移動云服務(wù)中用戶行為記錄的保護研究

移動云服務(wù)中用戶行為記錄的保護研究

移動云計算是一種新型的計算方法，通過分布式計算、網(wǎng)格計算和對稱計算后，它成為了一個熱點。它以存儲資源、應(yīng)用集中管理和服務(wù)外包為核心，迅速成為計算機和醫(yī)療保健發(fā)展的熱點。大多數(shù)的移動云服務(wù)安全框架主要針對數(shù)據(jù)加密傳輸、安全的環(huán)境搭建以及用戶身份的保密處理等。通過研究，我們發(fā)現(xiàn)用戶使用移動云服務(wù)后留下的行為記錄也會對用戶的隱私安全產(chǎn)生很大的威脅。例如，面對云端的海量數(shù)據(jù)，攻擊者往往會找不到有價值的竊取目標(biāo)，但是那些訪問頻繁或是修改次數(shù)多的數(shù)據(jù)就給了攻擊者明確的攻擊目標(biāo)，這些獲得用戶青睞的數(shù)據(jù)也通常會是十分重要的數(shù)據(jù)。如圖1所示，云端數(shù)據(jù)的差異本來是不顯著的，但由于用戶對關(guān)鍵數(shù)據(jù)的頻繁訪問處理，這些關(guān)鍵數(shù)據(jù)就會因為用戶的行為記錄而變得特別醒目，從而成為攻擊者的目標(biāo)。同樣受到行為記錄影響的還有用戶的身份隱私，雖然用戶A與B為用戶的虛擬身份，但是移動云服務(wù)端依然可以跟蹤這些虛擬身份，把其存儲的信息與用戶的虛擬身份綁定在一起。更為危險的是：圖中用戶A在不同時間段留下了與真實身份相關(guān)的3個信息，云端會發(fā)現(xiàn)這些信息都是A存儲的，就可以把這些信息綜合起來推測出用戶A的真實身份。移動云服務(wù)本身對用戶隱私身份的威脅是不容忽視的，因為若一個云服務(wù)的普通工作人員能夠查看用戶的行為記錄信息，從而輕易地綁定用戶的虛擬身份，這會嚴(yán)重威脅到用戶的隱私安全。綜上所述，用戶使用云服務(wù)的行為記錄既會暴露關(guān)鍵數(shù)據(jù)的位置，也影響到用戶的隱私安全。為了給用戶提供不受行為記錄影響的隱私安全保護，本文針對行為記錄造成的用戶虛擬身份被鎖定問題和關(guān)鍵數(shù)據(jù)位置暴露問題，提出了環(huán)身份接入控制框架和數(shù)據(jù)接入控制框架。本文第1節(jié)研究分析目前安全框架的不足并提出改進的思路；第2節(jié)引入網(wǎng)絡(luò)模型；在此基礎(chǔ)上第3節(jié)介紹隱私保護框架和算法；第4節(jié)為本文框架的安全性分析與評價；最后總結(jié)全文。1環(huán)身份接入控制為了解決云服務(wù)中的隱私安全問題，本文從框架和算法兩個方面提出了改進。這里提到的云服務(wù)記錄對用戶的影響，Dou和Zhang對其也有研究，他們發(fā)現(xiàn)了云服務(wù)記錄對判斷各個云服務(wù)的服務(wù)質(zhì)量和安全系數(shù)有很大幫助在框架結(jié)構(gòu)方面，DimitrisZissis在算法設(shè)計方面，Oruta本文結(jié)合傳統(tǒng)的由第三方提供身份證書的服務(wù)框架，提出了環(huán)身份接入控制框架，來確保云服務(wù)不能夠跟蹤用戶隱私身份。在身份接入控制端把用戶群組成一個環(huán)，環(huán)中每個用戶利用自己的私鑰和環(huán)成員的公鑰完成身份證書認(rèn)證。這樣，即使用戶在使用云服務(wù)時不小心留下了與隱私相關(guān)的部分信息，攻擊者也無法確定這些信息是不是屬于同一個用戶，也就不能通過綜合這些信息來發(fā)現(xiàn)用戶的真實身份。而且，本文中的環(huán)身份證書認(rèn)證方法結(jié)合了零知識驗證算法，使得增加或是減少環(huán)成員都顯得很方便，只需要在客戶端更新其他環(huán)成員的公鑰組。在用戶擁有環(huán)身份證書的前提下，結(jié)合數(shù)據(jù)接入控制框架的環(huán)數(shù)字簽名算法，使得云服務(wù)工作人員也不能根據(jù)用戶的數(shù)字簽名推測出用戶隱私身份?？偟膩碚f，本文結(jié)合身份接入控制框架和數(shù)據(jù)接入控制框架以及環(huán)簽名算法來處理用戶行為記錄對隱私安全的影響。2網(wǎng)絡(luò)模型2.1數(shù)據(jù)接入控制在本文的框架中主要有5個模塊（見圖2）：用戶群、身份接入控制、云、數(shù)據(jù)接入控制、云服務(wù)工作人員。其中身份接入控制框架模塊為：用戶群、云服務(wù)端和身份接入控制。數(shù)據(jù)接入控制框架模塊為：用戶群、云服務(wù)端、數(shù)據(jù)接入控制和云服務(wù)工作員。用戶登錄使用移動云服務(wù)所需要的虛擬身份證書由身份接入控制端生成。在這里，身份接入控制端把λ個用戶劃分為一個用戶群體，然后執(zhí)行本文的環(huán)身份證書生成算法，來給用戶群提供統(tǒng)一的身份證書。在用戶利用環(huán)身份證書注冊云服務(wù)虛擬身份時，結(jié)合本文網(wǎng)絡(luò)模型中的零知識驗證算法，使用戶不需要傳遞私鑰就能完成驗證過程。之后，用戶憑借環(huán)身份證書使用移動云服務(wù)。由于云端的軟硬件故障或者工作人員的操作不當(dāng)，存儲在云端的數(shù)據(jù)或許會遭到破壞，于是用戶每次調(diào)用數(shù)據(jù)前都需要檢測數(shù)據(jù)的完整性，這樣檢測數(shù)據(jù)的工作人員就能通過用戶的數(shù)字簽名變化推測出用戶的行為記錄，繼而窺視到用戶隱私。為了防止上述現(xiàn)象，加入數(shù)據(jù)接入控制端，數(shù)據(jù)接入控制在環(huán)數(shù)字簽名協(xié)議下可以給用戶群提供統(tǒng)一的可驗證的數(shù)字簽名，使用戶的檢測數(shù)據(jù)行為不再有差異，也就不會泄露用戶隱私。同時，數(shù)據(jù)接入控制還負(fù)責(zé)根據(jù)用戶的行為記錄調(diào)度數(shù)據(jù)存儲位置，均勻分布關(guān)鍵數(shù)據(jù)位置。在云服務(wù)數(shù)據(jù)記錄被訪問時，反饋整合后的數(shù)據(jù)記錄，防止攻擊者通過用戶行為記錄判斷出關(guān)鍵數(shù)據(jù)位置以及用戶身份。2.2環(huán)簽名算法設(shè)計1）零知識驗證算法。本文中在用戶獲取環(huán)身份證書過程中需要零知識驗證。具體是指：A向B證明擁有對應(yīng)的私鑰，卻不需要把私鑰展示給B看的驗證方法。下面舉一個示例，存在一個公開的密鑰驗證方法C=D2）環(huán)身份證書生成算法。本文中身份接入控制端給用戶提供的身份證書是面向一個用戶群體的。這里，密鑰證書形式借用Camenisch和Lysyanskaya然后計算出環(huán)證書Q的值（m和e是隨機數(shù)值）：這個框架有兩個部分：數(shù)字簽名和簽名認(rèn)證。這里使用上面提到的零知識驗證方法，用戶不需要傳輸私鑰sk3）環(huán)數(shù)字簽名算法。用戶的數(shù)字簽名方案由客戶端和數(shù)據(jù)接入控制端的交互來完成。表1列出了環(huán)簽名基本參數(shù)。先計算簽名用戶公鑰J，再生成用戶環(huán)簽名主要部分s通過上面的計算生成了環(huán)數(shù)字簽名：由數(shù)據(jù)接入控制端把環(huán)簽名S發(fā)送給用戶群的每個用戶。用戶使用環(huán)簽名進行數(shù)據(jù)檢測服務(wù)時，云服務(wù)工作員就不再能根據(jù)其數(shù)字簽名的不同區(qū)分各個數(shù)據(jù)塊差異。3用戶身份隱私和關(guān)鍵數(shù)據(jù)位置泄露為了解決用戶行為記錄對隱私安全的影響，本文框架加入了身份接入控制和數(shù)據(jù)接入控制來解決用戶身份隱私和關(guān)鍵數(shù)據(jù)位置泄露問題。用戶利用從身份接入控制端獲得的環(huán)身份證書去云服務(wù)端注冊虛擬賬戶，數(shù)據(jù)接入控制端整合數(shù)據(jù)的行為記錄發(fā)送給云服務(wù)工作人員，并且提供給用戶環(huán)數(shù)字簽名來完成數(shù)據(jù)完整性檢測。3.1環(huán)身份證書的生成用戶在長期使用移動云服務(wù)過程中，有時會不可避免地留下自己的隱私信息，如：家庭住址、手機號碼，甚至真實的身份信息等。除去上面這些因素，對攻擊者來說，還可以通過用戶上傳或修改數(shù)據(jù)的頻率來判斷出某個項目的主要負(fù)責(zé)人，也可以通過數(shù)據(jù)被修改的頻率猜測出關(guān)鍵數(shù)據(jù)的位置所在。上面暴露出的這些隱私安全問題，主要原因在于用戶的身份證書在長期的驗證登錄之后容易被攻擊者綁定，攻擊者可以把不同的用戶區(qū)分出來，再通過用戶的行為習(xí)慣判斷想要竊取的信息。為了解決上述隱私安全問題，本文在身份接入控制端為用戶群提供環(huán)身份證書。把有限數(shù)量的用戶劃分在一個群里面，用戶在身份接入控制端注冊的身份證書只能表明其屬于這個合法的群體，攻擊者不能把身份證書與集群中的用戶一一對應(yīng)起來。下面是用戶在身份接入控制端注冊的詳細(xì)過程：1）客戶端把注冊請求、手機信息發(fā)送給身份接入控制端；2）身份接入控制端對比此手機信息，如果注冊次數(shù)超過次數(shù)上限r(nóng)，則返回用戶失?。?）身份接入控制端返回用戶核實，驗證此手機信息是否有效，如果驗證失敗，則返回用戶失??；4）驗證成功后，客戶端利用式（1）生成此用戶的公鑰sk5）身份接入控制端按用戶需求發(fā)送其他環(huán)成員的公鑰信息組{sk6）客戶端利用式（2）、式（3）生成環(huán)身份證書；7）客戶端存儲隨機參數(shù)對（e,m）并把與用戶對應(yīng)的Q值發(fā)送給身份接入控制端。之后用戶在移動云服務(wù)注冊虛擬賬戶時，只需要利用零知識驗證算法執(zhí)行式（4）就能完成云服務(wù)賬戶注冊。利用環(huán)身份證書作為可信的合法用戶憑證可以有效地解決用戶被攻擊者跟蹤的問題，甚至云服務(wù)端也不能區(qū)分某個特定的用戶。對于移動云服務(wù)來說，用戶不論在上傳、修改或是進行完整性驗證的時候，都只是環(huán)成員中不確定的一個，云服務(wù)不能根據(jù)用戶的長期行為記錄去區(qū)分出其中的關(guān)鍵人物。特別地，對于一個工作團隊來說，由于頻繁的數(shù)據(jù)修改，用戶會使用自己的數(shù)字簽名來驗證數(shù)據(jù)的完整性，這樣用戶的虛擬身份和數(shù)字簽名會很容易地被綁定在一起。而在本文提出的環(huán)身份認(rèn)證算法中，一個用戶的身份證書會對應(yīng)多種不同的數(shù)字簽名方案，數(shù)據(jù)完整性檢測人員也就不能夠通過數(shù)字簽名的差異來跟蹤并發(fā)現(xiàn)用戶的真實身份。但是，用戶數(shù)字簽名的行為記錄依然會暴露關(guān)鍵數(shù)據(jù)位置所在，這個問題在3.3節(jié)環(huán)簽名算法中得到了很好的解決。3.2數(shù)據(jù)接入控制對于攻擊者來說，大多數(shù)時候只想竊取存儲在移動云服務(wù)端的關(guān)鍵數(shù)據(jù)。事實上，存儲在云端的數(shù)據(jù)量十分龐大，攻擊者也很難找到對其有價值的數(shù)據(jù)信息。通常認(rèn)為被用戶修改頻繁或者是受檢測次數(shù)多的數(shù)據(jù)會比較重要，這些數(shù)據(jù)就會成為攻擊者的攻擊目標(biāo)。另一種情況下，用戶存儲在移動云服務(wù)端的數(shù)據(jù)文件通常被分成很多小的數(shù)據(jù)塊，這樣一方面便于分布式存儲，另一方面也減少了整個數(shù)據(jù)文件被竊取的幾率。但是，用戶長期留下的行為記錄卻會增加文件被完全竊取的可能性。例如，一個具體的圖像文件P被分割成{p為了解決上面提到的用戶行為記錄次數(shù)暴露數(shù)據(jù)位置的問題，在云服務(wù)數(shù)據(jù)接入控制端加入了行為記錄整合以及數(shù)據(jù)調(diào)度功能。在數(shù)據(jù)接入控制框架中，云服務(wù)數(shù)據(jù)檢測人員并不能直接獲取各個數(shù)據(jù)塊的行為記錄。數(shù)據(jù)接入控制端負(fù)責(zé)把一個存儲陣列中的存儲內(nèi)容記錄總地呈現(xiàn)給云服務(wù)工作人員，這樣既保護了用戶數(shù)據(jù)信息的安全，也不妨礙工作人員管理云服務(wù)；并且，數(shù)據(jù)接入控制端會周期性地把訪問頻次較高的數(shù)據(jù)塊與相鄰陣列中的低訪問量數(shù)據(jù)交換物理存儲位置，達到一個存儲陣列中數(shù)據(jù)訪問均衡的目的，這樣既使數(shù)據(jù)安全隱私得到保障，也使云服務(wù)的資源能夠得到更合理的分配，不會出現(xiàn)部分存儲陣列訪問過高而有些存儲陣列基本閑置的狀況。3.3數(shù)據(jù)接入檢測由于云服務(wù)可能因為軟硬件出錯、管理員操作不當(dāng)?shù)纫鸫鎯?shù)據(jù)錯誤，用戶通常在使用云端數(shù)據(jù)時都需要進行數(shù)據(jù)的完整性檢測。云服務(wù)的數(shù)據(jù)量十分龐大，逐一檢測數(shù)據(jù)完整性是不切實際的，這里針對其通常使用的數(shù)字簽名算法中的安全隱患提出新的框架結(jié)構(gòu)和算法。在處理多人參與的共享數(shù)據(jù)時，若使用通常的云服務(wù)身份注冊方案，移動云服務(wù)的工作人員可以通過其數(shù)據(jù)檢測記錄推測出數(shù)據(jù)庫的主要數(shù)據(jù)部分所在，同時能夠鎖定項目組的主要負(fù)責(zé)人。下面通過一個實際的案例予以說明，如圖3所示。在圖3顯示的數(shù)字簽名記錄下，當(dāng)用戶使用各自不同的數(shù)字簽名時，能夠很容易地看到大部分的數(shù)據(jù)修改和檢驗工作都是由S1）客戶端利用式（5）生成用戶公鑰J，然后發(fā)送云服務(wù)數(shù)據(jù)地址和參數(shù)組（e,m）以及公鑰J到數(shù)據(jù)接入控制端；2）數(shù)據(jù)接入控制端訪問云服務(wù)，取出待檢測數(shù)據(jù)m′和用戶環(huán)簽名參數(shù)Q，之后使用式（6）-式（8）計算出此用戶環(huán)簽名S;3）數(shù)據(jù)接入控制把簽名S和數(shù)據(jù)m′以及參數(shù)組（α，g4）工作員驗證簽名的合法性，若合法，則繼續(xù)檢測數(shù)據(jù)的完整性；5）檢測結(jié)果由數(shù)據(jù)接入控制端返回給用戶。在本文的數(shù)據(jù)接入控制框架和環(huán)簽名算法下，一個工作組的用戶每次修改文件后都使用同樣的環(huán)簽名，這樣云服務(wù)檢測人員就看不到簽名的變化，也就不能夠獲取用戶隱私及關(guān)鍵數(shù)據(jù)位置。4數(shù)據(jù)接入控制針對移動云服務(wù)中用戶行為記錄對隱私安全的影響，本文提出了身份接入控制框架和環(huán)身份證書算法來確保云服務(wù)不能鎖定用戶隱私身份；在此基礎(chǔ)上，在云服務(wù)端加入數(shù)據(jù)接入控制，并結(jié)合環(huán)簽名算法，來確保云服務(wù)工作員既不能窺視用戶隱私，也不能夠獲得關(guān)鍵數(shù)據(jù)存儲位置信息。下面先分析本文框架結(jié)構(gòu)的安全性，再通過環(huán)簽名算法驗證過程來說明其在用戶隱私保護中的作用。4.1數(shù)據(jù)接入控制對本文框架的評價從兩部分來闡述，即身份接入控制框架和數(shù)據(jù)接入控制框架。1）身份接入控制框架不會威脅用戶以及云服務(wù)隱私。本文的身份接入控制框架給用戶提供的身份證書為環(huán)身份證書，使用戶能夠很好地對移動云服務(wù)保密自己的隱私身份。但是完全可信賴的第三方（即身份接入控制）是不存在的，為了防止在用戶使用云服務(wù)時，身份接入控制端跟蹤用戶并獲取用戶使用云服務(wù)的情況以及云服務(wù)本身的業(yè)務(wù)狀況信息，本文框架使身份接入控制不與云服務(wù)直接聯(lián)系。而且在本文框架下，身份接入控制端一般處于對用戶關(guān)閉狀態(tài)，用戶的環(huán)身份證書只需要認(rèn)證一次就能讓用戶與云服務(wù)正常交互信息。只有在環(huán)成員有變動的情況下，身份接入控制端才需要獲取新用戶的公鑰，再發(fā)送給用戶群的各個客戶端，來重新生成環(huán)身份證書。所以，這不僅保護了用戶對移動云服務(wù)的隱私安全，也限制了身份接入控制端參與云服務(wù)過程，從而防止了其竊取用戶隱私和云服務(wù)的商業(yè)機密。2）數(shù)據(jù)接入控制框架在保護用戶隱私的同時也節(jié)省了客戶端功耗，并維護了云服務(wù)的利益。在數(shù)據(jù)接入控制部分，本文把生成環(huán)數(shù)字簽名的主要過程從客戶端移到了數(shù)據(jù)接入控制端，通過式（5）對用戶的私鑰進行處理，使得數(shù)據(jù)接入控制端可以取代客戶端的簽名過程，卻不會泄露用戶的私鑰。與oruta4.2環(huán)簽名的生成1）云服務(wù)工作員能夠驗證簽名來自特定用戶群，并且驗證數(shù)據(jù)的完整性。從本文環(huán)簽名的生成過程得知，要證明這個論點，即是證明：在已知全部用戶簽名公鑰w2）云服務(wù)工作員不能確定簽名來自用戶群的哪個用戶，其正確猜測出簽名用戶的概率不會超過1/λ（λ為一個用戶群的總?cè)藬?shù)）。對于任意的α∈G而在移動云服務(wù)工作員看來，任意一個用戶的簽名表示為：可以清楚地看到M和N是等價的。所以對于任意的環(huán)簽名S=(s結(jié)束語針對用戶行為記錄會泄露關(guān)鍵數(shù)據(jù)位置并且暴露用戶