CN114861224B - 基于风险和ucon访问控制模型的医疗数据系统 - Google Patents

基于风险和ucon访问控制模型的医疗数据系统 Download PDF

Info

Publication number
CN114861224B
CN114861224B CN202210506851.8A CN202210506851A CN114861224B CN 114861224 B CN114861224 B CN 114861224B CN 202210506851 A CN202210506851 A CN 202210506851A CN 114861224 B CN114861224 B CN 114861224B
Authority
CN
China
Prior art keywords
doctor
risk
access
doctors
risk value
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202210506851.8A
Other languages
English (en)
Other versions
CN114861224A (zh
Inventor
姜茸
陈雪
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Yunnan University of Finance and Economics
Original Assignee
Yunnan University of Finance and Economics
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Yunnan University of Finance and Economics filed Critical Yunnan University of Finance and Economics
Priority to CN202210506851.8A priority Critical patent/CN114861224B/zh
Publication of CN114861224A publication Critical patent/CN114861224A/zh
Application granted granted Critical
Publication of CN114861224B publication Critical patent/CN114861224B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/23Clustering techniques
    • G06F18/231Hierarchical techniques, i.e. dividing or merging pattern sets so as to obtain a dendrogram
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16HHEALTHCARE INFORMATICS, i.e. INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR THE HANDLING OR PROCESSING OF MEDICAL OR HEALTHCARE DATA
    • G16H10/00ICT specially adapted for the handling or processing of patient-related medical or healthcare data
    • G16H10/60ICT specially adapted for the handling or processing of patient-related medical or healthcare data for patient-specific data, e.g. for electronic patient records
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02ATECHNOLOGIES FOR ADAPTATION TO CLIMATE CHANGE
    • Y02A90/00Technologies having an indirect contribution to adaptation to climate change
    • Y02A90/10Information and communication technologies [ICT] supporting adaptation to climate change, e.g. for weather forecasting or climate simulation

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Data Mining & Analysis (AREA)
  • Medical Informatics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Epidemiology (AREA)
  • Evolutionary Computation (AREA)
  • Evolutionary Biology (AREA)
  • Primary Health Care (AREA)
  • Public Health (AREA)
  • Automation & Control Theory (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • Artificial Intelligence (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Medical Treatment And Welfare Office Work (AREA)

Abstract

本发明公开了一种基于风险和UCON访问控制模型的医疗数据系统,由以下四个功能模块组成:风险量化模块、医生聚类模块、主体属性更新模块、访问控制策略模块;通过对访问主体的历史访问行为计算风险值来实现动态调整访问主体访问权限的隐私保护,本发明提出了一个基于凝聚层次聚类的风险自适应访问控制模型,根据医生的历史访问行为分别计算直接风险和间接风险,并采用变异系数法计算总风险值,计算出的风险值使用指数加权移动平均算法EWMA来预测医生此次访问的风险值,通过凝聚层次聚类对整个科室医生的风险值进行聚类得出医生各个操作行为的风险区间,通过此次医生访问的风险值与操作行为的风险区间相匹配,授予医生相应的访问操作权限。

Description

基于风险和UCON访问控制模型的医疗数据系统
技术领域
本发明涉及一种基于风险和UCON访问控制模型的医疗数据系统。
背景技术
健康医疗大数据是我国医疗卫生行业比较重要的战略资源,但是医生在访问医疗数据的过程中访问自己工作无关的数据造成医疗数据内部泄露的风险。
医疗大数据是指人们在疾病防治、健康管理等过程中产生的与健康医疗相关的数据;它是大数据的一种。医疗大数据具有大数据4个“V”的特征,即:规模大、速度快、种类多和价值。医疗大数据具有较高的价值,容易引起数据泄露。医疗信息的泄露一部分来自于黑客利用医疗信息系统的安全漏洞进行攻击,还有一部分来自于医院工作人员的工作权限授予不合理造成数据访问过度。泄露的医疗记录中包括详细的个人信息和医疗细节,这些数据如果被不法之徒所利用,会对患者造成极大的困扰。医疗隐私信息泄露造成患者隐私保护困难,导致医疗大数据的利用率并不高。目前,医疗大数据的隐私保护问题已经成为急需解决的问题。
为了解决内部人员的过度授权造成隐私数据泄露,已有学者提出了多种访问控制模型,使访问主体在合法的授权范围内使用客体资源。自主访问控制、强制访问控制和基于角色的访问控制等传统的访问控制具有静态、明确访问授权的特点,不能很好地适应大数据场景下的动态性和实时性的特点;如果采用传统的访问控制对所有访问主体进行分别授权,信息系统的管理人员在完成日常工作的同时,要细化权限范围分别授权。这种方法不能适应大数据环境下实时性和动态性的特点,也会导致管理人员工作繁重。
发明内容
针对现有技术中存在的缺陷,本发明将风险和属性可变、决策连续的UCON访问控制模型相结合,提出基于风险和UCON的访问控制模型(RQ-UCON模型),在UCON模型的基础上添加风险量化组件(Risk Quantification Component,RQ),通过风险量化组件量化主体访问过程中可能造成信息泄露的风险,并将风险值作为主体的属性实现属性可变,同时将主体细分为访问主体和生产主体。UCON模型的属性更新分为访问前更新、访问期间更新和访问后更新,本发明根据历史记录得出的风险值来预测此次访问的风险值,故需要采取访问前更新的方式。
本发明提出了一种基于风险和UCON访问控制模型的医疗数据系统,根据医生的历史访问行为量化医生的风险值,通过历史记录计算出的风险值来实时更新医生此次访问的风险值,通过从凝聚层次聚类来计算出医生各个操作行为的风险区间,通过此次医生访问的风险值与操作行为的风险区间相匹配,授予医生相应的操作权限。通过最后的实验可知,本发明提出的访问控制模型对医生的过度访问行为具有一定的控制,对医疗大数据的隐私泄露具有一定的限制作用。
为了实现上述目的,本发明所述的基于风险和UCON访问控制模型的医疗数据系统包括以下工作步骤:
①医生作为访问主体SA向HIS系统发起访问客体O的请求;
②HIS系统判断SA是否是紧急访问,若SA为紧急访问,RQ-UCON模型的授权模块D授予SA全部访问权限;
③若SA不是紧急访问,RQ-UCON模型的RQ组件将进行风险值计算以及授权范围P和条件C确定,并将计算的风险值Rt+1的实时更新在ATT-S中;
④RQ-UCON模型根据SA的ATT-S中的风险值Rt+1与条件C进行匹配,若匹配成功,授权模块D授予SA相应的授权范围P;匹配失败,授权模块D将拒绝SA的此次访问;
最后将访问结果反馈给SA;
其中系统变量的定义如下:
RQ-UCON模型:基于风险和UCON的访问控制模型;
主体S分为生产主体SP和访问主体SA,生产主体包含:医院内部数据生产者、病患;访问主体包含:医院内部医护人员、病患、普通大众;
主体属性ATT-S:常规属性包括医生的职责、医生所属科室、医生编号;可变属性为主体风险值;
客体O:医疗大数据,包括患者个人信息、检查记录、患者电子病历、医疗研究数据;
客体属性ATT-O:患者所属科室、患病类别、保密级别、入院时间;
授权范围P:主体对客体资源进行操作的权利,包括:访问主体SA对客体O的添加、查看、修改、删除;
授权模块D:采用预先授权的方法,根据访问主体SA的角色赋予访问权限,之后根据访问主体SA风险值Rt+1动态调整授权范围P;
义务B:访问主体SA获得访问权限后需要对客体完成的义务;
条件C:访问主体SA发出访问请求时需要满足的条件,包括:访问主体SA的风险值Rt+1是否在允许访问的风险区间内,访问时间是否在上班时间内;风险区间划分采用凝聚层次聚类;
风险量化组件RQ:根据风险量化组件对访问主体SA访问请求行为进行量化,量化结果会更新主体属性ATT-S。
进一步的,所述RQ-UCON模型包括四个功能模块:
①风险量化模块:当用户发送访问请求时,风险量化模块通过医生的历史访问行为、操作行为、访问时间和访问信息的敏感度进行各风险因素的风险值计算,并通过变异系数法求出相应的权重,对医生行为可能造成的直接风险进行计算;同时通过整个科室全体医生工作目标与访问记录之间的偏离度计算间接风险,计算医生历史访问记录可能造成的风险值Rt+1;
②医生聚类模块:根据医生历史访问记录求出的风险值采用凝聚层次聚类算法将医生聚为四类,并得到四类医生对应的风险值区间;
③主体属性更新模块:根据医生历史访问记录求出的风险值采用指数加权移动平均EWMA算法来预测医生此次访问的风险值,并更新医生的风险值;
④访问控制策略模块:根据医生此次访问的风险值与四类医生对应风险值区间,进行访问控制策略的制定。
与现有技术相比,本发明具有如下的有益效果:
通过对访问主体的历史访问行为计算风险值来实现动态调整访问主体访问权限的隐私保护,本发明提出了一个基于凝聚层次聚类的风险自适应访问控制模型,根据医生的历史访问行为分别计算直接风险和间接风险,并采用变异系数法计算总风险值,计算出的风险值使用指数加权移动平均算法(Exponentially Weighted Moving Average,EWMA)来预测医生此次访问的风险值,通过凝聚层次聚类对整个科室医生的风险值进行聚类得出医生各个操作行为的风险区间,通过此次医生访问的风险值与操作行为的风险区间相匹配,授予医生相应的访问操作权限。
(1)在医疗大数据的环境下使用风险和UCON相结合的访问控制模型实现医数据的隐私保护。
(2)在风险量化阶段将风险量化分为直接风险量化和间接风险量化,提高风险量化的准确性。
(3)用户聚类阶段引入凝聚层次聚类算法把医生聚成四类,并对应类型医生的风险区间作为UCON模型中的条件出现。
附图说明:
图1为:本发明RQ-UCON模型框架图;
图2为:本发明访问控制策略框架图
具体实施方式
下面结合具体实施方式对本发明做进一步详细描述。
本发明所述的基于风险和UCON访问控制模型的医疗数据系统包括以下工作步骤:
⑤医生作为访问主体SA向HIS系统发起访问客体O的请求;
⑥HIS系统判断SA是否是紧急访问,若SA为紧急访问,RQ-UCON模型的授权模块D授予SA全部访问权限;
⑦若SA不是紧急访问,RQ-UCON模型的RQ组件将进行风险值计算以及授权范围P和条件C确定,并将计算的风险值Rt+1的实时更新在ATT-S中;
RQ-UCON模型根据SA的ATT-S中的风险值Rt+1与条件C进行匹配,若匹配成功,授权模块D授予SA相应的授权范围P;匹配失败,授权模块D将拒绝SA的此次访问;最后将访问结果反馈给SA;
基于RQ-UCON模型包括四个主要功能模块,分别是:
(1)风险量化模块:当用户发送访问请求时,风险量化模块通过医生的历史访问行为、操作行为、访问时间和访问信息的敏感度进行医生行为可能造成的风险值(下称“直接风险”)进行计算;同时通过整个科室对于同一工作目标的历史访问记录进行计算整个科室医生访问行为可能造成的风险值(下称“间接风险”)进行计算,并通过变异系数法求出相应的权重,计算医生历史访问记录可能造成的风险值。
(2)医生聚类模块:根据医生历史访问记录求出的风险值采用凝聚层次聚类算法将医生聚为四类,并得到四类医生对应的风险值区间。
(3)主体属性更新模块:根据医生历史访问记录求出的风险值采用指数加权移动平均(Exponentially Weighted Moving Average,EWMA)算法来预测医生此次访问的风险值,并更新医生的风险值。
(4)访问控制策略模块:根据医生此次访问的风险值与四类医生对应风险值区间,进行访问控制策略的制定。
一、风险量化模块:当医生在患者诊疗过程中,可能需要访问其他患者的电子病历(Electronic medical record,EMR)来帮助医生确定患者的病症,医生访问其他患者的EMR的过程可能会造成其他患者的隐私泄露。因此,在医生进行访问其他患者EMR之前,风险量化模型通过医生和整个科室前一个月的历史访问计算,计算出医生历史访问中可能造成患者信息泄露的风险值。
本发明为避免只考虑医生自己访问行为可能造成患者信息泄露风险的不准确性,将医生的风险划分为直接风险和间接风险两部分。直接风险根据医生本身的访问行为计算所得,反映医生自己的访问是否属于正常访问的范围;同时本发明引入间接风险,间接风险是根据整个科室中医生这一角色的权限所获得的风险值的平均所得到,通过直接风险和间接风险加权平均从而得到当前医生根据历史记录的风险值,避免医生因为多次紧急访问其他科室的医疗记录导致风险值偏高,无法正常进行日常工作。
1.1直接风险
(1)确定直接风险影响因素。分析医生直接风险的影响因素时,主要是医生的历史访问行为,医生的操作行为、医生的访问时间以及病人信息的敏感度。本发明将四个因素作为计算医生访问控制风险的影响因素,构建风险因素集U={U1,U2,U3,U4}。由于医生对病历的操作行为可以分为查看、复制、新增和删除,所以第一级评价因素U2可以分为U2={U21,U22,U23,U24}。医生的访问时间可以分为上班时间、下班时间和紧急情况,所以第一级评价因素U3可以分为U3={U31,U32,U33}。病人信息的敏感程度可以根据病人的影响力和所患病的类型分为绝密、私密和普通,所以第一级评价因素U4可以分为U4={U41,U42,U43}。其中U=U1∪U2∪U3∪U4,并且
Figure GDA0004219467100000051
(2)确定直接风险权重集。在进行医生的直接风险量化时不同的风险影响因素对医生风险的影响程度不同,本发明采用变异系数权重法为不同的风险因素赋予不同的权重。首先根据整个科室医生的数量m和4个影响医生风险的因素构建原始指标数据矩阵:
Figure GDA0004219467100000052
其中Xij表示第i位医生的第j个风险评价因素的数值。
通过公式1:
Figure GDA0004219467100000061
和公式2:
Figure GDA0004219467100000062
计算第j个风险评价因素的均值和标准差。再使用计算出的均值和标准差通过公式3:
Figure GDA0004219467100000063
计算相应的变异系数。
对变异系数进行归一化处理,进而得到各个风险影响因素的权重,最终经过计算得到最终的权重λ={λ1,λ2,λ3,λ4};
其中:
Figure GDA0004219467100000064
(3)计算各个风险因素的风险值,并计算医生的直接风险。直接风险主要是医生的历史访问行为、医生的操作行为、医生的访问时间以及病人信息的敏感度四类风险值四部分组成。
首先计算医生历史访问行为的风险值。将医生为某一工作目标应该访问的电子病历的ICD编码根据编码规则抽象成为一个26*7的矩阵,例如B01.901(水痘)抽象为矩阵Q,矩阵的第一列代表编码的第一个字母B,依次类推矩阵的每一列对应ICD编码的每一位,得到了水痘的矩阵Q:
Figure GDA0004219467100000065
故医生i为此工作目标对电子病历进行访问,将实际访问的n条记录抽象为n个矩阵:
Figure GDA0004219467100000066
整个科室m位医生访问矩阵Q的所有病历抽象为QMR=[Q1、Q2、…、Qm];Qk表示矩阵Q的第k行。
抽象出的矩阵通过欧几里德距离计算出医生i的矩阵Q与访问行为之间的偏离度、整个科室每个医生在矩阵Q下与访问行为的偏离度以及医生在此工作目标下的访问行为与此科室医生访问行为的偏离度。
欧几里德距离在二维空间上表示点(x2,y2)与点(x1,y1)之间的距离,|X|表示原点到点(x2,y2)的欧氏距离,计算公式5为:
Figure GDA0004219467100000071
Figure GDA0004219467100000072
是矩阵/>
Figure GDA0004219467100000073
的第j行,记Qk是矩阵Q的第k行,计算/>
Figure GDA0004219467100000074
和Qk之间的偏离度dev[j][k]:
Figure GDA0004219467100000075
然后再将偏离度dev[j][k]公式推广到矩阵的第i行的计算公式,最后将偏离度dev[j][k]公式推广到整个矩阵计算矩阵
Figure GDA0004219467100000076
和矩阵Q的偏离度dev。/>
Figure GDA0004219467100000077
根据偏离度dev计算公式,计算出矩阵Q与访问行为之间的偏离度
Figure GDA0004219467100000078
整个科室每个医生在矩阵Q与访问行为的偏离度/>
Figure GDA0004219467100000079
以及医生i为某一工作目标对电子病历进行访问的行为与此科室医生访问行为的偏离度/>
Figure GDA00042194671000000710
故医生i在某段时间内所有的工作目标与访问行为的偏离度为医生本身工作目标与访问行为之间的偏离度和医生在工作目标下的访问行为与此科室医生访问行为的偏离度的加权平均。此时的偏离度devi为医生i根据历史访问行为所计算出来的风险值ri1。即ri1=devi
Figure GDA00042194671000000711
其中:
Figure GDA0004219467100000081
表示医生i所有工作目标与访问行为之间的偏离度,/>
Figure GDA0004219467100000082
表示医生i所有工作目标下的访问行为与此科室医生访问行为之间的偏离度;sumMR表示医生发出访问请求的工作目标的ID,取值为连续整数。
医生对病历的操作行为主要包括查看患者病历、复制电子病历、新增诊疗记录和删除相关操作四种类型,医生通过工作目标对自己之前的医疗记录或其他医生的医疗记录的查看、复制、新增和删除都有可能导致病人的隐私泄露。但是医生复制、新增和删除其他医生主管病人的医疗记录产生风险概率比新增自己病人医疗记录产生风险的概率更大,因此医生对医疗记录的操作行为的风险用医生复制、新增和删除其他医生医疗记录的次数与医生复制、新增和删除医疗记录的总次数之间的比例来表示。
Figure GDA0004219467100000083
其中:其中:
Figure GDA0004219467100000084
表示医生i复制其他医生医疗记录的次数,/>
Figure GDA0004219467100000085
表示医生i复制医疗记录的总次数;/>
Figure GDA0004219467100000086
表示医生i新增其他医生医疗记录的次数,/>
Figure GDA0004219467100000087
表示医生i新增医疗记录的总次数;/>
Figure GDA0004219467100000088
表示医生i删除其他医生医疗记录的次数,/>
Figure GDA0004219467100000089
表示医生i删除医疗记录的总次数。
医生的访问时间可以分为上班时间、下班时间和紧急情况,所以第一级评价因素Uj可以分为U3={U31,U32,U33}。病人信息的敏感程度可以根据病人的影响力和所患病的类型分为绝密、私密和普通,所以第一级评价因素U4可以分为U4={U41,U42,U43}。
医生的访问时间可以分为上班时间、下班时间和紧急情况,医生在下班时间进行的访问行为很大程度上会造成病人隐私泄露的风险,因此医生对访问时间的风险用医生下班时间访问病人资料的次数与医生上班时间、下班时间和紧急情况访问病人资料的次数的比例来表示。
Figure GDA00042194671000000810
其中:Offdutyi表示医生i下班时间访问病人资料的次数;Ondutyi表示医生i上班时间访问病人资料的次数;Urgencyi表示医生i在紧急情况访问病人资料的次数。
医生访问病人信息的敏感程度风险值的计算:采用医生访问的病人信息敏感程度在绝密和隐私的数量占医生访问所有的病人信息的比例进行计算:
Figure GDA0004219467100000091
其中:TSi和Si表示医生i访问绝密和私密的病人信息的次数,Gi表示医生i访问普通的病人信息的次数。
(4)计算直接风险。通过已经计算出来的各个风险因素的风险值r={ri1,ri2,ri3,ri4}以及变异系数权重法求出的权重λ={λ1,λ2,λ3,λ4},计算医生i的直接风险rd
rd=λ1*ri12*ri23*ri34*ri4
1.2间接风险
如果把根据医生的历史访问行为所计算出来的直接风险作为医生风险值缺乏一定的准确性,并且医生的突发情况可能会导致某些医生的风险值高于他的正常工作产生的风险值,所以引入间接风险这一概念来调节医生的风险值。间接风险的风险值由整个科室全体医生工作目标与访问记录之间的偏离度计算而得,即:
Figure GDA0004219467100000092
因此医生的风险值为医生的直接风险和间接风险的风险值的加权平均和,此时根据医生的历史访问记录计算出医生的风险值,并根据RQ-UCON模型将风险值存入主体属性中,其中,rd为直接风险,rid为间接风险,ξ为权重参数,即:R=ξ*rd+(1-ξ)*rid
二、医生聚类模块
医生访问HIS系统的操作行为主要是查看患者病历、复制电子病历、新增诊疗记录和删除相关操作,本发明根据科室中医生历史访问记录计算出的风险值使用凝聚层次聚类的方法为此科室医生的四种操作行为划分相应的风险值区间,当医生此次的风险值不在操作行为的风险区间时,HIS系统不为医生授权此操作权限,在一定程度上保护了病人的隐私。
根据自底向上的凝聚层次聚类方法,首先将每一个每个医生风险值的点看作一个聚类,然后计算每个聚类之间的距离,将距离最近或者最相似的两个聚类进行合并。凝聚层次聚类详细算法过程如下:
输入:某科室医生访问的风险值构成的样本集{R1,R2,......,Rn},选择类簇距离度量函数dist,给定类簇的个数4。
算法过程:每个医生属于单独的一类,即Di=(Ri};
1)计算医生与医生之间的距离,用矩阵M表示,其中Mij=dist(Di,Dj);
2)当前类簇数q=n,开始将簇合并聚类;
3)循环while(q>4);
a.找出距离最近的两个簇Di和Cj,令Di=Di∪Dj
b.将Di后面的簇的编号向前移动一位
c.删除矩阵Mij=dist(Di,Dj)的第i行和j列
d.更新Mij=dist(Di,Dj)矩阵(主要更新i簇与其他簇之间的距离),j=1:q-1
e.更新当前类簇个数q=q-1
4)输出生成的簇{D1,D2,D3,D4}
本发明在众多计算距离的方法中选择平均距离作为测量两个聚类之间距离的度量标准,它将两个聚类之间的距离定义为第一个聚类中的数据点与第二个聚类中的数据点之间的平均距离,如以下公式:c1、c2表示聚类中的样本个数,p1、p2为不同的聚类。
Figure GDA0004219467100000101
通过凝聚层次聚类得到四类医生,并通过四类医生的风险值获得相应的风险区间,但无法确定每个风险区间与访问操作行为的对应,需要进行类别判定。根据前文的叙述,可知访问权限的操作行为越多,此医生的风险值就越低;当医生的风险值超过一定的风险区间时,此医生的访问请求就会被拒绝。因此根据这一特点可以确定每一类的风险区间和访问操作行为的对应。通过凝聚层次聚类算法获得的操作行为的风险区间作为RQ-UCON模型中条件,与其他模块共同实现访问控制策略。即:
Figure GDA0004219467100000102
其中,OB为医生的操作行为,L表示医生查看患者病历,C表示医生复制电子病历,A表示医生新增诊疗记录,DE表示医生的删除相关操作。T1......T5表示风险区间的断点值。
三、主体属性更新
根据医生的历史记录计算出医生历史访问记录风险值并根据此风险值来预测医生本次访问风险值,此时需要将医生的风险值进行动态化,在进行动态化时采用指数加权移动平均算法(Exponentially Weighted Moving Average,EWMA)。
EWMA算法是由加权移动平均(Weighted Moving Average,WMA)法演化而来,WMA对已知数据分别赋予不同的权重,按此权重求得移动平均值,并以此值为基础,确定预测值。EWMA则是指各数的加权系数随时间呈指数递减,主要优点是不需要保存过去的数值,只占用极少的内存。它可以根据t时刻的值来预测t+1时刻的值,因此采用EWMA算法通过计算出的风险值来预测医生i本次访问的风险值。具体形式如下所示:
Rt+1=ωPTi+(1-ω)Rt
Figure GDA0004219467100000111
其中,Rt+1表示医生i此次访问预测出的风险值;PTi表示医生i的惩罚因子,其中num为医生i访问的被拒绝的次数;Rt表示根据医生i历史记录求出的风险值;ω(0<ω<1)表示对于历史测量权重系数,也叫做指数加权,加权系数ω是以指数式递减的,即各指数随着时间而指数式递减。使用此方法,可以通过医生一个月的历史行为算出的风险值来预测当前访问的风险值。并在访问中,通过此算法实时更新RQ-UCON访问控制模型中的访问主体属性。
四、访问控制策略
在本节中,本发明提出了一个用于控制RQ-UCON模型中授权行为的具体策略。RQ-UCON模型根据访问策略库强制性的访问主体根据访问控制策略进行相关工作。为了更好控制RQ-UCON模型的访问授权,本发明将用户的访问场景分为正常访问,紧急访问两种类型。
正常访问:此场景为正常访问场景,访问主体为访问HIS系统的资源,拥有合法的身份权限以及允许访问的风险值。
紧急访问:在此访问场景下,HIS系统对访问主体的访问权限拥有更高的容忍度,在紧急情况下,HIS系统会授予访问主体最高的访问权限并将此次访问进行记录,避免由于HIS系统的访问权限导致耽误患者治疗。
此访问控制策略框架图实现根据访问主体访问的风险值对医生的访问请求进行控制,在一定程度上限制了访问主体的过度访问,对患者信息具有一定的保护作用。
以上所述,仅为本发明部分具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本领域的人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。

Claims (1)

1.基于风险和UCON访问控制模型的医疗数据系统,包括以下工作步骤:
①医生作为访问主体SA向HIS系统发起访问客体O的请求;
②HIS系统判断SA是否是紧急访问,若SA为紧急访问,RQ-UCON模型的授权模块D授予SA全部访问权限;
③若SA不是紧急访问,RQ-UCON模型的RQ组件将进行风险值计算以及授权范围P和条件C确定,并将计算的风险值Rt+1实时更新在ATT-S中;
④RQ-UCON模型根据SA的ATT-S中的风险值Rt+1与条件C进行匹配,若匹配成功,授权模块D授予SA相应的授权范围P;匹配失败,授权模块D将拒绝SA的此次访问;最后将访问结果反馈给SA;
其中:
RQ-UCON模型:基于风险和UCON的访问控制模型;
主体S分为生产主体SP和访问主体SA,生产主体包含:医院内部数据生产者、病患;访问主体包含:医院内部医护人员、病患、普通大众;
主体属性ATT-S:常规属性包括医生的职责、医生所属科室、医生编号;可变属性为主体风险值;
客体O:医疗大数据,包括患者个人信息、检查记录、患者电子病历、医疗研究数据;
客体属性ATT-O:患者所属科室、患病类别、保密级别、入院时间;
授权范围P:主体对客体资源进行操作的权利,包括:访问主体SA对客体O的添加、查看、修改、删除;
授权模块D:采用预先授权的方法,根据访问主体SA的角色赋予访问权限,之后根据访问主体SA风险值Rt+1动态调整授权范围P;
义务B:访问主体SA获得访问权限后需要对客体完成的义务;
条件C:访问主体SA发出访问请求时需要满足的条件,包括:访问主体SA的风险值Rt+1是否在允许访问的风险区间内,访问时间是否在上班时间内;风险区间划分采用凝聚层次聚类;
风险量化组件RQ:根据风险量化组件对访问主体SA访问请求行为进行量化,量化结果会更新主体属性ATT-S;
所述RQ-UCON模型包括四个功能模块:
①风险量化模块:当用户发送访问请求时,风险量化模块通过医生的历史访问行为、操作行为、访问时间和访问信息的敏感度进行各风险因素的风险值计算,并通过变异系数法求出相应的权重,对医生行为可能造成的直接风险进行计算;同时通过整个科室全体医生工作目标与访问记录之间的偏离度计算间接风险,计算医生历史访问记录可能造成的风险值Rt+1;
所述直接风险计算分为4个步骤:
step1、确定直接风险影响因素;
step2、确定直接风险权重集;
step3、计算各个风险因素的风险值;
step4、计算直接风险;
其中,step1直接风险影响因素有4个:医生的历史访问行为、医生的操作行为、医生的访问时间以及病人信息的敏感度;以上4个直接风险构建风险因素集U={U1,U2,U3,U4};医生对病历的操作行为分为查看、复制、新增和删除,则第一级评价因素U2分为U2={U21,U22,U23,U24};
医生的访问时间分为上班时间、下班时间和紧急情况,则第一级评价因素U3分为U3={U31,U32,U33};
病人信息的敏感程度根据病人的影响力和所患病的类型分为绝密、私密和普通,则第一级评价因素U4分为U4={U41,U42,U43};
其中U=U1∪U2∪U3∪U4,并且
Figure FDA0004219467090000021
其中,step2确定直接风险权重集:采用变异系数权重法为不同的风险因素赋予不同的权重,首先根据整个科室医生的数量m和4个影响医生风险的因素构建原始指标数据矩阵:
Figure FDA0004219467090000022
其中Xij表示第i位医生的第j个风险评价因素的数值;
通过公式:
Figure FDA0004219467090000023
计算m位医生第j个风险评价因素的均值;
通过公式:
Figure FDA0004219467090000024
计算第j个风险评价因素的标准差;
通过公式:
Figure FDA0004219467090000025
计算变异系数;
对变异系数进行归一化处理,进而得到各个风险影响因素的权重,最终经过计算得到最终的权重λ={λ1,λ2,λ3,λ4};
其中:
Figure FDA0004219467090000031
其中,step3计算各个风险因素的风险值,并计算医生的直接风险,直接风险由医生的历史访问行为、医生的操作行为、医生的访问时间以及病人信息的敏感度四类风险值四部分组成:
医生历史访问行为的风险值的计算:将医生为某一工作目标应该访问的电子病历的ICD编码抽象成一个26*7的矩阵Q,根据ICD编码规则,矩阵的第一列代表编码的第一个字母B,依次类推矩阵的每一列对应ICD编码的每一位,得到矩阵Q:
Figure FDA0004219467090000032
故医生i为此工作目标对电子病历进行访问,将实际访问的n条记录抽象为n个矩阵:
Figure FDA0004219467090000033
整个科室m位医生为此工作目标访问的所有病历抽象为QMR=[Q1、Q2、…、Qm];Qk表示矩阵Q的第k行;
抽象出的矩阵通过欧几里德距离计算出医生i的工作目标与访问行为之间的偏离度、整个科室每个医生在工作目标下与访问行为的偏离度以及医生在此工作目标下的访问行为与此科室医生访问行为的偏离度;
欧几里德距离在二维空间上表示点(x2,y2)与点(x1,y1)之间的距离,|X|表示原点到点(x2,y2)的欧氏距离,计算公式为:
Figure FDA0004219467090000034
Figure FDA0004219467090000035
是矩阵/>
Figure FDA0004219467090000036
的第j行,计算/>
Figure FDA0004219467090000037
和Qk之间的偏离度dev[j][k]:
Figure FDA0004219467090000041
然后再将偏离度dev[j][k]公式推广到矩阵的第i行的计算公式,最后将偏离度dev[j][k]公式推广到整个矩阵计算矩阵
Figure FDA0004219467090000042
和矩阵Q的偏离度dev;
Figure FDA0004219467090000043
根据偏离度dev计算公式,计算出医生i在此工作目标与访问行为之间的偏离度
Figure FDA0004219467090000044
整个科室每个医生在此工作目标与访问行为之间的偏离度/>
Figure FDA0004219467090000045
以及医生i在此工作目标下的访问的行为与此科室医生访问行为的偏离度/>
Figure FDA0004219467090000046
医生i在某段时间内所有的工作目标与访问行为的偏离度为医生本身工作目标与访问行为之间的偏离度和医生在工作目标下的访问行为与此科室医生访问行为的偏离度的加权平均;此时的偏离度devi为医生i根据历史访问行为所计算出来的风险值ri1,即ri1=devi
Figure FDA0004219467090000047
其中:sumMR表示医生发出访问请求的工作目标的ID,取值为连续整数;
医生对病历的操作行为风险值用医生复制、新增和删除其他医生医疗记录的次数与医生复制、新增和删除医疗记录的总次数之间的比例来表示:
Figure FDA0004219467090000048
其中:
Figure FDA0004219467090000049
表示医生i复制其他医生医疗记录的次数,/>
Figure FDA00042194670900000410
表示医生i复制医疗记录的总次数;/>
Figure FDA00042194670900000411
表示医生i新增其他医生医疗记录的次数,/>
Figure FDA00042194670900000412
表示医生i新增医疗记录的总次数;/>
Figure FDA00042194670900000413
表示医生i删除其他医生医疗记录的次数,/>
Figure FDA00042194670900000414
表示医生i删除医疗记录的总次数;
医生的访问时间风险值的计算:用医生下班时间访问病人资料的次数与医生复上班时间、下班时间和紧急情况访问病人资料的次数的比例来表示;
Figure FDA0004219467090000051
其中:Offdutyi表示医生i下班时间访问病人资料的次数;Ondutyi表示医生i上班时间访问病人资料的次数;Urgencyi表示医生i在紧急情况访问病人资料的次数;
医生访问病人信息的敏感程度风险值的计算:采用医生访问的病人信息敏感程度在绝密和隐私的数量占医生访问所有的病人信息的比例进行计算:
Figure FDA0004219467090000052
其中TSi和Si表示医生i访问绝密和私密的病人信息的次数,Gi表示医生i访问普通的病人信息的次数;
最后,step4计算直接风险:通过已经计算出来的各个风险因素的风险值r={ri1,ri2,ri3,ri4}以及变异系数权重法求出的权重λ={λ1,λ2,λ3,λ4},计算医生i的直接风险rd
rd=λ1*ri12*ri23*ri34*ri4
所述间接风险值的计算由整个科室全体医生工作目标与访问记录之间的偏离度计算而得,公式为:
Figure FDA0004219467090000053
医生的风险值为医生的直接风险和间接风险的风险值的加权平均和:
R=ξ*rd+(1-ζ)*rid
其中,rd为直接风险,rid为间接风险,ξ为权重参数;
②医生聚类模块:根据医生历史访问记录求出的风险值采用凝聚层次聚类算法将医生聚为四类,并得到四类医生对应的风险值区间;
将每个医生风险值的点看作一个聚类,然后计算每个聚类之间的距离,将距离最近或者最相似的两个聚类进行合并,过程如下:
输入:某科室医生访问的风险值构成的样本集{R1,R2,......,Rn},选择类簇距离度量函数dist,给定类簇的个数4;每个医生属于单独的一类,即Di={Ri};
A)计算医生与医生之间的距离,用矩阵M表示,其中Mij=dist(Di,Dj);
B)当前类簇数q=n,开始将簇合并聚类;
C)循环while(q>4);
a.找出距离最近的两个簇Di和Dj,令Di=Di∪Dj
b.将Di后面的簇的编号向前移动一位;
c.删除矩阵Mij=dist(Di,Dj)的第i行和j列;
d.更新Mij=dist(Di,Dj)矩阵,j=1:q-1;
e.更新当前类簇个数q=q-1;
D)输出生成的簇{D1,D2,D3,D4};
选择平均距离作为测量两个聚类之间距离的度量标准,将两个聚类之间的距离定义为第一个聚类中的数据点与第二个聚类中的数据点之间的平均距离:
Figure FDA0004219467090000061
c1、c2表示聚类中的样本个数,p1、p2为不同的聚类;
根据访问权限的操作行为越多,此医生的风险值就越低的特点,通过凝聚层次聚类算法获得的操作行为的风险区间作为RQ-UCON模型中条件:
Figure FDA0004219467090000062
其中,OB为医生的操作行为,L表示医生查看患者病历,C表示医生复制电子病历,A表示医生新增诊疗记录,DE表示医生的删除相关操作;T1……T5表示风险区间的断点值;
③主体属性更新模块:根据医生历史访问记录求出的风险值采用指数加权移动平均EWMA算法来预测医生此次访问的风险值,并更新医生的风险值;
根据t时刻的值来预测t+1时刻的值,因此采用EWMA算法通过计算出的风险值来预测医生i本次访问的风险值:
Rt+1=ωPTi+(1-ω)Rt
Figure FDA0004219467090000071
其中,Rt+1表示医生i此次访问预测出的风险值;PTi表示医生i的惩罚因子,其中num为医生i访问的被拒绝的次数;Rt表示根据医生i历史记录求出的风险值;ω(0<ω<1)表示对于历史测量权重系数,也叫做指数加权,加权系数ω是以指数式递减的,即各指数随着时间而指数式递减,通过医生一个月的历史行为算出的风险值来预测当前访问的风险值;通过此算法实时更新RQ-UCON访问控制模型中的访问主体属性;
④访问控制策略模块:根据医生此次访问的风险值与四类医生对应风险值区间,进行访问控制策略的制定。
CN202210506851.8A 2022-05-11 2022-05-11 基于风险和ucon访问控制模型的医疗数据系统 Active CN114861224B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210506851.8A CN114861224B (zh) 2022-05-11 2022-05-11 基于风险和ucon访问控制模型的医疗数据系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210506851.8A CN114861224B (zh) 2022-05-11 2022-05-11 基于风险和ucon访问控制模型的医疗数据系统

Publications (2)

Publication Number Publication Date
CN114861224A CN114861224A (zh) 2022-08-05
CN114861224B true CN114861224B (zh) 2023-06-06

Family

ID=82637261

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210506851.8A Active CN114861224B (zh) 2022-05-11 2022-05-11 基于风险和ucon访问控制模型的医疗数据系统

Country Status (1)

Country Link
CN (1) CN114861224B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115720148B (zh) * 2022-10-12 2024-04-26 上海慧程工程技术服务有限公司 一种工业物联网信息可视化方法、服务器和存储介质
CN117313062B (zh) * 2023-11-22 2024-02-27 广州市挖米科技有限责任公司 一种医疗电子健康档案授权共享与管理系统

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9519799B2 (en) * 2009-06-01 2016-12-13 Koninklijke Philips N.V. Dynamic determination of access rights
US8601531B1 (en) * 2009-06-29 2013-12-03 Emc Corporation System authorization based upon content sensitivity
CN107395430B (zh) * 2017-08-16 2020-03-20 中国民航大学 一种云平台动态风险访问控制方法
CN112259210B (zh) * 2020-11-18 2021-05-11 云南财经大学 医疗大数据访问控制方法、装置及计算机可读存储介质
CN112685711A (zh) * 2021-02-02 2021-04-20 杭州宁达科技有限公司 基于用户风险评估的新型信息安全访问控制系统及方法

Also Published As

Publication number Publication date
CN114861224A (zh) 2022-08-05

Similar Documents

Publication Publication Date Title
CN114861224B (zh) 基于风险和ucon访问控制模型的医疗数据系统
Liu et al. PPGAN: Privacy-preserving generative adversarial network
CN107395430B (zh) 一种云平台动态风险访问控制方法
Ahmed Artificial neural networks for diagnosis and survival prediction in colon cancer
Hadorn et al. Cross‐validation performance of mortality prediction models
Templ et al. Introduction to statistical disclosure control (sdc)
WO2021159761A1 (zh) 病理数据的分析方法、装置、计算机设备和存储介质
Su et al. An artificial neural network for predicting the incidence of radiation pneumonitis
Jiang et al. A medical big data access control model based on fuzzy trust prediction and regression analysis
Tan et al. Explainable uncertainty-aware convolutional recurrent neural network for irregular medical time series
CN112259210B (zh) 医疗大数据访问控制方法、装置及计算机可读存储介质
CN112530587A (zh) 医疗大数据访问控制用二维动态信任评价模型的构建方法
CN116186757A (zh) 一种效用增强的条件特征选择差分隐私数据发布方法
CN117409913A (zh) 一种基于云技术的医疗服务方法和平台
Jiang et al. Risk and UCON-based access control model for healthcare big data
Goeva et al. Optimization-based calibration of simulation input models
CN113205871A (zh) 基于模糊信任预测和回归分析的医疗数据访问控制模型
CN115221555B (zh) 基于风险自适应访问控制的健康医疗大数据隐私保护方法
Radovanović et al. Making hospital readmission classifier fair–What is the cost?
Vavilis et al. Role mining with missing values
CN115168891A (zh) 基于猫鼬优化的动态多维医疗隐私数据保护方法及系统
Ponomarev et al. The development of the forecasting information system of HIV and tuberculosis coinfection’s outcome in inmates
Niu et al. SoK: Comparing Different Membership Inference Attacks with a Comprehensive Benchmark
Karbouband et al. Bed allocation optimization based on survival analysis, treatment trajectory and costs estimations
Jain et al. Fairness for deep learning predictions using bias parity score based loss function regularization

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant