专利名称:一种基于角色权限动态转换的隐私数据访问控制方法
技术领域:
本发明涉及一种基于角色权项动态转换的隐私数据访问控制方法。
背景技术:
企业信息系统中的数据是业务描述、信息处理、流程分析和工作量统计的基础,如 果没有一个数据安全访问控制策略,应用系统内数据的开放性可使用户能随意查询系统的 各类数据,存在数据安全隐患,并且造成隐私数据的泄露,所以建立一个灵活、通用、动态、 安全的隐私数据访问方法是各行业信息管理应用系统始终在实践和实施的重要功能之一。同时国际上也相继颁布了对隐私数据安全访问的规范,如1980年经济协作和发 展组织(OEDC)发布了在政府工作、商业组织和个人活动中隐私信息保护的指导规范,1996 年美国颁布了医疗健康保险携带责任法案(HIPAA,HeathInsurance Portability and Accountability Act of 1996),制定了对医疗隐私数据访问的控制规范,提出了“对病人 隐私数据的访问应满足查询用户的最小需求”。这些指导规范的目地是指隐私数据的查询 是细粒度的,需对现有访问控制技术的拓展、在现有解决方法中加入对新技术的应用,以此 来建立一个商业的隐私数据访问控制方法。目前应用系统数据的组织与管理都使用了数据库存储技术,所以对数据的访问都 采用了基于角色的安全访问控制技术,这是一种按照部门、职责来划分工作角色,并对这些 角色分配对数据的访问权限,从而使具有不同工作角色的用户有不同的数据访问权限。然 而这种基于角色的数据访问是一种较宽泛的数据安全访问控制方法,不适应当用户职责变 化时要求权限动态转换的情况,也不适应对隐私数据的细粒度查询需求。隐私数据的查询 控制方法①与数据安全查询方法②有本质区别,前者是按应用系统业务流程中的数据性 质,给数据预先设定一个隐私标签,表示在特定的工作场景下才可查询该数据。譬如一个 患者的信息有身份证、住址、联系电话、治疗方案、用药名称和其它疾病情况,设在一张数据 表T中身份证、住址、联系电话、其它疾病情况是隐私数据字段,它们只有医生在出院随访 工作场景下才可被读取。当A医生有对T表的访问权限且A不在出院随访工作场景下,按 ②的方法能查询到T表的全部数据,若按①的方法A医生只能查询到治疗方案、用药名称二 个非隐私数据字段,可以看到对隐私数据的查询方法是一个用户权限能随工作场景动态变 化,而且是细粒度数据字段(查询控制精确到字段)的查询控制方法。方法②的实现技术是基于角色的访问控制技术,若用方法②的实现技术就不能实 现方法①的功能,因为基于角色的访问控制权限是指对数据库表访问的权限(如可查询上 述6个字段的数据值),并不能实现对一张数据表中某些字段的查询控制,如不能控制对身 份证这一数据字段的查询,更不支持角色权限的动态变化。文献” I^rivacy-aware Role Based Access Control ” 在 2007 年仅提出了一个基 于隐私角色的访问控制模型框架,并没有实现该模型。在模型中将数据的操作与角色绑定, 以此来描述一条隐私数据访问规则,但绑定是预先设定的(即静态的),在一个业务流程中 一个角色绑定操作不会动态变化。模型没有考虑隐私数据在特定工作场景下被读取的授权情况。中国专利号“20051000596. 6”公开的题为“提高开放业务中隐私数据安全性的方 法”,是一种在开放环境下基于策略的控制隐私数据传输的方法,以此保障数据传递给可信 的第三方,开放环境如网上书店、物流等,这是一个以数据安全为目的的控制方法。而本发 明的应用环境是在一个企业或集团信息系统中(如企业ERP、区域健康档案系统)控制用户 对隐私数据的查询,方法不仅包含了数据的安全查询,还考虑了数据的隐私属性,如数据的 隐私标签、隐私数据可显示的时间区域、细粒度的数据查询控制,这些属性是上述专利中没 有考虑到的。中国专利号“200780004113. 7”公开的题为“基于角色的访问控制”,是一种基于患 者定制访问策略的个性化的角色访问控制系统,其中个性化策略通过修改例外表来实现动 态策略,再将策略赋予角色、用户。从访问数据而言,在某些工作环境下该数据是隐私的,而 有些环境是公开的,关键取决于数据查询用户的环境变量和数据的隐私属性,上述专利中 没有考虑这些问题。然而在普适环境下信息系统的数据访问方法要求用户具有查询最小权限,这样对 隐私数据的泄露降到最少,如医院信息系统、保险和银行帐户查询系统等。就医疗信息系统 而言,放射科医生只能查询患者的历次放射检查报告、手术数据以及患者的基本信息(如 年龄、性别等),这就是与业务信息相关的最小查询权限。同时患者的用药数据和通讯方式 数据等对放射科医生是隐私数据,只有在病例讨论工作场景下才可查询,这是将隐私数据 泄漏的几率降到最低。因此上述需求需要一种基于角色的访问权限可按工作场景动态转换 的隐私数据访问控制方法。
发明内容
本发明目的是克服现有技术中基于角色访问控制技术对隐私数据查询无法控制 的缺陷,改进后的访问控制方法依据工作场景的变化,使用户对数据的访问权限动态转化, 适用于各行业信息管理系统中对隐私数据的查询保护。本发明采用的一种基于角色权项动态转换的隐私数据访问控制方法,应用一包含 非隐私数据和所述隐私数据的数据库,所述方法包括步骤一,将工作场景与所述隐私数据进行第一关联,将角色和工作场景进行第二 关联,将用户、角色、工作场景及有效时间段进行第三关联;步骤二,用户提出查询数据请求,并提交当前工作场景,判断所述当前工作场景是 否属于所述第一关联的工作场景,若不是转入步骤七,若是转入步骤三;步骤三,根据所述第一关联获得隐私数据集合,并判定所述用户的所述查询数据 请求是否涉及所述隐私数据集合,若有转入步骤四,若没有转入步骤七;步骤四,根据所述第二关联判断所述用户的角色是否有对应工作场景,若有转入 步骤七,若没有转入步骤五;步骤五,根据所述第三关联判断所述用户是否有对应的有效时间段,若没有转入 步骤七,若有转入步骤六;步骤六,根据所述第三关联判断当前时间是否在所述有效时间段内,若在则提交 所述查询数据请求,若不在则提交非隐私数据给用户;
步骤七,将所述查询数据提交给所述用户。比较好的是,所述用户与所述角色、所述场景是多对多的关系。比较好的是,所述查询数据请求包括隐私数据和非隐私数据。
本发明提供了 一种对隐私数据的查询保护的良好方法。
下面,参照附图,对于熟悉本技术领域的人员而言,从对本发明方法的详细描述 中,本发明的上述和其他目的、特征和优点将显而易见。附图1是根据本发明实现方式的一个拓展模型;附图2是隐私角色模块组成图;附图3本发明一较佳实施例的流程图。
具体实施例方式本发明的基本思想是角色的权限由静态权限和隐私权限组成,用静态角色 (S-Role)来定义用户对非隐私数据的访问权限(General Permissions),用隐私角色 (P-Role)来动态分配用户在完成不同业务过程中(在不同工作场景下)对隐私数据的查询 权限(Privacy data Permissions)。静态角色S-Role的实现是依靠现有数据库中提供的 角色访问控制方法,而隐私角色的实现是本发明的内容。静态角色是是指预先授予的对数 据的查询权限,隐私角色是角色在动态工作场景下对隐私数据的查询权限,该权限受权限 有效时间区间的约束。本发明的拓展模型如附图1所示,图中阴影部分代表隐私角色P及其角色的权限, 是本发明的内容描述。按基于角色访问控制模型的权限分配公式,拓展后角色的权限由静 态权限S和隐私权限P组成,用户、角色与权限分配分配公式如下静态角色的权限(GPA) :GPA ^ rXGP隐私角色的权限(SPA) :SPA £ rXPDP角色(R)的权限(PA):PA ^ (rXGP) + (rXPDP)用户与角色的分配关系为U~>AGUXRUAGUX{ (rXGP) + (rXPDP) }本发明的具体实现思路如下,附图2是隐私角色(P-Role)的组成部分,它由 隐私数据与场景关系(P-data)、隐私数据查询基本策略(B-rule)、动态场景查询策略 (S-rule)、场景匹配运算(AlgM)和隐私数据处理运算(Algol)组成。本发明中,P-Role:是一个隐私动态角色,该角色的权限是随用户的工作场景而动态变化,权 限是指能否操作系统中的数据。那么一个用户能否操作一组隐私数据,取决于该用户在特 定工作场景下的隐私角色,角色是用户与操作权限之间的中间件。P-data:是隐私数据的标签,说明了数据对一些在特定业务工作环境下的用户来 说,它是一个隐私数据,所以用数据与工作场景的映射关系来表示。B-rule 基本策略是一个角色与场景映射的静态策略,在应用系统中是预先设定 的一个角色在特定环境下对数据的访问规则,在系统环境中这些规则是不变的,是用户对 数据访问的充分条件。基本策略关系表中角色与场景的关系是多对多的关系。S-rule 动态场景查询策略是用户、场景与作用时间的关系,它表示用户只有在一些特例工作场景下才可对隐私数据进行操作,并且这样的操作是有时间限制的。当发出查 询请求的用户满足动态查询策略时,只有在规定的时间范围内,才可查询隐私数据。一旦超 过时间范围,尽管满足动态策略,查询权限就自动停止。Algol 隐私数据处理运算是对用户发出查询数据请求的处理,用于判断这些查询 数据是否是隐私数据,并对隐私与非隐私数据予以分离,并找出可以查询这些隐私数据的 工作场景。Algo2:场景匹配运算是对用户当下发出查询请求的工作场景与隐私数据可被查 询的场景间的匹配。一个用户当下的场景参数不仅要满足基本策略B-rule中的场景参数, 若存在该用户的特例查询策略,还要与动态查询策略S-rule中的场景参数一致,这只是查 询的前提条件。当满足前提条件时Algo2还要将当下的场景参数匹配隐私数据的标签。本发明分用户查询请求A模块和隐私角色权限的动态生成与作用过程模块B,对 非隐私数据的查询控制遵循了数据库的访问控制方法,不属于本方法的解决内容,本发明 的工作方法是A 用户U由于业务需求,在某一工作场景(S’)下要查询一组字段0 = (11,(12,…… dn,就会向系统发出一个查询请求,查询参数的传递是一个查询请求函数FO,函数的自变 量是用户名和工作场景。B:是一个隐私角色在不同场景下查询权限的动态生成,并将权限授予用户的过 程。权限带有有效时间参数,由场景时效控制单元去计算权限作用的时间。在此过程中有 二个隐私策略库,一个是基本隐私策略库,描述了角色与工作场景的映射关系,角色与工作 场景是多对多的关系,表示了一个角色在不同工作场景下对数据的访问权限。另一个是动 态隐私策略库,描述特殊用户在特殊场景下的临时角色,即该用户具有对数据的临时访问 权限。该策略库由动态策略管理单元去控制,调整策略的作用时间、动态维护策略主体(用 户)与检查策略的矛盾性。在本发明中还有一种映射关系是数据隐私标签的设置,它是一种数据与工作场景 的映射,是指当用户有查询操作时,由系统定义的应该保护的那部分数据,这些数据能否被 查询取决于一项业务流程的不同工作场景,它表示只有在特定环境下数据才可被查询,这 样的数据是一个隐私数据。隐私数据与场景关系可表示成函数F((dl,d2,……dn),S)。BO 首先查询参数接口是对用户查询数据的转换和映射,如用户的查询数据、用户 的静态角色以及用户所在的工作场景,并将它们作为策略判别运算的参数。Bl 隐私数据处理模块接收查询参数,作隐私数据判别运算,分析查询字段D中是 否含有隐私数据。若不包含隐私数据,就不执行隐私角色生成与作用的过程,返回字段D的 查询结果,设R = F(D)。若查询字段D中包含了隐私字段D’(D’ eD,若D’是D的子集, 那么D = D” +D’,D”是D中的非隐私数据),处理模块就判别D’可被查询的工作场景S,并 与用户当前的工作场景S’作匹配,一旦匹配成功就表明允许在场景S’下查询字段D’。若 不匹配,同样返回结果F(D),这是本发明方法中的第一次匹配运算,即隐私数据与用户场景 的匹配。B2:工作场景处理模块的工作过程是用户是否符合基本隐私策略和动态隐私策略 的判别过程。先判断在基本隐私数据查询策略中,用户U的角色是否允许在场景S’下可访 问数据,S’是角色的隐私标签,角色在S’下被授予了一组数据的访问权限。这是方法的第二次匹配。若匹配不成功,就查询动态隐私策略,检查是否存在特例用户在特定时间段对隐 私数据的访问(B3的执行过程)。匹配成功,返回F(D’)。B3 动态隐私策略是指工作场景的动态和权限作用时间的动态,策略是指用户U 与临时场景的映射以及这些映射关系持续作用的时间范围,这是用户U、角色、场景S’和时 间的动态连接,也是方法的第三次匹配。当不匹配时,F (D,)= 0。B4 只有完成了二次或三次匹配运算时,用户U对隐私数据的查询才被系统接受, 此时场景时效控制单元检查权限可持续的时间以控制数据返回,若在持续时间内,那么赋 给参数接口的函数是一个结果函数,R = F(D’)+F(D”),其中D”+D’ = D,D”是D中的非隐 私数据。实施例以下是本发明具体实施例的流程说明,该实施例的信息是以医疗领域中患者的电 子记录为例,下面定义了实施例中所涉及的5个数据表、1个输入函数、1个输出函数表1 患者信息表(本实施例中所要查询的业务表)编号姓名性别电话门诊诊断手术名称1AAA男12345678CCCCCEEEEE2BBB女87654321DDDDDFFFFF表2 工作场景范围表(用于定义业务环境中所有的工作场景)
表3 场景与隐私数据映射关系表(定义业务表在不同的工作场景下所具有的隐 私数据范围)编号业务表名称工作场景名称隐私数据名称1患者信息表出院随访电话
权利要求
1.一种基于角色权项动态转换的隐私数据访问控制方法,应用一包含非隐私数据和所 述隐私数据的数据库,所述方法包括步骤一,将工作场景与所述隐私数据进行第一关联,将角色和工作场景进行第二关联, 将用户、角色、工作场景及有效时间段进行第三关联;步骤二,用户提出查询数据请求,并提交当前工作场景,判断所述当前工作场景是否属 于所述第一关联的工作场景,若不是转入步骤七,若是转入步骤三;步骤三,根据所述第一关联获得隐私数据集合,并判定所述用户的所述查询数据请求 是否涉及所述隐私数据集合,若有转入步骤四,若没有转入步骤七;步骤四,根据所述第二关联判断所述用户的角色是否有对应工作场景,若有转入步骤 七,若没有转入步骤五;步骤五,根据所述第三关联判断所述用户是否有对应的有效时间段,若没有转入步骤 七,若有转入步骤六;步骤六,根据所述第三关联判断当前时间是否在所述有效时间段内,若在则提交所述 查询数据请求,若不在则提交非隐私数据给用户; 步骤七,将所述查询数据提交给所述用户。
2.根据权利要求1所述的基于角色权项动态转换的隐私数据访问控制方法,其特征在于,所述用户与所述角色、所述场景是多对多的关系。
3.根据权利要求1所述的基于角色权项动态转换的隐私数据访问控制方法,其特征在于,所述查询数据请求包括隐私数据和非隐私数据。
全文摘要
本发明公开了一种基于角色权项动态转换的隐私数据访问控制方法,包括将工作场景与所述隐私数据进行关联,将角色和工作场景进行关联,将用户、角色、工作场景及有效时间段进行关联;用户提出查询数据请求,并提交当前工作场景,判断所述当前工作场景是否属于关联的工作场景,若不是提交查询数据,根据所述第一关联获得隐私数据集合,并判定所述用户的所述查询数据请求是否涉及所述隐私数据集合,根据所述第二关联判断所述用户的角色是否有对应工作场景,根据所述第三关联判断所述用户是否有对应的有效时间段,根据所述第三关联判断当前时间是否在所述有效时间段内。本发明提供了一种基于角色的访问权限可按工作场景动态转换的隐私数据访问控制方法。
文档编号G06F17/30GK102043931SQ201010022930
公开日2011年5月4日 申请日期2010年1月19日 优先权日2010年1月19日
发明者刘逸敏, 周伟平, 杨 远, 魏明月 申请人:中国人民解放军第二军医大学东方肝胆外科医院