档案访问控制

所谓档案访问控制，是通过某种途径显示地允许或限制访问能力及范围的一种方法。它是按照事先制定的规则来判断主体对客体的访问是否合法。它是用对关键资源限制访问的方法进行操纵，来防止非法用户的入侵或者减少因合法用户操作错误而造成的损失。

个人健康档案巧问控制方法为了解除人们对个人健康档案隐私泄露的顾虑，对经典访问控制方法进行了分析。在此基础上，设计了基于密文策略属性加密算法（CP－ABE）和角色信任管理（RT）的访问控制方法来对人们的个人健康档案实施访问控制。基于CP－ABE的访问控制方法是在拥有者有能力授权的情况下，对自己的个人健康档案进行访问控制。这个方法不仅使人们在上传自己个人健康档案之前就对其进行加密，保证传输和存储的安全；还实现了对个人健康档案的细粒度访问控制。而基于RTR的访问控制方法是实现在拥有者无能力授权的的情况下对由个人健康档案拥有者事先存放在急救部口的解密密钥进行访问控制。这个方法使得医护人员能够得到相关的解密密钥，进而保证了人们的生命安全。为方便人们访问相关数据，设计了PHR门户网站。为解决数据存储的问题，将数据存放在云中。最后，通过实验证明了基于CP－ABE和RT的个健康档案访问控制方法的可行性。1

PHR巧问控制的要求个人健康档案不仅应包含所有体格检查信息，收集医生、医院和疾病防控中也等处的医疗信息，而且还应包含姓名、年龄、住址和电话等个人信息。这些数据有许多都涉及到个人隐私，而假如数据是以明文形式存储，人们会担心数据泄露，会给自己的生活造成重大的影响，送也是推行PHR缓慢的原因。因此，人们对PHR的访问控制主要有下几个方面的要求：

1、机密性；要保证PHR的数据无论是存储在某个服务器还是在传输过程中的机密性，这意味着服务器提供者或者敌手都不能未经授权读取人们的PHR数据。因此，人们的PHR数据在上传到服务器之前要加密保障数据的机密性。

2、以人为中也的细粒度访问控制：人们不仅要有保护自己医疗信息的意识，还要拥有制定并分配自己数据的访问控制策略的能力。在人们有能力授权的情况下，人们希望制定的访问控制策略不仅能够保证只有授权的用户才能解密密文得到明文数据，而旦要具有灵活性、易于创建和管理。

3、最重要的还要考虑一种情况，就是在人们无意识或无能力授权的情况下，医护人员需要访问PHR数据拥有者的急救相关的医疗数据，以便对当前需要治疗的病人做出正确的医疗判断。因此，需要一种访问控制方法，使得医护人员可以得到相关的PHR解密密钥进而获得访问病人急救相关数据的能力。这样有利于医护人员实施正确的抢救，保证病人的生命安全。

4、可扩展性：在拥有者有能力授权情况下访问PHR的使用者以及在无能力授权情况下能够获得解密密钥的医护人员都是事先无法确定的，在访问策略创建后可能会增加新的使用者或医护人员。因此，设计的访问控制方法要保证能够不受新加入的人员时间和类型的限制，要具有很好的可扩展性。1

初步设计的PHR巧问控制框架由初步设计的PHR访问控制的框架可看出，整个框架主要分为两部分，一部分是在PHR拥有者有能力授权的情况下，使用一种访问控制方法，使得使用者用授权得到的密钥解密由服务器中下载的数据；另一部分是用一种访问控制方法控制在PHR拥有者无能力授权的情况下急救医护人员对PHR数据中急救相关医疗信息的解密密钥的访问。

初步设计的PHR访问控制的框架分析可知，要想实现对PHR的访问控制，就要完成下几项工作：

1、设计一种加密方法，在PHR上传到服务器前对数据进行加密，保证数据的机密性。由此，既能保证数据在从本地传到服务器传输过程的安全，也能保证数据存储在服务器时的安全性。

2、设计一种以人为中心细粒度的访问控制方法，制定相应的访问规则使得只有授权的用户可以获得解密密钥进而访问其有能力访问的部分加密的PHR数据。

3、为保证病人在无能力授权的情况下生命安全能够得到保障，PHR数据的拥有者需要事先在一个可信第三方存储与急救的医疗信息相关的解密密钥，设计一种访问方法对存放在可信第三方的急救解密密钥进行访问控制，使得授权的医护人员获得相应的急救解密密钥进而获得人们急救时所需的病史和过敏史等数据，为医护人员作出高效、正确的医疗判断从而保障人们的生命安全。

分析可知，最主要的是设计两种访问控制方法，一种是PHR拥有者能力授权情况下对PHR数据进行访问控制；另一种是对无能力授权情况下对存放于可信第三方的急救解密密钥进行访问控制。1

开放网络环境下电子档案访问控制技术分析了开放网络环境下电子档案信息安全保护的安全隐患，设计了五条电子档案信息安全保护安全准则。为解决开放网络中电子档案信息安全保护的密钥管理问题，提出了一种基于数字密钥混合加密的电子档案访问控制技术。分析表明，技术可以保障电子档案的准确性、完整性、可用性、安全性，保证了开放网络环境下“端到端”档案服务的数据安全。2

EDKMER的电子档案访问控制技术**1、**创建电子档案安全文件

基于EDKMER模型的电子档案安全文件生成步骤。包括：

Step1：档案管理人员从电子档案管理系统中得到电子档案文件，采用私钥生成数字签名，保证电子档案数据的完整性。

Step2：采用对称加密技术生成两个对称密钥和 ，用于加密文件头和内容。

Step3：采用 加密已经签名的电子档案数据。

Step4：和电子档案访问规则列表组合，生成电子档案访问安全信息，并采用 进行加密。

Step5：采用电子档案管理人员的公钥加密文件头对称密钥 ，记作 。根据访问安全规则，采用其他可信人员的公钥加密 。组合和 ，生成可信任公钥列表，保证所有授权人员均可获得内容对称密钥，进而得到电子档案数据。

Step6：组合Step4和Step5获得的数据和文件元数据，形成文件头，采用档案管理人员私钥生成数字签名。

Step7： 组合Step3和Step6获得的数据，生成电子档案安全文件。

**2、**电子档案数据信息获取

采用EDKMER模型处理开放网络环境中电子档案信息服务请求的步骤包括：

Step1：电子档案信息服务用户通过开放网络环境应用程序，如Web浏览器或移动应用（简称浏览器），向电子档案管理服务器（ERS）发送电子档案访问解密请求。

Step2：ERS认证浏览器请求，将其拆分为文件头和数字签名。采用ERS的公钥验证数字签名。如果数字签名非法，记录日志，返回浏览器错误信息。

Step3：ERS使用私钥解密文件头密文，获得头文件对称密钥 ，解密文件头。

Step4：ERS从头文件中获取必要档案信息，采用SAML将访问请求封装成访问断言，回发给浏览器。

Step5：浏览器接收到访问断言后，将其发送给特定电子档案信息服务提供服务器（ERAS）。ERAS验证接收到的访问断言，生成新的访问断言和必要档案属性信息，将浏览器重新定向到ERS。

Step6：ERS根据访问断言和属性信息，依据电子档案安全访问规则判断用户操作合法性。

Step7：ERS根据Step6的判定结果决定是否接受浏览器访问请求。如果接受请求，则返回电子档案安全文件对称密钥 ；否则，记录日志，返回浏览器错误信息。2

电子档案访问的安全保障一方面，通过基于混合加密的数字密钥管理和数字签名技术，保证了电子档案安全文件的数据信息完整性和网络传输的安全性，从而保证了互联网恶意攻击不能对电子档案数据信息实施非法访问（泄密）或非授权操作（篡改、伪造）。另一方面，在开放网络环境下，EDKMER模型通过基于SAML的访问断言实现了用户访问操作合法性判断和身份认证的分离。这样，不仅保证了所有用户都是可验证用户，而且从根本上杜绝了代理操作或无主操作，为进行“端到端”的可信服务提供了安全保障。2

本词条内容贡献者为:

李嘉骞 - 博士 - 同济大学