本發明公開了一種知識圖譜本體數據分級分類安全訪問控制方法及應用。該方法包括：預先定義系統權限級別范圍、安全控制系統參數、權限粒度、本體數據的類別屬性空間和安全級別屬性空間；用戶上傳本體數據時，自定義上傳數據的類別和安全等級，若用戶的安全等級及上傳數據的安全等級滿足一定條件，則將上傳數據加密存儲；用戶下載本體數據時，若用戶的安全等級及下載數據的安全等級滿足一定條件，將下載數據解密提供給用戶。本發明可以滿足海量增長的知識圖譜本體數據在使用過程中面臨的復雜安全性要求，具有機密性、完整性、可靠性和靈活性的優點。

技術領域

本發明屬于數據存儲技術領域，更具體地，涉及一種知識圖譜本體數據分級分類安全訪問控制方法及應用。

背景技術

近年來，隨著海量數據的爆炸式增長，行業知識圖譜的本體數據的存儲需求也日益增長，對象云存儲系統是一種用于數據存儲的云計算體系結構，通常用來存儲具有分類分級特點的非結構化數據。在云服務不可信的前提下,如何實現對云存儲中大量具有分級分類特點的本體數據資源的細粒度訪問控制，保障云存儲中的機密數據不被非法訪問，是云計算技術中亟需解決的問題。

在云計算中的分布式對象存儲系統中，通常采用了友好訪問接口使對象存儲擁有跨平臺數據共享的特點，通過接口可以高效執行數據增加、檢索、更新和刪除(CRUD)和對象屬性等操作,適合加載MB級別的本體數據并對其各維度屬性進行靈活的查詢、使用、更新和擴展,其計算效率和用戶體驗得到了顯著的提升，因而對象存儲更適合云計算模式下的本體數據及知識圖譜應用。在基于對象的存儲中,對象數據是以固定接口提供非結構化文件訪問操作的一類存儲容器。同時維護一組描述文件數據屬性的元數據進行管理，通常可以利用元數據來實現阻止數據非法訪問的安全策略。美國國家標準化組織(ANSI)于2005年批準了對象存儲的標準規范，目前,對象存儲已得到了廣泛應用，代表性的大規模實現如AWS的S3、華為的OBS、開源實現OpenstackSwift和Ceph等。

但隨著云存儲技術的發展，其動態復雜性、開放性和資源高集中性等特點不可避免的帶來了數據安全性問題。用戶將本體數據托管給第三方云服務提供商存儲和管理，會失去對數據訪問權限的控制，特別是對于一些涉及國家機密和行業商業秘密的元數據泄漏，可能會導致極其嚴重的后果。因此需要提供一種適用于對象云存儲模式下的知識圖譜本體數據安全訪問機制，該機制應該具有靈活可靠的安全體系來保護知識圖譜本體數據的機密性、完整性和可靠性。

訪問控制技術是一種保障數據不被非法訪問的重要手段，實現對云存儲中大量資源的訪問控制機制,能夠使用戶將本體數據安全地托管至云平臺。因此,許多學者提出了不同的方案，主要集中在3個方面，見表1。

表1云計算訪問控制技術

其中，常見的訪問控制方法包括：自主訪問控制(DAC)、強制訪問控制(MAC)、基于角色的訪問控制(RBAC)、基于屬性的訪問控制(ABAC)和基于任務的訪問控制(TBAC)等，各類單一的訪問控制機制均有其特點和明顯的不足，比如：DAC經常導致不適當授權和權限撤銷不及時，從而存在敏感數據的安全隱患；MAC在靈活性上天然欠缺，導致系統難以根據業務的動態調整而更改權限，會造成業務的人力成本加大。RBAC、ABAC和TBAC很好的平衡了安全性與靈活性，但隨著知識圖譜本體數據的海量存入和爆炸式增長，它們都難以對其角色、屬性或任務進行細粒度的分析，從而進行準確的訪問權限控制。