CN116167089B - 高安全性数据库 - Google Patents

高安全性数据库 Download PDF

Info

Publication number
CN116167089B
CN116167089B CN202310423545.2A CN202310423545A CN116167089B CN 116167089 B CN116167089 B CN 116167089B CN 202310423545 A CN202310423545 A CN 202310423545A CN 116167089 B CN116167089 B CN 116167089B
Authority
CN
China
Prior art keywords
database
sub
user
databases
representing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310423545.2A
Other languages
English (en)
Other versions
CN116167089A (zh
Inventor
张达刚
关涛
唐圣潘
张璇
王凯
胡兵兵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Henghui Xinda Technology Co ltd
Original Assignee
Henghui Xinda Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Henghui Xinda Technology Co ltd filed Critical Henghui Xinda Technology Co ltd
Priority to CN202310423545.2A priority Critical patent/CN116167089B/zh
Publication of CN116167089A publication Critical patent/CN116167089A/zh
Application granted granted Critical
Publication of CN116167089B publication Critical patent/CN116167089B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/001Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using chaotic signals
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)

Abstract

本发明涉及数据库技术领域,更进一步地,涉及高安全性数据库。本发明利用区块链连接多个子数据库,每个子数据库具有唯一编号,其中最大编号的子数据库为入口,最小编号的子数据库为出口。中间编号的子数据库组成可变位置的马尔科夫链转移矩阵,在设定时间周期内进行随机化调整。子数据库具备加密、访问控制和审计等功能模块,加密模块采用多重混沌映射进行数据加密,访问控制模块采用基于属性的算法对用户进行访问控制,审计模块采用博弈论模型进行访问行为分析。本发明具有高安全性、多重加密保护和复杂访问控制等优点,可应用于各类安全性要求较高的实际场景中。

Description

高安全性数据库
技术领域
本发明属于数据库技术领域,具体涉及高安全性数据库。
背景技术
随着信息技术的不断发展,数据库作为数据管理的重要工具,也越来越受到重视。数据库中存储了各种重要信息,包括企业的核心数据、个人的敏感信息等等。然而,随着数据库的使用量不断增加,数据库安全问题也变得日益突出。在传统的数据库中,安全问题经常会因为攻击者的破解、黑客攻击或内部人员的恶意操作等而造成严重后果。这些问题不仅可能导致财务损失,更可能导致品牌声誉受损,甚至会威胁到人们的生命安全。
为了解决这些问题,许多专家学者和公司都投入了大量的精力和资金进行数据库安全研究,提出了各种新的数据库安全技术。然而,由于数据库安全的复杂性和多样性,目前的数据库安全技术还存在许多不足之处。其中,最主要的问题包括:
1.访问控制的脆弱性:
访问控制是数据库安全的基础,但传统的用户名和密码认证方式很容易被攻击者破解,从而导致数据库的安全受到威胁。而目前采用的多因素认证等技术,虽然提高了访问控制的安全性,但也增加了用户的使用复杂度。
2.数据加密的效率问题:
数据加密虽然可以保护数据库中的数据安全,但对于大规模数据的加密和解密,需要消耗大量的计算资源,这就导致了效率的问题。特别是在分布式数据库的环境下,加密和解密的效率问题更加突出。
3.审计和日志记录的存储和管理问题:
审计和日志记录是保障数据库安全的重要手段,但随着数据量的增大,存储和管理这些数据也面临着很大的挑战。传统的审计和日志记录方法需要大量的存储空间和管理工作,而且不利于对数据的分析和查询。
4.基于策略的访问控制的复杂性
基于策略的访问控制可以更加灵活地控制数据库的访问权限,但其策略的编写和管理也面临着很大的挑战。尤其是在复杂的应用场景下,策略的管理和更新更加困难。
因此,为了解决这些问题,需要进一步研究和开发更加安全、高效、易用的数据库安全技术。
发明内容
本发明的主要目的在于提供高安全性数据库,具有高安全性、多重加密保护和复杂访问控制等优点,可应用于各类安全性要求较高的实际场景中。
为了解决上述问题,本发明的技术方案是这样实现的:
高安全性数据库,所述数据库包括若干个以区块链形式彼此互联的子数据库,每个子数据库地位相等,且具备唯一的编号ID;按照每个子数据库的编号ID的值的大小,将编号ID的值为最大的子数据库作为入口子数据库;将编号ID的值为最小的子数据库作为出口子数据库;将编号ID的值介于最大和最小之间的子数据库的编号ID的值组合成一个元素值的位置可变的马尔科夫链的转移矩阵,所述转移矩阵在设定的时间周期内,对自身的元素值的位置进行随机化调整;所述子数据库均包括:加密模块、访问控制模块和审计模块;所述加密模块在子数据库中发生了数据的更改时运行,采用多重混沌映射进行加密;所述访问控制模块采用基于属性的访问控制算法对用户进行访问控制,具体包括:获取用户属性,根据预设的映射表,将用户属性映射为多个属性值,将这些属性值作为马尔科夫链的当前状态集合,再结合转移矩阵,得到预测概率分布,所述预测概率分布表征了转移矩阵中每个元素的概率,根据预测概率分布,得到该属性值访问各个子数据库的预测概率大小,将预测概率低于设定的值的子数据库对用户屏蔽;所述审计模块采用博弈论模型进行访问行为分析。
进一步的,所述用户属性至少包括:身份属性、角色属性和权限属性。
进一步的,所述转移矩阵在设定的时间周期内,对自身的元素值的位置进行随机化调整的方法包括:假设有n个子数据库,转移矩阵为
Figure SMS_1
,其中
Figure SMS_2
表示从第
Figure SMS_3
个子数据库转移到第
Figure SMS_4
个子数据库的概率,且有
Figure SMS_5
在设定的时间周期内,对自身的元素值的位置进行随机化调整,具体包括:将编号ID的值介于最大和最小之间的子数据库的编号ID的值组合成一个元素值的位置可变的马尔科夫链的转移矩阵,随机调整元素值的位置;
进一步的,所述随机调整元素值的位置,具体包括:将转移矩阵
Figure SMS_6
转换成向量形式,即
Figure SMS_7
Figure SMS_8
的每一个元素的下标从二维的
Figure SMS_9
转换成一维的
Figure SMS_10
,即:
Figure SMS_11
对于转移矩阵的每个元素
Figure SMS_20
,随机生成一个介于
Figure SMS_13
Figure SMS_18
之间的随机数
Figure SMS_23
;将转移矩阵的每个元素按照对应的随机数进行排序,得到新的元素位置序列
Figure SMS_25
;将新的元素位置序列
Figure SMS_24
映射回二维矩阵中,得到新的转移矩阵
Figure SMS_26
;将新的转移矩阵
Figure SMS_21
还原为二维矩阵形式;其中,
Figure SMS_28
表示子数据库的数量,
Figure SMS_12
表示从第
Figure SMS_16
个子数据库转移到第
Figure SMS_15
个子数据库的概率,
Figure SMS_19
表示随机生成的介于
Figure SMS_22
Figure SMS_27
之间的随机数,
Figure SMS_14
表示新的元素位置序列,
Figure SMS_17
表示经过元素位置随机化调整后得到的新的转移矩阵。
进一步的,所述加密模块在子数据库中发生了数据的更改时运行,采用多重混沌映射进行加密的方法包括:假设待加密的数据为
Figure SMS_31
,加密后的结果为
Figure SMS_32
,加密密钥为
Figure SMS_35
;选择合适的初值
Figure SMS_29
,确定各混沌系统的参数
Figure SMS_33
,以及初始密钥
Figure SMS_37
,其中,
Figure SMS_38
Figure SMS_30
均为实数;首先进行混沌映射得到三个随机序列
Figure SMS_34
,然后利用这三个序列进行异或运算,生成一个伪随机序列
Figure SMS_36
,即
Figure SMS_39
其中
Figure SMS_40
表示由
Figure SMS_41
和密钥
Figure SMS_42
共同决定的函数,用于产生加密密钥
Figure SMS_43
;使用加密密钥
Figure SMS_44
对数据
Figure SMS_45
进行加密,即:
Figure SMS_46
根据加密后的结果
Figure SMS_47
,更新密钥
Figure SMS_48
,即:
Figure SMS_49
其中
Figure SMS_52
表示一个更新密钥的函数;其中,
Figure SMS_55
表示待加密的数据,
Figure SMS_58
表示加密后的结果,
Figure SMS_51
表示加密密钥,
Figure SMS_54
为初值,
Figure SMS_57
为混沌系统的参数,
Figure SMS_60
为初始密钥,
Figure SMS_53
表示混沌映射生成的随机序列,
Figure SMS_56
为由随机序列
Figure SMS_59
异或得到的伪随机序列,
Figure SMS_61
为生成的加密密钥,
Figure SMS_50
为更新密钥的函数。
进一步的,所述假设有
Figure SMS_62
个子数据库,每个子数据库的编号为
Figure SMS_67
,用户的属性为
Figure SMS_70
,映射表为
Figure SMS_65
,属性值的编码为
Figure SMS_69
,属性集合为
Figure SMS_72
,状态集合为
Figure SMS_73
,转移概率矩阵为
Figure SMS_63
,则基于属性的访问控制算法的具体步骤如下:获取用户属性
Figure SMS_66
;根据映射表
Figure SMS_75
,将用户属性
Figure SMS_76
映射为多个属性值
Figure SMS_64
;对于每个属性值
Figure SMS_68
,根据其映射后的值
Figure SMS_71
,使用可逆的编码算法
Figure SMS_74
进行编码,得到编码后的属性值:
Figure SMS_77
将所有编码后的属性值
Figure SMS_78
合并为一个属性集合:
Figure SMS_79
对于每个属性集合
Figure SMS_80
,计算其对应的状态:
Figure SMS_81
其中
Figure SMS_82
为指示函数,表示如果
Figure SMS_83
属于
Figure SMS_84
,则:
Figure SMS_85
否则
Figure SMS_86
根据计算出来的所有状态
Figure SMS_88
,定义状态集
Figure SMS_92
,其中
Figure SMS_94
为所有可能的状态数量;对于状态集合
Figure SMS_89
中的每个状态
Figure SMS_91
和子数据库
Figure SMS_93
,计算其对应的转移概率
Figure SMS_95
,即从状态
Figure SMS_87
转移到子数据库
Figure SMS_90
的概率,其计算公式如下:
Figure SMS_96
其中
Figure SMS_97
为指示函数,表示如果从状态
Figure SMS_98
转移到子数据库j的概率大于0,则:
Figure SMS_99
否则
Figure SMS_100
对于每个子数据库
Figure SMS_110
,根据预测概率
Figure SMS_103
和设定的阈值
Figure SMS_108
,如果
Figure SMS_114
,则允许用户访问该子数据库;如果
Figure SMS_118
,则禁止用户访问该子数据库;其中,
Figure SMS_117
表示子数据库的数量,
Figure SMS_119
表示子数据库的编号,
Figure SMS_109
表示用户的属性,
Figure SMS_112
为属性映射表,
Figure SMS_101
表示属性值的编码算法,
Figure SMS_107
为属性值
Figure SMS_102
编码后的结果,
Figure SMS_105
表示属性集合,
Figure SMS_111
表示状态,
Figure SMS_115
表示状态集合,
Figure SMS_104
表示马尔可夫链的转移概率矩阵,
Figure SMS_106
表示从状态
Figure SMS_113
转移到子数据库
Figure SMS_116
的概率。
进一步的,所述入口子数据库是编号ID值最大的子数据库,是用户访问数据库的入口;对于一个用户访问入口子数据库的请求,访问控制模块根据用户的属性值和预测概率分布,判断该用户是否有权访问入口子数据库;如果访问权被授权,该用户可以通过入口子数据库进入整个数据库系统。
进一步的,所述出口子数据库则是编号ID值最小的子数据库,是数据库系统与外界交互的出口;对于一个用户从数据库系统中访问外部资源的请求,访问控制模块会判断该请求是否合法,如果合法则通过出口子数据库将请求发送给外部资源;同时,审计模块会对出口子数据库的访问行为进行分析,以确保访问行为的合法性和安全性。
进一步的,所述子数据库均维护着一个区块链,其中包含了该子数据库所存储的所有数据和操作记录;当一个子数据库需要与其他子数据库进行数据交互时,将数据通过区块链网络进行传输;子数据库之间通过区块链网络传输数据时,遵循区块链的共识机制,通过多个节点的验证和确认;在区块链网络中,每个子数据库都首先进行注册,获得一个唯一的编号ID,并将其加入到区块链网络中。
进一步的,所述入口子数据采用索引存储方式;所述出口子数据库中,采用基于日志的存储方式;所述编号ID的值介于最大和最小之间的子数据库采用列式存储方式或分布式存储方式。
本发明的高安全性数据库,具有以下有益效果:
高安全性:通过采用多重混沌映射算法对数据进行加密,以及基于属性的访问控制算法和区块链技术,可以有效保护数据库的机密性和完整性,防止未经授权的访问和数据篡改等安全问题的发生。同时,该系统还采用了审计模块进行访问行为分析,及时发现和解决安全问题,提高了数据库系统的整体安全性。
灵活性:该系统采用基于属性的访问控制算法,可以根据用户的属性值和预测概率分布来判断用户是否有权访问数据库,并可以限制用户只能访问其拥有权限的子数据库。这种灵活的访问控制方式可以满足不同用户的需求,并保证数据的安全性。
可扩展性:该系统采用区块链技术来存储数据和操作记录,确保数据的不可篡改性和可追溯性。这种技术可以帮助数据库系统实现分布式存储和管理,提高系统的可扩展性和容错性,适用于大规模分布式系统的应用场景。
高效性:该系统采用了基于日志的存储方式和列式存储方式等高效的存储方式,可以提高数据的读写效率和查询效率。此外,采用博弈论模型进行访问行为分析,可以快速准确地分析数据库的访问行为,提高了管理效率。
附图说明
图1为本发明实施例提供的高安全性数据库的各个子数据按照区块链结构彼此互联的结构示意图;
图2为本发明实施例提供的高安全性数据库的每个子数据的结构示意图。
具体实施方式
提供了一种高安全性的数据库系统,可以有效地保护数据的机密性、完整性和可用性。该系统采用基于属性的访问控制算法,可以根据用户的属性值和预测概率分布来判断用户是否有权访问数据库,并可以限制用户只能访问其拥有权限的子数据库。同时,该系统还采用多重混沌映射算法对数据进行加密,保证数据在传输和存储过程中的安全性。此外,该系统还使用区块链技术来存储数据和操作记录,确保数据的不可篡改性和可追溯性。审计模块采用博弈论模型进行访问行为分析,可以帮助管理人员及时发现和解决安全问题,提高了数据库系统的整体安全性。
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
以下分别进行详细说明。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。
实施例1
参考图1和图2,高安全性数据库,该数据库由若干个子数据库组成,并以区块链形式相互连接。每个子数据库地位相等,且具备唯一的编号ID。这种设计方式有助于确保数据库的高度安全性和可靠性。如果一个子数据库出现了问题,其他子数据库仍然可以保持正常运行,保证数据库的持续可用性。
数据库包括若干个以区块链形式彼此互联的子数据库,每个子数据库地位相等,且具备唯一的编号ID;按照每个子数据库的编号ID的值的大小,将编号ID的值为最大的子数据库作为入口子数据库;将编号ID的值为最小的子数据库作为出口子数据库。子数据库的编号ID的值的大小决定了它们在马尔科夫链中的位置。具体而言,将编号ID的值为最大的子数据库作为入口子数据库,将编号ID的值为最小的子数据库作为出口子数据库,而编号ID的值介于最大和最小之间的子数据库的编号ID的值组合成一个元素值的位置可变的马尔科夫链的转移矩阵。在设定的时间周期内,对自身的元素值的位置进行随机化调整,这有助于增加数据库的安全性和难度,使得黑客无法通过简单的预测和破解方式进行攻击。
图1中的的黑点代表子数据库,每个子数据具备一个编号ID,图1中有20个黑点,代表了20个子数据库,同样的,编号ID的范围就从1到20。而其中编号ID 的值最低为1,最高为20。则编号ID的值为1的子数据库为入口子数据库,编号ID的值为20的子数据库为出口子数据库。这些子数据库均通过区块链的形式彼此互联。
将编号ID的值介于最大和最小之间的子数据库的编号ID的值组合成一个元素值的位置可变的马尔科夫链的转移矩阵,所述转移矩阵在设定的时间周期内,对自身的元素值的位置进行随机化调整;所述子数据库均包括:加密模块、访问控制模块和审计模块;所述加密模块在子数据库中发生了数据的更改时运行,采用多重混沌映射进行加密;所述访问控制模块采用基于属性的访问控制算法对用户进行访问控制,具体包括:获取用户属性,根据预设的映射表,将用户属性映射为多个属性值,将这些属性值作为马尔科夫链的当前状态集合,再结合转移矩阵,得到预测概率分布,所述预测概率分布表征了转移矩阵中每个元素的概率,根据预测概率分布,得到该属性值访问各个子数据库的预测概率大小,将预测概率低于设定的值的子数据库对用户屏蔽;所述审计模块采用博弈论模型进行访问行为分析。
每个子数据库均包括加密模块、访问控制模块和审计模块,这些模块共同确保了数据库的安全性。加密模块在子数据库中发生了数据的更改时运行,采用多重混沌映射进行加密。访问控制模块采用基于属性的访问控制算法对用户进行访问控制。具体而言,该模块获取用户属性,根据预设的映射表,将用户属性映射为多个属性值,将这些属性值作为马尔科夫链的当前状态集合,再结合转移矩阵,得到预测概率分布。预测概率分布表征了转移矩阵中每个元素的概率。根据预测概率分布,得到该属性值访问各个子数据库的预测概率大小,将预测概率低于设定的值的子数据库对用户屏蔽。审计模块采用博弈论模型进行访问行为分析,有助于及时发现并防止恶意攻击。
该高安全性数据库的加密模块采用了多重混沌映射进行加密。混沌映射是一种非线性、无规则的映射,其具有高度复杂性和随机性。多重混沌映射是指将多个混沌映射组合起来使用,以增加加密的强度和安全性。采用多重混沌映射进行加密,使得黑客无法轻易地破解数据库中的数据,大大提高了数据库的安全性和可靠性。
访问控制模块采用基于属性的访问控制算法,这是一种现代的访问控制方法,相比传统的访问控制方法,其具有更高的安全性和可靠性。基于属性的访问控制算法根据用户的属性信息来控制用户对数据库的访问权限,将用户的属性映射为马尔科夫链的状态集合,通过转移矩阵和预测概率分布,确定用户可以访问哪些子数据库,从而确保了访问的合法性和安全性。
审计模块采用博弈论模型进行访问行为分析,这是一种先进的安全审计技术。博弈论是一种研究决策和策略的数学理论,通过博弈论模型,可以分析用户访问数据库的行为,发现并防止恶意攻击。采用博弈论模型进行访问行为分析,有助于保障数据库的安全性和可靠性,避免未知的风险和威胁。
入口子数据库是指编号ID值最大的子数据库,也是用户访问数据库的入口。对于一个用户访问入口子数据库的请求,访问控制模块会根据用户的属性值和预测概率分布,判断该用户是否有权访问入口子数据库。如果访问权被授权,该用户可以通过入口子数据库进入整个数据库系统。
出口子数据库则是编号ID值最小的子数据库,也是数据库系统与外界交互的出口。对于一个用户从数据库系统中访问外部资源的请求,访问控制模块会判断该请求是否合法,如果合法则通过出口子数据库将请求发送给外部资源。同时,审计模块会对出口子数据库的访问行为进行分析,以确保访问行为的合法性和安全性。
实施例2
在上一实施例的基础上,所述用户属性至少包括:身份属性、角色属性和权限属性。
身份属性是指用户的身份信息,例如姓名、身份证号码、工号等。身份属性可以唯一标识用户的身份,在访问控制过程中起到了至关重要的作用。通过身份属性,访问控制模块可以确定用户的身份,并验证其身份的合法性。只有经过身份验证的用户才能访问数据库中的敏感信息。
角色属性是指用户在组织中所担任的角色信息,例如管理员、普通用户等。不同的角色拥有不同的权限和访问控制策略。通过角色属性,访问控制模块可以识别用户的角色信息,从而决定用户可以访问哪些资源和数据。通过设置不同的角色属性,可以实现灵活、可扩展的访问控制策略,提高数据库的安全性和可靠性。
权限属性是指用户在数据库中所拥有的权限信息,例如读取、写入、修改等。通过权限属性,访问控制模块可以限制用户对数据库中敏感数据的访问权限。只有拥有相应权限的用户才能进行特定的操作。权限属性是数据库访问控制的重要组成部分,它确保了数据库中的数据不会被未经授权的用户所访问和修改。
实施例3
在上一实施例的基础上,所述转移矩阵在设定的时间周期内,对自身的元素值的位置进行随机化调整的方法包括:假设有n个子数据库,转移矩阵为
Figure SMS_120
,其中
Figure SMS_121
表示从第
Figure SMS_122
个子数据库转移到第
Figure SMS_123
个子数据库的概率,且有
Figure SMS_124
在设定的时间周期内,对自身的元素值的位置进行随机化调整,具体包括:将编号ID的值介于最大和最小之间的子数据库的编号ID的值组合成一个元素值的位置可变的马尔科夫链的转移矩阵,随机调整元素值的位置。
将数据库系统分成多个子数据库,每个子数据库具有唯一的编号ID,形成一个区块链网络。通过基于属性的访问控制算法,对每个用户的属性进行分析和预测,可以在进入入口子数据库之前进行访问控制,有效防止恶意攻击和未经授权的访问。同时,将每个子数据库都配备加密模块、访问控制模块和审计模块,可以对数据库中的数据进行加密保护、严格控制用户的访问权限,并对用户的访问行为进行实时监控和审计,保障数据库系统的安全性。
将数据库系统分成多个子数据库,可以有效降低系统的复杂度,提高系统的可靠性。当系统中的一个子数据库发生故障或被攻击时,只会影响到该子数据库的数据,而不会影响到整个数据库系统。同时,将数据库系统中的数据分散存储在多个子数据库中,可以提高数据的可用性和可靠性,防止因单点故障导致数据丢失或系统瘫痪的情况发生。
将数据库系统分成多个子数据库,可以根据实际需求进行扩展。当系统的访问压力增大或数据量增加时,可以通过增加子数据库的数量和容量来扩展系统的性能和容量。同时,由于子数据库之间采用区块链网络相互连接,可以实现分布式的数据存储和计算,支持高并发访问和快速响应,进一步提高系统的可扩展性和性能。
实施例4
在上一实施例的基础上,所述随机调整元素值的位置,具体包括:将转移矩阵
Figure SMS_125
转换成向量形式,即
Figure SMS_126
Figure SMS_127
的每一个元素的下标从二维的
Figure SMS_128
转换成一维的
Figure SMS_129
,即:
Figure SMS_130
对于转移矩阵的每个元素
Figure SMS_140
,随机生成一个介于
Figure SMS_133
Figure SMS_144
之间的随机数
Figure SMS_134
;将转移矩阵的每个元素按照对应的随机数进行排序,得到新的元素位置序列
Figure SMS_135
;将新的元素位置序列
Figure SMS_138
映射回二维矩阵中,得到新的转移矩阵
Figure SMS_142
;将新的转移矩阵
Figure SMS_139
还原为二维矩阵形式;其中,
Figure SMS_141
表示子数据库的数量,
Figure SMS_131
表示从第
Figure SMS_136
个子数据库转移到第
Figure SMS_143
个子数据库的概率,
Figure SMS_146
表示随机生成的介于
Figure SMS_145
Figure SMS_147
之间的随机数,
Figure SMS_132
表示新的元素位置序列,
Figure SMS_137
表示经过元素位置随机化调整后得到的新的转移矩阵。
高安全性数据库中存储着许多敏感的数据和信息,如个人身份证号码、银行卡信息等。黑客往往试图通过破解其中一个子数据库来访问其他子数据库中的敏感数据。通过随机化调整转移矩阵的元素值的位置,黑客无法轻易地预测下一个访问的子数据库,从而大大提高了数据的安全性。
黑客利用各种手段对数据库进行攻击,例如暴力破解、DDoS攻击等。在高安全性数据库中,转移矩阵的随机化调整可以增加黑客攻击的难度。黑客需要在有限的时间内破解多个子数据库,如果转移矩阵中的元素值位置被随机化了,黑客就需要额外的时间和资源来破解这些子数据库,从而降低攻击的成功率。
在高安全性数据库中,用户可能会有恶意行为,试图访问不被授权的子数据库,或者试图篡改数据库中的数据。通过随机化调整转移矩阵,可以限制用户的行为,确保他们只能访问被授权的子数据库和数据,从而防止恶意行为的发生。
实施例5
在上一实施例的基础上,所述加密模块在子数据库中发生了数据的更改时运行,采用多重混沌映射进行加密的方法包括:假设待加密的数据为
Figure SMS_148
,加密后的结果为
Figure SMS_152
,加密密钥为
Figure SMS_154
;选择合适的初值
Figure SMS_150
,确定各混沌系统的参数
Figure SMS_151
,以及初始密钥
Figure SMS_155
,其中,
Figure SMS_157
Figure SMS_149
均为实数;首先进行混沌映射得到三个随机序列
Figure SMS_153
,然后利用这三个序列进行异或运算,生成一个伪随机序列
Figure SMS_156
,即
Figure SMS_158
其中
Figure SMS_159
表示由
Figure SMS_160
和密钥
Figure SMS_161
共同决定的函数,用于产生加密密钥
Figure SMS_162
;使用加密密钥
Figure SMS_163
对数据
Figure SMS_164
进行加密,即:
Figure SMS_165
根据加密后的结果
Figure SMS_166
,更新密钥
Figure SMS_167
,即:
Figure SMS_168
其中
Figure SMS_170
表示一个更新密钥的函数;其中,
Figure SMS_173
表示待加密的数据,
Figure SMS_177
表示加密后的结果,
Figure SMS_172
表示加密密钥,
Figure SMS_175
为初值,
Figure SMS_178
为混沌系统的参数,
Figure SMS_180
为初始密钥,
Figure SMS_169
表示混沌映射生成的随机序列,
Figure SMS_174
为由随机序列
Figure SMS_176
异或得到的伪随机序列,
Figure SMS_179
为生成的加密密钥,
Figure SMS_171
为更新密钥的函数。
多重混沌映射加密方法的加密强度很高,不易被破解。由于采用了多层混沌映射,生成的伪随机序列具有较高的随机性,从而增加了破解的难度,保证了数据的安全性。
多重混沌映射加密方法的实现相对简单,只需要选取合适的混沌系统参数和初值,利用混沌映射生成随机序列,然后进行异或运算即可实现数据的加密。同时,该方法的解密过程也很简单,只需要按照相同的方法生成加密密钥并进行异或运算即可还原数据。
实施例6
在上一实施例的基础上,所述假设有
Figure SMS_183
个子数据库,每个子数据库的编号为
Figure SMS_186
,用户的属性为
Figure SMS_190
,映射表为
Figure SMS_184
,属性值的编码为
Figure SMS_188
,属性集合为
Figure SMS_192
,状态集合为
Figure SMS_195
,转移概率矩阵为
Figure SMS_181
,则基于属性的访问控制算法的具体步骤如下:获取用户属性
Figure SMS_187
;根据映射表
Figure SMS_191
,将用户属性
Figure SMS_194
映射为多个属性值
Figure SMS_182
;对于每个属性值
Figure SMS_185
,根据其映射后的值
Figure SMS_189
,使用可逆的编码算法
Figure SMS_193
进行编码,得到编码后的属性值:
Figure SMS_196
将所有编码后的属性值
Figure SMS_197
合并为一个属性集合:
Figure SMS_198
对于每个属性集合
Figure SMS_199
,计算其对应的状态:
Figure SMS_200
其中
Figure SMS_201
为指示函数,表示如果
Figure SMS_202
属于
Figure SMS_203
,则:
Figure SMS_204
否则
Figure SMS_205
根据计算出来的所有状态
Figure SMS_208
,定义状态集
Figure SMS_211
,其中
Figure SMS_212
为所有可能的状态数量;对于状态集合
Figure SMS_207
中的每个状态
Figure SMS_210
和子数据库
Figure SMS_213
,计算其对应的转移概率
Figure SMS_214
,即从状态
Figure SMS_206
转移到子数据库
Figure SMS_209
的概率,其计算公式如下:
Figure SMS_215
其中
Figure SMS_216
为指示函数,表示如果从状态
Figure SMS_217
转移到子数据库j的概率大于0,则:
Figure SMS_218
否则
Figure SMS_219
对于每个子数据库
Figure SMS_230
,根据预测概率
Figure SMS_221
和设定的阈值
Figure SMS_227
,如果
Figure SMS_234
,则允许用户访问该子数据库;如果
Figure SMS_237
,则禁止用户访问该子数据库;其中,
Figure SMS_236
表示子数据库的数量,
Figure SMS_238
表示子数据库的编号,
Figure SMS_228
表示用户的属性,
Figure SMS_233
为属性映射表,
Figure SMS_220
表示属性值的编码算法,
Figure SMS_224
为属性值
Figure SMS_223
编码后的结果,
Figure SMS_225
表示属性集合,
Figure SMS_229
表示状态,
Figure SMS_232
表示状态集合,
Figure SMS_222
表示马尔可夫链的转移概率矩阵,
Figure SMS_226
表示从状态
Figure SMS_231
转移到子数据库
Figure SMS_235
的概率。
具体来说,该算法是基于属性的访问控制算法,可以根据用户的属性和马尔科夫链的转移概率矩阵来控制用户对子数据库的访问权限。首先,获取用户属性
Figure SMS_239
,并根据映射表
Figure SMS_240
将用户属性A映射为多个属性值
Figure SMS_241
。这里的映射表
Figure SMS_242
通常是预设好的,可以根据不同的应用场景自由设定,例如用户的身份、角色、权限等。
然后,对于每个属性值
Figure SMS_243
,使用可逆的编码算法
Figure SMS_244
对其映射后的值
Figure SMS_245
进行编码,得到编码后的属性值
Figure SMS_246
。这里的可逆编码算法
Figure SMS_247
可以采用任何可以将属性值转换为固定长度二进制码的算法,例如Base64、Huffman编码等。编码后的属性值
Figure SMS_248
可以被看做是该属性值在访问控制算法中的唯一标识符。
接下来,将所有编码后的属性值
Figure SMS_249
合并为一个属性集合
Figure SMS_250
。对于每个属性集合
Figure SMS_251
,计算其对应的状态
Figure SMS_252
。这里的状态
Figure SMS_253
可以看做是属性集合
Figure SMS_254
在访问控制算法中的抽象表示,可以用于表示不同的用户权限。
为了方便起见,对于所有可能的状态集合,定义状态集合:
Figure SMS_255
其中
Figure SMS_256
为所有可能的状态数量。
对于状态集合
Figure SMS_257
中的每个状态
Figure SMS_258
和子数据库
Figure SMS_259
,计算其对应的转移概率
Figure SMS_260
,即从状态
Figure SMS_261
转移到子数据库
Figure SMS_262
的概率。这里的转移概率可以根据实际需求设定,例如可以采用用户历史访问记录来估计转移概率。
最后,根据预测概率
Figure SMS_263
和设定的阈值
Figure SMS_264
,如果
Figure SMS_265
,则允许用户访问该子数据库;如果
Figure SMS_266
,则禁止用户访问该子数据库。这里的阈值
Figure SMS_267
可以根据实际需求设定,例如可以根据系统性能、安全性要求等因素来综合考虑。
总之,该基于属性的访问控制算法可以根据用户的属性和历史访问记录来估计用户对子数据库的访问概率,从而实现高效、安全的数据库访问控制。
实施例7
在上一实施例的基础上,所述入口子数据库是编号ID值最大的子数据库,是用户访问数据库的入口;对于一个用户访问入口子数据库的请求,访问控制模块根据用户的属性值和预测概率分布,判断该用户是否有权访问入口子数据库;如果访问权被授权,该用户可以通过入口子数据库进入整个数据库系统。
对于高安全性数据库系统的出口子数据库,其主要功能是实现与外部系统的安全交互,并对数据传输进行保护。当用户从数据库系统中访问外部资源时,访问控制模块会对请求进行认证和授权,判断该请求是否合法并有权访问该资源。如果请求被授权,访问控制模块会将请求通过出口子数据库发送给外部资源。
同时,审计模块也会对出口子数据库的访问行为进行分析。通过博弈论模型的分析,审计模块可以检测出出口子数据库是否存在异常的访问行为,例如非授权访问、数据篡改等。如果出现异常行为,审计模块会及时报警并采取相应的安全措施,以保护数据库系统的安全性。
总之,出口子数据库是高安全性数据库系统的重要组成部分,它不仅实现了数据库系统与外界系统的安全交互,同时也是对访问行为进行监控和分析的关键节点。
实施例8
在上一实施例的基础上,所述出口子数据库则是编号ID值最小的子数据库,是数据库系统与外界交互的出口;对于一个用户从数据库系统中访问外部资源的请求,访问控制模块会判断该请求是否合法,如果合法则通过出口子数据库将请求发送给外部资源;同时,审计模块会对出口子数据库的访问行为进行分析,以确保访问行为的合法性和安全性。
在高安全性数据库系统中,每个子数据库都维护着一个区块链,这个区块链包含了该子数据库所存储的所有数据和操作记录。这样可以保证数据的完整性和可追溯性,一旦有数据被篡改或者删除,就能够通过区块链上的记录进行追溯。当一个子数据库需要与其他子数据库进行数据交互时,将数据通过区块链网络进行传输,这样可以避免数据被篡改或者丢失。子数据库之间通过区块链网络传输数据时,遵循区块链的共识机制,即需要多个节点的验证和确认。这种共识机制可以保证数据的安全性和可靠性,同时也可以防止数据被篡改。在区块链网络中,每个子数据库都需要进行注册,获得一个唯一的编号ID,并将其加入到区块链网络中。这样可以确保每个子数据库都是合法的,并且可以被其他子数据库识别和信任。
实施例9
在上一实施例的基础上,所述子数据库均维护着一个区块链,其中包含了该子数据库所存储的所有数据和操作记录;当一个子数据库需要与其他子数据库进行数据交互时,将数据通过区块链网络进行传输;子数据库之间通过区块链网络传输数据时,遵循区块链的共识机制,通过多个节点的验证和确认;在区块链网络中,每个子数据库都首先进行注册,获得一个唯一的编号ID,并将其加入到区块链网络中。
在高安全性数据库中,子数据库之间是通过区块链技术进行连接和交互的。区块链是一种去中心化的分布式数据库,其中的每个区块都包含了之前所有区块的信息,形成了一个不可篡改、不可逆转的链式结构。在高安全性数据库中,每个子数据库都包含一个区块链,通过这些区块链相互连接,形成了一个整体的区块链网络。具体而言,子数据库之间的连接和交互主要有以下几个步骤:
1.子数据库的注册
在区块链网络中,每个子数据库都需要先进行注册,获得一个唯一的编号ID,并将其加入到区块链网络中。在注册过程中,需要进行身份验证和权限控制,确保只有经过授权的子数据库才能加入到区块链网络中。
2.区块链数据交互
每个子数据库都维护着一个区块链,其中包含了该子数据库所存储的所有数据和操作记录。当一个子数据库需要与其他子数据库进行数据交互时,需要将数据通过区块链网络进行传输。具体而言,子数据库之间通过区块链网络传输数据时,需要遵循区块链的共识机制,通过多个节点的验证和确认,确保传输的数据不被篡改或丢失。
3.共享区块链数据
子数据库之间可以共享彼此的区块链数据,以实现数据的共享和交换。具体而言,当一个子数据库需要访问另一个子数据库中的数据时,可以通过查询该子数据库的区块链数据实现。同时,由于每个子数据库都维护着一个独立的区块链,因此在数据共享过程中,可以实现数据的隔离和保护,保障数据的安全性。
通过区块链技术的连接和交互,可以实现子数据库之间的高效数据传输和共享,支持分布式的数据存储和计算,提高数据库系统的可扩展性和性能。同时,区块链的去中心化和不可篡改特性,可以保障数据的安全性和完整性。
实施例10
在上一实施例的基础上,所述入口子数据采用索引存储方式;所述出口子数据库中,采用基于日志的存储方式;所述编号ID的值介于最大和最小之间的子数据库采用列式存储方式或分布式存储方式。
入口子数据库是整个数据库系统的入口,其存储方式需要保证对数据的快速读取和查询。因此,在入口子数据库中,通常采用索引存储方式来加快数据查询速度。索引存储方式会为表中的某个列创建索引,将该列的数据值和对应的行位置一起存储在一个数据结构中。这样,在查询数据时,系统可以通过索引快速定位到对应的数据行,从而提高查询效率。
出口子数据库是整个数据库系统的出口,其存储方式需要保证对数据的快速写入和更新。因此,在出口子数据库中,通常采用基于日志的存储方式。基于日志的存储方式会将所有的数据更新操作记录下来,形成一个日志文件。当需要读取数据时,系统会先从日志文件中读取数据,然后再根据需要更新数据表。这种存储方式可以保证数据的可靠性和完整性,同时也可以提高数据的写入速度。
其他的子数据库存储方式相对比较灵活,可以根据具体的需求进行选择。例如,在需要对大量数据进行聚合分析时,可以采用列式存储方式,将每个列存储在单独的文件中,以减少读取数据时的数据传输量。在需要对多个表进行关联查询时,可以采用分布式存储方式,将不同表的数据存储在不同的节点中,以提高查询效率和可扩展性。
具体的,审计模块采用博弈论模型进行访问行为分析。博弈论模型在高安全性数据库的访问行为分析中起着重要作用,它可以分析用户在访问数据库时的行为和策略,从而提高数据库的安全性和可靠性。
具体来说,该博弈论模型可以分为两个主要部分:博弈论模型的建立和博弈论求解器的应用。
1.博弈论模型的建立:
在博弈论模型中,将用户和数据库系统视为两个博弈方,用户与数据库系统之间的交互过程可以看做是一个博弈的过程。为了建立博弈论模型,需要定义以下参数:
策略集合:用户和数据库系统的策略集合,分别为
Figure SMS_268
Figure SMS_269
支付矩阵:包括用户和数据库系统的支付矩阵,分别为
Figure SMS_271
Figure SMS_274
,其中
Figure SMS_275
表示用户采用策略
Figure SMS_270
,数据库系统采用策略
Figure SMS_273
时用户的收益,
Figure SMS_276
表示数据库系统采用策略
Figure SMS_277
,用户采用策略
Figure SMS_272
时数据库系统的收益。
转移概率矩阵:表示用户和数据库系统在每个时刻根据对方的先前行动和自身状态选择策略的概率,分别为
Figure SMS_278
Figure SMS_279
在博弈论模型中,用户和数据库系统将根据自身的策略和转移概率矩阵选择行动,并根据收益矩阵获得相应的收益。其中,收益矩阵的值将取决于用户和数据库系统的策略选择。
2.博弈论求解器的应用
为了分析和解决博弈论模型,需要应用博弈论求解器。博弈论求解器可以求解博弈的纳什均衡解,即使得所有博弈方都没有更好的策略选择的策略组合。
博弈论求解器需要输入上述参数,以及一些其他参数,如博弈论的类型、求解器类型等等。在求解器中,将计算所有可能的策略选择,并通过比较每个策略选择的收益来确定最优策略。
在高安全性数据库中,博弈论模型和求解器的应用可以提高系统的安全性和可靠性。具体而言,可以通过博弈论模型来分析和预测用户和数据库系统之间的交互过程,从而优化策略选择,提高系统的安全性和效率。
博弈论的模型公式如下:
Figure SMS_280
其中,
Figure SMS_282
表示数据库中的子数据库数量,
Figure SMS_286
表示用户数量,
Figure SMS_288
表示第i个用户的可信度,
Figure SMS_283
表示第
Figure SMS_285
个子数据库的安全性得分,
Figure SMS_287
表示第i个用户访问第j个子数据库的概率,
Figure SMS_289
表示用户对自身的可信度的重视程度,
Figure SMS_281
表示子数据库对自身安全性得分的重视程度,
Figure SMS_284
表示用户和子数据库的博弈权重。
算法的具体步骤如下:
1.初始化用户和子数据库的可信度和安全性得分,以及博弈权重;
2.对于每个用户
Figure SMS_290
,计算其访问每个子数据库
Figure SMS_291
的概率
Figure SMS_292
,根据属性访问控制算法得到;
3.对于每个子数据库
Figure SMS_293
,计算其安全性得分
Figure SMS_294
,根据审计模块进行分析得到;
4.对于每个用户
Figure SMS_295
和子数据库
Figure SMS_296
的组合,计算其博弈收益矩阵
Figure SMS_297
,其中
Figure SMS_298
表示用户不访问该子数据库、该子数据库不与用户交互的收益;
Figure SMS_299
表示用户不访问该子数据库、该子数据库与用户交互的收益;
Figure SMS_300
表示用户访问该子数据库、该子数据库不与用户交互的收益;
Figure SMS_301
表示用户访问该子数据库、该子数据库与用户交互的收益;
5.对于每个用户
Figure SMS_302
,计算其最优策略,即选择最大收益的子数据库;
6.对于每个子数据库
Figure SMS_303
,计算其最优策略,即选择最大收益的用户;
7.根据博弈理论中的Nash均衡概念,得到用户和子数据库的最优策略,即在该状态下,双方都无法通过改变自己的策略获得更大的收益;
8.更新用户和子数据库的可信度和安全性得分,以及博弈权重;
重复执行2-8,直至收敛或达到最大迭代次数。
该算法通过博弈论模型分析用户和子数据库之间的互动关系,以及它们之间的利益关系,从而找到最优的访问策略。通过不断地更新用户和子数据库的可信度和安全性得分,以及博弈权重,使得算法逐渐趋向于收敛,并最终得到最优的访问策略。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,RandomAccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述,以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (10)

1.高安全性数据库,其特征在于,所述数据库包括若干个以区块链形式彼此互联的子数据库,每个子数据库地位相等,且具备唯一的编号ID;按照每个子数据库的编号ID的值的大小,将编号ID的值为最大的子数据库作为入口子数据库;将编号ID的值为最小的子数据库作为出口子数据库;将编号ID的值介于最大和最小之间的子数据库的编号ID的值组合成一个元素值的位置可变的马尔科夫链的转移矩阵,所述转移矩阵在设定的时间周期内,对自身的元素值的位置进行随机化调整;所述子数据库均包括:加密模块、访问控制模块和审计模块;所述加密模块在子数据库中发生了数据的更改时运行,采用多重混沌映射进行加密;所述访问控制模块采用基于属性的访问控制算法对用户进行访问控制,具体包括:获取用户属性,根据预设的映射表,将用户属性映射为多个属性值,将这些属性值作为马尔科夫链的当前状态集合,再结合转移矩阵,得到预测概率分布,所述预测概率分布表征了转移矩阵中每个元素的概率,根据预测概率分布,得到该属性值访问各个子数据库的预测概率大小,将预测概率低于设定的值的子数据库对用户屏蔽;所述审计模块采用博弈论模型进行访问行为分析。
2.如权利要求1所述的高安全性数据库,其特征在于,所述用户属性至少包括:身份属性、角色属性和权限属性。
3.如权利要求1所述的高安全性数据库,其特征在于,所述转移矩阵在设定的时间周期内,对自身的元素值的位置进行随机化调整的方法包括:假设有n个子数据库,转移矩阵为
Figure QLYQS_1
,其中
Figure QLYQS_2
表示从第
Figure QLYQS_3
个子数据库转移到第
Figure QLYQS_4
个子数据库的概率,且有
Figure QLYQS_5
在设定的时间周期内,对自身的元素值的位置进行随机化调整,具体包括:将编号ID的值介于最大和最小之间的子数据库的编号ID的值组合成一个元素值的位置可变的马尔科夫链的转移矩阵,随机调整元素值的位置。
4.如权利要求3所述的高安全性数据库,其特征在于,所述随机调整元素值的位置,具体包括:将转移矩阵
Figure QLYQS_6
转换成向量形式,即
Figure QLYQS_7
Figure QLYQS_8
的每一个元素的下标从二维的
Figure QLYQS_9
转换成一维的
Figure QLYQS_10
,即:
Figure QLYQS_11
对于转移矩阵的每个元素
Figure QLYQS_21
,随机生成一个介于
Figure QLYQS_15
Figure QLYQS_18
之间的随机数
Figure QLYQS_14
;将转移矩阵的每个元素按照对应的随机数进行排序,得到新的元素位置序列
Figure QLYQS_19
;将新的元素位置序列
Figure QLYQS_22
映射回二维矩阵中,得到新的转移矩阵
Figure QLYQS_25
;将新的转移矩阵
Figure QLYQS_20
还原为二维矩阵形式;其中,
Figure QLYQS_24
表示子数据库的数量,
Figure QLYQS_13
表示从第
Figure QLYQS_16
个子数据库转移到第
Figure QLYQS_23
个子数据库的概率,
Figure QLYQS_27
表示随机生成的介于
Figure QLYQS_26
Figure QLYQS_28
之间的随机数,
Figure QLYQS_12
表示新的元素位置序列,
Figure QLYQS_17
表示经过元素位置随机化调整后得到的新的转移矩阵。
5.如权利要求1所述的高安全性数据库,其特征在于,所述加密模块在子数据库中发生了数据的更改时运行,采用多重混沌映射进行加密的方法包括:假设待加密的数据为
Figure QLYQS_30
,加密后的结果为
Figure QLYQS_33
,加密密钥为
Figure QLYQS_36
;选择合适的初值
Figure QLYQS_29
,确定各混沌系统的参数
Figure QLYQS_34
,以及初始密钥
Figure QLYQS_37
,其中,
Figure QLYQS_39
Figure QLYQS_31
均为实数;首先进行混沌映射得到三个随机序列
Figure QLYQS_32
,然后利用这三个序列进行异或运算,生成一个伪随机序列
Figure QLYQS_35
,即
Figure QLYQS_38
其中
Figure QLYQS_40
表示由
Figure QLYQS_41
和密钥
Figure QLYQS_42
共同决定的函数,用于产生加密密钥
Figure QLYQS_43
;使用加密密钥
Figure QLYQS_44
对数据
Figure QLYQS_45
进行加密,即:
Figure QLYQS_46
根据加密后的结果
Figure QLYQS_47
,更新密钥
Figure QLYQS_48
,即:
Figure QLYQS_49
其中
Figure QLYQS_52
表示一个更新密钥的函数;其中,
Figure QLYQS_56
表示待加密的数据,
Figure QLYQS_58
表示加密后的结果,
Figure QLYQS_53
表示加密密钥,
Figure QLYQS_55
为初值,
Figure QLYQS_59
为混沌系统的参数,
Figure QLYQS_61
为初始密钥,
Figure QLYQS_50
表示混沌映射生成的随机序列,
Figure QLYQS_54
为由随机序列
Figure QLYQS_57
异或得到的伪随机序列,
Figure QLYQS_60
为生成的加密密钥,
Figure QLYQS_51
为更新密钥的函数。
6.如权利要求4所述的高安全性数据库,其特征在于,假设有
Figure QLYQS_64
个子数据库,每个子数据库的编号为
Figure QLYQS_70
,用户的属性为
Figure QLYQS_74
,映射表为
Figure QLYQS_65
,属性值的编码为
Figure QLYQS_67
,属性集合为
Figure QLYQS_71
,状态集合为
Figure QLYQS_75
,转移概率矩阵为
Figure QLYQS_62
,则基于属性的访问控制算法的具体步骤如下:获取用户属性
Figure QLYQS_68
;根据映射表
Figure QLYQS_72
,将用户属性
Figure QLYQS_76
映射为多个属性值
Figure QLYQS_63
;对于每个属性值
Figure QLYQS_66
,根据其映射后的值
Figure QLYQS_69
,使用可逆的编码算法
Figure QLYQS_73
进行编码,得到编码后的属性值:
Figure QLYQS_77
将所有编码后的属性值
Figure QLYQS_78
合并为一个属性集合:
Figure QLYQS_79
对于每个属性集合
Figure QLYQS_80
,计算其对应的状态:
Figure QLYQS_81
其中
Figure QLYQS_82
为指示函数,表示如果
Figure QLYQS_83
属于
Figure QLYQS_84
,则:
Figure QLYQS_85
否则
Figure QLYQS_86
根据计算出来的所有状态
Figure QLYQS_88
,定义状态集合
Figure QLYQS_90
,其中
Figure QLYQS_93
为所有可能的状态数量;对于状态集合
Figure QLYQS_89
中的每个状态
Figure QLYQS_91
和子数据库
Figure QLYQS_94
,计算其对应的转移概率
Figure QLYQS_95
,即从状态
Figure QLYQS_87
转移到子数据库
Figure QLYQS_92
的概率,其计算公式如下:
Figure QLYQS_96
其中
Figure QLYQS_97
为指示函数,表示如果从状态
Figure QLYQS_98
转移到子数据库j的概率大于0,则:
Figure QLYQS_99
=1
Figure QLYQS_100
Figure QLYQS_101
对于每个子数据库
Figure QLYQS_112
,根据预测概率
Figure QLYQS_103
和设定的阈值
Figure QLYQS_108
,如果
Figure QLYQS_116
,则允许用户访问该子数据库;如果
Figure QLYQS_119
,则禁止用户访问该子数据库;其中,
Figure QLYQS_118
表示子数据库的数量,
Figure QLYQS_120
表示子数据库的编号,
Figure QLYQS_111
表示用户的属性,
Figure QLYQS_115
为属性映射表,
Figure QLYQS_102
表示属性值的编码算法,
Figure QLYQS_106
为属性值
Figure QLYQS_105
编码后的结果,
Figure QLYQS_109
表示属性集合,
Figure QLYQS_113
表示状态,
Figure QLYQS_117
表示状态集合,
Figure QLYQS_104
表示马尔可夫链的转移概率矩阵,
Figure QLYQS_107
表示从状态
Figure QLYQS_110
转移到子数据库
Figure QLYQS_114
的概率。
7.如权利要求6所述的高安全性数据库,其特征在于,所述入口子数据库是编号ID值最大的子数据库,是用户访问数据库的入口;对于一个用户访问入口子数据库的请求,访问控制模块根据用户的属性值和预测概率分布,判断该用户是否有权访问入口子数据库;如果访问权被授权,该用户可以通过入口子数据库进入整个数据库系统。
8.如权利要求1所述的高安全性数据库,其特征在于,所述出口子数据库则是编号ID值最小的子数据库,是数据库系统与外界交互的出口;对于一个用户从数据库系统中访问外部资源的请求,访问控制模块会判断该请求是否合法,如果合法则通过出口子数据库将请求发送给外部资源;同时,审计模块会对出口子数据库的访问行为进行分析,以确保访问行为的合法性和安全性。
9.如权利要求1所述的高安全性数据库,其特征在于,所述子数据库均维护着一个区块链,其中包含了该子数据库所存储的所有数据和操作记录;当一个子数据库需要与其他子数据库进行数据交互时,将数据通过区块链网络进行传输;子数据库之间通过区块链网络传输数据时,遵循区块链的共识机制,通过多个节点的验证和确认;在区块链网络中,每个子数据库都首先进行注册,获得一个唯一的编号ID,并将其加入到区块链网络中。
10.如权利要求1所述的高安全性数据库,其特征在于,所述入口子数据采用索引存储方式;所述出口子数据库中,采用基于日志的存储方式;所述编号ID的值介于最大和最小之间的子数据库采用列式存储方式或分布式存储方式。
CN202310423545.2A 2023-04-20 2023-04-20 高安全性数据库 Active CN116167089B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310423545.2A CN116167089B (zh) 2023-04-20 2023-04-20 高安全性数据库

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310423545.2A CN116167089B (zh) 2023-04-20 2023-04-20 高安全性数据库

Publications (2)

Publication Number Publication Date
CN116167089A CN116167089A (zh) 2023-05-26
CN116167089B true CN116167089B (zh) 2023-07-14

Family

ID=86416635

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310423545.2A Active CN116167089B (zh) 2023-04-20 2023-04-20 高安全性数据库

Country Status (1)

Country Link
CN (1) CN116167089B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117828568B (zh) * 2024-01-03 2024-08-06 北京新数科技有限公司 一种基于细粒度访问控制的数据库审计方法、系统、设备及可读存储介质
CN117592087B (zh) * 2024-01-18 2024-05-07 三一智造(深圳)有限公司 一种基于区块链的数据安全加密保护系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1701343A (zh) * 2002-09-20 2005-11-23 德克萨斯大学董事会 用于信息发现以及关联分析的计算机程序产品、系统以及方法
US8402263B2 (en) * 2011-03-31 2013-03-19 Mitsubishi Electric Research Laboratories, Inc. Privacy-preserving probabilistic inference based on hidden Markov models
US10146958B2 (en) * 2013-03-14 2018-12-04 Mitsubishi Electric Research Laboratories, Inc. Privacy preserving statistical analysis on distributed databases
CN104462559B (zh) * 2014-12-25 2018-08-07 广东电子工业研究院有限公司 一种主流关系型数据库表模式对象化和虚拟化方法
FR3047586A1 (fr) * 2016-02-09 2017-08-11 Orange Procede et dispositif d'anonymisation de donnees stockees dans une base de donnees
US10460035B1 (en) * 2016-12-26 2019-10-29 Cerner Innovation, Inc. Determining adequacy of documentation using perplexity and probabilistic coherence
CN108024156B (zh) * 2017-12-14 2020-04-14 四川大学 一种基于隐马尔可夫模型的部分可靠视频传输方法
WO2019195820A1 (en) * 2018-04-06 2019-10-10 Daniel Maurice Lerner Securing temporal digital communications via authentication and validation
CN113904764B (zh) * 2021-09-18 2023-06-16 大连大学 基于多尺度压缩感知和马尔科夫模型的图像加密方法

Also Published As

Publication number Publication date
CN116167089A (zh) 2023-05-26

Similar Documents

Publication Publication Date Title
CN116167089B (zh) 高安全性数据库
Lee et al. Modifiable public blockchains using truncated hashing and sidechains
WO2017202759A1 (en) Cryptologic rewritable blockchain
Zhao et al. Mchain: a blockchain-based VM measurements secure storage approach in IaaS cloud with enhanced integrity and controllability
Cheng et al. Accountable privacy-preserving mechanism for cloud computing based on identity-based encryption
CN109829333A (zh) 一种基于OpenID的关键信息保护方法及系统
Shivaramakrishna et al. A novel hybrid cryptographic framework for secure data storage in cloud computing: Integrating AES-OTP and RSA with adaptive key management and Time-Limited access control
CN114301624A (zh) 一种应用于金融业务的基于区块链的防篡改系统
Yang et al. An access control model based on blockchain master-sidechain collaboration
Shekhtman et al. EngraveChain: Tamper-proof distributed log system
CN117216740A (zh) 一种基于区块链技术的数字身份认证方法
Akbarfam et al. Dlacb: Deep learning based access control using blockchain
Said et al. A multi-factor authentication-based framework for identity management in cloud applications
Yang et al. A Hybrid Blockchain-Based Authentication Scheme for Smart Home
Akbarfam et al. Deep Learning meets Blockchain for Automated and Secure Access Control
CN114124392B (zh) 支持访问控制的数据可控流通方法、系统、设备和介质
Yao et al. Privacy information antistealing control method of medical system based on cloud computing
Li et al. Epps: Efficient privacy-preserving scheme in distributed deep learning
KN The intelligent information integrity model to ensure the database protection using blockchain in cloud networking
CN112035853B (zh) 一种基于企业云盘的存储数据访问控制系统
Liu et al. Risk‐Based Dynamic Identity Authentication Method Based on the UCON Model
Namane et al. Grid and cloud computing security: A comparative survey
Liu et al. A Blockchain‐Based Personal Health Record System for Emergency Situation
Yuan et al. A Security Perspective of Blockchain Technology in the Financial Sector
Jodayree et al. Preventing Image Data Poisoning Attacks in Federated Machine Learning by an Encrypted Verification Key

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant