大数据安全保护技术综述.docx
- 文档编号:8455631
- 上传时间:2023-01-31
- 格式:DOCX
- 页数:9
- 大小:24.50KB
大数据安全保护技术综述.docx
《大数据安全保护技术综述.docx》由会员分享,可在线阅读,更多相关《大数据安全保护技术综述.docx(9页珍藏版)》请在冰豆网上搜索。
大数据安全保护技术综述
[摘要]大数据技术的发展和应用对国家的治理模式、企业的决策架构、商业的业务策略以及个人的生活方式都产生了深远影响。
但是,大量数据的汇集不仅加大了用户隐私泄露的风险,而且大数据中包含的巨大信息和潜在价值吸引了更多的潜在攻击者。
此外,大数据的应用是跨学科领域集成的应用,引入了很多新的技术,可能面临更多更高的风险。
本文从加密算法、完整性校验、访问控制技术、密文数据去重和可信删除、密文搜索等方面,对当前大数据安全保护关键技术的研究现状进行分类阐述。
大数据分析技术仍处于快速发展阶段,很难预测今后的大数据关联分析对隐私保护和敏感信息保护带来的问题,因此,现有的数据脱敏技术和隐私保护技术还有待进一步研究。
一些大数据安全关键技术在性能和可用性方面还值得深入研究,以期可早日投入实际应用。
利用大数据技术抵御针对大数据的攻击威胁也已成为大数据安全领域新的研究热趋势。
大数据安全的发展需要法律法规、标准和关键技术的共同支撑和推动。
[关键词]大数据;安全;加密算法;完整性校验;访问控制
目录
一、大数据安全需求4
1.1机密性4
1.2完整性4
1.3访问控制5
二、大数据安全保护技术5
2.1加密算法5
2.2完整性校验7
2.3访问控制7
2.4密文数据去重和可信删除8
2.5密文搜索9
三、大数据安全的开放问题9
3.1大数据安全标准缺口9
3.2大数据安全关键技术难点10
3.3大数据安全分析的技术难点10
四、结论11
参考文献:
11
1、大数据安全需求
1.1机密性
数据机密性是指数据不被授权者、实体或进程利用或泄露的特性。
为了保障大数据安全,数据常常被加密。
常见的加密方法有公钥加密、私钥加密、代理重加密、广播加密、属性加密、同态加密等。
传统的加密方法不能直接用在大数据上的原因是数据加密和解密会带来额外的计算开销,需要以尽可能小的计算开销带来可靠的数据机密性。
支持关键字搜索是大数据数据安全保护的一个重要方面。
已有的支持搜索的加密只支持单关键字搜索,并且不支持搜索结果排序和模糊搜索。
目前,这方面的研究集中在明文中的模糊搜索、支持排序的搜索和多关键字搜索等操作。
如果是加密数据,用户需要把涉及的数据密文发送回用户方解密之后再进行,严重降低效率。
1.2完整性
数据完整性是指数据没有遭受以非授权方式的篡改或使用,以保证接收者收到的数据与发送者发送的数据完全一致,确保数据的真实性。
远程数据完整性验证是解决云中数据完整性检验的方法,能够在不下载用户数据的情况下,仅仅根据数据标识和服务器对于挑战码的响应对数据的完整性进行验证。
1.3访问控制
大数据访问控制技术主要用于决定哪些用户可以以何种权限访问哪些大数据资源,从而确保合适的数据及合适的属性在合适的时间和地点,给合适的用户访问,其主要目标是解决大数据使用过程中的隐私保护问题。
大数据给传统访问控制技术带来的挑战如下:
(1)大数据的时空特性,大数据下的访问控制模型需要在传统访问控制的基础上,充分考虑用户的时间信息和位置信息。
(2)在大数据时代的开放式环境下,用户来自于多种组织、机构或部门,单个用户又通常具有多种数据访问需求,应如何设定角色并为每个用户动态分配角色?
(3)大数据面向的应用需求众多,不同的应用需要不同的访问控制策略。
在保障大数据安全时,必须防止非法用户对非授权的资源和数据等的访问、使用、修改和删除等各种操作,以及细粒度的控制合法用户的访问权限。
二、大数据安全保护技术
2.1加密算法
针对大数据的机密性,我们可以使用加密算法对数据加密。
传统的DES、AES等对称加密手段,虽能保证对存储的大数据隐私信息的加解密速度,但其密钥管理过程较为复杂,难以适用于有着大量用户的大数据存储系统。
传统的RSA、Elgamal等非对称加密手段,虽然密钥易于管理,但算法计算量太大,不适用于对不断增长的大数据隐私信息进行加解密。
数据加密加重了用户和去平台的计算开销,同时限制了数据的使用和共享,造成了高价值数据的浪费。
开发快速加解密技术是大数据安全保护技术的一个重要研究方向。
2.1.1属性加密
方案有:
(1)公钥、私钥都和数据属性相关联。
当用户私钥具备解密数据的基本属性时,用户才能够解密出数据明文。
公钥、私钥都和数据属性相关联。
当用户私钥具备解密数据的基本属性时,用户才能够解密出数据明文。
(2)细粒度的访问控制的属性加密方案:
在私钥当中嵌入接入策略。
只有当用户属性满足接入策略时,密钥才可以恢复,从而解密消息。
可以支持任意单调的包含与/或限门的接入公式。
(3)安全、可扩展的细粒度访问控制的属性加密方案。
(4)支持用户审计的细粒度访问控制的属性加密方案,可防止大数据中非法的密钥共享。
(5)密文策略的属性加密方法,将接入策略嵌入在密文当中,而解密私钥只与属性集合相关。
当密文的接入策略发生改变时,密文重新加密,且无需重新分配属性对应的解密私钥。
该方案需要一个属性授权中心,对属性以及属性对应的解密私钥进行管理。
(6)多授权中心属性加密系统,每个授权中心管理不同的属性哉。
当属性撤销或者属性中一个用户撤销时,密钥更新就产生问题。
(7)属性加密的外包解密方案:
将复杂的解密操作由云服务提供商转化为一个普通的ELGamal解密问题,终端只需要一次模指数去处,可有效降低终端的解密计算量。
小结:
基于属性的加密算法的时间复杂度很高,使这种加密方式在大数据中的应用并不广泛。
随着大数据研究的进一步深入,加密算法的时间复杂度进一步降低,属性加密将应用在未来的大数据中。
2.1.2代理重加密
允许第三方改变数据发送方加密后的密文,使数据接收方可以解密,而第三方并不知道原文。
方案有:
(1)允许一个半可信的代理者将数据发送者的密文转换为数据接受者可以解密的密文,同时不泄露数据发送者的明文消息。
(2)基于身份的代理重加密方案,以用户的唯一身份信息作为公钥参与重加密,具有意向性、非传递性、非交互性等特点。
(3)对
(2)进行改进,优化了重加密密文空间的大小并隐藏了代理的身份。
(4)分类代理重加密技术:
使数据分发者能够对密文委托权实施细粒度的分类控制。
(5)无证书的代理重加密算法以及基于身份的密钥托管协议。
(6)基于身份的可撤销代理重加密机制。
(7)条件代理重加密方案:
引入访问控制机制,只有当重加密密钥和指定密文条件同时满足时,解密操作才被允许。
小结:
大部分现有方案大多仅限于关键字条件,如何构造支持布尔条件的条件代理重加密算法需进一步研究。
2.1.3同态加密
同态加密是一种加密形式,对密文做特定的代数去处后得到加密的结果,与对明文同样的运算结果一样。
同态加密可以无需对数据解密而进行各种操作,比如对加密数据的检索、比较等,从根本上解决将数据及其操作委托给第三方时的保密问题。
广泛应用在各种云计算中。
基于理想格中的一种判定问题和稀疏子集求和问题的完全同态加密方案,只能规约到平均情况下的困难问题。
为了提高完全同态加密方案的安全性,有以下方案:
(1)设计密钥生成算法,该算法将完全同态加密方案的安全性建立在稀疏子集求和问题和理想格中一种最坏情况下的困难问题上。
(2)基于标准LWE问题设计了新的完全同态加密方案,该方案有更高的安全性,因为LWE问题都可规约到最坏困难问题。
(3)提出一种允许多个密钥参与的完全同态方案。
该方案基于理想格,比传统的完全同态加密方案更加灵活、实用。
同态加密算法可以允许人们对密文进行特定的运算,而其运算结果解密后与用明文进行相同运算所得的结果一致。
全同态加密算法则能实现对明文所进行的任何运算,都可以转化为对相应密文进行恰当运算后的解密结果。
将同态加密算法用于大数据隐私存储保护,可以有效避免存储的加密数据在进行分布式处理时的加解密过程。
加密算法是实现大数据安全保护与共享的基础,面对日益增长的大数据,现在加密算法在加解密效率、密钥管理等方面有着明显的不足。
完全同态加密算法和基于LWE问题的部分同态加密算法能解决大数据安全保护的计算问题,但是这些算法需要进行大量复杂的指数运算,大大降低了数据的处理效率。
因此,提高计算效率将是同态加密算法研究的重要方向。
2.2完整性校验
当大数据存储到云端之后,用户就推动了对数据的控制权。
用户最关心的问题是,如果云服务商不可信,所存储的文件是否被篡改、丢弃等。
解决这个问题的最简单方式就是将其全部取回检查,但该方法不可取,因为要耗费大量的网络带宽,特别是当云端数据量非常大时。
当前,对云端大数据完整性进行校验主要依靠第三方来完成,根据是否允许恢复原始数据,当前的数据完整性校验协议主要可以分为2类:
只验证数据完整性的PDP协议和允许恢复数据的POR协议。
目前,大数据完整性校验算法还不能支持数据动态变化,与PDP算法(可证明的数据持有协议)相比,POR算法(可恢复证明协议)具有数据恢复功能和更高的实用性。
因此,研究支持数据动态变化的POR算法将是大数据安全保护的研究要点。
此外,数据可能属于不同的所有者且数据规模庞大,研究支持多主权大数据完整性指检验也将是未来大数据完整性校验协议的发展趋势。
2.3访问控制
2.3.1基于角色的访问控制方法
不同角色的访问控制权限不尽相同。
通过为用户分配角色,可实现对数据的访问权限控制,因此,角色挖掘是前提。
将基于角色的访问控制与加密相结合的数据安全存储方案,即只有满足基于角色的访问控制策略的角色才可以解密和查看数据;该方案中角色具有层次结构,且解密密钥大小恒定,与用户分配的角色数无关。
角色是否分配给用户由用户的信任度决定,信任度由以下因素计算获得:
用户使用的主机的安全状态和网络可用性、与角色相关的服务提供商的保护状态,并提供了量化信任度计算过程的数学公式。
目前,开源社区已出现针对大数据平台的访问控制开源项目,并被一些大数据企业用于实际大数据应用开发。
例如,ApacheSentry是Cloudera公司发布的一种针对Hadoop组件的可插拔授权引擎,对Hadoop集群中的数据和元数据提供细粒度、基于角色的授权。
ApacheRanger提供一个集中式安全管理框架,解决大数据平台的访问控制授权和审计问题。
2.3.2基于属性的访问控制
基于属性加密的访问控制通过综合考虑各类属性,如用户属性、资源属性、环境属性等,来设定用户的访问权限,是一种利用密文机制实现客体访问控制的方法,主要可以分为两种:
基于密钥策略的属性加密(KP-ABE)和基于密文策略的属性加密(CP-ABE)。
在KP-ABE中,引入了访问结构,密文与属性集合相关联,密钥与访问策略关联,只有当用户提供的属性集可以达到密钥的访问结构时才能解密文件,KP-ABE主要用于访问静态数据。
在CP-ABE中,密文由访问结构生成,密钥是用户的属性集合,只有当用户的属性满足密文中的访问结构时才能解密该段密文。
CP-ABE使得数据拥有者可以灵活地控制哪些用户访问数据,因此也被广泛地用作云计算的访问控制方案。
大数据在给传统访问控制带来挑战的同时,也带来了机遇。
随着大数据的规模不断增长,并在不同领域的应用,将有更多的数据在不同系统中流转,研究可耦合的细粒度访问控制技术迫在眉睫。
此外,在大数据中,不同数据的功能和安全需求不一样,研究多层次和多级安全的访问控制新技术将是未来大数据访问控制技术的发展方向。
2.4密文数据去重和可信删除
2.4.1密文数据去重
存储在云端大数据有很多重复的、冗余的数据。
为了节省存储空间和降低成本,一些重复数据删除技术被用来删除在云端的大量重复数据。
在云环境中,数据往往是被加密成密文存储,且相同的数据会被加密成不同的官方。
因此,很难根据数据内容对重复的安全数据进行删除。
密文数据去重技术是近年来数据安全领域中新兴的研究热点,其不仅可以节省存储空间开销,而且可以减少网络中传输的数据量,进而节省网络带宽开销,在大数据时代具有更为广阔的应用价值。
目前,大数据中密文数据去重研究主要集中在收敛加密方式。
研究在一般化加密方式中密文数据去重是大数据安全保护的研究重点。
2.4.2数据可信删除
大数据存储在云端时,当用户发出删除指令后,可能不会被云服务商真正的销毁,而是被恶意地保留,使其面临被泄露的风险。
传统的保护存储在云端数据安全的方法是,在将数据传输之前进行加密,则数据可信删除就变成了用户本地密钥安全销毁,一旦用户安全销毁密钥,那么存在数据即使被泄露,被泄露的数据也不能在多项式时间内被解密,从而保护了数据安全。
目前,数据可信删除技术尚在起步阶段,主要通过第三方来删除密钥来实现。
在大数据环境中,如何实现真正的可信任的数据可信删除是未来大数据安全保护技术的研究要点。
2.5密文搜索
大数据经常以密文形式存储在云端,这使数据查询变得困难。
此外,采用一般加密方法加密时,索引是无法建立的,从而导致查询效率低。
目前,主要的可搜索加密技术可分为两种:
对称可搜索加密技术和非对称可搜索加密技术。
对称可搜索加密技术主要是通过可搜索加密机制建立安全加密索引,在文件与检索关键词之间建立检索关联。
在密文搜索时,数据拥有者为数据使用者提供陷门,从而完成密文检索。
对称可搜索加密算法的检索效率较差,其检索时间与密文数据总长度呈现线性增长关系。
非对称可搜索加密技术允许数据发送者以公钥加密数据与关键词,而数据使用者则利用私钥自行生成陷门以完成检索,从而解决服务器不可信与数据来源单一等问题。
大数据经常以密文形式存储在云端,为了实现这些数据的安全性和可用性,可搜索加密技术研究将集中在支持多样化查询的搜索和相关性排序,以及进一步提升搜索的效率和精度。
具体体现在以下三点:
(1)对称可搜索加密技术在大数据环境中,其检索性能显著下降,且可扩展能力差。
研究支持多类型的搜索,如短语搜索和邻近搜索等,是未来大数据安全保护技术的发展方向。
(2)当前非对称可搜索加密的查询效率低。
研究简单、高效、安全的非对称可搜索加密算法是未来大数据安全保护技术的研究重点。
(3)目前,可搜索加密算法能实现一般结构数据的动态变化和多关键词的密文搜索。
然而,大数据结构十分复杂、类型繁多、搜索需求多样化,研究支持在复杂结构中的多样化查询的加密算法是非常重要的。
三、大数据安全的开放问题
3.1大数据安全标准缺口
大数据安全的标准化研究与制定工作还处于发展阶段,国际标准化组织积极推出了相关研究项目,探寻大数据安全标准的缺口。
ISO/IECJTClSC27(信息安全分技术委员会)在工作组会议中提出以下研究项目:
云服务可信接人架构、物联网隐私保护指南、智慧城市隐私保护、隐私保护工程框架等。
由此可见隐私保护是大数据安全标准化研究中的热点问题。
全国信息安全标准化技术委员会大数据安全标准特别工作组最新发布的《大数据安全标准化白皮书(2017年)》中对大数据安全标准化工作提出了建议,其中,特别提到要“加快制定个人信息安全相关标准”“加快制定数据共享相关安全标准”“加快制定数据出境安全相关标准”“加快大数据安全审查支撑性标准研制”。
这4个“加快”明确指出了下一步大数据安全标准化工作的重点。
目前,大数据安全的标准体系还未完善,应按照急用先行,成熟先上的原则快速推进标准制定。
在研制大数据安全顶层标准的同时,加快对大数据应用的安全标准研制,解决目前最急迫的问题,如加快数据出境、数据交易和数据共享等的相关规范、制度的标准研究和制定工作。
3.2大数据安全关键技术难点
当前的信息安全技术并不能完全满足大数据的安全需求,针对大数据应用中特有的安全风险,还有很多关键技术难点需要突破。
隐私保护是其中最受关注的问题之一。
目前,已有一些解决方案。
差分隐私保护通过添加噪声使数据失真,从而达到保护隐私的目的。
但是,差分隐私保护算法的时间复杂度较高,实现效率并不理想。
全同态加密方案适用于大数据场景中的隐私保护,但其性能较低的问题一直阻碍了同态加密技术应用于大数据环境。
因此,设计高效的全同态加密方案值得深入研究。
加密是数据保护最基本也是最重要的手段之一。
可搜索加密算法应用于大数据环境需要满足对多用户场景的支持和对不同加密算法的加密数据进行访问的要求,这对可搜索加密算法提出了新的研究方向。
基于属性的加密方案因将访问控制策略直接嵌入到用户的私钥或加密数据中,不仅解决了公钥基础设施效率低下的问题,而且具有可扩展的密钥管理和灵活的数据分发的优势。
目前,基于属性的加密方案主要采用椭圆曲线上的双线性映射构建,其中涉及计算成本昂贵的双线性配对操作,加之大数据规模庞大,因此难以应用到大数据平台。
细粒度的访问控制是大数据安全领域一个新的热点问题。
虽然目前开源社区已有一些解决方案,但细粒度的访问控制仍面临一些亟待解决的问题,如:
对给定领域选择合理的访问控制粒度;当数据集增长至IJPB级的规模,访问控制方案的可扩展性问题;查询访问控制策略的效率问题等。
3.3大数据安全分析的技术难点
大数据是一把双刃剑。
它可能成为黑客实施攻击的手段,但将其有效利用,也可以成为防御安全攻击的盾牌。
在开展大数据安全关键技术研究的同时,大数据中的批量和流式数据处理技术、交互式数据查询技术等可为网络安全与情报分析中的数据处理问题提供重要支撑,形成交互式可视分析、多源事件关联分析、用户实体行为分析等大数据安全应用。
虽然大数据技术为网络信息安全提供了支撑,但其中仍存在许多问题亟待解决。
隐蔽性和持续性网络通信行为检测、基于大数据分析的网络特征提取、综合威胁情报的高级网络威胁预测等关键技术有待实现突破,以提升网络信息安全风险感知、预警和处置能力。
4、结论
大数据作为国家基础性战略资源,已广泛应用于各重大行业,其安全问题得到学术界和产业界的高度重视和积极研究。
本文介绍了大数据安全相关的法律法规和标准现状,分别从大数据生命周期安全和大数据平台安全两个角度分析目前大数据面临的安全问题,阐述大数据安全关键技术研究现状及其开源项目,最后提出了大数据安全在标准缺口、关键技术难点和大数据安全分析3个方面的开放问题。
大数据安全技术的发展,不仅是大数据产业发展所驱动的结果,还是国家部署的重要战略。
加强研究大数据安全保护技术,可推动大数据的开放共享,有力支撑大数据产业的持续发展,更加增强国家网络空间安全的防御能力。
参考文献:
[1]大数据安全标准化白皮书(2017)[R].北京:
全国信息技术标准化技术委员会大数据安全标准特别工作组,2017.
[2]McKinsey&Company.Bigdata:
Thenextfrontierforin-novation,competition,andproductivity[EB/OL].[2017-06-12].https:
//bigdatawg.nist.gov/pdf/MGI_big_data_full_re-port.pdf.
[3]ChenYanli,SongLingling,YangGeng.Attribute-basedac—cesscontrolformulti—authoritysystemswithconstantsizeciphertextincloudcomputing[J].ChinaCommunications,2016,13
(2):
146-162.
[4]LiShundong,DouJiawei,WangDaoshun.Surveyonhomo—morphicencryptionanditsapplicationstocloudsecurity[J].JournalofComputerResearchandDevelopment,2015,52(6):
1378—1388.[李顺东,窦家维,王道顺.同态加密算法及其在云安全中的应用[J].计算机研究与发展,2015,52(6):
1378—1388.]
[5]LiuWenyi,UluagacAS,BeyahR.MACA:
Aprivacy-preservingmulti-factorcloudauthenticationsystemutilizingbigdata[C]//Proceedingsofthe2014IEEEConferenceonComputerCommunicationsWorkshops(INFOCOMWK-SHPS).Toronto:
IEEE,2014:
518-523.
[6]LuoJun,WangHongjun,GongXun,eta1.Anovelrole-basedaccesscontrolmodelincloudenvironments[J].InternationalJournalofComputationalIntelligenceSystems,2016,9
(1):
1-9.
[7]WeiKaimin,WengJian,RenKui.Datasecurityandprotectiontechniquesinbigdata:
asurvey[J].ChineseJournalofNetworkandInformationSecurity,2016,2(4):
1-11.[魏凯敏,翁健,任奎.大数据安全保护技术综述[J].网络与信息安全学报,2016,2(4):
1-11.]
[8]ChenXingshu,ZengXuemei,WangWenxian,eta1.Bigdataanalyticsfornetworksecurityandintelligence[J].AdvancedEngineeringSciences,2017,49(3):
1-12.[陈兴蜀,曾雪梅,王文贤,等.基于大数据的网络安全与情报分析[J].工程科学与技术,2017,49(3):
1-12.]
[9]ChenXingshu,YangLu,LuonYonggang.Bigdatasecuritytechnology[J].AdvancedEngineeringSciences,2017,49(5):
1-12.[陈兴蜀,杨露,罗永刚.大数据安全保护技术[J].工程科学与技术,2017,49(5):
1-12.]
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 安全 保护 技术 综述