基于谷歌云计算的隐私管理的设计与实现.doc

基于云计算的隐私管理Siani Pearson, Yun Shen和 Miranda MowbrHP Labs, Long Down Avenue, Stoke Gifford, Bristol BS34 8QZ, UKsiani.pearson，yun.shen，miranda.mowbray 摘要我们描述了一个基于云计算的隐私管理器，从而降低了使用云计算的用户个人数据计算被窃取或滥用的风险。同时也协助云计算的供应商符合隐私法。我们描述了此管理器不同可能的架构;模糊是隐私管理的特征之一，我们对模糊化以代数性的描述;同时描述隐私管理器如何用来保护个人网络照片的元数据。关键词：云计算，隐私1引言这篇论文中，我们描述了一个基于云计算的隐私管理器，从而降低了使用云计算的用户个人数据计算被窃取或滥用的风险，同时也协助云计算的供应商符合隐私法。云计算成为一个日益流行的业务模式，所提供的服务主要针对的是并不拥有或管理硬件的客户。用户通过云服务将输入数据上传到云端，这意味着它们通常会导致数据以未加密的形式出现在用户不拥有或控制的计算机上。这固然带来了一些隐私方面的挑战。存在云端数据有被云服务供应商中的无赖员工或闯入服务提供商计算机的数据窃取，甚至如果在分享同一云端同一设备上分离不彻底的话，客户的数据还可能被其他客户窃取。在某些情况下，政府在数据被处理和存贮的地方有合法的权利查看 1,2。还存在一种风险，即数据可被放置到未经授权的使用。这是云计算的服务标准业务模式的一部分，供应商获得的收入可能来自用户的数据授权的二次使用，最常见的是广告的目标。然而，一些二手数据的使用并不受数据所有者的欢迎（例如，详细的销售数据，其竞争者的转售）。目前，对这种二次使用没有技术障碍。但是，对待由云计算提供的用户私有数据有一些法律的约束。隐私保护法律根据辖区的不同而不同，但欧盟国家一般只允许个人身份信息进行处理，如果数据对象知道处理过程和目的，以及地方特殊敏感数据的处理的限制（例如，健康或财务数据），数据拥有者对这样一部分的数据明确同意加工3。他们普遍坚持数据最小化的概念，也就是说，除非这些信息对满足规定的目的是必要的，它们要求不允许收集或处理个人身份信息。在欧洲，资料当事人可以拒绝让他们的个人身份资料要用于营销目的4。此外，对于个人可辨认的数据存储的设备在地理位置上有安全方面的要求。如果这些服务不能保证他们使用的机器得到充分的保障，例如英国处理数据对个人客户提供一些云计算服务不保证他们所使用的机器是足够安全的，他们可能会发现自己违反英国数据处理法5。欧洲法律限制跨境数据传输，也可能会禁止使用云计算服务来处理这个数据，如果它们存储在隐私保护法不完善的国家 6。本文的结构安排如下。在第2节，我们提出我们的解决方案，这是云计算隐私管理器的形式。在第3节我们讨论云计算不同架构的隐私管理，给出隐私管理器是一个什么概念。我们还描述了可信计算的机制7可以用于增强隐私管理能力。在第4节我们描述了数学术语中的模糊。我们举一个代数配方模糊的任务的例子，不同的模糊代数规格方法适合于特定的实例。在第5节我们讨论一个在线照片管理，并呈现一个用于对本应用程序中隐私管理的应用场景。在第6节，我们回顾以前管理隐私管理数据存储库的办法。本文的结论与一般的分析和下一步的讨论。2解决方案：隐私管理我们解决这些问题的处理方法是一个隐私管理器，它可以帮助用户管理在云中的隐私数据。作为防守的第一道防线，隐私管理器使用一个称为可能的混淆处理。思路是：用户的私人数据被以加密的形式发送至云端，该处理过程是以完成加密数据的形式完成，而不是未加密就发往云端。该处理的结果是通过模糊处理的隐私管理器来显示正确的结果。 （我们称之为模糊处理，而不是加密，因为一些信息呈现在原始数据一般仍存在模糊的数据。）使用模糊处理方法由用户选择，并通过隐私管理器已知的密钥，但是这并不连到服务提供商。因此，服务提供商不能够模糊处理用户的数据，该数据不会显示在服务供应商的设备中，减少（甚至消除）从云端被窃取及数据的未经授权被使用的风险。此外，模糊化的数据不是个人身份信息，所以服务提供商并不受适用于模糊处理的数据处理的标准限制。使用模糊，使得数据可以由原理最小化合法代价被使用。然而，所有云应用程序和加密数据都使用模糊处理是不实际的。对于需要用户传输个人数据到云端的应用程序，隐私管理包含两个额外的功能，称为偏好和属人性。这可以帮助用户与服务供应商提出自己对于这些个人数据的使用意愿，从而使服务提供商满足需要用户许可标准的规定。首选项功能允许用户设置以模糊方式存储在云端的个人数据。类似的方法已经在P3P8和PRIME9采用。这个功能在云端执行与这些偏好相应的策略执行机制。该偏好可以与发送到云端的数据相关联，并且可以选加密绑定（在发送方和接收方共享密钥的基础上发送）。对于隐私数据的粘着性，公共密钥包络技术可以使用。另外，也可以使用基于策略凭证的加密（一种基于标识符的加密（IBE）技术）10：该政策可直接作为IBE加密密钥对传输材料加密11 。偏好规范的一部分可以涉及的量，个人数据可能在云内使用的目的，通过使用12规定的机制，在云中核对之后的访问控制被调出。角色功能允许用户与云服务交互时选择多个角色。在某些情况下，用户可能希望匿名的。而在其他情况下，用户可能希望部分或完全公开他的身份。用户选择的角色提供了一个简单的接口来实现通过偏好特性使可能复杂的数据使用偏好连接到服务提供商,并且还可以决定哪些数据项将被模糊处理。本文扩展了文献13中提出的一种基于客户端的隐私管理器的基本思想。我们描述对于一个隐私管理器在云计算中使用的几种不同的可能的架构，隐私管理器在用户的客户端内不只有一个;我们展示了可信的计算是如何增强此方法的;我们给出模糊是非机制在隐私管理器中的一般数学描述;我们描述一个应用在一个特定的场景 - 照片管理在云端以及一个允许调查隐私管理如何帮助用户在云端保护个人信息的隐私管理器的实例。3架构选项在本节中，我们描述了云计算隐私管理的不同可能的架构，并演示可信的计算如何加强这一做法。最合适的架构取决于云设施部署用于某些特定的环境,和各方之间的信任关系。3.1 客户端中的隐私管理器我们的解决方案的整体架构如图1所示。隐私管理器软件客户端可以帮助用户访问云计算服务时保护自己的隐私。隐私管理器的一个主要特征是它可以提供一个模糊处理和去模糊化的服务，以减少云端存储的敏感信息的量。如需更多详细信息，请参阅第4节。此外，隐私管理器允许用户表达他们的个人偏好隐私首选项信息，包括模糊的使用的程度和类型。属人性 - 以图标的形式对应隐私偏好 - 可以用来简化此过程，使其对用户更加直观。例如，可能有一个图标对应个人设定，其他图标对应在特定情况下的保护等级较低的个人数据。用户的属人性将通过云服务的交互定义。属人性可以由用户来定义，这一系列的默认选项可能是可用的。图1 基于客户端的隐私管理器像那些正在由可信计算组开发中可信的计算解决方案（TCG）14，可以处理的数据的较低级别的保护，这样就可以在我们的解决方案被利用。 TCG是一个设置，设计和开发规范计算的组织，创造一个信任的、基础软件过程的基础上平台，少量的额外的硬件称为可信平台模块（TPM）14。一台机器内这个防篡改硬件组件作为一个根信任。从长远来看，所指定的TCG可信计算将提供加密功能，秘密基于硬件的保护的存储，和用于安全引导和完整性检查平台证明和机制7 。某些厂商和开放源代码的操作系统正在发展联盟保护计算环境，如Linux可以进一步支持TCG设施。有关如何可信计算可以用来提高自身的隐私，请参见15的详细资料。作为对我们的解决方案的增强，客户端计算机上的TPM可用于保护加密密钥，并提供进一步的好处。隐私管理器软件和链接加密的敏感数据的方法可以由TPM来保护（参见图1）。该TPM可提供加密服务，也允许隐私管理器软件的完整性检查。在一般情况下，可信计算可以提供基于客户端的隐私管理的主要好处是硬件基于加密的功能性、保密性和完整性。在保密性方面，它通过防止篡改基于硬件的密码保护的方法，减少无抵押获取秘密材料的风险。此外，在该平台上的受保护数据不被其他平台可以使用。可信计算可以在隐私管理软件，诚信平台和平台身份上产生更大的信任。3.2混合云中的隐私管理器 作为替代方案，如图2所示，隐私管理器可以部署在本地网络中， 或私有云中，以保护多方相关信息。这将是适合于的环境，如企业环境中，本地重点保护的信息控制在一个适当的方式中，其主要用途是控制个人信息传递给公众云。隐私管理器本身可以在内部云中虚拟化。注意，在TPM也可能是在私有云中虚拟化。图2企业为重点的隐私管理器 这种方法的优点包括云计算可以在私有云内获得的好处，和最有效提供的隐私管理器功能。它可以提供企业控制敏感信息的传播,和符合当地的规定。一个显著的问题是可扩展性，在这个意义上的隐私管理器可能会拖慢交通，提供瓶颈，它可能无法充分管理于服务之间公开的信息。 相对于该类型的体系结构有各种不同的选择。例如，代理能力可以被组合，即使在以分布方式，与其他的功能，包括身份管理。另一个例子是可信赖虚拟机可被用在私有云来支持强有力的实施完整性和控制虚拟实体的安全策略（客户操作系统或虚拟设备运行在虚拟化平台上）。这将有可能对隐私管理器不同的属人对应不同的群体云内定义服务，使用每个最终用户设备上的不同虚拟化环境。以这种方式，虚拟化是用于从云推送控制返回给客户端平台。与前面的架构中，有可能是平台的互补认证，包括完整性检查。3.3云内的隐私信息中介 图3显示了个人隐私管理器如何可部署为一个私密信息中介（部分）17， 在不同信任域之间的中介的数据传输。个人隐私管理器将根据用户转移政策和服务条款采取行动代表用户，并决定数据传输所允许的程度，并且为最好的评估服务的可信度提供环境。为了增加透明度和问责制，通知和反馈的隐私管理器的用户也将是可取的。 该信息中介可以是由用户信赖消费者组织或其他实体。它可能替代地是，已经在云内是否存在一个实体，以便提供一种替代功能，如身份提供者或核数师，而功能可能是一个扩展。例如，开源项目18实现了密钥管理和用户管理，分离的云基础架构的加密密钥。密钥管理角色可能扩展到一般的信息中介作用。该信息中介也可能在检查用户偏好纳才发挥作用，提供的解密密钥用于解密，需要以被解密为云的任何数据要提供的服务（例如，它可能是一个信托局，以提供国际教育局解密键10,11）。同样，信任基础7在确保有用的基础设施。云计算的基石是安全的，也是值得信赖和符合最安全的做法。图3 云内隐私管理器以下部分将详细列出在这些不同情况下所使用的隐私模糊机制。4模糊处理模糊处理的目的是要解决以下的一般问题。用户拥有私有数据x。他希望开展与服务提供商的一些通信服务，这将使用户了解x上的一些函数f，但并不会向服务提供商提供x通过函数运行的结果。 （函数f本身可能依赖于已知的服务提供商而不是用户，还依赖于用户提供的部分不是隐私的数据）。如果用户和服务供应商都愿意使用任何可以解决这个问题的协议，有足够的计算和存储能力的话，Yao的协议对于双方面的安全解决了这个问题，对于任意的f可以表示为一个巡回。其实，Yao的协议可以确保服务提供商不能获取关于x的信息。Yao的协议需要在用户和服务提供者之间进行的多少轮互动依赖于f的选择。金特里20，通过构建一个互动加密方案删除了这个要求，它允许服务提供商来计算由加密值x获得的f（x）的加密值，对于任何f(x)可以表示为一个电路，同时可以确保服务提供者不能获取关于x的任何信息。金特里的加密方案对于以前的同态加密进行了改进，例如21。但是，关于云计算解决方案存在两个问题。第一种是效率。金特里的全方案是不切实际的，由于其相当高的计算复杂度。虽然对于Yao的协议的效率和安全相关有了工作结构的改善，如隐私保护的数据挖掘21,22 ，但当输入数据x较大，这些方法仍然在用户端要求大量的存储或计算能力。云计算的吸引力之一在于，它可以让用户在计算资源的需求高峰时处理或储存大量数据而无需占用太多资源。其他问题是，云计算供应商可能不愿意重写他们的应用程序。如果是这样的情况下，用户不得不使用该服务所提供的功能来计算f(x)，以确定f在这种情况表示F1 . FN 。功能f的设置是它能够做到这一点没有透露x到服务提供者，取决于F1 . FN和对用户的计算资源的程度。对于一些专门的云计算服务，只有一个功能设置，这通常是一个MapReduce的风格的功能 23 。如果输入数据是一个大的数据集，一些比较通用的服务提供完整的SQL SELECT功能 24 。我们在本文中提出模糊的唯一要求是，对于服务提供商确定给出的模糊数据x是困难的 。服务提供者可以很容易地获得关于x的一些信息，但还不足以确定按x。作为一个模糊方法的不同例子，允许部分输入数据信息变成模糊学数据，Narayanan和Shmatikov 25描述了一个模糊的方法，这允许单个记录从一个模糊数据库中检索到任何可以精确地指定它们的人，同时使“大众收获”的查询相匹配的大量记录计算上不可行。至于说文献 25 ，在概念中有严格的安全定义和使用的效率宽松的张力密码学区，以及严格的效率要求，但松散的安全要求数据库社区。像数据库领域，我们优先考虑安全的定义，因为它对于隐私管理的实现是至关重要的。4.1混淆的代数模糊处理的一般代数描述如下。假设你想使用一个应用程序来计算一个输入未知的x的函数f的结果。该应用程序可以计算函数f1. Fn。（通常，但不是必须的，这些中的一个将等于函数f）。你可以使用应用程序来计算函数f如果对于一些正整数m，有加密功能的o1om，很难在不知道k的情况下由o1(k,x)om(k,x)确定x，解函数d，对于所有输入x和k，d(k, f1(o1(k,x),fm(om(k,x) = f(x) (1)执行模糊处理的计算中，第一加密x，其中每个加密功能，以形成元组（o1（k，x）.Om（k，x），使用一个关键k而不是应用程序，但不给应用程序一个密钥k。元组中的值发送到应用程序中,以从密钥k计算的值f1（o1（k，x），. fm（om（k,x），最后,应用解密函数由k获得f(x)，数值从应用程序输出。由于应用程序接收的唯一信息是元组（o1（k,x）.om（k,x），应用程序很难确定x。我们现在给计算功能混淆的一些例子。由于我们感兴趣的是使用云应用，例子中的函数f1fn是MapReduce-style的功能或者SQL SELECT命令。对于这种类型的函数，输入x包含一个列表（可能是一个很长的列表）的值xi。程序提供的功能找到这些每一个值执行函数map后的结果，然后使用reduce函数关联和交换：两种常见的reduce函数的输出结果和最大的总和结果。例1：使用隐私同态。隐私同态首先由Rivest，阿德尔曼和Dertouzos26提出。它们是加密功能与属性，对于一个固定的密钥，两个加密值的总和（或可能是一些其他操作）是原始值的总和的加密值。这些可以被用来计算形式的f函数：XXi：对J在模糊处理的方式，其中J是I的一些子集，使用可以计算该函数的应用程序。鉴于隐私同态h时，把M =1，F1= F，设定k是一个关键的h，对所有的x设置O1（K，X）等于（H（K，xi）：在I ）其中x=（xi：i于I），并集D被该函数发送y以H-1（K，Y）。然后方程（1）成立。例2：方差。上述实施例1具有这样的性质，计算出的功能是输入的线性函数。展现非线性函数可以以模糊化的方式进行计算，可以考虑计算为X =方差（Xi：i对于I），其中该值Xi是实数。既然可以做这个计算的应用程序，给一个可以计算的应用程序，用一种简单的方法计算方差，选个k作为一个实数，并设置m=1, o1(k,x)=k.x, d(k,v)=k-2.v for all k, x, v (2)例3：TC3健康。TC3健康27是一个基于云计算的公司，检查健康保险理赔代表保险公司。他们计算出函数具有这样的性质：如果病人标识符（一个名称或者医院的ID）被假的信息完全代替，所得到的输出是一样的，通过更换病人标识符的假信息输出。因此，他们能够提供检查要求，而无需辨识病人身份被释放到云服务：保险公司与（唯一的）假名代替病人标识符，发送结果输入到TC3健康，并在输出中翻译后面的假名。在上面的公式计算中：M =1，密钥k是保险公司的从病人的标识符映射到假名，O1是这张地图的应用，d是逆映射的应用。例4：股票投资网站。在这个例子中计算的函数是值x=其基的当前值（x：i对于I），I是一家企业,xi是公司，i是在投资组合中的股份数目。该应用程序提供了相同的功能，它计算的总和超过i，对于I的xi.vi，其中vi为股份公司中的当前值I：这个值是已知的应用程序，但是拥有者不知道这个应用程序有没有帮助的价值。用模糊化的方式进行这种计算的一个简单的方法是选择适当的k为正整数，并设置m=1, o1(k,x)=k.x, d(k,y)=k-1.y for all k, x, y (3)事实上，有些公司在线使用这种模糊方法时计算其投资组合的价值。代替乘上K的，可以使用任何隐私同态。然而，O1（x）的揭示了公司之股份均包含在投资组合（和他们的相对频率）。这些信息可能足以识别个人身份的投资者。此外，密钥k必须是O1（x）的条目的最小公因子的因子，所以可能容易猜想给定o1(x)和一些可能的投资组合总价值的界限。模糊处理方法，不放弃尽可能多的信息是建立几个不同的组合，使得x是这些投资组合的线性组合，并从这些组合的价值得到x的值。例如,选择一个关键k组成的地图k0: I 1,2，两种投资组合出发k1、k2和两个整数k3,k4大于1。对于任何投资组合x写作x(k,1), x(k,2)的投资组合分别为(xi: i in I, k0(xi )=1)和(xi: i in I, k0(xi )=2)。设m= 3，定义的模糊函数o1(k,x) = x(k,1) + k1, o2(k,x) = x(k,2) + k2,o3(k,x) = k3. k1+ k4.k2 + (k3-mink3,k4).x(k,1) + (k4-mink3,k4).x(k,2) (4)如果知道三元组（O1（K，X），O 2（K，X），O3（K，X），但不是k，它是难以猜测的x，并且也很难猜出该组公司的i，使得xi0或高知的相对值。通过定义反混淆函数dd(k,v1,v2,v3) = mink3, k4)-1. (k3.v1 + k4.v2 - v3) for all v1,v2,v3 (5)它是直接检查（1）持有混淆功能和反混淆功能，当两个F和F1，返回投资组合的价值功能。所以这允许在一个模糊处理的方式来计算的组合x的值。例5：SQL查询的简单模糊处理。设x=（xi：i in I）描述了SQL数据库的内容：每个xi为数据库中的一行，包含在列1至c项xi（1），.，xi（c）。对于j =1,2，. C让NJ是第j列的名称，并让VJ是一套允许在第j列的值。该应用程序可以执行SQL查询，计算形式的SQL查询：SELECT WHERE GROUP BY ORDER BY LIMIT n在模糊化的方式，其中：的形式MAX（ni）方面的非空列表，SUM（ni），COUNT（*）或Ni一段1i C，是通过组合的形式ni=nj，ni=v，或ni v的条件（对于某些1I，Jc和获得 v in Vi）使用逻辑运算符AND，OR和NOT，可能是非空列表，ex例4是或者其负面的元素，或者是空的 n是任一正整数或无穷大;如果为无穷大那么“限制N”条款从省略 查询。如果有任何，是空的，则相关的小节从查询省略。这样的查询的示例包括SELECT MAX(n3) WHERE (n7 != v7 OR n3 v3) AND n1 = n2 )SELECT n1, SUM(n5), COUNT(*) GROUP BY n1 ORDER BY -SUM(n5) LIMIT 10用于模糊处理的密钥k包含的c+1功能: 1,2,c 1,2,c, ki: Vi V(i) (1 i c) (6)选择这样的ki是求和保留（例如，它是一个隐私同态）如果SUM（ni）为在，并且是保持顺序的，如果不是MAX（ni）为在，niv出现在，或者ni出现在。混淆功能O1由下式给出o1: (k, x) (yi: 1i c) such that for all i, y(i) = ki(xi) (7)来计算模糊化形式的查询，模糊化查询的是O1执行：（K，X），其中，模糊化的查询F1（这取决于原始查询和k）通过j=(i)替换原始查询中的每个列名，其中j=（i）中，并在原代入各值v 中的形式NI= V或Ni V的值ki(v)子串所发生的查询（v）中。答案（ans1，.ansa）被解密然后使用函数d，（这再次依赖于原始查询和k），d（ans1，. ansa）=（d（ans1），. d（ansa）， d（ansj）=ki-1（ansj）如果在原始查询中的第j个元素为ni，MAX（ni）或SUM（ni）， d（ansj）=是ansj如果在原始查询中的第j个元素是COUNT（*）。简单可得，这个计算结果在x上执行原始查询的结果是一样的，因此等式（1）成立。例6：更复杂的SQL查询模糊处理在前面的例子中，在模糊输入数据库中的条目的值仅依赖于原始数据库中的一个条目的值。它可以计算出在这样一种方式，在该模糊化的数据库的某些列中的条目取决于在原始数据库中的多个条目中的模糊处理的方式选择的SQL查询。作为一个例子，考虑两个查询SELECT SUM(n2) WHERE n1 = vSELECT n1 GROUP BY n1并假设在原始数据库的1列中的值特别敏感，所以对于额外的保护，我们要避免在模糊数据库中的任何条目完全取决于在原始数据库中的第1列的元素上。选择一个密钥k由C+3 1-1功能: 1,.c1,c, : V(1) 0,1, k0: V1 V (1) ,ki: Vi V (i) , 1 i c (8)其中K2被选择为总和，和可以表示为SQL查询语言。设置M=1，通过o1: (k, x) (yi: 1i c) such that y(i) = ki(xi) for all i1,y(1) = kj(x1) where j = ( y(2) (9)定义模糊函数o1。相同的模糊函数，可用于这两个查询。建立M1，M2名称 为（1），（2），W1，W2的值在K0（V），K1（v）中。在第一个查询的情况下，设定f1到是函数计算所述查询SELECT SUM(m2)WHERE(m1=w1 AND (m2)=0) OR (m1=w2 AND (m2)=0)并集D的功能把（K，Y）带入K2-1（Y）中。在第二个查询的情况下，设置f1的函数计算查询SELECT n1, (n2) GROUP BY n1, (n2)同时d是其中给定密钥k和对的列表（Y1，Y2）与Y2在0,1的函数，计算KY2-1（Y1）的每对中的列表，并返回的列表获得独特的结果。至于其他的例子中，它是直接检查两个查询方程（1）式成立，所以该查询被计算在模糊化的方式。在本节中，我们描述了可以使用的隐私管理的各种不同的模糊处理机制。不同的功能，有不同程度的混淆，可以提供给用户的喜好通过内部的隐私管理中指定。这个过程可以通过使用属人之变得更直观，如第2节所述。以下部分提供了这种做法，是全面落实的例证。5在线照片场景本节着眼于一个特定的场景，并介绍了隐私管理器如何在这种情况下操作。特别是，我们讨论的用户界面这个应用程序的隐私管理器。5.1方案：云照片应用Vincent是一个专业的摄影师和地理杂志自由撰稿人，喜欢拍摄照片，旅行和写文章。他也是一个社会人，喜欢与家人和他订阅了摄影论坛成员分享照片。Vincent最近买了一个新的专业数码相机内置的全球定位系统（GPS）模块，它提供了一个NMEA数据流，从该摄像机可以提取图像中的位置信息（经度和纬度）和记录元数据的位置照片的拍摄。此功能可帮助他跟踪和组织照片地理。Vincent采用的是商业数码影像网站，在网上分享自己的照片和定做各种产品，如照片卡，T恤，和日历，展示他的照片。他喜欢网站的简单和直观的用户界面。Vincent很快意识到包含在他的新相机拍摄的照片的位置信息可以揭示他的房子的位置和他的旅游模式。这样的GPS信息可以很容易地和准确地显现在谷歌地球。随着越来越多的人使用GPS功能的相机，公司拥有该网站推出新的Privacy Manager帮助人们混淆这可能揭示他们的私人信息的某些元数据属性 - 例如位置信息。通过使用这种隐私管理器，图片只有所有者可以访问的模糊属性。图片的质量不受影响。图4 隐私管理器用户界面5.2隐私管理器用户界面我们已经建立了这个场景中使用了隐私管理器的演示。隐私管理器的用户界面，如图1所示，最终用户选择将通过一定的云服务来共享图像。具体的属人，例如家庭，企业，匿名等，将被应用来混淆与照片相关联的某些属性。用户也可以自定义属人（即所选择的属性来使用某些混淆方法进行模糊处理）通过更改默认通过隐私属人配置窗口设置。使用的隐私管理器，只有所有者有控制的属性和底层混淆方法（如第4节所述）是透明的最终用户。然而，这种方法不会影响照片质量，仍然允许这些照片进一步加密。6往前途径隐私管理数据存储库由于在本文中我们感兴趣的是管理数据被发送到一个数据库中的云。在这一部分，通过回顾以前的一般方法，我们把这项工作放在更广阔的背景下。以隐私管理的数据存储库中，对于隐私的各种技术已经制定，以确保存储的数据是在一个私密兼容的方式访问。一些机制和解决方案已经建立加密的机密数据，当它被存储在数据存储库，对于例子的解决方法使用半透明资料库28。这些解决方案大多数集中在保密性和访问控制方面，以及在提供涵盖方面超越身份验证和授权策略驱动机制缺乏灵活性。29,30描述了XML文档的访问控制策略为基础的加密机制。 29描述了一种机制用于细粒度部分XML文档，其中解密密钥可以被授予数据接收器或从LDAP服务器收集的基础上，数据接收机的凭据进行加密。30侧重于相关的加密机制。希波克拉底资料库31包括保护他们所管理的数据的保密机制。他们提出的架构是基于隐私元数据（即隐私政策）关联到存储在数据仓库的数据，随着机制的强制隐私的概念。这种方法的缺点是，它可能需要对当前的数据仓库体系结构做重大改变，因此可能会需要很长的时间，需要大量的投资（由所有参与方）。此外，这种方法没有考虑到隐私的管理跨数据库边界跨越：这样的管理，必须在更广泛的范围内进行云计算。虽然现在从现在的产品中撤回，IBM的Tivoli隐私管理器32提供的机制来定义细粒度的隐私政策，并与数据相关联。隐私政策包含授权约束以及有关的上下文信息和意图的约束。这种方法从访问控制的角度讨论了一个企业内的隐私管理问题。它不包括额外的方面相关的隐私管理云计算，例如信任管理和处理由立法和企业指导指导而成。另一种方法是基于在数据被从标准数据存储库中检索，并且这些数据的某些部分进行加密，并与隐私策略33相关联的自适应隐私管理系统。此举旨在使目前的数据仓库技术的使用，减少到最低限度对他们的影响，在需要改变的方面：数据仓库仍然可能发生，但在