粗糙集下多級網絡多節點數據庫安全訪問研究

摘" 要： 研究粗糙集下多級網絡多節點數據庫安全訪問方法，使其具有抑制惡意訪問行為能力，提升數據庫訪問控制的靈活性和準確性。在粗糙集理論下，根據多級網絡用戶角色、訪問權限、操作類型等建立安全訪問決策表，利用區分矩陣對決策表屬性作約簡處理后，通過計算安全訪問規則可信度和支持度完成安全訪問決策規則的生成，利用基于目的和上下文推理的訪問控制策略實現多級網絡多節點數據庫安全訪問。實驗結果表明：該方法可實現醫生用戶、研究人員用戶數據庫訪問規則的生成，有效減緩甚至抑制惡意訪問引起的數據流波動，顯著提升數據庫的安全防護能力。

關鍵詞： 粗糙集； 數據庫； 安全訪問； 決策表； 屬性約簡； 訪問規則； 區分矩陣； 可信度

中圖分類號： TN919?34； TP393" " " " " " " " " "文獻標識碼： A" " " " " " " " " " " 文章編號： 1004?373X（2025）03?0087?05

Research on secure access to multi?node databases in multi?level networks

in the case of rough set

CAI Wei1， QU Jian2， Lü Dongrun3

（1. School of Criminal Investigation， People′s Public Security University of China， Beijing 100045， China;

2. Smart Policing College， China People′s Police University， Langfang 065000， China;

3. Graduate School， China People′s Police University， Langfang 065000， China）

Abstract： A secure access method for multi?node databases in multi?level networks in the case of rough set is studied， and the method should have the ability to suppress malicious access behavior and improve the flexibility and accuracy of database access control. On the basis of the rough set theory， a secure access decision table is established according to multi?level network user roles， access permissions， operation types， etc. The decision table attributes are reduced by a discernibility matrix， and the secure access decision rules are generated by calculating the credibility and support of secure access rules. A purpose?based and context?based access control strategy is used to achieve secure access to multi?node databases in multi?level networks. The experimental results show that the method can generate database access rules for users such as doctors and researchers， effectively slowing down or even suppressing data flow fluctuations caused by malicious access， and significantly improving the security protection ability of the database.

Keywords： rough set; database; secure access; decision table; attribute reduction; access rule; distinguishing matrix; reliability

0" 引" 言

隨著互聯網技術的飛速發展，數據作為信息時代的重要資源，其安全性與隱私保護問題日益凸顯[1]。特別是在多級網絡和多節點數據庫環境下，數據的傳輸、存儲與訪問面臨著更為復雜的挑戰[2]。網絡結構的層級性和節點的多樣性增加了數據泄露和非法訪問的風險，因此，如何有效地保障多級網絡多節點數據庫的安全訪問成為了一個亟待解決的問題[3?4]。

文獻[5]設計了一種數據庫訪問控制機制，該機制基于數據的安全等級分配解密密鑰，并利用同態加密為用戶提供安全標記。將訪問權限以加密形式存儲在二維矩陣中，當用戶請求訪問時，系統通過同態加密的私鑰解密并驗證權限信息，從而實現了對數據庫訪問的精細化控制和安全性保障。該方法能更有效地識別異常訪問和攻擊數據，加密控制效果更佳，顯示出較高的可行性。然而，其不足在于計算復雜度較高，可能影響系統性能，特別是在大規模用戶和高并發訪問場景下[5]。文獻[6]設計的數據庫訪問控制策略，用MyBatis插件簡化訪問控制策略的開發與維護，支持上下文感知的行級訪問控制，降低了開發成本并保障了數據安全。文獻[7]通過引入總線架構提升數據交換的安全性和效率，將身份認證技術、權限控制技術、操作日志維護技術和關鍵數據加密技術等多種安全技術共同作用于醫療電子病例數據庫的安全訪問過程，確保數據的安全性和完整性。文獻[7]設計的分布式數據庫細粒度訪問控制策略采用零信任架構，即默認不信任網絡內外的任何訪問請求，每個請求都必須經過嚴格的身份驗證和授權檢查，確保只有具有相應權限的用戶才能訪問特定的數據資源。文獻[8]采用AES加密算法處理數據庫中的敏感數據，提高數據安全性，結合身份認證和權限管理技術，限制用戶對數據的訪問權限，確保只有經過授權的用戶才能訪問和使用數據。該方法在面對大規模數據庫時，需要對整個數據庫進行加密，這會大幅降低數據處理效率。

近年來，粗糙集理論在數據挖掘、決策支持、知識發現等領域展現出了巨大的潛力。粗糙集理論中的屬性約簡技術能夠刪除冗余屬性和合并等價屬性，減小數據的維度，提高數據處理和決策的效率。在數據庫安全訪問中，這有助于識別并去除可能泄露敏感信息的冗余字段，同時提取出具有決策能力的規則，優化訪問控制策略[9?11]。因此，本文研究粗糙集下多級網絡多節點數據庫安全訪問方法，以有效識別并隔離潛在的安全威脅，提高數據庫訪問控制的靈活性和準確性。

1" 多級網絡多節點數據庫安全訪問

1.1" 粗糙集理論

粗糙集是一種用于處理不確定性和含糊性的數學工具[12?13]，在數據分析、決策支持和知識發現等領域有著廣泛的應用。在粗糙集理論中，可通過四元組[S=U， A，V， f]描述一個決策系統，以對多級網絡多節點數據庫訪問的安全屬性進行分析，實現安全訪問規則的提取。數據庫中所有可能的訪問請求集合定義為論域[U=x1，x2，…，xn]；安全訪問屬性集合表示為[A=A1， A2，…， An]，[A=C?D]，[C?D=?]，用戶角色、訪問權限、操作類型等安全屬性定義為條件屬性，通過[C]表示；是否允許用戶訪問多級網絡多節點數據庫定義為決策屬性，通過[D]表示；屬性值的集合表示為[V=V1，V2，…，Vn]；通過信息函數[f]可將論域[U]中的每個對象與[A]中的屬性值關聯起來，即[f：U×A→V]， [fxi， Aj∈Vj]。當[xi]、[xj]在屬性[Aj]上的值一致，則認為二者具有等價關系。

1.2" 基于粗糙集的安全訪問規則生成

安全訪問規則作為多級網絡多節點數據庫安全策略的核心組成部分，定義了不同用戶或系統組件在復雜網絡環境中對數據庫資源的合法訪問權限和限制條件。通過精確制定和執行安全訪問規則，可以確保只有經過授權的用戶或進程能夠對數據庫中的敏感數據進行訪問，有效防止未授權訪問、數據泄露和非法操作等安全威脅。同時，安全訪問規則有助于實現訪問控制的細粒度管理，提高數據保護的精確性和靈活性，從而保障多級網絡多節點數據庫整體安全性和可靠性。本文采用基于粗糙集的安全訪問規則生成方法，根據用戶角色、訪問權限、操作類型等建立安全訪問數據決策表，通過對多級網絡多節點數據庫安全屬性進行約簡，以獲得更加可靠、直觀的安全訪問決策規則，從而達到簡化安全規則的復雜性，簡少規則沖突，提高安全策略的可管理性和執行效率。

1.2.1" 安全訪問數據決策表

為了建立安全訪問數據決策表，首先需要收集和整理與用戶角色、訪問權限和操作類型相關的安全屬性信息。然后，根據獲得的安全屬性信息組織成一個決策表，其中每一行代表一個具體的數據庫訪問請求，每一列代表一個安全屬性。在決策表中，條件屬性[C]視為用戶角色、訪問權限和操作類型等安全訪問屬性，決策屬性[D]則為安全訪問決策（允許或拒絕）。通過對安全訪問數據決策表進行分析和約簡，可以去除冗余信息，提煉出關鍵的安全訪問規則，確保多級網絡多節點數據庫具有高安全性，并提高安全策略的執行效率。

1.2.2" 區分矩陣

在粗糙集理論的支持下，本文利用區分矩陣對與多級網絡多節點數據庫訪問請求相關的安全屬性集合進行分析處理，以識別并去除不影響決策結果的冗余屬性。設定多級網絡多節點數據庫安全訪問規則[xi]的[Aj]屬性值通過[fxi， Aj]表示，用[M]表示區分矩陣，安全訪問規則[i]、[j]在特征屬性上的不可區分性可通過其矩陣元[dij]進行描述，計算公式為：

[dij=1，" " "fxi， Aj≠fxi+k， Aj0，" " "fxi， Aj=fxi+k， Aj] （1）

式中：[1≤ilt;i+k≤n]；[1≤j≤m]。

當[dij=0]時，安全訪問規則[xi]、[xi+k]的[Aj]屬性值相同，二者具有不可分辨性；當[di1，di2，…，dim]均等于1時，則安全訪問規則在屬性集[A]上具有可分辨性；當只有[dim]值等于1時，則[Am]為[xi]、[xi+k]的核屬性；當滿足條件[fxi，C=fxj，C]，且[fxi，D≠fxj，D]時，可斷定[xi]、[xi+k]具有不一致性。

不能通過屬性[Aj]進行訪問規則的辨別時，則[dij=0]；反之，[dij=1]。因此可根據屬性在區分矩陣中的活躍程度定義屬性權重，用以反映屬性在區分不同對象時的能力大小，計算公式描述為：

[WAj=1ni=1ndij] （2）

式中[n]為論域[U]中數據庫訪問請求的總量。

當[WAj=1]時，[Aj]具有強區分性；當[WAj=0]時，[Aj]不具備區分性。

1.2.3" 數據庫安全訪問屬性約簡

為簡化多級網絡多節點數據庫安全訪問規則的復雜性，提高決策的效率和準確性，本文對安全訪問屬性進行約簡，具體流程如下。

1） 將安全訪問規則轉化為矩陣形式，并進行量化處理，以便于使用粗糙集理論進行屬性約簡和規則提取。

2） 通過式（1）實現區分矩陣[M]的確定，屬性值約簡是從決策矩陣中去除對決策不起關鍵作用的屬性值，但需保證決策矩陣的區分能力不變和決策規則的正確性，約簡后的決策矩陣應該能夠產生與原始矩陣相同的決策結果，不會因為屬性值的減少而導致對象被錯誤授權。

3） 在區分矩陣的基礎上，為每條安全訪問規則形成的一個專注于特定屬性的子矩陣[mi]，在[mi]中，行元素用于分析屬性[Ai]下，[xi]、[xi+k]規則之間是否具有可區分性；列元素反映在不同屬性下，[xi]、[xi+k]規則之間的區分性如何變化。通過該步驟可確定特定屬性對安全訪問規則區分的貢獻，從而更加精細地控制和優化安全訪問規則的復雜性。

4） 區分矩陣中可能存在多個具有一致區分能力的安全訪問規則，對重復規則進行合并或消解，同時去除那些在區分矩陣中對安全訪問規則區分沒有貢獻的屬性，依照屬性權重計算結果進行核實篩選，直到產生等價集[Ri]，完成安全訪問規則約簡表的生成。

1.2.4" 安全訪問規則生成

在生成多級網絡多節點數據庫安全訪問規則約簡表的前提下，可通過計算安全訪問規則可信度和支持度完成安全訪問決策規則的生成，其形式化描述公式為：

[C→DTP] （3）

式中：[C]、[D]分別為安全訪問規則的條件、決策屬性集；[T]為可信度參數。[T]的計算公式為：

[T=i=1nCwi] （4）

式中：[Cwi]表示第[i]個條件屬性的重要性權重；[T]值小于1。

支持度參數[P]通過式（5）確定。

[P=cardC?DcardU] （5）

式中：[cardU]為論域中元素總量；[cardC?D]為[C]、[D]交集集合中屬性數量。

1.3" 多級網絡多節點數據庫安全訪問控制

多級網絡多節點數據庫環境中，數據需要在多個層次和不同節點上進行處理和存儲，數據的安全性尤為重要。本文采用基于目的和上下文推理的訪問控制策略（PCRAC）提高多級網絡多節點數據庫的安全性，避免隱私數據被惡意篡改和泄露?；赑CRAC的多級網絡多節點數據庫安全訪問流程圖如圖1所示。

多級網絡多節點數據庫安全訪問過程需經歷會話建立、安全訪問規則生成及訪問目的推斷、安全訪問控制三個不同階段。

2" 實驗分析

在圖2所示的某醫療大數據平臺上開展實驗研究。該平臺采用多級網絡架構設計，Internet網絡與內網通過外部防火墻進行隔離，允許遠程用戶通過虛擬專用網（VPN Gateway）訪問內部網絡，在隔離區（DMZ）部署Web服務器，處理來自客戶端的應用程序請求。利用內部防火墻確保內部局域網免受來自DMZ的可能攻擊。局域網中分布11個數據庫節點，用于存儲用戶ID、角色（醫生、研究人員等）、醫生科室、節點位置、患者ID、年齡、性別、病情、用藥、治療狀態以及交互行為數據等。將本文方法應用到該多級網絡多節點數據庫安全訪問中，驗證其性能優勢。

訪問規則可以確保數據庫免受未授權訪問、數據泄露和其他安全威脅，使合法用戶能夠高效地訪問所需的數據。設定醫生用戶U001想要對患者P001、P003、P004的年齡、病情等信息進行訪問，研究人員U002想要獲取患者P002、P005的相關信息，應用本文方法對用戶U001、U002的數據庫安全訪問規則進行提取，訪問決策表建立結果以及決策表屬性約簡結果分別如表1、表2所示。

分析表1、表2得出，本文方法通過對用戶信息、患者信息以及用戶與患者的交互操作信息進行整理，完成了醫生用戶U001、研究人員用戶U002數據庫訪問決策表的構建，其中條件屬性中醫院ID、患者ID、患者年齡、患者性別、患者病情屬性對確定用戶訪問權限不是必要的，因此，對上述屬性作了約簡處理；角色、患者狀態、訪問目的三個條件屬性對于最終的訪問決策具有重要影響，因此對其予以保留。由表2可分別完成醫生用戶、研究人員用戶數據庫訪問規則的提取。對于醫生用戶U001，當患者處于治療狀態時，可對其年齡、病情信息進行訪問，當患者出院后，則無法訪問其病情信息；對于研究人員用戶，只能對出院患者病情信息進行訪問，對治療中患者病情信息不具備查詢資格。

為測試本文方法的安全訪問性能，將基于總線架構的訪問方法、基于MyBatis和CBAC的訪問方法作為其對比方法，不同方法下的惡意訪問行為抑制性能差異如圖3所示。分析圖3得出，數據庫遭受惡意訪問時，數據流會顯著波動，波動幅值明顯增大，相比之下，采用對比方法進行數據庫安全訪問控制，數據流波動幅值明顯高于本文方法，這一現象有力證明了本文方法在抑制惡意訪問行為方面表現更為出色，能夠有效減緩甚至抑制惡意訪問引起的數據流波動，從而顯著提升數據庫的安全防護能力，保障數據的完整性和可用性。

3" 結" 論

利用粗糙集理論生成數據庫安全訪問規則，無需任何先驗知識，能夠靈活應對復雜多變的網絡環境，展現出卓越的適應性。通過對決策表屬性進行約簡，有效剔除冗余信息，僅保留關鍵屬性，可簡化安全訪問規則，顯著提升規則的可讀性和可理解性。此外，結合基于目的和上下文推理的訪問控制策略（PCRAC），不僅增強了多級網絡多節點數據庫的安全防護能力，還有效阻止了隱私數據的惡意篡改和泄露，為數據庫安全提供了全面保障。

參考文獻

[1] 薛占熬，李永祥，姚守倩，等.基于Bayesian直覺模糊粗糙集的數據分類方法[J].山東大學學報（理學版），2022，57（5）：1?10.

[2] 王勇睿.基于分布式數據庫的安全性與防護研究[J].信息與電腦（理論版），2022，34（24）：222?224.

[3] 張峻，闞銀環.基于量化行為的異構數據庫強制訪問控制方法[J].計算機仿真，2021，38（8）：487?491.

[4] 劉秉峰，韓智偉.基于區塊鏈的醫院數據庫安全訪問控制方法[J].現代信息科技，2023，7（8）：48?50.

[5] 馬飛，李娟.基于同態加密的數據庫安全訪問多級控制模型[J].計算機仿真，2022，39（8）：446?449.

[6] 葉茂林，余發江.SDBatis：基于MyBatis和CBAC的數據庫應用訪問控制[J].武漢大學學報（理學版），2022，68（1）：57?64.

[7] 黃杰，余若晨，毛冬.電力物聯網場景下基于零信任的分布式數據庫細粒度訪問控制[J].信息安全研究，2021，7（6）：535?542.

[8] SHYAMASUNDAR R K， CHAUDHARY P， JAISWAL A， et al. Approaches to enforce privacy in databases： Classical to information flow?based models [J]. Information systems frontiers， 2021， 23（4）： 811?833.

[9] 李志遠，劉思峰，杜俊良，等.小樣本條件下基于屬性權重Shapley值分配的粗糙集決策模型[J].控制與決策，2022，37（10）：2677?2684.

[10] 胡豹，高永衛，魏斌斌.基于粗糙集理論的螺旋槳設計規則提取[J].航空動力學報，2023，38（8）：1901?1908.

[11] 吳曉雪，李艷.基于鄰域關系粗糙集和不確定性的增量屬性約簡方法[J].西北大學學報（自然科學版），2022，52（5）：753?764.

[12] 張杰，張燕蘭.基于相似關系的局部粗糙集模型[J].山東大學學報（理學版），2021，56（3）：77?82.

[13] 吳婉琳，張賢勇，莫智文.基于粗糙集不確定度的特定類屬性約簡[J].四川師范大學學報（自然科學版），2021，44（6）：840?846.