23、数据外包中的信息保护：现状与未来展望

数据外包中的信息保护：现状与未来展望

1. 分布式计算中的数据权限管理

在分布式计算中，数据持有者之间的数据发布权限管理至关重要。有一种简单而强大的方法用于规范数据发布权限，确保查询处理仅披露明确授权的数据。
- 数据披露与权限表示 ：数据披露通过与每个数据计算相关联的配置文件来捕获，这些配置文件描述了发布关系所携带的信息。而允许的数据发布则通过简单的权限来表示，这些权限可以高效组合，且不会导致隐私泄露。
- 图形表示与算法 ：为权限和配置文件提供了简单的图形表示，便于实施安全追踪过程。同时，还提出了一种算法，该算法可以根据给定的查询计划，确定其是否可以安全执行，并生成安全的查询规划。这种方法的主要优点是简单性，在不影响表达能力的情况下，使其与分布式数据库系统中当前的协作计算解决方案具有良好的互操作性。

分布式查询优化通常分两步进行：
1. 查询优化器识别一个好的计划，类似于为集中式系统生成的计划。
2. 将操作分配给系统中的不同服务器。

所提出的算法很好地适应了这种两阶段结构。可以与查询优化器合并，在优化器构建计划时计算候选者，并在第二阶段为优化器计算执行器。

2. 信息保护的三个关键方面

信息保护主要聚焦于三个特定方面：访问控制执行、隐私保护和安全数据集成。
- 访问控制执行
- 基本模型 ：提出了一种基于访问控制与密码学相结合的访问控制模型。为了提高数据访问效率，采用了密钥派生方法，并定义了密钥派生的适当层次结构。
- 扩展模型 ：该基本模型进行了扩展，以方便支持服务器端的策略更新，同时减轻数据所有者的负担。解决方案基于两个不同的加密层，较低层由数据所有者直接管理，用于执行初始访问控制策略；较高层由远程服务器管理，用于在不直接干预数据的情况下执行对原始策略的更新。
- 隐私保护
- 约束与实现 ：设计了一种支持关系数据库隐私保护要求管理的技术。该方法基于通过机密性约束来表示这些要求，并通过加密和碎片化来实施。机密性约束定义为一组属性，非授权用户不能同时看到这些属性。通过解决机密性约束，确保没有约束是片段模式的子集，并通过加密公共属性来防止片段之间的连接，从而实现隐私保护。
- 算法选择 ：提出了不同的碎片化算法，可根据设计时已知的系统工作负载信息，生成良好的碎片化方案。
- 安全数据集成
- 权限定义与组合 ：提出了一种用于规范各方在集成信息源时数据流的方法。集成机制基于对协作服务器在关系模式组件上的访问权限的表征，并在分布式查询评估中执行这些权限。访问权限定义为对数据的视图，可流向给定服务器。为了避免对关系模式中访问权限的完整枚举带来的高成本，提出了一种无信息泄漏的访问权限组合算法。
- 权限执行 ：通过在查询评估过程中控制数据交换来执行访问权限。为此，提出了一种算法，可用于生成满足（基本或组合）访问权限的查询执行计划。

下面是信息保护三个方面的总结表格：
| 方面 | 核心内容 | 实现方法 |
| ---- | ---- | ---- |
| 访问控制执行 | 结合访问控制与密码学，支持策略更新 | 密钥派生，两层加密 |
| 隐私保护 | 管理数据库隐私要求 | 机密性约束，加密和碎片化 |
| 安全数据集成 | 规范数据集成中的数据流 | 访问权限组合，控制数据交换 |

mermaid流程图展示信息保护流程：

graph LR
    A[信息保护] --> B[访问控制执行]
    A --> C[隐私保护]
    A --> D[安全数据集成]
    B --> B1[密钥派生]
    B --> B2[两层加密]
    C --> C1[机密性约束]
    C --> C2[加密和碎片化]
    D --> D1[访问权限组合]
    D --> D2[控制数据交换]

3. 未来研究方向

信息保护领域仍有许多值得深入研究的方向，主要集中在访问控制执行、隐私保护和安全数据集成三个方面。

3.1 访问控制执行

• 管理写操作 ：现有的基于选择性加密的访问控制系统，虽然能管理访问控制执行和动态策略更新，但假设访问操作仅为只读。在多所有者场景下，每个所有者有权修改自己拥有的数据部分，同时可以读取更大范围的外包资源。因此，需要扩展现有模型，放宽访问为只读的假设，设计一个能够有效管理多所有者场景的系统。目前关于数据外包场景中完整性的工作，虽然保证只有授权用户可以执行写操作，但不适合多所有者场景，因为它们不允许管理员向不同用户授予选择性写权限。
• 访问控制策略的保密性 ：现有的访问控制执行机制利用密钥派生层次结构和令牌，虽然大大简化了密钥管理，但引入了与策略机密性相关的新漏洞。公共可用的令牌和密钥派生层次结构会暴露用户与授权访问资源之间的关系，以及所有者希望执行的授权策略。在许多情况下，策略本身应被视为机密信息。为了解决这个问题，一种直接的解决方案是加密令牌目录，但这会使密钥派生效率低下。因此，需要定义一种既能保护访问控制策略隐私，又能确保高效密钥派生过程的解决方案。

3.2 隐私保护

• 管理数据更新 ：现有的基于碎片化和加密相结合的隐私保护系统，隐含假设原始数据集不会更新，特别是不会向原始表中添加新元组。如果插入新元组并在现有碎片化上进行操作，很容易重建原始元组，这将违反系统施加的机密性约束。因此，需要定义一种适当的策略来安全地管理数据更新。一种直接的解决方案是推迟数据插入，直到达到一定数量的新元组，但这种方法并不总是能提供所需的隐私级别，也无法保证数据的新鲜度。未来的研究将专注于定义一种能够有效管理插入和更新，同时保证隐私保护和碎片化中信息最新的模型。
• 避免加密利用可信方 ：处理加密数据从用户角度来看效率较低，因为用户需要与远程服务器合作进行查询评估。未来的研究方向之一是分析数据所有者直接存储部分数据的可能性。在这种场景下，可以将原始表仅分割成两个片段：一个片段外包，需要满足机密性约束；另一个片段由数据所有者直接管理。需要解决的问题包括最小化数据所有者直接管理的片段大小，以及考虑数据所有者在查询评估中的工作量。

3.3 安全数据集成

• 实例级授权 ：现有的用于控制分布式系统中信息流的授权模型是基于分布式数据库的模式设计的，数据可见性的定义基于属性和表的列表，并且使用连接来减少可见数据的集合。未来的研究方向是允许定义实例级权限。这将需要调整安全组合权限的算法和评估查询执行计划是否安全的算法。
• 构建安全查询执行树 ：之前提出的算法可以判断给定的查询执行计划是否相对于一组权限是安全的。但从用户角度来看，希望有一个算法能够直接返回一个安全的查询执行计划（如果存在的话）。一种简单的解决方案是检查每个可能的查询执行计划相对于权限配置文件的安全性，但查询的可能计划数量可能很多，随着评估中涉及的关系和服务器数量增加而增长。因此，需要找到一种替代解决方案，利用权限直接构建安全的查询执行计划。

下面是未来研究方向的总结表格：
| 方面 | 研究方向 | 问题描述 | 期望解决方案 |
| ---- | ---- | ---- | ---- |
| 访问控制执行 | 管理写操作 | 现有系统假设访问为只读，不适应多所有者场景 | 扩展模型，支持多所有者写操作 |
| 访问控制执行 | 策略保密性 | 密钥派生层次结构暴露策略信息 | 保护策略隐私，保证密钥派生效率 |
| 隐私保护 | 管理数据更新 | 现有系统假设数据不更新，插入新元组会破坏隐私 | 定义安全更新策略，保证隐私和数据新鲜度 |
| 隐私保护 | 避免加密利用可信方 | 处理加密数据效率低 | 分析存储部分数据可能性，解决片段大小和工作量问题 |
| 安全数据集成 | 实例级授权 | 现有授权模型基于模式，缺乏实例级权限 | 调整算法，支持实例级权限 |
| 安全数据集成 | 构建安全查询执行树 | 检查所有计划效率低 | 利用权限直接构建安全计划 |

mermaid流程图展示未来研究方向的关系：

graph LR
    A[未来研究方向] --> B[访问控制执行]
    A --> C[隐私保护]
    A --> D[安全数据集成]
    B --> B1[管理写操作]
    B --> B2[策略保密性]
    C --> C1[管理数据更新]
    C --> C2[避免加密利用可信方]
    D --> D1[实例级授权]
    D --> D2[构建安全查询执行树]

综上所述，数据外包中的信息保护是一个复杂且不断发展的领域。目前已经有了一些有效的方法和技术来解决访问控制、隐私保护和安全数据集成等问题，但仍存在许多挑战需要在未来的研究中加以解决。通过不断探索和创新，有望开发出更高效、更安全的信息保护解决方案。