訪問權限的動態確定的制作方法

專利名稱：訪問權限的動態確定的制作方法
技術領域：
本發明涉及一種用于動態地確定客戶端對記錄的訪問權限的方法和系統。在一個實施例中，本發明基于背景(context)信息的可信度和/或須知基礎在DRM或XACML系統中提供了對權限的動態改變。
背景技術：
隨著醫學信息技術的進步，患者和醫生現在可以從各種服務中受益。例如，電子患者記錄(EPR)是與患者的健康狀況和健康護理相關的電子存儲數據的儲存庫。Era系統能夠提供改進健康護理供給的質量和效率的功能。EH 的功能性范例為提供提示和警告、提供同時對多個臨床醫生的訪問、或者將知識源與患者數據相鏈接。傳統的紙件醫學記錄缺乏這樣的功能。此外，對遠程患者監測服務的需求日益增加，因此多個標準化活動都以該領域為目標，如 Continua Alliance (參見 www. continuaaliance. org/home)以及 Healthcare Information Technology Standards Panel (參見 www· hitsp· org)。電子地傳送健康相關問題的若干優點包括不用必須離開房屋(對殘疾人而言，這可能是問題)，可以匿名詢問敏感問題，或者從未曾見面的個人那里得到答案。盡管這些技術帶來了很多優點，然而同時也引起了一些安全和隱私的問題。通常認為與健康相關的數據是非常隱私的，這為擴展法規的出現以及良好建立的道德標準，諸如希波克拉底誓言(Hippocratic Oath)，提供了法律依據。歐洲政策 94/46 (European Directive 94/46)、美國的醫療保險攜帶和責任法案(Health Insurance Portability and Accountability Act) (^jALwww. hhs. gov/ocr/privacysummary. pdf)以及加拿大的健康信息保護法案(參見www. health, gov. sk. ca/hipa-cheklist)為健康系統中有關個人健康信息的個人權限以及受托人(如醫生和護士)的義務制定法律。這些法案應用到健康系統中任意形式的個人健康信息，包括傳統的紙件記錄以及電子記錄。立法的根本目的是為了保護個人健康信息的隱私性，同時保證這些信息在需要時能夠提供服務， 以及監測、評估和改進健康系統以便使個人和社會受益。各種立法需要實施大范圍的安全措施。主要原則之一被稱為信息最小化。例如， HIPA (健康信息保護法案)規定了僅在須知的基礎上收集、使用或公開的要求。法案要求僅在須知的基礎上收集、使用或公開個人健康信息。這意味著只有為可接受的目的所需要的信息才應該被收集、使用或公開。其還意味著只有那些出于法案中的合法目的而需要訪問信息的個人才可以訪問記錄。除了須知條件，確定訪問權限的另一重要因素是對象背景屬性的確定性。在健康護理應用中，對信息的訪問常常取決于背景信息(背景屬性常常被用作訪問控制規則中的條件)。然而，在評估規則的處理中，常常很難百分之百地確定某個背景能否實現。在其中客戶端必須評估背景信息的DRM(數字權限管理)應用中，情況尤其如此。諸如XACML(擴展訪問控制標記語言，Extensible Access Control Markup Language)之類的當前技術水
4性考慮在內，但是這些方案是基于靜態授權的。例如，醫生使用任意類型的驗證方法(諸如一個或兩個因素的驗證)，從任意設備 (辦公室計算機、家用計算機、公共網吧等)訪問其患者的健康記錄會具有相同的訪問權限。醫生可以從公共網吧或家中的計算機訪問患者的私有健康信息記錄，此時其具有與他從醫院或診所的安全計算機訪問記錄時相同的訪問權限。然而，醫生屬性(例如其身份) 的確定性很大程度上取決于用來證明這些屬性(例如所用的驗證形態)的方法。對于其他背景信息的確定性，諸如運行數字權限管理或訪問控制客戶端應用的個人計算機的可信度，這同樣適用。然而，當前的靜態授權方法不能應付這些要求。因此，需要可以有效地確定用于訪問控制和DRM以及須知條件的屬性的確定性的方法，該方法將被用于將訪問和使用權限相應地分配給授權的人員。

發明內容
因此，本發明的目的在于改進現有技術。根據本發明的第一方面，提供了一種動態地確定客戶端對記錄的訪問權限的方法，該方法包括接收來自客戶端的對于所述記錄的訪問請求，確定與該訪問請求相關的一個或多個背景，計算每個確定的背景的分數，根據這些背景分數計算總分數，訪問所述記錄的權限策略，該權限策略限定了關于所述記錄的多個不同權限，每個權限都具有各自的最小分數，以及根據總分數與所述權限策略中每個權限的分數的比較結果來確定所述客戶端的訪問權限。根據本發明的第二方面，提供了一種用于動態地確定客戶端對記錄的訪問權限的系統，該系統包括許可服務器，其被布置成存儲所述記錄的權限策略，該權限策略限定了關于所述記錄的多個不同權限，每個權限都具有各自的最小分數；被布置成接收對于所述記錄的訪問請求的部件；以及背景評估器，其被布置成確定與所述訪問請求相關的一個或多個背景，計算每個確定的背景的分數，根據這些背景分數計算總分數，訪問所述記錄的權限策略，以及根據總分數與所述權限策略中每個權限的分數的比較結果來確定對所述客戶端的訪問權限。歸因于本發明，可以提供一種方法和系統，其中基于背景信息的可信度和/或須知的概念來動態地改變對私有電子健康信息記錄的訪問和使用權限。在做出決定和實施許可(策略)之前，DRM客戶端或AC(訪問控制)系統會向背景評估器做出對背景信息的確定性(或可信度)級別的請求。背景評估器收集合適的背景信息并將信賴分數分配給其中的每一個。在分配各個信賴分數之后，計算總信賴分數，該總分數然后被轉發到DRM客戶端或AC系統的PDP (策略判定點)，該DRM客戶端或AC系統的PDP基于信賴分數的級別來最小化(減小)原始的訪問和使用權限。優選地，根據背景分數計算總分數的步驟包括計算所述背景分數的平均值。在一個實施例中，該平均值為根據預定義公式的加權平均值。需要將各個背景分數組合成表示當前應用對于患者的數據記錄的總可信度的單個背景分數。簡單的平均或加權平均可以用于將不同的背景分數組合成單個總分數。這在給定的圍繞該應用的所有不同情形的情況下提供了簡單而有效的方法，通過該方法可以計算當前應用對于健康記錄的總可信度的總度量。
5
有利地是，確定與訪問請求相關的一個或多個背景的步驟包括選擇關于驗證級別、客戶的可信度以及訪問時間的一個或多個背景。可以在確定客戶對數據記錄的訪問權限的過程中使用任意數量的不同背景。諸如驗證級別(例如是使用密碼、智能卡還是生物統計測量)和客戶機的可信度(例如是醫院計算機還是網吧里的計算機)之類的背景可以用來以可靠而一致的方式確定總背景分數。在一個實施例中，計算每個確定的背景的分數的步驟包括將描述值分配給每個背景。在這種情況下，根據背景分數計算總分數的步驟包括將規則策略(rules policy)應用到描述值以獲得包括描述值的總分數。計算每個背景的分數以及隨后根據各個背景分數計算總分數不一定必須使用數字值來實現。分數可以是任意一種尺度的加權，而不僅僅是數字尺度。例如，背景的分數可以選自描述值，諸如非常低、低、中等、高和非常高，并且然后可以例如使用規則策略，諸如最常出現的項，在相同的尺度下完成對總分數的計算。


現在僅通過范例并參考附圖來描述本發明的實施例，在附圖中圖1是系統的示意圖；圖2是該系統的示出了更多細節的另一示意圖；圖3至5是背景記分方案的示意圖；圖6是XACML系統中的數據流的示意圖；圖7是備選背景記分方案的示意圖；圖8是該系統的另一示意圖；以及圖9是該系統的另一實施例的示意圖。
具體實施例方式只有考慮了須知標準以及已評估的背景和對象屬性的確定性時才需要公開私有健康信息。在該系統中，提供了一種方法，其中基于背景信息的確定性/可信度來動態地改變用于訪問特定健康信息記錄的訪問控制和/或使用權限。還可以使用須知級別來應用這種動態改變來獲知私有健康信息。基本想法是動態地改變(最小化)客戶訪問私有健康信息記錄的訪問控制和/或使用權限。這基于在評估許可或訪問控制策略中使用的屬性確定性級別來進行。該確定性級別可以被分配給每個背景屬性，例如為{對象ID，確定性0. 33}，或者可以根據其他背景屬性來計算該確定性級別。同樣可以基于須知條件的強度級別來改變訪問權限。該方法具有以下優點。首先更好地保護了隱私，因此有效地實現了相關法規的要求。如果訪問信息的人真正地需要原始權限，那么將維持訪問該信息的原始權限，這些是自動確定的。系統通過基于背景信息的確定性最小化使用權限來最小化安全威脅。然而，所提出的方法和系統仍然保留了訪問私有健康信息記錄的靈活性。例如，醫生可以在他們的家中或者在公共網吧處訪問信息(盡管他們具有最小的權限)。應當注意的是，最小化級別可以由合適的管理當局或信息對象所限定的策略來確定。圖1是系統的高級概念框圖，其中DRM客戶端10接收使用權限14和背景信息12的可信度分數。因此，基于背景信息12 的可信度分數，最小化原始使用權限14，并且合適的輸出16示出了減小的權限。
圖2是系統的更為詳細的描述。在步驟(1)，DRM客戶端10向許可服務器18請求對特定資產(或資源)的權限，其中該資產為客戶端想要訪問的記錄。在步驟O)，許可服務器18向DRM客戶端10發送特定資產的原始權限和條件以及最小化策略。在步驟(3)，DRM 客戶端10向背景評估器20請求背景信息的可信度。背景評估器20將可信度分數分配給來自每個寬泛類別中的背景信息的各個背景信息中的每個，并計算總可信度分數(諸如平均值)。或者，DRM客戶端10本身可以基于其他背景信息分配這些值。在步驟0)，背景評估器20將背景信息的可信度(或確定性分數)轉發到DRM客戶端10。在步驟( ，DRM客戶端10基于可信度分數最小化權限并且將該最小化的權限分配給用于特定訪問的對象。該系統提供了一種在DRM系統中最小化權限的方法。以下給出了如何基于不同類別的可用背景信息的確定性來最小化權限的構造，但可以使用其他不同級別的背景信息。 許多不同事物可以用作與訪問患者健康記錄相關的背景。諸如做出訪問請求的機器的位置或日期時間等之類的事物可以用作與訪問請求相關的背景。在計算所使用的所有背景的總分數之前，分別為每個使用的背景打分。背景信息可以與做出訪問請求的客戶端正使用的驗證類型相關。背景評估器可以使用來確定可信度的第一類別的背景信息是用于訪問私有健康信息記錄的驗證類型。圖3 示出了不同類型的驗證以及其相應的分數。如果僅使用一個因素的驗證，那么為其分配的確定性分數將會很低，然而，如果使用兩個因素的驗證，那么為其分配的確定性分數將會相對較高。因此，對于三個因素的驗證，確定性將是最高的。圖3示出了為了訪問信息而使用的不同類型的驗證，因此基于用來訪問私有健康信息記錄的驗證類型來分配確定性(或可信度)分數，該分數之后用于最小化使用權限。這示出了系統與權限用戶對話的確定性的不同級別，即系統在多大程度上確定訪問請求來自真實用戶。如圖4所示，另一背景信息類別可以與客戶端的惡意相關。這示出了請求訪問私有健康信息記錄的客戶端的可信度(或確定性)分數。可以考慮的第二類別的背景信息是請求訪問私有健康信息的DRM客戶端的可信度。例如，醫生可以從其辦公室使用其辦公室個人計算機(PC)或者從家中使用公司便攜式電腦來訪問信息記錄。在這種情況下，客戶端的可信度很高，因此為其分配的分數將會是最高的。然而，如果醫生設法從他們的家用個人計算機訪問信息，那么DRM客戶端的可信度將會較低，因此為其分配的分數將會相對較低。 如果醫生從公共網吧訪問信息，客戶端的可信度將會非常低并且為其分配的分數將會最低。圖4示出了可以從其訪問信息的不同客戶端的可信度以及為其分配的相應確定性(或可信度)分數(客戶端不是惡意的可能性)。背景信息還可以與訪問時間相關。發揮作用的背景信息的第三類別是訪問私有健康信息的時間。這對確定須知要求是有用的。例如，如果在正常工作時間訪問某個信息，那么真正需要該信息以及該信息被用于正當目的的可能性會很高，然而，如果在非工作時間設法訪問信息，那么該信息用于正當目的以及真正需要該信息的可能性會相對較低。圖5 示出了訪問信息的兩個不同時間間隔以及其相應的確定性(或可信度分數)。在上述部分中，在計算可信度(或確定性)分數時，集中關注三種不同主要類別的背景信息，并且這是用來示出這些類別的背景信息是如何幫助確定不同背景屬性的確定性 (或可信度)以及須知級別的。以下部分將給出一種如何將來自這三個方面或背景的知識相組合以獲得總信賴分數(或可信度)分數的方法。在收集了不同類型的背景信息并且將信賴分數分別分配給每個背景信息之后，計算總可信度分數的一種方式是將來自每種類別的各個背景信息中的每個的信賴分數進行組合并使它們標準化。例如，如果醫生在非工作時間通過使用兩個因素的驗證從他們的家用個人計算機來訪問私有健康信息，那么總可信度分數計算如下信賴分數=(驗證分數+位置分數+時間分數)/3信賴分數=(0.66+0. 66+0. 5) /3 = 0. 6067。以上的可信度分數“信賴分數”在背景評估器20處計算，或備選地在DRM客戶端 10處計算。然后，基于該信賴分數的值來最小化原始使用權限。例如，如果權限策略所限定的原始使用權限為權限={查看、修改、打印、轉發、委托、刪除}，那么基于該信賴分數， 可以按以下方式最小化權限。DRM客戶端20從許可發行器接收對每種權限的從間隔
的閾值，其如下所示{查看一0. 2，修改一0. 5，打印一0. 6，轉發一0. 7，委托一0. 8，刪除 —0. 9}。權限策略限定了關于被訪問的記錄的多個不同權限，其中每個權限都具有各自的最小分數。基于已計算的信賴分數(0. 6067)，DRM客戶端允許用戶僅執行為其分配的閾值高于信賴分數(即上述范例中的0.6067)的權限。因此，最小化的(可執行)使用權限如下給出，可執行權限={查看、修改、打印}。這示出了對于醫生使用兩個因素的驗證從他們的家用計算機在工作時間之外訪問健康記錄的給定背景下，他們所確定的訪問權限將為查看、修改以及打印該紀錄。在該特定背景下拒絕給予醫生其他的訪問權限(轉發、委托以及刪除)。這說明了權限被最小化的中心概念。圖6圖示了基于可信度或須知概念在XACML系統中最小化權限(行為)。以下將簡要描述上述權限最小化概念如何在XACML系統中工作。首先，重要的是要注意到，在XACML 系統中權限被稱為行為。因此，從這里開始，行為和權限將被認為是互相等同的。圖6示出了 XACML系統的數據流框圖。將簡要描述數據流框圖中的每個步驟，并且還解釋在哪個框圖以及在哪個步驟處可以根據背景信息的可信度來最小化權限。在步驟(1)，PAP (策略管理點)22寫入策略和策略組并且使其可用于PDP (策略決定點)24。這些策略或策略組表示用于特定目標的完整策略。假設所述策略擴展為包含每個行為的閾值。在步驟0)，訪問請求器26將訪問請求發送到PEP(策略實施點)28。在步驟(3)，該PEP 28以其自身的請求格式將訪問請求發送到背景處理器30，該請求格式任選地包括對象、資源、行為和環境的屬性。在步驟0)，背景處理器30從PIP (策略信息點)32請求屬性或背景信息。在步驟 (5), PIP 32從對象M、資源36和環境38獲得所請求的屬性以及不同類別的背景信息。在步驟(6)，PIP 32將所請求的屬性返回到背景處理器30。假設PIP 32將確定性信息附加到每個屬性。或者，背景處理器30可以基于其他背景屬性來計算確定性信息。在步驟(7)， 任選地，背景處理器30將資源36包括在背景中。在步驟(8)，背景處理器30構建XACML請求背景并將其發送到PDP 24。這里，PDP M可以被看作與DRM客戶端10等同，背景處理器30可以被看作與背景評估器20等同。如果需要的話，PDP 9從背景處理器30請求任何附加的對象、資源、行為和環境的屬性。如果還沒有將確定性信息分配給屬性，那么背景處理器30將信賴分數分配給每個類別的背景
8信息中的每個屬性并計算平均可信度分數。這之后連同其他對象、資源、行為和環境的屬性一起被轉發到PDP 24。在步驟(9)，PDP M評估策略并基于總可信度分數最小化原始使用權限(或XACML 語言中的行為)。還可以在PDP M而不是在背景處理器30處將可信度分數分配給每個類別的背景信息中的每個屬性并計算平均可信度分數，以及在該平均可信度分數的基礎上， 可以最小化原始使用權限(或行為)。在步驟(10，標記為A)，PDP M將響應背景(包括授權決定)返回到背景處理器30。在步驟(11，標記為B)，背景處理器30將響應背景轉換為PEP觀的固有響應格式。背景處理器30將響應返回到PEP 28。在步驟(12，標記為C)， PEP 28實施與責任服務40相關的責任。還可以在DRM服務器側而不是客戶端側評估背景信息。在評估了背景信息的確定性之后，原始使用權限被相應地最小化。因此，在這種情況下，具有有限使用權限的數據隨后將被轉發到DRM客戶端。盡管上文已經考慮了三種不同的主要類別的背景信息，但是還可以考慮其他類別的背景信息，如緊急情況等。盡管優選給出了計算總信賴分數的方法，但是也存在任意數量的其他不同方法用來根據為背景信息靜態分配的各個信賴分數來計算總信賴分數。如圖7所示，代替將靜態信賴分數分配給背景信息并且然后計算總(平均)可信度的是，可以使用不同的描述值而不是數字分數來指示每個不同背景信息的信賴度。該圖示出了驗證類型以及其相應的描述型信賴分數。這同樣可以適用于其他類別的背景信息。 可以基于由策略限定的任意規則來計算總可信度，諸如如果兩個背景信息的可信度級別是中等而另一個是低的，那么最終的可信度級別將是中等的。相似地，存在有將每個背景信息中的信賴度相組合并且產生最終的可信度級別的其他規則。因此，基于最終的可信度級別， 即低信賴、中等信賴和高信賴，可以最小化原始使用權限。代替計算平均信賴分數的是，可以基于每個類別的背景信息的重要性計算加權的平均值。為每個類別分配權重，例如，“驗證類型”的權重是0. 5，“客戶端的可信度”的權重是0. 3，“訪問時間”的權重是0. 2。再一次重新使用先前的范例，即醫生在非工作時間通過使用兩個因素的驗證從他的家用個人計算機來訪問私有健康信息，則可信度分數計算如下加權信賴分數=(0. 5*驗證分數+0. 3*客戶端分數+0. 2*時間分數)/ (0. 5+0. 3+0. 2)加權信賴分數=(0.5**0. 66+0. 3*66+0. 2*0. 5)/1加權信賴分數=(0.33+0. 198+0. 1)/1 = 0. 2093圖8圖示了醫生在非工作時間通過使用兩個因素的驗證從他的家用個人計算機訪問私有健康信息的特定范例，但是其中利用未加權的平均值用于計算總分數。向DRM客戶端10發出關于患者的數據記錄36的訪問請求42。客戶端10還可以訪問該數據記錄36 的權限策略14。客戶端10被連接到背景評估器20，盡管DRM客戶端10本身也可以實現背景評估器20的功能。背景評估器將進行會導致做出請求42的客戶的訪問權限最小化的計笪弁。背景評估器20確定與訪問請求42相關的一個或多個背景12，并計算每個確定的背景12的分數44。該分數根據所獲得的關于特定背景的信息來表示背景中的信賴級別。 背景評估器20根據背景分數44計算總分數46，在這種情況下為分數44的直接平均值。背景評估器20訪問記錄36的權限策略14。權限策略14限定了關于記錄36的多個不同權限，每個權限都具有各自的最小分數，并且背景評估器20根據總分數46與權限策略14中每個權限的分數的比較結果來確定客戶的訪問權限。計算每個背景的分數以及之后根據各個背景分數計算總分數并不一定必須使用數字值來實現。分數可以是任意一種尺度的加權，而不僅僅是數字尺度。例如，背景分數可以從非常低、低、中等、高和非常高中選擇，隨后總分數計算可以使用例如最常出現的項在相同的尺度下進行。實際上，不同的記分尺度可以用于不同的背景，只要總分數的計算使用一種能夠處理不同的輸入參數并提供表示所組合背景的總信任分數的有意義結果的算法即可。圖9示出了另一實施例，其中許可服務器18還可以訪問審計日志48。這里使用一種方法，其中基于根據記錄用戶所有行為的審計日志48(或用于計算系統中的用戶聲譽的任何其他來源)而計算得到的用戶行為或聲譽來動態地改變對私有電子健康信息記錄或者任何其他類型的敏感數據的訪問和使用權限。圖9示出了該系統。在步驟(1)，DRM客戶端10向許可服務器18請求對特定記錄的權限。在步驟O)，許可服務器18基于根據在服務器18處的審計日志48而計算得到的聲譽分數或行為分數來最小化用戶的原始權限。這是第一級別的最小化權限。在步驟(3)， 許可服務器18向DRM客戶端10發送該特定記錄的第一級別的最小化使用權限和條件以及最小化策略。在步驟(4)，DRM客戶端10向背景評估器20請求背景信息的可信度。背景評估器20將可信度分數分配給來自每個寬泛類別的背景信息中的每個背景信息，并計算平均可信度分數。或者，DRM客戶端10自身可以基于其他背景信息來分配這些值。在步驟( ，背景評估器20將背景信息的可信度(或確定性分數)轉發到DRM客戶端10。在步驟(6)，DRM客戶端10基于可信度分數進一步最小化權限并將最終最小化的權限分配到特定時間和特定記錄的對象。除了根據背景來最小化權限之外，這一改進的實施例的優點在于還根據用戶過去的行為(或聲譽)來最小化使用權限，這相當于懲罰用戶。使用權限可以僅基于用戶過去的行為(或聲譽)來進行修改，而不用考慮背景信息的可信度。因此，在這種情況下，使用權限不會被進一步最小化。根據用戶過去的行為(或聲譽)將權限最小化可以在DRM客戶端或AC系統的PDP處進行，而不是在服務器側進行。
權利要求
1.一種動態地確定客戶端(10、26)對記錄(36)的訪問權限的方法，包括 -從所述客戶端(10、26)接收關于所述記錄(36)的訪問請求02)，-確定與所述訪問請求0 相關的一個或多個背景(12)， -計算每個確定的背景(1 的背景分數04)， -根據所述背景分數G4)計算總分數06)，-訪問所述記錄(36)的權限策略(14)，所述權限策略(14)限定了關于所述記錄的多個不同權限，每個權限都具有各自的最小分數，以及-根據所述總分數G6)與所述權限策略(14)中每個權限的分數的比較結果來確定所述客戶端的訪問權限。
2.根據權利要求1所述的方法，其中，根據所述背景分數G4)計算總分數G6)的步驟包括計算所述背景分數G4)的平均值。
3.根據權利要求2所述的方法，其中，所述平均值是根據預定義公式的加權平均值。
4.根據權利要求1、2或3所述的方法，其中，確定與所述訪問請求0 相關的一個或多個背景(1 的步驟包括選擇驗證級別、客戶端的可信度和訪問時間中的一個或多個背景(12)。
5.根據前述權利要求中的任一項所述的方法，其中，確定所述客戶端的訪問權限的步驟包括將所述客戶端的訪問權限限制為少于由所述權限策略(14)所限定的全部權限。
6.根據前述權利要求中的任一項所述的方法，還包括將消息傳送給所述客戶端(10、 26)，所述消息包括所述客戶端的訪問權限。
7.根據前述權利要求中的任一項所述的方法，其中，計算每個確定的背景(1 的背景分數G4)的步驟包括將描述值分配給每個背景(12)。
8.根據權利要求7所述的方法，其中，根據所述背景分數04)計算總分數G6)的步驟包括將規則策略應用到所述描述值以獲得包括描述值的總分數G6)。
9.根據前述權利要求中的任一項所述的方法，還包括訪問限定了所述客戶端(10、26) 的先前聲譽和/或行為的審計日志G8)并根據所述審計日志G8)來最小化所述權限策略。
10.一種用于動態地確定客戶端(10、26)對記錄(36)的訪問權限的系統，包括 -許可服務器(18)，其被布置成存儲所述記錄(36)的權限策略(14)，所述權限策略(14)限定了關于所述記錄(36)的多個不同權限，每個權限具有各自的最小分數， -部件(10 J6)，其被布置成接收關于所述記錄(36)的訪問請求(42)，以及 -背景評估器(20)，其被布置成確定與所述訪問請求0 相關的一個或多個背景 (12)，計算每個確定的背景(1 的分數(44)，根據所述背景分數04)計算總分數(46)，訪問所述記錄(36)的所述權限策略(14)，以及根據所述總分數G6)與所述權限策略(14)中每個權限的分數的比較結果來確定所述客戶端的訪問權限。
11.根據權利要求10所述的系統，其中，所述背景評估器00)被布置成在根據所述背景分數G4)計算總分數G6)時，計算所述背景分數的平均值。
12.根據權利要求11所述的系統，其中，所述平均值是根據預定義公式的加權平均值。
13.根據權利要求10、11或12所述的系統，其中，所述背景評估器00)被布置成在確定與所述訪問請求相關的一個或多個背景(1 時，選擇驗證級別、客戶端的可信度和訪問時間中的一個或多個背景(12)。
14.根據權利要求10至13中的任一項所述的系統，其中，所述背景評估器00)被布置成在確定所述客戶端的訪問權限時，將所述客戶端的訪問權限限制為少于由所述權限策略 (14)所限定的全部權限。
全文摘要
一種動態確定客戶端對記錄的訪問權限的方法，該方法包括從所述客戶端接收關于記錄的訪問請求，確定與所述訪問請求相關的一個或多個背景，計算每個確定的背景的背景分數，根據所述背景分數計算總分數，訪問所述記錄的權限策略，該權限策略限定了關于該記錄的多個不同權限，每個權限都具有各自的最小分數，以及根據所述總分數與所述權限策略中每個權限的分數的比較結果來確定所述客戶端的訪問權限。
文檔編號G06F21/62GK102449633SQ201080023603
公開日2012年5月9日 申請日期2010年5月28日 優先權日2009年6月1日
發明者M·彼特科維克, M·阿希姆, 屈勁 申請人:皇家飛利浦電子股份有限公司