The VLDB Journal (2008) 17:603–619

DOI 10.1007/s00778-006-0023-0

REGULAR PAPER

Purpose based access control for privacy protection in relational

database systems

Ji-Won Byun · Ninghui Li

Received: 30 September 2005 / Accepted: 24 May 2006 / Published online: 1 September 2006

copy; Springer-Verlag 2006

Abstract

In this article, we present a comprehensive

1 Introduction

approach for privacy preserving access control based on the

notion of purpose. In our model, purpose information asso-

ciated with a given data element specifies the intended use

of the data element. A key feature of our model is that it

allows multiple purposes to be associated with each data

element and also supports explicit prohibitions, thus allow-

ing privacy officers to specify that some data should not be

used for certain purposes. An important issue addressed in

this article is the granularity of data labeling, i.e., the units

of data with which purposes can be associated. We address

this issue in the context of relational databases and propose

four different labeling schemes, each providing a different

granularity. We also propose an approach to represent pur-

pose information, which results in low storage overhead, and

we exploit query modification techniques to support access

control based on purpose information. Another contribution

of our work is that we address the problem of how to deter-

mine the purpose for which certain data are accessed by a

given user. Our proposed solution relies on role-based access

control (RBAC) models as well as the notion of conditional

role which is based on the notions of role attribute and system

attribute.

Whilecurrentinformationtechnologyenablespeopletocarry

out their business virtually at any time in any place, it also

provides the capability to store various types of information

the users reveal during their activities. Indeed, a study con-

ducted by the Federal Trade Commission in May 2000 [12]

shows that 97% of web sites were collecting at least one

type of identifying information such as name, e-mail address

or postal address of consumers. The fact that the personal

information can be collected, stored and used without any

consent or awareness creates fear for privacy violation for

many people.

The advance of database technology has also significantly

increased privacy concerns. The current database technology

makes it possible to collect and store a massive amount of

person-specific data, and the use of innovative knowledge

extraction techniques combined with advanced data integra-

tion and correlation techniques [10,13,28] makes it possible

to automatically extract a large body of information from the

available databases and from a large variety of information

repositories available on the web.

Even though the direct victims of privacy violations are

consumers, many enterprises and organizations are deeply

concerned about privacy issues as well. Many companies,

such as IBM and the Royal Bank Financial Group, use pri-

vacy as a brand differentiator [3]. By demonstrating good

privacy practices, many businesses try to build solid trust to

customers, thereby attracting more customers [3]. Potential

lawsuits by consumers and recently enacted privacy legisla-

tions also require organizations to pay close attention to the

management of private data.

Keywords

data management

Privacy· Access control· Purpose· Private

B

J.-W. Byun ( )· N. Li

CERIAS and Department of Computer Science,

Purdue University, West Lafayette, IN, USA

e-mail: byunj@cs.purdue.edu

As privacy becomes a major concern for both consum-

ers and enterprises, many privacy protecting access control

models have been proposed [1,3,17,22]. We emphasize that

N. Li

e-mail: ninghui@cs.purdue.edu

123

604

J.-W. Byun, N. Li

privacy protection cannot be easily achieved by traditional

access control models. The first reason is that while tradi-

tional access control models focus on which user is perform-

ing which action on which data object, privacy policies are

concerned with which data object is used for which pur-

pose(s). For example, a typical privacy policy such as “we

will collect and use customer identifiable information for

billing purposes and to enable us to anticipate and resolve

problems with your service” does not specify who can access

the customer information, but only states that the informa-

tion can be accessed for the purposes of billing, customer

service and possibly some analysis. Another difficulty of

privacy protection is that the comfort level of data usage

varies from individual to individual. For example, some on-

line consumers may feel that it is acceptable to disclose

their purchase history or browsing habits in return for bet-

ter service, such as site personalization [20]. Other custom-

ers, however, may believe that such techniques violate their

privacy.

Another key contribution of our work is that we address

the problem of how to determine the purpose for which

certain data are accessed by a given user. We believe that this

issuemaybesatisfactorilyaddressedbyrelyingonrole-based

access control (RBAC) models [2,14,15,

剩余内容已隐藏，支付完成后下载完整资料

---

该杂志VLDB（2008）17：603-619

DOI10.1007/ s00778-006-0023-0

定期论文

基于关系型数据库的隐私保护的访问控制的目的研究

Ji-Won Byun bull; Ninghui Li

收稿日期：2005年9月30日/接受：2006年5月24日/在线发表时间：2006年9月1日

copy;施普林格出版社2006年

摘要

在这篇文章中，我们提出了一个全面的，基于对于该隐私保护访问控制方法目的的概念。在我们的模型中，目的信息与给定的数据元素的指定的预期使用的元素相关联。我们的模型的一个重要特点是，它允许多个目的与每个数据关联元素，并还支持显式的禁令，从而允许私人人员去指定一些不应该被用于某些目的的数据。一个重要的问题在这篇文章中被解决—数据标签的粒度，即，与目的相关联的数据单元。我们解决这个问题在关系数据库的背景下，提出四个不同的标签计划，每个提供不同的粒度。我们还提出了一种方法来表示目的的信息，这会导致较低的存储开销，并且我们利用查询修改技术支持基于目的信息的访问控制。我们工作的另一个贡献是我们解决如何以确定目的，即哪些特定的数据是由特定的用户访问。我们提出的解决方案依赖于基于角色的访问控制（RBAC）模型以及有条件作用的概念这是基于角色属性和系统属性的概念。

关键词

数据管理，私控制，私人

1介绍

虽然目前的信息技术使人们随身携带他们的业务几乎在任何地方任何时间，它也随时提供存储各种类型的信息的能力在用户活动期间。事实上，美国联邦贸易委员会于2000年5月进行的一项研究显示出97％的网站都在收集至少一个识别信息，例如姓名，电子邮件地址，或者消费者的邮件地址。这个事实表明对于许多人来说信息可以被收集，存储和使用而不需要任何同意或者意识到隐私侵犯的恐惧。

数据库技术的进步也已显着增加了隐私问题。当前数据库技术使得能够收集并储存了大量的个人指定的数据，并利用创新知识提取技术与先进的数据集成相结合丙炔相关技术[10,13,28]能够自动提取庞大的主体信息从可用数据库，并将大量的信息存储到网络上。

侵犯隐私的直接受害者是消费者群体，很多企业和组织都深深担心隐私问题，以及。许多公司，如IBM和皇家银行金融集团，使用隐私作为品牌的区别[3]。通过展示良好隐私保护措施，许多企业尝试建立坚实的信任给客户，从而吸引更多的客户[3]。潜在的消费者诉讼以及最近颁布的隐私立法也要求企业要密切关注私有数据的管理。

隐私成为消费者和企业的的主要关注点，许多隐私保护的访问控制模型已被提出[1,3,17,22]。我们强调，隐私保护不能容易地被传统访问控制模型实现。第一个原因是，虽然传统访问控制模型侧重于哪些用户是-正在执行哪个动作上的数据对象，隐私政策关心的数据对象被用于哪个目的。例如，一个典型的隐私政策，如“我们将收集和使用客户鉴定信息为了计费目的，使我们能够预测和解决与您的服务相关的问题“，这一政策并没有明确规定谁可以访问客户的信息，但仅指出信息可以被计费的目的，客户服务和可能的一些分析进行访问。隐私保护的另一个困难是数据使用的舒适度变化对于每一个人来说都不同。例如，一些在线消费者可能会觉得披露他们的购买历史或者浏览习惯是可以接受的，作为回报为有更好服务，如个性化网站[20]。但是其他消费者可能认为这种技术侵犯其隐私。

通过这些挑战，我们认为，为了保护数据隐私，目的的概念必须发挥重要的作用在访问控制模型并且适当的元数据模型必须被开发出来支持这种隐私访问控制模型。在这篇文章中，我们讨论这个目标通过提供一个全面的方法来实现管理，这是在其上开发基于目的的访问控制的基石。我们的做法是基于预期的目的，其指定数据的使用目的，和访问目的，指定了给定数据元素被访问的目的。双方打算和访问目的都是对于给定的企业提供一个组织一系列目的的层次结构。我们提出的模型的一个主要特点是它也支持显式的禁止，因而允许个人去指定哪些数据不应被用于给定的一系列的目的。我们也正式定义目的顺应性的概念，这是验证数据的访问目的与预期规定的数据相关联的基础。

本文中我们讨论的一个重要问题是数据标签，即，与目的相关联的数据单元。我们解决这个问题是在关系数据库的背景下，并且提出四个不同的标签计划，每个提供不同的粒度。

使用我们的方法可能需要将一个目的（或一组目的）与整个表，每个列，表内的每个元组或者每个属性想关联。我们还提出了一种方法来表示目的信息，这会导致较低的存储开销。此外，我们利用查询修改技术支持基于目的信息的数据过滤。这个技术确保了高效的查询处理以及细粒度的目的归类。

我们工作的另一个重要贡献是我们解决如何确定一个给定用户的数据是否访问的用途。我们认为这个问题也许可以被依赖于角色处理访问控制（RBAC）模型[2,14,15,27]解决。然而，我了实现这些政策—一个指定的数据可以被指定的角色访问的用途，我们扩大常规的RBAC模型带有条件的作用的概念。这是一个基于角色和系统属性的概念。

本文的其余部分安排如下。在第二部分，我们今天可以提供隐私相关技术的简要概述。在第三部分，我们将会定义用途的概念。在第五部分，描述我们的用途分类模型。在第四部分和第6部分，我们引进条件作用的概念，提出用于确定访问用途的方法。第七部分，我们提出我们的实现，和报告实验结果。第8部分我们建议未来的工作和总结我们的讨论。

2相关的工作

我们的工作是在隐私方面相关的几个话题以及安全的数据管理，即隐私政策说明，隐私保护数据管理系统和多级安全数据库系统。现在，我们简要地研究在这些领域中的最相关的方法，并指出相对于这些方法我们工作的差异。

W3C的隐私偏好（P3P）平台[31]是一个工业标准，以提供一个自动化的方法为用户去获得控制使用他们的被网站收集的个人信息。P3P允许网站加密他们个人的个人习惯信息在一个可读格式的机器上，比如哪些数据被收集，谁又能访问数据和多长的数据将被存储到站点上。 P3P能够自动地浏览，读取这些隐私设置并且将它和消费者的设置隐私首选项相比较，并指定在一个隐私偏好语言，例如P3P偏好的交换语言（APPEL）[30]，也是由W3C设计。

尽管P3P提供了一个标准的手段为企业做出隐私承诺给他们的用户，，P3P不提供任何机制来确保这些承诺是与内部数据处理一致。因此，P3P仅仅是作出承诺的工具，而不会帮助企业去保证他们的承诺。需要注意的是发布一个有吸引力的P3P而没有任何充分的执行机制的方案可能把一个企业放在声誉受损和潜在的危险诉讼的境地。

隐私授权语言（EPAL）[17]是由IBM提议的─种在IT系统中写入企业隐私策略来管理数据处理实践的形式语言。EPAL方案定义数据类别，用户类别和用途的层级。用户类别就是实体（用户/组）使用收集的数据，以及数据类别定义不同的收集数据的类别。目的建模旨在为被使用过的那些数据服务。一个EPAL方案也定义了一系列的动作，义务和条件。操作模型是指数据如何被使用（例如，阅读或写），义务定义了必须被EPAL环境操作的动作。最后，条件是评估上下文中的布尔表达式。隐私授权规则被定义使用这些元素，而每个规则允许或拒绝被用户类别的数据类别行动在一定条件下某些目的而强制某些义务。

虽然数据分层指定政策提供一种语言， EPAL并不提供支持用于链接数据类别与存储在数据库中的数据，EPAL工作也不解决当数据访问时如何强制执行这些方案的问题

在多级安全关系数据库，以前的工作[6,9,18,25]还提供了许多有价值的见解设计一个网络细粒度安全的数据模型。在一个多级关系数据库系统，每一条信息是编到一个安全级别分类网络，每个用户分配一个安全检查。该系统可确保根据每个用户获得访问只对他有适当的间隙中的数据，众所周知的基本限制[5]。这些约束-确保没有任何信息能从一个更高的安全性级别向较低的安全级别流动，并且与不同的主题间隙，参阅不同版本的多层次关系。

我们的做法相对于多级安全数据库一个主要差别是，在我们的方法每个数据元素彪与一系列的目的相关联，而不是一个单一的安全级别。该目的可以形成一个分层结构，并可以动态的变化.那些需求比那些只关注传统的多级安全应用程序更加复杂。另一方面，在这篇文章中我们并不关心信息溢流的问题。

希氏数据库的概念，结合关系数据库系统中的隐私保护，被Agrawal等引入。 [1]。所提出的架构使用隐私元数据，其中包括隐私政策和在两个表中私有授权存储。隐私政策被定义为表的每个属性的使用目的，外部的收件人和保留期，而隐私授权被定义为，每个用户被授权去使用。

利费夫等[22]提出了一种在数据库环境强制执行隐私方案的方法。他们的工作重点在确保基于一个前提，有限的数据披露该数据提供者（即，受试者关于他的数据是存储）有超过他们个人控制的数据以及目的是什么。在他们的工作​​中，他们引入了两个细胞水平限制披露执行模型（表和查询语义），并根据一种基于查询修改连技术的方案。

虽然希波克拉底数据库的工作[1,22]与我们的方案是紧密关联的，但是我们的做法有一些显着差异。首先，我们介绍的更复杂概念目的，例如，目的是在一个层次结构组织的。我们的实验结果表明，我们的方法，即使更复杂的，不增加数据管理的复杂性，也不会引入太多的开销第二个不同点在于，我们支持的明确禁止目的和一组目的与一个数据元素的关联，他们的方法不提供。第三，我们对于目的和数据提供了一个全面的框架管理，其并未在他们的工作中考虑。

基于角色的访问控制[2,14,15]，在访问控制系统中产生了显着的影响，极大地简化企业的安全方案管理和制定。 RBAC的基本概念是为如下：权限分配给内部职能使用一个企业和个人用户被授权，通过分配给某个角色或一组必要的权限的角色。大多数RBAC模型还包括角色层次，一部分命令定义在角色之间的关系并且能够方便管理任务。

结合属性到RBAC模型的思想已经被提出来解决在RBAC魔族中的一些明显的问题。Chen等人[8]引入与角色相关联的属性去执行全球性制约因素，如原则职责分离。他们讨论了角色的各种属性，权限，用户和会话，并提出一个切实可行的办法指定和执行基于这些属性的约束。在RBAC模型中，角色属性的概念也被提出来在[16,21]提供 更多的灵活性去进行访问控制。[21]，Kumar等引入角色上下文的概念（即，角色属性）和上下文滤波器（即，约束），以限制权限的角色的的适用性的一个子集目标对象。吴等人。 [16]讨论了各种限制

它利用角色属性;例如有条件的活动，角色的失活和角色的成员资格。

我们的角色的属性概念与当前的概念是密切相关的，它使RBAC更加规范和执行上下文敏感的政策。但是，我们建立并进一步阐述了现有与角色层次的存在概念来实现 - 结合细粒度的管理控制RBAC逻辑约束[4]。

3用途

如前所述，隐私策略主要关注数据对象被使用的目的。因此，用途在很多隐私保护访问控制模型中是一个核心概念 [1,3,17,22]。然而，用途的概念观念尚未彻底的清晰。在本节中，我们正式去定义用途的概念，并重点讨论相关问题。

3.1用途的定义

为了保存数据提供者的私有数据，每个数据访问必须遵守隐私政策并且数据提供者已经同意。对于数据的典型隐私政策元素包括目的，保留，条件和义务化。它指出该特定的数据元素可被访问并只能对指定条件下的指定用途。保留指的是数据元素可以有多长保留，并且有义务指定当被允许的数据元素的访问后必须采取的行动。对于我们来说最有趣的方面用途，因为 用途直接决定如何访问数据项）应被控制。 P3P定义了用途，“数据收集和使用的原因“并且指定了一系列的用途，包括目前，管理，开发，联系人，电话营销[31]。然而，在一般的商业环境中，用途自然的有一个层次关系，即，一般的化和专业化的关系。例如，一组的用途，如直销和第三方市场可以用更通用的销售来表示。这表明根据该用途可以根据组织分层关系简化的管理。接下来定义上面的形式化的讨论。

定义1（目的和目标树）一个用途描述数据收集和数据接入的理由（多个）。一套目的，表示为P，以树结构进行组织，称为目的树和表示为PT，其中每个节点代表P中一个目的，每条边代表层次关系（即化，专业化，普遍化）之间有两个用途.让 pi,pj是PT的两个目标。我们有两个目的说P I为p j的祖先（或p j为P I的后代），如果存在从P I到PT p J 的下降通道。

图1给出了目的树的一个例子。人们可以争论这将是更有利组织的目的根据部分顺序关系（例如，有向无环图），而不是一个树，因为这会允许单个节点与多个父节点相关联。然而，正如我们展示在第六部分，树状结构允许一个高效的设计用于存储和处理目标。下面的符号将本文中使用。

符号表示法（祖先和后代）设PT是目的树并且P是PT的目标集合。设Psube;P是PT下的一组目标集合。

图1 目标图

祖先（P）时，用Puarr;表示，是一组的所有节点的那

在P个节点的祖先，包括P中自己的节点。

bull;后代（P）时，用Pdarr;表示，是一组的所有节点的

是在P个节点的后代，包括P中自己的节点。

bull;我们采用P ?表示该组是任一的所有节点的

祖先或在P个节点的后代，即，P？ =

Puarr;cup;Pdarr;

例1设PT是图1的目的树。

1.祖先（分析）=（分析）uarr;= {分析，管理，

一般用途}

2.后代（第三方）=（第三方）darr;= {第三 -

派对，T-电子邮件，T-邮政}

直观地，一个特定的数据元素的访问应准许如果这些数据被准许访问目标，通过的隐私政策规定，包括或暗示的数据访问的目的。我们指的是与数据相关的目的，从而调节数据存取的预期目的，并为目的访问数据接入的目的。预期目的视为数据隐私政策的简要总

剩余内容已隐藏，支付完成后下载完整资料

---

资料编号：[29163]，资料为PDF文档或Word文档，PDF文档可免费转换为Word