[发明专利]基于用户和资源的语义关系推理的访问控制方法及装置

权利要求书

1.基于用户和资源的语义关系推理的访问控制方法，其特征在于，包括：

步骤S1：建立基于语义信息的用户模型和资源模型；

步骤S2：构建面向用户模型和资源模型的基础本体；

步骤S3：基于基础本体定义一组与访问控制对应的语义规则及推理规则；

步骤S4：根据所述语义规则和推理规则，设计判定算法；

步骤S5：根据所述判定算法确定用户对资源的访问控制权限。

2.如权利要求1所述的方法，其特征在于，步骤S1具体包括：

步骤S1.1：构建用户模型，其中，用户模型包括访问主体及各个访问主体之间的关系，访问主体包括用户、用户组、角色、部门，建立各访问主体的实体，构建各实体之间的关系；

步骤S1.2：构建资源模型，其中，资源模型包括访问客体及各个访问客体之间的关系，具体包括资源和资源关系，建立各资源的实体，并构建资源之间的关系。

3.如权利要求2所述的方法，其特征在于，步骤S2具体包括：

步骤S2.1：将基础本体定义为一个四元组(C,I,R^C,RULE)，其中，C表示用户模型和资源模型中所有概念的集合，I表示C中概念个体的集合，R^C表示两个概念之间的关系的集合，RULE表示基础本体中的推理规则；

步骤S2.2：定义概念集C：

C＝{User,UserGroup,Role,Department,Resource}，包括基础本体概念集中的所有元素，其中，User表示用户，UserGroup表示用户组，Role表示角色，Department表示部门，Resource表示资源；

步骤S2.3:定义概念之间的关系集R：

<概念关系>([<本体概念>|<个体>],[<本体概念>|<个体>])。

4.如权利要求3所述的方法，其特征在于，步骤S3具体包括：

步骤S3.1定义关系集R，其中，关系集用以表征概念间的语义规则，R＝{hasRole,hasDepart,hasGroup,belongTo,userRelat,departRelat,resourceRelat,canAccess}，关系集中的关系的含义为：hasRole表示用户和角色之间的所属关系，hasDepart表示用户和部门之间的所属关系，hasGourp表示用户和用户组之间的所属关系，canAccess表示主体和资源之间的访问权限关系，belongTo表示部门和资源之间的所属关系，superiorOf表示用户之间的上下级关系，cooperateWith表示部门之间的合作关系，hasPart表示资源之间的包含关系；

步骤S3.2：基于本体中的实例和属性，定义推理规则。

5.如权利要求1所述的方法，其特征在于，步骤S4具体包括：

步骤S4.1：设置判定算法相关的基本操作；

步骤S4.2：根据语义规则、推理规则以及基本操作，设置判定算法，其中判定算法包括：用以判定某一用户可以访问哪些资源的第一算法、用以判定某一资源可以被哪些用户所访问的第二算法以及用以判定某一个用户对某个资源是否具有访问权限的第三算法。

6.如权利要求5所述的方法，其特征在于，步骤S4.1中的基本操作包括：根据用户获取角色集GetRoleByUser(u)、获取用户组GetGroups(u)、根据用户获取部门集GetDepartByUser(u)、获取资源集GetResources(o)、根据部门获取资源集GetResourceByDepart(d)、根据资源获取部门集GetDepartByResource(re)、根据资源获取角色集GetRoleByResource(re)、根据资源获取用户组GetGroupByResource(re)、根据角色获取用户集GetUserByRole(r)、根据部门获取用户集GetUserByDepart(d)、根据用户组获取用户集GetUserByGroup(ug)以及根据资源获取用户集GetUserByResource(re)。