CN103309922A - 用于实体搜索的访问控制的方法和系统 - Google Patents
用于实体搜索的访问控制的方法和系统 Download PDFInfo
- Publication number
- CN103309922A CN103309922A CN2013100708364A CN201310070836A CN103309922A CN 103309922 A CN103309922 A CN 103309922A CN 2013100708364 A CN2013100708364 A CN 2013100708364A CN 201310070836 A CN201310070836 A CN 201310070836A CN 103309922 A CN103309922 A CN 103309922A
- Authority
- CN
- China
- Prior art keywords
- entity
- search
- searchers
- predicate
- inquiry
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
Abstract
本发明涉及一种用于实体搜索的访问控制的方法和系统。所述方法包括:以概念模型表示实体-关系数据;在搜索系统中将实体表示为包含所述实体的可搜索内容和元数据的文档;根据实体及其关系定义搜索者的授权规则;以及扩展实体文档以包括定义所述授权规则的可搜索令牌。定义授权规则可以包括:标识用于实体搜索的查询谓词约束;以及将可搜索令牌定义为查询谓词和可允许搜索者的路径;其中基于包含所述谓词的查询而允许所述可允许搜索者访问数据。定义授权规则可以进一步包括:定义用于自由文本谓词的可搜索文档文件,其中字段名称作为可允许搜索者的令牌并且字段值作为所述可搜索内容。
Description
技术领域
本发明涉及实体搜索的访问控制领域。具体地说,本发明涉及基于查询语义进行实体搜索的访问控制。
背景技术
从传统信息检索(IR)的角度看,实体搜索最近吸引了许多研究人员的注意力。这种扩展基于如下观察:对于许多用户查询,实体比诸如网页或科学论文之类的完整文档更适合于满足查询。典型的实体搜索情况从用户查询开始,此查询描述感兴趣的实体,并且可能描述有关此实体与其它实体的关系的附加约束。检索系统任务则是检索所有匹配实体(或提及这些实体的文档),它们按其与用户查询的“相关性”分级。例如,在医疗领域中,诸如“药物A”与(AND)“患者”之类的查询可能需要搜索,以便发现包含术语“药物A”并且与某一患者实体具有至少一种关系的药物实体(例如,患者服用的药物)。
在诸如社会、医疗、企业和客户关系管理(CRM)之类的各种领域中,许多发现系统可以受益于公开实体搜索服务。然而,许多此类系统可能需要控制在检索时间内共享的信息级别,以便回答授权用户的查询并保护隐私。例如,在医疗领域中,患者可能希望控制何人可以搜索其个人健康记录以及其数据的哪些部分可搜索(例如,医生可以完全搜索患者健康记录,而其它人仅可以搜索医疗数据,例如用于临床试验目的的医疗治理)。
发明内容
提供了一种对由计算机化设备执行的实体搜索进行访问控制的计算机实现的方法,所述方法包括:以概念模型表示实体数据;在搜索系统中将实体表示为包含所述实体的可搜索内容和元数据的文档;根据实体及其关系定义搜索者的授权规则;以及扩展实体文档以包括定义所述授权规则的可搜索令牌。
提供了一种用于聚合社交网络数据的计算机程序产品,所述计算机程序产品包括:其上包含计算机可读程序代码的计算机可读非瞬时性存储介质,所述计算机可读程序代码包括:被配置为执行以下操作的计算机可读程序代码:以概念模型表示实体数据;在搜索系统中将实体表示为包含所述实体的可搜索内容和元数据的文档;根据实体及其关系定义搜索者的授权规则;以及扩展实体文档以包括定义所述授权规则的可搜索令牌。
提供了一种用于聚合用户的本地系统上的社交网络数据的系统,所述系统包括:处理器;模型定义组件,其用于以概念模型表示实体数据;实体数据转换组件,其用于在搜索系统中将实体表示为包含所述实体的可搜索内容和元数据的文档;隐私策略定义组件,其用于根据实体及其关系定义搜索者的授权规则;以及文档扩展组件,其用于扩展实体文档以包括定义所述授权规则的可搜索令牌。
提供了一种通过网络为客户提供用于实体搜索的访问控制的服务的方法,所述服务包括:以概念模型表示实体数据;在搜索系统中将实体表示为包含所述实体的可搜索内容和元数据的文档;根据实体及其关系定义搜索者的授权规则;以及扩展实体文档以包括定义所述授权规则的可搜索令牌。
附图说明
在说明书的结尾部分中具体指出并明确要求保护了被视为本发明的主题。当结合附图阅读时,通过参考以下详细描述,可以最佳地理解本发明的组织和操作方法以及本发明的目的、特性和优点,这些附图是:
图1是根据本发明的授权模型方面的示意图;
图2是根据本发明的方法的流程图;
图3是根据本发明的方法的一个方面的流程图;
图4A和4B是根据本发明的方法的进一步方面的流程图;
图5是根据本发明的系统的方块图;
图6是其中可以实现本发明的计算机系统的方块图;
图7是示出根据本发明的一个实例实施例的示意图;
图8A和8B是示出根据本发明的用于用户访问控制的图形用户界面的示意图;以及
图9是示出根据本发明的具有访问控制的搜索的图形用户界面的示意图。
将理解,为使例示简单和清晰,附图中示出的元素不一定按比例绘制。例如,为了清晰起见,某些元素的大小可能相对于其它元素而有所增大。此外,如果适当,标号可以在附图之间重复以指示对应或类似的特性。
具体实施方式
在以下详细描述中,提供了大量特定的细节以便彻底理解本发明。然而,本领域的技术人员将理解,可以在没有这些特定的细节的情况下实现本发明。在其它情况下,未详细描述公知的方法、过程和组件以免使本发明变得模糊不清。
在此使用的术语只是为了描述特定的实施例并且并非旨在作为本发明的限制。如在此所使用的,单数形式“一”、“一个”和“该”旨在同样包括复数形式,除非上下文明确地另有所指。还将理解,当在此说明书中使用时,术语“包括”和/或“包含”指定了声明的特性、整数、步骤、操作、元素和/或组件的存在,但是并不排除一个或多个其它特性、整数、步骤、操作、元素、组件和/或其组的存在或增加。
以下的权利要求中的对应结构、材料、操作以及所有功能性限定的装置或步骤的等同替换,旨在包括任何用于与在权利要求中具体指出的其它单元相组合地执行该功能的结构、材料或操作。所给出的对本发明的描述其目的在于示意和描述,并非是穷尽性的,也并非是要将本发明限定到所表述的形式。对于所属技术领域的普通技术人员来说,在不偏离本发明范围和精神的情况下,显然可以作出许多修改和变型。对实施例的选择和说明,是为了最好地解释本发明的原理和实际应用,使所属技术领域的普通技术人员能够明了,本发明可以有适合所要的特定用途的具有各种改变的各种实施方式。
描述了其中提供用于实体搜索的授权模型的方法、系统和计算机程序产品,它们基于传统IR访问控制列表(ACL)概念的扩展,所述扩展可以在倒排索引中高效实现。
所描述的授权模型考虑了查询语义和可能的解释,并且识别基于实体的语义。
总体上,所描述的授权模型针对用于实体搜索的基于倒排索引的体系结构,并且提供细粒度查询语义级别授权,而不管基础数据格式或种类的类型为何。
可以假设使用某种概念模型(例如(实体-关系)ER模型)表示实体和关系数据。在此类模型中,每个实体e可以具有类型e.type(例如,Patient、Medication等)、包含一个到多个属性a的集合,每个属性可以进一步具有名称a.name和值(例如,Patient.age:20、Medication.name:Drug A等)。关系r可以包括名称r.name,并且可以捕获两个或更多实体之间的关联(例如,PatientMed)。
还可以假设每个实体e在搜索系统内部由包含该实体的可搜索“内容”和元数据的文档d_e表示。例如,所述文档可以是多字段文档(例如,ApacheLucene文档,Apache Lucene是Apache软件基金会的商标)。独立于基础搜索系统中的精确内部实体文档表示,所述实体文档可以通过特殊的可搜索令牌扩展,这些令牌用于根据实体及其关系捕获各种授权规则。
所述授权模型构建于ACL概念之上,通常通过添加特殊的文档令牌实现。传统上,对于给定的查询q和搜索者标识id或组关联(例如,SysAdmins),将包含所述搜索者id或组关联的ACL令牌添加到所述查询(例如,q AND$ACL$:id),以便过滤出当前搜索者未被允许搜索的文档。
使用与实体搜索系统的查询解释紧密耦合的实体-关系ACL机制来描述基本ACL机制的扩展。
可以假设基础实体搜索系统能够根据查询的解释将查询分解成谓词(predicate)。每个查询谓词p限制应返回的实体,并且可以使用布尔表达式组合各种谓词。
在所描述的实施例中,针对实体搜索标识四种唯一的查询谓词约束,如下所示:
●实体类型谓词(例如,e.type=Patient),需要返回特定类型的实体;
●实体属性谓词(例如,e.a=age:20),需要返回具有特定属性名称和值的实体;
●关系谓词(例如,r.name=PatientMed),进一步需要返回与其它实体具有特定关系的实体;以及
●自由文本谓词(例如,content="Drug A"),可能需要仅根据从查询实体的属性和关系提取的内容而返回查询实体,而不考虑任何特定的实体元数据,将实体视为纯文本文档。
可以将来自用户隐私策略的每个访问控制规则映射到对(谓词,可允许);谓词可以是上面四种基本谓词类型中的任意一种,而可允许可以根据包含该谓词的查询来标识被允许访问用户数据的特定权限、权限组(例如,role=Physician)或$PUBLIC$(对于公共访问)。对于给定的用户隐私策略(每当用户文档满足由可允许搜索者perm提交的查询谓词p时,此策略允许返回用户文档),可以在搜索索引中将特殊的ACL令牌$ACL$/p/perm添加到此用户文档。
由于任何实体文档的内容都源自实体的数据和元数据,因此如果给出可能引用多个实体类型、属性或关系的自由文本查询,则需要特别关注以便支持隐私。为此,用于自由文本搜索的ACL可以被实现为可搜索文档字段而不是纯ACL令牌,其中字段名称是$ACL$/content/permissible ACL令牌,并且字段值包含通过可允许标识的搜索者所被允许的每个实体类型、属性或关系值的内容。这又允许在查询运行时期间以这样的方式重写文本谓词:当前搜索者仅可搜索源自允许的实体数据和元数据的文本令牌。
最后,给定一组新的ACL令牌,可以直接重写任何给定搜索者的查询;首先将查询分解成其基本谓词q.p,然后为每个谓词添加适当的ACL令牌。
参考图1,示意图示出了用于实体搜索的授权模型的一个实施例。图1被表示为有向无环图(DAG)100,其示出了用于实体搜索的授权模型,其中它的“根”101是前缀令牌$ACL$。
此图中的下一个节点级别110在语义上表示用于实体搜索的四种可能查询谓词,其中CNT111、ENT112、ATT113和REL114表示自由文本、实体类型、实体属性和关系谓词ACL。对于实体属性和关系,姓名节点120进一步表示其名称。最后,可允许节点130表示搜索者权限,通过特定id131、用户组132或任何搜索者133(表示为$PUBLIC$)标识。因此,可以通过沿路径连接节点标签,将从根101到底部节点131-133的直接路径转换成ACL令牌。
参考图2,流程图200示出了所描述的方法的一个实施例。可以使用概念模型表示实体数据(201)。实体数据可以包括定义实体之间关系的关系数据。可以在搜索系统中表示实体(202),方式为:按包含可搜索元数据和内容的文档进行索引。可以在实体-关系数据的索引时间定义用户隐私或访问控制策略并将其转换为授权规则(203)。可以通过可搜索令牌扩展实体文档(204),这些令牌用于根据实体和关系捕获各种授权规则。具体地说,根据实体及其关系定义用于搜索者的授权规则或策略。
参考图3,流程图300示出了定义隐私或访问控制策略并扩展实体文档以捕获授权规则的所描述的方法的所述方面。可以标识用于实体搜索的查询谓词约束(301)。例如,在所描述的实施例中,查询谓词是如图1中所示的实体类型、实体属性、关系以及自由文本。
可以将用户隐私或访问控制策略映射到查询谓词-权限对(302),其中权限定义允许的搜索者,例如特定权限、权限组或公共访问。
可以将可搜索令牌定义为查询谓词-权限对的路径(303)。可以定义用于自由文本谓词的可搜索文档字段(304),其中字段名称作为定义权限的可搜索令牌,并且字段值作为令牌中标识的搜索者所被允许的内容。
参考图4A,流程图400示出了在查询运行时的方法的一个方面的第一实施例。
可以连同搜索者标识一起接收用于实体搜索的查询(401)。可以使用授权模型将所述查询重写为一个或多个令牌(402),方式为:基于搜索系统的解释而将所述查询分解成谓词,且每个谓词约束要返回的实体。可以使用布尔表达式组合谓词。
可以搜索一个或多个令牌(403)以查找满足所述查询和搜索者授权的文档。可以将所述文档映射到要在搜索结果中返回的实体(404)。
参考图4B,流程图450示出了在查询运行时的方法的一个方面的第二实施例。
可以连同搜索者标识一起接收用于搜索的自由文本查询(451)。可以使用授权模型将所述查询重写为一个或多个具有包含自由文本的字段值的令牌(452),方式为:基于搜索系统的解释而将所述查询分解成谓词,且每个谓词约束要返回的实体。可以使用布尔表达式组合谓词。
可以搜索可允许令牌的字段值(453)以查找满足所述查询和搜索者授权的文档。可以将所述文档映射到要在搜索结果中返回的实体(454)。
参考图5,方块图500示出了所描述的系统500的一个实施例。
提供索引系统510以编制实体数据501的索引以供搜索。例如,实体数据501可以包括实体-关系数据。索引系统510可以包括模型定义组件511,其用于定义实体数据501的逻辑文档模型512。索引系统510还可以包括实体数据转换组件513,其用于填充逻辑文档模型512以提供填充后的模型514。
索引系统510可以包括隐私策略定义组件515,其用于为用户或用户组定义授权令牌。可以提供文档扩展组件516以便使用根据实体和关系捕获授权规则的可搜索令牌来扩展填充后的模型514的实体文档。
索引系统510还可以包括索引组件517,其用于编制填充后的模型514的索引作为倒排索引518。
可以提供查询处理系统520以便接收和处理搜索查询。可以提供具有查询输入组件531和用户定义组件532的图形用户界面530。查询处理系统520可以包括查询重写组件521,其用于针对标识的查询用户将所接收的查询转换成查询谓词。查询处理系统520可以包括令牌搜索组件522,其用于在索引518中搜索授权令牌,并且可以包括自由文本组件523,其用于在索引518内的令牌字段值中搜索自由文本内容。可以提供文档映射组件524以便将匹配的文档映射到可以作为搜索结果返回的实体。
参考图6,用于实现本发明各方面的示例性系统包括适合于存储和/或执行程序代码的数据处理系统600,其包括至少一个直接或通过总线系统603间接连接到存储元件的处理器601。所述存储元件可以包括在程序代码的实际执行期间采用的本地存储器、大容量存储装置以及提供至少某些程序代码的临时存储以减少必须在执行期间从大容量存储装置检索代码的次数的高速缓冲存储器。
所述存储元件可以包括形式为只读存储器(ROM)604和随机存取存储器(RAM)605的系统存储器602。可以将基本输入/输出系统(BIOS)606存储在ROM604中。可以将包括操作系统软件608的系统软件607存储在RAM605中。还可以将软件应用610存储在RAM605中。
系统600还可以包括诸如硬磁盘驱动器之类的主存储装置611以及诸如磁盘驱动器和光盘驱动器之类的辅助存储装置612。所述驱动器及其关联的计算机可读介质为系统600提供计算机可执行指令、数据结构、程序模块和其它数据的非易失性存储。可以将软件应用存储在主存储装置和辅助存储装置611、612以及系统存储器602中。
计算系统600可以使用通过网络适配器616与一个或多个远程计算机的逻辑连接而在联网环境中运行。
输入/输出设备613可以直接或通过中间I/O控制器与所述系统相连。用户可以通过诸如键盘、指点设备之类的输入设备或其它输入设备(例如,麦克风、游戏杆、游戏手柄、碟形卫星天线、扫描仪等)将命令和信息输入到系统600。输出设备可以包括扬声器、打印机等。显示设备614也通过诸如视频适配器615之类的接口连接到系统总线603。
实例用例
使用简单用例和示例查询,现在展示如何在实体搜索期间使用新的授权模型实施隐私策略。
图7示出了实例700,其具有三个实体、两个人710、720(爱丽丝和鲍勃)和一个文档730。粗线椭圆711、721、733表示用于标识实体710、720、730的关键字。每个实体710、720、730都具有若干属性711-713、721-723、731-733。爱丽丝710和鲍勃720是朋友,因此具有友谊关系740,并且鲍勃进一步与文档730具有标记关系750,标记关系750具有属性751。
爱丽丝允许每个人通过实体类型、关系或她的姓名发现其实体,而仅允许鲍勃通过她的人口统计属性发现其实体。鲍勃允许每个人根据他的属性或友谊关系发现其实体,但不允许除了爱丽丝之外的任何人通过他的标记关系发现其实体。
图7在爱丽丝和鲍勃的实体710、720之上进一步示出了ACL令牌和字段的集合701、702,它们基于捕获爱丽丝和鲍勃的隐私策略的所描述的授权模型,如下所示。
爱丽丝的文档ACL701:
$ACL$/ENT/$PUBLIC$
$ACL$/ATT/name/$PUBLIC$
$ACL$/ATT/age/Bob
$ACL$/ATT/city/Bob
$ACL$/REL/Friendship/$PUBLIC$
$ACL$/CNT/$PUBLIC$:“person.Friendship.name.Alice”
$ACL$/CNT/Bob:“age.30.city.NY”
鲍勃的文档ACL702:
$ACL$/ENT/$PUBLIC$
$ACL$/ATT/*/$PUBLIC$
$ACL$/REL/Tagged/Alice
$ACL$/REL/Friendship/$PUBLIC$
$ACL$/CNT/$PUBLIC$:“person.name.age.20.salary.5000.friendship”
$ACL$/CNT/Alice:“tagged”
现在示出使用模型ACL的两个实例查询及其查询重写。
实例查询1:假设爱丽丝提交以下自由文本查询“person tagged”(“标记的个人”),此查询需要返回标记某文档的个人实体。以下是使用所描述的授权模型的查询重写,此重写保证爱丽丝可以获得Bob(鲍勃)作为她的查询的回答:
$ACL$/CNT/$PUBLIC$:“person tagged”OR$ACL$/CNT/ALICE:“person tagged”
实例查询2:进一步假设搜索系统使用以下谓词组合解释爱丽丝的查询:
(e.type=Patient)AND(r.name=Tagged)。
以下是使用所描述的授权模型的查询重写,此重写再次保证爱丽丝可以获得Bob(鲍勃)作为她的查询的回答:
(e.type=Patient)AND(r.name=Tagged)
AND($ACL$/ENT/Patient/$PUBLIC$OR$ACL$/ENT/Patient/Alice)
AND($ACL$/REL/Tagged/$PUBLIC$OR$ACL$/REL/Tagged/Alice)
所描述的方法和系统的一个应用是社会医疗发现服务。尽管具有相对大量的新社会医疗服务,但患者对此类服务的采用仍然非常有限,这主要是由于隐私问题。许多患者仍然不愿意共享其私有个人数据(社会或医疗或两者),这是由于使用在线社会医疗服务产生的隐私问题,此类问题包括服务提供商的信任度和他们确保患者的个人数据不被泄露给未授权第三方的能力。极为重要的是,社会医疗发现技术将被设计为以无缝和可配置的方式处理各种可能的隐私情况。此类技术应是细粒度和动态的。细粒度方法支持需要定义何人可以访问患者的个人数据中的每条信息。例如,只有患者的精神疾病医生可以访问患者的精神疾病数据,并且只有患者的传染疾病(ID)医生可以访问患者的HIV数据等。动态方法支持在运行中更改和改变原始隐私策略定义的需要以反映当前法规、法律或患者期望。
使用所描述的系统,可以允许患者定义更细粒度和动态的隐私策略以及适用情形(即,哪种查询),此隐私策略可以用于进一步限制可以在发现时访问的患者个人数据部分(例如,治疗史、药物、家庭联系等)。如果更多患者要适应社会医疗发现服务,愿意共享其数据,并且因此深入了解并受益于此类数据共享,则需要这种隐私策略定义的灵活性。
建议的解决方案扩展了传统的访问控制列表(ACL)信息检索概念,此概念可以用于定义灵活的患者隐私策略并在任何社会医疗发现系统中实现。使用此解决方案,任何患者隐私策略都可以转换为根据索引后的社会和医疗实体及其关系定义的一组特殊的访问控制令牌(ACL),并可以在搜索期间高效实施,从而允许支持细粒度和动态的患者隐私策略。
构建于概念模型的基础之上,使用统一表示以富实体-关系(ER)数据图的形式将社会数据和医疗数据融合在一起。因此,可以通过医疗发现增强社会发现,并且反之亦然。
假设以某种格式(例如,P3P(隐私偏好平台)、EPAL(企业隐私授权语言)、XACML(可扩展访问控制标记语言)等)指定患者隐私策略,这些格式用于为与患者个人数据(例如,患者服用的药物)关联的每个实体或关系定义可以使用搜索来访问此实体或关系的可允许权限列表。可以将每个患者隐私策略转换成一组新的特殊ACL令牌,这些令牌用于在倒排索引中对策略进行编码。
可以实现建议的隐私感知扩展并将其与社会医疗发现(SMD)系统集成,以便使得用户能够共享其社会和医疗数据并定义各种数据共享和发现隐私策略。在编制索引时将用户隐私策略转换成适当的ACL。SMD系统的用户可以提交各种引用社会医疗实体及其关系的查询(例如,患者药物、过敏症等)。扩展后的SMD系统在搜索期间通过向每个搜索者的查询添加适当ACL来保护用户的隐私。
图8A示出了SMD系统的实例图形用户界面(GUI)800。GUI800包括用户隐私策略定义窗口801,其用于定义主要隐私策略。患者可以使用GUI800的此窗口801定义能够针对社会医疗发现共享其社会和医疗数据的哪些部分。在此实例实施例中,用户针对三种类型的信息定义隐私策略:个人信息810、关系信息820和健康信息830。对于每种类型的信息810、820、830,对所述信息的访问可以被定义为:私有811、821、831,在这种情况下,除了用户自身之外,任何人都无法访问所述信息;授权用户812、822、832,其中此用户可以定义被授权访问所述信息的用户;所有注册用户813、823、833,其中向服务注册的用户可以访问所述信息;以及每个人814、824、834,在这种情况下,每个人都能够访问所述信息。在此实例中,个人信息810由用户保持私有811,关系信息820被于授权用户822,以及健康信息830可用于所有注册用户833。
图8B进一步示出了具有访问权限管理窗口851的GUI850,窗口851允许患者对其授权方(例如,授权家庭成员、特定朋友、治疗医生等)进行更细粒度的定义。具有用户简档861的用户A可以为其它用户简档862、863、864指定相应用户可以访问的设置870、880、890。在此实例中,所述设置用于个人信息870、关系信息880和健康信息890。例如,用户A861可以指定用户B862可以查看用户A的个人信息872、关系信息882和健康信息892。然而,用户A861可以指定用户C863可以查看用户A的个人信息873,但可能无法访问用户A的关系信息883或健康信息893。用户A861可以指定用户D可以查看用户A的个人信息874和关系信息884,并可以编辑用户A的健康信息894设置。可以使用应用按钮892、893、894针对每个用户应用这些设置。
图9示出了SMD系统900的主搜索GUI;示出搜索者爱丽丝使用搜索按钮902提交给所述系统的初始查询“药物A”901的搜索结果。可以返回初始结果910,其显示有关被搜索实体的信息911,并具有指向与搜索结果相关的其它实体的关系链接912,在此实例中关系为具有四个实体的“服用者”。搜索者单击“服用者”关系链接912以返回服用此药物的相关患者列表。如图所示,返回关系结果930,但允许当前搜索者(爱丽丝)仅访问4个相关患者中的1个的数据931,并且通过通知932(即,“某些结果因为隐私问题而无法显示”)进一步向此搜索者通知此事实。结果导航920示出了搜索者采取的导航路线。
尽管具有相对大量的现有社会医疗服务,但患者对此类服务的采用仍然非常有限,这主要是因为隐私问题。现有社会医疗发现服务仅支持严格的患者隐私策略,而没有足够的灵活性以容纳各种隐私策略定义。所描述的隐私感知社会医疗发现解决方案为细粒度和动态的患者隐私策略提供高度灵活的支持。这种隐私策略定义的灵活性将鼓励更多患者适应社会医疗发现服务,愿意共享其数据,并且因此深入了解并受益于此类数据共享。
实体搜索系统允许用户进行基于文本的搜索以及查询ER图的更结构化的搜索。在医疗保健、CRM、智能等一些领域中,需要控制各种用户可以针对此数据执行哪些类型的询问。将隐私策略转换成根据索引后的实体及其关系定义的一组访问规则,并在搜索期间高效实施。
可以针对在倒排索引中编码的半结构化数据提供所描述的查询级别授权模型,并且此模型可以包括:
●使用实体-关系查询语义(ENT、ATT、CNT、REL)对多个ACL进行编码;
●根据查询谓词解释用户半结构化查询以获得一组ACL;以及
●使用多个内容字段针对内容查询进行特殊ACL编码。
所描述的方法使得用户能够使用不同的查询模式来访问文档。
隐私过滤系统通常基于规则,并仅可在从搜索返回结果之后过滤信息。所描述的方法用于实体搜索领域,给定查询和用户身份,即使没有运行此查询,也好像已过滤出实体-关系图的各部分。因此,正确完成检索顶层文档(假设相关回答集合可以仅包含被允许搜索的文档)。此外,不存在分级问题,因为类似于传统的ACL,被分级的文档仅是可以被查询的那些文档。
可以通过网络将实体搜索的访问控制作为服务提供给客户。
所属技术领域的技术人员知道,本发明的各方面可以实现为系统、方法或计算机程序产品。因此,本发明的各方面可以具体实现为以下形式,即:可以是完全的硬件、也可以是完全的软件(包括固件、驻留软件、微代码等),还可以是硬件和软件结合的形式,本文一般称为“电路”、“模块”或“系统”。此外,在一些实施例中,本发明的各方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是—但不限于—电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括—但不限于—电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括—但不限于—无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
下面将参照本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述本发明的各方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,这些计算机程序指令通过计算机或其它可编程数据处理装置执行,产生了实现流程图和/或框图中的方框中规定的功能/操作的装置。
也可以将这些计算机程序指令存储在能使得计算机或其它可编程数据处理装置以特定方式工作的计算机可读介质中,这样,存储在计算机可读介质中的指令就产生出一个包括实现流程图和/或框图中的方框中规定的功能/操作的指令装置的制品。
也可以将计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令能够提供实现流程图和/或框图中的方框中规定的功能/操作的过程。
附图中的流程图和方块图示出了根据本发明的各种实施例的系统、方法和计算机程序产品的可能实施方式的体系结构、功能和操作。在此方面,所述流程图或方块图中的每个方块都可以表示代码的模块、段或部分,所述代码包括用于实现指定的逻辑功能(多个)的至少一个可执行指令。还应指出,在某些备选实施方式中,在方块中说明的功能可以不按图中说明的顺序发生。例如,示为连续的两个方块可以实际上被基本同时地执行,或者某些时候,取决于所涉及的功能,可以以相反的顺序执行所述方块。还将指出,所述方块图和/或流程图的每个方块以及所述方块图和/或流程图中的方块的组合可以由执行指定功能或操作的基于专用硬件的系统或专用硬件和计算机指令的组合来实现。
Claims (19)
1.一种对由具有处理器的计算机化设备执行的实体搜索进行访问控制的计算机实现的方法,所述方法包括:
以概念模型表示实体数据;
在搜索系统中将实体表示为包含所述实体的可搜索内容和元数据的文档;
根据实体及其关系定义搜索者的授权规则;以及
扩展实体文档以包括定义所述授权规则的可搜索令牌。
2.如权利要求1中所述的方法,其中定义授权规则包括:
标识用于实体搜索的查询谓词约束;以及
将可搜索令牌定义为查询谓词和可允许搜索者的路径;其中基于包含所述谓词的查询而允许所述可允许搜索者访问数据。
3.如权利要求2中所述的方法,其中定义授权规则包括:
定义用于自由文本谓词的可搜索文档文件,其中字段名称作为可允许搜索者的令牌并且字段值作为所述可搜索内容。
4.如权利要求1中所述的方法,包括以用于实体搜索的倒排索引来编制扩展后的实体文档的索引。
5.如权利要求1中所述的方法,包括将可允许搜索者定义为个体搜索者标识、一组所允许的搜索者或公开可允许。
6.如权利要求2中所述的方法,其中用于实体搜索的查询谓词约束包括包含以下项的组中的一项或多项:实体类型、实体属性、关系,以及自由文本。
7.如权利要求1中所述的方法,包括:
接收具有搜索者标识的对实体搜索的查询;
将所述查询重写为谓词和搜索者标识的一个或多个令牌;
搜索与查询谓词和搜索者授权匹配的索引后的文档。
8.如权利要求1中所述的方法,包括:
接收具有搜索者标识的对实体搜索的自由文本查询;
将所述查询重写为具有包含所述自由文本的字段值的搜索者标识的一个或多个令牌;
搜索与查询自由文本和搜索者授权匹配的索引后的文档。
9.如权利要求2中所述的方法,包括:
使用布尔表达式组合查询谓词和令牌。
10.一种用于聚合用户的本地系统上的社交网络数据的系统,所述系统包括:
处理器;
模型定义组件,其用于以概念模型表示实体数据;
实体数据转换组件,其用于在搜索系统中将实体表示为包含所述实体的可搜索内容和元数据的文档;
隐私策略定义组件,其用于根据实体及其关系定义搜索者的授权规则;以及
文档扩展组件,其用于扩展实体文档以包括定义所述授权规则的可搜索令牌。
11.如权利要求10中所述的系统,其中所述隐私策略定义组件用于:
标识用于实体搜索的查询谓词约束;以及
将可搜索令牌定义为查询谓词和可允许搜索者的路径;其中基于包含所述谓词的查询而允许所述可允许搜索者访问数据。
12.如权利要求11中所述的系统,其中所述隐私策略定义组件用于:
定义用于自由文本谓词的可搜索文档文件,其中字段名称作为可允许搜索者的令牌并且字段值作为所述可搜索内容。
13.如权利要求10中所述的系统,包括索引组件,其用于以用于实体搜索的倒排索引来编制扩展后的实体文档的索引。
14.如权利要求10中所述的系统,其中所述隐私策略定义组件用于:将可允许搜索者定义为个体搜索者标识、一组所允许的搜索者或公开可允许。
15.如权利要求11中所述的系统,其中所述隐私策略定义组件用于:标识用于实体搜索的查询谓词约束,所述查询谓词约束包括包含以下项的组中的一项或多项:实体类型、实体属性、关系,以及自由文本。
16.如权利要求10中所述的系统,包括查询处理系统,其用于接收具有搜索者标识的对实体搜索的查询,并且包括:
查询重写组件,其用于将所述查询重写为谓词和搜索者标识的一个或多个令牌;以及
令牌搜索组件,其用于搜索与查询谓词和搜索者授权匹配的索引后的文档。
17.如权利要求10中所述的系统,包括查询处理系统,其包括:
查询输入组件,其用于接收具有搜索者标识的对实体搜索的自由文本查询;
查询重写组件,其用于将所述查询重写为具有包含所述自由文本的字段值的搜索者标识的一个或多个令牌;以及
自由文本搜索组件,其用于搜索与查询自由文本和搜索者授权匹配的索引后的文档。
18.如权利要求11中所述的系统,包括查询处理系统,其具有用于使用布尔表达式组合查询谓词和令牌的查询重写组件。
19.一种通过网络为客户提供用于实体搜索的访问控制的服务的方法,所述服务包括:
以概念模型表示实体数据;
在搜索系统中将实体表示为包含所述实体的可搜索内容和元数据的文档;
根据实体及其关系定义搜索者的授权规则;以及
扩展实体文档以包括定义所述授权规则的可搜索令牌。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/417,250 | 2012-03-11 | ||
| US13/417,250 US9177171B2 (en) | 2012-03-11 | 2012-03-11 | Access control for entity search |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103309922A true CN103309922A (zh) | 2013-09-18 |
Family
ID=49115033
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2013100708364A Pending CN103309922A (zh) | 2012-03-11 | 2013-03-06 | 用于实体搜索的访问控制的方法和系统 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US9177171B2 (zh) |
| CN (1) | CN103309922A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573133A (zh) * | 2015-02-13 | 2015-04-29 | 广州神马移动信息科技有限公司 | 存储数据的方法和设备 |
| CN106656936A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和设备 |
| CN109815654A (zh) * | 2019-01-23 | 2019-05-28 | 山东浪潮通软信息科技有限公司 | 一种数据访问控制方法及装置 |
| CN111033636A (zh) * | 2017-09-29 | 2020-04-17 | 苹果公司 | 用于构建医疗提供方数据库的技术 |
| CN116738495A (zh) * | 2023-08-16 | 2023-09-12 | 北京遥感设备研究所 | 基于目的自适应的访问控制处理方法 |
| US11822371B2 (en) | 2017-09-29 | 2023-11-21 | Apple Inc. | Normalization of medical terms |
Families Citing this family (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9043309B2 (en) * | 2012-06-05 | 2015-05-26 | Oracle International Corporation | SQL transformation-based optimization techniques for enforcement of data access control |
| US20150134700A1 (en) * | 2013-11-14 | 2015-05-14 | Salesforce.Com, Inc. | Terminating user access to database systems |
| US20150142852A1 (en) * | 2013-11-15 | 2015-05-21 | Anett Lippert | Declarative authorizations for sql data manipulation |
| US20150161200A1 (en) * | 2013-11-27 | 2015-06-11 | Placester, Inc. | System and method for entity-based search, search profiling, and dynamic search updating |
| US10565188B2 (en) * | 2014-05-30 | 2020-02-18 | Macy's West Stores, Inc. | System and method for performing a pattern matching search |
| US9384357B2 (en) * | 2014-10-01 | 2016-07-05 | Quixey, Inc. | Providing application privacy information |
| US10326768B2 (en) | 2015-05-28 | 2019-06-18 | Google Llc | Access control for enterprise knowledge |
| US9998472B2 (en) | 2015-05-28 | 2018-06-12 | Google Llc | Search personalization and an enterprise knowledge graph |
| US10742667B1 (en) * | 2016-01-20 | 2020-08-11 | Cyarx Technologies Ltd. | System and method for dynamical modeling multi-dimensional security event data into a graph representation |
| US10242212B2 (en) * | 2016-04-18 | 2019-03-26 | Quest Software, Inc. | Preserving data protection and enabling secure content awareness in query services |
| US10380069B2 (en) * | 2016-05-04 | 2019-08-13 | Western Digital Technologies, Inc. | Generalized write operations verification method |
| CA2973811C (en) * | 2016-07-27 | 2022-08-02 | Idera, Inc. | Containment of data structures with data objects in data modeling tools |
| US10303894B2 (en) | 2016-08-31 | 2019-05-28 | Oracle International Corporation | Fine-grained access control for data manipulation language (DML) operations on relational data |
| US11200279B2 (en) | 2017-04-17 | 2021-12-14 | Datumtron Corp. | Datumtronic knowledge server |
| US10599720B2 (en) * | 2017-06-28 | 2020-03-24 | General Electric Company | Tag mapping process and pluggable framework for generating algorithm ensemble |
| US10915649B2 (en) | 2018-09-10 | 2021-02-09 | Sap Se | Association-based access control delegation |
| US11921767B1 (en) * | 2018-09-14 | 2024-03-05 | Palantir Technologies Inc. | Efficient access marking approach for efficient retrieval of document access data |
| US11443055B2 (en) | 2019-05-17 | 2022-09-13 | Microsoft Technology Licensing, Llc | Information sharing in a collaborative, privacy conscious environment |
| US11790104B2 (en) | 2021-02-18 | 2023-10-17 | Glean Technologies, Inc. | Permissions-aware search with document verification |
| US11593409B2 (en) | 2021-02-19 | 2023-02-28 | Glean Technologies, Inc. | Permissions-aware search with intelligent activity tracking and scoring across group hierarchies |
| US11797612B2 (en) | 2021-09-29 | 2023-10-24 | Glean Technologies, Inc. | Identification of permissions-aware enterprise-specific term substitutions |
| US20230169121A1 (en) * | 2021-12-01 | 2023-06-01 | Google Llc | Performance Optimizations for Row-Level Security Filters |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465853A (zh) * | 2008-12-19 | 2009-06-24 | 北京工业大学 | 基于访问控制的隐私信息保护方法 |
| US20100198804A1 (en) * | 2009-02-04 | 2010-08-05 | Queplix Corp. | Security management for data virtualization system |
| US20110153644A1 (en) * | 2009-12-22 | 2011-06-23 | Nokia Corporation | Method and apparatus for utilizing a scalable data structure |
| CN102141990A (zh) * | 2010-02-01 | 2011-08-03 | 阿里巴巴集团控股有限公司 | 一种搜索方法和装置 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8639625B1 (en) * | 1995-02-13 | 2014-01-28 | Intertrust Technologies Corporation | Systems and methods for secure transaction management and electronic rights protection |
| US7603440B1 (en) * | 2001-11-09 | 2009-10-13 | Persystent Technology Corporation | System and method for management of end user computing devices |
| US8209680B1 (en) * | 2003-04-11 | 2012-06-26 | Vmware, Inc. | System and method for disk imaging on diverse computers |
| US7409406B2 (en) * | 2003-09-08 | 2008-08-05 | International Business Machines Corporation | Uniform search system and method for selectively sharing distributed access-controlled documents |
| US7243222B2 (en) * | 2004-06-24 | 2007-07-10 | Intel Corporation | Storing data related to system initialization in memory while determining and storing data if an exception has taken place during initialization |
| US8407239B2 (en) * | 2004-08-13 | 2013-03-26 | Google Inc. | Multi-stage query processing system and method for use with tokenspace repository |
| US7509530B2 (en) * | 2005-01-19 | 2009-03-24 | Sonic Solutions | Method and system for use in restoring an active partition |
| US20070180509A1 (en) * | 2005-12-07 | 2007-08-02 | Swartz Alon R | Practical platform for high risk applications |
| US8417796B2 (en) * | 2006-01-17 | 2013-04-09 | Leostream Corporation | System and method for transferring a computing environment between computers of dissimilar configurations |
| US7874013B2 (en) * | 2006-04-10 | 2011-01-18 | Sawteeth, Inc. | Secure and granular index for information retrieval |
| US8688965B2 (en) * | 2006-09-29 | 2014-04-01 | Intel Corporation | System and method for increasing platform network boot efficiency |
| US8201096B2 (en) * | 2007-06-09 | 2012-06-12 | Apple Inc. | Browsing or searching user interfaces and other aspects |
| US8103747B2 (en) * | 2008-01-24 | 2012-01-24 | Symantec Operating Corporation | Automatically configuring a network device during a dissimilar system restore |
| US8024324B2 (en) | 2008-06-30 | 2011-09-20 | International Business Machines Corporation | Information retrieval with unified search using multiple facets |
-
2012
- 2012-03-11 US US13/417,250 patent/US9177171B2/en not_active Expired - Fee Related
-
2013
- 2013-03-06 CN CN2013100708364A patent/CN103309922A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101465853A (zh) * | 2008-12-19 | 2009-06-24 | 北京工业大学 | 基于访问控制的隐私信息保护方法 |
| US20100198804A1 (en) * | 2009-02-04 | 2010-08-05 | Queplix Corp. | Security management for data virtualization system |
| US20110153644A1 (en) * | 2009-12-22 | 2011-06-23 | Nokia Corporation | Method and apparatus for utilizing a scalable data structure |
| CN102141990A (zh) * | 2010-02-01 | 2011-08-03 | 阿里巴巴集团控股有限公司 | 一种搜索方法和装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104573133A (zh) * | 2015-02-13 | 2015-04-29 | 广州神马移动信息科技有限公司 | 存储数据的方法和设备 |
| CN106656936A (zh) * | 2015-11-03 | 2017-05-10 | 电信科学技术研究院 | 一种访问控制方法和设备 |
| CN106656936B (zh) * | 2015-11-03 | 2019-09-17 | 电信科学技术研究院 | 一种访问控制方法、prp实体、pdp实体和pep实体 |
| CN111033636A (zh) * | 2017-09-29 | 2020-04-17 | 苹果公司 | 用于构建医疗提供方数据库的技术 |
| CN111033636B (zh) * | 2017-09-29 | 2023-11-17 | 苹果公司 | 用于构建医疗提供方数据库的系统和方法 |
| US11822371B2 (en) | 2017-09-29 | 2023-11-21 | Apple Inc. | Normalization of medical terms |
| CN109815654A (zh) * | 2019-01-23 | 2019-05-28 | 山东浪潮通软信息科技有限公司 | 一种数据访问控制方法及装置 |
| CN109815654B (zh) * | 2019-01-23 | 2023-04-07 | 浪潮通用软件有限公司 | 一种数据访问控制方法及装置 |
| CN116738495A (zh) * | 2023-08-16 | 2023-09-12 | 北京遥感设备研究所 | 基于目的自适应的访问控制处理方法 |
| CN116738495B (zh) * | 2023-08-16 | 2024-01-02 | 北京遥感设备研究所 | 基于目的自适应的访问控制处理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9177171B2 (en) | 2015-11-03 |
| US20130238659A1 (en) | 2013-09-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103309922A (zh) | 用于实体搜索的访问控制的方法和系统 | |
| US11829514B2 (en) | Systems and methods for computing with private healthcare data | |
| US20230044294A1 (en) | Systems and methods for computing with private healthcare data | |
| Kalam et al. | Organization based access control | |
| Kayes et al. | A policy model and framework for context-aware access control to information resources | |
| Carminati et al. | Semantic web-based social network access control | |
| Williams | Social networking applications in health care: threats to the privacy and security of health information | |
| Masoumzadeh et al. | Osnac: An ontology-based access control model for social networking systems | |
| JP2020519210A (ja) | 非集中型システムで集中型プライバシー制御を実施するためのシステムや方法 | |
| US20090300002A1 (en) | Proactive Information Security Management | |
| Zhao et al. | Research on electronic medical record access control based on blockchain | |
| Bishop et al. | Relationships and data sanitization: A study in scarlet | |
| Calvillo et al. | Empowering citizens with access control mechanisms to their personal health resources | |
| WO2021178689A1 (en) | Systems and methods for computing with private healthcare data | |
| Hu et al. | A semantic privacy-preserving model for data sharing and integration | |
| Hu et al. | CrowdMed-II: a blockchain-based framework for efficient consent management in health data sharing | |
| Benslimane et al. | PAIRSE: a privacy-preserving service-oriented data integration system | |
| Roitman et al. | Exploratory search over social-medical data | |
| Le Gall et al. | PlexC: A policy language for exposure control | |
| Braghin et al. | Introducing privacy in a hospital information system | |
| Arshad et al. | Semantic Attribute-Based Access Control: A review on current status and future perspectives | |
| Farkas et al. | Unauthorized inferences in semistructured databases | |
| Aron | Information privacy for linked data | |
| Li et al. | A Blockchain-Based Personal Health Knowledge Graph for Secure Integrated Health Data Management | |
| Shyamasundar et al. | Approaches to Enforce Privacy in Databases: Classical to Information Flow-Based Models |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130918 |