[发明专利]访问安全控制方法及装置

权利要求书

1.一种访问安全控制方法，所述方法用于防止由同一用户多次访问内容之间的关联而引发的隐私泄露问题，所述方法包括两个阶段：

第一阶段

构建基于语义网的领域知识库，所述领域知识库包括领域本体库、领域实例库和领域规则库；所述领域知识库包括多个领域本体库和领域实例库其中，

所述领域本体库用于定义领域中公认的概念、属性关系；

所述领域实例库基于领域本体库中的概念和属性关系标注领域知识库中相应的属性实例及属性实例之间的语义关系；

所述领域规则库用于在将不同的领域本体库和领域实例库进行集成时，建立不同领域本体库和领域实例库之间的语义映射；

构建基于语义网的访问控制知识库，所述访问控制知识库包括访问控制本体库、访问历史本体库和访问控制策略规则库；其中，

所述访问控制策略规则库存储访问控制策略规则；

所述访问控制本体库用于给所述访问控制策略规则提供原语；

所述访问历史本体库用于记录用户的访问内容；

当所述用户成功访问所述领域本体库的资源时，采用属性实例具体化的方式将所述用户的访问内容记录在所述访问历史本体库中；

根据记录在所述访问历史本体库中的用户的访问内容、所述访问控制本体库、所述领域本体库和所述用户预设的隐私敏感属性集，采用策略规则生成算法生成访问控制策略规则，将所述生成的访问控制策略规则添入所述访问控制策略规则库中；

第二阶段

当所述用户再次请求访问所述领域本体库的资源时，判断所述用户再次访问所述领域本体库的资源的内容与记录在所述访问历史本体库中的用户的访问内容是否违反所述访问控制策略规则库中添入的所述访问控制策略规则；其中，

如果所述用户再次访问领域本体库的资源的内容与记录在所述访问历史本体库中的用户的访问内容违反所述访问控制策略规则库中添入的所述访问控制策略规则，则拒绝所述用户再次访问领域本体库的资源；否则，如果所述用户再次访问领域本体库的资源的内容与记录在所述访问历史本体库中的用户的访问内容未违反所述访问控制策略规则库中添入的所述访问控制策略规则，则许可所述用户再次访问领域本体库的资源。

2.如权利要求1所述的访问安全控制方法，其中，所述属性实例具体化的方式为：

领域本体库中每个资源的属性在访问控制本体库中对应一个属性类，所述属性类具有主体和客体的属性；所述领域本体库中每个资源的属性为所述访问控制本体库中对应的每个属性类的属性实例，将所述属性实例具体化为所述属性类的实例，并对应所述属性类的主体和客体。

3.如权利要求1所述的访问安全控制方法，其中，

所述访问控制策略规则包括用户级策略规则和系统级策略规则；所述用户级策略规则和所述系统级策略规则均支持肯定和否定授权，当所述肯定授权和所述否定授权出现授权冲突时，所述否定授权的优先级高于所述肯定授权的优先级；并且，

所述用户级策略规则只允许访问请求的授权，而访问请求的许可由所述系统级策略规则通过聚合所述用户级策略规则的授权结果作出判断。

4.如权利要求3所述的访问安全控制方法，其中，

所述访问控制本体库给所述访问控制策略规则提供的原语包括授权、授权主体、许可属性实例；

记录在所述访问历史本体库中的用户的访问内容包括访问主体、访问客体和访问操作；

根据所述访问控制本体库中的所述许可、所述授权、所述属性实例与所述访问历史本体库中的所述访问主体、所述访问客体和所述访问操作，采用策略规则生成算法生成所述系统级策略规则；

根据所述访问控制本体库中的所述授权、所述属性实例与所述访问历史本体库中的所述访问主体、所述访问客体和所述访问操作，采用策略规则生成算法生成所述用户级策略规则。

5.如权利要求3所述的访问安全控制方法，其中，

根据所述用户预设的隐私敏感属性集采用策略规则生成算法生成所述用户级策略规则中的关联约束规则集，所述关联约束规则集只支持否定授权；其中，所述关联约束规则集中有规则依赖顺序，则将按照所述规则依赖顺序对所述关联约束规则集中的每条规则进行判断，当满足规则依赖顺序中最后一条规则的规则体中的合取条件集时，获得授权结果。