華佳烽，李鳳華，郭云川，耿魁，牛犇

（1. 西安電子科技大學綜合業(yè)務網理論與關鍵技術國家重點實驗室，陜西 西安 710071；2. 中國科學院信息工程研究所信息安全國家重點實驗室，北京100093）

信息交換過程中的隱私保護技術研究

華佳烽1，李鳳華2，郭云川2，耿魁1，牛犇2

（1. 西安電子科技大學綜合業(yè)務網理論與關鍵技術國家重點實驗室，陜西 西安 710071；2. 中國科學院信息工程研究所信息安全國家重點實驗室，北京100093）

結合國內外相關最新研究趨勢，對信息交換過程中的隱私保護問題進行了總結和展望。首先，介紹了泛在網絡中不同類型信息服務模式，抽象信息傳播的本質，并分析了主體在信息流轉過程中的隱私泄露風險；其次，總結歸納了環(huán)境信息的隱私感知、度量、隱私保護方案自適應調整、隱私分割與延伸授權的研究現狀；最后，提出了多源環(huán)境信息的隱私感知、場景自適應的隱私度量、場景定義的隱私保護方案、隱私分割和延伸授權等4個未來研究方向。

信息交換；隱私保護；隱私感知；隱私分割；延伸授權

1　引言

網絡技術、信息技術的持續(xù)快速發(fā)展和應用的廣泛普及，推動形成了包含局域網、互聯網、移動網和物聯網等具有開放性、異構性、移動性、動態(tài)性、多安全域等諸多特性的泛在網絡，其信息傳播方式可以歸納為通過“網絡之網絡”訪問“系統(tǒng)之系統(tǒng)”。泛在網絡中，跨系統(tǒng)隨機訪問成為其信息交換的主體，為人們工作、生活、學習等提供了無限的便利。然而，此類訪問會導致隱私信息在不同系統(tǒng)上的留存與交換，雖然該問題可以通過“等級保護”來實現不同等級的安全保護，但某一信息系統(tǒng)的泄露勢必導致其他信息系統(tǒng)的隱私保護失效。因此，跨系統(tǒng)信息交換面臨隱私信息泄露風險點多、動態(tài)隱私保護可控難等問題，隱私保護需求更加急迫。如圖1所示，“人機物”借助泛在網絡實現萬物互聯互通，以公共安全、智能交通、移動支付、智慧醫(yī)療、環(huán)境監(jiān)測等為典型代表的泛在網絡信息服務模式不斷涌現，信息的獲取和利用在技術上已經達到“信息隨心行、交互在指間”的信息傳播理想境界。信息傳播的實質是由若干個兩兩相連的信息系統(tǒng)動態(tài)隨機連接，通過跨不同主管部門或單位的信息交換和共享，滿足主體復雜的應用需求。在跨系統(tǒng)的信息交換過程中，面臨的隱私問題遍及感知、匹配、度量、延伸授權等多個方面。面對這些威脅，泛在網絡環(huán)境下的隱私保護機制需要全面地控制跨系統(tǒng)隨機共享訪問過程中用戶隱私信息的泄露。信息頻繁跨系統(tǒng)、跨安全域交換時，用戶的隱私保護需求以及相應的隱私方案也將隨時間、環(huán)境等因素動態(tài)變化，因此，隱私保護方案需加強普適性，以適應動態(tài)變化的時空場景和隱私需求；訪問控制模型和訪問策略也需適用于多信息系統(tǒng)和動態(tài)場景下的隱私信息管控，泛在網絡環(huán)境下的隱私保護機制需要針對以上特征進行系統(tǒng)化研究，以有效減少跨系統(tǒng)信息交換過程中的隱私泄露風險和威脅，提升泛在網絡信息可信可控傳播技術水平。

圖1　萬物互聯促進信息的廣泛共享

2 多源環(huán)境信息的隱私感知與動態(tài)度量機制研究進展

泛在網絡跨系統(tǒng)信息交換過程面臨的隱私問題遍及信息流轉的各個環(huán)節(jié)，故本文擬從多源環(huán)境中的隱私感知、度量、隱私保護方案自適應調整、隱私分割與延伸授權這4個方面綜述現有的隱私保護機制。

2.1隱私感知的保護方案

大量文獻對情景感知中的隱私保護問題進行了研究，Liu等［1］提出了一種MAGPIE方案，該方案建立了各感知單元和隱私個體之間的信任關系，并利用混淆技術在保障數據可用性的同時，保證各個隱私個體的情景數據在共享的過程中不會被泄露。Li等［2］提出了一種高效的Sum聚合協(xié)議，該協(xié)議采用加法同態(tài)加密和新型的密鑰管理技術，支持大明文空間和最小時間序列數據集合，并利用冗余技術對動態(tài)加入和離開的感知單元進行有效的隱私保護，有效地解決融合器不可信的問題，同時降低系統(tǒng)通信開銷。在多維情景感知方面，Groat等［3］提出了一種基于隱私保護的多維情景數據參與式感知方法，該方法采用 NS（negative surveys）對多維情景數據進行分類，利用數據失真技術保護情景數據中的隱私信息，并推導出重建感知數據的原始概率密度函數。Qiu等［4］提出了一種SLICER方案，首次利用k-匿名保護技術實現對多個感知多媒體數據進行隱私保護，并利用聚合數據編碼技術和消息傳遞策略，提出了數據傳輸策略TMU（transfer on meet up）和最低成本轉移策略 MCT（minimal cost transfer），有效保證多媒體數據的質量和隱私保護的效果。然而，這些方案大多專注于對參與感知的數據進行隱私保護，忽視了對關聯數據進行融合分析帶來的隱私泄露問題。

為此，Chakraborty等［5］進一步研究多源情景數據關聯分析帶來的隱私泄露問題，從敵手的角度建立基于用戶行為模式的推理函數，在此基礎上計算情景數據融合后的隱私泄露概率。隨后，Wang等［6］假設惡意攻擊者的攻擊策略動態(tài)可調，將隱私感知策略視為用戶和敵手的零和博弈，提出了極小極大學習算法以獲得最優(yōu)隱私保護策略。Emiliano等［7］提出了一種基于身份加密 IBE（identiry-based encryption）的隱私增強方案PEPSI（privacy-enhanced participatory sensing infrastructure），服務器利用簡單的識別符來生成公鑰對查詢信息和感知信息的加解密，在整個過程中，不會泄露查詢請求信息和感知信息，一定程度上滿足了用戶和感知單元的隱私需求。Wang等［8］提出了一種ARTSense框架，利用匿名信譽管理協(xié)議和數據可信度評估方案，在對感知單元ID進行匿名的情況下，確定感知數據的可信度，同時滿足了數據源的匿名和安全需求。Xing等［9］提出了一種基于回歸方法的隱私感知模型，該模型針對參與節(jié)點、集群和用戶進行了一系列數據轉換和聚合操作，并采用一種無需任何原始私有數據而準確表達知識意圖的新方法進行回歸擬合，能有效抵抗合謀攻擊。

同時，面向醫(yī)療健康系統(tǒng)的隱私感知問題開始引起了廣泛關注，Wang等［10］設計了一個面向隱私保護的云輔助醫(yī)療監(jiān)測系統(tǒng)，該系統(tǒng)利用壓縮感知技術處理感知單元獲得的稀疏數據、普通數據及帶噪音數據，在保障感知數據準確性的同時，有效地降低傳感網絡的資源開銷。Fredrikson等［11］設計了一種新型的機器學習模型，該模型適用于醫(yī)療診斷和面部識別，利用預測置信度值進行反演攻擊，這種新的攻擊可以融合多源情景信息，從而實現用戶意圖的高效預測。

然而，目前大多數方案難以實現對多源環(huán)境數據隱私等級的細粒度感知。為此，Shin等［12］提出了一種通用的隱私感知架構AnonySense，該架構對感知單元進行任務分配，即感知單元根據所感知信息的隱私等級，決定將該信息傳送到不同的服務器中。Pallapa等［13］進一步提出一種隱私量化方案，通過對情景感知系統(tǒng)中的每個感知單元分配隱私權重，并結合系統(tǒng)中的事務日志和情景狀態(tài)，動態(tài)調整隱私保護策略，實現細粒度隱私保護普適環(huán)境下的情景感知系統(tǒng)。

此外，一些文獻著重研究場景頻繁變遷下的用戶隱私需求感知。Simon等［14］在隱私信息評估等相關研究工作中，建立了一個情景數據和到用戶隱私之間的映射關系，通過感知動態(tài)環(huán)境信息，進而根據環(huán)境信息的變化調整用戶對數據的訪問權限。Jana等［15］設計并實現了一種隱私保護系統(tǒng)DARKLY，該系統(tǒng)通過集成計算機視覺庫OpenCV部署多種隱私保護機制，包括訪問控制、隱私保護算法和用戶審計等，實現了環(huán)境感知下的隱私保護和服務質量之間的平衡。

綜上，現有多數隱私信息感知方面的研究局限于單一場景或單一信息系統(tǒng)，欠缺對隱私需求會隨時間、環(huán)境等因素動態(tài)變化的考慮，為了更好地在不同場景下為用戶提供更加精準的隱私保護，需要結合用戶所處環(huán)境、時空特征、歷史行為等，對泛在網環(huán)境下的隱私信息和隱私需求進行細粒度感知。表1對相關工作進行了詳細比對。

2.2隱私度量方法

在位置服務隱私保護的相關領域，大量國內外研究工作者在隱私度量方面進行了深入研究。Assam等［16］研究地圖匹配中的隱私保護問題，提出了一種基于馬爾可夫模型的隱私位置匹配方案，該方案采用攻擊者能夠從發(fā)布的位置大數據中獲取敏感位置的信息增益度量其隱私保護效果。Zheng等［18］提出了一個基于位置隱私保護的握手協(xié)議，利用布隆過濾器進行一對多的匹配，構建時空位置標記，并利用隱私信息泄露概率度量隱私保護效果。Wang等［19］提出了一種基于概率推測的位置大數據隱私保護技術，通過限制某一任意時刻t發(fā)布的位置數據所包含的信息量，利用概率推測的隱私保護技術假設攻擊者具有全部背景知識，從而推測用戶的隱私信息，進而對每個發(fā)布的位置數據計算其泄露風險，判斷發(fā)布當前的位置數據是否違反用戶的隱私需求，以定量地保護用戶的位置隱私。此外，Yan等［20］關注無線傳感器網絡節(jié)點盜用帶來的隱私保護風險，提出了一種基于組合框架的貝葉斯信任模型，該模型可有效評估節(jié)點的信任度。Goga等［21］提出了一種隱私信息匹配方案的量化評估框架，并使用現實社交網絡中采集的可靠數據進行仿真實驗，評估準確度較高。

同時，由于泛在網絡中各種類型的攻擊威脅不斷加劇，大量文獻開始將攻擊者的背景知識引入隱私度量的相關研究。Shokri等［22］提出了一種類屬模型，假設敵手具有一定的背景知識和多種攻擊手段，對攻擊者的攻擊方式進行形式化描述，設計一種位置隱私度量工具 Location-Privacy Meter，并利用現有的信息熵和k-匿名等度量方式進行實際測試，測試結果達到預期。Wang等［23］提出了一種新型軌跡隱私度量方法，該度量方法將用戶運動軌跡用帶權無向圖描述，并將攻擊者的背景知識分級融入到度量方法中，基于信息熵計算用戶的軌跡隱私水平。

表1　隱私感知相關工作對比

此外，全局隱私度量逐漸成為國內外研究熱點。Sun等［24］提出有障礙物的人工免疫聚類算法，根據免疫克隆優(yōu)化親和力函數計算障礙距離度量，并利用克隆選擇原則，以精英抗體為基礎更新聚類中心，實現全局最優(yōu)聚類效果。Niu等［25，26］量化研究基于位置的隱私保護問題，從背景信息可能被敵手獲取的問題入手，分析了這種潛在問題對隱私保護效果的影響，并提出了2種隱私度量函數，分別為基于信息熵的個人隱私度量函數和基于復用信息的全局隱私度量函數。然而，這些方案無法實現場景頻繁變遷下的動態(tài)度量。Dahl等［27］對這一問題進行研究，提出了一種CMIX協(xié)議，對進入Mix-Zone內的車輛分配密鑰并進行形式化描述，利用密碼學方法對Mix-Zone隱私模型進行加密，運用推理方法實現對移動的隱私位置信息進行實時度量。為解決準標識符和隱私屬性存在交叉難以劃分的問題，Dwork提出了“ε-差分隱私”算法［28，29］，該算法在數據集中添加噪聲，避免攻擊者獲得真實的數據。對數據集而言，添加一個數據不會對其統(tǒng)計特性造成影響，所產生的隱私泄露風險是極小的，即使攻擊者具有一定背景知識，也無法通過觀察查詢結果而獲得隱私信息，從而實現隱私保護效果。差分隱私的研究主要集中在如何添加冗余數據干擾分析結果，主要的技術包括針對整數類型數據的Laplace機制［30］、針對浮點類型數據的Exponential機制［31］以及它們在性能上的改進Geometric機制［32］等。近幾年，多種差分隱私保護模型相繼出現被廣泛地應用于數據挖掘領域的研究中［33～36］。然而，目前差分隱私技術主要應用于離線數據的隱私保護，針對泛在網絡中的動態(tài)應用場景的差分隱私保護方案少見報道。

綜上，當前大多數隱私度量方法或模型針對靜態(tài)的場景或單一模式上的隱私保護需求，忽略了泛在網絡環(huán)境下時空屬性、信任關系、環(huán)境信息等動態(tài)因素對隱私度量的影響，因此，需要根據實際應用，對不同環(huán)境下的不同運動對象的隱私進行實時動態(tài)度量。表2對相關工作進行了詳細比對。

2.3隱私保護方案自適應調整

大量文獻對泛在網絡環(huán)境下的隱私保護方案自適應調整進行研究，Yang等［39］提出了一種基于簡單散列變化的隱私數據保護方法，對涉及用戶隱私的文本數據進行深度挖掘，并利用隱私保護方案的自適應調整設計垃圾郵件過濾模型，能在一定程度上實現抗關聯分析。Mao等［40］在基于可信第三方匿名服務器的基礎上，提出一種情景自適應的位置隱私保護方法，當用戶消費服務時，終端實時下載粗糙的路網情景數據，通過上下文感知獲取用戶位置信息，進而實現系統(tǒng)自適應于用戶個性化需求的隱私保護設置，并返回路網數據和查詢結果，有效地降低了通信成本。

在基于位置的服務方面，Assam等［41］提出了一種新型隱私保護地圖匹配技術，利用馬爾可夫模型，基于位置隱私進行地圖匹配，并引入新的成本函數來確定最短路徑，有一定的實用性。Wang等［42］提出了一種面向個體的個性化擴展l-多樣性隱私匿名模型，該模型通過設置敏感屬性的保護等級來實現隱私動態(tài)調整，并利用個性化擴展l-多樣性逆聚類算法實現隱私匿名。

在隱私信息匹配研究方面，Zhang等［43］在建立基于鄰近的隱私信息匹配協(xié)議時考慮用戶對不同興趣的偏好程度，并利用Paillier同態(tài)加密方法設計不同等級的隱私保護方案。Li等［44］針對動態(tài)數據集的釋放問題，利用新型距離抽樣方法，提出2個解決方案，這些方案建立自適應調整反饋控制機制，獲取數據集的動態(tài)閾值，為實現隱私數據的動態(tài)調整提供支持。

表2　隱私度量相關工作對比

然而，這些方案大多是在靜態(tài)場景下的自適應調整，缺乏靈活性，且普適性差。為此，Tian等［45］提出了一種可以根據興趣點分布而自適應變化的Hilbert曲線（AHC），該曲線根據設定的存儲容量將空間劃分為原子區(qū)域，使用Hilbert曲線的分形規(guī)則確定各原子區(qū)域的順序，并由此生成密鑰樹，數據擁有者可以將密鑰樹的一部分共享給授權使用者，從而實現對空間區(qū)域的自定義授權。Liu等［46］提出了一種新型自適應隱私保護策略，該策略具體建立了位置信息和使用者之間的映射關系，通過對不同類型信息進行標級，說明哪些信息能夠在什么時候公布給哪些用戶，一定程度上有效地解決了動態(tài)變化的位置隱私問題。

然而，大多數隱私保護等級自適應的相關措施不可避免導致高能耗的問題。因此，Mao等［47］提出了一種基于用戶協(xié)作的自適應情景位置隱私保護方法，根據情景感知信息自主模糊個人真實位置，然后選擇具有互助意愿的代理用戶進行自適應的增量近鄰查詢，通過引入通信成本估算方法確定查詢點位置，并采用Voronoi圖技術過濾代理用戶的查詢結果，從而減少系統(tǒng)通信開銷，有效地實現了位置隱私保護度與服務質量之間的平衡。Pallapa等［48］針對移動普適環(huán)境，提出了一種隱私混合方案，通過各個情景感知單元與環(huán)境之間的信息交互，實現了移動普適環(huán)境下的隱私保護方案自適應調整，同時降低資源消耗。

在隱私策略調整方面，Schaub等［49］提出了一種自適應的隱私保護模型，用戶通過不斷地與系統(tǒng)進行交互隱私認知，實現隱私策略的動態(tài)調整，系統(tǒng)將根據所處環(huán)境感知用戶的隱私需求，從而實現隱私保護算法的自適應調整。隨后，Schaub等［50］進一步提出了一種隱私決策模型，通過情景感知信息動態(tài)調整隱私決策模型中的隱私參數，以維持一個用戶期望的隱私水平。Omoronyia等［51］提出了一種隱私保護策略自適應調整架構，通過感知場景和用戶行為變化分析面臨的隱私威脅，根據用戶的隱私需求，動態(tài)調整與應用軟件所分享的信息量。Wang等［52］關注隱私保護的長期效果，研究基于情境感知的QoP（quality of protection）機制，并開發(fā)出一種QoP框架，通過將兩者結合起來利用情景感知技術實現服務質量與隱私保護的長期平衡，為移動網絡中的用戶提供個性化的隱私保護自適應服務。

綜上，現有隱私保護方案在設計與實施過程中往往會忽略動態(tài)性、頻繁跨域遷移等需求，難以動態(tài)實時地保障用戶在不同時間、多個場景之間頻繁切換或使用多種服務應用時的隱私信息安全，尤其當敵手采用大數據關聯分析攻擊時，其成功率必然驟增。面對愈發(fā)多樣化、個性化的用戶需求，需要以實時滿足用戶的隱私保護需求為前提，為不同時空場景下的用戶高效地提供隱私保護方案自適應調整。表3對相關工作進行了詳細比對。

表3　隱私保護方案自適應調整相關工作對比

2.4隱私分割與延伸授權的保護方案

泛在網絡環(huán)境下，信息跨域頻繁交換使信息在不同系統(tǒng)、不同安全域中留存，數據管理權和所有權的分離將導致數據安全和隱私泄露問題。針對這些現狀，一些文獻對隱私分割進行了研究。Itani等［54］提出了一種隱私即服務方案 PaaS（privacy as a service），在基于可信第三方的基礎上，對不同類型的數據進行分集，利用密碼協(xié)處理器的防篡改能力，有效地實現了云服務器中隱私數據的安全存儲、處理和審計。這種簡單地通過加密將數據存儲在服務器中的方法，在實際的數據操作過程中具有較大的開銷，且容易引起單點失效攻擊，隱私泄露風險大。Xu等［55］提出了一種基于數據分割與分級的云存儲數據隱私保護機制，首先將數據合理分割為不同大小的數據塊，再分別將小塊數據和大塊數據部署在本地和異地，然后按照數據本身不同的安全級別需求，采用聯合數據染色和數據加密技術對隱私數據進行染色或加密，有效地保證了數據的安全性，同時提高系統(tǒng)靈活性并降低開銷。Jiang等［56］提出了一個基于第三方租戶數據安全保護模型，通過隱藏數據間的關系，利用數據分割技術對租戶數據進行分級和切片，并利用單向函數混淆切片關系，結合租戶對數據的隱私需求和安全等級定義，對租戶數據進行分級，依據安全等級對分割后的子表內容進行局部加密或匿名，實現云端數據存儲安全，為云計算提供有效的租戶數據安全保護。Shi等［57］針對云計算安全和隱私保護問題，提出了一種基于數據分割的CP-ABE（cipher text-policy attribute-based encryption）隱私保護方案，利用數據分割策略對數據分割成不同的小數據塊，通過CP-ABE算法進行加密，克服了云環(huán)境下第三方不可信的問題，在安全性和性能開銷方面有一定的提升。

然而，這些方案無法適應泛在網絡環(huán)境下信息跨域頻繁交換過程中由于二次/多次轉發(fā)、權限變更所帶來的安全問題。在延伸授權方面，國外學者 Georgakakis等［58］提出了一種時間和位置感知的訪問控制機制，該機制充分考慮訪問時間、用戶的移動性和位置信息，利用角色層次結構動態(tài)調整特殊情況下的訪問控制策略，在提供傳統(tǒng)的基于角色的訪問控制的基礎上，實現了緊急情況下的特殊訪問。Tarameshloo等［59］提出了一種地理社會計算系統(tǒng)訪問控制模型，該模型可以追蹤用戶當前位置，獲得位置之間的初始空間關系，并通過初始空間關系的復合構造訪問控制策略。Miettinen等［60］提出了一種場景感知的訪問控制框架 ConXsense，該框架利用場景的安全屬性和隱私屬性等背景信息以及自適應、個性化的場景分類方法來實現場景感知的訪問控制策略，避免了用戶角色和訪問控制策略的預定義，提供了準確和靈活的訪問控制。Zhang等［61］基于KP-ABE（key-policy attribute-based encryption）提出了一種靈活高效的訪問控制方案，該方案提供了靈活的用戶關系機制，能夠處理云計算環(huán)境下用戶關系的頻繁變化，可支持訪問控制策略的邏輯表達和動態(tài)更改。Rubio-Medrano等［62］利用屬性概念提出了一個面向協(xié)作網絡環(huán)境的聯合訪問控制管理方案，該方案將本地上下文的屬性信息映射為聯合屬性，實現跨組織資源共享訪問，并建立了一整套屬性生成規(guī)則和屬性生成圖，以及分布式環(huán)境下屬性自動發(fā)現方法，實現了一定程度的柔性訪問控制。Cappos等［63］針對智能手機的傳感器隱私保護問題提出了一個動態(tài)、細粒度的訪問控制機制，該機制允許用戶自定義和增加隱私過濾器，使用戶能夠將過濾后的數據公開給不可信的應用程序，也使研究人員能以一種保護用戶隱私的方式收集數據開展研究。

國內學者Wang等［64］提出使用線性秘密共享（LSSS，linear secret sharing scheme）矩陣塊的方式來描述訪問控制策略，使用 LSSS矩陣塊的ABE（attribute-based encryption）方案在計算量和通信方面具有輕量級、高效性、靈活性和安全性的優(yōu)點，其可伸縮性為ABE機制提供了一個高效的策略管理平臺。Zhou等［65］利用基于屬性的簽名驗簽技術，采用病人制定訪問控制樹來給醫(yī)生授權的方式，提出了一個病人自主可控的、多級、提供隱私保護的聯合授權機制，實現了分布式醫(yī)療云中3級的安全和隱私保護要求，并通過屬性集合驗證實現了直接授權醫(yī)生、間接授權醫(yī)生和其他人分類察看健康信息或者驗證病人的身份。Zhang等［66］提出了一種面向空間索引樹的訪問控制模型，該模型建立了授權歸類信息與索引樹的關聯，兼顧矢量數據與柵格數據等多種空間數據結構，并通過將空間授權信息添加到索引結構中，減少索引檢索次數，提高了訪問控制判斷的效率。Liu等［67］針對云服務儲存上的隱私問題，提出了隱私保護認證協(xié)議，該協(xié)議綜合考慮匿名訪問請求匹配機制的安全性和私密性實現訪問權限的分配，采用基于屬性加密算法實現用戶只能訪問自己的數據區(qū)，并利用代理重加密算法實現不同用戶之間的數據共享。Wang等［68］基于屬性加密算法提出了一種輕量級、安全的訪問控制機制，該機制實現了多授權云中面向資源受限設備的輕量級、安全的數據訪問控制機制，具有訪問控制權限動態(tài)可伸縮的優(yōu)點。Ma等［69］提出一個基于情景約束的柔性訪問控制模型，該模型定義了基于情景約束的角色指派策略和角色授權策略，并給出策略集和角色分配與授權決策算法，支持“用戶—角色”和“角色—權限”的自動指派，實現了工作流系統(tǒng)中基于情景的動態(tài)授權。Su等［70］以基于行為的訪問控制模型為基礎，提出了一種基于行為的多級安全訪問控制模型，該模型將主體的安全等級、范疇擴展到行為上，通過行為映射函數實現主體在特定時間、特定地點訪問行為的安全屬性獲取，為授權策略的動態(tài)調整提供了支撐。Wu等［71］提出了一個基于屬性的授權委托模型，該模型將權限的傳遞與權力的委托建立在實體所具有的屬性集合的基礎之上，以屬性集合作為實體自身的代表進行授權，從而確保了擁有相同屬性憑證鏈的各實體權限的一致性。表4對相關工作進行了詳細比對。

表4　隱私分割與延伸授權相關工作對比

3　結束語

本文首先分析了面向信息交換過程中隱私保護面臨的威脅和挑戰(zhàn)，然后從隱私感知、隱私度量、隱私保護方案自適應調整、隱私分割與延伸授權4個方面闡述分析了國內外最新研究動態(tài)。現有隱私保護方案大都解決單個信息系統(tǒng)或場景中的隱私保護問題，缺乏跨系統(tǒng)信息交換過程中的隱私保護，以及信息交換后的延伸授權。為了切實保護泛在網絡環(huán)境中用戶信息在頻繁跨系統(tǒng)、跨網絡、跨安全域交換時各個環(huán)節(jié)的隱私問題，還需要從以下幾個方面進一步研究：1）研究多源異構環(huán)境信息的形式化描述、隱私信息智能處理等方法或技術，分析情景數據中的時空變化規(guī)律，研究基于時空變化軌跡的隱私感知技術；2）研究跨系統(tǒng)信息交換過程中的時空屬性、信任關系、環(huán)境信息等因素對隱私度量的影響，從攻擊者角度分析用戶信息和行為被跟蹤與被重構的可能性，利用信息熵、概率論等方法進行隱私的形式化描述和數學建模；3）研究多參量自適應調節(jié)機制，通過對隱私保護算法中參數的合理調節(jié)，實現用有限算法適應多種場景的隱私保護目標；4）研究面向網絡空間的訪問控制模型中各要素的屬性信息，設計安全高效的屬性描述機制，實現柔性訪問控制，解決跨系統(tǒng)信息交換的數據隱私分割與延伸授權問題。

［1］LIU C G，JULIEN C. Pervasive context sharing in MAGPIE：adaptive trust-based privacy protection［J］. Mobile Computing，Applications，and Services，2016，（162）：122-139.

［2］LI Q H，CAO G H，PORTA T F L. Efficient and privacy-aware data aggregation in mobile sensing［J］. IEEE Transactions on Dependable and Secure Computing（TDSC），2014，11（2）：115-129.

［3］GROAT M M，EDWARDS B，HOREY J，et al. Enhancing privacy in participatory sensing applications with multidimensional data［J］. Pervasive & Mobile Computer，2012，9（5）：144-152.

［4］QIU F D，WU F，CHEN G H. Privacy and quality preserving multimedia data aggregation for participatory sensing systems［J］. IEEE Transactions on Mobile Computing（TMC），2015，14（6）：1287-1300.

［5］CHAKRABORTY S，RAGHAVAN K R，JOHNSON M P，et al. A framework for context-aware privacy of sensor data on mobile systems［C］//The 14th Workshop on Mobile Computing Systems and Applications. c2013：1-6.

［6］WANG W，ZHANG Q. A stochastic game for privacy preserving context sensing on mobile phone［C］//IEEE International Conference on Computer Communications（INFOCOM）. c2014：2328-2336.

［7］CRISTOFARO E D，SORIENTE C. PEPSI：privacy-enhanced participatory sensing infrastructure［C］//Communications of ACM. c2011：23-28.

［8］WANG X L，CHENG W，HAPATRA P M，et al. ARTSense：anonymous reputation and trust in participatory sensing［C］//IEEE International Conference on Computer Communications（INFOCOM）. c2013：2517-2525.

［9］XING K，WAN Z G，HU P F，et al. Mutual privacy-preserving regression modeling in participatory sensing［C］//IEEE International Conference on Computer Communications（INFOCOM）. c2013：3039-3047.

［10］WANG C，ZHANG B S，REN K，et al. A privacy-aware cloudassisted healthcare monitoring system via compressive sensing［C］//IEEE International Conference on Computer Communications（INFOCOM）. c2014：2130-2138.

［11］FREDRIKSON M，JHA S，RISTENPART T. Model inversion attacks that exploit confidence information and basic countermeasures［C］//The 22nd ACM SIGSAC Conference on Computer and Communications Security（CCS）. c2015：1322-1333.

［12］SHIN M，CORNELIUS C，PEEBLES D，et al. AnonySense：a system for anonymous opportunistic sensing［J］. Pervasive and Mobile Computing，2011，7（1）：16-30.

［13］PALLAPA G，ROY N，DAS S K. A scheme for quantizing privacy in context-aware ubiquitous computing［C］//The 4th International Conference on Intelligent Environments. c2008：1-8.

［14］SIMON M，SVETHA V，GEOFF. Dynamic privacy assessment in a smart house environment using multimodal sensing［J］. ACM Transactions on Multimedia Computing，Communications，and Applications（TOMM），2008，5（2）：1-29.

［15］JANA S，NARAYANAN A，SHMATIKOV V. A scanner darkly：protecting user privacy from perceptual applications［C］//IEEE Symposium on Security and Privacy（S&P）. c2013：349-363.

［16］ASSAM R，SEIDL T. Private map matching：realistic private route cognition on road networks［C］//IEEE 10th International Conference on Ubiquitous Intelligence and Computing，Autonomic and Trusted Computing（UIC/ATC）. c2013：178-185.

［17］CRISTOFARO E D，SORIENTE C. Participatory privacy：enabling privacy in participatory sensing［J］. IEEE Network，2013，27（1）：32-36.

［18］ZHENG Y，LI M，LOU W，et al. Location based handshake and private proximity test with location tags［J］. IEEE Transactions on Dependable and Secure Computing，2015：1.

［19］王璐，孟小峰. 位置大數據隱私保護研究綜述［J］. 軟件學報，2014，25（4）：693-712. WANG L，MENG X F. Location privacy preservation in big data era：a survey［J］. Journal of Software，2014，25（4）：693-712.

［20］鄢旭，陳晶，杜瑞穎，等. 無線傳感器網絡中基于組合框架的貝葉斯信任模型［J］. 計算機應用研究，2012，29（3）：1078-1083. YAN X，CHEN J，DU R Y，et al. Bayes trust model based on combinatorial frame in WSNs［J］. Application Research of Computers，2012，29（3）：1078-1083.

［21］GOGA O，LOISEAU P，SOMMER R，et al. On the reliability of profile matching across large online social networks［C］//ACM Sigkdd International Conference on Knowledge Discovery and Data Mining. c2015：1799-1808.

［22］SHOKRI R，THEDODORAKOOULOS G，DANEZIS G，et al. Quantifying location privacy：the case of sporadic location exposure［C］//The 11th International Symposium on Privacy Enhancing Technologies. c2011：57-76.

［23］王彩梅，郭亞軍，郭艷華. 位置服務中用戶軌跡的隱私度量［J］.軟件學報，2012，23（2）：352-360. WANG C M，GUO Y J，GUO Y H. Privacy metric for user's trajectory in location-based services［J］. Journal of Software，2012，23（2）：352-360.

［24］SUN L，LUO Y，DING X，et al. A novel artificial immune algorithm for spatial clustering with obstacle constraint and its applications［J］. ACM Computational Intelligence and Neuroscience，2014，2014（13）：1-11.

［25］NIU B，LI Q，ZHU X，CAO G，et al. Achieving k-anonymity in privacy-aware location-based services［C］//IEEE International Conference on Computer Communications（INFOCOM）.c2014：754-762.

［26］NIU B，LI Q，ZHU X，CAO G.，et al. Enhancing privacy through caching in location-based Services［C］//IEEE International Conference on Computer Communications（INFOCOM）.c2015：1017-1025

［27］DAHL M，DELAUNE S，STEEL G. Formal analysis of privacy for vehicular mix-zones［C］//The 15th European Symposium on Research in Computer Security. c2010：55-70.

［28］DWORK C. Differential privacy：a survey of results［C］//The 5th International Conference on Theory and Applications of Models of Computation（TAMC）. c2008：1-19.

［29］DWORK C. Ask a better question，get a better answer：a new approach to private data analysis［C］//The 11th International Conference on Database Theory（ICDT'07）. c2007：18-27.

［30］DWORK C. Differential privacy［C］//The 33rd International Colloquium of the Automata，Languages and Programming（ICALP'06）. c2006，26（2）：1-12.

［31］MCSHERRY F，TALWAR K. Mechanism design via differential privacy［C］//The 48th Annual IEEE Symposium on Foundations of Computer Science（FOCS'07）. c2007：94-103.

［32］GHOSH A，ROUGHGARDEN T，SUNDARARAJAN M. Universally utility-maximizing privacy mechanisms［J］. SIAM Journal on Computing，2012，41（6）：1673-1693.

［33］BLOCKI J，BLUMAND A，DATTA A，et al. The Johnson-Lindenstrauss transform itself preserves differential privacy［C］//The 2012 IEEE 53rd Annual Symposium on Foundations of Computer Science（FOCS'12）. c2012：410-419.

［34］BONOMI L，XIONG L，CHEN R，et al. Frequent grams based embedding for privacy preserving record linkage［C］//The 21st ACM International Conference on Information and Knowledge Management. Hawaii. c2012：1597-1601.

［35］FANAND L，XIONG L. Real-time aggregate monitoring with differential privacy［C］//The 21st ACM International Conference on Information and Knowledge Management. Hawaii，c2012. 2169-2173.

［36］CHEN J，NAUGHTON J F，CAI J Y. On differentially private frequent itemsetmining［J］. The International Journal on Very Large Data Bases，2012，6（1）：25-36.

［37］LU R X，LIN X D H，LUAN T，et al. Pseudonym Changing at Social Spots：An Effective Strategy for Location Privacy in VANETs［J］. IEEE Transactions on Vehicular Technology，2012，61（1）：86-96.

［38］熊平，朱天清，王曉峰. 差分隱私保護及其應用［J］. 計算機學報，2014，37（1）：101-122. XIONG P，ZHU T Q，WANG X F. A survey on differential privacy and applications［J］. Chinese Journal of Computers，2014，37（1）：101-122.

［39］楊震，范科峰，雷建軍. 隱私保護的自適應垃圾郵件過濾方法研究［J］.通信學報，2009，30（51）：145-149. YANG Z，FAN K F，LEI J J. Privacy preserving online spam filtering［J］. Journal on Communications，2009，30（51）：145-149.

［40］毛典輝，蔡強，李海生，等. 一種自適應情景的位置隱私保護方法［J］. 中南大學學報（自然科學版），2013，44（S2）：279-283. MAO D H，CAI Q，LI H S，et al. An adaptive context-aware location privacy protection method［J］. Journal of Central South University（Science and Technology），2013，44（S2）：279-283.

［41］ASSAM R，SEIDL T. Private map matching：realistic private route cognition on road networks［C］//The 10th IEEE International Conference on Ubiquitous Intelligence and Computing，and 10th International Conference on Autonomic and Trusted Computing（UIC/ATC'13）. c2013：178-185.

［42］王波，楊靜. 一種基于逆聚類的個性化隱私匿名方法［J］. 電子學報，2012，40（5）：883-890. WANG B，YANG J. A personalized privacy anonymous method based on inverse clustering［J］. Acta Electronica Sinica，2012，40（5）：883-890.

［43］ZHANG R，ZHANG J，ZHANG Y，et al. Privacy-preserving profile matching for proximity-based mobile social networking［J］. IEEE Journal on Selected Areas in Communications，2013，31（9）：656-668.

［44］LI H，XIONG L，JIANG X Q，et al. Differentially private histogram publication for dynamic datasets：an adaptive sampling approach［C］//The 24th ACM International on Conference on Information and Knowledge Management，Melbourne. c2015：1001-1010.

［45］田豐，桂小林，張學軍，等. 基于興趣點分布的外包空間數據隱私保護方法［J］.計算機學報，2014，37（1）：123-138. TIAN F，GUI X L，ZHANG X J，et al. Privacy-preserving approach for outsourced spatial data based on POI distribution［J］. Chinese Journal of Computers，2014，37（1）：123-138.

［46］劉昭斌，劉文芝，顧君忠. 位置感知的自適應隱私保護策略［J］.計算機工程與設計，2011，32（3）：839-841，1032. LIU Z B，LIU W Z，GU J Z. Adaptive privacy protection policy of location-aware［J］. Computer Engineering and Design，2011，32（3）：839-841，1032.

［47］毛典輝，蔡強，李海生，等. 用戶協(xié)作模式下自適應情景的 LBS隱私保護方法［J］. 四川大學學報（工程科學版），2013，45（4）：124-130. MAO D H，CAI Q，LI H S，et al. An adaptive context-aware LBS privacy protection method based on users collaboration［J］. Journal of Sichuan University（Engineering Science Edition），2013，45（4）：124-130.

［48］PALLAPA G，DAS S K，FRANCECO M D，et al. Adaptive and context-aware privacy preservation exploiting user interactions in smart environments［J］. Pervasive and Mobile Computing，2014，12（11）：232-243.

［49］SCHAUB F，KONINGS B，WEBER M，et al. Towards context adaptive privacy decisions in ubiquitous computing［C］//The 9th IEEE International Conference on Pervasive Computing and Communications Workshops（PERCOM Workshops'12）. c2012：407-410.

［50］SCHAUB F，KONINGS B，LANG P，et al. PriCal：context-adaptive privacy in ambient calendar displays［C］//The 2014 ACM International Joint Conference on Pervasive and Ubiquitous Computing（UbiComp'14）. Seattle，c2014：499-510

［51］OMORONYIA I，CAVALLARO L，SALEHIE M，et al. Engineering adaptive privacy：on the role of privacy awareness requirements［C］//The 35th IEEE International Conference on Software Engineering（ICSE'13）. c2013：632-641.

［52］WANG W，ZHANG Q. Toward long-term quality of protection in mobile networks：a context-aware perspective［J］. IEEE Wireless Communications，2015，22（4）：34-40.

［53］ZHANG K，YANG K，LIANG X H，et al. Security and privacy for mobile healthcare networks：from a quality of protection perspective［J］. IEEE Wireless Communications，2015，22（4）：104-112.

［54］ITANI W，KAYSSI A，CHEHAB A. Privacy as a service：privacy-aware data storage and processing in cloud computing architectures［C］//The 8th International Conference on Dependable，Autonomic and Secure Computing（DASC'09）. Chengdu. c2009：711-716.

［55］徐小龍，周靜嵐，楊庚. 一種基于數據分割與分級的云存儲數據隱私保護機制［J］. 計算機科學，2013，40（2）：98-102. XU X L，ZHOU J L，YANG G. Data privacy protection mechanism for cloud storage based on data partition and classification［J］. Computer Science，2013，40（2）：98-102.

［56］江頡，顧祝燕，高駿驍，等. 基于敏感等級的云租戶數據安全保護模型研究［J］.系統(tǒng)工程理論與實踐，2014，34（9）：2392-2401. JIANG J，GU Z Y，GAO J X，et al. Cloud tenants-oriented data security protection model based on data sensitivity grading［J］. Systems Engineering Theory & Practice，2014，34（9）：2392-2401.

［57］施榮華，劉鑫，董健，等. 云環(huán)境下一種基于數據分割的 CP-ABE隱私保護方案［J］. 計算機應用研究，2015，32（2）：522-523，527. SHI R H，LIU X，DONG J，et al. Privacy protection scheme in cloud computing using CP-ABE based on data partition［J］. Application Research of Computers，2015，32（2）：521-523，527.

［58］GEORGAKAKIS E，NIKOLIDAKIS S A，VERGADOS D D，et al. Spatio temporal emergency role based access control（STEM-RBAC）：a time and location aware role based access control model with a break the glass mechanism［C］//The 16th IEEE International Symposium on Computers and Communications（ISCC'11）. c2011：764-770.

［59］TARAMESHLOO E，FONG P W L. Access control models for geo-social computing systems［C］//The 20th ACM Symposium on Access Control Models and Technologies（SACMAT'14）. London，c2014：115-126.

［60］MIETTINEN M，HEUSER S，KRONZ W，et al. ConXsenseautomated context classification for context-aware access control［C］//The 9th ACM Symposium on Information，Computer and Communications Security（CCS'14）. Kyoto，c2014：293-304.

［61］ZHANG Y，CHEN J，DU R，et al. FEACS：a flexible and efficient access control scheme for cloud computing［C］//The 13th IEEE In-ternational Conference on Trust，Security and Privacy in Computing and Communications（TRUSTCOM'14）. Beijing，c2014：310-319.

［62］RUBIO-MEDRANO C E，ZHAO Z，DOUPE A，et al. Federated access management for collaborative network environments：framework and case study［C］//The 20th ACM Symposium on Access Control Models and Technologies（SACMAT'15）. c2015：125-134.

［63］CAPPOS J，WANG L，WEISS R，et al. BlurSense：dynamic fine-grained access control for smartphone privacy［C］//The IEEE Sensors Applications Symposium（SAS'14）. c2014：329-332.

［64］WANG J，HUANG C，WANG J. Scalable access policy for attribute based encryption in cloud storage［M］//Algorithms and Architectures for Parallel Processing. Berlin：Springer，2015：383-402.

［65］ZHOU J，LIN X D，DONG X L，et al. PSMPA：patient self-controllable and multi-level privacy-preserving cooperative authentication in distributed m-healthcare cloud computing system［J］. IEEE Transactions on Parallel & Distributed Systems，2015，26（6）：1693-1703.

［66］張穎君，馮登國，陳愷.面向空間索引樹的授權機制［J］.通信學報，2010，31（9）：64-73. ZHANG Y J，FENG D G，CHEN K. Authorization mechanism based on spatial index［J］. Journal on Communications，2010，31（9）：64-73.

［67］LIU H，NING H S，XIONG Q X，et al. Shared authority based privacy-preserving authentication protocol in cloud computing［J］. IEEE Transactions on Parallel & Distributed Systems，2015，26（1）：241-251.

［68］WANG Y C，LI F H，XIONG J B，et al. Achieving lightweight and secure access control in multi-authority cloud［C］//The 2015 IEEE Trustcom/BigDataSE/ISPA. c2015：459-466.

［69］馬晨華，王進，裘炅，等.基于情景約束的工作流柔性訪問控制模型［J］. 浙江大學學報（工學版），2010，44（12）：2297-2308. MA C H，WANG J，QIU J，et al. Flexible context-constraint-based access control model for workflows［J］. Journal of Zhejiang University（Engineering Science），2010，44（12）：2297-2308.

［70］SU M，LI F H，TANG Z，et al. An action-based fine-grained access control mechanism for structured documents and its application［J］. The Scientific World Journal，2014：232708-232720.

［71］吳檳，馮登國.多域環(huán)境下基于屬性的授權委托模型［J］. 軟件學報，2011，22（7）：1661-1675. WU B，FENG D G. Attribute-based authorization delegation model in multi-domain environments［J］. Journal of Software，2011，22（7）：1661-1675.

Research on privacy protection in the process of information exchange

HUA Jia-feng1，LI Feng-hua2，GUO Yun-chuan2，GENG Kui1，NIU Ben2

（1. State Key Laboratory of Integrated Service Networks，Xidian University，Xi'an 710071，China；2. State Key Laboratory of Information Security，Institute of Information Engineering，Chinese Academy of Sciences，Beijing 100093，China）

The privacy preservation problems in the process of information exchange have been summarized，according to the latest study and review related. Firstly，the different kinds of information service modes in pervasive networks，induce the essence of the information dissemination were introduced，and the risks of privacy information leakage during the information exchange were analyzed. Then the current research status of the information privacy awareness，privacy metric，self-adaptive adjustment scheme，privacy splitting and authorization extension were concluded. Finally，four research directions including the privacy awareness in the multi-source environment，scenario-aware privacy measurement，scenario defined privacy protection scheme，privacy splitting and authorization extension were proposed.

information exchange，privacy preservation，privacy awareness，privacy splitting，authorization extension

TN929

A

10.11959/j.issn.2096-109x.2016.00035

2016-02-07；

2016-03-02。通信作者：牛犇，niuben@iie.ac.cn

國家自然科學基金—青年科學基金資助項目（No.61502489）；國家高技術研究發(fā)展計劃（“863”計劃）基金資助項目（No.2015AA016007）；國家自然科學基金委—廣東聯合基金資助項目（No.U1401251）

Foundation Items：The National Natural Science Foundation of China（No.61502489），The National High Technology R&D Program of China（863 Program）（No.2015AA016007），The Key Program of the National Natural Science Foundation of China-Guangdong Union Foundation（No.U1401251）

華佳烽（1989-），男，湖北黃岡人，西安電子科技大學博士生，主要研究方向為信息安全、隱私保護。

李鳳華（1966-），男，湖北浠水人，博士，中國科學院信息工程研究所副總工、研究員、博士生導師，主要研究方向為網絡與系統(tǒng)安全、隱私計算、信息保護。

郭云川（1977-），男，四川營山人，博士，中國科學院信息工程研究所副研究員，主要研究方向為物聯網安全、形式化方法。

耿魁（1989-），男，湖北紅安人，西安電子科技大學博士生，主要研究方向為網絡安全。

牛犇（1984-），男，陜西西安人，博士，中國科學院信息工程研究所助理研究員，主要研究方向為網絡安全、信息保護。