（计算机应用技术专业论文）数据仓库推理通道发现及控制技术研究.pdf

地降低了传统推理控制策略( 即先检测推理，后消除推理) 的算法复杂度。 此外，本文在充分研究数据仓库推理控制方法的同时，也结合基于角色的数 据仓库访问控制模型，对数据仓库推理控制系统中安全功能模块进行了分析和设 计，构建了一种访问控制和推理控制相结合的数据仓库安全模型及实现原型。 经原型实验验证，本文算法能弥补仅采用访问控制安全机制的不足，所设计 的数据仓库推理控制实现框架可为数据仓库安全控制体系的深层次研究与实现提 供可靠的基础设施。 关键字：数据仓库；推理通道；推理控制；数据立方体；安全 i i r e s e a r c ho ndis c o v e r ya n dc o n t r o lt e c h n o l o g yo f a b s t r a c t in f e r e n c ec h a n n e lind a t aw a r e h o u s e m a j o r ： n a m e ： c o m p u t e ra p p l i c a t i o nt e c h n o l o g y s u p e r v i s o r z h o uh a iq i n g c h e nq im a i w i t ht h eg r a d u a ld e v e l o p m e n to ft h ed a t aw a r e h o u s et e c h n o l o g y , t h ea n a l y s i sa n d m i n i n go fm a s s i v ed a t ai nd a t aw a r e h o u s eh a v ea t t r a c t e dg r e a tc o n c e r n t oa c h i e v e t h e i ri l l e g a lp u r p o s e s ，s o m eu s e r sh o p et oo b t a i nt h eu n a u t h o r i z e da n ds e n s i t i v ed a t a h i d d e ni nt h ed a t aw a r e h o u s e ，w h i c hh a sb e c o m ea k e y “b o t t l e n e c k r e s t r i c t i n gf u r t h e r a p p l i c a t i o no ft h ed a t aw a r e h o u s e t h e r e f o r e ，s e c u r i t yc o n t r o lf o rt h ed a t aw a r e h o u s e h a v eg r a d u a l l yb e c o m eo n eo ft h ek e yi s s u e so fm a s s i v ed a t ai n t e g r a t i o n ，p r o c e s s i n g a n da p p l i c a t i o n i nt h ed a t aw a r e h o u s es e c u r i t ys y s t e m ，d a t aw a r e h o u s eu s e sm u l t i d i m e n s i o n a l d a t am o d e l ，w h i c hc a r r yo u tp r o t e c t i o no p e r a t i o n su s i n gd i m e n s i o n s ，h i e r a r c h i e sa n d l e v e l s a l t h o u g ht h ee s t a b l i s h m e n to fs e c u r i t ym o d e la n dt h ei m p l e m e n t a t i o no fa c c e s s c o n t r o lc a l ls t r i c t l yp r e v e n tu s e r sf r o mu n a u t h o r i z e da c c e s s ，m a l i c i o u su s e r sc a l ld e r i v e p r o t e c t e ds e n s i t i v ed a t af r o ml e g a l l yo b t a i n e dd a t ab yt h ep a r t i a lo r d e rr e l a t i o n s h i p b e t w e e nl e v e l si n s i n g l ed i m e n s i o no ra g g r e g a t i o na m o n gm o r ed i m e n s i o n s ，w h i c h w o u l dl e a dt ot h ed i s c l o s u r eo fs e n s i t i v ei n f o r m a t i o n t h i sr e a s o n i n gp a t hi sk n o w na s t h e “i n f e r e n c ec h a n n e l ” a tp r e s e n t ，o n l ys o m er e s e a r c h e sf o c u so nt h ei n f e r e n c ec o n t r o lo fd a t aw a r e h o u s e m o r e o v e r , t h e s er e s e a r c h e sa r en o ti nal o g i c a lw a y c o n v e n t i o n a ls h o r t c o m i n g sa n d d e f i c i e n c i e sc a nb es u m m a r i z e da sf o l l o w s i i i a l s op r o v i d er e l i a b l ei n f r a s t r u c t u r ew i t ht h ei m p l e m e n t e df r a m e w o r kf o rf u r t h e rs t u d y o ft h ed a t aw a r e h o u s es e c u r i t yc o n t r o ls y s t e m k e yw o r d s ：d a t aw a r e h o u s e ；i n f e r e n c ec h a n n e l ；i n f e r e n c ec o n t r o l ；d a t ac u b e ；s e c u r i t y i v 摘要 目录 a b s t r a c t i j 系1 章! i 蕾论1 1 1 项目米源及背景l 1 2 项目研究意义l 1 3 国内外研究现状分析2 1 3 1 统计数据库推理控制研究现状2 1 3 2 多级安全数据库推理控制研究现状3 1 3 3 数据仓库及o l a p 系统推理控制研究现状4 1 4 论文主要研究内容6 1 5 论文组织结构7 第2 章数据仓库安全概述8 2 1 安全隐患8 2 2 现有数据仓库安全模型9 2 2 1 基丁角色的安全模型9 2 2 2 基于元数据的安全模型1 1 2 2 3 基丁视图的安全模型。1 1 2 2 4 基于授权的安全模型1 2 2 3 总体安全框架。1 3 2 4 本章小结1 4 第3 章敏感信息描述。1 5 3 1 数据立方体15 3 1 1 基本概念。l5 3 1 2 格结构1 6 3 2 敏感信息构成18 3 3 敏感信息定义。1 8 3 4 敏感信息实例2 0 3 5 本章小结2 l 第4 章基于数据立方体推理发现及控制一2 2 4 1 推理通道产生。2 2 4 2 推理通道发现2 3 4 3 推理通道控制2 5 4 3 1 预防多维推理一2 5 4 3 2 清除一维推理3 5 4 4 本章小结3 5 v 第5 章推理控制模型研究3 6 5 1 设计约定和目标3 6 5 2 推理控制系统组成3 6 5 2 1 推理控制辅助t 具3 7 5 2 2 动态推理控制3 8 5 3 模型体系架构3 9 5 3 1 表示层3 9 5 3 2 业务逻辑层4 0 5 4 3 数据层4 l 5 4 模型协同1 ：作4 1 5 5 本章小节。4 2 第6 章推理控制模型实现 6 1 实现环境4 4 6 2 相关技术。4 5 6 2 1 安全元数据。4 5 6 2 2a d o m d n e t 4 6 6 2 3a m o 4 7 6 3 实现方案4 8 6 3 1 构建学生成绩立方体4 8 6 3 2 访问控制实现4 9 6 3 3 推理控制实现5l 6 4 本章小结5 4 第7 章总结与展望$ 7 1 全文总结5 5 7 2 下一步研究：r 作5 5 差参考文南i c 5 7 致谢 攻读硕士学位期间公开发表的论文 6 0 6 1 数据仓库推理通道发现及控制技术研究 1 1 项目来源及背景 第1 章绪论 本文课题研究背景来源于广东省科技计划攻关项目基于角色的数据仓库分 级安全模型的研究与应用。该项目以构建基于角色的高效、安全、适用的数据 仓库分级访问控制安全模型和分级推理通道控制模型为目标，实现对数据仓库中 高敏感性数据进行授权和可信访问，防止高敏感性数据被非法访问或合法的恶意 推理。本文的研究成果将直接应用于数据仓库的安全访问和存取控制中，对实现 数据仓库敏感信息保护具有重要意义。 1 2 项目研究意义 2 0 世纪8 0 年代中期，“数据仓库之父”w i l l i a mh i n o m n 在其 b u i l d i n gt h e d a t aw a r e h o u s e ) ) 一书中提出数据仓库的概念【l j 。数据仓库是企业管理和决策中 面向主题的、集成的、与时间关联的，不可修改的数据集合。随着数据仓库技术 的日趋成熟和发展，越来越多的企业或组织建立了自己的数据仓库。例如，美国 m a s s a c h u s e t t s i + 政府采用数据仓库管理信息，成功地帮助州政府进行了机构重组， 使州政府能够完整、高效、及时地完成预算方案及报表处理方面工作。中国银行 广东分行承担和开发的国家“八五科技攻关项目中国银行省、市两级金融管 理信息系统示范系统是国内率先引进和应用数据仓库、联机分析处理、多维数 据库等先进理论，并实现了业务信息和管理信息的统一、数据采集、以及存储自 动化。该项目使中国银行实现了信息一体化战略，成为全球金融信息服务系统的 重要组成部分。 正是由于数据仓库的重要性以及给企业所带来的高效益，数据仓库开始成 为黑客和企业竞争对手的攻击目标。企业数据仓库存储着大量的历史数据和重要 业务逻辑，如果这些数据被泄露或损坏，往往会给企业带来巨大伤害，甚至波及 企业存亡。因此，研究数据仓库的安全就显得尤为重要。基于角色的数据仓库分 级安全模型研究的意义在于根据现有数据仓库存在的安全隐患，找出影响安全的 华南师范大学硕士学位论文 因素，并制定相应的安全策略，最大限度地保证数据仓库的安全，防止敏感数据 及企业逻辑的泄露，使得数据仓库系统能够安全地为企业决策提供服务。 1 3 国内外研究现状分析 1 3 1 统计数据库推理控制研究现状 推理问题一直是数据库及数据仓库研究人员备受关注的问题。推理问题最 早在1 9 8 3 年由d o r o t h yd e n n i n g 等人在统计数据库中提出1 2 1 。 统计数据库数据是关于实体集子集的汇总统计信息。就统计数据库本身而 言，保密的实质就是只能让用户得到统计信息，而不能得到数据库中单个记录 的信息。尽管从表面上看用户没有对单个记录的访问权，仅能对各记录的汇总 信息进行访问，各记录的保密性可以得到保障。但事实并非如此，用户通过一 系列统计数据库允许的合理查询，便可以得到原来对他保密的信息。一般数据 库访问控制并不能解决统计数据库的数据泄漏问题，因为它只是限制用户的存 取权利。在统计数据库中，保密的目标就是防止用户从一系列查询中推出某些 秘密信息，因此，要实行的控制就是“推理控制 。 由于统计数据库的推理问题提出较早且得到广泛研究f 2 ，3 一，因此其推理控 制方法也较成熟，大致可分为两种：基于约束的推理控制方法 2 1 ( r e s t r i c t i o n b a s e di n f e r e n c ec o n t r o lm e t h o d ) 和基于干扰的推理控制方法【3 】 ( p e r t u r b a t i o n b a s e di n f e r e n c ec o n t r o lm e t h o d ) 。前者通过否定不安全查询和抑 制非敏感数据来控制推理，包括单元隐藏、最大阶控制和对数据库进行分割等； 后者则是向统计数据、查询结果或者数据库结构添加冗余信息以扰乱数据，防 止泄密，包括干扰舍入、随机抽样查询和数据交换等方式。如图1 - 1 所示： 2 数据仓库推理通道发现及控制技术研究 图卜1 统计数据库推理控制方法分类 1 3 2 多级安全数据库推理控制研究现状 统计数据库推理问题的存在引起了许多学者对多级安全数据库推理控制的 研究。 多级安全数据库推理问题的研究最早出现在2 0 世纪8 0 年代中期，其主要工作 集中在对问题的定义，提出说明具体推理类别的框架。d e n n i n g 提出交换过滤的 概念实现等价模式来消除任意非授权数据来响应查询【4 1 ，但没有处理由于数据库 约束而产生的推理问题。h i n k e 提出用语义模型的方法检测推理通道【5 1 ，改进模 型用一个语义关系图来表示数据库中可能的推理。数据项用结点表示，数据项之 间的关系则用边来连接。从节点a 到节点b 的两条路径，如果在其中一条路径上 可以看到所有的边，而另外一条却看不到所有的边，则可能存在推理通道。t z o n g 在文献1 6 中提出基于函数依赖( f d ) 的算法和基于多值函数依赖( m v d ) 的 算法，分别解决了对属性进行安全分级的推理通道问题和对元祖进行安全分级的 推理通道问题。j a j o d i a 和m e a d o w s 在文献【7 】中详细介绍了多级安全数据库推 理问题的研究成果，总结概况了不同推理通道，介绍了检测和消除推理通道的技 术，并证明多级安全数据库中大部分推理通道是由数据库自身约束造成的。 一般来讲，多级安全数据库推理控制方法可以分为两类： 1 ) 设计阶段推理控制 对推理出现范围的预见程度来进行数据分级或授权是设计阶段推理控制面 临的重要问题。通常可以有两种途径，一是预先通过合理的分级或授权设计，避 免推理通道的产生，从源头控制住推理；二是通过工具检测出所有的推理通道， 3 华南师范人学硕十学位论文 对这些通道要么直接消除，要么进行标记，留待运行阶段监控。阻止所有的推理 需要在设计数据库时遵循基本安全原则，做到完善的分级标记或授权处理，并能 对标记或授权进行适当调整。例如，b i 衄s 【8 】采用第二路径分析方法检测推理，如 果属性之问第二路径的安全级与主路径的不同，则存在分级不一致性，从而导致 推理问题的出现。b u c z k o w s k i i g l 和h i n k e t 5 1 用语义数据库模型来检测并阻止某些 推理问题，它试图通过更加丰富的模型结构来捕捉数据内涵的更多意义。这些方 法存在的共同问题就是，在数据库设计阶段需要通过严密的设计来控制推理，并 且多数依赖于特定的应用，或者只可以检测出简单而特定的推理，而对复杂的推 理无效。 2 ) 查询阶段推理控制 数据库在查询阶段检测到潜在的推理通道而拒绝查询或修改查询，以保证敏 感信息安全。这类技术在数据和模式级别都可以进行推理检测，数据级别的推理 检测增加了数据可用性。但查询期间的推理控制代价高，且恶意用户可能从拒绝 的查询来推理敏感信息，从而导致敏感信息的泄露。 近几年国内致力于数据库推理控制研究的学者逐渐增多。严和平等人i l o 】针对 t z o n g 8 1 推理控制所出现的问题以及r i z v i 【1 1 1 实现更细粒度访问控制后出现的推理 控制问题，以最细粒度元素级的访问控制为例，对具有代表性的函数依赖 ( f d ) 和多值依赖( m v d ) 所产生的推理通道进行了研究。该研究给出了基于 元素安全级调整的推理控制算法，并提出了安全和不安全视图依赖基的概念，从 而给出了安全视图依赖基的划分算法。李专等人 1 2 , 1 3 , 1 4 1 从安全数据库推理问题的 本质出发，研究敏感数据和属性关联的通用刻画方法和基于属性关联的推理控制 方法。通过推理规则系统，定义敏感数据的推理通道，及相应的推理控制策略和 算法。国标g b l 7 8 5 9 1 9 9 9 计算机信息系统安全保护等级划分准则1 1 5 】应用指 南的数据库部分对多级安全d b m s 的推理问题进行了讨论，也提出了多级安全 d b m s 中实现推理控制的技术规范。但是目前国内并没有一个系统能够达到这些 规范的要求，对一些特定的推理问题，也没有相应的检测和消除工具。 1 3 3 数据仓库及o l a p 系统推理控制研究现状 尽管推理控制被研究了三十余年，并取得了一定的研究成果。但是上述数据 4 数据仓库推理通道发现及控制技术研究 库推理控制方法不可以直接运用于数据仓库和o l a p 系统，原因主要有以下三点 【1 6 】： 一是o l a p 系统交互特性要求立即响应查询结果，如此严格的性能要求使得 一些离线推理控制方法不可运用于o l a p 系统当中； 二是o l a p 查询通常聚集大量数据，一些现存的推理控制算法运行时间与查 询集合大小有关，因而，运用在o l a p 查询中的性能将急剧下降。 三是数据仓库不同于传统数据库，其基本数据模型是数据立方体( d a t a c u b e ) ，要保证数据仓库的安全性首先必须要防止数据立方体的未授权访问和敏 感数据的间接推理。 于是，众多研究学者从数据仓库维度结构模型出发，开展了一些对推理控 制的研究工作，并取得相应的成果。概况起来，大致可以分为以下两类： 1 ) 查询控制 查询控制方法是从统计数据库基于约束的推理控制方法演变而来。h u a t 冒 等提出了一种单元抑制的查询控制方法。他首先定义了一个隐私单元的集合， 然后考察能够推理出隐私集合的那些底层单元，如果低层单元能够导出隐私单 元，那么这个底层单元也被加入到隐私单元集合中去。l i n g y uw a n g 等人先后 分别提出了基于基数的推理控制方法( c a r d i n a l i t y b a s e di n f e r e n c ec o n t r o l m e t h o d ) 1 引、基于奇偶性的推理控制方法( p 耐哆b a s e di n f e r e n c ec o n t r o lm e t h o d j ) 【1 9 l 以及基于格的推理控制方法( l a t t i c b a s e di n f e r e n c ec o n t r o lm e t h o d ) 2 0 】。基 于基数的推理控制方法计算中心立方体中空值单元数来限制不安全查询；基于 奇偶性的推理控制方法限制用户进行偶数多维范围( m d r ：m u l t i d i m e n s i o n a l r a n g e ) 查询以减少推理。由于继承统计数据库中的局限性，这两个方法都只能 处理聚集函数s u m 所得的汇总数据立方体，而且只有中心立方体才被视为敏感 数据。而基于格的推理控制方法虽然解决了处理多种聚集函数的问题，但是， 它依靠事先预测用户查询来防止敏感信息的泄露，而最佳的查询控制是依赖运 行过程中的查询，因此，这种静态方法有可能导致不必要的查询否定。 2 ) 数据干扰 数据干扰是从统计数据库基于干扰的推理控制方法演变而来。r a k e s h a g m w a i 等人针对隐私保护数据挖掘1 2 1 1 和隐私保护o l a p 2 2 1 做了相应研究，提 5 华南师范人学硕+ 学位论文 分块的多维汇总隐私保护计算技术，该技术将来自 概率随机化，然后再提交多个查询重构数据，以至 时保护隐私。但是，这种方法只限于c o u n t 聚集 性大大增加。s a my s u n g 等【2 3 1 研究了在查询结果 护隐私的方法。这种方法适用的范围有限，而且也 会影响信息的有效性，可能导致分析人员的错误判断。 国内从事数据仓库推理控制研究的人员不多，且大部分研究都是基于数据 干扰的隐私保护。陶有东等【2 4 】针对以上方法的不足，提出一种对于o l a p 数据 的隐私保护方法。该方法采用多项式回归模拟的方法来保护o l a p 系统的隐私， 提出了两类有效的规则优化方法，优化后的模拟数据保持了较好的信息有效性。 1 4 论文主要研究内容 以上研究成果与推理控制方法给本课题研究奠定了一定的理论基础。但是， 由于查询控制方法和数据干扰方法是从统计数据库推理控制方法演变而来，继 承统计数据库推理控制方法的局限性，这些方法也存在一些不足： ( 1 ) 仅将中心立方体视为敏感数据，而忽视细粒度汇总方体也可能是敏感 信息； ( 2 ) 仅针对一种或两种聚集查询( 如：s u m 汇总或c d 泖盯) ，而没有考 虑其他o l a p 聚集操作，例如m a x , m n 等操作可能导致的推理： ( 3 ) 仅对推理控制方法进行研究，而很少结合访问控制对推理控制系统进 行设计并实现。 针对上述问题，本文探讨一种运用于数据仓库安全模型的推理控制策略， 并将此推理控制策略与安全访问控制相结合，构建出一个安全、可靠、有效的 数据仓库安全模型。 本课题的主要研究工作集中在以下三个方面： ( 1 ) 分析数据仓库的安全隐患及推理通道。回顾现有数据仓库安全模型特 点及不足；分析数据仓库存在的安全隐患及可能的推理通道。 ( 2 ) 研究数据仓库推理控制方法。在现有查询控制的推理控制方法基础上， 对数据仓库敏感对象进行描述，研究一种基于数据立方体的推理控制方法。 6 相结 1 5 了本 方法，解决数据仓库的推理控制问题。 第5 章结合基于角色的数据仓库访问控制模型对数据仓库推理控制安全 功能进行分析和设计，提出一种数据仓库安全推理控制模型。 第6 章实现本文提出的数据仓库安全推理控制模型。 第7 章总结全文工作并展望下一步研究工作。 7 华南师范人学硕十学位论文 第2 章数据仓库安全概述 数据仓库安全问题一直是数据仓库设计、开发及应用人员备受关注的问题。 由于网络病毒的肆虐、非法用户的入侵、敏感信息的泄露等安全问题不断出现， 使数据仓库的安全遭到了威胁。如果数据仓库中的数据被毁坏或者被非法用户获 取，那么有价值的决策信息将面临潜在的危险。目前有很多学者在从事数据仓库 安全模型的研究，但是大部分数据仓库安全模型的研究都集中在数据仓库的访问 控制方面，而没有结合数据仓库存在的推理通道问题进行安全控制研究。 本章首先分析数据仓库存在的安全隐患及安全需求；然后回顾现有数据仓库 安全模型的特点；最后根据数据仓库存在的安全隐患以及现有数据仓库安全模型 的不足，提出一种数据仓库安全模型总体框架，为数据仓库推理控制的实现提供 基础。 2 1 安全隐患 数据仓库存储了大量的数据，其中包括个人隐私数据和组织机密数据。未 经授权用户的非法访问和授权用户的越权操作都有可能导致数据仓库中的隐私 数据和机密数据遭到破坏。根据对数据仓库的应用及安全分析，其安全问题主 要有以下三个方面： 1 非法用户的恶意破坏 数据仓库面向的是专业决策分析人员，除此之外的人员都被列为非法用户。 非法用户不具备访问数据仓库的权限，但通过黑客技术有可能入侵数据仓库， 恶意访问或破坏数据，造成数据的泄露。因此，在数据仓库安全控制体系中必 须设置身份认证机制。 2 合法用户的非法访问 合法用户登陆数据仓库后，期望能够访问数据仓库中有价值的信息。但是 有些信息对于该用户来说是被禁止访问的机密信息。例如个人信息当中的健康 状况、银行账号等隐私数据仅能够被本人访问，而不能被其他人访问。因此， 数据仓库安全模型需要对每个用户的访问权限加以限制，防止合法用户的非法 8 数据仓库推理通 操作。因此，在数据仓库安全控制体 3 合法用户的间接推理 有些用户拥有对部分数据进行合 组合查询或者交换查询从分析结果推 过看似合法的访问途径而推理出敏感 全问题。因此，在数据仓库安全控制 2 2 现有数据仓库安全模型 自数据仓库提出以来，研究人员相继提出一些新的数据仓库安全模型，但 大多数都是针对数据仓库访问控制而提出。以下对现有的典型数据仓库安全模 型进行分析和总结： 2 2 1 基于角色的安全模型 基于角色的数据仓库安全模型2 5 1 由r k i r k g o z e 和n k a t i c 等人于1 9 9 7 年 提出，该模型是对关系数据库基于角色的访问控制模型( r b a c ) 的一种扩展， 主要描述了数据仓库中每个角色的安全约束规则。每个用户被指定一个角色， 每个角色对应一个安全规则表。这些规则表组成角色安全约束文件。根据这个 角色安全约束文件，每个用户可以访问到他被授权访问的数据。 图2 1 基于角色的数据仓库安全模型 图2 1 展示了基于角色的数据仓库安全模型。安全规则管理模块主要用于定 义、存储并管理角色及其安全规则。安全查询管理模块主要是通过安全规则管 理模块提供的角色安全规则，来检查用户提交的o l a p 查询请求是否被允许。 如果访问被允许，则跟踪整个查询过程，并通过查询安全规则来分析相应的访 9 学位论文 予不同角色，并能为系统用户赋予不 对象的属性集合：a t t r = 度量l ，度量2 ，维属性l ，维属性2 ， ； 比较操作符集合：t h e t a = = ， ， = ， ) ； 属性值集合：v = 度量值，维属性值l ，维属性值2 ， 用户( u ) 角色( 尺) 分配：u r u x 尺 权限( 尸) 角色( r ) 分配：p r p r 2 2 1 2 安全约束规则 在基于角色数据仓库安全模型中，角色的安全约束规则用表达安全约束的“ 谓词组合表示。 表达安全约束的谓词定义如下：z ( r ，口，0 ，a t t r ，t h e t a ，1 ，) ，其中，r ，口a ， 0 0 ，a t t r a m ，t h e t a t h e t a ，v 。 ( 1 ) 简单对象谓词s o p ( s i m p l eo b j e c tp r e d i c a t e ) ：s o p ( r ，a ，o ) ( 2 ) 简单属性谓词s a p ( s i m p l ea t t r i b u t ep r e d i c a t e ) ：s a p ( r ，a ，o ，a t t r ) ( 3 ) 基于值的简单属性谓词v b a p ( v a l u eb a s e ds i m p l ea t t r i b u t ep r e d i c a t e ) ： v b a p ( r ，a ，o ，a t t r ，t h e t a ，v ) 使用以上3 种谓词的任意组合可以给角色赋予复杂的权限，某一组合定义 了一个角色能够访问的数据立方体的部分集合。对于同一角色，细粒度的规则 可以覆盖粗粒度规则的定义。例如，定义了s p ( r ，a ，o ) ，又定义了s a p ( r ， a ，o ，a t t r ) ，那么角色r 在访问对象。上的访问规则将以s a p ( r ，a ，o ，a t t r ) l o 图2 2 基于元数据的数据仓库安全模型 图2 2 展示了基于元数据的数据仓库安全模型。如果用户企图查询他没有 访问权限的数据，那么“安全管理者”和“信息服务器 就把用户想查询而又 没有查询权限的那部分数据过滤掉，而只把他可以访问的那些数据返回给他。 这种操作对于用户来说是透明的，用户并不知道还有些数据他没有访问到。数 据仓库的信息对于用户来说好像是提供了他所需要的所有数据。 该模型主要特点是把数据仓库中的元数据扩充为二类元数据：结构元数据和 访问元数据。利用访问元数据来控制用户对数据仓库的访问。通过元数据减少了 用户试图访问无权访问的数据的可能性，减少攻击数据仓库的行为，从而增强数 据仓库安全性。 2 2 3 基于视图的安全模型 由于数据仓库中的数据可以来自于多个数据源，每个数据源系统对数据有 不同的安全需求，这些安全需求也必须反映到数据仓库中，否则整个数据仓库 系统缺乏一致的安全性。通过视图作为数据源和数据仓库之间的连接纽带， l l 用户在数据仓库中所能够访问的数据。但是数据仓库的数据模型是多维数据和 关系数据的混合，它要比数据库中单纯的关系型数据复杂得多。视图机制对于 数据库中w r i t e u p d a t e 操作机制很奏效，而在数据仓库中主要进行的操作是读取 数据和分析数据，仅有此不能很好地满足数据仓库的需要。 2 2 4 基于授权的安全模型 前几个访问控制技术都是在数据库s q l 语义环境下提出的，而w e i p p l 等人 【2 8 】构造了一个基于数据仓库语义环境的授权模型，该模型通过一种简单的描述 符号直观地表达数据仓库中主体对多维数据模型的基本元素( 维度、层次、事实) 的o l a p 操作( 读、向下钻取、向上综合、切片、切块等) 权限。 此模型的特点是：从逻辑上把授权模型分为二部分s u b j e c t 和o b j e c t ，通 过一种简单的操作用户可以方便地描述所需要的安全访问权限，从而增强表述能 力和安全的可用性。通过一套简单的描述符号，对于任意一种给定的安全策略， 都可以很容易地实现它的访问控制权限。 1 2 数据仓库推理通道发现及控制技术研究 2 3 总体安全框架 以上安全模型的建立在一定程度上可以保护数据仓库的安全性，但是并没 有完全解决数据仓库存在的安全隐患。其不足主要表现在以下两个方面： ( 1 ) 以上安全模型只针对数据仓库安全隐患当中合法用户的非法 访问，而没有针对另外两个安全隐患做出相应研究； ( 2 )以上安全模型的研究侧重于模型的定义、分析与描述，而没 有讨论安全模型的应用体系架构。 因此，本小节针对数据仓库存在的安全隐患以及现有数据仓库安全模型的 不足，提出一种数据仓库安全模型总体框架。该框架将认证机制、访问控制机 制和推理控制机制三者相结合，解决数据仓库中非法用户恶意破坏、合法用户 非法访问和合法用户恶意推理三大安全隐患，以保证数据仓库的安全性。图2 - 4 给出了三者与数据仓库之间的关系。 图2 4 数据仓库安全模型总体框架 ( 1 )身份认证机制 认证机制采用用户名及口令进行身份认证，这是数据仓库安全模型的第一 部分。使用数据仓库的用户首先被分配用户名及密码，用来和认证机制进行初 始交互时进行鉴别。 ( 2 ) 访问控制 访问控制采用基于角色的数据仓库访问控制模型，这是数据仓库安全模型 的一个重要的部分。当用户通过了认证机制的认证后，用户查询请求将传递访 问控制机制。基于角色访问控制将会根据用户的角色来检查用户是否有权限访 1 3 华南师范大学硕十学位论文 问这个数据。如果可以，该角色的权限信息将传递到推理控制机制；否则将根 据用户权限，返回对应的错误信息。 ( 3 )推理控制 推理控制机制是数据仓库安全模型的一个至关重要的部分，也是本文研究 的重点。本文将研究一种基于数据立方体的推理控制算法，并构建推理控制系 统，预防并消除数据仓库推理通道。 2 4 本章小结 数据仓库存在的安全隐患及安全需求是研究数据仓库安全模型的首要问 题。本章从非法用户的恶意破坏、合法用户的非法访问以及合法用户的间接推理 三个方面分析了数据仓库实际应用存在的安全隐患问题。通过分析现有的数据仓 库安全模型的特点及不足，本章构建了一种认证机制、访问控制和推理控制三者 相结合的数据仓库安全模型，其中推理控制机制就是接下来几章研究的重点。 1 4 数据仓库推理通道发现及控制技术研究 第3 章敏感信息描述 敏感信息是一个相对概念，不被用户直接访问到的数据对该用户而言就是敏 感信息。在关系数据库当中，敏感信息包括表、记录、记录中某些字段等。但是 数据仓库与关系数据库的数据模型不同，数据立方体具有复杂的格结构，因此对 数据仓库中敏感信息的定义也具有较大复杂性。 由于敏感信息定义的复杂性，很多研究数据仓库推理控制的算法，如基于基 数的推理控制算法( c a r d i n a l i t y b a s e di n f e r e n c ec o n t r o lm e t h o d ) f 1 8 】和基于奇偶 性的推理控制方法( p a r i t y b a s e di n f e r e n c ec o n t r o lm e t h o d ) 等，都只是将中心 立方体设置为敏感信息。而且，由于越来越多的人们对个人隐私的保护与强调， 导致很多数据仓库设计人员在进行安全设置时，通常会认为细节数据比汇总数据 更为敏感，从而将整个中心立方体视为敏感数据。但是这样的安全设置可能存在 两个缺陷： ( 1 ) 仅将中心立方体视为敏感数据，而忽视细粒度汇总方体也可能是敏感 信息； ( 2 ) 将整个中心立方体视为敏感数据，而忽视不同单元可能存在不同的安 全需求。 因此，我们需要一个简便地、灵活地、易于操作的方法来描述数据仓库敏感 信息。 本章首先介绍数据立方体模型的基本概念，并描述了数据立方体格结构依赖 关系；然后根据敏感信息构成因素给出了敏感信息的形式化描述；最后结合一个 简单的数据立方体安全需求实例，进一步解释了如何用形式化来描述敏感信息。 3 1 数据立方体 3 1 1 基本概念 数据立方体最早是作为一种s q l 操作，为了支持普通的o l a p 任务( 如分 类汇总等) 而被g r a y 等人提出，此后该模型就被广泛运用于数据仓库和o l a p 技术。以下介绍数据立方体中的基本概念： 1 5 华南师范人学硕士学位论文 ( 1 )数据立方体( c u b e ) ：数据立方体是一类多维矩阵，让用户从多个角度 探索和分析数据集。 ( 2 )维( d i m e n s i o n ) ：观察数据的特定角度，是考虑问题的一类属性的集合。 ( 3 )维层次( h i e r a r c h i e s ) ：维属性当中的某些属性之间存在一种级别关系， 将低级别概念映射到高级别概念。 ( 4 )度量( m e a s u r e s ) ：是数据立方体围绕的中心主题，是一个数值。 ( 5 )单元( c e l l s ) ：是属性值的一个k 元组，其中k 是维数。 ( 6 )方体( c u b o i d s ) ：是维级别的一个k 元组，是数据立方体的一个元素。 ( 7 )中心立方体( b a s ec u b o i d ) ：存放最底层的细节方体。 ( 8 )格( l a t t i c ) ：把维层次中的级别偏序关系看作是一种依赖格，简称格， 用符号表示，图3 1 显示了三维数据立方体格结构【3 0 1 。 l 纠l ，a l l ，a l l f i l i l i 3 1 2 格结构 图3 - 1 三维数据立方体格结构 0 - d ( 顶点) 方体 i d 方体 2 - d 方体 3 d ( 中心) 方体 根据文献1 3 1 】对数据立方体格结构的相关论述以及集合论中偏序关系的 基本理论【3 2 1 ，假定r 表示数据立方体，a 表示r 中所有单元的集合， r ，表 示方体的偏序集， a ，表示单元偏序集。对任意偏序集 厶( 1 1 ，或 a ，) ，工，有如下基本概念和定理： ( 9 ) 可比( c o m p a r a b l e ) 与非可比( n o n c o m p a r a b l e 若x y 和y x 都不成立，则x 和y 是非可比的；否则， ( 1 0 ) 祖先( a n c e s t o r ) 和后代( d e s c e n d a n t ) ：假定x 1 6 数据仓库推理通道发现及控制技术研究 成立，那么称y 是x 的祖先，x 是y 的后代。 ( 1 1 ) 最大元( g r e a t e s te l e m e n t ) 和最小元( 1 e a s te l e m e n t ) 最大元：如果存在y z ，使得协( x - - ) x y ) 成立，那么称少是三的最大元。 最小元：如果存在y l ，使得v x ( x l 一y x ) 成立，那么称y 是上的最小 元。 ( 1 2 ) 极大元( m a x i m a le l e m e n t ) 和极小元( m i n i m a le l e m e n t ) 极大元：如果存在j ，z ，使得( x y x 专x = y ) 成立，那么称y 是 的极大元。 极小元：如果存在y l ，使得v x ( x l x y 专x = y ) 成立，那么称y 是。 的极小元。 ( 1 3 ) 上界( u p p e rb o u n d ) 和下界( 1 0 w e rb o u n d ) 上界：如果存在y l ，使得溉( x l 一x y ) 成立，那么称y 是三的上界。 下界：如果存在y l ，使得v x ( x l 专y x ) 成立，那么称y 是的下界。 ( 1 4 ) 最大下界( g r e a t e s tl o w e rb o u n d ) 和最小上界( 1 e a s tu p p e r b o u n d ) 最大下界：如果存在集合抄【y 是三的下界) ，那么称该集合的最大元是三的最大 下界。 最小上界：如果存在集合钞陟是的上界) ，那么称该集合的最小元是三的最小 上界。 ( 1 5 ) 交( m e