基于CAS系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)庫安全模型

何文才 李斯佳 劉培鶴 馬英杰 楊亞濤

1(西安電子科技大學(xué)通信工程學(xué)院 陜西 西安 710071)

2(北京電子科技學(xué)院通信工程系 北京 100070)

0 引 言

網(wǎng)絡(luò)信息化時(shí)代的到來，給人類社會生產(chǎn)生活帶來了重要的促進(jìn)作用。人類生產(chǎn)生活中產(chǎn)生的信息量激增，大量的數(shù)據(jù)信息需要安全地存儲到網(wǎng)絡(luò)數(shù)據(jù)庫當(dāng)中。為了保證網(wǎng)絡(luò)數(shù)據(jù)庫安全有效的使用，就需要從理論聯(lián)系實(shí)際出發(fā)，提出相關(guān)安全模型并進(jìn)行多方面的分析，從而對網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)的研究與發(fā)展提供有效的支持。

近年來許多學(xué)者對網(wǎng)絡(luò)數(shù)據(jù)信息加密展開研究。李愛寧等[1]提出了一種分段雙重加密方法，效率及傳輸吞吐量較高，但是面對已知部分明密文對的敵手，被破譯的可能性較高。閆璽璽等[2]提出了一種基于訪問控制和中國剩余定理的密鑰數(shù)據(jù)庫管理方案，將需要加密的各個(gè)數(shù)據(jù)項(xiàng)的密鑰通過中國剩余定理計(jì)算合成主密鑰，從而進(jìn)行管理。但實(shí)際上由于對數(shù)據(jù)庫添加或刪除數(shù)據(jù)項(xiàng)時(shí)會影響數(shù)據(jù)項(xiàng)和子密鑰的個(gè)數(shù)，需要重新計(jì)算主密鑰，計(jì)算量較大，對于需要頻繁添加數(shù)據(jù)項(xiàng)的數(shù)據(jù)表不易進(jìn)行主密鑰生成操作。易成岐等[3]提出了一種基于社會網(wǎng)絡(luò)特性的雙混沌互反饋加密算法，在實(shí)際進(jìn)行計(jì)算中由于數(shù)據(jù)精度有限，低維混沌系統(tǒng)部分會產(chǎn)生較明顯的短周期效應(yīng)，若用于網(wǎng)絡(luò)數(shù)據(jù)庫存儲的大量數(shù)據(jù)加密，則會產(chǎn)生一定的周期效應(yīng)。

近年來國內(nèi)外專家學(xué)者對于混沌系統(tǒng)在加密方面的應(yīng)用有著大量的研究及分析成果。Baykasoglu等[4]將Logistic映射的參數(shù)和初始條件作為部分密鑰，用映射產(chǎn)生的浮點(diǎn)數(shù)序列加密明文。Habutsu等[5]使用Tent混沌映射的逆映射對明文初值進(jìn)行N次迭代，解密時(shí)用Tent混沌映射進(jìn)行N次正向迭代，設(shè)計(jì)了一種混沌加密系統(tǒng)。然而在網(wǎng)絡(luò)數(shù)據(jù)庫加密方面，迄今為止并未有一種成熟的使用混沌系統(tǒng)進(jìn)行加密的方案。本文主要針對管理員內(nèi)部違規(guī)風(fēng)險(xiǎn)，提出一種基于Logistic映射與Henon映射相結(jié)合的混沌系統(tǒng)加密算法，從而對網(wǎng)絡(luò)數(shù)據(jù)庫進(jìn)行加密的方案，在保證安全性的前提下，有著更為良好的靈活性。

1 網(wǎng)絡(luò)數(shù)據(jù)庫安全及威脅

1.1 網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)

用戶在訪問和使用網(wǎng)絡(luò)庫時(shí)，通常是通過若干種網(wǎng)絡(luò)數(shù)據(jù)庫已有的安全技術(shù)來保證網(wǎng)絡(luò)數(shù)據(jù)庫數(shù)據(jù)安全的。

1) 用戶識別技術(shù)。用戶識別技術(shù)主要應(yīng)用于用戶登錄驗(yàn)證過程中，通過使用基于口令的身份識別技術(shù)、基于生物學(xué)信息的身份識別技術(shù)、基于軟硬件安全設(shè)備的識別技術(shù)等來驗(yàn)證確認(rèn)用戶身份信息，這樣就能確保用戶的合法性。

2) 訪問限制和監(jiān)視追蹤技術(shù)。訪問限制技術(shù)主要通過給予相同權(quán)限用戶同一種角色身份信息，使得對于不同角色身份的用戶訪問操作權(quán)限不同，對合法用戶非法獲取自身權(quán)限外數(shù)據(jù)進(jìn)行了限制。監(jiān)視追蹤技術(shù)是基于訪問限制技術(shù)設(shè)定的不同角色身份信息，對用戶角色的操作進(jìn)行監(jiān)視追蹤，對限制非法操作、降低非法操作的影響做了更為有效的補(bǔ)充與完善。

3) 數(shù)據(jù)庫審計(jì)技術(shù)。數(shù)據(jù)庫審計(jì)技術(shù)是網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)中的一項(xiàng)重要內(nèi)容，能夠有效降低數(shù)據(jù)庫相關(guān)安全事故的嚴(yán)重性和發(fā)生率。數(shù)據(jù)庫審計(jì)技術(shù)會記錄用戶各種操作的時(shí)間、內(nèi)容以及行為方式，對正常有效的操作予以記錄和統(tǒng)計(jì)，對非法操作、惡意操作等及時(shí)記錄下來，避免影響嚴(yán)重化，同時(shí)給予相關(guān)數(shù)據(jù)庫權(quán)限人追責(zé)依據(jù)。

4) 數(shù)據(jù)庫加密技術(shù)。數(shù)據(jù)庫加密技術(shù)是保障數(shù)據(jù)庫數(shù)據(jù)安全的一項(xiàng)重要技術(shù)。針對數(shù)據(jù)庫中保存的數(shù)據(jù)量較大、保存時(shí)間長、訪問數(shù)據(jù)較為頻繁，數(shù)據(jù)庫加密的粒度、層級、運(yùn)算速度也有所不同。常用的數(shù)據(jù)庫加密方案有AES、RSA、同態(tài)加密等加密算法，此外，MD5、SHA1等散列算法也常用于數(shù)據(jù)庫密碼混淆方案中。

1.2 網(wǎng)絡(luò)數(shù)據(jù)庫的安全威脅

網(wǎng)絡(luò)數(shù)據(jù)庫的安全主要從以下兩個(gè)方面來定義[6]。一是指網(wǎng)絡(luò)數(shù)據(jù)庫運(yùn)行系統(tǒng)的安全，二是指網(wǎng)絡(luò)數(shù)據(jù)庫中數(shù)據(jù)的安全，后者是網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)針對的核心之處。對于網(wǎng)絡(luò)數(shù)據(jù)庫運(yùn)行系統(tǒng)的安全，主要包括攻擊者對運(yùn)行環(huán)境進(jìn)行攻擊、數(shù)據(jù)庫服務(wù)器硬件損耗、數(shù)據(jù)庫運(yùn)行時(shí)崩潰或其他非正常運(yùn)行狀況等。對網(wǎng)絡(luò)數(shù)據(jù)庫中數(shù)據(jù)安全的威脅，主要來自以下三個(gè)方面。

1) 網(wǎng)絡(luò)黑客入侵?jǐn)?shù)據(jù)庫造成數(shù)據(jù)泄露或損壞。部分網(wǎng)絡(luò)黑客會挖掘系統(tǒng)漏洞來針對數(shù)據(jù)庫進(jìn)行數(shù)據(jù)的竊取與損毀，例如口令入侵、SQL注入攻擊、XSS攻擊等。這些網(wǎng)絡(luò)黑客主要通過獲取合法用戶口令信息、獲取特權(quán)、竊取數(shù)據(jù)備份、直接獲取敏感數(shù)據(jù)等手段來對數(shù)據(jù)庫數(shù)據(jù)安全造成威脅。

2) 合法用戶非法獲取自身權(quán)限外的數(shù)據(jù)資源。這種威脅一方面來自普通用戶誤操作導(dǎo)致獲取到自身權(quán)限外的數(shù)據(jù)資源，從而使數(shù)據(jù)泄露或者損壞。另一方面來自惡意用戶非法利用系統(tǒng)中的漏洞從而獲取敏感信息，對數(shù)據(jù)庫數(shù)據(jù)安全造成威脅。

3) 內(nèi)部人員可以直接接觸敏感數(shù)據(jù)導(dǎo)致數(shù)據(jù)泄露。網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)內(nèi)部工作管理人員往往可以直接接觸到數(shù)據(jù)庫內(nèi)部敏感數(shù)據(jù)，而敏感數(shù)據(jù)在網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)內(nèi)部加密的密鑰和加密方案等信息對于內(nèi)部人員來說也可以較為容易地獲取到。內(nèi)部人員為了保障網(wǎng)絡(luò)數(shù)據(jù)庫安全有著不可替代的作用和意義，但也會對網(wǎng)絡(luò)數(shù)據(jù)庫的安全又造成了一定程度上的威脅。

2 網(wǎng)絡(luò)數(shù)據(jù)庫安全模型的構(gòu)建

2.1 具體步驟

結(jié)合常用的網(wǎng)絡(luò)數(shù)據(jù)庫安全技術(shù)，為解決內(nèi)部人員可直接接觸敏感數(shù)據(jù)的問題，本文提出了一種基于混沌系統(tǒng)和CAS系統(tǒng)的網(wǎng)絡(luò)數(shù)據(jù)庫安全模型。

在新型的網(wǎng)絡(luò)數(shù)據(jù)安全模型中，用戶端單獨(dú)保存數(shù)據(jù)庫根密鑰，在加解密操作的過程中，根據(jù)根密鑰、用戶身份信息在相應(yīng)的混沌模型計(jì)算出加解密所需的所有相關(guān)密鑰，并進(jìn)行加解密操作。該網(wǎng)絡(luò)數(shù)據(jù)安全模型的構(gòu)造如圖1所示。

圖1 網(wǎng)絡(luò)數(shù)據(jù)庫安全模型

(1) 用戶登錄Web服務(wù)器。用戶根據(jù)自身實(shí)際的需求，在網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)的Web前端頁面中需要進(jìn)行登錄操作。這時(shí)用戶首先在Web服務(wù)器發(fā)出登錄請求，若用戶曾經(jīng)注冊過且Service Ticket(ST)有效期未過，則請求的請求頭中包含了ST參數(shù)。若用戶還未注冊過或ST的有效時(shí)間已過，請求的請求頭中不攜帶ST參數(shù)。Web服務(wù)器檢查用戶請求頭，判斷該請求是否攜帶ST，若未攜帶則將請求重定向到LKM服務(wù)器并進(jìn)行步驟(2)，若攜帶則直接進(jìn)行步驟(5)來進(jìn)行相關(guān)驗(yàn)證。

(2) 請求重定向。Web服務(wù)器將該請求重定向到LKM服務(wù)器，LKM服務(wù)器會檢查用戶LKM服務(wù)器站點(diǎn)的Cookie中是否攜帶TGC(Ticket Grant Cookie)。若未攜帶則需要用戶進(jìn)行步驟(3)來進(jìn)行注冊或登錄操作。若攜帶則LKM服務(wù)器驗(yàn)證該TGC是否正確，正確則跳轉(zhuǎn)到步驟(4)。

(3) 注冊或登錄。LKM服務(wù)器對用戶進(jìn)行相應(yīng)的身份認(rèn)證，常見的認(rèn)證方式有基于口令的身份識別技術(shù)、基于生物學(xué)信息的身份識別技術(shù)、基于軟硬件安全設(shè)備的識別技術(shù)。本文在實(shí)現(xiàn)中使用基于口令的身份識別技術(shù)，將用戶的密碼進(jìn)行MD5混淆后保存在LKM服務(wù)器的用戶信息管理數(shù)據(jù)庫中。用戶在認(rèn)證成功后進(jìn)行步驟(4)。

(4) 下發(fā)TGC及參數(shù)。若用戶是在注冊或登錄后進(jìn)入步驟(4)，LKM服務(wù)器會向用戶瀏覽器下發(fā)TGC并生成下發(fā)混沌系統(tǒng)使用的各項(xiàng)參數(shù)，同時(shí)在LKM服務(wù)器的用戶信息管理數(shù)據(jù)庫中保存用戶的TGC和這些參數(shù)，下發(fā)的TGC作為會話Cookie保存。會話Cookie不存在過期時(shí)間或者有效期，但在用戶關(guān)閉瀏覽器的同時(shí)會被刪除。若用戶是在TGC驗(yàn)證成功后進(jìn)入步驟(4)，則僅下發(fā)混沌系統(tǒng)使用的各項(xiàng)參數(shù)?；煦缦到y(tǒng)使用的各項(xiàng)參數(shù)在下發(fā)時(shí)會使用公鑰密碼算法進(jìn)行加密，保證參數(shù)在網(wǎng)絡(luò)傳輸過程中的安全性。

(5) 重新登錄Web服務(wù)器。用戶端瀏覽器首先根據(jù)上次請求使用的ST(若沒有則使用TGC)以及LKM服務(wù)器下發(fā)的相關(guān)參數(shù)在Logistic-Henon加密方案中計(jì)算出本次請求需要攜帶的ST，結(jié)合用戶所需加密粒度對相關(guān)數(shù)據(jù)進(jìn)行加密。隨后將請求發(fā)送至Web服務(wù)器。

(6) ST驗(yàn)證。Web服務(wù)器向LKM服務(wù)器發(fā)送請求來驗(yàn)證該用戶本次ST是否合法，該請求中包含ST信息、用戶請求頭中獲取的用戶名以及用戶該請求發(fā)送時(shí)刻的時(shí)間戳。

(7) LKM服務(wù)器根據(jù)請求中發(fā)送過來的用戶名信息，在用戶信息管理數(shù)據(jù)庫中獲取此用戶的TGC、用戶成功請求次數(shù)N以及混沌系統(tǒng)參數(shù)信息。通過在Logistic-Henon混沌加密方案中Ticket生成部分代入到的傳輸過來的混沌系統(tǒng)參數(shù)，將TGC作為初始狀態(tài)并迭代N次，計(jì)算出本次請求正確的ST并進(jìn)行核對。若核對正確則會將用戶相關(guān)權(quán)限信息反饋到Web服務(wù)器，同時(shí)保存N+1為該用戶成功請求次數(shù)。

(8) 請求審計(jì)。Web服務(wù)器將用戶端進(jìn)行Logistic-Henon混沌加密后的庫文件信息或SQL語句、用戶權(quán)限信息傳遞給數(shù)據(jù)庫安全中間件。數(shù)據(jù)庫安全中間件首先根據(jù)用戶的身份權(quán)限信息決定是否通過用戶的請求，隨后對SQL語句進(jìn)行敏感詞匯檢查審計(jì)，并將相應(yīng)的記錄保存到審計(jì)日志中。

(9) 備份與示警。數(shù)據(jù)庫安全中間件周期性對審計(jì)記錄進(jìn)行審查、保存數(shù)據(jù)庫備份和數(shù)據(jù)庫更新備份。在審查中若判斷某數(shù)據(jù)庫在一定時(shí)間段內(nèi)遭受攻擊頻次較高或遭受嚴(yán)重攻擊，則會向LKM服務(wù)器發(fā)送示警消息與數(shù)據(jù)庫創(chuàng)建人信息，LKM服務(wù)器會向相應(yīng)的用戶發(fā)送示警郵件提示相關(guān)權(quán)限用戶。

此外，若用戶需要讀取數(shù)據(jù)信息并且身份驗(yàn)證通過，LAKM服務(wù)器會根據(jù)審計(jì)記錄中該數(shù)據(jù)保存時(shí)的用戶成功請求次數(shù)在混沌系統(tǒng)中計(jì)算出當(dāng)時(shí)所使用的ST，并與數(shù)據(jù)密文信息一同傳遞給用戶，用于解密數(shù)據(jù)信息。

2.2 方案安全性分析

對數(shù)據(jù)庫安全造成威脅的原因大體上來自于自然因素和人為因素兩個(gè)方向，其中自然因素造成的威脅對數(shù)據(jù)庫安全性能影響較小，網(wǎng)絡(luò)數(shù)據(jù)庫中發(fā)生的安全問題主要來自于人為因素。人為因素造成的威脅包括了三個(gè)主要方面：網(wǎng)絡(luò)黑客入侵?jǐn)?shù)據(jù)庫造成數(shù)據(jù)泄露或損壞，內(nèi)部人員直接接觸敏感數(shù)據(jù)造成數(shù)據(jù)泄露以及合法用戶非法獲取自身權(quán)限外的數(shù)據(jù)資源。

根據(jù)本文所提網(wǎng)絡(luò)數(shù)據(jù)庫安全方案以及方案中所使用到的Logistic-Henon混沌加密算法的特征，網(wǎng)絡(luò)黑客若要獲取到用戶的敏感數(shù)據(jù)信息，在已知安全方案中全部流程以及加密算法結(jié)構(gòu)的同時(shí)，仍需要得到用戶密文數(shù)據(jù)信息、根密鑰、Service Ticket相關(guān)信息以及混沌加密參數(shù)。其中Service Ticket相關(guān)信息需要知道用戶在創(chuàng)建、保存敏感數(shù)據(jù)時(shí)使用的Service Ticket，即使網(wǎng)絡(luò)黑客已經(jīng)得到了方案中混沌加密算法結(jié)構(gòu)以及用戶在混沌算法中使用的相關(guān)參數(shù)，也至少需要知道用戶的TGC信息。用戶在每次請求進(jìn)行身份認(rèn)證的過程中，使用的Service Ticket不同，由于產(chǎn)生Service Ticket的混沌系統(tǒng)具有偽隨機(jī)特性，網(wǎng)絡(luò)黑客難以使用重放攻擊來獲取合法用戶身份。此外，根密鑰信息保存在用戶本地計(jì)算機(jī)中，并不會在用戶請求中傳遞或由第三方下發(fā)分配，網(wǎng)絡(luò)黑客一般無法竊聽相關(guān)信息。因此，本文方案可以抵御網(wǎng)絡(luò)黑客入侵造成的安全威脅。

網(wǎng)絡(luò)數(shù)據(jù)庫的內(nèi)部管理人員往往具有非常大的用戶權(quán)限，能夠直接接觸到用戶敏感數(shù)據(jù)信息，若內(nèi)部管理人員作為敵手，對用戶敏感數(shù)據(jù)造成的安全威脅較其他兩類攻擊方式更大。本文提出的網(wǎng)路數(shù)據(jù)庫安全模型將敏感數(shù)據(jù)加密流程放到用戶端來進(jìn)行，一方面防止了網(wǎng)絡(luò)傳輸中黑客對敏感數(shù)據(jù)的竊聽，另一方面防止用戶敏感數(shù)據(jù)明文信息夾雜在用戶請求正文中。在用戶發(fā)送敏感數(shù)據(jù)加密請求之后，從服務(wù)器接收到用戶請求到服務(wù)器內(nèi)部對敏感數(shù)據(jù)加密完成的過程中，網(wǎng)絡(luò)數(shù)據(jù)庫管理員及服務(wù)器后端管理員均可以解除到敏感數(shù)據(jù)明文信息。本文模型中，敏感數(shù)據(jù)加解密使用的密鑰信息在用戶端保存，管理員無法通過自身權(quán)限優(yōu)勢獲取用戶根密鑰，從而防止了網(wǎng)絡(luò)數(shù)據(jù)庫中的內(nèi)部違規(guī)行為。因此，本文方案可以抵御網(wǎng)絡(luò)數(shù)據(jù)庫內(nèi)部管理人員直接接觸敏感數(shù)據(jù)造成的安全威脅。

網(wǎng)絡(luò)數(shù)據(jù)庫中還存在著合法用戶非法獲取自身權(quán)限外數(shù)據(jù)資源的威脅。本文方案中敏感數(shù)據(jù)庫及數(shù)據(jù)表訪問權(quán)限由RBAC訪問控制模型建立，通過用戶、權(quán)限、角色表共同保存用戶與資源之間的權(quán)限關(guān)系，合法用戶無法獲取自身權(quán)限外數(shù)據(jù)資源信息。因此，本文方案可以抵御合法用戶通過非法手段獲取自身權(quán)限外的數(shù)據(jù)資源。

對于網(wǎng)絡(luò)數(shù)據(jù)庫來說，一般有以下幾種常見的攻擊手段[9]。

(1) SQL注入攻擊手段。這種方式不需要采用任何外部工具，敵手通過將敏感字符添加到數(shù)據(jù)庫查詢請求參數(shù)中，從而竊取數(shù)據(jù)庫中的敏感信息。本文數(shù)據(jù)庫安全模型中，數(shù)據(jù)庫安全中間件對用戶提交的SQL語句敏感詞匯進(jìn)行分析，能夠防止惡意用戶通過SQL注入攻擊竊取用戶敏感信息。

(2) 數(shù)據(jù)庫下載漏洞。這種方式通過計(jì)算機(jī)系統(tǒng)中互聯(lián)網(wǎng)信息服務(wù)存在的漏洞或網(wǎng)站設(shè)計(jì)缺陷，暴露網(wǎng)絡(luò)數(shù)據(jù)庫路徑，從而下載整個(gè)網(wǎng)絡(luò)數(shù)據(jù)庫信息。對于本文數(shù)據(jù)庫模型，網(wǎng)絡(luò)黑客若通過網(wǎng)絡(luò)漏洞或網(wǎng)站缺陷，從網(wǎng)絡(luò)服務(wù)器內(nèi)部或網(wǎng)絡(luò)數(shù)據(jù)庫獲取到用戶敏感信息，由于用戶數(shù)據(jù)在瀏覽器端已完成加密操作，并且在服務(wù)端和網(wǎng)絡(luò)數(shù)據(jù)庫存儲過程中不會對用戶數(shù)據(jù)進(jìn)行解密操作，網(wǎng)絡(luò)黑客只能夠獲取到密文信息，從而無法直接獲得用戶敏感數(shù)據(jù)明文信息。

(3) 竊取備份。這種攻擊手段常發(fā)生在內(nèi)部管理人員利用自身權(quán)限將數(shù)據(jù)庫備份銷售給攻擊者，而數(shù)據(jù)庫中數(shù)據(jù)未加密，從而導(dǎo)致敏感信息泄露。與第2點(diǎn)相同，本文方案數(shù)據(jù)庫備份同樣為加密后的密文信息，因此內(nèi)部人員或黑客無法通過竊取備份信息得到用戶敏感數(shù)據(jù)明文信息。

(4) 特權(quán)提升。這種攻擊手段針對于數(shù)據(jù)庫中訪問控制產(chǎn)生的漏洞，網(wǎng)絡(luò)數(shù)據(jù)庫內(nèi)部管理員利用自身較高的訪問權(quán)限或外部攻擊人員通過破壞數(shù)據(jù)庫操作系統(tǒng)獲取更高等級的權(quán)限來對數(shù)據(jù)庫敏感信息進(jìn)行攻擊。本文方案中對用戶以及管理員訪問控制權(quán)限做了較為詳細(xì)的限制，用戶或網(wǎng)絡(luò)黑客無法訪問自身沒有訪問權(quán)限的數(shù)據(jù)信息，數(shù)據(jù)庫管理員也無法提升自身的操作權(quán)限，權(quán)限管理員無法接觸到敏感數(shù)據(jù)信息，從而最大程度上防止這種攻擊手段。

表1展示了在安全性方面，本文方案與其他若干種方案對于常見網(wǎng)絡(luò)數(shù)據(jù)庫攻擊方式的對比?？梢钥闯觯疚姆桨篙^其他幾種方案更能抵御常見網(wǎng)絡(luò)數(shù)據(jù)庫攻擊，同時(shí)還可以避免網(wǎng)絡(luò)數(shù)據(jù)庫內(nèi)部管理人員利用自身權(quán)限直接接觸敏感數(shù)據(jù)。文獻(xiàn)[17]所提出的B/S架構(gòu)網(wǎng)絡(luò)數(shù)據(jù)庫方案中，用戶敏感數(shù)據(jù)在服務(wù)端進(jìn)行加解密操作，以密文的形式存儲，因此可以抵御竊取備份方式的攻擊。但是該方案未對數(shù)據(jù)庫模型中訪問控制模型做詳細(xì)限制，因此對于數(shù)據(jù)庫下載漏洞以及特權(quán)提升的攻擊方式防御效果不佳。此外，該方案中并未對SQL語句進(jìn)行詳細(xì)分析，且數(shù)據(jù)庫DAO層操作僅通過JDBC完成，因此對SQL注入攻擊防御效果不佳。文獻(xiàn)[18]提出的Web平臺數(shù)據(jù)庫系統(tǒng)中,系統(tǒng)對SQL注入攻擊進(jìn)行了防御，但是由于該系統(tǒng)訪問控制模型中數(shù)據(jù)庫管理員權(quán)限極高且數(shù)量較多，因此對于特權(quán)提升方式的攻擊抵御效果不佳。該方案中用戶先將明文數(shù)據(jù)保存到網(wǎng)絡(luò)數(shù)據(jù)庫中，再根據(jù)需求加密相關(guān)數(shù)據(jù)，因此數(shù)據(jù)庫備份文件中可能存有敏感數(shù)據(jù)明文備份，因此對于數(shù)據(jù)庫下載漏洞以及竊取備份方式的攻擊防御效果不佳。文獻(xiàn)[19]重點(diǎn)研究數(shù)據(jù)庫加密密鑰管理技術(shù)，提出了一種二級密鑰管理方案，并對SQL語法進(jìn)行了分析，因此能夠防御SQL注入、數(shù)據(jù)庫下載漏洞、竊取備份等攻擊方式的攻擊。但是該方案中用戶管理員能夠直接接觸到用戶密文數(shù)據(jù)信息及加密字典，從而對特權(quán)提升等來自內(nèi)部人員的攻擊防御效果不佳。

表1 網(wǎng)絡(luò)數(shù)據(jù)庫模型安全性能比較表

3 混沌加密算法原理

本文系統(tǒng)使用Logistic-Henon混沌系統(tǒng)和CAS單點(diǎn)登錄系統(tǒng)共同完成身份確認(rèn)和子密鑰生成過程，大體上可以分為ST生成和子密鑰生成兩部分，具體流程圖如圖2所示。

圖2 身份確認(rèn)及子密鑰生成流程圖

對于LAKM服務(wù)器端來說，每次驗(yàn)證ST合法性需要將用戶初始TGC代入Logistic映射中迭代，判斷生成的ST與用戶請求攜帶的ST是否相同，并保存記錄用戶成功請求的次數(shù)。

對于用戶端來說，首先需要將上次成功使用的ST代入Logistic映射中迭代生成本次需要使用的ST，若驗(yàn)證成功則將本次使用的ST取代上次使用的ST保存。與此同時(shí)將此ST和根密鑰帶入Henon映射中生成加密使用的子密鑰，再進(jìn)行加密操作。

3.1 ST的生成

用戶端對上次，即第p次成功身份驗(yàn)證所使用的ST進(jìn)行處理f(x)，得到滿足Logistic映射的初態(tài)合理區(qū)間的初態(tài)f(st)=xp。其中x0表示TGC，μ則由LAKM服務(wù)器計(jì)算生成并在用戶第一次注冊時(shí)與TGC同時(shí)發(fā)放給用戶，保證服務(wù)器和用戶端有相同的μ。用戶發(fā)送請求時(shí)將xi代入式(1)進(jìn)行hp次迭代，得到本次請求需要的ST=f-1(xk)。

xn+1=μxn(1-xn)

(1)

Devaney R.L定義[6]混沌的連續(xù)映射f在度量空間V上具有如下性質(zhì):1) 初值敏感性;2) 拓?fù)鋫鬟f性;3)f的周期點(diǎn)集在V中稠密。

3.2 子密鑰生成及加解密過程

系統(tǒng)對于數(shù)據(jù)庫庫文件的明文信息m進(jìn)行分段加密，將m分段為m1、m2、…、mn進(jìn)行加密，需要的密鑰k1、k2、…、kn由Henon映射生成。Henon映射是高維情形下最簡單的非線性映射，相比于普通映射來說，初值敏感性更強(qiáng)、動力學(xué)系統(tǒng)特性更好[8]。

(2)

解密是加密過程的逆過程，其中計(jì)算k1所使用的初態(tài)x0使用提交保存加密數(shù)據(jù)庫文件時(shí)所使用的ST。服務(wù)器調(diào)取審計(jì)日志記錄信息獲得用戶該次的身份驗(yàn)證成功次數(shù)p，用于式(1)中的迭代次數(shù)以獲取正確的ST，再傳遞給客戶端?？蛻舳藢T和根密鑰帶入相同的Henon混沌系統(tǒng)生成全部子密鑰k1、k2、…、kn，分別對密文c1、c2、…、cn進(jìn)行解密生成明文段m1、m2、…、mn，將所有明文段組合成明文文件m,即得到了明文數(shù)據(jù)庫庫文件。

3.3 安全性分析

在驗(yàn)證算法的安全性過程中，CPU選用Intel(R) Core(TM) i7-7700HQ CPU @ 2.80 GHz 2.81 GHz，內(nèi)存8.00 GB，測試代碼使用Java編寫，jdk版本為10.0.1。代碼中數(shù)據(jù)全部選用double型數(shù)據(jù)類型，子密鑰生成后采用AES進(jìn)行加密，與傳統(tǒng)AES單一密鑰加密進(jìn)行對比。

3.3.1復(fù)雜度分析

首先計(jì)算本次請求使用的ST，這一步主要是固定次數(shù)的Logistic映射的迭代，復(fù)雜度與明文長度無關(guān)，為O(1)。這一步耗時(shí)主要與迭代次數(shù)相關(guān)，在實(shí)驗(yàn)仿真中迭代10 000次平均耗時(shí)1.92毫秒，在實(shí)際使用中基本可以忽略不計(jì)。下一步需要計(jì)算出子密鑰并進(jìn)行加密，其時(shí)間復(fù)雜度主要和加密時(shí)選用的算法復(fù)雜度相同。實(shí)驗(yàn)仿真中選用AES加密，其復(fù)雜為O(n)，因此系統(tǒng)的時(shí)間復(fù)雜度為O(n)。

3.3.2密鑰空間分析

本文算法共有兩個(gè)初始值和三個(gè)參數(shù)，其中Logistic映射在參數(shù)3.569 945 6<μ≤4，初始狀態(tài)x0∈[0,1]時(shí)進(jìn)入混沌狀態(tài)，參數(shù)空間為4.3×1015，初始狀態(tài)空間為1×1016。Henon映射在參數(shù)α∈[0,1.4]、b=0.3時(shí)系統(tǒng)進(jìn)入混沌狀態(tài)，參數(shù)空間為1.4×1016，初始狀態(tài)空間與根密鑰生成初始狀態(tài)的函數(shù)值域范圍相關(guān)，仿真實(shí)驗(yàn)中使用字符串的哈希值生成初始狀態(tài)，值域空間大小為232≈4×109。因此算法的總密鑰空間為232×4.3×1015×1016×1.4×1016≈2.4×1057，完全可以滿足加密時(shí)密鑰空間大小的需求。

3.3.3初值敏感性分析

實(shí)驗(yàn)選取Logistic映射中參數(shù)μ=3.769 467 668 85，Henon映射中參數(shù)a=1.4,b=0.3，ST為0.215 146 685 55，根密鑰為字符串password，對數(shù)據(jù)庫文件進(jìn)行加密。密文文件在選取相同ST和根密鑰的條件下，可以解密得到正確的數(shù)據(jù)庫文件。仿真實(shí)驗(yàn)代碼中使用流的方式來讀取寫入庫文件，每128個(gè)比特分為一組進(jìn)行加密，解密時(shí)則是144個(gè)比特一組，不足的部分單獨(dú)分為一組。實(shí)驗(yàn)表明，對于Logistic映射，在μ相同，ST即初態(tài)x0相差10-12的條件下，迭代次數(shù)在55次之后序列產(chǎn)生較大差異，如圖3所示。在ST相同，μ相差10-12的條件下，迭代次數(shù)在65之后產(chǎn)生較大差異，如圖4所示。

圖3 μ相同ST不同時(shí)序列差值

圖4 ST相同μ不同時(shí)序列差值

如圖5-圖8所示，在相同密文文件和相同參數(shù)的μ、a、b、ST，Logistic映射迭代次數(shù)為10 000的條件下，對一個(gè)有若干數(shù)據(jù)項(xiàng)的數(shù)據(jù)庫先進(jìn)行加密，然后用相同ST和根密鑰進(jìn)行解密，解密后的數(shù)據(jù)庫與加密前數(shù)據(jù)庫數(shù)據(jù)項(xiàng)完全相同，而加密后的庫文件與加密前完全不同。在根密鑰最后一位變動一個(gè)比特，即變?yōu)閜asswore進(jìn)行解密，在解密過程中就會報(bào)錯(cuò)，無法正常解密。由此可證明本文算法對初值敏感性較高，安全性能好。

圖6 加密前的庫文件(json格式文件使用記事本打開)

圖8 正常解密后的數(shù)據(jù)庫

4 結(jié) 語

本文針對以內(nèi)部人員造成的網(wǎng)絡(luò)威脅為主，兼顧其他種類的網(wǎng)絡(luò)威脅，以CAS單點(diǎn)登錄系統(tǒng)為基礎(chǔ)設(shè)計(jì)了一種Logistic-Henon混沌加密系統(tǒng)并進(jìn)行了分析和實(shí)驗(yàn)。本文提出的加密系統(tǒng)用Logistic映射迭代，保證了CAS單點(diǎn)登錄系統(tǒng)ST的安全性，基本做到了一次一密，并在此基礎(chǔ)上以根密鑰和該次傳輸?shù)腟T作為初態(tài)帶入了Henon映射，依次計(jì)算出子密鑰進(jìn)行加密。由于混沌系統(tǒng)的初值敏感性和不穩(wěn)定性，保證了計(jì)算出的子密鑰無序性，從而取得了更好的加密效果。本文又提出了一種安全網(wǎng)絡(luò)數(shù)據(jù)庫模型以適配加密方案，更加注重用戶對數(shù)據(jù)權(quán)限的私有化，以保障網(wǎng)絡(luò)數(shù)據(jù)的安全性。