柳小文，雷軍程

(1.邵陽學(xué)院 湘西南農(nóng)村信息化服務(wù)湖南省重點實驗室，湖南 邵陽，422000;2.邵陽學(xué)院 信息工程學(xué)院，湖南 邵陽，422000)

身份隱私信息保護方案設(shè)計

柳小文1,2，雷軍程1,2

(1.邵陽學(xué)院 湘西南農(nóng)村信息化服務(wù)湖南省重點實驗室，湖南 邵陽，422000;2.邵陽學(xué)院 信息工程學(xué)院，湖南 邵陽，422000)

文中提出了一種基于身份結(jié)構(gòu)特征的身份隱私信息保護方案。模擬和仿真的結(jié)果表明本方案易于實現(xiàn)，在保障身份隱私信息安全的同時，較好地保留了原信息的有用性和使用效率。

隱私信息保護；匿名技術(shù)；結(jié)構(gòu)特征；加密技術(shù)

近年來，個人隱私泄漏問題層出不窮，2016年徐玉玉案讓國人深刻感受到個人隱私泄漏造成的嚴(yán)重危害。正是因為其姓名、住址和學(xué)校被犯罪分子掌握才使得這名涉世未深的準(zhǔn)大學(xué)生相信了騙子精心編織的謊言。治理個人隱私泄露帶來的犯罪問題，在公安機關(guān)加大對侵害公民個人信息犯罪活動的打擊力度同時，更需要從技術(shù)層面解決個人隱私信息保護問題。

我國公民的居民身份證號碼具有唯一性。在許多管理信息系統(tǒng)(尤其是需要實名制的系統(tǒng)，如銀行、通信、考試、學(xué)籍系統(tǒng)等)中用身份證號作為用戶的標(biāo)識。然而，由于技術(shù)等各方面的原因，大多數(shù)應(yīng)用場景并不能防范個人身份被冒用或盜用。公安部從2010起開展網(wǎng)絡(luò)身份管理試點，建設(shè)了全國唯一的“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”(即EID)，該系統(tǒng)已經(jīng)通過了國家密碼管理局的系統(tǒng)安全性審查及權(quán)威技術(shù)鑒定，并于2011年投入正式運行。EID是以密碼技術(shù)為基礎(chǔ)、以智能安全芯片為載體、由“公安部公民網(wǎng)絡(luò)身份識別系統(tǒng)”簽發(fā)給公民的網(wǎng)絡(luò)身份標(biāo)識，能夠在不泄露身份信息的前提下在線遠(yuǎn)程識別身份[1]。然而，涉及到EID芯片的發(fā)放和應(yīng)用系統(tǒng)的改造，EID的推廣應(yīng)用需要一定的時間才能實現(xiàn)。在全面啟用EID之前，如何解決系統(tǒng)存儲的個人身份信息的隱私保護問題呢？

文獻2總結(jié)基于數(shù)據(jù)失真、數(shù)據(jù)加密、限制發(fā)布等隱私保護技術(shù)用于個人身份信息的隱私保護。這些隱私保護技術(shù)的理論研究取得不錯的進展，有各自的優(yōu)缺點和適用范圍，其研究的重點在于“數(shù)據(jù)挖掘”和“匿名發(fā)布”兩大領(lǐng)域，并不能直接套用于身份隱私保護[2]。

文獻3提出了一個針對網(wǎng)絡(luò)信息中的個人隱私保護方案，將隱私信息加密后存儲的同時設(shè)計文本索引和查詢轉(zhuǎn)換方法，有效解決直接加密存儲信息數(shù)據(jù)利用率低的問題[3]。方案建立索引時將隱私信息劃分為多個子集，當(dāng)子集的個數(shù)較小時不能較好的抵御“統(tǒng)計攻擊”。

文中設(shè)計了一種基于身份證結(jié)構(gòu)特征的隱私保護方案來解決信息系統(tǒng)中身份信息隱私保護問題。該設(shè)計使用的身份證號的字符集為[0-9X]，僅包含10個字符，與文獻相比，該設(shè)計具有一定的優(yōu)越性。

1 身份隱私信息保護方案

身份隱私信息保護要求系統(tǒng)即使遭遇了黑客入侵或內(nèi)部人員惡意竊取，個人的身份信息也不會泄露出去。最簡單的方法是將身份信息采用加密算法(如DES,AES,RSA，MD5)加密存儲于數(shù)據(jù)庫。但是，加密后的密文失去了原始信息的一些固有特性(如有序性、相似性等)，并且身份信息的查詢效率也不高。

根據(jù)GB11643-1999《公民身份號碼》，我國第二代居民身份證號具有以下特征[4]。

公民身份號碼由十七位數(shù)字本體碼和一位校驗碼組成。排列順序從左至右依次為：六位數(shù)字地址碼，八位數(shù)字出生日期碼，三位數(shù)字順序碼和一位數(shù)字校驗碼。 其中地址碼表示所在縣(市、旗、區(qū))的行政區(qū)劃代碼。地址碼的第一、二位表示省(自治區(qū)、直轄市、特別行政區(qū))。第三、四位表示市(地級市、自治州、盟及國家直轄市所屬市轄區(qū)和縣的匯總碼)。其中，01-20，51-70表示省直轄市；21-50表示地區(qū)(自治州、盟)。第五、六位表示縣(市轄區(qū)、縣級市、旗)。01-18表示市轄區(qū)或地區(qū)(自治州、盟)轄縣級市；21-80表示縣(旗)；81-99表示省直轄縣級市。

一個典型的身份證號如圖1所示。

圖1 身份證號編碼規(guī)則Fig.1 Coding rules of ID number

根據(jù)身份證號的結(jié)構(gòu)特征，設(shè)計了如下分案：

(1)編碼

1.將身份證號分解成若干個集合，集合的劃分從業(yè)務(wù)需要和抗攻擊攻擊兩個因素出發(fā)。如業(yè)務(wù)系統(tǒng)需要頻繁查詢某省的個人用戶情況，則可將行政編碼拆分為{Province}、{City}、{Country}三個集合，生日同樣也如此考慮。劃分的結(jié)果為：IDX={x1,x2,x3,...xn}，1

2.為增加識別的難度，增加干擾。

IDX={x1+a1,x2+a2,…,xn+an}

其中a1,a2,…,an的取值可根據(jù)系統(tǒng)的實際情況設(shè)置。

(2)查詢

比較加密技術(shù)，除了能夠很好地支持精確查詢，還可滿足一定程度的模糊查詢需求。查詢時，需要先對查詢的身份證號預(yù)處理，將其編碼得到待查詢集合，將查詢由原來的單個關(guān)鍵字檢索轉(zhuǎn)化為多個關(guān)鍵字檢索。加密保護技術(shù)加密后的密碼長度變長且無規(guī)律，查詢只能以字符串比較的方式進行。而轉(zhuǎn)為多關(guān)鍵字查詢并結(jié)合數(shù)據(jù)庫索引，查詢效率可以得到較大幅度的提高。

2 模擬與仿真

為檢驗身份隱私信息保護方案的有效性，以某學(xué)生信息管理系統(tǒng)為例進行模擬與仿真。數(shù)據(jù)庫為Sql Server 2000，系統(tǒng)開發(fā)工具為VS CSharp 2008，操作系統(tǒng)Windows 2008 Server R2。

(1)構(gòu)造映射

映射集合設(shè)計為：

IDX={x1,x2,x3,x4,x5}

其中： x1∈P,P為省級編碼集合，x2∈S,S為市級編碼集合，x3∈C，C為縣級編碼集合，x4∈B,B為生日集合，可能范圍為19000101～至今，x5∈Z，0

在實際操作時為處理方便和增加干擾，將x4(生日)轉(zhuǎn)化距離1900-1-1的天數(shù)。

設(shè)計干擾集合 A為 {-1,23,3,0,-207}，加上干擾項后，令：

IDY=IDX+A={x1-1,x2+23,x3+3,x4,x5-207}

(2)更新數(shù)據(jù)庫

首先，執(zhí)行如下命令為個人信息表添加5個字段，x1,x2,x3,x4,x5，數(shù)據(jù)類型為整型。

alter table[表名]add x1 int null, x2 int null, x3 int null, x4 int null,

x5 int null

然后，遍歷表按照上述映射，計算每個字段的值，并更新相應(yīng)字段。最后，刪除存儲了原始身份信息的列。

(3)查詢的處理

查詢時，系統(tǒng)先對查詢數(shù)據(jù)做預(yù)處理，處理方法與更新數(shù)據(jù)庫操作相同，先將其按設(shè)計好的映射和干擾規(guī)則處理，然后拼接出查詢字符串提交到數(shù)據(jù)庫查詢。

假設(shè)，用戶界面提交一個身份證號碼430000190001019991(為避免隱私泄漏，文中虛擬了一個不存在的身份證號)的精確查詢，系統(tǒng)首先預(yù)處理后得到一個IDY集合如表1所示。

表1 映射示例Table 1 Mapping example

生成查詢字符串為：

select * from [表名]where x1=42 and x2=23 and x3=3 and x4=0 and x5=702

(4)效率分析

文中對MD5加密方式和采用文中方案改造的系統(tǒng)，進行了精確查詢效率的比較，從運行情況看，采用本方案的執(zhí)行效率當(dāng)數(shù)據(jù)量大時有較大性能的提高，見表2。

表2 執(zhí)行效率分析{s}Table 2 Analysis of executive efficiency {s}

3 結(jié)束語

由于歷史原因，許多信息管理系統(tǒng)都以公民身份證號作為個人信息的唯一標(biāo)識，用于身份核對或系統(tǒng)登錄等。當(dāng)系統(tǒng)遭遇黑客攻擊或內(nèi)部惡意竊取，就可能引起身份隱私泄漏，造成嚴(yán)重危害。我國公安部已經(jīng)加大力度推廣EID用于網(wǎng)絡(luò)信息系統(tǒng)身份認(rèn)證。但系統(tǒng)改造需要時間以及軟硬件成本，短時間不能覆蓋到所有的信息系統(tǒng)。文中提出的身份隱私保護方案在保護隱私不被泄漏和保障數(shù)據(jù)的可用性之間取得了一個較好的平衡。對系統(tǒng)改造可以根據(jù)業(yè)務(wù)情況靈活調(diào)整集合劃分和干擾，改造過程簡單且易于實現(xiàn)，改造后系統(tǒng)功能基本不會受到影響，具有較強的可操作性。

[1]EID-百度百科[EB/OL].[2017-10-20].https://baike.baidu.com/item/eID/612330?fr=aladdin

[2]周水庚.面向數(shù)據(jù)庫應(yīng)用的隱私保護研究綜述[J].計算機學(xué)報，2009，32(5)：847-861

[3]盧成浪.針對網(wǎng)絡(luò)信息的個人隱私保護方案[J].小型微型計算機系統(tǒng)，2016，36(6)：1291-1295.

[4]柳小文.基于結(jié)構(gòu)特征的身份證號碼基數(shù)排序算法研究[J].邵陽學(xué)院學(xué)報(自然科學(xué)版),2015，12(2)：22-24.

DesignofIdentityPrivacyInformationProtection

LIU Xiaowen1，2，LEI Juncheng1，2

(1.Shaoyang University，Hunan Provincial Key Laboratory of Informational Service for Rural Area of Southwestern Hunan,Shaoyang 422000，China;2.School of Information and Engineering,Shaoyang University，Shaoyang 422000，China)

privacy information protection;anonymous technology;structural features；encryption technology

1672-7010(2017)06-0019-04

TP309.2

A

2017-09-26

湖南省高?？萍紕?chuàng)新團隊支持計劃資助

柳小文( 1978-) ，女，湖南邵陽人，講師，系統(tǒng)設(shè)計師，從事算法、軟件工程研究

Received：A scheme of identity privacy information protection is presented in the paper.Simulation results show that it is easy to realize,and it is better to preserve the usefulness and efficiency of the original information,while ensuring the security of identity privacy.