一种防范敏感数据拼图的关联访问控制方法与流程

本发明属于开放数据的访问控制技术领域，具体涉及一种防范敏感数据拼图的关联访问控制方法。

背景技术：

大数据技术研究和广泛应用为各个领域和业务系统的数据开放共享带来了越来越多的需求。数据隐私安全性保护问题是影响到数据开放的重要因素。传统的数据开放意味着数据实体（数据集）可被任意获取，无法合理的管控隐私数据的安全性，进而导致数据持有者不愿开放数据。为了保护敏感关联数据的隐私，现有的技术手段主要包括数据授权访问和数据扰动。数据授权访问本质上是一种封闭式的数据共享方法，而非数据开放。通过获得相应的数据使用授权，用户能在授权范围内访问到部分数据，而敏感关联数据都是用户没有权限进行数据访问和分析的内容。然而，由于很多敏感关联数据的无法使用，导致数据的可分析性较低；并且，由于难以根据数据拥有着的需求确认保护敏感关联数据隐私信息的方式，确保敏感关联数据隐私信息不被用户窃取。数据扰动是通过等距变换改变原始的数据值，使得普通用户难以获得真实有效的原始数据。但是这种状况下的数据很大程度上已经失去了原始数据的真实性，存在数据不被认可，数据难以分析利用的等问题。

为了解决数据开放和保护数据拥有者隐私之间的矛盾，数据自治开放的概念被提出。在大数据背景下，通过软件的管控，根据数据拥有者的敏感数据关联保护需求，在保证数据拥有者的数据隐私安全性的同时，将数据受控地开放给用户。本发明即采用对敏感数据访问操作进行记录和分析的方法，实现在数据开放背景下保护敏感关联数据的访问。

技术实现要素：

本发明的目的是提供一种在数据开放背景下保持数据隐私性的防范敏感数据拼图的关联访问控制方法，从而实现各类数据对用户开放可见，在保护关联访问敏感数据的隐私安全下，用户可按需使用开放的数据。

本发明提供的防范敏感数据拼图的关联访问控制方法，包括：

通过数据拥有者的敏感数据关联保护需求，设定数据关联访问的敏感关联对，同时根据数据表之间的关联结构，通过图的映射，生成数据关系图模型。根据数据关系图模型，对所有敏感关联对映射生成全部可能的敏感数据关联访问路径表。在开放数据源的外层封装一个用于数据访问行为分析管控的软件，所有对数据的访问操作均通过该管控软件分析合法性。该管控软件在分析数据访问操作合法性的同时，还将涉及敏感数据访问操作的类型以及访问的数据记录主键和属性值存储在敏感数据访问日志中。本发明特别关注将数据源中敏感关联数据提供给用户的关联数据访问操作，并对此类操作进行策略控制。由于外部用户的访问请求条件不同，一次访问操作所访问的数据内容也不同。其中，直接关联数据访问操作通过直接关联数据属性进行关联条件查询，获取符合条件的若干条数据记录，所获得的所有数据记录如若不违反敏感数据关联规则，则访问数据结果全部返回给用户；间接关联数据访问操作通过一系列多次关联数据访问请求，获取符合条件的若干数据记录后，若每次所取得数据仅涉及敏感关联对的部分数据，但敏感关联对之间暂不能够构成关联性，则所返回的数据记录以及相应的访问敏感数据内容，都被记录在敏感数据访问日志中，供后续分析。本发明的核心思想是，将敏感关联数据定义为同一记录数据的某些属性不可直接或者通过别的关联路径产生关联来获取隐私数据的相关性，而用户可以获取无法关联分析的部分数据；通过精确到每一条敏感路径中的相关数据记录以何种形式被访问的日志记录，动态分析当前敏感数据关联路径中的哪些部分数据已被用户获取，并由此判断是否允许用户继续获取相关数据记录。

本发明提供的防范敏感数据拼图的开放数据关联访问控制方法，具体步骤如下：

a、数据拥有者根据数据源中多表之间的不可关联的字段，在数据关联访问控制软件中设定所有需要管控的敏感关联对；

b、数据关联访问控制软件根据数据源中的数据表之间的关系，建立数据关系基础模型图；

c、根据每一个敏感关联对在数据关系基础模型图上的映射，生成全部可能的敏感数据关联路径，建立敏感数据关联路径表；

d、将每一次数据访问请求与敏感数据关联路径表中的数据进行匹配，匹配到访问的数据中有敏感关联路径上的数据时，将相关敏感数据访问情况实时写入敏感数据关联路径访问日志文件；

e、针对每次数据访问操作，根据步骤d中获取的敏感数据关联路径访问日志文件和本次数据访问操作的敏感数据内容，统计当前敏感数据关联路径中的数据访问情况，如果某敏感数据关联路径已经达成，则接口拒绝本次的数据访问请求。

本发明步骤a中，所述的多表之间的不可关联的字段，是指单个数据本身的分析、计算、统计不会造成数据隐私性问题，但当某些字段数据关联分析计算时，会涉及到相关的隐私问题。

其中，用户可能会产生数据关联分析计算的方式有直接和间接的获取数据的关联性。直接获取数据关联性，是指用户在进行数据访问时运用接口直接同时对关联访问的所需的数据进行获取；间接获取数据关联性，是指用户每次获取部分关联访问数据，通过多次获取部分数据和中间关联数据，将不可关联的数据根据中间关联数据的关联关系，按一定的关联路径，进行关联分析。

步骤a中所述的设定所有需要管控的敏感关联对，是指在多个表中设定所有的敏感关联对，当有多个属性对会产生敏感关联性时，每两个敏感关联属性都要设置一个敏感关联对，敏感关联对采用键值对的方式记录，具体内容包括敏感属性所在的数据表和具体敏感字段。

步骤a是将开放数据源的关联数据保护具体化的过程。经过该步骤后，数据源不再直接被外界访问，而是通过数据关联访问控制软件判断访问行为合法性之后决定是否放行此次数据访问请求。在控制软件的保护下，数据源能提供不造成关联数据敏感性的其他数据访问操作，用户仍然可以不用任何授权直接访问分析数据源中的真实数据。因此数据源在被访问管控的同时，仍然是可访问的，因此该数据源仍然保持有开放的特性。而该数据源中有多少敏感关联对的访问需要被监管和记录，则通过接本发明所述的步骤a来设定。

其中，不造成关联数据敏感性的其他数据访问操作，是指用户在进行数据分析、计算、统计时不涉及相关的敏感数据；或者仅需要读取敏感关联对中的某一数据时，不会直接将敏感关联对中的敏感数据关联起来分析，而是仅获得各自部分数据的计算结果，并不构成数据之间的相关性。

本发明步骤b中，所述的数据关系基础模型图，是指根据数据源中的数据表之间的外键关系运用图论和复杂网络建模工具，建立的数据关系基础模型图。

本发明步骤c中，所述的敏感数据关联路径表是针对敏感关联对在数据关系基础模型图上的关联路径设定的；该敏感数据关联路径表包含所有可能的敏感关联对的直接和间接的关联路径方式。通常，敏感数据关联路径表中的所有敏感路径访问情况中没有任何数据被完整访问过，如果其中有数据的敏感访问路径被完整的访问过的话，则这个数据记录已经可以通过敏感路径之间的关联进行敏感关联对的关联分析，非法数据访问者就可能可通过数据拼图的方式获得敏感关联对之间的关联。

本发明步骤d中，所述写入的敏感数据关联路径访问日志，包含此次敏感数据关联路径上相关敏感字段的访问情况以及访问的敏感数据的主键。

步骤d旨在将用户通过接口访问到数据源中部分敏感数据的过程进行日志化，从数据记录的粒度上存储每个数据的敏感关联路径的访问情况。为了便于记录和查找，我们以敏感关联路径为表，建立一个键值对表以数据的主键取值为键，该敏感路径的访问情况为值。

本发明步骤e中，在判定敏感数据关联路径是否达成的时候，存在计算耗时的问题，因此如果采用先判定、再决定（即串行）是否拒绝的话，会存在数据访问延迟增加的问题。为此，本发明权衡数据安全性要求强度，采用在判定时先暂时放行，若判定发现达成了路径，再对后续的操作进行拒绝（即并行），从而提升访问效率。具体而言，数据关联访问控制软件根据敏感数据关联路径访问日志中的敏感路径过去的访问情况，针对此次数据访问行为内容进行结合分析，计算此次数据访问请求是否放行。该计算可以是与数据访问操作并发执行的，也可以是在数据访问操作过程中与实际数据访问操作串行的。

所述步骤e中，有一个独立程序，数据关联访问控制软件根据此次访问的敏感数据访问情况结合敏感数据关联路径访问日志中过去的敏感数据访问情况，计算此次访问行为是否构成敏感路径完整获取，放行或拒绝数据访问操作。当此次计算结果表示有敏感路径上数据的访问情况全为1时，则此次数据访问行为刚好构成某一敏感数据关联路径中有数据记录被完整的访问，数据关联访问控制软件应当拒绝此次的数据访问请求；若此次计算结果无任何敏感数据关联路径上数据的访问情况全为1，则此次数据访问行为并不能造成任何敏感数据可关联，此次数据访问行为合法。

本发明与现有技术相比，具有以下的优点和积极效果：本发明方法可以实现对开放数据源的进行数据关联访问请求时，记录和分析敏感关联数据的访问情况，实现数据关联访问控制，防范敏感关联数据拼图，保护敏感数据隐私信息。

附图说明

图1为本发明的基本过程示意图。

图2为本发明采用的数据关联访问控制软件以及相关部件结构的示意图。

图3为示例的实施过程示意图。

具体实施方式

通过以下对本发明的具体实施案例并结合其附图的描述，可以进一步理解本发明的目的、具体结构特征和优点。

图2为本发明所采用的数据关联访问控制软件以及相关部件结构的示意图。本发明的数据访问控制部件(1)对外提供的接口包括数据关联保护需求设置接口(2)、数据关联访操作接口(3)和其他数据访问操作接口(4)。数据访问操作由数据读取控制模块(5)根据本发明的访问控制机制，通过敏感关联访问路径日志分析模块(6)的分析结果决定是否放行相应的操作；对于放行的操作，数据读取控制模块从数据源(7)读取所请求的数据。所有的数据访问操作都与数据关联保护需求分析模块(8)生成的敏感数据关联路径进行比对，其中敏感数据关联路径是数据关联保护需求分析模块根据数据关系图模型建立模块(9)里数据表之间关系生成的。根据比对结果将所有涉及敏感路径相关数据的访问操作都记录在敏感关联路径数据访问日志(10)中。

图3为示例的实施过程示意图。该示意图是对图1所示的本发明基本过程的细化，展示了下述具体实施方式示例的主要步骤的图解。图中的数字标识与实施里的步骤标识一致。

下面给出在mongodb中存储医疗病例数据，通过tomcat下应用程序对该数据源进行敏感数据关联访问控制的一个具体实现方式示例。

基于该实施方式的主要过程为：

（1）将包含有数据关联访问控制软件的tomcat应用程序和存有医疗病例数据的mongodb开放数据源都安装在虚拟机中；

（2）设定mongodb中医疗数据中医生信息表的医生姓名和处方信息表的开药信息之间有敏感数据关联保护需求，即把医生姓名和开药信息设置为敏感关联对，从而不可关联获取；

（3）通过mongodb中的数据表之间的关联结构，对数据之间的关联关系，通过图的形式建立数据关系基础模型图。通过数据关系基础模型找出所有敏感数据关联对直接或者间接的关联路径，根据所有的关联路径上的数据信息，建立敏感数据关联路径表和相关日志，此时所有敏感路径上的数据访问情况为全0。存在一条敏感关联路径，依次为：医生姓名、医生id、就诊流水号、开药信息；

（4）通过mongodb数据访问请求对数据源中的部分数据关联访问方法可获取数据；单独访问开药信息，或者先关联访问医生姓名和医生id数据，再访问医生id和就诊流水时，数据访问和关联都可以正常进行；

（5）每次涉及敏感数据的访问请求都会在敏感数据关联路径访问日志里进行记录已经访问过的敏感路径上的相关数据信息；

（6）用户接着关联访问就诊流水号和开药信息时，当实时统计敏感路径的访问情况发现其中一条敏感关联路径（医生姓名、医生id、就诊流水号、开药信息）已经被完整的访问了，则此次数据访问请求被拒绝，会出现“此次数据无法获取，因为违反敏感数据关联保护需求”的提示，并且无数据访问结果返回。