陶靈靈，黃志球，曹 彥，張夢嬌

1.南京航空航天大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，南京 210016

2.軟件新技術(shù)與產(chǎn)業(yè)化協(xié)同創(chuàng)新中心，南京 210016

1 引言

隨著信息技術(shù)的不斷發(fā)展，用戶、企業(yè)、研究人員、立法者對于隱私越來越關(guān)注，隱私泄露已經(jīng)成為制約信息進(jìn)一步發(fā)展的關(guān)鍵問題。用戶在使用互聯(lián)網(wǎng)上的各種便捷服務(wù)的過程中，需要向服務(wù)提供商提供一定的個(gè)人隱私信息。這些服務(wù)在滿足用戶的功能性需求的同時(shí)也需要滿足用戶的非功能性需求，如滿足用戶的隱私偏好。由于互聯(lián)網(wǎng)的開放性和動態(tài)性，用戶提供必要的個(gè)人隱私信息之后，不知道相關(guān)服務(wù)如何使用這些信息。眾所周知，網(wǎng)絡(luò)上很多不良服務(wù)會有意獲取用戶的隱私信息來謀取利益。很顯然，這些服務(wù)在用戶心中的信譽(yù)度較低。因此，用戶隱私信息應(yīng)當(dāng)盡量避免被信譽(yù)度較低的服務(wù)收集和使用[1]。

為了處理日益突出的隱私問題，工業(yè)界已經(jīng)有很多隱私保護(hù)的技術(shù)和標(biāo)準(zhǔn)。萬維網(wǎng)聯(lián)盟（World Wide Web Consortium，W3C）提出了隱私偏好平臺（platform for privacy preferences，P3P）[2]，提供了一套較完整的框架來定義隱私策略，提供了標(biāo)準(zhǔn)的、機(jī)器可讀的隱私策略定義語法，可以進(jìn)行自動分析以及清楚地體現(xiàn)服務(wù)提供方的隱私策略。企業(yè)隱私授權(quán)語言（enterprise privacy authorization language，EPAL）[3]是一種形式化語言，可以根據(jù)良好細(xì)粒度的授權(quán)權(quán)利編寫企業(yè)隱私策略，來控制計(jì)算機(jī)系統(tǒng)中數(shù)據(jù)處理實(shí)踐。還有一些方法是密封隱私信息，如TRUSTe[4]、BBBOnline[5]、ESRB 和 CPAWebTrust[6]等。上述方法有一個(gè)共同的問題，就是當(dāng)用戶釋放隱私數(shù)據(jù)后，這些技術(shù)與方法均無法讓用戶知道他們的隱私信息是如何被處理的。服務(wù)提供方根據(jù)他們的隱私策略獲取到用戶的隱私信息，但是無法保證服務(wù)提供方有意或者無意地違反他們的隱私策略，從而泄露用戶的隱私信息。

傳統(tǒng)的訪問控制模型，例如強(qiáng)制訪問控制（mandatory access control，MAC）[7]、自主訪問控制（discretionary access control，DAC）[8]、基于角色的訪問控制（role based access control，RBAC）[9]，這些模型都不是為執(zhí)行隱私策略設(shè)計(jì)的，幾乎不滿足隱私保護(hù)需求，尤其是目的綁定的（也就是隱私數(shù)據(jù)收集后只能用于特定目的，不能被用于其他目的）、有條件的、申明義務(wù)的隱私需求。目的、條件、義務(wù)來源于經(jīng)濟(jì)合作與發(fā)展組織（organization for economic co-operation and development，OECD）隱私保護(hù)指導(dǎo)方針[10]。這個(gè)指導(dǎo)方針是最著名的隱私信息保護(hù)原則集合，很多其他的指導(dǎo)方針、數(shù)據(jù)保護(hù)法律、公共隱私策略都是基于此。在OECD數(shù)據(jù)質(zhì)量原則、數(shù)據(jù)規(guī)約原則、使用限制原則中均涉及目的。目的還在隱私保護(hù)立法中被廣泛使用。美國健康保險(xiǎn)攜帶和責(zé)任法案（health insurance portability and accountability act，HIPPA）[11]中明確陳述了目的。這些傳統(tǒng)的訪問控制模型可以作為保護(hù)個(gè)人可識別信息[12]（personal identifiable information，PII）的出發(fā)點(diǎn)。因此，一個(gè)基于角色的隱私訪問控制模型[13]（privacy-aware role based access control，P-RBAC）被提出來。這個(gè)模型繼承于傳統(tǒng)的RBAC模型，可以表達(dá)復(fù)雜的隱私相關(guān)的策略，這些策略包含了目的、義務(wù)和條件。這個(gè)模型可以方便地應(yīng)用到已經(jīng)使用RBAC模型的系統(tǒng)中?；谀康碾[私保護(hù)訪問控制（purpose based access control，PBAC）模型[14]考慮的是目的的層次關(guān)系，一個(gè)隱私數(shù)據(jù)可以綁定多個(gè)使用目的，進(jìn)行更細(xì)粒度的隱私保護(hù)訪問控制。

本文的主要貢獻(xiàn)如下：

（1）提出了一種以目的綁定和期望信譽(yù)度標(biāo)注為中心的隱私信息訪問控制模型。該模型通過多隱私數(shù)據(jù)項(xiàng)組合的期望使用目的綁定和期望信譽(yù)度綁定，對數(shù)據(jù)使用者的使用目的進(jìn)行限制，并對信譽(yù)度提出要求，不需要指定數(shù)據(jù)的使用者，增加了策略靈活性。

（2）對XACML（extensible access control markup language）標(biāo)準(zhǔn)組件進(jìn)行擴(kuò)展，給出了隱私策略執(zhí)行系統(tǒng)的執(zhí)行流程、目的信譽(yù)度分析器分析算法，從而有效地按照用戶的隱私需求進(jìn)行訪問控制。

本文組織結(jié)構(gòu)如下：第2章介紹了基于目的的隱私訪問控制模型；第3章提出了基于期望目的信譽(yù)度的訪問控制模型，并給出了該模型的隱私訪問控制流程以及授權(quán)算法；第4章進(jìn)行了案例分析與實(shí)驗(yàn)；第5章介紹相關(guān)工作；最后是總結(jié)和展望。

2 基于目的的隱私訪問控制

本文首先介紹使用目的以及使用目的之間的層級關(guān)系，可以根據(jù)使用目的來進(jìn)行訪問控制決策?；谝话慊綄ｉT化的原則，把使用目的組織成一個(gè)層級結(jié)構(gòu)。

2.1 目的與目的層級關(guān)系

定義1（目的和目的樹）一個(gè)目的描述了數(shù)據(jù)使用者對數(shù)據(jù)的收集和訪問的理由；目的可以被組織成樹狀結(jié)構(gòu)，把這種結(jié)構(gòu)稱作目的樹。假設(shè)P是所有目的的集合，則樹中的每個(gè)節(jié)點(diǎn)代表P中的一個(gè)目的，樹中的每條邊代表一個(gè)層級關(guān)系，也就是表示兩個(gè)目的之間一般到專門的關(guān)系。讓pi和pj是目的樹中的兩個(gè)目的，如果pi到pj存在一條由上到下的邊，那么稱pj是pi的專門化，或者說pi是pj的一般化。

圖1給出了目的樹的一個(gè)例子。本文的后續(xù)章節(jié)會用到下面兩個(gè)符號。

Fig.1 Purpose tree圖1 目的樹

符號（Ancestors和Descendants）設(shè)PT為一個(gè)目的樹，P是PT中所有目的的集合。設(shè)pi是PT中的一個(gè)目的。Ancestors(pi)代表在PT中取pi所有祖先節(jié)點(diǎn)的集合，且包括pi本身；Descendants(pi)代表在PT中取pi所有子節(jié)點(diǎn)的集合，且包括pi本身。

2.2 期望使用目的與隱私數(shù)據(jù)期望使用目的標(biāo)注

在這個(gè)訪問控制模型中，期望使用目的既支持正向隱私策略，又支持反向隱私策略。一個(gè)期望使用目的集包含兩部分：期望允許目的集和期望禁止目的集。對于相同隱私數(shù)據(jù)，期望允許目的集和期望禁止目的集可能存在沖突的情況，可以根據(jù)禁止優(yōu)先原則來解決這種沖突。

下面給出期望目的集的形式化定義。

定義2（期望目的集）設(shè)PT為一個(gè)目的樹，P是PT中所有目的的集合。一個(gè)期望目的集IP，由一個(gè)二元組 ＜AIP,PIP＞組成。其中AIP?P，是所有期望允許目的的集合；PIP?P，是所有被禁止的目的集合。下面定義兩種期望使用目的蘊(yùn)含：

例1 假設(shè)IP=＜AIP={Admin,Direct}，PIP={D-Email}＞是按照圖1中的目的樹定義的，則：

AIP↓=Descendants(Admin)∪Descendants(Direct)={Admin,Profiling,Analysis}∪{Direct,D-Email,D-Phone,Special-Offers,Service-Updates}

PIP?=Descendants(D-Email)∪Ancestors(D-Email)={D-Email,Special-Offers,Service-Updates}∪{D-Email,Direct,Marketing,General-Purpose}

從上述例子可以容易地看出，AIP↓代表當(dāng)一個(gè)節(jié)點(diǎn)被允許，那么它的所有子節(jié)點(diǎn)也被允許。PIP?代表當(dāng)一個(gè)節(jié)點(diǎn)不被允許，那么它的所有子節(jié)點(diǎn)和父節(jié)點(diǎn)都不被允許。

2.3 請求使用目的決策

一個(gè)請求目的是在一次請求中對于某個(gè)隱私數(shù)據(jù)的訪問目的。下面給出請求目的的形式化定義。

定義3（請求目的）設(shè)PT為一個(gè)目的樹。一個(gè)請求目的，記為AP，是訪問隱私數(shù)據(jù)項(xiàng)的目的，它也是PT中的一個(gè)節(jié)點(diǎn)。

根據(jù)請求目的和期望目的集的關(guān)系，系統(tǒng)可以做出一個(gè)請求決策。也就是說，如果請求目的被期望允許目的集蘊(yùn)含，且不被期望禁止目的集蘊(yùn)含，這個(gè)請求才能被授權(quán)。在這種情況下，請求目的是和期望目的兼容的；當(dāng)其中任何一個(gè)條件不被滿足，請求就被拒絕。這種情況下，請求目的和期望目的不兼容。

定義4（請求目的兼容）設(shè)PT為一個(gè)目的樹。IP=＜AIP,PIP＞，作為在PT上定義的期望目的。AP為在PT上的請求目的。稱AP和IP在PT上兼容，記為AP?PTIP，當(dāng)且僅當(dāng)AP?PIP?，AP∈AIP↓同時(shí)成立。

例2設(shè)PT是圖1中的目的樹，IP和AP分別為在PT上定義的期望目的和請求目的。假如IP=＜{General-Purpose},{Third-Party}＞。如果AP=Marketing，則AP?PTIP，因?yàn)?Marketing∈PIP?。如果AP=Admin，則AP?PTIP，因?yàn)?Admin?PIP?，Admin∈AIP↓同時(shí)成立。

3 基于期望目的信譽(yù)度的訪問控制

3.1 期望信譽(yù)度與請求信譽(yù)度

定義5（服務(wù)信譽(yù)度）服務(wù)信譽(yù)度是服務(wù)在保護(hù)用戶隱私數(shù)據(jù)的能力、歷史表現(xiàn)等多方面的綜合評價(jià)指標(biāo)。將服務(wù)隱私保護(hù)信譽(yù)度量化到區(qū)間[0,9]，數(shù)值越大表示信譽(yù)度越高，9表示具有最高信譽(yù)度。

對服務(wù)信譽(yù)度評價(jià)的過程中，既應(yīng)該考慮服務(wù)自身的質(zhì)量，也應(yīng)該考慮用戶的使用評價(jià)。

假設(shè)有n個(gè)服務(wù)S={s1,s2,…,sn}，其中每個(gè)服務(wù)有m個(gè)QoS屬性Q={q1,q2,…,qm}，每個(gè)服務(wù)的屬性表示為qij（i表示第i個(gè)服務(wù)，j表示第j個(gè)屬性），n個(gè)服務(wù)的m個(gè)屬性可以表示為：

在QoS屬性中，有些屬性值越大，服務(wù)質(zhì)量越低（負(fù)屬性），如增大開銷、時(shí)間延遲等；有些屬性值越大，服務(wù)質(zhì)量越高（正屬性），如機(jī)密性、可靠性等。需要對這些值進(jìn)行規(guī)范化處理，引入一個(gè)向量T={t1,t2,…,tm}，其中ti(0＜i＜m)的值為1或-1，分別表示正屬性和負(fù)屬性。Q中的每一個(gè)元素可以使用式（1）進(jìn)行規(guī)范化：

式中，qmin和qmax分別表示Q中的某一列的最小值和最大值。

使用規(guī)范化后的屬性值計(jì)算服務(wù)的QoS綜合值，如式（2）：

計(jì)算服務(wù)的QoS綜合值并且獲取用戶對服務(wù)做出的評價(jià)后，計(jì)算服務(wù)信譽(yù)度，如式（3）：

式（3）中，SR(si)為服務(wù)si的信譽(yù)度值；QoS(si)是其QoS綜合值；Rj(si)為用戶j對服務(wù)si的評價(jià)值，值域?yàn)閇0,1]；ω為權(quán)值，值域?yàn)閇0,1]，若ω=0，表示不考慮服務(wù)客觀質(zhì)量，若ω=1，表示不考慮用戶評價(jià)。在實(shí)際系統(tǒng)中，管理員根據(jù)情況對ω合理取值。最后把計(jì)算的信譽(yù)度值量化到[0,9]。

如果隱私數(shù)據(jù)項(xiàng)對應(yīng)的隱私策略中允許的訪問目的包括或者蘊(yùn)含當(dāng)前請求的訪問目的，并且當(dāng)前請求服務(wù)的信譽(yù)度值比對應(yīng)期望信譽(yù)度值要高，那么這個(gè)請求才會被允許。將期望使用目的所要求的服務(wù)的最低信譽(yù)度值稱為期望信譽(yù)度值。將當(dāng)前訪問請求的服務(wù)對應(yīng)的信譽(yù)度值稱為請求信譽(yù)度值。下面給出期望信譽(yù)度值和請求信譽(yù)度值的形式化定義。

定義6（期望信譽(yù)度值）一個(gè)期望信譽(yù)度值記為IR，是一個(gè)變量，根據(jù)用戶的隱私偏好進(jìn)行取值，表示一個(gè)期望目的對于隱私數(shù)據(jù)請求方信譽(yù)度值的要求，取值范圍為[0,9]。IR=0，代表期望目的對于隱私數(shù)據(jù)請求方的信譽(yù)度值要求極低，表明此使用目的對于隱私數(shù)據(jù)的危害極?。籌R=9，代表期望目的對于隱私數(shù)據(jù)請求方的信譽(yù)度值要求極高，表明此使用目的對于隱私數(shù)據(jù)的危害極大。

定義7（請求信譽(yù)度值）一個(gè)請求信譽(yù)度值記為AR，是一個(gè)變量，根據(jù)當(dāng)前請求方的信譽(yù)度值進(jìn)行取值，取值范圍為[0,9]。

3.2 隱私信息集劃分和信息集層次關(guān)系

本節(jié)定義了隱私信息以及隱私信息集，同時(shí)提出了一個(gè)通用的層次隱私信息集模型，建模了現(xiàn)實(shí)系統(tǒng)中信息集之間的層次關(guān)系。

定義8（隱私信息集）設(shè)pi是單個(gè)隱私信息，隱私信息集表示由多個(gè)隱私信息組成的集合，記為PI，可以被表示成PI={p1,p2,…,pn}。

在服務(wù)過程中，服務(wù)提供者收集的用戶隱私信息都是一組隱私信息集。服務(wù)收集到單個(gè)隱私信息，一般不會對用戶造成隱私威脅。例如，當(dāng)服務(wù)收集到用戶年齡時(shí)，在不知道用戶姓名的情況下，該服務(wù)收集到的信息并不能識別出用戶的身份，不會對用戶造成不利。但是當(dāng)多個(gè)隱私信息組合成為隱私信息集后，服務(wù)對于隱私信息集的收集和使用會不同程度地對用戶造成不利結(jié)果。因此用戶在定義自己的隱私偏好時(shí)，可以規(guī)約單個(gè)隱私信息或者隱私信息集所期望目的集，以及每個(gè)期望目的所需要最低信譽(yù)度值要求。

在現(xiàn)實(shí)中，信息一般都被組織成一個(gè)層次結(jié)構(gòu)。例如，典型的文件系統(tǒng)，文件根據(jù)不同的文件類型，存儲在具有層次關(guān)系的文件夾中；XML數(shù)據(jù)元素被存儲在樹型結(jié)構(gòu)的XML文檔中。下面給出一個(gè)通用的信息層次模型。

定義9（層次隱私信息集模型）一個(gè)層次信息模型記為HIM，被表示成一個(gè)四元組＜THIM,IHIM,TIHIM,SIHIM＞，其中：

（1）THIM是類型的集合。

（2）IHIM是信息的集合。

（3）TIHIM:IHIM→THIM是為每一個(gè)信息集指派一個(gè)類型的函數(shù)。當(dāng)TIHIM(PI)=t，稱隱私信息集是t類型的一個(gè)實(shí)例，可以表示成PI→t。

（4）SIHIM:IHIM→IHIM是為一個(gè)信息集指派一個(gè)父信息集的函數(shù)。當(dāng)SIHIM(PI1)=PI2，稱PI2是PI1的父信息集，或者說PI1是PI2的子信息集，可以表示成PI1?PI2。

輔助函數(shù)Nodes(HIM)返回HIM中所有的類型和信息集，也就是Nodes(HIM)=THIM∪IHIM。例如，一個(gè)SOAP消息PI1是一組隱私信息集，它是一個(gè)基于XML schema的XML文檔。這個(gè)XML schema可以看成是一個(gè)類型t，也就是說PI1→t。當(dāng)然，一個(gè)SOAP消息可以嵌套一組隱私信息集PI2，也就是說PI2?PI1，即PI2是PI1的子隱私信息集。

3.3 期望使用目的信譽(yù)度標(biāo)注

本文的訪問控制模型是基于隱私數(shù)據(jù)集及其相關(guān)聯(lián)的期望使用目的集，并且期望使用目的集中的目的與期望信譽(yù)度相關(guān)聯(lián)。本節(jié)給出期望使用目的信譽(yù)度標(biāo)注的定義，并且給出標(biāo)注的原則。

定義10（期望目的信譽(yù)度標(biāo)注）設(shè)PT為一個(gè)目的樹，P是PT中所有目的的集合，IP是定義在P上的期望目的集，也就是說IP={＜AIP,PIP＞，AIP?P，PIP?P}。一個(gè)期望目的信譽(yù)度標(biāo)注是一個(gè)四元組＜AIP,AIR,PIP,PIR＞，其中AIR={IR1,IR2,…,IRn}，表示一個(gè)期望信譽(yù)度值集合，n等于AIP中元素個(gè)數(shù)，并且與AIP中元素一一對應(yīng)，代表AIP中每一個(gè)期望允許使用目的對應(yīng)的期望信譽(yù)度值；PIR={IR1,IR2,…,IRm}，表示一個(gè)期望禁止信譽(yù)度值集合，m等于PIP中元素個(gè)數(shù)，并且與PIP中元素一一對應(yīng)，代表PIP中每一個(gè)期望禁止使用目的對應(yīng)的期望信譽(yù)度值。

下面給出隱私信息集標(biāo)注原則：

（1）一組隱私信息集中的隱私信息越多，期望信譽(yù)度值越高。

（2）一組隱私信息集的使用目的越一般（也就是在目的樹中越靠近根），期望信譽(yù)度值越高。

在現(xiàn)實(shí)系統(tǒng)中，期望使用目的和期望信譽(yù)度值一定是用戶根據(jù)自己的隱私需求定義的。因此需要一種可以方便用戶定義這兩者的形式化隱私偏好語言。本文假設(shè)已經(jīng)可以自動提取隱私信息集、期望使用目的集以及對應(yīng)的期望目的信譽(yù)度集。

下面給出期望使用目的信譽(yù)度標(biāo)注步驟：

（1）提取業(yè)務(wù)系統(tǒng)中的隱私數(shù)據(jù)集。

（2）根據(jù)用戶的隱私偏好對隱私數(shù)據(jù)集標(biāo)注期望使用目的集。

（3）根據(jù)用戶的隱私偏好對相應(yīng)的期望使用目的標(biāo)注期望信譽(yù)度值。

用戶定義的各條隱私偏好相互之間可能會有沖突，沖突不是本文要解決的主要問題，如何解決這些沖突問題，具體可以參考文獻(xiàn)[15]。

3.4 請求控制流程

隱私訪問控制流程共包括8個(gè)功能組件：策略執(zhí)行點(diǎn)（policy enforcement point，PEP）、策略決策點(diǎn)（policy decision point，PDP）、目的信譽(yù)度分析器（purpose reputation analysis point，PRAPS）、策略管理點(diǎn)（policy administration point，PAP）、策略信息點(diǎn)（policy information point，PIP）、策略庫（policy repository）、環(huán)境處理器（context handler）和信息管理器（information manager，IM）。其中策略庫用于存儲訪問控制策略，本文就是存儲包含期望使用目的以及期望信譽(yù)度值的訪問控制策略。策略管理點(diǎn)對策略庫中的策略進(jìn)行管理，例如策略的搜索、新增、刪除、修改。策略決策點(diǎn)負(fù)責(zé)隱私授權(quán)決策的產(chǎn)生。策略執(zhí)行點(diǎn)負(fù)責(zé)授權(quán)決策的執(zhí)行。在決策過程中，策略信息點(diǎn)負(fù)責(zé)收集一些決策需要的相關(guān)信息，如請求者的信譽(yù)度值。環(huán)境處理器負(fù)責(zé)管理各個(gè)組件間的數(shù)據(jù)交換。信息管理器負(fù)責(zé)管理請求者的信譽(yù)度值，并提供信譽(yù)度值查詢功能。目的信譽(yù)度分析器提供使用目的和信譽(yù)度值的分析。圖2給出了隱私策略執(zhí)行系統(tǒng)的流程，其中實(shí)線部分是XACML的標(biāo)準(zhǔn)組件[16]，虛線部分表示本文擴(kuò)展的部分。

在隱私策略執(zhí)行系統(tǒng)中，各個(gè)組件相互協(xié)作交互，共同完成隱私授權(quán)決策。具體的運(yùn)行流程如下：

（1）策略管理點(diǎn)向策略庫中添加隱私信息訪問控制策略。

Fig.2 Privacy policy execution system圖2 隱私策略執(zhí)行系統(tǒng)流程

（2）隱私信息請求者向策略執(zhí)行點(diǎn)發(fā)起訪問請求，策略執(zhí)行點(diǎn)獲得該請求，然后將請求轉(zhuǎn)發(fā)給環(huán)境處理器。環(huán)境處理器將請求轉(zhuǎn)換為標(biāo)準(zhǔn)格式，并將轉(zhuǎn)化后的結(jié)果發(fā)送給策略決策點(diǎn)，讓其進(jìn)行評判。

（3）策略決策點(diǎn)獲取請求后，一方面根據(jù)請求中的隱私集在策略庫中查找相應(yīng)的策略，另一方面向環(huán)境處理器查詢當(dāng)前請求者的信譽(yù)度值。

（4）環(huán)境處理器向策略信息點(diǎn)查詢相應(yīng)信譽(yù)度值。策略信息點(diǎn)會向信息管理點(diǎn)中的信譽(yù)度管理器進(jìn)行查詢，并根據(jù)信譽(yù)度管理器返回的信譽(yù)度值返回給環(huán)境處理器。環(huán)境處理器再把結(jié)果返回給策略決策點(diǎn)。

（5）策略決策點(diǎn)把請求目的、策略中的期望允許使用目的集與期望禁止使用目的集以及對應(yīng)的期望信譽(yù)度值集合，交給目的信譽(yù)度分析器。分析器分析請求目的和信譽(yù)度是否符合期望，將分析結(jié)果發(fā)送給策略決策點(diǎn)。

（6）策略決策點(diǎn)根據(jù)目的信譽(yù)度分析器的結(jié)果進(jìn)行授權(quán)決策，并將決策結(jié)果發(fā)送給環(huán)境處理器，環(huán)境處理器獲得決策結(jié)果后，將其轉(zhuǎn)換成策略執(zhí)行點(diǎn)的標(biāo)準(zhǔn)格式，發(fā)送給策略執(zhí)行點(diǎn)。

（7）由策略執(zhí)行點(diǎn)判斷授權(quán)結(jié)果是否有錯(cuò)誤，若沒有錯(cuò)誤，則進(jìn)行授權(quán)決策，并將結(jié)果返回。

下面給出目的信譽(yù)度分析器的分析算法的詳細(xì)步驟。

（1）設(shè)S是隱私數(shù)據(jù)集pi的請求者，請求目的為ap，獲取S的信譽(yù)度值ar。

（2）獲取隱私數(shù)據(jù)集pi策略中的期望目的集及其對應(yīng)的期望信譽(yù)度集＜AIP,AIR,PIP,PIR＞。

（3）若ap∈AIP且ar≥AIR，則授權(quán)訪問；若ap∈PIP且ar≤pir，則拒絕訪問。其他情況，拒絕訪問。

算法偽代碼如下所示：

1.Input:S,ap,pi

//S是請求者，ap為請求目的，pi為隱私數(shù)據(jù)集

2.Output:true,false

//true代表授權(quán)訪問，false代表拒絕訪問

3.ar:=getReputaion(S);//獲取服務(wù)S的信譽(yù)度

4.＜AIP,AIR,PIP,PIR＞:=getIntentPR(pi);

//獲取隱私信息集pi相關(guān)策略的期望目的信譽(yù)度集

5.if(ap∈AIP&&ar≥AIR){return true;}

//進(jìn)行授權(quán)判斷

6.else if(ap∈PIP&&ar≤PIR){return false;}

7.else{return false;}

4 案例分析與實(shí)驗(yàn)

通過在線商城服務(wù)（Online_Shop）對本文提出的方法進(jìn)行案例分析。Online_Shop采用Eclipse BPEL Designer工具開發(fā)，利用Apache服務(wù)組合引擎作為容器執(zhí)行。由擴(kuò)充了目的信譽(yù)度分析器的XACML2.0隱私策略執(zhí)行系統(tǒng)進(jìn)行策略決策，并對分析算法進(jìn)行實(shí)驗(yàn)分析。

4.1 案例分析

Online_Shop根據(jù)用戶的購物需求，提供下單、支付、配送一站式服務(wù)，組合了在線下單服務(wù)（Order Service）、網(wǎng)上支付服務(wù)（Pay Service）、物流配送服務(wù)（Ship Service）。本文使用Java語言實(shí)現(xiàn)了在線商城BPEL（business process execution language）程序，模擬了在線商城服務(wù)，用戶與服務(wù)的交互情景如圖3所示。

Fig.3 Service interaction scenario圖3 服務(wù)交互情景

用戶首先向Online_Shop發(fā)送自己的購物請求，Online_Shop根據(jù)用戶的功能需求和非功能需求選擇合適的服務(wù)進(jìn)行Web服務(wù)組合。Online_Shop根據(jù)購物請求向Order Service發(fā)出下單請求，如果Order Service響應(yīng)下單成功，繼續(xù)向Pay Service發(fā)出支付請求，如果Pay Service響應(yīng)支付成功，繼續(xù)向Shop Service發(fā)出物流請求，最終完成一站式的購物服務(wù)。

Table 1 User privacy requirement表1 用戶隱私需求表

假設(shè)某用戶Alice需要在Online_Shop上購買一件商品，他的隱私需求如表1所示。各個(gè)服務(wù)的請求目的與隱私數(shù)據(jù)集如表2所示。

Table 2 Request information表2 請求信息表

Order Service、Pay Service、Ship Service請求的隱私信息集為Online_Shop請求的隱私信息集的子集，都可以直接使用用戶為{name,phone_number,address,credit_number}定義的隱私需求。假設(shè)策略信息點(diǎn)采集到Online_Shop服務(wù)的信譽(yù)度為8，當(dāng)Online_Shop服務(wù)以purchase目的請求信息集時(shí)，目的信譽(yù)度分析器分析到purchase目的在用戶的期望允許目的集中，并且不在期望禁止目的集中，當(dāng)前服務(wù)的信譽(yù)度值大于等于用戶要求的值，策略決策點(diǎn)將允許本次請求，并且將決策回復(fù)給環(huán)境處理者，環(huán)境處理者再把結(jié)果返回給策略執(zhí)行點(diǎn)。最后，由策略執(zhí)行點(diǎn)判斷授權(quán)結(jié)果是否有錯(cuò)誤，若沒有錯(cuò)誤，則進(jìn)行授權(quán)決策，并將結(jié)果返回給Online_Shop。當(dāng)Online_Shop以marketing目的對隱私信息集{phone_number}進(jìn)行請求時(shí)，目的信譽(yù)度分析器分析到marketing在用戶的期望禁止目的集中，并且當(dāng)前服務(wù)的信譽(yù)度值小于用戶要求的信譽(yù)度值，因此該請求被禁止。Order Service等服務(wù)請求決策過程類似，本文不再重復(fù)闡述。

從本案例中可以發(fā)現(xiàn)，使用隱私使用目的信譽(yù)度訪問控制方法對用戶隱私信息進(jìn)行控制，解決了傳統(tǒng)訪問控制模型由于缺少隱私相關(guān)屬性無法細(xì)粒度進(jìn)行隱私訪問控制的問題，并且不再需要用戶重復(fù)為不同的服務(wù)定義隱私需求，改善了策略靈活性。

4.2 實(shí)驗(yàn)

通過仿真實(shí)驗(yàn)，對目的信譽(yù)度分析器的性能進(jìn)行評估，并與相關(guān)技術(shù)進(jìn)行對比分析。實(shí)驗(yàn)環(huán)境為：Intel Core i5四核2.7 GHz，8 GB內(nèi)存，64位Windows 7操作系統(tǒng)，選用Eclipse 4.5.0為集成開發(fā)工具，JDK版本為1.8。

在相同實(shí)驗(yàn)環(huán)境下，通過用戶隱私需求中策略數(shù)n對算法執(zhí)行時(shí)間與內(nèi)存占用情況進(jìn)行統(tǒng)計(jì)，并與文獻(xiàn)[17]中的分析算法進(jìn)行比較。

信譽(yù)度分析器分析算法的時(shí)間復(fù)雜度為O(n2)，計(jì)算量主要體現(xiàn)在獲取隱私信息集相關(guān)策略上，策略越多，計(jì)算所需要的時(shí)間越長，占用的內(nèi)存也越大。由圖4可見，在相同策略數(shù)且策略數(shù)較少的情況下，本文算法所需要的時(shí)間相比稍長，隨著策略數(shù)的增多，計(jì)算時(shí)間差距越小。當(dāng)策略數(shù)達(dá)到100條時(shí)，計(jì)算時(shí)間僅差3 ms。經(jīng)過分析，時(shí)間差主要體現(xiàn)在信譽(yù)度查詢上，考慮信譽(yù)度的策略定義更為靈活，因此本文算法的計(jì)算時(shí)間是可以接受的。由圖5可見，本文算法相比對比算法更節(jié)省內(nèi)存，當(dāng)策略數(shù)達(dá)到100條時(shí)，內(nèi)存差為1.3 MB。

Fig.4 Comparison of algorithm time圖4 算法時(shí)間對比

Fig.5 Comparison of memory footprint圖5 內(nèi)存占用對比

5 相關(guān)工作

相關(guān)工作主要分為兩類：一類是擴(kuò)展了基于角色的訪問控制模型，增加了使用目的、義務(wù)、保留時(shí)長等隱私相關(guān)的屬性，將數(shù)據(jù)操作的權(quán)限擴(kuò)充為對隱私數(shù)據(jù)操作的權(quán)限；另一類是針對不同的數(shù)據(jù)模式，保護(hù)數(shù)據(jù)的查詢隱私，并保證數(shù)據(jù)查詢的效率。

第一類的工作主要有：文獻(xiàn)[18]提出了基于角色的訪問控制（RBAC），該模型把權(quán)限授權(quán)給角色，再把角色授權(quán)給個(gè)體，這樣個(gè)體就擁有了角色的相關(guān)權(quán)限，該工作是訪問控制隱私保護(hù)研究的基礎(chǔ)。文獻(xiàn)[19]提出了隱私敏感的基于角色的訪問控制模型（P-RBAC），該模型繼承于RBAC模型，可以表達(dá)高復(fù)雜性的隱私相關(guān)的策略，并且考慮了目的和義務(wù)，解決了隱私策略和訪問控制策略不在一個(gè)模型中執(zhí)行的問題，并且處理了策略之間的沖突問題。文獻(xiàn)[20]根據(jù)數(shù)據(jù)最大可用、最小隱私暴露原則設(shè)計(jì)了針對Web服務(wù)的隱私保護(hù)訪問控制模型，滿足了數(shù)據(jù)使用者的隱私策略和數(shù)據(jù)提供者的隱私偏好。文獻(xiàn)[21]提出了在分布式計(jì)算環(huán)境中基于目的的訪問控制模型，形式化定義了適用于分布式環(huán)境的隱私策略，并且給出了策略沖突檢測算法。以上方法通過增加隱私相關(guān)的屬性，用戶可以定義自己的隱私偏好，但是這些方法都要求用戶明確數(shù)據(jù)的使用者。在Web服務(wù)組合環(huán)境下，組合過程對于用戶是透明的，用戶無法明確定義數(shù)據(jù)的使用者。因此本文通過用戶定義期望信譽(yù)度來有效解決這一問題。

第二類的工作主要有：文獻(xiàn)[22]通過對data purpose的概念分層，用二元組數(shù)據(jù)結(jié)構(gòu)描述data purpose的層次數(shù)據(jù)模式，減少了隱私策略冗余，進(jìn)而提出分離隱私與非隱私屬性的查詢重寫算法，實(shí)現(xiàn)了查詢返回結(jié)果的最大化。文獻(xiàn)[23]構(gòu)建了針對XML數(shù)據(jù)模式的隱私訪問控制模型，解決了由路徑傳遞引起的查詢隱私數(shù)據(jù)泄漏問題。文獻(xiàn)[17]提出了針對層級數(shù)據(jù)模型的基于目的訪問控制模型，目的信息與數(shù)據(jù)元素相關(guān)聯(lián)，并且討論了數(shù)據(jù)標(biāo)注的粒度。以上方法針對單一數(shù)據(jù)模式提出了基于purpose的訪問控制模型，在Web服務(wù)環(huán)境下隱私數(shù)據(jù)往往是多種數(shù)據(jù)混合模式，本文通過隱私信息集的定義解決了此類問題。

6 總結(jié)和展望

本文首先針對傳統(tǒng)訪問控制模型策略必須指定數(shù)據(jù)使用者，不夠靈活的問題，提出了一個(gè)基于期望使用目的和期望信譽(yù)度的訪問控制模型，給出了模型中期望信譽(yù)度值、請求信譽(yù)度值、期望目的信譽(yù)度標(biāo)注的形式化定義；同時(shí)給出了隱私信息集的定義，并對其層次關(guān)系建立了層次隱私信息集模型。其次給出了期望使用目的信譽(yù)度標(biāo)注的原則；最后給出了請求控制的流程，以及信譽(yù)度分析器的分析算法，并給出了案例分析與實(shí)驗(yàn)。

本文的下一步工作是提出一種可以方便用戶定義期望使用目的與信譽(yù)度的形式化隱私偏好語言，從用戶的隱私偏好中自動提取隱私信息集、期望使用目的集以及對應(yīng)的期望目的信譽(yù)度集。

[1]Peng Huanfeng,Huang Zhiqiu,Fan Dajuan.A service-composition oriented privacy protection method[J].Journal of Chinese Computer Systems,2015,36(8):1671-1676.

[2]Reagle J,Cranor L F.The platform for privacy preferences[J].Encyclopedia of Cryptography&Security,2000,24(2):940-941.

[3]Karjoth G.Enterprise privacy authorization language[J].European Psychiatry,2003,29(4):121-124.

[4]Benassi P.TRUSTe:an online privacy seal program[J].Com-munications of theACM,1999,42(2):56-59.

[5]Bennefield R M.BBB online[J].U S News&World Report,1997,12(1):36-39.

[6]Kovar S E,Burke K G,Kovar B R.Consumer responses to the CPA WEBTRUST?assurance[J].Journal of Information Systems,2000,14(1):17-35.

[7]Blanc M,Guerin K,Lalande J F,et al.Mandatory access control implantation against potential NFS vulnerabilities[C]//Proceedings of the International Symposium on Collaborative Technologies and Systems,Baltimore,May 18-22,2009.Washington:IEEE Computer Society,2009:195-200.

[8]Li Ninghui,Tripunitara M V.Discretionary access control[C]//Proceedings of the IEEE Symposium on Security and Privacy,Oakland,May 8-11,2005.Washington:IEEE Computer Society,2005:96-109.

[9]Sandhu R S,Ferraiolo D F,Kuhn D R.The NIST model for role-based access control:towards a unified standard[C]//Proceedings of the 1st ACM Workshop on Role-Based Access Control,Berlin,Jul 26-27,2000.New York:ACM,2000:47-63.

[10]Bayraktar A.OECD(organisation for economic cooperation and development)and environment[J].Endocrinology,2010,138(10):200-207.

[11]Fleisher L D,Cole L J.Health insurance portability and accountability act is here:what price privacy[J].Genetics in Medicine,2001,3(4):286-289.

[12]Alfedaghi S S,Albehairy S A.Personal identifiable information and laws:the case of financial services[J].Journal of Computer Research and Development,2011,3(5):126-138.

[13]Ni Qun,Trombetta A,Bertino E,et al.Privacy-aware role based access control[C]//Proceedings of the 12th ACM Symposium on Access Control Models and Technologies,Sophia Antipolis,Jun 20-22,2007.New York:ACM,2007:41-50.

[14]Yang Naikuo,Barringer H,Zhang Ning.A purpose-based access control model[C]//Proceedings of the 3rd International Symposium on Information Assurance and Security,Manchester,Aug 29-31,2007.Washington:IEEE Computer Society,2007:143-148.

[15]Ke Changbo,Huang Zhiqiu.Privacy requirement description and checking method in cloud computing[J].Journal of Computer Research and Development,2015,52(4):879-888.

[16]Kolter J,Schillinger R,Pernul G.Aprivacy-enhanced attributebased access control system[C]//LNCS 4602:Proceedings of the 21st Annual IFIP WG 11.3 Working Conference on Data and Applications Security,Redondo Beach,Jul 8-11,2007.Berlin,Heidelberg:Springer,2007:129-143.

[17]Byun J W,Bertino E,Li Ninghui.Purpose based access control of complex data for privacy protection[C]//Proceedings of the 10th ACM Symposium on Access Control Models and Technologies,Stockholm,Jun 1-3,2005.New York:ACM,2005:102-110.

[18]Sandhu R S.Role hierarchies and constraints for latticebased access controls[C]//LNCS 1146:Proceedings of the 4th European Symposium on Research in Computer Security,Rome,Sep 25-27,1996.Berlin,Heidelberg:Springer,1996:65-79.

[19]Ni Qun,Lin Dan,Bertino E,et al.Conditional privacy-aware role based access control[C]//LNCS 4734:Proceedings of the 12th European Symposium on Research in Computer Security,Dresden,Sep 24-26,2007.Berlin,Heidelberg:Springer,2007:72-89.

[20]Li Min,Sun Xiaoxun,Wang Hua,et al.Privacy-aware access control with trust management in Web service[J].World Wide Web,2011,14(4):407-430.

[21]Wang Hua,Sun Lili,Bertino E.Building access control policy model for privacy preserving and testing policy conflicting problems[J].Journal of Computer&System Sciences,2014,80(8):1493-1503.

[22]Liu Yimin,Wang Zhihui,Zhou Haofeng et al.Privacy-aware data purpose based access control for relational database[J].Journal of Frontiers of Computer Science and Technology,2010,4(3):222-230.

[23]Liu Yimin,Wang Zhihui,Wang Wei.Research and implementation of purpose-based privacy access control policy in XML data mode[J].Computer Applications and Software,2013,30(2):148-151.

附中文參考文獻(xiàn)：

[1]彭煥峰,黃志球,范大娟.一種面向服務(wù)組合的隱私保護(hù)方法[J].小型微型計(jì)算機(jī)系統(tǒng),2015,36(8):1671-1676.

[15]柯昌博,黃志球.云計(jì)算環(huán)境下隱私需求的描述與檢測方法[J].計(jì)算機(jī)研究與發(fā)展,2015,52(4):879-888.

[22]劉逸敏,王智慧,周皓峰,等.基于Purpose的隱私數(shù)據(jù)訪問控制模型[J].計(jì)算機(jī)科學(xué)與探索,2010,4(3):222-230.

[23]劉逸敏,王智慧,汪衛(wèi).XML數(shù)據(jù)模式下基于purpose的隱私訪問控制策略研究與實(shí)現(xiàn)[J].計(jì)算機(jī)應(yīng)用與軟件,2013,30(2):148-151.