公共策略

26.1介绍

许多应用允许访问到用户信息，具体形式如在线状态信息或位置信息，能揭示有关用户状态或其他内容的个人详细信息。这些详细信息的日渐丰富给通信带来了特别的机会，但同时也对隐私构成了相当的威胁。因此，当出现这些应用时,需要存在一个强大且同样内容丰富的系统，来控制信息的隐私设置。

公共策略［Draft.ietf.geopriv-common-policy］定义了一种授权策略标记语言，用于描述关于某个应用的详细访问权限。公共策略起初是想描述与地理位置有关的隐私设置，但从重用的角度来讲，它也是描述在线状态授权策略的基础。

事实上，任何有关资源访问的应用——不论它以订购、获取或是各种邀请的形式——都可以使用公共策略的基础工具，并将其许可声明进行扩展以适配该应用的特殊需求。

26.2  模型和准则结构

公共策略模型最重要的方面就是许可的追加特性，这就意味着某种资源的隐私设置总是从根本没有许可开始的，然后由用户基于某种形式的激励，来向设置添加许可条款——例如，某用户可能通过看门狗信息［RFC3857］机制发现另一个用户想订阅他的在线状态信息。

这与传统的黑名单模型完全相反。黑名单模型中，除了黑名单中列出的个别人，其他人基本上都有访问权限。黑名单的主要缺陷在于仅仅更改某个人的身份——称为“身份捏造"，就足以躲避访问控制。

和白名单模型类似，追加许可使得系统更具隐私安全，对身份捏造更有抵抗力。简单地捏造身份不再足以获得访问权；相反，一个恶意用户实际上需要加入到另一个用户的好友名单中。假设身份是可靠的且不能被伪装㊀，则进入别人的好友名单很难做到，通常要求交换名片或之前进行过其他种类的通信。

当然，当应用能从其他应用接收或获得某种级别的信息时，该应用将获益匪浅，这也正是公共策略的情形。每个人(当具有可靠身份时）都能获得低级别的许可——例如，接收最基础级别的在线状态信息或仅仅揭示用户当前所在国家的居民位置信息等——或获得发送请求的许可；另一方面，最被信任的人能被给予更高级别的访问权限。

公共策略将授权策略定义为一系列的规则（称为“规则集合”），这些规则将控制对信息的访问权限。每条规则都基于一定的匹配准则来授予许可，如访问信息的用户身份，或日期和一天中的时间等。这些匹配准则被称为“条件许可可进一步划分为行动和转变。行动部分指定某个系统应该以什么样的方式起作用，而转变部分指定该行动执行的具体方式。上述结构如图26-1所示。

图26-1公共策略数据模型

26.3 数据类型和许可处理

正如前所述，授权策略由一系列的规则组成，每个规则授予一定许可。这些规则彼此独立，一次处理，即规则的排序并不重要。在所有规则都处理完后，就为所有授予的许可产生一个所谓的“结果”，这是公共策略与其他访问权限系统的另一个重要区别。例如，*nix文件系统使用访问控制列表（ACL）和另外三个列表（即user、group和others）,依次访问，第一个匹配的列表将确定访问权限。

公共策略处理模型意味着一个用户可以获得好几种具有不同访问权限级别的许可。为了解决这种模糊性，提供了一种能将不同规则所允许的不同许可组合起来的算法，它依赖于许可的数据类型——布尔型、整型和集合型。

布尔型只能有两个值：真或假。当对布尔型许可进行组合时，“或”操作在它们之中交叉使用。换言之，如果一个或多个许可是真，则结果为真；如果没有一个许可是真，则结果为假。由于缺省结果总为假，因此当任何匹配规则都没有时,就被自动赋值为假。

整型给每个许可分配一个整数，数值越高，给许可所分配的权限越高——0是缺省值，具有最低权限。当组合整型许可时，所授予许可中的最高数值被选取。在没有任何规则时，则采用具有最高隐私设置级别的缺省值——即不发布或仅发布很少的信息，或阻止信息共享。

集合型给每个许可分配一个集合属性。每个属性指定一定的许可——空集为缺省值。当对集合型许可进行组合时，则采用所有许可的联合。例如，如果两个许可授予“黄”和“绿”，则结果为两个的联合：｛“黄”，"绿”}。

在处理完许可后，系统开始着手确定给所请求信息应用哪些许可。