专利名称:实体模型上的私密标记的制作方法
背景技术:
在计算机系统中个人数据的私密性迅速地变得重要。随着身份盗取的增加,保护数据的需求也增加了。而且,随着身份盗取的复杂成指数倍增长,导致了获得个人或敏感信息欲望的增长。与此同时,越来越多的信息以数字方式存储。而且,当用户输入数据时,尤其,当输入的数据与其它数据结合时,不会意识到被输入的数据可能是敏感的或可个人识别的。
发明内容
公开了一种识别在实体模型内作为潜在私密和潜在敏感的至少一个的输入的方法。该方法包括创建有关特定输入的指示以指示特定输入是否是潜在个人可识别的和潜在敏感中的一个,以及允许修改指示以指示特定输入是否是潜在个人可识别的和潜在敏感中的一个或两者皆是。
单单特定输入不是潜在可个人识别和潜在敏感中的至少一个,但当与其它数据结合时,可以是潜在可个人识别和潜在敏感中的一个。该指示可指示特定输入是否只是潜在个人可识别的或当与其它数据结合时,是潜在的可识别的。该方法可应用到关系数据库、XML模式或对象模型。该指示可以是布尔输入,该指示的默认值可以是潜在的可个人识别和潜在的敏感中的一个的输入。
实体模型可具有至少一个实体,每个实体可有至少一个特征,每个特征可有至少一个属性,一属性可被用于指示特性是否是潜在的个人可识别的输入和潜在的敏感的输入中的至少一个,或实体模型可具有至少一个实体,每个实体有至少一个特性,每个特性是一数据类型的特殊化,每个数据类型可有至少一个属性,该属性指示数据类型是否包括潜在的个人可识别的输入和潜在的敏感的输入中的至少一个。一第一属性可指示输入是否是潜在的个人可识别的输入并且一第二属性可指示输入是否是潜在的敏感的输入。该方法可结合客户关系管理系统使用。一可编程的存储器用以执行该方法,也公开一执行该方法的系统程序。
附图简述
图1是一根据权利要求可在其内操作的计算系统的框图。
图2是一根据权利要求的一实施例的流程图。
图3是一根据权利要求的一实体模型的说明。
图4是一根据权利要求的一实体模型的说明。
图5是一根据权利要求的一实体模型的说明。
详细描述虽然以下的文本提出了多个不同实施例的详细描述,可以理解的是本发明法律上的范围由在本专利申请结尾处提出的权利要求所定义。详细的描述仅仅作为示例解释,由于描述每个可能的实施例是不现实的(如果不是不可能),所以没有描述每个可能的实施例。使用现有技术或在本专利申请日之后发展的技术实现多个可供选择的实施例是在权利要求的范围内的。
可以理解的是,除非在此专利中术语被使用句子“如在此所使用地,在此定义的术语‘___’表示......”或类似句子明确地定义,没有要通过明确或暗示以超出术语一般或普通的含义限制术语的含义,并且这样的术语不应被限制在基于本专利任一部分所作的任何语句(除了权利要求中的语言)的范围内解释。在本专利申请最后的权利要求中列举的任一术语在本专利申请中以与单数含义一致的方式涉及,这样做不仅仅是为了不使读者混淆,也为了不使这样的权利要求术语由暗示或其它方式,被限制成单数含义。最终,除非权利要求元素由列举单词“装置”和功能在没有任一结构列举的情况下所定义,任一权利要求元素的范围不被基于35U.S.C.$112,第六章的申请所解释。
图1示出了可在其内执行权利要求所要求的方法的步骤和装置合适的计算系统环境的一例。计算系统环境100只是一合适的计算环境的一例,而不是要提出对权利要求的设备的方法的使用或功能的范围的限制。计算环境100不能解释成对于在示例操作环境100中所示出的任一组件或其组合有任何依赖或需求。
权利要求所要求的方法的步骤和装置用多个其它通用或特殊用途计算系统环境或配置是可运行的。可以适用于权利要求所要求的方法的步骤和装置的公知的计算系统、环境、和/或配置的实例包括,但不局限于,个人电脑、服务器电脑、手持设备或膝上型电脑、多处理器系统、基于微处理器的系统、机顶盒、可编程消费者电器、网络PC、小型机、大型计算机、包括任何诸如以上系统或设备的分布计算环境等。
权利要求所要求的方法的步骤和装置可以在诸如由计算机执行的程序模块的可执行计算机指令的一般上下文中被描述。一般地,程序模块包括完成特殊任务或执行特殊抽象数据类型的例行程序、程序、对象、组件、数据结构等。方法和设备也可以在分布式计算环境中实践,在此通过连接到一计算网络的远程处理设备来执行任务。在分布式计算环境中,程序模块可以定位于包括存储器储存设备的本地和远程计算机存储介质。
参见图1,对于实现权利要求所要求的方法的步骤和装置的示例的系统包括一以计算机110形式出现的通用计算设备。计算机110的组件包括,但不局限于,处理单元120、系统存储器130、以及将包括系统存储器在内的各种系统元件耦合至处理单元120的系统总线121。上述系统总线121可以是多种总线体系结构类型中的任何一种,包括存储总线或存储控制器、外围总线和使用各种总线体系结构的任一种的局部总线。举例来说,而非限制,此类体系结构包括工业标准体系结构(ISA)总线、微通道体系结构(MCA)总线、增强型工业标准体系结构(EISA)总线、视频电子标准技术协会(VESA)局部总线、和也被称为Mezzanine总线的外围部件互连(PCI)总线。
计算机110通常包括各种计算机可读介质。计算机可读介质可以是任何计算机110能够访问的可用介质,包括易失性的和非易失性的介质、可移动的和不可移动的介质。举例来说,而非限制,计算机可读介质可以包含计算机存储介质和通信介质。计算机存储介质包括能以任何方法或技术实现的易失性的和非易失性的、可移动的和不可移动的介质,用于存储诸如计算机可读指令、数据结构、程序模块或其它数据等信息。计算机存储介质包括,但不局限于,RAM,ROM,EEPROM,闪存或其它存储技术、CD-ROM、数字化多功能光盘(DVD)或其它光盘存储、盒式磁带、磁带、磁盘存储器或其它磁存储设备、或任何其它可以被用来存储想要的信息并且可以被计算机110访问的介质。通信介质通常体现了诸如载波或其它传送机制的已调数据信号中的计算机可读指令、数据结构、程序模块或其它数据,也包括任何信息传递介质。术语“已调制数据信号”是指以在该信号中编码信息的方式来设置或改变其一个或多个特征的信号。举例来说,而非限制,通信介质包括诸如有线网或直线连接的有线介质,和诸如声音、射频、红外线和其它无线介质的无线介质。任何以上所述的组合也可以包括在计算机可读介质的范围之内。
系统存储器130包括以诸如只读存储器(ROM)131和随机存取存储器(RAM)132的易失性和/或非易失性存储器的形式的计算机存储介质。包含如在启动期间帮助在计算机110内各元素之间传送信息的基本例行程序的基本输入输出系统(BIOS)133,通常存储在ROM 131中。RAM 132通常包含可以被处理单元120立即访问和/或当前操作的数据和/或程序模块。举例来说,而非限制,图1示出了操作系统134、应用程序135、其它程序模块136和程序数据137。
计算机110还可以包括其它可移动/不可移动、易失性/非易失性的计算机存储介质。只作为例子,图1示出了从不可移动、非易失性磁性介质读出或写入不可移动、非易失性磁性介质的硬盘驱动器140、从可移动、非易失性磁性磁盘152读出或写入可移动、非易失性磁性磁盘152的磁盘驱动器151、以及从诸如CD ROM或其它光学介质的可移动、非易失性光盘156读出或写入可移动、非易失性光盘156的光盘驱动器155。其它可以使用在示例的操作环境中的可移动/不可移动、易失性/非易失性计算机存储介质包括,但不局限于,盒式磁带、闪存卡、数字多功能光盘、数字视频带、固态RAM、固态ROM、等。硬盘驱动141通常通过诸如接口140的不可移动存储接口连接到系统总线121,磁盘驱动151和光盘驱动155通常通过诸如接口140的可移动存储接口连接到系统总线121。
以上讨论并且在图1中示出的驱动器及其相关联的计算存储介质提为计算机110提供了计算机可读指令、数据结构、程序模块和其它数据的存储。在图1,例如,示出硬盘驱动141存储操作系统144、应用程序145、其它程序模块146、和程序数据147。需要注意的是这些组件可以和操作系统134、应用程序135、其它程序模块136和程序数据137相同,也可以和它们不同。在此对操作系统144、应用程序145、其它程序模块146和程序数据147给出了不同的标号来说明至少它们是不同的拷贝。用户可以通过诸如键盘162和定位设备161把指令和信息输入到计算机110中,定位设备161通常指如鼠标、跟踪球或触摸板。其它输入设备(图中未示)可以包括麦克风、操纵杆、游戏垫、圆盘式卫星天线、扫描仪等等。这些和其它输入设备通常由用户输入接口160连接到处理单元120,上述输入接口160和系统总线121相连。但是上述和其它输入设备也可以由其它接口和总线结构连接到处理单元120,诸如,并行端口、游戏端口或通用串行总线(USB)。监视器191或其它类型显示设备也可以通过诸如视频接口190的接口连接到系统总线121。除了监视器之外,计算机也包括其它外围输出设备,诸如可以通过一输出外围设备接口190连接的扬声器197和打印机196。
计算机110可以在网络化的环境中运行,该环境使用逻辑连接连接到一个或多个诸如远程计算机180的远程计算机。远程计算机180可以是个人计算机、服务器、路由、网络个人计算机、对等设备或其它公共网络节点,通常包括以上描述的和110相关的多个或全部组件,尽管在图1中只示出了存储器储存装置181。在图1中描绘的逻辑连接包括局域网(LAN)171和广域网(WAN)173,但是也可以包括其它网络。这样的网络环境在办公室、企业范围的计算机网络、内联网和因特网中是普遍的。
当在LAN网络环境中使用时,计算机110通过网络接口或适配器170连接到LAN171。当在WAN网络环境中使用时,计算机110通常包括调制解调器172或通过诸如因特网的WAN173建立通信的其他装置。调制解调器172可以是内部的或外部的,可以通过用户输入接口160或其它适当的机制连接到系统总线121。在一网络连接的环境中,所描述的和计算机110相关的程序模块或其中的一部分可以存储在远程存储器储存设备内。举例说明,但非限制,图1示出了驻留在存储设备181上的远程应用程序185。可以理解的是所示的网络连接是示例的,也可以使用在计算机间建立通信链路的其他装置。
图2所示了在实体模型中根据权利要求识别输入作为潜在的私密和潜在敏感的至少一个的方法。在框200,创建有关特定输入的可指示该特定输入是否是潜在的个人可识别的和潜在的敏感的其中之一的指示。在框210,该指示可被用户修改以指示特定输入是否是潜在的个人可识别的和潜在的敏感的其中之一。
图3所示了一实体模型。一实体模型可由至少一个实体;以及由至少一个特性构成的实体所组成。在现代实体模型中,每个特性可以是一数据类型的特殊化。为了获得权利要求所要求的方法和设备充分的利益,可使用数据类型,但数据类型不是必要的。
例如,一实体可以是“雇员”300并且“雇员”300有几个特性,其中之一为数据类型“电话号码”320特殊化的“家庭电话号码”310。在一示例中,两个布尔(是/否)属性可被加入到每个特性330、340和每个数据类型350、360中。作为是数据类型特殊化的特性,它可从数据类型中继承私密属性值。这些值可被覆盖。
在一示例中,客户关系管理(“CRM”)系统考虑到在多个属性中的数据输入,在此属性可保持对于系统的用户有益的数据。比如说一家律师事务所使用CRM系统。律师事务所的成员可输入潜在联系人的姓名、电话号码和公司附属机构。CRM系统可用于整个事务所,以使当用户在某家公司(如微软公司)搜索联系人时,在CRM系统内所有和微软有联系的输入将被显示。然而,在律师事务所内的某个员工可非常了解微软的员工并且可输入可被考虑成敏感的信息到CRM系统,诸如家庭地址、家庭电话号码、私人邮件地址、孩子的姓名等。这些信息可被所有在该律师事务所使用CRM系统的人访问。尽管某个和联系人亲近的人使用私密的或敏感的信息是可被信任的,但这样的信任不会自动扩展到律师事务所的每个人。
相应地,能够对每个是敏感信息或个人可识别的信息的属性标记是有用的。具有某个已知属性是否是敏感信息或可个人识别信息的默认值也是有用的。仅仅允许具有许可的用户可被允许修改指示是所希望的,诸如具有开发者特权的开发者或某个人。
什么是敏感信息可根据不同的情况而变化,但是可创建划分某些信息为敏感的某些默认规则。例如,某些人可认为诸如他们的家庭地址、家庭电话号码、家庭邮件地址和孩子的姓名是敏感信息。举例来说,敏感信息的丢失不必然导致身份窃取,但是尽管如此,敏感信息是人们理解成不在公共领域的信息。
图4所示了进一步的例子。一数据类型在其本身不能使数据敏感,当在给定的上下文中使用,是可以使数据敏感的。例如,基于数据类型电话号码400的特性不是必然的敏感数据410。当该特性持有雇员的家庭电话号码420时。它可以是敏感信息430。
在另一个例子中,一个人有配偶的事实可以不是敏感信息。然而,一个人同时有多个配偶的事实可是敏感信息。通过组合多个属性,可得到敏感信息。例如,把一个人有配偶的事实和同一个人有其他的配偶的事实结合可导致所有配偶信息是敏感的。如另一个例子,得到信用卡失效期可以不是敏感的。然而,把信用卡失效期和实际信用卡卡号结合起来可导致敏感信息的产生。这样的数据,尽管单个的不是敏感的,当结合其它的数据时可是敏感的,正如系统中所指示的。
个人可识别的信息是可用来识别一个人的信息。在美国,社会保险号或护照号可是个人可识别的信息。在世界不同的国家可存在类似的识别号。此外,信用卡卡号可以是个人可识别的信息。当身份窃取,有各种理由指示可识别身份的信息是最为明显的。
信息的结合可导致个人可识别的信息的创建。某些信息直到和其它信息结合之前不是个人可识别的信息。图5所示了一例子。一IP-地址500在其本身510内可是个人可识别的信息,尽管类属名不是个人敏感信息520。但是把一个人的名530和一姓540以及也许也是公司、地址或城市结合可导致个人可识别的信息550、560。
某些信息可以是敏感数据并不是个人可识别的信息,反之亦然。参考图4,电话号码400可不是敏感数据,当它可以是个人可识别的信息440。
一属性是个人敏感信息或个人可识别的指示的方法是可变化的。例如,简单的布尔输入可以是该指示。在另一个例子中,单个输入可被使用指示述属性是否是个人敏感信息和个人可识别的。例如,第一个数字可表示属性是个人敏感信息以及第二个数字可指示属性是个人可识别的。甚至较不复杂的代码是可能的,诸如0可表示属性既不是个人敏感信息也不是个人可识别的,1可表示属性是个人敏感信息但不是个人可识别的,2可表示属性是个人可识别的但不是个人敏感信息以及3可表示属性既是个人敏感信息也是个人可识别的。此外,代码也可结合查找表使用以把代码转换为含义。显然,许多其它指示是可能的和可接受的。
不是任何人都被许可修改属性的有关是否是个人敏感信息或个人可识别的指示。许可可被请求以修改指示,否则不希望的用户或许可被许可更改指示。
该方法可被应用于许多实例。明显的例子包括关系数据库、XML方案、以及实际上诸如CRM系统的任一对象模型。正如一例子,使用CRM系统,一不满的雇员可尝试获取一有价值客户的家庭电话号码。如果家庭电话号码被指示成个人可识别的信息或个人敏感信息,访问家庭电话号码是被拒绝的。此外,“家庭地址”的默认值可被标记为个人敏感信息或个人可识别的以使当信息被输入到CRM系统时,输入信息的人不必为数据是否个人敏感信息或更人可识别的做困难选择,因为这个信息在初始程序安装期间被设置或由软件制造商自己设置。
虽然先前表述了多个不同实施例的详细描述,可以理解的是本专利的范围由在本专利最后的权利要求的文字所限定。详细的描述仅仅作为示例解释,由于描述每个可能的实施例是不现实的(如果不是不可能的话),所以没有描述每个可能的实施例。使用现有技术或在本专利申请日之后发展的技术实现多个可供选择的实施例是在权利要求的范围内的。
因此,在不背离本权利要求精神和范围的情况下,可使用在此描述和所示的技术和结构做出多种修改和变化。相应地,可以理解的是在此描述的方法和装置仅仅是示例性的,不限制权利要求的范围。
权利要求
1.一种在实体模型内识别输入作为潜在的私密和潜在的敏感中的至少一个的方法包括创建与特定输入相关的指示,所述指示指示了特定输入是否是潜在个人可识别的和潜在敏感中的一个;以及允许由具有许可的用户修改指示以指示特定输入是否是潜在个人可识别的和潜在敏感中的一个。
2.根据权利要求1所述的方法,其特征在于,其中单个特定输入不是潜在个人可识别的和潜在敏感中的至少一个,但是当与其它数据组合时,所述特定输入可以是潜在个人可识别的和潜在敏感中的一个。
3.根据权利要求2所述的方法,其特征在于,其中所述指示指示了特定输入是否是单独潜在个人可识别的或当与其它数据结合时,是潜在可识别的。
4.根据权利要求1所述的方法,其特征在于,其中所述实体模型是一关系数据库。
5.根据权利要求1所述的方法,其特征在于,其中所述实体模型是一XML模式。
6.根据权利要求1所述的方法,其特征在于,其中所述实体模型是一对象模型。
7.根据权利要求1所述的方法,其特征在于,其中所述指示是一布尔输入。
8.根据权利要求1所述的方法,其特征在于,其中所述指示的默认值是所述输入是潜在个人可识别的、潜在敏感的以及个人可识别的和潜在敏感中的一个。
9.根据权利要求1所述的方法,其特征在于,其中所述实体模型具有至少一个实体,且所述每个实体具有至少一个特性,所述每个特性有至少一个属性,所述每个属性被使用于指示特性是否是潜在个人可识别的输入和潜在敏感输入中的至少一个。
10.根据权利要求1所述的方法,其特征在于,其中所述实体模型有至少一个实体,所述每个实体具有至少一个特性,所述每个特性是一数据类型的特殊化,所述每个数据类型有指示数据类型是否包括潜在个人可识别的输入和潜在敏感输入中的至少一个的至少一个属性。
11.根据权利要求1所述的方法,其特征在于,其中第一属性指示是否输入是潜在个人可识别的输入以及第二属性指示是否输入是潜在敏感输入。
12.根据权利要求1所述的方法,其特征在于,其中所述方法结合一客户关系管理系统使用。
13.一种具有计算机可执行指令的计算机可读介质,用于执行以下步骤创建与特定输入相关的指示,所述指示指示了特定输入是否是潜在个人可识别的和潜在敏感中的一个;以及允许由具有许可的用户修改指示以指示特定输入是否是潜在个人可识别的和潜在敏感中的一个。
14.根据权利要求13所述的存储器,其特征在于,其中特定输入单独不是潜在个人可识别的和潜在敏感中的至少一个,但是当与其它数据组合时,所述特定输入可以是潜在个人可识别的和潜在敏感中的一个。
15.根据权利要求14所述的存储器,其特征在于,其中所述指示指示了单独特定输入是否是潜在个人可识别的或当与其它数据组合时,是潜在可识别的。
16.根据权利要求13所述的存储器,其特征在于,其中所述实体模型是一关系数据库。
17.根据权利要求13所述的存储器,其特征在于,其中所述实体模型是一XML模式。
18.根据权利要求13所述的存储器,其特征在于,其中所述实体模型是一对象模型。
19.根据权利要求13所述的存储器,其特征在于,其中所述指示是一布尔输入。
20.根据权利要求13所述的存储器,其特征在于,其中指示的默认值是所述输入是潜在个人可识别的、潜在敏感的以及个人可识别的和潜在敏感中的一个。
21.根据权利要求13所述的存储器,其特征在于,其中所述实体模型具有至少一个实体,所述每个实体有至少一个特性,所述每个特性有至少一个属性,所述每个属性被使用于指示特性是否是潜在个人可识别的输入和潜在敏感输入中的至少一个。
22.根据权利要求13所述的存储器,其特征在于,其中所述实体模型具有至少一个实体,所述每个实体有至少一个特性,所述每个特性是一数据类型的特殊化,所述每个数据类型有指示数据类型是否包括潜在个人可识别的输入和潜在敏感输入中的至少一个的至少一个属性。
23.根据权利要求13所述的存储器,其特征在于,其中第一属性指示是否输入是潜在个人可识别的输入以及第二属性指示是否输入是潜在敏感输入。
24.根据权利要求13所述的存储器,其特征在于,其中所述方法结合一客户关系管理系统使用。
25.一计算装置,包括可产生视频图像的显示单元;一输入设备;一处理装置,所述装置可操作地耦合至所述显示单元和所述输入设备,所述处理装置包括一处理器和一可操作地耦合至所述处理器的存储器,一网络接口连接到一网络并且连接到所述处理装置;所述处理装置被编程以创建与特定输入相关的指示,所述指示指示了特定输入是否是潜在个人可识别的和潜在敏感中的一个;以及允许由具有许可的用户修改指示以指示特定输入是否是潜在个人可识别的和潜在敏感中的一个。
26.根据权利要求25所述的计算装置,其特征在于,其中特定输入单独不是潜在个人可识别的和潜在敏感中的至少一个,但是当与其它数据组合时,所述特定输入可以是潜在个人可识别的和潜在敏感中的一个。
27.根据权利要求26所述的计算装置,其特征在于,其中所述指示指示了单独特定输入是否是潜在个人可识别的或当与其它数据组合时,是潜在可识别的。
28.根据权利要求25所述的计算装置,其特征在于,其中所述实体模型是一关系数据库。
29.根据权利要求25所述的计算装置,其特征在于,其中所述实体模型是一XML模式。
30.根据权利要求25所述的计算装置,其特征在于,其中所述实体模型是一对象模型。
31.根据权利要求25所述的计算装置,其特征在于,其中所述指示是一布尔输入。
32.根据权利要求25所述的计算装置,其特征在于,其中所述指示的默认值是所述输入是潜在个人可识别的、潜在敏感的以及个人可识别的和潜在敏感中的一个。
33.根据权利要求25所述的计算装置,其特征在于,其中所述实体模型具有至少一个实体,所述每个实体有至少一个特性,所述每个特性有至少一个属性,所述每个属性被使用于指示特性是否是潜在个人可识别的输入和潜在敏感输入中的至少一个。
34.根据权利要求25所述的计算装置,其特征在于,其中所述实体模型具有至少一个实体,所述每个实体有至少一个特性,所述每个特性是一数据类型的特殊化,所述每个数据类型有指示数据类型是否包括潜在个人可识别的输入和潜在敏感输入中的至少一个的至少一个属性。
35.根据权利要求25所述的计算装置,其特征在于,其中第一属性指示是否输入是潜在个人可识别的输入以及第二属性指示是否输入是潜在敏感输入。
36.根据权利要求25所述的计算装置,其特征在于,其中所述方法结合一客户关系管理系统使用。
全文摘要
公开了一种在实体模型内识别输入作为潜在的私密和潜在的敏感中的至少一个的方法。该方法包括创建与特定输入相关的指示,所述指示指示了特定输入是否是潜在个人可识别的和潜在敏感中的一个或两者皆是,以及允许修改指示以指示特定输入是否是潜在个人可识别的和潜在敏感中的一个或两者皆是。
文档编号G06F17/30GK1776562SQ20051010874
公开日2006年5月24日 申请日期2005年9月29日 优先权日2004年11月19日
发明者M·F·蓬托皮丹 申请人:微软公司