[发明专利]基于用户和资源的语义关系推理的访问控制方法及装置

说明书

本发明公开了一种基于用户和资源的语义关系推理的访问控制方法及装置，其中的方法首先提出基于语义信息的用户模型和资源模型，然后构建面向用户模型和资源模型的基础本体，并定义一组与访问控制相关的语义规则及推理规则，再设计基于语义推理过程的判定算法，最后基于判定算法进行用户访问控制。本发明的访问控制方法是分析接收到的访问请求，根据语义规则从显示的本体知识中获取相关联的用户信息，并调用判定算法得出用户与资源间的访问权限关系。本发明实现了并将访问权限作为用户和资源间的关系，而不是实体，简化对角色、权限及角色权限分配的管理，实现了动态授权以及简化授权管理的技术效果。

技术领域

本发明涉及访问控制技术领域，具体涉及一种基于用户和资源的语义关系推理的访问控制方法及装置。

背景技术

访问控制技术是保证信息资源不被非法访问的重要技术之一，该技术通过对用户访问资源的活动进行有效监控，使合法的用户获得有效的资源访问权限，并防止非法用户访问系统资源，从而保证系统资源的正确使用。早期访问控制模型有自主访问控制模型(DAC，Discretionary Access Control)和强制访问控制模型(MAC，Mandatory AccessControl)。DAC、MAC是为了解决大型主机中数据的访问权限管理问题，不能满足实际应用软件对其它资源的访问控制需求。因此，出现了基于角色的访问控制(RBAC，Role-BasedAccess Control)模型。

在RBAC模型中，管理员根据组织中的工作职能来创建角色，并给角色分配权限，然后将角色指派给用户，用户通过指派的角色获得相应的权限，它是一种管理企业级系统的有效技术。然而在开放、分布式的互联网环境下，随着用户上下文的改变，用户对资源的访问权限也需要相对改变。用户上下文是指用户在与应用软件交互过程中可用于表征用户状态的信息，如用户角色，部门，用户之间的关系，部门之间的关系等。基于角色的访问控制模型主要依靠指派给用户的角色设定资源的访问权限。角色与权限之间的关系是静态设定的，不能根据用户上下文动态改变用户对资源的访问权限。

现有技术中，在开放、分布式的互联网环境下，信息的交互逐步从局域网转向广域网。越来越多的场景需要根据用户上下文动态改变用户对资源的访问权限，已有一些学者针对新型的网络环境做了相关研究。TMAC(Team-based access control)模型以团队为核心并用这一抽象实体来支持分布式环境中对协作用户群体安全策略的表达需求。TBAC(Task-Based Access Control)模型根据用户在工作流中所执行任务对用户分配不同的资源访问权限，可以解决根据用户在工作流中所执行的任务来访问资源的问题。面向服务计算的访问控制模型(A Service Computing oriented Access Control)通过构建服务中各个实体间的关系模型，来表示服务所属管理域之间的信任关系，根据管理域之间的信任关系来控制服务之间的相互访问。

本申请发明人在实施本发明的过程中，发现现有技术的方法，至少存在如下技术问题：

现有技术中的TMAC模型、TBAC模型虽然能够适应网络环境中协同工作与跨域访问的特点，但是其授权过程都较为复杂，在授权管理上具有一定的难度。

由此可知，现有技术中存在授权管理较为复杂的技术问题。

发明内容

有鉴于此，本发明提供了一种基于用户和资源的语义关系推理的访问控制方法及装置，用以解决或者至少部分解决现有技术中存在授权管理较为复杂的技术问题。

本发明第一方面提供了基于用户和资源的语义关系推理的访问控制方法，包括：

步骤S1：建立基于语义信息的用户模型和资源模型；

步骤S2：构建面向用户模型和资源模型的基础本体；

步骤S3：基于基础本体定义一组与访问控制对应的语义规则及推理规则；