TWI459785B

TWI459785B - Use of information technologies to hide information database security methods

Info

Publication number: TWI459785B
Application number: TW99115889A
Authority: TW
Original assignee: Chunghwa Telecom Co Ltd
Priority date: 2010-05-19
Filing date: 2010-05-19
Publication date: 2014-11-01
Also published as: TW201143341A

Description

利用資訊隱藏技術之資料庫保密方法

本發明係為關於一種利用資訊隱藏技術之資料庫保密方法，特別是指利用資訊隱藏技術將與個人私密資料庫表格有關聯的資料庫主鍵隱藏於一影像內，以達到保護私密資料的目的。

目前，現有之資料庫保護方法乃是透過密碼學(cryptography)方法，提供資料庫內重要欄位資料加密以達到保護資料的目的，上述透過欄位資料加密以達到資料庫保護之方法有以下缺失：(一)資料運算量大，需對所有的重要欄位資料加密與解密，對於即時性服務要求嚴格的系統有其不便性、(二)資料可利用率低，對於需針對資料內容做統計分析或加值服務服務之業者或國民健康研究之學者而言，加密過之資料有其限制性不易利用。

由此可見，上述習用方式仍有諸多缺失，實非一良善之設計，而亟待加以改良。為克服先前技術之缺失可僅針對各個重要表格之索引主鍵以用戶之非對稱(RSA)公開金鑰(public key)做加密，但加密後之主鍵內容需要額外欄位儲存，如此將有明顯可疑之加密內容外露(visible)，可能招致駭客攻擊，增加安全上之風險。因此如能僅針對各個重要表格之索引主鍵做隱藏保護或者先加密後再隱藏之雙重保護將可克服以上缺失，進而達成一兼具隱私保護與系統服務方便性之系統。

本案發明人鑑於上述習用方式所衍生的各項缺點，乃亟思加以改良創新，並經多年苦心孤詣潛心研究後，終於成功研發完成本件利用資訊隱藏技術之資料庫保密方法。

本發明之目的在於提供一種效率更佳、彈性更好的資料庫保護方法，讓用戶可放心的將個人私密訊息(個人資料、生理量測資訊或健檢資料)儲存於服務提供者之健康照護資料庫，有利於系統服務業者推廣相關服務。

達成上述發明目的之利用資訊隱藏技術之資料庫保密方法，係利用資訊隱藏技術將與個人私密資料庫表格(tables)有關聯的資料庫主鍵(primary keys)隱藏於一影像內，以達到保護私密資料的目的。本發明之方法主要是將可公開資料庫與私密性不擬公開資料分類，分開存放於相對應資料庫表格，所有私密性資料庫表格之索引鍵訊息皆以肉眼不可察覺(invisible)之浮水印型式嵌入於影像內，其中浮水印嵌入於影像之開始位置(x與y軸即列與行之運算值)由密碼(password)或密鑰(private key)隨機產生；以同樣的方式，欲存取私密資料時得先以密碼或密鑰取得影像之開始位置，之後再抽取出浮水印方能索引到相對應資料表。

承上所述，本發明之利用資訊隱藏技術之資料庫保密方法，可具有一或多個下述優點：

(1)　此利用資訊隱藏技術之資料庫保密方法可達成更有效率且彈性更佳的資料庫保密方法。

(2)　此利用資訊隱藏技術之資料庫保密方法可令資料庫即使遭竊取，個人私密資料也不易洩漏。

(3)　此利用資訊隱藏技術之資料庫保密方法可使具資料庫管理權限之管理者也無法得知私密資料之個人所有者身份。

(4)　利用資訊隱藏技術之資料庫保密方法在隱匿個人身份情況下仍可提供健康照護資料予相關單位做管理或學術研究之加值統計分析。

請參閱第1圖所示，係為本發明之利用資訊隱藏技術之資料庫保密方法於健康照護系統架構之實施例示意圖，其係說明本發明於健康照護資料之保密方法之實施方式，主要包括生理量測資料101、健檢資料原始檔102、生理量測中介軟體103、健檢中介軟體104、藍芽或Zigbee 105、通用序列匯流排(USB)或RS232介面106、轉檔模組107、資料庫伺服器108、網頁伺服器109、ADO.NET平台110、網際網路服務111、用戶端瀏覽器或應用程式112與超文字傳輸協定(http)113。本系統之健康照護資料來源分為用戶之每日生理量測資料101(如血壓、血糖、體溫、體脂、血氧等)與年度健檢資料102。生理量測資料101之處理為首先利用執行於PC(Notebook、Gateway或手機)之生理量測中介軟體103透過藍芽或Zigbee105以無線方式或者透過通用序列匯流排(USB)或RS232介面106以有線方式取得用戶之生理量測資料。資料上傳前先以用戶之非對稱(RSA)密鑰(private key)為種子(seed)取得一隨機數，此隨機數其值介於1與m*n(對於m*n大小之影像)，用途為告知系統其主鍵資料擬隱藏於影像之起始位置，以避免熟悉資料隱藏技術者破解主鍵資料之風險以增加安全性。

另外主鍵資料起始位置連同用戶之生理量測資料會先以AES(Advanced Encryption Standard)加密並以RSA簽章(RSA sign)後透過網頁伺服器109提供之網際網路服務111將資料上傳。網際網路服務111接收到資料並核章(RSA verify signature)正確後即解密出主鍵資料起始位置與生理量測各項資料。在第一次資料寫入時系統會先產生主鍵值，再參考主鍵資料起始位置參數將主鍵嵌入至預設影像，第二次之後的資料寫入則是先參考主鍵資料起始位置參數抽取出主鍵，再將生理量測各資料值透過ADO.NET平台110資料庫相關函式儲存至資料庫伺服器108之生理量測資料表。

健檢資料原始檔102為每年度員工健檢醫院提供以EXCEL格式儲存之健檢相關資料，包括員工個人基本資料與所有健檢檢查項目值，其處理為首先利用執行於PC(或Notebook)之健檢中介軟體104透過轉檔模組107以轉檔方式將EXCEL資料轉檔後透過ADO.NET平台110資料庫相關函式儲存至資料庫伺服器108之健檢資料表。由於在轉檔並將資料寫入資料庫時無法事先獲得用戶(員工)之非對稱RSA密鑰(private key)並取得擬隱藏於影像之主鍵資料起始位置，因此系統會先以預設之起始位置來處理每一用戶之資料庫主鍵存放，系統允許用戶在之後以線上更改方式利用其非對稱密鑰為種子產生主鍵資料起始位置告知系統更改主鍵資料於隱藏影像之存放位置。如同生理資料表處理方式，在第一次資料寫入時系統會先產生主鍵值，再參考主鍵資料起始位置參數將主鍵嵌入至預設影像，第二次之後的資料寫入則是先參考主鍵資料起始位置參數抽取出主鍵，再將健檢各資料值透過ADO.NET平台110資料庫相關函式儲存至資料庫伺服器108之健檢資料表。

而在用戶端使用者可使用PC(或手機)瀏覽器或應用程式112透過超文字傳輸協定(http)113至網頁伺服器109查詢其健康資訊或執行相關使用者設定(如修改主鍵資料起始位置值)。

請參閱第2圖所示，係為本發明之利用資訊隱藏技術之資料庫保密方法於健康照護資料庫保密架構之實施例示意圖，主要包括可公開之用戶資料表201、可公開之用戶資料表欄位202、預設相片203、第一主鍵(prime key)204、第二主鍵205、第三主鍵206、私密性用戶資料表207、生理量測資料表208、健檢資料表209、私密性用戶資料表欄位210、生理量測資料表欄位211與健檢資料表欄位212。此實施例用以補充說明在第1圖之架構下的資料庫保密方法，首先將資料庫表格分類為可公開之用戶資料表201與受保護不擬公開之私密性用戶資料表207、生理量測資料表208與健檢資料表209。其中可公開之用戶資料表201內含非私密性之用戶信息資料，主要有使用者ID、姓名與相片(或預設之虛擬相片)等欄位資料202，另外三個資料表則用以存放私密性之用戶信息與健康資料。用以存取三個資料表之主鍵(第一主鍵204,第二主鍵205與第三主鍵206)皆利用資料嵌入方法隱藏於用戶之相片或預設之虛擬相片影像內，分別為藉由第一主鍵204存取私密性用戶資料表207，其資料表內含私密性之用戶信息資料如地址、Email與電話等欄位資料210；藉由第二主鍵205存取生理量測資料表208，其資料表內含血壓、血糖與血氧等欄位資料211；藉由第三主鍵206存取健檢資料表209，其資料表內含胸部X光、肝癌指數與乳癌指數等欄位資料212。除非知道主鍵隱藏位置(需有用戶之非對稱RSA密鑰)並透過資料抽取方法，否則無法得知特定用戶之私密受保護資料，但所有的私密受保護資料仍可供管理或研究使用(因為資料未加密仍為明文)。

請參閱第3圖所示，係為本發明之利用資訊隱藏技術之資料庫保密方法以利用索引值餘數量化(Quantization Index Modulus Modulation)浮水印嵌入方法(簡稱為QIMM)之原始影像與隱藏主鍵後之影像比較圖。QIMM浮水印嵌入與抽取方法請參考先前之專利申請(公告(開)號：200823795，專利名稱：利用二維條碼之幾何不變性數位浮水印方法)，此一利用索引值餘數量化法之浮水印嵌入與抽取方式僅為一可行實施例，也可利用其它常見之複數bits展頻法(Multi-bits Spread spectrum watermarking)或可回復式浮水印法(Reversible watermarking)。另外用於主鍵嵌入之主體(host)不限於影像，也可利用聲音或文字之浮水印方法(Audio watermarking或Text Watermarking)嵌入於聲音(Audio)或文字(Text)等多媒體檔案。用於本實例之測試影像為10張具多種大小(114 x 161至173 x 227)之影像，每張影像嵌入3支主鍵，每支主鍵為128bits長度之SQL資料庫之全域唯一識別碼(Global unique identifier,GUID)，以本實例使用之RGB彩色影像而言，主鍵乃嵌入於Blue channel。主鍵嵌入之起始位置(start_idx)由用戶之RSA密鑰產生，其一實施例為對於m x n大小之影像，start_idx介於1至m x n，由start_idx至start_idx+127存放主鍵1，start_idx+128至start_idx+255存放主鍵2，而由start_idx+256至start_idx+383存放主鍵3，過程中當存放位置超過m x n時則由1循環(circular)放置，而如擬再增加安全性則可改變資料存放位置之每次遞增值(例如每次遞增值為2而非1)，由圖示可知一般人很難從嵌入主鍵後之影像察覺出其與原始影像之差別，因此一般人無法從資料庫本身得知特定用戶之私密信息，進一步保障了資料庫安全。

增進如上所述資料庫保密方法安全性之可行擴充方式為先將主鍵以用戶之RSA公開金鑰做加密後再將加密過之主鍵嵌入影像，如此不僅需先將主鍵抽取出還得再透過用戶之密鑰方能存取到用戶之私密資料，在稍微增加系統複雜度之成本下可進一步達到雙重保護功效。而除了保密用途外，再一額外之認證安全性則可將重要欄位資料以雜湊函數(例如SHA-1)做hash後將雜湊值隱藏於影像內，做為防竄改之認證用途(例如X-ray影像或重要的健檢值)。

本發明所提供之利用資訊隱藏技術之資料庫保密方法之原創與獨特之處，在於利用資訊隱藏技術將與個人私密資料庫表格有關聯的資料庫主鍵隱藏於一影像內，以達到保護私密資料的目的。與其它習用技術相互比較時，由於個人身份與私密資料間無明顯外露之索引鍵，身份與資料分開具備下列優點：

1.　即使資料庫遭竊取，個人私密資料也不易洩漏。

2.　可防止具資料庫管理權限之管理者查閱他人私密資料。

3.　不妨礙資料之查詢與統計，資料非密文，屬於可利用之有用資訊，在無法辨識個人身份情況下仍可方便對資料庫做統計分析，利於個人資料之再加值服務。

上列詳細說明乃針對本發明之一健康照護系統可行實施例進行具體說明，惟該實施例並非用以限制本發明之專利範圍，凡未脫離本發明技藝精神所為之等效實施或變更，均應包含於本案之專利範圍中。

綜上所述，本案不僅於技術思想上確屬創新，並具備習用之傳統方法所不及之上述多項功效，已充分符合新穎性及進步性之法定發明專利要件，爰依法提出申請，懇請　貴局核准本件發明專利申請案，以勵發明，至感德便。

101．．．生理量測資料

102．．．健檢資料原始檔

103．．．生理量測中介軟體

104．．．健檢中介軟體

105．．．藍芽或ZigBee

106．．．通用序列匯流排或RS232介面

107．．．轉檔模組

108．．．資料庫伺服器

109．．．網頁伺服器

110．．．ADO.NET平台

111．．．網際網路服務

112．．．用戶端瀏覽器或應用程式

113．．．超文件傳輸協定

201．．．可公開之用戶資料表

202．．．可公開之用戶資料表欄位

203．．．預設相片

204．．．第一主鍵

205．．．第二主鍵

206．．．第三主鍵

207．．．私密性用戶資料表

208．．．生理量測資料表

209．．．健檢資料表

210．．．私密性用戶資料表欄位

211．．．生理量測資料表欄位

212．．．健檢資料表欄位

圖一　係為本發明之利用資訊隱藏技術之資料庫保密方法於健康照護系統架構之實施例示意圖；

圖二　係為本發明之利用資訊隱藏技術之資料庫保密方法於健康照護資料庫保密架構之實施例示意圖；以及

圖三　係為本發明之利用資訊隱藏技術之資料庫保密方法以利用索引值餘數量化(Quantization Index Modulus Modulation)浮水印嵌入方法之原始影像與隱藏主鍵後之影像比較圖。