面向云計算應用層演化的隱私保護方法研究

柯昌博，吳嘉余，曹 彥

1.南京郵電大學 計算機學院，南京210023

2.南京航空航天大學 計算機科學與技術學院，南京210016

1 引言

隱私是評估軟件可信性的主要因素之一，也是度量用戶敏感數(shù)據(jù)安全的主要非功能屬性[1-2]。隨著物聯(lián)網(wǎng)、云計算、移動支付和電子商務的快速發(fā)展，隱私泄露問題日趨嚴重。如，2018 年，F(xiàn)acebook 由于泄露用戶的個人隱私的信息，其股價下跌28%；2018年8月，谷歌被發(fā)現(xiàn)，即使用戶已經(jīng)在隱私設置中關閉了位置記錄，智能手機的谷歌服務會存儲用戶的位置信息，谷歌仍會記錄，造成用戶的位置信息被暴露[3-4]。隱私最初作為人權保護的部分被提出[5]，在服務計算或云計算的軟件體系結構下，隱私保護是指用戶控制其個人敏感數(shù)據(jù)被服務收集、暴露和維持的能力[6]。而在大數(shù)據(jù)和人工智能的快速發(fā)展下，在用戶不知情的情況下，服務通過數(shù)據(jù)挖掘、知識推理和機器學習等技術能夠獲取用戶偏好、個人身份信息、身體健康數(shù)據(jù)等敏感隱私數(shù)據(jù)，使得用戶的隱私數(shù)據(jù)非法泄露，給用戶帶來經(jīng)濟損失甚至會影響到用戶的人身安全[7-8]。

演化分為用戶的需求演化和組合服務演化[9]。而組合服務演化又分為服務參與者演化和服務組合流程演化[10]。演化作為云計算的主要屬性之一，它增強了SaaS服務的自適應自恢復的能力，并且可以根據(jù)用戶需求的改變，動態(tài)地組合服務，為滿足用戶的功能需求提供了理論和技術支持[11-12]。但是當SaaS服務發(fā)生演化時，使得用戶的隱私數(shù)據(jù)被退出服務組合的服務所收集，造成了用戶的隱私數(shù)據(jù)泄露；或者當服務流程發(fā)生演化時，使得服務參與者獲取了額外的用戶隱私信息，造成了用戶個人敏感隱私信息的泄露[13]。而SaaS 服務組合是一種協(xié)同計算，并且對交互各方來說，數(shù)據(jù)是透明的，即，很難通過加密的手段來保證用戶的隱私安全。因此，很容易使得用戶失去對自身隱私數(shù)據(jù)的控制權，由于明文傳達所帶來的問題，使得采用傳統(tǒng)的信息安全方法來解決比較困難[14]。

通過以上的分析，由于用戶的隱私數(shù)據(jù)在SaaS 服務組合中必須為明文，因此，當SaaS層的服務組合流程發(fā)生演化時會出現(xiàn)如下兩種情況，如圖1所示。

圖1 服務發(fā)現(xiàn)演化

在圖1中，假若服務組合流程中的服務B由于某種原因退出了服務組合流程，服務F替換服務B，當服務組合流程沒有事前檢測與事中監(jiān)督機制，在事中發(fā)生演化，使得用戶的隱私信息已經(jīng)發(fā)送給服務B，這就會發(fā)生由于服務B退出組合流程而泄露用戶的隱私；假若服務B是騙取用戶信息的偽功能服務，那么服務B將會收集大量的用戶隱私信息，本文主要是針對服務組合流程進行事前檢測和事中監(jiān)控，以確保服務組合流程發(fā)生演化時，不會造成用戶隱私信息的泄露。

面向SaaS服務組合的敏感隱私信息安全增強方法研究還處在概念模型層面，例如Cleveland State University的Krupp B利用本體定義了安全與隱私策略，并在操作系統(tǒng)與應用層之間構建安全隱私層來保證應用軟件使用隱私數(shù)據(jù)是按照事前所定義的隱私策略執(zhí)行的，從而確保用戶敏感信息的安全[15]；Purdue University的Ni Q 提出了一種基于角色的隱私感知模型，根據(jù)角色分配相應的隱私訪問策略，通過對策略的匹配來限定用戶對隱私數(shù)據(jù)的訪問權限，從而達到保護敏感隱私數(shù)據(jù)的目的[16]。

本文的主要貢獻為：首先提出了一種隱私協(xié)議的描述方法；其次，給出了隱私協(xié)議的獲取方法；最后，闡述了基于隱私協(xié)議的服務組合隱私暴露監(jiān)督方法。

2 隱私協(xié)議的生成與監(jiān)督

2.1 隱私協(xié)議的生成

定義1（隱私協(xié)議規(guī)約）隱私協(xié)議規(guī)約由4 元組描述，即PS=。其中，I 記錄隱私數(shù)據(jù)在本體樹中的位置；O 表示SaaS 服務，也是隱私數(shù)據(jù)的Owner；S 為隱私項的標識，對應隱私本體中的概念。P 為隱私暴露約束，是對Owner 使用隱私數(shù)據(jù)的約束，形式表示如下：

隱私暴露約束P由對隱私數(shù)據(jù)本身的約束SC和對Owner的約束OC組成；SC表示Owner是否有權限擁有該隱私項，和Owner對此隱私項持有的有效時間進行約束；C 表示隱私數(shù)據(jù)在本體中的類，約束Owner 與用戶進行隱私數(shù)據(jù)交互時，只能對其所對應的類或子類進行交換；opi是類的實例，{ }ow1,ow2,…,own表示實例所對應的Owner；opi:{ }ow1,ow2,…,own表示隱私數(shù)據(jù)類的實例可以被那些Owner持有；opi:owi(vti)表示Owner對隱私數(shù)據(jù)實例持有時間。

OC是對Owner的約束，包括官方Official和SaaS組合者serviceComp 的約束。SC 表示官方或者SaaS 組合者對Owner在隱私法上的約束。

定義2（隱私暴露集PDC（Privacy Disclosure Collection）用戶隱私暴露集PDC表示為：

PDC=Tableau(Ciopi,φ) ，φ=?Ci(opi)???Ck(opk)Tableau()是隱私暴露探測算法，φ 為描述用戶隱私需求的實例斷言公理，{ }Ci(opi),Ck(opk) 為隱私暴露對。由于Tableau()是描述邏輯中對概念的滿足性檢測算法，因此，利用Tableau(Ciopi,φ) 探測隱私數(shù)據(jù)集subject:name 對用戶需求的可滿足性。

定義3（隱私增強集PEC（Privacy Enhancement Collection）假若某個隱私數(shù)據(jù)集滿足：

（1）是非隱私暴露集N-PDC；（2）與服務的輸入與前置條件語義等價，換句話說，就是服務能夠正確運行，PDC ≡(service(input)?service(pre )_condition) ；（3）無冗余的隱私數(shù)據(jù)，即：則滿足條件（1）和（2）的稱為極小隱私增強集，滿足條件（1）、（2）和（3）的稱為最小隱私增強集。

隱私合約的隱私增強集協(xié)商是由用戶端與組合者之間的協(xié)商，用戶端獲取用戶隱私需求中的隱私數(shù)據(jù)類所對應的實例，轉化為實例斷言公理φ；組合者持有服務輸入和前置條件中的隱私數(shù)據(jù)集。首先，用戶向服務組合者發(fā)送服務請求，服務組合者收到用戶的服務請求后，向用戶出示運行服務所要的隱私數(shù)據(jù)集{C1(op1),…,Ci(opi),…,Cn(opn)} 。此時，探測服務組合者所要求的隱私數(shù)據(jù)集是否滿足用戶的隱私需求，具體過程如下：

（1）針對隱私項是否滿足用戶的隱私實例斷言公理，即：φ ?Ci(opi)；

（2）針對隱私數(shù)據(jù)集是否滿足PDC；

（3）檢測此隱私數(shù)據(jù)集是否與服務的輸入與前置條件語義等價：

（4）是否存在冗余的隱私數(shù)據(jù)，即：

用戶端將檢測結果發(fā)回給服務端，如果檢測內(nèi)容（1），其結果為φ|≠Ci(opi)，服務端采用本體樹搜索算法，找到其兄弟節(jié)點brother( )Ci(opi) ，用兄弟節(jié)點替換節(jié)點Ci(opi)，直到滿足用戶隱私實例斷言公理φ，然后檢測是否滿足（2）。假若搜索完所有的節(jié)點也不能滿足φ，則用戶發(fā)送消息要求服務組合者重新綁定服務。

檢測內(nèi)容（3），如果隱私暴露集PDC與服務的輸入和前置條件在語義上不等價，服務組合者重新綁定服務，并將所需暴露的隱私數(shù)據(jù)返回給用戶進行檢測（1）。

檢測內(nèi)容（4），如果存在冗余的隱私數(shù)據(jù)，Ci(opi)?PDC ≠φ。此時，服務組合者根據(jù)用戶的需求去掉冗余，并將此結果返回給用戶確認，并得到隱私增強集，即協(xié)商成功。

當用戶與服務組合者進行隱私增強集協(xié)商成功以后，得到了Ci(opi)序列，即{C1(op1),C2(op2),…,Cj(opj),…,Cn(opn)} 。對于用戶而言，此序列中的每個Cu(opu)都有隱私暴露約束P，即Cu(opu)?P；對于服務提供者，此序列中的每個Cs(ops)都有隱私披露約束P，即Cs(ops)?P；P描述了Owner使用隱私數(shù)據(jù)的具體行為約束和時間約束，如：傳遞的Owner，有效使用時間等。

定義4（隱私約束映射SM（Pu?PsMapping））隱私披露/暴露約束的語義映射滿足如下條件：

（1）用戶的隱私數(shù)據(jù)類的實例所對應的隱私披露約束與服務提供者的隱私數(shù)據(jù)類的實例所對應的隱私暴露約束之間等價，即Cu(opu)?Pu≡Cs(ops)?Ps。

（2）用戶的隱私數(shù)據(jù)類的實例所對應的隱私暴露約束包含服務提供者隱私數(shù)據(jù)類的實例所對應的隱私披露約束，即Cu(opu)?Pu?Cs(ops)?Ps。

隱私披露/暴露約束的交換過程也是隱私約束的映射過程。首先，服務組合者所對應的服務端根據(jù)隱私增強集協(xié)商所得到的隱私約束的交換序列，向用戶端發(fā)送隱私披露約束P1s，用戶端收到以后，啟動推理機對用戶和服務提供者之間的隱私約束關系Pu?Ps進行推理，其推理結果有三種情況：

2.2 面向服務交互過程的隱私監(jiān)督

定義5（隱私暴露監(jiān)督動作[17-18]）假設Ci為隱私項的本體概念名，D 為本體概念，則隱私概念的定義式可以表示為Ci≡D。對于概念定義式所組成的有限集合T ，如果每個概念名最多在T 中某個概念定義式的左邊出現(xiàn)一次，則稱T 為P_TBox。給定某個P_TBox，設NA為原子動作名所組成的集合，可以將原子隱私暴露監(jiān)督動作定義為：

其中：

（1）α ∈NA為所定義的原子動作名；

（2）{C1(op1),C2(op2),…,Cj(opj),…,Cn(opn)} 為SaaS服務所請求的用戶隱私項所組成的有限序列；

（3）D 為委托授權聲明所組成的有限集合，表示執(zhí)行某個動作所必須滿足的前提條件；

（4）P 為隱私斷言所組成的有限集合，表示執(zhí)行某個動作所產(chǎn)生的結果；

（5）D和P滿足：φ ∈P →φ?∈D。

對于隱私暴露監(jiān)督動作定義式所組成的任何一個有限集合P-A，如果每個隱私暴露監(jiān)督動作名最多在PA中某個隱私暴露監(jiān)督動作定義式的左邊出現(xiàn)一次，則稱P-A為P-AABox。

當服務組合者BPEL調(diào)用外包服務時，SaaS服務向服務組合者請求用戶的隱私數(shù)據(jù)作為服務的輸入和前置條件。為了分析SaaS服務是否擁有獲取用戶隱私數(shù)據(jù)的權限并是否按照隱私策略使用用戶的隱私數(shù)據(jù)，服務組合者需要對SaaS 服務進行分析以及對SaaS 服務使用用戶隱私數(shù)據(jù)的過程進行監(jiān)控。設隱私暴露監(jiān)督動作π ≡α[C1(op1),C2(op2),…,Cj(opj),…,Cn(opn)],即π ≡request(O,pa),其中request(O,pa)表示SaaS 服務從服務組合者獲取隱私數(shù)據(jù)的過程，pa 表示隱私數(shù)據(jù)P的一個實例，即：

Request（O，pa）≡（{O，pa，composerServer（pa），?owns（O，pa）}，{?composerServer（pa），owns（O，pa）}）

因此，隱私可滿足性分析過程可以通過以下兩步進行描述：

步驟1 檢測是否為授權的SaaS服務：( D?;π)*;?D?；如果是，則執(zhí)行動作π ，即返回相應的隱私數(shù)據(jù)給SaaS服務。如果此SaaS 服務為非授權服務，則不執(zhí)行動作π ，即拒絕暴露隱私數(shù)據(jù)給此服務提供者。此時，服務組合者將調(diào)用其他候選服務進行授權檢測，直到滿足相應的授權規(guī)則為止。

步驟2 對SaaS 服務的執(zhí)行進行監(jiān)控：(P?;ok)?(?P?;cal l(SLA))。其中，ok 表示滿足Mapping(Pu?Ps)，服務組合者繼續(xù)調(diào)用其他服務并重復此過程；call（SLA）表示如果SaaS 服務違反了隱私暴露約束，即使得隱私暴露約束為假，此時調(diào)用SLA中對應的懲罰機制進行懲罰。同時繼續(xù)執(zhí)行BPEL 流程，如果捕獲到invoke 標簽，則回到步驟1。

定義6（BPEL-隱私約束轉換）根據(jù)云服務組合流程BPEL 在執(zhí)行過程中服務參與者之間的協(xié)同交互關系，得到相應的隱私披露約束：

（1）根據(jù)receive活動的輸入和前置條件獲取Owner所要求用戶提供的隱私數(shù)據(jù)，Pi:{Ox,Oy} ；

（2）根據(jù)invoke 活動，得到用戶隱私數(shù)據(jù)的傳遞關系，即由某個Owner傳遞給某一個Owner，Pi:{Ox→Oy} 。

（3）根據(jù)Wait 活動，獲取Owner 對用戶數(shù)據(jù)的持有時間Pi:≤vt。

定義7（面向隱私的服務演化分析）服務組合流程不滿足用戶的需求，有3種操作，分別為刪除、添加和替換，而替換的過程可以分解為刪除此服務和增加滿足用戶需求的服務兩個操作。

當刪除某個服務時，分為4種情況進行討論：

（1）當服務組合流程圖中被刪除服務的入度為0時，即deg+(v)=0 ，對應的演化監(jiān)控斷言可以表示為：if(deg+(v)=0){try{Φ}}，其中deg+(v)表示此服務所對應節(jié)點的入度，Φ 表示什么也不用做。

（2）當服務組合流程圖中被刪除服務的入度為1時，即deg+(v)=1，對應的演化監(jiān)控斷言可以表示為：if(deg+(v)=1){try{forall:≤0(vt)ΘA from(pre-A)}}，其中vt表示服務A 使用用戶隱私信息的時間，pre-A 表示A 的前驅服務。

（3）當服務組合流程圖中被刪除服務的入度大于等于2時，即deg+(v)≥2，對應的演化監(jiān)控斷言可以表示為：

（4）當服務組合流程圖中被刪除服務的出度為0時，即deg-(v)=0 ，對應的演化監(jiān)控斷言可以表示為：

當添加某個服務時，分為兩種情況進行討論：

（1）當服務組合流程圖中被添加服務的出度或者入度為1時，即( deg-(v)=1) ∨( deg+(v)=1) =ture，對應的演化監(jiān)控斷言可以表示為：

（2）當服務組合流程圖中被添加服務的出度或者入度大于等于2 時，即( deg-(v)≥2 )∨( deg+(v)≥2) =ture，對應的演化監(jiān)控斷言可以表示為：

3 實例研究

王同學（Wang）想通過SaaS服務組合者C向Alibaba的服務提供者教學用品公司S 購買一批教學用品。其中S為Alibaba的非VIP用戶。

Wang對非VIP用戶的隱私策略為：

（1）如果暴露自己的真實名字RN，則只能暴露自己的辦工室電話號碼OP，并且地址中不能帶有社區(qū)信息。

（2）名字RN、不帶社區(qū)信息的地址AWC 和電話號碼OP只能提供給快遞公司或郵局。

（3）在交易完成后，C、Alibaba和所有服務參與方必須在20分鐘內(nèi)自動清除所有用戶隱私信息。

Alibaba對于非VIP用戶家具公司S，其隱私策略為：

（1）C 只允許S 將Wang 的名字RN、不帶社區(qū)信息的地址AWC和電話號碼OP提供給快遞公司或郵局。

（2）在交易完成后，S 和所有服務參與方必須在15分鐘內(nèi)自動清除所有用戶隱私信息。

假設在交易過程中，Alibaba不能滿足Wang的功能需求，需要將Alibaba 替換為JD，Wang 要求在服務替換過程中，保證其隱私數(shù)據(jù)的安全。

組合服務由服務組合者C，在線購物平臺A（Alibaba），顧客（Wang），售貨商Seller（SE），快遞公司Shipper（SH），4個協(xié)作單元組成，其中Wang的姓名N（name），家庭住址AD（address），郵編PC（postcode），電話PH（phone），銀行賬號等是其個人隱私數(shù)據(jù)，本文假設用戶采用貨到付款的方式。

步驟1 隱私協(xié)議的生成

根據(jù)SaaS 服務組合者C 得到所需用戶的隱私數(shù)據(jù)集{s ubject:name} 并賦值：

userName（Wang）；RN（Wang）；Stree（YUDAO STREET）；City（NANJING）；Province（JIANGSU）；Country（CHINA）；OP（+86-0258686866）∪Mobile（+86-123456789）；PC（210016）

用戶Wang的隱私需求可以得到實例斷言公理φ，即：

φ=?hasRN.Name（Wang）?AWC（YUDAO STREET，NANJING CITY，JIANGSU PROVINCE，CHINA）?hasOP（Wang，+86-0258686866）

其中非原子概念AD和AWC可以表示為：

根據(jù)Tableau算法的展開規(guī)則、?規(guī)則、?規(guī)則和?規(guī)則，可以得到φ=Wang，YUDAO，NANJING，JIANGSU，CHINA，+86-0258686866，沒有沖突。由定義2可知Wang的RN 與mobile 或者與AD，即{R N,Adress} 和{RN,mobilePhone} 為隱私暴露集。由定義3可知{RN,AWC,OP} 恰好是Wang的一個隱私增強集。假若此用戶Wang不想暴露自己的辦公室電話號碼，此時服務無法執(zhí)行，則不是隱私增強集。

為了簡化隱私暴露約束，對于非VIP 用戶，省略serverConstr 部分。根據(jù)用戶的隱私需求可以得到隱私暴露約束：

因此，隱私策略的詳細協(xié)商過程如下：

（1）預協(xié)商階段：Wang通過云服務組合者C向Alibaba的服務提供商家具公司S發(fā)出教學用品的請求，C收集服務交易過程中所需的隱私數(shù)據(jù)，并將收集后的隱私數(shù)據(jù)集{ }RN,AD,OP 通過客戶端的算法Tableau(Ci(opi),φ)進行隱私增強集協(xié)商。在此過程中發(fā)現(xiàn){ }RN,AD 為隱私暴露集，因此，隱私數(shù)據(jù)Address 不滿足客戶的隱私暴露斷言φ，即φ|≠AD。此時，利用函數(shù)brother( )

AD得到AD在本體樹中的兄弟節(jié)點AWC，然后重復上述過程。發(fā)現(xiàn){RN，AWC，OP}滿足用戶非隱私暴露集，并且可以使服務組合正常運行，即PDC ≡(service(input)?service(pre )_condition) ，同時，沒有冗余的隱私數(shù)據(jù)，即subject:name ∩PDC ≠φ。此時，獲取隱私增強集。

（2）隱私披露約束的交換階段：當隱私增強集{RN，AWC，OP}后，利用Reasoner()進行隱私披露/暴露約束的語義映射。根據(jù)Wang 與服務提供者對隱私披露/暴露約束的定義可知，Wang服務提供者的隱私暴露約束比Wang 的隱私披露約束更嚴格，即，故獲取隱私協(xié)議。

步驟2 面向隱私協(xié)議的監(jiān)督

委托授權聲明D可以表示為：

D=(credit ≥6 000)?Bank∨(reputation ≥600)?Amazon

根據(jù)用戶與C的隱私協(xié)議協(xié)商，可以得到隱私暴露約束P如下：

由分析可以得到，電子商務服務僅僅擁有用戶的名字（RN）、不帶社區(qū)信息的地址（AWC）和電話號碼（OP），并且電子商務服務僅僅把這些隱私信息發(fā)送給賣家，而沒有給其他的商家；同樣，賣家也是僅僅擁有這些用戶隱私信息，并且僅僅發(fā)送給了快遞公司；快遞公司也是僅僅擁有用戶的這些隱私信息，并沒有發(fā)送給其他任何商家，僅僅將貨品發(fā)送給客戶。

隱私協(xié)議監(jiān)督機制有委托授權聲明DS檢測和隱私暴露斷言P監(jiān)控兩部分。采用插樁的方式分別將D和P插入SaaS 服務組合流程BPEL 中服務調(diào)用之前和之后的位置，對BPEL流程中SaaS服務的執(zhí)行進行權限檢測和隱私協(xié)議監(jiān)控。由于對SaaS 服務執(zhí)行流程BPEL 的擁有者C 來說，為服務組合者，因此不用檢測C 的使用權限，并且其Scope為全局的，一定為服務。因此，只須對流程執(zhí)行過程中是否遵守了隱私協(xié)議進行監(jiān)控即可。為了減少監(jiān)督服務對SaaS服務執(zhí)行在時間上的影響，將隱私協(xié)議監(jiān)督器（監(jiān)控隱私暴露斷言PDAi）與BPEL流程并行執(zhí)行，如圖2所示。

針對C，A，SE和SH的監(jiān)督取證，首先，檢測委托授權聲明( D?;π)?;?D?，如果DAS 為真，則執(zhí)行π ，同時啟動監(jiān)督器對服務的執(zhí)行過程進行監(jiān)督取證。具體的檢測與監(jiān)督過程如下：

圖2 監(jiān)督過程的BPEL表示

（1）C

Request（C，RN）≡（{C，RN，User（RN），?owns（C，RN）}，{?User（RN），owns（C，RN）}）

Request（C，AWC）≡（{C，AWC，User（AWC），?owns（C，AWC）}，{?User（AWC），owns（C，AWC）}）

Request（C，OP）≡（{C，OP，User（OP），?owns（C，OP）}，{?User（OP），owns（C，OP）}）

同時，啟動監(jiān)督器Supervise C，即匹配隱私暴露約束：P1=RN:C ∧( C →A );P2=AWC:C ∧( C →A );P3=OP:C ∧( C →A )。

（2）A

Request（A，RN）≡（{A，RN，C（RN），?owns（A，RN）}，{?C（RN），owns（A，RN）}）

Request（A，AWC）≡（{A，AWC，C（AWC），?owns（A，AWC）}，{?C（AWC），owns（A，AWC）}）

Request（A，OP）≡（{A，OP，C（OP），?owns（A，OP）}，{?C（OP），owns（A，OP）}）

同時，啟動監(jiān)督器Supervise A，即匹配隱私暴露約束：

（3）SE

Request（SE，RN）≡（{SE，RN，A（RN），?owns（SE，RN）}，{?A（RN），owns（SE，RN）}）

Request（SE，AWC）≡（{SE，AWC，E-commerce Service（AWC），?owns（SE，AWC）}，{?A（AWC），owns（SE，AWC）}）

Request（SE，RN）≡（{SE，OP，A（OP），?owns（SE，OP）}，{?A（OP），owns（SE，OP）}）

同時，啟動監(jiān)督器SE，即匹配隱私暴露約束：

（4）SH

Request（Shipper，RN）≡（{SH，RN，SE（RN），?owns（SH，RN）}，{?SE（RN），owns（SH，RN）}）

Request（SH，AWC）≡（{SH，AWC，SE（AWC），?owns（SH，AWC）}，{?SE（AWC），owns（SH，AWC）}）

Request（SH，RN）≡（{SH，OP，SE（OP），?owns（SH，OP）}，{?SE（OP），owns（SH，OP）}）

同時，啟動監(jiān)督器SH，即匹配隱私暴露約束：

最后，檢測定時器Wait所對應的隱私暴露約束：

步驟3 演化監(jiān)控

假設服務組合流程中，由于電子商務服務A 不滿足用戶的需求，需要發(fā)生演化，即將A（Alibaba）替換為E（JD），假設服務A的入度為1，即deg+(v)=1，那么對應的演化監(jiān)控斷言可以表示為：

同時，由于服務組合流程圖中被添加服務E的出度和入度都為1，即，則對應的演化監(jiān)控斷言可以表示為：

4 結束語

本文提出了一種隱私數(shù)據(jù)的描述、隱私策略的協(xié)商與監(jiān)督機制。在SaaS 服務組合過程中，針對明文交互與演化的特征，為保證用戶隱私需求的一致性和可滿足性提供了一種理論依據(jù)和實現(xiàn)方法，該方法能夠有效地增強用戶隱私信息的安全。下一步將針對監(jiān)督日志進行分析，以保證與時間相關的隱私信息安全。