第4章节 数据库安全.ppt

第4章 数据库安全 数据库安全威胁 数据库安全需求 数据库完整性 物理数据库完整性； 逻辑数据库完整性。 元素完整性。 每个元素包含的数据都是正确的。 可审计性 能够对数据库中元素的访问和修改进行跟踪。 数据库安全需求 访问控制 用户只能访问获得访问许可的数据，而且不同用户的访问模式（读、写等等）不同。 用户认证 为了进行一定数据的审计跟踪和访问许可，每个用户都要进行身份认证。 可用性 用户一般能够访问数据库，以及所有授权的数据。 可靠性与完整性 数据库完整性 数据库是作为一个整体来防止破坏，比如磁盘驱动的失败、管理数据库索引的破坏。 元素完整性 只有授权用户能够对具体的数据元素的值进行写或者修改。 元素准确性 只有正确的数值能够被写入数据库。 敏感数据 不被用户直接访问到的数据对该用户而言就是敏感数据。 敏感级别（Sensitive Level，SL）：统一刻画数据的敏感性。 敏感数据应该既可以是单个数据项，也可以是数据项的组合；既可以是整个关系中的所有元组，也可以是满足条件的部分元组。 敏感数据 举例 选择：给定关系实例r上的一个选择可以表示为r(F)，其中F是由通过逻辑运算符连接的多个形如a θ b的算术表达式构成的一个逻辑表达式，其中θ为比较运算符，a是r中的属性名，b是对应的常量。用F = 1表示无选择条件。 选择的结果是r中使得F为真的元组子集。 查询：给定关系实例r上的一个查询可以表示为Q(obj): con，其中查询条件con是r上选择的有限集合，查询对象obj是r的属性子集。通过简单的SQL转化，查询即可精确定位数据库中的数据，因此使用查询也可以形式化定义数据库中各种粒度下的敏感数据。 敏感数据：相对于某用户的一条敏感数据是数据库D中由查询Q(obj): con确定的、其无法直接访问的数据，并且称|obj| = 1时的敏感数据为单一敏感数据，而称|obj| 1时的为组合敏感数据。 多级数据库 敏感数据和非敏感数据 多级数据库 数据敏感性和属性敏感性 多级数据库 数据库安全的三个特点： 单个元素的安全等级可能与相同记录的其它元素（或者相同属性的其它值）不同，即一个元素的安全等级可能相同行或列的其它元素不同。这说明安全需要对单个元素实现。 在一些条件下两级敏感或不敏感是不够的，需要更多的安全等级。这些等级可能代表着允许程度的排列（可能重叠），安全等级形成一个点阵。 数据库中总和、数量、群值的安全性可能与单个元素不同，他们的安全级别可能高于或低于单个元素的安全级别。 粒度 不仅数据库中的每个元素有一个不同的敏感度，元素的每个联系也有一个敏感度。比如：单词Manhattan和project本身并不敏感，但是它们组合起来成了敏感的核心单词Manhattan project。 让数据库中的每个值都有一个敏感级 安全问题 完整性 进程在高级别安全等级时不能写入低级别进程。 进程必须是“被信任的进程”，计算机与人有相等的安全等级。 机密性 保护机密性的同时，可能牺牲了精确型。 加强机密性也导致了不知道的冗余。 安全问题 多实例记录举例 推理控制 当敏感信息通过访问非敏感信息或元数据而泄露出去时，我们就说安全数据库中存在推理问题。 发生推理控制的情景 推理控制 推理控制方法 语义数据模型方法 形式化方法 多实例方法 查询限制方法 推理控制 语义数据模型方法 用于数据设计 形式化方法 一个函数依赖对于低安全级别的用户而言是已经知道的，则会产生推理问题。 通过消除函数依赖和多值依赖推理的形式化算法解决。 推理控制 多实例方法 多实例允许数据库中存在关键字相同但安全级别不同的元组，即把安全级别作为主关键字的一部分。 缺点是使数据库失去了实体完整性，同时增加了数据库中数据关系的复杂性。 推理控制 查询限制方法 修改查询语句 当查询会导致敏感信息的推理时，对查询进行转换，使其不能导致敏感信息的导出。 修改查询结果 防止恶意用户可以通过比较合法查询与非法查询的区别导出推理信息。 关系数据库的推理控制 关联在给定数据集上的推理是一个反复过程，新推理得到的数据可能激活其它关联用于进一步的推理，若所有关联作用在某数据集上都不再推理出新数据。 原则 信息最大可用原则 分阶段控制原则 短通道优先原则 XML数据库的推理控制 XML约束推理控制的处理过程 隐私保护的数据挖掘 分类 数据分布（Data Distribution） 数据修改（Data Modification） 数据挖掘算法（Data Mning Algorithm） 数据及规则的隐藏（Data or Rule Hiding） 隐私保护（Privacy Preservation）技术 K-