基于改進遺傳算法的分布式數據庫訪問控制方法

摘要：分布式數據庫具有一定開放性和復雜性，使得數據庫面臨嚴峻的安全挑戰，為此，文章提出了基于改進遺傳算法的分布式數據庫訪問控制方法。首先，生成分布式數據庫用戶的SPKI/SDSI證書鏈，采用參數自適應改進的遺傳算法搜索SPKI/SDSI證書鏈，然后，構建一個基于SPKI/SDSI證書的分布式訪問控制模型，通過該模型對用戶訪問請求中的證書鏈進行搜索與驗證，實現分布式數據庫訪問控制。實驗結果表明，該設計方法可準確且快速地識別惡意分布式節點，并限制其任何訪問行為，保障分布式數據庫的安全。

關鍵詞：改進遺傳算法；分布式；數據庫；訪問控制；控制方法

中圖分類號：TP311.13 文獻標志碼：A

0 引言

隨著數據量的不斷增長和系統的日益復雜，分布式數據庫系統面臨著嚴峻的安全挑戰，如何實現對數據庫的訪問控制，防止未授權訪問和惡意攻擊，成了一個亟待解決的問題。當下，國內外眾多學者對訪問控制方法展開了一系列研究，如林莉等［1］引入區塊鏈技術，設計了一種不泄露隱私數據的訪問控制策略，有效實現了大數據應用的安全訪問控制，但該訪問控制方法的應用范圍受限；韓斌等［2］以混沌映射改進的數字加密算法為基礎，構建了一個并發訪問控制模型，但這種方法復雜性較高；李健等［3］引入屬性撤銷密文策略進行屬性基加密，保障數據訪問安全，但該方法在高并發場景下難以保障訪問控制效率。在該背景下，本文開展了基于改進遺傳算法的分布式數據庫訪問控制方法研究。

1 生成分布式數據庫用戶的SPKI/SDSI證書鏈

本文主要通過用戶的簡單公鑰基礎設施（Simple Public Key Infrastructure，SPKI）/自我描述互聯網安全系統（Self-Describing Systems for Internet Security，SDSI）證書鏈進行分布式數據庫的訪問控制［4］。對于名字證書的合并，假設SPKI/SDSI系統存在名字證書S1和S2，其中S1是形式為Z1→T1的證書，S2是形式為Z2→T2的證書，Z1、Z2分別為名字證書S1和S2的起始點或簽名者，T1、T2分別為名字證書S1和S2被授權的實體。已知名字證書S1和S2之間存在的關系為T1，那么將S1和S2合并成一張名字證書時，合并規則為：

S3=S1·S2=Z1→（T1·S2）=Z1→T2x（1）

式中，S3表示合成后的新SDSI名字證書，x為任意字符串。根據式（1）即可將多個SDSI名字證書合并在一起，形成全新的名字證書。對于授權證書的合并，假設SPKI/SDSI系統存在授權證書Q1、Q2，則Q1=（a，b，c，d，e），Q2=（A，B，C，D，E）［5］。其中，a、A表示授權證書Q1、Q2的頒發者；b、B表示授權證書Q1、Q2的持有者；c、C表示授權證書Q1、Q2的權限傳遞；d、D表示授權證書Q1、Q2的具體權限；e、E表示授權證書Q1、Q2的有效時間。已知A=b，那么授權證書Q1、Q2的合并規則為［6］：

Q3=（a，B，C，Insert〈d，d〉，Insert〈e，E〉）（2）

式中，Q3表示合成后的新SPKI授權證書，Insert表示計算交集。根據式（2）即可將多個SPKI授權證書合并在一起，形成全新的授權證書。將合并成功的名字證書與授權證書合成在一起，即可得到包含SDSI名字證書和SPKI授權證書的分布式數據庫證書鏈。

2 改進遺傳算法搜索SPKI/SDSI證書鏈

利用SPKI/SDSI系統進行分布式數據庫用戶的訪問控制雖然具有一定的靈活性，但由于用戶的SPKI/SDSI證書鏈搜索難度較大，難以保障訪問控制的效率與精度，因此，本文通過尋優算法進行SPKI/SDSI證書鏈搜索［7］。本文提出了一種參數自適應改進的遺傳算法，該算法通過動態調整遺傳算法的參數，使搜索過程更加高效和靈活［8］。具體自適應改進方案如式（3）所示。

式中，G表示遺傳算法中染色體交叉或變異的概率，Gmax、Gmin表示遺傳算法中染色體交叉或變異概率的最大和最小值，F、H表示隨機數，D（X）表示種群X中染色體的適應度值，D0（X）表示種群X中染色體的適應度均值，Dmin（X）表示種群X中染色體的適應度最小值。根據式（3）所示，改進參數完成染色體的交叉與變異操作后，對染色體后代進行適應度評價，同樣保留優良個體，不斷重復此過程，直至達到最大迭代次數等結束條件，停止算法運行，輸出最優解即為所求分布式數據庫用戶SPKI/SDSI證書鏈。

3 基于SPKI/SDSI證書的分布式訪問控制模型構建

在上述內容的基礎上，為實現分布式數據庫訪問控制，本文構建了一個基于SPKI/SDSI證書的分布式訪問控制模型，具體結構如圖1所示。

如圖1所示，本文構建的分布式訪問控制模型主要包含了資源服務器、證書服務器、代理、客戶端服務器、客戶端證書庫等實體，各實體之間通過安全的通信協議進行交互。用戶通過客戶端服務器發起分布式數據庫訪問請求，攜帶從客戶端證書庫中獲取的SPKI/SDSI證書鏈；資源服務器作為分布式數據庫的管理者，負責接收用戶的訪問請求，并通過與證書服務器的交互，驗證用戶證書鏈的合法性；證書服務器利用改進的遺傳算法搜索數據庫所保存的合法證書鏈，以為資源服務器提供驗證依據。利用上述模型進行分布式數據庫訪問控制的流程如下：首先，當用戶想要訪問分布式數據庫時，客戶端和數據庫的資源服務器之間會通過代理建立一個安全連接，用戶從證書庫中找出一條SPKI/SDSI證書鏈，通過安全連接向資源服務器發送帶證書鏈的訪問請求；然后，當分布式數據庫的資源服務器收到用戶訪問請求后，會向證書服務器發出請求。證書服務器利用改進遺傳算法搜索數據庫所保存的合法SPKI/SDSI證書鏈，如果搜索到與用戶發來的證書鏈相對應的證書鏈，則將其返回給資源服務器。資源服務器根據接收的反饋信息對用戶請求中證書鏈的合法性進行驗證，如果不合法，將拒絕訪問并返回信息至客戶端；如果合法，則提供相應的分布式數據庫訪問服務給客戶端，以此實現分布式數據庫的訪問控制。

4 實驗分析

本文以該方法為實驗組，并以基于角色的分布式數據庫訪問控制方法和基于屬性的分布式數據庫訪問控制方法為對照組，開展對比實驗，以對各方法發現并限制分布式數據庫惡意數據節點的訪問行為能力進行驗證。首先，采用Python語言模擬分布式數據庫環境，然后，在該實驗環境中，搭建一個包含多個誠信節點與一個惡意節點的分布式數據庫，在該環境下完成后續測試。為驗證分布式數據庫的訪問控制性能，本文先將惡意節點偽裝成誠信節點，通過偽裝后節點依次進行100次的正確訪問行為和100次的錯誤訪問行為，然后應用3種方法進行訪問控制，得到對比結果如圖2所示。

從圖2可以看出，本文設計方法在10次訪問后即可將節點信任度下降為0，限制節點訪問行為，優于對比方法，應用效果較好，對于保障分布式數據庫的安全性和穩定性具有重要意義。

5 結語

本文深入研究了基于改進遺傳算法的分布式數據庫訪問控制方法，通過構建數據庫的SPKI/SDSI證書鏈并引入改進的遺傳算法，獲得一種分布式訪問控制模型。本文設計方法在有效提高分布式數據庫訪問控制的效率和靈活性的基礎上，可以保證內部數據安全，具有較高的實際應用價值和發展潛力，應用效果較好。

參考文獻

［1］林莉，儲振興，劉子萌，等.基于區塊鏈的策略隱藏大數據訪問控制方法［J］.自動化學報，2023（5）：1031-1049.

［2］韓斌，錢涵笑.主流知識圖譜存儲系統并發訪問控制方法［J］.計算機仿真，2023（3）：333-337.

［3］李健，戚湧.可撤銷屬性加密的區塊鏈數據訪問控制方法［J］.計算機工程與設計，2024（2）：348-355.

［4］楊小東，田甜，王嘉琪，等.基于云邊協同的無證書多用戶多關鍵字密文檢索方案［J］.通信學報，2022（5）：144-154.

［5］景旭，邢勝飛.基于PBFT的獼猴桃溯源聯盟鏈應用訪問控制方案［J］.農業機械學報，2023（1）：183-195.

［6］周彥偉，馬巋，喬子芮，等.基于證書的抗連續泄露簽名機制［J］.計算機學報，2022（11）：2363-2376.

［7］金強，石永康，呂玉龍，等.基于改進遺傳算法的植保無人機姿態控制［J］.農機化研究，2024（5）：1-6.

［8］闕凌燕，蔣正威，楊力強，等.基于改進遺傳算法的源網荷儲協同控制方法［J］.沈陽工業大學學報，2023（6）：612-618.

Distributed database access control method based on improved genetic algorithms

Abstract： Due to the openness and complexity of the distributed database， the database is faced with severe security challenges， and the distributed database access control method based on the improved genetic algorithm is proposed. The SPKI/SDSI certificate chain of distributed database users adopts the parameter adaptive genetic algorithm to search for SPKI/SDSI certificate chain， and then builds a distributed access control model based on SPKI/SDSI certificate. Through the model， the certificate chain in the user access request is searched and verified to realize distributed database access control. The experimental results show that the design method can accurately and quickly identify malicious distributed nodes， and limit any access behavior to ensure the security of distributed database.

Key words： improving genetic algorithm; distributed; database; access control; control method