社交網絡中的隱私保護研究綜述

姚瑞欣，李暉，曹進

（西安電子科技大學網絡與信息安全學院綜合業務網理論與關鍵技術國家重點實驗室，陜西 西安710071）

社交網絡中的隱私保護研究綜述

姚瑞欣，李暉，曹進

（西安電子科技大學網絡與信息安全學院綜合業務網理論與關鍵技術國家重點實驗室，陜西 西安710071）

隨著信息技術的發展，社交網絡逐漸成為人們溝通的主要方式，而敏感信息暴露在開放的社交網絡中所導致的多種隱私信息泄露問題也引起了人們的日益關注。首先，介紹了社交網絡及隱私的相關概念；其次，對當前社交網絡中的隱私保護所采用的主要方法：匿名技術和訪問控制技術進行了詳細的介紹、分析和討論；最后，對現有方法存在的問題和挑戰進行了分析，并給出了一些潛在的研究熱點，為未來研究工作指明方向。

社交網絡；隱私保護；匿名；訪問控制

本文對社交網絡中的隱私保護機制進行了研究，主要集中在匿名和訪問控制兩方面。前者是從分析人員的視角，后者是從社交網絡成員自身的視角研究的。匿名方面，研究者針對屬性暴露問題已取得了一些研究成果，但研究主要集中于預測屬性而非保護屬性，國外研究關注點主要放在對用戶隱私的評估和人性化訂制個人隱私策略上，而國內研究人員更關注信任算法、匿名、節點發現算法等［4～6］的研究。此外，OSN（online social network）用戶即使進行了訪問控制，攻擊者也會從其他途徑獲取用戶的信息［7］。

在OSN訪問控制模型的研究方面，傳統的基于Web的訪問控制模型已經不能適用于OSN這種復雜環境中的隱私保護需求。國內外多個研究小組均提出了不同的訪問控制模型，為OSN的快速發展提供兼顧隱私及效率的隱私保護策略，國內主要集中在信任值計算、路徑搜索等算法以及決策機制的研究上以實現商業應用及輿情監控的作用，目前，并沒有成形的，如傳統訪問控制、強制訪問控制（MAC，mandatory access control）、自主訪問控制（DAC，discretionary access control）的OSN訪問控制模型。

由于當前國內外均無 OSN匿名及訪問控制模型方面系統性的剖析和總結，因此，本文從核心思想、基本技術及研究成果等方面對匿名及訪問控制方法進行了研究，并對各自存在的問題和挑戰進行了分析并給出了一些未來的研究熱點。

2　社交網絡及隱私相關概念

2.1社交網絡及其安全問題

社交網絡作為Web 2.0時代新興的網絡現象并沒有一個被廣泛認可的定義。Schneider等［8］提出的OSN涵蓋了用戶和資源2個方面；Boyd［9］提出的SNS（social network site）強調用戶在OSN中的主導地位；Adamic［10］提出的 SNS（social networking service），著重強調社交網絡構建過程和服務性質，這3種定義從不同側面定義了社交網絡。

本文中討論的OSN更接近Schneider的定義，但范圍擴展為用戶、資源及活動，其功能主要包括［9］：網絡功能，即創建、更新公開或半公開的用戶信息及好友列表；數據功能，即維護個人信息及提供在線聊天、社區、視頻及音樂共享、評論等功能，也包含通過應用程序編程接口（API，application programming interface）開發應用插件等；訪問控制功能，即用戶自定義其隱私設置以保護個人隱私。

談及OSN中的安全問題，由于其平臺的開放性，用戶多且用戶數據量巨大，用戶填寫真實信息比例大，因此，有著不同于傳統Web的安全問題［1］。

1）傳統的攻擊方式：傳統攻擊在社交網絡這一平臺同樣可以實施，如XSS蠕蟲［11］，而且結合了Ajax等技術之后其破壞力更大。

2）網絡架構攻擊：例如，Sybil Attacks［12］、分布式拒絕服務攻擊，指由于社交網絡本身結構及模型帶來的安全問題。

3）垃圾信息：主要包含廣告信息［13］和釣魚網址［14］。

4）隱私泄露：一方面是社交網絡提供商及第三方應用濫用信息［15～17］；另一方面是信息鏈接［18］，如未授權第三方從不同途徑中整合數據以推斷一個用戶的身份或者行為。隱私泄露的實際危險在于用戶無法完全控制自身信息的傳播，需通過訪問控制實現用戶授權給他的朋友訪問自身數據，并對提供商及其他未授權實體隱藏數據［19，20］，也可以對數據進行加密以實現隱私保護。

2.2隱私及其保護

隱私的概念在很多領域（如哲學、心理學、社會學）已被研究多年，但一直缺乏明確地符合時代發展又經得起實踐檢驗的定義［21］。在某種意義上，隱私隨生活經驗而變化，依賴于特殊的情境［22］（如時間、地點、職業、文化、理由），因此，它是靈活的、動態的，很難得出一個通用的隱私概念。

隱私保護主要包含敏感知識的保護和敏感數據的保護［23］。個人的隱私屬性，如工資、家庭住址、工作、疾病史的保護屬于敏感知識保護；數據中的潛在關聯規則、序列模式等信息的保護屬于敏感數據保護。隱私保護技術的關注點：一是數據以何種形式發布可防止隱私泄露，依靠傳統的訪問控制技術和加密技術即可做到這點；二是保證發布的數據有足夠的可用性，這要求不能切斷隱私數據的訪問通道，也不需對數據進行加解密，而是破壞數據項與個體間的對應關系，或者降低這種對應的概率。

社交網絡中用戶的隱私保護研究主要集中于匿名和訪問控制2個方面［24］。匿名在第3節中介紹，訪問控制在第4節中介紹。

3　匿名方法的研究

近年來，研究者們針對關系數據庫中數據發布的匿名問題進行了深入的研究，隨著社交網絡的發展，其隱私保護問題成為了近年來的研究熱點，關系數據庫中的匿名模型及算法被嘗試用于社交網絡，本文首先介紹關系數據庫中的匿名方法的研究成果，隨后對社交網絡中的匿名方法研究進展進行介紹，最后給出數據經匿名后的可用性度量方法。

3.1關系數據庫中的隱私保護

研究關系數據庫中的匿名保護方法，首先需認識數據的匿名過程，包括：1）明確需保護的數據；2）對攻擊者具有的背景知識及其攻擊方式進行建模；3）處理數據；4）定義數據可用性。需要匿名保護的數據主要是指屬性信息，在關系數據庫中，屬性劃分為3類：標識符（ID，identifier）、準標識符（QI，quasi-identifier）、隱私屬性（SA，sensitive attributs）。標識符指姓名、身份證號等能夠準確標識個人身份的屬性；準標識符可以是一個屬性或是多個屬性的集合，指不能明確標識個體但可以與其他表進行鏈接以標識個體的屬性；隱私屬性指能使攻擊者將信息與個體相對應的信息。

對屬性信息匿名之后，攻擊者能否成功解匿名取決于攻擊者的背景知識強度及節點間的結構相似性［25］，針對攻擊者背景知識，Zhou等［26］列舉了節點屬性、節點的度、目標個體的鄰居結構、目標個體間的鏈接關系等背景知識；Liu等［27］以目標節點的度作為背景知識來竊取個體隱私；Backstrom 等［28］以目標個體的結構信息作為背景知識；Wondracek等［29］依據OSN中的群成員信息來定位目標個體；Cordella等［30］對以圖結構為背景知識的目標個體進行精確子圖匹配或同構判定；Zheleva和Liu等［31，32］在其研究中將各種類型的背景知識模型化；前面的攻擊者均采用的是被動攻擊，即攻擊者利用網絡子圖的結構特殊性來將個體或個體間關系對應到節點或邊，也可采用主動攻擊，即攻擊者創建新的用戶以攻擊對象，如Zou等［33］采用嵌入的子圖作為攻擊者的背景知識。

在完成了匿名的前兩步：明確需保護的數據，明確攻擊者背景知識及對背景知識建模之后，接下來對數據進行匿名處理，在本節中，本文首先給出了關系數據庫中的匿名方法，其次根據不同的攻擊模型對匿名方法進行分類說明，最后對匿名度量方法進行了介紹。

3.1.1匿名方法

關系數據庫中的匿名方法主要包括以下5類。

1）泛化：包括全局泛化和局部泛化，是將某一屬性值用更概括的屬性值來替代。全局泛化［34，35］指所有的屬性根據泛化樹泛化到一個層次；局部泛化指采用不同局部泛化算法實現匿名化。Xiao等［36］提出了一種個性化匿名方法，指允許用戶定義自身隱私屬性的泛化層次，很好地滿足了特殊需求。聚類是一種特殊的泛化，它將表中的n條記錄劃分至m個不同聚類，每個聚類中的點數不少于k個。Brand［37］和Fuller［38］都利用聚類實現了k-anonymity。

2）抑制：指用特殊符號代替現有屬性以使現有屬性值更為模糊的匿名方法，如將手機號碼寫作159****9468以實現匿名。Meyerson等［39］證明，采用泛化和抑制方法實現k-anonymity的最優解是一個NP（non-deterministic polynomial）難問題，大多研究均在尋找近似解。

3）Anatomization：Anatomization［40］不改變QI屬性值和隱私屬性值，而是將兩者分開至2個獨立的表中，這樣，雖然數據不發生改變，但原有數據挖掘方法將不再適用，而且Anatomization發布連續數據的效果不佳。

4）數據擾動：數據擾動是通過添加噪音［38，41］、數據置換［42，43］、人工數據合成等方法對原始數據進行一定的修改，但保留原始數據的統計信息［44，45］。添加噪音用于數值型隱私數據，是用s+r代替原始數據s，其中，r是符合某一分布的隨機值；數據置換是指交換記錄的隱私屬性值；人工數據合成依據現有數據構建一個統計模型，并從模型中抽取樣點來構成合成數據以代替原始數據。

5）貪心方法：在關系數據庫匿名中使用廣泛，Zhou等［46］提出了實現k-neighborhood匿名的貪心算法，并詳述了算法的步驟；Cormode等［47］針對無向無權重的單邊二分圖，依據k-anonymity和貪心算法提出（k，s）-分組匿名，該匿名方法可有效抵抗靜態攻擊及鏈接攻擊。

3.1.2攻擊類型與匿名實現模型

不同的攻擊就會對應有不同的匿名模型，現有的攻擊類型如下。

記錄鏈接攻擊：一個準標識符值所對應的表中若干記錄構成一個等價組，若一個體具有某準標識符取值，通過鏈接對應到某條記錄，就能推算出該個體具有某屬性的概率。Sweeney等［48］提出k-anonymity模型：若某一記錄具有某一QI值，應至少還有k-1條記錄具有此QI值，使鏈接攻擊的可能性為Wang等［49］提出模型，X、Y為2個不相交屬性集，X中每一值至少對應Y中k個不同值，k-anonymity是其特例。

屬性鏈接攻擊：當一等價組內屬性過于單一，攻擊者便可根據記錄所處等價組來推測其隱私屬性。Machanavajjhala等［50］提出l-diversity模型，要求每一QI-group至少包含l個不同的敏感屬性，利用多樣性避免此類攻擊。Wong等［51］提出了（a，k）-anonymity模型，要求每個QI屬性至少要與k條記錄相對應，從QI屬性判斷隱私屬性時置信度不大于a。Li等［52］提出t-closeness模型，指等價類中敏感特性的分布以及整個表中特性的分布距離不超過閾值t。

表鏈接攻擊：表鏈接攻擊指攻擊者推測出記錄是否在表中的攻擊，Nergiz等［53］針對此類問題提出了δ-presence模型。

3.1.3匿名度量與評價

度量信息損耗以驗證信息可用性，是算法執行過程中決策的重要依據，下面列舉6種可用的信息損耗度量方法：基于泛化樹的度量［54］、基于信息熵的度量［55］、LM（loss metric）［56］、CM（classification metric）［56］、DM（discernibility metric）［57］以及AM（ambiguity metric）［58］。

3.2社交網絡中的隱私保護

社交網絡數據的隱私保護匿名步驟與關系數據庫相同，不同之處在于隱私數據：社交網絡節點中的屬性信息的保護與關系數據庫中的數據保護相同，但社交網絡中節點間具有一定關系，這些關系信息屬于結構信息，社交網絡中的隱私保護研究主要是針對結構信息的保護。結構上的隱私泄露主要分3類：個體身份泄露（identity disclosure）、連接泄露（link disclosure）、內容泄露（content disclosure）。個體身份泄露指某節點被關聯到某特定個體；連接泄露指節點間的邊的隱私信息被攻擊者攻擊；內容泄露指與節點相關的敏感信息，如郵件信息被破壞。在本節中，將依據此分類對社交網絡保護模型進行討論。

3.2.1匿名方法

相比于關系數據庫中常用的匿名方法：泛化及數據擾動等，社交網絡中常用的匿名方法有聚類及圖修改法等。聚類包括邊聚類和節點聚類［31，59］：邊聚類通過完全刪除隱私邊、隨機去掉部分邊或將節點劃分至不同聚類［23］并保留聚類間的邊和類型來實現；節點聚類是將節點合理劃分為組（通過最大相似度來度量合理性），每組不少于k個節點，數據發布時，僅公布組內節點個數及邊密度以保護隱私。

圖修改法包括最優圖構建法、隨機化修改方法、貪心方法。其中，最優圖構建法［60，61］是假設攻擊者已知目標節點的度，將圖構建問題轉化為構建已知度數序列的圖問題；隨機化修改方法［59，62］是保持節點不變，通過隨機刪除m條邊，再隨機增加m條邊，使攻擊者獲得的結果中含有噪聲，實現隱私的保護。

3.2.2信息泄露類型與匿名實現模型

1）個體身份泄露

個體身份泄露指個體的屬性信息、結構位置信息、標簽信息等被攻擊者獲得而被識別，針對該類隱私數據的匿名模型包括：Hay等［59］研究了識別匿名網絡中已知個體的方法，提出了k-candidate匿名，通過隨機增加、刪除邊來應對此類攻擊，實現圖結構查詢返回的候選節點數目至少是k個；Liu等［27］假設攻擊者知道某些節點的度的信息，通過最少加邊來實現k-degree匿名，使圖中相同度數的節點至少有 k個；Zhou等［46］考慮攻擊者知道由目標節點的直接鄰域構成的子圖，若結構單一便可識別出目標節點，提出k-neighborhood匿名，通過泛化節點標簽和加邊來保證任一節點和其鄰居節點構成的子圖至少與其他k-1個子圖同構；Zou等［33］假設攻擊者的背景知識為一名用戶周圍的所有子圖，提出k-automorphism匿名，使圖中任一子圖都與至少k-1個子圖同構，并提出k-match算法以抵抗任何以圖結構為背景知識的攻擊。

2）連接泄露

連接即連接節點之間的邊，邊分為隱私的和公開的，需要對隱私邊進行保護。

針對無權圖的連接泄露保護研究如下。Zheleva等［31］針對從匿名的網絡中推測出隱私關系的連接泄露提出了3種算法：去掉所有隱私邊、隨機化去除部分隱私邊、聚類。Ying等［62］研究了2種隨機化技術：① 隨機添加n條邊后隨機刪除n條邊，并提出一種光譜保護隨機化方法來引導在社交圖譜中選擇增加或刪除的邊；② 隨機交換邊。這2種隨機化技術，前者保證邊總量不變，后者保證節點度數不變，并擴展了2種方法，提出了保留特征值譜的算法。Cheng等［63］提出k-isomorphism匿名，使G包含k個兩兩同構的非連通子圖。Liu等［27］針對圖形的匿名化問題進行研究，提出一種簡單高效的算法，以最少的邊修改操作實現 k-Degree匿名。Yang等［64］針對k-automorphism匿名忽略了邊泄露而k-isomorphism匿名降低了信息可用性的問題，提出 AK-secure隱私保護模型，并提出了適用于該模型的圖匿名算法以降低信息損耗。

對有權圖的連接泄露保護包括：①Liu等［65］研究的2種算法，高斯隨機算法及貪心擾動算法，用以保護節點對間的最短路徑長度，并最大限度保留一些邊的權值，從而保證數據的可用性；②Das等［66］提出以線性規劃為基礎，適當改變原始圖中邊的權值并保護網絡中的線性屬性，如最短路徑、最短生成樹；③Liu等［67］基于k-anonymity隱私保護模型，提出k-anonymity算法以減少加邊和權值改變。

3）內容泄露

內容泄露是指個人隱私在網絡中透露給了他人，采用傳統的數據屏蔽技術或由用戶有選擇地開啟和禁用服務即可解決此類問題。

3.2.3匿名度量與評價

為了保證所發布的數據的可用性，某些社交圖譜的特性要求在匿名之后有所保留。Zheleva［31］在其研究中量化了施加匿名操作后，對所發布的數據帶來的影響；Ying等［62］分析了隨機化對網絡中各種特性的影響，并對邊匿名所能達到的程度進行了理論分析；Zou等［33］使用匿名前后圖修改的邊數來量化信息損失，修改的邊數越少，信息損失越少。

4　訪問控制方法的研究

4.1訪問控制模型及分類

訪問控制系統一般包括：主體、客體和訪問控制策略，依次指資源請求發起者、被訪問的資源、對訪問權限具體定義的語句。

社交網絡訪問控制模型可依據其8個特征［68］進行分類，這 8個特征依次為：請求者身份，即模型設定的用戶身份證明方式；資源與好友關系決策權，即資源與關系的映射或分配證書的決定權；訪問控制權，即用戶是否有權決定訪問控制規則；資源控制權，即用戶對各類資源的訪問控制權限；好友關系管理，即用戶對好友關系的分類細度；憑證分布，憑證即用戶使用的訪問控制規則，憑證分布即憑證的存放地點，最好的方式是由客戶存儲；轉授權憑證，最好的方式是由用戶控制其傳遞；透明度，即用戶對目前訪問控制狀態的信息掌握情況。綜合這 8個特征即可對各訪問控制模型的優缺點進行判斷。

4.2傳統的訪問控制模型

傳統訪問控制模型最初是為了解決大型主機上的數據授權訪問問題，主要分為2類［69，70］：DAC 和MAC。隨著系統規模的擴大，MAC、DAC逐漸不能滿足實際需求，面向對象的基于角色的訪問控制［71］（RBAC，role-based access control）應運而生。RBAC將訪問許可權分配給一定的角色，用戶飾演不同的角色來獲得角色所擁有的訪問許可權。DAC、MAC和RBAC均為基于主客體觀點的被動訪問控制模型，其授權是靜態的；基于屬性的訪問控制［72］（ABAC，attribute-based access control）由于其可實現對主體、客體以及訪問控制策略的細粒度刻畫而廣受關注，其核心思想是將主體、客體、權限以及訪問請求所處的上下文環境通過屬性及屬性值對來描述［73］，這樣即可實現屬性值的運算，使策略描述更加精確。

4.3面向社交網絡隱私保護的訪問控制模型

1）基于信任的訪問控制模型

在OSN訪問控制模型研究初期，根據資源擁有者和請求者間的關系類型及信任級別，研究出基于信任的訪問控制模型，主要包括：Kruk等［74］提出一種訪問權委派模型 D_FOAF（distributedfriend of a friend），考慮了U2U（user-to-user）這一關系類型，未考慮 U2R（user-to-resource）和R2R（resource-to-resource）關系，不適用于功能愈加復雜的 OSN；Carminati等［75］提出的基于規則的訪問控制模型，依據現有關系的類型、深度及信任水平來授予關系真實性證書，在關系信任值計算中一次僅支持一種關系類型，在文獻［76］中，Carminati提出半分布式架構的訪問控制機制，由客戶端進行訪問控制，在文獻［77］中，Carminati提出了分布式安全框架，由用戶依據關系類型、深度和信任值來控制資源的訪問及好友關系，同時采用密碼技術來控制資源分享。

但依據信任來進行訪問控制，訪問控制管理不夠靈活、擴展性能不佳，且在信任語義的定義、兼顧效率及隱私的信任值計算和監控方案上仍有較大問題［78］。

2）基于語義網技術的訪問控制模型

語義網［79］由萬維網之父蒂姆·伯納斯·李提出的概念，是WWW（world wide Web）的延伸，指將計算機所能理解的語義信息添加入萬維網的文檔中，使萬維網成為通用信息交換平臺。Carminati等［80，81］提出采用基于語義網技術的網頁本體語言（OWL，Web ontology language）和語義網規則語言（SWRL，semantic Web rule language）來刻畫用戶間的信任關系，并依此進行授權、管理，提出OSN可擴展的細粒度訪問控制模型，并在文獻［81］中，以實驗性的社交網絡測試所提出的訪問控制方案。

Masoumzadeh［82］使用社交網絡系統本體（SNO，social network system ontology）來描述信息以表達復雜的用戶、數據、用戶—數據間關系，提出了訪問控制本體（ACO，access control ontology）概念以及更為細粒度的訪問控制模型OSNAC，并證明了此模型的適用性，但仍需考慮本體和規則推導的效率以及復雜性問題。

3）基于關系的訪問控制模型

在OSN的實際應用中，人們期望它能夠提供更真實的個人信息，且交友模式建立在現實生活中的社交圈，便產生了基于關系的訪問控制機制。Fong等［83］對Facebook的訪問控制機制做了形式化描述，構建出基于實際OSN的隱私保護模型，之后，Fong等又引入了模態邏輯語言，對模態邏輯語言擴展后將其應用于訪問控制模型構建，形成了語言表達能力更強的基于關系的 OSN訪問控制模型 ReBAC［84］（relationship-based access control）。之后，Bruns［85］使用混合邏輯（hybrid logic）語言對ReBAC進行了改進，使ReBAC表達能力更強，效率更高。

Fong等在訪問控制模型設計中引入了策略語言，使策略語言成為又一研究熱點。Park等［86］從用戶活動的角度，將OSN的功能和控制活動相區分，將核心控制活動分為 4類：屬性、策略、關系、會話，構造出一種適用于OSN的訪問控制框架，隨后以正則表達式為策略語言，提出基于U2U關系的訪問控制模型 UURAC（user-to-user relationship-based access control），之后對其完善，使其支持U2R及R2R［87］，隨后，Park等依據社交圖譜中的關系路徑類型及跳數來制定授權策略，使策略語言更具靈活性，并提供簡單的策略沖突消解機制［88］；Pang等［89］提出一種基于雙線性對密碼體系的密碼協議，以在分布式社交網絡中實現基于關系的訪問控制，并在實際社交網絡數據庫中進行模擬，對其效率進行了評估。

4）基于屬性加密的訪問控制模型

Shuai［90］提出基于屬性加密的訪問控制機制Masque，以實現加密數據的互動分享及靈活的訪問控制，其中，半可信的OSN提供商不觸及用戶的敏感數據且由用戶制定個人的訪問控制策略，但其撤銷及重定義以及當用戶量增大時如何保證加解密效率有待更深入的研究。

Baden［91］提出Persona方案，將屬性加密和傳統公鑰加密結合得出可由用戶自主決定訪問策略的無中心系統，由于個人數據加密存儲，不要求中間媒介可信任。

5　結束語

目前，社交網絡中的隱私保護仍然面臨著諸多問題和挑戰，需要進一步展開研究。

1）大規模社交網絡。當前的多種隱私保護技術都僅限于小規模社交網絡，當規模逐漸龐大時，原有技術會因為算法復雜度過高而被淘汰，目前，僅有少數針對大規模社交網站的研究，例如，Narayanan等［92］提出一種基于網絡拓撲的大規模社交網絡的解匿名技術，利用目標網絡與輔助網絡的結構相似性來實現，但這些研究并不成熟，需要更深入的探索。

2）動態社交網絡。目前，大多技術主要針對單次發布的數據，但對于動態復雜的OSN，這些技術并不能提供足夠的保護，這使OSN中動態數據發布隱私保護技術的研究成為一個重要課題［93］，例如，Zou等［33］提出 k-match算法使圖形滿足k-automorphism匿名以抵抗任何以圖為背景知識的攻擊，并擴展了k-match 算法以處理動態網絡匿名發布中的問題；谷勇浩等［94］分析了k-匿名算法，并基于此，提出基于聚類的動態圖發布隱私保護方法；Cheng等［63］通過泛化ID來處理動態網絡多重發布問題，但文中未能給出增刪節點的解決方案；Chen［95］將差分隱私保護方法應用于OSN隱私保護中，但節點間的高度相關性使算法復雜度隨數據規模增長較快；Malik等［96］提出了一種基于語義網技術的訪問控制機制，通過這種語義標識機制來自動檢測敏感信息，實現OSN文本信息的動態隱私保護。從這些研究來看，目前的解決方案存在著對社交圖譜動態變化適應性不強、算法效率低、未考慮或僅考慮單一的背景知識攻擊等缺陷，需要進一步研究。

3）策略語言。策略語言制定訪問控制策略需遵循的格式及標準，目前的訪問控制策略語言有正則表達式、四值邏輯［97］、簡單策略語言（SPL，simple policy language）、可擴展的訪問控制標記語言［98］（XACML，eXtensible access control markup language）、語義網技術等，但目前已有的策略語言或表達能力欠缺，或規則推導效率低，或策略沖突檢測及消解能力不足，因此，需設計出更好的策略語言，也可利用策略合成或策略整合代數融合多種邏輯語言形成自成體系的策略語言。這方面的研究取得了一定的成果：Burns［99，100］提出基于四值邏輯的策略語言PBel；Li等［101］基于自動化理論及線性約束，提出一種策略合成語言（PCL，policy combining language），可精確表達及評估多種策略合成算法（PCA，policy combining algorithm），且實現了與XACML的集成；Ni等［102］提出了一種策略整合代數D-algebra來分析策略語言決策機制，是很好的策略語言設計及實現工具。

4）多方訪問控制。在OSN中，一些共享信息涉及到多名用戶，對信息相關者做擁有者、貢獻者、相關者以及傳播者的身份劃分，其中，擁有者指該信息存放地點為該用戶的空間內；貢獻者指該用戶在他人空間中發布某類信息；相關者指被數據擁有者用@等方式與信息相關聯的用戶；傳播者指該用戶分享了此類信息并且將其存在于本身的空間中。

但多數訪問控制模型僅支持資源擁有者指定訪問策略，未考慮到貢獻者、相關者和傳播者，這就可能引起共享沖突情況的發生，Hu等［103］構造出一種簡單易用的可實現多用戶共享數據的訪問控制模型，并為OSN設計了聯合授權策略以及沖突解決機制；Squicciarini等［104］針對共享內容，提出所有權由內容創建者分配給多個用戶的所有權共享方式，但這種處理方法易導致管理混亂；Bennett等［105］采用基于關系的訪問控制機制，提出Alloy Analyzer以檢測共享沖突及潛在的錯誤設置。可以看出，現有的多方訪問控制解決方案缺少靈活性及細粒度性，且存在缺少表達力強的授權語言以描述復雜的多方授權問題，有待進一步研究。

［1］劉建偉，李為宇，孫鈺. 社交網絡安全問題及其解決方案［J］. 中國科學技術大學學報，2011，41（7）：565-575. LIU J W，LI W Y，SUN Y. Security issues and solutions on social networks［J］. Journal of University of Science & Technology of China，2011，41（7）：565-575.

［2］Twitter ［EB/OL］.https：//zh.wikipedia.org/wiki/Twitter.

［3］BILTON N. Twitter implements do not track privacy option［N］.The New York Times，2012-05-26.

［4］BAO J，CHENG J. Group trust algorithm based on social network［J］. Computer Science，2012，39（2）：38-41.

［5］WEI W，LI Y，ZHANG W. Study on GSNPP algorithm based privacy-preserving approach in social networks［J］. Computer Science，2012，39（3）： 104-106.

［6］WANG X G. Discovering critical nodes in social networks based on cooperative games［J］. Computer Science，2013，40（4）： 155-161.

［7］AJAMI R，RAMADAN N，MOHAMED N，et al. Security challenges and approaches in online social networks： a survey［J］. International Journal of Computer Science & Network Security，2011，11（20）.

［8］SCHNEIDER F，FELDMANN A，KRISHNAMURTHY B，et al. Understanding online social network usage from a network perspective［C］//IMC. c2009：35-48.

［9］BOYD D M，ELLISON N B. Social network sites： definition，history，and scholarship［J］. Journal of Computer-mediated Communication，2010，38（3）：16-31.

［10］ADAMIC L，ADAR E. How to search a social network［J］. Social Networks，2005，27（3）：187-203.

［11］NGUYEN N P，XUAN Y，THAI M T. A novel method for worm containment on dynamic social networks［C］//Military Communications Conference. c2010： 2180-2185.

［12］WEI W，XU F，TAN C C，et al. Sybil defender： defend against sybil attacks in large social networks［C］//IEEE Infocom. c2012： 1951-1959.

［13］WEIPPL E，GOLUCH S，KITZLER G，et al. Friend-in-the-middle attacks： exploiting social networking sites for spam［J］. Internet Computing IEEE，2011，15（3）：28-34.

［14］AHN G J，SHEHAB M，SQUICCIARINI A. Security and privacy in social networks［J］. Internet Computing，2011，15（3）： 10-12.

［15］DEY R，TANG C，ROSS K，et al. Estimating age privacy leakage in online social networks［J］. IEEE Infocom，2012，131（5）：2836-2840. ［16］YANG C C. Preserving privacy in social network integration with τ-tolerance［C］//2011 IEEE International Conference on Intelligence and Security Informatics（ISI）. c2011：198-200.

［17］IRANI D，WEBB S，PU C，et al. Modeling unintended personal-information leakage from multiple online social networks［J］. IEEE Internet Computing，2011，15（3）：13-19.

［18］KRISHNAMURTHY B，WILLS C E. Characterizing privacy in online social networks［C］//The first workshop on online social networks. c2008：37-42.

［19］LUO W，XIE Q，HENGARTNER U. FaceCloak： an architecture for user privacy on social networking sites［C］//International Conference on Computational Science & Engineering. c2009：26-33.

［20］BEYE M，JECKMANS A J P，ERKIN Z，et al. Privacy in online social networks［J］. International Journal of Computer Applications，2012，41（13）：5-8.

［21］SMITH H J，DINEV T，XU H. Information privacy research： an interdisciplinary review［J］. MIS Quarterly，2011，35（4）：989-1016.

［22］BANSAL G，ZAHEDI F，GEFEN D. The moderating influence of privacy concern on the efficacy of privacy assurance mechanisms for building trust： a multiple-context investigation［C］//The International Conference on Information Systems（ ICIS）. Paris，c2008.

［23］宋文略. 社交網絡數據的隱私保護研究［D］.南京：南京大學，2011. SONG W L. Social network data privacy protection research［D］. Nanjing： Nanjing University，2001.

［24］HUANG Q，ZHU J，SONG B，et al. Game model of user's privacy-preserving in social networds［J］.Computer Science，2014，41（10）：184-190.

［25］MARTIN D J，KIFER D，MACHANAVAJJHALA A，et al. Worst-case background knowledge for privacy-preserving data publishing［C］//IEEE 23rd international Conference on Data Engineering（ICDE）.c2007：126-135.

［26］ZHOU B，PEI J，LUK W S. A brief survey on anonymization techniques for privacy preserving publishing of social network data［J］. ACM Sigkdd Explorations Newsletter，2008，10（2）：12-22.

［27］LIU K，TERZI E. Towards identity anonymization on graphs［C］//ACM Sigmod.c2008：93-106.

［28］BACKSTROM L，DWORK C，KLEINBERG J. Wherefore art thou R3579X？： anonymized social networks，hidden patterns，and structural steganography［C］//The 16th International Conference on World Wide Web. c2007： 181-190.

［29］WONDRACEK G，HOLZ T，KIRDA E，et al. A practical attack to de-anonymize social network users［C］//2010 IEEE Symposium on Security and Privacy（SP）. c2010：223-238.

［30］CORDELLA L P，FOGGIA P，SANSONE C，et al. A（sub）graph isomorphism algorithm for matching large graphs［J］. IEEE Transactions on Pattern Analysis & Machine Intelligence，2004，26（10）：1367-1372.

［31］ZHELEVA E，GETOOR L. Preserving the privacy of sensitive relationships in graph data［C］//Pinkdd. c2007：153-171.

［32］LIU K，DAS K，GRANDISON T，et al. Privacy-preserving data analysis on graphs and social networks［J］. 2008.

［33］ZOU L，CHEN L，ZSU M T. K-automorphism： a general framework for privacy preserving network publication［J］.The VLDB Endowment，2009，2（1）：946-957.

［34］SAMARATI P，SWEENEY L. Generalizing data to provide anonymity when disclosing information（abstract）［C］//The 17th ACM Sigact-Sigmod-Sigart Symposium on Principles of Database Dystems. c1998：188.

［35］SAMARATI P. Protecting respondents' identities in microdata release［J］. IEEE Transactions on Knowledge & Data Engineering，2001，13（6）：1010-1027.

［36］TAO Y，XIAO X. Personalized privacy preservation［C］//The 2006 ACM SIGMOD International Conference on Management of Data. c2010：229-240.

［37］BRAND R. Microdata protection through noise addition［C］// Inference Control in Statistical Databases From Theory to Practice. c2002：97-116.

［38］FULLER W A. Masking procedures for microdata disclosure limitation［J］. Journal of Official Statistics，1993.

［39］MEYERSON A，WILLIAMS R. On the complexity of optimal k-anonymity［C］//The 23rd ACM Sigmod-Sigcat-Sigart Symposium. c2010：223-228.

［40］XIAO X，TAO Y. Anatomy： simple and effective privacy preservation［C］//International Conference on Very Large Data Bases. c2006：139-150.

［41］KIM J J，WINKLER W E，CENSUS B O T. Masking microdata files［C］//The Survey Research Methods. c1997：114-119.

［42］REISS S P，POST M J，DALENIUS T. Non-reversible privacy transformations.［C］//The ACM Symposium on Principles of Database Systems. California，c1982：139-146.

［43］DALENIUS T，REISS S P. Data-swapping： a technique for disclosure control ［J］. Journal of Statistical Planning & Inference，1982，6（1）：73-85.

［44］DU W，ZHAN Z. Abstract： using randomized response techniques for privacy-preserving data mining ［C］//The Ninth ACM Sigkdd International Conference on Knowledge Discovery and Data Mining，Washington DC. c2003：505-510.

［45］EVFIMIEVSKI A，SRIKANT R，AGRAWAL R，et al. Privacy preserving mining of association rules［J］. Information Systems，2004，29（4）： 343-364.

［46］ZHOU B，PEI J. Preserving privacy in social networks against neighborhood attacks［C］//IEEE International Conference on Data Engineering. c2008：506-515.

［47］CORMODE G，SRIVASTAVA D，YU T，et al. Anonymizing bipartite graph data using safe groupings［J］. VLDB Journal，2010，19（1）：115-139.

［48］SWEENEY L. K-anonymity： a model for protecting privacy［J］. International Journal of Uncertainty，Fuzziness and Knowledge-Based Systems，2008，10（5）：557-570.

［49］WANG K，FUNG B C M. Anonymizing sequential releases［C］//IEEE Computer Science.c2006：414-423.

［50］MACHANAVAJJHALA A，KIFER D，GEHRKE J. L-diversity： privacy beyond k -anonymity［J］. ACM Transactions on Knowledge Discovery from Data（TKDD），2007，1（1）：24.

［51］WONG C W，LI J，FU W C，et al. α，k）-anonymity： an enhanced k-anonymity model for privacy preserving data publishing［C］//ACM Sigkdd. c2006：754-759.

［52］LI N，LI T，VENKATASUBRAMANIAN S. T-Closeness： privacy beyond k-anonymity and l-diversity［C］//IEEE 23rd International Conference on Data Engineering（ICDE）.c2007：106-115.

［53］NERGIZ M E，ATZORI M，CLIFTON C. Hiding the presence of individuals from shared databases［C］//The ACM Sigmod International Conference on Management of Data. c2007：665-676.

［54］AGRAWAL R，SRIKANT R. Privacy preserving data mining［M］//Foundations and Advances in Data Mining. Berlin Heidelberg：Springer，2000：439-450.

［55］GIONIS A，MAZZA A，TASSA T. K-anonymization revisited［C］//IEEE 24th International Conference on Data Engineering（ICDE）.c2008：744-753.

［56］IYENGAR V S. Transforming data to satisfy privacy constraints［C］//The eighth ACM Sigkdd International Conference On Knowledge Discovery And Data Mining. c2002： 279-288.

［57］BAYARDO R J，AGRAWAL R. Data privacy through optimal k-anonymization［C］//The 21st International Conference on Data Engineering（ICDE）.c2005： 217-228.

［58］NERGIZ M E，CLIFTON C. Thoughts on k-anonymization［J］.Data & Knowledge Engineering，2007，63（3）：622-645.

［59］HAY M，MIKLAU G，JENSEN D，et al. Resisting structural re-identification in anonymized social networks［J］. The Vldb Endowment，2008，1（1）：797-823.

［60］DIESTEL R. Graph theory［J］. Oberwolfach Reports，2000，311（1）：67-128.

［61］GROSS J L，YELLEN J. Graph theory and its applications，second edition（discrete mathematics and its applications）［M］. Chapman & Hall/CRC，2005.

［62］YING X，WU X. Randomizing social networks： a spectrum preserving approach［C］//The SIAM International Conference on Data Mining. Georgia，c2008：739-750.

［63］CHENG J，FU W C，LIU J. K-isomorphism： privacy preserving network publication against structural attacks［C］//International Conference on Management of Data. 2010：459-470.

［64］YANG J，WANG B，YANG X，et al. A secure k-automorphism privacy preserving approach with high data utility in social networks［J］. Security & Communication Networks，2014，7（9）： 1399-1411.

［65］LIU L，WANG J，LIU J，et al. Privacy preserving in social networks against sensitive edge disclosure［R］. Technical Report Technical Report CMIDA-HiPSCCS 006-08，2008.

［66］DAS S，?MER E，ABBADI A E. Anónimos： an LP-based approach for anonymizing weighted social network graphs［J］. IEEE Transac-tions on Knowledge & Data Engineering，2010，24（4）：590 -604.

［67］LIU C G，LIU I H，YAO W S，et al. K-anonymity against neighborhood attacks in weighted social networks［J］. Security & Communication Networks，2015，8（18）：3864-3882.

［68］韓鈺佳. 社交網絡訪問控制安全研究［D］. 西安：西安電子科技大學，2013. HAN Y J. Social network access control security research ［D］. Xi'an： Xidian university，2013.

［69］SNYDER L. Formal models of capability-based protection systems［J］. IEEE Transactions on Computers，1981，30（3）：172-181.

［70］李鳳華，蘇铓，史國振，等. 訪問控制模型研究進展及發展趨勢［J］.電子學報，2012，40（4）：805-813. LI F H，SU M，SHI G Z，et al. Research status and development trends of access control model［J］. Acta Electronica Sinica，2012，40（4）： 805-813.

［71］FERRAIOLO D F，KUHN D R. Role-based access controls［C］//The 15th NIST-NCSC National Computer Security Conference. c1992：554-563.

［72］HU V C，KUHN D R，FERRAIOLO D F，et al. Attribute-based access control［J］. Computer，2015，48（2）：85-88.

［73］LIN L，HUAI J，LI X. Attribute-based access control policies composition algebra［J］. Journal of Software，2009，20（2）：403-414.

［74］KRUK S R，GRZONKOWSKI S，GZELLA A，et al. D-FOAF：distributed identity management with access rights delegation［C］//Asian Semantic Web Conference. c2006：140-154.

［75］CARMINATI B，FERRARI E，PEREGO A. Rule-based access control for social networks［M］//On the Move to Meaningful Internet Systems 2006： OTM 2006 Workshops. Berlin： Springer，2006：1734-1744.

［76］CARMINATI B，FERRARI E，PEREGO A. Enforcing access control in web-based social networks［J］. ACM Transactions on Information & System Security，2009，13（1）：6：1-38.

［77］CARMINATI B，FERRARI E，PEREGO A. A decentralized security framework for Web-based social networks［J］. International Journal of Information Security & Privacy，2008，2（4）：22-53.

［78］FERRARI E. Access control，privacy and trust in on-line social networks： issues and solutions［M］. Berlin ：Springer，2011.

［79］LEE T B，HENDLER J，LASSILA O. The semantic Web［J］. Semantic Web Research & Applications，2001，284（5）：28-37.

［80］CARMINATI B，FERRARI E，HEATHERLY R，et al. A semantic Web based framework for social network access control［C］//ACM Symposium on Access Control Models & Technologies. c2009：177-186.

［81］CARMINATI B，FERRARI E，HEATHERLY R. Semantic Webbased social network access control［J］. Computers & Security，2011，30（2/3）：108-115.

［82］MASOUMZADEH A，JOSHI J. OSNAC： An ontology-based access control model for social networking systems［C］//2010 IEEE Second International Conference on Social Computing（Social-Com）. c2010：751-759.

［83］FONG P W L，ANWAR M，ZHAO Z. A privacy preservation model for facebook-style social network systems［C］//The 14th European Conference on Research in Computer Cecurity. c2009：303-320.

［84］FONG P W L. Relationship-based access control： protection model and policy language［C］//The First ACM Conference on Data & Application Security & Privacy. c2011：191-202.

［85］BRUNS G，FONG P W L，SIAHAAN I，et al. Relationship-based access control： its expression and enforcement through hybrid logic［C］//ACM Conference on Data and Application Security and Privacy. c2012：117-124.

［86］PARK J，SANDHU R，CHENG Y. A user-activity-centric framework for access control in online social networks［J］. IEEE Internet Computing，2011，15（5）：62-65.

［87］YUAN C，PARK J，SANDHU R. A user-to-user relationship-based access control model for online social networks［C］//International Conference on Data & Applications Security & Privacy.c2012：8-24.

［88］YUAN C，PARK J，SANDHU R. Relationship-based access control for online social networks： beyond user-to-user relationships［C］//2012 International Conference on Privacy，Security，Risk and Trust（PASSAT），and 2012 International Confernece on Social Computing（SocialCom）. c2012：646-655.

［89］PANG J，ZHANG Y. Cryptographic protocols for enforcing relationship-based access control policies［C］//IEEE Computer Software and Applications Conference. c2015.

［90］SHUAI H，ZHU W T. Masque： access control for interactive sharing of encrypted data in social networks［C］//The 6th international conference on Network and System Security. c2012：503-515.

［91］BADEN R，BENDER A，SPRING N，et al. Persona： an online social network with user-defined privacy［J］. ACM Sigcomm Computer Communication Review，2009，39（4）：135-146.

［92］NARAYANAN A，SHMATIKOV V. De-anonymizing social networks［C］//Eprint Arxiv：0903.c2009：173-187.

［93］BHAGAT S，CORMODE G，KRISHNAMURTHY B，et al. Prediction promotes privacy in dynamic social networks［J］. WWW，2010.

［94］谷勇浩，林九川，郭達. 基于聚類的動態社交網絡隱私保護方法［J］.通信學報，2015（S1）. GU Y H，LIN J C，GUO D. Clustering-based dynamic privacy preserving method for social networks［J］. Journal on Communications，2015（S1）.

［95］CHEN R，FUNG B C M，YU P S，et al. Correlated network data publication via differential privacy［J］. VLDB Journal，2014，23（4）：653-676.

［96］MALIK I D，Sánchez D，VIEJO A. Privacy-driven Access Control in Social Networks by Means of Automatic Semantic Annotation［J］. Computer Communications，2016，76：12-25.

［97］BELNAP N D. A useful four-valued logic［M］//Modern Uses ofMultiple-Valued Logic. Berlin：Springer，1977：5-37.

［98］CLIFTON C，KANTARCIOGLU M，VAIDYA J. Defining privacy for data mining［J］. National Science Foundation Workshop on Next Generation Data Mining，2002，1（26）： 1.

［99］BRUNS G，HUTH M. Access control via belnap logic： intuitive，expressive，and analyzable policy composition［J］. ACM Transactions on Information & System Security，2011，14（1）：1165-1182.

［100］BRUNS G，DANTAS D S，HUTH M. A simple and expressive semantic framework for policy composition in access control［C］//ACM Workshop on Formal Methods in Security Engineering. c2007：12-21. ［101］LI N，WANG Q，QARDAJI W，et al. Access control policy combining： theory meets practice［C］//ACM Sacmat. c2009：135-144.

［102］NI Q，BERTINO E，LOBO J. D-algebra for composing access control policy decisions［C］//The 4th International Symposium on Information，Computer，and Communications Security. c2009： 298-309.

［103］HU H，AHN G J，JORGENSEN J. Multiparty access control for online social networks： model and mechanisms［J］. IEEE Transactions on Knowledge & Data Engineering，2013，25（7）：1614-1627.

［104］SQUICCIARINI A C，SHEHAB M，WEDE J. Privacy policies for shared content in social network sites［J］. VLDB Journal，2010，19（6）：777-796.

［105］BENNETT P，RAY I，FRANCE R. Analysis of a relationship based access control model［C］//The Eighth International Conference on Computer Science & Software Engineering. c2015： 1-8.

Overview of privacy preserving in social network

YAO Rui-xin，LI Hui，CAO Jin

（State Key Laboratory of Integrated Service Network，School of Cyber Engineering，Xidian University，Xi'an 710071，China）

Social network has gradually become the main way in communication with the development of information technology and the issue of privacy preserving in social network has also obtained more and more attention due to the interactive information exposed in the open social networks. Firstly，an overview of the concept of social network and privacy was givem. Secondly，the current mainly two methods： anonymity mechanism and access control technique employed for privacy preservation in social networks were reviewed and discussed. Finally，the vulnerabilities and challenges of the current mechanism were analyzed and the potential research issues for the future research works were showed.

social network，privacy preserving，anonymity，access control

1　引言

隨著互聯網及信息技術的快速發展，社交網絡成為人們交流溝通的重要方式，如美國的MySpace、Facebook，日本的Mixi，英國的Bebo等，國內有QQ、人人網、微信等［1］。在社交網絡中，人們發布真實的個人信息以達成交友目的，因此備受歡迎，但分享日志、上傳照片等行為也使越來越多的信息暴露在社交網絡中，信息的公開化引起了人們對隱私保護的關注。各社交平臺也積極采取多種措施以保護隱私：Facebook為用戶提供隱私設置功能，由用戶決定信息可由哪些用戶及開發者獲取；Twitter［2］同Facebook一樣，為用戶提供個性化的隱私保護設置，此外，Twitter 自2012年在Firefox瀏覽器上提供“Do Not Track”隱私保護選項以阻止網站在計算機上留下Cookie［3］；QQ空間有細分的權限管理列表，可分別設置空間、說說、相冊的可見范圍，也可設置說說等的評論權限，通過這些細粒度訪問控制實現隱私保護。

The National Natural Science Foundation of China—Guangdong Jointly Funded Project（No.U1401251）

TP309

A

10.11959/j.issn.2096-109x.2016.00036

2016-02-17；

2016-03-02。通信作者：姚瑞欣，nice127@163.com

國家自然科學基金—廣東聯合基金資助項目（No.U1401251）

姚瑞欣（1994-），女，山西運城人，西安電子科技大學碩士生，主要研究方向為密碼學、隱私保護。

李暉（1968-），男，河南靈寶人，博士，西安電子科技大學教授、博士生導師，主要研究方向為密碼學、無線網絡安全、云計算安全、信息論與編碼理論。

曹進（1985-），男，陜西西安人，博士，西安電子科技大學副教授，主要研究方向為無線網絡安全。