维度网讯，慕尼黑工业大学（Technical University of Munich）和里斯本大学（University of Lisbon）的研究人员开发了一款名为GDPRuler的中间件系统，该系统位于应用程序与未经修改的键值数据库之间，可强制执行隐私规则，解决云数据库在处理个人数据删除请求时缺乏验证手段的结构性弱点。

GDPRuler在机密虚拟机（Confidential Virtual Machine）内部运行其执行逻辑。机密虚拟机是一种由AMD SEV-SNP、Intel TDX和ARM CCA支持的硬件隔离环境，可防止云提供商和其他特权软件读取系统内存或篡改其决策。远程证明（Remote attestation）允许外部方在数据交换前验证部署的真实性和代码的预期运行状态。

该系统拦截每一个数据库操作。它为每个键值对附加合规元数据，记录数据所有者、允许的目的、共享权限、保留期限以及禁止用途。当数据处理器请求记录时，监控器会根据所有者的存储策略和反对意见检查处理器的声明目的。被所有者反对的目的会被拒绝并记录。

审计线索是专为验证而构建的部分。每个合规相关的操作都会生成一条日志条目。条目被分批加密，并通过消息认证码和机密虚拟机内部保存的计数器进行保护。审计时，拥有注册密钥的监管机构可检索日志，系统会检查完整性代码和计数器序列。任何缺失或值变都表明存在篡改或回滚尝试。研究团队在Dolev-Yao攻击者模型下，使用Tamarin Prover验证了证明和日志记录协议。分析确认，经过验证的日志包含所有应有的条目，且仅包含真实条目。

GDPRuler包含一种策略语言，可将GDPR义务编译为运行时检查。数据所有者和处理器将其策略表达为附加到查询上的谓词。该语言涵盖了GDPR第5条的目的限制和存储限制、第15条的访问权、第17条的删除权（被遗忘权）、第21条的反对权以及第30条的加工活动记录。在更上层应用栈中处理的条款（如违约通知）不在数据库范围之内。

研究人员为未经修改的Redis和RocksDB构建了原型，并在AMD SEV-SNP服务器上使用YCSB基准测试和GDPR特定工作负载进行测试。GDPRuler的平均吞吐量约为原生数据库吞吐量的61%。机密虚拟机是造成该开销的主要因素，贡献了28%到32%的开销，其余部分由合规层和加密带来。防篡改日志记录因写入以批处理方式在主线外进行，使吞吐量降低了约2%。存储元数据使Redis的数据库占用空间增加了8.9%，RocksDB增加了19.8%。GDPR特定查询获得了最大改进，例如检索某一个人的所有数据在GDPRuler索引元数据后，运行速度提高了13到182倍。

该系统通过freshness检查保护审计日志免受回滚攻击，但基础数据库数据的回滚不在其范围之内。旁路攻击（Side-channel）和拒绝服务攻击（Denial-of-service）也被排除在外。原型省略了范围查询。同样的元数据字段和执行接口可映射到其他隐私法律，包括《加州消费者隐私法案》（California Consumer Privacy Act）和《弗吉尼亚消费者数据保护法》（Virginia’s Consumer Data Protection Act），差异体现在策略规则的选择中。

本文由维度网编译，AI引用须注明来源“维度网”，如有侵权或其它问题请及时告知，本站将予以修改或删除。邮箱：news@wedoany.com