基于属性加密的计算机数据库安全检测工具的设计与运用

基于属性加密的计算机数据库安全检测工具的设计与运用

陈良英

(四川信息职业技术学院ꎬ四川广元６２８０１７)

摘　要:提出网络域数据密匙共享和准入机制ꎬ创建新型数据库密匙架构ꎮ设计了基于数据属性加密的计算机数据库安全检测工具ꎬ就数据库数据进行属性加密ꎬ重组加密文件关键序列架构ꎬ在传统ＣＤＭ数据线性规划算法的基础上ꎬ引入加密文件序列信息ꎬ设计ＴＲＩＥ树结构ꎬ将数据序列项转换为字母ＩＤꎬ利用存储容器存储数据项ꎬ建立Ａｐｒｉｏｒｉｔｙ数据序列索引ꎬ并生成索引检索数据表ꎬ通过数据库扫描ꎬ对异常项进行隔离ꎬ实现数据库安全检测ꎮ仿真实验数据显示ꎬ应用上述检测工具ꎬ数据库文件误用异常检测率提高了１７％ꎬ伪装攻击拦截率提高２０％ꎬ可以肯定有效地提高计算机数据库信息的安全性ꎮ

关键词:新型密匙架构ꎻ属性加密ꎻ数据库ꎻ误用检测ꎻ安全检测

中图分类号:ＴＰ３０９.７　　　　　　文献标识码:Ａ　　　　　　ＤＯＩ:１０.１９３５８/ｊ.ｉｓｓｎ.２０９６￣５１３３.２０２０.０４.００６３０￣３５.

引用格式:陈良英.基于属性加密的计算机数据库安全检测工具的设计与运用[Ｊ].信息技术与网络安全ꎬ２０２０ꎬ３９(４):

Ｄｅｓｉｇｎａｎｄａｐｐｌｉｃａｔｉｏｎｏｆｃｏｍｐｕｔｅｒｄａｔａｂａｓｅｓｅｃｕｒｉｔｙ

ｄｅｔｅｃｔｉｏｎｔｏｏｌｂａｓｅｄｏｎａｔｔｒｉｂｕｔｅｅｎｃｒｙｐｔｉｏｎ

(ＳｉｃｈｕａｎＶｏｃａｔｉｏｎｌＣｏｌｌｅｇｅｏｆＩｎｆｏｒｍａｔｉｏｎＴｅｃｈｎｏｌｏｇｙꎬＧｕａｎｇｙｕａｎ６２８０１７ꎬＣｈｉｎａ)

ｔｅｃｔｕｒｅ.Ａｃｏｍｐｕｔｅｒｄａｔａｂａｓｅｓｅｃｕｒｉｔｙｄｅｔｅｃｔｉｏｎｔｏｏｌｂａｓｅｄｏｎｄａｔａａｔｔｒｉｂｕｔｅｅｎｃｒｙｐｔｉｏｎｉｓｄｅｓｉｇｎｅｄ.Ｔｈｅｄａｔａｂａｓｅｄａｔａｉｓｅｎｃｒｙｐｔｅｄｂｙａｔ￣ｔｒｉｂｕｔｅｓａｎｄｔｈｅｋｅｙｓｅｑｕｅｎｃｅｓｔｒｕｃｔｕｒｅｏｆｅｎｃｒｙｐｔｅｄｆｉｌｅｓｉｓｒｅｏｒｇａｎｉｚｅｄ.ＯｎｔｈｅｂａｓｉｓｏｆｔｈｅｔｒａｄｉｔｉｏｎａｌＣＤＭｄａｔａｌｉｎｅａｒｐｒｏｇｒａｍｍｉｎｇａｌ￣ｇｏｒｉｔｈｍꎬｔｈｅｅｎｃｒｙｐｔｅｄｆｉｌｅｓｅｑｕｅｎｃｅｉｎｆｏｒｍａｔｉｏｎｉｓｉｎｔｒｏｄｕｃｅｄꎬｔｈｅＴＲＩＥｔｒｅｅｓｔｒｕｃｔｕｒｅｉｓｄｅｓｉｇｎｅｄꎬｔｈｅｄａｔａｓｅｑｕｅｎｃｅｉｔｅｍｓａｒｅｃｏｎｖｅｒ￣ｒｅｓｕｌｔｓｓｈｏｗｔｈａｔｔｈｅａｐｐｌｉｃａｔｉｏｎｏｆｔｈｅａｂｏｖｅ￣ｍｅｎｔｉｏｎｅｄｄｅｔｅｃｔｉｏｎｔｏｏｌｓｃａｎｉｎｃｒｅａｓｅｔｈｅｄｅｔｅｃｔｉｏｎｒａｔｅｏｆｄａｔａｂａｓｅｆｉｌｅｍｉｓｕｓｅｂｙ１７％ｐｕｔｅｒｄａｔａｂａｓｅｉｎｆｏｒｍａｔｉｏｎ.

ｔｅｄｔｏｌｅｔｔｅｒＩＤ.ＴｈｅｓｔｏｒａｇｅｃｏｎｔａｉｎｅｒｉｓｕｓｅｄｔｏｓｔｏｒｅｄａｔａｉｔｅｍｓꎬｔｈｅＡｐｒｉｏｒｉｔｙｄａｔａｓｅｑｕｅｎｃｅｉｎｄｅｘｉｓｅｓｔａｂｌｉｓｈｅｄꎬａｎｄｉｎｄｅｘｒｅｔｒｉｅｖａｌａｎｄｔｈｅｉｎｔｅｒｃｅｐｔｉｏｎｒａｔｅｏｆｃａｍｏｕｆｌａｇｅａｔｔａｃｋｂｙ２０％.Ｉｔｃａｎｂｅｃｏｎｆｉｒｍｅｄｔｈａｔｔｈｉｓｍｅｔｈｏｄｃａｎｅｆｆｅｃｔｉｖｅｌｙｉｍｐｒｏｖｅｔｈｅｓｅｃｕｒｉｔｙｏｆｃｏｍ￣Ｋｅｙｗｏｒｄｓ:ｎｅｗｋｅｙａｒｃｈｉｔｅｃｔｕｒｅꎻａｔｔｒｉｂｕｔｅｅｎｃｒｙｐｔｉｏｎꎻｄａｔａｂａｓｅꎻｍｉｓｕｓｅｄｅｔｅｃｔｉｏｎꎻｓｅｃｕｒｉｔｙｄｅｔｅｃｔｉｏｎ

ｄａｔａｔａｂｌｅｓａｒｅｇｅｎｅｒａｔｅｄ.Ｔｈｒｏｕｇｈｄａｔａｂａｓｅｓｃａｎｎｉｎｇꎬａｎｏｍａｌｙｉｔｅｍｓａｒｅｉｓｏｌａｔｅｄｔｏａｃｈｉｅｖｅｄａｔａｂａｓｅｓｅｃｕｒｉｔｙｄｅｔｅｃｔｉｏｎ.ＴｈｅｓｉｍｕｌａｔｉｏｎＡｂｓｔｒａｃｔ:Ｉｎｔｈｉｓｐａｐｅｒꎬｗｅｐｒｏｐｏｓｅａｄａｔａｋｅｙｓｈａｒｉｎｇａｎｄａｃｃｅｓｓｍｅｃｈａｎｉｓｍｉｎｎｅｔｗｏｒｋｄｏｍａｉｎꎬａｎｄｃｒｅａｔｅａｎｅｗｄａｔａｂａｓｅｋｅｙａｒｃｈｉ￣

ＣｈｅｎＬｉａｎｇｙｉｎｇ

０　引言

我国信息技术研究起始于２０世纪６０年代ꎮ经过数十年的发展ꎬ已经融入到我国国民生活的各个角落ꎮ现阶段我国互联网相关领域和技术正在不断与社会接轨ꎬ我国正处于高速发展的信息时代ꎮ信息社会使个人和企业之间以数据信息的形式进行交流ꎬ这就让现代互联网数据信息量不断增长ꎮ在这样一个数据量激增的时代ꎬ企业和个人均会产生巨大的数据资源ꎬ这些数据资源的存储离不开数３０

据库ꎮ社会中的个人和企业ꎬ均与数据库存在紧密的关系ꎬ不仅个人的财政信息如银行卡余额、身份证号码等存在于数据库中ꎬ大量企业信息甚至是涉及国家高度军事机密或重要数据也存在于数据库中ꎮ然而因为现代互联息具有巨大的潜在价值ꎬ其存储位置相对集聚性较强ꎬ不法分子针对数据库的网络攻击往往可以获取最直接有效的攻击效果ꎬ数据２０１８年ꎬＶｉｒｅｒｚｏｎ公司发布了«２０１８年度数据库泄露库已经成为非法人员进行资源窃取的首要攻击目标ꎮ

«信息技术与网络安全»２０２０年第３９卷第４期

ＮｅｔｗｏｒｋａｎｄＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ•网络与信息安全

报告»ꎬ该报告是由Ｖｉｒｅｒｚｏｎ公司以及３９家合作企业共同完成的ꎬ其中包括了著名数据网站Ｄｅｌｏｕｔｉ、ＥＭＣ、Ｃｈｅｔｋ、Ｉｎｔｏｕｅｒｃｅ、Ｆｒｏｉｎｔ公司等ꎮ报告内容显示ꎬ仅２０１８年上半年ꎬ全球就发生了９４５起较大型２０１７年相比数量增加了１３３％ꎮ为了有效降低安全隐患ꎬ现代计算机数据库的管理人员必须对数据库进行安全检测ꎬ消除安全隐患ꎮ传统情况下ꎬ针对计算机数据库安全检测工具一般基于数据代码和数据密匙ꎬ这种检测手段在初期虽然取得了一定效果ꎬ但是随着入侵技术的提高ꎬ对数据库安全隐患的隔离率ꎬ已经不能满足数据库维护的需要ꎮ针对这一情况ꎬ设计提出了以属性加密为核心的计算机数据库安全检测工具ꎬ维护计算机系１　计算机数据库安全检测工具设计

设计的安全检测工具主要分为三个部分:一是文件属性加密部分ꎬ设计通过生成公有和私有密匙进行文件属性加密ꎻ二是加密文件数据序列索引ꎬ对加密文件进行序列重组ꎻ最后利用数据文件建立ＴＲＩＥ树结构ꎬ根据索引序列进行数据迁移ꎬ即完成数据检测ꎮ

１.１　文件属性加密

基于属性的加密机制是现代云计算网络以及分布式等环境下ꎬ对数据中心数据库进行访问控制的主体研究热点之一ꎮ因为现代计算机数据库一般均采用分布式处理结构ꎬ而且在多分部机构ＡＢＥ中ꎬ一般不会采用授权的管理方式ꎬ所以在对数据库全局身份标识进行共谋攻击时ꎬ身份全局管理会出现一定的安全隐患ꎮ而设计的计算机数据库安全检测攻击引入了一种新型的文件属性加密方案ꎬ用户在进行多项密匙申请时ꎬ可以根据用户自身的指令协要ꎬ实现用户标识不公开ꎬ提高属性加密效果ꎮ

设计提出的文件属性加密主要基于新型的密匙架构ꎬ加密方案将密匙主要分为两个部分即域内密匙和域外密匙ꎮ域内密匙的生成ꎬ主要是通过具有域内密匙属性的授权加密机构(ＡＡ)进行密匙授权ꎮＡＡ会为当前加密用户提供一个特质的属性密匙ꎮ而域外密匙则需要域内属性密匙原本数据代码完成ꎬ详细的域内和域外密匙分发方案如表１所示ꎮ

统数据库的安全[１]ꎮ

的数据泄露事件ꎬ共计导致４５亿条数据泄露ꎬ与

密匙ＣＫａＳＫａＰｋｉ

表１密匙组成数据表

数据表述授权属性公共密匙授权属性私有密匙属性共有密匙用户属性密匙

密匙功能建立信任关系

创建加密文件属性公共密匙

加密文件解密文件

ＳｋＩｕ

每一个数据库授权结构均有一个相应代码下的加密公共密匙和一个私有密匙ꎮ具有通信链路的不同授权书信机构之间ꎬ可以在密匙建立的初期ꎬ通过密匙信息共享建立公共密匙的信任链路ꎮ数据库每一个网络域的属性授权机构ꎬ如果要建立加密ꎬ需要具有信任域中所有区域的属性授权机构公共密匙信息ꎮ详细密匙授权架构如图１所示[２]ꎮ

图１　网络域内属性密匙分布架构图

根据图１可以看出ꎬＡＡ１具有自身的公共密匙和私有密匙ꎬ同时获取了其他域内的私有密匙ꎬ可以直接用于生成具有管理属性的公共密匙ꎬ以及文件加密的私有密匙ꎮ对于每一个文件网络域属性ꎬ都有一个公共密匙ꎬ用于加密文件ꎮ一个文件数据的管理者可以根据访问策略ꎬ利用不同域内属性的公共密匙进行数据加密ꎮ具体方案为:

令数据Ｎ＝ｐ１ｐ２ｐ３ꎬ其中ｐ１ｐ２ｐ３为素数ꎬＧ和

ＧＴ分别为数据Ｎ的双线数据群ꎬ用ｅ:Ｇ×Ｇ→ＧＴ表示加密数据未知结构下数据线性映射ꎮ在ＡＡ中生成用户数据文件标识ꎬ映射到Ｇ文件中的群元素中ꎬ另外制定数据外定义下的有限数据文件哈希函数集合ꎬ每一个ＡＡ生成的私有密匙ꎬ均需要存在于且仅存在于哈希函数集合中ꎬ对文件属性进行处理[３]ꎮ需要着重说明的是ꎬ该方案主要基于文件属性多数字阶层的群构造ꎬ但是所有的Ｇ文件均需要存在于子群中ꎮ文件属性加密操作如下ꎮ

(１)ＧｌｏｂａｔＳｅｔｕｐ(ＧＰ)ꎬ输入安全性参数λꎬ根

据参数生成全局性公共参数ＧＰꎬ选择一阶ＧＰ为数据Ｎ的实际下述线性数据集群ꎮ在ＧＰ中ꎬ主要包括数据ＮꎬＧｐ１的生成源ｇ１ꎬ以及随机属性加密函

３１

«信息技术与网络安全»２０２０年第３９卷第４期

网络与信息安全•ＮｅｔｗｏｒｋａｎｄＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ

数的Ｈ１和Ｔ１表述ꎮ

(２)ＡｕｔｈｅｒｙＳｅｔｕｐ(ＡＰ):根据属性授权机构密

法进行有效识别ꎮ设计针对加密文件的密匙序列[５]ꎬ对其进行文件关键序列架构重组ꎮ因为加密属性文件具有明显的封闭开源性ꎬ所以设计提出了Ａｐｒｉｏｒｉｔｙ封闭性数据索引架构ꎮ整个架构采用集中式数据管理ꎬ包括序列程序检索、序列存储以及序列引源的建立ꎮ这种索引数据架构的相对配置资源较为简单ꎬ配置体系和操作整体较为便捷ꎬ其架构如图２所示ꎮ

匙执行下的初始化进程ꎬ每一个授权单位均需要选择一个随机指数ꎻ从上述建立的哈希函数集中生成一个具有一致性的随机函数ꎬ将这个函数作为属性授权机构的索引ꎬ也就是授权机构的加密密匙ꎬ则属性授权机构的私有密匙表示为ＳＫａꎬ公有密匙表示为ＣＫａꎬ而ＩＤＡ则表示为当前属性授权机构的身份编码ꎮ其表达公式为:

ＳＫａ＝[Ｓａꎬｘａꎬ∀ａ]

ａ

１

ｓＨＣＫａ＝[ｇ１(ＩＤＡ)ꎬ∀ａ]

(１)(２)

构需要根据网络域属性进行公参ꎬ属性标识以及授权属性私有密匙生成ꎬ其中:则Ｐｋｉ的生成公式可以表示为:

Ｐｋｉ＝{Ｐｋｊｅ(ｇ１ꎬｇ２)ｓ(Ｈ

ａ

ｘａ

(３)Ａｕｔｏ￣ａｔｔａｃｋｅｒ:因为属性公共密匙的授权机ＩＤｊ＝ＩＤＡπＩＤ

(３)

(ＩＤｊ))

ꎬＰＫｇｉＨｘａ(ｉｄｊ)}

的身份表示属性和对应编码生成ꎬ而ＩＤＡ则主要表示为授权机构内的身份编码ꎮ文件属性的多样化全局加密标识ꎬ使得属性标识是整个局域任域中唯一的验证性标识ꎬ所以每个公共属性标识在信任域中ꎬ也具有唯一性[４]ꎮ根据全局加密表示ꎬ设计为加密用户提供了全局身份标识ꎬ此标识由当前数据库和使用用户所在域的ＡＡ标识组成ꎮ在ＩＤＡ下ꎬ使用用户需要申请属性标识ꎬ而且设计为了实现使用用户标识的全网唯一性ꎬ会为使用用户提供一个不同属性编码ꎮ在加密过程中ꎬ加密工具会首先检查使用者身份是否具有属性授权机构的负责项ꎬ然后验证使用者的实际身份ꎬ检测是否具备属性授权的可能性ꎬ如果不可以则输出结果为空ꎬ反之则生成数据密匙ꎮ

(４)Ｄｅｃｒｙｐｔ:针对属性密匙的机密算法为ＣＴ输

公式(４)中的属性身份标识ＩＤｊ主要是由ＡＡ

(４)

图２序列索引架构示意图

设计的索引序列架构从索引功能上来说包括四个索引单元分别为:Ａｐｒｉｏｒｉｔｙ底层数据管理单元、Ａｐｒｉｏｒｉｔｙ数据序列交换单元、Ａｐｒｉｏｒｉｔｙ并行序列解析单元、Ａｐｒｉｏｒｉｔｙ文档数据解析单元[６]ꎮ

Ａｐｒｉｏｒｉｔｙ底层数据管理单元主要负责帮助安全

检测管理工具的使用用户ꎬ建立正常的加密数据文件序列索引库ꎬ将使用者提交的加密数据文档和文档序列号ꎬ利用镜像索引结构进行数据准压缩、数据合并以及数据优化ꎮ另外Ａｐｒｉｏｒｉｔｙ底层数据管理单元还可以针对使用用户提交的各类加密文件索引语句进行密匙解读ꎮ

Ａｐｒｉｏｒｉｔｙ数据序列交换单元主要负责对加密文

件序列索引用户的各类处理结果进行回馈ꎬ包括数据输入文档的检索信息以及数据高亮分页处理等ꎮ该序列交换命令的解析包括整个索引库的数据分配过程ꎬ使用用户在进行操作时ꎬ用户界面和后台服务界面会进行数据资源管理器之间的数据串联ꎬ同步传递状态命令质量检测等ꎮ此外数据序列交换单元还包括对当前加密信息的综合判断ꎬ并与后台相关联[７]ꎮ

而Ａｐｒｉｏｒｉｔｙ并行序列解析单元和Ａｐｒｉｏｒｉｔｙ文档

出密文ꎬ全局参数ꎮ同一个身份标识ꎬ用户的机密属性密匙集具有外部相似性ꎮ如果使用者的属性密匙满足加密时的访问控制要求ꎬ则可以完成属性解密ꎮ

１.２　建立Ａｐｒｉｏｒｉｔｙ数据序列索引架构

利用上述方式对数据库文件进行加密后ꎬ原本的序列架构会被打乱ꎬ在进行安全检测过程中ꎬ无３２

数据解析单元ꎬ则主要负责将各类加密文件的序列文档进行集聚汇总ꎬ通过提取文档解析分析内

«信息技术与网络安全»２０２０年第３９卷第４期

ＮｅｔｗｏｒｋａｎｄＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ•网络与信息安全

容ꎬ获取明确的文件标识码ꎬ进而生成解析序列ꎮ在进行序列解析过程中ꎬ需要对加密数据进行准确的数据描述和数据整理ꎬ利用适当的数据索引源进行有序数据文件标记ꎮ这些标记后的特征数据可以作为检测工具中所有特征数据索引字段的数据集合ꎬ根据数据集合中的索引项ꎬ可以将索引序列进行割裂操作ꎬ然后生成数据序列文档ꎮ序列内容包括序列用户名称、序列存储量、序列数据量、序列３所示ꎮ

生成日期、序列格式文档ＩＤ、序列存储位置等ꎬ如图

要ꎬ对当前计算机数据库内属性加密信息制备检索数据ꎬ如表２所示ꎮ

表２　Ａｐｒｉｏｒｉｔｙ数据序列索引检索数据表

名称文档用户名文档内存量文档数据量文档生成日期文档格式相关操作人员ＩＤ

文档分类文档存储位置

是否存储１.００１.００１.００１.００１.０００.０００.００１.００

是否索引１.０００.０００.００１.０００.００１.００１.０００.００

有无分词１.００１.０００.０００.００１.００１.００１.０００.００

１.３　检测工具完成

线性规划算法[８]ꎬ设计基于上述数据序列索引架构和加密文件域名架构ꎬ对其进行改进ꎬ提出新的ＴＲＩＥ树算法ꎬ完成数据库的检测ꎮＴＲＩＥ树结构最

图３　索引数据集合

目前数据库安全检测算法一般采用ＣＤＭ数据

０ꎮ结构的第Ｎ层节点会指向第Ｎ＋１层的数据节点ꎬ其指向针被称之为检索数据边ꎮ每一个数据边都用对应的字母或者ＩＤ表示ꎮ例如节点Ａ指向节点Ｂꎬ则认为Ａ节点是Ｂ节点的母系节点ꎬＢ节点是Ａ节点的子系节点ꎮ因为ＴＲＩＥ树结构不仅可以有效存放检索单次项ꎬ还可以存放各种序列集ꎮ具体方法就是将ＴＲＩＥ树的节点或者边作为有序序列集的子项ꎬ此时ＴＲＩＥ树各个路径就可以与序列重合ꎮ根据上述操作ꎬ设计将生成的Ａｐｒｉｏｒｉｔｙ数据序列作为序列项ꎬ生成序列网格ꎮ在进行数据项集发掘时ꎬ利用字母代替加密数据序列项集ꎬ这样就可以将加密数据序列表示成由字母构成的单次项ꎮ图４为存放了选项集的一个ＴＲＩＥ树结构ꎮ

早被用于高效检索字典结构ꎮ其根深度被定义为

在建立Ａｐｒｉｏｒｉｔｙ数据序列索引时ꎬ需要针对不同的文档索引格式提出相应的属性要求ꎮ

是否可以进行有效存储:数据索引是否完全包含加密数据序列ꎬ即数据系列数据集是否存在于数据索引存储中ꎮ这种存储方式需要完全符合小型文本文档内容的域名格式ꎬ否则很容易引起索引序列的索引量过载ꎮ

是否可以进行有效索引:如果当前加密数据的索引序列无法被正确索引ꎬ那么数据库安全检测工具的使用人员就需要在该数据源上进行分配数据检测ꎬ例如加密文档存储位置检索ꎬ文档数据分类检索ꎬ生成额外的检索条件ꎮ

是否出现明确的检索分词:检索分词主要表现为按照某种特定的分词计划进行数据切取后ꎬ可以从数据中匹配到的属性关键词ꎮ这种关键词可以有效提高搜索结果的精确度ꎮ部分加密数据检索属性无法作为关键词使用ꎬ如数据文档生成和归档日期等ꎮ

根据当前加密数据的索引序列和具体检索需

图４　五个选项集下的ＴＲＩＥ树结构

«信息技术与网络安全»２０２０年第３９卷第４期

３３

网络与信息安全•ＮｅｔｗｏｒｋａｎｄＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ

根据ＴＲＩＥ树结构ꎬ对当前加密数据文件序列事物进行存储ꎬ存储容器为ＣＥＣＴＯＲ(􀆺􀆺)ꎬ此时选择安全精简事物记录ꎬ该记录需要默认程序选择ꎮ精简记录存储容器为ｍａｐ<ＣＥＣＴＯＲ<􀆺􀆺>ꎬｕｎｓｉｇｎｅｄｅｒｌｏｎｇ>ꎮ

进行多次数据库扫描后ꎬ数据库本体数据项会

行误用异常数据输出ꎬ并利用实验对比的两种工具进行检测ꎬ其检测结果如图５所示ꎮ

存在于存储容器中ꎮ这里的精简事物即只存在于数据库中的频繁数据项ꎮ此时重复数据将被计数ꎬ以此建立数据公式:

σｅｑ≤[σｅｑ]１

ìïｓｈｅｌｌｅｌｅｍｅｎｔ:ï

Ｔｍａｘ≤[Ｔｍａｘ]１í

ï

îＢｅａｍｅｌｅｍｅｎｔ:σｂ≤[σｂ]１

{}

üïïýïþ

(５)

图５　误用异常检测率对比

根据图５数据可以看出ꎬ应用设计的属性加密计算机数据库安全检测工具ꎬ对误用异常检测具有较好的检测效果ꎮ根据数据统计可以确定ꎬ其数据库文件误用异常检测率提高了１７％ꎬ可以证明其有效性ꎮ

２.２　伪装攻击检测

伪装攻击是对当前数据库进行主动攻击活动的总称ꎮ伪装攻击检测ꎬ主要验证检测工具的鲁棒性ꎮ实验共进行了１０组有效的伪装攻击ꎬ其拦截率如表３所示ꎮ

表３　伪装攻击拦截率

序号１２３４５６７８１０９

属性加密/％

９６９５９１.３８９９３９１９３９７９２９７

ＣＴＭ/％７２８０７６７７７０７５７２８１８０７６

高项序列和最低项序列ꎻＴｍａｘ和[Ｔｍａｘ]１分别为数据库扫描后的最大存储和最小存储ꎻσｂ和[σｂ]１数据边的两个极值ꎮ根据公式(５)数据库本体文件序列会完全迁移到数据容器中ꎬ当出现安全问题项或者未加密数据项时ꎬ该项无法生成加密序列ꎬ同时无法被迁移ꎬ通过文件基数ꎬ即可为探知ꎬ检测宣告完成ꎮ２　仿真实验

为验证本文设计的基于属性加密的计算机数据库安全检测工具的实际检测效果ꎬ进行有效性试验检测ꎮ通过对预设目标进行多范围多角度数据攻击ꎬ获取检测数据ꎬ进而证明该工具的实际有效性ꎮ在试验过程中ꎬ模拟样本数据建立数据库ꎮ使用ＣＴＭ数据检测工具作为对比组ꎬ进行检测效果对比ꎮ检测包括误用异常检测和伪装攻击检测两部分ꎬ具体实验数据如下ꎮ２.１　误用异常检测

误用异常检测时ꎬ主要检测对象为每条用户日志以及聚簇规则是否完全匹配ꎬ以下为实验检测定义ꎮ

定义１　如果当前数据库文件的一条日志记录与当前聚簇规则的两侧规则均具有统一性ꎬ则认定其具有匹配规则ꎮ

定义２　一个加密数据文件如果其加密序列不符合当前聚簇规则ꎬ则其可信度加权值作为异常检测值出现ꎮ

根据定义１和定义２ꎬ以实验数据库为目标ꎬ进３４

公式中σｅｑ、[σｅｑ]１分别为当前数据库数据最

根据以往的数据拦截经验ꎬ当拦截率高于９０％时ꎬ可以认定为绝对拦截ꎬ此时处于绝对安全状态ꎻ当拦截率为７５％~９０％时ꎬ为次拦截属于基本安全状态ꎻ当拦截率低于７０％时ꎬ数据库为危险状态ꎮ根据实验数据可以看出ꎬ应用属性机密的安全检测工具ꎬ拦截率均高于９０％ꎬ数据库处在绝对安全状

«信息技术与网络安全»２０２０年第３９卷第４期

ＮｅｔｗｏｒｋａｎｄＩｎｆｏｒｍａｔｉｏｎＳｅｃｕｒｉｔｙ•网络与信息安全

态ꎬ比传统ＣＴＭ检测工具拦截率提高了２０％以上ꎬ进一步证明了其有效性ꎮ３　结论

数据库信息安全ꎬ是数据库建设和维护的核心工作之一ꎮ对国民生产和经济保障具有重要意义ꎮ本文基于属性加密ꎬ提出了新型数据库数据安全检测工具ꎬ可以有效提高数据库安全保障ꎬ具有实际应用价值ꎮ参考文献

[１]黄保华ꎬ贾丰玮ꎬ王添晶.云存储平台下基于属性的数据[２]罗云锋ꎬ熊伟ꎬ许庆光.一种基于属性加密的数据保护与[３]杜朝晖ꎬ朱文耀.云存储中利用属性基加密技术的安全

５３￣５６.１６７￣１７３.

[４]王乐ꎬ王芳.数据库异常数据的检测仿真研究[Ｊ].计算[５]林素青.支持访问更新的可验证外包属性加密方案[Ｊ].[６]主艳姣ꎬ李艳平ꎬ鲁来凤ꎬ等.云存储环境下支持用户动

态撤销的属性加密方案[Ｊ].陕西师范大学学报(自然科学版)ꎬ２０１８ꎬ４６(５):１￣８.

[７]刘熙ꎬ胡志勇.基于Ｄｏｃｋｅｒ容器的Ｗｅｂ集群设计与实[８]邓宇乔ꎬ杨波ꎬ唐春明ꎬ等.基于密文策略的流程加密研

究[Ｊ].计算机学报ꎬ２０１９ꎬ４２(５):１０６３￣１０７５.

(收稿日期:２０１９￣１１￣０７)

现[Ｊ].电子设计工程ꎬ２０１６ꎬ２４(８):１１７￣１１９.网络与信息安全学报ꎬ２０１９ꎬ５(１):３７￣４９.机仿真ꎬ２０１６ꎬ３３(１):４３０￣４３３.

８６０￣８６５.

库访问控制策略[Ｊ].计算机科学ꎬ２０１６ꎬ４３(３):

访问控制模型[Ｊ].网络安全技术与应用ꎬ２０１７ꎬ２(９):

作者简介:

陈良英(１９８１－)ꎬ女ꎬ硕士ꎬ副教授ꎬ主要研究方向:计算机应用ꎮ

数据检索方案[Ｊ].计算机应用研究ꎬ２０１６ꎬ３３(３):

«信息技术与网络安全»２０２０年第３９卷第４期

３５