网络环境中用户的隐私保护访问控制模型

网络环境中用户的隐私保护访问控制模型

在网络环境中有效保护用户的隐私信息是网络安全领域的研究热点。在文献中，隐私被定义为保护个人独特性的权利。用户隐私也被定义为决定并控制他人接收、保存和传播个人信息的权利。保护用户的个人隐私不是侵犯个人数据的第三方，而是控制用户控制个人信息的权利。因此，在许多数据保护方法中，访问控制是最有效的方法之一。目前，国内外研究人员提出了基于访问控制的各种数据保护方法，基本理念是基于数据保护战略。万维网联盟w3c制定的基于隐私偏好的隐私保护方案p3p，可以通过为web浏览器提供标准的阅读格式和一个协议，以自动阅读和处理策略。支持p3p的web站点可以向媒体披露自己的隐私策略，支持p3p的浏览器可以将web站点策略与用户的隐私偏好进行比较。如果不匹配，用户将受到警告。因此，用户可以告知处理web隐私的方法。要将访问控制有效地应用于隐私信息的保护,必须了解隐私保护的特点.对用户隐私偏好的研究发现,用户隐私偏好不仅根据信息请求者的不同而有所不同,还会因环境、情况及活动的不同而异.用户在某个特定的位置或者进行某项特定活动时,对个人隐私信息的保护可能会有特定的要求.例如,当用户在办公室或在工作时间段愿意让自己的上司获得其当前的位置信息,而在工作时间外则不愿意让上司获得此类信息.用户在家与否,当前的时间是10:00还是22:00,都可能会使用户在作出访问控制决策时产生截然不同的结果.大多数情况下,由于各种环境信息过于复杂,用户无法事前设定他们对应于每种环境的隐私偏好,因而有必要对某些隐私信息的访问请求进行实时决策.另外,用户也需要一定的方法和手段随时更改他们对个人隐私偏好的设置.而针对安全的访问控制策略一旦设置完成,通常会被长时间保存,一般不会被实时更改.本文提出一种访问控制模型,在不影响系统中其他安全方法和机制有效应用的同时,用户可以灵活、有效地控制个人隐私,但不会给用户造成过多的负担.1在模型中，实体和实体之间进行互动1.1模型中的单元1信息客户信息请求者是对系统中用户的隐私信息提出访问请求的实体,可以是个人、机构、服务提供商等.2用户用户是指隐私信息的拥有者或归属者,所有对用户的隐私信息进行访问的请求都必须得到用户的许可.3隐私信息的认证服务器作为可信第三方的实体,提供的服务主要包括对信息请求者进行认证、对用户的隐私信息进行访问控制等.在本文中,假设用户和服务器之间存在着完全信任的关系.这就要求用户和服务器之间已经存在着一种相互认证的方式,并且他们之间的通信是安全的.以上要求可以通过传统信息安全理论中的认证和数据加密方法来实现.1.2问卷控制模型在传统的针对信息安全的访问控制模型中,用户设置访问控制策略,并传送给服务器.服务器存储访问控制策略,并与受保护的信息实现关联.当信息请求者提出访问请求时,首先向服务器发送访问请求.服务器接收到访问请求后,根据用户针对被访问的信息预先设定好的访问控制策略作出访问控制决策,即允许访问或拒绝访问.与将所有访问控制策略存放在服务器端有所不同,本文提出的针对隐私信息保护的访问控制模型将访问控制策略分为2部分:一部分是存放在服务器端的普通访问控制策略,另一部分是存放在用户端的隐私访问控制策略.普通访问控制策略指那些简单且相对固定的访问控制策略,用户不常更改这些策略,并且不介意将这些策略存放在服务器端;隐私访问控制策略指用户希望能得到保护的控制策略,用户可以随时创建、更改或删除这些策略.本文提出的模型中,用户可以确定哪些为普通访问控制策略,哪些为隐私访问控制策略.信息请求者希望访问用户隐私信息时,需要生成一个访问请求并发送给服务器.服务器首先验证信息请求者的身份,如果身份验证通过,服务器则继续检查服务器中存放的普通访问控制策略,查询与信息请求者以及请求访问的隐私信息相关的策略,并根据策略作出第1次访问决策.第1次访问决策可能是“授权”“拒绝”或者“询问用户”.如果是“授权”或“拒绝”,服务器就将访问决策直接传送给信息请求者,并按照访问决策读取相关信息;如果是“询问用户”,服务器则将访问请求传送给用户.在后一种情况下,用户将接收到访问请求,并根据存放在用户端的隐私访问控制策略作出第2次访问决策.用户将第2次访问决策传送给服务器,服务器再通知信息请求者该次访问请求被“授权”或“拒绝”,并按照访问决策读取相关信息.图1显示了模型中的主体以及主体之间的交互关系和过程.2隐私信息请求者身份认证方案本文提出的访问控制模型由2部分构成:服务器端和用户端.服务器端的主要功能包括:对访问请求进行解析,确定隐私信息访问的请求者以及该信息请求者在何种情况下请求访问哪些隐私信息;对隐私信息请求者的身份进行认证;依据用户设置的相关访问控制策略进行第1次访问决策;负责与信息请求者及用户进行交互.客户端的主要任务是依据用户设置的隐私访问控制策略进行第2次访问决策.构成模型的2个部分分别由不同的子部分构成,如图2所示.每个子部分负责访问决策过程中不同的功能,具体描述如下.1服务器身份身份验证接受信息请求者的访问请求;对访问请求进行解析,确定请求者在何种情况下访问何种隐私信息;对信息请求者的身份进行认证.访问控制策略数据库存放用户设置的普通访问控制策略.访问请求控制进行第1次访问控制决策.在身份认证器对信息请求者的身份成功认证后,访问控制决策生成器从普通访问控制策略库中找到与信息请求者以及被请求访问的隐私信息相关联的访问控制策略.根据找到的访问控制策略,决策生成器确定对访问请求进行“授权”或“拒绝”,或将访问请求传送给隐私信息的拥有者,即用户.2客户隐私访问控制策略接受从服务器端传送来的访问请求;获取相关隐私访问控制策略以及用户当前的环境信息等;根据对获取的信息进行分析或者根据用户的实时决定进行第2次访问决策.环境信息收集室快速收集用户当前所在的环境信息,如位置、时间、用户设备状态信息等.所收集到的环境信息将被用来对访问请求进行决策.数据保护访问控制策略库存放用户设置的隐私访问控制策略.隐私访问策略数据库为用户提供一个友好的接口界面,连接用户和隐私访问策略数据库.用户通过此接口对隐私访问策略进行设置、修改或者删除.用户还可以通过此接口实时地进行访问决策.3davd的隐私访问控制策略假设有3个隐私信息请求者:Alice、Bob和Carol,请求访问用户Dave目前所在的位置信息.Alice是Dave的女朋友,Bob是Dave的同事,而Carol与Dave不相识.在访问控制的初始阶段,Dave设置普通访问控制策略以及隐私访问控制策略,将普通访问控制策略发送到服务器端并存储在服务器端的数据库中,并将隐私访问控制策略存储在个人终端的数据库中.Dave设置的与这3个信息请求者相关的普通访问控制策略如下.普通策略1:如果信息请求者是Alice,请求访问的是位置信息,则“授权”访问请求.普通策略2:如果信息请求者是同事,请求访问的是位置信息,则“询问用户”,即要求将访问请求发送给用户本人Dave.普通策略3:如果信息请求者是陌生人,请求访问的是位置信息,则“拒绝”访问请求.Dave设置的隐私访问控制策略为:如果信息请求者是同事,请求访问的是位置信息,则如果当前时间为工作时间或Dave的位置在办公区域内,“授权”访问请求,否则,“拒绝”访问请求.对Dave的隐私信息进行访问的具体决策过程如下.1位置信息访问策略服务器首先对Alice的身份进行认证,查看与Alice和Dave的位置信息相关的访问策略.根据服务器中的普通策略1,服务器“授权”Alice的访问请求,将Dave的位置信息直接传送给Alice.2davd对davd的隐私访问决策服务器首先对Bob的身份进行认证,查看与Bob和Dave的位置信息相关的访问策略.根据服务器中的普通策略2,服务器将Bob的请求转发给客户Dave.客户Dave收到从服务器发来的访问请求后,查看存储在此客户端的隐私访问控制策略,并从环境信息收集器调取Dave的当前环境信息,即时间和地点.由于当前时间为20:00,属于正常工作外的时间,因此访问决策取决于Dave的当前位置.如果Dave当时还在办公室或工作区域,则“授权”访问请求.否则,依据隐私访问策略,“拒绝”访问请求.客户端做出访问决策,将决策结果传送到服务器,服务器将决策结果传送给Bob.如果访问决策为“授权”,服务器同时将Dave的位置信息传送给Bob.3系统可靠性检测服务器首先对Carol的身份进行认证,发现Carol与Dave不相识.依据服务器中的普通策略3,服务器直接“拒绝”Carol的访问请求.4基于用户的隐私保护模型1)对信息访问请求者身份的认证由服务器端完成.这使得在为用户提供相同高安全性的情况下,用户能对隐私信息的访问实现完全的控制,并且不增加用户的负担,提高系统的运行效率.2)由于访问控制决策有可能依赖于用户的环境信息,在本文的模型中,由用户端进行第2次访问控制决策,避免了以往在进行访问控制决策时将用户环境这些私密信息泄露给服