云環境數據發布服務中隱私保護相關技術研究

王有剛 徐勇 王澤成 周善英

云環境數據發布服務中隱私保護相關技術研究

〔摘 要〕云計算環境下數據庫服務應用系統中的隱私保護問題是影響組織是否選擇相關服務的重要因素之一，本文界定了云計算數據庫服務應用系統架構；分析了基于密碼學理論實現訪問控制方法的不足，探討了云計算環境下支持多管理域合成的訪問控制模型；研究了云計算環境數據動態變化場景下的用戶隱私保護問題；介紹了經典數據發布模型，對比了發布數據效用度量方法。最后指出云計算環境數據發布服務中隱私保護的熱點研究方向。

〔關鍵詞〕云計算；數據發布；隱私保護；k-匿名

DOI：10.3969/j.issn.1008-0821.2012.12.001

〔中圖分類號〕TP391 〔文獻標識碼〕A 〔文章編號〕1008-0821（2012）12-0003-05

云計算在現有技術、方法的基礎上，整合諸多資源，為用戶提供無限制的、可伸縮的、易獲得的IT資源服務，是目前信息領域的熱門課題之一。云環境下的數據發布服務（Data Releasing）是云平臺服務[1-2]的重要內容之一，逐漸受到國內外學者越來越多的關注。相對于傳統服務模式將信息保存在數據所有者可控的計算機系統范圍內，云環境下數據所有者把作為其重要資產的數據發布到“云”中時，用戶數據管理方式由傳統的自己擁有和完全掌控格局轉變為租用由第三方提供物理的和虛擬的基礎設施資源的方式，這就意味著敏感數據將存儲在不受數據所有者控制的外部系統中，顯然這將會帶來一系列的安全問題，云計算數據發布服務中如何在保持數據具有足夠效用的同時，保護數據主體身份信息的隱私性正日益成為其中的一個重要內容[1，3-5]。

由于云計算與效用計算、分布式或網格計算等模式在用戶接口、體系結構和系統自治性等方面存在顯著的區別，通過密碼學、集中系統訪問控制等常規技術保護敏感數據的隱私，如：用戶訪問模式，逐漸顯得力不從心了[6]。正如EMC信息安全部RSA和歐洲信息安全署ENISA等指出，數據的私密性和安全性以及服務的穩定性已成為用戶考慮是否使用云服務和如何選擇云提供商的關鍵衡量指標[7-9]。

1998年PSamarati[10]用實驗數據證明了攻擊者將發布數據中的某些非標識信息與從其它渠道獲得的數據進行鏈接，可能會造成個體隱私信息的泄露。2000年Agrawal等指出數據庫隱私保護的10條規則（Ten Principles）[11]。2002年Sweeny等提出適用于數據發布過程隱私信息泄露的k-匿名模型[12-13]。在此之后，國內外很多學者從多個不同的角度和層面對微觀數據匿名隱私保護方法展開了研究，取得了許多重要的研究成果[14]。

1 云計算環境下數據庫服務中的訪問控制

云計算是一種利用互聯網實現隨時隨地、按需、便捷地訪問共享資源池（如計算設施、存儲設備、應用程序等）的計算模式。計算機資源服務化是云計算重要的表現形式，它為用戶屏蔽了數據中心管理、大規模數據處理、應用程序部署等問題。通過云計算，用戶可以根據其業務負載快速申請或釋放資源，并以按需支付的方式對所使用的資源付費，在提高服務質量的同時降低運維成本[15]。數據庫服務作為一種新的基于云計算平臺的網絡數據管理模式能夠滿足組織需求、提供像本地數據庫一樣的數據管理服務。然而，由于越來越多的數據涉及敏感信息，如醫療記錄、交易信息、證券信息、財務信息等，組織對于數據庫隱私信息泄露問題越來越重視[16]。一個典型的云計算數據庫服務應用系統通常由4部分組成：（1）數據所有者（data owner），指產生數據并將數據交給云服務提供商管理的個人或組織；（2）數據用戶（user），指提交數據查詢等請求的實體，可以是個人、應用程序等；（3）客戶端（client），指完成用戶提交的查詢與適合于在云計算平臺上執行的查詢之間等價轉換的應用程序或函數；（4）云計算服務運營商（server），指提供數據庫服務的組織及其云計算平臺。在云計算平臺下，提出數據發布服務請求的主體將其數據發布至云計算平臺，相關數據的存儲、處理和保護等操作，都在“云”中完成，這樣不可避免地會產生數據安全、用戶隱私泄露等問題。

2012年12月第32卷第12期現？代？情？報Journal of Modern InformationDec，2012Vol32 No122012年12月第32卷第12期云環境數據發布服務中隱私保護相關技術研究Dec，2012Vol32 No12不同于傳統的本地數據管理模式，云計算環境數據發布服務模式中，數據的訪問控制、用戶隱私、機密性、完整性等概念被賦予了新的含義；并且也產生了一些新的安全問題，如在云計算環境中，數據發布服務可以有隸屬不同安全管理域的服務提供商提供，每個安全域都管理著本地的資源和應用，當用戶提交服務請求時需在域邊界設置認證服務對訪問共享資源的用戶進行統一的身份認證管理；各域也都有自己的訪問控制策略，在進行資源共享和保護時必須對共享資源制定一個公共的、雙方都認同的訪問控制策略，因此，云計算環境需要支持訪問控制策略的合成。關于訪問控制策略合成問題最早由Mclean在強制訪問控制框架下提出，他將兩個安全格合成一個新的格結構構建了一個基于強制訪問控制策略的合成框架[17]。但是Mclean沒有進一步驗證合成之后訪問控制策略的安全性問題、以及新合成的訪問控制策略與各個域原來的訪問控制策略的兼容性問題。為此，Bonatti提出了一個訪問控制策略合成代數，用形式化的方法描述、分析了合成策略的安全性[18]。對于多安全域實體間的授權關系，林莉通過屬性值的計算結構擴展了現有的策略合成代數，提出了新的基于屬性的策略合成代數模型。但是該模型存在兩點不足：首先，沒有區分隱私屬性和一般屬性的差異性訪問控制問題。其次，沒有考慮云計算環境下不同自治域異構系統上的訪問控制策略協商[19]。云計算環境下，研究者關注較多的是基于密碼學理論實現訪問控制的方法[20]。基于密碼類方案面臨的一個重要問題是權限撤銷，一種有效的解決方案是為密鑰設置失效時間，每隔一定時間用戶從認證中心更新私鑰，并引入一個在線的半可信第三方維護授權列表[21]。基于密碼的數據庫服務訪問控制策略還存在可擴展性問題，對此Yu等綜合基于屬性的加密方法（Attribute-based Encryption，ABE）、代理重加密和懶惰重加密方法提出一種細粒度外包數據訪問控制策略[22]。Vimercati等提出了一個訪問控制實施及其進化（evolution）管理的解決方法，以選擇性加密作為實現授權管理的基礎，研究了適應授權策略動態變化場合的應用方案[23]。加密是一種常用的保護敏感數據的方法，但是不支持有效的數據操作，因此黃汝維等設計了一個基于矩陣和向量運算的可計算加密方案CESVMC，將云數據分為字符串和數值數據兩大類，通過運用向量和矩陣的各種運算，實現對數據的加密，支持對加密字符串的模糊檢索和對加密數值數據的加、減、乘、除4種算術運算并保證數據存儲和運算過程的隱私安全性。CESVMCF方案中乘除法運算的性能仍需改進，并且該方案不支持多次乘/除法運算。這顯然限制了該加密方案在實際云平臺數據庫服務中的應用[24]。

近年來，云計算環境數據動態變化場景下的用戶隱私保護問題[16]逐漸引起人們的關注，張逢？等利用虛擬機監控器保證參與計算的云中數據的隱私安全，在用戶指定的時間點，內存中的數據以及用戶密鑰將被強制銷毀[25]。但是張逢？提出的隱私保護模型Dissolver存在一個假設前提：虛擬機監控器是可信的，而事實上虛擬機監控器仍然存在被攻擊的可能；其次云平臺中參與計算的數據必須以明文形式才能參與計算，其中的加解密過程的效率是一個重要的問題。云計算環境下現有的隱私保護方案大多面向用戶可用數據的保護而忽視了個人身份信息的保護。毛劍等針對用戶身份信息保護提出基于可信服務器的云存儲架構，實現數據存儲和用戶個人信息管理隔離[26]。云服務器利用可信服務器提供的存儲認證碼判斷用戶的存儲權限，用戶的身份信息存儲于可信服務器。但是可信服務器對用戶隱私信息的威脅問題沒有考慮；經過二次混淆的數據分割方案將會使得數據的可用度大為降低。

綜上所述，由于在云計算平臺下服務商未必會忠實實施安全訪問控制策略，所以傳統單服務器上的訪問控制策略研究成果都無法直接應用于云計算平臺；其次，已有關于云計算環境下數據訪問控制策略研究工作的側重點是對數據機密性的保護，較少考慮用戶個人身份隱私的保護問題。所以需要進一步研究在云計算環境下實施外包數據對象的訪問控制，實現對數據機密性和用戶隱私信息的保護目的等。

2 發布數據匿名模型

在發布數據隱私保護研究領域，國內外學者提出了許多有效的隱私保護匿名模型，典型的發布數據匿名模型有如下幾種。

21 k-匿名模型

Sweeny等首先設計了k-匿名模型，該模型將數據記錄劃分為若干個等價類，每個等價類至少包含k條記錄、并且這k條記錄在準碼屬性上的取值相同，以防范隱私攻擊[12-13]。文獻[14]證明，獲得最佳的匿名數據表是一個NP-完全問題。

K-匿名模型的形式化定義如下：假設RT（A1，…An）是一個數據表，QIRT是該表的準標識符屬性。稱RT滿足k-匿名當且僅當RT[QIRT]上的每一個值序列在RT[QIRT]上至少出現k次。即在滿足k-匿名的發布數據表RT中，任何一條記錄在準標識符屬性上都至少與其它k-1條記錄是不可區分的。

如表1即為一個滿足2-匿名要求的匿名表。在表1中，k=2，QI={Race，Birth，Gender，ZIP}。

對于滿足k-匿名的數據表，有學者研究發現其仍然可能遭遇同質攻擊（homogeneity attack）和背景攻擊（background knowledge attack）而泄露用戶隱私信息。例如當等價類中記錄在敏感屬性上的取值相同，攻擊者仍然可以獲知個體的敏感屬性取值，從而造成隱私泄露。表1 2-匿名表

22 改進的匿名模型

在基本k-匿名模型的基礎上，文獻[27]提出了l-diversity模型，該模型仍然首先將數據表劃分為若干個等價類，但是對于每個等價類中記錄的要求是該等價類中至少含有1條滿足特定要求的記錄，這里指定的特定要求可以根據問題領域由用戶指定。例如：文獻[27]作者指定特定要求是“每個等價組內敏感屬性至少出現1個不同的屬性值”等。L-diversity模型的實質是要求每個等價類中記錄在敏感屬性上的取值滿足“l-diversity”特性，抵御惡意攻擊，但在有些情況下仍然不足以保證發布數據中的隱私信息。例如：等價組中的大多數記錄的敏感屬性都取相同的值，則惡意攻擊者仍然可以較高的概率推斷隱私信息具體取值。另外，若敏感屬性取值的分布情況也是隱私信息，則滿足l-diversity模型要求的數據表仍然容易遭受隱私泄露。文獻[28]提出的t-逼近模型針對通過全局隱私信息推測單個統計個體隱私信息的保護問題而提出的，若發布表每個等價類中敏感屬性值的分布與該敏感屬性值在整個發布表中的分布差異不超過t時，稱該發布表滿足t-closeness匿名要求。

針對動態情況下的數據隱私信息保護問題，m-invariance策略[29]利用桶裝算法保證數據表存在記錄插入和刪除兩種操作情況下的隱私保護問題。m-invariance策略將等價組中相異敏感屬性值的集合稱為“簽名”，當數據表等價類至少包含m條記錄、并且它們的敏感屬性取值各不相同，對于每條記錄t，在其生存期的每個發布版本中，包含t的等價組都具有相同的簽名。作者證明了若發布表序列中每個版本與前一版本之間滿足m-invariance，則所有版本兩兩間滿足m-invariance；且發布序列滿足該條件時，不會產生信息泄露。

m-invariance桶裝算法由于在匿名時只需要考察相鄰兩個表之間的推理通道，因而效率相對較高。但是該算法要求發布序列表的等價組中，具有相同簽名的元組不能超過一條，所以m-invariance會帶來數據質量較低的問題；另外，算法有可能添加偽造數據，從而對數據的真實性產生影響。該方法能處理數據具有動態插入和刪除的情況，假設各個插入、刪除數據相互之間是完全獨立的，但實際應用場合動態更新的數據相互之間并不一定是完全獨立的。對此問題，國內外學者又陸續提出了一些改進的匿名模型，如（alpha，k）-匿名模型[30]等。但是縱觀各種改進的匿名模型可以發現沒有任何一種匿名模型適用于所有數據發布問題領域。因此針對不同的問題領域，我們應該研究不同的匿名模型解決特定的數據發布任務。

3 匿名發布表的效用

對數據進行隱私保護處理必然會造成原始數據表的信息損失，如何評價隱私保護方法及相關算法、如何度量發布數據表的數據質量，建立恰當的評價標準是一個非常重要的問題。

目前有很多匿名方法中都研究了數據表匿名發布之后的效用度量問題。這些度量方法大致可以分為二類，第一類是將屬性分為數值屬性和類別屬性從屬性取值域變化角度分別度量其泛化程度，本文將其稱為域度量方法；第二類未對屬性進行區分，從屬性取值在泛化層次樹上高度的變化情況或等價組中元組個數角度度量發布表泛化程度，本文將這一類方法稱為非域度量方法。

31 域度量方法

基于泛化技術的隱私保護模型中較多采用NCP度量標準[31]，通過為每個屬性分配權重表示屬性在應用中的數據效用。NCP度量標準中定義數據泛化前后效用變化的公式分別為：數值屬性：NCP（t）=∑ni=1ωizi-yiAi，其中wi是屬性的權重，yi、zi分別是屬性Ai泛化后的區間的左、右界，Ai是屬性Ai在表中的最大取值和最小取值的差；類別屬性：NCP（t）=size（u）A，其中size（u）為泛化后的類別屬性值集合中值的個數，A為泛化屬性的所有可能取值的個數。每個等價類G的懲罰計算公式為：NCP（G）=∑di=1wi·NCPAi（G），其中d為準標識符屬性數，wi為各準標識符屬性的權重。整個泛化表在經過泛化得到的滿足k-匿名要求的表的懲罰為所有等價類的懲罰之和。

32 非域度量方法

同一個原始數據表泛化過程往往會存在多個滿足要求的泛化k-匿名表，Sweeney等在文獻[13]中從泛化匿名表信息損失程度視角提出了描述泛化匿名發布表擾亂程度的度量公式Prec。Sweeney等通過屬性泛化高度描述了數據表的效用變化，即用1減去泛化表中所有元組的所有字段對應的該比值即可描述泛化表信息損失程度，其形式化描述如下：

設PT（A1，…，ANa）為原始數據表，tPj∈PT，RT（A1，…，ANa）為PT的泛化表，tRj∈RT；DGHAi表示屬性Ai的域泛化層次結構，fi為施加于屬性A的泛化函數，則泛化表RT的精確度Prec（RT）為：

當PT=RT時，由于發布表RT中每個每條元組所有屬性值的泛化高度均為0，即h=0，則Prec（RT）=1；當發布表RT中每條元組每個屬性取值為對應屬性的最大泛化取值時，即h=DGHAi，有Prec（RT）=0。

域度量方法從屬性泛化前后取值域的變化角度度量數據表效用的變化情況，度量結果精確、但計算過程復雜；非域度量方法從屬性泛化高度視角度量數據表效用變化情況，計算簡單、但存在度量精度不高的問題。

目前關于發布表數據效用度量方法的研究主要側重于基于泛化技術匿名發布表的數據效用度量方法研究，基于置換等其他隱私保護技術求解的發布表數據效用度量方法研究成果較少。

4 小結與展望

隨著人們對隱私信息越來越重視、以及云計算相關應用的逐步開展，在云環境微觀數據發布領域，如何保護微觀數據中數據主體的敏感隱私信息不被惡意攻擊者獲取，同時又保證數據用戶能夠獲得足夠的數據信息進行有效的探索和數據分析任務變成一個亟待研究、解決的問題。尤其是隨著移動設備和定位技術的發展，產生了大量的移動對象軌跡數據，數據發布中軌跡數據具有時間相關、位置相關、大規模、高維的特點帶來的一些新的隱私保護問題無法直接用現有的隱私保護技術處理，如高維數據等價類的劃分效率，移動軌跡數據實時、增量產生發布時多數據表上的依賴隱私。下一步我們將針對云計算環境下軌跡數據發布問題領域的隱私保護問題開展研究。

參考文獻

[1]Curino C，Jones E，Popa R et al.Relational Cloud：A Database-as-a-Service for the Cloud.5th Conf.on Innovative Data Systems Research，CIDR 2011，January 9-12，2011 Asilomar，California

[2]Choubey R，Dubey R，Bhattacharjee J.A Survey on Cloud Computing Security Challenges and Threats.Int.Journal on Computer Science and Engineering，2011，3（3）：1227-1231.

[3]Dudin E，Smetanin Y.A Review of Cloud Computing[J].Scientific and Technical Information Processing，2011，38（4）：280-284.

[4]Zhang Q，Cheng L，Boutaba R.Cloud Computing：State-of-the Art and Research Challenge.Journal of Internet Serv Appl，2010，1：7-18.

[5]Hamlen K，Kantarcioglu M，Khan L et al.Security Issues for Cloud Computing[J].International Journal of Information Security and Privacy，2010，4（2）：39-51.

[6]Ma H，Schewe K，Thalheim B et al.A Formal Model for the Interoperability of Service Clouds.Service Oriented Computing and Applications，Online First，18 Jan 2012.

[7]Amazon Security Bulletins[EB/OL].http：∥aws.amazon.com/security/security bulletins/，2011.

[8]Google[EB/OL].http：∥googledocs.blogspot.com/2009/03/just-t o-clarify.html，2009.

[9]Microsoft[EB/OL].http：∥www.microsoft.com/technet/security/，2010.

[10]Samarati P，Sweeney L.Generalizing data to provide anonymity when disclosing information[C]∥Proc of the seventeenth ACM SIGACT-SIGMOD-SIGART symposium on Principles of database systems，Seattle，1998：188.

[11]Agrawal R，Srikant R.Privacy Preserving Data Mining.In Proc.of ACM SIGMOD，Dallas，USA，2000.

[12]Sweeney L.K-anonymity：a Model for Protecting Privacy[J].Journal on Uncertainty，Fuzziness and Knowledge-based Systems，2002，10（5）：557-570.

[13]Sweeney L.Achieving k-Anonymity Privacy Protection Using Generalization and Suppression[J].International Journal on Uncertainty，Fuzziness and Knowledge-based Systems，2002，10（5）：571-588.

[14]MEYERSON A，WILLIAMS R.On the complexity of optimal k-anonymity[C].Proc.of the 23rd ACM SIGACT-SIGMOD-SIGART Symposium on Principles of Database Systems.New York，2004：223-228.

[15]羅軍舟，金嘉暉，宋愛波，等.云計算：體系架構與關鍵技術[J].通信學報，2011，32（7）：3-21.

[16]田秀霞.數據庫服務保護隱私的訪問控制與查詢處理[D].上海：復旦大學，2011.

[17]Mclean J.The Algebra of Security.In Proc.of the 1988 IEEE Computer Society Symposium on Security and Privacy，1988，pages 2-7.

[18]Bonatti P，Vimercati SC，Samarati P.An algebra for composing access control policies[J].ACM Trans.on Information and System Security，2002，5（1）：1-35.

[19]林莉，懷進鵬，李先賢.基于屬性的訪問控制策略合成代數[J].軟件學報，2009，20（2）：403-414.

[20]洪澄，張敏，馮登國.AB-ACCS：一種云存儲密文訪問控制方法[J].計算機研究與發展，2010，47（增刊I）：259-265.

[21]Ibraimi L，Petkovic M，Nikova S et al.Ciphertext-Policy attribute-based threshold decryption with flexible delegation and revocation of user attributes.Technical Report，Centre for Telematics and Information Technology，University of Twente，2009.

[22]Yu SC，Wang C，Ren K et al.Achieving Secure，Scalable，and Fine-grained Data Access Control in Cloud Computing.Proc.Of 29th IEEE Int.Conf.on Computer Communications，San Diego，CA，Mar.2010，pages 1-9.

[23]Vimercati S，Foresti S，Jajodia S.Over-encryption：Management of Access Control Evolution on Outsourced Data.Proc.of the 33rd Int.Conference on Very Large Data Bases，University of Vienna，Austria，September 23-27，2007.ACM 2007，pp.123-134.

[24]黃汝維，桂小林，余思，等.云環境中支持隱私保護的可計算加密方法[J].計算機學報，2011，34（12）：2391-2402.

[25]張逢，陳進，陳海波，等.云計算中的數據隱私性保護與自我銷毀[J].計算機研究與發展，2011，48（7）：1155-1167.

[26]毛劍，李坤，徐先棟.云計算環境下隱私保護方案[J].清華大學學報，2011，51（10）：1357-1362.

[27]Machanavajjhala A，Gehrke J，Kifer D.l-diversity：Privacy beyond k-anonymity[J].ACM Transactions on Knowledge Discovery from Data（TKDD），2007，1（1）：1-36.

[28]Li N，Li T，Venkatasubramanian S.t-Closeness～Privacy beyond k-anonymity and l-diversity[C]∥Proc of IEEE 23RD Int.Conf on Data Engineering.Istanbul：IEEE Computer Society，2007：106-115.

[29]Xiao X K，Tao Y F.m-Invariance：Towards Privacy Preserving Re-publication of Dynamic Datasets.In Proc.of the 26th ACM International Conference on Management of Data（SIGMOD），2007：689-700.

[30]Wong RCW，Li J，Fu AWC et al.（a，k）-Anonymity：An enhanced k-anonymity model for privacy-preserving data publishing[C]∥Proc of the 12th ACM SIGKDD int.conf on Knowledge discovery and data mining，New York：ACM Press，2006：754-759.

[31]Xu J，Wang W，Pei J et al.Utility-Based Anonymization Using Local Recoding.Proceedings of the 12th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining.New York，ACM Press，2006：785-790.

（本文責任編輯：馬 卓）