[发明专利]云环境下基于动态数据流跟踪的用户隐私数据保护方法

说明书

技术领域

本发明属于云计算和计算机系统安全领域，更具体地，涉及一种云模式下基于动态数据流跟踪的用户隐私数据保护方法。

背景技术

现今云计算是一个热门的字眼，在云模式下，服务提供商把服务部署在云端，而用户把数据上传到云端来使用服务。一般来说，云模式下包含三部分：云基础设施提供商(简称云提供商)、云服务提供商和用户。云服务提供商把他们的云服务程序部署在云提供商的云端；用户要使用云服务，需把其隐私数据上传给云服务，而云服务被部署在云端，也就是说用户是把他们的隐私数据间接地上传到了云端；然而用户只和云服务提供商交互，却不知道云提供商的存在。

随着云计算的普及，企业用户和个人用户越来越依赖云，它们把隐私数据存储在云端，并在云端处理这些隐私数据。这样，它们失去了对其隐私数据的控制。在这种模式下，数据保密性成为日益关注的问题。由于缺少可选择的方案(而不是根本不用云服务)，大多数用户最终信任云服务提供商能保护好他们的隐私数据。

不幸的是，仅仅依靠信誉良好的云服务提供商并不能减轻泄露数据的风险。大多数功能丰富的云服务是很复杂的，通常包含很多组件。代码中的bug和漏洞、错误配置和关于组件间交互的错误假设、甚至访问证书的粗心处理这种小事故，都会导致隐私数据的泄露，或者使得整个系统容易受到数据窃贼的攻击。另外，云计算鼓励快速部署云服务，并且云服务上线的压力有时会使得开发人员不会把数据安全放在首位考虑因素。

一种常用的保护隐私数据的方法就是数据加密。在把隐私数据存储到云端的时候，对隐私数据进行加密，实现云端隐私数据的安全存储。然而，它不能解决在云端处理隐私数据的时候所带来的安全问题，因为隐私数据在处理之前必须先被解密，在处理隐私数据的过程中隐私数据依然存在被泄露的危险。

动态数据流跟踪是另一种保护用户隐私数据的方法。该技术包含三个步骤：污点数据引入、污点数据传播、污点数据检查。这种技术为隐私数据添加污点标签(污点数据引入)，并跟踪污点数据在程序中的流向(污点数据传播)，最后在可能泄露数据的地方检查是否有污点数据(污点数据检查)。在传统环境下，隐私数据是在用户自己的机器上处理的，当应用数据流跟踪技术发现在污点数据检查点包含污点数据时，是交由用户自己判断接下来的操作，是终止程序还是继续运行都由用户决定。然而在云模式下，隐私数据一旦上传到云端就不在受用户控制了，此时云端也无法代替用户来判断处理用户隐私数据的云服务程序行为是否会泄露用户隐私数据。这里，云端就缺乏一种机制，使得云端能理解用户隐私数据的隐私性，进而根据用户的意志，来代替用户执行判断云服务程序行为是否会泄露其隐私数据的操作。

发明内容

针对现有技术的以上缺陷或改进需求，本发明提供了一种云环境下基于动态数据流跟踪的用户隐私数据保护方法，其目的在于，通过结合动态数据流跟踪技术和隐私策略机制，使得云端在处理用户隐私数据的时候跟踪用户隐私数据的流向，同时根据用户的隐私策略代替用户来判断云服务程序行为是否会泄露用户隐私数据，达到在处理用户隐私数据的时候保护用户隐私数据不被泄露，从而提高云的隐私性。

为实现上述目的，按照本发明的一个方面，提供了一种云环境下基于动态数据流跟踪的用户隐私数据保护方法，是应用在提供云服务的云端中，所述方法包括以下步骤：

(1)在云端，将数据流跟踪程序部署到云服务程序中；具体而言，通过使用动态插桩技术将数据流跟踪程序插入到云端的云服务程序中；

(2)接收来自用户的云服务请求，并判断该云服务请求是用户请求上传隐私数据还是用户请求上传隐私策略，如果是用户请求上传隐私数据，则转入步骤(3)，否则转入步骤(6)；

(3)启动数据流跟踪程序，将存储在云服务程序的内存地址中的用户的隐私数据、以及存储在CPU寄存器中的用户的隐私数据标记为污点数据；

(4)根据云服务程序中执行的指令的语义来传播污点数据的污点标签，进而跟踪污点数据的流向；

(5)随着云服务程序的运行，在执行数据流出云服务程序的指令之前，判断流出的数据是否有污点数据，如果有，则转入步骤(6)，否则转入步骤(7)；

(6)载入步骤(2)中的云服务请求中的隐私策略，根据该隐私策略来判断是否允许这些隐私数据流出云服务程序；如果允许，则转入步骤(7)，否则转入步骤(8)；

(7)执行数据流出云服务程序的指令；

(8)结束云服务程序和数据流跟踪程序。