Combinaison sécurisée des données publiques et sensibles dans les bases de données
Institution:
Versailles-St Quentin en YvelinesDisciplines:
Directors:
Abstract EN:
Protection of sensitive data is a major issue in the databases field. Many software and hardware solutions have been designed to protect data when stored and during query processing. Moreover, it is also necessary to provide a secure manner to combine sensitive data with public data. To achieve this goal, we designed a new storage and processing architecture. Our solution combines a main server that stores public data and a secure server dedicated to the storage and processing of sensitive data. The secure server is a hardware token which is basically a combination of (i) a secured microcontroller and (ii) a large external NAND Flash memory. The queries which combine public and sensitive data are split in two sub queries, the first one deals with the public data, the second one deals with the sensitive data. Each sub query is processed on the server storing the corresponding data. Finally, the data obtained by the computation of the sub query on public data is sent to the secure server to be mixed with the result of the computation on sensitive data. For security reasons, the final result is built on the secure server. This architecture resolves the security problems, because all the computations dealing with sensitive data are done by the secure server, but brings performance problems (few RAM, asymmetric cost of read/write operations. . . ). These problems will be solved by different strategies of query optimization.
Abstract FR:
La protection des données sensibles est une problématique majeure dans le monde des bases de données. Plusieurs solutions logicielles et matérielles ont été proposées pour assurer une sécurité optimale lors du stockage et de la manipulation de ces données. Il est également nécessaire de sécuriser les opérations mettant en relation des données sensibles avec des données publiques. Pour cala, nous avons mis en place une architecture de stockage et d'interrogation offrant cette sécurité. Cette architecture est composée d'un serveur central regroupant les données publiques et d'un serveur sécurisé stockant les données privées. Ce serveur sécurisé est constitué (i) d'un microcontrôleur sécurisé associé à (ii) une mémoire persistante, de grande capacité, de type Flash NAND. Les requêtes mêlant données publiques et sensibles sont scinder en deux sous-requêtes, l'une portant sur les données publiques, l'autre sur les données sensibles. Chaque sous-requête est exécutée sur le serveur contenant les données appropriées. Enfin, le résultat de la sous-requête sur données publiques est envoyé au serveur sécurisé qui se charge de construire le résultat final en toute sécurité. Cette architecture résolvant les problèmes de sécurité introduit néanmoins de sévères problèmes de performances dues aux caractéristiques physiques du serveur sécurisé (peu de RAM, asymétrie des coûts de lecture et d'écriture. . . ) qu'il est impératif de résoudre par des techniques d'optimisation de requêtes.