專利名稱:使用個人標(biāo)識信息標(biāo)簽和目的服務(wù)功能集合的pii數(shù)據(jù)訪問控制工具的實(shí)現(xiàn)和使用的制作方法
技術(shù)領(lǐng)域:
本發(fā)明總體涉及計(jì)算機(jī)系統(tǒng)內(nèi)的個人信息的安全��,更具體地���,涉及控制用戶對企業(yè)的計(jì)算機(jī)系統(tǒng)內(nèi)的個人標(biāo)識信息(PII)對象或資源的訪問的條件訪問工具的實(shí)現(xiàn)和使用��。
背景技術(shù):
計(jì)算和通信技術(shù)上的發(fā)展通過使人們以及機(jī)構(gòu)能夠存儲和處理大量的個人信息而不斷使保密性降低。為了實(shí)現(xiàn)數(shù)據(jù)的保密性�,必須保護(hù)所存儲的數(shù)據(jù)、傳送中的數(shù)據(jù)�,并對數(shù)據(jù)的發(fā)布進(jìn)行某種控制����。由于所存儲數(shù)據(jù)的保護(hù)在某種程度上被出現(xiàn)的保密性策略語言以及它們的施行所涵蓋�����,因此目前不存在確保其正確使用因而控制企業(yè)計(jì)算工具內(nèi)的個人標(biāo)識信息的發(fā)布的機(jī)制����。
傳統(tǒng)上,管理計(jì)算機(jī)系統(tǒng)的安全需要將一個機(jī)構(gòu)的安全策略映射為一個相對較低級別的控制集合�,其通常為訪問控制列表。即����,假設(shè)各個用戶(個人或邏輯過程)首先以滿足條件的方式向計(jì)算機(jī)系統(tǒng)進(jìn)行標(biāo)識和認(rèn)證,然后��,他們對該受保護(hù)的計(jì)算機(jī)系統(tǒng)內(nèi)的文檔����、程序、工具和其他“對象”的訪問均由安全系統(tǒng)(例如系統(tǒng)安全管理器)來控制��,這種控制僅通過將該用戶的名字與有資格訪問該指定對象的人員的名字列表進(jìn)行比較來實(shí)現(xiàn)��。一般而言,這種技術(shù)稱作自主訪問控制或DAC�����。
根據(jù)廣泛使用在美國政府以及其他地方的更加完善且成熟的用于計(jì)算機(jī)系統(tǒng)的安全的模型�����,對計(jì)算系統(tǒng)中的對象的訪問能夠由分割的邏輯系統(tǒng)來控制���,該分割的邏輯系統(tǒng)是經(jīng)由與用戶以及受保護(hù)的計(jì)算機(jī)資源對象相關(guān)聯(lián)的邏輯安全級別(其是分級的)和/或分類(其不是分級的)而實(shí)現(xiàn)的�。這種系統(tǒng)稱作“多級安全”(“MLS”)系統(tǒng)����,是由D.Bell和L.LaPadula在“Secure computer systemsMathematical foundations and model”(MITRE Report,MTR 2547����,1973年11月)中定義的Bell-LaPadula安全模型的實(shí)現(xiàn)。
在MLS系統(tǒng)中��,認(rèn)為與最高安全級別和最大數(shù)量的分類相關(guān)聯(lián)(通過指派)的用戶在該系統(tǒng)中具有最高的安全級別�。當(dāng)請求用戶(在向計(jì)算系統(tǒng)進(jìn)行適當(dāng)?shù)臉?biāo)識和認(rèn)證之后)具有至少與被請求對象一樣高的相關(guān)安全級別并且該用戶具有包括與該被請求對象相關(guān)聯(lián)的分類在內(nèi)的一組分類(一個或以上)時,向該用戶準(zhǔn)予對該受保護(hù)對象進(jìn)行讀取的權(quán)利。在這種情況下��,認(rèn)為該用戶“優(yōu)于”該對象���。相反,當(dāng)被請求對象具有至少與請求用戶一樣高的相關(guān)安全級別并且該對象具有包括至少與該請求用戶相關(guān)聯(lián)的分類在內(nèi)的一組分類時�,向該用戶準(zhǔn)予對MLS保護(hù)對象進(jìn)行寫的權(quán)利。在這種情況下�,認(rèn)為該對象優(yōu)于該用戶。根據(jù)這些準(zhǔn)則����,能夠看出,如Bell-LaPadula模型所定義的��,當(dāng)從一個對象讀取MLS保護(hù)信息并將其寫入另一個對象時�,隨著該信息從較低安全級別移向較高安全級別和/或從較少分類移向更多的分類,該MLS保護(hù)信息只會變得更加安全�����。反過來���,K.Biba在“Integrity considerations for secure computer systems”(Technical Report 76-372�����,U.S.Air Force Electronic Systems Division���,1977)中描述了作為Bell-LaPadula模型的有效倒置的用于認(rèn)證檢查的模型�。Biba說明了數(shù)據(jù)和程序設(shè)計(jì)系統(tǒng)的完整性取決于該數(shù)據(jù)和在其創(chuàng)建中所使用的程序設(shè)計(jì)系統(tǒng)的完整性����,以及用于確保這種完整性的處理模型。目前Bell-LaPadula(MLS)模型和該Biba模型的“MLS倒置”模型均在計(jì)算產(chǎn)業(yè)內(nèi)使用�,例如在作為國際商業(yè)機(jī)器公司(IBM)提供的z/OS操作系統(tǒng)的可選組件的程序產(chǎn)品Resource Access Control Facility(RACF)內(nèi)使用。z/體系結(jié)構(gòu)在2001年10月出版物號為SA22-7832-01��、標(biāo)題為“z/Architecture Principles of Operation”的IBM出版物中進(jìn)行了描述�����。此外���,RACF在IBM公司2002年9月的SA22-7683-03���、標(biāo)題為“z/OSV1R4.0 Security Server RACF Security Administrator’s Guide”的出版物中進(jìn)行了描述。
發(fā)明內(nèi)容
對于PII保護(hù)對象的控制的需求傾向于一種涉及所保護(hù)的對象和訪問它們的用戶的分類化的方法����?�?梢砸灶愃朴谙騇LS受保護(hù)對象指派分類的方式向PII受保護(hù)對象指派目的�。然而����,對于PII數(shù)據(jù)對象的控制的需求基本上不同于對于MLS受保護(hù)對象的控制的需求���,因?yàn)楫?dāng)越多的目的(可以訪問PII數(shù)據(jù)對象的目的)與PII數(shù)據(jù)對象相關(guān)聯(lián)時����,PII數(shù)據(jù)對象需要的安全性越低����。這是因?yàn)樵酱髷?shù)量的目的意味著PII數(shù)據(jù)對象的保密性越低。即使在PII目的和MLS分類之間能夠引出相似之處����,也不存在關(guān)于分級的MLS安全級別的類似相似之處。另外��,傳統(tǒng)的MLS方法涉及用戶和對象��,但是對于PII目的,我們不能僅僅考慮用戶��,而必須考慮用戶和用戶正在運(yùn)行的程序(進(jìn)程)以及程序訪問PII數(shù)據(jù)的原因(目的)��。因此���,本領(lǐng)域中需要一種諸如這里所提出的新穎的數(shù)據(jù)訪問控制工具�,該工具實(shí)現(xiàn)有效的保密模型并且能夠準(zhǔn)確地控制個人信息的發(fā)布和傳播��,而無需過度地限制例如通過企業(yè)的信息流�。
在一個方面,本發(fā)明提供一種實(shí)現(xiàn)用于控制對PII數(shù)據(jù)對象的訪問的數(shù)據(jù)訪問控制工具的方法�����。這種方法包括向PII數(shù)據(jù)對象指派PII分類標(biāo)簽�����,其中PII數(shù)據(jù)對象具有一個指派給其的PII分類標(biāo)簽�����;定義至少一個PII目的服務(wù)功能集合(PSFS)���,該至少一個PII目的服務(wù)功能集合包括對PII數(shù)據(jù)對象進(jìn)行讀��、寫或重新分類的應(yīng)用功能的列表��;以及向每個PSFS指派PII分類標(biāo)簽�,其中經(jīng)由具有與PII數(shù)據(jù)對象的PII分類標(biāo)簽相同或是其真子集的PII分類標(biāo)簽的PII PSFS的應(yīng)用功能,該P(yáng)II數(shù)據(jù)對象僅可訪問�����。
在一個實(shí)施例中�����,PII數(shù)據(jù)對象可由具有與該P(yáng)II數(shù)據(jù)對象的PII分類標(biāo)簽相同或優(yōu)于其的PII分類標(biāo)簽的PII PSFS的應(yīng)用功能寫入����。該P(yáng)II數(shù)據(jù)對象可由具有對于該P(yáng)II PSFS被允許的PII重新分類的列表的PII PSFS的應(yīng)用功能寫入�����。
在一個實(shí)施例中��,該方法包括識別調(diào)用上述數(shù)據(jù)訪問控制工具的特定功能的用戶�;以及向所識別的用戶指派PII許可集合�,其中該P(yáng)II許可集合包括所識別用戶的一個或多個PII分類標(biāo)簽的列表�����。
上述指派給PII數(shù)據(jù)對象的PII分類標(biāo)簽可包括該P(yáng)II數(shù)據(jù)對象的所有者的標(biāo)識���。
上述指派給PII數(shù)據(jù)對象的PII分類標(biāo)簽可包括可使用該數(shù)據(jù)對象的至少一個目的的指示�����。
該方法可包括步驟最初定義企業(yè)內(nèi)使用上述數(shù)據(jù)訪問控制工具的PII目的�;以及在定義上述指派給PII數(shù)據(jù)對象和指派給至少一個PSFS的PII分類標(biāo)簽中使用這些PII目的���。
在本發(fā)明的另一方面�����,提供一種數(shù)據(jù)訪問控制方法��,包括由數(shù)據(jù)訪問控制工具的用戶調(diào)用特定功能�,所述數(shù)據(jù)訪問控制工具具有指派給PII數(shù)據(jù)對象和至少一個PII目的服務(wù)功能集合(PSFS)的個人標(biāo)識信息(PII)分類標(biāo)簽���,該P(yáng)SFS包括對PII數(shù)據(jù)對象進(jìn)行讀或?qū)懙膽?yīng)用功能的列表���,其中該數(shù)據(jù)訪問控制工具的用戶被指派了PII許可集合�,該用戶的PII許可集合包括含有至少一個PII分類標(biāo)簽的列表����;確定上述特定功能是否被定義為上述數(shù)據(jù)訪問控制工具的至少一個PII PSFS的PII PSFS,如果是�,則確定該用戶的PII許可集合是否包括與指派給該P(yáng)II PSFS的PII分類標(biāo)簽匹配的PII分類標(biāo)簽,如果再次是�,則允許對該特定功能的訪問;以及確定該用戶是否被允許訪問所選擇的數(shù)據(jù)對象以執(zhí)行該特定功能���。
該數(shù)據(jù)訪問控制方法可以包括,在所述調(diào)用步驟之前���,在上述數(shù)據(jù)訪問控制工具的安全控制下的操作系統(tǒng)內(nèi)建立進(jìn)程�。然后�����,所述調(diào)用發(fā)生在所述建立的進(jìn)程中�����。
確定上述特定功能是否被定義的步驟可以包括如果上述特定功能未被定義為上述數(shù)據(jù)訪問控制工具的PII PSFS,并且對于所建立的進(jìn)程先前已設(shè)置了當(dāng)前進(jìn)程標(biāo)簽(CPL)�����,則拒絕對該特定功能的訪問�����。
確定該用戶是否被允許訪問所選擇的數(shù)據(jù)對象以執(zhí)行特定功能的步驟可以包括確定所選擇的數(shù)據(jù)對象是否包括PII數(shù)據(jù)對象��,如果是�,則驗(yàn)證該用戶的特定功能是否被定義為上述數(shù)據(jù)訪問控制工具的至少一個PIIPSFS的PII PSFS,如果不是�,則拒絕對所選擇的數(shù)據(jù)對象的訪問。
確定該用戶是否被允許訪問所選擇的數(shù)據(jù)對象以執(zhí)行特定功能的步驟可以包括如果所選擇的數(shù)據(jù)對象不是PII數(shù)據(jù)對象���,則確定對于所建立的進(jìn)程是否已設(shè)置了當(dāng)前進(jìn)程標(biāo)簽(CPL)�����。如果還未設(shè)置CPL��,則該方法可包括通過自主訪問控制檢查呈遞對所選擇的數(shù)據(jù)對象的訪問判定���。
確定該用戶是否被允許訪問所選擇的數(shù)據(jù)對象以執(zhí)行特定功能的步驟可以包括如果對于該進(jìn)程先前已設(shè)置了CPL并且所選擇的數(shù)據(jù)對象不是PII數(shù)據(jù)對象��,則確定該特定功能是否是讀操作�����,如果是�,則通過自主訪問控制檢查呈遞對所選擇的數(shù)據(jù)對象的訪問判定����,如果該特定功能不是讀操作,則拒絕從所建立的進(jìn)程對所選擇的數(shù)據(jù)對象的訪問�。
確定該用戶是否被允許訪問所選擇的數(shù)據(jù)對象以執(zhí)行特定功能的步驟可以包括確定該特定功能是否包括讀操作,如果是�����,則確定指派給該特定功能被定義成的PII PSFS的PII分類標(biāo)簽是否與關(guān)聯(lián)于所選擇的數(shù)據(jù)對象的PII分類標(biāo)簽相同或是其真子集��,如果不是��,則拒絕對所選擇的數(shù)據(jù)對象的訪問�,如果是���,則將所選擇的數(shù)據(jù)對象的PII分類標(biāo)簽增加到所建立的進(jìn)程的當(dāng)前進(jìn)程標(biāo)簽(CPL)列表中��。
確定該用戶是否被允許訪問所選擇的數(shù)據(jù)對象以執(zhí)行特定功能的步驟可以包括確定該特定功能是否為讀操作�,當(dāng)為是時,確定所建立的進(jìn)程的當(dāng)前進(jìn)程標(biāo)簽(CPL)列表是否存在��,如果不存在��,則允許經(jīng)由自主訪問控制檢查進(jìn)行對所選擇的數(shù)據(jù)對象的訪問判定���。
如果所建立的進(jìn)程的CPL列表存在��,則該數(shù)據(jù)訪問控制方法可以包括確定所選擇的數(shù)據(jù)對象的PII分類標(biāo)簽是否與每個CPL條目相同或是其真子集��,如果是���,則允許經(jīng)由自主訪問控制檢查來進(jìn)行對所選擇的數(shù)據(jù)對象的訪問判定。
如果該P(yáng)II數(shù)據(jù)對象的PII分類與每個CPL列表?xiàng)l目的PII分類標(biāo)簽不相同或不是其真子集���,則該方法可以包括確定該特定功能被定義成的PIIPSFS是否允許從CPL列表中的PII分類標(biāo)簽重新分類到PII數(shù)據(jù)對象的PII分類標(biāo)簽�,如果是����,則允許經(jīng)由自主訪問控制檢查來進(jìn)行對所選擇的數(shù)據(jù)對象的訪問判定,否則,拒絕該用戶對該P(yáng)II數(shù)據(jù)對象的訪問�。
該數(shù)據(jù)訪問控制方法可以包括提供所建立的進(jìn)程的當(dāng)前進(jìn)程標(biāo)簽(CPL)列表,該CPL列表包括在所建立的進(jìn)程內(nèi)讀取的每個PII數(shù)據(jù)對象的PII分類標(biāo)簽的動態(tài)列表���。
該數(shù)據(jù)訪問控制方法可以進(jìn)一步包括步驟當(dāng)該特定功能是對第二PII數(shù)據(jù)對象的寫操作時�����,在確定是否允許所建立的進(jìn)程的用戶訪問第二PII數(shù)據(jù)對象時使用上述CPL列表�����。第二PII數(shù)據(jù)對象可具有與關(guān)聯(lián)于從中讀取信息的PII數(shù)據(jù)對象的PII分類標(biāo)簽不同的PII分類標(biāo)簽�,從而對所讀取的信息進(jìn)行重新分類��。
該數(shù)據(jù)訪問控制方法可以包括提供與上述至少一個PII PSFS關(guān)聯(lián)的“允許的重新分類”的參數(shù)��,其中如果“允許的重新分類”參數(shù)被設(shè)置�����,則該參數(shù)與在對應(yīng)的至少一個PII PSFS內(nèi)定義的所有功能相關(guān)聯(lián)����,并且當(dāng)向具有與CPL列表中包含的每個PII分類標(biāo)簽不相同或不是其真子集的PII分類標(biāo)簽的PII數(shù)據(jù)對象寫入信息時,該參數(shù)允許用戶執(zhí)行這些功能的一個以對PII數(shù)據(jù)對象進(jìn)行重新分類�。
本文還描述和要求保護(hù)對應(yīng)于上面概述的方法的系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品。該計(jì)算機(jī)程序產(chǎn)品可以作為記錄在記錄介質(zhì)上的計(jì)算機(jī)程序來獲得或用于通過數(shù)據(jù)傳輸介質(zhì)下載���。該系統(tǒng)可以實(shí)現(xiàn)數(shù)據(jù)訪問控制工具�。
此外��,通過本發(fā)明的技術(shù)可以實(shí)現(xiàn)其他的特征和優(yōu)點(diǎn)����。本發(fā)明的其他實(shí)施例和方面也在本文中進(jìn)行了詳細(xì)描述并且被認(rèn)為是所要求保護(hù)的本發(fā)明的一部分。
在說明書結(jié)尾處的權(quán)利要求中具體指出并清楚地要求了被認(rèn)為是本發(fā)明的主題�����。從下面結(jié)合附圖所作的詳細(xì)描述中���,本發(fā)明的上述和其他特征以及優(yōu)點(diǎn)將顯而易見���,其中
圖1示出了根據(jù)本發(fā)明一個方面用于利用指派給其的由數(shù)據(jù)訪問控制工具使用的PII分類標(biāo)簽存儲個人標(biāo)識信息(PII)對象的方法的一個例子;圖2根據(jù)本發(fā)明一個方面示出了引入并使用數(shù)據(jù)訪問控制工具的一個或多個方面的計(jì)算環(huán)境的一個實(shí)施例�����;圖3是根據(jù)本發(fā)明一個方面示出了當(dāng)用戶從PII數(shù)據(jù)對象讀取數(shù)據(jù)和向其寫入數(shù)據(jù)時所建立的進(jìn)程內(nèi)產(chǎn)生變化的用戶當(dāng)前進(jìn)程標(biāo)簽(CPL)的一個可行例子;圖4是根據(jù)本發(fā)明一個方面由PII數(shù)據(jù)訪問控制工具實(shí)現(xiàn)的處理的一個實(shí)施例的流程圖���;圖4A是根據(jù)本發(fā)明一個方面用于確定用戶是否能夠使用特定功能的一個邏輯實(shí)施例的流程圖�����;圖4B是根據(jù)本發(fā)明一個方面用于確定是否允許發(fā)生數(shù)據(jù)訪問的一個邏輯實(shí)施例的流程圖���,包括確定所請求的對象是否包括PII數(shù)據(jù)對象;圖4C是根據(jù)本發(fā)明一個方面用于當(dāng)所期望的特定功能包括讀操作時確定用戶是否能夠作為PII可控進(jìn)程繼續(xù)的一個邏輯實(shí)施例的流程圖�����;以及圖4D是根據(jù)本發(fā)明一個方面用于當(dāng)所期望的特定功能包括寫操作時確定用戶是否能夠作為PII可控進(jìn)程前進(jìn)的一個邏輯實(shí)施例的流程圖����。
具體實(shí)施例方式
這里提出的是為個人標(biāo)識信息(PII)提供安全性的數(shù)據(jù)訪問控制工具。根據(jù)這一工具��,對PII信息的訪問是以能夠在計(jì)算機(jī)進(jìn)程的執(zhí)行期間或之前存在(或有效的)的各種“條件”為基礎(chǔ)的����,其中的計(jì)算機(jī)進(jìn)程是其中發(fā)生了對保密的分類計(jì)算機(jī)化資源(這里泛指“對象”或“數(shù)據(jù)對象”)的訪問的計(jì)算機(jī)進(jìn)程。這種條件可包括但并不限于(1)在其中用戶已請求訪問PII對象的應(yīng)用功能���;(2)用戶怎樣向該計(jì)算工具進(jìn)行標(biāo)識和認(rèn)證�����;(3)用戶所處位置���;(4)請求的時間;以及(5)能夠用程序設(shè)計(jì)確定的其他上下文和環(huán)境因素�。
根據(jù)本發(fā)明的一個方面,存在多種將條件應(yīng)用于任何指定訪問控制檢查事件的方法�����。例如�����,(1)當(dāng)用戶試圖訪問一個PII敏感的對象時�����,可根據(jù)有效的條件向該用戶動態(tài)指派保密性分類�����;或(2)可根據(jù)類似的、有時是相同的條件代替地(或同樣地)對于對象的保密性分類進(jìn)行動態(tài)指派�����。因此�,如這里所提出的數(shù)據(jù)訪問控制工具根據(jù)訪問事件情況的動態(tài)性,有利地允許用戶或計(jì)算機(jī)進(jìn)程訪問PII分類對象和功能的不同“集合”��,從而增加需要訪問個人標(biāo)識信息的信息進(jìn)程的靈活性并增強(qiáng)其安全性����。
廣義地說,這里(在一個方面)公開的是一種用于實(shí)現(xiàn)數(shù)據(jù)訪問控制工具的技術(shù)����,其包括向PII對象指派個人標(biāo)識信息(PII)分類標(biāo)簽,每個PII對象具有一個指派給它的PII分類標(biāo)簽����。定義至少一個PII目的服務(wù)功能集合(PSFS),其包括讀�����、寫或重新分類PII數(shù)據(jù)對象的應(yīng)用功能的列表�����。也向每個PSFS指派PII分類標(biāo)簽。在使用時�����,PII對象經(jīng)由具有與該對象的PII分類標(biāo)簽相同或是其子集的PII分類標(biāo)簽的PII PSFS的應(yīng)用功能只可讀取���,或經(jīng)由具有與該對象的PII分類標(biāo)簽相同或優(yōu)于其的PII分類標(biāo)簽、或具有該P(yáng)SFS所允許的PII重新分類的列表的PII PSFS的應(yīng)用功能僅可以寫入�����。
可行地�����,該數(shù)據(jù)訪問控制工具的用途包括由在計(jì)算系統(tǒng)內(nèi)執(zhí)行的計(jì)算應(yīng)用的用戶調(diào)用特定功能�����;確定該特定功能是否被定義為該數(shù)據(jù)訪問控制工具的PSFS����,如果是這樣的話�����,確定該用戶的PII許可集合(包括具有至少一個PII分類標(biāo)簽的列表)是否包括與指派給該P(yáng)SFS的PII分類標(biāo)簽匹配的PII分類標(biāo)簽��,如果是這樣的話����,則允許訪問該特定功能�;以及確定該用戶是否被允許訪問所選擇的對象以執(zhí)行該特定功能。因而��,如下面進(jìn)一步說明的��,根據(jù)本發(fā)明一個方面的PII數(shù)據(jù)訪問控制工具被用來初始確定用戶是否有資格訪問一個特定功能�,隨后確定是否允許該用戶訪問所選擇的數(shù)據(jù)對象。在更詳細(xì)地論述該P(yáng)II數(shù)據(jù)訪問控制工具之前�����,定義下述邏輯結(jié)構(gòu)�����。在本文論述的例子中���,假定該P(yáng)II控制工具用于醫(yī)療機(jī)構(gòu)����。這種假設(shè)只是作為示例。
PII分類標(biāo)簽
列出PII數(shù)據(jù)對象的所有者����,包括由該所有者選擇的可以使用這樣分類的PII數(shù)據(jù)對象的一個或多個目的的列表。例如所有者����;用戶Idx��、目的���;醫(yī)療�、護(hù)理�����、報(bào)告����、記帳�����。包含在PII受保護(hù)數(shù)據(jù)對象內(nèi)的信息的隨后使用者僅能夠基于由初始所有者所允許的并在PII分類標(biāo)簽中所指定的目的來使用該信息�?�?梢允褂迷揚(yáng)II對象的目的包含在允許用戶相對于該數(shù)據(jù)來執(zhí)行的功能中���。
PII目的服務(wù)功能集合(PSFS)讀/寫PII對象的應(yīng)用功能的列表�。PSFS其自身以一個特定的PII分類標(biāo)簽來標(biāo)記����。一個給定的PSFS內(nèi)的功能的列表可包括具體程序;應(yīng)用�����;應(yīng)用內(nèi)的功能��,諸如EJB(Enterprise Java Bean)��、方法���、數(shù)據(jù)庫管理啟動過程��、SQL查詢等等�。PSFS可以任選地包括如果以及當(dāng)執(zhí)行該指定的PSFS的用戶向一個PII對象寫入數(shù)據(jù)時該指定的PSFS所允許的PII分類變化(重新分類)的列表,其中的PII對象具有包括當(dāng)前進(jìn)程標(biāo)簽(CPL)內(nèi)所存儲的PII標(biāo)簽中所不包括的目的的PII標(biāo)簽�����,其中在該當(dāng)前進(jìn)程標(biāo)簽(CPL)中記錄了該用戶先前在同一計(jì)算機(jī)操作系統(tǒng)進(jìn)程內(nèi)所讀取的PII數(shù)據(jù)的PII標(biāo)簽��。
PII數(shù)據(jù)對象具有相關(guān)聯(lián)的PII分類標(biāo)簽的任何資源���、文檔�、程序�、工具等�。一個給定的PII對象可只具有一個PII分類標(biāo)簽。PII數(shù)據(jù)對象的所有者包括在與該對象以及可使用該對象的目的相關(guān)聯(lián)的標(biāo)簽中��。因?yàn)樵谠L問控制檢查期間在PII訪問控制檢查即本發(fā)明的主題在整個訪問控制檢查過程中已完成自身部分之后的某一點(diǎn)�����,PII數(shù)據(jù)對象的所有者開始起作用�,所以為了完整性,在此解釋中將PII數(shù)據(jù)對象的所有者包括在內(nèi)。更具體地�����,PII受保護(hù)數(shù)據(jù)對象的所有者僅可以訪問它們自己的數(shù)據(jù)對象而不是由另一所有者擁有的PII受保護(hù)數(shù)據(jù)對象����,這一概念由本領(lǐng)域內(nèi)稱作DAC的自主訪問控制檢查所施行。
主體用戶ID和組ID(用戶組ID)包括(PII數(shù)據(jù)的)所有者���,和企業(yè)用戶��,即訪問數(shù)據(jù)對象并且由企業(yè)安全管理員給予了許可以利用作為他們的企業(yè)功能的一部分的特定目的服務(wù)功能集合來執(zhí)行功能的人員�����。
用戶PII許可集合指派給企業(yè)用戶的PII分類標(biāo)簽的列表�����。用戶PII許可集合建立從其內(nèi)用戶被授權(quán)執(zhí)行企業(yè)內(nèi)的功能的目的服務(wù)功能集合���。例如,管理員可能具有{報(bào)告}���,{記帳��,報(bào)告}的PII許可集合���,從而被授權(quán)執(zhí)行在具有{報(bào)告}或{記帳����,報(bào)告}的PII標(biāo)簽的目的服務(wù)功能集合中定義的功能����。醫(yī)生可能具有{醫(yī)療},{醫(yī)療����,報(bào)告}的PII許可集合,從而被授權(quán)執(zhí)行在具有{醫(yī)療}或{醫(yī)療�,報(bào)告}的PII標(biāo)簽的目的服務(wù)功能集合中定義的功能。護(hù)士可能具有{護(hù)理}�����,{醫(yī)療���,護(hù)理}的PII許可集合。
PII當(dāng)前進(jìn)程標(biāo)簽(CPL)動態(tài)指派給用戶的操作系統(tǒng)進(jìn)程并且在用戶訪問PII受保護(hù)對象時相應(yīng)更新的PII標(biāo)簽。CPL被動態(tài)地更新以包含用戶在給定的計(jì)算機(jī)操作系統(tǒng)進(jìn)程期間讀取的任何PII對象的PII標(biāo)簽的記錄�。
假設(shè)安全管理員為特定的企業(yè)創(chuàng)建PII數(shù)據(jù)訪問控制工具。在管理上��,實(shí)現(xiàn)該工具可包括1)安全管理員向安全管理器定義一組有效的目的����,該安全管理器諸如IBM的包括PII數(shù)據(jù)訪問控制工具的RACF。以醫(yī)院為例這個企業(yè)有效的PII目的可以包括目的1(例如醫(yī)療)目的2(例如護(hù)理)目的3(例如記帳)����,......
目的n(例如報(bào)告)。
2)安全管理員向各種資源/對象指派PII標(biāo)簽���。
對象名稱(例如概要醫(yī)療記錄)PII分類標(biāo)簽(例如{醫(yī)療����,報(bào)告})���。
3)安全管理員定義正在進(jìn)行活動的各個用戶和用戶組�。例如�,用戶可能每日變化。
將用戶ID-a(例如��,作為病人的用戶)增加到組PATIENTS將用戶ID-x(例如,作為護(hù)士的用戶)增加到組NURSES將用戶ID-y(例如�,作為醫(yī)生的用戶)增加到組DOCTORS。
4)安全管理員對于每個適當(dāng)?shù)挠脩糁概捎脩鬚II許可集合�。例如用戶ID-x(例如,作為護(hù)士的用戶)PII許可集合(例如[{護(hù)理}�����,{醫(yī)療����,護(hù)理}])。
5)安全管理員向安全管理器定義目的服務(wù)功能集合�����。
PSFS姓名1相關(guān)聯(lián)的程序功能的列表程序x方法yEnterprise Java Bean z����。
6)安全管理員向PSFS指派PII標(biāo)簽PSFS姓名1-PII分類標(biāo)簽。{醫(yī)療�,護(hù)理}。
7)安全管理員指派當(dāng)該P(yáng)SFS被用于對一個PII對象進(jìn)行寫時允許發(fā)生的PII重新分類允許的重新分類從{醫(yī)療����,護(hù)理}到{醫(yī)療,報(bào)告}���。一個給定的PSFS可具有在其執(zhí)行期間所允許的多個重新分類(從而形成列表)��。
圖1根據(jù)本發(fā)明一個方面示出了個人標(biāo)識信息(PII)所有者10(諸如醫(yī)療機(jī)構(gòu)例子中的病人)將諸如完整醫(yī)療記錄14����、概要醫(yī)療記錄16和病人財(cái)務(wù)記錄18的PII對象輸入到關(guān)系數(shù)據(jù)庫管理系統(tǒng)和存儲器12(或?qū)ζ溥M(jìn)行訪問)的一個例子�����?���?尚械兀∪?0可以調(diào)用為病人使用而創(chuàng)建的目的服務(wù)功能集合(PSFS)中的特定功能��。這個特定功能可用于存儲關(guān)系數(shù)據(jù)庫管理系統(tǒng)內(nèi)的PII數(shù)據(jù)對象�,該關(guān)系數(shù)據(jù)庫管理系統(tǒng)諸如由國際商業(yè)機(jī)器公司提供的DB2關(guān)系數(shù)據(jù)庫管理系統(tǒng),其在2002年10月的SC26-9937-02出版物“DB2 UDB for OS/390 V7 an Introduction to DB2 forOS/390”中進(jìn)行了描述�。數(shù)據(jù)可存儲在具有適當(dāng)?shù)念A(yù)定PII分類標(biāo)簽的各個表-行-列位置。其后該病人的個人數(shù)據(jù)存在于具有不同的PII分類標(biāo)簽的各PII數(shù)據(jù)對象中����。在圖1的例子中��,僅以舉例的方式示出了標(biāo)簽{醫(yī)療���,護(hù)理},{醫(yī)療��,報(bào)告}和{記帳�,報(bào)告}。隨后�����,病人可通過指定的PSFS功能查看他們自己的PII數(shù)據(jù)對象���,這將僅允許特定的病人查看該病人作為所有者的PII對象����。
圖2示出了實(shí)現(xiàn)諸如這里公開的PII數(shù)據(jù)訪問控制工具的企業(yè)計(jì)算環(huán)境的一個例子����。在這個例子中,諸如PII數(shù)據(jù)的所有者和/或企業(yè)員工的用戶21通過因特網(wǎng)22并穿過防火墻24訪問在企業(yè)內(nèi)部的服務(wù)器上運(yùn)行的事務(wù)管理器25�。可選地,防火墻24內(nèi)側(cè)的用戶21a能夠直接訪問包含事務(wù)管理器25的服務(wù)器��。在這個例子中���,同樣存在于該服務(wù)器上的關(guān)系數(shù)據(jù)庫管理系統(tǒng)26訪問包含在關(guān)聯(lián)存儲器27中的表28中的PII標(biāo)記對象29。對象存儲庫27可以采用任何所期望的形式���。諸如上述引用的由國際商業(yè)機(jī)器公司作為z/OS操作系統(tǒng)的一個選項(xiàng)而提供的RACF的安全管理器30查詢由企業(yè)的安全管理部門32維護(hù)的安全注冊庫31����。注冊庫31可以定義具有相關(guān)聯(lián)的PII標(biāo)簽的用戶��,包括組和目的���,并且可以定義對象分類�����,包括訪問規(guī)則��、核查控制等等�����。
可行地���,如下面更詳細(xì)說明的�,用戶對事務(wù)管理器執(zhí)行特定功能(其在PSFS內(nèi)可能被定義或未被定義)的請求導(dǎo)致在操作系統(tǒng)內(nèi)創(chuàng)建一個“進(jìn)程”�����。這能夠作為來自通過因特網(wǎng)連接到該計(jì)算系統(tǒng)的用戶或來自本地連接的用戶(例如����,員工)的請求的結(jié)果而發(fā)生。由事務(wù)管理器調(diào)用包括本發(fā)明主題的PII數(shù)據(jù)訪問控制工具的操作系統(tǒng)平臺安全管理器以確定該用戶執(zhí)行所請求的功能的授權(quán)��。一旦被批準(zhǔn)��,該功能開始執(zhí)行�,并且隨后作為其自身正常處理的一部分經(jīng)由事務(wù)管理器生成對于(假定)在關(guān)系數(shù)據(jù)庫管理系統(tǒng)控制下的PII標(biāo)記數(shù)據(jù)的請求。該數(shù)據(jù)庫管理系統(tǒng)調(diào)用安全管理器來確定是否允許該請求用戶訪問所期望的PII對象��。該安全管理器呈遞基于例如與所請求的對象關(guān)聯(lián)的PII標(biāo)簽��、與該用戶關(guān)聯(lián)的PII標(biāo)簽以及該對象的其他相關(guān)訪問規(guī)則的判定��。此外���,這些PII標(biāo)簽和其他訪問規(guī)則可以由安全管理員建立和維護(hù)并且存儲在安全管理器可尋址的安全注冊庫中�����。
圖3根據(jù)本發(fā)明一個方面示出了在醫(yī)院環(huán)境內(nèi)使用目的服務(wù)功能集合的信息流�。
在這個例子中,諸如醫(yī)生的用戶簽約使用該工具并且從他當(dāng)前的操作系統(tǒng)進(jìn)程試圖執(zhí)行一個特定的應(yīng)用功能���。該用戶已由企業(yè)安全管理部門指派了一個用戶PII許可集合,在這個例子中假定該P(yáng)II許可集合包括[{醫(yī)療}�����,{醫(yī)療���,報(bào)告}��,{醫(yī)療���,護(hù)理}]。如果該特定功能處于一個PII目的服務(wù)功能集合(PSFS)內(nèi)�����,則該用戶的PII許可集合必須包括指派給該P(yáng)SFS(見圖4A)的PII標(biāo)簽以便該用戶被允許執(zhí)行該特定功能。例如�����,諸如醫(yī)生的用戶使用PSFS分類標(biāo)簽“醫(yī)療”41能夠從關(guān)系數(shù)據(jù)庫管理系統(tǒng)44中讀取“完整醫(yī)療記錄”����。一旦讀取具有PII標(biāo)簽{醫(yī)療,護(hù)理}的“完整醫(yī)療記錄”�����,用戶的當(dāng)前進(jìn)程標(biāo)簽(CPL)便被設(shè)置成該數(shù)據(jù)的標(biāo)簽����,從而將讀取的任何數(shù)據(jù)的標(biāo)簽的“歷史”保存在該用戶的當(dāng)前操作系統(tǒng)進(jìn)程中。該CPL稍后在授權(quán)處理部分期間在從該進(jìn)程內(nèi)部發(fā)生的任何寫操作之前被引用���,以確保只有PII數(shù)據(jù)被寫入到其他具有同樣或更少目的的標(biāo)簽的PII標(biāo)記數(shù)據(jù)對象���,或使用具有已被讀入到該進(jìn)程中的PII數(shù)據(jù)和正被寫出的PII數(shù)據(jù)的這種特定組合的PSFS來允許PII數(shù)據(jù)重新分類。例如�,在其用戶許可集合內(nèi)具有用戶許可{醫(yī)療,報(bào)告}并因此能夠執(zhí)行在具有PII標(biāo)簽[{醫(yī)療}]的目的服務(wù)功能集合“PSFS-D”內(nèi)定義的功能的用戶��,能夠?qū)Α巴暾t(yī)療記錄”進(jìn)行讀取而不能對其進(jìn)行寫入,并且因?yàn)镻SFS-D是允許的��,所以從{醫(yī)療���,護(hù)理}到{醫(yī)療���,報(bào)告}的PII重新分類既能夠?qū)Α案乓t(yī)療記錄”進(jìn)行讀取也能夠?qū)ζ溥M(jìn)行寫入。相反地��,用戶不能夠調(diào)用在具有用戶的PII許可集合內(nèi)未定義的PII分類標(biāo)簽的PSFS內(nèi)定義的功能�,從而不能訪問用戶的PII許可集合的范圍之外的PII對象。例如��,圖3的用戶1不能對“病人財(cái)務(wù)記錄”進(jìn)行讀或?qū)憽?br>
圖4-4D根據(jù)本發(fā)明一個方面詳細(xì)示出了PII數(shù)據(jù)訪問控制工具的上面介紹的處理的一個例子���。參照圖4,PII控制工具的使用開始于用戶向事務(wù)管理器發(fā)出請求(步驟50)以執(zhí)行在目的服務(wù)功能集合(PSFS)內(nèi)可能定義的預(yù)先建立的應(yīng)用功能(步驟60)���。這導(dǎo)致其中事務(wù)管理器自身執(zhí)行的操作系統(tǒng)平臺內(nèi)“進(jìn)程”的邏輯創(chuàng)建�。同樣在該操作系統(tǒng)平臺中執(zhí)行或與其邏輯連接的是實(shí)現(xiàn)這里公開的個人標(biāo)識信息(PII)概念的數(shù)據(jù)訪問控制工具����。下面結(jié)合圖4A描述用于處理用戶執(zhí)行一個功能的嘗試的邏輯的一個例子�。假定允許用戶訪問該特定功能��,則事務(wù)管理器為該用戶請求對所選擇的PII數(shù)據(jù)對象的訪問(步驟70)��。安全管理器被調(diào)用來確定該用戶是否被允許訪問所選擇的PII對象(步驟80)��,并且該安全管理器呈遞是否允許該用戶訪問的判定�����。是否允許該用戶訪問所選擇的PII數(shù)據(jù)對象的判定部分地取決于該特定功能是否涉及讀或?qū)?步驟90)��。圖4B-4D中呈現(xiàn)了用于確定是否允許訪問特定PII數(shù)據(jù)對象的邏輯的一個實(shí)施例�。
如所指出的,圖4A是當(dāng)用戶試圖執(zhí)行一個特定功能時所實(shí)現(xiàn)的處理的一個例子�。作為一個例子,可以從圖4的步驟60調(diào)用該處理�。最初,用戶指定一個特定應(yīng)用功能(步驟102)����,且安全管理器處理確定該功能是否被定義為PSFS(步驟104)。如果該特定功能未被定義為PSFS(步驟104)��,則安全管理器處理確定先前是否已經(jīng)設(shè)置了當(dāng)前進(jìn)程標(biāo)簽(CPL)(步驟105)����,如果是這樣的話����,安全管理器處理返回到圖4����,對該特定功能的訪問被拒絕(步驟110)。如果先前未設(shè)置當(dāng)前進(jìn)程標(biāo)簽(CPL)��,則安全管理器處理僅是返回到圖4(步驟106)��,以進(jìn)一步評估該用戶是否被允許訪問所選擇的數(shù)據(jù)對象��。如果該特定功能被定義為PSFS(步驟104)����,則安全管理器處理確定該用戶的PII許可集合是否包括指派給該P(yáng)SFS的PII分類標(biāo)簽(步驟108)����。如果該用戶的許可集合不包括指派給該P(yáng)SFS的PII分類標(biāo)簽,則拒絕該用戶訪問該功能且處理返回到圖4�。
如果該用戶的許可集合確實(shí)包括指派給該P(yáng)SFS的PII分類標(biāo)簽(步驟108),則應(yīng)用處理通過步驟112繼續(xù)��,直到該應(yīng)用在某一點(diǎn)通過事務(wù)管理器向PII數(shù)據(jù)對象發(fā)出請求(圖4中的步驟70),而該事務(wù)管理器將該請求傳遞給調(diào)用安全管理器的數(shù)據(jù)庫管理器(例如DB2)(圖4中的步驟80)�����,而該安全管理器則確定該用戶是否被授權(quán)訪問該受保護(hù)的數(shù)據(jù)對象并呈遞判定(圖4中的步驟90)�,而該判定則被返回給數(shù)據(jù)庫管理器以便進(jìn)行適當(dāng)?shù)膭幼鳌?br>
圖4B示出了當(dāng)評估是否允許一個用戶訪問所選擇的PII數(shù)據(jù)對象時能夠由安全管理器實(shí)現(xiàn)的判定處理的一個例子。最初����,該處理確定該對象是否具有PII標(biāo)簽(步驟120)。如果不具有���,并且先前未對該用戶的進(jìn)程設(shè)置當(dāng)前進(jìn)程標(biāo)簽(步驟125)��,則安全管理器處理通過常規(guī)的自主訪問控制檢查呈遞訪問判定(步驟127)���。自主訪問控制(DAC)檢查是一種用于進(jìn)行訪問控制檢查的方法,并且其籍由操作系統(tǒng)的安全管理器的工具而以與所保護(hù)的資源/對象關(guān)聯(lián)的訪問控制規(guī)則為基礎(chǔ)�����,該安全管理器例如是國際商業(yè)機(jī)器公司利用z/OS操作系統(tǒng)提供的RACF安全管理器����。其他事務(wù)之間的訪問控制規(guī)則包含具有用于特定用戶和用戶組的訪問方式條目的訪問控制列表(ACL)��。當(dāng)不存在與所保護(hù)的對象關(guān)聯(lián)的PII標(biāo)簽(目的)時�����,并且在PII標(biāo)簽處理已經(jīng)發(fā)生之后���,可使用DAC檢查以進(jìn)一步限定(或精準(zhǔn))該訪問控制判定。如同PII訪問控制檢查的DAC檢查可以使用作為對于對象的特定活動的訪問方式�。有關(guān)DAC檢查的訪問方式的實(shí)例包括創(chuàng)建、刪除����、更新、限制讀的更新���、以及讀取���。在IBM的RACF中稱作“資源簡檔”的訪問規(guī)則同時也被指定。一般而言�,這種規(guī)則采用形式“主體”能夠?qū)Α皩ο蟆眻?zhí)行訪問方式��。此外�,在圖4B的處理中的這一階段可以使用任何自主訪問控制檢查方法�。在步驟127����,自主訪問控制檢查呈遞是否允許用戶訪問所選擇的對象的判定。這一判定或是允許訪問(步驟132)或是拒絕訪問(步驟134)����。可以在2002年9月SA22-7683-3的IBM出版物“Z/OS V1R4.0 Security Server RACF SecurityAdministrator’s Guide”中找到自主訪問控制(DAC)的進(jìn)一步說明����。如果先前已經(jīng)對于用戶“進(jìn)程”設(shè)置了CPL(步驟125),則安全管理器處理確定該特定功能是否是讀操作(步驟126)����。如果是這樣的話,則使用例如DAC檢查呈遞是否允許訪問該對象的判定(步驟127)���。如果該特定功能不是讀操作�,則拒絕訪問(步驟134)���,因?yàn)樵趯⒁粋€PII受保護(hù)對象讀入到一個計(jì)算機(jī)操作系統(tǒng)進(jìn)程之后就不允許從該進(jìn)程對非PII受保護(hù)對象進(jìn)行寫入����。
假定該對象具有一個PII分類標(biāo)簽,則安全管理器處理確定該用戶是否正在執(zhí)行PSFS功能(步驟122)����。如果是這樣的話,則處理前進(jìn)到圖4C(步驟124)�����。否則���,由于所選擇的對象具有一個PII標(biāo)簽并且該用戶未在執(zhí)行PSFS功能�,從而PII標(biāo)簽處理拒絕訪問(步驟134)��。
在從圖4C或圖4D返回(步驟130)時��,安全管理器處理確定訪問是否已經(jīng)被PII標(biāo)簽處理所拒絕(步驟128)����。如果不是,則使用例如自主訪問控制檢查來呈遞該訪問判定(步驟127)��。否則��,訪問被拒絕(步驟134)。假定該用戶正在執(zhí)行PSFS功能����,則處理(圖4C)確定該用戶是否正在執(zhí)行讀操作(步驟140)����。如果不是這樣,則該用戶肯定在執(zhí)行寫操作�,于是繼續(xù)進(jìn)行圖4D的處理。如果是這樣�,則確定PSFS的標(biāo)簽是否與該P(yáng)II對象的標(biāo)簽相同或是其一個真子集(步驟142)。如果不是�,則處理返回到圖4B(步驟145),并且用戶被PII標(biāo)簽處理拒絕訪問�����,因?yàn)檫@一PII對象不能利用這一特定的PSFS來進(jìn)行讀取�。如果步驟142為是,則該P(yáng)II對象的標(biāo)簽作為一個條目被添加到CPL中(步驟143)��。這可能是CPL中的第一個條目或是現(xiàn)有CPL的附加條目��。如果一個條目已經(jīng)存在于與PII對象的標(biāo)簽相同的CPL中�����,則跳過這一步驟。現(xiàn)在�,處理返回到圖4B(步驟144),并且PII標(biāo)簽處理不拒絕該用戶訪問該P(yáng)II對象����。
如果該用戶未在執(zhí)行讀操作,這意味著該用戶正在執(zhí)行寫操作��,則安全管理器處理從步驟140前進(jìn)到圖4D����,以首先確定該用戶的進(jìn)程的當(dāng)前進(jìn)程標(biāo)簽(CPL)先前是否已經(jīng)被設(shè)置過(步驟150)。如果不是��,則處理返回到圖4B(步驟151)�,該用戶的進(jìn)程作為PII可控進(jìn)程繼續(xù),并且該用戶被允許將非PII數(shù)據(jù)寫入到現(xiàn)有的PII數(shù)據(jù)對象中��。如果在步驟150為是�����,則確定該P(yáng)II對象的標(biāo)簽是否與每個CPL條目(可能只有一個)的標(biāo)簽相同或是其一個真子集(步驟152)�����。如果是,則該處理返回到如上所述的圖4B以繼續(xù)(步驟151)��。如果在步驟152為否�,則在步驟153確定該P(yáng)SFS是否具有足夠的權(quán)限來將PII對象從CPL中的標(biāo)簽重新分類到正在被寫入的PII對象中的標(biāo)簽��。如果為否����,則在步驟154,處理返回到圖4B���,拒絕用戶訪問該P(yáng)II數(shù)據(jù)對象����。如果在步驟153為是��,則處理返回到如上所述的圖4B以繼續(xù)(步驟151)�����。
下面是本發(fā)明所公開的幾個概念的理論基礎(chǔ)的形式表現(xiàn)�。假定存在對象O���、主體S和動作A的集合。此外����,每個動作aA可以被解釋為具有讀方式或?qū)懛绞健S媚康募蟻順?biāo)記主體和對象�。當(dāng)且僅當(dāng)11m12時,標(biāo)簽11優(yōu)于標(biāo)簽12�;即目的集合11是目的集合12的超集。通常���,為了讀取本發(fā)明所保護(hù)的PII數(shù)據(jù)����,用戶必須執(zhí)行并因此被授權(quán)(或許可)執(zhí)行PSFS����,該P(yáng)SFS自身具有優(yōu)于由該用戶正在試圖讀取的數(shù)據(jù)的標(biāo)簽的PII標(biāo)簽。即���,該P(yáng)SFS以及正在執(zhí)行它的相關(guān)用戶必須具有存在于正被讀取的PII對象的標(biāo)簽中的具有一個或多個目的的PII標(biāo)簽���。
保密性標(biāo)簽個人數(shù)據(jù)的每個實(shí)例都具有關(guān)聯(lián)標(biāo)簽���。標(biāo)簽L包含一組目的;這些是該個人數(shù)據(jù)的所有者已經(jīng)允許的目的�����。具有多個目的的對象具有較低的保密性�,因此,除非在特別定義的環(huán)境中�����,否則在對象之間流動的數(shù)據(jù)只能夠從具有多個目的的對象流向具有較少目的的對象�����。因此���,當(dāng)數(shù)據(jù)在計(jì)算期間流過該系統(tǒng)時,它的標(biāo)簽變得更受限制����,除非特別控制的環(huán)境(處理)允許該數(shù)據(jù)以受控的方式被重新分類。
該標(biāo)簽集合形成具有安全類格的基本屬性的先序�����。該格中的每個元素是可能的標(biāo)簽中的一個。標(biāo)簽按限定關(guān)系[所定義的偏序而存在���。被寫作為BOT的最低限定性的標(biāo)簽對應(yīng)于能夠流向任何地方的數(shù)據(jù)�����;最大可能的限定性TOP對應(yīng)于不能流向任何地方的數(shù)據(jù)����;它不能被任何人讀取����。隨著在該格中上升,標(biāo)簽變得更加具有限定性���。在該格中��,數(shù)據(jù)總能夠向上被重新標(biāo)記���,這意味著它能夠被用于較少的目的,因?yàn)橄薅ú粫鹂赡艿男畔⑿孤?���。?yīng)該指出����,標(biāo)簽BOT對應(yīng)于公共信息��;即�����,不包括個人信息的數(shù)據(jù)�����。
如果新標(biāo)簽包括相同或更少的目的�,則個人數(shù)據(jù)的重新標(biāo)記是一種限定���。表達(dá)式L1[L2意味著L1的限定性小于或等于L2的限定性�����,并且數(shù)據(jù)能夠如下面表達(dá)式所表示的從標(biāo)簽L1重新標(biāo)記為L2�����,其中操作符r表示超集關(guān)系�。
L1[L2hL1rL2,也可以說當(dāng)且僅當(dāng)L1[L2時標(biāo)簽L2優(yōu)于標(biāo)簽L1��。
當(dāng)計(jì)算(或由PSFS表示的動作)對分別標(biāo)記有L1和L2的兩個值進(jìn)行組合時��,結(jié)果應(yīng)當(dāng)具有施行由L1和L2指定的所有使用限定(最低限定性)的標(biāo)簽���。施行L1和L2中的所有策略的最低限定性的策略集僅是兩個策略集的交集����。較低限定性的標(biāo)簽是記作L17L2的L1和L2的最小上界或它們的并�����;L17L2hL13L2�����。例如�,組合對象(例如,包含地址和信用卡號的記錄)只能夠用于目的的交集�。
例如,假定一個格具有的標(biāo)簽由三個以上目的組成記帳、醫(yī)療和報(bào)告����。這樣的格可由它的哈塞圖(描述于“Implementing DiscreteMathematicsCombinatorics and Graph Theory with Mathematica”中的§5.4.2,Skiena���,S.的″Hasse Diagrams″�����,Reading�����,MAAddison-Wesley�����,163,169-170�,和206-208頁,1990年)表示�����,其中“較低限定性的”關(guān)系[由下至上具有被省略的傳遞性且自反的邊?����?捎糜卺t(yī)療和報(bào)告目的的對象將被標(biāo)記為{醫(yī)療���,報(bào)告}����。來自這個對象的數(shù)據(jù)可被復(fù)制到具有標(biāo)簽{醫(yī)療}或具有標(biāo)簽{報(bào)告}的對象中�����。為了能夠讀取該對象�����,主體(或用戶)必須具有有效標(biāo)簽{醫(yī)療}�、{報(bào)告}或{醫(yī)療,報(bào)告}(從用戶正在執(zhí)行的PSFS中獲得)�����。應(yīng)當(dāng)指出��,由于默認(rèn)的“下讀/上寫”屬性,在該格中信息只能夠向上流動�。
此外還應(yīng)當(dāng)指出,包括在標(biāo)簽L中的目的不表示權(quán)利而表示限定��。因此�����,如果一個主體服務(wù)于至少一個與要讀取的PII對象關(guān)聯(lián)的目的�����,則該主體所服務(wù)的目的越少��,其能夠讀取的對象就越多��。
當(dāng)且僅當(dāng)與主體s關(guān)聯(lián)的目的與關(guān)聯(lián)于PII對象o的目的相同或是其一個子集時���,主體s才可以讀取該對象o�����。
當(dāng)且僅當(dāng)與PII對象o關(guān)聯(lián)的目的與關(guān)聯(lián)于主體s的目的相同或是其一個子集時���,主體s才可以對該對象o進(jìn)行寫。
例如�����,具有標(biāo)簽{記帳����,報(bào)告}的用戶可以讀取具有標(biāo)簽{記帳,醫(yī)療��,報(bào)告}的對象并且可以對具有標(biāo)簽{記帳}的對象進(jìn)行寫�����。
良好格式的星型屬性如果將用戶的計(jì)算機(jī)操作系統(tǒng)進(jìn)程的當(dāng)前進(jìn)程標(biāo)簽(CPL)看作為“高水位標(biāo)”���,則它能夠在格中向上浮動而不是向下���。當(dāng)用戶利用給定的PSFS讀取各種個人數(shù)據(jù)時,CPL反映與所讀取的PII數(shù)據(jù)對象關(guān)聯(lián)的目的��,因而在格中向上浮動�,直到已達(dá)到該用戶的許可,其是該用戶已被許可(授權(quán))執(zhí)行的PSFS的一個功能���。例如��,用戶Jane可能被許可執(zhí)行具有標(biāo)簽{醫(yī)療}的PSFS��。通過利用這一PSFS讀取標(biāo)記為{醫(yī)療���,報(bào)告}的對象����,她的CPL變?yōu)閧醫(yī)療�,報(bào)告}。從標(biāo)記為{醫(yī)療}的對象讀取信息使得她的CPL包括附加的條目{醫(yī)療}��,從而正確地反映她已經(jīng)讀入到她當(dāng)前進(jìn)程中的信息的標(biāo)簽���。使用她在這種狀態(tài)下的CPL���,默認(rèn)地,她將能夠執(zhí)行PSFS以將她已經(jīng)讀入到她的進(jìn)程中的信息寫出到具有標(biāo)簽{醫(yī)療}的PII對象中��。應(yīng)當(dāng)指出�,她正在將她已讀取的信息的某一部分從{醫(yī)療,報(bào)告}重新分類到{醫(yī)療}���,但是這默認(rèn)地是允許的����,因?yàn)閧醫(yī)療}比{醫(yī)療����,報(bào)告}在格中要靠前(具有更少的目的或更多的限定性)。
到目前為止所討論的數(shù)據(jù)流和信息的結(jié)果重新分類在某些方面類似于MLS受控的處理環(huán)境中的數(shù)據(jù)流�����。但是����,盡管MLS針對于能夠提供嚴(yán)格遵守基于安全原因而對計(jì)算機(jī)資源(例如,數(shù)據(jù))進(jìn)行分割化訪問控制的規(guī)則的工具的需求�����,但仍然存在對于根據(jù)企業(yè)指定的靈活規(guī)則允許PII的重新分類的保密性支持的需要���。換句話說��,保密性支持必須包括用于企業(yè)指定某些用戶(或用戶組)被授權(quán)將PII從一個特定的預(yù)定分類重新分類到另一特定的預(yù)定分類的方法����,但是這僅在自身不能改變或由被授權(quán)執(zhí)行它們的用戶所操作的預(yù)定功能集合的范圍內(nèi)進(jìn)行。這種需要由本發(fā)明的另一方面提供�����,即目的服務(wù)功能集合(PSFS)的定義和對其進(jìn)行描述的條目的“允許的重新分類”結(jié)構(gòu)����。
所選擇的用戶被許可(授權(quán))執(zhí)行包括能夠并被允許對PII數(shù)據(jù)對象進(jìn)行重新分類的任何/所有PSFS。我們稱這種概念為″良好格式的星型屬性″�����,其在本發(fā)明中被表示為由于用戶在企業(yè)中位置而已經(jīng)被安全管理部門指派了的對PSFS的許可集合�。
醫(yī)院示例為了說明在本發(fā)明內(nèi)表示的概念,我們使用一個醫(yī)療機(jī)構(gòu)作為舉例���。醫(yī)生�����、護(hù)士����、管理人員和病人作為PII信息出現(xiàn)在我們的示例中,其中該P(yáng)II信息由通過醫(yī)院計(jì)算系統(tǒng)的病人的流所擁有并且由各醫(yī)院成員訪問和使用��。接下來開始說明這個例子����。
假定該醫(yī)院的保密性說明針對4個對象分類���。一般記錄包括具有記帳和醫(yī)療目的以及可能更多目的的一般個人信息����,諸如姓名����、地址等等。醫(yī)療記錄包括只用于醫(yī)療目的的關(guān)于病人的醫(yī)療數(shù)據(jù)���。概要醫(yī)療記錄僅用于記帳目的����。它確切地包括什么醫(yī)療數(shù)據(jù)進(jìn)入帳單�����,例如,如保險單所規(guī)定的�����。財(cái)務(wù)記錄僅用于記帳目的���。它包括保險明細(xì)��、價格����、發(fā)送帳單和付款的日期等等�����。
在醫(yī)院內(nèi)部����,存在作用于管理員、護(hù)士和醫(yī)生的原則���。由下述信息保密策略管制訪問只有該醫(yī)院的醫(yī)生和護(hù)士能夠訪問被授權(quán)相對于存儲在醫(yī)療記錄中的詳細(xì)數(shù)據(jù)執(zhí)行的目的服務(wù)功能集合����。以這種方式,該醫(yī)院的醫(yī)生和護(hù)士被認(rèn)為對于醫(yī)療記錄已經(jīng)被“許可”����。概要醫(yī)療記錄是醫(yī)院不對護(hù)士發(fā)布的機(jī)密信息。只有該醫(yī)院的管理部門和醫(yī)生能夠訪問這些數(shù)據(jù)�����。只有該醫(yī)院的管理部門能夠訪問財(cái)務(wù)記錄����。一方面���,存在專有的訪問權(quán)利醫(yī)生不能被許可讀取財(cái)務(wù)記錄而管理員不能被許可讀取醫(yī)療記錄���。另一方面,信息只能通過概要醫(yī)療記錄從醫(yī)療記錄流入到財(cái)務(wù)記錄中����。
利用被許可執(zhí)行PSFS的“可信賴的主體”的能力,其中的PSFS已經(jīng)由醫(yī)院計(jì)算機(jī)安全管理部門預(yù)定義為具有以可控方式安全且正確地進(jìn)行重新分類甚至降級的能力��,可給出醫(yī)院策略的另一規(guī)范。
首先管理員獲得許可執(zhí)行具有PII標(biāo)簽“報(bào)告”的目的服務(wù)功能集合內(nèi)的功能并且醫(yī)生同樣獲得用于目的“醫(yī)療”的許可�。這賦予雙方讀取概要記錄的可能性。另外��,管理員能夠讀取財(cái)務(wù)記錄而醫(yī)生能夠讀取醫(yī)療記錄�,反之則不然。最后���,為了允許信息只以預(yù)定的��、安全且正確的方式從醫(yī)療記錄流向概要記錄�����,例如可定義醫(yī)生的許成以包括標(biāo)簽集合{{醫(yī)療}���,{醫(yī)療,報(bào)告}}�。這樣,醫(yī)生可通過執(zhí)行對其她已經(jīng)被許可的具有標(biāo)簽{醫(yī)療}的PSFS來開始��,該P(yáng)SFS允許她讀取醫(yī)療記錄和概要記錄�。然后通過執(zhí)行其定義包括“允許的重新分類”子句從{醫(yī)療}到{醫(yī)療,報(bào)告}的PSFS�����,她被允許只通過包括在該P(yáng)SFS內(nèi)的企業(yè)定義的功能,將標(biāo)記為{醫(yī)療}的PII降級到{醫(yī)療�,報(bào)告}。應(yīng)當(dāng)指出��,醫(yī)生不能對財(cái)務(wù)記錄進(jìn)行讀或?qū)憽?br>
相應(yīng)地����,管理員可以通過執(zhí)行具有標(biāo)簽{報(bào)告}的PSFS而開始,該P(yáng)SFS允許她讀取概要記錄以及財(cái)務(wù)記錄�����。然后�����,通過執(zhí)行其定義包括“允許的重新分類”子句從{報(bào)告}到{記帳�,報(bào)告}的PSFS�����,她被允許只通過包括在該P(yáng)SFS中的企業(yè)定義的功能�,將標(biāo)記為{報(bào)告}的PII降級到{記帳����,報(bào)告}�。此外,管理員不能對醫(yī)療記錄進(jìn)行讀或?qū)憽?br>
應(yīng)當(dāng)指出����,經(jīng)由醫(yī)生,信息只能從醫(yī)療記錄流向概要記錄�,而經(jīng)由管理員則從概要記錄流向財(cái)務(wù)記錄。
為了防止護(hù)士讀取概要記錄�����,可以引入附加目的的處理�。護(hù)士(通過她們被許可執(zhí)行的PSFS內(nèi)定義的功能的方式)以及醫(yī)療記錄都具有標(biāo)簽{醫(yī)療,護(hù)理}�。從而,護(hù)士能夠?qū)︶t(yī)療記錄進(jìn)行讀和寫而不能訪問其他對象���。這完善了該示例策略的規(guī)范�。
在該示例規(guī)范中���,醫(yī)生不被允許對醫(yī)療記錄進(jìn)行寫��。這可被看作是一種限制����。然而,該規(guī)范能夠擴(kuò)展到通過改變醫(yī)生的PSFS許可以包括分別標(biāo)記為{醫(yī)療}�����、{醫(yī)療�����,報(bào)告}���、{醫(yī)療�,護(hù)理}的多個PSFS來賦予她們這種附加的權(quán)利。因此,當(dāng)醫(yī)生使用具有標(biāo)簽{醫(yī)療��,護(hù)理}的PSFS進(jìn)行她的醫(yī)療工作時�,她能夠?qū)︶t(yī)療記錄進(jìn)行讀和寫。然而���,當(dāng)她欲進(jìn)行管理工作時���,她執(zhí)行具有標(biāo)簽{醫(yī)療}的PSFS內(nèi)的功能來讀取醫(yī)療信息�。當(dāng)她決定將由標(biāo)簽{醫(yī)療�,護(hù)理}保護(hù)的一些詳細(xì)醫(yī)療信息“重新分類”到概要記錄時,她執(zhí)行已經(jīng)被預(yù)定義為具有進(jìn)行重新分類的授權(quán)的PSFS�����,因而將PII從標(biāo)簽{醫(yī)療����,護(hù)理}降級到標(biāo)簽{醫(yī)療,報(bào)告}�。
優(yōu)點(diǎn)本領(lǐng)域的技術(shù)人員將從上面的描述中注意,通過使用諸如本文所描述的數(shù)據(jù)訪問控制工具�,當(dāng)工作于敏感的個人標(biāo)識信息(PII)對象時,安全管理員能夠根據(jù)滿足企業(yè)的業(yè)務(wù)需求的特定操作序列來定義和建立特定的計(jì)算機(jī)功能集合�。這種預(yù)建立且可控的功能集合以及關(guān)聯(lián)的操作序列是僅能夠訪問這種PII對象的進(jìn)程,因而確保這些PII對象能夠僅以企業(yè)保密策略所描述的方式被使用���。所提出的該數(shù)據(jù)訪問控制工具是基于新的邏輯結(jié)構(gòu)的�����,該邏輯結(jié)構(gòu)包括根據(jù)對象所需的保密性級別(其解釋為該對象能夠被正當(dāng)?shù)厥褂玫哪康?將數(shù)據(jù)對象和用戶分類以及根據(jù)各個用戶所需的PII對象的許可將功能分組為被授權(quán)給用戶的目的服務(wù)功能集合的概念�����。此外����,根據(jù)本發(fā)明的數(shù)據(jù)訪問控制工具允許用戶(或計(jì)算機(jī)進(jìn)程)根據(jù)訪問事件情況的動態(tài)性來訪問PII分類的信息和功能的不同集合,從而增加需要訪問PII對象的信息處理的靈活性并增強(qiáng)其安全性����。
本發(fā)明能夠被包括在具有例如計(jì)算機(jī)可用介質(zhì)的制造物品(例如,一個或多個計(jì)算機(jī)程序產(chǎn)品)中��。該介質(zhì)具有包括在其中的例如用于提供并有助于本發(fā)明的能力的計(jì)算機(jī)可讀程序代碼手段�����。該制造物品能夠作為計(jì)算機(jī)系統(tǒng)的一部分被包括在內(nèi)或單獨(dú)出售��。
另外��,可以提供至少一個機(jī)器可讀程序存儲裝置�����,其包括至少一個機(jī)器可執(zhí)行以實(shí)現(xiàn)本發(fā)明的能力的指令程序�。
本文所示出的流程圖僅僅是示例。在不脫離本發(fā)明的精神的情況下����,可存在對于本文所描述的這些圖或步驟(或操作)的許多變化。例如���,這些步驟可以按照不同的順序來執(zhí)行�,或這些步驟可以被增加����、刪除或修改。所有這些變化都被認(rèn)為是所要求保護(hù)的本發(fā)明的一部分�。
盡管本文詳細(xì)示出和描述了優(yōu)選實(shí)施例,但是對于本領(lǐng)域技術(shù)人員來說顯而易見的是����,在下述權(quán)利要求中定義的本發(fā)明的范圍內(nèi)能夠進(jìn)行各種修改、增加�、替換等等。
權(quán)利要求
1.一種實(shí)現(xiàn)數(shù)據(jù)訪問控制工具的方法�����,所述方法包括向個人標(biāo)識信息數(shù)據(jù)對象指派個人標(biāo)識信息分類標(biāo)簽,其中個人標(biāo)識信息數(shù)據(jù)對象具有一個指派給其的個人標(biāo)識信息分類標(biāo)簽�����;定義至少一個個人標(biāo)識信息目的服務(wù)功能集合�����,該至少一個個人標(biāo)識信息目的服務(wù)功能集合包括對個人標(biāo)識信息數(shù)據(jù)對象進(jìn)行讀或?qū)懙膽?yīng)用功能的列表�;以及向每一目的服務(wù)功能集合指派個人標(biāo)識信息分類標(biāo)簽,其中經(jīng)由具有與個人標(biāo)識信息數(shù)據(jù)對象的個人標(biāo)識信息分類標(biāo)簽相同或是其真子集的個人標(biāo)識信息分類標(biāo)簽的個人標(biāo)識信息目的服務(wù)功能集合的應(yīng)用功能�,該個人標(biāo)識信息數(shù)據(jù)對象僅可讀。
2.根據(jù)權(quán)利要求1的方法���,其中經(jīng)由具有與個人標(biāo)識信息數(shù)據(jù)對象的個人標(biāo)識信息分類標(biāo)簽相同或優(yōu)于其的個人標(biāo)識信息分類標(biāo)簽的個人標(biāo)識信息目的服務(wù)功能集合的應(yīng)用功能�,該個人標(biāo)識信息數(shù)據(jù)對象可寫���。
3.根據(jù)權(quán)利要求1的方法�����,進(jìn)一步包括識別調(diào)用上述數(shù)據(jù)訪問控制工具的特定功能的用戶����;以及向所識別的用戶指派個人標(biāo)識信息許可集合,其中該個人標(biāo)識信息許可集合包括所識別用戶的一個或多個個人標(biāo)識信息分類標(biāo)簽的列表�����。
4.根據(jù)權(quán)利要求1的方法�����,其中上述指派給個人標(biāo)識信息數(shù)據(jù)對象的個人標(biāo)識信息分類標(biāo)簽包括該個人標(biāo)識信息數(shù)據(jù)對象的所有者的標(biāo)識���。
5.根據(jù)權(quán)利要求1的方法,其中上述指派給個人標(biāo)識信息數(shù)據(jù)對象的個人標(biāo)識信息分類標(biāo)簽包括可使用該數(shù)據(jù)對象的至少一個目的的指示��。
6.根據(jù)權(quán)利要求1的方法����,進(jìn)一步包括最初定義企業(yè)內(nèi)使用上述數(shù)據(jù)訪問控制工具的個人標(biāo)識信息目的;以及在定義上述指派給個人標(biāo)識信息數(shù)據(jù)對象和指派給至少一個目的服務(wù)功能集合的個人標(biāo)識信息分類標(biāo)簽中使用這些個人標(biāo)識信息目的�。
7.一種數(shù)據(jù)訪問控制方法,包括(i)由數(shù)據(jù)訪問控制工具的用戶調(diào)用特定功能�����,所述數(shù)據(jù)訪問控制工具具有指派給個人標(biāo)識信息數(shù)據(jù)對象的個人標(biāo)識信息分類標(biāo)簽和至少一個個人標(biāo)識信息目的服務(wù)功能集合����,該至少一個個人標(biāo)識信息目的服務(wù)功能集合包括對個人標(biāo)識信息數(shù)據(jù)對象進(jìn)行讀�����、寫或重新分類的應(yīng)用功能的列表并且具有指派給其的個人標(biāo)識信息分類標(biāo)簽���,其中該數(shù)據(jù)訪問控制工具的用戶具有指派給其的個人標(biāo)識信息許可集合,該用戶的個人標(biāo)識信息許可集合包括含有至少一個個人標(biāo)識信息分類標(biāo)簽的列表�;(ii)確定上述特定功能是否被定義為上述數(shù)據(jù)訪問控制工具的至少一個個人標(biāo)識信息目的服務(wù)功能集合的個人標(biāo)識信息目的服務(wù)功能集合,如果是�,則確定該用戶的個人標(biāo)識信息許可集合是否包括與指派給該個人標(biāo)識信息目的服務(wù)功能集合的個人標(biāo)識信息分類標(biāo)簽匹配的個人標(biāo)識信息分類標(biāo)簽,如果是��,則允許對該特定功能的訪問����;以及(iii)確定該用戶是否被允許訪問所選擇的數(shù)據(jù)對象以執(zhí)行該特定功能。
8.根據(jù)權(quán)利要求7的數(shù)據(jù)訪問控制方法���,進(jìn)一步包括在所述調(diào)用步驟之前��,在上述數(shù)據(jù)訪問控制工具的安全控制下在操作系統(tǒng)內(nèi)建立進(jìn)程�����,其中所述調(diào)用發(fā)生在所述建立的進(jìn)程中��。
9.根據(jù)權(quán)利要求8的數(shù)據(jù)訪問控制方法���,其中所述確定(ii)進(jìn)一步包括如果上述特定功能未被定義為上述數(shù)據(jù)訪問控制工具的個人標(biāo)識信息目的服務(wù)功能集合����,并且對于所建立的進(jìn)程先前已設(shè)置了當(dāng)前進(jìn)程標(biāo)簽�����,則拒絕對該特定功能的訪問����。
10.根據(jù)權(quán)利要求8的數(shù)據(jù)訪問控制方法��,其中所述確定(iii)包括確定所選擇的數(shù)據(jù)對象是否包括個人標(biāo)識信息數(shù)據(jù)對象���,如果是�,則驗(yàn)證該用戶的特定功能是否被定義為上述數(shù)據(jù)訪問控制工具的至少一個個人標(biāo)識信息目的服務(wù)功能集合的個人標(biāo)識信息目的服務(wù)功能集合��,如果不是����,則拒絕對所選擇的數(shù)據(jù)對象的訪問���。
11.根據(jù)權(quán)利要求8的數(shù)據(jù)訪問控制方法,其中所述確定(iii)進(jìn)一步包括如果所選擇的數(shù)據(jù)對象不是個人標(biāo)識信息數(shù)據(jù)對象�,則確定對于所建立的進(jìn)程是否已設(shè)置了當(dāng)前進(jìn)程標(biāo)簽,如果沒有��,則通過自主訪問控制檢查呈遞對所選擇的數(shù)據(jù)對象的訪問判定�����。
12.一種用于實(shí)現(xiàn)數(shù)據(jù)訪問控制工具的系統(tǒng)�,所述系統(tǒng)包括用于向個人標(biāo)識信息數(shù)據(jù)對象指派個人標(biāo)識信息分類標(biāo)簽的裝置,其中個人標(biāo)識信息數(shù)據(jù)對象具有一個指派給其的個人標(biāo)識信息分類標(biāo)簽�����;用于定義至少一個個人標(biāo)識信息目的服務(wù)功能集合的裝置���,該至少一個個人標(biāo)識信息目的服務(wù)功能集合包括對個人標(biāo)識信息數(shù)據(jù)對象進(jìn)行讀或?qū)懙膽?yīng)用功能的列表��;以及用于向每一目的服務(wù)功能集合指派個人標(biāo)識信息分類標(biāo)簽的裝置���,其中經(jīng)由具有與個人標(biāo)識信息數(shù)據(jù)對象的個人標(biāo)識信息分類標(biāo)簽相同或是其真子集的個人標(biāo)識信息分類標(biāo)簽的個人標(biāo)識信息目的服務(wù)功能集合的應(yīng)用功能��,該個人標(biāo)識信息數(shù)據(jù)對象僅可讀�。
13.一種數(shù)據(jù)訪問控制工具����,包括(i)用于由數(shù)據(jù)訪問控制工具的用戶調(diào)用特定功能的裝置,所述數(shù)據(jù)訪問控制工具具有指派給個人標(biāo)識信息數(shù)據(jù)對象的個人標(biāo)識信息分類標(biāo)簽和至少一個個人標(biāo)識信息目的服務(wù)功能集合�����,該至少一個個人標(biāo)識信息目的服務(wù)功能集合包括對個人標(biāo)識信息數(shù)據(jù)對象進(jìn)行讀���、寫或重新分類的應(yīng)用功能的列表并且具有指派給其的個人標(biāo)識信息分類標(biāo)簽,其中該數(shù)據(jù)訪問控制工具的用戶具有指派給其的個人標(biāo)識信息許可集合�����,該用戶的個人標(biāo)識信息許可集合包括含有至少一個個人標(biāo)識信息分類標(biāo)簽的列表����;(ii)用于執(zhí)行以下操作的裝置確定上述特定功能是否被定義為上述數(shù)據(jù)訪問控制工具的至少一個個人標(biāo)識信息目的服務(wù)功能集合的個人標(biāo)識信息目的服務(wù)功能集合,如果是���,則確定該用戶的個人標(biāo)識信息許可集合是否包括與指派給該個人標(biāo)識信息目的服務(wù)功能集合的個人標(biāo)識信息分類標(biāo)簽匹配的個人標(biāo)識信息分類標(biāo)簽�,如果是,則允許對該特定功能的訪問的�����;以及(iii)用于確定該用戶是否被允許訪問所選擇的數(shù)據(jù)對象以執(zhí)行該特定功能的裝置����。
14.一種機(jī)器可讀的程序存儲裝置,包括至少一個機(jī)器可執(zhí)行以執(zhí)行實(shí)現(xiàn)數(shù)據(jù)訪問控制工具的方法的指令程序����,所述方法包括向個人標(biāo)識信息數(shù)據(jù)對象指派個人標(biāo)識信息分類標(biāo)簽,其中個人標(biāo)識信息數(shù)據(jù)對象具有一個指派給其的個人標(biāo)識信息分類標(biāo)簽����;定義至少一個個人標(biāo)識信息目的服務(wù)功能集合,該至少一個個人標(biāo)識信息目的服務(wù)功能集合包括對個人標(biāo)識信息數(shù)據(jù)對象進(jìn)行讀或?qū)懙膽?yīng)用功能的列表�����;以及向每一目的服務(wù)功能集合指派個人標(biāo)識信息分類標(biāo)簽�,其中經(jīng)由具有與個人標(biāo)識信息數(shù)據(jù)對象的個人標(biāo)識信息分類標(biāo)簽相同或是其真子集的個人標(biāo)識信息分類標(biāo)簽的個人標(biāo)識信息目的服務(wù)功能集合的應(yīng)用功能,該個人標(biāo)識信息數(shù)據(jù)對象僅可讀����。
15.一種機(jī)器可讀的程序存儲裝置��,包括至少一個機(jī)器可執(zhí)行以執(zhí)行用于控制數(shù)據(jù)訪問的方法的指令程序���,所述方法包括(i)由數(shù)據(jù)訪問控制工具的用戶調(diào)用特定功能,所述數(shù)據(jù)訪問控制工具具有指派給個人標(biāo)識信息數(shù)據(jù)對象的個人標(biāo)識信息分類標(biāo)簽和至少一個個人標(biāo)識信息目的服務(wù)功能集合��,該至少一個個人標(biāo)識信息目的服務(wù)功能集合包括對個人標(biāo)識信息數(shù)據(jù)對象進(jìn)行讀�����、寫或重新分類的應(yīng)用功能的列表并且具有指派給其的個人標(biāo)識信息分類標(biāo)簽�����,其中該數(shù)據(jù)訪問控制工具的用戶具有指派給其的個人標(biāo)識信息許可集合����,該用戶的個人標(biāo)識信息許可集合包括含有至少一個個人標(biāo)識信息分類標(biāo)簽的列表����;(ii)確定上述特定功能是否被定義為上述數(shù)據(jù)訪問控制工具的至少一個個人標(biāo)識信息目的服務(wù)功能集合的個人標(biāo)識信息目的服務(wù)功能集合,如果是���,則確定該用戶的個人標(biāo)識信息許可集合是否包括與指派給該個人標(biāo)識信息目的服務(wù)功能集合的個人標(biāo)識信息分類標(biāo)簽匹配的個人標(biāo)識信息分類標(biāo)簽����,如果是,則允許對該特定功能的訪問���;以及(iii)確定該用戶是否被允許訪問所選擇的數(shù)據(jù)對象以執(zhí)行該特定功能���。
全文摘要
一種數(shù)據(jù)訪問控制工具通過向個人標(biāo)識信息(PH)數(shù)據(jù)對象指派PH分類標(biāo)簽來實(shí)現(xiàn),每一PH數(shù)據(jù)對象具有一個指派給其的PH分類標(biāo)簽�����。該控制工具進(jìn)一步包括至少一個PH目的服務(wù)功能集合(PSFS)�,該至少一個PH目的服務(wù)功能集合包括對PH數(shù)據(jù)對象進(jìn)行讀或?qū)懙膽?yīng)用功能的列表。每一PH PSFS也被指派了PH分類標(biāo)簽���。PH數(shù)據(jù)對象可由具有與該P(yáng)H對象的PH分類標(biāo)簽相同或優(yōu)于其的PH分類標(biāo)簽的PTI PSFS的應(yīng)用功能來訪問�。該控制工具的用戶被指派包含至少一個PH分類標(biāo)簽的列表的PH許可集合����,其被用于確定該用戶是否有資格訪問特定功能。
文檔編號G06F21/00GK1836195SQ200480023664
公開日2006年9月20日 申請日期2004年8月16日 優(yōu)先權(quán)日2003年8月19日
發(fā)明者L·貝茨, J·達(dá)伊卡, W·法雷爾, R·古斯基, G·卡爾約斯, M·尼爾森, B·普費(fèi)茨曼, M·申特爾, M·溫迪內(nèi) 申請人:國際商業(yè)機(jī)器公司