面向云計(jì)算應(yīng)用層演化的隱私保護(hù)方法研究

柯昌博，吳嘉余，曹 彥

1.南京郵電大學(xué) 計(jì)算機(jī)學(xué)院，南京210023

2.南京航空航天大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，南京210016

1 引言

隱私是評(píng)估軟件可信性的主要因素之一，也是度量用戶敏感數(shù)據(jù)安全的主要非功能屬性[1-2]。隨著物聯(lián)網(wǎng)、云計(jì)算、移動(dòng)支付和電子商務(wù)的快速發(fā)展，隱私泄露問題日趨嚴(yán)重。如，2018 年，F(xiàn)acebook 由于泄露用戶的個(gè)人隱私的信息，其股價(jià)下跌28%；2018年8月，谷歌被發(fā)現(xiàn)，即使用戶已經(jīng)在隱私設(shè)置中關(guān)閉了位置記錄，智能手機(jī)的谷歌服務(wù)會(huì)存儲(chǔ)用戶的位置信息，谷歌仍會(huì)記錄，造成用戶的位置信息被暴露[3-4]。隱私最初作為人權(quán)保護(hù)的部分被提出[5]，在服務(wù)計(jì)算或云計(jì)算的軟件體系結(jié)構(gòu)下，隱私保護(hù)是指用戶控制其個(gè)人敏感數(shù)據(jù)被服務(wù)收集、暴露和維持的能力[6]。而在大數(shù)據(jù)和人工智能的快速發(fā)展下，在用戶不知情的情況下，服務(wù)通過數(shù)據(jù)挖掘、知識(shí)推理和機(jī)器學(xué)習(xí)等技術(shù)能夠獲取用戶偏好、個(gè)人身份信息、身體健康數(shù)據(jù)等敏感隱私數(shù)據(jù)，使得用戶的隱私數(shù)據(jù)非法泄露，給用戶帶來經(jīng)濟(jì)損失甚至?xí)绊懙接脩舻娜松戆踩玔7-8]。

演化分為用戶的需求演化和組合服務(wù)演化[9]。而組合服務(wù)演化又分為服務(wù)參與者演化和服務(wù)組合流程演化[10]。演化作為云計(jì)算的主要屬性之一，它增強(qiáng)了SaaS服務(wù)的自適應(yīng)自恢復(fù)的能力，并且可以根據(jù)用戶需求的改變，動(dòng)態(tài)地組合服務(wù)，為滿足用戶的功能需求提供了理論和技術(shù)支持[11-12]。但是當(dāng)SaaS服務(wù)發(fā)生演化時(shí)，使得用戶的隱私數(shù)據(jù)被退出服務(wù)組合的服務(wù)所收集，造成了用戶的隱私數(shù)據(jù)泄露；或者當(dāng)服務(wù)流程發(fā)生演化時(shí)，使得服務(wù)參與者獲取了額外的用戶隱私信息，造成了用戶個(gè)人敏感隱私信息的泄露[13]。而SaaS 服務(wù)組合是一種協(xié)同計(jì)算，并且對(duì)交互各方來說，數(shù)據(jù)是透明的，即，很難通過加密的手段來保證用戶的隱私安全。因此，很容易使得用戶失去對(duì)自身隱私數(shù)據(jù)的控制權(quán)，由于明文傳達(dá)所帶來的問題，使得采用傳統(tǒng)的信息安全方法來解決比較困難[14]。

通過以上的分析，由于用戶的隱私數(shù)據(jù)在SaaS 服務(wù)組合中必須為明文，因此，當(dāng)SaaS層的服務(wù)組合流程發(fā)生演化時(shí)會(huì)出現(xiàn)如下兩種情況，如圖1所示。

圖1 服務(wù)發(fā)現(xiàn)演化

在圖1中，假若服務(wù)組合流程中的服務(wù)B由于某種原因退出了服務(wù)組合流程，服務(wù)F替換服務(wù)B，當(dāng)服務(wù)組合流程沒有事前檢測(cè)與事中監(jiān)督機(jī)制，在事中發(fā)生演化，使得用戶的隱私信息已經(jīng)發(fā)送給服務(wù)B，這就會(huì)發(fā)生由于服務(wù)B退出組合流程而泄露用戶的隱私；假若服務(wù)B是騙取用戶信息的偽功能服務(wù)，那么服務(wù)B將會(huì)收集大量的用戶隱私信息，本文主要是針對(duì)服務(wù)組合流程進(jìn)行事前檢測(cè)和事中監(jiān)控，以確保服務(wù)組合流程發(fā)生演化時(shí)，不會(huì)造成用戶隱私信息的泄露。

面向SaaS服務(wù)組合的敏感隱私信息安全增強(qiáng)方法研究還處在概念模型層面，例如Cleveland State University的Krupp B利用本體定義了安全與隱私策略，并在操作系統(tǒng)與應(yīng)用層之間構(gòu)建安全隱私層來保證應(yīng)用軟件使用隱私數(shù)據(jù)是按照事前所定義的隱私策略執(zhí)行的，從而確保用戶敏感信息的安全[15]；Purdue University的Ni Q 提出了一種基于角色的隱私感知模型，根據(jù)角色分配相應(yīng)的隱私訪問策略，通過對(duì)策略的匹配來限定用戶對(duì)隱私數(shù)據(jù)的訪問權(quán)限，從而達(dá)到保護(hù)敏感隱私數(shù)據(jù)的目的[16]。

本文的主要貢獻(xiàn)為：首先提出了一種隱私協(xié)議的描述方法；其次，給出了隱私協(xié)議的獲取方法；最后，闡述了基于隱私協(xié)議的服務(wù)組合隱私暴露監(jiān)督方法。

2 隱私協(xié)議的生成與監(jiān)督

2.1 隱私協(xié)議的生成

定義1（隱私協(xié)議規(guī)約）隱私協(xié)議規(guī)約由4 元組描述，即PS=。其中，I 記錄隱私數(shù)據(jù)在本體樹中的位置；O 表示SaaS 服務(wù)，也是隱私數(shù)據(jù)的Owner；S 為隱私項(xiàng)的標(biāo)識(shí)，對(duì)應(yīng)隱私本體中的概念。P 為隱私暴露約束，是對(duì)Owner 使用隱私數(shù)據(jù)的約束，形式表示如下：

隱私暴露約束P由對(duì)隱私數(shù)據(jù)本身的約束SC和對(duì)Owner的約束OC組成；SC表示Owner是否有權(quán)限擁有該隱私項(xiàng)，和Owner對(duì)此隱私項(xiàng)持有的有效時(shí)間進(jìn)行約束；C 表示隱私數(shù)據(jù)在本體中的類，約束Owner 與用戶進(jìn)行隱私數(shù)據(jù)交互時(shí)，只能對(duì)其所對(duì)應(yīng)的類或子類進(jìn)行交換；opi是類的實(shí)例，{ }ow1,ow2,…,own表示實(shí)例所對(duì)應(yīng)的Owner；opi:{ }ow1,ow2,…,own表示隱私數(shù)據(jù)類的實(shí)例可以被那些Owner持有；opi:owi(vti)表示Owner對(duì)隱私數(shù)據(jù)實(shí)例持有時(shí)間。

OC是對(duì)Owner的約束，包括官方Official和SaaS組合者serviceComp 的約束。SC 表示官方或者SaaS 組合者對(duì)Owner在隱私法上的約束。

定義2（隱私暴露集PDC（Privacy Disclosure Collection）用戶隱私暴露集PDC表示為：

PDC=Tableau(Ciopi,φ) ，φ=?Ci(opi)???Ck(opk)Tableau()是隱私暴露探測(cè)算法，φ 為描述用戶隱私需求的實(shí)例斷言公理，{ }Ci(opi),Ck(opk) 為隱私暴露對(duì)。由于Tableau()是描述邏輯中對(duì)概念的滿足性檢測(cè)算法，因此，利用Tableau(Ciopi,φ) 探測(cè)隱私數(shù)據(jù)集subject:name 對(duì)用戶需求的可滿足性。

定義3（隱私增強(qiáng)集PEC（Privacy Enhancement Collection）假若某個(gè)隱私數(shù)據(jù)集滿足：

（1）是非隱私暴露集N-PDC；（2）與服務(wù)的輸入與前置條件語(yǔ)義等價(jià)，換句話說，就是服務(wù)能夠正確運(yùn)行，PDC ≡(service(input)?service(pre )_condition) ；（3）無(wú)冗余的隱私數(shù)據(jù)，即：則滿足條件（1）和（2）的稱為極小隱私增強(qiáng)集，滿足條件（1）、（2）和（3）的稱為最小隱私增強(qiáng)集。

隱私合約的隱私增強(qiáng)集協(xié)商是由用戶端與組合者之間的協(xié)商，用戶端獲取用戶隱私需求中的隱私數(shù)據(jù)類所對(duì)應(yīng)的實(shí)例，轉(zhuǎn)化為實(shí)例斷言公理φ；組合者持有服務(wù)輸入和前置條件中的隱私數(shù)據(jù)集。首先，用戶向服務(wù)組合者發(fā)送服務(wù)請(qǐng)求，服務(wù)組合者收到用戶的服務(wù)請(qǐng)求后，向用戶出示運(yùn)行服務(wù)所要的隱私數(shù)據(jù)集{C1(op1),…,Ci(opi),…,Cn(opn)} 。此時(shí)，探測(cè)服務(wù)組合者所要求的隱私數(shù)據(jù)集是否滿足用戶的隱私需求，具體過程如下：

（1）針對(duì)隱私項(xiàng)是否滿足用戶的隱私實(shí)例斷言公理，即：φ ?Ci(opi)；

（2）針對(duì)隱私數(shù)據(jù)集是否滿足PDC；

（3）檢測(cè)此隱私數(shù)據(jù)集是否與服務(wù)的輸入與前置條件語(yǔ)義等價(jià)：

（4）是否存在冗余的隱私數(shù)據(jù)，即：

用戶端將檢測(cè)結(jié)果發(fā)回給服務(wù)端，如果檢測(cè)內(nèi)容（1），其結(jié)果為φ|≠Ci(opi)，服務(wù)端采用本體樹搜索算法，找到其兄弟節(jié)點(diǎn)brother( )Ci(opi) ，用兄弟節(jié)點(diǎn)替換節(jié)點(diǎn)Ci(opi)，直到滿足用戶隱私實(shí)例斷言公理φ，然后檢測(cè)是否滿足（2）。假若搜索完所有的節(jié)點(diǎn)也不能滿足φ，則用戶發(fā)送消息要求服務(wù)組合者重新綁定服務(wù)。

檢測(cè)內(nèi)容（3），如果隱私暴露集PDC與服務(wù)的輸入和前置條件在語(yǔ)義上不等價(jià)，服務(wù)組合者重新綁定服務(wù)，并將所需暴露的隱私數(shù)據(jù)返回給用戶進(jìn)行檢測(cè)（1）。

檢測(cè)內(nèi)容（4），如果存在冗余的隱私數(shù)據(jù)，Ci(opi)?PDC ≠φ。此時(shí)，服務(wù)組合者根據(jù)用戶的需求去掉冗余，并將此結(jié)果返回給用戶確認(rèn)，并得到隱私增強(qiáng)集，即協(xié)商成功。

當(dāng)用戶與服務(wù)組合者進(jìn)行隱私增強(qiáng)集協(xié)商成功以后，得到了Ci(opi)序列，即{C1(op1),C2(op2),…,Cj(opj),…,Cn(opn)} 。對(duì)于用戶而言，此序列中的每個(gè)Cu(opu)都有隱私暴露約束P，即Cu(opu)?P；對(duì)于服務(wù)提供者，此序列中的每個(gè)Cs(ops)都有隱私披露約束P，即Cs(ops)?P；P描述了Owner使用隱私數(shù)據(jù)的具體行為約束和時(shí)間約束，如：傳遞的Owner，有效使用時(shí)間等。

定義4（隱私約束映射SM（Pu?PsMapping））隱私披露/暴露約束的語(yǔ)義映射滿足如下條件：

（1）用戶的隱私數(shù)據(jù)類的實(shí)例所對(duì)應(yīng)的隱私披露約束與服務(wù)提供者的隱私數(shù)據(jù)類的實(shí)例所對(duì)應(yīng)的隱私暴露約束之間等價(jià)，即Cu(opu)?Pu≡Cs(ops)?Ps。

（2）用戶的隱私數(shù)據(jù)類的實(shí)例所對(duì)應(yīng)的隱私暴露約束包含服務(wù)提供者隱私數(shù)據(jù)類的實(shí)例所對(duì)應(yīng)的隱私披露約束，即Cu(opu)?Pu?Cs(ops)?Ps。

隱私披露/暴露約束的交換過程也是隱私約束的映射過程。首先，服務(wù)組合者所對(duì)應(yīng)的服務(wù)端根據(jù)隱私增強(qiáng)集協(xié)商所得到的隱私約束的交換序列，向用戶端發(fā)送隱私披露約束P1s，用戶端收到以后，啟動(dòng)推理機(jī)對(duì)用戶和服務(wù)提供者之間的隱私約束關(guān)系Pu?Ps進(jìn)行推理，其推理結(jié)果有三種情況：

2.2 面向服務(wù)交互過程的隱私監(jiān)督

定義5（隱私暴露監(jiān)督動(dòng)作[17-18]）假設(shè)Ci為隱私項(xiàng)的本體概念名，D 為本體概念，則隱私概念的定義式可以表示為Ci≡D。對(duì)于概念定義式所組成的有限集合T ，如果每個(gè)概念名最多在T 中某個(gè)概念定義式的左邊出現(xiàn)一次，則稱T 為P_TBox。給定某個(gè)P_TBox，設(shè)NA為原子動(dòng)作名所組成的集合，可以將原子隱私暴露監(jiān)督動(dòng)作定義為：

其中：

（1）α ∈NA為所定義的原子動(dòng)作名；

（2）{C1(op1),C2(op2),…,Cj(opj),…,Cn(opn)} 為SaaS服務(wù)所請(qǐng)求的用戶隱私項(xiàng)所組成的有限序列；

（3）D 為委托授權(quán)聲明所組成的有限集合，表示執(zhí)行某個(gè)動(dòng)作所必須滿足的前提條件；

（4）P 為隱私斷言所組成的有限集合，表示執(zhí)行某個(gè)動(dòng)作所產(chǎn)生的結(jié)果；

（5）D和P滿足：φ ∈P →φ?∈D。

對(duì)于隱私暴露監(jiān)督動(dòng)作定義式所組成的任何一個(gè)有限集合P-A，如果每個(gè)隱私暴露監(jiān)督動(dòng)作名最多在PA中某個(gè)隱私暴露監(jiān)督動(dòng)作定義式的左邊出現(xiàn)一次，則稱P-A為P-AABox。

當(dāng)服務(wù)組合者BPEL調(diào)用外包服務(wù)時(shí)，SaaS服務(wù)向服務(wù)組合者請(qǐng)求用戶的隱私數(shù)據(jù)作為服務(wù)的輸入和前置條件。為了分析SaaS服務(wù)是否擁有獲取用戶隱私數(shù)據(jù)的權(quán)限并是否按照隱私策略使用用戶的隱私數(shù)據(jù)，服務(wù)組合者需要對(duì)SaaS 服務(wù)進(jìn)行分析以及對(duì)SaaS 服務(wù)使用用戶隱私數(shù)據(jù)的過程進(jìn)行監(jiān)控。設(shè)隱私暴露監(jiān)督動(dòng)作π ≡α[C1(op1),C2(op2),…,Cj(opj),…,Cn(opn)],即π ≡request(O,pa),其中request(O,pa)表示SaaS 服務(wù)從服務(wù)組合者獲取隱私數(shù)據(jù)的過程，pa 表示隱私數(shù)據(jù)P的一個(gè)實(shí)例，即：

Request（O，pa）≡（{O，pa，composerServer（pa），?owns（O，pa）}，{?composerServer（pa），owns（O，pa）}）

因此，隱私可滿足性分析過程可以通過以下兩步進(jìn)行描述：

步驟1 檢測(cè)是否為授權(quán)的SaaS服務(wù)：( D?;π)*;?D?；如果是，則執(zhí)行動(dòng)作π ，即返回相應(yīng)的隱私數(shù)據(jù)給SaaS服務(wù)。如果此SaaS 服務(wù)為非授權(quán)服務(wù)，則不執(zhí)行動(dòng)作π ，即拒絕暴露隱私數(shù)據(jù)給此服務(wù)提供者。此時(shí)，服務(wù)組合者將調(diào)用其他候選服務(wù)進(jìn)行授權(quán)檢測(cè)，直到滿足相應(yīng)的授權(quán)規(guī)則為止。

步驟2 對(duì)SaaS 服務(wù)的執(zhí)行進(jìn)行監(jiān)控：(P?;ok)?(?P?;cal l(SLA))。其中，ok 表示滿足Mapping(Pu?Ps)，服務(wù)組合者繼續(xù)調(diào)用其他服務(wù)并重復(fù)此過程；call（SLA）表示如果SaaS 服務(wù)違反了隱私暴露約束，即使得隱私暴露約束為假，此時(shí)調(diào)用SLA中對(duì)應(yīng)的懲罰機(jī)制進(jìn)行懲罰。同時(shí)繼續(xù)執(zhí)行BPEL 流程，如果捕獲到invoke 標(biāo)簽，則回到步驟1。

定義6（BPEL-隱私約束轉(zhuǎn)換）根據(jù)云服務(wù)組合流程BPEL 在執(zhí)行過程中服務(wù)參與者之間的協(xié)同交互關(guān)系，得到相應(yīng)的隱私披露約束：

（1）根據(jù)receive活動(dòng)的輸入和前置條件獲取Owner所要求用戶提供的隱私數(shù)據(jù)，Pi:{Ox,Oy} ；

（2）根據(jù)invoke 活動(dòng)，得到用戶隱私數(shù)據(jù)的傳遞關(guān)系，即由某個(gè)Owner傳遞給某一個(gè)Owner，Pi:{Ox→Oy} 。

（3）根據(jù)Wait 活動(dòng)，獲取Owner 對(duì)用戶數(shù)據(jù)的持有時(shí)間Pi:≤vt。

定義7（面向隱私的服務(wù)演化分析）服務(wù)組合流程不滿足用戶的需求，有3種操作，分別為刪除、添加和替換，而替換的過程可以分解為刪除此服務(wù)和增加滿足用戶需求的服務(wù)兩個(gè)操作。

當(dāng)刪除某個(gè)服務(wù)時(shí)，分為4種情況進(jìn)行討論：

（1）當(dāng)服務(wù)組合流程圖中被刪除服務(wù)的入度為0時(shí)，即deg+(v)=0 ，對(duì)應(yīng)的演化監(jiān)控?cái)嘌钥梢员硎緸椋篿f(deg+(v)=0){try{Φ}}，其中deg+(v)表示此服務(wù)所對(duì)應(yīng)節(jié)點(diǎn)的入度，Φ 表示什么也不用做。

（2）當(dāng)服務(wù)組合流程圖中被刪除服務(wù)的入度為1時(shí)，即deg+(v)=1，對(duì)應(yīng)的演化監(jiān)控?cái)嘌钥梢员硎緸椋篿f(deg+(v)=1){try{forall:≤0(vt)ΘA from(pre-A)}}，其中vt表示服務(wù)A 使用用戶隱私信息的時(shí)間，pre-A 表示A 的前驅(qū)服務(wù)。

（3）當(dāng)服務(wù)組合流程圖中被刪除服務(wù)的入度大于等于2時(shí)，即deg+(v)≥2，對(duì)應(yīng)的演化監(jiān)控?cái)嘌钥梢员硎緸椋?/p>

（4）當(dāng)服務(wù)組合流程圖中被刪除服務(wù)的出度為0時(shí)，即deg-(v)=0 ，對(duì)應(yīng)的演化監(jiān)控?cái)嘌钥梢员硎緸椋?/p>

當(dāng)添加某個(gè)服務(wù)時(shí)，分為兩種情況進(jìn)行討論：

（1）當(dāng)服務(wù)組合流程圖中被添加服務(wù)的出度或者入度為1時(shí)，即( deg-(v)=1) ∨( deg+(v)=1) =ture，對(duì)應(yīng)的演化監(jiān)控?cái)嘌钥梢员硎緸椋?/p>

（2）當(dāng)服務(wù)組合流程圖中被添加服務(wù)的出度或者入度大于等于2 時(shí)，即( deg-(v)≥2 )∨( deg+(v)≥2) =ture，對(duì)應(yīng)的演化監(jiān)控?cái)嘌钥梢员硎緸椋?/p>

3 實(shí)例研究

王同學(xué)（Wang）想通過SaaS服務(wù)組合者C向Alibaba的服務(wù)提供者教學(xué)用品公司S 購(gòu)買一批教學(xué)用品。其中S為Alibaba的非VIP用戶。

Wang對(duì)非VIP用戶的隱私策略為：

（1）如果暴露自己的真實(shí)名字RN，則只能暴露自己的辦工室電話號(hào)碼OP，并且地址中不能帶有社區(qū)信息。

（2）名字RN、不帶社區(qū)信息的地址AWC 和電話號(hào)碼OP只能提供給快遞公司或郵局。

（3）在交易完成后，C、Alibaba和所有服務(wù)參與方必須在20分鐘內(nèi)自動(dòng)清除所有用戶隱私信息。

Alibaba對(duì)于非VIP用戶家具公司S，其隱私策略為：

（1）C 只允許S 將Wang 的名字RN、不帶社區(qū)信息的地址AWC和電話號(hào)碼OP提供給快遞公司或郵局。

（2）在交易完成后，S 和所有服務(wù)參與方必須在15分鐘內(nèi)自動(dòng)清除所有用戶隱私信息。

假設(shè)在交易過程中，Alibaba不能滿足Wang的功能需求，需要將Alibaba 替換為JD，Wang 要求在服務(wù)替換過程中，保證其隱私數(shù)據(jù)的安全。

組合服務(wù)由服務(wù)組合者C，在線購(gòu)物平臺(tái)A（Alibaba），顧客（Wang），售貨商Seller（SE），快遞公司Shipper（SH），4個(gè)協(xié)作單元組成，其中Wang的姓名N（name），家庭住址AD（address），郵編PC（postcode），電話PH（phone），銀行賬號(hào)等是其個(gè)人隱私數(shù)據(jù)，本文假設(shè)用戶采用貨到付款的方式。

步驟1 隱私協(xié)議的生成

根據(jù)SaaS 服務(wù)組合者C 得到所需用戶的隱私數(shù)據(jù)集{s ubject:name} 并賦值：

userName（Wang）；RN（Wang）；Stree（YUDAO STREET）；City（NANJING）；Province（JIANGSU）；Country（CHINA）；OP（+86-0258686866）∪Mobile（+86-123456789）；PC（210016）

用戶Wang的隱私需求可以得到實(shí)例斷言公理φ，即：

φ=?hasRN.Name（Wang）?AWC（YUDAO STREET，NANJING CITY，JIANGSU PROVINCE，CHINA）?hasOP（Wang，+86-0258686866）

其中非原子概念A(yù)D和AWC可以表示為：

根據(jù)Tableau算法的展開規(guī)則、?規(guī)則、?規(guī)則和?規(guī)則，可以得到φ=Wang，YUDAO，NANJING，JIANGSU，CHINA，+86-0258686866，沒有沖突。由定義2可知Wang的RN 與mobile 或者與AD，即{R N,Adress} 和{RN,mobilePhone} 為隱私暴露集。由定義3可知{RN,AWC,OP} 恰好是Wang的一個(gè)隱私增強(qiáng)集。假若此用戶Wang不想暴露自己的辦公室電話號(hào)碼，此時(shí)服務(wù)無(wú)法執(zhí)行，則不是隱私增強(qiáng)集。

為了簡(jiǎn)化隱私暴露約束，對(duì)于非VIP 用戶，省略serverConstr 部分。根據(jù)用戶的隱私需求可以得到隱私暴露約束：

因此，隱私策略的詳細(xì)協(xié)商過程如下：

（1）預(yù)協(xié)商階段：Wang通過云服務(wù)組合者C向Alibaba的服務(wù)提供商家具公司S發(fā)出教學(xué)用品的請(qǐng)求，C收集服務(wù)交易過程中所需的隱私數(shù)據(jù)，并將收集后的隱私數(shù)據(jù)集{ }RN,AD,OP 通過客戶端的算法Tableau(Ci(opi),φ)進(jìn)行隱私增強(qiáng)集協(xié)商。在此過程中發(fā)現(xiàn){ }RN,AD 為隱私暴露集，因此，隱私數(shù)據(jù)Address 不滿足客戶的隱私暴露斷言φ，即φ|≠AD。此時(shí)，利用函數(shù)brother( )

AD得到AD在本體樹中的兄弟節(jié)點(diǎn)AWC，然后重復(fù)上述過程。發(fā)現(xiàn){RN，AWC，OP}滿足用戶非隱私暴露集，并且可以使服務(wù)組合正常運(yùn)行，即PDC ≡(service(input)?service(pre )_condition) ，同時(shí)，沒有冗余的隱私數(shù)據(jù)，即subject:name ∩PDC ≠φ。此時(shí)，獲取隱私增強(qiáng)集。

（2）隱私披露約束的交換階段：當(dāng)隱私增強(qiáng)集{RN，AWC，OP}后，利用Reasoner()進(jìn)行隱私披露/暴露約束的語(yǔ)義映射。根據(jù)Wang 與服務(wù)提供者對(duì)隱私披露/暴露約束的定義可知，Wang服務(wù)提供者的隱私暴露約束比Wang 的隱私披露約束更嚴(yán)格，即，故獲取隱私協(xié)議。

步驟2 面向隱私協(xié)議的監(jiān)督

委托授權(quán)聲明D可以表示為：

D=(credit ≥6 000)?Bank∨(reputation ≥600)?Amazon

根據(jù)用戶與C的隱私協(xié)議協(xié)商，可以得到隱私暴露約束P如下：

由分析可以得到，電子商務(wù)服務(wù)僅僅擁有用戶的名字（RN）、不帶社區(qū)信息的地址（AWC）和電話號(hào)碼（OP），并且電子商務(wù)服務(wù)僅僅把這些隱私信息發(fā)送給賣家，而沒有給其他的商家；同樣，賣家也是僅僅擁有這些用戶隱私信息，并且僅僅發(fā)送給了快遞公司；快遞公司也是僅僅擁有用戶的這些隱私信息，并沒有發(fā)送給其他任何商家，僅僅將貨品發(fā)送給客戶。

隱私協(xié)議監(jiān)督機(jī)制有委托授權(quán)聲明DS檢測(cè)和隱私暴露斷言P監(jiān)控兩部分。采用插樁的方式分別將D和P插入SaaS 服務(wù)組合流程BPEL 中服務(wù)調(diào)用之前和之后的位置，對(duì)BPEL流程中SaaS服務(wù)的執(zhí)行進(jìn)行權(quán)限檢測(cè)和隱私協(xié)議監(jiān)控。由于對(duì)SaaS 服務(wù)執(zhí)行流程BPEL 的擁有者C 來說，為服務(wù)組合者，因此不用檢測(cè)C 的使用權(quán)限，并且其Scope為全局的，一定為服務(wù)。因此，只須對(duì)流程執(zhí)行過程中是否遵守了隱私協(xié)議進(jìn)行監(jiān)控即可。為了減少監(jiān)督服務(wù)對(duì)SaaS服務(wù)執(zhí)行在時(shí)間上的影響，將隱私協(xié)議監(jiān)督器（監(jiān)控隱私暴露斷言PDAi）與BPEL流程并行執(zhí)行，如圖2所示。

針對(duì)C，A，SE和SH的監(jiān)督取證，首先，檢測(cè)委托授權(quán)聲明( D?;π)?;?D?，如果DAS 為真，則執(zhí)行π ，同時(shí)啟動(dòng)監(jiān)督器對(duì)服務(wù)的執(zhí)行過程進(jìn)行監(jiān)督取證。具體的檢測(cè)與監(jiān)督過程如下：

圖2 監(jiān)督過程的BPEL表示

（1）C

Request（C，RN）≡（{C，RN，User（RN），?owns（C，RN）}，{?User（RN），owns（C，RN）}）

Request（C，AWC）≡（{C，AWC，User（AWC），?owns（C，AWC）}，{?User（AWC），owns（C，AWC）}）

Request（C，OP）≡（{C，OP，User（OP），?owns（C，OP）}，{?User（OP），owns（C，OP）}）

同時(shí)，啟動(dòng)監(jiān)督器Supervise C，即匹配隱私暴露約束：P1=RN:C ∧( C →A );P2=AWC:C ∧( C →A );P3=OP:C ∧( C →A )。

（2）A

Request（A，RN）≡（{A，RN，C（RN），?owns（A，RN）}，{?C（RN），owns（A，RN）}）

Request（A，AWC）≡（{A，AWC，C（AWC），?owns（A，AWC）}，{?C（AWC），owns（A，AWC）}）

Request（A，OP）≡（{A，OP，C（OP），?owns（A，OP）}，{?C（OP），owns（A，OP）}）

同時(shí)，啟動(dòng)監(jiān)督器Supervise A，即匹配隱私暴露約束：

（3）SE

Request（SE，RN）≡（{SE，RN，A（RN），?owns（SE，RN）}，{?A（RN），owns（SE，RN）}）

Request（SE，AWC）≡（{SE，AWC，E-commerce Service（AWC），?owns（SE，AWC）}，{?A（AWC），owns（SE，AWC）}）

Request（SE，RN）≡（{SE，OP，A（OP），?owns（SE，OP）}，{?A（OP），owns（SE，OP）}）

同時(shí)，啟動(dòng)監(jiān)督器SE，即匹配隱私暴露約束：

（4）SH

Request（Shipper，RN）≡（{SH，RN，SE（RN），?owns（SH，RN）}，{?SE（RN），owns（SH，RN）}）

Request（SH，AWC）≡（{SH，AWC，SE（AWC），?owns（SH，AWC）}，{?SE（AWC），owns（SH，AWC）}）

Request（SH，RN）≡（{SH，OP，SE（OP），?owns（SH，OP）}，{?SE（OP），owns（SH，OP）}）

同時(shí)，啟動(dòng)監(jiān)督器SH，即匹配隱私暴露約束：

最后，檢測(cè)定時(shí)器Wait所對(duì)應(yīng)的隱私暴露約束：

步驟3 演化監(jiān)控

假設(shè)服務(wù)組合流程中，由于電子商務(wù)服務(wù)A 不滿足用戶的需求，需要發(fā)生演化，即將A（Alibaba）替換為E（JD），假設(shè)服務(wù)A的入度為1，即deg+(v)=1，那么對(duì)應(yīng)的演化監(jiān)控?cái)嘌钥梢员硎緸椋?/p>

同時(shí)，由于服務(wù)組合流程圖中被添加服務(wù)E的出度和入度都為1，即，則對(duì)應(yīng)的演化監(jiān)控?cái)嘌钥梢员硎緸椋?/p>

4 結(jié)束語(yǔ)

本文提出了一種隱私數(shù)據(jù)的描述、隱私策略的協(xié)商與監(jiān)督機(jī)制。在SaaS 服務(wù)組合過程中，針對(duì)明文交互與演化的特征，為保證用戶隱私需求的一致性和可滿足性提供了一種理論依據(jù)和實(shí)現(xiàn)方法，該方法能夠有效地增強(qiáng)用戶隱私信息的安全。下一步將針對(duì)監(jiān)督日志進(jìn)行分析，以保證與時(shí)間相關(guān)的隱私信息安全。