梁 辰，蘆效峰

（北京郵電大學 網(wǎng)絡(luò)空間安全學院，北京 100876）

訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法

梁 辰，蘆效峰

（北京郵電大學 網(wǎng)絡(luò)空間安全學院，北京 100876）

人們依賴智能終端獲取網(wǎng)絡(luò)服務(wù)以滿足生活需求，智能終端也因此獲得了用戶隱私數(shù)據(jù)的長期使用權(quán)，若這些智能設(shè)備超出用戶可控范圍，用戶隱私信息也隨之泄漏，因此保證終端獲取的隱私數(shù)據(jù)的安全尤其重要。針對以上需求，本文提出了一種訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法。該方法提供了一種基于滑動時間窗口的細粒度訪問控制方法，應(yīng)用了基于臨時參數(shù)的動態(tài)有限授權(quán)規(guī)則，并使用臨時參數(shù)對用戶進行身份認證和訪問控制，采用數(shù)據(jù)脫敏對敏感數(shù)據(jù)進行安全保護，可滿足客戶端獲取的數(shù)據(jù)的安全性，同時滿足了數(shù)據(jù)的可用性。將本文提出的基于訪問控制、授權(quán)時間和數(shù)據(jù)脫敏的方法與現(xiàn)有的數(shù)據(jù)保護方法進行了對比，結(jié)果表明了本方法的可行性和有效性。

信息安全；訪問時間自調(diào)節(jié)；數(shù)據(jù)脫敏；數(shù)據(jù)隱私；臨時參數(shù)

0 前言

用戶數(shù)據(jù)的商業(yè)價值，使數(shù)據(jù)逐漸形成了一條采集、存儲、售賣、使用的產(chǎn)業(yè)鏈。為謀求利益，黑客盜取用戶數(shù)據(jù)用于售賣或勒索，2017年6月2日，黑客攻擊了立陶宛的一家整形外科醫(yī)院，盜取了25000多張隱私照片和隱私信息，并向醫(yī)院和個人索要贖金。還有一些內(nèi)部人員利用職務(wù)之便售賣用戶數(shù)據(jù)以謀求高額利潤。

2017年4月11日，國家互聯(lián)網(wǎng)信息辦公室公布了《個人信息和重要數(shù)據(jù)出境安全評估辦法》。數(shù)據(jù)本身的重要性及國家對個人信息的重視，導致對個人信息進行保護勢在必行。

目前隱私數(shù)據(jù)保護重點關(guān)注存儲數(shù)據(jù)安全[1-6]，對于客戶端獲取的隱私數(shù)據(jù)和行為數(shù)據(jù)進行保護的研究很少，但其安全性問題不容忽視。目前客戶端獲取的數(shù)據(jù)存在以下威脅因素：

1、隱私數(shù)據(jù)的授權(quán)訪問時間長期性

如：互聯(lián)網(wǎng)電子商務(wù)中，用戶首次登錄后再次獲取任何敏感數(shù)據(jù)均可直接訪問（購物記錄等），若設(shè)備超出可控范圍（如設(shè)備丟失）則隱私泄露。

2、多層身份驗證，用戶體驗差

如：某些互聯(lián)網(wǎng)電子商務(wù)，用戶未登錄，需先輸入密碼驗證用戶身份，后發(fā)送手機驗證碼驗證設(shè)備，導致訪問 80%的時間花費在登錄上，用戶體驗差。

3、采用加密的方式保護數(shù)據(jù)，安全性差

如：目前主要通過密碼驗證的方式保護隱私數(shù)據(jù)，若惡意破壞者采用繞過登錄的方式直接請求數(shù)據(jù)，達不到數(shù)據(jù)保護的目的。

由此可見，保護客戶端獲取的數(shù)據(jù)尤為重要。

為解決以上問題，本文提出了一種訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法，本方法沿著以下思路進行展開：

1、采用基于滑動時間窗口的細粒度訪問控制方法，解決隱私數(shù)據(jù)的授權(quán)訪問時間長的問題。

2、使用臨時參數(shù)對用戶進行身份認證和訪問控制，解決多層身份驗證問題。

3、應(yīng)用基于臨時參數(shù)的動態(tài)有限授權(quán)規(guī)則和身份驗證機制，滿足最小授權(quán)原則，保證數(shù)據(jù)的安全性；

4、采用數(shù)據(jù)脫敏的方法對敏感數(shù)據(jù)進行安全保護，脫敏后的數(shù)據(jù)具有閱讀價值，保證了敏感數(shù)據(jù)的安全使用。

1 相關(guān)工作

隱私保護在金融和醫(yī)療等傳統(tǒng)領(lǐng)域中非常重要，在電子商務(wù)和社會化網(wǎng)絡(luò)中也愈發(fā)被人們所關(guān)注[1]。隱私保護技術(shù)需同時保證數(shù)據(jù)使用和隱私數(shù)據(jù)的安全。根據(jù)采用技術(shù)不同，出現(xiàn)了數(shù)據(jù)失真[7]、數(shù)據(jù)加密[6]、限制發(fā)布[8]、數(shù)據(jù)匿名[9-11]等隱私保護技術(shù)[2]。

最徹底的保護存儲和共享中的數(shù)據(jù)的方式是數(shù)據(jù)加密[3]。加密，需對特殊存儲密鑰，且若不解密數(shù)據(jù)無法正常使用，不能滿足根據(jù)數(shù)據(jù)進行統(tǒng)計和身份識別的需求，且客戶端獲取的數(shù)據(jù)需具有閱讀價值，故不能使用加密。

為了使被保護后的數(shù)據(jù)仍具閱讀價值，眾多學者使用數(shù)據(jù)脫敏[12-14]的方法在給定規(guī)則、策略下對敏感數(shù)據(jù)進行變換、修改，實現(xiàn)對隱私數(shù)據(jù)的保護，很大程度上解決了敏感數(shù)據(jù)在非可信環(huán)境中的使用問題[4]。

對客戶端獲取的所有敏感數(shù)據(jù)進行脫敏，不能滿足用戶需獲取明文敏感數(shù)據(jù)的需求，所以需進行特殊保護，當滿足一定條件時正常訪問。當前，主要通過加鎖（如加密）實現(xiàn)對文件或數(shù)據(jù)的保護，輸入密碼后獲得該文件或數(shù)據(jù)的全部控制權(quán)限，降低了對時間敏感的文件或數(shù)據(jù)的保護力度，授權(quán)的針對性較差[5]。文獻[5]通過時間信息對數(shù)據(jù)加鎖，增強了對時間敏感的數(shù)據(jù)的保護力度。但是預(yù)設(shè)的時間不能自動延長，不能滿足時間的靈活可控性；文獻[6]通過數(shù)據(jù)的連環(huán)關(guān)聯(lián)性對客戶端獲取的數(shù)據(jù)進行保護，但客戶端獲得的仍為明文數(shù)據(jù)；文獻[15]通過面部識別和加密保護客戶端隱私數(shù)據(jù)，但加密后的數(shù)據(jù)失去了閱讀價值。

綜上所述，現(xiàn)有的方法不能滿足用戶保護客戶端獲取的敏感數(shù)據(jù)的需求，不能滿足智能終端超出可控范圍或者身份信息泄露后保護敏感數(shù)據(jù)的需求，為解決上述問題，本文提出了一種訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法。

2 訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法

本節(jié)將對訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法的總體設(shè)計和具體實現(xiàn)細節(jié)進行詳細介紹。其中 2.1節(jié)給出了訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法的總體設(shè)計。2.2節(jié)介紹了訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法的具體實現(xiàn)細節(jié)。

2.1 總體設(shè)計

本文提出的方法設(shè)計目標是確保隱私數(shù)據(jù)的授權(quán)訪問時間可控性，并且在智能設(shè)備超出可控范圍或用戶身份泄露后仍能保護用戶的隱私數(shù)據(jù)。圖 1描述了訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護技術(shù)的系統(tǒng)組成，客戶端向服務(wù)提供單元請求數(shù)據(jù)服務(wù)時，需要提供新、舊臨時參數(shù)，同時服務(wù)提供單元在自身保存的臨時參數(shù)列表中驗證臨時參數(shù)的真實性，并根據(jù)臨時參數(shù)列表對查詢結(jié)果進行脫敏操作。

2.2 訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法

本方法共分為三部分：分別為客戶端程序處理部分、服務(wù)端程序處理部分和客戶端計時部分。圖2是本方法執(zhí)行流程的示意圖。

2.2.1 客戶端程序處理部分

用戶請求隱私數(shù)據(jù)時的登錄狀態(tài)和臨時參數(shù)是否在臨時參數(shù)有效期內(nèi)，決定了請求參數(shù)內(nèi)容的不同；本方法中的客戶端處理部分通過判斷用戶的登錄狀態(tài)和臨時參數(shù)是否在有效期內(nèi)為用戶重新組裝請求，接著發(fā)起服務(wù)請求。圖3是客戶端程序的處理部分的流程圖。

圖1 訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護技術(shù)的系統(tǒng)組成Fig.1 System composition of terminal sensitive data protection method by self-regulated access time

圖2 訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法Fig.2 Terminal sensitive data protection method by self-regulated access time

圖3 客戶端程序處理部分Fig.3 Processing section of client-side

2.2.2 服務(wù)端處理部分

服務(wù)端通過用戶的臨時參數(shù)訪問時長，控制用戶獲取隱私數(shù)據(jù)的時長，并根據(jù)臨時參數(shù)的狀態(tài)為用戶提供不同的數(shù)據(jù)服務(wù)。本方法中的服務(wù)端處理部分采用滑動時間窗口的細粒度訪問控制方法，根據(jù)新、舊臨時參數(shù)、當前訪問時間、上次訪問時間、臨時參數(shù)有效期和臨時參數(shù)可用時長，動態(tài)更新用戶的臨時參數(shù)訪問時長，并且在判斷臨時參數(shù)超出有效期時，為用戶提供脫敏后的數(shù)據(jù)，提高了用戶獲取隱私數(shù)據(jù)的體驗。圖4是服務(wù)端處理部分的流程圖。

2.2.3 客戶端計時部分

客戶端程序使用私鑰解密返回結(jié)果，得到查詢結(jié)果和臨時參數(shù)有效期，并開始計時，若用戶在臨時參數(shù)有效期內(nèi)停止訪問，則停止計時，并當再次訪問時，重新執(zhí)行客戶端程序處理部分；否則，若用戶在訪問隱私數(shù)據(jù)時臨時參數(shù)超過有效期，則客戶端程序自動退出訪問，并提示重新登錄；若在訪問隱私數(shù)據(jù)時，用戶在臨時參數(shù)有效期內(nèi)進行了獲取數(shù)據(jù)庫數(shù)據(jù)的操作，則在客戶端獲取查詢結(jié)果和臨時參數(shù)有效期后，重新開始計時。

3 攻擊模型及安全性分析

本文是一種訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法，此方法具有客戶端獲取的隱私數(shù)據(jù)與時間相關(guān)、授權(quán)訪問時間短、授權(quán)訪問時間強連續(xù)性、服務(wù)端和客戶端均可控制訪問時間的特點。

本節(jié)提出了幾種攻擊模型，并對相應(yīng)的攻擊模型進行了安全性分析，證明了本方法的安全性。

3.1 外部人員攻擊

3.1.1 繞過登錄驗證

1、攻擊模型

圖5是繞過登錄驗證的攻擊流程圖，具體流程如下：

（1）惡意破壞者獲得設(shè)備的控制權(quán)；

（2）惡意破壞者更改客戶端保存的臨時參數(shù)有效期；

（3）惡意破壞者繞過服務(wù)端的登錄驗證方式直接訪問服務(wù)器；

（4）惡意破壞者請求敏感數(shù)據(jù)，服務(wù)器返回結(jié)果。

圖5 繞過登錄驗證Fig.5 Bypass login verification

2、安全性分析

本方法中客戶端存儲的臨時參數(shù)僅用于控制客戶端獲取的數(shù)據(jù)安全，當用戶在訪問隱私數(shù)據(jù)時且臨時參數(shù)超過有效期，則客戶端程序自動退出。

服務(wù)提供單元通過服務(wù)端保存的臨時參數(shù)列表驗證客戶端提供的臨時參數(shù)是否還在有效期，客戶端修改自己的臨時參數(shù)有效期無效，攻擊無效。

3.1.2 重放攻擊

1、攻擊模型

圖6是重放攻擊的攻擊流程圖，具體流程如下：

（1）黑客攔截網(wǎng)絡(luò)流量，通過分析網(wǎng)絡(luò)流量得到臨時參數(shù)或直接獲得查詢結(jié)果；

（2）使用臨時參數(shù)偽裝成客戶端程序，向服務(wù)端提交查詢請求和獲取的臨時參數(shù)；

（3）服務(wù)端返回查詢結(jié)果。

圖6 重放攻擊Fig. 6 Replay attack

2、安全性分析

服務(wù)端和客戶端采用 RSA加密的方式傳輸查詢請求和查詢結(jié)果。由于只有服務(wù)端和客戶端的私鑰可以解密，所以黑客不能通過分析截獲的網(wǎng)絡(luò)流量獲得真實的查詢請求和查詢結(jié)果，攻擊無效。

3.2 內(nèi)部人員攻擊

3.2.1 內(nèi)部人員修改臨時參數(shù)列表

由于當距離上次攻擊超過dt時，才更新臨時參數(shù)有效期，所以可通過驗證上次請求的時間與臨時參數(shù)有效期之差是否超過臨時參數(shù)可用時長來防止攻擊。

1、攻擊模型

圖7是內(nèi)部人員修改臨時參數(shù)列表的攻擊流程圖，具體流程如下：

（1）獲得修改臨時參數(shù)列表的權(quán)限；

（2）可進行以下攻擊：

A: 臨時參數(shù)已過期

內(nèi)部人員將自己的臨時參數(shù)有效期增長，使臨時參數(shù)重新有效；

安全性分析：服務(wù)端驗證臨時參數(shù)未過期，判斷當前時間(curr)和臨時參數(shù)可用時長(avil)之和與臨時參數(shù)有效期(T)之差小于 dt時，即(curr+avil-dt＜T)，提示錯誤，不提供服務(wù)，攻擊無效。

B: 臨時參數(shù)未過期

內(nèi)部人員為長期訪問隱私數(shù)據(jù)，增長臨時參數(shù)有效期；或惡意縮短他人臨時參數(shù)有效期；

安全性分析：服務(wù)端驗證臨時參數(shù)是否過期，使用當前時間和臨時參數(shù)可用時長更新臨時參數(shù)有效期，覆蓋了內(nèi)部人員修改的臨時參數(shù)有效期，內(nèi)部人員修改臨時參數(shù)有效期無效。

（3）服務(wù)器在獲得查詢結(jié)果后，判斷臨時參數(shù)在對應(yīng)的臨時參數(shù)有效期內(nèi)，返回敏感數(shù)據(jù)。

圖7 內(nèi)部人員修改臨時參數(shù)列表Fig.7 Modification of temporary parameter list by insider

3.2.2 重放攻擊

1、攻擊模型

圖8是內(nèi)部人員進行重放攻擊的攻擊流程圖，具體流程如下：

（1）獲得臨時參數(shù)列表中的內(nèi)容；

（2）偽裝成客戶端程序，向服務(wù)器提交查詢請求和獲得的臨時參數(shù)；

（3）服務(wù)端接收臨時參數(shù)和查詢請求，并返回查詢結(jié)果。

圖8 重放攻擊Fig.8 Replay attack

2、安全性分析：

服務(wù)提供單元收到查詢請求和臨時參數(shù)的同時，驗證用戶設(shè)備的mac地址是否為已授權(quán)設(shè)備的mac地址。服務(wù)提供單元判斷mac地址不是已授權(quán)設(shè)備的mac地址，不提供服務(wù)，阻止了惡意破壞者進行重放攻擊。

通過以上分析得出結(jié)論：本文中提出的方法可以抵抗上述提出的攻擊模型，實現(xiàn)了對用戶數(shù)據(jù)的保護；本文并沒有對現(xiàn)有的其他攻擊模型和其安全性分析進行介紹，并不能不保證本文中提出的方法可以抵抗現(xiàn)有的其他攻擊。

4 有效性分析

本節(jié)通過將本文中提出的方法與現(xiàn)有的數(shù)據(jù)保護方法進行對比，證明本方法的有效性。

表1中的設(shè)備超出可控范圍、外部人員攻擊和內(nèi)部人員攻擊根據(jù)本文中提出的攻擊模型設(shè)定，數(shù)據(jù)的可用性指的是客戶端獲取的數(shù)據(jù)的可用性。

由表 1可以得出以下結(jié)論：文獻[5]、文獻[6]和文獻[15]由于客戶端獲取的敏感數(shù)據(jù)均為明文數(shù)據(jù)，不能解決設(shè)備超出可控范圍和攻擊者繞過登錄驗證時的敏感數(shù)據(jù)的安全。文獻[5]中服務(wù)端保存的為明文數(shù)據(jù)，不能抵抗內(nèi)部人員的攻擊。文獻[15]由于服務(wù)端保存的為明文數(shù)據(jù)，且傳輸?shù)臑槊魑臄?shù)據(jù)，不能抵抗外部人員進行繞過登錄驗證或重放攻擊，且不能抵抗內(nèi)部人員攻擊。

本文中提出的方法，當用戶在獲取隱私數(shù)據(jù)時臨時參數(shù)過期時自動退出，防止了設(shè)備超出可控范圍時的攻擊；服務(wù)端對用戶授權(quán)訪問時間，修改客戶端參數(shù)無效，防止了繞過登錄驗證方式的攻擊；采用加密的方式進行傳輸，防止了外部人員進行重放攻擊；服務(wù)端中保存的是明文數(shù)據(jù)，但每次請求滿足一定條件時，服務(wù)端使用當前時間和臨時參數(shù)可用時長更新臨時參數(shù)列表，覆蓋了內(nèi)部人員的操作，防止了內(nèi)部人員修改臨時參數(shù)列表的攻擊；驗證提交請求的設(shè)備是否已授權(quán)設(shè)備對應(yīng)的臨時參數(shù)，防止了進行內(nèi)部人員的重放攻擊。

以上對比，表明了本方法的可行性和有效性。

5 總結(jié)

通過研究現(xiàn)有的隱私數(shù)據(jù)保護方法，本文提出了一種訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法，該方法關(guān)注客戶端獲取的數(shù)據(jù)安全，采用基于滑動時間窗口的細粒度訪問控制方法，解決客戶端隱私數(shù)據(jù)授權(quán)訪問時間長的問題；通過使用臨時參數(shù)的動態(tài)有限授權(quán)規(guī)則和身份驗證機制，為用戶動態(tài)授予訪問隱私數(shù)據(jù)的權(quán)限，且客戶端可根據(jù)臨時參數(shù)有效期，自動結(jié)束訪問隱私數(shù)據(jù)，訪問時間靈活可控；同時本方法采用數(shù)據(jù)脫敏對敏感數(shù)據(jù)進行安全保護，脫敏后的數(shù)據(jù)仍具有閱讀價值，避免了用戶為獲取某些敏感數(shù)據(jù)進行不必要的身份驗證，提升了用戶體驗。

表1 數(shù)據(jù)保護方法對比表Tab.1 Comparison table of data protection methods

本文介紹了客戶端獲取的數(shù)據(jù)可能受到的攻擊，通過分析本方法對各個攻擊給出的具體解決方案，證明了本方法的安全性；并通過與現(xiàn)有的數(shù)據(jù)保護方法進行對比，證明了本方法的有效性。

[1] 鄧海生, 劉嘯, 李軍懷,等. 基于時間約束的隱私保護數(shù)據(jù)查詢方法研究[J]. 計算機技術(shù)與發(fā)展, 2013(10): 119-122.

[2] 周水庚, 李豐, 陶宇飛, 等. 面向數(shù)據(jù)庫應(yīng)用的隱私保護研究綜述[J]. 計算機學報, 2009, 32(5): 847-861.

[3] 曹珍富, 董曉蕾, 周俊, 等. 大數(shù)據(jù)安全與隱私保護研究進展[J]. 計算機研究與發(fā)展, 2016, 53(10): 2137-2151.

[4] 陳天瑩, 陳劍鋒. 大數(shù)據(jù)環(huán)境下的智能數(shù)據(jù)脫敏系統(tǒng)[J].通信技術(shù), 2016, 49(7): 915-922.

[5] 陸渝. 基于時間的數(shù)據(jù)保護方法及其終端:, CN 103559456 A[P]. 2014.

[6] 劉曙輝, 李云峰, 胡濤. 一種數(shù)據(jù)保護方法及服務(wù)器, CN 106529340A[P]. 2017.

[7] 張鵬, 童云海, 唐世渭,等. 一種有效的隱私保護關(guān)聯(lián)規(guī)則挖掘方法[J]. 軟件學報, 2006, 17(8): 1764-1774.

[8] LATANYA SWEENEY. ACHIEVING k-ANONYMITY PRIVACY PROTECTION USING GENERALIZATION,AND SUPPRESSION[J]. International Journal of Uncertainty,Fuzziness and Knowledge-Based Systems, 2002, 10(05): 57.

[9] Samarati P, Sweeney L. Generalizing data to provide anonymity when disclosing information (abstract)[C]//Seventeenth ACM Sigact-Sigmod-Sigart Symposium on Principles of Database Systems. ACM, 1998: 188.

[10] Yang Y, Zhang Z, Miklau G, et al. Differential privacy in data publication and analysis[C]// 2012: 601-606.

[11] 熊平, 朱天清, 王曉峰. 差分隱私保護及其應(yīng)用[J]. 計算機學報, 2014, 37(1): 101-122.

[12] Radhakrishnan R, Kharrazi M, Memon N. Data Masking: A New Approach for Steganography?[J]. Journal of Signal Processing Systems, 2005, 41(3): 293-303.

[13] Sabapathy S, Kodavanti A, Adabala S K. Data masking: US,US 20130283059 A1[P]. 2013.

[14] D'Costa N H E, Hagelund P, Henderson D J, et al. Consistent data masking[J]. 2017.

[15] 劉科. 一種隱私保護的方法及移動終端, CN 106599662 A[P]. 2017.

Terminal Sensitive Data Protection Method by Self-Regulated Access Time

LIANG Chen, LU Xiao-feng
(Department of Cyberspace Security, Beijing university of Posts and Telecommunications, 100876, China)

People incline to access to the network for life needs through intelligent terminal, if the user lose the control of the device, the privacy information are also leaked, so it is important to protect the data obtained by the client. In the view of the above, a method of terminal sensitive data protection method by self-regulated access time is proposed. This method provide a fine-grained access control method based on sliding time window, apply a dynamic limited permission based on temporary parameter, use the temporary parameter for user authentication, and protect the sensitive data with desensitization, which can meet the safety of the obtained data by client, and also meet the availability of the data. The proposed method based on the access control、authorized time and desensitization was compared with those existing data protection methods, and the validity of this proposed method was verified.

Information security; Self-regulated access time; Fata masking; Data privacy; Temporary parameter

TP309

A

10.3969/j.issn.1003-6970.2017.12.013

本文著錄格式：梁辰，蘆效峰. 訪問時間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護方法[J]. 軟件，2017，38（12）：70-74

國家自然科學基金面上項目(No. 61472046)；國家自然科學基金面上項目(No. 61372109)

梁辰，(1990-)，女，碩士，研究方向為隱私數(shù)據(jù)安全；蘆效峰，(1976-)，男，博士，副教授，研究方向為信息安全、隱私數(shù)據(jù)安全、網(wǎng)絡(luò)安全。

蘆效峰，(1976-)，男，博士，副教授，研究方向為信息安全、隱私數(shù)據(jù)安全、網(wǎng)絡(luò)安全。