數(shù)字檔案信息資源保護(hù)方案及云平臺(tái)優(yōu)化

魯 松

（華北理工大學(xué)圖書(shū)館 河北 唐山 063000）

0 引言

現(xiàn)有的信息保護(hù)方案分為兩種，一種是對(duì)數(shù)據(jù)信息進(jìn)行保護(hù)，另一種是對(duì)身份標(biāo)識(shí)進(jìn)行保護(hù)。 前者是通過(guò)降低數(shù)字檔案清晰度來(lái)完成信息保護(hù)的，后者是采用諸如K匿名方案來(lái)隱藏用戶真實(shí)身份，從而達(dá)到保護(hù)用戶信息的目的［1］，通過(guò)對(duì)用戶真實(shí)身份信息進(jìn)行隱藏來(lái)實(shí)現(xiàn)保護(hù)［2］。 然而，隨著Linux 標(biāo)準(zhǔn)基礎(chǔ)（Linux standards base，LSB）服務(wù)器開(kāi)銷(xiāo)日益增加，在連續(xù)查詢過(guò)程中為了降低開(kāi)銷(xiāo)往往會(huì)導(dǎo)致信息保護(hù)效果的降低［3］。 當(dāng)前研究大多是基于第三方可否信任來(lái)衡量對(duì)檔案信息隱私保護(hù)的影響，很少有研究者關(guān)注用戶間的信任問(wèn)題。 因此，本研究從用戶間信任角度出發(fā)，來(lái)完成請(qǐng)求用戶與協(xié)作用戶之間關(guān)系的量化，對(duì)數(shù)字檔案信息資源進(jìn)行保護(hù)。

1 云平臺(tái)方案設(shè)計(jì)優(yōu)化

該方案以LSB 服務(wù)器、云服務(wù)器C 和用戶移動(dòng)終端為基礎(chǔ)對(duì)系統(tǒng)架構(gòu)進(jìn)行設(shè)計(jì)，如圖1 所示。

圖1 系統(tǒng)架構(gòu)

方案中的云服務(wù)器C 視為半可信，LSB 服務(wù)器和用戶視為不可信。 其中，云服務(wù)器C 不傳遞、不存儲(chǔ)用戶的任何檔案信息，只作為中間節(jié)點(diǎn)對(duì)數(shù)據(jù)進(jìn)行處理。 無(wú)論是協(xié)作用戶H 還是請(qǐng)求用戶P，都需要在云服務(wù)器C 上進(jìn)行相互驗(yàn)證和身份驗(yàn)證，以此作為構(gòu)建身份信息的基礎(chǔ)。 數(shù)字信用證書(shū)DCC內(nèi)包含了用戶的信用評(píng)分，以此來(lái)驗(yàn)證用戶身份并確定用戶行為的可信度。 請(qǐng)求用戶P 通過(guò)幫助協(xié)作用戶H 的方式來(lái)提高自身信用評(píng)分，以此來(lái)構(gòu)建自己的信任基礎(chǔ)。 協(xié)作用戶H 可通過(guò)信用評(píng)分來(lái)判斷請(qǐng)求用戶P 是否可信，并自愿完成數(shù)據(jù)信息的發(fā)送。

數(shù)字信用證書(shū)DCC內(nèi)包含的內(nèi)容如式（1）所示：

式（1）中，Bn、ID、ε分別為傳輸編號(hào)、用戶身份標(biāo)識(shí)和信用評(píng)分； 云服務(wù)器C 上的云簽名認(rèn)證為｛SignC（Bn，ID，ε）｝ 。

考慮到云服務(wù)器分布式系統(tǒng)中移動(dòng)終端資源受限問(wèn)題［4-5］，本文方案引入半可信云服務(wù)器C 對(duì)移動(dòng)設(shè)備資源開(kāi)銷(xiāo)進(jìn)行分擔(dān)，將移動(dòng)設(shè)備計(jì)算遷移到云服務(wù)器C 上完成，以此來(lái)突破移動(dòng)設(shè)備的硬件限制。 請(qǐng)求用戶P 的每次匿名區(qū)構(gòu)造都要在云服務(wù)器C 上生成一個(gè)偽身份FID，并通過(guò)偽身份進(jìn)行驗(yàn)證和傳輸。 用戶可通過(guò)提交歷史數(shù)據(jù)的方式在云服務(wù)器C 上生成數(shù)字信用證書(shū)。 為了防止攻擊者偽造數(shù)字信用證書(shū)，真實(shí)證書(shū)的傳輸編號(hào)可保證證書(shū)的連續(xù)性。 云服務(wù)器C 的高效處理機(jī)制可有效降低通信時(shí)延，用戶完成傳輸后由云服務(wù)器C 來(lái)完成證書(shū)的更新和維護(hù)。 在此過(guò)程中，云服務(wù)器C 只負(fù)責(zé)數(shù)據(jù)處理，不參與用戶敏感信息的處理和存儲(chǔ)，以此降低了由云服務(wù)器C帶來(lái)的數(shù)據(jù)信息威脅。

2 數(shù)字檔案信息資源保護(hù)方法的實(shí)現(xiàn)

本文以變異系數(shù)法確定指標(biāo)權(quán)重，建立用戶間信任評(píng)估模型對(duì)用戶信用評(píng)分進(jìn)行計(jì)算。 首先，對(duì)匿名區(qū)構(gòu)造過(guò)程中的屬性因子進(jìn)行確定，并將其量化為信用指標(biāo)（包括匿名區(qū)協(xié)作響應(yīng)時(shí)間TA、請(qǐng)求構(gòu)造匿名區(qū)次數(shù)R、協(xié)作構(gòu)造匿名區(qū)次數(shù)A、成功構(gòu)造匿名區(qū)次數(shù)SR、協(xié)作成功構(gòu)造匿名區(qū)次數(shù)SA、匿名區(qū)構(gòu)造時(shí)間TR）；其次，通過(guò)用戶間信任評(píng)估模型對(duì)各個(gè)指標(biāo)所占的客觀權(quán)重進(jìn)行計(jì)算；最后，根據(jù)初始數(shù)據(jù)對(duì)最終信用評(píng)分進(jìn)行計(jì)算。

2.1 信用評(píng)分計(jì)算的實(shí)現(xiàn)

步驟1：記錄n天內(nèi)第i項(xiàng)信用指標(biāo)X的數(shù)值，并對(duì)該數(shù)值求取平均數(shù)例如，對(duì)于信用指標(biāo)R來(lái)說(shuō)，n天內(nèi)請(qǐng)求構(gòu)造匿名區(qū)次數(shù)的集合為｛R1，R2，…，Rn｝ ，則用式（2）表示該信用指標(biāo)的平均數(shù)

步驟2：為了能夠反映不同信用指標(biāo)的離散程度，需要對(duì)不同維度下的信用指標(biāo)值取標(biāo)準(zhǔn)差σ，該值越大說(shuō)明自身評(píng)價(jià)強(qiáng)度越強(qiáng)，應(yīng)該分配更多的權(quán)重。 例如信用指標(biāo)R的標(biāo)準(zhǔn)差計(jì)算公式為式（3）所示：

步驟3：因?yàn)樵谟脩糸g信用評(píng)估模型中，每個(gè)信用指標(biāo)的量綱存在差異，不能對(duì)其進(jìn)行直接比對(duì)來(lái)衡量差別程度。 為了消除量綱差異，需要引入變異系數(shù)來(lái)完成對(duì)指標(biāo)取值差異程度的衡量。 例如信用指標(biāo)R的變異系數(shù)為式（4）：

由此，可得到每個(gè)信用指標(biāo)變異系數(shù)的集合｛V1，V2，…，Vn｝。

步驟4：得到信用指標(biāo)變異系數(shù)后，可對(duì)每個(gè)信用指標(biāo)進(jìn)行賦權(quán)，得式（5）：

步驟5：構(gòu)建能夠計(jì)算最終信用評(píng)分ε的用戶間信任評(píng)估模型：

2.2 匿名區(qū)構(gòu)造過(guò)程的實(shí)現(xiàn)

為了增加請(qǐng)求用戶P 和協(xié)作用戶H 之間的可信度，需要構(gòu)造一個(gè)基于用戶真實(shí)數(shù)據(jù)的匿名區(qū)，本方案把匿名區(qū)構(gòu)造過(guò)程視為一批數(shù)據(jù)的傳輸，數(shù)字信用證書(shū)DCC即為保密傳輸發(fā)起的憑證，云服務(wù)器C 即為傳輸平臺(tái)。 首先，在云服務(wù)器C 上需要請(qǐng)求用戶P 和協(xié)作用戶H 進(jìn)行身份真實(shí)性驗(yàn)證；其次，兩個(gè)用戶進(jìn)行數(shù)字信用證書(shū)呼喚，并判斷是否同意參與到匿名區(qū)構(gòu)造中；最后，當(dāng)完成匿名區(qū)構(gòu)造后，請(qǐng)求用戶P 向云服務(wù)器C 發(fā)送傳輸成功的信息，云服務(wù)器C 更新數(shù)字信用證書(shū)后發(fā)放給用戶。

3 安全性分析

3.1 用戶身份隱私保護(hù)

本方案是將請(qǐng)求用戶P 和協(xié)作用戶H 均視為不信任的，所以在進(jìn)行傳輸之前，兩個(gè)用戶都需要在云服務(wù)器上進(jìn)行身份真實(shí)性認(rèn)證。 對(duì)于請(qǐng)求用戶P 來(lái)說(shuō)，身份認(rèn)知成功后，云服務(wù)器會(huì)產(chǎn)生一個(gè)偽身份給請(qǐng)求用戶P，以此來(lái)避免外部攻擊者或協(xié)作用戶獲取請(qǐng)求用戶P 的真實(shí)身份信息。 對(duì)于協(xié)作用戶H 來(lái)說(shuō)，在P 尋求云服務(wù)器C 的身份驗(yàn)證過(guò)程中，請(qǐng)求用戶P 也會(huì)收到云服務(wù)器發(fā)來(lái)的H身份驗(yàn)證成功信息和H 的偽身份，以此來(lái)查證后續(xù)傳輸?shù)臏?zhǔn)確性。 在此過(guò)程中，如果外部攻擊者想要偽裝成協(xié)作用戶來(lái)獲取保密傳輸信息，都需要通過(guò)云服務(wù)器C 和請(qǐng)求用戶P 的查證，如果傳輸編號(hào)和偽身份都不符，則傳輸失敗。 在整個(gè)傳輸過(guò)程中，相互發(fā)送的信息均采用非對(duì)稱密鑰進(jìn)行加密，外部攻擊者想要破譯傳輸中所有用戶的加密機(jī)制具有非常大的難度，因此保證了信息的安全性。

3.2 可信計(jì)算傳輸認(rèn)證

數(shù)字信用證書(shū)作為準(zhǔn)確衡量傳輸可信度的憑證，是整個(gè)傳輸過(guò)程中的保證。 數(shù)字信用證書(shū)中信用評(píng)分越高，則說(shuō)明傳輸方具有更高的可信任度，極大程度降低了數(shù)據(jù)隱私信息的泄漏程度。 假設(shè)請(qǐng)求用戶P 為惡意用戶，想要通過(guò)發(fā)起構(gòu)造匿名區(qū)請(qǐng)求來(lái)獲取協(xié)作用戶的真實(shí)信息，勢(shì)必需要增加信用評(píng)分來(lái)增加自身可信度，這顯然與開(kāi)始設(shè)定的雙方均不可信任原則相矛盾。 因此，數(shù)字信用證書(shū)的引入，在一定程度上提高了用戶的參與積極性，同時(shí)也提高了匿名區(qū)內(nèi)用戶整體的質(zhì)量。

3.3 數(shù)據(jù)隱私保護(hù)

相比傳統(tǒng)的集中式架構(gòu)來(lái)說(shuō)，本方案設(shè)計(jì)的云服務(wù)器為半可信，只負(fù)責(zé)數(shù)據(jù)處理，并不參與用戶信息的存儲(chǔ)和匿名區(qū)的構(gòu)造，同時(shí)云服務(wù)器C 也不會(huì)獲取任何關(guān)于患者的數(shù)據(jù)信息。 在實(shí)際傳輸過(guò)程中，當(dāng)協(xié)作用戶H向請(qǐng)求用戶P 發(fā)送獲取真實(shí)信息的請(qǐng)求時(shí)，如果請(qǐng)求用戶P 信用評(píng)分較低，則協(xié)作用戶H 則認(rèn)定P 可能為惡意用戶，從而拒接響應(yīng)。 對(duì)于請(qǐng)求用戶P 來(lái)說(shuō)，想要盡快構(gòu)造匿名區(qū)，就需要不斷提高自身信用評(píng)分，來(lái)獲取協(xié)作用戶的信任。 由此可見(jiàn)，該方案能夠有效提高傳輸?shù)姆?wù)質(zhì)量。

4 方案應(yīng)用仿真對(duì)比分析

為了驗(yàn)證本文方案對(duì)數(shù)字檔案信息資源的保護(hù)性和匿名區(qū)構(gòu)造的有效性，選擇兩種與本方案基于用戶間信任評(píng)估模型相似的方案進(jìn)行仿真對(duì)比。 選擇的兩種方案分別為當(dāng)前應(yīng)用較為廣泛的基于處理器分配算法（level-bylevel，largest-task-first，binary system partitioning，LLB）的隱私保護(hù)機(jī)制和基于用戶生成內(nèi)容（user generated content，UGC）體系的隱私保護(hù)機(jī)制。 其中，LLB 算法機(jī)制采用分布式系統(tǒng)構(gòu)造K 匿名區(qū)，并在此過(guò)程中采用假名服務(wù)器進(jìn)行偽ID 交換，雖然通信成本較低，但交換協(xié)議耗時(shí)嚴(yán)重；UGC 體系機(jī)制添加了一個(gè)實(shí)體轉(zhuǎn)換器和半可信第三方匿名服務(wù)器，大大提高了匿名區(qū)構(gòu)造的成功率，但通信開(kāi)銷(xiāo)較大。

4.1 匿名區(qū)構(gòu)造時(shí)間

匿名化程度K 值對(duì)選取匿名區(qū)構(gòu)造過(guò)程中的關(guān)鍵參數(shù)具有很大影響。 因此，對(duì)K 值進(jìn)行20 次試驗(yàn)取參數(shù)均值，來(lái)衡量方案性能的好壞。 如圖2 所示，為匿名區(qū)構(gòu)造時(shí)間與K 值的變化曲線。 由此看出，三種方案中隨著K值的增加，匿名區(qū)構(gòu)造時(shí)間也會(huì)變長(zhǎng)。 相對(duì)于LLB 算法機(jī)制來(lái)說(shuō)，本文方案在構(gòu)造匿名區(qū)過(guò)程中不需要進(jìn)行偽ID 交換，因此構(gòu)造時(shí)間更短。 本文方案在用戶間信任評(píng)估模型的作用下，即使K 值不斷變大，協(xié)作用戶還能夠快速參與到匿名區(qū)構(gòu)造過(guò)程中，構(gòu)造時(shí)間更短。

圖2 匿名區(qū)構(gòu)造時(shí)間與K 值的變化曲線

4.2 通信開(kāi)銷(xiāo)

通信開(kāi)銷(xiāo)（指從匿名區(qū)構(gòu)造請(qǐng)求發(fā)起開(kāi)始到構(gòu)造完成過(guò)程中，所有用戶之間以及用戶與服務(wù)器之間的各類通信開(kāi)銷(xiāo)總和）隨K 值的變化情況如圖3 所示。 由此看出，LLB 算法機(jī)制事先區(qū)分了敏感數(shù)據(jù)和普通數(shù)據(jù)，因此隨著K 值的增加該方案通信開(kāi)銷(xiāo)最低；UGC 體系機(jī)制在其他兩種方案通信開(kāi)銷(xiāo)的基礎(chǔ)上增加了用戶與實(shí)體轉(zhuǎn)換器之間的開(kāi)銷(xiāo)，所以開(kāi)銷(xiāo)最大。 相比而言，本文方案為了保護(hù)隱私信息，構(gòu)建了用戶與云服務(wù)器之間的通信，但憑借云服務(wù)器的快速處理能力，使得隨著K 值增加，本方案的通信開(kāi)銷(xiāo)增長(zhǎng)緩慢。

圖3 通信開(kāi)銷(xiāo)與K 值變化曲線

4.3 平均計(jì)算時(shí)延

平均計(jì)算時(shí)延與K 值的關(guān)系如圖4 所示。 由此看出，三種方案平均計(jì)算時(shí)延隨著K 值的增加而增大。 LLB 算法機(jī)制融合了操作系統(tǒng)協(xié)議（Palmcomputing， PLAM）、偽ID 交換和請(qǐng)求聚合三種協(xié)議，雖然降低了LSB 的響應(yīng)時(shí)間，但算法較為復(fù)雜，使得平均計(jì)算時(shí)延較高；UGC 體系機(jī)制在匿名服務(wù)器高速緩存的協(xié)助下雖然平均計(jì)算時(shí)延低，但與本文方案的云服務(wù)器強(qiáng)大的計(jì)算能力相比，平均計(jì)算時(shí)延較高，因此在云服務(wù)器協(xié)助下，隨著K 值增加本文方案平均計(jì)算時(shí)延變化不明顯。

圖4 平均計(jì)算時(shí)延與K 值的關(guān)系

5 結(jié)語(yǔ)

綜上所述，針對(duì)數(shù)字檔案信息云傳輸過(guò)程中數(shù)據(jù)隱私問(wèn)題，本文將數(shù)字信用證書(shū)引入LSB 隱私保護(hù)系統(tǒng)中，構(gòu)建了基于用戶間信任評(píng)估模型，借助半可信云服務(wù)器作為構(gòu)造匿名區(qū)的中間環(huán)節(jié)，以信用評(píng)分為基礎(chǔ)實(shí)現(xiàn)了檔案數(shù)據(jù)隱私的保護(hù)。 該方案具有真實(shí)性強(qiáng)、匿名區(qū)構(gòu)造高效、用戶終端開(kāi)銷(xiāo)低等特點(diǎn)。 與當(dāng)前常見(jiàn)的兩種用戶數(shù)據(jù)隱私保護(hù)方案相比，該方案具有很大優(yōu)勢(shì)。