可扩展性与隐私权平衡

21/24可扩展性与隐私权平衡第一部分分布式系统中的可扩展性挑战 2第二部分数据加密的隐私保护机制 4第三部分匿名化技术的权衡 7第四部分访问控制模型的隐私影响 9第五部分数据最小化的原则与可扩展性 13第六部分多租户架构的可扩展性和隐私 16第七部分联邦学习中的隐私保护 18第八部分云计算环境下的可扩展性与隐私平衡 21

第一部分分布式系统中的可扩展性挑战关键词关键要点【分布式系统中的可扩展性挑战】：

1.数据分区和复制：数据在多个节点上的分布和复制以提高并发性，但带来了数据一致性、容错性和副本管理的挑战。

2.负载均衡：将请求均匀分配给所有节点以优化性能，但需要考虑节点容量、延迟和失败等因素。

3.网络通信：节点之间的通信是分布式系统的关键，但可能会受到网络拥塞、延迟和安全问题的限制。

【节点管理】：

分布式系统中的可扩展性挑战

在分布式系统中，可扩展性是一个至关重要的考虑因素，它决定了系统处理海量请求和用户的能力。然而，实现分布式系统的可扩展性面临着诸多挑战，包括：

1.并发性管理

分布式系统涉及多个并行运行且相互交互的组件。这需要处理并发访问和更新，以确保数据一致性和系统稳定性。并发控制机制，如锁、同步原语和乐观并发控制，必须有效地部署和管理，以避免死锁、数据竞争和数据损坏。

2.数据分区

分布式系统通常将数据存储在多个节点上。在保证可用性和性能的同时，对数据进行分区提出了挑战。需要开发有效的分区策略，以平衡负载、优化数据访问并最大化数据局部性。此外，需要解决数据复制和一致性问题，以处理节点故障和网络延迟。

3.负载均衡

分布式系统需要将请求和任务公平地分配给所有可用节点。负载均衡算法负责监控节点的负载并根据需要动态调整请求路由。需要考虑的因素包括节点容量、响应时间和当前负载。高效的负载均衡可以最大化系统吞吐量和资源利用率，从而改善可扩展性。

4.容错性和故障恢复

分布式系统必须能够承受节点故障、网络中断和数据损坏等故障。容错机制，如复制、故障转移和自动故障恢复，需要就位以确保系统的可用性。此外，需要开发检测、隔离和恢复故障的能力，以最小化对系统操作的影响。

5.伸缩性

随着用户数量和请求量的增长，分布式系统必须能够动态调整其容量。伸缩性涉及添加或删除节点的能力，以适应不断变化的负载。需要考虑的因素包括节点配置、资源分配和集群管理。自动化伸缩机制可以帮助系统自动响应负载变化，从而提高效率和可扩展性。

6.性能优化

为了实现可扩展性，分布式系统必须优化其性能。这是通过以下方法实现的：

*缓存：通过将经常访问的数据存储在内存中来减少对底层存储的访问。

*CDN：通过在分布式位置部署内容，减少对远程服务器的请求延迟。

*微服务：将系统分解为松散耦合的微服务，以提高模块性和可伸缩性。

*异步处理：通过使用消息队列和事件驱动架构，解耦组件并并行处理任务。

7.安全性和隐私

在追求可扩展性的同时，分布式系统必须考虑安全性和隐私方面的挑战。随着节点数量和数据量的增加，确保数据保密性、完整性和可用性变得至关重要。需要实施加密、访问控制和入侵检测等安全措施，以保护系统免受未经授权的访问和恶意攻击。此外，需要遵守隐私法规，如通用数据保护条例（GDPR），以保护用户数据并防止滥用。第二部分数据加密的隐私保护机制关键词关键要点【同态加密】

1.同态加密允许对加密数据进行计算，而无需解密，从而保护数据隐私。

2.在医疗领域，同态加密可用于安全地分析患者数据，同时保护个人身份信息。

3.同态加密技术的不断发展，特别是全同态加密的突破，为提高数据加密的效率和适用性开辟了新的可能性。

【多方安全计算】

数据加密的隐私保护机制

数据加密是一种隐私保护机制，通过使用算法对数据进行转换，使其难以被未经授权的人员访问和理解。在可扩展性与隐私权的平衡中，数据加密发挥着至关重要的作用，它可以有效保护敏感数据，同时不影响系统的可扩展性。

加密算法

数据加密算法可分为对称加密算法和非对称加密算法。对称加密算法（如AES、DES）使用相同的密钥对数据进行加密和解密，具有计算效率高、加密速度快的优点。非对称加密算法（如RSA、ECC）使用不同的公钥和私钥进行加密和解密，具有安全性更高、密钥管理更灵活的特点。

加密方法

数据加密方法主要有两种：分组加密和流加密。分组加密将数据划分为固定大小的块，逐块进行加密；流加密则逐比特对数据进行加密。分组加密具有良好的安全性，但加密速度较慢；流加密具有较高的加密速度，但安全性稍弱。

加密密钥管理

加密密钥的管理是数据加密中的关键环节。加密密钥一旦泄露，数据安全性将受到严重威胁。密钥管理方法包括：

*集中式密钥管理：所有密钥集中存储在一个受控的环境中，由专门的密钥管理系统管理。

*分布式密钥管理：密钥分布在不同的位置或设备上，以增强密钥安全性。

*硬件安全模块（HSM）：一种用于存储和管理加密密钥的专用硬件设备，具有较高的安全性。

加密协议

加密协议是用于实现加密操作的框架。常用的加密协议包括：

*TLS（传输层安全性）：用于保护网络通信的加密协议，提供数据保密性、完整性和认证功能。

*HTTPS（超文本传输协议安全）：基于TLS协议，用于保护Web浏览的安全。

*PGP（隐私保护）：一种电子邮件加密协议，用于保护电子邮件的机密性和认证。

数据加密的优点

数据加密提供了以下隐私保护优点：

*数据保密性：防止未经授权的人员访问和读取敏感数据。

*数据完整性：确保数据在传输和存储过程中不被篡改或破坏。

*身份认证：验证数据源的真实性，防止冒充和身份盗窃。

*可否认性：允许发送方否认发送过特定信息，加强数据保护。

可扩展性与隐私权的平衡

在可扩展性与隐私权的平衡中，数据加密通过以下方式发挥作用：

*可扩展性：通过使用高效的加密算法和密钥管理技术，数据加密可以实现高吞吐量和低延迟，满足可扩展性要求。

*隐私权：通过对数据进行加密，隐私权得到有效保护，不受可扩展性的影响。

*合规性：数据加密符合各种隐私法规（如GDPR、CCPA），确保组织遵守合规要求。

结论

数据加密是保护敏感信息的有效隐私保护机制。通过结合不同的加密算法、方法和协议，可以有效平衡可扩展性与隐私权，实现安全可靠的大规模数据处理和分析。第三部分匿名化技术的权衡关键词关键要点主题名称：匿名化技术对隐私权的影响

1.匿名化技术通过删除或修改个人数据中的个人识别信息（PII）来保护隐私。

2.有效的匿名化技术可以防止个人被重新识别，同时保留数据用于研究或分析等有价值的目的。

3.匿名化技术的滥用可能会导致隐私泄露，因为匿名化数据仍然可能包含敏感信息。

主题名称：匿名化技术的挑战

匿名化技术的权衡

匿名化技术是通过修改个人数据，使其不能被识别个人身份信息（PII）的一类技术。虽然匿名化技术在保护隐私方面至关重要，但同时也带来了权衡。

1.隐私保障与数据实用性

匿名化过程涉及移除或加密PII，这可能会损害数据的实际用途。由于关键识别特征被删除，对匿名数据进行分析和建模可能具有挑战性，从而限制了从数据中获取有意义见解的能力。

2.重识别风险

重识别是指将匿名数据与其他数据源（例如社交媒体资料或购物历史记录）关联，从而推断出个人身份。虽然匿名化技术旨在降低重识别风险，但它并不完全消除这种风险，特别是当涉及敏感数据时。

3.技术复杂性

匿名化技术对于成功保护隐私至关重要，但它们可能很复杂且耗时。实施和维护匿名化解决方案需要深厚的技术知识，这可能会增加成本和资源需求。

4.数据保有范围

匿名化技术通常需要保留原始数据一段时间，以便进行审计或调试目的。这会带来额外的隐私风险，特别是在对原始数据进行不当处理或安全防护不足的情况下。

5.数据所有权和控制

匿名化数据的所有权和控制权可能并不总是明确的。如果匿名化过程外包给第三方，数据控制权可能会转移，从而增加数据保护的复杂性。

6.可撤销性

匿名化过程通常是不可逆的，这意味着一旦数据被匿名化，就没有办法恢复其原始形式。这可能对个人来说具有重大影响，特别是当他们希望访问或更正其数据时。

7.监管要求

不同地区和行业对匿名化技术的使用都有特定的监管要求。不遵守这些要求可能会导致罚款、声誉受损或其他负面后果。

8.技术限制

某些匿名化技术对特定类型的数据不起作用。例如，加密方法无法匿名化文本数据或图像。因此，在选择匿名化技术时，必须考虑数据的性质。

9.持续威胁

随着技术不断发展，重识别风险也在不断演变。不断出现新的方法来将匿名数据与其他信息来源关联，这使得匿名化技术需要持续监控和更新。

10.道德考量

匿名化技术的伦理影响也应予以考虑。过度匿名化可能会损害公共利益，例如损害犯罪调查或公共卫生研究。另一方面，匿名化不足可能会使个人面临隐私风险。

结论

匿名化技术对于保护隐私至关重要，但它也带来了权衡。在实施匿名化解决方案时，必须仔细考虑这些权衡，以确保数据保护、实用性和合规性之间的适当平衡。通过理解这些权衡并在设计和实施匿名化技术时采用基于风险的方法，组织可以最大限度地保护个人隐私，同时维护数据分析的价值。第四部分访问控制模型的隐私影响关键词关键要点基于角色的访问控制(RBAC)

1.RBAC通过将用户分配到具有预定义权限的角色来简化访问控制。

2.允许管理员轻松管理用户权限，同时限制对敏感数据的未经授权访问。

3.RBAC模型可扩展性强，支持大型系统中用户和角色的动态管理。

基于属性的访问控制(ABAC)

1.ABAC模型通过检查用户的属性（例如角色、部门、位置）来动态确定访问权限。

2.提供更细粒度的访问控制，因为权限基于用户特定属性而不是事先定义的角色。

3.可提高可扩展性，因为可以根据新的用户属性或环境变化轻松更新访问权限。

访问控制矩阵(ACM)

1.ACM模型使用矩阵表示用户和对象的访问权限。

2.提供高度可定制化的访问控制，允许管理员为特定用户/对象对授予或撤销权限。

3.ACM模型对于小到中型系统具有可扩展性，但在大型系统中管理权限可能变得复杂。

自主访问控制(DAC)

1.DAC模型允许对象所有者控制谁可以访问他们的数据。

2.提供高水平的细粒度访问控制，但可能导致复杂的权限管理和隐私风险。

3.DAC模型的可扩展性有限，因为管理权限的负担落在单个所有者身上。

强制访问控制(MAC)

1.MAC模型通过使用安全标签强制执行访问策略，限制对机密信息的未经授权访问。

2.提供高度的隐私保护，但限制了用户的灵活性，可能影响可扩展性。

3.MAC模型通常用于高安全性环境，如政府和国防系统。

混合作物访问控制模型

1.组合不同访问控制模型，例如RBAC、ABAC和DAC，以利用各自优势。

2.提供可扩展、细粒度和可定制化的访问控制解决方案，适合各种系统。

3.混合模型的复杂性可能对管理和执行带来挑战。访问控制模型的隐私影响

访问控制模型是一组机制，用于管理对信息资源的访问，以确保系统数据的安全和完整性。然而，不同的访问控制模型对隐私影响也不同。

#强制访问控制(MAC)

MAC模型基于Bell-LaPadula模型，强制限制对数据的访问。它包括以下级别：

*安全等级(SL)：数据和主体的分类，如机密、秘密或公开。

*访问类(AC)：对数据执行的操作，如读取、写入或执行。

MAC模型确保主体只能访问与其SL以下并且其AC匹配的数据。这提供了很高的安全性，但限制了数据共享并可能导致隐私问题，例如：

*过度分类：数据可能被过度分类，从而限制了更广泛的数据使用。

*单一控制点：由于中央集中访问控制，可能存在单一故障点，这可能会危及隐私。

*无法重新分类：一旦数据被分类，就很难重新分类，这可能导致数据长期受限。

#自主访问控制(DAC)

DAC模型允许数据所有者控制对数据的访问。主体可以根据其与所有者的关系或基于角色授予访问权限。

DAC模型提供了灵活性，但可能导致隐私问题，例如：

*访问蔓延：授予对数据的一次性访问可能导致无意中传播数据。

*策略复杂性：随着用户和数据的增加，DAC策略可能变得复杂和难以管理，从而导致错误配置。

*用户错误：用户可能错误地授予或撤销访问权限，从而破坏数据隐私。

#基于属性的访问控制(ABAC)

ABAC模型基于主体和资源的属性。它允许根据这些属性定义细粒度的访问控制策略。

ABAC模型提供了灵活性，同时还提高了安全性。然而，它也带来了一些隐私影响：

*属性收集和存储：ABAC模型需要收集和存储大量用户属性，这可能会引发隐私问题。

*属性推断：根据收集的属性，可能推断出其他敏感信息，从而进一步损害隐私。

*策略复杂性：ABAC策略可能变得复杂，这会增加管理挑战和潜在的隐私风险。

#角色访问控制(RBAC)

RBAC模型将主体分配到角色，然后将角色授权访问数据。

RBAC模型提供了基于角色的灵活访问控制，但它也可能导致隐私问题，例如：

*角色模糊性：角色可能不够明确，从而导致对数据访问的意外或未经授权。

*角色继承：角色可以继承其他角色的权限，从而可能导致对数据的过度访问。

*用户组分配错误：用户组分配错误可能导致用户获得不适当的访问权限，从而损害隐私。

#混合访问控制模型

混合访问控制模型结合了不同模型的元素，为特定需求提供定制化解决方案。然而，这些模型也可能会带来相应的隐私影响。

例如，混合MAC-DAC模型可能导致过度分类和访问蔓延，而混合ABAC-RBAC模型可能导致属性收集和策略复杂性的问题。

#缓解隐私影响

为了缓解访问控制模型对隐私的影响，有必要采取以下措施：

*最小特权原则：只授予必要的最小访问权限。

*基于风险的访问控制：基于风险评估来制定访问控制策略。

*数据脱敏和匿名化：在数据共享和使用之前，对数据进行脱敏和匿名化。

*持续监控和审核：监控和审核访问控制策略，以检测潜在的违规行为。

*隐私影响评估：在实施新访问控制模型之前，进行隐私影响评估。

通过实施这些措施，组织可以平衡可扩展性与隐私保护，以确保系统数据的安全性和完整性，同时保护个人隐私。第五部分数据最小化的原则与可扩展性关键词关键要点【数据最小化的原则与可扩展性】

1.数据最小化减少可扩展性挑战：

-数据最小化可降低存储和处理大量数据所需的资源和成本。

-简化数据管理，提高查询和分析效率。

2.权衡隐私和可扩展性：

-数据最小化可增强隐私保护，但过于严格的限制可能损害可扩展性。

-找到合适的平衡，在维护隐私的同时满足可扩展性要求至关重要。

【数据分片与隐私】

数据最小化的原则与可扩展性

数据最小化原则是数据保护法规和最佳实践中的关键概念，它规定应仅收集和处理为特定目的所需的数据。这与可扩展性有一些有趣的互动，可扩展性是指处理大量数据的系统的能力。

数据最小化对可扩展性的影响

*数据量减少：数据最小化通过限制收集的数据量来减少系统需要处理的数据量。

*处理效率提高：由于处理的数据更少，系统可以更快、更有效地执行操作。

*存储需求降低：收集的数据更少，因此存储需求降低，这可以节省成本并提高效率。

可扩展性对数据最小化的影响

*复杂性增加：可扩展系统往往很复杂，这可能给实现数据最小化带来挑战。

*数据聚合：为了实现可扩展性，可能需要聚合数据，这可能会违反数据最小化的原则。

*数据增长：随着系统扩展，数据量可能会增长，这可能使数据最小化变得更加困难。

平衡数据最小化和可扩展性的策略

在可扩展系统中实现数据最小化需要仔细考虑和平衡：

*设定明确的目的：清楚定义数据收集和处理的目的，只收集实现这些目的所需的最小数据量。

*数据去标识化：通过删除或匿名化个人身份信息来最小化数据。

*数据聚合：在必要时聚合数据，但要确保个人数据不会以可以识别个人的方式被还原。

*数据访问控制：限制对数据的访问，仅授予需要访问数据的人员权限。

*数据保留政策：设定数据保留期限，并在不再需要时安全地删除数据。

案例研究

考虑以下案例研究，说明了数据最小化和可扩展性之间的权衡：

一家社交媒体公司正在开发一个大数据分析平台，以收集和分析用户数据。该公司意识到数据最小化的重要性，并希望在保持可扩展性的同时实现它。

该公司采取以下措施：

*仅收集用户注册、活动和偏好等必要数据。

*对收集的数据进行去标识化，删除个人身份信息。

*聚合数据以创建匿名数据集。

*限制对数据的访问，仅授予需要访问的人员权限。

*实施数据保留政策，在一定时间后自动删除不再需要的数据。

通过这些措施，该公司能够在保持可扩展性的同时实现数据最小化。

结论

数据最小化和可扩展性是数据保护和系统设计中相互关联且重要的原则。通过仔细考虑和平衡，可以在不损害可扩展性的情况下实现数据最小化，从而增强数据保护和用户隐私。第六部分多租户架构的可扩展性和隐私关键词关键要点多租户架构的可扩展性

1.弹性扩展：多租户架构允许在需要时动态扩展或缩小基础设施，从而为不断增长的用户群提供无缝服务。

2.资源隔离：每个租户都拥有隔离的资源，包括存储、计算和网络，防止其他租户访问或影响其数据。

3.成本效益：通过共享基础设施，多租户架构可以显著降低维护和运营成本，使企业能够以更低的成本提供服务。

多租户架构的隐私

1.数据隔离：多租户架构严格隔离每个租户的数据，确保不同租户之间的数据隐私和机密性。

2.访问控制：实施细粒度的访问控制机制，确保仅授权人员才能访问特定租户的数据，防止数据泄露。

3.法规遵从：多租户架构有助于组织遵守数据保护法规，例如通用数据保护条例(GDPR)，通过提供数据隔离和访问控制。多租户架构的可扩展性和隐私

多租户架构是一种共享基础设施和资源的软件部署模式，其中多个租户（客户）在同一平台上托管他们的应用程序和数据。它提供了可扩展性和经济效益，但也带来了隐私挑战。

可扩展性的优势

*资源利用率提高：多租户架构允许多个租户共享服务器、存储和网络资源，从而提高利用率并降低成本。

*弹性扩展：当一个租户需要更多资源时，可以轻松地分配，而无需影响其他租户。

*集中式管理：所有租户的基础设施和应用程序都可以由单一提供商集中管理，简化了维护和更新。

隐私挑战

*数据隔离：多租户架构中，多个租户的数据存储在同一平台上，必须采取措施确保隔离，防止未经授权的访问。

*数据访问控制：不同的租户可能有不同的数据访问权限，需要建立细粒度的访问控制机制来保护敏感信息。

*日志和审计：需要完善的日志和审计系统，以跟踪用户活动并检测任何可疑行为。

*数据泄露风险：如果平台受到攻击或遭到破坏，多个租户的数据都面临泄露风险。

隐私保护措施

为了应对隐私挑战，多租户架构实施了各种隐私保护措施：

*虚拟化：每个租户都隔离在一个虚拟环境中，拥有自己的操作系统和应用程序，从而实现数据隔离。

*加密：数据在存储和传输过程中都进行加密，以防止未经授权的访问。

*角色和权限管理：建立基于角色的访问控制系统，允许租户只访问他们需要的信息。

*审计和监控：对用户活动进行持续监控和审计，检测任何异常行为。

*定期渗透测试：定期进行渗透测试以识别和修复任何安全漏洞。

最佳实践

为了最大程度地保护隐私，多租户架构的采用者应考虑以下最佳实践：

*明确的数据隔离机制：制定明确的数据隔离政策并实施技术措施来强制执行。

*建立细粒度的访问控制：根据租户的需要配置细粒度的访问权限，并定期审查和更新。

*实施强大的身份验证和授权机制：使用多因素身份验证和授权机制来防止未经授权的访问。

*定期进行安全评估：定期进行外部和内部安全评估，以识别和解决任何漏洞。

*遵守隐私法规：遵守所有适用的隐私法规，例如通用数据保护条例(GDPR)。

通过实施这些隐私保护措施和最佳实践，多租户架构可以提供可扩展性和隐私权之间的适当平衡，同时保护租户数据的机密性、完整性和可用性。第七部分联邦学习中的隐私保护关键词关键要点联邦学习中的隐私保护

主题名称：联邦学习概述

-联邦学习是一种分布式机器学习技术，允许参与者在不共享原始数据的情况下共同训练机器学习模型。

-通过将训练任务分发给多个设备，联邦学习消除了数据集中化存储的需要，从而降低隐私风险。

主题名称：同态加密

联邦学习中的隐私保护

联邦学习是一种分布式机器学习技术，它允许多个参与者在不共享其原始数据的情况下训练机器学习模型。这种方法对于保护敏感数据隐私至关重要，因为它消除了将数据集中存储在中央位置的需求。

联邦学习中常用的隐私保护机制包括：

1.差异化隐私

差异化隐私通过添加随机噪声来模糊个人数据，从而防止识别特定个体。该噪声的量由隐私预算决定，该预算限制了攻击者将个人链接到特定数据点的可能性。

2.密码学技术

密码学技术，如同态加密和安全多方计算，用于在不透露原始数据的情况下执行计算。这允许参与者在不泄露其输入或输出的情况下共同训练模型。

3.联合模型训练

联合模型训练涉及在不交换原始数据的情况下合并不同参与者的模型。每个参与者使用自己的本地数据训练局部模型，然后将模型参数聚合起来创建全局模型。

4.联合数据生成

联合数据生成允许参与者在不共享原始数据的情况下生成合成数据。合成数据具有与原始数据相似的分布，但不会包含敏感信息。

5.联邦模型平均

联邦模型平均涉及在不共享模型参数的情况下平均不同参与者的模型。每个参与者更新其本地模型，并使用来自其他参与者的加权平均值来更新其模型参数。

6.安全聚合协议

安全聚合协议用于在不透露参与者个体信息的条件下聚合梯度和更新。这些协议使用密码学技术和分布式计算来保护隐私。

联邦学习的隐私挑战

虽然联邦学习提供了显著的隐私保护，但也存在一些固有的挑战：

1.模型重建攻击

攻击者可以通过推理从全局模型中重建局部数据，从而破坏隐私。

2.后门

恶意参与者可以将后门注入到全局模型中，从而泄露参与者的数据。

3.数据中毒

恶意参与者可以通过注入虚假或对抗性数据来毒害全局模型，从而破坏其性能。

4.模型窃取

攻击者可以通过直接从参与者那里窃取模型来获取敏感信息。

隐私保护最佳实践

为了在联邦学习中实现最佳的隐私保护，建议采取以下措施：

*使用经过验证的隐私保护机制，例如差异化隐私和密码学技术。

*仔细选择参与者并实施严格的访问控制措施。

*定期审计和监控联邦学习系统以检测异常情况和违规行为。

*教育参与者有关隐私风险和最佳实践。

*探索新技术和算法，以进一步提高联邦学习中的隐私保护。第八部分云计算环境下的可扩展性与隐私平衡关键词关键要点云计算环境下的数据保护和隐私

1.云环境中数据隐私风险的根源，包括数据共享、处理外包和供应商安全问题。

2.数据保护法规和标准在云环境中的适用性，如数据保护法案、GDPR和ISO27001。

3.实施数据加密、访问控制和安全审计等保护措施，以减轻云环境中的数据隐私风险。

匿名化和假名化

1.匿名化和假名化技术概述，以及它们在保护个人身份信息方面的作用。

2.匿名化和假名化方法的优点和缺点，包括可逆性、信息丢失和隐私保护级别。

3.在云环境中实施匿名化和假名化技术的最佳实践和注意事项。

数据最小化

1.数据最小化原则概述，以及它在减少数据隐私风险方面的作用。

2.实施数据最小化策略的方法，如仅收集必要数据、限制数据保留时间和定期清理数据。

3.数据最小化在云环境中实现的挑战和好处，包括数据分析准确性和数据处理效率。

用户控制和同意

1.用户在云环境中控制和同意个人数据的权利，包括数据访问权、删除权和隐私偏好设置权。

2.实施用户控制机制的方法，如明确的同意提示、可撤销的同意和数据访问请求流程。

3.尊重用户隐私权并在