CN117633828A - 一种基于语义支持的数据访问控制方法、设备及介质 - Google Patents
一种基于语义支持的数据访问控制方法、设备及介质 Download PDFInfo
- Publication number
- CN117633828A CN117633828A CN202311492798.1A CN202311492798A CN117633828A CN 117633828 A CN117633828 A CN 117633828A CN 202311492798 A CN202311492798 A CN 202311492798A CN 117633828 A CN117633828 A CN 117633828A
- Authority
- CN
- China
- Prior art keywords
- data
- ontology
- data access
- blockchain network
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 59
- 238000013475 authorization Methods 0.000 claims abstract description 20
- 238000011217 control strategy Methods 0.000 claims abstract description 4
- 238000013507 mapping Methods 0.000 claims description 17
- 238000012795 verification Methods 0.000 claims description 12
- 238000012545 processing Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 6
- 238000006243 chemical reaction Methods 0.000 claims description 3
- 230000008569 process Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 4
- 238000012423 maintenance Methods 0.000 description 4
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本说明书实施例公开了一种基于语义支持的数据访问控制方法、设备及介质,方法包括:数据提供端基于各分布式数据源数据的本体知识,建立数据语义的本体模型,并将本体模型上传至区块链网络;提供所述数据源数据的规则信息,并将分布式数据源地址与所述规则信息写入所述区块链网络的智能合约中;其中,规则信息用于表示分布式数据源数据的访问控制策略;接收数据访问端通过所述区块链网络上传的数据访问请求,并获取所述智能合约中规则信息对所述数据访问请求的授权信息;若确定授权信息为允许访问,则基于所述本体模型的数据访问方式获取与所述数据访问请求相对应的细粒度数据,将所述细粒度数据加密后发送到所述数据访问端。
Description
技术领域
本说明书涉及数据访问控制领域,尤其涉及一种基于语义支持的数据访问控制方法、设备及介质。
背景技术
访问控制是依据预先定义的访问授权策略授予主体访问客体的权限,并对主体使用权限的过程进行控制,从而实现系统资源授权访问的一种保障数据安全重要技术。当前一般访问控制模型的主要工作是解决数据访问的授权问题,阻止非法用户的访问以及合法用户的非法访问行为,保障数据在安全、可控的环境中被授权访问,当前基于属性的访问控制方法因其灵活性和适用性,已广泛应用于开放和分布式系统中。
然而随着系统规模和复杂性的增加,涉及的属性和策略数量也会增加,这就导致在使用基于属性的访问控制进行数据访问控制时其策略管理会变得复杂,系统需要处理大量的属性和规则,增加了策略维护的难度,且缺乏对数据本身语义特征的考虑,导致了访问控制的精确度较低。其次,在使用时,可能会存在不同部门、应用或服务之间对同一数据定义不同的策略,这就导致了访问控制行为的不一致性,从而难以维护策略的一致性。
发明内容
为了解决上述技术问题,本说明书一个或多个实施例提供了一种基于语义支持的数据访问控制方法、设备及介质。
本说明书一个或多个实施例采用下述技术方案:
本说明书一个或多个实施例提供一种基于语义支持的数据访问控制方法,方法包括:
数据提供端基于各分布式数据源数据的本体知识,建立数据语义的本体模型,并将所述本体模型上传至区块链网络;
所述数据提供端提供所述数据源数据的规则信息,并将所述分布式数据源数据地址与所述规则信息写入所述区块链网络的智能合约中;其中,所述规则信息用于表示分布式数据源数据的访问控制策略;
所述数据提供端接收数据访问端通过所述区块链网络上传的数据访问请求,并获取所述智能合约中的规则信息对所述数据访问请求的授权信息;
所述数据提供端若确定授权信息为允许访问,则基于所述本体模型的数据访问方式获取与所述数据访问请求相对应的细粒度数据,将所述细粒度数据加密后发送到所述数据访问端。
可选地,在本说明书一个或多个实施例中,所述数据提供端基于各分布式数据源数据的本体知识,建立数据语义的本体模型,并将所述本体模型上传至区块链网络,具体包括:
获取各分布式数据源数据的本体要素;其中,所述本体要素包括:访问控制概念、访问控制规则和数据源映射规则;
基于各所述分布式数据源数据所对应的应用场景,确定各所述分布式数据源数据的属性与各所述分布式数据源数据之间的关系;
基于预置本体推理方式对所述本体要素、所述属性与所述关系进行推理验证,若验证通过则确定各所述分布式数据源数据的本体知识;其中,所述预置本体推理方式基于区块链网络规则库中的本体推理规则进行定义;
根据预设本体建模语言对所述本体知识进行标准化处理,获得数据语义的本体模型;其中,所述预设本体建模语言包括:网络本体语言OWL、资源描述框架语言RDF;
将所述本体模型上传至所述区块链网络,以实现所述区块链网络内公共知识本体库的更新。
可选地,在本说明书一个或多个实施例中,将所述本体模型上传至区块链网络之前,所述方法还包括:
所述数据提供端向所述区块链网络发送身份验证信息;其中,所述身份验证信息包括:数据提供端标识、数据提供端身份证书;
所述区块链网络基于所述数据提供端身份证书对所述数据提供端进行身份认证,获得认证结果;
所述数据提供端接收所述认证结果,以基于所述认证结果确定是否将所述本体模型上传至所述区块链网络。
可选地,在本说明书一个或多个实施例中,所述数据提供端提供所述数据源数据的规则信息,并将所述分布式数据源数据地址与所述规则信息写入所述区块链网络的智能合约中,具体包括:
数据提供端基于所述本体模型所对应的资源类型,确定所述本体模型的访问权限;
基于所述访问权限,建立所述本体模型所对应的访问条件与访问结果的规则逻辑;
基于预设语义规则语言对所述规则逻辑进行定义,提供所述数据源数据的规则信息,以将所述分布式数据源数据地址与对应的规则信息写入所述区块链网络的智能合约中;其中,所述预设语义规则语言为SWRL。
可选地,在本说明书一个或多个实施例中,所述数据提供端接收数据访问端通过所述区块链网络上传的数据访问请求之前,所述方法还包括:
所述数据访问端向所述区块链网络发送身份验证信息;其中,所述身份验证信息包括:数据访问端标识、数据访问端身份证书;
所述区块链网络基于所述数据访问端身份证书对所述数据访问端进行身份认证,获得认证结果;
若确定认证通过,则所述区块链网络将所述数据访问端上传的数据访问请求发送给所述数据提供端。
可选地,在本说明书一个或多个实施例中,获取所述智能合约中的规则信息对所述数据访问请求的授权信息,具体包括:
所述区块链网络获取数据访问请求中的属性信息;其中,所述属性信息包括:所述数据访问端的身份信息、请求资源信息、时间戳信息;
所述区块链网络遍历所述公共知识本体库中的规则信息,获取与所述属性信息相匹配的规则信息;
所述区块链网络判断所述属性信息是否满足所述相匹配的规则信息内的访问条件,以将所述数据访问请求的授权信息返回所述数据提供端。
可选地,在本说明书一个或多个实施例中,基于所述本体模型的数据访问方式获取与所述数据访问请求相对应的细粒度数据之前,所述方法还包括:
基于所述本体模型,对各所述分布式数据源数据进行数据结构转换,获得标准分布式数据源数据;
根据所述本体模型确定所述标准分布式数据源数据的邻域概念与概念间关系,以基于所述邻域概念与概念间关系确定所述标准分布式数据源的映射规则;
基于所述映射规则对所述标准分布式数据源与所述标准分布式数据源的本体知识进行映射,以将各所述分布式数据源数据进行整合,获得虚拟知识图谱。
可选地,在本说明书一个或多个实施例中,基于所述本体模型的数据访问方式获取与所述数据访问请求相对应的细粒度数据,将所述细粒度数据加密后发送到所述数据访问端,具体包括:
基于预置查询语言生成与所述数据访问请求相对应的查询指令;
调用所述虚拟知识图谱的查询接口,以将所述查询指令基于所述查询接口发送到所述虚拟知识图谱,根据所述虚拟知识图谱的映射获取与所述数据访问请求相对应的数据,汇总生成细粒度数据;
对所述细粒度数据基于预设加密方式进行加密,以基于所述区块链网络将加密后的细粒度数据传输到所述数据访问端。
本说明书一个或多个实施例提供一种基于语义支持的数据访问控制设备,设备包括:用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该设备执行执行上述任一所述的方法。
本说明书一个或多个实施例提供的一种非易失性计算机存储介质,存储有计算机可执行指令,所述计算机可执行指令设置为:能够执行上述任一所述的方法。
本说明书实施例采用的上述至少一个技术方案能够达到以下有益效果:
基于各个分布式数据源中各数据的本体知识建立起数据语义的本体模型,实现了基于本体的方式定义访问规则,避免了传统访问方法中的模糊性问题使得呼叫访问过程更加可靠和准确。将建立获得的本体模型上传到区块链中,从而根据数据源数据的规则信息定义智能合约并上链,方便了对于策略的管理和维护,且是的访问控制策略更加灵活和可扩展。基于本体模型所对应的数据访问方式实现了基于语义支持的细粒度数据查询,达到了对于不同数据源中数据进行统一访问的过程。且基于区块链的分布式查询过程实现了对于大规模的数据集合和访问请求的高效处理。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。在附图中:
图1为本说明书实施例提供的一种基于语义支持的数据访问控制方法流程示意图;
图2为本说明书实施例提供的一种本体知识的更新流程示意图;
图3为本说明书实施例提供的一种基于语义支持的数据访问控制设备的内部结构示意图;
图4为本说明书实施例提供的一种非易失性存储介质的内部结构示意图。
具体实施方式
本说明书实施例提供一种基于语义支持的数据访问控制方法、设备及介质。
为了使本技术领域的人员更好地理解本说明书中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本说明书一部分实施例,而不是全部的实施例。基于本说明书实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都应当属于本说明书保护的范围。
如图1所示,本说明书一个或多个实施例中提供了一种基于语义支持的数据访问控制方法,方法具体包括以下步骤:
S101:数据提供端基于各分布式数据源数据的本体知识,建立数据语义的本体模型,并将所述本体模型上传至区块链网络。
为了便于支撑语义推理,实现基于语义支持的数据访问控制提高访问控制的准确性与可靠性,避免传统访问控制中可能存在的歧义和模糊性问题,本说明书实施例中的数据提供端,也就是数据拥有端会基于各个分布式数据源数据的本体知识建立起数据语义的本体模型,并将建立获得的本体模型上传到区块链中,以便于后续可以基于区块链上的本体模型实现分布式处理大规模数据集合和访问请求的目的,通过将本体模型上链充分利用了区块链的分布式优点,提高了数据访问控制的可扩展性与可靠性。
具体地,在本说明书一个或多个实施例中,数据提供端基于各分布式数据源数据的本体知识,建立数据语义的本体模型,并将本体模型上传至区块链网络,具体包括以下过程:
首先获取各分布式数据源数据的本体要素;其中,需要说明的是本体要素包括:访问控制概念、访问控制规则和数据源映射规则。然后根据各个分布式数据源数据所对应的应用场景,确定出各分布式数据源数据的属性与各分布式数据源数据之间的关系。然后根据预先设置的本体推理方式对本体要素、属性与所述关系进行推理验证,如果验证通过,那么能够确定分布式数据源数据的本体知识。其中,需要说明的是预置本体推理方式基于区块链网络规则库中的本体推理规则进行定义。在获得本体知识之后,根据预设本体建模语言对本体知识进行标准化处理,获得数据语义的本体模型;其中,需要说明的是预设本体建模语言包括:网络本体语言(Web Ontology Language,简称OWL)、资源描述框架语言(Resource Description Framework,简称RDF)。然后通过将本体模型上传至区块链网络中,可以实现区块链网络内公共知识本体库的更新。此外,还需要说明的是,本体知识的构建是一个迭代的过程,实际应用中需要根据实际情况进行多次修改和完善,且本体模型的构建过程中可以借助于本体编辑工具例如Protégé工具等,来辅助本体的创建和管理。
其中,需要说明的是本体是一种形式化的知识表示方法,通过定义实体、属性和关系,可以描述数据的语义信息和访问策略的含义。在本申请实施例中,首先利用本体知识对数据语义进行建模,从而将数据的结构、属性和关系定义为本体的概念、属性和关系,这样可以更准确地表达数据的含义和语义关系。同时,将访问权限和策略也表示为本体的概念和属性,包括用户角色、访问条件和操作权限等,方便了进行数据请求时利用请求的上下文信息与本体模型中定义的数据和权项进行比对和推理,实现精准的访问控制。即如图2所示在本说明书某应用场景中,数据提供端获取的各分布式数据源数据的本体知识通过以下过程获得:首先确定本体要素,也就是明确本体的要素和范围确定需要表示和描述的访问控制概念、访问控制规则和数据源映射规则。然后定义其属性和规则,也就是根据实际应用场景,对每个实体定义属性和关系。其中可以理解的是:实体是指与访问控制相关的主体、资源等。属性描述了实体的特征、属性或状态,其中包括对象属性和数据属性。对象属性描述实体之间的关系,它们通常用于表示实体之间的复杂关系,如层次关系、关联关系、组合关系等,例如,“父母”是一个对象属性,将一个人实体与其父母实体关联起来。数据属性描述实体的特征或属性值,通常用于表示实体的某种特定属性或特征。数据属性的值可以是具体的数据类型,如字符串、数值、日期等。例如,定义用户的属性如用户名、所属部门、角色等;资源的属性如名称、类型等。同时,定义属性与实体之间的关系,如用户拥有的属性、资源具有的属性等,关系可以是一对一、一对多或多对多的关联关系。
进一步地,为了保证数据访问的可靠性与安全性,在本说明书一个或多个实施例中,将本体模型上传至区块链网络之前,方法还包括:
数据提供端向区块链网络发送身份验证信息;其中,需要说明的是身份验证信息包括:数据提供端标识、数据提供端身份证书。然后区块链网络根据身份信息中的数据提供端身份证书对数据提供端进行身份认证,获得认证结果。然后数据提供端接收该认证结果,以基于认证结果确定是否能够将本体模型上传至区块链网络,实现后续基于区块链的分布式自动访问过程。
S102:所述数据提供端提供所述数据源数据的规则信息,并将所述分布式数据源数据地址与所述规则信息写入所述区块链网络的智能合约中;其中,所述规则信息用于表示分布式数据源数据的访问控制策略。
由于现有的访问控制大多数是集中式的,使得数据提供端在处理大规模的数据集合和访问请求时难以进行扩展,处理效率较低,而传统的分布式环境则会由于基于属性的访问控制方法中,随着系统规模和复杂性的增加,涉及的属性和策略数量也会增加,这就导致了策略管理变得复杂,系统需要处理大量的属性和规则,增加了策略维护的难度。其次,在使用时,可能会存在不同部门、应用或服务之间对同一数据定义不同的策略,这就导致了访问控制行为的不一致性。也就是说在大规模的数据集合和访问请求中,由于数据分布在不同的数据源或者服务中它们之间存在不同的数据定义和访问策略,缺乏统一的标准,使得策略管理和维护过程较为困难。因此为了便于管理访问控制策略,本说明书实施例中的数据提供端提供了数据源数据的规则语言,从而将分布式数据源数据地址和规则信息写入到区块链网络的智能合约中。其中,需要说明的是规则信息用于表示分布式数据源中各个数据的访问控制策略。
具体地,在本说明书一个或多个实施例中,数据提供端提供各数据源数据的规则信息,并将分布式数据源数据地址与规则信息写入到区块链网络的智能合约中,具体包括以下过程:
首先数据提供端基于本体模型所对应的资源类型,确定出本体模型的访问权限。也就是说首先需要确定数据提供端中的哪些资源数据需要进行保护,以及各个资源类型的权限类型和操作类型。例如,资源A可能需要管理员级别的访问权限,而资源B可能需要普通用户级别的访问权限。然后根据确定出的访问权限,建立本体模型所对应的访问条件与访问结果的规则逻辑。然后基于预设语义规则语言对规则逻辑进行定义,提供数据源数据的规则信息,以将分布式数据源数据地址与对应的规则信息写入到区块链网络的智能合约中。其中,需要说明的是预设语义规则语言为SWRL,SWRL规则由一个前提(Antecedent)和一个结论(Consequent)组成,通过逻辑关系来描述访问条件和访问结果。在SWRL规则的前提部分定义访问请求的条件,这可以包括用户身份、角色、属性等,以及其他上下文信息。例如,前提条件可以是特定用户属于某个特定角色,或者请求的时间满足特定范围。在SWRL规则的结论部分定义访问请求的结果,结果可以是授权访问或拒绝访问,以及其他相关的操作或提示。例如,结论部分可以是授予访问权限或拒绝访问权限的结果。
S103:所述数据提供端接收数据访问端通过所述区块链网络上传的数据访问请求,并获取所述智能合约中的规则信息对所述数据访问请求的授权信息。
基于上述步骤S102将数据访问策略与数据相关信息写入到智能合约并部署到区块链之后,本说明书实时中的数据提供端即可接收数据访问端根据区块链网络上传的数据访问请求,并且获取到智能合约中的规则语言中对数据访问请求的授权信息实现分布式的自动访问决策。
进一步地,为了保证数据访问端的身份合法性,提高数据访问的可靠性与安全性。在本说明书一个或多个实施例中,数据提供端接收数据访问端通过区块链网络上传的数据访问请求之前,方法还包括以下过程来实现对于数据访问端的身份验证:
首先,数据访问端向所述区块链网络发送身份验证信息;其中,需要说明的是身份验证信息包括:数据访问端标识、数据访问端身份证书。然后区块链网络基于数据访问端身份证书对数据访问端进行身份认证,获得数据访问端的身份认证结果。如果若确定数据访问端认证通过,那么区块链网络可以将数据访问端上传的数据访问请求发送给所述数据提供端。
具体地,在本说明书一个或多个实施例中,获取智能合约中的规则语言对数据访问请求的授权信息,具体包括:区块链网络获取数据访问请求中的属性信息。其中,需要说明的是属性信息包括:所述数据访问端的身份信息、请求资源信息、时间戳信息。然后区块链网络遍历公共知识本体库中的规则信息,获取与属性信息相匹配的规则信息。然后区块链网络判断该属性信息是否满足所述相匹配的规则信息内的访问条件,以将数据访问请求的授权信息返回给数据提供端。
也就是说,在本说明书某应用场景下区块链利用智能合约对数据访问端的数据访问请求进行授权,根据存储在智能合约里规则库中的知识,对数据访问端的数据访问请求中的属性信息进行规则匹配,访问请求中的属性信息可能包括请求的数据访问端的身份信息、请求资源信息、时间戳信息等,这些属性信息用于后续的访问权限的判定。根据访问请求中的属性信息,利用推理引擎对其进行分析和处理。利用推理引擎进行处理时,首先推理引擎会加载上述步骤S101中定义好的本体知识,然后,当有访问请求时,推理引擎会自动遍历规则库中的规则文件,寻找与当前访问请求匹配的规则。推理引擎会根据规则的前提条件检查访问请求的属性信息是否满足规则的前提条件,并从而返回授权信息。授权信息包括允许访问权限和拒绝访问权限,并将授权信息存储在区块链中。
S104:所述数据提供端若确定授权信息为允许访问,则基于所述本体模型的数据访问方式获取与所述数据访问请求相对应的细粒度数据,将所述细粒度数据加密后发送到所述数据访问端。
基于上述步骤S103进行授权信息的判断后,如果数据提供端确定区块链网络判断的授权信息为允许访问,那么数据提供端即可根据上述步骤S101中在区块链网络中定义的本体模型所对应的数据访问方式,获取到和数据访问请求相对应的细粒度数据,进而将获取到的细粒度数据进行加密后,发送到数据访问端实现分布式的自动访问过程。
进一步地,为了对数据进行更精细的划分和分类,以提供更具体和详尽的信息,实现对于数据的细粒度管理。在本说明书一个或多个实施例中,基于本体模型的数据访问方式获取与数据访问请求相对应的细粒度数据之前,方法还包括以下过程:
首先,基于本体模型对各分布式数据源数据进行数据结构转换,获得标准分布式数据源数据,从而实现数据的一致性。然后根据本体模型确定标准分布式数据源数据的邻域概念与概念间关系,以基于邻域概念与概念间关系确定标准分布式数据源的映射规则。基于映射规则对标准分布式数据源与标准分布式数据源的本体知识进行映射,以将各分布式数据源数据进行整合,获得虚拟知识图谱。上述分布式数据源的整合过程中利用了基于本体的数据访问OBDA技术,将分布式数据源中的数据整合到一个虚拟知识图谱中,实现查询和访问的统一性,使用户可以使用相同的查询语言和查询接口对整个虚拟知识图谱进行查询和分析,这简化了对分布式数据源的访问和操作。其中,需要说明的是:OBDA包括三个部分:本体、数据源与映射。与传统的信息管理系统相比,OBDA为用户提供的,不再仅是简单的数据结构,而是富含语义的描述,通过本体表达出数据源涉及的邻域概念与概念间关系,并为需要管理的信息提供了统一的概念性视图。
具体地,在本说明书一个或多个实施例中,基于本体模型的数据访问方式获取与数据访问请求相对应的细粒度数据,将细粒度数据加密后发送到数据访问端,具体包括:
首先根据预置查询语言SPARQL生成与数据访问请求相对应的查询指令。然后调用虚拟知识图谱的查询接口,以将查询指令基于查询接口发送到虚拟知识图谱,根据虚拟知识图谱的映射获取与数据访问请求相对应的数据,汇总生成细粒度数据。其中,需要说明的是:SPARQL是一种用于查询RDF数据的查询语言,通过使用SPARQL查询语言,可以直接向虚拟知识图谱发送查询,以获取满足特定条件的数据。SPARQL查询可以包括模式匹配、属性过滤、关系查询等操作,以实现细粒度的数据查询和分析。再获得细粒度数据后,为了提高数据传输的安全性,本说明书实施例中数据提供端对查询获取到的细粒度数据基于预设加密方式进行加密,以基于区块链网络将加密后的细粒度数据传输到所述数据访问端。
如图3所示,在本说明书实施例中提供了一种基于语义支持的数据访问控制设备的内部结构示意图,由图3可知,设备包括:用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该设备执行上述任一所述的方法。
如图4所示,本说明书实施例中提供了一种非易失性存储介质的内部结构示意图,由图4可知,本说明书一个或多个书实施例中,一种非易失性存储介质,存储有计算机可执行指令401,所述计算机可执行指令401能够:执行上述任一所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、设备、非易失性计算机存储介质实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
以上所述仅为本说明书的一个或多个实施例而已,并不用于限制本说明书。对于本领域技术人员来说,本说明书的一个或多个实施例可以有各种更改和变化。凡在本说明书的一个或多个实施例的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本说明书的权利要求范围之内。
Claims (10)
1.一种基于语义支持的数据访问控制方法,其特征在于,所述方法包括:
数据提供端基于各分布式数据源数据的本体知识,建立数据语义的本体模型,并将所述本体模型上传至区块链网络;
所述数据提供端提供所述数据源数据的规则信息,并将所述分布式数据源数据地址与所述规则信息写入所述区块链网络的智能合约中;其中,所述规则信息用于表示分布式数据源数据的访问控制策略;
所述数据提供端接收数据访问端通过所述区块链网络上传的数据访问请求,并获取所述智能合约中的规则信息对所述数据访问请求的授权信息;
所述数据提供端若确定授权信息为允许访问,则基于所述本体模型的数据访问方式获取与所述数据访问请求相对应的细粒度数据,将所述细粒度数据加密后发送到所述数据访问端。
2.根据权利要求1所述的一种基于语义支持的数据访问控制方法,其特征在于,所述数据提供端基于各分布式数据源数据的本体知识,建立数据语义的本体模型,并将所述本体模型上传至区块链网络,具体包括:
获取各分布式数据源数据的本体要素;其中,所述本体要素包括:访问控制概念、访问控制规则和数据源映射规则;
基于各所述分布式数据源数据所对应的应用场景,确定各所述分布式数据源数据的属性与各所述分布式数据源数据之间的关系;
基于预置本体推理方式对所述本体要素、所述属性与所述关系进行推理验证,若验证通过则确定各所述分布式数据源数据的本体知识;其中,所述预置本体推理方式基于区块链网络规则库中的本体推理规则进行定义;
根据预设本体建模语言对所述本体知识进行标准化处理,获得数据语义的本体模型;其中,所述预设本体建模语言包括:网络本体语言OWL、资源描述框架语言RDF;
将所述本体模型上传至所述区块链网络,以实现所述区块链网络内公共知识本体库的更新。
3.根据权利要求1所述的一种基于语义支持的数据访问控制方法,其特征在于,将所述本体模型上传至区块链网络之前,所述方法还包括:
所述数据提供端向所述区块链网络发送身份验证信息;其中,所述身份验证信息包括:数据提供端标识、数据提供端身份证书;
所述区块链网络基于所述数据提供端身份证书对所述数据提供端进行身份认证,获得认证结果;
所述数据提供端接收所述认证结果,以基于所述认证结果确定是否将所述本体模型上传至所述区块链网络。
4.根据权利要求1所述的一种基于语义支持的数据访问控制方法,其特征在于,所述数据提供端提供所述数据源数据的规则信息,并将所述分布式数据源数据地址与所述规则信息写入所述区块链网络的智能合约中,具体包括:
数据提供端基于所述本体模型所对应的资源类型,确定所述本体模型的访问权限;
基于所述访问权限,建立所述本体模型所对应的访问条件与访问结果的规则逻辑;
基于预设语义规则语言对所述规则逻辑进行定义,提供所述数据源数据的规则信息,以将所述分布式数据源数据地址与对应的规则信息写入所述区块链网络的智能合约中;其中,所述预设语义规则语言为SWRL。
5.根据权利要求1所述的一种基于语义支持的数据访问控制方法,其特征在于,所述数据提供端接收数据访问端通过所述区块链网络上传的数据访问请求之前,所述方法还包括:
所述数据访问端向所述区块链网络发送身份验证信息;其中,所述身份验证信息包括:数据访问端标识、数据访问端身份证书;
所述区块链网络基于所述数据访问端身份证书对所述数据访问端进行身份认证,获得认证结果;
若确定认证通过,则所述区块链网络将所述数据访问端上传的数据访问请求发送给所述数据提供端。
6.根据权利要求2所述的一种基于语义支持的数据访问控制方法,其特征在于,获取所述智能合约中的规则语言对所述数据访问请求的授权信息,具体包括:
所述区块链网络获取数据访问请求中的属性信息;其中,所述属性信息包括:所述数据访问端的身份信息、请求资源信息、时间戳信息;
所述区块链网络遍历所述公共知识本体库中的规则信息,获取与所述属性信息相匹配的规则信息;
所述区块链网络判断所述属性信息是否满足所述相匹配的规则信息内的访问条件,以将所述数据访问请求的授权信息返回所述数据提供端。
7.根据权利要求1所述的一种基于语义支持的数据访问控制方法,其特征在于,基于所述本体模型的数据访问方式获取与所述数据访问请求相对应的细粒度数据之前,所述方法还包括:
基于所述本体模型,对各所述分布式数据源数据进行数据结构转换,获得标准分布式数据源数据;
根据所述本体模型确定所述标准分布式数据源数据的邻域概念与概念间关系,以基于所述邻域概念与概念间关系确定所述标准分布式数据源的映射规则;
基于所述映射规则对所述标准分布式数据源与所述标准分布式数据源的本体知识进行映射,以将各所述分布式数据源数据进行整合,获得虚拟知识图谱。
8.根据权利要求7所述的一种基于语义支持的数据访问控制方法,其特征在于,基于所述本体模型的数据访问方式获取与所述数据访问请求相对应的细粒度数据,将所述细粒度数据加密后发送到所述数据访问端,具体包括:
基于预置查询语言生成与所述数据访问请求相对应的查询指令;
调用所述虚拟知识图谱的查询接口,以将所述查询指令基于所述查询接口发送到所述虚拟知识图谱,根据所述虚拟知识图谱的映射获取与所述数据访问请求相对应的数据,汇总生成细粒度数据;
对所述细粒度数据基于预设加密方式进行加密,以基于所述区块链网络将加密后的细粒度数据传输到所述数据访问端。
9.一种基于语义支持的数据访问控制设备,其特征在于,所述设备包括:
用于存储计算机程序指令的存储器和用于执行程序指令的处理器,其中,当该计算机程序指令被该处理器执行时,触发该设备执行执行上述权利要求1-8任一所述的方法。
10.一种非易失性存储介质,存储有计算机可执行指令,其特征在于,所述计算机可执行指令能够:执行上述权利要求1-8任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311492798.1A CN117633828A (zh) | 2023-11-09 | 2023-11-09 | 一种基于语义支持的数据访问控制方法、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311492798.1A CN117633828A (zh) | 2023-11-09 | 2023-11-09 | 一种基于语义支持的数据访问控制方法、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117633828A true CN117633828A (zh) | 2024-03-01 |
Family
ID=90036815
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311492798.1A Pending CN117633828A (zh) | 2023-11-09 | 2023-11-09 | 一种基于语义支持的数据访问控制方法、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117633828A (zh) |
-
2023
- 2023-11-09 CN CN202311492798.1A patent/CN117633828A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10367821B2 (en) | Data driven role based security | |
US9411977B2 (en) | System and method for enforcing role membership removal requirements | |
US9864868B2 (en) | Method and apparatus for process enforced configuration management | |
US8341405B2 (en) | Access management in an off-premise environment | |
JP5690935B2 (ja) | セキュアなエージェント情報のためのシステム及び方法 | |
US8474027B2 (en) | Remote management of resource license | |
US8607311B2 (en) | Delegation in logic-based access control | |
WO2011162750A1 (en) | Authorization control | |
Sicari et al. | Security&privacy issues and challenges in NoSQL databases | |
US20230195877A1 (en) | Project-based permission system | |
US8010560B2 (en) | Abducing assertion to support access query | |
WO2016026320A1 (zh) | 访问控制方法及装置 | |
Solanki et al. | Multi-tenant access and information flow control for SaaS | |
US20240007458A1 (en) | Computer user credentialing and verification system | |
US20180211056A1 (en) | Systems and methods for scope-based access | |
Diez et al. | Modeling xacml security policies using graph databases | |
CN117633828A (zh) | 一种基于语义支持的数据访问控制方法、设备及介质 | |
Esposito et al. | Interoperable access control by means of a semantic approach | |
Ali et al. | A provenance-aware policy language (cprovl) and a data traceability model (cprov) for the cloud | |
CN113780789A (zh) | 一种统一数据访问服务型的细粒度权限控制方法及系统 | |
Gao et al. | A novel cp-abe based sidechain protocol for distributed power system data storage management with the blockchain | |
Pejaś | Certificate-based access control policies description language | |
Wang et al. | A New Intelligent Authorization Agent Model in Grid | |
CN117938511A (zh) | 基于零信任的属性访问控制动态权限管理方法及系统 | |
Morovat | Designing Secure Access Control Model in Cyber Social Networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |