数字档案信息资源保护方案及云平台优化

鲁 松

（华北理工大学图书馆 河北 唐山 063000）

0 引言

现有的信息保护方案分为两种，一种是对数据信息进行保护，另一种是对身份标识进行保护。 前者是通过降低数字档案清晰度来完成信息保护的，后者是采用诸如K匿名方案来隐藏用户真实身份，从而达到保护用户信息的目的［1］，通过对用户真实身份信息进行隐藏来实现保护［2］。 然而，随着Linux 标准基础（Linux standards base，LSB）服务器开销日益增加，在连续查询过程中为了降低开销往往会导致信息保护效果的降低［3］。 当前研究大多是基于第三方可否信任来衡量对档案信息隐私保护的影响，很少有研究者关注用户间的信任问题。 因此，本研究从用户间信任角度出发，来完成请求用户与协作用户之间关系的量化，对数字档案信息资源进行保护。

1 云平台方案设计优化

该方案以LSB 服务器、云服务器C 和用户移动终端为基础对系统架构进行设计，如图1 所示。

图1 系统架构

方案中的云服务器C 视为半可信，LSB 服务器和用户视为不可信。 其中，云服务器C 不传递、不存储用户的任何档案信息，只作为中间节点对数据进行处理。 无论是协作用户H 还是请求用户P，都需要在云服务器C 上进行相互验证和身份验证，以此作为构建身份信息的基础。 数字信用证书DCC内包含了用户的信用评分，以此来验证用户身份并确定用户行为的可信度。 请求用户P 通过帮助协作用户H 的方式来提高自身信用评分，以此来构建自己的信任基础。 协作用户H 可通过信用评分来判断请求用户P 是否可信，并自愿完成数据信息的发送。

数字信用证书DCC内包含的内容如式（1）所示：

式（1）中，Bn、ID、ε分别为传输编号、用户身份标识和信用评分； 云服务器C 上的云签名认证为｛SignC（Bn，ID，ε）｝ 。

考虑到云服务器分布式系统中移动终端资源受限问题［4-5］，本文方案引入半可信云服务器C 对移动设备资源开销进行分担，将移动设备计算迁移到云服务器C 上完成，以此来突破移动设备的硬件限制。 请求用户P 的每次匿名区构造都要在云服务器C 上生成一个伪身份FID，并通过伪身份进行验证和传输。 用户可通过提交历史数据的方式在云服务器C 上生成数字信用证书。 为了防止攻击者伪造数字信用证书，真实证书的传输编号可保证证书的连续性。 云服务器C 的高效处理机制可有效降低通信时延，用户完成传输后由云服务器C 来完成证书的更新和维护。 在此过程中，云服务器C 只负责数据处理，不参与用户敏感信息的处理和存储，以此降低了由云服务器C带来的数据信息威胁。

2 数字档案信息资源保护方法的实现

本文以变异系数法确定指标权重，建立用户间信任评估模型对用户信用评分进行计算。 首先，对匿名区构造过程中的属性因子进行确定，并将其量化为信用指标（包括匿名区协作响应时间TA、请求构造匿名区次数R、协作构造匿名区次数A、成功构造匿名区次数SR、协作成功构造匿名区次数SA、匿名区构造时间TR）；其次，通过用户间信任评估模型对各个指标所占的客观权重进行计算；最后，根据初始数据对最终信用评分进行计算。

2.1 信用评分计算的实现

步骤1：记录n天内第i项信用指标X的数值，并对该数值求取平均数例如，对于信用指标R来说，n天内请求构造匿名区次数的集合为｛R1，R2，…，Rn｝ ，则用式（2）表示该信用指标的平均数

步骤2：为了能够反映不同信用指标的离散程度，需要对不同维度下的信用指标值取标准差σ，该值越大说明自身评价强度越强，应该分配更多的权重。 例如信用指标R的标准差计算公式为式（3）所示：

步骤3：因为在用户间信用评估模型中，每个信用指标的量纲存在差异，不能对其进行直接比对来衡量差别程度。 为了消除量纲差异，需要引入变异系数来完成对指标取值差异程度的衡量。 例如信用指标R的变异系数为式（4）：

由此，可得到每个信用指标变异系数的集合｛V1，V2，…，Vn｝。

步骤4：得到信用指标变异系数后，可对每个信用指标进行赋权，得式（5）：

步骤5：构建能够计算最终信用评分ε的用户间信任评估模型：

2.2 匿名区构造过程的实现

为了增加请求用户P 和协作用户H 之间的可信度，需要构造一个基于用户真实数据的匿名区，本方案把匿名区构造过程视为一批数据的传输，数字信用证书DCC即为保密传输发起的凭证，云服务器C 即为传输平台。 首先，在云服务器C 上需要请求用户P 和协作用户H 进行身份真实性验证；其次，两个用户进行数字信用证书呼唤，并判断是否同意参与到匿名区构造中；最后，当完成匿名区构造后，请求用户P 向云服务器C 发送传输成功的信息，云服务器C 更新数字信用证书后发放给用户。

3 安全性分析

3.1 用户身份隐私保护

本方案是将请求用户P 和协作用户H 均视为不信任的，所以在进行传输之前，两个用户都需要在云服务器上进行身份真实性认证。 对于请求用户P 来说，身份认知成功后，云服务器会产生一个伪身份给请求用户P，以此来避免外部攻击者或协作用户获取请求用户P 的真实身份信息。 对于协作用户H 来说，在P 寻求云服务器C 的身份验证过程中，请求用户P 也会收到云服务器发来的H身份验证成功信息和H 的伪身份，以此来查证后续传输的准确性。 在此过程中，如果外部攻击者想要伪装成协作用户来获取保密传输信息，都需要通过云服务器C 和请求用户P 的查证，如果传输编号和伪身份都不符，则传输失败。 在整个传输过程中，相互发送的信息均采用非对称密钥进行加密，外部攻击者想要破译传输中所有用户的加密机制具有非常大的难度，因此保证了信息的安全性。

3.2 可信计算传输认证

数字信用证书作为准确衡量传输可信度的凭证，是整个传输过程中的保证。 数字信用证书中信用评分越高，则说明传输方具有更高的可信任度，极大程度降低了数据隐私信息的泄漏程度。 假设请求用户P 为恶意用户，想要通过发起构造匿名区请求来获取协作用户的真实信息，势必需要增加信用评分来增加自身可信度，这显然与开始设定的双方均不可信任原则相矛盾。 因此，数字信用证书的引入，在一定程度上提高了用户的参与积极性，同时也提高了匿名区内用户整体的质量。

3.3 数据隐私保护

相比传统的集中式架构来说，本方案设计的云服务器为半可信，只负责数据处理，并不参与用户信息的存储和匿名区的构造，同时云服务器C 也不会获取任何关于患者的数据信息。 在实际传输过程中，当协作用户H向请求用户P 发送获取真实信息的请求时，如果请求用户P 信用评分较低，则协作用户H 则认定P 可能为恶意用户，从而拒接响应。 对于请求用户P 来说，想要尽快构造匿名区，就需要不断提高自身信用评分，来获取协作用户的信任。 由此可见，该方案能够有效提高传输的服务质量。

4 方案应用仿真对比分析

为了验证本文方案对数字档案信息资源的保护性和匿名区构造的有效性，选择两种与本方案基于用户间信任评估模型相似的方案进行仿真对比。 选择的两种方案分别为当前应用较为广泛的基于处理器分配算法（level-bylevel，largest-task-first，binary system partitioning，LLB）的隐私保护机制和基于用户生成内容（user generated content，UGC）体系的隐私保护机制。 其中，LLB 算法机制采用分布式系统构造K 匿名区，并在此过程中采用假名服务器进行伪ID 交换，虽然通信成本较低，但交换协议耗时严重；UGC 体系机制添加了一个实体转换器和半可信第三方匿名服务器，大大提高了匿名区构造的成功率，但通信开销较大。

4.1 匿名区构造时间

匿名化程度K 值对选取匿名区构造过程中的关键参数具有很大影响。 因此，对K 值进行20 次试验取参数均值，来衡量方案性能的好坏。 如图2 所示，为匿名区构造时间与K 值的变化曲线。 由此看出，三种方案中随着K值的增加，匿名区构造时间也会变长。 相对于LLB 算法机制来说，本文方案在构造匿名区过程中不需要进行伪ID 交换，因此构造时间更短。 本文方案在用户间信任评估模型的作用下，即使K 值不断变大，协作用户还能够快速参与到匿名区构造过程中，构造时间更短。

图2 匿名区构造时间与K 值的变化曲线

4.2 通信开销

通信开销（指从匿名区构造请求发起开始到构造完成过程中，所有用户之间以及用户与服务器之间的各类通信开销总和）随K 值的变化情况如图3 所示。 由此看出，LLB 算法机制事先区分了敏感数据和普通数据，因此随着K 值的增加该方案通信开销最低；UGC 体系机制在其他两种方案通信开销的基础上增加了用户与实体转换器之间的开销，所以开销最大。 相比而言，本文方案为了保护隐私信息，构建了用户与云服务器之间的通信，但凭借云服务器的快速处理能力，使得随着K 值增加，本方案的通信开销增长缓慢。

图3 通信开销与K 值变化曲线

4.3 平均计算时延

平均计算时延与K 值的关系如图4 所示。 由此看出，三种方案平均计算时延随着K 值的增加而增大。 LLB 算法机制融合了操作系统协议（Palmcomputing， PLAM）、伪ID 交换和请求聚合三种协议，虽然降低了LSB 的响应时间，但算法较为复杂，使得平均计算时延较高；UGC 体系机制在匿名服务器高速缓存的协助下虽然平均计算时延低，但与本文方案的云服务器强大的计算能力相比，平均计算时延较高，因此在云服务器协助下，随着K 值增加本文方案平均计算时延变化不明显。

图4 平均计算时延与K 值的关系

5 结语

综上所述，针对数字档案信息云传输过程中数据隐私问题，本文将数字信用证书引入LSB 隐私保护系统中，构建了基于用户间信任评估模型，借助半可信云服务器作为构造匿名区的中间环节，以信用评分为基础实现了档案数据隐私的保护。 该方案具有真实性强、匿名区构造高效、用户终端开销低等特点。 与当前常见的两种用户数据隐私保护方案相比，该方案具有很大优势。