CN1534427B - 访问管理系统和访问管理方法 - Google Patents
访问管理系统和访问管理方法 Download PDFInfo
- Publication number
- CN1534427B CN1534427B CN2004100302633A CN200410030263A CN1534427B CN 1534427 B CN1534427 B CN 1534427B CN 2004100302633 A CN2004100302633 A CN 2004100302633A CN 200410030263 A CN200410030263 A CN 200410030263A CN 1534427 B CN1534427 B CN 1534427B
- Authority
- CN
- China
- Prior art keywords
- access
- registrant
- data
- type
- condition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供一种对访问登记者数据进行管理的访问管理系统,所述访问管理系统包括:一个授权引擎,用来控制对一个存储包括登记者隐私性数据的登记者数据的登记者数据库的访问,和利用一个规定的隐私策略和由登记者指定的条件数据控制对所述登记者数据库的访问,其中所述授权引擎包括一个授权判断单元,用来根据从外部接收的涉及所述登记者数据的访问请求决定访问类型,利用在所述访问请求前决定的访问授权数据结合所述访问类型控制根据所述访问请求对所述登记者数据库的访问。
Description
技术领域
本发明与管理访问存储高度机密的个人数据的数据库的技术有关,具体地说,涉及对访问诸如个人数据之类的高度机密数据进行高可靠和高速处理的访问管理系统、访问管理方法、使计算机执行这种访问管理方法的计算机可执行程序和记录这种程序的计算机可读记录媒体。
本发明还涉及配置成在维护高度机密的情况下管理通过网络访问存储个人数据的登记者数据库(registrant database)的访问管理系统和访问管理方法。
背景技术
近些年来,有许多诸如客户数据或居民数据之类的个人数据存入数据库保存的情况。特别是,随着诸如互联网之类的网络普遍应用,诸如隐私性数据之类的个人数据将越来越多地积累在管理站点的登记者数据库内。访问存有大量私人数据的数据库必须高度安全地加以管理,以防止非法窃取高度机密的个人数据。因此,迄今为止已经提出了各种访问管理技术。
例如,一种情况假设是,企业、地方政府或国家政府(以下简称为策略设定者(policy setter))收集客户、居民、企业或团体(无论是营利性的还是非营利性的),以下都简称为登记者(registrant))的登记者数据,保存在一个数据库内。此时,保存在数据库内的这种数据就保护隐私和预防诸如非法获利之类的非法动作而言必须以高保安级别处理。
因此,策略设定者通常设定一个涉及处理所收集的登记者数据的策略,作为隐私策略(privacy policy)。隐私策略可以包括例如对于谁可以将所收集的登记者数据用于哪方面的描述。策略设定者在收集登记者数据的同时促进对操作数据的处理,使得希望进行注册登记的人可以确认策略设定者建立的隐私策略,愿意输入隐私性数据。在策略设定者处理登记者数据时,必需考虑配置一个机构,通过检查要访问数据库的负责人是否具有正当的访问权来保护登记者数据,以排除任何不满足隐私策略的涉及登记者数据的访问。
图19示出了一个传统的必须考虑隐私权的访问管理系统的例子。在图19中,在应用(application)100与登记者数据库102之间有一个授权引擎(authorization engine)104。诸如策略设定者之类的负责人通过应用100访问登记者数据库102。收到这个负责人的访问请求,授权引擎104就对隐私策略数据库106进行查询,鉴定这个负责人的访问权。这样,这种访问管理系统就可以用来防止负责人在没有经检查是否具有正当访问权的情况下自由地直接访问登记者数据库。下面将对图19中所示的授权引擎104的具体处理进行说明。在授权引擎104从应用100接收对登记者信息的访问请求时,授权引擎104鉴定这个访问请求是否满足隐私策略。此外,在授权引擎104判定这个访问请求满足隐私策略时,授权引擎104促进一系列允许这个负责人访问登记者数据库、使这个负责人能得到登记者数据的数据处理,以便将登记者数据送至应用。
如上所述,通过授权引擎104实时鉴定接收的访问请求是否满足隐私策略可以防止滥用登记者的隐私信息。在本发明中,以下将检查或鉴定访问请求是否满足隐私策略称为“正当性检查(appropriatenesscheck)”,将判定满足隐私策略后发布访问许可(access permit)简称为“授权(authorization)”,而将否则不发布访问许可或产生一个访问不许可信号称为“不许可(disapproval)”。
与配置成不用授权引擎104允许直接访问登记者数据库102的普通访问管理系统相比,如图19所示通过授权引擎104访问登记者数据库102的方式在访问管理系统中增添了“正当性检查”的处理。
图20示出了用于上述隐私策略的正当性检查的数据和处理的具体例子。为了更为具体地说明图19所示的传统的隐私策略的正当性检查,将在图20中考虑策略设定者发送直接邮件(direct mail,DM)的操作。在这里,如果情况假设是策略设定者处的一个市场负责人为了推销自己的产品想从登记者数据库得到满足条件“年龄在30岁以上和具有在xxx处的地址”的登记者的姓名和地址的数据,而登记者数据库102是一个关系型数据库(relational database),应用执行单元100就向授权引擎104发出一个条件为“年龄在30岁以上和具有在xxx处的地址的登记者”的格式诸如一个SQL语句之类的访问请求。这时,除了SQL语句之外,访问请求还可以包括正当性检查所必需的信息,诸如负责人标识数据(例如,诸如“A先生,市场主管”之类的真实姓名,职工代码,口令,或用户ID)、需访问的登记者数据的类型(例如,“姓名,地址,电话号码,以及传真号码”)、作为访问目的的业务类型(例如,“促销″)之类。
在接收访问请求时,授权引擎104执行SQL语句,接收一个列有所有满足“登记者年龄在30岁以上和具有在xxx处的地址”的条件的登记者的姓名和“地址”的清单。紧接着,授权引擎104在隐私策略数据库106内搜索需评估的策略,从而得到策略数据(policy data)。然后,根据得到的每项登记者数据执行以下过程。首先,如果假设作为搜索结果在登记者数据内满足条件“登记者年龄在30岁以上和具有在xxx处的地址”的有10,000个结果,对这10,000项记录的“姓名”和“地址”执行以下计算(1)和(2)。
1)评估所有需评估的隐私策略。此时,如果除了策略之外有登记者自己设置的条件,在评估隐私策略期间还得到为条件判决所必需的数据。例如,可能需要从登记者数据库检索出记录登记者同意的条件数据,检验登记者是否同意接收DM。
2)根据需评估的隐私策略的评估结果计算最终评估结果。作为计算最终评估结果的条件数据逻辑可以包括各种逻辑,诸如仅当所有策略都OK时才许可的AND逻辑、有至少一个策略OK时就许可的OR逻辑之类。这样的判决处理包括计算(1)和(2)总共最多将重复20,000次。
也就是说,在图19和图20所示的访问管理系统执行正当性检查时,正当性检查处理的开销就成为一个问题。特别是,在应用需要一次访问大量的登记者数据的情况下,诸如利用登记者数据库提取数据或作为促销活动的一部分发送电子邮件或DM之类,随着登记者的增多开销越来越成为一个严重的问题。因此,这对在策略设定者侧的运行效率造成了一些严重的问题。
因此,有必要开发一种对诸如登记者隐私性数据之类的高度机密数据进行高可靠和高保密的访问管理的技术。
发明内容
本发明是针对以上所说明的现有技术的缺点提出的。也就是说,本发明的目的是提供一种保证以高可靠和高保密访问诸如登记者隐私性数据之类的高机密数据的访问管理系统、访问管理方法、使计算机执行这种访问管理方法的控制程序和记录这种控制程序的计算机可读记录媒体。本发明的另一个目的是提供一种通过网络进行上述访问管理必需的访问管理系统和访问管理方法。
为了达到上述目的,注意到隐私策略可以分为一些取决于策略设定者的元和一些取决于登记者的元,根据这样一种思想提出了本发明:通过将上面提到的这些元组织成一些独立的清单或表,事前计算出访问授权数据和将计算结果用于访问授权,从而可以加快授权引擎对访问登记者数据库的正当性检查而不会降低安全级别。
在按照本发明的第一实施例设计的访问管理方法中,利用分成策略设定者处的负责人(数据用户)的数据利用类型(data usage type)和业务目的类型(business purpose type)的取决于策略设定者的这些元判定访问登记者数据库的访问类型(access type)。这样,就可以事前产生用作访问授权数据的访问类型清单(access type list)存入一个存储区。
另一方面,对于取决于登记者的元,根据由登记者设定的任意个条件的条件数据(condition data)为每个登记者登记一个簇标识值(cluster identification value)。这样就可以产生一个用作访问授权数据的登记者条件表(registrant condition table)。在按照本发明的第一实施例设计的访问管理方法中,在授权引擎接收一个来自应用的访问请求时判定访问类型。授权引擎根据所判定的访问类型对访问类型清单进行搜索,得到一个与条件数据相应的同意模式(consentpattern)。用这个同意模式作为一个关键字检索出按访问类型授权的簇标识值。发现访问授权数据内的簇标识值包括命令访问授权、从登记者数据库得到与簇标识值相应的登记者数据和将登记者数据返回给应用这些步骤。此外,在本发明的上述配置中,可以采用通过允许一个诸如高速缓存器之类的高速访问存储器在运行时间周期性地更新访问授权数据动态地构建诸如访问类型清单或登记者条件表之类的访问授权数据。
另一方面,按照本发明的第二实施例设计的访问管理方法使用具有不同配置的访问授权数据。访问授权数据包括一个用数据利用类型和业务目的类型产生的访问类型清单。在按照本发明的第二实施例设计的访问管理方法中所用的访问授权数据包括这个访问类型清单和一个登记者条件表,在比上述第一实施例中高的程度上将策略设定者的元和登记者的元在功能上分开。此外,在这种访问管理方法中所用的访问授权数据包括格式配置成从与访问类型相应的各属于访问类型的访问授权数据中排除不从访问授权数据访问的数据的登记者条件表。同时,在按照本发明的第二实施例设计的访问管理方法中,除了一个一切都许可访问的许可清单和一个一切都不许可访问的不许可清单之外还可以利用一个所谓的压缩登记者条件表。可以根据为登记者在登记时同意的条件规定的规则压缩按照本发明的第二实施例配置的登记者条件表。因此,可以高速得到登记者条件表,同时保证高度安全。
也就是说,按照本发明,提供了一种管理访问登记者数据的访问管理系统,这种访问管理系统包括一个授权引擎,用来控制访问一个存储具有登记者隐私性数据的登记者数据的登记者数据库和利用一个规定的隐私策略和由登记者指定的条件数据控制访问这个登记者数据库。这里,授权引擎包括一个授权判断单元,用来根据从外界接收的访问请求判访问类型,以及根据访问请求利用在访问请求前决定的访问授权数据结合登记者数据的访问类型控制对登记者数据库的访问。
本发明的上述访问管理系统还可以包括一个事前计算访问授权数据的事前计算单元和一个存储访问授权数据的存储区。本发明的访问授权数据包括事前根据所述隐私策略和所述条件数据产生的用于执行访问授权的标识值。
本发明的上述访问授权数据还可以包括一个利用隐私策略和条件数据事前产生的表。此外,这个表可以写成不包括响应上述访问类型或登记者的条件数据不访问的访问授权数据的格式。本发明的访问授权数据还可以包括一个许可清单和一个不许可清单。
按照本发明,提供了一种利用一个计算机系统管理访问登记者数据的访问管理方法。这种方法包括下列步骤:使一个授权引擎接收一个来自外界的访问请求;使所述授权引擎根据所述访问请求判定访问类型;结合所述登记者数据的访问类型读出在所述访问请求前决定的访问授权数据和将所述访问授权数据与所述访问类型相比较;根据比较结果控制对一个与访问请求关联的登记者数据库的访问。
按照本发明,提供了一种使计算机执行上述访问管理方法的计算机可执行程序。此外,按照本发明,提供了一种存储上述计算机可执行程序的计算机可读记录媒体。
此外,按照本发明,提供了一种管理通过一个网络访问登记者数据的访问管理系统。这里,这种访问管理系统包括:一个网络;一个存储含有登记者隐私的登记者数据的登记者数据库;一个颁发对登记者数据库的访问请求的应用执行单元;一个连接到网络上的控制访问登记者数据库的授权引擎,它通过接收来自应用执行单元的访问请求和利用规定的隐私策略和由登记者指定的条件数据控制访问登记者数据库;以及一个结合访问类型产生需在访问请求前决定的访问授权数据和使授权引擎可以利用访问授权数据的管理服务器。
按照本发明,提供了一种控制一个计算机对通过一个网络访问登记者数据进行管理的访问控制方法。这时,这种访问管理方法包括下列步骤:使一个授权引擎通过网络利用事前计算的访问授权数据;使所述授权引擎接收一个来自外界的对一个存储含有登记者隐私的登记者数据的登记者数据库的访问请求;接收所述来自外界的访问请求后就判定访问类型;以及通过将所判定的访问类型与在访问请求前决定的访问授权数据相比较控制访问登记者数据库。
附图说明
为了更完善地理解本发明及其优点,下面将结合附图进行说明。在这些附图中:
图1A和1B为示出在这个实施例中称为隐私策略的数据结构的示意图;
图2A至2C为示出构成在按照本发明的第一实施例设计的访问管理系统内创建的访问授权数据的访问类型清单和登记者条件清单的数据结构的示意图;
图3为按照本发明的第一实施例设计的访问管理方法的流程图;
图4为示出图3所示的按照本发明的第一实施例设计的访问管理方法的修改例的流程图;
图5为示出为了产生在按照本发明的第二实施例设计的访问管理方法中使用的访问授权数据重构隐私策略的例子的示意图;
图6为示出在对本发明的访问管理方法中可用的访问授权数据内含有的登记者条件表执行压缩处理时所用的基准轴的示意图;
图7为原理性地示出在本发明中沿访问类型轴的压缩处理的示意图;
图8为示出授权引擎在用图7所示的数据压缩执行本发明的访问管理方法时需执行的处理的流程图;
图9为示出本发明的数据压缩方法的另一个实施例的沿条件数据轴的压缩处理的原理图;
图10为示出授权引擎在使用经沿条件数据轴的压缩处理后的访问授权数据时需执行的处理的流程图;
图11A至11C为示出在本发明中所用的沿登记者轴的数据压缩处理的概况的示意图;
图12为示出在按照本发明的第二实施例设计的访问管理方法中使用访问授权数据时可以执行的在运行时间补充和更新访问授权数据的处理的流程图;
图13为示出本发明访问管理方法在访问管理方法启动之前的初期处理的流程图;
图14为示出登记者条件表不是事前创建而是动态补充的优选实施例的示意图;
图15为示出在本发明的第二实施例的访问管理方法中为每个访问类型创建登记者条件表时动态补充一项记录的优选实施例的示意图;
图16为示出按照本发明设计的、实现本发明的访问管理方法的访问管理系统的功能方框图;
图17为示出按照本发明的第二实施例设计的访问管理系统的示意图;
图18为示出按照本发明的第三实施例设计的访问管理系统的示意图;
图19为示出传统的访问管理系统的示意图;以及
图20为示出在传统的访问管理系统内的数据流的示意图。
具体实施方式
A:本发明的访问管理中所用的访问管理数据的概况
作为按照本发明检查隐私策略的正当性的系统,巳知有各种技术。这样的一些技术也可用于本发明。具体地说,作为本发明的基本技术可以提到的有“IBM Corporation,IBM Tivoli Privacy Managerfor e-business Planning Guide Version 1.1,July 2002”,该技术列为本发明的参考予以引用。图1A和1B示出了在本发明中称为隐私策略的数据配置。如图1A所示,隐私策略分为:作为策略设定者侧数据用户的负责人的数据利用类型(data usege type)10、登记者数据类型(registrant data type)12、业务目的类型(business purpose type)14和需由登记者设定的条件数据(condition data)16。再具体些说,数据利用类型10是登记负责市场(marketing)、物流(distribution)或会计(accounting)的负责人的数据利用情况的数据。另一方面,登记者数据类型12是登记登记者的隐私的数据,诸如地址、姓名、年龄、性别、电话号码或电子邮件地址之类。业务目的类型14具体地说是标明一个从策略设定者侧访问登记者数据必需的业务的数据,诸如物流、市场或会计之类。条件数据16是登记登记者在登记时同意和指定为可访问登记者隐私的条件的数据。
作为一个例子,将结合图1B说明各种数据的配置情况。如图1B所示,如果在这里假设策略设定者侧的负责人负责处理物流业务,他为了落实这个业务需要登记者数据类型“姓名、地址、电话号码”。同时,虽然对于物流可以想象有各个业务阶段,但在图1B中将“物流”的业务目的类型假设为“发货”。在如图1B所示的“物流”的情况下,不需要条件数据,例如因为在隐私策略侧没有特别设定条件。因此,在图1B所示的实施例中条件数据标为“无”。相反,在负责人的数据利用类型是“市场”时,为了发送DM需要姓名、地址和邮区编号。另一方面,没有必要访问其他登记者数据类型。如果假设业务目的类型在执行图1B中所示的市场业务时是“促销活动″,条件数据就成为“同意发送DM”。
本发明的访问管理方法把注意力集中于可以将这些隐私策略分为一些需根据策略设定者决定的元和一些由登记者指定的元。因此,访问授权数据是事前配置的,执行授权处理的功能部分(以下称为授权引擎)存储事前产生的访问授权数据。虽然作为访问授权数据可以想象有各种情况,但本发明的第一实施例将以假设所产生的访问授权数据为一个访问类型清单和一个登记者条件表为基础予以说明。
图2A至2C为示出构成在按照本发明的第一实施例设计的访问管理方法中产生的访问授权数据的访问类型清单和登记者条件表的数据结构的示意图。图2A示出了访问类型清单的情况。如图2A所示,访问类型清单分为业务目的类型、登记者数据类型,其中条件数据与各自的数据利用类型相应。此外,在图2A所示的访问类型清单中,对于登记者数据类型“物流”没有设定对“地址、姓名”之类的访问,对于业务目的类型“发货”没有设定同意条件。因此,标示“无”,这意味着响应就这个数据利用类型和这个业务目的类型的组合允许访问。
此外,在图2A所示的访问类型清单中,在数据利用类型为“会计”时,就隐私策略而言涉及业务目的类型“会计”的访问登记者数据类型“地址”为“不许可”;也就是说,不许可这种访问。此外,对于数据利用类型“广告”,访问诸如地址或姓名之类的登记者数据类型对于“DM投寄”标为“条件1”具体地说,“条件1”是一个就DM投寄查询登记者的同意数据和使用其返回值的指令。图2A所示的访问类型清单可以以如图2A所示的普通的表的格式保存,也可以保存为用“数据利用类型+登记者数据类型+业务目的类型”作为关键字的散列表(hash table)。
图2B为示出构成本发明的访问授权数据、与图2A所示的访问类型清单一起存储在本发明的访问管理系统内的一个适当存储区内的登记者条件表的情况的示意图。在图2B所示的登记者条件表中,登记者数据库内每个登记者都有一个登记者标识符(以下称为登记者ID),为每个登记者ID登记了表示登记者设定或至少同意的必要条件的条件数据和用规定的诸如逻辑和(或)或逻辑乘(与)之类的逻辑根据条件数据产生的簇标识值(cluster identification value),构成各项记录。在图2B所示的具体情况中,登记者条件表除了上述基本数据之外还可以包括适当的登记者数据类型的数据。
需登记在图2B所示的登记者条件表的条件数据在本发明中没有特别限制。然而,条件数据可以包括涉及同意或者不同意策略设定者设定的隐私策略内的同意条件的数据,诸如是否同意查阅姓名、地址、电话号码、传真号码、年龄、性别、电子邮件地址、感兴趣的领域或嗜好之类。此外,条件数据还可以包括可由策略设定者按需要设定的诸如年龄限制之类的条件。图2B所示的登记者条件表配有给每个登记者的簇标识值A至C。本发明还可以采用其他一些簇标识值,按情况而定。按照本发明,包括在登记者条件表内的簇值执行访问授权,只要发现相应的簇标识值。
图2B所示的登记者条件表整个可以事前计算。然而,如稍后将说明的那样,也可以采用事前固定一个登记区、在运行时间执行对条件数据的逻辑判断和判定簇标识值,以补充登记区内的记录。此外,图2C示出了图2B所示的本发明的登记者条件表的功能分成一个同意模式、一个用簇标识值作为关键字存储与同意模式相应的簇标识值的表和一个由登记者ID和簇标识值构成的表的情况。在图2C所示的情况中,也可以构成具有与图2B所示的登记者条件表类似的功能的访问授权数据。
图3示出了按照本发明的第一实施例设计的访问管理方法的流程图。在按照本发明的第一实施例设计的访问管理方法中,在步骤S10中,从隐私策略数据库读出隐私策略,通过登记数据利用类型、可授权的登记者数据类型、业务目的类型和备考的条件数据,产生访问类型清单。在步骤S12中,访问登记者数据库,读出登记者数据类型和相应的条件数据,然后,根据需应用于条件数据的条件逻辑产生包括取决于登记者的同意条件的簇标识值的登记者条件表。
在步骤S14中,授权引擎接收来自应用的访问请求,启动对登记者数据库的访问控制。在步骤S16中,读出包含在访问请求内的策略设定者处的负责人所请求的数据利用类型、登记者数据类型和业务目的类型,对访问类型清单进行搜索。在步骤S18中,作为搜索结果,判断是否为这个访问类型授权。在访问类型清单内包含这个访问类型(是)时,过程进至步骤S20,获取登记者条件表内用于判断的条件数据或条件数据集。另一方面,在S18中判定这个访问类型不予授权(否)时,过程转至步骤S26,不许可来自这个应用的访问请求。
在步骤S22中,判断所获取的条件数据或所获取的条件数据集是否与在事前登记簇标识值时的条件数据或条件数据集一致,并获取相应的簇标识值。在步骤S22中进行比较期间获得簇标识值后,在步骤S24中,参考登记者条件表,按与簇标识值相应的登记者ID从登记者数据库获取登记者数据。然后,将登记者数据返回给应用。
另一方面,在步骤S22的判断中没有发现相应的簇标识值(否)时,过程就转至步骤S26,在本发明的如图3所示的设计成执行事前计算的这个实施例中,不许可这个对登记者数据的访问请求。
图4示出了图3所示的访问管理方法的修改例。图4所示的修改例采用在产生访问类型清单后授权引擎在运行时间动态地更新登记者条件表的配置。在图4所示的修改例中,在步骤S30中,接收来自外部应用执行单元的访问请求后,得出访问类型。在步骤S32中,判断在访问类型清单内是否包括所得出的访问类型。在步骤S32的判断为在这个访问类型已经登记(是)时,就在步骤S34中获取条件数据或条件数据集。然后,在步骤S36中,读出登记者条件表,获取条件数据的同意模式,判断是否与其中登记有一个一致的同意模式。在步骤S36的判断中,如果发现一致的同意模式(是),就在步骤S40中为对登记者数据的访问授权,获取相应的登记者数据,将结果返回给应用。
另一方面,如果在步骤S32中判定没有发现适合这个访问类型的(否),过程就转至步骤S46,将访问不许可通知应用。
另一方面,如果在步骤S36没有发现一致的同意模式(否),过程就进至步骤S42,通过在运行时间应用隐私策略的条件逻辑对在步骤S34中获取的条件数据或条件数据集执行与现有技术类似的正当性检查。在步骤S44中,判断一个作为正当性检查的结果所得出的值。在正当(是)时,在步骤S46中,为对登记者数据库的访问授权,从而得到相应的登记者数据,将结果返回给应用。同时,在步骤S48中,得到一个诸如“D”之类的新的簇值。然后,与图2B中所示数据类似的数据写入一个事前配置在登记者条件表内的空白记录项,以便能高速响应将来的访问请求。
另一方面,在步骤S44的判定为没有正当性(否)时,过程进至步骤S46,将访问不许可返回给应用。在本发明的图4所示的修改例中,可以在任何时候将登记者条件表或访问类型清单写入一个诸如硬盘之类的记录媒体。然而,在按照本发明的第一实施例设计的访问管理方法中,也可以在运行时间将诸如访问类型清单和登记者条件表之类的访问授权数据与空白记录项一起读入一个高速缓存器,以便执行高速读、写访问。
此外,在本发明的另一个实施例中,还可以采用一种将从步骤S42至步骤S48的过程应用于访问类型清单实现类似处理的配置,使访问类型清单可在运行时间更新。
以上所说明的本发明的访问管理方法的修改例采用将访问授权数据成簇登记入高速存储器和在运行时间执行补充和更新的配置。因此,对未登记的访问类型或条件数据的同意模式执行新的正当性检查。然而,按照这个修改例设计的访问管理方法具有以下优点:(i)不必执行事前配置访问类型清单或登记者条件表的处理;(ii)不必对根本不判断的条件数据或对利用率相当低的访问请求执行正当性检查的事前计算;以及(iii)这种访问管理方法可以处理对登记者数据的更新而不需要为执行正当性检查的系统添加另一个过程。
图5为示出在按照本发明的第二实施例设计的为了产生在访问管理方法中使用的访问授权数据重构隐私策略的例子的示意图。在图5所示的隐私策略重构例中,与图1所示的重构例相比,执行重构,进一步提高策略设定者侧的元和登记者侧的元之间的分离。在图5所示的情况中,从隐私策略得到的访问授权条件重构如下。也就是说,原则上只是策略设定者设定和管理数据利用类型10和业务目的类型14。另一方面,条件数据16、登记者数据类型12和记录数18是可以根据登记者修改的数据。因此,在按照本发明的第二实施例设计的访问管理方法中所用的访问授权数据采用通过利用数据利用类型10和业务目的类型14产生访问类型清单和通过利用条件数据16、登记者数据类型12和记录数18产生登记者条件表和事前将访问类型清单和登记者条件数据表计算成访问授权数据存储在一个规定的存储区内的配置。
也就是说,在本发明的如图5所示的访问管理方法中,事前产生和登记与访问类型相应的还包括具有与登记者的记录数同样多的条件数据的登记者条件表。在使用图5所示的访问授权数据的访问管理方法中,在指定访问类型时,只要参考相应登记者条件表内的相关条件数据的值就可以了。因此,这种访问管理方法与按照本发明的第一实施例设计的访问管理方法就与传统的访问管理方法相比能加快正当性检查而言是共同的,因为它不必在运行时间读出隐私策略数据和应用条件逻辑时检验条件数据的正当性。此外,图5所示的访问管理方法还可以采用在运行时间动态地补充和更新访问授权数据的修改例。
另一方面,在执行图5所示的访问授权数据的访问管理方法时,必须将事前按所有访问类型的同意模式计算出的登记者条件表存储在存储区内。为此,在很多情况下,需要一个庞大的存储区(诸如一个存储器或数据库),与登记者的数量相应。如果根据隐私策略包括图1所示的这些元的假设对所有访问类型和同意模式执行事前计算,理论上就必需用条件数据执行以下那么多次的事前计算和将相关结果存储在存储区内:
[式1]
访问类型数
=“数据利用类型”的种类数[乘以]
“登记者数据类型”的种类数[乘以]
“业务目的类型”的种类数[乘以]
“条件数据”的种类数[乘以]
客户数据库的记录数 (式1)
只有在用于访问管理系统的诸如存储容量或处理速度之类的硬件资源足以满足存储上述数据时,在上述过程中才能实现充分的访问管理。然而,按照本发明,如稍后将说明的那样可以通过压缩与访问类型相应的登记者条件表以广泛地适合各种硬件资源性能。下面将对在本发明中的上面提到的对访问授权数据的压缩处理进行说明。所谓“对访问授权数据的压缩处理”在本发明中是指删除至少在访问时根据隐私策略进行判断不需访问的登记者条件和产生一个至少指出所删除的登记者条件数据的“不许可清单”的处理。
图6示出了在对本发明的访问管理方法中要用的访问授权数据内的登记者条件表执行压缩处理时所用的基准轴。在本发明中,将登记者条件表看作是一个具有与访问类型清单的记录相应的访问类型轴、与条件数据的序号相应的条件数据轴和与登记者的序号相应的登记者轴这三个轴的三维结构。在本发明中,这些轴用作压缩处理中的基准轴。在审查图2A至2C所示的隐私策略时,可以发现正当性检查可以用只对访问类型的判断执行,不需要参考根本用不着或者不是必需要用的登记者条件表或登记者条件数据。
具体地说,在数据利用类型是物流而业务目的类型是会计时,根据隐私策略的这种设定情况不用参考登记者条件表或为每段条件数据执行正当性检查就可将这访问判定为不许可。另一方面,在数据利用类型是物流而业务目的类型是发货的情况下,在策略设定时显然许可对地址、姓名和电话号码的访问。顺便要说一下的是,对于条件数据,注意到在登记者条件数据中存在一定的类型,诸如拒绝通过电话访问而同意通过电子邮件、传真或DM访问的各条件数据的类型模式或者取决于力图拒绝不必要地利用性别和年龄的登记者的类型模式,可以沿各个相应的基准轴进行压缩处理。在本发明中,上述情况称为沿访问类型轴的压缩处理、沿条件类型轴的压缩处理和沿登记者轴的压缩处理。以下将对这些压缩处理进行详细说明。
沿访问类型轴的压缩
具体地说,在本发明中的访问类型轴为与访问类型清单上的各项记录相应的轴。在对这个轴的压缩处理中,通过将所产生的登记者条件表的集合分成与对访问类型执行正当性检查无关的不许可访问的情况和各种许可访问的情况和事前将这些情况登入“许可清单(authorization list)”和“不许可清单(disapproval list)”来执行这种处理。图7为示出压缩处理的示意图。如图7所示,这些登记者条件表是对于根据数据利用类型数与业务目的类型数的积得出的访问类型1至访问类型n创建的。其中,如果假设访问类型2表示数据利用类型为物流,而业务目的类型为会计,那末正当性检查的结果就始终为不许可。因此,没有必要将访问类型2存入存储区作为一个登记者条件表。因此,通过删除这个表实现压缩处理。
按照本发明,通过删除没有必要的登记者条件表而产生与所删除的表相应的不许可清单代替来实现压缩处理。在图7所示的实施例中,上述访问类型2和访问类型4加入不许可清单20。同时,在图7中,访问类型1和访问类型3可以归为不用再对条件数据进行判断都许可的访问类型。因此,在图7中,将访问类型1和访问类型3登入许可清单22。例如,访问类型1表示数据利用类型为“物流”而业务目的类型为“发货”。在这种情况下,隐私策略表明可访问发货所需的所有这些登记者ID的地址和姓名。因此,在包含在访问请求内的登记者数据只是地址和姓名时没有必要执行正当性检查。这样,就可以将访问类型1加入许可清单。
此外,图7示出了在本发明的访问管理方法需执行的处理,其中执行正当性检查包括在出现访问请求时用授权引擎判定访问类型、用一个选择模块选择表和参考不许可清单和许可清单执行正当性检查这些步骤。
图8为示出授权引擎在用图7所示的数据压缩执行本发明的访问管理方法时需执行的处理。在步骤S50中,本发明的授权引擎接收一个来自与授权引擎分开配置的另一个软件模块的应用的访问请求后,执行读数据利用类型、业务目的类型和所请求的登记者数据。在步骤S52,根据在上一步骤读出的数据利用类型和业务目的类型判定访问类型。在步骤S54中,首先访问不许可清单20,执行对所得到的访问类型的比较,以判断在不许可清单20内是否登有所判定的访问类型。在步骤S54,判定在不许可清单20内登有所判定的访问类型(是)时,就没有必要执行随后的正当性检查。于是,将访问不许可发给这个应用。
另一方面,通过步骤S54的判断,在步骤S54发现在不许可清单内没有登有所判定的访问类型(否)时,将根据条件或无条件许可访问。因此,处理进至步骤S56,执行正当性检查。相反,在步骤S54中判定在不许可清单内登有所判定的访问类型时,处理进至步骤S58,将访问不许可返回给应用,从而终止正当性检查。此外,在按照本发明设计的访问管理方法的另一个实施例中,还可以采用首先读出许可清单22再在判定所得到的访问类型没有登在许可清单22内时参考不许可清单20的这种处理。
沿条件数据轴的压缩处理
图9为示出本发明的数据压缩方法的另一个实施例的沿条件数据轴的压缩处理的示意图。如图9所示,在与由访问类型轴i指定的访问类型相应的登记者条件表内,假设所有的登记者都同意访问姓名但是不同意访问一个相关业务目的类型的地址。在本发明的沿条件数据轴的压缩处理中,制备按列的许可清单24和不许可清单26,将它们存储在一个适当的存储区内。同时,从原来的登记者条件表中删掉那些登记在许可清单24和不许可清单26内的列。此外,对不同的列的条件数据进行审查,判断所有的登记者是否以同样的模式登记许可或不许可。在所有的登记者以同样的模式同意许可时,就将这些列综合在一起,为这些综合的列分配用以参考相应的条件数据的附标。执行了上述处理后,本发明的访问授权数据最后形成一个“访问类型清单、压缩登记者条件表、许可清单和不许可清单”组,以授权引擎可用的格式将它们存储在存储区内。
图10为示出授权引擎在使用经沿条件数据轴压缩处理后的访问授权数据时需执行的处理的流程图。按照图10所示的处理,在步骤S60中,从一个配置为外部功能模块的应用接收一个访问请求后,得出数据利用类型、业务目的类型和所请求的登记者数据,判定访问类型。在步骤62中,访问与所得出的访问类型相应的访问授权数据,访问许可清单或不许可清单。在步骤S64中,判断在每个清单内是否登有与所请求的登记者数据相应的访问类型。在许可清单或不许可清单内登有相应访问类型(是)时,过程进至步骤S66,按照相应的表控制访问。相反,步骤S64中,在许可清单或不许可清单内没有发现相应的访问类型,过程就进至步骤S68,执行其他正当性检查。
沿登记者轴的压缩处理
图11A至11C示出了在本发明中所用的沿登记者的数据压缩处理的概况。在策略设定者设定的隐私策略中,甚至在不同的登记者的情况下,也会有给出对于同一数据类型具有一定种类的同一授权判断的情况。在这种情况下,可以通过对于每种条件数据压缩登记者来压缩登记者条件表。具体地说,如图11A所示,例如具有登记者ID 002和登记者ID 004的登记者具有从姓名到邮箱都相同的同意条件数据,从而可以一起构成一个种类。另一方面,还可以以列为单位执行类似的处理。图11B示出了以列为单位的登记者的许可/不许可清单,而图11C示出了通过根据各项记录为每个种类配置许可/不许可清单执行数据压缩后的一个清单。在图11A至11C所示的沿登记者轴的数据压缩中,在每个清单内登有登记者的所有许可/不许可数据。因此,授权引擎可以查阅其中任何一个清单,执行授权判断。授权引擎的判断处理在这个实施例中可以用与本发明的利用访问授权数据的第一实施例基本类似的方式执行。
此外,在这个实施例的访问管理方法中也可以采用访问授权数据与空白记录项一起存储在高速缓冲寄存器内、在运行时间逐渐补充的配置。
图12为示出可以在利用本发明的第二实施例的访问授权数据时执行的在运行时间补充和更新访问授权数据的处理。图12所示的在运行时间更新访问授权数据的处理从步骤S80开始,判断是否有一个与某个访问类型相应的登记者条件表。在步骤S80的判断为存在相应的登记者条件表(是)时,过程进至步骤S82,判断在许可/不许可清单内是否登有这个需判断的访问类型。
在步骤S82的判断中,在许可/不许可清单内不包括这个需判断的访问类型(否)时,过程进至步骤S84,判断在沿条件数据轴产生的许可/不许可清单内是否登有这个访问类型。在步骤S84的判断为在许可/不许可清单内不存在这个访问类型(否)时,就在步骤S86中判断是否存在一个沿登记者轴产生的簇。在步骤S86的判断为不存在相应的访问类型(否)时,就在步骤S88中读出隐私策略数据和执行正当性检查。然后,将检查结果和登记者ID加入空白登记者条件表,过程结束。相反,在步骤S80的判断为不存在相应的登记者条件表(否)时,就在空白内产生一个相应的登记者条件表,存储在存储区内。然后,过程转至步骤S82,执行下一个授权判断。
另一方面,在步骤S82的判断为这个访问类型属于许可/不许可清单(是)时,过程进至步骤S92,检查许可/不许可清单与登记者条件表之间的一致性,然后过程转至步骤S84的判断。在本发明中,检查一致性的处理是指包括判断用许可/不许可清单得出的访问授权是否与登记者条件表给出的结果有冲突、在有冲突的情况下删除用许可/不许可清单产生的访问授权和将访问授权修改成恰当的访问授权和存储这个恰当的访问授权这些步骤的处理。此外,在步骤S84的判断为这个访问类型属于许可/不许可清单(是)时,过程进至步骤S94,检查许可/不许可清单与登记者条件表之间的一致性,然后过程转至步骤S86的判断。此外,在步骤S86的判断为有一个相应访问类型的簇(是)时,就用执行正当性检查的结果为这个簇添加这个相应的登记者ID,于是过程结束。
并不总是必需选择上述压缩处理中的任何一个模式。可以按需要以多个上述模式的复合执行数据压缩。例如可以在执行沿访问类型轴的压缩处理后再执行沿条件数据轴的压缩处理,以便为不包括在许可清单或不许可清单内的列执行沿条件轴的压缩处理。此后,对每个记录执行沿登记者轴的压缩处理。这样,就可以大大减少在接收来自应用的访问请求后授权引擎执行正当性检查的开销。
B:本发明的访问管理方法的实现
本发明的访问管理系统配置成一个计算机可执行程序。记录在计算机可读记录媒体或传输媒体内的计算机可执行程序安装在计算机系统内,使计算机实现上述各种功能。下面,将说明在本发明的访问管理系统以计算机系统实现时所执行的处理。在说明中假设是最基本的访问管理系统。然而,应指出的是,甚至可以将类似的功能配置在这种访问管理方法或访问管理系统内通过网络相互连接的各个组成部分处。
图13示出了本发明的访问管理方法在启动过程前的初期处理。这个处理可以通过一个配置在系统的任何计算机内的事前计算单元执行。在图13所示的初期处理中,在步骤S100中,使事前计算单元读出由策略设定者设定的隐私策略数据。还可以执行诸如通过读出存储在系统的任何存储单元内的隐私策略这样的存储方法。或者,也可以是在策略设定者处的负责人按照适当的方法执行输入和存储。
在步骤S102中,根据需用的访问授权数据的格式执行产生簇值或压缩处理,从而创建包括访问类型清单和登记者条件表的上述访问授权数据。作为另一个实施例,还可以将访问类型清单、登记者条件表、条件逻辑和选择逻辑存入授权引擎和创建单元可以共享的存储区。作为另一个实施例,授权引擎和创建单元通过网络远距离相互连接,这样就可以将访问类型清单、登记者条件表、条件逻辑、选择逻辑之类发送给授权引擎存储,也可以是授权引擎访问存储在创建单元内的访问类型清单、登记者条件表、条件逻辑、选择逻辑之类,以便执行处理。
在步骤S104中,使授权引擎启动正当性检查处理和响应来自应用的访问请求管理对登记者数据库的访问。在步骤S106中,一个检测单元使授权引擎连续或周期性地监视登记者的诸如同意之类的条件类型或策略设定者侧的策略内容是否有改变。步骤S106的判断结果发送给步骤S108。在步骤S108判定有任何数据更新(是)时,过程进至步骤S110,确定访问类型清单、登记者条件表、条件逻辑、选择逻辑之类内需改变的部分,事前计算单元执行重新计算。
在步骤S112中,将访问类型清单、登记者条件表、条件逻辑、选择逻辑之类内的重新计算的部分存储在可供授权引擎使用的适当存储区内。然后,过程返回步骤S104,继续执行访问管理系统的处理。另一方面,在步骤S108的判断结果为没有更新(否)时,现有的访问类型清单、登记者条件表、条件逻辑、选择逻辑之类就是直接可用的。因此,过程不更新访问授权数据,直接返回步骤S104,执行访问管理系统的处理。
图14示出了登记者条件表是动态补充而不是事前创建的另一个实施例的访问管理方法的处理。在图14所示的实施例中,在步骤S114中,授权引擎接收来自应用的对登记者数据的访问请求,从而得出访问类型。在步骤S116中,授权引擎对访问类型清单和登记者条件表进行搜索,判断在访问授权数据内是否发现所得出的访问类型。在步骤S116的判断为没有发现与登记者条件表相应的数据(否)时,过程进至步骤S118,授权引擎将没有与访问授权相应的结果和所请求的访问类型通知事前计算单元。在步骤S120中,事前计算单元访问登记者数据库,提取与这个访问类型相应的登记者。然后,事前计算单元通过将登记者数据与隐私策略相比较执行正当性检查,产生簇标识值。然后,事前计算单元将簇标识值作为一个新记录登入登记者条件表。在步骤S122中,创建单元将创建的访问授权数据整个或者更新的部分返回给授权引擎,使授权引擎执行正当性检查。
另一方面,在步骤S116的判断为发现与登记者条件表相应的数据时,就可以完成对访问请求的正当性检查,访问请求此时可以通过只参考执行正当性检查已经得到的簇标识值予以评估。在图14所示的实施例中,条件数据的正当性检查在运行时间执行。因此,虽然与图13所示的实施例相比要用多一些的时间接收应用侧的结果,但登记者条件表一旦配置后就可以给出与图13所示的相同的效率。此外,为了加快这个处理,还可以将登记者条件表逐步构建在高速缓存器内。
图15为示出在按照本发明的第二实施例设计的访问管理方法中为每个访问类型创建登记者条件表时动态补充记录的处理情况的示意图。在图15中,在步骤S130中,授权引擎接收来自应用的对登记者数据的访问请求后,判定访问类型。在步骤S132中,用所判定的访问类型和所请求的登记者数据作为关键字访问访问类型清单,判断在访问类型清单内是否存在所判定的访问类型。在步骤S132的判断为在访问类型清单内发现存在所判定的访问类型(是)时,过程进至步骤S134,利用相应的登记者条件表对访问授权执行判断。然后,在步骤S140中,根据其结果执行对登记者数据库的访问控制。此后,过程返回步骤S130,为下一个访问请求作好准备。
相反,在步骤S132的判断为在访问类型清单内此时没有发现所判定的访问类型(否)时,过程进至步骤S136,授权引擎将没有访问类型和有关访问类型的通知传送给创建单元。在步骤S138中,事前计算单元利用隐私策略数据执行正当性检查,与正当性检查的结果一起为访问授权数据创建一个新记录。然后,事前计算单元以评价引擎可用的格式将访问授权数据存储在存储区内。在步骤S140中,评价引擎利用新得到的记录执行正当性检查,将结果返回给应用。
C:本发明的访问管理系统
图16为示出了按照本发明设计的、实现本发明的访问管理方法的访问管理系统的功能方框图。如图16所示,本发明的访问管理系统30包括一个用来接收来自应用执行单元32的访问请求和执行处理的授权引擎34、一个事前计算单元38和一个存储区40。授权引擎34包括一个处理访问授权判断的授权判断单元36。应用执行单元32接收一个来自负责人的输入后,利用一个SQL语句之类将这个访问请求发给授权引擎34。此外,应用执行单元32还执行接收来自授权引擎的结果和将结果返回给负责人的处理。应用执行单元32配置成能通过使计算机执行与策略设定者所需的操作有关的专用或通用操作软件实现规定的操作。
授权引擎34接收访问请求后,从访问请求中读出包含在访问请求内的诸如数据利用类型、业务目的类型或所请求的登记者数据之类的数据。然后,授权引擎34从读出的数据中判定所请求的访问类型,将访问类型存储在适当构成的包括硬盘、高速访问存储器(高速缓存器)的存储区40内。另一方面,事前计算单元38读出存储在隐私策略数据库42内的隐私策略和存储在登记者数据库44内的登记者数据,事前创建包括访问类型清单和登记者条件表的访问授权数据。这样创建的访问授权数据例如存储在存储区40内。在这种情况下,存储区40可以包括一个由适当的软件配置的数据库。
所创建的包括访问类型清单和登记者条件表的访问授权数据一旦存储在存储区40内,就构成为由授权引擎34可读的。同时,在必须为登记者条件表提供选择逻辑时,事前计算单元38将这样的选择逻辑同时存储在存储区40内。
下面再结合图16说明本发明的访问管理系统。组成访问管理系统30的监视单元46监视隐私策略数据库42和登记者数据库44内的数据的改变和更新。此外,监视单元46例如周期性或连续地监视隐私策略数据库42与登记者数据库44之间的数据的一致性。例如,在登记者改变对条件数据的设定时或者在补充了一个新的登记者记录时,监视单元46提取数据中有冲突的部分,从而判定改变条件数据设定或补充新登记者记录的情况。在监视单元46判定条件数据设定有改变或者有补充的新登记者记录时,监视单元46将改变了的条件类型或者新的登记者记录发送给事前计算单元38。一收到这数据,事前计算单元38创建与该数据相应的访问授权数据,将差异数据存储在存储区40内,使得授权引擎34可以执行内含新的登记者数据的处理。
图17为示出按照本发明的第二实施例设计的访问管理系统的示意图。图17本发明的第二实施例的访问管理系统的这个示意图示出了在执行沿访问类型轴、条件数据轴或登记者轴执行数据压缩的情况下的配置。本发明的访问管理系统30包括授权引擎34、事前计算单元38和存储区40。授权引擎34包括授权判断单元36和执行判断以选择访问授权数据内各表或清单的选择模块48。应用执行单元32执行基本上与图16中所示的类似的处理,还执行将访问管理给出的结果返回给负责人的处理。
授权引擎34接收访问请求后,从访问请求中读出包含在访问请求内的诸如数据利用类型、业务目的类型或所请求的登记者数据之类的数据。然后,授权引擎34根据这样读出的数据判定所请求的访问类型。另一方面,事前计算单元38读出存储在隐私策略数据库42内的隐私策略和存储在登记者数据库44内的登记者数据,创建能访问通过对访问类型清单、登记者条件表和与之相应的压缩数据之类执行压缩处理所产生的许可/不许可清单或表的选择逻辑。事前计算单元38将选择逻辑存储在适当构成的包括硬盘、高速访问存储器(高速缓存器)的存储区40内。
选择模块48接收判定的访问类型,同时从存储区40内读出选择逻辑和访问授权数据,然后将访问授权数据传送给授权判断单元。授权引擎34能利用这样接收的访问请求和访问授权数据判断许可或不许可访问登记者数据库。在访问许可时,应用执行单元32可以得到相应的登记者数据。相反,在访问不许可时,应用执行单元32接收来自授权引擎34的访问不许可通知。
图18为示出按照本发明的第三实施例设计的访问管理系统。图18所示的访问管理系统50是一个配置成管理通过一个诸如局域网(LAN)或广域网(WAN)之类的网络访问登记者数据的系统。图18所示的访问管理系统50包括一个网络52、多个连接到网络52上的应用计算机54、登记者数据库44和隐私策略数据库42。在这里所说明的实施例中,登记者数据库44和隐私策略数据库42由一个管理服务器56进行管理。此外,管理服务器56包括如图16和图17所示的事前计算单元38的功能、监视单元46的功能和存储区40的功能。管理服务器56能事前计算和存储执行本发明的访问管理方法所必需的数据,诸如访问类型清单、登记者条件表或选择逻辑之类。另一方面,在图18所示的实施例中,各应用计算机54都包括应用执行单元32和授权引擎34。
授权判断处理所需的访问管理数据与选择逻辑的数据一起从管理服务器56发送给授权引擎34,如图18所示。数据存储在一个包含在应用计算机54内的适当存储区。每个应用计算机54构造成使访问请求受到应用计算机54用所存储的访问授权数据和访问请求的处理,访问登记者数据库由授权引擎34控制。授权引擎34根据本发明的上述访问管理方法处理访问请求,只将通过正当性检查的访问请求发送给管理服务器56。管理服务器56对登记者数据库42进行搜索,从中提取所请求的登记者数据,将登记者数据传送给应用计算机54。
要提及的是,在本发明的另一个实施例中,授权服务器(未示出)可以分开配置,而不为应用计算机54配置如授权引擎那样的功能。另一方面,授权引擎可以与管理服务器56分开配置成一个处理来自应用计算机54的访问请求的网关服务器。这样,就可以与事前计算功能独立地处理来自多个应用计算机54的访问请求。
虽然本发明根据附图所示的一些实施例作了说明,但本发明并不局限于在这里所说明的这些具体实施例。此外,应指出的是,本发明的访问管理方法可以用各种编程语言写成计算机可执行程序。这样的编程语言包括C语言、C++语言、Java(注册商标)之类。而且,执行本发明的访问管理方法的计算机可读程序可以存储在诸如ROM、EEPROM、闪速存储器、CD-ROM、DVD、软盘或硬盘之类的各种记录媒体上,以便经销。
使用本发明可以加快隐私策略的正当性检查而不会损害可靠性。特别是,在一个配置成一度得到大量信息的应用中,正当性检查的开销是一个很大的问题。然而,本发明在这样的一个伴随有大量数据访问的系统内特别有效。
虽然已经对本发明的优选实施例作了详细说明,但很清楚,在不背离如所附权利要求书所规定的本发明的精神和专利保护范围的情况下可以在其中作出各种改变、置换和替代。
Claims (15)
1.一种对访问登记者数据进行管理的访问管理系统,所述访问管理系统包括:
一个授权引擎,用来控制对一个存储包括登记者隐私性数据的登记者数据的登记者数据库的访问,和利用一个规定的隐私策略和由登记者指定的条件数据控制对所述登记者数据库的访问,
其中所述授权引擎包括一个授权判断单元,用来根据从外部接收的涉及所述登记者数据的访问请求决定访问类型,利用在所述访问请求前决定的访问授权数据结合所述访问类型控制根据所述访问请求对所述登记者数据库的访问。
2.按照权利要求1所述的访问管理系统,所述访问管理系统还包括:
一个事前计算单元,用来事前计算所述访问授权数据;以及
一个存储区,用来存储所述访问授权数据。
3.按照权利要求1所述的访问管理系统,
其中所述访问授权数据包括事前根据所述隐私策略和所述条件数据产生的用于执行访问授权的标识值。
4.按照权利要求2所述的访问管理系统,
其中所述访问授权数据包括一个事前用所述隐私策略和所述条件数据产生的以一种不包括响应任何访问类型和登记者指定的条件数据都不被访问的访问授权数据的格式写的表。
5.按照权利要求4所述的访问管理系统,
其中所述访问授权数据还包括一个许可清单和一个不许可清单。
6.一种用一个计算机系统对访问登记者数据进行管理的访问管理方法,所述方法包括下列步骤:
使一个授权引擎接收一个来自外部的访问请求;
使所述授权引擎根据所述访问请求决定访问类型;
结合涉及登记者数据的访问类型读出在所述访问请求前被决定的访问授权数据和将所述访问授权数据与所述访问类型相比较;以及
根据比较结果控制对一个与所述访问请求关联的登记者数据库的访问。
7.按照权利要求6所述的访问管理方法,所述方法还包括下列步骤:
将包括由一个创建单元创建的用于执行访问授权的标识值的访问授权数据存储在一个存储区内。
8.按照权利要求6所述的访问管理方法,所述方法还包括下列步骤:
将包括一个通过利用一个隐私策略和条件数据产生的不包括响应一个访问类型或由一个登记者指定的条件数据不被访问的访问授权数据的表的访问授权数据存储在一个存储区内。
9.按照权利要求8所述的访问管理方法,所述方法还包括下列步骤:
除所述访问授权数据外还将一个许可清单和一个不许可清单存储在所述存储区内。
10.一种管理通过一个网络访问登记者数据的访问管理系统,所述访问管理系统包括:
一个网络;
一个连接到所述网络上的登记者数据库,用来存储含有登记者隐私的登记者数据;
一个连接到所述网络上的授权引擎,所述授权引擎、通过利用一个发布对所述登记者数据库的访问请求的应用执行单元、和响应从所述应用执行单元接收一个访问请求利用一个与所述登记者数据有关的隐私策略和由登记者指定的条件数据、控制对所述登记者数据库的访问;以及
一个管理服务器,用来结合访问类型产生在所述访问请求前被决定的访问授权数据和使授权引擎利用所述访问授权数据。
11.按照权利要求10所述的访问管理系统,
其中所述授权引擎利用用所述隐私策略和所述条件数据产生的包括用于执行访问授权的标识值的所述访问授权数据控制所述访问。
12.按照权利要求10所述的访问管理系统,
其中所述授权引擎使用通过使用所述隐私策略和所述条件数据产生的,格式配置成不包括响应任何访问类型和条件数据都不被访问的访问授权数据的表、和包括一个许可清单和一个不许可清单的访问授权数据控制访问。
13.一种控制一个计算机对通过一个网络访问登记者数据进行管理的访问控制方法,所述访问控制方法包括下列步骤:
使一个授权引擎通过网络利用事前计算的访问授权数据;
使所述授权引擎接收一个来自外界的对一个存储含有登记者隐私的登记者数据的登记者数据库的访问请求;
接收所述来自外界的访问请求后就决定访问类型;以及
通过将所述决定的访问类型与在所述访问请求前决定的访问授权数据相比较控制对所述登记者数据库的访问。
14.按照权利要求13所述的访问控制方法,
其中所述访问授权数据利用一个隐私策略和条件数据产生而且包括一个用于执行访问授权的标识值。
15.按照权利要求13所述的访问控制方法,
其中所述访问授权数据包括利用隐私策略和条件数据产生的格式配置成不包括响应任何访问类型和登记者指定的条件数据都不被访问的访问授权数据的表、一个许可清单和一个不许可清单。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003090138A JP4225815B2 (ja) | 2003-03-28 | 2003-03-28 | アクセス管理システム、アクセス管理方法、該アクセス管理方法を |
| JP090138/2003 | 2003-03-28 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1534427A CN1534427A (zh) | 2004-10-06 |
| CN1534427B true CN1534427B (zh) | 2010-05-26 |
Family
ID=33403832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2004100302633A Expired - Fee Related CN1534427B (zh) | 2003-03-28 | 2004-03-23 | 访问管理系统和访问管理方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20040260699A1 (zh) |
| JP (1) | JP4225815B2 (zh) |
| CN (1) | CN1534427B (zh) |
| TW (1) | TW200502785A (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7617213B2 (en) * | 2005-08-01 | 2009-11-10 | Oracle International Corporation | Method and apparatus for facilitating optimistic authorization in a database |
| JP4794571B2 (ja) * | 2005-12-02 | 2011-10-19 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データベースに対するアクセスを効率化するシステム、および、その方法 |
| KR100670826B1 (ko) | 2005-12-10 | 2007-01-19 | 한국전자통신연구원 | 인터넷 개인 정보 보호 방법 및 그 장치 |
| KR101086452B1 (ko) * | 2007-12-05 | 2011-11-25 | 한국전자통신연구원 | 등급별 프라이버시 정책을 갖는 아이덴터티 관리 시스템 및그 방법 |
| US8943311B2 (en) | 2008-11-04 | 2015-01-27 | Securekey Technologies Inc. | System and methods for online authentication |
| WO2010094125A1 (en) | 2009-02-19 | 2010-08-26 | Securekey Technologies Inc. | System and methods for online authentication |
| WO2011021371A1 (ja) * | 2009-08-20 | 2011-02-24 | 村田機械株式会社 | 中継通信システム及びアクセス管理装置 |
| EP2507935B1 (en) * | 2009-12-01 | 2020-04-29 | SecureKey Technologies Inc. | System and methods for identity attribute validation |
| US20120159566A1 (en) * | 2010-12-17 | 2012-06-21 | Sap Ag | Access control framework |
| JP6581304B2 (ja) * | 2016-06-03 | 2019-09-25 | 株式会社日立製作所 | 現場システム |
| JP7441157B2 (ja) * | 2020-11-06 | 2024-02-29 | 株式会社東芝 | データ管理方法、コンピュータプログラム及びデータ管理システム |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2000099470A (ja) * | 1998-09-18 | 2000-04-07 | Sony Corp | データベース装置、情報管理装置とその方法およびデータ管理プログラムが記録されたコンピュータ読み取り可能な記録媒体 |
| US6275824B1 (en) * | 1998-10-02 | 2001-08-14 | Ncr Corporation | System and method for managing data privacy in a database management system |
| US6253203B1 (en) * | 1998-10-02 | 2001-06-26 | Ncr Corporation | Privacy-enhanced database |
| US6640211B1 (en) * | 1999-10-22 | 2003-10-28 | First Genetic Trust Inc. | Genetic profiling and banking system and method |
| JP2002014862A (ja) * | 2000-06-28 | 2002-01-18 | Fujitsu Ltd | 情報アクセス制御装置および情報アクセス制御方法 |
| US20020143961A1 (en) * | 2001-03-14 | 2002-10-03 | Siegel Eric Victor | Access control protocol for user profile management |
-
2003
- 2003-03-28 JP JP2003090138A patent/JP4225815B2/ja not_active Expired - Fee Related
-
2004
- 2004-02-27 TW TW093105131A patent/TW200502785A/zh unknown
- 2004-03-18 US US10/803,741 patent/US20040260699A1/en not_active Abandoned
- 2004-03-23 CN CN2004100302633A patent/CN1534427B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP4225815B2 (ja) | 2009-02-18 |
| TW200502785A (en) | 2005-01-16 |
| US20040260699A1 (en) | 2004-12-23 |
| JP2004295763A (ja) | 2004-10-21 |
| CN1534427A (zh) | 2004-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| RU2403620C2 (ru) | Терминальная система авторизации карт и способ управления картами с использованием этой системы | |
| US20190363890A1 (en) | Nested Blockchain System | |
| US7299171B2 (en) | Method and system for processing grammar-based legality expressions | |
| US9466063B2 (en) | Cluster processing of an aggregated dataset | |
| CN101547092B (zh) | 用于统一用户认证的多应用系统数据同步的方法及装置 | |
| CN102968501B (zh) | 一种通用的全文搜索方法 | |
| EP2194464A1 (en) | Search mediation system | |
| US11442933B2 (en) | Function semantic based partition-wise SQL execution and partition pruning | |
| CN1534427B (zh) | 访问管理系统和访问管理方法 | |
| CN106462545A (zh) | 可缩放文件存储服务 | |
| CN101657831A (zh) | 策略管理基础结构 | |
| CN106462601A (zh) | 针对多盘区操作的原子写入 | |
| CN108171527B (zh) | 客户信息管理系统及方法 | |
| CN101546195A (zh) | 一种防倒票的票务系统及方法 | |
| US20190362305A1 (en) | Systems and Methods Exception Handling in a Distributed Computing Environment | |
| US20190363884A1 (en) | System and Methods for Multi-Variant Tracking | |
| CN104142930A (zh) | 通用δ数据装载 | |
| Vieira et al. | Towards a security benchmark for database management systems | |
| US20040243511A1 (en) | Method and apparatus to create and execute time-bound constraints | |
| CN114363352A (zh) | 基于区块链的物联网系统跨链交互方法 | |
| JP2009146350A (ja) | サービス管理装置及びデータアクセス制御装置及びデータ検索方法 | |
| CN101504756A (zh) | 基于网络实现资金调动调拨的系统和方法 | |
| CN101420773A (zh) | 传感器网络操作系统自保护系统 | |
| US20020038367A1 (en) | Electronic service system using main site server and partner site server | |
| CN1877520A (zh) | 通过脚本的成员资格确定方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C17 | Cessation of patent right | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100526 Termination date: 20110323 |