第4章 數(shù)據(jù)庫安全.ppt

1、第4章 數(shù)據(jù)庫安全,曹天杰 中國礦業(yè)大學計算機科學與技術(shù)學院,數(shù)據(jù)庫安全威脅,數(shù)據(jù)庫安全需求,數(shù)據(jù)庫完整性 物理數(shù)據(jù)庫完整性； 邏輯數(shù)據(jù)庫完整性。 元素完整性。 每個元素包含的數(shù)據(jù)都是正確的。 可審計性 能夠?qū)?shù)據(jù)庫中元素的訪問和修改進行跟蹤。,數(shù)據(jù)庫安全需求,訪問控制 用戶只能訪問獲得訪問許可的數(shù)據(jù)，而且不同用戶的訪問模式（讀、寫等等）不同。 用戶認證 為了進行一定數(shù)據(jù)的審計跟蹤和訪問許可，每個用戶都要進行身份認證。 可用性 用戶一般能夠訪問數(shù)據(jù)庫，以及所有授權(quán)的數(shù)據(jù)。,可靠性與完整性,數(shù)據(jù)庫完整性 數(shù)據(jù)庫是作為一個整體來防止破壞，比如磁盤驅(qū)動的失敗、管理數(shù)據(jù)庫索引的破壞。 元素完整性 只有

2、授權(quán)用戶能夠?qū)唧w的數(shù)據(jù)元素的值進行寫或者修改。 元素準確性 只有正確的數(shù)值能夠被寫入數(shù)據(jù)庫。,敏感數(shù)據(jù),不被用戶直接訪問到的數(shù)據(jù)對該用戶而言就是敏感數(shù)據(jù)。 敏感級別（Sensitive Level，SL）：統(tǒng)一刻畫數(shù)據(jù)的敏感性。 敏感數(shù)據(jù)應該既可以是單個數(shù)據(jù)項，也可以是數(shù)據(jù)項的組合；既可以是整個關系中的所有元組，也可以是滿足條件的部分元組。,敏感數(shù)據(jù),舉例 選擇：給定關系實例r上的一個選擇可以表示為r(F)，其中F是由通過邏輯運算符連接的多個形如a b的算術(shù)表達式構(gòu)成的一個邏輯表達式，其中為比較運算符，a是r中的屬性名，b是對應的常量。用F = 1表示無選擇條件。 選擇的結(jié)果是r中使得F為真

3、的元組子集。 查詢：給定關系實例r上的一個查詢可以表示為Q(obj): con，其中查詢條件con是r上選擇的有限集合，查詢對象obj是r的屬性子集。通過簡單的SQL轉(zhuǎn)化，查詢即可精確定位數(shù)據(jù)庫中的數(shù)據(jù)，因此使用查詢也可以形式化定義數(shù)據(jù)庫中各種粒度下的敏感數(shù)據(jù)。 敏感數(shù)據(jù)：相對于某用戶的一條敏感數(shù)據(jù)是數(shù)據(jù)庫D中由查詢Q(obj): con確定的、其無法直接訪問的數(shù)據(jù)，并且稱|obj| = 1時的敏感數(shù)據(jù)為單一敏感數(shù)據(jù)，而稱|obj| 1時的為組合敏感數(shù)據(jù)。,多級數(shù)據(jù)庫,敏感數(shù)據(jù)和非敏感數(shù)據(jù),多級數(shù)據(jù)庫,數(shù)據(jù)敏感性和屬性敏感性,多級數(shù)據(jù)庫,數(shù)據(jù)庫安全的三個特點： 單個元素的安全等級可能與相同記錄

4、的其它元素（或者相同屬性的其它值）不同，即一個元素的安全等級可能相同行或列的其它元素不同。這說明安全需要對單個元素實現(xiàn)。 在一些條件下兩級敏感或不敏感是不夠的，需要更多的安全等級。這些等級可能代表著允許程度的排列（可能重疊），安全等級形成一個點陣。 數(shù)據(jù)庫中總和、數(shù)量、群值的安全性可能與單個元素不同，他們的安全級別可能高于或低于單個元素的安全級別。,多級數(shù)據(jù)庫的安全模型,粒度,不僅數(shù)據(jù)庫中的每個元素有一個不同的敏感度，元素的每個聯(lián)系也有一個敏感度。比如：單詞Manhattan和project本身并不敏感，但是它們組合起來成了敏感的核心單詞Manhattan project。 讓數(shù)據(jù)庫中的每個值

5、都有一個敏感級,安全問題,完整性 進程在高級別安全等級時不能寫入低級別進程。 進程必須是“被信任的進程”，計算機與人有相等的安全等級。 機密性 保護機密性的同時，可能犧牲了精確型。 加強機密性也導致了不知道的冗余。,安全問題,多實例記錄舉例,推理控制,當敏感信息通過訪問非敏感信息或元數(shù)據(jù)而泄露出去時，我們就說安全數(shù)據(jù)庫中存在推理問題。 發(fā)生推理控制的情景,推理控制,推理控制方法 語義數(shù)據(jù)模型方法 形式化方法 多實例方法 查詢限制方法,推理控制,語義數(shù)據(jù)模型方法 用于數(shù)據(jù)設計 形式化方法 一個函數(shù)依賴對于低安全級別的用戶而言是已經(jīng)知道的，則會產(chǎn)生推理問題。 通過消除函數(shù)依賴和多值依賴推理的形式化

6、算法解決。,推理控制,多實例方法 多實例允許數(shù)據(jù)庫中存在關鍵字相同但安全級別不同的元組，即把安全級別作為主關鍵字的一部分。 缺點是使數(shù)據(jù)庫失去了實體完整性，同時增加了數(shù)據(jù)庫中數(shù)據(jù)關系的復雜性。,推理控制,查詢限制方法 修改查詢語句 當查詢會導致敏感信息的推理時，對查詢進行轉(zhuǎn)換，使其不能導致敏感信息的導出。 修改查詢結(jié)果 防止惡意用戶可以通過比較合法查詢與非法查詢的區(qū)別導出推理信息。,關系數(shù)據(jù)庫的推理控制,關聯(lián)在給定數(shù)據(jù)集上的推理是一個反復過程，新推理得到的數(shù)據(jù)可能激活其它關聯(lián)用于進一步的推理，若所有關聯(lián)作用在某數(shù)據(jù)集上都不再推理出新數(shù)據(jù)。 原則 信息最大可用原則 分階段控制原則 短通道優(yōu)先原則

7、,XML數(shù)據(jù)庫的推理控制,XML約束推理控制的處理過程,隱私保護的數(shù)據(jù)挖掘,分類 數(shù)據(jù)分布（Data Distribution） 數(shù)據(jù)修改（Data Modification） 數(shù)據(jù)挖掘算法（Data Mning Algorithm） 數(shù)據(jù)及規(guī)則的隱藏（Data or Rule Hiding） 隱私保護（Privacy Preservation）技術(shù),K-匿名模型,要求公布后的數(shù)據(jù)中存在一定數(shù)量的不可區(qū)分的個體，使攻擊者不能判別出隱私信息所屬的具體個體，從而防止了個人隱私的泄密。 為了保護個人隱私，在數(shù)據(jù)發(fā)布的時候，必須從數(shù)據(jù)表中刪除標識符屬性值，但是它依然有可能造成隱私泄漏。,K-匿名模型,

8、鏈接攻擊導致信息泄露,K-匿名模型,住院病人信息表,K-匿名模型,滿足4-匿名化的住院病人信息表,K-匿名模型,攻擊 一致性攻擊 一致性攻擊是指等價組內(nèi)的敏感屬性值缺乏多樣性導致隱私泄露。 背景知識攻擊 由于攻擊者對資料表所知道的附加的背景知識引起的隱私泄露。 抵抗攻擊 L-diversity降低隱私泄露,K-匿名模型,滿足3-diversity的住院病人信息表,匿名化實現(xiàn)技術(shù),泛化和隱匿 泛化就是將數(shù)據(jù)表中的屬性的具體值用泛化值來代替，使其意義變得更加廣泛。 隱匿，就是直接從數(shù)據(jù)表中刪除一些屬性值或記錄。 隱匿通常和泛化結(jié)合使用，使沒有滿足匿名要求的數(shù)據(jù)記錄，通過直接刪除來保證數(shù)據(jù)的安全性。,匿名化實現(xiàn)技術(shù),泛化樹,匿名化實現(xiàn)技術(shù),聚類 把K-匿名問題看作聚類問題，在聚類時找到一個聚類集（也就是等價類），每個聚類集中至少包含K條記錄。 為了最大的保證數(shù)據(jù)質(zhì)量，我們需要在每個聚類集中的記錄盡可能相似，這樣可以保證聚類集在同一聚類中修改為相同準標識符值時，數(shù)據(jù)損失最小。,聚類舉例：第一個記錄和第二個記錄中屬性Age的距離可以這樣計算|57 41|/|57 24| = 0.485，而最后兩個記錄中屬性Age的距離等于|24 45|/|57 24| = 0.636。兩個值之間的距離越小意味著彼此越相似。,匿名化實現(xiàn)技術(shù),匿