数据安全与隐私保护 课件 第5章-身份认证与访问控制

第5章身份认证与访问控制5.1问题导入

医疗数据作为国家基础性的战略资源，已经被正式纳入国家发展战略，成为医疗领域的核心资产。借助数据分析工具对医疗数据进行挖掘、分析，能够更加准确地诊断和治疗疾病，预测患者的健康状况，辅助医生进行临床决策，提高工作效率。为了保护医疗数据的安全、防止隐私泄露，如何制定科学合理的医疗数据访问策略，既不能影响医生正常的数据访问，又能防止因授权过度导致一些医生窥探或窃取患者隐私是一个重要问题。5.2常用身份认证技术

身份认证技术是在计算机网络中确认操作者身份的关键过程，它通过一系列方法来验证用户身份，确保操作者是数字身份的合法拥有者，防止未经授权用户的访问和使用。

●根据用户所知道的信息，来证明自己的身份（你知道什么），例如口令、密码等。

●根据用户所拥有的东西，来证明自己的身份（你有什么），例如印章、智能卡等。

●根据用户的生物特征，来证明自己的身份（你是谁），例如指纹、声音、视网膜等身体特征，或签字、笔迹等行为特征。

●运用密码学技术通过第三方，证明自己身份的合法性（中间人），例如数字身份认证。5.2常用身份认证技术

5.2.1静态口令认证1.静态口令认证的概念静态口令认证是较常用的一种技术，它是基于“你知道什么”的验证手段，如图所示。用户首先在系统中注册自己的用户名和登录口令，系统将用户名和口令存储在内部数据库中，这个口令一般是长期有效的。5.2常用身份认证技术

2.静态口令认证的优缺点静态口令认证使用简单，部署和使用成本低。大多数系统都提供了对静态口令认证的支持，使静态口令认证成为一种简单、普遍和可行的方法。然而，用户每次访问系统时都要以明文方式输入口令，口令容易泄露，口令在传输过程中可能被截获；当用户访问多个不同安全级别的系统时，都要求用户提供口令，用户为了便于记忆，往往会采用相同的口令，一旦其中一个系统的口令被破解，就会造成所有口令的泄露。5.2常用身份认证技术

5.2.2短信密码认证1.短信密码认证的概念短信密码认证是指以手机短信形式请求密码后，身份认证系统生成6位随机的动态密码，并以短信形式发送到用户的手机上，用于验证用户身份的一种安全验证方式。如图所示，客户在登录或者交易认证时候输入此动态密码，从而确保系统身份认证的安全性，它是基于“你有什么”的方法。5.2常用身份认证技术

2.短信密码认证的优缺点由于短信密码生成与使用场景是物理隔离的，因此密码在通路上被截取的概率较低，短信密码认证具有较高的安全性。只要手机能接收短信即可使用，用户收到验证码输入几个数字即可，大大降低短信密码技术的使用门槛，使其成为一种非常方便的身份验证方式。但短信密码认证受限于移动信号覆盖区域，存在通信延迟，有时受手机软件的影响，验证短信可能被作为垃圾短信拦截，影响正常的身份认证。5.2常用身份认证技术

5.2.3智能卡认证1.智能卡认证的概念智能卡是将一个集成电路芯片镶嵌于塑料基片中，封装成卡的形式，其外形与覆盖磁条的磁卡相似。因其超小的体积、先进的集成电路芯片技术以及特殊的保密措施和难以破译及仿造的特点受到人们的普遍欢迎。智能卡的芯片可以用来存储和传输数据，芯片中通常存有与用户身份相关的数据，可以通过验证智能卡中的数据来确认用户身份，如图所示。5.2常用身份认证技术

5.2.4生物认证1.生物认证的概念生物认证技术是指利用计算机将光学、声学、生物统计学原理和生物传感器等高科技手段密切结合，通过人体固有的生物特性（如指纹、面部、虹膜等）和行为特征（如笔迹、声音、步态等）来进行个人身份的鉴定技术。生物认证系统首先对用户的生物特征进行取样，提取其唯一的特征后转化成数字代码，再组合成特征模板。当用户与认证系统交互进行身份确认时，认证系统获取其特征并与数据库中的特征模板进行比对，以确定是否匹配，从而决定接受或拒绝该用户。5.2常用身份认证技术

2.指纹识别指纹识别技术是把一个人同他的指纹对应起来，通过对他的指纹和预先保存的指纹进行比较，验证他的真实身份，如图所示。相比于其他身份认证技术，指纹识别系统的制造和部署成本较高，涉及到传感器设备、算法软件和数据库的建设与维护。5.2常用身份认证技术

3.声纹识别声纹识别属于生物识别技术，也称为说话人识别，包括说话人辨认和说话人确认，或语音识别。声纹识别技术就是把声信号转换成电信号，再用计算机进行识别，与数据库中已有的声纹样本进行对比，再根据语音特征判断是否是同一个人，如图所示。5.2常用身份认证技术

4.人脸识别人脸识别是基于人的脸部特征信息进行身份识别的一种生物识别技术。面部特征具有稳定性和唯一性，用摄像机或摄像采集含有人脸的图像或视频流，并自动在图像中检测和跟踪人脸，再根据人脸提取出身份特征，最后将该特征与事先已经存储的样本进行比对，从而识别出个人身份，如图所示。人脸识别系统主要包括四个组成部分，即人脸图像采集及检测、人脸图像预处理、人脸图像特征提取、匹配与识别。5.2常用身份认证技术

5.虹膜识别虹膜识别技术是根据人眼中的虹膜部位进行身份认证，如图所示。人眼由虹膜、视网膜和晶状体等构成，虹膜处于眼角膜内部白色巩膜和黑色瞳孔之间，包含有很多相互交错的斑点、细丝、冠状、条纹、隐窝等的细节特征。虹膜在人类胚胎发育时期就已经确定，终身保持不变，这些特征决定了虹膜特征的唯一性，同时也决定了身份识别的唯一性，这就是以虹膜为基础的生物识别系统具有有效性的真实原因。5.3数字身份认证

5.3.1数字证书的概念和特点1.数字证书的概念在网络信息系统中，数字身份认证模型起着关键作用，用户申请服务资源，首先通过通信信道将数字证书传输到认证模块，认证模块作为中间人，负责验证用户身份的真实性。5.3数字身份认证

2.数字证书的作用数字证书是一种用于加密和验证数据的安全工具，可以确保数据的安全性、真实性和完整性，保护用户信息不被窃取和篡改，提供更高的保护和安全性。数字证书在现代通信和互联网领域起着重要的作用，主要用于身份认证、数据加密、数据完整性验证、电子签名和网站安全。5.3数字身份认证

3.数字证书的特点数字证书能够为用户提供身份认证服务，主要有安全、便捷、即时、唯一性、不可逆、权限限制和可销毁性的七个特点。基于数字证书的以上特点，数字证书广泛应用于电子商务和电子政务领域，其应用范围涉及需要身份认证及数据安全的各个行业，包括传统的商业、制造业、流通业的网上交易，以及公共事业、金融服务业、工商税务、海关、政府行政办公、教育科研单位、保险、医疗等网上作业系统。5.3数字身份认证

5.3.2数字证书的工作原理1.数字证书生成生成数字证书的过程有两方要参与，即用户（主体）和签发者（证书机构）。用户向证书机构提交证书申请，由证书机构生成用户的数字证书。生成过程分为以下几个步骤。第一步：密钥生成。第二步：注册。第三步：验证。第四步：证书生成。5.3数字身份认证

2.数字证书验证当用户收到数字证书后，会对数字证书的真实性和完整性进行验证，具体验证过程包括以下几个步骤，如图所示。（1）用户将数字证书中除最后一个字段外的所有字段输入消息摘要算法（哈希算法）。（2）用户从数字证书的最后一个字段中取出证书机构的数字签名，并使用其公钥对该数字签名进行解密，得到证书机构生成的消息摘要MD2。（3）用户比较MD1和MD2的一致性，如果一致，则数字证书是可信的，否则用户不信任该证书并拒绝它。5.3数字身份认证

3.数字证书撤销数字证书是一种用于身份验证和加密通信的数字凭证，它具有一定的有效期。在一些特定情况下，数字证书是可以被撤销的，主要原因包括：①证书持有人的私钥泄露②证书持有人的身份信息变更等③证书颁发机构的撤销决定，或者证书本身存在安全隐患，也可以主动对证书进行撤销。5.3数字身份认证

5.3.3数字证书的分类1.根据主体对象分类根据主题对象的不同，数字证书可分为个人身份证书、企业或机构身份证书、支付网关证书、服务器证书、企业或机构代码签名证书和安全电子邮件证书，这些证书都有各自的特点和适用范围。5.3数字身份认证

2.根据技术角度分类根据数字证书技术的不同，CA中心发放的证书可以分为安全电子交易证书和安全套接层证书。（1）安全电子交易证书也称为SET证书，服务于持卡消费和网上购物。SET证书是采用SET协议，符合X.509标准的数字安全证书。（2）安全套接层证书也称为SSL证书，服务于银行对企业或企业对企业的电子商务活动。SSL证书是采用SSL协议（安全套接字层协议），在浏览器用户端和Web服务器之间建立起安全通道，让网站信息传输加密进行。5.4访问控制核心技术

5.4.1访问控制概述1.访问控制的概念访问控制是实现既定安全策略的系统安全技术，目标是防止对数据资源进行非授权访问。非授权访问包括未经授权的使用、泄露、修改、销毁及颁发指令等。通过访问控制技术可以限制对关键资源的访问，防止非法用户的侵入或因合法用户的不慎操作所造成的破坏。5.4访问控制核心技术

2.访问控制的原理访问控制的主要功能是保证合法用户访问受权保护的网络资源，防止非法的用户进入受保护的网络资源，或防止合法用户对受保护的网络资源进行非授权的访问。访问控制首先需要对用户身份的合法性进行验证，同时利用控制策略进行选用和管理工作。当用户身份和访问权限验证之后，还需要对越权操作进行监控。因此，访问控制的内容包括身份认证、控制策略的具体实现和安全审计三部分，其原理如图所示。5.4访问控制核心技术

5.4.2访问控制策略和机制1.访问控制策略访问控制策略主要有两种：传统的访问控制策略和基于角色的访问控制策略，传统的访问控制策略又分为自主访问控制策略和强制访问控制策略。（1）自主访问控制策略自主访问控制是在确定主体身份以及它们所属组的基础上，根据访问者的身份和授权来决定访问模式，对访问进行限定的一种控制策略。它允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体。拥有客体权限的用户，也可以将该客体的权限分配给其他用户。5.4访问控制核心技术

（2）强制访问控制策略强制访问控制是一种基于强制访问控制策略建立的访问控制类型，根据客体的敏感标记和主体的访问标记对客体访问实行限制的一种方法。它根据访问控制策略，分别赋予主体和客体一个特殊的安全标记，主体的安全标记反映了主体可信的程度，客体的安全标记则与其包含信息的敏感度一致。强制访问控制的“强制”体现在系统独立于主体强制执行访问控制，主体不能修改客体的属性，主体不能将自己的部分权限授予其他主体，由系统或管理员按照严格的安全策略事先设置主体权限和客体安全属性。5.4访问控制核心技术

（3）基于角色访问控制策略自主访问控制策略的优点是具有相当的灵活性，但是安全级别相对较低；强制访问控制策略的优点是管理集中，但是实现工作量较大，管理不便，不适用于主体或客体经常更新的应用环境。基于角色的访问控制策略是实施面向企业安全策略的一种有效的访问控制方式，它对系统操作的各种权限不是直接授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合，每一种角色对应一组相应的权限，通过管理角色来管理权限。一旦用户被分配了适当的角色后，该用户就拥有此角色的所有操作权限。5.4访问控制核心技术

2.访问控制机制访问控制机制是指对主体访问客体的权限或能力的限制，以及限制进入物理区域和限制使用计算机系统和计算机存储数据的过程。访问控制机制可以分为基于访问控制表的访问控制机制、基于能力的访问控制机制、基于矩阵的访问控制机制、基于标签的访问控制机制4种类型，一般通过授权、安全标签、口令和证书等鉴别信息、提出访问的时间或路由、以及存放对等实体访问权的方法控制信息库等方法来实现。5.4访问控制核心技术

（1）基于访问控制表的访问控制机制访问控制表是以客体为中心建立的访问权限表，它是从客体角度进行设置的、面向客体的访问控制，每个客体有一个访问控制列表，用来说明有权访问该客体的所有主体及其访问权限，如图所示。5.4访问控制核心技术

（2）基于能力的访问控制机制访问控制能力表（CL,CapabilitiesList）是访问主体拥有的属性标签，它授权持有者以特定的方式访问特定的目标，发起者的访问控制信息是他可以访问的目标和对目标进行的操作。其基本思想是只有某个主体对某个客体拥有准许访问的能力时，才允许其访问该客体。能力是由一种机制保护的客体标签，标记了客体以及访问者对客体的权限，如图所示。5.4访问控制核心技术

（3）基于矩阵的访问控制机制访问控制矩阵（ACM,AccessControlMatrix）是用矩阵的形式描述访问控制策略的机制，矩阵的行表示客体，列表示主体，行和列的交叉点表示某个主体对某个客体的访问权限，即主体可以对客体执行的动作或功能，访问控制矩阵如表所示。通过访问控制矩阵，无论是根据主体还是客体，都可以查到对应的权限。进行访问时，通过访问控制来选择允许或拒绝的操作。访问控制矩阵的每一列都是一个访问控制列表ACL，每一行都是一个访问控制能力表CL。访问控制矩阵易于实现，但是查找和实现起来有一定的难度，如果用户和文件系统要管理的文件很多，访问控制矩阵将变得巨大而臃肿，效率很低。5.4访问控制核心技术

（4）基于标签的访问控制机制基于标签的访问控制机制是最基本的一种网络安全机制，用于保护系统资源免受未经授权的访问，使用安全标签来描述主体和客体的属性，这些属性包括主体或客体的安全级别、组织归属、角色等，通过比较主体和客体的标签属性，可以确定是否允许访问。基于标签的访问控制机制支持多级安全，可以定义不同级别的访问权限，如一个系统包含公开、秘密、机密三个级别，不同级别的主体和客体可以通过比较安全标签来确定是否允许访问。同时，通过调整安全标签，能够动态调整主体对客体的访问权限。5.4访问控制核心技术

5.4.3基于角色访问控制1.角色的概念基于角色的访问控制（RBAC）是通过定义角色的权限，为系统中的主体分配角色来实现访问控制的。角色（role）定义为与一个特定活动相关联的一组动作和责任，系统中的主体担任角色，完成角色规定的责任，具有角色拥有的权限，用户、角色、权限3者之间的关系如图所示。5.4访问控制核心技术

2.基于角色访问控制的概念基于角色访问控制的基本思想是不直接把对系统操作的各种权限授予具体的用户，而是在用户集合与权限集合之间建立一个角色集合，每一种角色对应一组相应的权限。通过引入角色的概念，无须在每次创建用户时都进行分配权限的操作，只要给用户分配相应的角色就能完成授权。而且角色的权限变更比用户的权限变更更少，极大地简化了对用户的权限管理的复杂度，减少系统的开销。5.4访问控制核心技术

3.基于角色访问控制的原则和特点在基于角色访问控制模型中，通过角色将用户和权限关联起来，简化了权限管理的复杂度。为了保证访问控制的安全性，同时定义了最小权限原则、责任分离原则和角色互斥原则，以防止过度授权、责任集中和角色包含等问题。因此，基于角色访问控制通过角色控制来实现权限的管理和分配，从而来保护数据安全，具有以下三个特点：（1）以角色作为访问控制的主体：用户具有的角色，决定了用户拥有的权限以及可执行的操作。（2）角色继承：基于角色访问控制中利用角色之间的层次关系提高授权效率，避免相同权限的重复设置。（3）最小特权原则：在基于角色访问控制中，可以根据组织机构内的规章制度、职责分工等设计拥有不同权限的角色，只有角色需要执行的操作才授权给角色。5.4访问控制核心技术

4.基于角色访问控制模型的分类基于角色访问控制RBAC模型包括4个模型，即RBAC0、RBAC1、RBAC2、RBAC3，如图所示。5.4访问控制核心技术

5.CoreRABC模型RBAC0模型也称为CoreRABC模型，是RBAC模型的核心模型，模型结构如图所示。在该模型中，定义了基于角色访问控制的5个基本元素——用户、对象、操作、权限、角色，以及一个动态的概念——会话。5.4访问控制核心技术

6.HierarchalRBAC模型RBAC1模型也称为层次RBAC模型、HierarchalRABC模型，是RBAC0模型的扩展模型，模型结构如图所示。RBAC1模型在角色中引入继承的概念，构建了角色层次结构，把角色分成若干个等级，每个等级的角色分配不同的权限，能够实现更细粒度的权限管理。5.4访问控制核心技术

7.ConstraintRBAC模型RBAC2模型也称为约束RBAC模型、ConstraintRABC模型，是RBAC1模型的扩展模型，模型结构如图所示。在RBAC2模型中引入了职责分离机制，用以调节角色之间的权限冲突。5.4访问控制核心技术

5.4.4基于属性访问控制基于属性的访问控制是一种适应于开放环境下的访问控制技术，它通过安全属性来定义授权，而不需要预先知道访问者的身份。安全属性是实体的一些与安全相关的特征，能够较好地适应开放环境。基于属性的访问控制能根据相关实体属性的动态变化，实时更新访问控制策略，提供一种细粒度、更灵活的访问控制方法，能够解决复杂信息系统中的细粒度访问控制和大规模用户动态扩展问题，能够较好地适应开放式环境，模型结构如图所示。5.4访问控制核心技术

5.4.5基于密码学访问控制1.基于密钥管理的访问控制根据访问控制系统所支持的能够发送数据的用户数量，可以分为基于单发送者广播加密的访问控制和基于公钥广播加密的访问控制。（1）基于单发送者广播加密的访问控制广播加密技术是指在一组目标参与方之间安全地建立密钥，只有授权的参与方才能获得密钥来解密数据，未授权的参与方无法获得关于密钥的信息，甚至多个未授权参与方合谋也无法获得密钥来解密数据。（2）基于公钥广播加密的访问控制针对任意接收者集合加密和共享数据，提出了公钥广播加密技术，它将单发送者广播加密技术中的方法扩展到公钥体制中，并使广播加密方案的密钥和密文数据总量等指标接近单发送者广播加密方案。5.4访问控制核心技术

2.基于属性加密的访问控制（1）基于密文策略的属性加密在基于密文策略的属性加密中，使用属性刻画用户的资格，由数据的加密方来制定密文访问策略，以决定谁可以解密密文。用户的私钥与一系列属性相关，密文与访问结构相关联，将访问策略嵌入到密文中，用户属性嵌入到密钥中，信息拥有者可以规定密文访问策略，只有用户的属性符合密文的访问结构才能解密密文，结构如图所示。5.4访问控制核心技术

2.基于属性加密的访问控制（2）基于密钥策略的属性加密在基于密钥策略的属性加密中，由属性来描述密文，并将策略嵌入到用户的密钥中。密文与一组描述性属性相关联，用户的私钥与一个访问结构相关联，将访问策略嵌入到密钥中，文件属性嵌入到密文中，当密文中的属性集满足用户私钥中的访问策略时，密文才能够被解密，结构如图所示。5.4访问控制核心技术

5.4.6访问控制管理1.集中式管理集中式管理是由一个管理员集中设置访问控制策略的模式。当用户对信息的需求发生变化时，只能由管理员改变用户的访问权限。由于只有极少数人有更改访问权限的权力，所以这种控制是比较严格的。每个用户的账号都能够被集中监控，所以用户的权限可以很容易被变更、修改、甚至撤销，用户的权限修改过程也能够随时和执行标准相一致。但是，当机构内用户很多、且频繁发生权限变更和修改时，管理员的工作负担和压力就会很大，影响管理效率。5.4访问控制核心技术

2.分布式管理分布式管理是把访问的控制权交给资源的拥有者或创建者进行管理的模式。一般来在组织架构内部，由职能部门的管理者来负责，即把控制权交给对数据信息负有直接责任、对信息的使用最熟悉、最有资格判断谁需要信息的管理者手中。这种模式有时会导致执行访问控制的过程和标准上的不一致，在特定时刻很难确定整个系统所有的用户的访问控制情况。不同管理者在实施访问控制时的差异，会造成控制的相互冲突以致无法满足整个机构的需求。5.4访问控制核心技术

3.混合式管理混合式管理是集中式管理和分布式管理相结合的模式。由集中式管理负责整个机构中基本的访问控制，由职能管理者根据所负责的资源对用户进行具体的访问控制。这种管理方式的灵活性大，系统管理员和职能管理员能有效地分别控制自己的访问策略。混合式管理的主要缺点是难以划分哪些访问控制应集中控制，哪些应在本地控制。5.5大数据访问控制技术

5.5.1云环境下的访问控制技术1.云环境下的访问控制模型在云环境下，数据面临数据集中化带来的隐私泄漏风险和用户行为不可控带来的数据安全威胁，访问控制技术成为保障云环境下数据安全的关键技术之一。云计算环境分为用户（租户）、云平台、网络基础环境3部分，用户和云平台之间要通过访问控制规则和访问控制模型进行访问管理，云平台和网络基础环境之间采用访问控制规则。5.5大数据访问控制技术

2.基于多因素身份验证的访问控制技术在云环境中，利用多因素身份验证访问控制技术，能够实现对访问服务的安全管理，即使攻击者窃取了用户的密码，也无法获得其他必要的认证凭据，最终也无法访问用户的资源。这不仅增加了用户账户的安全性，还降低了由于密码泄露导致的数据安全风险。在云数据存储中，通过多因素身份验证的访问控制策略，可以更加有效地限制非法人员进入，确保只有授权人员才能接触到核心设备和数据。5.5大数据访问控制技术

3.基于数据加密的访问控制技术数据加密技术是实现数据安全的重要手段，通过对原始数据进行编码，其无法被未授权的用户解读，从而保护数据的私密性和完整性。结合访问控制策略，加密技术可以确保只有经过身份验证并具备相应权限的用户才能解密和访问数据。根据在访问控制中使用的加密技术的不同，可以分为基于属性加密的访问控制策略、密文策略的属性加密、双线性映射加密策略、同态加密策略。5.5大数据访问控制技术

4.基于零信任安全模型的访问控制技术在基于零信任安全模型的访问控制技术中，将零信任策略作为访问控制的策略，假设所有用户都是不可信，任何用户只要访问资源就必须经过严格的认证和授权，即对网络中任何用户、设备或应用程序都不存在默认被信任，都需要经过身份验证和授权才能访问数据资源，其核心思想是永不信任，始终验证。5.5大数据访问控制技术

5.基于云用户行为评估的访问控制技术基于云用户行为评估的访问控制技术通过评估用户行为风险，计算用户信任度，并将信任度作为用户的一个属性，通过结合用户信任度的访问控制策略动态调整用户的资源和服务访问权限，框架结构如图所示。5.5大数据访问控制技术

5.5.2开源系统CryptDB1.CryptDB的系统架构CryptDB的系统架构包含两个部分：数据库代理服务器（Proxy）和数据库管理系统（DBMS）。在CryptDB的架构中，应用程序的服务器把相关请求发送给数据库的Proxy，Proxy经过适当的加解密以及查询改写后，再转发给DBMS。同时，在Proxy中会存储一个主密钥MK、数据库的schema以及所有字段的洋葱模型所处于的洋葱层。其中，schema是一组相关联的数据库对象，这些对象包含表、字段、字段类型、索引、外键等，这些对象通过SQL语法连接。洋葱模型是一种多层加密算法模型，采用多种不同类型的加密算法对用户的数据进行多层嵌套加密。5.5大数据访问控制技术

在DBMS里，只能看到匿名后的schema（表名以及字段名都使用另外的标示符替代）、加密后的用户数据以及一些CryptDB需要使用的辅助数据。另外，CryptDB也会在DBMS中安装一些用户自定义的函数（UDF,User-DefinedFunctions），通过UDF使DBMS可以在密文上进行一些特定的操作，系统结构如图所示。5.5大数据访问控制技术

2.CryptDB的加密方案CryptDB构建了一套SQL-aware加密方案，其中包含5种加密算法和4种洋葱模型，使得数据被加密后，仍然保存一定的数据特征，能够支持各种SQL操作。（1）确定性加密算法：确定性加密算法不含有随机因素，对于相同的明文，产生的密文是一致的，但这种加密方式所产生的密文，数据库服务器能够对其进行等价性检查，能够在密文环境下支持SQL的分类、统计、连接等操作。（2）保序加密算法：保序加密算法对数据项加密后，仍然能够保留数据项在加密前的排序关系，因而能够在密文环境下支持SQL的最大值、最小值和分类排序等操作。5.5大数据访问控制技术

（3）同态加密算法：同态加密算法允许服务器对加密后的数据进行计算，然后将计算结果在Proxy上进行解密，得到的解密结果和直接在原始数据上进行计算的结果一致。（4）联结加密算法：CryptDB中支持两种不同的联结加密算法操作，一种是基于等价性的联结操作（Equi-Joins），另一种是基于排序大小的联结操作（Range-Joins）。为支持对两个加密后的字段进行Equi-Joins操作，对这两个字段加密时应使用相同的密钥，来保证服务器能够在这两个字段中查找到匹配的数值。（5）搜索加密算法：搜索加密算法主要用来支持SQL中进行指定模式的搜索，使其能够在加密后的数据上进行搜索的操作。5.5大数据访问控制技术

在CryptDB系统中，还提出了4种洋葱模型，即Eq洋葱、Ord洋葱、Search洋葱、Add洋葱，每一个洋葱模型都会对数据进行1-3次的加密操作。最后，在CryptDB中所有字符串类型的数据都会分别使用Eq洋葱、Ord洋葱、Search洋葱进行加密，而所有数字类型的数据都会经过Eq洋葱、Ord洋葱、Add洋葱的加密，每一项数据都会被进行相应的扩展。5.5大数据访问控制技术

3.CryptDB的查询流程在CryptDB中，数据库管理系统DBMS中存储的数据都是加密的，并且都进行了相应的扩展。因此，在CryptDB中应用服务器发送的查询请求，必须进行相应的改写，才能获得相应的查询数据，具体流程包括请求发送、状态检测、模型调整、请求改写等8个步骤，如图所示。5.6案例分析

基于风险自适应的访问控制技术在医疗数据中的应用在大数据时代是先有数据、后有应用，数据在采集和存储时无法预先知道所有的数据应用场景，安全管理员无法获知访问行为带来的风险和收益的关系，很难预先定义恰当的访问控制策略。为解决这种严格执行静态策略的访问控制技术存在的问题，冯登国、李昊提出了风险自适应的访问控制技术，将访问控制中隐含的风险概念明确化，根据访问行为带来的风险，动态地赋予访问权限。该方法的实施过程主要分为两个步骤，即用户行为风险量化和访问控制实施。5.6案例分析

1.用户行为风险量化风险量化是通过计算以数值的形式评估访问行为对系统造成的风险，它是基于风险来实施访问控制的前提。进行风险量化的前提是选择合理的风险量化要素，以及设定科学的风险计算方法。常用的风险量化方法是基于协同过滤的动态风险量化方法。该方法的主要思想是利用用户的历史访问行为来构建正常用户的访问行为画像，并以此为风险量化的基准，然后计算每次用户访问行为与该基准的偏离程度作为风险量化值，即访问行为偏离基准越