信息技术的快速发展、新业态和个性化服务的不断演进,促使用户数据频繁跨领域、跨系统、跨生态交互,加大了隐私信息在不同信息系统中留存,扩大了隐私信息泄露的风险。
随之而来,隐私保护受到社会越来越多的关注,各大科研机构也开展了广泛的学术研究,针对不同场景的隐私保护技术井喷式涌现。
1.隐私防护技术
隐私防护技术主要是通过数据加解密、同态加密、安全多方计算、访问控制和可信计算等方法保护隐私信息不被未经授权获取的实体访问,经过隐私防护技术保护后所得的信息通常具有可逆性。
2.同态加密
同态加密可以对加密状态的数据直接进行各种操作而不会影响其保密性。
1978年Rivest首次提出全同态加密的概念,并给出了同态加密的4个方案;
1999年,Paillier设计了基于复合模数的加法同态加密算法,该算法在信息安全业内得到了广泛认可和应用;
2009年,Gentry利用理想格首次给出了全同态加密方案的构造,并对全同态加密做了详尽的研究;Dijk在Gentry方案的基础上提出了整数上的全同态加密体制;Bost在同态加密的基础上构造了多种机器学习方案。
尽管很多改进的同态加密方案被不断提出,但由于同态加密运算需要大量的计算资源,使其并不适用于海量服务数据场景的隐私保护。
3.安全多方计算
安全多方计算可以解决一组互不信任的参与方之间协同计算的数据保护问题。
安全多方计算自20世纪80年代诞生以来就一直在密码学中占据重要地位,并得到了学术界和产业界的持续关注,无论是在理论研究]还是在实际应用中均取得了较大进展,可广泛应用在数据挖掘、数据库查询、科学计算、几何或者几何关系判断、统计分析等诸多计算领域的数据安全保护中。
然而,尽管通用安全多方计算原则上可以实现任意协同计算,但这些方案在实现时普遍存在资源消耗过大、处理速度慢、移植性较差等缺陷。
4.访问控制
数据的访问控制是对交换后数据的访问权限进行控制。
针对海量多源异构数据的授权和延伸控制研究主要包括权限分配、权限自动调整和权限延伸控制等方面。
5.可信计算
可信计算是一种以硬件安全机制为基础的主动防御技术,它通过建立隔离执行的可信赖的计算环境,保障计算平台敏感操作的安全性,实现了对可信代码的保护,达到从体系结构上全面增强系统和网络信任的目的。
学术界与工业界普遍认为可信计算的技术思路是通过在硬件平台上引入可信平台模块(Trusted PlatformModule,TPM)提高计算机系统的安全性。
同时,我国也对应提出并建立了可信密码模块(Trusted Cryptographic Module,TCM)。
然而由于信息安全应用需求的不断变化,基于TPM或TCM 的信任链方案已经不能满足现实场景中的应用需求,信任链传递方案存在安全隐患,无法抵御针对度量过程的时间差攻击,并且CPU与内存均可能被攻击。
因此各种改进方法也相继被提出,如通过提供动态测量信任根(Dynamic Root of Trust for Measurement,DRTM),操作系统通过特殊指令创建动态信任链,通过主板改造等方式增强TPM和TCM的主动度量能力,通过可信平台控制模块(Trusted Platform Control Module,TPCM)主动监控平台各组件的完整性和工作状态等。
然而,受限于芯片和主板等硬件设计和制造能力,使用传统硬件对TPM和TCM进行加强的方案不尽人意。
为解决TPM和TCM在设计和应用中表现出的多种问题,可信执行环境(TrustedExecution Environment,TEE)应运而生,通过扩展通用CPU 的安全功能,在其特殊安全模式下增加内存隔离、数据代码加密及完整性保护等安全功能,使TPM和TCM可以主动监控、度量和干预主机系统。
其中,ARM公司的TrustZone是TEE的典型代表,它被设计为在系统加电后优先获得控制权,并对后续加载的启动映像进行逐级验证,以获取比主机更高的访问和控制权限,达到为计算平台提供一个隔离于平台其他软硬件资源的运行环境的目的。
具体来说,在TrustZone运行中,物理处理器能够在常态和安全态两种模态之间切换,其中常态运行主机系统,安全态则运行TEE系统,负责模态切换的是TrustZone的扩展指令——安全监控指令(Secure Monitor Call,SMC)。
随后,Raj提出了基于TrustZone实现固件化TPM 的方案fTPM,采用了嵌入式多媒体记忆卡(Embedded Multi MediaCard,eMMC)存储器作为TPM的持久安全存储设施,以满足TrustZone对TPM在功能上的支持,限制了密码计算的规模,并修改TPM规范的部分语义以适应TrustZone。
董攀则提出了基于TEE 的主动可信TPM/TCM方案,通过使用分核异步系统架构解决独立可信运行和主动可信安全监控问题,基于物理不可克隆函数(Physical Unclonable Functions,PUF)安全存储机制和基于通用唯一识别(Universally Unique Identifier,UUID)的TEE安全通信机制解决了TEE环境下可信平台模块的存储安全和通信安全问题。
综上,可信计算仅为隐私信息处理提供一个可信赖的计算环境。
6.隐私脱敏技术
泛在互联环境下,数据所有者(数据主体)、数据控制者和数据处理者分离,在不同信息系统之间或不同管理者之间交换隐私信息时,为了实施有效的隐私保护,脱敏是最好的解决方式。
隐私脱敏技术是通过特定策略修改真实的原始数据,让数据存在部分失真,使攻击者无法通过发布后的数据来获取真实信息,进而达到隐私保护的效果。
目前隐私脱敏技术主要分为3类:基于匿名的隐私脱敏、基于差分的隐私脱敏和基于信息论的隐私脱敏。
7.隐私保护对抗分析
为保护用户隐私,用户可以在发布数据前进行一定的匿名化处理,然而匿名数据仍面临被攻击导致的用户隐私泄露的风险。
为找到有效的匿名化方法,就需要对隐私保护的效果和匿名化方法的质量进行分析,这种分析依赖于对去匿名化攻击方法的探索。
目前,学术界对去匿名化方法和隐私保护分析技术的研究可以被分为理论知识研究和实际场景分析。隐私保护技术被广泛运用在大数据、社交网络和基于位置的服务等场景中。
对这些场景下的隐私保护技术进行分析并对匿名数据进行去匿名化处理也是当前的研究热点。
8.隐私计算(隐私计算或许会是元宇宙概念下的必须基础,当世间万物都在一个特定的维度中,彼此连接是必然,这也就给隐私数据安全带来了巨大隐患)
由于“万物智慧互联、信息泛在共享”对普适性全生命周期按需隐私保护的迫切要求,从“计算”的角度将隐私保护上升到理论体系成为隐私保护技术发展的必然。
2015年,李凤华等在内部学术研讨会中强调隐私保护是一种需求,而隐私计算才能代表一个理论体系,并于2016年在文献中首先给出了隐私计算的定义,进而在文献中将隐私信息形式化定义为隐私信息向量、隐私属性向量、广义定位信息、审计控制信息、约束条件和传播控制操作的六元组,给出了隐私计算框架、隐私计算形式化定义、隐私计算的重要特性、算法设计准则、隐私保护效果评估、隐私计算语言等,并以图像、位置隐私保护等应用场景描述了隐私计算的普适性应用。
文献注释:(李凤华,李晖,贾焰,等. 隐私计算研究范畴及发展趋势[J]. 通信学报,2016, 37(4): 1-11.)
隐私计算为隐私保护建立了理论体系框架,是泛在网络空间隐私信息保护的重要理论基础。
在信息时代下,信息技术演化发展与普慧应用的过程也必然是大数据汇集、充分利用的过程,人们在充分享受信息技术给生活带来便利的同时,隐私信息泄露和滥用也随处可见。
为此,密码学、数据安全、访问控制等传统安全技术也就自然而然成为早期的隐私保护技术,这些技术归为隐私防护技术,它们可以在单一管理域或单一信息系统中有限地保护隐私信息。
但是,泛在互联下“万物智慧互联、信息泛在共享”,隐私信息在跨境、跨系统、跨生态圈的高动态和大尺度时空环境下频繁交互。
在满足基本可用性的前提下,隐私信息脱敏之后的共享是实施隐私保护的核心技术,该核心技术归为隐私安全技术。
小编最后强调一句:如果将来有一天量子计算成为主流技术,那么将会面临科技领域的又一次时代颠覆,元宇宙概念中所描述的所有安全支撑体系,在量子计算能力的冲击下都将会不复存在。
不过小编认为也不用想太多,活在当下,跟紧趋势,预见未来就可以了。
