專(zhuān)利名稱:基于角色的訪問(wèn)控制的制作方法
技術(shù)領(lǐng)域:
本系統(tǒng)(個(gè)性化的基于角色的訪問(wèn)控制模型(PRBAC))涉及改進(jìn)的基于 角色的訪問(wèn)控制模型����。
背景技術(shù):
傳統(tǒng)上說(shuō),在醫(yī)療領(lǐng)域中數(shù)據(jù)安全和隱私問(wèn)題是重要的�����。然而����,近期 諸如醫(yī)療記錄數(shù)字化�����、中心健康記錄數(shù)據(jù)庫(kù)創(chuàng)建以及個(gè)人保健領(lǐng)域的外部 應(yīng)用(例如���,保險(xiǎn)公司的訪問(wèn))的發(fā)展對(duì)醫(yī)療數(shù)據(jù)的保護(hù)提出了新挑戰(zhàn)。與能 夠吸收系統(tǒng)濫用的代價(jià)的其它領(lǐng)域(諸如金融領(lǐng)域)相反�,保健領(lǐng)域不能吸收 系統(tǒng)濫用的代價(jià)。 一旦有關(guān)個(gè)人健康問(wèn)題的敏感信息被公開(kāi)�����,就已經(jīng)造成 了社會(huì)損害�,無(wú)法撤回該信息或賠償該個(gè)人。
另外����,醫(yī)療信息數(shù)據(jù)具有某些特殊的特點(diǎn),諸如���,醫(yī)療數(shù)據(jù)應(yīng)當(dāng)只能 被經(jīng)授權(quán)的人訪問(wèn)�,這些人是諸如全科醫(yī)師����、急診醫(yī)生�、護(hù)士等��,在醫(yī)療 領(lǐng)域分配了某種角色的人�����。這不同于用于保護(hù)數(shù)據(jù)的典型系統(tǒng)����,在這些典 型系統(tǒng)中,通?�;谌藢?duì)人原則來(lái)提供訪問(wèn)�。
為了支持這些要求��,該訪問(wèn)控制系統(tǒng)為每個(gè)用戶分配了給定的角色�����, 同時(shí)為給定的角色分配了訪問(wèn)數(shù)據(jù)的權(quán)限��,這與為個(gè)人分配權(quán)限的情況相 反�。通過(guò)這樣的方式,為需要訪問(wèn)患者電子健康記錄(HER)的醫(yī)生或其它人
員提供不同的權(quán)限和不同的訪問(wèn),這取決于這些人員的專(zhuān)業(yè)(角色)或在給定
時(shí)間內(nèi)該人員所履行的特定職能�����。因?yàn)檫@種稱為基于角色訪問(wèn)控制(RBAC) 的方法在便于使用的實(shí)踐基礎(chǔ)上���,還通過(guò)立法在保健領(lǐng)域中強(qiáng)制實(shí)施(例 如���,美國(guó)的HIPAA(1996年健康保險(xiǎn)便利及責(zé)任法案);見(jiàn)互聯(lián)網(wǎng)hipaa.org 上的HIPAA)����,所以該方法在保健領(lǐng)域非常重要。
2004年5月20日Fleming等人提出的題為"System and Method for Creating Role-Based Access Profiles"的美國(guó)專(zhuān)利公開(kāi)第2004/0098594公布 了一種從與組織內(nèi)現(xiàn)有計(jì)算機(jī)資源訪問(wèn)組有關(guān)的信息來(lái)創(chuàng)建這種檔案 (Profile)的方法��。在操作中��,保護(hù)數(shù)據(jù)的團(tuán)體訪問(wèn)成員列表�,并從該列表 中選擇成員以規(guī)范訪問(wèn)權(quán)限。作為參考將該公開(kāi)整體合并于此���。然而����,在 該方法中沒(méi)有考慮患者輸入,這樣就不可以按照患者個(gè)人意愿來(lái)定制訪問(wèn) 權(quán)限�����。
2002年11月28日Griffin等人提出的題為"Method and System for a Role-Based Access Control Model with Active Roles"的美國(guó)專(zhuān)利公開(kāi)第 2002/0178119公布了一種通過(guò)包括使用角色過(guò)濾器和能力過(guò)濾器的動(dòng)態(tài)更 新來(lái)管理資源訪問(wèn)的RBAC方法和系統(tǒng)�����。對(duì)每個(gè)角色過(guò)濾器進(jìn)行評(píng)價(jià)以確 定哪個(gè)用戶將會(huì)是該角色����。每個(gè)角色過(guò)濾器還包括訪問(wèn)能力、訪問(wèn)條件權(quán) 限以及這些權(quán)限的資格�。作為參考將該公開(kāi)整體合并于此。在該方法中��, 仍未考慮患者輸入����,這樣就不可以按照患者個(gè)人意愿來(lái)定制訪問(wèn)權(quán)限����。
2000年2月8日Kuhn提出的題為"Implementation of Role-Based Access Control in Multi-Level Secure Systems"的美國(guó)專(zhuān)利第6,023�����,765公布了一種 在RBAC系統(tǒng)的權(quán)限與多級(jí)別安全系統(tǒng)內(nèi)的多對(duì)級(jí)別和劃分(compartment) 之間創(chuàng)建關(guān)系的方法。該專(zhuān)利用于控制對(duì)分類(lèi)文獻(xiàn)的訪問(wèn)�,這些分類(lèi)文獻(xiàn) 具有以工作狀態(tài)等作為基礎(chǔ)的如美國(guó)政府中使用的三種分類(lèi)等級(jí)。用戶主 體通過(guò)可信中介請(qǐng)求訪問(wèn)�,該可信中介根據(jù)該用戶是允許訪問(wèn)角色的成員 而確定允許該主體訪問(wèn)分類(lèi)文獻(xiàn)。作為參考將該公開(kāi)整體合并于此���。與上
述參考中的問(wèn)題類(lèi)似��,沒(méi)有為主體提供定制該系統(tǒng)訪問(wèn)權(quán)限的能力�����。
2005年9月20日Gullotta等人提出的題為"System and Method for Provisioning Resources to Users Based on Policies, Roles, Organization Information, and Attributes"的美國(guó)專(zhuān)利第6,947,989公布了一種為用戶提供 資源的方法�。該方法采用了屬性�����、組織信息�����、用戶角色以及基于屬性和用 戶角色的資源供應(yīng)策略�����。通過(guò)該方法,為用戶提供了某些資源�,這些資源 包括諸如計(jì)算機(jī)、電話的硬資源以及諸如對(duì)數(shù)據(jù)庫(kù)��、文件����、文件夾等的訪 問(wèn)的軟資源。該方法不允許用戶控制這樣的處理過(guò)程�����,諸如對(duì)不在預(yù)定組 織角色中的其它用戶或人員進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn)的限制��。
這樣�����,需要個(gè)性化的基于角色的訪問(wèn)控制系統(tǒng)�����,該系統(tǒng)考慮了可以由 患者支配和定制的訪問(wèn)控制����。
保健部門(mén)的近來(lái)趨勢(shì)是朝向個(gè)性化、以用戶為中心的保健發(fā)展�,這也 要求更多用戶(例如,患者)參與到所有保健級(jí)別中�����。在近期���,患者通過(guò)獲得 疾病信息��、與醫(yī)生討論問(wèn)題�����、跟蹤癥狀以及管理他們的疾病�����,而在他們自 己的保健管理中扮演更積極的角色�。因此�����,患者也更多地參與到保存和管 理他們可以訪問(wèn)并且也希望限制其它人訪問(wèn)的重要醫(yī)療文檔。
訪問(wèn)電子保健記錄的能力引起了立法者的注意���,根據(jù)哪些患者有權(quán)要 求對(duì)訪問(wèn)患者個(gè)人健康記錄進(jìn)行限制���,立法者己制定了HIPPA法案。例如��, 患者可以要求對(duì)某些涉及他們保健的個(gè)人額外限制公開(kāi)他們的記錄�,如果 不進(jìn)行額外限制(就保健機(jī)構(gòu)管理的基于角色訪問(wèn)控制而言)這些人會(huì)被允 許訪問(wèn)記錄。不需要保健提供方同意患者的要求���。然而�����,如果保健提供方 同意患者的要求����,則要求保健提供方遵守協(xié)議����,(除非在某些情況下可以不 遵守,例如�,如果在緊急情況下需要治療患者時(shí)需要該信息)���。
就健康記錄而言這對(duì)機(jī)密性和訪問(wèn)控制提出了額外要求����。也就是說(shuō), 在某些情況下訪問(wèn)是基于角色的��;在其它情況下�,不僅基于角色而且還基 于個(gè)人的限制。此外��,患者應(yīng)該能夠?qū)⒃L問(wèn)擴(kuò)展到他或她的個(gè)人記錄并允
許訪問(wèn)某些家庭成員或朋友��。因此��,明顯需要一種基于角色的訪問(wèn)控制和 患者管理的訪問(wèn)控制的組合����。
現(xiàn)在,保護(hù)所有權(quán)信息的解決方案大部分都基于靜態(tài)的RBAC模型�。 當(dāng)前法制下的保健業(yè)更多地要求包含靈活性和授權(quán)實(shí)施。
發(fā)明內(nèi)容
本系統(tǒng)的目標(biāo)是克服現(xiàn)有技術(shù)中這些和其它缺陷���。
本系統(tǒng)提供了改進(jìn)的基于角色的訪問(wèn)控制系統(tǒng)和方法���,它們可以用于 保健業(yè)��,并且可以有效地處理例外情況���,以滿足保健應(yīng)用和立法針對(duì)電子 醫(yī)療記錄安全的安全性要求。
本系統(tǒng)可以包括策略庫(kù)和例外列表����。最初,該策略庫(kù)包括由基于角色 的系統(tǒng)所定義的默認(rèn)策略����。之后,患者可以通過(guò)限制權(quán)限或添加權(quán)限來(lái)提 出例外���,由此可以定義個(gè)性化的策略并添加到策略庫(kù)中���。該系統(tǒng)通常具有 默認(rèn)策略集,但是如果它們受到個(gè)人策略的修改�����,則這些個(gè)人策略將會(huì)替 換默認(rèn)策略,也就是在策略庫(kù)內(nèi)進(jìn)行適當(dāng)?shù)奶鎿Q�����。
在這種情況下個(gè)性化策略可以是動(dòng)態(tài)的�,因?yàn)槔系膫€(gè)性化策略可以被 新的個(gè)性化策略所替換。例外列表作為當(dāng)前個(gè)性化策略來(lái)工作����,可以將該 例外列表定義為與默認(rèn)策略相沖突����、或者與替換了默認(rèn)策略的個(gè)性化策略 (當(dāng)前的個(gè)性化策略)相沖突的所有用戶的列表。在一個(gè)實(shí)施例中����,可以將例 外列表作為黑名單和白名單的合并,例如���,這些名單可用于減少在獲得對(duì) 醫(yī)療數(shù)據(jù)的訪問(wèn)以及幫助確保對(duì)醫(yī)療數(shù)據(jù)進(jìn)行適當(dāng)訪問(wèn)的過(guò)程中對(duì)計(jì)算機(jī) 資源和時(shí)間的需求��。
從對(duì)下列本系統(tǒng)優(yōu)選實(shí)施例和有關(guān)附圖的詳細(xì)說(shuō)明來(lái)看�����,本系統(tǒng)的這 些和很多其它目標(biāo)����、特點(diǎn)和優(yōu)勢(shì)對(duì)于有關(guān)技術(shù)領(lǐng)域中的技術(shù)人員是顯而易 見(jiàn)的。
應(yīng)當(dāng)清楚地理解所包括的各圖是用于示例性說(shuō)明目的�,而并非代表本 系統(tǒng)的范圍。以示例的方式參考所附各圖來(lái)更詳細(xì)說(shuō)明本系統(tǒng)����,其中
圖1根據(jù)本系統(tǒng)實(shí)施例說(shuō)明了一種患者具有相似的個(gè)性化策略和例外 列表的模型;
圖2根據(jù)本系統(tǒng)實(shí)施例說(shuō)明了一種患者具有相似的個(gè)性化策略但具有 不同例外列表的模型�;以及
圖3是根據(jù)本系統(tǒng)實(shí)施例的一種個(gè)性化的基于角色的訪問(wèn)控制系統(tǒng)的 方框圖。
具體實(shí)施例方式
本文將就保健領(lǐng)域內(nèi)的醫(yī)療記錄來(lái)示例性說(shuō)明本系統(tǒng)�。如對(duì)本領(lǐng)域普 通技術(shù)人員顯而易見(jiàn)的,本系統(tǒng)能適用于限制對(duì)任何類(lèi)型的電子記錄保存 系統(tǒng)內(nèi)的任何類(lèi)型記錄的訪問(wèn)�����。
在本系統(tǒng)的范圍內(nèi)�,通常有兩種類(lèi)型的用戶。第一類(lèi)用戶是有權(quán)定義 記錄訪問(wèn)控制規(guī)則的用戶�����,包括添加或修改/影響保健提供方(例如�,醫(yī)院) 的默認(rèn)策略所定義的訪問(wèn)規(guī)則�����。在保健領(lǐng)域�����,這些記錄應(yīng)用于患者用戶����。 患者用戶可以定義或修改對(duì)該患者用戶保健記錄的訪問(wèn)權(quán)限����,因而可以按 照意愿允許或限制訪問(wèn)�。第二類(lèi)用戶是根據(jù)患者用戶定義的權(quán)限訪問(wèn)這些 記錄的用戶。當(dāng)討論不同用戶時(shí)�,為了在這里便于區(qū)分,示例性地采用了 患者用戶和保健用戶以及諸如此類(lèi)的術(shù)語(yǔ)�����。
根據(jù)本系統(tǒng)實(shí)施例�,可以采用策略庫(kù)和例外列表來(lái)控制保健用戶對(duì)記 錄的訪問(wèn)。最初��,策略庫(kù)可以包含系統(tǒng)基于角色定義的默認(rèn)策略(DP)。因 此��,這些DP定義了特定分類(lèi)記錄與希望訪問(wèn)記錄的潛在保健用戶的角色之 間的關(guān)系�。通常通過(guò)組合數(shù)據(jù)的基本塊(atomicblock)來(lái)定義默認(rèn)策略,以創(chuàng) 建訪問(wèn)策略�。將基本塊定義為看起來(lái)能否完全執(zhí)行的最小XACML(可擴(kuò)展 的訪問(wèn)控制標(biāo)記語(yǔ)言)元素?��;緣K作為邏輯單位出現(xiàn)�����。例如�����,默認(rèn)策略(DP) 可以涉及全科醫(yī)師(GP)對(duì)患者的員工健康記錄(EHR)的訪問(wèn)��。 一個(gè)示例性 DP可以是
DP:GP可以訪問(wèn)任何患者的所有EHR
作為另一個(gè)例子�,外科醫(yī)師(SP)比GP具有更受限制的權(quán)限����。對(duì)于SP 的示例性DP可以是
DP:SP可以訪問(wèn)任何患者的所有外科EHR
以這種方式,僅僅通過(guò)默認(rèn)的基于角色的訪問(wèn)控制(RBAC)�����,可能為不 同的醫(yī)學(xué)專(zhuān)家潛在地提供關(guān)于特定醫(yī)學(xué)專(zhuān)業(yè)的HER分類(lèi)的訪問(wèn)。
根據(jù)本系統(tǒng)����,患者之后可以通過(guò)限制權(quán)限或者添加權(quán)限來(lái)創(chuàng)造例外以 創(chuàng)建個(gè)性化策略,將個(gè)性化策略添加到策略庫(kù)���,并且將個(gè)性化策略代替默 認(rèn)策略至少應(yīng)用于創(chuàng)建個(gè)性化策略的患者���。以這種方式,本系統(tǒng)具有默認(rèn) 策略集�����,可以通過(guò)個(gè)性化策略改變默認(rèn)策略集����。至少對(duì)于創(chuàng)建了給定個(gè)性 化策略的患者來(lái)說(shuō)����,這些個(gè)性化策略替換了默認(rèn)策略,并且將個(gè)性化策略 適當(dāng)?shù)胤胖糜诓呗詭?kù)中以便控制對(duì)患者記錄的訪問(wèn)���。
個(gè)性化策略一般類(lèi)似于默認(rèn)策略�����,并且定義了保健用戶的角色或者內(nèi) 容的分類(lèi)���,可以通過(guò)在默認(rèn)策略中移除或添加基本塊以創(chuàng)建個(gè)性化策略來(lái) 移除或者添加保健用戶的角色或者內(nèi)容的分類(lèi)�����。用戶可以通過(guò)從默認(rèn)策略 開(kāi)始并且簡(jiǎn)單地在基本塊級(jí)別或者記錄級(jí)別上移除或者添加限制����,來(lái)創(chuàng)建 個(gè)性化策略��。例如�����,在策略庫(kù)中由個(gè)性化策略(PP)所替代的默認(rèn)策略(DP) 可以是
DP: GP可以訪問(wèn)患者的EHR
用戶A的PP: GP可以訪問(wèn)患者的除了婦產(chǎn)科EHR之外的EHR
該系統(tǒng)提供了如通過(guò)個(gè)性化策略所修改的����、基于RBAC來(lái)控制記錄訪 問(wèn)的簡(jiǎn)化方法。此外��,因?yàn)榛颊呖梢詻Q定用新的個(gè)性化策略替換舊的個(gè)性 化策略,所以在該情況下的個(gè)性化策略可以是動(dòng)態(tài)的����。在為特定患者創(chuàng)建
個(gè)性化策略的情況下,新的個(gè)性化策略可以簡(jiǎn)單地替換策略庫(kù)中舊的個(gè)性 化策略����。在將個(gè)性化策略應(yīng)用于患者組的情況下,那么�,將待應(yīng)用于特定 患者的新的個(gè)性化策略簡(jiǎn)單地添加到策略庫(kù),并且應(yīng)用于創(chuàng)建該新的個(gè)性 化策略的患者�。
在創(chuàng)建個(gè)性化策略的情況下,這些策略是占主導(dǎo)的��,至少對(duì)于創(chuàng)建個(gè) 性化策略的患者或者被應(yīng)用個(gè)性化策略的患者組來(lái)說(shuō)���,這些個(gè)性化策略替 換默認(rèn)策略���。結(jié)果���,至少對(duì)于創(chuàng)建個(gè)性化策略的患者或者被應(yīng)用個(gè)性化策 略的患者組來(lái)說(shuō)���,個(gè)性化策略成為默認(rèn)策略�。
根據(jù)另一個(gè)實(shí)施例���,可以將保健用戶的例外列表(EL)定義為與默認(rèn)策略 或者所定義的當(dāng)前個(gè)性化策略沖突的所有保健用戶或者角色的列表�。當(dāng)例 外列表提供更多或更少權(quán)限時(shí)��,可能存在沖突���?���?梢允褂?+"代表保健用 戶具有額外權(quán)限����,而使用"-"代表保健用戶具有受限制權(quán)限。例外列表將 某些權(quán)限授于在例外列表中出現(xiàn)的保健用戶�����,或者是使這些權(quán)限對(duì)于在例 外列表中出現(xiàn)的保健用戶無(wú)效����。
根據(jù)本系統(tǒng)的實(shí)施例,可以使用兩種算法如上所述運(yùn)行該系統(tǒng)�����。當(dāng)患 者創(chuàng)建例外列表時(shí),可以使用第一種算法����,即"創(chuàng)建個(gè)性化策略"。在另一 個(gè)實(shí)施例中�,創(chuàng)建個(gè)性化策略算法還可以確定是否期望由個(gè)性化策略替換 默認(rèn)策略。在該實(shí)施例中���,在存在于例外列表中的相同限制或額外權(quán)限涉 及一半以上保健用戶的情況下�����,可以分別由個(gè)性化策略或者新的個(gè)性化策 略替換默認(rèn)策略或者當(dāng)前個(gè)性化策略�����。在操作中���, 一旦用戶創(chuàng)建了例外列 表,創(chuàng)建個(gè)性化策略算法可以計(jì)算在相同例外下的保健用戶的數(shù)目是否占 大多數(shù)����。在相同例外下的保健用戶的數(shù)目是大多數(shù)的情況下,這意味著該 例外幾乎是通用原則�����,并且該算法可以分別通過(guò)將默認(rèn)策略或者舊的個(gè)性 化策略與該相同例外進(jìn)行組合來(lái)定義或修改個(gè)性化策略�。
在操作中,當(dāng)保健用戶請(qǐng)求患者記錄時(shí)�,第二種算法即"請(qǐng)求權(quán)限" 可以首先檢查默認(rèn)策略。隨后�����,請(qǐng)求權(quán)限算法可以檢査是否存在用于該記
錄和保健用戶的個(gè)性化策略或者至少可應(yīng)用的個(gè)性化策略�。最后,請(qǐng)求權(quán) 利算法可以在例外列表中查找該保健用戶的出現(xiàn)����。請(qǐng)求權(quán)利算法返回該保 健用戶的權(quán)限。
作為本發(fā)明實(shí)施例的說(shuō)明性例子����,具有名字Anna、 Bart�、 Charles、 Daniel 和Emma的5個(gè)特定的全科醫(yī)師(GP)。Frank是這些GP工作的醫(yī)院的患者����。 在該例子中,F(xiàn)rank恥于他的醫(yī)療記錄的一部分�����,并且決定拒絕Frank自己 認(rèn)識(shí)的名為Charles的GP對(duì)他的關(guān)于性疾病部分的電子健康記錄的訪問(wèn)���。 由于所有的訪問(wèn)權(quán)限(策略)是按照基本塊定義的��,所以Frank可以限制對(duì)與 Frank性疾病有關(guān)的基本塊的訪問(wèn)����。作為示例���,關(guān)于Frank性疾病的基本塊 是塊17和18�。對(duì)Frank的訪問(wèn)可以是以下形式 DP:GP可以訪問(wèn)患者的EHR PP: 空(Frank沒(méi)有PP) EL: GP(Charles�,-17/-18)
在該例子上進(jìn)行擴(kuò)展,在某些考慮之后��,F(xiàn)rank決定不僅限制Charles 訪問(wèn)該數(shù)據(jù)��,而且限制除了治療Frank的名為Bart的GP之外的所有GP 訪問(wèn)該數(shù)據(jù)。如果不存在個(gè)性化策略�,例外列表可以是以下形式 DP: GP可以訪問(wèn)患者的EHR PP: 空
EL: GP(Charles,-17/-18) GP(Anna���,-17/-18) GP(Daniel,-17/-18) GP(Emma�,-17/-18)
然而,根據(jù)本系統(tǒng)的實(shí)施例����,可以將上述訪問(wèn)控制表達(dá)式化簡(jiǎn)為
DP: GP可以訪問(wèn)患者的EHR
PP: GP可以訪問(wèn)患者的除了塊17和18之外的HER EL: GP(Bart,+17/+18)
在該實(shí)施例中��,由于個(gè)性化策略可以替換默認(rèn)策略���,現(xiàn)在(實(shí)際上)
默認(rèn)的是���,除了Bart外沒(méi)有GP可以訪問(wèn)塊17和18。以這種方式��,可以將 例外列表大大簡(jiǎn)化為僅具有1個(gè)而不是4個(gè)元素�。
在另一個(gè)實(shí)施例中,個(gè)性化策略可以如前述由與不同數(shù)據(jù)塊或者數(shù)據(jù) 塊組(例如����,之前例子中的塊17和18)相關(guān)聯(lián)的多個(gè)基本策略塊組成���。作 為具有一個(gè)覆蓋所有基本策略塊的例外列表的替代,還可以將這些塊中的 每個(gè)塊與涉及該塊的獨(dú)立例外列表進(jìn)行關(guān)聯(lián)�。
當(dāng)必須知道正在請(qǐng)求患者數(shù)據(jù)的具有特定角色的保健用戶的權(quán)限時(shí), 可以詢問(wèn)個(gè)性化策略�。根據(jù)本系統(tǒng)的實(shí)施例,可以修改角色策略�����,以盡可 能輕便(小)地維持例外列表���。在根據(jù)該實(shí)施例的例子中����,假定當(dāng)管理員(或 者患者)決定將相同的例外應(yīng)用于新的保健用戶時(shí)���,恰好有一半用戶具有該 相同的例外�。采用該添加的例外����,現(xiàn)在該例外(限制)對(duì)大多數(shù)起作用��。根據(jù) 該實(shí)施例��,為了避免在例外列表中具有大多數(shù)用戶�����,可以創(chuàng)建新的個(gè)性化 策略�����,其與默認(rèn)策略加該公共例外/限制相同。 一旦更新例外列表���,該例外 列表現(xiàn)在將包括少數(shù)具有訪問(wèn)限制或額外權(quán)限同時(shí)有特定角色的保健用 戶�。例外列表中的每行可以涉及一個(gè)保健用戶����,并且可以包含該保健用戶 的角色、標(biāo)識(shí)符或者對(duì)相關(guān)保健用戶進(jìn)行識(shí)別的其它措施�����、以及與多個(gè)患 者之一和一個(gè)或多個(gè)基本塊有關(guān)的保健用戶的限制或額外權(quán)限�。當(dāng)創(chuàng)建新 的個(gè)性化策略時(shí)��,更新具有受影響角色的保健用戶的所有權(quán)限和限制��。
雖然這個(gè)所討論的實(shí)施例與一個(gè)患者和限制訪問(wèn)該患者記錄的多個(gè)策 略有關(guān)��,但是其它實(shí)施例可以包括將患者分組成具有相同的策略(默認(rèn)策略 或者個(gè)性化策略)����。以這種方式���,可以將患者的訪問(wèn)策略加入��,作為它們的 個(gè)性化策略和例外列表的功能�����。
圖1是根據(jù)該實(shí)施例的說(shuō)明性例子����,其中�,分類(lèi)的患者具有相同的個(gè) 性化策略(個(gè)性化策略在某些情況下可以為空)以及相同的例外列表。當(dāng)然���, 雖然未示出�,但是每個(gè)患者共享相同的默認(rèn)策略。在圖1中����,患者P1、 P2�、
PM共享相同的個(gè)性化策略;i和例外列表;i,而患者P3具有個(gè)性化策略e和 例外列表0�,患者PN具有個(gè)性化策略《和例外列表纟。
圖2是根據(jù)另一個(gè)實(shí)施例的說(shuō)明性例子���,其中�,患者具有相同的個(gè)性
化策略���,但是具有不同的例外列表。在圖2中�����,患者P1�����、 P2����、 PM共享相 同的個(gè)性化策略;i����,但是各自具有患者專(zhuān)用的例外列表����。患者P3��、 PN各自 具有分別是0和《的獨(dú)立的個(gè)性化策略和獨(dú)立的例外列表�����。
圖3示出了可以根據(jù)上述所說(shuō)明的本系統(tǒng)的一個(gè)或多個(gè)實(shí)施例進(jìn)行操 作的系統(tǒng)300�����。系統(tǒng)包括顯示設(shè)備350�,顯示設(shè)備350包含用戶接口 310, 用戶接口 310用于患者創(chuàng)建策略和例外列表����。用戶接口 310還用于保健用 戶根據(jù)策略和例外來(lái)訪問(wèn)記錄的請(qǐng)求。將顯示設(shè)備350連接到處理器330, 將處理器330配置為單獨(dú)地生成用戶接口 310或者與顯示設(shè)備350的性能 一起生成用戶接口 310����。處理器330還接收關(guān)于策略、例外和訪問(wèn)請(qǐng)求的指 令�。將存儲(chǔ)器340,連接到處理器330,并且存儲(chǔ)器340能夠存儲(chǔ)必要的指令 和數(shù)據(jù)��,諸如處理器用于執(zhí)行上述操作的操作指令�����。存儲(chǔ)器340還存儲(chǔ)策 略����、例外和記錄,患者和保健用戶可以通過(guò)用戶接口 310和處理器330訪 問(wèn)這些策略�、例外和記錄。處理器330和存儲(chǔ)器340 —起作為基于服務(wù)器 的記錄訪問(wèn)系統(tǒng)320工作���。應(yīng)該注意,顯示設(shè)備350�、處理器330和存儲(chǔ)器 340之間的互連可以經(jīng)由任何通信鏈路,諸如直接的有線或無(wú)線通信或者通 過(guò)網(wǎng)絡(luò)��。例如�����,諸如使用藍(lán)牙m(xù)通信協(xié)議的短距離無(wú)線通信也可以像通過(guò) 因特網(wǎng)或者內(nèi)聯(lián)網(wǎng)鏈路的有線通信那樣,適于處理器330和顯示設(shè)備350 之間以及存儲(chǔ)器340和處理器330之間的通信��。
還可以按所需提供用于通過(guò)有線或無(wú)線接口發(fā)送和接收信號(hào)的收發(fā) 機(jī)��,在無(wú)線通信的情況下�����,該收發(fā)機(jī)包括天線����。還可以使用調(diào)制器、解調(diào) 器和濾波器從載波信號(hào)中提取信息或控制信號(hào)����,用于進(jìn)一步處理。
處理器330可以是用于處理電子信號(hào)的任意類(lèi)型的控制器或者處理器���, 該處理器330包括微處理器����、微控制器、精簡(jiǎn)指令集控制器��、以及能提供 控制信號(hào)以響應(yīng)來(lái)自用戶接口 310的輸入信號(hào)的其它設(shè)備���,處理器330執(zhí) 行存儲(chǔ)在存儲(chǔ)器340上的指令���,存儲(chǔ)器340可以是RAM、 ROM���、可移動(dòng)存 儲(chǔ)器�、光介質(zhì)����、電磁介質(zhì)等的任意類(lèi)型的存儲(chǔ)器。應(yīng)該理解�����,雖然將顯示 設(shè)備350����、處理器330和存儲(chǔ)器340表示為系統(tǒng)300的組成部分�����,但是它們 可以是獨(dú)立的單元或者與其它單元組合。例如�����,處理器330和存儲(chǔ)器340 可以是個(gè)人計(jì)算機(jī)的組成部分�����,而用戶顯示設(shè)備350可以是與之分離或集 成的單元�。可以在個(gè)人計(jì)算機(jī)或者任何能夠?qū)崿F(xiàn)用戶接口 310的設(shè)備中實(shí) 現(xiàn)顯示設(shè)備自身����,以接受用戶輸入并且將控制信號(hào)提供給處理器330,例如 個(gè)人數(shù)字助理(PDA)、蜂窩電話等����。
己經(jīng)參考附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行了說(shuō)明,應(yīng)該理解����,本系統(tǒng)不受 限于特定的實(shí)施例,并且本領(lǐng)域的技術(shù)人員可以實(shí)施各種變化和修改��,而 不脫離如所附權(quán)利要求中所定義的范圍或精神。
在對(duì)所附權(quán)利要求的說(shuō)明中����,應(yīng)該理解
a) 詞語(yǔ)"包括"不排除給定權(quán)利要求內(nèi)所列的元素或動(dòng)作之外的其它元 素或動(dòng)作的存在;
b) 元素之前的詞語(yǔ)"一個(gè)"不排除多個(gè)這種元素的存在��;
c) 權(quán)利要求中的任何參考標(biāo)號(hào)不限制它們的范圍�����;
d) 若干個(gè)"模塊"可以由同一物品�����、硬件或軟件所實(shí)現(xiàn)的結(jié)構(gòu)或功能 來(lái)表示��;
e) 任意所公開(kāi)的元素可以包括硬件部分(例如���,包括分立和集成的電子 電路)����、軟件部分(例如�,計(jì)算機(jī)編程)、以及其任何組合��;
f) 硬件部分可以包括模擬和數(shù)字部分之一或二者���;
g) 除非特別聲明����,否則可以將任意所公開(kāi)的設(shè)備或其部分組合在一起 或者分離成更多部分���;以及
h) 除非特別指出�����,否則不要求特定的動(dòng)作或步驟順序���。
權(quán)利要求
1、一種使用基于角色的訪問(wèn)控制(RBAC)系統(tǒng)來(lái)控制對(duì)記錄保存系統(tǒng)中的受保護(hù)資源的訪問(wèn)權(quán)限的方法�����,所述方法包括步驟將權(quán)限請(qǐng)求與基于角色的策略進(jìn)行關(guān)聯(lián)����,以確定訪問(wèn)權(quán)限;根據(jù)與特定用戶和記錄相關(guān)的例外列表����,修改所確定的訪問(wèn)權(quán)限���;以及基于修改后的所確定的訪問(wèn)權(quán)限,授權(quán)對(duì)記錄的訪問(wèn)���。
2����、 如權(quán)利要求l所述的方法���,其中�,所述基于角色的策略是被修改為 個(gè)性化策略的默認(rèn)策略�����。
3�����、 如權(quán)利要求1所述的方法�,包括步驟確定例外是否應(yīng)用于包含至少一個(gè)用戶和記錄的大多數(shù);以及 如果所述例外應(yīng)用于所述包含至少一個(gè)用戶和記錄的大多數(shù)��,則將所述基于角色的策略修改為包含所述例外;將所述例外列表修改為應(yīng)用于之前由所述基于角色的策略所控制的少數(shù)用戶權(quán)限�。
4、 如權(quán)利要求1所述的方法�,包括步驟將所述基于角色的策略與所 述例外列表進(jìn)行關(guān)聯(lián)。
5�����、 如權(quán)利要求l所述的方法�,其中�,所述例外列表是多個(gè)例外列表之 一,所述方法包括步驟將多個(gè)基于角色的策略中的每個(gè)與所述多個(gè)例外 列表中的一個(gè)或多個(gè)進(jìn)行關(guān)聯(lián)����。
6、 如權(quán)利要求l所述的方法���,其中����,所述基于角色的策略是多個(gè)基于 角色的策略之一���,并且所述例外列表是多個(gè)例外列表之一�����,所述方法包括 步驟將所述多個(gè)基于角色的策略中的每個(gè)與所述多個(gè)例外列表中的一個(gè) 進(jìn)行關(guān)聯(lián)���。
7���、 如權(quán)利要求1所述的方法,包括步驟將額外的訪問(wèn)權(quán)限和受限制 的訪問(wèn)權(quán)限與所述例外列表進(jìn)行關(guān)聯(lián)�����。
8��、 一種基于角色的訪問(wèn)控制(RBAC)系統(tǒng)��,用于控制對(duì)受保護(hù)資源的訪 問(wèn)�,所述系統(tǒng)包括用戶接口;以及處理器�����,可操作地連接到所述用戶接口����,其中�����,所述處理器配置為通 過(guò)所述用戶接口接收訪問(wèn)請(qǐng)求���,并且配置為通過(guò)所述用戶接口來(lái)授權(quán)訪問(wèn), 其中�,所述處理器配置為將權(quán)限請(qǐng)求與基于角色的策略進(jìn)行關(guān)聯(lián)以確定訪 問(wèn)權(quán)限,根據(jù)與特定用戶和記錄相關(guān)的例外列表來(lái)修改所確定的訪問(wèn)權(quán)限���, 并且基于該修改后的所確定的訪問(wèn)權(quán)限來(lái)授權(quán)對(duì)記錄的訪問(wèn)。
9��、 如權(quán)利要求8所述的系統(tǒng)��,其中��,所述處理器配置為確定例外是否 應(yīng)用于大多數(shù)用戶���,配置為如果所述例外應(yīng)用于所述大多數(shù)用戶則將所述 基于角色的策略修改為包括所述例外��,并且配置為將所述例外列表修改為 應(yīng)用于之前由所述基于角色的策略所控制的少數(shù)用戶權(quán)限��。
10�、 如權(quán)利要求8所述的系統(tǒng),其中�����,所述基于角色的策略是多個(gè)基 于角色的策略之一����,所述例外列表是多個(gè)例外列表之一,所述處理器配置 為將所述多個(gè)基于角色的策略中的每個(gè)與所述多個(gè)例外列表中的一個(gè)進(jìn)行 關(guān)聯(lián)�����。
11���、 如權(quán)利要求8所述的系統(tǒng)�����,其中�,所述處理器配置為將額外的訪 問(wèn)權(quán)限和受限制的訪問(wèn)權(quán)限與所述例外列表進(jìn)行關(guān)聯(lián)�。
12、 如權(quán)利要求8所述的系統(tǒng)��,其中,所述處理器配置為更新指令����, 以通過(guò)組合所述基于角色的策略和所述例外列表來(lái)確定所述基于角色的策 略。
13��、 一種在計(jì)算機(jī)可讀介質(zhì)上實(shí)現(xiàn)的應(yīng)用����,配置為提供基于角色的訪 問(wèn)控制系統(tǒng)(RBAC),所述應(yīng)用包括配置為將權(quán)限請(qǐng)求與基于角色的策略進(jìn)行關(guān)聯(lián)以確定訪問(wèn)權(quán)限的部分�;配置為根據(jù)與特定用戶和記錄相關(guān)的例外列表來(lái)修改所確定的訪問(wèn)權(quán) 限的部分;以及配置為基于該修改后的所確定的訪問(wèn)權(quán)限來(lái)授權(quán)對(duì)記錄的訪問(wèn)的部分�����。
14��、 如權(quán)利要求13所述的應(yīng)用����,其中�,所述基于角色的策略是被修改 為個(gè)性化策略的默認(rèn)策略。
15��、 如權(quán)利要求13所述的應(yīng)用,包括配置為確定例外是否應(yīng)用于包含至少一個(gè)用戶和記錄的大多數(shù)的部分����;配置為如果所述例外應(yīng)用于所述包含至少一個(gè)用戶和記錄的大多數(shù)則 將所述基于角色的策略修改為包括所述例外的部分;配置為將所述例外列表修改為應(yīng)用于之前由所述基于角色的策略所控 制的包含至少一個(gè)用戶權(quán)限和記錄的少數(shù)的部分�����。
16�����、 如權(quán)利要求13所述的應(yīng)用��,包括配置為將所述基于角色的策略與 所述例外列表進(jìn)行關(guān)聯(lián)的部分�����。
17���、 如權(quán)利要求13所述的應(yīng)用�,其中����,所述例外列表是多個(gè)例外列表 之一��,所述應(yīng)用包括配置為將多個(gè)基于角色的策略中的每個(gè)與所述多個(gè)例 外列表中的一個(gè)或多個(gè)進(jìn)行關(guān)聯(lián)的部分��。
18��、 如權(quán)利要求13所述的應(yīng)用�,其中��,所述基于角色的策略是多個(gè)基 于角色的策略之一���,所述例外列表是多個(gè)例外列表之一�,所述應(yīng)用包括配 置為將所述多個(gè)基于角色的策略中的每個(gè)與所述多個(gè)例外列表中的一個(gè)進(jìn) 行關(guān)聯(lián)的部分����。
19、 如權(quán)利要求13所述的應(yīng)用��,包括配置為將額外的訪問(wèn)權(quán)限和受限 制的訪問(wèn)權(quán)限與所述例外列表進(jìn)行關(guān)聯(lián)的部分���。
20、 如權(quán)利要求13所述的應(yīng)用�,包括配置為確定例外是否應(yīng)用于具有相同策略的大多數(shù)基本塊的部分; 配置為如果所述例外應(yīng)用于所述大多數(shù)基本塊則將所述基于角色的策略修改為包括所述例外的部分�;以及配置為將所述例外列表修改為應(yīng)用于之前由所述基于角色的策略所控制的少數(shù)基本塊的部分���。
全文摘要
用戶接口和連接到用戶接口的處理器,其中����,處理器通過(guò)用戶接口接收訪問(wèn)請(qǐng)求,并且通過(guò)用戶接口來(lái)授權(quán)訪問(wèn)�����。處理器將權(quán)限請(qǐng)求與基于角色的策略進(jìn)行關(guān)聯(lián)以確定訪問(wèn)權(quán)限�,根據(jù)與特定用戶和記錄相關(guān)的例外列表來(lái)修改所確定的訪問(wèn)權(quán)限,并且基于修改后的所確定的訪問(wèn)權(quán)限來(lái)授權(quán)對(duì)記錄的訪問(wèn)�����。
文檔編號(hào)G06F21/24GK101379507SQ200780004113
公開(kāi)日2009年3月4日 申請(qǐng)日期2007年1月30日 優(yōu)先權(quán)日2006年1月31日
發(fā)明者C·孔拉多, M·佩特科維奇, M·哈穆特訥 申請(qǐng)人:皇家飛利浦電子股份有限公司