基于谷歌云计算的隐私管理详解.docVIP

基于云计算的隐私管理 Siani Pearson, Yun Shen和 Miranda Mowbr HP Labs, Long Down Avenue, Stoke Gifford, Bristol BS34 8QZ, UK {siani.pearson，yun.shen，miranda.mowbray} @ 摘要 我们描述了一个云计算，从而降低了云人数据计算被窃取或滥用同时也协助云计算供应商隐私法。?我们描述不同可能的架构;?模糊化代数描述;?描述隐私管理器用来保护人照片元数据 关键词：云计算，隐私 言 我们描述了一个云计算，从而降低了云人数据计算被窃取或滥用，同时也协助云计算供应商符合隐私法。 云计算一个日益流行的业务模式，不拥有或管理云服务将输入数据上传到云，这意味着它们通常会导致数据未加密的形式用户不拥有或控制的计算机上。?这带来了一些隐私挑战。 云数据云服务无赖员工或闯入服务提供商， [1,2]。?还存在一种风险，即数据可被放置到未经授权的使用。?这是云计算的服务标准业务模式的一部分供应商获得的收入来自用户的数据授权的二次使用，最常见的是广告的目标。?然而，一些二手数据的不受数据所有者欢迎（例如，详细的销售数据，其竞争者的转售）。?目前，这种二次使用没有技术障碍。 但是，云用户私有数据一些法律的约束?隐私保护法律根据辖区的不同，但欧盟国家一般只允许个人身份信息进行处理，如果数据对象知道处理目的，地方特殊敏感数据的处理的限制（例如，健康或财务数据），数据拥有者这样一部分的明确同意加工[3]。他们普遍坚持?数据最小化?的概念?，也就是说，除非这些信息满足规定的目必要的它们收集或处理个人身份信息。在欧洲，资料当事人可以拒绝让他们的个人身份资料要用于营销目的[4]。此外，如果这些服务不保证他们使用的机器得到充分的保障英国处理数据对个人客户提供一些云计算服务不保证他们所使用的机器是足够安全的可能会发现自己违反英国数据处理法[5]欧洲法律限制跨境数据传输也可能会禁止使用云计算服务来处理这个数据，如果它们存储 [6]。 2解决方案：隐私管理 我们解决这些问题的处理方法是一个隐私管理器，它可以帮助用户管理在云中的隐私数据。作为防守的第一道防线，隐私管理器使用一个称为可能的混淆处理。思路是：用户的私人数据被以加密的形式发送至云端，该处理过程是以完成加密数据的形式完成，而不是未加密就发往云端。该处理的结果是通过模糊处理的隐私管理器来显示正确的结果。 （我们称之为模糊处理，而不是加密，因为一些信息呈现在原始数据一般仍存在模糊的数据。）使用模糊处理方法由用户选择，并通过隐私管理器已知的密钥，但是这并不连到服务提供商。因此，服务提供商不能够模糊处理用户的数据，该数据不会显示在服务供应商的设备中，减少（甚至消除）从云端被窃取及数据的未经授权被使用的风险。此外，模糊化的数据不是个人身份信息，所以服务提供商并不受适用于模糊处理的数据处理的标准限制。使用模糊，使得数据可以由原理最小化合法代价被使用。 然而，所有云应用程序和加密数据都使用模糊处理是不实际的。对于需要用户传输个人数据到云端的应用程序，隐私管理包含两个额外的功能，称为偏好和属人性。这可以帮助用户与服务供应商提出自己对于这些个人数据的使用意愿，从而使服务提供商满足需要用户许可标准的规定。 首选项功能允许用户设置以模糊方式存储在云端的个人数据。类似的方法已经在P3P[8]和PRIME[9]采用。这个功能在云端执行与这些偏好相应的策略执行机制。该偏好可以与发送到云端的数据相关联，并且可以选加密绑定（在发送方和接收方共享密钥的基础上发送）。对于隐私数据的粘着性，公共密钥包络技术可以使用。另外，也可以使用基于策略凭证的加密（一种基于标识符的加密（IBE）技术）[10]：该政策可直接作为IBE加密密钥对传输材料加密[11] 。偏好规范的一部分可以涉及的量，个人数据可能在云内使用的目的，通过使用[12]规定的机制，在云中核对之后的访问控制被调出。 角色功能允许用户与云服务交互时选择多个角色。在某些情况下，用户可能希望匿名的。而在其他情况下，用户可能希望部分或完全公开他的身份。用户选择的角色提供了一个简单的接口,并且还可以决定哪些数据项将被模糊处理。 本文扩展了文献[13]中提出的一种基于客户端的隐私管理器的基本思想。我们描述对于一个隐私管理器在云计算中使用的几种不同的可能的架构，隐私管理器在用户的客户端内不只有一个;我们展示了可信的计算是如何增强此方法的;我们给出模糊是非机制在隐私管理器中的一般数学描述;我们描述一个应用在一个特定的场景 - 照片管理在云端–以及一个允许调查隐私管理如何帮助用户在云端保护个人信息的隐私管理器的实例。 3架构选项 在本节中，我们描述了云计算隐私管理的不同可能的架构，并演