ĐẠI HỌC QUỐC GIA TP HCM TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN PHẠM THỊ BẠCH HUỆ NGHIÊN CỨU VÀ PHÁT TRIỂN MỘT SỐ GIẢI PHÁP BẢO MẬT VÀ BẢO VỆ TÍNH RIÊNG TƯ TRONG CƠ SỞ DỮ LIỆU THUÊ NGỒI (ODBS) Chun ngành: KHOA HỌC MÁY TÍNH Mã số: 62.48.01.01 TĨM TẮT LUẬN ÁN TIẾN SĨ CƠNG NGHỆ THƠNG TIN TP HỒ CHÍ MINH – 2013 Cơng trình hoàn thành Trường Đại học Khoa học Tự nhiên, ĐHQG TP HCM Người hướng dẫn khoa học: PGS TS ĐỒNG THỊ BÍCH THỦYPGS TS Nguyễn Đình Thúc Đồng hướng dẫn: PGS TS NGUYỄN ĐÌNH THÚC TS Trần Đan Thư Phản biện 1: PGS TS TRẦN VĂN LĂNG Phản biện 2: TS TRẦN NAM DŨNG Phản biện 3: TS ĐẶNG TRƯỜNG SƠN Phản biện độc lập 1: GS TS VŨ ĐỨC THI Phản biện độc lập 2: TS VŨ TUYẾT TRINH Luận án bảo vệ trước Hội đồng chấm luận án cấp sở họp Trường Đại học Khoa học Tự nhiên, ĐHQG TP HCM vào hồi ngày tháng năm 2013 Có thể tìm hiểu luận án thư viện Quốc Gia Việt Nam, thư viện Trường Đại học KHTN - ĐHQG TP HCM GIỚI THIỆU Mở đầu Cách quản lý sở liệu (viết tắt CSDL) truyền thống chủ sở hữu liệu (Data Owner - DO) tự đầu tư tài nguyên để lưu trữ quản lý liệu họ Khi đó, chi phí quản lý liệu cao làm tăng chi phí hoạt động tổ chức Xu hướng việc quản lý liệu sử dụng dịch vụ quản lý CSDL thuê (Outsourced Database Service - ODBS) DO đầu tư tài nguyên cho việc lưu trữ quản lý liệu mà thuê nhà cung cấp (Service Provider - SP) thực điều Chi phí hoạt động tổ chức giảm đáng kể để họ trung vào hoạt động yếu Có bốn loại thực thể tham gia vào hệ thống ODBS: (1) Chủ sở hữu liệu (Data Owner - DO): người tạo làm chủ liệu (2) Máy chủ: máy tính đặt SP có nhiệm vụ lưu trữ quản lý liệu DO (3) Người dùng: cá nhân hay ứng dụng truy cập CSDL lưu máy chủ theo quyền DO cấp (4) Máy khách: thiết bị đầu cuối có nhiệm vụ tiếp nhận yêu cầu (từ DO người dùng) giao tiếp với máy chủ để đáp ứng cho yêu cầu nhận (Hình 1) Ở máy chủ SP Ở máy khách Gửi/ thao tác liệu CSDL DO Gửi/ nhận siêu liệu Tìm kiếm Người dùng Hình Mơ hình chung ODBS Thơng qua máy khách, DO gửi CSDL đến SP, yêu cầu máy chủ SP cập nhật CSDL DO gửi siêu liệu đến người dùng để người dùng làm việc với hệ thống Máy khách cịn có chức tiếp nhận câu truy vấn từ người dùng, yêu cầu máy chủ thực truy vấn xử lý kết trả từ máy chủ để có kết cuối Trong luận án, quan tâm trường hợp SP thực thể nhất, chọn mô hình SMS (Single data owner-Multiple clients-Service provider) làm bối cảnh nghiên cứu Theo mơ hình SMS, DO th SP lưu trữ quản lý CSDL, ngồi DO cịn có nhiều người dùng truy cập CSDL (Hình 2) Do máy chủ SP xem không đáng tin cậy, trình tương DO tác thực thể ODBS Máy chủ thông qua mạng diện rộng, nên ODBS đối diện với nhiều vấn đề bảo mật Người dùng bảo vệ tính riêng tư Mục tiêu đề tài Hình Mơ hình SMS Vì lý trên, với trình khảo sát trạng vấn đề bảo mật bảo vệ tính riêng tư cụ thể ODBS, nghiên cứu phát triển giải pháp cho bốn toán sau: • Bảo vệ tính riêng tư người dùng (User privacy): đảm bảo thông tin câu truy vấn (mà người dùng thực hiện) kết truy vấn không bị tiết lộ máy chủ không tin cậy SP • Bảo vệ tính riêng tư liệu (Data privacy): giúp DO giới hạn quyền truy cập số trường nhạy cảm CSDL, giảm chi phí quản lý truy cập, tạo thuận lợi cho người dùng tương tác với hệ thống • Xác thực (Authentication): đảm bảo thông tin đăng nhập người dùng không bị tiết lộ máy chủ, ngăn chặn công thường gặp trình xác thực máy khách máy chủ • Ghi nhật ký hệ thống (Auditing): giúp việc ghi nhật ký hệ thống phục vụ giải trình (khi cần thiết) mà khơng làm vi phạm tính bí mật liệu tính riêng tư người dùng chứa đựng liệu nhật ký Những đóng góp luận án Các đóng góp luận án gồm: • Bảo vệ tính riêng tư người dùng: Đề xuất phương pháp thực thi truy vấn bảo vệ tính riêng tư người dùng giúp ngăn chặn máy chủ thực công dạng thống kê tần suất thực truy vấn (statistical attacks) làm vi phạm tính riêng tư người dùng ([CT1], [CT2]) • Bảo vệ tính riêng tư liệu – Cơ chế quản lý truy cập mức cột: Đề xuất chế quản lý truy cập mức cột FGAC giúp DO giới hạn quyền truy cập số trường nhạy cảm CSDL, giảm chi phí quản lý truy cập, tạo thuận lợi cho người dùng tương tác với hệ thống ([CT7], [CT4]) Đề xuất cải tiến FGAC, gọi EFGAC, nhằm nâng cao hiệu quản lý truy cập ngữ cảnh CSDL có nhiều biến đổi [CT3] • Bài tốn xác thực: luận án đề xuất chế xác thực lẫn người dùng máy chủ nhằm phát trường hợp người dùng không hợp lệ mạo danh máy chủ Cơ chế đề xuất giúp đảm bảo tính riêng tư người dùng (user privacy), ngăn chặn công kiểu nghe (eavesdropping), công theo kiểu lặp lại (replay attacks), công kiểu cướp quyền điều khiển (hijacking attacks) Kết trình bày cơng trình [CT5] • Ghi nhật ký hệ thống: luận án đề xuất nghi thức ghi nhật ký tìm kiếm liệu nhật ký (để phục vụ giải trình cần thiết) dùng cho ODBS đảm bảo tính bí mật liệu tính riêng tư người dùng [CT6] CHƯƠNG - HIỆN TRẠNG VẤN ĐỀ BẢO MẬT VÀ BẢO VỆ TÍNH RIÊNG TƯ TRONG ODBS Với tốn bảo vệ tính riêng tư người dùng, u cầu đặt ta cần bảo vệ câu truy vấn mà người dùng thực CSDL kết truy vấn Giải pháp cho toán bảo vệ tính riêng tư người dùng thể qua phương pháp thực thi truy vấn Các phương pháp thực thi truy vấn CSDL mã hóa có sử dụng cho mục tiêu bảo vệ tính bí mật liệu mà khơng thể dùng cho mục đích bảo vệ tính riêng tư người dùng ([6], [32], [26], [43], [50]) Lý máy chủ thực công thống kê tần suất thực câu truy vấn kết hợp thông tin biết với câu truy vấn thực với tần suất cao, để suy ngữ nghĩa câu truy vấn mà người dùng thực Điều làm vi phạm tính bí mật liệu tính riêng tư người dùng Tính riêng tư liệu bảo vệ chế quản lý truy cập Sử dụng giải pháp quản lý truy cập có, DO gặp phải khó khăn sau: (1) Khơng thể giới hạn quyền truy cập người dùng số thuộc tính nhạy cảm CSDL (2) DO thường xuyên phải xây dựng lại cấu trúc quản lý khóa, phát sinh lại khóa, mã hóa lại liệu có thay đổi người dùng, tài nguyên quyền truy cập hệ thống (3) DO thường xuyên giải tốn thay khóa (rekey) trường hợp không cần thiết ([2], [3], [13], [18]) Khi thay khóa, DO phải tải liệu từ máy chủ (nếu DO không lưu lại liệu), phát sinh lại khóa, mã hóa lại liệu, phân phối lại khóa cho người dùng có liên quan Việc thay khóa gây tốn nhiều chi phí Nghi thức xác thực cần thiết dịch vụ ODBS Trong nhiều ứng dụng thực tế, thông tin đăng nhập người dùng tiết lộ danh tính người dùng Trong ODBS, tính riêng tư người dùng phải đảm bảo, máy chủ Các nghi thức xác thực có khơng đặt mục tiêu bảo vệ tính riêng tư người dùng chứa đựng thơng tin đăng nhập; tất hoạt động sở máy chủ biết xác định danh người dùng đăng nhập hệ thống nên áp dụng ODBS ([8], [12], [22], [38], [39]) Bài toán ghi nhật ký tìm kiếm liệu nhật ký (để phục vụ giải trình cần thiết) ODBS Mike Burmester cộng nêu với yêu cầu gần trái ngược nhau, vừa đạt mục tiêu giải trình hoạt động diễn hệ thống, vừa đảm bảo tính bí mật liệu tính riêng tư người dùng [7] Bài toán ghi nhật ký hệ thống ODBS chưa cộng đồng nghiên cứu quan tâm CHƯƠNG - BẢO VỆ TÍNH RIÊNG TƯ NGƯỜI DÙNG Câu truy vấn kết truy vấn chứa thông tin riêng tư người dùng Ví dụ, ta biết người dùng u thường xuyên truy cập loại thuốc đó, ta đốn bệnh u Để bảo vệ tính riêng tư cho người dùng u, cần đảm bảo khơng có chủ thể khác u, kể máy chủ DO, biết câu truy vấn kết truy vấn u thực CSDL 2.1 Đề xuất phương pháp thực thi truy vấn bảo vệ tính riêng tư người dùng - UPP Chúng đề xuất phương pháp thực thi phép toán ĐSQH đảm bảo tính riêng tư người dùng, đặt tên UPP (User Privacy Protection), sở vận dụng phương pháp mã hóa liệu chuyển đổi điều kiện truy vấn đề xuất Hacigümüs cộng [26] Kết chúng tơi cơng bố cơng trình ([CT1], [CT2]) 2.1.1 Tổ chức liệu [26] Một quan hệ r với lược đồ quan hệ R(A1, A2, …, An), ký hiệu r(R) Ký hiệu R+ để tập tất thuộc tính quan hệ r(R): R+ = {A1, A2, …, An} Ứng với quan hệ r, DO tạo quan hệ rS có lược đồ quan hệ là: RS(tS, A1S, A2S, …, AnS) Trong đó, tS lưu giá trị mã hóa chuỗi tạo thành cách ghép giá trị dòng liệu r, AiS mục tương ứng với thuộc tính Ai nhằm phục vụ cho việc xử lý truy vấn (có liên quan đến thuộc tính A) CSDL máy chủ Việc xây dựng quan hệ rS từ quan hệ r dựa hàm sau đây: hàm phân hoạch (partition function), hàm định danh (identification function), hàm ánh xạ (mapping function) (xem phần 2.2) Hình 2.1 Hình minh họa cách thức mã hóa liệu [26] 2.1.2 Cách thức chuyển đổi điều kiện truy vấn [26] Điều kiện truy vấn C chuyển đổi hàm chuyển đổi điều kiện truy vấn, ký hiệu Mapcond(C), với tham số điều kiện C thuộc trường hợp sau: • Attribute = Value: Mapcond(Ai = v) ⇒ AiS = MapAi(v) • Attribute < Value: Mapcond(Ai < v) ⇒ AiS ∈ Map