CN109495460B - 一种组合服务中的隐私策略动态更新方法 - Google Patents

Abstract

本发明公开一种组合服务中的隐私策略动态更新方法，包括隐私策略建模、隐私策略的生成和隐私策略的更新，经第一阶段对隐私策略进行建模，利用形式语义描述隐私策略以及第二阶段通过用户和服务参与者对隐私暴露集协商动态生成满足用户需求的隐私策略。从而根据组合服务的演化特征使得隐私策略也发生动态更新，以得到满足用户的隐私需求，达到保护用户隐私信息的目的。

Description

一种组合服务中的隐私策略动态更新方法

技术领域

本发明属于交互共享及演化系统的用户隐私信息保护技术领域，特别是涉及一种组合服务中的隐私策略动态更新方法。

背景技术

云计算环境中，隐私保护被定义为用户控制个人敏感信息(PSI)被云服务提供者收集，使用，暴露和维持的能力。为了满足用户的隐私需求，SaaS组合服务发生演化时，服务参与者的隐私策略也必需发生演化。在组合服务发生演化时，能够实时的被发现，并保证服务所对应的隐私策略也发生演化，使其满足用户的隐私需求，是增强用户隐私安全的关键技术之一。

在大数据的背景下，云计算已经作为一种计算范型为用户提供服务。SaaS作为云计算的应用层服务，除了传统Web服务的优点外，还具备按需提供服务，支持普适网络访问优点，提高了云计算的服务质量、计算规模和效率。但SaaS服务组合是一种多方协同、透明交互与演化的计算平台，用户隐私数据对服务参与者来说，是透明交互，并且在完成交互后，由云服务参与者存储和使用，用户丧失了对其数据的控制权。因此，当组合服务发生演化后，用户的隐私数据极易被退出服务组合的参与者泄露。

为了提高用户隐私信息的安全性，美国、欧盟及国际组织颁布了隐私法案，如美国在1974年颁布的Privacy Act，1996和1998年分别颁布了关于医疗健康HIPPA和儿童的隐私法COPPA；欧盟在2002年颁布了关于电子商务的隐私法案；20世纪80年代，经济合作开发组织OECD理事会颁布了《关于保护隐私和个人数据国际流通的指南》，指南中列出了隐私安全的8大原则。在8大原则当中，仅仅只有Security与信息安全相关，而其它7大原则都必需采用隐私增强的理论与方法。这其中包含了隐私数据收集的限定、数据质量、使用目的、使用声明、问责制等使用隐私数据的要求和保护方法，这些要求与方法都基于隐私需求的形式化描述、服务模型构造、演化与一致性检测与验证等软件工程的方法。

目前对隐私保护研究，多数学者从数据的角度去考虑如何防止用户的隐私信息泄露，利用信息安全方法，如数据加密，匿名或扰动等来保证用户隐私数据的安全。这些方法针对隐私数据存储(PaaS层)和链路传输过程(IaaS层)的保护是非常有效的。但是，信息安全方法需要将数据与计算行为隔离，在组合服务演化或面向计算行为的场景中，无法利用信息安全技术保护用户隐私数据。并且在组合服务中，演化具有不可预测性，如果替换后的服务不满足用户的需求，必然会造成用户隐私信息泄露。再者，在SaaS层，由于服务参与者之间的信息传递大部分采用明文，使得采用信息安全方法解决比较困难，而软件工程的相关理论和技术可以增强用户隐私信息在SaaS交互过程的安全。

当SaaS组合服务发生演化时会出现如下两种情况，如图1所示：

第一种情况：在图1(a)中，假若服务组合流程中的服务B由于某种原因退出了服务组合流程，服务F替换服务B，当服务组合流程没有事前检测与事中监督机制，在事中发演化，使得用户的隐私信息已经发送给服务B，这就会发生由于服务B退出组合流程而泄露用户的隐私；假若服务B是骗取用户信息的伪功能服务，那么服务B将会收集大量的用户隐私信息，本文主要是针对服务组合流程进行事前检测和事中监控，以确保服务组合流程发生演化时，不会造成用户隐私信息的泄露；

第二种情况：在图1(b)中，假若服务组合流程本身发生了演化，同理，由于服务C获取了多于提供功能所需的用户隐私信息而造成隐私数据泄露。

发明内容

发明目的：本发明的目的在于解决现有技术中存在的不足，提供一种组合服务中的隐私策略动态更新方法，通过对演化系统的分析，利用协商的方法动态对隐私策略进行更新，使之能够有效保证用户的隐私信息在演化系统中的安全。

技术方案：本发明的一种组合服务中的隐私策略动态更新方法，包括以下步骤：

(1)建模生成隐私策略，并利用形式语义描述隐私策略；

(2)通过用户和服务参与者对隐私暴露集协商动态生成满足用户需求的隐私策略；

(3)根据组合服务的演化特征使隐私策略进行动态更新。

进一步的，所述步骤(1)中的隐私策略描述，包括如下具体内容：

首先，定义隐私策略：用一个4元组来描述隐私策略，

其中，Issuer记录隐私项在隐私本体树中的父类和子类；OW为当前的服务参与者；

为隐私暴露集；PA为该隐私项的隐私暴露约束，且PA由两部分组成，一部分为官方或服务组合者对隐私参与者的信用约束，用T表示；另一部分是对隐私项的暴露约束。

进一步的，所述步骤(1)中的隐私策略的生成，包括如下具体步骤：

(1.1)解析组合服务中各服务参与的服务描述文档，从接口的输入和前置条件中获取组合服务所需的隐私暴露集；解析用户的隐私需求，获取用户可暴露给组合服务的最小隐私暴露集；

(1.2)利用敏感隐私对检测算法对服务所需的隐私暴露集和用户可暴露给服务提供商的隐私集进行检测；

(1.3)根据隐私暴露集中隐私项所对应的隐私暴露约束，对用户和组合服务的隐私集中的隐私项所对应的隐私暴露约束进行匹配，得到满足用户和组合服务的隐私策略。

进一步的，所述步骤(1.2)中隐私暴露集的生成包括以下两种情况：

1)如果用户隐私需求中的可暴露的元素多于组合服务所要求的隐私数据集中的元素，即此时满足用户的隐私需求，不需进行隐私项的交换，即：由于

导致execute(service)＝ture；

2)如果组合服务所要求的隐私数据集中的元素多于

中的元素，则不可执行，这种情况不满足用户的隐私需求，需要进行隐私项的交换协商，即，由于

导致execute(service)＝false；

为隐私暴露集，设

中的元素可以表示为

进一步的，所述步骤(2)中，由用户端和服务组合者共同协商动态生成动态隐私策略，其具体过程为：

初始状态为：用户端根据用户的隐私需求，提取隐私敏感对约束

服务组合者根据组合服务的输入和前置条件

获取服务提供者所需的隐私数据集，

为空；

首先，用户向服务组合者发送服务请求，服务组合者收到用户的服务请求后，向用户依次出示运行服务所要暴露的隐私集

此时，用户端检测服务组合者所要求的隐私集是否满足用户的隐私需求；

然后，用户端将检测结果发回给服务端，如果检测内容为(A)，其结果为

服务端启用本体树搜索算法，找到此隐私项在本体树中的兄弟节点brother

将兄弟节点替换原有的节点，并重新进行检测，直到满足敏感对约束

假若始终不能满足

则用户发送消息要求服务组合者替换当前服务；

如果检测内容为(B)，假设结果为：execute(service)＝false，组合服务需要替换当前服务，并返回进行检测内容(A)；

其中，

表示隐私暴露集，

表示服务提供者的隐私暴露集，

中的元素可以表示为

上述过程中，用户端检测服务组合者所要求隐私集的具体检测内容如下：

(A)利用

对每个隐私项进行敏感对约束检测，假设服务组合者向用户端发送的隐私项为

则检测其是否满足隐私暴露集

即：

(B)检测此隐私暴露集包含输入和前置条件

那么，execute(service)＝ture；

(C)是否存在冗余的隐私项，即：

进一步的，所述步骤(1.3)中隐私暴露约束的匹配包括以下三种情况：

第一，

等价于

即：

这种关系表示用户针对某一个隐私项的暴露约束与服务提供者针对同一隐私项的暴露约束等价，说明此服务提供者满足用户的隐私需求；

第二，

包含于

即：

这种关系表示用户针对某一个隐私项的暴露约束包含于服务提供者针对同一隐私项的暴露约束，说明服务提供者对此隐私项的暴露要求更加严格，此服务提供者满足用户的隐私需求；

第三，

包含于

即：

这种关系表示用户针对某一个隐私项的暴露约束包含服务提供者针对同一隐私项的暴露约束，说明用户对此隐私项的暴露要求更加严格，此服务提供者不满足用户的隐私需求，需要替换此服务参与者；

其中，

表示用户隐私项所对应的隐私暴露约束；

表示服务提供者隐私项所对应的隐私暴露约束。

进一步的，所述步骤(3)中隐私策略的更新包括以下两种情况：

第一，当删除服务时，包括下述4种情况，如表1所示：

1)当服务组合流程图中被删除服务的入度为0时，即deg⁺(owⁱ)＝0，对应的操作表示为：

因此，有

其中deg⁺(owⁱ)表示此服务所对应节点的入度，Φ表示空操作；

2)当服务组合流程图中被删除服务的入度为1时，即deg⁺(owⁱ)＝1，对应的操作表示为：

因此，有

3)当服务组合流程图中被删除服务的入度大于等于2时，即deg⁺(owⁱ)≥2，对应的操作表示为：

因此，有

4)当服务组合流程图中被删除服务的出度为0并入度大于等于0时，即deg^-(owⁱ)＝0∧deg⁺(owⁱ)≥0，对应的操作表示为：

因此，有

其中deg^-(owⁱ)表示此服务所对应节点的出度；

表1服务演化(删除)的条件与操作

第二，当添加某个服务时，包括以下两种情况如表2所示：

1)当服务组合流程图中被添加服务的出度或者入度为1时，即(deg^-(v)＝1)∨(deg⁺(v)＝1)，对应的操作表示为：

因此，令

有

2)当服务组合流程图中被添加服务的出度或者入度大于等于2时，即(deg^-(v)≥2)∨(deg⁺(v)≥2)，对应的操作表示为：

因此，令

有

表2服务演化(添加)的条件与操作

有益效果：对隐私策略建模、协商和组合服务演化约束，经第一阶段对隐私策略进行建模，利用形式语义描述隐私策略以及第二阶段通过用户和服务参与者对隐私暴露集协商动态生成满足用户需求的隐私策略。从而根据组合服务的演化特征使得隐私策略也发生动态更新，以得到满足用户的隐私需求，达到保护用户隐私信息的目的

附图说明

图1是组合服务演化过程的示意图；

图2是组合服务模型的示意图；

图3是隐私暴露集协商的示意图；

图4是隐私策略动态更新框架的示意图；

图5是隐私策略动态更新实例分析过程的示意图。

具体实施方式

下面对本发明技术方案进行详细说明，但是本发明的保护范围不局限于所述实施例。

本发明的一种组合服务中的隐私策略动态更新方法，包括以下三个步骤：

步骤(1)、建模生成隐私策略，并利用形式语义描述隐私策略；

首先，定义隐私策略：用一个4元组来描述隐私策略，

其中，Issuer记录隐私项在隐私本体树中的父类和子类；OW为当前的服务参与者；

为隐私暴露集；PA为该隐私项的隐私暴露约束，且PA由两部分组成，一部分为官方或服务组合者对隐私参与者的信用约束，用T表示；另一部分是对隐私项的暴露约束，此处以当前服务参与者可以将此隐私项传递给谁，以及接收者对此隐私项占用的时间为例(实践时要以用户的隐私需求作为标准)，用

表示；

表示第i个服务参与者OW持有用户的隐私P_n。具体的描述为：

T∝Trust(offical∨serviceComp)。

例如：家电公司X想在EBay申请一个网络商品，出售一批家具Furniture，而EBay针对用户地址的隐私披露断言为：假如家电公司X为EBay的VIP用户。EBay要求只能把买家的地址披露给快递公司，并要求在交易成功并组织派送后3个小时内删除。EBay对VIP用户的约束为：声誉值必须大于800，或者拥有银行Bank的额度大于8000的信用卡用户。

由隐私策略的归约规则可知：

由T＝VIP_EBay；

VIP_EBay∝(credit_Bank>8000)∨(Reputation_EBay>800)

可得：T∝(credit_Bank>8000)∨(Reputation_EBay>800)

又有：

因此，隐私策略可表述为：

如图2所示，隐私策略的生成包括如下具体步骤：

(1.1)解析组合服务中各服务参与的服务描述文档，从接口的输入和前置条件中获取组合服务所需的隐私暴露集；解析用户的隐私需求，获取用户可暴露给组合服务的最小隐私暴露集；

(1.2)利用敏感隐私对检测算法对服务所需的隐私暴露集和用户可暴露给服务提供商的隐私集进行检测；

(1.3)根据隐私暴露集中隐私项所对应的隐私暴露约束，对用户和组合服务的隐私集中的隐私项所对应的隐私暴露约束进行匹配，得到满足用户和组合服务的隐私策略。

例如：假设SaaS服务是语义Web Services(SWS)，根据OWL-S和WSMO，对SaaS服务隐私模型定义如下：

定义SaaS服务模型(SaaS Meta-model)：SaaS服务元模型用4元组表示，即:SaaSService＝{ONT,PRO,PRI,CAP},其中ONT描述SaaS服务的本体概念；PRO描述了SaaS服务的基本信息，如服务名，服务提供者，服务的版本号等；PRI主要描述输入和前置条件；CAP描述了SaaS服务的能力，即功能描述，包括输出和结果。面向隐私的SaaS服务模型如图2所示。本发明重点关注PRI，PRI＝{IN,PRE}。PRO和CAP的细节被省略。

定义隐私暴露集

隐私暴露集表示为

其中subject为用户隐私项在本体树中的概念集{C_i(Subj₁,Subj₂...Subj_n)}；

为隐私敏感对约束，可以表示为

Subj_i和Subj_k为用户敏感隐私数据对；Tableau算法是描述逻辑中检测概念之间可满足性算法，由于描述逻辑中的推理问题可以规约为概念的可满足性问题。因此，众多的推理机都采用Tableau算法，如Pellet和Fact等。假设概念A的否定内置范式(negative normal form)为nnf(A)，每个概念的标注[path]表示了产生该概念的路径。Tableau算法的推理规则如下：

①展开规则：假设A是原子概念，并且A B，A^[path]∈A(x)，

则A(x)＝A(x)∪{nnf(B)^[path]:A}。

②

规则：假设C＝{C₁,C₂}，如果

{C₁,C₂}A(x)＝φ，则A(x)→A(x)∪C。

③

规则：假设C＝{C₁,C₂}，如果

则A(x)→A(x)∪{C}。

④

规则：假设C＝{C₁,C₂}，如果

x没有一个S的后继y，使得C∈A(y)，则新增一个结点y，赋值A(x,y)＝S,且A(y)＝{C}。

⑤

规则：假设C＝{C₁,C₂}，如果

x有一个S的后继y，且

则A(y)→A(y)∪{C}。

如图3所示，上述步骤(1.2)中隐私暴露集的生成包括以下两种情况：

1)如果用户隐私需求中的可暴露的元素多于组合服务所要求的隐私数据集中的元素，即此时满足用户的隐私需求，不需进行隐私项的交换，即：由于

导致execute(service)＝ture；

2)如果组合服务所要求的隐私数据集中的元素多于

中的元素，则不可执行，这种情况不满足用户的隐私需求，需要进行隐私项的交换协商，即，由于

导致execute(service)＝false；

为隐私暴露集。设

中的元素表示为

步骤(2)、通过用户和服务参与者对隐私暴露集协商动态生成满足用户需求的隐私策略；其具体过程为：

初始状态为：用户端根据用户的隐私需求，提取隐私敏感对约束

服务组合者根据组合服务的输入和前置条件

获取服务提供者所需的隐私数据集，

为空；

首先，用户向服务组合者发送服务请求，服务组合者收到用户的服务请求后，向用户依次出示运行服务所要暴露的隐私集

此时，用户端检测服务组合者所要求的隐私集是否满足用户的隐私需求；

然后，用户端将检测结果发回给服务端，如果检测内容为(A)，其结果为

服务端启用本体树搜索算法，找到此隐私项在本体树中的兄弟节点

将兄弟节点替换原有的节点，并重新进行检测，直到满足敏感对约束

假若始终不能满足

则用户发送消息要求服务组合者替换当前服务；

如果检测内容为(B)，假设结果为：execute(service)＝false，组合服务需要替换当前服务，并返回进行检测内容(A)；

其中，

表示隐私暴露集，

表示服务提供者的隐私暴露集，

中的元素可以表示为

上述过程中，用户端检测服务组合者所要求隐私集的具体检测内容如下：

(A)利用

对每个隐私项进行敏感对约束检测，假设服务组合者向用户端发送的隐私项为

则检测其是否满足隐私暴露集

即：

(B)检测此隐私暴露集包含输入和前置条件

那么，execute(service)＝ture；

(C)是否存在冗余的隐私项，即：

其中，具体预协商过程如图3所示。

算法1：隐私暴露集算法

1 Input:

2 Output:

3 Init Stack

4 Init Stack

5 Push(

{P₁,P₂,...P_i...P_n})；

6 While

do

7 pop(

P_i)；

8 If(Tableau

)＝true；

9 Push

10 Else

11 Push(

brother(P_i))；

12 End If

13 End while

14 If

15 Return

16 Else

17 evolution(composite service)；

18 End If

当用户与服务组合者对隐私项进行协商以后，得到了

并且

和

在语义上是等价的，即，

对于用户而言，此序列中的每个Subj都有其对应的隐私暴露约束PA，用

表示，其中

表示映射关系，隐私项所对应的暴露约束；对于服务提供者而言，此序列中的每个P都有其对应的隐私暴露约束PA，用

表示。

上述步骤(1.3)中隐私暴露约束的匹配包括以下三种情况：

第一，

等价于

即：

这种关系表示用户针对某一个隐私项的暴露约束与服务提供者针对同一隐私项的暴露约束等价，说明此服务提供者满足用户的隐私需求；

第二，

包含于

即：

这种关系表示用户针对某一个隐私项的暴露约束包含于服务提供者针对同一隐私项的暴露约束，说明服务提供者对此隐私项的暴露要求更加严格，此服务提供者满足用户的隐私需求；

第三，

包含于

即：

这种关系表示用户针对某一个隐私项的暴露约束包含服务提供者针对同一隐私项的暴露约束，说明用户对此隐私项的暴露要求更加严格，此服务提供者不满足用户的隐私需求，需要替换此服务参与者；

其中，

表示用户隐私项所对应的隐私暴露约束；

表示服务提供者隐私项所对应的隐私暴露约束。

与

之间的匹配关系算法，Match

算法2：Match(

true or false)

1 Input:

2 Output:true or false

3 Init Stack

4 Init Stack

5 Push

6 Push

7 While

do

8 Pop

9 Pop

10 Switch(Match

)do

11 Case

12 Break；

13 Case

14 Break；

15 Case

16 Involution(composite service)；

17 End Switch

18 End While

本发明假设初始状态时，组合服务中的每个服务参与者都满足用户的隐私需求，并通过交换协商得到了隐私策略PS。例如在组合服务在运行过程中发生演化时，为确保被替换后的服务满足用户的隐私需求，利用隐私策略协商的方法对原有的PS进行演化，使新加入的服务参与者满足用户的隐私需求。当组合服务发现演化时，定义相应的策略和规则：

当组合服务不满足用户的需求，对服务组合流程作3种操作，分别为删除、添加和替换，而替换的过程可以分解为删除和添加两种操作。

步骤(3)、根据组合服务的演化特征使隐私策略进行动态更新，如图4所示包括以下两种情况：

第一，当删除服务时，包括下述4种情况，如表1所示：

1)当服务组合流程图中被删除服务的入度为0时，即deg⁺(owⁱ)＝0，对应的操作表示为：

因此，有

其中deg⁺(owⁱ)表示此服务所对应节点的入度，Φ表示空操作；

2)当服务组合流程图中被删除服务的入度为1时，即deg⁺(owⁱ)＝1，对应的操作表示为：

因此，有

3)当服务组合流程图中被删除服务的入度大于等于2时，即deg⁺(owⁱ)≥2，对应的操作表示为：

因此，有

4)当服务组合流程图中被删除服务的出度为0并入度大于等于0时，即deg^-(owⁱ)＝0∧deg⁺(owⁱ)≥0，对应的操作表示为：

因此，有

其中deg^-(owⁱ)表示此服务所对应节点的出度；

表1服务演化(删除)的条件与操作

第二，当添加某个服务时，包括以下两种情况如表2所示：

1)当服务组合流程图中被添加服务的出度或者入度为1时，即(deg^-(v)＝1)∨(deg⁺(v)＝1)，对应的操作表示为：

因此，令

有

2)当服务组合流程图中被添加服务的出度或者入度大于等于2时，即(deg^-(v)≥2)∨(deg⁺(v)≥2)，对应的操作表示为：

因此，令

有

表2服务演化(添加)的条件与操作

实施例：

(1)隐私策略动态更新框架

本实施例中，隐私策略动态更新框架分为两层，如图4所示：

1)、协商层(Negotiating Layer)，协商层在执行过程中分为两个阶段，即，隐私敏感对的检测和隐私暴露约束的生成。

①将隐私暴露集(Privacy DisclosureCollection)与知识领域本体KDO(Knowledge Domain Ontology)间的映射，从而可以确定隐私项之间的语义关系并建立隐私本体。当进行隐私敏感对检测时，如果有隐私敏感对，可以通过隐私项之间的语义关系找到兄弟结点进行替换，从而确定满足用户隐私需求的隐私暴露集。

②在隐私敏感对检测阶段，协商引擎分别对用户的需求文档和服务提供者所提供的服务输入和前置条件进行分析，提取用户的隐私偏好和服务的输入和前置条件，对其进行敏感对检测，发现不能满足用户隐私需求的隐私项对，并调用映射层中的隐私项之间的语义关系，对其进行替换，找到满足用户隐私需求的隐私暴露集；

③在隐私暴露约束匹配阶段，将服务的隐私项所对应的隐私暴露约束与用户的隐私需求所对应的隐私暴露约束进行匹配，找到满足用户的隐私策略(Privacy DisclosureStrategy)。并将此隐私披露策略写入SLA(Services Level Agreement)中。

2)、演化监控层(Monitoring Layer)：在BPEL执行前，利用BPEL的分析引擎(BPELAnalysis Engine)对BPEL流程进行静态分析。具体的分析过程为：利用Xpath确定invoke标签的位置，然后插入探针T，

和Match

作为调用服务的前置条件。如果不满足前置条件，则终止此流程，进行流程演化，同时重新检测替换后的服务的T，并动态生成新的隐私策略。

(2)实例验证过程如图5所示：

Mike想通过云服务组合者C向Amazon的服务提供者家电公司X购买一批家电。其中家具公司X为Amazon的非VIP用户。而Mike对非VIP用户，如果暴露自己的真实的名字(RN)，则只能暴露自己的办工室电话号码(OP)，并且地址中不能带有社区信息。名字(RN)、不带社区信息的地址(AWC)和电话号码(OP)只能提供给快递公司或邮局；在交易完成后，C、Amazon和所有服务参与方必须在20分钟内自动清除所有用户隐私信息。

而对于Amazon的非VIP用户家具公司X，C只允许X将Mike的名字(RN)、不带社区信息的地址(AWC)和电话号码(OP)提供给快递公司或邮局；在交易完成后，Amazon保留用户的隐私信息和购物信息，为用户提供个性化服务，而其他服务参与方必须在15分钟内自动清除所有用户隐私信息。

而EBay不保留用户隐私信息和购物信息，并在15分钟内自动清除所有用户隐私信息。

在交易过程中，Amazon不能满足Mike的隐私需求，需要将Amazon替换为EBay，Mike要求在服务替换过程中，保证其隐私数据的安全。

组合服务由服务组合者C，在线购物平台A(Amazon)和E(EBay)，顾客(Mike)，售货商Seller(SE)，快递公司Shipper(SH)，银行Bank(B)5个协作单元，其中Mike的姓名(N)，家庭住址(AD)，邮编(PC)，电话(PH)，银行账号等是其个人隐私数据，用户名为UN，本文假设用户采用货到付款的方式。

第一步：隐私暴露集的生成

根据C得到所需用户的隐私项集{subj₁,subj₂,...subj_i,subj_n,}并赋值：

UN(BR)；RN(Mike)；Street(MOFAN STREET)；City(NANJING)；Province(JIANGSU)；Country(CHINA)；OP(+86-0258686866)∪Mobile(+86-123456789)；PC(210033)；

用户Mike的隐私需求可以得到敏感对约束

即：

其中非原子概念AD和AWC可以表示为：

利用Tableau()进行隐私敏感对检测检测：

1)、将非原子概念AWC展开，利用展开规则：假设A是原子概念，并且A B，A^[path]∈A(x)，

则A(x)＝A(x)∪{nnf(B)^[path]:A}。得到：

2)、继续利用展开规则将非原子概念Address展开，得到：

3)、利用Tableau算法的

规则：假设C＝{C₁,C₂}，如果

x没有一个S的后继y，使得C∈A(y)，则新增一个结点y，赋值A(x,y)＝S,且A(y)＝{C}，并将上式化简可得：

4)、利用Tableau算法的

规则：假设C＝{C₁,C₂}，如果

而

则A(x)→A(x)∪{C}。并将上式化简可得：

5)、利用Tableau算法的

规则：如果1)C₁

而且x没有被直接阻塞；

则

可得：

6)、对上式进行整理可得：

代入隐私属性值可得：

满足公式

故不存在隐私敏感对，则此隐私项集为用户的隐私暴露集，即：

第二步：隐私策略的生成

为了简化隐私暴露断言，对于非VIP用户，省略T部分，即

根据用户的隐私需求可以得到隐私暴露断言，设：r＝realName,

l＝OP，χ＝shoppingInfor则：

对于C有：

对于A有：

对于SE有：

对于SH有：

服务组合者的隐私策略可以表示为：

对于C有：

对于A有：

对于E有：

对于SE有：

对于SH有：

第三步：隐私策略的演化

根据匹配规则可以得到A的隐私策略不满足用户的隐私需求，即

而E满足用户的隐私需求的，需要对服务流程、服务参与者和隐私策略进行演化，将A(Amazon)替换为E(EBay)，从左图我们可以看出，由于服务A的入度为1，deg⁺(A)＝1，所以对应的删除操作可以表示为：

有，

同时，由于服务组合流程图中被添加服务E的出度和入度都为1，即deg^-(E)＝1∨deg⁺(E)＝1，由于隐私暴露集没变，则需对隐私策略进行匹配

结果为：

因此，演化后的隐私策略为：

对于C有：

对于E有：

对于SE有：

对于SH有：

通过上述实施例可以看出，本发明主要包括隐私策略建模、隐私策略的生成和隐私策略的更新，经第一阶段对隐私策略进行建模，利用形式语义描述隐私策略以及第二阶段通过用户和服务参与者对隐私暴露集协商动态生成满足用户需求的隐私策略。从而根据组合服务的演化特征使得隐私策略也发生动态更新，以得到满足用户的隐私需求，达到保护用户隐私信息的目的。

Claims (4)

1.一种组合服务中的隐私策略动态更新方法，其特征在于：包括以下步骤：

(1)建模生成隐私策略，并利用形式语义描述隐私策略；

定义隐私策略：用一个4元组来描述隐私策略，

其中，Issuer记录隐私项在隐私本体树中的父类和子类；OW为当前的服务参与者；

为隐私暴露集；PA为该隐私项的隐私暴露约束，且PA由两部分组成，一部分为官方或服务组合者对隐私参与者的信用约束，用T表示；另一部分是对隐私项的暴露约束；

(2)通过用户和服务参与者对隐私暴露集协商动态生成满足用户需求的隐私策略；

步骤(2)中，由用户端和服务组合者共同协商动态生成动态隐私策略，其具体过程为：

初始状态为：用户端根据用户的隐私需求，提取隐私敏感对约束

服务组合者根据组合服务的输入和前置条件θ，获取服务提供者所需的隐私数据集，

为空；

首先，用户向服务组合者发送服务请求，服务组合者收到用户的服务请求后，向用户依次出示运行服务所要暴露的隐私集θ，此时，用户端检测服务组合者所要求的隐私集是否满足用户的隐私需求；

然后，用户端将检测结果发回给服务端，如果检测内容为(A)，其结果为

服务端启用本体树搜索算法，找到此隐私项在本体树中的兄弟节点

将兄弟节点替换原有的节点，并重新进行检测，直到满足敏感对约束

假若始终不能满足

则用户发送消息要求服务组合者替换当前服务；

如果检测内容为(B)，假设结果为：execute(service)＝false，组合服务需要替换当前服务，并返回进行检测内容(A)；

其中，

表示隐私暴露集，θ表示服务提供者的隐私暴露集，θ中的元素表示为θ＝{Ρ₁,Ρ₂,...Ρ_i...Ρ_n}；

上述过程中，用户端检测服务组合者所要求隐私集的具体检测内容如下：

(A)利用

对每个隐私项进行敏感对约束检测，假设服务组合者向用户端发送的隐私项为

则检测其是否满足隐私暴露集

，即：

(B)检测此隐私暴露集包含输入和前置条件

那么，execute(service)＝ture；

(C)是否存在冗余的隐私项，即：

(3)根据组合服务的演化特征使隐私策略进行动态更新；

步骤(3)中隐私策略的更新包括以下两种情况：

第一，当删除服务时，包括下述4种情况：

1)当服务组合流程图中被删除服务的入度为0时，即deg⁺(owⁱ)＝0，对应的操作表示为：

因此，有

其中，deg⁺(owⁱ)表示此服务所对应节点的入度，Φ表示空操作；

2)当服务组合流程图中被删除服务的入度为1时，即deg⁺(owⁱ)＝1，对应的操作表示为：

因此，有

其中，

表示在服务组合流程图中，以接收者对隐私项占用的时间表示第i个服务参与者OW持有用户的隐私项Ρ_n；

3)当服务组合流程图中被删除服务的入度大于等于2时，即deg⁺(owⁱ)≥2，对应的操作表示为：

因此，有

4)当服务组合流程图中被删除服务的出度为0并入度大于等于0时，即deg^-(owⁱ)＝0Λdeg⁺(owⁱ)≥0，对应的操作表示为：

因此，有

其中，deg^-(owⁱ)表示此服务所对应节点的出度；

第二，当添加某个服务时，包括以下两种情况：

1)当服务组合流程图中被添加服务的出度或者入度为1时，即(deg^-(v)＝1)∨(deg⁺(v)＝1)，对应的操作表示为：

因此，令

有

其中，φ表示被添加服务对应的节点，对于用户而言，此序列中的每个Subj都有其对应的隐私暴露约束PA，用

表示，

表示映射关系，隐私项所对应的暴露约束；对于服务提供者而言，此序列中的每个Ρ都有其对应的隐私暴露约束PA，用

表示；

2)当服务组合流程图中被添加服务的出度或者入度大于等于2时，即(deg^-(v)≥2)∨(deg⁺(v)≥2)，对应的操作表示为：

因此，令

有

其中，

为在删除服务或者添加服务时入度和出度选择不同值时对应的操作。

2.根据权利要求1所述的组合服务中的隐私策略动态更新方法，其特征在于：所述步骤(1)中的隐私策略的生成，包括如下具体步骤：

(1.1)解析组合服务中各服务参与的服务描述文档，从接口的输入和前置条件中获取组合服务所需的隐私暴露集；解析用户的隐私需求，获取用户可暴露给组合服务的最小隐私暴露集；

(1.2)利用敏感隐私对检测算法对服务所需的隐私暴露集和用户可暴露给服务提供商的隐私集进行检测；

(1.3)根据隐私暴露集中隐私项所对应的隐私暴露约束，对用户和组合服务的隐私集中的隐私项所对应的隐私暴露约束进行匹配，得到满足用户和组合服务的隐私策略。

3.根据权利要求2所述的组合服务中的隐私策略动态更新方法，其特征在于：所述步骤(1.2)中隐私暴露集的生成包括以下两种情况：

1)如果用户隐私需求中的可暴露的元素多于组合服务所要求的隐私数据集中的元素，即此时满足用户的隐私需求，不需进行隐私项的交换，即：由于

导致execute(service)＝ture；

2)如果组合服务所要求的隐私数据集中的元素多于

中的元素，则不可执行，这种情况不满足用户的隐私需求，需要进行隐私项的交换协商，即，由于

导致execute(service)＝false；

为隐私暴露集，θ＝PRI_OW，则θ中的元素表示为θ＝{Ρ₁,Ρ₂,...Ρ_i...Ρ_n}。

4.根据权利要求2所述的组合服务中的隐私策略动态更新方法，其特征在于：所述步骤(1.3)中隐私暴露约束的匹配包括以下三种情况：

第一，

等价于

即：

这种关系表示用户针对某一个隐私项的暴露约束与服务提供者针对同一隐私项的暴露约束等价，说明此服务提供者满足用户的隐私需求；

第二，

包含于

即：

这种关系表示用户针对某一个隐私项的暴露约束包含于服务提供者针对同一隐私项的暴露约束，说明服务提供者对此隐私项的暴露要求更加严格，此服务提供者满足用户的隐私需求；

第三，

包含于

即：

这种关系表示用户针对某一个隐私项的暴露约束包含服务提供者针对同一隐私项的暴露约束，说明用户对此隐私项的暴露要求更加严格，此服务提供者不满足用户的隐私需求，需要替换此服务参与者；

其中，

表示用户隐私项所对应的隐私暴露约束；

表示服务提供者隐私项所对应的隐私暴露约束。

Images