《讲数据库安全》PPT课件.ppt-淘文阁

资源描述

《《讲数据库安全》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《讲数据库安全》PPT课件.ppt（23页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、信信息息系系统统安安全全第六讲第六讲数据库安全数据库安全张焕国张焕国武汉大学计算机学院武汉大学计算机学院目录1 1 1 1、信息系统安全信息系统安全信息系统安全信息系统安全的基本概念的基本概念的基本概念的基本概念2 2 2 2、密码学密码学密码学密码学(1)(1)(1)(1)3 3 3 3、密码密码密码密码学学学学(2)(2)(2)(2)4 4 4 4、操作系统安全、操作系统安全、操作系统安全、操作系统安全(1)(1)(1)(1)5 5 5 5、操作系统安全、操作系统安全、操作系统安全、操作系统安全(2)(2)(2)(2)6 6 6 6、数据库安全数据库安全数据库安全数据库安全(

2、1)(1)(1)(1)7 7 7 7、数据库安全、数据库安全、数据库安全、数据库安全(2)(2)(2)(2)8 8 8 8、可信计算、可信计算、可信计算、可信计算(1)(1)(1)(1)9 9 9 9、可信计算、可信计算、可信计算、可信计算(2)(2)(2)(2)一、数据库安全的概念一、数据库安全的概念1 1、数据库安全的重要性、数据库安全的重要性l l数据库是重要的应用软件。数据库是重要的应用软件。数据库是重要的应用软件。数据库是重要的应用软件。l l数据库集中存储和管理着大量的重要数据，数据库集中存储和管理着大量的重要数据，数据库集中存储和管理着大量的重要数据，数据库集中存储和管理着大量的

3、重要数据，如军事、政治、金融等数据。如军事、政治、金融等数据。如军事、政治、金融等数据。如军事、政治、金融等数据。l l数据库成为不法分子攻击的主要目标。数据库成为不法分子攻击的主要目标。数据库成为不法分子攻击的主要目标。数据库成为不法分子攻击的主要目标。l l数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操作，而且存储的数据量大、时间长是其重要作，而且存储的数据量大、时间长是其重要作，而且存储的数据量大、时间长是其重要作，而且存储的数据量大、时间长是其重要特点。特点。特点。特点。l l数据

4、库的安全措施应适应数据库的特点数据库的安全措施应适应数据库的特点数据库的安全措施应适应数据库的特点数据库的安全措施应适应数据库的特点。一、数据库安全的概念一、数据库安全的概念2 2、数据库加密的困难性、数据库加密的困难性l l对数据库加密是确保数据安全的重要措施。对数据库加密是确保数据安全的重要措施。对数据库加密是确保数据安全的重要措施。对数据库加密是确保数据安全的重要措施。l l数据量大，要求加解密速度快。数据量大，要求加解密速度快。数据量大，要求加解密速度快。数据量大，要求加解密速度快。l l数据存储时间长，为了安全密钥应经常更换，数据存储时间长，为了安全密钥应经常更换，数据存储时间长，为

5、了安全密钥应经常更换，数据存储时间长，为了安全密钥应经常更换，需要对数据解密再加密很麻烦。如不经常更需要对数据解密再加密很麻烦。如不经常更需要对数据解密再加密很麻烦。如不经常更需要对数据解密再加密很麻烦。如不经常更换密钥，时间一长就可能不安全。换密钥，时间一长就可能不安全。换密钥，时间一长就可能不安全。换密钥，时间一长就可能不安全。l l数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操数据库要支持查询、插入、删除、更新等操作，最好能在密文状态下进行上述操作，即作，最好能在密文状态下进行上述操作，即作，最好能在密文状态下进行上述操

6、作，即作，最好能在密文状态下进行上述操作，即需要同态加密。需要同态加密。需要同态加密。需要同态加密。二、统计数据库的概念二、统计数据库的概念统计数据库的概念统计数据库的概念l l统计数据库（统计数据库（统计数据库（统计数据库（Statistical databaseStatistical databaseStatistical databaseStatistical database）是数是数是数是数据库的一种。据库的一种。据库的一种。据库的一种。l l统计数据库是一些数据项的集合，其中每个统计数据库是一些数据项的集合，其中每个统计数据库是一些数据项的集合，其中每个统计数据库是一些数据项的集

7、合，其中每个数据项个体都是保密的、不允许访问的，但数据项个体都是保密的、不允许访问的，但数据项个体都是保密的、不允许访问的，但数据项个体都是保密的、不允许访问的，但是访问获得其数据项的统计信息则是允许的。是访问获得其数据项的统计信息则是允许的。是访问获得其数据项的统计信息则是允许的。是访问获得其数据项的统计信息则是允许的。l l如，公民健康状况数据库：公民个人的健康如，公民健康状况数据库：公民个人的健康如，公民健康状况数据库：公民个人的健康如，公民健康状况数据库：公民个人的健康状况属于个人隐私，应是保密的（特别是一状况属于个人隐私，应是保密的（特别是一状况属于个人隐私，应是保密的（特别是一状况

8、属于个人隐私，应是保密的（特别是一些领袖人物），但是其统计信息又是应当公些领袖人物），但是其统计信息又是应当公些领袖人物），但是其统计信息又是应当公些领袖人物），但是其统计信息又是应当公开的，如某疾病的发病率等。开的，如某疾病的发病率等。开的，如某疾病的发病率等。开的，如某疾病的发病率等。二、统计数据库的概念二、统计数据库的概念统计数据库的概念统计数据库的概念l l又如，公民存款数据库：公民个人的存又如，公民存款数据库：公民个人的存款信息属于个人隐私，应是保密的，但款信息属于个人隐私，应是保密的，但是其统计信息又是应当公开的，如公民是其统计信息又是应当公开的，如公民存款上升率等。存款上升率等

9、。l l近年来数据挖掘的研究涉及个人隐私保近年来数据挖掘的研究涉及个人隐私保护问题，这与统计数据库安全技术相关。护问题，这与统计数据库安全技术相关。二、统计数据库的概念二、统计数据库的概念统计数据库的理论模型统计数据库的理论模型1 1、特征刻画模型、特征刻画模型l l把数据库看成是许多记录的集合。把数据库看成是许多记录的集合。把数据库看成是许多记录的集合。把数据库看成是许多记录的集合。l l每个记录是一个实体的描述。每个记录是一个实体的描述。每个记录是一个实体的描述。每个记录是一个实体的描述。l l每个实体以其具有（或不具有）某些特性而与每个实体以其具有（或不具有）某些特性而与每个实体以其具

10、有（或不具有）某些特性而与每个实体以其具有（或不具有）某些特性而与其他实体相区别。其他实体相区别。其他实体相区别。其他实体相区别。l l设有设有设有设有k k k k种特征，在记录中用种特征，在记录中用种特征，在记录中用种特征，在记录中用k k k k位二进制位与之相位二进制位与之相位二进制位与之相位二进制位与之相对应。用对应。用对应。用对应。用1 1 1 1表示具备该特征，用表示具备该特征，用表示具备该特征，用表示具备该特征，用0 0 0 0表示不具备该表示不具备该表示不具备该表示不具备该特征。这样，特征。这样，特征。这样，特征。这样，一个一个一个一个k k k k位二进制数便唯一标识一位二

11、进制数便唯一标识一位二进制数便唯一标识一位二进制数便唯一标识一个实体。个实体。个实体。个实体。统计数据库的理论模型统计数据库的理论模型1 1、特征刻画模型、特征刻画模型l l模型：数据库是模型：数据库是模型：数据库是模型：数据库是k k k k位二进制数到实数位二进制数到实数位二进制数到实数位二进制数到实数R R R R的的的的部分函部分函部分函部分函数数数数DCDCDCDC：DCDCDCDC：0000，1111k k k kRRRRl l称称称称DCDCDCDC为部分函数是因为对于某些特征的集合，为部分函数是因为对于某些特征的集合，为部分函数是因为对于某些特征的集合，为部分函数是因为对于某些

12、特征的集合，数据库中可能不存在对应的记录。数据库中可能不存在对应的记录。数据库中可能不存在对应的记录。数据库中可能不存在对应的记录。l l如果对于所有如果对于所有如果对于所有如果对于所有2 2 2 2k k k k个特征组合，数据库中都存在个特征组合，数据库中都存在个特征组合，数据库中都存在个特征组合，数据库中都存在对应的记录，则对应的记录，则对应的记录，则对应的记录，则DCDCDCDC就是全函数。就是全函数。就是全函数。就是全函数。二、统计数据库的概念二、统计数据库的概念统计数据库的理论模型统计数据库的理论模型1 1 1 1、特征刻画模型、特征刻画模型、特征刻画模型、特征刻画模型l l统计

13、函数为统计函数为统计函数为统计函数为f f f f，如计数、平均值、最大值、最小值等。如计数、平均值、最大值、最小值等。如计数、平均值、最大值、最小值等。如计数、平均值、最大值、最小值等。l l查询以（查询以（查询以（查询以（1 1 1 1，0 0 0 0，1 1 1 1，*）形式提出，其中）形式提出，其中）形式提出，其中）形式提出，其中1 1 1 1表示具有某特表示具有某特表示具有某特表示具有某特征，征，征，征，0 0 0 0表示不具有某特征，表示不具有某特征，表示不具有某特征，表示不具有某特征，*为通配符。为通配符。为通配符。为通配符。l l查询提出后，数据库首先查找满足查询特征的所有记查

14、询提出后，数据库首先查找满足查询特征的所有记查询提出后，数据库首先查找满足查询特征的所有记查询提出后，数据库首先查找满足查询特征的所有记录。如果只有一个记录满足要求，为了避免泄露数据录。如果只有一个记录满足要求，为了避免泄露数据录。如果只有一个记录满足要求，为了避免泄露数据录。如果只有一个记录满足要求，为了避免泄露数据个体，系统将拒绝回答。否则，系统对所有满足要求个体，系统将拒绝回答。否则，系统对所有满足要求个体，系统将拒绝回答。否则，系统对所有满足要求个体，系统将拒绝回答。否则，系统对所有满足要求的记录计算统计函数的记录计算统计函数的记录计算统计函数的记录计算统计函数f f f f，并，并，

15、并，并给出统计值。给出统计值。给出统计值。给出统计值。二、统计数据库的概念二、统计数据库的概念统计数据库的理论模型统计数据库的理论模型2 2 2 2、键刻画模型、键刻画模型、键刻画模型、键刻画模型l l把数据库看成把数据库看成把数据库看成把数据库看成N N N N个记录的集合。个记录的集合。个记录的集合。个记录的集合。l l每个记录有一个记录号每个记录有一个记录号每个记录有一个记录号每个记录有一个记录号i i i i，称为键。记录可通过键值来称为键。记录可通过键值来称为键。记录可通过键值来称为键。记录可通过键值来查找。查找。查找。查找。l l于是可把数据库看成是键值集合于是可把数据库看成是键

16、值集合于是可把数据库看成是键值集合于是可把数据库看成是键值集合1111，2 2 2 2，.，NNNN到实到实到实到实数数数数R R R R的全函数：的全函数：的全函数：的全函数：DKDKDKDK：1 1 1 1，2 2 2 2，.，N N N N R R R R二、统计数据库的概念二、统计数据库的概念统计数据库的理论模型统计数据库的理论模型2 2 2 2、键刻画模型、键刻画模型、键刻画模型、键刻画模型l l允许的查询是允许的查询是允许的查询是允许的查询是iiii1 1 1 1，i i i i2 2 2 2，.，i i i ik k k kk2k2k2k2，jmjmjmjm时时时时i i i

17、ij j j jiiiim m m m。因为若因为若因为若因为若k=1k=1k=1k=1，则查询变为则查询变为则查询变为则查询变为iiii，这是对记录这是对记录这是对记录这是对记录i i i i的直接访问，的直接访问，的直接访问，的直接访问，这当然是不允许的。如果这当然是不允许的。如果这当然是不允许的。如果这当然是不允许的。如果ijijijij时时时时i i i ij j j j=i i i im m m m，则攻击者可以用则攻击者可以用则攻击者可以用则攻击者可以用查询查询查询查询iiii1 1 1 1，i i i i2 2 2 2，.，i i i ik k k k 来迫使数据库泄露记录来迫使

18、数据库泄露记录来迫使数据库泄露记录来迫使数据库泄露记录i i i i。l l统计函数为统计函数为统计函数为统计函数为f f f f，如计数、平均值、最大值、最小值等。如计数、平均值、最大值、最小值等。如计数、平均值、最大值、最小值等。如计数、平均值、最大值、最小值等。l l系统对查询的回答是系统对查询的回答是系统对查询的回答是系统对查询的回答是f f f f（DK(DK(DK(DK(i i i i1 1 1 1)，DK(DK(DK(DK(i i i i2 2 2 2),.,.,.,.,DK(iDK(iDK(iDK(ik k k k)。二、统计数据库的概念二、统计数据库的概念统计数据库的理论模

19、型统计数据库的理论模型3 3 3 3、关系模型、关系模型、关系模型、关系模型l l设有属性设有属性设有属性设有属性A A A A1 1 1 1,A,A,A,A2 2 2 2,A,Ak k他们分别在值域他们分别在值域他们分别在值域他们分别在值域D D1 1,D,D2 2,D Dk k上取值，则笛卡上取值，则笛卡上取值，则笛卡上取值，则笛卡儿空间儿空间儿空间儿空间D D1 1DD2 2 D Dk k的任一的任一的任一的任一子集称为一个关系，记作子集称为一个关系，记作子集称为一个关系，记作子集称为一个关系，记作D D。l l关系数据库可看成是关系数据库可看成是关系数据库可看成是关系数据库可看成是D

20、D到实数到实数到实数到实数R R的部分函数的部分函数的部分函数的部分函数DR DR：DR DR：D R D R l l关系数据库中的记录由属性字段关系数据库中的记录由属性字段关系数据库中的记录由属性字段关系数据库中的记录由属性字段A A A A1 1 1 1,A,A,A,A2 2 2 2,A Ak k所所所所确定。对数据库的访确定。对数据库的访确定。对数据库的访确定。对数据库的访问是由问是由问是由问是由属性字段的不同取值及由与、或、非组成的逻辑表达式所决属性字段的不同取值及由与、或、非组成的逻辑表达式所决属性字段的不同取值及由与、或、非组成的逻辑表达式所决属性字段的不同取值及由与、或、非组成的

21、逻辑表达式所决定的。定的。定的。定的。l l称属性字段的逻辑表达式为特征公式。称属性字段的逻辑表达式为特征公式。称属性字段的逻辑表达式为特征公式。称属性字段的逻辑表达式为特征公式。l l当满足特征公式的记录只有一个时，系统拒绝回答，否则给出统计当满足特征公式的记录只有一个时，系统拒绝回答，否则给出统计当满足特征公式的记录只有一个时，系统拒绝回答，否则给出统计当满足特征公式的记录只有一个时，系统拒绝回答，否则给出统计值。值。值。值。二、统计数据库的概念二、统计数据库的概念三、统计数据库的安全性三、统计数据库的安全性l l由于统计数据库允许访问统计信息而不允许访问个体信由于统计数据库允许访问统计信

22、息而不允许访问个体信由于统计数据库允许访问统计信息而不允许访问个体信由于统计数据库允许访问统计信息而不允许访问个体信息这一特性，使得攻击者可能通过精心策划的多次合法息这一特性，使得攻击者可能通过精心策划的多次合法息这一特性，使得攻击者可能通过精心策划的多次合法息这一特性，使得攻击者可能通过精心策划的多次合法访问，推理求出个体数据，从而攻破数据库。访问，推理求出个体数据，从而攻破数据库。访问，推理求出个体数据，从而攻破数据库。访问，推理求出个体数据，从而攻破数据库。l l称这种攻击为推理攻击（称这种攻击为推理攻击（称这种攻击为推理攻击（称这种攻击为推理攻击（Inference AttackInf

23、erence AttackInference AttackInference Attack）。）。）。）。l l在推理攻击面前，统计数据库显得十分脆弱。在推理攻击面前，统计数据库显得十分脆弱。在推理攻击面前，统计数据库显得十分脆弱。在推理攻击面前，统计数据库显得十分脆弱。三、统计数据库的安全性三、统计数据库的安全性1 1 1 1、对特征刻画数据库的攻击、对特征刻画数据库的攻击、对特征刻画数据库的攻击、对特征刻画数据库的攻击l l攻击者在实施攻击前往往已经具有统计数据库一些知识。攻击者在实施攻击前往往已经具有统计数据库一些知识。攻击者在实施攻击前往往已经具有统计数据库一些知识。攻击者在实施攻击前

24、往往已经具有统计数据库一些知识。记录的取值范围，即使是大致的范围；记录的取值范围，即使是大致的范围；记录的取值范围，即使是大致的范围；记录的取值范围，即使是大致的范围；某些记录的取值；某些记录的取值；某些记录的取值；某些记录的取值；某一特征的记录存在，某一特征的记录不存在。某一特征的记录存在，某一特征的记录不存在。某一特征的记录存在，某一特征的记录不存在。某一特征的记录存在，某一特征的记录不存在。l l攻击者获得这些并不难，如学生分数数据库的取值范围攻击者获得这些并不难，如学生分数数据库的取值范围攻击者获得这些并不难，如学生分数数据库的取值范围攻击者获得这些并不难，如学生分数数据库的取值范围是

25、是是是1 1 1 1-100100100100。三、统计数据库的安全性三、统计数据库的安全性1 1、对特征刻画数据库的攻击、对特征刻画数据库的攻击l l攻击前提：假设已知某一记录值攻击前提：假设已知某一记录值攻击前提：假设已知某一记录值攻击前提：假设已知某一记录值设已知特征设已知特征设已知特征设已知特征X X X X及其对应记录的取值及其对应记录的取值及其对应记录的取值及其对应记录的取值DCDCDCDC（X X X X）；）；）；）；任何与任何与任何与任何与X X X X仅有仅有仅有仅有1 1 1 1位不同的记录位不同的记录位不同的记录位不同的记录Y Y Y Y，都可用一个单都可用一个单都可用

26、一个单都可用一个单*求和查询，求和查询，求和查询，求和查询，求出求出求出求出D=DCD=DCD=DCD=DC（X X X X）+DC+DC+DC+DC（Y Y Y Y）。）。）。）。于是可求出于是可求出于是可求出于是可求出DCDCDCDC（Y Y Y Y）。）。）。）。如果特征如果特征如果特征如果特征Y Y Y Y与与与与X X X X有有有有2 2 2 2位不同，则一定能找到一个位不同，则一定能找到一个位不同，则一定能找到一个位不同，则一定能找到一个Z Z Z Z，使，使，使，使Z Z Z Z与与与与X X X X和和和和Z Z Z Z与与与与Y Y Y Y都只有都只有都只有都只有1 1 1

27、 1位不同。于是通过一个单位不同。于是通过一个单位不同。于是通过一个单位不同。于是通过一个单*查询可求出查询可求出查询可求出查询可求出DCDCDCDC（Z Z Z Z），），），），再用一个单再用一个单再用一个单再用一个单*查询便可求出查询便可求出查询便可求出查询便可求出DCDCDCDC（Y Y Y Y）。）。）。）。类似反类似反类似反类似反复进行，便可求出所有记录值。复进行，便可求出所有记录值。复进行，便可求出所有记录值。复进行，便可求出所有记录值。三、统计数据库的安全性三、统计数据库的安全性1 1、对特征刻画数据库的攻击、对特征刻画数据库的攻击l l举例：设举例：设举例：设举例：设X=11

28、10X=1110X=1110X=1110，Y=0110Y=0110Y=0110Y=0110，X X X X和和和和Y Y Y Y只有只有只有只有1 1 1 1位不同。查询位不同。查询位不同。查询位不同。查询（*110110110110）可得）可得）可得）可得V=DCV=DCV=DCV=DC（X X X X）+DC+DC+DC+DC（Y Y Y Y）。）。）。）。V-DCV-DCV-DCV-DC（X X X X）=DCDCDCDC（Y Y Y Y）。）。）。）。l l又设，设又设，设又设，设又设，设X=1110X=1110X=1110X=1110，Y=0010Y=0010Y=0010Y=0010

29、，X X X X和和和和Y Y Y Y有有有有2 2 2 2位不同。但存在位不同。但存在位不同。但存在位不同。但存在Z=1010Z=1010Z=1010Z=1010，使得使得使得使得X X X X和和和和Z Z Z Z及及及及Z Z Z Z和和和和Y Y Y Y都只有都只有都只有都只有1 1 1 1位不同。通过查询位不同。通过查询位不同。通过查询位不同。通过查询（1*101*101*101*10）可求出）可求出）可求出）可求出DCDCDCDC（Z Z Z Z），），），），再通过查询（再通过查询（再通过查询（再通过查询（*010010010010）可求）可求）可求）可求出出出出DCDCDCDC

30、（Y Y Y Y）。）。）。）。l l可以证明，不管把门限提高到多少，都可功破数据库可以证明，不管把门限提高到多少，都可功破数据库可以证明，不管把门限提高到多少，都可功破数据库可以证明，不管把门限提高到多少，都可功破数据库。l l还可证明，如果攻击者知道数据库的取值范围，或知道还可证明，如果攻击者知道数据库的取值范围，或知道还可证明，如果攻击者知道数据库的取值范围，或知道还可证明，如果攻击者知道数据库的取值范围，或知道某特征的记录存在或不存在，攻击者都可攻破数据库某特征的记录存在或不存在，攻击者都可攻破数据库某特征的记录存在或不存在，攻击者都可攻破数据库某特征的记录存在或不存在，攻击者都可攻破

31、数据库。三、统计数据库的安全性三、统计数据库的安全性2 2、对键刻画数据库的攻击、对键刻画数据库的攻击l l攻击前提：攻击前提：允许查询允许查询k(K1)k(K1)个记录的平均个记录的平均值，即使事先对数据库一无所知值，即使事先对数据库一无所知。l l攻击方法攻击方法攻击方法攻击方法1 1 1 1：解方程解方程解方程解方程设攻击者企图求出键值为设攻击者企图求出键值为设攻击者企图求出键值为设攻击者企图求出键值为i i i i1 1 1 1，i i i i2 2 2 2，i i i i3 3 3 3，i i i i4 4 4 4 的记录的记录的记录的记录值，于值，于值，于值，于是他提出如下四个求平

32、均值的查询，并得到相应回答：是他提出如下四个求平均值的查询，并得到相应回答：是他提出如下四个求平均值的查询，并得到相应回答：是他提出如下四个求平均值的查询，并得到相应回答：Q Q Q Q1 1 1 1=(=(=(=(i i i i2 2 2 2，i i i i3 3 3 3，i i i i4 4 4 4)得到得到得到得到P P P P1 1 1 1=1/3(DK(=1/3(DK(=1/3(DK(=1/3(DK(i i i i2 2 2 2)+DK()+DK()+DK()+DK(i i i i3 3 3 3)+DK()+DK()+DK()+DK(i i i i4 4 4 4)Q Q Q Q2 2

33、 2 2=(=(=(=(i i i i1 1 1 1，i i i i3 3 3 3，i i i i4 4 4 4)得到得到得到得到P P P P2 2 2 2=1/3(DK(=1/3(DK(=1/3(DK(=1/3(DK(i i i i1 1 1 1)+DK()+DK()+DK()+DK(i i i i3 3 3 3)+DK()+DK()+DK()+DK(i i i i4 4 4 4)Q Q Q Q3 3 3 3=(=(=(=(i i i i1 1 1 1，i i i i2 2 2 2，i i i i4 4 4 4)得到得到得到得到P P P P3 3 3 3=1/3(DK(=1/3(DK(=

34、1/3(DK(=1/3(DK(i i i i1 1 1 1)+DK()+DK()+DK()+DK(i i i i2 2 2 2)+DK()+DK()+DK()+DK(i i i i4 4 4 4)Q Q Q Q4 4 4 4=(=(=(=(i i i i1 1 1 1，i i i i2 2 2 2，i i i i3 3 3 3)得到得到得到得到P P P P4 4 4 4=1/3(DK(=1/3(DK(=1/3(DK(=1/3(DK(i i i i1 1 1 1)+DK()+DK()+DK()+DK(i i i i2 2 2 2)+DK()+DK()+DK()+DK(i i i i3 3 3

35、3)三、统计数据库的安全性三、统计数据库的安全性2 2、对键刻画数据库的攻击、对键刻画数据库的攻击l l写成方程如下：写成方程如下：写成方程如下：写成方程如下：0 1 1 1 DK(0 1 1 1 DK(0 1 1 1 DK(0 1 1 1 DK(i i i i1 1 1 1)3P1)3P1)3P1)3P1 1 0 1 1 DK(1 0 1 1 DK(1 0 1 1 DK(1 0 1 1 DK(i i i i1 1 1 1)=3P1)=3P1)=3P1)=3P1 1 1 0 1 DK(1 1 0 1 DK(1 1 0 1 DK(1 1 0 1 DK(i i i i1 1 1 1)3P3)3P3

36、)3P3)3P3 1 1 1 0 DK(1 1 1 0 DK(1 1 1 0 DK(1 1 1 0 DK(i i i i1 1 1 1)3P4)3P4)3P4)3P4l l因为系数矩阵是满秩阵，故解方程可得因为系数矩阵是满秩阵，故解方程可得因为系数矩阵是满秩阵，故解方程可得因为系数矩阵是满秩阵，故解方程可得：DK(DK(DK(DK(i i i i1 1 1 1)，DK(DK(DK(DK(i i i i2 2 2 2)，DK(DK(DK(DK(i i i i3 3 3 3)，DK(DK(DK(DK(i i i i4 4 4 4)的的的的值。值。值。值。三、统计数据库的安全性三、统计数据库的安全性

37、2 2、对键刻画数据库的攻击、对键刻画数据库的攻击l l攻击方法攻击方法攻击方法攻击方法2 2 2 2：不用解方程不用解方程不用解方程不用解方程l l设要求设要求设要求设要求DK(DK(DK(DK(i i i i3 3 3 3)首先查询首先查询首先查询首先查询Q Q Q Q1 1 1 1=(=(=(=(i i i i1 1 1 1，i i i i2 2 2 2，i i i i3 3 3 3)，得到得到得到得到P P P P1 1 1 1；其次查询其次查询其次查询其次查询Q Q Q Q2 2 2 2=(=(=(=(i i i i1 1 1 1，i i i i2 2 2 2)，得到得到得到得到P

38、P P P2 2 2 2；于是，于是，于是，于是，DK(DK(DK(DK(i i i i3 3 3 3)=3P)=3P)=3P)=3P1 1 1 1-2P-2P-2P-2P2 2 2 2。l l可以证明，上述方法和结论对一般情况均成立可以证明，上述方法和结论对一般情况均成立可以证明，上述方法和结论对一般情况均成立可以证明，上述方法和结论对一般情况均成立。l l可以证明：除平均值外，诸如几何平均值、最大值、最可以证明：除平均值外，诸如几何平均值、最大值、最可以证明：除平均值外，诸如几何平均值、最大值、最可以证明：除平均值外，诸如几何平均值、最大值、最小值等，只要攻击者对数据库有少量知识（如前），

39、便小值等，只要攻击者对数据库有少量知识（如前），便小值等，只要攻击者对数据库有少量知识（如前），便小值等，只要攻击者对数据库有少量知识（如前），便可将数据库攻破可将数据库攻破可将数据库攻破可将数据库攻破。三、统计数据库的安全性三、统计数据库的安全性3 3、对关系数据库的攻击、对关系数据库的攻击l l在关系数据库中用特征公式来选择所需的记录。在关系数据库中用特征公式来选择所需的记录。在关系数据库中用特征公式来选择所需的记录。在关系数据库中用特征公式来选择所需的记录。l l攻击前提：攻击前提：攻击前提：攻击前提：知道特征公式知道特征公式知道特征公式知道特征公式C C C C能能能能唯一确定记录唯一

40、确定记录唯一确定记录唯一确定记录R R R R，但直接用但直接用但直接用但直接用C C C C访问访问访问访问R R R R是不允许的。是不允许的。是不允许的。是不允许的。设攻击者能将设攻击者能将设攻击者能将设攻击者能将C C C C分解为两个逻辑表达式分解为两个逻辑表达式分解为两个逻辑表达式分解为两个逻辑表达式D D D D和和和和E E E E的的的的乘积，乘积，乘积，乘积，C=DEC=DEC=DEC=DE，T=DET=DET=DET=DE，EEEE为为为为E E E E的的的的非，而且非，而且非，而且非，而且T T T T和和和和D D D D都是可合法访问都是可合法访问都是可合法访问都

41、是可合法访问的特征公式；的特征公式；的特征公式；的特征公式；攻击者通过攻击者通过攻击者通过攻击者通过D D D D，T T T T，T+DAT+DAT+DAT+DA，三次合法查询可获得三次合法查询可获得三次合法查询可获得三次合法查询可获得；NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(C)=NU(D)-SUM(T)NU(C)=NU(D

42、)-SUM(T)NU(C)=NU(D)-SUM(T)NU(C)=NU(D)-SUM(T)其中其中其中其中NUNUNUNU为为为为计数，计数，计数，计数，SUMSUMSUMSUM为为为为求和，求和，求和，求和，A A A A为任一为任一为任一为任一特征公式。特征公式。特征公式。特征公式。三、统计数据库的安全性三、统计数据库的安全性3 3、对关系数据库的攻击、对关系数据库的攻击因为因为因为因为C=DE=D(E+D)=D(D(E)=DT,C=DE=D(E+D)=D(D(E)=DT,C=DE=D(E+D)=D(D(E)=DT,C=DE=D(E+D)=D(D(E)=DT,又根据又根据又根据又根据T=DE

43、T=DET=DET=DE，故当，故当，故当，故当T T T T为真时必有为真时必有为真时必有为真时必有D D D D为真。这说明为真。这说明为真。这说明为真。这说明T T T T所匹配的所有记录所匹配的所有记录所匹配的所有记录所匹配的所有记录全属于全属于全属于全属于D D D D所匹配的记录集合，所以有所匹配的记录集合，所以有所匹配的记录集合，所以有所匹配的记录集合，所以有NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)NU(C)=NU(D)-NU(T)SUM(C)=SUM(D)-SUM(T)SUM(C)=SUM(D)-SUM(T)SUM(

44、C)=SUM(D)-SUM(T)SUM(C)=SUM(D)-SUM(T)因为因为因为因为C=DT,C=DT,C=DT,C=DT,所以所以所以所以CA=DTA=CA=DTA=CA=DTA=CA=DTA=（T+DAT+DAT+DAT+DA）TTTT，所以有，所以有，所以有，所以有NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)NU(CA)=NU(T+DA)-NU(T)由于由于由于由于D D D D包含包含包含包含D D D D（E+AE+AE+AE+A）=T+DA=T+DA=T+DA=T+DA，而，而，而，而T+DAT+

45、DAT+DAT+DA又包含又包含又包含又包含T T T T，因为，因为，因为，因为D D D D和和和和T T T T都是可合法访问的特征公式，所以都是可合法访问的特征公式，所以都是可合法访问的特征公式，所以都是可合法访问的特征公式，所以T+DAT+DAT+DAT+DA也是合法访问也是合法访问也是合法访问也是合法访问的特征公式。因此上述计算是可以进行的。的特征公式。因此上述计算是可以进行的。的特征公式。因此上述计算是可以进行的。的特征公式。因此上述计算是可以进行的。l l注意：特征公式注意：特征公式注意：特征公式注意：特征公式T=DET=DET=DET=DE起了很大作用，称为个体跟踪式。起了很

46、大作用，称为个体跟踪式。起了很大作用，称为个体跟踪式。起了很大作用，称为个体跟踪式。三、统计数据库的安全性三、统计数据库的安全性4 4、统计数据库的安全增强、统计数据库的安全增强l l以上分析可以看出统计数据库的安全问题是严重的。以上分析可以看出统计数据库的安全问题是严重的。以上分析可以看出统计数据库的安全问题是严重的。以上分析可以看出统计数据库的安全问题是严重的。l l问题的根源在于，个体的保密性与数据库要提供精确统问题的根源在于，个体的保密性与数据库要提供精确统问题的根源在于，个体的保密性与数据库要提供精确统问题的根源在于，个体的保密性与数据库要提供精确统计值之间的矛盾。计值之间的矛盾。计

47、值之间的矛盾。计值之间的矛盾。l l一种解决思路是牺牲统计值的精确性，换取其安全性。一种解决思路是牺牲统计值的精确性，换取其安全性。一种解决思路是牺牲统计值的精确性，换取其安全性。一种解决思路是牺牲统计值的精确性，换取其安全性。采用键模型。采用键模型。采用键模型。采用键模型。对于平均值的查询对于平均值的查询对于平均值的查询对于平均值的查询(i i i i1 1 1 1，i i i i2 2 2 2,.,i,.,i,.,i,.,is s s s)，数据库首先找到数据库首先找到数据库首先找到数据库首先找到键值对应的键值对应的键值对应的键值对应的k k k k个记录个记录个记录个记录，再，再，再，再随机选择随机选择随机选择随机选择V V V V个记录，给出这个记录，给出这个记录，给出这个记录，给出这k+Vk+Vk+Vk+V个记录的平均值。个记录的平均值。个记录的平均值。个记录的平均值。适当选择适当选择适当选择适当选择V V V V值，对统计值的精确度影响不大，但攻击者值，对统计值的精确度影响不大，但攻击者值，对统计值的精确度影响不大，但攻击者值，对统计值的精确度影响不大，但攻击者再想通过解方程求出个体记录值却遇到困难。再想通过解方程求出个体记录值却遇到困难。再想通过解方程求出个体记录值却遇到困难。再想通过解方程求出个体记录值却遇到困难。谢谢谢！谢！

展开阅读全文