数据脱敏的应用与思考.docx

《数据脱敏的应用与思考.docx》由会员分享，可在线阅读，更多相关《数据脱敏的应用与思考.docx（9页珍藏版）》请在第一文库网上搜索。

1、数据脱敏的应用与思考目录编者按1-XZ- -JL-刖11 .脱敏技术现状综述21.1. 常见的数据脱敏技术21.2. 数据脱敏技术现存问题31.2.1.1. 于敏感数据的保护不足31.2.1.2. 数据的使用价值造成损失32 .隐私计算技术概述41. 1.差分隐私42. 2.同态加密43. 3.不经意传输协议53 .隐私计算技术在数据脱敏中的应用53.1. 加强敏感数据保护53.1.1. 基于本地差分隐私的数据收集脱敏53.1.2. 基于不经意传输协议的查询意愿脱敏63. 2.提高敏感数据价值63. 2.1.基于同态加密的云计算数据脱敏63. 2. 2.基于同态加密的数据恢复脱敏74.趋势和展

2、望8参考文献9编者按本文提出了应用隐私计算的底层密码学算法、协议来进行数据脱敏的一些 思考和应用方案，以期满足当下对数据安全越来越高的合规要求和对数据资产 价值全面释放的迫切需要。前言数据被列为了与物质、土地、人力资源同样重要的基础生产要素，一个以 数据驱动经济社会发展的时代悄然来临1。数据的价值在于流动与融合，然而 近年来由于数据滥用和泄露造成的数据安全问题比比皆是，这进一步威胁到了 个人权益、企业利益及国家安全。基于此背景，国家在2021年陆续颁布了中华人民共和国数据安全法 和中华人民共和国个人信息保护法2,力求最大限度保证数据的规范使用 和数据价值的安全释放。伴随着政策法规的颁布，数据安

3、全与隐私保护的相关 技术逐渐走进人们的视野。其中，数据脱敏就是一项重要的数据安全防护手 段，它可以有效地减少敏感数据在采集、传输、使用等环节中的暴露，进而降 低敏感数据泄露的风险。但是目前常见的数据脱敏技术存在着一定的局限性。 一方面，现有的脱敏技术对敏感数据的保护性不足，恶意攻击者可以结合相关 背景信息，推导出敏感数据，引发隐私泄露的风险；另一方面，现有脱敏技术 通常会改变原始数据的数据结构，在一定程度上影响了数据的可用性，折损了 脱敏后数据的使用价值。在近年数据隐私保护的大趋势下，隐私计算技术热度逐渐攀升，它可以在 原始数据不可见的前提下，依然能完成其数据价值的释放，实现数据的“可用 不可

4、见”。这个特质也与数据脱敏的目的高度一致，即在保护敏感数据安全的 前提下，实现数据价值合法合规的流通。因此，基于当前数据脱敏技术存在的 局限性，本文提出了应用隐私计算的底层密码学算法、协议来进行数据脱敏的 一些思考和应用方案，以期满足当下对数据安全越来越高的合规要求和对数据 资产价值全面释放的迫切需要。L脱敏技术现状综述1.1. 常见的数据脱敏技术数据脱敏是指从原始环境向目标环境进行敏感数据交换时，通过一定的方 法消除原始环境中数据的敏感性，并保留目标环境业务所需的数据特性或内容 的数据处理过程3。数据脱敏要确保脱敏过程的代价可控，在合规的前提下， 得到满足业务需要的数据结果。在实施数据脱敏时

5、，往往需要平衡脱敏后数据 或数据集的安全性和可用性。常见的数据脱敏方法，集中在泛化、抑制、扰乱 和有损四方面4。泛化和抑制都是通过对数据实施取整、归类、截断、掩码屏 蔽等方式降低数据的精度实现的脱敏，脱敏后数据在一定程度上保留了原始数 据所携带的非敏感信息。扰乱是指通过对数据中的敏感信息使用重排、加密、 散列等方式，破坏其结构，脱敏后数据的敏感信息被完全隐藏，因此极难推断 出原始数据所携带的敏感信息。有损是指限制对数据集的敏感行数和列数向目 标环境的交换来保护敏感数据不外泄。1.2. 数据脱敏技术现存问题L 2. L.对于敏感数据的保护不足现有的数据脱敏技术往往是对样本标识实施脱敏，从而保证样

6、本不被识 别，达到保护个体隐私的目的。但是攻击者可以通过结合相关背景知识与脱敏 的数据样本融合推导，得出数据样本的原始标识，导致样本隐私的泄露。例 如，在常用的脱敏操作中，我们对用户的标识（如姓名、身份证号、电话号码 等）进行脱敏，其属性类数据（如收入、贷款额度等）保留原始数据形态以参 与统计分析。而具有恶意的数据使用者往往可以借助不同的数据表之间的关联 关系，窥探或者反推出某个个体的标识，从而获取个体隐私。随着信息技术和 互联网的进步，每个人获取数据的渠道五花八门，能够更容易地洞悉出数据与 数据之间的联系，这也进一步降低了背景知识攻击的门槛。因此，如何更好地 防范脱敏后的数据标识被反推造成的

7、隐私泄露，是当前数据脱敏技术需要关注 的重点。L2.2.对数据的使用价值造成损失在数据挖掘算法、模型的加持下，数据资产的价值在业务场景赋能的建设 过程中越发显现。数据价值的充分挖掘需要将样本多样化的数据特征作为原 料，投入到计算平台进行融合计算或联合分析。然而根据合规要求，样本数据 往往需要经过脱敏后参与计算。根据脱敏的方式不同，脱敏后的数据通常会损 失精度，或者根本无法参与计算，那么数据资产的价值也会随之折损。例如在 统计贷款额度时，如果对相关数值使用了泛化的脱敏方式，其统计结果将会严 重损失精度，降低业务分析的价值；再比如，对某些数值型变量经过扰乱脱敏 后完全无法参与计算。因此现有的数据脱

8、敏技术对数据要素的价值有所“浪 费”，在当下鼓励数据融合、促进数据交易、释放数据价值的大背景下，这种 “浪费”显然是需要改进的。2.隐私计算技术概述根据大数据联合国全球工作组(BigdataUNGlObaIWOrkingGroUP)的定 义，隐私计算是在处理和分析计算数据的过程中能保持数据不透明、不泄露、 无法被计算方以及其他非授权方获取的一类技术的范畴和集合5o目前隐私计 算技术的实现主要依赖于差分隐私、同态加密、不经意传输协议等密码算法和 协议。本文认为，这些密码技术或安全协议被应用于数据脱敏时，既可以提升 数据脱敏的安全性，增强对敏感数据的保护，又能够保证数据价值的无损应 用，从而兼顾数

9、据的安全性和可用性，推动数据要素的价值最大化合规释放。下面本文将针对差分隐私、同态加密和不经意传输协议三种技术和其在数 据脱敏方向应用的相关思考进行介绍。2. 1.差分隐私差分隐私是2006年由DWORK提出的一种新型的隐私保护机制6。通俗 来讲，差分隐私机制保证了一个数据集的每个个体都不被泄露，但数据集整体 的统计学信息却可以被了解(可能存在一定误差)。其中心思想是依据数据集 的某种统计特征，针对性地引入可控的噪声，对原始数据进行混淆，可以在保 留原始数据集统计特征的基础上实现对个人敏感信息的脱敏。差分隐私可分为 中心化差分隐私和本地化差分隐私两种类型。在数据集或查询结果对外进行发 布时，可

10、以使用中心化差分隐私机制对发布结果加入噪声，从而保护敏感信息 不被泄露；当服务端从用户端采集信息时使，可以使用本地化差分隐私机制对 数据加入噪声，使服务器仅能获得加入噪音的信息。2. 2.同态加密同态加密算法允许用户直接对密文进行特定的代数运算，根据运算的规则 定义不同，又分为半同态和全同态加密算法。具体来说，使用同一个同态加密 算法得到的两个密文，可以在不解密的情况下，进行加法或乘法的操作，其结 果与直接在明文状态下进行加法或乘法之后再进行加密的结果是相同的。同态 加密的优势在于用户在数据加密的情形下仍能对特定的加密数据进行分析、检 索、运算，并且正确的加密数据仍然能得到正确的解密结果，这大

11、大提高了数 据处理的效率，拓展了数据使用场景，保证了数据安全传输。2. 3.不经意传输协议不经意传输协议（OT协议）是发送和接受消息的双方以一种选择模糊化 的方式传送消息的协议，发送者无法得知接收者收到了那条消息，接收者也无 法知道其他不相关的消息。此协议可以应用在匿踪查询等场景中。例如，甲想 购买商品A,希望在购物网站上查询商品A的价格。但是甲非常在意自己的隐 私，不希望向购物网站泄露自己想要购买商品A的意愿。然而购物网站想要实 现将商品A的查询结果返回给甲，就必然会了解到“甲正在考虑购买商品A”这 一信息。不经意传输协议可以很好的规避这类问题。通过不经意传输协议，购 物网站把他拥有的N个商

12、品价格使用某种双方协商同意的加密算法和参数进行 加密，然后发送给甲，甲只能从密文中解密出A的资料，而无法解密出其他 N-I份资料。根据不经意传输协议的定义，其实现数据脱敏的方式，主要是使 得数据在从原始环境向目标环境进行数据交换时，其中具有敏感性的数据不被 目标环境所获取，进而达到保护个人隐私泄露的目的。3.隐私计算技术在数据脱敏中的应用3.L加强敏感数据保护3. 1. 1.基于本地差分隐私的数据收集脱敏中华人民共和国个人信息保护法中规定，收集个人数据需要获得个体 授权，并且应当限于处理目的的最小范围。然而现实情况下，即便是满足了上 述两个条件，由于传统脱敏技术对于敏感数据被反推的情况保护不充

13、分，收集 个人数据的服务器依然存在推导出用户敏感信息的可能性。针对此情况，可以 基于本地化差分隐私进行数据脱敏，再进行收集。目前已有多个研究机构及企 业提出了不同的利用本地化差分隐私技术的实现数据收集阶段的脱敏方案，如 苹果、谷歌、三星等，其中以苹果的方案较为有代表性。苹果在其iPhone、 Mac等设备上进行系统和应用信息采集的时候，均应用了本地化差分隐私技术 来对用户敏感信息进行脱敏7。其中一个典型应用场景，是对用户手机键盘上 输入的单词及emoji表情，进行统计分析以得到流行的emoji表情、单词或新 的网络用语，用于改善产品体验。脱敏数据数据收集方服务器基于本地差分隐私技术脱敏方案，可

14、以设计成上图所示机制，用户数据在 被传输到收集方服务器之前，在本地终端根据收集方预设的差分隐私机制进行 预处理，再将处理后的脱敏数据传输至数据方服务器，降低服务器对用户敏感 数据的恶意窥探，减少隐私泄露的可能性。3.1. 2.基于不经意传输协议的查询意愿脱敏用户在使用数据查询服务时，因为查询条件可以反映出用户的隐私信息， 所以往往不希望透露自己的查询条件给被查询方。例如，用户在应用软件上查 询某支股票的相关信息时，可能会泄露自己对于该支股票或该股票所处行业的 兴趣，从而透露出自己的投资偏好。用户的投资偏好数据很可能被被查询方所 采集，脱敏后做行业或市场分析之用。传统脱敏技术仅能够在采集用户的请

15、求 信息后，对其所采集的意愿数据予以脱敏处理，而基于不经意传输协议的机制 进行，则使得查询方从一开始就避免了自己的查询条件暴露，免去了后续因脱 敏不完全而可能带来的隐私泄露的安全隐患。借助不经意传输协议，用户无需 担心自己的查询意愿被泄露，也能够从被查询方获得查询结果。3. 2.提高敏感数据价值3. 2.1.基于同态加密的云计算数据脱敏为了更好借助云端强大的算力资源进行计算，用户可以将数据在合规脱敏后上传到云端完成计算，直接获取云端返回的计算结果。同态加密算法的引 入，使数据在其价值无损的前提下完成了脱敏，再将密文在云端完成计算，并 返回结果。过程中云端仅拥有数据的同态加密后的密文，因此其安全性和计算 结果的精确性有所保证。在云计算中利用同态加密的脱敏方案可如下图所示， 用户和云端通过安全通道进行交互，完成用户的检索、比较、运算等任务。用 户将加密后的密文数据传输至云端后，云端进行数据存储和数据处理，再将运 算结果传输给用户，用户使用密钥解密即可。密钥全程由用户保存，云端不存 储用户密钥。基于此方案，用户依然可以获得想要的计算结果而不用担心传输一 AUt至云端的数据被泄露。用户端用户终端设备安全通道检索、比较、运算a加密模块S解密模块应用管理系统数据存储系统数据处理系统数据更新 数据运算 数据检索秘钥管理与SHW班算修盟3. 2. 2.基于同态加密的数据恢复脱敏同态加密的特性，