王有剛 徐勇 王澤成 周善英

云環(huán)境數(shù)據(jù)發(fā)布服務(wù)中隱私保護相關(guān)技術(shù)研究

〔摘 要〕云計算環(huán)境下數(shù)據(jù)庫服務(wù)應(yīng)用系統(tǒng)中的隱私保護問題是影響組織是否選擇相關(guān)服務(wù)的重要因素之一，本文界定了云計算數(shù)據(jù)庫服務(wù)應(yīng)用系統(tǒng)架構(gòu)；分析了基于密碼學理論實現(xiàn)訪問控制方法的不足，探討了云計算環(huán)境下支持多管理域合成的訪問控制模型；研究了云計算環(huán)境數(shù)據(jù)動態(tài)變化場景下的用戶隱私保護問題；介紹了經(jīng)典數(shù)據(jù)發(fā)布模型，對比了發(fā)布數(shù)據(jù)效用度量方法。最后指出云計算環(huán)境數(shù)據(jù)發(fā)布服務(wù)中隱私保護的熱點研究方向。

〔關(guān)鍵詞〕云計算；數(shù)據(jù)發(fā)布；隱私保護；k-匿名

DOI：10.3969/j.issn.1008-0821.2012.12.001

〔中圖分類號〕TP391 〔文獻標識碼〕A 〔文章編號〕1008-0821（2012）12-0003-05

云計算在現(xiàn)有技術(shù)、方法的基礎(chǔ)上，整合諸多資源，為用戶提供無限制的、可伸縮的、易獲得的IT資源服務(wù)，是目前信息領(lǐng)域的熱門課題之一。云環(huán)境下的數(shù)據(jù)發(fā)布服務(wù)（Data Releasing）是云平臺服務(wù)[1-2]的重要內(nèi)容之一，逐漸受到國內(nèi)外學者越來越多的關(guān)注。相對于傳統(tǒng)服務(wù)模式將信息保存在數(shù)據(jù)所有者可控的計算機系統(tǒng)范圍內(nèi)，云環(huán)境下數(shù)據(jù)所有者把作為其重要資產(chǎn)的數(shù)據(jù)發(fā)布到“云”中時，用戶數(shù)據(jù)管理方式由傳統(tǒng)的自己擁有和完全掌控格局轉(zhuǎn)變?yōu)樽庥糜傻谌教峁┪锢淼暮吞摂M的基礎(chǔ)設(shè)施資源的方式，這就意味著敏感數(shù)據(jù)將存儲在不受數(shù)據(jù)所有者控制的外部系統(tǒng)中，顯然這將會帶來一系列的安全問題，云計算數(shù)據(jù)發(fā)布服務(wù)中如何在保持數(shù)據(jù)具有足夠效用的同時，保護數(shù)據(jù)主體身份信息的隱私性正日益成為其中的一個重要內(nèi)容[1，3-5]。

由于云計算與效用計算、分布式或網(wǎng)格計算等模式在用戶接口、體系結(jié)構(gòu)和系統(tǒng)自治性等方面存在顯著的區(qū)別，通過密碼學、集中系統(tǒng)訪問控制等常規(guī)技術(shù)保護敏感數(shù)據(jù)的隱私，如：用戶訪問模式，逐漸顯得力不從心了[6]。正如EMC信息安全部RSA和歐洲信息安全署ENISA等指出，數(shù)據(jù)的私密性和安全性以及服務(wù)的穩(wěn)定性已成為用戶考慮是否使用云服務(wù)和如何選擇云提供商的關(guān)鍵衡量指標[7-9]。

1998年P(guān)Samarati[10]用實驗數(shù)據(jù)證明了攻擊者將發(fā)布數(shù)據(jù)中的某些非標識信息與從其它渠道獲得的數(shù)據(jù)進行鏈接，可能會造成個體隱私信息的泄露。2000年Agrawal等指出數(shù)據(jù)庫隱私保護的10條規(guī)則（Ten Principles）[11]。2002年Sweeny等提出適用于數(shù)據(jù)發(fā)布過程隱私信息泄露的k-匿名模型[12-13]。在此之后，國內(nèi)外很多學者從多個不同的角度和層面對微觀數(shù)據(jù)匿名隱私保護方法展開了研究，取得了許多重要的研究成果[14]。

1 云計算環(huán)境下數(shù)據(jù)庫服務(wù)中的訪問控制

云計算是一種利用互聯(lián)網(wǎng)實現(xiàn)隨時隨地、按需、便捷地訪問共享資源池（如計算設(shè)施、存儲設(shè)備、應(yīng)用程序等）的計算模式。計算機資源服務(wù)化是云計算重要的表現(xiàn)形式，它為用戶屏蔽了數(shù)據(jù)中心管理、大規(guī)模數(shù)據(jù)處理、應(yīng)用程序部署等問題。通過云計算，用戶可以根據(jù)其業(yè)務(wù)負載快速申請或釋放資源，并以按需支付的方式對所使用的資源付費，在提高服務(wù)質(zhì)量的同時降低運維成本[15]。數(shù)據(jù)庫服務(wù)作為一種新的基于云計算平臺的網(wǎng)絡(luò)數(shù)據(jù)管理模式能夠滿足組織需求、提供像本地數(shù)據(jù)庫一樣的數(shù)據(jù)管理服務(wù)。然而，由于越來越多的數(shù)據(jù)涉及敏感信息，如醫(yī)療記錄、交易信息、證券信息、財務(wù)信息等，組織對于數(shù)據(jù)庫隱私信息泄露問題越來越重視[16]。一個典型的云計算數(shù)據(jù)庫服務(wù)應(yīng)用系統(tǒng)通常由4部分組成：（1）數(shù)據(jù)所有者（data owner），指產(chǎn)生數(shù)據(jù)并將數(shù)據(jù)交給云服務(wù)提供商管理的個人或組織；（2）數(shù)據(jù)用戶（user），指提交數(shù)據(jù)查詢等請求的實體，可以是個人、應(yīng)用程序等；（3）客戶端（client），指完成用戶提交的查詢與適合于在云計算平臺上執(zhí)行的查詢之間等價轉(zhuǎn)換的應(yīng)用程序或函數(shù)；（4）云計算服務(wù)運營商（server），指提供數(shù)據(jù)庫服務(wù)的組織及其云計算平臺。在云計算平臺下，提出數(shù)據(jù)發(fā)布服務(wù)請求的主體將其數(shù)據(jù)發(fā)布至云計算平臺，相關(guān)數(shù)據(jù)的存儲、處理和保護等操作，都在“云”中完成，這樣不可避免地會產(chǎn)生數(shù)據(jù)安全、用戶隱私泄露等問題。

2012年12月第32卷第12期現(xiàn)？代？情？報Journal of Modern InformationDec，2012Vol32 No122012年12月第32卷第12期云環(huán)境數(shù)據(jù)發(fā)布服務(wù)中隱私保護相關(guān)技術(shù)研究Dec，2012Vol32 No12不同于傳統(tǒng)的本地數(shù)據(jù)管理模式，云計算環(huán)境數(shù)據(jù)發(fā)布服務(wù)模式中，數(shù)據(jù)的訪問控制、用戶隱私、機密性、完整性等概念被賦予了新的含義；并且也產(chǎn)生了一些新的安全問題，如在云計算環(huán)境中，數(shù)據(jù)發(fā)布服務(wù)可以有隸屬不同安全管理域的服務(wù)提供商提供，每個安全域都管理著本地的資源和應(yīng)用，當用戶提交服務(wù)請求時需在域邊界設(shè)置認證服務(wù)對訪問共享資源的用戶進行統(tǒng)一的身份認證管理；各域也都有自己的訪問控制策略，在進行資源共享和保護時必須對共享資源制定一個公共的、雙方都認同的訪問控制策略，因此，云計算環(huán)境需要支持訪問控制策略的合成。關(guān)于訪問控制策略合成問題最早由Mclean在強制訪問控制框架下提出，他將兩個安全格合成一個新的格結(jié)構(gòu)構(gòu)建了一個基于強制訪問控制策略的合成框架[17]。但是Mclean沒有進一步驗證合成之后訪問控制策略的安全性問題、以及新合成的訪問控制策略與各個域原來的訪問控制策略的兼容性問題。為此，Bonatti提出了一個訪問控制策略合成代數(shù)，用形式化的方法描述、分析了合成策略的安全性[18]。對于多安全域?qū)嶓w間的授權(quán)關(guān)系，林莉通過屬性值的計算結(jié)構(gòu)擴展了現(xiàn)有的策略合成代數(shù)，提出了新的基于屬性的策略合成代數(shù)模型。但是該模型存在兩點不足：首先，沒有區(qū)分隱私屬性和一般屬性的差異性訪問控制問題。其次，沒有考慮云計算環(huán)境下不同自治域異構(gòu)系統(tǒng)上的訪問控制策略協(xié)商[19]。云計算環(huán)境下，研究者關(guān)注較多的是基于密碼學理論實現(xiàn)訪問控制的方法[20]?；诿艽a類方案面臨的一個重要問題是權(quán)限撤銷，一種有效的解決方案是為密鑰設(shè)置失效時間，每隔一定時間用戶從認證中心更新私鑰，并引入一個在線的半可信第三方維護授權(quán)列表[21]?；诿艽a的數(shù)據(jù)庫服務(wù)訪問控制策略還存在可擴展性問題，對此Yu等綜合基于屬性的加密方法（Attribute-based Encryption，ABE）、代理重加密和懶惰重加密方法提出一種細粒度外包數(shù)據(jù)訪問控制策略[22]。Vimercati等提出了一個訪問控制實施及其進化（evolution）管理的解決方法，以選擇性加密作為實現(xiàn)授權(quán)管理的基礎(chǔ)，研究了適應(yīng)授權(quán)策略動態(tài)變化場合的應(yīng)用方案[23]。加密是一種常用的保護敏感數(shù)據(jù)的方法，但是不支持有效的數(shù)據(jù)操作，因此黃汝維等設(shè)計了一個基于矩陣和向量運算的可計算加密方案CESVMC，將云數(shù)據(jù)分為字符串和數(shù)值數(shù)據(jù)兩大類，通過運用向量和矩陣的各種運算，實現(xiàn)對數(shù)據(jù)的加密，支持對加密字符串的模糊檢索和對加密數(shù)值數(shù)據(jù)的加、減、乘、除4種算術(shù)運算并保證數(shù)據(jù)存儲和運算過程的隱私安全性。CESVMCF方案中乘除法運算的性能仍需改進，并且該方案不支持多次乘/除法運算。這顯然限制了該加密方案在實際云平臺數(shù)據(jù)庫服務(wù)中的應(yīng)用[24]。

近年來，云計算環(huán)境數(shù)據(jù)動態(tài)變化場景下的用戶隱私保護問題[16]逐漸引起人們的關(guān)注，張逢？等利用虛擬機監(jiān)控器保證參與計算的云中數(shù)據(jù)的隱私安全，在用戶指定的時間點，內(nèi)存中的數(shù)據(jù)以及用戶密鑰將被強制銷毀[25]。但是張逢？提出的隱私保護模型Dissolver存在一個假設(shè)前提：虛擬機監(jiān)控器是可信的，而事實上虛擬機監(jiān)控器仍然存在被攻擊的可能；其次云平臺中參與計算的數(shù)據(jù)必須以明文形式才能參與計算，其中的加解密過程的效率是一個重要的問題。云計算環(huán)境下現(xiàn)有的隱私保護方案大多面向用戶可用數(shù)據(jù)的保護而忽視了個人身份信息的保護。毛劍等針對用戶身份信息保護提出基于可信服務(wù)器的云存儲架構(gòu)，實現(xiàn)數(shù)據(jù)存儲和用戶個人信息管理隔離[26]。云服務(wù)器利用可信服務(wù)器提供的存儲認證碼判斷用戶的存儲權(quán)限，用戶的身份信息存儲于可信服務(wù)器。但是可信服務(wù)器對用戶隱私信息的威脅問題沒有考慮；經(jīng)過二次混淆的數(shù)據(jù)分割方案將會使得數(shù)據(jù)的可用度大為降低。

綜上所述，由于在云計算平臺下服務(wù)商未必會忠實實施安全訪問控制策略，所以傳統(tǒng)單服務(wù)器上的訪問控制策略研究成果都無法直接應(yīng)用于云計算平臺；其次，已有關(guān)于云計算環(huán)境下數(shù)據(jù)訪問控制策略研究工作的側(cè)重點是對數(shù)據(jù)機密性的保護，較少考慮用戶個人身份隱私的保護問題。所以需要進一步研究在云計算環(huán)境下實施外包數(shù)據(jù)對象的訪問控制，實現(xiàn)對數(shù)據(jù)機密性和用戶隱私信息的保護目的等。

2 發(fā)布數(shù)據(jù)匿名模型

在發(fā)布數(shù)據(jù)隱私保護研究領(lǐng)域，國內(nèi)外學者提出了許多有效的隱私保護匿名模型，典型的發(fā)布數(shù)據(jù)匿名模型有如下幾種。

21 k-匿名模型

Sweeny等首先設(shè)計了k-匿名模型，該模型將數(shù)據(jù)記錄劃分為若干個等價類，每個等價類至少包含k條記錄、并且這k條記錄在準碼屬性上的取值相同，以防范隱私攻擊[12-13]。文獻[14]證明，獲得最佳的匿名數(shù)據(jù)表是一個NP-完全問題。

K-匿名模型的形式化定義如下：假設(shè)RT（A1，…An）是一個數(shù)據(jù)表，QIRT是該表的準標識符屬性。稱RT滿足k-匿名當且僅當RT[QIRT]上的每一個值序列在RT[QIRT]上至少出現(xiàn)k次。即在滿足k-匿名的發(fā)布數(shù)據(jù)表RT中，任何一條記錄在準標識符屬性上都至少與其它k-1條記錄是不可區(qū)分的。

如表1即為一個滿足2-匿名要求的匿名表。在表1中，k=2，QI={Race，Birth，Gender，ZIP}。

對于滿足k-匿名的數(shù)據(jù)表，有學者研究發(fā)現(xiàn)其仍然可能遭遇同質(zhì)攻擊（homogeneity attack）和背景攻擊（background knowledge attack）而泄露用戶隱私信息。例如當?shù)葍r類中記錄在敏感屬性上的取值相同，攻擊者仍然可以獲知個體的敏感屬性取值，從而造成隱私泄露。表1 2-匿名表

22 改進的匿名模型

在基本k-匿名模型的基礎(chǔ)上，文獻[27]提出了l-diversity模型，該模型仍然首先將數(shù)據(jù)表劃分為若干個等價類，但是對于每個等價類中記錄的要求是該等價類中至少含有1條滿足特定要求的記錄，這里指定的特定要求可以根據(jù)問題領(lǐng)域由用戶指定。例如：文獻[27]作者指定特定要求是“每個等價組內(nèi)敏感屬性至少出現(xiàn)1個不同的屬性值”等。L-diversity模型的實質(zhì)是要求每個等價類中記錄在敏感屬性上的取值滿足“l(fā)-diversity”特性，抵御惡意攻擊，但在有些情況下仍然不足以保證發(fā)布數(shù)據(jù)中的隱私信息。例如：等價組中的大多數(shù)記錄的敏感屬性都取相同的值，則惡意攻擊者仍然可以較高的概率推斷隱私信息具體取值。另外，若敏感屬性取值的分布情況也是隱私信息，則滿足l-diversity模型要求的數(shù)據(jù)表仍然容易遭受隱私泄露。文獻[28]提出的t-逼近模型針對通過全局隱私信息推測單個統(tǒng)計個體隱私信息的保護問題而提出的，若發(fā)布表每個等價類中敏感屬性值的分布與該敏感屬性值在整個發(fā)布表中的分布差異不超過t時，稱該發(fā)布表滿足t-closeness匿名要求。

針對動態(tài)情況下的數(shù)據(jù)隱私信息保護問題，m-invariance策略[29]利用桶裝算法保證數(shù)據(jù)表存在記錄插入和刪除兩種操作情況下的隱私保護問題。m-invariance策略將等價組中相異敏感屬性值的集合稱為“簽名”，當數(shù)據(jù)表等價類至少包含m條記錄、并且它們的敏感屬性取值各不相同，對于每條記錄t，在其生存期的每個發(fā)布版本中，包含t的等價組都具有相同的簽名。作者證明了若發(fā)布表序列中每個版本與前一版本之間滿足m-invariance，則所有版本兩兩間滿足m-invariance；且發(fā)布序列滿足該條件時，不會產(chǎn)生信息泄露。

m-invariance桶裝算法由于在匿名時只需要考察相鄰兩個表之間的推理通道，因而效率相對較高。但是該算法要求發(fā)布序列表的等價組中，具有相同簽名的元組不能超過一條，所以m-invariance會帶來數(shù)據(jù)質(zhì)量較低的問題；另外，算法有可能添加偽造數(shù)據(jù)，從而對數(shù)據(jù)的真實性產(chǎn)生影響。該方法能處理數(shù)據(jù)具有動態(tài)插入和刪除的情況，假設(shè)各個插入、刪除數(shù)據(jù)相互之間是完全獨立的，但實際應(yīng)用場合動態(tài)更新的數(shù)據(jù)相互之間并不一定是完全獨立的。對此問題，國內(nèi)外學者又陸續(xù)提出了一些改進的匿名模型，如（alpha，k）-匿名模型[30]等。但是縱觀各種改進的匿名模型可以發(fā)現(xiàn)沒有任何一種匿名模型適用于所有數(shù)據(jù)發(fā)布問題領(lǐng)域。因此針對不同的問題領(lǐng)域，我們應(yīng)該研究不同的匿名模型解決特定的數(shù)據(jù)發(fā)布任務(wù)。

3 匿名發(fā)布表的效用

對數(shù)據(jù)進行隱私保護處理必然會造成原始數(shù)據(jù)表的信息損失，如何評價隱私保護方法及相關(guān)算法、如何度量發(fā)布數(shù)據(jù)表的數(shù)據(jù)質(zhì)量，建立恰當?shù)脑u價標準是一個非常重要的問題。

目前有很多匿名方法中都研究了數(shù)據(jù)表匿名發(fā)布之后的效用度量問題。這些度量方法大致可以分為二類，第一類是將屬性分為數(shù)值屬性和類別屬性從屬性取值域變化角度分別度量其泛化程度，本文將其稱為域度量方法；第二類未對屬性進行區(qū)分，從屬性取值在泛化層次樹上高度的變化情況或等價組中元組個數(shù)角度度量發(fā)布表泛化程度，本文將這一類方法稱為非域度量方法。

31 域度量方法

基于泛化技術(shù)的隱私保護模型中較多采用NCP度量標準[31]，通過為每個屬性分配權(quán)重表示屬性在應(yīng)用中的數(shù)據(jù)效用。NCP度量標準中定義數(shù)據(jù)泛化前后效用變化的公式分別為：數(shù)值屬性：NCP（t）=∑ni=1ωizi-yiAi，其中wi是屬性的權(quán)重，yi、zi分別是屬性Ai泛化后的區(qū)間的左、右界，Ai是屬性Ai在表中的最大取值和最小取值的差；類別屬性：NCP（t）=size（u）A，其中size（u）為泛化后的類別屬性值集合中值的個數(shù)，A為泛化屬性的所有可能取值的個數(shù)。每個等價類G的懲罰計算公式為：NCP（G）=∑di=1wi·NCPAi（G），其中d為準標識符屬性數(shù)，wi為各準標識符屬性的權(quán)重。整個泛化表在經(jīng)過泛化得到的滿足k-匿名要求的表的懲罰為所有等價類的懲罰之和。

32 非域度量方法

同一個原始數(shù)據(jù)表泛化過程往往會存在多個滿足要求的泛化k-匿名表，Sweeney等在文獻[13]中從泛化匿名表信息損失程度視角提出了描述泛化匿名發(fā)布表擾亂程度的度量公式Prec。Sweeney等通過屬性泛化高度描述了數(shù)據(jù)表的效用變化，即用1減去泛化表中所有元組的所有字段對應(yīng)的該比值即可描述泛化表信息損失程度，其形式化描述如下：

設(shè)PT（A1，…，ANa）為原始數(shù)據(jù)表，tPj∈PT，RT（A1，…，ANa）為PT的泛化表，tRj∈RT；DGHAi表示屬性Ai的域泛化層次結(jié)構(gòu)，fi為施加于屬性A的泛化函數(shù)，則泛化表RT的精確度Prec（RT）為：

當PT=RT時，由于發(fā)布表RT中每個每條元組所有屬性值的泛化高度均為0，即h=0，則Prec（RT）=1；當發(fā)布表RT中每條元組每個屬性取值為對應(yīng)屬性的最大泛化取值時，即h=DGHAi，有Prec（RT）=0。

域度量方法從屬性泛化前后取值域的變化角度度量數(shù)據(jù)表效用的變化情況，度量結(jié)果精確、但計算過程復雜；非域度量方法從屬性泛化高度視角度量數(shù)據(jù)表效用變化情況，計算簡單、但存在度量精度不高的問題。

目前關(guān)于發(fā)布表數(shù)據(jù)效用度量方法的研究主要側(cè)重于基于泛化技術(shù)匿名發(fā)布表的數(shù)據(jù)效用度量方法研究，基于置換等其他隱私保護技術(shù)求解的發(fā)布表數(shù)據(jù)效用度量方法研究成果較少。

4 小結(jié)與展望

隨著人們對隱私信息越來越重視、以及云計算相關(guān)應(yīng)用的逐步開展，在云環(huán)境微觀數(shù)據(jù)發(fā)布領(lǐng)域，如何保護微觀數(shù)據(jù)中數(shù)據(jù)主體的敏感隱私信息不被惡意攻擊者獲取，同時又保證數(shù)據(jù)用戶能夠獲得足夠的數(shù)據(jù)信息進行有效的探索和數(shù)據(jù)分析任務(wù)變成一個亟待研究、解決的問題。尤其是隨著移動設(shè)備和定位技術(shù)的發(fā)展，產(chǎn)生了大量的移動對象軌跡數(shù)據(jù)，數(shù)據(jù)發(fā)布中軌跡數(shù)據(jù)具有時間相關(guān)、位置相關(guān)、大規(guī)模、高維的特點帶來的一些新的隱私保護問題無法直接用現(xiàn)有的隱私保護技術(shù)處理，如高維數(shù)據(jù)等價類的劃分效率，移動軌跡數(shù)據(jù)實時、增量產(chǎn)生發(fā)布時多數(shù)據(jù)表上的依賴隱私。下一步我們將針對云計算環(huán)境下軌跡數(shù)據(jù)發(fā)布問題領(lǐng)域的隱私保護問題開展研究。

參考文獻

[1]Curino C，Jones E，Popa R et al.Relational Cloud：A Database-as-a-Service for the Cloud.5th Conf.on Innovative Data Systems Research，CIDR 2011，January 9-12，2011 Asilomar，California

[2]Choubey R，Dubey R，Bhattacharjee J.A Survey on Cloud Computing Security Challenges and Threats.Int.Journal on Computer Science and Engineering，2011，3（3）：1227-1231.

[3]Dudin E，Smetanin Y.A Review of Cloud Computing[J].Scientific and Technical Information Processing，2011，38（4）：280-284.

[4]Zhang Q，Cheng L，Boutaba R.Cloud Computing：State-of-the Art and Research Challenge.Journal of Internet Serv Appl，2010，1：7-18.

[5]Hamlen K，Kantarcioglu M，Khan L et al.Security Issues for Cloud Computing[J].International Journal of Information Security and Privacy，2010，4（2）：39-51.

[6]Ma H，Schewe K，Thalheim B et al.A Formal Model for the Interoperability of Service Clouds.Service Oriented Computing and Applications，Online First，18 Jan 2012.

[7]Amazon Security Bulletins[EB/OL].http：∥aws.amazon.com/security/security bulletins/，2011.

[8]Google[EB/OL].http：∥googledocs.blogspot.com/2009/03/just-t o-clarify.html，2009.

[9]Microsoft[EB/OL].http：∥www.microsoft.com/technet/security/，2010.

[10]Samarati P，Sweeney L.Generalizing data to provide anonymity when disclosing information[C]∥Proc of the seventeenth ACM SIGACT-SIGMOD-SIGART symposium on Principles of database systems，Seattle，1998：188.

[11]Agrawal R，Srikant R.Privacy Preserving Data Mining.In Proc.of ACM SIGMOD，Dallas，USA，2000.

[12]Sweeney L.K-anonymity：a Model for Protecting Privacy[J].Journal on Uncertainty，F(xiàn)uzziness and Knowledge-based Systems，2002，10（5）：557-570.

[13]Sweeney L.Achieving k-Anonymity Privacy Protection Using Generalization and Suppression[J].International Journal on Uncertainty，F(xiàn)uzziness and Knowledge-based Systems，2002，10（5）：571-588.

[14]MEYERSON A，WILLIAMS R.On the complexity of optimal k-anonymity[C].Proc.of the 23rd ACM SIGACT-SIGMOD-SIGART Symposium on Principles of Database Systems.New York，2004：223-228.

[15]羅軍舟，金嘉暉，宋愛波，等.云計算：體系架構(gòu)與關(guān)鍵技術(shù)[J].通信學報，2011，32（7）：3-21.

[16]田秀霞.數(shù)據(jù)庫服務(wù)保護隱私的訪問控制與查詢處理[D].上海：復旦大學，2011.

[17]Mclean J.The Algebra of Security.In Proc.of the 1988 IEEE Computer Society Symposium on Security and Privacy，1988，pages 2-7.

[18]Bonatti P，Vimercati SC，Samarati P.An algebra for composing access control policies[J].ACM Trans.on Information and System Security，2002，5（1）：1-35.

[19]林莉，懷進鵬，李先賢.基于屬性的訪問控制策略合成代數(shù)[J].軟件學報，2009，20（2）：403-414.

[20]洪澄，張敏，馮登國.AB-ACCS：一種云存儲密文訪問控制方法[J].計算機研究與發(fā)展，2010，47（增刊I）：259-265.

[21]Ibraimi L，Petkovic M，Nikova S et al.Ciphertext-Policy attribute-based threshold decryption with flexible delegation and revocation of user attributes.Technical Report，Centre for Telematics and Information Technology，University of Twente，2009.

[22]Yu SC，Wang C，Ren K et al.Achieving Secure，Scalable，and Fine-grained Data Access Control in Cloud Computing.Proc.Of 29th IEEE Int.Conf.on Computer Communications，San Diego，CA，Mar.2010，pages 1-9.

[23]Vimercati S，F(xiàn)oresti S，Jajodia S.Over-encryption：Management of Access Control Evolution on Outsourced Data.Proc.of the 33rd Int.Conference on Very Large Data Bases，University of Vienna，Austria，September 23-27，2007.ACM 2007，pp.123-134.

[24]黃汝維，桂小林，余思，等.云環(huán)境中支持隱私保護的可計算加密方法[J].計算機學報，2011，34（12）：2391-2402.

[25]張逢，陳進，陳海波，等.云計算中的數(shù)據(jù)隱私性保護與自我銷毀[J].計算機研究與發(fā)展，2011，48（7）：1155-1167.

[26]毛劍，李坤，徐先棟.云計算環(huán)境下隱私保護方案[J].清華大學學報，2011，51（10）：1357-1362.

[27]Machanavajjhala A，Gehrke J，Kifer D.l-diversity：Privacy beyond k-anonymity[J].ACM Transactions on Knowledge Discovery from Data（TKDD），2007，1（1）：1-36.

[28]Li N，Li T，Venkatasubramanian S.t-Closeness～Privacy beyond k-anonymity and l-diversity[C]∥Proc of IEEE 23RD Int.Conf on Data Engineering.Istanbul：IEEE Computer Society，2007：106-115.

[29]Xiao X K，Tao Y F.m-Invariance：Towards Privacy Preserving Re-publication of Dynamic Datasets.In Proc.of the 26th ACM International Conference on Management of Data（SIGMOD），2007：689-700.

[30]Wong RCW，Li J，F(xiàn)u AWC et al.（a，k）-Anonymity：An enhanced k-anonymity model for privacy-preserving data publishing[C]∥Proc of the 12th ACM SIGKDD int.conf on Knowledge discovery and data mining，New York：ACM Press，2006：754-759.

[31]Xu J，Wang W，Pei J et al.Utility-Based Anonymization Using Local Recoding.Proceedings of the 12th ACM SIGKDD International Conference on Knowledge Discovery and Data Mining.New York，ACM Press，2006：785-790.

（本文責任編輯：馬 卓）