夏卓越
(陕西国防工业职业技术学院 陕西 西安 710300)
普适计算(pervasive computing environment,以下简称PCE)在当下的大量应用凸显了用户隐私保护需求,由于普适计算环境具有自动采集用户个人信息以及自适应需求的特点,用户与系统的主动交互频率降低,往往忽视了个人隐私信息的保护现状。另一方面,普适计算系统收集用户隐私信息并存储至数据服务中心,过程中的隐私泄露问题保护不周导致用户隐私信息被多方共享、截取、滥用,对用户隐私造成侵犯,导致用户对信息服务商缺乏信任。当前PCE大多采取用户匿名保护设计,可能导致用户对普适计算接入权限涉入不深,无法享受PCE提供的个性化服务,这造成了隐私保护和PCE信息服务之间的矛盾。因此,应对现有的基于PCE环境下隐私管理技术进行详细分析,根据用户个人隐私保护需求而选择个性化的隐私策略,有效地消除用户隐私策略矛盾。
普适计算(Ubiquitous/Pervasive computing)诞生于20世纪90年初,首先由美国科学家Mark Weiser在1991年提出核心思想[1]。其思想内涵的出发点是推进计算机在人类生活与工作中的功能性,淡化计算机的设备设施属性。普适计算所包含的主要内容有分布式计算、移动计算、嵌入式计算、信息化网络、传感器等基础技术,通过平台化的集成应用技术将计算机和数据服务融入物理空间,使用户随时随地感受到周围环境中无处不在的信息计算服务。普适计算具备自动感知、自动采集、自动上传与分析外部环境的功能,被获取数据术语叫做上下文(Context),普适计算的本质上是上下文感知计算(Context aware computing),用户只需少量人机交互就可以获得大量适合自身需求的个性化服务。
普适计算环境中的数据采集属于系统行为,具有覆盖范围广、采集方式不可见等特点,普适计算系统通过上下文感知功能获取了用户的身份、偏好、生理特征、当前位置、日程安排等用户私密性信息,用户希望这些信息受到保护,而系统数据处理过程中用户个人私密可能被上传、存储、交互、乃至被网络攻击截获时,用户缺乏对这些数据传输过程的控制能力,引发了普适计算的隐私保护问题。当前这些问题集中体现在移动APP持续性地收集用户数据并为用户提供个性化的推送服务,包括消费方式、消费频率、价格范围、购买偏好等,导致用户自己的行为信息暴露,包括但不限于个人属性、当前位置、行动路线、社会关系等的敏感信息。
普适计算下的隐私保护本质上属于信息的访问控制问题,通过隐私策略语句设计保证用户隐私信息的机密性。隐私策略语句被设计为结构化的访问控制描述,规定了合理的情境条件下,特定的主体访问对应的客体,通过计算机语言进行实现,又牵扯到计算机语言与自然语言的交互问题[2]。用户通过输入自然语言已实现隐私策略语句的分析与计算,系统通过将自然语言中的句法和结构,分析转换为隐私策略语句,通过元语言结构还原情景条件、主体、客体,并进行定义,由于自然语言描述性质偏多,容易产生歧义导致系统分析、理解产生谬误或者归类偏差,影响隐私策略的执行效率。例如某用户通过自然语言设置一条隐私策略“仅同事可见”,同时也是一个有意义的命题。同事是一个特定词汇,但系统进行自动化推理时解读“同事”的概念范围具有一定难度,执行起隐私策略很难建立起与实际情况相符合的形式系统,自然难以满足普适计算环境中动态和个性化的隐私保护需求。
当下PCE普遍存在于用户手机中的各种硬件及软件设备,用户希望享受PCE服务同时又不希望与他人分享这些信息,例如姓名、联系方式、家庭住址、个人职业、个人账户、商务信息等。这些信息中敏感等级不同,用户对于其中部分信息可访问是表示支持的,这部分信息共享不会造成客户认知上的隐私泄露,而另一部分则不希望他人共享,因此服务商可提供相应的分类机制对用户所有信息资源划分共享级别,进行权限设置以保护用户个人信息的滥用或未经授权问题。这一目标涉及到多系统及组件中的数据分发储存问题,较为复杂,信息服务商可以通过对用户个人信息数据设置时间约束,为信息访问权限设置基于身份标识加密的生存期层次以限制数据存储时间,降低泄露风险。
PCE中诸如时间、位置等可能连续发生动态变化的用户信息由于细化级别较高,用户的动态信息和PCE服务所产生的信息量不平衡,过量数据为信息泄露提供了更大的基数和可能性[3]。例如一些基于用户所在位置的PCE系统更新信息时间比较短暂,处理短距离位移的精准度很高,但长距离、长时间的移动状态下往往会导致其连续工作状态不佳,导致大量冗余数据信息阻碍了用户信息的更新服务。基于此类,在层次型基于身份标识加密中,可以降低粒度感知级别来控制信息服务作业的中阻,对发送—接收路径中的情境信息有时间阶段性地进行转化,类似于SPARCLE中的隐私粒度限制,将数据库接入控制最小单位降为单个字段(field)以阻碍在大范围内连续作业的应用程序功能,通过对请求信息的粒度进行评估并拒绝可能导致服务中阻的信息访问请求,从而清除连续性较强的信息流,通过控制信息接收的访问权限来提高信息服务的精确性与连续性。
当前信息服务商们广泛使用的访问控制方法是基于角色的访问控制(RBAC),RBAC模型包括用户、角色、会话、权限四个部分,用户属于角色中的成员,角色是系统分配给用户的权限集合,权限是用户在系统中可控制的资源,四个部分之间又组分为用户角色分配(UA)与角色权限分配(PA),为了适应普适计算情境感知的特点,RBAC中又增加了情境角色和操作对象表。操作对象表进一步细化粒度,增加了访问控制策略的灵活性和可操作性,而情境角色提高了RBAC模型根据具体情境为用户分配角色的适应能力,用户在基础身份认证确定合法以后,UA和情境角色共同为用户完成角色分配与具体权限分配过程。
用户在接入PCE服务时会考虑到隐私信息泄露问题,由于信息交互是享受服务的前提条件,用户往往希望自己能从信息服务商处得到更充分的信息,例如谁拥有隐私数据的访问权限,哪些隐私数据是信息服务必需的,用户的隐私数据的流向与用途等问题。针对这种情况,PCE提供者有必要为用户通过提供差异化的服务接入保护机制来保护用户的隐私信息安全。
信息服务商应针对PCE分析所必须的有限数据进行收集,不应大包大揽地收集用户的所有数据信息,所收集的信息哪些是可公开的,使用何种格式,达到什么目的,都应提前纳入协议,通过管理个人或情境数据为信息公开提供保护。控制信息散播是PCE亟待解决的另外一项隐私保护服务,信息服务商在收集和存储用户个人信息以增强用户服务体验感的同时,应该严格防止第三方对这些数据进行访问,信息服务商也应保证这些数据免遭无意识使用,必须同时确保向外散播数据的精准性,防止数据被信息服务非相关人员获取与滥用,通过对信息使用提供限制来控制信息散播的精准性,保障用户的隐私安全。
现有的普适计算隐私管理技术以接入管理权限为主,但是对于一些争议较多的特性,如数据持续性控制等应用较少,PCE系统又广泛存在于手机硬软件当中,常常处于激活开启状态,通过输入法、录音等渠道自动收集用户数据,与用户的信息服务深度挂钩,不能完全脱离。但是,无论是信息服务商还是用户都迫切需要更多可选择方式进行隐私管理,加强用户的隐私保护,提高收集信息的粒度级别,这也是当下普适技术广泛应用的现实需求。