[发明专利]一种可重复使用假名的普适计算隐私保护方法

说明书

技术领域

本发明属于信息安全领域中的隐私保护方法，特别属于一种可重复使用假名 的普适计算隐私保护方法。

背景技术

普适计算环境由各种各样的终端组成，如传感器、摄像机，RFID(Radio Frequency Identification，射频识别)标签、GPS(Global Positioning System， 全球卫星定位系统)、移动PC和移动电话等等。这些设备将无处不在且许多是不 可见的(如传感器)。在普适计算环境中，为了更好地向用户提供服务，环境需 要采集和使用用户的一些个人信息，这显然涉及了用户的隐私信息。从用户的角 度看，普适系统的不可见性让他们很难知道什么时候、什么地方以及什么设备正 在为他们服务，个人哪些信息被这些设备采集和处理。另外，由于普适计算环境 中传感器网络的感知能力，以及人工智能和数据挖掘技术的发展，将使大量的个 人数据更容易被不可见地捕获和分析。因此，设计一个安全的、对用户干扰小的 普适计算隐私保护方案具有非常重要的意义。

隐私保护的研究在计算机科学和其他领域已经有很长一段时间，并取得了显 著性的成果。但是这些研究方案不适合于普适计算环境，主要由于普适计算环境 是变化的和预先不可知的。目前，国内外对普适计算隐私保护的研究主要包括以 下三方面：

一是基于策略的隐私保护方法。它是通过定义一些隐私策略对用户的敏感信 息进行限制性控制。用一个严格的解决方案来控制隐私信息的显露。基于策略的 隐私保护方法的设计基础是取决于普适系统信息流模型。由于普适系统的特征和 一些限制，如计算能力，储存能力，带宽和能量等，当设备的计算能力有限时， 基于策略的隐私保护方法具有一定的其局限性。另外，基于策略的隐私保护方法 不适合于基于位置的服务。

二是基于匿名的隐私保护方法。匿名隐藏了一个用户和他的个人数据之间 的关系或者连接。匿名不仅仅保护一个用户的身份，而且也要求其他用户不能决 定一个用户的身份与一个主体或者一个操作相联系。但是只是简单地隐藏显式身 份的匿名方式已经被证明为不是有效的方法，因为用户的行为可能被摄像机、传 感器等连续监控。在一些情况下，用户的真实身份可以通过联合发送给服务提供 者的其他数据，以及该用户的请求和公开提供的数据，或者称为敌方的背景知识 就可以推导出来。

目前已经提出了一些匿名技术用于解决基于位置服务隐私，大多数是基于 k-匿名，它来源于使用在数据库中的匿名方法，它的主要目的是在k个潜在的用 户中隐藏该用户。随后该技术用于基于位置的服务中，目前基于位置服务的k- 匿名技术的信息流主要考虑用户服务请求的数据，虽然能够保护对用户服务请求 的数据的攻击，但是存在一种新的链接攻击--影子攻击。

三是基于假名的保护方法。假名是用于隐藏用户身份的一个方法，假名类似 于虚拟身份，一个用户用许多虚拟身份来保护自己的真实身份。如果每个用户只 用一个唯一的假名，虽然便于认证，但这不仅增加假名系统的大小，而且带来了 严重的隐私问题。一般的做法是，每个用户有许多不同的假名，这些假名之间不 存在联系。假名常常是随机预分配的，但它存在生日悖论的缺点。

匿名和假名最终目的都是隐藏用户身份信息，但两者有一些区别，使用匿名 时，用户从没有被识别，因此它不能对用户进行个性化设置。使用假名则有助于 动态地设置用户个性化参数。用户个性化参数设置是隐私设计的一个基本原则。

发明内容

本发明的目的是为了克服目前对普适计算环境隐私保护存在的一些问题和 不足，提供一种安全的对用户干扰小以及计算任务量小的可重复使用假名的隐私 保护方法。

本发明的目的是这样实现的：

如果在普适系统中，每个对象使用唯一的全球假名，虽然可以方便解决认证 等安全问题；但一方面增加了假名系统的大小，另一方面带来了更严重的隐私威 胁。系统可以很容易跟踪到这些对象，也存在流量攻击。

因此，本发明采取的方案是重复使用假名来保证这些对象的匿名性，具体地 说，包括下列步骤：

①将全球普适计算环境划分许多不同的自治区域，每个自治区域使用相同的 一个假名集合；

②当一个用户进入一个自治区域后，该自治区域首先对用户进行认证，随后 该自治区域随机从假名集合中选取一个在该区域没有使用的假名作为该用户的 标识符；