云环境下教师学习共同体的隐私保护——基于ORAM与群签名的融合技术
发布时间:2020-03-19
摘要:信息技术为教师学习共同体带来便利的同时,也产生了新的隐私安全问题。为此,文章通过分析云环境下用户的隐私保护内涵和传统的隐私保护技术,针对云环境下教师学习共同体的隐私安全问题,提出了运用ORAM(ObliviousRandomAccessMachine)与群签名的融合技术来保护云环境下教师学习共同体隐私的策略。该策略的提出,既解决了传统加密方案无法防止云端数据访问模式序列泄露的问题,也可有效应对传统云端访问控制无法保护云端数据访问模式序列的挑战。此外,文章提出的ORAM与群签名的融合技术切实保护了云环境下教师学习共同体的隐私,促进了信息时代教师专业的可持续、高质量发展。
关键词:云环境;教师学习共同体;隐私保护;ORAM技术;群签名技术
信息技术为教师专业发展提供了新契机,尤其是基于特定目标或共同兴趣而通过网络建立起来的教师学习共同体,已逐渐成为推动教师专业发展的重要载体[1]。此外,不同社交平台结合云端存储形成的交流和数据共享模式(如QQ群和百度云),也逐渐成为了教师学习共同体非正式学习的主要方式。但信息技术为教师学习共同体带来便利的同时,也为其带来了新的隐私问题——个人真实信息、知识版权以及敏感数据被泄漏[2]。目前,教育领域的网络隐私保护手段主要是法律和技术[3]。虽然保护个人隐私安全已成为当前网络法规建设中的重要任务,但现有法律条文没有体现信息技术与教育的深度融合,无法解决网络环境下具体的教育问题;而且,法律从制定到出台有一定周期,对现实问题的反应具有滞后性[4]。相比而言,技术手段虽然无法完全抵挡所有的侵权行为,但具有很强的针对性,在一定阶段、一定情境下某些技术还能很好地保护用户隐私。为此,本研究聚焦于技术,探究如何在云环境下保护教师学习共同体的隐私问题。
一云环境下用户的隐私保护与传统的隐私保护技术
1云环境下用户的隐私保护内涵
隐私是指“个体私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开”[5]。随着信息技术的不断发展,信息共享和私人活动透明化成为常态,“隐私”一词也有了新的内涵。如王利明认为,隐私是指“公民在网上享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵犯、知悉、搜集、复制、公开和利用的一种人格权;也指禁止在网上泄露某些与个人有关的敏感信息,包括事实、图像以及毁损的意见等”[6]。云环境下用户的隐私信息主要包括标识用户身份的信息、隐私敏感信息、用户偏好数据等,故云环境下用户的隐私保护主要表现为用户不希望自己的隐私信息被别人知晓、利用甚至篡改。
2传统的隐私保护技术分析
随着人们对信息技术支持下的隐私保护需求不断加大,隐私保护技术得以快速发展,并在用户隐私保护、数据内容可信验证、访问控制等方面取得了许多成果。传统的隐私保护技术主要包括:
(1)数据发布匿名保护技术
数据发布匿名保护技术是对结构化数据进行隐私保护的关键技术与基本手段,其中以K匿名技术最为典型。K匿名技术早期的方案[7]及其优化方案[8]通过元组泛化和抑制等数据处理,使每个数据元组至少与K-1个其它元组具有计算不可区分性。在静态的、一次性发布的数据中,K匿名技术能够很好地保护数据的匿名特性。但在现实中,数据发布往往呈现动态的、多次发布的特性。因此,云环境下大数据的多源异构特点使数据匿名保护问题变得更加复杂[9]。
(2)社交网络匿名保护技术
社交网络匿名保护技术是指对社交网络所发布数据中隐藏的用户属性信息、标识信息和用户间关系进行匿名保护的技术。在社交网络中,攻击者试图从已公开的社交网络信息中推测出匿名用户之间的连接关系。而Ying等[10]通过边匿名方案,对社交网络中用户之间的连接关系(即社交图谱中的边)进行增删和随机交换,同时利用矩阵特征值的不变性,有效地保护了社交网络中用户之间的连接关系,并确保了社交网络数据的可用性。
(3)数字水印技术
数字水印技术是指将标识或追责信息嵌入数据载体内部,使他人在无法觉察嵌入信息的情况下予以正常使用的技术。Agrawal等[11]利用数据库中数值型数据的误差容忍范围,在随机选取的非关键信息中嵌入数字水印信息。此外,数据库指纹信息嵌入水印的方法能够识别出信息的所有者与被分发对象,并且能够在分布式环境下对泄密者进行追责[12]。
(4)数据溯源技术
数据溯源技术的本质是对数据的全生命周期演变过程进行记录[13]。以结构化数据为主的数据溯源技术已经比较成熟,能有效进行数据溯源查询,但该技术仍无法满足半结构化和非结构数据的溯源需求。当前,针对半结构化和非结构数据的数据溯源技术的研究对象主要是XML数据、流数据与不确定数据,该技术为拓宽数据溯源的应用场景提供了强有力的技术支撑[14]。
(5)角色挖掘技术角色挖掘技术
是指利用角色与用户之间的映射关系,设置角色关联权限集合,从而实现用户授权、简化权限管理的访问控制技术。为了进一步提高角色挖掘的准确性,Blundo等[15]通过层次化挖掘方法,提出了能够在多项式时间内完成的启发式算法。上述传统的隐私保护技术在理论与实践方面都具有非常重要的意义。然而,随着一种基于云环境场景下用户访问模式序列的新型攻击研究的出现,攻击者(包括云服务提供商和APT攻击者)在获得访问模式序列的情况下,能够推测出用户查询的是哪些关键字、加密类型甚至加密密钥[16];即使在云端数据为密文的情况下,攻击者也能够通过用户的少量背景知识,直接获取用户外包到云端数据的隐私信息。因此,单纯地对数据内容进行加密已无法保障用户的隐私安全,而传统的隐私保护技术也已无法防止通过用户访问模式序列所导致的隐私泄露,因此云环境下教师学习共同体的隐私安全问题亟待解决。
二云环境下教师学习共同体的隐私安全问题
当前,云端存储和基于云环境的社交平台被广泛运用,教师学习共同体普遍采用云盘等分享方式在成员之间进行信息共享,因而面临着新的隐私安全问题。
1传统的加密方案无法防止云端数据的访问模式序列泄露
传统的云计算隐私安全保护主要集中在基础设施层、传输层和应用层。然而,近年来,基于用户云端数据之访问模式的新型网络隐私攻击方式直接向云端用户数据的隐私安全提出了巨大挑战。教师学习共同体的一个显著特征是基于共同愿景,通过共享知识和交互对话,达到解决问题和重构知识的目标[17]。在云环境下,教师学习共同体可以充分进行沟通交流和信息分享,但与此同时,教师作为用户,其云端数据的访问模式序列也会受到威胁,主要原因在于:
①传统的加密和隐私保护方式无法防止云服务提供商对教师数据的访问模式序列进行窥探。云服务提供商虽然无法通过教师密文探知数据的明文内容,但由于教师常常对相同数据块采用相同的加密密钥,故可以通过监控教师来发现教师每次访问的数据是否属于同一数据。通过长期监控,云服务提供商可以获得教师在不同时期的大量访问模式序列——以该访问模式序列数据作为数据样本,云服务提供商便可轻易探寻不同教师之间是否有相似喜好。当知晓教师的部分背景知识后,通过深度学习的方法,云服务提供商甚至可以寻找出访问模式序列与数据内容之间的映射关系,并直接获取教师的个人信息或知识,故严重威胁了教师的隐私安全。
②由于云服务提供商具有半可信(HonestButCurious)的特性,而且当前云环境下教师学习共同体基本都采用明文共享数据,故攻击者能够轻易获取各个教师共享数据的访问模式序列。传统加密方法可以对云环境下教师学习共同体的共享数据进行加密以保证数据的机密性,却无法抵御云服务提供商通过教师的访问模式序列窃取教师隐私的风险。保护用户在云环境下的访问模式序列,对于防止Cache攻击、安全计算、云存储系统、安全多方计算等领域的安全性保障至关重要。无论是来自外部用户的恶意攻击,还是来自云端本身的隐私窃取,都威胁着教师学习共同体的隐私安全,并极大程度地影响了云环境下教师学习共同体的推广。
2传统云端访问控制无法保护云端数据的访问模式序列
传统的云端访问控制研究包括细粒度的访问控制、性能的提高、用户撤销、数据完整性保护等。而在云环境下,教师学习共同体是一个学习型组织,通常包含学习者、助学者和信息流三个构成要素[18]。在学习共同体的运行过程中,不同教师还存在意见领袖、呼应者、共享者、浏览者和旁观者等角色差异[19]。从技术层面来说,教师学习共同体的不同角色对于不同数据具有不同的访问权限,这使得云环境下的教师学习共同体数据访问控制与传统的云端访问控制存在不同。在这种情况下,如果直接将传统的访问控制应用于云环境下的教师学习共同体场景中,使用户权限与数据权限形成一一对应的关系,那么云端和攻击者便能够获取教师学习共同体中不同角色云端数据的真实访问模式序列。因此,传统云端用户访问控制方案无法直接作为云环境下教师学习共同体数据访问控制的隐私保护手段。考虑到访问模式序列的安全性,云环境下的教师学习共同体数据访问控制必须新增不同角色用户对云端数据的访问模式序列保护需求。换而言之,在云端教师学习共同体访问控制环境下,云端数据的访问模式序列需要具有计算不可区分性特点(即任意等长请求序列的访问模式序列在云端或攻击者的视角下,符合计算不可区分性的定义要求),才能确保用户云端数据的真实访问模式序列不被窃取。
综上可知,云环境下教师学习共同体的隐私保护出现了新矛盾、新问题,需应用新技术加以解决。为此,本研究拟采用ORAM与群签名相融合的技术,一方面在云环境下对云端数据的访问模式序列进行保护,另一方面保证云端教师学习共同体访问控制环境下的数据访问模式序列在云端和攻击者视角下具有计算不可区分性特点,并利用概率加密机制保证数据的机密性。
三云环境下教师学习共同体的隐私保护策略
1ORAM技术
ORAM(ObliviousRandomAccessMachine)技术是指用户通过运行ORAM中的协议,向云端发起数据访问请求,每次访问请求会从云端一次性获取多个数据块,且包含一次读与写的过程,使云端和攻击者无法根据用户的访问请求获取云端数据之真实访问模式序列的技术。换而言之,运用ORAM技术,云端和攻击者便会无法知晓如下信息:哪些数据是用户真实需要访问的?当前访问的数据距上次访问时间有多长?此次访问的数据是否与上次访问的数据相同?当前访问属于读操作还是写操作?
任意两次相同长度的用户访问请求序列之间均具有计算不可区分性。计算不可区分性的具体数学形式化定义如下:令:=((opM,aM,dataM),…,(op1,a1,data1))为客户端需要向服务端发出的一段长为M的真实访问请求序列,其中opi代表读操作或写操作,ai代表读取或写入数据datai的标识;再令A()为经过ORAM技术处理之后的访问请求序列,且云端只能接受A()的请求序列。对于任意两个真实请求序列和,其对应的A()和A()之间具有计算不可区分性。
2群签名技术
群签名技术作为特殊的数字签名技术,不仅保护了数据的完整性,还具有匿名性和可追踪性的特点。每个群都由群管理员和若干成员构成,群管理员生成每位群成员的私钥与群公钥,并颁发对应的签名私钥给群成员。每个群成员可以生成任意的消息签名,群内其他成员可以通过群公钥验证签名的有效性。群签名技术不仅提供了匿名性的保护,而且在必要情况下可以利用私钥对签名者的身份进行追踪。
3运用ORAM与群签名的融合技术保护隐私
为了应对云环境下教师学习共同体的隐私安全新挑战,本研究提出了运用ORAM与群签名的融合技术来保护云环境下教师学习共同体隐私的策略:首先,云端数据的访问模式序列通过ORAM协议进行保护;其次,引入群签名技术,进一步设计符合ORAM协议要求的数据结构,以解决传统云端访问控制无法保护云端数据访问模式序列的问题,从而为云环境下教师学习共同体的隐私保护提供强有力的技术支持。
(1)云环境下基于ORAM的概率加密策略
云环境作为教师学习共同体的媒介,每个用户与云端的交互方式均遵循最新ORAM方案的交互协议。云端无法根据用户的访问请求推测出用户真实的云端数据访问模式序列,因为当用户通过云端获取教师学习共同体中通过云端分享的内容时,所有内容在云端均采用概率加密方式进行保护。概率加密指的是每次加密密钥相同,但每次加密过程的随机数不同,故相同的明文每次产生的密文不同。也就是说,对应的数据在用户请求之后,数据会重新进行加密,且该密文与之前的密文完全不同,而密钥只有对应的用户才拥有,云端无法分辨出此处读取的数据与之前读取的数据是否相同。云环境下基于ORAM协议的教师学习共同体既保护了数据的机密性,也能够有效确保教师学习共同体的访问模式序列不被泄露。
(2)基于ORAM与群签名融合技术的云端访问控制
为了满足云端访问控制环境下教师学习共同体访问模式序列具有计算不可区分性的需求,本研究根据ORAM协议中概率加密的特殊性及其安全性要求,对ORAM的结构进行改造,将群签名技术与ORAM技术相结合,设计了云环境下教师学习共同体数据访问控制的数据结构(如图1所示),以实现对云环境下教师学习共同体的访问控制。
在云环境下教师学习共同体数据访问控制的数据结构中,云端所有数据均以树型结构进行逻辑组织,树中每个节点都为桶结构,且每个桶均由若干个数据块和一个群签名组成,而每个数据块都为(ID,BEssk,BEdata,σ,SPK)五元组。其中,ID是Block的唯一标识,BEssk是对数字签名的私钥广播加密的密文,BEdata是对数据块中底层数据广播加密的密文,σ是对ID、BEssk和BEdata的数字签名,SPK则是群公钥。对某一个数据块具有读或写权限的用户,均拥有BEdata所对应的广播加密私钥,该私钥可以被用来获取目标数据块的明文内容——但是,只有对目标数据块具有写权限的用户才拥有BEssk广播加密密文所对应的私钥,利用该私钥才能得到用于数字签名的私钥,从而对数据进行数字签名;而对目标数据块只具有读权限的用户因为无法获取数据签名私钥,故无法篡改该数字签名。利用概率加密机制,可以对每个数据块分别进行加密,并将多个数据块的密文保存到桶结构中,然后对整个桶的数据使用群签名,并将群签名结果追加到桶数据的末尾。由于在ORAM机制中桶的大小是固定的,因此可以很容易知晓群签名的偏移位置。换而言之,每个桶实际上是由Z个数据块和一个群签名组成,其中Z是系统自定义的参数,Z一般为大于3的自然数。
当某位教师期望加入某个云环境下教师学习共同体的会话以获取想要的数据时,首先需要这位教师向云环境下教师学习共同体的数据创建者发出访问请求,再由该数据创建者向这位教师分发非对称加密的公私钥对、广播加密的公私钥对和群签名私钥,然后根据ORAM协议获取特定的数据块密文,并利用其密钥对密文进行解密,最后根据ORAM协议将数据写回云端。而当云环境下教师学习共同体中的某位成员想要通过云端分享数据时,首先需要该成员根据用户访问权限确定广播加密输入的集合,然后利用概率加密机制加密数据,并加上自己的数字签名,最后利用概率加密机制对数据进行加密并进行群签名,并通过ORAM协议的方式写回云端。在云环境下教师学习共同体数据访问控制中,其他成员对数据的访问权限由数据拥有者(即首次上传者)进行分配,且其他成员无法对权限之外的数据进行解密和篡改。对于权限之内数据进行恶意篡改的成员,将会被群签名机制中的追责机制查出并追究相关责任。所有的云端数据交互均符合ORAM协议的要求,用户的任意等长访问模式序列对于云端或攻击者而言具有计算不可区分性特点。而基于群签名机制的访问控制通过本研究设计的数据结构,与ORAM协议完美地结合起来,使得云环境下教师学习共同体访问模式序列在云端视角或攻击者视角下同样具有计算不可区分性特点,进而有效地应对云环境下教师学习共同体数据访问控制的挑战。
四总结
云环境下的教师学习共同体已逐渐成为未来教师学习的重要形态,但目前存在的隐私安全问题会严重阻碍信息技术促进教师专业发展的进程。为此,本研究从技术层面剖析了现有云环境下教师学习共同体面临的隐私安全问题,并针对已有隐私保护技术的不足之处,运用ORAM与群签名的融合技术,提出了具体的保护策略。但需要明确的是,为了更好地保障信息技术对教师专业发展的促进作用,仅仅依靠技术手段是不够的,法律法规的进一步完善和道德规范的约束应作为补充力量继续发挥作用,以共同促进信息时代教师专业的可持续、高质量发展。
相关期刊推荐:《现代教育技术》(月刊)创刊于1991年,由教育部主管,清华大学主办,为中国教育技术协会会刊。本刊刊名由清华大学胡东成教授题字。本刊面向教育理论研究和教学实践探索的诸多领域,尤其关注教育信息化、现代化建设,为教育技术理论研究和实践探索提供学术园地。有投稿需求的作者,可以直接与在线编辑老师咨询。