基于數(shù)據(jù)安全標(biāo)識(shí)的個(gè)人數(shù)據(jù)空間安全技術(shù)

黃繼明 孫 偉 張武軍 陸佳星

1(中山大學(xué)電子信息與工程學(xué)院(微電子學(xué)院) 廣州 510006) 2(信息技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室(中山大學(xué)) 廣州 510006) 3(中山大學(xué)附屬第一醫(yī)院信息數(shù)據(jù)中心 廣州 510006)

隨著移動(dòng)互聯(lián)網(wǎng)以及智能終端的發(fā)展，互聯(lián)網(wǎng)的數(shù)據(jù)量呈現(xiàn)指數(shù)級(jí)增長(zhǎng)[1].借助數(shù)據(jù)分析技術(shù)以及人工智能算法，數(shù)據(jù)已經(jīng)成為生產(chǎn)要素被寫入到國(guó)家的發(fā)展戰(zhàn)略當(dāng)中.《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》明確提出：一方面要使數(shù)據(jù)連起來(lái)、跑起來(lái)、用起來(lái)，另外一方面要強(qiáng)化數(shù)據(jù)的安全保障.中國(guó)人大相繼通過(guò)了《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》等一系列基本法，進(jìn)一步強(qiáng)調(diào)數(shù)據(jù)安全重要的戰(zhàn)略意義、深遠(yuǎn)的影響以及嚴(yán)峻的形勢(shì)[2].數(shù)據(jù)的安全和使用是相互矛盾的，如何平衡兩者，既確保數(shù)據(jù)的高效使用，又保證數(shù)據(jù)的安全可靠是一個(gè)值得研究的課題[3].

以對(duì)象為中心的個(gè)人數(shù)據(jù)空間技術(shù)依托于數(shù)據(jù)分層的結(jié)構(gòu)，以及基于標(biāo)簽技術(shù)的數(shù)據(jù)管理模型，為解決個(gè)人數(shù)據(jù)的高效使用提供了解決方案[4].本文基于個(gè)人數(shù)據(jù)空間，引入數(shù)據(jù)治理技術(shù)，以“圍繞數(shù)據(jù)安全使用”為目的，提出了一種以數(shù)據(jù)安全標(biāo)識(shí)為基礎(chǔ)的數(shù)據(jù)管理模型，稱之為個(gè)人可信數(shù)據(jù)空間(personal trust data space, PTDS).

數(shù)據(jù)安全標(biāo)識(shí)技術(shù)是基于密碼技術(shù)，結(jié)合數(shù)據(jù)安全等級(jí)評(píng)估模型以及標(biāo)簽技術(shù)的可信數(shù)據(jù)安全標(biāo)注與識(shí)別技術(shù)，能夠?yàn)閿?shù)據(jù)安全管控以及數(shù)據(jù)安全體系提供基礎(chǔ)支持和保障，以此構(gòu)建個(gè)人數(shù)據(jù)空間的安全維度.

1 個(gè)人可信數(shù)據(jù)空間概述

數(shù)據(jù)空間是一組記錄所有主體相關(guān)的數(shù)據(jù)以及其關(guān)系的集合，著重于數(shù)據(jù)的可控性和主體性.因此，PTDS在數(shù)據(jù)流和業(yè)務(wù)流上與關(guān)系型數(shù)據(jù)庫(kù)形成了鮮明的差異，特別在數(shù)據(jù)模型、構(gòu)建方式、面向類型、查詢模式等方面[5-6].關(guān)于個(gè)人數(shù)據(jù)空間數(shù)據(jù)維的介紹以及其構(gòu)建方式可以參考文獻(xiàn)[4]，本文著重于PTDS在安全維的介紹與構(gòu)建.

PTDS相較于其他數(shù)據(jù)管理模式的最大特點(diǎn)在于充分考慮了主體數(shù)據(jù)的安全使用，更加關(guān)注數(shù)據(jù)空間中數(shù)據(jù)的安全屬性，通過(guò)在個(gè)人數(shù)據(jù)空間上結(jié)合數(shù)據(jù)治理技術(shù)保證主體的數(shù)據(jù)安全.數(shù)據(jù)治理技術(shù)是一套多種數(shù)據(jù)安全工具協(xié)同組合的產(chǎn)品級(jí)解決方案，而且是從管理制度到工具支撐，從決策層到技術(shù)層，自上而下貫穿整個(gè)組織架構(gòu)的完整體系鏈條[7-8].基于“標(biāo)識(shí)數(shù)據(jù)、動(dòng)態(tài)防護(hù)、梳理角色、明確流程、精確管控”的理念，PTDS根據(jù)數(shù)據(jù)的價(jià)值性以及敏感性對(duì)空間內(nèi)的每一條數(shù)據(jù)進(jìn)行安全評(píng)估，并利用數(shù)據(jù)維的標(biāo)簽技術(shù)進(jìn)行標(biāo)識(shí).依托于細(xì)顆粒度的數(shù)據(jù)安全標(biāo)識(shí)，采取動(dòng)態(tài)的防護(hù)技術(shù)，即不同的安全等級(jí)采取不同程度的安全保護(hù)措施，平衡數(shù)據(jù)的可用性以及安全性.通過(guò)梳理空間內(nèi)的角色，明確數(shù)據(jù)主體的數(shù)據(jù)管理方式以及使用者獲取數(shù)據(jù)的流程，構(gòu)建個(gè)人數(shù)據(jù)管理以及安全審計(jì)體系，保障個(gè)人數(shù)據(jù)分享的合規(guī)性.

在數(shù)據(jù)管理上集成數(shù)據(jù)治理技術(shù)不僅可以保證基于PTDS的業(yè)務(wù)都能保障主體的數(shù)據(jù)安全，明確其數(shù)據(jù)主權(quán)不受侵害，還可以將開發(fā)者從實(shí)現(xiàn)數(shù)據(jù)安全中解放出來(lái)，著重于個(gè)人數(shù)據(jù)價(jià)值的發(fā)掘與業(yè)務(wù)需求的開發(fā).

2 數(shù)據(jù)安全標(biāo)識(shí)技術(shù)

數(shù)據(jù)安全標(biāo)識(shí)是數(shù)據(jù)安全屬性的信息載體，是與客體數(shù)據(jù)安全相關(guān)的屬性的格式化封裝[9].它由數(shù)據(jù)安全等級(jí)評(píng)估模型以及密碼技術(shù)組成，前者根據(jù)數(shù)據(jù)的屬性評(píng)估其安全等級(jí)，為數(shù)據(jù)全生命周期安全管控提供支撐，后者可以確保數(shù)據(jù)的完整性以及可用性.

2.1 安全等級(jí)評(píng)估方法

PTDS基于數(shù)據(jù)的價(jià)值性以及敏感性2個(gè)維度來(lái)評(píng)估數(shù)據(jù)的安全等級(jí).下面首先討論如何定量數(shù)據(jù)的價(jià)值性.PTDS為業(yè)務(wù)提供其所需的數(shù)據(jù)集，數(shù)據(jù)的價(jià)值可以通過(guò)被業(yè)務(wù)調(diào)用的數(shù)量來(lái)衡量.本文以V表示數(shù)據(jù)的價(jià)值,假設(shè)某數(shù)據(jù)被n個(gè)業(yè)務(wù)調(diào)用，數(shù)據(jù)空間共有N個(gè)業(yè)務(wù).該數(shù)據(jù)的價(jià)值可通過(guò)下式計(jì)算：

上式由n與N的比值與n取不同的權(quán)重相加得到.當(dāng)N比較小時(shí)，突出被多少百分比的業(yè)務(wù)調(diào)用來(lái)衡量數(shù)據(jù)的價(jià)值.而N很大時(shí)，突出數(shù)據(jù)的被調(diào)用量來(lái)衡量數(shù)據(jù)的價(jià)值.根據(jù)V，可以對(duì)數(shù)據(jù)的價(jià)值進(jìn)行評(píng)級(jí)(如表1所示).

表1 價(jià)值性等級(jí)賦值表

數(shù)據(jù)的敏感性由用戶對(duì)數(shù)據(jù)的公開程度來(lái)定性，數(shù)據(jù)空間的主體可以對(duì)數(shù)據(jù)選擇公開、授權(quán)后公開、保密.根據(jù)用戶的選擇，PTDS對(duì)數(shù)據(jù)的敏感性進(jìn)行如下的賦值(如表2所示).

表2 敏感性等級(jí)賦值表

經(jīng)過(guò)對(duì)數(shù)據(jù)的價(jià)值性以及敏感性進(jìn)行等級(jí)賦予后，可以根據(jù)兩者的組合產(chǎn)生9個(gè)級(jí)別的安全等級(jí).基于該安全等級(jí)評(píng)估模型，PTDS可以對(duì)空間內(nèi)每條數(shù)據(jù)進(jìn)行評(píng)估，產(chǎn)生一個(gè)安全等級(jí).根據(jù)數(shù)據(jù)的安全等級(jí)不同，PTDS可對(duì)不同的數(shù)據(jù)采取不同的安全措施.如表3所示，安全等級(jí)高的數(shù)據(jù)在其生命周期中得到更為完善的安全保障.相反地，對(duì)于安全等級(jí)低的數(shù)據(jù)采用更加簡(jiǎn)潔的數(shù)據(jù)安全措施.

表3 數(shù)據(jù)安全分級(jí)及安全技術(shù)對(duì)照表

2.2 數(shù)據(jù)安全標(biāo)識(shí)結(jié)構(gòu)

數(shù)據(jù)安全標(biāo)識(shí)由標(biāo)識(shí)頭、標(biāo)識(shí)體以及校驗(yàn)體組成(如圖1所示)[9].

圖1 數(shù)據(jù)安全標(biāo)識(shí)結(jié)構(gòu)

標(biāo)識(shí)頭是關(guān)于數(shù)據(jù)安全標(biāo)識(shí)的元信息，包括唯一標(biāo)識(shí)、標(biāo)識(shí)時(shí)間以及有效期.通過(guò)標(biāo)識(shí)頭可以為使用者提供數(shù)據(jù)安全標(biāo)識(shí)的屬性信息.

標(biāo)識(shí)體描述數(shù)據(jù)的安全屬性，其中包括數(shù)據(jù)屬性標(biāo)簽集、數(shù)據(jù)安全等級(jí).數(shù)據(jù)標(biāo)識(shí)標(biāo)簽集是由PTDS數(shù)據(jù)維提供用于描述數(shù)據(jù)的元數(shù)據(jù)，如數(shù)據(jù)來(lái)源、數(shù)據(jù)類型等.安全等級(jí)是由上述安全等級(jí)評(píng)估模型產(chǎn)生的.

校驗(yàn)體是結(jié)合密碼技術(shù)來(lái)保證數(shù)據(jù)標(biāo)識(shí)以及數(shù)據(jù)本身的完整性、不可篡改性以及可用性.對(duì)標(biāo)識(shí)頭和數(shù)據(jù)體進(jìn)行數(shù)據(jù)摘要提取形成內(nèi)容摘要，保證標(biāo)識(shí)頭以及標(biāo)識(shí)體的數(shù)據(jù)是完整和未經(jīng)篡改的.對(duì)內(nèi)容摘要進(jìn)行數(shù)字簽名，形成密文校驗(yàn)碼，保證內(nèi)容摘要的完整性，進(jìn)而保證數(shù)據(jù)安全標(biāo)識(shí)是安全可靠的.

基于PTDS的標(biāo)簽技術(shù)，可以為空間內(nèi)每條數(shù)據(jù)賦予對(duì)應(yīng)的數(shù)據(jù)安全標(biāo)識(shí)，為細(xì)顆粒度的數(shù)據(jù)安全管控提供數(shù)據(jù)支撐.基于數(shù)據(jù)安全標(biāo)識(shí)技術(shù)對(duì)PTDS進(jìn)行安全體系的構(gòu)建，實(shí)現(xiàn)數(shù)據(jù)的精確管控.

3 PTDS的安全體系

PTDS基于“標(biāo)識(shí)數(shù)據(jù)、動(dòng)態(tài)防護(hù)、梳理角色、明確流程、精確管控”的安全策略，“標(biāo)識(shí)數(shù)據(jù)”是指對(duì)空間內(nèi)每一條數(shù)據(jù)進(jìn)行數(shù)據(jù)安全標(biāo)識(shí).基于數(shù)據(jù)安全標(biāo)識(shí)可以對(duì)數(shù)據(jù)采用不同程度的安全保護(hù)措施，并且數(shù)據(jù)安全標(biāo)識(shí)隨著數(shù)據(jù)安全等級(jí)以及數(shù)據(jù)屬性的變化而改變，實(shí)現(xiàn)“動(dòng)態(tài)防護(hù)”.安全體系還對(duì)數(shù)據(jù)空間內(nèi)的角色進(jìn)行梳理，劃分為數(shù)據(jù)主體以及數(shù)據(jù)使用者.基于不同的角色，明確其訪問(wèn)數(shù)據(jù)的流程，實(shí)現(xiàn)精確管控.

3.1 身份認(rèn)證與內(nèi)容訪問(wèn)流程

PTDS對(duì)數(shù)據(jù)使用者實(shí)行“身份認(rèn)證、權(quán)限管控”的數(shù)據(jù)管控策略，明確使用者首先需要通過(guò)身份認(rèn)證，判斷該角色是否具備訪問(wèn)的資格.經(jīng)過(guò)認(rèn)證后，還需判斷其是否具備訪問(wèn)該數(shù)據(jù)的權(quán)限，具備權(quán)限的使用者才能對(duì)該數(shù)據(jù)進(jìn)行操作.對(duì)于第1次訪問(wèn)或者缺乏相應(yīng)數(shù)據(jù)的訪問(wèn)權(quán)限的使用者，都需要向數(shù)據(jù)主體發(fā)送授權(quán)審批，待審批通過(guò)后才能獲得相應(yīng)的權(quán)限.依托數(shù)據(jù)的安全標(biāo)識(shí)以及雙重管控策略能防止高安全等級(jí)的數(shù)據(jù)流向低安全等級(jí)的使用者，充分保障數(shù)據(jù)的安全(如圖2所示).

圖2 內(nèi)容訪問(wèn)流程圖

PTDS為數(shù)據(jù)主體提供權(quán)限審批以及權(quán)限管理的功能，身份認(rèn)證審批可以讓主體明確什么應(yīng)用訪問(wèn)了自己的數(shù)據(jù)空間，權(quán)限管理審批可以明確應(yīng)用調(diào)用了自己的什么數(shù)據(jù)，讓主體清晰數(shù)據(jù)流動(dòng)的全生命周期.利用標(biāo)簽技術(shù)的特性，主體可以根據(jù)自身的需求動(dòng)態(tài)調(diào)整其安全標(biāo)識(shí)，從而進(jìn)一步保障數(shù)據(jù)的安全性.

PTDS的安全系統(tǒng)貫穿了整個(gè)數(shù)據(jù)流動(dòng)的全生命周期(如圖3所示)，其中可分為數(shù)據(jù)收集、數(shù)據(jù)管理、數(shù)據(jù)共享以及數(shù)據(jù)銷毀這4個(gè)階段.對(duì)于數(shù)據(jù)收集環(huán)節(jié)，數(shù)據(jù)從數(shù)據(jù)源提取到數(shù)據(jù)空間里，將數(shù)據(jù)進(jìn)行數(shù)據(jù)安全等級(jí)評(píng)估，生成數(shù)據(jù)安全標(biāo)識(shí)，根據(jù)安全標(biāo)識(shí)采取不同的安全措施進(jìn)行保護(hù)；對(duì)于數(shù)據(jù)管理環(huán)節(jié)，權(quán)限審批以及權(quán)限管理功能為數(shù)據(jù)主體提供數(shù)據(jù)管理的方式，明確其數(shù)據(jù)主權(quán)，保障主體的數(shù)據(jù)安全；對(duì)于數(shù)據(jù)共享環(huán)節(jié)，在身份認(rèn)證體系下對(duì)使用者進(jìn)行權(quán)限管控，低安全等級(jí)的使用者不允許訪問(wèn)安全等級(jí)高的數(shù)據(jù)，不僅查其身份，還需要查其權(quán)限，雙重把控下保障數(shù)據(jù)共享的安全；對(duì)于數(shù)據(jù)銷毀環(huán)節(jié)，PTDS劃分了2種用戶，使用者不再是數(shù)據(jù)擁有者、管理者，也解決了以往系統(tǒng)數(shù)據(jù)無(wú)法被銷毀的局面.

圖3 PTDS數(shù)據(jù)全生命周期示意圖

在該安全系統(tǒng)構(gòu)建之下，PTDS符合《中華人民共和國(guó)數(shù)據(jù)安全法》的要求，也滿足如其他數(shù)據(jù)安全標(biāo)準(zhǔn)如歐盟的通用數(shù)據(jù)保護(hù)條例(general data protection regulation, GDPR)中讓用戶明確其數(shù)據(jù)使用情況、保障用戶數(shù)據(jù)安全等要求[10].

3.2 安全架構(gòu)

PTDS的系統(tǒng)安全架構(gòu)如圖4所示，從下到上分別為安全分級(jí)層、安全標(biāo)注層、安全技術(shù)層以及安全控制層.

圖4 PTDS數(shù)據(jù)安全架構(gòu)圖

安全分級(jí)層基于數(shù)據(jù)安全評(píng)估模型，對(duì)空間內(nèi)每條數(shù)據(jù)進(jìn)行安全等級(jí)評(píng)估，并隨著數(shù)據(jù)的屬性值變化，動(dòng)態(tài)調(diào)整其數(shù)據(jù)安全等級(jí).

安全標(biāo)注層根據(jù)數(shù)據(jù)安全標(biāo)識(shí)生成規(guī)則，分別形成標(biāo)識(shí)頭、標(biāo)識(shí)體以及校驗(yàn)信息，并且利用標(biāo)簽技術(shù)標(biāo)記對(duì)應(yīng)的數(shù)據(jù)，形成與數(shù)據(jù)的強(qiáng)綁定.

安全技術(shù)層集成了各種數(shù)據(jù)安全技術(shù)，并且根據(jù)數(shù)據(jù)的安全標(biāo)識(shí)對(duì)數(shù)據(jù)進(jìn)行相應(yīng)的安全技術(shù)處理.

安全控制層為2類角色提供對(duì)應(yīng)的訪問(wèn)入口，管理訪問(wèn)為數(shù)據(jù)主體提供權(quán)限審批以及權(quán)限管理的接口，而內(nèi)容訪問(wèn)為使用者提供訪問(wèn)數(shù)據(jù)、身份認(rèn)證、權(quán)限申請(qǐng)的接口.

在PTDS安全架構(gòu)的構(gòu)建之下，數(shù)據(jù)空間內(nèi)所有的數(shù)據(jù)對(duì)于主體而言都是安全可控的，對(duì)于使用者來(lái)說(shuō)數(shù)據(jù)都是完整的、沒有被篡改的，可以充分利用空間內(nèi)各類數(shù)據(jù)，實(shí)現(xiàn)數(shù)據(jù)的互融互通以及高效利用.

4 結(jié) 語(yǔ)

隨著數(shù)字經(jīng)濟(jì)的進(jìn)一步發(fā)展，大數(shù)據(jù)已經(jīng)成為各國(guó)爭(zhēng)取的戰(zhàn)略制高點(diǎn)，數(shù)據(jù)安全也被提到新的高度.面向“確保數(shù)據(jù)的高效使用以及保障數(shù)據(jù)的安全使用”的目標(biāo)，本文介紹了以對(duì)象為中心的個(gè)人數(shù)據(jù)空間技術(shù)，并且在安全維度上結(jié)合數(shù)據(jù)治理技術(shù)，提出了一種以安全標(biāo)識(shí)為基礎(chǔ)的數(shù)據(jù)安全體系框架和技術(shù)架構(gòu)，通過(guò)身份認(rèn)證、審批授權(quán)、動(dòng)態(tài)管理來(lái)明確主體的數(shù)據(jù)權(quán)利，保障個(gè)人數(shù)據(jù)的安全，為當(dāng)前數(shù)據(jù)融合提供安全可靠的解決方案.