基于教育隐私信息的加密脱敏措施

迟玉刚

（南京大学，江苏 南京 210023）

0 引言

在把数据委托给公共云之后，一方面个人用户和企业就会失去物理上的控制，不合法的使用者可能试图访问外包数据，严重侵犯用户资料的隐私。另一方面数据安全性是否能够得到保障也是个人用户和企业所顾忌的。为了保证外包数据安全，传统的做法是将数据加密后，再将其外包到公共云，进而实现了对数据的安全保护和访问控制。虽然使用该方法能够保证数据安全，但同时也给用户有效地使用数据带来了困难。然而，当前使用的加密脱敏方法不能达到高效安全的效果，为此，提出了基于教育隐私信息的加密脱敏措施。

1 教育隐私信息安全事件频发原因分析

1.1 自身存在安全缺陷

自身存在的安全缺陷主要分为三个部分，分别是访问控制缺陷、DBMS漏洞缺陷和明文存储缺陷。其缺点有无返回量控制、SQL注入控制、超级用户不受限制、有害SQL控制等。DBMS漏洞缺陷包括系统注入漏洞、权限提升漏洞、拒绝服务漏洞、缓冲区溢出漏洞。明文存储缺陷包括数据文件明文存储漏洞、日志文件明文存储漏洞、备份文件明文存储漏洞和配置文件暴露密码漏洞。

1.2 内部信息泄露

在应用层、存储层、访问控制和外部攻击四部分中，是最容易导致内部信息泄露的主要部分。其中，应用层：利用数据库账号泄露业务系统后台数据库用户密码易泄漏，绕过业务系统直接窃取所有客户信息数据；存储层：将敏感信息、Oracle数据和备份文件存储为纯文本，并由此获取客户信息；访问控制：DBA用户操作无法监管维护人员、开发人员可自由获取用户敏感的信息；外部攻击部分：使用数据库漏洞攻击数据库，并最终窃取数据文件或获取高级用户的高级权限窃取数据。

2 基于教育隐私信息的加密脱敏措施

2.1 基于教育隐私信息的加密

基于教育隐私信息的加密时，应遵从如下目标：

2.1.1 数据的隐私性

在云存储系统中，确保用户数据保密，防止未经授权的用户（包括云存储提供商）未经授权访问。与此同时，还需要访问控制机制来抵抗用户的共谋攻击。

2.1.2高效的撤销效率

云计算存储的数据访问控制过程中，权限撤销是动态发生的，每次撤销权限的代价很大，因此，提高权限撤销效率是非常重要的。

2.1.3 数据的完整性

为了保证用户能够及时发现数据遭到破坏后不完整，用访问控制机制验证数据完整性。

2.1.4 访问控制的细粒度性

细粒度访问控制没有绝对定义的，也是相对的。为了实现对特定用户的准确访问控制，在设计时应尽可能细化属性，用户权限撤销的粒度也能直接反映出访问控制的粒度。

2.2 基于教育隐私信息的加密存储访问控制机制

一种基于教育隐私信息的加密存储访问控制机制，详细介绍了其工作过程：

2.2.1 对数据做加密处理

为了保证数据完整性，将对数据产生数字汇总。在此基础上，用MDS算法附加128位的MDS编码后，数据随后被加密。由于数据通常很大（否则云存储将不会成为存取控制的存储平台），直接对数据进行基于属性的加密是非常昂贵的。为此，首先对数据进行对称加密，然后根据属性值对对称密钥进行加密，有效地提高了加密效率。

2.2.2 上传密文至云存储

将数据的对称密文和对称密钥上传到云存储系统，让用户可以在任何时间和任何地方享受对云存储系统的可靠访问。

2.2.3 请求管理中心授权

要访问密文数据，首先对管理请求进行授权，然后向授权管理提交自己的属性集。如果一个属性集满足授权集合，那么组管会向其分配虚拟组号，由它生成用户私钥。结尾处的MD5，从而确定数据完整性。

2.2.4 用户权限授予

新加入系统的用户只有在获得适当权限之后，才能访问密文数据。用户授权负责授予合法用户的权限，由授权管理和虚拟组管理完成。资料拥有者定义属性授权列表，properties的授权列表包括数字和属性。数值代表逻辑关系，比如（m，n），其中m代表阈值，n代表节点的子节点的数量。m=1时，表示逻辑“或”，当m=n时，表示逻辑“和”。用户DUx将一组属性发送到授权管理来请求授权，许可管理验证用户属性集是否符合访问时所表示的属性授权列表，授权管理将在用户属性不符合授权列表的情况下拒绝该用户。在用户属性集满足属性授权列表的情况下，向管理用户授权。随后，虚拟组管理向用户分配相应的虚拟组编号，以完成用户权限授予过程。

2.2.5 权限撤销

权限撤销包括属性权限的撤销和用户权限的撤销。撤销属性权限相当简单，数据库的拥有者只需要删除要撤销的属性，就可以用新生成的访问序列重新加载密文。在撤销用户权限方面，情况稍显复杂，数据所有者将向授权管理和虚拟组管理撤销用户UDx消息。虚拟组管理查询用户UDx的虚拟组编号VGx，生成一个新的虚拟组号VGt，并将结果返回给数据所有者。数据所有者更新访问树，然后用VGt取代VGx。之后，生成具有新生成的访问树的密文，并将其上传到云存储系统，以取代原始密文。

除了被撤销的UDx之外，所有使用VGx虚拟组编号的用户都可以通过授权管理来授权。密钥管理从虚拟组管理接收新的虚拟组号后，使用VGt为合法用户生成私钥来完成用户取消过程。

2.2.6 基于教育隐私信息的密文共享机制

基于教育隐私信息的密文共享机制，设计的密文权控体系。该体系的构建能够增强密文访问权限控制，使所有对加密表/表空间的访问均需授权，而未经授权的用户无法获取加密表/表空间中的数据。DBA和高权限用户在未被授权时也无法在访问加密表/表空间的数据，还可针对本地访问行为进行权限校验。

2.2 基于教育隐私信息的脱敏

2.2.1 遵循“保证脱敏后数据可应用”规则能力

能够遵守“确保数据脱敏后可用”的规则。具体地说，该产品得到下列支持：

随着教育隐私信息的快速增长和内容的不断丰富，可将敏感数据划分到不同领域中，这就使教育隐私信息加密工作变得更加复杂。此外，来自商业系统的敏感数据格式和结构也是任意的；为了保证脱敏数据能够具备良好的脱敏效果，需根据数据特征自动识别出数据是否敏感，并不完全依赖于教育隐私信息的基本定义，比如，身份证号、地址、电话、电子邮件、银行卡号、车牌号码、公司名称等。

脱敏数据应符合业务系统的数据关系特征，并严格保留原始数据关系。举例来说，若ID号出现在多个表中，那么需要确保它们在脱敏之后相同。另外，对于具有时序关系的数据，必须确保原序列在每次脱敏后都保持不变。

2.2.2 基于安全信息共享的教育隐私信息脱敏措施

基于安全信息共享的教育隐私信息脱敏措施，如下所示：

步骤一：信息脱敏任务执行阶段识别

为了改善敏感信息的识别与脱敏，必须对长字段进行识别。其实现过程是：（1）分析所有SQL语句，在资料库中，识别敏感栏位，并根据敏感栏位的类别，选择对敏感栏位进行识别。（2）若识别字段为长字段，则所获得的每一项资料均为文本资料处理，并输入敏感资讯识别引擎进行识别。（3）在识别结果的基础上，脱敏用户的敏感信息。

步骤二：隐私信息分级

教育隐私信息的分级是保护数据安全交互的关键性过程，同时也是教育隐私信息加密脱敏的关键环节。以教育隐私信息安全性、有效性和完整性为依据，划分所识别的教育隐私信息，并将其分级。所划分的隐私信息主要划分为两个等级，分别是一般隐私等级和特别隐私等级，在等级划分过程中，充分考虑教育隐私信息划分因素，分别是：（1）可能存在的潜在性威胁和损失程度；（2）教育隐私信息能够包含所有有关的信息；（3）所获取的信息是否同用户工作和生活习惯有关；（4）能否直接识别特点用户的隐私信息。

根据等级划分结果，能够实现对所有用户识别到的隐私信息进行安全等级划分，依据划分结果实施相应脱敏方法，并制定详细脱敏措施。

步骤三：以实例对敏感用户的位置信息进行脱敏处理，提出一种基于地址解析技术的脱敏方法。详细内容如下所示：

（1）该方法通过分析获取的结构地址信息，获得相对经纬信息。

（2）采用一种随机置乱、通过数据抖动和数据模糊化等脱敏算法实现经纬信息的脱敏，获得经纬信息。

（3）根据脱敏后的经纬信息，根据脱敏部位限定在同一国家或省的预定条件，进行条件识别。如未达到预定条件，则跳到步骤（2），重新进行计算。

（4）通过对脱敏经纬信息的反演分析，能够满足预定条件，求得脱敏结构地址信息的位限。

利用地址解析技术，提出一种基于地址解析的用户地址信息脱敏方法，并映射到经度空间。对经纬向的抖动或模糊信息，采用地址逆解技术来恢复用户的详细地址信息。为了确保产生的地址位于特定的地理空间，扭曲空间的操作必须受到限制，否则就会引起跨界性问题，如其他国家或地区。在此基础上，对边界条件进行适当的检查，降低用户地址信息的敏感性，提高地址信息的真实性。

采用上述基于安全信息共享的教育隐私信息脱敏措施，可得到如下特点：

（1）脱敏数据高度仿真：无须使用数据采用遮蔽脱敏，保留数据格式，采用替换脱敏方式高度仿真适应各种场景。

（2）数据一致性：采用替换算法，相同原数据脱敏结果相同。

（3）脱敏数据高度可用：可保持主键、约束等特性，可保持脱敏后数据合法性。

3 结语

通过对基于教育隐私信息的加密脱敏措施研究，能有效地保证脱敏数据满足与原始数据相同的业务规则，同时也说明教育隐私信息所产生的数据是一种虚拟数据，能够使脱敏数据的用户从真实的体验中感受到数据的真实性。如此，保证了脱敏后的数据可以保证业务可靠地运行。在大数据时代，信息脱敏是数据业务管理必不可少的安全机制。今后信息脱敏技术的发展方向将围绕提高精确度、实用性、抗裂性、自动化程度、细粒度等方面展开，为满足未来用户对数据融合、共享和交互等更多领域的需求。