區(qū)域醫(yī)學(xué)影像信息的云共享訪問控制模型

任儀， 董成， 劉凡

(河南省人民醫(yī)院，網(wǎng)絡(luò)信息中心，河南，鄭州 450000)

0 引言

區(qū)域醫(yī)學(xué)影像信息指的是醫(yī)院的影像器材對人體的某個(gè)部位，照射形成的影像中所反映出來的人體部位信息[1]。在現(xiàn)代醫(yī)療行業(yè)中，醫(yī)學(xué)影像信息主要存在于醫(yī)學(xué)影像系統(tǒng)中，是醫(yī)療影像的采集、傳輸、儲存和診斷時(shí)存留在系統(tǒng)中的信息數(shù)據(jù)。目前區(qū)域醫(yī)學(xué)影像信息發(fā)展處于初級階段，云共享訪問控制已經(jīng)滲透到醫(yī)療領(lǐng)域，對醫(yī)學(xué)影像信息的云共享訪問控制的研究越來越受到人們的關(guān)注。

云共享會將互聯(lián)網(wǎng)各個(gè)終端的用戶數(shù)據(jù)看作一個(gè)數(shù)據(jù)庫，將視頻、音頻、圖片、文字等格式的資源使用一種統(tǒng)一的方式，分享到同一個(gè)數(shù)據(jù)庫中，此時(shí)數(shù)據(jù)庫中的其他用戶就很快很方便的利用這個(gè)共同的數(shù)據(jù)庫找到他們需要的資源[2]。研究區(qū)域醫(yī)學(xué)影像信息的云共享訪問控制模型可以更加科學(xué)、智能化地控制患者的存檔信息，患者的醫(yī)學(xué)影像信息即使在網(wǎng)絡(luò)傳輸下，也不必?fù)?dān)心信息泄露的問題[3]。

1 區(qū)域醫(yī)學(xué)影像信息的云共享訪問控制模型

1.1 設(shè)定云共享訪問控制約束關(guān)系

在控制模型中，建立訪問機(jī)制和實(shí)現(xiàn)訪問控制都是抽象和復(fù)雜的行為，實(shí)現(xiàn)訪問控制時(shí)，不僅要保證授權(quán)用戶使用的權(quán)限與所擁有的權(quán)限對應(yīng)，制止非授權(quán)用戶的非授權(quán)行為，同時(shí)還要避免敏感信息的交叉感染[4]。所以在設(shè)定云共享訪問控制約束關(guān)系時(shí)，使用read或是r表示讀操作，write或是w表示寫操作，own或是o表示管理操作，整合上述操作來表示控制規(guī)則和授權(quán)用戶權(quán)限，闡述上述存在的關(guān)系，形成控制矩陣，如表1所示。

表1 控制矩陣

使用表1的控制矩陣，可以形成不同用戶域的控制權(quán)限[5]。為了防止用戶域劃分出的權(quán)限不明確，設(shè)定訪問控制能力列表來表明用戶域?qū)λ袑ο蟮牟僮鳈?quán)限，假設(shè)云共享用戶域域A與域B存在下述關(guān)系，如式(1)。

(1)

使用式(1)獲得一個(gè)云共享所被授權(quán)可以訪問的客體及權(quán)限[6]。為了增強(qiáng)訪問控制安全，在云共享的主體或是客體上附屬一組安全屬性信息，建立一個(gè)安全等級集合，整合為一個(gè)云共享空間訪問用戶對一個(gè)客體目標(biāo)訪問的一個(gè)安全屬性集合，得到的安全控制訪問標(biāo)簽，如表2所示。

表2 安全訪問控制標(biāo)簽列表

由表2可知，TS表示最高安全等級，S表示一般安全等級，C表示不安全等級。在得到如表2的安全訪問控制標(biāo)簽后，控制并授權(quán)云共享空間的訪問，使用RBAC0模型中的4個(gè)層次，梳理、集成云共享訪問內(nèi)部資源的內(nèi)部約束關(guān)系，如圖1所示。

圖1 約束關(guān)系

由圖1可知，用戶分配角色，角色繼承獲得權(quán)限，云共享訪問內(nèi)部調(diào)整得到云共享內(nèi)部約束關(guān)系。使用圖1的約束關(guān)系，制定云共享訪問加密方案，建立訪問控制模型，實(shí)現(xiàn)對云共享訪問的控制[7]。

1.2 制定云共享訪問加密方案

制定云共享訪問加密方案前，先將區(qū)域醫(yī)學(xué)影像信息進(jìn)行加密，設(shè)區(qū)域醫(yī)學(xué)影像信息參數(shù)為K，將代理重加密相關(guān)的系統(tǒng)參數(shù)組設(shè)為param，此時(shí) keyGen(param)→(ski,pki)可以生成用于數(shù)據(jù)加解密的公私鑰對，利用自身公鑰pki對數(shù)據(jù)m進(jìn)行加密，輸出密文Ci，得到Enc(m,pki)→Ci處理過程[8]。代理過程會產(chǎn)生一種代理重加密密鑰的生成，如式(2)，

ReKeyGen(ski,pki,Ccoddition)→Rki→j

(2)

使用式(2)來定義約束元組為式(3)，

(3)

利用式(2)、式(3)，使用哈希算法處理約束元組，得到以下加密方案。

在S(K)→Pa中選取長度為K的素?cái)?shù)P，定義群G1,G2是乘法循環(huán)群，g為G1的生成元，得到的公開參數(shù)為式(4)，

Pg={p,G1,G2,g,Hi(i=1,…,4)}

(4)

式中，Hi為哈希函數(shù)，哈希函數(shù)的H1,H2,H3,H4滿足以下條件(式(5))，

(5)

聯(lián)立式(2)、式(3)、式(4)，依照式(5)的約束條件，得到區(qū)域醫(yī)學(xué)影像信息的加密方式，如圖2所示。

圖2 區(qū)域醫(yī)學(xué)影像信息加密方式

使用圖2的加密方式，使用表3的訪問控制協(xié)議函數(shù)，形成云共享訪問加密方案。

按照從上到下的使用方向[9]，使用表3中的各項(xiàng)函數(shù)，形成云共享訪問加密方案，利用設(shè)定的云共享訪問控制約束關(guān)系和云共享訪問加密方案，實(shí)現(xiàn)云共享訪問控制，實(shí)現(xiàn)模型的構(gòu)建。

表3 訪問控制協(xié)議函數(shù)

1.3 建立訪問控制模型

建立訪問控制模型前，將設(shè)計(jì)的約束條件和加密方案融合到一個(gè)訪問控制器中，將訪問用戶端瀏覽器應(yīng)用VBScript腳本，把用戶口令與一個(gè)從服務(wù)器獲得的隨機(jī)數(shù)副本組合進(jìn)行哈希散列運(yùn)算，形成MDS口令信息摘要后，用加密形式傳送給身份認(rèn)證服務(wù)器[10]。讓訪問模型中的身份認(rèn)證服務(wù)器從用戶/口令信息庫中提取用戶口令，與服務(wù)器端的隨機(jī)數(shù)進(jìn)行哈希散列運(yùn)算，比較計(jì)算所得信息摘要與客戶端傳送來的信息摘要是否符合，如果符合說明口令正確，通過身份驗(yàn)證[11]。身份認(rèn)證服務(wù)器還要對錯(cuò)誤用戶/密碼試探進(jìn)行計(jì)數(shù)，若超過一定次數(shù)，封鎖該用戶驗(yàn)證進(jìn)程一段時(shí)間，來防止暴力破解用戶密碼，或是破壞設(shè)計(jì)的加密方案[12]。

設(shè)定用戶動態(tài)約束掩碼，對訪問用戶定義各種動態(tài)約束，賦值計(jì)算此時(shí)約束掩碼，判斷此時(shí)的約束條件是否可作為最后的約束掩碼，判斷矩陣如式(6)，

(6)

式中，G表示約束條件，n表示用戶瀏覽醫(yī)學(xué)影像信息的操作動態(tài)值，k表示生成的約束掩碼，Ank表示動態(tài)值生成的動態(tài)掩碼最終判斷結(jié)果的均值[13]。然后使用XML文件建立最終的控制模型，使用XQuery的既含路徑又含關(guān)鍵字的查詢代碼：

FORs in doc/O/D/secattr/level

LETx=s-1

RETURN來查詢共享訪問中的變量，為了防止數(shù)據(jù)單元、元素、屬性等名稱存在著一致性，從而使XML無法訪問用戶的意圖的情況發(fā)生，在查詢之前，先在XML文件中使用

FOR a in doc//secattr/level

b in doc//secattr/domain

WHERE a/tex()="X5"

RETURN來標(biāo)記區(qū)域醫(yī)學(xué)影像信息文件[14-15]。

使用計(jì)算出來的訪問掩碼，自定義為一個(gè)訪問對象，綜合標(biāo)記的醫(yī)學(xué)影像信息文件，然后使用處理標(biāo)記后的文件，使用的Aaccess(S,O,OP)函數(shù)，如式(7)，

(7)

式中，當(dāng)?shù)玫絫rue時(shí)，本次會話S有對O的區(qū)域醫(yī)學(xué)影像信息的OP操作有權(quán)限。出現(xiàn)false時(shí)，則出現(xiàn)沒有權(quán)限或是等待的情況。此時(shí)的式(7)就是最終得到的訪問控制模型，實(shí)際使用時(shí)利用控制模型，實(shí)現(xiàn)對云共享訪問的控制。整個(gè)控制模型的設(shè)計(jì)流程如圖3所示。

圖3 云共享訪問控制模型設(shè)計(jì)流程圖

2 實(shí)驗(yàn)結(jié)果分析

為了驗(yàn)證區(qū)域醫(yī)學(xué)影像信息的云共享訪問控制模型的效果和可行性，在云共享環(huán)境下運(yùn)用訪問控制模型時(shí)，操作用戶需通過客戶端登錄后，模型才會使用一定的訪問控制策略對用戶進(jìn)行授權(quán)。在云環(huán)境下，用戶只需要利用客戶端連接到互聯(lián)網(wǎng)就能輕松地使用相應(yīng)的應(yīng)用系統(tǒng)，獲得相應(yīng)的服務(wù)，搭建的云環(huán)境下信息化框架，如圖4所示。

圖4 云環(huán)境下搭建的信息化框架

由圖4可知，設(shè)定框架的訪問安全標(biāo)簽，將相應(yīng)的開發(fā)程序應(yīng)用到云共享訪問控制模型中，以此設(shè)定用戶訪問角色，如圖5所示。

圖5 訪問角色設(shè)定

由圖5可知，將不同訪問角色都設(shè)定為主治醫(yī)師，將10個(gè)文件設(shè)定為10位不同患者的醫(yī)學(xué)影像信息，模型會對設(shè)定的角色訪問加以限制，安全等級TS為最高安全等級，S為一般安全等級，C為不安全等級。以訪問角色的實(shí)際患者反饋，職位等級以及所屬范圍對其進(jìn)行用戶的信任等級劃分。標(biāo)準(zhǔn)如表4所示。

表4 區(qū)域醫(yī)學(xué)影像信息以及用戶的信任等級結(jié)果

以此為標(biāo)準(zhǔn)，將同一患者的區(qū)域醫(yī)學(xué)影像信息視為一個(gè)文件，準(zhǔn)備10位患者的區(qū)域影像資料，得到區(qū)域醫(yī)學(xué)影像信息文件及用戶的信任等級結(jié)果如表5所示。

由表5可知，User1到User10分別表示設(shè)定訪問角色的不同主治醫(yī)師，第2位、第6位以及第8位主治醫(yī)師的區(qū)域醫(yī)學(xué)影像信息信任等級結(jié)果為最高安全等級。依據(jù)用戶的信任程度來限制角色訪問的時(shí)間和信息量，設(shè)定模型的信任區(qū)間，如表6所示。

表5 區(qū)域醫(yī)學(xué)影像信息以及用戶的信任等級結(jié)果

表6 設(shè)定的信任值區(qū)間

使用2種傳統(tǒng)云共享訪問控制模型與區(qū)域醫(yī)學(xué)影像信息的云共享訪問控制模型控制訪問，3種模型在同等等級下、同等信任區(qū)間中得到的值不同，計(jì)算3種模型得到的信任平均值，對比最終得到平均值，得到最終3種模型控制下的訪問時(shí)限和訪問信息量。

3種模型在控制訪問時(shí)，傳統(tǒng)控制模型1在信任區(qū)間內(nèi)取最小值，傳統(tǒng)控制模型在獲取信任值時(shí)取區(qū)間內(nèi)的中間值，區(qū)域醫(yī)學(xué)影像信息的云共享訪問控制模型取區(qū)間的最大值，計(jì)算得到的平均值以及對應(yīng)的訪問時(shí)間和訪問信息量的結(jié)果，如表7所示。

表7 信任值實(shí)驗(yàn)結(jié)果

由表7得出的最終計(jì)算結(jié)果，傳統(tǒng)控制模型1得到的最終信任值為0.48，允許的訪問時(shí)限為始終不允許，訪問信息量始終為不允許。而傳統(tǒng)控制模型2得到的最終計(jì)算結(jié)果為0.7，時(shí)限訪問時(shí)長為5小時(shí)之內(nèi)，允許訪問在所屬診療范圍內(nèi)的信息。使用區(qū)域醫(yī)學(xué)影像信息的云共享訪問控制模型計(jì)算得到的平均值為0.8，訪問時(shí)限沒有限制，允許訪問全部共享信息。綜上所述，與2種傳統(tǒng)控制模型相比，區(qū)域醫(yī)學(xué)影像信息的云共享訪問控制模型，可以在保證訪問安全的前提下，獲取更多的訪問時(shí)間及信息。

3 總結(jié)

云共享技術(shù)已經(jīng)逐步成熟，研究云共享訪問控制模型，可以對抗網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展所帶來的網(wǎng)絡(luò)工作安全問題。訪問控制作為保障系統(tǒng)信息安全的關(guān)鍵技術(shù)之一，在云計(jì)算興起的今天扮演著越來越重要的角色，社會各界對訪問控制技術(shù)的研究也變得備受關(guān)注，各種改進(jìn)的訪問控制模型層出不窮。所設(shè)計(jì)云共享訪問控制模型的創(chuàng)新點(diǎn)是將區(qū)域醫(yī)學(xué)影像信息進(jìn)行加密，設(shè)區(qū)域醫(yī)學(xué)影像信息參數(shù)和代理重加密相關(guān)的系統(tǒng)參數(shù)組，由此生成代理過程中的一種代理重加密密鑰。隨著網(wǎng)絡(luò)技術(shù)的不斷創(chuàng)新與發(fā)展，傳統(tǒng)的一些訪問控制模型無法滿足現(xiàn)行系統(tǒng)的安全要求，研究一種區(qū)域醫(yī)學(xué)影像信息的云共享訪問控制模型，解決了傳統(tǒng)訪問控制模型訪問時(shí)間過少，訪問范圍較小的問題。對于未來的研究工作，可從區(qū)域醫(yī)學(xué)影像交互信息的云共享方法等方面進(jìn)行更深一步的研究。