云數據庫數據安全保護技術研究

王彬菁

摘要：伴隨著大數據，云計算時代的到來，社會各個行業(yè)對用戶及產品數據的依賴程度與越來越高，然而，他們面臨一個不可避免的問題是所需要的數據庫服務器價格昂貴且數據維護成本高。因此許多企業(yè)選擇將數據外包到公共云環(huán)境下的數據庫系統(tǒng)中，讓云服務提供商為其服務，這就對云數據庫中數據的安全性與私密性保護提出挑戰(zhàn)，也吸引國內外專家學者對該問題進行研究。該文提出了一種基于保序加密方法的數據安全保護技術，對云數據庫中的隱私數據屬性進行加密，保障了密文數據與明文數據的順序一致，不改變數據庫中數據的查詢與索引結構的基礎上，對云數據庫中的部分核心數據進行加密，從而解決數據安全性與私密性保護的問題。

關鍵詞：云計算;保序加密;數據安全

中圖分類號：TP393 ? ? ? ?文獻標識碼：A

文章編號：1009-3044（2019）15-0023-02

隨著近幾年云計算，智慧云服務技術的不斷發(fā)展，越來越多的企業(yè)和政府機構選擇租用云服務提供商平臺來存放和處理用戶或產品數據，這些用戶可以通過租用云服務器（IaaS）去實現質優(yōu)價廉的大數據管理需求。一些用戶甚至可以免除手動安裝配置數據庫的繁瑣步驟，直接使用云服務提供商的數據庫（DBaaS），從而達到存放和處理數據的目的，比如亞馬遜的Web服務，EnterpriseDB，谷歌的Cloud SQL等，[1]這些云服務提供商都將數據整合遷移到自營的云數據庫中，在自營平臺對客戶數據提供管理服務。云數據庫作為一種云計算的具體應用，具備了云計算快捷方便，可靠，靈活性高的優(yōu)點，在用戶享受便捷服務的同時，是個人隱私數據外泄的擔憂也隨即增加，甚至有些云服務商會采用最大努力確保數據安全的方式規(guī)避數據泄露對企業(yè)造成損失的責任，另外，像金融證券，國防工業(yè)企業(yè)中包含大量高敏感、高價值的數據，他們對于數據外包服務的安全性問題顧慮重重。因此，有關數據的安全性和用戶隱私數據的保護成為各大云服務商亟待解決的難題。有關數據庫系統(tǒng)中數據的安全性問題研究一般包括以下三方面內容：數據的機密性即可信任性、數據的完整性與一致性、數據的可用性。與傳統(tǒng)數據庫安全性保護不同，云數據庫安全保護的要求和難度更大。我們在假定用戶完全信任，不存在云服務提供服務人員主動進行信息竊取、泄密的情況下，來討論關于與數據庫機密性保護的技術，為保護云數據庫中數據的機密性，最直接，方便的方法是對數據進行加密操作，加密算法也有許多，對稱加密算法和非對稱加密算法，但加密過以后的數據如何高效使用，需要研究人員充分地平衡數據庫的安全性和性能性，本文在考慮兩大因素的基礎上采用一種基于保序加密算法的云數據庫安全保護技術。

1 云計算

云計算作為一種基于互聯(lián)網的新型計算模式，通過互聯(lián)網上異構和自治的服務為個人和企業(yè)用戶提供自身需要的數據、信息和計算[2]目前有關云計算的權威性定義還未出現，不同的提供云服務的生產商針對用戶應用場景不同，從各個角度為云計算下定義?！霸啤彼枷胱钤缙鹪从陔娫捑W，業(yè)內將透明的、黑箱的電話傳輸網稱之為“云”;[2]現如今云計算的概念已經不斷延伸，不僅僅涉及網絡底層的基礎設施，也包括云服務器等。IDC咨詢機構認為云計算是一種新興的IT技術發(fā)展、部署及發(fā)布模式，該技術利用互聯(lián)網實時的提供用戶所需的產品，服務和決策方案。云計算具有共享資源，按需分配，彈性調度，普遍介入和動態(tài)可擴展服務等特點，使用虛擬化技術實現資源的共享和遷移;適當的使用數據加密算法對數據庫中的數據實行安全保護。云計算按給用戶提供的服務類型不同分為偏重于基礎服務設施的Iaas（Infrastructure as a Service）、偏重于應用服務器平臺的Paas（Platform as a Service）和偏重于軟件程序服務的Saas（Software as a Service ），這些服務均來自與云計算提供商，同時依賴于互聯(lián)網技術的發(fā)展。按部署劃分有公共云、私有云和混合云。有關云計算的安全性威脅來自于物理設備層、數據存儲層、網絡層、系統(tǒng)層、平臺層、數據庫層和應用層等，比如在數據庫層需要注意來自SQL注入攻擊，使用數據加密與數據備份等技術防止存儲在云數據中的數據泄露或惡意篡改。云數據庫系統(tǒng)作為云計算的核心，其安全性防護十分重要。目前云數據庫五級安全防范模型是云數據安全保障的通用模型，針對信息泄露的風險等級不同，適應的安全技術也不同，一般從外部攻擊者換照系統(tǒng)接口，外存數據，內存數據，程序狀態(tài)和訪問模式五大步驟，按難易程度，漏洞大小有選擇性地攻擊，在選擇防御技術的時候也要充分評估利弊，使用有效的安全保護手段。

2 數據庫安全應用技術

為保障數據的安全，我們通常注意在數據收集，數據存儲，數據處理幾個階段均實行對應的安全防御措施，將內存數據與外存數據隔離，通過部署硬件設備，如防火墻、IPS/IDS入侵防御檢測系統(tǒng)、防御DDoS攻擊設備、以及在入口交換機旁路部署NIP系統(tǒng)，對訪問系統(tǒng)的流量進行實時監(jiān)測，對內部數據進行訪問控制和安全審計等。通過分層部署安全應用系統(tǒng)和安全防護措施，實現軟硬件防護技術的結合，來保護數據庫系統(tǒng)的安全。在數據處理的全部階段，數據面向多種安全風險：

2.1 數據收集和存儲階段

在數據收集階段，攻擊者會竊取客戶的關鍵隱私數據，使得數據庫喪失了對重要數據的控制，從而導致信息泄露。在數據存儲階段，系統(tǒng)不對關鍵數據進行數據加密，導致客戶關鍵重要數據使用明文存儲方式保存，會造成數據的濫用和被盜用的風險?，F階段基于密碼學的數據庫密文查詢技術，對內存數據進行加密，不僅增強數據機密性，而且該加密算法不會破壞數據庫各類查詢操作在密文上的執(zhí)行效果。但算法會增加數據處理的運算時間代價，拖低數據處理的運行性能。

2.2 數據挖掘階段

在數據挖掘階段，會出現對數據庫中數據的進行非授權的訪問，或者在更新系統(tǒng)數據時，將原始數據清除，造成重要數據遺失。數據挖掘的主要方法包括關聯(lián)規(guī)則算法Apriori算法，通過關聯(lián)分析可查找出數據與樣本數據的相似性為用戶推送信息;另外在數據挖掘階段還是用聚類分析對數據集進行分類，通過一些預測，建立時序模型和偏差分析算法等對數據進行綜合處理，最終挖掘出對用戶來說更加富有價值的數據信息。在數據挖掘階段通過對算法的優(yōu)化與改進，會提高數據的準確性，降低數據的冗余程度，保證數據的一致性和完整性。最終維護了數據庫中數據的安全性，進一步保證了云數據庫核心數據的安全性，發(fā)現更具價值的數據信息，完成數據挖掘的目的，使得數據更加符合用戶的需求，擴展了數據的市場應用前景。

2.3 數據應用階段

客戶會對云服務商提供的數據庫主觀不信任，對計費產生疑慮。在數據交付使用時會有不符合規(guī)則的數據分析結果，造成客戶不滿意。另外，數據的收集處理分析過程沒有形成可查詢的完整鏈條，趙成數據泄露無法追溯的隱患。

針對以上安全問題，本文重點從數據加密保護技術的角度研究去解決隱私數據保護的問題，提出了一種基于保序加密方法的數據安全保護技術，對云數據庫中的隱私數據屬性進行加密，保障了密文數據與明文數據的順序一致，不改變數據庫中數據的查詢與索引結構的基礎上，對云數據庫中的部分核心數據進行加密。

3 基于保序加密方法的數據安全保護技術

保序加密（Order-Preserving Encryption）簡稱OPE，是由Agrawal等人提出的一種保持數據密文與明文數據值大小一致的方法，使用該方法數據管理人員可以在密文直接做SQL查詢操作;有關數值范圍查詢，數值最大、最小查詢，分組排序，關于數據的索引查詢也同樣可以操作。該方法既可以在不泄露明文概率分布的情況下，保證明文與密文的數據順序一致，在不解密的情況下能夠對加密數據進行比較操作。OPE的基本算思想是關于字符型數據的數據庫加密方法，按照一定的規(guī)則對數據進行模糊排序。該算法的時間復雜度高，執(zhí)行代價大，并且只可針對純數值型或純字符型數據，數據庫中其他的數據類型不適合該類算法。Boldyreva等人提出了一種對數據進行嚴格安全性分析與定義的OPE+算法，該算法基于隨機保序函數和超幾何關系，攻擊者只會得到密文數據的順序，不會造成密文內容的泄露。為了更好地解決數據庫中數據的安全性，還應該在保序加密算法的基礎引入劃分桶的算法，做粗顆粒的索引操作，使用二叉搜索樹描述數據的索引結構，將數據庫表中的關鍵字和敏感數據劃分到N個大小相同的桶中，如圖1所示。

4 結束語

云計算，大數據技術的不斷發(fā)展，社會各行各業(yè)對數據的存儲與處理需求強烈，有關云數據庫數據安全性的研究成為近期研究熱點，本文在查閱近幾年關于云計算環(huán)境下數據安全性保護相關文獻后，提出了一種適合云數據庫中數據隱私性與安全性保護的技術，一種基于保序加密算法的數據安全保護技術，該技術保障了數據明文與密文順序的一致性，方便用戶直接在密文上進行數據查詢操作，降低了數據泄露的危險。該算法在具體實施過程中依然純在問題，比如不可以滿足云數據庫中復雜多樣的數據形式，缺乏對算法進行準確的安全分析等問題，這些問題需要在后期算法中做優(yōu)化改進。

參考文獻：

[1] 田洪亮，張勇，李超，等.云環(huán)境下數據庫機密性保護技術研究綜述[J].計算機學報，2017，40（10）：2245-2270.

[2] 張尼，張云勇.大數據安全技術與應用[M].北京：人民郵電出版社，2014.

[3] 孫鳳文，張婷.BSS系統(tǒng)應用云數據庫和云計算技術[J].數字通信世界，2018（12）：60.

[4] 李超零，陳越，譚鵬許，等.基于分解與加密的云數據庫隱私保護機制研究[J].信息工程大學學報，2012，13（03）：376-384.

【通聯(lián)編輯：代影】