[发明专利]指定访问控制策略

说明书

技术领域

本发明涉及指定访问控制策略，更具体地涉及指定针对访问医疗患者数据的访问控制策略。

背景技术

在过去，卫生保健机构使用基于纸件的系统来处理患者医疗信息。现代的消费者卫生保健组织趋向于是公开的、互联的和灵活的。在专业的医疗领域中，这促进了电子健康记录(EHR)系统的采用。EHR系统的目标是通过以下方面来提高护理质量：使医疗信息容易地获得；通过健康信息的电子交换增加卫生保健设施中服务的传送效率；因健康信息的增加的可用性和质量而产生的更安全的患者护理；以及节省与人工系统有关的成本。

EHR系统已经在世界范围的卫生保健机构中广泛地使用，这意味着可以从许多源访问个人的健康信息，因此增加了安全漏洞的风险程度。这些原因导致越来越多的对于隐私和保密的侵犯的关注，这促使将患者许可(consent)机制引入到EHR系统中。许可来源于希波克拉提斯誓言(Hippocratic Oath)，该希波克拉提斯誓言由对其患者宣誓保密的卫生保健提供者采用。许可的字典定义是允许(permission)或同意(agreement)。许可也被定义为根据行动所涉及方面的知识、其可能的后果和说不的选择而对行动的迅速的或默示的同意。仅可以通过患者明确的或默示的许可来揭示患者的医疗数据；其中通过患者口头地或书面地表达明确的许可，并且其中从个人的行为推断默示的许可。优选地，许可包括指定谁能够访问患者记录并且指定用于什么目的的授权。

为了保护患者的隐私，EHR系统可以是访问受控的，并且当处理访问请求时，这些访问控制机制可以考虑个人的许可。当前，以在患者被要求签字的，并且文件描述患者和卫生保健机构的权利和义务(更具体地涉及隐私考虑)的标准文件中以书面的形式获得个人的明确许可(例如IHE基本患者隐私许可)。

例如，可以以XACML策略的形式表达针对具体患者的在EHR系统中应用的隐私策略。XACML代表OASIS可扩展访问控制标记语言。然而，很难正确地指定XACML策略。在2006年5月的IPSJ Digital Courier的卷2第207-221页中作者为Hiroaki Kamoda等的“Access control policy analysis using free variable tableaux”中已经公开了通过使用自由变量表分析访问控制策略的方法。

发明内容

具有用于指定访问控制策略的改进的系统是有利的。为了更好地解决该问题，在本发明的第一方面中，提供一种系统，包括：

-用户接口，其用于使用户能够指定多个包括主体属性、客体、行动和授权的策略规则，所述策略规则定义访问控制策略；

-转换模块，其用于将所述访问控制策略转换成机器可读数据访问控制策略语言以获得转换后的数据访问控制策略；以及

-输出，其用于将所述转换后的数据访问控制策略提供给访问控制策略实施单元。

这允许用户以用户友好的方式通过用户接口指定策略规则。不需要具有数据访问控制策略语言的知识。相反，可以通过用户接口指定策略规则，之后它们被自动地转换成数据访问控制策略语言，并被提供给实施单元用于执行。由于自动地执行转换，所以在转换的创建中出现较少的错误。

可以将冲突检测模块用于检测分别指示可能的访问请求的拒绝和允许的至少两个冲突的策略规则。因为在首次将规则应用于实际的访问请求之前的策略指定阶段中检测冲突，所以这有助于建立无错误的策略。可以将冲突检测模块设置用于在由用户输入新的策略规则时被激活，这能使用户在指定策略时获得立即的反馈。

可以将所述冲突检测模块设置用于检测分别指示由特定主体对特定客体的特定类型访问的拒绝和允许的冲突的策略规则。由于一个策略规则将允许而另一个策略规则将拒绝，所以不能解决由该特定主体对该特定客体执行特定类型访问的访问请求的授权。因此这是检测冲突的策略规则的有效方式。

系统还可以包括冲突解决模块，其用于解决在所述至少两个冲突的策略规则中的所述冲突以获得校正的访问控制策略，所述冲突解决模块包括用于向用户指示与所述冲突有关的信息的冲突指示模块和用于从用户获取指示冲突解决的信息的冲突解决输入。这提供了根据用户的希望解决冲突的有效方式。

冲突解决模块可以包括自动冲突解决模块，其用于将预定的一组冲突解决规则应用到所述冲突策略规则以解决所述冲突，如果所述一组冲突解决规则不足以解决所述冲突，则应用所述冲突解决输入。这减少了用户被要求校正访问控制策略的次数。