粗糙集下多級網絡多節(jié)點數(shù)據(jù)庫安全訪問研究

摘" 要： 研究粗糙集下多級網絡多節(jié)點數(shù)據(jù)庫安全訪問方法，使其具有抑制惡意訪問行為能力，提升數(shù)據(jù)庫訪問控制的靈活性和準確性。在粗糙集理論下，根據(jù)多級網絡用戶角色、訪問權限、操作類型等建立安全訪問決策表，利用區(qū)分矩陣對決策表屬性作約簡處理后，通過計算安全訪問規(guī)則可信度和支持度完成安全訪問決策規(guī)則的生成，利用基于目的和上下文推理的訪問控制策略實現(xiàn)多級網絡多節(jié)點數(shù)據(jù)庫安全訪問。實驗結果表明：該方法可實現(xiàn)醫(yī)生用戶、研究人員用戶數(shù)據(jù)庫訪問規(guī)則的生成，有效減緩甚至抑制惡意訪問引起的數(shù)據(jù)流波動，顯著提升數(shù)據(jù)庫的安全防護能力。

關鍵詞： 粗糙集； 數(shù)據(jù)庫； 安全訪問； 決策表； 屬性約簡； 訪問規(guī)則； 區(qū)分矩陣； 可信度

中圖分類號： TN919?34； TP393" " " " " " " " " "文獻標識碼： A" " " " " " " " " " " 文章編號： 1004?373X（2025）03?0087?05

Research on secure access to multi?node databases in multi?level networks

in the case of rough set

CAI Wei1， QU Jian2， Lü Dongrun3

（1. School of Criminal Investigation， People′s Public Security University of China， Beijing 100045， China;

2. Smart Policing College， China People′s Police University， Langfang 065000， China;

3. Graduate School， China People′s Police University， Langfang 065000， China）

Abstract： A secure access method for multi?node databases in multi?level networks in the case of rough set is studied， and the method should have the ability to suppress malicious access behavior and improve the flexibility and accuracy of database access control. On the basis of the rough set theory， a secure access decision table is established according to multi?level network user roles， access permissions， operation types， etc. The decision table attributes are reduced by a discernibility matrix， and the secure access decision rules are generated by calculating the credibility and support of secure access rules. A purpose?based and context?based access control strategy is used to achieve secure access to multi?node databases in multi?level networks. The experimental results show that the method can generate database access rules for users such as doctors and researchers， effectively slowing down or even suppressing data flow fluctuations caused by malicious access， and significantly improving the security protection ability of the database.

Keywords： rough set; database; secure access; decision table; attribute reduction; access rule; distinguishing matrix; reliability

0" 引" 言

隨著互聯(lián)網技術的飛速發(fā)展，數(shù)據(jù)作為信息時代的重要資源，其安全性與隱私保護問題日益凸顯[1]。特別是在多級網絡和多節(jié)點數(shù)據(jù)庫環(huán)境下，數(shù)據(jù)的傳輸、存儲與訪問面臨著更為復雜的挑戰(zhàn)[2]。網絡結構的層級性和節(jié)點的多樣性增加了數(shù)據(jù)泄露和非法訪問的風險，因此，如何有效地保障多級網絡多節(jié)點數(shù)據(jù)庫的安全訪問成為了一個亟待解決的問題[3?4]。

文獻[5]設計了一種數(shù)據(jù)庫訪問控制機制，該機制基于數(shù)據(jù)的安全等級分配解密密鑰，并利用同態(tài)加密為用戶提供安全標記。將訪問權限以加密形式存儲在二維矩陣中，當用戶請求訪問時，系統(tǒng)通過同態(tài)加密的私鑰解密并驗證權限信息，從而實現(xiàn)了對數(shù)據(jù)庫訪問的精細化控制和安全性保障。該方法能更有效地識別異常訪問和攻擊數(shù)據(jù)，加密控制效果更佳，顯示出較高的可行性。然而，其不足在于計算復雜度較高，可能影響系統(tǒng)性能，特別是在大規(guī)模用戶和高并發(fā)訪問場景下[5]。文獻[6]設計的數(shù)據(jù)庫訪問控制策略，用MyBatis插件簡化訪問控制策略的開發(fā)與維護，支持上下文感知的行級訪問控制，降低了開發(fā)成本并保障了數(shù)據(jù)安全。文獻[7]通過引入總線架構提升數(shù)據(jù)交換的安全性和效率，將身份認證技術、權限控制技術、操作日志維護技術和關鍵數(shù)據(jù)加密技術等多種安全技術共同作用于醫(yī)療電子病例數(shù)據(jù)庫的安全訪問過程，確保數(shù)據(jù)的安全性和完整性。文獻[7]設計的分布式數(shù)據(jù)庫細粒度訪問控制策略采用零信任架構，即默認不信任網絡內外的任何訪問請求，每個請求都必須經過嚴格的身份驗證和授權檢查，確保只有具有相應權限的用戶才能訪問特定的數(shù)據(jù)資源。文獻[8]采用AES加密算法處理數(shù)據(jù)庫中的敏感數(shù)據(jù)，提高數(shù)據(jù)安全性，結合身份認證和權限管理技術，限制用戶對數(shù)據(jù)的訪問權限，確保只有經過授權的用戶才能訪問和使用數(shù)據(jù)。該方法在面對大規(guī)模數(shù)據(jù)庫時，需要對整個數(shù)據(jù)庫進行加密，這會大幅降低數(shù)據(jù)處理效率。

近年來，粗糙集理論在數(shù)據(jù)挖掘、決策支持、知識發(fā)現(xiàn)等領域展現(xiàn)出了巨大的潛力。粗糙集理論中的屬性約簡技術能夠刪除冗余屬性和合并等價屬性，減小數(shù)據(jù)的維度，提高數(shù)據(jù)處理和決策的效率。在數(shù)據(jù)庫安全訪問中，這有助于識別并去除可能泄露敏感信息的冗余字段，同時提取出具有決策能力的規(guī)則，優(yōu)化訪問控制策略[9?11]。因此，本文研究粗糙集下多級網絡多節(jié)點數(shù)據(jù)庫安全訪問方法，以有效識別并隔離潛在的安全威脅，提高數(shù)據(jù)庫訪問控制的靈活性和準確性。

1" 多級網絡多節(jié)點數(shù)據(jù)庫安全訪問

1.1" 粗糙集理論

粗糙集是一種用于處理不確定性和含糊性的數(shù)學工具[12?13]，在數(shù)據(jù)分析、決策支持和知識發(fā)現(xiàn)等領域有著廣泛的應用。在粗糙集理論中，可通過四元組[S=U， A，V， f]描述一個決策系統(tǒng)，以對多級網絡多節(jié)點數(shù)據(jù)庫訪問的安全屬性進行分析，實現(xiàn)安全訪問規(guī)則的提取。數(shù)據(jù)庫中所有可能的訪問請求集合定義為論域[U=x1，x2，…，xn]；安全訪問屬性集合表示為[A=A1， A2，…， An]，[A=C?D]，[C?D=?]，用戶角色、訪問權限、操作類型等安全屬性定義為條件屬性，通過[C]表示；是否允許用戶訪問多級網絡多節(jié)點數(shù)據(jù)庫定義為決策屬性，通過[D]表示；屬性值的集合表示為[V=V1，V2，…，Vn]；通過信息函數(shù)[f]可將論域[U]中的每個對象與[A]中的屬性值關聯(lián)起來，即[f：U×A→V]， [fxi， Aj∈Vj]。當[xi]、[xj]在屬性[Aj]上的值一致，則認為二者具有等價關系。

1.2" 基于粗糙集的安全訪問規(guī)則生成

安全訪問規(guī)則作為多級網絡多節(jié)點數(shù)據(jù)庫安全策略的核心組成部分，定義了不同用戶或系統(tǒng)組件在復雜網絡環(huán)境中對數(shù)據(jù)庫資源的合法訪問權限和限制條件。通過精確制定和執(zhí)行安全訪問規(guī)則，可以確保只有經過授權的用戶或進程能夠對數(shù)據(jù)庫中的敏感數(shù)據(jù)進行訪問，有效防止未授權訪問、數(shù)據(jù)泄露和非法操作等安全威脅。同時，安全訪問規(guī)則有助于實現(xiàn)訪問控制的細粒度管理，提高數(shù)據(jù)保護的精確性和靈活性，從而保障多級網絡多節(jié)點數(shù)據(jù)庫整體安全性和可靠性。本文采用基于粗糙集的安全訪問規(guī)則生成方法，根據(jù)用戶角色、訪問權限、操作類型等建立安全訪問數(shù)據(jù)決策表，通過對多級網絡多節(jié)點數(shù)據(jù)庫安全屬性進行約簡，以獲得更加可靠、直觀的安全訪問決策規(guī)則，從而達到簡化安全規(guī)則的復雜性，簡少規(guī)則沖突，提高安全策略的可管理性和執(zhí)行效率。

1.2.1" 安全訪問數(shù)據(jù)決策表

為了建立安全訪問數(shù)據(jù)決策表，首先需要收集和整理與用戶角色、訪問權限和操作類型相關的安全屬性信息。然后，根據(jù)獲得的安全屬性信息組織成一個決策表，其中每一行代表一個具體的數(shù)據(jù)庫訪問請求，每一列代表一個安全屬性。在決策表中，條件屬性[C]視為用戶角色、訪問權限和操作類型等安全訪問屬性，決策屬性[D]則為安全訪問決策（允許或拒絕）。通過對安全訪問數(shù)據(jù)決策表進行分析和約簡，可以去除冗余信息，提煉出關鍵的安全訪問規(guī)則，確保多級網絡多節(jié)點數(shù)據(jù)庫具有高安全性，并提高安全策略的執(zhí)行效率。

1.2.2" 區(qū)分矩陣

在粗糙集理論的支持下，本文利用區(qū)分矩陣對與多級網絡多節(jié)點數(shù)據(jù)庫訪問請求相關的安全屬性集合進行分析處理，以識別并去除不影響決策結果的冗余屬性。設定多級網絡多節(jié)點數(shù)據(jù)庫安全訪問規(guī)則[xi]的[Aj]屬性值通過[fxi， Aj]表示，用[M]表示區(qū)分矩陣，安全訪問規(guī)則[i]、[j]在特征屬性上的不可區(qū)分性可通過其矩陣元[dij]進行描述，計算公式為：

[dij=1，" " "fxi， Aj≠fxi+k， Aj0，" " "fxi， Aj=fxi+k， Aj] （1）

式中：[1≤ilt;i+k≤n]；[1≤j≤m]。

當[dij=0]時，安全訪問規(guī)則[xi]、[xi+k]的[Aj]屬性值相同，二者具有不可分辨性；當[di1，di2，…，dim]均等于1時，則安全訪問規(guī)則在屬性集[A]上具有可分辨性；當只有[dim]值等于1時，則[Am]為[xi]、[xi+k]的核屬性；當滿足條件[fxi，C=fxj，C]，且[fxi，D≠fxj，D]時，可斷定[xi]、[xi+k]具有不一致性。

不能通過屬性[Aj]進行訪問規(guī)則的辨別時，則[dij=0]；反之，[dij=1]。因此可根據(jù)屬性在區(qū)分矩陣中的活躍程度定義屬性權重，用以反映屬性在區(qū)分不同對象時的能力大小，計算公式描述為：

[WAj=1ni=1ndij] （2）

式中[n]為論域[U]中數(shù)據(jù)庫訪問請求的總量。

當[WAj=1]時，[Aj]具有強區(qū)分性；當[WAj=0]時，[Aj]不具備區(qū)分性。

1.2.3" 數(shù)據(jù)庫安全訪問屬性約簡

為簡化多級網絡多節(jié)點數(shù)據(jù)庫安全訪問規(guī)則的復雜性，提高決策的效率和準確性，本文對安全訪問屬性進行約簡，具體流程如下。

1） 將安全訪問規(guī)則轉化為矩陣形式，并進行量化處理，以便于使用粗糙集理論進行屬性約簡和規(guī)則提取。

2） 通過式（1）實現(xiàn)區(qū)分矩陣[M]的確定，屬性值約簡是從決策矩陣中去除對決策不起關鍵作用的屬性值，但需保證決策矩陣的區(qū)分能力不變和決策規(guī)則的正確性，約簡后的決策矩陣應該能夠產生與原始矩陣相同的決策結果，不會因為屬性值的減少而導致對象被錯誤授權。

3） 在區(qū)分矩陣的基礎上，為每條安全訪問規(guī)則形成的一個專注于特定屬性的子矩陣[mi]，在[mi]中，行元素用于分析屬性[Ai]下，[xi]、[xi+k]規(guī)則之間是否具有可區(qū)分性；列元素反映在不同屬性下，[xi]、[xi+k]規(guī)則之間的區(qū)分性如何變化。通過該步驟可確定特定屬性對安全訪問規(guī)則區(qū)分的貢獻，從而更加精細地控制和優(yōu)化安全訪問規(guī)則的復雜性。

4） 區(qū)分矩陣中可能存在多個具有一致區(qū)分能力的安全訪問規(guī)則，對重復規(guī)則進行合并或消解，同時去除那些在區(qū)分矩陣中對安全訪問規(guī)則區(qū)分沒有貢獻的屬性，依照屬性權重計算結果進行核實篩選，直到產生等價集[Ri]，完成安全訪問規(guī)則約簡表的生成。

1.2.4" 安全訪問規(guī)則生成

在生成多級網絡多節(jié)點數(shù)據(jù)庫安全訪問規(guī)則約簡表的前提下，可通過計算安全訪問規(guī)則可信度和支持度完成安全訪問決策規(guī)則的生成，其形式化描述公式為：

[C→DTP] （3）

式中：[C]、[D]分別為安全訪問規(guī)則的條件、決策屬性集；[T]為可信度參數(shù)。[T]的計算公式為：

[T=i=1nCwi] （4）

式中：[Cwi]表示第[i]個條件屬性的重要性權重；[T]值小于1。

支持度參數(shù)[P]通過式（5）確定。

[P=cardC?DcardU] （5）

式中：[cardU]為論域中元素總量；[cardC?D]為[C]、[D]交集集合中屬性數(shù)量。

1.3" 多級網絡多節(jié)點數(shù)據(jù)庫安全訪問控制

多級網絡多節(jié)點數(shù)據(jù)庫環(huán)境中，數(shù)據(jù)需要在多個層次和不同節(jié)點上進行處理和存儲，數(shù)據(jù)的安全性尤為重要。本文采用基于目的和上下文推理的訪問控制策略（PCRAC）提高多級網絡多節(jié)點數(shù)據(jù)庫的安全性，避免隱私數(shù)據(jù)被惡意篡改和泄露。基于PCRAC的多級網絡多節(jié)點數(shù)據(jù)庫安全訪問流程圖如圖1所示。

多級網絡多節(jié)點數(shù)據(jù)庫安全訪問過程需經歷會話建立、安全訪問規(guī)則生成及訪問目的推斷、安全訪問控制三個不同階段。

2" 實驗分析

在圖2所示的某醫(yī)療大數(shù)據(jù)平臺上開展實驗研究。該平臺采用多級網絡架構設計，Internet網絡與內網通過外部防火墻進行隔離，允許遠程用戶通過虛擬專用網（VPN Gateway）訪問內部網絡，在隔離區(qū)（DMZ）部署Web服務器，處理來自客戶端的應用程序請求。利用內部防火墻確保內部局域網免受來自DMZ的可能攻擊。局域網中分布11個數(shù)據(jù)庫節(jié)點，用于存儲用戶ID、角色（醫(yī)生、研究人員等）、醫(yī)生科室、節(jié)點位置、患者ID、年齡、性別、病情、用藥、治療狀態(tài)以及交互行為數(shù)據(jù)等。將本文方法應用到該多級網絡多節(jié)點數(shù)據(jù)庫安全訪問中，驗證其性能優(yōu)勢。

訪問規(guī)則可以確保數(shù)據(jù)庫免受未授權訪問、數(shù)據(jù)泄露和其他安全威脅，使合法用戶能夠高效地訪問所需的數(shù)據(jù)。設定醫(yī)生用戶U001想要對患者P001、P003、P004的年齡、病情等信息進行訪問，研究人員U002想要獲取患者P002、P005的相關信息，應用本文方法對用戶U001、U002的數(shù)據(jù)庫安全訪問規(guī)則進行提取，訪問決策表建立結果以及決策表屬性約簡結果分別如表1、表2所示。

分析表1、表2得出，本文方法通過對用戶信息、患者信息以及用戶與患者的交互操作信息進行整理，完成了醫(yī)生用戶U001、研究人員用戶U002數(shù)據(jù)庫訪問決策表的構建，其中條件屬性中醫(yī)院ID、患者ID、患者年齡、患者性別、患者病情屬性對確定用戶訪問權限不是必要的，因此，對上述屬性作了約簡處理；角色、患者狀態(tài)、訪問目的三個條件屬性對于最終的訪問決策具有重要影響，因此對其予以保留。由表2可分別完成醫(yī)生用戶、研究人員用戶數(shù)據(jù)庫訪問規(guī)則的提取。對于醫(yī)生用戶U001，當患者處于治療狀態(tài)時，可對其年齡、病情信息進行訪問，當患者出院后，則無法訪問其病情信息；對于研究人員用戶，只能對出院患者病情信息進行訪問，對治療中患者病情信息不具備查詢資格。

為測試本文方法的安全訪問性能，將基于總線架構的訪問方法、基于MyBatis和CBAC的訪問方法作為其對比方法，不同方法下的惡意訪問行為抑制性能差異如圖3所示。分析圖3得出，數(shù)據(jù)庫遭受惡意訪問時，數(shù)據(jù)流會顯著波動，波動幅值明顯增大，相比之下，采用對比方法進行數(shù)據(jù)庫安全訪問控制，數(shù)據(jù)流波動幅值明顯高于本文方法，這一現(xiàn)象有力證明了本文方法在抑制惡意訪問行為方面表現(xiàn)更為出色，能夠有效減緩甚至抑制惡意訪問引起的數(shù)據(jù)流波動，從而顯著提升數(shù)據(jù)庫的安全防護能力，保障數(shù)據(jù)的完整性和可用性。

3" 結" 論

利用粗糙集理論生成數(shù)據(jù)庫安全訪問規(guī)則，無需任何先驗知識，能夠靈活應對復雜多變的網絡環(huán)境，展現(xiàn)出卓越的適應性。通過對決策表屬性進行約簡，有效剔除冗余信息，僅保留關鍵屬性，可簡化安全訪問規(guī)則，顯著提升規(guī)則的可讀性和可理解性。此外，結合基于目的和上下文推理的訪問控制策略（PCRAC），不僅增強了多級網絡多節(jié)點數(shù)據(jù)庫的安全防護能力，還有效阻止了隱私數(shù)據(jù)的惡意篡改和泄露，為數(shù)據(jù)庫安全提供了全面保障。

參考文獻

[1] 薛占熬，李永祥，姚守倩，等.基于Bayesian直覺模糊粗糙集的數(shù)據(jù)分類方法[J].山東大學學報（理學版），2022，57（5）：1?10.

[2] 王勇睿.基于分布式數(shù)據(jù)庫的安全性與防護研究[J].信息與電腦（理論版），2022，34（24）：222?224.

[3] 張峻，闞銀環(huán).基于量化行為的異構數(shù)據(jù)庫強制訪問控制方法[J].計算機仿真，2021，38（8）：487?491.

[4] 劉秉峰，韓智偉.基于區(qū)塊鏈的醫(yī)院數(shù)據(jù)庫安全訪問控制方法[J].現(xiàn)代信息科技，2023，7（8）：48?50.

[5] 馬飛，李娟.基于同態(tài)加密的數(shù)據(jù)庫安全訪問多級控制模型[J].計算機仿真，2022，39（8）：446?449.

[6] 葉茂林，余發(fā)江.SDBatis：基于MyBatis和CBAC的數(shù)據(jù)庫應用訪問控制[J].武漢大學學報（理學版），2022，68（1）：57?64.

[7] 黃杰，余若晨，毛冬.電力物聯(lián)網場景下基于零信任的分布式數(shù)據(jù)庫細粒度訪問控制[J].信息安全研究，2021，7（6）：535?542.

[8] SHYAMASUNDAR R K， CHAUDHARY P， JAISWAL A， et al. Approaches to enforce privacy in databases： Classical to information flow?based models [J]. Information systems frontiers， 2021， 23（4）： 811?833.

[9] 李志遠，劉思峰，杜俊良，等.小樣本條件下基于屬性權重Shapley值分配的粗糙集決策模型[J].控制與決策，2022，37（10）：2677?2684.

[10] 胡豹，高永衛(wèi)，魏斌斌.基于粗糙集理論的螺旋槳設計規(guī)則提取[J].航空動力學報，2023，38（8）：1901?1908.

[11] 吳曉雪，李艷.基于鄰域關系粗糙集和不確定性的增量屬性約簡方法[J].西北大學學報（自然科學版），2022，52（5）：753?764.

[12] 張杰，張燕蘭.基于相似關系的局部粗糙集模型[J].山東大學學報（理學版），2021，56（3）：77?82.

[13] 吳婉琳，張賢勇，莫智文.基于粗糙集不確定度的特定類屬性約簡[J].四川師范大學學報（自然科學版），2021，44（6）：840?846.