本發明公開了一種基于起源圖抽象的訪問控制方法，1、定義PROV模型，利用PROV模型使用戶對各類系統中數據的起源信息進行標準化描述，然后根據PROV模型建立起源圖；2、在步驟一得到的起源圖的基礎上利用節點分組的概念，提出閉包、擴展、替換、刪除四種抽象化操作，并進行形式化定義和完善，得到符合PROV約束條件的抽象圖；3、定義一系列的訪問規則，利用訪問規則對步驟二中得到的抽象圖進行標記并提出評估策略；4、將步驟三中得出的標記后的節點的集合經過最優分區算法和圖轉換算法最終得到對應用戶對應權限訪問的訪問視圖。本發明解決了數據隱私中訪問控制的問題，根據用戶的權限對應不同的訪問視圖，從而使得訪問結果既保證安全性又保證完全性。

技術領域

本發明屬于數據隱私保護管理的技術領域，特別涉及一種基于起源圖抽象的訪問控制方法。

背景技術

隨著大數據的不斷發展，在對起源信息查詢的過程當中，可能面臨著無意中泄露敏感信息的風險，因此數據安全性和隱私保護是很重要的。通過對起源圖進行抽象可以對敏感信息進行抽象，生成用戶訪問視圖，實現用戶的訪問控制機制，保障數據安全和隱私數據，同時保證信息的完整性。

發明內容

發明目的：針對現有技術中存在的問題，本發明提供一種基于起源圖抽象的訪問控制方法，以解決用戶訪問控制中的對數據安全和隱私數據泄漏以及無法保證信息完整性的問題。

本發明公開了一種基于起源圖抽象的訪問控制方法，

步驟一：根據W3C起源工作組定義一個數據模型——PROV模型，利用 PROV模型使用戶對各類系統中數據的起源信息進行標準化描述，將實體En、活動Act以及used和wasGeneratedBy之間的關系從PROV模型中提取出來建立基于PROV模型的起源圖；

步驟二：在步驟一得到的起源圖的基礎上提出閉包、擴展、替換、刪除四種抽象化操作操作，并進行形式化定義和完善，得到符合PROV約束條件的抽象圖；

步驟三：定義一系列的訪問規則，包括訪問目標、訪問結果及訪問元素，同時對這些元素進行形式化的定義，利用以上訪問規則對步驟二中得到的抽象圖進行標記并提出拒絕優先和允許優先兩種評估策略；

步驟四：將步驟三中得出的標記后的節點的集合經過最優分區算法和圖轉換算法最終得到對應用戶對應權限訪問的訪問視圖。

進一步的，所述步驟二中所述的節點分組是定義圖形的編輯操作，即如何將指定節點從原起源圖中移除，生成一個新的有效的起源圖；抽象圖是指將用戶指定的一系列節點看作一組，然后用一個新的抽象節點替換，同時通過修改節點以及新的抽象節點之間的關系，得到一個新的圖。

進一步的，所述步驟二中所述的符合PROV約束條件的抽象圖的構建步驟具體如下：

步驟1.1：PROV起源圖研究只包含實體En和活動Act以及used和 wasGeneratedBy的關系，針對抽象節點都是同一類型的作為同質分組進行操作，針對抽象節點不是同一類型的作為異質分組進行操作；

其中同質分組通過閉包、擴展、替換和刪除四種操作來將新的抽象節點與原節點進行替換，并形成新的節點之間的相互關系；

步驟1.2：對起源圖外圍的代理節點進行分析并處理，將與代理節點相關的分組操作分為三種情況：

A)僅含有Ag代理類型的同質分組：通過閉包、擴展、替換和刪除四種操作來將新的抽象節點與原節點進行替換，并形成新的節點之間的相互關系；

B)含有實體En和活動Act兩種類型的異質分組：當新的抽象節點類型為實體En時，對代理節點進行修改保證抽象節點相鄰的代理節點之間的關系為 wat；當新的抽象節點類型為活動Act時，對代理節點進行修改保證抽象節點相鄰的代理節點之間的關系為waw；