没有合适的资源?快使用搜索试试~ 我知道了~
140网址:http://www.elsevier.nl/locate/entcs/volume63.html19页与隐私监护人Reind van de Riet2自由大学荷兰阿姆斯特丹摘要在充满交换个人数据的涉及隐私的代理的电子环境中,对隐私的推理需要控制所有权并证明对数据的拥有权个人对其个人数据所表达的隐私政策可以由一个上下文感知的移动代理(称为alter-ego)来执行,该移动代理伴随着所披露的个人数据。我们讨论的第一个步骤,表达政策的正式框架信息披露和他们的集成在行为规范的alter-egos,使表征的环境操纵个人数据的隐私的角度来看。1介绍在操纵个人数据的系统中,部门之间的数据传输基于对所有权和管辖权的控制一个环境可能有几个活动组件,每个组件执行一个程序,但它可以被认为是一个特殊的代理,运行自己的程序,并有自己的安全策略(包括义务和限制有关的程序运行的主体,在该环境中发挥作用由个人定义的隐私政策,以限制未经授权的代理访问他的个人资料,必须由称为alter-egos的移动代理执行,控制与其他可能不受信任的代理交换私人信息,并检查特定环境的安全策略是否与在该环境中工作的代理的隐私策略兼容。在这个面向主体的框架中,政策和承诺主要使用道义算子来表达(参见。[9,5]),并且代理需要评估该环境的安全策略相对于1电子邮件地址:serbanr@cs.vu.nl2 电子邮件地址:vdriet@cs.vu.nl2001年由ElsevierScienceB出版。 诉 操作访问根据C CB Y-NC-N D许可证进行。141隐私策略由其潜在用户表达,以验证代理是否能够在该环境中工作而不违反安全约束并且不面临隐私侵犯的风险背景:网络空间中的移动代理。在我们以前的工作中([14]),我们提出了隐私助理的架构,这是一个上下文感知程序,可以帮助个人控制他的个人数据,并让他了解他的隐私状态。它监控在线交易,确保身份和信任管理,调查侵犯隐私行为并提出纠正措施。为 了 保 护 个 人 信 息 , 隐 私 助 理 创 建 并 协 调 多 个 alter-ego ( 称 为Fireballs),将个人信息及其特定应用程序的策略封装在一起,目的是加强数据所有者的控制。Fireball(表示为FB)是一种隐私保护代理,是一种过滤机制,可确保在电子交易期间传输的个人数据 FB是原始的上下文感知的移动代理,在特殊的环境中,信息和执行隐私合规检查的承诺举行的功能。这些环境([14])调解代理之间的交互,使火球了解其结构和其他参与者所扮演的角色,并被信任不会篡改代理,并确保数据交换的格式正确,从而防止未经授权使用封装在代理中的个人信息。根据可靠来源传播的知识,FB能够得出环境的一些风险参数,并在检测到隐私异常时通知其所有者。它还采取预防和纠正措施来保护敏感数据:使用假名,更改隐私政策或使嵌入的数据不可用(擦除,更改或扰乱数据)。一个FB的知识的变化导致更新被发送到同一个人的其他FB的已知固定位置或隐私助理。当进入MMAP(移动多代理平台)时,FB会知道必须在该环境中运行的程序(包括其安全约束),以及来自其他参与者的一组提交的操作,具体用于协议中涉及的角色其评估该协议的隐私遵从性的能力取决于关于其他参与者的信息的准确性、对执行MMAP安全策略的感知承诺以及对其他参与者的信任。然后,FB协商并提交到被发送到该MMAP的接口如果检测到隐私威胁,可以根据MMAP的安全策略更改已提交的接口我们的论文结构如下:第2节讨论了隐私的执行和隐私规则的形式;第3节提出了一个正式的框架,隐私助理的建模和推理,其使用说明在第4节中的一个例子。1422表达隐私政策隐私权是个人或团体建立和控制其信息、财产或行动的可访问性的权利,这将允许他人了解他们或与他们联系它包括保密权和不受外人干涉个人所有权和管辖权的权利(例如,防止不必要的电子邮件)。一个人指定了一组敏感信息(他的个人资料的结构,扮演的角色,获得的知识,偏好),控制隐私基本上相当于限制其他代理对特定数据的可见性,由在给定的评估上下文中对该数据具有管辖权的个人(另一个自我)的代表表示另一个自我的保护目标可以是:属性和值之间的连接,属性-值对的元组,或聚合(由[]限定)-属性名称,属性值,属性-值对和元组的组合,可以描述通过删除线或用户配置文件收集的数据流对个人信息的保护是在对象层面上完成的-保护个人属性的价值(秘密),或在元知识层面上-保护战略,商业,政策或信仰的存在(秘密,根据[6,2]中的定义)。执行隐私原则。收集或交换个人数据的负责人的承诺已被公认为([8,10])对保护隐私至关重要。Wilhelm([21,20])认为,确保隐私保护的系统必须保证通知和控制与他相关的数据的使用和使用。欧盟关于数据保护的指令和开放式配置文件标准的工作目的约束和知情同意:任何个人数据的请求必须明确说明该数据的预期用途,并且只有在数据所有者接受这种用途后,数据才能用于该目的; 2. 需要知道和控制的来源:任何个人数据的请求者必须证明所请求的数据是有意义的处理所需要的,并且数据可以由其来源(所有者)控制; 3. 适当的价值交换:在没有提供有价值的东西(服务、金钱、信息)作为交换的情况下,不应要求提供任何个人数据。个人必须决定是否要披露某些数据,或者,一旦他的个人数据被披露,另一个自我伴随着它,过滤必须发送给个人的通知,并执行按来源和目的约束原则的控制。 在发出个人数据请求时,代理人必须提供可验证的身份、可接受的动机以及未来使用该数据的有意义的目的;所传输的个人数据必须附有个人数据来源发布的所有权证明(证书),该证明可以指向其来源。这些格式良好性检查允许检测143一一→B一一非法披露。为了实施它们,我们需要一个公钥基础设施(PKI)和一个特殊的授权,目的绑定的所有权授权,即。交换个人信息的两个代理A和B之间的保密协议:如果B指定所请求信息的预期用途,A同意向B披露事实,B承诺不将其披露给第三方用于指定用途以外的其他目的。个人数据请求的接收者将进行三项检查1. 请求者是否提供了有效的公钥; 2.请求是否包含请求者在目的绑定规范上的有效签名; 3.指定的目的是否为数据所有者所接受(可以由请求者所扮演的角色激发)。这些检查可能对个人数据请求者的隐私构成威胁,因为个人数据是隐私,所以请求者并不总是愿意透露其目的理想情况下,可以在不明确透露个人行为目的的情况下完成隐私合规请求的证明为了在不威胁隐私的情况下实施目的绑定,A向B发送的请求必须结构如下:{动机+目的,{T S,h(目的),?数据?}k−}kB其中TS是组装消息时产生的时间戳;目的描述了对所请求数据的预期处理(要执行的动作);动机描述了该请求发生的上下文以及为什么需要进行公开;{M}kB表示消息M{M}kA-表示使用keykA-签名的消息M。答案必须包含{{T S1,h(目的),数据,{T S,h(目的),?数据?}k−,证明}k−}kA证据揭示了合法所有权-一系列证书,由受信任方认证的数据所有者通过这种方式,B不能否认其请求,A不能否认其披露,B可以向任何独立验证者证明他拥有合法数据(因为其请求的特定目的存在于所发布的证书中),而无需验证者了解明确的目的或交换的数据例子:网上书店B使用客户C的信用卡号码支付两本书b1及一本书bokb2是:purpose={2>useB([data=CCNC;target=b1])1>useB([data=CC N C;ta rget=b2])}。表达安全政策。已经提出了模态算子“知情权”(参见。[1,5])来表达安全策略中的保密要求:KARA,读作“如果A知道,那么A应该有权限知道“。系统S是安全的。 a subject A i在所有时间都是 τ和表示系统中交换事实的所有公式Kτ(K τ)→Rτ(K τ)都成立。在我们的方法中,该操作符将表示在该数据的合法所有者的知情同意下,允许出于给定目的了解关于个人数据的提议,例如在句子“代理A合法进入”中144发行人被允许学习(知道)和使用数据D用于目的P,因为它是由X '授权的安全策略是一组规则,指定代理的操作被允许、有义务或被禁止在哪些对象上进行,目的是在主体与系统的交互中保护主体,并实现不同系统组件之间的职责 安全规则可以用[16,15,4]中的建议来表达:“(当规则R适用并被强制执行时)如果条件C被满足,那么代理人A有义务、被允许或被禁止做动作α”。安全政策的一部分涉及披露-披露政策;它完全规定了第三方向系统组件提供的数据的预期披露隐私策略是一种特殊类型的安全策略,其中的规则指定允许和禁止的关于个人数据的推论安全策略中的声明(参见[7]):1。限制允许主体在对象上执行的操作(访问控制规则); 2.通过观察系统行为来限制主体可以推断出的对象(信息流规则); 3. 限制主体拒绝他人使用资源(可用性规则)。一类特殊的可用性规则包括聚合预防规则,其形式为:“信息i 1或信息i 2可以被代理A学习,但A不能同时学习它们”。这些类型的规则可以用可见性规则的概念统一表示可见性规则是最常见的隐私规则类型,使用道义运算符(允许,禁止,有义务)表示为访问控制规则,包括:• 限制的类型(允许、禁止或义务);• 可见性受到限制的信息• 可见性限制的发布者,即对规则所设想的信息具有永久或临时管辖权• 限制的上下文(必须保持的环境属性)和允许的访问类型(允许的操作和这些操作的目的);• 限制的目标(实体的类别,由名称或属性指定)。可见性规则的一般形式是:DeModTime/Ctx([Info=I;Actor=A;Context=C;Action=α])其中DeMod可以是Perm、Forbid或Obl,解释为Issuer,α,A,C,I可以表示为逻辑公式。传统的道义算子P、F、O在我们的模型中对应于允许A(α)、禁止A(α)、145有义务的A(α),即道义模态与传统道义算子之间的联系是:DeModIssuer([Info=I;Actor=A;Context=C;Action=α])→DeOpA(α),其中DeOp是与所使用的DeMod相对应的允许、禁止或强制之一。以可见性约束表示的安全规则和隐私规则之间的区别在于规则发布者所扮演的角色,受保护的数据类型以及发布者对数据的管辖权:隐私规则的发布者是拥有它的个人或代表他行事的主体,而安全规则的发布者是权威机构。此外,安全策略通常包含访问控制规则,而公开策略和安全策略包含更多的可用性和信息流规则。隐私规则是由个人、他委托的另一个自我或能够执行它们的实体它们表示对个人或团体的数据、财产或行动的可见性或访问权的它们可以指来自使用数据的环境的条件,或者取决于交互的历史或某些外部事件的饱和度发布隐私策略的主体必须具有经过身份验证的身份以及规则所链接到的数据的所有权证明。隐私策略是一组可见性规则,表示为许可或禁止声明:De cl X→s(PermX([Inf1;Actor1;Act1;Ctx1], . ,[Infn;Actorn;Actn;Ctxn]))可见性规则的例子。1. ’PrincipalPerm A1([Info =[name A1; address A1]; Actor ={A 2}; Context = NULL;Action ={read,transfer}]).2. 如果A1没有下过订单,A1禁止公司对其信用卡号进行任何操作:禁止A1([Info=CCNA1;Actor={X:<$Has X(type = company)}; Context =<$Did A1(OrderA1→X())}; Action ={}])。3. 订阅当前位置系统的所有用户都将被跟踪,他们的位置可供所有订阅者使用,但超过一周的存档数据将被删除。该规则结合了位置的可用性和互惠性,可以是由位置跟踪服务提供的公开策略的一部分。实施主体P1的隐私策略的目标是防止由任何其他主体P1,j=i在任何时间点持有的局部知识集合与P1的隐私策略相冲突。某些类型的隐私规则可以毫无困难地强制执行,而其他类型的隐私规则依赖于意识机制,而其他类型的隐私规则在没有参与者的额外承诺或控制措施的情况下无法强制执行。不符合隐私规则被定义为隐私例外,可能有两种类型:隐私冲突(由于试图访问受保护的数据而导致的例外)或隐私侵犯(由于使用非法获得的数据而导致的忽视隐私冲突可能会导致侵犯隐私146∈∃ ∀ ∈∈τ/Ctxτ/Ctx3正式办法我们的移动多智能体系统,法规和alter-egos的属性建模的正式框架它包括一个执行模型的alter-egos,一个元语言建模代理协议,属性和动作,和一些推理规则的特殊谓词,取代认知操作从模态逻辑。在本文中,我们专注于执行模型的alter-egos,并只简要描述语言的建模代理的相互作用和推理规则。用于对代理属性和动作建模的元语言对于代理系统的建模和推理,我们使用逻辑语言FBML(火球建模语言),本质上是一种多排序的一阶语言,具有与传统的认识和道义运算符相对应的特殊谓词它的语义是根据可能世界模型定义的。我们区分代理(形成集合Ag)、动作(形成集合Ac)、数据项(形成集合Data)和公式(构成集合pow(Form(FBML))。语法. FBML中的公式集(表示为Form(FBML))由谓词、变量、常量和运算符的组合谓词表示事件、操作或代理属性的名称变量表示代理和数据项,如字母(A,B,C,.. . )或泛型变量(?X?任何,未知)。常数表示代理(me,all,a1,a2,..., an)和数据项(属性-值对或聚合)。*和λ是特殊的泛型变量,对应于FBML中的良构公式集(WFF)由命题逻辑的通常构造规则和以下规则定义:如果f∈WFF(FBML)是FBML语言中的良构公式,τ∈N是时间点,Ctx∈pow(Form(FBML))f {*,λ}描述了公式求值的上下文的特定条件,A∈Ag是主体,则A:不, A: BWFF(FBML)和DeModActorExpr(D),PredActorExpr(D)WFF(FBML),其中Pred是表示动作、关系或特定于域的属性的谓词;ActorExpr是表示动作中涉及的代理或其属性被表达的代理的表达式;DeMod是道义模态,D Data是数据项的表达式-由一系列属性-值对或值组成的集合,由’;’ and delimited by ’[FBML中的WFF示例1. ’A2. ’A declares to all agents that he forbids access to his data as specified147--聚集Acc1 '。DeclA→全部(PermA(Acc1))。请注意,隐私策略也可以在FBML中表示为WFF。一个自我替代的执行模型每个主体维护一个私有的执行上下文,包含其策略、信念、观察和交互历史我们假设,代理manipulate只有他们的私人环境,不能在他人每个代理(包括环境,明确建模)执行程序(或工作流程),并能够执行以下操作:通信行为,如发送A→B(Msg)和接收B←A(Msg),或预测捕获比发送更多的语义,如询问A→B(α) A要求AG. B执行动作α事件(例如通信)触发推断和知识更新。谓词 SaidA(Msg)和ReceivedB(Msg)反映了由于通信而导致的代理的知识更新的行为。另一个用来发表关于世界状况的观点的通信行为是DeclX→Y(公式),读作X向AG声明。公式用密钥k对消息M进行加密表示为{M}k。k-是对应于公钥k的私钥,Mk-是签名消息。委托是代理人A给予代理人B代表A完成某些部分目标的权力的过程委托A→B(α,Ctx,D)被读取:擅自授权A→B(α)对应于A同意B对α的动作。授权B(α)是指B已获得α的同意。操纵数据 代理能够聚合数据并将一段数据拆分为多个组件:A ggr/SplitA(D,[D1, . ,Dn]),其中D1, . ,Dn, D∈Data是数据项,并且D由D1,.,Dn.代理还可以执行更复杂的内部操作(例如公式的求值,驱动结果,观察/记录事件),这改变了它最初的信念。通过执行动作,代理引起事件。代理感知事件作为激活这些事件的一些触发器(传感器)我们使用事件-条件-动作(E-C-A)范式来指定另一个自我的行为,使用三种数据结构,如[12]中所建议的:关于代理的元知识ATrust AG. B; ag. A是由AG创建的。B; ag. A属于管理域D;关于过去交互的历史信息:ag。 A问AG。 时间t1时的B数据D; ag.A在时间t2执行了动作α;一个刺激-一个响应表,其中包含要由代理执行的程序,实现其目标,并指定对外部事件(例如来自其他代理的请求)的反应刺激-反应表被指定为declar-148∈我⟨ ⟩X我--我我我我作为一个知识程序([17]),具有替代的执行分支,称为触发器,在代理的不同本地状态中保护事件,形式为:R Evt:S(PreC):α:PostC,读作从某个初始状态开始(包含一组非空的初始信念),并使用其元知识、历史和描述其行为的刺激-反应表,智能体选择要执行的动作并根据其接收到的消息、观察到的事件和执行的动作进入下一个状态。我们假设一个离散的时间参数与每个公式。同一个人的所有分身都有相同的时钟,这使他们能够统一地提及过去的事件使用时间谓词可以对事件进行部分排序:Before/After(α1,α2),其中α1,α2是事件。具有标识符i的代理的执行的特征在于跟踪,捕获其知识和执行的动作,表示为元组:i,MKi,Obji, Progi,Constri, SRTi,Histi ∈po w(Form(FBML))捕获代理的初始知识及其后续更新; Obji包括代理的目标; Progipow(Form(FBML))是代理程序(捕获代理代理A的隐私策略PP是以下形式的声明序列DeclA→all( PermA([ Info1; Actor1; Ctx1;Action1];.. . ))DeclA→all( ForbidA([ Infoi;Actori; Ctxi; Actioni];.. . ))De cl A→all(OblA([Infoj;Actorj;Ctxj;Actionj];. . . ))代理i的历史是局部状态的集合Histi={lst},t= 0,n,其中n是代理执行的当前时间点代理i在时间t的每个局部状态由以下形式的元组定义lst=OES状态id,OESt,ASt,USt; OESt是ag观察到的事件集。 我在时间t,ASt是i响应于事件所采取的动作的集合,USt是我我在时间t的局部知识的更新的集合(对约束的改变,初始知识、刺激-反应表等)。具有n个代理的代理平台由形式为Ai,i= 0,n的 n+1元组集合表示,其中A0=Env是表示环境的特殊代理。当它的代理执行时,系统跟踪执行历史。所有可能的执行跟踪的集合被表示为“跟踪”。描述对象的属性使用符号Hasτ(P)完成,意思是P是一个形式为“attribute = value”的属性,或者是一个描述目标或策略的公式我们的语言允许对以下类型的属性进行推理可证明性。149⇒⇒OOC3O仅公开给在特定协议执行框架中被授权访问它的代理代理必须能够证明他们应该被授权执行某些操作。我们写ProveA(φ,γ,B)为从本质上讲,可证明性源于拥有一个有效的证据。在计算机安全协议中,它与验证签名和证明有关;证书通常被视为身份证明,由签名消息组成,该消息表示某个用户U与一段数据D相关联,通常是他的公钥k,由签名的潜在验证者信任的权威CA确认。管辖权在确定证据的有效性方面很重要 JX(X,Ctx)应理解为“X在上下文Ctx中对X具有管辖权”。 当实体的管辖权被认可时,实体所做的声明是完全可信的:BY(SaidX())BY(JX())→BY()。对MMAP具有管辖权的TTP被定义为所有声明都是公知的一方:Dec lTT P→MMAP()→CKA:A∈MMAP()。证据我们使用我们可以表达公式的解释以及数据和公式之间的转换:“如果C1向C2展示了一条由C3签名的消息M,C2会将其解释为C1发出了C3已发出M的证据”:发送C1 → C2({ M } k-)= C2证明C1(所说的C3(M))。所有权被我们理解为主体和数据之间的一种特殊关系,如[13]:为任何对象定义唯一的初始所有者;对象的实际所有者列表在涉及该对象的各种事务中发生变化;启动应用程序的主体拥有应用程序中定义的所有初始对象,除非它们具有预定义的所有者;创建新对象的主体拥有该对象。我们区分对一段数据拥有完全管辖权(拥有作者身份)、对它拥有控制权和部分管辖权(拥有所有权)、直接访问一段数据(看到)和理解一段知识(理解)。我们用作者、拥有、看见和理解来表示这些概念。为了说明区别,假设加密消息m={M}k-}kD}kF始发于实体O,目的地为实体D,发送给临时接收者F,临时接收者F必须将其转发给D,但是该消息也被入侵者I拦截。最初,AuthO(M),OwnsO(M),SeesO(M)并且假定理解O(M),并且在接收到消息m时,SeesF(m),理解F(m1={{M}k-}kD)(假设F能够识别和解密用其公钥加密的任何消息)。此外,它认为SeesI(m),SeesI(m1)。在D从F接收到m1Unde r代表D(M),SeesD(m1),OwnsD(m1),但Unde r不代表sI(M),Unde r也不代表sI({M}k−)。详细说明这一区别:150一AuthX(D):X是D的发起人; X创建或组装了数据D,拥有完全的管辖权和所有访问权限。拥有X(D):X控制并合法拥有D; X可以从D的合法所有者或D的作者那里获得对D的完全或无限制访问权X不能删除对D的现有限制,而只能根据他自己的隐私偏好添加新的限制见X(D):X控制数据项D或能够感知D,但没有被其合法所有者合法授权(或被对D没有管辖权的实体授权)。例如:路由器可以看到所有经过它的数据包(它们的报头),但不理解或拥有它们的内容。理解X(D):X能够理解D的意义(结构和语义)。这有助于决定拥有说明规范的电文的一方是否对违反该规范负责,因为该规范可以用另一种语言表达,使用未知的术语,或用不可用的密钥加密。请注意,在隐私或版权保护方案中,数据项的作者身份所赋予的权利与某些电子商务协议中的作者身份权利不同。个人数据的作者对该数据拥有完全的管辖权,无论谁拥有它,甚至可以决定谁拥有它,而在某些电子商务协议中,销售电子商品的作者失去了转售、销毁或决定谁拥有它的权利。违规。安全策略包含处理违规情况的规则。VilatesCtx(Policy)读取隐私侵犯被认为是一条信息的所有者的信念不一致:代理人认为一方拥有它的信息或关于它的信息,根据其隐私政策和互动历史违规行为表示为:DeclX→全部(验证Y([公式;策略/上下文;信息;信用))代表 声称的侵犯目标是信息,且申请人指定其凭证Cred(例如,他提出要求的质量上下文描述了可能发生违规的情况,违规所涉及的实体等。X w.r.t.侵犯隐私D中包含的数据发生在理解X(D)看到X(D)拥有X(D)验证X(D)时(如果X被禁止访问D,则禁止X(D))。隐私侵犯调查涉及证明隐私受到侵犯并确定责任。语义在我们的模型中,代理通过交换格式为Msg=T type,,Receiver,Data,Context的信封进行通信,其中Type是一个标签,指示传输的数据类别(消息是否是请求、回复、通知,是否加密以及如何加密,以及需要哪些知识151∈∈∈×∈u=0,t►►我处理其内容);接收方Ag是信封的发起方代理和目的地,数据pow(数据)pow(表单(FBML))包含传输的事实和数据项,上下文pow(Form(FBML))是一组来自FBML语言的公式,描述了数据被评估的情况可以交换的所有消息的集合表示为Mess。我们的语言FBML的模型是一个结构:M=σ,Ag,Ac,Data,Mess,Events,Epst,Acts,Comms,Poss 、其中σ是可能的执行跟踪集合中的一个跟踪; Ag是一组代理; Ac是允许的操作集合; Data是个人数据项集合; Mess是可以在系统中交换的消息集合; Events返回(外部)事件在某个时间发生在一个轨迹中;Epst:λ×Ag×N→pow(F(FBM L))是一个函数,返回一个智能体在特定轨迹中所持有的知识和信念的集合; Acts:× Ag×N→ Ac返回智能体执行的动作(知识更新和数据操作);Comms :× Ag×Ag×Data×N→pow(Mess)返回系统代理交换的消息集;Poss:×Ag×Data×N→pow(F(FBM L))返回跟踪中代理拥有的密钥和个人数据项集。模型M=σ,Ag,Ac,Data,Mess,Events,Epst,Acts,Comms,Poss表示多年龄nt系统MMAP={i,MKi,Obji, Progi,Constri, SRTi,Histi, i=0,n}i:t∈N,i∈Ag:Epst(σ,i,t)=MKtConstrtObjtActs(σ,i,t)=AS(lst)的执行我我我Comms(σ,i,t)={M∈OES(lst)|M∈Mess}。推理规则我 们 用 两 个 特 殊 的 谓 词 来 代 替 传 统 的 认 知 算 子 : CK ( commonknowledge)描述规范和政策知识,B(belief)是标准的认知算子,用来表示在当前语境中假设成立的公式如果A是一个公式,A是一个施动者,G是一组施动者,那么BA(A)被读作例如,代理平台的安全策略被我们认为是其所有代理的共同知识,而可信的第三方被认为是这些知识的传播者。我们使用以下推理规则:P. 命题演算重言式的所有实例推理前件式:从“”和“”→“”任何施事者推断“”。必然性:从B推出B(B),其中B是一个定理。K公理适用于B和CK算子。共同知识的持久性。 CKτ(τ)→CKτ'(τ),其中τ,τJ∈N是A A时间点,使得τ≤τJ。我们来回顾一下我们的逻辑框架中使用的几个公理152BB一11. BA( JB())<$BA( SaidB())→BA()2. 看到A()理解A()→BA()3. BA( HasB( X))→ AggrA([ B,X])4.有A({M}k−1)证明A(AuthB(kB))→10.RcvA←X({M}k−1)<$BA(AuthB(kB))→BA(所述B(M))11. RcvA←X( M)→ HasA( M)12.RcvA←X([D1,., Dn])→RcvA←X( D1).A←X(Dn)证明A(所述B(M))5. AuthA(D)→OwnA(D)13.BA(SaidB())∧ 理解A()6. 拥有A(D)→拥有A(D)7. 有A(D)→看到A(D)8. 所述A(M)→所见A(M)T rustA(B)→BA(B)14. HasA({D}kA)<$HasA(k−)→SeesA(D)15.看到A(h( D))→有A(h)→有A(D)→理解A(h( D))9. HasA(M)→HasA(f)→HasA(f(M))隐私合规隐私遵从性是代理平台的安全属性,其取决于若干参数:参与者的隐私要求、所分析的踪迹的类别(表示协议的可能执行)、参与者之间的信任关系、通信介质的可靠性等。为了执行它,我们提出了目的绑定的所有权委托,这依赖于隐私兼容的占有。定义3.1符合隐私的拥有被定义为拥有数据以及由该数据的所有者签署的定义3.2给定一个逻辑框架LFBML,用于从认识上分析参与者及其程序和事件的特定跟踪,我们称由这些程序组成的协议(隐私-)符合所分析的跟踪类和参与者类,如果在这个逻辑中不能进行推理,揭示参与者的状态和参与者的声明隐私政策协议(即,由多代理平台的程序规定的交互)是隐私兼容的,只要在其可能的执行轨迹中传送给代理的内容不与其个人数据在协议中交换我们陈述了两个必要的条件,在此条件下,协议可以是隐私兼容的。定义3.3协议只有在执行过程中符合以下条件时才符合隐私保护1. <$A∈Ag,δ∈Data使得HasA(δ)→AuthA(δ)<$OwnsA(δ)2. A,B ∈Ags.t. AuthA(δ)OwnsB(δ)→BA(OwnsB(δ))表达对隐私监护人的在隐私实施系统S中,人们想要表达用于在特定时刻实施隐私遵从的规则,诸如:发送X→Y(D)=有义务Y(有效(拥有X(D)定义侵犯隐私的安全和隐私规则可以使用FBML中的公式来一个防止通过聚集建立轮廓的规则153B一CA有薪金记录的雇员HasX([ nameA,incomeA])查看X(addrC1)=访问A访问X(privacyA)拥有由代理X的姓名和地址组成的集合可以被定义为侵犯隐私:HasY([nameX,addrX])= HasXViolatesY(privacyX)个人的隐私偏好,表示为可见性规则,可以转换为刺激-响应表中的触发器。例如,实现目的绑定检查可以表示为:接收A←B(msg):有消息(目的=P):检查(有效(P))为了确认另一个人B发送的通知对A来说是可信发送B→A():BA(JB()):BA()。4示例:信息流场景我们研究的背景下,在多代理环境中执行的目的约束原则我们希望确保,在代理平台上执行的电子协议的所有阶段中,代理人能够建立占有或所有权主张的合法性。 如果这个简单的隐私规则可以强制执行,而不需要假设所有代理都是诚实的,那么使用数据项的作者证书和所有权的目的绑定转移的协议是符合隐私的w.r.t. 上述隐私规则,即它保证一项个人数据不能被未经授权的代理人使用,以施加额外的控制为代价(即目的绑定)图1中的信息流描述了一种隐私侵犯场景:B从C获得的信息(由可信的第三方CA认证)从B流到A,而C没有被通知。如果此信息包含C的个人详细信息,则会导致侵犯C的隐私,因为C没有授权也不知道A网站上存在他的例如:书店B将其客户(包括C)的用户资料(包括信用卡详细信息)出售给公司A,而没有通知客户。方案执行CAB1 b. 发布能力要求1上限方案执行2.请求(CCNC){m1,Req1Comm}kC3. ReplyReq1Reply={{TS3,h(p1),CCNC,Req1Comm,AuthCert}4. 请求(CCNC){m2,Req2Comm}kBAuthCert={TS1,h(CCNC),kC}k-Req1Cap={TS2,h(p1),kB}k-Req1Comm={TS2,h(p1),?CCNC?}k−p1=1>使用B([data=CCNC;target=b1])<}kBm1=[动机=要求1上限;目的=p1]一Req2Comm={TS4,h(p2),?CCNC?}k−p2=1>使用A([data=CCNC;target=b1])<5. 回复请求2回复={{TS5,h(p2),CCNC,请求2通信,请求1回复}-}km2=[动机={TS4,h(p2),kA}k-;目的=p2]KBAAFig. 1.使用密码原语和目的绑定的信息流场景允许检测不诚实的方。在开始分析图1中的场景之前,我们先做几个kC−C1a.颁发证书AuthCertCA154一评论。分析基于对PKI的一些假设1. PKI确保机密性:用B的公钥加密的消息只能由B读取:HasB({m}kB)验证B(kB)=Has PKI看到B(m);HasA({m}kB)验证<$AuthA(kB)<$ $> HasA(m)=<$PKI < $SeesA(m)2. 用实体A的私钥签名的消息表示(在PKI中)签名者A对该消息内容的拥有和可见性:HasA(m)看见A(m)。图1中的场景有4个参与者:代理A、B和C,以及受信任的第三方CA。A和B是两家书店; C是在B订书的客户。图中的第2步和第3步是订购图书付款协议的一部分,其中客户C向书店B提供他的信用卡号码以支付他的订单。在该方案开始之前,进行以下操作(虚线矩形中的步骤1a和1b1. 在步骤1a中,客户端C从CA获得作者身份的证明,将他的信用卡号(CCNC)与他的公钥相关联。CA只有在CCNC不在其先前认证项目的数据库中时,才会为CCNCCCNC经CA(其为对C所处的代理平台具有管辖权的TTP)认证后,是C可声称其作者身份的个人资料项目。2. 在步骤1b中,在建立协议中所涉及的代理的角色的阶段中,保证电子交易良好发展的TTP(在我们的场景中为CA)向代理交付能力这些能力是指定代理人被授权对参与者向协议提交的个人数据执行的操作的证书,形式为{TS,h(p),k}kC−A,其中TS是时间戳,h(p)是标准应用于授权动作(目的)的单向函数,k表示年龄为n的公钥不被授权执行操作,并且kC-A是CA的私钥另一个自我具有几种这样的能力,当它要求个人数据时,必须将其函数h隐藏了所有权转移的特定预期目的,以避免在目的绑定检查期间侵犯隐私验证者只能检查他所知道的目的的目的约束。根据TTP保证的协议,拥有有效的能力提供了请求者有权请求数据的不可否认的证据拥有有效的所有权证明保证了为有限目的拥有数据的权利任何个人数据的请求都必须由请求者签名,以确保不可否认性:被询问的代理人后来能够证明披露请求来自授权要求的代理人。我们使用我们的语言来分析图1中描述的情况,以了解隐私。在这种情况下,B是不诚实的,并泄漏给A合法获得的信用卡号码的C,打破了目的绑定原则,ciple(承诺仅使用CCNC支付订购图书的费用图1中的(p1,m1)和(p2,m2)表示目的动机对的具体情况。155CA分别限定B和C使用CCNC支付C订购的图书的权利。请注意,m1包含用于目的p1的有效能力,因为它是由TTP发布的,而m2不包含有效授权,因为它是由A签名的,而不是由TTP签名的。在收到作者证书后,AuthCert={TS1,h(CCNC),kC}k−in步骤1a,C能够(基于管辖权的定义)向信任CA的任何代理X证明他是CCNC的合法作者:具有C(AuthCert)→Prove C(Auth C(CCN C),CCN,CCN X:T rust X(CA)).实际上,任何理解PKI和目的绑定所有权委托(PPDO)并拥有此证书的代理Y都能够向任何信任CA的人证明C是可以生成h(CCNC)的数据的合法所有者:Has Y(AuthCert)Understands Y([PKI,PPDO])→ Prove Y(Auth C(CCN C),认证,验证X:T rustX(CA)).图1中的步骤2、3和4、5对对应于数据项CCNC的所有权的目的绑定委托。步骤2和3是合法操作,是在线支付协议的一部分,而步骤4和5表示在任何协议的法律框架之外执行的操作在执行步骤2之后,C能够证明请求是作为CA保证的协议的一部分而被授权的。如果C信任CA,则C信任B是合法的请求者。在他的隐私政策中查找之后,其中没有规则禁止C([Info=CCNC;Actor=B;... . ])时,C执行步骤3,向B发出所有权的目的绑定委托。在对步骤3中接收到的消息进行SeesB(Req1Reply)BB(AuthC(kC))= BBB(SaidC(M));M=[TS3,h(p1),CCNC,Req1Comm,AuthCert]UnderstandsB(M)→SeesB(CCNC) BB(AuthorizeC→B([CCNC,h(p1)])).也就是说,B理解他已经接收到CCNC,并且C授权聚合[p1,CCNC](其中描述了B使用CCN C对p ayabookb1的 配 置),并且该授权作为对不可否认的请求(Req 1Comm)的回复来提供。芽孢M的第二部分包含C在CCNC上的作者证书。由于B能够证明他被C授权使用CCNC用于目的p1,并且能够证明C是CCNC的合法作者,因此B现在能够证明他是CCNC的合法所有者(关于p1):证明B(AuthorizeC→B([ CCNC,h( p1)])验证 AuthC( CCNC),验证,验证X:TrustX(CA))认证PKI,PPDOProveB(OwnsB(CCNC))在步骤4中,A要求BCCNC支付订购给B的同一本书C的费用。CA没有授予A支持其请求的能力,但他自己签署了请求。如果B是诚实的,他会放弃A但是B是不诚实的,并且在步骤5中将CCNC的所有权委托给A,授权A将CCNC用于与他被授权的
下载后可阅读完整内容,剩余1页未读,立即下载
![doc](https://img-home.csdnimg.cn/images/20210720083327.png)
![pdf](https://img-home.csdnimg.cn/images/20210720083512.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![](https://csdnimg.cn/release/wenkucmsfe/public/img/green-success.6a4acb44.png)