劉同來，章子凱，武繼剛+

1.廣東工業(yè)大學(xué) 計算機(jī)學(xué)院，廣州510006

2.北京交通大學(xué) 電子信息工程學(xué)院，北京100044

隨著數(shù)字化醫(yī)療和機(jī)器學(xué)習(xí)的發(fā)展，越來越多的電子健康系統(tǒng)受到學(xué)術(shù)界和產(chǎn)業(yè)界的青睞。由于數(shù)字化的特性，大量的醫(yī)療數(shù)據(jù)需電子化存儲并通過云平臺共享，以獲得更高質(zhì)量和更廣泛的應(yīng)用。醫(yī)療圖像分析過程通常以醫(yī)生或?qū)＜易R別為主，但易造成視覺疲勞，從而導(dǎo)致識別準(zhǔn)確率降低。深度學(xué)習(xí)算法，特別是卷積神經(jīng)網(wǎng)絡(luò)，具有自動學(xué)習(xí)更精準(zhǔn)的特征，可提高分類準(zhǔn)確性的能力。因此，其已經(jīng)迅速成為分析醫(yī)學(xué)圖像的研究熱點(diǎn)。然而，圖像數(shù)據(jù)量會影響模型訓(xùn)練精度，且現(xiàn)實(shí)中也很難將所有醫(yī)院所有圖像都集中在一起。為了進(jìn)一步提升分類精度，學(xué)者們提出了協(xié)同深度學(xué)習(xí)并應(yīng)用在醫(yī)療圖像分析中。然而，在這些擁有獨(dú)立私有云的醫(yī)療圖像數(shù)據(jù)處理系統(tǒng)中，若未有任何訪問控制策略，用戶的數(shù)據(jù)極易暴露給非法用戶。訪問控制通過一套訪問規(guī)則，可保證授權(quán)用戶訪問資源，未經(jīng)授權(quán)的用戶無法訪問，從而很好地解決數(shù)據(jù)安全和隱私泄漏的問題。

目前，現(xiàn)有工作已將深度學(xué)習(xí)或協(xié)同深度學(xué)習(xí)算法應(yīng)用于醫(yī)療圖像分析。在深度學(xué)習(xí)方面，例如，文獻(xiàn)[5]提出了一種基于特征傳遞網(wǎng)絡(luò)和局部背景抑制的微動脈瘤檢測方法；文獻(xiàn)[6]提出了一種反卷積神經(jīng)網(wǎng)絡(luò)準(zhǔn)確區(qū)分微動脈瘤和非微動脈瘤；文獻(xiàn)[7]利用形態(tài)學(xué)的開閉操作來消除孤立的噪聲點(diǎn)。此外，還將圖像尺寸的歸一化方法應(yīng)用于訓(xùn)練集和測試集的構(gòu)建。協(xié)同深度學(xué)習(xí)方面，例如，在胸部CT上準(zhǔn)確識別肺惡性結(jié)節(jié)，文獻(xiàn)[8]提出了一種基于多視角知識的協(xié)同深度學(xué)習(xí)模型，利用有限的胸部CT數(shù)據(jù)來分離惡性結(jié)節(jié)和良性結(jié)節(jié)；基于兩個協(xié)作深度學(xué)習(xí)網(wǎng)絡(luò)，文獻(xiàn)[9]提出了一種基于關(guān)節(jié)卷積神經(jīng)網(wǎng)絡(luò)模型的肩關(guān)節(jié)圖像自動分割算法，該算法能夠準(zhǔn)確分割肩關(guān)節(jié)圖像中的肩關(guān)節(jié)盂和肱骨頭；文獻(xiàn)[10]在醫(yī)療健康協(xié)作深度學(xué)習(xí)中提出了分割學(xué)習(xí)的方法。然而，現(xiàn)有關(guān)于深度學(xué)習(xí)和協(xié)同深度學(xué)習(xí)算法的工作偏重于模型的設(shè)計，未同時考慮數(shù)據(jù)清洗和分類的協(xié)同，這將導(dǎo)致數(shù)據(jù)質(zhì)量不高。此外，還存在個人隱私泄漏和數(shù)據(jù)安全保護(hù)問題。

為了保證醫(yī)療數(shù)據(jù)的安全和隱私，學(xué)者們已經(jīng)提出了多種訪問控制方法。例如，在醫(yī)療圖像傳輸中，文獻(xiàn)[11]提出了一種采用兩層方法的分層訪問控制方案。Choi 等人提出了基于風(fēng)險的訪問控制模型，動態(tài)決定訪問權(quán)限。流行的訪問控制模型有基于角色的訪問控制（role-based access control，RBAC）、基于屬性的訪問控制（attribute-based access control，ABAC）、基于區(qū)塊鏈的訪問控制（blockchain-based access control，BBAC）。其中，RBAC利用用戶的角色來定義安全策略，該策略通常與用戶的作業(yè)相關(guān)聯(lián)，其在醫(yī)院信息系統(tǒng)（hospital information system，HIS）中被廣泛使用。Jin 等人提出了基于角色的云基礎(chǔ)設(shè)施即服務(wù)訪問控制。為了實(shí)現(xiàn)良好的細(xì)粒度訪問控制，Xue 等人提出了基于屬性的協(xié)同訪問控制（attribute-based controlled collaborative access control，

ABCCC）模型，其中數(shù)據(jù)所有者指定選定的用戶進(jìn)行協(xié)作訪問。在文獻(xiàn)[15]中，基于屬性的細(xì)粒度訪問控制加密被設(shè)計成用屬性集標(biāo)記密文。由于區(qū)塊鏈的去中心化和不可篡改特點(diǎn)，區(qū)塊鏈成為解決電子病歷互操作性和安全性問題的一種很有前景的解決方案。在醫(yī)療信息系統(tǒng)中，一些現(xiàn)有工作提出了基于區(qū)塊鏈的訪問控制方法。文獻(xiàn)[17]提出了一個可擴(kuò)展的、健壯性高的系統(tǒng)，其中包含了區(qū)塊鏈技術(shù)進(jìn)行訪問控制。它使用了一種離散小波變換技術(shù)來增強(qiáng)安全性。Omar等人使用區(qū)塊鏈進(jìn)行患者醫(yī)療保健的安全隱私存儲，解決了在存儲加密數(shù)據(jù)時失控的問題。然而，對于RBAC，很多工作忽視了屬性級別的細(xì)粒度訪問特點(diǎn)。對于BBAC，很多工作忽視了輕量級訪問的特點(diǎn)。因此，他們方案的性能和可伸縮性受到計算密集型共識機(jī)制的限制。

本文提出了兩種避免未經(jīng)授權(quán)訪問醫(yī)療數(shù)據(jù)的訪問控制方案，包括改進(jìn)的基于角色的訪問控制（RAC）方案和基于區(qū)塊鏈的訪問控制方案（BAC）。RAC 是基于角色優(yōu)先級劃分的，具有來自功能權(quán)限和數(shù)據(jù)權(quán)限的屬性級約束，可以禁止非法用戶訪問HIS。分布式網(wǎng)絡(luò)體系結(jié)構(gòu)中，BAC 使用了區(qū)塊鏈技術(shù)，可避免可信第三方權(quán)威機(jī)構(gòu)的參與。其訪問控制策略使用輕量級無證書公鑰加密算法來保護(hù)醫(yī)療數(shù)據(jù)的隱私和安全，并且減少了數(shù)據(jù)傳輸量。由于HIS 大部分功能通常在局域網(wǎng)中使用，它比在廣域網(wǎng)中使用的其他系統(tǒng)更安全，并且?guī)捀映渥恪Ｒ虼吮疚脑诿嫦蚓钟蚓W(wǎng)使用系統(tǒng)功能部分使用基于角色的訪問控制方案，在面向廣域網(wǎng)使用系統(tǒng)功能部分使用基于區(qū)塊鏈的輕量級訪問控制方案。

本文的主要貢獻(xiàn)如下：

（1）提出了面向醫(yī)療圖像協(xié)同分析的系統(tǒng)模型。該模型中，醫(yī)療圖像在私有云本地進(jìn)行清洗，高性能的清洗模型參數(shù)通過區(qū)塊鏈共享給其他私有云。清洗后的高質(zhì)量圖像傳遞給分類模型，模型參數(shù)通過API 網(wǎng)關(guān)安全地上傳至公有云，并由公有云加權(quán)平均得到新的全局模型，全局模型再被下發(fā)給各私有云。該過程面向協(xié)同機(jī)器學(xué)習(xí)時，不需要將圖像上傳至公有云，降低了數(shù)據(jù)傳輸量，保護(hù)了私有云身份、權(quán)限和模型參數(shù)的安全，并實(shí)現(xiàn)更加準(zhǔn)確的病變分類。

（2）改進(jìn)了基于角色的訪問控制方案RAC。改進(jìn)后的方案能夠靈活動態(tài)地同時向角色授予功能權(quán)限和數(shù)據(jù)訪問權(quán)限，同時還考慮了屬性，實(shí)現(xiàn)細(xì)粒度訪問控制。

（3）提出了一種基于區(qū)塊鏈的訪問控制方案BAC，通過基于橢圓曲線密碼的輕量級無證書公鑰密碼體制來保護(hù)身份、權(quán)限和模型參數(shù)的安全。隨機(jī)選擇一個聯(lián)盟節(jié)點(diǎn)作為密鑰生成中心，不需要可信第三方的參與。

1 系統(tǒng)模型

為了保障患者的醫(yī)療數(shù)據(jù)安全和系統(tǒng)的模型參數(shù)安全的同時，提高病變分類準(zhǔn)確率，本文提出醫(yī)療圖像協(xié)同分析的系統(tǒng)模型。

1.1 醫(yī)療圖像協(xié)同分析的系統(tǒng)模型

本文設(shè)計的醫(yī)療圖像協(xié)同分析的系統(tǒng)模型如圖1 所示，包括數(shù)據(jù)清洗和病變分類兩個階段。數(shù)據(jù)清洗階段從聯(lián)盟鏈CBD（consortium blockchain for data cleaning）上獲取私有云提供的清洗效果最好的模型參數(shù)（每個私有云都將自己的模型通過CBD 共享），用于識別出低質(zhì)量圖像，不再將低質(zhì)圖像傳遞到病變分類階段。病變分類階段主要使用經(jīng)過數(shù)據(jù)清洗得到的高質(zhì)量圖像進(jìn)行訓(xùn)練和分類，并將模型參數(shù)通過API（application programming interface）網(wǎng)關(guān)安全傳遞給公有云。公有云收集各私有云模型參數(shù)，并通過加權(quán)平均的方式得到全局模型，進(jìn)而將全局模型分享給各私有云。私有云向公有云請求服務(wù)時，API 網(wǎng)關(guān)借助聯(lián)盟鏈CBC（consortium blockchain for classification）對私有云進(jìn)行身份認(rèn)證和訪問控制，避免非法用戶訪問公有云。

圖1 醫(yī)療圖像協(xié)同分析系統(tǒng)模型Fig.1 System model for medical image collaborative analysis

為了數(shù)據(jù)安全，醫(yī)生、私有云和公有云之間的數(shù)據(jù)只有在身份驗(yàn)證通過后方可進(jìn)行交換。因此，本文設(shè)計了兩種訪問控制方案，一種是改進(jìn)基于角色的訪問控制方案（RAC），另一種是基于聯(lián)盟鏈的訪問控制方案（BAC）。在RAC 中，考慮了功能權(quán)限和數(shù)據(jù)權(quán)限。把一所醫(yī)院看作一個私有云。對于每個私有云，RAC 確保只有合法用戶才能使用授權(quán)的軟件功能并訪問HIS 中的授權(quán)數(shù)據(jù)集，實(shí)現(xiàn)數(shù)據(jù)清洗和病變分類。在BAC 中，公有云以API 的形式對外提供服務(wù)。每個私有云都通過API 網(wǎng)關(guān)與公有云交換數(shù)據(jù)。API 網(wǎng)關(guān)是私有云和公有云之間的通道路由器。此外，它還是一個負(fù)載均衡器，甚至是授權(quán)和訪問管理器。在傳統(tǒng)的信息系統(tǒng)中，客戶端可以在第三方授權(quán)機(jī)構(gòu)授予權(quán)限的情況下訪問數(shù)據(jù)。本文方案中，私有云可以通過API 網(wǎng)關(guān)中的BAC 直接從公有云請求數(shù)據(jù)，同時驗(yàn)證私有云的身份和權(quán)限。RAC和BAC 都可以保護(hù)數(shù)據(jù)的安全性和私密性，同時降低了設(shè)置授權(quán)權(quán)限和驗(yàn)證有效用戶的復(fù)雜性。此外，在私有云節(jié)點(diǎn)和API 網(wǎng)關(guān)節(jié)點(diǎn)上部署了兩個聯(lián)盟鏈，以保護(hù)數(shù)據(jù)安全和隱私。第一個是在數(shù)據(jù)清洗階段保存深度學(xué)習(xí)模型的聯(lián)盟鏈（CBD）。第二個是在分類階段保存日志、私有云身份和權(quán)限的聯(lián)盟鏈（CBC）。

1.2 數(shù)據(jù)清洗

數(shù)據(jù)清洗架構(gòu)如圖2所示。每個私有云都有一個基于關(guān)系數(shù)據(jù)庫（如Oracle）的HIS 集群。同時，本文構(gòu)建一個卷積神經(jīng)網(wǎng)絡(luò)（convolutional neural network，CNN）模型對私有云中的醫(yī)療圖像進(jìn)行清洗，并用聯(lián)盟鏈保存深度學(xué)習(xí)模型。HIS 是一個由一系列信息系統(tǒng)組成的綜合性信息平臺。它涉及醫(yī)院的行政、財務(wù)和臨床管理等方面。此外，最重要的一點(diǎn)是只有經(jīng)過授權(quán)的用戶才能訪問HIS 中的數(shù)據(jù)。目前，大多數(shù)信息系統(tǒng)采用的傳統(tǒng)的基于角色的權(quán)限控制方案，因此，使用RAC 方案，并進(jìn)行改進(jìn)，使其更加靈活、動態(tài)，并且實(shí)現(xiàn)細(xì)粒度控制。

圖2 數(shù)據(jù)清洗的架構(gòu)Fig.2 Architecture for data cleaning

在該方案中，授權(quán)醫(yī)生可以使用HIS 將所有加密的醫(yī)療圖像上傳到相應(yīng)的私有云進(jìn)行數(shù)據(jù)清洗。深度學(xué)習(xí)模型將低質(zhì)量圖像的結(jié)果返回給相應(yīng)的醫(yī)生，以方便醫(yī)生重新采集圖像。每個私有云作為一個節(jié)點(diǎn)加入聯(lián)盟區(qū)塊鏈。每個節(jié)點(diǎn)都將更新后的模型寫入?yún)^(qū)塊鏈。為了提高模型的學(xué)習(xí)能力，私有云選擇模型時采取“迭代擇優(yōu)”策略，當(dāng)前節(jié)點(diǎn)總是從CBD 上獲取清洗性能最好的模型。

數(shù)據(jù)清洗過程描述如下：

醫(yī)生掃描的所有圖像加密后通過HIS 上傳到私有云；

利用深度學(xué)習(xí)模型對低質(zhì)量圖像進(jìn)行清洗；

高質(zhì)量圖像將傳遞給下一階段進(jìn)行病變分類，低質(zhì)量的圖像返回給醫(yī)生，并在HIS 中提醒醫(yī)生；

將更新后的深度學(xué)習(xí)模型重新寫入聯(lián)盟鏈CBD 上；

當(dāng)前節(jié)點(diǎn)讀取并使用CBD 上數(shù)據(jù)清洗性能最好的模型。

1.3 病變分類

病變分類架構(gòu)如圖3 所示。一方面，私有云在此階段提供病變分類功能；另一方面，私有云與公有云之間通過REST API 進(jìn)行數(shù)據(jù)交換。REST API 可以通過提供許多有用且強(qiáng)大的特性輕松地擴(kuò)展系統(tǒng)的使用范圍。根據(jù)區(qū)塊鏈的特點(diǎn)，私有云可以訪問公有云中的數(shù)據(jù)，而不需要可信第三方的身份驗(yàn)證。私有云接入時即被分配適當(dāng)?shù)腁PI 權(quán)限，當(dāng)其向公有云請求服務(wù)時，API 網(wǎng)關(guān)同時驗(yàn)證其身份和權(quán)限。這里構(gòu)造了一條用于訪問控制的聯(lián)盟鏈（CBC）。私有云加入到聯(lián)盟區(qū)塊鏈網(wǎng)絡(luò)時或更新公鑰時，將公鑰信息上鏈，而不再全網(wǎng)廣播，減少網(wǎng)絡(luò)通信量。私有云可以從區(qū)塊鏈讀取數(shù)據(jù)，也可以向區(qū)塊鏈寫入數(shù)據(jù)，而API網(wǎng)關(guān)只能從區(qū)塊鏈讀取數(shù)據(jù)。

圖3 病變分類的架構(gòu)Fig.3 Architecture for lesion classification

私有云將模型參數(shù)上傳至公有云時，使用無證書加密算法封裝身份、權(quán)限、模型參數(shù)，API 網(wǎng)關(guān)利用CBC 進(jìn)行身份認(rèn)證和權(quán)限識別，公有云匯聚各私有云的模型參數(shù)后，進(jìn)行加權(quán)平均處理，得到新的全局模型，再將其下發(fā)給各私有云。

1.4 用于清洗和分類的深度學(xué)習(xí)

臨床上醫(yī)療圖像的質(zhì)量參差不齊，低質(zhì)量的彩色眼底圖像主要存在對比度低、過度曝光以及圖像中包含噪聲等問題。這些低質(zhì)量圖像大大增加了眼科醫(yī)生的診斷難度，甚至無法分辨DR（diabetic retinopathy）早期的病變類型，如出血點(diǎn)和硬性滲出物等。同時，在利用計算機(jī)技術(shù)自動檢測DR 病變時，低質(zhì)量的彩色眼底圖像會對檢測模型的訓(xùn)練過程造成極大干擾，從而無法訓(xùn)練出精確檢測病變的模型。因此，在數(shù)據(jù)清洗階段將這些低質(zhì)量圖像剔除，可以大大提升模型檢測的效果。本文利用CNN 模型對低質(zhì)量圖像進(jìn)行檢測，該模型結(jié)構(gòu)如圖4 所示，模型參數(shù)如表1所示。本文使用文獻(xiàn)[20]中的模型對眼底圖像中的出血點(diǎn)和硬性滲出物進(jìn)行檢測，檢測效果優(yōu)于大部分已有的方法。

圖4 數(shù)據(jù)清洗模型Fig.4 Model of data cleaning

表1 數(shù)據(jù)清洗模型參數(shù)Table 1 Model parameters of data cleaning

2 訪問控制方案

2.1 改進(jìn)基于角色的訪問控制

本文改進(jìn)基于角色的訪問控制RAC 方案首先考慮角色的優(yōu)先級，然后考慮屬性。它通過同時向角色授予操作權(quán)限和數(shù)據(jù)訪問權(quán)限來實(shí)現(xiàn)細(xì)粒度訪問。設(shè)置訪問控制策略有兩種方式：一種提供高效、方便的設(shè)置，屬于靜態(tài)數(shù)據(jù)權(quán)限設(shè)置；另一種提供靈活的動態(tài)設(shè)置，屬于基于屬性的動態(tài)數(shù)據(jù)權(quán)限設(shè)置。管理員可以根據(jù)規(guī)則編寫表達(dá)式來實(shí)現(xiàn)數(shù)據(jù)訪問控制。在高優(yōu)先級下，允許基于屬性的數(shù)據(jù)權(quán)限設(shè)置保持為空。基于屬性的動態(tài)數(shù)據(jù)權(quán)限是在有效約束下執(zhí)行的。醫(yī)生使用HIS 管理員分配的用戶名和密碼通過中央認(rèn)證服務(wù)（central authentication service，CAS）的單點(diǎn)登錄（single sign on，SSO）方式登錄系統(tǒng)。醫(yī)生的身份通過CAS 服務(wù)器的HTTPS 請求驗(yàn)證。通過后，系統(tǒng)根據(jù)角色動態(tài)加載醫(yī)生的功能模塊（菜單）。醫(yī)生擁有多個角色，且該權(quán)限可被多個角色的權(quán)限重疊。這個過程由服務(wù)器執(zhí)行，服務(wù)器計算權(quán)限并通過HTTPS 將模塊傳輸給客戶端。一旦醫(yī)生使用了指定的頁面，服務(wù)器就可以驗(yàn)證他的操作權(quán)限和數(shù)據(jù)權(quán)限，并將它們存儲在一個會話中，這樣可以降低通信和計算成本。

下面給出描述RAC 模型的一些定義。

（RAC 模型）RAC 模型由以下組件組成：

（1）、、P、P、分別表示用戶、角色、操作權(quán)限、數(shù)據(jù)權(quán)限和對象的集合。

（2）?{(p,p,)|P∧p∈P∧∈}表示權(quán)限的集合。

（3）～、～、～、～分別表示用戶-角色、用戶-會話、會話-角色之間的關(guān)系。

（4）～?×表示一個用戶和角色之間多對多的關(guān)系。

（5）～?×表示一個權(quán)限與角色之間多對多的關(guān)系。

（6）ROP=(,,p)表示操作權(quán)限分配功能，即對于對象，角色擁有權(quán)限p。

（7）ROP=(,,p)表示操作權(quán)限分配功能，即對于對象，角色擁有權(quán)限p。

（）表示一個對象的權(quán)限代碼，由0 和1 構(gòu)成 的字符串，0 表示未授權(quán)，1 表示授權(quán)。

（(1,2)）功能用來對參數(shù)1 和2 執(zhí)行按位“與”操作。

（(1,2)）功能用來對參數(shù)1 和2 執(zhí)行按位“或”操作。

（(1,2)）功能用來從參數(shù)1 和2 執(zhí)行取小值操作。

（屬性）屬性指一個對象的特征，用二元組＜名稱，值＞表示。

（屬性表達(dá)式，AE）屬性表達(dá)式是一個三元組＜名稱，操作，值＞。操作集合為{＞,≥,＜,≤,=,≠}。

（權(quán)限表達(dá)式，PE）權(quán)限表達(dá)式是一個PCode和屬性表達(dá)式的組合。

會話約束由CAS 提供，CAS 還用于驗(yàn)證用戶的身份。如果用戶被授權(quán)，則將用戶信息（包括角色信息）返回給HIS 中相應(yīng)的子系統(tǒng)。然后系統(tǒng)根據(jù)操作權(quán)限加載對象，即系統(tǒng)模塊。權(quán)限由靜態(tài)數(shù)據(jù)權(quán)限（以p表示）和基于屬性的動態(tài)數(shù)據(jù)權(quán)限（以p表示）決定。對于對象和角色，用戶的權(quán)限=(,,)計算如下：

其中，||表示連接操作。

對于對象擁有例如、兩個角色，其ROP計算如下：

其中，()表示屬于對象，(())表示多屬性表達(dá)式之間的邏輯操作（,,）。接著便能得到對象的操作權(quán)限和數(shù)據(jù)權(quán)限PE。

RAC 中，一個系統(tǒng)模塊視為一個對象，CRUD 操作（創(chuàng)建、檢索、更新和刪除）在關(guān)系數(shù)據(jù)庫中執(zhí)行。數(shù)據(jù)訪問權(quán)限與角色的工作職責(zé)相關(guān)聯(lián)。表2 中設(shè)置了4 個數(shù)據(jù)訪問級別，并進(jìn)行了編碼，包括個人級別、組級別、科室級別和醫(yī)院級別。個人級別意味著用戶可以訪問自己創(chuàng)建的記錄。部門級別意味著用戶可以訪問同部門中所有成員創(chuàng)建的記錄。表3 列出角色和針對對象、、的訪問控制策略。對于和，操作權(quán)限是“1010”表示用戶具有創(chuàng)建的權(quán)限，不具有檢索的權(quán)限，具有更新的權(quán)限，不具有刪除的權(quán)限。假設(shè)某用戶擁有角色和，那么針對對象，這個用戶擁有的操作權(quán)限是“1010 AND 1110”，即“1010”。該用戶對應(yīng)靜態(tài)的數(shù)據(jù)訪問權(quán)限是“MIN（01，10）”，即“01”。最終，這個用戶的PCode 是“101001”。由于角色和針對對象的操作權(quán)限都是“0”，PCode 不會被寫入數(shù)據(jù)庫中，這樣系統(tǒng)可以通過操作權(quán)限控制用戶對資源的允許訪問或者拒絕訪問。表3 中，角色對資源擁有操作權(quán)限“1010”、靜態(tài)數(shù)據(jù)訪問權(quán)限“01”和基于屬性的動態(tài)數(shù)據(jù)訪問權(quán)限“（score≥90 and lesion=HA）”。當(dāng)基于屬性的動態(tài)數(shù)據(jù)訪問權(quán)限非空時，靜態(tài)數(shù)據(jù)訪問權(quán)限變?yōu)闊o效，基于屬性的動態(tài)數(shù)據(jù)訪問權(quán)限優(yōu)先級高于靜態(tài)數(shù)據(jù)訪問權(quán)限?！埃╯core≥90 and lesion=HA）”表示圖像質(zhì)量大于等于90，并且病變類型為出血點(diǎn)。為了保證醫(yī)療數(shù)據(jù)的安全，根據(jù)安全的最小權(quán)限原則，對多個角色的基于屬性的數(shù)據(jù)權(quán)限進(jìn)行“與”操作。此外，RAC 方案也滿足責(zé)任分離原則。

表2 數(shù)據(jù)訪問級別Table 2 Level of data access

表3 控制策略Table 3 Control policy

2.2 基于區(qū)塊鏈的訪問控制

私有云可以通過微服務(wù)與公有云進(jìn)行數(shù)據(jù)交換，這些服務(wù)很容易部署在異構(gòu)網(wǎng)絡(luò)中，每個微服務(wù)都可以設(shè)計為執(zhí)行特定的任務(wù)。假設(shè)一個服務(wù)“/service”包括“/service/post”“/service/get”“/service/put”“/service/delete”，分別對應(yīng)創(chuàng)建、檢索、更新和刪除的操作。RAC 中，可將一個功能模塊視為一個對象，BAC 中，一個API 視為一個對象。當(dāng)私有云向公有云請求服務(wù)時，私有云的PE（此處的PE 擴(kuò)展為私有云身份、權(quán)限及分類模型參數(shù)）將被傳輸至API 網(wǎng)關(guān)，API 網(wǎng)關(guān)讀取區(qū)塊鏈上該私有云公鑰等數(shù)據(jù)，對私有云進(jìn)行身份認(rèn)證和權(quán)限識別。因此，在廣域網(wǎng)中，安全風(fēng)險增大，帶寬有限，身份和權(quán)限信息的安全及輕量化便是一個具有挑戰(zhàn)的問題。區(qū)塊鏈技術(shù)利用其具有去中心化、透明性、可追溯、防篡改等特征，可提高數(shù)據(jù)可信任性和安全性。接下來重點(diǎn)闡述云環(huán)境下身份認(rèn)證、權(quán)限識別的輕量化過程。

在眾多的加密密鑰管理方案中，無證書公鑰密碼體制（certificateless public key cryptography，CL-PKC）在許多方面優(yōu)于公鑰密碼體制和基于身份的密碼體制。CL-PKC 可以避免在沒有公鑰真實(shí)性認(rèn)證的情況下對基于身份的私鑰托管問題。在CL-PKC 中，可信密鑰生成中心（key generation center，KGC）生成部分私鑰，而不是完整的私鑰。另一部分是由用戶端生成。上述密碼系統(tǒng)需要依賴于可信的第三方KGC，這樣容易受到攻擊造成單點(diǎn)故障。借力區(qū)塊鏈技術(shù)和基于橢圓曲線密碼體制（elliptic curve cryptography，ECC）的無證書公鑰密碼體制，本文提出了一種基于區(qū)塊鏈的輕量級無證書公鑰加密（blockchain lightweight certificateless public key cryptography，BL-CL-PKC），用于對數(shù)據(jù)加密/解密和簽名/驗(yàn)證簽名。在聯(lián)盟鏈中，只有部分事先被選擇的節(jié)點(diǎn)才被允許加入到網(wǎng)絡(luò)中，這些節(jié)點(diǎn)被稱為聯(lián)盟節(jié)點(diǎn)（consortium nodes，CNs）。在BL-CL-PKC 中，KGC 是聯(lián)盟節(jié)點(diǎn)之一，而不是一個獨(dú)立的第三方。

假設(shè)標(biāo)識符為ID的私有云A 向標(biāo)識符ID的API 網(wǎng)關(guān)B 請求數(shù)據(jù)交換。只有授權(quán)節(jié)點(diǎn)才能參與聯(lián)盟區(qū)塊鏈，加密后的PE 及由私有云簽名信息提前寫入?yún)^(qū)塊鏈中。當(dāng)私有云A 向網(wǎng)關(guān)B 發(fā)送一個請求，網(wǎng)關(guān)B 從區(qū)塊鏈讀取加密后的PE，并解密。同時，B需要驗(yàn)證A 的數(shù)字簽名。這個過程需要使用BL-CLPKC 中一個輕量級的無證書公鑰加密（lightweight certificateless public key encryption，L-CL-PKE）方案和一個輕量級的無證書公鑰簽名（lightweight certificateless public key signature，L-CL-PKS）方案。

一個輕量級的無證書公鑰加密（L-CL-PKE）方案由算法Setup、ExtractPartialKey、SetSecretValue、Set-PrivateKey、SetPublicKey、Encrypt和Decrypt組成。

（1）Setup

該算法由CN 運(yùn)行，執(zhí)行系統(tǒng)設(shè)置操作。算法描述如下：

其中，、、P分別代表系統(tǒng)公開參數(shù)、主私鑰和主公鑰，表示安全參數(shù)。算法主要處理過程如下：

（2）ExtractPartialKey

該算法由CN 運(yùn)行，執(zhí)行生成部分私鑰d和部分公鑰R操作，并通過安全通道發(fā)送給私有云。算法描述如下：

算法主要處理過程如下：

（3）SetSecretValue

該算法由私有云運(yùn)行，執(zhí)行生成秘密值x操作，該值由私有云安全存儲。算法描述如下：

其中，表示一個私有云的唯一標(biāo)識符。 x從[1,-1]中隨機(jī)選擇。該算法同樣在API網(wǎng)關(guān)中運(yùn)行。

（4）SetPrivateKey

該算法由私有云運(yùn)行，執(zhí)行設(shè)置私有云的私鑰SK操作。算法描述如下：

算法主要處理過程如下：

該算法同樣在API網(wǎng)關(guān)中運(yùn)行。

（5）SetPublicKey

該算法由私有云運(yùn)行，執(zhí)行設(shè)置公鑰PK操作。算法描述如下：

PK由式（9）計算獲得：

可知，PK與ID和P有關(guān)。該算法同樣在API網(wǎng)關(guān)中運(yùn)行。

（6）Encrypt

該算法由私有云運(yùn)行，執(zhí)行加密操作。私有云使用API 網(wǎng)關(guān)的公鑰PK加密PE，并將密文保存到區(qū)塊鏈中。算法描述如下：

該算法返回密文和加密失敗信息。ID是API網(wǎng)關(guān)唯一標(biāo)識符。算法主要處理過程如下：

（7）Decrypt

該算法由API 網(wǎng)關(guān)運(yùn)行，執(zhí)行解密操作。當(dāng)私有云向公有云請求訪問時，API 網(wǎng)關(guān)讀取密文并運(yùn)行該算法，使用SK進(jìn)行解密。算法描述如下：

該算法返回明文PE 和解密出錯信息。算法主要處理過程如下：

一個輕量級的無證書公鑰簽名（L-CL-PKS）方案由算法Setup、ExtractPartialKey、SetSecretValue、Set-PrivateKey、SetPublicKey、Sign 和Verify組成，算 法Setup、ExtractPartialKey、SetSecretValue、SetPrivateKey、SetPublicKey 與CL-PKE 中的相同。

（1）Sign

該算法由私有云運(yùn)行，使用私鑰SK對消息執(zhí)行數(shù)字簽名操作。算法描述如下：

該算法返回簽名和出錯提示信息。 ID是私有云唯一標(biāo)識符。算法主要處理過程如下：

該算法由API 網(wǎng)關(guān)運(yùn)行，使用私有云的公鑰PK對簽名執(zhí)行認(rèn)證操作。算法描述如下：

該算法返回表示認(rèn)證通過，表示認(rèn)證不通過，表示認(rèn)證過程發(fā)生異常。 ID是私有云的唯一標(biāo)識符。算法主要處理過程如下：

現(xiàn)有的CL-PKC 方案大多基于雙線性配對，計算成本較高，效率較低。BAC 方案基于ECC，加密和簽名通過標(biāo)量乘法實(shí)現(xiàn)，只需要簡單的哈希函數(shù)，而橢圓曲線上的標(biāo)量乘法運(yùn)算速度比模指數(shù)運(yùn)算快得多，因此，BAC 方案具有明顯的效率優(yōu)勢。由于哈希、對稱密碼算法等算術(shù)運(yùn)算的開銷要比標(biāo)量乘法的開銷低得多，在開銷中主要考慮標(biāo)量乘法的個數(shù)。核心算法是Encrypt、Decrypt、Sign 和Verify 分別對應(yīng)有2個、1 個、1 個和3 個標(biāo)量乘法。而文獻(xiàn)[19]中Encrypt和Decrypt 則高達(dá)60 個和20 個標(biāo)量乘法。文獻(xiàn)[25]中的Sign 和Verify 也分別有1 個和7 個標(biāo)量乘法。

3 實(shí)驗(yàn)與對比分析

3.1 RBAC 方案對比

表4 列出一些基于角色的訪問控制模型，并從基于屬性、靈活性、動態(tài)性等方面與本文的RAC 模型進(jìn)行對比。本文提出的RAC 模型在控制數(shù)據(jù)域訪問時可以靈活配置，不同層級角色實(shí)現(xiàn)不同范圍的數(shù)據(jù)訪問，功能操作可以根據(jù)業(yè)務(wù)需要增加或減少，具有靈活性、動態(tài)性、可擴(kuò)展性等特征，并在實(shí)際項(xiàng)目中得以應(yīng)用，證明其是可用的而且方便的。此外，RAC基于屬性能夠?qū)崿F(xiàn)細(xì)粒度的訪問控制。由表4 可以看出，在是否支持屬性級別的控制、靈活性、動態(tài)性、擴(kuò)展性多層級安全控制和模型安全方向，RAC 都要優(yōu)于ABCCC、E-RBAC、SAT-RBAC 和ABAC-IaaS。

表4 基于角色訪問控制的比較Table 4 Comparison of role-based access control

3.2 BAC 中運(yùn)行時間的對比

運(yùn)行時間對比實(shí)驗(yàn)在安裝Windows 10 操作系統(tǒng)的PC機(jī)上進(jìn)行，該P(yáng)C機(jī)配置為2.9 GHz Intel、Core、i7-7500U，8 GB RAM，128 GB SSD 和1 TB HDD。使用Java 語言（JDK 1.8）在開發(fā)環(huán)境IntelliJ IDEA 2018.3.1 Ultimate Edition 上編寫。加密/解密、簽名/驗(yàn)證分別基于ECIES 和ECDSA。使用160 位密鑰長度的ECC作為參考安全強(qiáng)度，采用Secp160r1[SEC2]中的參數(shù)。Encrypt 中對稱密鑰算法使用128 位AES。由于哈希、對稱密碼算法等算術(shù)運(yùn)算的開銷要比標(biāo)量乘法的開銷低得多，在時間開銷中主要用標(biāo)量乘法的個數(shù)乘以一個標(biāo)量乘法運(yùn)行時間來衡量（一個標(biāo)量乘法運(yùn)行時間平均約計0.81 ms）。

BAC 方案使用BL-CL-PKC 對PE 進(jìn)行加密/解密以及簽名/認(rèn)證，并將L-CL-PKE 和L-CL-PKS 分別與文獻(xiàn)[19]、文獻(xiàn)[28]、文獻(xiàn)[29]進(jìn)行加密/解密時間對比，與文獻(xiàn)[19]、文獻(xiàn)[25]、文獻(xiàn)[30]進(jìn)行簽名/認(rèn)證時間對比。圖5（a）為算法對PE 進(jìn)行加密和解密操作時運(yùn)行時間的對比。從圖中可以看出，算法L-CL-PKE在對PE 進(jìn)行加密和對密文進(jìn)行解密的時間消耗優(yōu)于對比算法。圖5（b）為算法對PE 進(jìn)行簽名和認(rèn)證操作時運(yùn)行時間的對比。從圖中可以看出，算法L-CLPKS 在對PE 進(jìn)行簽名和認(rèn)證操作時，時間消耗優(yōu)于對比算法。這是因?yàn)镃L-PKE 采用雙線性對，運(yùn)行的時間代價比標(biāo)量乘法高，而其他算法標(biāo)量乘法數(shù)量較多。相反，本文L-CL-PKE 的設(shè)計是將ID 集成到ECC 中，而不是基于身份的加密，但它保留了基于身份的公鑰加密的特性。因此，提出的BAC 方案是輕量級的。

圖5 時間消耗對比Fig.5 Comparison of running time

3.3 病變分類結(jié)果

本文對DIARETDB0（DB0）數(shù)據(jù)集進(jìn)行數(shù)據(jù)清洗實(shí)驗(yàn)，對DIARETDB1（DB1）數(shù)據(jù)集中的眼底圖像進(jìn)行DR 早期病變檢測。其中，DB0 數(shù)據(jù)集包含130 幅彩色眼底圖像，DB1 數(shù)據(jù)集包含89 幅彩色眼底圖像，兩個數(shù)據(jù)集的眼底圖像大小均為1 500×1 152。DB0 中的眼底圖像被劃分為低質(zhì)圖像和非低質(zhì)圖像，利用DB0 數(shù)據(jù)集對數(shù)據(jù)清洗模型訓(xùn)練，為了驗(yàn)證模型的性能，本文使用DB1 數(shù)據(jù)集對訓(xùn)練好的模型進(jìn)行測試。實(shí)驗(yàn)結(jié)果表明，本文所選用模型可以過濾掉低質(zhì)量的眼底圖像，其準(zhǔn)確率可提升至74.4%。DB1 數(shù)據(jù)集包含出血點(diǎn)和硬性滲出物的真值圖，因此本文利用該數(shù)據(jù)集來驗(yàn)證模型的病變分類效果。同時，本文采用10 倍交叉驗(yàn)證方法對模型進(jìn)行訓(xùn)練和測試，檢測結(jié)果的衡量標(biāo)準(zhǔn)包括靈敏度和準(zhǔn)確率。其中，靈敏度（Sensitivity）為被分類正確的正樣本占所有被分類正樣本的比例，用來衡量模型對正樣本的分類性能；準(zhǔn)確率（Accuracy）為被分類正確的正負(fù)樣本數(shù)量占所有正負(fù)樣本數(shù)量總和的比例，用來衡量模型分類的整體性能，計算方式如下：

其中，為預(yù)測正確的正樣本；為預(yù)測正確的負(fù)樣本；為預(yù)測錯誤的正樣本；為預(yù)測錯誤的負(fù)樣本。本實(shí)驗(yàn)中，對正負(fù)樣本的檢測準(zhǔn)確率達(dá)到90.2%，圖6 為其中一幅彩色眼底圖像的檢測效果，其中，HA（hemorrhage）表示出血點(diǎn)，HEs（hard exudates）表示硬性滲出物。

圖6 DB1 數(shù)據(jù)集上出血點(diǎn)和硬性滲出物的分類結(jié)果Fig.6 Classification results of HA and HEs on DB1 dataset

除了靈敏度和準(zhǔn)確率，本文還使用FROC 曲線來衡量不同病變的檢測效果，該曲線描繪了靈敏度和平均每幅圖像上的誤檢個數(shù)的關(guān)系。圖7（a)、（b）分別為數(shù)據(jù)清洗前后的FROC 曲線，圖中FPs（false positives）表示假陽性。從曲線可以看出，清洗后不同病變的檢測靈敏度有所提高。表5 列出了每一種病變的敏感度，數(shù)據(jù)清洗后出血點(diǎn)和硬性滲出物的敏感度增加。為了更客觀地驗(yàn)證本文模型的檢測性能，表5 還對比了已有的不同方法對眼底圖像的檢測情況。從表中可以看出，數(shù)據(jù)清洗后出血點(diǎn)和硬性滲出物的靈敏度有所提升，并且本文模型的檢測性能均要優(yōu)于其他已有方法，表明了本文方法對眼底目標(biāo)檢測的有效性。

圖7 DR 病變分類的FROC 曲線Fig.7 FROC curves for DR lesions classification

表5 DR 病變的檢測靈敏度Table 5 Sensitivity of DR lesions classification

4 結(jié)論

本文設(shè)計了基于深度學(xué)習(xí)的醫(yī)療圖像協(xié)同分析系統(tǒng)模型，該模型能夠保護(hù)醫(yī)療數(shù)據(jù)和模型參數(shù)的安全，減少數(shù)據(jù)傳輸量，節(jié)省帶寬，同時實(shí)現(xiàn)更準(zhǔn)確的病變分類。系統(tǒng)模型中第一階段是數(shù)據(jù)清洗，即醫(yī)生采集圖像上傳至私有云進(jìn)行數(shù)據(jù)清洗，將清洗后的高質(zhì)量圖像傳遞給分類模型；第二階段是分類，即私有云使用高質(zhì)量圖像進(jìn)行模型訓(xùn)練，將模型參數(shù)上傳至公有云進(jìn)行聚合，然后公有云再將新得到的全局模型下發(fā)給私有云。在這兩個階段中，本文設(shè)計了RAC 和BAC 兩種訪問控制方案。RAC 基于角色和屬性，可以實(shí)現(xiàn)細(xì)粒度的、靈活的、動態(tài)的訪問控制。BAC 是一種基于區(qū)塊鏈的方案，可以消除可信的第三方來防止單點(diǎn)故障認(rèn)證或中間人攻擊，并且基于無證書公鑰加密技術(shù)，實(shí)現(xiàn)在廣域網(wǎng)上數(shù)據(jù)的輕量級傳輸。并且，私有云向公有云請求上傳模型參數(shù)時，不需要單獨(dú)進(jìn)行身份認(rèn)證和權(quán)限識別，而是將身份、權(quán)限信息與模型參數(shù)一起封裝，減少單獨(dú)的身份識別操作。兩種方案都可以防止非法用戶訪問醫(yī)療數(shù)據(jù)。數(shù)據(jù)清洗處理能夠去除低質(zhì)量圖像對DR 早期病變的診斷，有效提高精度。實(shí)驗(yàn)結(jié)果和安全性分析證明了該方案能有效地保護(hù)系統(tǒng)的安全性，對醫(yī)學(xué)數(shù)據(jù)進(jìn)行分類，分類精度可達(dá)90.2%。