基于移动社交网络的数据访问控制策略生成方法[发明专利]

(12)发明专利申请

(10)申请公布号 CN 110851852 A(43)申请公布日 2020.02.28

(21)申请号 201910376998.8(22)申请日 2019.05.07

(71)申请人 中山大学

地址 510275 广东省广州市海珠区新港西

路135号(72)发明人 郑子彬　王晶　

(74)专利代理机构 广州粤高专利商标代理有限

公司 44102

代理人 林丽明(51)Int.Cl.

G06F 21/62(2013.01)G06Q 50/00(2012.01)

权利要求书2页 说明书5页 附图1页

CN 110851852 A(54)发明名称

基于移动社交网络的数据访问控制策略生成方法(57)摘要

本发明公开一种基于移动社交网络的数据访问控制策略生成方法和属性概率图模型，该属性概率图模型用于实现本方法，本方法包括定义属性概率图模型的数据属性集合、访问者属性集合及访问策略集合，明确数据访问权限，基于数据属性集合A到访问策略集合f(P)的映射关系构建属性概率图模型，其中属性概率图模型的目标函数为访问策略安全性的评估函数，通过属性概率图模型评估数据属性与访问策略间的关联性，求解在数据属性确定的情况下使评测函数F(A',fk(P))达到最大的访问策略。本发明基于数据所有者及访问者之间的关联，实现MSN访问权限的智能化管理。

CN 110851852 A

权　利　要　求　书

1/2页

1.基于移动社交网络的数据访问控制策略生成方法，其特征在于，包括如下步骤：S10假设A＝{ai,0≤i≤n}为数据属性集合，n为数据属性数目，P＝{pj，0≤j≤m}为访问者属性集合，m为访问者属性数目，f(P)＝{fk(P)|1≤k≤N}为访问策略集合，fk(P)为指定访问策略，N为访问策略的数目，明确数据访问权限；

S20基于数据属性集合A到访问策略集合f(P)的映射关系构建属性概率图模型，属性概率图模型的目标函数为访问策略安全性的评估函数

其中

A'，pP′,A'表示访问者属性集合

得到一个子图G′＝G-

在子图G′下的吉布斯分布，P'╞fk(P)表示访问者属性

集合P′为访问策略fk(P)的一个可满足集；

S30通过属性概率图模型评估数据属性与访问策略间的关联性，求解在数据属性确定的情况下使评测函数F(A',fk(P))达到最大的访问策略

2.如权利要求1所述的基于移动社交网络的数据访问控制策略生成方法，其特征在于，所述S10之前还包括：

S01采集原始访问者集合对原始数据集合的历史访问行为数据，对其进行统计计量，将每条历史访问行为数据(A′,P′,s)中A'表示数据属性子集(a′P'表示1,...,a′i,...,a′n)，访问者属性子(p′s为状态标识位，且1,...,p′j,...,p′m)，

提取如下

统计量计量：

其中x,y∈A∪P，x′,y′分别为x，y的取值，K为系统设定常数。

3.如权利要求1所述的基于移动社交网络的数据访问控制策略生成方法，其特征在于，所述访问者属性集合

在子图G′下的吉布斯分布pP′,A'的公式如下：

Dk为子图G′中第k个完备子图，φ(Dk|P')表示在子图G′中Dk在取值为P′时的样本数量，即为Dk在上下文P′下的势因子，φA′(DK|v)表示在子图G′中Dk的所有取值的数量，v为所有可能的取值。

4.如权利要求1所述的基于移动社交网络的数据访问控制策略生成方法，其特征在于，

2

CN 110851852 A

权　利　要　求　书

2/2页

所述S30之后还包括：

S40考虑评测函数F(A'，fk(P))达到最大的访问策略的安全度，求安全范围内，所有可访问属性集合的幂集

其中π为指定安全阈值。

5.一种属性概率图模型，其特征在于，应用于如权利要求1-4任一项的基于移动社交网络的数据访问控制策略生成方法，包括：

假设属性概率图G＝(E,V)，其中V表示属性点集合，E表示边集合；建立属性点集合：V＝A∪P，A＝{ai，0≤i≤n}为数据属性集合，n为数据属性数目，P＝{pj，0≤j≤m}为访问者属性集合，m为访问者属性数目；

建立边集合，

点x和y在概率上相互，U为节点集中一子集，k为系统设定常数。

其中，x⊥y表示属性节

3

CN 110851852 A

说　明　书

基于移动社交网络的数据访问控制策略生成方法

1/5页

技术领域

[0001]本发明涉及数据访问控制领域，特别涉及基于移动社交网络的数据访问控制策略生成方法及应用于该方法的属性概率图模型。

背景技术

[0002]目前MSN环境下数据关联度大、数据关系复杂，仅对数据进行简单分类，无法全面地对数据安全性做出准确评测。复杂数据集合中，数据间不仅存在多层次关联，也存在度的关联，要在多重关联性规则下定义复合的安全参数、划分的安全类型、构建全面的数据安全性评测模型，不仅需要明确原始数据的访问策略，也要明确的量化基于特定访问策略的数据安全性。

发明内容

[0003]本发明的主要目的是提出基于移动社交网络的数据访问控制策略生成方法，旨在克服以上问题。

[0004]为实现上述目的，本发明提出的一种基于移动社交网络的数据访问控制策略生成方法，包括如下步骤：

[0005]S10假设A＝{ai,0≤i≤n}为数据属性集合，n为数据属性数目， P＝{pj，0≤j≤m}为访问者属性集合，m为访问者属性数目， f(P)＝{fk(P)|1≤k≤N}为访问策略集合，fk(P)为指定访问策略，N为访问策略的数目，明确数据访问权限；

[0006]S20基于数据属性集合A到访问策略集合f(P)的映射关系构建属性概率图模型，属性概率图模型的目标函数为访问策略安全性的评估函数其中

得到一个子图G′＝G-A'，pP′,A'表示访问者属性集合

在子图G′下的吉布

斯分布，P′╞fk(P)表示访问者属性集合P′为访问策略fk(P)的一个可满足集；[0007]S30通过属性概率图模型评估数据属性与访问策略间的关联性，求解在数据属性确定的情况下使评测函数F(A',fk(P))达到最大的访问策略

[0008]

优选地，所述S10之前还包括：

[0009]S01采集原始访问者集合对原始数据集合的历史访问行为数据，对其进行统计计量，将每条历史访问行为数据(A′,P′,s)中A'表示数据属性子集 (a′1,...,a′i,...,a′n)，P'表示访问者属性子(p′s为状态标识位，且1,...,p′j,...,p′m)，

提取如

下统计量计量：

[0010]

4

CN 110851852 A

说　明　书

2/5页

[0011]

，其中x,y∈A∪P,x',y'分别为x,y的取值，K为系统设定常数。

[0012]

优选地，所述访问者属性集合在子图G′下的吉布斯分布pP′,A'的公式如下：

[0013]

[0014]

Dk为子图G′中第k个完备子图，φ(Dk|P')表示在子图G′中Dk在取值为P′时的样本数量，即为Dk在上下文P′下的势因子，φA′(DK|v)表示在子图G′中Dk的所有取值的数量，v为所有可能的取值。[0015]优选地，所述S30之后还包括：

[0016]S40考虑评测函数F(A',fk(P))达到最大的访问策略的安全度，求安全范围内，所有可访问属性集合的幂集

其中π为指定安全

阈值。

[0017]

本发明还公开了一种属性概率图模型，应用于如上述的基于移动社交网络的数据访问控制策略生成方法，其包括：[0018]假设属性概率图G＝(E,V)，其中V表示属性点集合，E表示边集合；[0019]建立属性点集合：V＝A∪P，A＝{ai,0≤i≤n}为数据属性集合，n为数据属性数目，P＝{pj,0≤j≤m}为访问者属性集合，m为访问者属性数目；

[0020]

建立边集合，其中，x⊥y表示

属性节点x和y在概率上相互，U为节点集中一子集，k为系统设定常数。[0021]为了实现MSN中的数据自主化访问策略管理，本发明基于数据所有者及访问者之间的关联，实现MSN访问权限的智能化管理。融合多源历史数据定义数据属性集合及访问者属性集合，并从属性集合中提取数据特征和用户特征，建立基于数据属性的概率图模型，利用数据历史访问记录及访问策略动态更新机制优化访问策略管理，建立访问策略自主生成机制，实现数据访问权限的智能化管理。附图说明

[0022]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图示出的结构获得其他的附图。

[0023]图1为本发明基于移动社交网络的数据访问控制策略自动化生成方法的一实施例的原理框图；

5

CN 110851852 A[0024][0025]

说　明　书

3/5页

图2为所述属性根率图一实施例的结构示意图；本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。

具体实施方式

[0026]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。[0027]需要说明，若本发明实施例中有涉及方向性指示(诸如上、下、左、右、前、后……)，则该方向性指示仅用于解释在某一特定姿态(如附图所示) 下各部件之间的相对位置关系、运动情况等，如果该特定姿态发生改变时，则该方向性指示也相应地随之改变。[0028]另外，若本发明实施例中有涉及“第一”、“第二”等的描述，则该“第一”、“第二”等的描述仅用于描述目的，而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外，各个实施例之间的技术方案可以相互结合，但是必须是以本领域普通技术人员能够实现为基础，当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在，也不在本发明要求的保护范围之内。[0029]如图1-2所示，本发明提出的一种基于移动社交网络的数据访问控制策略生成方法，包括如下步骤：

[0030]S10假设A＝{ai,0≤i≤n}为数据属性集合，n为数据属性数目， P＝{pj，0≤j≤m}为访问者属性集合，m为访问者属性数目， f(P)＝{fk(P)|1≤k≤N}为访问策略集合，fk(P)为指定访问策略，N为访问策略的数目，明确数据访问权限；

[0031]S20基于数据属性集合A到访问策略集合f(P)的映射关系构建属性概率图模型，其中属性概率图模型的目标函数为访问策略安全性的评估函数其中

得到一个子图G′＝G-A'，pP′,A'表示访问者属性集合

在子图G′下的吉布

斯分布，P'╞fk(P)表示访问者属性集合P′为访问策略fk(P)的一个可满足集；[0032]S30通过属性概率图模型评估数据属性与访问策略间的关联性，求解在数据属性确定的情况下使评测函数F(A',fk(P))达到最大的访问策略

[0033]

优选地，所述S10之前还包括：

[0034]S01采集原始访问者集合对原始数据集合的历史访问行为数据，对其进行统计计量，将每条历史访问行为数据(A′,P′,s)中A'表示数据属性子集 (a′1,...,a′i,...,a′n)，P'表示访问者属性子(p′s为状态标识位，且1,...,p′j,...,p′m)，

[0035][0036]

优选地，所述访问者属性集合在子图G′下的吉布斯分布pP′,A'的公式如下：

6

CN 110851852 A

说　明　书

4/5页

[0037]

[0038]

Dk为子图G′中第k个完备子图，φ(Dk|P')表示在子图G′中Dk在取值为P’时的样本

数量，即为Dk在上下文P′下的势因子，φA'(DK|v)表示在子图G′中Dk的所有取值的数量，v为所有可能的取值。[0039]优选地，所述S30之后还包括：

[0040]S40考虑评测函数F(A',fk(P))达到最大的访问策略的安全度，求安全范围内，所有可访问属性集合的幂集

其中π为指定安全

阈值。

[0041]

本发明还公开了一种属性概率图模型，用于实现上述方法，其包括：[0042]假设属性概率图G＝(E,V)，其中V表示属性点集合，E表示边集合；[0043]建立属性点集合：V＝A∪P，A＝{ai,0≤i≤n}为数据属性集合，n为数据属性数目，P＝{pj,0≤j≤m}为访问者属性集合，m为访问者属性数目；

[0044]

建立边集合，其中，x⊥y表示

属性节点x和y在概率上相互，U为节点集中一子集，k为系统设定常数。实操实例：[0045]假设A＝{ai,0≤i≤n}为数据属性集合，P＝{pj,0≤j≤m}为访问者属性集合，以P上的函数fk(P)表示数据访问策略，明确数据访问权限。通过如下步骤构建从数据属性集合A到访问策略集合间的映射关系，实现访问策略智能化管理方案，如图1所示：[0046]1、对历史访问行为进行分析，提取统计量。每条访问记录(A′,P′,s)中A'表示数据属性子集(a′a′a′P'表示访问者属性子(p′s为状态标1,...,i,...,n)，1,...,p′j,...,p′m)，识位，且有

[0047]

其中，1≤i≤n,1≤j≤m,n表示系统中数据属性的数目，m表示系统中访问者属性的数目。[0049]2、根据访问记录刻画数据属性集合A和P中各属性间的关联性，构建属性概率图模型。如图2所示，属性概率图G＝(E,V)构建如下：[0050]i)建立节点集合，V＝A∪P；

[0051][0052][0053]

[0048]

ii)建立边集合，其中，x⊥y

表示属性节点x和y在概率上相互，k为系统设定常数。

3、基于属性概率图模型生成目标函数——访问策略安全性评估函数 F(A',fk

为一个数据属性集合子集，f(P)＝{fk(P)|1≤k≤N}为访问策略集合，fk

(P))，其中

(P)为指定访问策略，N表示访问策略的数量。

7

CN 110851852 A[0054]

说　明　书

5/5页

4、通过属性概率图模型评估数据属性与访问策略间的关联性，并求解在数据属性

确定的情况下使访问策略安全性评估函数F()达到最大的访问策略：

[0055]4.1由确定的数据属性集合得到一个子图G′＝G-A'，求得访问者属性集合

在子图G′下的吉布斯分布(Gibbs distribution)pP′,A'。

[0056]

其中，Dk为G′中第k个完备子图，φ(Dk|P')表示在图G′中第k个完备子图Dk在取值

为P′时的样本数量，即为Dk在上下文P′下的势因子。[0058]4.2对指定访问策略fk(P)，设其安全性评估函数为

其中P'╞fk(P)表示访问者属性集合P′为访问策略fk

(P)的一个可满足集。

[0059]

[0057]

5、访问数据属性集合A′时，查找当前最优访问策略

若当前最优访问策略不满足安全需求(即F(A',fopt(P))<π，其中π为指定安全阈值)，则根据该安全阈值定义新的访问策略

fA′(P)在此表示为包含所有

可访问属性集合的幂集，此时fopt(P)＝fA′(P)。[0060]以上所述仅为本发明的优选实施例，并非因此本发明的专利范围，凡是在本发明的发明构思下，利用本发明说明书及附图内容所作的等效结构变换，或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。

8

CN 110851852 A

说　明　书　附　图

1/1页

图1

图2

9