得到更充分的信息，例如誰(shuí)擁有隱私數(shù)據(jù)的訪問(wèn)權(quán)限，哪些隱私數(shù)據(jù)是信息服務(wù)必需的，用戶的隱私數(shù)據(jù)的流向與用途等問(wèn)題。針對(duì)這種情況，PCE提供者有必要為用戶通過(guò)提供差異化的服務(wù)接入保護(hù)機(jī)制來(lái)保護(hù)用戶的隱私信息安全。

3.5 信息使用保護(hù)與公開(kāi)保護(hù)

信息服務(wù)商應(yīng)針對(duì)PCE分析所必須的有限數(shù)據(jù)進(jìn)行收集，不應(yīng)大包大攬地收集用戶的所有數(shù)據(jù)信息，所收集的信息哪些是可公開(kāi)的，使用何種格式，達(dá)到什么目的，都應(yīng)提前納入?yún)f(xié)議，通過(guò)管理個(gè)人或情境數(shù)據(jù)為信息公開(kāi)提供保護(hù)。控制信息散播是PCE亟待解決的另外一項(xiàng)隱私保護(hù)服務(wù)，信息服務(wù)商在收集和存儲(chǔ)用戶個(gè)人信息以增強(qiáng)用戶服務(wù)體驗(yàn)感的同時(shí)，應(yīng)該嚴(yán)格防止第三方對(duì)這些數(shù)據(jù)進(jìn)行訪問(wèn)，信息服務(wù)商也應(yīng)保證這些數(shù)據(jù)免遭無(wú)意識(shí)使用，必須同時(shí)確保向外散播數(shù)據(jù)的精準(zhǔn)性，防止數(shù)據(jù)被信息服務(wù)非相關(guān)人員獲取與濫用，通過(guò)對(duì)信息使用提供限制來(lái)控制信息散播的精準(zhǔn)性，保障用戶的隱私安全。

4 總結(jié)

現(xiàn)有的普適計(jì)算隱私管理技術(shù)以接入管理權(quán)限為主，但是對(duì)于一些爭(zhēng)議較多的特性，如數(shù)據(jù)持續(xù)性控制等應(yīng)用較少，PCE系統(tǒng)又廣泛存在于手機(jī)硬軟件當(dāng)中，常常處于激活開(kāi)啟狀態(tài)，通過(guò)輸入法、錄音等渠道自動(dòng)收集用戶數(shù)據(jù)，與用戶的信息服務(wù)深度掛鉤，不能完全脫離。但是，無(wú)論是信息服務(wù)商還是用戶都迫切需要更多可選擇方式進(jìn)行隱私管理，加強(qiáng)用戶的隱私保護(hù)，提高收集信息的粒度級(jí)別，這也是當(dāng)下普適技術(shù)廣泛應(yīng)用的現(xiàn)實(shí)需求。