一种知识图谱本体数据分级分类安全访问控制方法及应用技术

本发明专利技术公开了一种知识图谱本体数据分级分类安全访问控制方法及应用。该方法包括：预先定义系统权限级别范围、安全控制系统参数、权限粒度、本体数据的类别属性空间和安全级别属性空间；用户上传本体数据时，自定义上传数据的类别和安全等级，若用户的安全等级及上传数据的安全等级满足一定条件，则将上传数据加密存储；用户下载本体数据时，若用户的安全等级及下载数据的安全等级满足一定条件，将下载数据解密提供给用户。本发明专利技术可以满足海量增长的知识图谱本体数据在使用过程中面临的复杂安全性要求，具有机密性、完整性、可靠性和灵活性的优点。性的优点。性的优点。

【技术实现步骤摘要】
一种知识图谱本体数据分级分类安全访问控制方法及应用


[0001]本专利技术属于数据存储
，更具体地，涉及一种知识图谱本体数据分级分类安全访问控制方法及应用。

技术介绍

[0002]近年来，随着海量数据的爆炸式增长，行业知识图谱的本体数据的存储需求也日益增长，对象云存储系统是一种用于数据存储的云计算体系结构，通常用来存储具有分类分级特点的非结构化数据。在云服务不可信的前提下,如何实现对云存储中大量具有分级分类特点的本体数据资源的细粒度访问控制，保障云存储中的机密数据不被非法访问，是云计算技术中亟需解决的问题。
[0003]在云计算中的分布式对象存储系统中，通常采用了友好访问接口使对象存储拥有跨平台数据共享的特点，通过接口可以高效执行数据增加、检索、更新和删除(CRUD)和对象属性等操作,适合加载MB级别的本体数据并对其各维度属性进行灵活的查询、使用、更新和扩展,其计算效率和用户体验得到了显著的提升，因而对象存储更适合云计算模式下的本体数据及知识图谱应用。在基于对象的存储中,对象数据是以固定接口提供非结构化文件访问操作的一类存储容器。同时维护一组描述文件数据属性的元数据进行管理，通常可以利用元数据来实现阻止数据非法访问的安全策略。美国国家标准化组织(ANSI)于2005年批准了对象存储的标准规范，目前,对象存储已得到了广泛应用，代表性的大规模实现如AWS的S3、华为的OBS、开源实现OpenstackSwift和Ceph等。
[0004]但随着云存储技术的发展，其动态复杂性、开放性和资源高集中性等特点不可避免的带来了数据安全性问题。用户将本体数据托管给第三方云服务提供商存储和管理，会失去对数据访问权限的控制，特别是对于一些涉及国家机密和行业商业秘密的元数据泄漏，可能会导致极其严重的后果。因此需要提供一种适用于对象云存储模式下的知识图谱本体数据安全访问机制，该机制应该具有灵活可靠的安全体系来保护知识图谱本体数据的机密性、完整性和可靠性。
[0005]访问控制技术是一种保障数据不被非法访问的重要手段，实现对云存储中大量资源的访问控制机制,能够使用户将本体数据安全地托管至云平台。因此,许多学者提出了不同的方案，主要集中在3个方面，见表1。
[0006]表1云计算访问控制技术
[0007][0008]其中，常见的访问控制方法包括：自主访问控制(DAC)、强制访问控制(MAC)、基于角色的访问控制(RBAC)、基于属性的访问控制(ABAC)和基于任务的访问控制(TBAC)等，各类单一的访问控制机制均有其特点和明显的不足，比如：DAC经常导致不适当授权和权限撤
销不及时，从而存在敏感数据的安全隐患；MAC在灵活性上天然欠缺，导致系统难以根据业务的动态调整而更改权限，会造成业务的人力成本加大。RBAC、ABAC和TBAC很好的平衡了安全性与灵活性，但随着知识图谱本体数据的海量存入和爆炸式增长，它们都难以对其角色、属性或任务进行细粒度的分析，从而进行准确的访问权限控制。
[0009]因此，为了满足知识图谱本体数据海量增长的安全性要求，需要提出一种机密性、完整性、灵活性和可靠性兼具的细粒度数据安全访问控制机制。另外，虽然云计算中的访问控制机制的研究在不断深入,但是在实际应用场景中,还存在两方面的问题。一方面，随着对象云存储的规模扩大，通常需要对领域内具有层级相关性特征的本体数据进行分类管理。如存在分类关系：音乐
→
华语音乐
→
刘德华,若用户A上传音乐1，系统指定其分类属性为刘德华，而一个拥有权限级别为华语音乐的用户B,应能够访问刘德华类别下的所有文件。另一方面,在海量对象数据的存储下，为实现数据的受控共享和存储隔离，应进行高效的细粒度访问控制；为满足大规模用户的并发访问请求，还应适应云环境建立分布式授权中心。然而，由于与传统块存储在适用范围、底层架构、原理和模型方面的差异，基于对象数据格式的知识图谱本体数据云存储结构面临着更多新的访问控制技术方面的挑战。

技术实现思路

[0010]针对现有技术的至少一个缺陷或改进需求，本专利技术提供了一种知识图谱本体数据分级分类安全访问控制方法及应用，具有机密性、完整性、可靠性和灵活性的优点。
[0011]为实现上述目的，按照本专利技术的第一方面，提供了一种知识图谱本体数据分级分类安全访问控制方法，包括：
[0012]预先定义系统权限级别范围、安全控制系统参数、本体数据的类别属性空间和安全级别属性空间，安全控制系统参数用于上传或下载过程中的数据加密或解密，类别属性空间用于定义本体数据的类别层级关系，安全级别属性空间用于定义每个类别的本体数据允许的权限级别；
[0013]用户上传本体数据时，自定义上传数据的类别和安全等级，若用户的安全等级及上传数据的安全等级满足第一预设条件，且上传数据的类别属于类别属性空间，上传数据的安全等级属于安全级别属性空间，则将上传数据加密存储；
[0014]或用户下载本体数据时，填写下载数据的类别和安全等级，若用户的安全等级及下载数据的安全等级满足第二预设条件，且下载数据的类别属于类别属性空间，下载数据的安全等级属于安全级别属性空间，将下载数据解密提供给用户。
[0015]进一步地，布置与权限级别范围对应的层级式授权节点，包括主授权节点和子授权节点，最上层的主授权节点拥有最大权限，由主授权节点保存根据安全控制系统参数生成的主密钥，根据主密钥及授权层级生成每个子授权节点的私钥；
[0016]所述将上传数据加密存储过程中，主授权节点或子授权节点将主密钥或子授权节点的私钥提供给上传用户进行上传数据加密；
[0017]或所述下载数据解密过程中，主授权节点或子授权节点将主密钥或子授权节点的私钥提供给下载用户进行下载数据解密。
[0018]进一步地，根据提供给上传用户的授权私钥及上传用户的安全等级生成上传用户的授权私钥，利用上传用户的授权私钥对上传数据进行加密；
[0019]或根据提供给下载用户的授权私钥及下载用户的安全等级生成下载用户的授权私钥，利用上传用户的授权私钥对上传数据进行解密。
[0020]进一步地，上传数据过程中，在满足上传数据的类别和安全等级的授权节点中，选取层级最低的授权节点给上传用户进行授权。
[0021]进一步地，下载数据过程中，在满足下载数据的类别和安全等级的授权节点中，选取层级最高的授权节点给下载用户进行进行鉴权。
[0022]进一步地，知识图谱本体数据分级分类安全访问控制方法还包括：预先定义权限控制粒度，安全级别属性空间的权限级别以及用户上传数据时定义的安全等级根据权限控制粒度、以及系统权限级别范围定义。
[0023]进一步地，布置与权限级别范围对应的层级式的基于云存储对象的云存储系统。
[0024]进一步地，若用户的安全等级及上传数据的安全等级满足第一预设条件，且上传数据的类别属于类别属性空间，上传数据的安全等级属于安全级别属性空间，云存储系统生成访问令牌并发送给上传用户，然后将访问令本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种知识图谱本体数据分级分类安全访问控制方法，其特征在于，包括：预先定义系统权限级别范围、安全控制系统参数、本体数据的类别属性空间和安全级别属性空间，安全控制系统参数用于上传或下载过程中的数据加密或解密，类别属性空间用于定义本体数据的类别层级关系，安全级别属性空间用于定义每个类别的本体数据允许的权限级别；用户上传本体数据时，自定义上传数据的类别和安全等级，若用户的安全等级及上传数据的安全等级满足第一预设条件，且上传数据的类别属于类别属性空间，上传数据的安全等级属于安全级别属性空间，则将上传数据加密存储；或用户下载本体数据时，填写下载数据的类别和安全等级，若用户的安全等级及下载数据的安全等级满足第二预设条件，且下载数据的类别属于类别属性空间，下载数据的安全等级属于安全级别属性空间，将下载数据解密提供给用户。2.如权利要求1所述的一种知识图谱本体数据分级分类安全访问控制方法，其特征在于，布置与权限级别范围对应的层级式授权节点，包括主授权节点和子授权节点，最上层的主授权节点拥有最大权限，由主授权节点保存根据安全控制系统参数生成的主密钥，根据主密钥及授权层级生成每个子授权节点的私钥；所述将上传数据加密存储过程中，主授权节点或子授权节点将主密钥或子授权节点的私钥提供给上传用户进行上传数据加密；或所述下载数据解密过程中，主授权节点或子授权节点将主密钥或子授权节点的私钥提供给下载用户进行下载数据解密。3.如权利要求2所述的一种知识图谱本体数据分级分类安全访问控制方法，其特征在于，根据提供给上传用户的授权私钥及上传用户的安全等级生成上传用户的授权私钥，利用上传用户的授权私钥对上传数据进行加密；或根据提供给下载用户的授权私钥及下载用户的安全等级生成下载用户的授权私钥，利用上传用户的授权私钥对上传数据进行解密。4.如权利要求2所述的一种知识图谱本体数据分级分类安全访问控制方法，其特征在于，上传数据过程中，在满足上传数据的类别和安全等级的授权节点中，选取层级最低的授权节点给上传用户进行授权。5.如权利要求2所述的一种知识图谱本体数据分级分类安全访问控制方法，其特征在于，下载数据过程中，在满足下载数据的类别和安全等级的...

【专利技术属性】
技术研发人员：程永靖，谢伟，闫凯，黄健，张友根，袁山洞，贾国辉，
申请(专利权)人：中国人民解放军国防科技大学，
类型：发明
国别省市：