基于聯(lián)盟鏈的數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)研究

劉浩東 王秀紅

摘 要：

通過(guò)分析用戶(hù)隱私信息在用戶(hù)、數(shù)字圖書(shū)館和供應(yīng)商之間的流動(dòng)路徑、生命周期各環(huán)節(jié)泄露風(fēng)險(xiǎn)，結(jié)合三螺旋理論和聯(lián)盟鏈技術(shù)，構(gòu)建包含數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、合約層與應(yīng)用層五個(gè)層級(jí)的數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)模型（LibUPM），以期為數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)提供新的思路和方法，實(shí)現(xiàn)用戶(hù)信息的開(kāi)發(fā)利用與隱私保護(hù)之間的平衡。

關(guān)鍵詞：

數(shù)字圖書(shū)館；聯(lián)盟鏈；區(qū)塊鏈；三螺旋；可搜索加密；用戶(hù)隱私

中圖分類(lèi)號(hào)：G250.76??? 文獻(xiàn)標(biāo)識(shí)碼：A?? 文章編號(hào)：1003-7136（2023）05-0067-10

Research on User Privacy Protection of Digital Libraries Based on Alliance Chain

LIU Haodong，WANG Xiuhong

Abstract：

By analyzing the flow path，link and leakage risk of user privacy information among users，digital libraries and suppliers，combined with triple helix theory and alliance chain technology，this paper constructs a user privacy protection model of digital library（ LibUPM）including five levels：data layer，network layer，consensus layer，contract layer and application layer，in order to provide new ideas and methods for digital libraries user privacy protection，and realize the balance between the exploitation and privacy protection of user information.

Keywords：

digital library；alliance chain；blockchain;triple helix；searchable encryption;user privacy

0 引言

隨著云存儲(chǔ)、物聯(lián)網(wǎng)與大數(shù)據(jù)等新興技術(shù)在數(shù)字圖書(shū)館領(lǐng)域的廣泛應(yīng)用，我國(guó)數(shù)字圖書(shū)館事業(yè)步入了高速發(fā)展階段［1］。數(shù)字圖書(shū)館是在知識(shí)管理的背景下，以數(shù)字化、網(wǎng)絡(luò)化方式存儲(chǔ)、共享和利用數(shù)字圖書(shū)館中各種館藏文獻(xiàn)的知識(shí)網(wǎng)絡(luò)系統(tǒng)，具有資源整合化、存取網(wǎng)絡(luò)化、跨時(shí)空服務(wù)等特點(diǎn)，不斷增長(zhǎng)的數(shù)字資源是數(shù)字圖書(shū)館發(fā)展的重要保障［2］。人工智能時(shí)代，用戶(hù)在數(shù)字圖書(shū)館進(jìn)行身份登記、文獻(xiàn)檢索以及參考咨詢(xún)等活動(dòng)的信息都會(huì)被記錄下來(lái)，并以數(shù)字化形式存儲(chǔ)。數(shù)字圖書(shū)館對(duì)用戶(hù)個(gè)人信息進(jìn)行全面采集和深度分析，以滿(mǎn)足用戶(hù)的多元需求［3］；同時(shí)數(shù)字圖書(shū)館為了提高自身數(shù)字化建設(shè)與服務(wù)水平，還需要與供應(yīng)商共享用戶(hù)信息［4］。用戶(hù)、數(shù)字圖書(shū)館和供應(yīng)商三者的關(guān)系從未如今天一般緊密，但與此同時(shí)，聯(lián)結(jié)三者的用戶(hù)隱私信息也面臨著嚴(yán)峻的泄露威脅［5］。

數(shù)字圖書(shū)館用戶(hù)隱私泄露主要包括信息采集、信息存儲(chǔ)和傳輸、信息濫用以及業(yè)務(wù)外包等途徑［6］。在信息采集過(guò)程中，用戶(hù)在注冊(cè)讀者證、參加活動(dòng)時(shí)填寫(xiě)的姓名、性別、年齡、職業(yè)、聯(lián)系方式等基本信息，以及使用數(shù)字圖書(shū)館網(wǎng)站、App等在線服務(wù)的日志數(shù)據(jù)都是潛在風(fēng)險(xiǎn)對(duì)象，很容易被保密意識(shí)不強(qiáng)的工作人員泄露或是被黑客竊取。目前信息存儲(chǔ)和傳輸主要采用云存儲(chǔ)方式，然而云平臺(tái)較易受網(wǎng)絡(luò)攻擊，數(shù)據(jù)在云上的遷移帶來(lái)的殘留數(shù)據(jù)存在著泄露用戶(hù)隱私的風(fēng)險(xiǎn)［4］。在信息濫用方面，數(shù)字圖書(shū)館以及供應(yīng)商為了更為精準(zhǔn)地發(fā)掘用戶(hù)的需求，使用分析能力更強(qiáng)的機(jī)器學(xué)習(xí)算法對(duì)用戶(hù)隱私進(jìn)行分析，卻忽略了對(duì)敏感數(shù)據(jù)的加密處理，構(gòu)成了較大的隱私泄露風(fēng)險(xiǎn)［7］。業(yè)務(wù)外包時(shí)將部分業(yè)務(wù)交由第三方公司，相應(yīng)用戶(hù)隱私數(shù)據(jù)也被過(guò)渡到第三方，使得用戶(hù)隱私暴露在更大的泄露風(fēng)險(xiǎn)之下［8］。

為應(yīng)對(duì)日趨嚴(yán)重的用戶(hù)隱私泄露問(wèn)題，用戶(hù)、數(shù)字圖書(shū)館和供應(yīng)商需要協(xié)同合作［9］。數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)研究迫在眉睫。

1 數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)研究現(xiàn)狀分析

數(shù)字圖書(shū)館和供應(yīng)商為了向用戶(hù)提供更多、更優(yōu)質(zhì)的個(gè)性化服務(wù)，必須獲得更豐富、更敏感的用戶(hù)隱私信息，必須利用更先進(jìn)的人工智能算法對(duì)用戶(hù)隱私信息進(jìn)行更深層次的分析，但這極大加劇了用戶(hù)隱私信息泄露的風(fēng)險(xiǎn)［6］。因此，保障數(shù)字圖書(shū)館用戶(hù)隱私安全是進(jìn)一步開(kāi)展個(gè)性化服務(wù)的必要前提。

國(guó)內(nèi)外學(xué)者關(guān)于數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)研究集中在兩大方向，一是基于法律法規(guī)的角度，二是基于技術(shù)方法的角度。20世紀(jì)中葉，國(guó)外就針對(duì)圖書(shū)館用戶(hù)隱私頒布了一系列法規(guī)政策，在法律和技術(shù)上都較為成熟；而國(guó)內(nèi)的相關(guān)研究始于21世紀(jì)初，起步較晚，缺乏相應(yīng)的法律規(guī)范，技術(shù)方法也相對(duì)落后，亟待確立符合國(guó)情的數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)法律、標(biāo)準(zhǔn)，利用人工智能、密碼學(xué)技術(shù)形成更高效的隱私保護(hù)方法［10-11］。

宋文秀通過(guò)調(diào)研若干不同類(lèi)型的數(shù)字圖書(shū)館，分析數(shù)字圖書(shū)館用戶(hù)信息的泄露途徑，認(rèn)為數(shù)字圖書(shū)館要根據(jù)法律法規(guī)采取有效手段保障用戶(hù)隱私安全，并提出了保護(hù)用戶(hù)隱私的七大措施［12］。陸康等通過(guò)對(duì)我國(guó)與歐盟數(shù)據(jù)安全法律的比較研究，探討了用戶(hù)、數(shù)字圖書(shū)館和數(shù)字圖書(shū)館業(yè)務(wù)這三者的權(quán)利與義務(wù)以及三者間的關(guān)聯(lián)［13］。McKinnon D等基于圖書(shū)館與供應(yīng)商共享用戶(hù)隱私的視角，調(diào)查了加拿大部分高校圖書(shū)館的供應(yīng)商的隱私政策，并分別提出了圖書(shū)館和供應(yīng)商加強(qiáng)用戶(hù)隱私安全的改進(jìn)措施［14］。Younghee Noh先后調(diào)查了圖書(shū)館員在接受用戶(hù)隱私教育前后對(duì)圖書(shū)館用戶(hù)隱私的感知變化，認(rèn)為在圖書(shū)館員群體中開(kāi)展定期的隱私教育對(duì)圖書(shū)館隱私保護(hù)的發(fā)展是極其必要的［15-16］。然而，由于相關(guān)的法律法規(guī)還未健全，現(xiàn)有法律法規(guī)雖然能夠在一定程度上緩解隱私信息泄露問(wèn)題，但無(wú)法從根本上解決此問(wèn)題。

在技術(shù)方法上，賈俊杰等提出基于數(shù)據(jù)屬性的匿名方法，利用層級(jí)劃分和匿名化處理的方式實(shí)現(xiàn)對(duì)數(shù)字圖書(shū)館用戶(hù)隱私數(shù)據(jù)的保護(hù)和高質(zhì)量發(fā)布，但如何確定合適的屬性權(quán)重仍有待進(jìn)一步研究［17］。Wu Z D等通過(guò)設(shè)計(jì)行為偏好隱私保護(hù)框架模型，將用戶(hù)的真實(shí)行為混雜在偽行為中，一同提交給不可信服務(wù)器端，從而實(shí)現(xiàn)用戶(hù)行為偏好隱私保護(hù)［18］。Wu Z D等還基于數(shù)據(jù)加密理論和數(shù)據(jù)索引理論，在對(duì)讀者借閱隱私進(jìn)行事前加密的同時(shí)，設(shè)計(jì)了讀者文獻(xiàn)流通記錄的相關(guān)查詢(xún)方法，借此保障讀者借閱隱私的安全性和信息查詢(xún)的高效性［19］。

綜上所述，現(xiàn)有研究雖在一定程度上提出有助于解決數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)問(wèn)題的不同見(jiàn)解，但依然存在以下待解決的問(wèn)題：①研究對(duì)象未能同時(shí)包括靜態(tài)用戶(hù)隱私和動(dòng)態(tài)用戶(hù)隱私；②研究所立足的場(chǎng)景僅限于數(shù)字圖書(shū)館本身，未能囊括整個(gè)數(shù)字圖書(shū)館生態(tài)，即用戶(hù)、數(shù)字圖書(shū)館和供應(yīng)商；③研究范圍未能覆蓋到用戶(hù)隱私信息整個(gè)生命周期，偏重于用戶(hù)隱私信息的安全采集與存儲(chǔ)。本文基于三螺旋理論和聯(lián)盟鏈技術(shù)提出一種數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)模型，分析信息在用戶(hù)、數(shù)字圖書(shū)館和供應(yīng)商之間的流動(dòng)路徑及泄露風(fēng)險(xiǎn)，為數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)提供新的思路和方法，最終實(shí)現(xiàn)用戶(hù)信息的開(kāi)發(fā)利用和隱私保護(hù)之間的平衡。

2 理論方法

2.1 三螺旋理論

1995年，Etzkowitz H等首次提出三螺旋理論，用以描述政府、企業(yè)和大學(xué)三者之間的協(xié)同創(chuàng)新關(guān)系［20］。由于政府、企業(yè)和大學(xué)有著共同利益，因此他們可以通過(guò)密切互動(dòng)實(shí)現(xiàn)合作共贏。三螺旋理論因其可以有效聯(lián)結(jié)各方主體以實(shí)現(xiàn)共同利益訴求的特性，被廣泛應(yīng)用于教育、公共政策、區(qū)域經(jīng)濟(jì)、創(chuàng)新實(shí)踐等領(lǐng)域［21］。同時(shí)，也有學(xué)者將三螺旋理論應(yīng)用于圖書(shū)館學(xué)研究領(lǐng)域，如梁春慧針對(duì)圖書(shū)館服務(wù)的優(yōu)化工作，提出了包括圖書(shū)館、環(huán)境和用戶(hù)三元主體的三螺旋理論，并以服務(wù)高校的協(xié)同創(chuàng)新中心為例，驗(yàn)證了三螺旋理論對(duì)于圖書(shū)館服務(wù)的優(yōu)化作用［22］。

數(shù)字圖書(shū)館用戶(hù)隱私信息是將用戶(hù)、數(shù)字圖書(shū)館和供應(yīng)商緊緊聯(lián)系在一起的數(shù)據(jù)資源，用戶(hù)隱私信息在三者間的流動(dòng)使得三者形成了一個(gè)“用戶(hù)—數(shù)字圖書(shū)館—供應(yīng)商”三螺旋模式。在該模式下，數(shù)字圖書(shū)館和供應(yīng)商同為用戶(hù)隱私信息的消費(fèi)者，在優(yōu)化信息資源結(jié)構(gòu)、提升信息服務(wù)水平的驅(qū)動(dòng)下，迫切需要對(duì)其進(jìn)行采集、傳輸和深入分析，而用戶(hù)則希望自己的隱私信息能夠被安全地采集、傳輸、存儲(chǔ)、清除以及被有限地開(kāi)發(fā)利用［4］。為了實(shí)現(xiàn)各方的共贏，數(shù)字圖書(shū)館、供應(yīng)商與用戶(hù)之間有必要達(dá)成對(duì)用戶(hù)信息的開(kāi)發(fā)利用與隱私保護(hù)的平衡，這符合三螺旋理論的思想架構(gòu)。

2.2 聯(lián)盟鏈技術(shù)

聯(lián)盟鏈?zhǔn)怯扇舾晒?jié)點(diǎn)共同參與管理，數(shù)據(jù)僅限于各個(gè)節(jié)點(diǎn)間共享的一種區(qū)塊鏈，實(shí)現(xiàn)了部分去中心化，兼具去中心化和隱私性特點(diǎn)，適用于多組織間的合作，目前已經(jīng)被大量應(yīng)用于解決物聯(lián)網(wǎng)交易者和病人的隱私信息泄露問(wèn)題［23-24］。在圖書(shū)館學(xué)領(lǐng)域，學(xué)者們主要著眼于應(yīng)用聯(lián)盟鏈促進(jìn)圖書(shū)館信息資源的安全共享與平臺(tái)建設(shè)，對(duì)于用戶(hù)隱私保護(hù)的研究則較少。在聯(lián)盟鏈技術(shù)的支撐下，基于三螺旋理論形成的“用戶(hù)—數(shù)字圖書(shū)館—供應(yīng)商”利益共同體組成了聯(lián)盟鏈的各個(gè)節(jié)點(diǎn)，從而形成致力于數(shù)字圖書(shū)館用戶(hù)信息隱私安全與合理開(kāi)發(fā)的聯(lián)盟鏈，有望保證用戶(hù)隱私的安全共享和適度開(kāi)發(fā)，實(shí)現(xiàn)各方的合作共贏。

本文結(jié)合三螺旋理論，基于聯(lián)盟鏈技術(shù)構(gòu)建一種數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)模型（user privacy protection model of digital Library，以下簡(jiǎn)稱(chēng)：LibUPM），可兼具三螺旋模型的互作用特征和聯(lián)盟鏈的部分去中心化特點(diǎn)，既能發(fā)揮用戶(hù)、數(shù)字圖書(shū)館和供應(yīng)商在用戶(hù)隱私信息保護(hù)方面的積極作用，又能推動(dòng)用戶(hù)信息的開(kāi)發(fā)利用和隱私保護(hù)達(dá)成平衡。

3 模型構(gòu)建過(guò)程

數(shù)字圖書(shū)館用戶(hù)隱私信息是指用戶(hù)在使用數(shù)字圖書(shū)館提供的服務(wù)過(guò)程中產(chǎn)生的個(gè)人隱私信息［25］，包括靜態(tài)用戶(hù)隱私與動(dòng)態(tài)用戶(hù)隱私［18］。靜態(tài)用戶(hù)隱私可分為用戶(hù)身份信息和用戶(hù)敏感信息［27］：用戶(hù)身份信息是指姓名、性別、年齡、手機(jī)號(hào)等身份標(biāo)識(shí)；用戶(hù)敏感信息是指政治面貌、宗教信仰、社會(huì)關(guān)系等社會(huì)背景信息。動(dòng)態(tài)用戶(hù)隱私是指用戶(hù)在使用參考咨詢(xún)服務(wù)、圖書(shū)借閱服務(wù)等數(shù)字圖書(shū)館服務(wù)時(shí)產(chǎn)生的個(gè)人行為偏好信息。

3.1 用戶(hù)隱私信息泄露風(fēng)險(xiǎn)分析

3.1.1 用戶(hù)隱私信息流動(dòng)路徑及泄露風(fēng)險(xiǎn)分析

用戶(hù)隱私信息聯(lián)結(jié)的“用戶(hù)—數(shù)字圖書(shū)館—供應(yīng)商”三螺旋模式下，三者的相互作用及影響主要包括以下三條路徑。

（1）用戶(hù)—數(shù)字圖書(shū)館：用戶(hù)向數(shù)字圖書(shū)館提供自己的隱私信息，促使數(shù)字圖書(shū)館的服務(wù)水平得到提升，進(jìn)而用戶(hù)更加愿意將隱私信息提供給數(shù)字圖書(shū)館。該路徑下用戶(hù)不光要將靜態(tài)隱私信息交予數(shù)字圖書(shū)館，也要將動(dòng)態(tài)隱私信息提供給數(shù)字圖書(shū)館以使用各項(xiàng)服務(wù)，用戶(hù)的所有隱私信息都存儲(chǔ)在數(shù)字圖書(shū)館，喪失了對(duì)自身隱私信息的控制權(quán)，存在很大的泄露風(fēng)險(xiǎn)。

（2）數(shù)字圖書(shū)館—供應(yīng)商：數(shù)字圖書(shū)館與供應(yīng)商共享用戶(hù)隱私信息，使數(shù)字圖書(shū)館和供應(yīng)商的資源結(jié)構(gòu)與服務(wù)體系都得到優(yōu)化，推進(jìn)二者的合作共享。該路徑下數(shù)字圖書(shū)館將用戶(hù)身份信息和動(dòng)態(tài)用戶(hù)隱私共享給供應(yīng)商供其深入分析，而供應(yīng)商相較于數(shù)字圖書(shū)館發(fā)生販賣(mài)和泄露用戶(hù)隱私信息的風(fēng)險(xiǎn)更大。

（3）用戶(hù)—供應(yīng)商：用戶(hù)直接向供應(yīng)商提供個(gè)人隱私信息，供應(yīng)商更加明晰市場(chǎng)需求，為用戶(hù)提供更優(yōu)質(zhì)的信息資源服務(wù)，促使用戶(hù)更主動(dòng)地將隱私信息提供給供應(yīng)商［27-28］。該路徑下用戶(hù)將自身的靜態(tài)隱私和動(dòng)態(tài)隱私信息提交給供應(yīng)商，供應(yīng)商掌握了用戶(hù)所有隱私的控制權(quán)，極易給用戶(hù)帶來(lái)隱私泄露風(fēng)險(xiǎn)［8］。

用戶(hù)隱私信息流動(dòng)路徑及泄露風(fēng)險(xiǎn)如圖1所示。用戶(hù)隱私信息的流動(dòng)路徑分為兩種：一種是“用戶(hù)—數(shù)字圖書(shū)館—供應(yīng)商”，用戶(hù)向數(shù)字圖書(shū)館提交自己的隱私信息，數(shù)字圖書(shū)館將其存儲(chǔ)并進(jìn)行開(kāi)發(fā)利用，再將整理好的用戶(hù)隱私信息共享給供應(yīng)商進(jìn)行存儲(chǔ)和利用；另一種是“用戶(hù)—供應(yīng)商”，供應(yīng)商直接獲取用戶(hù)的隱私信息進(jìn)行存儲(chǔ)與開(kāi)發(fā)利用。

3.1.2 用戶(hù)隱私信息生命周期各環(huán)節(jié)及泄露風(fēng)險(xiǎn)分析

結(jié)合用戶(hù)隱私信息流動(dòng)路徑與數(shù)據(jù)生命周期理論［3］，用戶(hù)隱私信息的泄露風(fēng)險(xiǎn)存在于數(shù)據(jù)采集與傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)利用和數(shù)據(jù)清除等整個(gè)生命周期。

（1）數(shù)據(jù)采集與傳輸環(huán)節(jié)：包括用戶(hù)向數(shù)字圖書(shū)館、供應(yīng)商提供隱私信息和數(shù)字圖書(shū)館對(duì)供應(yīng)商共享用戶(hù)隱私信息的過(guò)程。由于用戶(hù)隱私信息具有較大的價(jià)值，不法分子往往將其作為主要攻擊目標(biāo)，竊取或篡改用戶(hù)隱私信息［29］。該環(huán)節(jié)中用戶(hù)的靜態(tài)隱私和動(dòng)態(tài)隱私信息暴露在開(kāi)放的網(wǎng)絡(luò)中，黑客較易發(fā)起網(wǎng)絡(luò)攻擊，造成用戶(hù)隱私信息的泄露，因此需要做好采集和傳輸過(guò)程中的信息加密工作。

（2）數(shù)據(jù)存儲(chǔ)環(huán)節(jié)：主要指數(shù)字圖書(shū)館與供應(yīng)商存儲(chǔ)用戶(hù)的隱私信息，以待后續(xù)進(jìn)行數(shù)據(jù)分析。目前我國(guó)圖書(shū)館大多將用戶(hù)信息存儲(chǔ)在本地系統(tǒng)［30］，但隨著館內(nèi)數(shù)字資源的急劇增多，云存儲(chǔ)逐漸被圖書(shū)館所接受，用戶(hù)的靜態(tài)隱私和動(dòng)態(tài)隱私信息被存儲(chǔ)在云端，不過(guò)云平臺(tái)自身易受黑客攻擊，具有較大的信息泄露風(fēng)險(xiǎn)，需要采取進(jìn)一步的措施保障數(shù)據(jù)存儲(chǔ)安全［31-33］。

（3）數(shù)據(jù)利用環(huán)節(jié)：指數(shù)字圖書(shū)館和供應(yīng)商為了向用戶(hù)提供更加優(yōu)質(zhì)和個(gè)性化的服務(wù)，而對(duì)用戶(hù)隱私信息進(jìn)行數(shù)據(jù)分析的過(guò)程。用戶(hù)身份信息和動(dòng)態(tài)用戶(hù)隱私信息是其分析的重點(diǎn)對(duì)象，隨著機(jī)器學(xué)習(xí)、深度學(xué)習(xí)的發(fā)展，用戶(hù)敏感信息的價(jià)值日益凸顯，數(shù)字圖書(shū)館和供應(yīng)商若在未經(jīng)用戶(hù)許可的情況下就對(duì)用戶(hù)敏感信息進(jìn)行挖掘，會(huì)對(duì)用戶(hù)的隱私產(chǎn)生極大的威脅［6］。同時(shí)也存在數(shù)字圖書(shū)館或者供應(yīng)商的部分工作人員為了自身利益向第三方出賣(mài)用戶(hù)隱私信息的風(fēng)險(xiǎn)［4］。因此需要對(duì)用戶(hù)隱私信息進(jìn)行嚴(yán)格的訪問(wèn)控制，并對(duì)利用行為進(jìn)行實(shí)時(shí)記錄和監(jiān)督審查。

（4）數(shù)據(jù)清除環(huán)節(jié)：指數(shù)字圖書(shū)館、供應(yīng)商對(duì)過(guò)期或無(wú)價(jià)值的用戶(hù)隱私信息進(jìn)行清除，或?qū)τ脩?hù)要求刪除的數(shù)據(jù)進(jìn)行清除的過(guò)程。數(shù)字圖書(shū)館和供應(yīng)商需要及時(shí)銷(xiāo)毀待清除的用戶(hù)隱私數(shù)據(jù)，這樣既能減少隱私泄露的風(fēng)險(xiǎn)，又能夠降低數(shù)據(jù)存儲(chǔ)的成本。該環(huán)節(jié)中用戶(hù)信息的控制權(quán)在數(shù)字圖書(shū)館和供應(yīng)商手中，用戶(hù)很難監(jiān)督其是否真正清除自身隱私信息，用戶(hù)的隱私信息存在未經(jīng)許可被作為用戶(hù)歷史數(shù)據(jù)過(guò)度分析和長(zhǎng)期存儲(chǔ)，進(jìn)而被網(wǎng)絡(luò)攻擊導(dǎo)致泄露的風(fēng)險(xiǎn)。

3.2 模型基本結(jié)構(gòu)

根據(jù)用戶(hù)隱私信息流動(dòng)路徑及泄露風(fēng)險(xiǎn)分析結(jié)果，將LibUPM模型的基本結(jié)構(gòu)設(shè)定為數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、合約層與應(yīng)用層五個(gè)層級(jí)，具體結(jié)構(gòu)如圖2所示。

3.2.1 數(shù)據(jù)層

數(shù)據(jù)層是本模型的底層數(shù)據(jù)存儲(chǔ)空間，包含存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)區(qū)塊、時(shí)間戳、哈希算法和非對(duì)稱(chēng)可搜索加密等技術(shù)。基于時(shí)間戳技術(shù)，數(shù)據(jù)區(qū)塊被按時(shí)序鏈接到主鏈，能夠?qū)^(qū)塊鏈數(shù)據(jù)進(jìn)行追溯操作，為用戶(hù)隱私信息的流動(dòng)、更改、清除等操作提供了證明。非對(duì)稱(chēng)可搜索加密、Merkle樹(shù)和哈希算法保障了用戶(hù)隱私信息分布式存儲(chǔ)的安全性與完整性。為了實(shí)現(xiàn)關(guān)于加密文件的搜索，本文在區(qū)塊鏈交易單的基礎(chǔ)上增設(shè)了由用戶(hù)利用非對(duì)稱(chēng)加密公鑰對(duì)關(guān)鍵詞進(jìn)行加密而成的關(guān)鍵詞密文，進(jìn)而構(gòu)造出一個(gè)完整的信息表單，如圖3。

非對(duì)稱(chēng)可搜索加密是可搜索加密的一種，指擁有公鑰的用戶(hù)對(duì)關(guān)鍵詞加密生成關(guān)鍵詞密文，僅允許擁有私鑰的用戶(hù)對(duì)該關(guān)鍵詞進(jìn)行檢索［34］。其最大的特點(diǎn)是基于加密數(shù)據(jù)進(jìn)行檢索，因此需要提供由關(guān)鍵詞加密而來(lái)的密文標(biāo)簽供檢索，而密文標(biāo)簽不會(huì)泄露任何有關(guān)明文的信息，極大地保障了用戶(hù)隱私信息的安全性。實(shí)現(xiàn)非對(duì)稱(chēng)可搜索加密算法的步驟如下［35］。

（1）KeyGen（p）：給定一個(gè)安全參數(shù)p，得到可搜索加密公鑰為K_pub，私鑰為K_pri。

（2）PEKS（K_pub，W_1）：用戶(hù)使用密鑰對(duì)明文數(shù)據(jù)加密，使用K_pub對(duì)其關(guān)鍵詞W_1加密生成關(guān)鍵詞密文S_w，上傳至數(shù)據(jù)庫(kù)。

（3）Trapdoor（K_pri，W_2）：數(shù)字圖書(shū)館、供應(yīng)商使用K_pri對(duì)關(guān)鍵詞W_2進(jìn)行加密，生成陷門(mén)T_w，發(fā)送給數(shù)據(jù)庫(kù)。

（4）Test（K_pub，S_w，T_w）：數(shù)據(jù)庫(kù)輸入K_pub，S_w=PEKS（K_pub，W_1）和T_w= Trapdoor（K_pri，W_2），若W_1=W_2，則Test（K_pub，S_w，T_w）=1，代表成功匹配到加密數(shù)據(jù)，將該加密數(shù)據(jù)返回給數(shù)字圖書(shū)館和供應(yīng)商；否則匹配失敗。

（5）數(shù)字圖書(shū)館和供應(yīng)商接收加密數(shù)據(jù)，利用K_pri密鑰解密。

3.2.2 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層即節(jié)點(diǎn)間進(jìn)行通信和數(shù)據(jù)交換的場(chǎng)所，是一個(gè)基于TCP/IP 通信協(xié)議和P2P對(duì)等網(wǎng)絡(luò)構(gòu)建的分布式網(wǎng)絡(luò)系統(tǒng)。用戶(hù)隱私信息在這個(gè)去中心化的分布式網(wǎng)絡(luò)系統(tǒng)中流動(dòng)，所有節(jié)點(diǎn)通過(guò)該網(wǎng)絡(luò)共享用戶(hù)隱私信息，同時(shí)也負(fù)有提供網(wǎng)絡(luò)服務(wù)、維護(hù)網(wǎng)絡(luò)安全的責(zé)任。由于數(shù)字圖書(shū)館的大部分用戶(hù)都缺乏完備的計(jì)算機(jī)運(yùn)算及存儲(chǔ)設(shè)施，因此將節(jié)點(diǎn)分為普通節(jié)點(diǎn)和共識(shí)節(jié)點(diǎn)。數(shù)字圖書(shū)館的用戶(hù)都是普通節(jié)點(diǎn)，平時(shí)不存儲(chǔ)區(qū)塊數(shù)據(jù)，如果需要使用聯(lián)盟鏈上的數(shù)據(jù)，便向共識(shí)節(jié)點(diǎn)提出申請(qǐng)；共識(shí)節(jié)點(diǎn)包含數(shù)字圖書(shū)館和供應(yīng)商，存儲(chǔ)全網(wǎng)所有的區(qū)塊數(shù)據(jù)，參與共識(shí)。

3.2.3 共識(shí)層

共識(shí)層封裝的共識(shí)機(jī)制能夠使聯(lián)盟鏈的所有節(jié)點(diǎn)對(duì)區(qū)塊信息產(chǎn)生一致共識(shí)，防止最新區(qū)塊被添加至錯(cuò)誤的鏈上，抵抗雙花等惡意攻擊。工作量證明算法（PoW）、權(quán)益證明算法（PoS）、實(shí)用拜占庭容錯(cuò)算法（PBFT）和授權(quán)拜占庭容錯(cuò)算法（DBFT）都是當(dāng)前主流的共識(shí)機(jī)制。

本模型使用DBFT機(jī)制保障聯(lián)盟鏈上的信息達(dá)成安全可靠的全網(wǎng)一致共識(shí)，抵御惡意攻擊。DBFT機(jī)制在PBFT的基礎(chǔ)上結(jié)合了PoS模式特點(diǎn)，同時(shí)具有良好的安全性和最終性［36］。一方面，DBFT機(jī)制擁有f=（n-1）/3的容錯(cuò)能力，其中n是共識(shí)節(jié)點(diǎn)總數(shù)，足以抵抗聯(lián)盟鏈的絕大部分故障；另一方面，新區(qū)塊的產(chǎn)生必須收到至少2f+1個(gè)共識(shí)節(jié)點(diǎn)的承諾信息且已經(jīng)發(fā)出承諾信息的共識(shí)節(jié)點(diǎn)不會(huì)更換視圖，保證了新區(qū)塊的終局性。DBFT機(jī)制的高容錯(cuò)能力、高可用性和最終性，非常契合用戶(hù)隱私信息的存儲(chǔ)與傳輸要求。

DBFT機(jī)制的一輪共識(shí)主要由共識(shí)節(jié)點(diǎn)完成，普通節(jié)點(diǎn)可以觀察所有的共識(shí)過(guò)程。設(shè)置一個(gè)共識(shí)節(jié)點(diǎn)為議長(zhǎng)節(jié)點(diǎn)，其他共識(shí)節(jié)點(diǎn)為議員節(jié)點(diǎn)，所有共識(shí)節(jié)點(diǎn)共同維護(hù)一個(gè)視圖，若在當(dāng)前視圖內(nèi)未能達(dá)成共識(shí)，則更換至下一個(gè)視圖繼續(xù)進(jìn)行共識(shí)［37］。完成一輪共識(shí)的步驟如圖4所示。

（1）準(zhǔn)備請(qǐng)求：議長(zhǎng)節(jié)點(diǎn)發(fā)起共識(shí)，廣播新一輪共識(shí)的信息。

（2）準(zhǔn)備響應(yīng)：議員節(jié)點(diǎn)接收共識(shí)信息，驗(yàn)證同意后廣播預(yù)備響應(yīng)消息，預(yù)備響應(yīng)消息包含議員節(jié)點(diǎn)的數(shù)字簽名，以表示本節(jié)點(diǎn)支持該共識(shí)提案。

（3）承諾：共識(shí)節(jié)點(diǎn)接收到至少2f+1個(gè)預(yù)備響應(yīng)消息后，廣播達(dá)成一致的承諾消息，此步驟用于同步支持該共識(shí)提案的節(jié)點(diǎn)。

（4）出塊廣播：共識(shí)節(jié)點(diǎn)接收到至少2f+1個(gè)承諾消息（包括自己的承諾消息），可以確保所有共識(shí)節(jié)點(diǎn)將同意相同的區(qū)塊提案，而后產(chǎn)生新區(qū)塊并廣播。

3.2.4 合約層

合約層包括算法機(jī)制、腳本代碼和智能合約，借助算法與腳本代碼，可根據(jù)實(shí)際需要對(duì)智能合約進(jìn)行編程。智能合約在編碼完成后會(huì)被上傳至聯(lián)盟鏈，合約的所有內(nèi)容都無(wú)法被修改。由于智能合約預(yù)先制定了所有條款和執(zhí)行機(jī)制，并由計(jì)算機(jī)自動(dòng)執(zhí)行，因此無(wú)需第三方監(jiān)管，且具有極高的執(zhí)行效率。

3.2.5 應(yīng)用層

應(yīng)用層是整個(gè)模型的核心層級(jí)，封裝有數(shù)據(jù)采集與傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)利用與數(shù)據(jù)清除等具體的應(yīng)用，為用戶(hù)隱私信息的數(shù)據(jù)傳輸、安全存儲(chǔ)、數(shù)據(jù)分析以及防范隱私泄露提供支持。用戶(hù)隱私信息按照智能合約的規(guī)范，經(jīng)由這些應(yīng)用在全網(wǎng)節(jié)點(diǎn)間流動(dòng)。

3.3 保護(hù)機(jī)制

基于聯(lián)盟鏈的用戶(hù)隱私信息保護(hù)機(jī)制如圖5。

3.3.1 數(shù)據(jù)采集與傳輸

數(shù)據(jù)采集與傳輸分為兩個(gè)階段，分別是用戶(hù)隱私信息采集和用戶(hù)隱私信息傳輸。用戶(hù)隱私信息的采集階段主要包括：采集個(gè)人的姓名、性別、政治面貌、宗教信仰等靜態(tài)用戶(hù)隱私，以及使用數(shù)字圖書(shū)館的智能設(shè)備時(shí)產(chǎn)生的行為數(shù)據(jù)、訪問(wèn)數(shù)字圖書(shū)館線上服務(wù)留下的日志記錄等動(dòng)態(tài)用戶(hù)隱私。

用戶(hù)隱私信息的傳輸主要包括六個(gè)步驟：

（1）LibUPM對(duì)采集到的用戶(hù)隱私信息進(jìn)行加密，用戶(hù)對(duì)KeyGen （p）輸入安全參數(shù)p，獲得非對(duì)稱(chēng)可搜索加密公鑰K_pub和私鑰K_pri，再使用算法PEKS（K_pub，W_1）生成關(guān)鍵詞密文S_w，其中W_1是關(guān)鍵詞。然后設(shè)置時(shí)間戳，分配表單ID，最后利用非對(duì)稱(chēng)加密私鑰進(jìn)行數(shù)字簽名，形成一個(gè)規(guī)范的信息表單，提交給共識(shí)節(jié)點(diǎn)。

（2）共識(shí)節(jié)點(diǎn)接收到信息表單，存放至內(nèi)存池。在某一輪共識(shí)中，議長(zhǎng)節(jié)點(diǎn)將內(nèi)存池中的所有信息表單打包至新區(qū)塊中，并廣播新區(qū)塊提案和驗(yàn)證請(qǐng)求。

（3）議員節(jié)點(diǎn)接收新區(qū)塊提案和驗(yàn)證請(qǐng)求，抽取出若干信息表單，使用其中的非對(duì)稱(chēng)加密公鑰對(duì)數(shù)字簽名進(jìn)行驗(yàn)證。若驗(yàn)證通過(guò)，就廣播預(yù)備響應(yīng)信息；若未通過(guò)，則說(shuō)明該表單信息已經(jīng)不可信，放棄廣播預(yù)備響應(yīng)信息。

（4）共識(shí)節(jié)點(diǎn)接收到至少2f+1個(gè)預(yù)備響應(yīng)消息（包括自己的預(yù)備響應(yīng)消息）后，廣播關(guān)于同意新區(qū)塊提案達(dá)成一致的承諾消息。

（5）共識(shí)節(jié)點(diǎn)接收到不少于2f+1個(gè)承諾消息（包括自己的承諾消息）后，開(kāi)始發(fā)布新區(qū)塊并廣播，同時(shí)將區(qū)塊內(nèi)的信息表單從內(nèi)存池中刪除。

（6）用戶(hù)節(jié)點(diǎn)接收共識(shí)節(jié)點(diǎn)的承諾消息，若接收到至少2f+1個(gè)預(yù)備響應(yīng)消息，則代表自己的信息表單被成功上傳到聯(lián)盟鏈數(shù)據(jù)庫(kù)；否則需要再次提交信息表單。

3.3.2 數(shù)據(jù)存儲(chǔ)

數(shù)據(jù)存儲(chǔ)主要指數(shù)字圖書(shū)館與供應(yīng)商將所需的數(shù)據(jù)從聯(lián)盟鏈數(shù)據(jù)庫(kù)中準(zhǔn)確地提取出來(lái)，并解密為明文數(shù)據(jù)進(jìn)行存儲(chǔ)，以待后續(xù)進(jìn)行數(shù)據(jù)利用的過(guò)程。由于數(shù)字圖書(shū)館和供應(yīng)商自身就是聯(lián)盟鏈上的共識(shí)節(jié)點(diǎn)，因此他們首先從自身存儲(chǔ)的聯(lián)盟鏈數(shù)據(jù)中提取所需的數(shù)據(jù)。

在聯(lián)盟鏈數(shù)據(jù)庫(kù)中獲取指定關(guān)鍵詞相關(guān)數(shù)據(jù)的步驟如下：

（1）數(shù)字圖書(shū)館與供應(yīng)商根據(jù)目標(biāo)數(shù)據(jù)的關(guān)鍵詞W_2和可搜索加密私鑰K_pri，生成陷門(mén)T_w= Trapdoor（K_pri，W_2），接著執(zhí)行匹配算法Test（K_pub，S_w，T_w），若輸出為1，則成功查詢(xún)到目標(biāo)數(shù)據(jù)。其中K_pub為公鑰，S_w為關(guān)鍵詞密文。

（2）數(shù)字圖書(shū)館與供應(yīng)商從提取到的信息表單中得到目標(biāo)數(shù)據(jù)，對(duì)該加密數(shù)據(jù)進(jìn)行哈希值計(jì)算，若與信息表單中記錄的哈希值一致則說(shuō)明數(shù)據(jù)未被篡改，然后用密鑰解密得到明文數(shù)據(jù)。否則，說(shuō)明自身存儲(chǔ)的該部分聯(lián)盟鏈數(shù)據(jù)已被篡改，需要向其他共識(shí)節(jié)點(diǎn)申請(qǐng)?jiān)搮^(qū)塊數(shù)據(jù)，并更新相應(yīng)區(qū)塊數(shù)據(jù)。

在獲取到明文數(shù)據(jù)后，數(shù)字圖書(shū)館與供應(yīng)商對(duì)其進(jìn)行數(shù)據(jù)分類(lèi)和分級(jí)存儲(chǔ)：

（1）數(shù)據(jù)分類(lèi)。先將獲取的用戶(hù)隱私數(shù)據(jù)分為兩大類(lèi)，一類(lèi)是姓名、性別、政治面貌、宗教信仰等靜態(tài)用戶(hù)隱私數(shù)據(jù)，再將其細(xì)分為用戶(hù)身份信息和用戶(hù)敏感信息兩個(gè)類(lèi)別；另一類(lèi)是圖書(shū)借閱記錄、信息咨詢(xún)記錄等動(dòng)態(tài)用戶(hù)隱私數(shù)據(jù)。再將每一類(lèi)中的每個(gè)字段的數(shù)據(jù)單獨(dú)分為一小類(lèi)，相互間保持一定的獨(dú)立性。最后設(shè)置某一特定字段作為所有字段的聯(lián)結(jié)符，以方便快速查找。

（2）分級(jí)存儲(chǔ)。對(duì)已經(jīng)分類(lèi)完畢的三個(gè)類(lèi)別以及若干子類(lèi)，根據(jù)其敏感程度和利用情況進(jìn)行分級(jí)存儲(chǔ)。為了應(yīng)對(duì)不可避免的數(shù)字資源急劇增長(zhǎng)問(wèn)題，如信息檢索記錄、圖書(shū)借閱記錄等敏感程度低且利用頻率較高的字段數(shù)據(jù)經(jīng)過(guò)匿名化處理后可以存儲(chǔ)在安全級(jí)別較低的云存儲(chǔ)平臺(tái)中；政治面貌、宗教信仰、社會(huì)關(guān)系等敏感程度高且利用頻率較低的字段數(shù)據(jù)需要在本地存儲(chǔ)，并將隱私數(shù)據(jù)的存儲(chǔ)設(shè)備與互聯(lián)網(wǎng)隔離，防范黑客攻擊。

3.3.3 數(shù)據(jù)利用

數(shù)據(jù)利用是指數(shù)字圖書(shū)館和供應(yīng)商根據(jù)自身運(yùn)營(yíng)發(fā)展的需要，運(yùn)用大數(shù)據(jù)分析方法挖掘用戶(hù)隱私數(shù)據(jù)的價(jià)值，以實(shí)現(xiàn)深入了解用戶(hù)信息資源需求、預(yù)測(cè)用戶(hù)行為的目標(biāo)。數(shù)字圖書(shū)館、供應(yīng)商與用戶(hù)之間存在著前兩者意圖最大程度地利用用戶(hù)隱私數(shù)據(jù)，而后者希望自己的隱私數(shù)據(jù)能夠盡可能低限度地被開(kāi)發(fā)的矛盾，LibUPM采用權(quán)限分級(jí)和日志公開(kāi)的方法在對(duì)用戶(hù)隱私數(shù)據(jù)進(jìn)行開(kāi)發(fā)的同時(shí)兼顧用戶(hù)隱私數(shù)據(jù)的合理利用。

（1）權(quán)限分級(jí)。一方面，數(shù)字圖書(shū)館和供應(yīng)商專(zhuān)門(mén)授予數(shù)據(jù)分析人員調(diào)取和分析用戶(hù)隱私數(shù)據(jù)的權(quán)限，避免無(wú)權(quán)限人員接觸用戶(hù)隱私信息；另一方面，數(shù)字圖書(shū)館與供應(yīng)商對(duì)數(shù)據(jù)分析人員的權(quán)限進(jìn)行分級(jí)，僅限部分?jǐn)?shù)據(jù)分析人員訪問(wèn)政治面貌、宗教信仰、社會(huì)關(guān)系等敏感程度高的字段數(shù)據(jù)。

（2）日志公開(kāi)。數(shù)字圖書(shū)館與供應(yīng)商將每一次對(duì)用戶(hù)隱私數(shù)據(jù)進(jìn)行開(kāi)發(fā)的時(shí)間、原因、數(shù)據(jù)分析人員、所利用的數(shù)據(jù)類(lèi)別和數(shù)量等日志信息進(jìn)行記錄，并將日志信息經(jīng)過(guò)數(shù)據(jù)傳輸上傳至聯(lián)盟鏈數(shù)據(jù)庫(kù)，全網(wǎng)節(jié)點(diǎn)都可查詢(xún)到該日志信息，實(shí)現(xiàn)對(duì)用戶(hù)隱私數(shù)據(jù)利用工作的有效監(jiān)督。

3.3.4 數(shù)據(jù)清除

數(shù)據(jù)清除是指數(shù)字圖書(shū)館和供應(yīng)商將自身存儲(chǔ)的用戶(hù)隱私數(shù)據(jù)中待清除數(shù)據(jù)徹底刪除的過(guò)程，待清除數(shù)據(jù)包括無(wú)效、無(wú)價(jià)值數(shù)據(jù)和用戶(hù)要求刪除的數(shù)據(jù)。

數(shù)字圖書(shū)館和供應(yīng)商對(duì)數(shù)據(jù)清除工作中的時(shí)間、原因、數(shù)據(jù)類(lèi)別、數(shù)據(jù)數(shù)量等信息做好日志記錄，并通過(guò)數(shù)據(jù)傳輸將日志信息上傳至聯(lián)盟鏈數(shù)據(jù)庫(kù)，供全網(wǎng)審查。

4 LibUPM的特點(diǎn)

從上述模型的層級(jí)結(jié)構(gòu)、保護(hù)機(jī)制的運(yùn)作過(guò)程等方面可以看出，本文構(gòu)建的LibUPM具有以下三個(gè)方面的特點(diǎn)。

4.1 安全性

LibUPM的安全性主要表現(xiàn)在數(shù)據(jù)的完全性、不可篡改、密文標(biāo)簽以及可追溯存根上。第一，LibUPM采用聯(lián)盟鏈的分布式構(gòu)架，全網(wǎng)共識(shí)節(jié)點(diǎn)——所有數(shù)字圖書(shū)館和供應(yīng)商都存儲(chǔ)有完整的聯(lián)盟鏈數(shù)據(jù)，保障了聯(lián)盟鏈數(shù)據(jù)的完全性。第二，LibUPM使用哈希算法對(duì)每個(gè)信息表單進(jìn)行簽名，并采用Merkle樹(shù)對(duì)數(shù)據(jù)進(jìn)行完整性驗(yàn)證與一致性驗(yàn)證，一旦數(shù)據(jù)被篡改就會(huì)被共識(shí)節(jié)點(diǎn)識(shí)別并丟棄。第三，LibUPM使用非對(duì)稱(chēng)可搜索加密技術(shù)對(duì)關(guān)鍵詞進(jìn)行加密，信息表單中只有關(guān)鍵詞密文，任何人都無(wú)法獲得任何關(guān)于明文數(shù)據(jù)的信息，確保了用戶(hù)隱私信息的保密性。第四，聯(lián)盟鏈的所有區(qū)塊根據(jù)時(shí)間戳按時(shí)序鏈接，全網(wǎng)節(jié)點(diǎn)都可以遍歷查詢(xún)聯(lián)盟鏈上的所有數(shù)據(jù)，保證了數(shù)據(jù)的可追溯存根。

4.2 高效性

LibUPM的高效性是指數(shù)據(jù)采集與傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)利用和數(shù)據(jù)清除環(huán)節(jié)的運(yùn)行效率都較高。這一方面得益于LibUPM采用去中心化的分布式網(wǎng)絡(luò)系統(tǒng)，解決了信用問(wèn)題，使得數(shù)據(jù)驗(yàn)證、數(shù)據(jù)提取、數(shù)據(jù)審查不依賴(lài)第三方，既縮減了用戶(hù)隱私信息的流動(dòng)時(shí)間，又節(jié)省了用戶(hù)隱私信息獲取的成本；另一方面是因?yàn)長(zhǎng)ibUPM提供關(guān)鍵詞檢索途徑，縮小了數(shù)據(jù)檢索范圍，使得用戶(hù)隱私信息檢索的時(shí)間效率能夠保持在一個(gè)較高的水平。

4.3 適用性

LibUPM的適用性是指其適用于不同規(guī)模的數(shù)字圖書(shū)館生態(tài)，能夠滿(mǎn)足小型、中型和大型數(shù)字圖書(shū)館及其不同數(shù)量的供應(yīng)商和用戶(hù)的需求，提高數(shù)字圖書(shū)館、供應(yīng)商和用戶(hù)的參與度。首先，LibUPM采用DBFT共識(shí)機(jī)制，每輪共識(shí)只需要不少于m=n-f個(gè)正常共識(shí)節(jié)點(diǎn)便可正常運(yùn)行，因此LibUPM只需3=4-［（4-1）/3］個(gè)正常的共識(shí)節(jié)點(diǎn)，就可以應(yīng)用于少至n=4個(gè)共識(shí)節(jié)點(diǎn)的系統(tǒng)，能夠滿(mǎn)足不同規(guī)模的數(shù)字圖書(shū)館生態(tài)的需要。其次，DBFT共識(shí)機(jī)制允許全網(wǎng)節(jié)點(diǎn)隨時(shí)加入、退出，因此LibUPM可以適應(yīng)于數(shù)字圖書(shū)館的供應(yīng)商和用戶(hù)的新增或退出等情況。最后，LibUPM在用戶(hù)信息的開(kāi)發(fā)利用和隱私保護(hù)之間保持了平衡，數(shù)字圖書(shū)館和供應(yīng)商能夠獲取到自己所需的用戶(hù)隱私信息，對(duì)用戶(hù)隱私信息進(jìn)行數(shù)據(jù)分析，但同時(shí)也需要將每一次的數(shù)據(jù)利用與清除的日志信息進(jìn)行全網(wǎng)廣播，用戶(hù)能夠主動(dòng)審查自己隱私信息的利用和清除情況，有利于促進(jìn)數(shù)字圖書(shū)館、供應(yīng)商和用戶(hù)積極參與到LibUPM的運(yùn)作中。

5 結(jié)語(yǔ)

LibUPM具有聯(lián)盟鏈的部分去中心化和隱私性等特點(diǎn)，不僅能夠提高用戶(hù)隱私信息采集、傳輸、利用和清除的效率，滿(mǎn)足數(shù)字圖書(shū)館和供應(yīng)商進(jìn)行數(shù)據(jù)分析的需要，而且可以保障用戶(hù)對(duì)自身信息被利用、清除情況的審查權(quán)利，實(shí)現(xiàn)用戶(hù)信息開(kāi)發(fā)利用和隱私保護(hù)的平衡。

目前，聯(lián)盟鏈技術(shù)在數(shù)字圖書(shū)館用戶(hù)隱私保護(hù)領(lǐng)域的應(yīng)用處于探索階段，LibUPM在現(xiàn)實(shí)中應(yīng)用還存在一定的困難。首先，聯(lián)盟鏈的信息存儲(chǔ)需要占用較大的存儲(chǔ)空間，無(wú)論是本地硬盤(pán)存儲(chǔ)或是購(gòu)買(mǎi)云存儲(chǔ)服務(wù)都是一筆不小的開(kāi)支，這對(duì)于一些經(jīng)費(fèi)緊張的圖書(shū)館來(lái)說(shuō)難以維系；其次，目前圖書(shū)館行業(yè)缺少同時(shí)具有計(jì)算機(jī)和圖書(shū)館學(xué)背景的復(fù)合型人才，難以迅速組織人員構(gòu)建、運(yùn)行聯(lián)盟鏈；最后，關(guān)于區(qū)塊鏈的應(yīng)用，圖書(shū)館行業(yè)仍然沒(méi)有明確的標(biāo)準(zhǔn)規(guī)范，難以大規(guī)模普及。

這些挑戰(zhàn)的產(chǎn)生是由于圖書(shū)館行業(yè)正處于數(shù)字化轉(zhuǎn)型階段［38］，這些困難也必將隨著圖書(shū)館的數(shù)字化、智慧化深入發(fā)展而被克服。隨著圖書(shū)館行業(yè)在“十四五”時(shí)期的發(fā)展，圖書(shū)館的數(shù)字基礎(chǔ)設(shè)施將不斷完善，也將得到更大的財(cái)政資金投入［39］；圖書(shū)館學(xué)伴隨著新文科建設(shè)的浪潮，將與計(jì)算機(jī)科學(xué)、數(shù)據(jù)科學(xué)等學(xué)科交叉融合，培養(yǎng)兼具管理學(xué)思維和大數(shù)據(jù)素養(yǎng)的復(fù)合型人才［40］；而隨著圖書(shū)館行業(yè)更為積極主動(dòng)地?fù)肀^(qū)塊鏈，相關(guān)的應(yīng)用標(biāo)準(zhǔn)規(guī)范將在不斷的探討、應(yīng)用、再探討中逐步確立。

參考文獻(xiàn)：

［1］王濤，劉利軍，李翔宇.發(fā)展驅(qū)動(dòng)技術(shù) 技術(shù)賦能服務(wù)：湖北省數(shù)字圖書(shū)館建設(shè)回顧（2008—2018）［J］.圖書(shū)館論壇，2021，41（3）：145-155.

［2］楊瑩.數(shù)字化圖書(shū)館的概念界定與要素分析［J］.現(xiàn)代情報(bào)，2007（11）：87-89.

［3］謝珍，陸溯.智慧圖書(shū)館視域下用戶(hù)數(shù)據(jù)應(yīng)用與隱私保護(hù)平衡研究［J］.國(guó)家圖書(shū)館學(xué)刊，2020，29（2）：49-59.

［4］趙文慧，趙潤(rùn)娣.圖書(shū)館數(shù)據(jù)開(kāi)放服務(wù)中用戶(hù)隱私保護(hù)問(wèn)題探討［J］.圖書(shū)館學(xué)研究，2020（13）：64-67.

［5］HAN Z B，HUANG S Q，LI H，et al.Risk Assessment of Digital Library Information Security：a Case Study［J］.The Electronic Library，2016，34（3）：471-487.

［6］趙天昀.數(shù)字圖書(shū)館個(gè)性化信息服務(wù)中用戶(hù)隱私保護(hù)研究［J］.圖書(shū)館理論與實(shí)踐，2018（2）：101-103.

［7］馬崇環(huán).現(xiàn)代信息技術(shù)環(huán)境下圖書(shū)館讀者隱私保護(hù)策略研究［J］.河南圖書(shū)館學(xué)刊，2021，41（12）：112-114.

［8］王建.大數(shù)據(jù)環(huán)境下圖書(shū)館用戶(hù)隱私權(quán)保護(hù)路徑研究［J］.河北科技圖苑，2021，34（3）：57-61.

［9］《現(xiàn)代圖書(shū)情報(bào)技術(shù)》編輯部.新的隱私準(zhǔn)則鼓勵(lì)圖書(shū)館和內(nèi)容供應(yīng)商一起保護(hù)讀者隱私［J］.現(xiàn)代圖書(shū)情報(bào)技術(shù)，2015（9）：16.

［10］俞德鳳.美國(guó)康奈爾大學(xué)圖書(shū)館隱私保護(hù)服務(wù)及啟示［J］.農(nóng)業(yè)圖書(shū)情報(bào)學(xué)報(bào)，2021，33（11）：28-37.

［11］王家玲.近十年國(guó)內(nèi)圖書(shū)館用戶(hù)隱私保護(hù)研究綜述［J］.圖書(shū)館工作與研究，2017（2）：24-28.

［12］宋文秀.數(shù)字時(shí)代圖書(shū)館讀者個(gè)人隱私保護(hù)現(xiàn)狀與策略探析［J］.圖書(shū)館工作與研究，2019（3）：78-81，87.

［13］陸康，劉慧，任貝貝，等.智慧圖書(shū)館用戶(hù)數(shù)據(jù)隱私保護(hù)研究：基于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》和《一般數(shù)據(jù)保護(hù)條例》的文本啟示［J］.圖書(shū)館理論與實(shí)踐，2020（3）：17-21.

［14］MCKINNON D，TURP C.Are library vendors doing enough to protect users？ A content analysis of major ILS privacy policies［J］.The Journal of Academic Librarianship，2022，48（2）：102505.

［15］YOUNGHEE NOH.Digital Library User Privacy：Changing Librarian Viewpoints Through Education［J］.Library Hi Tech，2014，32（S1）：300-317.

［16］YOUNGHEE NOH.A Study on the Changes in Librarians′ Perception before and after User Privacy Education［J］.Library and Information Science Research，2020，42（3）：101032.

［17］賈俊杰，陳菲.數(shù)字圖書(shū)館個(gè)性化匿名發(fā)布方法［J］.計(jì)算機(jī)工程與科學(xué)，2017，39（11）：2109-2114.

［18］WU Z D，LI R C，ZHOU Z F，et al.A User Sensitive Subject Protection Approach for Book Search Service［J］.Journal of the Association for Information Science and Technology，2020，71（2）：183-195.

［19］WU Z D，SHEN S G，LU C L，et al.How to protect reader lending privacy under a cloud environment：a technical method［J］.Library Hi Tech，2020，40（6）：1746-1765.

［20］ETZKOWITZ H，LEYDESDORFF L.The Triple Helix of University-industry-government relations：A laboratory for knowledge based economic development［J］.EASST Review，1995，14（1）：14-19.

［21］楊倩倩.三螺旋理論研究綜述［J］.合作經(jīng)濟(jì)與科技，2022（9）：122-124.

［22］梁春慧.基于“圖書(shū)館-環(huán)境-用戶(hù)”三螺旋理論的圖書(shū)館服務(wù)：以面向協(xié)同創(chuàng)新中心的專(zhuān)利信息服務(wù)為例［J］.新世紀(jì)圖書(shū)館，2015（4）：31-34.

［23］魯曄.一種基于聯(lián)盟鏈的物聯(lián)網(wǎng)匿名交易方案［J］.計(jì)算機(jī)應(yīng)用研究，2021，38（1）：23-27.

［24］巫光福，余攀，陳穎，等.基于聯(lián)盟鏈的電子健康記錄隱私保護(hù)和共享［J］.計(jì)算機(jī)應(yīng)用研究，2021，38（1）：33-38.

［25］吳高.人工智能時(shí)代公共數(shù)字文化服務(wù)個(gè)人隱私保護(hù)的困境與對(duì)策［J］.圖書(shū)館學(xué)研究，2021（10）：39-45，54.

［26］姜明芳，趙奇釗.《公共圖書(shū)館法》視閾下讀者個(gè)人信息保護(hù)路徑研究［J］.高校圖書(shū)館工作，2020，40（4）：15-17.

［27］趙麗梅，張花.基于全鏈路平臺(tái)構(gòu)建的高校數(shù)字圖書(shū)館聯(lián)盟運(yùn)行體系研究［J］.圖書(shū)館學(xué)刊，2019，41（4）：112-116.

［28］趙樹(shù)旺.國(guó)際數(shù)字出版商的用戶(hù)策略及啟示［J］.現(xiàn)代出版，2015（2）：38-41.

［29］錢(qián)平，朱光劍，曹勁.網(wǎng)絡(luò)傳輸中數(shù)據(jù)安全及加密技術(shù)［J］.電腦知識(shí)與技術(shù)，2019，15（35）：33-34.

［30］顏斌.圖書(shū)館信息服務(wù)轉(zhuǎn)型的若干技術(shù)路徑初探［J］.新世紀(jì)圖書(shū)館，2017（11）：44-48.

［31］黃鯤翔.數(shù)字圖書(shū)館云存儲(chǔ)技術(shù)服務(wù)安全問(wèn)題及解決策略［J］.圖書(shū)館學(xué)刊，2018，40（7）：125-129.

［32］童忠勇.國(guó)家數(shù)字圖書(shū)館特色資源云平臺(tái)的建設(shè)與實(shí)踐［J］.國(guó)家圖書(shū)館學(xué)刊，2018，27（5）：99-105.

［33］鮑劼，李丕仕，都平平，等.高校圖書(shū)館面臨的數(shù)據(jù)安全問(wèn)題及防護(hù)策略研究［J］.現(xiàn)代情報(bào)，2017，37（7）：93-96.

［34］劉格昌，李強(qiáng).基于可搜索加密的區(qū)塊鏈數(shù)據(jù)隱私保護(hù)機(jī)制［J］.計(jì)算機(jī)應(yīng)用，2019，39（S2）：140-146.

［35］BONEH D，CRESCENZO G D，OSTROVSKY R，et al.Public key encryption with keyword search［C］//2004 International conference on the theory and applications of cryptographic techniques.Berlin，Heidelberg：Springer，2004：506-522.

［36］COELHO I M，COELHO V N，ARAUJO R P，et al.Challenges of PBFT-inspired consensus for blockchain and enhancements over neo dBFT［J］.Future Internet，2020，12（8）：129.

［37］VITOR N C，RODOLFD P A，HAROLDO G S，et al.A MILP Model for a Byzantine Fault Tolerant Blockchain Consensus［J］.Future Internet，2020，12（11）：185.

［38］張婭瓊.“十四五”時(shí)期公共圖書(shū)館促進(jìn)數(shù)字包容路徑探賾［J］.圖書(shū)與情報(bào)，2022（1）：118-123.

［39］潘穎，鄭建明，孫紅蕾.“十四五”時(shí)期公共文化發(fā)展沿革與融合創(chuàng)新：基于省級(jí)政策文本內(nèi)容分析視角［J］.圖書(shū)館建設(shè)，2022（2）：150-158.

［40］金波，楊鵬，王毅.“十四五”圖書(shū)館、情報(bào)與文獻(xiàn)學(xué)學(xué)科發(fā)展態(tài)勢(shì)與前瞻［J］.圖書(shū)館雜志，2022，41（1）：4-16.

作者簡(jiǎn)介：

劉浩東（2001— ），男，江蘇大學(xué)科技信息研究所碩士研究生在讀。研究方向：知識(shí)管理、專(zhuān)利分析。

王秀紅（1975— ），女，博士，研究館員，任職于江蘇大學(xué)科技信息研究所、江蘇大學(xué)圖書(shū)館。研究方向：專(zhuān)利分析、用戶(hù)信息行為。