本發(fā)明公開了一種基于語義的云存儲訪問控制方法，首先構(gòu)建本體知識庫并制定語義規(guī)則，在用戶將數(shù)據(jù)上傳到云之前將待加密數(shù)據(jù)進行語義轉(zhuǎn)換，用推理引擎進行語義推理，輔助用戶制定訪問策略。然后將用戶的訪問策略轉(zhuǎn)換為訪問結(jié)構(gòu)樹，進行加密操作。為每一位用戶根據(jù)其提供的一系列屬性生成私鑰，并將私鑰存放在可信的第三方。當(dāng)其他用戶想要訪問該數(shù)據(jù)時，從第三方獲取其私鑰，根據(jù)私鑰中隱含的屬性是否符合密文中隱含的訪問結(jié)構(gòu)進行解密或不解密的操作。并且在緊急場景下，通過具體情景的不同要求數(shù)據(jù)訪問者提供不同類型的證明信息，并進行語義推理，如果判斷出緊急情況屬實則為訪問者臨時開放訪問權(quán)限，從而實現(xiàn)一種高度靈活的訪問控制。

技術(shù)領(lǐng)域

本發(fā)明屬于云存儲領(lǐng)域，尤其涉及一種基于語義的云存儲訪問控制方法。

背景技術(shù)

隨著醫(yī)療信息化的推進，醫(yī)療數(shù)據(jù)的共享水平也在不斷提高。很多著名的醫(yī)療信息化公司，如Cerner提供包括電子病歷、影像在線存儲等多種信息的共享。醫(yī)療云存儲能夠使用戶遠程存儲、按需隨時隨地訪問云存儲中的數(shù)據(jù)，并且允許醫(yī)療相關(guān)的人員共享醫(yī)療信息，因此有很好的應(yīng)用前景。在實際的應(yīng)用中，由于用戶角色的多樣化與平權(quán)化，即每個用戶擁有的權(quán)限都是平等的，因此需要一種去中心化的分布式權(quán)限控制方法。而且由于醫(yī)療信息大多比較敏感，為了保護用戶的隱私權(quán)，需要將數(shù)據(jù)進行加密存儲，保證信息的絕對安全。針對上述背景，需要一種加密條件下的、分布式的權(quán)限控制方法。而現(xiàn)有的權(quán)限控制方案主要包括RBAC(基于角色的權(quán)限控制)方案和CP-ABE(密文策略屬性基加密)方案，它們都只能部分地解決上述的問題。

在現(xiàn)有的技術(shù)中，密文策略屬性基加密(CP-ABE)的訪問結(jié)構(gòu)是由用戶任意制定的，存在個體之間的差異，這樣不適用于廣泛的數(shù)據(jù)交換業(yè)務(wù)和規(guī)范化的數(shù)據(jù)分發(fā)管理等場景，且不能根據(jù)用戶信息自動配置和自動匹配屬性。而且，醫(yī)療領(lǐng)域通常會出現(xiàn)急救等特殊場景，在這樣的情況下，用戶的生命權(quán)比隱私權(quán)更重要，因此需要為急救人員臨時開放訪問數(shù)據(jù)的特權(quán)，即使他們原本不滿足訪問結(jié)構(gòu)。但是在現(xiàn)有的RBAC等集中權(quán)限管理的模式下，無法做到這一點。

發(fā)明內(nèi)容

本發(fā)明的目的在于針對現(xiàn)有技術(shù)的不足，提供一種基于語義的云存儲訪問控制方法，借助語義技術(shù)，通過本體建模和語義推理，根據(jù)用戶信息進行推理，將信息內(nèi)部包含的屬性自動推薦給用戶，作為制定訪問結(jié)構(gòu)的選擇范圍，從而在保障了每個用戶可以自主制定訪問結(jié)構(gòu)的基礎(chǔ)上，消除了因任意選擇屬性而產(chǎn)生的個體差異，實現(xiàn)了系統(tǒng)的標(biāo)準(zhǔn)化，以及屬性的自動配置和自動匹配。而且，通過語義推理，可以很好地解決緊急情況下的訪問策略問題。將規(guī)則、實體對象、用戶操作完全分離，極大地提升擴展性和靈活性。

本發(fā)明的目的是通過以下技術(shù)方案來實現(xiàn)的：本發(fā)明首先構(gòu)建本體知識庫并制定語義規(guī)則，在用戶將數(shù)據(jù)上傳到云之前將待加密數(shù)據(jù)進行語義轉(zhuǎn)換，用推理引擎進行語義推理，為用戶自動推送屬性，輔助用戶制定訪問策略。然后將用戶的訪問策略轉(zhuǎn)換為訪問結(jié)構(gòu)樹，借助密文策略屬性基加密進行加密操作。另一方面，借助密文策略屬性基加密為每一位用戶根據(jù)其提供的一系列屬性生成私鑰，并將私鑰存放在可信的第三方。當(dāng)其他用戶想要訪問該數(shù)據(jù)時，會從第三方獲取其私鑰，根據(jù)私鑰中隱含的屬性是否符合密文中隱含的訪問結(jié)構(gòu)進行解密或不解密的操作，從而實現(xiàn)一種針對密文的訪問控制。并且在緊急場景下，通過具體情景的不同要求數(shù)據(jù)訪問者提供不同類型的證明信息，并進行語義推理，如果判斷出緊急情況屬實則為訪問者臨時開放訪問權(quán)限，從而實現(xiàn)一種高度靈活的訪問控制。下面詳細(xì)說明本發(fā)明基于語義的云存儲訪問控制方法的實現(xiàn)步驟：

(1)構(gòu)建本體知識庫并制定語義規(guī)則，將待加密數(shù)據(jù)進行語義轉(zhuǎn)換，用推理引擎進行語義推理，為用戶自動推送屬性，輔助用戶制定訪問策略，具體包括以下子步驟：

(1.1)運用網(wǎng)絡(luò)本體語言O(shè)WL構(gòu)建事實庫；

(1.2)運用語義網(wǎng)規(guī)則語言SWRL構(gòu)建規(guī)則庫；

(1.3)將規(guī)則導(dǎo)入Jena語義網(wǎng)框架的推理機，作為推理的描述邏輯支持；