CN114936384A - 基于直觉模糊信任的电子病历访问控制方法 - Google Patents

Abstract

本发明针对电子病历信息隐私泄露问题，提出一种基于直觉模糊信任的电子病历访问控制方法。该方法根据LDA主题模型和JS散度计算就诊患者电子病历和其他患者电子病历之间的相关度；引入直觉模糊、时间窗、时间衰减因子等理论计算医生的直觉模糊信任值，制定相应访问控制策略来约束医生的访问行为，同时加入奖惩机制实现了动态访问控制。模型中对医生直觉模糊信任值的计算更加符合实际需要，最后实验证明，本发明所提出的访问控制方法能够对医生的访问行为进行控制。而且主要是针对专科医生访问行为的控制。

Description

基于直觉模糊信任的电子病历访问控制方法

技术领域

本发明涉及医疗数据访问控制方法，具体为基于直觉模糊信任的电子病历访问控制方法。

背景技术

当前，对医疗大数据的保护措施主要集中在加密、匿名化等技术，无法有效地解决内部医疗数据泄露问题，内部泄露问题主要是因为内部医护人员权限分配不合理所导致的，而访问控制是解决此类问题最为有效的方法。

当前存在各种新型访问控制模型、访问控制技术作为防御内部恶意威胁和攻击的最有效方法之一，很多学者对其进行了相关研究。但将访问控制技术应用到医疗场景中的研究还是较少的，且访问控制策略和授权方式都不够完善，效果没有达到理想状态，针对电子病历系统的访问控制更是十分匮乏。为解决内部泄露问题，需要贴合实际医疗场景，考虑医生访问资源的实际状况，探究自适应的访问控制模型，从而有效地控制医生的访问行为。

发明内容

本发明的目的在于提供一种基于直觉模糊信任的电子病历访问控制方法，通过判断医生的可信任度，制定相应的访问策略，以解决上述背景技术中提出的从医院内部解决患者隐私泄露的问题。

为实现上述目的，本发明提供如下技术方案包括以下3个步骤：

A、相关度计算：通过隐含狄利克雷分布LDA主题模型提取出就诊患者和其他患者电子病历文档的主题概率分布，并利用JS散度计算两个电子病历的相关度，根据相关度来描述医生的访问行为；其中，就诊患者电子病历是指医生访问的当前就诊患者的电子病历文档，其他患者电子病历是指医生访问的患有相关疾病患者的电子病历文档；

B、信任量化：通过直觉模糊理论，从医生可信度、不可信度和不确定度三个方面量化医生的直觉模糊信任值，并引入时间窗和时间衰减，根据医生的历史访问记录将有效时间内的直觉模糊信任值进行聚合，得到总的直觉模糊信任值；

C、访问控制：将所有医生进行直觉模糊聚类，得到四个自适应的信任区间，制定相应访问控制策略，授予访问权限；同时，加入奖惩机制，动态更新医生的直觉模糊信任值。

进一步的，步骤A所述相关度计算采用LDA主题模型来判断，LDA主题模型是一个三层贝叶斯概率模型，有关键词、隐含主题和文档三层结构，在LDA模型中，一篇电子病历文档Doc-m的生成步骤如下：

A1-1、在电子病历文档与隐含主题的Dirichlet先验概率分布中取样生成电子病历文档 Doc-m对应的主题分布P(Topic|Doc-m)；

A1-2、从主题分布P(Topic|Doc-m)中取样生成电子病历文档Doc-m第w个词的主题Topic-h；

A1-3、在隐含主题与关键词的Dirichlet先验概率分布中取样生成主题Topic-h对应的关键词分布P(Word|Topic-h)；

A1-4、从关键词分布P(Word|Topic-h)中取样生成关键词Word-w；

A1-5、重复上述步骤，直到生成电子病历文档Doc-m需要的所有关键词；

进一步的，所述主题分布P(Topic|Doc-m)和关键词分布P(Word|Topic-h)是通过马尔科夫链蒙特卡罗方法MCMC中的Gibbs抽样算法计算的，Gibbs抽样算法可以看作是文档生成过程的逆过程，通过对已存在的电子病历文档中所有关键词的主题进行采样来估计概率，主要步骤如下：

A2-1：对病历库中每篇电子病历文档所含的每个关键词随机赋予一个主题Topic；

A2-2：统计每个主题Topic下出现关键词的数量

和每个电子病历文档Doc下出现主题Topic的数量

A2-3：计算P(Topic_i＝h|Topic_-i,w),即计算排除关键词w所赋予的主题，根据其他关键词所赋予的主题Topic_-i来估计关键词w分配到主题h的概率，其公式如下所示：

其中，Topic_i表示第i个关键词对应的主题，

为排除第i个关键词对应的主题，主题h中出现关键词w的数量，

为排除第i个关键词对应的主题，电子病历文档Doc-m 中出现主题h的数量，β_w为主题Topic与关键词w的Dirichlet先验概率分布，α_h为电子病历文档Doc与主题h的Dirichlet先验概率分布；

A2-4：重复上述步骤，对每个关键词赋予新的主题，重新采样，直到收敛为止，输出P(Topic|Doc-m)和P(Word|Topic-h)，并得到每个关键词对应的主题；

A2-5：P(Topic|Doc-m)和P(Word|Topic-h)可以由如下计算公式得出：

其中，

为文档m对应主题h的个数，α为电子病历文档与隐含主题的Dirichlet先验概率分布，

为主题对应关键词w的个数，β表示所有主题与关键词的Dirichlet先验概率分布。

进一步的，步骤A中所述利用JS散度计算电子病历文档Doc对应的主题分布 P(Topic|Doc)之间的相关度的过程如下：诊患者电子病历文档对应的主题分布概率服从 P＝{p₁,p₂,...,p_t}，其他患者电子病历文档对应的主题分布概率服从Q＝{q₁,q₂,...,q_t}，则有如下公式：

JS散度解决了KL散度不对称的问题，同时取值范围在[0,1]之间，其公式为：

其中，JS散度越小，P和Q的概率分布越接近，也就是说就诊患者和其他患者电子病历的JS散度越小，两个电子病历之间的相关度越高。

进一步的，所述步骤B中医生的直觉模糊信任值计算过程如下：

可信度计算公式如下：

μ_A(x)＝1-JS(P||Q)

其中：X是一个论域，则称A＝{x[μ_A(x),ν_A(x)]|x∈X}为直觉模糊集，μA(x),νA(x)分别为x属于A的隶属度和非隶属度，即μ_A:X→[0,1]，ν_A:X→[0,1]且0≤μ_A(x)+ν_A(x)≤1,

其中有:π_A(x)＝1-μ_A(x)-ν_A(x),

为X中元素x属于A的不确定度；

医生的不可信度可以根据Yager的母函数来确定，其公式如下：

其中a的值用来控制直觉模糊的不确定度，当a＝1时，ν_A(x)＝1-μ_A(x)，即不确定度为0；当a取其他值时，我们就可以用一组直觉模糊数来表示医生访问行为的可信度、不可信度以及不确定度，其中不确定度的计算公式如下：

医生的直觉模糊信任值表示为：

IT＝[μ_A(x),ν_A(x)]。

进一步的，所述步骤B中医生的直觉模糊信任值引入时间窗和时间衰减后，计算公式为：

其中，因子τ用于限制聚合后的总体直觉模糊信任值仍然处于[0,1]的范围内，IT^j表示第j条历史访问记录对应的直觉模糊信任值，ω_j为第j条历史访问记录对应的时间衰减因子，其计算公式为：

ε为历史访问记录影响参数，ε的取值范围在[0,1]之间，ε的取值越大，代表对历史访问记录的影响程度越大。

进一步的，所述步骤C中四个自适应的信任区间通过以下步骤获得：

C1-1、通过以下公式计算两两医生之间的相对熵：

其中：医生Y₁的直觉模糊信任值为(μ₁,ν₁)，医生Y₂的直觉模糊信任值为(μ₂,ν₂)，由于直觉模糊相对熵熵KL(Y₁Y₂)不具有对称度量的性质，为克服这一困难，本文引人直觉模糊对称相对熵，其公式如下：

K(Y₁,Y₂)＝K(Y₂,Y₁)＝KL(Y₁,Y₂)+KL(Y₂,Y₁)；

C1-2、对所有医生之间的对称相对熵进行聚类；

C1-3、根据所有医生的聚类结果，得出自适应的信任区间，根据医生所处的信任区间进行信任等级的划分，利用信任等级授予医生不同的访问权限。

进一步的，所述步骤C中授予访问权限是利用新得分函数对医生的总体直觉模糊信任值和信任区间阈值进行比较，从而确定医生所处的信任等级，授予医生相应的访问权限。

进一步的，所述步骤C中访问控制策略分为以下步骤：

C4-1:医生登录电子病历系统进行身份验证，验证通过进行下一步，不通过返回验证

界面，继续进行验证；

C4-2:医生发出访问请求；

C4-3:读取医生的直觉模糊信任值，对比信任区间；

C4-4:访问权限判定；

C4-5动态更新直觉模糊信任值。

与现有技术相比，本发明的有益效果是：

1.在传统的信任评估模型基础上，引入直觉模糊理论，从可信度、不可信度、不确定度三个方面来评估医生的信任值。

2.通过直觉模糊聚类算法，将医生进行聚类，得到自适应的信任区间，并制定相应的策略来控制医生的访问行为。

3.加入奖惩机制，根据医生的信任等级增加或减少医生的直觉模糊信任值，动态更新医生的直觉模糊信任值，降低电子病历系统中医疗数据泄露的风险。

附图说明

图1为访问控制策略流程图；

图2为LDA主题模型结构图；

图3为LDA主题模型图；

图4为直觉模糊信任三维空间图；

图5为时间窗；

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

医生在对就诊患者的诊断过程中，会遇到自己难以判断的疾病，可以通过电子病历系统访问患有相关疾病的其他患者的电子病历来辅助自己进行诊断。医生通常有两种访问状态：正常访问和过度访问。医生进行正常访问时会根据就诊患者的情况访问相关疾病的电子病历信息，而进行过度访问时会在正常访问医生的基础上访问更多的电子病历信息。以初步诊断为肝炎为例，进行正常访问的医生会访问急性病毒性肝炎、急性黄疸型肝炎、肝细胞癌、肝硬化等相关病历，而进行过度访问的医生会在此基础上访问脑血管瘤、颅咽管瘤等相对不太相关的病历。当医生进行过度访问时，会产生患者医疗信息泄露的风险。为防止患者医疗信息泄露，我们有必要对医生进行相应的访问控制。因此，本发明根据医生的访问行为构建出一个基于直觉模糊信任的动态访问控制模型。本发明模型的基本思路大致描述如下：

A：相关度计算。通过隐含狄利克雷分布(Latent Dirichlet Allocation,LDA)主题模型提取出就诊患者和其他患者电子病历文档的主题概率分布，并利用JS散度计算两个电子病历的相关度，根据相关度来描述医生的访问行为。其中，就诊患者电子病历是指医生访问的当前就诊患者的电子病历文档；其他患者电子病历是指医生访问的患有相关疾病患者的电子病历文档。

B：信任量化。通过直觉模糊理论，从医生可信度、不可信度和不确定度三个方面量化医生的直觉模糊信任值，并引入时间窗和时间衰减，根据医生的历史访问记录将有效时间内的直觉模糊信任值进行聚合，得到总的直觉模糊信任值。

C：访问控制。将所有医生进行直觉模糊聚类，得到四个自适应的信任区间，制定相应访问控制策略，授予访问权限。同时，加入奖惩机制，动态更新医生的直觉模糊信任值。

A、相关度计算

在衡量医生的信任值之前，我们需要计算就诊患者电子病历与其他患者电子病历之间的相关度。电子病历通常以文档的形式呈现，其中包含大量的文本内容，同时电子病历具有较多医学相似性术语，而LDA主题模型作为一种文档生成模型，能够从大量文档中提取出主题的概率，所以本发明采用LDA主题模型来判断电子病历文档之间的相关度。LDA 主题模型是一个三层贝叶斯概率模型，形成了关键词、隐含主题和文档三层结构，其模型结构图如图2所示。

每篇电子病历文档都是由不同的隐含主题所组成的，每个隐含主题也都是由不同的关键词所组成。在一篇电子病历文档中，我们可以提取出如喷嚏、鼻塞、全身酸痛、头痛、头胀等关键词，其对应的隐含主题可能有感冒、鼻炎等。我们使用LDA主题模型对电子病历文档的生成过程进行建模，得到电子病历中的隐含主题，将由关键词表示的电子病历文档降维成由隐含主题表示的电子病历文档，通过计算电子病历文档对应的隐含主题的概率来比较电子病历文档之间的相关度。

LDA主题模型对文档-隐含主题-关键词三者建立概率关系，即以一定概率选择某个主题，并从这个主题中以一定概率选择某个关键词，LDA主题模型图如图3所示。

在LDA模型中，一篇电子病历文档Doc-m的生成方式如下：

A1-1、在电子病历文档与隐含主题的Dirichlet先验概率分布中取样生成电子病历文档 Doc-m对应的主题分布P(Topic|Doc-m)；

A1-2、从主题分布P(Topic|Doc-m)中取样生成电子病历文档Doc-m第w个词的主题Topic-h；

A1-3、在隐含主题与关键词的Dirichlet先验概率分布中取样生成主题Topic-h对应的关键词分布P(Word|Topic-h)；

A1-4、从关键词分布P(Word|Topic-h)中取样生成关键词Word-w；

A1-5、重复上述步骤，直到生成电子病历文档Doc-m需要的所有关键词。

在此过程中，我们需要估计生成电子病历文档Doc-m对应的主题分布P(Topic|Doc-m) 和生成主题Topic-h对应的关键词分布P(Word|Topic-h)，本发明通过马尔科夫链蒙特卡罗方法(Markov Chain Monte Carlo，MCMC)中的Gibbs抽样算法估计两个概率分布。Gibbs 抽样算法可以看作是文档生成过程的逆过程，通过对已存在的电子病历文档中所有关键词的主题进行采样来估计概率，主要步骤如下：

A2-1：对病历库中每篇电子病历文档所含的每个关键词随机赋予一个主题Topic

A2-2：统计每个主题Topic下出现关键词的数量

和每个电子病历文档Doc下出现主题Topic的数量

A2-3：计算P(Topic_i＝h|Topic_-i,w),即计算排除关键词w所赋予的主题，根据其他关键词所赋予的主题Topic_-i来估计关键词w分配到主题h的概率，其公式如下所示：

其中，Topic_i表示第i个关键词对应的主题，

为排除第i个关键词对应的主题，主题h中出现关键词w的数量，

为排除第i个关键词对应的主题，文档m中出现主题h 的数量，β_w为主题Topic与关键词w的Dirichlet先验概率分布，α_h为电子病历文档Doc 与主题h的Dirichlet先验概率分布。

A2-4：重复上述步骤，对每个关键词赋予新的主题，重新采样，直到收敛为止，输出P(Topic|Doc-m)和P(Word|Topic-h)，并得到每个关键词对应的主题。

A2-5：P(Topic|Doc-m)和P(Word|Topic-h)可以由如下计算公式得出：

其中，

为文档m对应主题h的个数，α为电子病历文档与隐含主题的Dirichlet先验概率分布，

为主题对应关键词w的个数，β表示所有主题与关键词的Dirichlet先验概率分布。

基于以上步骤，我们可以得到每个关键词对应的隐含主题，但是，小概率的隐含主题会对计算相关度产生“噪音”，因此需要确定一个最佳的主题数，再进行电子病历之间的相关度计算。关鹏等2016年提出一种困惑度与主题方差相结合的确定LDA最优主题数目的方法，其中，困惑度计算公式如下：

其中，共有M篇文档，W_m为每篇文档m中的关键词数量，p(W_m)表示关键词在文档 m中出现的概率。

主题方差可以度量主题与均值之间的偏离程度，衡量主题之间的稳定性和差异性，计算公式如下：

其中，T为LDA模型抽取的主题，H为主题的数量，D_JS为Jensen-Shannon散度,

为主题对应的关键词分布的均值。

因此，形成的Perplexity-Var指标计算公式如下：

根据上述方法确定最佳主题后，我们可以计算电子病历文档Doc对应的主题分布P(Topic|Doc)之间的相关度来反映电子病历文档之间的相关度。在众多计算相关度的方法中，JS散度(Jensen-Shannon divergence)能够有效地衡量概率分布之间的相关度，因此，本发明采用JS散度进行电子病历文档Doc对应的主题分布P(Topic|Doc)之间的相关度计算。

JS散度源于相对熵，相对熵也可以称为KL散度(Kullback-Leibler divergence)，用于度量两个概率分布之间的差异程度，假设就诊患者电子病历文档对应的主题分布概率服从 P＝{p₁,p₂,...,p_t}，其他患者电子病历文档对应的主题分布概率服从Q＝{q₁,q₂,...,q_t}，则有如下公式：

JS散度解决了KL散度不对称的问题，同时取值范围在[0,1]之间，其公式为：

其中，JS散度越小，P和Q的概率分布越接近，也就说明P和Q的相关度越高。当P 和Q的概率分布完全相同时，JS散度为0。同理，JS散度越大，P和Q的相关度越低。

就诊患者和其他患者电子病历的JS散度越小，两个电子病历之间的相关度越高，说明医生进行正常访问的概率越大，医生的访问行为越可信；如果医生访问的就诊患者和其他患者电子病历之间的相关度很低，说明医生进行过度访问的概率越大，医生的访问行为越不可信。

B、信任量化

根据上述对医生访问行为的描述，我们可以对医生进行信任量化。由于诊断过程存在一定的不确定性，本发明在传统的信任评估模型上引入直觉模糊理论，从医生可信度、不可信度、不确定度三个方面量化医生的直觉模糊信任值。

B-1、直觉模糊信任值

传统信任评估模型中，医生的信任值是从可信度一个维度衡量，例如，医生A的可信度为0.4，医生B的可信度为0.6，医生B就可以获得比医生A更多的访问权限。但在实际情况中，由于医生对疾病的认知无法做到全面了解，医生在诊断过程中存在一定的模糊性和不确定性，因此本发明引入直觉模糊理论来判定医生的信任值。

直觉模糊理论是对模糊理论的扩展，二者是解决模糊性问题不可或缺的工具，模糊集主要是针对于一个隶属度来解决问题，而直觉模糊集是在其基础上加入了非隶属度及犹豫度来解决问题。在上述中，医生的A的可信度为0.4，在模糊集理论中我们可以认为，医生A的不可信度为0.6。但在直觉模糊理论中，我们无法精确地判定医生的可信度，根据医生的访问行为，我们可以确定该医生的可信度有四五分，可以用区间[0.4,0.5]表示，我们可以确定的是该医生最少有0.4的可信度，最多有0.5的可信度，也可以理解成最多有0.6 的不可信度，最少有0.5的不可信度，其中最少有0.4的可信度和最少有0.5的不可信度就是直觉模糊理论中最重要的两个参数，一位医生的直觉模糊信任值为[0.4,0.5]，我们可以描述为该医生的可信度为0.4,不可信度为0.5,其中，还有0.1的不确定度，表示无法确定医生是可信还是不可信。

设X是一个论域，则称A＝{x[μ_A(x),ν_A(x)]|x∈X}为直觉模糊集，其中μ_A(x),ν_A(x)分别为x属于A的隶属度和非隶属度，即μ_A:X→[0,1]，ν_A:X→[0,1]且0≤μ_A(x)+ν_A(x)≤1,

其中有:π_A(x)＝1-μ_A(x)-ν_A(x),

为X中元素x属于A的不确定度。

在直觉模糊集A中，其隶属度μ_A(x),非隶属度ν_A(x)和不确定度π_A(x)，分别可以用来表示医生访问行为的可信度、不可信度、以及不确定度。假设一个直觉模糊集为 A＝{x(0.6,0.3)|x∈X},则说明医生某次诊断记录的可信度为0.6，不信任程度为0.3，不确定度为0.1。

为简化直觉模糊集，我们可以将有序对<μ_A(x),ν_A(x)>定义为直觉模糊数，直接可以表示成δ＝(μ_δ,ν_δ),即当δ＝(0.6,0.3)时，所表示的意义与上述直觉模糊集A相同。因此，医生的直觉模糊信任值可以表示为：IT＝(μ,ν)，其中IT为医生的直觉模糊信任值，μ表示医生访问行为的可信度，ν表示医生访问行为的不可信度。

基于直觉模糊的信任三维空间图如图4所示，其中，(1,0,0)表示医生访问行为完全可信，(0,1,0)表示医生访问行为完全不可信，(0,0,1)表示医生访问行为完全不确定，不能确定其可信度和不可信度。

在本发明中，医生的可信度由如下公式计算得出：

μ_A(x)＝1-JS(P||Q)

医生的不可信度可以根据Yager的母函数来确定，其公式如下：

其中a的值用来控制直觉模糊的不确定度，当a＝1时，ν_A(x)＝1-μ_A(x)，即不确定度为0。当a取其他值时，我们就可以用一组直觉模糊数来表示医生访问行为的可信度、不可信度以及不确定度，其中不确定度的计算公式如下：

医生的直觉模糊信任值表示为：

IT＝[μ_A(x),ν_A(x)]

B-2、直觉模糊信任值聚合

基于上述直觉模糊理论，可以得到医生当次访问记录的直觉模糊信任值，经过一段时间后,医生会产生大量的历史访问记录，我们可以通过医生当次的直觉模糊信任值和历次的直觉模糊信任值进行聚合求取该医生总访问记录的直觉模糊信任值。由于信任会随着时间的变化而变化，当次记录的参考价值要高于历次记录的参考价值，其参考价值于与时间成反比，本发明基于此引入了时间窗和时间衰减的概念，更加真实地反映医生总访问记录的直觉模糊信任值。

时间窗的大小可以限制医生访问记录的数量，需要确定一个有效时间跨度t₀，我们只计算在时间跨度范围内的医生访问记录的直觉模糊信任值，如果当次访问记录的生成时间和历史访问记录的生成时间之差大于有效时间跨度t₀,则历史访问记录可以被视为过期记录，不进行直觉模糊信任值的计算。以某一位医生的访问记录为例，如图5所示。在图5中，包含了医生最早的历史访问记录到最新的当次访问记录，其中，t_n为当次访问记录的生成时间，t₁为第一次历史访问记录的生成时间，记录n-c到记录n对应的生成时间t_n-c到 t_n小于有效时间跨度t₀,此部分访问记录为有效记录，可以被列入直觉模糊信任值的计算；而记录1到记录n-k对应的生成时间t₁到t_n-k大于有效时间跨度t₀，此部分访问记录为无效记录，不可以列入直觉模糊信任值的计算。

确定有效的访问记录后，为反映医生真实的直觉模糊信任值，本发明加入时间衰减因子，对更接近于当次访问记录的直觉模糊信任值赋予较大的权重，对距离当次访问记录时间久远的直觉模糊信任值赋予较小的权重。时间衰减因子的公式如下：

其中，ω_j为第j条历史访问记录对应的时间衰减因子，ε为历史访问记录影响参数，ε的取值范围在[0,1]之间，ε的取值越大，代表对历史访问记录的影响程度越大；ε的取值越小，代表对历史访问记录的影响程度越小。

基于此，医生经过一段时间后的总体直觉模糊信任值的计算公式如下：

其中，因子τ用于限制聚合后的总体直觉模糊信任值仍然处于[0,1]的范围内，IT^j表示第j条历史访问记录对应的直觉模糊信任值。

C、基于直觉模糊信任的动态访问控制

C-1、信任区间

为实现访问控制，需要确定自适应的信任区间，根据医生所处的信任区间，授予医生相应的访问权限。本发明通过基于相对熵的直觉模糊聚类算法，将所有的医生聚成四类，得到四个自适应的信任区间。

C1-1:需要得到两两医生之间的相对熵，用于确定医生之间的差异程度，设医生Y₁的直觉模糊信任值为(μ₁,ν₁)，医生Y₂的直觉模糊信任值为(μ₂,ν₂)，两个医生之间的直觉模糊相对熵公式如下：

由于直觉模糊相对熵KL(Y₁Y₂)不具有对称度量的性质，为克服这一困难，本发明引人直觉模糊对称相对熵，其公式如下：

K(Y₁,Y₂)＝K(Y₂,Y₁)＝KL(Y₁,Y₂)+KL(Y₂,Y₁)

C1-2:对所有医生之间的对称相对熵进行聚类，基本步骤如下：

(1)确定差异度系数，构建差异度模糊矩阵。设Y_i(i＝1,2,…,g)和Y_j(j＝1,2,…,g)为医生的直觉模糊信任值，K(Y_i,Y_j)为第i个医生与第j个医生的直觉模糊对称相对熵，其中

为直觉模糊的差异度模糊矩阵，

为两个直觉模糊数之间的差异度系数。

形成直觉模糊差异度矩阵

如下所示：

(2)确定等价差异度矩阵。M的合成矩阵为：

将差异度矩阵经过2的指数次方有限合成，其中存在一个自然数，使得M^2z＝M^2z+1,即：

其中M^2z为等价差异度矩阵。

(3)确定M的λ截矩阵。

为M的λ截矩阵(λ∈[0,1])，给定一个λ值，由此来判断

的值，其中：

如果M_λ中的第i行中的所有元素和第j行中的所有元素完全相同，则医生Y_i和Y_j属于一类，以此类推，从而来实现所有医生的有效聚类。

例如,λ截矩阵为

其聚类结果可以将医生分为三部分,分别为{Y₁},{Y₂,Y₃},{Y₄,Y₅}，说明医生Y₁为单独一类，医生Y₂和医生Y₃为一类，医生Y₄和医生Y₅为一类。

C1-3:根据所有医生的聚类结果，得出自适应的信任区间，根据医生所处的信任区间进行信任等级的划分，利用信任等级授予医生不同的访问权限。

C-2、信任等级和访问权限

此部分根据医生的总体直觉模糊信任值进行医生信任等级的划分，本发明利用新得分函数对医生的总体直觉模糊信任值和信任区间阈值进行比较，从而确定医生所处的信任等级，授予医生相应的访问权限。比较过程如下：

设医生的总体直觉模糊信任值IT＝(μ₁，ν₁)，阈值V＝(μ₂，ν₂)，其中IT和V的得分函数分别为：

S(IT)＝μ₁-ν₁+(μ₁-ν₁)³π₁

S(V)＝μ₂-ν₂+(μ₂-ν₂)³π₂

则有：

(1)若S(IT)>S(V)，则IT>V

(2)若S(IT)<S(V)，则IT<V

(3)若S(IT)＝S(V)，当π₁<π₂，则IT<V；当π₁＝π₂，则IT＝V；

当医生的总体直觉模糊信任值IT在(V₀,V₁]范围内，对应的信任等级为一级；当医生的总体直觉模糊信任值IT在(V₁,V₂]范围内，对应的信任等级为二级；当医生的总体直觉模糊信任值IT在(V₂,V₃]范围内，对应的信任等级为三级；当医生的总体直觉模糊信任值IT在 (V₃,V₄]范围内，对应的信任等级为四级；其具体规则如下表所示：

表1医生信任等级的确定

拥有较多权限的医生一旦出现泄露行为就会造成严重的后果，因此，为防止拥有较多权限的医生出现过度访问行为，需要对当次就诊患者电子病历与其他患者电子病历之间的相关度进行规定，四级医生当次访问的其他患者电子病历与就诊患者电子病历之间的相关度小于R₃时，系统会自动判定其存在过度访问行为，则拒绝其访问，具体规定如下表所示：

表2相关度要求

C-3、奖惩机制

为控制医生进行过度访问行为，本发明引入奖惩机制的概念，在医生完成当次访问操作后，对处于不同信任等级的医生进行奖励或者惩罚。本发明对信任等级为4级的医生给予更高奖励，增加其信任值，提高医生的可信度；对信任等级为3级的医生给予适当奖励，奖励力度要小于4级医生；对信任等级为1级的医生给予惩罚，减少其信任值，降低医生的可信度；对信任等级为2级的医生给予适当惩罚，惩罚力度要小于1级医生。因此，一旦医生出现过度访问行为，其信任值会快速下降，如果信任值降到可访问的信任区间范围以下，系统会自动限制其继续进行访问。具体如下表所示：

表3奖惩机制

在上表中，h₁和h₂为惩罚系数，r₁和r₂为奖励系数，并且有r₂<r₁<h₂<h₁

，F_f为医生访问失败的次数，F_s为医生访问成功的次数，IT_n+1为当次访问完成后下一次的直觉模糊信任值。

C-4、访问控制策略

此部分对基于直觉模糊信任的访问控制模型进行详细描述，其流程如图1所示，

访问控制策略具体步骤如下：

C4-1:医生登录电子病历系统进行身份验证，验证通过进行下一步，不通过返回验证界面，继续进行验证

C4-2:医生发出访问请求

C4-3:读取医生的直觉模糊信任值，对比信任区间

C4-4:访问权限判定

1.医生直觉模糊信任值IT在(V₀,V₁]内，信任等级为1，拒绝访问。

2.医生直觉模糊信任值IT在(V₁,V₂]内，信任等级为2，访问相关度R(P||Q)<R₁，拒绝访问。

3.医生直觉模糊信任值IT在(V₁,V₂]内，信任等级为2，访问相关度R(P||Q)≥R₁，成功访问，授予查看权限。

4.医生直觉模糊信任值IT在(V₂,V₃]内，信任等级为3，访问相关度R(P||Q)<R₂，拒绝访问。

5.医生直觉模糊信任值IT在(V₂,V₃]内，信任等级为3，访问相关度R(P||Q)≥R₂，成功访问，授予查看、复制、增加、共享等权限。

6.医生直觉模糊信任值IT在(V₃,V₄]内，信任等级为4，访问相关度R(P||Q)<R₃，拒绝访问。

7.医生直觉模糊信任值IT在(V₃,V₄]内，信任等级为4，访问相关度R(P||Q)≥R₃，成功访问，授予查看、复制、增加、共享、删除等权限。

C4-5动态更新直觉模糊信任值

1.医生信任等级为1时，给予更高惩罚，降低其累计直觉模糊信任值。

2.医生信任等级为2时，给予适当惩罚，降低其累计直觉模糊信任值。

3.医生信任等级为3时，给予适当奖励，提高其累计直觉模糊信任值。

4.医生信任等级为4时，给予更高奖励，提高其累计直觉模糊信任值。

Claims (9)

1.基于直觉模糊信任的电子病历访问控制方法，其特征在于：包括以下3个步骤：

A、相关度计算：通过隐含狄利克雷分布LDA主题模型提取出就诊患者和其他患者电子病历文档的主题概率分布，并利用JS散度计算两个电子病历的相关度，根据相关度来描述医生的访问行为；其中，就诊患者电子病历是指医生访问的当前就诊患者的电子病历文档，其他患者电子病历是指医生访问的患有相关疾病患者的电子病历文档；

B、信任量化：通过直觉模糊理论，从医生可信度、不可信度和不确定度三个方面量化医生的直觉模糊信任值，并引入时间窗和时间衰减，根据医生的历史访问记录将有效时间内的直觉模糊信任值进行聚合，得到总的直觉模糊信任值；

C、访问控制：将所有医生进行直觉模糊聚类，得到四个自适应的信任区间，制定相应访问控制策略，授予访问权限；同时，加入奖惩机制，动态更新医生的直觉模糊信任值。

2.根据权利要求1所述的基于直觉模糊信任的电子病历访问控制方法，其特征在于：步骤A所述相关度计算采用LDA主题模型来判断，所述LDA主题模型是一个三层贝叶斯概率模型，有关键词、隐含主题和文档三层结构，在LDA模型中，一篇电子病历文档Doc-m的生成步骤如下：

A1-1、在电子病历文档与隐含主题的Dirichlet先验概率分布中取样生成电子病历文档Doc-m对应的主题分布P(Topic|Doc-m)；

A1-2、从主题分布P(Topic|Doc-m)中取样生成电子病历文档Doc-m第w个词的主题Topic-h；

A1-3、在隐含主题与关键词的Dirichlet先验概率分布中取样生成主题Topic-h对应的关键词分布P(Word|Topic-h)；

A1-4、从关键词分布P(Word|Topic-h)中取样生成关键词Word-w；

A1-5、重复上述步骤，直到生成电子病历文档Doc-m需要的所有关键词。

3.根据权利要求2所述的基于直觉模糊信任的电子病历访问控制方法，其特征在于：所述主题分布P(Topic|Doc-m)和关键词分布P(Word|Topic-h)是通过马尔科夫链蒙特卡罗方法MCMC中的Gibbs抽样算法计算的，Gibbs抽样算法可以看作是文档生成过程的逆过程，通过对已存在的电子病历文档中所有关键词的主题进行采样来估计概率，主要步骤如下：

A2-1：对病历库中每篇电子病历文档所含的每个关键词随机赋予一个主题Topic；

A2-2：统计每个主题Topic下出现关键词的数量

和每个电子病历文档Doc下出现主题Topic的数量

A2-3：计算P(Topic_i＝h|Topic_-i,w),即计算排除关键词w所赋予的主题，根据其他关键词所赋予的主题Topic_-i来估计关键词w分配到主题h的概率，其公式如下所示：

其中，Topic_i表示第i个关键词对应的主题，

为排除第i个关键词对应的主题，主题h中出现关键词w的数量，

为排除第i个关键词对应的主题，电子病历文档Doc-m中出现主题h的数量，β_w为主题Topic与关键词w的Dirichlet先验概率分布，α_h为电子病历文档Doc与主题h的Dirichlet先验概率分布；

A2-4：重复上述步骤，对每个关键词赋予新的主题，重新采样，直到收敛为止，输出P(Topic|Doc-m)和P(Word|Topic-h)，并得到每个关键词对应的主题；

A2-5：P(Topic|Doc-m)和P(Word|Topic-h)可以由如下计算公式得出：

其中，

为文档m对应主题h的个数，α为电子病历文档与隐含主题的Dirichlet先验概率分布，

为主题对应关键词w的个数，β表示所有主题与关键词的Dirichlet先验概率分布。

4.根据权利要求1所述的基于直觉模糊信任的电子病历访问控制方法，其特征在于：步骤A中所述利用JS散度计算电子病历文档Doc对应的主题分布P(Topic|Doc)之间的相关度的过程如下：诊患者电子病历文档对应的主题分布概率服从P＝{p₁,p₂,...,p_t}，其他患者电子病历文档对应的主题分布概率服从Q＝{q₁,q₂,...,q_t}，则有如下公式：

JS散度解决了KL散度不对称的问题，同时取值范围在[0,1]之间，其公式为：

其中，JS散度越小，P和Q的概率分布越接近，也就是说就诊患者和其他患者电子病历的JS散度越小，两个电子病历之间的相关度越高。

5.根据权利要求1所述的基于直觉模糊信任的电子病历访问控制方法，其特征在于：所述步骤B中医生的直觉模糊信任值计算过程如下：

可信度计算公式如下：

μ_A(x)＝1-JS(P||Q)

其中：X是一个论域，则称A＝{x[μ_A(x),ν_A(x)]|x∈X}为直觉模糊集，μA(x),νA(x)分别为x属于A的隶属度和非隶属度，即μ_A:X→[0,1]，ν_A:X→[0,1]且

其中有:

为X中元素x属于A的不确定度；

医生的不可信度可以根据Yager的母函数来确定，其公式如下：

其中a的值用来控制直觉模糊的不确定度，当a＝1时，ν_A(x)＝1-μ_A(x)，即不确定度为0；当a取其他值时，我们就可以用一组直觉模糊数来表示医生访问行为的可信度、不可信度以及不确定度，其中不确定度的计算公式如下：

医生的直觉模糊信任值表示为：

IT＝[μ_A(x),ν_A(x)]。

6.根据权利要求5所述的基于直觉模糊信任的电子病历访问控制方法，其特征在于：所述步骤B中医生的直觉模糊信任值引入时间窗和时间衰减后，计算公式为：

其中，因子τ用于限制聚合后的总体直觉模糊信任值仍然处于[0,1]的范围内，IT^j表示第j条历史访问记录对应的直觉模糊信任值，ω_j为第j条历史访问记录对应的时间衰减因子，其计算公式为：

ε为历史访问记录影响参数，ε的取值范围在[0,1]之间，ε的取值越大，代表对历史访问记录的影响程度越大。

7.根据权利要求1所述的基于直觉模糊信任的电子病历访问控制方法，其特征在于：所述步骤C中四个自适应的信任区间通过以下步骤获得：

C1-1、通过以下公式计算两两医生之间的相对熵：

其中：医生Y₁的直觉模糊信任值为(μ₁,ν₁)，医生Y₂的直觉模糊信任值为(μ₂,ν₂)，由于直觉模糊相对熵熵KL(Y₁Y₂)不具有对称度量的性质，为克服这一困难，本文引人直觉模糊对称相对熵，其公式如下：

K(Y₁,Y₂)＝K(Y₂,Y₁)＝KL(Y₁,Y₂)+KL(Y₂,Y₁)；

C1-2、对所有医生之间的对称相对熵进行聚类；

C1-3、根据所有医生的聚类结果，得出自适应的信任区间，根据医生所处的信任区间进行信任等级的划分，利用信任等级授予医生不同的访问权限。

8.根据权利要求1所述的基于直觉模糊信任的电子病历访问控制方法，其特征在于：所述步骤C中授予访问权限是利用新得分函数对医生的总体直觉模糊信任值和信任区间阈值进行比较，从而确定医生所处的信任等级，授予医生相应的访问权限。

9.根据权利要求1所述的基于直觉模糊信任的电子病历访问控制方法，其特征在于：所述步骤C中访问控制策略分为以下步骤：

C4-1:医生登录电子病历系统进行身份验证，验证通过进行下一步，不通过返回验证界面，继续进行验证；

C4-2:医生发出访问请求；

C4-3:读取医生的直觉模糊信任值，对比信任区间；

C4-4:访问权限判定；

C4-5动态更新直觉模糊信任值。

Images