基于CryptDB的选择加密策略研究

针对云中数据隐私保护问题,采用加密存储是一可行的选择。而在未解密的情况下,如何对密文进行计算成了近年来研究的热点。为提高密文计算效率,节约密文数据的存储空间,将选择加密策略与CryptDB密文数据库系统相结合,设计并实现了支持选择加密策略的CryptDB密文数据库系统。由于CryptDB使用多个洋葱加密模型,需将数据加密成多份以适用不同场景,对不敏感字段加密增加了计算时间及存储空间。针对这些问题,提出一种用户自定义的敏感字段检测算法,并且在原系统中创建和注册明文洋葱,修改元数据表,以及对自定义SQL语句的拦截和改写,实现选择加密策略。实验结果表明,在满足用户对数据表安全性要求的前提下,随着加密字段减少,密文计算时间和存储空间显著减少,提高了CryptDB系统的效率和实用性。

面向CryptDB的用户身份验证方案

CryptDB是一种典型的云密文数据库,由中间代理充当媒介,允许用户在前端发出明文语义查询请求,后端直接在加密数据上执行数据库操作。针对CryptDB系统代理服务器明文存储密钥未验证用户身份的问题,提出了使用用户口令加密密钥信息的方案,实现了增强密钥管理安全及代理间接验证用户身份的目的。实验结果证明了该方案的安全性和有效性。

CryptDB密文数据库系统并行方案研究

加密数据库对隐私数据的加密存储保护是解决当前互联网中用户隐私数据泄露的一种可行方案。鉴于互联网中每日产生的用户隐私数据规模巨大,传统的串行计算会导致隐私数据的加密存储时间消耗较长。为提高加密存储等数据处理的速度,将MapReduce并行框架与Crypt DB密文数据库系统进行有机结合,设计并实现了Crypt DB密文数据库系统并行加密和分布式存储的方案。并行方案采用任务调度算法、文件分割算法来提高其并行性和可控性,通过重写MapReduce框架中的Map方法来实现Crypt DB密文数据库系统的并行加密和分布式存储。基于由1个Master节点、3个Crypt DB节点和3个My SQL服务器构成的实验平台,进行了并行方案的实验验证及其性能分析。实验结果表明,所构建的并行方案在3个Crypt DB节点集群中的加速比可达到2.51,加密和存储时间节省了60.2%,可用于大规模关系数据的加密存储。

加密数据上的计算密码学技术研究综述

近年来机密数据被盗事件在国内外时有发生,其所带来的经济损失和社会影响持续加剧。尽管已有系统采取了若干安全措施,然而经验表明,攻击者往往能够通过各种方式攻入系统,盗取用户数据。为了从根本上保护数据机密性,应确保即使攻击者能够获取存储在服务器上数据的访问权限,数据机密性依然不受到威胁,即数据以加密形式存储在服务器上;另外,为了保持数据的可用性,应允许服务器在密文上进行计算。针对支持在加密数据上计算的密码学技术,如同态加密、函数加密、可搜索加密以及CryptDB和Monomi等应用系统进行了综述性介绍,并指出有待解决的关键问题和未来的研究方向。

面向托管的数据库即服务系统及其隐私保护技术

数据库即服务(DBaaS)是云计算的一个研究热点,而数据应用托管则是当前DBaaS的一个重要应用领域。针对托管数据隐私保护问题,提出了基于虚拟机和CryptDB系统构建支持多副本的多租户数据托管方法及相应的数据库即服务系统,该系统实现了托管数据的隔离和加密存储并且能基于加密数据执行SQL查询。相关实验表明,和全同态加密系统相比,系统具有较低的性能损耗,较好地解决了隐私保护和实用性问题。

Crypt-JDBC模型:洋葱加密算法的优化改进

CryptDB是一种典型的密文存储技术,它根据运算操作语义使用洋葱加密算法将SQL语句改写到不同的洋葱密文列,从而仅暴露数据的部分属性即可执行查询任务。针对洋葱加密算法的不足之处提出了一种名为Crypt-JDBC的改进模型:(1)鉴于洋葱层数多,且相邻层功能差异大,新模型把洋葱列分为主列与辅助列,并压缩洋葱层的改进方法(主列使用双向算法可还原明文,辅助列使用单向算法提供属性,保证安全性);(2)鉴于等值连接算法复杂低效,新模型通过简化一个关键模块(差异性转换)来降低复杂度;(3)鉴于列名的明文、密文名称对应性弱,新模型重新设计了明密文列名称的对应关系,减少了上下文信息,加强了密钥整体性。实现了Crypt-JDBC模型,用JDBC替换中间件软件MySQL-Proxy。实验结果表明,该模型具有较高的执行效率。