面向醫(yī)療大數(shù)據(jù)基于零信任的UCON訪問控制模型

石秀金，張夢娜

(東華大學(xué) 計算機科學(xué)與技術(shù)學(xué)院，上海201620)

0 引 言

隨著“互聯(lián)網(wǎng)+醫(yī)療”的快速發(fā)展，人們可以通過移動終端便捷獲取各類醫(yī)療相關(guān)資源，網(wǎng)上掛號、在線問診等功能讓人們足不出戶便可享受豐富的醫(yī)療資源。2018年9月，國家衛(wèi)健委發(fā)布了《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務(wù)管理辦法（試行）》［1］，對于醫(yī)療大數(shù)據(jù)的開放共享機制提出了明確的要求。近年來，在醫(yī)療數(shù)據(jù)的產(chǎn)生端和管理端，醫(yī)療大數(shù)據(jù)的快速增長和共享過程中，醫(yī)療大數(shù)據(jù)安全問題如數(shù)據(jù)的泄露、設(shè)備的攻擊等時有發(fā)生，給患者隱私造成了很大的隱患［2］。傳統(tǒng)的仿問控制模型，通常以靜態(tài)的訪問控制策略授予訪問權(quán)限，已經(jīng)難以適應(yīng)于醫(yī)療大數(shù)據(jù)的安全性需求［3］。

隨著醫(yī)療大數(shù)據(jù)共享的普遍化，人為因素占據(jù)著安全問題的重要部分，支持動態(tài)連續(xù)的訪問控制技術(shù)越來越受重視。作為新一代訪問控制模型UCON（Usage Control）模型，以模型族UCONABC囊括了傳統(tǒng)的訪問控制模型功能，并且借助獨有的“義務(wù)”、“條件”組件為訪問控制模型增添了“連續(xù)性”和“可變性”特征［4］，將更好地適應(yīng)于云計算大數(shù)據(jù)環(huán)境下的安全性需求。但UCON的本質(zhì)是基于主客體屬性匹配外，加“義務(wù)”執(zhí)行和“條件”滿足來進行訪問權(quán)限的控制，易出現(xiàn)兩種極端情況:一是過度授權(quán)，給主體開放職責(zé)以外的資源訪問權(quán)限，安全隱患增多；二是授權(quán)不足，當(dāng)訪問策略過于嚴苛?xí)r，會影響主體正常的與職責(zé)相關(guān)的訪問請求執(zhí)行，使得工作效率降低［5］。針對上述情況，引入零信任中最小權(quán)限的設(shè)定，外加信任評分引擎，綜合決定訪問權(quán)限授予的思想［6］，將信任值作為主體的重要屬性，全程參與訪問控制決策過程，動態(tài)合理地調(diào)控訪問權(quán)限的授權(quán)。因此，結(jié)合醫(yī)療大數(shù)據(jù)訪問控制的安全性需求，將零信任思想與UCON模型相結(jié)合，設(shè)計更加適用于醫(yī)療大數(shù)據(jù)共享的訪問控制模型和策略。

1 面向醫(yī)療大數(shù)據(jù)的訪問控制分析

1.1 主體關(guān)系

傳統(tǒng)的訪問控制模型主要由3個基本元素組成，即主體、客體、權(quán)限［7］。對于醫(yī)療大數(shù)據(jù)來說，主體可以劃分成生產(chǎn)主體和消費主體。生產(chǎn)主體指的是醫(yī)療數(shù)據(jù)的產(chǎn)生機構(gòu)，是該數(shù)據(jù)的所有者，通常醫(yī)療數(shù)據(jù)的共享需要得到生產(chǎn)主體的許可。消費主體是對各類醫(yī)療資源發(fā)起訪問請求的主體，生產(chǎn)主體可以同時是消費主體。隨著醫(yī)療大數(shù)據(jù)的共享需求的日益增長，醫(yī)療機構(gòu)除本機構(gòu)內(nèi)部的正常訪問需求，機構(gòu)外的消費主體訪問需求變得更為廣泛。因此，在控制權(quán)限的過度授予和授權(quán)不足2種極端情況發(fā)生中，需要滿足醫(yī)療大數(shù)據(jù)的適當(dāng)性共享。

1.2 問題分析

“互聯(lián)網(wǎng)+醫(yī)療”的不斷發(fā)展，醫(yī)療數(shù)據(jù)服務(wù)逐漸從“醫(yī)療信息化”向“醫(yī)聯(lián)體”、“醫(yī)共體”方向擴展。醫(yī)療大數(shù)據(jù)的共享為這一過程提供了重要的支撐。大數(shù)據(jù)背景下，數(shù)據(jù)共享需求不斷加深，醫(yī)療大數(shù)據(jù)資源既需要充分的共享，同時也需要進行強有力的保護。因此，通過有效的醫(yī)療大數(shù)據(jù)訪問控制，保障數(shù)據(jù)安全成為現(xiàn)實的需要。從數(shù)據(jù)的保密性來看，醫(yī)療大數(shù)據(jù)可以劃分為“公開、有條件共享、不予共享”3類［1］。此時訪問控制的作用便是有效執(zhí)行對“有條件共享”資源的安全性保障。從UCONABC模型族提供的功能來看，面向醫(yī)療大數(shù)據(jù)的授權(quán)訪問更適宜采用預(yù)先決策、預(yù)先執(zhí)行義務(wù)以及預(yù)先滿足條件的授權(quán)方式，以及需滿足屬性值的動態(tài)變化，以實現(xiàn)動態(tài)連續(xù)的訪問控制。

傳統(tǒng)的醫(yī)療數(shù)據(jù)的有條件共享，通常位于醫(yī)療機構(gòu)內(nèi)部，采用基于角色的訪問控制方式［8］。此方式中的授權(quán)行為是靜態(tài)的，即主體擁有對于某些資源的訪問權(quán)限后，在未出現(xiàn)安全事故的情況下，通常不做改變，這給醫(yī)療數(shù)據(jù)埋下了安全隱患。對于同時存在醫(yī)療機構(gòu)內(nèi)外的數(shù)據(jù)共享情況，傳統(tǒng)的訪問控制方法更是無法預(yù)判在已有的訪問策略下，允許的訪問請求會造成多大的數(shù)據(jù)安全威脅，故支持訪問主體屬性可變，且動態(tài)連續(xù)的訪問控制在醫(yī)療大數(shù)據(jù)的共享需求中顯得格外重要。

2 面向醫(yī)療大數(shù)據(jù)的訪問控制模型

由上述分析可知，面向醫(yī)療大數(shù)據(jù)的訪問控制模型需要具備以下特性:

（1）支持醫(yī)療大數(shù)據(jù)訪問主體的屬性可變。當(dāng)訪問主體的歷史訪問行為中，存在惡意行為或者訪問主體本次的訪問請求風(fēng)險較大時，模型需支持訪問主體標識的改變以及信任值的改變，為后續(xù)訪問行為的信任評估提供參考。

（2）支持動態(tài)且連續(xù)的訪問控制。對于訪問主體提出的訪問請求，進行連續(xù)的審核，根據(jù)信任值的變化，實現(xiàn)連續(xù)可變的權(quán)限授予。

（3）支持醫(yī)療大數(shù)據(jù)的跨域共享。允許醫(yī)療機構(gòu)外的組織在滿足訪問控制條件下，訪問該機構(gòu)醫(yī)療數(shù)據(jù)，以進行遠程醫(yī)療、病癥研究等工作。

2.1 UCON模型的基本原理

使用控制模型（Usage Control，UCON）由Park和Sandhu通過整合傳統(tǒng)訪問控制、數(shù)字權(quán)限管理和信任管理而提出的一個通用模型，被稱為下一代訪問控制模型［9］。模型總共由6個元素組成，3個基本元素分別是主體、客體和權(quán)限；3個拓展元素分別為授權(quán)、義務(wù)和條件［10］。UCON模型整體結(jié)構(gòu)如圖1所示。

圖1 UCON模型Fig.1 Usage control model

相較于傳統(tǒng)的訪問控制模型，如自主訪問控制模型（Discretionary Access Control，DAC）、強制訪問控制模型（Mandatory Access Control，MAC）以及基于角色的訪問控制模型（Role-Based Access Control，RBAC）等，UCON具有連續(xù)性和屬性可變性兩大特性。其中，連續(xù)性可通過模型中拓展元素的pre決策和ongoing決策方式（其中pre代表只考慮預(yù)定義的決策因素，ongoing代表訪問過程中保持訪問決策）實現(xiàn)；屬性可變性體現(xiàn)在拓展元素執(zhí)行前后屬性的變化狀態(tài)決定。由連續(xù)性和屬性可變性的滿足情況，可將UCON發(fā)展成為一個模型族，被稱為UCONABC模型族［4］。傳統(tǒng)的訪問控制模型均可由模型族中的UCONpreA0表示，即采用預(yù)先授權(quán)決策模式，并且不支持屬性可變。故當(dāng)面臨具有分布性、社會性特征的云計算環(huán)境時，傳統(tǒng)的訪問控制便無法提供動態(tài)連續(xù)的訪問控制服務(wù)，而基于UCON模型研究的訪問控制技術(shù)則更適用于該訪問控制需求。

2.2 面向醫(yī)療大數(shù)據(jù)的訪問控制模型構(gòu)建

2.2.1 基于零信任的UCON模型改進

近年來，隨著互聯(lián)網(wǎng)的發(fā)展，網(wǎng)絡(luò)安全事件頻頻發(fā)生，原有的概念“數(shù)據(jù)中心內(nèi)部的系統(tǒng)和網(wǎng)絡(luò)流量是可信的”這一假設(shè)是不可取的。零信任網(wǎng)絡(luò)的概念建立在以下5個基本假定之上［11］:

（1）網(wǎng)絡(luò)環(huán)境一直存在著各類威脅因素；

（2）網(wǎng)絡(luò)環(huán)境中的威脅不僅僅來自于外部，甚至內(nèi)部威脅造成的危害更大；

（3）傳統(tǒng)基于IP地址的位置信息條件，不足以認定該訪問請求的安全；

（4）傳統(tǒng)的聚焦于訪問主體身份的認證，不足以認定該訪問請求安全，即訪問主體所使用的設(shè)備、所處的真實地理位置等也需作為認證條件；

（5）訪問控制策略的評判依據(jù)，需根據(jù)實際應(yīng)用場景，詳細列舉影響因子，設(shè)定各影響因子比重，實現(xiàn)個性化、動態(tài)化策略制定。

基于零信任的UCON模型ZT-UCON模型如圖2所示。ZT-UCON在原有的UCON模型基礎(chǔ)上添加了信任評估組件，將原有主體細分為生產(chǎn)主體和消費主題；將原有只和系統(tǒng)有關(guān)的條件，拓展為主體條件和全局條件。其中全局條件對應(yīng)于原有UCON模型中的條件。

圖2 ZT-UCON模型Fig.2 ZT-UCON model

2.2.2 面向醫(yī)療大數(shù)據(jù)的ZT-UCON訪問控制決策

ZT-UCON訪問控制決策在連續(xù)性方面有預(yù)先決策和持續(xù)決策。在授權(quán)執(zhí)行訪問請求時，屬性可變性方面有:屬性不可變、執(zhí)行前屬性可變，執(zhí)行中屬性可變，執(zhí)行后屬性可變。

下面從ZT-UCON模型的各個組件考慮面向醫(yī)療大數(shù)據(jù)的訪問控制決策。

定義：

（1）主體S分為生產(chǎn)主體SP:醫(yī)院A內(nèi)部數(shù)據(jù)擁有者、病患等；消費主體SC:醫(yī)院A內(nèi)外部醫(yī)護人員、病患、普通大眾等；

（2）主體屬性ATT（S）:常規(guī)屬性包括醫(yī)生的職責(zé)、病患所屬病種等?？勺儗傩园ㄖ黧w的信任值。采用執(zhí)行后可改變方式；

（3）客體O:各類醫(yī)療大數(shù)據(jù)，其中包括病患個人信息、病患診療記錄、醫(yī)學(xué)研究數(shù)據(jù)等；

（4）客體屬性ATT（O）:常規(guī)屬性包括數(shù)據(jù)病種類別、所屬的科室、保密級別等。通常屬性不可變；

（5）權(quán)限P:主體S對客體O的查看、變更和下載操作。如主治醫(yī)生對病人的病歷進行查詢、添加診療記錄操作等；

（6）授權(quán)A:授權(quán)規(guī)則中劃分的權(quán)限有兩部分來源，一是醫(yī)療系統(tǒng)管理員預(yù)先制訂的訪問規(guī)則，滿足最小權(quán)限要求；二是在主體S因工作需要主動申請并被管理員批準的權(quán)限。采用預(yù)先決策方式，不滿足授權(quán)規(guī)則的訪問請求，會造成主體當(dāng)前訪問請求信任值的改變，故綜合采用pre A1；

（7）義務(wù)B:消費主體SC對各類醫(yī)療大數(shù)據(jù)的訪問需完成義務(wù)“經(jīng)由生產(chǎn)主體SP許可”。采用預(yù)先決策方式，但不引起主客體屬性變化，故綜合采用pre B0；

（8）條件C包括主體條件CS:訪問請求時主體的訪問地址要求、設(shè)備安全要求、訪問數(shù)據(jù)請求量要求等，采用持續(xù)決策方式，并且會影響主體當(dāng)前訪問信任值的變化，綜合采用on CS1；全局條件CA:包括系統(tǒng)訪問時間、訪問并發(fā)量等，采用持續(xù)決策方式，但不影響主客體屬性變化，故綜合采用on CA0；

（9）信任評估組件ET:根據(jù)信任評估組件對當(dāng)前主體訪問請求行為進行評估，參與訪問控制決策過程，評估結(jié)果會更新主客體信任值屬性，綜合采用on ET3。

由上述分析可得，面向醫(yī)療大數(shù)據(jù)的訪問控制決策宜采用ZT-UCONpreA1preB0onCS1onCA0onET3。 該模型由5個 子 模 型 組 成，分 別 為ZT-UCONpreA1、ZT-UCONpreB0、ZT-UCONonCS1、ZT-UCONonCA0以及ZT-UCONonET3，具體可形式化描述為:

（1）ZT-UCONpreA1

-S、O、PATT(S)、ATT(O)、preA分別為主體、客體、權(quán)限、主體屬性、客體屬性，以及預(yù)先授權(quán)決策；

可根據(jù)實際預(yù)授權(quán)決策結(jié)果更新主客體屬性。

（2）ZT-UCONpreB0

-S、O、P、ATT(S)、ATT(O)同ZT-UCONpreA1；

-OBS、OBO、OB分別是義務(wù)關(guān)聯(lián)主體、義務(wù)關(guān)聯(lián)客體和義務(wù)行為；

-preB為預(yù)先義務(wù)決策；

-為預(yù)先義務(wù)列表；

-getPreOBL:S×O×P→2preOBL，獲取訪問請求所需完成的義務(wù)列表函數(shù)；

-preB(s，o，p)＝∧（obsi，oboi，obi）∈getPreOBL（s，o，p）preFul filled（obsi，oboi，obi），當(dāng)getPreOBL(s，o，p)＝?時，即當(dāng)前訪問請求沒有對應(yīng)的義務(wù)需要完成，

preB(s，o，p)＝true；

-allowed(s，o，p)?preB（s，o，p）。

（3）ZT-UCONonCS1

-S、O、P、ATT(S)、ATT(O)同ZT-UCONpreA1；

-T為時間或事件設(shè)置，如T＝｛always｝；

-CSS、CSO、CS分別是條件關(guān)聯(lián)主體、條件關(guān)聯(lián)客體和主體條件；

-on CS為持續(xù)主體條件決策；

-為主體條件列表；

-getOn CONS:S×O×P→2onCONS，獲取訪問請求主體所需滿足的條件列表函數(shù)；

-onChecked（cSsi，cSoi，cS i，ti），當(dāng)getOn CONS(s，o，p)＝?時，即當(dāng)前訪問請求沒有對應(yīng)的主體條件需要滿足，on CS(s，o，p)＝true；

-preUpdate（ATT（s）），preUpdate（ATT（o）），可根據(jù)實際持續(xù)條件決策結(jié)果更新主客體屬性。

（4）ZT-UCONonCA0

-S、O、P、ATT(S)、ATT(O)同ZT-UCONpreA1；

-T為時間或事件設(shè)置，如T＝｛always｝；

-on CA為持續(xù)全局條件決策；

-on CONA為全局條件列表；

-getOn CONA:S×O×P→2onCONA，獲取訪問請求所需滿足的全局條件列表函數(shù)；

（5）ZT-UCONonET3

-S、O、P、ATT(S)、ATT(O)、onET分 別 為 主體、客體、權(quán)限、主體屬性、客體屬性、持續(xù)信任評估決策；

-postUpdate(ATT(s))，postUpdate(ATT(o))，

可根據(jù)實際持續(xù)評估結(jié)果更新主客體屬性。

3 實例應(yīng)用與分析

3.1 ZT-UCON實例應(yīng)用

本節(jié)以具體案例，說明基于ZT-UCON的訪問請求控制流程。

案例描述:病人P之前的診療資料存在醫(yī)院H1，因工作地點原因，選擇到醫(yī)院H2進行術(shù)后檢查，醫(yī)院H2的醫(yī)生D發(fā)起病人P的診療資料訪問請求。

假設(shè)條件:醫(yī)院H1與醫(yī)院H2存在資源共享和合作關(guān)系。

案例分析:

情況1醫(yī)生D所負責(zé)的科室和病種與病人P相關(guān)。當(dāng)醫(yī)生D申請跨醫(yī)療機構(gòu)訪問病人P的診療信息時，需對該醫(yī)生進行信任評估，計算醫(yī)生當(dāng)前訪問行為信任值（信任值的降低值較小或無損耗）和訪問歷史行為信任值綜合計算，并更新其信任值額度。根據(jù)評估結(jié)果和訪問策略決定是否授予權(quán)限。

情況2醫(yī)生D所負責(zé)的科室和病種與病人P無關(guān)，當(dāng)醫(yī)生D申請跨醫(yī)療機構(gòu)訪問病人P的診療信息時，對該醫(yī)生進行信任評估，計算醫(yī)生當(dāng)前訪問行為信任值（信任值的降低值較大）和訪問歷史行為信任值綜合計算，并更新其信任值。該醫(yī)生將通過損耗其信任值額度獲取訪問權(quán)限，會導(dǎo)致其額度減少到零，對該醫(yī)生后續(xù)訪問操作進行限制。

訪問控制流程圖如圖3所示，具體描述如下:

（1）用 戶 認 證 階 段:醫(yī) 生D使 用 其 賬 號id(D)登錄醫(yī)院系統(tǒng)。如，EMR系統(tǒng)或PACS系統(tǒng)。將病人P的就診id(P)輸入至系統(tǒng)中，系統(tǒng)認證id(D)和id(P)是否存在，并對兩者屬性進行匹配，匹配成功則開放id(D)對于id(P)的最小權(quán)限；

（2）信任評估階段:id(D)發(fā)起對id(P)的電子病歷訪問申請，根據(jù)id(D)和id(P)之間的屬性相關(guān)性，對醫(yī)生D的當(dāng)前訪問行為信任值進行計算并將結(jié)果保存到歷史行為中。若兩者屬性相匹配或存在關(guān)聯(lián)關(guān)系，則信任值不發(fā)生損耗或有較小損耗值；若兩者相關(guān)性較小或無關(guān)，則表示醫(yī)生D存在異常訪問行為，信任值將有很大的損耗。根據(jù)三段滑動窗口分別計算出醫(yī)生D的歷史行為信任值，最后得出綜合信任值，參與訪問控制決策；

（3）訪問策略決策階段:醫(yī)生D針對醫(yī)院系統(tǒng)H1或H2發(fā)出關(guān)于病人P的相關(guān)診療數(shù)據(jù)F時，還需執(zhí)行一定的義務(wù)和滿足系統(tǒng)設(shè)定的一些條件。如敏感數(shù)據(jù)訪問需要得到病人P的署名，醫(yī)生D請求發(fā)出時間、地點符合系統(tǒng)要求等，并且義務(wù)和條件可根據(jù)具體應(yīng)用場景，確定是否在整個訪問控制階段持續(xù)監(jiān)測，一旦不滿足上述設(shè)定，則立即終止訪問行為。

3.2 ZT-UCON模型分析

結(jié)合ZT-UCON模型的訪問控制決策，定義和實際應(yīng)用訪問控制流程，將從以下幾個方面對ZTUCON的優(yōu)缺點進行分析。

（1）安全性分析。在傳統(tǒng)的訪問控制下，通常能保證醫(yī)療機構(gòu)內(nèi)部數(shù)據(jù)的安全訪問，但隨著系統(tǒng)數(shù)據(jù)類別增多、數(shù)據(jù)來源廣泛，系統(tǒng)數(shù)據(jù)量快速增長，系統(tǒng)的安全訪問需求以及數(shù)據(jù)共享需求得不到滿足。ZT-UCON模型通過將主體類別劃分為生產(chǎn)主體和消費主體，以及將條件類別劃分為主體條件和全局條件，提供了更細粒度的訪問控制決策，滿足醫(yī)療大數(shù)據(jù)背景下的安全性需求。

（2）可用性分析。通常在訪問控制中，用戶的權(quán)限完全由管理員手動分配，已造成權(quán)限過度授予問題。在ZT-UCON模型中，管理員只需分配初始最小權(quán)限，以滿足主體日常工作需求，后續(xù)權(quán)限的添加由主體根據(jù)工作需要提出申請。當(dāng)主體訪問行為出現(xiàn)異常情況時（如主體在一段時間內(nèi)多次訪問與其職責(zé)無關(guān)的數(shù)據(jù)），ZT-UCON的信任評估模塊將調(diào)整其信任值。隨著信任值額度的快速消耗，將限制該主體惡意行為。

（3）適用性分析。本文主要解決的是醫(yī)療大數(shù)據(jù)的共享型需求，以及對于醫(yī)療大數(shù)據(jù)主體訪問權(quán)限過度授權(quán)問題，所以對于有數(shù)據(jù)共享型需求以及過度授權(quán)防控需求的領(lǐng)域來說，ZT-UCON可從授權(quán)、條件、義務(wù)決策過程方面進行按需調(diào)整，故同樣適用于上述領(lǐng)域。

4 結(jié)束語

基于零信任思想和UCON模型的連續(xù)性決策以及屬性可變特征所提出的ZT-UCON模型，將信任評估模塊添加到訪問控制決策中，并對主體行為進行持續(xù)性評估，動態(tài)更新主體信任值屬性，更好地滿足了醫(yī)療大數(shù)據(jù)所面臨的動態(tài)多變的云環(huán)境安全訪問控制需求。后續(xù)將進一步深入研究信任評估過程，在滿足持續(xù)評估功能的基礎(chǔ)上，進一步提高信任值評估過程中的計算效率。