王紅心，龍文佳

（湖北大學(xué)知行學(xué)院計算機與信息工程學(xué)院，湖北武漢 430011）

1 引言

信息技術(shù)高速發(fā)展的今天，人類社會活動產(chǎn)生的數(shù)據(jù)規(guī)模正以爆炸性的速度增長，大數(shù)據(jù)時代已然到來[1]。根據(jù)國際數(shù)據(jù)公司（IDC）的預(yù)測，到2022年全球產(chǎn)生的信息總量將達到40ZB，是2011年全球信息總量的50倍。作為信息時代的一大新興產(chǎn)業(yè)，大數(shù)據(jù)蘊含著具有極高價值的信息，引起了產(chǎn)業(yè)界、學(xué)術(shù)界、國內(nèi)外政府部門的高度關(guān)注。科學(xué)技術(shù)的發(fā)展是把雙刃劍，大數(shù)據(jù)給人類社會帶來巨大價值的同時，也面臨著許多新的問題，其中大數(shù)據(jù)的安全與隱私保護是社會各界最為關(guān)注的重要問題之一。

當前，大數(shù)據(jù)在數(shù)據(jù)獲取、數(shù)據(jù)存儲、數(shù)據(jù)分析和數(shù)據(jù)使用等各個階段均缺乏規(guī)范的監(jiān)管和有效的面向數(shù)據(jù)全生命周期的安全保護措施。首先，在數(shù)據(jù)獲取階段，出于商業(yè)利益的驅(qū)動，人們網(wǎng)絡(luò)活動的一言一行都在互聯(lián)網(wǎng)商家的跟蹤之下，這種單方面的數(shù)據(jù)獲取方式極大地暴露了用戶的個人隱私。例如Amazon、京東商城等網(wǎng)絡(luò)電子商務(wù)公司捕獲用戶的消費習慣，利用用戶的歷史消費數(shù)據(jù)可以幫助企業(yè)提升營銷的針對性和精準度；Facebook、騰訊等社交網(wǎng)絡(luò)服務(wù)供應(yīng)商維護著用戶的互聯(lián)網(wǎng)人際關(guān)系，可以用來幫助社交網(wǎng)站為用戶提供更加準確的好友推薦；Google、百度等互聯(lián)網(wǎng)搜索服務(wù)提供商記錄著用戶的信息檢索歷史和檢索習慣數(shù)據(jù)，通過對這些數(shù)據(jù)的挖掘分析，可以提升用戶搜索結(jié)果的相關(guān)度和準確度。在這樣的背景之下，這些互聯(lián)網(wǎng)服務(wù)提供商既是數(shù)據(jù)的生產(chǎn)者，又是數(shù)據(jù)的存儲、管理和使用者，所以用戶按照傳統(tǒng)的安全模式來控制商家對用戶信息數(shù)據(jù)的訪問與使用來保護自己的隱私，是十分困難的。

在數(shù)據(jù)存儲階段，特別是目前普遍采用的云存儲環(huán)境下，大數(shù)據(jù)面臨著數(shù)據(jù)完整性被破壞的安全風險，如何有效地判斷大數(shù)據(jù)在存儲階段的完整性和可用性，成為亟待解決的重要問題。大數(shù)據(jù)的使用方應(yīng)當有能力判斷數(shù)據(jù)的完整性，因為對錯誤的數(shù)據(jù)進行分析將會得出無意義或錯誤的預(yù)測結(jié)果。然而，大數(shù)據(jù)因其規(guī)模龐大、數(shù)據(jù)類型復(fù)雜、增長速度快等特點使得傳統(tǒng)的完整性審計方法在計算效率和通信開銷等方面遇到了極大的瓶頸。

在數(shù)據(jù)分析階段，人們同樣面臨著個人隱私進一步泄露的風險。另外，考慮到大數(shù)據(jù)復(fù)雜的應(yīng)用環(huán)境，大數(shù)據(jù)可能被用于各行各業(yè)不同應(yīng)用的需求，因此對其實施的訪問控制粒度與策略也應(yīng)有所不同。大數(shù)據(jù)環(huán)境下實施訪問控制的難點主要反映在三個方面：一是角色難以預(yù)設(shè)。在大數(shù)據(jù)復(fù)雜的應(yīng)用場景下，面對龐大數(shù)量的數(shù)據(jù)使用方，預(yù)先設(shè)置角色，實現(xiàn)角色和合理劃分相當困難。二是難以預(yù)知每個角色的實際權(quán)限。大數(shù)據(jù)由于數(shù)量大、類型多樣，大數(shù)據(jù)管理系統(tǒng)很難準確地為數(shù)據(jù)使用方指定其可以訪問的數(shù)據(jù)范圍。三是難以預(yù)測訪問的粒度。有些訪問可能是基于數(shù)據(jù)塊或記錄；也有一些是基于文件和對象。因此，很難用單一模式的訪問控制結(jié)構(gòu)來表達不同的訪問粒度信息。

綜上所述，從大數(shù)據(jù)的產(chǎn)生、存儲、分析到使用，甚至銷毀階段都存在著影響數(shù)據(jù)安全的因素及風險。為了適應(yīng)對大數(shù)據(jù)全生命周期的安全保護需求，本文研究了大數(shù)據(jù)在生命周期的基本特征，分析了大數(shù)據(jù)在各個階段的安全需求，進而建立了一種面向數(shù)據(jù)全生命周期的大數(shù)據(jù)安全保護模型。在模型基礎(chǔ)上，分別在大數(shù)據(jù)完整審計方法、大數(shù)據(jù)變粒度訪問控制方法、對抗數(shù)據(jù)關(guān)聯(lián)性挖掘的隱私保護方法等提出了相應(yīng)的解決方案。

2 相關(guān)技術(shù)研究現(xiàn)狀分析

目前，學(xué)術(shù)界和產(chǎn)業(yè)界分別在數(shù)據(jù)生命周期的各個階段都有相關(guān)的研究成果，本節(jié)結(jié)合這些成果對其現(xiàn)狀進行分析。

2.1 大數(shù)據(jù)的隱私保護技術(shù)

數(shù)據(jù)發(fā)布者是指采集數(shù)據(jù)和發(fā)布數(shù)據(jù)的實體，包括政府部門、數(shù)據(jù)公司等。在數(shù)據(jù)發(fā)布階段，為保證數(shù)據(jù)持有者公開數(shù)據(jù)后，攻擊者無法從數(shù)據(jù)中識別出用戶的隱私信息，Samarati等人在1998年首次提出了信息匿名化的概念[1]，旨在通過隱藏公開數(shù)據(jù)記錄與特定個人之間的對應(yīng)聯(lián)系，從而保護個人隱私。由于刪除有關(guān)用戶身份的屬性，不但會大量丟失數(shù)據(jù)的原始信息，而且并不能有效地隱藏敏感信息，同時為了避免攻擊者從標識符連接多個數(shù)據(jù)集，重新確立用戶信息和數(shù)據(jù)記錄的關(guān)系而導(dǎo)致的鏈接攻擊，研究者相繼提出了k-匿名[2]，l-diversity[3]，t-closeness[4]以及它們相關(guān)的變形算法。由于此類匿名策略往往會導(dǎo)致發(fā)布數(shù)據(jù)的信息損失而不利于后期的數(shù)據(jù)挖掘與分析，為了減少不必要的信息損失，可以根據(jù)用戶的要求，對發(fā)布數(shù)據(jù)中的敏感屬性值提供不同程度的隱私保護，因而在此基礎(chǔ)上，個性化匿名、帶權(quán)重的匿名等一系列匿名策略被相繼提出。然而，大數(shù)據(jù)的一個重要特征就是數(shù)據(jù)是動態(tài)更新的，為保證每一次發(fā)布的數(shù)據(jù)都滿足某種匿名策略的同時，攻擊者也無法聯(lián)合歷史數(shù)據(jù)進行分析和推理出用戶的隱私信息，相應(yīng)的支持動態(tài)更新匿名保護策略被提出。Byun等人最先提出了一種支持新增的數(shù)據(jù)重發(fā)布匿名策略[5]，使得數(shù)據(jù)集即使因為新增而發(fā)生改變，但仍然能夠滿足l-diversity準則，從而保證用戶的隱私。為了在支持新增操作的同時，完成數(shù)據(jù)重新發(fā)布時對歷史數(shù)據(jù)集進行刪除，m-invariance 策略[6]被提出。但是由于大數(shù)據(jù)的多源化和大數(shù)據(jù)之間的關(guān)聯(lián)性強等特性，攻擊者可以通過收集足夠多的數(shù)據(jù)信息去匿名化而獲取用戶的隱私信息，因此匿名技術(shù)仍面臨著新的挑戰(zhàn)，現(xiàn)有的匿名技術(shù)還有待改進。

2.2 大數(shù)據(jù)的完整性保護技術(shù)

目前，大數(shù)據(jù)的存儲技術(shù)主要是采用云計算技術(shù)。但是，將敏感數(shù)據(jù)存放在不可信或者說是半可信的云服務(wù)方會帶來許多潛在的威脅。例如，數(shù)據(jù)可能被管理者偷窺、篡改、丟失等，從而使得大數(shù)據(jù)的完整性無法得到保證。目前，解決方法有加密存儲和數(shù)據(jù)審計技術(shù)。從已有的文獻可知，Juel等人提出的POR（Proof of Retrievability）[7]是早期云數(shù)據(jù)安全審計方法之一。該方法使用錯誤校驗碼（Error-correcting Code）作為哨兵來確認存儲在CSP中數(shù)據(jù)的完整性以及可恢復(fù)性，但是該審計方案的審計次數(shù)有限，并且審計行為在用戶與CSP之間進行，審計工作無法在雙方互相不信任的情況下保證其公正性。為了解決這一問題，Ateniese等人[8]提出的PDP（Provable Data Possession）將審計工作轉(zhuǎn)移到公開的第三方（Third Party Auditor，TPA），即審計在用戶和CSP信任的第三方進行，由其提供一個公正客觀的結(jié)果。為實現(xiàn)對云端數(shù)據(jù)的公開安全審計，Ateniese等人首先將基于RSA的同態(tài)標簽應(yīng)用于數(shù)據(jù)的完整性驗證，降低審計過程中的通信開銷以及計算開銷。公開審計已成為近年來審計模型的發(fā)展趨勢。然而，從目前的研究成果來看，公開審計也存在著一些風險和問題。由于TPA可能從審計證據(jù)中還原數(shù)據(jù)，將審計工作放在TPA上為用戶數(shù)據(jù)帶來隱私泄露的風險，Wang等人[9]通過將隨機掩碼插入審計證據(jù)的方式，使得其不能被TPA還原成數(shù)據(jù)，從而實現(xiàn)了云數(shù)據(jù)安全公開審計中的數(shù)據(jù)隱私保護。Shacham等人[10]提出的CPOR方法側(cè)重于實現(xiàn)云端數(shù)據(jù)的可恢復(fù)性，它使用消息驗證碼以及同態(tài)標簽兩種方式實現(xiàn)數(shù)據(jù)的公開審計，并采用基于短簽名的同態(tài)標簽代替基于RSA的同態(tài)標簽實現(xiàn)更優(yōu)的性能。為了實現(xiàn)動態(tài)可更新數(shù)據(jù)的有效審計，Erway等人[11]在原始的PDP模型的基礎(chǔ)上，將基于等級的跳表機制與之結(jié)合，提出了支持數(shù)據(jù)塊級別動態(tài)操作的審計方法DPDP（Dynamic Provable Data Possession），這一方法能夠支持如插入、刪除、修改等常規(guī)數(shù)據(jù)塊的動態(tài)操作，但是對于數(shù)據(jù)動態(tài)的更新，尤其是數(shù)據(jù)插入操作的效率，目前還有待提高。因此，如何設(shè)計具有身份隱私保護和簡單、高效的云端大數(shù)據(jù)完整性審計方案，仍然是一個具有挑戰(zhàn)性的問題。

2.3 大數(shù)據(jù)的訪問控制技術(shù)

訪問控制是一種有效防止未授權(quán)用戶獲取機密和隱私信息的重要技術(shù)。傳統(tǒng)的訪問控制模型都假設(shè)數(shù)據(jù)所有者和服務(wù)器處于同一個信任域中，服務(wù)器負責定義、執(zhí)行訪問控制策略并管理用戶訪問有關(guān)的細節(jié)。在大數(shù)據(jù)環(huán)境中，數(shù)據(jù)外包給大數(shù)據(jù)服務(wù)的提供商，數(shù)據(jù)的所有者和服務(wù)器不在同一個信任域中，服務(wù)器由大數(shù)據(jù)服務(wù)提供商直接控制，而用戶無法控制服務(wù)器。因此，在大數(shù)據(jù)環(huán)境中，傳統(tǒng)的訪問控制已經(jīng)無法解決這個問題。最新的研究方法是數(shù)據(jù)所有者采用加密數(shù)據(jù)，然后通過控制用戶的解密能力來實現(xiàn)密文的訪問控制。最原始的外包數(shù)據(jù)訪問控制方法是數(shù)據(jù)所有者在外包數(shù)據(jù)之前選擇一種加密方法對文件進行加密，將解密密鑰發(fā)送給授權(quán)訪問的用戶[12]。因為密鑰管理的復(fù)雜度太高，用戶授權(quán)或撤銷的難度較大，基于文件的粒度太粗，以及可能存在的合謀攻擊等問題，這種方式一般只適用于對存儲在非可信服務(wù)器上少量的數(shù)據(jù)進行訪問控制，很難擴展到大數(shù)據(jù)環(huán)境這種大規(guī)模的應(yīng)用。2005年，Sahai和Waters等人[13]提出了基于屬性的加密（Attribute Based Encryption，ABE）。由于邏輯屬性可以很好地描述文件的數(shù)據(jù)集，ABE有助于實現(xiàn)大數(shù)據(jù)環(huán)境中的細粒度訪問控制?；贏BE的訪問控制主要研究成果可以分為兩類：密文策略ABE（Ciphertext Policy Attribute Based Encryption，CPABE）和密鑰策略ABE（Key Policy Attribute Based Encryption，KP-ABE）。其中，KPABE是密鑰與訪問控制策略相關(guān)聯(lián)，而CP-ABE是密文與訪問控制策略相關(guān)聯(lián)。盡管ABE可以實現(xiàn)靈活安全細粒度的訪問控制，但是在大數(shù)據(jù)環(huán)境中其權(quán)限撤銷的效率和能否適應(yīng)不同應(yīng)用的多樣化訪問需求仍是一個難題。因此，傳統(tǒng)的單一粒度訪問控制模式已無法應(yīng)對大數(shù)據(jù)環(huán)境下動態(tài)化和個性化的安全訪問控制需求，迫切需要研究數(shù)據(jù)安全保護的變粒度訪問控制機制。

3 面向大數(shù)據(jù)全生命周期的安全保護模型

為了適應(yīng)對大數(shù)據(jù)全生命周期的安全保護需求，本文將大數(shù)據(jù)分為靜態(tài)數(shù)據(jù)和動態(tài)數(shù)據(jù)兩大類，分析了大數(shù)據(jù)在生命周期的基本特征以及大數(shù)據(jù)在各個階段的安全需求，進而建立了一套面向數(shù)據(jù)全生命周期的大數(shù)據(jù)安全保護模型。并在大數(shù)據(jù)完整審計方法、大數(shù)據(jù)變粒度訪問控制方法、對抗數(shù)據(jù)關(guān)聯(lián)性挖掘的隱私保護方法等方面提出了相應(yīng)的解決方案。

3.1 面向大數(shù)據(jù)全生命周期的安全保護模型

大數(shù)據(jù)環(huán)境下，數(shù)據(jù)從產(chǎn)生到銷毀存在著一定的生命周期。生命周期各階段由于數(shù)據(jù)的用途和處理方式不同，導(dǎo)致數(shù)據(jù)可能遇到的安全風險亦不同，為大數(shù)據(jù)的安全保護帶來了極大的挑戰(zhàn)。另一方面，大數(shù)據(jù)由于其增長迅速、模態(tài)多樣、真?zhèn)坞y辨、關(guān)聯(lián)復(fù)雜等特征，使得傳統(tǒng)的單一模式的數(shù)據(jù)保護方法，如加密存儲，無法為大數(shù)據(jù)生命周期各階段提供分級、分類的多模式保護，不能保證大數(shù)據(jù)在復(fù)雜環(huán)境下的數(shù)據(jù)安全；大數(shù)據(jù)環(huán)境下數(shù)據(jù)安全性與可用性的矛盾日益突出。因此，急需建立一種能夠保護大數(shù)據(jù)全生命周期的安全保護模型，針對生命周期不同階段面臨的安全風險提供多模式和全方位的保護。

大數(shù)據(jù)全生命周期的數(shù)據(jù)保護模型在開放網(wǎng)絡(luò)環(huán)境中，數(shù)據(jù)及其元數(shù)據(jù)的動態(tài)演進主要包括數(shù)據(jù)獲取與發(fā)布、數(shù)據(jù)存儲、數(shù)據(jù)分析、數(shù)據(jù)使用、數(shù)據(jù)銷毀等五個階段。如圖1所示，為本文提出的大數(shù)據(jù)全生命周期數(shù)據(jù)保護模型的基本框架圖。

圖1 大數(shù)據(jù)全生命周期數(shù)據(jù)保護模型

由于大數(shù)據(jù)在生命周期的不同階段面臨著不同的安全風險，如圖1所示的保護模型，建立了沿著生命周期的基本路線，根據(jù)各階段特定的安全需求，制定相應(yīng)的安全方案。

在數(shù)據(jù)獲取與發(fā)布階段，為保證采集的數(shù)據(jù)發(fā)布之后，用戶的隱私信息不被惡意的第三方獲取，對發(fā)布數(shù)據(jù)進行匿名化處理[14]。對于靜態(tài)數(shù)據(jù)的處理，當前使用較多的是k-匿名、l-多樣化等靜態(tài)匿名技術(shù)；同時，在匿名化過程中，對每一層數(shù)據(jù)處理都控制其信息損失量在可接受的范圍。對于持續(xù)更新的大數(shù)據(jù)，采用基于動態(tài)數(shù)據(jù)集的匿名策略，包括數(shù)據(jù)重發(fā)布匿名技術(shù)、m-invariance匿名技術(shù)等，既保證每一次發(fā)布的數(shù)據(jù)都滿足某種匿名標準，又使得攻擊者無法聯(lián)合歷史數(shù)據(jù)進行分析與推理。

在數(shù)據(jù)存儲階段，由于用戶失去對數(shù)據(jù)的物理控制，敏感數(shù)據(jù)存儲在不可信的第三方服務(wù)器中，極易被存儲管理者偷窺。另外，存儲方可能有意或無意丟失、篡改數(shù)據(jù)。一方面為了保證數(shù)據(jù)的安全存儲，建議采用數(shù)據(jù)加密技術(shù)。另一方面，為了驗證數(shù)據(jù)是否完好無損，通過數(shù)據(jù)完整性驗證方法，針對不同類型的數(shù)據(jù)進行審計。例如，歸檔大數(shù)據(jù)采用靜態(tài)完整性審計方法；變更頻繁的數(shù)據(jù)采用動態(tài)完整性審計方法；同時利用群組簽名來構(gòu)造同態(tài)認證等進行審計時的隱私保護。

在數(shù)據(jù)分析階段，很多原本零散稀疏的數(shù)據(jù)，通過結(jié)合來自多方渠道的數(shù)據(jù)集關(guān)聯(lián)分析、聚類分析等挖掘手段后容易泄露用戶的隱私，如用戶的生活軌跡、生活習慣、交友特性等。針對大數(shù)據(jù)的強關(guān)聯(lián)特性，采用頻繁模式挖掘、聚類、分類等數(shù)據(jù)挖掘技術(shù)，從時間、空間、來源三個維度分析隱私數(shù)據(jù)的相關(guān)性特征，然后通過變換、隱藏、隨機擾動等技術(shù)對相關(guān)信息進行干擾、隱藏和破壞，以對抗數(shù)據(jù)分析階段的數(shù)據(jù)關(guān)聯(lián)性挖掘，達到隱私保護的目的。

在數(shù)據(jù)使用階段，為確保合適的數(shù)據(jù)能夠在合適的時間和地點被合法的用戶或應(yīng)用按需訪問，采用多模式、變粒度的訪問控制機制，為不同的用戶或應(yīng)用提供基于塊、對象、文件等多粒度的訪問模式。同時為滿足大數(shù)據(jù)存儲的不同需求，為用戶提供基于身份的、基于屬性的等多模式安全訪問控制。

本文針對大數(shù)據(jù)全生命周期數(shù)據(jù)保護模型中一些核心安全技術(shù)進行研究。

3.2 面向大數(shù)據(jù)完整性驗證的審計技術(shù)

在大數(shù)據(jù)存儲環(huán)境下，由于數(shù)據(jù)用途的多樣性，有靜態(tài)的歸檔數(shù)據(jù)，也有動態(tài)的時效性數(shù)據(jù)。目前，數(shù)據(jù)審計方法因效率低下或支持審計方式單一等問題，無法滿足多樣化的大數(shù)據(jù)完整性驗證需求。為此，本文提出了一種“細分類型，按需審計”的策略，實現(xiàn)高效的數(shù)據(jù)完整性驗證。該策略將大數(shù)據(jù)按照更新特性分為兩類：（1）靜態(tài)歸檔數(shù)據(jù)：即短時期內(nèi)不會被更新的數(shù)據(jù)類型；（2）動態(tài)數(shù)據(jù)：指不斷產(chǎn)生或頻繁更新的數(shù)據(jù)類型。

面向靜態(tài)歸檔大數(shù)據(jù)的完整性審計方法。研究人員提出將現(xiàn)有的方案拓展到大數(shù)據(jù)環(huán)境下云端數(shù)據(jù)的完整性審計，使之能夠高效實現(xiàn)TB乃至PB量級的海量數(shù)據(jù)的完整性驗證審計。針對海量多媒體數(shù)據(jù)，建立一種基于透明可逆水印的公開審計方案，解決一般歸檔數(shù)據(jù)采用同態(tài)標簽審計方案時標簽計算量大、存儲空間開銷大、驗證信息與數(shù)據(jù)內(nèi)容分離等問題。

面向動態(tài)大數(shù)據(jù)的完整性審計方法。在大數(shù)據(jù)時代，數(shù)據(jù)更新粒度可能很小，可能僅是一段文字或是一張圖片，現(xiàn)有的動態(tài)審計方法都是將數(shù)據(jù)文件分塊后生成審計證據(jù)，其存儲和更新粒度等于文件塊的大小。因此，無論新增的數(shù)據(jù)量大小，每次操作都需要生成新的數(shù)據(jù)塊。針對這種數(shù)據(jù)更新量與分塊大小極不匹配的情況，亟需提出一種支持細粒度更新的數(shù)據(jù)完整性審計方法。為此，本文將根據(jù)大數(shù)據(jù)頻繁更新的特點，結(jié)合現(xiàn)有的動態(tài)數(shù)據(jù)審計的一般方法，利用聚合簽名、認證數(shù)據(jù)結(jié)構(gòu)、同態(tài)標簽等技術(shù)，提出了適用于大數(shù)據(jù)動態(tài)更新的完整性驗證方案。當存儲在云端數(shù)據(jù)更新頻繁且更新量大時，基于同態(tài)標簽的審計方法由于通信開銷大、計算復(fù)雜，并不適用于容量龐大的大數(shù)據(jù)環(huán)境，研究人員將細粒度的數(shù)據(jù)更新放到一個文件塊中進行，避免每次更新所帶來的存儲空間浪費和通信開銷過大。另外，為了保證數(shù)據(jù)的新鮮度，在數(shù)據(jù)簽名中加入版本號和時間戳等信息，防止CSP采取重放攻擊和數(shù)據(jù)偽造，保證在進行數(shù)據(jù)更新后，TPA仍能對最新的數(shù)據(jù)進行完整性驗證，同時保證數(shù)據(jù)新鮮度。

3.3 大數(shù)據(jù)環(huán)境下變粒度的安全訪問控制技術(shù)

大數(shù)據(jù)的訪問場景中，由于應(yīng)用的復(fù)雜多樣，不同用戶在相同數(shù)據(jù)的驅(qū)動下可能會產(chǎn)生不同的應(yīng)用，因此不同應(yīng)用對相同數(shù)據(jù)的訪問粒度可能不同，有的可能是基于數(shù)據(jù)塊的訪問，有的可能是基于文件或基于對象的訪問，因此單一模式的訪問控制結(jié)構(gòu)不能表達不同的訪問粒度信息。另外，現(xiàn)有的基于ABE的訪問控制一般是由數(shù)據(jù)所有者獨立授權(quán)，大數(shù)據(jù)環(huán)境中由于用戶來源廣泛、數(shù)據(jù)屬性繁多，這些屬性事實上由不同的部門或人員掌握，不可能由一個人或一個部門獨立授權(quán)。因此，本文提出了一種多方協(xié)同授權(quán)的訪問控制方法，實現(xiàn)用戶訪問的粒度可變性。大數(shù)據(jù)環(huán)境下變粒度安全訪問控制方案，如圖2所示。

根據(jù)圖2所設(shè)計的訪問控制方案，本節(jié)將其中的核心模塊進行分析。

（1）基于數(shù)據(jù)標志的變粒度數(shù)據(jù)存儲方法。通過在合適的位置嵌入數(shù)據(jù)標志，實現(xiàn)數(shù)據(jù)粒度的快速可變。在目前通用的細粒度塊存儲方法中，在數(shù)據(jù)塊之間，如在文件塊的邊界設(shè)置錨，可將粗粒度的文件變成細粒度的塊進行訪問。

圖2 大數(shù)據(jù)環(huán)境下變粒度安全訪問控制方案

（2）基于屬性加密的變粒度訪問控制結(jié)構(gòu)。為了解決訪問控制信息粒度可變的問題，需要將不同粒度的訪問控制信息進行分解與合并。目前，基于屬性加密的訪問控制方法中，屬性作為訪問控制信息可以實現(xiàn)對數(shù)據(jù)分層、分級的細粒度授權(quán)訪問，在變粒度訪問控制方法中，可以將對細粒度塊擁有授權(quán)的屬性作為最小訪問控制集，通過對最小訪問控制集的集合進行合并，生成粗粒度數(shù)據(jù)的訪問控制信息。

（3）基于多方協(xié)同授權(quán)屬性加密的變粒度訪問控制方法。傳統(tǒng)環(huán)境中，數(shù)據(jù)訪問是獨立授權(quán)給某些單一用戶；而大數(shù)據(jù)環(huán)境中，除了部分數(shù)據(jù)仍然需要獨立授權(quán)給某些單一用戶之外，也存在數(shù)據(jù)訪問需要由多個用戶或多個部門協(xié)同授權(quán)的情況。為解決訪問用戶的粒度可變問題，本文采用了多方協(xié)同授權(quán)的訪問控制方案。多方協(xié)同的屬性加密（MABE）支持多用戶協(xié)同加密，適用于多用戶協(xié)同授權(quán)的訪問控制，但是加解密開銷大，效率較低。通過對加密屬性的數(shù)據(jù)結(jié)構(gòu)、屬性的選取、多方協(xié)同機制進行優(yōu)化，使其適合大數(shù)據(jù)環(huán)境下的多方授權(quán)訪問控制，在保護隱私的前提下提高效率。

3.4 對抗數(shù)據(jù)關(guān)聯(lián)性挖掘的隱私保護方法

大數(shù)據(jù)環(huán)境下的數(shù)據(jù)具有強相關(guān)性，數(shù)據(jù)規(guī)模的擴大使得原本稀疏的許多信息升級為隱私。在大數(shù)據(jù)分析階段，人們可以結(jié)合不同來源的數(shù)據(jù)集進行挖掘分析，獲取某些被精心隱藏起來的隱私信息。已有的數(shù)據(jù)干擾策略，由于經(jīng)干擾的數(shù)據(jù)均與真實的原始數(shù)據(jù)直接相關(guān)，對隱私數(shù)據(jù)的保護并不理想；已有的查詢限制策略，由于查詢數(shù)據(jù)均來源于原始數(shù)據(jù)，對整個數(shù)據(jù)集的隱私保護程度并不高。因此，本文提出了一種隱私數(shù)據(jù)相關(guān)性特征的模式挖掘方案。該方法可以對抗數(shù)據(jù)的關(guān)聯(lián)性，對關(guān)聯(lián)特征進行隱藏，避免在數(shù)據(jù)分析階段挖掘出相關(guān)數(shù)據(jù)。

本文提出的隱私數(shù)據(jù)相關(guān)性特征的模式挖掘方案具體包括兩個方面。（1）從時間、空間、來源三個維度來探討大數(shù)據(jù)相關(guān)性的描述模型，挖掘潛在的隱私數(shù)據(jù)特征。例如，在某一時間和某一地點，能否挖掘出某類數(shù)據(jù)的來源，或者已知某一時間/某一地點和某類數(shù)據(jù)的來源，能否挖掘出這類數(shù)據(jù)發(fā)送的地點/時間，并根據(jù)相關(guān)性特征，構(gòu)建大數(shù)據(jù)隱私特征挖掘模型；（2）提出了對抗關(guān)聯(lián)性特征挖掘的多種隱私保護方法。例如，通過信息隱藏等技術(shù)，將相關(guān)性特征進行保護，以對抗數(shù)據(jù)分析階段的數(shù)據(jù)關(guān)聯(lián)性挖掘?；蛘咴诙嗝襟w大數(shù)據(jù)中，通過嵌入數(shù)據(jù)的方式對特征進行擾亂，讓數(shù)據(jù)關(guān)聯(lián)性挖掘失效，達到保護隱私的目標?；蛘咄ㄟ^對特定類型數(shù)據(jù)進行加密，破壞其相關(guān)性特征，達到對抗數(shù)據(jù)關(guān)聯(lián)性挖掘的目的。

4 結(jié)束語

大數(shù)據(jù)從產(chǎn)生到銷毀存在一個完整的生命周期，本文面向大數(shù)據(jù)全生命周期的安全需求，建立了一種全生命周期的數(shù)據(jù)保護模型，重點提出了大數(shù)據(jù)存儲過程中的按需審計，大數(shù)據(jù)使用過程中的多粒度安全訪問控制，以及大數(shù)據(jù)分析過程中的對抗相關(guān)性隱私保護等方法，確保大數(shù)據(jù)在上述三個階段的安全。由于不同生命周期階段的數(shù)據(jù)安全風險不同，數(shù)據(jù)保護方法也不同，如何在一個大系統(tǒng)里將大數(shù)據(jù)全生命周期不同階段的安全防護措施協(xié)調(diào)起來，實現(xiàn)大數(shù)據(jù)的全生命和全訪問的安全保護，尚需進一步研究的課題。