CN109670339B - 基于本体的面向隐私保护的访问控制方法及装置 - Google Patents
基于本体的面向隐私保护的访问控制方法及装置 Download PDFInfo
- Publication number
- CN109670339B CN109670339B CN201811632555.2A CN201811632555A CN109670339B CN 109670339 B CN109670339 B CN 109670339B CN 201811632555 A CN201811632555 A CN 201811632555A CN 109670339 B CN109670339 B CN 109670339B
- Authority
- CN
- China
- Prior art keywords
- entry
- access
- entries
- privacy
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明提供了一种基于本体的面向隐私保护的访问控制方法及装置,涉及计算机应用的技术领域,包括获取安全词条集、访问词条和历史访问词条,访问词条和历史访问词条对应同一用户;从安全词条集中获取访问词条的泄露度,获取历史访问词条的泄露度;计算访问词条的泄露度和历史访问词条的泄露度的和,获得用户的累计溢出;判断累计溢出是否不小于1;如果是,决策结果为拒绝访问;如果否,决策结果为同意访问。避免客户端对同一用户隐私数据的推理攻击,提高了对用户个人隐私数据的保护性能。
Description
技术领域
本发明涉及计算机应用的技术领域,尤其是涉及一种基于本体的面向隐私保护的访问控制方法及装置。
背景技术
访问控制系统可以防止客户端对数据库中用户受保护的网络资源进行非授权的访问。然而,目前的访问控制系统,未关注到用户隐私数据的累计泄露状况。客户端很容易根据从已授权的低权限的访问中获得用户数据推理出更高权限的用户隐私数据,造成用户隐私数据的部分甚至全部泄露,即对用户隐私数据进行推理攻击。访问控制系统对用户隐私数据保护性能差。
针对现有技术中访问控制系统对用户隐私数据保护性能差的问题,目前尚未提出有效解决方案。
发明内容
有鉴于此,本发明的目的在于提供一种基于本体的面向隐私保护的访问控制方法及装置,提高了对用户个人隐私数据的保护性能。
第一方面,本发明实施例提供了一种基于本体的面向隐私保护的访问控制方法,包括:获取安全词条集、访问词条和历史访问词条,访问词条和历史访问词条对应同一用户;从安全词条集中获取访问词条的泄露度,获取历史访问词条的泄露度;计算访问词条的泄露度和历史访问词条的泄露度的和,获得用户的累计溢出;判断累计溢出是否不小于1;如果是,决策结果为拒绝访问;如果否,决策结果为同意访问。
结合第一方面,本发明实施例提供了第一方面的第一种可能的实施方式,其中,获取安全词条集的步骤,包括重复执行以下处理直至多个用户都被遍历:获取第i个用户的多个隐私词条和多个泄露阈值,隐私词条和泄露阈值一一对应,其中,1≤i≤n,n为用户的数量;根据多个隐私词条、多个泄露阈值和本体生成用户的危险词条集和安全词条集。
结合第一方面的第一种可能的实施方式,本发明实施例提供了第二方面的第一种可能的实施方式,其中,根据多个隐私词条、多个泄露阈值和本体生成用户的危险词条集和安全词条集的步骤,包括重复执行以下处理直至多个隐私词条都被历遍;将第j个隐私词条映射到本体,并进行语义推理,获得本体中的多个客观词条的泄露度,其中,1≤j≤m,m为隐私词条的数量;判断客观词条的泄露度是否不小于隐私词条的敏感阈值;如果是,则客观词条为用户的危险词条;如果否,则客观词条为用户的安全词条;将多个危险词条组成危险词条集,并将多个安全词条组成安全词条集。
结合第一方面,本发明实施例提供了第一方面的第三种可能的实施方式,其中,获取安全词条集、访问词条和历史访问词条之前的步骤,包括:判断客户端的历史访问文件中是否包括历史访问词条;如果是,同意对访问词条的访问;如果否,对访问词条进行决策处理,并获得决策结果。
结合第一方面的第三种可能的实施方式,本发明实施例提供了第一方面的第四种可能的实施方式,其中,对访问词条进行决策处理,并获得决策结果之后的步骤,包括:判断决策结果的类型;当决策结果的类型为拒绝访问时,输出决策结果。
结合第一方面的第三种可能的实施方式,本发明实施例提供了第一方面的第五种可能的实施方式,其中,判断客户端的历史访问文件中是否包括历史访问词条之前的步骤,包括:获取客户端的识别信息;
根据识别信息进行历史记录文件处理操作。
结合第一方面的第五种可能的实施方式,本发明实施例提供了第一方面的第六种可能的实施方式,其中,根据识别信息进行历史记录文件处理操作的步骤,包括:根据识别信息查找客户端的历史记录文件;如果未查找到历史记录文件,为客户端创建历史记录文件;如果查找到历史记录文件,对历史记录文件进行更新处理。
结合第一方面,本发明实施例提供了第一方面的第七种可能的实施方式,其中,包括:将决策结果反馈给客户端,并根据决策结果对历史访问记录文件进行更新处理。
结合第一方面的第七种可能的实施方式,本发明实施例提供了第一方面的第八种可能的实施方式,其中,根据决策结果对历史访问记录文件进行更新处理的步骤,包括:当决策结果为拒绝访问时,保持历史访问记录文件;当决策结果为同意访问时,将访问词条和对应的访问时间导入历史访问记录文件。
第二方面,本发明实施例还提供一种基于本体的面向隐私保护的访问控制装置,包括:词条获取模块,用于获取安全词条集、访问词条和历史访问词条,访问词条和历史访问词条对应同一用户;泄露度获取模块,用于从安全词条集中获取访问词条的泄露度和历史访问词条的泄露度;累计泄露度计算模块,用于计算访问词条的泄露度和历史访问词条的泄露度的和,获得用户的累计泄露度;决策模块,用于判断累计泄露度是否不小于1,当累计泄露度不小于1时,输出决策结果为拒绝访问;当累计泄露度小于1时,输出决策结果为同意访问。本发明实施例带来了以下有益效果:
本发明实施例提供了一种基于本体的面向隐私保护的访问控制方法,包括:获取安全词条集、访问词条和历史访问词条,访问词条和历史访问词条对应同一用户;从安全词条集中获取访问词条的泄露度,获取历史访问词条的泄露度;计算访问词条的泄露度和历史访问词条的泄露度的和,获得用户的累计溢出;判断累计溢出是否不小于1;如果是,决策结果为拒绝访问;如果否,决策结果为同意访问,避免客户端对同一用户隐私数据进行推理攻击,提高了对用户个人隐私数据的保护性能。
本公开的其他特征和优点将在随后的说明书中阐述,或者,部分特征和优点可以从说明书推知或毫无疑义地确定,或者通过实施本公开的上述技术即可得知。
为使本公开的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本发明具体实施方式或现有技术中的技术方案,下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施方式,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种基于本体的面向隐私保护的访问控制方法流程图;
图2为本发明实施例提供的另一种基于本体的面向隐私保护的访问控制方法流程图;
图3为本发明实施例提供的一种基于本体的面向隐私保护的访问控制装置结构框架图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合附图对本发明的技术方案进行描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
目前访问控制系统对用户隐私数据保护性能差,基于此,本发明实施例提供的一种基于本体的面向隐私保护的访问控制方法及装置,根据累计泄露程度对访问控制系统的访问决策结果进行修订,可以提高了对用户个人隐私数据的保护性能。
为便于对本实施例进行理解,首先对本发明实施例所公开的一种基于本体的面向隐私保护的访问控制方法进行详细介绍。
实施例1
如图1所示,本发明实施例提供的一种基于本体的面向隐私保护的访问控制方法流程图,应用于服务器,该方法包括步骤S101-S104,具体如下:
步骤S101,获取安全词条集、访问词条和历史访问词条,访问词条和历史访问词条对应同一用户。一个数据库中包含多个用户的数据,客户端通过访问控制系统获取用户的数据。用户数据为关于用户个人的数据,用户隐私数据为用户需要保护的个人数据。对用户数据进行分类,每类用户数据用一个词条表示。如词条为“地址”,则“地址”对应该用户的所有地址信息,如该用户的具体的家庭地址信息、工作地址信息等。安全词条代表该用户允许访问的用户数据,即安全词条代表的用户数据对用户隐私数据的泄露程度在用户的容忍度内,由多个安全词条组成一个安全词条集。数据库中的每个用户具有一个安全词条集,由于每个用户的隐私数据不同,且对各自的隐私数据有不同的保护需求,所以每个用户的安全词条集不同。
在一次访问申请中,服务器接收客户端在发出访问申请时所输入的本次访问申请的访问词条和被访问用户身份信息,访问词条代表本次访问的用户数据的类别,被访问用户身份信息可以为被访问用户的用户名等,通过被访问用户身份信息可以提取被访问用户的安全词条集。当对上述访问词条进行预测处理,并计算预测结果为同意访问时,获取被访问用户的安全词条集和客户端针对该被访问用户的历史访问词条。历史访问词条为已经成功访问的访问词条,在每次成功的访问申请后会得到一个历史访问词条,每个历史访问词条对应提出访问申请的客户端和所访问的用户。因此,客户端针对该被访问用户的历史访问词条,为客户端对同一被访问用户的成功的访问申请后生成的历史访问词条,该历史访问词条可以有多个。
步骤S102,从安全词条集中获取访问词条的泄露度,获取历史访问词条的泄露度。安全词条集中的每个安全词条附加有泄露度。泄露度表示词条代表的用户数据对对应的用户隐私数据的泄露程度,泄露度可以为具体数字,设定其值为在0到1之间的小数,泄露度越大代表词条代表的用户数据对用户隐私数据的泄露程度越大。从本次申请的被访问用户的安全词条集中提取访问词条,并获得该访问词条的泄露度。历史访问词条同样附加泄露度,根据获取的针对同一被访问用户的多个历史访问词条,分别获得多个历史访问词条的泄露度。
步骤S103,计算访问词条的泄露度和历史访问词条的泄露度的和,获得用户的累计泄露度。将上述访问词条的泄露度和历史访问词条的泄露度相加求和,得到客户端对被访问用户的累计泄露度。累计泄露度为提出本次申请的客户端对被访问用户的全部访问所获取的数据对该用户隐私数据的泄露程度的数值表示。
步骤S104,判断累计泄露度是否不小于1。当确定本次的访问词条为被访问用户的安全词条时,进一步判断客户端对被访问用户的累计访问对被访问用户隐私数据造成泄露是否超过该用户的容忍度。
步骤S105,如果是,决策结果为拒绝访问;如果累计泄露度不小于1,则表明客户端对被访问用户的累计访问会对被访问用户隐私数据造成的泄露超过该用户的容忍度,则拒绝本次访问申请,输出决策结果为拒绝访问。
步骤S106,如果否,决策结果为同意访问。如果累计泄露度小于1,则表明客户端对被访问用户的累计访问会对被访问用户隐私数据造成的泄露度未超过该用户的容忍度,同意本次访问申请,输出决策结果为同意访问。
本发明实施例提供了一种基于本体的面向隐私保护的访问控制方法,包括:获取安全词条集、访问词条和历史访问词条,访问词条和历史访问词条对应同一用户;从安全词条集中获取访问词条的泄露度,获取历史访问词条的泄露度;计算访问词条的泄露度和历史访问词条的泄露度的和,获得用户的累计溢出;判断累计溢出是否不小于1;如果是,决策结果为拒绝访问;如果否,决策结果为同意访问,避免客户端对同一用户隐私数据进行推理攻击,提高了对用户隐私数据的保护性能
上述实施例步骤S101中的获取安全词条集的步骤,包括重复执行以下处理直至多个用户都被遍历:
获取第i个用户的多个隐私词条和多个泄露阈值,隐私词条和泄露阈值一一对应,其中,1≤i≤n,n为用户的数量。数据库中共包含n个用户的数据,接收第i个用户根据具体个人情况设定的多个隐私词条和多个泄露阈值。隐私词条代表用户隐私数据,对每一个隐私词条设置一个泄露阈值,泄露阈值为具体的数字,设定取值在0到1之间数值,为用户所能接受的其他它词条对隐私词条的泄露度的容忍度的量化数值,因此,隐私词条的泄露度均为1。
根据多个隐私词条、多个泄露阈值和本体生成用户的危险词条集和安全词条集。根据第i个用户的多个隐私词条、多个泄露阈值和本体生成用户的危险词条集和安全词条集。本体是一个拥有庞大节点数量和复杂关系的语义网,该语义网的一个节点包括一个客观词条,即本体包括大量客观词条。
如图2所示,本发明实施例提供的一种基于本体的面向隐私保护的访问控制方法流程图,根据多个隐私词条、多个泄露阈值和本体生成用户的危险词条集和安全词条集的步骤,包括重复执行以下处理直至多个隐私词条都被历遍:
步骤S201,将第j个隐私词条映射到本体,并进行语义推理,获得本体中的多个客观词条的泄露度,其中,1≤j≤m,m为隐私词条的数量。将第j个隐私词条映射到本体中,在本体中查找到第j个隐私词条的映射节点,由该节点出发开始遍历,遍历整个本体,每遍历一个节点,就根据节点之间的不同关系计算出该节点的客观词条对映射节点的第j个隐私词条的泄露度,最终获得本体中全部节点的客观词条对第j个隐私词条的泄露度。
步骤S202,判断客观词条的泄露度是否不小于隐私词条的敏感阈值。设与第j个隐私词条对应的泄露阈值为第j泄露阈值,根据上述遍历过程所获得的客观词条的泄露度与第j泄露阈值的关系,对全部的客观词条进行二分类。
步骤S203,如果是,则客观词条为用户的危险词条。如果客观词条的泄露度不小于第j泄露阈值,则该客观词条对第j个隐私词条的泄露程度超过了客户的容忍度,则该客观词条为用户的危险词条。
步骤S204,如果否,则客观词条为用户的安全词条。如果客观词条的泄露度小于第j泄露阈值,则该客观词条对第j个隐私词条的泄露程度未超过客户的容忍度,则该客观词条为用户的安全词条。
将多个危险词条组成危险词条集,并将多个安全词条组成安全词条集。获取上述全部的危险词条,并组成第j个隐私词条的危险词条集,每个危险词条附加对第j个隐私词条的泄露度;获取上述全部的安全词条组成第j个隐私词条的安全词条集,每个安全词条附加对第j个隐私词条的泄露度。
当用户的m个隐私词条都被历遍,将会获得m个危险词条集和m个安全词条集,将m个危险词条集合并为用户的危险词条集,将m个安全词条集合并为用户的安全词条集。并分别对客户的安全词条集和危险词条集进行筛除处理。筛除处理过程包括筛选客户的安全词条集或危险词条集中的附加不同泄露度的多个相同的安全词条或危险词条,并对上述多个相同的安全词条或危险词的泄露度的大小进行比较,选出泄露度最大的安全词条或危险词,将剩下的安全词条或危险词从客户的安全词条集或危险词条集中删除掉。
获取安全词条集、访问词条和历史访问词条之前的步骤,包括:判断客户端的历史访问文件中是否包括针对同一用户的访问词条,如果是,同意对访问词条的访问;如果否,对访问词条进行预测处理,并获得预测结果。客户端的历史访问文件中包括该客户端对不同用户的全部的历史访问词条,提取客户端的历史访问文件,并在上述历史访问文件中的针对同一用户的多个历史访问词条中查找该访问词条,如果查找到该词条,则不对该访问词条进行预测处理,直接允许本次访问申请;如果不能查找到该词条,则需对该访问词条进行预测处理,并获得预测结果,且预测结果包括同意访问和拒绝访问两种。其中,预测处理过程为:获得该用户的危险词条集,将危险词条集和该访问词条生成访问控制所需要的文件并输入XACML(Extensible Access Control Markup Language,可扩展的访问控制高标识语言)访问控制框架进行预测,并输出预测结果。XACML为基于xml(Extensible MarkupLanguage,可扩展标记语言)的访问控制策略语言,采用xml标签的表示形式。因此,预测结果也是以xml文件形式存储。对访问词条进行预测处理,并获得预测结果之后的步骤,包括:判断预测结果的类型,当预测结果的类型为拒绝访问时,则直接输出预测结果。即当已经确定本次访问申请的访问词条所访问的用户数据对用户隐私数据造成的泄露程度超过该用户的容忍度,则不需要考虑累计访问对用户隐私数据的累计泄露程度。
判断客户端的历史访问文件中是否包括历史访问词条之前的步骤,包括:获取客户端的识别信息,识别信息与客户端一一对应,识别信息可以是客户端名称等。同时识别信息还与客户端的在历史记录文件一一对应,根据客户端的识别信息查找该客户端的历史记录文件。历史记录文件用于存储该客户端的多条历史访问信息,历史访问信息包括历史访问词条、历史访问词条泄露度、被访问用户信息等。在客户端首次提出访问申请时,服务器将会为该客户端建立历史记录文件。
根据识别信息进行历史记录文件处理操作。根据服务器中是否包括与该识别信息对应的客户端的历史记录文件,进行不同的历史记录文件处理操作。根据识别信息进行历史记录文件处理操作的步骤,包括:根据识别信息查找客户端的历史记录文件;如果未查找到历史记录文件,则该客户端为首次提出访问申请,为客户端创建历史记录文件;如果查找到历史记录文件,对历史记录文件进行更新处理。更新处理的步骤包括:获取当前系统时间,根据预设的时间窗,删除超过时间窗的老旧访问信息,本发明实施例中的时间窗为以当前系统时间为起点的时间段。
将输出的预测结果或决策结果反馈给客户端,如果结果为拒绝访问,则可以向客户端发送拒绝访问的指令,以使客户端弹出提醒窗口,提醒用户该次访问被拒绝。如果决策结果为同意访问,则可以提取访问的用户数据并发送给客户端,以使客户端为用户展示本次访问获取的数据。
同时,根据决策结果对历史访问记录文件进行更新处理,步骤包括:当结果为拒绝访问时,保持历史访问记录文件,不进行更新处理;当结果为同意访问时,将访问词条和对应的访问时间导入历史访问记录文件,同时,还需将本次访问的泄露度等信息按照历史纪录文件的格式存入其中。本轮访问控制到此结束,系统可不断实时接收和反馈用户的访问申请。
本发明实施例提供了一种基于本体的面向隐私保护的访问控制方法,包括:获取安全词条集、访问词条和历史访问词条,访问词条和历史访问词条对应同一用户;从安全词条集中获取访问词条的泄露度,获取历史访问词条的泄露度;计算访问词条的泄露度和历史访问词条的泄露度的和,获得用户的累计溢出;判断累计溢出是否不小于1;如果是,决策结果为拒绝访问;如果否,决策结果为同意访问,避免客户端对同一用户隐私数据避免推理攻击,提高了对用户个人隐私数据的保护性能。
实施例2
如图3所示,本发明实施例提供的一种基于本体的面向隐私保护的访问控制装置结构框图,该装置可应用于服务器,该装置包括:
词条获取模块S301,用于获取安全词条集、访问词条和历史访问词条,访问词条和历史访问词条对应同一用户;
泄露度获取模块S302,用于从安全词条集中获取访问词条的泄露度和历史访问词条的泄露度;
累计泄露度计算模块S303,用于计算访问词条的泄露度和历史访问词条的泄露度的和,获得用户的累计泄露度;
决策模块S304,用于判断累计泄露度是否不小于1,当累计泄露度不小于1时,输出决策结果为拒绝访问;当累计泄露度小于1时,输出决策结果为同意访问。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。
所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、磁碟或者光盘等各种可以存储程序代码的介质。
最后应说明的是:以上所述实施例,仅为本发明的具体实施方式,用以说明本发明的技术方案,而非对其限制,本发明的保护范围并不局限于此,尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化,或者对其中部分技术特征进行等同替换;而这些修改、变化或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (7)
1.一种基于本体的面向隐私保护的访问控制方法,其特征在于,包括:
获取安全词条集、访问词条和历史访问词条,所述访问词条和所述历史访问词条对应同一用户;
从所述安全词条集中获取所述访问词条的泄露度,获取历史访问词条的泄露度;
计算所述访问词条的泄露度和所述历史访问词条的泄露度的和,获得所述用户的累计泄露度;
判断所述累计泄露度是否不小于1;
如果是,决策结果为拒绝访问;
如果否,所述决策结果为同意访问;
其中,所述获取安全词条集的步骤,包括重复执行以下处理直至多个所述用户都被遍历:
获取第i个用户的多个隐私词条和多个泄露阈值,所述隐私词条和所述泄露阈值一一对应,其中,1≤i≤n,n为所述用户的数量;
根据多个所述隐私词条、多个所述泄露阈值和本体生成所述用户的危险词条集和所述安全词条集;
其中,所述根据多个所述隐私词条、多个所述泄露阈值和本体生成所述用户的危险词条集和安全词条集的步骤,包括重复执行以下处理直至多个所述隐私词条都被遍历;
将第j个隐私词条映射到本体,并进行语义推理,获得所述本体中的多个客观词条的所述泄露度,其中,1≤j≤m,m为所述隐私词条的数量;
判断所述客观词条的所述泄露度是否不小于所述隐私词条的敏感阈值;
如果是,则所述客观词条为所述用户的危险词条;
如果否,则所述客观词条为所述用户的安全词条;
将多个所述危险词条组成危险词条集,并将多个所述安全词条组成安全词条集;
其中,所述获取安全词条集、访问词条和历史访问词条之前的步骤,包括:
判断客户端的所述历史访问文件中是否包括同一所述用户的所述历史访问词条;
如果是,同意对所述访问词条的访问;
如果否,对所述访问词条进行预测处理,并获得预测结果。
2.根据权利要求1所述的基于本体的面向隐私保护的访问控制方法,其特征在于,所述对所述访问词条进行决策处理,并获得所述决策结果之前的步骤,包括:
判断所述预测结果的类型;
当所述预测结果的类型为所述拒绝访问时,输出所述预测结果。
3.根据权利要求1所述的基于本体的面向隐私保护的访问控制方法,其特征在于,所述判断所述客户端的所述历史访问文件中是否包括所述历史访问词条之前的步骤,包括:
获取客户端的识别信息;
根据所述识别信息进行历史记录文件处理操作。
4.根据权利要求3所述的基于本体的面向隐私保护的访问控制方法,其特征在于,所述根据所述识别信息进行历史记录文件处理操作的步骤,包括:
根据识别信息查找所述客户端的所述历史记录文件;
如果未查找到所述历史记录文件,为所述客户端创建所述历史记录文件;
如果查找到所述历史记录文件,对所述历史记录文件进行更新处理。
5.根据权利要求1所述的基于本体的面向隐私保护的访问控制方法,其特征在于,包括:
将所述决策结果反馈给客户端,并根据所述决策结果对历史访问记录文件进行更新处理。
6.根据权利要求5所述的基于本体的面向隐私保护的访问控制方法,其特征在于,所述根据所述决策结果对历史访问记录文件进行更新处理的步骤,包括:
当所述决策结果或预测结果为所述拒绝访问时,保持所述历史访问记录文件;
当所述决策结果为所述同意访问时,将所述访问词条和对应的访问时间导入所述历史访问记录文件。
7.一种基于本体的面向隐私保护的访问控制装置,其特征在于,包括:
词条获取模块,用于获取安全词条集、访问词条和历史访问词条,所述访问词条和所述历史访问词条对应同一用户;
泄露度获取模块,用于从所述安全词条集中获取所述访问词条的泄露度和历史访问词条的泄露度;
累计泄露度计算模块,用于计算所述访问词条的泄露度和所述历史访问词条的泄露度的和,获得所述用户的累计泄露度;
决策模块,用于判断所述累计泄露度是否不小于1,当所述累计泄露度不小于1时,输出决策结果为拒绝访问;当所述累计泄露度小于1时,输出所述决策结果为同意访问;
其中,所述词条获取模块用于重复执行以下处理直至多个所述用户都被遍历:
获取第i个用户的多个隐私词条和多个泄露阈值,所述隐私词条和所述泄露阈值一一对应,其中,1≤i≤n,n为所述用户的数量;
根据多个所述隐私词条、多个所述泄露阈值和本体生成所述用户的危险词条集和所述安全词条集;
其中,所述词条获取模块用于重复执行以下处理直至多个所述隐私词条都被遍历;
将第j个隐私词条映射到本体,并进行语义推理,获得所述本体中的多个客观词条的所述泄露度,其中,1≤j≤m,m为所述隐私词条的数量;
判断所述客观词条的所述泄露度是否不小于所述隐私词条的敏感阈值;
当所述客观词条的所述泄露度不小于所述隐私词条的敏感阈值时,所述客观词条为所述用户的危险词条;
当所述客观词条的所述泄露度小于所述隐私词条的敏感阈值时,所述客观词条为所述用户的安全词条;
将多个所述危险词条组成危险词条集,并将多个所述安全词条组成安全词条集;
其中,所述装置还包括:
判断模块,用于在获取安全词条集、访问词条和历史访问词条之前,判断客户端的所述历史访问文件中是否包括同一所述用户的所述历史访问词条;
同意访问模块,用于当客户端的所述历史访问文件中包括同一所述用户的所述历史访问词条时,对所述访问词条的访问;
预测处理模块,用于当客户端的所述历史访问文件中不包括同一所述用户的所述历史访问词条时,对所述访问词条进行预测处理,并获得预测结果。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811632555.2A CN109670339B (zh) | 2018-12-28 | 2018-12-28 | 基于本体的面向隐私保护的访问控制方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811632555.2A CN109670339B (zh) | 2018-12-28 | 2018-12-28 | 基于本体的面向隐私保护的访问控制方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109670339A CN109670339A (zh) | 2019-04-23 |
| CN109670339B true CN109670339B (zh) | 2021-02-26 |
Family
ID=66146539
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811632555.2A Active CN109670339B (zh) | 2018-12-28 | 2018-12-28 | 基于本体的面向隐私保护的访问控制方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109670339B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112668055B (zh) * | 2021-01-15 | 2023-11-10 | 北京工业大学 | 一种基于本体推理的隐私信息访问控制方法及系统 |
| CN116956347A (zh) * | 2023-07-28 | 2023-10-27 | 浙江大学 | 一种隐私保护下的可交互微数据发布系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9817892B2 (en) * | 2014-01-31 | 2017-11-14 | Verint Systems Ltd. | Automated removal of private information |
| CN106936765B (zh) * | 2015-12-29 | 2019-11-19 | 国网智能电网研究院 | 一种web业务应用的终端侧用户隐私保护方法 |
| CN106156272A (zh) * | 2016-06-21 | 2016-11-23 | 北京工业大学 | 一种基于多源语义分析的信息检索方法 |
| CN106572111B (zh) * | 2016-11-09 | 2019-06-28 | 南京邮电大学 | 一种面向大数据的隐私信息发布暴露链的发现方法 |
| CN108390865B (zh) * | 2018-01-30 | 2021-03-02 | 南京航空航天大学 | 一种基于隐私驱动的细粒度的访问控制方法 |
-
2018
- 2018-12-28 CN CN201811632555.2A patent/CN109670339B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN109670339A (zh) | 2019-04-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10558797B2 (en) | Methods for identifying compromised credentials and controlling account access | |
| US8881226B2 (en) | Provisioning user permissions using attribute-based access-control policies | |
| CN102567454A (zh) | 实现云计算环境中数据的粒度自主访问控制的方法和系统 | |
| EP2659412B1 (en) | A system and method for using partial evaluation for efficient remote attribute retrieval | |
| CN112328982A (zh) | 数据访问控制方法、装置、设备及存储介质 | |
| CN111625809A (zh) | 数据授权方法及装置、电子设备、存储介质 | |
| US11374889B2 (en) | Unsubscribe and delete automation | |
| US20130227639A1 (en) | Provisioning access control using sddl on the basis of a xacml policy | |
| CN109992986B (zh) | 一种敏感数据的脱敏处理方法及装置 | |
| CN109670339B (zh) | 基于本体的面向隐私保护的访问控制方法及装置 | |
| CN111464487B (zh) | 访问控制方法、装置及系统 | |
| US11196693B2 (en) | Unsubscribe automation | |
| RU2724713C1 (ru) | Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя | |
| JP7054555B2 (ja) | 個人情報保護基盤のクエリ処理サービス提供システム | |
| CN111131166B (zh) | 一种用户行为预判方法及相关设备 | |
| CN116595502A (zh) | 基于智能合约的用户管理方法及相关装置 | |
| CN116527317A (zh) | 访问控制方法、系统及电子设备 | |
| CN115065512B (zh) | 一种账号登录方法、系统、装置、电子设备以及存储介质 | |
| CN111949363A (zh) | 业务访问的管理方法、计算机设备、存储介质及系统 | |
| JP2020017065A (ja) | 車両不正アクセス対策装置、及び車両不正アクセス対策方法 | |
| CN113872959B (zh) | 一种风险资产等级判定和动态降级方法和装置及设备 | |
| CN115022008A (zh) | 一种访问风险评估方法、装置、设备及介质 | |
| CN113590180A (zh) | 一种检测策略生成方法及装置 | |
| CN113674083A (zh) | 互联网金融平台信用风险监测方法、装置及计算机系统 | |
| US20140359780A1 (en) | Anti-cyber attacks control vectors |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20230824 Address after: 430000 Room 2215, Building A4, Wuhan Nanguo Xiongchu Square, Luoshi South Road, Hongshan District, Wuhan City, Hubei Province Patentee after: Bluetooth Network Technology (Hubei) Co.,Ltd. Address before: 101200 room 205-211526, No. 40, Fuqian West Street, Pinggu town, Pinggu District, Beijing (cluster registration) Patentee before: BEIJING YONGBO TECHNOLOGY CO.,LTD. Effective date of registration: 20230824 Address after: 101200 room 205-211526, No. 40, Fuqian West Street, Pinggu town, Pinggu District, Beijing (cluster registration) Patentee after: BEIJING YONGBO TECHNOLOGY CO.,LTD. Address before: 100000 No. 100 Chaoyang District Ping Tian Park, Beijing Patentee before: Beijing University of Technology |
|
| TR01 | Transfer of patent right |