牛宇，颜苗苗，郑红，杨吉江（.北京第二外国语学院，北京 00024；2.清华大学 信息技术研究院，北京 00084）



云计算环境下医疗数据访问控制研究综述

牛宇1，2，颜苗苗1，郑红1，杨吉江2△
（1.北京第二外国语学院，北京 100024；2.清华大学 信息技术研究院，北京 100084）

摘要：云计算和大数据分析技术广泛应用于医疗领域，可以提高医疗效率，疾病预测准确率等，但同时也带来医疗数据的隐私泄露和信息不安全的隐患。云存储上的医疗数据隐私和安全保护中，接入控制是核心技术之一。本文通过对相关文献的梳理，对医疗数据在云计算环境中的访问控制问题进行了研究。主要从访问扩展模型和密码保护机制两方面展开综述，并对未来的研究趋势进行了展望。

关键词：云计算； 医疗数据；访问控制模型；加密机制

1　引言

近年来，医疗数据化是大势所趋，无论是身体传感器网络对病人健康状况的实时监控，或者医院信息系统数字化，还是无处不在的电子医疗记录EMR（Electronic Medicine Record），都有助于增加医疗护理质量，促进循证医学和记录的机动性［1］。而云计算在医疗方面也有着强大的应用场景，云的高性能计算能力可以快速正常结算或帮助处理高性能计算需要生物医学数据。云可以为大规模的医疗数据存储和管理提供可伸缩的空间，进一步构建病人的终身健康记录EHR（Electronic Health Record）、PHR（Personal Health Record）。EHR适用于交叉区域的医疗数据交流平台，通常由政府医疗服务部门管理。

然而，由于云的基础设施具有多租户、虚拟机、分布式系统等的特点，数据安全和隐私在云上有其技术架构本身带来的安全隐患，目前已成为进一步深入应用云技术所面临的一大挑战［2］。此外，医疗数据本身含有大量病人私有和敏感的信息，泄露或者被窃用可能招致骚扰推销电话，保险公司拒赔，拒代理等情况；患者就医时透露的诸如社保账号、个人财务信息等关键信息，黑客们通过这些信息的拼凑，可勾画出一幅完整的个人信息图谱来，威胁着个人的人身、财产等安全。因此，保护医疗数据的隐私与安全是必须的，而完成对隐私的保护是信息安全的目标之一，信息安全的技术手段可以用于隐私保护［4］。

然而，目前文献大多单纯讲技术，没有很好地和医疗结合。图1是近年来在云计算、隐私与安全、医疗数据交叉领域的文献研究热点。本文着重研究了近五年内访问控制技术与医疗数据隐私与安全相结合的文献，并进行了系统的分析。

文章分为三部分，首先对医疗数据的内容加以划分并阐述；第二、三部分主要从作为访问控制技术重中之重的访问控制扩展模型和加密机制和这两方面，综述了近几年医疗数据在云计算环境下的隐私保护和安全问题。

图1　云计算、医疗数据、隐私与安全的交叉研究热点

2　医疗数据

医疗数据包含范围甚广，包括原始院外检测的各种身体数据，院内流转的个人电子病历，和实验室化验结果等。因为其它类的数据（原始检测，化验数据等）均可以直接或间接地导入个人电子病历成为其一部分内容，本文着重于个人电子病历作为医疗数据的代表和主体。

EMR（Electronic Medical Record）——电子病历［5］是用电子设备（计算机、健康卡等）保存、管理、传输和重现的数字化的病人医疗记录，取代手写纸张病历。EMR根据医院治疗业务流程和需求设计，满足了医院业务和管理的要求。美国国立医学研究所将EMR定义为：是基于一个特定系统的电子化病人记录，该系统提供用户访问完整准确的数据、警示、提示和临床决策支持系统的能力。

EHR（Electronic Health Record）——电子健康记录是电子化的个人健康纪录（病历、心电图、医疗影像等）。整合了不同来源的病患健康信息，其中也包括病患所有的电子病历。它跨越不同的机构和系统，在不同的信息提供者和使用者之间交换和共享。

PHR（Personal Health Record）——个人健康记录平台，是一个完整的、准确的个体健康和总结病史的记录平台。任何时间，任何地点，通过网络在线访问。它可以存储在非医疗组织，如商业公司或病人本身。

三者之间具有联系，EMR由医疗机构产生并所有，若与其他医疗机构或系统分享EMR数据，交互操作的EMR就成为EHR。PHR收集了来EMR和EMR等各个方面的数据，借助于计算机或网络等先进技术，将个人的健康相关信息数字化采集，以电子方式传输、存储与健康档案服务器中。在本文中，除了收集的最初原始数据，根据相应的计算领域，医疗数据指的是其中之一。

3　访问控制模型

访问控制是授予一部分用户访问权，禁止其他用户访问数据的过程；其模型则是一种从访问控制的角度出发，描述安全系统、建立安全模型的方法［6］。然而，在云计算环境中，要保证医疗数据的隐私与安全，往往RBAC（role base access control 基于角色的访问控制）也有局限性［10］，学者们逐渐转向于研究多种模型或技术相结合的方式，并取得了一定的成效。

3.1基于角色的访问控制的扩展模型

据统计文献综述的结果，超过三分之二文章的EHR访问控制采用基于角色的访问RBAC（Role-Based Access Control）或以它为基础的修改变化模型。关于医疗体系的RBAC模型，关注的问题主要有:“谁来定义用户角色？”，“由谁授权用户访问这些医疗数据？”，和“紧急情况下可以忽略访问规则吗？”［7］。RBAC确实有助于搜索的效率，但采用通用性授权策略，无法满足患者对隐私保护的个性化需求，而且不利于细粒度访问和隐私匿名保护。，在此基础上，学者们针对单一访问模型所存在的缺陷，提出了基于角色的访问控制的扩展模型。

3.1.1基于决策支持的角色控制访问

Patrick等人早在2007年提出了一种基于隐私扩展的角色控制方法，该模型基于电子健康情境信息，设计了一个决策支持模型与基于角色的访问控制模型进行交互来保护个人健康信息［8］。

3.1.2基于分级授权的角色控制访问

针对RBAC的缺点，并考虑到医疗数据在保护中有着不同的权重，如果对所有信息都采用高级别的保护手段，会影响实际运作的效率，同时也是浪费资源。周凯等［9］提出一种 EMR 存储云系统，为患者和医院提供统一的电子病历注册和使用服务，并重点对电子病历的访问控制策略进行了讨论，采用一般角色访问控制和用户个性化逐级授权相结合的策略，有效解决了动态授权和用户个性化需求问题，满足了患者对于信息安全性和隐私保护方面的需求。基本访问控制策略与用户个性化策略相结合的综合访问控制模型，并且对 EMR 各部分设置敏感级别，可以实现细粒度访问和用户个性化逐级动态授权。

3.1.3基于角色与行为的访问控制

RBAC 模型建立在主体－客体访问控制思想上，采用静态授权方式，缺乏对角色权限的动态调整能力。王琦提出RB-NAC（Behavior-Based Network Access Control，BB-NAC基于角色与行为的访问控制）机制，其核心思想是以角色模型来划定权限集，利用行为簇来动态调整用户可使用的权限，克服了RBAC-based NAC在动态权限调整方面的缺陷，利用行为簇分配或限制了用户的权限，并利用用户实时的网络行为特征的变化，对用户进行动态归簇，提高了系统的灵活性［10］。

3.1.4面向患者的隐私保护访问控制

为了支持患者根据自身的隐私偏好定义个性化的访问控制策略，满足患者的个性化隐私保护需求，霍成义等人在 RABC模型的基础上提出了面向患者的隐私保护访问控制模型 POP-PAC（Patient-Oriented Privacy Preserving Access Control Model for HIS，面向患者的隐私保护访问控制），通过患者参与到自身敏感数据访问控制规则的定义中，实现了不同用户角色的合理判定和访问权限的正确授予功能。有效地解决了患者敏感数据在没有许可的情况下被动泄露的细粒度访问控制问题［11］。

3.2基于目的的访问控制的扩展模型

基于目的的访问控制最早是由Byun提出来的，是一种以“目的”为基础的方案。但传统的PBAC（Purpose-Based Privacy Access Control）在对隐私数据有访问控制需求的复杂应用场景、动态应用场景以及突发紧急情况下，会出现框架解决方案中没有考虑到的隐私泄漏问题。医疗信息系统的特点是异构和多隐私数据模式，如不同临床信息系统的数据模式是不同的，因此需要对PBAC加以完善，保证医疗数据的安全。

3.2.1基于目的管理的医疗信息系统隐私保护访问控制模型

传统的访问控制模型专注于“哪些人可以对哪些资源进行哪些操作”，而隐私策略更加注重资源被使用的目的。其次，传统的访问控制采用普遍适用的粗粒度访问控制策略，不能满足医患者个人的隐私保护需求。基于此，渠世艳提出基于目的管理的医疗信息系统隐私保护访问控制模型——PBAC-HIS（Purpose Management-Based Privacy Access Control Hospital Information System）［12］。模型主要思想是建立以患者为中心的 HIS 系统，将系统的管理权限进行部分转移，让患者参与访问策略的制定、维护，由患者对隐私内容进行界定。模型引入具有继承关系的目的概念，采用“基于目的管理”的授权管理方式。医疗机构根据角色职责，通过为角色绑定目的制定通用策略；患者根据个人隐私侧重点不同，为隐私数据设置目的属性，制定个人策略。采用基于通用策略和个人策略相结合的方式，在系统通用策略不变的前提下，患者通过调整个人策略满足个性化隐私需求。

3.2.2 基于敏感性标签的PBAC算法

该模块结合敏感性标签与基于目的的访问控制模型，对医疗人员访问病人信息提供了更细粒度的控制。对于医疗人员大规模查询病人隐私数据，模型提供了能够更好的保护高敏感信息的匿名化处理方法，处理结果的发布也提供了两种形式.该模型在访问控制和信息发布上更具有灵活性的同时，通过分级匿名化处理，提高了敏感数据的隐私保护，具有合理性、实用性和安全性［13］。

3.2.3基于PBAC模型和IBE的访问控制方案

传统的控制模型没考虑到用户访问目的在侧重数据隐私的访问控制中的重要作用，而非对称加密又存在密钥管理、证书管理等复杂问题。针对这些问题，张怡婷等［14］提出基于PBAC（基于目的的访问控制）模型和IBE（identity-encryption，身份加密技术）的访问控制方案。设计了一种针对医疗数据密文的访问控制方案，其核心思想是围绕数据的预期目的构造身份公钥。并通过实验证明了这种方案达到了细粒度访问控制和隐私保护的目的。

4　加密机制的研究

在云平台上，用户将数据存放在不可信的平台（semi-trust）上是不安全的，对于数据的隐私保护、机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）CIA特性都不能达到很高的安全等级，并且网络传输过程中存在许多不安全因素，所以在云计算环境下采用密码方式对数据进行保护非常有必要［15］。根据业界现状加密机制在医疗领域的运用，目前主要有以患者为中心的加密机制基于智能卡的加密机制，和基于属性的加密机制。本节对相关文献的进行整理，并分析这三种加密机制针对云平台上医疗数据隐私和安全保护技术的研究现状。

4.1以患者为中心的加密机制

在皮尔森关于云系统的“六大隐私实用建议”中［16］，有两个建议是关于用户自己控制数据的：“最大化用户控制”和“允许用户选择”。让患者对健康记录直接加密和分配对应的密钥是一个简单易行的访问控制策略。

图2　医疗数据层次结构示例

医疗数据在存储时，通常被整理成层次结构（如图2所示），叶节点包含患者基本的医疗数据，而中间节点代表不同种类的信息［17］。在以患者为中心的加密机制PCE（Patient Centric Encryption）中，患者只需要创造并持有一个根密钥，子记录的密钥由根密钥和它们处于病历目录中的位置得来。子密钥用来加密或解密子记录这一类数据。因此，患者可以授予他们的医生、药剂师、配偶等访问这些子记录的权力。尽管PCE的密钥分发很简单，但访问权力仅限于固定类别的记录。一些学者进一步提出的一套可以聚集任何子集的标准叶分类。数据的拥有者可为这些子集计算出一个简练的密钥，从而提高数据访问的灵活性。

在PCE，密钥直接从患者发送到对应的访问器，需要当访问请求发出时患者能在线。为解决要求患者一直在线这一问题，有两种方法：采用智能卡来代替患者本人，或委托访问服务器。

4.2基于智能卡的加密机制

智能卡对于医院的数据管理和患者的灵活使用资源有很大帮助，智能卡协助技术在许多国家的医疗系统已被广泛采用，智能卡里通常包含用户身份信息、根密钥或其他重要信息，通常由权威机构发行并分配给系统实体，如已注册的患者，提供医疗护理的机构、审计机构等。为保证智能卡信息的安全，引入了基于智能卡的加密机制。

W.B.lee等人在2008年提出了一个全面的基于智能卡技术的密钥管理方案［18］。该方案要求访问每一条记录时都需要智能卡，这是不现实的。胡建坤等人为隐私和安全规定提出了一种基于混合公钥基础设施（PKI）解决方案的合同［19］。在接受治疗时，患者和医疗保健机构的医疗中心服务器（Medical Central Server）将签署一份临时的合同。在合同期间，授予MCS信任和安全管理的权力，可以不受限地访问患者受保护的健康信息数据。协议到期时，合同可以停止或更新。这种方法让医疗机构有更大的自由来高效地访问医疗记录，并且没有每次访问都要使用智能卡带来的麻烦。

4.3基于属性的加密机制ABE（Attribute-based Encryption）

基于属性的加密模型ABE在云计算环境下通常包括四个参与方：数据提供者、可信第三方授权中心、云存储服务器和用户。数据以加密的形式存储在云服务器上，访问的授权取决于数据用户或文件的属性，授权方式通过数据用户计算私有秘钥完成（图3）。

图3　云计算环境下ABE授权模型［20］

运用ABE在云平台上获取电子医疗记录由于其可控精细颗粒度，已经越来越多的被采用。Joseph和Christoph等［21］设计和实施了一种自保护的电子病历系统。它使用ABE促进基于角色和基于内容的粒度访问控制，而不需要一直在线的中间服务商或数据提供者来分发密钥并验证规则。预置的密钥可以单独决定是否给予离线的EMR访问权力。目前，基于角色和基于内容的双重策略正在被研究以实现灵活、自动地生成规则。Barua等［22］使用基于密文的属性加密机制（CP-ABE）实现高效安全的以患者为中心访问控制，它在电子健康系统中使用属性来定义不同请求者的角色。而文献［14］研究了密钥管理的可扩展性，多授信中心属性加密MA-ABE（Multi-Authorities BE）方案中访问规则或文件属性的动态修改。这些研究不断完善ABE算法，用以支持高效灵活的用户或属性撤销和在紧急情况下BTG（Breaking The Glass）访问。 BTG情境下的医疗数据访问控制策略对于处于生命危险处境的病人抢救有着非常大的意义。

5　结论

本文主要从访问控制模型、加密机制两方面分析了在云环境下医疗数据的访问控制。，这些技术解决了在特殊的医疗场景下数据的动态访问、细粒度访问控制、根据患者偏好不同逐级授权等问题。访问控制确实能够在一定程度上阻止未经允许的用户有意或无意地获取数据［23］，然而，目前的医疗数据的访问控制技术大多停留在研究阶段，还没够完全与医疗机构或系统完善地结合起来防止数据泄露或窃取。据Trustwave发布的2015年医疗行业的安全报告，在过去的两年间，仍有90％的医疗行业公司均遭到黑客攻击，泄露病人数据。因此，在今后的研究方向上，应该研究更加切实可行的访问控制技术；不仅技术方面，我国关于医疗数据的法律及规章制度也有待完善。技术法律联方面联合运用，以此共同维护医疗数据的隐私与信息安全。

参考文献

［1］T.Greenhalgh，S.Hinder，K.Stramer，T.Bratan，and J.Russell，“Adoption ，non-adoption，and abandonment of a personal electronic healthrecord:case study of healthspace，” Bmj，vol.341，2010.

［2］IDC，“It cloud services user survey，pt.2:Top benefits challenges，”http://blogs.idc.com/ie/?p=210,Oct2008.

［3］在医疗大数据时代，患者信息安全问题备受关注［J］南方日报，2015-3-25.

［4］迟晨阳，毛华坚，孟海滨，赵东升.电子健康档案信息安全和隐私保护的关键问题和研究进展［J］中华医学图书情报杂志 2015（11）:22-26.

［5］2014-2018年中国电子病历（EMR）产业调研与投资前景预测报告［M］.智研咨询集团，2013.11.

［6］涂山山.云计算环境中访问控制的机制和关键技术研究［D］.北京邮电大学.2014.

［7］J.L.Ferna´ndez-Alema´n，I.C.Sen~or，P.A´ .O.Lozoya，and A.Toval，“Security and privacy in electronic health records:A systematic literature review，” Journal of biomedical informatics，vol.46，no.3，pp.541-562，2013.

［8］Patrick CK Hung，Yi Zheng.Privacy Access Control Model for Aggregated e-Health Services［C］Proceedings of 2007 Eleventh International IEEE EDoC Conference Workshop：12—19.

［9］周凯，蒋兴浩，孙锬锋.电子病历存储云系统访问控制研究［J］.信息安全与通信保密.2012（4）:86-89.

［10］王琦.基于角色与行为的医疗信息网络访问控制机制［J］.福建电脑，2013（6）:125-127.

［11］霍成义，吴振强.面向患者的医疗信息系统隐私保护访问控制模型［J］计算机应用与软件.2014（11）:75-77.

［12］渠世艳.基于目的管理的医疗信息系统访问控制模型研究［D］.上海交通大学.2009.

［13］张强.面向隐私保护的医疗信息系统设计与实现［D］北京交通大学.2012.

［14］张怡婷，傅煜川，杨明，罗军舟.基于PBAC模型和IBE的医疗数据访问控制方案［J］.2015（12）.

［15］王于丁，杨家海，徐聪，凌晓，杨洋.云计算访问控制技术研究综述［J］软件学报.2015，26（5）:1129-1150.

［16］S.Pearson，“Taking account of privacy when designing cloud computing services，” in Software Engineering Challenges of Cloud Computing，2009.CLOUD'09.ICSE Workshop on.IEEE，2009，pp.44-52.

［17］J.Benaloh，M.Chase，E.Horvitz，and K.Lauter，“Patient controlled encryption:ensuring privacy of electronic medical records，” in Proceedings of the 2009 ACM workshop on Cloud computing security.ACM，2009，pp.103-114.

［18］W.lee and C.Lee，“A cryptographic key management solution for hipaa privacy/security regulations，” IEEE Transactions on Information Technology in Biomedicine，vol.12，pp.34-41，Jan 2008.

［19］J.Hu，H.-H.Chen，and T.-W.Hou，“A hybrid public key infrastructure solution（hpki）for hipaa privacy/security regulations，”Computer Standards & Interfaces，vol.32，no.5，pp.274-280，2010.

［20］A.Mohan，D.Bauer，D.M.Blough，M.Ahamad，B.Bamba，R.Krishnan，L.Liu，D.Mashima，and B.Palanisamy，“A patientcentric，attribute-based，source-verifiable framework for health record sharing，”2009.

［21］J.A.Akinyele，M.W.Pagano，M.D.Green，C.U.Lehmann，Z.N.Peterson，and A.D.Rubin，“Securing electronic medical records using attribute-based encryption on mobile devices，” in Proceedings of the 1stACM workshop on Security and privacy in smartphones and mobile devices.ACM，2011，pp.75-86.

［22］M.Li，S.Yu，Y.Zheng，K.Ren，and W.Lou，“Scalable and secure sharing of personal health records in cloud computing using attributebased encryption，” 2013.

［23］杨吉江，许有志，王青，潘慧，关健［J］.面向医疗信息的数据隐私保护技术.中国数字医学，2010，05（8）.

Review of Medical Data Access Control in Cloud Environment

NIU Yu1，2，YAN Miao-miao1，ZHENG Hong1，YANG Ji-jiang2
（1.Beijing International Studies University，Beijing，100024，China； 2 RIIT，Tsinghua University，Beijing，100084，China）

Abstract:Cloud computing and big data analysis techniques have been applied in medical care area，which can enhance the health care service quality，predict the disease trends，etc.However，the medical data digitalization also brings the concerns about the privacy leakage and system security.Among the countermeasures，the access control is one of the key security protection techniques.In this paper，a systematic literature review on medical data access control on cloud platform is conducted.The survey focuses on extended medical data access model and encryption based authorization mechanism two aspects based the latest research progress in this field.Furthermore，the future research trend about these models' practical application in real medical environment is discussed.

Keywords:Could computing； Health data； Access control models； Encryption

作者简介：牛宇，女，博士学位，现为北京外国语大学讲师，专业：计算机软件。

通讯作者：杨吉江。