云环境中图书馆读者隐私保护技术模型的构建研究

孙明溪++孙晓宇++刘春琦

摘 要：云计算环境中，图书馆面临着读者隐私安全威胁。图书馆对读者数据进行存储、利用、传递过程中可能会受到多个环节的威胁，涉及读者隐私安全问题。因此，作者提出构建图书馆读者隐私保护技术模型，分别设计图书馆、用户、图书馆外方和云端4个模块，利用现代信息技术来保护读者隐私，有效实现图书馆在云环境下对读者数据的隐私保护。

关键词：云计算 图书馆 读者隐私 隐私保护 技术模型

中图分类号：G252 文献标识码：A 文章編号：1672-3791（2017）09（c）-0008-04

在云计算环境下，图书馆实现了以读者为中心，为读者提供高速、安全、便捷的资源获取和网络服务[1]。随着信息化程度的提高，图书馆在读者获取资源、使用服务的过程中将收集大量读者数据。图书馆对读者数据进行采集、存储、分析、挖掘、传递，能够有效规划图书馆资源配置，使读者服务更加人性化、个性化、科学化，大幅度提高了读者阅读愉悦感和图书馆服务市场占有率[2]。

图书馆读者数据有读者的姓名、肖像、身份证号、专业、职业、工作单位、联系方式等个人信息，还有读者使用图书馆服务与资源记录、网络访问行为，以及馆内监控与读者违章公告等。本文研究的图书馆读者不只是本馆用户，还包括其他成员馆用户。图书馆利用读者数据提供更精准服务的同时，也大大增加了图书馆读者隐私泄露的风险[3]。国际图联（IFLA）明确规定：图书馆用户享有个人的信息隐私权，图书馆员及其所属机构应保护用户的信息隐私，不论其使用何种形式的信息、享受何种形式的服务[4]。图书馆读者数据隐私保护的方式有很多种，如建立完备的法律法规、强化图书馆组织建设、提高读者隐私保护意识、采用技术保障等。本文主要探究利用技术来保障图书馆读者数据隐私安全。虽然飞速发展的信息技术在一定程度上增加了读者隐私保护的难度，但在云环境下利用技术来保障图书馆读者数据隐私安全是被广泛认可的。在图书馆存储、分析、利用读者数据时，有效保障读者数据安全是图书馆健康发展的关键因素。

1 国内外研究现状

1.1 国内研究现状

为了了解国内图书情报界学者对图书馆读者隐私的研究成果，本文选择“读者隐私、用户隐私”作为检索词，限定“学科类别（图书情报与数字图书馆）”，以CNKI（中国知网）作为文献数据库进行期刊的“主题”检索。检索结果见表1。

从表1中可以看出，国内学者对读者隐私保护的研究始于2000年，在图书情报期刊中发表论文类研究成果共553篇，其中核心期刊中涉及该领域论文160篇。

图情界学者们越来越关注该领域的研究，在核心期刊中发表的论文也逐年递增（见图1）。但从发表的论文数量来看，业界对该领域的关注度不高，这几年文献数量呈减少趋势。

1.2 国外研究现状

以Web of Science作为检索平台，选择“User Privacy”作为检索词，研究领域为“Information Science Library Science”，进行文献检索。检索时间为2009年至2017年。

本文统计的是国外图情界在核心期刊中发表论文的数量（见表2），总体呈上升趋势（见图2），与国内同一时期核心期刊中发表论文相比数量多，说明国外学者对该领域的研究更为深入。但从论文成果数量来说，图情界学者对图书馆读者隐私保护的研究还很缺乏。

2 图书馆读者隐私安全威胁

图书馆日常运行过程中有很多环节威胁了读者隐私安全。首先，图书馆能够实时监测读者借阅行为、网络动态路径、地理位置、行为习惯、社会关系等，监测数据都是在读者毫不知情的情况下获取的。同时，图书馆在为读者提供借阅服务、参考咨询服务、个性化服务、移动服务过程中，能收集到大量的读者服务数据；其次，图书馆对读者数据监管不到位，数据监管人员权责不明确，缺乏有效保护读者数据的规章制度；再次，图书馆对读者数据利用不规范。图书馆为制定科学、合理的未来发展策略，加工原始读者数据，提高其使用价值与私密程度。加工过程则是利用现代信息技术来挖掘读者数据、洞察读者需求、预测读者未来行为，这当中涉及读者敏感问题，使得读者隐私受到侵犯。另外，图书馆会与其他馆有业务往来，为了保证跨馆服务的开展，馆际之间会共享读者数据；图书馆合作商在馆内进行调试和维护过程中，能够通过后台访问到读者数据，不法分子可能会恶意篡改、窃取读者数据；最后，在图书馆日常运营过程中，也会面临系统漏洞、技术缺陷、物理环境等多方面的威胁。

3 构建读者数据隐私保护技术模型

在云环境下，图书馆读者数据在存储、利用、传递过程中受到多种方式的威胁，保护读者数据的主体不只是图书馆，还包括图书馆用户、其他图书馆、服务商和云端。因此，本文构建技术模型分为图书馆模块、用户模块、馆外方模块、云端模块。每个模块将针对上文涉及的不同种类读者数据安全威胁提出多个保护技术，模块之间相互联系构成图书馆读者隐私保护技术模型。在隐私保护技术模型中，每一个模块所包含的技术类型不尽相同（见图3）。

3.1 图书馆模块

3.1.1 数据加密技术

数据加密是通过加密算法在密钥的控制下将明文加密为密文的过程。数据加密技术是数据隐私保护最常用技术，图书馆的读者数据应当以加密的方式存储。

首先，在图书馆加密读者存储数据过程中可以采用传统的加密算法，包括对称加密和公约加密两种类型，为了汲取两种加密算法的优点，图书馆存储读者数据可采用对称加密来加密数据，用公钥加密来传递对称加密中的密钥[5]。加密技术的安全性取决于密钥的安全性，密钥具有无穷尽性、随机性、灵活性。

其次，在加密读者应用数据过程中，图书馆利用、传输读者数据可采用可搜索加密技术来加密读者数据。图书馆将读者数据加密并生成可搜索索引[6]，建立加密读者数据与索引之间的关联。endprint

3.1.2 数据扰乱技术

数据扰乱技术是指通过匿名、扰乱、添加随机变量、添加随机偏移值、替换等方法对原始的数据集中敏感信息进行替代，生成加入扰乱信息的模糊数据集进行公示和计算等操作[7]。针对实时获取的读者服务数据，采用扰乱技术来模糊读者隐私数据，防止馆内不法分子读取读者数据。

3.1.3 可回收性与所有权证明

可回收性证明（POR）与所有权证明（PDP）[8]都是验证读者数据完整性的云技术。图書馆应安排专门的责任馆员，负责读者数据库监管，定期用可回收性和所有权证明技术对读者数据完整性进行检验。特别是经过修改、利用、传递后的读者数据，更需要定期检验其完整性。

3.1.4 秘密共享技术

秘密共享技术是将秘密拆分给N个碎片交由N个人各自保管，避免秘密过于集中，只有若干个人同时进行解密才能恢复秘密[9]。图书馆在制定未来发展决策时，可采用秘密共享技术将经过加工得到的读者隐私秘密分隔开，分散保管在多个图书馆高层领导的手中。当图书馆高层要进行决策工作时，共同拿出这些秘密碎片作为发展决策的参考，从而分散读者隐私泄露的风险。

3.1.5 安全多方计算技术

安全多方计算是指在一个分布式网络环境下多个参与方各自输入某个数据参数，并得到各自相应的输出结果，不会透露其他参与各方输入输出的数据，确保参与各方的独立性[10]。安全多方技术可以应用在读者数据挖掘、分析读者阅览喜好、文献资源建设等工作中。在云技术环境中，安全多方技术尚不成熟，但具有发展前景。

3.1.6 灾备技术

灾备技术是指图书馆在面对系统故障、水灾火灾等突发事件时，能够正常运行关键业务，能利用灾备技术保障读者数据的完整、安全。常见的灾备技术是以备份为核心任务的读者数据保障技术。

3.2 用户模块

用户指的是图书馆读者、馆员，还包括成员馆访问者、服务合作商。用户模块主要包括用户访问读者数据、图书馆收集读者数据过程中涉及的读者隐私保护技术。

3.2.1 访问控制技术

访问控制技术是授权用户在合法范围内访问图书馆资源，图书馆根据用户身份及其属性来限制用户对资源的访问或对功能的使用。

访问控制（Access Control）一般包括用户授权、身份认证、访问认可、审计追踪四个基本环节[11]。具体而言，用户授权用于划定各类用户的访问级别；身份认证负责验证用户是否具备访问读者数据的资格，通常采用口令、生物特征、物理密钥、电子密钥等认证技术；访问认可环节基于授权策略赋予用户实际访问资源的权限；审计追踪记录访问轨迹，用于事后问责[11]。

3.2.2 身份识别技术

图书馆在采集读者数据时，要先通过身份识别技术得到读者授意，再获取读者数据。读者将主密钥交给可信任的第三方密钥分配中心，图书馆每次身份识别都需要通过密钥分配中心认证，保证在读者授意的情况下收集和利用图书馆读者数据，是读者意愿的实质证明[12]。

3.2.3 P3P个人隐私保护技术

P3P（Platform for Privacy Project）是个人信息安全的隐私参数选择平台[13]，能够识别多种Cookies嵌入方式。读者在P3P平台中设置读者个人隐私参数，若访问网站要求读取读者数据超出参数范围，P3P将拒绝有关Cookies并会向读者发布警告，说明网站应用读者数据目的与期限。

读者可以在P3P中设置IP地址获取允许、计算机机型获取允许、电子邮件保密设置。同时，P3P能主动告知读者图书馆将要获取那些读者数据，有利于读者维护自身权益。

3.2.4 读者浏览器隐私设置

读者在访问图书馆网站前在浏览器上进行隐私设置，编辑允许接收或拒绝接收Cookie。Cookie可称作浏览器缓存，指网站为了识别用户身份、进行session跟踪而储存在用户本地终端上的数据[14]。读者在浏览图书馆网站时，会有一些Cookies存储在读者的电脑中，图书馆可以利用这些Cookies来为读者推送个性化的资源和服务信息。

3.3 图书馆外方模块

图书馆外各方包括其他图书馆、图书馆服务商等，馆外各方访问图书馆读者数据、图书馆向外方传递读者数据均存在安全隐患，馆外方技术模块主要保障图书馆在对外交流过程中读者隐私数据安全。

3.3.1 数字签名技术

数字签名技术是云环境下实现网络信息传递的核心技术，指在电子数据文档中添加一组特定的密码或符号，用于识别数据发布者身份及承诺，数据接收方能够向第三方证明其收到文件真伪性而采取的一种措施[15]。图书馆在参与图书馆联盟等组织、与服务商合作的过程中需要传递读者数据，可以将数字签名密码加在读者数据中保证数据传输的安全，杜绝篡改读者隐私数据等不法行为。

3.3.2 安全通信

安全通信是保障信号的安全，为读者数据安全传输提供了物理基础。图书馆读者数据的传输包括图书馆内各部门间传输、图书馆与图书馆间传输、图书馆与服务商间传输等类型。在云环境中，根据不同的传输类型采用SSL（安全套接层）、TLS（传输层安全）、VPN（虚拟专用网络）和IPSec（因特网协议安全性）[16]等安全技术来保障信号的安全。

3.3.3 SSL VPN技术

SSL VPN是采用SSL协议来实现远程接入的一种新型VPN技术，是解决远程用户访问敏感数据最简单最安全的解决技术[17]，它增强了图书馆安全访问和安全的级别和能力[18]。

3.3.4 匿名化技术

K-匿名化技术是保护网络发布信息的技术，通过扰乱的方法使得发布的信息存在至少K个不可区分的记录，不能唯一标识，数据窃取者不能判别出隐私信息数据所属的具体个体，从而保护了用户隐私[19]。K-匿名通过参数K指定用户可承受的最大信息泄露风险[20]。endprint

3.4 云端模块

图书馆可以将读者数据存储在网络云中，采用属性加密算法[21]加密云端数据。另外，云灾备是一种利用云技术为图书馆提供读者数据保存、管理的灾备服务，快速实现图书馆读者数据的灾备目标，降低灾备投入成本和工作强度。

4 结语

云计算环境大大提高了图书馆使用读者数据效率、降低了图书館存储读者数据成本，但同时也为图书馆读者数据隐私安全保护带来了极大的挑战。本文在分析了图书馆读者数据隐私安全威胁的基础上，提出了图书馆读者隐私保护技术模型，以图书馆为核心，围绕用户、其他馆、服务商开展读者数据技术保护，实现图书馆读者隐私有效保护。

但本文的不足之处是，只在理论层面上讨论了利用技术保护图书馆读者数据隐私安全的问题，接下来应当开展对技术保护模型的实践应用研究。

参考文献

[1] 刘立龙.云时代图书馆的读者服务拓展[J].中国成人教育，2015（15）：62-64.

[2] 马晓亭.大数据时代基于服务等级协议的图书馆读者隐私感知与保护研究[J].情报理论与实践，2014，4（37）：57-60.

[3] 田淑娴，许春漫.国外图书馆用户隐私保护指南文本分析与启示[J].图书情报工作，2015（18）：61-65，116.

[4] 汪强.用户个人信息保护有法可依[J].图书馆工作与研究，2014（4）：8-12.

[5] 蔡红云，田俊峰.云计算中的数据隐私保护研究[J].山东大学学报：理学版，2014，49（9）：83-89，96.

[6] 李经纬，贾春福，刘哲理，等.可搜索加密技术研究综述 [J].软件学报，2015（1）：109-128.

[7] 贾哲.分布式环境中的信息挖掘与隐私保护相关技术研究[D].北京：北京邮电大学，2012.

[8] Rajat Saxena，Somnath Dey.Cloud Audit： A Data Integrity Verification Approach for Cloud Computing[J].Procedia Computer Science，2016（89）：142-151.

[9] 肖青华.秘密共享及相关应用研究[D].杭州：浙江大学，2005.

[10]赵川.实用安全两方计算理论研究[D].济南：山东大学， 2016.

[11]张玉清，王晓菲，刘雪峰，等.云计算环境安全综述[J]. 软件学报，2016，27（6）：1328-1348.

[12]徐险峰.图书馆用户隐私权保护研究综述[J].图书馆建 设，2010（7）：30-34.

[13]易斌，方锦平，陈淑文.图书馆读者隐私的自我保护问题 与对策研究[J].图书馆学研究，2012（9）：93-95.

[14]沈海波，洪帆.基于Cookie的Web服务安全认证系统[J]. 计算机工程与设计，2006，27（5）：762-764，881.

[15]曹阳.基于秘密共享的数字签名方案[J].重庆邮电大学 学报：自然科学版，2015，27（3）：418-421.

[16]云计算——隐私保护技术[EB/OL].http：//wenku.baidu.com/link？url=8LugCHODyRVs3OVP-_K82a9mpfFYd_f1e5Xy9sqOP-Wo4BwPNHJSaMixe6fEC6kXmGJYcFmRT1CWjB0fm1Km4wY73SoKSprkxYBi7wT89v，2017-04-26.

[17]刘东，王双，周静.量子密钥在电网SSLVPN中的应用[J]. 电网技术，2014（2）：544-548.

[18]朱意秋.基于SSL协议的VPN技术研究和实现[J].轻工 科技，2015（5）：55-56，76.

[19]汪小寒，罗永龙，江叶峰，等.基于KD树最优投影划分的K匿名算法[J].南京大学学报：自然科学，2016，52（6）：1052-1064.

[20]宋金玲，刘国华，黄黎明，等.K-匿名隐私保护模型中K值 的优化选择算法[J].小型微型计算机系统，2011，32（10）：1987-1993.

[21]王彩芬，邓云霞，牛淑芬.一个新的理想格上基于属性的 加密方案[J].计算机工程与应用，2016（17）：123-127.endprint