医疗大数据访问控制用二维动态信任评价模型的构建方法

摘要

本发明公开了一种医疗大数据访问控制用二维动态信任评价模型的构建方法，包括计算医生角色属性信任值、计算医生历史行为信任值以及计算医生综合信任值步骤。本发明从角色属性和历史行为两个维度对医生进行细粒度的信任评估，比以往一维的信任评估策略具有更细的粒度；本发明动态性的调整访问能力，有效抑制恶意访问行为，从而避免了医生恶意访问造成患者信息的泄露；时间衰减权重和惩罚策略的引入可以提高访问控制对角色、任务、访问行为等各种因素的动态适应能力和敏感性以及抗漂白攻击能力。

说明书

技术领域

本发明属于医疗数据隐私保护技术领域，具体涉及一种医疗大数据访问控制用二维动态信任评价模型的构建方法。

背景技术

医疗大数据不仅具备传统大数据的数据特性：大量性、多样性、快速性、价值性，同时也具有医疗行业的特殊属性：多态性、时间性、不完整性、敏感性和封闭性。医疗数据形态多样如医疗数据含有病情描述、化验数据、医疗费用等纯数据，也有心电图图谱一样的信号图谱，还有X光、CT等图片数据以及产检时超声诊断所产生的的视频数据，这些数据都是在时间维度内不断变化的数据，具有很强的时间性。在医患互动过程中，医生的主观判断偏差和患者对自身症状描述不清都会造成医疗数据的不完整性，医疗数据作为基于“人本身属性”的一种数据，拥有比普通数据更高的敏感性和私密性，因此很多医院临床数据系统都是相对独立的局域网，甚至不会对外联网，独立的自治系统导致了信息孤岛。

医疗大数据的应用和发展有利于节约医疗成本、提升医疗服务水平，将对经济、社会、人民生活等各方面产生极大影响，尤其是在临床辅助诊疗、健康管理、精准医疗和传染病监测方面，所以各国都正在大力推进医疗大数据的应用，然而随之而来的安全隐患也越来越严重。Gihan为了调查人们如何看待和平衡对于共享患者电子健康数据对患者带来的利益和损害，对医生和患者进行了大量的调查问卷，结果显示，大多数人(90％)同意共享病人健康记录，并提供临床建议；但是有超过70％的人不希望这些数据在医院之外传播共享，更重要的是仅仅有少数人(38％)认为电子记录比纸质记录更私密，这无不体现了人们对于自己私密信息安全的担心和质疑。由于医疗数据相较于普通数据更加敏感和隐私，一旦信息泄露所造成的危害和损失是难以想象的。例如，美国犹他州卫生机构的数据被盗，造成超过18万人的信息泄露。除了通过医疗信息系统上的安全漏洞进行外部入侵、窃取医疗信息所产生的数据泄露以外还有一种更常见且难以预防的数据泄露情况：源自系统内部的信息滥用或权限滥用从而对患者隐私造成损害的泄露。与纸质病历相比，电子病历等健康信息系统中的患者信息极易被快速的修改、删除、复制和粘贴，并且不容易被发现。

信息孤岛和数据泄露是大数据在医疗领域发展必须面对的问题，其根源就是缺乏与之相匹配的成熟的隐私保护理论和机制，因此如何使用各种技术来确保医疗数据的安全性和隐私性一直是医疗大数据研究的重点和难点。目前，在数据的隐私性和安全性保护方面常用的技术有：身份认证、数据加密、数据脱敏和访问控制等技术。2017年Verizon的数据泄露报告(DBIR)显示医疗行业信息泄露已经位居榜首，同时也是唯一内部威胁高于外部威胁的行业，其威胁主要来自于医护人员访问权限分配不当导致的过度访问。因此，相较于其他技术，访问控制技术可以更好的解决根源性的问题：访问权限分配不当导致的数据泄露和滥用，这无疑是医疗健康大数据隐私保护的最有效的方法之一。医院作为医疗大数据最主要的生产者和使用者，如何制定科学的访问控制策略防止患者隐私的泄露显得尤为关键。传统的访问控制大多是安全管理员根据经验制定访问权限分配策略，这种访问控制授权行为本身就是一种劳动密集型工作，需要耗费策略制定者大量的精力。大数据背景下的医疗数据有着信息专业性强、信息量大、信息种类多、更新速度快的特点，访问策略的制定已经无法通过传统的方式实现。虽然有关大数据访问控制的研究较多，但大多数都是以大数据为背景进行研究，结合医疗行业特点进行的相关研究较少。

国内外学者对访问控制的研究大多以大数据为背景展开，很少有具体到某个特定领域进行研究，比如为了解决大数据环境下主客体频繁访问和效率低下的问题，Huang等学者将服务端进行角色分类，并根据访问客体的不同分配不同的角色，然后在任务分配的阶段权限进行不同的分类，一定程度上提高了效率。在此基础上Lei提出了一种评估风险与收益的访问控制模型，该模型不再单一的根据提前分配好的固定权限进行访问控制，而是开始衡量访问行为所产生的风险是否小于所带来的收益，且该风险是否为系统可容忍的，如果发生了未知的一些访问行为，且该行为产生的风险和利益进行评估后系统可以接受，则仍可以进行访问，这对大数据应用来说非常必要，可极大地提高其可用性。相较于普通大数据，医疗大数据具有更高的敏感性和价值密度，需要更加精准的细粒度授权机制，因此很多适用于大数据背景下的访问控制方法与理论并不能很好的应用于医疗大数据。虽然应用到医疗领域的相关研究较少，但也有部分学者对此做了研究。Wilikens提出了一种基于RBAC的上下文相关授权和访问控制方法，简化大量数据的复杂授权问题，但对于数据类型过于复杂且专业性过高的医疗大数据来说，单一的RBAC访问控制技术对其权限分级、设定、信息分级方面有较大难度，对于角色的挖掘和分配将变成一项极其困难的任务。在此基础上文献将风险引入到访问控制方案中，并将医生分为诚实医生与恶意医生两类，用信息熵来描述医生行为，将医生访问行为的熵值作为可容忍的风险配额分配给每个医生。该方案是一种较为宽松的访问控制方式，很大程度上减少了管理员的工作量，但粒度过粗访问控制效果并不理想。相较于风险，信任这一概念更能贴切的描述医疗数据的产生者、管理者和使用者三者之间的关系。信任可以被定义为在缺乏监督和控制对方行为能力的条件下，信任方接受相对于被信任方的弱势地位(Vulnerability)的主观意愿，期望被信任方能够采取有利于信任方的行为。信任这一关系的构建过程中始终涉及弱势地位一方和强势地位一方，如果没有弱势一方，也就不需要信任。很显然，获取医学知识的成本十分昂贵，患者和访问策略制定者由于没有足够的理论知识判断医生所访问的信息是否真的是必要信息，因此处于弱势地位，简而言之，患者、访问策略制定者、医生三者之间的关系就是前两者积极接受弱势地位，但期望不受到损害。同时，相对于敏感性数据来说，是否信任访问者和是否能承受访问所带来的风险相比，前者更加乐观也更加符合理论逻辑。因此，为了实现更加安全、灵活、细粒度的访问控制，国内外学者开始尝试将“信任”机制集成到传统的访问控制模型中，并根据不同的信任等级制定了相应的安全策略。2006年，Chakraborty等在静态RBAC的基础上引入了信任评价模型，提出了一种基于信任和角色的访问控制方案(Trust-RoleBased Access Control，Trusr-RBAC),但其用户信任级别是预先设定的，只有当角色发生变化时才会重新评估，因此信任度量的动态性不强，访问控制粒度较粗。在此基础上，Hongyu等人提出了一种粒度更细的Trust-RBAC方案，该方案给出了授权信任约束条件，将实体信任与行为信任融合，设计了一种综合多因素的用户可信度评估方案。Banyal等人提出了一种云环境下基于用户信任度的访问控制模型，将用户信任度分为静态信任和动态信任两部分，但是该模型容易遭受来自外部云的攻击，其访问策略和授权管理设计薄弱。Yang分析了用户的访问行为特点，以及影响用户可信度的因素，给出了用户行为可信度的评价指标。Yuanbing等人将云环境中与信任相关的属性进行分层，并引入第三方专家组的信任评估，将主观信任与客观信任融入信任评估过程中。

信任在学术界被认为是医患之间的基础关系，因此一直是国内外医疗领域的研究热点。其中，Wake Forest大学的Hall，M.A为首的的研究团队和Stanford大学的Thom，D.H.为代表的Trust Study Group研究小组早在二十世纪九十年代就进行了大量信任相关的研究。Peadboy在其论述中阐明了信任在医疗领域的重要地位和意义。David K将信任引入医疗保健信息系统，建立了一种基于信任协商的身份验证和访问控制服务框架，并阐述了执行敏感事务时信任评估的重要性以及信任评估在保障未来医疗系统安全的巨大潜力。随着远程医疗技术、无线和移动网络的广泛应用，Boukerche提出了一个针对移动电子医疗系统的信任评估模型，对每个节点的行为进行信任评估，防止节点的不当行为。文献都对医疗信任评估模型进行了相关研究，并取得了一定成果，但访问控制模型动态性和灵敏度较弱的问题仍需要更深入的研究。

基于信任的访问控制应用于医疗大数据上的效果较为突出，因此得到了大量学者的关注，同时部分学者对其进行了深入的研究，但是这些方案在医疗领域的应用中仍有以下不足：①现有的信任评价算法都无法同时体现信任的动态性、敏感性；②现有的用户行为信任评价算法没有体现信任值慢增骤降的客观规律并且抗漂白攻击能力较弱；③现有的信任评价算法主要与静态RBAC模型结合，缺乏与动态T-RBAC模型结合的研究。为此，研发一种能够解决上述问题的用于医疗大数据访问控制的二维动态信任评价模型构建方法是十分必要的。

发明内容

本发明的目的在于提供一种医疗大数据访问控制用二维动态信任评价模型的构建方法。

本发明的目的是这样实现的，包括以下步骤：

S1、计算医生角色属性信任值：

S101、建立医生信任属性树：分析医生本身所具备的各项属性指标，建立基于医生信任属性的信任属性树，信任属性树包括两级信任属性指标，T＝{T

S102、计算信任属性指标权重：采用层次分析法对信任属性树中各个元素所处层的相对重要程度进行打分，并建立医生的第k层信任属性判断矩阵A

然后根据判断矩阵，计算信任属性指标权重W

S103、构建灰色评价权矩阵：先采用专家打分法，求出样本矩阵；

然后采用灰色评价法，确定评估灰类的等级数、灰类灰数和白化权函数f(x)，根据信任程度的不同划分为5个灰类s＝{1,2,3,4,5}，并采用等差打分法将信任评估等级从低到高划分为5个等级；

医生dr1针对信任评价指标t

针对评价指标t

S104、医生属性信任值的综合计算：根据S102步骤计算得到的第二层信任属性指标权重W

S2、计算医生历史行为信任值：

S201、医疗记录模型化：将存储在医疗信息系统中的访问记录模型化为一个四元组N＝(PN,T,M,Tl)；

S202、构建医生访问行为矩阵：将医生访问行为构建为实际行为矩阵M、期望行为矩阵EM；实际行为矩阵M的构建过程具体是：

M为医疗记录中医生实际所访问的患者信息按特定标准量化后组成的矩阵，

最终的实际行为矩阵M则是由i个一阶

采用0-1变量对患者信息r是否被访问进行标注，若访问了患者信息m

期望行为矩阵EM的构建过程具体是：

EM为患者期望的医生在最小特权原则下完成治疗任务所访问的信息矩阵，

当有大于百分之七十的医生在该目标任务下都访问了该信息则该信息为必要信息，即em

S203、计算工作目标相关性：计算实际行为矩阵M和期望行为矩阵EM的欧拉距离ED(SM,M)，并对其进行归一化，最终得到工作目标相关性P，P∈[0,1]，公式为：

其中，MAX(ED(EM,M))为矩阵EM和矩阵M的最大可能距离，P越高表明工作目标相关性越高，访问行为越安全；

S204、计算目标达成率：目标达成率C按如下公式计算：

其中，ρ

S205、计算医疗记录信任度：令ω

ReT

计算出ReT

然后采用时间衰减函数对计算出的医疗记录信任度ReT

根据医疗系统上医疗记录的时间线将所有的医疗记录划分为n个时间段，每个时间段包含一条到多条医疗记录，相同时间段权重ω相同，其中ω

其中f(i)为时间衰减函数，n为选取的时间节点数，i为当前时间段，k>0；

S206、计算访问信誉：访问信誉BR按以下公式计算：

其中，S

S207、医生历史行为信任值的综合计算：令ω

HT＝ω

S3、计算医生综合信任值：将S1步骤得到的医生角色属性信任值和S2步骤得到的计算历史行为信任值通过系统预先设定的权重ω

CT

其中，ω

与现有技术相比，本发明具有以下技术效果：

1、本发明结合T-RBAC模型、医疗大数据环境和医生工作流程的特点，综合考虑医生自身的信任属性和历史行为信誉等因素对信任的影响；本发明在两个维度度量医生诊疗过程中的信任值，先是利用AHP层次分析法和灰色理论等数学方法将医生自身的信任属性分层并量化得到基于角色属性的信任值；然后采用欧拉距离度量法对医疗记录进行相似度量化，引入时间衰减函数计算时间衰减权重，计算其医疗记录信任值，通过概率统计法分析医生历史访问行为表现，加入信任惩罚策略，最终得到历史行为信任值；将角色属性值和历史行为信任值由系统预先设定的权重进行加权平均，最终得到医生的综合信任度；最后，信任规则库根据预先设定的访问规则根据分配相应的访问权限；本发明从角色属性和历史行为两个维度对医生进行细粒度的信任评估，比以往一维的信任评估策略具有更细的粒度；本发明动态性的调整访问能力，有效抑制恶意访问行为，从而避免了医生恶意访问造成患者信息的泄露；时间衰减权重和惩罚策略的引入可以提高访问控制对角色、任务、访问行为等各种因素的动态适应能力和敏感性以及抗漂白攻击能力；

2、本发明在进行角色属性的信任评估时采用专家评估和灰色理论相结合的办法，避免了刻度级别不同对信角色信任评估造成的误差，由于医生角色属性相较于访问行为来说在一定周期内的波动较小，因此无需频繁进行角色信任的评估和更迭，只需定期进行更新即可，更迭周期根据需求自行设定，可类比绩效考核，如按月、按季度、按年等，因此进行人工的医生角色信任评估并不会对模型的自动化造成很大影响，相反专家评分还可以进一步提高模型的科学性和准确性；

3、本发明将目标信息相关性以及信息目标达成率作为访问行为信任的评判标准，能够有效降低恶意医生可能通过尝试伪造更多工作目标或在同一工作目标下尝试获得更多患者信息的风险；

4、本发明利用时间衰减函数对医疗记录信任度权重进行分配，访问记录时间越近则权重越大，对医生信任评估的影响越高，访问记录时间越远则权重越小，对医生信任评估影响越低；本发明不仅能提高模型的时效性和动态性，更能减少不稳定医生过去合法或非法的行为对其现在信任评估造成的影响。

附图说明

图1为本发明方法的流程示意图；

图2为医生信任属性树；

图3为信任指标直接权重计算结果图；

图4为评估结果分布图；

图5为医生角色信任值概率分布及拟合函数图；

图6为四类医生综合信任值计算结果图；

图7为信任评估性能图；

图8为不同访问次数的信任值计算结果图；

图9为良性访问递增时医生信誉值的变化趋势图；

图10为恶性访问递增时医生信誉值的变化趋势图。

具体实施方式

下面结合附图对本发明作进一步的说明，但不以任何方式对本发明加以限制，基于本发明教导所作的任何变换或替换，均属于本发明的保护范围。

为了便于本领域技术人员理解，本发明就以下术语进行定义：

定义1：医生角色属性信任值RT，指医生进行访问过程中自身所固有的信任属性；

定义2：实际行为矩阵M，指医疗记录中医生实际所访问的患者信息按特定标准量化后组成的矩阵，

定义3：期望行为矩阵EM，指患者期望的医生在最小特权原则下完成治疗任务所访问的信息矩阵，最小特权原则指应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小，最小特权原则为本领域公知常识；

定义4：工作目标相关性P，指医生对患者进行诊疗过程中所提出的目标T和访问的患者信息R的关联度，即实际行为矩阵M和期望行为矩阵EM的相似度(距离)；

定义5：目标达成率C，指实际治疗效率相较于期望的达成度(近似度)；

定义6：访问信誉BR，指医生历史访问行为的信誉情况，如果医生能够长期保持良好的访问行为，其信誉BR就会有一个良好的积累，若出现恶意访问行为，则信誉值会下降，且下降幅度要大于上升幅度，即破坏信誉要比建立信誉容易的多。

如附图1～图10所示本发明包括以下步骤：

S1、计算医生角色属性信任值：

S101、建立医生信任属性树：分析医生本身所具备的各项属性指标，建立基于医生信任属性的信任属性树，信任属性树包括两级信任属性指标，T＝{T

S102、计算信任属性指标权重：采用层次分析法对信任属性树中各个元素所处层的相对重要程度进行打分，并建立医生的第k层信任属性判断矩阵A

表1层次分析法判断矩阵标度及含义

层次分析法判断矩阵标度及含义表为本领域公知技术；

然后根据判断矩阵，计算信任属性指标权重W

S103、构建灰色评价权矩阵：先采用专家打分法，求出样本矩阵d，

然后采用灰色评价法，确定评估灰类的等级数、灰类灰数和白化权函数f(x)，根据信任程度的不同划分为5个灰类s＝{1,2,3,4,5}，并采用等差打分法将信任评估等级从低到高划分为5个等级；

医生dr1针对信任评价指标t

针对评价指标t

S104、医生属性信任值的综合计算：根据S102步骤计算得到的第二层信任属性指标权重W

S2、计算医生历史行为信任值：

S201、医疗记录模型化：将存储在医疗信息系统中的访问记录模型化为一个四元组

N＝(PN，T，M，Tl)，该四元组模型是根据医生的工作流程特点转化而得，各符号具体含义如下：

PN：所有患者名字集合。

T(a)：医生对患者a诊疗过程中所建立的预期任务目标集合；

T

M(a)：医生对患者a诊疗过程中所访问的所有信息集合；

M

m

C(a)：医生与患者a交互产生访问记录的目标完成率；

Tl(a)：医生与患者a交互产生访问记录的时间标签；

S202、构建医生访问行为矩阵：将医生访问行为构建为实际行为矩阵M、期望行为矩阵EM；实际行为矩阵M的构建过程具体是：

M为医疗记录中医生实际所访问的患者信息按特定标准量化后组成的矩阵，

最终的实际行为矩阵M则是由i个一阶

采用0-1变量对患者信息r是否被访问进行标注，若访问了患者信息m

期望行为矩阵EM的构建过程具体是：

EM为患者期望的医生在最小特权原则下完成治疗任务所访问的信息矩阵，

当有大于百分之七十的医生在该目标任务下都访问了该信息则该信息为必要信息，即em

S203、计算工作目标相关性：计算实际行为矩阵M和期望行为矩阵EM的欧拉距离ED(SM,M)，并对其进行归一化，最终得到工作目标相关性P，P∈[0,1]，公式为：

其中，MAX(ED(EM,M))为矩阵EM和矩阵M的最大可能距离，P越高表明工作目标相关性越高，访问行为越安全；

S204、计算目标达成率：目标达成率C按如下公式计算：

其中，ρ

S205、计算医疗记录信任度：令ω

ReT

计算出ReT

然后采用时间衰减函数对计算出的医疗记录信任度ReT

根据医疗系统上医疗记录的时间线将所有的医疗记录划分为n个时间段，每个时间段包含一条到多条医疗记录，相同时间段权重ω相同，其中ω

其中f(i)为时间衰减函数，n为选取的时间节点数，i为当前时间段，k>0，k的取值决定了f(i)函数的衰减速度，k越大衰减越快，k值的选取可以根据自身需求进行确定，衰减函数f(i)针对大多数期望效果提供了足够的灵活性；从而使其表现出随着时间的推移而衰减加速的特性，使整个评估体系更加注重近期医生的访问行为动态和趋势，而时间过于久远的医疗记录只作为一定的参考发挥作用；

S206、计算访问信誉：访问信誉BR按以下公式计算：

其中，S

S207、医生历史行为信任值的综合计算：令ω

HT＝ω

S3、计算医生综合信任值：将S1步骤得到的医生角色属性信任值和S2步骤得到的计算历史行为信任值通过系统预先设定的权重ω

CT

其中，ω

优选地，S102步骤中计算信任属性指标权重是利用求根法计算各指标的权重，具体求解步骤如下：

(1)计算判断矩阵的行元素乘积，公式为：

(2)将连乘积向量

(3)归一化处理，得到权重向量W

优选地，S102步骤中一致性检验是对每一层的权重系数w

其中，λ

表2平均随机一致性指标RI表

RI表为本领域公知技术。

优选地，S103步骤中5个灰类对应的f(x)为：

第一灰类，s＝1，

第二灰类，s＝2，

第三灰类，s＝3，

第四灰类，s＝4，

第五灰类，s＝5，

优选地，S3步骤信任规则库设有根据系统预设为四个信任区间[T

表3规则库权限分配表

表3中T

优选地，T

其中n为参与评分的专家数，最终分别计算得到T

优选地，ω

其中n为参与评分的专家数，最终分别计算得到ω

下面结合实施例1～实施例3对本发明作进一步说明。

实施例1

医疗大数据访问控制用二维动态信任评价模型的构建方法，包括以下步骤：

S1、计算医生角色属性信任值：

S101、建立医生信任属性树：本发明咨询了某三甲医院及相关领域研究的专家，结合大数据背景下的医生特点，根据各属性之间的隶属关系，从访问主体的核心竞争力和人际质量两方面层层分析医生本身所具备的各项属性，建立基于医生信任属性的信任属性树，信任属性树包括两级信任属性指标，T＝{T

S102、计算信任属性指标权重：采用层次分析法对信任属性树中各个元素所处层的相对重要程度进行打分，并建立医生的第k层信任属性判断矩阵A

然后根据判断矩阵，计算信任属性指标权重W

S103、构建灰色评价权矩阵：先采用专家打分法，求出样本矩阵；

然后采用灰色评价法，确定评估灰类的等级数、灰类灰数和白化权函数f(x)，根据信任程度的不同划分为5个灰类s＝{1,2,3,4,5}，并采用等差打分法将信任评估等级从低到高划分为5个等级；

医生dr1针对信任评价指标t

针对评价指标t

S104、医生属性信任值的综合计算：根据S102步骤计算得到的第二层信任属性指标权重W

S2、计算医生历史行为信任值：

S201、医疗记录模型化：将存储在医疗信息系统中的访问记录模型化为一个四元组N＝(PN,T,M,Tl)；

S202、构建医生访问行为矩阵：将医生访问行为构建为实际行为矩阵M、期望行为矩阵EM；实际行为矩阵M的构建过程具体是：

M为医疗记录中医生实际所访问的患者信息按特定标准量化后组成的矩阵，

最终的实际行为矩阵M则是由i个一阶

采用0-1变量对患者信息r是否被访问进行标注，若访问了患者信息m

期望行为矩阵EM的构建过程具体是：

EM为患者期望的医生在最小特权原则下完成治疗任务所访问的信息矩阵，

当有大于百分之七十的医生在该目标任务下都访问了该信息则该信息为必要信息，即em

S203、计算工作目标相关性：计算实际行为矩阵M和期望行为矩阵EM的欧拉距离ED(SM,M)，并对其进行归一化，最终得到工作目标相关性P，P∈[0,1]，公式为：

其中，MAX(ED(EM,M))为矩阵EM和矩阵M的最大可能距离，P越高表明工作目标相关性越高，访问行为越安全；

S204、计算目标达成率：目标达成率C按如下公式计算：

其中，ρ

S205、计算医疗记录信任度：令ω

ReT

计算出ReT

然后采用时间衰减函数对计算出的医疗记录信任度ReT

根据医疗系统上医疗记录的时间线将所有的医疗记录划分为n个时间段，每个时间段包含一条到多条医疗记录，相同时间段权重ω相同，其中ω

其中f(i)为时间衰减函数，n为选取的时间节点数，i为当前时间段，k>0；

S206、计算访问信誉：访问信誉BR按以下公式计算：

其中，S

S207、医生历史行为信任值的综合计算：令ω

HT＝ω

S3、计算医生综合信任值：将S1步骤得到的医生角色属性信任值和S2步骤得到的计算历史行为信任值通过系统预先设定的权重ω

CT

其中，ω

实施例2

医疗大数据访问控制用二维动态信任评价模型的构建方法，包括以下步骤：

S1、计算医生角色属性信任值：

S101、建立医生信任属性树：本发明咨询了某三甲医院及相关领域研究的专家，结合大数据背景下的医生特点，根据各属性之间的隶属关系，从访问主体的核心竞争力和人际质量两方面层层分析医生本身所具备的各项属性，建立基于医生信任属性的信任属性树，信任属性树包括两级信任属性指标，T＝{T

S102、计算信任属性指标权重：采用层次分析法对信任属性树中各个元素所处层的相对重要程度进行打分，并建立医生的第k层信任属性判断矩阵A

然后根据判断矩阵，计算信任属性指标权重W

(1)计算判断矩阵的行元素乘积，公式为：

(2)将连乘积向量

(3)归一化处理，得到权重向量W

一致性检验是对每一层的权重系数w

其中，λ

S103、构建灰色评价权矩阵：先采用专家打分法，求出样本矩阵；

然后采用灰色评价法，确定评估灰类的等级数、灰类灰数和白化权函数f(x)，根据信任程度的不同划分为5个灰类s＝{1,2,3,4,5}，并采用等差打分法将信任评估等级从低到高划分为5个等级，

第一灰类，s＝1，

第二灰类，s＝2，

第三灰类，s＝3，

第四灰类，s＝4，

第五灰类，s＝5，

医生dr1针对信任评价指标t

针对评价指标t

S104、医生属性信任值的综合计算：根据S102步骤计算得到的第二层信任属性指标权重W

S2、计算医生历史行为信任值：

S201、医疗记录模型化：将存储在医疗信息系统中的访问记录模型化为一个四元组N＝(PN,T,M,Tl)；

S202、构建医生访问行为矩阵：将医生访问行为构建为实际行为矩阵M、期望行为矩阵EM；实际行为矩阵M的构建过程具体是：

M为医疗记录中医生实际所访问的患者信息按特定标准量化后组成的矩阵，

最终的实际行为矩阵M则是由i个一阶

采用0-1变量对患者信息r是否被访问进行标注，若访问了患者信息m

期望行为矩阵EM的构建过程具体是：

EM为患者期望的医生在最小特权原则下完成治疗任务所访问的信息矩阵，

当有大于百分之七十的医生在该目标任务下都访问了该信息则该信息为必要信息，即em

S203、计算工作目标相关性：计算实际行为矩阵M和期望行为矩阵EM的欧拉距离ED(SM,M)，并对其进行归一化，最终得到工作目标相关性P，P∈[0,1]，公式为：

其中，MAX(ED(EM,M))为矩阵EM和矩阵M的最大可能距离，P越高表明工作目标相关性越高，访问行为越安全；

S204、计算目标达成率：目标达成率C按如下公式计算：

其中，ρ

S205、计算医疗记录信任度：令ω

ReT

计算出ReT

然后采用时间衰减函数对计算出的医疗记录信任度ReT

根据医疗系统上医疗记录的时间线将所有的医疗记录划分为n个时间段，每个时间段包含一条到多条医疗记录，相同时间段权重ω相同，其中ω

其中f(i)为时间衰减函数，n为选取的时间节点数，i为当前时间段，k＞0；

S206、计算访问信誉：访问信誉BR按以下公式计算：

其中，S

S207、医生历史行为信任值的综合计算：令ω

HT＝ω

S3、计算医生综合信任值：将S1步骤得到的医生角色属性信任值和S2步骤得到的计算历史行为信任值通过系统预先设定的权重ω

CT

其中，ω

其中n为参与评分的专家数，最终分别计算得到T

其中，S205步骤的ω

其中n为参与评分的专家数，最终分别计算得到ω

实施例3：模型分析实验

一、数据来源

本实验数据由某三甲医院提供，包括1360张表共2139373条数据，主要有病案首页数据(37469条)、病人基本信息(75705条)、药库医务日志(71453条)、医嘱信息(198780条)、错误日志(33336条)、员工信息(3242条)、业务锁定信息、登陆日志、传输日志、运行日志等数据；同时，邀请了该三甲医院以及某高校的专家共10名对本发明所建立的信任属性指标体系(信任属性树)进行权重的评估，其中医院临床科室主任、副主任共3人，医院人力资源管理专家2人，相关研究方向的高校专家5名，所有专家均有五年以上管理或工作经验，并具有副高以上职称。本实验数据为数据管理方同意后采用信息脱敏等安全技术处理后得到的数字化数据。

二、信任属性指标体系(信任属性树)的建立

10位专家共同完成了信任指标的选取和赋权，具体如下：

(1)一级指标权重计算及一致性检验：医生信任属性一级指标权重见表4，

表4医生信任属性一级指标权重

λ

(2)二级指标权重计算及一致性检验：核心竞争力评价指标权重见表5，人际质量评价指标权重见表6。

表5核心竞争力评价指标权重

λ

表6人际质量评价指标权重

λ

最终得到第一层指标的权重向量W

三、医生属性信任值的计算

在医院中随机抽取60位医生d

如图5所示，将医生信任评估数据进行概率统计，发现医生的角色信任分布的相对频率以0.7为中心向左右两边递减，并大概率分布在[0.7-0.8]之间，同时对其进行函数拟合，发现其符合高斯分布X～N(0.76，0.01)的高斯分布。

四、模型性能分析

根据医院以及高校专家咨询结果，设定各指标为：ω

模拟的数据集包括随机生成的600名医生的6000条历史访问记录，每条历史访问记录包含若干次访问行为，并将医生的访问记录按照线性时间顺序划分为t

表7模拟数据集生成规则

当C＜0.65时认为达成率异常，反之为正常，实验模拟生成的数据集中，医生的角色属性信任值按照X～N(0.75，0.01)的高斯分布在[0-1]区间随机生成；

(1)有效性分析

在本实验中主要对模拟生成的医生进行综合信任评估，并比较“诚实医生”和三类“恶意医生”的综合信任值区分是否明显，以及综合信任评分最高的医生群体是否大多数为诚实医生，综合信任评分最低的医生群体是否大多数为恶意医生。

按照表7的生成规则随机生成600名医生，并计算其综合信任值CT；各类型医生的比例分别为：@A(85％)，@B(5％)、@C(5％)、@D(5％)，具体实验结果如图6所示。

由图6可知@A类型医生的平均综合信任分别是@B、@C、@D类型医生的1.2、1.3、1.6倍，且诚实医生平均综合信任是恶意医生的1.3倍，说明2类医生是明显可区分的，本发明的模型是有效的；根据图7可知，在本次实验中，信任评分最低的20名医生均为恶意医生，信任评分最低的前50名医生中的准确率也保持在90％以上。

(2)敏感性分析

敏感性分析主要测试该模型对于“不稳定医生”发展趋势的灵敏度，即能否根据医生的历史访问记录和近期访问行为特点，更迅速的发现和预测该医生未来访问行为趋势；本实验模拟了“不稳定医生”进行@A～@D类型的转变过程，其中，最大样本记录数量为10，医生初始综合信任值CT＝1，实验结果如表8和图8所示。

表8不同访问次数的历史信任值

由图8可以看出，相较于传统算法，本发明在连续恶意访问行为下使医生信任值下降更为迅速，从而能使系统更早的发现其恶意行为；结合表8可知，在医生进行第4次恶意访问时(ReT

同时，在遵循了医疗记录时效性的基础上，本发明模型的样本更迭策略采用了“队列”的思想，样本动态更新时采用新记录进旧记录出的原则；如表8所示，最大样本区间S

(3)安全性分析

信誉评价是通过模拟人际交往产生的一种安全策略，信誉值的确定是通过不断的交互和反馈来修正的，该思想的提出一定程度上弥补了传统安全技术的不足，但是动态修复在一定程度上也会存在被“漂白攻击”的风险，使信誉评估系统失效，本实验主要是对本发明信任算法的抗“漂白攻击”能力进行分析，并与现有技术的算法进行比较。

本实验S

从图9中可以看出现有技术的算法随着良性访问的不断增加，其信任值趋近于1，最终几乎完全掩盖了过去的恶意访问行为对信誉造成的影响；本发明所采用的算法加入了惩罚因子，加重恶意访问对信誉造成的影响，即使只有1次恶意访问行为，都会使信誉降低到0.73左右，即便后续又进行了大量的良性访问，依旧无法掩盖过去恶意行为对信誉的影响，因此相较于现有技术而言，本文的信誉算法的抗漂白攻击能力更强；现有技术同样采用引入惩罚因子的策略来加强算法的抗漂白攻击能力，但致命的一点是其惩罚因子的带入将对信誉造成永久的“伤害”，最终可能造成用户信誉崩塌；而本发明的模型由于采用了“队列”的思想，避免了这种情况的发生，如本实验中医疗记录R

当取良性访问200次，恶性访问次数0～200递增时，本发明与现有技术算法性能比较如图10所示。

从图10中可以看出，当恶性访问行为发生后，现有技术的信誉值下降缓慢，对恶性访问行为敏感度较差，而且随着恶意访问次数的增加到100次左右时信誉值下降到一个负值，并随着恶性访问次数的增加而继续下降，此算法的信誉评估明显不符合逻辑和现实，而本发明在最初的几次(2次)恶意访问行为时就迅速下降到一个很低的值(约0.613)，当其降低到一定值后随着恶性访问次数的增加信誉值始终保持在[0,1]之间，体现了信誉值骤降的客观规律的同时还保证了信誉值的合理性。

实验结果表明，本发明模型对于抑制恶意访问行为是有效的，同时模型的动态性、敏感性和抗漂白攻击能力较好。