牛宇，顏苗苗，鄭紅，楊吉江（.北京第二外國(guó)語(yǔ)學(xué)院，北京 00024；2.清華大學(xué) 信息技術(shù)研究院，北京 00084）

?

云計(jì)算環(huán)境下醫(yī)療數(shù)據(jù)訪問控制研究綜述

牛宇1，2，顏苗苗1，鄭紅1，楊吉江2△
（1.北京第二外國(guó)語(yǔ)學(xué)院，北京 100024；2.清華大學(xué) 信息技術(shù)研究院，北京 100084）

摘要：云計(jì)算和大數(shù)據(jù)分析技術(shù)廣泛應(yīng)用于醫(yī)療領(lǐng)域，可以提高醫(yī)療效率，疾病預(yù)測(cè)準(zhǔn)確率等，但同時(shí)也帶來醫(yī)療數(shù)據(jù)的隱私泄露和信息不安全的隱患。云存儲(chǔ)上的醫(yī)療數(shù)據(jù)隱私和安全保護(hù)中，接入控制是核心技術(shù)之一。本文通過對(duì)相關(guān)文獻(xiàn)的梳理，對(duì)醫(yī)療數(shù)據(jù)在云計(jì)算環(huán)境中的訪問控制問題進(jìn)行了研究。主要從訪問擴(kuò)展模型和密碼保護(hù)機(jī)制兩方面展開綜述，并對(duì)未來的研究趨勢(shì)進(jìn)行了展望。

關(guān)鍵詞：云計(jì)算； 醫(yī)療數(shù)據(jù)；訪問控制模型；加密機(jī)制

1　引言

近年來，醫(yī)療數(shù)據(jù)化是大勢(shì)所趨，無論是身體傳感器網(wǎng)絡(luò)對(duì)病人健康狀況的實(shí)時(shí)監(jiān)控，或者醫(yī)院信息系統(tǒng)數(shù)字化，還是無處不在的電子醫(yī)療記錄EMR（Electronic Medicine Record），都有助于增加醫(yī)療護(hù)理質(zhì)量，促進(jìn)循證醫(yī)學(xué)和記錄的機(jī)動(dòng)性［1］。而云計(jì)算在醫(yī)療方面也有著強(qiáng)大的應(yīng)用場(chǎng)景，云的高性能計(jì)算能力可以快速正常結(jié)算或幫助處理高性能計(jì)算需要生物醫(yī)學(xué)數(shù)據(jù)。云可以為大規(guī)模的醫(yī)療數(shù)據(jù)存儲(chǔ)和管理提供可伸縮的空間，進(jìn)一步構(gòu)建病人的終身健康記錄EHR（Electronic Health Record）、PHR（Personal Health Record）。EHR適用于交叉區(qū)域的醫(yī)療數(shù)據(jù)交流平臺(tái)，通常由政府醫(yī)療服務(wù)部門管理。

然而，由于云的基礎(chǔ)設(shè)施具有多租戶、虛擬機(jī)、分布式系統(tǒng)等的特點(diǎn)，數(shù)據(jù)安全和隱私在云上有其技術(shù)架構(gòu)本身帶來的安全隱患，目前已成為進(jìn)一步深入應(yīng)用云技術(shù)所面臨的一大挑戰(zhàn)［2］。此外，醫(yī)療數(shù)據(jù)本身含有大量病人私有和敏感的信息，泄露或者被竊用可能招致騷擾推銷電話，保險(xiǎn)公司拒賠，拒代理等情況；患者就醫(yī)時(shí)透露的諸如社保賬號(hào)、個(gè)人財(cái)務(wù)信息等關(guān)鍵信息，黑客們通過這些信息的拼湊，可勾畫出一幅完整的個(gè)人信息圖譜來，威脅著個(gè)人的人身、財(cái)產(chǎn)等安全。因此，保護(hù)醫(yī)療數(shù)據(jù)的隱私與安全是必須的，而完成對(duì)隱私的保護(hù)是信息安全的目標(biāo)之一，信息安全的技術(shù)手段可以用于隱私保護(hù)［4］。

然而，目前文獻(xiàn)大多單純講技術(shù)，沒有很好地和醫(yī)療結(jié)合。圖1是近年來在云計(jì)算、隱私與安全、醫(yī)療數(shù)據(jù)交叉領(lǐng)域的文獻(xiàn)研究熱點(diǎn)。本文著重研究了近五年內(nèi)訪問控制技術(shù)與醫(yī)療數(shù)據(jù)隱私與安全相結(jié)合的文獻(xiàn)，并進(jìn)行了系統(tǒng)的分析。

文章分為三部分，首先對(duì)醫(yī)療數(shù)據(jù)的內(nèi)容加以劃分并闡述；第二、三部分主要從作為訪問控制技術(shù)重中之重的訪問控制擴(kuò)展模型和加密機(jī)制和這兩方面，綜述了近幾年醫(yī)療數(shù)據(jù)在云計(jì)算環(huán)境下的隱私保護(hù)和安全問題。

圖1　云計(jì)算、醫(yī)療數(shù)據(jù)、隱私與安全的交叉研究熱點(diǎn)

2　醫(yī)療數(shù)據(jù)

醫(yī)療數(shù)據(jù)包含范圍甚廣，包括原始院外檢測(cè)的各種身體數(shù)據(jù)，院內(nèi)流轉(zhuǎn)的個(gè)人電子病歷，和實(shí)驗(yàn)室化驗(yàn)結(jié)果等。因?yàn)槠渌惖臄?shù)據(jù)（原始檢測(cè)，化驗(yàn)數(shù)據(jù)等）均可以直接或間接地導(dǎo)入個(gè)人電子病歷成為其一部分內(nèi)容，本文著重于個(gè)人電子病歷作為醫(yī)療數(shù)據(jù)的代表和主體。

EMR（Electronic Medical Record）——電子病歷［5］是用電子設(shè)備（計(jì)算機(jī)、健康卡等）保存、管理、傳輸和重現(xiàn)的數(shù)字化的病人醫(yī)療記錄，取代手寫紙張病歷。EMR根據(jù)醫(yī)院治療業(yè)務(wù)流程和需求設(shè)計(jì)，滿足了醫(yī)院業(yè)務(wù)和管理的要求。美國(guó)國(guó)立醫(yī)學(xué)研究所將EMR定義為：是基于一個(gè)特定系統(tǒng)的電子化病人記錄，該系統(tǒng)提供用戶訪問完整準(zhǔn)確的數(shù)據(jù)、警示、提示和臨床決策支持系統(tǒng)的能力。

EHR（Electronic Health Record）——電子健康記錄是電子化的個(gè)人健康紀(jì)錄（病歷、心電圖、醫(yī)療影像等）。整合了不同來源的病患健康信息，其中也包括病患所有的電子病歷。它跨越不同的機(jī)構(gòu)和系統(tǒng)，在不同的信息提供者和使用者之間交換和共享。

PHR（Personal Health Record）——個(gè)人健康記錄平臺(tái)，是一個(gè)完整的、準(zhǔn)確的個(gè)體健康和總結(jié)病史的記錄平臺(tái)。任何時(shí)間，任何地點(diǎn)，通過網(wǎng)絡(luò)在線訪問。它可以存儲(chǔ)在非醫(yī)療組織，如商業(yè)公司或病人本身。

三者之間具有聯(lián)系，EMR由醫(yī)療機(jī)構(gòu)產(chǎn)生并所有，若與其他醫(yī)療機(jī)構(gòu)或系統(tǒng)分享EMR數(shù)據(jù)，交互操作的EMR就成為EHR。PHR收集了來EMR和EMR等各個(gè)方面的數(shù)據(jù)，借助于計(jì)算機(jī)或網(wǎng)絡(luò)等先進(jìn)技術(shù)，將個(gè)人的健康相關(guān)信息數(shù)字化采集，以電子方式傳輸、存儲(chǔ)與健康檔案服務(wù)器中。在本文中，除了收集的最初原始數(shù)據(jù)，根據(jù)相應(yīng)的計(jì)算領(lǐng)域，醫(yī)療數(shù)據(jù)指的是其中之一。

3　訪問控制模型

訪問控制是授予一部分用戶訪問權(quán)，禁止其他用戶訪問數(shù)據(jù)的過程；其模型則是一種從訪問控制的角度出發(fā)，描述安全系統(tǒng)、建立安全模型的方法［6］。然而，在云計(jì)算環(huán)境中，要保證醫(yī)療數(shù)據(jù)的隱私與安全，往往RBAC（role base access control 基于角色的訪問控制）也有局限性［10］，學(xué)者們逐漸轉(zhuǎn)向于研究多種模型或技術(shù)相結(jié)合的方式，并取得了一定的成效。

3.1基于角色的訪問控制的擴(kuò)展模型

據(jù)統(tǒng)計(jì)文獻(xiàn)綜述的結(jié)果，超過三分之二文章的EHR訪問控制采用基于角色的訪問RBAC（Role-Based Access Control）或以它為基礎(chǔ)的修改變化模型。關(guān)于醫(yī)療體系的RBAC模型，關(guān)注的問題主要有:“誰來定義用戶角色？”，“由誰授權(quán)用戶訪問這些醫(yī)療數(shù)據(jù)？”，和“緊急情況下可以忽略訪問規(guī)則嗎？”［7］。RBAC確實(shí)有助于搜索的效率，但采用通用性授權(quán)策略，無法滿足患者對(duì)隱私保護(hù)的個(gè)性化需求，而且不利于細(xì)粒度訪問和隱私匿名保護(hù)。，在此基礎(chǔ)上，學(xué)者們針對(duì)單一訪問模型所存在的缺陷，提出了基于角色的訪問控制的擴(kuò)展模型。

3.1.1基于決策支持的角色控制訪問

Patrick等人早在2007年提出了一種基于隱私擴(kuò)展的角色控制方法，該模型基于電子健康情境信息，設(shè)計(jì)了一個(gè)決策支持模型與基于角色的訪問控制模型進(jìn)行交互來保護(hù)個(gè)人健康信息［8］。

3.1.2基于分級(jí)授權(quán)的角色控制訪問

針對(duì)RBAC的缺點(diǎn)，并考慮到醫(yī)療數(shù)據(jù)在保護(hù)中有著不同的權(quán)重，如果對(duì)所有信息都采用高級(jí)別的保護(hù)手段，會(huì)影響實(shí)際運(yùn)作的效率，同時(shí)也是浪費(fèi)資源。周凱等［9］提出一種 EMR 存儲(chǔ)云系統(tǒng)，為患者和醫(yī)院提供統(tǒng)一的電子病歷注冊(cè)和使用服務(wù)，并重點(diǎn)對(duì)電子病歷的訪問控制策略進(jìn)行了討論，采用一般角色訪問控制和用戶個(gè)性化逐級(jí)授權(quán)相結(jié)合的策略，有效解決了動(dòng)態(tài)授權(quán)和用戶個(gè)性化需求問題，滿足了患者對(duì)于信息安全性和隱私保護(hù)方面的需求?；驹L問控制策略與用戶個(gè)性化策略相結(jié)合的綜合訪問控制模型，并且對(duì) EMR 各部分設(shè)置敏感級(jí)別，可以實(shí)現(xiàn)細(xì)粒度訪問和用戶個(gè)性化逐級(jí)動(dòng)態(tài)授權(quán)。

3.1.3基于角色與行為的訪問控制

RBAC 模型建立在主體－客體訪問控制思想上，采用靜態(tài)授權(quán)方式，缺乏對(duì)角色權(quán)限的動(dòng)態(tài)調(diào)整能力。王琦提出RB-NAC（Behavior-Based Network Access Control，BB-NAC基于角色與行為的訪問控制）機(jī)制，其核心思想是以角色模型來劃定權(quán)限集，利用行為簇來動(dòng)態(tài)調(diào)整用戶可使用的權(quán)限，克服了RBAC-based NAC在動(dòng)態(tài)權(quán)限調(diào)整方面的缺陷，利用行為簇分配或限制了用戶的權(quán)限，并利用用戶實(shí)時(shí)的網(wǎng)絡(luò)行為特征的變化，對(duì)用戶進(jìn)行動(dòng)態(tài)歸簇，提高了系統(tǒng)的靈活性［10］。

3.1.4面向患者的隱私保護(hù)訪問控制

為了支持患者根據(jù)自身的隱私偏好定義個(gè)性化的訪問控制策略，滿足患者的個(gè)性化隱私保護(hù)需求，霍成義等人在 RABC模型的基礎(chǔ)上提出了面向患者的隱私保護(hù)訪問控制模型 POP-PAC（Patient-Oriented Privacy Preserving Access Control Model for HIS，面向患者的隱私保護(hù)訪問控制），通過患者參與到自身敏感數(shù)據(jù)訪問控制規(guī)則的定義中，實(shí)現(xiàn)了不同用戶角色的合理判定和訪問權(quán)限的正確授予功能。有效地解決了患者敏感數(shù)據(jù)在沒有許可的情況下被動(dòng)泄露的細(xì)粒度訪問控制問題［11］。

3.2基于目的的訪問控制的擴(kuò)展模型

基于目的的訪問控制最早是由Byun提出來的，是一種以“目的”為基礎(chǔ)的方案。但傳統(tǒng)的PBAC（Purpose-Based Privacy Access Control）在對(duì)隱私數(shù)據(jù)有訪問控制需求的復(fù)雜應(yīng)用場(chǎng)景、動(dòng)態(tài)應(yīng)用場(chǎng)景以及突發(fā)緊急情況下，會(huì)出現(xiàn)框架解決方案中沒有考慮到的隱私泄漏問題。醫(yī)療信息系統(tǒng)的特點(diǎn)是異構(gòu)和多隱私數(shù)據(jù)模式，如不同臨床信息系統(tǒng)的數(shù)據(jù)模式是不同的，因此需要對(duì)PBAC加以完善，保證醫(yī)療數(shù)據(jù)的安全。

3.2.1基于目的管理的醫(yī)療信息系統(tǒng)隱私保護(hù)訪問控制模型

傳統(tǒng)的訪問控制模型專注于“哪些人可以對(duì)哪些資源進(jìn)行哪些操作”，而隱私策略更加注重資源被使用的目的。其次，傳統(tǒng)的訪問控制采用普遍適用的粗粒度訪問控制策略，不能滿足醫(yī)患者個(gè)人的隱私保護(hù)需求。基于此，渠世艷提出基于目的管理的醫(yī)療信息系統(tǒng)隱私保護(hù)訪問控制模型——PBAC-HIS（Purpose Management-Based Privacy Access Control Hospital Information System）［12］。模型主要思想是建立以患者為中心的 HIS 系統(tǒng)，將系統(tǒng)的管理權(quán)限進(jìn)行部分轉(zhuǎn)移，讓患者參與訪問策略的制定、維護(hù)，由患者對(duì)隱私內(nèi)容進(jìn)行界定。模型引入具有繼承關(guān)系的目的概念，采用“基于目的管理”的授權(quán)管理方式。醫(yī)療機(jī)構(gòu)根據(jù)角色職責(zé)，通過為角色綁定目的制定通用策略；患者根據(jù)個(gè)人隱私側(cè)重點(diǎn)不同，為隱私數(shù)據(jù)設(shè)置目的屬性，制定個(gè)人策略。采用基于通用策略和個(gè)人策略相結(jié)合的方式，在系統(tǒng)通用策略不變的前提下，患者通過調(diào)整個(gè)人策略滿足個(gè)性化隱私需求。

3.2.2 基于敏感性標(biāo)簽的PBAC算法

該模塊結(jié)合敏感性標(biāo)簽與基于目的的訪問控制模型，對(duì)醫(yī)療人員訪問病人信息提供了更細(xì)粒度的控制。對(duì)于醫(yī)療人員大規(guī)模查詢病人隱私數(shù)據(jù)，模型提供了能夠更好的保護(hù)高敏感信息的匿名化處理方法，處理結(jié)果的發(fā)布也提供了兩種形式.該模型在訪問控制和信息發(fā)布上更具有靈活性的同時(shí)，通過分級(jí)匿名化處理，提高了敏感數(shù)據(jù)的隱私保護(hù)，具有合理性、實(shí)用性和安全性［13］。

3.2.3基于PBAC模型和IBE的訪問控制方案

傳統(tǒng)的控制模型沒考慮到用戶訪問目的在側(cè)重?cái)?shù)據(jù)隱私的訪問控制中的重要作用，而非對(duì)稱加密又存在密鑰管理、證書管理等復(fù)雜問題。針對(duì)這些問題，張怡婷等［14］提出基于PBAC（基于目的的訪問控制）模型和IBE（identity-encryption，身份加密技術(shù)）的訪問控制方案。設(shè)計(jì)了一種針對(duì)醫(yī)療數(shù)據(jù)密文的訪問控制方案，其核心思想是圍繞數(shù)據(jù)的預(yù)期目的構(gòu)造身份公鑰。并通過實(shí)驗(yàn)證明了這種方案達(dá)到了細(xì)粒度訪問控制和隱私保護(hù)的目的。

4　加密機(jī)制的研究

在云平臺(tái)上，用戶將數(shù)據(jù)存放在不可信的平臺(tái)（semi-trust）上是不安全的，對(duì)于數(shù)據(jù)的隱私保護(hù)、機(jī)密性（Confidentiality）、完整性（Integrity）、可用性（Availability）CIA特性都不能達(dá)到很高的安全等級(jí)，并且網(wǎng)絡(luò)傳輸過程中存在許多不安全因素，所以在云計(jì)算環(huán)境下采用密碼方式對(duì)數(shù)據(jù)進(jìn)行保護(hù)非常有必要［15］。根據(jù)業(yè)界現(xiàn)狀加密機(jī)制在醫(yī)療領(lǐng)域的運(yùn)用，目前主要有以患者為中心的加密機(jī)制基于智能卡的加密機(jī)制，和基于屬性的加密機(jī)制。本節(jié)對(duì)相關(guān)文獻(xiàn)的進(jìn)行整理，并分析這三種加密機(jī)制針對(duì)云平臺(tái)上醫(yī)療數(shù)據(jù)隱私和安全保護(hù)技術(shù)的研究現(xiàn)狀。

4.1以患者為中心的加密機(jī)制

在皮爾森關(guān)于云系統(tǒng)的“六大隱私實(shí)用建議”中［16］，有兩個(gè)建議是關(guān)于用戶自己控制數(shù)據(jù)的：“最大化用戶控制”和“允許用戶選擇”。讓患者對(duì)健康記錄直接加密和分配對(duì)應(yīng)的密鑰是一個(gè)簡(jiǎn)單易行的訪問控制策略。

圖2　醫(yī)療數(shù)據(jù)層次結(jié)構(gòu)示例

醫(yī)療數(shù)據(jù)在存儲(chǔ)時(shí)，通常被整理成層次結(jié)構(gòu)（如圖2所示），葉節(jié)點(diǎn)包含患者基本的醫(yī)療數(shù)據(jù)，而中間節(jié)點(diǎn)代表不同種類的信息［17］。在以患者為中心的加密機(jī)制PCE（Patient Centric Encryption）中，患者只需要?jiǎng)?chuàng)造并持有一個(gè)根密鑰，子記錄的密鑰由根密鑰和它們處于病歷目錄中的位置得來。子密鑰用來加密或解密子記錄這一類數(shù)據(jù)。因此，患者可以授予他們的醫(yī)生、藥劑師、配偶等訪問這些子記錄的權(quán)力。盡管PCE的密鑰分發(fā)很簡(jiǎn)單，但訪問權(quán)力僅限于固定類別的記錄。一些學(xué)者進(jìn)一步提出的一套可以聚集任何子集的標(biāo)準(zhǔn)葉分類。數(shù)據(jù)的擁有者可為這些子集計(jì)算出一個(gè)簡(jiǎn)練的密鑰，從而提高數(shù)據(jù)訪問的靈活性。

在PCE，密鑰直接從患者發(fā)送到對(duì)應(yīng)的訪問器，需要當(dāng)訪問請(qǐng)求發(fā)出時(shí)患者能在線。為解決要求患者一直在線這一問題，有兩種方法：采用智能卡來代替患者本人，或委托訪問服務(wù)器。

4.2基于智能卡的加密機(jī)制

智能卡對(duì)于醫(yī)院的數(shù)據(jù)管理和患者的靈活使用資源有很大幫助，智能卡協(xié)助技術(shù)在許多國(guó)家的醫(yī)療系統(tǒng)已被廣泛采用，智能卡里通常包含用戶身份信息、根密鑰或其他重要信息，通常由權(quán)威機(jī)構(gòu)發(fā)行并分配給系統(tǒng)實(shí)體，如已注冊(cè)的患者，提供醫(yī)療護(hù)理的機(jī)構(gòu)、審計(jì)機(jī)構(gòu)等。為保證智能卡信息的安全，引入了基于智能卡的加密機(jī)制。

W.B.lee等人在2008年提出了一個(gè)全面的基于智能卡技術(shù)的密鑰管理方案［18］。該方案要求訪問每一條記錄時(shí)都需要智能卡，這是不現(xiàn)實(shí)的。胡建坤等人為隱私和安全規(guī)定提出了一種基于混合公鑰基礎(chǔ)設(shè)施（PKI）解決方案的合同［19］。在接受治療時(shí)，患者和醫(yī)療保健機(jī)構(gòu)的醫(yī)療中心服務(wù)器（Medical Central Server）將簽署一份臨時(shí)的合同。在合同期間，授予MCS信任和安全管理的權(quán)力，可以不受限地訪問患者受保護(hù)的健康信息數(shù)據(jù)。協(xié)議到期時(shí)，合同可以停止或更新。這種方法讓醫(yī)療機(jī)構(gòu)有更大的自由來高效地訪問醫(yī)療記錄，并且沒有每次訪問都要使用智能卡帶來的麻煩。

4.3基于屬性的加密機(jī)制ABE（Attribute-based Encryption）

基于屬性的加密模型ABE在云計(jì)算環(huán)境下通常包括四個(gè)參與方：數(shù)據(jù)提供者、可信第三方授權(quán)中心、云存儲(chǔ)服務(wù)器和用戶。數(shù)據(jù)以加密的形式存儲(chǔ)在云服務(wù)器上，訪問的授權(quán)取決于數(shù)據(jù)用戶或文件的屬性，授權(quán)方式通過數(shù)據(jù)用戶計(jì)算私有秘鑰完成（圖3）。

圖3　云計(jì)算環(huán)境下ABE授權(quán)模型［20］

運(yùn)用ABE在云平臺(tái)上獲取電子醫(yī)療記錄由于其可控精細(xì)顆粒度，已經(jīng)越來越多的被采用。Joseph和Christoph等［21］設(shè)計(jì)和實(shí)施了一種自保護(hù)的電子病歷系統(tǒng)。它使用ABE促進(jìn)基于角色和基于內(nèi)容的粒度訪問控制，而不需要一直在線的中間服務(wù)商或數(shù)據(jù)提供者來分發(fā)密鑰并驗(yàn)證規(guī)則。預(yù)置的密鑰可以單獨(dú)決定是否給予離線的EMR訪問權(quán)力。目前，基于角色和基于內(nèi)容的雙重策略正在被研究以實(shí)現(xiàn)靈活、自動(dòng)地生成規(guī)則。Barua等［22］使用基于密文的屬性加密機(jī)制（CP-ABE）實(shí)現(xiàn)高效安全的以患者為中心訪問控制，它在電子健康系統(tǒng)中使用屬性來定義不同請(qǐng)求者的角色。而文獻(xiàn)［14］研究了密鑰管理的可擴(kuò)展性，多授信中心屬性加密MA-ABE（Multi-Authorities BE）方案中訪問規(guī)則或文件屬性的動(dòng)態(tài)修改。這些研究不斷完善ABE算法，用以支持高效靈活的用戶或?qū)傩猿蜂N和在緊急情況下BTG（Breaking The Glass）訪問。 BTG情境下的醫(yī)療數(shù)據(jù)訪問控制策略對(duì)于處于生命危險(xiǎn)處境的病人搶救有著非常大的意義。

5　結(jié)論

本文主要從訪問控制模型、加密機(jī)制兩方面分析了在云環(huán)境下醫(yī)療數(shù)據(jù)的訪問控制。，這些技術(shù)解決了在特殊的醫(yī)療場(chǎng)景下數(shù)據(jù)的動(dòng)態(tài)訪問、細(xì)粒度訪問控制、根據(jù)患者偏好不同逐級(jí)授權(quán)等問題。訪問控制確實(shí)能夠在一定程度上阻止未經(jīng)允許的用戶有意或無意地獲取數(shù)據(jù)［23］，然而，目前的醫(yī)療數(shù)據(jù)的訪問控制技術(shù)大多停留在研究階段，還沒夠完全與醫(yī)療機(jī)構(gòu)或系統(tǒng)完善地結(jié)合起來防止數(shù)據(jù)泄露或竊取。據(jù)Trustwave發(fā)布的2015年醫(yī)療行業(yè)的安全報(bào)告，在過去的兩年間，仍有90％的醫(yī)療行業(yè)公司均遭到黑客攻擊，泄露病人數(shù)據(jù)。因此，在今后的研究方向上，應(yīng)該研究更加切實(shí)可行的訪問控制技術(shù)；不僅技術(shù)方面，我國(guó)關(guān)于醫(yī)療數(shù)據(jù)的法律及規(guī)章制度也有待完善。技術(shù)法律聯(lián)方面聯(lián)合運(yùn)用，以此共同維護(hù)醫(yī)療數(shù)據(jù)的隱私與信息安全。

參考文獻(xiàn)

［1］T.Greenhalgh，S.Hinder，K.Stramer，T.Bratan，and J.Russell，“Adoption ，non-adoption，and abandonment of a personal electronic healthrecord:case study of healthspace，” Bmj，vol.341，2010.

［2］IDC，“It cloud services user survey，pt.2:Top benefits challenges，”http://blogs.idc.com/ie/?p=210,Oct2008.

［3］在醫(yī)療大數(shù)據(jù)時(shí)代，患者信息安全問題備受關(guān)注［J］南方日?qǐng)?bào)，2015-3-25.

［4］遲晨陽(yáng)，毛華堅(jiān)，孟海濱，趙東升.電子健康檔案信息安全和隱私保護(hù)的關(guān)鍵問題和研究進(jìn)展［J］中華醫(yī)學(xué)圖書情報(bào)雜志 2015（11）:22-26.

［5］2014-2018年中國(guó)電子病歷（EMR）產(chǎn)業(yè)調(diào)研與投資前景預(yù)測(cè)報(bào)告［M］.智研咨詢集團(tuán)，2013.11.

［6］涂山山.云計(jì)算環(huán)境中訪問控制的機(jī)制和關(guān)鍵技術(shù)研究［D］.北京郵電大學(xué).2014.

［7］J.L.Ferna′ndez-Alema′n，I.C.Sen~or，P.A′ .O.Lozoya，and A.Toval，“Security and privacy in electronic health records:A systematic literature review，” Journal of biomedical informatics，vol.46，no.3，pp.541-562，2013.

［8］Patrick CK Hung，Yi Zheng.Privacy Access Control Model for Aggregated e-Health Services［C］Proceedings of 2007 Eleventh International IEEE EDoC Conference Workshop：12—19.

［9］周凱，蔣興浩，孫錟鋒.電子病歷存儲(chǔ)云系統(tǒng)訪問控制研究［J］.信息安全與通信保密.2012（4）:86-89.

［10］王琦.基于角色與行為的醫(yī)療信息網(wǎng)絡(luò)訪問控制機(jī)制［J］.福建電腦，2013（6）:125-127.

［11］霍成義，吳振強(qiáng).面向患者的醫(yī)療信息系統(tǒng)隱私保護(hù)訪問控制模型［J］計(jì)算機(jī)應(yīng)用與軟件.2014（11）:75-77.

［12］渠世艷.基于目的管理的醫(yī)療信息系統(tǒng)訪問控制模型研究［D］.上海交通大學(xué).2009.

［13］張強(qiáng).面向隱私保護(hù)的醫(yī)療信息系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)［D］北京交通大學(xué).2012.

［14］張怡婷，傅煜川，楊明，羅軍舟.基于PBAC模型和IBE的醫(yī)療數(shù)據(jù)訪問控制方案［J］.2015（12）.

［15］王于丁，楊家海，徐聰，凌曉，楊洋.云計(jì)算訪問控制技術(shù)研究綜述［J］軟件學(xué)報(bào).2015，26（5）:1129-1150.

［16］S.Pearson，“Taking account of privacy when designing cloud computing services，” in Software Engineering Challenges of Cloud Computing，2009.CLOUD'09.ICSE Workshop on.IEEE，2009，pp.44-52.

［17］J.Benaloh，M.Chase，E.Horvitz，and K.Lauter，“Patient controlled encryption:ensuring privacy of electronic medical records，” in Proceedings of the 2009 ACM workshop on Cloud computing security.ACM，2009，pp.103-114.

［18］W.lee and C.Lee，“A cryptographic key management solution for hipaa privacy/security regulations，” IEEE Transactions on Information Technology in Biomedicine，vol.12，pp.34-41，Jan 2008.

［19］J.Hu，H.-H.Chen，and T.-W.Hou，“A hybrid public key infrastructure solution（hpki）for hipaa privacy/security regulations，”Computer Standards & Interfaces，vol.32，no.5，pp.274-280，2010.

［20］A.Mohan，D.Bauer，D.M.Blough，M.Ahamad，B.Bamba，R.Krishnan，L.Liu，D.Mashima，and B.Palanisamy，“A patientcentric，attribute-based，source-verifiable framework for health record sharing，”2009.

［21］J.A.Akinyele，M.W.Pagano，M.D.Green，C.U.Lehmann，Z.N.Peterson，and A.D.Rubin，“Securing electronic medical records using attribute-based encryption on mobile devices，” in Proceedings of the 1stACM workshop on Security and privacy in smartphones and mobile devices.ACM，2011，pp.75-86.

［22］M.Li，S.Yu，Y.Zheng，K.Ren，and W.Lou，“Scalable and secure sharing of personal health records in cloud computing using attributebased encryption，” 2013.

［23］楊吉江，許有志，王青，潘慧，關(guān)健［J］.面向醫(yī)療信息的數(shù)據(jù)隱私保護(hù)技術(shù).中國(guó)數(shù)字醫(yī)學(xué)，2010，05（8）.

Review of Medical Data Access Control in Cloud Environment

NIU Yu1，2，YAN Miao-miao1，ZHENG Hong1，YANG Ji-jiang2
（1.Beijing International Studies University，Beijing，100024，China； 2 RIIT，Tsinghua University，Beijing，100084，China）

Abstract:Cloud computing and big data analysis techniques have been applied in medical care area，which can enhance the health care service quality，predict the disease trends，etc.However，the medical data digitalization also brings the concerns about the privacy leakage and system security.Among the countermeasures，the access control is one of the key security protection techniques.In this paper，a systematic literature review on medical data access control on cloud platform is conducted.The survey focuses on extended medical data access model and encryption based authorization mechanism two aspects based the latest research progress in this field.Furthermore，the future research trend about these models' practical application in real medical environment is discussed.

Keywords:Could computing； Health data； Access control models； Encryption

作者簡(jiǎn)介：牛宇，女，博士學(xué)位，現(xiàn)為北京外國(guó)語(yǔ)大學(xué)講師，專業(yè)：計(jì)算機(jī)軟件。

通訊作者：楊吉江。