Exemple de négociation - Spéciﬁcation du protocole

3.5 Spéciﬁcation du protocole

3.5.4 Exemple de négociation

Nous allons prendre comme exemple une transaction pour l’achat en ligne d’un téléphone mobile avec abonnement. L’exemple va porter sur la négocia- tion des politiques de deux data elements le numéro de carte de crédit (ou

N˚CC) et l’adresse mail (ou @mail). La négociation concernera la partie obli-

gatoire de la politique de privacy.

Les politiques

La politique obligatoire du serveur concernant les deux data element est comme suit :

M andatory ={(N˚CC, {ours}, {no − retention}, {current}),

(@mail,{ours, delivery}, {indefinitly}, {current, telemarketing, admin})}. La politique optionnelle du serveur est :

Optionnal ={(N˚CC, {}, {business − practices}, {pseudo − analysis}),

(@mail,{same, other − recipient}, { }, {tailoring})}.

La politique que le client consoit d’accorder sans aucun souci est :

Ideal ={(N˚CC, {ours}, {no − retention}, {current}),

(@mail,{ours, delivery, same}, {no−retention, business−practices}, {current})}. La politique qu’il n’aimera ne pas attribuer mais qu’il concedera ni né-

cessaire : Acc = {(N˚CC, { }, {business − practices}, { }),

(@mail,{delivery, other−recipient}, {stated−purpose}, {admin, develop})}. La politique dont il ne peut faire concession est :

U nacc ={(N˚CC, {delivery, same, unrelated, other−recipient, public}, {stated− purpose, legal−requirement, indefinitly}, {admin, develop, tailoring, pseudo− analysis, pseudo− decision, individual − analysis, contact, historical}),

Figure 3.1 – L’ontologie du serveur pour l’achat de téléphone mobile en ligne.

(@mail,{unrelatted, public}, {legal−requirement, indifinitly}, {tailoring, pseudo−

analysis, pseudo−decision, individual−analysis, contact, telemarketing, other− purpose, historical})}.

Les alternatives expriment d’autres possibilités de politiques que le serveur est prêtes à accepter. Pour les besoins de notre exemple, supposons que pour le data element @mail, le serveur propose deux alternatives pour la re-

tention, une seule alternative pour purpose et aucune pour recipient.

Si D_i = @mail alors Pour Retention :

– Alternative₁ : Ret_i ← {legal − requirement} , – Alternative₂ : Ret_i ← {stated − purpose}. Pour Purpose :

– Alternative₁ : P ur_i ← {contact}.

rait l’achat de téléphone mobile en ligne. L’exemple a été généré par Protégé1.

La négociation

Round 1 Le serveur envoie sa politique dans P roposal₁ ={(N˚CC, {ours}, {no−

retention, business− practices}, {current, pseudo − analysis}),

(@mail,{ours, delivery, same, other − recipient},

{indefinitly}, {current, telemarketing, admin, tailoring}), Alternatives, N = T rue}. (Règle N˚1)

∃ (Di = N˚CC ∈ Unacc) et (Di ∈ P roposal1) et {current, pseudo −

analysis}{admin, develop, tailoring, pseudo−analysis, pseudo−decision, individual− analysis, contact, historical} = ∅. La comparaison a échouée et (N = T rue)

alors on entame le second round (règle N˚2 et N˚3).

Round 2 Le client envoie la liste de ses idéaux dans P roposal₂ ={(N˚CC, {ours}, {no−

retention}, {current}),

(@mail,{ours, delivery, same}, {no−retention, business−practices}, {current})}. (Règle N˚4)

– Négociation des politiques du data element N˚CC :

Le serveur va tester : ({ours} ⊆ {ours}) et ({no−retention} ⊆ {no−

retention}) et ({current} ⊆ {current}) alors le serveur envoie Accept₂ =

{(N˚CC, {ours}, {no − retention}, {current} (Règle N˚5)

– Négociation des politiques du data element @mail :

Le serveur va tester : ({ours, delivery} ⊆ {ours, delivery, same}) et ({indefinitly} {no − retention, business − practices}) et

({current, telemarketing, admin} {current}). Le serveur envoie

1. Protégé est un éditeur d’ontologie et un environnement pour les bases de connaissances. Il a été créé à l’université de Sandford ; il est gratuit et à code source libre. http ://protege.stanford.edu/

P roposal₃. (Règle N˚6)

Round 3 P roposal₃ ={(@mail, {ours, delivery, same},

{indefinitly, no−retention, business−practices}, {current, telemarketing, admin, })}

Le client va tester : ({ours, delivery, same}{unrelatted, public} = ∅) et ({indefinitly, no − retention, business − practices}{legal −

requirement, indif initly} = {indefinitly}) et ({current, telemarketing, admin, }

{tailoring, pseudo−analysis, pseudo−decision, individual−analysis, contact, telemarketing, other−purpose, historical} = {telemarketing}).

Soit A = (@mail,{ }, {indefinitly}, {telemarketing}) le client va rem- placer ces politiques par les alternatives proposées par le serveur dans

P roposal₁. En revanche les politiques {ours,delivery,same} pour les re- cipients et {current,admin,} pour purpose sont acceptée et stockées. (Règle N˚8)

Selon les alternatives citées plus haut : A = (@mail,{ }, {legal −

requirement}, {contact})

Le client va tester si les nouvelles politiques ne sont pas inacceptables pour lui :{legal−requirement}{legal−requirement, indifinitly} =

{legal−requirement} et {contact}{tailoring, pseudo−analysis, pseudo− decision, individual−analysis, contact, telemarketing, other−purpose, historical} = {contact} alors le client devra chercher de nouvelles pos-

sibilités. Or il n’existe plus d’alternative possible pour la politique

purpose du data element @mail alors le client envoie P roposal₄ =

{@mail}. (Règle N˚9)

Round 4 Soit (cf. ﬁgure n˚3.2) une partie de l’ontologie déﬁnie pour la

transaction d’achat de téléphone en ligne. Nous remarquons qu’il existe des relations d’équivalence entre certains concepts. Un raisonneur comme RQL

Figure 3.2 – Partie de l’ontologie relative aux coordonnées.

peut requêter l’attribut équivalent à @mail dans notre cas le résultat serait Tél domicile.

Soient les politiques obligatoires relatives au Tél domicile : {delivery, same} pour recipient, {stated − purpose, business − practices} pour retention,

{current, admin} pour purpose ; et soit les politiques inacceptables du client

relatives au Tél domicile : {other − recipient, unrelated, public} pour re- cipient, {current, admin} pour retention et {telemarketing, contact} pour purpose.

Le client va tester :{delivery, same}{other−recipient, unrelated, public} = ∅ et {stated − purpose, business − practices}{current, admin} = ∅ et {current, admin}{telemarketing, contact} = ∅ alors il envoie le message

Accept (Règle N˚11). La négociation a réussie et la politique ﬁnale est

{(N˚CC, {ours}, {no−retention}, {current}), (T él domicile, {delivery, same}, {stated − purpose, business − practices}, {current, admin})}.

Conclusion

Le protocole proposé est un protocole de négociation des politiques de privacy relatives aux informations recueillies lors d’une navigation et qui termine au bout d’un certain nombre d’échanges. Il propose l’utilisation d’un certain nombre d’alternatives, proposées par le serveur, aﬁn de permettre d’autres éventualités au cas où une politique d’une certaine donnée ne concorderait pas ; donnant ainsi une chance supplémentaire à la négociation de réussir. L’ontologie du domaine du serveur est utilisée comme ultime recours aﬁn de remplacer une information sur laquelle aucune entente n’a pu être trouvée, par une autre information équivalente.

Aﬁn de spéciﬁer leurs préférences, les utilisateurs devront avoir des connaissances préalables sur la syntaxe d’une politique de privacy ; un minimum de pré requis s’avéreront nécessaires.

Le développement d’une ontologie complète d’un domaine du serveur et son exploitation par un raisonneur permettrait de mettre en évidence la plus- value de ce travail. Il serait aussi nécessaire de s’appliquer à la sécurisation des messages échangés grâce à l’ajout de time stamps, d’identiﬁants et de signatures.

Bibliographie

[1] Maknavicius Maryline and Bekara Kheira. Enabling user privacy in a federated environment. In en cours de soumission, 2009.

[2] L. Wilbanks. The impact of personally identiﬁable information. IT

Professional, 9(4) :62–64, July-Aug. 2007.

[3] Joe Carmichael and Alfonso Gutierrez. Identity management whitepa- per : An introduction to the terms and concepts of identity management.

Best Practice Reports, 10 2005.

[4] Maknavicius Maryline and Bekara Kheira. Enabling collaboration bet- ween heterogeneous circles of trust through innovative identity solutions. In en cours de soumission, 2009.

[5] Davoux Alexis, Deﬂine Jean-Christophe, Francesconi Ludovic, Maknavi- cius Maryline, Bekara Kheira, Gola Romain, Lezoray Jean-Baptiste, and Etchebarne Vincent. Federation of circles of trust and secure usage of digital identity. In Collaboration and the Knowledge Economy : Issues,

Applications, Case Studies, Paul Cunningham and Miriam Cunningham (Eds), IOS Press, 2008.

[6] M. Bennicke and Langendorfer. Towards automatic negotiation of pri- vacy contracts for internet services. In Networks, 2003. ICON2003. The

11th IEEE International Conference on, pages 319–324, Sept.-1 Oct.

2003.

[7] Steven M. Bellovin. The puzzle of privacy. Security & Privacy, IEEE, 6(5) :88–88, Sept.-Oct. 2008.

[8] Klaus Kursawe, Gregory Neven, and Pim Tuyls. Private policy negotia- tion. In In Financial Cryptography 2006, volume 4107 of LNCS, pages 81–95, 2006.

[9] D.D. Walker, E.G. Mercer, and K.E. Seamons. Or best oﬀer : A privacy policy negotiation protocol. In Policies for Distributed Systems and

Networks, 2008. POLICY 2008. IEEE Workshop on, pages 173–180,

June 2008.

[10] Sören Preibusch. Implementing Privacy Negociation In E-Commerce, pages 604–615. Springer-Verlag, 2006.

[11] With Fine-Grained Policy and Stephen E. Levy. Improving understan- ding of website privacy policies. In In WWW ´05 : Proceedings of the 14th international conference on World Wide Web, pages 480–488. ACM

Press, 2005.

[12] Simon Byers, Lorrie Faith Cranor, Dave Kormann, and Patrick Mcda- niel. Searching for privacy : Design and implementation of a p3p-enabled search engine. In In 2004 Workshop on Privacy Enhancing Technologies

(PET2004, pages 314–328, 2004.

[13] Anna Squicciarini, Marco Casassa Mont, Abhilasha Bhargav-Spantzel, and Elisa Bertino. Automatic compliance of privacy policies in federated digital identity management. In POLICY ’08 : Proceedings of the 2008

IEEE Workshop on Policies for Distributed Systems and Networks, pages

89–92, Washington, DC, USA, 2008. IEEE Computer Society.

[14] M. Maaser and P. Langendoerfer. Automated negotiation of privacy contracts. In Computer Software and Applications Conference, 2005.

COMPSAC 2005. 29th Annual International, volume 1, pages 505–510

Vol. 2, July 2005.

[15] Haifei Li, D. Ahn, and P.C.K. Hung. Algorithms for automated nego- tiations and their applications in information privacy. In e-Commerce

Technology, 2004. CEC 2004. Proceedings. IEEE International Confe- rence on, pages 255–262, July 2004.

[16] Scott Buﬀett, Keping Jia, Y Liu, Bruce Spencer, and Fang Wang. Ne- gotiating exchanges of p3p-labeled information for compensation. Com-

putational Intelligence, 20 :663–677, 2004.

[17] M. Hecker, T.S. Dillon, and E. Chang. Privacy ontology support for e- commerce. Internet Computing, IEEE, 12(2) :54–61, March-April 2008. [18] Yuh-Jong Hu, Hong-Yi Guo, and Guang-DeLin. Semantic enforcement of privacy protection policies via the combination of ontologies and rules. In Sensor Networks, Ubiquitous and Trustworthy Computing,

2008. SUTC ’08. IEEE International Conference on, pages 400–407,

June 2008.

[19] P. Kolari, Li Ding, G. Shashidhara, A. Joshi, T. Finin, and L. Kagal. En- hancing web privacy protection through declarative policies. In Policies

for Distributed Systems and Networks, 2005. Sixth IEEE International Workshop on, pages 57–66, June 2005.

[20] Ninghui Li, Ting Yu, and Annie I. Antón. A semantics-based approach to privacy languages. Technical report, in IEEE Symposium on Security and Privacy, 2003.

[21] Cheonshu Park and Joochan Shon. A study on the web ontology pro- cessing system. In Advanced Communication Technology, 2005, ICACT

2005. The 7th International Conference on, volume 2, pages 1035–1038,

0-0 2005.

[22] D.Z.G. Garcia and M. Toledo. A web service privacy framework based on a policy approach enhanced with ontologies. In Computational Science

and Engineering Workshops, 2008. CSEWORKSHOPS ’08. 11th IEEE International Conference on, pages 209–214, July 2008.

[23] B. Sarder and S. Ferreira. Developing systems engineering ontologies. In System of Systems Engineering, 2007. SoSE ’07. IEEE International

[24] L.A.F. Martimiano, M.R.P. Goncalves, and E. dos Santos Moreira. An ontology for privacy policy management in ubiquitous environments. In

Network Operations and Management Symposium, 2008. NOMS 2008. IEEE, pages 947–950, April 2008.

[25] Anna C. Squicciarini, Abhilasha Bhargav-spantzel, Alexei Czeskis, and Elisa Bertino. Traceable and automatic compliance of privacy policies in federated digital identity management.

[26] Fabien Gandon and Norman Sadeh. Gestion de connaissances person- nelles et contextuelles, et respect de la vie privée. In Nada Matta, editor,

Ingénierie des Connaissances, pages 5–16, Lyon France, 05 2004. Presses

universitaires de Grenoble.

[27] Freedman Michael, Nissim Kobbi, and Benny Pinkas. Advances in Cryp-

tology, chapter Eﬃcient Private Matching and Set Intersection, pages

Table des ﬁgures

1.1 Fédération des cercles de conﬁances F C2. . . 11 2.1 Privacy Bird indiquant un conﬂit. . . 17 2.2 Visualisation de la conformité au niveau de chaque champs. . . 18 2.3 Résultats de la recherche et visualisation de la conformité de

chaque site web. . . 20 3.1 L’ontologie du serveur pour l’achat de téléphone mobile en ligne. 40 3.2 Partie de l’ontologie relative aux coordonnées. . . 43

Lexique

1. RDF : pour Resource Description Framework est un vocabulaire XML enrichi qui déﬁnit une syntaxe et une sémantique pour exprimer les ontologies.

2. Timestamp : est une séquence de caractères qui sert à situer un événe- ment dans le temps. Il contient en général une date et une heure.

3. W3C déﬁnit un standard pour exprimer la syntaxe et la sémantique des politiques P3P.

– L’élément <policies > : il rassemble une ou plusieurs politiques P3P dans le même ﬁchier. Cette caractéristique permet d’optimiser les performances du réseau et du stockage. Cet élément est l’élément racine des ﬁchiers de politiques.

– L’élément <policy> : il contient une politique P3P complète. Chaque politique doit contenir un seul élément <policy>. L’élément <policy> doit contenir un élément <entity> identiﬁant l’entité légale expo- sant les pratiques de conﬁdentialité contenues dans la politique. En outre, l’élément <policy> doit contenir un élément <access> , un ou plusieurs éléments <statement> , un élément <disputes- group> , un schéma de données P3P et une ou plusieurs extensions.

<policy>

name : le nom de la politique, utilisé comme identiﬁcateur de frag-

ments pour appeler la politique.

naturel.

opturi : l’adresse URI des instructions permettant aux utilisateurs

d’accepter ou de refuser l’utilisation des données les concerant.

xml :lang : la langue dans laquelle la politique est exprimée.

– L’élément <entity> : donne un description précise de l’entité légale qui expose ses pratiques de conﬁdentialité.

– L’élément <access> : oﬀre la possibilité à un individu de consulter les données identiﬁées et adresser ses questions et ses inquiétudes au fournisseur de services.

– L’élément <disputes> : une politique devrait contenir un élément

<disputes-group> contenant à son tour un ou plusieurs éléments <disputes>. Ces éléments décrivent les procédures de résolution de

litiges à observer en cas de contestation des pratiques de conﬁden- tialité.

– L’élément <remedies> : chaque élément <disputes> devrait conte- nir un élément <remedies> qui déﬁnit les réparations possibles en cas de violation de la politique.

Les déclarations

: décrivent les traitements appliqués aux types de données spéciﬁques.

– L’élément <statement > : c’est une sorte de conteneur regrou- pant un élément <purpose>, un élément <recipient>, un élément

<retention>, un élément <data-group> et en option un élé-

ment <conséquence> ainsi qu’une ou plusieurs extensions. Toutes les données référencées par l’élément <data-group> sont manipu-

lées conformément aux divulgations présentes dans les autres élé- ments contenus par la déclaration.

– L’élément <purpose> : tout élément <statement> doit conte- nir un élément <purpose> qui exprime une ou plusieurs intentions concernant la collecte ou l’utilisation des données. Les sites doivent classer leurs pratiques vis à vis des données dans l’une ou plusieurs des catégories d’intention suivantes :

– <current/> : les renseignements peuvent servir au fournisseur de service aﬁn d’achever le processus pour lequel ceux-ci ont été fournis.

– <admin/> : administration du site web et du système.

– <tailoring/> : les renseignements peuvent servir à l’ajustement ou la modiﬁcation du contenu ou de l’aspect du site.

– <pseudo-analysis/> : les renseignements peuvent servir à la création ou l’élaboration d’un enregistrement concernant un individu (ou un ordinateur) particulier. Ce profile servira à déterminer les habitudes les centres d’interêts ou les autres caractéristiques d’un individu afin de prendre une decision l’affectant directement. – <individual-analysis/> :les renseignements peuvent servir à dé- terminer les habitudes, les centres d’interêts ou les autres caracté- ristiques des individus et être combinées avec des données identi- fiées dans un but de recherche, d’analyse ou d’études.

– <contact/> : contacter des visiteurs pour la commercialisation de services ou produits.

– <historical/> : les renseignements peuvent être archivés ou sto- ckés à des ﬁns de conservation des antécédents sociaux comme éxigé par une loi existante.

– <telemarketing/> : contacter des visiteur pour la commerciali- sation de services ou de produits par téléphone.

– L’élément <recipient> : déﬁnit l’entité légale ou le domaine , hormi le fournisseur de services et ses agents, où les données peuvent être distribuées. Il doit contenir un ou plusieurs des destinataires suivants :

– <ours/> : nous même et/ou des entités agissant en tant qu’agents ou les entités pour le compte desquelles nous agissons comme tel. – <delivery/> : service de livraison suivant peut être d’autres pra-

tiques.

– <same/> : personnes morales suivant nos pratiques.

– <other-recipient/> : personnes morales suivant des pratiques diﬀérentes.

– <unrelated/> : les personnes morales dont les pratiques vis à vis de l’utilisation des données sont inconnues du fournisseur de service original.

– <public/> : les tribunes publiques, telles que les annuaires pu- blics, les annuaires de CD-ROM commerciaux.

– L’élément <retention> : déﬁnit le type de politique de rétention en vigueur. Il doit contenir un ou plusieurs des éléments suivants : – <no-retention/> : les renseignements sont conservés pour la

brève durée nécessaire à leur utilisation au cours d’une seule opé- ration en ligne. Les renseignements doivent être détruits immédia- tement après cette opération et ne doivent pas apparaître dans un journal, ni être archivés ou stockés d’une manière quelconque. – <stated-purpose/> : les renseignements sont conservés pour sa-

tisfaire à l’intention déclarée. Les renseignements doivent être dé- truits le plus tôt posible.

– <legal-requirement/> : comme exigé par la loi ou en responsa- bilité selon les lois en vigueur : les renseignements sont conservés pour satisfaire à une intention déclarée mais la période de réten- tion est plus importante du fait d’une obligation légale ou d’une reponsabilité légale.

– <business-practices/> : selon les pratiques commerciales du fournisseur de service : les renseignements sont conservrées sous couvert des pratiques commerciales déclarées par les fournisseurs de services. Les sites doivent avoir une politique de rétention éta- blissant un calendrier de destruction.

– <indeﬁnitly/> : les renseignements sont conservés pour une du- rée indéterminée. Cette option reﬂète l’absence d’une politique de rétention.

– L’élément <data-group et data> : tout élément <statement> doit contenir au moins un élément<data-group> qui contient à son tour un ou plusieurs élément <data> Les éléments <data> servent à décrire les types de données collectées par un site.

<data> : décrit les données à transférer. Doit contenir un élément <optional> qui indique si le site impose ou non aux visiteurs de

soumettre cet élément de données pour accéder à une ressource ou achever une transaction. La veuleur "no" signiﬁe que l’élément de donnée n’est pas optionnel (donc obligatoire).

– Les catégories et l’élément <categories> : les catégories sont des éléments dans les éléments de données oﬀrant aux agents utilisateurs des indications concernant les usages prévus des données. Les catégo- ries sont essentielles et facilitent la mise en oeuvre et l’utilisation des agents utilisateurs P3P. Elle permettent aux utilisateurs d’exprimer des préférences et règles plus générales pour échanger leurs données.

– <physical/> : ce sont les coordonnées physiques. – <online/> : ce sont les coordonnées en ligne. – <purchase/> : ce sont les informations d’achat. – <ﬁnancial/> : ce sont les informations ﬁnancières. – etc ....

Dans le document Un protocole pour la négociation des politiques de privacy (Page 37-53)