云环境下隐私策略的可信执行方法

云环境下隐私策略的可信执行方法
【专利摘要】本发明针对现有云计算安全【技术领域】中，存在的云环境下隐私策略的可实施及其实施可保障问题，公开了一种云环境下隐私策略的可信执行方法，具体涉及云环境下面向云端数据隐私保护的可信访问控制。该方法采用策略驱动的思想，针对多租户多样化的隐私保护需求，通过云环境下隐私策略的分布式执行，实现了隐私保护的灵活性，同时，结合可信计算技术，防止攻击者对云端隐私策略的恶意修改，保障了隐私策略执行过程的可信，最终确保了用户存储云端数据的隐私安全性。
【专利说明】云环境下隐私策略的可信执行方法

【技术领域】
[0001]本发明属于云计算安全【技术领域】，具体涉及云环境下面向云端数据隐私保护的可信访问控制方法。该方法采用策略驱动的思想和可信计算技术，给出云端隐私策略(面向隐私保护的访问控制策略)的分布式执行方法及其实施可保障方法，以实现云端隐私策略的可信执行。

【背景技术】
[0002]云计算是一种基于互联网，将分散的各种IT资源集中起来形成共享的资源池，并以动态、弹性的方式为用户提供大规模计算、存储服务的计算模式和商业模式，已成为当前信息【技术领域】的热点。然而，云环境下，用户数据在“云端”存储，这些用户数据可能涉及到用户隐私的敏感信息。自云计算兴起以来，不断爆发各种云安全事件，加剧了人们对其数据隐私性的担忧。因此，数据隐私保护问题已成为真正关系到云计算技术能够持续发展和广泛应用的关键。隐私概念目前没有标准的定义，但强调了个人对其隐私信息的控制能力，因而访问控制成为解决云端数据隐私安全问题的一种有效技术手段。多租户共享是云计算的一个主要服务特征。当来自不同企业、组织的用户租用同一个云环境的IT资源时，云服务商需要灵活区分不同租户的应用场景，支持不同租户各自的数据隐私保护需求，提供不同的访问控制服务。策略驱动的方法是一种实现灵活隐私保护的重要思路。然而，现有的云计算应用尚缺少分布式策略驱动的访问控制机制，因而需要提供隐私策略的分布式执行方法，解决隐私策略的云端可实施问题。此外，由于隐私策略同样在“云端”存储并执行，攻击者仍可能伪装成用户去篡改隐私策略，即用户很难明确云服务商是否如实地遵守该策略。因而，云服务商对隐私策略的实施可保障能力是其能否成功实现数据隐私保护的关键，故云服务商需要提供隐私策略的实施可保障方法。


【发明内容】

[0003]针对现有技术中存在的云环境下隐私策略的可实施及其实施可保障问题，本发明提出一种云环境下隐私策略的可信执行方法。该方法采用策略驱动的思想，针对多租户多样化的隐私保护需求，通过云环境下隐私策略的分布式执行，实现了隐私保护的灵活性，同时，结合可信计算技术，防止攻击者对云端隐私策略的恶意修改，保障了隐私策略执行过程的可信，最终确保了用户存储云端数据的隐私安全性。
[0004]一种云环境下隐私策略的可信执行方法，包括:隐私策略分布式执行方法及其实施可保障方法，其特征如下:
[0005]本方法在于将云数据储存环境下的用户账户、容器、对象以及隐私策略进行分布式存储，当云数据存储服务接收到用户访问请求后，依据该请求查找用户账户、容器以及对象的元数据信息补全用户访问请求，同时，查找与用户请求相符的隐私策略，并将所得的隐私策略与补全后的用户请求进行匹配，判断并响应用户访问请求；
[0006]所述的隐私策略分布式执行方法由分布式部署于不同独立节点上的隐私策略强制模块、隐私策略信息模块、隐私策略管理模块、隐私策略决策模块、账户存储模块、容器存储模块、对象存储模块、策略库存储模块和数据查询模块九个模块以及各模块之间的数据交互实现，其步骤如下:
[0007]步骤1.1:隐私策略强制模块接受用户请求，并对不同格式的用户请求进行预处理，将其转化为统一的策略描述语言，再将转化后的用户请求转发给分布式部署在不同节点上的隐私策略信息模块和隐私策略管理模块；
[0008]步骤1.2:隐私策略信息模块通过数据查询模块在账户、容器、对象存储模块中查找与用户请求相对应的账户、容器、对象元数据，并用该元数据中的属性信息补全用户请求中的主、客体信息，补全后的用户请求中包含完整的主客体属性信息，再采用XML格式基于SOAP协议发送到分布式部署在不同节点上的隐私策略决策模块，供各模块对用户请求进行判断；
[0009]步骤1.3:隐私策略管理模块使用数据查询模块在策略库存储模块中查找与用户请求中主、客体信息相匹配的XML格式的隐私策略，得到一个与用户请求主、客体信息相匹配的策略子集，该策略子集由多个XML格式的匹配策略组成，将策略子集发送给分布式部署在不同节点上的隐私策略决策模块，供该模块对用户请求进行判断；
[0010]步骤1.4:隐私策略决策模块将补全后的用户请求与策略子集进行匹配，其匹配方法是通过解析用户请求中主、客体、操作等属性信息，将其与策略子集中策略的主、客体、操作属性信息进行逐条匹配，查看策略子集中是否有与用户请求中主客体相匹配的策略，并将是否有策略与其相匹配的结果返回给隐私策略强制模块，若该匹配结果为真，表明该用户请求合法，若匹配结果为假，则表明该用户请求不合法；
[0011]步骤1.5:隐私策略强制模块接收匹配结果，若步骤1.4中匹配结果为真，则执行该请求，通过数据查询模块获取请求的客体数据以响应用户请求；否则，拒绝响应；
[0012]所述的实施可保障方法由可信支撑模块、可信存储模块、可信通信模块三个可信模块构成，用以确保隐私策略分布式执行方法的可信实施；
[0013]可信支撑模块与隐私策略分布式执行方法中各模块部署于相同节点，以隐私策略强制模块为例，可信支撑模块通过对隐私策略强制模块进行初始可信度量和实时可信度量，构建由下到上依次为节点芯片自带的可信平台模块TPM、核心信任根CRTM、操作系统引导程序、操作系统到隐私策略强制模块的代码级可信链，该可信链由下至上进行逐层度量，各层均由下层保障其代码的完整性，每当下层代码完成对上层代码度量后，都将记入度量日志，此后，位于该节点芯片上的可信平台模块TPM调用底层算法计算出该度量日志的摘要值，在初始可信度量时，该摘要值将被存储在位于TPM内的PCR寄存器中，以达到数据内容不可篡改的目的，用以与实时可信度量产生的摘要值进行对比，作为验证实时可信度量的依据，若实时度量生成的PCR值与初始度量PCR值相同，则认为当前本节点状态与启动时相同，各层代码未被篡改，节点可信；否则，则认为节点不可信；
[0014]可信存储模块与账户存储模块、容器存储模块、对象存储模块以及策略库存储模块部署于同一节点，提供数据加解密存储功能和数据完整性保护功能，其中，数据加解密存储功能主要是对各存储模块中的账户、容器、对象、隐私策略数据进行加密存储，并在各存储模块需读取自身数据时，采用解密算法对数据进行读取，可保障数据的私密性；数据完整性度量功能主要是通过调用算法对数据进行初始度量和实时度量，并将初始度量结果采用数据加解密存储功能进行存储，用以同实时度量结果进行对比，验证存储数据完整性；
[0015]可信通信模块作用于分布式执行方法中需要数据交互的各个模块上，其与可信支撑模块、可信存储模块相结合，供各数据交互节点相互验证彼此的模块执行代码是否被恶意篡改以及运行状态是否正常可靠，以判断通信节点是否可信，当隐私策略分布式执行方法中的各模块进行数据交互时，步骤如下:
[0016]步骤2.1:请求方向接收方请求度量日志和一组特定的PCR值；
[0017]步骤2.2:接收方向用户发送度量日志和特定的PCR值，并同样向请求方请求度量日志和一组特定的PCR值；
[0018]步骤2.3:请求方调用算法计算度量日志的摘要值，并将其与接收的PCR值比较，验证接收方的度量日志是否可信，验证通过后，向接收方发送自身的度量日志、特定PCR值以及服务请求；
[0019]步骤2.4:接收方接收该度量日志和特定PCR值，同样对该度量日志进行验证，若验证通过，则执行并响应该服务请求，经过上述交互步骤，各数据交互节点可相互验证彼此的模块执行代码是否被恶意篡改以及运行状态是否正常可靠。
[0020]与现有技术相比，本发明具有以下优点:
[0021](I)现有云环境下的访问控制执行方法中，尚缺少基于策略驱动的隐私保护方法，然而，云计算场景中多样、多变的多租户隐私保护需求，迫切需要基于策略驱动进行隐私保护。对此，本发明基于策略驱动的思想，研宄云环境下隐私策略的分布式执行方法，基于隐私策略的统一描述，对隐私策略的可信执行方法按需进行松耦合的分布式部署，更适应于租户隐私保护需求的多样性和隐私策略的多变性；更有利于在庞大云用户群的条件下，实现云端的动态访问控制。
[0022](2)现有分布式访问控制执行方案中尚缺少实施可保障方案，无法适用于云环境下的隐私策略可信实施的需求，使得在隐私策略实施过程中，云服务商或恶意方可以通过篡改隐私策略、执行代码和劫持用户请求等方式，导致隐私策略无法有效实施，迫使用户数据被非法获取，用户隐私遭到侵犯，且不易察觉。针对上述问题，本发明借鉴可信计算的思想，提出隐私策略实施可保障方法，该方法通过可信存储、可信执行、可信通信三部分内容保障了在整个执行过程中隐私策略以及各分布式节点中执行代码的可信性和完整性。确保了隐私策略的可信实施。

【专利附图】

【附图说明】
[0023]图1云环境下隐私策略的可信执行方法；
[0024]图2云环境下隐私策略分布式执行方法方法；
[0025]图3云环境下隐私策略的实施可保障技术；
[0026]图4隐私策略强制代码初始可信度量；
[0027]图5隐私策略强制代码实时可信度量；
[0028]图6隐私策略信息点完善用户请求；
[0029]图7隐私策略决策点对用户请求决策；
[0030]图8隐私策略强制点响应用户请求；
[0031]图9云用户端文件下载成功。

【具体实施方式】
[0032]本发明的运行环境由远程访问客户端程序和云平台两部分组成。其中，远程访问客户端程序基于Myeclipsel0.0开发，该程序采用J2SDK1.6版本java语言实现，安装在配置为Intel Core Du0.15-4200Hil.7GHz的Windows7系统上，用于发送用户请求并接受服务响应；云平台基于Swiftl.7云存储架构进行开发，该平台由9台配置有可信根TPM的Intel Xeon E5_2650@2.0GHz的Linux系统服务器组成，隐私策略分布式执行方法中的各个模块分别独立配置在每台服务器上，并基于各服务器中的可信根TPM实现隐私策略的实施可保障方法，使用第三方Sunxacml开发包实现对用户请求、主客体元数据以及隐私策略进行解析、补全和匹配计算。
[0033]下面结合附图和【具体实施方式】对本发明做进一步说明。
[0034]本发明所述云环境下隐私策略的可信执行方法，如图1所示。具体包括以下步骤:
[0035]步骤1.1:用户使用远程访问客户端程序向Swift云平台的代理服务器提交访问请求 Request。
[0036]步骤1.2:代理服务器采用隐私策略的分布式执行方法对用户的访问请求Request进行判断。
[0037]步骤1.3:代理服务器根据判断结果响应用户的访问请求Request，若判断结果未通过，则执行拒绝用户请求；若通过，进行步骤4。
[0038]步骤1.4:代理服务器根据用户的访问请求Request，通过内网Private与对象和容器存储服务器进行交互，执行数据访问的相应操作。
[0039]同时，为保障上述隐私策略的可信执行，本发明提出隐私策略的实施可保障方法，用于保障隐私策略在上述4个步骤中的可信实施。
[0040]隐私策略的分布式执行方法如图2所示，具体实现方式如下:
[0041]步骤1:隐私策略强制点接受用于请求读取云端数据的用户请求Request，为保证用户数据的隐私安全，用户请求中可能仅包含也可以代表主、客体、环境的唯一标识或较少主、客体、环境的属性信息，故隐私策略强制点需对不同格式的用户请求Request预处理，提取Request中主、客体、环境等信息，将用户请求Request统一描述为Request, xml，其中，Request格式实例如图5 ；
[0042]步骤2:隐私策略信息点实现方式如下:
[0043]步骤2.1:隐私策略信息点接收隐私策略强制点发送的统一描述的用户请求Request, xml ；
[0044]步骤2.2:隐私策略信息点根据Request, xml的主、客体信息，通过Ring环查找对象、容器、账号存储服务器中与Request, xml中主、客体相匹配的主、客体的元数据(属性信息)，并用相应的元数据将Request, xml中的主、客体信息补全，构成一个完善的Request.xml，如图6所示；
[0045]步骤2.3:隐私策略信息点将完善的Request, xml发送到隐私策略决策点，供隐私策略决策点对用户请求进行判断。
[0046]步骤3:隐私策略管理点执行过程如下:
[0047]步骤3.1:隐私策略管理点接收隐私策略强制点发送的统一描述的用户请求Request, xml ；
[0048]步骤3.2:隐私策略管理点根据Request, xml中的主、客体及环境信息，查找隐私策略数据库中与Request, xml中主、客体及环境相匹配的策略，得到一个与Request, xml相匹配的小范围策略集；
[0049]步骤3.3:隐私策略管理点将将小范围策略集传给隐私策略决策点，供其对用户请求进行判断。
[0050]步骤4:隐私策略决策点接收完善的Request, xml和小范围策略集，并将完善的Request, xml与小范围策略集进行匹配，查看策略集中是否有策略与Request, xml匹配，并将匹配结果Response, xml返回给隐私策略强制点，如图7所示。
[0051]步骤5:隐私策略强制点接收隐私策略决策点返回的匹配结果，若4中判断为真，表明有策略与Request, xml匹配，则隐私策略强制点执行步骤I中的用户请求request，通过Ring环查找获取用户请求数据对象，如图8所示；否则，若4中判断为假，则不执行用户请求 request ；
[0052]步骤6:隐私策略强制点根据步骤5的执行结果，向用户返回请求响应response，如图9所示，文件下载成功。
[0053]隐私策略实施可保障方法，如图3所示，该方法由可信支撑模块、可信存储模块、可信通信模块三个部分组成，其中，可信支撑模块的具体内容如下:
[0054]可信支撑模块:用于保障分布式执行过程中隐私策略的可信，作用于隐私策略分布式执行方法中各模块。以隐私策略强制点为例，介绍可信支撑模块的实现原理，如图3中所示，具体实现过程如下所述:
[0055]步骤1:进行初始可信度量，生成初始度量的PCR值。隐私策略强制点节点被加电后，由TPM代码、核心信任根CRTM的代码、操作系统引导代码、操作系统代码到隐私策略数据库进行逐层度量，各层调用可信软件栈TSS提供的接口调用哈希算法对上层代码实施度量，得出的初始可信度量结果，并将其存储于平台配置寄存器PCR中。其初始可信度量过程如图4所示。
[0056]步骤2:当各可信模块接收资源请求时，需进行实时度量，其实时度量过程如图5所示，具体实施步骤如下:
[0057]步骤2.1:接收资源请求触发TPM对B1S代码再次度量；
[0058]步骤2.2:TPM自身的可信度量模块采用可信软件栈TSS提供的接口调用哈希算法，对B1S代码进行实施度量；
[0059]步骤2.3:TPM生成B1S实时可信度量结果，即实时度量生成的PCR值；
[0060]步骤2.4:TPM自身的可信度量模块根据实时度量结果和初始度量结果，生成度量结果并记入度量日志；
[0061]步骤2.5:TPM根据度量结果对B1S的完整性进行判断；
[0062]步骤2.6:若通过完整性判断，则将控制权下发给B1S，执行B1S代码，并触发B1S对上层操作系统引导代码进行度量，其度量方法同理。
[0063]步骤2.7:当操作系统接收到下层发送的触发请求时，其可信度量模块将采用可信软件栈TSS提供的接口调用哈希算法，对隐私策略强制点代码进行再次度量；
[0064]步骤2.8:操作系统生成隐私策略强制点代码的实时度量结果；
[0065]步骤2.9:操作系统自身的可信度量模块根据实时度量结果和初始度量结果，生成度量结果并记入度量日志；
[0066]步骤2.10:操作系统根据度量结果对隐私策略强制点代码的完整性进行判断；
[0067]步骤2.11:若通过完整性判断，则将控制权下发给隐私策略强制点代码，导入执行代码，并触发B1S对上层操作系统引导代码进行度量，其度量方法同理；
[0068]步骤2.12:当度量结束后，隐私策略强制点将使用可信软件栈TSS提供的接口调用TPM的可信模块，根据各层度量日志生成可信报告，该可信报告记录各层度量结果是否可信，并用以验证整个度量流程的完整性。
【权利要求】
1.一种云环境下隐私策略的可信执行方法，包括:隐私策略分布式执行方法及其实施可保障方法，其特征如下: 本方法在于将云数据储存环境下的用户账户、容器、对象以及隐私策略进行分布式存储，当云数据存储服务接收到用户访问请求后，依据该请求查找用户账户、容器以及对象的元数据信息补全用户访问请求，同时，查找与用户请求相符的隐私策略，并将所得的隐私策略与补全后的用户请求进行匹配，判断并响应用户访问请求； 所述的隐私策略分布式执行方法由分布式部署于不同独立节点上的隐私策略强制模块、隐私策略信息模块、隐私策略管理模块、隐私策略决策模块、账户存储模块、容器存储模块、对象存储模块、策略库存储模块和数据查询模块九个模块以及各模块之间的数据交互实现，其步骤如下: 步骤1.1:隐私策略强制模块接受用户请求，并对不同格式的用户请求进行预处理，将其转化为统一的策略描述语言，再将转化后的用户请求转发给分布式部署在不同节点上的隐私策略信息模块和隐私策略管理模块； 步骤1.2:隐私策略信息模块通过数据查询模块在账户、容器、对象存储模块中查找与用户请求相对应的账户、容器、对象元数据，并用该元数据中的属性信息补全用户请求中的主、客体信息，补全后的用户请求中包含完整的主客体属性信息，再采用XML格式基于SOAP协议发送到分布式部署在不同节点上的隐私策略决策模块，供各模块对用户请求进行判断； 步骤1.3:隐私策略管理模块使用数据查询模块在策略库存储模块中查找与用户请求中主、客体信息相匹配的XML格式的隐私策略，得到一个与用户请求主、客体信息相匹配的策略子集，该策略子集由多个XML格式的匹配策略组成，将策略子集发送给分布式部署在不同节点上的隐私策略决策模块，供该模块对用户请求进行判断； 步骤1.4:隐私策略决策模块将补全后的用户请求与策略子集进行匹配，其匹配方法是通过解析用户请求中主、客体、操作等属性信息，将其与策略子集中策略的主、客体、操作属性信息进行逐条匹配，查看策略子集中是否有与用户请求中主客体相匹配的策略，并将是否有策略与其相匹配的结果返回给隐私策略强制模块，若该匹配结果为真，表明该用户请求合法，若匹配结果为假，则表明该用户请求不合法； 步骤1.5:隐私策略强制模块接收匹配结果，若步骤1.4中匹配结果为真，则执行该请求，通过数据查询模块获取请求的客体数据以响应用户请求；否则，拒绝响应； 所述的实施可保障方法由可信支撑模块、可信存储模块、可信通信模块三个可信模块构成，用以确保隐私策略分布式执行方法的可信实施； 可信支撑模块与隐私策略分布式执行方法中各模块部署于相同节点，以隐私策略强制模块为例，可信支撑模块通过对隐私策略强制模块进行初始可信度量和实时可信度量，构建由下到上依次为节点芯片自带的可信平台模块TPM、核心信任根CRTM、操作系统引导程序、操作系统到隐私策略强制模块的代码级可信链，该可信链由下至上进行逐层度量，各层均由下层保障其代码的完整性，每当下层代码完成对上层代码度量后，都将记入度量日志，此后，位于该节点芯片上的可信平台模块TPM调用底层算法计算出该度量日志的摘要值，在初始可信度量时，该摘要值将被存储在位于TPM内的PCR寄存器中，以达到数据内容不可篡改的目的，用以与实时可信度量产生的摘要值进行对比，作为验证实时可信度量的依据，若实时度量生成的PCR值与初始度量PCR值相同，则认为当前本节点状态与启动时相同，各层代码未被篡改，节点可信；否则，则认为节点不可信； 可信存储模块与账户存储模块、容器存储模块、对象存储模块以及策略库存储模块部署于同一节点，提供数据加解密存储功能和数据完整性保护功能，其中，数据加解密存储功能主要是对各存储模块中的账户、容器、对象、隐私策略数据进行加密存储，并在各存储模块需读取自身数据时，采用解密算法对数据进行读取，可保障数据的私密性；数据完整性度量功能主要是通过调用算法对数据进行初始度量和实时度量，并将初始度量结果采用数据加解密存储功能进行存储，用以同实时度量结果进行对比，验证存储数据完整性； 可信通信模块作用于分布式执行方法中需要数据交互的各个模块上，其与可信支撑模块、可信存储模块相结合，供各数据交互节点相互验证彼此的模块执行代码是否被恶意篡改以及运行状态是否正常可靠，以判断通信节点是否可信，当隐私策略分布式执行方法中的各模块进行数据交互时，步骤如下: 步骤2.1:请求方向接收方请求度量日志和一组特定的PCR值； 步骤2.2:接收方向用户发送度量日志和特定的PCR值，并同样向请求方请求度量日志和一组特定的PCR值； 步骤2.3:请求方调用算法计算度量日志的摘要值，并将其与接收的PCR值比较，验证接收方的度量日志是否可信，验证通过后，向接收方发送自身的度量日志、特定PCR值以及服务请求； 步骤2.4:接收方接收该度量日志和特定PCR值，同样对该度量日志进行验证，若验证通过，则执行并响应该服务请求，经过上述交互步骤，各数据交互节点可相互验证彼此的模块执行代码是否被恶意篡改以及运行状态是否正常可靠。
【文档编号】H04L29/06GK104506487SQ201410675991
【公开日】2015年4月8日 申请日期:2014年11月21日 优先权日:2014年11月21日
【发明者】林莉, 刘婷婷, 胡健 申请人:北京工业大学