行政院國家科學委員會專題研究計畫 成果報告
具隱私協商與風險管理之聯合服務架構--子計畫三:個人隱 私協商模組
研究成果報告(精簡版)
計 畫 類 別 : 整合型
計 畫 編 號 : NSC 98-2218-E-011-020-
執 行 期 間 : 98 年 10 月 01 日至 99 年 07 月 31 日 執 行 單 位 : 國立臺灣科技大學資訊管理系
計 畫 主 持 人 : 羅乃維
計畫參與人員: 碩士班研究生-兼任助理人員:黃昶銘 碩士班研究生-兼任助理人員:盧宣良
碩士班研究生-兼任助理人員:阮&;#32137;惠 博士班研究生-兼任助理人員:蔡&;#21177;謙
公 開 資 訊 : 本計畫可公開查詢
中 華 民 國 99 年 10 月 31 日
行政院國家科學委員會專題研究計畫成果報告
具隱私協商與風險管理之聯合服務架構
-子計畫三:個人隱私協商模組
Federated Service Architecture with Privacy Negotiation and Risk Management - Personal Privacy Negotiation Modules
計畫編號:NSC 98-2218-E-011-020 執行期限:98年10月1日至99年7月31日
主持人:羅乃維 助理教授 台灣科技大學資訊管理學系
一、 摘要
近年來,許多的網路服務提供者(Web Services Provider)使用OpenID身份辨識 機制與架構,讓網路使用者能夠以單一 帳號(使用者註冊的OpenID)登入不同 網站並使用各種網路服務,而網路服務 應用程式(或網路服務提供者)亦可透 過身份提供者(Identity Provider, IdP),在 此指OpenID伺服器,取得儲存於其資料 庫的使用者個人資料。OpenID架構雖然 有提供網路服務提供者傳遞隱私政策給 服務使用者的方式,但因為OpenID架構 無法辨別網路服務應用程式實際執行的 隱私政策是否與使用者的所看到的隱私 政策相同,造成OpenID架構無法檢驗應 用程式存取個人身份或資料時,是否有 遵照其公開的隱私政策。此外,OpenID 架構也不支援隱私政策協商機制,服務 使用者若不同意提供服務提供者要求的 隱私資料,則只能放棄使用此服務。有 鑑於此,本研究提出一個適用於OpenID 架構的隱私協商機制。在此機制下,使 用者可設定個人隱私偏好,並在需要之
時,可與網路服務提供者進行隱私協 商。在隱私協商成功的前提下,OpenID 伺服器可使用隱私協商機制下所產生的 資訊監控網路服務應用程式,以確保應 用程式存取OpenID架構上的使用者資 料的權限與項目,皆能與隱私協商結果 相同。最後,本研究也實作一個雛型系 統來展示所提出的隱私協商機制的可行 性。
關鍵詞:OpenID、P3P、隱私協商、身 份辨識
Abstract
Recently, providing OpenID single sign-on service has become a trend among Web services providers. A user can login and get services from different Web services providers with the same OpenID that he registered. Accordingly, Web services providers can get user’s private information through OpenID server and its database, i.e., the identity provider,
1
when user subscribes their services.
Current OpenID environment only describes and provides the way for users to access privacy policies of their targeted Web services. However, OpenID server does not know whether Web services providers obey the user privacy policies they claimed when delivering their services to users. In addition, no user privacy negotiation mechanism is developed in OpenID framework. In this study, an OpenID-compatible privacy negotiation mechanism is proposed to allow users to pre-set their privacy preference and negotiate with Web services providers what private information they are willing to reveal to get services when it is necessary. Once negotiation is succeeded, identity provider (OpenID server) can monitor and restrict the access of user’s private data from Web services providers based on negotiated user privacy policy. A prototype is also developed to demonstrate the feasibility of proposed framework.
Keywords: OpenID, P3P, Privacy Negotiation, Authentication
二、 計畫報告 如所附之論文。
三、 計畫成果
本計畫依照既定的需求規劃與開發時 程,已完成以下的工作項目:友善的網 路瀏覽器外掛程式人機介面、協商機制 設計與實作、隱私資料訊息交換協定設 計與實作、聯合服務伺服器端協商介面
設計與實作、展示用應用服務伺服器端 程式設計與實作。茲詳述如下:
z 友善的網路瀏覽器外掛程式人機 介面:網路聯合服務平台需運用 網路瀏覽器的人機介面,因此本 子計畫充分利用網路瀏覽器的外 掛模式,提供使用者友善的隱私 協商功能之操作環境。
z 協 商 機 制 設 計 與 實 作 : 使 用 OpenID 的基本操作概念,依個人 隱 私 資 訊 的 協 商 需 要 , 修 改 OpenID 訊息交換流程與內容格 式。
z 隱私資料訊息交換協定設計與實 作:依 P3P 的隱私資料訊息內容 格式,加以增修,使其訊息交換 協定能支援協商功能。
z 聯合服務伺服器端協商介面設計 與實作:為因應使用者隱私協商 的需要,依照本計畫所設計的協 商機制與協定,實作聯合服務伺 服器端協商介面。
z 展示用應用服務伺服器端程式設 計與實作:實作一驗證用的應用 服務,以確認所設計的隱私協商 模組是可實作與使用的。
本計畫所開發之系統主要針對聯合服 務架構進行個人隱私協商模組的設計與 開發,並利用各種自由軟體輔助系統的 開發與實作。計畫研究價值歸納如下:
z 發展出一套可支援網路聯合服 務架構的隱私協商元件供合作 廠商加值運用:本計畫提出並實 作了一個個人隱私協商軟體元 件,可提供網路服務使用者所需 的個人化隱私保護服務。網路服 務使用者不論是工作所需或是休 閒娛樂,都可使用建構在聯合服
2
務架構下的本元件提供其隱私資 料的保護、使用紀錄的查詢及使 用方式的稽核。此隱私協商元件 可提供更安全、更精準的個人隱 私資料使用之相關資訊與歷程,
更方便的個人化隱私保護服務。
此元件可提供給對此有興趣的研 究人員或廠商,進行加值性的商 品化服務開發。
z 培育四名熟悉網路聯合服務架 構建置、隱私協商模組開發、隱 私資料儲存結構設計及授權認 證與稽核技術的研究人員:目前 網路聯合服務平台的發展與成長 正是準備大幅起飛之時,無論是 企業或個人在使用網路上所提供 的服務時,對隱私保護的重視也 富含新的國內外商機。本計畫為 實際系統與元件的開發,故從事 此計畫的人員可得到相當實務的 經驗,在進入產業工作時可大幅 減少受訓時間。本計畫以 10 個月 的時間,培育了四名研究人員,
熟稔網路聯合服務架構建置、隱 私協商模組開發、隱私資料儲存 結構設計及授權認證與稽核技 術,提供未來在聯合服務架構上 開發應用軟體的人才。
z 發展出一套具個人隱私協商功 能的自由軟體模組:本計畫所發 展的各項支援個人隱私協商模組 的技術,如隱私資料傳輸協定、
協商機制、隱私授權使用稽核元 件等,構成一套公開且免費的支 援個人隱私保護的網路服務基礎 模組,而此模組為自由軟體,可 提供給對此有興趣的研究人員或 廠商。
z 擴張自由軟體的使用環境並提 高台灣研發自由軟體技術的風 氣:本計畫研發出一套支援個人 隱私協商的瀏覽器外掛模組自由 軟體,藉由自由軟體分享與推廣 平台,可使本計畫的原始產出不 斷的被改進與演化,使其更臻完 善。此外,本計畫參與者亦獲得 寶貴的手機軟體開發經驗,有助 於提昇台灣科技大學研發自由軟 體技術的風氣。
本計畫最後產出的成果包括:
z 適用於 Firefox 網路瀏覽器的隱 私 協 商 外 掛 套 件 一 套
(FSAPNRM Plugin)。
z 系統文件:專案執行規劃書、系 統需求規格報告書、系統設計報 告書、系統測試報告書(按國科 會要求,子計畫的所有文件皆整 合至總計畫的同名文件中)。 z 投稿會議論文一篇:羅乃維、蔡
効謙、黃昶銘、盧宣良、阮綉惠,
「一個適用於 OpenID 的網路使 用者隱私協商機制」,第十六屆資 訊管理暨實務研討會,雲林縣斗 六市國立雲林科技大學,2010 年 12 月 11 日。
z 支援三篇國際研討會論文之發 表:
(1) Kuo-Hui Yeh, N. W. Lo, Yingjiu Li and Enrico Winata, 2010, April 20-23,
"An Adaptive n-Resolution Anti-Collision Algorithm for RFID Tag Identification,"
Proceedings of the 24th IEEE International Conference on Advanced Information
3
4
Networking and Applications (HWISE 2010).
(2) N. W. Lo and Kuo-Hui Yeh, 2010, April 20-23, "A Secure Communication Protocol for EPCglobal Class 1 Generation 2 RFID Systems," Proceedings of the 24th IEEE International Conference on Advanced Information Networking and Applications (RFID & WSN
and its Industrial Applications 2010).
(3) N. W. Lo and Kuo-Hui Yeh, 2010, Oct. 17-20,
"De-synchronization Attack on RFID Authentication Protocols," Proceedings of
2010 International Symposium on Information
Theory and its Applications (ISITA 2010).
一個適用於 OpenID 的網路使用者隱私協商機制
羅乃維 蔡効謙 黃昶銘 盧宣良 阮綉惠 國立台灣科技大學資訊管理所
台北市、中華民國台灣
[email protected], {D9609102,M9809104,M9709110,M9809108}@mail.ntust.edu.tw 摘要
近年來,許多的網路服務提供者(Web Services Provider)使用 OpenID 身份辨識機 制與架構,讓網路使用者能夠以單一帳號(使用者註冊的 OpenID)登入不同網站並使 用各種網路服務,而網路服務應用程式(或網路服務提供者)亦可透過身份提供者 (Identity Provider, IdP),在此指 OpenID 伺服器,取得儲存於其資料庫的使用者個人資料。
OpenID 架構雖然有提供網路服務提供者傳遞隱私政策給服務使用者的方式,但因為 OpenID 架構無法辨別網路服務應用程式實際執行的隱私政策是否與使用者的所看到的 隱私政策相同,造成 OpenID 架構無法檢驗應用程式存取個人身份或資料時,是否有遵 照其公開的隱私政策。此外,OpenID 架構也不支援隱私政策協商機制,服務使用者若 不同意提供服務提供者要求的隱私資料,則只能放棄使用此服務。有鑑於此,本研究提 出一個適用於 OpenID 架構的隱私協商機制。在此機制下,使用者可設定個人隱私偏好,
並在需要之時,可與網路服務提供者進行隱私協商。在隱私協商成功的前提下,OpenID 伺服器可使用隱私協商機制下所產生的資訊監控網路服務應用程式,以確保應用程式存 取 OpenID 架構上的使用者資料的權限與項目,皆能與隱私協商結果相同。最後,本研 究也實作一個雛型系統來展示所提出的隱私協商機制的可行性。
關鍵詞:OpenID、P3P、隱私協商、身份辨識
一個適用於 OpenID 的網路使用者隱私協商機制
1. 前言
網際網路上提供的各項網路服務帶給人們前所未有的便利性,在進行電子商務交易 時,使用者僅需提供個人資料,即可不用出門輕鬆完成商業交易。例如在進行線上購物 時,使用者僅需線上完成付款,並提供個人聯絡資訊,即可使商品送到指定地址。隨著 網際網路與電子商務的成長,越來越多的個人資料需要在網站與組織之間交換。因此,
使用網際網路服務時,使用者個人資料是否被濫用以及個人隱私是否被侵犯,已經成為 大眾所關注的焦點。
為了保障使用者的隱私,World Wide Web Consortium (W3C) 提出了P3P (Platform for Privacy Preferences) 規範1。在P3P 規範下,網站需要在對使用者的隱私政策 (User Privacy Policy) 中宣告該網站將如何使用客戶個人資料。網站隱私政策將會透過HTTP 協定傳送給使用者代理程式(User Agent),例如網頁瀏覽器。當使用者代理程式收到該網 站所宣告的隱私政策,即可提示使用者此網站將如何使用個人資料,並讓使用者自行決 定是否與該網站交易。
P3P規範雖然提出了一套保障使用者個人隱私的解決方案,但在實際建置網路服務 時,P3P將會遇到一些限制。首先,P3P對所有使用者都使用相同的隱私政策,實際上每 個使用者對於個人資料的隱私感受不同,有人願意洩漏更多的個人資料來換取更好的服 務,例如提供購物網站更多聯絡方式,讓賣家能夠更方便的聯絡顧客。而有人則不願意 透露過多的個人資料,即使因此造成服務品質的下降或無服務可用,都在所不惜。此外,
P3P 隱私政策通常是靜態且無法改變的,若使用者無法接受提供服務的網站的隱私政 策,僅能選擇不使用此服務。例如網路購物流程中,網站要求使用者提供行動電話號碼,
但使用者可能僅想提供家用電話,當此狀況發生時使用者僅能選擇不使用該購物服務,
而購物網站也只能接受此訂單流失的雙輸現象。P3P並無規範當網站隱私政策與個人隱 私偏好不同時,雙方如何處理,因此雙方只能停止交易。若雙方交易時能經過隱私協商 (Privacy Negotiation)並達成一致的共識,即可完成交易使雙方互惠。為了彌補P3P在隱 私協商機制的不足,目前已經有許多文獻,提出了適用於P3P的隱私協商機制23456。在 隱私協商的過程,使用者與網路服務提供者交換彼此的隱私政策與偏好,隱私協商機制 將會分析網站隱私政策與使用者隱私偏好的差異,並提出一個對雙方都有利益的隱私政 策。在雙方達成隱私政策的一致性後,網路服務提供者即可根據協商後的隱私政策進行 客製化網路服務,同時保護使用者個人隱私。
近年來,許多網路服務提供者使用OpenID7身份辨識機制與架構,讓使用者能夠以 單一帳號(即OpenID)登入不同網站並使用各種網路服務。網路服務應用程式可透過 OpenID Simple Registration Extension8或OpenID Attribute Exchange9取得儲存於第三方 身份提供者(Identity Provider, IdP),即OpenID伺服器上的使用者個人資料。然而應用程 式在取得第三方所提供的使用者資料時存在隱私侵犯的可能性:雖然在OpenID架構下,
應用程式也可利用P3P與相關隱私協商機制,保障使用者個人資料,但先前學者所提出 的相關隱私協商機制,僅能保證使用者與應用程式雙方隱私協商的結果一致,當應用程
式向第三方身份提供者取得個人資料時,使用者並無法控管應用程式向第三方身份提供 者要求的個人資料是否與之前隱私協商結果相同。惡意的網路服務應用程式可利用此漏 洞,修改隱私協商結果,竊取使用者資料。雖然部份安全機制設計完善的第三方身份提 供者會將網站所要求的個人資料,顯示給使用者檢閱,當使用者點選同意,才回傳個人 資料給應用程式服務。但使用者很可能無法記得個別網路服務的隱私協商結果,因此無 法確認網路服務應用程式所要求的個人資料,是否與之前協商結果相同。
有鑑於目前 P3P 與 OpneID 架構在保護使用者個人資料的限制,本研究提出了一套 適用於 OpenID 架構的隱私協商機制,在此機制下使用者可自訂個人隱私偏好與協商策 略,而網路服務應用程式可對不同的使用者,提供不同的隱私政策。此外,第三方身份 提供者可檢驗應用程式所要求其提供的使用者個人資料,是否符合應用程式與使用者達 成的協商結果,以達到保護使用者個人資料隱私之目的。
本研究第二章將回顧目前主要的、以 P3P 規範為主的使用者隱私協商機制。第三章 我們將介紹新的隱私協商機制並此機制如何與 OpenID 的架構相容。在第四章,我們將 以一個範例展示此使用者隱私協商機制的可行性。第五章將總結研究結果並略述未來的 展望。
2. 相關文獻
為了保障使用者網際網路隱私權,W3C提出了P3P規範1。在P3P架構下網站可透過 隱私政策宣告該網站將如何使用客戶個人資料。網站隱私政策將會透過HTTP協定的表 頭 (Header) 傳送給使用者代理程式。目前市面上的P3P使用者代理程式,多內建於網頁 瀏覽器中。例如Internet Explorer瀏覽器,可讓使用者透過隱私權設定,管理網站如何存 取使用者IE瀏覽器內儲存的Cookie。當IE瀏覽器收到某網路服務的網站的P3P隱私政策 後,若此隱私政策所宣告的Cookie存取方式超過使用者所設定允許的存取權限,則會顯 示警告訊息。然而,IE與Firefox瀏覽器的P3P使用者代理程式,皆未針對隱私政策內的 使用者個人資料欄位進行任何保護處理。總體而言,雖然一般網站都有宣告其遵循P3P 規範下的隱私政策,但是使用者最多的IE與Firefox瀏覽器,皆無法透過內建的代理程式 在接收網站的P3P隱私政策的同時,提供有效地使用者個人資料保護措施。
在P3P規範下,網路服務提供者的使用者隱私政策是靜態且無法改變的,網站對所 有使
網路服務下,快速服務不同隱私偏好的使用者,亦是近年來研究隱私 協商
用者都提出相同的隱私政策。網站若遵照P3P規範,並無法針對不同使用者隱私偏 好,提供不同隱私政策的服務。當使用者無法接受網站隱私政策的部份項目時,僅能選 擇不使用此網站的服務。P3P隱私政策宣告使用XML格式,因此具備完善的語法擴充 性。在2中,作者Preibusch提出了P3P隱私政策宣告的XML擴充語法,網站可在隱私政策 內新增協商標籤(Tag)讓隱私政策具有選擇性,使用者可根據個人偏好選擇他同意的網站 隱私政策。在3中,作者Maaser等人亦提出了P3P隱私協商的擴充語法,網站與使用者皆 可在隱私政策的 <DATA> 標籤內,宣告自己可接受的協商條件。此外,網站可使用
<REWARDS> 標籤,利用折價或試用產品的方式吸引使用者在協商過程提供更多個人 資料。
如何在同一個
議題的另一重點。在4中,作者Lee等人利用矩陣 (Matrix) 的方式來儲存網站的隱
私宣告與使用者的隱私偏好。矩陣的欄位代表個人資料項目,矩陣的列代表網路服務項 目,而矩陣內的值代表個人資料的重要程度。透過矩陣結構,隱私協商機制可快速比對 雙方皆可接受的隱私政策。5亦使用矩陣的方式儲存使用者隱私偏好。每當隱私協商結 果改變時,使用者代理程式皆會送出隱私更新訊息,使網站伺服器保有最新的個別使用 者的隱私偏好。
當隱私協商結果產生後,將使用者隱私偏好存在服務提供者的伺服器的作法,雖然 讓每
對 於協
對不同的使用者隱私需求提供不同的隱私政策
隱私協商成功後,進行使用者個人資料存取行為時,
OpenID 的
3. 適用於 OpenID 架構的隱私協商機制
在說明本 的假設。首先,我
們假
位使用者保有不同的隱私偏好,但也造成使用者無法檢驗網站的協商結果,也無法 確保網站存取使用者資料時,是否有照協商結果的權限規範來進行。為了強制網路服務 應用程式存取使用者資料時,能照協商結果進行,在5中,作者說明網路服務在存取使 用者資料前,必須根據使用者隱私偏好矩陣,存取使用者資料。但因使用者偏好矩陣放 置於網路服務提供者端,因此使用者無法確認網路服務提供者是否依照隱私協商結果存 取其個人資料。為了強制網路服務提供者能遵照協商結果存取使用者個人資料,在6中 提出了將隱私協商結果簽章後,存放在可信任第三方伺服器 (Trusted Third Party, TTP)。
當使用者有個人隱私侵犯的疑慮時,可透過TTP求證。TTP會定期要求網路服務提供者 的使用者個人資料存取記錄 (Logs),並驗證使用者個人資料存取記錄是否與之前使用者 隱私協商結果相同。雖然在此架構下,使用者可透過TTP驗證存取記錄,但是存取記錄 卻是由網路服務提供者所提供,並無法確認存取記錄是否有被刻意修改。
由以上的文獻探討,我們可以發現雖然目前已經有許多隱私協商機制提出,但是 商後網路服務提供者的使用者個人資料存取行為是否符合隱私協商結果,皆無完善 的監控策略。此種功能性的疏漏將會造成網路服務提供者(或應用程式)向第三方伺服 器或組織取得使用者個人資料時,使用者無法確認網路服務提供者所要求之個人資料是 否與個人隱私偏好或隱私協商結果相同。分析以上相關文獻後,可發現一個完善的隱私 協商機制,應包含三項要素:
z 網路服務提供者應能針 z 使用者可自訂隱私偏好 z 網路服務提供者與使用者
必須符合隱私協商結果所同意的項目與權限
目前文獻所提出的隱私協商方式或架構,並無法完全符合以上要素。在
架構下,使用者個人資料是存放於第三方的身份提供者,因此無法保證網路服務提供者 向第三方的身份提供者存取使用者的個人資料時是否與當初隱私協商結果相同,造成網 路服務提供者可能侵犯個人隱私的疑慮。本研究將在下一個章節提出新的隱私協商機 制,來解決目前 OpenID 架構對使用者隱私保護的限制與不足之處。
研究提出的隱私協商機制之前,我們要先說明一些基本
設網路服務的使用者皆相當地重視個人隱私且在處理個人資料的存取權限上有高 度的敏感度。所以,這樣的使用者會依據所使用的網路服務的性質來決定他需要給予網 路服務提供者何種個人資料是合理的,而不會直接設定一個預設的隱私偏好政策在網頁
瀏覽器內後,就再也不管自己的隱私問題了。我們也假設使用者在使用要求具敏感性的 個人資料(如身份證字號)的網路服務時,只會使用個人擁有的電腦設備或隨身設備(如 智慧型手機等),以避免個人資料的外洩。所以,我們可假設使用者登入他的電腦後,
即視此電腦帳號下的網路代理程式(如網頁瀏覽器)為使用者單獨擁有使用與存取權 限。若一家多人使用同一電腦時,只要每人各有一個帳戶仍可符合以上所述的假設情 況。這些假設也都符合目前大多數網路使用者的情形。
在OpenID架構下,當網路服務應用程式要求使用者登入時,會請使用者提供身份提 供者
分成三個模組:(1)使用者端隱私偏好 設定
(Identity Provider, IdP)伺服器位置或使用者的OpenID,之後網路服務應用程式會將 使用者重導至IdP網站完成使用者登入動作。IdP將會回傳使用者身份與使用者個人註冊 資料給應用程式。在此架構下新的隱私協商機制,需要在使用者端的代理程式(如網頁 瀏覽器)、網路服務應用程式端、與IdP伺服器內建置隱私協商套件與新的協商流程及資 料交換協定,以達成隱私協商、個人資料存取授權與監控等功能。本研究提出的適用於 OpenID架構的隱私協商機制如圖圖 1所示。
我們所提出的網路使用者隱私協商機制可分成
模組(User Privacy Preference Module, UPPM),提供使用者設定個人資料隱私偏好;
(2)使用者端隱私協商模組(User Privacy Negotiation Module, UPNM),主要協助使用者執 行隱私協商之流程。在協商過程中提供使用者隱私政策選擇建議,並與 IdP 伺服器交換 資 訊 以 驗 證 協 商 結 果 的 完 整 性 (Integrity) (3) 應 用 程 式 端 隱 私 協 商 模 組 (Application Privacy Negotiation Module, APNM),使網路服務應用程式具有隱私協商之功能。
圖 1 適用於 OpenID 的隱私協商機制圖 3.1 隱私協商套件(Privacy Negotiation Package 介紹
者設定個人隱私偏好。使用者可 設定
)
使用者端隱私偏好設定模組(UPPM)用來幫助使用
之項目包含願意分享的個人資料項目,與各資料項目的權重值。每個資料項目可在 1 至 5 的權重值中,預選一個值,值愈大代表此項目對使用者愈具隱私性。在協商過程 中,網路服務提供者會提出幾種它可接受的隱私政策給使用者端,使用者端隱私協商模 組則會按這幾種提出的隱私政策所要求的不同個人資料項目的組合,計算出其相對的總 權重值。總權重值愈大的隱私政策代表網路服務提供者要求更多的個人敏感資訊,才願 意提供相對的服務。因此,使用者可根據協商模組所提供的各政策的總權重值考量何種
政策是他所願意接受的。隱私協商套件也可根據網站的可信任程度推薦隱私協商選項,
因此使用者亦可在 UPPM 下設定網站信任門檻。至於如何判定網站的可信任程度,將不 在本研究中探討。與本研究相關的另一個研究計畫就是研究此議題。簡短地說,嘗試利 用可信任第三方來提供各個網路服務(或網站)的可信任程度值,是一個主要的方向。
使用者端隱私協商模組(UPNM)負責協助使用者執行隱私協商流程。UPNM 會比對 使用
大化服務品質」策略,代表使用者願意提供較多的個人資料,來 換取
務應用程式端的獨立函 式庫
器可驗證網路服務應用程式所要求的個人資料,是否符合協 商結
3.2 隱私協商流程
商流程。步驟 1 至 3 為取得使用者註冊的 IdP 伺服器之網路位址 者隱私偏好是否與網站隱私政策相符,若不符則會協助使用者與網站應用程式進行 進一步的協商。在進行協商時,使用者可選擇協商策略。協商策略包含「最大化服務品 質」、「最小隱私洩漏」、「網站信任評估推薦」三種策略。UPNM 在分析網站應用程式所 提出的隱私協商條件後,將會根據使用者所選擇的協商策略,推薦使用者適合的協商選 項以供使用者選擇。⎠
當使用者選擇「最
較好的網站服務品質。因此,UPNM 將選擇網站應用程式所提出的協商政策選項 中,服務品質最高的相對隱私政策選項給使用者。當使用者選擇「最小隱私洩漏」策略,
代表使用者願意犧牲一些網路服務品質,但換取較高的個人資料隱私性。因此,UPNM 將推薦隱私洩露程度最小的協商選項給使用者。隱私洩漏程度為使用者個人資料權重值 的加總。例如,若使用者在設定隱私偏好時,設定電子郵件的重要程度為 1(最不重要)、
電話的重要程度為 5(最重要)。當應用程式為協商而提出的其中一個隱私政策要求使用 者的聯絡電話與電子郵件時,此隱私政策的洩露程度即為 6。當使用者選擇「網站信任 評估推薦」策略,代表使用者將根據網站是否可被信任,來決定協商選項。一般來說,
當網站可信任程度較高時,使用者願意提供較多的個人資料。若網站可信任程度較低,
則使用者只會提供最少的個人資料。因此,若使用者選擇此協商策略,UPNM 將會先到 第三方的網路服務可信任度查詢平台查詢此網站可信任程度,並分析轉換成網站可信任 值。UPNM 將會讀取使用者偏好設定中「網站信任門檻」值,並與獲得的網站可信任值 作比較。若網站可信任值高於使用者設定的門檻值時,代表使用者可信任此網站的服 務,UPNM 便推薦使用者選擇服務品質最高(也是隱私洩漏程度最高)的隱私政策選項;
若網站可信任評鑑值低於使用者設定的網站信任門檻值,則推薦較安全(隱私洩漏程度 最低)的隱私政策選項。若三種協商策略所推薦的協商選項使用者皆不滿意,使用者在 協商過程也可自行選擇網路服務提供者提供的協商選項,或不選擇任何協商選項直接停 止交易。UPNM 提供使用者非常彈性的隱私協商方式與選項。
網路服務應用程式端隱私協商模組(APNM)為安裝於網路服
。APNM 負責接收 UPNM 傳送之隱私協商結果,依據協商結果之內容向 IdP 伺服 器請求使用者個人資料。
此外,為了讓 IdP 伺服
果。網路服務應用程式要求資料時,須將隱私協商結果傳送給 IdP 伺服器,IdP 伺 服器將會與 UPNM 模組確認隱私協商結果未被更改後,再將個人資料回傳給網路服務 應用程式。以上說明了各模組之功能,下一節將說明整個機制的運作流程。
圖 2 為隱私協
(URL)。當使用者對網路服務應用程式提出服務請求時,應用程式將會要求使用者輸 入 OpenID 帳號或選擇所使用之 IdP 伺服器。網路服務應用程式會記錄使用者選擇的 IdP 伺服器。
圖 2 隱私協商流程圖
步驟 4 至步驟 9 為隱私協商流程。在取得 網路位址後,網路服務應用程式利用 HTT
針對網路服務應用程式所提供的所 有隱
路服務應用程式如何取得使用者個人資料的流程。應用程式透過 APN
IdP
P 標頭(Header)傳送其隱私協商政策選項。使用者端協商模組(UPNM)偵測到 P3P 標 頭資訊存在後,將解析傳到的隱私政策的 XML 檔案內容,並記錄所有網路服務應用程 式所提出的隱私協商選項。接著 UPNM 將解析應用程式預設的隱私政策的個人資料項 目,並與使用者個人資料偏好設定進行比對。若使用者願意提供的個人資料項目滿足應 用程式預設的隱私政策需求,則隱私協商成功,UPNM 將透過 HTTP 協定傳回預設隱私 政策 URL 給 APNM。若使用者預設隱私偏好比對後不符合應用程式預設的隱私政策需 求,則進行使用者隱私協商建議步驟(步驟 7 至 8)。
在使用者隱私偏好比對失敗的情況下,UPNM會
私協商政策進行隱私洩漏程度分析。計算完成後,UPNM自動開啟一個交談視窗,
提供使用者選取建議隱私政策選項。使用者可選擇的協商策略包含:「最大化服務品質」
「最小隱私洩漏」與「網站信任評估推薦」。若使用者不接受APNM所建議的協商策略,
亦可自行選擇隱私協商選項,或選擇不接受協商。若使用者選擇不接受協商,APNM將 會回傳隱私協商失敗訊息給網路服務應用程式端。若使用者根據本身隱私需求選擇了某 個網路服務應用程式所提供的隱私政策(步驟 8),UPNM將會對協商結果所產生的隱私 政策之內容進行SHA-1 加密運算10,並透過HTTP協定,告知APNM使用者所選擇的隱 私政策(步驟 9)。
步驟 10 至 17 為網
M,將隱私政策協商結果的 URL、應用程式身份識別碼、與所要求的個人資料項目,
傳送給使用者註冊的 IdP 伺服器(步驟 10)。IdP 伺服器接收 APNM 傳送之請求後,首先
會對使用者身份進行辨識。IdP 伺服器將檢查使用者是否已登入,若未登入時,則要求 使用者於登入頁面中輸入使用者名稱、密碼等資料以進行登入動作(步驟 11 至 12)。使 用者登入後,IdP 伺服器根據隱私政策協商結果 URL 的內容進行 SHA-1 加密運算,並 利用 HTTP 重導的方式將 SHA-1 運算結果放置於瀏覽器網址列(圖 2 步驟 13)。UPNM 可藉此取得瀏覽器網址列內的 SHA-1 運算值。UPNM 比對先前協商結果的 SHA-1 運算 值與 IdP 伺服器所傳送的 SHA-1 運算值是否相同,若兩值相同,則代表隱私協商之結果 未被修改,UPNM 透過 HTTP 回傳 SHA1 驗證成功訊息給 IdP 伺服器。若 SHA-1 運算 值比對結果不一致,代表協商結果可能被網路服務應用程式修改,則 UPNM 回傳 SHA-1 驗證失敗訊息給 IdP 伺服器。當 IdP 伺服器確認協商結果未被修改,且應用程式要求之 個人資料符合隱私協商結果,則顯示使用者同意畫面,告知使用者網路服務應用程式欲 存取使用者的個人資料項目,使用者將可選擇是否同意網路服務應用程式存取個人資 料。若 SHA-1 驗證成功且使用者同意分享個人資料,則 IdP 伺服器會回傳使用者個人資 料給網路服務應用程式端;若 SHA-1 驗證失敗或使用者此時拒絕分享個人資料,則 IdP 伺服器回傳驗證失敗訊息給網路服務應用程式端。
當網路服務應用程式確認使用者身份辨識成功,並取得使用者個人資料,即可在保 護使
4. 系統實作
依據上一章節的隱私協商 開發了一套適用於 OpenID 的隱私 協商
套適用於 Firefox 瀏覽器的隱私協 商套
路服務應用程式能配合隱私協商流程,網站必須在需要協商的 服務
了OpenID Simple Registration Extension8的功能,新增 使用
用者隱私的狀況下,同時提供網路服務。經由以上介紹,可清楚表現出本研究所提 出的機制,可讓使用者自行決定隱私偏好、選擇隱私協商處理選項並得到使用者想要的 结果,同時確保網路服務應用程式向第三方 IdP 伺服器取得使用者資料時,能夠符合先 前的隱私協商結果。在下一節我們將說明如何根據以上的機制,實際建置一套雛形系統。
流程與模組設計,我們
套件,包含使用者代理程式(User Agent)附加模組、網路服務應用程式附加模組、與 第三方身份提供者(IdP 伺服器)附加模組共三部份。
在使用者代理程式附加模組部分,我們開發了一
件,使瀏覽器具有「使用者端隱私偏好設定模組(UPPM)」與「隱私協商模組(UPNM)」
的功能。網路服務應用程式端則使用 PHP 語言實作一個購物網站,並開發一組隱私協 商函式庫作為附加模組,使購物網站具有隱私協商功能。第三方身份提供者部分,則使 用 ASP.NET 語言來開發符合 OpenID 規範且具備驗證協商結果功能的附加模組。表一顯 示各模組的開發環境。
為了使購物網站的網
請求頁面利用HTTP標頭傳送隱私參考檔(Policy Reference File, 一般以p3p.xml 命 名)的所在位置,詳細宣告方式請參照1。網站可宣告多個不同的 <POLICY-REF> 標籤,
但相同的<INCLUDE>標籤內容,來代表隱私協商的選項。此外,為了能使使用者隱私 協商模組能夠記錄協商結果,在傳送隱私參考檔的同時,必須附帶傳送應用程式身份識 別碼(Application Identity)。
在IdP伺服器部分,我們擴充
者電話與住址兩欄位(openid.sreg.tel, openid.sreg.address)使OpenID資料架構能夠更
符合實際網路購物所需。
表一:系統開發環境
項目 系統開發環境
Firefox 隱私協商套件 開發語言:Javascript, XUL (XML User Interface Language) 開發環境:Firefox 3.6
購物網站應用程式
2.6 開發語言:PHP 5.2.4 網路伺服器:Apache 2.
第三方身份提供者
udio 2008 (IdP)
開發語言:ASP.NET 開發環境:Visual St 網路伺服器:IIS 6.0 4.1 系統展示
將展示並說明實作的雛型系統:使用者如何設定個人隱私偏好、使用者如 何與
3為Firefox隱私協商套件安裝畫面,在使用者與購物網站進行協商前,使用者 必須
本節我們
購物網站進行隱私協商、以及購物網站如何透過 IdP 伺服器取得使用者個人資料等 流程。
圖圖
安裝隱私協商套件於其所使用的Firefox瀏覽器上。
圖 3 隱私協商套件安裝
圖圖 4為使用者隱私偏好設定畫面,使用者可設定願意分享的個人資料項目,與各 資料
若使用者需要購 物,
項目的權重值。若使用者覺得某項個人資料較重要,則可給予較高的權重值。在協 商過程中,隱私協商套件亦可根據網站的可信任程度推薦隱私協商選項,因此使用者亦 可在隱私偏好設定畫面下,設定網站信任門檻。在此我們假設在一般的情形下,愈多人 使用的網站或被愈多其他可信任網站建立連結的網站(或網路服務),較可信任。因此 我們在實作時,是以Google PageRank 的網站數值作為網站可信任的分數。若有更好的 第三方網站信譽評估機制,亦可隨時增加至Firefox隱私協商套件內。
在設定完個人隱私偏好後,使用者可瀏覽我們所建立的購物網站,
則購物網站將會要求使用者利用已註冊的OpenID登入。圖圖 5顯示網站要求使用者 登入,使用者輸入OpenID帳號的畫面。在使用者按下登入按鈕後,購物網站將會利用
HTTP表頭傳送隱私政策,此時瀏覽器隱私協商模組會與網站應用程式進行協商。
若購物網站預設的隱私宣告符合使用者預設的隱私偏好,則購物網站使用預設隱私 政策向 IdP 伺服器要求使用者個人資料。若網站預設隱私宣告與使用者預設隱私偏好不 能相符,瀏覽器隱私協商模組將會推薦隱私政策選項給使用者進行協商選擇,如圖錯誤!
找不到參照來源。所示。使用者可任意選擇協商策略,隱私協商模組會自動根據協商策 略推薦使用者隱私協商選項。
圖 4 隱私協商流程圖
圖 5 購物網站要求使用者輸入 OpenID
在使用者選擇隱私協商選項後,網站應用程式附加模組與使用者隱私協商模組皆會 記錄協商結果。網站應用程式將依照使用者所選擇之協商結果向IdP伺服器要求使用者 個人資料。IdP伺服器將會要求使用者登入並對使用者做身份辨識。使用者成功登入IdP 伺服器後,IdP伺服器會驗證網站應用程式請求存取的使用者資料是否與先前協商結果
相同,若網站應用程式要存取的個人資料符合先前協商結果,則會回傳使用者身份與個 人資料,如圖圖 7所示。
我們藉由建立並實際運作雛形系統,展示了新的隱私協商機制的可行性。使用者可 自訂隱私偏好與自行決定協商結果。而網路服務應用程式可根據使用者隱私偏好或隱私 協商結果,決定存取何種使用者資料,並提供客製化網路服務。IdP 伺服器亦可驗證網 路服務應用程式請求存取的使用者個人資料是否符合協商結果。
圖 6 隱私協商模組推薦使用者隱私協商選項
圖 7 應用程式透過身份提供者(IdP)取得個人資料
5. 結論與未來展望
OpenID 架構雖然有提供網路服務傳遞其使用者隱私政策的方式,但因為 IdP 伺服 器無法辨別網路服務傳送的隱私政策是否與使用者隱私協商後的結果相同,造成 OpenID 無法檢驗網路服務應用程式存取保存在 IdP 伺服器的使用者個人身份資料時,
是否違反隱私協商結果。有鑑於此,本研究提出了一個適用於 OpenID 架構的使用者隱 私協商機制,以保障網路服務使用者的個人隱私並實作雛形系統以檢驗提出的機制之可 行性。
就未來展望而言,目前我們開發的系統雛型,在隱私協商部份僅對個人資料維度 (Dimension)進行協商,未來可以擴充協商資料的維度,使協商機制適用的範圍更廣、更 加彈性。
誌謝
本研究承蒙國科會資訊安全技術研發專案(計畫編號 NSC98-2218-E-011-020)補助,謹此 致謝。
參考文獻
1. L. Cranor, M. Langheinrich, M. Marchiori, M. Presler-Marshall, and J. Reagle, "The Platform for Privacy Preferences 1.0 (P3P1.0) Specification," W3C Recommendation, http://www.w3.org/TR/P3P/, 2002.
2. S. Preibusch, "Privacy Negotiations with P3P," in W3C Workshop on Languages for Privacy Policy Negotiation and Semantics-Driven Enforcement, 2006.
3. M. Maaser, S. Ortmann, and P. Langendorger, "NEPP: Negotiation Enhancements for Privacy Policies," in W3C Workshop on Languages for Privacy Policy Negotiation and Semantics-Driven Enforcement, 2006.
4. Y. Lee, D Sarangi, O. Kwon, and M. Kim, "Lattice Based Privacy Negotiation Rule Generation for Context-Aware Service," Ubiquitous Intelligence and Computing, 2009, pp: 340-352.
5. V. Venkatakrishnan, W. Xu, and R. Sharda, "On Supporting Active User Feedback in P3P," 2nd Workshop on Secure Knowledge Management (SKM '06), 2006.
6. G. Singh and S. Singh, "A Comparative Study of Privacy Mechanisms and a Novel Privacy Mechanism" Information and Communications Security, 2009, pp: 346-358.
7. B. Fitzpatrick, D. Recordon, D. Hardt, and J. Hoyt, "OpenID Authentication 2.0"
OpenID Foundation, http://openid.net/specs/openid-authentication-2_0.html, 2007.
8. J. Hoyt, J. Daugherty, and D. Recordon, "OpenID Simple Registration Extension 1.0,"
OpenID Foundation, http://openid.net/specs/openid-simple-registration-extension-1_0.html, 2006.
9. D. Hardt, J. Bufu, and J. Hoyt, "OpenID Attribute Exchange 1.0," OpenID Foundation, http://openid.net/specs/openid-attribute-exchange-1_0.html, 2007.
10. SHA-1, http://en.wikipedia.org/wiki/SHA-1.
無衍生研發成果推廣資料
98 年度專題研究計畫研究成果彙整表
計畫主持人:羅乃維 計畫編號:98-2218-E-011-020-
計畫名稱:具隱私協商與風險管理之聯合服務架構--子計畫三:個人隱私協商模組
成果項目
量化
單位
備 註 ( 質 化 說 明:如 數 個 計 畫 共 同 成 果、成 果 列 為 該 期 刊 之 封 面 故 事 ...
等) 實際已達成
數(被接受 或已發表)
預期總達成 數(含實際已
達成數)
本計畫實 際貢獻百
分比
國內
論文著作
期刊論文 0 0 100%
篇 研究報告/技術報告 1 1 100%
研討會論文 0 1 100%
正投稿中(第十六 屆 資 訊 管 理 暨 實 務研討會),2010 年 11 月 4 日才知 道 論 文 被 接 受 與 否。
專書 0 0 100%
專利 申請中件數 0 0 100%
已獲得件數 0 0 100% 件
技術移轉 件數 0 0 100% 件 權利金 0 0 100% 千元
參與計畫人力
(本國籍)
碩士生 3 3 100%
博士生 1 1 100% 人次 博士後研究員 0 0 100%
專任助理 0 0 100%
國外
論文著作
期刊論文 0 0 100%
篇 研究報告/技術報告 0 0 100%
研討會論文 3 1 35%
專書 0 0 100% 章/本 專利 申請中件數 0 0 100%
已獲得件數 0 0 100% 件
技術移轉 件數 0 0 100% 件 權利金 0 0 100% 千元
參與計畫人力
(外國籍)
碩士生 0 0 100%
博士生 0 0 100% 人次 博士後研究員 0 0 100%
專任助理 0 0 100%
其他成果 (無法以量化表達之成 果如辦理學術活動、獲 得獎項、重要國際合 作、研究成果國際影響 力及其他協助產業技 術發展之具體效益事 項等,請以文字敘述填 列。)
無
成果項目 量化 名稱或內容性質簡述
科 教 處 計 畫 加 填 項 目
測驗工具(含質性與量性) 0
課程/模組 0
電腦及網路系統或工具 0
教材 0
舉辦之活動/競賽 0
研討會/工作坊 0
電子報、網站 0
計畫成果推廣之參與(閱聽)人數 0
國科會補助專題研究計畫成果報告自評表
請就研究內容與原計畫相符程度、達成預期目標情況、研究成果之學術或應用價 值(簡要敘述成果所代表之意義、價值、影響或進一步發展之可能性)、是否適 合在學術期刊發表或申請專利、主要發現或其他有關價值等,作一綜合評估。
1. 請就研究內容與原計畫相符程度、達成預期目標情況作一綜合評估
■達成目標
□未達成目標(請說明,以 100 字為限)
□實驗失敗
□因故實驗中斷
□其他原因 說明:
2. 研究成果在學術期刊發表或申請專利等情形:
論文:□已發表 ■未發表之文稿 □撰寫中 □無 專利:□已獲得 □申請中 ■無
技轉:□已技轉 □洽談中 ■無 其他:(以 100 字為限)
3. 請依學術成就、技術創新、社會影響等方面,評估研究成果之學術或應用價 值(簡要敘述成果所代表之意義、價值、影響或進一步發展之可能性)(以 500 字為限)
本計畫為「具隱私協商與風險管理之聯合服務架構」的總計畫之下的子計畫。因總計畫屬 於資訊安全技術研發專案下的整合型研究計畫,所以計畫是以能移轉所開發的技術予產業 界為主要目標。按國科會要求,本計畫同時需將開發成果放置於中研院自由軟體平台下,
供大眾參考與使用。因此,本子計畫在學術成就上,主要是支援參與的老師與同學在身分 辨識與個人隱私協商的研究議題上的基本知識,據此來研究較廣泛領域的身分辨識與個人 隱私協商議題。有 3 篇國際研討會論文發表。此計畫開發的技術也已投稿至國內研討會。
在技術創新上,我們設計並實作一套可以外掛程式方式安裝於瀏覽器的個人隱私協商模 組,及與其相對應的聯合服務平台(伺服器端)的隱私協商介面程式。此為目前市面上瀏 覽器所沒有的功能。在著重個人隱私的今日社會,此模組的概念可能成為日後瀏覽器的必 須功能,有潛在的商業價值與影響社會使用網路的習性。
