摘   要： 本文使用概念图为数据库的推理问题建立了相关的解决模型，给出了推理相关的知识表示及推理过程的描述，建立了相关的推理控制系统。
关键词： 概念图  推理控制  推理通道  数据库安全

　　随着网络的发展和普及，对数据库的安全性能要求越来越高。近年来强制访问控制（MAC）技术日趋成熟，多级安全数据库的实现使数据库安全达到了一个新的高度。但即使是这样的系统仍存在致命的弱点，它对与推理相关的攻击显得无能为力。
　　Harry S.Delugach和Thomas H.Hinke对数据库的推理问题做了如下定义[1]：
对于具有安全级别L1的信息X，如果能由它推导出信息Y，Y的安全级别L2大于L1，就存在数据库推理问题。
　　数据库推理问题的解决面临着两大难点：(1)可以用于推理的手段很多；(2)推理问题往往与特定的应用相关，已涉及到大量相关领域的知识。
　　基于上述两点，本文选用概念图做为解决数据库推理问题的手段。概念图作为一种知识表达方式能够满足相关领域知识和数据库中相关数据语义的表达要求。概念图与一阶谓词逻辑等价，又能提供多种推理手段来寻找数据库中的推理通道。
　　推理问题的解决一般分为两步：(1)找出可能的推理通道；(2)对发现的通道进行相应的处理。处理方法可以分为两种：(1)提高相关信息的安全标记，以达到阻断通道的目的。但这样做会降低数据的可用性。(2)可以将推理通道放入一个知识库，通过在运行时对相应的查询和历史记录进行检查来发现是否存在推理问题。如果存在，就拒绝相关查询。但这样做的缺点是会降低数据库的性能。本文给出的解决方案是给数据库设计人员以充分的自由，使其可以根据实际情况，对分析得到的推理通道选择解决策略——修改安全标记或是运行时支持。
1  使用概念图表示数据模式及相关知识
1.1 概念图
 　　概念图由概念和概念关系组成，文中用展示方式（display form）进行表示。图1是一个示例：王明骑车去了学校。其中方框表示概念节点，椭圆代表关系节点，两者通过有向线段相连。

1.2 使用概念图进行相关的知识表示
　　文中使用的数据库模型为关系数据库模型，但并不表示此方式只适合关系数据库。使用关系型数据库只是因为其目前使用最为普遍。
　　关系数据库由二维表构成，因此，对关系数据库的知识表示实际上就是对二维表以及相关约束进行知识表示。
　　对于一个由n个属性构成的表，可以按如下方式构造其相对应的概念图：以主关键字名为一个概念节点，表中其他非关键字属性表示为与之关联的关系节点。例如，对于关系模式：员工(员工号，姓名，职务，工资，学历)，可以用图2所示的概念图表示。

　　这里只是提供了一个一般的生成模式，数据库设计者可以根据关系模式的各个属性之间的语义关系做相应的调整。
　　要将对应表中的数据在概念图中表示出来，需要将对应的概念图的概念节点实例化。实例化并不会影响概念之间的关系，因为这是一个特化的过程。完整性约束也可以转化成相对应的知识表示（对应的上下文位于概念图的最外层）。最后可以通过对应的二维表的主键/外键将各个概念图连接起来，形成概念图集。概念图集间接反映了各个二维表之间关系的紧密性。若二维表能够通过主/外键相连的，则认为它们相关，它们之间可能存在推理通道；否则，就认为它们之间不相关，它们之间不存在推理通道。
　　下面用一个part-of的实例，说明一般知识规则。
　　如果存在规则部分决定整体，即part→whole，则可将它转换为如图3所示的概念图。

　　上面已经将用于推理分析的关系模式、数据库中的数据及外部知识都使用概念图进行了表示。下面将进一步使用已获得的知识和概念图的推理方法来发现数据库中潜在的推理通道。
2  基于概念图的推理通道分析
2.1 概念图中的推理规则
　　概念图和一阶谓词逻辑等价。因此，概念图中也有与之相对应的推理规则，但是概念图中的规则比谓词演算简单。概念图中可以用于概念图转换的规则有三种：
　　(1)等价规则。等价规则不改变概念图内在的逻辑含义。如果概念图U被这样的规则转换成概念图V，则U→V，V→U。
　　(2)特化规则。如果概念图U被这样的规则转换成概念图V，则V→U。
　　(3)泛化规则。如果概念图U被这样的规则转换成概念图V，则U→V。
　　通过使用概念图的语法构造规则，能够使基于特化和泛化规则的概念图推理独立于概念符号。Sowa将概念图的推理规则分成以下几类：
　　(1)概念的消去。在肯定的上下文中，任何概念图U都可以被一个泛化的U取代。U甚至可以被简单地消去（可以认为空图是所有图的泛化）。
　　(2)概念的插入。在否定的上下文中，任何概念图U都可以被一个特化的U取代。此外，还可以插入任何概念图U（任何概念图都可以认为是空图的特化）。
　　(3)概念的反复。如果概念图U出现在上下文C中，则U的拷贝可以插入到C中或者嵌入在C的上下文中。
　　(4)反复的消除。通过(3)中的操作，插入的概念图可以被简单地消除。
　　(5)等价规则。拷贝/简化，双重否定的规则都是概念图中的等价转换规则。
2.2 推理通道分析
2.2.1 推理问题的分类
　　本文所讨论的推理问题不涉及统计数据库中的推理。一般推理问题的分类可以基于推理所使用的方法和推理所使用的信息两个方面。对这两种划分方法的详细描述可参见参考文献[4]。
　　本文所使用的分类方法基于上面两种方法的深化并结合了所解决的推理问题的特点。它包括两个方面：(1)按照推理所涉及信息的范围，分为与关系模式相关的和与具体实例相关的推理问题。(2)按对推理进行控制的方法，可将推理问题分为与设计相关的（或者称为静态的）和运行期的（或称为动态的）。
2.2.2 基于概念图的推理分析技术
　　要研究推理通道，首先要发现实体以及属性之间存在的关联规则。就目前的研究而言，规则主要包括以下几类：函数依赖，继承规则，组成规则，时序规则，使用规则，生产/消费规则以及其他与特定应用领域相关的规则。
　　上述规则除了函数依赖规则属于与关系模式相关以外，其他规则基本上都是与具体的实例相关的。在这些规则中，还可以发现一类特别的规则——传递性规则，它包括函数依赖、继承规则、组成规则、时序规则。这类规则在推理通道的分析中起主要作用。使用概念图进行这类推理是很容易的。
　　这里按照先前的划分方法，将已经发现的传递性关联规则进行划分。其中函数依赖属于与关系模式相关的，而继承关系、组成关系、时序关系则属于与具体实例相关的。推理的目的是利用已知的低级别的信息，通过推理获得高安全级别的信息。如果由推理获得的信息量太大，以致不能从其中获得有用的信息，则认为这样的推理是失败的，或认为不存在相应的推理通道。以组成关系为例，如果零件X参与组成了上百种设备，并不能确定当有零件X存在时，究竟存在什么相应的设备。而如果零件X只在某种或某几种特定的设备中使用，入侵者则可以从零件X的存在推理得出特定设备的存在。因此就有必要制定一个度，用它来衡量相应的推理所造成危害的程度。而推理过程中外部知识的加入将使得情况变得更为复杂，因为外部知识的存在能够减少可能的情况，从而得到有用的信息。因此在断定一个推理是否存在危险时，除了度，还要考虑已知知识是否会对推理产生影响。
　　下面以图4的时序关系为例，给出传递性规则产生推理问题。

　　潜艇的后续编号是前面潜艇的编号加1，因此，就能由20号潜艇的存在，推出19号潜艇的存在，进而推出1～18号潜艇的存在，从而得到此类潜艇大量生产的信息，最后可以得出制造此类潜艇的关键技术（如消音技术）已经成熟的敏感信息。
3  推理控制系统的实现
3.1 静态推理控制的实现
　　在获取了与系统安全设计相关的知识、与元数据相关的知识及相关的实例信息后，推理控制模块根据安全设计规则对相关知识进行分析，找到可能存在的推理通道，同时按照安全设计规则给出相应的标识修改方案。修改方案在安全管理员确认后，自动修改安全设计从而屏蔽潜在的推理通道，或者让安全管理员将相应的规则添加到运行时的知识库中，在运行时检查是否存在推理。如果存在，则拒绝造成推理的查询请求。
图5为该系统的逻辑图。

3.2 动态推理控制的实现
　　本文的动态推理控制的实现基于以下思想：通过历史记录以及知识库中的规则，判断对应的查询是否存在推理问题。如果存在，就拒绝相应的查询请求。
　　由于记录与每个用户相关的历史的查询结果集需要占用很大的空间，而且在运行时进行相应的检索效率很低，因此，可以考虑仅记录相关用户进行查询的SQL语句并在运行时通过对相应的SQL语句的改写来判断是否存在推理问题。这样，在一定程度上可以提高系统的效率，还可以降低由于数据库中数据的变化而带来的数据不一致的情况。
　　推理往往与特定的应用领域相关，因此，可以考虑使用知识库来对运行时使用的规则进行管理。
图6是运行时系统的逻辑图。

4  结束语
　　鉴于数据库中推理问题的复杂性，本文使用概念图来建立相关模型。文中给出了与推理相关的知识表示及推理过程的描述，并结合当前推理问题的研究，建立了相关的推理控制系统。本文没有涉及一种特殊的推理问题——聚集问题，这需要在后续工作中研究解决。数据库推理问题研究发展至今，仍没有产生一个统一的解决方案；将一些新近的成果加入该系统也是今后工作的重点。
参考文献
1   Delugach H S，Hinke T H.Using Conceptual Graphs To Represent Database Inference Security Analysis.http：// falcon.cs.uah.edu/~delugach/Papers/jcit.pdf.
2   Sowa J F.Conceptual Graph Standard.revised version of December 6，2000.http：//www.bestweb.net/# sowa/cg/cgstand.htm.
3   Delugach H S，Hinke T H.Wizard：A database inference analysis and detection system.IEEE Transactions on Knowledge and Data Engineering，1996；8(1)
4   Brewster K F.NCSC TECHNICAL REPORT-005 Volume1/5 Library No.S-243，039.National Computer Security Center，1996；(5)
5   Anderson M.A Dynamic Knowledge Based Approach to the  Problem of Deduction in a Non-Statistical Multilevel  Secure Database.In：Proceedings of the Second IEEE/ACM/AAAI International Conference on Information and Knowledge Management，Washington D C，USA，1993
6   Staddon J.Dynamic Inference Control.In：Proceedings of the 8th ACM SIGMOD Workshop on Research Issues in Data Mining and Knowledge Discovery.San Diego，CA，2003，NY：ACM，2003