面向版式文档的细粒度隐私操作控制方法_尹沛捷.pdf

2023 年 5 月 Journal on Communications May 2023 第 44 卷第 5 期 通 信 学 报 Vol.44 No.5面向版式文档的细粒度隐私操作控制方法 尹沛捷1,2，李凤华1,2，牛犇1，罗海洋1,2，邝彬1,2，张玲翠1（1.中国科学院信息工程研究所，北京 100085；2.中国科学院大学网络空间安全学院，北京 100049）摘 要：针对隐私信息频繁交换场景下不可控转发导致的隐私信息泄露问题，提出了一种面向版式文档的细粒度隐私操作控制方法，可实现隐私信息在分享过程中按分享者的要求进行差异化细粒度的隐私操作控制。对接收到的多模态版式文档提取已有隐私操作控制策略，结合当前分享者使用属性、接收者隐私保护能力等因素，迭代生成隐私操作控制策略，并给出了抽象化的控制策略生成算法框架；基于迭代隐私操作控制策略，结合具体操作场景，对不同模态的信息分量进行差异化脱敏控制、交换边界控制和本地使用控制，并给出了抽象化的隐私操作控制算法框架。实验开发了 OFD 的隐私操作控制前后台原型系统，并对上述方法进行了验证，在即时通信系统中实现了基于好友关系的迭代隐私操作控制策略生成与传递，以及 OFD 的差异化脱敏控制、交换边界控制和本地使用控制。关键词：隐私操作控制；迭代；版式文档 中图分类号：TN92 文献标志码：A DOI:10.11959/j.issn.1000436x.2023083 Fine-grained privacy operation control method for layout documents YIN Peijie1,2,LI Fenghua1,2,NIU Ben1,LUO Haiyang1,2,KUANG Bin1,2,ZHANG Lingcui1 1.Institute of Information Engineering,Chinese Academy of Sciences,Beijing 100085,China 2.School of Cyber Security,University of Chinese Academy of Sciences,Beijing 100049,China Abstract:In view of the problem of privacy information disclosure caused by uncontrolled forwarding in the context of frequent exchange of privacy information,a fine-grained privacy operation control method for layout documents was proposed,which could achieve differentiated fine-grained privacy operation control according to the requirements of the sharer during the sharing process of privacy information.For the received multimodal layout document,the existing pri-vacy operation control strategy was extracted,which combined the current sharers use attribute and the receivers priva-cy protection ability and other factors.The privacy operation control strategy was generated iteratively,and an abstract control strategy generation algorithm framework was given.Based on the iterative privacy operation control strategy and combined with specific operation scenarios,the differentiated data-masking control,exchange boundary control and local use control were carried out for different modes of information components,and the abstract privacy operation control algorithm framework was given.A prototype system for privacy operation control of OFD(open fixed-layout document)was developed to verify the above algorithms.The generation and delivery of iterative privacy operation control strategy based on friendship,as well as the differential data-masking control,exchange boundary control and local use control of OFD were implemented in the instant messaging system.Keywords:privacy operation control,iteration,layout document 收稿日期：20230131；修回日期：20230317 通信作者：张玲翠， 基金项目：国家重点研发计划基金资助项目（No.2021YFB3101301）；国家自然科学基金资助项目（No.61932015）；国家社科基金重大项目（No.22&ZD147）Foundation Items:The National Key Research and Development Program of China(No.2021YFB3101301),The National Natural Science Foundation of China(No.61932015),Major Programs of the National Social Science Foundation of China(No.22&ZD147)第 5 期 尹沛捷等：面向版式文档的细粒度隐私操作控制方法 95 0 引言 随着信息技术、网络技术的不断发展，万物智慧互联、信息泛在共享成为未来网络发展趋势。在社交媒体、在线办公等各种新应用模式的带动下，版式文档在不同用户分组、不同即时通信系统内等广泛交换已成为常态。近年来，隐私泄露事件层出不穷，引发众多关注。用户一旦与他人分享文档，任何一个接收者都可以对其进行浏览、转发、修改等处理。后续分享者经常会违背信息的隐私操作控制要求，还会不受限制地交换分享给其他人。以微信为代表的即时通信系统会基于每一个分享者自身的好友名录交换信息。如图 1 所示，分享者 u11向自己的好友分享信息，其分属于多个朋友圈。首次分享时，分享者u11向自己所有的好友（u12、u13、u14和u15）分享信息（如图 1 中实线箭头表示）。其中，u14和 u15这 2 个好友收到信息后，又向其分别所属的其他朋友圈进行迭代分享（如图 1 中虚线箭头表示），就会将信息传递给 u21、u22和 u23这 3 个接收者。图 1 迭代信息分享场景 对上述迭代信息分享场景进行抽象建模，得到如图 2 所示的隐私操作控制关联关系及传递。Alice（可以将她抽象定义为第 i 次分享的信息来源，记为 Si1）想将一个版式文档通过即时通信系统发送给朋友 Bob 和 Cindy（可以将他们抽象定义为第 i 次分享时的当前信息持有者，标记为 Si）；Cindy 在查看、编辑后，又将该版式文档发送给自己的朋友 Dale 和 Eric（可以将他们抽象定义为第i 次分享时的信息接收者，标记为 Si+1）。Alice 的诉求是只想分享给自己的朋友，Bob 和 Cindy 是Alice 的朋友，Dale 和 Eric 是 Cindy 的朋友，却不一定是 Alice 的朋友。Cindy 再分享的行为对 Alice来说是不可控的，甚至，Alice 如果不希望分享给Dale 和 Eric，那么 Cindy 的再分享就违背了 Alice最初的分享诉求。将分享进行归纳如下：在信息分享过程中，Si1将信息分享给 Si，Si再分享给 Si+1，信息要根据三者的传递关系和各自接收者的不同，逐渐减少信息所含内容。图 2 迭代信息分享的隐私操作控制关联关系及传递 为解决在交换、处理等分享过程中隐私信息不可控的多次转发所带来的隐私泄露问题，研究者将隐私保护与访问控制技术相结合1-3，围绕隐私操作控制策略生成和隐私操作控制 2 个方面提出了不同的解决方案。在隐私操作控制策略生成方面，分别基于风险4-5和时间3,6-7等要素对控制策略进行动态调整，同时将策略与信息进行关联，确保控制策略随信息流转8-10。在隐私操作控制中的脱敏操作控制方面，根据算法的保护效果选择脱敏算法，从而实现细粒度的脱敏操作控制11-12；在隐私操作控制中的交换边界控制方面，构建信息流动最小管控单元，对信息流动进行细粒度控制13-14。但上述方法不能根据访问场景和用户意图调整隐私操作控制权限，且未能将动态调整权限的策略与信息绑定来实现约束信息后续的脱敏、交换和使用等隐私操作控制。针对上述问题，本文从信息迭代分享的应用需求出发，提出了一种面向版式文档的细粒度隐私操作控制方法。具体地，该方法包括能够提取所有分享者要求的迭代隐私操作控制策略生成方法和能够执行该策略的版式文档隐私操作控制方法，并在即时通信系统内信息交换过程中进行验证。根据迭代隐私操作控制策略，对版式文档的不同模态对象选择合适的脱敏算法进行差异化脱敏控制、交换边界控制和本地使用控制，再将隐私操作控制策略嵌入脱敏后的版式文档传递给接收者，实现细粒度隐96 通 信 学 报 第 44 卷 私操作控制，限制其脱敏、交换和使用。本文主要的贡献点如下。1)提出一种迭代隐私操作控制策略生成方法。该方法基于前序分享者的隐私操作控制要求，结合当前分享者的使用属性、接收者的隐私保护能力等因素，迭代生成隐私操作控制策略，并以版式文档为例说明该方法的应用。2)提出一种版式文档隐私操作控制方法。该方法基于迭代隐私操作控制策略，结合具体操作场景，对信息分量进行具体的隐私操作控制。本文对隐私操作控制进行抽象，并给出版式文档的差异化脱敏、交换边界控制和本地使用控制 3 种典型操作控制模式，以此说明该方法的应用。3)开发 OFD（open fixed-layout document）的隐私操作控制前后台原型系统。该系统可以实现基于好友关系的 OFD 迭代隐私操作控制策略生成与传递，以及 OFD 的差异化脱敏操作控制、交换边界控制和本地使用控制 3 种典型操作控制模式。1 相关工作 本节从控制策略生成和隐私操作控制 2 个方面对现有相关解决方法予以梳理。1.1 控制策略生成 大多数已有控制策略生成方法在将信息分享给他人后，无法更新本地策略并控制他人在同一场合或其他场合将信息再次分享。然而，信息不可控的多次分享可能被用于挖掘更多的隐私，严重威胁隐私保护。信息分享的控制过程离不开在传递策略的过程中对其进行的不断调整。Karjoth 等8提出了一种称为“粘性策略”的跨系统访问控制方法，将访问控制策略绑定到原始信息上，从而解决跨系统交换的问题。Pearson 等9