民航旅客隐私数据动态分级脱敏处理方法

doi:10.3969/j.issn.1003-3114.2023.02.019
引用格式:马龙,薛晨蕾,张乐.民航旅客隐私数据动态分级脱敏处理方法[J].无线电通信技术,2023,49(2):338-344.
[MA Long,XUE Chenlei,ZHANG Le.Dynamic Hierarchical Desensitization Method of Civil Aviation Passenger Privacy Data [J].Radio Communications Technology,2023,49(2):338-344.]
民航旅客隐私数据动态分级脱敏处理方法
马㊀龙,薛晨蕾,张㊀乐
(西安航空学院民航学院,陕西西安710077)
摘㊀要:针对民航旅客个人隐私数据使用前脱敏时间长与复现应用差的问题,首先,根据网络信息安全技术,剖析了民航旅客隐私数据脱敏情景和动态角色分级控制问题,分别构建了动态角色分级控制模型和新型保留格式的隐私数据加密模型,实现了民航旅客隐私数据访问控制与加密处理的抽象化;其次,利用混合格式加密方法,提出了民航旅客隐私数据动态分级脱敏处理算法,解决了动态角色访问控制的分级脱敏处理问题;最后,通过10000条民航旅客的隐私数据验证了民航旅客隐私数据动态分级脱敏处理算法的性能,并将基本保留格式加密方法㊁混合格式加密方法和动态角色分级加密方法进行比较㊂结果表明,利用逆推变形关联剔除方法产生的重复率约为17%,这易于推导出原始敏感数据,而利用混合格式加密方法的重复率为20%,说明在逆推变形关联剔除方法的基础上进一步加密处理后的脱敏效果较好,强化了旅客隐私数据的深度保密性,且处理旅客敏感数据的时间较少,该算法具有较高的安全性和可靠性
㊂
关键词:民航旅客;隐私数据;分级控制;动态脱敏
中图分类号:TN92㊀㊀㊀文献标志码:A㊀㊀㊀开放科学(资源服务)标识码(OSID):
文章编号:1003-3114(2023)02-0338-07
收稿日期:2022-12-30
基金项目:陕西省科技厅软科学计划项目(2021KRM154);陕西省教育科学 十四五 规划项目(SGH21Y0251);西安航空学院校级自然科学专项基金(205012016);西安航空学院校级高等教育研究项目(2021GJ1006)
Foundation Item :Soft Science Research Project of Science and Technology Department of Shaanxi Province (2021KRM154);Shaanxi Education Science
Fourteenth Five Year Plan Project (SGH21Y0251);Natural Science Special Fund Project of Xi an Aeronautics Institute (205012016);Higher Educa-tion Research Project of Xi an Aeronautics Institute (2021GJ1006)
Dynamic Hierarchical Desensitization Method of Civil Aviation
Passenger Privacy Data
MA Long,XUE Chenlei,ZHANG Le
(School of Civil Aviation,Xi a n Aeronautical Institute,Xi a n 710077,China)
Abstract :The problem of was caused by long desensitization time before used and poor reproduction of civil aviation passenger s personal privacy data.A solution was proposed.Firstly,the desensitization scenario of civil aviation passenger privacy data and the dynamic role hierarchical control problems were analyzed,depending on network information security technology.A dynamic role hierar-chical control model and the new reserved format privacy data encryption model was constructed respectively,for realizing the abstrac-tion of civil aviation passenger privacy data access control and encryption processing.Secondly,a dynamic hierarchical desensitization algorithm for civil aviation passenger privacy data was proposed using a hybrid format encryption method.And the hierarchical desensi-tization problem of dynamic role access control was solved.Finally,the performance of the dynamic hierarchical desensitization algorithm for civil aviation passenger privacy data was verified by privacy data of 10000civil aviation passengers.The basic reserved format en-cryption method,the mixed format encryption method and the dynamic role hierarchical encryption method were compared.Results showed that the repetition rate generated by the inverse deformation association elimination method was about 17%,the original sensitive data was still derived.The repetition rate of the mixed format encryption method was about 20%,which showed that the desensitization effect after further encryption processing based on the inverse deformation association elimination method was better.Also the depth con-fidentiality of passenger privacy data was strengthened,and the time to process passenger sensitive data was less.The algorithm has high security and reliability.
Keywords :civil aviation passenger;privacy data;hierarchical control;dynamic desensitization
0㊀引言
民航旅客隐私数据是为旅客订座业务和货运业
务需求提供的重要数据源,这些数据在企业应用系
统之间频繁传输,由此会造成旅客隐私泄漏问题,势
必使隐私敏感数据脱敏处理成为关键技术㊂目前,
关于隐私数据脱敏处理方法的研究较多,例如,学者
顾兆军等主要以敏感字段消除和关联处理为主,提
出保留格式加密的数据关联模型,解决数据泄漏风
险和实用问题[1];丁建立针对企业内部人员恶意或无意泄漏旅客隐私信息的问题,利用泛化加密方法,
保障旅客信息安全[2];寇蒋恒在分析了民航信息系统数据库中的关键数据上,对敏感字段进行脱敏处理[3];然而这些研究成果无法反映企业人员角色动态变化要求和旅客隐私数据应用意图的辨识,由此众多研究成果以访问控制作为有效方法来解决隐私数据保护[4-8],但这些研究措施会使隐私数据共享应用和按需访问不足的问题㊂因此,如何将企业人员角色访问控制分级处理方法与混合格式加密方法进行协同应用,设计敏感数据脱敏情景下的隐私数据处理的深度研究成果较少㊂
基于此,通过提出符合企业环境动态变化和旅
客隐私数据使用意图辨识的加密处理方法,为解决民航旅客隐私数据供需双方透明化使用和高效处理
敏感数据脱敏提供实用的参考和推广作用㊂
1㊀提出问题
1.1㊀脱敏数据的情景
民航旅客个人隐私敏感数据构成结构复杂,且
个人隐私信息在订座和货运等多种业务系统中频繁
传输和复现应用,这样不可避免会出现旅客隐私数
据的传输泄漏和复现使用困难问题,造成旅客隐私
数据脱敏处理环境发生着显著变化,隐私数据脱敏
方法和脱敏效果不理想㊂通常,民航旅客的隐私信
息属性因业务需求而发生着不同的变化,但主要包
括姓名㊁身份证号码㊁电话号码㊁订座信息和航班舱
位信息等,特别是参考‘信息安全技术个人信息安
全规范“GB/T35273-2020[9],个人隐私数据主要以相对敏感和不敏感的数据构成,其中,敏感的数据主
要包括了旅客的姓名信息㊁身份证号码信息㊁电话号
码㊁支付信息等,并将这些旅客隐私敏感数据作为脱
敏处理的原始数据,其他信息按照特性差异的不同
规则进行分级处理,如表1所示㊂
根据表1的产生规则可以看出,不同类型的隐
私数据的处理规则是不同的,这些隐私数据会衍生
出其他隐私数据的子属性,由此必须采用不同的保
留格式加密算法,见表2所示㊂
表1㊀隐私敏感数据的产生规则
Tab.1㊀Generated rule of privacy sensitive data
敏感属性名称含义产生规则数据类型Passenger Name姓名姓+名Varchar(30) Passenger ID身份证号地址码(6)+出生日期(8)+顺序码(3)+校验码(1)Varchar(18) Telephone number电话号码网络识别号(3)+地区编号(4)+用户号码(4)Varchar(11) Payment method支付方式网银/微信/支付宝+账号+密码Varchar(19) Frequent Traveler Card No.常旅客卡号2位字母+9/12位数字Varchar(14) Ticket No.客票号3位机场代码+10位票号Varchar(13) Flight Number航班号航空公司两字代码+4位数字Varchar(30)
表2㊀隐私敏感数据的子属性脱敏算法Tab.2㊀Sub-attribute desensitization algorithm for private sensitive data
属性脱敏处理子属性相关脱敏算法姓名全部脱敏FF3
身份证号出生日期字段的第11~14位IFX
电话号码地区编号子属性FF1
支付方式银行卡账号的第7~15位FF1
航班号全部脱敏FF3
出发机场全部脱敏FF3
到达机场全部脱敏FF31.2㊀动态访问控制问题
传统民航企业对旅客的隐私敏感数据的访问控制存在泛化制约问题,导致旅客的敏感数据访问受限或使用困难,主要表现为三方面:
①未考虑业务人员的权限变化与业务需求数据的实时匹配问题,导致旅客隐私敏感数据的访问受限和应用难度增加;
②未考虑旅客隐私数据分级分类访问控制方法,导致隐私敏感数据访问控制僵化处理;
③未考虑隐私敏感数据提供者的授权选择,导致旅客无法确定个人隐私敏感数据的真实用途
㊂
2㊀民航旅客隐私数据的脱敏模型
2.1㊀多重角色访问控制模型2.1.1分级访问控制模型理论
为了从动态环境变化角度对民航旅客隐私敏感数据进行按需访问和变更权限问题,文献[10]研究了基于时间特性的角色访问控制模型,解决了网络
用户的动态访问管理问题㊂由此,根据访问角色的分级控制策略,文中以企业业务人员访问权限动态变化来制定的隐私保护策略为主,利用授权控制服务器控制访问角色的权限等级和需求数据保护级别,按照访问请求者的权限等级给予隐私敏感数据量的控制㊂隐私数据授权访问控制,如图1所示
㊂
图1㊀隐私数据交互式访问模型
Fig.1㊀Interactive access model for private data
2.1.2访问角色动态分级处理模型
根据访问控制交互控制过程,提出民航旅客隐私敏感数据访问角色动态分级处理模型,完成旅客
隐私数据访问请求㊁访问角色识别㊁访问控制策略实施和访问信息授权决策应用的全过程交互式实施管理㊂如图2所示
㊂
图2㊀民航旅客隐私数据访问角色动态分级处理模型
Fig.2㊀Dynamic hierarchical processed control model of privacy data for civil aviation passenger for access role
㊀㊀①服务器端:民航旅客隐私数据处理服务器端是由授权㊁访问控制和数据库系统构成㊂按照授权等级分类访问常规信息数据库和隐私信息数据库,并根据业务人员环境变化动态变更访问级别,并向旅客端发起二次访问请求㊂
②旅客端:民航旅客隐私数据主要源于旅客个人信息,而这些信息包含了常规信息和隐私信息,该端口主要为旅客提供友好的界面,便于旅客有选择地提供个人信息,同时,利用企业人员访问级别控制策略,通过服务器端向旅客发起二次访问请求,向旅客个人信息访问提供接口变换,动态访问不同需求条件下的旅客隐私数据㊂
2.2㊀民航旅客隐私数据逆推变形关联剔除加密
模型
㊀㊀为了在民航企业旅客服务系统中能够正常应用旅客的隐私敏感数据,提出了民航旅客隐私数据逆推变形关联剔除加密模型,如图3所示㊂该模型在旅客隐私数据明文中增加关联属性剔除模块,对原始数据进行编码处理,形成整数型编码,对整数编码进行保留格式加密后,经过逆推变形处理后,解码处理形成旅客隐私数据的密文格式,建立旅客隐私数据的明文数据与加密数据的一对一关系,利用密钥复现原始属性信息,便于航空公司业务系统使用旅客隐私数据开展订座㊁值机和货运等销售业务㊂
关
于模型中涉及的基本理论可参考文献[1-
2,11]㊂
图3㊀逆推变形关联剔除加密模型
Fig.3㊀Encryption model of inverse deformation
association rejection
根据图3的加密模型原理,主要是将民航旅客原始隐私数据中可能关联推断出隐私数据的关键属性进行剔除和遮掩操作,形成一种模糊的整数编码字符串,例如,一位民航旅客的身份证号码为passengerID ,经过逆推变形关联剔除加密后的身份证号码passengerIDᶄ,则参考表1定义的规则为r ,
r :passengerID ɪ610118∗∗∗∗∗∗∗∗210∗,610118∗∗∗∗∗∗∗∗2102éëêêùû
úú⇒passengerIDᶄ=610118∗∗∗∗∗∗∗∗2102㊂可以发现逆推变形关联剔除加密后的旅客身份证号码的中间部分完全模糊,无法真正辨识该身份证号码的全部内容,进而保护了民航旅客的重要隐私数据,而且通过该身份证号码的首尾部分数据,利用密钥可以快速复现身份证号码的原始信息,实现旅客隐私数据的实用性和高保真度㊂
综合考虑表1的隐私敏感数据的产生规则,对旅客隐私数据的不同属性的加密过程如下[11]:
①旅客姓名属性:旅客姓名是最为明显的信息,且会存在重名现象,在旅客服务系统中应用意义较小,需求全部脱敏处理;
②身份证号码:对身份证号码中的前6位地区码保留,中间8位信息全部脱敏处理,后面3位顺序码全脱敏处理,最后1位校验码是从8~17位码推算处理;
③旅客电话号码:对前3位电话运营商的网络识别号全部进行保留处理,对中间4~11位的各个地区号和用户个人编号进行保留格式加密处理;
④支付方式:对前6位的支付方式进行保留处理,对7~11位的银行卡账号进行全脱敏处理,并推算出最后1位的校验位;
⑤航班号:对前2位由航空公司二字代码构成的编码保留处理,对中间2位构成的各地区管理局编码和航班终点站管理局编码实施全保留处理,利用逆推变形关联法,可以推导计算出最后1位的去
回程编码,并可得知航班的出发和到达机场位置㊂
3㊀民航旅客隐私数据的脱敏算法
根据第2节民航旅客隐私数据的脱敏分级处理理论和逆推变形关联剔除加密模型以及不同属性的加密过程,选取符合民航旅客个人隐私信息的脱敏
算法,于是根据Dworkin 在2016年提出的具有代表性的单一保留格式加密(Format Preserving Encryp-tion,FPE)算法[12],即FF1和FF3,与Long 在2019年提出了混合格式的加密模型[13],这3种算法均使用了Feistel 网络结构[14],为此,考虑到FPE 和IPX 算法原理的相似性,提出适合单一格式和变长格式的混合保留格式加密算法,具体步骤如下[11]:步骤1㊀参数初始化[11],确定待加密隐私数据中全部属性X 的长度n ;给定变长属性信息的调整因子T ,定义轮值函数F K (n ,T ,i ,B )㊂
步骤2㊀隐私数据中的部分属性加密[11];通过
编码映射和关联剔除关系,将待加密的旅客隐私属性信息X 的转换到整数域中对应的数字m 1,获得逆推变形的Xᶄ,计算整数保留格式数据Y =⌊Xᶄ/2」,将Xᶄ分为左右两部分元组,计算L =Xᶄ[1,2, ,Y ]和R =Xᶄ[Y +1,Y +2, ,n ],将L 和R 作为Feistel 网络的输入值,经过20轮的计算,逆推变形后的Lᶄ和Rᶄ,获得旅客隐私信息密文Z =Lᶄ Rᶄ㊂
步骤3㊀旅客隐私属性信息解密[11];根据输入的密文Z ,获得旅客隐私信息的明文结果㊂
4㊀实验计算与结果分析
4.1㊀实验环境
为了验证在民航旅客隐私数据脱敏情景下的角色分级控制模型和混合格式隐私数据加密方法,必备的实验环境为[11]:Windows10企业版操纵系统,处理为Inter (R )Core (TM )i7-3520M CPU @
2.90GHz,内存32GB㊂软件环境为:仿真软件为Matlab2018Ra,数据库系统为SQLite,使用classpath.
txt 文件,实现Matlab 软件与数据库接口的连接㊂
4.2㊀数据来源
为了验证民航旅客隐私数据脱敏方法的处理效果,同时,综合考虑角色分级控制策略的影响,以旅客姓名㊁身份证号码㊁电话号码㊁支付方式㊁航班号等10000条实验数据,并涵盖了民航企业旅客服务系
统所需的5种敏感属性数据,经过加密处理结果如表3所示
㊂
表3㊀民航旅客信息数据(以#号隐去部分数据)
Tab.3㊀Information data of civil aviation passenger(part of data is hidden with#)
序号姓名身份证号电话号码支付方式常旅客卡号航班号1罗##4206011948########138######85622577#########1689CA27#######49CZ5221 2曲##5126531931########186######52622188#########7090CA27#######20ZH2487 3王##5120651931########139######69622188#########5200CA33#######34FZ5208 4李##5223211948########138######25622126#########1883CA33#######23FM9620︙︙︙︙︙︙︙10000程##5201021942########131######79622577#########1883CA27#######81CZ5605
4.3㊀仿真应用结果分析
4.3.1仿真结果分析
1)单一格式保留加密处理结果
利用数据库系统中的SQLite技术,运用结构化查询语言,对表5的基本数据进行查询,采用的基本查询语句是:Select旅客姓名㊁身份证号码㊁电话号码㊁支付方式㊁航班号from表3,运用逆推变形关联剔除加密算法对民航旅客隐私数据进行加密,结果如表4所示㊂
表4㊀基本保留格式加密处理结果
Tab.4㊀Encryption processing results of basic reserved format
序号姓名身份证号电话号码支付方式常旅客卡号航班号1龒蹏敳420601194802287195138****91856225770921348421689CA273510856949CZ0996 2綦絲窳512653193106095323186****12526221885624678337090CA277688340220ZH3806 3甕辭篳512065193106497202139****30696221888755649635200CA335725659834FZ6731 4纞蝡螷522321194802179201138****89256221266532768551883CA337045328823FM4438︙︙︙︙︙︙︙10000膥戅5201021942052365817131****43796225770921664501883CA277815448681CZ7407
㊀㊀由表4的处理结果可知,利用Dworkin提出的FF1和FF3单一格式加密算法,虽然对民航旅客隐私敏感数据处理后依旧保留原始数据中关键的信息,但是身份证号码中1~4位的出生年月还是完全相同,这是因为利用保留格式加密算法处理的旅客隐私数据明文与密文存在一对一联系,访问者获得旅客身份证号码后,在网络传输过程中攻击者可以逆推出完整的旅客隐私数据㊂
2)混合格式加密处理结果
为了弥补单一格式加密处理后的数据泄露问题,对旅客隐私数据进行分级加密处理,如表5所示㊂
表5㊀出生年月元组脱敏处理结果
Tab.5㊀Results of desensitization for tuple of birth
序号身份证号基本保留格式加密数据逆推变形关联剔除数据混合格式加密数据14206011948########4206011948022871954206011849####519742060118490228####
25126531931########5126531931060953235126531319####353251265313190609#### 35120651931########5120651931064972025120651139####702751206511390649#### 45223211948########5223211948021792015223211849####190252232118490217####︙︙︙︙︙100005201021942########52010219420523658175201021249####718552010212490523####
㊀㊀从表5中1~4条的处理结果可以看出,旅客隐私数据中出生年份为 1948 和 1931 ,经过逆推变形后转变为 1849 和 1139 ,但是利用变长格式加密后,身份证号码最后4位成为密文信息,避免逆推后无法复现原始数据泄露的风险,提高了旅客隐私明文数据的保护效果
㊂
4.3.2隐私数据脱敏重复率效果分析
为了客观判断逆推变形关联剔除加密模型和变长格式的混合保留格式加密算法的量化应用效果,
以 1931 年为例,分别从1000㊁3000㊁5000和10000条元组中,选取身份证号码中的7~19位属
性
[11]
,利用文献[4]中计算脱敏重复率方法,比较
了3种隐私数据脱敏方法的应用效果,如图4所示
㊂
图4㊀民航旅客敏感属性脱敏重复率效果
Fig.4㊀Effect of desensitization repetition rate of sensitive
attributes of civil aviation passengers
从图4的收敛曲线可知,使用3种加密方法分别对出生年份 1931 的重复率进行量化处理后,第1种方法加密后的重复率较低,无法很好地建立旅客隐私明文数据与密文数据的逻辑关系,而利用后2种方法加密后的重复率较高,保证利用密钥可以解密出隐私明文数据的真实内容,增强了隐私数据的复现应用效果
㊂
图5㊀民航旅客敏感数据处理时间比较
Fig.5㊀Comparison of sensitive data processing time of
civil aviation passengers
从图5的收敛曲线可以发现,民航企业业务人员访问旅客隐私敏感数据量的增加与3种加密方法处理后的时间增加同时出现显著的递增关系,这是因为采用角色访问控制分级处理方法和混合格式加密算法后,业务需求访问请求和服务器处理时间都在增加,且隐私数据格式加密和解密处理时间增加,说明提出的分级访问控制和脱敏处理方法有着明显的实用价值㊂
5　结束语
民航旅客隐私数据的使用需要综合考虑应用需求㊁访问权限和复现重用的要求,经过角色访问控制分级处理方法和混合格式加密算法的系统性分析,并使用大量的实验数据进行仿真验证,为民航企业服务之需的旅客隐私数据脱敏处理提供理论方法和实用技术,但该方法还是会随着隐私数据访问量的增加而呈现明显的线性增长趋势,且隐私数据复现
后的语义会发生变化,为了进一步解决上述方法的不足,还需要从多重语义分析和规则密钥方面展开深入研究,为民航企业应用系统的研发提供理论方向㊂
参考文献
[1]㊀顾兆军,蔡畅,王明.基于改进保留格式加密的民航旅客数据脱敏方法[J].信息网络安全,2021,21(5):
39-47.[2]㊀丁建立,陈盼.基于泛化FPE 加密的民航旅客信息动态脱敏方法研究[J].信息网络安全,2021,21(2):
45-52.
[3]㊀寇蒋恒,何明星,陈爱良,等.民用机场航班信息系统数据脱敏[J].西华大学学报(自然科学版),2019,
38(6):49-56.
[4]㊀徐菲,何泾沙,徐晶,等.保护用户隐私的访问控制模
型[J].北京工业大学学报,2012,38(3):406-409.
[5]㊀ALLEN A L.Allen s Privacy Law and Society [M ].Eagan:Thomson West Publishers,2007.
[6]㊀WILLIAMS M D.Privacy Management,the Law and Glo-bal Business Strategies:A Case for Privacy Driven Design
[C]ʊProceedings of 2009International Conference on
Computational Science and Engineerin,AI Magazine CSE
2009.Vancouver:IEEE Computer Society Press,2009:60-67.
[7]㊀霍成义.面向数据提供者的隐私保护访问控制模型
[J].无线电工程,2014,44(2):5-
8.
[8]㊀HUNG P C K.Towards a Privacy Access Control Model
for e-Healthcare Services[C]ʊThird Annual Conference
on Privacy,Security and Trust.New Brunswick:DBLP,
2005:12-14.
[9]㊀全国信息安全标准化技术委员会.信息安全技术个人
信息安全规范:GB/T35273-202[S].北京:中国标准
出版社,2020.
[10]黄建,卿斯汉,温红子.带时间特性的角色访问控制
[J].软件学报,2003(11):1944-1954. [11]马龙,张兴,薛晨蕾,等.民航旅客隐私数据自适应分
级控制与动态脱敏方法[J].中国科技信息,2023(2):
117-121.
[12]DWORKIN M.NIST Special Publication800-38G,Rec-
ommendation for Block Cipher Modes of Operation:Meth-
ods for Format-Preserving Encryption[EB/OL].[2022-12-
20].http:ʊ/10.6028/NIST.SP.800-38G. [13]LONG C F,XIAO H.Construction of Big Data Hyper-
chaotic Mixed Encryption Model for Mobile Network Pri-
vacy[C]ʊ2019International Conference on Virtual
Reality and Intelligent Systems(ICVRIS).Jishou:IEEE,
2019:90-93.[14]刘哲理,贾春福,李经纬.保留格式加密模型研究[J].
通信学报,2011,32(6):184-190.
作者简介
:
㊀㊀马㊀龙㊀西安航空学院副教授㊂主要
研究方向:隐私信息安全㊁网络信息安全㊁航
空应急救援物资优化管理等
㊂
㊀㊀薛晨蕾㊀西安航空学院讲师㊂主要研
究方向:隐私信息安全㊁网络信息安全㊁交通
运输规划管理等
㊂
㊀㊀张㊀乐㊀西安航空学院讲师㊂主要研
究方向:民航隐私信息安全㊁民航隐私法规㊁
民航信息系统等
㊂。