陶靈靈 曹彥 張夢嬌

摘 要：確保互聯(lián)網(wǎng)服務(wù)在滿足用戶功能性需求的前提下保護(hù)隱私信息，是隱私保護(hù)研究的關(guān)鍵問題。訪問控制是保護(hù)信息的傳統(tǒng)手段，但其缺少使用目的、信譽(yù)度、義務(wù)等隱私語義，并且需要針對不同的數(shù)據(jù)使用者定義不同的策略。針對策略冗余、策略沖突等問題，提出了支持目的與信譽(yù)度綁定的隱私保護(hù)框架。首先給出了對應(yīng)的訪問控制模型，其次分析了隱私偏好的沖突問題，提出了目的沖突檢測算法以及偏好沖突檢測算法，最后通過實(shí)驗(yàn)證明了算法的可行性。

關(guān)鍵字：隱私保護(hù)；基于目的訪問控制；隱私偏好；沖突檢測

中圖法分類號：TP311 文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： It is the key issue of privacy protection to ensure that Internet services protect privacy information under the premise of meeting the functional requirements of users.Access control is a traditional way to protect information，but it lacks privacy semantics such as purpose，reputation，obligation，and needs to define different strategies for different data users.Aiming at policy redundancy and policy conflict，a privacy protection framework supporting purpose and reputation binding has been proposed.Firstly，the corresponding access control model has been given.Secondly，the conflict of privacy preference has been analyzed.Finally，the purpose conflict detection algorithm and privacy preference conflict detection algorithm have been proposed.

Key words： privacy protection；PBAC；privacy preference；conflict detection

1 引 言

對于使用在線購物、智能可穿戴設(shè)備、在線醫(yī)療等互聯(lián)網(wǎng)服務(wù)的用戶來說，隱私越來越成為重要的關(guān)注點(diǎn)。隨著服務(wù)提供方，向客戶收集越來越多的隱私數(shù)據(jù)，對于他們的數(shù)據(jù)被收集后如何被使用越發(fā)關(guān)注。對于一些法案，例如：美國前總統(tǒng)克林頓簽署的健康保險(xiǎn)攜帶和責(zé)任法案（Health Insurance Portability and Accountability Act，HIPPA）、1974年的美國隱私法（US Privacy Act）等都明確的要求服務(wù)提供方需要明確的告知客戶他們的數(shù)據(jù)在收集后是如何被使用的[1]。在學(xué)術(shù)界，很多研究者都提出了隱私策略框架和策略語言以及模型，例如隱私偏好平臺(tái)（Platform for Privacy Preference，P3P）幫助數(shù)據(jù)使用者和數(shù)據(jù)擁有者交換他們的隱私策略[2]。

盡管這些隱私保護(hù)技術(shù)要求數(shù)據(jù)使用者按照數(shù)據(jù)提供方要求的偏好保護(hù)數(shù)據(jù)，但描述能力還遠(yuǎn)遠(yuǎn)不夠，而且必須要處理以下的兩個(gè)問題。第一，這些框架不提供策略執(zhí)行機(jī)制。在數(shù)據(jù)被收集后，數(shù)據(jù)提供方的隱私偏好是否真正被滿足得不到保證。在現(xiàn)實(shí)中，數(shù)據(jù)提供方為了使用這些服務(wù)，不得不提供他們的隱私數(shù)據(jù)，然后只能被動(dòng)的指望數(shù)據(jù)使用者按照他們的承諾保護(hù)其隱私。第二，無論是數(shù)據(jù)提供者還是使用者都希望最大化的控制這些數(shù)據(jù)，所以必須要存在一個(gè)機(jī)制同時(shí)描述雙方的隱私偏好。事實(shí)上，目前很多消費(fèi)者只能在注冊的時(shí)被動(dòng)的同意服務(wù)的隱私條款。

有很多的研究者，通過對傳統(tǒng)的訪問控制模型擴(kuò)充隱私語義進(jìn)行隱私保護(hù)。文獻(xiàn)[3]提出了隱私敏感的基于角色的訪問控制模型（Privacy-aware Role Based Access Control，P-RBAC），該模型繼承于基于角色的訪問控制模型（Role Based Access Control，RBAC），引入了層級概念以及條件語言。文獻(xiàn)[4]提出了希波克拉底數(shù)據(jù)庫（Hippocratic Databases），在關(guān)系數(shù)據(jù)庫中加入隱私語義進(jìn)行訪問控制。文獻(xiàn)[5]通過數(shù)據(jù)庫系統(tǒng)執(zhí)行隱私策略，提出了隱私查詢語言。文獻(xiàn)[6]提出了最大數(shù)據(jù)使用和最小隱私泄露原則，在web服務(wù)環(huán)境中提出了基于信任的訪問控制模型。

通過去除關(guān)鍵信息往往是不能保證隱私的，例如通過大數(shù)據(jù)處理仍然可以重新建立數(shù)據(jù)關(guān)聯(lián)。文獻(xiàn)[7]提出了K匿名來解決這一問題。文獻(xiàn)[8]提出了密度聚類算法解決了數(shù)據(jù)挖掘領(lǐng)域的隱私保護(hù)問題。

通過以上現(xiàn)有研究總結(jié)，尚未有既滿足數(shù)據(jù)提供方隱私偏好又考慮數(shù)據(jù)使用者策略的模型。無論是數(shù)據(jù)提供方的隱私偏好還是數(shù)據(jù)使用者的隱私策略之間都可能會(huì)存在沖突問題。本文試圖解決這些問題。

本文組織結(jié)構(gòu)如下：第2節(jié)總體介紹支持目的與信譽(yù)度綁定的隱私保護(hù)框架；第3節(jié)提出適用于本框架的隱私偏好，以及分析隱私偏好沖突問題，并且提出沖突檢測算法；第4節(jié)是實(shí)驗(yàn)分析；第5節(jié)是總結(jié)和展望。

2 支持目的與信譽(yù)度綁定的隱私保護(hù)框架

本章主要討論支持目的與信譽(yù)度綁定的隱私保護(hù)框架（Purpose and Reputation Based Access Control，PReBAC）[9]。該框架擴(kuò)展了傳統(tǒng)訪問控制模型，通過引入期望目的與請求目的、期望信譽(yù)度與請求信譽(yù)度、與隱私數(shù)據(jù)項(xiàng)進(jìn)行關(guān)聯(lián)，對用戶隱私數(shù)據(jù)進(jìn)行細(xì)粒度的保護(hù)。

2.1 期望目的與請求目的

定義2.1 期望目的（Intended Purpose）：一個(gè)期望目的表示數(shù)據(jù)擁有者對于自己的隱私所能接受的目的以及拒絕的目的。期望目的集合，記為IP = 。包含期望允許目的集（Allowed Intended Purpose，AIP）以及期望禁止目的集（Prohibit Intended Purpose，PIP），AIP是所有被允許的期望目的集合，PIP則是所有被禁止的期望目的集合。

下文中我們假設(shè)PIP=?，因此IP=AIP。

定義2.2 請求目的（Access Purpose）：一個(gè)請求目的表示數(shù)據(jù)請求者對數(shù)據(jù)收集和訪問的意圖或理由，記為AP。

請求目的可以是一個(gè)集合，表示一組請求目的，本文為了簡化處理，在下文中僅表示單次請求的一個(gè)目的。

通過上述兩個(gè)定義，用戶可以在自己的隱私偏好中定義期望目的，數(shù)據(jù)請求者或者服務(wù)提供可以在隱私策略中定義請求目的，從而把目的這個(gè)語義加入到模型中。

目的通常被組織成一個(gè)樹狀結(jié)構(gòu)，圖1給出了一個(gè)目的樹的例子。這種樹結(jié)構(gòu)是通過現(xiàn)實(shí)系統(tǒng)中涉及的目的抽象出來，樹中的每個(gè)節(jié)點(diǎn)代表著一個(gè)目的，樹中的每條邊代表一個(gè)層次關(guān)系，從上到下是一般到專門的關(guān)系。也就是說，約靠近根節(jié)點(diǎn)的目的越一般，越靠近葉子節(jié)點(diǎn)則越專門化。

2.2 期望信譽(yù)度與請求信譽(yù)度

在當(dāng)今社會(huì)，信譽(yù)是個(gè)重要的名詞。無論是向銀行貸款還是求職，信譽(yù)度都是一個(gè)重要考量。同樣，信譽(yù)度在網(wǎng)絡(luò)安全領(lǐng)域也同樣適用，目前已經(jīng)有好多計(jì)算信譽(yù)度的算法[10]，本章節(jié)將在此基礎(chǔ)上給出期望信譽(yù)度和請求信譽(yù)度的概念。

定義2.3 期望信譽(yù)度（Intended Reputation）：一個(gè)期望信譽(yù)度值，為一個(gè)變量，記為IR，根據(jù)數(shù)據(jù)擁有者的隱私偏好進(jìn)行取值。表示某個(gè)期望目的對于隱私數(shù)據(jù)使用者的信譽(yù)度的要求，值域?yàn)閇0，9]。

如果IR = 0，表示對于信譽(yù)度的要求極低，從側(cè)面反應(yīng)了此項(xiàng)使用目的對于隱私的威脅極??；如果IR = 9，表示對于信譽(yù)度要求極高，反應(yīng)了此項(xiàng)使用目的對于隱私的威脅極大。

定義2.4 請求信譽(yù)度（Access Reputation）：表示某次請求中，隱私數(shù)據(jù)請求者的信譽(yù)度值，是一個(gè)變量，記為AR。其值域?yàn)閇0，9]。

2.3 訪問控制模型與授權(quán)決策

支持目的與信譽(yù)度綁定的隱私保護(hù)模型在基于目的的訪問控制模型基礎(chǔ)上，增加了關(guān)于信譽(yù)度的描述。無需指定數(shù)據(jù)數(shù)據(jù)使用者，方便數(shù)據(jù)擁有者定義更加靈活的隱私偏好，避免了在web服務(wù)組合環(huán)境中，由于組合過程透明，數(shù)據(jù)使用者不明確的問題。

定義2.5 支持目的與信譽(yù)度綁定的隱私保護(hù)模型（Purpose and Reputation Based Access Control，PReBAC）：主要包含以下幾個(gè)部分：

a）隱私信息的集合PI，期望目的集合IP，操作行為的集合A，義務(wù)的集合O以及條件的集合C。

b）數(shù)據(jù)訪問權(quán)利集合PIA={（pi，a）|pi∈PI，a∈A}。

c）隱私數(shù)據(jù)訪問權(quán)利集合PPIR={（pia，a，pu，c，o）|pia∈PIA，a∈A，pu∈IP，c∈C，o∈O}。

d）隱私數(shù)據(jù)請求授權(quán)PPIAA[∩] S × PPIR是一個(gè)多對多關(guān)系，表示對于一次請求的授權(quán)。

當(dāng)一次請求的目的包含于期望目的中，并且該次請求者的信譽(yù)度達(dá)到期望目的對應(yīng)的信譽(yù)度要求，該次請求才能被授權(quán)。

3 隱私偏好沖突問題與沖突檢測算法

上一節(jié)主要討論了支持目的與信譽(yù)度綁定的隱私保護(hù)模型，該模型需要對策略正確的執(zhí)行才能有效的保護(hù)隱私。本節(jié)主要討論策略或偏好中的沖突問題，并提出算法進(jìn)行檢測。

3.1 隱私偏好與隱私策略

定義3.1 隱私偏好（Privacy Preference）：表示數(shù)據(jù)擁有者對于數(shù)據(jù)使用者對其數(shù)據(jù)使用的要求。

定義3.2 隱私策略（Privacy Policy）：表示數(shù)據(jù)使用方對于隱私保護(hù)的相關(guān)聲明。

在不同的隱私保護(hù)模型中，往往有不同的隱私偏好與隱私策略結(jié)構(gòu)。本文的隱私偏好為以下結(jié)構(gòu)：（Action，PrivacyInfo，Purpose，IntendtedReputation）。

當(dāng)一個(gè)Action對應(yīng)對個(gè)Purpose，如：（Action1，（purpose1，purpose2））可以等價(jià)為兩條偏好：（Action1，purpose1）和（Action1，purpose2）。

3.2 沖突問題

在先前的研究中，已經(jīng)有很多關(guān)于運(yùn)行前，數(shù)據(jù)使用者的隱策略是否滿足用戶隱私偏好的研

究[11]。在用戶新增加一條隱私偏好的時(shí)候，往往會(huì)有新偏好與已經(jīng)存在偏好沖突的情況發(fā)生。為確保隱私保護(hù)訪問控制的正確實(shí)施，必須要對這種沖突進(jìn)行檢測并消除。

用戶已在系統(tǒng)中提交一條隱私偏好：

Preference1：（Read，Email，Purchase，8）

用戶再次提交一條新的隱私偏好：

Preference2：（Read，Email，Complaint，8）

Preference1表示，信譽(yù)度值高于8的請求者可以讀取其Email信息用于Purchase目的；Preference2則表示，信譽(yù)度值高于8的請求者可以讀取其Email信息用于Complaint目的。由于兩條隱私偏好的同時(shí)存在，一個(gè)信譽(yù)度值高于8的請求者將可以讀取用戶的Email信息用于兩個(gè)不同的目的。

通常情況下，當(dāng)數(shù)據(jù)請求方對隱私數(shù)據(jù)pi發(fā)起一次行為a的請求，訪問控制隱私保護(hù)系統(tǒng)應(yīng)該檢測所有與pi和a相關(guān)的隱私偏好。當(dāng)至少一條隱私偏好匹配，并且偏好中所有的期望目的與期望信譽(yù)度可以被滿足才能被授權(quán)。當(dāng)一條新的偏好加入到系統(tǒng)中，顯然會(huì)使得當(dāng)前系統(tǒng)決策變得更加嚴(yán)格。如果用戶想放松決策，可以對已有偏好進(jìn)行刪除或修改。

在具體介紹沖突的幾種情況之前，先定義下面一個(gè)重要的概念。

定義3.3 劃分的上下文變量（Splitting Context Variable，SCV）是一個(gè)滿足以下條件的上下文變量。

1）一個(gè)劃分的上下文變量是與隱私目的信息有關(guān)的。

2）一個(gè)劃分的上下文變量把子目的劃分為幾個(gè)不相交的目的集合。

根據(jù)定義3.3，在圖1中Order是一個(gè)SCV。 Admin則不是一個(gè)SCV，因?yàn)锳dmin的子目的Advertising和Record含有交集。

在復(fù)雜系統(tǒng)中，偏好數(shù)量越多，發(fā)生沖突的概率就越大。

考慮以下兩條隱私偏好：

Preference3：（Read，OrderInfo，Shiping，7）

Preference4：（Read，OrderInfo，ProblemSolving ，7）

這兩條偏好涉及到的Shipping和ProblemSolving均屬于劃分上下文變量Order，他們是不相交的，因此這兩條偏好是無沖突的。這種情況的偏好被稱為無法比較的偏好，因?yàn)樗麄兯婕暗哪康氖遣豢杀容^的。

定義3.4 讓pi和pj為兩條偏好中的兩個(gè)目的。如果存在一個(gè)相同的SCV使得pi和pj為互斥的集合，則pi和pj為不可比較的目的。否則pi和pj為可比較的目的，記為pi≈pj。

考慮下面兩條包含可比較目的的偏好：

Preference5：（Read，OrderInfo，Purchase，7）

Preference6：（Read，OrderInfo，Billing，7）

由于Purchase和Billing都屬于相同的環(huán)境變量Order，Billing是Purchase的子目的。因此他們含有相容目的，這兩條偏好屬于相容偏好。除了相容目的，還有沖突目的。如下面兩條偏好：

Preference7：（Read，BillInfo，Purchase，7）

Preference8：（Read，BillInfo，Audit，7）

當(dāng)訪問請求被處理的時(shí)候，請求目的不能同時(shí)是Purchase和Audit，因此他們含有沖突的目的，這兩條偏好互為沖突。

上述只考慮了目的沖突的情況，在用戶定義隱私偏好的時(shí)候，還有期望信譽(yù)度沖突的情況。如下面兩條偏好：

Preference9：（Read，BillInfo，Purchase，7）

Preference10：（Read，BillInfo，Purchase，5）

只要當(dāng)目的沖突或者期望信譽(yù)度沖突，隱私偏好就是沖突的。

3.3 沖突檢測算法

上面一節(jié)討論了，隱私偏好以及引起偏好的沖突問題，本節(jié)講提出算法進(jìn)行檢測沖突。

通過以上實(shí)驗(yàn)數(shù)據(jù)分析，算法執(zhí)行時(shí)間較為穩(wěn)定。同時(shí)通過觀測實(shí)驗(yàn)機(jī)器的內(nèi)存情況，未出現(xiàn)高內(nèi)存占用情況。因此，在真實(shí)環(huán)境中運(yùn)用本文的隱私偏好沖突檢測算法是可行的。

5 結(jié)束語

針對傳統(tǒng)訪問控制模型缺少隱私語義、隱私偏好定義不夠靈活問題，本文提出了基于目的與信譽(yù)度的訪問控制隱私保護(hù)方法。首先提出了支持目的與信譽(yù)度隱私偏好定義的隱私保護(hù)框架；然后分析了隱私偏好的沖突問題，并提出了相應(yīng)的沖突檢測算法進(jìn)行解決；最后通過實(shí)驗(yàn)證明了算法的可行性。

未來工作將對本文提出的方法設(shè)計(jì)出原型，并且把本文的模型以最小的代價(jià)應(yīng)用到已有的訪問控制系統(tǒng)中，以確保用戶的隱私。

參考文獻(xiàn)

[1] PENG Huan-feng，HUANG Zhi-qiu，F(xiàn)AN Da-juan.A service-composition oriented privacy protection method[J].Journal of Chinese Computer Systems，2015，36（8）：1671—1676.

[2] REAGLE J，CRANOR L F.The platform for privacy preferences[J].Encyclopedia of Cryptography & Security，2000，24（2）：940—941.

[3] NI Q，LIN D，BERTINO E，et al.Conditional privacy-aware role based access control[C]//European Conference on Research in Computer Security，Germany，2007.Springer-Verlag，2007：72—89.

[4] AGRAWAL R，KIERNAN J，SRIKANT R，et al. Hippocratic databases[C]//Proceedings of the international conference on very large data bases，Hong Kong.VLDB Endowment，2002：62—68.

[5] LEFEVRE K，AGRAWAL R，ERCEGOVAC V，et al.Limiting disclosure in hippocratic databases[C]// Thirtieth International Conference on Very Large Data Bases.VLDB Endowment，2004：108—119.

[6] LI M，SUN X，WANG H，et al.Privacy-aware access control with trust management in web service[J].World Wide Web-internet & Web Information Systems，2011，14（4）：407—430.

[7] LIU X，XIE Q，WANG L.Personalized extended（α，k） anonymity model for privacy preserving data publishing[J].Concurrency & Computation Practice & Experience，2017，29（6）：125—132.

[8] LIU J，XIONG L，LUO J，et al.Privacy preserving distributed DBSCAN clustering[J].Transactions on Data Privacy，2013，6（1）：69—85.

[9] TAO Ling-ling，HUANG Zhi-qiu，CAO Yan.Privacy preserving method for supporting access purpose and reputation labeling[J].Journal of Frontiers of Computer Science and Technology，2017，35（7）：95—111.

[10] WANG S，SUN Q，ZOU H，et al.Reputation measure approach of web service for service selection[J].IET Software，2011，5（5）：466—473.

[11] CHOWDHURY O，JIA L，GARG D，et al.Temporal Mode-checking for Runtime Monitoring of Privacy Policies[C]// International Conference on Computer Aided Verification.Springer International Publishing，2014：131—149.