（计算机软件与理论专业论文）视图发布过程中信息泄漏问题的研究.pdf

摘要 摘要 视图发布是数据交换的主要手段，视图发布为数据交换提供了方便， 但在视图发布过程中有可能造成信息的泄漏。因此，保证发布视图的安全 成为数据库安全的一个新课题。本文对国内外关于视图发布过程中安全问 题的研究现状进行了综合分析，从一个全新的角度对视图发布过程中信息 泄漏问题进行了研究。 首先，介绍了视图发布后消除结构信息推理以及查询信息推理的解决 方案。通过全面分析各种信息推理方式，指出了两种方法的不足，同时分 析了视图发布前用来保护私有信息的k 匿名模型以及概率独立判定模型。 其次，基于以上的研究成果，提出了视图安全性判定定理以及信息泄 漏测量方法。在视图发布之前通过视图安全性判定定理判定将要发布的视 图组是否会造成信息泄漏，如果存在信息泄漏，那么采用相对误差测量方 法对发布视图进行测量，并对测量结果进行分析。 再次，根据视图安全性判定定理以及信息泄漏测量方法，提出了视图 安全性判定算法、信息公开测量算法以及消除信息泄漏算法，并进行了算 法分析和正确性证明。 最后，对上述算法进行了实验验证，比较了两种信息公开测量方法以 及两种信息泄漏消除算法的实验结果，通过分析实验结果数据发现，信息 泄漏消除算法在不影响视图发布的同时能够有效地防止信息泄漏，实现视 图的安全发布。 关键词视图；安全；关键元组；信息泄漏：消除算法 蝥些盔堂三兰堡主堂垡丝奎 a b s t r a c t v i e wp u b l i s h i n gi st h em a i nw a yo fd a t a e x c h a n g e ，a h h o u g hi t i s c o n v e n i e n tt oe x c h a n g ed a t ab yp u b l i s h i n gv i e w , s o m ei n f o r m a t i o nm a yb e d i s c l o s e di nt h ep u b l i s h i n gp r o c e s s ，s og u a r a n t e e i n gs e c u r i t yo fp u b l i s h e dv i e w b e c o m e san e ws u b j e c to fd a t a b a s es e c u r i t y t h i sp a p e ra n a l y z e st h ec u r r e n t s i t u a t i o no ft h ed o m e s t i ca n di n t e r n a t i o n a ls e c n r i t yp r o b l e mi nv i e wp u b l i s h i n g p r o c e s s ，a n dr e s e a r c h e sf o rt h ep r o b l e mo fi n f o r m a t i o nd i s c l o s u r ei np u b l i s h i n g p r o c e s sf i o mac o m p l e t e l yn e wp e r s p e c t i v e a tf i r s t ，t h ep r o b l e ms o l v i n gs t r a t e g yt oe l i m i n a t et h es t r u c t u r ei n f o r m a t i o n i n f e r e n c ea n dq u e r yi n f o r m a t i o ni n f e r e n c ea f t e rv i e wp u b l i s h e di si n t r o d u c e d t h r o u g ha n a l y z i n gv a r i o u sk i n d so fi n f o r m a t i o nr e a s o n i n gw a y si na l la 1 1 r o u n d w a y , t h i sa r t i c l ep o i n t so u tt h ed e f i c i e n c i e so ft w ok i n d so fm e t h o d s ，a n dt h e n a n a l y z e st h ek - a n o n y m i t yp r o t e c t i o n m o d e la n di n d e p e n d e n t p r o b a b i l i t y d e t e r m i n i n gm o d e lb e f o r et h ev i e wp u b l i s h e d s e c o n d l y , o nt h eb a s i so ft h ea b o v er e s e a r c ha n de x i s t e n ts o i n t i o n s ，t h e v i e ws e c u r i t yt h e o r e ma n dt h em e a s u r i n gm e t h o do fi n f o r m a t i o nd i s c l o s u r ea r e p r o p o s e d w ec a r td e t e r m i n ew h e t h e rt h ep u b l i s h i n gv i e wg r o u pw i l ll e a kt h e i n f o r m a t i o nb yt h ev i e ws e c u r i t yt h e o r e mb e f o r et h ev i e wp u b l i s h e d i ft h e r e e x i s t si n f o r m a t i o nd i s c l o s u r e ，w ew i l la d o p tt h er e l a t i v ee r r o rm e t h o dt om e a s u r e t h ep u b l i s h e dv i e wa n da n a l y z et h em e a s u r i n gr e s u r m o r e o v e la c c o r d i n gt ov i e ws e c u r i t yt h e o r e ma n di n f o r m a t i o nd i s c l o s u r e m e a s u r e ，t h i sp a p e rp r o p o s e st h ea l g o r i t h mo fd e t e r m i n i n gv i e ws e c u r i t y , t h e a l g o r i t h mo fm e a s u r i n gi n f o r m a t i o nd i s c l o s u r ea n dt h ea l g o r i t h mo fe l i m i n a t i n g d i s c l o s u r e ，t h e nc a r r i e so na l g o r i t h ma n a l y s i sa n dv a l i d i t yi d e n t i f i c a t i o n f i n a l l y , t h ea l g o r i t h m sw em e n t i o n e da b o v ea r ec e r t i f i e db ye x p e r i m e n t ，t h e e x p e r i m e n tr e s u h sa b o u tt w om e t h o d so fi n f o r m a t i o nd i s c l o s u r e a n dt w o i i a b s t r a c t a l g o r i t h m so fe l i m i n a t i n gi n f o r m a t i o nd i s c l o s u r ea r ec o m p a r e d ，t h r o u g ha n a l y z i n gd a t as e t so fe x p e r i m e n tr e s u l t s ，w em a k eac o n c l u s i o nt h a ta l g o r i t h mo f e l i m i n a t i n gi n f o r m a t i o nd i s c l o s u r e c a np r e v e n ti n f o r m a t i o nd i s c l o s u r ea n dn o t a f f e c tp u b l i s h i n gv i e wa tt h es a n l et i m e ，r e a l i z et h es e c u r i t yp u b l i s h i n go f v i e w k e y w o r d sv i e w ；s e c u r i t y ；c r i t i c a lt u p l e ；i n f o r m a t i o nd i s c l o s u r e ；a l g o r i t h mo f e l i m i n a t i n g m 第1 章绪论 第1 章绪论 1 1 视图发布的定义 视图发布是数据交换的主要手段之一，它可以通过“隐藏数据”的形 式对数据库进行存取，使得不同的用户可以看到不同的数据。例如，对于 一个学校，其学生的情况保存在数据库的一个或多个表中，而作为学校的 不同职能部门，所关心的学生数据内容是不同的。即使是同样的数据信息， 也可能有不同的操作要求，于是就可以根据他们的不同需求，在物理数据 库t , 2 1 上定义他们对数据库所要求的数据结构，并将信息通过这种数据结构 发布出来。 1 2 视图发布的作用 随着i n t e m e t 上数据交换次数和数据交换数目的不断增多，视图发布的 作用也日渐突出。首先，用户可将视图f 3 】看成种移动的窗口，通过它可以 看到感兴趣的数据，这样不仅便于用户对数据的理解，也可以简化他们的 操作，从而使得用户不必为以后的每次操作指定全部的条件。 其次，视图发布【4 ，5 】可以起到一定的安全作用。通过视图发布可以对不 同的用户定义不同的视图，使敏感数据 6 , 7 1 不出现在不应看到这些数据的用 户视图中，这样由视图机制自动提供了敏感数据的安全保护功能。同时通 过发布的视图，用户的权利可以被限制在数据的不同子集上；使用权限可 以被限制在基本表的行、列或行和列的子集上。 视图发布最重要的作用是为数据交换提供了手段，便于资源共享。自 2 0 世纪9 0 年代开始，随着i n t e m e t 的不断发展，数据交换也成为了资源共 享的种重要方式。最初的信息交换可能仅限于两人问或是公司的两个雇 员之间，例如收发电子邮件。但是随着业务往来和数据量的不断增大，数 据交换已经扩展到了两个或是多个大公司之间。视图发布基于自身的安全 茎些盔兰士兰堡主堂垡笙銮 特性，成为用户之间的业务活动比较可靠的数据交换手段。 1 3 视图发布过程中的安全问题 视图发布给数据交换带来了方便，但也带来了安全隐患i s , 9 】。数据交换 往往涉及到多个合作伙伴，即使每个合作伙伴所发布的单个视图都是安全 的，也难以避免信息的泄漏。 例如，一个公司需要同几个合作伙伴间交换数据，所采用的方法是发 布了若干个关于公司生产信息的动态视图。 假设视图v 是面向供应商的( 公司已采取一系列安全手段确保该视图 仅能被授权的供应商看到) ，它包含有关于某一产品配件的详细信息，视图 v 2 是面向零售商和顾客的( 公司已采取一系列安全手段确保该视图仅能被 授权的零售商和顾客看到) ，它包含有关于产品特性和价格等方面的详细信 息，视图v 3 是面向税务代理公司的( 公司己采取一系列安全手段确保该视图 仅能被授权的税务代理公司看到) ，它包含有关劳动力成本方面的信息。作 为商业机密，公司不想让外界知道自己产品的生产成本。但如果有人能够 同时从供应商和税务代理公司得到该公司的信息并把他们组合到一起，那 么，该公司产品的生产成本就会被计算出来，这样就造成了商业机密的信 息泄漏。 下面再通过一个实例对视图发布过程中的信息泄漏问题进行说明。为 了便于理解，我们将对敏感信息的查询定义为秘密查询s ，查询结果就是要 保密的信息。通过4 个数据库实例分析了信息泄漏问题的几种情况。实例( 1 ) 是一个全部信息公开的典型例子。由于秘密查询s t 的信息全部包含在视图 v 。中，因此视图v i 的发布将导致秘密查询s l 信息的全部泄漏。 实例( 2 ) 是一个局部信息公开的典型例子。虽然秘密查询s 2 的信息不太 可能通过视图v 2 的发布直接获得，但如果两个视图通过公共属性连接起来， 就可能造成局部信息泄漏。例如：某公司的某个部门仅有4 名员工，且每 位员工仅有一个电话号码，那么猜测出员工及电话号码的成功概率为2 5 。 实例f 3 ) 也是一个局部信息公开的例子。在类似的情况下，好像视图的 发布没有泄漏有关查询s 3 中电话号码的任何信息，但是事实并非如此，如 2 第1 章绪论 果我们假设每位员工和号码为一对一的关系，那么视图的发布就会将s 3 信 息量的大小泄漏出来。虽然泄漏程度比较低，但是仍然不满足视图安全性 判定条件。 最后一个是没有任何信息泄漏的例子。在a d m i n 部门中雇员的名字没 有泄漏任何有关s h i p p i n g 部门中雇员的名字。 下面通过信息泄漏问题分析表具体说明，如表1 - 1 所示。 表1 - 1 信息泄漏问题分析表 t a b l e1 - it a b l eo f i n f o r m a t i o nd i s c l o s u r ep r o b l e ma n a l y s i s i n f o r m a t i o n q u e r y v i e w v i e w ( s )o u e r y j e ws e c u r i t y d i s c l o s u r e s e c u r i t y v 1 ( n ，d ) ：- e m p l o y e e ( n ，d p )s l ( d ) e m p l o y e e ( n ，d p ) t o t a ln o v 2 ( ，d ) ：- e m p l o y e e ( n ，吐p ) s2 ( n ，p ) ：- e m p l o y e e ( n ，d ，p )p a r t i a ln 0 ( d ，p ) ：- e m p l o y e e ( n , d ，p ) v 3 ( n ) ：- e m p l o y e e ( n , d ，p )s 3 ( - e m p l o y e e ( n ，吐p ) m i n u r en o v 4 ( n ) ：- e m p l o y e e ( n ，“a d m i n ”，p )s 4 ( n ) ：- e m p l o y e e ( n , “s h i p p i n g ，p ) n o n ey e s 通过上面的分析不难发现，视图组的发布很容易泄漏出我们想要保密 的信息，影响了正常的数据交换。对于第1 种情况，敏感信息完全包括在 视图v 1 ，我们通过禁止视图的发布来避免敏感信息的泄漏。最后1 种情况 是满足视图安全性的条件，不必考虑。第2 、3 种情况是局部信息泄漏的典 型例子，如何解决这一问题成为了我们研究的一个重点。 1 4 视图发布过程中信息泄漏问题的分析 为了便于问题的研究，根据研究内容和研究对象对其进行分类。 1 4 1 根据研究内容进行分类 通过分析各种信息泄漏的情况，将研究的内容分成下面3 大类。 1 4 1 1 公开重要信息最重要的信息可能是很普遍的信息。例如，同一个 国家中电话号码中区代码部分是相同的。竞争伙伴之间可以通过这些重要 的信息来得到对方公司具体的人员分配情况。对于类似的重要信息，我们 燕山大学工学硕士学位论文 只能根据实际情况，分析出造成信息泄漏的各种可能，保证视图安全。 1 4 1 2 多方参与 给n 个不同的用户发布n 个视图v l ，v 2 ，v 。，且n 个 视图是相对独立的。假设此时可以确定出敏感信息，那么我们的研究重点 就是哪几个用户将他们的视图结合起来就可能违反秘密查询s 的机密性， 造成信息泄漏。 1 4 1 1 3 存在先验知识的信息泄漏用户发布了一个视图u 后，已经泄漏 了有关秘密查询s 的一些信息，但是该用户认为这种危险是可以接受的。 如果此时用户在发布视图u 的基础上再发布一个视图v ，那么视图v 在视 图u 所泄漏的信息之上是否泄漏了有关s 查询的更多信息，此时信息泄漏 程度是否还能接受。 由于公开重要信息这种信息泄漏方式跟实际情况有很大关系，分析起 来较为困难，因此我们将研究重点放在了多方参与和存在先验知识的信息 泄漏问题的研究上。需要解决的信息泄漏问题主要就是视图组的发布是否 会泄漏要保密的信息，以及判断存在先验知识的信息泄漏是否还能接受。 1 4 2 根据研究对象进行分类 理论上讲，防止视图发布过程中信息泄漏的方法可分为两种：一种是 针对视图接受者，另一种是针对视图发布者。 第1 种方法要求视图接受者不能把所得到的信息另作他用，也不能把 所得到的信息有意或无意的泄漏出去，更要加强安全防范措施，防止信息 被窃取。但是在大量信息交换的今天，实际应用中这种方法的要求是很难 达到的。 第2 种方法要求视图发布者对所发布的视图进行分析和评测，确认没 有信息泄漏后，再呈现给视图接受者。如果发现存在信息泄漏，那么在视 图发布之前将泄漏程度降低到接受范围内，再进行视图的发布。由于第1 种方法很难实现，因此人们把研究重点都放在第2 种方法上，从视图发布 者的角度出发，确保所发布的视图产生最小的信息泄漏，到目前为止，人 们提出了一些评估算法和保护模型，但它们存在局限性，无法消除动态元 组所造成的信息泄漏等缺陷。但是这些评估算法和保护模型在很大的程度 4 第1 罩绪论 给出了信息泄漏的判定定理以及信息泄漏测量方法，此成果为本课题的研 究奠定了基础。 1 5 选题的背景和意义 由于在数据交换中造成了无意的信息泄漏1 1 0 j l i ，因此产生了对于这种 危险进行管理的需要。为了保证数据交换i ”】过程中的信息安全，相应的研 究机构投入了大量的人力、物力从事该领域的研究，采取相应的方法对信 息和数据进行保护，研究点大多是授权1 5 1 或加密 1 6 】技术。授权和加密技 术对于信息和数据保护是非常重要的，它们是通过身份认证和数据编码方 式来预防外部威胁或未授权的访问企图。在目前的许多国际会议上，例如 s i g m o d ，v l d b 等都对此问题进行了分析，通过对信息安全问题的进一 步研究，提出了更高层次的密码技术的要求，建立相应的保护模型，从基 于服务器的保护装置到基于客户机的保护模型，以及到后来的逻辑构架保 护模型来确保访问授权策略。 视图发布中信息泄漏这一安全问题是在授权和加密安全保护的基础上 提出来的，目的是解决无意识的信息公开所造成的信息泄漏，它是安全防 护的更高一级要求。早在2 0 0 1 年，华盛顿等著名大学的许多学者就致力于 信息公开的研究，提出了对相应的万维网中数据发布的控制，形成了视图 安全性的形式化定义。2 0 0 4 年在s i g m o d 会议上提出了基于密码和授权技 术的无意的信息泄漏问题，但是到目前为止还没有提出解决办法。本文在 全面分析现有解决方法的基础上提出了视图安全性判定定理以及测量方 法，并提出了信息泄漏消除算法，有效地实现了信息泄漏，实现视图安全 性判定。 1 6 本文的结构 第2 章分析和介绍了目前的解决方法。首先介绍了针对结构信息推理 的消除信息泄漏方法，然后介绍了针对查询推理的消除信怠泄漏方法，最 后介绍了用来保护私有信息的k 匿名模型以及针对存在先验知识的概率独 立事件模型。 燕山大学工学硕士学位论文 第3 章介绍了视图安全性的判定和测量。在视图安全性判定定理的基 础上，提出了信息公开测量方法并进行了举例说明。 第4 章在第3 章的基础上，提出了判定关键元组算法、信息公开测量算 法以及基于关键元组的信息泄漏算法，并进行了算法分析。 第5 章对第4 章所提出的算法进行了实验验证，并在实验的基础上分 析了实验结果。 最后，总结了本文的工作并提出了下一步设想。 6 第2 章现有的解决方法 第2 章现有的解决方法 到目前为止，相应的研究机构和专家学者在分析现有的数据库技术基 础上提出了一系列的评估算法和保护模型。2 0 0 2 年，l s w e e n e y 首次提出 了针对结构信息推理的研究方法改变顺序法，并在此基础上进一步提 出了k 匿名保护模型，对发布的视图进行了有效地判定。但是此种解决方 法所针对的问题太过局限，无法消除动态元组所造成的信息泄漏。受k - 匿 名保护模型的启发，g m i k l a u 和d s u c i u 在2 0 0 4 年s i g m o d 会议上提出了 概率独立事件判定模型，通过概率独立事件判定定理对要发布的视图进行 判断，同时采用相对误差概念对信息泄漏进行测量。此方法在理论上较为 严谨地论述了问题，但是却无法对信息泄漏进行消除。 虽然以上的研究成果不能够针对各种问题提出判定定理以及测量的公 开方法，无法有效地消除信息泄漏，但是这些研究成果为视图发布过程中 信息泄漏问题的提出奠定基础。 2 1 针对结构信息推理的消除信息泄漏的方法 视图的结构信息包括很多种，其中很可能会造成信息泄漏的结构信息 有：视图中元组的顺序【1 7 】，属性的顺序，属性的个数以及视图组的关联关 系等。假设视图的结构信息有1 1 种，那么，就可能有c ：+ c ：+ + c ：= 2 “- 1 种信息泄漏的方式，针对这2 “1 种信息泄漏方式提出相应的2 “一1 种解决方 案是不现实的。因此，我们仅仅对两种常见的基于视图结构的信息泄漏问 题进行了研究，并针对这两个问题提出消除信息泄漏的方法。 2 1 1 改变顺序法 在文献【1 8 】中，攻击者针对发布视图的结构信息，采用了对关联表中的 元组的顺序进行分析的方法，得到了敏感信息。针对这个问题，作者提出 了改变元组顺序来消除信息泄漏的方法。 燕山大学工学硕士学位论文 下面通过个例子进行说明，如表2 1 所示。 表2 - 1r a c e z i p 表表2 - 2z i p 表 表2 - 3r a c e 表 t a b l e2 - jt a b l eo f r a c e z i p t 拍i e2 - 2t a b l eo f z i pt a b l e2 - 3t a b l eo f r a c e r a c ez 口 a s i a n0 2 1 3 8 a s i a n0 2 1 3 9 a s i a n 0 2 1 4 1 a s i a n0 2 1 4 2 b l a c k 0 2 1 3 8 b l a c k0 2 1 3 9 b l a c k0 2 1 4 l b l a c k0 2 1 4 2 啪i t e0 2 1 3 8 w h i l e0 2 1 3 9 讹i t e0 2 1 4 1 鞯毋i r e0 2 1 4 2 r a c e z i p p e r s o n0 2 1 3 8 p e r s o n0 2 1 3 9 p e r s o n0 2 1 4 l p e r s o n0 2 1 4 2 p e r s o n0 2 1 3 8 p e r s o n0 2 1 3 9 p e r s o n0 2 1 4 1 p e r s o n0 2 1 4 2 p e r s o n0 2 1 3 8 p c r s o n0 2 1 3 9 p e r s o n0 2 1 4 1 p e l s o n0 2 1 4 2 _ _ - 。_ _ 。- _ - _ _ _ _ _ _ _ _ - - - _ - _ _ _ 一 r a c ez i p a s i a n0 2 1 3 0 a s i a n( ) 2 1 3 0 a s i a n0 2 1 4 0 a s i a n0 2 j 4 0 b l a c k0 2 1 3 0 b l a c k0 2 1 3 0 b l a c k0 2 1 4 0 b l a r &0 2 1 4 0 w 1 1 i t c0 2 1 3 0 w h i r e0 2 1 3 0 w i i i t e 0 2 1 4 0 w 】1 i t c0 2 1 4 0 表2 2 和表2 3 是基于表2 1 所发布的两个视图，视图中元组的顺序与 基本关系表2 1 中元组的顺序是完全相同的。如果在表2 2 释放之后释放表 2 - 3 ，或是同时释放表2 2 和表2 3 ，那么通过视图组的结合就可以得到表 2 - 1 中元组的具体对应关系，导致基本关系表中敏感信息的泄漏，造成了视 图发布的不安全性。 针对这个问题，作者提出了通过改变元组顺序来消除推理的解决方案， 此方法以关系表中元组的顺序为基础，通过打乱发布视图中的元组顺序， 使得视图组中即使存在公共属性连接，也无法实现基本表中的一对一关系， 因此能够有效地实现视图的安全发布。但是改变顺序法仅对拥有较少元组 的视图有效，当发布视图中存在较多的元组时，元组顺序的改变很可能无 法保护数据，就会导致敏感信息的泄漏。同时改变顺序法解决的问题较为 单一，具有很强的针对性，不可能解决所有基于视图结构信息的信息泄漏 问题。 第2 章现有的解决方法 2 1 2 基于元组个数推理方法 在文献 1 9 】中，攻击者采用了对关联表中元组的个数这一信息进行推理 的方式得到了敏感信息，造成了视图发布的不安全性。 下面通过一个例子加以说明，如表2 - 4 以及表2 5 所示。 表2 4 员工基本信息表表2 - 5n a m e n a t i o n 表 t a b l e2 - 4b a s i ci n f o r m a t i o no f e m p l o y e e st a b l e2 - 5t a b l eo f n a m e - n a t i o n n a m e n a t i o np h o n e l e ea m e r i c a n1 3 7 2 1 5 6 + + + + z h a n g c h i n a1 3 8 8 5 9 2 * * * * w a n g b r i t a i n1 3 8 1 0 5 5 + + t a n g c h i n a1 3 7 8 5 9 3 z h a oa m e r i c a n1 3 1 1 5 8 4 * + t o mc h i n a1 3 2 8 4 7 9 * “l ib r i t a i n1 3 5 8 4 9 2 * + + j i mc a n a d a1 3 6 8 7 4 2 + + + j o h nc a n a d a1 3 7 5 9 4 8 + + l i uc h i n a1 3 9 4 8 7 2 + + + n r i l l cn a t i o n l e ea m e r i c a n z h a n g c h i n a w a n g b r i t a i n t a n g c h i n a z h a oa m e r i c a n t o mc h i n a l i l i b r i t a i n j i m c a n a d a j o h nc a n a d a l i ua l i n a 表2 5 是基于表2 - 4 所发布的一个视图，通过语句v ( n ，n ) ：e m p l o y e e ( n , 坞p ) 来实现。如果此时我们要保密的敏感信息是员工的电话号码，可以通过 查询语句s ( p ) ：- e m p l o y e e ( n ，i l ，p ) 获得这些保密信息。虽然表2 - 5 的发布不会 泄漏出具体的员工的电话号码，但是如果每一个员工仅有一个电话号码的 话，我们可以从视图v 的发布获得敏感信息的数量，尽管信息泄漏程度低， 但仍然是不安全的视图发布。 当基于元组个数的推理方法和具体的实际情况联系在一起，就会在原 有信息泄漏的基础上造成更大的信息泄漏。例如，在上述例子中，由于不 同公司所在的地方不同，因此区代码部分也不一样，由此可以根据不同的 公司所在地进一步确定出电话号码中的某几位数字。信息泄漏的程度就会 在原有基础上就有所增加，造成不安全的视图发布。 9 燕山大学工学硕士学位论文 2 2 针对查询推理消除信息泄漏的方法 2 2 1针对连接查询消除信息泄漏的方法 当不知道视图的结构信息时，通过构造针对视图组的查询也可能得到 基本表中的敏感数据，我们通过一个例子说明。 给定基本的关系表e m p l o y e e ( n a m e ，d e p a r t m e n t ，p h o n e ) ，基于关系表 e m p l o y e e 发布两个独立视图v 1 ( n a m e ，d e p a r t m e n t ) 和v 2 ( d e p a r t m e n t ，p h o n e ) ， 两个视图都是安全的，假设此时敏感信息为e m p l o y e e ( “l e e ”，“a d m i n ”， “1 3 7 * “”) 。如果我们将连接查询作用在独立的视图上，即s e l e c tv 1 n a m e ， v 2 d e p a r l m e n t ，v 2 p h o n ef i o mv ij o i nv 2o nv 1 d e p a r t m e n t = v 2 d e p a r t m e n t = a d m i n 。假设a d m i n 部门仅有5 个员工，且每个员工仅有一个电话号码， 那么我们可以正确获取敏感信息的概率为2 0 。这种信息泄漏是由视图组 构造不合理造成的。 文献 1 9 】和文献e 2 0 是用查询应答法来解决该问题的。所谓查询应答法 就是先确定针对敏感数据的查询s ，然后，用s 对视图组进行查询，如果能 得到基本表中的敏感数据，说明视图组是不安全的。对于不安全的视图组， 我们将禁止视图的释放。确定对敏感数据的查询是查询应答法的关键。在 所有的对敏感数据的查询都能够找到的情况下，这种方法是有效的。但是 在实际应用中，针对敏感数据的查询是很难全部列举出的，所以，查询应 答法很难从根本上解决信息泄漏问题。例如，基于基本关系表e m p l o y e e ( n , d ，p ) ，我们发布视图v ( 由：一e m p l o y e e ( n , d ，p ) ，此时敏感信息可以通过查询 s ( p ) ：- e m p l o y e e ( n , d ，p ) 获得，如果无法获得敏感信息，查询应答法就会认为 此时无信息泄漏。不难发现，这是一个基于元组个数进行敏感信息推理的 问题，如果每一个员工仅有一个电话号码的话，我们可以从视图v 的发布 获得敏感信息的数量，虽然信息泄漏程度低，但仍然是不安全的视图发布。 2 2 2 针对综合查询消除信息泄漏的方法 假设基本表的所有者允许用户对基本表进行c o u n t 以及s a m 查询，但 是不能够获取具体元组的信息，在这种情况下，很可能就会造成信息泄漏。 1 0 第2 章现有的解决方法 下面通过一个例子加以说明。 依次对基本信息表进行查询： ( 1 ) w i t h ( s t a t sw h e r es e x = m 1a sx ：c o u n t ( x ) ( 2 ) w i t h ( s t a t sw h e r es e x = m a n dn o to c c u p a t i o n = p r o g r a m m e r 1a sx ： c o u n t ( x ) ( 3 ) w i t h ( s t a t sw h e r es e x = m ) a sx ：s u m ( x ，s a l a r y ) ( 4 ) w i t h ( s t a t sw h e r es e x = m a n dn o to c c u p a t i o n = p r o g r a m m e r ) a sx ：s u l n ( 墨s a l a r y ) 如果查询的结果是：4 ，3 ，3 2 8 ，2 7 8 ，我们不难发现，同时满足x = m 以及o c c u p a t i o n = p r o g r a m m e r 的元组个数为l ，而且s a l a r y 为5 0 。这样，其 中一个元组的具体信息就被推理出来，造成了信息泄漏。针对这种问题， 文献( 7 j 的解决方法就是将可以提供给用户的信息通过视图发布出来，禁止 用户对基本表的任何查询操作，如表2 - 6 所示。通过视图发布的形式将信息 提供给用户，在实现资源共享的同时也有效地防止了敏感信息的泄漏，实 现了安全的视图发布。 表2 - 6 属性个数统计表 t a b l e2 - 6t a b l e o f s t a t i s t i e sf o r n u m b e r o f a t t r i b u t e s a t r r l b u t cc o u n t m a i c 5 0 f e m a l e 4 0 p r o g r m r m e r 1 4 8 t e a c h e z 7 1 a c c o u n t a n t8 9 s a l a r y 2 1 0 0 0 0 2 2 3 针对求和查询消除信息泄漏的方法 与针对连接查询消除信息泄漏方法不同的是，这里我们采用求和查询 的方式来保护敏感信息。但是采用求和查询的方式仍然会造成信息泄漏。 针对这个问题文献 2 1 】提出了相应的解决办法。对于此类问题我们的判定思 燕山大学工学硕士学位论文 想是：假定一用户u ，要求敏感信息对于用户u 保密。用户通过视图发布 的形式所得到的信息称为可知信息。如果用户u 通过查询的方式在发布视 图的基础上获得了附加信息，可知信息就会增加。如果敏感信息和可知信 息存在相同信息的话，就会危及到视图发布的安全。下面通过一个例子加 以说明，如表2 7 以及表2 - 8 所示。 c i ，c 9 是假定的属性值，表2 - 7 包含了某个属性总费用的详细信息， 表2 - 8 包含了有关某个行业的基本信息，并以视图的形式发布出来。我们要 保密的信息是某个具体领域的费用值，即c 1 ，c 9 。通过将查询语句直接 作用在表2 - 8 上，就可以从数据库中得到一个费用总和，同时通过计算 c 1 + c 2 + c 3 = 2 7 00 0 0 ，c 4 + c 5 + c 6 = 1 2 00 0 0 ，c 7 + c 8 + c 9 = 5 4 00 0 0 ，c 2 + c 5 + c 8 = 5 6 40 0 0 ，c 1 + c 4 + c 7 = 1 8 6 0 0 0 ，c 1 + c 6 + c 8 = 5 1 00 0 0 ，c 1 + c 4 + c 5 - - 9 00 0 0 根 据求解方程组的方法我们可以得出c 1 为$ 6 00 0 0 ，同理我们也可以得到 c 2 ，c 9 。这样，我们要保密的具体某个领域费用的值就被计算出来了， 造成了敏感信息的泄漏。 表2 7 各属性费用表 t a b l e2 71 b m eo f e a c h a l l r i b u t ef e e c o n t r i b u t i n gg r o u p a m o t i n t s t e e l 2 7 00 0 0 s u g a r 1 2 0 0 0 0 0 i l5 4 0 0 0 0 d e m o c r a t s1 8 6 0 0 0 r e p u b l i c a m 5 6 40 0 0 i n d e p e n d e n t s 1 8 0 0 0 0 h ；9 1 1f a v o r i t i s m 5 1 0 0 0 0 l o wf a v o r i t i s m1 7 40 0 0 m e d i u mf a v o r i t i s m2 4 6 0 0 0 n o r t h e a s t9 00 0 0 w e s t3 3 0 0 0 0 s o u t h5 】00 0 0 1 2 第2 章现有的解决方法 表2 - 8 具体部门基本信息表 t a b l e2 - 8t a b l eo f b a s i ci n f o r m a t i o no fs p e c i f i cd e p a r t m e n t c o m r i b u t o rb u s i n e s sa r e ap o l i t i c a ll e a n i n gf a v o r i t i s m g e o g r a p h i c c 1s t e e ld e m o 汀a t h i g i l n o r t h e a s t c 2s t e e l r e p u b l i c a n m e d i u mw e s t c 3s t e e l i n d e p e n d e n t l o w s o u t h c 4 s u g a r d e m o c r a tm e d i u mn o n h e a s t c 5 s u g a r r e o u b i i c a n l o wn o n h e a s f c 6 s u g a ri n d e p e n d e n t h i g i l w e s t c 7o i id e l l o c r a r l s o u t h c 80 1 r e p u b l i c a n h i 窖l i s o u t h c 9o - j i n d e p e n d e n t m e d l u m w e s t 对于此类问题，文献 2 1 】的解决方法是：首先给出针对视图发布安全性 的判定定理以及所能接收的最多查询次数，在此基础上限制对于发布视图 组的查询次数，以此消除对于敏感数据的推理。但是这组查询的规定比较 严格：要求每组查询必须要k 个元素，还必须控制每组查询的重叠元素的 数量小于等于r ( k ：每个查询语句有k 个元素，r ：查询语句间重叠的元素数 量) 。由于对每种属性值的查询推理次数并非完全一致，所以采用以上的方 法很难完全解决所有问题。 2 3 k 匿名保护模型 在问题研究的最初阶段，人们将研究重点放在窃取信息的一方，分析 他们窃取信息的手段以及信息泄漏的各种方式，并提出相应的解决方案。 但是解决方案具有很强的针对性，通用性差，无法较为全面的解决问题，不 利于问题的分析。因此，人们将研究转向发布一方，直接对基本关系表和 保密信息以及敏感信息进行分析，在视图发布之前防止机密信息的泄漏。 这种问题的分析方法，不但可以全面分析各种问题，同时也将问题的研究 从视图发布之后转移到视图发布之前，降低了分析问题的复杂程度，减少 了工作量。 燕山大学工学硕士学位论文 在2 0 0 2 年，l s w e e n e y 提出了一种用来保护私有信息的k 匿名保护模 型口“，用来解决信息泄漏问题。此解决办法就是找出数据持有者能够识别 的可以与外部信息相连接的全部关键属性( 准标识符) ，禁止通过这些属性将 释放信息与外部信息连接在起，以此保证视图安全。如果此种情况无法 避免，那么k 匿名保护模型就会检验此时视图组的连接是否会泄漏具体的 元组信息，也就是说基于某个关键属性的视图表的连接所得的元组必须为k 个( k 筮) 。因为当k 值为1 时，说明此时通过视图表的连接可以得到具体的 元组的信息，完全泄漏出敏感信息，这种情况是不允许的，所以在不满足 判定条件的情况下，k 匿名保护模型就会禁止视图的发布。下面通过一个 例子1 2 3 , 2 4 j 加以说明，如表2 - 9 所示。 表2 - 9k 匿名的例子 t a b l e2 - 9e x a m p l eo f k a n o n y m i t y r a c eb i a hg e n d e rz mp r o b l e m b l a c k1 9 6 50 2 1 4 +s h o r tb r e a t h b l a c k1 9 6 50 2 1 4 c h e s tp a i n b l a c k1 9 6 5f0 2 1 3 h y p e r t e n s i o n b l a c k 1 9 6 5f0 2 1 3 h y p e r t e n s i o n b l a c k 1 9 6 4f0 2 1 3 o b e s i t y b l a c k1 9 6 4f0 2 1 3 +c h e s tp a i n 帆i t e1 9 6 40 2 1 3 +c h e s tp a r e 骱i l e1 9 6 40 2 1 3 + o b e s i t y 珊i r e1 9 6 40 2 1 3 s h o r tb r e a t h w h i t e1 9 6 7