楊國卿 王勇

摘要：隨著手機和可穿戴設(shè)備的蓬勃發(fā)展，越來越多的人運用健康平臺記錄運動數(shù)據(jù)，在方便應(yīng)用的同時也帶來了安全和隱私問題。為解決健康平臺存在的各種隱患，采用以下應(yīng)對措施：在數(shù)據(jù)采集端，有統(tǒng)一的健康監(jiān)測數(shù)據(jù)接入?yún)f(xié)議，采用不同的規(guī)則對用戶數(shù)據(jù)進行安全處理；在數(shù)據(jù)發(fā)布端，按照發(fā)布規(guī)則，對共享的健康信息進行保護，對平臺不同用戶給予不同權(quán)限；在存儲端，對各種健康數(shù)據(jù)，都有查詢和使用的詳細記載。通過以上措施，極大改善了用戶的個人隱私問題。

關(guān)鍵詞：健康大數(shù)據(jù)；HBase；隱私保護

DOIDOI：10.11907/rjdk.181127

中圖分類號：TP309

文獻標(biāo)識碼：A 文章編號：1672-7800（2018）010-0209-04

英文摘要Abstract：With the proliferation of cell phones and wearable devices， more and more people use health platforms to record sports data， which brings convenience and privacy issues at the same time. In order to solve the various hidden dangers of the health platform， the following countermeasures are adopted. In the data acquisition terminal， there is a unified health monitoring data access protocol to upload， and the protocol uses different rules to conduct the user data security processing. Secondly， in the data publishing terminal， according to the publishing rule， the shared health information is protected and users are granted permissions respectively. Thirdly in the strorage terminal， the queries and logging of various health data are kept in detail. The protection of users′ privacy issues will then be greatly improved.

英文關(guān)鍵詞Key Words：Health big data；HBase；Privacy protection

0 引言

互聯(lián)網(wǎng)時代，大數(shù)據(jù)帶來的隱私保護挑戰(zhàn)亟待解決[1]，相關(guān)研究多基于某個部分，如Lin H Y等 [2]提出的一種針對HDFS（Hadoop分布式文件系統(tǒng)）的混合加密技術(shù)，童云海等 [3]提出的隱私保護數(shù)據(jù)發(fā)布中身份保持的匿名方法，Blum等[4]提出的數(shù)據(jù)隱私性驗證方案等，這些研究為平臺隱私保護策略設(shè)計提供了思路，但研究很松散，不是很契合健康監(jiān)測平臺。本文提出基于健康檢測平臺的隱私保護策略，對數(shù)據(jù)采集、存儲、發(fā)布這3個存在主要信息泄露的階段進行研究，采取不同措施加強各階段的隱私保護，可為健康大數(shù)據(jù)平臺的建立和維護提供隱私保護技術(shù)支撐。

1 隱私保護策略設(shè)計

1.1 信息分級

數(shù)據(jù)采集端由“可穿戴設(shè)備”或其它終端收集到人體生理數(shù)據(jù)，經(jīng)健康監(jiān)測數(shù)據(jù)接入?yún)f(xié)議傳入云端。在這個過程中，各種上傳信息包含眾多個人隱私信息，如姓名、手機號等，如果不經(jīng)過加密或其它安全手段處理被非法獲取，會給用戶造成極大困擾?？紤]到健康監(jiān)測平臺不只是作存儲，也可能會利用龐大的健康信息開展研究，因此不能對所有信息都進行安全處理。基于此，可對個人健康信息分級，按照中華人民共和國衛(wèi)生部《城鄉(xiāng)居民健康檔案基本數(shù)據(jù)集》建立Hbase數(shù)據(jù)模型，設(shè)計健康監(jiān)測平臺數(shù)據(jù)表，見表1。

個人姓名、身份證號碼等敏感信息安全等級為一級，此類信息要做安全處理。而用戶有關(guān)的健康信息，如血壓、血脂等，如果一級安全等級信息已經(jīng)被保護，此類信息就作為可加密或不加密信息，安全等級定為二級。但如知道工作單位和年齡、工作單位和身高此類二元組，或工作單位、身高、年齡三元組，也可定位到個人，所以對二級安全里面的有些信息還要結(jié)合表進行合理處理。而有些信息如身份證類別代碼就不用加密，可作為三級安全等級。據(jù)此分析得出如表2所示的安全分級及組合策略（一級的加密，二級的選擇性加密，三級不加密）。

1.2 數(shù)據(jù)采集端加密

加密算法有對稱加密算法和非對稱加密算法。對稱加密計算不復(fù)雜，加密時間短，但是容易破解；非對稱加密算法加密復(fù)雜，加密時間長，但是很難破解。考慮到數(shù)據(jù)采集端是各種健康可穿戴設(shè)備，對于復(fù)雜計算可能會花費很長時間，嚴(yán)重影響用戶體驗，所以在客戶端采用對稱加密算法。

1.3 數(shù)據(jù)發(fā)布

數(shù)據(jù)發(fā)布分為面對私人和面對公眾發(fā)布。

1.3.1 面對私人

顧名思義，就是對私人相關(guān)數(shù)據(jù)的獲取，只需登錄自己的賬號，即可查看所有相關(guān)信息（登陸時會有相關(guān)密鑰提交）。需要查看用戶相關(guān)信息的醫(yī)生或相關(guān)信任人，需要獲得授權(quán)（類似于獲取時會發(fā)送請求、上傳密鑰。密鑰不經(jīng)過信息獲取人，直接與平臺對接）。

1.3.2 面對公眾

平臺發(fā)布大量個人信息時需要保證用戶個人隱私安全，但大量的健康信息對于研究有重大價值，因此對于不同的查詢要求，需要根據(jù)之前制定的發(fā)布規(guī)則進行。數(shù)據(jù)發(fā)布規(guī)則見表3。

1.4 數(shù)據(jù)追蹤

在查詢或獲取數(shù)據(jù)時，對數(shù)據(jù)流向及查詢?nèi)藛T進行相關(guān)信息記載。HBase源碼加入了協(xié)處理器-coprocessor，通過閱讀文檔和翻閱源碼及幫助文檔，滿足數(shù)據(jù)追蹤功能，該類路徑為： org.apache.hadoop.hbase.coprocessor.security.access.AccessController.java。該類里有各種pre函數(shù)，如pre（）和 post（），這些方法本質(zhì)就是鉤子函數(shù)。如果對系統(tǒng)中發(fā)生的事件進行攔截，只要擴展相應(yīng)的鉤子即可。如對系統(tǒng)中所有的數(shù)據(jù)刪除操作進行監(jiān)控，則只要在 preDelete（）或 postDelete（）方法中編寫監(jiān)測代碼即可。圖 1以 preGet（）方法為例展示了數(shù)據(jù)流的時序。

2 隱私保護測試實驗

2.1 實驗環(huán)境硬件配置

系統(tǒng)硬件配置見表4。

HBase基于Linux系統(tǒng)，JVM是運行環(huán)境下的系統(tǒng)軟件，在ubuntu操作系統(tǒng)下進行實驗。上述7個主機是由一臺大型機劃分出來的虛擬機。數(shù)據(jù)寫入方式采用HBase的java API操作，采用批量提交數(shù)據(jù)的方式測試。

2.2 實驗設(shè)計

2.2.1 數(shù)據(jù)加密

數(shù)據(jù)加密采用對稱加密中的AES加密算法。

以血壓心率為例，在發(fā)布規(guī)則中采用最高加密規(guī)則處理表5中的數(shù)據(jù)。

可見A、B、C類數(shù)據(jù)均被加密。上述例子采用批量數(shù)據(jù)寫入，數(shù)據(jù)加密和不加密寫入時效對比如圖2所示。

對加密處理前后的時效分析對比發(fā)現(xiàn)，當(dāng)數(shù)據(jù)存儲存在加密過程時（最高加密規(guī)則）時效有所降低，但加密后的時效處在可接受范圍內(nèi)，符合預(yù)期。

2.2.2 數(shù)據(jù)發(fā)布

私人獲取數(shù)據(jù)全部明文需發(fā)送請求獲取授權(quán)（站內(nèi)信息提示），公眾信息發(fā)布必須符合發(fā)布規(guī)則，如表7所示。

按照發(fā)布規(guī)則，如果該數(shù)據(jù)全部為密文，則不發(fā)布或獲取為全密文。如果A類不是密文或A類為密文而B、C、D不為密文，則發(fā)布或獲取結(jié)果如表8、表9所示。

實驗結(jié)果顯示，如果全為密文，則不發(fā)布或獲取都為密文。如果A類不是密文或A類為密文而B、C、D類不為密文，則發(fā)布或獲取信息時A類作安全處理， B類的身體健康指標(biāo)信息不作安全處理， C或D類加密了其中一種（并沒有兩種都加密），上述實驗結(jié)果符合發(fā)布規(guī)則。

2.2.3 數(shù)據(jù)追蹤

為測試數(shù)據(jù)追蹤，設(shè)計如表10所示的測試語句。

在加入各種pre函數(shù)之后，數(shù)據(jù)查詢相關(guān)信息會被記載，在輸入上述測試語句之后測試結(jié)果如表11所示。

測試結(jié)果表明，當(dāng)平臺有用戶表操作時，用戶所在的IP、操作表的名稱、操作的名稱、時間等相關(guān)信息會被記錄，符合預(yù)期。

3 結(jié)語

通過以上數(shù)據(jù)的加密、發(fā)布規(guī)則的制定以及數(shù)據(jù)追蹤，平臺用戶的隱私得到了極大保護。數(shù)據(jù)加密使用戶在不愿意公布部分信息的情況下，個人信息得以安全保存。數(shù)據(jù)追蹤使平臺的各種操作信息，如操作者IP、操作的對象、操作的字段、時間等相關(guān)信息得以保留，起到審計作用，從而從內(nèi)部保證了用戶的隱私安全。

但本文對健康數(shù)據(jù)的相關(guān)內(nèi)容未作深入研究。健康相關(guān)因素分類會因為后期檢查的細化而增加，但在發(fā)布規(guī)則上只作了目前為止的信息分類，在將來信息細化時可進一步補充和完善相關(guān)發(fā)布規(guī)則。

參考文獻：

[1] [英]維克托·邁爾·舍恩伯格.大數(shù)據(jù)時代：生活、工作與思維的大變革[J].盛楊燕，譯.杭州：浙江人民出版社，2013.

[2] LIN H Y， SHEN S T， TZENG W G， et al. Toward data condentiality via integrating hybrid encryption schemes and Hadoop distributed file system[C]. Proceedings of IEEE 26th International Conference on Advanced Information Networking and Applications （AINA）， March 26-29， 2012， Fukuoka， Japan. Washington DC： IEEE Computer Society Press， 2012：740-747.

[3] 童云海，陶有東，唐世渭.隱私保護數(shù)據(jù)發(fā)布中身份保持的匿名方法[J].軟件學(xué)報，2010（4）：771-781.

[4] BLUM M，EVANS W，GEMMELL P， et al. Checking the correctness of memories [J].Algorithmica， 1994，12（2-3）：225-244.

[5] 維基百科.大數(shù)據(jù)[EB/OL].http：∥zh.wikipedia.org/wiki/%E5%A4%A7%E6%95%B0%E6%8D%AE.

[6] 馮國登，張敏，李昊.大數(shù)據(jù)安全與隱私保護[J].計算機學(xué)報，2014（5）：1854-1866.

[7] 楊吉江，許有志，王青.面向醫(yī)療信息的數(shù)據(jù)隱私保護技術(shù)[J].中國數(shù)字醫(yī)學(xué)，2010（11）：8-12.

[8] 喬巖，王偉.大數(shù)據(jù)時代的醫(yī)療模式[EB/OL].醫(yī)學(xué)論壇網(wǎng)，http：∥circ.cmt.com.cn/dtail/345715.html.

[9] 周爭光，張善文，王寶倉.基于身份的電子公文數(shù)字簽名方案[J].計算機工程與應(yīng)用，2012（30）：541-550.

[10] 張健.全球云計算安全研究綜述[J].電信網(wǎng)技術(shù)，2010（9）：15-18.

[11] MATHER T，KUMARASWAMY S，LATIF S.Cloud security and privacy [M]. OReilly Media，Inc， 2009.

[12] 安小明，王小明，王巧玲.具有時空約束的角色訪問控制模型[J].計算機工程與應(yīng)用，2010，46（7）：89-92.

[13] 鄧康明，陳金玉.角色訪問控制模型的分拆數(shù)實現(xiàn)[J].計算機工程與應(yīng)用，2011，47（12）：52-54.

[14] HE WANG， SYLVIA L. Osborn. Static and dynamic delegation in the role graph model[J].IEEE TRANSACTIONS ON KNOWLEDGE AND DATA ENGINEERING， 2011，23（10）：1569-1582.

[15] 魏永合，岳明凱.基于角色的強訪問控制模型[J].探測與控制學(xué)報，2009，31（4）：74-77，83.

[16] KUHN D R，COYNE E J， WEIL T R.Adding attributesto role-based access control [J]. IEEE Computer Society， 2010，43（6）：79-81.

[17] 譚毓安，王佐，曹元大.RSA數(shù)字簽名算法在軟件加密中的應(yīng)用[J].計算機系統(tǒng)應(yīng)用，2004（8）：59-63.

[18] SUN H M， WU M E， TING W C，et al. Dual RSA and its security analysis[J]. IEEE Transactions on Information Theory， 2007，53（8）：2922-2933.

[19] BLUM M，EVANS W，GEMMELL P， et al. Checking the correctness of memories [J].Algorithmica， 1994，12（2-3）：225-244.

（責(zé)任編輯：杜能鋼）