武 凌，杨家桂，陈劲松，王 浩

（安徽财经大学 管理科学与工程学院，安徽 蚌埠 233030）

SOA架构医疗信息系统间的跨组织访问控制模型

武 凌，杨家桂，陈劲松，王 浩

（安徽财经大学 管理科学与工程学院，安徽 蚌埠 233030）

现今医疗产业的信息系统面临着许多的挑战，例如异质性的平台、服务之间的紧密耦合以及再利用性不足等问题，近年来业界提出了以SOA架构来构建及组织医疗服务以改善目前医疗信息系统困境。针对目前在标准的SOA中缺乏访问控制的问题，本文探讨了医疗服务产业中应用SOA架构的安全性需求以及在不同医疗机构间共享服务时的访问控制问题，提出了一种SOA架构下应用于医疗领域的基于RBAC和扩充的WSDL的访问控制模型，为跨组织间的访问控制机制提供了一种新的解决方案。

访问控制；跨组织；基于角色的访问控制；医疗领域；服务导向架构

现今医疗服务产业提供的基于信息技术的软件服务越来越多元且复杂，例如，许多医院会开发药物交互作用检查的软件、可将二维医疗影像转换为三维的维度转换软件[1]，以及提供医疗影像撷取与标记软件等，这些应用软件及程序都可以视为是一种服务。在本质上，这些信息服务均可通过网络提供其它医疗单位来使用。然而由于各家医院建置的信息系统大多是独立开发的，并且缺乏授权及认证的机制因此使得这些医疗服务难以共享，而医疗服务的重复开发造成资源的浪费，开发与维护的成本也相对提高，再加上医疗服务之间彼此关联性较大，维护的困难度也随之增加，这也是目前医疗服务产业面临的挑战[2,3]。

服务导向架构(Service-Oriented Architecture, SOA)近年来获得许多学术界和企业界的支持，认为SOA可以提高异质性平台间的互操作性，进而让服务可以共享，增加服务的再利用性。因此有一些学者尝试将SOA架构应用于医疗服务，如远程医疗、居家照护、临床信息系统的数据交互与共享等并获得很好的成果[4-8]。通过进一步对SOA的探讨和分析可知，SOA本身缺乏对于安全性的规范，特别是访问控制缺乏相关标准的定义，使得在跨机构之间要共享服务时，就面临了如何判断使用者是否有权限使用服务的问题，特别是许多的医疗服务具有专业性，例如二维医疗影像转换为三维的维度转换软件，应该由具有专业的医师才能使用，由不具备专业的人来使用容易发生错误解读的问题。因此在实际应用中，跨医疗机构之间必须在SOA下制定一套完整的安全机制。

1 SOA下的访问控制技术

SOA是近年来被广泛讨论和应用的一种分布式信息系统架构，也是云端技术中软件即服务的基本概念。SOA本身并没有定义访问控制的机制，也没有明确的定义如何规范和限制使用者通过服务中介者来搜寻并取得服务。为了弥补此架构在安全性规范的不足，许多的学者和软件企业均对SOA的安全性议题提出了各方面的研究。Buecker[9]等提出一个适用于不同企业商业策略的安全参考模型，不管是在数据传输上的安全性或需求者的身份识别等。Zou[10]等结合RBAC与以属性为基础的访问控制ABAC的特点并整合各种限制来对需求者做更细致的规范。Sassoon[11]等探讨SOA架构下的医疗系统衍生的安全性议题，其内容主要包含数据的隐私性与完整性，并对整体架构的潜在的网络攻击提出应对的策略，不过对于在SOA架构下的访问控制模型没有清楚的描述。Yamany[12]等结合RBAC和ABAC产生的ARBAC模型，通过四种属性包含需求者本身的职位、服务的性质、服务所在的环境(时间等)以及特殊的策略需求，更细致的规范需求者。但上述研究都没有涉及如何规范外部机构的角色以及其权限。可以看出目前与SOA相关的访问控制模型大致上有以下几种，如以角色(Role-based)、属性(Attribute-based)、策略(Policy-based)与风险适应(Risk-adaptive)为基础的访问控制模型，而其中又以角色为基础的访问控制(Role-based Access Control,RBAC)模型最为常见。本文探讨了应用于医疗领域的SOA下的访问控制机制，除了要能适合于机构内部的访问控制外，同样地对于机构外部的需求者也能有效的管理，使得不同医疗机构间所提供的服务在SOA下得以彼此共享。

2 基于限制与角色的跨组织访问控制机制

本文以RBAC模型为基础，探讨内部角色与外部角色的访问控制模式。目标有以下两点：(1)探讨在跨机构间授权的机制。(2)探讨为了加入角色、权限等属性如何扩充WSDL(Web Service Description Language)，包含以Constraint-Based的概念来扩充WSDL文件、扩充UDDI(Universal Description，Discovery and Integration)的解析(Parsing)能力以解析扩充的WSDL文件。另外，为了解决医疗机构间角色定义可能不同的问题，我们将以OWL(Web Ontology Language)的语法来定义外部角色与内部角色的权限对应关系。

2.1 以SOA为架构应用于医疗服务产业的访问控制需求

SOA是在网络服务的基础上发展起来的系统架构，其技术层面包含网络服务，而策略与实现的层面是负责管理服务的注册与发布。它拥有一些特性例如较佳的服务再利用性、独立的通信协议以及应用软件的整合，由于不同系统平台间彼此所采用的通信协议不同，因此SOA采用标准的通信协议，使用了可扩展标记语言XML以及简易对象 存 取 协 议 (Simple Object Access Protocol, SOAP)，所有服务的注册、发布以及绑定都按照此规范，借此提升了异质性平台间的互操作性。这样医疗机构不需独立开发所有的医疗服务程序，它们可以使用其它机构或企业提供的医疗服务，节省开发与维护软件的成本并增加医疗服务的再利用性[6]。

图1说明SOA中三个基本的角色：(1)服务需求者(Service Consumer)：在网络上搜寻符合需求的服务以及请求服务的角色，此角色可以是一位医护专业人员、医疗资讯的子系统或是需要某一项信息服务的人员。从医疗领域来看，不同的工作机构会拥有许多的工作人员和许多的子系统，因此服务需求者可能是内部的使用者，也可能是来自另一个机构的使用者。例如，某一家医院的一位医师，在开药品处方时希望能检查该病人的药物是否有交互作用的问题；在某一偏远地区的医师希望能将一名病患的超音波影像交由大城市的医学中心的放射科医师判读，以上都可视为服务的需求者。(2)服务提供者(Service Provider)：开发与发布网络服务的角色，拥有许多的网络服务提供给服务需求者使用，因此服务提供者可以设定所提供的网络服务允许开放的对象和权限，例如某医学中心与偏远的乡镇地区医院合作，地区医院的医师可以将超音波的影像传给医学中心的RIS(Radiology Information System)，RIS系统会安排专业的放射科医师判读和撰写报告。(3)服务中介者(Service Broker)：负责管理服务的注册，提供一个平台给服务提供者注册WSDL文件，并将服务进行分类，另外让服务需求者能在此平台搜寻服务。

图1SOA架构

图1 还描述了这三个角色之间的互动关系，其运作流程主要有3个步骤：(1)服务提供者将服务的基本信息例如通信协议、接口、参数以及服务的地址描述于WSDL文件中，接着服务提供者将服务注册至服务中介者，这个中介者也可称为通用描述探索与整合(Universal Description,Discovery and Integration,UDDI)，是一种分类服务以及建立服务目录的规范，供大家将网络服务注册并发布给服务需求者查询。(2)服务需求者可以在UDDI中搜寻需要的服务，并请求该服务的WSDL文件。(3)服务需求者可根据WSDL文件上的描述产生相应的SOAP消息，此消息包含服务所需参数并通过HTTP传送给服务提供者，服务提供者接收到参数并进行运算之后，将运算结果封装成SOAP消息回传给服务需求者。

将SOA应用于医疗服务产业时，其授权与访问控制的安全性是很重要的课题，因为在医疗服务产业中服务的功能性以及数据的处理都是非常专业且具有隐私性。现今医疗服务产业提供的服务不仅是给医疗机构内的人员来使用，还包含病人、保险公司以及药厂等其它机构或企业，因此本文提出的SOA架构下应用于医疗领域的访问控制模型必须满足以下的需求：(1)协助医疗机构间服务的共享与管理。(2)提供一个访问控制机制来限制医疗机构内外部人员。(3)提供一个平台来处理需求者的请求，不管是服务的搜寻或对扩充的WSDL文件的解析。

2.2 整体架构以及流程

下面通过一个二维医疗影像转换为三维的维度转换(以下简称Image2Dto3D)服务的实例来阐述整体架构以及流程，最后再针对架构内的组件做出说明。Image2Dto3D服务是用来将医疗影像进行维度的转换，并具有医疗影像判读的功能，由于使用此服务需要具备医疗的专业知识，因此需要定义此服务适用的角色。

图2为系统的整体架构，其中有两家医疗机构A医院与B医院，都由三个重要的组件构成，分别是授权单元(Authorized Unit,AU)、服务需求者以及服务提供者。AU也包含了三个子组件，分别为服务管理平台、内部角色管理以及Ontology角色对应，这三个子组件功能描述如下：(1)服务管理平台：主要负责服务的搜寻以及服务的绑定，类似于UDDI的功能。(2)内部角色管理：主要负责机构内角色的验证管理。(3)Ontology角色对应：主要负责外部角色与内部角色的对应，具体的对应方式后面会介绍。

图2 整体架构图

服务的流程主要有两种情况，第一种是当A医院内部的人员请求Image2Dto3D服务时的流程，而Image2Dto3D服务是由A医院提供的；另一种情况是当B医院的人员要请求A医院的Image2Dto3D服务时，如何通过AU去请求服务的流程，这两种情况分别由图3和图4做出说明。

如图3所示，服务需求者所需的服务在本地。服务需求者通过服务管理平台搜寻到本地端的Image2Dto3D服务时，向AU-A请求服务的相关信息(包含服务的限制以及所需的参数)，AU-A会验证需求者身份，等待需求者传送相关的身份验证信息，若验证成功便会依照Image2Dto3D服务的扩充的WSDL文件回传服务的相关信息给需求者，需求者再根据此信息填入相关的参数，并由AU-A的服务管理平台将参数封装成SOAP传送至A医院的服务提供者进行服务的绑定，服务提供者取得参数并经过运算后再将结果通过AUA中的服务管理平台回传给需求者。

图4说明第二种情况，所需的服务在其他的医疗机构。服务需求者来自B医院，他要请求A医院所提供的Image2Dto3D服务，请求服务的流程大致与图3类似，不同的是AU-B需要传送其需求者的角色与机构信息，提供AU-A中的Ontology角色对应（子组件）进行外部角色的验证。

图3 A医院内部人员请求服务

图4 A医院外部人员请求服务

2.3 基于限制的WSDL

WSDL为网络服务描述语言的简称，以XML语言为基础撰写，主要用于描述服务的相关信息(传输协议、参数格式以及服务地址等)，WSDL文件提供需求者与网络服务互动所需要的信息，让服务的需求者可以通过这些信息产生相对应的SOAP消息，而此SOAP消息是在绑定服务时采用的信息传递标准，因此需求者与网络服务都可以根据WSDL文件来解析SOAP消息传递的内容。

WSDL文件主要有两个部分：服务实现定义(Service Implementation)与服务接口定义(Service Interface Definition)，服务实现定义明确描述服务的名称、提供服务的厂商以及服务的地址(URL)，主要是用来定义服务的端点(进入点)；而服务接口定义则包含以下四个部分：(1)服务绑定(Binding)：用来描述网络服务的通信协议、参数序列以及编码。(2)端口类型(PortType)：用于定义服务接口的数据输入与响应方式。(3)消息(Message)：用于描述需求者与服务接口的互动过程中传递的信息。(4)服务型别(Type)：用于描述消息参数的数据类型(如字符串或整数等)。

AU除了提供服务需求者搜寻服务以及服务提供者注册服务外，还负责内部角色与外部角色的验证，并根据扩充的WSDL文件以及OWL定义的内外部角色的对应关系授权给需求者。图5为扩充的WSDL规范，除了原本的服务实现定义与服务接口定义外，还新增服务限制定义的部分，用来定义服务适用的角色范围以及事件的限制。

图5 扩充的WSDL规范

在服务限制定义中，我们针对角色以及事件两个部分来定义服务的限制。图6为一超音波图像处理的服务限制定义描述，首先服务限制的描述都会包含在Constraint标签下，属性name代表服务的名称，接着针对不同机构定义允许存取的角色，范例中分别针对名为Hospital与Clinic这两家医疗机构定义服务适用范围以及服务的使用限制。Domain用来定义角色的存取限制，属性ConstraintType用来定义限制的模式，目前有两种模式TotalPermit以及PartialPermit，分别代表允许所有成员存取服务与允许部分成员存取服务。Exception则是定义限制存取的角色。Event针对两部分来限制，Time用来定义服务的开放时段(Value)与频率(Interval)，Order定义前置服务。And与Or标签用来定义条件之间的逻辑运算，若有两个以上的条件需同时满足就包在And标签下，反之则包在Or标签下。若要调用此范例中的3D Ultrasound Service必须满足两个条件：第一个条件需要先调用Image Pre-processing Service才能调用此服务，第二个条件是只有每天的早上九点至下午三点此服务才会开放。

图6 超音波图像处理服务限制的描述

2.4 以Ontology构建角色对应关系与阶层

我们从两个部分探讨在SOA中定义角色与权限的关系：第一部分是以OWL来描述RBAC的模型以及角色的限制，第二部分是建立不同机构间角色的对应关系。

2.4.1 以OWL描述RBAC模型

RBAC的模型与传统的访问控制不同的地方在于RBAC加入角色作为用户与权限之间的中介，用户是否有权限操作要根据其所属角色是否有对应的权限，而角色与权限之间是多对多的关系，当然使用者与角色之间也是多对多的关系，因此一个使用者可以拥有多个角色，而同一个角色也可以指派给不同的使用者，但有的角色彼此是互斥的关系，例如,机构内会计与出纳的职务不能由同一名员工来担任以免发生舞弊的情形，这时就不能将有互斥关系的角色指派给同一个人。Sandhu提出的RBAC模型包含三种等级，本文采用的是第3级模型，也就是包含了第1级与第2级模型，分别具有角色继承与权责区分的特性，除此之外还有最低基本执行权限、数据抽象以及基数限制等特性。

(1)角色继承(Role Inheritance)：角色之间有阶层关系，可以进行权限的继承来降低管理的负担，如图7为一医疗团队角色阶层图，总医师(Chief Resident)与主治医师(Supervisor)继承住院医师(Resident)的权限，以此类推。OWL描述如下：

图7 医疗团队角色阶层图

其中＜owl：Class表示类别的意思，并通过＜rdfs：subClassOf来描述总医师与主治医师的父类别为住院医师。

(2)权责区分(Separation of Duties)：为了避免互斥角色由同一人来担任而产生的舞弊情形，可分为两种策略：静态权责区分，即角色之间为强互斥关系，例如,会计与出纳这两种职务彼此之间存在有利益冲突的关系，不能将这两名角色指派给同一名员工；动态权责区分，即角色之间为弱互斥关系，可以将这些角色指派给同一人，但同一会话(Session)中只能担任一种角色。假设护士(Nurse)与住院医师(Resident)彼此是强互斥的关系，其OWL描述如下：

通过＜owl：disjointWith描述护士与住院医师彼此的集合关系为不相交(互斥)。

(3)最低基本执行权限(Least Privilege)：由于使用者、角色与权限之间都是多对多的关系，为了防止同一个人拥有过多的权限，因此采用最小权限原则，当拥有特定角色的人才能执行特定的任务，例如,院长只具备医疗行政方面的权限而总医师以及主治医师则具备医疗方面的权限。

(4)数据抽象(DataAbstraction)

传统的访问控制基本上是限制对象的读、写、新增、删除以及修改等命令，而RBAC则允许透过语意的方式来描述权限，例如,影像标记、转换。

(5)基数限制(Cardinality)：说明角色的指派是有上限的，例如院长(Director)只能指派给一个使用者，同样使用者能拥有的角色也是有限制的。OWL描述如下：

通过＜owl：onProperty rdf：resource="HeldBy"/＞来设定院长这个角色的指派属性，＜owl：maxQualifiedCardinality表示上限值设为1来限制角色能被指派的使用者为一名。

2.4.2 以OWL构建机构间角色对应关系

若有两家医疗机构A医院(Hospital)与B诊所(Clinic)彼此有合作关系，提供的服务彼此可共享，但这两家医院的角色阶层关系也许会不同，因此为了让两家医院彼此都能了解其对角色的定义，我们在其中加入Equivalent Class关系，此关系代表角色间的定义是相同的，这样任何一家医院在进行外部角色的访问控制时，可以对照此OWL建立的机构间角色对应关系图来了解外部角色的定义。其角色对应关系的OWL描述如下：

通过＜owl：equivalentClass来描述Doctor与Supervisor之间彼此的角色定义是相等的。

3 系统实现

我们构建了以SOA为基础并结合RBAC的医疗服务整合搜寻平台，提供医疗机构内的需求者取得服务并分享给机构外的需求者，医疗服务不仅能达成共享的目的，还实现了访问控制机制。

图2整体架构中的AU(Authorized Unit)主要由四个子系统组成，分别是服务搜索引擎、验证服务器、服务呼叫代理以及服务注册中心，如图8所示。服务搜索引擎提供服务需求者搜寻服务的平台，可将此平台视为存放服务目录的地方。验证服务器用来验证需求者的身份以及访问权限。服务呼叫代理负责将需求者的参数封装成SOAP消息并传送至服务提供者，并完成服务的呼叫代理。服务注册中心则是让服务提供者将自己开发的服务注册到AU，以供服务需求者搜寻。我们以A医院为内部机构而B医院为外部机构的例子来说明系统的运作方式以及实现方法。本系统以Microsoft C#ASP.NET为开发平台，架设环境为Microsoft Windows Server 2003。

图8 系统实现架构

3.1 服务注册中心

UDDI除了提供服务需求者搜寻服务之外，服务的提供者可以将开发的服务注册至UDDI中，服务的相关信息就会被存储以供需求者查询。服务注册中心子系统也提供了类似的功能，只不过在标准的SOA中，UDDI提供一个集中管理的平台，但在本文的架构中由于本子系统是包含在AU中，而AU是部署在各个机构的系统架构里，因此本子系统只供本地端的提供者注册服务。我们采用同步更新服务目录的方式，一旦本地端的服务被注册，此服务的相关信息(包含机构的位址、服务的名称以及提供者的信息等)都会同步更新至合作机构的服务目录中，这样既使服务只能注册至本地端的服务注册中心，还是可以将服务的相关信息以及地址分享给其它的机构。

服务的注册除了将服务的相关信息存储至本子系统，服务的提供者还需定义其所提供服务的限制，即前面提到的角色以及事件的限制定义。

3.2 服务搜索引擎

此部分主要是提供服务需求者一个医疗服务搜寻的平台，此平台可视为是存放医疗服务目录的地方，除了存放机构内注册的服务外，其相关合作机构的目录也会同步至此平台。服务需求者可以输入服务的关键字进行搜寻，如果要找的服务存在于服务目录中，就会显示相关的服务信息(如：服务的名称、服务提供者的名称等)，并且可以进一步进行服务的调用，另外服务除了可以通过服务的名称搜寻外，还可以通过服务提供者的名称来搜寻，并提供两种筛选方式机构内(本地)服务与机构外(外部)服务，这样服务的需求者可以通过更多元的搜寻方式取得所要的服务信息。此外，为了增加需求者在搜寻上的便利性，以及考虑到需求者可能只会进行服务信息的查询，本子系统并不需要进行用户验证，任何人都可以使用服务搜索引擎，通过这样的方式来增加服务的曝光度，相对服务的利用性也会随之增加。

本子系统的服务目录来源有两个，第一个是WSDL数据库，此数据库存放扩充的WSDL文件，并通过服务注册中心来建立，因此服务搜索引擎就可以根据此WSDL数据库来建立服务的目录；第二个来源是来自于外部合作的机构，当外部机构将他们提供的服务注册至他们的服务注册中心时，就会将此服务的信息同步更新至本子系统。

3.3 验证服务器

在标准的SOA中并没有明确定义访问控制的规范，因此服务的需求者在通过UDDI取得服务的WSDL文件之后，就可以进行服务的调用，甚至不需要经过UDDI，需求者只要依照WSDL中描述的服务绑定相关规范产生对应的SOAP消息，便可直接与服务的提供者交换数据，因此在本系统才需要将验证服务器纳入AU中。

当服务的需求者在通过AU搜寻到想要存取的服务后，若要进行服务的调用必须先经过验证，系统会要求需求者登录，假设需求者目前是已登录的状态，系统就会进入授权评估阶段，评估需求者的角色是否满足扩充的WSDL中的服务限制定义，最后再将评估的结果送至服务呼叫代理。若评估的结果是合法需求者，服务呼叫代理便会替需求者进行服务的绑定，反之则会回传拒绝存取的信息给需求者。

本子系统实现的重点在于授权评估部分，登录时采用用户名密码的方式确认需求者身份以及担任角色，当需求者输入正确的账号和密码并选择适当角色后，系统便会进行授权评估的动作。评估的动作有三个阶段，第一个阶段是要确认角色的继承关系；第二个阶段则是比对角色是否符合服务限制定义中定义的角色适用范围；最后进行事件限制的审核，确认需求者是否符合预先定义的条件(如前置服务等)。其中角色继承关系来自于OWL数据库，让系统能通过语意网的方式理解角色之间的关系，进而撷取出与目标角色相关联的信息，最后进行评估与比对。除此之外，验证服务器还必须处理外部需求者的验证，由于不同机构间对于角色的定义不相同(如角色词汇的定义等)，因此需从OWL数据库撷取出角色对应信息，通过这样的方式来授权给外部的需求者。

图9为服务需求者的验证流程图，当需求者搜寻到所需服务后，若要进行服务调用就要由系统判断是否为内部服务，假设不是内部服务就会传送需求者登录的相关信息(角色或机构名称等)给外部机构的AU进行相关验证以及授权评估，反之则是由内部机构的AU来进行验证授权的动作，待需求者的请求被授权后就会调用服务。

3.4 服务呼叫代理

前面提到服务的绑定是通过WSDL文件产生SOAP消息，并传送给服务的提供者，以此完成服务的绑定，而需求者与提供者之间的互动必须通过Proxy担任中介的角色，此Proxy会解析WSDL文件内容，了解服务的信息以及调用方式，待需求者将服务所需参数提交后，把这些参数封装成SOAP消息并通过RPC程序传送至提供者端，而SOAP消息本身就是XML文件，所以它可以通过任何可以传送文字的传输协议来传递，最后再等待提供者回传的SOAP消息，并由Proxy解析，当然提供者端也会接收并解析这些SOAP消息，然后进行必要的运算，最后也是将结果以SOAP消息回传。另外，考虑到需求者如果取得WSDL文件后，可以通过.NET Framework提供的一组公用程序WSDL.exe或其它的方式来产生Proxy，因而跳过AU的验证服务器与服务呼叫代理来绑定服务，所以本系统会隐藏WSDL文件来确保需求者不会取得服务的描述定义，让需求者在每一次服务的绑定时，都要先经过需求者的身分验证，接着由服务呼叫代理来绑定服务。

4 小结

本文提出一个SOA架构下的应用于医疗服务产业访问控制模型，首先我们通过此模型中的AU来管理机构内外部服务的搜寻与绑定，接着再将医疗服务的存取限制定义在网络服务描述语言WSDL文件中，这样AU即可根据此定义授予服务需求者存取服务的权力，且服务需求者不仅能通过WSDL文件得知服务的绑定(调用)外，还能了解服务的存取限制。最后，利用OWL来定义不同机构间角色权力的对应关系，此方法有助于了解医疗机构外角色的定义并对其进行服务的访问控制。

本文的架构可以适用于不同的分布式系统，例如,医疗机构、企业以及学术单位的信息系统，未来我们将针对访问控制的机制做更细致的规范，例如,在WSDL中增加其它的属性与限制，如特定事件以及事件的先后顺序关系等，让此访问控制模型在SOA架构中更加细致。

图9 服务需求者的验证流程图

[1]Meir A,Rubinsky B.Distributed Network,Wireless and Cloud Computing Enabled 3-D Ultrasound;a New MedicalTechnology Paradigm[J].PlosOne, 2009,4(4)：380-380.

[2]Broy M,Ger I H,Meisinger M.A formal model of services[J].Acm Transactions on Software Engineering &Methodology,2007,16(1)：1-39.

[3]Reinhold H.Health information systems-past,present,future[J].International Journal of Medical Informatics,2006,75(3-4)：268-281.

[4]Spang A.The Role of Service Oriented Architecture in Telemedicine Healthcare System[C]//Complex,Intelligent and Software Intensive Systems,2009.CISIS'09. International Conference on.IEEE,2009：208-214.

[5]Zhang X G,Li J S,Zhou T S,et al.Design and implementation of Interoperable Medical Information System based on SOA[C]//IEEE International Symposium on It in Medicine&Education.2009：1074-1078.

[6]Kart F,Moser L E,Melliar-Smith P M.Building a Distributed E-Healthcare System Using SOA[J].It Professional,2008,10(2)：24-30.

[7]张贝贝,李成伟,张 方.基于SOA架构的医疗服务管理平台的设计与实现[J].中国医疗设备,2016(1)：102-104.

[8]孙万驹,何安勇,朱海燕.SOA技术在区域医疗机构信息共享中的应用研究[J].计算机应用与软件, 2013,30(7)：255-258.

[9]Axel Buecker,Paul Ashley,Martin Borrett,et al.Understanding soa security design and implementation [C]//IBM Corp.2007.

[10]Zou D,He L,Jin H,et al.CRBAC：Imposing multigrained constraints on the RBAC model in the multiapplication environment[J].Journal of Network& ComputerApplications,2009,32(2)：402-411.

[11]Sassoon R.Security in SOA-Based Healthcare Systems [J].Institutt for Telematikk,2009.

[12]Yamany H F E,Capretz M A M,Allison D S.Intelligent security and access control framework for serviceoriented architecture[J].Information&Software Technology,2010,52(2)：220-236.

An inter-organizational access control model based on constraints and roles in SOA

WU Ling,YANG Jia-gui,CHEN Jin-song,WANG Hao
(School of Management Science and Engineering,Anhui University of Finance&Economics,Bengbu Anhui233030,China)

Nowadays,the information system of the medical industry faces many challenges,such as the heterogeneity of the platform,the tight coupling between services and the lack of reuse.In recent years,the industry put forward the SOA architecture to build and organize medical services to improve the current plight of the medical information system.Aiming at the problem of lack of access control in the standard SOA,this paper discusses the security requirements of the application of SOA architecture in the medical service industry and the access control of the shared services among different medical institutions.An access control model based on RBAC and extended WSDL in medical field is proposed under the SOA architecture.The model provides a new solution for inter-organization access control mechanism.

access control;inter-organization;RBAC;medical field;SOA

TP391

：A

：1004-4329（2016）04-083-10

10.14096/j.cnki.cn34-1069/n/1004-4329(2016)04-083-10

2016-09-15

安徽省高等学校省级自然科学研究重点项目（KJ2015A106)；安徽财经大学校级教研项目（acjyyb2016098）；安徽财经大学校级教研项目（acjyyb2016096）资助。

武 凌（1977- ），男，硕士，副教授，研究方向：计算机网络和大数据。