JP2016081192A - データベース評価装置、方法及びプログラム、並びにデータベース分割装置、方法及びプログラム - Google Patents
データベース評価装置、方法及びプログラム、並びにデータベース分割装置、方法及びプログラム Download PDFInfo
- Publication number
- JP2016081192A JP2016081192A JP2014210218A JP2014210218A JP2016081192A JP 2016081192 A JP2016081192 A JP 2016081192A JP 2014210218 A JP2014210218 A JP 2014210218A JP 2014210218 A JP2014210218 A JP 2014210218A JP 2016081192 A JP2016081192 A JP 2016081192A
- Authority
- JP
- Japan
- Prior art keywords
- database
- distribution
- data
- distance
- dividing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
クラウド上のシステムでは複数のサーバを仮想的に統合して利用しているため、一部のストレージに故障やバグが生じることや、異なる管理者のデータセンターのサーバを統合している場合には一部の管理者が不正を働くなど、部分的にインシデントが発生する可能性がある。それらのインシデントにより脆弱性が顕在化した場合、システムの一部のユーザの秘密情報が大量に漏洩する可能性がある。
また、情報漏洩が発覚した直後、対象ユーザは早期に情報を変更すると考えられるが、それ以外のユーザは、複数のサービスで同一の情報を使用していることなどに起因する変更の煩わしさから、変更に消極的であることが考えられる。
また、秘密情報として用いられるパスワードや生体情報などの認証情報、あるいは物理的なソースなどの多くは、各値が一様に生起しない非一様な情報である。それらの非一様性を普遍的にモデル化することは容易ではないが、一部のユーザの秘密情報を知ることができれば、クラウド上のシステムの他のユーザの秘密情報の偏りを推測できる可能性がある。このような秘密情報の非一様性を利用した攻撃は、総当たり的に攻撃するよりも効率的に攻撃を遂行できる。
(1) データベースを評価するデータベース評価装置であって、前記データベースのうちの一部分である第1データベースと、前記データベースのうちの前記第1データベース以外の部分である第2データベースとにおいて、前記第1データベースが漏洩したと仮定した場合に、前記第1データベースのデータ分布である第1分布に基づいて、前記第2データベースのデータ分布である第2分布を推測する推測手段と、前記推測手段によって推測された推測分布において選択されたデータと、前記第2分布において選択されたデータとが一致して攻撃が成功する確率である平均攻撃成功確率を評価指標とし、前記評価指標に基づいて、前記データベースが安全であるか否かを判定する判定手段と、を備えるデータベース評価装置。
一様分布と前記第2分布との第2距離を算出する第2距離算出手段と、をさらに備え、
前記判定手段は、前記推測分布の2次のレニーエントロピーが、前記第2分布の2次のレニーエントロピー以上であり、かつ、前記第1距離が、前記第2距離に基づく一定の値以上である場合に、前記データベースを安全であると判定する、(1)に記載のデータベース評価装置。
離散集合χ上の確率変数Xの確率関数をp(x)とすると、Xの2次のレニーエントロピーH2(X)は、式(1)で定義される。
まず、データベース評価装置10について説明する。
ユーザの秘密情報(例えば、ユーザに対応付けられる暗証番号やパスワード、生体情報など)を記憶するデータベース30のうちの一部分が漏洩した場合、攻撃者は漏洩した情報を利用することにより、残りのユーザの秘密情報の分布を推測できる可能性がある。このような推測された分布である推測分布を用いた攻撃モデルの1つであるDGA(Distribution Guessing Attack)に対する、データベース評価装置10の安全性の評価について説明する。
ここで、秘密情報が漏洩したユーザの集合をU′、U′の各ユーザの秘密情報データの集合をW′とする。また、攻撃対象のユーザの集合をU、Uの各ユーザの秘密情報データの集合をWとする。Wの各データはその取りうる値の集合χ上の確率関数p(x)にしたがって生起したものとする。ただし、u≠u′、u∈U、u′∈U′とする。
(1)攻撃者は任意の分布推測アルゴリズムΚを用いて取得したW′から確率関数p(x)を推測する。このとき、推測された分布をq(x)とする。
(2)挑戦者はユーザu∈Uをランダムに選択し、対応する秘密情報w∈Wを抽出する。
(3)攻撃者はq(x)にしたがって秘密情報x∈qχを選択する。
(4)xとwとが一致すれば、攻撃者の勝ちとする。
判定手段12は、推測手段11によって推測された推測分布(攻撃者に代わって推測した分布)q(x)において選択されたデータと、第2分布(攻撃対象ユーザの秘密情報の分布)p(x)において選択されたデータとが一致して攻撃が成功する確率である平均攻撃成功確率を評価指標とし、評価指標に基づいて、データベース30が安全であるか否かを判定する。具体的には、判定手段12は、第2分布p(x)と、推測分布q(x)とにより、DGAの平均攻撃成功確率PDGAを、式(4)によって算出し、データベース30が安全であるか否かを判定する。
図1に戻り、データベース評価装置10による、距離に基づく判定について説明する。
データベース評価装置10は、第1距離算出手段13と、第2距離算出手段14とをさらに備える。
第1距離算出手段13は、推測分布と第2分布との第1距離(D)を算出する。
第2距離算出手段14は、一様分布と第2分布との第2距離(E)を算出する。
判定手段12は、推測分布と第2分布との距離に基づいて、データベース30を安全であると判定する。
r≦sのとき、不等式(5)が成立する。
すなわち、判定手段12は、第1距離が、第2距離に基づく一定の値以上である場合に、データベース30を安全であると判定する。
次に、図1に戻り、データベース分割装置20について説明する。
データベース分割装置20は、分割手段21を備え、分割した一方の第1DB31が漏洩し、漏洩した第1DB31に基づいて攻撃者が他方の第2DB32にDGA攻撃をしても、データベース30がDGA安全であるようにデータベース30を分割する。
データベース分割装置20は、第1DB31又は第2DB32のどちらが漏洩した場合においても、DGAに対して耐性のある秘密情報の分割保管をする。
条件1:攻撃者は,分布推測アルゴリズムΚとしてヒストグラムを用いる。
条件2:第1DB31及び第2DB32のどちらのデータベースが漏洩してもDGAへの耐性は同様である。
条件3:第1DB31及び第2DB32のいずれのデータベースも漏洩していない場合、第1DB31及び第2DB32は同様に十分に安全である。
条件1より、攻撃者の推測分布q(x)は、第2DB32が漏洩した場合はp2(x)、第1DB31が漏洩した場合はp1(x)で表せる。
X1、X2をそれぞれp1(x)、p2(x)にしたがう確率変数とする。r=H2(X1)=H2(X2)とすると、式(5)の等号が成立するため、第1DB31又は第2DB32のどちらが漏洩した場合においてもDGAの攻撃成功確率PDGAは式(12)で表せる。
r=H2(X1)=H2(X2)=H(X) (13)
ただし、Xは第1DB31及び第2DB32の総データの分布にしたがう確率変数とする。
具体的には、分割手段21は、攻撃者がp(x)を完全に推測できた場合の安全性を高くするために、rが式(13)を満たすという、追加した条件の下で分割する。
|χ1|=|χ2|=|χ| (14)
ただし、χ1、χ2は第1DB31及び第2DB32のデータの取りうる値の集合とし、χは第1DB31と第2DB32とに含まれる総データの取りうる値の集合とする。
以上より、DGAへの耐性を向上させるためには、式(13)、式(14)の条件の下、式(12)のD(X1,X2)を大きくすればよいことがわかる。
具体的には、分割手段21は、攻撃者がp(x)に関して何の情報も持たないときのDGAへの耐性を高くするために、式(14)を満たすように分割する。
データの個数が増加するにつれて、分割の組み合わせ総数は指数的に増加するため、効率的に解く分割アルゴリズムについて説明する。
分割アルゴリズムは、式(15)を目的関数とし、式(16)〜(18)を制約条件として、目的関数を最大にするc1(x)及びc2(x)を求める。
[(c2(x)+e)2−(c1(x)−e)2]
−[c2(x)2−c1(x)2] (19)
=2・[c2(x)+c1(x)]・e (20)
=2・c(x)・e (21)
したがって、c(x)が大きいxのデータを移動させた方が少ないデータの移動で式(22)の値を大きく変化させられることが分かる。このため、Step2のグリーディ法では、c(x)が最も大きいxのデータから順に移動させる。
・Step1において、c2(x)>c1(x)が成立する場合、データは第1DB31から第2DB32に移動する。この場合、Step2では、第2DB32から第1DB31に移動する。
・Step1において、|c1(x)−c2(x)|≧δ(x)が成立する場合、当該xに関するデータの移動は行わずに、δ(x)=⊥(データ終了)としてΔを更新し、次のxのプロセスに移行する。
・Step2では、δ(x)≠⊥(データの終了)のxのデータのみ移動する。
図4及び図5は、本発明の一実施形態に係るデータベース分割装置20の分割アルゴリズムの例を示すフローチャートである。データベース分割装置20は、コンピュータ及びその周辺装置が備えるハードウェア並びに該ハードウェアを制御するソフトウェアによって構成される。以下の処理は、制御部(例えば、CPU)が、所定のソフトウェアに従い実行する処理である。なお、本処理は、データベース評価装置10によってデータベース30の一部が安全でないと判定された場合に、起動されるとしてもよい。
したがって、データベース評価装置10は、データベース30のうち一部分が漏洩した場合に残りの部分の安全性を評価できる。
さらに、データベース分割装置20は、第1分布の2次のレニーエントロピー及び第2分布の2次のレニーエントロピーと、データベース30のデータ分布の2次のレニーエントロピーとの差をそれぞれ所定の範囲内にするという、追加した条件の下で分割する。
さらに、データベース分割装置20は、第1分布及び第2分布をヒストグラムに表した場合の階級の個数と、データベース30のデータ分布をヒストグラムに表した場合の階級の個数とをそれぞれ同一にするという、追加した条件の下で分割する。
さらに、データベース分割装置20は、グリーディ法により、第1DB31と第2DB32との距離の変化量の大きい階級を優先させてデータを移動させる。
したがって、データベース分割装置20は、データベース30を分割する場合に分割した一方が漏洩しても、分割した他方が安全であるようにデータベース30を分割できる。
このように、本発明は、情報漏洩が起きた際の安全性を評価することができる。また、本発明は、システムから一部のユーザの秘密情報が漏洩した際に、残りのユーザの秘密情報への影響を最小限に抑えることができる。本発明は、秘密情報を大量に扱うシステムに特化したクラウドプラットフォームを提供することができる。
11 推測手段
12 判定手段
13 第1距離算出手段
14 第2距離算出手段
20 データベース分割装置
21 分割手段
30 データベース
31 第1DB
32 第2DB
Claims (12)
- データベースを評価するデータベース評価装置であって、
前記データベースのうちの一部分である第1データベースと、前記データベースのうちの前記第1データベース以外の部分である第2データベースとにおいて、前記第1データベースが漏洩したと仮定した場合に、前記第1データベースのデータ分布である第1分布に基づいて、前記第2データベースのデータ分布である第2分布を推測する推測手段と、
前記推測手段によって推測された推測分布において選択されたデータと、前記第2分布において選択されたデータとが一致して攻撃が成功する確率である平均攻撃成功確率を評価指標とし、前記評価指標に基づいて、前記データベースが安全であるか否かを判定する判定手段と、
を備えるデータベース評価装置。 - 前記判定手段は、前記評価指標が、前記推測分布を一様分布であるとしたときに、攻撃が成功する確率以下である場合に、前記データベースを安全であると判定する、請求項1に記載のデータベース評価装置。
- 前記推測分布と前記第2分布との第1距離を算出する第1距離算出手段と、
一様分布と前記第2分布との第2距離を算出する第2距離算出手段と、をさらに備え、
前記判定手段は、前記推測分布の2次のレニーエントロピーが、前記第2分布の2次のレニーエントロピー以上であり、かつ、前記第1距離が、前記第2距離に基づく一定の値以上である場合に、前記データベースを安全であると判定する、請求項1に記載のデータベース評価装置。 - データベースを分割するデータベース分割装置であって、
前記データベースのうちの一部分である第1データベースと、前記データベースのうちの前記第1データベース以外の部分である第2データベースとにおいて、前記第1データベースのデータ分布である第1分布の2次のレニーエントロピーと、前記第2データベースのデータ分布である第2分布の2次のレニーエントロピーとの差を所定の範囲内にすると共に、前記第1分布及び前記第2分布をヒストグラムに表した場合の階級の個数を互いに同一にするという条件の下で、
前記第1データベース又は前記第2データベースの一方に含まれるデータ分布に基づいて他方のデータベースに含まれるデータ分布を推測した推測分布から選択されたデータと、前記他方のデータベースから選択されたデータとが一致して前記他方のデータベースへの攻撃が成功する確率が所定以下となるように、前記データベースを前記第1データベースと前記第2データベースとに分割する分割手段を備える、
データベース分割装置。 - 前記分割手段は、前記第1分布と前記第2分布との距離が、前記第1分布又は前記第2分布と一様分布との距離に基づく一定の値以上であるように、前記データベースを前記第1データベースと前記第2データベースとに分割する、請求項4に記載のデータベース分割装置。
- 前記分割手段は、前記第1分布の2次のレニーエントロピー及び前記第2分布の2次のレニーエントロピーと、前記データベースのデータ分布の2次のレニーエントロピーとの差をそれぞれ所定の範囲内にするという、さらに追加した条件の下で分割する、請求項4又は5に記載のデータベース分割装置。
- 前記分割手段は、前記第1分布及び前記第2分布をヒストグラムに表した場合の階級の個数と、前記データベースのデータ分布をヒストグラムに表した場合の階級の個数とをそれぞれ同一にするという、さらに追加した条件の下で分割する、請求項4から6のいずれか一項に記載のデータベース分割装置。
- 前記分割手段は、グリーディ法により、前記第1データベースと前記第2データベースとの距離の変化量の大きい階級を優先させてデータを移動させる、請求項4から7のいずれか一項に記載のデータベース分割装置。
- 請求項1に記載のデータベース評価装置が実行する方法であって、
前記推測手段が、前記データベースのうちの一部分である第1データベースと、前記データベースのうちの前記第1データベース以外の部分である第2データベースとにおいて、前記第1データベースが漏洩したと仮定した場合に、前記第1データベースのデータ分布である第1分布に基づいて、前記第2データベースのデータ分布である第2分布を推測する推測ステップと、
前記判定手段が、前記推測ステップによって推測された推測分布において選択されたデータと、前記第2分布において選択されたデータとが一致して攻撃が成功する確率である平均攻撃成功確率を評価指標とし、前記評価指標に基づいて、前記データベースが安全であるか否かを判定する判定ステップと、
を備える方法。 - 請求項4に記載されたデータベース分割装置が実行する方法であって、
前記分割手段が、前記データベースのうちの一部分である第1データベースと、前記データベースのうちの前記第1データベース以外の部分である第2データベースとにおいて、前記第1データベースのデータ分布である第1分布の2次のレニーエントロピーと、前記第2データベースのデータ分布である第2分布の2次のレニーエントロピーとの差を所定の範囲内にすると共に、前記第1分布及び前記第2分布をヒストグラムに表した場合の階級の個数を互いに同一にするという条件の下で、
前記第1データベース又は前記第2データベースの一方に含まれるデータ分布に基づいて他方のデータベースに含まれるデータ分布を推測した推測分布から選択されたデータと、前記他方のデータベースから選択されたデータとが一致して前記他方のデータベースへの攻撃が成功する確率が所定以下となるように、前記データベースを前記第1データベースと前記第2データベースとに分割する分割ステップを備える、
方法。 - コンピュータに、請求項9に記載の方法の各ステップを実行させるためのプログラム。
- コンピュータに、請求項10に記載の方法の各ステップを実行させるためのプログラム。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014210218A JP6632796B2 (ja) | 2014-10-14 | 2014-10-14 | データベース評価装置、方法及びプログラム、並びにデータベース分割装置、方法及びプログラム |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2014210218A JP6632796B2 (ja) | 2014-10-14 | 2014-10-14 | データベース評価装置、方法及びプログラム、並びにデータベース分割装置、方法及びプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2016081192A true JP2016081192A (ja) | 2016-05-16 |
JP6632796B2 JP6632796B2 (ja) | 2020-01-22 |
Family
ID=55956303
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2014210218A Active JP6632796B2 (ja) | 2014-10-14 | 2014-10-14 | データベース評価装置、方法及びプログラム、並びにデータベース分割装置、方法及びプログラム |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP6632796B2 (ja) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018207409A (ja) * | 2017-06-08 | 2018-12-27 | Kddi株式会社 | アクセスプログラム、保護装置、最適化装置、最適化方法及び最適化プログラム |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002217889A (ja) * | 2001-01-22 | 2002-08-02 | Fujitsu Ltd | 秘密情報保管方法および秘密情報復元方法並びにデータ暗号化装置およびデータ復号化装置 |
US20040122798A1 (en) * | 2002-12-19 | 2004-06-24 | Lin Eileen Tien | Fast and robust optimization of complex database queries |
US20100162402A1 (en) * | 2008-12-18 | 2010-06-24 | Accenture Global Services Gmbh | Data anonymization based on guessing anonymity |
WO2011013191A1 (ja) * | 2009-07-27 | 2011-02-03 | 株式会社 東芝 | 関連性提示装置、方法およびプログラム |
JP2012252634A (ja) * | 2011-06-06 | 2012-12-20 | Nippon Telegr & Teleph Corp <Ntt> | 情報検索装置、情報検索方法及び情報検索プログラム |
WO2013121738A1 (ja) * | 2012-02-17 | 2013-08-22 | 日本電気株式会社 | 分散匿名化装置及び分散匿名化方法 |
-
2014
- 2014-10-14 JP JP2014210218A patent/JP6632796B2/ja active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002217889A (ja) * | 2001-01-22 | 2002-08-02 | Fujitsu Ltd | 秘密情報保管方法および秘密情報復元方法並びにデータ暗号化装置およびデータ復号化装置 |
US20040122798A1 (en) * | 2002-12-19 | 2004-06-24 | Lin Eileen Tien | Fast and robust optimization of complex database queries |
US20100162402A1 (en) * | 2008-12-18 | 2010-06-24 | Accenture Global Services Gmbh | Data anonymization based on guessing anonymity |
WO2011013191A1 (ja) * | 2009-07-27 | 2011-02-03 | 株式会社 東芝 | 関連性提示装置、方法およびプログラム |
JP2012252634A (ja) * | 2011-06-06 | 2012-12-20 | Nippon Telegr & Teleph Corp <Ntt> | 情報検索装置、情報検索方法及び情報検索プログラム |
WO2013121738A1 (ja) * | 2012-02-17 | 2013-08-22 | 日本電気株式会社 | 分散匿名化装置及び分散匿名化方法 |
Non-Patent Citations (1)
Title |
---|
披田野 清良 ほか2名: "機能安全の概要に基づく秘密情報の分割保管に関する一考察", CSS2014 コンピュータセキュリティシンポジウム2014 論文集 合同開催 マルウェア対策研究人, vol. 第2014巻,第2号, JPN6018015341, 15 October 2014 (2014-10-15), JP, pages 1306 - 1313, ISSN: 0003790724 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2018207409A (ja) * | 2017-06-08 | 2018-12-27 | Kddi株式会社 | アクセスプログラム、保護装置、最適化装置、最適化方法及び最適化プログラム |
Also Published As
Publication number | Publication date |
---|---|
JP6632796B2 (ja) | 2020-01-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Zhuang et al. | A model for analyzing the effect of moving target defenses on enterprise networks | |
CN110214325B (zh) | 数据屏蔽的方法和系统 | |
CN107426165B (zh) | 一种支持密钥更新的双向安全云存储数据完整性检测方法 | |
CN103384980B (zh) | 检索系统、检索系统的检索方法、信息处理装置、以及对应关键字管理装置 | |
US20130097697A1 (en) | Security Primitives Employing Hard Artificial Intelligence Problems | |
CN104657673A (zh) | 平均复杂度理想安全的保序加密 | |
JP2006508608A (ja) | 識別情報を明らかにすることなく信用を確立するシステム及び方法 | |
CN109040027B (zh) | 基于灰色模型的网络脆弱性节点的主动预测方法 | |
JP4818663B2 (ja) | 同種写像ベースの署名の生成および検証のためのシステムおよび方法 | |
JPWO2013080320A1 (ja) | データ処理装置及びデータ処理方法及びプログラム | |
WO2018187556A1 (en) | Detection of anomalous key material | |
US9735963B2 (en) | Decryption service providing device, processing device, safety evaluation device, program, and recording medium | |
CN115238172A (zh) | 基于生成对抗网络和社交图注意力网络的联邦推荐方法 | |
JP6632796B2 (ja) | データベース評価装置、方法及びプログラム、並びにデータベース分割装置、方法及びプログラム | |
CN110874481A (zh) | 一种基于gbdt模型的预测方法和装置 | |
CN104065619A (zh) | 登录方法及装置 | |
CN106411923B (zh) | 基于本体建模的网络风险评估方法 | |
CN113505348B (zh) | 一种数据的水印嵌入方法、验证方法及装置 | |
Rashidi et al. | A game-theoretic model for defending against malicious users in recdroid | |
CN113518086B (zh) | 网络攻击预测的方法、装置及存储介质 | |
CN112039843B (zh) | 基于矩阵补全的用户多域权限联合估计方法 | |
CN116991864A (zh) | 隐匿查询方法、装置、设备及存储介质 | |
US9852305B2 (en) | Method for provably secure erasure of data | |
US20070150437A1 (en) | Protection against timing and resource consumption attacks | |
US20040117630A1 (en) | Weakly computational zero-knowledge proof and evaluation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170816 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180314 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180508 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180705 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20181127 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190222 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20190305 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20190510 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191211 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 6632796 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |