沈國(guó)良，鄭 滔

(1. 蘇州大學(xué)信息化建設(shè)與管理中心，江蘇 蘇州 215006；2. 南京大學(xué)軟件學(xué)院，江蘇 南京 210046)

1 引言

信息屬性基加密技術(shù)是根據(jù)密碼學(xué)原理提出的，它是由信息密鑰屬性基加密與信息密文屬性基加密兩種方法組成。而敏感信息安全引起諸多組織高度重視，但是組織內(nèi)部敏感信息管理所使用基礎(chǔ)設(shè)備是非常昂貴的，如何以便宜的價(jià)格來(lái)完成可靠的敏感信息存儲(chǔ)，并且能夠保證敏感信息安全與高效使用，同時(shí)遵守有關(guān)政府信息保護(hù)法規(guī)法律、不泄露信息隱私是亟須特別重視的問(wèn)題。

相關(guān)研究人員對(duì)該方面研究諸多。例如閆璽璽[1]等人采用多機(jī)構(gòu)方法對(duì)敏感信息屬性基進(jìn)行加密，首先使用半策略隱藏方法，把敏感信息屬性分成屬性值與屬性名兩部分，再對(duì)敏感信息屬性值做隱藏處理，完成隱私保護(hù)，這樣有效避免敏感信息屬性值泄露給其他人。此外，信息加密過(guò)程中只對(duì)與訪(fǎng)問(wèn)策略有關(guān)屬性做加密處理，并不是對(duì)該系統(tǒng)所有屬性做加密處理，而是改變?cè)忻舾行畔⒈Ｗo(hù)的屬性基加密方法。在極大程度上縮短密文長(zhǎng)度。但該方法信息安全僅僅依賴(lài)DBDH假設(shè)，具有一定局限性，同時(shí)計(jì)算較為復(fù)雜，浪費(fèi)大量時(shí)間。陳丹偉[2]等人針對(duì)敏感信息屬性基加密過(guò)程會(huì)泄露一部分信息問(wèn)題，提出一種全新的敏感信息屬性基加密方法。先采用線(xiàn)性秘密分享矩陣函數(shù)作為該系統(tǒng)訪(fǎng)問(wèn)結(jié)構(gòu)，使方法具有很強(qiáng)表達(dá)能力，可以隨機(jī)表達(dá)訪(fǎng)問(wèn)，再通過(guò)三種質(zhì)數(shù)合數(shù)階雙線(xiàn)性群來(lái)構(gòu)建，實(shí)現(xiàn)安全隱藏敏感信息的目的，隨之利用雙系統(tǒng)加密方法來(lái)驗(yàn)證其安全性。但該方法需要占據(jù)系統(tǒng)大量空間，結(jié)果準(zhǔn)確率較低。

為此，提出一種新的分布式互聯(lián)網(wǎng)敏感信息屬性基加密方法，經(jīng)驗(yàn)證該方法簡(jiǎn)化了計(jì)算時(shí)間，提高了準(zhǔn)確率，縮短了系統(tǒng)運(yùn)營(yíng)成本，增強(qiáng)了信息安全性，有效解決了上述存在的問(wèn)題。

2 分布式互聯(lián)網(wǎng)敏感信息的分解

在安全信息庫(kù)服務(wù)系統(tǒng)組成中，可信板塊是保護(hù)信息隱私安全的重要一步，因此將可信板塊中敏感信息分解到不相同的分布式信息庫(kù)中并保存，做到敏感信息隱私安全保護(hù)。信息分解分為水平分解與垂直分解兩種方式[3]。其中水平分解是將信息記載水平分解到若干信息庫(kù)中，即敏感信息R=R1∪R2∪…∪Rn；而垂直分解是將記載的不相同屬性基分解在若干個(gè)信息庫(kù)中，即R=R1??R2??…??Rn。但由于水平分解在該系統(tǒng)保護(hù)作用較小，可忽略不計(jì)，所以?xún)H考慮敏感信息屬性基的垂直分解。

2.1 敏感信息屬性基的自動(dòng)檢測(cè)

信譽(yù)用戶(hù)在外包信息過(guò)程中，可以直接指出敏感信息屬性基，但是對(duì)于那些不屬于敏感信息屬性基的，則可以通過(guò)對(duì)這些信息屬性基進(jìn)行分析來(lái)區(qū)分。比如，在統(tǒng)計(jì)信息庫(kù)中，人名與身份證件號(hào)都屬于個(gè)人隱私，即敏感信息屬性基，但是出生日期、性別以及郵政編碼等都屬于非個(gè)人隱私，即非敏感信息屬性基，而事實(shí)上可以采用連續(xù)操作的方法來(lái)確定其身份證編碼與個(gè)人姓名[4]。為此，對(duì)信息庫(kù)中的敏感信息屬性基做自動(dòng)檢測(cè)是非常必要的。

信譽(yù)用戶(hù)信息庫(kù)中的信息用R(A1，A2，…，An)表示，其中A1，A2，…，An代表關(guān)系R的屬性基。為了完成屬性基的自動(dòng)檢測(cè)，做了如下設(shè)定：

設(shè)定一：準(zhǔn)標(biāo)志集合。Q表示準(zhǔn)標(biāo)志集合關(guān)系R中最小屬性集合。

設(shè)定二：準(zhǔn)標(biāo)志。α表示準(zhǔn)標(biāo)志的某一個(gè)屬性基集合，這部分屬性基的取值結(jié)果可以很容易確定關(guān)系R中的α一部分信息。

設(shè)定三：屬性基乘域。n1，n2，…，nk表示關(guān)系中屬性基不相同取值個(gè)數(shù)，即D=n1×n2×…×nk。

E[Xi]=npi(1-pi)n≈npien

(1)

(2)

定義一：假設(shè)D≤n，則D/e表示已標(biāo)識(shí)記錄總數(shù)量的敏感信息屬性基的檢測(cè)期望值上限。

證明：假設(shè)f(x)=xex，則f′(x)=(1-x)ex，f″(x)=(x-2)ex，根據(jù)f′(1)=0，f″(x)<0，得到期望函數(shù)f(x)，當(dāng)x=1此處有一個(gè)極大值。已標(biāo)識(shí)記錄的敏感信息屬性基檢測(cè)期望值上限即為

(3)

定義二：假設(shè)D≥n，則nen/D表示已標(biāo)識(shí)記錄總數(shù)量的敏感信息屬性基檢測(cè)期望值上限。

(4)

假設(shè)D≥n，則得出nen/D已標(biāo)識(shí)記錄總數(shù)量的敏感信息屬性基檢測(cè)期望值。

定義三：設(shè)定n為關(guān)系表的大小，D>n/ln(1/α)表示信息屬性基集合的屬性乘域，得到一個(gè)為α準(zhǔn)標(biāo)志的敏感信息屬性基集合。

證明：當(dāng)D>n，根據(jù)定義一可知，關(guān)系表中最大期望值為D/en1/e<α。根據(jù)定義二可知，信息屬性值域的屬性基集合能夠有效找關(guān)系表中被標(biāo)記記錄的屬性基檢測(cè)最大期望值，即en/D，并組成α標(biāo)準(zhǔn)志集合記錄，再找出檢測(cè)期望值一定大于α，為此en/D>α，也就符合D>n/ln(1/α)。

檢測(cè)出的敏感信息屬性基能夠?yàn)槊舾行畔㈥P(guān)系的分解奠定基礎(chǔ)。

2.2 敏感信息關(guān)系分解

關(guān)于垂直分解的方法諸多，而垂直分解需要考慮兩個(gè)問(wèn)題。問(wèn)題一關(guān)系分解后必要保證原有信息屬性基；問(wèn)題二被分解后信息必須起到隱私保護(hù)作用。

為了確保被分解后信息具有原來(lái)信息屬性基，就得在每一個(gè)信息庫(kù)中保存并記錄關(guān)鍵字，使用關(guān)鍵字拼接方法完成全部查詢(xún)記錄過(guò)程。而事實(shí)上關(guān)鍵字屬性總是展現(xiàn)出敏感信息屬性，但不能顯示是否保存，這種情況最好的解決方法就是采用序列號(hào)的方式[5]對(duì)元組進(jìn)行標(biāo)記記錄。在信譽(yù)板塊中設(shè)置一個(gè)序列自動(dòng)生成裝置，并記錄每個(gè)被分解信息所生成的序號(hào)編碼ID，此序號(hào)編碼ID重復(fù)出現(xiàn)整個(gè)分解關(guān)系表中，同時(shí)保存到不相同的信息庫(kù)中[6]。

定義四：隱私制約準(zhǔn)則。其是根據(jù)初始關(guān)系表中的集合屬性基進(jìn)行訪(fǎng)問(wèn)，但每個(gè)子集屬性基不能同時(shí)進(jìn)行訪(fǎng)問(wèn)。設(shè)定P?2R，表示P是R的子集的集合。

如果初始關(guān)系表中的垂直分解代表D(R)=(R1，R2，…，Rn，E)，R1∪R2∪…∪Rn=R同時(shí)E?R1∧E?R2∧…∧E?Rn。式中R1，R2，…，Rn分別代表分解后被輸送不相同服務(wù)端的屬性基集合，其中E代表被加密的敏感信息屬性基集合。關(guān)系分解必須符合隱私制約準(zhǔn)則，也就是?p∈P，P?(R1-E)∧p?(R2-E)∧…∧p?(Rn-E)。

要想符合信譽(yù)用戶(hù)設(shè)定的隱私制約準(zhǔn)則，就得區(qū)分初始關(guān)系表中敏感信息屬性基與非敏感信息屬性基[7]。對(duì)初始關(guān)系表中的敏感信息屬性基做隱私保護(hù)處理，降低對(duì)該敏感信息加密能力的影響，被加密的敏感信息屬性基使用對(duì)稱(chēng)加密方法，即a=E(a，k)。其中a代表初始屬性基數(shù)值，k代表加密密鑰。而被加密后的敏感信息屬性保存在整個(gè)信息庫(kù)中，密鑰則保存在信譽(yù)板塊中。對(duì)于非敏感信息屬性基則采用自動(dòng)檢測(cè)方式得到極大的準(zhǔn)標(biāo)志屬性基集合，需要注意準(zhǔn)標(biāo)志集合不同存儲(chǔ)到同一個(gè)信息庫(kù)中，還要將非敏感信息屬性基保存到某個(gè)信息庫(kù)中，降低連續(xù)操作對(duì)查詢(xún)能力的影響。

3 敏感信息屬性基加密的實(shí)現(xiàn)

想要提高敏感信息隱私保護(hù)和敏感信息查詢(xún)、處理過(guò)程中的平衡，就得使用上述敏感信息關(guān)系分解結(jié)果對(duì)該敏感信息的屬性基進(jìn)行加密[4]。

由上述步驟可知，敏感信息關(guān)系分解結(jié)果是根據(jù)敏感信息的屬性基自動(dòng)檢測(cè)得到的，將敏感信息分解成若干個(gè)信息屬性準(zhǔn)標(biāo)志集合，同時(shí)將有關(guān)分解的信息屬性基保存到敏感信息儲(chǔ)存設(shè)備中；通過(guò)上述過(guò)程完成了分布式互聯(lián)網(wǎng)敏感信息屬性基的加密。給出分布式互聯(lián)網(wǎng)敏感信息屬性基加密過(guò)程如圖1所示。

圖1 分布式互聯(lián)網(wǎng)敏感信息屬性基加密過(guò)程

該方法不用信息庫(kù)管理工作者來(lái)維護(hù)隱私信息[9]，只需要對(duì)敏感信息屬性基做加密處理，就可以完成敏感信息的隱私安全保護(hù)。雖然只是將敏感信息一部分進(jìn)行加密，再分解成若干個(gè)信息屬性基，但其具有極高的信息保護(hù)和查詢(xún)能力。

綜合上述步驟，完成了分布式互聯(lián)網(wǎng)敏感信息屬性基加密方法。為了確保加密質(zhì)量，還設(shè)計(jì)了基于查詢(xún)處理的敏感信息加密質(zhì)量校驗(yàn)?zāi)K。

4 基于查詢(xún)處理的敏感信息加密質(zhì)量校驗(yàn)

已有加密信息庫(kù)查詢(xún)處理方法都沒(méi)有考慮敏感信息的加密質(zhì)量校驗(yàn)問(wèn)題，而分布式互聯(lián)網(wǎng)敏感信息加密方法充分考慮加密質(zhì)量問(wèn)題，采用查詢(xún)處理的方式對(duì)被加密敏感信息屬性基的加密質(zhì)量進(jìn)行校驗(yàn)。要求信譽(yù)板塊在收到信譽(yù)用戶(hù)在初始關(guān)系表上的SQL查詢(xún)之后，就要對(duì)SQL查詢(xún)做分析、重寫(xiě)以及優(yōu)化等處理，獲得符合的子查詢(xún)并將其輸送到不相同的信息庫(kù)系統(tǒng)中，各信息庫(kù)系統(tǒng)將查詢(xún)后結(jié)果送回信譽(yù)板塊，由信譽(yù)板塊總結(jié)后送回信譽(yù)用戶(hù)初始信息庫(kù)數(shù)據(jù)中。為此，使用分布式信息庫(kù)查詢(xún)方法能夠有效解決被加密的敏感信息屬性基查詢(xún)問(wèn)題[10]。

對(duì)關(guān)系表上信息進(jìn)行查詢(xún)，可以用R1??R2??….??Rn代表關(guān)系表，并將關(guān)系表邏輯查詢(xún)變換成R1，R2，…，Rn上的查詢(xún)，最終將各子查詢(xún)信息輸送信譽(yù)用戶(hù)。根據(jù)信息查詢(xún)結(jié)果可知，子查詢(xún)是根據(jù)初始信息查詢(xún)并不是信息保存位置，因此在操作過(guò)程中不會(huì)形成不同信息庫(kù)之間的隱蔽路徑。

5 仿真結(jié)果與分析

為了驗(yàn)證所提分布式互聯(lián)網(wǎng)敏感信息屬性基加密方法的有效性，進(jìn)行一次仿真。

隨機(jī)抽取敏感信息集n=4×108條并記錄下來(lái)，每一條記錄都有二十多個(gè)屬性基。

對(duì)敏感信息屬性基的自動(dòng)檢測(cè)準(zhǔn)確度做測(cè)試，檢測(cè)信息集合是從互聯(lián)網(wǎng)中隨機(jī)抽取的32480條信息與7個(gè)非敏感屬性基，這7個(gè)屬性基分別表示開(kāi)通時(shí)間、空卡記錄、使用情況、資源種類(lèi)、廠(chǎng)商標(biāo)碼、業(yè)務(wù)種類(lèi)以及節(jié)點(diǎn)類(lèi)別，每一個(gè)信息屬性基不同值個(gè)數(shù)也是不同的，即70、3、9、15、8、45、6，任意抽取10個(gè)敏感信息屬性基做檢測(cè)處理，得到如表2結(jié)果。

表2 互聯(lián)網(wǎng)記錄集合中檢測(cè)的屬性基

屬性基乘域的大小直接決定屬性基自動(dòng)檢測(cè)的準(zhǔn)確度，屬性基乘域越大，自動(dòng)檢測(cè)的準(zhǔn)確度就越高。根據(jù)表2信息可知，采用所提的分布式互聯(lián)網(wǎng)敏感信息屬性基加密方法中所構(gòu)建的屬性基自動(dòng)檢測(cè)方法后，隨著屬性基數(shù)量的增大，屬性基乘域也逐漸增大，當(dāng)屬性基數(shù)達(dá)到最大值7時(shí)，屬性基乘域也已經(jīng)達(dá)到最大值2.98×108，因此說(shuō)明所提方法的檢測(cè)準(zhǔn)確度較高，驗(yàn)證了所提方法在屬性基的檢測(cè)方面具有一定的有效性。

敏感信息關(guān)系分解的精度對(duì)后續(xù)敏感信息屬性基的加密質(zhì)量有直接影響?，F(xiàn)將敏感信息關(guān)系分解精度作為實(shí)驗(yàn)測(cè)試指標(biāo)，以文獻(xiàn)[1]方法和文獻(xiàn)[2]方法作為所提方法的對(duì)比方法，分別測(cè)試三種不同方法的敏感信息關(guān)系分解精度。得到對(duì)比結(jié)果如圖2所示。

圖2 三種不同方法的敏感信息關(guān)系分解精度對(duì)比

分析圖2可得出，屬性基個(gè)數(shù)的遞增使得銘感信息關(guān)系分解精度逐漸增大，因此在屬性基個(gè)數(shù)為7時(shí)，分解精度普遍較大。圖中看出，文獻(xiàn)[1]方法的敏感信息關(guān)系分解精度最大值為35%，平均分解精度約為30%；文獻(xiàn)[2]方法的敏感信息關(guān)系分解精度最大值為78%，平均分解精度約為65%；所提方法的敏感信息關(guān)系分解精度最大值為75%，平均分解精度約為72%。對(duì)比實(shí)驗(yàn)結(jié)果得出，雖然所提方法的最大分解精度低于文獻(xiàn)[2]方法的最大分解精度，但平均分解精度遠(yuǎn)遠(yuǎn)大于兩種傳統(tǒng)方法，因此驗(yàn)證出，所提方法的分解精度最高。

分別采用文獻(xiàn)[1]方法、文獻(xiàn)[2]方法和所提方法，對(duì)分布式互聯(lián)網(wǎng)敏感信息的屬性基進(jìn)行加密，以加密漏洞個(gè)數(shù)為指標(biāo)，測(cè)試三種不同方法的加密質(zhì)量，得到三種不同方法的加密漏洞個(gè)數(shù)對(duì)比結(jié)果如圖3所示。

圖3 三種同方法的加密漏洞個(gè)數(shù)對(duì)比

根據(jù)圖3結(jié)果可以看出，文獻(xiàn)[1]方法的加密漏洞個(gè)數(shù)隨著屬性基乘域的增加而大幅度增加，當(dāng)屬性基乘域達(dá)到5000時(shí)，加密漏洞個(gè)數(shù)的增加幅度趨于平穩(wěn)，平均加密漏洞個(gè)數(shù)約為60個(gè)，最終穩(wěn)定在80個(gè)；文獻(xiàn)[2]方法的加密漏洞個(gè)數(shù)隨著屬性基乘域的增加穩(wěn)定上升，平均加密漏洞個(gè)數(shù)約為33個(gè)，最中穩(wěn)定在35個(gè)；所提方法的加密漏洞個(gè)數(shù)隨著屬性基乘域的增加而線(xiàn)性減少，在屬性基乘域?yàn)?時(shí)，漏洞個(gè)數(shù)最多為71個(gè)，在屬性基乘域?yàn)?4000時(shí)，漏洞個(gè)數(shù)最少為30個(gè)，也就是最終的漏洞個(gè)數(shù)。對(duì)比三種不同方法的實(shí)驗(yàn)結(jié)果可得，文獻(xiàn)[1]和文獻(xiàn)[2]方法的漏洞個(gè)數(shù)是呈上升趨勢(shì)的，而所提方法的漏洞個(gè)數(shù)呈下降趨勢(shì)，且所提方法的最終漏洞個(gè)數(shù)均小于文獻(xiàn)[1]方法和文獻(xiàn)[2]方法的最終漏洞個(gè)數(shù)，充分說(shuō)明所提方法的加密質(zhì)量最好，具有一定的有效性。

綜合上述實(shí)驗(yàn)結(jié)果得出，所提方法在屬性基自動(dòng)檢測(cè)、敏感信息關(guān)系分解精度及加密漏洞個(gè)數(shù)方面，均具有一定的優(yōu)越性，說(shuō)明所提方法的加密質(zhì)量最好。

6 結(jié)論

通過(guò)對(duì)互聯(lián)網(wǎng)中敏感信息屬性基存在泄露問(wèn)題，提出一種分布式互聯(lián)網(wǎng)敏感信息屬性基加密仿真。實(shí)驗(yàn)結(jié)果表明，該方法能夠準(zhǔn)確地檢測(cè)出屬性基，且敏感信息關(guān)系分解精度最大值可達(dá)到75%，平均分解精度高達(dá)72%，加密漏洞可以呈現(xiàn)減小的趨勢(shì)最終穩(wěn)定在30個(gè)左右。該方法優(yōu)越的加密效果，能夠?yàn)榉植际交ヂ?lián)網(wǎng)的隱私信息安全保護(hù)起到較大的作用。