20、数据处理目的控制：是否按预期目的处理数据？

数据处理目的控制：是否按预期目的处理数据？

1. 非法访问与多任务限制

非法访问必须与合法访问相结合，否则算法 1 会识别出审计跟踪不是该流程的有效执行。这种威胁可以通过限制多任务来部分缓解，即用户必须在开始新活动之前完成当前活动。

2. 算法的性质

之前提出的算法可以确认数据是否按预期目的处理，或者检测隐私侵犯情况。下面讨论该算法的终止性、合理性和完整性。

2.1 基本定义

• 轨迹（Trace） ：给定一个标记迁移系统（LTS）Ω = (s, S, L, −→)，轨迹是一个可能无限的 S × L 对序列 σ ≡(s, l0), (s0, l1) … (sn, ln+1) …，描述了 LTS 的轨迹，也可表示为 s $\stackrel{l_0}{\longrightarrow}$ s0 $\stackrel{l_1}{\longrightarrow}$ … sn $\stackrel{l_{n + 1}}{\longrightarrow}$ …。Ω 的可能无限的轨迹集合是 Σ(Ω)。
• WeakNext 函数 ：设 s 是一个 COWS 服务，L 是 s 的可观察标签集合。则 WeakNext(s) = {s′ | ∃k < ∞. s $\stackrel{l_0}{\longrightarrow}$ … $\stackrel{l_k}{\longrightarrow}$ sk $\stackrel{l}{\longrightarrow}$ s′ ∧ ∀i ≤ k. li ∉ L ∧ l ∈ L}。
<