A Privacy-Preserving UBICOMP Architecture
Autor(es): George Yee
El concepto popular de computación ubicua inició con el artículo de Mark Weiser en 1991, donde introduce la visión de una persona interactuando con cientos de computadoras en forma inalámbrica interconectadas y distribuidas en el ambiente físico. Su objetivo era enfatizar en ayudar a la persona en su vida diaria.
El objetivo del artículo es presentar una arquitectura para la computación ubicua que preserva las preferencias de privacidad en forma de políticas personales de privacidad. Un objetivo secundario es discutir la naturaleza de la privacidad y de como las preferencias de privacidad personales podrían ser especificadas en una política de privacidad adecuada para la computación ubicua.
El trabajo está enfocado para un ambiente ubicuo con las siguientes características:
- Los dispositivos de computación ubicua están conectados localmente así como globalmente vía Internet.
- Los dispositivos locales pertenecen a un humano o una organización.
- Los usuarios humanos emplean estos dispositivos para compartir información local y globalmente. Un usuario quien comparte información es llamado "partícipe de datos". El que observa la información es llamado "observador de datos". Un usuario puede ser tanto uno como otro.
2. Políticas de privacidad para computación ubicua.
2.1 Privacidad
Como fue definido en 1997 por Goldberg, privacidad se refiere a la habilidad de los individuos para controlar la colección, retención y distribución de información acerca de ellos mismos.
2.2 Uso de políticas de privacidad
Dar a un individuo o partícipe de datos el control sobre su infracción privada se realiza de la siguiente manera. El partícipe de datos especifica en una política personal de privacidad como quiere que el observador trate su información. Por otra parte, el observador especifica en su política personal de privacidad que información personal requiere del partícipe y como planea manejar ésta información. Ambas políticas deben ser compatibles antes de que el proceso de compartir comience.
Una vez que inicia el proceso de compartir, el observador tiene que cumplir con su política. Deben de existir mecanismos infalibles para asegurar la conformidad de ambos.
2.3 Políticas de privacidad de legislación
Los cuerpos legislativos de todo el mundo han promulgado legislaciones para dar al individuo control sobre su información personal. Han definido la información personal y especificado las obligaciones a las organizaciones proveedoras de servicios con respecto a las políticas de privacidad personales de los consumidores. Estas legislaciones puede ser usada como base para definir el contenido de las políticas personales de privacidad.
El contenido de las politicas de privacidad personales es genérico ya que está basado en la legislación que aplica mundialmente. Puede ser especializada para ambientes ubicuos probando contra un conjunto de preguntas dadas por Hong y otros para el análisis de riesgos de privacidad. Esta prueba identificará que contenidos de la política de privacidad corren riesgos en ambientes ubicuos y por lo tanto necesitan ser revisadas. Como resultado se tendrá una política personal de privacidad para ambientes ubicuos que satisface las legislaciones.
El nombre de esta prueba es PRAQ:
- ¿Quienes son los usuarios del sistema? ¿Quienes son los participes de datos, aquellos que comparten la información? ¿Quienes son los observadores de datos, aquellos que ven la información?
- ¿Qué tipo de información personal es compartida? ¿Bajo que circunstancias?
- ¿Cuál es el valor propuesto para compartir información personal?
- ¿Cuales son las relaciones entre los partícipes y los observadores? ¿Cuál es el nivel de naturalieza y simetría de confianza? ¿Que incentivos de información de los partícipes, los observadores tienen que proteger?
- ¿Hay algún potencial de observadores maliciosos? ¿Qué tipo de información personal les interesa?
- ¿Hay otros interesados o terceros que pudieran verse afectados directa o indirectamente por el sistema?
- ¿Cómo se recopila la información personal? ¿Quién tiene el control sobre las computadoras y sensores utilizados para recopilar información?
- ¿Como se comparte la información personal? ¿Pueden los participes aceptar o rechazar o seleccionar cualquiera de las dos? ¿Pueden los participes entregar su información o son los observadores los que obtienen esa información de algún medio?
- ¿Qué tanta información es compartida? ¿Es discreta y de una sola vez? ¿Es continua?
- ¿Cuál es la calidad de la información compartida? ¿En qué nivel se encuentra, en cuestión de espacios, la información (calle, cuarto, edificio, etc.)? ¿Es en tiempo real o se hace un recopilatorio de varios días u horas? ¿Es anónimo, seudónimo, o es con personas específicas?
- ¿Qué tan larga es la información presonal? ¿Donde se guarda? ¿Quien puede acceder a ella?
3. Arquitectura ubicua de preservación de privacidad
3.1 Requerimientos
Dado el sistema ubicuo y el uso de políticas de privacidad para proteger la información del partícipe, los requerimientos son los siguiente:
- El entorno ubicuo tiene dispositivos que se asume tienen capacidades de realizar las tareas atribuidas anteriormente descritas en la sección 1.
- El uso de políticas de privacidad es como la descrita en la sección 2.2.
- Antes de usar un dispositivo del sistema ubicuo para compartir información personal u observar información, el usuario debe iniciar una sesión en el dispositivo para identificarse.
- La información relativa a los observadores de datos en línea se puede consultar en cualquier momento en cualquier dispositivo del sistema.
- Después de iniciar sesión y antes de compartir información, el partícipe debe realizar los siguientes pasos:
- Solicitar quienes son los observadores en linea.
- Completar su política de privacidad (previamente almacenada como una plantilla sin observadores de datos identificados) al decidir que los observadores de datos recibirá su información privada basada en el uso de políticas. Presentar su política de privacidad para el sistema.
- Después de iniciar sesión y antes de observar información, el observador debe enviar su política de privacidad al sistema cuando se le solicite.
- Para los usuarios que son tanto participes como observadores deben realizar ambos pasos.
Esta sección describe el diseño de la arquitectura para preservación de datos para satisfacer los requerimientos anteriores.
El diseño tiene los siguientes componentes:
Red local y global: Se asume que son del tipo más común (WiFi, Ethernet, IrDA, Bluetooth para el caso local, el Internet mismo para el caso global).
Controlador de privacidad: Este componente tiene las siguientes funciones:
- Solicitar las políticas de privacidad de los observadores y partícipes.
- Asegurar que los observadores cumplan la política de los partícipes.
- Forma conexiones entre los partícipes y los observadores que tengan compatibilidad entre sus políticas de privacidad.
- Los controladores de cada red local realizan esto para los pares observador y partícipe dentro de la red. Si un participe comparte información con un observador en redes distintas, los controladores de cada red deben comunicarse antes de iniciar a compartir datos.
4. Evaluación
Algunas fortalezas de la arquitectura presentada son:
- Confirma las preferencias de privacidad especificados personalmente.
- Puede ser usada para todos los tipos de sesiones.
- Alta escalabilidad.
- Puede ser difícil de adaptar la arquitectura propuesta en una arquitectura ya existente.
- Desde la arquitectura propuesta abarca la totalidad de Internet, puede ser difícil para los usuarios que interactúan de países con culturas muy distintas llegar a un acuerdo sobre las políticas.
En términos de debilidades, es cierto que podría ser difícil adaptar esta arquitectura a las existentes entornos ubicuos. La arquitectura propuesta es mejor aplicada a nuevos entornos ubicuos. La dificultad para obtener una política de privacidad entre usuarios de distintos países no es en realidad un problema único de la arquitectura propuesta. De hecho sería un problema de cualquier arquitectura que une a los usuarios. Ésta arquitectura beneficia a los usuarios al permitirles negociar en primer lugar.
5. Conclusión:
Se propuso una arquitectura híbrida, globalmente de punto a punto, localmente centralizada para sistemas de computación ubicua.
El artículo promueve el trato de la privacidad de forma más personal que de costumbre en otras arquitecturas, donde el usuario tiene que estar de acuerdo con políticas predefinidas. Al contrario de estos, el usuario puede potencialmente negar o autorizar la información compartida. Así como también puede solicitar que información desea ver de los demás.
Desde mi punto de vista, parece ser un sistema muy eficaz en cuanto a seguridad, puesto que el usuario solo da a conocer los datos que desea durante un lapso de tiempo dado por la sesión. Así como solo podrá ver lo que los demás usuarios acordaron.
El sistema de compatibilidad de políticas es necesario, pues funciona como un filtro para aquellos que desean comunicarse con los datos dados.
Quizá sea una debilidad el hecho de que al ser una arquitectura relativamente nueva y que por lo tanto sea difícil adaptar los sistemas anteriores a esta o que la arquitectura se tenga que manejar en forma local y que su forma global se vea limitada por las zonas culturales.
Personalmente creo que se trata de una arquitectura eficiente de manejo de privacidad en ambientes ubicuos y que se podría adaptar a las legislaciones nuevas para poder ser estandarizada en los sistemas ubicuos.
Referencias:
[1] G. Yee, "A Privacy-Preserving UBICOMP Architecture" (artículo presentado en Proceedings of the 2006 International Conference on Privacy, Security, and Trust, Octubre 30 – Nobiembre 1, 2006)
OK; 7 pts.
ResponderBorrar