使用個人標識信息標籤和目的服務功能集合的pii數據訪問控制工具的實現和使用的製作方法

2023-06-05 06:40:01

專利名稱：使用個人標識信息標籤和目的服務功能集合的pii數據訪問控制工具的實現和使用的製作方法
技術領域：
本發明總體涉及計算機系統內的個人信息的安全，更具體地，涉及控制用戶對企業的計算機系統內的個人標識信息(PII)對象或資源的訪問的條件訪問工具的實現和使用。
背景技術：
計算和通信技術上的發展通過使人們以及機構能夠存儲和處理大量的個人信息而不斷使保密性降低。為了實現數據的保密性，必須保護所存儲的數據、傳送中的數據，並對數據的發布進行某種控制。由於所存儲數據的保護在某種程度上被出現的保密性策略語言以及它們的施行所涵蓋，因此目前不存在確保其正確使用因而控制企業計算工具內的個人標識信息的發布的機制。
傳統上，管理計算機系統的安全需要將一個機構的安全策略映射為一個相對較低級別的控制集合，其通常為訪問控制列表。即，假設各個用戶(個人或邏輯過程)首先以滿足條件的方式向計算機系統進行標識和認證，然後，他們對該受保護的計算機系統內的文檔、程序、工具和其他「對象」的訪問均由安全系統(例如系統安全管理器)來控制，這種控制僅通過將該用戶的名字與有資格訪問該指定對象的人員的名字列表進行比較來實現。一般而言，這種技術稱作自主訪問控制或DAC。
根據廣泛使用在美國政府以及其他地方的更加完善且成熟的用於計算機系統的安全的模型，對計算系統中的對象的訪問能夠由分割的邏輯系統來控制，該分割的邏輯系統是經由與用戶以及受保護的計算機資源對象相關聯的邏輯安全級別(其是分級的)和/或分類(其不是分級的)而實現的。這種系統稱作「多級安全」(「MLS」)系統，是由D.Bell和L.LaPadula在「Secure computer systemsMathematical foundations and model」(MITRE Report，MTR 2547，1973年11月)中定義的Bell-LaPadula安全模型的實現。
在MLS系統中，認為與最高安全級別和最大數量的分類相關聯(通過指派)的用戶在該系統中具有最高的安全級別。當請求用戶(在向計算系統進行適當的標識和認證之後)具有至少與被請求對象一樣高的相關安全級別並且該用戶具有包括與該被請求對象相關聯的分類在內的一組分類(一個或以上)時，向該用戶準予對該受保護對象進行讀取的權利。在這種情況下，認為該用戶「優於」該對象。相反，當被請求對象具有至少與請求用戶一樣高的相關安全級別並且該對象具有包括至少與該請求用戶相關聯的分類在內的一組分類時，向該用戶準予對MLS保護對象進行寫的權利。在這種情況下，認為該對象優於該用戶。根據這些準則，能夠看出，如Bell-LaPadula模型所定義的，當從一個對象讀取MLS保護信息並將其寫入另一個對象時，隨著該信息從較低安全級別移向較高安全級別和/或從較少分類移向更多的分類，該MLS保護信息只會變得更加安全。反過來，K.Biba在「Integrity considerations for secure computer systems」(Technical Report 76-372，U.S.Air Force Electronic Systems Division，1977)中描述了作為Bell-LaPadula模型的有效倒置的用於認證檢查的模型。Biba說明了數據和程序設計系統的完整性取決於該數據和在其創建中所使用的程序設計系統的完整性，以及用於確保這種完整性的處理模型。目前Bell-LaPadula(MLS)模型和該Biba模型的「MLS倒置」模型均在計算產業內使用，例如在作為國際商業機器公司(IBM)提供的z/OS作業系統的可選組件的程序產品Resource Access Control Facility(RACF)內使用。z/體系結構在2001年10月出版物號為SA22-7832-01、標題為「z/Architecture Principles of Operation」的IBM出版物中進行了描述。此外，RACF在IBM公司2002年9月的SA22-7683-03、標題為「z/OSV1R4.0 Security Server RACF Security Administrator’s Guide」的出版物中進行了描述。

發明內容
對於PII保護對象的控制的需求傾向於一種涉及所保護的對象和訪問它們的用戶的分類化的方法。可以以類似於向MLS受保護對象指派分類的方式向PII受保護對象指派目的。然而，對於PII數據對象的控制的需求基本上不同於對於MLS受保護對象的控制的需求，因為當越多的目的(可以訪問PII數據對象的目的)與PII數據對象相關聯時，PII數據對象需要的安全性越低。這是因為越大數量的目的意味著PII數據對象的保密性越低。即使在PII目的和MLS分類之間能夠引出相似之處，也不存在關於分級的MLS安全級別的類似相似之處。另外，傳統的MLS方法涉及用戶和對象，但是對於PII目的，我們不能僅僅考慮用戶，而必須考慮用戶和用戶正在運行的程序(進程)以及程序訪問PII數據的原因(目的)。因此，本領域中需要一種諸如這裡所提出的新穎的數據訪問控制工具，該工具實現有效的保密模型並且能夠準確地控制個人信息的發布和傳播，而無需過度地限制例如通過企業的信息流。
在一個方面，本發明提供一種實現用於控制對PII數據對象的訪問的數據訪問控制工具的方法。這種方法包括向PII數據對象指派PII分類標籤，其中PII數據對象具有一個指派給其的PII分類標籤；定義至少一個PII目的服務功能集合(PSFS)，該至少一個PII目的服務功能集合包括對PII數據對象進行讀、寫或重新分類的應用功能的列表；以及向每個PSFS指派PII分類標籤，其中經由具有與PII數據對象的PII分類標籤相同或是其真子集的PII分類標籤的PII PSFS的應用功能，該PII數據對象僅可訪問。
在一個實施例中，PII數據對象可由具有與該PII數據對象的PII分類標籤相同或優於其的PII分類標籤的PII PSFS的應用功能寫入。該PII數據對象可由具有對於該PII PSFS被允許的PII重新分類的列表的PII PSFS的應用功能寫入。
在一個實施例中，該方法包括識別調用上述數據訪問控制工具的特定功能的用戶；以及向所識別的用戶指派PII許可集合，其中該PII許可集合包括所識別用戶的一個或多個PII分類標籤的列表。
上述指派給PII數據對象的PII分類標籤可包括該PII數據對象的所有者的標識。
上述指派給PII數據對象的PII分類標籤可包括可使用該數據對象的至少一個目的的指示。
該方法可包括步驟最初定義企業內使用上述數據訪問控制工具的PII目的；以及在定義上述指派給PII數據對象和指派給至少一個PSFS的PII分類標籤中使用這些PII目的。
在本發明的另一方面，提供一種數據訪問控制方法，包括由數據訪問控制工具的用戶調用特定功能，所述數據訪問控制工具具有指派給PII數據對象和至少一個PII目的服務功能集合(PSFS)的個人標識信息(PII)分類標籤，該PSFS包括對PII數據對象進行讀或寫的應用功能的列表，其中該數據訪問控制工具的用戶被指派了PII許可集合，該用戶的PII許可集合包括含有至少一個PII分類標籤的列表；確定上述特定功能是否被定義為上述數據訪問控制工具的至少一個PII PSFS的PII PSFS，如果是，則確定該用戶的PII許可集合是否包括與指派給該PII PSFS的PII分類標籤匹配的PII分類標籤，如果再次是，則允許對該特定功能的訪問；以及確定該用戶是否被允許訪問所選擇的數據對象以執行該特定功能。
該數據訪問控制方法可以包括，在所述調用步驟之前，在上述數據訪問控制工具的安全控制下的作業系統內建立進程。然後，所述調用發生在所述建立的進程中。
確定上述特定功能是否被定義的步驟可以包括如果上述特定功能未被定義為上述數據訪問控制工具的PII PSFS，並且對於所建立的進程先前已設置了當前進程標籤(CPL)，則拒絕對該特定功能的訪問。
確定該用戶是否被允許訪問所選擇的數據對象以執行特定功能的步驟可以包括確定所選擇的數據對象是否包括PII數據對象，如果是，則驗證該用戶的特定功能是否被定義為上述數據訪問控制工具的至少一個PIIPSFS的PII PSFS，如果不是，則拒絕對所選擇的數據對象的訪問。
確定該用戶是否被允許訪問所選擇的數據對象以執行特定功能的步驟可以包括如果所選擇的數據對象不是PII數據對象，則確定對於所建立的進程是否已設置了當前進程標籤(CPL)。如果還未設置CPL，則該方法可包括通過自主訪問控制檢查呈遞對所選擇的數據對象的訪問判定。
確定該用戶是否被允許訪問所選擇的數據對象以執行特定功能的步驟可以包括如果對於該進程先前已設置了CPL並且所選擇的數據對象不是PII數據對象，則確定該特定功能是否是讀操作，如果是，則通過自主訪問控制檢查呈遞對所選擇的數據對象的訪問判定，如果該特定功能不是讀操作，則拒絕從所建立的進程對所選擇的數據對象的訪問。
確定該用戶是否被允許訪問所選擇的數據對象以執行特定功能的步驟可以包括確定該特定功能是否包括讀操作，如果是，則確定指派給該特定功能被定義成的PII PSFS的PII分類標籤是否與關聯於所選擇的數據對象的PII分類標籤相同或是其真子集，如果不是，則拒絕對所選擇的數據對象的訪問，如果是，則將所選擇的數據對象的PII分類標籤增加到所建立的進程的當前進程標籤(CPL)列表中。
確定該用戶是否被允許訪問所選擇的數據對象以執行特定功能的步驟可以包括確定該特定功能是否為讀操作，當為是時，確定所建立的進程的當前進程標籤(CPL)列表是否存在，如果不存在，則允許經由自主訪問控制檢查進行對所選擇的數據對象的訪問判定。
如果所建立的進程的CPL列表存在，則該數據訪問控制方法可以包括確定所選擇的數據對象的PII分類標籤是否與每個CPL條目相同或是其真子集，如果是，則允許經由自主訪問控制檢查來進行對所選擇的數據對象的訪問判定。
如果該PII數據對象的PII分類與每個CPL列表條目的PII分類標籤不相同或不是其真子集，則該方法可以包括確定該特定功能被定義成的PIIPSFS是否允許從CPL列表中的PII分類標籤重新分類到PII數據對象的PII分類標籤，如果是，則允許經由自主訪問控制檢查來進行對所選擇的數據對象的訪問判定，否則，拒絕該用戶對該PII數據對象的訪問。
該數據訪問控制方法可以包括提供所建立的進程的當前進程標籤(CPL)列表，該CPL列表包括在所建立的進程內讀取的每個PII數據對象的PII分類標籤的動態列表。
該數據訪問控制方法可以進一步包括步驟當該特定功能是對第二PII數據對象的寫操作時，在確定是否允許所建立的進程的用戶訪問第二PII數據對象時使用上述CPL列表。第二PII數據對象可具有與關聯於從中讀取信息的PII數據對象的PII分類標籤不同的PII分類標籤，從而對所讀取的信息進行重新分類。
該數據訪問控制方法可以包括提供與上述至少一個PII PSFS關聯的「允許的重新分類」的參數，其中如果「允許的重新分類」參數被設置，則該參數與在對應的至少一個PII PSFS內定義的所有功能相關聯，並且當向具有與CPL列表中包含的每個PII分類標籤不相同或不是其真子集的PII分類標籤的PII數據對象寫入信息時，該參數允許用戶執行這些功能的一個以對PII數據對象進行重新分類。
本文還描述和要求保護對應於上面概述的方法的系統和電腦程式產品。該電腦程式產品可以作為記錄在記錄介質上的電腦程式來獲得或用於通過數據傳輸介質下載。該系統可以實現數據訪問控制工具。
此外，通過本發明的技術可以實現其他的特徵和優點。本發明的其他實施例和方面也在本文中進行了詳細描述並且被認為是所要求保護的本發明的一部分。


在說明書結尾處的權利要求中具體指出並清楚地要求了被認為是本發明的主題。從下面結合附圖所作的詳細描述中，本發明的上述和其他特徵以及優點將顯而易見，其中
圖1示出了根據本發明一個方面用於利用指派給其的由數據訪問控制工具使用的PII分類標籤存儲個人標識信息(PII)對象的方法的一個例子；圖2根據本發明一個方面示出了引入並使用數據訪問控制工具的一個或多個方面的計算環境的一個實施例；圖3是根據本發明一個方面示出了當用戶從PII數據對象讀取數據和向其寫入數據時所建立的進程內產生變化的用戶當前進程標籤(CPL)的一個可行例子；圖4是根據本發明一個方面由PII數據訪問控制工具實現的處理的一個實施例的流程圖；圖4A是根據本發明一個方面用於確定用戶是否能夠使用特定功能的一個邏輯實施例的流程圖；圖4B是根據本發明一個方面用於確定是否允許發生數據訪問的一個邏輯實施例的流程圖，包括確定所請求的對象是否包括PII數據對象；圖4C是根據本發明一個方面用於當所期望的特定功能包括讀操作時確定用戶是否能夠作為PII可控進程繼續的一個邏輯實施例的流程圖；以及圖4D是根據本發明一個方面用於當所期望的特定功能包括寫操作時確定用戶是否能夠作為PII可控進程前進的一個邏輯實施例的流程圖。
具體實施例方式
這裡提出的是為個人標識信息(PII)提供安全性的數據訪問控制工具。根據這一工具，對PII信息的訪問是以能夠在計算機進程的執行期間或之前存在(或有效的)的各種「條件」為基礎的，其中的計算機進程是其中發生了對保密的分類計算機化資源(這裡泛指「對象」或「數據對象」)的訪問的計算機進程。這種條件可包括但並不限於(1)在其中用戶已請求訪問PII對象的應用功能；(2)用戶怎樣向該計算工具進行標識和認證；(3)用戶所處位置；(4)請求的時間；以及(5)能夠用程序設計確定的其他上下文和環境因素。
根據本發明的一個方面，存在多種將條件應用於任何指定訪問控制檢查事件的方法。例如，(1)當用戶試圖訪問一個PII敏感的對象時，可根據有效的條件向該用戶動態指派保密性分類；或(2)可根據類似的、有時是相同的條件代替地(或同樣地)對於對象的保密性分類進行動態指派。因此，如這裡所提出的數據訪問控制工具根據訪問事件情況的動態性，有利地允許用戶或計算機進程訪問PII分類對象和功能的不同「集合」，從而增加需要訪問個人標識信息的信息進程的靈活性並增強其安全性。
廣義地說，這裡(在一個方面)公開的是一種用於實現數據訪問控制工具的技術，其包括向PII對象指派個人標識信息(PII)分類標籤，每個PII對象具有一個指派給它的PII分類標籤。定義至少一個PII目的服務功能集合(PSFS)，其包括讀、寫或重新分類PII數據對象的應用功能的列表。也向每個PSFS指派PII分類標籤。在使用時，PII對象經由具有與該對象的PII分類標籤相同或是其子集的PII分類標籤的PII PSFS的應用功能只可讀取，或經由具有與該對象的PII分類標籤相同或優於其的PII分類標籤、或具有該PSFS所允許的PII重新分類的列表的PII PSFS的應用功能僅可以寫入。
可行地，該數據訪問控制工具的用途包括由在計算系統內執行的計算應用的用戶調用特定功能；確定該特定功能是否被定義為該數據訪問控制工具的PSFS，如果是這樣的話，確定該用戶的PII許可集合(包括具有至少一個PII分類標籤的列表)是否包括與指派給該PSFS的PII分類標籤匹配的PII分類標籤，如果是這樣的話，則允許訪問該特定功能；以及確定該用戶是否被允許訪問所選擇的對象以執行該特定功能。因而，如下面進一步說明的，根據本發明一個方面的PII數據訪問控制工具被用來初始確定用戶是否有資格訪問一個特定功能，隨後確定是否允許該用戶訪問所選擇的數據對象。在更詳細地論述該PII數據訪問控制工具之前，定義下述邏輯結構。在本文論述的例子中，假定該PII控制工具用於醫療機構。這種假設只是作為示例。
PII分類標籤
列出PII數據對象的所有者，包括由該所有者選擇的可以使用這樣分類的PII數據對象的一個或多個目的的列表。例如所有者；用戶Idx、目的；醫療、護理、報告、記帳。包含在PII受保護數據對象內的信息的隨後使用者僅能夠基於由初始所有者所允許的並在PII分類標籤中所指定的目的來使用該信息。可以使用該PII對象的目的包含在允許用戶相對於該數據來執行的功能中。
PII目的服務功能集合(PSFS)讀/寫PII對象的應用功能的列表。PSFS其自身以一個特定的PII分類標籤來標記。一個給定的PSFS內的功能的列表可包括具體程序；應用；應用內的功能，諸如EJB(Enterprise Java Bean)、方法、資料庫管理啟動過程、SQL查詢等等。PSFS可以任選地包括如果以及當執行該指定的PSFS的用戶向一個PII對象寫入數據時該指定的PSFS所允許的PII分類變化(重新分類)的列表，其中的PII對象具有包括當前進程標籤(CPL)內所存儲的PII標籤中所不包括的目的的PII標籤，其中在該當前進程標籤(CPL)中記錄了該用戶先前在同一計算機作業系統進程內所讀取的PII數據的PII標籤。
PII數據對象具有相關聯的PII分類標籤的任何資源、文檔、程序、工具等。一個給定的PII對象可只具有一個PII分類標籤。PII數據對象的所有者包括在與該對象以及可使用該對象的目的相關聯的標籤中。因為在訪問控制檢查期間在PII訪問控制檢查即本發明的主題在整個訪問控制檢查過程中已完成自身部分之後的某一點，PII數據對象的所有者開始起作用，所以為了完整性，在此解釋中將PII數據對象的所有者包括在內。更具體地，PII受保護數據對象的所有者僅可以訪問它們自己的數據對象而不是由另一所有者擁有的PII受保護數據對象，這一概念由本領域內稱作DAC的自主訪問控制檢查所施行。
主體用戶ID和組ID(用戶組ID)包括(PII數據的)所有者，和企業用戶，即訪問數據對象並且由企業安全管理員給予了許可以利用作為他們的企業功能的一部分的特定目的服務功能集合來執行功能的人員。
用戶PII許可集合指派給企業用戶的PII分類標籤的列表。用戶PII許可集合建立從其內用戶被授權執行企業內的功能的目的服務功能集合。例如，管理員可能具有{報告}，{記帳，報告}的PII許可集合，從而被授權執行在具有{報告}或{記帳，報告}的PII標籤的目的服務功能集合中定義的功能。醫生可能具有{醫療}，{醫療，報告}的PII許可集合，從而被授權執行在具有{醫療}或{醫療，報告}的PII標籤的目的服務功能集合中定義的功能。護士可能具有{護理}，{醫療，護理}的PII許可集合。
PII當前進程標籤(CPL)動態指派給用戶的作業系統進程並且在用戶訪問PII受保護對象時相應更新的PII標籤。CPL被動態地更新以包含用戶在給定的計算機作業系統進程期間讀取的任何PII對象的PII標籤的記錄。
假設安全管理員為特定的企業創建PII數據訪問控制工具。在管理上，實現該工具可包括1)安全管理員向安全管理器定義一組有效的目的，該安全管理器諸如IBM的包括PII數據訪問控制工具的RACF。以醫院為例這個企業有效的PII目的可以包括目的1(例如醫療)目的2(例如護理)目的3(例如記帳)，......
目的n(例如報告)。
2)安全管理員向各種資源/對象指派PII標籤。
對象名稱(例如概要醫療記錄)PII分類標籤(例如{醫療，報告})。
3)安全管理員定義正在進行活動的各個用戶和用戶組。例如，用戶可能每日變化。
將用戶ID-a(例如，作為病人的用戶)增加到組PATIENTS將用戶ID-x(例如，作為護士的用戶)增加到組NURSES將用戶ID-y(例如，作為醫生的用戶)增加到組DOCTORS。
4)安全管理員對於每個適當的用戶指派用戶PII許可集合。例如用戶ID-x(例如，作為護士的用戶)PII許可集合(例如[{護理}，{醫療，護理}])。
5)安全管理員向安全管理器定義目的服務功能集合。
PSFS姓名1相關聯的程序功能的列表程序x方法yEnterprise Java Bean z。
6)安全管理員向PSFS指派PII標籤PSFS姓名1-PII分類標籤。{醫療，護理}。
7)安全管理員指派當該PSFS被用於對一個PII對象進行寫時允許發生的PII重新分類允許的重新分類從{醫療，護理}到{醫療，報告}。一個給定的PSFS可具有在其執行期間所允許的多個重新分類(從而形成列表)。
圖1根據本發明一個方面示出了個人標識信息(PII)所有者10(諸如醫療機構例子中的病人)將諸如完整醫療記錄14、概要醫療記錄16和病人財務記錄18的PII對象輸入到關係資料庫管理系統和存儲器12(或對其進行訪問)的一個例子。可行地，病人10可以調用為病人使用而創建的目的服務功能集合(PSFS)中的特定功能。這個特定功能可用於存儲關係資料庫管理系統內的PII數據對象，該關係資料庫管理系統諸如由國際商業機器公司提供的DB2關係資料庫管理系統，其在2002年10月的SC26-9937-02出版物「DB2 UDB for OS/390 V7 an Introduction to DB2 forOS/390」中進行了描述。數據可存儲在具有適當的預定PII分類標籤的各個表-行-列位置。其後該病人的個人數據存在於具有不同的PII分類標籤的各PII數據對象中。在圖1的例子中，僅以舉例的方式示出了標籤{醫療，護理}，{醫療，報告}和{記帳，報告}。隨後，病人可通過指定的PSFS功能查看他們自己的PII數據對象，這將僅允許特定的病人查看該病人作為所有者的PII對象。
圖2示出了實現諸如這裡公開的PII數據訪問控制工具的企業計算環境的一個例子。在這個例子中，諸如PII數據的所有者和/或企業員工的用戶21通過網際網路22並穿過防火牆24訪問在企業內部的伺服器上運行的事務管理器25。可選地，防火牆24內側的用戶21a能夠直接訪問包含事務管理器25的伺服器。在這個例子中，同樣存在於該伺服器上的關係資料庫管理系統26訪問包含在關聯存儲器27中的表28中的PII標記對象29。對象存儲庫27可以採用任何所期望的形式。諸如上述引用的由國際商業機器公司作為z/OS作業系統的一個選項而提供的RACF的安全管理器30查詢由企業的安全管理部門32維護的安全註冊庫31。註冊庫31可以定義具有相關聯的PII標籤的用戶，包括組和目的，並且可以定義對象分類，包括訪問規則、核查控制等等。
可行地，如下面更詳細說明的，用戶對事務管理器執行特定功能(其在PSFS內可能被定義或未被定義)的請求導致在作業系統內創建一個「進程」。這能夠作為來自通過網際網路連接到該計算系統的用戶或來自本地連接的用戶(例如，員工)的請求的結果而發生。由事務管理器調用包括本發明主題的PII數據訪問控制工具的作業系統平臺安全管理器以確定該用戶執行所請求的功能的授權。一旦被批准，該功能開始執行，並且隨後作為其自身正常處理的一部分經由事務管理器生成對於(假定)在關係資料庫管理系統控制下的PII標記數據的請求。該資料庫管理系統調用安全管理器來確定是否允許該請求用戶訪問所期望的PII對象。該安全管理器呈遞基於例如與所請求的對象關聯的PII標籤、與該用戶關聯的PII標籤以及該對象的其他相關訪問規則的判定。此外，這些PII標籤和其他訪問規則可以由安全管理員建立和維護並且存儲在安全管理器可尋址的安全註冊庫中。
圖3根據本發明一個方面示出了在醫院環境內使用目的服務功能集合的信息流。
在這個例子中，諸如醫生的用戶籤約使用該工具並且從他當前的作業系統進程試圖執行一個特定的應用功能。該用戶已由企業安全管理部門指派了一個用戶PII許可集合，在這個例子中假定該PII許可集合包括[{醫療}，{醫療，報告}，{醫療，護理}]。如果該特定功能處於一個PII目的服務功能集合(PSFS)內，則該用戶的PII許可集合必須包括指派給該PSFS(見圖4A)的PII標籤以便該用戶被允許執行該特定功能。例如，諸如醫生的用戶使用PSFS分類標籤「醫療」41能夠從關係資料庫管理系統44中讀取「完整醫療記錄」。一旦讀取具有PII標籤{醫療，護理}的「完整醫療記錄」，用戶的當前進程標籤(CPL)便被設置成該數據的標籤，從而將讀取的任何數據的標籤的「歷史」保存在該用戶的當前作業系統進程中。該CPL稍後在授權處理部分期間在從該進程內部發生的任何寫操作之前被引用，以確保只有PII數據被寫入到其他具有同樣或更少目的的標籤的PII標記數據對象，或使用具有已被讀入到該進程中的PII數據和正被寫出的PII數據的這種特定組合的PSFS來允許PII數據重新分類。例如，在其用戶許可集合內具有用戶許可{醫療，報告}並因此能夠執行在具有PII標籤[{醫療}]的目的服務功能集合「PSFS-D」內定義的功能的用戶，能夠對「完整醫療記錄」進行讀取而不能對其進行寫入，並且因為PSFS-D是允許的，所以從{醫療，護理}到{醫療，報告}的PII重新分類既能夠對「概要醫療記錄」進行讀取也能夠對其進行寫入。相反地，用戶不能夠調用在具有用戶的PII許可集合內未定義的PII分類標籤的PSFS內定義的功能，從而不能訪問用戶的PII許可集合的範圍之外的PII對象。例如，圖3的用戶1不能對「病人財務記錄」進行讀或寫。
圖4-4D根據本發明一個方面詳細示出了PII數據訪問控制工具的上面介紹的處理的一個例子。參照圖4，PII控制工具的使用開始於用戶向事務管理器發出請求(步驟50)以執行在目的服務功能集合(PSFS)內可能定義的預先建立的應用功能(步驟60)。這導致其中事務管理器自身執行的作業系統平臺內「進程」的邏輯創建。同樣在該作業系統平臺中執行或與其邏輯連接的是實現這裡公開的個人標識信息(PII)概念的數據訪問控制工具。下面結合圖4A描述用於處理用戶執行一個功能的嘗試的邏輯的一個例子。假定允許用戶訪問該特定功能，則事務管理器為該用戶請求對所選擇的PII數據對象的訪問(步驟70)。安全管理器被調用來確定該用戶是否被允許訪問所選擇的PII對象(步驟80)，並且該安全管理器呈遞是否允許該用戶訪問的判定。是否允許該用戶訪問所選擇的PII數據對象的判定部分地取決於該特定功能是否涉及讀或寫(步驟90)。圖4B-4D中呈現了用於確定是否允許訪問特定PII數據對象的邏輯的一個實施例。
如所指出的，圖4A是當用戶試圖執行一個特定功能時所實現的處理的一個例子。作為一個例子，可以從圖4的步驟60調用該處理。最初，用戶指定一個特定應用功能(步驟102)，且安全管理器處理確定該功能是否被定義為PSFS(步驟104)。如果該特定功能未被定義為PSFS(步驟104)，則安全管理器處理確定先前是否已經設置了當前進程標籤(CPL)(步驟105)，如果是這樣的話，安全管理器處理返回到圖4，對該特定功能的訪問被拒絕(步驟110)。如果先前未設置當前進程標籤(CPL)，則安全管理器處理僅是返回到圖4(步驟106)，以進一步評估該用戶是否被允許訪問所選擇的數據對象。如果該特定功能被定義為PSFS(步驟104)，則安全管理器處理確定該用戶的PII許可集合是否包括指派給該PSFS的PII分類標籤(步驟108)。如果該用戶的許可集合不包括指派給該PSFS的PII分類標籤，則拒絕該用戶訪問該功能且處理返回到圖4。
如果該用戶的許可集合確實包括指派給該PSFS的PII分類標籤(步驟108)，則應用處理通過步驟112繼續，直到該應用在某一點通過事務管理器向PII數據對象發出請求(圖4中的步驟70)，而該事務管理器將該請求傳遞給調用安全管理器的資料庫管理器(例如DB2)(圖4中的步驟80)，而該安全管理器則確定該用戶是否被授權訪問該受保護的數據對象並呈遞判定(圖4中的步驟90)，而該判定則被返回給資料庫管理器以便進行適當的動作。
圖4B示出了當評估是否允許一個用戶訪問所選擇的PII數據對象時能夠由安全管理器實現的判定處理的一個例子。最初，該處理確定該對象是否具有PII標籤(步驟120)。如果不具有，並且先前未對該用戶的進程設置當前進程標籤(步驟125)，則安全管理器處理通過常規的自主訪問控制檢查呈遞訪問判定(步驟127)。自主訪問控制(DAC)檢查是一種用於進行訪問控制檢查的方法，並且其籍由作業系統的安全管理器的工具而以與所保護的資源/對象關聯的訪問控制規則為基礎，該安全管理器例如是國際商業機器公司利用z/OS作業系統提供的RACF安全管理器。其他事務之間的訪問控制規則包含具有用於特定用戶和用戶組的訪問方式條目的訪問控制列表(ACL)。當不存在與所保護的對象關聯的PII標籤(目的)時，並且在PII標籤處理已經發生之後，可使用DAC檢查以進一步限定(或精準)該訪問控制判定。如同PII訪問控制檢查的DAC檢查可以使用作為對於對象的特定活動的訪問方式。有關DAC檢查的訪問方式的實例包括創建、刪除、更新、限制讀的更新、以及讀取。在IBM的RACF中稱作「資源簡檔」的訪問規則同時也被指定。一般而言，這種規則採用形式「主體」能夠對「對象」執行訪問方式。此外，在圖4B的處理中的這一階段可以使用任何自主訪問控制檢查方法。在步驟127，自主訪問控制檢查呈遞是否允許用戶訪問所選擇的對象的判定。這一判定或是允許訪問(步驟132)或是拒絕訪問(步驟134)。可以在2002年9月SA22-7683-3的IBM出版物「Z/OS V1R4.0 Security Server RACF SecurityAdministrator’s Guide」中找到自主訪問控制(DAC)的進一步說明。如果先前已經對於用戶「進程」設置了CPL(步驟125)，則安全管理器處理確定該特定功能是否是讀操作(步驟126)。如果是這樣的話，則使用例如DAC檢查呈遞是否允許訪問該對象的判定(步驟127)。如果該特定功能不是讀操作，則拒絕訪問(步驟134)，因為在將一個PII受保護對象讀入到一個計算機作業系統進程之後就不允許從該進程對非PII受保護對象進行寫入。
假定該對象具有一個PII分類標籤，則安全管理器處理確定該用戶是否正在執行PSFS功能(步驟122)。如果是這樣的話，則處理前進到圖4C(步驟124)。否則，由於所選擇的對象具有一個PII標籤並且該用戶未在執行PSFS功能，從而PII標籤處理拒絕訪問(步驟134)。
在從圖4C或圖4D返回(步驟130)時，安全管理器處理確定訪問是否已經被PII標籤處理所拒絕(步驟128)。如果不是，則使用例如自主訪問控制檢查來呈遞該訪問判定(步驟127)。否則，訪問被拒絕(步驟134)。假定該用戶正在執行PSFS功能，則處理(圖4C)確定該用戶是否正在執行讀操作(步驟140)。如果不是這樣，則該用戶肯定在執行寫操作，於是繼續進行圖4D的處理。如果是這樣，則確定PSFS的標籤是否與該PII對象的標籤相同或是其一個真子集(步驟142)。如果不是，則處理返回到圖4B(步驟145)，並且用戶被PII標籤處理拒絕訪問，因為這一PII對象不能利用這一特定的PSFS來進行讀取。如果步驟142為是，則該PII對象的標籤作為一個條目被添加到CPL中(步驟143)。這可能是CPL中的第一個條目或是現有CPL的附加條目。如果一個條目已經存在於與PII對象的標籤相同的CPL中，則跳過這一步驟。現在，處理返回到圖4B(步驟144)，並且PII標籤處理不拒絕該用戶訪問該PII對象。
如果該用戶未在執行讀操作，這意味著該用戶正在執行寫操作，則安全管理器處理從步驟140前進到圖4D，以首先確定該用戶的進程的當前進程標籤(CPL)先前是否已經被設置過(步驟150)。如果不是，則處理返回到圖4B(步驟151)，該用戶的進程作為PII可控進程繼續，並且該用戶被允許將非PII數據寫入到現有的PII數據對象中。如果在步驟150為是，則確定該PII對象的標籤是否與每個CPL條目(可能只有一個)的標籤相同或是其一個真子集(步驟152)。如果是，則該處理返回到如上所述的圖4B以繼續(步驟151)。如果在步驟152為否，則在步驟153確定該PSFS是否具有足夠的權限來將PII對象從CPL中的標籤重新分類到正在被寫入的PII對象中的標籤。如果為否，則在步驟154，處理返回到圖4B，拒絕用戶訪問該PII數據對象。如果在步驟153為是，則處理返回到如上所述的圖4B以繼續(步驟151)。
下面是本發明所公開的幾個概念的理論基礎的形式表現。假定存在對象O、主體S和動作A的集合。此外，每個動作aA可以被解釋為具有讀方式或寫方式。用目的集合來標記主體和對象。若且唯若11m12時，標籤11優於標籤12；即目的集合11是目的集合12的超集。通常，為了讀取本發明所保護的PII數據，用戶必須執行並因此被授權(或許可)執行PSFS，該PSFS自身具有優於由該用戶正在試圖讀取的數據的標籤的PII標籤。即，該PSFS以及正在執行它的相關用戶必須具有存在於正被讀取的PII對象的標籤中的具有一個或多個目的的PII標籤。
保密性標籤個人數據的每個實例都具有關聯標籤。標籤L包含一組目的；這些是該個人數據的所有者已經允許的目的。具有多個目的的對象具有較低的保密性，因此，除非在特別定義的環境中，否則在對象之間流動的數據只能夠從具有多個目的的對象流向具有較少目的的對象。因此，當數據在計算期間流過該系統時，它的標籤變得更受限制，除非特別控制的環境(處理)允許該數據以受控的方式被重新分類。
該標籤集合形成具有安全類格的基本屬性的先序。該格中的每個元素是可能的標籤中的一個。標籤按限定關係[所定義的偏序而存在。被寫作為BOT的最低限定性的標籤對應於能夠流向任何地方的數據；最大可能的限定性TOP對應於不能流向任何地方的數據；它不能被任何人讀取。隨著在該格中上升，標籤變得更加具有限定性。在該格中，數據總能夠向上被重新標記，這意味著它能夠被用於較少的目的，因為限定不會引起可能的信息洩漏。應該指出，標籤BOT對應於公共信息；即，不包括個人信息的數據。
如果新標籤包括相同或更少的目的，則個人數據的重新標記是一種限定。表達式L1[L2意味著L1的限定性小於或等於L2的限定性，並且數據能夠如下面表達式所表示的從標籤L1重新標記為L2，其中操作符r表示超集關係。
L1[L2hL1rL2，也可以說若且唯若L1[L2時標籤L2優於標籤L1。
當計算(或由PSFS表示的動作)對分別標記有L1和L2的兩個值進行組合時，結果應當具有施行由L1和L2指定的所有使用限定(最低限定性)的標籤。施行L1和L2中的所有策略的最低限定性的策略集僅是兩個策略集的交集。較低限定性的標籤是記作L17L2的L1和L2的最小上界或它們的並；L17L2hL13L2。例如，組合對象(例如，包含地址和信用卡號的記錄)只能夠用於目的的交集。
例如，假定一個格具有的標籤由三個以上目的組成記帳、醫療和報告。這樣的格可由它的哈塞圖(描述於「Implementing DiscreteMathematicsCombinatorics and Graph Theory with Mathematica」中的§5.4.2，Skiena，S.的″Hasse Diagrams″，Reading，MAAddison-Wesley，163，169-170，和206-208頁，1990年)表示，其中「較低限定性的」關係[由下至上具有被省略的傳遞性且自反的邊。可用於醫療和報告目的的對象將被標記為{醫療，報告}。來自這個對象的數據可被複製到具有標籤{醫療}或具有標籤{報告}的對象中。為了能夠讀取該對象，主體(或用戶)必須具有有效標籤{醫療}、{報告}或{醫療，報告}(從用戶正在執行的PSFS中獲得)。應當指出，由於默認的「下讀/上寫」屬性，在該格中信息只能夠向上流動。
此外還應當指出，包括在標籤L中的目的不表示權利而表示限定。因此，如果一個主體服務於至少一個與要讀取的PII對象關聯的目的，則該主體所服務的目的越少，其能夠讀取的對象就越多。
若且唯若與主體s關聯的目的與關聯於PII對象o的目的相同或是其一個子集時，主體s才可以讀取該對象o。
若且唯若與PII對象o關聯的目的與關聯於主體s的目的相同或是其一個子集時，主體s才可以對該對象o進行寫。
例如，具有標籤{記帳，報告}的用戶可以讀取具有標籤{記帳，醫療，報告}的對象並且可以對具有標籤{記帳}的對象進行寫。
良好格式的星型屬性如果將用戶的計算機作業系統進程的當前進程標籤(CPL)看作為「高水位標」，則它能夠在格中向上浮動而不是向下。當用戶利用給定的PSFS讀取各種個人數據時，CPL反映與所讀取的PII數據對象關聯的目的，因而在格中向上浮動，直到已達到該用戶的許可，其是該用戶已被許可(授權)執行的PSFS的一個功能。例如，用戶Jane可能被許可執行具有標籤{醫療}的PSFS。通過利用這一PSFS讀取標記為{醫療，報告}的對象，她的CPL變為{醫療，報告}。從標記為{醫療}的對象讀取信息使得她的CPL包括附加的條目{醫療}，從而正確地反映她已經讀入到她當前進程中的信息的標籤。使用她在這種狀態下的CPL，默認地，她將能夠執行PSFS以將她已經讀入到她的進程中的信息寫出到具有標籤{醫療}的PII對象中。應當指出，她正在將她已讀取的信息的某一部分從{醫療，報告}重新分類到{醫療}，但是這默認地是允許的，因為{醫療}比{醫療，報告}在格中要靠前(具有更少的目的或更多的限定性)。
到目前為止所討論的數據流和信息的結果重新分類在某些方面類似於MLS受控的處理環境中的數據流。但是，儘管MLS針對於能夠提供嚴格遵守基於安全原因而對計算機資源(例如，數據)進行分割化訪問控制的規則的工具的需求，但仍然存在對於根據企業指定的靈活規則允許PII的重新分類的保密性支持的需要。換句話說，保密性支持必須包括用於企業指定某些用戶(或用戶組)被授權將PII從一個特定的預定分類重新分類到另一特定的預定分類的方法，但是這僅在自身不能改變或由被授權執行它們的用戶所操作的預定功能集合的範圍內進行。這種需要由本發明的另一方面提供，即目的服務功能集合(PSFS)的定義和對其進行描述的條目的「允許的重新分類」結構。
所選擇的用戶被許可(授權)執行包括能夠並被允許對PII數據對象進行重新分類的任何/所有PSFS。我們稱這種概念為″良好格式的星型屬性″，其在本發明中被表示為由於用戶在企業中位置而已經被安全管理部門指派了的對PSFS的許可集合。
醫院示例為了說明在本發明內表示的概念，我們使用一個醫療機構作為舉例。醫生、護士、管理人員和病人作為PII信息出現在我們的示例中，其中該PII信息由通過醫院計算系統的病人的流所擁有並且由各醫院成員訪問和使用。接下來開始說明這個例子。
假定該醫院的保密性說明針對4個對象分類。一般記錄包括具有記帳和醫療目的以及可能更多目的的一般個人信息，諸如姓名、地址等等。醫療記錄包括只用於醫療目的的關於病人的醫療數據。概要醫療記錄僅用於記帳目的。它確切地包括什麼醫療數據進入帳單，例如，如保險單所規定的。財務記錄僅用於記帳目的。它包括保險明細、價格、發送帳單和付款的日期等等。
在醫院內部，存在作用於管理員、護士和醫生的原則。由下述信息保密策略管制訪問只有該醫院的醫生和護士能夠訪問被授權相對於存儲在醫療記錄中的詳細數據執行的目的服務功能集合。以這種方式，該醫院的醫生和護士被認為對於醫療記錄已經被「許可」。概要醫療記錄是醫院不對護士發布的機密信息。只有該醫院的管理部門和醫生能夠訪問這些數據。只有該醫院的管理部門能夠訪問財務記錄。一方面，存在專有的訪問權利醫生不能被許可讀取財務記錄而管理員不能被許可讀取醫療記錄。另一方面，信息只能通過概要醫療記錄從醫療記錄流入到財務記錄中。
利用被許可執行PSFS的「可信賴的主體」的能力，其中的PSFS已經由醫院計算機安全管理部門預定義為具有以可控方式安全且正確地進行重新分類甚至降級的能力，可給出醫院策略的另一規範。
首先管理員獲得許可執行具有PII標籤「報告」的目的服務功能集合內的功能並且醫生同樣獲得用於目的「醫療」的許可。這賦予雙方讀取概要記錄的可能性。另外，管理員能夠讀取財務記錄而醫生能夠讀取醫療記錄，反之則不然。最後，為了允許信息只以預定的、安全且正確的方式從醫療記錄流向概要記錄，例如可定義醫生的許成以包括標籤集合{{醫療}，{醫療，報告}}。這樣，醫生可通過執行對其她已經被許可的具有標籤{醫療}的PSFS來開始，該PSFS允許她讀取醫療記錄和概要記錄。然後通過執行其定義包括「允許的重新分類」子句從{醫療}到{醫療，報告}的PSFS，她被允許只通過包括在該PSFS內的企業定義的功能，將標記為{醫療}的PII降級到{醫療，報告}。應當指出，醫生不能對財務記錄進行讀或寫。
相應地，管理員可以通過執行具有標籤{報告}的PSFS而開始，該PSFS允許她讀取概要記錄以及財務記錄。然後，通過執行其定義包括「允許的重新分類」子句從{報告}到{記帳，報告}的PSFS，她被允許只通過包括在該PSFS中的企業定義的功能，將標記為{報告}的PII降級到{記帳，報告}。此外，管理員不能對醫療記錄進行讀或寫。
應當指出，經由醫生，信息只能從醫療記錄流向概要記錄，而經由管理員則從概要記錄流向財務記錄。
為了防止護士讀取概要記錄，可以引入附加目的的處理。護士(通過她們被許可執行的PSFS內定義的功能的方式)以及醫療記錄都具有標籤{醫療，護理}。從而，護士能夠對醫療記錄進行讀和寫而不能訪問其他對象。這完善了該示例策略的規範。
在該示例規範中，醫生不被允許對醫療記錄進行寫。這可被看作是一種限制。然而，該規範能夠擴展到通過改變醫生的PSFS許可以包括分別標記為{醫療}、{醫療，報告}、{醫療，護理}的多個PSFS來賦予她們這種附加的權利。因此，當醫生使用具有標籤{醫療，護理}的PSFS進行她的醫療工作時，她能夠對醫療記錄進行讀和寫。然而，當她欲進行管理工作時，她執行具有標籤{醫療}的PSFS內的功能來讀取醫療信息。當她決定將由標籤{醫療，護理}保護的一些詳細醫療信息「重新分類」到概要記錄時，她執行已經被預定義為具有進行重新分類的授權的PSFS，因而將PII從標籤{醫療，護理}降級到標籤{醫療，報告}。
優點本領域的技術人員將從上面的描述中注意，通過使用諸如本文所描述的數據訪問控制工具，當工作於敏感的個人標識信息(PII)對象時，安全管理員能夠根據滿足企業的業務需求的特定操作序列來定義和建立特定的計算機功能集合。這種預建立且可控的功能集合以及關聯的操作序列是僅能夠訪問這種PII對象的進程，因而確保這些PII對象能夠僅以企業保密策略所描述的方式被使用。所提出的該數據訪問控制工具是基於新的邏輯結構的，該邏輯結構包括根據對象所需的保密性級別(其解釋為該對象能夠被正當地使用的目的)將數據對象和用戶分類以及根據各個用戶所需的PII對象的許可將功能分組為被授權給用戶的目的服務功能集合的概念。此外，根據本發明的數據訪問控制工具允許用戶(或計算機進程)根據訪問事件情況的動態性來訪問PII分類的信息和功能的不同集合，從而增加需要訪問PII對象的信息處理的靈活性並增強其安全性。
本發明能夠被包括在具有例如計算機可用介質的製造物品(例如，一個或多個電腦程式產品)中。該介質具有包括在其中的例如用於提供並有助於本發明的能力的計算機可讀程序代碼手段。該製造物品能夠作為計算機系統的一部分被包括在內或單獨出售。
另外，可以提供至少一個機器可讀程序存儲裝置，其包括至少一個機器可執行以實現本發明的能力的指令程序。
本文所示出的流程圖僅僅是示例。在不脫離本發明的精神的情況下，可存在對於本文所描述的這些圖或步驟(或操作)的許多變化。例如，這些步驟可以按照不同的順序來執行，或這些步驟可以被增加、刪除或修改。所有這些變化都被認為是所要求保護的本發明的一部分。
儘管本文詳細示出和描述了優選實施例，但是對於本領域技術人員來說顯而易見的是，在下述權利要求中定義的本發明的範圍內能夠進行各種修改、增加、替換等等。
權利要求
1.一種實現數據訪問控制工具的方法，所述方法包括向個人標識信息數據對象指派個人標識信息分類標籤，其中個人標識信息數據對象具有一個指派給其的個人標識信息分類標籤；定義至少一個個人標識信息目的服務功能集合，該至少一個個人標識信息目的服務功能集合包括對個人標識信息數據對象進行讀或寫的應用功能的列表；以及向每一目的服務功能集合指派個人標識信息分類標籤，其中經由具有與個人標識信息數據對象的個人標識信息分類標籤相同或是其真子集的個人標識信息分類標籤的個人標識信息目的服務功能集合的應用功能，該個人標識信息數據對象僅可讀。
2.根據權利要求1的方法，其中經由具有與個人標識信息數據對象的個人標識信息分類標籤相同或優於其的個人標識信息分類標籤的個人標識信息目的服務功能集合的應用功能，該個人標識信息數據對象可寫。
3.根據權利要求1的方法，進一步包括識別調用上述數據訪問控制工具的特定功能的用戶；以及向所識別的用戶指派個人標識信息許可集合，其中該個人標識信息許可集合包括所識別用戶的一個或多個個人標識信息分類標籤的列表。
4.根據權利要求1的方法，其中上述指派給個人標識信息數據對象的個人標識信息分類標籤包括該個人標識信息數據對象的所有者的標識。
5.根據權利要求1的方法，其中上述指派給個人標識信息數據對象的個人標識信息分類標籤包括可使用該數據對象的至少一個目的的指示。
6.根據權利要求1的方法，進一步包括最初定義企業內使用上述數據訪問控制工具的個人標識信息目的；以及在定義上述指派給個人標識信息數據對象和指派給至少一個目的服務功能集合的個人標識信息分類標籤中使用這些個人標識信息目的。
7.一種數據訪問控制方法，包括(i)由數據訪問控制工具的用戶調用特定功能，所述數據訪問控制工具具有指派給個人標識信息數據對象的個人標識信息分類標籤和至少一個個人標識信息目的服務功能集合，該至少一個個人標識信息目的服務功能集合包括對個人標識信息數據對象進行讀、寫或重新分類的應用功能的列表並且具有指派給其的個人標識信息分類標籤，其中該數據訪問控制工具的用戶具有指派給其的個人標識信息許可集合，該用戶的個人標識信息許可集合包括含有至少一個個人標識信息分類標籤的列表；(ii)確定上述特定功能是否被定義為上述數據訪問控制工具的至少一個個人標識信息目的服務功能集合的個人標識信息目的服務功能集合，如果是，則確定該用戶的個人標識信息許可集合是否包括與指派給該個人標識信息目的服務功能集合的個人標識信息分類標籤匹配的個人標識信息分類標籤，如果是，則允許對該特定功能的訪問；以及(iii)確定該用戶是否被允許訪問所選擇的數據對象以執行該特定功能。
8.根據權利要求7的數據訪問控制方法，進一步包括在所述調用步驟之前，在上述數據訪問控制工具的安全控制下在作業系統內建立進程，其中所述調用發生在所述建立的進程中。
9.根據權利要求8的數據訪問控制方法，其中所述確定(ii)進一步包括如果上述特定功能未被定義為上述數據訪問控制工具的個人標識信息目的服務功能集合，並且對於所建立的進程先前已設置了當前進程標籤，則拒絕對該特定功能的訪問。
10.根據權利要求8的數據訪問控制方法，其中所述確定(iii)包括確定所選擇的數據對象是否包括個人標識信息數據對象，如果是，則驗證該用戶的特定功能是否被定義為上述數據訪問控制工具的至少一個個人標識信息目的服務功能集合的個人標識信息目的服務功能集合，如果不是，則拒絕對所選擇的數據對象的訪問。
11.根據權利要求8的數據訪問控制方法，其中所述確定(iii)進一步包括如果所選擇的數據對象不是個人標識信息數據對象，則確定對於所建立的進程是否已設置了當前進程標籤，如果沒有，則通過自主訪問控制檢查呈遞對所選擇的數據對象的訪問判定。
12.一種用於實現數據訪問控制工具的系統，所述系統包括用於向個人標識信息數據對象指派個人標識信息分類標籤的裝置，其中個人標識信息數據對象具有一個指派給其的個人標識信息分類標籤；用於定義至少一個個人標識信息目的服務功能集合的裝置，該至少一個個人標識信息目的服務功能集合包括對個人標識信息數據對象進行讀或寫的應用功能的列表；以及用於向每一目的服務功能集合指派個人標識信息分類標籤的裝置，其中經由具有與個人標識信息數據對象的個人標識信息分類標籤相同或是其真子集的個人標識信息分類標籤的個人標識信息目的服務功能集合的應用功能，該個人標識信息數據對象僅可讀。
13.一種數據訪問控制工具，包括(i)用於由數據訪問控制工具的用戶調用特定功能的裝置，所述數據訪問控制工具具有指派給個人標識信息數據對象的個人標識信息分類標籤和至少一個個人標識信息目的服務功能集合，該至少一個個人標識信息目的服務功能集合包括對個人標識信息數據對象進行讀、寫或重新分類的應用功能的列表並且具有指派給其的個人標識信息分類標籤，其中該數據訪問控制工具的用戶具有指派給其的個人標識信息許可集合，該用戶的個人標識信息許可集合包括含有至少一個個人標識信息分類標籤的列表；(ii)用於執行以下操作的裝置確定上述特定功能是否被定義為上述數據訪問控制工具的至少一個個人標識信息目的服務功能集合的個人標識信息目的服務功能集合，如果是，則確定該用戶的個人標識信息許可集合是否包括與指派給該個人標識信息目的服務功能集合的個人標識信息分類標籤匹配的個人標識信息分類標籤，如果是，則允許對該特定功能的訪問的；以及(iii)用於確定該用戶是否被允許訪問所選擇的數據對象以執行該特定功能的裝置。
14.一種機器可讀的程序存儲裝置，包括至少一個機器可執行以執行實現數據訪問控制工具的方法的指令程序，所述方法包括向個人標識信息數據對象指派個人標識信息分類標籤，其中個人標識信息數據對象具有一個指派給其的個人標識信息分類標籤；定義至少一個個人標識信息目的服務功能集合，該至少一個個人標識信息目的服務功能集合包括對個人標識信息數據對象進行讀或寫的應用功能的列表；以及向每一目的服務功能集合指派個人標識信息分類標籤，其中經由具有與個人標識信息數據對象的個人標識信息分類標籤相同或是其真子集的個人標識信息分類標籤的個人標識信息目的服務功能集合的應用功能，該個人標識信息數據對象僅可讀。
15.一種機器可讀的程序存儲裝置，包括至少一個機器可執行以執行用於控制數據訪問的方法的指令程序，所述方法包括(i)由數據訪問控制工具的用戶調用特定功能，所述數據訪問控制工具具有指派給個人標識信息數據對象的個人標識信息分類標籤和至少一個個人標識信息目的服務功能集合，該至少一個個人標識信息目的服務功能集合包括對個人標識信息數據對象進行讀、寫或重新分類的應用功能的列表並且具有指派給其的個人標識信息分類標籤，其中該數據訪問控制工具的用戶具有指派給其的個人標識信息許可集合，該用戶的個人標識信息許可集合包括含有至少一個個人標識信息分類標籤的列表；(ii)確定上述特定功能是否被定義為上述數據訪問控制工具的至少一個個人標識信息目的服務功能集合的個人標識信息目的服務功能集合，如果是，則確定該用戶的個人標識信息許可集合是否包括與指派給該個人標識信息目的服務功能集合的個人標識信息分類標籤匹配的個人標識信息分類標籤，如果是，則允許對該特定功能的訪問；以及(iii)確定該用戶是否被允許訪問所選擇的數據對象以執行該特定功能。
全文摘要
一種數據訪問控制工具通過向個人標識信息(PH)數據對象指派PH分類標籤來實現，每一PH數據對象具有一個指派給其的PH分類標籤。該控制工具進一步包括至少一個PH目的服務功能集合(PSFS)，該至少一個PH目的服務功能集合包括對PH數據對象進行讀或寫的應用功能的列表。每一PH PSFS也被指派了PH分類標籤。PH數據對象可由具有與該PH對象的PH分類標籤相同或優於其的PH分類標籤的PTI PSFS的應用功能來訪問。該控制工具的用戶被指派包含至少一個PH分類標籤的列表的PH許可集合，其被用於確定該用戶是否有資格訪問特定功能。
文檔編號G06F21/00GK1836195SQ200480023664
公開日2006年9月20日 申請日期2004年8月16日 優先權日2003年8月19日
發明者L·貝茨, J·達伊卡, W·法雷爾, R·古斯基, G·卡爾約斯, M·尼爾森, B·普費茨曼, M·申特爾, M·溫迪內 申請人:國際商業機器公司