跨社交網絡的隱私圖片分享框架

李鳳華，孫哲，牛犇，曹進，李暉

（1. 中國科學院信息工程研究所，北京 100093；2. 中國科學院大學網絡空間安全學院，北京 100049；3. 西安電子科技大學網絡與信息安全學院，陜西 西安 710071）

1 引言

受益于數字拍攝技術和網絡技術的持續、快速發展，圖片分享社交網絡迎來了發展高峰期，社交網絡中分享的圖片數量不斷創造新高。據美國有線電視新聞網報道，Facebook在2018年第二季度報告中提到，其每月活躍用戶已達到22.3億個，平均每天上傳約3億張圖片。在我國，微信朋友圈早在 2015年的日分享圖片數量就已經超過了 10億張。社交網絡用戶通過與朋友分享文字、圖片或者短視頻來表達情感或分享樂趣。同時，從一個社交網絡平臺下載信息，并將其轉發到另一個社交網絡平臺，已經逐漸成為社交網絡用戶的一項日常行為。用戶的隱私圖片在多信息系統、多邊界之間廣泛動態流轉已成常態。

然而，一旦用戶將圖片上傳到社交網絡平臺，便失去了對上傳圖片的控制。任何有權限瀏覽該圖片的用戶，都可以不受限制地下載圖片，并將其轉發到任何地方（線上或線下）。特別是當圖片被轉發到其他社交網絡時，圖片所有者幾乎不可能再控制圖片的傳播。近年來，Facebook泄露門、iCloud賬號泄露等泄露事件頻發，使圖片隱私信息傳播控制成為用戶和服務提供商共同關注的問題。另一方面，由于圖片中的影像可以直觀地反映現實空間中的事物，一些敏感圖片的泄露與傳播，會影響到公民的生命安全、輿論導向甚至國家利益，嚴重損害利益相關者的隱私權益，已經引起國家相關部門的高度重視。加強對跨社交網絡轉發圖片的隱私侵犯行為監管，并對已發生的隱私泄露事件進行溯源取證也愈發重要。

為解決上述問題，近年來研究者在圖片隱私信息傳播控制和溯源取證方面都提出了大量的解決方案。在隱私圖片傳播控制方面，現有方案大多采用基于訪問控制技術[1-6]或者加密技術[7-10]等機制。其中，基于訪問控制的方案[1,3,6]通常假設應用系統可以控制上傳到指定平臺的圖片，但是該假設難以應用到跨社交網絡的轉發場景中。現有的基于加密的圖片隱私保護方案[7-8]較少考慮訪問控制策略，訪問者能否訪問加密的隱私區域完全依賴訪問者是否擁有密鑰。目前，研究者們將針對轉發后數據的訪問控制技術稱為延伸控制[11]。Karjoth等[12]提出了隱私保護方案Sticky Policy，將訪問控制策略嵌入綁定到文件上，實現了跨系統的隱私保護，并迅速成為云計算領域中一種熱門的跨云信息保護解決方案。然而，由于圖片本身的復雜性和展示問題，該類方法并不能直接運用于圖片分享社交網絡中。另一方面，溯源取證方案[13-14]大多將隱私信息與溯源記錄分開存儲，例如基于起源信息的溯源系統[15]，當隱私信息離開信息系統后，便失去了隱私信息保護策略標準，無法對隱私信息是否違背所有者意愿進行判斷。而基于邊界管控[16]和事后審計[17]的溯源方案，難以匯集分散在各個信息系統中的溯源信息，缺乏統一的溯源信息分析和取證能力。

本文為隱私敏感的用戶提出了一種跨社交網絡的隱私圖片分享框架，從圖片傳播的角度出發，分別應用于延伸控制（正向）和溯源取證（逆向）2個場景中。具體地，該方案將隱私標記和訪問控制策略綁定到圖片中，并利用加密方法保證圖片的隱私區域在傳播到其他社交網絡時，仍只有擁有權限的用戶才能訪問。同時，通過在隱私標記中增加溯源記錄信息的方法，使隱私泄露事件發生后，取證人員可以對隱私侵犯行為進行溯源取證。本文主要貢獻如下。

1) 提出了一種跨社交網絡的隱私圖片分享框架，使圖片在被轉發后其所有者仍可以限制轉發用戶的轉發行為，并在隱私泄露后可以對隱私侵犯行為進行溯源。該框架針對圖片文件的特點，選用支持區域加密的算法，并設計一種基于圖片元數據的策略嵌入方法，避免綁定的策略影響圖片公開區域的正常顯示。

2) 設計了一種基于信息傳播鏈的訪問控制模型，該模型允許傳播鏈上的用戶按先后順序為圖片設置策略，限制后續用戶的操作權限和可賦予權限。

3) 提出了一種雙層加密算法來保護圖片的隱私區域和訪問控制策略。雙層加密方案分別用于保護訪問控制策略和圖片中的隱私區域。

4) 提出了一種嵌套簽名算法，在追加溯源記錄信息時將先前用戶的溯源記錄與新溯源記錄進行嵌套簽名，保證隱私標記中的用戶操作行為記錄不被惡意用戶篡改和偽造。

2 相關工作

隨著社交網絡中傳播圖片數量的不斷增長，圖片分享中的隱私泄露問題已經引起了研究者們的廣泛關注[18-21]。本文涉及圖片隱私保護、溯源取證等多個研究熱點。

2.1 圖片隱私保護方法

為幫助用戶控制隱私圖片的分享范圍，現有的隱私圖片保護方法主要包括基于訪問控制方法、基于密碼學方法和復合方法。

1) 基于訪問控制的方法

在早期的工作中，Hu等[1]提出了一種多主體訪問控制機制，嘗試通過量化隱私風險和分享收益損失來解決不同角色的隱私沖突。該方法通過引入一個投票機制，讓包括轉發者在內的所有角色都可以參與到訪問控制策略的決策中。隨后，Illy等[2]提出將訪問控制粒度從圖片級轉換為人臉區域級，從客體粒度上規避了不同主體的隱私沖突，然而，該方法僅對人臉區域有效。在此基礎上，Vishwamitra等[3]通過引入其他細粒度客體，將隱私區域從人臉擴展到物品、背景、人體等區域，當多主體對同一個隱私區域存在隱私沖突時，仍將使用一個投票機制來確定該區域的隱私策略。為了提高圖片的訪問控制效率，Xu等[4]提出了一種基于分布一致性的訪問控制方法，該方法識別出上傳圖片中的用戶，并通知用戶就隱私策略與圖片發布者協商一致。然而，上述方法實現訪問控制需要保證圖片所在環境的可控，因此很難處理隱私圖片跨社交網絡轉發的情況。此外，該類方法將轉發者與圖片共享中的其他角色一樣對待，忽略了轉發用戶與前一個用戶的隸屬關系。

2) 基于密碼學的方法

為保障圖片在離開原系統后不被泄露，現有基于加密的圖片隱私保護算法主要集中在存儲階段，將焦點聚集在避免加密圖片被暴力破解和提高系統的運行效率上[8,10,22-23]。Ferreira等[24]提出了一種安全存儲和檢索的框架，允許用戶在密文狀態下查詢上下文。Ra等[7]提出了一種支持區域加密的方案，該方案將整張圖片劃分為公開和隱私兩部分，可以實現只加密圖片的隱私部分而不影響圖片公開部分的展示。在此基礎上，Yuan等[25]擴展了Ra的方案[7]，設計了一種支持多個隱私區域的加密方案，通過給不同的隱私區域設置不同的密鑰，實現向不同用戶展示不同隱私區域的目的。為了提高圖片的加密效率，Nourian等[26]提出了一種基于混淆映射的加密算法，該算法通過混淆圖片數據的編碼方案實現對圖片可視區域的信息隱藏，支持圖片在混淆狀態下的像素級操作，并實現了多種像素級的過濾算法。盡管文獻[7, 24-26]的解決方案可以較容易地應用在社交網絡上，但是它們都存在將訪問策略與管理密鑰相互映射的難題。

3) 復合方法

在早期的工作中，Karjoth等[12]提出了一種粘性政策的復合方法，將訪問控制策略綁定到原始數據上，從而解決跨系統傳播的問題。此后，該類方案在跨云隱私保護中流行起來。Pearson等[27]提出了一種實用的跨云隱私保護框架，通過將隱私數據與安全策略綁定，實現隱私數據的跨云控制。Spyra等[28]設計了一種基于身份的加密方案（IBE, identification-based encryption），該方案在考慮云后臺保密性、完整性和可靠性的基礎上，提高了綁定策略的安全性。盡管前面提到的工作可以有效解決跨云服務場景中的隱私保護問題，但由于圖片文件的特性，該方案不能直接用于圖片分享社交網絡。

2.2 隱私侵犯行為溯源取證方法

在隱私信息跨信息系統傳播的過程中，溯源信息需要在不同信息系統間廣泛交換。現有的溯源取證方案[13-14]大多聚焦于單一信息系統內部，當隱私信息流轉出信息系統邊界后，便失去控制和溯源取證能力，并沒有針對多應用系統、多邊界的隱私信息廣泛動態流轉場景中溯源取證問題提出解決方案。另一方面，現有信息系統中隱私信息與保護策略大多分開存儲，例如基于起源信息的方案[15,29-30]，將信息的演化脈絡存儲在起源信息中，當隱私信息離開信息系統后，便失去了隱私信息保護策略標準，無法對隱私信息是否違背隱私信息所有者意愿進行判斷。

在隱私信息跨系統、跨邊界流轉過程中，所采集、記錄、存儲的溯源取證信息存在不可偽造和不可篡改的需求。現有信息系統間的隱私溯源方法主要依靠邊界管控技術[16]和事后審計技術[17]，當隱私信息離開或進入信息系統時，對隱私信息的傳播途徑進行記錄，供泄露事件發生后進行安全審計和取證分析。該類方案的缺陷在于不同的信息系統邊界上缺乏統一的溯源信息匯聚和分析能力，難以實現對不同信息系統邊界的采集匯總和溯源取證。

3 預備知識

3.1 跨社交網絡轉發場景用戶調研

在日常生活中，為避免圖片未經允許地轉發給其他用戶，甚至轉發到其他社交網絡中，一些隱私敏感的用戶會選擇不上傳任何圖片以保護自己的隱私，然而這樣就失去了一種表達情感的方式，明顯地違背了社交網絡建立的初衷。為調查目前用戶對支持圖片分享社交應用的使用情況，本文展開了一項調研，分別從中國用戶和美國用戶中收集了339份和 148份調查問卷。如表 1所示，總體上41.27%的參與者在手機上安裝了1～5個支持圖片分享的應用，在美國 58.78%的用戶在手機上安裝了10個以上的圖片分享應用。綜上所述，絕大多數用戶在手機上安裝了超過一個圖片分享應用。

表1 用戶手機上安裝的圖片分享應用數量

而另一方面，目前，Facebook、微信等圖片分享服務商只能提供較少的隱私保護機制，尤其是市面上幾乎沒有跨社交網絡轉發的延伸控制機制。在學術界，雖然Pearson等[27]嘗試通過將訪問控制策略綁定到文件上來解決跨系統傳播的問題，但是由于該方案并非針對圖片文件，無法適應圖片文件的一些特殊屬性，很難直接應用到支持圖片分享的社交網絡中。此外，隱私圖片文件往往比一般文件更加復雜，通常會包括多個隱私區域和公開區域。因此，針對圖片分享社交網絡的實用延伸控制機制仍值得深入研究。

本文的主要研究思路是通過探索一個實用的框架來保護用戶圖片分享過程中的隱私信息，尤其是圖片被轉發到其他社交網絡后，依然可以遵從圖片所有者、先前圖片轉發者的意愿進行傳播和處理。具體來說，本文提出的隱私圖片分享框架應當解決以下幾個問題。

1) 針對現有訪問控制模型未將轉發者作為一種特殊角色處理的問題，設計了一種基于傳播鏈的訪問控制模型，解決用戶對轉發后隱私圖片的權限分配問題。

2) 針對圖像加密算法跨社交網絡傳播時密鑰管理困難的問題，提出了一種雙層圖片加密算法，第一層使用對稱加密保護圖片上的隱私區域，第二層使用公鑰加密算法保護用戶的訪問控制策略，根據策略賦予解密的權利。

3) 針對圖片文件特征復雜的問題，設計了一種支持圖片特征的策略嵌入方法，且綁定的策略不會影響圖片公開區域在社交網絡傳播中的正常顯示。

4) 針對圖片隱私溯源記錄跨社交網絡流轉時抗篡改和抗偽造的需求，提出了一種嵌套簽名方案，通過將先前用戶簽名的記錄與自己的記錄一同簽名，防止惡意用戶在圖片流轉過程中篡改溯源記錄信息、偽造證據。

3.2 攻擊模型和隱私保護目標

1) 攻擊模型

為實現跨社交網絡的隱私圖片分享，本框架將攻擊者的攻擊歸納成以下 3種方式：①攻擊者attacker1試圖通過留存、篡改、偽造訪問控制策略的方式，獲取沒有訪問權限的隱私信息；②攻擊者attacker2是系統內部的用戶，擁有部分權限，并試圖利用已有權限獲得更多的權限；③攻擊者attacker3知曉策略嵌入或者溯源記錄格式等背景知識，試圖通過篡改、偽造訪問控制策略或溯源記錄，掩蓋隱私侵犯行為痕跡。

為保障隱私圖片在跨社交網絡流轉過程中的安全性和完整性，本框架基于現有的密碼學技術，如圖像區域加密、公鑰密碼基礎（PKI, public key infrastructure）等體系，通過對各個實體間所傳輸的圖片隱私區域和訪問控制策略進行加密操作，以保證隱私圖片在傳輸過程中的安全，避免竊聽、截取等被動攻擊的發生。因此本方案僅對常見的幾種加密方法進行安全性對比，不再對上述安全問題進行詳細的安全性證明。

2) 隱私保護目標

基于以上攻擊模型，當隱私圖片在不同社交網絡流轉時，系統內外用戶均不能獲取未授權的隱私信息；系統內用戶除了被分配的權限以外，無法繞過權限分配者獲取更多的操作權限；隱私侵犯行為可以溯源追蹤，攻擊者無法通過篡改、偽造溯源記錄遮掩隱私侵犯行為。

4 隱私圖片延伸控制與溯源取證

4.1 隱私圖片延伸控制

本節首先介紹跨社交網絡隱私圖片延伸控制的應用場景、系統框架，然后對所提方案內容和實現細節進行詳細介紹。

4.1.1 系統模型

圖1描述了跨社交網絡圖片分享的系統模型，在該模型中所有的用戶被分為以下3種角色。

1) 圖片所有者（photo owner）：第一個發布圖片的用戶。

2) 圖片轉發者（photo forwarder）：接收到圖片并將其轉發的用戶。

3) 靜默的接收者（silent receiver）：接收到圖片并無傳播操作的用戶。

圖1 跨社交網絡圖片分享的系統模型

在圖1的模型中，用戶1是圖片所有者，用戶2和用戶4是圖片轉發者，用戶3和用戶5是靜默的接收者。用戶1將圖片上傳到Facebook中，用戶2接收到圖片后轉發給Facebook中的用戶3，同時將圖片從Facebook下載并轉發到微信中的用戶4。用戶4在微信中將其轉發給用戶5。整個流程跨越了Facebook和微信2個社交網絡，且在2個社交網絡內部都存在轉發行為。本文將3種角色結合，共同組成一個鏈狀結構，稱之為傳播鏈。傳播鏈描述了一條圖片傳播的路徑，例如：用戶 1—用戶 2—用戶3是一條Facebook內部的傳播鏈，用戶1—用戶2—用戶4—用戶5是一條跨Facebook和微信2種社交網絡的傳播鏈。

本文為跨社交網絡圖片轉發中的隱私保護問題設計了一種解決方案，該方案也可應用在單一社交網絡內部。居于傳播鏈上的用戶都可以對后續用戶的訪問權限和延伸控制權限進行控制。本方案主要包括層次化部署架構、基于傳播鏈的訪問控制模型和雙層加密算法，并在實現細節中詳細介紹了訪問控制策略的嵌入方法。

4.1.2 系統框架

延伸控制系統框架主要包括以下2個部分：1）一個用于保護圖片隱私區域和匹配訪問控制策略的客戶端；2）一個用于管理密鑰的服務器。在系統中，所有的本地客戶端組件（包括操作系統、應用程序、傳感器等）和密鑰管理中心被認為是可信的，傳播信道和社交網絡服務提供商被認為是不可信的。

在系統中，客戶端在發送時可以對圖片中的隱私區域進行第一層加密，這些隱私區域可以通過相同或者不同的密鑰進行加密。用戶可以對隱私區域設置訪問控制策略和延伸控制策略并進行第二層加密，再通過客戶端將策略綁定到圖片中。當圖片被上傳到一個公開的社交網絡時，社交網絡扮演了用戶間溝通橋梁的角色。

用戶收到圖片后，可以請求查看或者轉發圖片。客戶端通過向服務器請求，驗證用戶身份，并對圖片上綁定策略進行“解鎖”。只有符合訪問控制策略規定權限的用戶才能訪問圖片的隱私區域。接收用戶在轉發圖片時可以追加新的策略，在轉發圖片時設置的策略必須是延伸控制策略的子集。因此，通過設置延伸控制策略，傳播鏈上的用戶可以限制后續用戶的傳播行為。

如圖2所示，用戶1加密了圖片上2個隱私區域，并生成相應的訪問控制和延伸控制策略。當圖片被發布到公開的社交網絡時，用戶1的策略隨圖片一起上傳。用戶2下載圖片，并根據圖片上綁定的策略判斷是否能瀏覽圖片上的隱私區域。與此同時，用戶2還可以根據用戶1賦予的延伸控制權限增加新的權限，并可以繼續設置用戶3可以瀏覽隱私區域1，用戶4可以瀏覽隱私區域 2。用戶 4可以繼續追加策略，禁止用戶 5瀏覽所有的隱私區域。

圖2 延伸控制系統架構示例

4.1.3 基于傳播鏈的訪問控制

在本方案中，權限根據傳播鏈依次授權，其中傳播鏈是由社交網絡中的多次圖片交換組成。定義圖片p的第i次交換為其中si和ri分別是第i次交換中的發送者和接收者。因此傳播鏈可以被定義為一個有序集合

根據傳播鏈有序集合D的連續性，下一次圖片交互的發送者為前一次圖片交換的接收者，即第一個發送者s1是圖片所有者，最后一個接收者rn是靜默接收者，其他所有用戶都是圖片轉發者。

基于傳播鏈的約束條件用于明確發送者可以分配給接收者何種權限的約束，可以用一個通用格式來描述這個約束，如式(2)所示。

以圖2為例，用戶2允許用戶4瀏覽圖片中的隱私區域2，但是禁止用戶4分配用戶5瀏覽圖片中隱私區域2的權限，則該策略可以表示為其中，user表示用戶，area2表示隱私區域2，view表示瀏覽權限，prohibit view表示禁止瀏覽。

4.1.4 雙層加密算法

為滿足用戶的隱私需求，當圖片上傳到社交網絡后，加密算法需要確保圖片上的隱私信息不對無權限用戶展示，從而保證傳播鏈上先前用戶的策略會被嚴格執行。本文假設框架中每個用戶至少擁有一個客戶端，并且密鑰管理中心給每個用戶分配一個公私鑰對。

為保證圖片在社交網絡傳播中的正常顯示，需要保證：圖像加密算法在加密隱私區域的同時不會影響公開區域的圖像顯示；附加的策略不能破壞圖片的固有格式，應當嵌入到標準圖片格式的自定義區域。

1) 第一層圖像加密

本文方案中，采用文獻[25]中的擾動算法對圖片隱私區域進行加密。該算法通過修改JPEG（joint photographic experts group）文件的離散余弦變換（DCT, discrete cosine transform）系數來達到加密效果。

隱私區域選定與參數設置：該算法將圖片劃分成16 像 素 × 16像素的最小編碼單元，生成一個遮掩矩陣M，M中的非零元素代表用戶選定的隱私區域序號。因此，所有用戶標記的隱私區域都是由一個個小方格（最小編碼單元）組成的，并且每個隱私區域不會重疊，即每個最小編碼單元只能擁有一個區域序號，序號0代表公開區域。針對每個隱私區域regionn，用戶都可以分配一個密鑰keyn和一個加密強度等級leveln∈ { low,medium,high}。

加密流程：將 DCT系數量化為一個8× 8的DCT矩陣，記為xi(i=1,2,… ,6 4)，通過密鑰keyn作為種子生成一個隨機序列 r andomi∈{1 ， -1}，通過將DCT系數矩陣xi與隨機序列randomi實現對圖片像素的加密。針對不同加密強度的需求，根據加密強度等級leveln進行不同程度的擾動處理。當leveln= l ow 時，系統僅修改圖像YUV這3個色彩分量（其中，Y表示亮度，即灰度值；U和V表示色度，用于描述影像色彩及飽和度）中的 AC（alternating current）系數；當leveln= m edium 時；修改亮度分量的AC系數和DC（direct current）系數；當leveln= h igh 時，修改3個色彩分量（YUV）的AC系數和DC系數。

2) 策略嵌入與第二層加密

為保障綁定的策略不會影響圖片公開區域在社交網絡中的正常顯示，本文設計了一種新的訪問控制嵌入方法，通過將策略嵌入圖片的 EXIF（exchangeable image file）元數據中的IFD（image file directory）結構中，避免修改現行的文件格式，從而很好地兼容現有的圖片分享平臺。EXIF元數據被廣泛用于各種圖片文件格式，如JPEG、RAW、TIFF（tag image file format）、RIFF（resource interchange file format）等。

嵌入策略的格式包含固定和可變2個部分。固定部分包含圖片隱私區域坐標、拍攝時間、拍攝地點等固定屬性，可變部分可以存放數量動態變化的訪問控制策略。如圖3所示，由于IFD結構本身是一種嵌套結構，包括本級IFD的數據域和多條子IFD結構。本方法將訪問控制策略（以及第4.2節中的溯源記錄）的語法作為一條子IFD結構，每增加一條策略（或記錄）時，動態增加一條子IFD結構。當一個圖片被轉發時，嵌入的策略將隨著圖片一起在不同的社交網絡中流轉。嵌入策略分配的權限應當遵從基于傳播鏈的訪問控制模型的約束。

在使用對稱密鑰實現第一層圖片隱私區域加密的基礎上，本方案利用公鑰密碼基礎（PKI, public key infrastructure）方案來保護策略的機密性和完整性。在信息傳播鏈上的用戶需要通過公鑰將嵌入在圖片上的訪問控制策略“解鎖”，從而保證策略在圖片流轉過程中沒有被其他用戶篡改。

圖3 EXIF嵌入策略

3) 性能優化

傳統 C/S（client/server）架構在整個分享系統中用戶數量較少時還可以正常運行。然而，隨著社交網絡中傳播圖片數量的飛速增長，即使用戶給每張圖片上的所有隱私區域都分配一個密鑰，服務器端也將面臨海量圖片加解密和密鑰管理的挑戰。

本節基于邊緣計算原理設計了一種層次化的部署架構，如圖4所示，該架構包括3個部分：核心服務器、邊緣服務器、終端設備。

核心服務器：負責驗證所有用戶的身份，并負責給系統所有用戶分配公私鑰對。

邊緣服務器：負責管理部分用戶發布和轉發圖片的密鑰，并為一些計算能力不足的移動設備提供圖片加解密服務。

終端設備：作為與用戶交互的終端，并同時承擔一定程度的計算任務，包括對圖片訪問控制策略和延伸控制策略加解密、溯源記錄信息簽名驗簽、部分計算量較小的圖片加解密任務。

圖4 基于邊緣計算原理的層次化部署架構

在整個架構中，用戶（擁有同一賬戶的移動終端）被分配到不同的邊緣服務器中，其對應發布圖片的加解密密鑰被保存在這些邊緣服務器中，并備份到核心服務器。當有新圖片被轉發到邊緣服務器管理的用戶中時，邊緣服務器可以向核心服務器申請該圖片的加解密密鑰。受限于邊緣服務器的資源，可以引入緩存機制來解決邊緣服務器的存儲容量問題。此外，由于所有的訪問控制和延伸控制策略都嵌入在圖片中，架構中的設備并不需要存儲和更新圖片的策略。整個系統僅需要對策略和隱私區域的密鑰進行同步。

圖片隱私侵犯行為溯源取證作為隱私圖片延伸控制的逆向過程，也面臨跨社交網絡溯源的難題。相較于圖片隱私信息的正向傳播，溯源取證方案對溯源記錄信息防篡改和防偽造提出了更高的要求。然而，目前跨社交網絡圖片隱私侵犯行為溯源取證的相關研究還比較少，本文在圖片隱私延伸控制的基礎上，設計了一種適用于跨社交網絡場景的圖片隱私侵犯行為溯源取證方案。

4.2 圖片隱私侵犯行為溯源取證

圖片隱私侵犯行為溯源取證的任務主要指通過對流轉中的圖片隱私信息進行統一描述，當圖片開始流轉時，不斷記錄不同社交網絡中不同主體對圖片隱私信息執行的操作，通過對比隱私侵犯行為判定標準，判斷是否發生隱私侵犯行為。

4.2.1 圖片隱私侵犯行為溯源取證場景

圖 5描述了圖片在用戶分享過程中的傳播途徑，整個傳播路徑呈樹狀結構，根節點是圖片所有者，葉節點是靜默接收者，中間節點為圖片轉發者。假如傳播過程中，隱私圖片多次經過同一個用戶2，則將用戶看作多個節點，即用戶2第一次轉發節點（節點2）、用戶2第二次轉發節點（節點6）。其中，樹結構的深度表示圖片隱私信息的轉發次數。因此，從任何節點出發向根節點溯源，都可以獲得一條唯一的無環溯源鏈（反向），例如圖 5中，節點11—節點5—節點2—節點1即是一條無環溯源鏈。

圖5 傳播路徑

圖片隱私侵犯行為溯源取證方案包括以下2個階段。

1) 溯源信息記錄階段。在圖片開始流轉時，由圖片所有者創建溯源標識，包括隱私信息、隱私信息判定標準、溯源記錄信息。在圖片傳播過程中，每流轉到一個用戶時，通過插件將用戶對圖片隱私信息執行的分享操作、處理操作和行為發生環境記錄在溯源信息記錄中，并利用嵌套簽名保障圖片在傳播過程中不被惡意篡改和偽造。該階段可以合并到延伸控制機制完成。

2) 溯源取證階段。當圖片隱私泄露情況發生時，從發現情況的節點出發，向根節點方向溯源，即可獲得一條圖片隱私信息的溯源鏈。取證人員通過驗簽確認溯源標識的完整性，并根據溯源記錄信息和隱私侵犯行為標準判定是否有隱私行為發生。

4.2.2 嵌套簽名算法

為了保證圖片隱私信息在傳播過程中不被惡意用戶篡改和偽造，本文溯源方案設計了一種嵌套簽名算法。通過使用該算法，圖片所有者創建溯源標識，生成第一條溯源記錄信息并簽名；后續每一個圖片轉發者對先前記錄驗簽后，將自己的操作行為記錄與先前溯源記錄信息及其簽名合并進行簽名；當進行隱私侵犯行為判定時，取證人員需對溯源記錄進行逐層驗簽，來確認各個節點的溯源記錄是否被惡意篡改和偽造。整個過程由延伸控制系統算法插件自動執行，嵌套簽名形式化描述如下。

1) 圖片所有者owner創建溯源標識TraTag。

其中，Pri為隱私信息，Pol為隱私侵犯行為判定標準，Rec為溯源記錄。隱私侵犯行為判定標準Pol可與延伸控制的訪問控制策略保持一致。

溯源記錄函數定義為

其中，S表示操作主體、O表示操作客體（記錄隱私信息當前散列值）、表示操作行為集合、表示操作行為發生的環境集合、 S iguser表示用戶user簽名值。

簽名函數定義為

則圖片所有者owner創建的溯源記錄為

2) 根據接收的溯源記錄 R ecowner，圖片轉發者forwarder1的處理流程如下。

Step1 驗證接收溯源記錄信息的簽名值Sigowner。如果驗簽通過，則進入 Step2；如果簽名值不匹配，則認為溯源記錄被惡意篡改，跳轉至Step 4。

Step2 比較溯源記錄中操作客體Oowner的散列值Hashtrack與自身接收到的圖片隱私信息散列值Hashreceive是否一致。如果一致，則進入 Step3；否則認為圖片隱私信息與溯源記錄不匹配，溯源記錄被惡意篡改，跳轉至Step 4。

Step3 記錄用戶自身對圖片隱私信息的操作，使用由PKI基礎設施頒發的簽名私鑰對接收到的溯源記錄信息 R ecowner作為新溯源記錄的一部分進行簽名，則有

即溯源記錄Rec1的簽名內容包括收到之前所有溯源記錄 R ecowner全部、Rec1除簽名以外部分。

Step4 當簽名驗證不通過或隱私散列值不匹配時，警告當前用戶溯源記錄已被破壞，無法作為隱私侵犯行為判定的證據，請勿繼續轉發。

3) 中間圖片轉發者forwarderi(1＜i≤n) 執行與 2)中第一個圖片轉發者 f orwarder1相同的處理流程。其中，每個溯源記錄Reci的簽名內容包括溯源記錄 R eci-1的全部、Reci除簽名以外的部分，則有

4) 當發生隱私泄露時，取證人員需對發生泄露節點的溯源記錄信息進行逐層驗簽，以確保整條信息傳播鏈上的信息未被篡改、偽造。

4.2.3 侵犯行為判定與溯源算法

確認整條傳播鏈上溯源記錄信息未被篡改或偽造后，取證人員需要對隱私侵犯行為進行判定。溯源取證判定與溯源流程如圖6所示，具體步驟如下。

1) 判斷當前節點溯源記錄信息Reci中是否存在違反隱私侵犯行為標準Pol（或延伸控制策略）的操作行為。

2) 當前節點的溯源記錄Reci不存在隱私侵犯行為時，則對上一節點的溯源記錄 R eci-1進行判斷，并重復執行步驟1)，直到判斷隱私侵犯行為終止。

4.3 安全性分析

4.3.1 隱私策略和溯源記錄安全性分析

根據本文攻擊模型，本節將對抵抗未授權攻擊者、確保延伸控制策略不被非授權擴展和溯源記錄不被篡改、偽造提供安全性分析。

當攻擊來自未授權的攻擊者attacker1時，延伸控制系統的第二層加密算法可以阻擋攻擊者獲得隱私策略PrA的內容。如果延伸控制系統使用的公鑰加密系統是安全的，則系統內外的攻擊者attacker1都無法獲取隱私策略PrA的明文信息，亦不可通過篡改、偽造隱私策略PrA獲取沒有訪問權限的隱私圖片p。

當攻擊者 attacker2是系統內部誠實但好奇（HBC，honest-but-curious）的用戶Useri時，該攻擊者擁有部分操作權限 P rAi,1，并試圖利用已有可賦予權限 P rAi,2與下一用戶 U seri+1合謀，通過賦予更高權限給 U seri+1，再轉發回自己（此時用戶Useri成為用戶 U seri+2），從而提高自己的操作權限 P rAi+2,1。然而，由于延伸控制的約束條件 P rAi,2? P rAi,1，攻擊者 attacker2可賦予的權限 P rAi,2是已有操作權限PrAi,1的子集，因此不能獲得更多權限。同時，攻擊者 attacker2亦不可將可賦予權限 P rAi,2在操作權限PrAi,1中的補集 P rAi,1- P rAi,2傳播給下一用戶useri+1。

此外，還有一類攻擊者attacker3知曉隱私侵犯行為判定標準Pol和溯源記錄Rec的格式等背景知識，試圖通過篡改、偽造判定標準Pol或溯源記錄Rec，以掩蓋隱私侵犯行為或嫁禍他人。然而，嵌套簽名算法要求用戶useri的簽名內容Reci必須包括之前用戶 userowner～ useri-1的簽名信息SIG(Recowner,Rec1,…,Reci-1,Si,Oi, OPi, CONi)，由于attacker3不知道之前用戶的私鑰 P riKeyowner～PriKeyi-1，因此無法偽造簽名正確的溯源記錄。當其他用戶收到篡改圖片時，即可利用溯源記錄中用戶的公鑰 P ubKeyi-1～ P ubKeyowner進行逐層驗簽，發現信息傳播鏈上的溯源記錄中是否存在被篡改、偽造的情況，避免篡改圖片繼續傳播。

4.3.2 圖片隱私區域加密算法選擇

本方案圖片隱私區域的安全性主要依賴第一層加密算法保證，并且延伸控制系統所使用的加密算法可以根據不同的場景需求靈活更換。由于圖片加密算法主要依賴終端設備或邊緣服務器執行，因此本文挑選了一些輕量級的算法作為候選。此外，由于候選圖片加密算法本身的安全證明已在相關文獻中詳細論述，本文便不再贅述。

圖6 溯源取證判定與溯源流程

當隱私圖片的安全性要求較低時，可以選用高速的基于混淆映射的加密方案[26]來提高系統速度。此類算法將圖片隱私區域劃分為N×N個方格，再通過位置置亂的方式將不同方格、不同像素的位置進行混淆。該算法的優點在于加密時間與圖片隱私區域大小無關（平均耗時約3.1 s），僅與方格數目有關。但是該算法并沒有改變圖片的像素值，如果攻擊者擁有一定的背景知識，比如通過圖片公開區域得知該圖片的背景信息，從而找到未加密圖片所在的候選集，即可根據統計特征分析判斷出加密圖片對應的原始內容。

為了更好地達到保護隱私區域的效果，本文從現有工作中選用了一種安全性與時間消耗較為均衡的對稱加密方案[25]來保護隱私。該方案加密時間與圖片隱私區域的大小正相關（如表 2所示），由于圖片中的隱私區域通常較小，因此該方案在日常圖片分享中更為實用。

表2 圖片區域加解密時間消耗

5 實驗及分析

為測試本文提出的隱私圖片分享框架，本章實現了延伸控制和溯源取證方案的原型系統，包括一個Android插件和一個服務器，其中，Android插件在圖片分享中扮演第三方的角色，且不受限于任何確定的圖片分享社交網絡；服務器負責圖片區域的加解密及分配和管理密鑰工作。

5.1 延伸控制效果評估

為測試延伸控制系統的實際效果，在一臺OnePlus 3T智能手機（手機配置為2.15 GHz CPU，6 GB RAM）上進行測試，并使用一臺 ThinkPad T430U作為CA服務器。為更好地了解用戶的分享行為和隱私偏好，本文開展了一項用戶調研，并邀請了27名志愿者，請他們在2周內使用延伸控制系統進行圖片分享并反饋他們是否分享圖片的理由。實驗從志愿者的反饋中共收集了1 722張圖片和647條隱私策略。

5.1.1 延伸控制原型系統

當用戶想要通過延伸控制系統上傳一張圖片時，需要選擇隱私區域并為每個隱私區域分配密鑰。之后，為傳播鏈上后續用戶分配延伸控制策略，約束用戶可以做什么及可以給后續用戶分配什么樣的權限。圖7展示了延伸控制系統的用戶界面。延伸控制系統可以兼容現有社交網絡的訪問控制機制，并不需要其他額外的修改工作。傳統的訪問控制策略可以很容易地加入延伸控制系統的訪問控制條件中。

圖7 延伸控制系統界面

5.1.2 性能評估

實驗從志愿者圖片中隨機選取了100張圖片，并利用延伸控制系統對圖片進行處理。整個流程（不包括加解密時間）平均每張圖片僅耗時45 ms。如表2所示，圖片的加解密時間與圖片加密區域的大小密切相關。此外，加密強度參數同樣會影響加密時間消耗。需要指出的是，第二層的加密時間相較于第一層的加密時間是可以忽略的。平均而言，第二層加密與解密時間分別僅需要47.63 ms和41.35 ms。

5.1.3 用戶評估

在本實驗中，很多志愿者改變了他們最初的分享策略，并且更嚴格地限制了圖片的分享行為。在部分志愿者的反饋中發現，一些延伸控制策略，比如最長展示時間限制、轉發次數限制等可以有效地避免圖片隱私信息的廣泛傳播。這些發現表明，用戶并不愿意讓他們的圖片被無限制的轉發。因此，延伸控制系統對圖片隱私信息跨社交網絡傳播進行控制和溯源是有效和有必要的。

5.2 溯源取證效果評估

為評估圖片隱私信息溯源取證方案的有效性和效率，本章實現了一個溯源取證系統原型，如圖8所示，并從功能和性能2個方面對溯源取證系統進行評估。本實驗邀請曾經參與延伸控制系統實驗的志愿者進行了為期 2周的實驗。在溯源取證系統實驗過程中，暫時取消了延伸控制機制， 而將延伸控制策略作為隱私侵犯行為判定標準。由于溯源取證系統對用戶透明，志愿者們在使用過程中并不需要直接與溯源取證系統交互，在使用系統 2周后，實驗組獲得了134條隱私侵犯行為的測試數據。

5.2.1 功能正確性評估

在本例中，選取一張私人聚會的隱私圖片，Alice在圖片中標注了2個隱私區域，用戶的“臉部區域”和“首飾所在的圖像區域”。“臉部區域”在圖片中的像素坐標分別為(354, 234; 410, 290)，“首飾所在的圖像區域”在圖片中的坐標為(467, 237;497, 302)。

假設Alice將圖片中的隱私區域加密轉發給了Bob，同時設置希望該“首飾所在的圖像區域”僅在同學范圍內分享，且不允許其他用戶再對“臉部區域”進行馬賽克、模糊處理。Bob將“首飾所在的圖像區域”轉發給同學范圍中的Carol和同學范圍外的David，而Carol對圖片中的“臉部區域”進行了馬賽克處理。

溯源記錄信息將記錄以下信息。

“溯源記錄信息001；操作主體：Alice；操作類型：標記、加密；操作時間：2018-03-04 20:30:43”。

“溯源記錄信息002；操作主體：Alice；操作類型：轉發（Bob）；操作時間：2018-03-04 20:42:41”。

“溯源記錄信息003；操作主體：Bob；操作類型：查看（臉部、首飾）、轉發（Carol、David）；操作時間：2018-03-04 21:42:23”。

“溯源記錄信息 004；操作主體：Carol；操作類型：查看（臉部、首飾）；操作時間：2018-03-05 09:12:51”。

“溯源記錄信息 005；操作主體：Carol；操作類型：馬賽克（臉部區域）；操作時間：2018-03-05 11:32:42”。

在另一條傳播路徑上存在以下信息。

“溯源記錄信息 004；操作主體：David；操作類型：查看（臉部、首飾）；操作時間：2018-03-05 08:07:14”。

在隱私侵犯行為發生后，實驗人員在查詢過程中，得到以下隱私侵犯行為判定結果。

“溯源記錄004；操作主體：David；操作類型：查看；操作時間：2018-03-05 08:07:14”超出“首飾所在的圖像區域”查看權限的訪問限制條件“同學范圍”，判定為隱私侵犯行為。

“溯源記錄005；操作主體：Carol；操作類型：馬賽克（臉部區域）；操作時間：2018-03-05 11:32:42”超出“臉部區域”“禁止馬賽克、模糊”的隱私處理權限，判定為隱私侵犯行為。

5.2.2 性能評估

溯源取證方案記錄函數的時間消耗集成進延伸控制機制，平均每張圖片增加功耗14 ms（不包含簽名驗簽時間）。溯源記錄簽名和驗簽的時間與溯源鏈的長度密切相關。為解社交網絡中信息傳播鏈的最大長度，李彪[31]調研了6 025條高轉發微博，平均每條微博被轉發1 836次，總轉發次數為1 108萬次，其中傳播鏈最大長度為13次，平均長度為6次。此外，路由協議RIP則認為16跳連接為不可達。如圖9所示，本實驗測試了溯源記錄在最差情況下的簽名和驗簽時間。假設每條溯源記錄信息包含50 B的內容和64 B的簽名值，在20次交換情況下的簽名時間僅為18.09 ms。

5.3 討論

1) 錄屏攻擊

在延伸控制系統中，為保護圖片中高敏感區域不被其他用戶獲得，圖片在通過插件導出系統時將會被加密。然而，一些 HBC用戶仍然希望拍屏或錄屏的方式存儲圖片的明文副本。這種類型的攻擊并沒有被考慮在本文的工作中，因為可以將文獻[32]方案很容易地集成到延伸控制系統中。

圖8 溯源取證系統管理界面

2) 策略嵌入與隱寫術

現有技術中存在大量利用隱寫術將信息嵌入圖片像素信息的方案，本文未采用隱寫術來嵌入延伸控制策略和溯源記錄信息的原因在于，圖片傳播過程中一些對圖片像素的操作，如剪裁、縮放和濾鏡會破壞嵌入像素中的策略。而EXIF等圖片描述信息在很多情況下可以避免傳播過程中的處理行為破壞。

圖9 嵌套簽名方案簽名內容與消耗時間

6 結束語

本文針對圖片社交網絡中的轉發隱私泄露問題，提出了一個跨社交網絡的隱私圖片分享框架。該框架可以輔助用戶限制在傳播鏈上后續用戶的操作和追加策略范圍。首先，該框架可以在用戶發布圖片前對隱私區域進行加密，并將訪問控制和延伸控制策略綁定到圖片上，在隨圖片流轉過程中不會干擾圖片在社交網絡中的正常顯示。因此，即使在不同的社交網絡中，延伸控制系統依然可以根據策略保護用戶的隱私圖片。在此基礎上，本文將跨社交網絡的隱私圖片分享框架運用到溯源取證中，為隱私侵犯行為的發現提供溯源記錄信息。最后，本文實現了隱私圖片分享原型系統，并在一組真實的實驗數據上進行測試，實驗結果進一步說明了框架的有效性和效率。