技术领域
[0001] 本
发明涉及网络安全应用领域,具体地,涉及一种基于信息隐藏的隐私保护方法和系统。
背景技术
[0002] 在
电子商务中,JD、淘宝、携程等各种
电子商务服务,都需要用户注册手机号,用于用户服务,物流和电子支付确认。在物流交互中,顺丰等物流服务,需要用户手机号,进行及时物流信息沟通与交付确认。在身份确认识别中,政府信息服务、运营商、
银行,和其它各种电子信息服务需要用户手机号,进行身份认证。手机号已经成为开展各种业务的必要条件,各种电子服务都强制用户输入手机号,并验证手机号正确性。个人身份信息中主要包括姓名、手机号、地址,手机号易于寻址,操作方便,发信息成本低,个人手机号最有经济价值,手机号是商家广告、电信诈骗的首选地址,如果隐藏手机号,泄露用户姓名和地址导致的危害将极大降低,因此保护个人身份信息隐私的关键,在于保护手机号。
[0003] 《欧盟数据保护通用条例》(General Data Protection Regulation,简称GDPR)2018年5月25日正式实施。GDPR强制规定,当用户依法
撤回同意,或者控制者不再有合法理由继续处理数据等情形时,用户有权要求删除数据。用户手机号的“删除”,对于用户和服务提供商都是一个“悖论”,因为没法从数学上证明数字记录“删除”。因此唯一可能的途径是,不提供或者隐藏用户手机号。
[0004] SGX全称Intel Software Guard Extensions,是对因特尔体系(IA)的一个扩展,用于增强
软件的安全性。这种方式是将合法软件的安全操作封装在一个enclave(“飞地”)中,保护其不受
恶意软件的攻击,特权或者非特权的软件都无法
访问enclave,一旦软件和数据位于enclave中,即便
操作系统或者和系统管理员也无法影响enclave里面的代码和数据。Enclave的
安全边界只包含CPU和它自身。因此将enclave应用在手机号码隐藏方面具有重大现实意义。
发明内容
[0005] 针对
现有技术中的
缺陷,本发明的目的是提供一种基于信息隐藏的隐私保护方法和系统。
[0006] 根据本发明提供的一种基于信息隐藏的隐私保护系统,包括:
[0007] 软件下载模
块:将发布在公共源码管理平台上的源代码下载,得到代理软件,将所述代理软件部署到SGX的可信
执行环境上执行;
[0008] 软件加密模块:可信执行环境对代理软件进行测量,生成能够唯一标识代理软件的软件指纹,生成能够唯一标识代理软件和SGX的报告report,将所述报告report生成远程认证,将远程认证发送到远程认证
服务器进行校验,若校验成功,则将所述远程认证和远程认证依赖的参数信息存储至
区块链,若校验失败,则发送校验失败消息。
[0009] 优选地,所述的基于信息隐藏的隐私保护系统,还包括:
[0010] 连接建立模块:从SGX中读取远程认证,通过区块链对远程认证和远程认证依赖的参数信息进行校验,校验成功后,则建立用户与可信执行环境之间的安全连接;否则,则发出提示信息。
[0011] 信息隐藏模块:接收写入的隐私信息和隐私信息所对应的
别名,对所述隐私信息与别名的映射关系进行加密保存。
[0012] 优选地,所述的基于信息隐藏的隐私保护系统,还包括:
[0013] 信息解密模块:接收对别名的指令,将所述指令根据映射关系进行转换,生成对隐私信息的指令,并执行所述指令。
[0014] 根据本发明提供的一种基于信息隐藏的隐私保护方法,包括:
[0015] 软件下载步骤:将发布在GitHub上的源代码下载,得到代理软件,将所述代理软件部署到SGX的可信执行环境上执行;
[0016] 软件加密步骤:可信执行环境对代理软件进行测量,生成能够唯一标识代理软件的软件指纹,生成能够唯一标识代理软件和SGX的报告report,将所述报告report生成远程认证,将远程认证发送到远程认证服务器进行校验,若校验成功,则将所述远程认证和远程认证依赖的参数信息存储至区块链,若校验失败,则发送校验失败消息。
[0017] 优选地,所述的基于信息隐藏的隐私保护方法,还包括:
[0018] 连接建立步骤:从SGX中读取远程认证,通过区块链对远程认证和远程认证依赖的参数信息进行校验,校验成功后,则建立用户与可信执行环境之间的安全连接;否则,则发出提示信息。
[0019] 信息隐藏步骤:接收写入的隐私信息和隐私信息所对应的别名,对所述隐私信息与别名的映射关系进行加密保存。
[0020] 优选地,所述的基于信息隐藏的隐私保护方法,还包括:
[0021] 信息解密步骤:接收对别名的指令,将所述指令根据映射关系进行转换,生成对隐私信息的指令,并执行所述指令。
[0022] 优选地,所述SGX采用Root Seal Key进行加密,所述Root Seal Key是SGX在生产中写入的根密钥,熔断在SGX的芯片中。
[0023] 优选地一个隐私信息能够与多个别名建立映射关系,映射关系能够更改。
[0024] 优选地所述可信执行环境是SGX的飞地enclave,所述飞地被严格保护,与任何软件完全隔离。
[0025] 与现有技术相比,本发明具有如下的有益效果:
[0026] 1、本发明通过校验在可信
硬件上软件的唯一性,有效保护隐私信息,避免了用户隐私泄露的
风险和法律责任,也降低了第三方用户数据保护的成本;
[0027] 2、本发明基于SGX的保护机制对隐私进行加密保护,除了用户本人,“世界上”任何第三人无法浏览、编辑别名的对应关系。
附图说明
[0028] 通过阅读参照以下附图对非限制性
实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显:
[0029] 图1为本发明的用户数据保存流程;
[0030] 图2为本发明的服务提供商发送短信流程;
[0031] 图3为本发明的代理软件签名方式。
[0032] 图中示出:
[0033] Remote attestation:远程认证;Enclave:飞地;Root Seal Key:根密钥;Software:代理软件;Enclave Measurement:飞地保障;Report:报告;Quoting Enclave:
QE。
具体实施方式
[0034] 下面结合具体实施例对本发明进行详细说明。以下实施例将有助于本领域的技术人员进一步理解本发明,但不以任何形式限制本发明。应当指出的是,对本领域的普通技术人员来说,在不脱离本发明构思的前提下,还可以做出若干变化和改进。这些都属于本发明的保护范围。
[0035] 根据本发明提供的一种基于信息隐藏的隐私保护系统,包括:
[0036] 软件下载模块:将发布在公共源码管理平台上的源代码下载,得到代理软件,将所述代理软件部署到SGX的可信执行环境上执行;优选地,公共源码管理平台采用GitHub。
[0037] 软件加密模块:可信执行环境对代理软件进行测量,生成能够唯一标识代理软件的软件指纹,生成能够唯一标识代理软件和SGX的报告report,将所述报告report生成远程认证,将远程认证发送到远程认证服务器进行校验,校验成功后,并将所述远程认证和远程认证依赖的参数信息存储至区块链。
[0038] 具体地,所述的基于信息隐藏的隐私保护系统,还包括:
[0039] 连接建立模块:从SGX中读取远程认证,通过区块链对远程认证和远程认证依赖的参数信息进行校验,校验成功后,则建立用户与可信执行环境之间的安全连接;否则,则发出提示信息。
[0040] 信息隐藏模块:接收写入的隐私信息和隐私信息所对应的别名,对所述隐私信息与别名的映射关系进行加密保存。
[0041] 具体地,所述的基于信息隐藏的隐私保护系统,还包括:
[0042] 信息解密模块:接收对别名的指令,将所述指令根据映射关系进行转换,生成对隐私信息的指令,并执行所述指令。
[0043] 根据本发明提供的一种基于信息隐藏的隐私保护方法,包括:
[0044] 软件下载步骤:将发布在公共源码管理平台上的源代码下载,得到代理软件,将所述代理软件部署到SGX的可信执行环境上执行;
[0045] 软件加密步骤:可信执行环境对代理软件进行测量,生成能够唯一标识代理软件的软件指纹,生成能够唯一标识代理软件和SGX的报告report,将所述报告report生成远程认证,将远程认证发送到远程认证服务器进行校验,校验成功后,并将所述远程认证和远程认证依赖的参数信息存储至区块链。
[0046] 具体地,所述的基于信息隐藏的隐私保护方法,还包括:
[0047] 连接建立步骤:从SGX中读取远程认证,通过区块链对远程认证和远程认证依赖的参数信息进行校验,校验成功后,则建立用户与可信执行环境之间的安全连接;否则,则发出提示信息。
[0048] 信息隐藏步骤:接收写入的隐私信息和隐私信息所对应的别名,对所述隐私信息与别名的映射关系进行加密保存。
[0049] 具体地,所述的基于信息隐藏的隐私保护方法,还包括:
[0050] 信息解密步骤:接收对别名的指令,将所述指令根据映射关系进行转换,生成对隐私信息的指令,并执行所述指令。
[0051] 具体地,所述SGX采用Root Seal Key进行加密,所述Root Seal Key是SGX在生产中写入的根密钥,熔断在SGX的芯片中。
[0052] 具体地,一个隐私信息能够与多个别名建立映射关系,映射关系能够更改。
[0053] 具体地,所述可信执行环境是SGX的飞地enclave,所述飞地被严格保护,与任何软件完全隔离。
[0054] 在本发明的一个实施例中,发短信不同于传统的直接发送模式,传统方式中,手机号短信命令包含{from}发送端手机号(服务提供商手机号),{to}接收端手机号(用户手机号),{message}手机短信。通过本发明,在服务提供商和电信运营商之间,插入一个“代理”,“代理”实现用户真实手机号与用户“别名”的翻译,服务提供商使用用户别名发送至代理,代理通过用户别名得到用户真实手机号,将用户真实手机号,以及短信信息,发送至电信运营商。
[0055] 在本发明的一个实施例中,用户只暴露用户“别名”给服务提供商,比如:JD,淘宝,携程等。服务提供商向注册的用户“别名”发短信,用户能收到服务提供商发送的短信,用户可以随时更改针对某个服务提供商的用户“别名”,例如提供给JD,淘宝的用户“别名”不同。用户本人在“代理”软件上,建立用户手机号与用户“别名”的映射关系,映射关系除了用户本人,对其他任何第三方不可见,映射关系在“代理”软件上被加密保存,用户向服务提供商暴露用户“别名”,而不是手机号,服务提供商通过“代理”软件发送短信,短信发送到用户“别名”。执行映射关系的软件,不能存在任何破坏加密的“恶意”逻辑,而且可以被任何第三方验证。“代理”软件公开所有源代码,任何第三方都可以校验代码逻辑,证明“代理”软件不存在任何恶意逻辑和漏洞。“代理”软件运行在Intel SGX(Software Guard Extensions)上,加密、保存、翻译等关键操作都在SGX的enclave(“飞地”)上,enclave被严格保护,与任何软件完全隔离,而且加密密钥只是enclave自己可知。“代理”软件提供数据传送,从客户端传送到SGX的enclave(飞地),保存功能是指映射关系被enclave加密保存到永久存储,任何人无法解密,读取功能是enclave从永久存储中读取映射数据,翻译功能是enclave将用户“别名”翻译成用户真实手机号,并调用运营商发送短信API进行短信发送。信息安全验证中必须保证“代理”软件的安全性,为证明“代理”软件清白,“代理”软件源代码公开,任何人都可以检查代码逻辑,证明“代理”软件没有恶意逻辑,没有漏洞,不会“偷看”用户秘密;“代理”软件可以运行在任意Intel SGX的enclave(“飞地”)上,Intel SGX提供了enclave measurement,通过读取远程认证Remote attestation,验证Remote attestation的正确性,校验“代理”软件没有任何
修改,而且代理软件运行在可信SGX上;Remote attestation和Remote attestation依赖的参数记录在区块链上,利用区块链不可篡改性,任何第三方可以检查,比较读到的Remote attestation是否正确,
[0056] “代理”软件的安全性能通过“代理”软件签名保障,本发明提供一种软件签名方式如下:Root Seal Key是SGX在生产中写入的“根密钥”,熔断在SGX芯片中,对任何第三方不可见,root seal key代表硬件唯一性。软件写入enclave后,产生enclave measurement,是软件“指纹”,具有软件唯一性。本发明提供的另一种软件签名方式如下:EPID(enhanced privacy ID)是Intel发布,指派给某个SGX芯片,证明SGX是合法的(防止假SGX欺骗),Quoting enclave用EPID对report签名,产生Remote attestation,第三方读取Remote attestation后,必须发到Intel服务器验证合法性,Remote attestation里的report表示软件唯一性。
[0057] 在数据传送安全性方面,用户将用户手机号与用户“别名”的映射关系,传送到enclave之前,客户端与enclave必须建立安全通道,对任何第三方不可见,服务提供商通过“代理”软件发短信之前,也必须与enclave建立安全通道,防止任何第三方“猜”用户别名和用户手机号(手机号对运营商可见)之间的映射关系,在建立安全连接之前,首先校验Remote attestation正确性,防止用户连到一个假enclave上,被“钓鱼”欺骗,客户端或服务提供商,与enclave建立安全连接,采用Diffie-Hellmann key exchange方法交换公钥,防止任何第三方偷听。
[0058] 在数据加密保存方面,每个enclave都有唯一的root seal key用于本地数据加密保存,此root seal key“熔断”在芯片里,对Intel和任何第三方不可见,Enclave measurement是Code(代码),Data(数据),Stack(栈),Heap(堆)等软件属性的计算,是软件唯一性的证明,用户本地数据保存的Seal Key是root seal key(硬件唯一性)和enclave measurement(软件唯一性)的计算“派生”,保证了硬件和软件的唯一性。
[0059] 在“代理”软件的
云部署方面,“代理”软件只能运行在Intel SGX硬件的公有云平台,“代理”软件源代码公布在GitHub上,任何第三方都可以检查代码逻辑,并且可以编译,下载到Intel SGX上,校验Remote attestation,把Remote attestation和Remote attestation依赖的参数公布在blockchain(区块链)上,任何第三方都可以比较正确性,防止隐私数据被“钓鱼”欺骗。所述Intel SGX能够称为一种特定结构的CPU。
[0060] 对第三方只暴露用户定义的“用户别名”或者“用户ID”,用户自己建立“用户别名”或者“用户ID”(可以是多个“用户别名”或者“用户ID”)与手机号(可以是多个手机号)之间对应关系,“用户别名”或者“用户ID”与用户手机号的对应关系保存在以SGX为
基础的“数据保险柜”里,除了用户本人,“世界上”任何第三人无法浏览、编辑“用户别名”或者“用户ID”的对应关系,第三方通过“用户别名”或者“用户ID”,向用户发送短信(或者其它与手机号相关业务),“用户别名”或者“用户ID”经过加密通道,发送到“数据保险柜”,“数据保险柜”将“用户别名”或者“用户ID”翻译成手机号,阻断或者拒绝第三方发送短信(或者其它与手机号相关业务),只要修改“数据保险柜”里的“用户别名”或者“用户ID”于用户手机号的对应关系。所述“数据保险柜”的源代码是完全公开的,任何人可以检查“数据保险柜”的运行逻辑,避免“数据保险柜”存在数据泄露或者故意“作恶”窃取用户数据的嫌疑。“数据保险柜”软件运行在Intel SGX上,一旦运行,任何人都没法窥视、破解“数据保险柜”里的加密数据。“数据保险柜”产生的Remote attestation包含:软件“指纹”和Intel SGX签名,软件“指纹”具有唯一性,因为“数据保险柜”源代码公开,任何人都可以校验软件“指纹”的唯一性和正确性。对源代码的任何细微修改,都会导致软件“指纹”变化。Remote attestation还发送到Intel IAS(Intel Attestation Server)校验签名,验证当前Intel SGX是合法芯片。防止对Intel SGX芯片做手脚,防止“数据保险柜”软件运行在不安全芯片上。
[0061] 本领域技术人员知道,除了以纯计算机可读程序代码方式实现本发明提供的系统、装置及其各个模块以外,完全可以通过将方法步骤进行逻辑编程来使得本发明提供的系统、装置及其各个模块以
逻辑门、
开关、专用集成
电路、可编程逻辑
控制器以及嵌入式
微控制器等的形式来实现相同程序。所以,本发明提供的系统、装置及其各个模块可以被认为是一种硬件部件,而对其内包括的用于实现各种程序的模块也可以视为硬件部件内的结构;也可以将用于实现各种功能的模块视为既可以是实现方法的软件程序又可以是硬件部件内的结构。
[0062] 以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在
权利要求的范围内做出各种变化或修改,这并不影响本发明的实质内容。在不冲突的情况下,本
申请的实施例和实施例中的特征可以任意相互组合。
