支持目的與信譽度的隱私偏好規約模型

陶靈靈 曹彥 張夢嬌

摘 要：確保互聯網服務在滿足用戶功能性需求的前提下保護隱私信息，是隱私保護研究的關鍵問題。訪問控制是保護信息的傳統手段，但其缺少使用目的、信譽度、義務等隱私語義，并且需要針對不同的數據使用者定義不同的策略。針對策略冗余、策略沖突等問題，提出了支持目的與信譽度綁定的隱私保護框架。首先給出了對應的訪問控制模型，其次分析了隱私偏好的沖突問題，提出了目的沖突檢測算法以及偏好沖突檢測算法，最后通過實驗證明了算法的可行性。

關鍵字：隱私保護；基于目的訪問控制；隱私偏好；沖突檢測

中圖法分類號：TP311 文獻標識碼：A

Abstract： It is the key issue of privacy protection to ensure that Internet services protect privacy information under the premise of meeting the functional requirements of users.Access control is a traditional way to protect information，but it lacks privacy semantics such as purpose，reputation，obligation，and needs to define different strategies for different data users.Aiming at policy redundancy and policy conflict，a privacy protection framework supporting purpose and reputation binding has been proposed.Firstly，the corresponding access control model has been given.Secondly，the conflict of privacy preference has been analyzed.Finally，the purpose conflict detection algorithm and privacy preference conflict detection algorithm have been proposed.

Key words： privacy protection；PBAC；privacy preference；conflict detection

1 引 言

對于使用在線購物、智能可穿戴設備、在線醫療等互聯網服務的用戶來說，隱私越來越成為重要的關注點。隨著服務提供方，向客戶收集越來越多的隱私數據，對于他們的數據被收集后如何被使用越發關注。對于一些法案，例如：美國前總統克林頓簽署的健康保險攜帶和責任法案（Health Insurance Portability and Accountability Act，HIPPA）、1974年的美國隱私法（US Privacy Act）等都明確的要求服務提供方需要明確的告知客戶他們的數據在收集后是如何被使用的[1]。在學術界，很多研究者都提出了隱私策略框架和策略語言以及模型，例如隱私偏好平臺（Platform for Privacy Preference，P3P）幫助數據使用者和數據擁有者交換他們的隱私策略[2]。

盡管這些隱私保護技術要求數據使用者按照數據提供方要求的偏好保護數據，但描述能力還遠遠不夠，而且必須要處理以下的兩個問題。第一，這些框架不提供策略執行機制。在數據被收集后，數據提供方的隱私偏好是否真正被滿足得不到保證。在現實中，數據提供方為了使用這些服務，不得不提供他們的隱私數據，然后只能被動的指望數據使用者按照他們的承諾保護其隱私。第二，無論是數據提供者還是使用者都希望最大化的控制這些數據，所以必須要存在一個機制同時描述雙方的隱私偏好。事實上，目前很多消費者只能在注冊的時被動的同意服務的隱私條款。

有很多的研究者，通過對傳統的訪問控制模型擴充隱私語義進行隱私保護。文獻[3]提出了隱私敏感的基于角色的訪問控制模型（Privacy-aware Role Based Access Control，P-RBAC），該模型繼承于基于角色的訪問控制模型（Role Based Access Control，RBAC），引入了層級概念以及條件語言。文獻[4]提出了希波克拉底數據庫（Hippocratic Databases），在關系數據庫中加入隱私語義進行訪問控制。文獻[5]通過數據庫系統執行隱私策略，提出了隱私查詢語言。文獻[6]提出了最大數據使用和最小隱私泄露原則，在web服務環境中提出了基于信任的訪問控制模型。

通過去除關鍵信息往往是不能保證隱私的，例如通過大數據處理仍然可以重新建立數據關聯。文獻[7]提出了K匿名來解決這一問題。文獻[8]提出了密度聚類算法解決了數據挖掘領域的隱私保護問題。

通過以上現有研究總結，尚未有既滿足數據提供方隱私偏好又考慮數據使用者策略的模型。無論是數據提供方的隱私偏好還是數據使用者的隱私策略之間都可能會存在沖突問題。本文試圖解決這些問題。

本文組織結構如下：第2節總體介紹支持目的與信譽度綁定的隱私保護框架；第3節提出適用于本框架的隱私偏好，以及分析隱私偏好沖突問題，并且提出沖突檢測算法；第4節是實驗分析；第5節是總結和展望。

2 支持目的與信譽度綁定的隱私保護框架

本章主要討論支持目的與信譽度綁定的隱私保護框架（Purpose and Reputation Based Access Control，PReBAC）[9]。該框架擴展了傳統訪問控制模型，通過引入期望目的與請求目的、期望信譽度與請求信譽度、與隱私數據項進行關聯，對用戶隱私數據進行細粒度的保護。

2.1 期望目的與請求目的

定義2.1 期望目的（Intended Purpose）：一個期望目的表示數據擁有者對于自己的隱私所能接受的目的以及拒絕的目的。期望目的集合，記為IP = 。包含期望允許目的集（Allowed Intended Purpose，AIP）以及期望禁止目的集（Prohibit Intended Purpose，PIP），AIP是所有被允許的期望目的集合，PIP則是所有被禁止的期望目的集合。

下文中我們假設PIP=?，因此IP=AIP。

定義2.2 請求目的（Access Purpose）：一個請求目的表示數據請求者對數據收集和訪問的意圖或理由，記為AP。

請求目的可以是一個集合，表示一組請求目的，本文為了簡化處理，在下文中僅表示單次請求的一個目的。

通過上述兩個定義，用戶可以在自己的隱私偏好中定義期望目的，數據請求者或者服務提供可以在隱私策略中定義請求目的，從而把目的這個語義加入到模型中。

目的通常被組織成一個樹狀結構，圖1給出了一個目的樹的例子。這種樹結構是通過現實系統中涉及的目的抽象出來，樹中的每個節點代表著一個目的，樹中的每條邊代表一個層次關系，從上到下是一般到專門的關系。也就是說，約靠近根節點的目的越一般，越靠近葉子節點則越專門化。

2.2 期望信譽度與請求信譽度

在當今社會，信譽是個重要的名詞。無論是向銀行貸款還是求職，信譽度都是一個重要考量。同樣，信譽度在網絡安全領域也同樣適用，目前已經有好多計算信譽度的算法[10]，本章節將在此基礎上給出期望信譽度和請求信譽度的概念。

定義2.3 期望信譽度（Intended Reputation）：一個期望信譽度值，為一個變量，記為IR，根據數據擁有者的隱私偏好進行取值。表示某個期望目的對于隱私數據使用者的信譽度的要求，值域為[0，9]。

如果IR = 0，表示對于信譽度的要求極低，從側面反應了此項使用目的對于隱私的威脅極小；如果IR = 9，表示對于信譽度要求極高，反應了此項使用目的對于隱私的威脅極大。

定義2.4 請求信譽度（Access Reputation）：表示某次請求中，隱私數據請求者的信譽度值，是一個變量，記為AR。其值域為[0，9]。

2.3 訪問控制模型與授權決策

支持目的與信譽度綁定的隱私保護模型在基于目的的訪問控制模型基礎上，增加了關于信譽度的描述。無需指定數據數據使用者，方便數據擁有者定義更加靈活的隱私偏好，避免了在web服務組合環境中，由于組合過程透明，數據使用者不明確的問題。

定義2.5 支持目的與信譽度綁定的隱私保護模型（Purpose and Reputation Based Access Control，PReBAC）：主要包含以下幾個部分：

a）隱私信息的集合PI，期望目的集合IP，操作行為的集合A，義務的集合O以及條件的集合C。

b）數據訪問權利集合PIA={（pi，a）|pi∈PI，a∈A}。

c）隱私數據訪問權利集合PPIR={（pia，a，pu，c，o）|pia∈PIA，a∈A，pu∈IP，c∈C，o∈O}。

d）隱私數據請求授權PPIAA[∩] S × PPIR是一個多對多關系，表示對于一次請求的授權。

當一次請求的目的包含于期望目的中，并且該次請求者的信譽度達到期望目的對應的信譽度要求，該次請求才能被授權。

3 隱私偏好沖突問題與沖突檢測算法

上一節主要討論了支持目的與信譽度綁定的隱私保護模型，該模型需要對策略正確的執行才能有效的保護隱私。本節主要討論策略或偏好中的沖突問題，并提出算法進行檢測。

3.1 隱私偏好與隱私策略

定義3.1 隱私偏好（Privacy Preference）：表示數據擁有者對于數據使用者對其數據使用的要求。

定義3.2 隱私策略（Privacy Policy）：表示數據使用方對于隱私保護的相關聲明。

在不同的隱私保護模型中，往往有不同的隱私偏好與隱私策略結構。本文的隱私偏好為以下結構：（Action，PrivacyInfo，Purpose，IntendtedReputation）。

當一個Action對應對個Purpose，如：（Action1，（purpose1，purpose2））可以等價為兩條偏好：（Action1，purpose1）和（Action1，purpose2）。

3.2 沖突問題

在先前的研究中，已經有很多關于運行前，數據使用者的隱策略是否滿足用戶隱私偏好的研

究[11]。在用戶新增加一條隱私偏好的時候，往往會有新偏好與已經存在偏好沖突的情況發生。為確保隱私保護訪問控制的正確實施，必須要對這種沖突進行檢測并消除。

用戶已在系統中提交一條隱私偏好：

Preference1：（Read，Email，Purchase，8）

用戶再次提交一條新的隱私偏好：

Preference2：（Read，Email，Complaint，8）

Preference1表示，信譽度值高于8的請求者可以讀取其Email信息用于Purchase目的；Preference2則表示，信譽度值高于8的請求者可以讀取其Email信息用于Complaint目的。由于兩條隱私偏好的同時存在，一個信譽度值高于8的請求者將可以讀取用戶的Email信息用于兩個不同的目的。

通常情況下，當數據請求方對隱私數據pi發起一次行為a的請求，訪問控制隱私保護系統應該檢測所有與pi和a相關的隱私偏好。當至少一條隱私偏好匹配，并且偏好中所有的期望目的與期望信譽度可以被滿足才能被授權。當一條新的偏好加入到系統中，顯然會使得當前系統決策變得更加嚴格。如果用戶想放松決策，可以對已有偏好進行刪除或修改。

在具體介紹沖突的幾種情況之前，先定義下面一個重要的概念。

定義3.3 劃分的上下文變量（Splitting Context Variable，SCV）是一個滿足以下條件的上下文變量。

1）一個劃分的上下文變量是與隱私目的信息有關的。

2）一個劃分的上下文變量把子目的劃分為幾個不相交的目的集合。

根據定義3.3，在圖1中Order是一個SCV。 Admin則不是一個SCV，因為Admin的子目的Advertising和Record含有交集。

在復雜系統中，偏好數量越多，發生沖突的概率就越大。

考慮以下兩條隱私偏好：

Preference3：（Read，OrderInfo，Shiping，7）

Preference4：（Read，OrderInfo，ProblemSolving ，7）

這兩條偏好涉及到的Shipping和ProblemSolving均屬于劃分上下文變量Order，他們是不相交的，因此這兩條偏好是無沖突的。這種情況的偏好被稱為無法比較的偏好，因為他們所涉及的目的是不可比較的。

定義3.4 讓pi和pj為兩條偏好中的兩個目的。如果存在一個相同的SCV使得pi和pj為互斥的集合，則pi和pj為不可比較的目的。否則pi和pj為可比較的目的，記為pi≈pj。

考慮下面兩條包含可比較目的的偏好：

Preference5：（Read，OrderInfo，Purchase，7）

Preference6：（Read，OrderInfo，Billing，7）

由于Purchase和Billing都屬于相同的環境變量Order，Billing是Purchase的子目的。因此他們含有相容目的，這兩條偏好屬于相容偏好。除了相容目的，還有沖突目的。如下面兩條偏好：

Preference7：（Read，BillInfo，Purchase，7）

Preference8：（Read，BillInfo，Audit，7）

當訪問請求被處理的時候，請求目的不能同時是Purchase和Audit，因此他們含有沖突的目的，這兩條偏好互為沖突。

上述只考慮了目的沖突的情況，在用戶定義隱私偏好的時候，還有期望信譽度沖突的情況。如下面兩條偏好：

Preference9：（Read，BillInfo，Purchase，7）

Preference10：（Read，BillInfo，Purchase，5）

只要當目的沖突或者期望信譽度沖突，隱私偏好就是沖突的。

3.3 沖突檢測算法

上面一節討論了，隱私偏好以及引起偏好的沖突問題，本節講提出算法進行檢測沖突。

通過以上實驗數據分析，算法執行時間較為穩定。同時通過觀測實驗機器的內存情況，未出現高內存占用情況。因此，在真實環境中運用本文的隱私偏好沖突檢測算法是可行的。

5 結束語

針對傳統訪問控制模型缺少隱私語義、隱私偏好定義不夠靈活問題，本文提出了基于目的與信譽度的訪問控制隱私保護方法。首先提出了支持目的與信譽度隱私偏好定義的隱私保護框架；然后分析了隱私偏好的沖突問題，并提出了相應的沖突檢測算法進行解決；最后通過實驗證明了算法的可行性。

未來工作將對本文提出的方法設計出原型，并且把本文的模型以最小的代價應用到已有的訪問控制系統中，以確保用戶的隱私。

參考文獻

[1] PENG Huan-feng，HUANG Zhi-qiu，FAN Da-juan.A service-composition oriented privacy protection method[J].Journal of Chinese Computer Systems，2015，36（8）：1671—1676.

[2] REAGLE J，CRANOR L F.The platform for privacy preferences[J].Encyclopedia of Cryptography & Security，2000，24（2）：940—941.

[3] NI Q，LIN D，BERTINO E，et al.Conditional privacy-aware role based access control[C]//European Conference on Research in Computer Security，Germany，2007.Springer-Verlag，2007：72—89.

[4] AGRAWAL R，KIERNAN J，SRIKANT R，et al. Hippocratic databases[C]//Proceedings of the international conference on very large data bases，Hong Kong.VLDB Endowment，2002：62—68.

[5] LEFEVRE K，AGRAWAL R，ERCEGOVAC V，et al.Limiting disclosure in hippocratic databases[C]// Thirtieth International Conference on Very Large Data Bases.VLDB Endowment，2004：108—119.

[6] LI M，SUN X，WANG H，et al.Privacy-aware access control with trust management in web service[J].World Wide Web-internet & Web Information Systems，2011，14（4）：407—430.

[7] LIU X，XIE Q，WANG L.Personalized extended（α，k） anonymity model for privacy preserving data publishing[J].Concurrency & Computation Practice & Experience，2017，29（6）：125—132.

[8] LIU J，XIONG L，LUO J，et al.Privacy preserving distributed DBSCAN clustering[J].Transactions on Data Privacy，2013，6（1）：69—85.

[9] TAO Ling-ling，HUANG Zhi-qiu，CAO Yan.Privacy preserving method for supporting access purpose and reputation labeling[J].Journal of Frontiers of Computer Science and Technology，2017，35（7）：95—111.

[10] WANG S，SUN Q，ZOU H，et al.Reputation measure approach of web service for service selection[J].IET Software，2011，5（5）：466—473.

[11] CHOWDHURY O，JIA L，GARG D，et al.Temporal Mode-checking for Runtime Monitoring of Privacy Policies[C]// International Conference on Computer Aided Verification.Springer International Publishing，2014：131—149.