信息系统安全第六讲数据库安全优秀课件.ppt

《信息系统安全第六讲数据库安全优秀课件.ppt》由会员分享，可在线阅读，更多相关《信息系统安全第六讲数据库安全优秀课件.ppt（23页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信息系统安全第六讲数据库安全第1页，本讲稿共23页目 录1 1 1 1、信息系统安全信息系统安全信息系统安全信息系统安全的基本概念的基本概念的基本概念的基本概念2 2 2 2、密码学密码学密码学密码学(1)(1)(1)(1)3 3 3 3、密码密码密码密码学学学学(2)(2)(2)(2)4 4 4 4、操作系统安全、操作系统安全、操作系统安全、操作系统安全(1)(1)(1)(1)5 5 5 5、操作系统安全、操作系统安全、操作系统安全、操作系统安全(2)(2)(2)(2)6 6 6 6、数据库安全数据库安全数据库安全数据库安全(1)(1)(1)(1)7 7 7 7、数据库安全、数据库安全、数据

2、库安全、数据库安全(2)(2)(2)(2)8 8 8 8、可信计算、可信计算、可信计算、可信计算(1)(1)(1)(1)9 9 9 9、可信计算、可信计算、可信计算、可信计算(2)(2)(2)(2)第2页，本讲稿共23页一、数据库安全的概念一、数据库安全的概念1 1、数据库安全的重要性、数据库安全的重要性bb数据库是重要的应用软件。数据库是重要的应用软件。数据库是重要的应用软件。数据库是重要的应用软件。bb数据库集中存储和管理着大量的重要数据，如军事、数据库集中存储和管理着大量的重要数据，如军事、数据库集中存储和管理着大量的重要数据，如军事、数据库集中存储和管理着大量的重要数据，如军事、政治、

3、金融等数据。政治、金融等数据。政治、金融等数据。政治、金融等数据。bb数据库成为不法分子攻击的主要目标。数据库成为不法分子攻击的主要目标。数据库成为不法分子攻击的主要目标。数据库成为不法分子攻击的主要目标。bb数据库要支持查询、插入、删除、更新等操作，而数据库要支持查询、插入、删除、更新等操作，而数据库要支持查询、插入、删除、更新等操作，而数据库要支持查询、插入、删除、更新等操作，而且存储的数据量大、时间长是其重要特点。且存储的数据量大、时间长是其重要特点。且存储的数据量大、时间长是其重要特点。且存储的数据量大、时间长是其重要特点。bb数据库的安全措施应适应数据库的特点数据库的安全措施应适应数

4、据库的特点数据库的安全措施应适应数据库的特点数据库的安全措施应适应数据库的特点。第3页，本讲稿共23页一、数据库安全的概念一、数据库安全的概念2 2、数据库加密的困难性、数据库加密的困难性bb对数据库加密是确保数据安全的重要措施。对数据库加密是确保数据安全的重要措施。对数据库加密是确保数据安全的重要措施。对数据库加密是确保数据安全的重要措施。bb数据量大，要求加解密速度快。数据量大，要求加解密速度快。数据量大，要求加解密速度快。数据量大，要求加解密速度快。bb数据存储时间长，为了安全密钥应经常更换，需数据存储时间长，为了安全密钥应经常更换，需数据存储时间长，为了安全密钥应经常更换，需数据存储时

5、间长，为了安全密钥应经常更换，需要对数据解密再加密很麻烦。如不经常更换密钥，要对数据解密再加密很麻烦。如不经常更换密钥，要对数据解密再加密很麻烦。如不经常更换密钥，要对数据解密再加密很麻烦。如不经常更换密钥，时间一长就可能不安全。时间一长就可能不安全。时间一长就可能不安全。时间一长就可能不安全。bb数据库要支持查询、插入、删除、更新等操作，数据库要支持查询、插入、删除、更新等操作，数据库要支持查询、插入、删除、更新等操作，数据库要支持查询、插入、删除、更新等操作，最好能在密文状态下进行上述操作，即需要同态最好能在密文状态下进行上述操作，即需要同态最好能在密文状态下进行上述操作，即需要同态最好能

6、在密文状态下进行上述操作，即需要同态加密。加密。加密。加密。第4页，本讲稿共23页二、统计数据库的概念二、统计数据库的概念 统计数据库的概念统计数据库的概念bb统计数据库（统计数据库（统计数据库（统计数据库（Statistical databaseStatistical databaseStatistical databaseStatistical database）是数据）是数据）是数据）是数据库的一种。库的一种。库的一种。库的一种。bb统计数据库是一些数据项的集合，其中每个数据项个统计数据库是一些数据项的集合，其中每个数据项个统计数据库是一些数据项的集合，其中每个数据项个统计数据库是一些数

7、据项的集合，其中每个数据项个体都是保密的、不允许访问的，但是访问获得其数据体都是保密的、不允许访问的，但是访问获得其数据体都是保密的、不允许访问的，但是访问获得其数据体都是保密的、不允许访问的，但是访问获得其数据项的统计信息则是允许的。项的统计信息则是允许的。项的统计信息则是允许的。项的统计信息则是允许的。bb如，公民健康状况数据库：公民个人的健康状如，公民健康状况数据库：公民个人的健康状如，公民健康状况数据库：公民个人的健康状如，公民健康状况数据库：公民个人的健康状况属于个人隐私，应是保密的（特别是一些领况属于个人隐私，应是保密的（特别是一些领况属于个人隐私，应是保密的（特别是一些领况属于个

8、人隐私，应是保密的（特别是一些领袖人物），但是其统计信息又是应当公开的，袖人物），但是其统计信息又是应当公开的，袖人物），但是其统计信息又是应当公开的，袖人物），但是其统计信息又是应当公开的，如某疾病的发病率等。如某疾病的发病率等。如某疾病的发病率等。如某疾病的发病率等。第5页，本讲稿共23页二、统计数据库的概念二、统计数据库的概念 统计数据库的概念统计数据库的概念bb又如，公民存款数据库：公民个人的存又如，公民存款数据库：公民个人的存款信息属于个人隐私，应是保密的，但款信息属于个人隐私，应是保密的，但是其统计信息又是应当公开的，如公民是其统计信息又是应当公开的，如公民存款上升率等。存款上升率

9、等。bb近年来数据挖掘的研究涉及个人隐私保近年来数据挖掘的研究涉及个人隐私保护问题，这与统计数据库安全技术相关。护问题，这与统计数据库安全技术相关。第6页，本讲稿共23页二、统计数据库的概念二、统计数据库的概念 统计数据库的理论模型统计数据库的理论模型1 1、特征刻画模型、特征刻画模型bb把数据库看成是许多记录的集合。把数据库看成是许多记录的集合。把数据库看成是许多记录的集合。把数据库看成是许多记录的集合。bb每个记录是一个实体的描述。每个记录是一个实体的描述。每个记录是一个实体的描述。每个记录是一个实体的描述。bb每个实体以其具有（或不具有）某些特性而与其他每个实体以其具有（或不具有）某些特

10、性而与其他每个实体以其具有（或不具有）某些特性而与其他每个实体以其具有（或不具有）某些特性而与其他实体相区别。实体相区别。实体相区别。实体相区别。bb设有设有设有设有k k k k种特征，在记录中用种特征，在记录中用种特征，在记录中用种特征，在记录中用k k k k位二进制位与之相对应。位二进制位与之相对应。位二进制位与之相对应。位二进制位与之相对应。用用用用1 1 1 1表示具备该特征，用表示具备该特征，用表示具备该特征，用表示具备该特征，用0 0 0 0表示不具备该特征。这样，表示不具备该特征。这样，表示不具备该特征。这样，表示不具备该特征。这样，一个一个一个一个k k k k位二进制数便

11、唯一标识一个实体。位二进制数便唯一标识一个实体。位二进制数便唯一标识一个实体。位二进制数便唯一标识一个实体。第7页，本讲稿共23页 统计数据库的理论模型统计数据库的理论模型1 1、特征刻画模型、特征刻画模型bb模型：数据库是模型：数据库是模型：数据库是模型：数据库是k k k k位二进制数到实数位二进制数到实数位二进制数到实数位二进制数到实数R R R R的部分函数的部分函数的部分函数的部分函数DCDCDCDC：DCDCDCDC：0000，1111k k k kRRRRbb称称称称DCDCDCDC为部分函数是因为对于某些特征的集合，数据库为部分函数是因为对于某些特征的集合，数据库为部分函数是因

12、为对于某些特征的集合，数据库为部分函数是因为对于某些特征的集合，数据库中可能不存在对应的记录。中可能不存在对应的记录。中可能不存在对应的记录。中可能不存在对应的记录。bb如果对于所有如果对于所有如果对于所有如果对于所有2 2 2 2k k k k个特征组合，数据库中都存在对个特征组合，数据库中都存在对个特征组合，数据库中都存在对个特征组合，数据库中都存在对应的记录，则应的记录，则应的记录，则应的记录，则DCDCDCDC就是全函数。就是全函数。就是全函数。就是全函数。二、统计数据库的概念二、统计数据库的概念第8页，本讲稿共23页 统计数据库的理论模型统计数据库的理论模型1 1 1 1、特征刻画模

13、型、特征刻画模型、特征刻画模型、特征刻画模型bb统计函数为统计函数为统计函数为统计函数为f f f f，如计数、平均值、最大值、最小值等。，如计数、平均值、最大值、最小值等。，如计数、平均值、最大值、最小值等。，如计数、平均值、最大值、最小值等。bb查询以（查询以（查询以（查询以（1 1 1 1，0 0 0 0，1 1 1 1，*）形式提出，其中）形式提出，其中）形式提出，其中）形式提出，其中1 1 1 1表示具有某特征，表示具有某特征，表示具有某特征，表示具有某特征，0 0 0 0表示表示表示表示不具有某特征，不具有某特征，不具有某特征，不具有某特征，*为通配符。为通配符。为通配符。为通配符

14、。bb查询提出后，数据库首先查找满足查询特征的所有记录。如果只查询提出后，数据库首先查找满足查询特征的所有记录。如果只查询提出后，数据库首先查找满足查询特征的所有记录。如果只查询提出后，数据库首先查找满足查询特征的所有记录。如果只有一个记录满足要求，为了避免泄露数据个体，系统将拒绝回答。有一个记录满足要求，为了避免泄露数据个体，系统将拒绝回答。有一个记录满足要求，为了避免泄露数据个体，系统将拒绝回答。有一个记录满足要求，为了避免泄露数据个体，系统将拒绝回答。否则，系统对所有满足要求的记录计算统计函数否则，系统对所有满足要求的记录计算统计函数否则，系统对所有满足要求的记录计算统计函数否则，系统对

15、所有满足要求的记录计算统计函数f f f f，并给出统计值。，并给出统计值。，并给出统计值。，并给出统计值。二、统计数据库的概念二、统计数据库的概念第9页，本讲稿共23页 统计数据库的理论模型统计数据库的理论模型2 2 2 2、键刻画模型、键刻画模型、键刻画模型、键刻画模型bb把数据库看成把数据库看成把数据库看成把数据库看成N N N N个记录的集合。个记录的集合。个记录的集合。个记录的集合。bb每个记录有一个记录号每个记录有一个记录号每个记录有一个记录号每个记录有一个记录号i i i i，称为键。记录可通过键值来查找。，称为键。记录可通过键值来查找。，称为键。记录可通过键值来查找。，称为键。

16、记录可通过键值来查找。bb于是可把数据库看成是键值集合于是可把数据库看成是键值集合于是可把数据库看成是键值集合于是可把数据库看成是键值集合1111，2 2 2 2，.，NNNN到实数到实数到实数到实数R R R R的全的全的全的全函数：函数：函数：函数：DKDKDKDK：1 1 1 1，2 2 2 2，.，N N N N R R R R二、统计数据库的概念二、统计数据库的概念第10页，本讲稿共23页 统计数据库的理论模型统计数据库的理论模型2 2 2 2、键刻画模型、键刻画模型、键刻画模型、键刻画模型bb允许的查询是允许的查询是允许的查询是允许的查询是iiii1 1 1 1，i i i i2

17、2 2 2，.，i i i ik k k kk2k2k2k2，jmjmjmjm时时时时i i i ij j j jiiiim m m m。因为。因为。因为。因为若若若若k=1k=1k=1k=1，则查询变为，则查询变为，则查询变为，则查询变为iiii，这是对记录，这是对记录，这是对记录，这是对记录i i i i的直接访问，这当然是的直接访问，这当然是的直接访问，这当然是的直接访问，这当然是不允许的。如果不允许的。如果不允许的。如果不允许的。如果ijijijij时时时时i i i ij j j j=i=i=i=im m m m，则攻击者可以用查询，则攻击者可以用查询，则攻击者可以用查询，则攻击者可

18、以用查询iiii1 1 1 1，i i i i2 2 2 2，.，i i i ik k k k 来迫使数据库泄露记录来迫使数据库泄露记录来迫使数据库泄露记录来迫使数据库泄露记录i i i i。bb统计函数为统计函数为统计函数为统计函数为f f f f，如计数、平均值、最大值、最小值等。，如计数、平均值、最大值、最小值等。，如计数、平均值、最大值、最小值等。，如计数、平均值、最大值、最小值等。bb系统对查询的回答是系统对查询的回答是系统对查询的回答是系统对查询的回答是f f f f（DK(DK(DK(DK(i i i i1 1 1 1)，DK(DK(DK(DK(i i i i2 2 2 2),.

19、,DK(i,.,DK(i,.,DK(i,.,DK(ik k k k)。二、统计数据库的概念二、统计数据库的概念第11页，本讲稿共23页 统计数据库的理论模型统计数据库的理论模型3 3 3 3、关系模型、关系模型、关系模型、关系模型bb设有属性设有属性设有属性设有属性A A A A1 1 1 1,A,A,A,A2 2 2 2,A,Ak k他们分别在值域他们分别在值域他们分别在值域他们分别在值域D D1 1,D,D2 2,D,Dk k上取值，则笛卡儿空间上取值，则笛卡儿空间上取值，则笛卡儿空间上取值，则笛卡儿空间D D1 1DD2 2 D Dk k的任一子集称为一个关系，记作的任一子集称为一个关系

20、，记作的任一子集称为一个关系，记作的任一子集称为一个关系，记作D D。bb关系数据库可看成是关系数据库可看成是关系数据库可看成是关系数据库可看成是D D到实数到实数到实数到实数R R的部分函数的部分函数的部分函数的部分函数DR DR：DR DR：D R D R bb关系数据库中的记录由属性字段关系数据库中的记录由属性字段关系数据库中的记录由属性字段关系数据库中的记录由属性字段A A A A1 1 1 1,A,A,A,A2 2 2 2,A,Ak k所确定。对数据库的访问是由所确定。对数据库的访问是由所确定。对数据库的访问是由所确定。对数据库的访问是由属性字段的不同取值及由与、或、非组成的逻辑表达

21、式所决定的。属性字段的不同取值及由与、或、非组成的逻辑表达式所决定的。属性字段的不同取值及由与、或、非组成的逻辑表达式所决定的。属性字段的不同取值及由与、或、非组成的逻辑表达式所决定的。bb称属性字段的逻辑表达式为特征公式。称属性字段的逻辑表达式为特征公式。称属性字段的逻辑表达式为特征公式。称属性字段的逻辑表达式为特征公式。bb当满足特征公式的记录只有一个时，系统拒绝回答，否则给出统计值。当满足特征公式的记录只有一个时，系统拒绝回答，否则给出统计值。当满足特征公式的记录只有一个时，系统拒绝回答，否则给出统计值。当满足特征公式的记录只有一个时，系统拒绝回答，否则给出统计值。二、统计数据库的概念二

22、、统计数据库的概念第12页，本讲稿共23页三、统计数据库的安全性三、统计数据库的安全性l l由于统计数据库允许访问统计信息而不允许访问个体信息由于统计数据库允许访问统计信息而不允许访问个体信息由于统计数据库允许访问统计信息而不允许访问个体信息由于统计数据库允许访问统计信息而不允许访问个体信息这一特性，使得攻击者可能通过精心策划的多次合法访问，这一特性，使得攻击者可能通过精心策划的多次合法访问，这一特性，使得攻击者可能通过精心策划的多次合法访问，这一特性，使得攻击者可能通过精心策划的多次合法访问，推理求出个体数据，从而攻破数据库。推理求出个体数据，从而攻破数据库。推理求出个体数据，从而攻破数据库

23、。推理求出个体数据，从而攻破数据库。l l称这种攻击为推理攻击（称这种攻击为推理攻击（称这种攻击为推理攻击（称这种攻击为推理攻击（Inference AttackInference AttackInference AttackInference Attack）。）。）。）。l l在推理攻击面前，统计数据库显得十分脆弱。在推理攻击面前，统计数据库显得十分脆弱。在推理攻击面前，统计数据库显得十分脆弱。在推理攻击面前，统计数据库显得十分脆弱。第13页，本讲稿共23页三、统计数据库的安全性三、统计数据库的安全性1 1 1 1、对特征刻画数据库的攻击、对特征刻画数据库的攻击、对特征刻画数据库的攻击、对特

24、征刻画数据库的攻击bb攻击者在实施攻击前往往已经具有统计数据库一些知识。攻击者在实施攻击前往往已经具有统计数据库一些知识。攻击者在实施攻击前往往已经具有统计数据库一些知识。攻击者在实施攻击前往往已经具有统计数据库一些知识。记录的取值范围，即使是大致的范围；记录的取值范围，即使是大致的范围；记录的取值范围，即使是大致的范围；记录的取值范围，即使是大致的范围；某些记录的取值；某些记录的取值；某些记录的取值；某些记录的取值；某一特征的记录存在，某一特征的记录不存在。某一特征的记录存在，某一特征的记录不存在。某一特征的记录存在，某一特征的记录不存在。某一特征的记录存在，某一特征的记录不存在。bb攻击者

25、获得这些并不难，如学生分数数据库的取值范围是攻击者获得这些并不难，如学生分数数据库的取值范围是攻击者获得这些并不难，如学生分数数据库的取值范围是攻击者获得这些并不难，如学生分数数据库的取值范围是1 1 1 1-100100100100。第14页，本讲稿共23页三、统计数据库的安全性三、统计数据库的安全性1 1、对特征刻画数据库的攻击、对特征刻画数据库的攻击bb攻击前提：假设已知某一记录值攻击前提：假设已知某一记录值攻击前提：假设已知某一记录值攻击前提：假设已知某一记录值设已知特征设已知特征设已知特征设已知特征X X X X及其对应记录的取值及其对应记录的取值及其对应记录的取值及其对应记录的取值

26、DCDCDCDC（X X X X）；）；）；）；任何与任何与任何与任何与X X X X仅有仅有仅有仅有1 1 1 1位不同的记录位不同的记录位不同的记录位不同的记录Y Y Y Y，都可用一个单，都可用一个单，都可用一个单，都可用一个单*求和查询，求出求和查询，求出求和查询，求出求和查询，求出D=D=D=D=DCDCDCDC（X X X X）+DC+DC+DC+DC（Y Y Y Y）。于是可求出）。于是可求出）。于是可求出）。于是可求出DCDCDCDC（Y Y Y Y）。）。）。）。如果特征如果特征如果特征如果特征Y Y Y Y与与与与X X X X有有有有2 2 2 2位不同，则一定能找到一个

27、位不同，则一定能找到一个位不同，则一定能找到一个位不同，则一定能找到一个Z Z Z Z，使，使，使，使Z Z Z Z与与与与X X X X和和和和Z Z Z Z与与与与Y Y Y Y都只有都只有都只有都只有1 1 1 1位不同。于是通过一个单位不同。于是通过一个单位不同。于是通过一个单位不同。于是通过一个单*查询可求出查询可求出查询可求出查询可求出DCDCDCDC（Z Z Z Z），再），再），再），再用一个单用一个单用一个单用一个单*查询便可求出查询便可求出查询便可求出查询便可求出DCDCDCDC（Y Y Y Y）。类似反复进行，便可求出）。类似反复进行，便可求出）。类似反复进行，便可求出）

28、。类似反复进行，便可求出所有记录值。所有记录值。所有记录值。所有记录值。第15页，本讲稿共23页三、统计数据库的安全性三、统计数据库的安全性1 1、对特征刻画数据库的攻击、对特征刻画数据库的攻击bb举例：设举例：设举例：设举例：设X=1110X=1110X=1110X=1110，Y=0110Y=0110Y=0110Y=0110，X X X X和和和和Y Y Y Y只有只有只有只有1 1 1 1位不同。查询（位不同。查询（位不同。查询（位不同。查询（*110*110*110*110）可得）可得）可得）可得V=DCV=DCV=DCV=DC（X X X X）+DC+DC+DC+DC（Y Y Y Y）

29、。）。）。）。V-DCV-DCV-DCV-DC（X X X X）=DC=DC=DC=DC（Y Y Y Y）。）。）。）。bb又设，设又设，设又设，设又设，设X=1110X=1110X=1110X=1110，Y=0010Y=0010Y=0010Y=0010，X X X X和和和和Y Y Y Y有有有有2 2 2 2位不同。但存在位不同。但存在位不同。但存在位不同。但存在Z=1010Z=1010Z=1010Z=1010，使得，使得，使得，使得X X X X和和和和Z Z Z Z及及及及Z Z Z Z和和和和Y Y Y Y都只有都只有都只有都只有1 1 1 1位不同。通过查询位不同。通过查询位不同。

30、通过查询位不同。通过查询（1*101*101*101*10）可求出）可求出）可求出）可求出DCDCDCDC（Z Z Z Z），再通过查询（），再通过查询（），再通过查询（），再通过查询（*010*010*010*010）可求出）可求出）可求出）可求出DCDCDCDC（Y Y Y Y）。）。）。）。bb可以证明，不管把门限提高到多少，都可功破数据库可以证明，不管把门限提高到多少，都可功破数据库可以证明，不管把门限提高到多少，都可功破数据库可以证明，不管把门限提高到多少，都可功破数据库。bb还可证明，如果攻击者知道数据库的取值范围，或知道某特还可证明，如果攻击者知道数据库的取值范围，或知道某特还可

31、证明，如果攻击者知道数据库的取值范围，或知道某特还可证明，如果攻击者知道数据库的取值范围，或知道某特征的记录存在或不存在，攻击者都可攻破数据库征的记录存在或不存在，攻击者都可攻破数据库征的记录存在或不存在，攻击者都可攻破数据库征的记录存在或不存在，攻击者都可攻破数据库。第16页，本讲稿共23页三、统计数据库的安全性三、统计数据库的安全性2 2、对键刻画数据库的攻击、对键刻画数据库的攻击bb攻击前提：攻击前提：允许查询允许查询k(K1)k(K1)个记录的平均个记录的平均值，即使事先对数据库一无所知值，即使事先对数据库一无所知。bb攻击方法攻击方法攻击方法攻击方法1 1 1 1：解方程解方程解方程

32、解方程设攻击者企图求出键值为设攻击者企图求出键值为设攻击者企图求出键值为设攻击者企图求出键值为i i i i1 1 1 1，i i i i2 2 2 2，i i i i3 3 3 3，i i i i4 4 4 4 的记录的记录的记录的记录值，于是他提值，于是他提值，于是他提值，于是他提出如下四个求平均值的查询，并得到相应回答：出如下四个求平均值的查询，并得到相应回答：出如下四个求平均值的查询，并得到相应回答：出如下四个求平均值的查询，并得到相应回答：Q Q Q Q1 1 1 1=(=(=(=(i i i i2 2 2 2，i i i i3 3 3 3，i i i i4 4 4 4)得到得到得到

33、得到P P P P1 1 1 1=1/3(DK(=1/3(DK(=1/3(DK(=1/3(DK(i i i i2 2 2 2)+DK()+DK()+DK()+DK(i i i i3 3 3 3)+DK()+DK()+DK()+DK(i i i i4 4 4 4)Q Q Q Q2 2 2 2=(=(=(=(i i i i1 1 1 1，i i i i3 3 3 3，i i i i4 4 4 4)得到得到得到得到P P P P2 2 2 2=1/3(DK(=1/3(DK(=1/3(DK(=1/3(DK(i i i i1 1 1 1)+DK()+DK()+DK()+DK(i i i i3 3 3 3

34、)+DK()+DK()+DK()+DK(i i i i4 4 4 4)Q Q Q Q3 3 3 3=(=(=(=(i i i i1 1 1 1，i i i i2 2 2 2，i i i i4 4 4 4)得到得到得到得到P P P P3 3 3 3=1/3(DK(=1/3(DK(=1/3(DK(=1/3(DK(i i i i1 1 1 1)+DK()+DK()+DK()+DK(i i i i2 2 2 2)+DK()+DK()+DK()+DK(i i i i4 4 4 4)Q Q Q Q4 4 4 4=(=(=(=(i i i i1 1 1 1，i i i i2 2 2 2，i i i i3

35、3 3 3)得到得到得到得到P P P P4 4 4 4=1/3(DK(=1/3(DK(=1/3(DK(=1/3(DK(i i i i1 1 1 1)+DK()+DK()+DK()+DK(i i i i2 2 2 2)+DK()+DK()+DK()+DK(i i i i3 3 3 3)第17页，本讲稿共23页三、统计数据库的安全性三、统计数据库的安全性2 2、对键刻画数据库的攻击、对键刻画数据库的攻击bb写成方程如下：写成方程如下：写成方程如下：写成方程如下：0 1 1 1 DK(0 1 1 1 DK(0 1 1 1 DK(0 1 1 1 DK(i i i i1 1 1 1)3P1)3P1)3

36、P1)3P1 1 0 1 1 DK(1 0 1 1 DK(1 0 1 1 DK(1 0 1 1 DK(i i i i1 1 1 1)=3P1)=3P1)=3P1)=3P1 1 1 0 1 DK(1 1 0 1 DK(1 1 0 1 DK(1 1 0 1 DK(i i i i1 1 1 1)3P3)3P3)3P3)3P3 1 1 1 0 DK(1 1 1 0 DK(1 1 1 0 DK(1 1 1 0 DK(i i i i1 1 1 1)3P4)3P4)3P4)3P4bb因为系数矩阵是满秩阵，故解方程可得因为系数矩阵是满秩阵，故解方程可得因为系数矩阵是满秩阵，故解方程可得因为系数矩阵是满秩阵，故

37、解方程可得：DK(DK(DK(DK(i i i i1 1 1 1)，DK(DK(DK(DK(i i i i2 2 2 2)，DK(DK(DK(DK(i i i i3 3 3 3)，DK(DK(DK(DK(i i i i4 4 4 4)的值。的值。的值。的值。第18页，本讲稿共23页三、统计数据库的安全性三、统计数据库的安全性2 2、对键刻画数据库的攻击、对键刻画数据库的攻击bb攻击方法攻击方法攻击方法攻击方法2 2 2 2：不用解方程不用解方程不用解方程不用解方程bb设要求设要求设要求设要求DK(DK(DK(DK(i i i i3 3 3 3)首先查询首先查询首先查询首先查询Q Q Q Q1

38、1 1 1=(=(=(=(i i i i1 1 1 1，i i i i2 2 2 2，i i i i3 3 3 3)，得到，得到，得到，得到P P P P1 1 1 1；其次查询其次查询其次查询其次查询Q Q Q Q2 2 2 2=(=(=(=(i i i i1 1 1 1，i i i i2 2 2 2)，得到，得到，得到，得到P P P P2 2 2 2；于是，于是，于是，于是，DK(DK(DK(DK(i i i i3 3 3 3)=3P)=3P)=3P)=3P1 1 1 1-2P-2P-2P-2P2 2 2 2。bb可以证明，上述方法和结论对一般情况均成立可以证明，上述方法和结论对一般情况

39、均成立可以证明，上述方法和结论对一般情况均成立可以证明，上述方法和结论对一般情况均成立。bb可以证明：除平均值外，诸如几何平均值、最大值、最小值可以证明：除平均值外，诸如几何平均值、最大值、最小值可以证明：除平均值外，诸如几何平均值、最大值、最小值可以证明：除平均值外，诸如几何平均值、最大值、最小值等，只要攻击者对数据库有少量知识（如前），便可将数据等，只要攻击者对数据库有少量知识（如前），便可将数据等，只要攻击者对数据库有少量知识（如前），便可将数据等，只要攻击者对数据库有少量知识（如前），便可将数据库攻破库攻破库攻破库攻破。第19页，本讲稿共23页三、统计数据库的安全性三、统计数据库的安全

40、性3 3、对关系数据库的攻击、对关系数据库的攻击bb在关系数据库中用特征公式来选择所需的记录。在关系数据库中用特征公式来选择所需的记录。在关系数据库中用特征公式来选择所需的记录。在关系数据库中用特征公式来选择所需的记录。bb攻击前提：攻击前提：攻击前提：攻击前提：知道特征公式知道特征公式知道特征公式知道特征公式C C C C能唯一确定记录能唯一确定记录能唯一确定记录能唯一确定记录R R R R，但直接用，但直接用，但直接用，但直接用C C C C访访访访问问问问R R R R是不允许的。是不允许的。是不允许的。是不允许的。设攻击者能将设攻击者能将设攻击者能将设攻击者能将C C C C分解为两个

41、逻辑表达式分解为两个逻辑表达式分解为两个逻辑表达式分解为两个逻辑表达式D D D D和和和和E E E E的乘积，的乘积，的乘积，的乘积，C=DEC=DEC=DEC=DE，T=DET=DET=DET=DE，E E E E 为为为为E E E E的非，而且的非，而且的非，而且的非，而且T T T T和和和和D D D D都是可合法访问的特征公式；都是可合法访问的特征公式；都是可合法访问的特征公式；都是可合法访问的特征公式；攻击者通过攻击者通过攻击者通过攻击者通过D D D D，T T T T，T+DA T+DA T+DA T+DA，三次合法查询可获得；，三次合法查询可获得；，三次合法查询可获得；

42、，三次合法查询可获得；NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(C)=NU(D)-SUM(T)NU(C)=NU(D)-SUM(T)NU(C)=NU(D)-SUM(T)NU(C)=NU(D)-SUM(T)其中其中其中其中NUNUNUNU为计数，为计数，为计数，为计数，SUMSUMSUMSUM为求和，为求和，为求和，为求和，A A A

43、 A为任一特征公式。为任一特征公式。为任一特征公式。为任一特征公式。第20页，本讲稿共23页三、统计数据库的安全性三、统计数据库的安全性3 3、对关系数据库的攻击、对关系数据库的攻击因为因为因为因为C=DE=D(E+DC=DE=D(E+DC=DE=D(E+DC=DE=D(E+D)=D(D(E)=D(D(E)=D(D(E)=D(D(E)=DT=DT=DT=DT,又根据又根据又根据又根据T=DET=DET=DET=DE，故当，故当，故当，故当T T T T为真时必有为真时必有为真时必有为真时必有D D D D为真。这说明为真。这说明为真。这说明为真。这说明T T T T所匹配的所有记录全属于所匹配

44、的所有记录全属于所匹配的所有记录全属于所匹配的所有记录全属于D D D D所匹所匹所匹所匹配的记录集合，所以有配的记录集合，所以有配的记录集合，所以有配的记录集合，所以有NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)SUM(C)=SUM(D)-SUM(T)SUM(C)=SUM(D)-SUM(T)SUM(C)=SUM(D)-SUM(T)SUM(C)=SUM(D)-SUM(T)因为因为因为因为C=DTC=DTC=DTC=DT,所以所以所以所以CA=DTCA=DTCA=DTCA=DT A=A=A=A=（T+DA

45、T+DAT+DAT+DA）T T T T，所以有，所以有，所以有，所以有NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)由于由于由于由于D D D D包含包含包含包含D D D D（E E E E+A+A+A+A）=T+DA=T+DA=T+DA=T+DA，而，而，而，而T+DAT+DAT+DAT+DA又包含又包含又包含又包含T T T T，因为，因为，因为，因为D D D D和和和和T T T T都都都都是可合法访问的特征公式，所以是可合法访问的特征公式，所以是可合法访问的特

46、征公式，所以是可合法访问的特征公式，所以T+DAT+DAT+DAT+DA也是合法访问的特征公也是合法访问的特征公也是合法访问的特征公也是合法访问的特征公式。因此上述计算是可以进行的。式。因此上述计算是可以进行的。式。因此上述计算是可以进行的。式。因此上述计算是可以进行的。bb注意：特征公式注意：特征公式注意：特征公式注意：特征公式T=DET=DET=DET=DE 起了很大作用，称为个体跟踪式。起了很大作用，称为个体跟踪式。起了很大作用，称为个体跟踪式。起了很大作用，称为个体跟踪式。第21页，本讲稿共23页三、统计数据库的安全性三、统计数据库的安全性4 4、统计数据库的安全增强、统计数据库的安全

47、增强bb以上分析可以看出统计数据库的安全问题是严重的。以上分析可以看出统计数据库的安全问题是严重的。以上分析可以看出统计数据库的安全问题是严重的。以上分析可以看出统计数据库的安全问题是严重的。bb问题的根源在于，个体的保密性与数据库要提供精确统计值之间的问题的根源在于，个体的保密性与数据库要提供精确统计值之间的问题的根源在于，个体的保密性与数据库要提供精确统计值之间的问题的根源在于，个体的保密性与数据库要提供精确统计值之间的矛盾。矛盾。矛盾。矛盾。bb一种解决思路是牺牲统计值的精确性，换取其安全性。一种解决思路是牺牲统计值的精确性，换取其安全性。一种解决思路是牺牲统计值的精确性，换取其安全性。

48、一种解决思路是牺牲统计值的精确性，换取其安全性。采用键模型。采用键模型。采用键模型。采用键模型。对于平均值的查询对于平均值的查询对于平均值的查询对于平均值的查询(i i i i1 1 1 1，i i i i2 2 2 2,.,i,.,i,.,i,.,is s s s)，数据库首先找到键值对，数据库首先找到键值对，数据库首先找到键值对，数据库首先找到键值对应的应的应的应的k k k k个记录，再随机选择个记录，再随机选择个记录，再随机选择个记录，再随机选择V V V V个记录，给出这个记录，给出这个记录，给出这个记录，给出这k+Vk+Vk+Vk+V个记录的个记录的个记录的个记录的平均值。平均值。平均值。平均值。适当选择适当选择适当选择适当选择V V V V值，对统计值的精确度影响不大，但攻击者再想值，对统计值的精确度影响不大，但攻击者再想值，对统计值的精确度影响不大，但攻击者再想值，对统计值的精确度影响不大，但攻击者再想通过解方程求出个体记录值却遇到困难。通过解方程求出个体记录值却遇到困难。通过解方程求出个体记录值却遇到困难。通过解方程求出个体记录值却遇到困难。第22页，本讲稿共23页谢谢 谢！谢！第23页，本讲稿共23页