‫‪MCI‬‬
‫پایگاه داده های بقراطی‬
‫رسول جلیلی ‪ -‬امیرموس ی احسان‬
‫‪1‬‬
‫فهرست مطالب‬
‫• حریم خصوصی)‪(Privacy‬‬
‫• رویکردهای حفظ حریم خصوصی‬
‫• پایگاه داده های بقراطی)‪(Hippocratic Databases‬‬
‫– اِعمال فعال )‪(Active Enforcement‬‬
‫– بررسی اجابت)‪(Compliance Auditing‬‬
‫– امتحان میان نیمسال‬
‫‪2‬‬
‫‪MCI‬‬
‫حریم خصوصی‬
‫• هر نوع اطالعات شخصی‬
‫• حفظ حریم خصوصی‬
‫– حق افراد برای مشخص کردن اینکه اطالعات شخصی خودشان چه زمانی‪ ،‬چگونهه و‬
‫به چه میزانی میتواند به دیگران منتقل گردد‪.‬‬
‫• مشکالت حفظ حریم خصوصی‬
‫– ممکن است قسهمتی از حهریم خصوصهی را بهرای بدسهت وردن نچهه مهی خهواهیم‪ ،‬از‬
‫دست بدهیم‪.‬‬
‫– هنگامی که داده را ارائه دادیم‪ ،‬دیگر کنترلی روی داده هایمان نخواهیم داشت‪.‬‬
‫– سههوال مهههم‪ :‬یهها داده را مههی تههوانیم واگهه‪،‬ار کنههیم‪ ،‬بههدون اینکههه بههرای حههریم خصوصههی‬
‫خدشه ای وارد شود؟‬
‫‪3‬‬
‫‪MCI‬‬
‫رویکردهای مختلف‬
‫‪MCI‬‬
‫• رویکردهای مختلف به حفظ حریم خصوصی‬
‫– درشت دانه‪ :‬حفظ حریم خصوصی بیرون از پایگاه داده ها‬
‫• حفههظ حههریم خصوصههی پههخ از اسههتخراپ داده از پایگههاه داده ههها در ی ه‬
‫کاربردی‬
‫• ‪IDEMIX‬‬
‫– ریز دانه‪ :‬حفظ حریم خصوصی در درون پایگاه داده ها‬
‫• حفظ حریم خصوصی قبل از استخراپ داده از پایگاه داده ها در ‪DBMS‬‬
‫• ‪Hippocratic DBs‬‬
‫‪4‬‬
‫برنامههه‬
‫پایگاه داده های بقراطی‬
‫• ‪Hippocratic Databases‬‬
‫• توسط ‪ IBM‬از سال ‪2002‬‬
‫• به صورت ی‬
‫‪ Middleware‬روی ‪DB2‬‬
‫• ویژگیهای بارز‬
‫– اعمال کنترل دسترسی ریزدانه‬
‫– تبدیل پرخ و جوی ورودی به پرخ و جوی حافظ حریم خصوصی‬
‫– استفاده از فراداده ها برای حفظ حریم خصوصی‬
‫‪5‬‬
‫‪MCI‬‬
‫مفهوم کلیدی‪ :‬هدف‬
‫• داده ها برای اهداف خاص جمع وری می شوند‪.‬‬
‫• هدف یا اهداف باید به همراه داده ‪،‬خیره شوند‬
‫• هدف‪ ،‬نحوه استفاده از داده را محدود می کند‪.‬‬
‫‪6‬‬
‫‪MCI‬‬
‫اصول پایه ای در ‪1-HDB‬‬
‫•‬
‫توصیف هدف)‪(Purpose Specification‬‬
‫–‬
‫–‬
‫•‬
‫توافق)‪(Consent‬‬
‫–‬
‫–‬
‫•‬
‫مینیمم اطالعات و در حد نیاز باید جمع وری گردد‬
‫مثال‪ :‬خریدار برای استفاده از سرویخ توصیه کردن کتاب نیازی به ارائه شماره کارت اعتباری اش ندارد‬
‫استفاده محدود)‪(Limited Use‬‬
‫–‬
‫–‬
‫•‬
‫در مورد هدف بایستی توافق همه کسانی که مصادیق اطالعات هستند وجود داشته باشد‬
‫مثال‪ :‬خریدار می تواند برای خرید توافق خود را اعالم نماید ولی از سرویخ توصیه کردن کتاب اجتناب نماید‬
‫مجموعه محدود)‪(Limited Collection‬‬
‫–‬
‫–‬
‫•‬
‫هدف جمع وری اطالعات شخصی باید در کنار داده ها نگه داشته شوند‬
‫مثال‪ :‬فروشنده کتاب‪ ،‬اطالعات شخصی را برای مار خریدها‪ ،‬توصیه کتاب به مشتری و ‪ ...‬نگه می دارد‪.‬‬
‫تنها باید پرخ و جوهایی توسط پایگاه داده اجرا گردد که سازگار با هدف باشد‬
‫مثال‪ :‬ی پرخ و جو برای توصیه کردن کتاب نمی تواند به درخ تحویل کتاب دسترسی داشته باشد‬
‫افشای محدود)‪(Limited Disclosure‬‬
‫–‬
‫افشای اطالعات باید تنها در حدی باشد که توافق شده و سازگار با هدف است‪.‬‬
‫–‬
‫مثال‪ :‬شرکت حامل کتاب نیازی به دانستن شماره کارت اعتباری خریدار ندارد‪.‬‬
‫‪7‬‬
‫‪MCI‬‬
‫اصول پایه ای در ‪2-HDB‬‬
‫•‬
‫‪MCI‬‬
‫نگهداری محدود)‪(Limited Retention‬‬
‫– اطالعات باید در تنها تا زمانی نیاز نگه داشته شوند که مورد نیاز می باشند‪.‬‬
‫– مثال‪ :‬زمانی که خرید کتاب انجام شد‪ ،‬دیگر نیازی به نگه داشتن شماره کارت اعتباری نمی باشد‪.‬‬
‫•‬
‫دقت)‪(Accuracy‬‬
‫– اطالعات شخصی نگه داشته شده در پایگاه داده ها باید دقیق و به روز باشد ‪.‬‬
‫– مثال‪ :‬درخ ارسال کتاب باید در پایگاه داده ها معتبر و دقیق باشد‪.‬‬
‫•‬
‫امنیت)‪(Safety‬‬
‫– در مقابل هر نوع تخطی مانند دزدی اطالعات باید ایمن باشد‪.‬‬
‫– مثال‪ :‬داده ها را باید رمز شده نگه دارد‪.‬‬
‫•‬
‫باز بودن)‪(Openness‬‬
‫– صاحب اطالعات باید به تمام اطالعات ‪،‬خیره شده در پایگاه داده ها مربوط به خودش دسترسی داشته باشد‬
‫– مثال‪ :‬کاربران می توانند به تمام سوابق خرید خود و اطالعات شخصی خود دسترسی برای دیدن داشته باشند‬
‫•‬
‫ایجاب)‪(Compliance‬‬
‫– صاحب اطالعات باید از اجابت شدن تمام توافقاتش‪ ،‬مطمئن باشد‬
‫– مثال‪ :‬ثبت تمام دسترسی ها به اطالعات شخصی بطوریکه زمان و قلم داده مورد دسترسی را بتوان بدست ورد‬
‫‪8‬‬
MCI
Hippocratic DBs ‫فناوری های‬
(Active Enforcement)‫• اِعمال فعال‬
(Purpose Specification)‫– توصیف هدف‬
(Consent)‫– توافق‬
(Limited Use)‫– استفاده محدود‬
(Limited Disclosure)‫– افشای محدود‬
(Compliance Auditing)‫• بررسی اجابت‬
(Compliance)‫– ایجاب‬
9
‫سیستم اِعمال فعاالنه‪1-‬‬
‫‪MCI‬‬
‫•‬
‫‪Active Enforcement System‬‬
‫•‬
‫اولین گام برای پیاده سازی ‪HDB‬‬
‫•‬
‫سیستمی است که دسترسی به و افشای اطالعات شخصهی را بها اسهتفاده از خهط مشهی ههای حهریم‬
‫خصوصی ریزدانه‪ ،‬قوانین قابل اعمال‪ ،‬و ترجیحات افراد محدود می کند‪.‬‬
‫•‬
‫خط مشی های حریم خصوصی سازمان و ترجیحات کاربران را در جداول پایگاه داده ها نگهه مهی‬
‫دارد‬
‫•‬
‫با گرفتن پرخ و جوی کاربر ن را به پرخ و جوهایی مطابق با خط مشی های حریم خصوصی و‬
‫ترجیحات کاربران تبدیل‪ ،‬و‬
‫مناسب دسترسی پیدا کنند‪.‬‬
‫‪10‬‬
‫تضمین می کند افراد دارای مجوز به داده ههای مجهاز بهرای اههداف‬
MCI
HDB AE ‫معماری‬
‫• پیاده سازی کنونی در سه گام‬
:‫این کار انجام می دهد‬
Policy Creation –
Preference Negotiation –
Application
Data
–
Retrieval
11
‫سیستم اِعمال فعاالنه‪3-‬‬
‫‪MCI‬‬
‫• ‪:Policy Creation‬‬
‫– ی‬
‫سازمان حافظ حریم خصوصی باید خط مشی های حریم خصوصی خود را مشخص نماید‬
‫– سههازمان ههها ایههن خههط مشههی ههها را بوسههیله ی ه‬
‫توصیف خط مشی بیان می کنند‪.‬‬
‫زبههان حههریم خصوصههی و از طریههق ی ه‬
‫واسههط کههاربری‬
‫– خطمشی ها توسط ‪ AE‬پویش شده و در پایگاه داده ها به عنوان فراداده نگه داشته می شوند‪.‬‬
‫• ‪:Preference Negotiation‬‬
‫– افراد از خط مشی های حریم خصوصی سازمان در این گام مطلع می شوند‪.‬‬
‫– افراد ترجیحات حریم خصوصی خود را تنظیم و نها را بوسهیله یه‬
‫مشتری بیان می کنند‪.‬‬
‫زبهان توصهیف ترجیحهات در سهمت‬
‫– قبل از هر گونه افشهای اطالعهات شخصهی‪ ،‬سیسهتم ایهن ترجیحهات را بها خهط مشهی ههای سهازمان منطهق‬
‫ساخته و افراد را از هرگونه تناقض و ناسازگاری مطلع می کند‬
‫‪12‬‬
‫سیستم اِعمال فعاالنه‪4-‬‬
‫‪MCI‬‬
‫• ‪:Application Data Retrieval‬‬
‫– پههرخ و جوهههای ورودی کههاربر بههرای بههر ورده شههدن خههط مشههی هههای حههریم خصوصههی‬
‫ترجمه می شوند‪.‬‬
‫– پایگاه داده ها نرا اجرا کرده و تنها اطالعاتی را بر می گرداند که مطابق با خهط مشهی‬
‫ها باشد‪.‬‬
‫– بههه ایههن ترتیههب سیسههتم بههه صههورت کههامالش شههفاف‪ ،‬کنتههرل افشههای اطالعههات را در س هطح‬
‫سلول‪ ،‬بر اساخ مجازشناسی درخواست کننده‪ ،‬هدف دسترسی و دریافهت کننهده نههایی‬
‫اطالعات و همین طور ترجیحات افراد اِعمال می کند‪.‬‬
‫‪13‬‬
‫ترجمه پرخ و جو در ‪AE HDB‬‬
‫‪14‬‬
‫‪MCI‬‬
‫مثالی از ‪AE HDB‬‬
‫شمای فراداده حریم خصوصی‬
‫شمای پایگاه داده‬
‫‪15‬‬
‫‪MCI‬‬
‫مثالی از ‪2-AE HDB‬‬
‫جدول خط مشی های حریم خصوصی‬
‫‪16‬‬
‫‪MCI‬‬
‫مثالی از ‪3-AE HDB‬‬
‫جدول مجازشماریهای های حریم خصوصی‬
‫‪17‬‬
‫‪MCI‬‬
‫مثالی از ‪4-AE HDB‬‬
‫مثالی از یک پرس و جو‬
‫‪18‬‬
‫‪MCI‬‬
‫سیستم بررسی اجابت‪1-‬‬
‫‪MCI‬‬
‫•‬
‫‪Compliance Audit System‬‬
‫•‬
‫سیستم ‪ CA‬این امکان را می دهد که افشاهای اطالعات قبلی قابل ردگیری باشد و بتوانیم افشاهای‬
‫مشکوک را بیابیم‬
‫•‬
‫این جزء به سازمانها ایهن امکهان را مهی دههد کهه تهاری و زمهان ههر پهرخ و جهو‪ ،‬ههدف دسترسهی‪،‬‬
‫دریافههت کننههده نهههایی اطالعههات‪ ،‬و اطالعههات دقیههق در مههورد قلههم داده هههایی کههه افشهها شههده انههد را‬
‫استخراپ نمایند‪.‬‬
‫•‬
‫به این ترتیب این جزء می تواند اصل ‪(Compliance‬ایجاب) را بر ورده نماید‪.‬‬
‫‪19‬‬
‫سیستم بررسی اجابت‪2-‬‬
‫• دو نوع ‪ Log‬خواهیم داشت‪:‬‬
‫– ‪ :Query Log‬رشته پرخ و جهو و اطالعهات زمینهه ای دیگهر مهرتبط بها ن را نگهه‬
‫می دارد‪.‬‬
‫• اطالعات زمینه ای‪ :‬شناسه‪ ،‬زمان‪ ،‬هدف‪ ،‬و گیرنده‬
‫– ‪ :Back Log‬تمههام ‪update‬ههها‪insert ،‬ههها‪ delete ،‬ههها روی جههداول مبههدا را در‬
‫‪ backlog‬نگه می دارد‪.‬‬
‫• ایهههن کهههار بههها اسهههتفاده از فنهههاوری ههههای موجهههود ماننهههد ‪ trigger‬و دیگهههر ویژگیههههای‬
‫‪ replication‬قابل انجام است‪.‬‬
‫• این دو نوع جدول کهافی هسهتند کهه افشهاهای گ‪،‬شهته را بها سهاختن وضهعیت‬
‫پایگاه داده ها استخراپ نماییم‪.‬‬
‫‪20‬‬
‫‪MCI‬‬
‫معماری ‪CA HDB‬‬
‫‪ 21‬رسول جلیلي‪ -‬درخ امنیت پایگاه داده ها‪ -‬نیمسال دوم تحصیلي ‪87-86‬‬
‫‪MCI‬‬
‫سیستم بررسی اجابت‪4-‬‬
‫‪MCI‬‬
‫زبان مانند‪ SQL‬تعریف شده است ‪:‬‬
‫•‬
‫برای بازرسی ی‬
‫•‬
‫در هنگام بازرسی‪ HDB ،‬ی نالیز ایستا بروی پرخ و جو ها )‪ (Query Log‬انجهام مهی دههد‬
‫تا بتواند بعضی پرخ و جوهای کاندیدا برای تحلیل بیشتر تولید نماید‬
‫>‪audit <audit-list‬‬
‫>‪from <audited-tables‬‬
‫>‪where <condition‬‬
‫– پرخ و جو های کاندیدا مشکوک خواهند بود اگر ی‬
‫با عبارت بازرسی داشته باشند‪.‬‬
‫تاپل حتمی)‪ (Indispensable Tuple‬مشهترک‬
‫•‬
‫سیستم با ترکیب این پرخ و جو ها به ی پرخ و جوی بازرسهی واحهد کهه از نهوع ‪ SQL‬اسهت‪،‬‬
‫می رسد که روی جداول ‪ Back Log‬اجرا می شود‪.‬‬
‫•‬
‫به این ترتیب اطالعات موجود در مورد افشاء شده ها را استخراپ خواهیم کرد‬
‫‪22‬‬
‫سیستم بررسی اجابت‪5-‬‬
‫‪MCI‬‬
‫• سناریوی بازرسی‬
‫پخ از دادن ی عبارت بازرسی بهه عنهوان ورودی سیسهتم ‪ ،CA‬یه‬
‫جداسازی مجموعه ای از پرخ و جو های کاندیدا انجام می شود‪.‬‬
‫‪.I‬‬
‫•‬
‫پرخ و جو های کاندیدا)‪ :(Candidate Queries‬تمام پرخ و جو هایی هسهتند کهه بهه تمهام‬
‫فیلدهای مشخص شده در ‪ audit-list‬دسترسی پیدا کرده اند‪.‬‬
‫سیسههتم پههرخ و جههو هههای کاندیههدا را بهها عبههارت بازرسههی ترکیههب کههرده و پههرخ و جههو هههای‬
‫مشکوک)‪ (Suspicious Queries‬را که ممکن است به اطالعات ‪ audit-list‬دسترسهی‬
‫پیدا کرده باشند‪ ،‬استخراپ می کند‪.‬‬
‫‪.II‬‬
‫‪23‬‬
‫نهالیز ایسهتا بهرای‬
‫تاپههل‬
‫•‬
‫پههرخ و جههو هههای مشههکوک)‪ :(Suspicious Queries‬پههرخ و جههو هههایی کههه یهه‬
‫حتمی)‪ (Indispensable Tuple‬را با عبارت بازرسی مشترک دارند‬
‫•‬
‫تاپل حتمی)‪ :(Indispensable Tuple‬تاپل ‪ t‬از جدول ‪ T‬را حتمی می نهامیم اگهر یه پهرخ‬
‫و جههوی ‪ Q ِِ Select-Project-Join‬روی پایگههاه داده ههها داشههته باشههیم کههه نتههای ‪ Q‬روی‬
‫پایگاه داده ها با زمانی که ‪ t‬را از ‪ T‬ح‪،‬ف کنیم‪ ،‬یکسان نباشد‪.‬‬
‫سیستم بررسی اجابت‪6-‬‬
‫• سناریوی بازرسی (ادامه)‬
‫‪ .III‬سیسههتم ‪ ،CA‬پههرخ و جوهههای مشههکوک را بهها هههم ترکیههب کههرده و تشههکیل یه پههرخ و‬
‫جههوی بازرسههی واحههد را داده و نههرا روی جههداول ‪ Back Log‬اجههرا مههی کنههد‪ .‬بههه ایههن‬
‫ترتیب‪ ،‬اطالعهات دقیهق دسترسهی یافتهه بوسهیله ایهن پهرخ و جهو را مهی تهوان اسهتخراپ‬
‫نماید‪.‬‬
‫‪ .IV‬در نهایههت‪ ،‬بههه عنههوان نتههای بازرسههی‪ ،‬پههرخ و جههو هههای دسترسههی یافتههه بههه اطالعههات‬
‫مشخص شده در عبارت بازرسی را می تهوان بهه همهراه تهاری و زمهان پهرخ و جهو‪ ،‬و‬
‫هدف پرخ و جو‪ ،‬استخراپ کرد‪.‬‬
‫‪24‬‬
‫‪MCI‬‬
‫سیستم بررسی اجابت‪7-‬‬
‫‪ 25‬رسول جلیلي‪ -‬درخ امنیت پایگاه داده ها‪ -‬نیمسال دوم تحصیلي ‪87-86‬‬
‫‪MCI‬‬
‫‪MCI‬‬
‫با تشكر‬
‫مركز امنيت شبكه شريف‬
‫‪http://nsc.sharif.edu‬‬
‫‪26‬‬