Технология защиты больших баз данных от несанкционированного копирования
Предлагается технология защиты больших баз данных или их значительной части от копирования несанкционированным пользователем или пользователем, обладающим полным набором привилегий. Приводится краткий анализ существующих технологий защиты и их недостатков. Описывается аппаратное устройство защиты БД...
Збережено в:
| Дата: | 2006 |
|---|---|
| Автори: | , , , |
| Формат: | Стаття |
| Мова: | Russian |
| Опубліковано: |
Інститут кібернетики ім. В.М. Глушкова НАН України
2006
|
| Онлайн доступ: | https://nasplib.isofts.kiev.ua/handle/123456789/6457 |
| Теги: |
Додати тег
Немає тегів, Будьте першим, хто поставить тег для цього запису!
|
| Назва журналу: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Цитувати: | Технология защиты больших баз данных от несанкционированного копирования / А.В. Палагин, Н.И. Алишов, В.А. Марченко, В.А. Широков // Комп’ютерні засоби, мережі та системи. — 2006. — № 5. — С. 73-79. — Бібліогр.: 8 назв. — рос. |
Репозитарії
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
nasplib_isofts_kiev_ua-123456789-6457 |
|---|---|
| record_format |
dspace |
| spelling |
Палагин, А.В. Алишов, Н.И. Марченко, В.А. Широков, В.А. 2010-03-04T10:54:38Z 2010-03-04T10:54:38Z 2006 Технология защиты больших баз данных от несанкционированного копирования / А.В. Палагин, Н.И. Алишов, В.А. Марченко, В.А. Широков // Комп’ютерні засоби, мережі та системи. — 2006. — № 5. — С. 73-79. — Бібліогр.: 8 назв. — рос. 1817-9908 https://nasplib.isofts.kiev.ua/handle/123456789/6457 681.324 Предлагается технология защиты больших баз данных или их значительной части от копирования несанкционированным пользователем или пользователем, обладающим полным набором привилегий. Приводится краткий анализ существующих технологий защиты и их недостатков. Описывается аппаратное устройство защиты БД, а также рассматривается алгоритм реализации, технологии защиты с применением данного устройства. The technology of protection of big databases (DB) or their significant part from copying by the not authorized user or the user possessing a full set of privileges is offered. The brief analysis of existing technologies of protection and their lacks is considered. The hardware device of protection of a DB is described and also the algorithm of realization, technology of protection with application of the given device is considered. ru Інститут кібернетики ім. В.М. Глушкова НАН України Технология защиты больших баз данных от несанкционированного копирования Technology of protection of big databases from not authorized copying Article published earlier |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| title |
Технология защиты больших баз данных от несанкционированного копирования |
| spellingShingle |
Технология защиты больших баз данных от несанкционированного копирования Палагин, А.В. Алишов, Н.И. Марченко, В.А. Широков, В.А. |
| title_short |
Технология защиты больших баз данных от несанкционированного копирования |
| title_full |
Технология защиты больших баз данных от несанкционированного копирования |
| title_fullStr |
Технология защиты больших баз данных от несанкционированного копирования |
| title_full_unstemmed |
Технология защиты больших баз данных от несанкционированного копирования |
| title_sort |
технология защиты больших баз данных от несанкционированного копирования |
| author |
Палагин, А.В. Алишов, Н.И. Марченко, В.А. Широков, В.А. |
| author_facet |
Палагин, А.В. Алишов, Н.И. Марченко, В.А. Широков, В.А. |
| publishDate |
2006 |
| language |
Russian |
| publisher |
Інститут кібернетики ім. В.М. Глушкова НАН України |
| format |
Article |
| title_alt |
Technology of protection of big databases from not authorized copying |
| description |
Предлагается технология защиты больших баз данных или их значительной части от копирования несанкционированным пользователем или пользователем, обладающим полным набором привилегий. Приводится краткий анализ существующих технологий защиты и их недостатков. Описывается аппаратное устройство защиты БД, а также рассматривается алгоритм реализации, технологии защиты с применением данного устройства.
The technology of protection of big databases (DB) or their significant part from copying by the not authorized user or the user possessing a full set of privileges is offered. The brief analysis of existing technologies of protection and their lacks is considered. The hardware device of protection of a DB is described and also the algorithm of realization, technology of protection with application of the given device is considered.
|
| issn |
1817-9908 |
| url |
https://nasplib.isofts.kiev.ua/handle/123456789/6457 |
| citation_txt |
Технология защиты больших баз данных от несанкционированного копирования / А.В. Палагин, Н.И. Алишов, В.А. Марченко, В.А. Широков // Комп’ютерні засоби, мережі та системи. — 2006. — № 5. — С. 73-79. — Бібліогр.: 8 назв. — рос. |
| work_keys_str_mv |
AT palaginav tehnologiâzaŝitybolʹšihbazdannyhotnesankcionirovannogokopirovaniâ AT ališovni tehnologiâzaŝitybolʹšihbazdannyhotnesankcionirovannogokopirovaniâ AT marčenkova tehnologiâzaŝitybolʹšihbazdannyhotnesankcionirovannogokopirovaniâ AT širokovva tehnologiâzaŝitybolʹšihbazdannyhotnesankcionirovannogokopirovaniâ AT palaginav technologyofprotectionofbigdatabasesfromnotauthorizedcopying AT ališovni technologyofprotectionofbigdatabasesfromnotauthorizedcopying AT marčenkova technologyofprotectionofbigdatabasesfromnotauthorizedcopying AT širokovva technologyofprotectionofbigdatabasesfromnotauthorizedcopying |
| first_indexed |
2025-11-26T23:27:47Z |
| last_indexed |
2025-11-26T23:27:47Z |
| _version_ |
1850780300606439424 |
| fulltext |
Комп’ютерні засоби, мережі та системи. 2006, № 5 73
A.V. Palagin, N.I. Alishov,
V.A. Marchenko, V.A. Shirokov
TECHNOLOGY OF
PROTECTION OF BIG
DATABASES FROM NOT
AUTHORIZED COPYING
The technology of protection of big
databases (DB) or their significant
part from copying by the not autho-
rized user or the user possessing a
full set of privileges is offered. The
brief analysis of existing technolo-
gies of protection and their lacks is
considered. The hardware device of
protection of a DB is described and
also the algorithm of realization,
technology of protection with appli-
cation of the given device is consi-
dered.
Предлагается технология защи-
ты больших баз данных или их
значительной части от копиро-
вания несанкционированным поль-
зователем или пользователем,
обладающим полным набором
привилегий. Приводится краткий
анализ существующих технологий
защиты и их недостатков. Опи-
сывается аппаратное устройст-
во защиты БД, а также рас-
сматривается алгоритм реализа-
ции, технологии защиты с приме-
нением данного устройства.
А.В. Палагин, Н.И. Алишов,
В.А. Марченко, В.А. Широков,
2006
УДК 681.324
А.В. ПАЛАГИН, Н.И. АЛИШОВ,
В.А. МАРЧЕНКО, В.А. ШИРОКОВ
ТЕХНОЛОГИЯ ЗАЩИТЫ
БОЛЬШИХ БАЗ ДАННЫХ
ОТ НЕСАНКЦИОНИРОВАННОГО
КОПИРОВАНИЯ
Введение. Вопросу безопасности баз данных
(БД) и их защиты посвящено множество ста-
тей, научных работ и исследований. На ос-
нове этих работ можно сформулировать не-
сколько основных проблем в данной области,
связанных с обеспечением безопасности:
защита БД от несанкционированного дос-
тупа;
защита канала передачи между серверной
и клиентской частью;
организация криптографической защиты
содержимого БД.
Анализ современных аппаратно-програм-
мных средств защиты БД показывает, что
большинство готовых решений более-менее
успешно решают две первые проблемы. Что
касается организации криптографической
защиты содержимого БД, то несмотря на на-
личие современных криптоустойчивых алго-
ритмов шифрования, данная проблема далека
от возможных эффективных решений. Инци-
денты последних лет с утечкой информации
из баз данных транснациональных корпора-
ций, а также госучреждений показывают,
что проблема защиты БД обусловливает раз-
работки новых технологий организации дос-
тупа к информационным ресурсам [1].
Одним из наиболее часто встречающихся
сценариев хищения БД является еѐ полное
копирование на внешний носитель или утеря
одного из устройств хранения во время тран-
спортировки. Данный сценарий показывает
А.В. ПАЛАГИН, Н.И. АЛИШОВ, В.А. МАРЧЕНКО, В.А. ШИРОКОВ
Комп’ютерні засоби, мережі та системи. 2006, № 5 74
слабую защищѐнность физических носителей БД (жесткий диск, ленточный но-
ситель, оптический носитель) и объектов хранения в файловой системе. За со-
хранность этих объектов отвечает операционная система (ОС), что является сла-
бым звеном защиты (рис. 1). Так как программное обеспечение (ПО) СУБД
управляет и соответственно контролирует только логические объекты БД, то
естественно оно не отвечает за управление доступом к объектам файловой сис-
темы, из которых состоит БД.
РИС. 1. Разграничение полномочий между ОС и СУБД
Для защиты БД на уровне ОС есть несколько путей:
- шифрование средствами ОС на уровне физического носителя;
- шифрование средствами ОС на уровне файлового объекта;
- шифрование средствами СУБД на уровне логических объектов БД.
Первый метод защиты ориентирован на защиту физического носителя БД,
но не позволяет защитить от копирования объектов файловой системы. В основ-
ном этот метод используется в системах резервного копирования и во время
транспортировки БД на физических носителях. При этом БД не защищена от
копирования в виде файлового объекта для легального пользователя ОС, даже
если этот пользователь не является пользователем самой БД.
Второй метод решает проблему защиты от легального пользователя ОС, но
если он не является легальным пользователем БД. В противном случае он абсо-
лютно бесполезен, так как БД можно скопировать средствами самой СУБД в
другой файловый объект.
СУБД
Файловый объект
Физический
носитель
Уровень ПО
Уровень ОС
ТЕХНОЛОГИЯ ЗАЩИТЫ БОЛЬШИХ БАЗ ДАННЫХ ОТ НЕСАНКЦИОНИРОВАННОГО …
Комп’ютерні засоби, мережі та системи. 2006, № 5 75
Постановка задачи. Главная задача при защите БД от копирования защи-
та логических объектов БД от копирования как несанкционированным пользова-
телем, так и пользователем, обладающим полным набором привилегий. Эта за-
дача решается путем шифрования логических объектов БД.
Такой способ защиты предусматривает реализацию шифрования средства-
ми СУБД или средствами разрабатываемого под конкретную базу ПО. При реа-
лизации шифрования средствами СУБД технология разработки дополнитель-
ного ПО не изменяется или изменяется незначительно. Все процедуры шиф-
рования-расшифрования происходят на промежуточном уровне между БД
и СУБД (рис. 2). Однако современные СУБД не поддерживают или поддержи-
вают частично шифрование логических объектов БД [2]. Поэтому единствен-
ный способ гарантированной защиты БД от копирования является реализация
функций шифрования на уровне изолированного ПО, разрабатываемого под
конкретную БД.
РИС. 2. Организация взаимодействия между СУБД и БД
Методы решения задачи. Предлагаемая технология направлена на обеспе-
чение защиты от копирования больших баз данных (БД) или их значительных
частей несанкционированным пользователем или пользователем, обладающим
полным набором привилегий. Разработанный способ защиты предполагает при-
менение аппаратного ключа (электронного ключа) со встроенным алгоритмом
шифрования, а также специальных алгоритмов взаимодействия между про-
СУБД ПО
Сервер
Клиент
Подсистема
шифрования
База данных
А.В. ПАЛАГИН, Н.И. АЛИШОВ, В.А. МАРЧЕНКО, В.А. ШИРОКОВ
Комп’ютерні засоби, мережі та системи. 2006, № 5 76
граммным обеспечением, реализующим БД, и функциями, предоставляемыми
электронным ключом [3].
Использование аппаратного устройства шифрования позволяет представить
алгоритм шифрования вместе с ключом в виде черного ящика, что не позволяет
считать эти данные любому пользователю независимо от набора привилегий. В
качестве криптоалгоритма предлагается использование асимметричных алго-
ритмов [4], так как они позволяют любому пользователю зашифровать данные, и
соответственно записать их в БД, но не позволяют их расшифровывать без на-
личия закрытого ключа, записанного внутрь устройства.
Вычислительное устройство (электронный ключ) защиты больших БД от
копирования представляет собой схему, состоящую из нескольких функцио-
нальных блоков (рис. 3).
РИС. 3. Функциональная схема устройства
Блоком ввода-вывода называется интерфейсная часть электронного ключа,
обеспечивающая связь вычислительного устройства с локальным компьютером,
Микропроцессор
Блок управление
Блок
ввода-вывода
Блок
контроля
Блок управления памятью
Блок ОЗУ Блок ПЗУ
Блок выдачи
параметров
ключа
ТЕХНОЛОГИЯ ЗАЩИТЫ БОЛЬШИХ БАЗ ДАННЫХ ОТ НЕСАНКЦИОНИРОВАННОГО …
Комп’ютерні засоби, мережі та системи. 2006, № 5 77
на котором это устройство установлено. Данный блок используется для органи-
зации информационного обмена между ключом и защищаемой БД.
Блок управления организовывает связь разных функциональных блоков
электронного ключа (вычислительного устройства) с внешним миром, контро-
лирует информационные потоки внутри устройства.
Блок контроля выполняет такие функции:
- анализ скорости нажатия клавиш;
- анализ количества запросов к аппаратному ключу из защищаемой БД за
единицу времени;
- введение дополнительных задержек при выполнении очередного запроса.
Этот блок позволяет противодействовать некоторым методам считывания
всей БД или значительной еѐ части за относительно малый промежуток времени.
Однако он не обеспечивает защиту БД от копирования тех ее записей, которые
выдаются на экран монитора, или от перехвата расшифрованных данных при их
передаче от электронного ключа к центральному компьютеру.
Микропроцессор реализует функции управления процессом шифрования-
расшифрования, а также реализует сам алгоритм шифрования.
Блок выдачи параметров ключа управляет выдачей параметров шифрова-
ния, служебных данных, а также открытого ключа по запросу внешнего пользо-
вателя. Сами данные хранятся в недоступном для внешнего пользователя участ-
ке памяти для защиты их от несанкционированного пользователя.
Блок управления памятью контролирует обмен данными между разными
участками памяти и другими функциональными блоками, такими, как микро-
процессор и блок выдачи параметров ключа.
Блок ОЗУ служит для размещения промежуточных данных вычислений и
имеет достаточный объѐм для проведения необходимых операций криптоалго-
ритма.
Блок ПЗУ предназначен для размещения таких данных, как начальные пара-
метры инициализации криптоалгоритма, открытый ключ шифрования, закрытый
ключ шифрования, порядковый номер ключа и др.[5]. Этот блок является энер-
гонезависимым и сохраняет свои данные после отключения устройства от ком-
пьютера.
Технология применения разработанного способа защиты БД предполагает
выполнение нескольких этапов. На первом этапе при создании защищѐнной БД
выбранный электронный ключ инициализируется следующими значениями:
- открытый ключ шифрования и другие параметры, доступные несанкцио-
нированному пользователю;
- закрытый ключ шифрования и другие параметры, недоступные пользова-
телю;
- начальные параметры инициализации криптосистемы.
Эти параметры генерируются и проверяются с помощью известных матема-
тических методов и алгоритмов[6].
На следующем этапе выбирается набор полей БД, которые будут подвер-
гаться шифрованию, а также разрабатывается специальное ПО, которое реали-
А.В. ПАЛАГИН, Н.И. АЛИШОВ, В.А. МАРЧЕНКО, В.А. ШИРОКОВ
Комп’ютерні засоби, мережі та системи. 2006, № 5 78
зует функции обмена данными между БД и устройством и контролирует процесс
шифрования и расшифрования. Возможен вариант шифрования с использовани-
ем программной реализации алгоритма с открытым ключом и параметрами
криптосистемы, полученными по запросу от электронного ключа. После реали-
зации данного этапа БД можно считать защищѐнной от полного копирования
или копирования еѐ значительной части [7].
Обязательное условие использования защищенной БД наличие подклю-
ченного к компьютеру вычислительного устройства (электронного ключа).
Этапы технологического процесса производства и эксплуатации аппа-
ратно-программных средств защиты больших БД от несанкционированно-
го копирования.
Настройка готового устройства. При настройке устройства необходимо
выполнить над ключом несколько операций: генерация связки ключей типа от-
крытый-закрытый; проверка на уязвимость сгенерированной пары ключей; рас-
чѐт параметров инициализации криптосистемы с использованием специализиро-
ванного ПО.
Успешное завершение этих операций позволяет гарантировать криптостой-
кость выбранных параметров криптосистемы, от которых зависит уровень за-
щищенности всей БД.
Запись рассчитанных значений в электронный ключ. Это один из наи-
более уязвимых этапов при изготовлении секретного ключа, так как существует
возможность перехвата его значений. Реализация определѐнных организацион-
ных мер в рамках предлагаемого способа, а также полная автоматизация процес-
са генерации требуемых значений и последующей их записи в ключ устраняет
эту уязвимость. Альтернативным вариантом является генерация параметров
криптосистемы, а также связки открытый-закрытый ключ внутри устройства что
полностью исключает возможность перехвата. Однако существует вероятность
генерации уязвимых параметров криптосистемы к методам криптоанализа и
прямого перебора.
Создание защищенных БД. На этапе создания защищѐнной БД решаются
несколько очень важных задач: выбор полей для защиты; разработка ПО с уче-
том использования защиты БД; шифрование готовой БД; проверка работоспо-
собности готового продукта.
Выбор полей для защиты. Поскольку современные несимметричные крип-
тоалгоритмы обладают сравнительно невысокой скоростью шифрования, их ис-
пользование для шифрования всей БД очень накладно и малопроизводительно.
В этом случае целесообразно зашифровать только некоторые поля БД, представ-
ляющие особый интерес для злоумышленника, а также несущие основную ин-
формационную нагрузку. Выбор таких полей целиком зависит от разработчика
БД и требует особой тщательности. После составления списка полей, подлежа-
щих шифрованию, разработчик переходит к следующей процедуре.
Разработка ПО с учетом использования защиты БД. При разработке
ПО необходимо организовать обмен между ключом и БД, используя набор спе-
циализированных функций для работы с ключом. При любом запросе содержи-
ТЕХНОЛОГИЯ ЗАЩИТЫ БОЛЬШИХ БАЗ ДАННЫХ ОТ НЕСАНКЦИОНИРОВАННОГО …
Комп’ютерні засоби, мережі та системи. 2006, № 5 79
мое зашифрованных полей БД передается в ключ с флагом соответствующей
операции.
Шифрование готовой БД. После создания БД осуществляется шифрование
выбранных полей. Оно может выполняться двумя способами – с использовани-
ем готового устройства или с помощью встроенного ПО, открытого ключа и па-
раметров инициализации криптосистемы, считанных из готового устройства.
Проверка работоспособности готового продукта. После шифрования БД
необходимо выполнить окончательную проверку работоспособности готового
программного продукта в связке с ключом.
Особенности использования технологии. Особенностью предлагаемой
технологии защиты является то, что подготовленная БД не может работать без
электронного ключа, установленного в порту ввода-вывода компьютера. Соот-
ветственно и любая физическая копия БД вместе с необходимым ПО тоже нера-
ботоспособна. Наиболее уязвимым в данной технологии защиты является сам
электронный ключ, так как его утрата или поломка приводит к неработоспособ-
ности исходной БД, а его хищение вместе с копией БД позволяет злоумышлен-
нику использовать БД в своих целях.
Заключение. Предлагаемая технология позволяет организовать защиту
больших БД от несанкционированного копирования, а вместе с определѐнными
организационными мерами минимизировать риск использования БД злоумыш-
ленником в своих целях. При этом следует учесть, что для задачи защиты БД от
несанкционированного доступа к данным следует использовать технологии по-
строения систем разграничения прав доступа к БД. Такая интеграция разных
технологий позволяет существенно повысить защищѐнность БД от разнообраз-
ных угроз. Использование аппаратного устройства для шифрования позволяет
минимизировать угрозы использования программных уязвимостей и архитек-
турных недостатков СУБД для считывания информации из БД.
1. Зенкин Д. Офисные предатели опаснее хакеров.
http://www.cnews.ru/newcom/index.shtml?2004/11/01/167428
2. Сабанов А. О дополнительных возможностях защиты данных в среде СУБД
Oracle9i.http://www.bytemag.ru/Article.asp?ID=3861
3. Галицкий А.В., Рябко С.Д., Шаньгин В.Ф. Защита информации в сети анализ техноло-
гий и синтез решений. М.: ДМК Пресс, 2004. 616 с.
4. Саломаа А. Криптография с открытым ключом. М.: Мир, 1996. 318 с.
5. Защита сетевого периметра: Пер. с англ. / C. Норткатт, Л. Зелстер, С. Винтерс и др.
Киев: ООО ТИД «ДС», 2004. 672 с.
6. Черемушкин А.В. Лекции по арифметическим алгоритмам в криптографии. М.:
МЦНМО, 2002. 104 с.
7. НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від
несанкціонованого доступу.
8. Конноллн,Томас, Бегг, Карелии. Базы данных. Проектирование, реализация и сопрово-
ждение. Теория и практика: 3-е изд. : Пер. с англ. М.: Издательский дом "Вильяме",
2003. 1440 с.
Получено 23.02.2006
|