1、论文报告,Towards Secure Data Outsourcing ,郑旭旭 2009-3-30,论文报告,提纲 数据外包系统模型 数据外包模式下的安全问题 正确性 机密性 数据访问 SaaS模式下的安全性要求 数据外包 V.S. SaaS,为什么选择数据外包?,传统方式:企业为了维护自身的数据信息,需要购买大量的硬件设备,安装部署合适的数据库软件产品,雇用数据管理专业人员来管理并维护所有的设备以及软件,而所有的这些需求都会给企业带来大量的额外开销。 介于传统方法的这些缺点,数据库外包就成了一个提高企业竞争力的选择。企业通过将所有的数据业务外包给擅长管理的第三方实体,避免了硬件,软件以及
2、人员的大量开销,而将资金以及资源集中在跟企业核心竞争力更相关的业务上。,面临的问题,首先,对于要外包的数据库而言,由于数据库的内容往往涉及企业的隐秘信息,需要有完好的数据安全机制来保证数据库的内容不会泄露。 其次,因为第三方的服务提供商并不一定十分可信,需要保证外包的数据内容不会被破坏。 最后,还需要保证服务提供商提供的服务是正确的,返回用户的结果是正确的。,数据外包系统模型,在数据外包模式下,组织将数据库业务外包给外部数据库服务器运行,外包服务提供者为数据拥有者及数据库用户提供远程的数据库创建、存储、更新与查询服务。 系统模型,数据外包系统模型,客户端 数据库用户向数据库服务器发送数据查询请
3、求并接受查询结果。 数据拥有者是拥有管理权限的数据库用户 ,负责创建数据库、 更新和维护数据库, 也发布查询请求和接受查询结果。 数据库服务提供者 提供服务器硬件,运行标准的数据库管理系统软件,负责存储数据拥有者的数据,并提供数据库查询、 更新与维护等服务。,数据外包模式下的安全问题,Towards Secure Data Outsourcing摘自The Handbook of Database Security: Applications and Trends 上的一部分章节。 作者Radu Sion,Stony Brook 大学的助理教授。主要从事网络安全和应用加密方面的研究 Towar
4、ds Secure Data Outsourcing这篇文章提出了在数据外包环境下需要解决的安全问题。包括以下三个方面: 正确性(Correctness) 机密性(Confidentiality) 访问的私密性(Data Access Privacy) 上述三方面是相互影响的 例如:如果数据访问的私密性不能得到保证,就可能引起统计攻击,损害数据的机密性; 为了保证数据的机密性会对数据加密。如何能够对加密后的数据进行正确有效的查询。,数据外包模式下的安全问题,正确性 客户应该能够验证服务方返回的结果是正确完整的。例如:当客户执行了一个join查询后,他们应该能够验证服务方返回了所有匹配元组。 机
5、密性 对于敏感数据无论是在传输过程中还是在服务方都应该是不可解密的。这需要加密技术的保证。 访问的私密性 保证攻击者不能够通过查询模式进行统计攻击,数据外包模式下的安全问题,文章主要内容: 综述数据外包环境下保证安全的查询机制 1、保证查询结果的正确性和完整性; 2、查询能够在加密后的数据上执行,不破坏数据的机密性; 3、保证客户查询的数据访问方式的私密性,正确性内容,包括两方面内容 Data Integrity:数据的完整性 保证外包数据库中的数据不会被未经授权的攻击者篡改,(恶意的服务提供商不能任意向数据库中增加元组或者删除数据库中的已有元组)用户查询返回的结果应该是未经修改过的数据库中原
6、始元组。 Query Completeness:查询的完整性 由于外包数据库服务提供商可能会因为节省开支,不完全执行用户提交的查询,所以必须保证用户对服务提供商提出的查询返回的结果是完整的,同时需要防止恶意服务提供商截取部分结果,保证没有缺失任何有效解。,保证正确性的机制-基于数字签名的方法,保证数据完整性的简单数字签名方法 数据库拥有者对每个元组使用一个密钥生成一个数字签名。数据拥有者在将数据发布到服务提供商的同时,将每个元组对应的数字签名也发布给服务提供商,并通过安全的通信渠道将一个有效的公钥发布给用户。当用户提交一个查询给服务提供商后,外包数据库服务提供商除了返回用户查询结果以外,还需要
7、返回所有元组对应的数字签名,这样用户验证返回结果,保证数据的完整性。,保证正确性的机制-基于数字签名的方法,实现完整性验证的扩展方法 核心思想就是首先将数据进行排序,在计算元组的数字签名的时候,除了考虑当前元组的值,同时考虑“相邻”元组的值 数字签名链:能够保证Data Integrity和Query Completeness,但是开销太大(每一个元组计算一个数字签名;每次更新时需要重新计算相应元组数字签名),保证正确性的机制-基于数字签名的方法,基于 Merkle Hash树的方法 在排序数据之上构建一个二叉树,二叉树的每个叶子节点对应一个数据元组,每个叶子节点存储一份对应数据元组经过一个单
8、向Hash 算法计算以后的Hash 值,对应的,每个中间节点存储一份由其孩子节点Hash 值计算以后得到的Hash 值。最后,只对二叉树根节点计算一个数字签名,用于之后验证数据的正确性以及完整性。,保证正确性的机制-基于数字签名的方法,该方法小结: 当查询的结果不能组成连续区间的时候,需要返回非查询结果的元组。 基于数字签名的方法对复杂查询的支持不太好,这是因为join(连接)查询的结果固有的非连续性造成的。 因为Merkle Hash 树需要构建在排好续的数据上,当数据的属性很多的时候,排序的方式也非常多,为了支持所有可能的查询,需要对每种排序方式构建Merkle Hash 树,这样会造成非
9、常大的开销。 数字签名的方法很难支持更新。,保证正确性的机制-基于挑战-响应模式的方法,当用户提交一个查询Q的时候,首先在本地计算出一个Hash值,作为挑战值并跟查询一起发送到外包数据库服务提供商,服务提供商在返回用户查询结果的同时,需要返回i值作为挑战值的响应值。查询提交用户可以通过检查服务提供商是否返回正确的挑战值响应来检查服务提供商是否正确完整执行了客户的查询。,保证正确性的机制-基于挑战-响应模式的方法,小结 这种方法只能保证服务方是否执行了客户查询,如果一个恶意服务方对查询结果进行任何修改,增加或者是删除元组都不能被检测到。 需要在客户端备份一部分数据,保证正确性的机制-基于伪造数据
10、的方法,在数据库初始化的时候向外包数据库中添加一些额外的伪造元组,然后将这些伪造元组的信息传递给数据库的用户。当用户提交一个查询的时候,可以根据本地的这些伪造元素的信息判断有哪些伪造元素应该出现在查询的结果之中,如果这些结果没有出现在结果之中,我们就可以判断服务商没有返回给我们正确的结果。 特点 不需要服务方维护额外的验证数据,保证正确性的机制,总结 当前的所有方法都还只能支持简单查询。 对于数据更新问题(不是事务方面,而是,服务方有可能隐瞒/忽略用户的更新请求),需要提供有效的机制来防止“universe Split”攻击。 进一步研究 对复杂查询的安全分解技术 使用可信的硬件保证机制,进一
11、步研究,基于元数据的分解技术 在预处理阶段,客户生成基本查询和具体谓词的元数据,存放在服务端。对于用户提交的复杂查询,服务方首先分解为基本查询,客户可以通过元数据来验证这些基本查询结果的正确性,来保证整个查询结果的正确性。 缺点 需要额外的服务方存储 客户端需要维护元数据的状态信息,进一步研究,使用可信的硬件保证机制 解决数据更新时的 “Universe Split” 攻击问题 使用安全硬件,如:Secure Co-processor(SCPU)。 用户验证 保存用户事务状态,存储验证用户更新事务链的校验和,SaaS模式下的安全性要求,数据安全和SaaS软件系统的安全 数据安全 数据安全:主要
12、指的是客户信息是否以安全的方式保存在安全的地方。比如,是否加密、是否在不同地理位置有备份的数据中心以及机房本身是否安全(如是否有24小时录像监控,是否有可靠的预防火灾、水灾的措施)等。,SaaS模式下的安全性要求,SaaS软件系统的安全 主要涉及: Web服务器、应用程序、数据库和数据传输等方面 主流SaaS厂商为了提高Web服务器的安全性多选择特殊的Web服务器,比如在Apache的基础上进行修改,有的还会进行有针对性的优化,以提高访问速度和可靠性。 在应用程序方面的安全技术主要有用户密码加访问权限控制、应用程序会话和数据库访问会话等。 在数据库方面以数据库隔离为主。由于SaaS采用多租户的
13、模式,多个用户访问的是同一数据库实例和同一套应用程序,所以其安全性是一个很大的挑战,也比较考验供应商的技术实力。 在数据传输方面,可以采用一些数据加密技术,如最常见的SSL加密等。,数据外包 V.S. SaaS,相比于数据外包,SaaS下对数据更新的安全保证的要求更高 “universe Split”攻击 传统模式下可以在owner处进行部分验证数据的存储,SaaS下是不是可以利用可信第三方来实现?,传统意义下的数据完整性定义,存储在数据库中的所有数据值均正确的状态。如果数据库中存储有不正确的数据值,则该数据库称为已丧失数据完整性。 数据完整性(Data Integrity)是指数据的精确性(
14、Accuracy) 和可靠性(Reliability)。它是应防止数据库中存在不符合语义规定的数据和防止因错误信息的输入输出造成无效操作或错误信息而提出的。数据完整性分为四类:实体完整性(Entity Integrity)、域完整性(Domain Integrity)、参照完整性(Referential Integrity)、用户定义的完整性(User-defined Integrity)。 数据库采用多种方法来保证数据完整性,包括外键、束约、规则和触发器。系统很好地处理了这四者的关系,并针对不同的具体情况用不同的方法进行,相互交叉使用,相补缺点。,“universe Split”攻击,例如:数据拥有者请求更新数据,但是服务提供者忽略此请求。 数据外包“多主”模式下的 “Universe Split” 攻击 SaaS模式下的“Universe Split” 攻击,