基于角色数据隐私保护技术探究及实现.doc

基于角色数据隐私保护技术探究及实现摘要： 研究并设计了一种基于角色访问控制的隐私保护技术。操作者对信息进行访问时，根据被分配的访问控制角色和被访问者的隐私设置等级，决定操作者可以得到多少信息量以及信息是否需要隐藏。该技术基于角色访问控制模型，实施分级访问；对数据库存储的敏感信息采用PBE加密；对数据内容的保护采用了匿名泛化技术。通过在一个教学管理系统中的部署和应用，验证了该技术的可行性和有效性。 关键词： 隐私保护； 角色访问控制； 基于口令的加密； k-匿名 中图分类号：TP309 文献标志码：A 文章编号：1006-8228(2012)07-04-03 0 引言 随着网络和信息技术的高速发展，现代社会已经进入了信息的随时发布和迅速传递的时代。大量主客观世界中的实体成为了信息的来源者、传递者和接收者。社会搜集和传播隐私信息的成本越来越低，传播的速度也越来越快。对网络资源不加控制的访问和传播会造成大量敏感信息的泄露，因此，目前对数据的内容保护，尤其是对信息内容的隐私保护的需求十分迫切。 相对于传统安全领域中的典型技术，例如身份认证技术、数据加密技术、访问控制技术等，隐私保护技术更侧重于对数据隐含信息的保护。关于隐私保护已经提出了许多新方法，例如对于数据发布的隐私问题，可以通过k匿名技术[1]，数据混淆、泛化技术[2]等来实现。对信息系统的安全而言，隐私保护技术仅解决了部分的数据安全问题，还需要和传统的技术一起来保证信息资源的整体安全性。 本文试图在访问控制模型和隐私保护技术基础上，提出一种基于角色访问控制的隐私保护方法，在传统的RBAC（Role-Based Access Control）[3]基础上，提供个性化的隐私数据访问，并应用于教学管理系统实践中。 1 RBAC与隐私等级保护的关系 访问控制技术对所有已验证身份的用户所提出的对系统资源的访问请求进行评估，判断是否接受或拒绝该请求，以此来防止对信息的非法访问，保证信息的机密性。作为传统的系统安全技术之一，访问控制技术得到了较为广泛的研究和应用。访问控制策略、访问控制机制和访问控制模型是研究和建立访问控制技术的几个主要的方向。文献[4]所进行的调查表明，在大多数的机构中，访问控制决策是基于用户角色以及在机构中的职责所做出的。RBAC通过角色来控制对资源的访问，已经被证明比较适合用来表达信息系统对用户的安全需求，并得到了广泛的应用。 在信息的隐私保护研究中，隐私是指自然人自身所享有的与公众利益无关并不愿他人知悉的私人信息。在RBAC模型中，用户通过被赋予角色，因角色所具有的权限而获得对资源的有效操作。但是这只是控制了数据访问的权限，没有对数据内容做出保护。如果只是简单地通过访问控制来控制对信息的读取，那么还是会在合法的访问过程中泄露数据。因此，必须要将这两种技术结合起来对数据提供综合的保护。经过分析，我们发现在访问过程中，信息对于被分配相同角色的用户访问而言，所表示出来的特性是一致的，因此，基于角色的访问控制可用于对信息的分等级隐私保护，如图1所示。 我们以教学管理系统为例，用户可以被分配三种不同的角色：管理员、教师、学生。不同的角色可以对应系统中关于信息内容的不同的隐私保护等级。结合用户需求，我们可以按照三个信息保护等级来为教学管理系统中的数据设计不同敏感程度的保护方案。 例如：根据最小权限分配原则，学生的权限最低，仅能访问数据库中有关成绩统计及自身信息的一些资料，因此对应着信息保护初级等级，所访问的统计信息可用匿名泛化的形式给出。学生不能查看其他同学精确的分数，但是可以知道自己在班级和专业中的排名，也可以了解同学经泛化处理后的成绩。教师拥有高一级权限，可以查看学生的成绩和个人信息，但是根据相应的隐私保护等级，限制他查看学生个人资料的详细信息。同时，教师可以获得教学活动所必须的个人信息的匿名统计信息。系统管理员虽然拥有最高权限，可以对系统进行维护，但是他对系统的管理体现在RBAC层面（例如添加用户，分配权限等）。系统管理员不能访问学生、教师的个人隐私数据。个人隐私数据在存放入数据库之前要进行适当的加密，防止系统内容在内部出现信息的泄漏。系统管理员可以获得学生、教师经隐私保护后的数据，得到数据的精确范围低于前两者，但是能满足对系统的管理需要。 下面以教学管理系统为例来说明我们在设计时采用的系统结构、处理流程和关键技术。在我们的系统设计中将涉及到RBAC技术、匿名技术、泛化技术以及数据的加密技术。 2 系统设计和关键技术 我们设计的RBAC_PL系统的框架如图2所示。 其中，访问控制执行点获取访问主体的请求，交由访问控制决策点做出访问控制决策。访问控制策略和隐私等级设置模块确定了访问主体被分配的角色，以及该角色对应的隐