基于属性证书的电子医疗信息访问控制模型研究.docVIP

基于属性证书的电子医疗信息访问控制模型研究 曹 阳* 李伟鹏 刘娅琴广州第一军医大学生物医学工程系医学电子学教研室 510515 摘 要：人们在应用计算机技术贮存、传递、获取、使用和共享医疗信息的同时，不可避免地带来相应的信息安全问题针对目前存在的问题提出了属性证书访问控制。也变得越来越突出医学信息系统涉及到每一个人的隐私医院各种信息系统的开发导入运行使得更多的人有更多的机会接触到以前不可能接触到的信息。此外高度集中海量的临床信息也是各种商业利益集团的对象。美国立法规定，强制医疗保健单位严格管理敏感信息（如健康报告）的隐私性和安全性。意或无意的滥用或泄露医学信息系统PKI技术新发展的属性证书，由于其在存取控制方面不是基于用户身份，而是基于其持有者所担当的角色或拥有的权限等属性来决定其对某一资源对象的访问，这使得系统管理员能够利用角色为中介，以简单灵活的方式来配置每个用户的访问权限[2]，从而适合于解决当前电子医疗信息的访问控制问题。 本文根据电子医疗信息的特点，提出了访问控制PMI模型 属性证书（Attribute Certificate，AC）的概念在ITU2T(1997) X.509 v3证书规范中就已提出，ITU2T(2000) X.509v4 对其基本结构正式作出了定义和规范。 属性证书是由特权管理基础设施PMI（Privilege Management Infrastructure）的属性权威中心SOA（Source Of Authorization）授权的属性权威机构AA（Attribute Authority）签发的，包含某持有者的属性集（如角色，访问权限及组成员等）和一些与持有者相关信息的数据结构。由于这些属性集能够用于定义系统中用户的权限，因此作为一种授权机制的属性证书可看作是权限信息的载体。属性权威AA 的数字签名保证了实体与其权力属性相绑定的有效性和合法性[2]。 属性证书基本结构的ASN.1语法如下所示[2-4]： AttributeCertificate∷= SIGNED{acinfo AttributeCertificateInfo} AttributeCertificateInfo∷= SEQUENCE { version AttCertVersion DEFAULT v1， holder Holder，; issuer AttCertIssuer， signature AlgorithmIdentifier， serialNumber CertificateSerialNumber， attrCertValidityPeriod AttCertValidityPeriod， attributes SEQUENCE OF Attribute， issuerUniqueID UniqueIdentifier OPTIONAL，(可选) extensions Extensions OPTIONAL，(可选) } PMI建立在PKI提供的可信身份认证服务的基础上，以属性证书的形式实现授权的管理。它的访问控制模型如图1所示[5]。其中，对象是指被保护的资源，例如病人的电子病历或医院的财务数据等。针对每个对象都有一定的操作方法，例如“读”、“增加”、“删除”和“修改”。用户是指具有某些权限的实体，即携带属性证书的访问者。验证者是指根据用户所具备的权限判断是否允许他访问某一对象的机构。 验证者获得用户的属性证书后，依据以下4点判断是否允许该用户访问某一对象： （1）用户的权限：即属性证书中的属性，它体现了授权机构对该用户的信任程度。 （2）权限策略：指采用特定方法访问特定对象所需的权限的最小集合或门限。 （3）当前相关的环境变量参数：验证者进行权限判断时所使用的一些参量，如时间等。 （4）对象及其操作方法的敏感程度：反应了要处理的资源的属性，如文档密级等。这种敏感程度既可以外在的标签方式与对象共存，也可是对象固有数据结构封装的一部分。 3 电子医疗信息的访问控制模型 电子医疗信息种类繁多，分布较广；同时访问信息资源的人员身份复杂，而且变化频繁。为了便于授权管理，我们在PMI角色模型[6]的基础上，提出了一个基于属性证书的访问控制模型，如图2所示。该模型中涉及的实体包括医疗信息资源、授权模块、验证模块、角色和用户。在这个模型中，授权模块负责确定用户的属性类型、属性证书内容和属性证书发放流程。它可以从应用系统中分离出来，以独立服务的方式提供授权管理服务 除了属性证书外，用户还需要有身份证书（Identity Certificates，IC）来证明自己的合法身份。IC的发布由认证中心（Certificate Authority，CA）来完成。持有双份证书的用户访问医疗信息资源的过程如图3所示，其中角色访问