数据库服务模型中数据安全机制的研究

侯 锟，于晓鹏

(吉林师范大学计算机学院，吉林四平136000)

0 引言

近年来，随着网络技术的发展，网络中的数据规模越来越大。海量数据的存储、管理和维护给数据拥有者带来了更大的压力和挑战。数据库服务模型DaaS［1］(Database as a Service)的提出为数据库应用提供了一种新的形式。数据库服务模型中把数据库作为一种服务，将数据库委托给具有强大计算能力、海量数据存储能力及专业的数据管理能力的数据库服务提供商进行管理和维护，这种数据库模型又被称为外包数据库模型ODB(Outsourced Database)。数据库外包使数据所有者节约了人力和管理成本，实现了企业或组织间的数据共享。完整正确的数据对客户关系管理或内部决策起着重要的作用［2，3］。在传统的数据库应用体系结构中，数据库服务器是完全可信的，而在外包数据库模型中，由于信任关系的转变以及涉及越来越多的敏感数据，数据安全成为亟待解决的问题。

笔者从研究外包数据库的系统结构以及数据安全机制等方面出发，基于秘密共享的思想，提出了基于最小私密属性分解的多项共享模型NETDB2-MAMS(NetDB2-Minimum Attribute Multi-Secret Sharing)，对DaaS模型中的敏感数据保护问题进行了深入研究。

1 相关研究

1.1 外包数据库系统结构

外包数据库模型主要由数据所有者(DO:Data Owner)、数据库服务提供商(DSP:Data Service Provider)、数据请求用户(DR:Data Requestor)3个实体组成(见图1)。

DaaS模型是基于云计算的一种数据管理模式［4］。数据拥有者DO将数据源通过Internet提供给数据库服务提供者DSP，DSP提供专业的数据存储与管理服务，并通过Internet向数据请求用户DR提供数据查询服务。为保证越来越多的客户信息、医疗信息、证券交易等敏感数据的安全，防止服务器的管理员或入侵者泄露或获取私密信息，迫切需要具有安全和隐私保护能力的数据库管理技术。

图1 外包数据库系统结构Fig.1 System architecture of ODB

1.2 数据安全机制

目前，针对外包数据库数据安全的研究主要包含数据加密技术、安全索引技术和数据分布技术。

1)数据加密技术。在DaaS模型中，DSP作为不可信方，DO需要在将数据委托给DSP之前，以数据加密为基础隐藏来自DO的数据内容［5-7］。主要的加密算法有:对称加密算法、同态加密算法和保序加密算法。对称加密算法具有安全性高，加解密速度快的优点。但是，此类算法得到的密文往往破坏了明文的有序性、数据大小、模糊匹配等固有特征［8］，因而对数据检索造成极大的困难。秘密同态算法允许直接对密文进行操作，具有较高的查询执行效率，但秘密同态算法的加解密代价较大，在实际应用中困难较大。保序加密算法是将明文数据加密后保持了明文序的特征，对范围查询、聚合运算和分组查询处理效果较好。

2)安全索引技术。关系数据库中的索引技术用于辅助、提高查询效率。对于关系R(A1，A2，…，An)，经加密变化后为:其中enc是元组经过加密后的密文，A'i是属性Ai上的索引。桶分区索引技术中DR发出查询请求，DO按照桶分区间映射关系对查询进行转换，由DSP执行查询，将查询结果返回，DR对返回结果进行解密，再次执行查询，将不符合查询条件的元组过滤。文献［9］结合保序加密方法，建立基于属性域的字符索引策略，提高了查询的准确度。文献［10］设计了基于多属性多关键词的密文查询排序策略，并提出基于层次动态布隆过滤器的索引机制，具有较高的时空效率。

3)数据分布技术。由于数据加密/解密计算的复杂性，增加了查询响应时间，研究学者提出了通过数据分布技术保证数据机密性的思想。DO要想把私密数据外包给DSP，必须把数据分成n份，每份储存在不同的DSP中。用户提交查询请求，查询信息即被分解，然后传输到所有的DSP，检索相关共享，在未知DSP数据共享的情况下响应用户的查询。不同于加密技术，秘密共享算法把数据分配到多台服务器，从而确保用户查询的私密性［11］。

秘密共享在信息安全和数据保密中起着非常重要的作用［12］。文献［1］中提出了用于解决安全问题的Shamir秘密共享算法。假设将门限值k的秘密vs分成n份，每份为一个秘密切片，把n份秘密切片分发给n个参与者。共享多项式的表示方法如下。

任何k值可涉及到vs的计算，但不能获取仅DO可知的信息X。因此，即使(k-1)数值完全得知，X已知，DSP也不能获取vs的信息［6］。秘密分发完成后，丢弃多项式系数值，以保证数据安全。

2 NetDB2模型

NetDB2结构如图2所示，包括3层:表示层、应用层和数据管理层。表示层包含终端用户的浏览器和HTTP服务器，管理层为数据库管理系统(DBMS:Database Management System)。DBMS通过JDBC(Java Date Connectivity)协议与Servlet引擎通信，通过使用安全协议的受保护的隐私高速网络进行交流。

NetDB2里的数据位于服务器端，用户可通过互联网进行连接，利用API(如JDBC)或浏览器进行查询或执行任务［7］(见图2)，方便用户使用，并且不用在客户端安装或进行配置。

图2 NetDB2系统结构Fig.2 System architecture of NetDB2

3 基于最小私密属性分解的多项共享模型NetDB2-MAMS

笔者提出了基于NetDB2结构的最小私密属性分解的多项共享模型。模型采用秘密共享算法，确保了数据隐私，同时避免了数据加密和解密的高成本。

通过可信第三方的数据分解模块，将DO数据库中的关系进行最小隐私属性分解，属性值由共享多项式的计算结果保存到各DSP中。当用户提交查询请求时，可信第三方接收用户请求，进行查询处理，求解多项式，再由可信第三方查询处理后，将查询结果返回用户。

3.1 最小共享属性

文献［13］提出了最小加密属性分解的近似算法，将每个属性在隐私约束规则中出现的次数和属性的长度作为参考因素，求解最小加密属性，使其具有较小的加密网络通信量。笔者提出的模型将最小私密属性作为私密共享属性，由于最少的私密属性的个数将决定具有最小的私密网络通信量。因此，笔者在文献［13］算法的基础上进行了改进，获取最少的隐私属性构成的最小共享属性。

定义1(隐私约束规则定义)关系R(A1，A2，…，An)为DSP数据库的关系模式，集合S={s1，s2，是关系 R 上的隐私约束规则集

定义2(最小共享属性约束)存在有关系R(A1，A2，…，An)和隐私约束规则集合S={s1，s2，…，sm}，Ds为关系R上的一个满足隐私约束规则的最小共享属性约束，当且仅当不存在另一个属性分解

求解最小共享属性约束算法

3.2 秘密共享

可信第三方把隐私属性数据分成n份，每份都存储在不同的DSP中(见图3)。针对最小共享属性的每个属性值，数据分解模块都会产生同级别的随机多项式函数，并将计算结果分别保存在不同的DSP中。

图3 NetDB2-MAMS结构Fig.3 Architecture of NetDB2-MAMS

当用户提交查询请求时，可信第三方的查询处理模块重写n个查询，每个DSP都有一个查询，相关共享将从DSP中检索，求解多项式，然后由查询处理模块将查询结果通过安全的网络发给用户。秘密分享法可用于执行准确匹配、范围及聚集查询类型。

3.3 数据流

如图3所示，用户通过Web浏览器的HTTP请求发布查询。HTTP服务器在浏览器和应用的通信中起到主要作用。通过应用查询，用户的查询从HTTP服务器发送到控制器引擎。控制器引擎和数据库服务器之间的通信通过JDBC协议完成。

当查询到达数据源时，可信第三方将管理查询并将其发送给服务供应商。查询结果返回可信第三方进行整合后，把结果送至Servlet引擎，再由HTTP服务器反馈查询结果。所有层面和组成部分的交流都在隐秘而安全的网络中完成。

4 结语

笔者研究了DaaS的数据安全问题，由于用户将与数据库服务器共享信息和数据，非可信服务器就会对用户构成危险和不安全因素。保护隐私数据和重要信息是非常重要的，特别是防范来自黑客或数据库服务商的入侵。笔者提出的基于NetDB2结构的最小共享属性的多项共享模型，能有效地保护DaaS中的隐私，同时避免数据加密和解密的高成本问题。

［1］HACIGUMUS H，MEHROTRA S，IYER B.Providing Database as a Service［C］∥Proc of the 18th International Conference on Data Engineering.Washington:IEEE Computer Society Press，2002:29-38.

［2］李太勇，唐常杰，吴江，等.基于两次聚类的k-匿名隐私保护［J］.吉林大学学报:信息科学版，2009，27(2):173-178.LI Taiyong，TANG Changjie，WU Jiang，et al.k-Anonymity via Twice Clustering for Privacy Preservation［J］.Journal of Jilin University:Information Science Edition，2009，27(2):173-178.

［3］AGRAWAL R，EVFIMIEVSKI A，SRIKANT R.Information Sharing across Private Databases［C］∥Proceedings of ACM SIGMOD International Conference on Management of Data.New York:Association for Computing Machinery Press，2003:86-97.

［4］TIAN Xiuxia.Access Control and Query Processing with Privacy in DaaS Paradigm ［D］.Shanghai，China:College of Computer Science，Fudan University，2012.

［5］AGRAWAL R，KIERNAN J，SRIKANT R，et al.Order Preserving Encryption for Numeric Data［C］∥Proceedings of ACM SIGMOD International Conference on Management of Data.New York:Association for Computing Machinery Press，2004:563-574.

［6］ANCIAUX N，BENZINE M，BOUGANIM L，et al.GhostDB:Querying Visible and Hidden Data without Leaks［C］∥Proceedings of ACM SIGMOD International Conference on Management of Data.New York:Association for Computing Machinery Press，2007:677-688.

［7］田秀霞，王晓玲，高明，等.数据库服务——安全与隐私保护［J］.软件学报，2010，21(5):991-1006.TIAN Xiuxia，WANG Xiaoling，GAO Ming，et al.Database as a Service-Security and Privacy Preserving ［J］.Journal of Software，2010，21(5):991-1006.

［8］杨刚.外包数据机密性保护技术研究［D］.郑州:解放军信息工程大学网络空间安全学院，2013.YANG Gang.Research on Confidentiality Protection Technology in Outsourced Database［D］.Zhengzhou:College of Cyberspace Security，PLA Information Engineering University，2013.

［9］王柠，刘国华，赵春红，等.一种适用于外包数据库的综合密文索引技术［J］.小型微型计算机系统，2010，31(9):1797-1803.WANG Ning，LIU Guohua，ZHAO Chunhong，et al.Synthetical Cryptograph Index Technology Applied to Outsourced Databases［J］.Journal of Chinese Computer Systems，2010，31(9):1797-1803.

［10］程芳权，彭智勇，宋伟，等.云环境下一种隐私保护的高效密文排序查询方法［J］.计算机学报，2012，35(11):2216-2227.CHENG Fangquan，PENG Zhiyong，SONG Wei，et al.An Efficient Privacy-Preserving Rank Query over Encrypted Data in Cloud Computing［J］.Chinese Journal of Computers，2012，35(11):2216-2227.

［11］杨进，王亮明，杨英仪.面向DaaS的隐私保护机制研究综述［J］.计算机应用研究，2013，30(9):2565-2569.YANG Jin，WANG Liangming，YANG Yingyi.Research on Privacy Preservation Mechanism for DaaS ［J］.Application Research of Computers，2013，30(9):2565-2569.

［12］胡春强.秘密共享理论及相关应用研究［D］.重庆:重庆大学计算机学院，2013.HU Chunqiang.Research on Secret Sharing Theory and Its Applications［D］.Chongqing:College of Computer Science，Chongqing University，2013.

［13］余永红，柏文阳.基于分解和加密的外包数据库隐私保护［J］.计算机工程，2011，(7):139-141.YU Yonghong，BAI Wenyang.Privacy Protection in Outsourced Database Based on Fragmentation and Encryption ［J］.Computer Engineering，2011，37(7):139-141.