基于风险和UCON访问控制模型的医疗数据系统

基于风险和ucon访问控制模型的医疗数据系统
技术领域
1.本发明涉及一种基于风险和ucon访问控制模型的医疗数据系统。


背景技术：

2.健康医疗大数据是我国医疗卫生行业比较重要的战略资源，但是医生在访问医疗数据的过程中访问自己工作无关的数据造成医疗数据内部泄露的风险。
3.医疗大数据是指人们在疾病防治、健康管理等过程中产生的与健康医疗相关的数据；它是大数据的一种。医疗大数据具有大数据4个“v”的特征，即：规模大、速度快、种类多和价值。医疗大数据具有较高的价值，容易引起数据泄露。医疗信息的泄露一部分来自于黑客利用医疗信息系统的安全漏洞进行攻击，还有一部分来自于医院工作人员的工作权限授予不合理造成数据访问过度。泄露的医疗记录中包括详细的个人信息和医疗细节，这些数据如果被不法之徒所利用，会对患者造成极大的困扰。医疗隐私信息泄露造成患者隐私保护困难，导致医疗大数据的利用率并不高。目前，医疗大数据的隐私保护问题已经成为急需解决的问题。
4.为了解决内部人员的过度授权造成隐私数据泄露，已有学者提出了多种访问控制模型，使访问主体在合法的授权范围内使用客体资源。自主访问控制、强制访问控制和基于角色的访问控制等传统的访问控制具有静态、明确访问授权的特点，不能很好地适应大数据场景下的动态性和实时性的特点；如果采用传统的访问控制对所有访问主体进行分别授权，信息系统的管理人员在完成日常工作的同时，要细化权限范围分别授权。这种方法不能适应大数据环境下实时性和动态性的特点，也会导致管理人员工作繁重。


技术实现要素：

5.针对现有技术中存在的缺陷，本发明将风险和属性可变、决策连续的ucon访问控制模型相结合，提出基于风险和ucon的访问控制模型(rq-ucon模型)，在ucon模型的基础上添加风险量化组件(risk quantification component，rq)，通过风险量化组件量化主体访问过程中可能造成信息泄露的风险，并将风险值作为主体的属性实现属性可变，同时将主体细分为访问主体和生产主体。ucon模型的属性更新分为访问前更新、访问期间更新和访问后更新，本发明根据历史记录得出的风险值来预测此次访问的风险值，故需要采取访问前更新的方式。
6.本发明提出了一种基于风险和ucon访问控制模型的医疗数据系统，根据医生的历史访问行为量化医生的风险值，通过历史记录计算出的风险值来实时更新医生此次访问的风险值，通过从凝聚层次聚类来计算出医生各个操作行为的风险区间，通过此次医生访问的风险值与操作行为的风险区间相匹配，授予医生相应的操作权限。通过最后的实验可知，本发明提出的访问控制模型对医生的过度访问行为具有一定的控制，对医疗大数据的隐私泄露具有一定的限制作用。
7.为了实现上述目的，本发明所述的基于风险和ucon访问控制模型的医疗数据系统
包括以下工作步骤：
8.①
医生作为访问主体sa向his系统发起访问客体o的请求；
9.②
his系统判断sa是否是紧急访问，若sa为紧急访问，rq-ucon模型的授权模块d授予sa全部访问权限；
10.③
若sa不是紧急访问，rq-ucon模型的rq组件将进行风险值计算以及权限p和条件c确定，并将计算的风险值rt+1的实时更新在att-s中；
11.④
rq-ucon模型根据sa的att-s中的风险值rt+1与条件c进行匹配，若匹配成功，授权模块d授予sa相应的权限p；匹配失败，授权模块d将拒绝sa的此次访问；最后将访问结果反馈给sa；
12.其中系统变量的定义如下：
13.rq-ucon模型：基于风险和ucon的访问控制模型；
14.主体s分为生产主体sp和访问主体sa，生产主体包含：医院内部数据生产者、病患；访问主体包含：医院内部医护人员、病患、普通大众；
15.主体属性att-s：常规属性包括医生的职责、医生所属科室、医生编号；可变属性为主体风险值；
16.客体o：医疗大数据，包括患者个人信息、检查记录、患者电子病历、医疗研究数据；
17.客体属性att-o：患者所属科室、患病类别、保密级别、入院时间；
18.权限p：主体对客体资源进行操作的权利，包括：访问主体sa对客体o的添加、查看、修改、删除；
19.授权d：采用预先授权的方法，根据访问主体sa的角色赋予访问权限，之后根据访问主体sa风险值rt+1动态调整授权范围p；
20.义务b：访问主体sa获得访问权限后需要对客体完成的义务；
21.条件c：访问主体sa发出访问请求时需要满足的条件，包括：访问主体sa的风险值rt+1是否在允许访问的风险区间内，访问时间是否在上班时间内；风险区间划分采用凝聚层次聚类；
22.风险量化组件rq：根据风险量化组件对访问主体sa访问请求行为进行量化，量化结果会更新主体属性att-s。
23.进一步的，所述rq-ucon模型包括四个功能模块：
24.①
风险量化模块：当用户发送访问请求时，风险量化模块通过医生的工作目标、操作行为、访问时间和访问信息的敏感度进行医生行为可能造成的直接风险进行计算；同时通过整个科室对于同一工作目标的历史访问记录进行计算整个科室医生访问行为可能造成的间接风险进行计算，并通过变异系数法求出相应的权重，计算医生历史访问记录可能造成的风险值rt+1；
25.②
医生聚类模块：根据医生历史访问记录求出的风险值采用凝聚层次聚类算法将医生聚为四类，并得到四类医生对应的风险值区间；
26.③
主体属性更新模块：根据医生历史访问记录求出的风险值采用指数加权移动平均ewma算法来预测医生此次访问的风险值，并更新医生的风险值；
27.④
访问控制策略模块：根据医生此次访问的风险值与四类医生对应风险值区间，进行访问控制策略的制定。
28.与现有技术相比，本发明具有如下的有益效果：
29.通过对访问主体的历史访问行为计算风险值来实现动态调整访问主体访问权限的隐私保护，本发明提出了一个基于凝聚层次聚类的风险自适应访问控制模型，根据医生的历史访问行为分别计算直接风险和间接风险，并采用变异系数法计算总风险值，计算出的风险值使用指数加权移动平均算法(exponentially weighted moving average,ewma)来预测医生此次访问的风险值，通过凝聚层次聚类对整个科室医生的风险值进行聚类得出医生各个操作行为的风险区间，通过此次医生访问的风险值与操作行为的风险区间相匹配，授予医生相应的访问操作权限。
30.(1)在医疗大数据的环境下使用风险和ucon相结合的访问控制模型实现医数据的隐私保护。
31.(2)在风险量化阶段将风险量化分为直接风险量化和间接风险量化，提高风险量化的准确性。
32.(3)用户聚类阶段引入凝聚层次聚类算法把医生聚成四类，并对应类型医生的风险区间作为ucon模型中的条件出现。
附图说明：
33.图1为：本发明rq-ucon模型框架图；
34.图2为：本发明访问控制策略框架图
具体实施方式
35.下面结合具体实施方式对本发明做进一步详细描述。
36.本发明所述的基于风险和ucon访问控制模型的医疗数据系统包括以下工作步骤：
37.⑤
医生作为访问主体sa向his系统发起访问客体o的请求；
38.⑥
his系统判断sa是否是紧急访问，若sa为紧急访问，rq-ucon模型的授权模块d授予sa全部访问权限；
39.⑦
若sa不是紧急访问，rq-ucon模型的rq组件将进行风险值计算以及权限p和条件c确定，并将计算的风险值rt+1的实时更新在att-s中；
40.rq-ucon模型根据sa的att-s中的风险值rt+1与条件c进行匹配，若匹配成功，授权模块d授予sa相应的权限p；匹配失败，授权模块d将拒绝sa的此次访问；最后将访问结果反馈给sa；
41.基于rq-ucon模型包括四个主要功能模块，分别是：
42.(1)风险量化模块：当用户发送访问请求时，风险量化模块通过医生的工作目标、操作行为、访问时间和访问信息的敏感度进行医生行为可能造成的风险值(下称“直接风险”)进行计算；同时通过整个科室对于同一工作目标的历史访问记录进行计算整个科室医生访问行为可能造成的风险值(下称“间接风险”)进行计算，并通过变异系数法求出相应的权重，计算医生历史访问记录可能造成的风险值。
43.(2)医生聚类模块：根据医生历史访问记录求出的风险值采用凝聚层次聚类算法将医生聚为四类，并得到四类医生对应的风险值区间。
44.(3)主体属性更新模块：根据医生历史访问记录求出的风险值采用指数加权移动
平均(exponentially weighted moving average,ewma)算法来预测医生此次访问的风险值，并更新医生的风险值。
45.(4)访问控制策略模块：根据医生此次访问的风险值与四类医生对应风险值区间，进行访问控制策略的制定。
46.一、风险量化模块：当医生在患者诊疗过程中，可能需要访问其他患者的电子病历(electronicmedicalrecord，emr)来帮助医生确定患者的病症，医生访问其他患者的emr的过程可能会造成其他患者的隐私泄露。因此，在医生进行访问其他患者emr之前，风险量化模型通过医生和整个科室前一个月的历史访问计算，计算出医生历史访问中可能造成患者信息泄露的风险值。
47.本发明为避免只考虑医生自己访问行为可能造成患者信息泄露风险的不准确性，将医生的风险划分为直接风险和间接风险两部分。直接风险根据医生本身的访问行为计算所得，反映医生自己的访问是否属于正常访问的范围；同时本发明引入间接风险，间接风险是根据整个科室中医生这一角色的权限所获得的风险值的平均所得到，通过直接风险和间接风险加权平均从而得到当前医生根据历史记录的风险值，避免医生因为多次紧急访问其他科室的医疗记录导致风险值偏高，无法正常进行日常工作。
48.1.1直接风险
49.(1)确定直接风险影响因素。分析医生直接风险的影响因素时，主要是医生的历史访问行为，医生的操作行为、医生的访问时间以及病人信息的敏感度。本发明将四个因素作为计算医生访问控制风险的影响因素，构建风险因素集u＝{u1，u2，u3，u4}。由于医生对病历的操作行为可以分为查看、复制、新增和删除，所以第一级评价因素u2可以分为u2＝{u
21
，u
22
，u
23
，u
24
}。医生的访问时间可以分为上班时间、下班时间和紧急时间，所以第一级评价因素u3可以分为u3＝{u
31
，u
32
，u
33
}。病人信息的敏感程度可以根据病人的影响力和所患病的类型分为绝密、私密和普通，所以第一级评价因素u4可以分为u4＝{u
41
，u
42
，u
42
}。其中u＝u1∪u2∪u3∪u4，并且，并且i，j＝1，2，3，4。
50.(2)确定直接风险权重集。在进行医生的直接风险量化时不同的风险影响因素对医生风险的影响程度不同，本发明采用变异系数权重法为不同的风险因素赋予不同的权重。首先根据整个科室医生的数量m和4个影响医生风险的因素构建原始指标数据矩阵：
[0051][0052]
其中x
ij
表示第i位医生的第j个风险评价因素的数值。
[0053]
通过公式1：
[0054]
和公式2：
[0055]
计算第j个风险评价因素的均值和标准差。再使用计算出的均值和标准差通过公式3：计算相应的变异系数。
[0056]
对变异系数进行归一化处理，进而得到各个风险影响因素的权重，最终经过计算得到最终的权重λ＝{λ1，λ2，λ3，λ4}；
[0057]
其中：
[0058]
(3)计算各个风险因素的风险值，并计算医生的直接风险。直接风险主要是医生的历史访问行为、医生的操作行为、医生的访问时间以及病人信息的敏感度四类风险值四部分组成。
[0059]
首先计算医生历史访问行为的风险值。将医生为某一工作目标进行访问的电子病历的中的icd编码根据编码规则抽象成为一个7*26的矩阵，例如b01.901(水痘)抽象为矩阵q，矩阵的第一列代表编码的第一个字母b，依次类推矩阵的每一列对应icd编码的每一位，得到了水痘的矩阵q：
[0060][0061]
故医生i为某一工作目标q访问的n条记录可以抽象为n个矩阵：整个科室的m位医生为工作目标q访问的所有病历可以抽象为q＝[q1、q2、
…
、qm]。
[0062]
抽象出的矩阵通过欧几里德距离计算出医生i的工作目标q与访问行为之间的偏离度、整个科室每个医生在工作目标q下与访问行为的偏离度以及医生在此工作目标下的访问行为与此科室医生访问行为的偏离度。
[0063]
欧几里德距离在二维空间上表示点(x2，y2)与点(x1，y1)之间的距离，|x|表示原点到点(x2，y2)的欧氏距离，计算公式5为：
[0064][0065]
记是矩阵的第j行，记qk是矩阵q的第k行，计算与之间的偏离度dev[j][k]：
[0066][0067]
然后再将偏离度dev[j][k]公式推广到矩阵的第i行的计算公式，最后将偏离度dev[j][k]公式推广到整个矩阵计算矩阵和矩阵q的偏离度dev。
[0068][0069]
根据偏离度dev计算公式，计算出医生i的某一工作目标k与访问行为之间的偏离度整个科室每个医生在工作目标k与访问行为的偏离度以及医生i在工作目标k下的访问行为与此科室医生访问行为的偏离度
[0070]
故医生i在某段时间内所有的工作目标与访问行为的偏离度为医生本身工作目标与访问行为之间的偏离度和医生在工作目标下的访问行为与此科室医生访问行为的偏离度的加权平均。此时的偏离度devi为医生i根据历史访问行为所计算出来的风险值r
i1
。即r
i1
＝devi。
[0071][0072]
医生对病历的操作行为主要包括查看患者病历、复制电子病历、新增诊疗记录和删除相关操作四种类型，医生通过工作目标对自己之前的医疗记录或其他医生的医疗记录的查看、复制、新增和删除都有可能导致病人的隐私泄露。但是医生复制、新增和删除其他医生主管病人的医疗记录产生风险概率比新增自己病人医疗记录产生风险的概率更大，因此医生对医疗记录的操作行为的风险用医生复制、新增和删除其他医生医疗记录的次数与医生复制、新增和删除医疗记录的总次数之间的比例来表示。
[0073][0074]
其中表示医生i复制其他医生医疗记录的次数，表示医生i新增其他医生医疗记录的次数，表示医生i删除其他医生医疗记录的次数；表示医生i复制医疗记录的总次数，表示医生i新增医疗记录的总次数，表示医生i删除医疗记录的总次数。
[0075]
医生的访问时间可以分为上班时间、下班时间和紧急时间，所以第一级评价因素u3可以分为u3＝{u
31
，u
32
，u
33
}。病人信息的敏感程度可以根据病人的影响力和所患病的类型分为绝密、私密和普通，所以第一级评价因素u4可以分为u4＝{u
41
，u
42
，u
43
}。
[0076]
医生的访问时间可以分为上班时间、下班时间和紧急时间，医生在下班时间进行的访问行为很大程度上会造成病人隐私泄露的风险，因此医生对访问时间的风险用医生下班时间访问病人资料的次数与医生复上班时间、下班时间和紧急时间访问病人资料的次数的比例来表示。
[0077][0078]
其中表示医生i下班时间访问病人资料的次数，表示医生i在上班时间访问病人资料的次数，表示医生i在紧急情况下访问病人资料
的次数。
[0079]
同理医生访问病人信息的敏感程度可能导致的病人隐私泄露的风险可以通过医生访问的病人信息敏感程度在绝密和私密的数量占医生访问所有的病人信息的比例进行计算。
[0080][0081]
其中和表示医生i访问绝密和私密的病人信息的次数，表示医生i访问普通的病人信息的次数。
[0082]
(4)计算直接风险。通过已经计算出来的各个风险因素的风险值r＝{r
i1
，r
i2
，r
i3
，r
i4
}以及变异系数权重法求出的权重λ＝{λ1，λ2，λ3，λ4}，计算医生i的直接风险rd。
[0083]
rd＝λ1*r
i1
+λ2*r
i2
+λ3*r
i3
+λ4*r
i4
[0084]
1.2间接风险
[0085]
如果把根据医生的历史访问行为所计算出来的直接风险作为医生风险值缺乏一定的准确性，并且医生的突发情况可能会导致某些医生的风险值高于他的正常工作产生的风险值，所以引入间接风险这一概念来调节医生的风险值。间接风险的风险值由整个科室全体医生工作目标与访问记录之间的偏离度计算而得，即：
[0086]
因此医生的风险值为医生的直接风险和间接风险的风险值的加权平均和，此时根据医生的历史访问记录计算出医生的风险值，并根据rq-ucon模型将风险值存入主体属性中，其中，rd为直接风险，r
id
为间接风险，ξ为权重参数，即：r＝ξ*rd+(1-ξ)*r
id
；
[0087]
二、医生聚类模块
[0088]
医生访问his系统的操作行为主要是查看患者病历、复制电子病历、新增诊疗记录和删除相关操作，本发明根据科室中医生历史访问记录计算出的风险值使用凝聚层次聚类的方法为此科室医生的四种操作行为划分相应的风险值区间，当医生此次的风险值不在操作行为的风险区间时，his系统不为医生授权此操作权限，在一定程度上保护了病人的隐私。
[0089]
根据自底向上的凝聚层次聚类方法，首先将每一个每个医生风险值的点看作一个聚类，然后计算每个聚类之间的距离，将距离最近或者最相似的两个聚类进行合并。凝聚层次聚类详细算法过程如下：
[0090]
输入：某科室医生访问的风险值构成的样本集{r1，r2，......，rn}，选择类簇距离度量函数dist，给定类簇的个数4。
[0091]
算法过程：每个医生属于单独的一类，即di＝{ri}；
[0092]
1)计算医生与医生之间的距离，用矩阵m表示，其中m
ij
＝dist(di，dj)；
[0093]
2)当前类簇数q＝n，开始将簇合并聚类；
[0094]
3)循环while(q＞k)；
[0095]
a.找出距离最近的两个簇di和cj，令di＝di∪dj；
[0096]
b.将di后面的簇的编号向前移动一位
[0097]
c.删除矩阵m
ij
＝dist(di，dj)的第j行和j列
ucon模型根据访问策略库强制性的访问主体根据访问控制策略进行相关工作。为了更好控制rq-ucon模型的访问授权，本发明将用户的访问场景分为正常访问，紧急访问两种类型。
[0114]
正常访问：此场景为正常访问场景，访问主体为访问his系统的资源，拥有合法的身份权限以及允许访问的风险值。
[0115]
紧急访问：在此访问场景下，his系统对访问主体的访问权限拥有更高的容忍度，在紧急情况下，his系统会授予访问主体最高的访问权限并将此次访问进行记录，避免由于his系统的访问权限导致耽误患者治疗。
[0116]
此访问控制策略框架图实现根据访问主体访问的风险值对医生的访问请求进行控制，在一定程度上限制了访问主体的过度访问，对患者信息具有一定的保护作用。
[0117]
以上所述，仅为本发明部分具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本领域的人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。