基于零信任安全模型的軌道交通數(shù)據(jù)隱私保護(hù)

湯宇為

（北京市地鐵運(yùn)營(yíng)有限公司，北京 100035）

所謂零信任是指在假定互聯(lián)網(wǎng)環(huán)境已被外部數(shù)據(jù)攻陷的情況下，當(dāng)客戶端向服務(wù)主機(jī)發(fā)出訪問請(qǐng)求時(shí)，服務(wù)主機(jī)可以自動(dòng)降低決策指令的不確定性，從而使數(shù)據(jù)樣本的隱私性得到保障[1]。以零信任理念作為數(shù)據(jù)隱私保護(hù)的基礎(chǔ)，可以在確保數(shù)據(jù)身份認(rèn)證可信度的同時(shí)，建立完善的鏈路終端體系，最大程度上保證數(shù)據(jù)安全性。與其他類型的信任模型相比，零信任安全模型不完全利用物理防火墻構(gòu)建防御邊界，僅需在“內(nèi)網(wǎng)”體系中設(shè)置多個(gè)獨(dú)立節(jié)點(diǎn)，一方面為數(shù)據(jù)樣本提供穩(wěn)定的傳輸環(huán)境，另一方面也可以保證數(shù)據(jù)庫(kù)主機(jī)對(duì)傳輸數(shù)據(jù)樣本進(jìn)行快速存儲(chǔ)，從而避免網(wǎng)絡(luò)終端設(shè)備出現(xiàn)過負(fù)載運(yùn)行的狀態(tài)。

軌道交通[2]是指運(yùn)營(yíng)車輛必須在既定軌道上行駛的交通運(yùn)輸系統(tǒng)。隨著車輛技術(shù)的多元化發(fā)展，軌道交通類型也不斷豐富[3]。在軌道交通網(wǎng)絡(luò)中，亂序數(shù)據(jù)傳輸速率過快不但會(huì)造成數(shù)據(jù)樣本傳輸雜亂的問題，還會(huì)對(duì)數(shù)據(jù)安全性造成不利影響。常規(guī)k匿名隱私保護(hù)方法采用安全多方計(jì)算策略，對(duì)數(shù)據(jù)進(jìn)行分配處理，又通過求解交通狀態(tài)影響因素關(guān)聯(lián)度值實(shí)現(xiàn)對(duì)交通數(shù)據(jù)隱私特征參量的準(zhǔn)確辨別，并對(duì)這些數(shù)據(jù)進(jìn)行加密處理，實(shí)現(xiàn)數(shù)據(jù)隱私保護(hù)[4]。

然而上述方法不能在維持?jǐn)?shù)據(jù)傳輸速率的同時(shí)，有效控制亂序數(shù)據(jù)的傳輸速率，并不能起到保護(hù)數(shù)據(jù)樣本隱私性的作用。為解決上述問題，引入零信任安全模型，設(shè)計(jì)了一種新型軌道交通數(shù)據(jù)隱私保護(hù)方法。

1 軌道交通數(shù)據(jù)隱私鏈路標(biāo)簽

1.1 零信任安全模型

零信任安全模型可以根據(jù)軌道交通數(shù)據(jù)的存儲(chǔ)形式提取隱私數(shù)據(jù)樣本，能夠按照相關(guān)數(shù)據(jù)訪問策略建立完整數(shù)據(jù)樣本集合。在軌道交通網(wǎng)絡(luò)中，主控制平臺(tái)由網(wǎng)絡(luò)搜索引擎、數(shù)據(jù)管理器組成。前者負(fù)責(zé)在已存儲(chǔ)數(shù)據(jù)文本中提取隱私數(shù)據(jù)參量，后者則根據(jù)隱私數(shù)據(jù)樣本集合表達(dá)式判斷當(dāng)前所運(yùn)行指令是否滿足零信任度求解標(biāo)準(zhǔn)[5-6]。零信任安全模型如圖1 所示。

圖1 零信任安全模型

設(shè)χ為零信任度置信指標(biāo)，β為軌道交通數(shù)據(jù)的安全性判別參量，Iˉ為軌道交通數(shù)據(jù)的輸出量均值，α為零信任訪問規(guī)則，i′為隱私數(shù)據(jù)樣本特征，聯(lián)立上述物理量，可將零信任安全模型表達(dá)式定義為：

構(gòu)建零信任安全模型時(shí)，軌道交通數(shù)據(jù)隱私數(shù)據(jù)樣本的傳輸效率并不可能為100%，所以置信指標(biāo)χ的取值也不可能等于1。

1.2 公鑰密碼

公鑰密碼是指零信任安全模型對(duì)軌道交通數(shù)據(jù)隱私數(shù)據(jù)樣本實(shí)施加密處理時(shí)所遵循的執(zhí)行標(biāo)準(zhǔn)。一般來說，所選取數(shù)據(jù)樣本的隱私特征越突出，與之對(duì)應(yīng)的公鑰密碼加密原則也就越嚴(yán)謹(jǐn)[7-8]。在零信任安全模型作用下，公鑰密碼樣本的建立應(yīng)同時(shí)考慮軌道交通數(shù)據(jù)隱私數(shù)據(jù)定義特征與公鑰編碼系數(shù)。設(shè)軌道交通數(shù)據(jù)隱私數(shù)據(jù)定義特征為e1，公鑰編碼系數(shù)為r1，聯(lián)立式（1），可將基于零信任安全模型的公鑰密碼表達(dá)式定義為：

其中，Δt表示單位編碼周期，E1表示公鑰碼源的單位累積量，δ1表示公鑰碼源轉(zhuǎn)碼參量。為實(shí)現(xiàn)對(duì)軌道交通數(shù)據(jù)隱私的合理保護(hù)，在定義公鑰密碼表達(dá)式時(shí)，應(yīng)控制單位編碼周期的取值時(shí)間。

1.3 私鑰密碼

私鑰密碼是指零信任安全模型對(duì)軌道交通數(shù)據(jù)隱私數(shù)據(jù)樣本實(shí)施解密處理時(shí)所遵循的執(zhí)行標(biāo)準(zhǔn)。一般來說，每一類公鑰密碼都只能對(duì)應(yīng)一類私鑰密碼。在零信任安全模型作用下，私鑰密碼樣本的建立應(yīng)同時(shí)考慮隱私數(shù)據(jù)傳輸向量與私鑰編碼系數(shù)[9-10]。設(shè)e2為軌道交通數(shù)據(jù)隱私數(shù)據(jù)傳輸向量，r2為私鑰編碼系數(shù)，E2為私鑰碼源的單位累積量，δ2為私鑰碼源轉(zhuǎn)碼參量，聯(lián)立上述物理量，可將基于零信任安全模型的私鑰密碼表達(dá)式定義為：

零信任安全模型的構(gòu)建需要參考軌道交通數(shù)據(jù)隱私鏈路標(biāo)簽中公鑰密碼與私鑰密碼的定義形式。

2 隱私保護(hù)算法

2.1 數(shù)據(jù)驗(yàn)證機(jī)制

數(shù)據(jù)驗(yàn)證機(jī)制決定了零信任安全模型是否能夠有效保護(hù)當(dāng)前數(shù)據(jù)傳輸模式下的軌道交通隱私數(shù)據(jù)樣本。在信息集合空間內(nèi)，正序數(shù)據(jù)參量、亂序數(shù)據(jù)參量總是混合在一起，所以為實(shí)現(xiàn)對(duì)隱私數(shù)據(jù)樣本的準(zhǔn)確辨別，根據(jù)數(shù)據(jù)驗(yàn)證機(jī)制表達(dá)式實(shí)現(xiàn)對(duì)數(shù)據(jù)傳輸速率的調(diào)節(jié)[11-12]。設(shè)為軌道交通數(shù)據(jù)隱私數(shù)據(jù)的驗(yàn)證指標(biāo)，γ為基于零信任安全模型的數(shù)據(jù)取值權(quán)限，聯(lián)立式（2）、（3），可將基礎(chǔ)驗(yàn)證向量表示為：

在式（4）的基礎(chǔ)上，假設(shè)ε表示驗(yàn)證信息標(biāo)記系數(shù)的最小取值，表示軌道交通數(shù)據(jù)隱私數(shù)據(jù)的標(biāo)準(zhǔn)度量值。

軌道交通數(shù)據(jù)隱私數(shù)據(jù)的驗(yàn)證機(jī)制表達(dá)式為：

為使所設(shè)計(jì)算法能夠適應(yīng)軌道交通數(shù)據(jù)的編碼需求，在辨別隱私數(shù)據(jù)參量時(shí)，要求e1≠e2的不等式條件恒成立。

2.2 交互認(rèn)證系數(shù)

交互認(rèn)證系數(shù)也叫互序交換認(rèn)證系數(shù)，在軌道交通網(wǎng)絡(luò)中，該指標(biāo)的取值決定了正序隱私參量、亂序隱私參量之間的混合程度。在不考慮其他干擾條件的情況下，交互認(rèn)證系數(shù)取值越大，表示正序軌道交通數(shù)據(jù)隱私參量的占比越高[13-14]。由于正序隱私數(shù)據(jù)參量、亂序隱私數(shù)據(jù)參量配比關(guān)系不平衡是導(dǎo)致軌道交通網(wǎng)絡(luò)中數(shù)據(jù)雜亂傳輸問題的主要原因，故而為使所選數(shù)據(jù)樣本的傳輸隱私性得到保護(hù)，在求解交互認(rèn)證系數(shù)時(shí)，還要求正序隱私數(shù)據(jù)參量鏈路標(biāo)簽定義值必須大于亂序隱私數(shù)據(jù)參量。設(shè)A1為軌道交通數(shù)據(jù)正序隱私參量鏈路標(biāo)簽定義值，A2為亂序隱私參量鏈路標(biāo)簽定義值，κ1為與系數(shù)A1匹配的標(biāo)簽取值指征，κ2為與系數(shù)A2匹配的標(biāo)簽取值指征，?為交互辨別向量，聯(lián)立式（5），可將交互認(rèn)證系數(shù)求解結(jié)果表示為：

在數(shù)據(jù)驗(yàn)證機(jī)制的基礎(chǔ)上，求解交互認(rèn)證系數(shù)表達(dá)式，可以確保零信任安全模型能夠?qū)壍澜煌〝?shù)據(jù)隱私數(shù)據(jù)樣本進(jìn)行準(zhǔn)確辨別與提取。

2.3 敏感度指標(biāo)

敏感度指標(biāo)影響零信任安全模型對(duì)軌道交通數(shù)據(jù)隱私數(shù)據(jù)的保護(hù)與處理能力。在軌道交通網(wǎng)絡(luò)中，數(shù)據(jù)樣本的累積量越大，亂序隱私數(shù)據(jù)參量的傳輸速率也就越快，當(dāng)前情況下，敏感度指標(biāo)的取值也就相對(duì)較大[15-16]。設(shè)f為軌道交通數(shù)據(jù)的隱私置信度權(quán)衡系數(shù)，λ為亂序隱私參量提取系數(shù)，g為敏感性向量的初始取值，kmax為隱私數(shù)據(jù)樣本辨別指標(biāo)最大值，kg為系數(shù)g下的隱私數(shù)據(jù)樣本辨別指標(biāo)。在上述物理量的支持下，聯(lián)立式（6），可將基于零信任安全模型的敏感度指標(biāo)求解結(jié)果表示為：

至此，完成對(duì)各項(xiàng)指標(biāo)參量的計(jì)算與處理，完成了基于零信任安全模型的軌道交通數(shù)據(jù)隱私保護(hù)方法的設(shè)計(jì)。

3 實(shí)驗(yàn)分析

在軌道交通網(wǎng)絡(luò)中，隨著數(shù)據(jù)樣本傳輸量的增大，一部分信息參量會(huì)出現(xiàn)雜亂傳輸?shù)那闆r，這不但會(huì)使整個(gè)交通網(wǎng)絡(luò)陷入異常運(yùn)行狀態(tài)，還會(huì)使個(gè)別數(shù)據(jù)樣本的安全性受到影響。正序數(shù)據(jù)、亂序數(shù)據(jù)是兩種同時(shí)存在的軌道交通數(shù)據(jù)隱私樣本，在網(wǎng)絡(luò)存儲(chǔ)總量足夠大的情況下，兩類數(shù)據(jù)樣本同時(shí)影響軌道交通網(wǎng)絡(luò)的安全運(yùn)行能力，具體作用的表達(dá)式如下：

式中，v1表示正序數(shù)據(jù)傳輸速率，v2表示亂序數(shù)據(jù)傳輸速率，ρ表示軌道交通數(shù)據(jù)樣本的輸出密度，l表示軌道交通網(wǎng)絡(luò)中數(shù)據(jù)樣本的橫向覆蓋寬度，j表示數(shù)據(jù)樣本的縱向覆蓋深度。

實(shí)驗(yàn)過程中，規(guī)定軌道交通數(shù)據(jù)隱私數(shù)據(jù)樣本的輸出密度恒為1.0 bit/Mb，網(wǎng)絡(luò)橫向覆蓋寬度恒為10.0G，網(wǎng)絡(luò)縱向覆蓋深度恒為10.0G。軌道交通數(shù)據(jù)來自某市2020 年8 月31 日的共計(jì)一萬(wàn)條地鐵出行數(shù)據(jù)。由于其他指標(biāo)參量的取值保持不變，故正序數(shù)據(jù)傳輸速率v1及亂序數(shù)據(jù)傳輸速率v2是影響軌道交通網(wǎng)絡(luò)對(duì)于數(shù)據(jù)樣本隱私保護(hù)能力的關(guān)鍵物理量。在不考慮其他干擾條件的情況下，可認(rèn)為正序數(shù)據(jù)傳輸速率越快、亂序數(shù)據(jù)傳輸速率越慢，軌道交通網(wǎng)絡(luò)對(duì)于數(shù)據(jù)樣本隱私性的保護(hù)能力越強(qiáng)。

實(shí)驗(yàn)的具體實(shí)施流程如下：

步驟一：以基于零信任安全模型的軌道交通數(shù)據(jù)隱私保護(hù)算法作為實(shí)驗(yàn)組，以k 匿名隱私保護(hù)方法作為對(duì)照組；

步驟二：分別記錄實(shí)驗(yàn)組、對(duì)照組保護(hù)方法作用下，軌道交通網(wǎng)絡(luò)數(shù)據(jù)隱私數(shù)據(jù)正序傳輸速率v1及亂序傳輸速率v2的數(shù)值變化情況；

步驟三：對(duì)比實(shí)驗(yàn)組、對(duì)照組變量指標(biāo)，總結(jié)實(shí)驗(yàn)規(guī)律。

圖2 反映了實(shí)驗(yàn)組、對(duì)照組v1、v2指標(biāo)的具體實(shí)驗(yàn)數(shù)值。

圖2 正序數(shù)據(jù)傳輸速率v1

分析圖2 可知，當(dāng)軌道交通數(shù)據(jù)輸出量達(dá)到9 Mb 之前，對(duì)照組正序數(shù)據(jù)傳輸速率數(shù)值略高于實(shí)驗(yàn)組，但二者差值相對(duì)較小；當(dāng)軌道交通數(shù)據(jù)輸出量處于12～30 Mb 之間時(shí)，實(shí)驗(yàn)組正序數(shù)據(jù)傳輸速率數(shù)值始終高于對(duì)照組，且二者差值相對(duì)較大。整個(gè)實(shí)驗(yàn)過程中，實(shí)驗(yàn)組正序數(shù)據(jù)傳輸速率均值遠(yuǎn)大于對(duì)照組。

分析圖3 可知，實(shí)驗(yàn)過程中，對(duì)照組亂序數(shù)據(jù)傳輸速率數(shù)值始終大于實(shí)驗(yàn)組。當(dāng)軌道交通數(shù)據(jù)輸出量等于18 Mb 時(shí)，對(duì)照組亂序數(shù)據(jù)傳輸速率取得最大值9.9 Mb/ms；當(dāng)軌道交通數(shù)據(jù)輸出量等于12 Mb時(shí)，實(shí)驗(yàn)組亂序數(shù)據(jù)傳輸速率取得最大值4.0 Mb/ms，遠(yuǎn)低于實(shí)驗(yàn)組極大值。

圖3 亂序數(shù)據(jù)傳輸速率v2

綜上可知，隨著基于零信任安全模型的保護(hù)算法的應(yīng)用，軌道交通數(shù)據(jù)隱私數(shù)據(jù)中的亂序數(shù)據(jù)傳輸速率得到了較好地控制，而正序數(shù)據(jù)傳輸速率卻依然保持較高的數(shù)值水平。這對(duì)于解決數(shù)據(jù)的雜亂傳輸問題，保護(hù)數(shù)據(jù)樣本的安全性能夠起到一定的促進(jìn)作用。

4 結(jié)束語(yǔ)

與k 匿名隱私保護(hù)方法相比，新型軌道交通數(shù)據(jù)隱私保護(hù)方法在零信任安全模型的基礎(chǔ)上，重新定義公鑰密碼與私鑰密碼，又通過完善數(shù)據(jù)驗(yàn)證機(jī)制的方式，求解交互認(rèn)證系數(shù)、敏感度指標(biāo)的實(shí)際取值范圍，以此實(shí)現(xiàn)數(shù)據(jù)隱私保護(hù)。在實(shí)用性方面，這種新型方法能夠在維持正序數(shù)據(jù)傳輸速率的同時(shí)，避免亂序數(shù)據(jù)傳輸速率過高的情況，能夠較好地解決軌道交通網(wǎng)絡(luò)中數(shù)據(jù)的雜亂傳輸問題，符合保護(hù)數(shù)據(jù)樣本隱私性的設(shè)計(jì)初衷。