[发明专利]一种云平台访问控制方法

权利要求书

1.一种云平台访问控制方法，其特征在于，包括：

1)知识抽取

基于构建的知识库模型，根据结构化数据抽离知识，并存储至知识库中；

2)规则预处理

建立推理规则，并基于逻辑转换进行复合规则约简，使规则库中的规则符合SWRL规则表示的原子规则；

3)基于规则的动态授权推理

采用自定义规则的方式实现规则推理，采用三元组动态连接的方式实现动态授权；

4)规则优化管理

采用基于层级继承的冲突对分析方法，对步骤3)中的自定义规则进行冲突检测，得到冲突检测结果；

采用基于层级继承的冗余对分析方法，对步骤3)中的自定义规则进行冗余检测，得到冗余检测结果；

若规则检测结果中，两规则满足冗余对或冲突对，进行基于属性原子的相似度计算，根据相似度计算结果，针对互为冲突对的两规则进行基于层级的规则冲突自动消解，针对互为冗余对的两规则进行基于层级的规则冗余自动消解。

2.根据权利要求1所述的云平台访问控制方法，其特征在于，步骤1)中知识库模型的构建方法包括：

采用从上到下的方式构建知识库，进行访问控制概念分析，并进行访问控制模型类的定义以及类层次的体系建立，根据已定义类的特征分析，完成类的属性定义以及属性层次的体系建立，根据已定义的类和属性填充实体；其中，所述属性包括数据属性和对象属性。

3.根据权利要求2所述的云平台访问控制方法，其特征在于，所述步骤1)包括：

将实体与实体之间的关系通过三元组的形式存储在TDB数据库中；

利用抽取到的知识，形成访问控制实体关系网，通过知识节点的连通性，获取多实体之间的隐含语义关。

4.根据权利要求3所述的云平台访问控制方法，特征在于，步骤2)中所述规则约简的公式为A∩B∩NOT(C)→F等价于A∩B∩(C1∪C2)→F等价于A∩B∩C1→F与A∩B∩C2→F的合集；其中，C1的C2的并集是C的补集。

5.根据权利要求4所述的云平台访问控制方法，特征在于，所述步骤3)包括：

通过动态增加三元组，实现动态增加主体和动态属性间的节点连通性，并使用SPARQL查询语言对知识库进行查询遍历操作，实现基于规则的动态授权推理。

6.根据权利要求5所述的云平台访问控制方法，特征在于，步骤4)中所述基于层级继承的冲突对分析包括角色层级冲突、客体层级冲突、授权操作层级冲突分析；其中，

角色层级冲突定义为：角色A2继承自角色A1，利用正向继承实现肯定授权继承和否定授权继承；若角色A1对客体B进行操作C时，得到肯定授权；角色A2对客体B进行操作C时，得到否定授权；或者，若角色A1对客体B进行操作C时，得到否定授权；角色A2对客体B进行操作C时，得到肯定授权；此时两规则因角色继承产生冲突；

客体层级冲突定义为：客体B2是客体B1的子层级，实现负向的肯定授权继承和正向的否定授权继承；若角色A对客体B1进行操作C时，得到否定授权；角色A对客体B2进行操作C时，得到肯定授权；此时两规则因客体层级产生冲突；

授权操作层级冲突定义为：授权操作C2是授权操作C1的下级操作，操作C2对客体进行深层的处理，实现负向的肯定授权继承和正向的否定授权继承；若角色A对客体B进行操作C1时，得到否定授权；角色A对客体B进行操作C2时，得到肯定授权；此时两规则因操作层级产生冲突；

通过对三种层级产生的冲突进行分析，得到A,B,C和A1,B1,C1两两冲突对。