CN1530792A - 用于保护电子数据对象免受非授权访问的方法和*** - Google Patents
用于保护电子数据对象免受非授权访问的方法和*** Download PDFInfo
- Publication number
- CN1530792A CN1530792A CNA2004100397120A CN200410039712A CN1530792A CN 1530792 A CN1530792 A CN 1530792A CN A2004100397120 A CNA2004100397120 A CN A2004100397120A CN 200410039712 A CN200410039712 A CN 200410039712A CN 1530792 A CN1530792 A CN 1530792A
- Authority
- CN
- China
- Prior art keywords
- data object
- access rights
- data
- user
- module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6236—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及一种保护电子数据对象免受非授权访问的方法和数据处理***。该方法包括步骤:a)根据电子数据对象的内容产生电子数据对象标识(56,57),b)根据数据对象标识确定访问权限(63),c)根据访问权限允许对电子数据对象的访问(65)。所述数据处理***具有可以访问电子数据对象的数据处理装置(1)和访问控制模块(7)。通过访问控制模块(7)按照数据对象的内容产生数据对象标识,并根据数据对象标识确定访问权限。访问权限包括如“读”、“写”和“执行”等的标准权限。本发明的优点在于,用于建立数据对象标识的信息可以存储在数据对象本身,并例如在对数据对象拷贝或发送时得到保持,由此保证访问权限的不变。
Description
技术领域
本发明涉及一种用于保护电子数据对象免受非授权访问的方法和实施该方法的数据处理***,以及一种其上存储有用于在数据处理装置实施该方法的信息的存储介质。
背景技术
电子数据对象的日益增长的应用要求越来越多的用于保护电子数据对象免受非授权访问的智能机制。在此,数据对象例如可以是用于存储或放置信息的单个的文件、综合成的文件***或者文件结构。对数据对象的保护在由多人使用的并且可以从其上调用保密信息的工作场所尤其重要。除了其它之外,这种信息出现在医疗工作环境,在试验室、研究、开发等环境或者进行人口统计的工作环境。基本上,尤其是关于个人的信息需要特殊的保护措施。
公知的保护机制是基于对数据对象的加密。但是,对数据对象的加密和解密尤其是在规模大的数据对象时要花费多的时间,因此在必须是工作方式合理化和经济的工作环境内是不实用的。此外,对于加密***的足够可靠的密码的相应操作也构成了一种引人注目的花费。尤其是对于加密***的变动只可以直接对数据存量本身进行,而对于数据对象(例如数据载体或者移动工作站)的其它拷贝是不够的。
另外,基于加密的对数据对象的保护不提供对删除数据对象的保护,并且不允许有区别的分配访问权限,例如对读、写或者删除访问的区分。尤其是,在非对称加密方法中在加密时就必须已经知道全部接收者,因为必须考虑每个接收者的公钥。
公知的还有在操作***层上对数据对象的保护,其中,依据在操作***上登录的用户的权限预先给定对数据访问的范围。数据访问权限的范围通过所谓的访问控制列表(ACL)确定,该列表通过操作***分配给文件***中的每个数据对象。在每个数据对象的ACL中列出对各操作***专用的依赖于用户的访问权限。
但是,迄今为止ACL是操作***或者文件***的组成部分,而不是仅仅在文件***内与数据对象拷贝时一同拷贝(即继承)的数据对象,而其在被拷贝到各文件***外时是得不到的。这点由于ACL的针对操作***的作用方式是不可能的。此外,在文件***内多次拷贝时出现的对于数据对象访问权限的变更同样不能集中地进行,因为其不能自动地转移到对数据对象的拷贝。
此外,例如在门诊环境中的医疗***或者在人员或财务管理***中优选的是将特定的功能不仅限制给特定的用户,而且还与要处理的数据相关。这样可以例如在门诊环境中将对患者隐私数据的全部的访问权限仅为主治医生设立可以读取的特例,而对于所有其它患者的数据允许所有的医生访问。另外,可以将例如实验报告的数据类型区别对待,对于这种报告原则上仅实验室人员应该有处理权限,而其它的医院人员仅需要阅读的权限。在其它例如银行或者人力管理的工作环境中类似的区分同样也是有意义的。
通常,对用户根据依赖于用户和当前***或域(domain)得到“创建”、“读取”、“更新”和“删除”权限(即对应于标准权限)的组合。称之为“执行”权限的功能性权限根据数据类型或者数据内容仅在应用程序内由应用程序本身给出。“执行”权限确定是否允许执行一种特定的功能,例如图像处理措施、对一数据组的评价、对电子患者病历的诊断等。对用户的标准权限的分配是独立于对功能性“执行”权限的数据相关的分配的。对功能性“执行”权限的数据相关的分配又是依赖于应用的,并因此可能以不希望的方式通过在不同的域的不同的应用被区别对待的。
常规的用于访问权限控制的一个特殊问题在于对数据对象的拷贝,例如通过电子邮件发送或者可携带存储器载体传输,该拷贝出现在数量上和范围上都在不可控制的范围内。由此,使得不可能对与内容关联的或者一致的拷贝或修改的拷贝事后集中地对访问权限进行变动。常规的控制机制由此不能对所有数据对象进行,因为数据对象的数目以及出现的地点是不知道的。
发明内容
本发明要解决的技术问题是,提供一种方法和一种数据处理***,用于赋予为了存储信息而存放的电子数据对象的访问权限,该访问权限的赋予使得可以从中心位置出发对包括所有拷贝在内的数据对象的访问权限进行变动。
本发明是通过一种方法、一种数据处理***以及一种存储介质解决上述技术问题的。
本发明的基本思路在于,提供一种用于保护为了存储信息而存放的电子数据对象免受非授权访问的方法,其中,在第一步骤中根据所述电子数据对象的内容产生一个电子数据对象标识,在下一个步骤中根据所述数据对象标识确定访问权限,而在最后一个步骤中根据所述访问权限允许对电子数据对象的访问。在此,数据对象被理解为文件或由一个文件或多个文件构成的对象或者一文件结构或目录结构。在此,访问权限既可以理解为标准权限又可以理解为功能性的“执行”权限。也就是通过可以自由定义的访问权限补充标准权限。
这种思路的基本要素在于,使用依赖于该数据对象内容的电子数据对象标识。由此,可以从数据对象自身出发确定访问权限。对于确定访问权限重要的数据对象的内容因为其本身也属于内容因此在拷贝时同样被复制,即得到继承,由此使得对数据对象的每个拷贝同样包含用于确定访问权限所需的信息。访问权限和据以允许访问权限的数据对象标识之间的分配,例如可以以表格的形式存放在中心位置并可以改变,使得对这种分配的变动自动地对所有数据对象的拷贝有效。由此,可以使访问权限独立于或者甚至在不知道拷贝的数量和位置的条件下随时由中心位置进行改动。在此,访问权限包括所有对于数据对象有效的标准权限和“执行”权限。
本发明的另一基本思路在于,提供一种数据处理***,其具有一个可以访问电子数据对象的数据处理装置和一个访问控制模块,通过所述访问控制模块可以根据所述数据对象的内容产生电子数据对象标识,通过所述访问控制模块可以根据所述数据对象标识确定访问权限,以及通过所述访问控制模块可以根据所述访问权限允许对所述电子数据对象的访问。所述访问控制模块使得可以根据在数据对象中包含的信息给出对于数据对象的访问权限。因为数据对象的内容在产生拷贝时一起被复制,所以访问权限的给出由此对于该数据对象是一致的,并且对于该数据对象的所有拷贝由中心位置出发并独立于可能拷贝的存放地点而进行的。在此,访问权限理解为所有对于数据对象有效的标准权限和“执行”权限。
在本发明的一种优选结构中,数据对象标识是利用存储在该数据对象中的信息的自动产生的。例如,数据对象标识是利用存储的人名、生日以及内容类型(如图像或者文本)组合而成的。这允许产生其中带有关于数据对象内容的信息的数据对象标识,使得可以根据该数据对象标识对数据对象进行***地分类和归类。如果例如应该为特定内容关联的所有数据对象(例如对于所有实验室报告、研究结果、诊断发现或计算数据)赋予同样的访问权限,则这种数据标识也可以成功地应用在为数据对象的类***地赋予访问权限。
在本发明的另一种优选结构中,将一种电子标识作为这种数据对象标识存储在数据对象中。这样,将该数据对象标识作为在数据对象中的拷贝产生就足够了。换言之,即仅需从数据对象中读出该标识。将数据对象标识作为对于在数据对象中包含的标识的直接拷贝来产生同样减少了被篡改的可能性,因为不能使用可以篡改的步骤来根据数据对象的内容间接地产生数据对象标识,例如从存储的人名和生日综合出数据对象标识。
本发明的另一种优选结构在于,将该方法在包括一访问权限模块的数据处理***上实施,通过该模块可以存储关于用户标识和访问权限相互间的分配,其中,该数据处理***的访问控制模块可以根据对所述访问权限模块的访问确定访问权限。在此,模块被理解为各种形式的电子服务,例如服务器、电子图书馆或在计算机上运行的过程。由此,形成了在数据处理***内的访问权限模块的模块化设置,这种设置使得可以在灵活的位置上中心定位。由此可以从中心位置出发对赋予的访问权限进行变更。通过该所谓的中央标记存储模块的访问权限模块,定义了访问权限类别,在这些类别内为一定的用户标识分配了一定的访问权限,例如读取、写入、删除、拷贝或者功能性的权限。在此,用户标识既包括单独的也包括分组的用户标识。
本发明的另一种优选结构在于,所述数据处理***包括一个数据对象分类模块,通过该模块可以存储关于数据对象标识和访问权限分类相互间的分配,以及访问控制模块可以访问该模块,其中,通过所述访问控制模块可以根据对该数据对象分类模块的访问确定所述访问权限。也和上面一样,在此模块被理解为各种形式的电子服务,例如服务器、电子图书馆或在计算机上运行的过程。数据对象分类模块允许确定和变更数据对象标识和访问权限分类相互间的分配。通过在数据对象分类模块内的变动可以从中心位置出发将数据对象标识分配给其它的访问权限分类,并由此改变该数据访问权限。
本发明具有这样的优点,即以一致的方式保护所有的数据对象和其所有的拷贝。也就是说,只要用户处在该数据处理***内,则用户对于每个数据对象和其拷贝具有等同的访问权限,并且与对该数据对象访问的地点以及该数据对象存放的位置无关。这种数据处理***可以是具有多台具有灵活访问可能性机器的网络。通过适当的装置访问权限可以保证数据对象不脱离该安全域。
本发明还具有这样的优点,即可以独立于数据对象本身确定用户对数据对象的访问权限。尽管如此,知道数据对象标识就已经足够了。如果将数据对象标识***地从数据对象的内容或者其它的与该数据对象有关的信息产生出,则这点可以简单地实现。这样,为了确定有关数据对象的访问权限了解***信息(例如,在一个确定的工作流程中患者的四项数据以及当前病区)就已经足够了。由此,可以独立于其所在的位置确定对可以分配给确定***类别的数据对象的访问权限。
本发明另一个优点在于,数据对象的传输可以在安全域内独立于数据传送协议或者操作***进行。在传输期间仅保证数据对象的完整性就足够了,从而也可以将确定访问权限所需要的数据对象标识从数据对象的拷贝中产生出来。
保证用于产生数据对象标识的信息也优选地使得可以将数据对象加以控制地从一个安全域传送到另一个安全域。由此可以实现自动地改变访问权限,而不必对数据对象的内容进行变动。这种不同安全域的应用特别可以应用在工作流***中,其中将数据对象从一个部门传送到另一个部门。这样,使得可以在医疗环境中,通过将每个工作流的步骤用一个特定的安全域加以表示,而为接收患者、放射科和开处方赋予不同的访问权限。为此目的,在不同的安全域设置不同的访问权限和数据对象分类。由此,按预定的方式产生不同的依赖于域的访问权限。此外,必要时也可以设置不同的用户组,以便可以特别构成不同的组属性。
本发明的一个特别的优点是,可以根据在数据对象中存储的内容产生数据对象标识。由此,也可以根据内容设置访问权限。如果对数据对象进行了例如在处理与任务和存储器相应的信息时可能产生的改动,则可以在最后产生改变了的访问权限。例如,可以在数据对象加入关于个人的保密信息后自动地对一类特定的人禁止访问。
附图说明
下面结合附图对实施方式作进一步说明。其中,
图1示出了用于实施本发明的数据处理***,
图2示出了该数据处理***的内逻辑层的示意结构,以及
图3示出了本发明的方法步骤。
具体实施方式
在图1中示出了用于实施本发明的数据处理***。该***包括数据处理装置1,其具有显示器3和键盘5,通过该数据处理装置可以访问电子数据对象。可以被访问的数据对象位于应用存储器9中。对在应用存储器9中的数据对象的访问是通过访问控制模块7控制的。
访问控制模块7独立于操作***的访问控制机制(例如,依赖于用户的文件专用的ACL)工作。在一种优选的结构中,将其设计为附加的程序层(数据访问层),并且可以作为模块化的硬件部件连接到数据处理装置1的数据总线上。但是,其实现也可以在数据处理装置1内仅在软件层上进行。该访问控制模块7控制对其控制的数据对象的所有数据访问,例如删除、拷贝、产生、编辑或者功能的执行,也就是说,在安全域内所有对数据对象的数据访问。此外,自然也可以独立于访问控制模块7,即从安全域外,在数据存储器9中并通过数据处理装置1存储其它数据对象,例如应用程序或者公开的非保密数据对象。
在启动数据处理装置1的操作***时通常要求用户登录,其中必须识别用户并为数据访问进行验证。这种验证既包括识别用户又包括为用户对数据的访问进行授权。为了识别用户设置了一种安全询问,对于该询问例如必须通过键盘5输入用户标识和口令。在这种意义下,每种输入装置均可以作为识别装置6。在一种特别优选的实施方式中识别装置6(例如一个芯片卡)自动执行对能够唯一识别用户的、对指纹或者眼球虹膜结构的询问。尽管由访问控制模块7进行的访问控制独立于在操作***上的用户登录,但是也可以指明该用户的识别。为此,用户可以通过键盘5或者识别装置6使用相同的识别方法。
本发明的基本要素在于,可以为每个在访问控制模块7访问下存储的电子数据对象产生一个唯一的数据对象标识。该数据对象标识可以存储在该数据对象中,或者自动地从该数据对象的内容中产生。例如,其可以是DICOM数据对象中常见的DICOM-UID。该访问控制模块7既起到产生该标识的作用,该标识又被存储在数据对象中,又起到从数据对象的内容中产生(或者说成是提取)数据对象标识的作用。
数据对象标识可以***地构成,以便可以描述访问权限的结构性关联,例如工作组、研究团队、人员层次、关于人员的内容或者对于访问权限***学中事务领域或研究的内容上的分配。例如,对于电子患者病历,数据对象标识为包括患者姓名、性别、生日和医院标识的识别患者的四项。这种患者四项数据一般对于唯一地识别一个患者是足够的。另外,数据对象标识可以反映出病历属性,用于医疗研究、诊断发现或者在一个较长的时期或者对于特定的诊断图像类型(如X光照片或者超声波照片)的序列。这种结构信息可以在赋予访问权限中这样地加以考虑,使得各自不同的访问权限指明例如对于治疗医生、研究的导师、放射科的专业人员或者计算部门。在充分利用这种***信息的条件下可以独立于各自的工作环境为每个电子数据对象设置一个唯一的数据对象标识。
为了在充分利用所描述的***性的数据对象标识的条件下进行分配,访问控制模块7需要关于进行访问的用户、其组的属性信息和关于将数据对象类型分配给特定访问权限类别的信息。这些信息分别各自存放并可以在数据处理***内模块化地访问。
在本发明的一种优选的实施方式中,***具有一个可以访问访问权限存储器13的访问权限模块11,例如一个服务器、电子图书馆或在计算机上运行的过程,以及一个可以访问用户组存储器17的用户组模块15,其同样可以例如是服务器、电子图书馆或一个在计算机上运行的过程。在访问权限存储器13中存放了用于将用户标识分配给访问权限类别的信息。访问权限类别分别描述了允许哪些用户或者用户组哪种访问权限规模。例如,可以如下定义访问权限类别:
-用户A没有访问权限
-用户B只有读取访问权限
-用户组C具有所有的访问权限
-用户组D可以执行功能1和2
-用户组E可以执行功能2
可能的访问权限例如包括产生数据对象,产生拷贝或者从数据对象继承信息,读取、变更和删除存储在数据对象中的信息,在各自访问权限类别内对访问权限的变更和特定功能的执行,只要她们在工作场所可供执行。
在用户组存储器17中存储了这样的信息,该信息使得可以根据先前确定的用于识别和验证用户的信息分配用户标识或者用户组。该用户标识或者用户组由单独的、电子用户标识表征,该用户标识使得可以在数据处理***内唯一地进行识别。组的属性例如可以反映出对于工作组的所属性、对于如值班的上级医生的功能的属性、对于分层的如诊所主任的分级的属性、对于如放射科的专业设置的属性或者对于如人力部门或结算部门的部门属性。
用户识别和组的属性允许完整地描述对于确定访问权限来说重要的工作环境结构。对用户的识别和组的分配可以在用户组存储器17中集中地改动,并由此在整个***中对于各自用户的每个数据访问起作用,无论用户何时或何地对数据进行访问。
访问控制模块7根据电子数据对象标识将电子数据对象分配到访问权限存储器13中。根据电子用户标识同样为进行访问的用户在对访问权限模块11访问的基础上配置访问权限类别。通过这两种设置可以确定,在访问特定的数据对象时允许哪个用户使用何种访问权限。
通过在访问权限模块11内或者在用户组模块15内的变动可以从中心位置出发、独立于数据对象的所在地点,为所有从中产生特定数据对象标识的数据对象改变对访问权限的许可。这种设置的变动也自动地影响到该数据对象的每个拷贝,因为其从中产生特定数据对象标识的内容的部分在拷贝中保持不变。
在另一个优选的实施方式中,该***具有一个访问权限模块11、一个用户组模块15和一个附加的数据对象分类模块12,其同样可以例如是服务器、电子图书馆或一个在计算机上运行的过程。数据对象分类模块12可以访问数据对象分类存储器14,其中存储有用于将数据对象标识与访问权限分类对应的信息,并且可以改变该信息。
与上面描述内容相比本实施方式模块化的程度更强。如上所述,用户组模块15提供用于确定电子用户标识的信息,而访问权限模块11提供如何如上用于将用户标识与访问权限分类进行分配的信息。数据对象分类模块12提供对使得可以将用户标识与访问权限分类进行分配的信息的补充。通过数据对象分类模块12可以对每个数据对象预定和变更,它们属于何种访问权限分类。
这样,在每个访问权限分类中在该访问权限分类中分配的用户和用户组具有其中预定的访问权限。通过依次使不同的用户或者用户组可以访问数据对象,而改变在数据对象分类模块12中的分配,可以例如对应于预定工作流的运行变更对于一个数据对象的访问权限。在医疗工作环境中,这种状态可以例如是:在诊所中接收患者、入院检查、随后的借助于放射学产生图像的方法的检查、治疗和最后的诊断,其中,各自不同的用户组,例如医疗技术员、放射科人员和治疗人员,对患者数据对象进行处理。
当要一直在数据处理***内,即在安全域内对数据进行访问时,则首先通过访问控制模块7产生待访问的数据对象的数据对象标识。通过对用户组模块15的访问,访问控制模块7确定一个用户标识,并根据该用户标识通过对访问权限模块11的访问确定一个访问权限分类。通过访问数据对象分类模块12根据前面产生的数据对象标识,确定哪个访问权限分类属于该数据对象。由此,通过对数据对象标识和用户标识的分配确定所有信息,以便可以允许该用户对该数据对象的特定访问权限。
也可以将访问控制模块7的作用方式用于从远处设置的工作站进行的数据访问。例如,移动数据处理装置21(如一个PDA或者笔记本电脑)可以通过数据远距离连接19(如一个调制解调连接或者移动无线连接)对***的数据对象进行访问。在例如家庭工作场所或者在如诊所的移动设备的工作环境内可以是这种情况。
上面描述的数据处理***的结构可以在不对访问控制模块7的作用方式进行变动的条件下改变其模块性。例如,可以将用户组存储器17和访问权限存储器13结合在一个共同的存储器介质上,或者可以将访问权限模块11和用户组模块15集成在一个单一的数据处理装置中。与访问控制模块7分开的设置也不是对于工作方式所必需的,而是可以集成在其中。模块化的结构使得可以特别灵活地对应于各自工作环境的所有结构上的要求特别灵活地使用***。
在图2中示意地示出了数据处理***内部(即安全域内)的逻辑层。对其访问进行控制的电子数据对象处于在最低层31上。这些数据对象具有对于标识重要的内容33,从该内容33中可以产生数据对象标识。迄今为止必须将该对于标识重要的内容33设置在更高的层上,因为该数据对象标识必须可以独立于用户的访问权限被访问,以便能够确定这种访问权限的规模。
在数据层之上设置了一个ACL 35,该ACL在操作***层上并在各自操作***内独立于在操作***上的用户登录控制对数据的访问。ACL 35迄今不是数据对象层31,33的一部分,因为其在离开各自的文件***或者在对操作***进行变更之后不能得到保持。其不会连同数据一起得到继承,而是被丢失。因此,将ACL 35在示意性的表示中表示为单独的层。
操作***层37设置在ACL 35之上,其控制ACL 35并通过ACL 35控制数据对象层31,33。
访问控制层39位于操作***层37之上,在其内部执行访问控制模块7的功能。除了当前现有的操作***访问控制之外,其还控制对所有数据的访问。
具有各自工作环境的应用程序的应用层41位于访问控制层39之上。
在附图的右边部分示例地示出了这样的逻辑层,其可以进行按照通过箭头表示的将文件传送至另一个操作***。该另一操作***在所选择的例子中不具有ACL。特别是将数据对象标识33一同传送,则数据对象层31,33保持不变。但是,由于缺少ACL没有通过操作***层37的访问权限控制。
但是,对于数据对象层31,33的访问根据其定位只可以通过访问控制层39进行。即,对在设定的范围中数据访问的控制在数据导入之后保持不变,并且独立于操作***的变换。应用层41可以仅通过访问控制层39对数据进行访问。
在图3中示出了在安全域内对数据对象进行访问的方法步骤。在步骤51从用户或者应用程序一侧开始对数据对象的访问。
在步骤53确定用于识别用户的用户标识。如上所述,根据键盘输入或者生物测定学上的数据采集对所需的信息进行采集。根据这样采集的数据通过经用户组模块15对用户组存储器17进行访问而确定用户标识。
在步骤55中进行检验,看待访问的数据对象能否产生一个数据对象标识。该数据对象标识要么存储在自身的数据对象中,要么包含能够自动确定标识的信息。
如果证明不能产生数据对象标识,则在步骤56分配一个缺省数据对象标识,根据该缺省标识可以随后设置一个按照标准的访问权限范围。由此,在例如没有在***中引入数据对象标识的条件下,可以按照标准并无须花费时间地进行其它确定访问权限范围的方法步骤,而实现对于数据对象的访问控制。
如果可能,在步骤57将数据对象标识作为对在数据对象中存储的标识的拷贝或者从在数据对象中存储的内容中自动地产生。
在步骤59中对访问权限模块11进行访问,以便根据访问权限存储器15中的信息确定一个访问权限分类。在此,调用一个用户标识和访问权限分类之间的分配,这种分配可以按表格的形式或者作为图存放。
在步骤61对数据对象分类模块12进行访问,以便从数据对象分类存储器14中获得信息,根据这些信息可以确定一个为先前确定的数据对象标识分配的访问权限类别。
在得到所有用于用户识别、组识别和数据对象分类信息之后,在步骤63确定该用户所允许的访问权限。这种确定要么在步骤59和步骤61中调用的数据基础上进行,要么在步骤56分配的标准值的基础上进行。在此,标准值的分配可以不经对模块的进一步访问进行,以便避免不必要的访问和节省访问时间。
在步骤65中根据前面确定的访问权限进行对数据的访问。
在步骤67中结束对数据的访问。例如,用户可以从***中注销,也可以由***进行自动的超时停止,或者在***中对用于确定访问权限的分类进行改变。
为了说明本发明的程序技术的方面,下面再现了几个极其简化的对于实现本发明方法步骤的语义上的应用。简化包括例如对于变量定义和错误处理的读出。
用户组模块允许加入、修改、删除和调用用户和组识别。此外,其包括用于识别各用户的措施。其实现可以在下列分配中找到应用:
bool createUser(wchar_t*theUserName,wchar_t*thepassword,wchar_t *&heSID); bool deleteUser(wchar_t*theUserName); bool querySID(wchar_t*theUserName,wchar_t*&theSID); bool createGroup(wchar_t*theGroupName,wchar_t*&heGID); bool deleteGroup(wchar_t*theGroupName); bool queryGID(wchar_t*theGroupName,wchar_t*&theGID); bool addUserToGroup(wchar_t*theSID,wchar_t*theGID); bool removeUserFromGrouP(wchar_t*theSID,wchar_t*theGID); bool authenticateUser(wchar_t*theUserName,wchar_t*theUserPassword, wchar_t*theUID); bool releaseUID(wchar_t*theUID); bool analyzeUID(wchar_t*thetUID,wchar_t*&theSID,wchar_t*&theGID)
其中,“bool”是一个可以取布尔值TRUE或者FALSE的C++关键字,该关键字位于变量定义、方法定义或者方法说明之前。“wchar_t”定义一种微软数据类型。“enum”是一个可以定义列举类型(Enumerations)的C++关键字。“struct”是一个可以定义新的组合数据类型的C++关键字。
SID以及GID是对于用户识别以及组识别的唯一标识,并在一个安全域内得到使用。它们起到在该安全域内代表用户和组的作用,而无须为此使用实际的标识或者名称。
其它例如createGroup或deleteGroup的所谓指示字,是单独选择的并且可以从其自身的词义得到解释。
随着每个对用户的成功验证将产生一个唯一标志用户和工作环境的UID。一旦用户从***中注销或者由于超时该工作环境从安全区域中结束,则将该UID被删除。
访问权限模块可以通过使用下列指令得到实现:
Enum TokenRights
{
Create,//在分层组织的文件中允许创建新的子对象
Read, //允许读取文件内容
Update,//允许修改文件内容
Delete,//允许删除整个文件,即进行物理的破坏
Execute,//允许更新对该文件的当前保护
ExecuteSpecmcFunction //允许在文件的内容上执行特殊的功能
};
bool createToken(WChar_t*meTokenName);
b00l assignmght(WChar_t*t11eTokenName,WChar_t*theSID,TokenRights
theGrantedRights);
bool assignlRight(WChar_t*theTokenName,WChar_t*theGID,TokenRights
theGrantedRights);
b001 removeToken(WChar_t*meTokenName);
TokenRights authorize(WChar_t*theTokenName,wchar_t*theSID WChar_t
*theGID);
为了能够确定用户的访问权限,访问权限模块11使用其SID和GID。可以为组识别和用户识别配置不同的访问权限,并且一个用户可以取得多个标识,从而必须对所有的sID和GID进行评估,以便可以确定各用户的访问权限范围。
在前面的指令举例中作为“Token”表示的、将数据对象标识至类别的分配,允许加入、删除、搜索和修改单个的分配。其可以通过使用下列指令得到实现:
struct SecurityID//用于DICOM构成文件的抽样定义
{
WChar_t *thePatiemQuadmple;
WChar_t *theStudyInstanceUID:
};
bool setDefaultProtection(wchar_t*theTokenNames);
<!-- SIPO <DP n="13"> -->
<dp n="d13"/>
bool addProtection(SecurityID &theDocumentSecurityID,wchar_t
*theTokenNames);
bool quetyProtection(SecurityID &theDocumentServiceID,wchar_t
*&theTokenNames);
bool removeProtection(SecurityID &theDocumentServiceID,wchar_t
*theTokenNames);
可以将一个数据对象标识分配给多个类别。没有分配给类别的数据对象标识获得标准的缺省访问权限的范围。
Claims (15)
1.一种保护电子数据对象免受非授权访问的方法,所述数据对象设置用于存储信息,其中,a)在第一步骤(56,57)中,根据所述电子数据对象的内容产生一个电子数据对象标识,b)在下一个步骤(63)中,根据该数据对象标识确定访问权限,而c)在最后一个步骤(65)中,根据该访问权限允许对电子数据对象的访问。
2.根据权利要求1所述的方法,其中,所述数据对象标识是作为包含在所述数据对象中的标识的一个拷贝而产生的。
3.根据权利要求1所述的方法,其中,所述数据对象标识是在利用存储在所述数据对象中的信息的条件下产生的。
4.根据上述权利要求中任一项所述的方法,其中,在另一个步骤(53)中为操作者确定一个电子用户标识,以及根据所述用户标识确定所述访问权限。
5.根据权利要求4所述的方法,其中,在另一个步骤(59)中确定能够将所述用户标识分配给访问权限分类的信息,并且根据所述用户标识与访问权限分类的分配确定所述访问权限。
6.根据上述权利要求中任一项所述的方法,其中,在另一个步骤(61)中确定能够将所述数据对象标识分配给访问权限分类的信息,并且根据所述数据对象标识与访问权限分类的分配确定所述访问权限。
7.根据上述权利要求中任一项所述的方法,其中,所述访问权限包括一个标准权限和一个功能性权限。
8.根据上述权利要求中任一项所述的方法,其中,在所述数据对象中存储有关于个人的医疗数据。
9.一种数据处理***,其具有一个可以访问电子数据对象的数据处理装置(1)和一个访问控制模块(7),通过该访问控制模块(7)根据所述数据对象的内容产生一个电子数据对象标识,并通过所述访问控制模块(7)根据所述数据对象标识确定一个访问权限,以及通过所述访问控制模块(7)根据所述访问权限允许对所述电子数据对象的访问。
10.根据权利要求9所述的数据处理***,其中,所述数据处理***包括一个识别装置(6),通过该识别装置可以确定操作人员的电子用户标识。
11.根据权利要求10所述的数据处理***,所述数据处理***包括一个访问权限模块(13),通过该模块(13)存储关于电子用户标识和访问权限分类相互间的分配,以及所述访问控制模块(7)可以访问该模块(13),其中,通过所述访问控制模块(7)可以根据对所述访问权限模块(13)的访问确定所述访问权限。
12.根据权利要求9至11中任一项所述的数据处理***,所述数据处理***包括一个数据对象分类模块(12),通过该模块(12)存储关于电子数据对象标识和访问权限分类相互间的分配,以及所述访问控制模块(7)可以访问该模块(12),其中,通过所述访问控制模块(7)可以根据对所述数据对象分类模块(12)的访问确定所述访问权限。
13.根据权利要求9至12中任一项所述的数据处理***,其中,所述数据处理***作为访问权限确定一个标准权限和一个功能性权限。
14.根据权利要求9至13中任一项所述的数据处理***,其中,所述数据处理***被设计作为医疗工作站。
15.一种其上存储有信息的存储介质,这些信息为了实施根据权利要求1至8中任一项所述的方法,可以与数据处理***交互作用。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE10311648.6 | 2003-03-14 | ||
| DE10311648 | 2003-03-14 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1530792A true CN1530792A (zh) | 2004-09-22 |
| CN100449450C CN100449450C (zh) | 2009-01-07 |
Family
ID=32920851
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004100397120A Expired - Fee Related CN100449450C (zh) | 2003-03-14 | 2004-03-15 | 用于保护电子数据对象免受非授权访问的方法和*** |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN100449450C (zh) |
| DE (1) | DE102004004101A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100412743C (zh) * | 2004-12-17 | 2008-08-20 | 摩托罗拉公司 | 用于数字权限管理的方法和装置 |
| CN101903910A (zh) * | 2007-10-19 | 2010-12-01 | 瓦斯科普斯公司 | 用于管状结构的自动几何和力学分析方法及*** |
| CN101399695B (zh) * | 2007-09-26 | 2011-06-01 | 阿里巴巴集团控股有限公司 | 一种操作共享资源的方法和设备 |
| CN105117582A (zh) * | 2015-07-29 | 2015-12-02 | 苏州麦迪斯顿医疗科技股份有限公司 | 医疗数据平台信息处理方法 |
| CN105872108A (zh) * | 2016-06-15 | 2016-08-17 | 深圳市清时捷科技有限公司 | 一种多个接收终端的数据筛选、传输方法及其装置 |
| CN106664636A (zh) * | 2014-10-29 | 2017-05-10 | 华为技术有限公司 | 一种数据帧的传输方法及装置 |
| CN107103245A (zh) * | 2016-02-23 | 2017-08-29 | 中兴通讯股份有限公司 | 文件的权限管理方法及装置 |
| CN107944297A (zh) * | 2017-12-11 | 2018-04-20 | 北京奇虎科技有限公司 | 一种访问文件的控制方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE102018127949A1 (de) * | 2018-11-08 | 2020-05-14 | Samson Aktiengesellschaft | Kontrolle von Zugriffsrechten in einem vernetzten System mit Datenverarbeitung |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FI103543B1 (fi) * | 1996-09-30 | 1999-07-15 | Nokia Telecommunications Oy | Elektronisten dokumenttien merkitseminen |
| CN1192381C (zh) * | 1999-04-14 | 2005-03-09 | 松下电器产业株式会社 | 数据管理装置以及数据管理方法 |
| US6671696B1 (en) * | 2001-08-20 | 2003-12-30 | Pardalis Software, Inc. | Informational object authoring and distribution system |
-
2004
- 2004-01-27 DE DE200410004101 patent/DE102004004101A1/de not_active Ceased
- 2004-03-15 CN CNB2004100397120A patent/CN100449450C/zh not_active Expired - Fee Related
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100412743C (zh) * | 2004-12-17 | 2008-08-20 | 摩托罗拉公司 | 用于数字权限管理的方法和装置 |
| CN101399695B (zh) * | 2007-09-26 | 2011-06-01 | 阿里巴巴集团控股有限公司 | 一种操作共享资源的方法和设备 |
| CN101903910A (zh) * | 2007-10-19 | 2010-12-01 | 瓦斯科普斯公司 | 用于管状结构的自动几何和力学分析方法及*** |
| CN101903910B (zh) * | 2007-10-19 | 2013-06-12 | 瓦斯科普斯公司 | 用于管状结构的自动几何和力学分析方法及*** |
| CN106664636A (zh) * | 2014-10-29 | 2017-05-10 | 华为技术有限公司 | 一种数据帧的传输方法及装置 |
| CN106664636B (zh) * | 2014-10-29 | 2020-06-16 | 华为技术有限公司 | 一种数据帧的传输方法及装置 |
| US10925015B2 (en) | 2014-10-29 | 2021-02-16 | Huawei Technologies Co., Ltd. | Method and apparatus for transmitting data frame in a long term evolution unlicensed (LTE-U)system |
| CN105117582A (zh) * | 2015-07-29 | 2015-12-02 | 苏州麦迪斯顿医疗科技股份有限公司 | 医疗数据平台信息处理方法 |
| CN107103245A (zh) * | 2016-02-23 | 2017-08-29 | 中兴通讯股份有限公司 | 文件的权限管理方法及装置 |
| CN107103245B (zh) * | 2016-02-23 | 2022-08-02 | 中兴通讯股份有限公司 | 文件的权限管理方法及装置 |
| CN105872108A (zh) * | 2016-06-15 | 2016-08-17 | 深圳市清时捷科技有限公司 | 一种多个接收终端的数据筛选、传输方法及其装置 |
| CN105872108B (zh) * | 2016-06-15 | 2019-02-22 | 深圳市清时捷科技有限公司 | 一种多个接收终端的数据筛选、传输方法及其装置 |
| CN107944297A (zh) * | 2017-12-11 | 2018-04-20 | 北京奇虎科技有限公司 | 一种访问文件的控制方法及装置 |
| CN107944297B (zh) * | 2017-12-11 | 2020-11-24 | 北京奇虎科技有限公司 | 一种访问文件的控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| DE102004004101A1 (de) | 2004-09-30 |
| CN100449450C (zh) | 2009-01-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Omar et al. | Ensuring protocol compliance and data transparency in clinical trials using Blockchain smart contracts | |
| US8185411B2 (en) | Method, system, and apparatus for patient controlled access of medical records | |
| Alhaqbani et al. | Access control requirements for processing electronic health records | |
| WO2018136956A1 (en) | Trust based access to records via encrypted protocol communications with authentication system | |
| US20100082371A1 (en) | Patient Document Privacy And Disclosure Engine | |
| RU2510968C2 (ru) | Способ доступа к персональным данным, таким как индивидуальный медицинский файл, с использованием локального формирующего компонента | |
| JP2007531124A (ja) | 患者医療データ記録のアクセス及び利用を制御するためのシステム及び方法 | |
| Dias et al. | A blockchain-based scheme for access control in e-health scenarios | |
| EP4026135B1 (en) | System for protecting and anonymizing personal data | |
| Xiao et al. | A knowledgeable security model for distributed health information systems | |
| US7761382B2 (en) | Method and system to protect electronic data objects from unauthorized access | |
| Li et al. | Leveraging standards based ontological concepts in distributed ledgers: a healthcare smart contract example | |
| CN1530792A (zh) | 用于保护电子数据对象免受非授权访问的方法和*** | |
| Longstaff et al. | The tees confidentiality model: an authorisation model for identities and roles | |
| Braghin et al. | Introducing privacy in a hospital information system | |
| AU2021102846A4 (en) | An iot based healthcare management information system | |
| Habibi | Consent based privacy for eHealth systems | |
| Martínez et al. | A Comprehensive Model for Securing Sensitive Patient Data in a Clinical Scenario | |
| Deborah et al. | Blockchain: a possible alternative to achieving health information exchange (hie) | |
| Chen et al. | Identity management to support access control in e-health systems | |
| Simpson et al. | On tracker attacks in health grids | |
| Yue et al. | Blockchain Enabled Privacy Security Module for Sharing Electronic Health Records (EHRs) | |
| Senese | A study of access control for electronic health records | |
| Chinaei et al. | User-managed access control for health care systems | |
| Ulieru et al. | Privacy and security shield for health information systems (e-Health) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20090107 Termination date: 20180315 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |