本发明涉及种基于请求用户可信度的访问控制方法,特别是基于模糊信任预测和回归分析的医疗数据访问控制模型。
背景技术:
大数据为医疗行业发现新价值带来了新的机遇,医疗信息化进入高速发展时期并积累了海量结构化和非结构化的医疗数据,为提升医疗机构现代化管理水平和诊疗效率发挥了极大的作用,成为医疗活动中必不可少的技术手段。医疗大数据作为大数据的一种,拥有大数据的基本数据特性:大量性、多样性、快速性、价值大数据的应用和发展有利于节约医疗成本、提升医疗服务水平,将对经济、社会、人民生活等各方面产生极大影响,尤其是在临床辅助诊疗、健康管理、精准医疗和传染病监测方面。
然而,在采集、治理和分析这些医疗大数据并发掘和利用其潜在价值的同时,也不可避免的带来了很多隐私泄露问题。
医疗大数据最主要的使用者是医院的医护人员,医护人员主要包括医生、护士、医疗专业人员、药剂师等。随着医疗大数据和医疗信息化的快速发展,大数据背景下的医疗用户信任评估变得更加复杂。同时,医疗数据的专业性和复杂性以及获取医疗知识的昂贵性,使得医患之间存在着天然的不对等关系。拥有专业知识跟技能的医护人员处于天然的强势地位,而作为信息来源者和拥有者的病人却处于弱势地位,只能寄希望于医生能在“最小特权原则”下提供服务,然而随着大数据的发展,这种不对等关系越发严重。
目前现有两种方式来评估医疗大数据访问者的信誉度,以便减少隐私泄漏和恶意访问:
一、动态信任评估:
可以及时的更新用户信誉度,具有很高的时效性,但是这种通过降低用户信誉来打击和威慑恶意访问者的方法均为“事后惩罚”,即用户进行恶意访问所带来的后果只有在下个周期的动态评估后才能体现。“事后惩罚”对于正在进行的恶意行为的用户几乎没有任何影响,在打击恶意行为时效果并不明显。
二、访问控制模型
一般都是采用单值平均量化(信任值、风险值)后与预设的访问控制策略结合进而达到访问控制的目的,但是单一的平均信任值可能不能很好地反映真实的信任状况。例如,如果医生a和医生b的信任值如下:ta=tb=0.7(在[0,1]范围内),那么是否意味着a和b具有相同的信任水平?如果a的信任值正在变差,并积累到0.7,而b的信任值正在变好,也积累到了0.7,这显然是不正确的。因此,在预测即将到来的信任水平方面,b明显优于a,通常采用历史行为进行信任的单值平均量化不能反映真实的信任水平的。
技术实现要素:
针对现有技术中存在的缺陷,本发明的目的在于提供一种基于模糊信任预测和回归分析的医疗数据访问控制模型。本发明利用回归分析将医生历史行为趋势融入信任评估模型当中,并在访问控制模型中加入了预警体系,提出了一种基于模糊信任预测的访问控制模型(fuzzytrustpredictiveaccesscontrolmodel,ftpacm),很大程度上缓解了单值信任量化带来的弊端,从多个方面提高了模型的性能。
为了实现上述目的,本发明所述的基于模糊信任预测和回归分析的医疗数据访问控制模型由以下部分组成:
医疗信息系统数据库his-db、身份认证及请求处理模块iam、行为行为预警模块bwm、可信数字证书数据库atdc-db、访问策略模块ap,信任管理中心trustmanagementcenter,tmc;
所述身份认证及请求处理模块iam,包括执行点rep,身份验证检查点icp;
所述可信数字证书数据库atdc-db,存放访问信任数字证书atdc;
所述访问策略模块ap,包括访问策略模块数据库ap-db;
所述医疗信息系统数据库his-db,存放医疗记录mr;
所述信任管理中心tmc,包括信任量化、信任评估、信任校正三个功能模块;
工作步骤如下:
step-1:请求执行点rep接受用户的请求,并将其发送到身份验证检查icp。
step-2:身份验证检查点icp首先检查用户身份凭证是否正确,身份凭证包括:登录时间、登录ip,然后将其访问请求发送给行为行为预警模块bwm。
step-3:行为预警模块bwm向信任管理中心tmc发送请求,获取行为信任。
step-4:从信任管理中心tmc获得所需信息后,行为预警模块bwm对用户行为的信任水平进行分类并反馈对应的提示或警告信息。
step-5:用户收到行为预警模块bwm的信息后,将自行选择是否继续访问,并反馈给行为预警模块bwm。若终止访问则退出流程,否则继续执行step-6。
step-6:行为预警模块bwm向信任管理中心tmc发送继续访问请求,信任管理中心tmc调用行为预警模块bwm和访问可信数字证书数据库atdc-db收集的用户信息,进一步对用户进行信任评估。
step-7:最后,访问策略模块数据库ap-db与行为预警模块bwm交互,获取用户最终的信任值,并根据访问规则进行最终判断。
step-8:如果允许用户,则从所有可用资源中选择最可信的资源,并将其发送给用户,然后生成相应的医疗记录mr和访问信任数字证书atdc并将其存储在医疗信息系统数据库his-db和可信数字证书数据库atdc-db中。
step-9:如果不允许使用用户,则用户将无法访问相应的资源,然后生成相应的医疗记录mr和访问信任数字证书atdc并将其存储在医疗信息系统数据库his-db和可信数字证书数据库atdc-db中。
step-10:最终,用户可以访问其服务并执行其工作或流程。
进一步的,身份认证及请求处理模块iam负责检查请求用户的身份合法性和新用户注册。
进一步的,行为行为预警模块bwm负责对用户的访问行为进行识别分析,并根据行为特点进行建立模糊分布函数将节点信任值进行模糊化输出,反馈给用户。
进一步的,访问策略模块ap将用户的访问场景分为正常访问,紧急访问和未定义访问三种类型;所述访问策略模块ap制定访问控制规则判断访问请求合法性。
进一步的,信任量化是将his中以本文形式存储的医疗记录和用户当前节点访问行为进行数字化;所述的信任评估是指对量化后的数据进行分析后,利用信任管理中心tmc中评估出该用户的信任水平;所述的信任校正是根据用户历史信任趋势建立回归模型并对信任值进行矫正。
进一步的,信任评估的信任评价参数分为:节点信任nodetrust,nt、历史信任historytrust,ht、历史交互信任pir、用户综合信任值ct;所述用户综合信任值ct是根据用户的nt,ht和pir三个参数计算得出的。
进一步的,信任校正基于一正元线性回归方程。
进一步的,医疗信息系统数据库his-db,中的数据主体以时间线性关系存储在his-db中,形成一个树形层次结构。
进一步的,医疗信息系统数据库his-db是由用户每次与系统交互之后,生成一个新的atdc用来记录当前用户的信任状态,存贮在可信数字证书数据库atdc-db中,同时,用户每一个诊疗生命周期的完成均在医疗信息系统数据库his-db生成医疗记录。
与现有技术相比,本发明具有如下的有益效果:
1、将预警机制加入到医疗大数据访问控制模型中,减少了传统信任量化访问控制策略后验弊端(本次恶意访问造成的信任值下降后果只有在下次访问时才能体现),并且对出于好奇的“无目的恶意访问类型医生”的效果明显。
2、利用回归分析将信任趋势量化避免了传统基于信任或风险单值量化算法无法描述量化值的时效性和趋势性的问题,使整个模型科学性和敏感性大大提高。
3、在进行回归分析预测时,提出了一种逆序择优的局部贪心算法,提高了回归模型的精度和效率。
附图说明:
图1为:本发明工作流程图;
图2为:his中医疗数据的层次结构
图3为:医生就诊行为模式图;
图4为:bwm隶属函数图;
图5为:时间衰减函数图;
图6为:逆向优化算法图;
具体实施方式
下面结合具体实施方式对本发明做进一步详细描述。
用户通过身份认证及请求处理模块(iam)进行身份确认,iam负责检查请求用户的身份合法性和新用户注册,模块将注册的用户标识和身份验证信息存储在自己的存储库中;
身份合法性的判断标准为:登录ip为本地登录视为合法,若异地登录则视为非法,访问时间分为四个时间段:值班时间、紧急值班时间、下班时间、休假时间;若未在合法时间访问则视为非法。
医疗记录作为his中的数据主体以时间线性关系存储在his中,并根据医疗记录生命周期的特点形成一个树形层次结构,如图2所示,his中按时间线性存储着大量的医疗记录medicalrecords1~n,同时,每一条医疗记录本质上都是一次医生工作流程的映射,在医患互动过程中,医生的主观判断偏差和患者对自身症状描述不清都会造成误诊现象,因此每条医疗记录可能包含一到多个诊疗目标treatmentgoals1~n,同时医生也会访问相应目标下的患者信息来确认该目标的正确性。
访问信任数字证书(atdc)是ftpacm根据医生历史行为和当前节点信任水平建立的信任凭证。在ftpacm中,医生作为主要的交互用户需要向系统注册自己,每次与系统交互之后,都会生成一个新的atdc用来记录当前用户的信任状态。医生每一个诊疗生命周期的完成(终止)均在his生成医疗记录,同时也会在访问控制模型ftoacm中生成相应的atdc。其中信任水平字段更是该模型进行综合信任评估和信任量化的重要依据。atdc的内容及其解释如表1所示。
表1:证书内容及说明
行为预警模块(bwm)负责对用户的访问行为进行识别分析,并根据行为特点进行相应的信息反馈。行为预警模块(bwm)根据实际信任水平和用户访问行为特点,建立相应的模糊分布函数将节点信任值进行模糊化输出,并根据输出值的不同,将不同的反馈类型p1,p2,p3反馈给用户,p1,p2,p3所对应的模糊化隶属函数μ1,μ2,μ3如下,其中参数a、b、c、d为常数,其值的确定采用指派方法;x是模型中的实体初始的行为信任值。
由(7)(8)(9)可知模糊化隶属函数μ1,μ2,μ3∈[0,1]。参数a、b、c、d优选为:a=0.3,b=0.5,c=0.7,d=0.9。最终,预警隶属度函数如图4所示:
反馈信息的发送均是由反馈机制按照模型中存储的反馈规则自动发送给用户的,具体的反馈机制规则如表2所示。p1,p2,p3是反馈类型,m1,m2,m3是提示信息,设定如下:
m1:该访问操作不符合标准,将导致信誉下降,是否继续当前操作?
m2:该访问操作存在风险,可能导致信誉下降,是否继续当前操作?
m3:该访问操作符合标准,是否继续当前操作?
表2.bwm的反馈机制规则
举个简单的例子,假设医生henry的行为信任为0.75,即μ1(0.75)=0,μ2(0.75)=0.75,μ3(0.75)=0.6,则
访问策略模块(ap)将用户的访问场景分为正常访问,紧急访问和未定义访问三种类型。
access_normal(σn)—此场景为正常访问环境,为了访问his中的资源,用户需要拥有一个合法的访问身份以及足够的信任度。
access_emergency(σe)—在此访问场景中,安全管理员定义了比正常情况下容忍度更高的访问控制规则。用户在访问his时,可能存在许多病例处于紧急情况下,患者的生命处于危险之中。在这个情况下,系统只要确定了该用户的合法性,如请求者属于特定的组(如医务人员(护士)或主刀医生),便会默认给予用户更高的访问容忍度。
access_undefined(σu)—此环境意味着系统未涵盖或无法识别该用户的访问环境,这意味着系统不能做出关于访问请求的访问决策。例如,ftpacm系统规则定义不完整(该访问情况在系统内未定义),或者访问请求发生时系统出现了异常情况无法识别环境。
ftpacm访问规则集的形式化描述如式(10)。
<hui,ho,actime,acsituation,trange{tmin,tmax}>→<hsign,havl>#(10)
hui为申请访问his资源的用户身份标识。
ho是用户所申请访问的his资源(objects)。
actime是用户申请访问的时间节点。
acsituation是用户访问行为所处的环境状况,共分为三种(normal,emergency,undefined)。
trange{tmin,tmax}是hui和ho之间交互的信任阈值,其中tmin为最小信任值,tmax为最大信任值。
hsign标记了访问行为的授权类型(正向授权“δ ”和负向授权“δ-”),访问行为触发bwm的p1、p2类命令指标的标记为δ ,触发p3指令的标记为δ-。
havl是访问视图的级别。我们将访问视图分为三个级别:全视图(fv)、部分视图(pv)和无视图(nv)。
hrecord记录了本次访问生命周期的atdc生成状态:已生成“generated”,未访问成功或访问者信息不详则生成“null”。
以下为ftpacm的具体访问控制规则:
rule1user.id={true}∧actim={legal}∧acsituation={normal}∧trange{tmin,tmax}={true}→hsign={δ }∪havl={fullview}∪hrecord={generated}
rule2user.id={true}∧actim={illegal}∧acsituation={normal}∧trange{tmin,tmax}={true}→hsign={δ-}∪havl={noview}∪hrecord={null}
rule3user.id={false}∧actim={legal}∧acsituation={normal}∧trange{tmin,tmax}={true}→hsign={δ-}∪havl={noview}∪hrecord={null}
rule4user.id={true}∧actim={legal}∧acsituation={normal}∧trange{tmin,tmax}={false}→hsign={δ-}∪havl={noview}∪hrecord={generated}
rule5user.id={true}^actim={legal}∧acsituation={emergency}∧trange{tmin,tmax}={true}→hsign={δ }∪havl={fullview}∪hrecord={generated}
rule6user.id={true}∧actim={illegal}∧acsituation={emergency}∧trange{tmin,tmax}={true}→hsign={δ }∪havl={fullview}∪hrecord={null}
rule7user.id={false}∧actim={legal}∧acsituation={emergency}∧trange{tmin,tmax}={true}→hsign={δ-}∪havl={noview}∪hrecord={null}
rule8user.id={true}∧actim={}∧acsituation={emergency}∧trange{tmin,tmax}={false}→hsign={δ-}∪havl={partview}∪hrecord={generated}
rule9user.id={true}∧actim={legal}∧acsituation={undefined}∧trange{tmin,tmax}={true}→hsign={δ-}∪havl={noview}∪hrecord={null}
信任管理中心tmc是本发明所述模型的核心部分,医疗记录和访问行为的抽象量化、bwm的运行和ap-db的判定所需的数据都需要从tmc获得。
信任管理中心(tmc)主要包括信任量化、信任评估、信任校正三部分。
其中信任量化主要是将his中以本文形式存储的医疗记录和用户当前节点访问行为进行数字化;所述的信任评估是指对量化后的数据进行分析后,利用tmc中的算法评估出该用户的信任水平;所述的信任校正是根据用户历史信任趋势建立回归模型并对信任值进行矫正。
信任量化的过程如下:
在ftpacm模型中,就诊患者集p={p0,p1,p2.......pn}
诊疗目标集g={g0,g1,g2......gn}
医疗记录集mgset={m0gset,m1gset,m2gset......mngset}(gset∈g)。
医生的访问行为可以分为2个阶段。如图3所示,首先,医生与就诊患者进行初步交流,根据患者相关症状并结合自身经验为患者确定一个初步目标g0,即医生怀疑或确诊的病因,之后,医生选择与该目标相关的医疗记录集mg0={m0g0,m1g0,m2g0......mng0}来确认该目标的正确性,其中mig0为目标g0下医生访问的患者具体信息条目mi。若g0不正确则医生可以确定下一个目标g1,并访问相关信息。
如医生mason怀疑患者liam疑似肺泡蛋白质沉积症(pap),mason便会以pap为诊疗目标访问liam的相关信息,从而验证预期猜想的正确性,若正确则任务完成;若错误则从新循环,循环进行直到病症确认或liam自行离开,且该过程作为一个完整的诊疗生命周期完整的记录在his中,形成一条医疗记录。该生命周期的目标状态变化形式化表示如下。
定义1:令π为一个诊疗生命周期中医生工作目标g的变化状态序列s0→s1→s2→....sn,si为目标gi的状态,其布尔判断函数sove(g)具体公式如式1,
如果<si|ture>,则状态序列π推导结束,则目标gi称为最终目标,状态si称为末态;如果<si|false>,则推进到si 1直到<sn|ture>成立或患者离开,且默认患者离开前的最后一个目标glast为最终目标,并将整条状态变化序列π记录在his中。
ftpacm所采用的模糊统计主要包括以下要素:
x:论域x为全体医生访问患者的信息集合;
x*:论域x*为某个医生访问患者信息集合,且x*x;
x0:x中的一个固定元素即患者的某条具体信息条目;
g*:x中的一个具有相同诊疗背景(目标)的患者信息随机变动的集合,其中x0∈g*或者
c(x0,g*):在论域x下,n次抽样中x0∈g*的次数;
定义2:访问信息隶属度μg(x0)。μg(x0)指的是医生在某一特定诊疗目标g下,所访问的患者信息x0与该目标g的相关程度。若μg(x0)越高则访问必要性越高。
假设做了n次模糊统计,则可计算出x0对g*的隶属频率p(x0,g*)如(13)式。
当n不断增大时,隶属频率p趋于稳定,其频率的稳定值μg(x0)称为x0对g*的隶属度,即在诊疗目标g*下的患者信息x0的隶属程度。
同理,由(13)(14)两式可求得论域x*下的p*(x0,g*)和
定义3:医疗记录模糊集。医疗记录模糊集是医生在医疗记录中所访问信息的隶属度μ组成的模糊集。当论域x为有限集时,记x={x1,x2,…,xi},则x上的模糊集g形式化表示为
其中,“∑”和“ ”不是求和的意思,是概括集合中各元素的记号,
同时,由于医患交流时信息传递的模糊性(如患者口述病症不清)会产生误诊现象,即存在r←g0,g1,…gi,导致一个医疗记录r可能会存在多个目标的模糊集。即存在g={g1,g2,…,gm},使得医疗记录模糊集s中包括隶属不同背景gi的隶属度集合,如(16)式所示,s最终由多个亚子集组成。
定义4:行为量化矩阵m。一条医疗记录代表了一次完整的访问行为,以矩阵形式表示出来最终得到基于医疗记录的行为量化矩阵m,如式(17),其中
定义5:贴近度n。设两个模糊量化矩阵别为m、m*,则m、m*接近程度n可表示为公式(18)。
最终我们将医疗记录模糊量化为不同的医疗记录模糊集m方便我们进行评估和监测。
定义6:节点行为矩阵nmbool。nmbool是描述医生当前申请访问行为的量化矩阵,是关于个体医生访问行为的量化矩阵。
我们采用bool判断函数对其进行自动标注,若访问了该信息x则将其标注为μij=1,反之μij=0。同时,由于nmnode是由医生当前节点实际申请访问的患者信息组成,因此μij均取值为1。若每行元素数量不同,则取最大元素数量为标准,其余用0补足。
定义7:期望节点矩阵矩阵embool。embool作为nmbool的比较矩阵,是指患者期望的医生在“最小特权原则”下完成治疗任务所访问的最小信息矩阵,是关于整体医生访问行为的量化矩阵。其包含的信息条目与nmbool保持一致如式(20)。
embool矩阵是根据行为矩阵m进行bool化后形成的。具体bool判断函数如(21)。
其中
信任评估过程如下:
信任评价参数分为:节点信任(nodetrust,nt)、历史信任(historytrust,ht)、历史交互信任(pir)、用户综合信任值(ct)。
节点信任nt是指用户当前节点访问行为的信任也就是即时信任,该信任参数与用户历史背景无关,仅代表了其当前行为的性质。事实上,当用户想要访问his并获取资源时,系统会根据用户所申请访问资源的类型和数量,计算其请求的可信程度。由于用户请求的资源的类型和数量是已知的,计算其行为信任度(节点信任度)所花费的时间将非常短。同时节点信任nt也是系统中bwm对用户行为进行识别预警和信息反馈操作的关键参数。因此,用户节点信任作为对用户整体信任考核的一个因素是有价值也是有必要的。用户当前节点访问行为的信任值tnode具体公式如式(22)所示。
同时,用户每次交互所生成的nt也会被记录在对应的atdc中,方便ftpacm进行查询调用。
历史信任(historytrust,ht)。用户历史信任也称为基础信任,是用户与系统长期交互的积累信誉,与用户历史节点访问行为有关,与用户当前节点的访问行为无关。不同于节点信任只能片面的判断用户当前的访问行为可信度,ht能最大程度的代表用户的整体可信程度。ht是根据历史节点信任nt进行加权平均后得到的,用户的历史信任值nt可以查询atdc-db来直接获取,具体公式如式(23)。
其中ξ为该用户与系统的交互次数,ω为基于时间的衰减权重。当用户为首次访问即ξ=1时,无可用的历史记录,因此该用户历史信任ht默认为等同于当前节点访问行为的节点信任nt,即thistory=tnode(ξ=1)。当ξ>1时,根据his上医疗记录的时间线将所有的医疗记录划分为n个时间段,每个时间段可能包含一条到多条医疗记录,相同时间段权重ω相同,其中ωi为第i个时间段的权重,ωi的定义如下。
式中s(i)为时间衰减函数,该函数针对大多期望效果提供了足够的灵活性,具体如式(25)
如图5所示,当k=0时,该函数为线性衰减;当k<0时,结果表现方式更为灵活;当k<0时,该函数的偏置效果更具刚体特征。具体k值的选取可以根据需求进行灵活地更改。为使整个评估体系更加注重近期医生的访问行为动态和趋势,而时间过于久远的医疗记录只作为一定的参考发挥作用,我们选取k>0,从而使其表现出随着时间的推移而衰减加速的特性。
历史交互信任(pir)是基于用户与系统的交互计算的,系统会为每一次交互添加标签来表明该次交互的性质。该记录可以通过查询atdc-db直接获取,并进行pir的计算。pir是医生历史访问行为中正向授权次数与授权总次数的比率,具体如下。
其中
用户综合信任值(ct),用户的toverall是根据用户的nt,ht和pir三个参数计算得出的,基于以上信任参数,我们可以计算出该用户的综合信任ct,具体如式(27)。
toverall=αnt*nt αht*ht αpir*pir#(27)
=αnt*tnode αht*tpred αpir*tbr
其中αnt,αht,αpir三个信任参数的预设权重的取值采用专家咨询法确定,各专家根据经验给出相应权重评分,评分要求为:αnt αht αpir=1,且
用户与系统每进行一次互动,tmc便会对其进行一次动态信任评估生成相应的用户综合信任ct,并存储在atdc中。需要注意的是ct并不作为最终的信任输出参与访问控制策略的调用,ct经过回归分析校正后的信任值才能参与最终的访问控制策略的分配。
基于线性回归的信任矫正:
本发明根据用户综合信任值与时间的联系,建立了信任回归模型,将历史行为趋势融入到信任考核之中。本发明基于一元线性回归方程,解决单值量化法所带来的弊端。
回归分析法指利用数据统计原理,对大量统计数据进行数学处理,并确定因变量与某些自变量的相关关系,建立一个相关性较好的回归方程(函数表达式),用于预测今后的因变量的变化的分析方法。为了解决单值量化法所带来的弊端,我们在对医生历史记录进行综合评估时采用一元线性回归方程对其进行回归分析,具体回归方程如1式。
yi=β0 β1xi ∈i(i=1,2,…,n)#(1)
其中xi与yi分别为自变量x与因变量y的第i个观测值,∈i为观测值yi的随机误差。假设∈i服从均值为0方差为σ2的正态分布,且各个∈i相互独立,则随机变量的数学期望和方差分别为:
由于误差∈i与xi无关,因此本文不考虑误差项,则化简后的回归函数为
yi=β0 β1xi(i=1,2,…,n)#(3)
为了使回归函数更好的拟合观测数据,样本回归线上的估计点与真实观测点yi的总体误差应当尽量小,我们采用ols(ordinaryleastsquares)标准对回归函数的参数进行调整使观察值的残差平方和q达到最小。
即根据给定的样本观测值,不断改变参数
当一阶偏导数为0时,q达到最小,由此可以解得
最终,求得线性回归模型
由于信任对时间具有很强的依赖性,且用户的综合信任变化幅度较小整体呈线性变化趋势,因此,我们采用一元线性回归来描述时间和信任之间的内在关系。虽然综合信任值ct也是按线性时间存储的,但是医生的工作模式导致相邻时间戳之间的时间间隔是不均匀的,因此我们采用系统存储顺序编号(s=1,2,…,n)将时间因素t进行形象化表示:
t→s=1,2,…,n。信任回归方程如(28)式。
y=a σx#(28)
其中,y为综合信任值toverall,x为toverall的系统存储顺序编号。然后根据公式(4)-(6)可以求得参数
信任矫正值:用于减少单值量化所带来的误差的一个参数,例如医生paul和医生david具有相同的信任值toverall(paul)=toverall(david)=0.7,但是paul的信任不断下降到0.7,而david的信任不断上升到0.7,因此,在预测即将到来的信任水平方面,david明显优于paul,信任矫正值ξ就是用于矫正和减少这种误差的,具体公式如(30)式。
其中
矫正综合信任(correctedcomprehensivetrust;cct):cct是是经过校正之后的用户信任,该信任是访问控制策略库进行访问控制的最终判断依据。
tcorrected=toverall ξ#(31)
由于用户每个时期ti的信任趋势可能是相反的例如
see越接近于0,说明模型选择和拟合更好。
逆序择优(reverseorderoptimizationalgorithm):逆序择优是一种局部最优的贪心算法,以当前最晚时间节点为起点,以固定的步数向前推,并计算当前步长内的点对应拟合方程的see,依次进行迭代计算,求出最优see,迭代次数范围(步数)
如图6所示,3i为迭代起点,步长step=0.25i,步数{n|1≤n≤5},每次迭代产生的拟合函数的sse存在如下关系:
综上,基于模糊信任预测和回归分析的医疗数据访问控制模型能在实际中从his中用户历史记录和当前访问行为两个方面对医生进行信任评估,并动态调整其访问权限,从而避免了医生恶意访问造成患者信息的泄露。实验表明,模型引入预警模块后,用户的整体行为水平得到了显著的提高,在复杂趋势下与现有技术进行预测性能对比,预测信任精度均值和预测信任趋势均值分别为:本模型72.62%,66.50%;现有技术模型64.71%,42.83%。因此,本模型所用方法在预测复杂趋势下的信任预测和趋势预测性能更优。
以上所述,仅为本发明部分具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本领域的人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。
1.基于模糊信任预测和回归分析的医疗数据访问控制模型由以下部分组成:
医疗信息系统数据库his-db、身份认证及请求处理模块iam、行为行为预警模块bwm、可信数字证书数据库atdc-db、访问策略模块ap,信任管理中心trustmanagementcenter,tmc;
所述身份认证及请求处理模块iam,包括执行点rep,身份验证检查点icp;
所述可信数字证书数据库atdc-db,存放访问信任数字证书atdc;
所述访问策略模块ap,包括访问策略模块数据库ap-db;
所述医疗信息系统数据库his-db,存放医疗记录mr;
所述信任管理中心tmc,包括信任量化、信任评估、信任校正三个功能模块;
工作步骤如下:
step-1:请求执行点rep接受用户的请求,并将其发送到身份验证检查icp;
step-2:身份验证检查点icp首先检查用户身份凭证是否正确,身份凭证包括:登录时间、登录ip,然后将其访问请求发送给行为行为预警模块bwm;
step-3:行为预警模块bwm向信任管理中心tmc发送请求,获取行为信任;
step-4:从信任管理中心tmc获得所需信息后,行为预警模块bwm对用户行为的信任水平进行分类并反馈对应的提示或警告信息;
step-5:用户收到行为预警模块bwm的信息后,将自行选择是否继续访问,并反馈给行为预警模块bwm;若终止访问则退出流程,否则继续执行step-6;
step-6:行为预警模块bwm向信任管理中心tmc发送继续访问请求,信任管理中心tmc调用行为预警模块bwm和访问可信数字证书数据库atdc-db收集的用户信息,进一步对用户进行信任评估;
step-7:最后,访问策略模块数据库ap-db与行为预警模块bwm交互,获取用户最终的信任值,并根据访问规则进行最终判断;
step-8:如果允许用户,则从所有可用资源中选择最可信的资源,并将其发送给用户,然后生成相应的医疗记录mr和访问信任数字证书atdc并将其存储在医疗信息系统数据库his-db和可信数字证书数据库atdc-db中;
step-9:如果不允许使用用户,则用户将无法访问相应的资源,然后生成相应的医疗记录mr和访问信任数字证书atdc并将其存储在医疗信息系统数据库his-db和可信数字证书数据库atdc-db中;
step-10:最终,用户可以访问其服务并执行其工作或流程。
2.根据权力要求1所述的基于模糊信任预测和回归分析的医疗数据访问控制模型,其特征在于:所述身份认证及请求处理模块iam负责检查请求用户的身份合法性和新用户注册。
3.根据权力要求1所述的基于模糊信任预测和回归分析的医疗数据访问控制模型,其特征在于:所述行为行为预警模块bwm负责对用户的访问行为进行识别分析,并根据行为特点进行建立模糊分布函数将节点信任值进行模糊化输出,反馈给用户。
4.根据权力要求1所述的基于模糊信任预测和回归分析的医疗数据访问控制模型,其特征在于:所述访问策略模块ap将用户的访问场景分为正常访问,紧急访问和未定义访问三种类型;所述访问策略模块ap制定访问控制规则判断访问请求合法性。
5.根据权力要求1所述的基于模糊信任预测和回归分析的医疗数据访问控制模型,其特征在于:所述信任量化是将his中以本文形式存储的医疗记录和用户当前节点访问行为进行数字化;所述的信任评估是指对量化后的数据进行分析后,利用信任管理中心tmc中评估出该用户的信任水平;所述的信任校正是根据用户历史信任趋势建立回归模型并对信任值进行矫正。
6.根据权力要求5所述的基于模糊信任预测和回归分析的医疗数据访问控制模型,其特征在于:所述信任评估的信任评价参数分为:节点信任nodetrust,nt、历史信任historytrust,ht、历史交互信任pir、用户综合信任值ct;所述用户综合信任值ct是根据用户的nt,ht和pir三个参数计算得出的。
7.根据权力要求5所述的基于模糊信任预测和回归分析的医疗数据访问控制模型,其特征在于:所述信任校基于一正元线性回归方程。
8.根据权力要求1所述的基于模糊信任预测和回归分析的医疗数据访问控制模型,其特征在于:所述医疗信息系统数据库his-db,中的数据主体以时间线性关系存储在his-db中,形成一个树形层次结构。
9.根据权力要求1所述的基于模糊信任预测和回归分析的医疗数据访问控制模型,其特征在于:所述医疗信息系统数据库his-db是由用户每次与系统交互之后,生成一个新的atdc用来记录当前用户的信任状态,存贮在可信数字证书数据库atdc-db中,同时,用户每一个诊疗生命周期的完成均在医疗信息系统数据库his-db生成医疗记录。
技术总结