區(qū)域醫(yī)學影像信息的云共享訪問控制模型

任儀， 董成， 劉凡

(河南省人民醫(yī)院，網(wǎng)絡(luò)信息中心，河南，鄭州 450000)

0 引言

區(qū)域醫(yī)學影像信息指的是醫(yī)院的影像器材對人體的某個部位，照射形成的影像中所反映出來的人體部位信息[1]。在現(xiàn)代醫(yī)療行業(yè)中，醫(yī)學影像信息主要存在于醫(yī)學影像系統(tǒng)中，是醫(yī)療影像的采集、傳輸、儲存和診斷時存留在系統(tǒng)中的信息數(shù)據(jù)。目前區(qū)域醫(yī)學影像信息發(fā)展處于初級階段，云共享訪問控制已經(jīng)滲透到醫(yī)療領(lǐng)域，對醫(yī)學影像信息的云共享訪問控制的研究越來越受到人們的關(guān)注。

云共享會將互聯(lián)網(wǎng)各個終端的用戶數(shù)據(jù)看作一個數(shù)據(jù)庫，將視頻、音頻、圖片、文字等格式的資源使用一種統(tǒng)一的方式，分享到同一個數(shù)據(jù)庫中，此時數(shù)據(jù)庫中的其他用戶就很快很方便的利用這個共同的數(shù)據(jù)庫找到他們需要的資源[2]。研究區(qū)域醫(yī)學影像信息的云共享訪問控制模型可以更加科學、智能化地控制患者的存檔信息，患者的醫(yī)學影像信息即使在網(wǎng)絡(luò)傳輸下，也不必擔心信息泄露的問題[3]。

1 區(qū)域醫(yī)學影像信息的云共享訪問控制模型

1.1 設(shè)定云共享訪問控制約束關(guān)系

在控制模型中，建立訪問機制和實現(xiàn)訪問控制都是抽象和復雜的行為，實現(xiàn)訪問控制時，不僅要保證授權(quán)用戶使用的權(quán)限與所擁有的權(quán)限對應，制止非授權(quán)用戶的非授權(quán)行為，同時還要避免敏感信息的交叉感染[4]。所以在設(shè)定云共享訪問控制約束關(guān)系時，使用read或是r表示讀操作，write或是w表示寫操作，own或是o表示管理操作，整合上述操作來表示控制規(guī)則和授權(quán)用戶權(quán)限，闡述上述存在的關(guān)系，形成控制矩陣，如表1所示。

表1 控制矩陣

使用表1的控制矩陣，可以形成不同用戶域的控制權(quán)限[5]。為了防止用戶域劃分出的權(quán)限不明確，設(shè)定訪問控制能力列表來表明用戶域?qū)λ袑ο蟮牟僮鳈?quán)限，假設(shè)云共享用戶域域A與域B存在下述關(guān)系，如式(1)。

(1)

使用式(1)獲得一個云共享所被授權(quán)可以訪問的客體及權(quán)限[6]。為了增強訪問控制安全，在云共享的主體或是客體上附屬一組安全屬性信息，建立一個安全等級集合，整合為一個云共享空間訪問用戶對一個客體目標訪問的一個安全屬性集合，得到的安全控制訪問標簽，如表2所示。

表2 安全訪問控制標簽列表

由表2可知，TS表示最高安全等級，S表示一般安全等級，C表示不安全等級。在得到如表2的安全訪問控制標簽后，控制并授權(quán)云共享空間的訪問，使用RBAC0模型中的4個層次，梳理、集成云共享訪問內(nèi)部資源的內(nèi)部約束關(guān)系，如圖1所示。

圖1 約束關(guān)系

由圖1可知，用戶分配角色，角色繼承獲得權(quán)限，云共享訪問內(nèi)部調(diào)整得到云共享內(nèi)部約束關(guān)系。使用圖1的約束關(guān)系，制定云共享訪問加密方案，建立訪問控制模型，實現(xiàn)對云共享訪問的控制[7]。

1.2 制定云共享訪問加密方案

制定云共享訪問加密方案前，先將區(qū)域醫(yī)學影像信息進行加密，設(shè)區(qū)域醫(yī)學影像信息參數(shù)為K，將代理重加密相關(guān)的系統(tǒng)參數(shù)組設(shè)為param，此時 keyGen(param)→(ski,pki)可以生成用于數(shù)據(jù)加解密的公私鑰對，利用自身公鑰pki對數(shù)據(jù)m進行加密，輸出密文Ci，得到Enc(m,pki)→Ci處理過程[8]。代理過程會產(chǎn)生一種代理重加密密鑰的生成，如式(2)，

ReKeyGen(ski,pki,Ccoddition)→Rki→j

(2)

使用式(2)來定義約束元組為式(3)，

(3)

利用式(2)、式(3)，使用哈希算法處理約束元組，得到以下加密方案。

在S(K)→Pa中選取長度為K的素數(shù)P，定義群G1,G2是乘法循環(huán)群，g為G1的生成元，得到的公開參數(shù)為式(4)，

Pg={p,G1,G2,g,Hi(i=1,…,4)}

(4)

式中，Hi為哈希函數(shù)，哈希函數(shù)的H1,H2,H3,H4滿足以下條件(式(5))，

(5)

聯(lián)立式(2)、式(3)、式(4)，依照式(5)的約束條件，得到區(qū)域醫(yī)學影像信息的加密方式，如圖2所示。

圖2 區(qū)域醫(yī)學影像信息加密方式

使用圖2的加密方式，使用表3的訪問控制協(xié)議函數(shù)，形成云共享訪問加密方案。

按照從上到下的使用方向[9]，使用表3中的各項函數(shù)，形成云共享訪問加密方案，利用設(shè)定的云共享訪問控制約束關(guān)系和云共享訪問加密方案，實現(xiàn)云共享訪問控制，實現(xiàn)模型的構(gòu)建。

表3 訪問控制協(xié)議函數(shù)

1.3 建立訪問控制模型

建立訪問控制模型前，將設(shè)計的約束條件和加密方案融合到一個訪問控制器中，將訪問用戶端瀏覽器應用VBScript腳本，把用戶口令與一個從服務(wù)器獲得的隨機數(shù)副本組合進行哈希散列運算，形成MDS口令信息摘要后，用加密形式傳送給身份認證服務(wù)器[10]。讓訪問模型中的身份認證服務(wù)器從用戶/口令信息庫中提取用戶口令，與服務(wù)器端的隨機數(shù)進行哈希散列運算，比較計算所得信息摘要與客戶端傳送來的信息摘要是否符合，如果符合說明口令正確，通過身份驗證[11]。身份認證服務(wù)器還要對錯誤用戶/密碼試探進行計數(shù)，若超過一定次數(shù)，封鎖該用戶驗證進程一段時間，來防止暴力破解用戶密碼，或是破壞設(shè)計的加密方案[12]。

設(shè)定用戶動態(tài)約束掩碼，對訪問用戶定義各種動態(tài)約束，賦值計算此時約束掩碼，判斷此時的約束條件是否可作為最后的約束掩碼，判斷矩陣如式(6)，

(6)

式中，G表示約束條件，n表示用戶瀏覽醫(yī)學影像信息的操作動態(tài)值，k表示生成的約束掩碼，Ank表示動態(tài)值生成的動態(tài)掩碼最終判斷結(jié)果的均值[13]。然后使用XML文件建立最終的控制模型，使用XQuery的既含路徑又含關(guān)鍵字的查詢代碼：

FORs in doc/O/D/secattr/level

LETx=s-1

RETURN來查詢共享訪問中的變量，為了防止數(shù)據(jù)單元、元素、屬性等名稱存在著一致性，從而使XML無法訪問用戶的意圖的情況發(fā)生，在查詢之前，先在XML文件中使用

FOR a in doc//secattr/level

b in doc//secattr/domain

WHERE a/tex()="X5"

RETURN來標記區(qū)域醫(yī)學影像信息文件[14-15]。

使用計算出來的訪問掩碼，自定義為一個訪問對象，綜合標記的醫(yī)學影像信息文件，然后使用處理標記后的文件，使用的Aaccess(S,O,OP)函數(shù)，如式(7)，

(7)

式中，當?shù)玫絫rue時，本次會話S有對O的區(qū)域醫(yī)學影像信息的OP操作有權(quán)限。出現(xiàn)false時，則出現(xiàn)沒有權(quán)限或是等待的情況。此時的式(7)就是最終得到的訪問控制模型，實際使用時利用控制模型，實現(xiàn)對云共享訪問的控制。整個控制模型的設(shè)計流程如圖3所示。

圖3 云共享訪問控制模型設(shè)計流程圖

2 實驗結(jié)果分析

為了驗證區(qū)域醫(yī)學影像信息的云共享訪問控制模型的效果和可行性，在云共享環(huán)境下運用訪問控制模型時，操作用戶需通過客戶端登錄后，模型才會使用一定的訪問控制策略對用戶進行授權(quán)。在云環(huán)境下，用戶只需要利用客戶端連接到互聯(lián)網(wǎng)就能輕松地使用相應的應用系統(tǒng)，獲得相應的服務(wù)，搭建的云環(huán)境下信息化框架，如圖4所示。

圖4 云環(huán)境下搭建的信息化框架

由圖4可知，設(shè)定框架的訪問安全標簽，將相應的開發(fā)程序應用到云共享訪問控制模型中，以此設(shè)定用戶訪問角色，如圖5所示。

圖5 訪問角色設(shè)定

由圖5可知，將不同訪問角色都設(shè)定為主治醫(yī)師，將10個文件設(shè)定為10位不同患者的醫(yī)學影像信息，模型會對設(shè)定的角色訪問加以限制，安全等級TS為最高安全等級，S為一般安全等級，C為不安全等級。以訪問角色的實際患者反饋，職位等級以及所屬范圍對其進行用戶的信任等級劃分。標準如表4所示。

表4 區(qū)域醫(yī)學影像信息以及用戶的信任等級結(jié)果

以此為標準，將同一患者的區(qū)域醫(yī)學影像信息視為一個文件，準備10位患者的區(qū)域影像資料，得到區(qū)域醫(yī)學影像信息文件及用戶的信任等級結(jié)果如表5所示。

由表5可知，User1到User10分別表示設(shè)定訪問角色的不同主治醫(yī)師，第2位、第6位以及第8位主治醫(yī)師的區(qū)域醫(yī)學影像信息信任等級結(jié)果為最高安全等級。依據(jù)用戶的信任程度來限制角色訪問的時間和信息量，設(shè)定模型的信任區(qū)間，如表6所示。

表5 區(qū)域醫(yī)學影像信息以及用戶的信任等級結(jié)果

表6 設(shè)定的信任值區(qū)間

使用2種傳統(tǒng)云共享訪問控制模型與區(qū)域醫(yī)學影像信息的云共享訪問控制模型控制訪問，3種模型在同等等級下、同等信任區(qū)間中得到的值不同，計算3種模型得到的信任平均值，對比最終得到平均值，得到最終3種模型控制下的訪問時限和訪問信息量。

3種模型在控制訪問時，傳統(tǒng)控制模型1在信任區(qū)間內(nèi)取最小值，傳統(tǒng)控制模型在獲取信任值時取區(qū)間內(nèi)的中間值，區(qū)域醫(yī)學影像信息的云共享訪問控制模型取區(qū)間的最大值，計算得到的平均值以及對應的訪問時間和訪問信息量的結(jié)果，如表7所示。

表7 信任值實驗結(jié)果

由表7得出的最終計算結(jié)果，傳統(tǒng)控制模型1得到的最終信任值為0.48，允許的訪問時限為始終不允許，訪問信息量始終為不允許。而傳統(tǒng)控制模型2得到的最終計算結(jié)果為0.7，時限訪問時長為5小時之內(nèi)，允許訪問在所屬診療范圍內(nèi)的信息。使用區(qū)域醫(yī)學影像信息的云共享訪問控制模型計算得到的平均值為0.8，訪問時限沒有限制，允許訪問全部共享信息。綜上所述，與2種傳統(tǒng)控制模型相比，區(qū)域醫(yī)學影像信息的云共享訪問控制模型，可以在保證訪問安全的前提下，獲取更多的訪問時間及信息。

3 總結(jié)

云共享技術(shù)已經(jīng)逐步成熟，研究云共享訪問控制模型，可以對抗網(wǎng)絡(luò)信息技術(shù)不斷發(fā)展所帶來的網(wǎng)絡(luò)工作安全問題。訪問控制作為保障系統(tǒng)信息安全的關(guān)鍵技術(shù)之一，在云計算興起的今天扮演著越來越重要的角色，社會各界對訪問控制技術(shù)的研究也變得備受關(guān)注，各種改進的訪問控制模型層出不窮。所設(shè)計云共享訪問控制模型的創(chuàng)新點是將區(qū)域醫(yī)學影像信息進行加密，設(shè)區(qū)域醫(yī)學影像信息參數(shù)和代理重加密相關(guān)的系統(tǒng)參數(shù)組，由此生成代理過程中的一種代理重加密密鑰。隨著網(wǎng)絡(luò)技術(shù)的不斷創(chuàng)新與發(fā)展，傳統(tǒng)的一些訪問控制模型無法滿足現(xiàn)行系統(tǒng)的安全要求，研究一種區(qū)域醫(yī)學影像信息的云共享訪問控制模型，解決了傳統(tǒng)訪問控制模型訪問時間過少，訪問范圍較小的問題。對于未來的研究工作，可從區(qū)域醫(yī)學影像交互信息的云共享方法等方面進行更深一步的研究。