一种基于分块混淆的动态数据隐私保护系统及方法
【技术领域】
[0001] 本发明涉及一种基于分块混淆的动态数据隐私保护系统及方法。
【背景技术】
[0002] 随着云计算的迅速发展,具有多租户特点的SaaS应用以其低费用、规模效益的商 业运营模式和单实例、按需定制的软件交付特点,被越来越多的企业和服务商所采用。
[0003] 在SaaS应用中,一方面,租户通过按需租赁和个性化定制,在满足自身业务需要 的同时,节省了用于基础设施和后续升级、维护、管理等方面的高昂费用。另一方面,通过与 SaaS服务商签订服务等级协议(service level agreement,SLA),保证了应用的服务质量, 维护了租户和服务商双方的利益。
[0004] 然而,随着SaaS应用的广泛推广和使用,租户隐私数据在云中的安全性也受到了 越来越多的关注。在多租户应用中,为了满足租户对数据进行业务操作的需求,租户敏感数 据通常需要以明文的形式在非完全可信的服务商处进行存储和处理,使租户的隐私数据脱 离了租户的直接控制,可能被服务提供商恶意泄漏。例如,在利益的驱动下,服务商可以将 租赁其应用的某公司的产品定价信息及其客户关系转卖给其竞争对手,导致该公司经济利 益受损。
[0005] 针对SaaS应用面临的租户隐私泄露问题,[IZhang Kun, Li Qingzhong, Shi Yuliang. Research on Data Combination Privacy Preservation Mechanism for SaaS[J]·Chinese Journal of Computers, 2010,33(11):2044_2054(in Chinese)(张 坤,李庆忠,史玉良.面向SaaS应用的数据组合隐私保护机制研究[J].计算机学 报,2010, 33(11) :2044-2054)]中提出了一种基于分块混淆的数据组合隐私保护机制:首 先根据租户定制的隐私约束将组合隐私属性切分到不同的分块中并混淆不同分片间的关 联关系;然后针对分块中数据分布不均衡导致的隐私泄露问题,提出基于伪造数据的均衡 化机制,通过添加伪造数据使各分块分布达到均衡;最后通过与可信第三方进行交互构建 混淆数据的重构机制,保证租户隐私数据的可用性。
[0006] 工作[2Shi Y,Jiang Z,Zhang K. Policy-Based Customized Privacy Preserving Mechanism for SaaS Applications[C]//Grid and Pervasive Computing. Berlin Heid elberg: Springer,2013:491-500,(SaaS应用程序的基于策略的个性化隐私保护机制)] 和工作[3Shao Y, Shi Y, Li H. A Novel Cloud Data Fragmentation Cluster-based Privacy Preserving Mechanism[J]. International Journal of Grid&Distributed Computing, 2014, 7(4) :21-32,(-种新的基于聚类的云数据碎片隐私保护机制)]在此基 础上又分别从不同方面进行了补充和优化。工作[2Shi Y, Jiang Z, Zhang K. Policy-Based Customized Privacy Preserving Mechanism for SaaS Applications[C]//Grid and Pervasive Computing. Berlin Heidelberg:Springer,2013:491-500, (SaaS 应用程序的 基于策略的个性化隐私保护机制)]基于租户的个性化隐私保护和事务处理需求,提出 了基于策略的个性化隐私保护机制。工作[3Shao Y,Shi Y,Li H. A Novel Cloud Data Fragmentation Cluster-based Privacy Preserving Mechanism[J]. International Journal of Grid&Distributed Computing, 2014, 7 (4) : 21-32,( 一种新的基于聚类的云数 据碎片隐私保护机制)]通过键能算法对属性进行聚类,将关联程度较高的属性尽量分到 同一分块中,通过减少分块间的连接次数对应用性能进行提高。
[0007] 然而在云计算环境下,随着多租户应用的持续运行,租户对数据的增加、删除、修 改等业务操作将导致底层数据存储的持续变化,各分块的分布规律也将相应地发生变化, 当数据分布不再均匀时,分片间的关联关系将以较大概率面临着被泄露的风险。另一方面, 若攻击者可以获取局部时间内各分块的操作日志和数据快照,仍然可以通过对比分析推测 出这部分数据中蕴含的隐私信息。这就要求所采取的隐私保护机制必须能适应这种变化, 确保租户的隐私保护需求持续得到满足。
[0008] 针对隐私保护,数据加密和数据混淆是目前比较成熟的两种解决方案。但是加 密后的数据往往丢失了可操作性,因此提高密文检索速度和处理效率是加密隐私保护的 研究热点。文献[4Q.Liu,G.Wang,J.Wu.An Efficient Privacy Preserving Keyword Search Scheme in Cloud Computing[C]//in Proceedings of the 2009 International Conference on Computational Science and Engineering. Piscataway, NJ: IEEE, 2009: 715-720,(一种有效的隐私保护的云计算关键词检索模式)]分析了云计算的特征,提出 一种在云中实现隐私保护的关键词检索模式,它支持服务提供商可以参与部分解密工作 以减少客户端负担,同时在加密数据上实现关键词检索,以保护租户数据隐私和用户查询 隐私。文南犬[5C. Gentry. Fully homomorphic encryption using ideal lattices[C]// in Proceedings of the 41st annual ACM symposium on Theory of computing. Bethesda:ACM,2009:169-178,(基于理想格的充分同态加密技术)]利用"理想格(ideal lattice)"的数学对象构造了隐私同态(privacy homomorphism)算法,使人们可以充 分地操作加密状态的数据。加密方法对数据处理性能有较大影响,研究者提出通过其他 方式来防止泄露隐私。文献[6 Raymond Chi-Wing Wong, Li J, Ada Wai-Chee Fu, Wang K. ( a , k)-anonymity:An enhanced k-anonymity model for privacy-preserving data publishing[C]//Proceedings of the ACM SIGKDD International Conference on Knowledge Discovery and Data Mining. New York:ACM, 2006:754-759,( 一种改进 的k_匿名化隐私保护数据发布模型)]提出了(a,k)_匿名原则,其在保证数据表满 足k_匿名化原则的同时,要求每个等价类中任一敏感属性值相关的记录的百分比不高 与α,从而避免攻击者利用一致性攻击和背景知识攻击来确认敏感数据与个人身份的 耳关系。文南犬[7Machanavaj jhala A, Kifer D, Gehrke J, et al. 1-diversity:Privacy beyond k-anonymity[J]. ACM Transactions on Knowledge Discovery from Data(TKDD),2007, 1(1)]提出1-diversity原则,要求每个等价类的敏感属性至少有I个 不同的值,使得攻击者最多以1/1的概率确认某个体的敏感信息。文献[8Ciriani V,Di Vimercati S D C, Foresti S, et al. Fragmentation and encryption to enforce privacy in data storage[C]//Computer Security - ES0RICS 2007. Berlin Heidelberg:Springer ,2007:171-186,(基于信息分解和数据加密的数据存储隐私保护)]有效结合了信息分解和 数据加密,提出使用隐私约束的概念来实现信息分解,提出隐私约束的概念,用来描述需要 经过加密保护的数据属性和同时出现会泄露隐私的数据属性组合,根据这些隐私约束,经 过信息分解,得到满足要求的分块模式,其中各个数据分块之间的关联关系保存在客户端。 文南犬[90uyang Jia, Yin Jian, Liu Shaopeng, et al.An Effective Differential Privacy Transaction Data Publication Strategy[J]· Journal of Computer Research and Dev elopment,2014,51(10) :2195-2205 (in Chinese)(欧阳佳,印鉴,刘少鹏,等·一种有效 的差分隐私事务数据发布策略[J].计算机研究与发展,2014, 51 (10) : 2195-2205)]针对事 务数据库隐私保护发布的数据安全性与效用性不足,提出了一种有效的满足差分隐私约束 事物数据发布策略TDPS,该策略基于项集I,构建事务数据库D的完整树Trie,然后基于压 缩感知技术对完整树添加满足拆分隐私约束的噪音得到含噪Trie树,最后在从此树上进 行频繁项集挖掘任务,很好地保护了数据隐私。但是,这些研究主要面向的是数据发布领域 中的隐私保护问题,很少涉及对隐私数据的增删改操作。
[0009] 对于动态数据的隐私保护,目前已经有多钟不同的方法相继被提出,但是这些方 法主要解决的也大都是面向数据发布和数据挖掘中的动态数据隐私保护,并不适合SaaS 应用中的隐私保护。
[0010] J. Byun 等人最先在文献[IOByun J W, Sohn Y, Bertino E, et al. Secure anonymization for incremental datasets[C]//Secure Data Management.Berlin Heidelberg: Springer, 2006:48-63,(持续增长数据集的隐私保护)]中对持续增长 数据集的隐私保护做了相应的研究,其思路是新的记录要插入必须满足两个限定条 件:一是待插入记录数不能少于一定的数量,二是待插入的记录集要符合1-diversity 技术的要求,如果有其一达不到要求就不能插入,该方法存在数据更新不及时且数据 的更新只局限于插入这一种操作的问题。同样的,文献[11 Pei J,Xu J,Wang Z,et al. Maintaining k-anonymity against incremental upd