摘   要： 本文使用概念圖為數據庫的推理問題建立了相關的解決模型，給出了推理相關的知識表示及推理過程的描述，建立了相關的推理控制系統。
關鍵詞： 概念圖  推理控制  推理通道  數據庫安全

　　隨著網絡的發展和普及，對數據庫的安全性能要求越來越高。近年來強制訪問控制（MAC）技術日趨成熟，多級安全數據庫的實現使數據庫安全達到了一個新的高度。但即使是這樣的系統仍存在致命的弱點，它對與推理相關的攻擊顯得無能為力。
　　Harry S.Delugach和Thomas H.Hinke對數據庫的推理問題做了如下定義[1]：
對于具有安全級別L1的信息X，如果能由它推導出信息Y，Y的安全級別L2大于L1，就存在數據庫推理問題。
　　數據庫推理問題的解決面臨著兩大難點：(1)可以用于推理的手段很多；(2)推理問題往往與特定的應用相關，已涉及到大量相關領域的知識。
　　基于上述兩點，本文選用概念圖做為解決數據庫推理問題的手段。概念圖作為一種知識表達方式能夠滿足相關領域知識和數據庫中相關數據語義的表達要求。概念圖與一階謂詞邏輯等價，又能提供多種推理手段來尋找數據庫中的推理通道。
　　推理問題的解決一般分為兩步：(1)找出可能的推理通道；(2)對發現的通道進行相應的處理。處理方法可以分為兩種：(1)提高相關信息的安全標記，以達到阻斷通道的目的。但這樣做會降低數據的可用性。(2)可以將推理通道放入一個知識庫，通過在運行時對相應的查詢和歷史記錄進行檢查來發現是否存在推理問題。如果存在，就拒絕相關查詢。但這樣做的缺點是會降低數據庫的性能。本文給出的解決方案是給數據庫設計人員以充分的自由，使其可以根據實際情況，對分析得到的推理通道選擇解決策略——修改安全標記或是運行時支持。
1  使用概念圖表示數據模式及相關知識
1.1 概念圖
 　　概念圖由概念和概念關系組成，文中用展示方式（display form）進行表示。圖1是一個示例：王明騎車去了學校。其中方框表示概念節點，橢圓代表關系節點，兩者通過有向線段相連。

1.2 使用概念圖進行相關的知識表示
　　文中使用的數據庫模型為關系數據庫模型，但并不表示此方式只適合關系數據庫。使用關系型數據庫只是因為其目前使用最為普遍。
　　關系數據庫由二維表構成，因此，對關系數據庫的知識表示實際上就是對二維表以及相關約束進行知識表示。
　　對于一個由n個屬性構成的表，可以按如下方式構造其相對應的概念圖：以主關鍵字名為一個概念節點，表中其他非關鍵字屬性表示為與之關聯的關系節點。例如，對于關系模式：員工(員工號，姓名，職務，工資，學歷)，可以用圖2所示的概念圖表示。

　　這里只是提供了一個一般的生成模式，數據庫設計者可以根據關系模式的各個屬性之間的語義關系做相應的調整。
　　要將對應表中的數據在概念圖中表示出來，需要將對應的概念圖的概念節點實例化。實例化并不會影響概念之間的關系，因為這是一個特化的過程。完整性約束也可以轉化成相對應的知識表示（對應的上下文位于概念圖的最外層）。最后可以通過對應的二維表的主鍵/外鍵將各個概念圖連接起來，形成概念圖集。概念圖集間接反映了各個二維表之間關系的緊密性。若二維表能夠通過主/外鍵相連的，則認為它們相關，它們之間可能存在推理通道；否則，就認為它們之間不相關，它們之間不存在推理通道。
　　下面用一個part-of的實例，說明一般知識規則。
　　如果存在規則部分決定整體，即part→whole，則可將它轉換為如圖3所示的概念圖。

　　上面已經將用于推理分析的關系模式、數據庫中的數據及外部知識都使用概念圖進行了表示。下面將進一步使用已獲得的知識和概念圖的推理方法來發現數據庫中潛在的推理通道。
2  基于概念圖的推理通道分析
2.1 概念圖中的推理規則
　　概念圖和一階謂詞邏輯等價。因此，概念圖中也有與之相對應的推理規則，但是概念圖中的規則比謂詞演算簡單。概念圖中可以用于概念圖轉換的規則有三種：
　　(1)等價規則。等價規則不改變概念圖內在的邏輯含義。如果概念圖U被這樣的規則轉換成概念圖V，則U→V，V→U。
　　(2)特化規則。如果概念圖U被這樣的規則轉換成概念圖V，則V→U。
　　(3)泛化規則。如果概念圖U被這樣的規則轉換成概念圖V，則U→V。
　　通過使用概念圖的語法構造規則，能夠使基于特化和泛化規則的概念圖推理獨立于概念符號。Sowa將概念圖的推理規則分成以下幾類：
　　(1)概念的消去。在肯定的上下文中，任何概念圖U都可以被一個泛化的U取代。U甚至可以被簡單地消去（可以認為空圖是所有圖的泛化）。
　　(2)概念的插入。在否定的上下文中，任何概念圖U都可以被一個特化的U取代。此外，還可以插入任何概念圖U（任何概念圖都可以認為是空圖的特化）。
　　(3)概念的反復。如果概念圖U出現在上下文C中，則U的拷貝可以插入到C中或者嵌入在C的上下文中。
　　(4)反復的消除。通過(3)中的操作，插入的概念圖可以被簡單地消除。
　　(5)等價規則。拷貝/簡化，雙重否定的規則都是概念圖中的等價轉換規則。
2.2 推理通道分析
2.2.1 推理問題的分類
　　本文所討論的推理問題不涉及統計數據庫中的推理。一般推理問題的分類可以基于推理所使用的方法和推理所使用的信息兩個方面。對這兩種劃分方法的詳細描述可參見參考文獻[4]。
　　本文所使用的分類方法基于上面兩種方法的深化并結合了所解決的推理問題的特點。它包括兩個方面：(1)按照推理所涉及信息的范圍，分為與關系模式相關的和與具體實例相關的推理問題。(2)按對推理進行控制的方法，可將推理問題分為與設計相關的（或者稱為靜態的）和運行期的（或稱為動態的）。
2.2.2 基于概念圖的推理分析技術
　　要研究推理通道，首先要發現實體以及屬性之間存在的關聯規則。就目前的研究而言，規則主要包括以下幾類：函數依賴，繼承規則，組成規則，時序規則，使用規則，生產/消費規則以及其他與特定應用領域相關的規則。
　　上述規則除了函數依賴規則屬于與關系模式相關以外，其他規則基本上都是與具體的實例相關的。在這些規則中，還可以發現一類特別的規則——傳遞性規則，它包括函數依賴、繼承規則、組成規則、時序規則。這類規則在推理通道的分析中起主要作用。使用概念圖進行這類推理是很容易的。
　　這里按照先前的劃分方法，將已經發現的傳遞性關聯規則進行劃分。其中函數依賴屬于與關系模式相關的，而繼承關系、組成關系、時序關系則屬于與具體實例相關的。推理的目的是利用已知的低級別的信息，通過推理獲得高安全級別的信息。如果由推理獲得的信息量太大，以致不能從其中獲得有用的信息，則認為這樣的推理是失敗的，或認為不存在相應的推理通道。以組成關系為例，如果零件X參與組成了上百種設備，并不能確定當有零件X存在時，究竟存在什么相應的設備。而如果零件X只在某種或某幾種特定的設備中使用，入侵者則可以從零件X的存在推理得出特定設備的存在。因此就有必要制定一個度，用它來衡量相應的推理所造成危害的程度。而推理過程中外部知識的加入將使得情況變得更為復雜，因為外部知識的存在能夠減少可能的情況，從而得到有用的信息。因此在斷定一個推理是否存在危險時，除了度，還要考慮已知知識是否會對推理產生影響。
　　下面以圖4的時序關系為例，給出傳遞性規則產生推理問題。

　　潛艇的后續編號是前面潛艇的編號加1，因此，就能由20號潛艇的存在，推出19號潛艇的存在，進而推出1～18號潛艇的存在，從而得到此類潛艇大量生產的信息，最后可以得出制造此類潛艇的關鍵技術（如消音技術）已經成熟的敏感信息。
3  推理控制系統的實現
3.1 靜態推理控制的實現
　　在獲取了與系統安全設計相關的知識、與元數據相關的知識及相關的實例信息后，推理控制模塊根據安全設計規則對相關知識進行分析，找到可能存在的推理通道，同時按照安全設計規則給出相應的標識修改方案。修改方案在安全管理員確認后，自動修改安全設計從而屏蔽潛在的推理通道，或者讓安全管理員將相應的規則添加到運行時的知識庫中，在運行時檢查是否存在推理。如果存在，則拒絕造成推理的查詢請求。
圖5為該系統的邏輯圖。

3.2 動態推理控制的實現
　　本文的動態推理控制的實現基于以下思想：通過歷史記錄以及知識庫中的規則，判斷對應的查詢是否存在推理問題。如果存在，就拒絕相應的查詢請求。
　　由于記錄與每個用戶相關的歷史的查詢結果集需要占用很大的空間，而且在運行時進行相應的檢索效率很低，因此，可以考慮僅記錄相關用戶進行查詢的SQL語句并在運行時通過對相應的SQL語句的改寫來判斷是否存在推理問題。這樣，在一定程度上可以提高系統的效率，還可以降低由于數據庫中數據的變化而帶來的數據不一致的情況。
　　推理往往與特定的應用領域相關，因此，可以考慮使用知識庫來對運行時使用的規則進行管理。
圖6是運行時系統的邏輯圖。

4  結束語
　　鑒于數據庫中推理問題的復雜性，本文使用概念圖來建立相關模型。文中給出了與推理相關的知識表示及推理過程的描述，并結合當前推理問題的研究，建立了相關的推理控制系統。本文沒有涉及一種特殊的推理問題——聚集問題，這需要在后續工作中研究解決。數據庫推理問題研究發展至今，仍沒有產生一個統一的解決方案；將一些新近的成果加入該系統也是今后工作的重點。
參考文獻
1   Delugach H S，Hinke T H.Using Conceptual Graphs To Represent Database Inference Security Analysis.http：// falcon.cs.uah.edu/~delugach/Papers/jcit.pdf.
2   Sowa J F.Conceptual Graph Standard.revised version of December 6，2000.http：//www.bestweb.net/# sowa/cg/cgstand.htm.
3   Delugach H S，Hinke T H.Wizard：A database inference analysis and detection system.IEEE Transactions on Knowledge and Data Engineering，1996；8(1)
4   Brewster K F.NCSC TECHNICAL REPORT-005 Volume1/5 Library No.S-243，039.National Computer Security Center，1996；(5)
5   Anderson M.A Dynamic Knowledge Based Approach to the  Problem of Deduction in a Non-Statistical Multilevel  Secure Database.In：Proceedings of the Second IEEE/ACM/AAAI International Conference on Information and Knowledge Management，Washington D C，USA，1993
6   Staddon J.Dynamic Inference Control.In：Proceedings of the 8th ACM SIGMOD Workshop on Research Issues in Data Mining and Knowledge Discovery.San Diego，CA，2003，NY：ACM，2003