张 帅 赵 炎

（1. 湖北水利水电职业技术学院，湖北 武汉 430070;（2. 宿迁经贸高等职业技术学校，江苏 宿迁 223800）

面向移动终端情景隐私保护设计研究

张 帅1赵 炎2

（1. 湖北水利水电职业技术学院，湖北 武汉 430070;（2. 宿迁经贸高等职业技术学校，江苏 宿迁 223800）

基于情境的个性化服务已经广泛应用在人们的日常生活中，并且在不断扩展服务的应用范围。然而，在这些个性化服务体验的背后，也隐藏着不容忽视的隐私问题。因此，研究情景隐私的保护有迫切的现实需要。本论文重新分析移动端重情境隐私保护的隐私模型，突破当前情境隐私保护的狭隘概念，完善情境隐私保护的理论基础，提出新的情境隐私的保护方法，拟将解决当前情境隐私保护中理论基础不完善的现状，促进密码学、网络安全与软件安全技术的发展与情境隐私保护方法的实用化。

移动终端;情景隐私;隐私模型;情景数;隐私保护

1 背景

移动智能设备和可穿戴设备等移动端的发展和普及为人们带来了个性化的服务和体验，如基于位置服务、健康监控服务等。这些服务通过收集并分析称为情景的数据来为用户提供个性化的服务。所谓情境，即任何一个能用于刻画当前实体状况的信息。从数据来源上，情景可以分为两类：第一类称为基本情境，是指不需要使用已有的情景或对传感器数据进行计算得到的数据；第二类称为辅助情境，是指能从任何的情况中计算得到的数据。从数据类型上，情境可以分为三类：第一类是身份，是指任何能够对应到现实世界实体的信息；第二类是位置，是指任何能够刻画实体空间状态的信息；第三类是时间，是指任何能够刻画实体时间状态的信息。个性化服务正是依赖于用户提供各种情景的数据来作出合理的判断，但提供的各种情境的数据也埋藏着不可忽视的隐私风险。

2 情境隐私保护存在的问题

2.1 隐私模型无法适应情境隐私保护的需求

隐私模型是隐私保护的重要组成部分，它阐述了隐私的定义以及相应的评估指标。然而现用的隐私模型无法适应情境隐私的保护的需求。这些模型的数据类型适应性差，缺失对时空关联信息的保护，缺乏个性化的隐私模型。以位置和时间的发布为例，一些研究人员认为隐私模型即匿名模型，但GambsS等人对底特律市部分区域的GPS轨迹进行数据分析，推断出约85%的用户的家庭住址，表明匿名同样会泄漏大量的信息[1]。Andres等人将差分隐私模型引入到位置隐私保护中，但这一模型无法扩展到情境隐私其他的数据类型[2]。这些研究表明 ，情景隐私保护需要更加合理的理论及模型的支撑。

2.2 缺乏对软件泄漏情景数据的有效度量的方法

当前大部分情境隐私保护的方法主要是恶意服务器，即服务器获得用户提交数据之后无法威胁用户的隐私。然而，大部分用户的情境数据都是通过移动端上市的软件发布，而这些软件则是由相应的服务提供商开发，现有的情境隐私保护的方法并没有考虑到这种由软件泄漏情境数据的情况。在2014年的CCS 会议上 Fawaz和Shin提出了一种针对移动端环境位置隐私保护框架，填补了这方面的空白[3]。但是，提出的框架需要大量的用户交换，并且缺乏对导航的报告关键软件的支持。在情境隐私保护的方法上，如何针对用户情境大部的移动端环境作出合理的判断与优化仍是一个亟待解决的课题。

2.3 缺乏对服务质量和隐私性的动态平衡

虽然情境隐私保护至关重要，但是情境数据是实现个性化服务的必要数据，因此保护情境隐私的同时也要考虑情境质量对服务质量的影响。然而，大部分情境隐私保护方法都是针对固定的目标，即无论不同用户的个性化服务或同一用户在不同场景下需要何种程度的隐私保护，都会输出类似的结果。因此，这些隐私保护方法有时候会损害服务质量，而有时候却会发布不必要的情景数据。

2.4 缺乏高效的数据释放决策机制

个性化服务中的情境数据通常需要实时发布并获取，然而大部分现有的情境隐私保护是从离线数据发布方法借鉴而来，因此并不满足这个需求。例如，基于k匿名的位置隐私保护方法需要等待出现K满足条件的用户时才能继续发布信息，这导致在一些情况下，用户的服务请求无法得到实时响应。

3 情境隐私保护设计探讨

3.1 面向情境感知应用个性化隐私模型

虽然情景隐私保护属于数据发布的范畴，但传统的用于数据发布的隐私模型，例如k匿名为代表的隐私模型就无法判断用户的隐私是否真正得到了保护。差分隐私对敏感数据的计算处理结果对于具体某个用户是不敏感的，单个用户在数据集中或者不在数据集中，对处理结果的影响微乎其微，这些模型并不适用于情境隐私保护的场景。这主要是因为情境数据具有独立发布、连续发布、情境相关、用户相关特征。独立发布，是指情境数据的发布往往是由用户服务器发布的，从而具有内在的身份可链接性，而传统的隐私模型只针对多用户数据集合的发布，并直接去除了身份对隐私的影响。连续发布，是指情境数据的发布通常是持续的，且前后数据之间有一定的关联性，而大部分传统的隐私模型只针对数据的一次性发布，没有考虑到单个数据持续变化对用户隐私的影响。情境相关和用户相关，是指情境隐私保护的程度需要根据当前的环境和用户的需求进行调整，而传统的隐私模型的保护内容和保护程度都是固定的。因此，情境数据发布的隐私模型比传统数据发布的隐私模型更为复杂。可以采用以马尔可夫链为主，并结合概率论与统计学的方法来刻画隐私模型，解决情境数据独立发布与连续发布带来的隐私泄露问题，还可以采用情境感知的方法来描述情境隐私模型，以实现隐私模型的情境相关与用户相关。

3.2 软件的情境隐私相关行为的度量方法

软件隐私行为的度量是一个前沿的研究领域，目前已有的研究方法主要是根据软件收集了什么隐私数据、收集了多少隐私数据或者收集隐私数据是否经过了用户的授权来判断，并简单地将软件分为危害隐私和不危害隐私两类。然而，这些方法都没有考虑软件自身的需求和当前的情景，因此并不能正确判断一个软件是否正在危害隐私。例如一个导航软件需要使用用户的精确位置，但并不能一次判断它是个危害隐私的软件。简单地分为有危害和无危害两类，无法满足软件功能的多样性和情境的复杂性，应该根据实际情况将软件从信赖程度和隐私程度两个方面划分为不同等级。信赖程度，是指软件是否在用户不知情的情况下传输隐私数据或进行其他设计隐私的行为。隐私程度，是指软件使用的隐私数据若被攻击者掌握，则可能带来的风险的程度。

因此，软件的情境隐私相关行为的度量应该考虑软件本身的安全性、用户使用的情境和情境数据带来的风险三个方面。考虑采用软件逆向工程等方法来分析软件本身的安全性，并采用机器学习等方法实现对软件使用情境的分析和对情境数据带来的风险评估，实现自适应、细粒度的软件行为度量。

3.3 情境感知应用的服务质量与隐私保护的动态平衡

现有的情境隐私保护方法通常以牺牲数据质量为代价，通过降低情境数据的质量，例如准确度、精度、可信度等，来实现隐私的保护。例如，以实现K匿名为目标的位置信息保护方法，或用可信第三方的位置代替用户的位置，从而降低了用户位置的准确度，或用一片区域代替用户的位置，从而降低了用户位置的精度。在一些情况下，这种情境质量的降低不会影响用户获得的服务质量，但在更多情况下，可能会导致用户的服务质量下降，甚至功能失效。然而，目前大部分情境隐私保护方法缺乏对服务质量需求的考虑，简单地根据预设的隐私保护需求（例如K匿名中的K）来处理情境数据，这无疑会牺牲用户的体验。虽然已有一些研究考虑了服务质量与情境隐私的平衡，但这些研究只针对单个的情境质量目标（如位置、时间等），尚缺乏对服务质量的完善评估。

因此，在保护情境隐私保护同时，也应该将服务质量的需求纳入考虑。通过完善情境感知服务的度量，并采用博弈论和动态规划的方法对情境感知服务中的隐私保护与服务质量进行动态平衡与优化。

3.4 情境数据的在线释放决策方法

情境数据的释放与传统的数据发布以及被广泛研究的位置信息发布的最大区别在于情境数据的实时性、多样性和差异性。传统的数据发布多是离线进行的，既然数据的发布者有足够的时间对数据进行分析、处理并发布，而情境数据的释放需要在线进行，这使得传统数据发布中的隐私保护方法大都无法在情景隐私保护中使用。目前有部分工作针对位置信息的发布提出了实时决策的方法，但是位置信息只是情境数据的一部分，情境数据还包含范围更广的各种类型的隐私数据，如状态、活动等、数据类型的多样性使得大部分位置信息发布的隐私保护方法不能全面地保护情境隐私。此外，情境数据释放决策往往具有时空依赖性，即情境数据的释放没有通用准则，释放数据的规则需要根据当前的情景决定，而大部分已有的数据发布算法并不考虑每一次数据发布时的情境差异。

因此，情境数据的释放决策方法是一种在线的决策过程，并需要综合考虑数据发布的情境、情境数据的质量以及用户的隐私需求。可以采用以隐马尔可夫模型和条件随机场等理论，设计满足情境数据在线释放需求的决策方法。

4 结语

本研究将继续提出较为完善的情境隐私保护理论模型，为研究并设计情境隐私保护方法，成为充分保护用户的个人隐私坚实的理论基础；本研究将继续针对情境隐私数据发布的特征，设计高效的面向移动终端的情境隐私保护方法，在充分保护用户的个人隐私的同时，尽可能保障情景数据质量；拟设计实现面向终端的情境隐私保护原型系统，提出情境隐私保护方法。

[1]G a m b s S，K i l l i i j i a nM O ，C o r t e z M NdP ． Sh o wm e h o wy o um o v e a n dIw i l l t e l l y o uw h oy o ua r e． T r a n s． o nD a t a Pr i v a c y，2011，2(4)：103-126．

[2]A ND R éS ME，B O R D ENA B E N E，C H A T Z IK O K O LA K IS K ，PA LA M ID ESSI C ． G e o-i n d i s t i n g u i s h a b i l i t y：d i f f e r e n t i a l p r i v a c yf o r l o c at i o n-b a s e ds y s t e m s[C]//Pr o c e e d i n g s o f t h e 2013A C MSIG SA C c o n f e r e n c e o nC o m p u t e r a n dc o m m u n i c a t i o n s s e c u r i t y，Ne wY o r k，NY ，U SA ，2013：901-914．

[3]FA W A Z K ，SH IN KG ． Lo c a t i o nPr i v a c yPr o t e c t i o nf o r Sm a r tp h o n eU s e r s[C]//Pr o c e e d i n g s o f t h e2014A C MSIG SA C C o n f e r e n c eo n C o m p u t e r a n d C o m m u n i c a t i o n s Se c u r i t y，2014：239-250．

Research on Scenario Privacy Protection Design for Mobile Terminal

Zhang Shuai1Zhao Yan2
(1.HuBei Water Resources Technical College,Hubei 430070,Wuhan) (2Suqian Economic and Trade Occupation School,Suqian 223800,Jiangsu)

Context-based personalized service has been widely used in people's daily life,and in the continuous expansion of the scope of service applications.However,behind these personalized service experiences,there are hidden privacy issues that cannot be ignored.Therefore,the study of the protection of situational privacy is an urgent need to achieve.This paper analyzes the privacy model of privacy protection in mobile context,breaks through the narrow concept of current situation privacy protection,improves the theoretical basis of situational privacy protection,puts forward the new protection method of situational privacy,and tries to solve the theoretical basis of current situation privacy protection imperfect status quo,to promote the development of cryptography, network security and software security technology and the practical application of situational privacy protection methods.

mobile terminal;scenario privacy;privacy model;number of scenes;privacy protection

TP309

A

1008-6609(2017)05-0038-03

张帅（1983－），女，安徽宿州人，硕士研究生，讲师，研究方向为计算机多媒体与网络。

湖北水利水电职业技术学院院级课题，项目编号：h b s y 2014j s j 03。