云环境背景下基于风险评估的多服务请求隐私保护方法分析与探究

寇琳琳

（东北财经大学管理科学与工程学院，辽宁 大连 116025）

0 引言

云计算技术是计算机技术和信息技术共同发展而生的时代产物。由于具备极强的虚拟化计算优势，因此能够对大数据进行高效整合和处理，从而为社会发展带来诸多便利。云计算技术虽然有不可比拟的应用优势，但是同时也会使用户面临隐私泄露的威胁。为了解决用户的忧虑心理，切实提高云计算技术的发展水平，必须对此作出科学的安全风险评估，并对多服务请求的隐私保护方案进行研究。

1 云环境背景下的云计算技术概述

1.1 基本特点

云计算技术是由谷歌提出的一种虚拟化计算方法，能够对信息时代爆炸性的大数据进行高效率整合和处理，对社会发展带来重要的积极意义，其基本特点主要有大规模、资源共享、虚拟化、网络接入广泛、可扩展性高、按需服务等。作为信息技术变革的新时代关键，云计算技术使互联网行业实现更加集约化和规模化的发展，从而推动人类社会的飞跃性进步。云计算技术主要通过云端为用户提供数据服务，实现按需使用并服务的现代交易模式。当前国内外研究学者对云计算的定义具有多元化的特点，但是整体而言都是将云计算看作是集合大数据的资源池，当网络接入这一资源池后就可以获取相应的服务。由于该模式无需投入大量人力、物力和资金成本，因此在现代社会具有显著的发展优势。

1.2 服务模式

云环境背景下，云计算的服务模式可以分为以下三种，分别是软件即服务、平台即服务和基础设施即服务。软件即服务主要指的是通过购买软件应用许可来获得云端服务，用户无需直接购买软件，但是为了保障硬件与软件兼容，因此需要购买并需要遵循相应的许可协议，从而保障数据服务能够得到充分的利用；平台即服务主要指的是为多用户提供服务引擎，从而实现集成服务和管理，使程序开发及应用人员能够获得开发工具，并在服务商提供的开发平台实现渠道应用。在这种模式下，开放人员不需要专业的系统管理技术就能够实现网站应用程序的构建和部署；基础设施即服务主要指的是用户以互联网租赁的方式，获取网络设备、服务器、存储设备等使用权，从而实现应用系统的开发和构建，使应用成本得到有效控制。

1.3 服务流程

为研究云环境背景下云计算及其服务存在的隐私安全风险，必须对云计算的服务流程给予明确。云计算服务流程中主要涉及云服务提供商和用户两个主体，多个用户通过电脑、手机、电视、平板电脑等终端向服务资源管理系统发送请求，服务资源SaaS、PaaS和IaaS通过多元化的网络接入方式与网络相连接，云服务提供商会根据收集到的数据及各种反馈信息部署工具，并对数据进行更新，并反馈到管理系统，再由管理系统完成对用户的服务。如果用户做出删除操作，管理系统会在验证用户信息合法后执行该操作，并且对服务资源进行更新，从而完成用户信息销毁要求。

2 云环境背景下多服务请求隐私保护安全风险体系设计

2.1 风险来源

用户在网络上的隐私主要涉及账号密码、基本资料、业务往来、银行账号、搜索偏好等，而在云环境背景下，由于数据资源的庞大性，涉及到的用户隐私更加多元化，例如财务数据、浏览踪迹、位置隐私、记录信息、操作状态、软件使用习惯等，由于云环境背景下的虚拟程度更高，因此用户的隐私安全存在更大风险。就云环境背景下隐私安全风险的来源来看，主要包括以下几方面内容：

其一，用户终端的隐私安全存在风险。用户终端主要指的是电脑、手机、电视、平板电脑等设备，尤其终端软件或者控件存在一些安全漏洞，因此黑客可以通过借此入侵用户终端，从而对用户的隐私信息进行盗取，同时获取用户终端的操作权。另外，一些病毒能够在入侵终端后对用户操作进行监督，从而造成用户隐私泄露。

其二，云服务存在隐私安全风险。云计算面对多用户展开资源服务，因此内部不对数据进行加密处理，这既导致云服务不具备处理加密数据的能力，也使得数据资源的传输过程中无法得到安全保障，很容易被黑客非法劫持，从而导致用户隐私被泄露。另外，用户信息在云计算系统中会被冗余备份，因此数据的扩散范围也变得更加广阔，无疑使隐私安全受到更大的威胁[1]。

其三，法律规范存在隐私安全风险。云端服务由美国谷歌公司提出，由于用户遍及全球，因此数据资源的存储和备份也具有全球性特点。如果国家法律对数据安全的相关规定不够健全，就会导致信息存在泄漏风险。而在全球范围内，用户无法得到自己的信息被非法用于何种途径，这是当前云计算技术发展亟需解决的问题。

2.2 指标建设

2.2.1 建设原则

为了保障多服务请求隐私保护安全风险体系构建的科学性和完整性，必须遵循以下几点指标建设原则：其一，目的性原则。在指标建设期间要明确云计算隐私安全风险评估这一目的，并且以此为出发点和导向，从而使各项指标能够充分反应云端服务存在的隐私安全风险；其二，科学性原则。为了使云端服务隐私安全风险的特点得到全面解析，必须确保指标经过反复分析和客观验证，从而保障其科学性；其三，实用性原则。在指标建设期间要密切关注应用现状，根据实际需求和突出问题，确保指标服务隐私安全风险评估要求；其四，独立性原则，在构建指标体系时确保每个指标能够反映不同结果，从而使安全风险得到全面评估。

2.2.2 建设过程

在对云环境背景下的多服务请求隐私保护安全风险评估指标进行建设时，可以采用专家会议法、头脑风暴法等，具体来看，主要有以下流程构成：首先，要对文献、报告、记录、文件、书籍等信息进行梳理；其次，要对影响隐私安全的主要问题进行识别并分析，以将梳理后的信息作为理论依据；第三，对云服务流程进行调研，根据主要问题选取流程中的关键指标，如果该指标在云服务流程中存在异议，就返回第一步骤进行重新操作，如果不存在异议就以此为内容构建隐私安全风险指标体系。就当前云环境背景下的隐私保护安全风险来看，主要分为两种类型，一种是一般类风险，另一种是特殊类风险。一般类风险分别指的是数据加密、监控技术漏洞、身份验证问题、访问控制问题、数据传输保护问题、密钥管理问题、操作失误问题、软件升级问题和外部恶意攻击；特殊类风险主要包括数据隔离问题、虚拟化技术漏洞、数据销毁问题、数据备份问题、审查支持问题、传输协议问题、法律遵从问题、隐私法差异问题、法律责任问题、强迫纰漏问题、数据迁移问题等[2]。

2.2.3 体系构建

总结云环境背景下多服务请求隐私保护安全风险，可以将其分成四种类型，分别是技术类型、管理类型、法律类型和其他类型，将其作为二级指标，并在此基础上构建28个云计算隐私保护安全的三级指标。其中技术类型主要包括的风险要素指标有数据加密、数据隔离、数据销毁、虚拟化漏洞、网络监控、身份验证、访问控制、数据传输保护和外部恶意攻击；管理类型的风险要素指标有密钥管理、数据备份、审查支持、操作失误、内部人员、网络监控、身份验证、访问控制和云服务被迫中止；法律类型主要包括法律遵从、法律差异、法律责任、强迫披露、数据备份和审查支持；其他类型主要有云服务锁定、数据迁移、软件升级和云服务被迫中止。

3 云环境背景下多服务请求隐私保护安全风险体系评估

在具备隐私保护安全风险指标的基础上，可以采用以下方法对云环境背景下多服务请求的隐私保护安全风险进行评估，分别是模糊集合和隶属度矩阵法、风险因素熵权系数法和马尔科夫链与转移矩阵法。首先通过模糊集合构建风险隶属度矩阵，然后根据信息熵原理确定熵权向量，再通过马尔代夫涟原理明确转移矩阵和风险概率[3]。

在建立模糊矩阵时，主要对资产影响、威胁频度和脆弱性严重程度在1～5范围内进行赋值，将其等级设置为高、较高、中等、较低和低，然后由专业人员结合实际情况给予打分，并且计算出平均值，用以下公式对结论进行归一化处理，最后得到模糊矩阵。

在明确风险熵时，主要就每个风险指标的资产影响、威胁频度和脆弱性严重程度进行计算，其计算公式如下所示：

在确定稳态概率时，着重对转移矩阵进行构建，对各隐私的风险类型进行归一化处理，然后得到归一化处理后的风险类型转移矩阵，最终对各个以下求解公式得到资产影响、威胁频度和脆弱性严重程度的风险概率：

4 云环境背景下基于风险评估的多服务请求隐私保护方案设计

4.1 保护现状

现阶段云环境背景下的隐私安全保护主要包括以下几方面内容，分别是云数据安全隐私保护、用户身份隐私保护和云服务请求隐私保护。就数据安全隐私保护来看，主要保障云端数据完成可用，不会受到用户以外主体的访问或者修改。因此需要实施审计认证、机密代理、数字签名、访问控制等保护方法；就用户身份隐私保护而言，主要对云用户的基本信息和访问踪迹进行保护。由于云端在提供服务时需要访问用户的信息，因此很多用户对自身的隐私安全存在忧虑。为此云端可以通过固定的第三方完成信息认证这一操作，然后与用户构建联系、提供服务，但是在这一过程中，需要充分保障第三方认证的可靠性，从而解决用户对隐私泄露的担忧；就云服务请求隐私保护而言，很多用户常常会忽视这一步骤。例如用户在浏览某一药品信息时，云服务没有对这一过程给予隐私保护，因此用户所患疾病这一隐私可能遭到泄露。云服务请求隐私保护可以有效避免来自外部的恶意攻击，但是云服务供应商会不可避免的掌握这一隐私信息，为此可以采用噪声混淆方法，对真实数据形成干扰，从而使攻击者或者供应商无法判断真实数据，以此保护用户的敏感信息。

4.2 保护方法

根据保护现状分析可知，当前云环境背景下的隐私安全保护主要采用审计认证、机密代理、数字签名、访问控制等保护方法保障云数据安全，利用第三方认证保障用户信息安全，而云服务请求隐私保护是一个全新的研究方向，能够有效应对当前云服务请求存在的隐私安全风险，从而在科学评估各项风险概率基础上，使云服务隐私安全风险保护体系变得更加完善[4]。

噪声混淆法主要指的是在用户应用云服务的过程中，将用户搜索并浏览的真实信息与噪声数据相结合，从而使用户的真实信息变得模糊，非法获取用户信息者即便截获信息也无法准确辨认，从而到达隐私安全保护的目的。而云端隐私保护请求中为用户提供噪声混淆这一保护服务，当真实信息经过噪声混淆处理后，云端服务商同样无法判断用户的真实信息，从而使用户隐私安全得到保护。

如下图1的模型所示，QU和QN分别代表的是用户对服务器发动的真实请求和噪声请求，当这两种请求同时被发送到选择器时，选择器会同时处理两种请求，其中真实请求以1～ε的概率发送，而噪声请求以ε的概率发生，最终服务器会生成一个QS序列，由用户自主选择概率的大小，因此生成的序列是没有规律的。在这种情况下，除用户之外的所有个体都无法判断真实信息。

图 1 基本噪声混淆模型Fig.1 Basic noise confusion model

在基本噪声混淆模型的基础上，可以从风险评估及安全信任的角度出发，构建更加完善的噪声混淆模型。为此可以在选择器处理阶段加入计数器，在用户发送真实请求和噪声请求后，由计数器获取QS的统计规律，从而使噪声的生成具有一定规律。用户不需要再随意选择固定的概率值发送请求，只需要根据信任模型的规律计算结果，就能够掌握一个具有动态性的概率值，以此使选择器的噪声混淆处理过程变得更加灵活多变[5]。

5 结论

综上所述，针对云环境背景下基于风险评估的多服务请求隐私保护方法的探究是非常必要的。要制定切实可行的隐私保护方案，必须对云计算技术存在的隐私安全风险给予科学评估，从而在全面了解并掌握风险的基础上，合理利用存储访问模式，构建隐私保护模型，对用户的隐私安全风险给予有效化解，以此保障云计算技术的应用安全，提高技术水平。希望本文能够为研究这一课题的相关人员提供参考[6-8]。