云环境下用户隐私属性及其分类研究

云环境下用户隐私属性及其分类研究*季一木1,2，匡子卓2，康家邦2，孙延鹏2，潘俏羽2(1. 南京邮电大学 计算机学院， 南京 210023；2. 南京邮电大学 物联网学院， 南京 210023)摘要：随着云计算技术的应用和推广，云安全越来越受到用户的关注，无论是个人用户还是企业用户都担心自己的隐私和数据泄露安全。为了保护用户隐私，在云计算环境对用户隐私的影响基础上，通过对用户隐私的分类研究，设计出一种云环境下用户隐私分类方法。并对其中隐私的属性进行研究，利用XML语言进行属性描述。最后通过设计的电信行业CRM用户隐私保护系统来对云环境下用户隐私分类器的应用做出验证。关键字：云计算；隐私分类；属性；中图分类号: TP391 文献标志码: A 文章编号：Research on privacy attibutions and classification in cloud computingJI Yi-mu1,2, KUANG Zi-zhuo2, KANG Jia-bang2, SUN Yan-peng2, PAN Qiao-yu2(1. College of Computer, Nanjing University of Posts and Telecommunication,Nanjing, 210023；2. College of IoT, Nanjing University of Posts and Telecommunication,Nanjing, 210023) Abstract：With the development of science and technology, the cloud computing has brought huge benefits. However, the drawbacks of it will also endanger the pravacy security of enterprise users and the common users. In order to protect users privacy in a better way, this article will focus on the impacts made by the cloud computing to the users privacy, including designing different privacy classifiers on the basis of traditional telecom users privacy, adding the new privacies under the environment of Internet and cloud computing. The attribute will be researched and also be presented by XML. Finally, the designed customer relationship management system of telecommunication verifies the application of users privacy classifiers.Key words：cloud computing; privacy classification; attributions;收稿日期：2013-04-28；修回日期：2013-07-10 基金项目：江苏省工业支撑项目（BE2010057）和江苏省高校自然科学基金面上项目（11KJB520013）等；作者简介: 季一木(1978) ，男（汉），安徽无为，副教授，博士，主要研究方向为云计算及其安全关键技术研究，jim_love；匡子卓(1991)，男，硕士研究生，主要研究方向为云安全中的用户隐私保护研究；康家邦（1987-），男，硕士研究生，主要研究方向为云安全；孙延鹏（1989-），男，硕士研究生，主要研究方向为云桌面和通信协议；潘俏羽（1988-），女，硕士研究生，主要研究方向为云服务开发。0 引言随着科学技术的飞速发展，人们的日常生活对网络的依赖越来越强。互联网以及与之相关的产业发展日新月异，云计算(Cloud Computing)作为一种新的服务模式，受到各方的关注。云计算概念起源于1999年S提出的通过一个网站向企业提供企业级的应用。其发展的重要时期是在2002年Amazon（亚马逊）提供一组包括存储空间、计算能力甚至人力智能等资源服务的Web Service。2005年，亚马逊又提出了弹性计算云（Elastic Compute Cloud，EC2），允许小企业和私人租用亚马逊的计算机来运行它们自己的应用。直到2008年，几乎所有的主流IT厂商开始谈论云计算，这里既包括硬件厂商（IBM、HP、Intel、思科、SUN等）、软件厂商（微软、Oracle、VMware等），也包括互联网服务提供商（Google、亚马逊、Salesforce等）和电信运营商（中国移动、中国电信、AT&T等），当然还有一些小的IT企业也将云计算作为企业发展战略。云计算(cloud computing)具有高动态、高可靠性、以用户为导向的特点1-2 , 即对资源能进行合理的掌控与分配。这种资源管理模式的前提是数据的存储和安全完全由云计算提供商负责如google doc。这种服务模式对于用户的隐私保护存在极大风险3 , 即云服务提供商能够对用户的隐私信息进行直接侵犯或者对用户数据进行搜集和分析, 挖掘出用户隐私数据1 云环境下用户隐私研究综述云计算技术作为一种商业模式,具有扩展性好和成本低等特点4,已经在部分IT企业中展开研发和应用，适用于电信海量的用户信息和业务数据5。然而，云计算在给人们带来巨大便利的同时，其隐私保护问题已成为社会各界关注的焦点,并严重威胁着网络社会与网络经济的健康发展。据波士顿咨询公司的一项调查显示:隐私比成本易用性和安全性等更为用户所关心。另据木星通信公司估计, 2002年,这种对网络隐私的担心造成了高达180亿美元的经济损失；到2006年,网络隐私将成为制约电子商务发展的最大障碍。据世界隐私论坛近日发布的一份报告声称，如果企业期望通过利用云计算服务来降低IT成本和复杂性，那么首先应保证这个过程中不会带来任何潜在的隐私问题6。云安全联盟的白皮书7提出了云安全中最严重的安全威胁之一是数据丢失和数据泄漏，而这个安全威胁涉及到三个领域的问题：信息生命周期的管理领域；加密和密钥管理领域；身份和访问管理领域。由此看来，存储在云服务端的数据很有可能被非可信的云计算服务提供商窃取，从而导致用户身份等隐私信息的泄漏。2 云计算面临的隐私安全隐患分析尽管云计算产业的市场前景非常巨大，但是对于应用云计算服务的企业用户存在的潜在隐私安全风险也是不容忽视的。有关云计算隐私安全风险，这里将从基础设施层、传输层、应用层三个层次，从技术和业务相结合的角度进行分析。2.1 基础设施层存在的安全隐患在云计算时代，信息系统主要由云计算服务提供商负责，信息安全威胁的对象由各个组织转移到云计算服务提供商，信息安全威胁的目标将变得更为集中。传统数据中心硬件都相对独立可靠，但是在云计算环境下，虚拟化使硬件界限不再那么明显。如果缺乏系统的评估、科学的分析以及严谨的操作，不仅会导致硬件平台无法发挥出应有的效能，还会被黑客攻击而导致应用系统的崩溃。另外，云计算是基于分布式网络，计算机被看作是云环境下的一个节点。如果将该分布式网络接入互联网后，没有采取有效的安全保护措施，则“云”中的计算机就有可能利用用户上网留下的痕迹窥探用户上网的活动和行为。因此，基础设施层的用户虚拟化节点，主要是通过远程访问操作，这为基础设施层的节点留下了安全隐患。一旦虚拟化环境被攻破，存储和计算等资源就暴露了，存储虚拟化、用户实例可能被修改，从而使云环境受到破坏。2.2传输层存在的安全隐患云计算就是通过其搭建的融合网络和系统平台，以服务的形式向用户提供应用需求。云计算提供的服务形式主要有：IaaS(基础设施服务)、PaaS(平台服务)和SaaS(软件服务)8-10，它们对应的成熟的服务平台是Eucalyptus、Hadoop和Saleforce。用户在使用这些云计算平台提供服务的同时，网络传输和通信是必不可少的环节，因此通信数据包就有可能被非法窃取、攻击、修改和破坏等问题。此外，云计算服务所涉及的数据基本都存放在云中，一旦由于技术原因出现服务中断，则整个服务过程也将会被中断。由此可见，在云计算普及过程中，网络传输的稳定性和安全性也决定着用户隐私是否可被能暴露的因素之一。2.3应用层存在的安全隐患2007年1月，安全专家就发现了Google云桌面存在安全漏洞，恶意用户不仅可以远程持续地获取Google桌面用户的敏感信息，甚至可以控制用户的整个电脑系统。2010年12月，微软BPOS（商务办公在线套装软件）发生了首次重大的云计算数据破坏事件，致使其数据被非授权用户下载。由此可见，互联网在大大方便我们的生活和工作的同时，也成为个人隐私的泄露渠道。应用层是云计算出现隐私安全问题较集中的层次，因为应用层业务与最终用户直接接触，具体体现在两个方面18。(1)用户管理：云计算平台面向的用户很多，包括云计算提供商、运维人员、和普通客户。云计算提供商的主要职责是保证云计算服务中的用户数据不被非法窃取与利用。此外，云计算中的客户位于世界各个地方，其在线数和注册数是随着时间不断变化的，需要保证“特权用户”被客户识别，并安全登录。运维人员则要负责对数据进行分级存储和管理，并做好定期备份工作；(2)存储管理：在云计算服务中，一旦用户将数据存储到云中，云服务提供商就对云中的存储数据具有各种操作权限，一些不法提供商就可能以不正当的手段从云计算提供商处获取用户的隐私资料。在数据存储时，由于升级等原因，云计算服提供商还可能会将用户数据从一个服务器转移到另一服务器中，造成数据存储位置的不确定性，这也增加了用户隐私数据的不安全性。另外，在云计算环境下，云计算的安全主要由云计算提供商负责，云计算作为当前新兴的计算模式，其对用户信息隐私的信息保护已成为人们关注的焦点。云计算通常以用户为导向，对资源进行合理的掌控和分配，但是这种管理模式是以数据的存储和安全完全由云计算提供商负责为前提的，即身份信息、敏感信息由云计算提供商存储和管理，其安全程度与服务提供商的可信赖度和保护隐私的技术水平有极大的关系。正因为云计算服务通常对客户并不完全透明，一旦有意外发生，客户也并不清楚其数据面临的情况，因此加强对他们的监管是十分必要的。综上所述，云环境下影响的用户隐私安全泄露可能的指标，见表1所示。表1 云环境下影响用户隐私的安全指标基础设施安全隐患（IaaS服务）传输交互安全隐患（PaaS服务）业务定制访问安全隐患（SaaS服务）1数据存储泄露用户隐私数据1传输协议抓取数据包并破解1用户认证身份安全性2存储虚拟化稳定性、安全性2跨网络不同域之间的安全策略更复杂2数据操作数据安全性3带宽网络时延QoS3跨平台不同平台的安全访问控制策略不同3业务处理平台安全性3 云计算环境下用户隐私分类3.1云计算环境下用户隐私分类概述云用户数据可以分为三个模块，公共信息、私有信息和限制信息11。隐私保护就是保护私有和限制的信息不被他人所获取，其中隐私就是个人、机构等实体不愿意被外部知晓的信息。在具体应用中，隐私即为数据所有者不愿意被披露的敏感信息，包括敏感数据以及数据所表征的特性。文献12-13从隐私所有者的角度将隐私分为个人隐私和共同隐私两类。文献14基于属性关联和敏感参数将云用户数据分为认证信息、基本信息和元数据三类，并对这些属性进行了描述。文献15提出了数据组合隐私的概念，数据组合隐私为个体不希望暴露的一系列数据属性的组合，通过这些数据值组合起来又可以确定特定个体。文献16将用户数据记录属性分为显式标志符、准标志符、敏感信息和非敏感属性。传统的用户隐私包括用户的基本资料、登陆密码、相关受理业务、绑定的银行账号和个人偏好等，而云环境下的用户隐私还包括电子财务数据、位置隐私、浏览踪迹、服务端记录信息、软件使用习惯和操作状态、敏感数据等。在云计算服务模式下，数据提供者和数据访问者不再是简单的对应关系，隐私已不同于传统的隐私保护，怎么保护个人隐私不被泄漏是云计算面临的一个技术挑战，如何管理云计算中各种成员的身份以及如何保护其身份信息不被云计算服务提供商泄漏成为云计算中隐私保护的关键。在了解传统用户隐私的基础上，加上云环境新的特征，如网络开放、远程操作和多用户协同等，本文设计了一个云环境下的用户隐私分类器，用于对用户隐私进行度量和归类，以及对用户隐私属性进行挖掘和描述。3.2云计算环境下用户隐私属性分类视图3.2.1 基于信息来源的用户隐私分类云环境下用户隐私可以从个人基本信息、业务数据和Web环境涉及到的用户隐私三个维度进行划分，如图1所示。隐私分类器的作用就是将以上类别中的隐私进行分类和度量。因为云环境是一个开放的Web环境，所以除了考虑个人的信息和数据隐私外，还要考虑网络信息的隐私。可以将隐私的度量从等级上分为三类：S级，A级和B级。S级是绝密的隐私信息，A级是较为保密的隐私信息，B级是保密性较低的隐私信息。如个人登陆身份和密码、电话号码、身份证号、电子财务、用户个人偏好、位置隐私、网页活动内容、浏览踪迹以及服务端记录日志都是S级绝密隐私，需要使用更加安全的隐私保护技术去保证数据的绝密性，如使用访问控制、身份认证和数据加密等的综合方法。A级别的隐私包括家庭住址、邮箱地址、电话和短信记录、工作单位、工作类别和软件操作状态，这些可以采用相对安全的隐私保护技术，如加密机制就可以起到保护作用。B级包括个人信用、个人业务、浏览流量、消费账单，这些可采用较为简单的隐私保护技术，如身份认证，可要通过身份认证的用户就可以获得这类信息。在进行隐私保护之前，首先要明确用户隐私属于哪一类，用户隐私又有哪些属性。当然，还种划分也不是一成不变的，可以根据不同行业、不同业务和不同安全需求进行扩展。图1. 按照信息来源的属性分类3.2.2 基于保护等级的用户隐私分类如果对用户隐私按照等级直接进行划分，可分为高、中、低三个等级，然后对应等级给相应隐私采取保护技术，其分类设计如图2所示。其中，个人登录身份与密码、电话号码、用户身份证、电子财务、个人偏好、工作类别是等级较高的隐私信息；邮箱地址、家庭住址、位置隐私、消费账单、个人信用、工作单位是中级的隐私；活动内容、浏览踪迹、服务器记录信息、软件操作状态、浏览流量、个人业务则是等级较低的隐私。 图2. 按照用户隐私保护等级的属性分类通过两种不同角度，对云环境下用户隐私保护属性进行分类，针对不同级别S（高）、A（中）和B（低）的分类采用不同的保护策略，见表2所示。表2 用户隐私属性按等级分类的保护方法 等级方法 云环境下用户隐私保护等级其它（多数互联网Web服务）S（高）A（中）B（低）保护方法、手段、策略1.访问控制2.身份认证3.数字签名4.数据加密1. 访问控制2. 身份认证3. 数字签名1.访问控制2.身份认证1.身份认证3.3 基于XML的用户隐私属性描述方法用户的隐私属性可以基于XML语言进行描述，XML易于扩展，而且容易与其它开发工具进行交互和集成处理，非常适合 Web 传输，EPAL17就是一种基于XML的形式化语言隐私保护标准和规范。基于XML的属性描述方法也具有较强的规范性，可以明确地表示电信用户隐私属性中各个部分的意义。云环境下用户（包括个人和企业等）基本隐私属性基于XML语言的描述规范见表3所示。表3 基于XML的个人隐私属性描述 Zhangsan /用户名称Male /性别 the Han nationality /民族20 /年龄123456 /密码15666666666 /电话号码362888888 /QQ号码362888888 /电子邮箱Nanjing* /家庭地址 /个人信用不同领域和行业的业务都可用XML进行属性描述，以电信客户关系管理系统中的语音话费详单查询业务为例，就涉及到用户的电话号码、拨出/接听号码、通话日期、通话时长、收费类别、费用合计等属性，将业务、业务对应的属性以及属性的描述流程如图3所示。 图3. 电信业务相关属性的建模和表示流程4 云环境下电信行业CRM的用户隐私保护原型系统设计图4为基于 HADOOP的用户隐私保护原型系统的电信CRM业务系统，采用分层的思想，自顶向下每层都透明的调用下层接口，最顶层为交互层，用于用户和系统之间的交互。最底层为分布式计算层，使用 HADOOP 来实现文件分布式存储和并行计算功能。使用分层，各层之间变得独立，易于系统的扩展。图4. 云环境下电信CRM业务系统用户隐私保护原型系统框架图4中的用户隐私属性分类层用于根据电信用户隐私属性进行对底层数据分类。根据属性，可以将用户隐私分为个人基本信息，业务敏感数据和WEB环境；用户隐私安全保护层，通过调用用户隐私分类后的隐私信息，进行保护。首先针对不同的属性分类，制定相应的属性访问控制策略，并根据不同的业务类型，采取相应的ABE属性加密方法，最后使用ABS属性签名方法对加密的数据进行签名，从而达到用户隐私属性高级别保护的目的。5 结束语云计算的应用几乎涉及了信息管理与服务的各个领域，云计算中的隐私问题若得不到好的解决，则将会直接影响到用户的信息安全和选择云计算的信心。随着电子商务、电子政务、网络教育的兴起与蓬勃发展,人们在网上的活动越来越多,如网上浏览查询、聊天、购物、学习、收发邮件等。在这些网上活动中,将涉及到大量的个人隐私信息，虽然网络导致的隐私泄露已引起社会各界的广泛关注,社会也采取和制定了许多法规、自律政策和技术等措施来加强对网络隐私的保护,但这些措施的作用非常有限,隐私保护仍然是一个亟待解决的挑战性问题，进一步将深入研究云计算环境下的用户隐私属于的形式化表示和隐私保护原型系统的开发。参考文献：1Su Mu-Chun, Chou, Chien-Hsing. A Modified Version of the K-means Algorithm with a Distance Based on Cluster SymmetryJ. IEEE Transactions on Pattern Analysis and Machine Intelligence, 2001, 23(6): 674-680.2Jeffrey Dean and Sanjay Ghemawat.MapReduce: Simplified Data Processing on Large ClustersM. Communication of the ACM-50th anniversary issue:1958-2008.2008,51(1):137-1493Armbrust M , Fox A, Griffith R, et al . Above the clouds: A berkeley view of cloud computing. Technical Report No.UCB/ EECS-2009-28 R . Berkeley, USA: University of California at Berkeley, 2009.4Wang L, Tao J, Kunze M, et al . Scientific cloud computing: Early def init ion and experience C. Proceedings of the 10th International Conference on High Performance Computing and Communications. Dalian, ChinaJ: IEEE Computer Society, 2008: 825 - 830.5Kaufman L. Data security in the world of cloud computingJ . IEEE Security and Privacy, 2009, 7( 4): 61-64.6张军,熊枫. 网络隐私保护技术综述J.计算机应用研究,2005:9-11.7Cloud Security Alliance. Security guidance for critical areas of focus in cloud computing v2.1.EB/OL. http:/www.cloud security alliance.org/guidance/csaguide.v2.1.pdf. 2011-12-24.8Godse, M., Mulik, S. An Approach for Selecting Software-as-a-Service (SaaS) Product Cloud ComputingD, 2009, Page(s):155 -1589Feng Liu, Weiping Guo, et al. SaaS Integration for Software CloudC. Cloud Computing (CLOUD), 2010, Page(s):402-40910Yong Zhang; Shijun Liu; Xiangxu Meng. GridSaaS:A Grid-Enabled and SOA-Based SaaS Application PlatformC. Services Computing, 2009, Page(s):521-52311 Sandeep K. Sood. A combined approach to ensure data security in cloud computingJ. Journal of Network and Computer Applications 35 (2012) 1831183812ClinftonC, KantarciogluM, VaidyaJ. Defining privacy for data mining.Proceedings of the National Science Foundation Workshop on Next Generation Data Mining,2002C. Baltimore, MD, USA,200213周水庚,李丰,陶宇飞,肖小奎.面向数据库应用的隐私保护研究综述J.计算机学报，2009，32（5）：848-85814 Adeela Waqar, AsadRaza , HaiderAbbas, Muhammad Khurram Khan. A framework for preservation of cloud users data privacy using dynamic reconstruction of metadataJ. Journal of Network and Computer Applications 36 (2013) 23524815张坤.面向多租户应用的云数据隐私保护机制研究D.山东大学计算机与科学技术学院，2012：20-3816兰丽辉，鞠时光，金华，刘善成.数据发布中的隐私保护研究综述J. 计算机应用研究，2010：27（8）：2823-282717Enterprise privacy authorization language （EPAL 1.2）EB/OL. http：/www.w3.org/Submission/EPAL/.18李晓飞.云计算环境下的用户隐私问题浅析J.南昌教育学院学报，2013：28（2）：194-196