[发明专利]用于安全代理信息的系统和方法

说明书

技术领域

本公开涉及用于共享语义数据的系统和方法，以及更具体地涉及用于将基于语义的安全谓词应用到共享的结构化和非结构化数据的系统和方法。

附图说明

另外方面和优势从参考附图进行的下面优选实施例的详细描述将是显而易见的，在附图中：

图1是用于在语义上使语义信息安全并共享的系统的一个实施例的框图；

图2是用于共享语义上安全的信息的方法的一个实施例的流程图；

图3是用于协商共享语义上安全的信息的方法的一个实施例的流程图；以及

图4是用于请求语义上安全的信息的方法的一个实施例的流程图。

具体实施方式

存在通过数据通信网络可用的越来越多的数据。该数据可以受一个或多个实体控制。为了控制对数据的访问，实体可以将数据存储在数据存储系统（例如，数据库存储系统、目录系统等）中，该数据存储系统仅在受控网络环境中，诸如在受实体控制的局域网（LAN）内和/或在实体的虚拟/专用局域网（VLAN）内可访问。在实体使数据在更广泛可访问的网络（例如，因特网）上可用的情况下，对数据的访问可以受实体的安全系统和/或访问控制规则，诸如基于角色的访问控制（RBAC）、自主访问控制（DAC）等控制。

实体可能希望与其他实体共享信息。然而，在实体之间的数据共享可能成问题，因为可能使用特定于实体的安全和访问控制规则使对数据的访问安全。在安全系统之间的转换可能是复杂的手动过程，其可能是费时且成问题的。此外，转换可能导致数据安全问题，因为接收实体可能选择忽视发送实体的安全指示。

另外，实体共享的数据可能被语义地表达。数据的语义表达可以允许其（例如，由专家系统、代理等）被自治地处理，这可以显著增加数据的价值，并且允许复杂的数据挖掘、数据分析和其他应用。资源描述框架（RDF）提供机器可理解的描述数据，包括资源、资源特性和关系。语义数据格式的其他示例包括：Web本体语言（OWL）、OWL2、资源描述格式模式（RDFS）等。

如在此所使用的，本体和/或语义数据可以是指涉及词语的含义（例如，概念）和在概念之间的关系两者的有组织的知识集合。在本公开的一些实施例中，语义数据（例如，本体数据）可以包括通过一个或多个边互连的多个顶点（例如，节点）。在本体图内的顶点可以是在本体内的概念，以及使顶点互连的边可以表示在本体内的相关概念之间的关系。

传统安全和/或访问控制系统在恰当控制对语义数据的访问时可能是无效的。例如，许多语义数据格式（例如，RDF）可以允许同一“语句”（例如，资源、特性和/或值）使用许多不同句法以许多不同方式被表达。传统安全系统可能不能将访问控制规则应用到数据的所有可能排列和/或表达格式。此外，手动应用这样的规则将快速变得站不住脚。

另外，可以使用语义数据来推断和/或带来其他相关语义数据。安全和/或访问控制系统必须将一致访问控制规则应用到推断和/或带来的信息（例如，防止受保护的数据从不那么受保护的数据被“推断”和/或“带来”）。

此外，在实体之间与安全策略有关的协商可以是简化乃至自动化的。简化在实体之间的安全协商过程可以允许在大量实体之间进行数据共享，其进而可以显著增加实体所控制的数据的价值。

在此公开的一些实施例中，对语义数据（例如，RDF内容）的访问可以受安全资源描述框架（SRDF）控制。RDF语义数据可以包括三元组，其被组织成包括资源、特性、引用、文字和变量的命名的、有向图结构。RDF语句是调整三元组的资源，包括三个特性：RDF主体、客体和谓词。SRDF可以通过使用RDF模式将安全谓词应用到RDF语句来操作。

RDF模式可以包括三元组，其中每一个组分是数据常量或变量。模式映射可以是在第一RDF模式PT₁和第二RDF模式PT₂之间的映射，使得对于映射V，V：PT₁→PT₂。SRDF安全策略可以包括一组对SP={sp₁,...，sp_n}，使得每一个安全策略包括相应安全标签和对应模式。可以将安全标签（例如，安全谓词）应用到匹配该模式的RDF语句。安全谓词可以控制对RDF语句的访问、将安全分类分配给（例如，安全策略模式所对应的）新生成的语句、以及检查（下述）未授权的推断。

SRDF安全覆盖可以是所有RDF安全策略映射集。安全覆盖可以进一步包括描述（例如在多个模式匹配特定RDF语句的情况下）如何管理安全标签冲突的规则。