数据库安全中隐私保护若干关键技术研究

【摘要】：随着互联网技术和信息技术的迅速发展,以数据库为基础的信息系统在经济、金融、医疗等领域的信息基础设施建设中得到了广泛的应用,越来越多的个人信息被不同的组织和机构(例如,统计部门、医院、保险公司等)搜集、存储以及发布,其中大量信息被用于行业合作和数据共享。但是在新的网络环境中,由于信息的易获取性,这些包含在数据库系统中的个人隐私信息将面临更多的安全威胁。当前,日益增长的隐私泄露问题已经成为信息共享的主要障碍。因此,如何对这些包含敏感信息的数据进行有效的保护,以及如何将对外发布数据的真实性与防止隐私信息泄露的数据发布机制结合起来,将成为数据库安全中隐私保护技术面临的重大挑战。 数据库安全中隐私保护技术的研究重点为个人敏感信息的隐私保护,对此问题的典型解决办法是将数据进行一定程度的修改,并使得修改后的数据不但能防止个人隐私的泄露,而且还能保留原数据的精度及查询的准确度。在隐私保护方面,不同的个体会有不同的隐私需求。但是在数据发布环境下,现有的匿名策略大多只提供了表级别的安全粒度,尚未解决同一个表中不同敏感信息自定义的问题,并且不同应用中数据的重要性与动态指定敏感信息的需求也未能得到有效统一。因此,本文对可动态指定敏感信息的匿名化模型进行研究,并将此模型运用到个性化隐私保护中,满足特定的应用和个性化需求,使得结果既能保证隐私信息不被泄漏,又能使得数据可用性达到最大化具有重要的研究意义。 在数据库安全中的隐私保护领域,现有的隐私保护技术主要应用于包含单敏感属性数据的信息发布,由于多敏感属性数据之间具有相关性的特点,因此并不适用多敏感属性数据的发布,若将现有的方法直接应用于多敏感属性数据的信息发布将不可避免地导致大量隐私信息的泄漏。但是在许多实际应用中,发布的数据信息经常包含多个敏感属性,例如病人的诊断记录表中,可能同时包含不愿让他人获知的就医花费、家庭住址等信息。多敏感属性一般存在于同一个表中,每个元组的多个敏感属性值对应于同一个个体,同时有一些属性虽然本身并不包含个体的隐私信息,但是却与具体的隐私信息之间存在着明显的特定联系,容易产生推理通道,以上两种情况都将直接威胁到隐私信息的安全。由于多敏感属性数据集自身的复杂性,相比单敏感属性数据集的隐私保护,面向多敏感属性数据集的隐私保护技术面临着更大的挑战。因此,如何防止带有多敏感属性数据集的隐私信息泄露成为了一个具有实际应用价值的重要研究课题。 在实际应用中,数据内容会经常由于更新、增加或删除的操作而发生变化。然而,对于同一数据,不同时刻产生的多个版本的数据之间存在着一定的联系,容易形成可被攻击者利用的推理通道,由此产生了数据集重发布造成的隐私泄露问题。数据集重发布包括单敏感属性数据集的重发布与多敏感属性数据集的重发布两个部分。现有的数据集重发布的隐私保护技术对动态数据库的假设与实际应用中数据发生的变化相比有比较大的差别,例如,现有技术并不能有效解决一些个体的敏感值经常改变而其他个体的敏感值则很少发生变化时的情况。另外现有技术采用了数据隐匿或增加虚拟数据,对数据的精确度影响也较大。由于多敏感属性数据集的重发布涉及到多敏感属性和重发布两种情况,重发布带有多敏感属性的数据集造成的隐私信息泄漏情况会比其他任何类型的发布都可能更严重。对于多敏感属性数据集重发布的安全问题目前尚无相关研究,当前的一些方法没有考虑重发布带有多敏感属性的数据集所带来的隐私信息泄漏问题,相比单敏感属性数据集的重发布,多敏感属性数据集重发布带来了更大的挑战。因此,面向数据集重发布的隐私保护技术研究对于提高数据库安全中隐私保护技术的理论与应用水平具有重要的意义和实用价值。 本文从当前数据库安全中隐私保护技术所面临的上述三个亟待解决的问题入手展开研究,提出了几种新颖的解决方案,解决了当前该研究领域面临的多个难题。主要研究以下三个问题：一是如何有效地动态指定敏感信息,实现对个体信息的隐私保护,主要包括匿名模型、聚类和匿名算法的研究；二是如何解决针对多敏感属性的隐私保护问题,即研究单维有续集划分、多维划分、贪婪算法等一些关键技术；三是如何解决数据集重发布所带来的隐私泄露问题,主要研究了适合单敏感属性数据集重发布的隐私规则和算法、适合多敏感属性数据集重发布的隐私规则和算法以及基于桶的分组技术。本文的主要研究成果和贡献,可归纳为以下几个主要方面： 1)提出了一种新的可动态指定敏感信息的匿名化模型。为了满足不同个体对准码属性及敏感属性的不同需求,有效避免过度泛化处理形成的大量信息丢失。本文利用个体自定义敏感信息的特点,设定了敏感属性分层结构,将局部泛化技术应用到敏感属性的泛化上,并且充分结合局部泛化和多维技术对准码属性进行泛化处理,进一步提高了匿名效率。在算法设计方面,为了实现动态匿名模型,本文提出了CBM聚类算法及D-KAC匿名化算法。实验分别从隐私保护程度、数据可用性以及算法的效率这三个方面进行了比较,结果表明本文所提出的动态匿名模型可以有效地满足个性化隐私需求及对定义的隐私信息进行保护,同时验证了本文提出的算法执行效率上具有较佳的性能。 2)提出了一种面向多敏感属性隐私保护的(α,β,κ^-anonymity模型。为了防止数据发布中带有多敏感属性的数据集中敏感信息的泄露,本文对同质攻击与背景知识攻击进行了详细而深入的分析,利用分类敏感属性规则来构建(α,β,κ)-anonymity模型,保证了多敏感属性值之间的多样性。在算法设计方面,本文提出了(α,β,κ)-anonymity算法,该算法采用自顶向下的多维划分方法和单维有续集划分方法来实现(α,β,κ)-anonymity模型。通过设计一系列的实验将本文所提出的算法与其它算法进行比较,从而验证本文所提出的算法在信息损失度、隐私保护程度、算法的运行时间方面的优越性。 3)提出了一种面向单敏感属性数据集重发布的隐私规则·——m-correlation,该规则通过对数据集中的元组进行基于敏感值的划分以及引入迷惑元组的方式,保证了持续发布数据集的等价组中敏感属性值的不可区分性,消除了由于多次发布所形成的推理通道,有效地解决了由于数据的更新、添加、删除及重发布所带来的隐私信息泄漏问题。为了实现m-correlation规则,本文给出了m-correlation算法,实验结果表明m-correlation算法能够高效率的重发布单敏感属性数据集,生成的数据集具有较高的数据精度。 4)为了能够有效地消除重发布多敏感属性数据集所形成的推理通道,阻止各种背景知识攻击,降低多敏感属性数据集重发布中隐私泄露的风险。本文提出了一种面向多敏感属性数据集重发布的隐私规则-——MDR,MDR规则使得等价组中的每一维敏感属性的取值具有多样性特征,并且增加了敏感属性之间的对应多样性,同时给出了基于桶分组技术对表中的数据进行重组和划分的算法,实现了多敏感属性数据集重发布MDR规则。实验部分将本文所提出的MDR算法与其它算法进行比较,从而验证了所提出算法在数据可用性,执行时间方面的优越性。 综上所述,本文对数据库安全中隐私保护技术做了广泛而深入的研究,提出了几种新颖的解决方案,解决了当前该研究领域面临的多个难题。同时通过基于实际数据集的实验,表明了本文提出的解决方案的有效性及高效性。