基于聯盟鏈的數字圖書館用戶隱私保護研究

劉浩東 王秀紅

摘 要：

通過分析用戶隱私信息在用戶、數字圖書館和供應商之間的流動路徑、生命周期各環節泄露風險，結合三螺旋理論和聯盟鏈技術，構建包含數據層、網絡層、共識層、合約層與應用層五個層級的數字圖書館用戶隱私保護模型（LibUPM），以期為數字圖書館用戶隱私保護提供新的思路和方法，實現用戶信息的開發利用與隱私保護之間的平衡。

關鍵詞：

數字圖書館；聯盟鏈；區塊鏈；三螺旋；可搜索加密；用戶隱私

中圖分類號：G250.76??? 文獻標識碼：A?? 文章編號：1003-7136（2023）05-0067-10

Research on User Privacy Protection of Digital Libraries Based on Alliance Chain

LIU Haodong，WANG Xiuhong

Abstract：

By analyzing the flow path，link and leakage risk of user privacy information among users，digital libraries and suppliers，combined with triple helix theory and alliance chain technology，this paper constructs a user privacy protection model of digital library（ LibUPM）including five levels：data layer，network layer，consensus layer，contract layer and application layer，in order to provide new ideas and methods for digital libraries user privacy protection，and realize the balance between the exploitation and privacy protection of user information.

Keywords：

digital library；alliance chain；blockchain;triple helix；searchable encryption;user privacy

0 引言

隨著云存儲、物聯網與大數據等新興技術在數字圖書館領域的廣泛應用，我國數字圖書館事業步入了高速發展階段［1］。數字圖書館是在知識管理的背景下，以數字化、網絡化方式存儲、共享和利用數字圖書館中各種館藏文獻的知識網絡系統，具有資源整合化、存取網絡化、跨時空服務等特點，不斷增長的數字資源是數字圖書館發展的重要保障［2］。人工智能時代，用戶在數字圖書館進行身份登記、文獻檢索以及參考咨詢等活動的信息都會被記錄下來，并以數字化形式存儲。數字圖書館對用戶個人信息進行全面采集和深度分析，以滿足用戶的多元需求［3］；同時數字圖書館為了提高自身數字化建設與服務水平，還需要與供應商共享用戶信息［4］。用戶、數字圖書館和供應商三者的關系從未如今天一般緊密，但與此同時，聯結三者的用戶隱私信息也面臨著嚴峻的泄露威脅［5］。

數字圖書館用戶隱私泄露主要包括信息采集、信息存儲和傳輸、信息濫用以及業務外包等途徑［6］。在信息采集過程中，用戶在注冊讀者證、參加活動時填寫的姓名、性別、年齡、職業、聯系方式等基本信息，以及使用數字圖書館網站、App等在線服務的日志數據都是潛在風險對象，很容易被保密意識不強的工作人員泄露或是被黑客竊取。目前信息存儲和傳輸主要采用云存儲方式，然而云平臺較易受網絡攻擊，數據在云上的遷移帶來的殘留數據存在著泄露用戶隱私的風險［4］。在信息濫用方面，數字圖書館以及供應商為了更為精準地發掘用戶的需求，使用分析能力更強的機器學習算法對用戶隱私進行分析，卻忽略了對敏感數據的加密處理，構成了較大的隱私泄露風險［7］。業務外包時將部分業務交由第三方公司，相應用戶隱私數據也被過渡到第三方，使得用戶隱私暴露在更大的泄露風險之下［8］。

為應對日趨嚴重的用戶隱私泄露問題，用戶、數字圖書館和供應商需要協同合作［9］。數字圖書館用戶隱私保護研究迫在眉睫。

1 數字圖書館用戶隱私保護研究現狀分析

數字圖書館和供應商為了向用戶提供更多、更優質的個性化服務，必須獲得更豐富、更敏感的用戶隱私信息，必須利用更先進的人工智能算法對用戶隱私信息進行更深層次的分析，但這極大加劇了用戶隱私信息泄露的風險［6］。因此，保障數字圖書館用戶隱私安全是進一步開展個性化服務的必要前提。

國內外學者關于數字圖書館用戶隱私保護研究集中在兩大方向，一是基于法律法規的角度，二是基于技術方法的角度。20世紀中葉，國外就針對圖書館用戶隱私頒布了一系列法規政策，在法律和技術上都較為成熟；而國內的相關研究始于21世紀初，起步較晚，缺乏相應的法律規范，技術方法也相對落后，亟待確立符合國情的數字圖書館用戶隱私保護法律、標準，利用人工智能、密碼學技術形成更高效的隱私保護方法［10-11］。

宋文秀通過調研若干不同類型的數字圖書館，分析數字圖書館用戶信息的泄露途徑，認為數字圖書館要根據法律法規采取有效手段保障用戶隱私安全，并提出了保護用戶隱私的七大措施［12］。陸康等通過對我國與歐盟數據安全法律的比較研究，探討了用戶、數字圖書館和數字圖書館業務這三者的權利與義務以及三者間的關聯［13］。McKinnon D等基于圖書館與供應商共享用戶隱私的視角，調查了加拿大部分高校圖書館的供應商的隱私政策，并分別提出了圖書館和供應商加強用戶隱私安全的改進措施［14］。Younghee Noh先后調查了圖書館員在接受用戶隱私教育前后對圖書館用戶隱私的感知變化，認為在圖書館員群體中開展定期的隱私教育對圖書館隱私保護的發展是極其必要的［15-16］。然而，由于相關的法律法規還未健全，現有法律法規雖然能夠在一定程度上緩解隱私信息泄露問題，但無法從根本上解決此問題。

在技術方法上，賈俊杰等提出基于數據屬性的匿名方法，利用層級劃分和匿名化處理的方式實現對數字圖書館用戶隱私數據的保護和高質量發布，但如何確定合適的屬性權重仍有待進一步研究［17］。Wu Z D等通過設計行為偏好隱私保護框架模型，將用戶的真實行為混雜在偽行為中，一同提交給不可信服務器端，從而實現用戶行為偏好隱私保護［18］。Wu Z D等還基于數據加密理論和數據索引理論，在對讀者借閱隱私進行事前加密的同時，設計了讀者文獻流通記錄的相關查詢方法，借此保障讀者借閱隱私的安全性和信息查詢的高效性［19］。

綜上所述，現有研究雖在一定程度上提出有助于解決數字圖書館用戶隱私保護問題的不同見解，但依然存在以下待解決的問題：①研究對象未能同時包括靜態用戶隱私和動態用戶隱私；②研究所立足的場景僅限于數字圖書館本身，未能囊括整個數字圖書館生態，即用戶、數字圖書館和供應商；③研究范圍未能覆蓋到用戶隱私信息整個生命周期，偏重于用戶隱私信息的安全采集與存儲。本文基于三螺旋理論和聯盟鏈技術提出一種數字圖書館用戶隱私保護模型，分析信息在用戶、數字圖書館和供應商之間的流動路徑及泄露風險，為數字圖書館用戶隱私保護提供新的思路和方法，最終實現用戶信息的開發利用和隱私保護之間的平衡。

2 理論方法

2.1 三螺旋理論

1995年，Etzkowitz H等首次提出三螺旋理論，用以描述政府、企業和大學三者之間的協同創新關系［20］。由于政府、企業和大學有著共同利益，因此他們可以通過密切互動實現合作共贏。三螺旋理論因其可以有效聯結各方主體以實現共同利益訴求的特性，被廣泛應用于教育、公共政策、區域經濟、創新實踐等領域［21］。同時，也有學者將三螺旋理論應用于圖書館學研究領域，如梁春慧針對圖書館服務的優化工作，提出了包括圖書館、環境和用戶三元主體的三螺旋理論，并以服務高校的協同創新中心為例，驗證了三螺旋理論對于圖書館服務的優化作用［22］。

數字圖書館用戶隱私信息是將用戶、數字圖書館和供應商緊緊聯系在一起的數據資源，用戶隱私信息在三者間的流動使得三者形成了一個“用戶—數字圖書館—供應商”三螺旋模式。在該模式下，數字圖書館和供應商同為用戶隱私信息的消費者，在優化信息資源結構、提升信息服務水平的驅動下，迫切需要對其進行采集、傳輸和深入分析，而用戶則希望自己的隱私信息能夠被安全地采集、傳輸、存儲、清除以及被有限地開發利用［4］。為了實現各方的共贏，數字圖書館、供應商與用戶之間有必要達成對用戶信息的開發利用與隱私保護的平衡，這符合三螺旋理論的思想架構。

2.2 聯盟鏈技術

聯盟鏈是由若干節點共同參與管理，數據僅限于各個節點間共享的一種區塊鏈，實現了部分去中心化，兼具去中心化和隱私性特點，適用于多組織間的合作，目前已經被大量應用于解決物聯網交易者和病人的隱私信息泄露問題［23-24］。在圖書館學領域，學者們主要著眼于應用聯盟鏈促進圖書館信息資源的安全共享與平臺建設，對于用戶隱私保護的研究則較少。在聯盟鏈技術的支撐下，基于三螺旋理論形成的“用戶—數字圖書館—供應商”利益共同體組成了聯盟鏈的各個節點，從而形成致力于數字圖書館用戶信息隱私安全與合理開發的聯盟鏈，有望保證用戶隱私的安全共享和適度開發，實現各方的合作共贏。

本文結合三螺旋理論，基于聯盟鏈技術構建一種數字圖書館用戶隱私保護模型（user privacy protection model of digital Library，以下簡稱：LibUPM），可兼具三螺旋模型的互作用特征和聯盟鏈的部分去中心化特點，既能發揮用戶、數字圖書館和供應商在用戶隱私信息保護方面的積極作用，又能推動用戶信息的開發利用和隱私保護達成平衡。

3 模型構建過程

數字圖書館用戶隱私信息是指用戶在使用數字圖書館提供的服務過程中產生的個人隱私信息［25］，包括靜態用戶隱私與動態用戶隱私［18］。靜態用戶隱私可分為用戶身份信息和用戶敏感信息［27］：用戶身份信息是指姓名、性別、年齡、手機號等身份標識；用戶敏感信息是指政治面貌、宗教信仰、社會關系等社會背景信息。動態用戶隱私是指用戶在使用參考咨詢服務、圖書借閱服務等數字圖書館服務時產生的個人行為偏好信息。

3.1 用戶隱私信息泄露風險分析

3.1.1 用戶隱私信息流動路徑及泄露風險分析

用戶隱私信息聯結的“用戶—數字圖書館—供應商”三螺旋模式下，三者的相互作用及影響主要包括以下三條路徑。

（1）用戶—數字圖書館：用戶向數字圖書館提供自己的隱私信息，促使數字圖書館的服務水平得到提升，進而用戶更加愿意將隱私信息提供給數字圖書館。該路徑下用戶不光要將靜態隱私信息交予數字圖書館，也要將動態隱私信息提供給數字圖書館以使用各項服務，用戶的所有隱私信息都存儲在數字圖書館，喪失了對自身隱私信息的控制權，存在很大的泄露風險。

（2）數字圖書館—供應商：數字圖書館與供應商共享用戶隱私信息，使數字圖書館和供應商的資源結構與服務體系都得到優化，推進二者的合作共享。該路徑下數字圖書館將用戶身份信息和動態用戶隱私共享給供應商供其深入分析，而供應商相較于數字圖書館發生販賣和泄露用戶隱私信息的風險更大。

（3）用戶—供應商：用戶直接向供應商提供個人隱私信息，供應商更加明晰市場需求，為用戶提供更優質的信息資源服務，促使用戶更主動地將隱私信息提供給供應商［27-28］。該路徑下用戶將自身的靜態隱私和動態隱私信息提交給供應商，供應商掌握了用戶所有隱私的控制權，極易給用戶帶來隱私泄露風險［8］。

用戶隱私信息流動路徑及泄露風險如圖1所示。用戶隱私信息的流動路徑分為兩種：一種是“用戶—數字圖書館—供應商”，用戶向數字圖書館提交自己的隱私信息，數字圖書館將其存儲并進行開發利用，再將整理好的用戶隱私信息共享給供應商進行存儲和利用；另一種是“用戶—供應商”，供應商直接獲取用戶的隱私信息進行存儲與開發利用。

3.1.2 用戶隱私信息生命周期各環節及泄露風險分析

結合用戶隱私信息流動路徑與數據生命周期理論［3］，用戶隱私信息的泄露風險存在于數據采集與傳輸、數據存儲、數據利用和數據清除等整個生命周期。

（1）數據采集與傳輸環節：包括用戶向數字圖書館、供應商提供隱私信息和數字圖書館對供應商共享用戶隱私信息的過程。由于用戶隱私信息具有較大的價值，不法分子往往將其作為主要攻擊目標，竊取或篡改用戶隱私信息［29］。該環節中用戶的靜態隱私和動態隱私信息暴露在開放的網絡中，黑客較易發起網絡攻擊，造成用戶隱私信息的泄露，因此需要做好采集和傳輸過程中的信息加密工作。

（2）數據存儲環節：主要指數字圖書館與供應商存儲用戶的隱私信息，以待后續進行數據分析。目前我國圖書館大多將用戶信息存儲在本地系統［30］，但隨著館內數字資源的急劇增多，云存儲逐漸被圖書館所接受，用戶的靜態隱私和動態隱私信息被存儲在云端，不過云平臺自身易受黑客攻擊，具有較大的信息泄露風險，需要采取進一步的措施保障數據存儲安全［31-33］。

（3）數據利用環節：指數字圖書館和供應商為了向用戶提供更加優質和個性化的服務，而對用戶隱私信息進行數據分析的過程。用戶身份信息和動態用戶隱私信息是其分析的重點對象，隨著機器學習、深度學習的發展，用戶敏感信息的價值日益凸顯，數字圖書館和供應商若在未經用戶許可的情況下就對用戶敏感信息進行挖掘，會對用戶的隱私產生極大的威脅［6］。同時也存在數字圖書館或者供應商的部分工作人員為了自身利益向第三方出賣用戶隱私信息的風險［4］。因此需要對用戶隱私信息進行嚴格的訪問控制，并對利用行為進行實時記錄和監督審查。

（4）數據清除環節：指數字圖書館、供應商對過期或無價值的用戶隱私信息進行清除，或對用戶要求刪除的數據進行清除的過程。數字圖書館和供應商需要及時銷毀待清除的用戶隱私數據，這樣既能減少隱私泄露的風險，又能夠降低數據存儲的成本。該環節中用戶信息的控制權在數字圖書館和供應商手中，用戶很難監督其是否真正清除自身隱私信息，用戶的隱私信息存在未經許可被作為用戶歷史數據過度分析和長期存儲，進而被網絡攻擊導致泄露的風險。

3.2 模型基本結構

根據用戶隱私信息流動路徑及泄露風險分析結果，將LibUPM模型的基本結構設定為數據層、網絡層、共識層、合約層與應用層五個層級，具體結構如圖2所示。

3.2.1 數據層

數據層是本模型的底層數據存儲空間，包含存儲數據的數據區塊、時間戳、哈希算法和非對稱可搜索加密等技術。基于時間戳技術，數據區塊被按時序鏈接到主鏈，能夠對區塊鏈數據進行追溯操作，為用戶隱私信息的流動、更改、清除等操作提供了證明。非對稱可搜索加密、Merkle樹和哈希算法保障了用戶隱私信息分布式存儲的安全性與完整性。為了實現關于加密文件的搜索，本文在區塊鏈交易單的基礎上增設了由用戶利用非對稱加密公鑰對關鍵詞進行加密而成的關鍵詞密文，進而構造出一個完整的信息表單，如圖3。

非對稱可搜索加密是可搜索加密的一種，指擁有公鑰的用戶對關鍵詞加密生成關鍵詞密文，僅允許擁有私鑰的用戶對該關鍵詞進行檢索［34］。其最大的特點是基于加密數據進行檢索，因此需要提供由關鍵詞加密而來的密文標簽供檢索，而密文標簽不會泄露任何有關明文的信息，極大地保障了用戶隱私信息的安全性。實現非對稱可搜索加密算法的步驟如下［35］。

（1）KeyGen（p）：給定一個安全參數p，得到可搜索加密公鑰為K_pub，私鑰為K_pri。

（2）PEKS（K_pub，W_1）：用戶使用密鑰對明文數據加密，使用K_pub對其關鍵詞W_1加密生成關鍵詞密文S_w，上傳至數據庫。

（3）Trapdoor（K_pri，W_2）：數字圖書館、供應商使用K_pri對關鍵詞W_2進行加密，生成陷門T_w，發送給數據庫。

（4）Test（K_pub，S_w，T_w）：數據庫輸入K_pub，S_w=PEKS（K_pub，W_1）和T_w= Trapdoor（K_pri，W_2），若W_1=W_2，則Test（K_pub，S_w，T_w）=1，代表成功匹配到加密數據，將該加密數據返回給數字圖書館和供應商；否則匹配失敗。

（5）數字圖書館和供應商接收加密數據，利用K_pri密鑰解密。

3.2.2 網絡層

網絡層即節點間進行通信和數據交換的場所，是一個基于TCP/IP 通信協議和P2P對等網絡構建的分布式網絡系統。用戶隱私信息在這個去中心化的分布式網絡系統中流動，所有節點通過該網絡共享用戶隱私信息，同時也負有提供網絡服務、維護網絡安全的責任。由于數字圖書館的大部分用戶都缺乏完備的計算機運算及存儲設施，因此將節點分為普通節點和共識節點。數字圖書館的用戶都是普通節點，平時不存儲區塊數據，如果需要使用聯盟鏈上的數據，便向共識節點提出申請；共識節點包含數字圖書館和供應商，存儲全網所有的區塊數據，參與共識。

3.2.3 共識層

共識層封裝的共識機制能夠使聯盟鏈的所有節點對區塊信息產生一致共識，防止最新區塊被添加至錯誤的鏈上，抵抗雙花等惡意攻擊。工作量證明算法（PoW）、權益證明算法（PoS）、實用拜占庭容錯算法（PBFT）和授權拜占庭容錯算法（DBFT）都是當前主流的共識機制。

本模型使用DBFT機制保障聯盟鏈上的信息達成安全可靠的全網一致共識，抵御惡意攻擊。DBFT機制在PBFT的基礎上結合了PoS模式特點，同時具有良好的安全性和最終性［36］。一方面，DBFT機制擁有f=（n-1）/3的容錯能力，其中n是共識節點總數，足以抵抗聯盟鏈的絕大部分故障；另一方面，新區塊的產生必須收到至少2f+1個共識節點的承諾信息且已經發出承諾信息的共識節點不會更換視圖，保證了新區塊的終局性。DBFT機制的高容錯能力、高可用性和最終性，非常契合用戶隱私信息的存儲與傳輸要求。

DBFT機制的一輪共識主要由共識節點完成，普通節點可以觀察所有的共識過程。設置一個共識節點為議長節點，其他共識節點為議員節點，所有共識節點共同維護一個視圖，若在當前視圖內未能達成共識，則更換至下一個視圖繼續進行共識［37］。完成一輪共識的步驟如圖4所示。

（1）準備請求：議長節點發起共識，廣播新一輪共識的信息。

（2）準備響應：議員節點接收共識信息，驗證同意后廣播預備響應消息，預備響應消息包含議員節點的數字簽名，以表示本節點支持該共識提案。

（3）承諾：共識節點接收到至少2f+1個預備響應消息后，廣播達成一致的承諾消息，此步驟用于同步支持該共識提案的節點。

（4）出塊廣播：共識節點接收到至少2f+1個承諾消息（包括自己的承諾消息），可以確保所有共識節點將同意相同的區塊提案，而后產生新區塊并廣播。

3.2.4 合約層

合約層包括算法機制、腳本代碼和智能合約，借助算法與腳本代碼，可根據實際需要對智能合約進行編程。智能合約在編碼完成后會被上傳至聯盟鏈，合約的所有內容都無法被修改。由于智能合約預先制定了所有條款和執行機制，并由計算機自動執行，因此無需第三方監管，且具有極高的執行效率。

3.2.5 應用層

應用層是整個模型的核心層級，封裝有數據采集與傳輸、數據存儲、數據利用與數據清除等具體的應用，為用戶隱私信息的數據傳輸、安全存儲、數據分析以及防范隱私泄露提供支持。用戶隱私信息按照智能合約的規范，經由這些應用在全網節點間流動。

3.3 保護機制

基于聯盟鏈的用戶隱私信息保護機制如圖5。

3.3.1 數據采集與傳輸

數據采集與傳輸分為兩個階段，分別是用戶隱私信息采集和用戶隱私信息傳輸。用戶隱私信息的采集階段主要包括：采集個人的姓名、性別、政治面貌、宗教信仰等靜態用戶隱私，以及使用數字圖書館的智能設備時產生的行為數據、訪問數字圖書館線上服務留下的日志記錄等動態用戶隱私。

用戶隱私信息的傳輸主要包括六個步驟：

（1）LibUPM對采集到的用戶隱私信息進行加密，用戶對KeyGen （p）輸入安全參數p，獲得非對稱可搜索加密公鑰K_pub和私鑰K_pri，再使用算法PEKS（K_pub，W_1）生成關鍵詞密文S_w，其中W_1是關鍵詞。然后設置時間戳，分配表單ID，最后利用非對稱加密私鑰進行數字簽名，形成一個規范的信息表單，提交給共識節點。

（2）共識節點接收到信息表單，存放至內存池。在某一輪共識中，議長節點將內存池中的所有信息表單打包至新區塊中，并廣播新區塊提案和驗證請求。

（3）議員節點接收新區塊提案和驗證請求，抽取出若干信息表單，使用其中的非對稱加密公鑰對數字簽名進行驗證。若驗證通過，就廣播預備響應信息；若未通過，則說明該表單信息已經不可信，放棄廣播預備響應信息。

（4）共識節點接收到至少2f+1個預備響應消息（包括自己的預備響應消息）后，廣播關于同意新區塊提案達成一致的承諾消息。

（5）共識節點接收到不少于2f+1個承諾消息（包括自己的承諾消息）后，開始發布新區塊并廣播，同時將區塊內的信息表單從內存池中刪除。

（6）用戶節點接收共識節點的承諾消息，若接收到至少2f+1個預備響應消息，則代表自己的信息表單被成功上傳到聯盟鏈數據庫；否則需要再次提交信息表單。

3.3.2 數據存儲

數據存儲主要指數字圖書館與供應商將所需的數據從聯盟鏈數據庫中準確地提取出來，并解密為明文數據進行存儲，以待后續進行數據利用的過程。由于數字圖書館和供應商自身就是聯盟鏈上的共識節點，因此他們首先從自身存儲的聯盟鏈數據中提取所需的數據。

在聯盟鏈數據庫中獲取指定關鍵詞相關數據的步驟如下：

（1）數字圖書館與供應商根據目標數據的關鍵詞W_2和可搜索加密私鑰K_pri，生成陷門T_w= Trapdoor（K_pri，W_2），接著執行匹配算法Test（K_pub，S_w，T_w），若輸出為1，則成功查詢到目標數據。其中K_pub為公鑰，S_w為關鍵詞密文。

（2）數字圖書館與供應商從提取到的信息表單中得到目標數據，對該加密數據進行哈希值計算，若與信息表單中記錄的哈希值一致則說明數據未被篡改，然后用密鑰解密得到明文數據。否則，說明自身存儲的該部分聯盟鏈數據已被篡改，需要向其他共識節點申請該區塊數據，并更新相應區塊數據。

在獲取到明文數據后，數字圖書館與供應商對其進行數據分類和分級存儲：

（1）數據分類。先將獲取的用戶隱私數據分為兩大類，一類是姓名、性別、政治面貌、宗教信仰等靜態用戶隱私數據，再將其細分為用戶身份信息和用戶敏感信息兩個類別；另一類是圖書借閱記錄、信息咨詢記錄等動態用戶隱私數據。再將每一類中的每個字段的數據單獨分為一小類，相互間保持一定的獨立性。最后設置某一特定字段作為所有字段的聯結符，以方便快速查找。

（2）分級存儲。對已經分類完畢的三個類別以及若干子類，根據其敏感程度和利用情況進行分級存儲。為了應對不可避免的數字資源急劇增長問題，如信息檢索記錄、圖書借閱記錄等敏感程度低且利用頻率較高的字段數據經過匿名化處理后可以存儲在安全級別較低的云存儲平臺中；政治面貌、宗教信仰、社會關系等敏感程度高且利用頻率較低的字段數據需要在本地存儲，并將隱私數據的存儲設備與互聯網隔離，防范黑客攻擊。

3.3.3 數據利用

數據利用是指數字圖書館和供應商根據自身運營發展的需要，運用大數據分析方法挖掘用戶隱私數據的價值，以實現深入了解用戶信息資源需求、預測用戶行為的目標。數字圖書館、供應商與用戶之間存在著前兩者意圖最大程度地利用用戶隱私數據，而后者希望自己的隱私數據能夠盡可能低限度地被開發的矛盾，LibUPM采用權限分級和日志公開的方法在對用戶隱私數據進行開發的同時兼顧用戶隱私數據的合理利用。

（1）權限分級。一方面，數字圖書館和供應商專門授予數據分析人員調取和分析用戶隱私數據的權限，避免無權限人員接觸用戶隱私信息；另一方面，數字圖書館與供應商對數據分析人員的權限進行分級，僅限部分數據分析人員訪問政治面貌、宗教信仰、社會關系等敏感程度高的字段數據。

（2）日志公開。數字圖書館與供應商將每一次對用戶隱私數據進行開發的時間、原因、數據分析人員、所利用的數據類別和數量等日志信息進行記錄，并將日志信息經過數據傳輸上傳至聯盟鏈數據庫，全網節點都可查詢到該日志信息，實現對用戶隱私數據利用工作的有效監督。

3.3.4 數據清除

數據清除是指數字圖書館和供應商將自身存儲的用戶隱私數據中待清除數據徹底刪除的過程，待清除數據包括無效、無價值數據和用戶要求刪除的數據。

數字圖書館和供應商對數據清除工作中的時間、原因、數據類別、數據數量等信息做好日志記錄，并通過數據傳輸將日志信息上傳至聯盟鏈數據庫，供全網審查。

4 LibUPM的特點

從上述模型的層級結構、保護機制的運作過程等方面可以看出，本文構建的LibUPM具有以下三個方面的特點。

4.1 安全性

LibUPM的安全性主要表現在數據的完全性、不可篡改、密文標簽以及可追溯存根上。第一，LibUPM采用聯盟鏈的分布式構架，全網共識節點——所有數字圖書館和供應商都存儲有完整的聯盟鏈數據，保障了聯盟鏈數據的完全性。第二，LibUPM使用哈希算法對每個信息表單進行簽名，并采用Merkle樹對數據進行完整性驗證與一致性驗證，一旦數據被篡改就會被共識節點識別并丟棄。第三，LibUPM使用非對稱可搜索加密技術對關鍵詞進行加密，信息表單中只有關鍵詞密文，任何人都無法獲得任何關于明文數據的信息，確保了用戶隱私信息的保密性。第四，聯盟鏈的所有區塊根據時間戳按時序鏈接，全網節點都可以遍歷查詢聯盟鏈上的所有數據，保證了數據的可追溯存根。

4.2 高效性

LibUPM的高效性是指數據采集與傳輸、數據存儲、數據利用和數據清除環節的運行效率都較高。這一方面得益于LibUPM采用去中心化的分布式網絡系統，解決了信用問題，使得數據驗證、數據提取、數據審查不依賴第三方，既縮減了用戶隱私信息的流動時間，又節省了用戶隱私信息獲取的成本；另一方面是因為LibUPM提供關鍵詞檢索途徑，縮小了數據檢索范圍，使得用戶隱私信息檢索的時間效率能夠保持在一個較高的水平。

4.3 適用性

LibUPM的適用性是指其適用于不同規模的數字圖書館生態，能夠滿足小型、中型和大型數字圖書館及其不同數量的供應商和用戶的需求，提高數字圖書館、供應商和用戶的參與度。首先，LibUPM采用DBFT共識機制，每輪共識只需要不少于m=n-f個正常共識節點便可正常運行，因此LibUPM只需3=4-［（4-1）/3］個正常的共識節點，就可以應用于少至n=4個共識節點的系統，能夠滿足不同規模的數字圖書館生態的需要。其次，DBFT共識機制允許全網節點隨時加入、退出，因此LibUPM可以適應于數字圖書館的供應商和用戶的新增或退出等情況。最后，LibUPM在用戶信息的開發利用和隱私保護之間保持了平衡，數字圖書館和供應商能夠獲取到自己所需的用戶隱私信息，對用戶隱私信息進行數據分析，但同時也需要將每一次的數據利用與清除的日志信息進行全網廣播，用戶能夠主動審查自己隱私信息的利用和清除情況，有利于促進數字圖書館、供應商和用戶積極參與到LibUPM的運作中。

5 結語

LibUPM具有聯盟鏈的部分去中心化和隱私性等特點，不僅能夠提高用戶隱私信息采集、傳輸、利用和清除的效率，滿足數字圖書館和供應商進行數據分析的需要，而且可以保障用戶對自身信息被利用、清除情況的審查權利，實現用戶信息開發利用和隱私保護的平衡。

目前，聯盟鏈技術在數字圖書館用戶隱私保護領域的應用處于探索階段，LibUPM在現實中應用還存在一定的困難。首先，聯盟鏈的信息存儲需要占用較大的存儲空間，無論是本地硬盤存儲或是購買云存儲服務都是一筆不小的開支，這對于一些經費緊張的圖書館來說難以維系；其次，目前圖書館行業缺少同時具有計算機和圖書館學背景的復合型人才，難以迅速組織人員構建、運行聯盟鏈；最后，關于區塊鏈的應用，圖書館行業仍然沒有明確的標準規范，難以大規模普及。

這些挑戰的產生是由于圖書館行業正處于數字化轉型階段［38］，這些困難也必將隨著圖書館的數字化、智慧化深入發展而被克服。隨著圖書館行業在“十四五”時期的發展，圖書館的數字基礎設施將不斷完善，也將得到更大的財政資金投入［39］；圖書館學伴隨著新文科建設的浪潮，將與計算機科學、數據科學等學科交叉融合，培養兼具管理學思維和大數據素養的復合型人才［40］；而隨著圖書館行業更為積極主動地擁抱區塊鏈，相關的應用標準規范將在不斷的探討、應用、再探討中逐步確立。

參考文獻：

［1］王濤，劉利軍，李翔宇.發展驅動技術 技術賦能服務：湖北省數字圖書館建設回顧（2008—2018）［J］.圖書館論壇，2021，41（3）：145-155.

［2］楊瑩.數字化圖書館的概念界定與要素分析［J］.現代情報，2007（11）：87-89.

［3］謝珍，陸溯.智慧圖書館視域下用戶數據應用與隱私保護平衡研究［J］.國家圖書館學刊，2020，29（2）：49-59.

［4］趙文慧，趙潤娣.圖書館數據開放服務中用戶隱私保護問題探討［J］.圖書館學研究，2020（13）：64-67.

［5］HAN Z B，HUANG S Q，LI H，et al.Risk Assessment of Digital Library Information Security：a Case Study［J］.The Electronic Library，2016，34（3）：471-487.

［6］趙天昀.數字圖書館個性化信息服務中用戶隱私保護研究［J］.圖書館理論與實踐，2018（2）：101-103.

［7］馬崇環.現代信息技術環境下圖書館讀者隱私保護策略研究［J］.河南圖書館學刊，2021，41（12）：112-114.

［8］王建.大數據環境下圖書館用戶隱私權保護路徑研究［J］.河北科技圖苑，2021，34（3）：57-61.

［9］《現代圖書情報技術》編輯部.新的隱私準則鼓勵圖書館和內容供應商一起保護讀者隱私［J］.現代圖書情報技術，2015（9）：16.

［10］俞德鳳.美國康奈爾大學圖書館隱私保護服務及啟示［J］.農業圖書情報學報，2021，33（11）：28-37.

［11］王家玲.近十年國內圖書館用戶隱私保護研究綜述［J］.圖書館工作與研究，2017（2）：24-28.

［12］宋文秀.數字時代圖書館讀者個人隱私保護現狀與策略探析［J］.圖書館工作與研究，2019（3）：78-81，87.

［13］陸康，劉慧，任貝貝，等.智慧圖書館用戶數據隱私保護研究：基于《中華人民共和國網絡安全法》和《一般數據保護條例》的文本啟示［J］.圖書館理論與實踐，2020（3）：17-21.

［14］MCKINNON D，TURP C.Are library vendors doing enough to protect users？ A content analysis of major ILS privacy policies［J］.The Journal of Academic Librarianship，2022，48（2）：102505.

［15］YOUNGHEE NOH.Digital Library User Privacy：Changing Librarian Viewpoints Through Education［J］.Library Hi Tech，2014，32（S1）：300-317.

［16］YOUNGHEE NOH.A Study on the Changes in Librarians′ Perception before and after User Privacy Education［J］.Library and Information Science Research，2020，42（3）：101032.

［17］賈俊杰，陳菲.數字圖書館個性化匿名發布方法［J］.計算機工程與科學，2017，39（11）：2109-2114.

［18］WU Z D，LI R C，ZHOU Z F，et al.A User Sensitive Subject Protection Approach for Book Search Service［J］.Journal of the Association for Information Science and Technology，2020，71（2）：183-195.

［19］WU Z D，SHEN S G，LU C L，et al.How to protect reader lending privacy under a cloud environment：a technical method［J］.Library Hi Tech，2020，40（6）：1746-1765.

［20］ETZKOWITZ H，LEYDESDORFF L.The Triple Helix of University-industry-government relations：A laboratory for knowledge based economic development［J］.EASST Review，1995，14（1）：14-19.

［21］楊倩倩.三螺旋理論研究綜述［J］.合作經濟與科技，2022（9）：122-124.

［22］梁春慧.基于“圖書館-環境-用戶”三螺旋理論的圖書館服務：以面向協同創新中心的專利信息服務為例［J］.新世紀圖書館，2015（4）：31-34.

［23］魯曄.一種基于聯盟鏈的物聯網匿名交易方案［J］.計算機應用研究，2021，38（1）：23-27.

［24］巫光福，余攀，陳穎，等.基于聯盟鏈的電子健康記錄隱私保護和共享［J］.計算機應用研究，2021，38（1）：33-38.

［25］吳高.人工智能時代公共數字文化服務個人隱私保護的困境與對策［J］.圖書館學研究，2021（10）：39-45，54.

［26］姜明芳，趙奇釗.《公共圖書館法》視閾下讀者個人信息保護路徑研究［J］.高校圖書館工作，2020，40（4）：15-17.

［27］趙麗梅，張花.基于全鏈路平臺構建的高校數字圖書館聯盟運行體系研究［J］.圖書館學刊，2019，41（4）：112-116.

［28］趙樹旺.國際數字出版商的用戶策略及啟示［J］.現代出版，2015（2）：38-41.

［29］錢平，朱光劍，曹勁.網絡傳輸中數據安全及加密技術［J］.電腦知識與技術，2019，15（35）：33-34.

［30］顏斌.圖書館信息服務轉型的若干技術路徑初探［J］.新世紀圖書館，2017（11）：44-48.

［31］黃鯤翔.數字圖書館云存儲技術服務安全問題及解決策略［J］.圖書館學刊，2018，40（7）：125-129.

［32］童忠勇.國家數字圖書館特色資源云平臺的建設與實踐［J］.國家圖書館學刊，2018，27（5）：99-105.

［33］鮑劼，李丕仕，都平平，等.高校圖書館面臨的數據安全問題及防護策略研究［J］.現代情報，2017，37（7）：93-96.

［34］劉格昌，李強.基于可搜索加密的區塊鏈數據隱私保護機制［J］.計算機應用，2019，39（S2）：140-146.

［35］BONEH D，CRESCENZO G D，OSTROVSKY R，et al.Public key encryption with keyword search［C］//2004 International conference on the theory and applications of cryptographic techniques.Berlin，Heidelberg：Springer，2004：506-522.

［36］COELHO I M，COELHO V N，ARAUJO R P，et al.Challenges of PBFT-inspired consensus for blockchain and enhancements over neo dBFT［J］.Future Internet，2020，12（8）：129.

［37］VITOR N C，RODOLFD P A，HAROLDO G S，et al.A MILP Model for a Byzantine Fault Tolerant Blockchain Consensus［J］.Future Internet，2020，12（11）：185.

［38］張婭瓊.“十四五”時期公共圖書館促進數字包容路徑探賾［J］.圖書與情報，2022（1）：118-123.

［39］潘穎，鄭建明，孫紅蕾.“十四五”時期公共文化發展沿革與融合創新：基于省級政策文本內容分析視角［J］.圖書館建設，2022（2）：150-158.

［40］金波，楊鵬，王毅.“十四五”圖書館、情報與文獻學學科發展態勢與前瞻［J］.圖書館雜志，2022，41（1）：4-16.

作者簡介：

劉浩東（2001— ），男，江蘇大學科技信息研究所碩士研究生在讀。研究方向：知識管理、專利分析。

王秀紅（1975— ），女，博士，研究館員，任職于江蘇大學科技信息研究所、江蘇大學圖書館。研究方向：專利分析、用戶信息行為。