一种关联隐私的保护方法

本发明涉及一种关联隐私的保护方法，以保护目前大数据及云计算服务中的 个人和组隐私，属于信息技术领域。

搜索引擎、微博、社区网站等服务是基于用户数据产生的服务，但微博、社 区网站、网盘等服务中聚集了大量的个人私有数据，我们称谓这些数据是隐私。 隐私是一种当事人不愿他人知道或他人不便知道的个人信息，当事人不愿他人干 涉或他人不便干涉的个人私事，以及当事人不愿他人侵入或他人不便侵入的个人 领域。

在微博、社区网站、网盘等服务中，用户有非公开的数据、共享的数据、公 开的数据三个类型，每个类型的数据都有隐私相关的内容。在用户非公开的数据 中存在大量个人的隐私。在组中，用户和熟悉的其他用户分享部分数据，这部 分数据是组的隐私。

在公开的数据中，我们可以通过数据挖掘，也可以发现隐私。如通过用户的 购买行为和特征，来获知该用户是否是潜在的客户。事实证明，通过数据挖掘能 够获知体的动态与个人行为。也就是说，从数据的外部行为也可以获知个人的 信息，从大量的个人公开信息可以挖掘出个人隐私，我们把挖掘出来的隐私称为 关联隐私。采用数据挖掘的方法来获得隐私，已经引起了广大用户的不安。

关于隐私的保护目前有三种方法：隔离方法、加密方法、访问控制方法。目 前，同态加密方法在云计算系统中是一种最好的隐私保密方法，但同态加密的技 术还不是很成熟，还没有被实际的应用软件所使用。

对于公开的信息，关联隐私的保护比用户个人隐私和组的隐私保护更加复 杂和具有挑战性。采用加密和隔离的通用方法都不能解决关联隐私的保护问题， 为此需要一种新的方法或策略才能解决关联隐私的保护问题。

本发明提出一种关联隐私的保护方法，通过用户和云计算系统之间的互动及 其访问控制方法来解决关联隐私的保护问题。

本发明“一种关联隐私的保护方法”包括用户数据使用授权、数据使用日志、 隐私保护审计、隐私保护规定、用户数据访问控制五个模块组成。下面详细介绍 一种关联隐私的保护方法结构和各个组成部分的内容。

（1）本发明构架

为了实现本发明“一种关联隐私的保护方法”，要求对现有的云计算系统服务 进行修改，本发明形成的关联隐私保护构架如图1所示。

参与云计算系统的有三类人：普通用户（简称用户）、服务提供者和管理员。 服务提供者是软件的开发和部署者。一种关联隐私的保护方法包括用户数据使用 授权、数据使用日志、隐私保护审计、隐私保护规定、用户数据访问控制五个模 块组成。

用户数据访问控制模块是架构中的核心功能模块，分别对用户、服务提供者、 管理员的行为进行控制，也是所有其它功能模块的控制机关。

隐私保护审计模块将对隐私保护规定、用户使用授权、数据使用日志等情况 进行审计。它分别要核对隐私保护规定，检查用户、服务提供者、管理员的行为， 核对用户数据使用授权（书），检查用户数据使用日志等。隐私保护审计后，通过 审计的用户、服务提供者、管理员将获得继续享受云计算系统的服务，否则，违 反规定的用户、服务提供者、管理员将通过用户数据访问控制模块限制访问云计 算系统。

（2）本发明的五个组成模块

本发明“一种关联隐私的保护方法”由五个模块组成，它由用户数据使用授权、 数据使用日志、隐私保护审计、隐私保护规定、用户数据访问控制五模块组成。以下 就各功能模块及其方法作详细说明。

●用户数据使用授权：是用户对其他普通用户、服务提供者、管理者授权使用用户 数据的功能模块。图2是用户数据使用授权示意图。对于用户来说，他有用户私 有数据（私有数据）、组共享数据（组）、公开数据三部分。对这些用户数据 的访问权有禁止他人访问、授权访问、预授权访问。预授权访问是指用户在注册 的时候一次性授权管理者或服务提供者使用用户数据。对数据的公布有授权公布 和预授权公布。数据公布指对改变数据的访问权限（如使组数据转换成公开数 据）、转载等。

用户数据被其他用户、组用户、服务提供者、管理者使用时应得到用户的授权。 对于用户私有数据和组数据，可采用使用时授权方式，也就是，用户在使用时去申 请授权。对于公开数据，用户可以采用即时授权和预授权，但用户、服务提供者、管 理者必须事后告知数据拥有者。

●隐私保护规定：隐私保护规定是云计算系统设计的时候规定用户、服务提供者、 管理者对隐私处理的规定。包括对用户个人隐私、组隐私、关联隐私的保护规 定。规定在服务提供者或用户在信息公布的时候必须遵守隐私保护规定。表1是 隐私类型及其确认。隐私确认是指用户在公布数据时，需要得到数据授权方的隐 私确认。被确认为个人隐私、组隐私和关联隐私的数据都不能公布。

表1隐私类型及其确认

用户隐私类型 数据类型 确认类型

个人隐私 用户私有数据 确认

组隐私 组数据 待确认

关联隐私 公开数据 待确认

●数据使用日志：用户、服务提供者、管理者使用数据时，云计算系统都会记录使 用的过程，包括对数据的访问授权、对数据操作、对数据公布。该功能模块记录 数据访问、操作、公布的时间、位置等事项。

●隐私保护审计：隐私保护审计是依据用户数据使用授权、数据使用日志、隐私保 护规定对用户的行为进行审计。审计内容包括用户是否在非授权的情况下访问了 他人数据，用户对他人数据的访问次数是否超范围，是否存在非授权下公布他人 数据。它是整个方法的“检查模块”。

●用户数据访问控制：该功能模块是用户对数据的访问控制模块。它包含了两方面 的内容：依据隐私保护规定进行访问控制以及依据用户数据访问授权对用户数据 进行控制，它是整个方法的“执行模块”。

（3）本发明的特点

本发明涉及用户数据使用授权、数据使用日志、隐私保护审计、隐私保护规定、 用户数据访问控制五个部分；下面详细说明本方法的特点：

●授权访问特性：本发明对用户私有数据、组数据、公开数据的访问和公布都采 用了授权机制，本发明禁止了数据的非授权访问。保障了用户的隐私控制权限。

●访问与公布的透明性：本发明对私有数据、组数据、公开数据的访问、公布都 采用了通知与确认机制，以保证了访问与公布的透明性，以保证用户数据在他人 范围的扩展范围。

●访问与公布的可信性：本发明对私有数据、组数据、公开数据的访问、公布都 采用了日志机制，记录了用户、服务提供者、管理员的行为，保证了云计算系统 在访问与公布过程中的可信性。

●隐私权利可保障性：本发明采用审计方法和访问控制方法，通过中立的审计与访 问控制，保障了用户的隐私权利，便于以后法律等方面的审查。

为了更加明确本发明的特点，

表2给出了本发明的特点。

表2本发明的特点

特点 方法 保障

授权访问 授权访问与访问控制 隐私可控

透明性 通知与确认机制 授权数据的使用可控

可信性 系统日志机制 云计算系统的可信性

权利保障性 审计与访问控制 保障权利

（4）本发明各模块的执行流程

为了说明本发明执行流程，图3从整个文件的读写过程描述了本发明各模块之间 的关系和本发明的执行流程，本发明的具体执行流程如下：

●数据使用授权阶段：用户B通过用户数据使用授权模块提出访问用户A的数据请 求，用户A给出是否授权的决定，以显示数据使用的控制性。

●访问控制阶段：如果用户B获得用户A的授权，用户B通过用户数据访问控制模 块就可以访问用户A的数据。

●用户数据计算阶段：在用户数据计算阶段，用户B做两件事：第一，用户B在用 户A的数据上进行计算；第二，用户B把计算的事通知用户A，以显示使用数据的 透明性。用户B计算完成后得到新的数据，新数据属于用户B。

●新数据使用授权阶段。用户B得到的新数据虽然属于用户B，但新数据的发布（扩 大用户数据的共享范围）需要得到用户A的授权，以显示关联隐私保护性。

●数据使用日志记录阶段：数据使用日志模块对上述数据使用授权、访问控制、用 户数据计算、新数据使用授权等都要进行日志记录。

●隐私保护审计阶段：隐私保护审计模块依据隐私保护规定、数据使用日志对用户B 的行为进行审计，如果用户B非法访问了数据，隐私保护审计模块将通知数据访 问控制模块对用户B进行限制访问。

图1一种关联隐私的保护方法构架

图2用户数据使用授权

图3本发明各模块的执行流程

图4存储容量统计计算关联隐私保护例子

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完 整地描述，显然，所描述的实施例也仅仅是本发明的一部分实施例，而不是全部实施 例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获 得的所有其他实施例，都属于本发明保护的范围。

为了说明“一种关联隐私的保护方法”，这里给出一个“关于用户B对用户A存 储容量统计计算关联隐私保护例子”。该例子的具体流程如图4所示。

●数据使用授权阶段：用户B通过用户数据使用授权模块提出访问用户A的数据请 求，用户A给出授权用户B访问自己数据的数据。结果在图4中显示为“授权用 户B使用用户A的数据”。

●访问控制阶段：用户B获得用户A的授权后，访问控制模块允许用户B获得用户 A的数据。在图4中显示为“用户B可以使用用户A数据”。用户B通过用户数 据访问控制模块就可以访问用户A的数据。

●用户数据计算阶段：在用户数据计算阶段，用户B做两件事：第一，用户B在用 户A的数据上进行计算，在图中显示为“用户B统计”；并统计出结果（新数据）， 结果在图4中显示为“用户A使用增长率为10%”；新数据属于用户B。第二，用 户B把统计的事通知用户A，在图4中显示为“用户B统计通知”。

●新数据使用授权阶段。用户B得到的新数据（例如“用户A使用增长率为10%”） 虽然属于用户B，但新数据中包含了用户A的隐私。新数据的发布需要得到用户 A的授权，以显示关联隐私保护性。用户B在使用新数据之前，包括扩大数据分 享范围（发布）等情况之前，需要获得用户A的授权。用户B就重复上述过程对 新的数据进行处理。当获得用户A授权后，用户B可以发布新数据，否则不能发 布。但用户B可以根据隐私保护规定，修改新数据“用户A使用增长率为10%” 为“某某用户使用增长率为10%”后再申请用户A授权发布。

●数据使用日志记录阶段：数据使用日志模块对上述数据使用授权、访问控制、用 户数据计算、新数据使用授权等都要进行日志记录。例如图4中的“1.用户B授 权用户A；2.用户B进行了统计得到结果；3.用户B申请公布结果，第一次为获 得授权，第二次获得用户A授权。”等信息，以便隐私保护审计模块审计。

●隐私保护审计阶段：隐私保护审计模块依据隐私保护规定、数据使用日志对用户B 的行为进行审计，如果用户B非法访问了数据，隐私保护审计模块将通知数据访 问控制模块对用户B进行限制访问。图4中，隐私保护审计模块通过了审计，显 示为“通过审计”。

本发明的优势

本发明涉及一种关联隐私的保护方法，本发明应用于目前云计算系统中海量数据 或大数据的关联隐私保护中。本发明的优点主要有四个：

(1)授权访问特性：本发明对用户私有数据、组数据、公开数据的访问和公布都采 用了授权机制。

(2)访问与公布的透明性：本发明对私有数据、组数据、公开数据的访问、公布都 采用了通知与确认机制，以保证了访问与公布的透明性，以保证用户数据在他人 范围的扩展范围。

(3)访问与公布的可信性：本发明对私有数据、组数据、公开数据的访问、公布都 采用了日志机制，记录了用户、服务提供者、管理员的行为，保证了云计算系统 在访问与公布过程中的可信性。

(4)隐私权利可保障性：本发明采用审计方法和访问控制方法，通过中立的审计与访 问控制，保障了用户的隐私权利，便于以后法律等方面的审查。