面向大數據全生命周期保護模型及方法

王紅心，龍文佳

（湖北大學知行學院計算機與信息工程學院，湖北武漢 430011）

1 引言

信息技術高速發展的今天，人類社會活動產生的數據規模正以爆炸性的速度增長，大數據時代已然到來[1]。根據國際數據公司（IDC）的預測，到2022年全球產生的信息總量將達到40ZB，是2011年全球信息總量的50倍。作為信息時代的一大新興產業，大數據蘊含著具有極高價值的信息，引起了產業界、學術界、國內外政府部門的高度關注?？茖W技術的發展是把雙刃劍，大數據給人類社會帶來巨大價值的同時，也面臨著許多新的問題，其中大數據的安全與隱私保護是社會各界最為關注的重要問題之一。

當前，大數據在數據獲取、數據存儲、數據分析和數據使用等各個階段均缺乏規范的監管和有效的面向數據全生命周期的安全保護措施。首先，在數據獲取階段，出于商業利益的驅動，人們網絡活動的一言一行都在互聯網商家的跟蹤之下，這種單方面的數據獲取方式極大地暴露了用戶的個人隱私。例如Amazon、京東商城等網絡電子商務公司捕獲用戶的消費習慣，利用用戶的歷史消費數據可以幫助企業提升營銷的針對性和精準度；Facebook、騰訊等社交網絡服務供應商維護著用戶的互聯網人際關系，可以用來幫助社交網站為用戶提供更加準確的好友推薦；Google、百度等互聯網搜索服務提供商記錄著用戶的信息檢索歷史和檢索習慣數據，通過對這些數據的挖掘分析，可以提升用戶搜索結果的相關度和準確度。在這樣的背景之下，這些互聯網服務提供商既是數據的生產者，又是數據的存儲、管理和使用者，所以用戶按照傳統的安全模式來控制商家對用戶信息數據的訪問與使用來保護自己的隱私，是十分困難的。

在數據存儲階段，特別是目前普遍采用的云存儲環境下，大數據面臨著數據完整性被破壞的安全風險，如何有效地判斷大數據在存儲階段的完整性和可用性，成為亟待解決的重要問題。大數據的使用方應當有能力判斷數據的完整性，因為對錯誤的數據進行分析將會得出無意義或錯誤的預測結果。然而，大數據因其規模龐大、數據類型復雜、增長速度快等特點使得傳統的完整性審計方法在計算效率和通信開銷等方面遇到了極大的瓶頸。

在數據分析階段，人們同樣面臨著個人隱私進一步泄露的風險。另外，考慮到大數據復雜的應用環境，大數據可能被用于各行各業不同應用的需求，因此對其實施的訪問控制粒度與策略也應有所不同。大數據環境下實施訪問控制的難點主要反映在三個方面：一是角色難以預設。在大數據復雜的應用場景下，面對龐大數量的數據使用方，預先設置角色，實現角色和合理劃分相當困難。二是難以預知每個角色的實際權限。大數據由于數量大、類型多樣，大數據管理系統很難準確地為數據使用方指定其可以訪問的數據范圍。三是難以預測訪問的粒度。有些訪問可能是基于數據塊或記錄；也有一些是基于文件和對象。因此，很難用單一模式的訪問控制結構來表達不同的訪問粒度信息。

綜上所述，從大數據的產生、存儲、分析到使用，甚至銷毀階段都存在著影響數據安全的因素及風險。為了適應對大數據全生命周期的安全保護需求，本文研究了大數據在生命周期的基本特征，分析了大數據在各個階段的安全需求，進而建立了一種面向數據全生命周期的大數據安全保護模型。在模型基礎上，分別在大數據完整審計方法、大數據變粒度訪問控制方法、對抗數據關聯性挖掘的隱私保護方法等提出了相應的解決方案。

2 相關技術研究現狀分析

目前，學術界和產業界分別在數據生命周期的各個階段都有相關的研究成果，本節結合這些成果對其現狀進行分析。

2.1 大數據的隱私保護技術

數據發布者是指采集數據和發布數據的實體，包括政府部門、數據公司等。在數據發布階段，為保證數據持有者公開數據后，攻擊者無法從數據中識別出用戶的隱私信息，Samarati等人在1998年首次提出了信息匿名化的概念[1]，旨在通過隱藏公開數據記錄與特定個人之間的對應聯系，從而保護個人隱私。由于刪除有關用戶身份的屬性，不但會大量丟失數據的原始信息，而且并不能有效地隱藏敏感信息，同時為了避免攻擊者從標識符連接多個數據集，重新確立用戶信息和數據記錄的關系而導致的鏈接攻擊，研究者相繼提出了k-匿名[2]，l-diversity[3]，t-closeness[4]以及它們相關的變形算法。由于此類匿名策略往往會導致發布數據的信息損失而不利于后期的數據挖掘與分析，為了減少不必要的信息損失，可以根據用戶的要求，對發布數據中的敏感屬性值提供不同程度的隱私保護，因而在此基礎上，個性化匿名、帶權重的匿名等一系列匿名策略被相繼提出。然而，大數據的一個重要特征就是數據是動態更新的，為保證每一次發布的數據都滿足某種匿名策略的同時，攻擊者也無法聯合歷史數據進行分析和推理出用戶的隱私信息，相應的支持動態更新匿名保護策略被提出。Byun等人最先提出了一種支持新增的數據重發布匿名策略[5]，使得數據集即使因為新增而發生改變，但仍然能夠滿足l-diversity準則，從而保證用戶的隱私。為了在支持新增操作的同時，完成數據重新發布時對歷史數據集進行刪除，m-invariance 策略[6]被提出。但是由于大數據的多源化和大數據之間的關聯性強等特性，攻擊者可以通過收集足夠多的數據信息去匿名化而獲取用戶的隱私信息，因此匿名技術仍面臨著新的挑戰，現有的匿名技術還有待改進。

2.2 大數據的完整性保護技術

目前，大數據的存儲技術主要是采用云計算技術。但是，將敏感數據存放在不可信或者說是半可信的云服務方會帶來許多潛在的威脅。例如，數據可能被管理者偷窺、篡改、丟失等，從而使得大數據的完整性無法得到保證。目前，解決方法有加密存儲和數據審計技術。從已有的文獻可知，Juel等人提出的POR（Proof of Retrievability）[7]是早期云數據安全審計方法之一。該方法使用錯誤校驗碼（Error-correcting Code）作為哨兵來確認存儲在CSP中數據的完整性以及可恢復性，但是該審計方案的審計次數有限，并且審計行為在用戶與CSP之間進行，審計工作無法在雙方互相不信任的情況下保證其公正性。為了解決這一問題，Ateniese等人[8]提出的PDP（Provable Data Possession）將審計工作轉移到公開的第三方（Third Party Auditor，TPA），即審計在用戶和CSP信任的第三方進行，由其提供一個公正客觀的結果。為實現對云端數據的公開安全審計，Ateniese等人首先將基于RSA的同態標簽應用于數據的完整性驗證，降低審計過程中的通信開銷以及計算開銷。公開審計已成為近年來審計模型的發展趨勢。然而，從目前的研究成果來看，公開審計也存在著一些風險和問題。由于TPA可能從審計證據中還原數據，將審計工作放在TPA上為用戶數據帶來隱私泄露的風險，Wang等人[9]通過將隨機掩碼插入審計證據的方式，使得其不能被TPA還原成數據，從而實現了云數據安全公開審計中的數據隱私保護。Shacham等人[10]提出的CPOR方法側重于實現云端數據的可恢復性，它使用消息驗證碼以及同態標簽兩種方式實現數據的公開審計，并采用基于短簽名的同態標簽代替基于RSA的同態標簽實現更優的性能。為了實現動態可更新數據的有效審計，Erway等人[11]在原始的PDP模型的基礎上，將基于等級的跳表機制與之結合，提出了支持數據塊級別動態操作的審計方法DPDP（Dynamic Provable Data Possession），這一方法能夠支持如插入、刪除、修改等常規數據塊的動態操作，但是對于數據動態的更新，尤其是數據插入操作的效率，目前還有待提高。因此，如何設計具有身份隱私保護和簡單、高效的云端大數據完整性審計方案，仍然是一個具有挑戰性的問題。

2.3 大數據的訪問控制技術

訪問控制是一種有效防止未授權用戶獲取機密和隱私信息的重要技術。傳統的訪問控制模型都假設數據所有者和服務器處于同一個信任域中，服務器負責定義、執行訪問控制策略并管理用戶訪問有關的細節。在大數據環境中，數據外包給大數據服務的提供商，數據的所有者和服務器不在同一個信任域中，服務器由大數據服務提供商直接控制，而用戶無法控制服務器。因此，在大數據環境中，傳統的訪問控制已經無法解決這個問題。最新的研究方法是數據所有者采用加密數據，然后通過控制用戶的解密能力來實現密文的訪問控制。最原始的外包數據訪問控制方法是數據所有者在外包數據之前選擇一種加密方法對文件進行加密，將解密密鑰發送給授權訪問的用戶[12]。因為密鑰管理的復雜度太高，用戶授權或撤銷的難度較大，基于文件的粒度太粗，以及可能存在的合謀攻擊等問題，這種方式一般只適用于對存儲在非可信服務器上少量的數據進行訪問控制，很難擴展到大數據環境這種大規模的應用。2005年，Sahai和Waters等人[13]提出了基于屬性的加密（Attribute Based Encryption，ABE）。由于邏輯屬性可以很好地描述文件的數據集，ABE有助于實現大數據環境中的細粒度訪問控制?；贏BE的訪問控制主要研究成果可以分為兩類：密文策略ABE（Ciphertext Policy Attribute Based Encryption，CPABE）和密鑰策略ABE（Key Policy Attribute Based Encryption，KP-ABE）。其中，KPABE是密鑰與訪問控制策略相關聯，而CP-ABE是密文與訪問控制策略相關聯。盡管ABE可以實現靈活安全細粒度的訪問控制，但是在大數據環境中其權限撤銷的效率和能否適應不同應用的多樣化訪問需求仍是一個難題。因此，傳統的單一粒度訪問控制模式已無法應對大數據環境下動態化和個性化的安全訪問控制需求，迫切需要研究數據安全保護的變粒度訪問控制機制。

3 面向大數據全生命周期的安全保護模型

為了適應對大數據全生命周期的安全保護需求，本文將大數據分為靜態數據和動態數據兩大類，分析了大數據在生命周期的基本特征以及大數據在各個階段的安全需求，進而建立了一套面向數據全生命周期的大數據安全保護模型。并在大數據完整審計方法、大數據變粒度訪問控制方法、對抗數據關聯性挖掘的隱私保護方法等方面提出了相應的解決方案。

3.1 面向大數據全生命周期的安全保護模型

大數據環境下，數據從產生到銷毀存在著一定的生命周期。生命周期各階段由于數據的用途和處理方式不同，導致數據可能遇到的安全風險亦不同，為大數據的安全保護帶來了極大的挑戰。另一方面，大數據由于其增長迅速、模態多樣、真偽難辨、關聯復雜等特征，使得傳統的單一模式的數據保護方法，如加密存儲，無法為大數據生命周期各階段提供分級、分類的多模式保護，不能保證大數據在復雜環境下的數據安全；大數據環境下數據安全性與可用性的矛盾日益突出。因此，急需建立一種能夠保護大數據全生命周期的安全保護模型，針對生命周期不同階段面臨的安全風險提供多模式和全方位的保護。

大數據全生命周期的數據保護模型在開放網絡環境中，數據及其元數據的動態演進主要包括數據獲取與發布、數據存儲、數據分析、數據使用、數據銷毀等五個階段。如圖1所示，為本文提出的大數據全生命周期數據保護模型的基本框架圖。

圖1 大數據全生命周期數據保護模型

由于大數據在生命周期的不同階段面臨著不同的安全風險，如圖1所示的保護模型，建立了沿著生命周期的基本路線，根據各階段特定的安全需求，制定相應的安全方案。

在數據獲取與發布階段，為保證采集的數據發布之后，用戶的隱私信息不被惡意的第三方獲取，對發布數據進行匿名化處理[14]。對于靜態數據的處理，當前使用較多的是k-匿名、l-多樣化等靜態匿名技術；同時，在匿名化過程中，對每一層數據處理都控制其信息損失量在可接受的范圍。對于持續更新的大數據，采用基于動態數據集的匿名策略，包括數據重發布匿名技術、m-invariance匿名技術等，既保證每一次發布的數據都滿足某種匿名標準，又使得攻擊者無法聯合歷史數據進行分析與推理。

在數據存儲階段，由于用戶失去對數據的物理控制，敏感數據存儲在不可信的第三方服務器中，極易被存儲管理者偷窺。另外，存儲方可能有意或無意丟失、篡改數據。一方面為了保證數據的安全存儲，建議采用數據加密技術。另一方面，為了驗證數據是否完好無損，通過數據完整性驗證方法，針對不同類型的數據進行審計。例如，歸檔大數據采用靜態完整性審計方法；變更頻繁的數據采用動態完整性審計方法；同時利用群組簽名來構造同態認證等進行審計時的隱私保護。

在數據分析階段，很多原本零散稀疏的數據，通過結合來自多方渠道的數據集關聯分析、聚類分析等挖掘手段后容易泄露用戶的隱私，如用戶的生活軌跡、生活習慣、交友特性等。針對大數據的強關聯特性，采用頻繁模式挖掘、聚類、分類等數據挖掘技術，從時間、空間、來源三個維度分析隱私數據的相關性特征，然后通過變換、隱藏、隨機擾動等技術對相關信息進行干擾、隱藏和破壞，以對抗數據分析階段的數據關聯性挖掘，達到隱私保護的目的。

在數據使用階段，為確保合適的數據能夠在合適的時間和地點被合法的用戶或應用按需訪問，采用多模式、變粒度的訪問控制機制，為不同的用戶或應用提供基于塊、對象、文件等多粒度的訪問模式。同時為滿足大數據存儲的不同需求，為用戶提供基于身份的、基于屬性的等多模式安全訪問控制。

本文針對大數據全生命周期數據保護模型中一些核心安全技術進行研究。

3.2 面向大數據完整性驗證的審計技術

在大數據存儲環境下，由于數據用途的多樣性，有靜態的歸檔數據，也有動態的時效性數據。目前，數據審計方法因效率低下或支持審計方式單一等問題，無法滿足多樣化的大數據完整性驗證需求。為此，本文提出了一種“細分類型，按需審計”的策略，實現高效的數據完整性驗證。該策略將大數據按照更新特性分為兩類：（1）靜態歸檔數據：即短時期內不會被更新的數據類型；（2）動態數據：指不斷產生或頻繁更新的數據類型。

面向靜態歸檔大數據的完整性審計方法。研究人員提出將現有的方案拓展到大數據環境下云端數據的完整性審計，使之能夠高效實現TB乃至PB量級的海量數據的完整性驗證審計。針對海量多媒體數據，建立一種基于透明可逆水印的公開審計方案，解決一般歸檔數據采用同態標簽審計方案時標簽計算量大、存儲空間開銷大、驗證信息與數據內容分離等問題。

面向動態大數據的完整性審計方法。在大數據時代，數據更新粒度可能很小，可能僅是一段文字或是一張圖片，現有的動態審計方法都是將數據文件分塊后生成審計證據，其存儲和更新粒度等于文件塊的大小。因此，無論新增的數據量大小，每次操作都需要生成新的數據塊。針對這種數據更新量與分塊大小極不匹配的情況，亟需提出一種支持細粒度更新的數據完整性審計方法。為此，本文將根據大數據頻繁更新的特點，結合現有的動態數據審計的一般方法，利用聚合簽名、認證數據結構、同態標簽等技術，提出了適用于大數據動態更新的完整性驗證方案。當存儲在云端數據更新頻繁且更新量大時，基于同態標簽的審計方法由于通信開銷大、計算復雜，并不適用于容量龐大的大數據環境，研究人員將細粒度的數據更新放到一個文件塊中進行，避免每次更新所帶來的存儲空間浪費和通信開銷過大。另外，為了保證數據的新鮮度，在數據簽名中加入版本號和時間戳等信息，防止CSP采取重放攻擊和數據偽造，保證在進行數據更新后，TPA仍能對最新的數據進行完整性驗證，同時保證數據新鮮度。

3.3 大數據環境下變粒度的安全訪問控制技術

大數據的訪問場景中，由于應用的復雜多樣，不同用戶在相同數據的驅動下可能會產生不同的應用，因此不同應用對相同數據的訪問粒度可能不同，有的可能是基于數據塊的訪問，有的可能是基于文件或基于對象的訪問，因此單一模式的訪問控制結構不能表達不同的訪問粒度信息。另外，現有的基于ABE的訪問控制一般是由數據所有者獨立授權，大數據環境中由于用戶來源廣泛、數據屬性繁多，這些屬性事實上由不同的部門或人員掌握，不可能由一個人或一個部門獨立授權。因此，本文提出了一種多方協同授權的訪問控制方法，實現用戶訪問的粒度可變性。大數據環境下變粒度安全訪問控制方案，如圖2所示。

根據圖2所設計的訪問控制方案，本節將其中的核心模塊進行分析。

（1）基于數據標志的變粒度數據存儲方法。通過在合適的位置嵌入數據標志，實現數據粒度的快速可變。在目前通用的細粒度塊存儲方法中，在數據塊之間，如在文件塊的邊界設置錨，可將粗粒度的文件變成細粒度的塊進行訪問。

圖2 大數據環境下變粒度安全訪問控制方案

（2）基于屬性加密的變粒度訪問控制結構。為了解決訪問控制信息粒度可變的問題，需要將不同粒度的訪問控制信息進行分解與合并。目前，基于屬性加密的訪問控制方法中，屬性作為訪問控制信息可以實現對數據分層、分級的細粒度授權訪問，在變粒度訪問控制方法中，可以將對細粒度塊擁有授權的屬性作為最小訪問控制集，通過對最小訪問控制集的集合進行合并，生成粗粒度數據的訪問控制信息。

（3）基于多方協同授權屬性加密的變粒度訪問控制方法。傳統環境中，數據訪問是獨立授權給某些單一用戶；而大數據環境中，除了部分數據仍然需要獨立授權給某些單一用戶之外，也存在數據訪問需要由多個用戶或多個部門協同授權的情況。為解決訪問用戶的粒度可變問題，本文采用了多方協同授權的訪問控制方案。多方協同的屬性加密（MABE）支持多用戶協同加密，適用于多用戶協同授權的訪問控制，但是加解密開銷大，效率較低。通過對加密屬性的數據結構、屬性的選取、多方協同機制進行優化，使其適合大數據環境下的多方授權訪問控制，在保護隱私的前提下提高效率。

3.4 對抗數據關聯性挖掘的隱私保護方法

大數據環境下的數據具有強相關性，數據規模的擴大使得原本稀疏的許多信息升級為隱私。在大數據分析階段，人們可以結合不同來源的數據集進行挖掘分析，獲取某些被精心隱藏起來的隱私信息。已有的數據干擾策略，由于經干擾的數據均與真實的原始數據直接相關，對隱私數據的保護并不理想；已有的查詢限制策略，由于查詢數據均來源于原始數據，對整個數據集的隱私保護程度并不高。因此，本文提出了一種隱私數據相關性特征的模式挖掘方案。該方法可以對抗數據的關聯性，對關聯特征進行隱藏，避免在數據分析階段挖掘出相關數據。

本文提出的隱私數據相關性特征的模式挖掘方案具體包括兩個方面。（1）從時間、空間、來源三個維度來探討大數據相關性的描述模型，挖掘潛在的隱私數據特征。例如，在某一時間和某一地點，能否挖掘出某類數據的來源，或者已知某一時間/某一地點和某類數據的來源，能否挖掘出這類數據發送的地點/時間，并根據相關性特征，構建大數據隱私特征挖掘模型；（2）提出了對抗關聯性特征挖掘的多種隱私保護方法。例如，通過信息隱藏等技術，將相關性特征進行保護，以對抗數據分析階段的數據關聯性挖掘?；蛘咴诙嗝襟w大數據中，通過嵌入數據的方式對特征進行擾亂，讓數據關聯性挖掘失效，達到保護隱私的目標?；蛘咄ㄟ^對特定類型數據進行加密，破壞其相關性特征，達到對抗數據關聯性挖掘的目的。

4 結束語

大數據從產生到銷毀存在一個完整的生命周期，本文面向大數據全生命周期的安全需求，建立了一種全生命周期的數據保護模型，重點提出了大數據存儲過程中的按需審計，大數據使用過程中的多粒度安全訪問控制，以及大數據分析過程中的對抗相關性隱私保護等方法，確保大數據在上述三個階段的安全。由于不同生命周期階段的數據安全風險不同，數據保護方法也不同，如何在一個大系統里將大數據全生命周期不同階段的安全防護措施協調起來，實現大數據的全生命和全訪問的安全保護，尚需進一步研究的課題。