普適計算中的隱私管理技術探究

夏卓越

（陜西國防工業職業技術學院 陜西 西安 710300）

1 引言

普適計算（pervasive computing environment，以下簡稱PCE）在當下的大量應用凸顯了用戶隱私保護需求，由于普適計算環境具有自動采集用戶個人信息以及自適應需求的特點，用戶與系統的主動交互頻率降低，往往忽視了個人隱私信息的保護現狀。另一方面，普適計算系統收集用戶隱私信息并存儲至數據服務中心，過程中的隱私泄露問題保護不周導致用戶隱私信息被多方共享、截取、濫用，對用戶隱私造成侵犯，導致用戶對信息服務商缺乏信任。當前PCE大多采取用戶匿名保護設計，可能導致用戶對普適計算接入權限涉入不深，無法享受PCE提供的個性化服務，這造成了隱私保護和PCE信息服務之間的矛盾。因此，應對現有的基于PCE環境下隱私管理技術進行詳細分析，根據用戶個人隱私保護需求而選擇個性化的隱私策略，有效地消除用戶隱私策略矛盾。

2 普適計算與隱私管理

2.1 普適計算背景

普適計算(Ubiquitous／Pervasive computing)誕生于20世紀90年初，首先由美國科學家Mark Weiser在1991年提出核心思想[1]。其思想內涵的出發點是推進計算機在人類生活與工作中的功能性，淡化計算機的設備設施屬性。普適計算所包含的主要內容有分布式計算、移動計算、嵌入式計算、信息化網絡、傳感器等基礎技術，通過平臺化的集成應用技術將計算機和數據服務融入物理空間，使用戶隨時隨地感受到周圍環境中無處不在的信息計算服務。普適計算具備自動感知、自動采集、自動上傳與分析外部環境的功能，被獲取數據術語叫做上下文(Context)，普適計算的本質上是上下文感知計算(Context aware computing)，用戶只需少量人機交互就可以獲得大量適合自身需求的個性化服務。

2.2 隱私管理問題

普適計算環境中的數據采集屬于系統行為，具有覆蓋范圍廣、采集方式不可見等特點，普適計算系統通過上下文感知功能獲取了用戶的身份、偏好、生理特征、當前位置、日程安排等用戶私密性信息，用戶希望這些信息受到保護，而系統數據處理過程中用戶個人私密可能被上傳、存儲、交互、乃至被網絡攻擊截獲時，用戶缺乏對這些數據傳輸過程的控制能力，引發了普適計算的隱私保護問題。當前這些問題集中體現在移動APP持續性地收集用戶數據并為用戶提供個性化的推送服務，包括消費方式、消費頻率、價格范圍、購買偏好等，導致用戶自己的行為信息暴露，包括但不限于個人屬性、當前位置、行動路線、社會關系等的敏感信息。

2.3 普適計算下的隱私保護

普適計算下的隱私保護本質上屬于信息的訪問控制問題，通過隱私策略語句設計保證用戶隱私信息的機密性。隱私策略語句被設計為結構化的訪問控制描述，規定了合理的情境條件下，特定的主體訪問對應的客體，通過計算機語言進行實現，又牽扯到計算機語言與自然語言的交互問題[2]。用戶通過輸入自然語言已實現隱私策略語句的分析與計算，系統通過將自然語言中的句法和結構，分析轉換為隱私策略語句，通過元語言結構還原情景條件、主體、客體，并進行定義，由于自然語言描述性質偏多，容易產生歧義導致系統分析、理解產生謬誤或者歸類偏差，影響隱私策略的執行效率。例如某用戶通過自然語言設置一條隱私策略“僅同事可見”，同時也是一個有意義的命題。同事是一個特定詞匯，但系統進行自動化推理時解讀“同事”的概念范圍具有一定難度，執行起隱私策略很難建立起與實際情況相符合的形式系統，自然難以滿足普適計算環境中動態和個性化的隱私保護需求。

3 普適計算下的隱私管理技術

3.1 數據資源的分類與授權控制

當下PCE普遍存在于用戶手機中的各種硬件及軟件設備，用戶希望享受PCE服務同時又不希望與他人分享這些信息，例如姓名、聯系方式、家庭住址、個人職業、個人賬戶、商務信息等。這些信息中敏感等級不同，用戶對于其中部分信息可訪問是表示支持的，這部分信息共享不會造成客戶認知上的隱私泄露，而另一部分則不希望他人共享，因此服務商可提供相應的分類機制對用戶所有信息資源劃分共享級別，進行權限設置以保護用戶個人信息的濫用或未經授權問題。這一目標涉及到多系統及組件中的數據分發儲存問題，較為復雜，信息服務商可以通過對用戶個人信息數據設置時間約束，為信息訪問權限設置基于身份標識加密的生存期層次以限制數據存儲時間，降低泄露風險。

3.2 適當降低信息粒度感知

PCE中諸如時間、位置等可能連續發生動態變化的用戶信息由于細化級別較高，用戶的動態信息和PCE服務所產生的信息量不平衡，過量數據為信息泄露提供了更大的基數和可能性[3]。例如一些基于用戶所在位置的PCE系統更新信息時間比較短暫，處理短距離位移的精準度很高，但長距離、長時間的移動狀態下往往會導致其連續工作狀態不佳，導致大量冗余數據信息阻礙了用戶信息的更新服務。基于此類，在層次型基于身份標識加密中，可以降低粒度感知級別來控制信息服務作業的中阻，對發送—接收路徑中的情境信息有時間階段性地進行轉化，類似于SPARCLE中的隱私粒度限制，將數據庫接入控制最小單位降為單個字段（field）以阻礙在大范圍內連續作業的應用程序功能，通過對請求信息的粒度進行評估并拒絕可能導致服務中阻的信息訪問請求，從而清除連續性較強的信息流，通過控制信息接收的訪問權限來提高信息服務的精確性與連續性。

3.3 基于角色的訪問控制模型

當前信息服務商們廣泛使用的訪問控制方法是基于角色的訪問控制（RBAC），RBAC模型包括用戶、角色、會話、權限四個部分，用戶屬于角色中的成員，角色是系統分配給用戶的權限集合，權限是用戶在系統中可控制的資源，四個部分之間又組分為用戶角色分配(UA)與角色權限分配(PA)，為了適應普適計算情境感知的特點，RBAC中又增加了情境角色和操作對象表。操作對象表進一步細化粒度，增加了訪問控制策略的靈活性和可操作性，而情境角色提高了RBAC模型根據具體情境為用戶分配角色的適應能力，用戶在基礎身份認證確定合法以后，UA和情境角色共同為用戶完成角色分配與具體權限分配過程。

3.4 用戶服務接入保護

用戶在接入PCE服務時會考慮到隱私信息泄露問題，由于信息交互是享受服務的前提條件，用戶往往希望自己能從信息服務商處得到更充分的信息，例如誰擁有隱私數據的訪問權限，哪些隱私數據是信息服務必需的，用戶的隱私數據的流向與用途等問題。針對這種情況，PCE提供者有必要為用戶通過提供差異化的服務接入保護機制來保護用戶的隱私信息安全。

3.5 信息使用保護與公開保護

信息服務商應針對PCE分析所必須的有限數據進行收集，不應大包大攬地收集用戶的所有數據信息，所收集的信息哪些是可公開的，使用何種格式，達到什么目的，都應提前納入協議，通過管理個人或情境數據為信息公開提供保護。控制信息散播是PCE亟待解決的另外一項隱私保護服務，信息服務商在收集和存儲用戶個人信息以增強用戶服務體驗感的同時，應該嚴格防止第三方對這些數據進行訪問，信息服務商也應保證這些數據免遭無意識使用，必須同時確保向外散播數據的精準性，防止數據被信息服務非相關人員獲取與濫用，通過對信息使用提供限制來控制信息散播的精準性，保障用戶的隱私安全。

4 總結

現有的普適計算隱私管理技術以接入管理權限為主，但是對于一些爭議較多的特性，如數據持續性控制等應用較少，PCE系統又廣泛存在于手機硬軟件當中，常常處于激活開啟狀態，通過輸入法、錄音等渠道自動收集用戶數據，與用戶的信息服務深度掛鉤，不能完全脫離。但是，無論是信息服務商還是用戶都迫切需要更多可選擇方式進行隱私管理，加強用戶的隱私保護，提高收集信息的粒度級別，這也是當下普適技術廣泛應用的現實需求。