专利名称:访问权限的动态确定的制作方法
技术领域:
本发明涉及一种用于动态地确定客户端对记录的访问权限的方法和系统。在一个实施例中,本发明基于背景(context)信息的可信度和/或须知基础在DRM或XACML系统中提供了对权限的动态改变。
背景技术:
随着医学信息技术的进步,患者和医生现在可以从各种服务中受益。例如,电子患者记录(EPR)是与患者的健康状况和健康护理相关的电子存储数据的储存库。Era系统能够提供改进健康护理供给的质量和效率的功能。EH 的功能性范例为提供提示和警告、提供同时对多个临床医生的访问、或者将知识源与患者数据相链接。传统的纸件医学记录缺乏这样的功能。此外,对远程患者监测服务的需求日益增加,因此多个标准化活动都以该领域为目标,如 Continua Alliance (参见 www. continuaaliance. org/home)以及 Healthcare Information Technology Standards Panel (参见 www· hitsp· org)。电子地传送健康相关问题的若干优点包括不用必须离开房屋(对残疾人而言,这可能是问题),可以匿名询问敏感问题,或者从未曾见面的个人那里得到答案。尽管这些技术带来了很多优点,然而同时也引起了一些安全和隐私的问题。通常认为与健康相关的数据是非常隐私的,这为扩展法规的出现以及良好建立的道德标准,诸如希波克拉底誓言(Hippocratic Oath),提供了法律依据。欧洲政策 94/46 (European Directive 94/46)、美国的医疗保险携带和责任法案(Health Insurance Portability and Accountability Act) (^jALwww. hhs. gov/ocr/privacysummary. pdf)以及加拿大的健康信息保护法案(参见www. health, gov. sk. ca/hipa-cheklist)为健康系统中有关个人健康信息的个人权限以及受托人(如医生和护士)的义务制定法律。这些法案应用到健康系统中任意形式的个人健康信息,包括传统的纸件记录以及电子记录。立法的根本目的是为了保护个人健康信息的隐私性,同时保证这些信息在需要时能够提供服务, 以及监测、评估和改进健康系统以便使个人和社会受益。各种立法需要实施大范围的安全措施。主要原则之一被称为信息最小化。例如, HIPA (健康信息保护法案)规定了仅在须知的基础上收集、使用或公开的要求。法案要求仅在须知的基础上收集、使用或公开个人健康信息。这意味着只有为可接受的目的所需要的信息才应该被收集、使用或公开。其还意味着只有那些出于法案中的合法目的而需要访问信息的个人才可以访问记录。除了须知条件,确定访问权限的另一重要因素是对象背景属性的确定性。在健康护理应用中,对信息的访问常常取决于背景信息(背景属性常常被用作访问控制规则中的条件)。然而,在评估规则的处理中,常常很难百分之百地确定某个背景能否实现。在其中客户端必须评估背景信息的DRM(数字权限管理)应用中,情况尤其如此。诸如XACML(扩展访问控制标记语言,Extensible Access Control Markup Language)之类的当前技术水
4性考虑在内,但是这些方案是基于静态授权的。例如,医生使用任意类型的验证方法(诸如一个或两个因素的验证),从任意设备 (办公室计算机、家用计算机、公共网吧等)访问其患者的健康记录会具有相同的访问权限。医生可以从公共网吧或家中的计算机访问患者的私有健康信息记录,此时其具有与他从医院或诊所的安全计算机访问记录时相同的访问权限。然而,医生属性(例如其身份) 的确定性很大程度上取决于用来证明这些属性(例如所用的验证形态)的方法。对于其他背景信息的确定性,诸如运行数字权限管理或访问控制客户端应用的个人计算机的可信度,这同样适用。然而,当前的静态授权方法不能应付这些要求。因此,需要可以有效地确定用于访问控制和DRM以及须知条件的属性的确定性的方法,该方法将被用于将访问和使用权限相应地分配给授权的人员。
发明内容
因此,本发明的目的在于改进现有技术。根据本发明的第一方面,提供了一种动态地确定客户端对记录的访问权限的方法,该方法包括接收来自客户端的对于所述记录的访问请求,确定与该访问请求相关的一个或多个背景,计算每个确定的背景的分数,根据这些背景分数计算总分数,访问所述记录的权限策略,该权限策略限定了关于所述记录的多个不同权限,每个权限都具有各自的最小分数,以及根据总分数与所述权限策略中每个权限的分数的比较结果来确定所述客户端的访问权限。根据本发明的第二方面,提供了一种用于动态地确定客户端对记录的访问权限的系统,该系统包括许可服务器,其被布置成存储所述记录的权限策略,该权限策略限定了关于所述记录的多个不同权限,每个权限都具有各自的最小分数;被布置成接收对于所述记录的访问请求的部件;以及背景评估器,其被布置成确定与所述访问请求相关的一个或多个背景,计算每个确定的背景的分数,根据这些背景分数计算总分数,访问所述记录的权限策略,以及根据总分数与所述权限策略中每个权限的分数的比较结果来确定对所述客户端的访问权限。归因于本发明,可以提供一种方法和系统,其中基于背景信息的可信度和/或须知的概念来动态地改变对私有电子健康信息记录的访问和使用权限。在做出决定和实施许可(策略)之前,DRM客户端或AC(访问控制)系统会向背景评估器做出对背景信息的确定性(或可信度)级别的请求。背景评估器收集合适的背景信息并将信赖分数分配给其中的每一个。在分配各个信赖分数之后,计算总信赖分数,该总分数然后被转发到DRM客户端或AC系统的PDP (策略判定点),该DRM客户端或AC系统的PDP基于信赖分数的级别来最小化(减小)原始的访问和使用权限。优选地,根据背景分数计算总分数的步骤包括计算所述背景分数的平均值。在一个实施例中,该平均值为根据预定义公式的加权平均值。需要将各个背景分数组合成表示当前应用对于患者的数据记录的总可信度的单个背景分数。简单的平均或加权平均可以用于将不同的背景分数组合成单个总分数。这在给定的围绕该应用的所有不同情形的情况下提供了简单而有效的方法,通过该方法可以计算当前应用对于健康记录的总可信度的总度量。
5
有利地是,确定与访问请求相关的一个或多个背景的步骤包括选择关于验证级别、客户的可信度以及访问时间的一个或多个背景。可以在确定客户对数据记录的访问权限的过程中使用任意数量的不同背景。诸如验证级别(例如是使用密码、智能卡还是生物统计测量)和客户机的可信度(例如是医院计算机还是网吧里的计算机)之类的背景可以用来以可靠而一致的方式确定总背景分数。在一个实施例中,计算每个确定的背景的分数的步骤包括将描述值分配给每个背景。在这种情况下,根据背景分数计算总分数的步骤包括将规则策略(rules policy)应用到描述值以获得包括描述值的总分数。计算每个背景的分数以及随后根据各个背景分数计算总分数不一定必须使用数字值来实现。分数可以是任意一种尺度的加权,而不仅仅是数字尺度。例如,背景的分数可以选自描述值,诸如非常低、低、中等、高和非常高,并且然后可以例如使用规则策略,诸如最常出现的项,在相同的尺度下完成对总分数的计算。
现在仅通过范例并参考附图来描述本发明的实施例,在附图中图1是系统的示意图;图2是该系统的示出了更多细节的另一示意图;图3至5是背景记分方案的示意图;图6是XACML系统中的数据流的示意图;图7是备选背景记分方案的示意图;图8是该系统的另一示意图;以及图9是该系统的另一实施例的示意图。
具体实施例方式只有考虑了须知标准以及已评估的背景和对象属性的确定性时才需要公开私有健康信息。在该系统中,提供了一种方法,其中基于背景信息的确定性/可信度来动态地改变用于访问特定健康信息记录的访问控制和/或使用权限。还可以使用须知级别来应用这种动态改变来获知私有健康信息。基本想法是动态地改变(最小化)客户访问私有健康信息记录的访问控制和/或使用权限。这基于在评估许可或访问控制策略中使用的属性确定性级别来进行。该确定性级别可以被分配给每个背景属性,例如为{对象ID,确定性0. 33},或者可以根据其他背景属性来计算该确定性级别。同样可以基于须知条件的强度级别来改变访问权限。该方法具有以下优点。首先更好地保护了隐私,因此有效地实现了相关法规的要求。如果访问信息的人真正地需要原始权限,那么将维持访问该信息的原始权限,这些是自动确定的。系统通过基于背景信息的确定性最小化使用权限来最小化安全威胁。然而,所提出的方法和系统仍然保留了访问私有健康信息记录的灵活性。例如,医生可以在他们的家中或者在公共网吧处访问信息(尽管他们具有最小的权限)。应当注意的是,最小化级别可以由合适的管理当局或信息对象所限定的策略来确定。图1是系统的高级概念框图,其中DRM客户端10接收使用权限14和背景信息12的可信度分数。因此,基于背景信息12 的可信度分数,最小化原始使用权限14,并且合适的输出16示出了减小的权限。
图2是系统的更为详细的描述。在步骤(1),DRM客户端10向许可服务器18请求对特定资产(或资源)的权限,其中该资产为客户端想要访问的记录。在步骤O),许可服务器18向DRM客户端10发送特定资产的原始权限和条件以及最小化策略。在步骤(3),DRM 客户端10向背景评估器20请求背景信息的可信度。背景评估器20将可信度分数分配给来自每个宽泛类别中的背景信息的各个背景信息中的每个,并计算总可信度分数(诸如平均值)。或者,DRM客户端10本身可以基于其他背景信息分配这些值。在步骤0),背景评估器20将背景信息的可信度(或确定性分数)转发到DRM客户端10。在步骤( ,DRM客户端10基于可信度分数最小化权限并且将该最小化的权限分配给用于特定访问的对象。该系统提供了一种在DRM系统中最小化权限的方法。以下给出了如何基于不同类别的可用背景信息的确定性来最小化权限的构造,但可以使用其他不同级别的背景信息。 许多不同事物可以用作与访问患者健康记录相关的背景。诸如做出访问请求的机器的位置或日期时间等之类的事物可以用作与访问请求相关的背景。在计算所使用的所有背景的总分数之前,分别为每个使用的背景打分。背景信息可以与做出访问请求的客户端正使用的验证类型相关。背景评估器可以使用来确定可信度的第一类别的背景信息是用于访问私有健康信息记录的验证类型。图3 示出了不同类型的验证以及其相应的分数。如果仅使用一个因素的验证,那么为其分配的确定性分数将会很低,然而,如果使用两个因素的验证,那么为其分配的确定性分数将会相对较高。因此,对于三个因素的验证,确定性将是最高的。图3示出了为了访问信息而使用的不同类型的验证,因此基于用来访问私有健康信息记录的验证类型来分配确定性(或可信度)分数,该分数之后用于最小化使用权限。这示出了系统与权限用户对话的确定性的不同级别,即系统在多大程度上确定访问请求来自真实用户。如图4所示,另一背景信息类别可以与客户端的恶意相关。这示出了请求访问私有健康信息记录的客户端的可信度(或确定性)分数。可以考虑的第二类别的背景信息是请求访问私有健康信息的DRM客户端的可信度。例如,医生可以从其办公室使用其办公室个人计算机(PC)或者从家中使用公司便携式电脑来访问信息记录。在这种情况下,客户端的可信度很高,因此为其分配的分数将会是最高的。然而,如果医生设法从他们的家用个人计算机访问信息,那么DRM客户端的可信度将会较低,因此为其分配的分数将会相对较低。 如果医生从公共网吧访问信息,客户端的可信度将会非常低并且为其分配的分数将会最低。图4示出了可以从其访问信息的不同客户端的可信度以及为其分配的相应确定性(或可信度)分数(客户端不是恶意的可能性)。背景信息还可以与访问时间相关。发挥作用的背景信息的第三类别是访问私有健康信息的时间。这对确定须知要求是有用的。例如,如果在正常工作时间访问某个信息,那么真正需要该信息以及该信息被用于正当目的的可能性会很高,然而,如果在非工作时间设法访问信息,那么该信息用于正当目的以及真正需要该信息的可能性会相对较低。图5 示出了访问信息的两个不同时间间隔以及其相应的确定性(或可信度分数)。在上述部分中,在计算可信度(或确定性)分数时,集中关注三种不同主要类别的背景信息,并且这是用来示出这些类别的背景信息是如何帮助确定不同背景属性的确定性 (或可信度)以及须知级别的。以下部分将给出一种如何将来自这三个方面或背景的知识相组合以获得总信赖分数(或可信度)分数的方法。在收集了不同类型的背景信息并且将信赖分数分别分配给每个背景信息之后,计算总可信度分数的一种方式是将来自每种类别的各个背景信息中的每个的信赖分数进行组合并使它们标准化。例如,如果医生在非工作时间通过使用两个因素的验证从他们的家用个人计算机来访问私有健康信息,那么总可信度分数计算如下信赖分数=(验证分数+位置分数+时间分数)/3信赖分数=(0.66+0. 66+0. 5) /3 = 0. 6067。以上的可信度分数“信赖分数”在背景评估器20处计算,或备选地在DRM客户端 10处计算。然后,基于该信赖分数的值来最小化原始使用权限。例如,如果权限策略所限定的原始使用权限为权限={查看、修改、打印、转发、委托、删除},那么基于该信赖分数, 可以按以下方式最小化权限。DRM客户端20从许可发行器接收对每种权限的从间隔
的阈值,其如下所示{查看一0. 2,修改一0. 5,打印一0. 6,转发一0. 7,委托一0. 8,删除 —0. 9}。权限策略限定了关于被访问的记录的多个不同权限,其中每个权限都具有各自的最小分数。基于已计算的信赖分数(0. 6067),DRM客户端允许用户仅执行为其分配的阈值高于信赖分数(即上述范例中的0.6067)的权限。因此,最小化的(可执行)使用权限如下给出,可执行权限={查看、修改、打印}。这示出了对于医生使用两个因素的验证从他们的家用计算机在工作时间之外访问健康记录的给定背景下,他们所确定的访问权限将为查看、修改以及打印该纪录。在该特定背景下拒绝给予医生其他的访问权限(转发、委托以及删除)。这说明了权限被最小化的中心概念。图6图示了基于可信度或须知概念在XACML系统中最小化权限(行为)。以下将简要描述上述权限最小化概念如何在XACML系统中工作。首先,重要的是要注意到,在XACML 系统中权限被称为行为。因此,从这里开始,行为和权限将被认为是互相等同的。图6示出了 XACML系统的数据流框图。将简要描述数据流框图中的每个步骤,并且还解释在哪个框图以及在哪个步骤处可以根据背景信息的可信度来最小化权限。在步骤(1),PAP (策略管理点)22写入策略和策略组并且使其可用于PDP (策略决定点)24。这些策略或策略组表示用于特定目标的完整策略。假设所述策略扩展为包含每个行为的阈值。在步骤0),访问请求器26将访问请求发送到PEP(策略实施点)28。在步骤(3),该PEP 28以其自身的请求格式将访问请求发送到背景处理器30,该请求格式任选地包括对象、资源、行为和环境的属性。在步骤0),背景处理器30从PIP (策略信息点)32请求属性或背景信息。在步骤 (5), PIP 32从对象M、资源36和环境38获得所请求的属性以及不同类别的背景信息。在步骤(6),PIP 32将所请求的属性返回到背景处理器30。假设PIP 32将确定性信息附加到每个属性。或者,背景处理器30可以基于其他背景属性来计算确定性信息。在步骤(7), 任选地,背景处理器30将资源36包括在背景中。在步骤(8),背景处理器30构建XACML请求背景并将其发送到PDP 24。这里,PDP M可以被看作与DRM客户端10等同,背景处理器30可以被看作与背景评估器20等同。如果需要的话,PDP 9从背景处理器30请求任何附加的对象、资源、行为和环境的属性。如果还没有将确定性信息分配给属性,那么背景处理器30将信赖分数分配给每个类别的背景
8信息中的每个属性并计算平均可信度分数。这之后连同其他对象、资源、行为和环境的属性一起被转发到PDP 24。在步骤(9),PDP M评估策略并基于总可信度分数最小化原始使用权限(或XACML 语言中的行为)。还可以在PDP M而不是在背景处理器30处将可信度分数分配给每个类别的背景信息中的每个属性并计算平均可信度分数,以及在该平均可信度分数的基础上, 可以最小化原始使用权限(或行为)。在步骤(10,标记为A),PDP M将响应背景(包括授权决定)返回到背景处理器30。在步骤(11,标记为B),背景处理器30将响应背景转换为PEP观的固有响应格式。背景处理器30将响应返回到PEP 28。在步骤(12,标记为C), PEP 28实施与责任服务40相关的责任。还可以在DRM服务器侧而不是客户端侧评估背景信息。在评估了背景信息的确定性之后,原始使用权限被相应地最小化。因此,在这种情况下,具有有限使用权限的数据随后将被转发到DRM客户端。尽管上文已经考虑了三种不同的主要类别的背景信息,但是还可以考虑其他类别的背景信息,如紧急情况等。尽管优选给出了计算总信赖分数的方法,但是也存在任意数量的其他不同方法用来根据为背景信息静态分配的各个信赖分数来计算总信赖分数。如图7所示,代替将静态信赖分数分配给背景信息并且然后计算总(平均)可信度的是,可以使用不同的描述值而不是数字分数来指示每个不同背景信息的信赖度。该图示出了验证类型以及其相应的描述型信赖分数。这同样可以适用于其他类别的背景信息。 可以基于由策略限定的任意规则来计算总可信度,诸如如果两个背景信息的可信度级别是中等而另一个是低的,那么最终的可信度级别将是中等的。相似地,存在有将每个背景信息中的信赖度相组合并且产生最终的可信度级别的其他规则。因此,基于最终的可信度级别, 即低信赖、中等信赖和高信赖,可以最小化原始使用权限。代替计算平均信赖分数的是,可以基于每个类别的背景信息的重要性计算加权的平均值。为每个类别分配权重,例如,“验证类型”的权重是0. 5,“客户端的可信度”的权重是0. 3,“访问时间”的权重是0. 2。再一次重新使用先前的范例,即医生在非工作时间通过使用两个因素的验证从他的家用个人计算机来访问私有健康信息,则可信度分数计算如下加权信赖分数=(0. 5*验证分数+0. 3*客户端分数+0. 2*时间分数)/ (0. 5+0. 3+0. 2)加权信赖分数=(0.5**0. 66+0. 3*66+0. 2*0. 5)/1加权信赖分数=(0.33+0. 198+0. 1)/1 = 0. 2093图8图示了医生在非工作时间通过使用两个因素的验证从他的家用个人计算机访问私有健康信息的特定范例,但是其中利用未加权的平均值用于计算总分数。向DRM客户端10发出关于患者的数据记录36的访问请求42。客户端10还可以访问该数据记录36 的权限策略14。客户端10被连接到背景评估器20,尽管DRM客户端10本身也可以实现背景评估器20的功能。背景评估器将进行会导致做出请求42的客户的访问权限最小化的计笪弁。背景评估器20确定与访问请求42相关的一个或多个背景12,并计算每个确定的背景12的分数44。该分数根据所获得的关于特定背景的信息来表示背景中的信赖级别。 背景评估器20根据背景分数44计算总分数46,在这种情况下为分数44的直接平均值。背景评估器20访问记录36的权限策略14。权限策略14限定了关于记录36的多个不同权限,每个权限都具有各自的最小分数,并且背景评估器20根据总分数46与权限策略14中每个权限的分数的比较结果来确定客户的访问权限。计算每个背景的分数以及之后根据各个背景分数计算总分数并不一定必须使用数字值来实现。分数可以是任意一种尺度的加权,而不仅仅是数字尺度。例如,背景分数可以从非常低、低、中等、高和非常高中选择,随后总分数计算可以使用例如最常出现的项在相同的尺度下进行。实际上,不同的记分尺度可以用于不同的背景,只要总分数的计算使用一种能够处理不同的输入参数并提供表示所组合背景的总信任分数的有意义结果的算法即可。图9示出了另一实施例,其中许可服务器18还可以访问审计日志48。这里使用一种方法,其中基于根据记录用户所有行为的审计日志48(或用于计算系统中的用户声誉的任何其他来源)而计算得到的用户行为或声誉来动态地改变对私有电子健康信息记录或者任何其他类型的敏感数据的访问和使用权限。图9示出了该系统。在步骤(1),DRM客户端10向许可服务器18请求对特定记录的权限。在步骤O),许可服务器18基于根据在服务器18处的审计日志48而计算得到的声誉分数或行为分数来最小化用户的原始权限。这是第一级别的最小化权限。在步骤(3), 许可服务器18向DRM客户端10发送该特定记录的第一级别的最小化使用权限和条件以及最小化策略。在步骤(4),DRM客户端10向背景评估器20请求背景信息的可信度。背景评估器20将可信度分数分配给来自每个宽泛类别的背景信息中的每个背景信息,并计算平均可信度分数。或者,DRM客户端10自身可以基于其他背景信息来分配这些值。在步骤( ,背景评估器20将背景信息的可信度(或确定性分数)转发到DRM客户端10。在步骤(6),DRM客户端10基于可信度分数进一步最小化权限并将最终最小化的权限分配到特定时间和特定记录的对象。除了根据背景来最小化权限之外,这一改进的实施例的优点在于还根据用户过去的行为(或声誉)来最小化使用权限,这相当于惩罚用户。使用权限可以仅基于用户过去的行为(或声誉)来进行修改,而不用考虑背景信息的可信度。因此,在这种情况下,使用权限不会被进一步最小化。根据用户过去的行为(或声誉)将权限最小化可以在DRM客户端或AC系统的PDP处进行,而不是在服务器侧进行。
权利要求
1.一种动态地确定客户端(10、26)对记录(36)的访问权限的方法,包括 -从所述客户端(10、26)接收关于所述记录(36)的访问请求02),-确定与所述访问请求0 相关的一个或多个背景(12), -计算每个确定的背景(1 的背景分数04), -根据所述背景分数G4)计算总分数06),-访问所述记录(36)的权限策略(14),所述权限策略(14)限定了关于所述记录的多个不同权限,每个权限都具有各自的最小分数,以及-根据所述总分数G6)与所述权限策略(14)中每个权限的分数的比较结果来确定所述客户端的访问权限。
2.根据权利要求1所述的方法,其中,根据所述背景分数G4)计算总分数G6)的步骤包括计算所述背景分数G4)的平均值。
3.根据权利要求2所述的方法,其中,所述平均值是根据预定义公式的加权平均值。
4.根据权利要求1、2或3所述的方法,其中,确定与所述访问请求0 相关的一个或多个背景(1 的步骤包括选择验证级别、客户端的可信度和访问时间中的一个或多个背景(12)。
5.根据前述权利要求中的任一项所述的方法,其中,确定所述客户端的访问权限的步骤包括将所述客户端的访问权限限制为少于由所述权限策略(14)所限定的全部权限。
6.根据前述权利要求中的任一项所述的方法,还包括将消息传送给所述客户端(10、 26),所述消息包括所述客户端的访问权限。
7.根据前述权利要求中的任一项所述的方法,其中,计算每个确定的背景(1 的背景分数G4)的步骤包括将描述值分配给每个背景(12)。
8.根据权利要求7所述的方法,其中,根据所述背景分数04)计算总分数G6)的步骤包括将规则策略应用到所述描述值以获得包括描述值的总分数G6)。
9.根据前述权利要求中的任一项所述的方法,还包括访问限定了所述客户端(10、26) 的先前声誉和/或行为的审计日志G8)并根据所述审计日志G8)来最小化所述权限策略。
10.一种用于动态地确定客户端(10、26)对记录(36)的访问权限的系统,包括 -许可服务器(18),其被布置成存储所述记录(36)的权限策略(14),所述权限策略(14)限定了关于所述记录(36)的多个不同权限,每个权限具有各自的最小分数, -部件(10 J6),其被布置成接收关于所述记录(36)的访问请求(42),以及 -背景评估器(20),其被布置成确定与所述访问请求0 相关的一个或多个背景 (12),计算每个确定的背景(1 的分数(44),根据所述背景分数04)计算总分数(46),访问所述记录(36)的所述权限策略(14),以及根据所述总分数G6)与所述权限策略(14)中每个权限的分数的比较结果来确定所述客户端的访问权限。
11.根据权利要求10所述的系统,其中,所述背景评估器00)被布置成在根据所述背景分数G4)计算总分数G6)时,计算所述背景分数的平均值。
12.根据权利要求11所述的系统,其中,所述平均值是根据预定义公式的加权平均值。
13.根据权利要求10、11或12所述的系统,其中,所述背景评估器00)被布置成在确定与所述访问请求相关的一个或多个背景(1 时,选择验证级别、客户端的可信度和访问时间中的一个或多个背景(12)。
14.根据权利要求10至13中的任一项所述的系统,其中,所述背景评估器00)被布置成在确定所述客户端的访问权限时,将所述客户端的访问权限限制为少于由所述权限策略 (14)所限定的全部权限。
全文摘要
一种动态确定客户端对记录的访问权限的方法,该方法包括从所述客户端接收关于记录的访问请求,确定与所述访问请求相关的一个或多个背景,计算每个确定的背景的背景分数,根据所述背景分数计算总分数,访问所述记录的权限策略,该权限策略限定了关于该记录的多个不同权限,每个权限都具有各自的最小分数,以及根据所述总分数与所述权限策略中每个权限的分数的比较结果来确定所述客户端的访问权限。
文档编号G06F21/62GK102449633SQ201080023603
公开日2012年5月9日 申请日期2010年5月28日 优先权日2009年6月1日
发明者M·彼特科维克, M·阿希姆, 屈劲 申请人:皇家飞利浦电子股份有限公司