陶靈靈，黃志球，曹 彥，張夢嬌

1.南京航空航天大學 計算機科學與技術學院，南京 210016

2.軟件新技術與產業(yè)化協同創(chuàng)新中心，南京 210016

1 引言

隨著信息技術的不斷發(fā)展，用戶、企業(yè)、研究人員、立法者對于隱私越來越關注，隱私泄露已經成為制約信息進一步發(fā)展的關鍵問題。用戶在使用互聯網上的各種便捷服務的過程中，需要向服務提供商提供一定的個人隱私信息。這些服務在滿足用戶的功能性需求的同時也需要滿足用戶的非功能性需求，如滿足用戶的隱私偏好。由于互聯網的開放性和動態(tài)性，用戶提供必要的個人隱私信息之后，不知道相關服務如何使用這些信息。眾所周知，網絡上很多不良服務會有意獲取用戶的隱私信息來謀取利益。很顯然，這些服務在用戶心中的信譽度較低。因此，用戶隱私信息應當盡量避免被信譽度較低的服務收集和使用[1]。

為了處理日益突出的隱私問題，工業(yè)界已經有很多隱私保護的技術和標準。萬維網聯盟（World Wide Web Consortium，W3C）提出了隱私偏好平臺（platform for privacy preferences，P3P）[2]，提供了一套較完整的框架來定義隱私策略，提供了標準的、機器可讀的隱私策略定義語法，可以進行自動分析以及清楚地體現服務提供方的隱私策略。企業(yè)隱私授權語言（enterprise privacy authorization language，EPAL）[3]是一種形式化語言，可以根據良好細粒度的授權權利編寫企業(yè)隱私策略，來控制計算機系統(tǒng)中數據處理實踐。還有一些方法是密封隱私信息，如TRUSTe[4]、BBBOnline[5]、ESRB 和 CPAWebTrust[6]等。上述方法有一個共同的問題，就是當用戶釋放隱私數據后，這些技術與方法均無法讓用戶知道他們的隱私信息是如何被處理的。服務提供方根據他們的隱私策略獲取到用戶的隱私信息，但是無法保證服務提供方有意或者無意地違反他們的隱私策略，從而泄露用戶的隱私信息。

傳統(tǒng)的訪問控制模型，例如強制訪問控制（mandatory access control，MAC）[7]、自主訪問控制（discretionary access control，DAC）[8]、基于角色的訪問控制（role based access control，RBAC）[9]，這些模型都不是為執(zhí)行隱私策略設計的，幾乎不滿足隱私保護需求，尤其是目的綁定的（也就是隱私數據收集后只能用于特定目的，不能被用于其他目的）、有條件的、申明義務的隱私需求。目的、條件、義務來源于經濟合作與發(fā)展組織（organization for economic co-operation and development，OECD）隱私保護指導方針[10]。這個指導方針是最著名的隱私信息保護原則集合，很多其他的指導方針、數據保護法律、公共隱私策略都是基于此。在OECD數據質量原則、數據規(guī)約原則、使用限制原則中均涉及目的。目的還在隱私保護立法中被廣泛使用。美國健康保險攜帶和責任法案（health insurance portability and accountability act，HIPPA）[11]中明確陳述了目的。這些傳統(tǒng)的訪問控制模型可以作為保護個人可識別信息[12]（personal identifiable information，PII）的出發(fā)點。因此，一個基于角色的隱私訪問控制模型[13]（privacy-aware role based access control，P-RBAC）被提出來。這個模型繼承于傳統(tǒng)的RBAC模型，可以表達復雜的隱私相關的策略，這些策略包含了目的、義務和條件。這個模型可以方便地應用到已經使用RBAC模型的系統(tǒng)中。基于目的隱私保護訪問控制（purpose based access control，PBAC）模型[14]考慮的是目的的層次關系，一個隱私數據可以綁定多個使用目的，進行更細粒度的隱私保護訪問控制。

本文的主要貢獻如下：

（1）提出了一種以目的綁定和期望信譽度標注為中心的隱私信息訪問控制模型。該模型通過多隱私數據項組合的期望使用目的綁定和期望信譽度綁定，對數據使用者的使用目的進行限制，并對信譽度提出要求，不需要指定數據的使用者，增加了策略靈活性。

（2）對XACML（extensible access control markup language）標準組件進行擴展，給出了隱私策略執(zhí)行系統(tǒng)的執(zhí)行流程、目的信譽度分析器分析算法，從而有效地按照用戶的隱私需求進行訪問控制。

本文組織結構如下：第2章介紹了基于目的的隱私訪問控制模型；第3章提出了基于期望目的信譽度的訪問控制模型，并給出了該模型的隱私訪問控制流程以及授權算法；第4章進行了案例分析與實驗；第5章介紹相關工作；最后是總結和展望。

2 基于目的的隱私訪問控制

本文首先介紹使用目的以及使用目的之間的層級關系，可以根據使用目的來進行訪問控制決策?；谝话慊綄ｉT化的原則，把使用目的組織成一個層級結構。

2.1 目的與目的層級關系

定義1（目的和目的樹）一個目的描述了數據使用者對數據的收集和訪問的理由；目的可以被組織成樹狀結構，把這種結構稱作目的樹。假設P是所有目的的集合，則樹中的每個節(jié)點代表P中的一個目的，樹中的每條邊代表一個層級關系，也就是表示兩個目的之間一般到專門的關系。讓pi和pj是目的樹中的兩個目的，如果pi到pj存在一條由上到下的邊，那么稱pj是pi的專門化，或者說pi是pj的一般化。

圖1給出了目的樹的一個例子。本文的后續(xù)章節(jié)會用到下面兩個符號。

Fig.1 Purpose tree圖1 目的樹

符號（Ancestors和Descendants）設PT為一個目的樹，P是PT中所有目的的集合。設pi是PT中的一個目的。Ancestors(pi)代表在PT中取pi所有祖先節(jié)點的集合，且包括pi本身；Descendants(pi)代表在PT中取pi所有子節(jié)點的集合，且包括pi本身。

2.2 期望使用目的與隱私數據期望使用目的標注

在這個訪問控制模型中，期望使用目的既支持正向隱私策略，又支持反向隱私策略。一個期望使用目的集包含兩部分：期望允許目的集和期望禁止目的集。對于相同隱私數據，期望允許目的集和期望禁止目的集可能存在沖突的情況，可以根據禁止優(yōu)先原則來解決這種沖突。

下面給出期望目的集的形式化定義。

定義2（期望目的集）設PT為一個目的樹，P是PT中所有目的的集合。一個期望目的集IP，由一個二元組 ＜AIP,PIP＞組成。其中AIP?P，是所有期望允許目的的集合；PIP?P，是所有被禁止的目的集合。下面定義兩種期望使用目的蘊含：

例1 假設IP=＜AIP={Admin,Direct}，PIP={D-Email}＞是按照圖1中的目的樹定義的，則：

AIP↓=Descendants(Admin)∪Descendants(Direct)={Admin,Profiling,Analysis}∪{Direct,D-Email,D-Phone,Special-Offers,Service-Updates}

PIP?=Descendants(D-Email)∪Ancestors(D-Email)={D-Email,Special-Offers,Service-Updates}∪{D-Email,Direct,Marketing,General-Purpose}

從上述例子可以容易地看出，AIP↓代表當一個節(jié)點被允許，那么它的所有子節(jié)點也被允許。PIP?代表當一個節(jié)點不被允許，那么它的所有子節(jié)點和父節(jié)點都不被允許。

2.3 請求使用目的決策

一個請求目的是在一次請求中對于某個隱私數據的訪問目的。下面給出請求目的的形式化定義。

定義3（請求目的）設PT為一個目的樹。一個請求目的，記為AP，是訪問隱私數據項的目的，它也是PT中的一個節(jié)點。

根據請求目的和期望目的集的關系，系統(tǒng)可以做出一個請求決策。也就是說，如果請求目的被期望允許目的集蘊含，且不被期望禁止目的集蘊含，這個請求才能被授權。在這種情況下，請求目的是和期望目的兼容的；當其中任何一個條件不被滿足，請求就被拒絕。這種情況下，請求目的和期望目的不兼容。

定義4（請求目的兼容）設PT為一個目的樹。IP=＜AIP,PIP＞，作為在PT上定義的期望目的。AP為在PT上的請求目的。稱AP和IP在PT上兼容，記為AP?PTIP，當且僅當AP?PIP?，AP∈AIP↓同時成立。

例2設PT是圖1中的目的樹，IP和AP分別為在PT上定義的期望目的和請求目的。假如IP=＜{General-Purpose},{Third-Party}＞。如果AP=Marketing，則AP?PTIP，因為 Marketing∈PIP?。如果AP=Admin，則AP?PTIP，因為 Admin?PIP?，Admin∈AIP↓同時成立。

3 基于期望目的信譽度的訪問控制

3.1 期望信譽度與請求信譽度

定義5（服務信譽度）服務信譽度是服務在保護用戶隱私數據的能力、歷史表現等多方面的綜合評價指標。將服務隱私保護信譽度量化到區(qū)間[0,9]，數值越大表示信譽度越高，9表示具有最高信譽度。

對服務信譽度評價的過程中，既應該考慮服務自身的質量，也應該考慮用戶的使用評價。

假設有n個服務S={s1,s2,…,sn}，其中每個服務有m個QoS屬性Q={q1,q2,…,qm}，每個服務的屬性表示為qij（i表示第i個服務，j表示第j個屬性），n個服務的m個屬性可以表示為：

在QoS屬性中，有些屬性值越大，服務質量越低（負屬性），如增大開銷、時間延遲等；有些屬性值越大，服務質量越高（正屬性），如機密性、可靠性等。需要對這些值進行規(guī)范化處理，引入一個向量T={t1,t2,…,tm}，其中ti(0＜i＜m)的值為1或-1，分別表示正屬性和負屬性。Q中的每一個元素可以使用式（1）進行規(guī)范化：

式中，qmin和qmax分別表示Q中的某一列的最小值和最大值。

使用規(guī)范化后的屬性值計算服務的QoS綜合值，如式（2）：

計算服務的QoS綜合值并且獲取用戶對服務做出的評價后，計算服務信譽度，如式（3）：

式（3）中，SR(si)為服務si的信譽度值；QoS(si)是其QoS綜合值；Rj(si)為用戶j對服務si的評價值，值域為[0,1]；ω為權值，值域為[0,1]，若ω=0，表示不考慮服務客觀質量，若ω=1，表示不考慮用戶評價。在實際系統(tǒng)中，管理員根據情況對ω合理取值。最后把計算的信譽度值量化到[0,9]。

如果隱私數據項對應的隱私策略中允許的訪問目的包括或者蘊含當前請求的訪問目的，并且當前請求服務的信譽度值比對應期望信譽度值要高，那么這個請求才會被允許。將期望使用目的所要求的服務的最低信譽度值稱為期望信譽度值。將當前訪問請求的服務對應的信譽度值稱為請求信譽度值。下面給出期望信譽度值和請求信譽度值的形式化定義。

定義6（期望信譽度值）一個期望信譽度值記為IR，是一個變量，根據用戶的隱私偏好進行取值，表示一個期望目的對于隱私數據請求方信譽度值的要求，取值范圍為[0,9]。IR=0，代表期望目的對于隱私數據請求方的信譽度值要求極低，表明此使用目的對于隱私數據的危害極?。籌R=9，代表期望目的對于隱私數據請求方的信譽度值要求極高，表明此使用目的對于隱私數據的危害極大。

定義7（請求信譽度值）一個請求信譽度值記為AR，是一個變量，根據當前請求方的信譽度值進行取值，取值范圍為[0,9]。

3.2 隱私信息集劃分和信息集層次關系

本節(jié)定義了隱私信息以及隱私信息集，同時提出了一個通用的層次隱私信息集模型，建模了現實系統(tǒng)中信息集之間的層次關系。

定義8（隱私信息集）設pi是單個隱私信息，隱私信息集表示由多個隱私信息組成的集合，記為PI，可以被表示成PI={p1,p2,…,pn}。

在服務過程中，服務提供者收集的用戶隱私信息都是一組隱私信息集。服務收集到單個隱私信息，一般不會對用戶造成隱私威脅。例如，當服務收集到用戶年齡時，在不知道用戶姓名的情況下，該服務收集到的信息并不能識別出用戶的身份，不會對用戶造成不利。但是當多個隱私信息組合成為隱私信息集后，服務對于隱私信息集的收集和使用會不同程度地對用戶造成不利結果。因此用戶在定義自己的隱私偏好時，可以規(guī)約單個隱私信息或者隱私信息集所期望目的集，以及每個期望目的所需要最低信譽度值要求。

在現實中，信息一般都被組織成一個層次結構。例如，典型的文件系統(tǒng)，文件根據不同的文件類型，存儲在具有層次關系的文件夾中；XML數據元素被存儲在樹型結構的XML文檔中。下面給出一個通用的信息層次模型。

定義9（層次隱私信息集模型）一個層次信息模型記為HIM，被表示成一個四元組＜THIM,IHIM,TIHIM,SIHIM＞，其中：

（1）THIM是類型的集合。

（2）IHIM是信息的集合。

（3）TIHIM:IHIM→THIM是為每一個信息集指派一個類型的函數。當TIHIM(PI)=t，稱隱私信息集是t類型的一個實例，可以表示成PI→t。

（4）SIHIM:IHIM→IHIM是為一個信息集指派一個父信息集的函數。當SIHIM(PI1)=PI2，稱PI2是PI1的父信息集，或者說PI1是PI2的子信息集，可以表示成PI1?PI2。

輔助函數Nodes(HIM)返回HIM中所有的類型和信息集，也就是Nodes(HIM)=THIM∪IHIM。例如，一個SOAP消息PI1是一組隱私信息集，它是一個基于XML schema的XML文檔。這個XML schema可以看成是一個類型t，也就是說PI1→t。當然，一個SOAP消息可以嵌套一組隱私信息集PI2，也就是說PI2?PI1，即PI2是PI1的子隱私信息集。

3.3 期望使用目的信譽度標注

本文的訪問控制模型是基于隱私數據集及其相關聯的期望使用目的集，并且期望使用目的集中的目的與期望信譽度相關聯。本節(jié)給出期望使用目的信譽度標注的定義，并且給出標注的原則。

定義10（期望目的信譽度標注）設PT為一個目的樹，P是PT中所有目的的集合，IP是定義在P上的期望目的集，也就是說IP={＜AIP,PIP＞，AIP?P，PIP?P}。一個期望目的信譽度標注是一個四元組＜AIP,AIR,PIP,PIR＞，其中AIR={IR1,IR2,…,IRn}，表示一個期望信譽度值集合，n等于AIP中元素個數，并且與AIP中元素一一對應，代表AIP中每一個期望允許使用目的對應的期望信譽度值；PIR={IR1,IR2,…,IRm}，表示一個期望禁止信譽度值集合，m等于PIP中元素個數，并且與PIP中元素一一對應，代表PIP中每一個期望禁止使用目的對應的期望信譽度值。

下面給出隱私信息集標注原則：

（1）一組隱私信息集中的隱私信息越多，期望信譽度值越高。

（2）一組隱私信息集的使用目的越一般（也就是在目的樹中越靠近根），期望信譽度值越高。

在現實系統(tǒng)中，期望使用目的和期望信譽度值一定是用戶根據自己的隱私需求定義的。因此需要一種可以方便用戶定義這兩者的形式化隱私偏好語言。本文假設已經可以自動提取隱私信息集、期望使用目的集以及對應的期望目的信譽度集。

下面給出期望使用目的信譽度標注步驟：

（1）提取業(yè)務系統(tǒng)中的隱私數據集。

（2）根據用戶的隱私偏好對隱私數據集標注期望使用目的集。

（3）根據用戶的隱私偏好對相應的期望使用目的標注期望信譽度值。

用戶定義的各條隱私偏好相互之間可能會有沖突，沖突不是本文要解決的主要問題，如何解決這些沖突問題，具體可以參考文獻[15]。

3.4 請求控制流程

隱私訪問控制流程共包括8個功能組件：策略執(zhí)行點（policy enforcement point，PEP）、策略決策點（policy decision point，PDP）、目的信譽度分析器（purpose reputation analysis point，PRAPS）、策略管理點（policy administration point，PAP）、策略信息點（policy information point，PIP）、策略庫（policy repository）、環(huán)境處理器（context handler）和信息管理器（information manager，IM）。其中策略庫用于存儲訪問控制策略，本文就是存儲包含期望使用目的以及期望信譽度值的訪問控制策略。策略管理點對策略庫中的策略進行管理，例如策略的搜索、新增、刪除、修改。策略決策點負責隱私授權決策的產生。策略執(zhí)行點負責授權決策的執(zhí)行。在決策過程中，策略信息點負責收集一些決策需要的相關信息，如請求者的信譽度值。環(huán)境處理器負責管理各個組件間的數據交換。信息管理器負責管理請求者的信譽度值，并提供信譽度值查詢功能。目的信譽度分析器提供使用目的和信譽度值的分析。圖2給出了隱私策略執(zhí)行系統(tǒng)的流程，其中實線部分是XACML的標準組件[16]，虛線部分表示本文擴展的部分。

在隱私策略執(zhí)行系統(tǒng)中，各個組件相互協作交互，共同完成隱私授權決策。具體的運行流程如下：

（1）策略管理點向策略庫中添加隱私信息訪問控制策略。

Fig.2 Privacy policy execution system圖2 隱私策略執(zhí)行系統(tǒng)流程

（2）隱私信息請求者向策略執(zhí)行點發(fā)起訪問請求，策略執(zhí)行點獲得該請求，然后將請求轉發(fā)給環(huán)境處理器。環(huán)境處理器將請求轉換為標準格式，并將轉化后的結果發(fā)送給策略決策點，讓其進行評判。

（3）策略決策點獲取請求后，一方面根據請求中的隱私集在策略庫中查找相應的策略，另一方面向環(huán)境處理器查詢當前請求者的信譽度值。

（4）環(huán)境處理器向策略信息點查詢相應信譽度值。策略信息點會向信息管理點中的信譽度管理器進行查詢，并根據信譽度管理器返回的信譽度值返回給環(huán)境處理器。環(huán)境處理器再把結果返回給策略決策點。

（5）策略決策點把請求目的、策略中的期望允許使用目的集與期望禁止使用目的集以及對應的期望信譽度值集合，交給目的信譽度分析器。分析器分析請求目的和信譽度是否符合期望，將分析結果發(fā)送給策略決策點。

（6）策略決策點根據目的信譽度分析器的結果進行授權決策，并將決策結果發(fā)送給環(huán)境處理器，環(huán)境處理器獲得決策結果后，將其轉換成策略執(zhí)行點的標準格式，發(fā)送給策略執(zhí)行點。

（7）由策略執(zhí)行點判斷授權結果是否有錯誤，若沒有錯誤，則進行授權決策，并將結果返回。

下面給出目的信譽度分析器的分析算法的詳細步驟。

（1）設S是隱私數據集pi的請求者，請求目的為ap，獲取S的信譽度值ar。

（2）獲取隱私數據集pi策略中的期望目的集及其對應的期望信譽度集＜AIP,AIR,PIP,PIR＞。

（3）若ap∈AIP且ar≥AIR，則授權訪問；若ap∈PIP且ar≤pir，則拒絕訪問。其他情況，拒絕訪問。

算法偽代碼如下所示：

1.Input:S,ap,pi

//S是請求者，ap為請求目的，pi為隱私數據集

2.Output:true,false

//true代表授權訪問，false代表拒絕訪問

3.ar:=getReputaion(S);//獲取服務S的信譽度

4.＜AIP,AIR,PIP,PIR＞:=getIntentPR(pi);

//獲取隱私信息集pi相關策略的期望目的信譽度集

5.if(ap∈AIP&&ar≥AIR){return true;}

//進行授權判斷

6.else if(ap∈PIP&&ar≤PIR){return false;}

7.else{return false;}

4 案例分析與實驗

通過在線商城服務（Online_Shop）對本文提出的方法進行案例分析。Online_Shop采用Eclipse BPEL Designer工具開發(fā)，利用Apache服務組合引擎作為容器執(zhí)行。由擴充了目的信譽度分析器的XACML2.0隱私策略執(zhí)行系統(tǒng)進行策略決策，并對分析算法進行實驗分析。

4.1 案例分析

Online_Shop根據用戶的購物需求，提供下單、支付、配送一站式服務，組合了在線下單服務（Order Service）、網上支付服務（Pay Service）、物流配送服務（Ship Service）。本文使用Java語言實現了在線商城BPEL（business process execution language）程序，模擬了在線商城服務，用戶與服務的交互情景如圖3所示。

Fig.3 Service interaction scenario圖3 服務交互情景

用戶首先向Online_Shop發(fā)送自己的購物請求，Online_Shop根據用戶的功能需求和非功能需求選擇合適的服務進行Web服務組合。Online_Shop根據購物請求向Order Service發(fā)出下單請求，如果Order Service響應下單成功，繼續(xù)向Pay Service發(fā)出支付請求，如果Pay Service響應支付成功，繼續(xù)向Shop Service發(fā)出物流請求，最終完成一站式的購物服務。

Table 1 User privacy requirement表1 用戶隱私需求表

假設某用戶Alice需要在Online_Shop上購買一件商品，他的隱私需求如表1所示。各個服務的請求目的與隱私數據集如表2所示。

Table 2 Request information表2 請求信息表

Order Service、Pay Service、Ship Service請求的隱私信息集為Online_Shop請求的隱私信息集的子集，都可以直接使用用戶為{name,phone_number,address,credit_number}定義的隱私需求。假設策略信息點采集到Online_Shop服務的信譽度為8，當Online_Shop服務以purchase目的請求信息集時，目的信譽度分析器分析到purchase目的在用戶的期望允許目的集中，并且不在期望禁止目的集中，當前服務的信譽度值大于等于用戶要求的值，策略決策點將允許本次請求，并且將決策回復給環(huán)境處理者，環(huán)境處理者再把結果返回給策略執(zhí)行點。最后，由策略執(zhí)行點判斷授權結果是否有錯誤，若沒有錯誤，則進行授權決策，并將結果返回給Online_Shop。當Online_Shop以marketing目的對隱私信息集{phone_number}進行請求時，目的信譽度分析器分析到marketing在用戶的期望禁止目的集中，并且當前服務的信譽度值小于用戶要求的信譽度值，因此該請求被禁止。Order Service等服務請求決策過程類似，本文不再重復闡述。

從本案例中可以發(fā)現，使用隱私使用目的信譽度訪問控制方法對用戶隱私信息進行控制，解決了傳統(tǒng)訪問控制模型由于缺少隱私相關屬性無法細粒度進行隱私訪問控制的問題，并且不再需要用戶重復為不同的服務定義隱私需求，改善了策略靈活性。

4.2 實驗

通過仿真實驗，對目的信譽度分析器的性能進行評估，并與相關技術進行對比分析。實驗環(huán)境為：Intel Core i5四核2.7 GHz，8 GB內存，64位Windows 7操作系統(tǒng)，選用Eclipse 4.5.0為集成開發(fā)工具，JDK版本為1.8。

在相同實驗環(huán)境下，通過用戶隱私需求中策略數n對算法執(zhí)行時間與內存占用情況進行統(tǒng)計，并與文獻[17]中的分析算法進行比較。

信譽度分析器分析算法的時間復雜度為O(n2)，計算量主要體現在獲取隱私信息集相關策略上，策略越多，計算所需要的時間越長，占用的內存也越大。由圖4可見，在相同策略數且策略數較少的情況下，本文算法所需要的時間相比稍長，隨著策略數的增多，計算時間差距越小。當策略數達到100條時，計算時間僅差3 ms。經過分析，時間差主要體現在信譽度查詢上，考慮信譽度的策略定義更為靈活，因此本文算法的計算時間是可以接受的。由圖5可見，本文算法相比對比算法更節(jié)省內存，當策略數達到100條時，內存差為1.3 MB。

Fig.4 Comparison of algorithm time圖4 算法時間對比

Fig.5 Comparison of memory footprint圖5 內存占用對比

5 相關工作

相關工作主要分為兩類：一類是擴展了基于角色的訪問控制模型，增加了使用目的、義務、保留時長等隱私相關的屬性，將數據操作的權限擴充為對隱私數據操作的權限；另一類是針對不同的數據模式，保護數據的查詢隱私，并保證數據查詢的效率。

第一類的工作主要有：文獻[18]提出了基于角色的訪問控制（RBAC），該模型把權限授權給角色，再把角色授權給個體，這樣個體就擁有了角色的相關權限，該工作是訪問控制隱私保護研究的基礎。文獻[19]提出了隱私敏感的基于角色的訪問控制模型（P-RBAC），該模型繼承于RBAC模型，可以表達高復雜性的隱私相關的策略，并且考慮了目的和義務，解決了隱私策略和訪問控制策略不在一個模型中執(zhí)行的問題，并且處理了策略之間的沖突問題。文獻[20]根據數據最大可用、最小隱私暴露原則設計了針對Web服務的隱私保護訪問控制模型，滿足了數據使用者的隱私策略和數據提供者的隱私偏好。文獻[21]提出了在分布式計算環(huán)境中基于目的的訪問控制模型，形式化定義了適用于分布式環(huán)境的隱私策略，并且給出了策略沖突檢測算法。以上方法通過增加隱私相關的屬性，用戶可以定義自己的隱私偏好，但是這些方法都要求用戶明確數據的使用者。在Web服務組合環(huán)境下，組合過程對于用戶是透明的，用戶無法明確定義數據的使用者。因此本文通過用戶定義期望信譽度來有效解決這一問題。

第二類的工作主要有：文獻[22]通過對data purpose的概念分層，用二元組數據結構描述data purpose的層次數據模式，減少了隱私策略冗余，進而提出分離隱私與非隱私屬性的查詢重寫算法，實現了查詢返回結果的最大化。文獻[23]構建了針對XML數據模式的隱私訪問控制模型，解決了由路徑傳遞引起的查詢隱私數據泄漏問題。文獻[17]提出了針對層級數據模型的基于目的訪問控制模型，目的信息與數據元素相關聯，并且討論了數據標注的粒度。以上方法針對單一數據模式提出了基于purpose的訪問控制模型，在Web服務環(huán)境下隱私數據往往是多種數據混合模式，本文通過隱私信息集的定義解決了此類問題。

6 總結和展望

本文首先針對傳統(tǒng)訪問控制模型策略必須指定數據使用者，不夠靈活的問題，提出了一個基于期望使用目的和期望信譽度的訪問控制模型，給出了模型中期望信譽度值、請求信譽度值、期望目的信譽度標注的形式化定義；同時給出了隱私信息集的定義，并對其層次關系建立了層次隱私信息集模型。其次給出了期望使用目的信譽度標注的原則；最后給出了請求控制的流程，以及信譽度分析器的分析算法，并給出了案例分析與實驗。

本文的下一步工作是提出一種可以方便用戶定義期望使用目的與信譽度的形式化隱私偏好語言，從用戶的隱私偏好中自動提取隱私信息集、期望使用目的集以及對應的期望目的信譽度集。

[1]Peng Huanfeng,Huang Zhiqiu,Fan Dajuan.A service-composition oriented privacy protection method[J].Journal of Chinese Computer Systems,2015,36(8):1671-1676.

[2]Reagle J,Cranor L F.The platform for privacy preferences[J].Encyclopedia of Cryptography&Security,2000,24(2):940-941.

[3]Karjoth G.Enterprise privacy authorization language[J].European Psychiatry,2003,29(4):121-124.

[4]Benassi P.TRUSTe:an online privacy seal program[J].Com-munications of theACM,1999,42(2):56-59.

[5]Bennefield R M.BBB online[J].U S News&World Report,1997,12(1):36-39.

[6]Kovar S E,Burke K G,Kovar B R.Consumer responses to the CPA WEBTRUST?assurance[J].Journal of Information Systems,2000,14(1):17-35.

[7]Blanc M,Guerin K,Lalande J F,et al.Mandatory access control implantation against potential NFS vulnerabilities[C]//Proceedings of the International Symposium on Collaborative Technologies and Systems,Baltimore,May 18-22,2009.Washington:IEEE Computer Society,2009:195-200.

[8]Li Ninghui,Tripunitara M V.Discretionary access control[C]//Proceedings of the IEEE Symposium on Security and Privacy,Oakland,May 8-11,2005.Washington:IEEE Computer Society,2005:96-109.

[9]Sandhu R S,Ferraiolo D F,Kuhn D R.The NIST model for role-based access control:towards a unified standard[C]//Proceedings of the 1st ACM Workshop on Role-Based Access Control,Berlin,Jul 26-27,2000.New York:ACM,2000:47-63.

[10]Bayraktar A.OECD(organisation for economic cooperation and development)and environment[J].Endocrinology,2010,138(10):200-207.

[11]Fleisher L D,Cole L J.Health insurance portability and accountability act is here:what price privacy[J].Genetics in Medicine,2001,3(4):286-289.

[12]Alfedaghi S S,Albehairy S A.Personal identifiable information and laws:the case of financial services[J].Journal of Computer Research and Development,2011,3(5):126-138.

[13]Ni Qun,Trombetta A,Bertino E,et al.Privacy-aware role based access control[C]//Proceedings of the 12th ACM Symposium on Access Control Models and Technologies,Sophia Antipolis,Jun 20-22,2007.New York:ACM,2007:41-50.

[14]Yang Naikuo,Barringer H,Zhang Ning.A purpose-based access control model[C]//Proceedings of the 3rd International Symposium on Information Assurance and Security,Manchester,Aug 29-31,2007.Washington:IEEE Computer Society,2007:143-148.

[15]Ke Changbo,Huang Zhiqiu.Privacy requirement description and checking method in cloud computing[J].Journal of Computer Research and Development,2015,52(4):879-888.

[16]Kolter J,Schillinger R,Pernul G.Aprivacy-enhanced attributebased access control system[C]//LNCS 4602:Proceedings of the 21st Annual IFIP WG 11.3 Working Conference on Data and Applications Security,Redondo Beach,Jul 8-11,2007.Berlin,Heidelberg:Springer,2007:129-143.

[17]Byun J W,Bertino E,Li Ninghui.Purpose based access control of complex data for privacy protection[C]//Proceedings of the 10th ACM Symposium on Access Control Models and Technologies,Stockholm,Jun 1-3,2005.New York:ACM,2005:102-110.

[18]Sandhu R S.Role hierarchies and constraints for latticebased access controls[C]//LNCS 1146:Proceedings of the 4th European Symposium on Research in Computer Security,Rome,Sep 25-27,1996.Berlin,Heidelberg:Springer,1996:65-79.

[19]Ni Qun,Lin Dan,Bertino E,et al.Conditional privacy-aware role based access control[C]//LNCS 4734:Proceedings of the 12th European Symposium on Research in Computer Security,Dresden,Sep 24-26,2007.Berlin,Heidelberg:Springer,2007:72-89.

[20]Li Min,Sun Xiaoxun,Wang Hua,et al.Privacy-aware access control with trust management in Web service[J].World Wide Web,2011,14(4):407-430.

[21]Wang Hua,Sun Lili,Bertino E.Building access control policy model for privacy preserving and testing policy conflicting problems[J].Journal of Computer&System Sciences,2014,80(8):1493-1503.

[22]Liu Yimin,Wang Zhihui,Zhou Haofeng et al.Privacy-aware data purpose based access control for relational database[J].Journal of Frontiers of Computer Science and Technology,2010,4(3):222-230.

[23]Liu Yimin,Wang Zhihui,Wang Wei.Research and implementation of purpose-based privacy access control policy in XML data mode[J].Computer Applications and Software,2013,30(2):148-151.

附中文參考文獻：

[1]彭煥峰,黃志球,范大娟.一種面向服務組合的隱私保護方法[J].小型微型計算機系統(tǒng),2015,36(8):1671-1676.

[15]柯昌博,黃志球.云計算環(huán)境下隱私需求的描述與檢測方法[J].計算機研究與發(fā)展,2015,52(4):879-888.

[22]劉逸敏,王智慧,周皓峰,等.基于Purpose的隱私數據訪問控制模型[J].計算機科學與探索,2010,4(3):222-230.

[23]劉逸敏,王智慧,汪衛(wèi).XML數據模式下基于purpose的隱私訪問控制策略研究與實現[J].計算機應用與軟件,2013,30(2):148-151.