專利名稱:一種基于角色權(quán)限動(dòng)態(tài)轉(zhuǎn)換的隱私數(shù)據(jù)訪問(wèn)控制方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于角色權(quán)項(xiàng)動(dòng)態(tài)轉(zhuǎn)換的隱私數(shù)據(jù)訪問(wèn)控制方法�。
背景技術(shù):
企業(yè)信息系統(tǒng)中的數(shù)據(jù)是業(yè)務(wù)描述����、信息處理、流程分析和工作量統(tǒng)計(jì)的基礎(chǔ)����,如 果沒(méi)有一個(gè)數(shù)據(jù)安全訪問(wèn)控制策略����,應(yīng)用系統(tǒng)內(nèi)數(shù)據(jù)的開(kāi)放性可使用戶能隨意查詢系統(tǒng)的 各類數(shù)據(jù)��,存在數(shù)據(jù)安全隱患����,并且造成隱私數(shù)據(jù)的泄露,所以建立一個(gè)靈活�����、通用��、動(dòng)態(tài)��、 安全的隱私數(shù)據(jù)訪問(wèn)方法是各行業(yè)信息管理應(yīng)用系統(tǒng)始終在實(shí)踐和實(shí)施的重要功能之一����。同時(shí)國(guó)際上也相繼頒布了對(duì)隱私數(shù)據(jù)安全訪問(wèn)的規(guī)范,如1980年經(jīng)濟(jì)協(xié)作和發(fā) 展組織(OEDC)發(fā)布了在政府工作���、商業(yè)組織和個(gè)人活動(dòng)中隱私信息保護(hù)的指導(dǎo)規(guī)范����,1996 年美國(guó)頒布了醫(yī)療健康保險(xiǎn)攜帶責(zé)任法案(HIPAA,HeathInsurance Portability and Accountability Act of 1996)���,制定了對(duì)醫(yī)療隱私數(shù)據(jù)訪問(wèn)的控制規(guī)范����,提出了“對(duì)病人 隱私數(shù)據(jù)的訪問(wèn)應(yīng)滿足查詢用戶的最小需求”�。這些指導(dǎo)規(guī)范的目地是指隱私數(shù)據(jù)的查詢 是細(xì)粒度的�,需對(duì)現(xiàn)有訪問(wèn)控制技術(shù)的拓展、在現(xiàn)有解決方法中加入對(duì)新技術(shù)的應(yīng)用����,以此 來(lái)建立一個(gè)商業(yè)的隱私數(shù)據(jù)訪問(wèn)控制方法。目前應(yīng)用系統(tǒng)數(shù)據(jù)的組織與管理都使用了數(shù)據(jù)庫(kù)存儲(chǔ)技術(shù)�����,所以對(duì)數(shù)據(jù)的訪問(wèn)都 采用了基于角色的安全訪問(wèn)控制技術(shù)����,這是一種按照部門(mén)、職責(zé)來(lái)劃分工作角色�����,并對(duì)這些 角色分配對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限,從而使具有不同工作角色的用戶有不同的數(shù)據(jù)訪問(wèn)權(quán)限��。然 而這種基于角色的數(shù)據(jù)訪問(wèn)是一種較寬泛的數(shù)據(jù)安全訪問(wèn)控制方法�����,不適應(yīng)當(dāng)用戶職責(zé)變 化時(shí)要求權(quán)限動(dòng)態(tài)轉(zhuǎn)換的情況�����,也不適應(yīng)對(duì)隱私數(shù)據(jù)的細(xì)粒度查詢需求����。隱私數(shù)據(jù)的查詢 控制方法①與數(shù)據(jù)安全查詢方法②有本質(zhì)區(qū)別,前者是按應(yīng)用系統(tǒng)業(yè)務(wù)流程中的數(shù)據(jù)性 質(zhì)�,給數(shù)據(jù)預(yù)先設(shè)定一個(gè)隱私標(biāo)簽,表示在特定的工作場(chǎng)景下才可查詢?cè)摂?shù)據(jù)���。譬如一個(gè) 患者的信息有身份證�����、住址���、聯(lián)系電話�����、治療方案����、用藥名稱和其它疾病情況�����,設(shè)在一張數(shù)據(jù) 表T中身份證����、住址����、聯(lián)系電話、其它疾病情況是隱私數(shù)據(jù)字段����,它們只有醫(yī)生在出院隨訪 工作場(chǎng)景下才可被讀取。當(dāng)A醫(yī)生有對(duì)T表的訪問(wèn)權(quán)限且A不在出院隨訪工作場(chǎng)景下,按 ②的方法能查詢到T表的全部數(shù)據(jù)�����,若按①的方法A醫(yī)生只能查詢到治療方案���、用藥名稱二 個(gè)非隱私數(shù)據(jù)字段�,可以看到對(duì)隱私數(shù)據(jù)的查詢方法是一個(gè)用戶權(quán)限能隨工作場(chǎng)景動(dòng)態(tài)變 化����,而且是細(xì)粒度數(shù)據(jù)字段(查詢控制精確到字段)的查詢控制方法。方法②的實(shí)現(xiàn)技術(shù)是基于角色的訪問(wèn)控制技術(shù)���,若用方法②的實(shí)現(xiàn)技術(shù)就不能實(shí) 現(xiàn)方法①的功能���,因?yàn)榛诮巧脑L問(wèn)控制權(quán)限是指對(duì)數(shù)據(jù)庫(kù)表訪問(wèn)的權(quán)限(如可查詢上 述6個(gè)字段的數(shù)據(jù)值),并不能實(shí)現(xiàn)對(duì)一張數(shù)據(jù)表中某些字段的查詢控制���,如不能控制對(duì)身 份證這一數(shù)據(jù)字段的查詢���,更不支持角色權(quán)限的動(dòng)態(tài)變化。文獻(xiàn)” I^rivacy-aware Role Based Access Control ” 在 2007 年僅提出了一個(gè)基 于隱私角色的訪問(wèn)控制模型框架�,并沒(méi)有實(shí)現(xiàn)該模型。在模型中將數(shù)據(jù)的操作與角色綁定, 以此來(lái)描述一條隱私數(shù)據(jù)訪問(wèn)規(guī)則���,但綁定是預(yù)先設(shè)定的(即靜態(tài)的)����,在一個(gè)業(yè)務(wù)流程中 一個(gè)角色綁定操作不會(huì)動(dòng)態(tài)變化�����。模型沒(méi)有考慮隱私數(shù)據(jù)在特定工作場(chǎng)景下被讀取的授權(quán)情況����。中國(guó)專利號(hào)“20051000596. 6”公開(kāi)的題為“提高開(kāi)放業(yè)務(wù)中隱私數(shù)據(jù)安全性的方 法”,是一種在開(kāi)放環(huán)境下基于策略的控制隱私數(shù)據(jù)傳輸?shù)姆椒?����,以此保障?shù)據(jù)傳遞給可信 的第三方�,開(kāi)放環(huán)境如網(wǎng)上書(shū)店����、物流等,這是一個(gè)以數(shù)據(jù)安全為目的的控制方法���。而本發(fā) 明的應(yīng)用環(huán)境是在一個(gè)企業(yè)或集團(tuán)信息系統(tǒng)中(如企業(yè)ERP��、區(qū)域健康檔案系統(tǒng))控制用戶 對(duì)隱私數(shù)據(jù)的查詢����,方法不僅包含了數(shù)據(jù)的安全查詢,還考慮了數(shù)據(jù)的隱私屬性���,如數(shù)據(jù)的 隱私標(biāo)簽����、隱私數(shù)據(jù)可顯示的時(shí)間區(qū)域�、細(xì)粒度的數(shù)據(jù)查詢控制,這些屬性是上述專利中沒(méi) 有考慮到的�。中國(guó)專利號(hào)“200780004113. 7”公開(kāi)的題為“基于角色的訪問(wèn)控制”,是一種基于患 者定制訪問(wèn)策略的個(gè)性化的角色訪問(wèn)控制系統(tǒng)�����,其中個(gè)性化策略通過(guò)修改例外表來(lái)實(shí)現(xiàn)動(dòng) 態(tài)策略���,再將策略賦予角色����、用戶。從訪問(wèn)數(shù)據(jù)而言����,在某些工作環(huán)境下該數(shù)據(jù)是隱私的,而 有些環(huán)境是公開(kāi)的�����,關(guān)鍵取決于數(shù)據(jù)查詢用戶的環(huán)境變量和數(shù)據(jù)的隱私屬性���,上述專利中 沒(méi)有考慮這些問(wèn)題�����。然而在普適環(huán)境下信息系統(tǒng)的數(shù)據(jù)訪問(wèn)方法要求用戶具有查詢最小權(quán)限�,這樣對(duì) 隱私數(shù)據(jù)的泄露降到最少�����,如醫(yī)院信息系統(tǒng)��、保險(xiǎn)和銀行帳戶查詢系統(tǒng)等�。就醫(yī)療信息系統(tǒng) 而言��,放射科醫(yī)生只能查詢患者的歷次放射檢查報(bào)告、手術(shù)數(shù)據(jù)以及患者的基本信息(如 年齡����、性別等),這就是與業(yè)務(wù)信息相關(guān)的最小查詢權(quán)限��。同時(shí)患者的用藥數(shù)據(jù)和通訊方式 數(shù)據(jù)等對(duì)放射科醫(yī)生是隱私數(shù)據(jù)�����,只有在病例討論工作場(chǎng)景下才可查詢�����,這是將隱私數(shù)據(jù) 泄漏的幾率降到最低�����。因此上述需求需要一種基于角色的訪問(wèn)權(quán)限可按工作場(chǎng)景動(dòng)態(tài)轉(zhuǎn)換 的隱私數(shù)據(jù)訪問(wèn)控制方法�。
發(fā)明內(nèi)容
本發(fā)明目的是克服現(xiàn)有技術(shù)中基于角色訪問(wèn)控制技術(shù)對(duì)隱私數(shù)據(jù)查詢無(wú)法控制 的缺陷,改進(jìn)后的訪問(wèn)控制方法依據(jù)工作場(chǎng)景的變化���,使用戶對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限動(dòng)態(tài)轉(zhuǎn)化�����, 適用于各行業(yè)信息管理系統(tǒng)中對(duì)隱私數(shù)據(jù)的查詢保護(hù)�����。本發(fā)明采用的一種基于角色權(quán)項(xiàng)動(dòng)態(tài)轉(zhuǎn)換的隱私數(shù)據(jù)訪問(wèn)控制方法���,應(yīng)用一包含 非隱私數(shù)據(jù)和所述隱私數(shù)據(jù)的數(shù)據(jù)庫(kù)�,所述方法包括步驟一����,將工作場(chǎng)景與所述隱私數(shù)據(jù)進(jìn)行第一關(guān)聯(lián),將角色和工作場(chǎng)景進(jìn)行第二 關(guān)聯(lián)��,將用戶����、角色、工作場(chǎng)景及有效時(shí)間段進(jìn)行第三關(guān)聯(lián)�;步驟二,用戶提出查詢數(shù)據(jù)請(qǐng)求����,并提交當(dāng)前工作場(chǎng)景,判斷所述當(dāng)前工作場(chǎng)景是 否屬于所述第一關(guān)聯(lián)的工作場(chǎng)景���,若不是轉(zhuǎn)入步驟七���,若是轉(zhuǎn)入步驟三;步驟三����,根據(jù)所述第一關(guān)聯(lián)獲得隱私數(shù)據(jù)集合,并判定所述用戶的所述查詢數(shù)據(jù) 請(qǐng)求是否涉及所述隱私數(shù)據(jù)集合���,若有轉(zhuǎn)入步驟四����,若沒(méi)有轉(zhuǎn)入步驟七��;步驟四�,根據(jù)所述第二關(guān)聯(lián)判斷所述用戶的角色是否有對(duì)應(yīng)工作場(chǎng)景,若有轉(zhuǎn)入 步驟七��,若沒(méi)有轉(zhuǎn)入步驟五����;步驟五,根據(jù)所述第三關(guān)聯(lián)判斷所述用戶是否有對(duì)應(yīng)的有效時(shí)間段���,若沒(méi)有轉(zhuǎn)入 步驟七�����,若有轉(zhuǎn)入步驟六��;步驟六�����,根據(jù)所述第三關(guān)聯(lián)判斷當(dāng)前時(shí)間是否在所述有效時(shí)間段內(nèi)���,若在則提交 所述查詢數(shù)據(jù)請(qǐng)求��,若不在則提交非隱私數(shù)據(jù)給用戶���;
步驟七,將所述查詢數(shù)據(jù)提交給所述用戶�����。比較好的是���,所述用戶與所述角色�、所述場(chǎng)景是多對(duì)多的關(guān)系。比較好的是�,所述查詢數(shù)據(jù)請(qǐng)求包括隱私數(shù)據(jù)和非隱私數(shù)據(jù)。
本發(fā)明提供了 一種對(duì)隱私數(shù)據(jù)的查詢保護(hù)的良好方法����。
下面�,參照附圖,對(duì)于熟悉本技術(shù)領(lǐng)域的人員而言���,從對(duì)本發(fā)明方法的詳細(xì)描述 中�,本發(fā)明的上述和其他目的�、特征和優(yōu)點(diǎn)將顯而易見(jiàn)。附圖1是根據(jù)本發(fā)明實(shí)現(xiàn)方式的一個(gè)拓展模型����;附圖2是隱私角色模塊組成圖;附圖3本發(fā)明一較佳實(shí)施例的流程圖�����。
具體實(shí)施例方式本發(fā)明的基本思想是角色的權(quán)限由靜態(tài)權(quán)限和隱私權(quán)限組成���,用靜態(tài)角色 (S-Role)來(lái)定義用戶對(duì)非隱私數(shù)據(jù)的訪問(wèn)權(quán)限(General Permissions)����,用隱私角色 (P-Role)來(lái)動(dòng)態(tài)分配用戶在完成不同業(yè)務(wù)過(guò)程中(在不同工作場(chǎng)景下)對(duì)隱私數(shù)據(jù)的查詢 權(quán)限(Privacy data Permissions)。靜態(tài)角色S-Role的實(shí)現(xiàn)是依靠現(xiàn)有數(shù)據(jù)庫(kù)中提供的 角色訪問(wèn)控制方法��,而隱私角色的實(shí)現(xiàn)是本發(fā)明的內(nèi)容����。靜態(tài)角色是是指預(yù)先授予的對(duì)數(shù) 據(jù)的查詢權(quán)限,隱私角色是角色在動(dòng)態(tài)工作場(chǎng)景下對(duì)隱私數(shù)據(jù)的查詢權(quán)限����,該權(quán)限受權(quán)限 有效時(shí)間區(qū)間的約束。本發(fā)明的拓展模型如附圖1所示��,圖中陰影部分代表隱私角色P及其角色的權(quán)限�����, 是本發(fā)明的內(nèi)容描述�����。按基于角色訪問(wèn)控制模型的權(quán)限分配公式���,拓展后角色的權(quán)限由靜 態(tài)權(quán)限S和隱私權(quán)限P組成�����,用戶��、角色與權(quán)限分配分配公式如下靜態(tài)角色的權(quán)限(GPA) :GPA ^ rXGP隱私角色的權(quán)限(SPA) :SPA £ rXPDP角色(R)的權(quán)限(PA):PA ^ (rXGP) + (rXPDP)用戶與角色的分配關(guān)系為U~>AGUXRUAGUX{ (rXGP) + (rXPDP) }本發(fā)明的具體實(shí)現(xiàn)思路如下����,附圖2是隱私角色(P-Role)的組成部分��,它由 隱私數(shù)據(jù)與場(chǎng)景關(guān)系(P-data)�、隱私數(shù)據(jù)查詢基本策略(B-rule)、動(dòng)態(tài)場(chǎng)景查詢策略 (S-rule)�、場(chǎng)景匹配運(yùn)算(AlgM)和隱私數(shù)據(jù)處理運(yùn)算(Algol)組成。本發(fā)明中���,P-Role:是一個(gè)隱私動(dòng)態(tài)角色��,該角色的權(quán)限是隨用戶的工作場(chǎng)景而動(dòng)態(tài)變化�����,權(quán) 限是指能否操作系統(tǒng)中的數(shù)據(jù)�����。那么一個(gè)用戶能否操作一組隱私數(shù)據(jù)��,取決于該用戶在特 定工作場(chǎng)景下的隱私角色�����,角色是用戶與操作權(quán)限之間的中間件���。P-data:是隱私數(shù)據(jù)的標(biāo)簽�����,說(shuō)明了數(shù)據(jù)對(duì)一些在特定業(yè)務(wù)工作環(huán)境下的用戶來(lái) 說(shuō)�,它是一個(gè)隱私數(shù)據(jù)��,所以用數(shù)據(jù)與工作場(chǎng)景的映射關(guān)系來(lái)表示���。B-rule 基本策略是一個(gè)角色與場(chǎng)景映射的靜態(tài)策略��,在應(yīng)用系統(tǒng)中是預(yù)先設(shè)定 的一個(gè)角色在特定環(huán)境下對(duì)數(shù)據(jù)的訪問(wèn)規(guī)則�����,在系統(tǒng)環(huán)境中這些規(guī)則是不變的���,是用戶對(duì) 數(shù)據(jù)訪問(wèn)的充分條件����?��;静呗躁P(guān)系表中角色與場(chǎng)景的關(guān)系是多對(duì)多的關(guān)系����。S-rule 動(dòng)態(tài)場(chǎng)景查詢策略是用戶�、場(chǎng)景與作用時(shí)間的關(guān)系���,它表示用戶只有在一些特例工作場(chǎng)景下才可對(duì)隱私數(shù)據(jù)進(jìn)行操作�����,并且這樣的操作是有時(shí)間限制的���。當(dāng)發(fā)出查 詢請(qǐng)求的用戶滿足動(dòng)態(tài)查詢策略時(shí),只有在規(guī)定的時(shí)間范圍內(nèi)�����,才可查詢隱私數(shù)據(jù)。一旦超 過(guò)時(shí)間范圍��,盡管滿足動(dòng)態(tài)策略���,查詢權(quán)限就自動(dòng)停止�。Algol 隱私數(shù)據(jù)處理運(yùn)算是對(duì)用戶發(fā)出查詢數(shù)據(jù)請(qǐng)求的處理�����,用于判斷這些查詢 數(shù)據(jù)是否是隱私數(shù)據(jù)��,并對(duì)隱私與非隱私數(shù)據(jù)予以分離���,并找出可以查詢這些隱私數(shù)據(jù)的 工作場(chǎng)景�����。Algo2:場(chǎng)景匹配運(yùn)算是對(duì)用戶當(dāng)下發(fā)出查詢請(qǐng)求的工作場(chǎng)景與隱私數(shù)據(jù)可被查 詢的場(chǎng)景間的匹配����。一個(gè)用戶當(dāng)下的場(chǎng)景參數(shù)不僅要滿足基本策略B-rule中的場(chǎng)景參數(shù)�����, 若存在該用戶的特例查詢策略,還要與動(dòng)態(tài)查詢策略S-rule中的場(chǎng)景參數(shù)一致�,這只是查 詢的前提條件。當(dāng)滿足前提條件時(shí)Algo2還要將當(dāng)下的場(chǎng)景參數(shù)匹配隱私數(shù)據(jù)的標(biāo)簽�。本發(fā)明分用戶查詢請(qǐng)求A模塊和隱私角色權(quán)限的動(dòng)態(tài)生成與作用過(guò)程模塊B,對(duì) 非隱私數(shù)據(jù)的查詢控制遵循了數(shù)據(jù)庫(kù)的訪問(wèn)控制方法�����,不屬于本方法的解決內(nèi)容���,本發(fā)明 的工作方法是A 用戶U由于業(yè)務(wù)需求����,在某一工作場(chǎng)景(S’)下要查詢一組字段0 = (11��,(12����,…… dn,就會(huì)向系統(tǒng)發(fā)出一個(gè)查詢請(qǐng)求����,查詢參數(shù)的傳遞是一個(gè)查詢請(qǐng)求函數(shù)FO�,函數(shù)的自變 量是用戶名和工作場(chǎng)景��。B:是一個(gè)隱私角色在不同場(chǎng)景下查詢權(quán)限的動(dòng)態(tài)生成�����,并將權(quán)限授予用戶的過(guò) 程��。權(quán)限帶有有效時(shí)間參數(shù)����,由場(chǎng)景時(shí)效控制單元去計(jì)算權(quán)限作用的時(shí)間。在此過(guò)程中有 二個(gè)隱私策略庫(kù)�����,一個(gè)是基本隱私策略庫(kù)���,描述了角色與工作場(chǎng)景的映射關(guān)系�,角色與工作 場(chǎng)景是多對(duì)多的關(guān)系�,表示了一個(gè)角色在不同工作場(chǎng)景下對(duì)數(shù)據(jù)的訪問(wèn)權(quán)限。另一個(gè)是動(dòng) 態(tài)隱私策略庫(kù)����,描述特殊用戶在特殊場(chǎng)景下的臨時(shí)角色����,即該用戶具有對(duì)數(shù)據(jù)的臨時(shí)訪問(wèn) 權(quán)限�����。該策略庫(kù)由動(dòng)態(tài)策略管理單元去控制�����,調(diào)整策略的作用時(shí)間��、動(dòng)態(tài)維護(hù)策略主體(用 戶)與檢查策略的矛盾性��。在本發(fā)明中還有一種映射關(guān)系是數(shù)據(jù)隱私標(biāo)簽的設(shè)置�����,它是一種數(shù)據(jù)與工作場(chǎng)景 的映射�����,是指當(dāng)用戶有查詢操作時(shí)����,由系統(tǒng)定義的應(yīng)該保護(hù)的那部分?jǐn)?shù)據(jù),這些數(shù)據(jù)能否被 查詢?nèi)Q于一項(xiàng)業(yè)務(wù)流程的不同工作場(chǎng)景����,它表示只有在特定環(huán)境下數(shù)據(jù)才可被查詢,這 樣的數(shù)據(jù)是一個(gè)隱私數(shù)據(jù)�。隱私數(shù)據(jù)與場(chǎng)景關(guān)系可表示成函數(shù)F((dl,d2�,……dn),S)���。BO 首先查詢參數(shù)接口是對(duì)用戶查詢數(shù)據(jù)的轉(zhuǎn)換和映射���,如用戶的查詢數(shù)據(jù)、用戶 的靜態(tài)角色以及用戶所在的工作場(chǎng)景���,并將它們作為策略判別運(yùn)算的參數(shù)�����。Bl 隱私數(shù)據(jù)處理模塊接收查詢參數(shù)���,作隱私數(shù)據(jù)判別運(yùn)算,分析查詢字段D中是 否含有隱私數(shù)據(jù)。若不包含隱私數(shù)據(jù)��,就不執(zhí)行隱私角色生成與作用的過(guò)程����,返回字段D的 查詢結(jié)果,設(shè)R = F(D)�。若查詢字段D中包含了隱私字段D’(D’ eD,若D’是D的子集����, 那么D = D” +D’,D”是D中的非隱私數(shù)據(jù))����,處理模塊就判別D’可被查詢的工作場(chǎng)景S,并 與用戶當(dāng)前的工作場(chǎng)景S’作匹配���,一旦匹配成功就表明允許在場(chǎng)景S’下查詢字段D’���。若 不匹配,同樣返回結(jié)果F(D)����,這是本發(fā)明方法中的第一次匹配運(yùn)算���,即隱私數(shù)據(jù)與用戶場(chǎng)景 的匹配���。B2:工作場(chǎng)景處理模塊的工作過(guò)程是用戶是否符合基本隱私策略和動(dòng)態(tài)隱私策略 的判別過(guò)程�。先判斷在基本隱私數(shù)據(jù)查詢策略中���,用戶U的角色是否允許在場(chǎng)景S’下可訪 問(wèn)數(shù)據(jù)��,S’是角色的隱私標(biāo)簽��,角色在S’下被授予了一組數(shù)據(jù)的訪問(wèn)權(quán)限�����。這是方法的第二次匹配�。若匹配不成功�����,就查詢動(dòng)態(tài)隱私策略�,檢查是否存在特例用戶在特定時(shí)間段對(duì)隱 私數(shù)據(jù)的訪問(wèn)(B3的執(zhí)行過(guò)程)。匹配成功��,返回F(D’)。B3 動(dòng)態(tài)隱私策略是指工作場(chǎng)景的動(dòng)態(tài)和權(quán)限作用時(shí)間的動(dòng)態(tài)�,策略是指用戶U 與臨時(shí)場(chǎng)景的映射以及這些映射關(guān)系持續(xù)作用的時(shí)間范圍,這是用戶U����、角色、場(chǎng)景S’和時(shí) 間的動(dòng)態(tài)連接�,也是方法的第三次匹配。當(dāng)不匹配時(shí)�,F(xiàn) (D,)= 0�。B4 只有完成了二次或三次匹配運(yùn)算時(shí),用戶U對(duì)隱私數(shù)據(jù)的查詢才被系統(tǒng)接受�����, 此時(shí)場(chǎng)景時(shí)效控制單元檢查權(quán)限可持續(xù)的時(shí)間以控制數(shù)據(jù)返回�,若在持續(xù)時(shí)間內(nèi),那么賦 給參數(shù)接口的函數(shù)是一個(gè)結(jié)果函數(shù)����,R = F(D’)+F(D”),其中D”+D’ = D��,D”是D中的非隱 私數(shù)據(jù)�����。實(shí)施例以下是本發(fā)明具體實(shí)施例的流程說(shuō)明,該實(shí)施例的信息是以醫(yī)療領(lǐng)域中患者的電 子記錄為例����,下面定義了實(shí)施例中所涉及的5個(gè)數(shù)據(jù)表����、1個(gè)輸入函數(shù)、1個(gè)輸出函數(shù)表1 患者信息表(本實(shí)施例中所要查詢的業(yè)務(wù)表)編號(hào)姓名性別電話門(mén)診診斷手術(shù)名稱1AAA男12345678CCCCCEEEEE2BBB女87654321DDDDDFFFFF表2 工作場(chǎng)景范圍表(用于定義業(yè)務(wù)環(huán)境中所有的工作場(chǎng)景)
表3 場(chǎng)景與隱私數(shù)據(jù)映射關(guān)系表(定義業(yè)務(wù)表在不同的工作場(chǎng)景下所具有的隱 私數(shù)據(jù)范圍)編號(hào)業(yè)務(wù)表名稱工作場(chǎng)景名稱隱私數(shù)據(jù)名稱1患者信息表出院隨訪電話
權(quán)利要求
1.一種基于角色權(quán)項(xiàng)動(dòng)態(tài)轉(zhuǎn)換的隱私數(shù)據(jù)訪問(wèn)控制方法�����,應(yīng)用一包含非隱私數(shù)據(jù)和所 述隱私數(shù)據(jù)的數(shù)據(jù)庫(kù)���,所述方法包括步驟一���,將工作場(chǎng)景與所述隱私數(shù)據(jù)進(jìn)行第一關(guān)聯(lián),將角色和工作場(chǎng)景進(jìn)行第二關(guān)聯(lián)�����, 將用戶���、角色�����、工作場(chǎng)景及有效時(shí)間段進(jìn)行第三關(guān)聯(lián)����;步驟二,用戶提出查詢數(shù)據(jù)請(qǐng)求�����,并提交當(dāng)前工作場(chǎng)景����,判斷所述當(dāng)前工作場(chǎng)景是否屬 于所述第一關(guān)聯(lián)的工作場(chǎng)景,若不是轉(zhuǎn)入步驟七����,若是轉(zhuǎn)入步驟三;步驟三�,根據(jù)所述第一關(guān)聯(lián)獲得隱私數(shù)據(jù)集合,并判定所述用戶的所述查詢數(shù)據(jù)請(qǐng)求 是否涉及所述隱私數(shù)據(jù)集合�,若有轉(zhuǎn)入步驟四,若沒(méi)有轉(zhuǎn)入步驟七��;步驟四,根據(jù)所述第二關(guān)聯(lián)判斷所述用戶的角色是否有對(duì)應(yīng)工作場(chǎng)景���,若有轉(zhuǎn)入步驟 七�����,若沒(méi)有轉(zhuǎn)入步驟五����;步驟五�,根據(jù)所述第三關(guān)聯(lián)判斷所述用戶是否有對(duì)應(yīng)的有效時(shí)間段�����,若沒(méi)有轉(zhuǎn)入步驟 七��,若有轉(zhuǎn)入步驟六�;步驟六,根據(jù)所述第三關(guān)聯(lián)判斷當(dāng)前時(shí)間是否在所述有效時(shí)間段內(nèi)��,若在則提交所述 查詢數(shù)據(jù)請(qǐng)求�����,若不在則提交非隱私數(shù)據(jù)給用戶; 步驟七�����,將所述查詢數(shù)據(jù)提交給所述用戶����。
2.根據(jù)權(quán)利要求1所述的基于角色權(quán)項(xiàng)動(dòng)態(tài)轉(zhuǎn)換的隱私數(shù)據(jù)訪問(wèn)控制方法,其特征在于����,所述用戶與所述角色、所述場(chǎng)景是多對(duì)多的關(guān)系����。
3.根據(jù)權(quán)利要求1所述的基于角色權(quán)項(xiàng)動(dòng)態(tài)轉(zhuǎn)換的隱私數(shù)據(jù)訪問(wèn)控制方法,其特征在于����,所述查詢數(shù)據(jù)請(qǐng)求包括隱私數(shù)據(jù)和非隱私數(shù)據(jù)。
全文摘要
本發(fā)明公開(kāi)了一種基于角色權(quán)項(xiàng)動(dòng)態(tài)轉(zhuǎn)換的隱私數(shù)據(jù)訪問(wèn)控制方法���,包括將工作場(chǎng)景與所述隱私數(shù)據(jù)進(jìn)行關(guān)聯(lián)��,將角色和工作場(chǎng)景進(jìn)行關(guān)聯(lián)��,將用戶�����、角色�����、工作場(chǎng)景及有效時(shí)間段進(jìn)行關(guān)聯(lián)�;用戶提出查詢數(shù)據(jù)請(qǐng)求,并提交當(dāng)前工作場(chǎng)景����,判斷所述當(dāng)前工作場(chǎng)景是否屬于關(guān)聯(lián)的工作場(chǎng)景,若不是提交查詢數(shù)據(jù)�,根據(jù)所述第一關(guān)聯(lián)獲得隱私數(shù)據(jù)集合��,并判定所述用戶的所述查詢數(shù)據(jù)請(qǐng)求是否涉及所述隱私數(shù)據(jù)集合����,根據(jù)所述第二關(guān)聯(lián)判斷所述用戶的角色是否有對(duì)應(yīng)工作場(chǎng)景,根據(jù)所述第三關(guān)聯(lián)判斷所述用戶是否有對(duì)應(yīng)的有效時(shí)間段���,根據(jù)所述第三關(guān)聯(lián)判斷當(dāng)前時(shí)間是否在所述有效時(shí)間段內(nèi)��。本發(fā)明提供了一種基于角色的訪問(wèn)權(quán)限可按工作場(chǎng)景動(dòng)態(tài)轉(zhuǎn)換的隱私數(shù)據(jù)訪問(wèn)控制方法���。
文檔編號(hào)G06F17/30GK102043931SQ201010022930
公開(kāi)日2011年5月4日 申請(qǐng)日期2010年1月19日 優(yōu)先權(quán)日2010年1月19日
發(fā)明者劉逸敏, 周偉平, 楊 遠(yuǎn), 魏明月 申請(qǐng)人:中國(guó)人民解放軍第二軍醫(yī)大學(xué)東方肝膽外科醫(yī)院