Ny platform fungerer som en gatekeeper for at sikre, at webtjenester overholder brugernes brugerdefinerede databegrænsninger

En ny platform udviklet af forskere fra MIT og Harvard University sikrer, at webtjenester overholder brugernes præferencer for, hvordan deres data gemmes og deles i skyen.

I nutidens verden af ​​cloud computing, brugere af mobilapps og webtjenester gemmer personlige data på eksterne datacenterservere. Disse data kan omfatte fotos, profiler på sociale medier, email adresse, og endda fitnessdata fra bærbare enheder. Tjenester samler ofte flere brugeres data på tværs af servere for at få indsigt i, sige, forbrugerindkøbsmønstre for at hjælpe med at anbefale nye varer til bestemte brugere, eller kan dele data med annoncører. Traditionelt, imidlertid, brugere har ikke haft magten til at begrænse, hvordan deres data behandles og deles.

I et papir, der præsenteres på denne uges USENIX Networked Systems Design and Implementation-konference, forskerne beskriver en platform, kaldet Riverbed, der tvinger datacenterservere til kun at bruge data på måder, som brugerne udtrykkeligt godkender.

I flodlejet, en brugers webbrowser eller smartphone-app kommunikerer ikke direkte med skyen. I stedet, en Riverbed proxy kører på en brugers enhed for at formidle kommunikation. Når tjenesten forsøger at uploade brugerdata til en fjerntjeneste, proxyen tagger dataene med et sæt tilladte anvendelser for deres data, kaldet en "politik".

Brugere kan vælge et hvilket som helst antal foruddefinerede begrænsninger – som f.eks. "gem ikke mine data på vedvarende lagring" eller "mine data må kun deles med den eksterne tjeneste x.com." Proxyen tagger alle data med den valgte politik.

I datacenteret, Riverbed tildeler de uploadede data til en isoleret klynge af softwarekomponenter, med hver klynge behandler kun data tagget med de samme politikker. For eksempel, en klynge kan indeholde data, der ikke kan deles med andre tjenester, mens en anden kan indeholde data, der ikke kan skrives til disken. Riverbed overvåger server-side-koden for at sikre, at den overholder en brugers politikker. Hvis det ikke gør, Riverbed afslutter tjenesten.

Riverbed sigter mod at håndhæve brugerdatapræferencer, samtidig med at fordelene ved cloud computing bevares, såsom at udføre store beregninger på outsourcede servere. "Brugere giver en masse data til webapps til tjenester, men mister kontrollen over, hvordan dataene bruges, eller hvor de skal hen, " siger førsteforfatter Frank Wang SM '16, Ph.D. '18, nyuddannet fra Institut for Elektroteknik og Datalogi og Datalogi og Laboratoriet for Kunstig Intelligens. "Vi giver brugerne kontrol til at fortælle webapps, 'Det er præcis sådan, du kan bruge mine data'."

På den tråd, et ekstra frynsegode for app-udviklere, Wang tilføjer, skaber mere tillid til brugerne. "Det er en stor ting nu, " siger Wang. "Et salgsargument for din app ville være at sige, "Min apps mål er at beskytte brugerdata."

Med Wang på papiret er Ph.D. studerende Ronny Ko og lektor i datalogi James Mickens, begge fra Harvard.

At skabe "universer"

I 2016 Den Europæiske Union har vedtaget den generelle databeskyttelsesforordning (GDPR), som siger, at brugere skal give samtykke til, at deres data bliver tilgået, at de har ret til at anmode om deres data slettet, og at virksomhederne skal implementere passende sikkerhedsforanstaltninger. For webudviklere, imidlertid, disse love giver lidt teknisk vejledning til at skrive sofistikerede apps, der skal udnytte brugerdata.

I fortiden, dataloger har designet "information flow control" (IFC) systemer, der gør det muligt for programmører at mærke programvariabler med datapolitikker. Men med så mange variabler og mange mulige interaktioner mellem variabler, disse systemer er svære at programmere. Dermed, ingen webtjenester i stor skala bruger IFC-teknikker.

Primært, Riverbed udnytter det faktum, at server-side-koden for en app kan køre oven på et særligt "monitor"-program - programmer, der sporer, regulere, og verificere, hvordan andre programmer manipulerer data. Monitoren opretter en separat kopi af appens kode for hver unik politik, der er tildelt data. Hver kopi kaldes et "univers". Monitoren sikrer, at brugere, der deler den samme politik, får deres data uploadet til, og manipuleret af, det samme univers. Denne metode gør det muligt for monitoren at afslutte et universs kode, hvis den kode forsøger at overtræde universets datapolitik.

Denne proces inkorporerer en tilpasset tolk, et program, der kompilerer programmeringssprog til kode, der forstås af en computer. Tolke bruges også til at hjælpe runtime-programmer med at implementere kommandoer på lavt niveau i et originalt program, mens det kører. Forskerne modificerede en traditionel fortolker for at udtrække definerede politikker fra indgående brugerdata og mærker visse variabler med specifik politikretning. Etiketter vil, for eksempel, angiver hvidlistede webtjenester til datadeling eller begrænser vedvarende lagring – hvilket betyder, at dataene ikke kan gemmes, når brugeren holder op med at bruge webtjenesten.

"Sig, at jeg ønsker, at mine data skal aggregeres med andre brugere. Disse data sættes ind i sit eget univers med andre brugerdata med samme politik, " siger Wang. "Hvis en bruger ikke ønsker at dele nogen data med nogen, så har den bruger hele deres eget univers. Denne måde, du har ingen krydsbestøvning af data."

For udviklere, dette gør det meget nemmere at overholde GDPR og andre love om privatliv, Wang siger, fordi brugere har givet udtrykkeligt samtykke til dataadgang. "Alle brugere i hvert univers har de samme politikker, så du kan udføre alle dine operationer og ikke bekymre dig om, hvilke data der lægges ind i en algoritme, fordi alle har den samme politik for data i det univers, " siger Wang.

Effektiv kopiering

I værste fald, Wang siger, hver bruger af hver tjeneste ville have et separat univers. Generelt, dette kan forårsage betydelige beregningsomkostninger og sænke tjenesten. Men forskerne udnyttede en relativt ny teknik, kaldet "container-baseret virtualisering, " som gør det muligt for Riverbed-monitoren at skabe flere universer af det samme program mere effektivt. Som et resultat, univershåndtering er hurtig, selvom en tjeneste har hundreder eller tusinder af universer.

I deres papir, forskernes evaluerede Riverbed på flere apps, demonstration af platformen holder data sikre med lidt overhead. Resultater viser, at mere end 1, 000 universer kan presses ind på en enkelt server, med tilføjet beregning, der bremser tjenesten med omkring 10 procent. Det er hurtigt og effektivt nok til brug i den virkelige verden, siger Wang.

Forskerne forestiller sig, at politikkerne er skrevet af fortalergrupper, såsom Electronic Frontier Foundation (EFF), en international nonprofit-gruppe for digitale rettigheder. Nye politikker kan til enhver tid "dettes ind" til en Riverbed-drevet tjeneste, hvilket betyder, at udviklere ikke behøver at omskrive kode.