站内搜索:
设为首页  |  加入收藏
 首页  部门简介  通知公告  社科动态  政策法规  资料下载  科研基地  学术交流  社科成果  专家库  成果推介 
您的位置: 首页 > 成果推介 > 正文

移动互联网隐私安全现状分析及对策研究
2020-04-01 11:31 作者: 

移动互联网隐私安全现状分析及对策研究

 

                                     周由胜

 

一、成果的基本情况

重庆邮电大学周由胜副教授主持的2014年度国家社科青年基金项目《移动互联网隐私安全现状分析及对策研究》, 批准号14CTQ026;最终成果为研究报告《移动互联网隐私安全现状分析及对策研究》。课题组成员有:肖云鹏、刘媛妮、郭承青、刘志辉、许可、彭恩伟。

二、成果的主要内容

(一)目的和意义

近年来,国内移动互联网产业蓬勃发展,人们在享受社会网络与虚拟网络融为一体而带来的便捷时,也面临着个人隐私暴露的威胁,以个人隐私信息泄露为基础的“人肉搜索”、网络诈骗、个人信息被倒卖等信息安全事件却不断涌现。移动互联网安全问题尤其是隐私问题成为近年来国内外学者和业界人士关注的热点之一。由于移动互联网中的很多应用将个人社会关系直接映射到信息网络中,而这些应用所运行的移动终端平台拥有很多个人数据,相比于传统互联网络而言,移动互联网的个人隐私保护尤为重要,移动互联网隐私安全成为移动互联网产业发展亟需解决的问题之一。

以保护个人信息为目标的隐私保护不仅关系着移动互联网用户的个人信息安全,更关系着移动互联网行业的健康发展与国家安全。移动互联网隐私安全是信息安全不可或缺的部分。研究移动互联网隐私安全问题,对于促进移动互联网行业良性发展,构建和谐社会,维护国家安全具有重要意义。

(二)主要内容

本项目致力于在分析移动互联网隐私安全现状的基础上,研究移动互联网的隐私保护技术及方案,重点考虑了移动互联网中数据存储、移动互联网数据共享、移动互联网用户交互、移动互联网用户接入等多种场合的隐私保护问题。项目的主要研究内容包括以下几个方面:

1. 移动互联网用户交互的隐私保护

针对移动互联网中用户交互需要建立信任的问题,设计了可保护用户隐私的认证及密钥协商协议。移动互联网中两个用户进行交互需要解决的首要问题是互信的建立,即欲进行数据交换的两个用户必须通过一定的手段让彼此甄别对方的真实性,但同时为了保护自己的隐私,又不能在甄别的过程中泄露如身份等敏感信息,以防被非授权实体收集进行各类恶意攻击。基于口令预共享方式和椭圆曲线上的离散对数难题,将用户真实身份采用异或运算进行匿名化处理,构造了一种双向匿名认证及密钥协商协议,解决了移动互联网用户在认证时身份等隐私信息的保护;此外,针对在某些开放式运行移动互联网系统中存在密钥暴露的安全风险问题,设计了随机预言模型下的密钥隔离安全的认证方案,通过将用户私钥分离成可分开保存的两部分,可以有效抵抗密钥泄露攻击。

2. 移动互联网用户接入的隐私保护

移动互联网系统中的用户可能因为地理位置发生变化而超出了服务提供商的服务区域,此时如果需要继续获取相关服务就必须要经过其所在地服务商的认证,而用户并未在所在地服务商进行过注册,所以无法直接对其认证,针对该问题设计了一个漫游认证及密钥协商方案,基于混沌映射构造了移动用户、属地服务商、所在地服务商的三方认证协议,认证过程中任意外部攻击者即使截获全部通信消息,也无法推算出该移动用户的真实身份,较好的保护了用户的隐私;针对移动社交网络应用中用户在控制其它外部用户访问其内容时双方身份保护问题,提出了基于随机游走的社交网络用户隐私保护方案。

3. 移动互联网数据共享的隐私保护

采用可支持搜索的多关键字加密方法,将用户检索的敏感关键词进行隐藏,防止攻击者获得搜索内容以及存储数据等相关信息。考虑到移动互联网环境下很多用户将敏感数据存放于不可信的云端,为了实现数据持有者对数据访问权限的控制以及数据消费者的在进行数据检索时的隐私保护,设计了可指定检索服务方的多关键字可搜索加密方案;在此基础上,为进一步提升隐私保护力度,引入时间敏感因子,设计了时间敏感的多关键字可搜索加密方案;此外,为了支持移动互联网环境下的多户用户并发访问,设计了支持多用户动态私有查询的可搜索加密方案,以适应多层次的隐私数据保护需求。在随机预言机模型下通过对敌手攻击能力进行形式化建模,精确分析了方案的安全性。

4. 移动互联网数据存储的隐私保护

移动互联网云端数据存储服务由于存储了大量用户个人隐私数据成为攻击者的重要目标之一,软硬件故障或恶意破坏而遭到破坏。结合门限密码学思想和同态计算的思想,设计了一种提供完整性证明的分布式存储方案,基于同态计算设计的随机采样策略使得计算代价和通信成本大幅降低,并支持高效的数据动态更新;针对用于隐私数据存储加密密钥的管理,设计了多策略门限密钥管理方案,基于RSA安全假设构造了门限阈值与策略自动匹配机制,以支持多安全等级隐私数据加密;此外,还提出了一种支持用户隐私保护的访问控制机制,结合属性密码特性构造了一种细粒度的个性化用户权限控制,在用户隐私和系统效率上实现了较为理想的平衡。

 

(三)基本观点和创新性

第一,针对移动互联网的用户交互及接入时的隐私保护需求,解决了传统的移动互联网隐私保护基于公钥加密、认证时缺乏对用户身份等隐私信息保护、密钥泄露风险等问题,提供了兼顾安全性和高效性的隐私保护方案。

第二,针对大部分移动互联网用业务服务商采用云平台处理移动终端用户数据的现状,前瞻性的考虑了用户数据在共享及存储中的隐私保护需求,设计了可最大限度保护用户隐私数据安全的关键字加密、完整性验证、密钥管理方案。

三、成果的价值和影响

(一)成果的学术价值

移动互联网安全及隐私保护的研究日趋活跃,并且也取得了一些令人瞩目的研究成果。但这些方法在隐私保护方面还不是很完善,仍需进一步研究。本项目对移动互联网领域的隐私保护进行了研究科学意义和学术价值在于:

第一,本课题以移动互联网隐私安全为研究对象,分析了移动互联网隐私安全现状,对于设计移动互联网隐私安全对策有重要参考价值;

第二,分别设计了面向移动互联网用户交互、用户接入、数据共享、数据存储等多个应用场景的隐私保护方案,为移动互联网隐私保护技术体系提供了有力支撑。

(二)成果的应用价值

从本项目研究的应用价值来看,本项目考虑了移动互联网的移动终端、用户数据端的安全风险,并基于现代公钥密码技术设计了相应的技术解决方案。我国移动互联网近年来发展迅猛,呈现出前所未有的市场前景,在移动终端数量、移动应用程序数量、移动应用普及程度、移动互联网网络覆盖范围等都居世界领先。而移动互联网的隐私安全是决定移动互联网能否持续发展的重要因素之一, 本课题对移动互联网的数据端及用户端隐私保护需求提出了一系列行之有效的方案,并已提交国家发明专利申请5项,具有非常广阔的应用前景。

(三)成果的社会影响

本研究在国内外重要刊物和会议上发表学术论文13篇,其中SCI论文10篇。截至2017年12月,它们已经被引用10余次,这表明本成果已经产生了一定的学术影响。

上一条:网络传播视域下我国主流意识形态建设研究
下一条:“网络立法问题研究:欧美经验与本土构建”
关闭窗口

重庆邮电大学社会科学处
地址:重庆市南岸区崇文路2号 邮编:400065 电话:62471729