寇琳琳

（東北財(cái)經(jīng)大學(xué)管理科學(xué)與工程學(xué)院，遼寧 大連 116025）

0 引言

云計(jì)算技術(shù)是計(jì)算機(jī)技術(shù)和信息技術(shù)共同發(fā)展而生的時(shí)代產(chǎn)物。由于具備極強(qiáng)的虛擬化計(jì)算優(yōu)勢(shì)，因此能夠?qū)Υ髷?shù)據(jù)進(jìn)行高效整合和處理，從而為社會(huì)發(fā)展帶來(lái)諸多便利。云計(jì)算技術(shù)雖然有不可比擬的應(yīng)用優(yōu)勢(shì)，但是同時(shí)也會(huì)使用戶(hù)面臨隱私泄露的威脅。為了解決用戶(hù)的憂慮心理，切實(shí)提高云計(jì)算技術(shù)的發(fā)展水平，必須對(duì)此作出科學(xué)的安全風(fēng)險(xiǎn)評(píng)估，并對(duì)多服務(wù)請(qǐng)求的隱私保護(hù)方案進(jìn)行研究。

1 云環(huán)境背景下的云計(jì)算技術(shù)概述

1.1 基本特點(diǎn)

云計(jì)算技術(shù)是由谷歌提出的一種虛擬化計(jì)算方法，能夠?qū)π畔r(shí)代爆炸性的大數(shù)據(jù)進(jìn)行高效率整合和處理，對(duì)社會(huì)發(fā)展帶來(lái)重要的積極意義，其基本特點(diǎn)主要有大規(guī)模、資源共享、虛擬化、網(wǎng)絡(luò)接入廣泛、可擴(kuò)展性高、按需服務(wù)等。作為信息技術(shù)變革的新時(shí)代關(guān)鍵，云計(jì)算技術(shù)使互聯(lián)網(wǎng)行業(yè)實(shí)現(xiàn)更加集約化和規(guī)模化的發(fā)展，從而推動(dòng)人類(lèi)社會(huì)的飛躍性進(jìn)步。云計(jì)算技術(shù)主要通過(guò)云端為用戶(hù)提供數(shù)據(jù)服務(wù)，實(shí)現(xiàn)按需使用并服務(wù)的現(xiàn)代交易模式。當(dāng)前國(guó)內(nèi)外研究學(xué)者對(duì)云計(jì)算的定義具有多元化的特點(diǎn)，但是整體而言都是將云計(jì)算看作是集合大數(shù)據(jù)的資源池，當(dāng)網(wǎng)絡(luò)接入這一資源池后就可以獲取相應(yīng)的服務(wù)。由于該模式無(wú)需投入大量人力、物力和資金成本，因此在現(xiàn)代社會(huì)具有顯著的發(fā)展優(yōu)勢(shì)。

1.2 服務(wù)模式

云環(huán)境背景下，云計(jì)算的服務(wù)模式可以分為以下三種，分別是軟件即服務(wù)、平臺(tái)即服務(wù)和基礎(chǔ)設(shè)施即服務(wù)。軟件即服務(wù)主要指的是通過(guò)購(gòu)買(mǎi)軟件應(yīng)用許可來(lái)獲得云端服務(wù)，用戶(hù)無(wú)需直接購(gòu)買(mǎi)軟件，但是為了保障硬件與軟件兼容，因此需要購(gòu)買(mǎi)并需要遵循相應(yīng)的許可協(xié)議，從而保障數(shù)據(jù)服務(wù)能夠得到充分的利用；平臺(tái)即服務(wù)主要指的是為多用戶(hù)提供服務(wù)引擎，從而實(shí)現(xiàn)集成服務(wù)和管理，使程序開(kāi)發(fā)及應(yīng)用人員能夠獲得開(kāi)發(fā)工具，并在服務(wù)商提供的開(kāi)發(fā)平臺(tái)實(shí)現(xiàn)渠道應(yīng)用。在這種模式下，開(kāi)放人員不需要專(zhuān)業(yè)的系統(tǒng)管理技術(shù)就能夠?qū)崿F(xiàn)網(wǎng)站應(yīng)用程序的構(gòu)建和部署；基礎(chǔ)設(shè)施即服務(wù)主要指的是用戶(hù)以互聯(lián)網(wǎng)租賃的方式，獲取網(wǎng)絡(luò)設(shè)備、服務(wù)器、存儲(chǔ)設(shè)備等使用權(quán)，從而實(shí)現(xiàn)應(yīng)用系統(tǒng)的開(kāi)發(fā)和構(gòu)建，使應(yīng)用成本得到有效控制。

1.3 服務(wù)流程

為研究云環(huán)境背景下云計(jì)算及其服務(wù)存在的隱私安全風(fēng)險(xiǎn)，必須對(duì)云計(jì)算的服務(wù)流程給予明確。云計(jì)算服務(wù)流程中主要涉及云服務(wù)提供商和用戶(hù)兩個(gè)主體，多個(gè)用戶(hù)通過(guò)電腦、手機(jī)、電視、平板電腦等終端向服務(wù)資源管理系統(tǒng)發(fā)送請(qǐng)求，服務(wù)資源SaaS、PaaS和IaaS通過(guò)多元化的網(wǎng)絡(luò)接入方式與網(wǎng)絡(luò)相連接，云服務(wù)提供商會(huì)根據(jù)收集到的數(shù)據(jù)及各種反饋信息部署工具，并對(duì)數(shù)據(jù)進(jìn)行更新，并反饋到管理系統(tǒng)，再由管理系統(tǒng)完成對(duì)用戶(hù)的服務(wù)。如果用戶(hù)做出刪除操作，管理系統(tǒng)會(huì)在驗(yàn)證用戶(hù)信息合法后執(zhí)行該操作，并且對(duì)服務(wù)資源進(jìn)行更新，從而完成用戶(hù)信息銷(xiāo)毀要求。

2 云環(huán)境背景下多服務(wù)請(qǐng)求隱私保護(hù)安全風(fēng)險(xiǎn)體系設(shè)計(jì)

2.1 風(fēng)險(xiǎn)來(lái)源

用戶(hù)在網(wǎng)絡(luò)上的隱私主要涉及賬號(hào)密碼、基本資料、業(yè)務(wù)往來(lái)、銀行賬號(hào)、搜索偏好等，而在云環(huán)境背景下，由于數(shù)據(jù)資源的龐大性，涉及到的用戶(hù)隱私更加多元化，例如財(cái)務(wù)數(shù)據(jù)、瀏覽蹤跡、位置隱私、記錄信息、操作狀態(tài)、軟件使用習(xí)慣等，由于云環(huán)境背景下的虛擬程度更高，因此用戶(hù)的隱私安全存在更大風(fēng)險(xiǎn)。就云環(huán)境背景下隱私安全風(fēng)險(xiǎn)的來(lái)源來(lái)看，主要包括以下幾方面內(nèi)容：

其一，用戶(hù)終端的隱私安全存在風(fēng)險(xiǎn)。用戶(hù)終端主要指的是電腦、手機(jī)、電視、平板電腦等設(shè)備，尤其終端軟件或者控件存在一些安全漏洞，因此黑客可以通過(guò)借此入侵用戶(hù)終端，從而對(duì)用戶(hù)的隱私信息進(jìn)行盜取，同時(shí)獲取用戶(hù)終端的操作權(quán)。另外，一些病毒能夠在入侵終端后對(duì)用戶(hù)操作進(jìn)行監(jiān)督，從而造成用戶(hù)隱私泄露。

其二，云服務(wù)存在隱私安全風(fēng)險(xiǎn)。云計(jì)算面對(duì)多用戶(hù)展開(kāi)資源服務(wù)，因此內(nèi)部不對(duì)數(shù)據(jù)進(jìn)行加密處理，這既導(dǎo)致云服務(wù)不具備處理加密數(shù)據(jù)的能力，也使得數(shù)據(jù)資源的傳輸過(guò)程中無(wú)法得到安全保障，很容易被黑客非法劫持，從而導(dǎo)致用戶(hù)隱私被泄露。另外，用戶(hù)信息在云計(jì)算系統(tǒng)中會(huì)被冗余備份，因此數(shù)據(jù)的擴(kuò)散范圍也變得更加廣闊，無(wú)疑使隱私安全受到更大的威脅[1]。

其三，法律規(guī)范存在隱私安全風(fēng)險(xiǎn)。云端服務(wù)由美國(guó)谷歌公司提出，由于用戶(hù)遍及全球，因此數(shù)據(jù)資源的存儲(chǔ)和備份也具有全球性特點(diǎn)。如果國(guó)家法律對(duì)數(shù)據(jù)安全的相關(guān)規(guī)定不夠健全，就會(huì)導(dǎo)致信息存在泄漏風(fēng)險(xiǎn)。而在全球范圍內(nèi)，用戶(hù)無(wú)法得到自己的信息被非法用于何種途徑，這是當(dāng)前云計(jì)算技術(shù)發(fā)展亟需解決的問(wèn)題。

2.2 指標(biāo)建設(shè)

2.2.1 建設(shè)原則

為了保障多服務(wù)請(qǐng)求隱私保護(hù)安全風(fēng)險(xiǎn)體系構(gòu)建的科學(xué)性和完整性，必須遵循以下幾點(diǎn)指標(biāo)建設(shè)原則：其一，目的性原則。在指標(biāo)建設(shè)期間要明確云計(jì)算隱私安全風(fēng)險(xiǎn)評(píng)估這一目的，并且以此為出發(fā)點(diǎn)和導(dǎo)向，從而使各項(xiàng)指標(biāo)能夠充分反應(yīng)云端服務(wù)存在的隱私安全風(fēng)險(xiǎn)；其二，科學(xué)性原則。為了使云端服務(wù)隱私安全風(fēng)險(xiǎn)的特點(diǎn)得到全面解析，必須確保指標(biāo)經(jīng)過(guò)反復(fù)分析和客觀驗(yàn)證，從而保障其科學(xué)性；其三，實(shí)用性原則。在指標(biāo)建設(shè)期間要密切關(guān)注應(yīng)用現(xiàn)狀，根據(jù)實(shí)際需求和突出問(wèn)題，確保指標(biāo)服務(wù)隱私安全風(fēng)險(xiǎn)評(píng)估要求；其四，獨(dú)立性原則，在構(gòu)建指標(biāo)體系時(shí)確保每個(gè)指標(biāo)能夠反映不同結(jié)果，從而使安全風(fēng)險(xiǎn)得到全面評(píng)估。

2.2.2 建設(shè)過(guò)程

在對(duì)云環(huán)境背景下的多服務(wù)請(qǐng)求隱私保護(hù)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)進(jìn)行建設(shè)時(shí)，可以采用專(zhuān)家會(huì)議法、頭腦風(fēng)暴法等，具體來(lái)看，主要有以下流程構(gòu)成：首先，要對(duì)文獻(xiàn)、報(bào)告、記錄、文件、書(shū)籍等信息進(jìn)行梳理；其次，要對(duì)影響隱私安全的主要問(wèn)題進(jìn)行識(shí)別并分析，以將梳理后的信息作為理論依據(jù)；第三，對(duì)云服務(wù)流程進(jìn)行調(diào)研，根據(jù)主要問(wèn)題選取流程中的關(guān)鍵指標(biāo)，如果該指標(biāo)在云服務(wù)流程中存在異議，就返回第一步驟進(jìn)行重新操作，如果不存在異議就以此為內(nèi)容構(gòu)建隱私安全風(fēng)險(xiǎn)指標(biāo)體系。就當(dāng)前云環(huán)境背景下的隱私保護(hù)安全風(fēng)險(xiǎn)來(lái)看，主要分為兩種類(lèi)型，一種是一般類(lèi)風(fēng)險(xiǎn)，另一種是特殊類(lèi)風(fēng)險(xiǎn)。一般類(lèi)風(fēng)險(xiǎn)分別指的是數(shù)據(jù)加密、監(jiān)控技術(shù)漏洞、身份驗(yàn)證問(wèn)題、訪問(wèn)控制問(wèn)題、數(shù)據(jù)傳輸保護(hù)問(wèn)題、密鑰管理問(wèn)題、操作失誤問(wèn)題、軟件升級(jí)問(wèn)題和外部惡意攻擊；特殊類(lèi)風(fēng)險(xiǎn)主要包括數(shù)據(jù)隔離問(wèn)題、虛擬化技術(shù)漏洞、數(shù)據(jù)銷(xiāo)毀問(wèn)題、數(shù)據(jù)備份問(wèn)題、審查支持問(wèn)題、傳輸協(xié)議問(wèn)題、法律遵從問(wèn)題、隱私法差異問(wèn)題、法律責(zé)任問(wèn)題、強(qiáng)迫紕漏問(wèn)題、數(shù)據(jù)遷移問(wèn)題等[2]。

2.2.3 體系構(gòu)建

總結(jié)云環(huán)境背景下多服務(wù)請(qǐng)求隱私保護(hù)安全風(fēng)險(xiǎn)，可以將其分成四種類(lèi)型，分別是技術(shù)類(lèi)型、管理類(lèi)型、法律類(lèi)型和其他類(lèi)型，將其作為二級(jí)指標(biāo)，并在此基礎(chǔ)上構(gòu)建28個(gè)云計(jì)算隱私保護(hù)安全的三級(jí)指標(biāo)。其中技術(shù)類(lèi)型主要包括的風(fēng)險(xiǎn)要素指標(biāo)有數(shù)據(jù)加密、數(shù)據(jù)隔離、數(shù)據(jù)銷(xiāo)毀、虛擬化漏洞、網(wǎng)絡(luò)監(jiān)控、身份驗(yàn)證、訪問(wèn)控制、數(shù)據(jù)傳輸保護(hù)和外部惡意攻擊；管理類(lèi)型的風(fēng)險(xiǎn)要素指標(biāo)有密鑰管理、數(shù)據(jù)備份、審查支持、操作失誤、內(nèi)部人員、網(wǎng)絡(luò)監(jiān)控、身份驗(yàn)證、訪問(wèn)控制和云服務(wù)被迫中止；法律類(lèi)型主要包括法律遵從、法律差異、法律責(zé)任、強(qiáng)迫披露、數(shù)據(jù)備份和審查支持；其他類(lèi)型主要有云服務(wù)鎖定、數(shù)據(jù)遷移、軟件升級(jí)和云服務(wù)被迫中止。

3 云環(huán)境背景下多服務(wù)請(qǐng)求隱私保護(hù)安全風(fēng)險(xiǎn)體系評(píng)估

在具備隱私保護(hù)安全風(fēng)險(xiǎn)指標(biāo)的基礎(chǔ)上，可以采用以下方法對(duì)云環(huán)境背景下多服務(wù)請(qǐng)求的隱私保護(hù)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，分別是模糊集合和隸屬度矩陣法、風(fēng)險(xiǎn)因素熵權(quán)系數(shù)法和馬爾科夫鏈與轉(zhuǎn)移矩陣法。首先通過(guò)模糊集合構(gòu)建風(fēng)險(xiǎn)隸屬度矩陣，然后根據(jù)信息熵原理確定熵權(quán)向量，再通過(guò)馬爾代夫漣原理明確轉(zhuǎn)移矩陣和風(fēng)險(xiǎn)概率[3]。

在建立模糊矩陣時(shí)，主要對(duì)資產(chǎn)影響、威脅頻度和脆弱性嚴(yán)重程度在1～5范圍內(nèi)進(jìn)行賦值，將其等級(jí)設(shè)置為高、較高、中等、較低和低，然后由專(zhuān)業(yè)人員結(jié)合實(shí)際情況給予打分，并且計(jì)算出平均值，用以下公式對(duì)結(jié)論進(jìn)行歸一化處理，最后得到模糊矩陣。

在明確風(fēng)險(xiǎn)熵時(shí)，主要就每個(gè)風(fēng)險(xiǎn)指標(biāo)的資產(chǎn)影響、威脅頻度和脆弱性嚴(yán)重程度進(jìn)行計(jì)算，其計(jì)算公式如下所示：

在確定穩(wěn)態(tài)概率時(shí)，著重對(duì)轉(zhuǎn)移矩陣進(jìn)行構(gòu)建，對(duì)各隱私的風(fēng)險(xiǎn)類(lèi)型進(jìn)行歸一化處理，然后得到歸一化處理后的風(fēng)險(xiǎn)類(lèi)型轉(zhuǎn)移矩陣，最終對(duì)各個(gè)以下求解公式得到資產(chǎn)影響、威脅頻度和脆弱性嚴(yán)重程度的風(fēng)險(xiǎn)概率：

4 云環(huán)境背景下基于風(fēng)險(xiǎn)評(píng)估的多服務(wù)請(qǐng)求隱私保護(hù)方案設(shè)計(jì)

4.1 保護(hù)現(xiàn)狀

現(xiàn)階段云環(huán)境背景下的隱私安全保護(hù)主要包括以下幾方面內(nèi)容，分別是云數(shù)據(jù)安全隱私保護(hù)、用戶(hù)身份隱私保護(hù)和云服務(wù)請(qǐng)求隱私保護(hù)。就數(shù)據(jù)安全隱私保護(hù)來(lái)看，主要保障云端數(shù)據(jù)完成可用，不會(huì)受到用戶(hù)以外主體的訪問(wèn)或者修改。因此需要實(shí)施審計(jì)認(rèn)證、機(jī)密代理、數(shù)字簽名、訪問(wèn)控制等保護(hù)方法；就用戶(hù)身份隱私保護(hù)而言，主要對(duì)云用戶(hù)的基本信息和訪問(wèn)蹤跡進(jìn)行保護(hù)。由于云端在提供服務(wù)時(shí)需要訪問(wèn)用戶(hù)的信息，因此很多用戶(hù)對(duì)自身的隱私安全存在憂慮。為此云端可以通過(guò)固定的第三方完成信息認(rèn)證這一操作，然后與用戶(hù)構(gòu)建聯(lián)系、提供服務(wù)，但是在這一過(guò)程中，需要充分保障第三方認(rèn)證的可靠性，從而解決用戶(hù)對(duì)隱私泄露的擔(dān)憂；就云服務(wù)請(qǐng)求隱私保護(hù)而言，很多用戶(hù)常常會(huì)忽視這一步驟。例如用戶(hù)在瀏覽某一藥品信息時(shí)，云服務(wù)沒(méi)有對(duì)這一過(guò)程給予隱私保護(hù)，因此用戶(hù)所患疾病這一隱私可能遭到泄露。云服務(wù)請(qǐng)求隱私保護(hù)可以有效避免來(lái)自外部的惡意攻擊，但是云服務(wù)供應(yīng)商會(huì)不可避免的掌握這一隱私信息，為此可以采用噪聲混淆方法，對(duì)真實(shí)數(shù)據(jù)形成干擾，從而使攻擊者或者供應(yīng)商無(wú)法判斷真實(shí)數(shù)據(jù)，以此保護(hù)用戶(hù)的敏感信息。

4.2 保護(hù)方法

根據(jù)保護(hù)現(xiàn)狀分析可知，當(dāng)前云環(huán)境背景下的隱私安全保護(hù)主要采用審計(jì)認(rèn)證、機(jī)密代理、數(shù)字簽名、訪問(wèn)控制等保護(hù)方法保障云數(shù)據(jù)安全，利用第三方認(rèn)證保障用戶(hù)信息安全，而云服務(wù)請(qǐng)求隱私保護(hù)是一個(gè)全新的研究方向，能夠有效應(yīng)對(duì)當(dāng)前云服務(wù)請(qǐng)求存在的隱私安全風(fēng)險(xiǎn)，從而在科學(xué)評(píng)估各項(xiàng)風(fēng)險(xiǎn)概率基礎(chǔ)上，使云服務(wù)隱私安全風(fēng)險(xiǎn)保護(hù)體系變得更加完善[4]。

噪聲混淆法主要指的是在用戶(hù)應(yīng)用云服務(wù)的過(guò)程中，將用戶(hù)搜索并瀏覽的真實(shí)信息與噪聲數(shù)據(jù)相結(jié)合，從而使用戶(hù)的真實(shí)信息變得模糊，非法獲取用戶(hù)信息者即便截獲信息也無(wú)法準(zhǔn)確辨認(rèn)，從而到達(dá)隱私安全保護(hù)的目的。而云端隱私保護(hù)請(qǐng)求中為用戶(hù)提供噪聲混淆這一保護(hù)服務(wù)，當(dāng)真實(shí)信息經(jīng)過(guò)噪聲混淆處理后，云端服務(wù)商同樣無(wú)法判斷用戶(hù)的真實(shí)信息，從而使用戶(hù)隱私安全得到保護(hù)。

如下圖1的模型所示，QU和QN分別代表的是用戶(hù)對(duì)服務(wù)器發(fā)動(dòng)的真實(shí)請(qǐng)求和噪聲請(qǐng)求，當(dāng)這兩種請(qǐng)求同時(shí)被發(fā)送到選擇器時(shí)，選擇器會(huì)同時(shí)處理兩種請(qǐng)求，其中真實(shí)請(qǐng)求以1～ε的概率發(fā)送，而噪聲請(qǐng)求以ε的概率發(fā)生，最終服務(wù)器會(huì)生成一個(gè)QS序列，由用戶(hù)自主選擇概率的大小，因此生成的序列是沒(méi)有規(guī)律的。在這種情況下，除用戶(hù)之外的所有個(gè)體都無(wú)法判斷真實(shí)信息。

圖 1 基本噪聲混淆模型Fig.1 Basic noise confusion model

在基本噪聲混淆模型的基礎(chǔ)上，可以從風(fēng)險(xiǎn)評(píng)估及安全信任的角度出發(fā)，構(gòu)建更加完善的噪聲混淆模型。為此可以在選擇器處理階段加入計(jì)數(shù)器，在用戶(hù)發(fā)送真實(shí)請(qǐng)求和噪聲請(qǐng)求后，由計(jì)數(shù)器獲取QS的統(tǒng)計(jì)規(guī)律，從而使噪聲的生成具有一定規(guī)律。用戶(hù)不需要再隨意選擇固定的概率值發(fā)送請(qǐng)求，只需要根據(jù)信任模型的規(guī)律計(jì)算結(jié)果，就能夠掌握一個(gè)具有動(dòng)態(tài)性的概率值，以此使選擇器的噪聲混淆處理過(guò)程變得更加靈活多變[5]。

5 結(jié)論

綜上所述，針對(duì)云環(huán)境背景下基于風(fēng)險(xiǎn)評(píng)估的多服務(wù)請(qǐng)求隱私保護(hù)方法的探究是非常必要的。要制定切實(shí)可行的隱私保護(hù)方案，必須對(duì)云計(jì)算技術(shù)存在的隱私安全風(fēng)險(xiǎn)給予科學(xué)評(píng)估，從而在全面了解并掌握風(fēng)險(xiǎn)的基礎(chǔ)上，合理利用存儲(chǔ)訪問(wèn)模式，構(gòu)建隱私保護(hù)模型，對(duì)用戶(hù)的隱私安全風(fēng)險(xiǎn)給予有效化解，以此保障云計(jì)算技術(shù)的應(yīng)用安全，提高技術(shù)水平。希望本文能夠?yàn)檠芯窟@一課題的相關(guān)人員提供參考[6-8]。