訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法

梁 辰，蘆效峰

（北京郵電大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，北京 100876）

訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法

梁 辰，蘆效峰

（北京郵電大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，北京 100876）

人們依賴智能終端獲取網(wǎng)絡(luò)服務(wù)以滿足生活需求，智能終端也因此獲得了用戶隱私數(shù)據(jù)的長(zhǎng)期使用權(quán)，若這些智能設(shè)備超出用戶可控范圍，用戶隱私信息也隨之泄漏，因此保證終端獲取的隱私數(shù)據(jù)的安全尤其重要。針對(duì)以上需求，本文提出了一種訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法。該方法提供了一種基于滑動(dòng)時(shí)間窗口的細(xì)粒度訪問(wèn)控制方法，應(yīng)用了基于臨時(shí)參數(shù)的動(dòng)態(tài)有限授權(quán)規(guī)則，并使用臨時(shí)參數(shù)對(duì)用戶進(jìn)行身份認(rèn)證和訪問(wèn)控制，采用數(shù)據(jù)脫敏對(duì)敏感數(shù)據(jù)進(jìn)行安全保護(hù)，可滿足客戶端獲取的數(shù)據(jù)的安全性，同時(shí)滿足了數(shù)據(jù)的可用性。將本文提出的基于訪問(wèn)控制、授權(quán)時(shí)間和數(shù)據(jù)脫敏的方法與現(xiàn)有的數(shù)據(jù)保護(hù)方法進(jìn)行了對(duì)比，結(jié)果表明了本方法的可行性和有效性。

信息安全；訪問(wèn)時(shí)間自調(diào)節(jié)；數(shù)據(jù)脫敏；數(shù)據(jù)隱私；臨時(shí)參數(shù)

0 前言

用戶數(shù)據(jù)的商業(yè)價(jià)值，使數(shù)據(jù)逐漸形成了一條采集、存儲(chǔ)、售賣、使用的產(chǎn)業(yè)鏈。為謀求利益，黑客盜取用戶數(shù)據(jù)用于售賣或勒索，2017年6月2日，黑客攻擊了立陶宛的一家整形外科醫(yī)院，盜取了25000多張隱私照片和隱私信息，并向醫(yī)院和個(gè)人索要贖金。還有一些內(nèi)部人員利用職務(wù)之便售賣用戶數(shù)據(jù)以謀求高額利潤(rùn)。

2017年4月11日，國(guó)家互聯(lián)網(wǎng)信息辦公室公布了《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法》。數(shù)據(jù)本身的重要性及國(guó)家對(duì)個(gè)人信息的重視，導(dǎo)致對(duì)個(gè)人信息進(jìn)行保護(hù)勢(shì)在必行。

目前隱私數(shù)據(jù)保護(hù)重點(diǎn)關(guān)注存儲(chǔ)數(shù)據(jù)安全[1-6]，對(duì)于客戶端獲取的隱私數(shù)據(jù)和行為數(shù)據(jù)進(jìn)行保護(hù)的研究很少，但其安全性問(wèn)題不容忽視。目前客戶端獲取的數(shù)據(jù)存在以下威脅因素：

1、隱私數(shù)據(jù)的授權(quán)訪問(wèn)時(shí)間長(zhǎng)期性

如：互聯(lián)網(wǎng)電子商務(wù)中，用戶首次登錄后再次獲取任何敏感數(shù)據(jù)均可直接訪問(wèn)（購(gòu)物記錄等），若設(shè)備超出可控范圍（如設(shè)備丟失）則隱私泄露。

2、多層身份驗(yàn)證，用戶體驗(yàn)差

如：某些互聯(lián)網(wǎng)電子商務(wù)，用戶未登錄，需先輸入密碼驗(yàn)證用戶身份，后發(fā)送手機(jī)驗(yàn)證碼驗(yàn)證設(shè)備，導(dǎo)致訪問(wèn) 80%的時(shí)間花費(fèi)在登錄上，用戶體驗(yàn)差。

3、采用加密的方式保護(hù)數(shù)據(jù)，安全性差

如：目前主要通過(guò)密碼驗(yàn)證的方式保護(hù)隱私數(shù)據(jù)，若惡意破壞者采用繞過(guò)登錄的方式直接請(qǐng)求數(shù)據(jù)，達(dá)不到數(shù)據(jù)保護(hù)的目的。

由此可見(jiàn)，保護(hù)客戶端獲取的數(shù)據(jù)尤為重要。

為解決以上問(wèn)題，本文提出了一種訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法，本方法沿著以下思路進(jìn)行展開(kāi)：

1、采用基于滑動(dòng)時(shí)間窗口的細(xì)粒度訪問(wèn)控制方法，解決隱私數(shù)據(jù)的授權(quán)訪問(wèn)時(shí)間長(zhǎng)的問(wèn)題。

2、使用臨時(shí)參數(shù)對(duì)用戶進(jìn)行身份認(rèn)證和訪問(wèn)控制，解決多層身份驗(yàn)證問(wèn)題。

3、應(yīng)用基于臨時(shí)參數(shù)的動(dòng)態(tài)有限授權(quán)規(guī)則和身份驗(yàn)證機(jī)制，滿足最小授權(quán)原則，保證數(shù)據(jù)的安全性；

4、采用數(shù)據(jù)脫敏的方法對(duì)敏感數(shù)據(jù)進(jìn)行安全保護(hù)，脫敏后的數(shù)據(jù)具有閱讀價(jià)值，保證了敏感數(shù)據(jù)的安全使用。

1 相關(guān)工作

隱私保護(hù)在金融和醫(yī)療等傳統(tǒng)領(lǐng)域中非常重要，在電子商務(wù)和社會(huì)化網(wǎng)絡(luò)中也愈發(fā)被人們所關(guān)注[1]。隱私保護(hù)技術(shù)需同時(shí)保證數(shù)據(jù)使用和隱私數(shù)據(jù)的安全。根據(jù)采用技術(shù)不同，出現(xiàn)了數(shù)據(jù)失真[7]、數(shù)據(jù)加密[6]、限制發(fā)布[8]、數(shù)據(jù)匿名[9-11]等隱私保護(hù)技術(shù)[2]。

最徹底的保護(hù)存儲(chǔ)和共享中的數(shù)據(jù)的方式是數(shù)據(jù)加密[3]。加密，需對(duì)特殊存儲(chǔ)密鑰，且若不解密數(shù)據(jù)無(wú)法正常使用，不能滿足根據(jù)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)和身份識(shí)別的需求，且客戶端獲取的數(shù)據(jù)需具有閱讀價(jià)值，故不能使用加密。

為了使被保護(hù)后的數(shù)據(jù)仍具閱讀價(jià)值，眾多學(xué)者使用數(shù)據(jù)脫敏[12-14]的方法在給定規(guī)則、策略下對(duì)敏感數(shù)據(jù)進(jìn)行變換、修改，實(shí)現(xiàn)對(duì)隱私數(shù)據(jù)的保護(hù)，很大程度上解決了敏感數(shù)據(jù)在非可信環(huán)境中的使用問(wèn)題[4]。

對(duì)客戶端獲取的所有敏感數(shù)據(jù)進(jìn)行脫敏，不能滿足用戶需獲取明文敏感數(shù)據(jù)的需求，所以需進(jìn)行特殊保護(hù)，當(dāng)滿足一定條件時(shí)正常訪問(wèn)。當(dāng)前，主要通過(guò)加鎖（如加密）實(shí)現(xiàn)對(duì)文件或數(shù)據(jù)的保護(hù)，輸入密碼后獲得該文件或數(shù)據(jù)的全部控制權(quán)限，降低了對(duì)時(shí)間敏感的文件或數(shù)據(jù)的保護(hù)力度，授權(quán)的針對(duì)性較差[5]。文獻(xiàn)[5]通過(guò)時(shí)間信息對(duì)數(shù)據(jù)加鎖，增強(qiáng)了對(duì)時(shí)間敏感的數(shù)據(jù)的保護(hù)力度。但是預(yù)設(shè)的時(shí)間不能自動(dòng)延長(zhǎng)，不能滿足時(shí)間的靈活可控性；文獻(xiàn)[6]通過(guò)數(shù)據(jù)的連環(huán)關(guān)聯(lián)性對(duì)客戶端獲取的數(shù)據(jù)進(jìn)行保護(hù)，但客戶端獲得的仍為明文數(shù)據(jù)；文獻(xiàn)[15]通過(guò)面部識(shí)別和加密保護(hù)客戶端隱私數(shù)據(jù)，但加密后的數(shù)據(jù)失去了閱讀價(jià)值。

綜上所述，現(xiàn)有的方法不能滿足用戶保護(hù)客戶端獲取的敏感數(shù)據(jù)的需求，不能滿足智能終端超出可控范圍或者身份信息泄露后保護(hù)敏感數(shù)據(jù)的需求，為解決上述問(wèn)題，本文提出了一種訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法。

2 訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法

本節(jié)將對(duì)訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法的總體設(shè)計(jì)和具體實(shí)現(xiàn)細(xì)節(jié)進(jìn)行詳細(xì)介紹。其中 2.1節(jié)給出了訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法的總體設(shè)計(jì)。2.2節(jié)介紹了訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法的具體實(shí)現(xiàn)細(xì)節(jié)。

2.1 總體設(shè)計(jì)

本文提出的方法設(shè)計(jì)目標(biāo)是確保隱私數(shù)據(jù)的授權(quán)訪問(wèn)時(shí)間可控性，并且在智能設(shè)備超出可控范圍或用戶身份泄露后仍能保護(hù)用戶的隱私數(shù)據(jù)。圖 1描述了訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)技術(shù)的系統(tǒng)組成，客戶端向服務(wù)提供單元請(qǐng)求數(shù)據(jù)服務(wù)時(shí)，需要提供新、舊臨時(shí)參數(shù)，同時(shí)服務(wù)提供單元在自身保存的臨時(shí)參數(shù)列表中驗(yàn)證臨時(shí)參數(shù)的真實(shí)性，并根據(jù)臨時(shí)參數(shù)列表對(duì)查詢結(jié)果進(jìn)行脫敏操作。

2.2 訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法

本方法共分為三部分：分別為客戶端程序處理部分、服務(wù)端程序處理部分和客戶端計(jì)時(shí)部分。圖2是本方法執(zhí)行流程的示意圖。

2.2.1 客戶端程序處理部分

用戶請(qǐng)求隱私數(shù)據(jù)時(shí)的登錄狀態(tài)和臨時(shí)參數(shù)是否在臨時(shí)參數(shù)有效期內(nèi)，決定了請(qǐng)求參數(shù)內(nèi)容的不同；本方法中的客戶端處理部分通過(guò)判斷用戶的登錄狀態(tài)和臨時(shí)參數(shù)是否在有效期內(nèi)為用戶重新組裝請(qǐng)求，接著發(fā)起服務(wù)請(qǐng)求。圖3是客戶端程序的處理部分的流程圖。

圖1 訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)技術(shù)的系統(tǒng)組成Fig.1 System composition of terminal sensitive data protection method by self-regulated access time

圖2 訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法Fig.2 Terminal sensitive data protection method by self-regulated access time

圖3 客戶端程序處理部分Fig.3 Processing section of client-side

2.2.2 服務(wù)端處理部分

服務(wù)端通過(guò)用戶的臨時(shí)參數(shù)訪問(wèn)時(shí)長(zhǎng)，控制用戶獲取隱私數(shù)據(jù)的時(shí)長(zhǎng)，并根據(jù)臨時(shí)參數(shù)的狀態(tài)為用戶提供不同的數(shù)據(jù)服務(wù)。本方法中的服務(wù)端處理部分采用滑動(dòng)時(shí)間窗口的細(xì)粒度訪問(wèn)控制方法，根據(jù)新、舊臨時(shí)參數(shù)、當(dāng)前訪問(wèn)時(shí)間、上次訪問(wèn)時(shí)間、臨時(shí)參數(shù)有效期和臨時(shí)參數(shù)可用時(shí)長(zhǎng)，動(dòng)態(tài)更新用戶的臨時(shí)參數(shù)訪問(wèn)時(shí)長(zhǎng)，并且在判斷臨時(shí)參數(shù)超出有效期時(shí)，為用戶提供脫敏后的數(shù)據(jù)，提高了用戶獲取隱私數(shù)據(jù)的體驗(yàn)。圖4是服務(wù)端處理部分的流程圖。

2.2.3 客戶端計(jì)時(shí)部分

客戶端程序使用私鑰解密返回結(jié)果，得到查詢結(jié)果和臨時(shí)參數(shù)有效期，并開(kāi)始計(jì)時(shí)，若用戶在臨時(shí)參數(shù)有效期內(nèi)停止訪問(wèn)，則停止計(jì)時(shí)，并當(dāng)再次訪問(wèn)時(shí)，重新執(zhí)行客戶端程序處理部分；否則，若用戶在訪問(wèn)隱私數(shù)據(jù)時(shí)臨時(shí)參數(shù)超過(guò)有效期，則客戶端程序自動(dòng)退出訪問(wèn)，并提示重新登錄；若在訪問(wèn)隱私數(shù)據(jù)時(shí)，用戶在臨時(shí)參數(shù)有效期內(nèi)進(jìn)行了獲取數(shù)據(jù)庫(kù)數(shù)據(jù)的操作，則在客戶端獲取查詢結(jié)果和臨時(shí)參數(shù)有效期后，重新開(kāi)始計(jì)時(shí)。

3 攻擊模型及安全性分析

本文是一種訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法，此方法具有客戶端獲取的隱私數(shù)據(jù)與時(shí)間相關(guān)、授權(quán)訪問(wèn)時(shí)間短、授權(quán)訪問(wèn)時(shí)間強(qiáng)連續(xù)性、服務(wù)端和客戶端均可控制訪問(wèn)時(shí)間的特點(diǎn)。

本節(jié)提出了幾種攻擊模型，并對(duì)相應(yīng)的攻擊模型進(jìn)行了安全性分析，證明了本方法的安全性。

3.1 外部人員攻擊

3.1.1 繞過(guò)登錄驗(yàn)證

1、攻擊模型

圖5是繞過(guò)登錄驗(yàn)證的攻擊流程圖，具體流程如下：

（1）惡意破壞者獲得設(shè)備的控制權(quán)；

（2）惡意破壞者更改客戶端保存的臨時(shí)參數(shù)有效期；

（3）惡意破壞者繞過(guò)服務(wù)端的登錄驗(yàn)證方式直接訪問(wèn)服務(wù)器；

（4）惡意破壞者請(qǐng)求敏感數(shù)據(jù)，服務(wù)器返回結(jié)果。

圖5 繞過(guò)登錄驗(yàn)證Fig.5 Bypass login verification

2、安全性分析

本方法中客戶端存儲(chǔ)的臨時(shí)參數(shù)僅用于控制客戶端獲取的數(shù)據(jù)安全，當(dāng)用戶在訪問(wèn)隱私數(shù)據(jù)時(shí)且臨時(shí)參數(shù)超過(guò)有效期，則客戶端程序自動(dòng)退出。

服務(wù)提供單元通過(guò)服務(wù)端保存的臨時(shí)參數(shù)列表驗(yàn)證客戶端提供的臨時(shí)參數(shù)是否還在有效期，客戶端修改自己的臨時(shí)參數(shù)有效期無(wú)效，攻擊無(wú)效。

3.1.2 重放攻擊

1、攻擊模型

圖6是重放攻擊的攻擊流程圖，具體流程如下：

（1）黑客攔截網(wǎng)絡(luò)流量，通過(guò)分析網(wǎng)絡(luò)流量得到臨時(shí)參數(shù)或直接獲得查詢結(jié)果；

（2）使用臨時(shí)參數(shù)偽裝成客戶端程序，向服務(wù)端提交查詢請(qǐng)求和獲取的臨時(shí)參數(shù)；

（3）服務(wù)端返回查詢結(jié)果。

圖6 重放攻擊Fig. 6 Replay attack

2、安全性分析

服務(wù)端和客戶端采用 RSA加密的方式傳輸查詢請(qǐng)求和查詢結(jié)果。由于只有服務(wù)端和客戶端的私鑰可以解密，所以黑客不能通過(guò)分析截獲的網(wǎng)絡(luò)流量獲得真實(shí)的查詢請(qǐng)求和查詢結(jié)果，攻擊無(wú)效。

3.2 內(nèi)部人員攻擊

3.2.1 內(nèi)部人員修改臨時(shí)參數(shù)列表

由于當(dāng)距離上次攻擊超過(guò)dt時(shí)，才更新臨時(shí)參數(shù)有效期，所以可通過(guò)驗(yàn)證上次請(qǐng)求的時(shí)間與臨時(shí)參數(shù)有效期之差是否超過(guò)臨時(shí)參數(shù)可用時(shí)長(zhǎng)來(lái)防止攻擊。

1、攻擊模型

圖7是內(nèi)部人員修改臨時(shí)參數(shù)列表的攻擊流程圖，具體流程如下：

（1）獲得修改臨時(shí)參數(shù)列表的權(quán)限；

（2）可進(jìn)行以下攻擊：

A: 臨時(shí)參數(shù)已過(guò)期

內(nèi)部人員將自己的臨時(shí)參數(shù)有效期增長(zhǎng)，使臨時(shí)參數(shù)重新有效；

安全性分析：服務(wù)端驗(yàn)證臨時(shí)參數(shù)未過(guò)期，判斷當(dāng)前時(shí)間(curr)和臨時(shí)參數(shù)可用時(shí)長(zhǎng)(avil)之和與臨時(shí)參數(shù)有效期(T)之差小于 dt時(shí)，即(curr+avil-dt＜T)，提示錯(cuò)誤，不提供服務(wù)，攻擊無(wú)效。

B: 臨時(shí)參數(shù)未過(guò)期

內(nèi)部人員為長(zhǎng)期訪問(wèn)隱私數(shù)據(jù)，增長(zhǎng)臨時(shí)參數(shù)有效期；或惡意縮短他人臨時(shí)參數(shù)有效期；

安全性分析：服務(wù)端驗(yàn)證臨時(shí)參數(shù)是否過(guò)期，使用當(dāng)前時(shí)間和臨時(shí)參數(shù)可用時(shí)長(zhǎng)更新臨時(shí)參數(shù)有效期，覆蓋了內(nèi)部人員修改的臨時(shí)參數(shù)有效期，內(nèi)部人員修改臨時(shí)參數(shù)有效期無(wú)效。

（3）服務(wù)器在獲得查詢結(jié)果后，判斷臨時(shí)參數(shù)在對(duì)應(yīng)的臨時(shí)參數(shù)有效期內(nèi)，返回敏感數(shù)據(jù)。

圖7 內(nèi)部人員修改臨時(shí)參數(shù)列表Fig.7 Modification of temporary parameter list by insider

3.2.2 重放攻擊

1、攻擊模型

圖8是內(nèi)部人員進(jìn)行重放攻擊的攻擊流程圖，具體流程如下：

（1）獲得臨時(shí)參數(shù)列表中的內(nèi)容；

（2）偽裝成客戶端程序，向服務(wù)器提交查詢請(qǐng)求和獲得的臨時(shí)參數(shù)；

（3）服務(wù)端接收臨時(shí)參數(shù)和查詢請(qǐng)求，并返回查詢結(jié)果。

圖8 重放攻擊Fig.8 Replay attack

2、安全性分析：

服務(wù)提供單元收到查詢請(qǐng)求和臨時(shí)參數(shù)的同時(shí)，驗(yàn)證用戶設(shè)備的mac地址是否為已授權(quán)設(shè)備的mac地址。服務(wù)提供單元判斷mac地址不是已授權(quán)設(shè)備的mac地址，不提供服務(wù)，阻止了惡意破壞者進(jìn)行重放攻擊。

通過(guò)以上分析得出結(jié)論：本文中提出的方法可以抵抗上述提出的攻擊模型，實(shí)現(xiàn)了對(duì)用戶數(shù)據(jù)的保護(hù)；本文并沒(méi)有對(duì)現(xiàn)有的其他攻擊模型和其安全性分析進(jìn)行介紹，并不能不保證本文中提出的方法可以抵抗現(xiàn)有的其他攻擊。

4 有效性分析

本節(jié)通過(guò)將本文中提出的方法與現(xiàn)有的數(shù)據(jù)保護(hù)方法進(jìn)行對(duì)比，證明本方法的有效性。

表1中的設(shè)備超出可控范圍、外部人員攻擊和內(nèi)部人員攻擊根據(jù)本文中提出的攻擊模型設(shè)定，數(shù)據(jù)的可用性指的是客戶端獲取的數(shù)據(jù)的可用性。

由表 1可以得出以下結(jié)論：文獻(xiàn)[5]、文獻(xiàn)[6]和文獻(xiàn)[15]由于客戶端獲取的敏感數(shù)據(jù)均為明文數(shù)據(jù)，不能解決設(shè)備超出可控范圍和攻擊者繞過(guò)登錄驗(yàn)證時(shí)的敏感數(shù)據(jù)的安全。文獻(xiàn)[5]中服務(wù)端保存的為明文數(shù)據(jù)，不能抵抗內(nèi)部人員的攻擊。文獻(xiàn)[15]由于服務(wù)端保存的為明文數(shù)據(jù)，且傳輸?shù)臑槊魑臄?shù)據(jù)，不能抵抗外部人員進(jìn)行繞過(guò)登錄驗(yàn)證或重放攻擊，且不能抵抗內(nèi)部人員攻擊。

本文中提出的方法，當(dāng)用戶在獲取隱私數(shù)據(jù)時(shí)臨時(shí)參數(shù)過(guò)期時(shí)自動(dòng)退出，防止了設(shè)備超出可控范圍時(shí)的攻擊；服務(wù)端對(duì)用戶授權(quán)訪問(wèn)時(shí)間，修改客戶端參數(shù)無(wú)效，防止了繞過(guò)登錄驗(yàn)證方式的攻擊；采用加密的方式進(jìn)行傳輸，防止了外部人員進(jìn)行重放攻擊；服務(wù)端中保存的是明文數(shù)據(jù)，但每次請(qǐng)求滿足一定條件時(shí)，服務(wù)端使用當(dāng)前時(shí)間和臨時(shí)參數(shù)可用時(shí)長(zhǎng)更新臨時(shí)參數(shù)列表，覆蓋了內(nèi)部人員的操作，防止了內(nèi)部人員修改臨時(shí)參數(shù)列表的攻擊；驗(yàn)證提交請(qǐng)求的設(shè)備是否已授權(quán)設(shè)備對(duì)應(yīng)的臨時(shí)參數(shù)，防止了進(jìn)行內(nèi)部人員的重放攻擊。

以上對(duì)比，表明了本方法的可行性和有效性。

5 總結(jié)

通過(guò)研究現(xiàn)有的隱私數(shù)據(jù)保護(hù)方法，本文提出了一種訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法，該方法關(guān)注客戶端獲取的數(shù)據(jù)安全，采用基于滑動(dòng)時(shí)間窗口的細(xì)粒度訪問(wèn)控制方法，解決客戶端隱私數(shù)據(jù)授權(quán)訪問(wèn)時(shí)間長(zhǎng)的問(wèn)題；通過(guò)使用臨時(shí)參數(shù)的動(dòng)態(tài)有限授權(quán)規(guī)則和身份驗(yàn)證機(jī)制，為用戶動(dòng)態(tài)授予訪問(wèn)隱私數(shù)據(jù)的權(quán)限，且客戶端可根據(jù)臨時(shí)參數(shù)有效期，自動(dòng)結(jié)束訪問(wèn)隱私數(shù)據(jù)，訪問(wèn)時(shí)間靈活可控；同時(shí)本方法采用數(shù)據(jù)脫敏對(duì)敏感數(shù)據(jù)進(jìn)行安全保護(hù)，脫敏后的數(shù)據(jù)仍具有閱讀價(jià)值，避免了用戶為獲取某些敏感數(shù)據(jù)進(jìn)行不必要的身份驗(yàn)證，提升了用戶體驗(yàn)。

表1 數(shù)據(jù)保護(hù)方法對(duì)比表Tab.1 Comparison table of data protection methods

本文介紹了客戶端獲取的數(shù)據(jù)可能受到的攻擊，通過(guò)分析本方法對(duì)各個(gè)攻擊給出的具體解決方案，證明了本方法的安全性；并通過(guò)與現(xiàn)有的數(shù)據(jù)保護(hù)方法進(jìn)行對(duì)比，證明了本方法的有效性。

[1] 鄧海生, 劉嘯, 李軍懷,等. 基于時(shí)間約束的隱私保護(hù)數(shù)據(jù)查詢方法研究[J]. 計(jì)算機(jī)技術(shù)與發(fā)展, 2013(10): 119-122.

[2] 周水庚, 李豐, 陶宇飛, 等. 面向數(shù)據(jù)庫(kù)應(yīng)用的隱私保護(hù)研究綜述[J]. 計(jì)算機(jī)學(xué)報(bào), 2009, 32(5): 847-861.

[3] 曹珍富, 董曉蕾, 周俊, 等. 大數(shù)據(jù)安全與隱私保護(hù)研究進(jìn)展[J]. 計(jì)算機(jī)研究與發(fā)展, 2016, 53(10): 2137-2151.

[4] 陳天瑩, 陳劍鋒. 大數(shù)據(jù)環(huán)境下的智能數(shù)據(jù)脫敏系統(tǒng)[J].通信技術(shù), 2016, 49(7): 915-922.

[5] 陸渝. 基于時(shí)間的數(shù)據(jù)保護(hù)方法及其終端:, CN 103559456 A[P]. 2014.

[6] 劉曙輝, 李云峰, 胡濤. 一種數(shù)據(jù)保護(hù)方法及服務(wù)器, CN 106529340A[P]. 2017.

[7] 張鵬, 童云海, 唐世渭,等. 一種有效的隱私保護(hù)關(guān)聯(lián)規(guī)則挖掘方法[J]. 軟件學(xué)報(bào), 2006, 17(8): 1764-1774.

[8] LATANYA SWEENEY. ACHIEVING k-ANONYMITY PRIVACY PROTECTION USING GENERALIZATION,AND SUPPRESSION[J]. International Journal of Uncertainty,Fuzziness and Knowledge-Based Systems, 2002, 10(05): 57.

[9] Samarati P, Sweeney L. Generalizing data to provide anonymity when disclosing information (abstract)[C]//Seventeenth ACM Sigact-Sigmod-Sigart Symposium on Principles of Database Systems. ACM, 1998: 188.

[10] Yang Y, Zhang Z, Miklau G, et al. Differential privacy in data publication and analysis[C]// 2012: 601-606.

[11] 熊平, 朱天清, 王曉峰. 差分隱私保護(hù)及其應(yīng)用[J]. 計(jì)算機(jī)學(xué)報(bào), 2014, 37(1): 101-122.

[12] Radhakrishnan R, Kharrazi M, Memon N. Data Masking: A New Approach for Steganography?[J]. Journal of Signal Processing Systems, 2005, 41(3): 293-303.

[13] Sabapathy S, Kodavanti A, Adabala S K. Data masking: US,US 20130283059 A1[P]. 2013.

[14] D'Costa N H E, Hagelund P, Henderson D J, et al. Consistent data masking[J]. 2017.

[15] 劉科. 一種隱私保護(hù)的方法及移動(dòng)終端, CN 106599662 A[P]. 2017.

Terminal Sensitive Data Protection Method by Self-Regulated Access Time

LIANG Chen, LU Xiao-feng
(Department of Cyberspace Security, Beijing university of Posts and Telecommunications, 100876, China)

People incline to access to the network for life needs through intelligent terminal, if the user lose the control of the device, the privacy information are also leaked, so it is important to protect the data obtained by the client. In the view of the above, a method of terminal sensitive data protection method by self-regulated access time is proposed. This method provide a fine-grained access control method based on sliding time window, apply a dynamic limited permission based on temporary parameter, use the temporary parameter for user authentication, and protect the sensitive data with desensitization, which can meet the safety of the obtained data by client, and also meet the availability of the data. The proposed method based on the access control、authorized time and desensitization was compared with those existing data protection methods, and the validity of this proposed method was verified.

Information security; Self-regulated access time; Fata masking; Data privacy; Temporary parameter

TP309

A

10.3969/j.issn.1003-6970.2017.12.013

本文著錄格式：梁辰，蘆效峰. 訪問(wèn)時(shí)間自調(diào)節(jié)的終端隱私數(shù)據(jù)保護(hù)方法[J]. 軟件，2017，38（12）：70-74

國(guó)家自然科學(xué)基金面上項(xiàng)目(No. 61472046)；國(guó)家自然科學(xué)基金面上項(xiàng)目(No. 61372109)

梁辰，(1990-)，女，碩士，研究方向?yàn)殡[私數(shù)據(jù)安全；蘆效峰，(1976-)，男，博士，副教授，研究方向?yàn)樾畔踩?、隱私數(shù)據(jù)安全、網(wǎng)絡(luò)安全。

蘆效峰，(1976-)，男，博士，副教授，研究方向?yàn)樾畔踩?、隱私數(shù)據(jù)安全、網(wǎng)絡(luò)安全。