在隐私交换过程中,虽然有延伸控制机制,但总存在攻击者试图想办法绕过或者篡改控制机制,或者不完整地按延伸控制要求进行控制操作。
任何技术都无法提供绝对万无一失的保护,因此从整个技术发展的历史规律来看,隐私的保护与隐私的滥用是一对此消彼长的矛盾演化过程,所以一个成熟的隐私计算体系应该包含隐私侵权行为的判定与溯源。
在隐私信息系统中,实现隐私侵权行为判定是自动取证的基础,也是阻断隐私侵权行为扩散的重要关键技术,判定技术需要支持在线和离线实现。
隐私侵权行为判定是在隐私信息的溯源记录中根据隐私侵权行为的判定标准,判断是否存在违反约束条件和控制策略的行为;
溯源是在隐私信息交换过程中将交换的路径、交换过程中的相关操作以不可篡改的方式记录在隐私信息的审计控制信息集合Ω当中,为判定、取证和追踪提供依据。判定需与追踪溯源联动研究,构建一个有机结合的整体机制,而不是两个割裂开来的不相关的技术。
在隐私计算的框架体系下,隐私侵权行为及取证存在于其各个步骤中。
隐私侵权溯源取证主要包括:隐私侵权行为追踪溯源取证框架、隐私侵权行为判定、隐私侵权溯源取证3个部分。
一、隐私侵权行为追踪溯源取证框架
1.隐私信息抽取
当信息M产生时,通过语义逻辑的计算分析抽取或标注其隐私信息,得到隐私信息向量I、广义定位信息集合Γ和审计控制信息集合Ω,并计算得到隐私属性向量A。
此阶段主要用于界定隐私信息。
2.场景描述
对信息所处场景进行抽象描述,得到约束条件集合Θ、传播控制操作集合Ψ。
该阶段提供了对隐私侵权行为的判定标准,当不满足上述条件时,则判定为隐私侵权行为发生。
3.隐私操作
依据场景限制给各个隐私信息分量分配可进行的操作,形成隐私运算操作集合F,并在此基础上建立传播控制操作集合Ψ;
记录信息主体对该信息的隐私操作,生成或更新审计控制信息集合Ω。
超出上述两个集合的操作也会被判定为隐私侵权。
4.选择/设计方案
在该过程中,分析所选择/设计方案中涉及的运算是否满足隐私运算操作集合,操作的动作、对象、结果等是否超出约束条件集合。
防范隐私侵权行为发生,并作为隐私侵权判定标准。
5.隐私效果评估
该环节包括分析计算隐私保护代价C、隐私保护效果Q和隐私泄露损失收益比L。
当上述因素未达到预定目标时,则需要对隐私信息全生命周期保护进行反馈审核。
当发生隐私侵权时,需对前4个步骤中的信息流进行溯源分析,追踪隐私侵权发生的主体。
基于隐私信息六元组以及第三方监控或托管,界定隐私信息,判定隐私侵权行为,并通过隐私计算框架中各个步骤的联动,对异常行为进行取证,并找到侵权行为的源头,实现溯源取证。
二、隐私侵权行为判定
1.隐私侵权行为的判定标准生成
根据隐私信息的隐私保护需求,生成隐私信息的隐私侵权行为判定标准。
隐私保护需求包括:隐私保护算法类型、保护强度、隐私化效果等。
隐私信息的隐私侵权行为判定标准可采用可扩展标记语言等作为描述语言,判定标准描述内容为集合{操作主体,操作客体,操作行为,操作属性,约束条件,…},以及定义在这个集合上的逻辑表达式。
其中,操作主体可包括:信息所有者、信息转发者、信息接收者、信息发送设备、信息接收设备、信息传输设备等;
操作客体指被操作的隐私信息;
操作行为包括:隐私信息传播操作、隐私信息处理操作等;
操作属性指执行操作行为应满足的属性条件,包括:触发条件、环境信息、使用范围、媒体类型等,其中触发条件描述激活隐私侵权行为判断的条件,如离开或进入系统边界、离开或进入网络边界、发送隐私信息前、接收隐私信息前、其他自定义规则等,
环境信息包括:角色、时间、空间位置、设备、网络、操作系统,使用范围描述隐私操作的应用场景,如用于打印、显示器显示、移动存储介质交换、网络传输等,
媒体类型描述隐私信息文件的媒体格式,如文本、图片、音频、视频、超媒体等;
约束条件描述操作行为的权限,如允许或不允许。
2.隐私侵权行为的判定
根据隐私侵权行为判定标准,判断六元组中的审计控制信息是否存在隐私侵权行为。具体步骤如下:
① 生成审察项;
② 根据审察项对审计控制信息进行筛选,生成行为取证信息;
③ 当行为取证信息可信时,根据隐私侵权行为判定标准判断行为取证信息中是否存在隐私侵权行为,生成隐私侵权行为判定结果。
行为取证信息是筛选审察项所界定范围的审计控制信息。
从行为取证信息判断是否存在隐私侵权行为的步骤如下:
① 当隐私侵权行为判定标准中包括操作主体和操作客体时,其操作主体为行为取证信息中的操作主体,操作客体为行为取证信息中的操作客体所对应的操作属性、操作行为和约束条件等内容;
② 当隐私侵权行为判定标准中包括操作主体、不包括操作客体时,该操作主体为行为取证信息中的操作主体所对应的操作属性、操作行为和约束条件等内容;
③ 当隐私侵权行为判定标准中不包括操作主体、包括操作客体时,该操作客体为行为取证信息中的操作客体所对应的操作属性、操作行为和约束条件等内容;
④ 将判定标准中的操作属性与行为取证信息中的操作行为发生环境进行比对,将获得的操作行为和约束条件与行为取证信息中的操作行为进行比对。
当满足以下情况之一时,确定行为取证信息中存在隐私侵权行为:
① 行为取证信息中操作主体的操作行为发生环境超出获得的操作属性;
② 行为取证信息中操作主体的操作行为超出所在约束条件下允许的操作行为。
当行为取证信息中该操作主体的所有操作行为均未超出所在约束条件下允许的操作行为,且所有操作行为发生环境均未超出获得的操作属性时,确定行为取证信息中不存在隐私侵权行为。
三、隐私侵权溯源取证
为了解决隐私侵权事件发生后时空场景重构的关键问题,应该基于隐私信息六元组记录在审计控制信息中的取证信息、第三方监控与交叉多元素大数据分析,设计实用有效的隐私信息溯源取证方案。
具体包括:
① 生成信息的证据样本数据,包括隐私信息、隐私信息的溯源记录信息和隐私信息的隐私侵权行为判定标准;
② 将证据样本数据以多元组方式通过绑定、嵌入、追加等方式保存到信息中,其中绑定方式是将隐私信息与证据样本数据建立链接,两种数据不需要存储在同一位置;嵌入方式是将证据样本数据存储在隐私信息文件原本格式的自定义区域内;追加方式是指修改原隐私信息的文件格式,将其修改成自定义文件格式,并新增自定义的字段用于存储证据样本数据。
1.溯源信息记录阶段
在图片开始流转时,由图片所有者创建溯源标识,包括隐私信息、隐私信息判定标准、溯源记录信息。
在图片传播过程中,每流转到一个用户时,采用溯源记录函数生成溯源记录信息,将用户对图片隐私信息执行的分享操作、处理操作和行为发生环境记录在溯源信息记录中。
溯源记录信息为集合{操作主体,操作客体,操作行为,操作行为发生环境}中元素的排列组合,以及元素间的映射关系。
溯源记录函数包括:映射函数、哈希函数、加密函数、签名函数等,其中映射函数用于为操作主体、操作客体、操作行为和操作行为发生环境等信息的关联组合建立映射关系;
哈希函数、加密函数和签名函数用于防止溯源记录信息被恶意篡改,或者用于防止在取证过程中恶意操作主体否认操作行为。
该方案利用嵌套签名保障图片在传播过程中不被恶意篡改和伪造。
嵌套签名具体过程是图片所有者创建溯源标识,生成第一条溯源记录信息并签名,将记录添加到审计控制信息里;
后续每一个图片转发者对先前记录验签后,将自己的操作行为记录与先前溯源记录信息及其签名合并进行签名。
该阶段可以合并到延伸控制机制中完成。
2.溯源取证阶段
当图片隐私泄露情况发生时,从发现情况的节点出发,向根节点方向溯源,即可获得一条图片隐私信息的溯源链。
取证人员通过逐层验签确认溯源标识的完整性,并根据溯源记录信息和隐私侵权行为标准判定是否有隐私行为发生。
具体步骤如下:
①判断当前节点溯源记录信息中是否存在违反隐私侵权行为标准(或延伸控制策略)的操作行为;
②当前节点的溯源记录Reci不存在隐私侵权行为时,则对上一节点的溯源记录Reci-1进行判断,并重复执行①,直到判断隐私侵权行为终止。
通过对比隐私侵权行为判定标准,判断是否发生隐私侵权行为。
溯源取证判定与溯源流程
隐私信息溯源取证是根据审察需求获取证据样本数据,根据隐私侵权行为判定标准判断溯源记录信息中是否存在隐私侵权行为,生成隐私侵权行为判定结果;
根据隐私侵权行为判定结果进行隐私侵权行为溯源,生成隐私侵权证据链。
此外,需要对隐私侵权证据链进行安全性保障,即生成隐私侵权证据链的审计信息,计算隐私侵权证据链和审计信息的完整性校验值,并对隐私侵权证据链生成用户和隐私侵权证据链接收用户进行数字签名。
审计日志信息记录了隐私侵权证据链中取证样本数据的获取记录,包括隐私侵权行为判定结果、信息来源、取证人员、经手人,完整性校验值用于保障隐私侵权证据链和审计信息不被恶意篡改,数字签名用于保障隐私侵权证据链在提交过程中不被恶意篡改。
