CN110704874A - 一种基于数据溯源的隐私泄露防护方法 - Google Patents

Abstract

一种基于数据溯源的隐私泄露防护方法，以智能家居平台为例，包括智能家电设备（如智能音箱、自动窗帘、智能电灯等）运行产生的日志融合和云中心的控制指令检测，其特征在于，对云中心的控制指令进行静态污点分析，寻找到在代码层面可能产生的数据泄露情况（如用户手动输入的密码），其次使用数据溯源技术对用户房间发生的一切事件在代码层面寻找到相应的逻辑关系，根据这种事件发生的因果关系对分散的智能家电设备日志进行整合，得到该平台下完整的集中式日志系统（事件发生的因果链集合），进而使用该日志系统对用户房间内已发生的行为进行判断，确定其是否是正常行为，从而能将发生的异常行为告知用户，辅助用户有效保护自身的隐私安全。

Description

一种基于数据溯源的隐私泄露防护方法

技术领域

本发明属于智能家居安全领域，涉及智能家居设备，具体涉及一种基于数据溯源的隐私泄露防护方法来对智能家居平台用户的隐私数据进行有效保护的安全系统。

背景技术

智能家居是当前比较热门的物联网平台之一，随着物联网与人类生活越来越密切，智能家居设备（如智能冰箱、智能摄像头、智能恒温器等）越来越多的进入到家庭中，这些智能设备虽然给人们提供了巨大的便利，然而其潜在的安全隐患我们也不能视而不见。我国的智能家居产品发展尚处于萌芽阶段，技术水平相对较低，而且智能产品生产企业大部分属于初创型企业，资金量相对较少，在解决安全漏洞方面的投入也有限，所以安全漏洞自然难以避免。目前在智能家居方面的安全隐患我们可以将其分为四种类型：智能终端安全、网络通信安全、控制app安全和云端安全。在智能终端方面，主要存在的安全隐患问题包括设备存储、设备的Web接口、固件安全和网络服务、本地数据安全等；在网络通信方面，主要在网络接入控制和身份认证两种情况存在较大的安全隐患；在控制app安全方面，存在的安全隐患问题主要是app源码安全以及设备api安全；云端web接口安全和云端服务则是云端安全方面比较严重的两个问题。智能家电本是以用户为中心，而安全隐患如果爆发则必定会给用户带来损失（如用户隐私被窃取）甚至于威胁生命，与此同时，物联网是互联网的扩展和延伸，这使得原本在互联网所适用的网络攻击手段在物联网环境同样有效，而智能家居也是物联网环境。除此之外，物联网由于其自身不断出现的新特性使得其遭受到的威胁更多也更加复杂，终端更加分散，终端日志低级无法对该环境下的攻击行为形成完整的解释，因此我们非常有必要去思考一种合适的方法来解决在智能家居环境中存在的安全隐患。以三星SmartThings为例，在该环境中，用户通过手机app控制家里的智能家电，这些控制逻辑是由存储在云端的代码实现的，而云端与智能家电通过网关来进行交互，用户输入的密码等隐私信息均可以在逻辑代码中找到，因此我们认为从代码安全着手是解决该环境下安全问题的有效途径。

发明内容

为了解决上述提出的问题，克服现有技术的不足，本发明的目的是提供一种基于数据溯源的隐私泄露防护方法，通过对定义的源和汇使用静态分析技术找到代码中可能存在的隐私数据数据泄露隐患，使用数据溯源技术寻找代码中包含的事件之间的因果关系，将分散的设备日志关联起来，从而形成了智能家居平台集中式的日志审计系统，通过该日志系统我们可以找到在该环境下所发生的一切行为的日志解释，进而可以有效保护用户的隐私安全。

为了实现上述目的，本发明采用的技术方案是：

一种基于数据溯源的隐私泄露防护方法，以智能家居平台为例，包括智能家电设备（如智能音箱、自动窗帘、智能电灯等）运行产生的日志融合和云中心的控制指令检测，其特征在于，对云中心的控制指令进行静态污点分析，使用数据溯源技术对用户房间发生的一切事件在代码层面寻找到相应的逻辑关系，对分散的智能家电设备日志进行整合得到完整的集中式日志系统（事件发生的因果链集合）；包括以下步骤：

步骤1，使用静态污点分析技术对云中心中所包含的有关某用户的所有控制指令进行分析，判断该用户所拥有的智能家电设备在代码层面是否存在隐私数据泄露的情况。

1）所述的控制指令即app代码，是指云中心对某用户所拥有的智能家电设备的操作指令，如升起或者降落窗帘、打开或者关闭电灯这种基础的操作指令，同时也包括用户自身的配置，如什么时间升起窗帘、什么情况打开电灯等一系列的设备触发命令；

2）所述的静态污点分析技术是针对智能家居平台所设计的专用的污点分析技术，包括以下几个主要步骤：生成抽象语法树、生成控制流图、控制流分析、数据流分析、污点分析；在生成抽象语法树之前首先需要定义指令中的源和汇，源代表着敏感数据的来源，可能是设备状态、设备事件或是输入；汇代表着敏感数据的发送，可能是设备控制命令（如发送给某个手机号码）或者API；接着依据定义好的源和汇使用上述的步骤寻找出指令代码中所有的源和汇组成的污点流，污点流表示的是代码中所有敏感数据的流向，我们可以依据污点流判断是否有隐私数据泄露的情况；

步骤2，使用数据溯源技术在代码层面得到所有可发生事件的因果链，因果链可以使我们全面了解每个事件发生的因果关系；

1）所述的数据溯源技术的模型使用W3C PROV- dm (PROV data model, PROV datamodel)规范对模型加以逻辑描述，因为这种方式很普遍，并且使用有向无环图(DAG)来表示源图，可以方便我们的研究。PROV-DM有三种类型的节点:(1)实体是一个数据对象，(2)一个活动代表一个过程，(3)代理是对活动和实体负责的事物。这些边缘编码依赖类型关联：哪个实体归属于哪个代理、哪个活动与哪个代理关联、哪个实体由哪个活动生成、哪个活动使用哪个实体、哪个活动由哪个活动提供信息以及节点之间哪个实体派生自哪个实体。除了归属和关联到之外，边缘指向系统执行的历史；

2）所述的数据溯源技术的方法使用反向查询法。标注法和反向查询法是当前数据溯源技术常用的两种方法。除此之外，还有通用的数据追踪方法，双向指针追踪法，利用图论思想和专用查询语言追踪法等方法。标注法是一种简单且有效的数据溯源方法，使用非常广泛。通过记录处理相关的信息来追溯数据的历史状态，即用标注的方式来记录原始数据的一些重要信息，如背景、作者、时间、出处等，并让标注和数据一起传播，通过查看目标数据的标注来获得数据的溯源。采用标注法来进行数据溯源虽然简单，但存储标注信息需要额外的存储空间。反向查询法，也称逆置函数法，由于标注法并不适合细粒度数据，特别是大数据集中的数据溯源，于是，提出了逆置函数反向查询法，此方法是通过逆向查询或构造逆向函数对查询求逆，或者说根据转换过程反向推导，由结果追溯到原数据的过程。这种方法是在需要时才计算所以又叫lazzy方法。反向查询法关键是要构造出逆向函数，逆向函数构造的好与坏直接影响查询的效果以及算法的性能，与标注法相比，它比较复杂，但需要的存储空间比标注法要小；

步骤3，获取分散的智能设备中的分散日志，依据步骤2得到的因果链将日志整合起来，依据整合的日志可以判断出某个已发生事件是否存在安全隐患；

1）智能设备都有自己本身的日志系统，只不过日志比较低级，仅靠这些低级的日志是无法判断是否存在安全隐患的，因此我们需要对其进一步处理，我们从智能设备本身的日志系统中提取出所有的日志，为后续做好准备；

2）步骤2得到的因果链涵盖了该场景下所有可能发生事件的前因后果，依据时间序列和因果链我们将分散的日志信息整合，如（8点窗帘自动升起、7点59分光线传感器的状态发生变化这两个信息，这便是窗帘升起的因果关系），对日志的每一条信息我们都用类似的方式处理；

3）对整合的日志进行判断，凡是因果链完整的已发生事件我们认为是安全的，并无隐私泄露的安全隐患；而对因果链不完整的事件我们认为是不安全的，存在泄露隐私的可能；

本发明的有益效果是：

1）隐私安全问题是当前比较热门的话题，随着物联网普及到千家万户，隐私问题将成为用户未来的主要关注点，因此如何做好隐私安全防护则是重中之重，所述的基于数据溯源的隐私泄露防护方法考虑了智能设备app代码安全并且将分散的设备日志整合形成集中式的日志系统，这对我们判断“已发生事件是否能够对隐私安全造成威胁”提供了巨大的帮助；

2）app代码安全是物联网环境需要重点关注的问题之一，静态分析方法可以有效的辅助开发人员判断代码的安全性。所述的静态分析方法是参考安卓代码静态分析工具而开发的专门针对物联网环境的静态分析工具，在物联网领域可以继续完善和普及；

3）所述的集中式日志系统将数据溯源技术引入进来，使用数据溯源将物联网环境下分散的设备日志关联起来，形成一个日志链，该日志链可以找到所有已发生事件的前因后果，有利于我们判断安全隐患，有效保护用户的隐私。

附图说明

图1是本发明的数据流图。

图2是本发明的基本架构图。

具体实施方式

以下结合附图对本发明进一步叙述。

如图1、2所示，一种基于数据溯源的隐私泄露防护方法，以智能家居平台为例，包括智能家电设备（如智能音箱、自动窗帘、智能电灯等）运行产生的日志融合和云中心的控制指令检测，其特征在于，对云中心的控制指令进行静态污点分析，使用数据溯源技术对用户房间发生的一切事件在代码层面寻找到相应的逻辑关系，对分散的智能家电设备日志进行整合得到完整的集中式日志系统（事件发生的因果链集合）；包括以下步骤：

步骤1，使用静态污点分析技术对云中心中所包含的有关某用户的所有控制指令进行分析，判断该用户所拥有的智能家电设备在代码层面是否存在隐私数据泄露的情况。

1）所述的控制指令即app代码，是指云中心对某用户所拥有的智能家电设备的操作指令，如升起或者降落窗帘、打开或者关闭电灯这种基础的操作指令，同时也包括用户自身的配置，如什么时间升起窗帘、什么情况打开电灯等一系列的设备触发命令；

2）所述的静态污点分析技术是针对智能家居平台所设计的专用的污点分析技术，包括以下几个主要步骤：生成抽象语法树、生成控制流图、控制流分析、数据流分析、污点分析；在生成抽象语法树之前首先需要定义指令中的源和汇，源代表着敏感数据的来源，可能是设备状态、设备事件或是输入；汇代表着敏感数据的发送，可能是设备控制命令（如发送给某个手机号码）或者API；接着依据定义好的源和汇使用上述的步骤寻找出指令代码中所有的源和汇组成的污点流，污点流表示的是代码中所有敏感数据的流向，我们可以依据污点流判断是否有隐私数据泄露的情况；

步骤2，使用数据溯源技术在代码层面得到所有可发生事件的因果链，因果链可以使我们全面了解每个事件发生的因果关系；

1）所述的数据溯源技术的模型使用W3C PROV- dm (PROV data model, PROV datamodel)规范对模型加以逻辑描述，因为这种方式很普遍，并且使用有向无环图(DAG)来表示源图，可以方便我们的研究。PROV-DM有三种类型的节点:(1)实体是一个数据对象，(2)一个活动代表一个过程，(3)代理是对活动和实体负责的事物。这些边缘编码依赖类型关联：哪个实体归属于哪个代理、哪个活动与哪个代理关联、哪个实体由哪个活动生成、哪个活动使用哪个实体、哪个活动由哪个活动提供信息以及节点之间哪个实体派生自哪个实体。除了归属和关联到之外，边缘指向系统执行的历史；

2）所述的数据溯源技术的方法使用反向查询法。标注法和反向查询法是当前数据溯源技术常用的两种方法。除此之外，还有通用的数据追踪方法，双向指针追踪法，利用图论思想和专用查询语言追踪法等方法。标注法是一种简单且有效的数据溯源方法，使用非常广泛。通过记录处理相关的信息来追溯数据的历史状态，即用标注的方式来记录原始数据的一些重要信息，如背景、作者、时间、出处等，并让标注和数据一起传播，通过查看目标数据的标注来获得数据的溯源。采用标注法来进行数据溯源虽然简单，但存储标注信息需要额外的存储空间。反向查询法，也称逆置函数法，由于标注法并不适合细粒度数据，特别是大数据集中的数据溯源，于是，提出了逆置函数反向查询法，此方法是通过逆向查询或构造逆向函数对查询求逆，或者说根据转换过程反向推导，由结果追溯到原数据的过程。这种方法是在需要时才计算所以又叫lazzy方法。反向查询法关键是要构造出逆向函数，逆向函数构造的好与坏直接影响查询的效果以及算法的性能，与标注法相比，它比较复杂，但需要的存储空间比标注法要小；

步骤3，获取分散的智能设备中的分散日志，依据步骤2得到的因果链将日志整合起来，依据整合的日志可以判断出某个已发生事件是否存在安全隐患；

1）智能设备都有自己本身的日志系统，只不过日志比较低级，仅靠这些低级的日志是无法判断是否存在安全隐患的，因此我们需要对其进一步处理，我们从智能设备本身的日志系统中提取出所有的日志，为后续做好准备；

2）步骤2得到的因果链涵盖了该场景下所有可能发生事件的前因后果，依据时间序列和因果链我们将分散的日志信息整合，如（8点窗帘自动升起、7点59分光线传感器的状态发生变化这两个信息，这便是窗帘升起的因果关系），对日志的每一条信息我们都用类似的方式处理；

3）对整合的日志进行判断，凡是因果链完整的已发生事件我们认为是安全的，并无隐私泄露的安全隐患；而对因果链不完整的事件我们认为是不安全的，存在泄露隐私的可能；

首先我们需要获取到所有该环境下的指令信息，一般情况下，这些指令都是存储在云中心的，从云中心获取到所有代码后便需要使用专用的针对物联网环境的静态污点分析工具对代码进行静态分析，由此我们可以得到所有代码的污点流，观察污点流可以明确代码中存在的隐私泄露隐患，由此我们便完成了第一步操作；其次，我们需要对代码中的事件进行标记，使用数据溯源技术中的反向查询法获得所有事件发生的前因后果，形成了事件发生的因果链；最后，我们提取出所有设备的日志，依据因果链和时间序列对这些日志进行有序的排列，将分散的设备日志整合成集中的日志，依据因果链的完整性我们可以进一步判断某个事件是否存在安全隐患，从而对用户的隐私安全形成有效防护。

Claims (1)

1.一种基于数据溯源的隐私泄露防护方法，以智能家居平台为例，包括智能家电设备（如智能音箱、自动窗帘、智能电灯等）运行产生的日志融合和云中心的控制指令检测，其特征在于，对云中心的控制指令进行静态污点分析，使用数据溯源技术对用户房间发生的一切事件在代码层面寻找到相应的逻辑关系，对分散的智能家电设备日志进行整合得到完整的集中式日志系统（事件发生的因果链集合）；包括以下步骤：

步骤1，使用静态污点分析技术对云中心中所包含的有关某用户的所有控制指令进行分析，判断该用户所拥有的智能家电设备在代码层面是否存在隐私数据泄露的情况；

所述的控制指令即app代码，是指云中心对某用户所拥有的智能家电设备的操作指令，如升起或者降落窗帘、打开或者关闭电灯这种基础的操作指令，同时也包括用户自身的配置，如什么时间升起窗帘、什么情况打开电灯等一系列的设备触发命令；

所述的静态污点分析技术是针对智能家居平台所设计的专用的污点分析技术，包括以下几个主要步骤：生成抽象语法树、生成控制流图、控制流分析、数据流分析、污点分析；在生成抽象语法树之前首先需要定义指令中的源和汇，源代表着敏感数据的来源，可能是设备状态、设备事件或是输入；汇代表着敏感数据的发送，可能是设备控制命令（如发送给某个手机号码）或者API；接着依据定义好的源和汇使用上述的步骤寻找出指令代码中所有的源和汇组成的污点流，污点流表示的是代码中所有敏感数据的流向，我们可以依据污点流判断是否有隐私数据泄露的情况；

步骤2，使用数据溯源技术在代码层面得到所有可发生事件的因果链，因果链可以使我们全面了解每个事件发生的因果关系；

所述的数据溯源技术的模型使用W3C PROV- dm (PROV data model, PROV datamodel)规范对模型加以逻辑描述，因为这种方式很普遍，并且使用有向无环图(DAG)来表示源图，可以方便我们的研究，PROV-DM有三种类型的节点:(1)实体是一个数据对象，(2)一个活动代表一个过程，(3)代理是对活动和实体负责的事物，这些边缘编码依赖类型关联：哪个实体归属于哪个代理、哪个活动与哪个代理关联、哪个实体由哪个活动生成、哪个活动使用哪个实体、哪个活动由哪个活动提供信息以及节点之间哪个实体派生自哪个实体，除了归属和关联到之外，边缘指向系统执行的历史；

所述的数据溯源技术的方法使用反向查询法，标注法和反向查询法是当前数据溯源技术常用的两种方法，除此之外，还有通用的数据追踪方法，双向指针追踪法，利用图论思想和专用查询语言追踪法等方法，标注法是一种简单且有效的数据溯源方法，使用非常广泛，通过记录处理相关的信息来追溯数据的历史状态，即用标注的方式来记录原始数据的一些重要信息，如背景、作者、时间、出处等，并让标注和数据一起传播，通过查看目标数据的标注来获得数据的溯源，采用标注法来进行数据溯源虽然简单，但存储标注信息需要额外的存储空间，反向查询法，也称逆置函数法，由于标注法并不适合细粒度数据，特别是大数据集中的数据溯源，于是，提出了逆置函数反向查询法，此方法是通过逆向查询或构造逆向函数对查询求逆，或者说根据转换过程反向推导，由结果追溯到原数据的过程，这种方法是在需要时才计算所以又叫lazzy方法，反向查询法关键是要构造出逆向函数，逆向函数构造的好与坏直接影响查询的效果以及算法的性能，与标注法相比，它比较复杂，但需要的存储空间比标注法要小；

步骤3，获取分散的智能设备中的分散日志，依据步骤2得到的因果链将日志整合起来，依据整合的日志可以判断出某个已发生事件是否存在安全隐患；

智能设备都有自己本身的日志系统，只不过日志比较低级，仅靠这些低级的日志是无法判断是否存在安全隐患的，因此我们需要对其进一步处理，我们从智能设备本身的日志系统中提取出所有的日志，为后续做好准备；

步骤2得到的因果链涵盖了该场景下所有可能发生事件的前因后果，依据时间序列和因果链我们将分散的日志信息整合，如（8点窗帘自动升起、7点59分光线传感器的状态发生变化这两个信息，这便是窗帘升起的因果关系），对日志的每一条信息我们都用类似的方式处理；

对整合的日志进行判断，凡是因果链完整的已发生事件我们认为是安全的，并无隐私泄露的安全隐患；而对因果链不完整的事件我们认为是不安全的，存在泄露隐私的可能。

Images