一种可重复使用假名的普适计算隐私保护方法

摘要

本发明公开了一种可重复使用假名的普适计算隐私保护方法，属于信息安全领域中的隐私保护方法。本发明包括①将全球普适计算环境划分许多不同的自治区域，每个自治区域使用相同的一个假名集合；②当一个用户进入一个自治区域后，该自治区域首先对用户进行认证，随后该自治区域随机从假名集合中选取一个在该区域没有使用的假名作为该用户的标识符；③在每一个自治区内，如果有用户存在，自治区随机选择的假名数量应大于一个门槛值；④用户使用假名去获得服务。本发明在一个区域内，在不同的时间段，同一个用户会使用不同的假名；用户和假名之间的关系是多对多的关系；对用户干扰很小，用户不需要参与假名的选择过程；用户设备计算任务量较小。

说明书

技术领域

本发明属于信息安全领域中的隐私保护方法，特别属于一种可重复使用假名的普适计算隐私保护方法。

背景技术

普适计算环境由各种各样的终端组成，如传感器、摄像机，RFID(RadioFrequency Identification，射频识别)标签、GPS(Global Positioning System，全球卫星定位系统)、移动PC和移动电话等等。这些设备将无处不在且许多是不可见的(如传感器)。在普适计算环境中，为了更好地向用户提供服务，环境需要采集和使用用户的一些个人信息，这显然涉及了用户的隐私信息。从用户的角度看，普适系统的不可见性让他们很难知道什么时候、什么地方以及什么设备正在为他们服务，个人哪些信息被这些设备采集和处理。另外，由于普适计算环境中传感器网络的感知能力，以及人工智能和数据挖掘技术的发展，将使大量的个人数据更容易被不可见地捕获和分析。因此，设计一个安全的、对用户干扰小的普适计算隐私保护方案具有非常重要的意义。

隐私保护的研究在计算机科学和其他领域已经有很长一段时间，并取得了显著性的成果。但是这些研究方案不适合于普适计算环境，主要由于普适计算环境是变化的和预先不可知的。目前，国内外对普适计算隐私保护的研究主要包括以下三方面：

一是基于策略的隐私保护方法。它是通过定义一些隐私策略对用户的敏感信息进行限制性控制。用一个严格的解决方案来控制隐私信息的显露。基于策略的隐私保护方法的设计基础是取决于普适系统信息流模型。由于普适系统的特征和一些限制，如计算能力，储存能力，带宽和能量等，当设备的计算能力有限时，基于策略的隐私保护方法具有一定的其局限性。另外，基于策略的隐私保护方法不适合于基于位置的服务。

二是基于匿名的隐私保护方法。匿名隐藏了一个用户和他的个人数据之间的关系或者连接。匿名不仅仅保护一个用户的身份，而且也要求其他用户不能决定一个用户的身份与一个主体或者一个操作相联系。但是只是简单地隐藏显式身份的匿名方式已经被证明为不是有效的方法，因为用户的行为可能被摄像机、传感器等连续监控。在一些情况下，用户的真实身份可以通过联合发送给服务提供者的其他数据，以及该用户的请求和公开提供的数据，或者称为敌方的背景知识就可以推导出来。

目前已经提出了一些匿名技术用于解决基于位置服务隐私，大多数是基于k-匿名，它来源于使用在数据库中的匿名方法，它的主要目的是在k个潜在的用户中隐藏该用户。随后该技术用于基于位置的服务中，目前基于位置服务的k-匿名技术的信息流主要考虑用户服务请求的数据，虽然能够保护对用户服务请求的数据的攻击，但是存在一种新的链接攻击--影子攻击。

三是基于假名的保护方法。假名是用于隐藏用户身份的一个方法，假名类似于虚拟身份，一个用户用许多虚拟身份来保护自己的真实身份。如果每个用户只用一个唯一的假名，虽然便于认证，但这不仅增加假名系统的大小，而且带来了严重的隐私问题。一般的做法是，每个用户有许多不同的假名，这些假名之间不存在联系。假名常常是随机预分配的，但它存在生日悖论的缺点。

匿名和假名最终目的都是隐藏用户身份信息，但两者有一些区别，使用匿名时，用户从没有被识别，因此它不能对用户进行个性化设置。使用假名则有助于动态地设置用户个性化参数。用户个性化参数设置是隐私设计的一个基本原则。

发明内容

本发明的目的是为了克服目前对普适计算环境隐私保护存在的一些问题和不足，提供一种安全的对用户干扰小以及计算任务量小的可重复使用假名的隐私保护方法。

本发明的目的是这样实现的：

如果在普适系统中，每个对象使用唯一的全球假名，虽然可以方便解决认证等安全问题；但一方面增加了假名系统的大小，另一方面带来了更严重的隐私威胁。系统可以很容易跟踪到这些对象，也存在流量攻击。

因此，本发明采取的方案是重复使用假名来保证这些对象的匿名性，具体地说，包括下列步骤：

①将全球普适计算环境划分许多不同的自治区域，每个自治区域使用相同的一个假名集合；

②当一个用户进入一个自治区域后，该自治区域首先对用户进行认证，随后该自治区域随机从假名集合中选取一个在该区域没有使用的假名作为该用户的标识符；

③在每一个自治区内，如果有用户存在，自治区随机选择的假名数量应大于一个门槛值；在选择的假名中，一些假名与用户一一对应，另一些假名与任何用户没有任何联系；

④用户使用假名去获得服务。

本发明的工作原理是：

借助因特网中的保留IP地址的思想来设计普适计算环境的隐私保护方法。

在IPv4(是互联网协议的第四版)中的IP地址共32位，如果每台主机都使用一个固定的IP地址，32位IP地址应该很早就分完了；目前因特网中采用网络地址转换，可以让局域网中使用相同的保留IP地址，也就是说在不同的局域网内都可以使用这些相同的保留IP地址；本发明的原理与因特网中使用保留IP地址一样，将全球普适计算环境划分为许多区域，每个区域使用相同的假名集合；用户使用随机选取的一个假名来获得服务。

由上面的技术方案可知，本发明具有以下优点和积极效果：

1、在一个区域内，同一个假名可能被不同的用户使用，在不同的时间段，同一个用户会使用不同的假名；用户和假名之间的关系是多对多的关系；在整个普适计算环境中这种多对多的关系更复杂。

2、对用户干扰很小，用户不需要参与假名的选择过程。

3、用户设备计算任务量较小。

附图说明

图1是全球普适计算环境的自治区域划分图；

图2是一个自治区域的构成图；

图3是用户获得服务的过程图。

其中：

10-全球普适计算环境；

20-自治区域，

21-认证服务器，

22-应用服务器。

具体实施方式

下面结合附图和实施例详细说明：

1、如图1，将全球普适计算环境10划分为一个个自治区域20，所有的自治区域20使用同一个假名集合S；为了防止在一个区域内假名过少，当访问用户过多时假名集合S中的假名不够用，以及防止生日悖论攻击问题；本发明采用SHA-512算法输出的摘要值H(SHA-512)作为假名集合，即S＝H(SHA-512)。在一个自治区内，只要有用户存在，自治区除给用户选择假名，同时随机选择一定数量的没有与任何用户对应的假名，保证自治区内假名的数量达到一个门槛值。

2、如图2，在一个自治区域20内，包含一个认证服务器21和多个应用服务器22。认证服务器21是对进入该区域的用户进行认证，应用服务器22是可以提供服务的一些服务器；在一个区域内的认证服务器21和每个应用服务器22之间存在共享密钥K_n，K_n表示认证服务器21和第n个应用服务器22之间共享的密钥，当n＝1时，即K₁表示认证服务器20和第1个应用服务器21之间共享的密钥。

3、如图3，用户获得服务的过程包括下列步骤：

第1，用户向认证服务器发送服务请求301；

第2，认证服务器认证用户302；

第3，判断认证是否通过303，是则进入下一步骤，否则拒绝用户服务请求304；

第4，向用户提供服务代号和服务列表305，

如餐馆、旅馆、打印机、出租车以及天气等服务信息，这些服务与服务代号一一对应；

第5，用户选定服务代号传送给认证服务器306；

第6，认证服务器产生票据传送给用户307；

第7，用户使用票据访问应用服务器308；

第8，应用服务器检验票据真实性309；

第9，判断票据是否为真310，是则进入下一步骤，否则拒绝向用户提供服务311；

第10，如果票据是真并且没有过期，则应用服务器根据用户选定的服务代号向用户提供服务312；

所述票据是认证服务器21使用与用户请求服务的应用服务器22共享的密钥K_n加密一个消息；该消息内容主要包括三项数据：

一是认证服务器21从该自治区域20中选择一个没有使用的假名，即从H(SHA-512)选择一个；

二是用户选择的服务代号；

三是认证服务器21选择的一个临时交互号N，该临时交互号是为了防止重放攻击，用于检测票据是否过期。

所述检测票据的真实性和是否过期的判断方法是应用服务器22用与认证服务器21共享的密钥K_n解密票据，如果不能解密，说明票据是假；如果能解密，说明票据是真。票据是真不能说明票据是否过期，因此应用服务器再检查票据中的临时交互号N是否已经使用过，如果临时交互号N已经使用过，说明票据过期；如果临时交互号N没有使用过，则票据没有过期。