面向移動終端情景隱私保護設計研究

張 帥 趙 炎

（1. 湖北水利水電職業技術學院，湖北 武漢 430070;（2. 宿遷經貿高等職業技術學校，江蘇 宿遷 223800）

面向移動終端情景隱私保護設計研究

張 帥1趙 炎2

（1. 湖北水利水電職業技術學院，湖北 武漢 430070;（2. 宿遷經貿高等職業技術學校，江蘇 宿遷 223800）

基于情境的個性化服務已經廣泛應用在人們的日常生活中，并且在不斷擴展服務的應用范圍。然而，在這些個性化服務體驗的背后，也隱藏著不容忽視的隱私問題。因此，研究情景隱私的保護有迫切的現實需要。本論文重新分析移動端重情境隱私保護的隱私模型，突破當前情境隱私保護的狹隘概念，完善情境隱私保護的理論基礎，提出新的情境隱私的保護方法，擬將解決當前情境隱私保護中理論基礎不完善的現狀，促進密碼學、網絡安全與軟件安全技術的發展與情境隱私保護方法的實用化。

移動終端;情景隱私;隱私模型;情景數;隱私保護

1 背景

移動智能設備和可穿戴設備等移動端的發展和普及為人們帶來了個性化的服務和體驗，如基于位置服務、健康監控服務等。這些服務通過收集并分析稱為情景的數據來為用戶提供個性化的服務。所謂情境，即任何一個能用于刻畫當前實體狀況的信息。從數據來源上，情景可以分為兩類：第一類稱為基本情境，是指不需要使用已有的情景或對傳感器數據進行計算得到的數據；第二類稱為輔助情境，是指能從任何的情況中計算得到的數據。從數據類型上，情境可以分為三類：第一類是身份，是指任何能夠對應到現實世界實體的信息；第二類是位置，是指任何能夠刻畫實體空間狀態的信息；第三類是時間，是指任何能夠刻畫實體時間狀態的信息。個性化服務正是依賴于用戶提供各種情景的數據來作出合理的判斷，但提供的各種情境的數據也埋藏著不可忽視的隱私風險。

2 情境隱私保護存在的問題

2.1 隱私模型無法適應情境隱私保護的需求

隱私模型是隱私保護的重要組成部分，它闡述了隱私的定義以及相應的評估指標。然而現用的隱私模型無法適應情境隱私的保護的需求。這些模型的數據類型適應性差，缺失對時空關聯信息的保護，缺乏個性化的隱私模型。以位置和時間的發布為例，一些研究人員認為隱私模型即匿名模型，但GambsS等人對底特律市部分區域的GPS軌跡進行數據分析，推斷出約85%的用戶的家庭住址，表明匿名同樣會泄漏大量的信息[1]。Andres等人將差分隱私模型引入到位置隱私保護中，但這一模型無法擴展到情境隱私其他的數據類型[2]。這些研究表明 ，情景隱私保護需要更加合理的理論及模型的支撐。

2.2 缺乏對軟件泄漏情景數據的有效度量的方法

當前大部分情境隱私保護的方法主要是惡意服務器，即服務器獲得用戶提交數據之后無法威脅用戶的隱私。然而，大部分用戶的情境數據都是通過移動端上市的軟件發布，而這些軟件則是由相應的服務提供商開發，現有的情境隱私保護的方法并沒有考慮到這種由軟件泄漏情境數據的情況。在2014年的CCS 會議上 Fawaz和Shin提出了一種針對移動端環境位置隱私保護框架，填補了這方面的空白[3]。但是，提出的框架需要大量的用戶交換，并且缺乏對導航的報告關鍵軟件的支持。在情境隱私保護的方法上，如何針對用戶情境大部的移動端環境作出合理的判斷與優化仍是一個亟待解決的課題。

2.3 缺乏對服務質量和隱私性的動態平衡

雖然情境隱私保護至關重要，但是情境數據是實現個性化服務的必要數據，因此保護情境隱私的同時也要考慮情境質量對服務質量的影響。然而，大部分情境隱私保護方法都是針對固定的目標，即無論不同用戶的個性化服務或同一用戶在不同場景下需要何種程度的隱私保護，都會輸出類似的結果。因此，這些隱私保護方法有時候會損害服務質量，而有時候卻會發布不必要的情景數據。

2.4 缺乏高效的數據釋放決策機制

個性化服務中的情境數據通常需要實時發布并獲取，然而大部分現有的情境隱私保護是從離線數據發布方法借鑒而來，因此并不滿足這個需求。例如，基于k匿名的位置隱私保護方法需要等待出現K滿足條件的用戶時才能繼續發布信息，這導致在一些情況下，用戶的服務請求無法得到實時響應。

3 情境隱私保護設計探討

3.1 面向情境感知應用個性化隱私模型

雖然情景隱私保護屬于數據發布的范疇，但傳統的用于數據發布的隱私模型，例如k匿名為代表的隱私模型就無法判斷用戶的隱私是否真正得到了保護。差分隱私對敏感數據的計算處理結果對于具體某個用戶是不敏感的，單個用戶在數據集中或者不在數據集中，對處理結果的影響微乎其微，這些模型并不適用于情境隱私保護的場景。這主要是因為情境數據具有獨立發布、連續發布、情境相關、用戶相關特征。獨立發布，是指情境數據的發布往往是由用戶服務器發布的，從而具有內在的身份可鏈接性，而傳統的隱私模型只針對多用戶數據集合的發布，并直接去除了身份對隱私的影響。連續發布，是指情境數據的發布通常是持續的，且前后數據之間有一定的關聯性，而大部分傳統的隱私模型只針對數據的一次性發布，沒有考慮到單個數據持續變化對用戶隱私的影響。情境相關和用戶相關，是指情境隱私保護的程度需要根據當前的環境和用戶的需求進行調整，而傳統的隱私模型的保護內容和保護程度都是固定的。因此，情境數據發布的隱私模型比傳統數據發布的隱私模型更為復雜?？梢圆捎靡择R爾可夫鏈為主，并結合概率論與統計學的方法來刻畫隱私模型，解決情境數據獨立發布與連續發布帶來的隱私泄露問題，還可以采用情境感知的方法來描述情境隱私模型，以實現隱私模型的情境相關與用戶相關。

3.2 軟件的情境隱私相關行為的度量方法

軟件隱私行為的度量是一個前沿的研究領域，目前已有的研究方法主要是根據軟件收集了什么隱私數據、收集了多少隱私數據或者收集隱私數據是否經過了用戶的授權來判斷，并簡單地將軟件分為危害隱私和不危害隱私兩類。然而，這些方法都沒有考慮軟件自身的需求和當前的情景，因此并不能正確判斷一個軟件是否正在危害隱私。例如一個導航軟件需要使用用戶的精確位置，但并不能一次判斷它是個危害隱私的軟件。簡單地分為有危害和無危害兩類，無法滿足軟件功能的多樣性和情境的復雜性，應該根據實際情況將軟件從信賴程度和隱私程度兩個方面劃分為不同等級。信賴程度，是指軟件是否在用戶不知情的情況下傳輸隱私數據或進行其他設計隱私的行為。隱私程度，是指軟件使用的隱私數據若被攻擊者掌握，則可能帶來的風險的程度。

因此，軟件的情境隱私相關行為的度量應該考慮軟件本身的安全性、用戶使用的情境和情境數據帶來的風險三個方面?？紤]采用軟件逆向工程等方法來分析軟件本身的安全性，并采用機器學習等方法實現對軟件使用情境的分析和對情境數據帶來的風險評估，實現自適應、細粒度的軟件行為度量。

3.3 情境感知應用的服務質量與隱私保護的動態平衡

現有的情境隱私保護方法通常以犧牲數據質量為代價，通過降低情境數據的質量，例如準確度、精度、可信度等，來實現隱私的保護。例如，以實現K匿名為目標的位置信息保護方法，或用可信第三方的位置代替用戶的位置，從而降低了用戶位置的準確度，或用一片區域代替用戶的位置，從而降低了用戶位置的精度。在一些情況下，這種情境質量的降低不會影響用戶獲得的服務質量，但在更多情況下，可能會導致用戶的服務質量下降，甚至功能失效。然而，目前大部分情境隱私保護方法缺乏對服務質量需求的考慮，簡單地根據預設的隱私保護需求（例如K匿名中的K）來處理情境數據，這無疑會犧牲用戶的體驗。雖然已有一些研究考慮了服務質量與情境隱私的平衡，但這些研究只針對單個的情境質量目標（如位置、時間等），尚缺乏對服務質量的完善評估。

因此，在保護情境隱私保護同時，也應該將服務質量的需求納入考慮。通過完善情境感知服務的度量，并采用博弈論和動態規劃的方法對情境感知服務中的隱私保護與服務質量進行動態平衡與優化。

3.4 情境數據的在線釋放決策方法

情境數據的釋放與傳統的數據發布以及被廣泛研究的位置信息發布的最大區別在于情境數據的實時性、多樣性和差異性。傳統的數據發布多是離線進行的，既然數據的發布者有足夠的時間對數據進行分析、處理并發布，而情境數據的釋放需要在線進行，這使得傳統數據發布中的隱私保護方法大都無法在情景隱私保護中使用。目前有部分工作針對位置信息的發布提出了實時決策的方法，但是位置信息只是情境數據的一部分，情境數據還包含范圍更廣的各種類型的隱私數據，如狀態、活動等、數據類型的多樣性使得大部分位置信息發布的隱私保護方法不能全面地保護情境隱私。此外，情境數據釋放決策往往具有時空依賴性，即情境數據的釋放沒有通用準則，釋放數據的規則需要根據當前的情景決定，而大部分已有的數據發布算法并不考慮每一次數據發布時的情境差異。

因此，情境數據的釋放決策方法是一種在線的決策過程，并需要綜合考慮數據發布的情境、情境數據的質量以及用戶的隱私需求?？梢圆捎靡噪[馬爾可夫模型和條件隨機場等理論，設計滿足情境數據在線釋放需求的決策方法。

4 結語

本研究將繼續提出較為完善的情境隱私保護理論模型，為研究并設計情境隱私保護方法，成為充分保護用戶的個人隱私堅實的理論基礎；本研究將繼續針對情境隱私數據發布的特征，設計高效的面向移動終端的情境隱私保護方法，在充分保護用戶的個人隱私的同時，盡可能保障情景數據質量；擬設計實現面向終端的情境隱私保護原型系統，提出情境隱私保護方法。

[1]G a m b s S，K i l l i i j i a nM O ，C o r t e z M NdP ． Sh o wm e h o wy o um o v e a n dIw i l l t e l l y o uw h oy o ua r e． T r a n s． o nD a t a Pr i v a c y，2011，2(4)：103-126．

[2]A ND R éS ME，B O R D ENA B E N E，C H A T Z IK O K O LA K IS K ，PA LA M ID ESSI C ． G e o-i n d i s t i n g u i s h a b i l i t y：d i f f e r e n t i a l p r i v a c yf o r l o c at i o n-b a s e ds y s t e m s[C]//Pr o c e e d i n g s o f t h e 2013A C MSIG SA C c o n f e r e n c e o nC o m p u t e r a n dc o m m u n i c a t i o n s s e c u r i t y，Ne wY o r k，NY ，U SA ，2013：901-914．

[3]FA W A Z K ，SH IN KG ． Lo c a t i o nPr i v a c yPr o t e c t i o nf o r Sm a r tp h o n eU s e r s[C]//Pr o c e e d i n g s o f t h e2014A C MSIG SA C C o n f e r e n c eo n C o m p u t e r a n d C o m m u n i c a t i o n s Se c u r i t y，2014：239-250．

Research on Scenario Privacy Protection Design for Mobile Terminal

Zhang Shuai1Zhao Yan2
(1.HuBei Water Resources Technical College,Hubei 430070,Wuhan) (2Suqian Economic and Trade Occupation School,Suqian 223800,Jiangsu)

Context-based personalized service has been widely used in people's daily life,and in the continuous expansion of the scope of service applications.However,behind these personalized service experiences,there are hidden privacy issues that cannot be ignored.Therefore,the study of the protection of situational privacy is an urgent need to achieve.This paper analyzes the privacy model of privacy protection in mobile context,breaks through the narrow concept of current situation privacy protection,improves the theoretical basis of situational privacy protection,puts forward the new protection method of situational privacy,and tries to solve the theoretical basis of current situation privacy protection imperfect status quo,to promote the development of cryptography, network security and software security technology and the practical application of situational privacy protection methods.

mobile terminal;scenario privacy;privacy model;number of scenes;privacy protection

TP309

A

1008-6609(2017)05-0038-03

張帥（1983－），女，安徽宿州人，碩士研究生，講師，研究方向為計算機多媒體與網絡。

湖北水利水電職業技術學院院級課題，項目編號：h b s y 2014j s j 03。