基于網絡風險攻守關系的網絡空間要素層次體系建設

劉洪波，臧洪睿，馬 凱，楊 爽，楊曉瑜

（1國網吉林省電力有限公司信息通信公司 吉林 長春 130000）

（2國網吉林省電力有限公司 吉林 長春 130000）

0 引言

網絡是現階段人類生活中的重要信息載體，從組成結構以及承載信息角度可將其分為多個層次?？茖W的分層規劃設計能夠幫助網絡管理提高工作效率，降低各層次之間聯系的復雜性，但是在現階段的網絡地理空間層次關系中，并未對風險攻擊下用戶信息安全關系的要素層次進行明確的區分，在一定程度上阻礙了網絡空間的多元發展并增加了數據存儲與傳輸的風險擾動。對此，為進一步提高網絡空間的信息安全性，本文將以隱私披露點為基礎進行探究，以期明確現有加密算法的優化方向。

1 域名涉及的隱私披露風險點

為保障數據的隱私安全，將以《網絡安全法》中所提隱私保護要求為例，以域名業務為基礎，對涉及注冊活動的信息在各階層傳輸時可能存在的隱私披露風險點進行分析，其體系架構如圖1所示。

圖1 注冊活動的信息安全架構

圖1中注冊人（Registrant）在完成域名的選擇之后，需要將域名注冊請求發送至注冊商（Registrar）或代理商手中，同時還需要將所需域名、注冊人姓名、聯系電話、詳細地址、技術與管理人員聯系信息和注冊期限等數據一并發送到Registrar或代理商手中，當Registrar或代理商接到域名申請信息之后，會對該域名是否可用進行檢查，并結合注冊人所上傳的信息構建一個WHOIS記錄，此記錄涵蓋注冊人、管理人、技術人、創建日期、更新日期、域名狀態以及域名服務器等基礎信息，借助可擴展認證協議（Extensible authentication protocol，EAP）注冊服務與注冊庫，并向注冊局（registry）上交注冊信息數據，由registry負責對頂級域名的注冊管理，同時維護域名所對應的數據庫。為預防惡意網絡攻擊或注冊局和注冊商經營失誤導致注冊人注冊信息遭到攻擊而丟失，造成頂級域名無法以正常工作狀態運轉，互聯網名稱與數字地址分配機構（The Internet Corporation for Assigned Names and Numbers，ICANN）中要求使用新通用頂級域名的申請人應當選擇第三方托管服務機構作為數據的托管單位，以期提高注冊信息的安全性。

ICANN在提出上述要求的同時也推出全新的商標保護方案，此方案既可以滿足商標持有人的相關法律權益保護的需求，同時也可以有效避免商標持有人反復注冊造成的信息重復。ICANN建立全球商標信息交換庫（new generic Top Level Domains，New gTLD）用以存儲商標信息，通過統一的New gTLD可有效約束網絡體系中用戶的信息傳輸節點安全。

2 互聯網標識隱私保護技術框架

結合上述對網絡背景下用戶注冊活動中域名傳輸節點數據安全的分析，融合數據隱私保護具備的生命周期特性，在引入GDPR與《網絡安全法》要求的隱私保護前提下，明確業務流程中存在的隱私風險，同時還需要對網絡用戶活動中數據的產生、流通、存儲、分析和挖掘等環節數據保護進行考慮，例如如何保護用戶隱私數據不被泄露、如何確保產生數據具有較高的可用性。網絡中用戶域名注冊數據的隱私保護生命周期架構如圖2所示。

圖2 域名注冊數據隱私保護生命周期模型

2.1 數據發布

數據發布者可以視為用戶網絡活動中采集數據與發布數據的實體單位，可涵蓋域名的注冊局和注冊商等主要負責采集域名注冊信息的單位。在ICANN全面實施WHOIS政策之后，域名WHOIS資料的采集、展示和ICANN等環節皆可能會產生隱私數據泄露。因此，要求域名注冊局、注冊商以及注冊人在上傳WHOIS信息和使用WHOIS信息過程中應當重點注意數據的隱私保護工作。針對用戶網絡活動中數據交互的安全防護技術，可借助K-匿名、L-多樣性和T-接近性匿名等模型的方式實現數據保護。

2.2 數據存儲

用戶網絡活動中數據存儲方面的風險主要出現在存儲平臺中，其存儲數據容易被不可信第三方偷窺或受到篡改?，F階段，在注冊局、注冊商以及ICANN等單位中，多使用密碼技術對所存儲信息進行保護，通過控制訪問的方式對存儲數據進行防護，從而降低存儲平臺受到外界惡意網絡攻擊的風險。

2.3 分析挖掘

用戶網絡活動遭受到網絡攻擊之后攻擊者會掌握一些隱私數據信息，通過數據挖掘技術便可從有限的數據中掌握更多有價值的數據信息，此操作將會造成更多用戶數據泄露，同時若存儲數據只通過簡單的匿名技術進行處理，則利用數據關聯、聚類以及分類等挖掘技術，便可得到較為完整的用戶隱私數據信息。例如在用戶網絡活動的域名業務場景中，ICANN或其他機構單位會委托第三方公司對新建存儲單位進行網絡攻擊，通過攻擊獲得少量數據信息判斷是否可以對隱私數據進行挖掘，以期開展與域名相關存儲信息的調查研究。通過上述方法明確在有限的數據信息中如何實現對隱私數據的挖掘，并掌握可使用那種挖掘技術和風險點進行風險攻擊，以期實現利用泛化技術、抑制技術、假名化技術以及隨機化技術等技術對其進行防控。另外，基于上述模擬網絡風險攻擊所得數據信息可構建差分隱私模型，通過該模型為第三方機構提供可查詢和利用的數據庫，以期保障網絡注冊人隱私數據不受挖掘技術而導致泄漏。

2.4 數據傳輸

在用戶網絡活動中，注冊人有權對記錄數據進行調用，例如對某項數據報表進行更改。在數據調用過程中，容易遭到不法分子的網絡攻擊，從而造成用戶注冊數據的泄漏與更改，并造成未調用數據的丟失。為此，需要確保用戶網絡活動數據傳輸的鏈路安全，通過加密協議的方式對傳輸數據進行加密，雖然加密算法會在一定程度上增加數據調用與讀取的時間，但是從數據安全角度來看，此方法可以極大提高數據傳輸節點之間的安全性，防止在數據傳輸過程中遭到攻擊。

3 網絡標識隱私保護技術

3.1 泛化技術

由上述分析為基礎，探究用戶與網絡間信息流通管理存在的網絡安全問題，通過泛化技術實現對傳輸信息的保護，維持數據真實性的同時對其進行加密保護。該技術能夠降低數據集中后產生的屬性粒度變化，主要通過粗粒度替代原始細粒度，進而降低屬性的唯一值，增加人與網信息傳遞推測出數據主體的難度。所用泛化技術基于泛化層次樹實現泛化，結合泛化方式可將其分為兩種形式，如圖3所示。

圖3 域泛化和值泛化

3.2 K-匿名模型

以傳統人網交互方式下信息的匿名方法為例進行分析，該方法僅在數據表中實現數據的泛化處理，即刪除非核心數據的部分屬性，以此達到消除數據特征點保護數據隱私的目的。但是該方法會遭到數據層下的鏈式攻擊，即攻擊者能夠借助其他含有數據個體標識符的相關數據集，針對攻擊數據重新建立對應的用戶標識符，由此得到與攻擊數據間的關系，并結合碎片數據推理出隱私數據。該安全問題是現階段用戶與網絡層次結構中信息傳遞遇到的主要問題，通常發生在用戶與網絡交互階段，為解決此問題有關學者提出K-匿名模型。該模型要求用戶與網絡層次之間傳輸的數據指定標識符屬性值應當存在至少K個記錄，從而使攻擊者不能通過鏈式攻擊的方式推測出傳輸數據的主體信息，進而降低用戶與網絡階層下數據傳輸受鏈式攻擊造成信息泄漏的概率。由該方法的保護原理可知，K值越大所受到保護的隱私數據安全性越強，但同時原始數據的損失量也會越大。雖然該方法可以提高用戶與網絡層次將數據傳輸的安全性，但防護受眾面積較小，無法解決同質攻擊和背景知識攻擊帶來的數據泄漏問題。

3.3 K-匿名改進模型

針對上述分析明確K-匿名模型的缺陷問題，通過L-多樣性模型給予改進。L-多樣性模型要求每個等價類數據在每個敏感屬性值上至少應當存在L個不同值，致使攻擊者至多可以獲得1/L的概率以明確攻擊個體的敏感信息。而T-接近性模型則是基于L-多樣性模型改進而成，該模型考慮攻擊者攻擊數據的敏感屬性分布問題，要求傳輸數據所有等價類中存在的敏感屬性值應當合理分布，并盡可能貼近原始數據集下的數據分布。該方法即可以防止攻擊者按照概率進行推導，同時還可以最大限度保障用戶與網絡之間的數據傳輸完整性[6]。

3.4 數據存儲隱私保護技術

在用戶網絡活動結構下，數據存儲的隱私保護代表整個數據層面下“用戶”的網上活動的信息安全。通過同態加密技術可實現對密文的處理，并使獲得的結果仍處于加密狀態，即對密文本身進行直接處理，該方法與對明文處理后再對其進行加密所得到的結果相同。從加密抽象代數的視角來看，該方法可保障數據的同態性。從數據存儲的隱私保護角度來看，對網絡數據的保護是指在數據層層面對用戶個人信息安全進行保護。為保障網絡通信的信息安全，需要使用SSL協議的方式對數據傳輸進行防護，因此網絡結構下的數據層數據保護活動主要是針對網絡用戶數據存儲與管理的保護。在同態加密技術中，主要需要對密文進行處理，使傳輸后的數據結果仍處于加密狀態，即直接對密文進行處理，此方法與對明文進行加密處理后再對傳輸結果進行加密所得到的結果完全相同。從抽象代數的視角出發，該方法可保持傳輸數據的同態性?，F階段已有借助同態加密技術開展的深入研究，例如key-value隱私存儲和多級索引技術等，上述技術可以確保數據的擁有者與存儲平臺都不可以在用戶的節點數據傳輸中識別出對象節點。此外，通過保留格式加密的方式還能夠實現明文與密文的同格式傳輸，借助此方法能夠增強數據庫與數據倉庫之間的安全性，但是對于一些較為敏感的數據，仍需要保留格式加密，以此方式確保密文能夠滿足數據庫對傳輸數據格式的約束。安全多方計算是實現上述目的的一種數據加密技術，其技術的核心操作需要在分布式環境下以多方參與者所提供的數據為基礎，計算出與所提數據相應的函數值，并保障除數據傳輸的參與者之外，在輸入與輸出信息操作之外不會暴露與參與者有關的任何操作信息。

3.5 數據使用隱私保護技術

結合上述用戶與網絡數據處理分析，探究數據處理方法在實際應用中的流程。從行為主體層角度出發，該階層的使用者多為個人和企業，從網絡空間中訪問并使用數據是常見的數據調用操作，在此過程中如何保障數據及屬性不會被攻擊者所利用，是體現上述加密設計的重要體現。為此，本文認為可通過角色控制與訪問控制等角度出發，實現對上述分析的應用。將用戶與網絡層次結構下所有活動主體視為獨立角色，此時不同角色存在不同的訪問控制權，借助為個體用戶分配角色的方式，可實現對網絡層面下所有活動主體的訪問權限控制。因此，為保障上述數據防護工作能夠發揮效益，需要基于角色設計用戶與網絡層次的數據訪問控制架構。為此，需要在基于角色的權限訪問控制（Role-Based Access Control，RBAC）模型中引入角色概念，其目的在于隔離動作主體和權限的跨階層傳輸，即當某個角色被賦予某個用戶時，該用戶可獲得該角色所有的權限[7]。RBAC基本模型如圖4所示。

圖4 RBAC 模型核心

針對網絡關系結構較大的層次模型可通過基于屬性訪問控制（Attribute-BasedAccessControl，ABAC）模型實現對所有個體屬性的組合應用[8]。因ABAC模型可對網絡結構下所有屬性進行考慮，因此具有更加細粒度的訪問控制權限，通過該模型可將用戶與網絡層次數據傳輸保護擴大至企業個體，即增加單個用戶的數據保護容量，降低行為主體層在網絡空間中的受威脅性。

4 結語

綜上所述，本文通過對用戶網絡活動信息攻守關系結構下網絡數據安全的研究，以域名的注冊與數據傳輸活動為例進行分析，明確用戶網絡活動中用戶存儲信息可能遭受的風險沖擊，同時明確攻擊的方式與對象。以互聯網標識隱私保護為基礎構建網絡信息保護框架，并以此分析為基礎從網絡標識的隱私保護視角對保護技術、方式進行分析，通過改進優化的方式提高用戶網絡活動下用戶存儲信息與調用信息的安全性，以期為相關研究提供優化思路和參考幫助。