数据库服务——安全与隐私保护

主要从数据的机密性、数据的完整性、数据的完备性、查询隐私保护以及访问控制策略这5个关键技术,综述国际上在数据库服务--安全与隐私保护方面的研究进展.数据的机密性主要从基于加密和基于数据分布展开分析;数据的完整性和完备性主要从基于签名、基于挑战-响应和基于概率的方法展开分析;查询隐私保护和访问控制策略主要从目前存在的问题展开分析.最后展望了数据库服务--安全与隐私保护领域未来的研究方向、存在的问题及面临的挑战.     

数据库服务——安全与隐私保护

随着计算机网络环境的不断发展,人们对计算机的依赖程度逐渐增强。这就使得计算机的网络安全被广泛关注,数据库是构成网络安全的重要组成部分,其中的安全和隐私保护也是重点问题。本文针对数据的完整性和机密性进行安全和隐私保护的研究,并提出合理化的建议。     

数据库服务——安全与隐私保护

随着计算机网络环境的不断发展,人们对计算机的依赖程度逐渐增强。这就使得计算机的网络安全被广泛关注,数据库是构成网络安全的重要组成部分,其中的安全和隐私保护也是重点问题。本文针对数据的完整性和机密性进行安全和隐私保护的研究,并提出合理化的建议。     

数据库服务中的安全隐私与保护

随着社会发展,计算机在各行业都有了广泛应用,同时,信息安全也在现代信息系统中至关重要。数据库系统安全、协议安全、网络安全和操作系统安全是最主要的四个方面。数据库在我国各行各业有着广泛应用,有着处理大量信息和集中存储的任务,是信息系统的核心软件。其存储的大量数据和信息有着非常重要的意义,可以为管理者的决策提供数据支持。由于数据库系统中存储和管理着大量重要数据,如果出现破坏或者泄露等安全隐患,将给国家或者企业造成不可估量的损失。     

试论数据库服务中的安全与隐私保护体系建设

针对数据库服务中的安全与隐私保护问题进行研究,分别从数据机密性、完整性、完备性、隐私保护及访问控制等方面存在的问题进行分析,并对解决存在问题的对策进行探讨,为构建安全与隐私保护体系进行探索,对数据库服务中的安全隐私发展的方向及面临的挑战进行展望。     

基于加密技术的外包数据库服务集成安全

针对目前外包数据库服务中单方面考虑某种保护技术难以同时满足外包数据库安全需求的不足,提出一种集成数据机密性、数据隐私、用户隐私和访问控制保护的外包数据库服务模型,采用属性分解和部分属性加密技术,基于结合准标识集自动检测技术的近似算法实现外包数据的最小加密属性分解,同时把密码学应用于辅助随机服务器协议,以实现数据库访问时的用户隐私保护和访问控制。理论分析表明,该模型可以提供有效的数据隐私保护和查询处理,较好的用户隐私保护计算复杂度。     

安全数据库隐私保护和访问控制集成研究*

数据库数据的合法使用和隐私保护是现代安全数据库系统面临的新挑战。针对目前单方面考虑隐私保护或访问控制技术难以同时满足数据库信息安全和处理性能需求的不足,提出一种集成访问控制和隐私保护技术的安全数据库模型,通过建立查询审计隐私保护模型中的查询可疑性与授权视图访问控制模型中查询有效性之间的关系,形成统一的查询判断方法,并给出多项式时间复杂度的审计算法和集成的安全检查框架,以同时实现数据库系统隐私保护和访问控制的安全功能。     

面向DaaS的隐私保护机制研究综述

DaaS是基于云基础设施对外提供数据库服务的云服务模式, 能有效地解决个人和企业处理海量数据所带来的存储、管理压力, 但隐私泄露极大地阻碍了DaaS的发展, 如何增强现有DaaS模式的隐私保护成为亟需解决的问题。首先通过文献分析的方法剖析了DaaS的服务框架及其隐私泄露模型, 接着对DaaS中实现委托数据的机密性、对机密数据查询过程中的隐私保护及查询结果的验证、委托数据完整性验证过程中隐私保护三个方面的发展现状进行了综合分析。通过分析得出, 现有的隐私保护方法对DaaS中数据更新和查询效率方面的支持及其实用性都存在不同程度的缺陷, 如何设计高效的机密性算法和保护隐私的数据查询及查询结果验证仍是未来研究的重点。最后展望了未来的研究方向。     

外包数据库服务隐私保护方法

针对目前基于数据库加密的隐私保护外包数据库服务技术需要对整个数据库进行频繁的加密和解密操作,不能有效实现数据处理性能与数据隐私保护之间平衡的不足,提出一种新的基于分布式外包数据库服务的隐私保护方法。该方法引入准标识属性集自动检测和概率匿名隐私保护技术,采用对部分敏感属性加密或匿名的方式和分解准标识属性集的方式实现数据的水平分解和垂直分解,并针对不同的数据分解方式,给出了分布式查询处理的方案。理论分析和实验结果表明,该方法可实现非可信数据库服务器的外包,并能较好地平衡数据查询性能和隐私保护之间的矛盾。     

基于安全协商的DDS安全通信中间件设计

针对关键核心领域中基于数据分发服务的分布式实时应用面临的安全威胁,文章以公钥基础设施为基础,提出一种支持身份认证、权限控制和数据加解密的插件化DDS安全通信中间件方案.该方案在保持API与原DDS中间件一致的同时,将安全协商过程与DDS发现机制相融合,利用自定义的安全服务质量,采用标准化的QoS协商手段,完成安全服务等...     

基于Pareto最优的DaaS数据布局策略

数据库即服务(database as a service, DaaS)作为一种新型的数据存储提供模式被广泛应用.随着大数据时代的到来,数据量急剧增加,DaaS模式下的数据布局问题显得更加重要,即服务提供商如何根据应用中不同数据的性能需求对数据进行合理布局,将会对提高服务质量、增强用户体验和降低自身服务成本产生重要影响.然而对于服务提供者来说提高服务质量和降低服务成本是一对矛盾的目标.提出DaaS模式下的数据布局图概念,应用Pareto最优思想适合于解决多目标矛盾性问题的特点,给出一个基于性能-代价均衡的多节点DaaS数据布局策略.通过与随机策略和贪婪策略等传统策略的实验比较,方法能保证DaaS服务提供商用尽可能少的代价为用户提供更好的服务质量,实现服务质量与资源代价两个目标的均衡.     

基于任务的访问控制模型研究

作为保护信息资源机密性和完整性的重要手段,访问控制在保密系统、商业系统中占据了重要地位。该文将工作流分解成若干任务单元,形式化地描述了任务间的相互关系,给出任务启动的条件,提出一种基于任务的访问控制模型。实验证明了该模型的有效性。     

DAS模式下基于密文分组索引的完整性验证

目前关于DAS模式下的全概率完整性验证方法主要是建立在明文数据上,并没有建立在密文数据上的完整性验证方法。提出一种建立在密文数据上的适用于动态数据库的完整性验证方法。分组索引是在DAS模式下的一种高效的密文索引,在密文数据分组索引的基础上,提出利用无碰撞增量式哈希生成完整性验证信息的方法。这是一种验证速度快(可并行计算)、维护代价小(对于增删改操作可增量式维护)的全概率验证方法,适用于动态数据库中完整性的验证。     

改进多项式划分的XML数据库安全服务方案

如何为企业和组织提供安全的XML数据库服务是云计算数据服务的重要研究内容。基于秘密共享的思想,提出了一种改进多项式划分的XML数据库安全服务方案--IPSS-XML。该方案在不降低安全性的前提下,通过以较小的数据预处理代价为XML中的每个非叶子节点添加辅助验证数据的方法,克服了已有方案中元素值验证算法效率低的缺点,提高了查询执行效率。     

一种应用于DaaS的物化视图候选集生成算法

针对DaaS数据中心建设中物化视图选择对候选视图集的新要求和传统MVPP方法的不足,提出一种新的候选视图集生成算法。该算法利用多操作变换规则进行查询优化,然后利用算法1和2进行关系融合。实验证明,该算法能够提高查询效率,压缩候选视图集,具有较高的可扩展性,符合应用需求。     

可信数据库环境下无证书认证的可信密钥共享

基于DAS模型的可信数据库环境下,数据拥有者将数据加密以后存储于第三方数据库服务提供商,数据拥有者与被授权用户间的可信数据共享本质上是数据密钥的可信共享。现有的DAS模型中密钥管理方法的安全落脚点都是假设数据拥有者与各用户能事先分别安全共享一个用户密钥,而在可信数据库环境下如何进行数据拥有者与用户间的可信用户密钥共享却是一个未解决的问题。基于无证书签名认证机制,提出了一种可信数据库环境下的可信用户密钥共享协议,并对该协议的有效性和安全性进行了分析。该协议完全无需安全传输通道和可信第三方作为支撑,且有较好的执行效率;同时基于DL问题、Inv-CDH问题、q-StrongDH问题等数学难题,该协议被证明能有效抵御无证书安全模型下的各种攻击。     

SaaS平台访问控制研究

Saas平台软件交付模式将应用软件以服务的形式提供给客户,可缩减硬件采购、系统管理上的开销。由于租户数据统一存储于服务提供商处,如何在维持较高资源利用率的同时保障租户的数据安全是一个挑战性问题。针对租户角色复杂、各租户数据共存而又独立访问的要求,结合基于角色的访问控制模型,构建了支持多租户、多角色、方便租户权限管理的SaaS平台的访问控制模型。和传统基于角色的访问控制模型相比,该模型增加了租户的概念,以租户为基本单元实施平台的访问控制,提高了SaaS平台访问控制的安全性和可管理性。分析了用户访问SaaS平台的具体流程,给出了模型的形式语言描述,实现了SaaS餐饮管理平台访问控制的数据库的物理模型,为SaaS平台开发提供参考。     

一种面向云端辅助工业控制系统的安全机制

随着云计算、物联网等信息通信技术与数据采集与监控系统的整合, 工业控制系统面临新的安全问题, 其中数据的完整性、机密性保护和有效的身份认证问题受到了关注.为了在这样一个多功能、分布式的环境中解决这些问题, 该文利用基于属性的加密方法, 构建访问控制策略, 为用户提供身份认证和授权服务, 保护用户与工业控制系统间的数据通信安全并实时检查存储数据的完整性.方案从正确性、安全性及系统性能等方面做出分析, 并与常用的认证方法进行了对比.