遲玉剛

（南京大學(xué)，江蘇 南京 210023）

0 引言

在把數(shù)據(jù)委托給公共云之后，一方面?zhèn)€人用戶和企業(yè)就會(huì)失去物理上的控制，不合法的使用者可能試圖訪問外包數(shù)據(jù)，嚴(yán)重侵犯用戶資料的隱私。另一方面數(shù)據(jù)安全性是否能夠得到保障也是個(gè)人用戶和企業(yè)所顧忌的。為了保證外包數(shù)據(jù)安全，傳統(tǒng)的做法是將數(shù)據(jù)加密后，再將其外包到公共云，進(jìn)而實(shí)現(xiàn)了對(duì)數(shù)據(jù)的安全保護(hù)和訪問控制。雖然使用該方法能夠保證數(shù)據(jù)安全，但同時(shí)也給用戶有效地使用數(shù)據(jù)帶來了困難。然而，當(dāng)前使用的加密脫敏方法不能達(dá)到高效安全的效果，為此，提出了基于教育隱私信息的加密脫敏措施。

1 教育隱私信息安全事件頻發(fā)原因分析

1.1 自身存在安全缺陷

自身存在的安全缺陷主要分為三個(gè)部分，分別是訪問控制缺陷、DBMS漏洞缺陷和明文存儲(chǔ)缺陷。其缺點(diǎn)有無返回量控制、SQL注入控制、超級(jí)用戶不受限制、有害SQL控制等。DBMS漏洞缺陷包括系統(tǒng)注入漏洞、權(quán)限提升漏洞、拒絕服務(wù)漏洞、緩沖區(qū)溢出漏洞。明文存儲(chǔ)缺陷包括數(shù)據(jù)文件明文存儲(chǔ)漏洞、日志文件明文存儲(chǔ)漏洞、備份文件明文存儲(chǔ)漏洞和配置文件暴露密碼漏洞。

1.2 內(nèi)部信息泄露

在應(yīng)用層、存儲(chǔ)層、訪問控制和外部攻擊四部分中，是最容易導(dǎo)致內(nèi)部信息泄露的主要部分。其中，應(yīng)用層：利用數(shù)據(jù)庫(kù)賬號(hào)泄露業(yè)務(wù)系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)用戶密碼易泄漏，繞過業(yè)務(wù)系統(tǒng)直接竊取所有客戶信息數(shù)據(jù)；存儲(chǔ)層：將敏感信息、Oracle數(shù)據(jù)和備份文件存儲(chǔ)為純文本，并由此獲取客戶信息；訪問控制：DBA用戶操作無法監(jiān)管維護(hù)人員、開發(fā)人員可自由獲取用戶敏感的信息；外部攻擊部分：使用數(shù)據(jù)庫(kù)漏洞攻擊數(shù)據(jù)庫(kù)，并最終竊取數(shù)據(jù)文件或獲取高級(jí)用戶的高級(jí)權(quán)限竊取數(shù)據(jù)。

2 基于教育隱私信息的加密脫敏措施

2.1 基于教育隱私信息的加密

基于教育隱私信息的加密時(shí)，應(yīng)遵從如下目標(biāo)：

2.1.1 數(shù)據(jù)的隱私性

在云存儲(chǔ)系統(tǒng)中，確保用戶數(shù)據(jù)保密，防止未經(jīng)授權(quán)的用戶（包括云存儲(chǔ)提供商）未經(jīng)授權(quán)訪問。與此同時(shí)，還需要訪問控制機(jī)制來抵抗用戶的共謀攻擊。

2.1.2高效的撤銷效率

云計(jì)算存儲(chǔ)的數(shù)據(jù)訪問控制過程中，權(quán)限撤銷是動(dòng)態(tài)發(fā)生的，每次撤銷權(quán)限的代價(jià)很大，因此，提高權(quán)限撤銷效率是非常重要的。

2.1.3 數(shù)據(jù)的完整性

為了保證用戶能夠及時(shí)發(fā)現(xiàn)數(shù)據(jù)遭到破壞后不完整，用訪問控制機(jī)制驗(yàn)證數(shù)據(jù)完整性。

2.1.4 訪問控制的細(xì)粒度性

細(xì)粒度訪問控制沒有絕對(duì)定義的，也是相對(duì)的。為了實(shí)現(xiàn)對(duì)特定用戶的準(zhǔn)確訪問控制，在設(shè)計(jì)時(shí)應(yīng)盡可能細(xì)化屬性，用戶權(quán)限撤銷的粒度也能直接反映出訪問控制的粒度。

2.2 基于教育隱私信息的加密存儲(chǔ)訪問控制機(jī)制

一種基于教育隱私信息的加密存儲(chǔ)訪問控制機(jī)制，詳細(xì)介紹了其工作過程：

2.2.1 對(duì)數(shù)據(jù)做加密處理

為了保證數(shù)據(jù)完整性，將對(duì)數(shù)據(jù)產(chǎn)生數(shù)字匯總。在此基礎(chǔ)上，用MDS算法附加128位的MDS編碼后，數(shù)據(jù)隨后被加密。由于數(shù)據(jù)通常很大（否則云存儲(chǔ)將不會(huì)成為存取控制的存儲(chǔ)平臺(tái)），直接對(duì)數(shù)據(jù)進(jìn)行基于屬性的加密是非常昂貴的。為此，首先對(duì)數(shù)據(jù)進(jìn)行對(duì)稱加密，然后根據(jù)屬性值對(duì)對(duì)稱密鑰進(jìn)行加密，有效地提高了加密效率。

2.2.2 上傳密文至云存儲(chǔ)

將數(shù)據(jù)的對(duì)稱密文和對(duì)稱密鑰上傳到云存儲(chǔ)系統(tǒng)，讓用戶可以在任何時(shí)間和任何地方享受對(duì)云存儲(chǔ)系統(tǒng)的可靠訪問。

2.2.3 請(qǐng)求管理中心授權(quán)

要訪問密文數(shù)據(jù)，首先對(duì)管理請(qǐng)求進(jìn)行授權(quán)，然后向授權(quán)管理提交自己的屬性集。如果一個(gè)屬性集滿足授權(quán)集合，那么組管會(huì)向其分配虛擬組號(hào)，由它生成用戶私鑰。結(jié)尾處的MD5，從而確定數(shù)據(jù)完整性。

2.2.4 用戶權(quán)限授予

新加入系統(tǒng)的用戶只有在獲得適當(dāng)權(quán)限之后，才能訪問密文數(shù)據(jù)。用戶授權(quán)負(fù)責(zé)授予合法用戶的權(quán)限，由授權(quán)管理和虛擬組管理完成。資料擁有者定義屬性授權(quán)列表，properties的授權(quán)列表包括數(shù)字和屬性。數(shù)值代表邏輯關(guān)系，比如（m，n），其中m代表閾值，n代表節(jié)點(diǎn)的子節(jié)點(diǎn)的數(shù)量。m=1時(shí)，表示邏輯“或”，當(dāng)m=n時(shí)，表示邏輯“和”。用戶DUx將一組屬性發(fā)送到授權(quán)管理來請(qǐng)求授權(quán)，許可管理驗(yàn)證用戶屬性集是否符合訪問時(shí)所表示的屬性授權(quán)列表，授權(quán)管理將在用戶屬性不符合授權(quán)列表的情況下拒絕該用戶。在用戶屬性集滿足屬性授權(quán)列表的情況下，向管理用戶授權(quán)。隨后，虛擬組管理向用戶分配相應(yīng)的虛擬組編號(hào)，以完成用戶權(quán)限授予過程。

2.2.5 權(quán)限撤銷

權(quán)限撤銷包括屬性權(quán)限的撤銷和用戶權(quán)限的撤銷。撤銷屬性權(quán)限相當(dāng)簡(jiǎn)單，數(shù)據(jù)庫(kù)的擁有者只需要?jiǎng)h除要撤銷的屬性，就可以用新生成的訪問序列重新加載密文。在撤銷用戶權(quán)限方面，情況稍顯復(fù)雜，數(shù)據(jù)所有者將向授權(quán)管理和虛擬組管理撤銷用戶UDx消息。虛擬組管理查詢用戶UDx的虛擬組編號(hào)VGx，生成一個(gè)新的虛擬組號(hào)VGt，并將結(jié)果返回給數(shù)據(jù)所有者。數(shù)據(jù)所有者更新訪問樹，然后用VGt取代VGx。之后，生成具有新生成的訪問樹的密文，并將其上傳到云存儲(chǔ)系統(tǒng)，以取代原始密文。

除了被撤銷的UDx之外，所有使用VGx虛擬組編號(hào)的用戶都可以通過授權(quán)管理來授權(quán)。密鑰管理從虛擬組管理接收新的虛擬組號(hào)后，使用VGt為合法用戶生成私鑰來完成用戶取消過程。

2.2.6 基于教育隱私信息的密文共享機(jī)制

基于教育隱私信息的密文共享機(jī)制，設(shè)計(jì)的密文權(quán)控體系。該體系的構(gòu)建能夠增強(qiáng)密文訪問權(quán)限控制，使所有對(duì)加密表/表空間的訪問均需授權(quán)，而未經(jīng)授權(quán)的用戶無法獲取加密表/表空間中的數(shù)據(jù)。DBA和高權(quán)限用戶在未被授權(quán)時(shí)也無法在訪問加密表/表空間的數(shù)據(jù)，還可針對(duì)本地訪問行為進(jìn)行權(quán)限校驗(yàn)。

2.2 基于教育隱私信息的脫敏

2.2.1 遵循“保證脫敏后數(shù)據(jù)可應(yīng)用”規(guī)則能力

能夠遵守“確保數(shù)據(jù)脫敏后可用”的規(guī)則。具體地說，該產(chǎn)品得到下列支持：

隨著教育隱私信息的快速增長(zhǎng)和內(nèi)容的不斷豐富，可將敏感數(shù)據(jù)劃分到不同領(lǐng)域中，這就使教育隱私信息加密工作變得更加復(fù)雜。此外，來自商業(yè)系統(tǒng)的敏感數(shù)據(jù)格式和結(jié)構(gòu)也是任意的；為了保證脫敏數(shù)據(jù)能夠具備良好的脫敏效果，需根據(jù)數(shù)據(jù)特征自動(dòng)識(shí)別出數(shù)據(jù)是否敏感，并不完全依賴于教育隱私信息的基本定義，比如，身份證號(hào)、地址、電話、電子郵件、銀行卡號(hào)、車牌號(hào)碼、公司名稱等。

脫敏數(shù)據(jù)應(yīng)符合業(yè)務(wù)系統(tǒng)的數(shù)據(jù)關(guān)系特征，并嚴(yán)格保留原始數(shù)據(jù)關(guān)系。舉例來說，若ID號(hào)出現(xiàn)在多個(gè)表中，那么需要確保它們?cè)诿撁糁笙嗤?。另外，?duì)于具有時(shí)序關(guān)系的數(shù)據(jù)，必須確保原序列在每次脫敏后都保持不變。

2.2.2 基于安全信息共享的教育隱私信息脫敏措施

基于安全信息共享的教育隱私信息脫敏措施，如下所示：

步驟一：信息脫敏任務(wù)執(zhí)行階段識(shí)別

為了改善敏感信息的識(shí)別與脫敏，必須對(duì)長(zhǎng)字段進(jìn)行識(shí)別。其實(shí)現(xiàn)過程是：（1）分析所有SQL語句，在資料庫(kù)中，識(shí)別敏感欄位，并根據(jù)敏感欄位的類別，選擇對(duì)敏感欄位進(jìn)行識(shí)別。（2）若識(shí)別字段為長(zhǎng)字段，則所獲得的每一項(xiàng)資料均為文本資料處理，并輸入敏感資訊識(shí)別引擎進(jìn)行識(shí)別。（3）在識(shí)別結(jié)果的基礎(chǔ)上，脫敏用戶的敏感信息。

步驟二：隱私信息分級(jí)

教育隱私信息的分級(jí)是保護(hù)數(shù)據(jù)安全交互的關(guān)鍵性過程，同時(shí)也是教育隱私信息加密脫敏的關(guān)鍵環(huán)節(jié)。以教育隱私信息安全性、有效性和完整性為依據(jù)，劃分所識(shí)別的教育隱私信息，并將其分級(jí)。所劃分的隱私信息主要?jiǎng)澐譃閮蓚€(gè)等級(jí)，分別是一般隱私等級(jí)和特別隱私等級(jí)，在等級(jí)劃分過程中，充分考慮教育隱私信息劃分因素，分別是：（1）可能存在的潛在性威脅和損失程度；（2）教育隱私信息能夠包含所有有關(guān)的信息；（3）所獲取的信息是否同用戶工作和生活習(xí)慣有關(guān)；（4）能否直接識(shí)別特點(diǎn)用戶的隱私信息。

根據(jù)等級(jí)劃分結(jié)果，能夠?qū)崿F(xiàn)對(duì)所有用戶識(shí)別到的隱私信息進(jìn)行安全等級(jí)劃分，依據(jù)劃分結(jié)果實(shí)施相應(yīng)脫敏方法，并制定詳細(xì)脫敏措施。

步驟三：以實(shí)例對(duì)敏感用戶的位置信息進(jìn)行脫敏處理，提出一種基于地址解析技術(shù)的脫敏方法。詳細(xì)內(nèi)容如下所示：

（1）該方法通過分析獲取的結(jié)構(gòu)地址信息，獲得相對(duì)經(jīng)緯信息。

（2）采用一種隨機(jī)置亂、通過數(shù)據(jù)抖動(dòng)和數(shù)據(jù)模糊化等脫敏算法實(shí)現(xiàn)經(jīng)緯信息的脫敏，獲得經(jīng)緯信息。

（3）根據(jù)脫敏后的經(jīng)緯信息，根據(jù)脫敏部位限定在同一國(guó)家或省的預(yù)定條件，進(jìn)行條件識(shí)別。如未達(dá)到預(yù)定條件，則跳到步驟（2），重新進(jìn)行計(jì)算。

（4）通過對(duì)脫敏經(jīng)緯信息的反演分析，能夠滿足預(yù)定條件，求得脫敏結(jié)構(gòu)地址信息的位限。

利用地址解析技術(shù)，提出一種基于地址解析的用戶地址信息脫敏方法，并映射到經(jīng)度空間。對(duì)經(jīng)緯向的抖動(dòng)或模糊信息，采用地址逆解技術(shù)來恢復(fù)用戶的詳細(xì)地址信息。為了確保產(chǎn)生的地址位于特定的地理空間，扭曲空間的操作必須受到限制，否則就會(huì)引起跨界性問題，如其他國(guó)家或地區(qū)。在此基礎(chǔ)上，對(duì)邊界條件進(jìn)行適當(dāng)?shù)臋z查，降低用戶地址信息的敏感性，提高地址信息的真實(shí)性。

采用上述基于安全信息共享的教育隱私信息脫敏措施，可得到如下特點(diǎn)：

（1）脫敏數(shù)據(jù)高度仿真：無須使用數(shù)據(jù)采用遮蔽脫敏，保留數(shù)據(jù)格式，采用替換脫敏方式高度仿真適應(yīng)各種場(chǎng)景。

（2）數(shù)據(jù)一致性：采用替換算法，相同原數(shù)據(jù)脫敏結(jié)果相同。

（3）脫敏數(shù)據(jù)高度可用：可保持主鍵、約束等特性，可保持脫敏后數(shù)據(jù)合法性。

3 結(jié)語

通過對(duì)基于教育隱私信息的加密脫敏措施研究，能有效地保證脫敏數(shù)據(jù)滿足與原始數(shù)據(jù)相同的業(yè)務(wù)規(guī)則，同時(shí)也說明教育隱私信息所產(chǎn)生的數(shù)據(jù)是一種虛擬數(shù)據(jù)，能夠使脫敏數(shù)據(jù)的用戶從真實(shí)的體驗(yàn)中感受到數(shù)據(jù)的真實(shí)性。如此，保證了脫敏后的數(shù)據(jù)可以保證業(yè)務(wù)可靠地運(yùn)行。在大數(shù)據(jù)時(shí)代，信息脫敏是數(shù)據(jù)業(yè)務(wù)管理必不可少的安全機(jī)制。今后信息脫敏技術(shù)的發(fā)展方向?qū)@提高精確度、實(shí)用性、抗裂性、自動(dòng)化程度、細(xì)粒度等方面展開，為滿足未來用戶對(duì)數(shù)據(jù)融合、共享和交互等更多領(lǐng)域的需求。