信息交換過程中的隱私保護(hù)技術(shù)研究

華佳烽，李鳳華，郭云川，耿魁，牛犇

（1. 西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)理論與關(guān)鍵技術(shù)國家重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071；2. 中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室，北京100093）

信息交換過程中的隱私保護(hù)技術(shù)研究

華佳烽1，李鳳華2，郭云川2，耿魁1，牛犇2

（1. 西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)理論與關(guān)鍵技術(shù)國家重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710071；2. 中國科學(xué)院信息工程研究所信息安全國家重點(diǎn)實(shí)驗(yàn)室，北京100093）

結(jié)合國內(nèi)外相關(guān)最新研究趨勢，對信息交換過程中的隱私保護(hù)問題進(jìn)行了總結(jié)和展望。首先，介紹了泛在網(wǎng)絡(luò)中不同類型信息服務(wù)模式，抽象信息傳播的本質(zhì)，并分析了主體在信息流轉(zhuǎn)過程中的隱私泄露風(fēng)險(xiǎn)；其次，總結(jié)歸納了環(huán)境信息的隱私感知、度量、隱私保護(hù)方案自適應(yīng)調(diào)整、隱私分割與延伸授權(quán)的研究現(xiàn)狀；最后，提出了多源環(huán)境信息的隱私感知、場景自適應(yīng)的隱私度量、場景定義的隱私保護(hù)方案、隱私分割和延伸授權(quán)等4個(gè)未來研究方向。

信息交換；隱私保護(hù)；隱私感知；隱私分割；延伸授權(quán)

1　引言

網(wǎng)絡(luò)技術(shù)、信息技術(shù)的持續(xù)快速發(fā)展和應(yīng)用的廣泛普及，推動形成了包含局域網(wǎng)、互聯(lián)網(wǎng)、移動網(wǎng)和物聯(lián)網(wǎng)等具有開放性、異構(gòu)性、移動性、動態(tài)性、多安全域等諸多特性的泛在網(wǎng)絡(luò)，其信息傳播方式可以歸納為通過“網(wǎng)絡(luò)之網(wǎng)絡(luò)”訪問“系統(tǒng)之系統(tǒng)”。泛在網(wǎng)絡(luò)中，跨系統(tǒng)隨機(jī)訪問成為其信息交換的主體，為人們工作、生活、學(xué)習(xí)等提供了無限的便利。然而，此類訪問會導(dǎo)致隱私信息在不同系統(tǒng)上的留存與交換，雖然該問題可以通過“等級保護(hù)”來實(shí)現(xiàn)不同等級的安全保護(hù)，但某一信息系統(tǒng)的泄露勢必導(dǎo)致其他信息系統(tǒng)的隱私保護(hù)失效。因此，跨系統(tǒng)信息交換面臨隱私信息泄露風(fēng)險(xiǎn)點(diǎn)多、動態(tài)隱私保護(hù)可控難等問題，隱私保護(hù)需求更加急迫。如圖1所示，“人機(jī)物”借助泛在網(wǎng)絡(luò)實(shí)現(xiàn)萬物互聯(lián)互通，以公共安全、智能交通、移動支付、智慧醫(yī)療、環(huán)境監(jiān)測等為典型代表的泛在網(wǎng)絡(luò)信息服務(wù)模式不斷涌現(xiàn)，信息的獲取和利用在技術(shù)上已經(jīng)達(dá)到“信息隨心行、交互在指間”的信息傳播理想境界。信息傳播的實(shí)質(zhì)是由若干個(gè)兩兩相連的信息系統(tǒng)動態(tài)隨機(jī)連接，通過跨不同主管部門或單位的信息交換和共享，滿足主體復(fù)雜的應(yīng)用需求。在跨系統(tǒng)的信息交換過程中，面臨的隱私問題遍及感知、匹配、度量、延伸授權(quán)等多個(gè)方面。面對這些威脅，泛在網(wǎng)絡(luò)環(huán)境下的隱私保護(hù)機(jī)制需要全面地控制跨系統(tǒng)隨機(jī)共享訪問過程中用戶隱私信息的泄露。信息頻繁跨系統(tǒng)、跨安全域交換時(shí)，用戶的隱私保護(hù)需求以及相應(yīng)的隱私方案也將隨時(shí)間、環(huán)境等因素動態(tài)變化，因此，隱私保護(hù)方案需加強(qiáng)普適性，以適應(yīng)動態(tài)變化的時(shí)空場景和隱私需求；訪問控制模型和訪問策略也需適用于多信息系統(tǒng)和動態(tài)場景下的隱私信息管控，泛在網(wǎng)絡(luò)環(huán)境下的隱私保護(hù)機(jī)制需要針對以上特征進(jìn)行系統(tǒng)化研究，以有效減少跨系統(tǒng)信息交換過程中的隱私泄露風(fēng)險(xiǎn)和威脅，提升泛在網(wǎng)絡(luò)信息可信可控傳播技術(shù)水平。

圖1　萬物互聯(lián)促進(jìn)信息的廣泛共享

2 多源環(huán)境信息的隱私感知與動態(tài)度量機(jī)制研究進(jìn)展

泛在網(wǎng)絡(luò)跨系統(tǒng)信息交換過程面臨的隱私問題遍及信息流轉(zhuǎn)的各個(gè)環(huán)節(jié)，故本文擬從多源環(huán)境中的隱私感知、度量、隱私保護(hù)方案自適應(yīng)調(diào)整、隱私分割與延伸授權(quán)這4個(gè)方面綜述現(xiàn)有的隱私保護(hù)機(jī)制。

2.1隱私感知的保護(hù)方案

大量文獻(xiàn)對情景感知中的隱私保護(hù)問題進(jìn)行了研究，Liu等［1］提出了一種MAGPIE方案，該方案建立了各感知單元和隱私個(gè)體之間的信任關(guān)系，并利用混淆技術(shù)在保障數(shù)據(jù)可用性的同時(shí)，保證各個(gè)隱私個(gè)體的情景數(shù)據(jù)在共享的過程中不會被泄露。Li等［2］提出了一種高效的Sum聚合協(xié)議，該協(xié)議采用加法同態(tài)加密和新型的密鑰管理技術(shù)，支持大明文空間和最小時(shí)間序列數(shù)據(jù)集合，并利用冗余技術(shù)對動態(tài)加入和離開的感知單元進(jìn)行有效的隱私保護(hù)，有效地解決融合器不可信的問題，同時(shí)降低系統(tǒng)通信開銷。在多維情景感知方面，Groat等［3］提出了一種基于隱私保護(hù)的多維情景數(shù)據(jù)參與式感知方法，該方法采用 NS（negative surveys）對多維情景數(shù)據(jù)進(jìn)行分類，利用數(shù)據(jù)失真技術(shù)保護(hù)情景數(shù)據(jù)中的隱私信息，并推導(dǎo)出重建感知數(shù)據(jù)的原始概率密度函數(shù)。Qiu等［4］提出了一種SLICER方案，首次利用k-匿名保護(hù)技術(shù)實(shí)現(xiàn)對多個(gè)感知多媒體數(shù)據(jù)進(jìn)行隱私保護(hù)，并利用聚合數(shù)據(jù)編碼技術(shù)和消息傳遞策略，提出了數(shù)據(jù)傳輸策略TMU（transfer on meet up）和最低成本轉(zhuǎn)移策略 MCT（minimal cost transfer），有效保證多媒體數(shù)據(jù)的質(zhì)量和隱私保護(hù)的效果。然而，這些方案大多專注于對參與感知的數(shù)據(jù)進(jìn)行隱私保護(hù)，忽視了對關(guān)聯(lián)數(shù)據(jù)進(jìn)行融合分析帶來的隱私泄露問題。

為此，Chakraborty等［5］進(jìn)一步研究多源情景數(shù)據(jù)關(guān)聯(lián)分析帶來的隱私泄露問題，從敵手的角度建立基于用戶行為模式的推理函數(shù)，在此基礎(chǔ)上計(jì)算情景數(shù)據(jù)融合后的隱私泄露概率。隨后，Wang等［6］假設(shè)惡意攻擊者的攻擊策略動態(tài)可調(diào)，將隱私感知策略視為用戶和敵手的零和博弈，提出了極小極大學(xué)習(xí)算法以獲得最優(yōu)隱私保護(hù)策略。Emiliano等［7］提出了一種基于身份加密 IBE（identiry-based encryption）的隱私增強(qiáng)方案PEPSI（privacy-enhanced participatory sensing infrastructure），服務(wù)器利用簡單的識別符來生成公鑰對查詢信息和感知信息的加解密，在整個(gè)過程中，不會泄露查詢請求信息和感知信息，一定程度上滿足了用戶和感知單元的隱私需求。Wang等［8］提出了一種ARTSense框架，利用匿名信譽(yù)管理協(xié)議和數(shù)據(jù)可信度評估方案，在對感知單元ID進(jìn)行匿名的情況下，確定感知數(shù)據(jù)的可信度，同時(shí)滿足了數(shù)據(jù)源的匿名和安全需求。Xing等［9］提出了一種基于回歸方法的隱私感知模型，該模型針對參與節(jié)點(diǎn)、集群和用戶進(jìn)行了一系列數(shù)據(jù)轉(zhuǎn)換和聚合操作，并采用一種無需任何原始私有數(shù)據(jù)而準(zhǔn)確表達(dá)知識意圖的新方法進(jìn)行回歸擬合，能有效抵抗合謀攻擊。

同時(shí)，面向醫(yī)療健康系統(tǒng)的隱私感知問題開始引起了廣泛關(guān)注，Wang等［10］設(shè)計(jì)了一個(gè)面向隱私保護(hù)的云輔助醫(yī)療監(jiān)測系統(tǒng)，該系統(tǒng)利用壓縮感知技術(shù)處理感知單元獲得的稀疏數(shù)據(jù)、普通數(shù)據(jù)及帶噪音數(shù)據(jù)，在保障感知數(shù)據(jù)準(zhǔn)確性的同時(shí)，有效地降低傳感網(wǎng)絡(luò)的資源開銷。Fredrikson等［11］設(shè)計(jì)了一種新型的機(jī)器學(xué)習(xí)模型，該模型適用于醫(yī)療診斷和面部識別，利用預(yù)測置信度值進(jìn)行反演攻擊，這種新的攻擊可以融合多源情景信息，從而實(shí)現(xiàn)用戶意圖的高效預(yù)測。

然而，目前大多數(shù)方案難以實(shí)現(xiàn)對多源環(huán)境數(shù)據(jù)隱私等級的細(xì)粒度感知。為此，Shin等［12］提出了一種通用的隱私感知架構(gòu)AnonySense，該架構(gòu)對感知單元進(jìn)行任務(wù)分配，即感知單元根據(jù)所感知信息的隱私等級，決定將該信息傳送到不同的服務(wù)器中。Pallapa等［13］進(jìn)一步提出一種隱私量化方案，通過對情景感知系統(tǒng)中的每個(gè)感知單元分配隱私權(quán)重，并結(jié)合系統(tǒng)中的事務(wù)日志和情景狀態(tài)，動態(tài)調(diào)整隱私保護(hù)策略，實(shí)現(xiàn)細(xì)粒度隱私保護(hù)普適環(huán)境下的情景感知系統(tǒng)。

此外，一些文獻(xiàn)著重研究場景頻繁變遷下的用戶隱私需求感知。Simon等［14］在隱私信息評估等相關(guān)研究工作中，建立了一個(gè)情景數(shù)據(jù)和到用戶隱私之間的映射關(guān)系，通過感知?jiǎng)討B(tài)環(huán)境信息，進(jìn)而根據(jù)環(huán)境信息的變化調(diào)整用戶對數(shù)據(jù)的訪問權(quán)限。Jana等［15］設(shè)計(jì)并實(shí)現(xiàn)了一種隱私保護(hù)系統(tǒng)DARKLY，該系統(tǒng)通過集成計(jì)算機(jī)視覺庫OpenCV部署多種隱私保護(hù)機(jī)制，包括訪問控制、隱私保護(hù)算法和用戶審計(jì)等，實(shí)現(xiàn)了環(huán)境感知下的隱私保護(hù)和服務(wù)質(zhì)量之間的平衡。

綜上，現(xiàn)有多數(shù)隱私信息感知方面的研究局限于單一場景或單一信息系統(tǒng)，欠缺對隱私需求會隨時(shí)間、環(huán)境等因素動態(tài)變化的考慮，為了更好地在不同場景下為用戶提供更加精準(zhǔn)的隱私保護(hù)，需要結(jié)合用戶所處環(huán)境、時(shí)空特征、歷史行為等，對泛在網(wǎng)環(huán)境下的隱私信息和隱私需求進(jìn)行細(xì)粒度感知。表1對相關(guān)工作進(jìn)行了詳細(xì)比對。

2.2隱私度量方法

在位置服務(wù)隱私保護(hù)的相關(guān)領(lǐng)域，大量國內(nèi)外研究工作者在隱私度量方面進(jìn)行了深入研究。Assam等［16］研究地圖匹配中的隱私保護(hù)問題，提出了一種基于馬爾可夫模型的隱私位置匹配方案，該方案采用攻擊者能夠從發(fā)布的位置大數(shù)據(jù)中獲取敏感位置的信息增益度量其隱私保護(hù)效果。Zheng等［18］提出了一個(gè)基于位置隱私保護(hù)的握手協(xié)議，利用布隆過濾器進(jìn)行一對多的匹配，構(gòu)建時(shí)空位置標(biāo)記，并利用隱私信息泄露概率度量隱私保護(hù)效果。Wang等［19］提出了一種基于概率推測的位置大數(shù)據(jù)隱私保護(hù)技術(shù)，通過限制某一任意時(shí)刻t發(fā)布的位置數(shù)據(jù)所包含的信息量，利用概率推測的隱私保護(hù)技術(shù)假設(shè)攻擊者具有全部背景知識，從而推測用戶的隱私信息，進(jìn)而對每個(gè)發(fā)布的位置數(shù)據(jù)計(jì)算其泄露風(fēng)險(xiǎn)，判斷發(fā)布當(dāng)前的位置數(shù)據(jù)是否違反用戶的隱私需求，以定量地保護(hù)用戶的位置隱私。此外，Yan等［20］關(guān)注無線傳感器網(wǎng)絡(luò)節(jié)點(diǎn)盜用帶來的隱私保護(hù)風(fēng)險(xiǎn)，提出了一種基于組合框架的貝葉斯信任模型，該模型可有效評估節(jié)點(diǎn)的信任度。Goga等［21］提出了一種隱私信息匹配方案的量化評估框架，并使用現(xiàn)實(shí)社交網(wǎng)絡(luò)中采集的可靠數(shù)據(jù)進(jìn)行仿真實(shí)驗(yàn)，評估準(zhǔn)確度較高。

同時(shí)，由于泛在網(wǎng)絡(luò)中各種類型的攻擊威脅不斷加劇，大量文獻(xiàn)開始將攻擊者的背景知識引入隱私度量的相關(guān)研究。Shokri等［22］提出了一種類屬模型，假設(shè)敵手具有一定的背景知識和多種攻擊手段，對攻擊者的攻擊方式進(jìn)行形式化描述，設(shè)計(jì)一種位置隱私度量工具 Location-Privacy Meter，并利用現(xiàn)有的信息熵和k-匿名等度量方式進(jìn)行實(shí)際測試，測試結(jié)果達(dá)到預(yù)期。Wang等［23］提出了一種新型軌跡隱私度量方法，該度量方法將用戶運(yùn)動軌跡用帶權(quán)無向圖描述，并將攻擊者的背景知識分級融入到度量方法中，基于信息熵計(jì)算用戶的軌跡隱私水平。

表1　隱私感知相關(guān)工作對比

此外，全局隱私度量逐漸成為國內(nèi)外研究熱點(diǎn)。Sun等［24］提出有障礙物的人工免疫聚類算法，根據(jù)免疫克隆優(yōu)化親和力函數(shù)計(jì)算障礙距離度量，并利用克隆選擇原則，以精英抗體為基礎(chǔ)更新聚類中心，實(shí)現(xiàn)全局最優(yōu)聚類效果。Niu等［25，26］量化研究基于位置的隱私保護(hù)問題，從背景信息可能被敵手獲取的問題入手，分析了這種潛在問題對隱私保護(hù)效果的影響，并提出了2種隱私度量函數(shù)，分別為基于信息熵的個(gè)人隱私度量函數(shù)和基于復(fù)用信息的全局隱私度量函數(shù)。然而，這些方案無法實(shí)現(xiàn)場景頻繁變遷下的動態(tài)度量。Dahl等［27］對這一問題進(jìn)行研究，提出了一種CMIX協(xié)議，對進(jìn)入Mix-Zone內(nèi)的車輛分配密鑰并進(jìn)行形式化描述，利用密碼學(xué)方法對Mix-Zone隱私模型進(jìn)行加密，運(yùn)用推理方法實(shí)現(xiàn)對移動的隱私位置信息進(jìn)行實(shí)時(shí)度量。為解決準(zhǔn)標(biāo)識符和隱私屬性存在交叉難以劃分的問題，Dwork提出了“ε-差分隱私”算法［28，29］，該算法在數(shù)據(jù)集中添加噪聲，避免攻擊者獲得真實(shí)的數(shù)據(jù)。對數(shù)據(jù)集而言，添加一個(gè)數(shù)據(jù)不會對其統(tǒng)計(jì)特性造成影響，所產(chǎn)生的隱私泄露風(fēng)險(xiǎn)是極小的，即使攻擊者具有一定背景知識，也無法通過觀察查詢結(jié)果而獲得隱私信息，從而實(shí)現(xiàn)隱私保護(hù)效果。差分隱私的研究主要集中在如何添加冗余數(shù)據(jù)干擾分析結(jié)果，主要的技術(shù)包括針對整數(shù)類型數(shù)據(jù)的Laplace機(jī)制［30］、針對浮點(diǎn)類型數(shù)據(jù)的Exponential機(jī)制［31］以及它們在性能上的改進(jìn)Geometric機(jī)制［32］等。近幾年，多種差分隱私保護(hù)模型相繼出現(xiàn)被廣泛地應(yīng)用于數(shù)據(jù)挖掘領(lǐng)域的研究中［33～36］。然而，目前差分隱私技術(shù)主要應(yīng)用于離線數(shù)據(jù)的隱私保護(hù)，針對泛在網(wǎng)絡(luò)中的動態(tài)應(yīng)用場景的差分隱私保護(hù)方案少見報(bào)道。

綜上，當(dāng)前大多數(shù)隱私度量方法或模型針對靜態(tài)的場景或單一模式上的隱私保護(hù)需求，忽略了泛在網(wǎng)絡(luò)環(huán)境下時(shí)空屬性、信任關(guān)系、環(huán)境信息等動態(tài)因素對隱私度量的影響，因此，需要根據(jù)實(shí)際應(yīng)用，對不同環(huán)境下的不同運(yùn)動對象的隱私進(jìn)行實(shí)時(shí)動態(tài)度量。表2對相關(guān)工作進(jìn)行了詳細(xì)比對。

2.3隱私保護(hù)方案自適應(yīng)調(diào)整

大量文獻(xiàn)對泛在網(wǎng)絡(luò)環(huán)境下的隱私保護(hù)方案自適應(yīng)調(diào)整進(jìn)行研究，Yang等［39］提出了一種基于簡單散列變化的隱私數(shù)據(jù)保護(hù)方法，對涉及用戶隱私的文本數(shù)據(jù)進(jìn)行深度挖掘，并利用隱私保護(hù)方案的自適應(yīng)調(diào)整設(shè)計(jì)垃圾郵件過濾模型，能在一定程度上實(shí)現(xiàn)抗關(guān)聯(lián)分析。Mao等［40］在基于可信第三方匿名服務(wù)器的基礎(chǔ)上，提出一種情景自適應(yīng)的位置隱私保護(hù)方法，當(dāng)用戶消費(fèi)服務(wù)時(shí)，終端實(shí)時(shí)下載粗糙的路網(wǎng)情景數(shù)據(jù)，通過上下文感知獲取用戶位置信息，進(jìn)而實(shí)現(xiàn)系統(tǒng)自適應(yīng)于用戶個(gè)性化需求的隱私保護(hù)設(shè)置，并返回路網(wǎng)數(shù)據(jù)和查詢結(jié)果，有效地降低了通信成本。

在基于位置的服務(wù)方面，Assam等［41］提出了一種新型隱私保護(hù)地圖匹配技術(shù)，利用馬爾可夫模型，基于位置隱私進(jìn)行地圖匹配，并引入新的成本函數(shù)來確定最短路徑，有一定的實(shí)用性。Wang等［42］提出了一種面向個(gè)體的個(gè)性化擴(kuò)展l-多樣性隱私匿名模型，該模型通過設(shè)置敏感屬性的保護(hù)等級來實(shí)現(xiàn)隱私動態(tài)調(diào)整，并利用個(gè)性化擴(kuò)展l-多樣性逆聚類算法實(shí)現(xiàn)隱私匿名。

在隱私信息匹配研究方面，Zhang等［43］在建立基于鄰近的隱私信息匹配協(xié)議時(shí)考慮用戶對不同興趣的偏好程度，并利用Paillier同態(tài)加密方法設(shè)計(jì)不同等級的隱私保護(hù)方案。Li等［44］針對動態(tài)數(shù)據(jù)集的釋放問題，利用新型距離抽樣方法，提出2個(gè)解決方案，這些方案建立自適應(yīng)調(diào)整反饋控制機(jī)制，獲取數(shù)據(jù)集的動態(tài)閾值，為實(shí)現(xiàn)隱私數(shù)據(jù)的動態(tài)調(diào)整提供支持。

表2　隱私度量相關(guān)工作對比

然而，這些方案大多是在靜態(tài)場景下的自適應(yīng)調(diào)整，缺乏靈活性，且普適性差。為此，Tian等［45］提出了一種可以根據(jù)興趣點(diǎn)分布而自適應(yīng)變化的Hilbert曲線（AHC），該曲線根據(jù)設(shè)定的存儲容量將空間劃分為原子區(qū)域，使用Hilbert曲線的分形規(guī)則確定各原子區(qū)域的順序，并由此生成密鑰樹，數(shù)據(jù)擁有者可以將密鑰樹的一部分共享給授權(quán)使用者，從而實(shí)現(xiàn)對空間區(qū)域的自定義授權(quán)。Liu等［46］提出了一種新型自適應(yīng)隱私保護(hù)策略，該策略具體建立了位置信息和使用者之間的映射關(guān)系，通過對不同類型信息進(jìn)行標(biāo)級，說明哪些信息能夠在什么時(shí)候公布給哪些用戶，一定程度上有效地解決了動態(tài)變化的位置隱私問題。

然而，大多數(shù)隱私保護(hù)等級自適應(yīng)的相關(guān)措施不可避免導(dǎo)致高能耗的問題。因此，Mao等［47］提出了一種基于用戶協(xié)作的自適應(yīng)情景位置隱私保護(hù)方法，根據(jù)情景感知信息自主模糊個(gè)人真實(shí)位置，然后選擇具有互助意愿的代理用戶進(jìn)行自適應(yīng)的增量近鄰查詢，通過引入通信成本估算方法確定查詢點(diǎn)位置，并采用Voronoi圖技術(shù)過濾代理用戶的查詢結(jié)果，從而減少系統(tǒng)通信開銷，有效地實(shí)現(xiàn)了位置隱私保護(hù)度與服務(wù)質(zhì)量之間的平衡。Pallapa等［48］針對移動普適環(huán)境，提出了一種隱私混合方案，通過各個(gè)情景感知單元與環(huán)境之間的信息交互，實(shí)現(xiàn)了移動普適環(huán)境下的隱私保護(hù)方案自適應(yīng)調(diào)整，同時(shí)降低資源消耗。

在隱私策略調(diào)整方面，Schaub等［49］提出了一種自適應(yīng)的隱私保護(hù)模型，用戶通過不斷地與系統(tǒng)進(jìn)行交互隱私認(rèn)知，實(shí)現(xiàn)隱私策略的動態(tài)調(diào)整，系統(tǒng)將根據(jù)所處環(huán)境感知用戶的隱私需求，從而實(shí)現(xiàn)隱私保護(hù)算法的自適應(yīng)調(diào)整。隨后，Schaub等［50］進(jìn)一步提出了一種隱私?jīng)Q策模型，通過情景感知信息動態(tài)調(diào)整隱私?jīng)Q策模型中的隱私參數(shù)，以維持一個(gè)用戶期望的隱私水平。Omoronyia等［51］提出了一種隱私保護(hù)策略自適應(yīng)調(diào)整架構(gòu)，通過感知場景和用戶行為變化分析面臨的隱私威脅，根據(jù)用戶的隱私需求，動態(tài)調(diào)整與應(yīng)用軟件所分享的信息量。Wang等［52］關(guān)注隱私保護(hù)的長期效果，研究基于情境感知的QoP（quality of protection）機(jī)制，并開發(fā)出一種QoP框架，通過將兩者結(jié)合起來利用情景感知技術(shù)實(shí)現(xiàn)服務(wù)質(zhì)量與隱私保護(hù)的長期平衡，為移動網(wǎng)絡(luò)中的用戶提供個(gè)性化的隱私保護(hù)自適應(yīng)服務(wù)。

綜上，現(xiàn)有隱私保護(hù)方案在設(shè)計(jì)與實(shí)施過程中往往會忽略動態(tài)性、頻繁跨域遷移等需求，難以動態(tài)實(shí)時(shí)地保障用戶在不同時(shí)間、多個(gè)場景之間頻繁切換或使用多種服務(wù)應(yīng)用時(shí)的隱私信息安全，尤其當(dāng)敵手采用大數(shù)據(jù)關(guān)聯(lián)分析攻擊時(shí)，其成功率必然驟增。面對愈發(fā)多樣化、個(gè)性化的用戶需求，需要以實(shí)時(shí)滿足用戶的隱私保護(hù)需求為前提，為不同時(shí)空場景下的用戶高效地提供隱私保護(hù)方案自適應(yīng)調(diào)整。表3對相關(guān)工作進(jìn)行了詳細(xì)比對。

表3　隱私保護(hù)方案自適應(yīng)調(diào)整相關(guān)工作對比

2.4隱私分割與延伸授權(quán)的保護(hù)方案

泛在網(wǎng)絡(luò)環(huán)境下，信息跨域頻繁交換使信息在不同系統(tǒng)、不同安全域中留存，數(shù)據(jù)管理權(quán)和所有權(quán)的分離將導(dǎo)致數(shù)據(jù)安全和隱私泄露問題。針對這些現(xiàn)狀，一些文獻(xiàn)對隱私分割進(jìn)行了研究。Itani等［54］提出了一種隱私即服務(wù)方案 PaaS（privacy as a service），在基于可信第三方的基礎(chǔ)上，對不同類型的數(shù)據(jù)進(jìn)行分集，利用密碼協(xié)處理器的防篡改能力，有效地實(shí)現(xiàn)了云服務(wù)器中隱私數(shù)據(jù)的安全存儲、處理和審計(jì)。這種簡單地通過加密將數(shù)據(jù)存儲在服務(wù)器中的方法，在實(shí)際的數(shù)據(jù)操作過程中具有較大的開銷，且容易引起單點(diǎn)失效攻擊，隱私泄露風(fēng)險(xiǎn)大。Xu等［55］提出了一種基于數(shù)據(jù)分割與分級的云存儲數(shù)據(jù)隱私保護(hù)機(jī)制，首先將數(shù)據(jù)合理分割為不同大小的數(shù)據(jù)塊，再分別將小塊數(shù)據(jù)和大塊數(shù)據(jù)部署在本地和異地，然后按照數(shù)據(jù)本身不同的安全級別需求，采用聯(lián)合數(shù)據(jù)染色和數(shù)據(jù)加密技術(shù)對隱私數(shù)據(jù)進(jìn)行染色或加密，有效地保證了數(shù)據(jù)的安全性，同時(shí)提高系統(tǒng)靈活性并降低開銷。Jiang等［56］提出了一個(gè)基于第三方租戶數(shù)據(jù)安全保護(hù)模型，通過隱藏?cái)?shù)據(jù)間的關(guān)系，利用數(shù)據(jù)分割技術(shù)對租戶數(shù)據(jù)進(jìn)行分級和切片，并利用單向函數(shù)混淆切片關(guān)系，結(jié)合租戶對數(shù)據(jù)的隱私需求和安全等級定義，對租戶數(shù)據(jù)進(jìn)行分級，依據(jù)安全等級對分割后的子表內(nèi)容進(jìn)行局部加密或匿名，實(shí)現(xiàn)云端數(shù)據(jù)存儲安全，為云計(jì)算提供有效的租戶數(shù)據(jù)安全保護(hù)。Shi等［57］針對云計(jì)算安全和隱私保護(hù)問題，提出了一種基于數(shù)據(jù)分割的CP-ABE（cipher text-policy attribute-based encryption）隱私保護(hù)方案，利用數(shù)據(jù)分割策略對數(shù)據(jù)分割成不同的小數(shù)據(jù)塊，通過CP-ABE算法進(jìn)行加密，克服了云環(huán)境下第三方不可信的問題，在安全性和性能開銷方面有一定的提升。

然而，這些方案無法適應(yīng)泛在網(wǎng)絡(luò)環(huán)境下信息跨域頻繁交換過程中由于二次/多次轉(zhuǎn)發(fā)、權(quán)限變更所帶來的安全問題。在延伸授權(quán)方面，國外學(xué)者 Georgakakis等［58］提出了一種時(shí)間和位置感知的訪問控制機(jī)制，該機(jī)制充分考慮訪問時(shí)間、用戶的移動性和位置信息，利用角色層次結(jié)構(gòu)動態(tài)調(diào)整特殊情況下的訪問控制策略，在提供傳統(tǒng)的基于角色的訪問控制的基礎(chǔ)上，實(shí)現(xiàn)了緊急情況下的特殊訪問。Tarameshloo等［59］提出了一種地理社會計(jì)算系統(tǒng)訪問控制模型，該模型可以追蹤用戶當(dāng)前位置，獲得位置之間的初始空間關(guān)系，并通過初始空間關(guān)系的復(fù)合構(gòu)造訪問控制策略。Miettinen等［60］提出了一種場景感知的訪問控制框架 ConXsense，該框架利用場景的安全屬性和隱私屬性等背景信息以及自適應(yīng)、個(gè)性化的場景分類方法來實(shí)現(xiàn)場景感知的訪問控制策略，避免了用戶角色和訪問控制策略的預(yù)定義，提供了準(zhǔn)確和靈活的訪問控制。Zhang等［61］基于KP-ABE（key-policy attribute-based encryption）提出了一種靈活高效的訪問控制方案，該方案提供了靈活的用戶關(guān)系機(jī)制，能夠處理云計(jì)算環(huán)境下用戶關(guān)系的頻繁變化，可支持訪問控制策略的邏輯表達(dá)和動態(tài)更改。Rubio-Medrano等［62］利用屬性概念提出了一個(gè)面向協(xié)作網(wǎng)絡(luò)環(huán)境的聯(lián)合訪問控制管理方案，該方案將本地上下文的屬性信息映射為聯(lián)合屬性，實(shí)現(xiàn)跨組織資源共享訪問，并建立了一整套屬性生成規(guī)則和屬性生成圖，以及分布式環(huán)境下屬性自動發(fā)現(xiàn)方法，實(shí)現(xiàn)了一定程度的柔性訪問控制。Cappos等［63］針對智能手機(jī)的傳感器隱私保護(hù)問題提出了一個(gè)動態(tài)、細(xì)粒度的訪問控制機(jī)制，該機(jī)制允許用戶自定義和增加隱私過濾器，使用戶能夠?qū)⑦^濾后的數(shù)據(jù)公開給不可信的應(yīng)用程序，也使研究人員能以一種保護(hù)用戶隱私的方式收集數(shù)據(jù)開展研究。

國內(nèi)學(xué)者Wang等［64］提出使用線性秘密共享（LSSS，linear secret sharing scheme）矩陣塊的方式來描述訪問控制策略，使用 LSSS矩陣塊的ABE（attribute-based encryption）方案在計(jì)算量和通信方面具有輕量級、高效性、靈活性和安全性的優(yōu)點(diǎn)，其可伸縮性為ABE機(jī)制提供了一個(gè)高效的策略管理平臺。Zhou等［65］利用基于屬性的簽名驗(yàn)簽技術(shù)，采用病人制定訪問控制樹來給醫(yī)生授權(quán)的方式，提出了一個(gè)病人自主可控的、多級、提供隱私保護(hù)的聯(lián)合授權(quán)機(jī)制，實(shí)現(xiàn)了分布式醫(yī)療云中3級的安全和隱私保護(hù)要求，并通過屬性集合驗(yàn)證實(shí)現(xiàn)了直接授權(quán)醫(yī)生、間接授權(quán)醫(yī)生和其他人分類察看健康信息或者驗(yàn)證病人的身份。Zhang等［66］提出了一種面向空間索引樹的訪問控制模型，該模型建立了授權(quán)歸類信息與索引樹的關(guān)聯(lián)，兼顧矢量數(shù)據(jù)與柵格數(shù)據(jù)等多種空間數(shù)據(jù)結(jié)構(gòu)，并通過將空間授權(quán)信息添加到索引結(jié)構(gòu)中，減少索引檢索次數(shù)，提高了訪問控制判斷的效率。Liu等［67］針對云服務(wù)儲存上的隱私問題，提出了隱私保護(hù)認(rèn)證協(xié)議，該協(xié)議綜合考慮匿名訪問請求匹配機(jī)制的安全性和私密性實(shí)現(xiàn)訪問權(quán)限的分配，采用基于屬性加密算法實(shí)現(xiàn)用戶只能訪問自己的數(shù)據(jù)區(qū)，并利用代理重加密算法實(shí)現(xiàn)不同用戶之間的數(shù)據(jù)共享。Wang等［68］基于屬性加密算法提出了一種輕量級、安全的訪問控制機(jī)制，該機(jī)制實(shí)現(xiàn)了多授權(quán)云中面向資源受限設(shè)備的輕量級、安全的數(shù)據(jù)訪問控制機(jī)制，具有訪問控制權(quán)限動態(tài)可伸縮的優(yōu)點(diǎn)。Ma等［69］提出一個(gè)基于情景約束的柔性訪問控制模型，該模型定義了基于情景約束的角色指派策略和角色授權(quán)策略，并給出策略集和角色分配與授權(quán)決策算法，支持“用戶—角色”和“角色—權(quán)限”的自動指派，實(shí)現(xiàn)了工作流系統(tǒng)中基于情景的動態(tài)授權(quán)。Su等［70］以基于行為的訪問控制模型為基礎(chǔ)，提出了一種基于行為的多級安全訪問控制模型，該模型將主體的安全等級、范疇擴(kuò)展到行為上，通過行為映射函數(shù)實(shí)現(xiàn)主體在特定時(shí)間、特定地點(diǎn)訪問行為的安全屬性獲取，為授權(quán)策略的動態(tài)調(diào)整提供了支撐。Wu等［71］提出了一個(gè)基于屬性的授權(quán)委托模型，該模型將權(quán)限的傳遞與權(quán)力的委托建立在實(shí)體所具有的屬性集合的基礎(chǔ)之上，以屬性集合作為實(shí)體自身的代表進(jìn)行授權(quán)，從而確保了擁有相同屬性憑證鏈的各實(shí)體權(quán)限的一致性。表4對相關(guān)工作進(jìn)行了詳細(xì)比對。

表4　隱私分割與延伸授權(quán)相關(guān)工作對比

3　結(jié)束語

本文首先分析了面向信息交換過程中隱私保護(hù)面臨的威脅和挑戰(zhàn)，然后從隱私感知、隱私度量、隱私保護(hù)方案自適應(yīng)調(diào)整、隱私分割與延伸授權(quán)4個(gè)方面闡述分析了國內(nèi)外最新研究動態(tài)?，F(xiàn)有隱私保護(hù)方案大都解決單個(gè)信息系統(tǒng)或場景中的隱私保護(hù)問題，缺乏跨系統(tǒng)信息交換過程中的隱私保護(hù)，以及信息交換后的延伸授權(quán)。為了切實(shí)保護(hù)泛在網(wǎng)絡(luò)環(huán)境中用戶信息在頻繁跨系統(tǒng)、跨網(wǎng)絡(luò)、跨安全域交換時(shí)各個(gè)環(huán)節(jié)的隱私問題，還需要從以下幾個(gè)方面進(jìn)一步研究：1）研究多源異構(gòu)環(huán)境信息的形式化描述、隱私信息智能處理等方法或技術(shù)，分析情景數(shù)據(jù)中的時(shí)空變化規(guī)律，研究基于時(shí)空變化軌跡的隱私感知技術(shù)；2）研究跨系統(tǒng)信息交換過程中的時(shí)空屬性、信任關(guān)系、環(huán)境信息等因素對隱私度量的影響，從攻擊者角度分析用戶信息和行為被跟蹤與被重構(gòu)的可能性，利用信息熵、概率論等方法進(jìn)行隱私的形式化描述和數(shù)學(xué)建模；3）研究多參量自適應(yīng)調(diào)節(jié)機(jī)制，通過對隱私保護(hù)算法中參數(shù)的合理調(diào)節(jié)，實(shí)現(xiàn)用有限算法適應(yīng)多種場景的隱私保護(hù)目標(biāo)；4）研究面向網(wǎng)絡(luò)空間的訪問控制模型中各要素的屬性信息，設(shè)計(jì)安全高效的屬性描述機(jī)制，實(shí)現(xiàn)柔性訪問控制，解決跨系統(tǒng)信息交換的數(shù)據(jù)隱私分割與延伸授權(quán)問題。

［1］LIU C G，JULIEN C. Pervasive context sharing in MAGPIE：adaptive trust-based privacy protection［J］. Mobile Computing，Applications，and Services，2016，（162）：122-139.

［2］LI Q H，CAO G H，PORTA T F L. Efficient and privacy-aware data aggregation in mobile sensing［J］. IEEE Transactions on Dependable and Secure Computing（TDSC），2014，11（2）：115-129.

［3］GROAT M M，EDWARDS B，HOREY J，et al. Enhancing privacy in participatory sensing applications with multidimensional data［J］. Pervasive & Mobile Computer，2012，9（5）：144-152.

［4］QIU F D，WU F，CHEN G H. Privacy and quality preserving multimedia data aggregation for participatory sensing systems［J］. IEEE Transactions on Mobile Computing（TMC），2015，14（6）：1287-1300.

［5］CHAKRABORTY S，RAGHAVAN K R，JOHNSON M P，et al. A framework for context-aware privacy of sensor data on mobile systems［C］//The 14th Workshop on Mobile Computing Systems and Applications. c2013：1-6.

［6］WANG W，ZHANG Q. A stochastic game for privacy preserving context sensing on mobile phone［C］//IEEE International Conference on Computer Communications（INFOCOM）. c2014：2328-2336.

［7］CRISTOFARO E D，SORIENTE C. PEPSI：privacy-enhanced participatory sensing infrastructure［C］//Communications of ACM. c2011：23-28.

［8］WANG X L，CHENG W，HAPATRA P M，et al. ARTSense：anonymous reputation and trust in participatory sensing［C］//IEEE International Conference on Computer Communications（INFOCOM）. c2013：2517-2525.

［9］XING K，WAN Z G，HU P F，et al. Mutual privacy-preserving regression modeling in participatory sensing［C］//IEEE International Conference on Computer Communications（INFOCOM）. c2013：3039-3047.

［10］WANG C，ZHANG B S，REN K，et al. A privacy-aware cloudassisted healthcare monitoring system via compressive sensing［C］//IEEE International Conference on Computer Communications（INFOCOM）. c2014：2130-2138.

［11］FREDRIKSON M，JHA S，RISTENPART T. Model inversion attacks that exploit confidence information and basic countermeasures［C］//The 22nd ACM SIGSAC Conference on Computer and Communications Security（CCS）. c2015：1322-1333.

［12］SHIN M，CORNELIUS C，PEEBLES D，et al. AnonySense：a system for anonymous opportunistic sensing［J］. Pervasive and Mobile Computing，2011，7（1）：16-30.

［13］PALLAPA G，ROY N，DAS S K. A scheme for quantizing privacy in context-aware ubiquitous computing［C］//The 4th International Conference on Intelligent Environments. c2008：1-8.

［14］SIMON M，SVETHA V，GEOFF. Dynamic privacy assessment in a smart house environment using multimodal sensing［J］. ACM Transactions on Multimedia Computing，Communications，and Applications（TOMM），2008，5（2）：1-29.

［15］JANA S，NARAYANAN A，SHMATIKOV V. A scanner darkly：protecting user privacy from perceptual applications［C］//IEEE Symposium on Security and Privacy（S&P）. c2013：349-363.

［16］ASSAM R，SEIDL T. Private map matching：realistic private route cognition on road networks［C］//IEEE 10th International Conference on Ubiquitous Intelligence and Computing，Autonomic and Trusted Computing（UIC/ATC）. c2013：178-185.

［17］CRISTOFARO E D，SORIENTE C. Participatory privacy：enabling privacy in participatory sensing［J］. IEEE Network，2013，27（1）：32-36.

［18］ZHENG Y，LI M，LOU W，et al. Location based handshake and private proximity test with location tags［J］. IEEE Transactions on Dependable and Secure Computing，2015：1.

［19］王璐，孟小峰. 位置大數(shù)據(jù)隱私保護(hù)研究綜述［J］. 軟件學(xué)報(bào)，2014，25（4）：693-712. WANG L，MENG X F. Location privacy preservation in big data era：a survey［J］. Journal of Software，2014，25（4）：693-712.

［20］鄢旭，陳晶，杜瑞穎，等. 無線傳感器網(wǎng)絡(luò)中基于組合框架的貝葉斯信任模型［J］. 計(jì)算機(jī)應(yīng)用研究，2012，29（3）：1078-1083. YAN X，CHEN J，DU R Y，et al. Bayes trust model based on combinatorial frame in WSNs［J］. Application Research of Computers，2012，29（3）：1078-1083.

［21］GOGA O，LOISEAU P，SOMMER R，et al. On the reliability of profile matching across large online social networks［C］//ACM Sigkdd International Conference on Knowledge Discovery and Data Mining. c2015：1799-1808.

［22］SHOKRI R，THEDODORAKOOULOS G，DANEZIS G，et al. Quantifying location privacy：the case of sporadic location exposure［C］//The 11th International Symposium on Privacy Enhancing Technologies. c2011：57-76.

［23］王彩梅，郭亞軍，郭艷華. 位置服務(wù)中用戶軌跡的隱私度量［J］.軟件學(xué)報(bào)，2012，23（2）：352-360. WANG C M，GUO Y J，GUO Y H. Privacy metric for user's trajectory in location-based services［J］. Journal of Software，2012，23（2）：352-360.

［24］SUN L，LUO Y，DING X，et al. A novel artificial immune algorithm for spatial clustering with obstacle constraint and its applications［J］. ACM Computational Intelligence and Neuroscience，2014，2014（13）：1-11.

［25］NIU B，LI Q，ZHU X，CAO G，et al. Achieving k-anonymity in privacy-aware location-based services［C］//IEEE International Conference on Computer Communications（INFOCOM）.c2014：754-762.

［26］NIU B，LI Q，ZHU X，CAO G.，et al. Enhancing privacy through caching in location-based Services［C］//IEEE International Conference on Computer Communications（INFOCOM）.c2015：1017-1025

［27］DAHL M，DELAUNE S，STEEL G. Formal analysis of privacy for vehicular mix-zones［C］//The 15th European Symposium on Research in Computer Security. c2010：55-70.

［28］DWORK C. Differential privacy：a survey of results［C］//The 5th International Conference on Theory and Applications of Models of Computation（TAMC）. c2008：1-19.

［29］DWORK C. Ask a better question，get a better answer：a new approach to private data analysis［C］//The 11th International Conference on Database Theory（ICDT'07）. c2007：18-27.

［30］DWORK C. Differential privacy［C］//The 33rd International Colloquium of the Automata，Languages and Programming（ICALP'06）. c2006，26（2）：1-12.

［31］MCSHERRY F，TALWAR K. Mechanism design via differential privacy［C］//The 48th Annual IEEE Symposium on Foundations of Computer Science（FOCS'07）. c2007：94-103.

［32］GHOSH A，ROUGHGARDEN T，SUNDARARAJAN M. Universally utility-maximizing privacy mechanisms［J］. SIAM Journal on Computing，2012，41（6）：1673-1693.

［33］BLOCKI J，BLUMAND A，DATTA A，et al. The Johnson-Lindenstrauss transform itself preserves differential privacy［C］//The 2012 IEEE 53rd Annual Symposium on Foundations of Computer Science（FOCS'12）. c2012：410-419.

［34］BONOMI L，XIONG L，CHEN R，et al. Frequent grams based embedding for privacy preserving record linkage［C］//The 21st ACM International Conference on Information and Knowledge Management. Hawaii. c2012：1597-1601.

［35］FANAND L，XIONG L. Real-time aggregate monitoring with differential privacy［C］//The 21st ACM International Conference on Information and Knowledge Management. Hawaii，c2012. 2169-2173.

［36］CHEN J，NAUGHTON J F，CAI J Y. On differentially private frequent itemsetmining［J］. The International Journal on Very Large Data Bases，2012，6（1）：25-36.

［37］LU R X，LIN X D H，LUAN T，et al. Pseudonym Changing at Social Spots：An Effective Strategy for Location Privacy in VANETs［J］. IEEE Transactions on Vehicular Technology，2012，61（1）：86-96.

［38］熊平，朱天清，王曉峰. 差分隱私保護(hù)及其應(yīng)用［J］. 計(jì)算機(jī)學(xué)報(bào)，2014，37（1）：101-122. XIONG P，ZHU T Q，WANG X F. A survey on differential privacy and applications［J］. Chinese Journal of Computers，2014，37（1）：101-122.

［39］楊震，范科峰，雷建軍. 隱私保護(hù)的自適應(yīng)垃圾郵件過濾方法研究［J］.通信學(xué)報(bào)，2009，30（51）：145-149. YANG Z，F(xiàn)AN K F，LEI J J. Privacy preserving online spam filtering［J］. Journal on Communications，2009，30（51）：145-149.

［40］毛典輝，蔡強(qiáng)，李海生，等. 一種自適應(yīng)情景的位置隱私保護(hù)方法［J］. 中南大學(xué)學(xué)報(bào)（自然科學(xué)版），2013，44（S2）：279-283. MAO D H，CAI Q，LI H S，et al. An adaptive context-aware location privacy protection method［J］. Journal of Central South University（Science and Technology），2013，44（S2）：279-283.

［41］ASSAM R，SEIDL T. Private map matching：realistic private route cognition on road networks［C］//The 10th IEEE International Conference on Ubiquitous Intelligence and Computing，and 10th International Conference on Autonomic and Trusted Computing（UIC/ATC'13）. c2013：178-185.

［42］王波，楊靜. 一種基于逆聚類的個(gè)性化隱私匿名方法［J］. 電子學(xué)報(bào)，2012，40（5）：883-890. WANG B，YANG J. A personalized privacy anonymous method based on inverse clustering［J］. Acta Electronica Sinica，2012，40（5）：883-890.

［43］ZHANG R，ZHANG J，ZHANG Y，et al. Privacy-preserving profile matching for proximity-based mobile social networking［J］. IEEE Journal on Selected Areas in Communications，2013，31（9）：656-668.

［44］LI H，XIONG L，JIANG X Q，et al. Differentially private histogram publication for dynamic datasets：an adaptive sampling approach［C］//The 24th ACM International on Conference on Information and Knowledge Management，Melbourne. c2015：1001-1010.

［45］田豐，桂小林，張學(xué)軍，等. 基于興趣點(diǎn)分布的外包空間數(shù)據(jù)隱私保護(hù)方法［J］.計(jì)算機(jī)學(xué)報(bào)，2014，37（1）：123-138. TIAN F，GUI X L，ZHANG X J，et al. Privacy-preserving approach for outsourced spatial data based on POI distribution［J］. Chinese Journal of Computers，2014，37（1）：123-138.

［46］劉昭斌，劉文芝，顧君忠. 位置感知的自適應(yīng)隱私保護(hù)策略［J］.計(jì)算機(jī)工程與設(shè)計(jì)，2011，32（3）：839-841，1032. LIU Z B，LIU W Z，GU J Z. Adaptive privacy protection policy of location-aware［J］. Computer Engineering and Design，2011，32（3）：839-841，1032.

［47］毛典輝，蔡強(qiáng)，李海生，等. 用戶協(xié)作模式下自適應(yīng)情景的 LBS隱私保護(hù)方法［J］. 四川大學(xué)學(xué)報(bào)（工程科學(xué)版），2013，45（4）：124-130. MAO D H，CAI Q，LI H S，et al. An adaptive context-aware LBS privacy protection method based on users collaboration［J］. Journal of Sichuan University（Engineering Science Edition），2013，45（4）：124-130.

［48］PALLAPA G，DAS S K，F(xiàn)RANCECO M D，et al. Adaptive and context-aware privacy preservation exploiting user interactions in smart environments［J］. Pervasive and Mobile Computing，2014，12（11）：232-243.

［49］SCHAUB F，KONINGS B，WEBER M，et al. Towards context adaptive privacy decisions in ubiquitous computing［C］//The 9th IEEE International Conference on Pervasive Computing and Communications Workshops（PERCOM Workshops'12）. c2012：407-410.

［50］SCHAUB F，KONINGS B，LANG P，et al. PriCal：context-adaptive privacy in ambient calendar displays［C］//The 2014 ACM International Joint Conference on Pervasive and Ubiquitous Computing（UbiComp'14）. Seattle，c2014：499-510

［51］OMORONYIA I，CAVALLARO L，SALEHIE M，et al. Engineering adaptive privacy：on the role of privacy awareness requirements［C］//The 35th IEEE International Conference on Software Engineering（ICSE'13）. c2013：632-641.

［52］WANG W，ZHANG Q. Toward long-term quality of protection in mobile networks：a context-aware perspective［J］. IEEE Wireless Communications，2015，22（4）：34-40.

［53］ZHANG K，YANG K，LIANG X H，et al. Security and privacy for mobile healthcare networks：from a quality of protection perspective［J］. IEEE Wireless Communications，2015，22（4）：104-112.

［54］ITANI W，KAYSSI A，CHEHAB A. Privacy as a service：privacy-aware data storage and processing in cloud computing architectures［C］//The 8th International Conference on Dependable，Autonomic and Secure Computing（DASC'09）. Chengdu. c2009：711-716.

［55］徐小龍，周靜嵐，楊庚. 一種基于數(shù)據(jù)分割與分級的云存儲數(shù)據(jù)隱私保護(hù)機(jī)制［J］. 計(jì)算機(jī)科學(xué)，2013，40（2）：98-102. XU X L，ZHOU J L，YANG G. Data privacy protection mechanism for cloud storage based on data partition and classification［J］. Computer Science，2013，40（2）：98-102.

［56］江頡，顧祝燕，高駿驍，等. 基于敏感等級的云租戶數(shù)據(jù)安全保護(hù)模型研究［J］.系統(tǒng)工程理論與實(shí)踐，2014，34（9）：2392-2401. JIANG J，GU Z Y，GAO J X，et al. Cloud tenants-oriented data security protection model based on data sensitivity grading［J］. Systems Engineering Theory & Practice，2014，34（9）：2392-2401.

［57］施榮華，劉鑫，董健，等. 云環(huán)境下一種基于數(shù)據(jù)分割的 CP-ABE隱私保護(hù)方案［J］. 計(jì)算機(jī)應(yīng)用研究，2015，32（2）：522-523，527. SHI R H，LIU X，DONG J，et al. Privacy protection scheme in cloud computing using CP-ABE based on data partition［J］. Application Research of Computers，2015，32（2）：521-523，527.

［58］GEORGAKAKIS E，NIKOLIDAKIS S A，VERGADOS D D，et al. Spatio temporal emergency role based access control（STEM-RBAC）：a time and location aware role based access control model with a break the glass mechanism［C］//The 16th IEEE International Symposium on Computers and Communications（ISCC'11）. c2011：764-770.

［59］TARAMESHLOO E，F(xiàn)ONG P W L. Access control models for geo-social computing systems［C］//The 20th ACM Symposium on Access Control Models and Technologies（SACMAT'14）. London，c2014：115-126.

［60］MIETTINEN M，HEUSER S，KRONZ W，et al. ConXsenseautomated context classification for context-aware access control［C］//The 9th ACM Symposium on Information，Computer and Communications Security（CCS'14）. Kyoto，c2014：293-304.

［61］ZHANG Y，CHEN J，DU R，et al. FEACS：a flexible and efficient access control scheme for cloud computing［C］//The 13th IEEE In-ternational Conference on Trust，Security and Privacy in Computing and Communications（TRUSTCOM'14）. Beijing，c2014：310-319.

［62］RUBIO-MEDRANO C E，ZHAO Z，DOUPE A，et al. Federated access management for collaborative network environments：framework and case study［C］//The 20th ACM Symposium on Access Control Models and Technologies（SACMAT'15）. c2015：125-134.

［63］CAPPOS J，WANG L，WEISS R，et al. BlurSense：dynamic fine-grained access control for smartphone privacy［C］//The IEEE Sensors Applications Symposium（SAS'14）. c2014：329-332.

［64］WANG J，HUANG C，WANG J. Scalable access policy for attribute based encryption in cloud storage［M］//Algorithms and Architectures for Parallel Processing. Berlin：Springer，2015：383-402.

［65］ZHOU J，LIN X D，DONG X L，et al. PSMPA：patient self-controllable and multi-level privacy-preserving cooperative authentication in distributed m-healthcare cloud computing system［J］. IEEE Transactions on Parallel & Distributed Systems，2015，26（6）：1693-1703.

［66］張穎君，馮登國，陳愷.面向空間索引樹的授權(quán)機(jī)制［J］.通信學(xué)報(bào)，2010，31（9）：64-73. ZHANG Y J，F(xiàn)ENG D G，CHEN K. Authorization mechanism based on spatial index［J］. Journal on Communications，2010，31（9）：64-73.

［67］LIU H，NING H S，XIONG Q X，et al. Shared authority based privacy-preserving authentication protocol in cloud computing［J］. IEEE Transactions on Parallel & Distributed Systems，2015，26（1）：241-251.

［68］WANG Y C，LI F H，XIONG J B，et al. Achieving lightweight and secure access control in multi-authority cloud［C］//The 2015 IEEE Trustcom/BigDataSE/ISPA. c2015：459-466.

［69］馬晨華，王進(jìn)，裘炅，等.基于情景約束的工作流柔性訪問控制模型［J］. 浙江大學(xué)學(xué)報(bào)（工學(xué)版），2010，44（12）：2297-2308. MA C H，WANG J，QIU J，et al. Flexible context-constraint-based access control model for workflows［J］. Journal of Zhejiang University（Engineering Science），2010，44（12）：2297-2308.

［70］SU M，LI F H，TANG Z，et al. An action-based fine-grained access control mechanism for structured documents and its application［J］. The Scientific World Journal，2014：232708-232720.

［71］吳檳，馮登國.多域環(huán)境下基于屬性的授權(quán)委托模型［J］. 軟件學(xué)報(bào)，2011，22（7）：1661-1675. WU B，F(xiàn)ENG D G. Attribute-based authorization delegation model in multi-domain environments［J］. Journal of Software，2011，22（7）：1661-1675.

Research on privacy protection in the process of information exchange

HUA Jia-feng1，LI Feng-hua2，GUO Yun-chuan2，GENG Kui1，NIU Ben2

（1. State Key Laboratory of Integrated Service Networks，Xidian University，Xi'an 710071，China；2. State Key Laboratory of Information Security，Institute of Information Engineering，Chinese Academy of Sciences，Beijing 100093，China）

The privacy preservation problems in the process of information exchange have been summarized，according to the latest study and review related. Firstly，the different kinds of information service modes in pervasive networks，induce the essence of the information dissemination were introduced，and the risks of privacy information leakage during the information exchange were analyzed. Then the current research status of the information privacy awareness，privacy metric，self-adaptive adjustment scheme，privacy splitting and authorization extension were concluded. Finally，four research directions including the privacy awareness in the multi-source environment，scenario-aware privacy measurement，scenario defined privacy protection scheme，privacy splitting and authorization extension were proposed.

information exchange，privacy preservation，privacy awareness，privacy splitting，authorization extension

TN929

A

10.11959/j.issn.2096-109x.2016.00035

2016-02-07；

2016-03-02。通信作者：牛犇，niuben@iie.ac.cn

國家自然科學(xué)基金—青年科學(xué)基金資助項(xiàng)目（No.61502489）；國家高技術(shù)研究發(fā)展計(jì)劃（“863”計(jì)劃）基金資助項(xiàng)目（No.2015AA016007）；國家自然科學(xué)基金委—廣東聯(lián)合基金資助項(xiàng)目（No.U1401251）

Foundation Items：The National Natural Science Foundation of China（No.61502489），The National High Technology R&D Program of China（863 Program）（No.2015AA016007），The Key Program of the National Natural Science Foundation of China-Guangdong Union Foundation（No.U1401251）

華佳烽（1989-），男，湖北黃岡人，西安電子科技大學(xué)博士生，主要研究方向?yàn)樾畔踩?、隱私保護(hù)。

李鳳華（1966-），男，湖北浠水人，博士，中國科學(xué)院信息工程研究所副總工、研究員、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)與系統(tǒng)安全、隱私計(jì)算、信息保護(hù)。

郭云川（1977-），男，四川營山人，博士，中國科學(xué)院信息工程研究所副研究員，主要研究方向?yàn)槲锫?lián)網(wǎng)安全、形式化方法。

耿魁（1989-），男，湖北紅安人，西安電子科技大學(xué)博士生，主要研究方向?yàn)榫W(wǎng)絡(luò)安全。

牛犇（1984-），男，陜西西安人，博士，中國科學(xué)院信息工程研究所助理研究員，主要研究方向?yàn)榫W(wǎng)絡(luò)安全、信息保護(hù)。