姜家鑫，黃志球，馬薇薇

1.南京航空航天大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，南京 210016 2.軟件新技術(shù)與產(chǎn)業(yè)化協(xié)同創(chuàng)新中心，南京 210016

1 引言

面向服務(wù)的計(jì)算（service-oriented computing，SOC）是一種基于互聯(lián)網(wǎng)的全新計(jì)算模式，它是以Web服務(wù)作為基本元素，在傳統(tǒng)的面向?qū)ο蠹夹g(shù)和分布式技術(shù)基礎(chǔ)上提出的一種新的軟件開發(fā)、部署和集成的模式[1]。Web服務(wù)是一種自描述、自包含、與平臺無關(guān)的自治計(jì)算單元，使用標(biāo)準(zhǔn)的Web技術(shù)與其他服務(wù)進(jìn)行交互。隨著Web服務(wù)技術(shù)的迅速發(fā)展，越來越多的Web服務(wù)發(fā)布到互聯(lián)網(wǎng)中，但是單個(gè)服務(wù)可能很難滿足用戶多個(gè)功能請求，因此有必要將多個(gè)已存在的Web服務(wù)按照功能、邏輯關(guān)系組合起來，以滿足用戶的功能性需求，組合起來的新服務(wù)被稱作組合服務(wù)，服務(wù)的組合過程稱為服務(wù)組合[2]。

用戶在享受組合服務(wù)帶來便利的同時(shí)，也需要將一些個(gè)人隱私信息發(fā)送給服務(wù)中，來滿足相應(yīng)的功能性需求，而隱私信息一旦被收集，用戶很難控制服務(wù)如何使用和暴露這些信息[3]。隨著用戶隱私信息被侵犯的案例不斷增加，隱私保護(hù)問題越來越受到關(guān)注，特別是在服務(wù)組合的過程中，由于用戶與成員服務(wù)之間缺少相關(guān)的協(xié)議約束，難以保證隱私信息是否按照用戶的需求進(jìn)行使用和暴露[4]。因此，如何在滿足用戶功能性需求的前提下，最大可能地減少用戶的隱私信息暴露是實(shí)現(xiàn)安全Web服務(wù)組合的一個(gè)關(guān)鍵性問題[5]。

為了加強(qiáng)服務(wù)組合的安全性，有必要在系統(tǒng)的設(shè)計(jì)階段對服務(wù)組合的隱私需求進(jìn)行分析和驗(yàn)證。目前，服務(wù)組合隱私保護(hù)的研究工作主要聚焦于提供隱私保護(hù)的服務(wù)組合訪問控制方法。然而，在組合服務(wù)中，原始隱私數(shù)據(jù)可能在成員服務(wù)之間發(fā)送和接收消息時(shí)發(fā)生改變。成員服務(wù)發(fā)送和接收的消息，可能是從原始的隱私數(shù)據(jù)中計(jì)算出來的，這種信息流也會造成隱私信息的泄漏?？紤]如下例子，假設(shè)一個(gè)組合服務(wù)中有3個(gè)成員服務(wù)S1、S2、S3，其中S1向S2發(fā)送了數(shù)據(jù)D1，S2向S3發(fā)送了數(shù)據(jù)D2，數(shù)據(jù)D2是從S2接收到的數(shù)據(jù)D1中計(jì)算而來的，如果D1被認(rèn)為是不允許被發(fā)送到服務(wù)S3中的隱私敏感數(shù)據(jù)，而D2包含D1中的部分信息，在傳送到S3時(shí)，有可能造成D1中的數(shù)據(jù)泄漏。而現(xiàn)有的Web服務(wù)安全性模型不支持這種成員服務(wù)在交互過程中產(chǎn)生的間接隱私數(shù)據(jù)的泄漏。

本文的主要貢獻(xiàn)有：

（1）提出一種基于信任度的Web服務(wù)組合隱私信息流控制模型。該模型利用信任度作為服務(wù)訪問隱私權(quán)限的條件，在此基礎(chǔ)上提出隱私數(shù)據(jù)項(xiàng)依賴模型，檢測服務(wù)組合中產(chǎn)生的間接隱私數(shù)據(jù)項(xiàng)。

（2）提出一種帶隱私語義的Petri網(wǎng)模型對服務(wù)組合的行為進(jìn)行建模。提出隱私授權(quán)認(rèn)證算法，根據(jù)該算法檢測Petri網(wǎng)中存在的隱私策略違背的現(xiàn)象，從而驗(yàn)證服務(wù)組合是否滿足用戶的隱私需求。

本文組織結(jié)構(gòu)如下：第2章從訪問控制和信息流控制兩方面對服務(wù)組合隱私保護(hù)的相關(guān)工作進(jìn)行討論；第3章提出一種基于信任度的服務(wù)組合信息流控制模型，對服務(wù)的隱私策略進(jìn)行建模；第4章對服務(wù)組合的行為進(jìn)行建模和驗(yàn)證，檢測服務(wù)組合中是否存在隱私信息泄露問題；第5章通過實(shí)驗(yàn)證明本文方法的有效性；第6章總結(jié)全文，并對未來工作進(jìn)行展望。

2 相關(guān)工作

本章從訪問控制和信息流控制兩方面對Web服務(wù)組合的安全性與隱私保護(hù)方法進(jìn)行討論。

Web服務(wù)組合訪問控制方法主要包括自主訪問控制（discretionary access control，DAC）和強(qiáng)制訪問控制（mandatory access control，MAC）兩方面。DAC策略允許系統(tǒng)中信息的擁有者按照自己的意愿指定系統(tǒng)中其他主體對信息的訪問權(quán)。文獻(xiàn)[6]提出著色Petri網(wǎng)（color Petri net，CPN）框架用于驗(yàn)證基于角色的訪問控制策略的一致性；文獻(xiàn)[7]將上述框架用于面向服務(wù)的業(yè)務(wù)流程權(quán)限管理；文獻(xiàn)[8]使用CPN建模與分析職責(zé)約束分離的工作流。MAC策略由系統(tǒng)管理部門按照嚴(yán)格的規(guī)則制定一些訪問規(guī)則，使系統(tǒng)中的每個(gè)主體和客體都被賦予了相應(yīng)的安全屬性，這些安全屬性是不能改變的。現(xiàn)有的MAC策略大多是基于多級安全策略模型[9]。文獻(xiàn)[10]提出基于任務(wù)的訪問控制模型，并使用Petri網(wǎng)進(jìn)行驗(yàn)證。

Web服務(wù)組合信息流控制方法是一個(gè)新的研究領(lǐng)域。文獻(xiàn)[11]將服務(wù)的組合簡化為若干個(gè)服務(wù)鏈，通過三階段組合協(xié)議對服務(wù)組合進(jìn)行信息流控制。文獻(xiàn)[12]使用CPN描述服務(wù)組合的業(yè)務(wù)流程，使用結(jié)構(gòu)化的干擾性來判斷服務(wù)組合中的信息泄漏。文獻(xiàn)[13]對存在信息泄漏但認(rèn)為是安全的信息流節(jié)點(diǎn)進(jìn)行降級處理，使其能在系統(tǒng)中正常運(yùn)行。文獻(xiàn)[14]給出信息流的干擾性與因果模型中有效性之間的關(guān)系，提出一種黑盒的信息流分析方法。

通過信息流干擾性來判斷信息泄露的方法過于嚴(yán)格，因?yàn)榉?wù)組合在滿足用戶功能性需求的同時(shí)會收集或者暴露用戶的隱私數(shù)據(jù)，如果隱私數(shù)據(jù)的泄漏在用戶可接受的范圍內(nèi)，則認(rèn)為滿足用戶的隱私需求，所以對隱私保護(hù)定量的信息流控制方法是有必要的。

3 基于信任度的服務(wù)組合信息流控制模型

3.1 服務(wù)信任度

在服務(wù)組合的過程中，成員服務(wù)一般來自于不同的組織，相互之間缺乏必要的信任關(guān)系。它們中存在一些誠實(shí)的服務(wù)，在收集用戶的隱私服務(wù)后，不會暴露給未經(jīng)授權(quán)的服務(wù)或組織，但是同時(shí)也存在一些惡意的服務(wù)，為了獲取個(gè)人的利益，可能將用戶的隱私數(shù)據(jù)暴露給第三方。因此，當(dāng)用戶在暴露隱私數(shù)據(jù)給服務(wù)之前，需要服務(wù)具有一定的信任度。用戶根據(jù)服務(wù)的信任度，有選擇性地暴露個(gè)人的隱私，服務(wù)的信任度越高，可獲得的隱私數(shù)據(jù)就越多。

定義1（信任度）信任度是度量服務(wù)可信程度的指標(biāo)。設(shè)S是一組有窮的服務(wù)集，對于任何一個(gè)服務(wù)s∈S，函數(shù)f(s)∈[0,1]用于獲取服務(wù)s的信任度，其中0代表服務(wù)不可信，1代表十分可信，值越大說明可信程度越高。

服務(wù)的信任度由用戶來評價(jià)，用戶在使用服務(wù)后，根據(jù)服務(wù)對用戶隱私數(shù)據(jù)的危害程度來進(jìn)行判斷。目前已經(jīng)有一些網(wǎng)站存在用戶對服務(wù)的信任度評價(jià)機(jī)制，比如seekda（http://seekda.com）和WebService-List（http://webservicelist.com）。

3.2 隱私數(shù)據(jù)項(xiàng)依賴模型

用戶在隱私需求中定義了直接隱私數(shù)據(jù)，而在組合服務(wù)的運(yùn)行中，會根據(jù)直接隱私數(shù)據(jù)產(chǎn)生一些間接的隱私數(shù)據(jù)[15]，為了描述這些間接的隱私數(shù)據(jù)，構(gòu)造了隱私數(shù)據(jù)項(xiàng)依賴模型。

定義2（直接隱私數(shù)據(jù)項(xiàng)）用戶為完成功能性需求提供給組合服務(wù)的涉及隱私信息的數(shù)據(jù)項(xiàng)。

定義3（間接隱私數(shù)據(jù)項(xiàng)）在服務(wù)組合過程中，通過直接隱私數(shù)據(jù)項(xiàng)的計(jì)算而產(chǎn)生的能夠間接地暴露用戶隱私信息的數(shù)據(jù)項(xiàng)。

定義4（隱私數(shù)據(jù)項(xiàng)依賴關(guān)系）一個(gè)隱私數(shù)據(jù)項(xiàng)依賴關(guān)系（privacy data item dependency relation，PDIDR）是一個(gè)三元組E=＜D,d,F＞。其中：

（1）D={d1,d2,…,dn}是隱私數(shù)據(jù)項(xiàng)的集合。

（2）d是間接隱私數(shù)據(jù)項(xiàng)。

（3）F={f1,f2,…,fn}是依賴因子的集合，其中fi(1≤i≤n)表示隱私數(shù)據(jù)項(xiàng)d對di的依賴程度。依賴因子fi的取值范圍見表1，fi的值越大，說明數(shù)據(jù)項(xiàng)d對di的依賴程度越大。為了簡化，可以將依賴關(guān)系寫為

定義5（隱私數(shù)據(jù)項(xiàng)依賴圖）一個(gè)隱私數(shù)據(jù)項(xiàng)依賴圖（privacy data item dependency graph，PDIDG）是一個(gè)三元組PDIDG=＜V,E,F＞，其中V是隱私數(shù)據(jù)項(xiàng)的集合，包括直接隱私數(shù)據(jù)項(xiàng)和間接隱私數(shù)據(jù)項(xiàng)；E是邊的集合，表示隱私數(shù)據(jù)項(xiàng)之間的依賴關(guān)系；F是邊的權(quán)值，表示隱私數(shù)據(jù)項(xiàng)之間的依賴程度，取值范圍如表1所示。在隱私數(shù)據(jù)項(xiàng)依賴圖中，出度為0的節(jié)點(diǎn)為直接隱私數(shù)據(jù)項(xiàng)，出度不為0的節(jié)點(diǎn)為間接隱私數(shù)據(jù)項(xiàng)。

Table 1 Value of dependency factor表1依賴因子的取值

圖1是一個(gè)隱私數(shù)據(jù)項(xiàng)依賴圖的實(shí)例，其中節(jié)點(diǎn)d、h、i出度為0，是直接隱私數(shù)據(jù)項(xiàng)，而a、b、c、e、f、g是間接隱私數(shù)據(jù)項(xiàng)，且存在如下的依賴關(guān)系：

Fig.1 Privacy data item dependency graph圖1 隱私數(shù)據(jù)項(xiàng)依賴圖

設(shè)用戶要求訪問直接隱私數(shù)據(jù)項(xiàng)d1、d2的服務(wù)信任度分別不低于T1、T2，若存在一個(gè)服務(wù)需要訪問間接隱私數(shù)據(jù)項(xiàng)d且存在依賴關(guān)系則該服務(wù)對d1訪問的信任度不低于fT1且對d2訪問的信任度不低于fT2。

直接隱私數(shù)據(jù)項(xiàng)由用戶在隱私需求中指定，服務(wù)組合的隱私分析人員根據(jù)用戶提供的直接隱私數(shù)據(jù)項(xiàng)，分析服務(wù)組合中數(shù)據(jù)輸入輸出的依賴關(guān)系及具體應(yīng)用的語義分析，指定間接隱私數(shù)據(jù)項(xiàng)，構(gòu)造隱私數(shù)據(jù)項(xiàng)依賴圖。

3.3 服務(wù)組合隱私信息流控制模型

在服務(wù)組合中，每一個(gè)成員服務(wù)都包含一組操作，用于收集或者暴露用戶的隱私數(shù)據(jù)，用戶希望最大程度地控制隱私信息的泄漏。為了滿足用戶的需求，本文采用隱私策略來規(guī)約成員服務(wù)在執(zhí)行收集和暴露操作時(shí)對一組隱私數(shù)據(jù)的訪問權(quán)限。

定義6（隱私策略）設(shè)S是一個(gè)有窮的服務(wù)集合，代表組合服務(wù)中的所有服務(wù)；OP是一個(gè)有窮的操作集，代表服務(wù)組合中成員服務(wù)之間發(fā)送和接受消息的操作。D是一組有窮的直接隱私數(shù)據(jù)項(xiàng)集，表示根據(jù)用戶隱私需求定義的一系列隱私數(shù)據(jù)項(xiàng)。I是一組有窮的間接隱私數(shù)據(jù)項(xiàng)集，表示在服務(wù)交互過程中新產(chǎn)生的一系列依賴于直接隱私數(shù)據(jù)項(xiàng)的間接隱私數(shù)據(jù)項(xiàng)。T是一組有窮的隱私權(quán)限類型集，本文中的隱私權(quán)限包括收集隱私數(shù)據(jù)權(quán)限和暴露隱私數(shù)據(jù)權(quán)限。一個(gè)隱私策略是一個(gè)四元組，plcy=＜s,op,ftp,pm＞。其中：

（1）s∈S是組合服務(wù)中的一個(gè)成員服務(wù)。

（2）op代表服務(wù)執(zhí)行的某一個(gè)操作。

（3）ftp是一個(gè)轉(zhuǎn)換函數(shù)，通過隱私數(shù)據(jù)項(xiàng)依賴圖，將對間接隱私數(shù)據(jù)項(xiàng)訪問的信任度轉(zhuǎn)化為對直接隱私數(shù)據(jù)項(xiàng)訪問的信任度。

（4）pm是一個(gè)策略矩陣，由T行D列組成，矩陣元素pm[i,j]∈[0,1](0≤i≤T,0≤j≤D)是一個(gè)信任度閾值，表示服務(wù)s在訪問數(shù)據(jù)對象j的i類隱私權(quán)限時(shí)所需要的信任度閾值。其中，0表示可以將該權(quán)限授予給任何服務(wù)，1表示不授予。

定義7（隱私信息流控制模型）一個(gè)服務(wù)組合的隱私信息流控制模型（privacy information flow control model，PIFCM）定義為五元組PIFCM= ＜S,OP,PM,PLCY,Fpm＞，其中：

（1）S是一個(gè)有窮的服務(wù)集，代表服務(wù)組合中的所有服務(wù)。

（2）OP是一組有窮的操作。

（3）PM是一組有窮的策略矩陣集。

（4）PLCY?S×OP×PM是一組有窮的隱私策略集，對任意策略plcy∈PLCY，它規(guī)約服務(wù)s在執(zhí)行op操作時(shí)的一組隱私權(quán)限。

（5）Fpm是(S,OP)→PM的映射函數(shù)，用于獲取服務(wù)s的操作op所對應(yīng)的策略矩陣pm，其中s∈S，op∈OP，pm∈PM。

4 服務(wù)組合隱私行為建模與驗(yàn)證

4.1 服務(wù)組合隱私行為建模

為了實(shí)現(xiàn)一個(gè)Web服務(wù)組合系統(tǒng)，需要選取一組具體的服務(wù)來完成指定的功能，雖然服務(wù)的組合能夠滿足用戶的功能性需求，但可能不滿足用戶的非功能性需求，比如隱私的授權(quán)約束[16]。因此為了確保服務(wù)的安全性與正確性，需要在服務(wù)組合的設(shè)計(jì)階段對其進(jìn)行隱私需求的建模與驗(yàn)證。

BPEL（business process execution language）已經(jīng)成為事實(shí)上的Web服務(wù)組合標(biāo)準(zhǔn)語言，本文針對BPEL中可能存在的隱私泄漏問題進(jìn)行隱私建模與驗(yàn)證。因?yàn)镻etri網(wǎng)有嚴(yán)格的數(shù)學(xué)定義和直觀的圖形表示，又有豐富的系統(tǒng)描述能力和系統(tǒng)行為分析能力，所以國內(nèi)外很多研究者通過將BPEL轉(zhuǎn)化為Petri網(wǎng)來驗(yàn)證服務(wù)組合中的各種性質(zhì)。

BPEL2oWFN是一個(gè)開源的BPEL分析工具，可以將BPEL轉(zhuǎn)換到標(biāo)準(zhǔn)的Petri網(wǎng)，通過模型檢測工具分析死鎖等Petri網(wǎng)屬性或者系統(tǒng)完備性以及時(shí)序邏輯；也可以轉(zhuǎn)化為開放工作流網(wǎng)（open workflow net，OWFN），使用Fiona工具分析OWFN的可控性，從而分析BPEL的交互過程。圖2是對“BPEL2oWFN（http://www.gnu.org/software/bpel2owfn/index.html）”工具鏈的一個(gè)概述。

Fig.2 BPEL2oWFN tool chain圖2BPEL2oWFN工具鏈

OWFN是一種特殊的Petri網(wǎng)，在原有的Petri網(wǎng)的基礎(chǔ)上引入了與外界交互的消息庫所，因此便于研究者分析系統(tǒng)與外界交互的行為。文獻(xiàn)[17]詳細(xì)給出了將BPEL轉(zhuǎn)化為OWFN的方法，將BPEL中的活動轉(zhuǎn)換為OWFN中的變遷，將內(nèi)部控制邏輯轉(zhuǎn)化為內(nèi)部消息庫所，將與外部的交互過程轉(zhuǎn)化為外部消息庫所。

圖3是一個(gè)簡單的OWFN的實(shí)例。其中，虛線的矩形邊框代表一個(gè)服務(wù)的邊界，p1是起始庫所，p3是終止庫所，p4、p5庫所代表服務(wù)與外界的交互過程，p4表示輸入消息庫所，p5表示輸出消息庫所。

Fig.3 An example of OWFN圖3 一個(gè)OWFN的例子

為了能夠分析BPEL中隱私數(shù)據(jù)的使用情況，本文提出一種支持隱私數(shù)據(jù)檢測的隱私開放工作流網(wǎng)（privacy open workflow net，POWFN）。

定義8（隱私開放工作流網(wǎng)）一個(gè)隱私開放工作流網(wǎng)定義為五元組POWFN=＜P,T,F,M0,RMd＞，其中：

（1）P是庫所的集合。P=Pi∪Po∪P′并且Pi∩Po∩P′=?，其中Pi是輸入消息庫所的集合，Po是輸出消息庫所的集合，P′是服務(wù)內(nèi)部消息庫所的集合。

（2）T是變遷的集合。T=Ti∪To并且Ti∩To=?，其中Ti是內(nèi)部變遷的集合，其前置庫所和后置庫所都屬于P′；To是外部變遷的集合，其前置庫所和后置庫所至少有一個(gè)不屬于P′。

（3）F是有向邊的集合，代表流關(guān)系，F(xiàn)=(P×T)∪(T×P)。

（4）M0是初始標(biāo)識。

（5）RMd=＜ftr,RM＞是一個(gè)二元組，代表對直接隱私數(shù)據(jù)項(xiàng)隱私權(quán)限請求矩陣的集合。其中ftr是一個(gè)轉(zhuǎn)換函數(shù)，通過隱私數(shù)據(jù)項(xiàng)依賴圖，將對間接隱私數(shù)據(jù)項(xiàng)訪問的請求轉(zhuǎn)化為對直接隱私數(shù)據(jù)項(xiàng)訪問的請求；RM是服務(wù)的隱私權(quán)限請求矩陣，其中既包括對用戶直接隱私數(shù)據(jù)項(xiàng)的請求，又包括對服務(wù)組合過程中產(chǎn)生的間接隱私數(shù)據(jù)項(xiàng)的請求。每一個(gè)外部變遷To對應(yīng)于一個(gè)RMd，對于每一個(gè)請求矩陣rmd∈RMd由T行D列組成，其中T代表一組有窮的隱私權(quán)限類型，D代表一組有窮的隱私數(shù)據(jù)對象，矩陣元素rmd[i,j]∈{0,1}(0≤i≤T,0≤j≤D)，1表示服務(wù)請求數(shù)據(jù)對象j類型為i的權(quán)限，0表示不請求這種權(quán)限。

4.2 服務(wù)組合隱私授權(quán)驗(yàn)證算法

要檢驗(yàn)一個(gè)Web服務(wù)組合是否滿足用戶的隱私需求，實(shí)際上檢驗(yàn)各成員服務(wù)的信任度水平是否滿足用戶所提供的直接隱私數(shù)據(jù)項(xiàng)的最小信任度要求。用戶提供的信任度通過服務(wù)組合信息流控制模型規(guī)約為成員服務(wù)的隱私策略矩陣，成員服務(wù)的交互行為通過POWFN規(guī)約為隱私權(quán)限請求矩陣。

算法服務(wù)組合隱私需求驗(yàn)證算法

輸入：隱私信息流控制模型PIFCM=＜S,OP,PM,PLCY,Fpm＞；隱私開放工作流網(wǎng)POWFN=＜P,T,F,M0,RMd＞。

輸出：ture（滿足隱私需求）或者false（不滿足隱私需求）。

1.根據(jù)PIFCM和POWFN提取出每個(gè)服務(wù)s的隱私策略矩陣pm和隱私權(quán)限請求矩陣rmd（pm與rmd等行等列）；

2.創(chuàng)建一個(gè)初始值為0且與rmd等行等列的授權(quán)矩陣dm;

服務(wù)組合隱私需求算法中，首先獲取每個(gè)服務(wù)的隱私策略矩陣pm和隱私權(quán)限請求矩陣rm，并構(gòu)建一個(gè)初始化為0的授權(quán)矩陣dm，用于判斷是否接受服務(wù)的授權(quán)請求；其次，對策略矩陣中的每個(gè)元素與該服務(wù)的信任度進(jìn)行比較，如果服務(wù)的信任度大于等于策略矩陣的信任度，則將授權(quán)矩陣的對應(yīng)項(xiàng)設(shè)置為1，若不滿足則置為0；然后，查看該服務(wù)是否請求了對應(yīng)的隱私數(shù)據(jù)項(xiàng)，如果服務(wù)既不滿足隱私數(shù)據(jù)的信任度需求，又請求了該隱私數(shù)據(jù)，則將該項(xiàng)置為-1；最后查看服務(wù)的授權(quán)矩陣中是否存在值為-1的元素，若存在，則返回false，不存在則返回true。

5 案例分析

一個(gè)購物代理（Shopping Agent，SA）服務(wù)組合中包括代理服務(wù)（Agent）、售貨服務(wù)（Seller）、支付服務(wù)（Pay）、快遞服務(wù)（Shipper），這4個(gè)服務(wù)組合在一起完成用戶購買物品、支付、貨物運(yùn)輸?shù)囊徽臼椒?wù)。圖4給出了用戶通過服務(wù)組合成功完成在線購物的場景。

Fig.4 Scenario of successful reservation in SA service composition圖4 SA服務(wù)組合完成用戶訂單請求的場景

用戶首先登錄到Agent服務(wù)中，當(dāng)需要購物時(shí)送訂單請求消息（OrdReq）到Seller服務(wù)；Seller服務(wù)在接收到OrdReq后，向Pay服務(wù)發(fā)送貨物支付請求消息(PayReq）；如果用戶銀行卡的可用額度能夠支付訂單，則Pay服務(wù)返回支付成功消息（PayOK）到Seller服務(wù)中；若支付成功，則Seller服務(wù)向Shipper服務(wù)發(fā)送貨物配送請求（ShipReq）；若運(yùn)送貨物成功則返回配送成功消息（ShipOK）到Seller服務(wù)中；隨后Seller服務(wù)返回OrderOK消息到Agent服務(wù)中，完成用戶購物流程。

在線購物服務(wù)組合的隱私分析人員根據(jù)所有用戶提供的直接隱私數(shù)據(jù)項(xiàng)以及服務(wù)組合的業(yè)務(wù)流程構(gòu)造隱私數(shù)據(jù)項(xiàng)依賴圖，如圖5所示。

Fig.5 PDIDG of service composition圖5 服務(wù)組合的隱私數(shù)據(jù)項(xiàng)依賴圖

某一特定用戶的隱私需求是服務(wù)組合中所有用戶隱私需求的子集，因此其隱私數(shù)據(jù)項(xiàng)依賴圖也應(yīng)該是整個(gè)服務(wù)組合的隱私數(shù)據(jù)項(xiàng)依賴圖的子集。例如，某一用戶給出隱私需求的直接隱私數(shù)據(jù)項(xiàng)包括用戶姓名（name）、手機(jī)號（phone）、信用卡號（credit-Card）、地址（address），所對應(yīng)的隱私數(shù)據(jù)項(xiàng)依賴圖如圖6所示。

Fig.6 PDIDG of a single user圖6 針對某一用戶的隱私數(shù)據(jù)項(xiàng)依賴圖

在線購物服務(wù)組合中的成員服務(wù)在完成用戶購買商品、支付、貨物運(yùn)輸過程中，有如下的消息傳遞涉及用戶的隱私信息泄漏。

（1）訂單請求（OrdReq）：Agent服務(wù)通過收集用戶的姓名（name）、手機(jī)號（phone）、銀行卡（credit-Card）、地址（address）等直接隱私數(shù)據(jù)項(xiàng)進(jìn)行處理，產(chǎn)生間接隱私數(shù)據(jù)項(xiàng)OrderId，發(fā)送給Seller服務(wù)，Seller服務(wù)只有對OrderId依賴的所有直接隱私數(shù)據(jù)項(xiàng)都具有收集權(quán)限，才能接收OrdReq請求。

（2）支付請求（PayReq）：Seller服務(wù)通過收集用戶的直接隱私數(shù)據(jù)項(xiàng)，產(chǎn)生間接隱私數(shù)據(jù)項(xiàng)PayID，并試圖發(fā)送給Pay服務(wù)，服務(wù)Pay只有對PayID依賴的所有直接隱私數(shù)據(jù)項(xiàng)都具有收集權(quán)限，才能接收PayID。

（3）貨物運(yùn)輸請求（ShipReq）：Seller服務(wù)通過收集用戶的直接隱私數(shù)據(jù)項(xiàng)，產(chǎn)生間接隱私數(shù)據(jù)項(xiàng)ShipID，并試圖發(fā)送給Shipper服務(wù)，服務(wù)Shipper只有對ShipID依賴的所有直接隱私數(shù)據(jù)項(xiàng)有收集權(quán)限，才能接收ShipReq。

利用隱私開放工作流網(wǎng)對服務(wù)組合的行為進(jìn)行建模，本文關(guān)注于服務(wù)之間的交互過程，因此忽略服務(wù)內(nèi)部的消息庫所，只關(guān)注于服務(wù)之間的外部消息庫所，所形成的隱私開放工作流網(wǎng)如圖7所示。

Fig.7 POWFN of online shopping service composition圖7 在線購物服務(wù)組合的隱私開放工作流網(wǎng)

在該案例中，假設(shè)用戶對Agent、Seller、Pay、Shipper服務(wù)的信任度分別為0.8、0.8、0.7、0.7，而用戶希望自己的隱私數(shù)據(jù)（直接隱私數(shù)據(jù)項(xiàng)）name、phone、credit-Card、address被信任度大于0.6、0.7、0.8、0.6的服務(wù)所訪問。

表2～表5分別代表服務(wù)組合中各成員服務(wù)的操作和相應(yīng)的策略矩陣。其中后綴“？”表示服務(wù)是消息的接收者，后綴“！”表示服務(wù)是消息的發(fā)送者，矩陣的行向量分別代表收集和暴露操作，矩陣的列向量分別代表用戶的直接隱私數(shù)據(jù)項(xiàng)name、phone、creditCard、address。Agent服務(wù)發(fā)送了OrderReq消息到Seller服務(wù)中，并接收來自Seller服務(wù)的OrderOK消息；Seller服務(wù)向Agent服務(wù)發(fā)送了OrderOK消息并接收OrderReq消息，向Pay服務(wù)發(fā)送PayReq消息并接收PayOK消息，向Shipper服務(wù)發(fā)送ShipReq消息并接收ShipOK消息；Pay服務(wù)接收了來自Seller服務(wù)的PayReq消息，并向Seller服務(wù)發(fā)送了PayOK消息；Shipper服務(wù)接收來自Seller服務(wù)的ShipReq消息，并發(fā)送ShipOK消息到Seller服務(wù)。發(fā)送的數(shù)據(jù)為間接隱私數(shù)據(jù)，根據(jù)隱私數(shù)據(jù)項(xiàng)依賴圖中的關(guān)系，可以計(jì)算出相應(yīng)的信任度。

Table 2 Operations and policy matrixes ofAgent表2 Agent服務(wù)的操作和策略矩陣

Table 3 Operations and policy matrixes of Seller表3 Seller服務(wù)的操作和策略矩陣

Table 4 Operations and policy matrixes of Pay表4 Pay服務(wù)的操作和策略矩陣

Table 5 Operations and policy matrixes of Shipper表5 Shipper服務(wù)的操作和策略矩陣

表6～表9代表服務(wù)組合中各成員服務(wù)運(yùn)行過程中的操作和相應(yīng)的請求矩陣。矩陣中1代表成員服務(wù)需要收集（或暴露）隱私數(shù)據(jù)，0代表不收集（或暴露）數(shù)據(jù)。

Table 6 Operations and request matrixes ofAgent表6 Agent服務(wù)的操作和請求矩陣

Table 7 Operations and request matrixes of Seller表7 Seller服務(wù)的操作和請求矩陣

Table 8 Operations and request matrixes of Pay表8 Pay服務(wù)的操作和請求矩陣

Table 9 Operations and request matrixes of Shipper表9 Shipper服務(wù)的操作和請求矩陣

基于以上表格，對SA服務(wù)組合進(jìn)行隱私權(quán)限的驗(yàn)證。通過4.2節(jié)給出的隱私需求驗(yàn)證算法，可以得到Pay服務(wù)的授權(quán)矩陣，見表10。

從表10可知，服務(wù)Pay的操作PayReq通過間接隱私數(shù)據(jù)項(xiàng)PayID請求了隱私數(shù)據(jù)creditCard，然而Pay的信任度為0.7，小于creditCard所要求的信任度0.8，因此該服務(wù)不滿足隱私策略約束。

Table 10 Operations and delegation matrixes of Pay表10 Pay服務(wù)的操作和授權(quán)矩陣

6 總結(jié)與展望

本文針對服務(wù)組合中的隱私保護(hù)問題，使用隱私策略矩陣規(guī)約服務(wù)的隱私權(quán)限，并使用隱私數(shù)據(jù)項(xiàng)依賴圖規(guī)約間接隱私數(shù)據(jù)項(xiàng)與直接隱私數(shù)據(jù)項(xiàng)的依賴關(guān)系，提出了服務(wù)組合的信息流控制模型；同時(shí)采用隱私開放工作流網(wǎng)對服務(wù)組合的行為建模，給出了服務(wù)組合隱私需求驗(yàn)證算法，驗(yàn)證服務(wù)的信任度是否滿足用戶提出隱私數(shù)據(jù)的信任度需求。

下一步的研究工作包括：提出一種服務(wù)組合隱私協(xié)商機(jī)制，當(dāng)服務(wù)組合不滿足用戶隱私需求時(shí)，對用戶隱私需求和服務(wù)組合的隱私策略進(jìn)行協(xié)商。此外，本文主要是針對服務(wù)組合收集和暴露用戶隱私數(shù)據(jù)兩種行為進(jìn)行驗(yàn)證，今后需要對現(xiàn)有的模型進(jìn)行擴(kuò)充，使其支持隱私數(shù)據(jù)時(shí)間屬性的驗(yàn)證。

[1]Ameller D,Burgués X,Collell O,et al.Development of serviceoriented architectures using model-driven development:a mapping study[J].Information and Software Technology,2015,62(1):42-66.

[2]Papazoglou M P,Pohl K,Parkin M,et al.Service research challenges and solutions for the future internet[M].Berlin,Heidelberg:Springer,2010.

[3]Liu Linyuan.Research on privacy analysis and verification of Web service composition[D].Nanjing:Nanjing University ofAeronautics andAstronautics,2011.

[4]Meziane H,Benbernou S.A dynamic privacy model for Web services[J].Computer Standards&Interfaces,2010,32(5/6):288-304.

[5]Barth A,Rubinstein B I P,Sundararajan M,et al.A learningbased approach to reactive security[J].IEEE Transactions on Dependable and Secure Computing,2012,9(4):482-493.

[6]Shafiq B,Masood A,Joshi J,et al.A role-based access control policy verification framework for real-time systems[C]//Proceedings of the 10th International Workshop on Object-Oriented Real-Time Dependable Systems,Sedona,Feb 2-4,2005.Washington:IEEE Computer Society,2005:13-20.

[7]Sun Haiyang,Wang Xin,Yang Jian,et al.Authorization policy based business collaboration reliability verification[C]//LNCS 5364:Proceedings of the 6th International Conference on Service-Oriented Computing,Sydney,Dec 1-5,2008.Berlin,Heidelberg:Springer,2008:579-584.

[8]Lu Yahui,Zhang Li,Sun Jiaguang.Using colored Petri nets to model and analyze workflow with separation of duty constraints[J].The International Journal of Advanced Manufacturing Technology,2009,40(1/2):179-192.

[9]Bell D E,La Padula L J.Secure computer system:unified exposition and multics interpretation[R].Bedford:The MITRE Corporation,1976.

[10]R?hrig S,Knorr K.Security analysis of electronic business processes[J].Electronic Commerce Research,2004,4(1/2):59-81.

[11]She Wei,Yen I L,Thuraisingham B,et al.Security-aware service composition with fine-grained information flow control[J].IEEE Transactions on Services Computing,2013,6(3):330-343.

[12]Accorsi R,Wonnemann C,Dochow S.SWAT:a security workflow analysis toolkit for reliably secure process-aware information systems[C]//Proceedings of the 6th International Conference on Availability,Reliability and Security,Vienna,Aug 22-26,2011.Washington:IEEE Computer Society,2011:692-697.

[13]Accorsi R,Lehmann A,Lohmann N.Information leak detection in business process models:theory,application,and tool support[J].Information Systems,2015,47:244-257.

[14]Tschantz M C,Datta A,Datta A,et al.A methodology for information flow experiments[C]//Proceedings of the 28th Computer Security Foundations Symposium,Verona,Jul 13-17,2015.Washington:IEEE Computer Society,2015:554-568.

[15]Peng Huanfeng,Huang Zhiqiu,Fan Dajuan,et al.Specification and verification of user privacy requirements for service composition[J].Journal of Software,2016,27(8):1948-1963.

[16]Lu Jiajun,Huang Zhiqiu,Ke Changbo.Verification of behavior-aware privacy requirements in Web services composition[J].Journal of Software,2014,9(4):944-951.

[17]Lohmann N,Massuthe P,Stahl C,et al.Analyzing interacting WS-BPEL processes using flexible model generation[J].Data&Knowledge Engineering,2008,64(1):38-54.

附中文參考文獻(xiàn)：

[3]劉林源.Web服務(wù)組合隱私分析與驗(yàn)證研究[D].南京:南京航空航天大學(xué)，2011.

[15]彭煥峰,黃志球,范大娟,等.面向服務(wù)組合的用戶隱私需求規(guī)約與驗(yàn)證方法[J].軟件學(xué)報(bào),2016,27(8):1948-1963.