基于谷歌云计算的隐私管理.docVIP

基于云计算的隐私管理 Siani Pearson, Yun Shen和 Miranda Mowbr HP Labs, Long Down Avenue, Stoke Gifford, Bristol BS34 8QZ, UK {siani.pearson，yun.shen，miranda.mowbray} @ 摘要 我们描述了一个基于云计算的隐私管理器，从而降低了使用云计算的用户个人数据计算被窃取或滥用的风险。同时也协助云计算的供应商符合隐私法。?我们描述了此管理器不同可能的架构;?模糊是隐私管理的特征之一，我们对模糊化以代数性的描述;?同时描述隐私管理器如何用来保护个人网络照片的元数据。 关键词：云计算，隐私 1引言 这篇论文中，我们描述了一个基于云计算的隐私管理器，从而降低了使用云计算的用户个人数据计算被窃取或滥用的风险，同时也协助云计算的供应商符合隐私法。 云计算成为一个日益流行的业务模式，所提供的服务主要针对的是并不拥有或管理硬件的客户。用户通过云服务将输入数据上传到云端，这意味??它们通常会导致数据以未加密的形式出现在用户不拥有或控制的计算机上。?这固然带来了一些隐私方面的挑战。 存在云端数据有被云服务供应商中的无赖员工或闯入服务提供商计算机的数据窃取，甚至如果在分享同一云端同一设备上分离不彻底的话，客户的数据还可能被其他客户窃取。在某些情况下，政府在数据被处理和存贮的地方有合法的权利查看 [1,2]。?还存在一种风险，即数据可被放置到未经授权的使用。?这是云计算的服务标准业务模式的一部分，供应商获得的收入可能来自用户的数据授权的二次使用，最常见的是广告的目标。?然而，一些二手数据的使用并不受数据所有者的欢迎（例如，详细的销售数据，其竞争者的转售）。?目前，对这种二次使用没有技术障碍。 但是，对待由云计算提供的用户私有数据有一些法律的约束。?隐私保护法律根据辖区的不同而不同，但欧盟国家一般只允许个人身份信息进行处理，如果数据对象知道处理过程和目的，以及地方特殊敏感数据的处理的限制（例如，健康或财务数据），数据拥有者对这样一部分的数据明确同意加工[3]。他们普遍坚持?数据最小化?的概念?，也就是说，除非这些信息对满足规定的目的是必要的，它们要求不允许收集或处理个人身份信息。在欧洲，资料当事人可以拒绝让他们的个人身份资料要用于营销目的[4]。此外，对于个人可辨认的数据存储的设备在地理位置上有安全方面的要求。如果这些服务不能保证他们使用的机器得到充分的保障，例如英国处理数据对个人客户提供一些云计算服务不保证他们所使用的机器是足够安全的，他们可能会发现自己违反英国数据处理法[5]。欧洲法律限制跨境数据传输，也可能会禁止使用云计算服务来处理这个数据，如果它们存储在隐私保护法不完善的国家 [6]。 本文的结构安排如下。在第2节，我们提出我们的解决方案，这是云计算隐私管理器的形式。在第3节我们讨论云计算不同架构的隐私管理，给出隐私管理器是一个什么概念。我们还描述了可信计算的机制[7]可以用于增强隐私管理能力。在第4节我们描述了数学术语中的模糊。我们举一个代数配方模糊的任务的例子，不同的模糊代数规格方法适合于特定的实例。在第5节我们讨论一个在线照片管理，并呈现一个用于对本应用程序中隐私管理的应用场景。在第6节，我们回顾以前管理隐私管理数据存储库的办法。本文的结论与一般的分析和下一步的讨论。 2解决方案：隐私管理 我们解决这些问题的处理方法是一个隐私管理器，它可以帮助用户管理在云中的隐私数据。作为防守的第一道防线，隐私管理器使用一个称为可能的混淆处理。思路是：用户的私人数据被以加密的形式发送至云端，该处理过程是以完成加密数据的形式完成，而不是未加密就发往云端。该处理的结果是通过模糊处理的隐私管理器来显示正确的结果。 （我们称之为模糊处理，而不是加密，因为一些信息呈现在原始数据一般仍存在模糊的数据。）使用模糊处理方法由用户选择，并通过隐私管理器已知的密钥，但是这并不连到服务提供商。因此，服务提供商不能够模糊处理用户的数据，该数据不会显示在服务供应商的设备中，减少（甚至消除）从云端被窃取及数据的未经授权被使用的风险。此外，模糊化的数据不是个人身份信息，所以服务提供商并不受适用于模糊处理的数据处理的标准限制。使用模糊，使得数据可以由原理最小化合法代价被使用。 然而，所有云应用程序和加密数据都使用模糊处理是不实际的。对于需要用户传输个人数据到云端的应用程序，隐私管理包含两个额外的功能，称为偏好和属人性。这可以帮助用户与服务供应商提出自己对于这些个人数据的使用意愿，从而使服务提供商满足需要用户许可标准的规定。 首选项功能允许用户设置以模糊方式存储在云端的个人数据。类似的方法已经在P3P[8]和PRIME[9]采用。这个功能在云端执行与这些偏