English abstract

In these days information has become one of the most important resources, which has to be protected. In order to protect information from undesired accesses of unauthorized users confidentiality requirements are defined by setting up a confidentiality policy. According to such a confidentiality policy a system should enforce the defined confidentiality requirements autonomously. Often, single pieces of information are not seen as confidential from an isolated point of view. In contrast to that associations between different pieces of information, which can also be interpreted as a kind of information, are seen as confidential and have to be protected.

To achieve this protection of sensitive associations, some authors suggest to split a database instance into several pieces by using the so called concept of fragmentation. There are several different concepts based on fragmentation and for each of these concepts the corresponding authors describe how unauthorized (direct) accesses to confidential information are prohibited. But in this context it is not shown that confidential information cannot be inferred by employing inferences, which may offer the possibility to infer confidential information based on the knowledge of information that is not declared as confidential.

In contrast to that there are several concepts of so called controlled query evaluation and for each of these concepts it is proven that a defined confidentiality policy is enforced by prohibiting such inferences. In this diploma thesis a logic-oriented framework, which allows modelling the concepts of fragmentation of database instances within the framework of controlled query evaluation, is developed. For one of the proposed concepts of fragmentation of database instances such a modelling is used to prove that harmful inferences are not possible, if confidentiality requirements are enforced by using this specific concept of fragmentation and a user either does not have any explicit a priori knowledge or just has a priori knowledge about a restricted class of functional dependencies.

Download full text (German only)

German abstract

In der heutigen Informationsgesellschaft hat Information den Stellenwert einer zentralen Ressource eingenommen, die es zu schützen gilt. Um in Informationssystemen gespeicherte Information vor nicht autorisierten Zugriffen zu schützen, werden häufig formale Vertraulichkeitsanforderungen definiert, die durch das verwendete System automatisiert durchgesetzt werden sollen. Oft sind dabei die einzelnen Informations-Aspekte, die in einem Informationssystem verwaltet werden, für sich betrachtet jeweils nicht besonders schützenswert. Dafür sind Assoziationen zwischen verschiedenen Informations-Aspekten, die selbst wiederum als Information aufgefasst werden können, schützenswert.

Zum Schutz sensibler Assoziationen wird von einigen Autoren vorgeschlagen, Datenbankinstanzen gemäß bestimmter Vertraulichkeitsanforderungen durch das Konzept der sogenannten Fragmentierung in verschiedene Teile zu zerlegen. Dazu existieren verschiedene Ansätze, für die von den jeweiligen Autoren erläutert wird, wie jeweils unmittelbare, unautorisierte Zugriffe auf vertrauliche Information unterbunden werden. Dabei wird aber nicht darauf eingegangen, ob die jeweils zum Einsatz kommenden Ansätze zur Fragmentierung einer Datenbankinstanz auch Schutz vor Inferenzen bieten, durch die sensible Information auf Basis der Kenntnis nicht sensibler Information erschlossen werden kann.

Im Gegensatz dazu ist für die Verfahren der sogenannten kontrollierten Anfrageauswertung die Eigenschaft der Inferenzsicherheit formal nachgewiesen. In dieser Diplomarbeit wird ein logik-orientiertes Framework der kontrollierten Anfrageauswertung entwickelt, in dem die Ansätze zur Fragmentierung von Datenbankinstanzen modelliert werden können. Innerhalb einer solchen Modellierung wird für eines der existierenden Verfahren zur Fragmentierung von Datenbankinstanzen konkret nachgewiesen, dass dieses Verfahren sicher vor unerwünschten Inferenzen ist, sofern davon ausgegangen werden kann, dass ein Benutzer nicht über explizites Vorwissen über das Informationssystem verfügt oder dieses Vorwissen ausschließlich aus einer eingeschränkten Menge funktionaler Abhängigkeiten besteht.

Gesamtdokument herunterladen (Nur in deutsch)