这再次依赖于原始查询和，•，，，•如果在原始查询中的第个元素为，或，•是如果在原始查询中的第个元素是。简单可得，这个计算结果在上执行原始查询的结果是样的，因此等式成立。例更复杂的查询模糊处理在前面的例子中，在模糊输入数据库中的条目的值仅依赖于原始数据库中的个条目的值。它可以计算出在这样种方式，在该模糊化的数据库的些列中的条目取决于在原始数据库中的多个条目中的模糊处理的方式选择的查询。作为个例子，考虑两个查询并假设在原始数据库的列中的值特别敏感，所以对于额外的保护，我们要避免在模糊数据库中的任何条目完全取决于在原始数据库中的第列的元素上。选择个密钥由功能，其中被选择为总和，和可以表示为查询语言。设置，通过定义模糊函数。相同的模糊函数，可用于这两个查询。建立，名称为，的值在，中。在第个查询的情况下，设定到是函数计算所述查询••并集的功能把，带入中。在第二个查询的情况下，设置的函数计算查询，•，•同时是其中给定密钥和对的列表，与在，的函数，计算的每对中的列表，并返回的列表获得独特的结果。至于其他的例子中，它是直接检查两个查询方程式成立，所以该查询被计算在模糊化的方式。在本节中，我们描述了可以使用的隐私管理的各种不同的模糊处理机制。不同的功能，有不同程度的混淆，可以提供给用户的喜好通过内部的隐私管理中指定。这个过程可以通过使用属人之变得更直观，如第节所述。以下部分提供了这种做法，是全面落实的例证。在线照片场景本节着眼于个特定的场景，并介绍了隐私管理器如何在这种情况下操作。特别是，我们讨论的用户界面这个应用程序的隐私管理器。方案云照片应用是个专业的摄影师和地理杂志自由撰稿人，喜欢拍摄照片，旅行和写文章。他也是个隐私管理系统。此举旨在使目前的数据仓库技术的使用，减少到最低限度对他们的影响，在需要改变的方面数据仓库仍然可能发生，但在种程度上，保护机密数据和上下文的发布，以详细的方式，根据相关的隐私政策落实。分析和下步工作这项工作目前的状态是，我们的隐私管理器，无论是本文中所描述的在线照片应用程序，另个场景，已经实现了基于的销售力量自动化套件。我们已经实施了些在第节中描述的技术例如和例我们的代码中被实现，这将是相对简单的扩展以实现其他的例子。我们的下个步骤是将这样方法扩展到更复杂和更大范围的云计算方案。理想情况下，隐私管理器可能会被延长，以便考虑第三方风险管理，声誉管理等，政策执行上的服务端参见粘性政策，信托机构的参与信任评估，反馈意见和通知，受数据访问请求，我们计划要考虑这些方面对于项目的影响。我们的解决方案不适合于所有的云应用程序。理论上，正如在第四节所讨论的，任何应用程序在计算个函数的输入时，可以表示为个完全模糊的方式来计算，如果服务提供者愿意使用的协议或实现应用程序金特里的加密方案。然而，当资源有限时，对于些大量数据集的实现可能是不切实际的。即使服务提供者提供全面合作，云应用程序仍为用户提供有限的计算资源之间有个模糊处理和设置的权衡，使应用程序可以有效地使用。可是，如果服务提供者合作，那么我们的解决方案的其他功能仍然可以使用。是另外种情况，如果服务提供者并不提供全面合作。些云服务提供商根据他们的业务模式对出售用户数据的广告商或其他第三方可能不会愿意允许用户使用他们的应用程序中，可以保留自己的隐私的方式。其他供应商可能愿意尊重用户的隐私的愿望，而不是实现服务端代码所必需的些隐私管理器的功能。然而，其他服务提供者可以要求进行合作，但不值得信赖。在这些情况下，我们的解决方案意外的功能将不会生效，因为他们所需要的服务提供者的诚信合作。还有种可能性，即在这些情况下，用户可能能够使用模糊处理，以保护其数据的私密性。然而，在服务提供商没有提供合作的情况下，使用模糊处理的能力不仅取决于用户是否有足够的计算资源进行模糊或非模糊处理，还要求应用程序已经以模糊这种方式实现。例如，已定义表示围绕个美国用户的邮政编码的区域的地图服务可能理论上的方式，允许用户在不透露自己邮政编码给服务提供商的情况下，获得定制结果的权利但是实现这种类型服务的常见方法是通过直接进去邮政编码地图服务器，并且模糊地图中其他的服务结果。这种实现方法很难让用户在邮政编码没有显示到应用程序的情况下获得正确的结果。个更为普遍的例子，对于些应用程序，它可能很难发现被应用程序当作有效值的输入值的集合。没有有效的输入，是不可能设计个模糊函数，使模糊输入数据有效的。尽管如此，我们相信许多现有的云服务，可以在没有任何服务提供者提供合作的情况下使用的。结论和致谢综上所述，我们已经描述了隐私管理器，证明这是个切实可行的方法。我们还探讨了架构将如何因不同的场景。本文的早期草稿从约翰埃里克森和纪尧姆贝尔罗斯有益的反馈中受益。社会人，喜欢与家人和他订阅了摄影论坛成员分享照片。最近买了个新的专业数码相机内置的全球定位系统模块，它提供了个数据流，从该摄像机可以提取图像中的位置信息经度和纬度和记录元数据的位置照片的拍摄。此功能可帮助他跟踪和组织照片地理。采用的是商业数码影像网站，在网上分享自己的照片和定做各种产品，如照片卡，恤，和日历，展示他的照片。他喜欢网站的简单和直观的用户界面。很快意识到包含在他的新相机拍摄的照片的位置信息可以揭示他的房子的位置和他的旅游模式。这样的信息可以很容易地和准确地显现在谷歌地球。随着越来越多的人使用功能的相机，公司拥有该网站推出新的帮助人们混淆这可能揭示他们的私人信息的些元数据属性例如位置信息。通过使用这种隐私管理器，图片只有所有者可以访问的模糊属性。图片的质量不受影响。图隐私管理器用户界面隐私管理器用户界面我们已经建立了这个场景中使用了隐私管理器的演示。隐私管理器的用户界面，如图所示，最终用户选择将通过定的云服务来共享图像。具体的属人，例如家庭，企业，匿名等，将被应用来混淆与照片相关联的些属性。用户也可以自定义属人即所选择的属性来使用些混淆方法进行模糊处理通过更改默认通过隐私属人配置窗口设置。使用的隐私管理器，只有所有者有控制的属性和底层混淆方法如第节所述是透明的最终用户。然而，这种方法不会影响照片质量，仍然允许这些照片进步加密。往前途径隐私管理数据存储库由于在本文中我们感兴趣的是管理数据被发送到个数据库中的云。在这部分，通过回顾以前的般方法，我们把这项工作放在更广阔的背景下。以隐私管理的数据存储库中，对于隐私的各种技术已经制定，以确保存储的数据是在个私密兼容的方式访问。些机制和解决方案已经建立加密的机密数据，当它被存储在数据存储库，对于例子的解决方法使用半透明资料库。这些解决方案大多数集中在保密性和访问控制方面，以及在提供涵盖方面超越身份验证和授权策略驱动机制缺乏灵活性。，描述了文档的访问控制策略为基础的加密机制。描述了种机制用于细粒度部分文档，其中解密密钥可以被授予数据接收器或从服务器收集的基础上，数据接收机的凭据进行加密。侧重于相关的加密机制。希波克拉底资料库包括保护他们所管理的数据的保密机制。他们提出的架构是基于隐私元数据即隐私政策关联到存储在数据仓库的数据，随着机制的强制隐私的概念。这种方法的缺点是，它可能需要对当前的数据仓库体系结构做重大改变，因此可能会需要很长的时间，需要大量的投资由所有参与方。此外，这种方法没有考虑到隐私的管理跨数据库边界跨越这样的管理，必须在更广泛的范围内进行云计算。虽然现在从现在的产品中撤回，的隐私管理器提供的机制来定义细粒度的隐私政策，并与数据相关联。隐私政策包含授权约束以及有关的上下文信息和意图的约束。这种方法从访问控制的角度讨论了个企业内的隐私管理问题。它不包括额外的方面相关的隐私管理云计算，例如信任管理和处理由立法和企业指导指导而成。另种方法是基于在数据被从标准数据存储库中检索，并且这些数据的些部分进行加密，并与隐私策略相关联的自适应如，开源项目实现了密钥管理和用户管理，分离的云基础架构的加密密钥。密钥管理角色可能扩展到般的信息中介作用。该信息中介也可能在检查用户偏好纳才发挥作用，提供的解密密钥用于解密，需要以被解密为云的任何数据要提供的服务例如，它可能是个信托局，以提供国际教育局解密键，。同样，信任基础在确保有用的基础设施。云计算的基石是安全的，也是值得信赖和符合最安全的做法。图云内隐私管理器以下部分将详细列出在这些不同情况下所使用的隐私模糊机制。模糊处理模糊处理的目的是要解决以下的般问题。用户拥有私有数据。他希望开展与服务提供商的些通信服务，这将使用户了解上的些函数，但并不会向服务提供商提供通过函数运行的结果。函数本身可能依赖于已知的服务提供商而不是用户，还依赖于用户提供的部分不是隐私的数据。如果用户和服务供应商都愿意使用任何可以解决这个问题的协议，有足够的计算和存储能力的话，的协议对于双方面的安全解决了这个问题，对于任意的可以表示为个巡回。其实，的协议可以确保服务提供商不能获取关于的信息。的协议需要在用户和服务提供者之间进行的多少轮互动依赖于的选择。金特里，通过构建个互动加密方案删除了这个要求，它允许服务提供商来计算由加密值获得的的加密值，对于任何可以表示为个电路，同时可以确保服务提供者不能获取关于的任何信息。金特里的加密方案对于以前的同态加密进行了改进，例如。但是，关于云计算解决方案存在两个问题。第种是效率。金特里的全方案是不切实际的，由于其相当高的计算复杂度。虽然对于的协议的效率和安全相关有了工作结构的改善，如隐私保护的数据挖掘但当输入数据较大，这些方法仍然在用户端要求大量的存储或计算能力。云计算的吸引力之在于，它可以让用户在计算资源的需求高峰时处理或储存大量数据而无需占用太多资源。其他问题是，云计算供应商可能不愿意