РАЗРАБОТКА МЕТОДОВ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ДЕЦЕНТРАЛИЗОВАННЫХ БАЗ ДАННЫХ Текст научной статьи по специальности «Компьютерные и информационные науки»

УДК 004.056.53

Разработка методов обеспечения информационной безопасности децентрализованных баз данных

Е. А. Буквина 1, Е. В. Зверева2, Е. В. Фалеева 1, Р А. Ешенко 1

1 Дальневосточный государственный университет путей сообщения, Российская Федерация, 680021, Хабаровск, ул. Серышева, 47

2 Петербургский государственный университет путей сообщения Императора Александра I, Российская Федерация, 190031, Санкт-Петербург, Московский пр., 9

Для цитирования: БуквинаЕ. А., ЗвереваЕ.В., ФалееваЕ.В., Ешенко Р. А. Разработка методов обеспечения информационной безопасности децентрализованных баз данных // Известия Петербургского университета путей сообщения. - СПб.: ПГУПС, 2021. - Т. 18. - Вып. 2. - С. 283-293. БО1: 10.20295/1815-588Х-2021-2-283-293

Аннотация

Цель: Разработать проект модели баз данных, адаптированную для использования в рамках децентрализованных баз данных. Описать стек протоколов взаимодействия компонентов систем управления базами данных, оперирующих децентрализованными ресурсами. Спроектировать механизмы распределения прав доступа субъектов к объектам доступа. Методы: Применяются: 1) анализ функционирования децентрализованных протоколов; 2) системный анализ структур и алгоритмов обработки данных; 3) анализ принципов работы децентрализованных приложений и требований, предъявляемых к децентрализованным базам данных; 4) прототипирование моделей построения данных; 5) классификация угроз безопасности информации; 6) экспериментальный метод, включающий проведение нагрузочных тестов, анализ и обобщение полученных данных. Результаты: Рассмотрена новая концепция организации данных, позволяющая отделять модели хранения данных от моделей бизнес-процессов предприятия и тем самым быстро подстраивать приложение под требования компании. Представлен ряд механизмов, которые способны обеспечивать работоспособность приложений, функционирующих на основе децентрализованных хранилищ. Описан метод разграничения прав доступа к объектам через ограничение области видимости данных в зависимости от роли, назначенной пользователю. Практическая значимость: Разработки в данной сфере имеют как теоретическую, так и практическую значимость, обусловленную популяризацией принципов так называемой «распределенной экономики» как в сфере государственных и коммерческих структур, так и среди проектировщиков программного обеспечения. Подобные преобразования в проектировании моделей данных, организации как самой разработки, так и внутренней архитектуры приложения позволили бы решить проблему чрезмерной централизации ресурсов и информационных потоков, а также распределить ответственность за целостность и актуальность данных между участниками процесса. Полученные результаты могут применяться для практической реализации децентрализованных хранилищ, а также для проектирования программных модулей, устраняющих уязвимости и обеспечивающих стабильную нейтрализацию угроз информационной безопасности децентрализованных баз данных.

Ключевые слова: Децентрализованная база данных, децентрализованное приложение, блокчейн, графо-ориентированная модель построения данных, безопасность информации, ролевой метод управления доступом, права доступа, ревизия поля, консенсус принятия изменений.

Введение

За последнее десятилетие наблюдается усиление акцента в развитии информационных технологий на работу с децентрализованными приложениями, в которых обработка входных данных производится в большей степени на стороне клиента, а необходимость в постоянном доступе к централизованному хранилищу данных отпадает.

Этому также способствует в настоящее время всемирная пандемия. Заинтересованность в распределенных технологиях хранения и обработки данных связана с тенденцией смещения вектора угроз, связанных как с отказом в обслуживании, так и с несанкционированным доступом к данным, в направлении распределенной ответственности за их безопасность. Для поддержания информационной безопасности децентрализованной системы следует применять исключительно новые методы взаимодействия между участниками распределенных вычислительных процессов [1].

Из-за того, что современные информационные системы объединяют труд множества участников рабочего процесса, основное внимание необходимо обратить на обеспечение информационной безопасности при формировании совместного доступа к данным.

Экономический эффект от внедрения средств защиты в применяемое пользователями программное обеспечение может быть косвенным, так как сама разработка не выступает в качестве источника дохода. Однако своевременно спроектированная и введенная в эксплуатацию система защиты позволит исключить имеющиеся уязвимости и нейтрализовать возможные угрозы безопасности информации (незаконное использование привилегий, утечка данных, нарушение правил работы с информацией), осуществление которых способно привести как к финансовым убыткам разной степени, так и к потере положительного имиджа организации [2]. Таким образом, стоимость негативных последствий реализации злоумышленником угроз безопасности информации в денежном эквиваленте зависит,

условно говоря, от стоимости клиентов, ушедших к конкурентам.

В настоящее время для управления доступом к объектам в эксплуатируемой системе существуют такие основные методы как:

- дискреционный (избирательный) метод контроля доступа;

- обязательный (полномочный) метод контроля доступа (мандатное управление доступом);

- ролевой метод контроля доступа [3-5].

В зависимости от особенностей предметной области приложения и выявленных угроз эти три метода могут комбинироваться для выполнения различных требований, предъявляемых к информационной безопасности системы [6].

Постановка задачи

Жестко детерминированные механизмы управления правами доступа к данным не позволяют обеспечить быстрой адаптации информационных потоков под нужды сотрудников фирмы.

В этом исследовании рассматривается задача проектирования такой модели управления доступом к данным, которая бы гибко обеспечивала распределение прав доступа между постоянно меняющимися участниками бизнес-процессов, описываются логическое устройство и техническая реализация базовых механизмов управления доступом к данным в условиях децентрализованной среды. В основу модели хранения данных взяты правила построения децентрализованных баз данных К. Дж. Дейта [7].

Абстрагирование модели хранения данных от модели бизнес-процессов

В процессе работы была спроектирована модель среды оперативного ведения деятельности предприятия, которая сможет работать при децентрализованной организации данных с исключением единой точки отказа [8].

Можно сказать, что в большинстве случаев безопасность информационных систем и баз данных будет обеспечиваться за счет наличия данных в локальном хранилище, согласно правам пользователя, а не распределением прав доступа к данным, как в других системах. Эта возможность достигается посредством уменьшения диапазонов изменяемых данных и распределения механизмов поддержания их непротиворечия между участниками, согласно правам доступа к определенной минимальной ячейке доступа.

Одной из необходимых составляющих, добавленных в модель системы, стала независимость от бизнес-процессов предприятия. Таким образом, была получена требуемая отвлеченность модели хранения данных от реализации модели бизнес-процессов. Для этой цели была использована фрактальная модель создания объектов в рамках табличного отображения данных [9]. Набор базовых сущностей системы представлен в табл. 1.

Минимально возможный уровень доступа к данным доведен до уровня поля объекта, т. е. данные могут быть модифицированы сотрудниками организации в рамках одного объекта в различных полях. Такой механизм позволяет одновременно работать с одними объектами нескольким пользователям, имеющим доступ к разным группам полей. Это означает, что объект может консолидировать в себе информацию из множества источников как без пересечения (если различные группы полей редактируются пользователями с разными ролями), так и с пересечением (когда пользователи изменяют различные

группы полей и принадлежат одновременно к нескольким группам (ролям)).

Все объекты повторяют свою структуру, и вся логика их взаимосвязи укладывается в наличие связей одного объекта с другими. Доступ к сущности выполняется с использованием идентификатора объекта и подразумевает получение данных в формате JSON.

Модель доступа к данным

Доступ к данным обеспечивается комбинацией элементов дискреционного и ролевого методов контроля доступа.

Управление доступом на основе ролей осуществляется путем создания объектов доступа, учетных записей пользователей, ролей и профилей [10].

Каждая роль имеет разные уровни доступа к экземплярам определенных классов на основе настроенных прав доступа и области видимости данных, которые организованы в виде ориентированных графов. Поэтому необходимо предоставить как права на чтение связанных с этим экземпляром классов, так и доступ к самим данным в зоне ответственности роли.

Каждая группа пользователей с одинаковыми правами принимает консенсус в вопросе принятия изменения данных в процессе работы. Группу пользователей, отнесенных к одной роли, будем называть «стратой». Каждому пользователю может быть доступно любое количество страт и возможность осуществлять доступ к данным, согласно привилегиям, определенным для роли.

ТАБЛИЦА 1. Базовые сущности системы

Объект Описание

Шаблон Представляет собой объект шаблона (класс); содержит перечень полей (атрибутов класса), идентификационные данные

Объект Содержит перечень данных в соответствии с полями шаблона-родителя

Поле Элемент шаблона (атрибут)

Запрос Массив данных, согласно сформированной цепочке запросов и заданным критериям

Пользователи производят редактирование полей объекта в локальном хранилище своей системы как равные участники. В ходе редактирования изменяется ревизия экземпляра поля, и в момент изменения, во избежание коллизий, соответствующая запись блокируется на уровне приложения.

Каждый пользователь может передать право доступа к данным, на которые имеет полный доступ. В момент добавления прав на добавление/изменение данных на уровне класса данных экземпляры этого класса создаются в локальном хранилище пользователя, у которого есть назначенная роль. Таким образом, здесь появляются элементы дискреционной модели распределения прав доступа через самостоятельное назначение пользователями сети прав на часть своих данных (своей зоны ответственности) другим пользователям.

Архивирование данных (для хранения состояния сети организации) реализуется запуском клиента с полными правами в сети на все данные, поэтому локальное клиентское хранилище данных будет содержать все изменения всех экземпляров всех классов [9].

Поддерживающие технологии

Уровень обмена данными децентрализованного приложения может базироваться на различных моделях сетевого взаимодействия и их комбинациях, а также на разных уровнях модели 081. Среди моделей сетевого взаимодействия можно выделить следующие: сети доверия, рассылка соседям, широковещание на адрес, широковещательные сети, хеш-таблицы, кэширование, клонирование, блоковые сети. В этом случае используется F2F-сеть между пользователями, обладающими схожими ролями [11].

В настоящее время изучаются два варианта нахождения пользователей «своего круга»: путем распространения информации о новых пользователях своей страты во время передачи прав доступа или с использованием механизмов запроса передачи (оповещения) и погашения волнового

эффекта транслирования запросов через своих «друзей» [9].

Обсуждая вопрос безопасности децентрализованных приложений, следует обратить внимание на некоторые поддерживающие технологии.

Идея расслоения данных и принятия консенсуса не всей сетью, а только внутри определенного слоя имеет частичное отношение к использованию блокчейна для фиксации изменений только в той степени, в которой возникает фиксация последней ревизии (изменений) объекта данных, а также происходит обновление изменений в рамках страты [12].

Ревизии поля

Когда заходит речь об информационной безопасности, необходимо отметить работу механизма, обеспечивающего надежность данных.

При формировании объекта поля в качестве его атрибута (наименование атрибута- copies) в базу данных заносится соответствующая запись, в которой указывается, сколько дополнительных копий объектов типа рассматриваемого поля будет храниться в базе. Значение атрибута copies объекта поля выставляется пользователем в режиме редактирования поля.

При изменении значения поля в объекте запрос с данными посылается на сервер. В ходе этого процесса проверяется необходимость резервирования поля (является ли атрибут copies объекта поля непустым).

Для резервируемого поля, когда появляется надобность хранения истории изменений значения текущего поля, в базе данных формируется новая запись, в которой указаны новое значение поля (value), последняя дата изменения (rev) и редактор поля (editor).

Следующим шагом записи, соответствующие этому полю, сортируются по полю rev.

Затем идет этап проверки: если количество полученных записей превышает значение copies для заданного объекта поля, то первая созданная запись автоматически удаляется из базы дан-

ных. Если же поле нерезервируемое, то все изменения отражаются в соответствующей полю записи, и резервная копия не создается. Резервные копии, предоставляющие возможность отслеживать изменения значения, ревизии и редактора поля, создаются для критически важных (например, системных) полей.

Следующим этапом планируется ограничить количество ревизий поля для каждого конкретного пользователя, что уменьшает объем базы данных.

Авторство пользователя на каждую копию (поле editor содержит уникальный идентификатор пользователя) при уменьшении количества ревизий позволит избежать ситуации уничтожения всего объема данных одним пользователем.

Фиксация прав доступа

Права доступа назначаются через включение пользователя в группу роли; в системе образуется связка экземпляра роли с экземпляром пользователя (рисунок).

Продемонстрированная на рисунке модель может осуществляться через любой хост при помощи оператора в том случае, когда последний имеет права полного доступа на шаблон, а также привилегии назначения роли.

Регистрация всех операций с правами доступа происходит в блокчейн-цепочке. При необходимости внесения изменений в такую цепочку пользователь должен обладать соответствующими правами. Причем каждый новый блок должен быть согласован со всеми пользователями страты, так как, именно воспользовавшись записями в этой цепочке, хост принимает или отклоняет запросы других хостов на работу с данными.

При добавлении нового пользователя в страту (назначении заданной роли новому пользователю) формируется запрос на обновление цепочки прав, после чего хост производит проверку всей блокчейн-цепочки на возможность добавления заданных прав другому пользователю. Процесс отправки (обработки) запросов и возмож-

ность участия в обмене данными при этом зависит от установленных прав доступа в цепочке прав.

Каждая цепочка прав доступа (ЦПД) выполняет функцию фиксации публичных ключей всех участников обмена данными, хранит информацию о правах доступа и содержит в своем составе наборы последовательно соединенных полей.

При добавлении в одну из страт нового узла формируется запрос на предоставление публичного ключа для него, что делает такой механизм схожим с £21-сетями, где добавление в сеть возможно посредством приглашения «другом» [11]. Происходит формирование двух ключей - открытого и закрытого. Открытый ключ отправляется узлу, оператор которого добавляет нового пользователя в страту (назначает ему роль).

Далее хост публикует открытый ключ в ЦПД с указанием идентификатора роли, назначенной пользователю. В дальнейшем опубликованный ключ будет использоваться для согласования (открытия) каналов обмена данными всеми узлами.

Согласование канала осуществляется путем отправки зашифрованного открытым ключом сообщения на хост, выдающий себя за хост с обозначенным идентификатором. Хост, получивший запрос на подтверждение, расшифровывает его своим закрытым ключом и отвечает хосту-инициатору, шифруя сообщение открытым ключом последнего [13-15].

Модель профилирования

Возможность атаки «Мапт1Ьеш1ёШе», когда сторонний хост может отправить запрос с идентификатором другого хоста, в таком случае исключается.

Контроль доступа к данным на уровне ролей

Метод управления доступом к данным реализуется путем назначения списка идентификаторов ролей для каждого атрибута объекта (табл. 2).

Поскольку объекты, шаблоны, поля - все это сущности одного уровня, механизмы доступа ко всем таким сущностям будут идентичны.

Особенностью реализации децентрализованной базы данных является требование к наличию на узле (рабочем месте) всех данных, к которым пользователь может иметь доступ [16]. При изменении данных или добавлении новой роли для пользователя происходит репликация данных на узел. При назначении пользователю новой роли узел запрашивает все данные, доступные для заданной роли. Следовательно, наличие данных в локальном хранилище узла есть результат следующих последовательных процедур:

- получение списка узлов для заданной роли;

- принятие списка изменений с момента участия в последней процедуре консенсуса;

- отправка и получение цепочки запросов в хранилище данных;

- фиксация полученных изменений в локальной версии хранилища данных.

Так как в приведенной модели данных отдельно выделенная запись, идентифицирующая объект, отсутствует (а объект есть набор записей с одним идентификатором), то это дает возможность гибкого управления записями хранилища в выборке.

Ранее было отмечено, что один пользователь может иметь несколько ролей, которые должны быть независимы друг от друга. В таком случае возможен вариант пользовательского доступа к одному и тому же массиву данных через разные роли.

Стоит отметить, что, независимо от потенциально «самостоятельно» установленных прав доступа к данным на узле назначения, решение о запуске синхронизации и передаче массива данных принимает каждый узел, оператором которого является пользователь, входящий в указанную страту. Вследствие этого можно утверждать, что обеспечение информационной безопасности на уровне пользователя осуществляется автоматически посредством лимитирования запросов на репликацию/изменение данных.

Через добавление записей на доступ на уровне записи данных в хранилище реализуются механизмы ролевой модели доступа.

Если приходит запрос на получение данных, то производятся проверка доступа и выдача разрешения. Такой процесс включает ряд этапов: проверку разрешения на доступ к конкретному объекту, к которому происходит обращение; при положительном исходе проверки осуществляется выборка лишь тех атрибутов объекта, к которым назначен доступ.

ТАБЛИЦА 2. Поля в хранилище данных, обеспечивающие реализацию принципов

ролевого управления доступом

Поле Описание

access_read Идентификаторы объектов роли с разрешением на чтение объекта доступа

access_write Идентификаторы объектов роли с разрешением на изменение объекта доступа

access_delete Идентификаторы объектов роли с разрешением на удаление объекта доступа

admin Идентификаторы объектов роли с разрешением на управление правами доступа к объекту

Управление консенсусом принятия изменений

Все изменения между территориально разделенными узлами проходят через особый механизм фиксации в цепочке транзакций. Каждое изменение в локальном хранилище обязательно транслируется и жестко фиксируется на всех узлах страты. Изменения применяются к конкретному полю любого объекта и транслируются узлом, отредактировавшим поле, на всех участников страты, доступных в данный момент.

Последовательность операций заключается в следующем:

1) когда происходит блокировка поля в конкретном локальном хранилище, узел передает запрос на блокировку данной записи (информацию которой он изменяет) на все доступные узлы страты;

2) остальные узлы страты фиксируют у себя данное поле как «заблокированное» сторонним узлом, чтобы избежать возникновения конфликтов при трансляции изменений (при этом для каждого поля каждый узел хранит свою цепочку транзакций в блокчейн);

3) после изменения данных узел добавляет в такую цепочку новый блок и отправляет его всем доступным на данный момент узлам страты;

4) узлы получают цепочку, проверяют ее правильность (новый блок является следующим за последним блоком в настоящей цепочке);

5) если проверка узлов проходит успешно, производится операция изменения данных в текущем хранилище. Существуют два решения трансляции изменений. Первое решение заключается в пересылке SQL-запроса, который принимающие хосты должны повторить со своей базой данных. Такой способ является универсальным для любых операций (добавления, изменения, удаления), но с ограничениями на его использование в т-Мешогу- и NoSQL-хранилищах [17]. Суть второго подхода состоит в передаче наименования операции и конечного результата. Он универсален для абсолютно любых типов баз данных, однако требует дополнительных обработчиков;

6) в случае принятия изменений каждым узлом производится отправка уведомления о принятии блока;

7) узел-инициатор получает ответы блоков и, если общее количество ответов достигло минимум 51 %, то в нем фиксируется принятая информация.

Заключение

При децентрализованном режиме работы, где каждый узел является фактически хранилищем данных, доступных для просмотра/изменения, организация совместного последовательного доступа к данным со стороны системы претерпевает значительные изменения.

Поскольку данные локальны, то они доступны в полной мере пользователю узла. Однако принятие изменений данных стратой возможно лишь при наличии прав на изменение для роли пользователя.

В случае децентрализованной обработки нет единого контролирующего механизма поддержания распределения прав доступа на совместный доступ к данным, а присутствует лишь алгоритм принятия изменений, исходя из наличия записанных прав роли на манипуляцию сущностью в цепочке блоков.

В ходе исследовательской работы были проанализированы основные принципы функционирования децентрализованных баз данных и требования, предъявляемые к ним.

В рамках проектирования был предложен новый подход к организации взаимодействия данных и представления структуры модели хранения.

Описанное решение является расширенной реализацией системы с учетом всех требований для децентрализованных хранилищ данных, выделенных К. Дж. Дейтом.

Помимо этого была разработана и технически реализована модель доступа к данным через хранение идентификаторов доступа в цепочке блоков, а также ограничение видимости данных в рамках групп пользователей.

Предложенная модель безопасного доступа к данным основывается на персональной ответственности каждого пользователя за предоставляемые им права на доступ к данным другим пользователям. Каждый пользователь децентрализованной базы данных может разрешить доступ на просмотр/изменение/создание данных в рамках привилегий своей роли. Вследствие этого необходимость в администраторе для обеспечения безопасности отпадает, что позволяет переложить ответственность за обеспечение доступа к данным на сами узлы и их операторов.

Результаты проведенных исследований в дальнейшем могут быть использованы в практической реализации децентрализованных баз данных, что позволит выстраивать сложные бизнес-системы без предварительного проектирования схем баз данных, исключив единую точку отказа в работе, повысив безопасность данных и сделав бессмысленными большинство типов атак.

Библиографический список

1. Буквина Е. А. Роль и место децентрализованных приложений в цифровой экономике / Е. А. Буквина // Глобальная экономика в XXI веке : роль биотехнологий и цифровых технологий : сб. науч. статей по итогам работы пятого круглого стола с международным участием. Москва, 15-16 июля 2020 г. - М. : ООО «Конверт», 2020. - С. 195-196.

2. Буквина Е. А. Экономические аспекты информационной безопасности предприятия / Е. А. Букви-на // Глобальная экономика в XXI веке : роль биотехнологий и цифровых технологий : сб. науч. статей по итогам работы пятого круглого стола с международным участием. Москва, 15-16 июля 2020 г. - М. : ООО «Конверт», 2020. - С. 192-194.

3. Модели защиты информационных активов. -URL : https://revolution.allbest.ru/radio/00479423_0. html (дата обращения : 10.01.2021 г.).

4. Методы управления доступом в распределенных средах. - URL : http://www.ict.nsc.ru/ws/YM2003/6299/ (дата обращения : 20.01.2021 г.).

5. Обзор и сравнение существующих методов управления доступом. - URL : http://www.ict.nsc.ru/ws/ YM2003/6312 (дата обращения : 20.01.2021 г.).

6. Меры защиты информации в государственных информационных системах. - URL : https://fstec.ru/ component/attachments/download/675 (дата обращения : 10.05.2021 г.).

7. Зеневич А. М. Системы обработки многопользовательских баз данных / А. М. Зеневич. - URL : http:// www.bseu.by/it/tohod/lekcii8_5.htm (дата обращения : 07.02.2021 г.).

8. Буквина Е. А. Buildbox Platform как инструмент для разработки отраслевых IT-решений / Е. А. Буквина, И. В. Ловецкий, М. А. Буквина и др. // Глобальная экономика в XXI веке : роль биотехнологий и цифровых технологий : сб. науч. статей по итогам работы четвертого круглого стола с международным участием. Москва, 15-16 июня 2020 г. - М. : ООО «Конверт», 2020. - С. 29-31.

9. Ловецкий И. В. Децентрализация баз данных как путь к безопасности данных предприятия / И. В. Ловецкий, Д. С. Добровинский, М. А. Попов // Докл. VII Пленума СибРОУМО и материалы XVI конференции «Проблемы информационной безопасности государства, общества и личности». Томск, 6-10 июня 2018 г. - Томск : В.-Спектр, 2018. - С. 65-67.

10. Буквина Е. А. Buildbox Platform. Реализация методов управления доступом / Е. А. Буквина // Приоритетные направления инновационной деятельности в промышленности : сб. науч. статей седьмой международной научной конференции. Казань, 30-31 июля 2020 г. - Казань : ООО «Конверт», 2020. - С. 31-33.

11. Friend-to-friend. - URL : https://dic.academic.ru/ dic.ns^ruwiki/479045 (дата обращения : 24.03.2021 г.).

12. Raval S. Decentralized аpplications: Harnessing Bitcoin's Blockchain Technology / S. Raval. - O'Reilly Media, 2016. - 118 p.

13. Анисимов В. В. Криптография : метод. указания / В. В. Анисимов. - Хабаровск : ДВГУПС, 2004. -33 с.

14. Рябко Б. Я. Криптографические методы защиты информации : учеб.пособие / Б. Я. Рябко, А. Н. Фионов. - М. : Горячая линия-Телеком, 2005. -229 с.

15. Мао В. Современная криптография : теория и практика / В. Мао ; пер. с англ. и ред. Д. А. Клюши-на. - М. : Издат. дом «Вильямс», 2005. - 763 с.

16. Яковлев Ю. С. О концепции построения и выбора распределенных баз данных информационно-

поисковых систем / Ю. С. Яковлев // Математические машины и системы. - 2003. - № 2. - С. 35-53.

17. Sadalage P. J. NoSQL distilled : A brief guide to the Emerging World of Polyglot Persisrence / P. J. Sadalage, M. Fowler. - New York : Addison-Wesley Professional, 2012. - 192 p.

Дата поступления: 16.02.2021 Решение о публикации: 23.04.2021

Контактная информация:

БУКВИНА Екатерина Алексеевна - преподаватель; bukvina.katerina.96@mail.ru ЗВЕРЕВА Елена Валерьевна - канд. экон. наук, доц.; zverelv@mail.ru

ФАЛЕЕВА Елена Валерьевна - канд. техн. наук, доц.; elena_ha2G04@mail.ru ЕШЕНКО Роман Анатольевич - канд. техн. наук, доц.; era99@yandex.ru

Development of methods for ensuring information security of decentralized databases

E. A. Bukvina1, E. V. Zvereva 2, E. V. Faleeva 1, R. A. Yeshenko 1

1 Far Eastern State Transport University, 47, Serysheva ul., Khabarovsk, 680021, Russian Federation

2 Emperor Alexander I Petersburg State Transport University, 9, Moskovsky pr., Saint Petersburg, 190031, Russian Federation

For citation: Bukvina E.A., Zvereva E. V., Faleeva E. V., Yeshenko R. A. Development of methods for ensuring information security of decentralized databases. Proceedings of Petersburg Transport University. Saint Petersburg, Petersburg State Transport University, 2021, vol. 18, iss. 2, pp. 283-293 (In Russian) DOI: 10.20295/1815-588X-2021-2-283-293

Summary

Objective: To develop a draft database model adapted for use in decentralized databases. To describe the protocol stack for interaction between the components of database management systems operating with decentralized resources. To design mechanisms for distributing access rights of access subjects to access objects. Methodology: 1) analysis of the functions of decentralized protocols; 2) system analysis of structures and data processing algorithms; 3) analysis of the principles of decentralized applications and the requirements for decentralized databases; 4) prototyping data building models; 5) classification of threats to information security; 6) experimental methodology, including stress tests and the analysis and summary of the data obtained. Results: A new concept of data organization was considered, which allowed separating data storage models from business process models, thereby enabling the quick adjustment of the application to the company's requirements. A number of mechanisms are presented that are capable of ensuring the performance of applications operating on the basis of decentralized storages. A method for differentiating access rights to objects by limiting the data scope depending on the role assigned to the user is described. Practical importance: Developments in this area have both theoretical and practical significance due to the popularization of the principles of the so-called "distributed economy" both in the field of government and commerce, and among software designers. Such transformations in the design of data models, the organization of both the development itself, and the internal architecture of the application would solve the problem of excessive centralization of resources and information flows, as well as distribute responsibility for the integrity and relevance of data among the participants in the process. The results obtained can be used for the practical implementation of decentralized storage, as well as for the design of software modules that eliminate vulnerabilities and ensure stable neutralization of threats to information security of decentralized databases.

Keywords: Decentralized database, decentralized application, blockchain, graph-oriented model of data construction, information security, role-based access control, access rights, field revision, consensus of adoption of changes.

7. Zenevich A. M. Sistemy obrabotki mnogopol'zo-vatel'skikh baz dannykh [Multi-user database processing systems]. Available at: http://www.bseu.by/it/tohod/ lekcii8_5.htm (accessed: February 07, 2021). (In Russian)

8. Bukvina E.A., Lovetskiy I. V., Bukvina M.A. et al. Buildbox Platform kak instrument dlya razrabotki otraslevykh IT-resheniy [Buildbox Platform as a tool for developing industry IT solutions]. Global'naya ekonomi-ka vXXIveke: rol'biotekhnologiy i tsifrovykh tekhnologiy. Sbornik nauchnykh statey po itogam raboty pyatogo kruglogo stola s mezhdunarodnym uchastiyem [The Global Economy in the 21st Century: The Role ofBiotechnology and Digital Technologies. A Collection of Scientific Articles on the Results of the Fifth Round Table with International Participation]. Moscow, LLC "Convert" Publ., 2020, pp. 29-31. (In Russian)

9. Lovetskiy I. V., Dobrovinsky D. S. & Popov M.A. Detsentralizatsiya baz dannykh kak put' k bezopasnosti dannykh predpriyatiya [Decentralizing databases as a path to enterprise data security]. Doklady VIIPlenuma Sibir-skogo regional'nogo otdeleniya uchebno-metodicheskogo ob"yedineniya vuzov Rossii i materialy XVI konferentsii "Problemy informatsionnoy bezopasnosti gosudarstva, obshchestva i lichnosti". Tomsk, 6-10 iyunya 2018 g. [Reports of the VII Plenum of the Siberian regional branch of the educational and methodological association of Russian universities and materials of the XVI conference "Problems of information security of the state, society and the individual". Tomsk, June 6-10, 2018]. Tomsk, V.-Spectr Publ., 2018, pp. 65-67. (In Russian)

10. Bukvina E.A. Buildbox Platform. Realizatsiya metodov upravleniya dostupom [Buildbox Platform. Implementing Access Control Methods]. Prioritetnyye napravleniya innovatsionnoy deyatel'nosti v promyshlen-nosti. Sbornik nauchnykh statey sed'moy mezhdunarod-noy nauchnoy konferentsii. Kazan', 30-31 iyulya 2020 g. [Priority areas of innovation in industry. Collection of scientific articles of the seventh international scientific conference. Kazan, 30-31 July 2020]. Kazan, LLC "Convert" Publ., 2020, pp. 31-33. (In Russian)

11. Friend-to-friend. Available at: https://dic.acade-mic.ru/dic.nsf/ruwiki/479045 (accessed: March 24, 2021). (In Russian)

Preferences

1. Bukvina E.A. Rol' i mesto detsentralizovannykh prilozheniy v tsifrovoy ekonomike [Role and place of decentralized applications in digital economy]. Global'naya ekonomika v XXI veke: rol' biotekhnologiy i tsifrovykh tekhnologiy. Sbornik nauchnykh statey po itogam raboty pyatogo kruglogo stola s mezhdunarodnym uchastiyem [The Global Economy in the 21st Century: The Role of Biotechnology and Digital Technologies. A Collection of Scientific Articles on the Results of the Fifth Round Table with International Participation]. Moscow, LLC "Convert" Publ., 2020, pp. 195-196. (In Russian)

2. Bukvina E. A. Ekonomicheskiye aspekty informat-sionnoy bezopasnosti predpriyatiya [Economic aspects of information security of an enterprise]. Global'naya ekonomika v XXI veke: rol' biotekhnologiy i tsifrovykh tekhnologiy. Sbornik nauchnykh statey po itogam raboty pyatogo kruglogo stola s mezhdunarodnym uchastiyem [The Global Economy in the 21st Century: The Role of Biotechnology and Digital Technologies. A Collection of Scientific Articles on the Results of the Fifth Round Table with International Participation]. Moscow, LLC "Convert" Publ., 2020, pp. 192-194. (In Russian)

3. Modeli zashchity informatsionnykh aktivov [Information asset protection models]. Available at: https://re-volution.allbest.ru/radio/00479423_0.html (accessed: January 10, 2021). (In Russian)

4. Metody upravleniya dostupom v raspredelennykh sredakh [Access control techniques in distributed environments]. Available at: http://www.ict.nsc.ru/ws/YM2003/ 6299/(accessed: January 20, 2021) (In Russian)

5. Obzor i sravneniye sushchestvuyushchikh metodov upravleniya dostupom [Review and comparison of existing methods of access control]. Available at: http://www. ict.nsc.ru/ws/YM2003/6312/(accessed: January 20, 2021). (In Russian)

6. Mery zashchity informatsii v gosudarstvennykh informatsionnykh sistemakh [Information protection measures in state information systems]. Available at: https:// fstec.ru/component/attachments/download/675 (accessed: May 10, 2021). (In Russian)

12. Raval S. Decentralized applications: Harnessing Bitcoin's Blockchain Technology. O'Reilly Media Publ., 2016, 118 p.

13. Anisimov V. V. Kriptografiya. Metod. ukazaniya [Cryptography. Method. directions]. Khabarovsk, Far Eastern State Transport University Publ., 2004, 33 p. (In Russian)

14. Ryabko B. Y. & Fionov A. N. Kriptograficheski-ye metody zashchity informatsii. Uchebnoye posobiye [Cryptographic information security methods. A Tutorial]. Moscow, Hotline-Telecom Publ., 2005, 229 p. (In Russian)

15. Mao W. Sovremennayakriptografia. Teoria iprak-tika [Modern Cryptography. Theory and Practice]. Moscow, Publishing House "Williams", 2005, 763 p. (In Russian)

16. Yakovlev Y. S. O kontseptsii postroyeniya i vy-bora raspredelennykh baz dannykh informatsionno-pois-kovykh system [On the concept of building and choosing distributed databases of information retrieval systems].

Matematicheskiye mashiny i sistemy [Mathematical machines and systems], 2003, no. 2, pp. 35-53. (In Russian)

17. Sadalage P. J. & Fowler M. NoSQL Distilled: A brief guide to the Emerging World of Polyglot Persis-rence. New York, Addison-Wesley Professional Publ., 2012, 192 p.

Received: February 16, 2021 Accepted: April 23, 2021

Authors' information:

Ekaterina A. BUKVINA - Teacher; bukvina.katerina.96@mail.ru Elena V. ZVEREVA - PhD in Economics, Associate Professor; zverelv@mail.ru Elena V. FALEEVA - PhD in Engineering, Associate professor; elena_ha2004@mail.ru Roman A. YESHENKO - PhD in Engineering, Associate professor; era99@yandex.ru