訪問時間自調節的終端隱私數據保護方法

梁 辰，蘆效峰

（北京郵電大學 網絡空間安全學院，北京 100876）

訪問時間自調節的終端隱私數據保護方法

梁 辰，蘆效峰

（北京郵電大學 網絡空間安全學院，北京 100876）

人們依賴智能終端獲取網絡服務以滿足生活需求，智能終端也因此獲得了用戶隱私數據的長期使用權，若這些智能設備超出用戶可控范圍，用戶隱私信息也隨之泄漏，因此保證終端獲取的隱私數據的安全尤其重要。針對以上需求，本文提出了一種訪問時間自調節的終端隱私數據保護方法。該方法提供了一種基于滑動時間窗口的細粒度訪問控制方法，應用了基于臨時參數的動態有限授權規則，并使用臨時參數對用戶進行身份認證和訪問控制，采用數據脫敏對敏感數據進行安全保護，可滿足客戶端獲取的數據的安全性，同時滿足了數據的可用性。將本文提出的基于訪問控制、授權時間和數據脫敏的方法與現有的數據保護方法進行了對比，結果表明了本方法的可行性和有效性。

信息安全；訪問時間自調節；數據脫敏；數據隱私；臨時參數

0 前言

用戶數據的商業價值，使數據逐漸形成了一條采集、存儲、售賣、使用的產業鏈。為謀求利益，黑客盜取用戶數據用于售賣或勒索，2017年6月2日，黑客攻擊了立陶宛的一家整形外科醫院，盜取了25000多張隱私照片和隱私信息，并向醫院和個人索要贖金。還有一些內部人員利用職務之便售賣用戶數據以謀求高額利潤。

2017年4月11日，國家互聯網信息辦公室公布了《個人信息和重要數據出境安全評估辦法》。數據本身的重要性及國家對個人信息的重視，導致對個人信息進行保護勢在必行。

目前隱私數據保護重點關注存儲數據安全[1-6]，對于客戶端獲取的隱私數據和行為數據進行保護的研究很少，但其安全性問題不容忽視。目前客戶端獲取的數據存在以下威脅因素：

1、隱私數據的授權訪問時間長期性

如：互聯網電子商務中，用戶首次登錄后再次獲取任何敏感數據均可直接訪問（購物記錄等），若設備超出可控范圍（如設備丟失）則隱私泄露。

2、多層身份驗證，用戶體驗差

如：某些互聯網電子商務，用戶未登錄，需先輸入密碼驗證用戶身份，后發送手機驗證碼驗證設備，導致訪問 80%的時間花費在登錄上，用戶體驗差。

3、采用加密的方式保護數據，安全性差

如：目前主要通過密碼驗證的方式保護隱私數據，若惡意破壞者采用繞過登錄的方式直接請求數據，達不到數據保護的目的。

由此可見，保護客戶端獲取的數據尤為重要。

為解決以上問題，本文提出了一種訪問時間自調節的終端隱私數據保護方法，本方法沿著以下思路進行展開：

1、采用基于滑動時間窗口的細粒度訪問控制方法，解決隱私數據的授權訪問時間長的問題。

2、使用臨時參數對用戶進行身份認證和訪問控制，解決多層身份驗證問題。

3、應用基于臨時參數的動態有限授權規則和身份驗證機制，滿足最小授權原則，保證數據的安全性；

4、采用數據脫敏的方法對敏感數據進行安全保護，脫敏后的數據具有閱讀價值，保證了敏感數據的安全使用。

1 相關工作

隱私保護在金融和醫療等傳統領域中非常重要，在電子商務和社會化網絡中也愈發被人們所關注[1]。隱私保護技術需同時保證數據使用和隱私數據的安全。根據采用技術不同，出現了數據失真[7]、數據加密[6]、限制發布[8]、數據匿名[9-11]等隱私保護技術[2]。

最徹底的保護存儲和共享中的數據的方式是數據加密[3]。加密，需對特殊存儲密鑰，且若不解密數據無法正常使用，不能滿足根據數據進行統計和身份識別的需求，且客戶端獲取的數據需具有閱讀價值，故不能使用加密。

為了使被保護后的數據仍具閱讀價值，眾多學者使用數據脫敏[12-14]的方法在給定規則、策略下對敏感數據進行變換、修改，實現對隱私數據的保護，很大程度上解決了敏感數據在非可信環境中的使用問題[4]。

對客戶端獲取的所有敏感數據進行脫敏，不能滿足用戶需獲取明文敏感數據的需求，所以需進行特殊保護，當滿足一定條件時正常訪問。當前，主要通過加鎖（如加密）實現對文件或數據的保護，輸入密碼后獲得該文件或數據的全部控制權限，降低了對時間敏感的文件或數據的保護力度，授權的針對性較差[5]。文獻[5]通過時間信息對數據加鎖，增強了對時間敏感的數據的保護力度。但是預設的時間不能自動延長，不能滿足時間的靈活可控性；文獻[6]通過數據的連環關聯性對客戶端獲取的數據進行保護，但客戶端獲得的仍為明文數據；文獻[15]通過面部識別和加密保護客戶端隱私數據，但加密后的數據失去了閱讀價值。

綜上所述，現有的方法不能滿足用戶保護客戶端獲取的敏感數據的需求，不能滿足智能終端超出可控范圍或者身份信息泄露后保護敏感數據的需求，為解決上述問題，本文提出了一種訪問時間自調節的終端隱私數據保護方法。

2 訪問時間自調節的終端隱私數據保護方法

本節將對訪問時間自調節的終端隱私數據保護方法的總體設計和具體實現細節進行詳細介紹。其中 2.1節給出了訪問時間自調節的終端隱私數據保護方法的總體設計。2.2節介紹了訪問時間自調節的終端隱私數據保護方法的具體實現細節。

2.1 總體設計

本文提出的方法設計目標是確保隱私數據的授權訪問時間可控性，并且在智能設備超出可控范圍或用戶身份泄露后仍能保護用戶的隱私數據。圖 1描述了訪問時間自調節的終端隱私數據保護技術的系統組成，客戶端向服務提供單元請求數據服務時，需要提供新、舊臨時參數，同時服務提供單元在自身保存的臨時參數列表中驗證臨時參數的真實性，并根據臨時參數列表對查詢結果進行脫敏操作。

2.2 訪問時間自調節的終端隱私數據保護方法

本方法共分為三部分：分別為客戶端程序處理部分、服務端程序處理部分和客戶端計時部分。圖2是本方法執行流程的示意圖。

2.2.1 客戶端程序處理部分

用戶請求隱私數據時的登錄狀態和臨時參數是否在臨時參數有效期內，決定了請求參數內容的不同；本方法中的客戶端處理部分通過判斷用戶的登錄狀態和臨時參數是否在有效期內為用戶重新組裝請求，接著發起服務請求。圖3是客戶端程序的處理部分的流程圖。

圖1 訪問時間自調節的終端隱私數據保護技術的系統組成Fig.1 System composition of terminal sensitive data protection method by self-regulated access time

圖2 訪問時間自調節的終端隱私數據保護方法Fig.2 Terminal sensitive data protection method by self-regulated access time

圖3 客戶端程序處理部分Fig.3 Processing section of client-side

2.2.2 服務端處理部分

服務端通過用戶的臨時參數訪問時長，控制用戶獲取隱私數據的時長，并根據臨時參數的狀態為用戶提供不同的數據服務。本方法中的服務端處理部分采用滑動時間窗口的細粒度訪問控制方法，根據新、舊臨時參數、當前訪問時間、上次訪問時間、臨時參數有效期和臨時參數可用時長，動態更新用戶的臨時參數訪問時長，并且在判斷臨時參數超出有效期時，為用戶提供脫敏后的數據，提高了用戶獲取隱私數據的體驗。圖4是服務端處理部分的流程圖。

2.2.3 客戶端計時部分

客戶端程序使用私鑰解密返回結果，得到查詢結果和臨時參數有效期，并開始計時，若用戶在臨時參數有效期內停止訪問，則停止計時，并當再次訪問時，重新執行客戶端程序處理部分；否則，若用戶在訪問隱私數據時臨時參數超過有效期，則客戶端程序自動退出訪問，并提示重新登錄；若在訪問隱私數據時，用戶在臨時參數有效期內進行了獲取數據庫數據的操作，則在客戶端獲取查詢結果和臨時參數有效期后，重新開始計時。

3 攻擊模型及安全性分析

本文是一種訪問時間自調節的終端隱私數據保護方法，此方法具有客戶端獲取的隱私數據與時間相關、授權訪問時間短、授權訪問時間強連續性、服務端和客戶端均可控制訪問時間的特點。

本節提出了幾種攻擊模型，并對相應的攻擊模型進行了安全性分析，證明了本方法的安全性。

3.1 外部人員攻擊

3.1.1 繞過登錄驗證

1、攻擊模型

圖5是繞過登錄驗證的攻擊流程圖，具體流程如下：

（1）惡意破壞者獲得設備的控制權；

（2）惡意破壞者更改客戶端保存的臨時參數有效期；

（3）惡意破壞者繞過服務端的登錄驗證方式直接訪問服務器；

（4）惡意破壞者請求敏感數據，服務器返回結果。

圖5 繞過登錄驗證Fig.5 Bypass login verification

2、安全性分析

本方法中客戶端存儲的臨時參數僅用于控制客戶端獲取的數據安全，當用戶在訪問隱私數據時且臨時參數超過有效期，則客戶端程序自動退出。

服務提供單元通過服務端保存的臨時參數列表驗證客戶端提供的臨時參數是否還在有效期，客戶端修改自己的臨時參數有效期無效，攻擊無效。

3.1.2 重放攻擊

1、攻擊模型

圖6是重放攻擊的攻擊流程圖，具體流程如下：

（1）黑客攔截網絡流量，通過分析網絡流量得到臨時參數或直接獲得查詢結果；

（2）使用臨時參數偽裝成客戶端程序，向服務端提交查詢請求和獲取的臨時參數；

（3）服務端返回查詢結果。

圖6 重放攻擊Fig. 6 Replay attack

2、安全性分析

服務端和客戶端采用 RSA加密的方式傳輸查詢請求和查詢結果。由于只有服務端和客戶端的私鑰可以解密，所以黑客不能通過分析截獲的網絡流量獲得真實的查詢請求和查詢結果，攻擊無效。

3.2 內部人員攻擊

3.2.1 內部人員修改臨時參數列表

由于當距離上次攻擊超過dt時，才更新臨時參數有效期，所以可通過驗證上次請求的時間與臨時參數有效期之差是否超過臨時參數可用時長來防止攻擊。

1、攻擊模型

圖7是內部人員修改臨時參數列表的攻擊流程圖，具體流程如下：

（1）獲得修改臨時參數列表的權限；

（2）可進行以下攻擊：

A: 臨時參數已過期

內部人員將自己的臨時參數有效期增長，使臨時參數重新有效；

安全性分析：服務端驗證臨時參數未過期，判斷當前時間(curr)和臨時參數可用時長(avil)之和與臨時參數有效期(T)之差小于 dt時，即(curr+avil-dt＜T)，提示錯誤，不提供服務，攻擊無效。

B: 臨時參數未過期

內部人員為長期訪問隱私數據，增長臨時參數有效期；或惡意縮短他人臨時參數有效期；

安全性分析：服務端驗證臨時參數是否過期，使用當前時間和臨時參數可用時長更新臨時參數有效期，覆蓋了內部人員修改的臨時參數有效期，內部人員修改臨時參數有效期無效。

（3）服務器在獲得查詢結果后，判斷臨時參數在對應的臨時參數有效期內，返回敏感數據。

圖7 內部人員修改臨時參數列表Fig.7 Modification of temporary parameter list by insider

3.2.2 重放攻擊

1、攻擊模型

圖8是內部人員進行重放攻擊的攻擊流程圖，具體流程如下：

（1）獲得臨時參數列表中的內容；

（2）偽裝成客戶端程序，向服務器提交查詢請求和獲得的臨時參數；

（3）服務端接收臨時參數和查詢請求，并返回查詢結果。

圖8 重放攻擊Fig.8 Replay attack

2、安全性分析：

服務提供單元收到查詢請求和臨時參數的同時，驗證用戶設備的mac地址是否為已授權設備的mac地址。服務提供單元判斷mac地址不是已授權設備的mac地址，不提供服務，阻止了惡意破壞者進行重放攻擊。

通過以上分析得出結論：本文中提出的方法可以抵抗上述提出的攻擊模型，實現了對用戶數據的保護；本文并沒有對現有的其他攻擊模型和其安全性分析進行介紹，并不能不保證本文中提出的方法可以抵抗現有的其他攻擊。

4 有效性分析

本節通過將本文中提出的方法與現有的數據保護方法進行對比，證明本方法的有效性。

表1中的設備超出可控范圍、外部人員攻擊和內部人員攻擊根據本文中提出的攻擊模型設定，數據的可用性指的是客戶端獲取的數據的可用性。

由表 1可以得出以下結論：文獻[5]、文獻[6]和文獻[15]由于客戶端獲取的敏感數據均為明文數據，不能解決設備超出可控范圍和攻擊者繞過登錄驗證時的敏感數據的安全。文獻[5]中服務端保存的為明文數據，不能抵抗內部人員的攻擊。文獻[15]由于服務端保存的為明文數據，且傳輸的為明文數據，不能抵抗外部人員進行繞過登錄驗證或重放攻擊，且不能抵抗內部人員攻擊。

本文中提出的方法，當用戶在獲取隱私數據時臨時參數過期時自動退出，防止了設備超出可控范圍時的攻擊；服務端對用戶授權訪問時間，修改客戶端參數無效，防止了繞過登錄驗證方式的攻擊；采用加密的方式進行傳輸，防止了外部人員進行重放攻擊；服務端中保存的是明文數據，但每次請求滿足一定條件時，服務端使用當前時間和臨時參數可用時長更新臨時參數列表，覆蓋了內部人員的操作，防止了內部人員修改臨時參數列表的攻擊；驗證提交請求的設備是否已授權設備對應的臨時參數，防止了進行內部人員的重放攻擊。

以上對比，表明了本方法的可行性和有效性。

5 總結

通過研究現有的隱私數據保護方法，本文提出了一種訪問時間自調節的終端隱私數據保護方法，該方法關注客戶端獲取的數據安全，采用基于滑動時間窗口的細粒度訪問控制方法，解決客戶端隱私數據授權訪問時間長的問題；通過使用臨時參數的動態有限授權規則和身份驗證機制，為用戶動態授予訪問隱私數據的權限，且客戶端可根據臨時參數有效期，自動結束訪問隱私數據，訪問時間靈活可控；同時本方法采用數據脫敏對敏感數據進行安全保護，脫敏后的數據仍具有閱讀價值，避免了用戶為獲取某些敏感數據進行不必要的身份驗證，提升了用戶體驗。

表1 數據保護方法對比表Tab.1 Comparison table of data protection methods

本文介紹了客戶端獲取的數據可能受到的攻擊，通過分析本方法對各個攻擊給出的具體解決方案，證明了本方法的安全性；并通過與現有的數據保護方法進行對比，證明了本方法的有效性。

[1] 鄧海生, 劉嘯, 李軍懷,等. 基于時間約束的隱私保護數據查詢方法研究[J]. 計算機技術與發展, 2013(10): 119-122.

[2] 周水庚, 李豐, 陶宇飛, 等. 面向數據庫應用的隱私保護研究綜述[J]. 計算機學報, 2009, 32(5): 847-861.

[3] 曹珍富, 董曉蕾, 周俊, 等. 大數據安全與隱私保護研究進展[J]. 計算機研究與發展, 2016, 53(10): 2137-2151.

[4] 陳天瑩, 陳劍鋒. 大數據環境下的智能數據脫敏系統[J].通信技術, 2016, 49(7): 915-922.

[5] 陸渝. 基于時間的數據保護方法及其終端:, CN 103559456 A[P]. 2014.

[6] 劉曙輝, 李云峰, 胡濤. 一種數據保護方法及服務器, CN 106529340A[P]. 2017.

[7] 張鵬, 童云海, 唐世渭,等. 一種有效的隱私保護關聯規則挖掘方法[J]. 軟件學報, 2006, 17(8): 1764-1774.

[8] LATANYA SWEENEY. ACHIEVING k-ANONYMITY PRIVACY PROTECTION USING GENERALIZATION,AND SUPPRESSION[J]. International Journal of Uncertainty,Fuzziness and Knowledge-Based Systems, 2002, 10(05): 57.

[9] Samarati P, Sweeney L. Generalizing data to provide anonymity when disclosing information (abstract)[C]//Seventeenth ACM Sigact-Sigmod-Sigart Symposium on Principles of Database Systems. ACM, 1998: 188.

[10] Yang Y, Zhang Z, Miklau G, et al. Differential privacy in data publication and analysis[C]// 2012: 601-606.

[11] 熊平, 朱天清, 王曉峰. 差分隱私保護及其應用[J]. 計算機學報, 2014, 37(1): 101-122.

[12] Radhakrishnan R, Kharrazi M, Memon N. Data Masking: A New Approach for Steganography?[J]. Journal of Signal Processing Systems, 2005, 41(3): 293-303.

[13] Sabapathy S, Kodavanti A, Adabala S K. Data masking: US,US 20130283059 A1[P]. 2013.

[14] D'Costa N H E, Hagelund P, Henderson D J, et al. Consistent data masking[J]. 2017.

[15] 劉科. 一種隱私保護的方法及移動終端, CN 106599662 A[P]. 2017.

Terminal Sensitive Data Protection Method by Self-Regulated Access Time

LIANG Chen, LU Xiao-feng
(Department of Cyberspace Security, Beijing university of Posts and Telecommunications, 100876, China)

People incline to access to the network for life needs through intelligent terminal, if the user lose the control of the device, the privacy information are also leaked, so it is important to protect the data obtained by the client. In the view of the above, a method of terminal sensitive data protection method by self-regulated access time is proposed. This method provide a fine-grained access control method based on sliding time window, apply a dynamic limited permission based on temporary parameter, use the temporary parameter for user authentication, and protect the sensitive data with desensitization, which can meet the safety of the obtained data by client, and also meet the availability of the data. The proposed method based on the access control、authorized time and desensitization was compared with those existing data protection methods, and the validity of this proposed method was verified.

Information security; Self-regulated access time; Fata masking; Data privacy; Temporary parameter

TP309

A

10.3969/j.issn.1003-6970.2017.12.013

本文著錄格式：梁辰，蘆效峰. 訪問時間自調節的終端隱私數據保護方法[J]. 軟件，2017，38（12）：70-74

國家自然科學基金面上項目(No. 61472046)；國家自然科學基金面上項目(No. 61372109)

梁辰，(1990-)，女，碩士，研究方向為隱私數據安全；蘆效峰，(1976-)，男，博士，副教授，研究方向為信息安全、隱私數據安全、網絡安全。

蘆效峰，(1976-)，男，博士，副教授，研究方向為信息安全、隱私數據安全、網絡安全。