数字医疗中的访问控制综述

为了适应现阶段网络安全新形势和新技术发展的要求，公安部于 2018 年正式发布《网络安全等级保护条例（征求意见稿）》，标志着国家对信息安全技术与网络安全保护迈入2.0 时代。

随着《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》和《信息安全技术 健康医疗数据安全指南》于 2021 年相继实施，个人隐私保护已成为人们生活中非常重要的一部分，在医疗领域更是如此。随着互联网技术的快速发展，医疗服务逐渐向数字信息化转型。2023 年 2 月，中共中央、国务院印发《数字中国建设整体布局规划》，指出要全面赋能经济社会发展，推动数字技术和实体经济深度融合，在农业、工业、金融、教育、医疗、交通、能源等重点领域，加快数字技术创新应用。医疗信息系统涉及的机构广泛、参与者众多。分布式医疗机构之间的数据共享已经成为一种趋势。医疗数据作为重要数据资产也不断被分析、挖掘，这极大地推动了医疗领域的研究与发展。数字医疗系统整合了云计算、射频识别（Radio Frequency Identification，RFID）、无线传感器、点对点（Peer to Peer，P2P）网络等前沿技术，通过传感器搜集并整合成个人健康档案，并上传至健康信息管理云平台来获得各种健康服务。数字医疗系统作为一种信息系统，应满足美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）对于信息系统的安全要求，即应满足机密性、可用性、完整性、真实性、不可否认性、可追溯性、隐私性、数据新鲜性和匿名性需求 。数字医疗系统为医患信息分享与健康服务提供了方便快捷的模式，然而，个人健康档案包含大量的个人健康隐私，如过往病史、就医记录等，这样的分享模式给个人健康档案的隐私保护带来了巨大的挑战。

访问控制作为数据分享的主要方式受到了业界广泛的关注，而基于属性的加密技术由于可实现细粒度的访问控制，被广泛应用于医疗领域。目前，数字医疗场景中访问控制技术面临以下 5 个方面的挑战。

挑战 1：适应分布式环境。数字医疗系统通过互联网将不同医疗机构和用户串联起来，不同机构、用户之间的数据共享是分布式场景下访问控制技术应克服的挑战。

挑战 2：权限管理复杂。数字医疗系统中访问控制主体结构复杂，各个医院、医学研究机构的数据需经常共享，数据流通管理困难，容易形成数据孤岛。数据信息量大、用户需求多样、云服务商业务类型丰富给权限管理带来挑战。

挑战 3：访问控制的颗粒度不同。在数字医疗系统中，不同机构对于数据访问控制的颗粒度要求各不相同。如何通过细粒度访问控制机制实现数字医疗系统中不同机构、用户之间的数据共享是一个挑战。

挑战 4：隐私信息保护。数字医疗系统中包含大量病患数据，例如病人的患病史和各种身体指标，这些作为个人隐私的信息如果被恶意泄露，将会对病患的生活造成不良影响。

挑战 5：访问控制动态变化。在数字医疗系统中，各种医疗数据在不断地上传和下载，处于时刻更新的状态。用户对于不同数据的访问权限也在不断变化。此时设计可根据用户、属性动态变化而改变访问策略的动态访问控制机制将成为一个挑战。

目前，国内外对于访问控制机制已有不少研究，本节针对现有访问控制研究现状进行介绍。

2.1　多属性机构的细粒度访问控制机制

在传统集中式属性基加密机制中，只有单一授权中心才能为用户将已经被验证的属性生成私钥，此外，用户只能根据单一授权中心设置的唯一策略进行数据共享。但在实际应用中，一般都由不同的机构制定不同的访问策略来进行数据共享。并且随着网络的不断发展，用户处理的数据量也不断增加，使得只有单一授权中心的传统集中式属性基加密机制效率低下的问题暴露出来。在传统医院场景中，每家医院的病患数据只保存在自家医院的数据库中，这使得不同的医院之间无法通过共享数据进行交流，从而形成数据孤岛，将不利于医学研究等活动的发展。数字医疗系统可以将不同医疗机构各部门的病患数据进行整合，从而实现数据共享，使得医疗机构之间的合作变得更加方便快捷。

在基于属性的多授权加密（Multi Authority Based Attribute Encryption，MA-ABE）中，不同的属性授权机构控制着不同的属性域。MA-ABE还可以对解密的属性密钥进行管理，它提供了必要的平台来实现对共享数据的细粒度访问，同时实现单对多加密。

Chase 等人首次设计了多授权中心的基于属性的加密方案。文献 [5-7] 提出了改进方案，通过取消固定的全局身份标识防止用户隐私泄露，同时也新增了抗碰撞等功能。Dhal 等人提出了一个具有属性撤销功能的集中式多属性机构的细粒度访问控制机制来解决现有一些基于密文策略的属性基加密（Ciphertext-Policy Attribute-Based Encryption，CP-ABE）机制存在的用户端计算量较高的问题。Guo 等人针对一般 CP-ABE 不适合直接应用于分布式云服务系统中来提供外包数据多层级结构安全性的问题，设计了一种适用于隐私个人健康档案的多权限CP-ABE 方案。

Liu 等人为了解决用户解密计算开销过大等问题，提出了一个支持大属性域和多属性机构的 ABE 方案。Huang 等人提出了一种适应性选择密文攻击（Adaptive Chosen Ciphertext Attack，CCA2）安全的大域多权限访问控制方案，该方案支持用户属性撤销、离线加密、密文验证和外包解密。Zhang 等人设计了一个可追踪恶意用户的大域多属性机构 CP-ABE 方案来解决现有方案访问策略表达性差、效率低下等问题。Sethi 等人构造了一个基于大属性域的多授权 CP-ABE 方案，该方案支持策略更新和外包解密。Banerjee 等人提出了一种工业物联网环境中基于区块链的细粒度用户访问控制方案。该方案支持多属性授权，并且密钥和密文的大小不会随属性、个数改变而改变。

2.2　基于可搜索加密的细粒度访问控制机制

数字医疗系统中的电子健康记录包含病患的各类隐私信息，这些数据通常是敏感的，需要防止未经授权的访问。因此，数字医疗系统中如何安全共享医疗数据而不导致患者数据泄露是一个巨大挑战。可搜索加密技术的出现为解决上述问题提供了可能。可搜索加密的概念最早由 Song 等人 提出，可搜索加密即为将数据文件进行加密后存储到云端，然后对密文进行检索的一种技术。在该作者设计的方案中，当只给出密文时，不受信任的服务器无法了解关于明文的任何信息；同时为搜索提供了查询隔离，这意味着不受信任的服务器除了搜索结果，无法了解关于明文的更多信息；并且该方案提供了受控搜索，使得不受信任的服务器不能在没有用户授权的情况下搜索任意单词；该方案还支持隐藏查询，用户可以要求不受信任的服务器搜索一个秘密词，而不向服务器透露这个词。

可搜索加密经过学者们的不断研究，又出现了支持关键字搜索的对称加密和支持关键字搜索的非对称加密，随后出现了支持各种功能的可搜索加密。Yang 等人研究对存储在易受泄露的外包数据库中的加密数据进行查询的高效且可证明安全的方法。Liu 等人提出了一个排序查询信息检索方案，以减少在云上产生的查询开销。Zhao 等人为了解决搜索一个加密关键字，云服务器必须查找存储的所有加密文件，将该加密关键字与每个关键字索引进行比较的问题，设计了一种基于属性基加密的加密云存储关键字搜索方案。Xu 等人 为了解决关键字空间为多项式量级大小时容易遭受关键字猜测攻击的问题，提出了一种可保护关键字隐私的带关键字搜索的公钥加密方案，称为带模糊关键字搜索的公钥加密方案。

2.3　外包云辅助的属性基访问控制机制

在数字医疗系统中，由于病人身上的心率监测、血压监测等可穿戴智能设备的计算能力有限，因此可以将复杂运算外包给第三方云服务商来执行。但由于病人的各种生理体征是隐私数据，不能被第三方云服务商了解，因此需要第三方云服务商既能够正确执行外包运算，又无法得知病人的隐私信息。在基于属性的加解密机制中，双线性映射、群指数运算等会造成不小的计算开销，此外随着访问策略中对属性个数的要求不断增加，解密运算的计算开销也会随之呈线性增加。由于移动医疗系统设备计算能力较弱，通常需要将复杂计算外包给第三方云服务提供商。为了解决外部云服务器并不完全可信的问题，应用 ABE 的可追踪外包数据的访问控制成为学者们研究的热门方向。Odelu等人提出一种具有常数大小密匙的 AND 门访问策略的 CP-ABE 方案，该方案舍弃双线性映射，采用椭圆曲线密码技术，使得加解密的计算开销得以降低。Green 等人首次提出了具有外包辅助解密的 ABE 方案。Ramu 等人提出了一种带有用户撤销功能的 CP-ABE 改进方案，以加强云架构下的数据外包系统。Fan等人设计了一个具有用户属性撤销功能的CP-ABE 方案，将加解密步骤外包给云服务提供商。Wang 等人提出了一个匿名的分布式细粒度访问控制协议，并在公有云中提供可验证的外包解密。但该协议无法实现属性撤销功能。

2.4　具有匿名证书的访问控制机制

匿名证书允许授权用户在不损害其隐私的情况下进行匿名的有效认证。由于医疗数据涉及病患隐私，具有匿名证书的访问控制机制在数字医疗领域中可以发挥极大的作用。王中华等人提出了一种支持云端与用户之间的双向身份认证方案。汪定等人指出前人提出的3 个多服务器环境下的匿名身份认证协议无法满足多因子安全性和用户匿名性。王震等人针对大多数匿名认证方案未考虑可监管的问题，提出了一种可监管的匿名认证方案，该方案可以确定用户的资源访问和使用权限，并确保用户的隐私信息不过度暴露。Hanzlik 等人为了解决移动应用中证书可能被他人共用和平台资源受限的问题，提出了一个匿名证书方案。Pinjala等人提出了一个匿名委托证书方案，该方案只关注了服务请求方的匿名隐私保护，而未能保护服务提供方的隐私。

2.5　基于信誉的优选机制

在一般的属性基访问控制机制中，数据拥有者设置好访问策略后，当数据用户的属性满足数据拥有者的访问策略时，即可访问该数据拥有者的数据资源。类似地，可将病人看作数据拥有者，将医生看作数据用户，当医生具有的属性能够满足病人的访问策略时，系统即可将该医生推荐给病人，从而达到医生优选的目的。

在移动医疗系统中，病患可根据医生属性来选择适合自己病症的医生，而不是依靠网络上对医生的评价。与移动医疗系统类似，在群智网络中的众包任务里，任务发布者需要选择系统用户为自己执行任务。在现有的一些方案中，任务发布者会依据用户的信誉来选择工人。Sun 等人 针对车辆众包服务中存在不同的交通信息来源产生针对特定服务请求的虚假信息以获取利润的问题，设计了一个名为 RC-chain的基于信誉的众包框架。Huang 等人针对将机器学习方法应用于众包，以评估参与者信誉的问题，设计了基于线性判别分析的随机森林众包参与者信誉评价模型。Wu 等人 将信誉机制融入众包的任务分配和投标价格中，设计了一个新的框架，利用信誉机制基于 Stackelberg博弈模型来关注工人和任务发布者之间的合作。Katmada 等人设计了一个具有激励机制的众包平台，来增强众包用户的财务意识。Wu 等人[35]针对现有机制不考虑贡献的可信度或质量，只有在工人提交贡献后才进行评估，导致不可撤销的支出和消极的参与者效用等问题，设计了一个信誉系统，帮助任务发布者选择最合格的工人来执行任务。Lu 等人设计并实现了一个私有的匿名去中心化众包系统 Zebra Lancer，克服了去中心化众包的数据泄露和身份泄露问题。

2.6　具有属性撤销功能的访问控制机制

用户和属性的更新和撤销在数字医疗系统中是十分重要和常见的部分，在数字医疗系统中经常会发生新用户、新属性增加或现有用户、属性被撤销的状况。当有用户被撤销其合法身份时，与其拥有共享属性的其他用户就必须更新私钥。上述过程会产生额外的计算，增加了计算成本，使得方案整体效率降低。针对这个问题，许多学者展开研究，包括定时更新密钥机制、懒惰撤销、可恢复存储撤销、代理重加密等 。Boldyreva 等人运用模糊基于身份的加密机制和二叉树数据结构，提出了一个基于身份的加密（Identity-Based Encryption，IBE） 方 案， 将更新密钥的次数减少到对数级次数。

为了解决无法满足前向和后向安全的问题，Hur 等人 设计了代理重加密的支持属性撤销的方案。Yang 等人为了解决密钥管理复杂导致的效率低下问题，提出了一种针对云存储系统的细粒度访问控制方案，但该方案中，新入群的合法用户为了可以访问之前的数据，须更新和撤销与属性关联的密文，这便增加了计算成本。Tysowski 等人提出了将代理重加密与CP-ABE 相结合的方案，由移动设备和第三方云服务商共同生成密钥。

通过对现有访问控制研究进行分析，可以发现现有机制存在以下问题：

（1）多机构的访问控制机制存在安全方面的缺陷。健康医疗数据常常需要多家机构间分享，当用户属性都由一个中心机构管理时，很容易遭受分布式拒绝服务（Distributed Denial of Service，DDoS）攻击并导致单点故障。此外，目前多机构的访问控制机制中还存在多用户共谋等问题。

（2）第三方云服务提供商不完全可信。在外包云模式的数字医疗系统访问控制机制中，存在用户大量隐私数据被窃取的问题。此外，用户与第三方云服务提供商通信开销过大也是有待解决的问题。

（3）恶意用户身份揭露与追责机制不完善。现有大部分数字医疗系统访问控制机制偏重用户隐私保护，而忽略了对恶意用户身份的揭露与追责。

（4）缺少细粒度的基于属性的医生优选机制。目前，大多数医生选择机制仅考虑医生的信誉属性，过于片面。该问题如果得不到解决，会限制数字医疗领域技术的发展。

（5）关键字、索引易导致隐私泄露。目前，大多数数字医疗系统支持关键字搜索的 CP-ABE方案中，关键字和索引都以明文形式存在，这种做法容易导致病患隐私的泄露。此外，大多数基于属性的加密方案中的加解密计算开销与密文大小都随着访问策略、用户属性个数的增加而增加。而在数字医疗系统中，用户移动设备往往不具备复杂计算的能力，因此，设计一套轻量级的、可保护用户隐私的、可搜索加密的属性基访问控制方案是有待解决的问题。

（6）第三方云服务商外包运算结果正确性验证问题有待解决。目前，大多数外包云辅助的属性基访问控制机制为了减少用户解密的计算开销，而将部分解密计算外包给第三方云服务商，但同时用户也无法验证第三方云服务商解密运算的正确性。因此，如何验证第三方云服务商外包运算结果的正确性是有待解决的问题。

4.1　基于身份的加密技术

基于身份的加密（Identity-Based Encryption，IBE）技术由 Shamir[44] 于 1984 年提出，方案中不需要任何证书，用户的身份被作为公钥，这种做法简化了公钥基础设施（Public Key Infrastructure，PKI）中基于证书的密钥管理过程。在数字医疗系统中，可将病人身份等信息作为密钥并对病人隐私进行加密，只有通过认证的用户才能获得相应的私钥和数据密文，从而实现对病人信息的访问。Boneh 等人于 2001 年提出了第一个实用的基于身份的公钥加密方案。

4.2　基于属性的加密技术

基于属性的加密（Attribute-Based Encryption，ABE）技术由 Sahai 等人 [3] 于 2005 年提出，其中加密者能够在加密算法中制定一些策略，并根据这些策略共享数据。接收用户的凭证用属性集合表示，属性通常是指用户本身所拥有的特性或身份标识。当前，数字医疗系统具有数据量大、数据结构多样化、数据用户类型复杂、用户数据隐私要求高等特点，利用基于属性的加密技术可以实现细粒度的访问控制，并可以保护用户隐私，使得数字医疗系统中过度授权、授权不足、缺乏细粒度访问控制机制、用户隐私易泄露等问题得以解决。

4.3　区块链技术

传统的集中式数字医疗网络一般会存在一个中央管理平台，可能会遭受 DDoS 攻击并导致单点失败。区块链作为一种分布式账本，具有去中心化的特点，可作为第三方可信平台，是解决集中式管理平台弊端的不二选择。

智能合约的概念最早由密码学家 Szabo于1995 年提出，智能合约是一种计算机协议，在协议制定和部署后，无须外加人为干预，即可实现自我执行和自我验证。

与传统合约相比，智能合约具有去信任性、无须第三方仲裁、实时更新和成本低的特点。

区块链作为去中心化的分布式记账系统，没有中心化记账机构来保证每一笔交易在每个记账节点的一致性。为了解决分布式记账系统一致性的问题，共识机制被设计出来，是所有节点都必须遵守的一种规则。常见的共识机制有工作量证明（Power of Work，PoW）、权益证明（Proof of Stake，PoS）和委托权益证明（Delegated Proof of Stake，DPoS）。

4.4　隐私集合求交技术

隐私集合求交技术允许持有各自集合的多方共同计算集合的交集，计算后各个参与方只能得到交集的内容，而不会得到交集之外的任何信息 [48]。在数字医疗系统中，数据拥有者和数据用户通过隐私集合求交技术可以求得属性交集，当交集中的元素个数达到数据拥有者的门限值时，代表数据用户的属性满足数据拥有者的访问策略。

4.5　同态加密技术

在数字医疗系统中，公共服务器上的私有数据容易受到勒索软件的攻击，可能会导致病人医疗保健服务和数据的丢失、泄露。同态加密的主要思想是对经过同态加密的数据进行某种方法的计算得到一个输出，并将这一输出进行解密，其结果与采用同种方法计算未加密的原始数据得到的输出结果一致。同态加密可分为部分同态加密、有限层次全同态加密、类同态加密和全同态加密。通过使用同态加密技术对密文数据进行计算，可以实现用户对数据的可用不可见。

4.6　安全多方计算技术

在数字医疗系统中，安全多方计算技术可以为原本相对封闭的医疗数据参与方搭建起安全可信的数据交换桥梁。例如，为了推进全民病历互通，实现各医疗机构用户病历共享，可以通过安全多方计算技术构建一个交换网络来保护病历数据隐私，从而实现数字医疗数据价值利用最大化。假设一组人想确定他们中谁的薪水最高，最简单的方法是每个人直接说出自己的薪水。但如果大家都不想让他人知道自己具体的薪水，该如何做出比较？如果存在一个可信第三方，大家都可以将自己的薪水告知该第三方，由第三方比较出结果再告诉大家。此时就需要该第三方获得系统中所有用户的信任，但在现实中不存在这种可信第三方。如何在不存在可信第三方的情况下解决上述问题称为安全多方计算问题。安全多方计算于 1986 年由姚期智院士通过“姚氏百万富翁问题”提出。“姚氏百万富翁问题”后经发展，成为现代密码学中非常活跃的研究领域，即安全多方计算。

5.1　差分隐私技术

数字医疗系统数据种类多样复杂，差分隐私技术可通过对原始数据的查询增加噪声，使得数据无论增加或删除都无法对计算输出产生影响。这种做法使得对手无法通过结果差异推导出具体的数据信息。差分隐私技术可为数字医疗系统数据隐私保护提供可行思路。数字医疗系统具有数据间存在关联性的特点，传统差分隐私技术目前无法解决数据关联的问题，动态的图像数据也是差分隐私保护技术有待解决的难题。

5.2　保证链下数据存储安全，发展抗量子的隐私保护访问控制技术

在基于区块链的分布式数字医疗系统中，由于数据信息流通量大、种类复杂多变，使得隐私保护要求不同，进而导致访问策略存在差异。此外，区块链的存储和计算能力有限，因此不适合将海量数据和对安全要求高的数据存储在区块链上，这使得各方需要自行维护自己的数据库安全。同时，量子计算的发展也使得杂凑算法存在被破解的风险，所以如何保证链下数据存储安全、发展抗量子的隐私保护访问控制技术是有待解决的问题。

5.3　加解密效率过低、计算开销过大

数字医疗系统中有很多可穿戴设备，如心率、血压监测设备等，这些设备的计算、存储能力有限。目前，如同态加密、安全多方计算等技术已经可以保证用户敏感数据的隐私计算，但加解密效率过低、计算开销过大仍然是一个有待解决的问题。

5.4　结合零知识证明的访问控制

零知识证明允许验证者在不知道任何信息的情况下验证信息的有效性。在基于区块链的访问控制机制中，交易方的地址、金额等信息可以通过零知识技术保护起来。在基于区块链的分布式数字医疗系统中，电子病历中的信息通常与病患身份相关联，对手可以通过分析交易将地址与用户身份相关联，从而造成病患隐私泄露。零知识证明虽然可以保护病患隐私，但通常只适用于体量较小的数据。而数字医疗系统数据具有体量庞大、结构复杂多样的特点。因此，设计适合数字医疗场景的、结合零知识证明的访问控制机制是一个有待解决的问题。

综上所述，在当前数字医疗领域的文献中提出了相关问题和建议，而真正将研究应用到实践中的较少，医疗数据隐私保护的细粒度、个性化需求也越来越迫切。此外，除了研究隐私保护技术，还应该完善与隐私安全规范、管理标准相关的法律法规，对相关工作人员进行规范培训，并且在日常工作管理中积极落实。

通过分析现有各种具有密码学性质的访问控制方案，总结了现有方案存在的问题和不足。例如，容易遭受 DDoS 攻击并导致单点故障、第三方云服务提供商不完全可信、恶意用户身份揭露与追责机制不完善、关键字和索引易导致隐私泄露、无法保证外包运算正确性等，并对数字医疗领域基于区块链的访问控制技术的发展提出了展望。