專(zhuān)利名稱(chēng):訪問(wèn)權(quán)限的動(dòng)態(tài)確定的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于動(dòng)態(tài)地確定客戶端對(duì)記錄的訪問(wèn)權(quán)限的方法和系統(tǒng)����。在一個(gè)實(shí)施例中,本發(fā)明基于背景(context)信息的可信度和/或須知基礎(chǔ)在DRM或XACML系統(tǒng)中提供了對(duì)權(quán)限的動(dòng)態(tài)改變����。
背景技術(shù):
隨著醫(yī)學(xué)信息技術(shù)的進(jìn)步����,患者和醫(yī)生現(xiàn)在可以從各種服務(wù)中受益。例如��,電子患者記錄(EPR)是與患者的健康狀況和健康護(hù)理相關(guān)的電子存儲(chǔ)數(shù)據(jù)的儲(chǔ)存庫(kù)��。Era系統(tǒng)能夠提供改進(jìn)健康護(hù)理供給的質(zhì)量和效率的功能���。EH 的功能性范例為提供提示和警告、提供同時(shí)對(duì)多個(gè)臨床醫(yī)生的訪問(wèn)�、或者將知識(shí)源與患者數(shù)據(jù)相鏈接。傳統(tǒng)的紙件醫(yī)學(xué)記錄缺乏這樣的功能�����。此外���,對(duì)遠(yuǎn)程患者監(jiān)測(cè)服務(wù)的需求日益增加����,因此多個(gè)標(biāo)準(zhǔn)化活動(dòng)都以該領(lǐng)域?yàn)槟繕?biāo)���,如 Continua Alliance (參見(jiàn) www. continuaaliance. org/home)以及 Healthcare Information Technology Standards Panel (參見(jiàn) www· hitsp· org)�。電子地傳送健康相關(guān)問(wèn)題的若干優(yōu)點(diǎn)包括不用必須離開(kāi)房屋(對(duì)殘疾人而言�����,這可能是問(wèn)題)���,可以匿名詢問(wèn)敏感問(wèn)題,或者從未曾見(jiàn)面的個(gè)人那里得到答案�����。盡管這些技術(shù)帶來(lái)了很多優(yōu)點(diǎn)�����,然而同時(shí)也引起了一些安全和隱私的問(wèn)題。通常認(rèn)為與健康相關(guān)的數(shù)據(jù)是非常隱私的��,這為擴(kuò)展法規(guī)的出現(xiàn)以及良好建立的道德標(biāo)準(zhǔn),諸如希波克拉底誓言(Hippocratic Oath)�����,提供了法律依據(jù)�。歐洲政策 94/46 (European Directive 94/46)、美國(guó)的醫(yī)療保險(xiǎn)攜帶和責(zé)任法案(Health Insurance Portability and Accountability Act) (^jALwww. hhs. gov/ocr/privacysummary. pdf)以及加拿大的健康信息保護(hù)法案(參見(jiàn)www. health, gov. sk. ca/hipa-cheklist)為健康系統(tǒng)中有關(guān)個(gè)人健康信息的個(gè)人權(quán)限以及受托人(如醫(yī)生和護(hù)士)的義務(wù)制定法律�。這些法案應(yīng)用到健康系統(tǒng)中任意形式的個(gè)人健康信息��,包括傳統(tǒng)的紙件記錄以及電子記錄。立法的根本目的是為了保護(hù)個(gè)人健康信息的隱私性�,同時(shí)保證這些信息在需要時(shí)能夠提供服務(wù), 以及監(jiān)測(cè)����、評(píng)估和改進(jìn)健康系統(tǒng)以便使個(gè)人和社會(huì)受益。各種立法需要實(shí)施大范圍的安全措施�����。主要原則之一被稱(chēng)為信息最小化����。例如, HIPA (健康信息保護(hù)法案)規(guī)定了僅在須知的基礎(chǔ)上收集�、使用或公開(kāi)的要求�����。法案要求僅在須知的基礎(chǔ)上收集、使用或公開(kāi)個(gè)人健康信息����。這意味著只有為可接受的目的所需要的信息才應(yīng)該被收集、使用或公開(kāi)�。其還意味著只有那些出于法案中的合法目的而需要訪問(wèn)信息的個(gè)人才可以訪問(wèn)記錄。除了須知條件�����,確定訪問(wèn)權(quán)限的另一重要因素是對(duì)象背景屬性的確定性�����。在健康護(hù)理應(yīng)用中�,對(duì)信息的訪問(wèn)常常取決于背景信息(背景屬性常常被用作訪問(wèn)控制規(guī)則中的條件)��。然而���,在評(píng)估規(guī)則的處理中���,常常很難百分之百地確定某個(gè)背景能否實(shí)現(xiàn)。在其中客戶端必須評(píng)估背景信息的DRM(數(shù)字權(quán)限管理)應(yīng)用中,情況尤其如此����。諸如XACML(擴(kuò)展訪問(wèn)控制標(biāo)記語(yǔ)言,Extensible Access Control Markup Language)之類(lèi)的當(dāng)前技術(shù)水
4性考慮在內(nèi)��,但是這些方案是基于靜態(tài)授權(quán)的�����。例如�,醫(yī)生使用任意類(lèi)型的驗(yàn)證方法(諸如一個(gè)或兩個(gè)因素的驗(yàn)證),從任意設(shè)備 (辦公室計(jì)算機(jī)��、家用計(jì)算機(jī)��、公共網(wǎng)吧等)訪問(wèn)其患者的健康記錄會(huì)具有相同的訪問(wèn)權(quán)限�����。醫(yī)生可以從公共網(wǎng)吧或家中的計(jì)算機(jī)訪問(wèn)患者的私有健康信息記錄��,此時(shí)其具有與他從醫(yī)院或診所的安全計(jì)算機(jī)訪問(wèn)記錄時(shí)相同的訪問(wèn)權(quán)限�����。然而,醫(yī)生屬性(例如其身份) 的確定性很大程度上取決于用來(lái)證明這些屬性(例如所用的驗(yàn)證形態(tài))的方法��。對(duì)于其他背景信息的確定性���,諸如運(yùn)行數(shù)字權(quán)限管理或訪問(wèn)控制客戶端應(yīng)用的個(gè)人計(jì)算機(jī)的可信度����,這同樣適用����。然而,當(dāng)前的靜態(tài)授權(quán)方法不能應(yīng)付這些要求�。因此,需要可以有效地確定用于訪問(wèn)控制和DRM以及須知條件的屬性的確定性的方法���,該方法將被用于將訪問(wèn)和使用權(quán)限相應(yīng)地分配給授權(quán)的人員�。
發(fā)明內(nèi)容
因此���,本發(fā)明的目的在于改進(jìn)現(xiàn)有技術(shù)���。根據(jù)本發(fā)明的第一方面��,提供了一種動(dòng)態(tài)地確定客戶端對(duì)記錄的訪問(wèn)權(quán)限的方法,該方法包括接收來(lái)自客戶端的對(duì)于所述記錄的訪問(wèn)請(qǐng)求����,確定與該訪問(wèn)請(qǐng)求相關(guān)的一個(gè)或多個(gè)背景,計(jì)算每個(gè)確定的背景的分?jǐn)?shù)���,根據(jù)這些背景分?jǐn)?shù)計(jì)算總分?jǐn)?shù)��,訪問(wèn)所述記錄的權(quán)限策略�,該權(quán)限策略限定了關(guān)于所述記錄的多個(gè)不同權(quán)限���,每個(gè)權(quán)限都具有各自的最小分?jǐn)?shù)���,以及根據(jù)總分?jǐn)?shù)與所述權(quán)限策略中每個(gè)權(quán)限的分?jǐn)?shù)的比較結(jié)果來(lái)確定所述客戶端的訪問(wèn)權(quán)限。根據(jù)本發(fā)明的第二方面�,提供了一種用于動(dòng)態(tài)地確定客戶端對(duì)記錄的訪問(wèn)權(quán)限的系統(tǒng),該系統(tǒng)包括許可服務(wù)器���,其被布置成存儲(chǔ)所述記錄的權(quán)限策略���,該權(quán)限策略限定了關(guān)于所述記錄的多個(gè)不同權(quán)限,每個(gè)權(quán)限都具有各自的最小分?jǐn)?shù)��;被布置成接收對(duì)于所述記錄的訪問(wèn)請(qǐng)求的部件;以及背景評(píng)估器����,其被布置成確定與所述訪問(wèn)請(qǐng)求相關(guān)的一個(gè)或多個(gè)背景,計(jì)算每個(gè)確定的背景的分?jǐn)?shù)����,根據(jù)這些背景分?jǐn)?shù)計(jì)算總分?jǐn)?shù),訪問(wèn)所述記錄的權(quán)限策略��,以及根據(jù)總分?jǐn)?shù)與所述權(quán)限策略中每個(gè)權(quán)限的分?jǐn)?shù)的比較結(jié)果來(lái)確定對(duì)所述客戶端的訪問(wèn)權(quán)限�����。歸因于本發(fā)明���,可以提供一種方法和系統(tǒng)����,其中基于背景信息的可信度和/或須知的概念來(lái)動(dòng)態(tài)地改變對(duì)私有電子健康信息記錄的訪問(wèn)和使用權(quán)限��。在做出決定和實(shí)施許可(策略)之前�,DRM客戶端或AC(訪問(wèn)控制)系統(tǒng)會(huì)向背景評(píng)估器做出對(duì)背景信息的確定性(或可信度)級(jí)別的請(qǐng)求。背景評(píng)估器收集合適的背景信息并將信賴分?jǐn)?shù)分配給其中的每一個(gè)�。在分配各個(gè)信賴分?jǐn)?shù)之后�,計(jì)算總信賴分?jǐn)?shù)��,該總分?jǐn)?shù)然后被轉(zhuǎn)發(fā)到DRM客戶端或AC系統(tǒng)的PDP (策略判定點(diǎn))�����,該DRM客戶端或AC系統(tǒng)的PDP基于信賴分?jǐn)?shù)的級(jí)別來(lái)最小化(減小)原始的訪問(wèn)和使用權(quán)限����。優(yōu)選地�����,根據(jù)背景分?jǐn)?shù)計(jì)算總分?jǐn)?shù)的步驟包括計(jì)算所述背景分?jǐn)?shù)的平均值�����。在一個(gè)實(shí)施例中���,該平均值為根據(jù)預(yù)定義公式的加權(quán)平均值�。需要將各個(gè)背景分?jǐn)?shù)組合成表示當(dāng)前應(yīng)用對(duì)于患者的數(shù)據(jù)記錄的總可信度的單個(gè)背景分?jǐn)?shù)����。簡(jiǎn)單的平均或加權(quán)平均可以用于將不同的背景分?jǐn)?shù)組合成單個(gè)總分?jǐn)?shù)�����。這在給定的圍繞該應(yīng)用的所有不同情形的情況下提供了簡(jiǎn)單而有效的方法��,通過(guò)該方法可以計(jì)算當(dāng)前應(yīng)用對(duì)于健康記錄的總可信度的總度量�����。
5
有利地是����,確定與訪問(wèn)請(qǐng)求相關(guān)的一個(gè)或多個(gè)背景的步驟包括選擇關(guān)于驗(yàn)證級(jí)別�����、客戶的可信度以及訪問(wèn)時(shí)間的一個(gè)或多個(gè)背景���?����?梢栽诖_定客戶對(duì)數(shù)據(jù)記錄的訪問(wèn)權(quán)限的過(guò)程中使用任意數(shù)量的不同背景����。諸如驗(yàn)證級(jí)別(例如是使用密碼、智能卡還是生物統(tǒng)計(jì)測(cè)量)和客戶機(jī)的可信度(例如是醫(yī)院計(jì)算機(jī)還是網(wǎng)吧里的計(jì)算機(jī))之類(lèi)的背景可以用來(lái)以可靠而一致的方式確定總背景分?jǐn)?shù)���。在一個(gè)實(shí)施例中�,計(jì)算每個(gè)確定的背景的分?jǐn)?shù)的步驟包括將描述值分配給每個(gè)背景���。在這種情況下,根據(jù)背景分?jǐn)?shù)計(jì)算總分?jǐn)?shù)的步驟包括將規(guī)則策略(rules policy)應(yīng)用到描述值以獲得包括描述值的總分?jǐn)?shù)��。計(jì)算每個(gè)背景的分?jǐn)?shù)以及隨后根據(jù)各個(gè)背景分?jǐn)?shù)計(jì)算總分?jǐn)?shù)不一定必須使用數(shù)字值來(lái)實(shí)現(xiàn)�。分?jǐn)?shù)可以是任意一種尺度的加權(quán),而不僅僅是數(shù)字尺度���。例如��,背景的分?jǐn)?shù)可以選自描述值�����,諸如非常低���、低、中等、高和非常高�,并且然后可以例如使用規(guī)則策略,諸如最常出現(xiàn)的項(xiàng)��,在相同的尺度下完成對(duì)總分?jǐn)?shù)的計(jì)算����。
現(xiàn)在僅通過(guò)范例并參考附圖來(lái)描述本發(fā)明的實(shí)施例,在附圖中圖1是系統(tǒng)的示意圖�����;圖2是該系統(tǒng)的示出了更多細(xì)節(jié)的另一示意圖���;圖3至5是背景記分方案的示意圖�����;圖6是XACML系統(tǒng)中的數(shù)據(jù)流的示意圖����;圖7是備選背景記分方案的示意圖��;圖8是該系統(tǒng)的另一示意圖��;以及圖9是該系統(tǒng)的另一實(shí)施例的示意圖。
具體實(shí)施例方式只有考慮了須知標(biāo)準(zhǔn)以及已評(píng)估的背景和對(duì)象屬性的確定性時(shí)才需要公開(kāi)私有健康信息��。在該系統(tǒng)中���,提供了一種方法����,其中基于背景信息的確定性/可信度來(lái)動(dòng)態(tài)地改變用于訪問(wèn)特定健康信息記錄的訪問(wèn)控制和/或使用權(quán)限�����。還可以使用須知級(jí)別來(lái)應(yīng)用這種動(dòng)態(tài)改變來(lái)獲知私有健康信息��?;鞠敕ㄊ莿?dòng)態(tài)地改變(最小化)客戶訪問(wèn)私有健康信息記錄的訪問(wèn)控制和/或使用權(quán)限���。這基于在評(píng)估許可或訪問(wèn)控制策略中使用的屬性確定性級(jí)別來(lái)進(jìn)行���。該確定性級(jí)別可以被分配給每個(gè)背景屬性,例如為{對(duì)象ID�,確定性0. 33},或者可以根據(jù)其他背景屬性來(lái)計(jì)算該確定性級(jí)別����。同樣可以基于須知條件的強(qiáng)度級(jí)別來(lái)改變?cè)L問(wèn)權(quán)限���。該方法具有以下優(yōu)點(diǎn)。首先更好地保護(hù)了隱私�����,因此有效地實(shí)現(xiàn)了相關(guān)法規(guī)的要求�����。如果訪問(wèn)信息的人真正地需要原始權(quán)限�����,那么將維持訪問(wèn)該信息的原始權(quán)限,這些是自動(dòng)確定的。系統(tǒng)通過(guò)基于背景信息的確定性最小化使用權(quán)限來(lái)最小化安全威脅���。然而���,所提出的方法和系統(tǒng)仍然保留了訪問(wèn)私有健康信息記錄的靈活性��。例如�����,醫(yī)生可以在他們的家中或者在公共網(wǎng)吧處訪問(wèn)信息(盡管他們具有最小的權(quán)限)��。應(yīng)當(dāng)注意的是�,最小化級(jí)別可以由合適的管理當(dāng)局或信息對(duì)象所限定的策略來(lái)確定。圖1是系統(tǒng)的高級(jí)概念框圖����,其中DRM客戶端10接收使用權(quán)限14和背景信息12的可信度分?jǐn)?shù)。因此�����,基于背景信息12 的可信度分?jǐn)?shù)�����,最小化原始使用權(quán)限14��,并且合適的輸出16示出了減小的權(quán)限��。
圖2是系統(tǒng)的更為詳細(xì)的描述�。在步驟(1)���,DRM客戶端10向許可服務(wù)器18請(qǐng)求對(duì)特定資產(chǎn)(或資源)的權(quán)限����,其中該資產(chǎn)為客戶端想要訪問(wèn)的記錄。在步驟O)���,許可服務(wù)器18向DRM客戶端10發(fā)送特定資產(chǎn)的原始權(quán)限和條件以及最小化策略�。在步驟(3)����,DRM 客戶端10向背景評(píng)估器20請(qǐng)求背景信息的可信度。背景評(píng)估器20將可信度分?jǐn)?shù)分配給來(lái)自每個(gè)寬泛類(lèi)別中的背景信息的各個(gè)背景信息中的每個(gè)��,并計(jì)算總可信度分?jǐn)?shù)(諸如平均值)�����?����;蛘?�,DRM客戶端10本身可以基于其他背景信息分配這些值�。在步驟0)�����,背景評(píng)估器20將背景信息的可信度(或確定性分?jǐn)?shù))轉(zhuǎn)發(fā)到DRM客戶端10�����。在步驟( �,DRM客戶端10基于可信度分?jǐn)?shù)最小化權(quán)限并且將該最小化的權(quán)限分配給用于特定訪問(wèn)的對(duì)象�����。該系統(tǒng)提供了一種在DRM系統(tǒng)中最小化權(quán)限的方法�。以下給出了如何基于不同類(lèi)別的可用背景信息的確定性來(lái)最小化權(quán)限的構(gòu)造,但可以使用其他不同級(jí)別的背景信息����。 許多不同事物可以用作與訪問(wèn)患者健康記錄相關(guān)的背景。諸如做出訪問(wèn)請(qǐng)求的機(jī)器的位置或日期時(shí)間等之類(lèi)的事物可以用作與訪問(wèn)請(qǐng)求相關(guān)的背景���。在計(jì)算所使用的所有背景的總分?jǐn)?shù)之前,分別為每個(gè)使用的背景打分����。背景信息可以與做出訪問(wèn)請(qǐng)求的客戶端正使用的驗(yàn)證類(lèi)型相關(guān)�����。背景評(píng)估器可以使用來(lái)確定可信度的第一類(lèi)別的背景信息是用于訪問(wèn)私有健康信息記錄的驗(yàn)證類(lèi)型�。圖3 示出了不同類(lèi)型的驗(yàn)證以及其相應(yīng)的分?jǐn)?shù)�����。如果僅使用一個(gè)因素的驗(yàn)證�����,那么為其分配的確定性分?jǐn)?shù)將會(huì)很低�,然而,如果使用兩個(gè)因素的驗(yàn)證��,那么為其分配的確定性分?jǐn)?shù)將會(huì)相對(duì)較高�����。因此��,對(duì)于三個(gè)因素的驗(yàn)證����,確定性將是最高的�����。圖3示出了為了訪問(wèn)信息而使用的不同類(lèi)型的驗(yàn)證����,因此基于用來(lái)訪問(wèn)私有健康信息記錄的驗(yàn)證類(lèi)型來(lái)分配確定性(或可信度)分?jǐn)?shù)���,該分?jǐn)?shù)之后用于最小化使用權(quán)限���。這示出了系統(tǒng)與權(quán)限用戶對(duì)話的確定性的不同級(jí)別,即系統(tǒng)在多大程度上確定訪問(wèn)請(qǐng)求來(lái)自真實(shí)用戶�。如圖4所示,另一背景信息類(lèi)別可以與客戶端的惡意相關(guān)���。這示出了請(qǐng)求訪問(wèn)私有健康信息記錄的客戶端的可信度(或確定性)分?jǐn)?shù)���。可以考慮的第二類(lèi)別的背景信息是請(qǐng)求訪問(wèn)私有健康信息的DRM客戶端的可信度��。例如��,醫(yī)生可以從其辦公室使用其辦公室個(gè)人計(jì)算機(jī)(PC)或者從家中使用公司便攜式電腦來(lái)訪問(wèn)信息記錄���。在這種情況下��,客戶端的可信度很高�����,因此為其分配的分?jǐn)?shù)將會(huì)是最高的���。然而,如果醫(yī)生設(shè)法從他們的家用個(gè)人計(jì)算機(jī)訪問(wèn)信息�,那么DRM客戶端的可信度將會(huì)較低,因此為其分配的分?jǐn)?shù)將會(huì)相對(duì)較低�����。 如果醫(yī)生從公共網(wǎng)吧訪問(wèn)信息����,客戶端的可信度將會(huì)非常低并且為其分配的分?jǐn)?shù)將會(huì)最低。圖4示出了可以從其訪問(wèn)信息的不同客戶端的可信度以及為其分配的相應(yīng)確定性(或可信度)分?jǐn)?shù)(客戶端不是惡意的可能性)��。背景信息還可以與訪問(wèn)時(shí)間相關(guān)����。發(fā)揮作用的背景信息的第三類(lèi)別是訪問(wèn)私有健康信息的時(shí)間���。這對(duì)確定須知要求是有用的。例如��,如果在正常工作時(shí)間訪問(wèn)某個(gè)信息���,那么真正需要該信息以及該信息被用于正當(dāng)目的的可能性會(huì)很高��,然而�����,如果在非工作時(shí)間設(shè)法訪問(wèn)信息���,那么該信息用于正當(dāng)目的以及真正需要該信息的可能性會(huì)相對(duì)較低。圖5 示出了訪問(wèn)信息的兩個(gè)不同時(shí)間間隔以及其相應(yīng)的確定性(或可信度分?jǐn)?shù))�����。在上述部分中�����,在計(jì)算可信度(或確定性)分?jǐn)?shù)時(shí),集中關(guān)注三種不同主要類(lèi)別的背景信息��,并且這是用來(lái)示出這些類(lèi)別的背景信息是如何幫助確定不同背景屬性的確定性 (或可信度)以及須知級(jí)別的���。以下部分將給出一種如何將來(lái)自這三個(gè)方面或背景的知識(shí)相組合以獲得總信賴分?jǐn)?shù)(或可信度)分?jǐn)?shù)的方法。在收集了不同類(lèi)型的背景信息并且將信賴分?jǐn)?shù)分別分配給每個(gè)背景信息之后���,計(jì)算總可信度分?jǐn)?shù)的一種方式是將來(lái)自每種類(lèi)別的各個(gè)背景信息中的每個(gè)的信賴分?jǐn)?shù)進(jìn)行組合并使它們標(biāo)準(zhǔn)化��。例如�����,如果醫(yī)生在非工作時(shí)間通過(guò)使用兩個(gè)因素的驗(yàn)證從他們的家用個(gè)人計(jì)算機(jī)來(lái)訪問(wèn)私有健康信息����,那么總可信度分?jǐn)?shù)計(jì)算如下信賴分?jǐn)?shù)=(驗(yàn)證分?jǐn)?shù)+位置分?jǐn)?shù)+時(shí)間分?jǐn)?shù))/3信賴分?jǐn)?shù)=(0.66+0. 66+0. 5) /3 = 0. 6067�。以上的可信度分?jǐn)?shù)“信賴分?jǐn)?shù)”在背景評(píng)估器20處計(jì)算,或備選地在DRM客戶端 10處計(jì)算�����。然后����,基于該信賴分?jǐn)?shù)的值來(lái)最小化原始使用權(quán)限���。例如,如果權(quán)限策略所限定的原始使用權(quán)限為權(quán)限={查看��、修改����、打印、轉(zhuǎn)發(fā)����、委托、刪除}�����,那么基于該信賴分?jǐn)?shù)����, 可以按以下方式最小化權(quán)限。DRM客戶端20從許可發(fā)行器接收對(duì)每種權(quán)限的從間隔
的閾值���,其如下所示{查看一0. 2���,修改一0. 5�����,打印一0. 6�,轉(zhuǎn)發(fā)一0. 7���,委托一0. 8,刪除 —0. 9}���。權(quán)限策略限定了關(guān)于被訪問(wèn)的記錄的多個(gè)不同權(quán)限����,其中每個(gè)權(quán)限都具有各自的最小分?jǐn)?shù)����。基于已計(jì)算的信賴分?jǐn)?shù)(0. 6067)��,DRM客戶端允許用戶僅執(zhí)行為其分配的閾值高于信賴分?jǐn)?shù)(即上述范例中的0.6067)的權(quán)限��。因此�,最小化的(可執(zhí)行)使用權(quán)限如下給出�,可執(zhí)行權(quán)限={查看����、修改、打印}���。這示出了對(duì)于醫(yī)生使用兩個(gè)因素的驗(yàn)證從他們的家用計(jì)算機(jī)在工作時(shí)間之外訪問(wèn)健康記錄的給定背景下�����,他們所確定的訪問(wèn)權(quán)限將為查看�����、修改以及打印該紀(jì)錄����。在該特定背景下拒絕給予醫(yī)生其他的訪問(wèn)權(quán)限(轉(zhuǎn)發(fā)����、委托以及刪除)。這說(shuō)明了權(quán)限被最小化的中心概念����。圖6圖示了基于可信度或須知概念在XACML系統(tǒng)中最小化權(quán)限(行為)���。以下將簡(jiǎn)要描述上述權(quán)限最小化概念如何在XACML系統(tǒng)中工作。首先����,重要的是要注意到,在XACML 系統(tǒng)中權(quán)限被稱(chēng)為行為��。因此���,從這里開(kāi)始,行為和權(quán)限將被認(rèn)為是互相等同的��。圖6示出了 XACML系統(tǒng)的數(shù)據(jù)流框圖�����。將簡(jiǎn)要描述數(shù)據(jù)流框圖中的每個(gè)步驟����,并且還解釋在哪個(gè)框圖以及在哪個(gè)步驟處可以根據(jù)背景信息的可信度來(lái)最小化權(quán)限。在步驟(1)���,PAP (策略管理點(diǎn))22寫(xiě)入策略和策略組并且使其可用于PDP (策略決定點(diǎn))24��。這些策略或策略組表示用于特定目標(biāo)的完整策略���。假設(shè)所述策略擴(kuò)展為包含每個(gè)行為的閾值��。在步驟0)����,訪問(wèn)請(qǐng)求器26將訪問(wèn)請(qǐng)求發(fā)送到PEP(策略實(shí)施點(diǎn))28��。在步驟(3)���,該P(yáng)EP 28以其自身的請(qǐng)求格式將訪問(wèn)請(qǐng)求發(fā)送到背景處理器30�,該請(qǐng)求格式任選地包括對(duì)象����、資源、行為和環(huán)境的屬性��。在步驟0)����,背景處理器30從PIP (策略信息點(diǎn))32請(qǐng)求屬性或背景信息。在步驟 (5), PIP 32從對(duì)象M�����、資源36和環(huán)境38獲得所請(qǐng)求的屬性以及不同類(lèi)別的背景信息。在步驟(6)��,PIP 32將所請(qǐng)求的屬性返回到背景處理器30�����。假設(shè)PIP 32將確定性信息附加到每個(gè)屬性��?����;蛘?����,背景處理器30可以基于其他背景屬性來(lái)計(jì)算確定性信息����。在步驟(7)��, 任選地���,背景處理器30將資源36包括在背景中�。在步驟(8),背景處理器30構(gòu)建XACML請(qǐng)求背景并將其發(fā)送到PDP 24����。這里,PDP M可以被看作與DRM客戶端10等同��,背景處理器30可以被看作與背景評(píng)估器20等同���。如果需要的話�,PDP 9從背景處理器30請(qǐng)求任何附加的對(duì)象�、資源、行為和環(huán)境的屬性��。如果還沒(méi)有將確定性信息分配給屬性�����,那么背景處理器30將信賴分?jǐn)?shù)分配給每個(gè)類(lèi)別的背景
8信息中的每個(gè)屬性并計(jì)算平均可信度分?jǐn)?shù)�����。這之后連同其他對(duì)象、資源���、行為和環(huán)境的屬性一起被轉(zhuǎn)發(fā)到PDP 24����。在步驟(9)�,PDP M評(píng)估策略并基于總可信度分?jǐn)?shù)最小化原始使用權(quán)限(或XACML 語(yǔ)言中的行為)。還可以在PDP M而不是在背景處理器30處將可信度分?jǐn)?shù)分配給每個(gè)類(lèi)別的背景信息中的每個(gè)屬性并計(jì)算平均可信度分?jǐn)?shù)�����,以及在該平均可信度分?jǐn)?shù)的基礎(chǔ)上�����, 可以最小化原始使用權(quán)限(或行為)�����。在步驟(10�����,標(biāo)記為A)�,PDP M將響應(yīng)背景(包括授權(quán)決定)返回到背景處理器30。在步驟(11����,標(biāo)記為B),背景處理器30將響應(yīng)背景轉(zhuǎn)換為PEP觀的固有響應(yīng)格式��。背景處理器30將響應(yīng)返回到PEP 28����。在步驟(12,標(biāo)記為C)�����, PEP 28實(shí)施與責(zé)任服務(wù)40相關(guān)的責(zé)任�。還可以在DRM服務(wù)器側(cè)而不是客戶端側(cè)評(píng)估背景信息。在評(píng)估了背景信息的確定性之后����,原始使用權(quán)限被相應(yīng)地最小化。因此��,在這種情況下�����,具有有限使用權(quán)限的數(shù)據(jù)隨后將被轉(zhuǎn)發(fā)到DRM客戶端。盡管上文已經(jīng)考慮了三種不同的主要類(lèi)別的背景信息��,但是還可以考慮其他類(lèi)別的背景信息���,如緊急情況等���。盡管優(yōu)選給出了計(jì)算總信賴分?jǐn)?shù)的方法,但是也存在任意數(shù)量的其他不同方法用來(lái)根據(jù)為背景信息靜態(tài)分配的各個(gè)信賴分?jǐn)?shù)來(lái)計(jì)算總信賴分?jǐn)?shù)��。如圖7所示�����,代替將靜態(tài)信賴分?jǐn)?shù)分配給背景信息并且然后計(jì)算總(平均)可信度的是�,可以使用不同的描述值而不是數(shù)字分?jǐn)?shù)來(lái)指示每個(gè)不同背景信息的信賴度。該圖示出了驗(yàn)證類(lèi)型以及其相應(yīng)的描述型信賴分?jǐn)?shù)�����。這同樣可以適用于其他類(lèi)別的背景信息��。 可以基于由策略限定的任意規(guī)則來(lái)計(jì)算總可信度��,諸如如果兩個(gè)背景信息的可信度級(jí)別是中等而另一個(gè)是低的�����,那么最終的可信度級(jí)別將是中等的��。相似地��,存在有將每個(gè)背景信息中的信賴度相組合并且產(chǎn)生最終的可信度級(jí)別的其他規(guī)則����。因此,基于最終的可信度級(jí)別��, 即低信賴�、中等信賴和高信賴,可以最小化原始使用權(quán)限��。代替計(jì)算平均信賴分?jǐn)?shù)的是���,可以基于每個(gè)類(lèi)別的背景信息的重要性計(jì)算加權(quán)的平均值��。為每個(gè)類(lèi)別分配權(quán)重����,例如����,“驗(yàn)證類(lèi)型”的權(quán)重是0. 5����,“客戶端的可信度”的權(quán)重是0. 3��,“訪問(wèn)時(shí)間”的權(quán)重是0. 2���。再一次重新使用先前的范例��,即醫(yī)生在非工作時(shí)間通過(guò)使用兩個(gè)因素的驗(yàn)證從他的家用個(gè)人計(jì)算機(jī)來(lái)訪問(wèn)私有健康信息���,則可信度分?jǐn)?shù)計(jì)算如下加權(quán)信賴分?jǐn)?shù)=(0. 5*驗(yàn)證分?jǐn)?shù)+0. 3*客戶端分?jǐn)?shù)+0. 2*時(shí)間分?jǐn)?shù))/ (0. 5+0. 3+0. 2)加權(quán)信賴分?jǐn)?shù)=(0.5**0. 66+0. 3*66+0. 2*0. 5)/1加權(quán)信賴分?jǐn)?shù)=(0.33+0. 198+0. 1)/1 = 0. 2093圖8圖示了醫(yī)生在非工作時(shí)間通過(guò)使用兩個(gè)因素的驗(yàn)證從他的家用個(gè)人計(jì)算機(jī)訪問(wèn)私有健康信息的特定范例,但是其中利用未加權(quán)的平均值用于計(jì)算總分?jǐn)?shù)�����。向DRM客戶端10發(fā)出關(guān)于患者的數(shù)據(jù)記錄36的訪問(wèn)請(qǐng)求42����。客戶端10還可以訪問(wèn)該數(shù)據(jù)記錄36 的權(quán)限策略14�。客戶端10被連接到背景評(píng)估器20���,盡管DRM客戶端10本身也可以實(shí)現(xiàn)背景評(píng)估器20的功能����。背景評(píng)估器將進(jìn)行會(huì)導(dǎo)致做出請(qǐng)求42的客戶的訪問(wèn)權(quán)限最小化的計(jì)笪弁�����。背景評(píng)估器20確定與訪問(wèn)請(qǐng)求42相關(guān)的一個(gè)或多個(gè)背景12�,并計(jì)算每個(gè)確定的背景12的分?jǐn)?shù)44。該分?jǐn)?shù)根據(jù)所獲得的關(guān)于特定背景的信息來(lái)表示背景中的信賴級(jí)別�。 背景評(píng)估器20根據(jù)背景分?jǐn)?shù)44計(jì)算總分?jǐn)?shù)46,在這種情況下為分?jǐn)?shù)44的直接平均值�。背景評(píng)估器20訪問(wèn)記錄36的權(quán)限策略14。權(quán)限策略14限定了關(guān)于記錄36的多個(gè)不同權(quán)限��,每個(gè)權(quán)限都具有各自的最小分?jǐn)?shù)��,并且背景評(píng)估器20根據(jù)總分?jǐn)?shù)46與權(quán)限策略14中每個(gè)權(quán)限的分?jǐn)?shù)的比較結(jié)果來(lái)確定客戶的訪問(wèn)權(quán)限���。計(jì)算每個(gè)背景的分?jǐn)?shù)以及之后根據(jù)各個(gè)背景分?jǐn)?shù)計(jì)算總分?jǐn)?shù)并不一定必須使用數(shù)字值來(lái)實(shí)現(xiàn)���。分?jǐn)?shù)可以是任意一種尺度的加權(quán),而不僅僅是數(shù)字尺度�����。例如,背景分?jǐn)?shù)可以從非常低�����、低�����、中等��、高和非常高中選擇�,隨后總分?jǐn)?shù)計(jì)算可以使用例如最常出現(xiàn)的項(xiàng)在相同的尺度下進(jìn)行。實(shí)際上�,不同的記分尺度可以用于不同的背景,只要總分?jǐn)?shù)的計(jì)算使用一種能夠處理不同的輸入?yún)?shù)并提供表示所組合背景的總信任分?jǐn)?shù)的有意義結(jié)果的算法即可�。圖9示出了另一實(shí)施例,其中許可服務(wù)器18還可以訪問(wèn)審計(jì)日志48���。這里使用一種方法���,其中基于根據(jù)記錄用戶所有行為的審計(jì)日志48(或用于計(jì)算系統(tǒng)中的用戶聲譽(yù)的任何其他來(lái)源)而計(jì)算得到的用戶行為或聲譽(yù)來(lái)動(dòng)態(tài)地改變對(duì)私有電子健康信息記錄或者任何其他類(lèi)型的敏感數(shù)據(jù)的訪問(wèn)和使用權(quán)限。圖9示出了該系統(tǒng)。在步驟(1)����,DRM客戶端10向許可服務(wù)器18請(qǐng)求對(duì)特定記錄的權(quán)限。在步驟O)���,許可服務(wù)器18基于根據(jù)在服務(wù)器18處的審計(jì)日志48而計(jì)算得到的聲譽(yù)分?jǐn)?shù)或行為分?jǐn)?shù)來(lái)最小化用戶的原始權(quán)限�。這是第一級(jí)別的最小化權(quán)限�。在步驟(3)�, 許可服務(wù)器18向DRM客戶端10發(fā)送該特定記錄的第一級(jí)別的最小化使用權(quán)限和條件以及最小化策略。在步驟(4)�����,DRM客戶端10向背景評(píng)估器20請(qǐng)求背景信息的可信度���。背景評(píng)估器20將可信度分?jǐn)?shù)分配給來(lái)自每個(gè)寬泛類(lèi)別的背景信息中的每個(gè)背景信息���,并計(jì)算平均可信度分?jǐn)?shù)?����;蛘撸珼RM客戶端10自身可以基于其他背景信息來(lái)分配這些值���。在步驟( �����,背景評(píng)估器20將背景信息的可信度(或確定性分?jǐn)?shù))轉(zhuǎn)發(fā)到DRM客戶端10�����。在步驟(6)�����,DRM客戶端10基于可信度分?jǐn)?shù)進(jìn)一步最小化權(quán)限并將最終最小化的權(quán)限分配到特定時(shí)間和特定記錄的對(duì)象�。除了根據(jù)背景來(lái)最小化權(quán)限之外����,這一改進(jìn)的實(shí)施例的優(yōu)點(diǎn)在于還根據(jù)用戶過(guò)去的行為(或聲譽(yù))來(lái)最小化使用權(quán)限,這相當(dāng)于懲罰用戶�����。使用權(quán)限可以僅基于用戶過(guò)去的行為(或聲譽(yù))來(lái)進(jìn)行修改���,而不用考慮背景信息的可信度�。因此,在這種情況下�����,使用權(quán)限不會(huì)被進(jìn)一步最小化�����。根據(jù)用戶過(guò)去的行為(或聲譽(yù))將權(quán)限最小化可以在DRM客戶端或AC系統(tǒng)的PDP處進(jìn)行�,而不是在服務(wù)器側(cè)進(jìn)行。
權(quán)利要求
1.一種動(dòng)態(tài)地確定客戶端(10���、26)對(duì)記錄(36)的訪問(wèn)權(quán)限的方法,包括 -從所述客戶端(10�����、26)接收關(guān)于所述記錄(36)的訪問(wèn)請(qǐng)求02)�,-確定與所述訪問(wèn)請(qǐng)求0 相關(guān)的一個(gè)或多個(gè)背景(12), -計(jì)算每個(gè)確定的背景(1 的背景分?jǐn)?shù)04)����, -根據(jù)所述背景分?jǐn)?shù)G4)計(jì)算總分?jǐn)?shù)06),-訪問(wèn)所述記錄(36)的權(quán)限策略(14),所述權(quán)限策略(14)限定了關(guān)于所述記錄的多個(gè)不同權(quán)限�����,每個(gè)權(quán)限都具有各自的最小分?jǐn)?shù)�����,以及-根據(jù)所述總分?jǐn)?shù)G6)與所述權(quán)限策略(14)中每個(gè)權(quán)限的分?jǐn)?shù)的比較結(jié)果來(lái)確定所述客戶端的訪問(wèn)權(quán)限�����。
2.根據(jù)權(quán)利要求1所述的方法���,其中�����,根據(jù)所述背景分?jǐn)?shù)G4)計(jì)算總分?jǐn)?shù)G6)的步驟包括計(jì)算所述背景分?jǐn)?shù)G4)的平均值�����。
3.根據(jù)權(quán)利要求2所述的方法�����,其中��,所述平均值是根據(jù)預(yù)定義公式的加權(quán)平均值��。
4.根據(jù)權(quán)利要求1�����、2或3所述的方法��,其中�,確定與所述訪問(wèn)請(qǐng)求0 相關(guān)的一個(gè)或多個(gè)背景(1 的步驟包括選擇驗(yàn)證級(jí)別、客戶端的可信度和訪問(wèn)時(shí)間中的一個(gè)或多個(gè)背景(12)�。
5.根據(jù)前述權(quán)利要求中的任一項(xiàng)所述的方法,其中����,確定所述客戶端的訪問(wèn)權(quán)限的步驟包括將所述客戶端的訪問(wèn)權(quán)限限制為少于由所述權(quán)限策略(14)所限定的全部權(quán)限�。
6.根據(jù)前述權(quán)利要求中的任一項(xiàng)所述的方法,還包括將消息傳送給所述客戶端(10�����、 26)����,所述消息包括所述客戶端的訪問(wèn)權(quán)限���。
7.根據(jù)前述權(quán)利要求中的任一項(xiàng)所述的方法,其中��,計(jì)算每個(gè)確定的背景(1 的背景分?jǐn)?shù)G4)的步驟包括將描述值分配給每個(gè)背景(12)����。
8.根據(jù)權(quán)利要求7所述的方法,其中���,根據(jù)所述背景分?jǐn)?shù)04)計(jì)算總分?jǐn)?shù)G6)的步驟包括將規(guī)則策略應(yīng)用到所述描述值以獲得包括描述值的總分?jǐn)?shù)G6)���。
9.根據(jù)前述權(quán)利要求中的任一項(xiàng)所述的方法,還包括訪問(wèn)限定了所述客戶端(10�、26) 的先前聲譽(yù)和/或行為的審計(jì)日志G8)并根據(jù)所述審計(jì)日志G8)來(lái)最小化所述權(quán)限策略。
10.一種用于動(dòng)態(tài)地確定客戶端(10���、26)對(duì)記錄(36)的訪問(wèn)權(quán)限的系統(tǒng)���,包括 -許可服務(wù)器(18),其被布置成存儲(chǔ)所述記錄(36)的權(quán)限策略(14)����,所述權(quán)限策略(14)限定了關(guān)于所述記錄(36)的多個(gè)不同權(quán)限�,每個(gè)權(quán)限具有各自的最小分?jǐn)?shù)�, -部件(10 J6),其被布置成接收關(guān)于所述記錄(36)的訪問(wèn)請(qǐng)求(42)��,以及 -背景評(píng)估器(20)���,其被布置成確定與所述訪問(wèn)請(qǐng)求0 相關(guān)的一個(gè)或多個(gè)背景 (12)���,計(jì)算每個(gè)確定的背景(1 的分?jǐn)?shù)(44),根據(jù)所述背景分?jǐn)?shù)04)計(jì)算總分?jǐn)?shù)(46)��,訪問(wèn)所述記錄(36)的所述權(quán)限策略(14)��,以及根據(jù)所述總分?jǐn)?shù)G6)與所述權(quán)限策略(14)中每個(gè)權(quán)限的分?jǐn)?shù)的比較結(jié)果來(lái)確定所述客戶端的訪問(wèn)權(quán)限��。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)�����,其中���,所述背景評(píng)估器00)被布置成在根據(jù)所述背景分?jǐn)?shù)G4)計(jì)算總分?jǐn)?shù)G6)時(shí)�,計(jì)算所述背景分?jǐn)?shù)的平均值��。
12.根據(jù)權(quán)利要求11所述的系統(tǒng)��,其中�����,所述平均值是根據(jù)預(yù)定義公式的加權(quán)平均值�。
13.根據(jù)權(quán)利要求10、11或12所述的系統(tǒng)���,其中�,所述背景評(píng)估器00)被布置成在確定與所述訪問(wèn)請(qǐng)求相關(guān)的一個(gè)或多個(gè)背景(1 時(shí)����,選擇驗(yàn)證級(jí)別、客戶端的可信度和訪問(wèn)時(shí)間中的一個(gè)或多個(gè)背景(12)���。
14.根據(jù)權(quán)利要求10至13中的任一項(xiàng)所述的系統(tǒng)�����,其中����,所述背景評(píng)估器00)被布置成在確定所述客戶端的訪問(wèn)權(quán)限時(shí),將所述客戶端的訪問(wèn)權(quán)限限制為少于由所述權(quán)限策略 (14)所限定的全部權(quán)限��。
全文摘要
一種動(dòng)態(tài)確定客戶端對(duì)記錄的訪問(wèn)權(quán)限的方法�,該方法包括從所述客戶端接收關(guān)于記錄的訪問(wèn)請(qǐng)求,確定與所述訪問(wèn)請(qǐng)求相關(guān)的一個(gè)或多個(gè)背景��,計(jì)算每個(gè)確定的背景的背景分?jǐn)?shù)����,根據(jù)所述背景分?jǐn)?shù)計(jì)算總分?jǐn)?shù),訪問(wèn)所述記錄的權(quán)限策略����,該權(quán)限策略限定了關(guān)于該記錄的多個(gè)不同權(quán)限,每個(gè)權(quán)限都具有各自的最小分?jǐn)?shù)�,以及根據(jù)所述總分?jǐn)?shù)與所述權(quán)限策略中每個(gè)權(quán)限的分?jǐn)?shù)的比較結(jié)果來(lái)確定所述客戶端的訪問(wèn)權(quán)限。
文檔編號(hào)G06F21/62GK102449633SQ201080023603
公開(kāi)日2012年5月9日 申請(qǐng)日期2010年5月28日 優(yōu)先權(quán)日2009年6月1日
發(fā)明者M·彼特科維克, M·阿希姆, 屈勁 申請(qǐng)人:皇家飛利浦電子股份有限公司