法律状态公告日
法律状态信息
法律状态
2009-06-24
授权
授权
2006-11-15
实质审查的生效
实质审查的生效
2006-09-20
公开
公开
技术领域
本发明总体涉及计算机系统内的个人信息的安全,更具体地,涉及控制用户对企业的计算机系统内的个人标识信息(PII)对象或资源的访问的条件访问工具的实现和使用。
背景技术
计算和通信技术上的发展通过使人们以及机构能够存储和处理大量的个人信息而不断使保密性降低。为了实现数据的保密性,必须保护所存储的数据、传送中的数据,并对数据的发布进行某种控制。由于所存储数据的保护在某种程度上被出现的保密性策略语言以及它们的施行所涵盖,因此目前不存在确保其正确使用因而控制企业计算工具内的个人标识信息的发布的机制。
传统上,管理计算机系统的安全需要将一个机构的安全策略映射为一个相对较低级别的控制集合,其通常为访问控制列表。即,假设各个用户(个人或逻辑过程)首先以满足条件的方式向计算机系统进行标识和认证,然后,他们对该受保护的计算机系统内的文档、程序、工具和其他“对象”的访问均由安全系统(例如系统安全管理器)来控制,这种控制仅通过将该用户的名字与有资格访问该指定对象的人员的名字列表进行比较来实现。一般而言,这种技术称作自主访问控制或DAC。
根据广泛使用在美国政府以及其他地方的更加完善且成熟的用于计算机系统的安全的模型,对计算系统中的对象的访问能够由分割的逻辑系统来控制,该分割的逻辑系统是经由与用户以及受保护的计算机资源对象相关联的逻辑安全级别(其是分级的)和/或分类(其不是分级的)而实现的。这种系统称作“多级安全”(“MLS”)系统,是由D.Bell和L.LaPadula在“Secure computer systems:Mathematical foundations and model”(MITRE Report,MTR 2547,1973年11月)中定义的Bell-LaPadula安全模型的实现。
在MLS系统中,认为与最高安全级别和最大数量的分类相关联(通过指派)的用户在该系统中具有最高的安全级别。当请求用户(在向计算系统进行适当的标识和认证之后)具有至少与被请求对象一样高的相关安全级别并且该用户具有包括与该被请求对象相关联的分类在内的一组分类(一个或以上)时,向该用户准予对该受保护对象进行读取的权利。在这种情况下,认为该用户“优于”该对象。相反,当被请求对象具有至少与请求用户一样高的相关安全级别并且该对象具有包括至少与该请求用户相关联的分类在内的一组分类时,向该用户准予对MLS保护对象进行写的权利。在这种情况下,认为该对象优于该用户。根据这些准则,能够看出,如Bell-LaPadula模型所定义的,当从一个对象读取MLS保护信息并将其写入另一个对象时,随着该信息从较低安全级别移向较高安全级别和/或从较少分类移向更多的分类,该MLS保护信息只会变得更加安全。反过来,K.Biba在“Integrity considerations for secure computer systems”(Technical Report 76-372,U.S.Air Force Electronic Systems Division,1977)中描述了作为Bell-LaPadula模型的有效倒置的用于认证检查的模型。Biba说明了数据和程序设计系统的完整性取决于:该数据和在其创建中所使用的程序设计系统的完整性,以及用于确保这种完整性的处理模型。目前Bell-LaPadula(MLS)模型和该Biba模型的“MLS倒置”模型均在计算产业内使用,例如在作为国际商业机器公司(IBM)提供的z/OS操作系统的可选组件的程序产品Resource Access Control Facility(RACF)内使用。z/体系结构在2001年10月出版物号为SA22-7832-01、标题为“z/Architecture Principles of Operation”的IBM出版物中进行了描述。此外,RACF在IBM公司2002年9月的SA22-7683-03、标题为“z/OSV1R4.0 Security Server RACF Security Administrator’s Guide”的出版物中进行了描述。
发明内容
对于PII保护对象的控制的需求倾向于一种涉及所保护的对象和访问它们的用户的分类化的方法。可以以类似于向MLS受保护对象指派分类的方式向PII受保护对象指派目的。然而,对于PII数据对象的控制的需求基本上不同于对于MLS受保护对象的控制的需求,因为当越多的目的(可以访问PII数据对象的目的)与PII数据对象相关联时,PII数据对象需要的安全性越低。这是因为越大数量的目的意味着PII数据对象的保密性越低。即使在PII目的和MLS分类之间能够引出相似之处,也不存在关于分级的MLS安全级别的类似相似之处。另外,传统的MLS方法涉及用户和对象,但是对于PII目的,我们不能仅仅考虑用户,而必须考虑用户和用户正在运行的程序(进程)以及程序访问PII数据的原因(目的)。因此,本领域中需要一种诸如这里所提出的新颖的数据访问控制工具,该工具实现有效的保密模型并且能够准确地控制个人信息的发布和传播,而无需过度地限制例如通过企业的信息流。
在一个方面,本发明提供一种实现用于控制对PII数据对象的访问的数据访问控制工具的方法。这种方法包括:向PII数据对象指派PII分类标签,其中PII数据对象具有一个指派给其的PII分类标签;定义至少一个PII目的服务功能集合(PSFS),该至少一个PII目的服务功能集合包括对PII数据对象进行读、写或重新分类的应用功能的列表;以及向每个PSFS指派PII分类标签,其中经由具有与PII数据对象的PII分类标签相同或是其真子集的PII分类标签的PII PSFS的应用功能,该PII数据对象仅可访问。
在一个实施例中,PII数据对象可由具有与该PII数据对象的PII分类标签相同或优于其的PII分类标签的PII PSFS的应用功能写入。该PII数据对象可由具有对于该PII PSFS被允许的PII重新分类的列表的PII PSFS的应用功能写入。
在一个实施例中,该方法包括识别调用上述数据访问控制工具的特定功能的用户;以及向所识别的用户指派PII许可集合,其中该PII许可集合包括所识别用户的一个或多个PII分类标签的列表。
上述指派给PII数据对象的PII分类标签可包括该PII数据对象的所有者的标识。
上述指派给PII数据对象的PII分类标签可包括可使用该数据对象的至少一个目的的指示。
该方法可包括步骤:最初定义企业内使用上述数据访问控制工具的PII目的;以及在定义上述指派给PII数据对象和指派给至少一个PSFS的PII分类标签中使用这些PII目的。
在本发明的另一方面,提供一种数据访问控制方法,包括:由数据访问控制工具的用户调用特定功能,所述数据访问控制工具具有指派给PII数据对象和至少一个PII目的服务功能集合(PSFS)的个人标识信息(PII)分类标签,该PSFS包括对PII数据对象进行读或写的应用功能的列表,其中该数据访问控制工具的用户被指派了PII许可集合,该用户的PII许可集合包括含有至少一个PII分类标签的列表;确定上述特定功能是否被定义为上述数据访问控制工具的至少一个PII PSFS的PII PSFS,如果是,则确定该用户的PII许可集合是否包括与指派给该PII PSFS的PII分类标签匹配的PII分类标签,如果再次是,则允许对该特定功能的访问;以及确定该用户是否被允许访问所选择的数据对象以执行该特定功能。
该数据访问控制方法可以包括,在所述调用步骤之前,在上述数据访问控制工具的安全控制下的操作系统内建立进程。然后,所述调用发生在所述建立的进程中。
确定上述特定功能是否被定义的步骤可以包括如果上述特定功能未被定义为上述数据访问控制工具的PII PSFS,并且对于所建立的进程先前已设置了当前进程标签(CPL),则拒绝对该特定功能的访问。
确定该用户是否被允许访问所选择的数据对象以执行特定功能的步骤可以包括确定所选择的数据对象是否包括PII数据对象,如果是,则验证该用户的特定功能是否被定义为上述数据访问控制工具的至少一个PIIPSFS的PII PSFS,如果不是,则拒绝对所选择的数据对象的访问。
确定该用户是否被允许访问所选择的数据对象以执行特定功能的步骤可以包括如果所选择的数据对象不是PII数据对象,则确定对于所建立的进程是否已设置了当前进程标签(CPL)。如果还未设置CPL,则该方法可包括通过自主访问控制检查呈递对所选择的数据对象的访问判定。
确定该用户是否被允许访问所选择的数据对象以执行特定功能的步骤可以包括如果对于该进程先前已设置了CPL并且所选择的数据对象不是PII数据对象,则确定该特定功能是否是读操作,如果是,则通过自主访问控制检查呈递对所选择的数据对象的访问判定,如果该特定功能不是读操作,则拒绝从所建立的进程对所选择的数据对象的访问。
确定该用户是否被允许访问所选择的数据对象以执行特定功能的步骤可以包括确定该特定功能是否包括读操作,如果是,则确定指派给该特定功能被定义成的PII PSFS的PII分类标签是否与关联于所选择的数据对象的PII分类标签相同或是其真子集,如果不是,则拒绝对所选择的数据对象的访问,如果是,则将所选择的数据对象的PII分类标签增加到所建立的进程的当前进程标签(CPL)列表中。
确定该用户是否被允许访问所选择的数据对象以执行特定功能的步骤可以包括确定该特定功能是否为读操作,当为是时,确定所建立的进程的当前进程标签(CPL)列表是否存在,如果不存在,则允许经由自主访问控制检查进行对所选择的数据对象的访问判定。
如果所建立的进程的CPL列表存在,则该数据访问控制方法可以包括确定所选择的数据对象的PII分类标签是否与每个CPL条目相同或是其真子集,如果是,则允许经由自主访问控制检查来进行对所选择的数据对象的访问判定。
如果该PII数据对象的PII分类与每个CPL列表条目的PII分类标签不相同或不是其真子集,则该方法可以包括确定该特定功能被定义成的PIIPSFS是否允许从CPL列表中的PII分类标签重新分类到PII数据对象的PII分类标签,如果是,则允许经由自主访问控制检查来进行对所选择的数据对象的访问判定,否则,拒绝该用户对该PII数据对象的访问。
该数据访问控制方法可以包括提供所建立的进程的当前进程标签(CPL)列表,该CPL列表包括在所建立的进程内读取的每个PII数据对象的PII分类标签的动态列表。
该数据访问控制方法可以进一步包括步骤:当该特定功能是对第二PII数据对象的写操作时,在确定是否允许所建立的进程的用户访问第二PII数据对象时使用上述CPL列表。第二PII数据对象可具有与关联于从中读取信息的PII数据对象的PII分类标签不同的PII分类标签,从而对所读取的信息进行重新分类。
该数据访问控制方法可以包括提供与上述至少一个PII PSFS关联的“允许的重新分类”的参数,其中如果“允许的重新分类”参数被设置,则该参数与在对应的至少一个PII PSFS内定义的所有功能相关联,并且当向具有与CPL列表中包含的每个PII分类标签不相同或不是其真子集的PII分类标签的PII数据对象写入信息时,该参数允许用户执行这些功能的一个以对PII数据对象进行重新分类。
本文还描述和要求保护对应于上面概述的方法的系统和计算机程序产品。该计算机程序产品可以作为记录在记录介质上的计算机程序来获得或用于通过数据传输介质下载。该系统可以实现数据访问控制工具。
此外,通过本发明的技术可以实现其他的特征和优点。本发明的其他实施例和方面也在本文中进行了详细描述并且被认为是所要求保护的本发明的一部分。
附图说明
在说明书结尾处的权利要求中具体指出并清楚地要求了被认为是本发明的主题。从下面结合附图所作的详细描述中,本发明的上述和其他特征以及优点将显而易见,其中:
图1示出了根据本发明一个方面用于利用指派给其的由数据访问控制工具使用的PII分类标签存储个人标识信息(PII)对象的方法的一个例子;
图2根据本发明一个方面示出了引入并使用数据访问控制工具的一个或多个方面的计算环境的一个实施例;
图3是根据本发明一个方面示出了当用户从PII数据对象读取数据和向其写入数据时所建立的进程内产生变化的用户当前进程标签(CPL)的一个可行例子;
图4是根据本发明一个方面由PII数据访问控制工具实现的处理的一个实施例的流程图;
图4A是根据本发明一个方面用于确定用户是否能够使用特定功能的一个逻辑实施例的流程图;
图4B是根据本发明一个方面用于确定是否允许发生数据访问的一个逻辑实施例的流程图,包括确定所请求的对象是否包括PII数据对象;
图4C是根据本发明一个方面用于当所期望的特定功能包括读操作时确定用户是否能够作为PII可控进程继续的一个逻辑实施例的流程图;以及
图4D是根据本发明一个方面用于当所期望的特定功能包括写操作时确定用户是否能够作为PII可控进程前进的一个逻辑实施例的流程图。
具体实施方式
这里提出的是为个人标识信息(PII)提供安全性的数据访问控制工具。根据这一工具,对PII信息的访问是以能够在计算机进程的执行期间或之前存在(或有效的)的各种“条件”为基础的,其中的计算机进程是其中发生了对保密的分类计算机化资源(这里泛指“对象”或“数据对象”)的访问的计算机进程。这种条件可包括但并不限于:(1)在其中用户已请求访问PII对象的应用功能;(2)用户怎样向该计算工具进行标识和认证;(3)用户所处位置;(4)请求的时间;以及(5)能够用程序设计确定的其他上下文和环境因素。
根据本发明的一个方面,存在多种将条件应用于任何指定访问控制检查事件的方法。例如,(1)当用户试图访问一个PII敏感的对象时,可根据有效的条件向该用户动态指派保密性分类;或(2)可根据类似的、有时是相同的条件代替地(或同样地)对于对象的保密性分类进行动态指派。因此,如这里所提出的数据访问控制工具根据访问事件情况的动态性,有利地允许用户或计算机进程访问PII分类对象和功能的不同“集合”,从而增加需要访问个人标识信息的信息进程的灵活性并增强其安全性。
广义地说,这里(在一个方面)公开的是一种用于实现数据访问控制工具的技术,其包括:向PII对象指派个人标识信息(PII)分类标签,每个PII对象具有一个指派给它的PII分类标签。定义至少一个PII目的服务功能集合(PSFS),其包括读、写或重新分类PII数据对象的应用功能的列表。也向每个PSFS指派PII分类标签。在使用时,PII对象经由具有与该对象的PII分类标签相同或是其子集的PII分类标签的PII PSFS的应用功能只可读取,或经由具有与该对象的PII分类标签相同或优于其的PII分类标签、或具有该PSFS所允许的PII重新分类的列表的PII PSFS的应用功能仅可以写入。
可行地,该数据访问控制工具的用途包括由在计算系统内执行的计算应用的用户调用特定功能;确定该特定功能是否被定义为该数据访问控制工具的PSFS,如果是这样的话,确定该用户的PII许可集合(包括具有至少一个PII分类标签的列表)是否包括与指派给该PSFS的PII分类标签匹配的PII分类标签,如果是这样的话,则允许访问该特定功能;以及确定该用户是否被允许访问所选择的对象以执行该特定功能。因而,如下面进一步说明的,根据本发明一个方面的PII数据访问控制工具被用来初始确定用户是否有资格访问一个特定功能,随后确定是否允许该用户访问所选择的数据对象。在更详细地论述该PII数据访问控制工具之前,定义下述逻辑结构。在本文论述的例子中,假定该PII控制工具用于医疗机构。这种假设只是作为示例。
PII分类标签:
列出PII数据对象的所有者,包括由该所有者选择的可以使用这样分类的PII数据对象的一个或多个目的的列表。例如:所有者;用户Idx、目的;医疗、护理、报告、记帐。包含在PII受保护数据对象内的信息的随后使用者仅能够基于由初始所有者所允许的并在PII分类标签中所指定的目的来使用该信息。可以使用该PII对象的目的包含在允许用户相对于该数据来执行的功能中。
PII目的服务功能集合(PSFS):
读/写PII对象的应用功能的列表。PSFS其自身以一个特定的PII分类标签来标记。一个给定的PSFS内的功能的列表可包括:具体程序;应用;应用内的功能,诸如EJB(Enterprise Java Bean)、方法、数据库管理启动过程、SQL查询等等。PSFS可以任选地包括如果以及当执行该指定的PSFS的用户向一个PII对象写入数据时该指定的PSFS所允许的PII分类变化(重新分类)的列表,其中的PII对象具有包括当前进程标签(CPL)内所存储的PII标签中所不包括的目的的PII标签,其中在该当前进程标签(CPL)中记录了该用户先前在同一计算机操作系统进程内所读取的PII数据的PII标签。
PII数据对象:
具有相关联的PII分类标签的任何资源、文档、程序、工具等。一个给定的PII对象可只具有一个PII分类标签。PII数据对象的所有者包括在与该对象以及可使用该对象的目的相关联的标签中。因为在访问控制检查期间在PII访问控制检查即本发明的主题在整个访问控制检查过程中已完成自身部分之后的某一点,PII数据对象的所有者开始起作用,所以为了完整性,在此解释中将PII数据对象的所有者包括在内。更具体地,PII受保护数据对象的所有者仅可以访问它们自己的数据对象而不是由另一所有者拥有的PII受保护数据对象,这一概念由本领域内称作DAC的自主访问控制检查所施行。
主体:
用户ID和组ID(用户组ID)包括(PII数据的)所有者,和企业用户,即访问数据对象并且由企业安全管理员给予了许可以利用作为他们的企业功能的一部分的特定目的服务功能集合来执行功能的人员。
用户PII许可集合:
指派给企业用户的PII分类标签的列表。用户PII许可集合建立从其内用户被授权执行企业内的功能的目的服务功能集合。例如,管理员可能具有{报告},{记帐,报告}的PII许可集合,从而被授权执行在具有{报告}或{记帐,报告}的PII标签的目的服务功能集合中定义的功能。医生可能具有{医疗},{医疗,报告}的PII许可集合,从而被授权执行在具有{医疗}或{医疗,报告}的PII标签的目的服务功能集合中定义的功能。护士可能具有{护理},{医疗,护理}的PII许可集合。
PII当前进程标签(CPL):
动态指派给用户的操作系统进程并且在用户访问PII受保护对象时相应更新的PII标签。CPL被动态地更新以包含用户在给定的计算机操作系统进程期间读取的任何PII对象的PII标签的记录。
假设安全管理员为特定的企业创建PII数据访问控制工具。在管理上,实现该工具可包括:
1)安全管理员向安全管理器定义一组有效的目的,该安全管理器诸如IBM的包括PII数据访问控制工具的RACF。以医院为例:
这个企业有效的PII目的可以包括:
目的1(例如:医疗)
目的2(例如:护理)
目的3(例如:记帐),......
目的n(例如:报告)。
2)安全管理员向各种资源/对象指派PII标签。
对象名称(例如:概要医疗记录)
PII分类标签(例如:{医疗,报告})。
3)安全管理员定义正在进行活动的各个用户和用户组。例如,用户可能每日变化。
将用户ID-a(例如,作为病人的用户)增加到组PATIENTS
将用户ID-x(例如,作为护士的用户)增加到组NURSES
将用户ID-y(例如,作为医生的用户)增加到组DOCTORS。
4)安全管理员对于每个适当的用户指派用户PII许可集合。例如:
用户ID-x(例如,作为护士的用户)PII许可集合(例如:[{护理},{医疗,护理}])。
5)安全管理员向安全管理器定义目的服务功能集合。
PSFS姓名1
相关联的程序功能的列表
程序x
方法y
Enterprise Java Bean z。
6)安全管理员向PSFS指派PII标签
PSFS姓名1-PII分类标签。{医疗,护理}。
7)安全管理员指派当该PSFS被用于对一个PII对象进行写时允许发生的PII重新分类:允许的重新分类:从{医疗,护理}到{医疗,报告}。一个给定的PSFS可具有在其执行期间所允许的多个重新分类(从而形成列表)。
图1根据本发明一个方面示出了个人标识信息(PII)所有者10(诸如医疗机构例子中的病人)将诸如完整医疗记录14、概要医疗记录16和病人财务记录18的PII对象输入到关系数据库管理系统和存储器12(或对其进行访问)的一个例子。可行地,病人10可以调用为病人使用而创建的目的服务功能集合(PSFS)中的特定功能。这个特定功能可用于存储关系数据库管理系统内的PII数据对象,该关系数据库管理系统诸如由国际商业机器公司提供的DB2关系数据库管理系统,其在2002年10月的SC26-9937-02出版物“DB2 UDB for OS/390 V7 an Introduction to DB2 forOS/390”中进行了描述。数据可存储在具有适当的预定PII分类标签的各个表-行-列位置。其后该病人的个人数据存在于具有不同的PII分类标签的各PII数据对象中。在图1的例子中,仅以举例的方式示出了标签{医疗,护理},{医疗,报告}和{记帐,报告}。随后,病人可通过指定的PSFS功能查看他们自己的PII数据对象,这将仅允许特定的病人查看该病人作为所有者的PII对象。
图2示出了实现诸如这里公开的PII数据访问控制工具的企业计算环境的一个例子。在这个例子中,诸如PII数据的所有者和/或企业员工的用户21通过因特网22并穿过防火墙24访问在企业内部的服务器上运行的事务管理器25。可选地,防火墙24内侧的用户21a能够直接访问包含事务管理器25的服务器。在这个例子中,同样存在于该服务器上的关系数据库管理系统26访问包含在关联存储器27中的表28中的PII标记对象29。对象存储库27可以采用任何所期望的形式。诸如上述引用的由国际商业机器公司作为z/OS操作系统的一个选项而提供的RACF的安全管理器30查询由企业的安全管理部门32维护的安全注册库31。注册库31可以定义具有相关联的PII标签的用户,包括组和目的,并且可以定义对象分类,包括访问规则、核查控制等等。
可行地,如下面更详细说明的,用户对事务管理器执行特定功能(其在PSFS内可能被定义或未被定义)的请求导致在操作系统内创建一个“进程”。这能够作为来自通过因特网连接到该计算系统的用户或来自本地连接的用户(例如,员工)的请求的结果而发生。由事务管理器调用包括本发明主题的PII数据访问控制工具的操作系统平台安全管理器以确定该用户执行所请求的功能的授权。一旦被批准,该功能开始执行,并且随后作为其自身正常处理的一部分经由事务管理器生成对于(假定)在关系数据库管理系统控制下的PII标记数据的请求。该数据库管理系统调用安全管理器来确定是否允许该请求用户访问所期望的PII对象。该安全管理器呈递基于例如与所请求的对象关联的PII标签、与该用户关联的PII标签以及该对象的其他相关访问规则的判定。此外,这些PII标签和其他访问规则可以由安全管理员建立和维护并且存储在安全管理器可寻址的安全注册库中。
图3根据本发明一个方面示出了在医院环境内使用目的服务功能集合的信息流。
在这个例子中,诸如医生的用户签约使用该工具并且从他当前的操作系统进程试图执行一个特定的应用功能。该用户已由企业安全管理部门指派了一个用户PII许可集合,在这个例子中假定该PII许可集合包括[{医疗},{医疗,报告},{医疗,护理}]。如果该特定功能处于一个PII目的服务功能集合(PSFS)内,则该用户的PII许可集合必须包括指派给该PSFS(见图4A)的PII标签以便该用户被允许执行该特定功能。例如,诸如医生的用户使用PSFS分类标签“医疗”41能够从关系数据库管理系统44中读取“完整医疗记录”。一旦读取具有PII标签{医疗,护理}的“完整医疗记录”,用户的当前进程标签(CPL)便被设置成该数据的标签,从而将读取的任何数据的标签的“历史”保存在该用户的当前操作系统进程中。该CPL稍后在授权处理部分期间在从该进程内部发生的任何写操作之前被引用,以确保只有PII数据被写入到其他具有同样或更少目的的标签的PII标记数据对象,或使用具有已被读入到该进程中的PII数据和正被写出的PII数据的这种特定组合的PSFS来允许PII数据重新分类。例如,在其用户许可集合内具有用户许可{医疗,报告}并因此能够执行在具有PII标签[{医疗}]的目的服务功能集合“PSFS-D”内定义的功能的用户,能够对“完整医疗记录”进行读取而不能对其进行写入,并且因为PSFS-D是允许的,所以从{医疗,护理}到{医疗,报告}的PII重新分类既能够对“概要医疗记录”进行读取也能够对其进行写入。相反地,用户不能够调用在具有用户的PII许可集合内未定义的PII分类标签的PSFS内定义的功能,从而不能访问用户的PII许可集合的范围之外的PII对象。例如,图3的用户1不能对“病人财务记录”进行读或写。
图4-4D根据本发明一个方面详细示出了PII数据访问控制工具的上面介绍的处理的一个例子。参照图4,PII控制工具的使用开始于用户向事务管理器发出请求(步骤50)以执行在目的服务功能集合(PSFS)内可能定义的预先建立的应用功能(步骤60)。这导致其中事务管理器自身执行的操作系统平台内“进程”的逻辑创建。同样在该操作系统平台中执行或与其逻辑连接的是实现这里公开的个人标识信息(PII)概念的数据访问控制工具。下面结合图4A描述用于处理用户执行一个功能的尝试的逻辑的一个例子。假定允许用户访问该特定功能,则事务管理器为该用户请求对所选择的PII数据对象的访问(步骤70)。安全管理器被调用来确定该用户是否被允许访问所选择的PII对象(步骤80),并且该安全管理器呈递是否允许该用户访问的判定。是否允许该用户访问所选择的PII数据对象的判定部分地取决于该特定功能是否涉及读或写(步骤90)。图4B-4D中呈现了用于确定是否允许访问特定PII数据对象的逻辑的一个实施例。
如所指出的,图4A是当用户试图执行一个特定功能时所实现的处理的一个例子。作为一个例子,可以从图4的步骤60调用该处理。最初,用户指定一个特定应用功能(步骤102),且安全管理器处理确定该功能是否被定义为PSFS(步骤104)。如果该特定功能未被定义为PSFS(步骤104),则安全管理器处理确定先前是否已经设置了当前进程标签(CPL)(步骤105),如果是这样的话,安全管理器处理返回到图4,对该特定功能的访问被拒绝(步骤110)。如果先前未设置当前进程标签(CPL),则安全管理器处理仅是返回到图4(步骤106),以进一步评估该用户是否被允许访问所选择的数据对象。如果该特定功能被定义为PSFS(步骤104),则安全管理器处理确定该用户的PII许可集合是否包括指派给该PSFS的PII分类标签(步骤108)。如果该用户的许可集合不包括指派给该PSFS的PII分类标签,则拒绝该用户访问该功能且处理返回到图4。
如果该用户的许可集合确实包括指派给该PSFS的PII分类标签(步骤108),则应用处理通过步骤112继续,直到该应用在某一点通过事务管理器向PII数据对象发出请求(图4中的步骤70),而该事务管理器将该请求传递给调用安全管理器的数据库管理器(例如DB2)(图4中的步骤80),而该安全管理器则确定该用户是否被授权访问该受保护的数据对象并呈递判定(图4中的步骤90),而该判定则被返回给数据库管理器以便进行适当的动作。
图4B示出了当评估是否允许一个用户访问所选择的PII数据对象时能够由安全管理器实现的判定处理的一个例子。最初,该处理确定该对象是否具有PII标签(步骤120)。如果不具有,并且先前未对该用户的进程设置当前进程标签(步骤125),则安全管理器处理通过常规的自主访问控制检查呈递访问判定(步骤127)。自主访问控制(DAC)检查是一种用于进行访问控制检查的方法,并且其籍由操作系统的安全管理器的工具而以与所保护的资源/对象关联的访问控制规则为基础,该安全管理器例如是国际商业机器公司利用z/OS操作系统提供的RACF安全管理器。其他事务之间的访问控制规则包含具有用于特定用户和用户组的访问方式条目的访问控制列表(ACL)。当不存在与所保护的对象关联的PII标签(目的)时,并且在PII标签处理已经发生之后,可使用DAC检查以进一步限定(或精准)该访问控制判定。如同PII访问控制检查的DAC检查可以使用作为对于对象的特定活动的访问方式。有关DAC检查的访问方式的实例包括创建、删除、更新、限制读的更新、以及读取。在IBM的RACF中称作“资源简档”的访问规则同时也被指定。一般而言,这种规则采用形式:“主体”能够对“对象”执行访问方式。此外,在图4B的处理中的这一阶段可以使用任何自主访问控制检查方法。在步骤127,自主访问控制检查呈递是否允许用户访问所选择的对象的判定。这一判定或是允许访问(步骤132)或是拒绝访问(步骤134)。可以在2002年9月SA22-7683-3的IBM出版物“Z/OS V1R4.0 Security Server RACF SecurityAdministrator’s Guide”中找到自主访问控制(DAC)的进一步说明。如果先前已经对于用户“进程”设置了CPL(步骤125),则安全管理器处理确定该特定功能是否是读操作(步骤126)。如果是这样的话,则使用例如DAC检查呈递是否允许访问该对象的判定(步骤127)。如果该特定功能不是读操作,则拒绝访问(步骤134),因为在将一个PII受保护对象读入到一个计算机操作系统进程之后就不允许从该进程对非PII受保护对象进行写入。
假定该对象具有一个PII分类标签,则安全管理器处理确定该用户是否正在执行PSFS功能(步骤122)。如果是这样的话,则处理前进到图4C(步骤124)。否则,由于所选择的对象具有一个PII标签并且该用户未在执行PSFS功能,从而PII标签处理拒绝访问(步骤134)。
在从图4C或图4D返回(步骤130)时,安全管理器处理确定访问是否已经被PII标签处理所拒绝(步骤128)。如果不是,则使用例如自主访问控制检查来呈递该访问判定(步骤127)。否则,访问被拒绝(步骤134)。假定该用户正在执行PSFS功能,则处理(图4C)确定该用户是否正在执行读操作(步骤140)。如果不是这样,则该用户肯定在执行写操作,于是继续进行图4D的处理。如果是这样,则确定PSFS的标签是否与该PII对象的标签相同或是其一个真子集(步骤142)。如果不是,则处理返回到图4B(步骤145),并且用户被PII标签处理拒绝访问,因为这一PII对象不能利用这一特定的PSFS来进行读取。如果步骤142为是,则该PII对象的标签作为一个条目被添加到CPL中(步骤143)。这可能是CPL中的第一个条目或是现有CPL的附加条目。如果一个条目已经存在于与PII对象的标签相同的CPL中,则跳过这一步骤。现在,处理返回到图4B(步骤144),并且PII标签处理不拒绝该用户访问该PII对象。
如果该用户未在执行读操作,这意味着该用户正在执行写操作,则安全管理器处理从步骤140前进到图4D,以首先确定该用户的进程的当前进程标签(CPL)先前是否已经被设置过(步骤150)。如果不是,则处理返回到图4B(步骤151),该用户的进程作为PII可控进程继续,并且该用户被允许将非PII数据写入到现有的PII数据对象中。如果在步骤150为是,则确定该PII对象的标签是否与每个CPL条目(可能只有一个)的标签相同或是其一个真子集(步骤152)。如果是,则该处理返回到如上所述的图4B以继续(步骤151)。如果在步骤152为否,则在步骤153确定该PSFS是否具有足够的权限来将PII对象从CPL中的标签重新分类到正在被写入的PII对象中的标签。如果为否,则在步骤154,处理返回到图4B,拒绝用户访问该PII数据对象。如果在步骤153为是,则处理返回到如上所述的图4B以继续(步骤151)。
下面是本发明所公开的几个概念的理论基础的形式表现。假定存在对象O、主体S和动作A的集合。此外,每个动作aA可以被解释为具有读方式或写方式。用目的集合来标记主体和对象。当且仅当11m12时,标签11优于标签12;即目的集合11是目的集合12的超集。通常,为了读取本发明所保护的PII数据,用户必须执行并因此被授权(或许可)执行PSFS,该PSFS自身具有优于由该用户正在试图读取的数据的标签的PII标签。即,该PSFS以及正在执行它的相关用户必须具有存在于正被读取的PII对象的标签中的具有一个或多个目的的PII标签。
保密性标签
个人数据的每个实例都具有关联标签。标签L包含一组目的;这些是该个人数据的所有者已经允许的目的。具有多个目的的对象具有较低的保密性,因此,除非在特别定义的环境中,否则在对象之间流动的数据只能够从具有多个目的的对象流向具有较少目的的对象。因此,当数据在计算期间流过该系统时,它的标签变得更受限制,除非特别控制的环境(处理)允许该数据以受控的方式被重新分类。
该标签集合形成具有安全类格的基本属性的先序。该格中的每个元素是可能的标签中的一个。标签按限定关系[所定义的偏序而存在。被写作为BOT的最低限定性的标签对应于能够流向任何地方的数据;最大可能的限定性TOP对应于不能流向任何地方的数据;它不能被任何人读取。随着在该格中上升,标签变得更加具有限定性。在该格中,数据总能够向上被重新标记,这意味着它能够被用于较少的目的,因为限定不会引起可能的信息泄漏。应该指出,标签BOT对应于公共信息;即,不包括个人信息的数据。
如果新标签包括相同或更少的目的,则个人数据的重新标记是一种限定。表达式L1[L2意味着L1的限定性小于或等于L2的限定性,并且数据能够如下面表达式所表示的从标签L1重新标记为L2,其中操作符r表示超集关系。
L1[L2hL1rL2,也可以说当且仅当L1[L2时标签L2优于标签L1。
当计算(或由PSFS表示的动作)对分别标记有L1和L2的两个值进行组合时,结果应当具有施行由L1和L2指定的所有使用限定(最低限定性)的标签。施行L1和L2中的所有策略的最低限定性的策略集仅是两个策略集的交集。较低限定性的标签是记作L17L2的L1和L2的最小上界或它们的并;
L17L2hL13L2。例如,组合对象(例如,包含地址和信用卡号的记录)只能够用于目的的交集。
例如,假定一个格具有的标签由三个以上目的组成:记帐、医疗和报告。这样的格可由它的哈塞图(描述于“Implementing DiscreteMathematics:Combinatorics and Graph Theory with Mathematica”中的§5.4.2,Skiena,S.的″Hasse Diagrams″,Reading,MA:Addison-Wesley,163,169-170,和206-208页,1990年)表示,其中“较低限定性的”关系[由下至上具有被省略的传递性且自反的边。可用于医疗和报告目的的对象将被标记为{医疗,报告}。来自这个对象的数据可被复制到具有标签{医疗}或具有标签{报告}的对象中。为了能够读取该对象,主体(或用户)必须具有有效标签{医疗}、{报告}或{医疗,报告}(从用户正在执行的PSFS中获得)。应当指出,由于默认的“下读/上写”属性,在该格中信息只能够向上流动。
此外还应当指出,包括在标签L中的目的不表示权利而表示限定。因此,如果一个主体服务于至少一个与要读取的PII对象关联的目的,则该主体所服务的目的越少,其能够读取的对象就越多。
当且仅当与主体s关联的目的与关联于PII对象o的目的相同或是其一个子集时,主体s才可以读取该对象o。
当且仅当与PII对象o关联的目的与关联于主体s的目的相同或是其一个子集时,主体s才可以对该对象o进行写。
例如,具有标签{记帐,报告}的用户可以读取具有标签{记帐,医疗,报告}的对象并且可以对具有标签{记帐}的对象进行写。
良好格式的星型属性
如果将用户的计算机操作系统进程的当前进程标签(CPL)看作为“高水位标”,则它能够在格中向上浮动而不是向下。当用户利用给定的PSFS读取各种个人数据时,CPL反映与所读取的PII数据对象关联的目的,因而在格中向上浮动,直到已达到该用户的许可,其是该用户已被许可(授权)执行的PSFS的一个功能。例如,用户Jane可能被许可执行具有标签{医疗}的PSFS。通过利用这一PSFS读取标记为{医疗,报告}的对象,她的CPL变为{医疗,报告}。从标记为{医疗}的对象读取信息使得她的CPL包括附加的条目{医疗},从而正确地反映她已经读入到她当前进程中的信息的标签。使用她在这种状态下的CPL,默认地,她将能够执行PSFS以将她已经读入到她的进程中的信息写出到具有标签{医疗}的PII对象中。应当指出,她正在将她已读取的信息的某一部分从{医疗,报告}重新分类到{医疗},但是这默认地是允许的,因为{医疗}比{医疗,报告}在格中要靠前(具有更少的目的或更多的限定性)。
到目前为止所讨论的数据流和信息的结果重新分类在某些方面类似于MLS受控的处理环境中的数据流。但是,尽管MLS针对于能够提供严格遵守基于安全原因而对计算机资源(例如,数据)进行分割化访问控制的规则的工具的需求,但仍然存在对于根据企业指定的灵活规则允许PII的重新分类的保密性支持的需要。换句话说,保密性支持必须包括用于企业指定某些用户(或用户组)被授权将PII从一个特定的预定分类重新分类到另一特定的预定分类的方法,但是这仅在自身不能改变或由被授权执行它们的用户所操作的预定功能集合的范围内进行。这种需要由本发明的另一方面提供,即目的服务功能集合(PSFS)的定义和对其进行描述的条目的“允许的重新分类”结构。
所选择的用户被许可(授权)执行包括能够并被允许对PII数据对象进行重新分类的任何/所有PSFS。我们称这种概念为″良好格式的星型属性″,其在本发明中被表示为由于用户在企业中位置而已经被安全管理部门指派了的对PSFS的许可集合。
医院示例
为了说明在本发明内表示的概念,我们使用一个医疗机构作为举例。医生、护士、管理人员和病人作为PII信息出现在我们的示例中,其中该PII信息由通过医院计算系统的病人的流所拥有并且由各医院成员访问和使用。接下来开始说明这个例子。
假定该医院的保密性说明针对4个对象分类。一般记录包括具有记帐和医疗目的以及可能更多目的的一般个人信息,诸如姓名、地址等等。医疗记录包括只用于医疗目的的关于病人的医疗数据。概要医疗记录仅用于记帐目的。它确切地包括什么医疗数据进入帐单,例如,如保险单所规定的。财务记录仅用于记帐目的。它包括保险明细、价格、发送帐单和付款的日期等等。
在医院内部,存在作用于管理员、护士和医生的原则。由下述信息保密策略管制访问:只有该医院的医生和护士能够访问被授权相对于存储在医疗记录中的详细数据执行的目的服务功能集合。以这种方式,该医院的医生和护士被认为对于医疗记录已经被“许可”。概要医疗记录是医院不对护士发布的机密信息。只有该医院的管理部门和医生能够访问这些数据。只有该医院的管理部门能够访问财务记录。一方面,存在专有的访问权利:医生不能被许可读取财务记录而管理员不能被许可读取医疗记录。另一方面,信息只能通过概要医疗记录从医疗记录流入到财务记录中。
利用被许可执行PSFS的“可信赖的主体”的能力,其中的PSFS已经由医院计算机安全管理部门预定义为具有以可控方式安全且正确地进行重新分类甚至降级的能力,可给出医院策略的另一规范。
首先管理员获得许可执行具有PII标签“报告”的目的服务功能集合内的功能并且医生同样获得用于目的“医疗”的许可。这赋予双方读取概要记录的可能性。另外,管理员能够读取财务记录而医生能够读取医疗记录,反之则不然。最后,为了允许信息只以预定的、安全且正确的方式从医疗记录流向概要记录,例如可定义医生的许成以包括标签集合{{医疗},{医疗,报告}}。这样,医生可通过执行对其她已经被许可的具有标签{医疗}的PSFS来开始,该PSFS允许她读取医疗记录和概要记录。然后通过执行其定义包括“允许的重新分类”子句:从{医疗}到{医疗,报告}的PSFS,她被允许只通过包括在该PSFS内的企业定义的功能,将标记为{医疗}的PII降级到{医疗,报告}。应当指出,医生不能对财务记录进行读或写。
相应地,管理员可以通过执行具有标签{报告}的PSFS而开始,该PSFS允许她读取概要记录以及财务记录。然后,通过执行其定义包括“允许的重新分类”子句:从{报告}到{记帐,报告}的PSFS,她被允许只通过包括在该PSFS中的企业定义的功能,将标记为{报告}的PII降级到{记帐,报告}。此外,管理员不能对医疗记录进行读或写。
应当指出,经由医生,信息只能从医疗记录流向概要记录,而经由管理员则从概要记录流向财务记录。
为了防止护士读取概要记录,可以引入附加目的的处理。护士(通过她们被许可执行的PSFS内定义的功能的方式)以及医疗记录都具有标签{医疗,护理}。从而,护士能够对医疗记录进行读和写而不能访问其他对象。这完善了该示例策略的规范。
在该示例规范中,医生不被允许对医疗记录进行写。这可被看作是一种限制。然而,该规范能够扩展到通过改变医生的PSFS许可以包括分别标记为{医疗}、{医疗,报告}、{医疗,护理}的多个PSFS来赋予她们这种附加的权利。因此,当医生使用具有标签{医疗,护理}的PSFS进行她的医疗工作时,她能够对医疗记录进行读和写。然而,当她欲进行管理工作时,她执行具有标签{医疗}的PSFS内的功能来读取医疗信息。当她决定将由标签{医疗,护理}保护的一些详细医疗信息“重新分类”到概要记录时,她执行已经被预定义为具有进行重新分类的授权的PSFS,因而将PII从标签{医疗,护理}降级到标签{医疗,报告}。
优点
本领域的技术人员将从上面的描述中注意,通过使用诸如本文所描述的数据访问控制工具,当工作于敏感的个人标识信息(PII)对象时,安全管理员能够根据满足企业的业务需求的特定操作序列来定义和建立特定的计算机功能集合。这种预建立且可控的功能集合以及关联的操作序列是仅能够访问这种PII对象的进程,因而确保这些PII对象能够仅以企业保密策略所描述的方式被使用。所提出的该数据访问控制工具是基于新的逻辑结构的,该逻辑结构包括根据对象所需的保密性级别(其解释为该对象能够被正当地使用的目的)将数据对象和用户分类以及根据各个用户所需的PII对象的许可将功能分组为被授权给用户的目的服务功能集合的概念。此外,根据本发明的数据访问控制工具允许用户(或计算机进程)根据访问事件情况的动态性来访问PII分类的信息和功能的不同集合,从而增加需要访问PII对象的信息处理的灵活性并增强其安全性。
本发明能够被包括在具有例如计算机可用介质的制造物品(例如,一个或多个计算机程序产品)中。该介质具有包括在其中的例如用于提供并有助于本发明的能力的计算机可读程序代码手段。该制造物品能够作为计算机系统的一部分被包括在内或单独出售。
另外,可以提供至少一个机器可读程序存储装置,其包括至少一个机器可执行以实现本发明的能力的指令程序。
本文所示出的流程图仅仅是示例。在不脱离本发明的精神的情况下,可存在对于本文所描述的这些图或步骤(或操作)的许多变化。例如,这些步骤可以按照不同的顺序来执行,或这些步骤可以被增加、删除或修改。所有这些变化都被认为是所要求保护的本发明的一部分。
尽管本文详细示出和描述了优选实施例,但是对于本领域技术人员来说显而易见的是,在下述权利要求中定义的本发明的范围内能够进行各种修改、增加、替换等等。
机译: 使用个人识别信息标签和目的服务功能集的PII数据访问控制工具的实现和使用
机译: 使用个人识别信息标签和目的服务功能集的PII数据访问控制工具的实现和使用
机译: 使用个人识别信息标签和目的服务功能集的PII数据访问控制工具的实现和使用
