吳宗大 謝 堅 鄭城仁 周志峰 陳恩紅

　　摘 要 針對新興網(wǎng)絡環(huán)境下數(shù)字圖書館用戶的行為偏好隱私保護問題，設計實現(xiàn)了一個有效的方法框架 該方法框架的基本思想是：通過在可信客戶端精心構(gòu)造一系列“真假難辨 ”的偽行為 ，連同用戶真行為一起，提交給不可信服務器端，“以假亂真 ”掩蓋用戶行 為蘊含的敏感偏好。評估實驗驗證了該方法框架的有效性，即能在不損害數(shù)字圖書館服務的實用性、準確性和高效性的前提下，確保用戶行為偏好隱私在不可信數(shù)字圖書館服務器端的安全性。該工作是針對數(shù)字圖書館用戶行為偏好隱私保護問題的首次研究嘗試.對搭建新 網(wǎng)絡環(huán)境下用戶隱

　　私安全的數(shù)字圖書館平臺具有重要意義。

　　關鍵詞 數(shù)字圖書館 行為偏好 隱私保護

　　本文系國家社會科學基金青年項目“數(shù)字圖書館用戶的‘行為偏好隱私’保護方法研究”(編號：17CTQO11)的研究成果之一。

　　0 引言

　　隨著云計算等新興網(wǎng)絡信息技術(shù)的迅速發(fā) 展。數(shù)字圖書館的應用領域得到不斷延伸，已成 為人們?nèi)粘Ｉ�活的重要組成部分。然而，在給 用戶帶來巨大便利的同時，數(shù)字圖書館正變得越來越“不可信 ”，從而 引發(fā)數(shù)字圖書館用戶對 個人隱私安全的極度擔憂[1-2]。用戶隱私安全 問題已成為制約數(shù)字圖書館發(fā)展與應用的主要 障礙之一 3 ]。數(shù)字圖書館的用戶隱私主要表現(xiàn)在以下兩個方面 ]：①個人資料隱私，包括身 份標識隱私 (如身 份證 )和背景資料隱私 (如職 業(yè));②行為偏好隱私，即使用圖書館服務時(如圖書瀏覽服務、檢索服務、推薦服務等)，用戶行為(服務請求 )背后所蘊含的興趣偏好隱私 (如 圖書瀏覽行為蘊含用戶偏好的圖書類別 )[6-7]。 其中。資料隱私安全問題可通過數(shù)據(jù)加密技術(shù)較好地解決.即將用戶資料加密后再存放到數(shù)字圖書館服務器中。這樣即使它們不幸泄露，也 難以被讀懂 ]。然而，加密方法并不適用用戶 行為偏好隱私.因為圖書館服務需要服務器支持，如果加密用戶行為會使得服務器因無法“讀懂”用戶服務請求 ，而使得服務無法進行或有效完成 _】“j。為此，如何有效保護數(shù)字圖書館用 戶的行為偏好隱私安全，已成為一個至關重要 的問題。

　　早期.圖書館 領域的學者更多從法律角度 研究圖書館用戶隱私保護問題 ’ 。雖然制 定隱私權(quán)相關的法律能在一定程度上保護用戶隱私.但是并 不能從根本上解決該問題，它更多地需要采用隱私保護技術(shù)來解決 ]。近年來 ，學者嘗試從技術(shù)角度研究該問題 [5 】.但已有方法還不夠深入且缺乏系統(tǒng)，并且它們更多針對 資料隱私，沒有關注行為隱私。此外，針對不可信網(wǎng)絡環(huán)境下的用戶隱私安全問題，信息科學 領域?qū)W者已給出了許多有效方法，代表性的有 隱私加密技術(shù)、掩蓋變換技術(shù)和匿名化技術(shù)。 以下簡要介紹這些方法的技術(shù)特點.并 分析在 數(shù)字圖書館中的應用局限性。①隱私加密技術(shù) 是指通過加密變換，使得用戶行為對服務器端不可見，以達到隱私保護的目的，代表性的有隱 私信息檢索技術(shù)[15-17]。該類技術(shù)不僅要求額外硬件和復雜算法的支持.且要求改變服務器端的服務算法，從而引起整個平臺架構(gòu)的改變，降低了方法在數(shù)字圖書館中的可用性。②敏感數(shù) 據(jù)掩蓋技術(shù)是指通過偽造數(shù)據(jù)或者使用一般化 數(shù)據(jù)來掩蓋涉及用戶敏感偏好的行為數(shù) 據(jù) _l 。由于改寫了用戶行為數(shù)據(jù)，該類方法對服務的準確性會造成一定負面影響.即其 隱私保護需以犧牲服務質(zhì)量為代價，難以滿足數(shù)字圖 書館的應用需求。③匿名化技術(shù)是用戶隱私保 護中廣泛使用的一種技術(shù)。它通過隱藏或偽裝用 戶身份標識，允許用戶以不暴露身份的方式使用 系統(tǒng) 2 。然而，匿名化隱私保護技術(shù)也受到了許多質(zhì)疑。Josyula等 l2 和 Narayanan等 [ 分析 了匿名化技術(shù)對隱私保護的不足.并給出實驗 證明。結(jié)果表明，通過匿名化技術(shù)收集的用戶數(shù)據(jù)往往難以保證質(zhì)量。更重要的是，數(shù)字圖書館一般要求用戶必須實名登錄后才能使用各項服務，所以。匿名化隱私保護技術(shù)難以有效地 應用于數(shù)字圖書館。

　　綜上所述。已有用戶隱私保護技術(shù)并不是 針對數(shù)字圖書館提出的，在實用性、準確性、安全性等方面仍無法滿足數(shù)字圖書館的實際應用需求。理想的數(shù)字圖書館行為偏好隱私保護方 法需要滿足以下幾個方面的要求：①確保用戶行為隱私在不可信服務器端的安全性：②確保 服務結(jié)果的準確性.即對 比引入隱私保護方法 的前后。用戶獲得的最終服務結(jié)果一致;③不損害數(shù)字圖書館信息服務的實用性，即隱私保護 方法不改變服務器端的服務算法，不需要額外硬件支持，也不會對用戶服務的使用效率產(chǎn)生 顯著影響。為此，本文的研究目標是：針對數(shù)字圖書館用戶的各類行為，構(gòu)建統(tǒng)一的行為偏好 隱私保護框架模型，有效突破已有隱私保護技 術(shù)在數(shù)字圖書館中的應用局限性，能在不改變現(xiàn)有數(shù)字圖書館平臺架構(gòu)、不改變現(xiàn)有圖書服務算法、不改變圖書服務準確性、基本不改變服務效率的前提下，確保各類用戶行為偏好隱私 在不可信服務器端的安全性。本文是針對數(shù)字 圖書館用戶行為偏好隱私保護的首次研究嘗試，對構(gòu)建新網(wǎng)絡時代用戶隱私安全的數(shù)字圖書館環(huán)境具有積極意義。

　　1 系統(tǒng)框架

　　數(shù)字圖書館提供的信息服務包括：圖書瀏 覽服務、檢索服務、閱讀服務、推薦服務等。在 使用這些服務時.用戶 首先在客戶端發(fā)起服務請求，服務器根據(jù)請求攜帶的數(shù)據(jù).為 用戶提供相應圖書服務。在數(shù)字圖書館中，服務器端是不可信的，它是攻擊者的主要目標。因此，基于 用戶服務請求，不可信服務器可以分析出用戶的興趣偏好，從而導致用戶行為隱私泄露。圖 1 結(jié)合一個具體的圖書瀏覽服務實例(即用戶瀏 覽“犯罪心理 ”相關 圖書 )。展示了本文采用的用戶行為偏好隱私保護基本架構(gòu)。

　　

　　2 隱私模型

　　基于前文系統(tǒng)框架，本小節(jié)定義一個面向數(shù)字圖書館用戶的行為偏好隱私保護模型。據(jù) 前文分析可知，理想的偽行為序列應 “真假難 辨”(即與用戶行為序列特征相似 )，能 “以假 亂真”，掩蓋用戶敏感圖書偏好 (即能 有效降低敏 感偏好在不可信服務器端的暴露程度)。

　　3 算法設計

　　基于第2小節(jié)給 出的數(shù)字圖書館用戶行為 偏好隱私模型，本節(jié)討論模型算法實現(xiàn)，以生成滿足模型約束(定義3.11)的偽圖書服務請求序列。可以看出.第2小節(jié)的隱私模型是以圖書行 為序列為研究單位。然而，由于數(shù)字圖書館用 戶的行為序列是隨時間動態(tài)增長的，算法難以次性為用戶行為序列構(gòu)造生成完整的偽行為 序列，為此，本節(jié)的實現(xiàn)算法將以單個行為為基 本處理單位(即算法輸入)，即當用戶在可信客 戶端發(fā)起一個當前圖書服務請求時。隱私算法將結(jié)合客戶端保存的歷史圖書行為序列(包括行為序列的內(nèi)容，為此，算法采用 “貪婪策略” (即在為用戶當前圖書服務請求構(gòu)造偽請求時，只考慮當前構(gòu)造的偽請求是否滿足隱私模型的條件約束.而不考慮后續(xù)圖書服務請求的偽造問題).但要求最終生成的偽行為序列能很好地 滿足定義 3.11的條件約束 。算法 1描述 了我們采用的算法基本實現(xiàn)方案。

　　4 實驗評估

　　本小節(jié)旨在驗證前述圖書行為偏好隱私保護模型的有效性。數(shù)字圖書館為讀者提供的信息服務形式多樣。為了簡化實驗設計，這里只考慮相對簡單的圖書瀏覽服務和圖書閱讀服務。這種做法是為了更好地保證算法的安全性(具 為了獲得實驗數(shù)據(jù)，我們收集了溫州大學圖書館 100名讀者近年來的圖書服務記錄，并為每位讀 者精心挑選了 1000條瀏覽記錄和1000條 閱讀記 錄(即用戶行為序列長度為 2000，由相同長度的閱讀行為子序列和瀏覽行為子序列構(gòu)成)。

　　前文給 的僅是一個針對圖書館用戶的行為偏好隱私保護框架模型，其實際運行還依賴于行為偏好相關度、行為分布特征、行為連續(xù)特征和行為關聯(lián)特征等函數(shù)的準確實現(xiàn)。為此，需要研究在僅考慮圖書瀏覽行為和閱讀行為 時，上述四類函數(shù)的具體實現(xiàn)方法。筆者注意 到用戶的一條圖書瀏覽或閱讀記錄 (即 瀏覽行 為或閱讀行為)通常對應著一本具體圖書.為此，借助于用戶行為蘊含的具體圖書信息，可構(gòu) 建上述四類函數(shù)。為了構(gòu)建行為偏好相關度函數(shù) (定 義 3.1)，挑選 “中圖法 圖書分類目錄”中處于次頂層的圖書目錄 (如 B0哲學 理論、B1世界哲學、DO政治理論等 )組建行為偏好空間 ，然后。以圖書分類目錄為中間媒介構(gòu)建行為偏好 相關度函數(shù) (行 為對應圖書.偏 好對應圖書目錄)。對于行為分布特征函數(shù) (定 義 3.4)，主要 考慮了圖書長度、文體、價格、語言等基本特征 對于行為連續(xù)特征函數(shù) (定 義 3.6)和關聯(lián)特征函數(shù) (定義 3.8)，主要考慮了行為頻度和偏好頻 度兩類特征。表 1給 出了這些函數(shù)的實現(xiàn)方法。

　　

　　表 1 圖書行為函數(shù)的具體實現(xiàn)方法

 

　　4.2 實驗結(jié)果

　　實驗一旨在評估本文方法所產(chǎn)生的偽行為 對用戶敏感偏好的掩蓋效果。這里使用“偏好 暴露度”(參考定義 3.3構(gòu)建 )，以度量敏感偏好關于行為序列集 A，.{ 。，A 一， }的暴 露 度，即 max P (exp(P ，A0)/exp(P ，A ))。顯然，度量值越小越好，因為它意味著攻擊者越難從行為序列集A 中直接猜測用戶敏感圖書偏好。該度量主要取決于敏感偏好數(shù)量和構(gòu)造的 偽行為序列數(shù)量。實驗中，行為序列長度固定 為 2000。實驗評估結(jié)果 如罔 3所示 ，其中，子圖左下角指示預先設定的用戶敏感偏好數(shù)量 (M= 1、M=3和 M=5)。從圖 3可以看出，本文方法生成的偽行為序列能有效地改善敏感偏好的暴 露程度，并且這種改善效果基本上與偽行為序 列數(shù)量正相關.不會 隨著敏感偏好數(shù)量的改變而明顯改變。相比于本文方法，隨機方法生成 的偽行為雖然也能在一定程度上降低敏感偏好的暴露程度，但穩(wěn)定性較差(即不與偽行為序列數(shù)量正相關)，并且其效果會隨著敏感偏好數(shù)量的增加而變差。后續(xù)實驗也表明：隨機方法所生成的偽行為序列與用戶真實行為序列的特征相似性很差，使得它們?nèi)菀妆还�擊者排除，難以有效地保護用戶敏感偏好。

　　

　　5 分析討論

　　雖然攻擊者掌握著豐富的背景 知識.但還是難以從服務端所記錄的歷史圖書服務請求記錄中識別出用戶真實圖書服務請求 或者用戶敏感個人圖書偏好，因而本文方法具有較好的隱私安全性。結(jié)合前言和第 1小節(jié)的內(nèi)容可知：在安全性、準確性、高效性和可用性 上，相比于已有方法，本文方法擁有更好的綜合性能，能在不改變現(xiàn)有數(shù)字圖書館平臺架構(gòu)、不改變現(xiàn)有圖書服務算法、不改變圖書服務準確 性、基本不改變圖書服務效率的前提下，確保各類用戶行為偏好隱私在不可信服務器端的安全性。

　　6 總結(jié)展望

　　本文提出了一個數(shù)字圖書館用戶行為偏好 隱私保護框架模型。該框架模型采用基于客戶 端的體系架構(gòu).通 過在可信客戶端為用戶圖書 服務請求(即用戶行為)精心構(gòu)造一系列“真假 難辨”的偽行為，“以假亂真”掩蓋用戶行為背后 蘊含的敏感偏好。通過理論分析和評估實驗， 驗證了該方法的有效性，即能在不損害數(shù)字圖書館服務的實用性、準確性和高效性的前提下， 確保用戶行為偏好隱私在不可信服務器端的安 全性。然而，這項工作仍存在一些問題需要進 一 步研究改進。一、本文僅描述了一個較抽象 的用戶行為隱私保護框架模型。數(shù)字圖書館用 戶行為形式多樣 (如 圖書推薦行為、檢索行為 等)，如何在模型框架下為各類用戶行為設計實 現(xiàn)相應的隱私保護算法還有待進一步深入研 究。二、本文沒有討論數(shù)字圖書館用戶行為隱 私保護軟件的具體設計實現(xiàn)問題。數(shù)字圖書館的用戶終端界面形式多樣 (如 移動應用終端、瀏 覽器終端等)，如何實現(xiàn)隱私保護軟件與用戶終端的無縫對接還有待進一步研究。

　　參考文獻

　　『1] 易紅，任競.圖書館大數(shù)據(jù)服務環(huán)境下用戶隱私泄露容忍度的實證研究 [J].圖書館論壇 ，2016，36(4)：

　　57—64.(YiHong，Ren Jing.Empircalstudy on libraryusers’privacyleakagetoleranceunderthebackground of

　　librarybigdataservice[J].LibraryTribune，2016，36(4)：57—64.)

　　『2] 彭華杰.大數(shù)據(jù) 時代圖書館讀者的隱私危機與隱私保護 [J].圖書館 工作與研究，2014，1(12)：56—59.

　　fPengHuajie.Theprivacycrisisandprotectionoflibraryreadersinthebigdataera[J].LibraryWorkandStudy，

　　2014，1(12)：56—59.)

　　『3] 馬曉亭，陳臣.基于大數(shù)據(jù)生命周期理論的讀者隱私風險管理與保護框架構(gòu)建 [J].圖書館 ，2016(128)：

　　62—66.(MaXiaoting.Chen Chen.Construction oftheprivacy iskr managementand protectionframework forli—

　　braryreadersbasedonbigdatalifecycletheory[J].Library，2016(128)：62—66.)

　　[4] 宛玲，霍艷花，馬守軍.英 國大學圖書館網(wǎng)站個人信息保護政策文本分析及啟示 [J].圖書 情報工作，2016，60(12)：62-68.(Wan Ling，HuoYanhua，MaShoujun.Textanalysisofpersonalinformation protection policiesoftenBritishuniversitylibrary websitesanditsenlightenment[J].Library andInformationService，2016，6O(12)：62—68.)

　　[5] HartZ，HuangS，LiH，eta1.Riskassessmentofdigitallibraryinformationsecurity：acasestudy[JJ_TheElec— tronic Library，2016，34(3)：471—487.

　　[6] 邵志毅，楊波，梁啟凡.云計算 中數(shù)字圖書館外包數(shù)據(jù)的完整性檢測 [J].圖書館論 壇，2014(12)：98— 103.(ShaoZhiyi，Yang Bo，Liang Qifan.Integrityverification ofoutsourceddigital resourcesincloud computing [J].Library Tribune，2014(12)：98—103.)

　　[7] 王碧琴，任潔，馮彥平，等.數(shù)字圖書館用戶信息隱私的安全威脅分析 [J].圖書館學研 究，2015(1O)：34—36.(WangBiqin，RenJie，F(xiàn)engYanping，eta1.Analysison thesafetythreatofuser'sinformation privacyin digitallibrary[J].ResearchonLibraryScience，2015(10)：34—36.)

　　[8] WuZ，XuG，ZongY，eta1.ExecutingSQLqueriesoverencryptedcharacterstringsinthedatabase—as—service model[J].Knowledge—BasedSystems，2012(35)：332—348.

　　[9] WuZ，XuG，LuC，et1a.AnefectiveapproachorftheprotectionofprivacytextdataintheCloudDB[J/OL].

　　WorldWideWeb[2017—08一O1].htps：//link.springer.com/article/10.1007/sI1280—017—0491—8.

　　[1O] wuz，shiJ，LuC，et1a.Constructingplausibleinnocuouspseudoqueriestoprotectuserqueryintention[J].

　　Information Sciences，2015(325)：215—226.

　　[11] wuz，LiG，LiuQ，eta1.Coveringthesensitivesubjectstoprotectpersonalprivacyinpersonalizedrecommenda。

　　tionfJ/OL].IEEE Transactions on Services Computing[2016—10—08].http：//ieeexplore.ieee.or#

　　document/7486070.

　　[12] 李東來，蔡冰，蔣永福，等.以制度保障公共圖書館的讀者權(quán)益[J].中國圖書館學報，2010，36(4)：l7—

　　23.(LiDonglai，Caibing，JiangYongfu，eta1.Protectreader'sightsrand interestsin publiclibrarybyrulesand regulations[J].JournalofLibrary ScienceinChina，2010，36(4)：17—23.)

　　[13] 王瓊，曹冉.英 國高�？蒲袛�(shù)據(jù)保存政策調(diào)查與分析 [J].中 國圖書館學報，2016，42(5)：102—115.fWangQiong.CaoRan.InvestigationandanalysisofthedatapreservationpolicyinBritishuniversities[J].Jour。 nalofLibrary Sciencein China，2016，42(5)：102—115.)

　　[14] 張雪梅，張艷芳，張陽.圖書館讀者隱私權(quán)的侵權(quán)表現(xiàn)與法律保護 [J].情 報科學，2012(6)：839—842.

　　(ZhangXuemei，ZhangYanfang，ZhangYang.Tortperformance andlegalprotection on readerprivacyoflibrary

　　[J].InformationScience，2012(6)：839-842.)

　　f15] MouratidisK，Yiu M.Shortestpathcomputationwithnoinformation leakage[J].VLDB Endowment，2012，

　　5(8)：692—703.

　　[16] Khoshgozaran A H ，Shirani—MehrC.Blind evaluation oflocation based queriesusing space transformation to pre—

　　servelocationprivacy~J].Geoinformatica，2013(4)：599—634.

　　[17] 田豐，桂小林，張學軍，等.基于興趣點分布的外包空間數(shù)據(jù)隱私保護方法 [J].計算機學報 ，2014(37)：

　　123—138.(Tian Feng，GuiXiaolin，ZhangXuejun，eta1.Privacy—preservingapproachforoutsourced spatial data basedonPOIdistribution[J].ChineseJournalofComputers，2014(37)：123—138.)

　　[18] ZhangF，LeeVE，JinR.k-CoRating：filingupdatatoobtainprivacyandutility[C]//Proceedingsofthe20th

　　AAAIConference on ArtificialIntelligence，2014：320—327.

　　[19] XuY，WangK，ZhangB.Privacy—enhancingpersonalizedWebsearch[C]//Proceedingsofthe16thInternational

　　Conference on W orld W ide W eb，2007：591—600.

　　f20] ChenG，HeB，ShouL，eta1.UPS：eficientprivacyprotectioninpersonalizedWebsearch[C]//Proceedingsof

　　the 34th international ACM SIGIR conference on Research and development in Information Retrieval，2011：

　　615—624.

　　[21] ShouL，BaiH，ChenK，et1a.SupportingprivacyprotectioninpersonalizedWebsearch[J].IEEETransactions onKnowledgeandDataEngineering，2014，26(2)：453—467.

　　f22] NarayananA，Shmatikov V.Robustde—anonymization oflarge sparsedatasets[C]//ProceedingsoftheIEEE

　　Symposium on Security& Privacy，2008：111—125.

　　[23] Juan V，JosepP，JuanH S.DocCloud：adocumentrecommendersystem oncloud computingwithplausibledeni-

　　ability[J].InformationSciences，2014，258(10)：387—402.

　　[24] Shang S，HuiY ， Hui P，et 1a.Beyond personalization and anonymity：towards a group—based recommender

　　system[C]//Proceedingsofthe29thAnnualACM Symposium onAppliedComputing，2014：266—273.

　　[25] JosyulaR R，PankajR.Canpseudonymityreallyguaranteeprivacy?[C]//ProceedingsoftheUSENIX Security

---

文章TAG標簽：圖書館論文

轉(zhuǎn)載請注明來自：http://www.jinnzone.com/xinxianqlw/66652.html