專利名稱：：指定訪問控制策略的制作方法
技術(shù)領(lǐng)域：
：本發(fā)明涉及指定訪問控制策略，更具體地涉及指定針對訪問醫(yī)療患者數(shù)據(jù)的訪問控制策略。
背景技術(shù)：
：在過去，衛(wèi)生保健機構(gòu)使用基于紙件的系統(tǒng)來處理患者醫(yī)療信息?，F(xiàn)代的消費者衛(wèi)生保健組織趨向于是公開的、互聯(lián)的和靈活的。在專業(yè)的醫(yī)療領(lǐng)域中，這促進了電子健康記錄(EHR)系統(tǒng)的采用。EHR系統(tǒng)的目標是通過以下方面來提高護理質(zhì)量使醫(yī)療信息容易地獲得；通過健康信息的電子交換增加衛(wèi)生保健設(shè)施中服務(wù)的傳送效率；因健康信息的增加的可用性和質(zhì)量而產(chǎn)生的更安全的患者護理；以及節(jié)省與人工系統(tǒng)有關(guān)的成本。EHR系統(tǒng)已經(jīng)在世界范圍的衛(wèi)生保健機構(gòu)中廣泛地使用，這意味著可以從許多源訪問個人的健康信息，因此增加了安全漏洞的風(fēng)險程度。這些原因?qū)е略絹碓蕉嗟膶τ陔[私和保密的侵犯的關(guān)注，這促使將患者許可(consent)機制引入到EHR系統(tǒng)中。許可來源于希波克拉提斯誓言(HippocraticOath)，該希波克拉提斯誓言由對其患者宣誓保密的衛(wèi)生保健提供者采用。許可的字典定義是允許(permission)或同意(agreement)。許可也被定義為根據(jù)行動所涉及方面的知識、其可能的后果和說不的選擇而對行動的迅速的或默示的同意。僅可以通過患者明確的或默示的許可來揭示患者的醫(yī)療數(shù)據(jù)；其中通過患者口頭地或書面地表達明確的許可，并且其中從個人的行為推斷默示的許可。優(yōu)選地，許可包括指定誰能夠訪問患者記錄并且指定用于什么目的的授權(quán)。為了保護患者的隱私，EHR系統(tǒng)可以是訪問受控的，并且當處理訪問請求時，這些訪問控制機制可以考慮個人的許可。當前，以在患者被要求簽字的，并且文件描述患者和衛(wèi)生保健機構(gòu)的權(quán)利和義務(wù)(更具體地涉及隱私考慮)的標準文件中以書面的形式獲得個人的明確許可(例如IHE基本患者隱私許可)。例如，可以以XACML策略的形式表達針對具體患者的在EHR系統(tǒng)中應(yīng)用的隱私策略。XACML代表OASIS可擴展訪問控制標記語言。然而，很難正確地指定XACML策略。在2006年5月的IPSJDigitalCourier的卷2第207-221頁中作者為HiroakiKamoda等的"Accesscontrolpolicyanalysisusingfreevariabletableaux，，中已經(jīng)公開了通過使用自由變量表分析訪問控制策略的方法。
發(fā)明內(nèi)容具有用于指定訪問控制策略的改進的系統(tǒng)是有利的。為了更好地解決該問題，在本發(fā)明的第一方面中，提供一種系統(tǒng)，包括-用戶接口，其用于使用戶能夠指定多個包括主體屬性、客體、行動和授權(quán)的策略規(guī)則，所述策略規(guī)則定義訪問控制策略；-轉(zhuǎn)換模塊，其用于將所述訪問控制策略轉(zhuǎn)換成機器可讀數(shù)據(jù)訪問控制策略語言以獲得轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略；以及-輸出，其用于將所述轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略提供給訪問控制策略實施單元。這允許用戶以用戶友好的方式通過用戶接口指定策略規(guī)則。不需要具有數(shù)據(jù)訪問控制策略語言的知識。相反，可以通過用戶接口指定策略規(guī)則，之后它們被自動地轉(zhuǎn)換成數(shù)據(jù)訪問控制策略語言，并被提供給實施單元用于執(zhí)行。由于自動地執(zhí)行轉(zhuǎn)換，所以在轉(zhuǎn)換的創(chuàng)建中出現(xiàn)較少的錯誤?？梢詫_突檢測模塊用于檢測分別指示可能的訪問請求的拒絕和允許的至少兩個沖突的策略規(guī)則。因為在首次將規(guī)則應(yīng)用于實際的訪問請求之前的策略指定階段中檢測沖突，所以這有助于建立無錯誤的策略?？梢詫_突檢測模塊設(shè)置用于在由用戶輸入新的策略規(guī)則時被激活，這能使用戶在指定策略時獲得立即的反饋?？梢詫⑺鰶_突檢測模塊設(shè)置用于檢測分別指示由特定主體對特定客體的特定類型訪問的拒絕和允許的沖突的策略規(guī)則。由于一個策略規(guī)則將允許而另一個策略規(guī)則將拒絕，所以不能解決由該特定主體對該特定客體執(zhí)行特定類型訪問的訪問請求的授權(quán)。因此這是檢測沖突的策略規(guī)則的有效方式。系統(tǒng)還可以包括沖突解決模塊，其用于解決在所述至少兩個沖突的策略規(guī)則中的所述沖突以獲得校正的訪問控制策略，所述沖突解決模塊包括用于向用戶指示與所述沖突有關(guān)的信息的沖突指示模塊和用于從用戶獲取指示沖突解決的信息的沖突解決輸入。這提供了根據(jù)用戶的希望解決沖突的有效方式。沖突解決模塊可以包括自動沖突解決模塊，其用于將預(yù)定的一組沖突解決規(guī)則應(yīng)用到所述沖突策略規(guī)則以解決所述沖突，如果所述一組沖突解決規(guī)則不足以解決所述沖突，則應(yīng)用所述沖突解決輸入。這減少了用戶被要求校正訪問控制策略的次數(shù)。沖突解決輸入可以包括用于從所述用戶獲取指示一個沖突策略規(guī)則相對于另一個沖突策略規(guī)則具有優(yōu)先權(quán)的信息。在策略的實施期間，這允許用戶指定在沖突將實際發(fā)生的情況下，哪一個沖突規(guī)則‘勝出’。沖突檢測模塊可以包括用于檢測在由所述用戶指示的策略規(guī)則的優(yōu)先權(quán)中的不一致性的模塊。通過校正一個沖突引入的優(yōu)先權(quán)可能引入另一個沖突，即策略規(guī)則的優(yōu)先權(quán)中的不一致性。本文的檢測也允許解決該沖突。例如通過進一步改進優(yōu)先權(quán)，可以要求用戶解決該新的沖突?？梢詫⒂脩艚涌谠O(shè)置用于以決策表的形式表示所述訪問控制策略。決策表是用于指定訪問控制策略的相對直觀的方式。轉(zhuǎn)換可以包括將決策表轉(zhuǎn)換成訪問控制策略語言。可以將沖突檢測模塊和沖突解決模塊設(shè)置用于在轉(zhuǎn)換成訪問控制策略語言之前操作決策表?？梢詫⑺鰶_突檢測模塊設(shè)置用于在由用戶增加或改變策略規(guī)則之后被激活。通過該方式，可以將快速反饋提供給用戶。可以將所述沖突檢測模塊設(shè)置用于基于在至少一個所述沖突規(guī)則中涉及的主體屬性，檢驗兩個規(guī)則是否應(yīng)用于相同的主體。主體屬性可以包括例如，角色或組。然后可以將策略規(guī)則應(yīng)用于具有特定角色的主體或為特定組的成員的主體。沖突策略具有至少一個公共主體，并且沖突規(guī)則之一可以拒絕訪問，而另一個沖突規(guī)則可以允許由主體進行訪問。機器可讀安全策略語言可以包括所述可擴展訪問控制標記語言XACML。XACML是合適的訪問控制策略語言。訪問控制策略實施單元可以包括用于接收所述轉(zhuǎn)換后的訪問控制策略的輸入；和用于實施所接收的訪問控制策略的策略實施模塊。這允許策略的有效實施?？梢詫⑤敵鲈O(shè)置用于通過廣域網(wǎng)將所述轉(zhuǎn)換后的訪問控制策略發(fā)送到所述訪問控制策略實施單元，所述訪問控制策略實施單元遠離所述用戶接口、轉(zhuǎn)換模塊和輸出。這是適于遠程客戶的配置，該遠程客戶建立沒有沖突的、轉(zhuǎn)換成訪問控制策略語言的策略，并將該策略傳送到訪問控制策略實施單元。一種將訪問控制策略指定給醫(yī)療患者數(shù)據(jù)的方法可以包括-使用戶能夠指定多個包括主體屬性、客體、行動和授權(quán)的策略規(guī)則，所述策略規(guī)則定義訪問控制策略；-將所述訪問控制策略轉(zhuǎn)換成機器可讀數(shù)據(jù)訪問控制策略語言以獲得轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略；以及-將所述轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略提供給訪問控制策略實施單元?！N計算機程序產(chǎn)品可以包括用于使處理器系統(tǒng)執(zhí)行已闡述方法的步驟的計算機可執(zhí)行指令。將參考附圖進一步闡明和描述本發(fā)明的這些和其它的方面，其中圖1是說明了用于指定訪問控制策略的系統(tǒng)和訪問控制策略實施單元的方面的框圖；圖2是說明了指定訪問控制策略的方法的步驟的框圖；圖3是說明了用于指定訪問控制策略的系統(tǒng)的進一步方面的框圖；以及圖4是說明了沖突檢測方法的步驟的框圖。具體實施例方式在現(xiàn)代的衛(wèi)生保健IT系統(tǒng)中，通過管理對患者健康數(shù)據(jù)的訪問的安全機制可以將患者許可考慮進去。XACML是日益增長地用于指定訪問控制策略的XML語言。然而由于其復(fù)雜性，指定正確的XACML策略是有挑戰(zhàn)性的。在本文描述了用于針對患者許可的高級隱私策略到機器可讀策略語言(諸如XACML)的自動轉(zhuǎn)換的方法。然而，XACML僅是非限制性的示例。該方法可以包括潛在沖突的檢測以及它們的解決。在消費者健康和衛(wèi)生保健領(lǐng)域中，信息和通信技術(shù)的發(fā)展已經(jīng)使包括遠距離醫(yī)學(xué)和遠程患者監(jiān)控的遠程衛(wèi)生保健服務(wù)(遠程醫(yī)療)成為可能。許多服務(wù)已經(jīng)配置了遠程醫(yī)療基礎(chǔ)設(shè)施，其中，通過家用網(wǎng)絡(luò)集線器將測量設(shè)備連接到遠程后端服務(wù)器。衛(wèi)生保健提供者使用該架構(gòu)遠程地訪問測量數(shù)據(jù)并且?guī)椭颊?。示例是疾病管理服?wù)或急診響應(yīng)服務(wù)。測量設(shè)備、家用網(wǎng)絡(luò)集線器和后端服務(wù)的互操作性對于使服務(wù)的成功操作成為可能是重要的?？梢允箿y量設(shè)備、家用網(wǎng)絡(luò)集線器(應(yīng)用主機)設(shè)備、在線衛(wèi)生保健/健康服務(wù)和健康記錄系統(tǒng)(PHR/EHR)之間的協(xié)議標準化。在數(shù)據(jù)格式和交換問題之后，可以解決保密和安全問題。在這種包括家用網(wǎng)絡(luò)集線器和后端服務(wù)的架構(gòu)中，測量設(shè)備和應(yīng)用主機設(shè)備應(yīng)能夠以或多或少的點對點(adhoc)方式連接到不同的服務(wù)。通過患者的生活收集敏感的患者數(shù)據(jù)，并且可以將通過疾病管理、健康與健身和老年獨立服務(wù)執(zhí)行的測量包括在患者的健康記錄中。在其移動中，雖然有許多開放的和能夠互操作的系統(tǒng)，但僅可以將敏感的健康數(shù)據(jù)用于患者已經(jīng)許可的目的，即根據(jù)他的隱私策略。在規(guī)范的衛(wèi)生保健領(lǐng)域的實踐中使用的書面許可是靜態(tài)的并且不是針對每個單獨的患者定制的，因此，其不能充分地獲得消費者健康與衛(wèi)生保健方案中的許可和患者隱私策略。對于要在訪問控制機制中考慮的患者許可而言，優(yōu)選地以電子形式表達訪問控制策略。另外，需要以由訪問控制機制識別的形式表達許可(為了使其實施容易)。實現(xiàn)其的一種方式是指定機器可讀格式的策略。存在表示機器可讀格式策略的具體的安全策略語言。XACML是由在衛(wèi)生保健領(lǐng)域已經(jīng)得到重要應(yīng)用(HL-7，HITSP)的OASIS發(fā)展的一種這樣的策略語言。然而，由于訪問控制策略管理的信息的數(shù)量和復(fù)雜性使得訪問控制策略是復(fù)雜的，從而，指定正確的XACML策略是有挑戰(zhàn)性的。因此，獲得高級的患者許可/隱私策略并將其轉(zhuǎn)換成機器可讀的XACML策略是有利的，該機器可讀的XACML策略可以由訪問控制和DRM(數(shù)字權(quán)限管理)機制使用。優(yōu)選地，將測量用于檢查轉(zhuǎn)換后的訪問控制策略是如預(yù)期的并且不具有沖突。圖1說明了用于指定訪問控制策略10的系統(tǒng)1。例如，可以在諸如移動電話或個人計算機或膝上型計算機等家用設(shè)備中實施系統(tǒng)1。也可以例如在醫(yī)院的終端上實施系統(tǒng)1，其中患者或護士控制系統(tǒng)1的操作。通過使用其它硬件也可以實施系統(tǒng)1，例如作為患者監(jiān)控設(shè)備的一部分的硬件。系統(tǒng)1包括用戶接口13。用戶接口13可以是例如圖形用戶接口或文本接口。用戶接口13提供例如按鈕和/或文本輸入?yún)^(qū)的用戶接口元素，用戶可以使用該用戶接口元素來指定多個策略規(guī)則。這種策略規(guī)則可以定義針對訪問與患者有關(guān)的醫(yī)療或個人數(shù)據(jù)的許可。策略規(guī)則可以包括例如主體屬性、客體、行動和授權(quán)。在本文中，主體屬性定義了策略規(guī)則應(yīng)用到哪些主體。更具體地，主體屬性定義了主體需要的以能夠訪問數(shù)據(jù)的屬性。其可以是姓名、角色、位置、證書、執(zhí)照等。主體可以是關(guān)于其要實施策略規(guī)則的人或?qū)嶓w。同時，通過用戶接口輸入的一組策略規(guī)則可以定義高級訪問控制策略10。這種高級訪問控制策略可以是人類可讀的，但其可能不是機器容易使用的格式。這種訪問控制策略可以涉及策略規(guī)則的集合，該集合定義某塊數(shù)據(jù)的訪問限制，例如與特定患者有關(guān)的數(shù)據(jù)。因此，至少部分地根據(jù)通過用戶接口的用戶輸入來建立訪問控制策略10。也可以部分地通過具有涉及數(shù)據(jù)的職責的機構(gòu)的策略來定義或限制訪問控制策略10，例如存儲數(shù)據(jù)或根據(jù)數(shù)據(jù)向患者提供護理的機構(gòu)可以限制患者可以并入他或她的個人訪問控制策略10中的可能的策略規(guī)則。系統(tǒng)1可以包括轉(zhuǎn)換模塊9，其用于將訪問控制策略10轉(zhuǎn)換成機器可讀數(shù)據(jù)訪問控制策略語言以獲得轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略14。在用戶已經(jīng)通過用戶接口13指定訪問控制策略10之后，用戶例如按壓指示訪問控制策略10完成和確定的按鈕。之后，轉(zhuǎn)換模塊9將訪問控制策略10中的策略規(guī)則轉(zhuǎn)換成可以由標準策略實施模塊處理的語言描述，該標準策略實施模塊被配置來處理由訪問控制策略語言定義的轉(zhuǎn)換后的訪問控制策略14。替代地，在通過用戶接口13定義訪問控制策略的過程期間，可以將轉(zhuǎn)換模塊9設(shè)置為對轉(zhuǎn)換14進行更新。例如，每次用戶增加、修改或刪除策略規(guī)則時，轉(zhuǎn)換模塊9分別增加、修改或刪除轉(zhuǎn)換后的訪問控制策略14的文本。系統(tǒng)1還可以包括用于將轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略14提供給訪問控制策略實施單元50的輸出11。例如，將輸出設(shè)置為通過系統(tǒng)1可以連接到的網(wǎng)絡(luò)傳送數(shù)據(jù)。這種網(wǎng)絡(luò)可以是廣域網(wǎng)(例如因特網(wǎng))或局域網(wǎng)。在另一配置中，系統(tǒng)1可以部分地或完全地與訪問控制策略實施單元集成。在這種情況中，可以將輸出設(shè)置為通過內(nèi)部系統(tǒng)消息或者例如通過將其存儲在特定位置而將轉(zhuǎn)換后的訪問控制策略14提供給訪問控制策略實施單元50。系統(tǒng)1可以包括沖突檢測模塊2。將沖突檢測模塊2設(shè)置為檢測在訪問控制策略中是否存在沖突的策略規(guī)則。將沖突檢測模塊2設(shè)置為檢測至少兩個分別指示可能的訪問請求的拒絕和允許的沖突的策略規(guī)則。因為通常所有的訪問請求應(yīng)該被決定為允許或者拒絕，所以這些策略是沖突的?？梢詫_突檢測模塊2設(shè)置為通過尋找分別指示由特定主體對特定客體的特定類型訪問的拒絕和允許的規(guī)則來檢測沖突的策略規(guī)則。通過策略規(guī)則可以隱含地定義這種類型的訪問、客體和主體。例如，根據(jù)主體屬性可以在策略規(guī)則中定義主體(例如幾個主體可以具有的角色或一組主體)。如果兩個規(guī)則的主體屬性不同，則通過不同的策略規(guī)則涵蓋一個或多個相同的主體仍然是可能的，這可能引起沖突的許可。沖突檢測模塊2的輸入(由用戶接口13提供)可以是屬性表的形式，該屬性表可以示出在屬性(諸如主體屬性等)之間可能的重疊。在檢測這種重疊時，可以使用附加信息，例如可以從外部的屬性當局或身份管理系統(tǒng)獲得該附加信息。這種外部的屬性信息可以包括例如關(guān)于主體的角色的信息。可以提供沖突解決模塊5以用于解決在至少兩個沖突策略規(guī)則中的沖突。通過該方式，獲得了校正后的的訪問控制策略。在附圖中，在訪問控制策略和校正后的訪問控制策略之間沒有做出區(qū)別。都以10表示。沖突解決模塊可以包括用于向用戶指示與沖突有關(guān)的信息的沖突指示模塊6。例如，可以高亮沖突的策略規(guī)則。而且，可以將其中規(guī)則為沖突的主體或情況指示給用戶以弄清楚確切的沖突是什么?？梢蕴峁_突解決輸入7以用于從用戶獲取指示沖突解決的信息。用戶可以例如決定增加與沖突情況有關(guān)的附加的策略規(guī)則以及調(diào)整現(xiàn)有的策略規(guī)則使得它們不再應(yīng)用于沖突情況。沖突解決模塊5可以包括自動沖突解決模塊8。該模塊8能夠自動地處理至少一些沖突的規(guī)則并且或者將自動產(chǎn)生的解決提議給用戶或者完全自動地實施該沖突解決而不牽涉用戶。將自動沖突解決模塊8設(shè)置為用于將一組預(yù)定的沖突解決規(guī)則應(yīng)用于沖突的策略規(guī)則以解決沖突。如果該組預(yù)定的沖突解決規(guī)則未解決該沖突，則可以應(yīng)用沖突解決指示模塊6和/或沖突解決輸入7以允許用戶人工地糾正沖突。沖突解決輸入7包括模塊12，其用于從用戶獲取指示一個沖突策略規(guī)則相對于另一個沖突策略規(guī)則具有優(yōu)先權(quán)的信息。這意味著在實施期間，如果沖突情況出現(xiàn)，則應(yīng)用具有優(yōu)先權(quán)的策略規(guī)則以支持其它策略規(guī)則。沖突檢測模塊2可以包括模塊4，其用于檢測在由用戶指示的策略規(guī)則的優(yōu)先權(quán)中的不一致性。如果優(yōu)先權(quán)必須被提供不止一次，則產(chǎn)生優(yōu)先權(quán)中的不一致性是可能的。由于在策略實施階段期間這種不一致性導(dǎo)致在其中不能建立正確授權(quán)的新情況，所以優(yōu)選地解決這種不一致性。可以將用戶接口設(shè)置為用于以決策表的形式表示訪問控制策略10。這種決策表可以在每行中包含策略規(guī)則，而每列可以涉及策略規(guī)則的特定屬性。例如，列可以包含每個策略規(guī)則的主體屬性。這種列控制了通過策略規(guī)則哪些主體被準予授權(quán)或被拒絕授權(quán)。另一列可以包含客體。客體定義被準予或被拒絕訪問的數(shù)據(jù)。另一列可以包含結(jié)果，或者是否允許或拒絕訪問?？梢栽跊Q策表中定義更多的列；在該說明書中的其他地方給出了示例?？梢詫_突檢測模塊2設(shè)置為在用戶增加或改變策略規(guī)則之后被激活。通過該方式，使沖突的檢測和/或校正成為交互式的在沖突的規(guī)則被創(chuàng)建之后，可以立即識別它們?？梢詫_突檢測模塊2設(shè)置為根據(jù)在至少一個沖突規(guī)則中提到的主體屬性來檢驗兩個規(guī)則是否應(yīng)用于相同的主體。主體屬性控制策略規(guī)則應(yīng)用于哪些主體。原則上，僅當存在沖突策略規(guī)則都涉及的至少一個主體時，規(guī)則才是沖突的。機器可讀安全策略語言可以包括可擴展訪問控制標記語言XACML。可以將轉(zhuǎn)換模塊9設(shè)置為將訪問控制策略10轉(zhuǎn)換成XACML策略?？梢詫⑥D(zhuǎn)換模塊9設(shè)置為將來自決策表的訪問控制策略10轉(zhuǎn)換成XACML策略。另外，可以提供訪問控制策略實施單元50。其可以結(jié)合輸出11通過以上描述的通信模塊與系統(tǒng)1連接。訪問控制策略實施單元50可以包括用于通過輸出11從系統(tǒng)1接收轉(zhuǎn)換后的訪問控制策略的訪問控制策略輸入51。此外，作為示例，訪問控制策略實施單元50可以包括用于實施接收的訪問控制策略的策略實施模塊52。該策略實施模塊52可以處理轉(zhuǎn)換后的訪問控制策略14并且應(yīng)用其中表示的規(guī)則以允許和/或拒絕特定的訪問請求。策略實施單元50還可以包括訪問請求處理模塊53，該訪問請求處理模塊53用于接收訪問請求、通過策略實施模塊52檢驗授權(quán)、并且依賴于策略實施模塊52的輸出如所請求的那樣執(zhí)行訪問或者拒絕訪問請求。然而，這僅是架構(gòu)的示例。還可能參考例如XACML參考訪問控制系統(tǒng)架構(gòu)。可以將系統(tǒng)1的輸出11設(shè)置為通過廣域網(wǎng)將轉(zhuǎn)換后的訪問控制策略傳送到訪問控制策略實施單元，訪問控制策略實施單元50遠離系統(tǒng)1，該系統(tǒng)1包括例如用戶接口13、轉(zhuǎn)換模塊9和輸出11。通過該方式，訪問控制策略由系統(tǒng)1準備并且被發(fā)送到訪問控制策略實施單元50，在此，其可以被容易地應(yīng)用。圖2說明了指定訪問控制策略的方法。該方法包括使得用戶能夠指定包括主體屬性、客體、行動和授權(quán)的多個策略規(guī)則001)，該策略規(guī)則定義訪問控制策略。該方法還包括將訪問控制策略轉(zhuǎn)換成機器可讀數(shù)據(jù)訪問控制策略語言以獲得轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略002)。該方法還包括將轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略提供給訪問控制策略實施單元(203)。可以將該方法實施為包括計算機可執(zhí)行指令的計算機程序產(chǎn)品，所述計算機可執(zhí)行指令用于使處理器系統(tǒng)執(zhí)行該方法的步驟。圖3說明了用于將高級隱私策略轉(zhuǎn)換成諸如XACML策略等機器可讀策略的方法，包括潛在沖突的檢測和它們的解決，該方法可以包括以下步驟-通過圖形用戶接口在決策表302中指定301隱私策略；-通過使用決策表302和屬性表303(根據(jù)諸如醫(yī)院或國家EHR基礎(chǔ)設(shè)施等外部信息而創(chuàng)建)來檢測304潛在沖突；-通過使用沖突解決策略306和/或用戶輸入307進行的檢測的沖突305的交互式解決308，產(chǎn)生決策表的策略規(guī)則的優(yōu)先化列表309；以及-將來自決策表的策略規(guī)則的優(yōu)先列表309轉(zhuǎn)換310成XACML策略311?？梢愿鶕?jù)如下在決策表中通過圖形用戶接口實施隱私策略的指定?；颊咴S可表達授權(quán)，該授權(quán)指定實體是否被授權(quán)或被拒絕訪問部分或全部的患者醫(yī)療信息，以對所述信息執(zhí)行某個行動以及執(zhí)行其中其應(yīng)該被進行的條件。因此，患者必須將許可的這些元素指定為在訪問控制期間將被實施的授權(quán)?？梢源_定以下的許可元素授予人這是授予許可的人(患者或患者的法定監(jiān)護人)。受讓人這是許可被授予的個人、角色或組。患者這是正在討論的患者，其中，受讓人將訪問該患者的數(shù)據(jù)。行動這是受讓人被允許或不被允許在數(shù)據(jù)上執(zhí)行的行動或操作。這種操作的示例包括讀取、寫入、收集、訪問、使用、公開、修改或刪除。數(shù)據(jù)表示全部或部分患者醫(yī)療信息的表達。結(jié)果這可以是“允許”或“拒絕”。目的這指定受讓人可以訪問數(shù)據(jù)的目的。這些可以包括例如“治療”、“支付”、“操作”、“研究”、“公共健康”、“規(guī)劃”、“質(zhì)量測量”、“由第三方進行的健康狀態(tài)評估”和“銷售”。可以根據(jù)需要定義其它目的。背景這指定策略規(guī)則應(yīng)用的背景。已經(jīng)確定了兩個示例性背景；在“正?！被颉凹痹\”情況下，受讓人可以訪問患者的數(shù)據(jù)?？梢愿鶕?jù)需要定義其它背景。有效期這是策略規(guī)則有效的時期。通過使用幫助患者填充決策表的圖形用戶接口可以指定許可。在以下的決策表中，指定了許可的示例。決策表的前兩行包含缺省授權(quán)，而剩下的行包含特別授權(quán)，該特別授權(quán)是對于缺省授權(quán)的例外。缺省授權(quán)可以是允許訪問的一般許可，除非例外應(yīng)用。在表1的示例中，缺省授權(quán)指定通常訪問不被允許(在前兩行中的結(jié)果‘-’)。表1:決策表(在第一行中，act.代表行動，V代表以年為單位的有效期，而T代表授權(quán)類型。在最右邊的列中，A代表訪問，D代表委托?！Y(jié)果’表示授權(quán)，‘+’表示允‘_’表示拒絕)權(quán)利要求1.一種用于指定訪問控制策略的系統(tǒng)，包括-用戶接口(13)，其用于使用戶能夠指定多個包括主體屬性、客體、行動和授權(quán)的策略規(guī)則，所述策略規(guī)則定義訪問控制策略(10)；-轉(zhuǎn)換模塊(9)，其用于將所述訪問控制策略轉(zhuǎn)換為機器可讀數(shù)據(jù)訪問控制策略語言，以獲得轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略(14)；以及-輸出(11)，其用于將所述轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略提供給訪問控制策略實施單元(50)。2.根據(jù)權(quán)利要求1所述的系統(tǒng)，還包括沖突檢測模塊O)，其用于檢測分別指示可能的訪問請求的拒絕和允許的至少兩個沖突的策略規(guī)則。3.根據(jù)權(quán)利要求2所述的系統(tǒng)，其中，所述沖突檢測模塊(2)被設(shè)置用于檢測分別指示由特定主體對特定客體的特定類型訪問的拒絕和允許的沖突的策略規(guī)則。4.根據(jù)權(quán)利要求2所述的系統(tǒng)，還包括沖突解決模塊(5)，其用于解決在所述至少兩個沖突的策略規(guī)則中的所述沖突以獲得校正的訪問控制策略，所述沖突解決模塊(5)包括-沖突指示模塊(6)，其用于向用戶指示與所述沖突有關(guān)的信息，以及-沖突解決輸入(7)，其用于從用戶獲取指示沖突解決的信息。5.根據(jù)權(quán)利要求4所述的系統(tǒng)，所述沖突解決模塊(5)還包括自動沖突解決模塊(8)，其用于將預(yù)定的一組沖突解決規(guī)則應(yīng)用到所述沖突的策略規(guī)則以解決所述沖突，如果所述一組沖突解決規(guī)則不足以解決所述沖突，則應(yīng)用所述沖突解決輸入(7)。6.根據(jù)權(quán)利要求4所述的系統(tǒng)，所述沖突解決輸入(7)包括用于從所述用戶獲取指示一個沖突策略規(guī)則相對于另一個沖突策略規(guī)則具有優(yōu)先權(quán)的信息的模塊(12)。7.根據(jù)權(quán)利要求6所述的系統(tǒng)，所述沖突檢測模塊(包括用于檢測在由所述用戶指示的策略規(guī)則的優(yōu)先權(quán)中的不一致性的模塊(4)。8.根據(jù)權(quán)利要求1所述的系統(tǒng)，所述用戶接口(13)被設(shè)置用于以決策表的形式表示所述訪問控制策略(10)。9.根據(jù)權(quán)利要求2所述的系統(tǒng)，在由所述用戶增加或改變策略規(guī)則之后，激活所述沖突檢測模塊(2)。10.根據(jù)權(quán)利要求2所述的系統(tǒng)，所述沖突檢測模塊(2)被設(shè)置用于基于在至少一個所述沖突的規(guī)則中涉及的主體屬性，檢驗兩個規(guī)則是否應(yīng)用于相同的主體。11.根據(jù)權(quán)利要求1所述的系統(tǒng)，所述機器可讀安全策略語言包括可擴展訪問控制標記語言XACML。12.根據(jù)權(quán)利要求1所述的系統(tǒng)，還包括所述訪問控制策略實施單元(50)，所述訪問控制策略實施單元(50)包括-訪問控制策略輸入(51)，其用于接收所述轉(zhuǎn)換后的訪問控制策略；以及-策略實施模塊(52)，其用于實施所接收的訪問控制策略。13.根據(jù)權(quán)利要求12所述的系統(tǒng)，所述輸出(11)被設(shè)置用于通過廣域網(wǎng)將所述轉(zhuǎn)換后的訪問控制策略(14)發(fā)送到所述訪問控制策略實施單元(50)，所述訪問控制策略實施單元(50)遠離所述用戶接口(13)、轉(zhuǎn)換模塊(9)和輸出(11)。14.一種用于指定訪問控制策略的方法，包括-使用戶能夠O01)指定多個包括主體屬性、客體、行動和授權(quán)的策略規(guī)則，所述策略規(guī)則定義訪問控制策略；-將所述訪問控制策略轉(zhuǎn)換(20為機器可讀數(shù)據(jù)訪問控制策略語言，以獲得轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略；以及-將所述轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略提供(20給訪問控制策略實施單元。15.一種計算機程序產(chǎn)品，其包括用于使處理器系統(tǒng)執(zhí)行根據(jù)權(quán)利要求14所述的方法的步驟的計算機可執(zhí)行指令。全文摘要一種用于指定訪問控制策略的系統(tǒng)包括用戶接口(13)，其用于使用戶能夠指定多個包括主體屬性、客體、行動和授權(quán)的策略規(guī)則，所述策略規(guī)則定義訪問控制策略(10)。轉(zhuǎn)換模塊(9)，其用于將所述訪問控制策略轉(zhuǎn)換成機器可讀數(shù)據(jù)訪問控制策略語言以獲得轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略(14)。輸出(11)，其用于將所述轉(zhuǎn)換后的數(shù)據(jù)訪問控制策略提供給訪問控制策略實施單元(50)。沖突檢測模塊(2)，其用于檢測分別指示可能的訪問請求的拒絕和允許的至少兩個沖突的策略規(guī)則。沖突指示模塊(6)，其用于向用戶指示與所述沖突有關(guān)的信息。沖突解決輸入(7)，其用于從用戶獲取指示沖突解決的信息。文檔編號G06F19/00GK102341808SQ201080010074公開日2012年2月1日申請日期2010年2月26日優(yōu)先權(quán)日2009年3月4日發(fā)明者E·W·姆旺吉,M·彼特科維克申請人:皇家飛利浦電子股份有限公司