云計算環境下醫療數據訪問控制研究綜述

牛宇，顏苗苗，鄭紅，楊吉江（.北京第二外國語學院，北京 00024；2.清華大學 信息技術研究院，北京 00084）

?

云計算環境下醫療數據訪問控制研究綜述

牛宇1，2，顏苗苗1，鄭紅1，楊吉江2△
（1.北京第二外國語學院，北京 100024；2.清華大學 信息技術研究院，北京 100084）

摘要：云計算和大數據分析技術廣泛應用于醫療領域，可以提高醫療效率，疾病預測準確率等，但同時也帶來醫療數據的隱私泄露和信息不安全的隱患。云存儲上的醫療數據隱私和安全保護中，接入控制是核心技術之一。本文通過對相關文獻的梳理，對醫療數據在云計算環境中的訪問控制問題進行了研究。主要從訪問擴展模型和密碼保護機制兩方面展開綜述，并對未來的研究趨勢進行了展望。

關鍵詞：云計算； 醫療數據；訪問控制模型；加密機制

1　引言

近年來，醫療數據化是大勢所趨，無論是身體傳感器網絡對病人健康狀況的實時監控，或者醫院信息系統數字化，還是無處不在的電子醫療記錄EMR（Electronic Medicine Record），都有助于增加醫療護理質量，促進循證醫學和記錄的機動性［1］。而云計算在醫療方面也有著強大的應用場景，云的高性能計算能力可以快速正常結算或幫助處理高性能計算需要生物醫學數據。云可以為大規模的醫療數據存儲和管理提供可伸縮的空間，進一步構建病人的終身健康記錄EHR（Electronic Health Record）、PHR（Personal Health Record）。EHR適用于交叉區域的醫療數據交流平臺，通常由政府醫療服務部門管理。

然而，由于云的基礎設施具有多租戶、虛擬機、分布式系統等的特點，數據安全和隱私在云上有其技術架構本身帶來的安全隱患，目前已成為進一步深入應用云技術所面臨的一大挑戰［2］。此外，醫療數據本身含有大量病人私有和敏感的信息，泄露或者被竊用可能招致騷擾推銷電話，保險公司拒賠，拒代理等情況；患者就醫時透露的諸如社保賬號、個人財務信息等關鍵信息，黑客們通過這些信息的拼湊，可勾畫出一幅完整的個人信息圖譜來，威脅著個人的人身、財產等安全。因此，保護醫療數據的隱私與安全是必須的，而完成對隱私的保護是信息安全的目標之一，信息安全的技術手段可以用于隱私保護［4］。

然而，目前文獻大多單純講技術，沒有很好地和醫療結合。圖1是近年來在云計算、隱私與安全、醫療數據交叉領域的文獻研究熱點。本文著重研究了近五年內訪問控制技術與醫療數據隱私與安全相結合的文獻，并進行了系統的分析。

文章分為三部分，首先對醫療數據的內容加以劃分并闡述；第二、三部分主要從作為訪問控制技術重中之重的訪問控制擴展模型和加密機制和這兩方面，綜述了近幾年醫療數據在云計算環境下的隱私保護和安全問題。

圖1　云計算、醫療數據、隱私與安全的交叉研究熱點

2　醫療數據

醫療數據包含范圍甚廣，包括原始院外檢測的各種身體數據，院內流轉的個人電子病歷，和實驗室化驗結果等。因為其它類的數據（原始檢測，化驗數據等）均可以直接或間接地導入個人電子病歷成為其一部分內容，本文著重于個人電子病歷作為醫療數據的代表和主體。

EMR（Electronic Medical Record）——電子病歷［5］是用電子設備（計算機、健康卡等）保存、管理、傳輸和重現的數字化的病人醫療記錄，取代手寫紙張病歷。EMR根據醫院治療業務流程和需求設計，滿足了醫院業務和管理的要求。美國國立醫學研究所將EMR定義為：是基于一個特定系統的電子化病人記錄，該系統提供用戶訪問完整準確的數據、警示、提示和臨床決策支持系統的能力。

EHR（Electronic Health Record）——電子健康記錄是電子化的個人健康紀錄（病歷、心電圖、醫療影像等）。整合了不同來源的病患健康信息，其中也包括病患所有的電子病歷。它跨越不同的機構和系統，在不同的信息提供者和使用者之間交換和共享。

PHR（Personal Health Record）——個人健康記錄平臺，是一個完整的、準確的個體健康和總結病史的記錄平臺。任何時間，任何地點，通過網絡在線訪問。它可以存儲在非醫療組織，如商業公司或病人本身。

三者之間具有聯系，EMR由醫療機構產生并所有，若與其他醫療機構或系統分享EMR數據，交互操作的EMR就成為EHR。PHR收集了來EMR和EMR等各個方面的數據，借助于計算機或網絡等先進技術，將個人的健康相關信息數字化采集，以電子方式傳輸、存儲與健康檔案服務器中。在本文中，除了收集的最初原始數據，根據相應的計算領域，醫療數據指的是其中之一。

3　訪問控制模型

訪問控制是授予一部分用戶訪問權，禁止其他用戶訪問數據的過程；其模型則是一種從訪問控制的角度出發，描述安全系統、建立安全模型的方法［6］。然而，在云計算環境中，要保證醫療數據的隱私與安全，往往RBAC（role base access control 基于角色的訪問控制）也有局限性［10］，學者們逐漸轉向于研究多種模型或技術相結合的方式，并取得了一定的成效。

3.1基于角色的訪問控制的擴展模型

據統計文獻綜述的結果，超過三分之二文章的EHR訪問控制采用基于角色的訪問RBAC（Role-Based Access Control）或以它為基礎的修改變化模型。關于醫療體系的RBAC模型，關注的問題主要有:“誰來定義用戶角色？”，“由誰授權用戶訪問這些醫療數據？”，和“緊急情況下可以忽略訪問規則嗎？”［7］。RBAC確實有助于搜索的效率，但采用通用性授權策略，無法滿足患者對隱私保護的個性化需求，而且不利于細粒度訪問和隱私匿名保護。，在此基礎上，學者們針對單一訪問模型所存在的缺陷，提出了基于角色的訪問控制的擴展模型。

3.1.1基于決策支持的角色控制訪問

Patrick等人早在2007年提出了一種基于隱私擴展的角色控制方法，該模型基于電子健康情境信息，設計了一個決策支持模型與基于角色的訪問控制模型進行交互來保護個人健康信息［8］。

3.1.2基于分級授權的角色控制訪問

針對RBAC的缺點，并考慮到醫療數據在保護中有著不同的權重，如果對所有信息都采用高級別的保護手段，會影響實際運作的效率，同時也是浪費資源。周凱等［9］提出一種 EMR 存儲云系統，為患者和醫院提供統一的電子病歷注冊和使用服務，并重點對電子病歷的訪問控制策略進行了討論，采用一般角色訪問控制和用戶個性化逐級授權相結合的策略，有效解決了動態授權和用戶個性化需求問題，滿足了患者對于信息安全性和隱私保護方面的需求。基本訪問控制策略與用戶個性化策略相結合的綜合訪問控制模型，并且對 EMR 各部分設置敏感級別，可以實現細粒度訪問和用戶個性化逐級動態授權。

3.1.3基于角色與行為的訪問控制

RBAC 模型建立在主體－客體訪問控制思想上，采用靜態授權方式，缺乏對角色權限的動態調整能力。王琦提出RB-NAC（Behavior-Based Network Access Control，BB-NAC基于角色與行為的訪問控制）機制，其核心思想是以角色模型來劃定權限集，利用行為簇來動態調整用戶可使用的權限，克服了RBAC-based NAC在動態權限調整方面的缺陷，利用行為簇分配或限制了用戶的權限，并利用用戶實時的網絡行為特征的變化，對用戶進行動態歸簇，提高了系統的靈活性［10］。

3.1.4面向患者的隱私保護訪問控制

為了支持患者根據自身的隱私偏好定義個性化的訪問控制策略，滿足患者的個性化隱私保護需求，霍成義等人在 RABC模型的基礎上提出了面向患者的隱私保護訪問控制模型 POP-PAC（Patient-Oriented Privacy Preserving Access Control Model for HIS，面向患者的隱私保護訪問控制），通過患者參與到自身敏感數據訪問控制規則的定義中，實現了不同用戶角色的合理判定和訪問權限的正確授予功能。有效地解決了患者敏感數據在沒有許可的情況下被動泄露的細粒度訪問控制問題［11］。

3.2基于目的的訪問控制的擴展模型

基于目的的訪問控制最早是由Byun提出來的，是一種以“目的”為基礎的方案。但傳統的PBAC（Purpose-Based Privacy Access Control）在對隱私數據有訪問控制需求的復雜應用場景、動態應用場景以及突發緊急情況下，會出現框架解決方案中沒有考慮到的隱私泄漏問題。醫療信息系統的特點是異構和多隱私數據模式，如不同臨床信息系統的數據模式是不同的，因此需要對PBAC加以完善，保證醫療數據的安全。

3.2.1基于目的管理的醫療信息系統隱私保護訪問控制模型

傳統的訪問控制模型專注于“哪些人可以對哪些資源進行哪些操作”，而隱私策略更加注重資源被使用的目的。其次，傳統的訪問控制采用普遍適用的粗粒度訪問控制策略，不能滿足醫患者個人的隱私保護需求。基于此，渠世艷提出基于目的管理的醫療信息系統隱私保護訪問控制模型——PBAC-HIS（Purpose Management-Based Privacy Access Control Hospital Information System）［12］。模型主要思想是建立以患者為中心的 HIS 系統，將系統的管理權限進行部分轉移，讓患者參與訪問策略的制定、維護，由患者對隱私內容進行界定。模型引入具有繼承關系的目的概念，采用“基于目的管理”的授權管理方式。醫療機構根據角色職責，通過為角色綁定目的制定通用策略；患者根據個人隱私側重點不同，為隱私數據設置目的屬性，制定個人策略。采用基于通用策略和個人策略相結合的方式，在系統通用策略不變的前提下，患者通過調整個人策略滿足個性化隱私需求。

3.2.2 基于敏感性標簽的PBAC算法

該模塊結合敏感性標簽與基于目的的訪問控制模型，對醫療人員訪問病人信息提供了更細粒度的控制。對于醫療人員大規模查詢病人隱私數據，模型提供了能夠更好的保護高敏感信息的匿名化處理方法，處理結果的發布也提供了兩種形式.該模型在訪問控制和信息發布上更具有靈活性的同時，通過分級匿名化處理，提高了敏感數據的隱私保護，具有合理性、實用性和安全性［13］。

3.2.3基于PBAC模型和IBE的訪問控制方案

傳統的控制模型沒考慮到用戶訪問目的在側重數據隱私的訪問控制中的重要作用，而非對稱加密又存在密鑰管理、證書管理等復雜問題。針對這些問題，張怡婷等［14］提出基于PBAC（基于目的的訪問控制）模型和IBE（identity-encryption，身份加密技術）的訪問控制方案。設計了一種針對醫療數據密文的訪問控制方案，其核心思想是圍繞數據的預期目的構造身份公鑰。并通過實驗證明了這種方案達到了細粒度訪問控制和隱私保護的目的。

4　加密機制的研究

在云平臺上，用戶將數據存放在不可信的平臺（semi-trust）上是不安全的，對于數據的隱私保護、機密性（Confidentiality）、完整性（Integrity）、可用性（Availability）CIA特性都不能達到很高的安全等級，并且網絡傳輸過程中存在許多不安全因素，所以在云計算環境下采用密碼方式對數據進行保護非常有必要［15］。根據業界現狀加密機制在醫療領域的運用，目前主要有以患者為中心的加密機制基于智能卡的加密機制，和基于屬性的加密機制。本節對相關文獻的進行整理，并分析這三種加密機制針對云平臺上醫療數據隱私和安全保護技術的研究現狀。

4.1以患者為中心的加密機制

在皮爾森關于云系統的“六大隱私實用建議”中［16］，有兩個建議是關于用戶自己控制數據的：“最大化用戶控制”和“允許用戶選擇”。讓患者對健康記錄直接加密和分配對應的密鑰是一個簡單易行的訪問控制策略。

圖2　醫療數據層次結構示例

醫療數據在存儲時，通常被整理成層次結構（如圖2所示），葉節點包含患者基本的醫療數據，而中間節點代表不同種類的信息［17］。在以患者為中心的加密機制PCE（Patient Centric Encryption）中，患者只需要創造并持有一個根密鑰，子記錄的密鑰由根密鑰和它們處于病歷目錄中的位置得來。子密鑰用來加密或解密子記錄這一類數據。因此，患者可以授予他們的醫生、藥劑師、配偶等訪問這些子記錄的權力。盡管PCE的密鑰分發很簡單，但訪問權力僅限于固定類別的記錄。一些學者進一步提出的一套可以聚集任何子集的標準葉分類。數據的擁有者可為這些子集計算出一個簡練的密鑰，從而提高數據訪問的靈活性。

在PCE，密鑰直接從患者發送到對應的訪問器，需要當訪問請求發出時患者能在線。為解決要求患者一直在線這一問題，有兩種方法：采用智能卡來代替患者本人，或委托訪問服務器。

4.2基于智能卡的加密機制

智能卡對于醫院的數據管理和患者的靈活使用資源有很大幫助，智能卡協助技術在許多國家的醫療系統已被廣泛采用，智能卡里通常包含用戶身份信息、根密鑰或其他重要信息，通常由權威機構發行并分配給系統實體，如已注冊的患者，提供醫療護理的機構、審計機構等。為保證智能卡信息的安全，引入了基于智能卡的加密機制。

W.B.lee等人在2008年提出了一個全面的基于智能卡技術的密鑰管理方案［18］。該方案要求訪問每一條記錄時都需要智能卡，這是不現實的。胡建坤等人為隱私和安全規定提出了一種基于混合公鑰基礎設施（PKI）解決方案的合同［19］。在接受治療時，患者和醫療保健機構的醫療中心服務器（Medical Central Server）將簽署一份臨時的合同。在合同期間，授予MCS信任和安全管理的權力，可以不受限地訪問患者受保護的健康信息數據。協議到期時，合同可以停止或更新。這種方法讓醫療機構有更大的自由來高效地訪問醫療記錄，并且沒有每次訪問都要使用智能卡帶來的麻煩。

4.3基于屬性的加密機制ABE（Attribute-based Encryption）

基于屬性的加密模型ABE在云計算環境下通常包括四個參與方：數據提供者、可信第三方授權中心、云存儲服務器和用戶。數據以加密的形式存儲在云服務器上，訪問的授權取決于數據用戶或文件的屬性，授權方式通過數據用戶計算私有秘鑰完成（圖3）。

圖3　云計算環境下ABE授權模型［20］

運用ABE在云平臺上獲取電子醫療記錄由于其可控精細顆粒度，已經越來越多的被采用。Joseph和Christoph等［21］設計和實施了一種自保護的電子病歷系統。它使用ABE促進基于角色和基于內容的粒度訪問控制，而不需要一直在線的中間服務商或數據提供者來分發密鑰并驗證規則。預置的密鑰可以單獨決定是否給予離線的EMR訪問權力。目前，基于角色和基于內容的雙重策略正在被研究以實現靈活、自動地生成規則。Barua等［22］使用基于密文的屬性加密機制（CP-ABE）實現高效安全的以患者為中心訪問控制，它在電子健康系統中使用屬性來定義不同請求者的角色。而文獻［14］研究了密鑰管理的可擴展性，多授信中心屬性加密MA-ABE（Multi-Authorities BE）方案中訪問規則或文件屬性的動態修改。這些研究不斷完善ABE算法，用以支持高效靈活的用戶或屬性撤銷和在緊急情況下BTG（Breaking The Glass）訪問。 BTG情境下的醫療數據訪問控制策略對于處于生命危險處境的病人搶救有著非常大的意義。

5　結論

本文主要從訪問控制模型、加密機制兩方面分析了在云環境下醫療數據的訪問控制。，這些技術解決了在特殊的醫療場景下數據的動態訪問、細粒度訪問控制、根據患者偏好不同逐級授權等問題。訪問控制確實能夠在一定程度上阻止未經允許的用戶有意或無意地獲取數據［23］，然而，目前的醫療數據的訪問控制技術大多停留在研究階段，還沒夠完全與醫療機構或系統完善地結合起來防止數據泄露或竊取。據Trustwave發布的2015年醫療行業的安全報告，在過去的兩年間，仍有90％的醫療行業公司均遭到黑客攻擊，泄露病人數據。因此，在今后的研究方向上，應該研究更加切實可行的訪問控制技術；不僅技術方面，我國關于醫療數據的法律及規章制度也有待完善。技術法律聯方面聯合運用，以此共同維護醫療數據的隱私與信息安全。

參考文獻

［1］T.Greenhalgh，S.Hinder，K.Stramer，T.Bratan，and J.Russell，“Adoption ，non-adoption，and abandonment of a personal electronic healthrecord:case study of healthspace，” Bmj，vol.341，2010.

［2］IDC，“It cloud services user survey，pt.2:Top benefits challenges，”http://blogs.idc.com/ie/?p=210,Oct2008.

［3］在醫療大數據時代，患者信息安全問題備受關注［J］南方日報，2015-3-25.

［4］遲晨陽，毛華堅，孟海濱，趙東升.電子健康檔案信息安全和隱私保護的關鍵問題和研究進展［J］中華醫學圖書情報雜志 2015（11）:22-26.

［5］2014-2018年中國電子病歷（EMR）產業調研與投資前景預測報告［M］.智研咨詢集團，2013.11.

［6］涂山山.云計算環境中訪問控制的機制和關鍵技術研究［D］.北京郵電大學.2014.

［7］J.L.Ferna′ndez-Alema′n，I.C.Sen~or，P.A′ .O.Lozoya，and A.Toval，“Security and privacy in electronic health records:A systematic literature review，” Journal of biomedical informatics，vol.46，no.3，pp.541-562，2013.

［8］Patrick CK Hung，Yi Zheng.Privacy Access Control Model for Aggregated e-Health Services［C］Proceedings of 2007 Eleventh International IEEE EDoC Conference Workshop：12—19.

［9］周凱，蔣興浩，孫錟鋒.電子病歷存儲云系統訪問控制研究［J］.信息安全與通信保密.2012（4）:86-89.

［10］王琦.基于角色與行為的醫療信息網絡訪問控制機制［J］.福建電腦，2013（6）:125-127.

［11］霍成義，吳振強.面向患者的醫療信息系統隱私保護訪問控制模型［J］計算機應用與軟件.2014（11）:75-77.

［12］渠世艷.基于目的管理的醫療信息系統訪問控制模型研究［D］.上海交通大學.2009.

［13］張強.面向隱私保護的醫療信息系統設計與實現［D］北京交通大學.2012.

［14］張怡婷，傅煜川，楊明，羅軍舟.基于PBAC模型和IBE的醫療數據訪問控制方案［J］.2015（12）.

［15］王于丁，楊家海，徐聰，凌曉，楊洋.云計算訪問控制技術研究綜述［J］軟件學報.2015，26（5）:1129-1150.

［16］S.Pearson，“Taking account of privacy when designing cloud computing services，” in Software Engineering Challenges of Cloud Computing，2009.CLOUD'09.ICSE Workshop on.IEEE，2009，pp.44-52.

［17］J.Benaloh，M.Chase，E.Horvitz，and K.Lauter，“Patient controlled encryption:ensuring privacy of electronic medical records，” in Proceedings of the 2009 ACM workshop on Cloud computing security.ACM，2009，pp.103-114.

［18］W.lee and C.Lee，“A cryptographic key management solution for hipaa privacy/security regulations，” IEEE Transactions on Information Technology in Biomedicine，vol.12，pp.34-41，Jan 2008.

［19］J.Hu，H.-H.Chen，and T.-W.Hou，“A hybrid public key infrastructure solution（hpki）for hipaa privacy/security regulations，”Computer Standards & Interfaces，vol.32，no.5，pp.274-280，2010.

［20］A.Mohan，D.Bauer，D.M.Blough，M.Ahamad，B.Bamba，R.Krishnan，L.Liu，D.Mashima，and B.Palanisamy，“A patientcentric，attribute-based，source-verifiable framework for health record sharing，”2009.

［21］J.A.Akinyele，M.W.Pagano，M.D.Green，C.U.Lehmann，Z.N.Peterson，and A.D.Rubin，“Securing electronic medical records using attribute-based encryption on mobile devices，” in Proceedings of the 1stACM workshop on Security and privacy in smartphones and mobile devices.ACM，2011，pp.75-86.

［22］M.Li，S.Yu，Y.Zheng，K.Ren，and W.Lou，“Scalable and secure sharing of personal health records in cloud computing using attributebased encryption，” 2013.

［23］楊吉江，許有志，王青，潘慧，關健［J］.面向醫療信息的數據隱私保護技術.中國數字醫學，2010，05（8）.

Review of Medical Data Access Control in Cloud Environment

NIU Yu1，2，YAN Miao-miao1，ZHENG Hong1，YANG Ji-jiang2
（1.Beijing International Studies University，Beijing，100024，China； 2 RIIT，Tsinghua University，Beijing，100084，China）

Abstract:Cloud computing and big data analysis techniques have been applied in medical care area，which can enhance the health care service quality，predict the disease trends，etc.However，the medical data digitalization also brings the concerns about the privacy leakage and system security.Among the countermeasures，the access control is one of the key security protection techniques.In this paper，a systematic literature review on medical data access control on cloud platform is conducted.The survey focuses on extended medical data access model and encryption based authorization mechanism two aspects based the latest research progress in this field.Furthermore，the future research trend about these models' practical application in real medical environment is discussed.

Keywords:Could computing； Health data； Access control models； Encryption

作者簡介：牛宇，女，博士學位，現為北京外國語大學講師，專業：計算機軟件。

通訊作者：楊吉江。