沙特国王大学学报：多级健康档案共享的访问控制框架

Journal of King Saud University沙特国王大学沙特国王大学学报www.ksu.edu.sawww.sciencedirect.com基于层次相似性的访问控制框架：一种面向互操作环境的多级电子健康档案数据共享方法Shalini Bhartiyaa，*，Deepti Mehrotraa，Anup Girdharba Amity大学Amity工程和技术学院，北方邦Sector 125，Noida，U.P.，印度bSedulity Solutions，310 Suneja Towers-II，Janakpuri，新德里，印度接收日期：2015年5月16日;修订日期：2015年7月16日;接受日期：2015年8月25日2015年11月2日在线发布摘要医疗环境中的互操作性涉及到病人的电子健康记录（EHR）与其他专业人员之间以及部门或组织内部的共享医疗保健环境经历了医生，辅助医务人员之间以及部门或医院内的频繁转移该系统展示了通过为该环境定义的访问控制策略管理的用户和资源的动态属性。在合并这些策略时获得的规则通常会产生策略冲突，从而导致不适当的数据泄漏给非预期的用户。本文提出了一种访问控制框架，应用层次相似性分析器（HSA）的策略需要合并。它计算安全级别（SL）并将其分配给共享数据的用户。SL确定在两个策略成功协作时可以共享建议的框架允许独立的政策的整合，并确定可能的政策冲突所产生的属性差异，在定义的规则。该框架是实现XACML政策，并与其他访问模型设计使用集中式和分散式的方法。条件约束和属性被定义为在策略中普遍产生策略冲突。©2015作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。 这是CC BY-NC-ND许可下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。*通讯作者：ED-94，泰戈尔花园，新德里110027，印度电子邮件地址：shalinibhartiya69@gmail.com（S.Bhartiya），mehdeepti@gmail.com（D.Mehrotra），anup@sedulitygroups.com（A.Girdhar）。沙特国王大学负责同行审查制作和主办：Elsevierhttp://dx.doi.org/10.1016/j.jksuci.2015.08.0051. 介绍医疗保健是一项有时限的服务。电子健康护理记录的主要优点是在任何期望的位置及时提供健康数据，以便患者可以得到适当的治疗。除了及时检索健康数据外，同样重要的是确保维护患者健康记录的机密性和隐私性。这是更复杂的1319-1578© 2015作者。制作和主办由爱思唯尔B.V.代表沙特国王大学。这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。关键词访问控制策略;电子健康记录（EHR）;层次相似性分析仪（HSA）;可互操作的医疗保健环境;安全506S. Bhartiya等人由于角色、部门和职责的频繁转换，卫生环境主要是。今天是分布式计算的时代（Xiao et al.，2009），其中不同组织的用户需要协作并访问彼此的资源。1996年的健康保险便携性和责任法案（HIPAA）隐私规则为加强此类合作中个人电子健康记录（EHR）的隐私和安全保护一种可互操作的健康系统通过维护健康护理提供者、患者和数据资源之间的多对多关系来促进用于交换数据的软件应用的使用。这种方法提供了更好的集成和共享，但也需要一个确保隐私和安全的框架，这可以通过设计适当的医疗保健信息披露和使用政策来实现在开放和动态的医疗保健环境中实现互操作性是一项艰巨的任务（Bhartiya和Mehrotra，2013），需要采用协作访问控制方法来实现向用户安全共享授权数据。传统的访问控制框架在集中式和分散式访问控制方法之间变化，并且对于不同组织之间的EHR共享，可以通过集中式或分散式方法来控制和管理用于安全共享的访问。集中式访问控制方法（Carmagnola等人， 2000）依赖于允许/拒绝对所需资源的访问的中央机构。它导致向合法用户提供一致和统一的数据访问的集中控制减少了管理资源的行政工作通常在可互操作的环境中，不可能设计集中式访问控制模型。需要设计授权系统（NIST SP 800-162），以保持数据的适当完整性、机密性分散式方法（Saltman等人， 2007）将权限分配给更接近资源的人。每个去中心化系统都有自己的概念存储以及用户和资源的层次结构允许/拒绝访问数据的权力分配给组织中领导一个或多个团队这种方法是在无处不在的计算环境中以对等方式直接交换数据的最寻求的。此模型缺乏一致性控制，但可确保快速访问数据和其他资源。互操作环境中的数据共享也会遇到管理不同系统之间数据共享责任所需的相互矛盾或未定义的授权。在集成不同的访问控制策略时的另一个相关问题是策略冲突的出现，其中两个或多个规则可能彼此矛盾。医疗环境中的信息共享通常是动态的。它要求保持电子健康记录的可用性、完整性和保密性，这些记录可能因每个病人的需要而异本文提出了一种基于属性的访问模型（ABAC）的框架。基于属性的访问模型（ABAC）（Hu等人，2013）是一种逻辑访问控制方法，其中评估规则属性以确定用于执行所定义的操作集的授权。这个想法是细粒度的基础上，用户在各自的组织中的层次位置的可用的访问控制策略。它需要设计遵循最小特权原则的框架，确保仅生成相关规则。在细化给定策略的同时，适当考虑本文共分为六个部分。第一部分阐述了互操作医疗环境的必要性和重要性第二部分总结了过去的工作，并对各种访问控制模型进行了比较分析。第3节介绍了用于设计和验证附录A中列出的访问控制策略的框架和XACML模式。第4节表示与用户和资源属性有关的医疗保健组织层次结构。第5节使用自动模拟器访问控制策略测试（ACPT）对所提出的框架进行验证。验证是合理的，通过案例研究，说明该框架的实施和与其他方法的比较第6节总结并解释了证明拟议框架可行性的结果。2. 文献综述过去已经进行了大量的研究，以组合和集成访问控制模型，而不会将数据暴露给非法和未经授权的泄露。每个模型代表独特的特征（Karp等人，2010年），使它不同于其他模型，无论是，语法和语义。自主访问控制（DAC）模型依赖于访问控制列表（ACL）来确定授权。 在医疗保健环境中，用户经历频繁的角色转换，因此，需要优化数据库（Al-Abdulmohsin，2009），以快速安全地访问数据。强制访问控制（MAC）模型是基于对资源和用户凭证的标记。在该环境中，变量一次性地改变，因此不能响应于动态改变的环境，如医疗保健，其中资源水平动态地改变并且需要与用户凭证的改变同步。基于角色的访问（RBAC）模型（Sandhu等人，1996; Nyanchama和Osborn，1999）使用图理论开发了基于角色的模型。它简化了安全管理，但对同时为用户管理多个角色的组织的管理提出了挑战。主要重点在设计安全的、可互操作的EHR框架时，对现有的访问控制策略进行了细粒度的改进。各种技术已经被部署到细粒度访问控制模型中，其目标是提供对数据的安全和设置授权取决于特定应用程序采用的存储机制在数据存储的集中式和分布式方法中，授权可能有所不同。Bertino等人（1994）提出了语义数据建模的概念，并为可互操作的关系数据库和面向对象数据库开发了一个集成的授权。Azeez和Venter（2013）提出并模拟了RBAC框架，该框架满足授权，并为基于网格的多域环境实施可互操作、可扩展和合适的访问控制。Ciampi等人提出的中间件。（2010）评估了基于代理的架构中的互操作性设施，其中授权是电子健康记录数据共享方法507表1HSA和其他访问控制框架/模型的比较研究。互操作异构授权访问相关数据动态解决策略冲突易于实现灵活性粒度级别特征模型角色图模型（Nyanchama和Osborn，1999年）BPD-ACS（Chandramouli，2000年）隐私保护模型（Yang等人，（2008年）健康代理系统（Xiao等人，（2009年）开放代理架构（OAA）-（Ciampi等人，（2010年）HSA类型RBACRBAC2PBAC混合（DAC，虚拟系统ABACXXppXXppXxXpMAC、RBAC）ppXXppXXpXpppXppppXXXXXpppXpppppppp罚款介质介质罚款低罚款的政府XppXXX条例计算低介质介质低高低负载决定控制各种代理之间的相互作用。本文重点介绍集成不同的医疗保健系统，每个实现自己的数据访问策略和约束。各种访问控制模型进行比较，以确定其鲁棒性和可靠性，在明确定义的授权下安全共享的EHR。表1显示了我们的框架与这些模型在最重要特征上的比较研究（Bhartiya和Mehrotra，2013），确定了合法利益相关者之间安全共享敏感所提出的框架在多大程度上满足上述参数，必须使用相关的测试和验证工具来确定比较过程可以是轻量级的，具有低的计算工作量，从而损害结果的准确性，或者可以是计算上昂贵的，具有更准确的方法，例如布尔检查或语义分析。测试也可以通过模拟所提出的框架并将其与现有的模型和方法进行比较来完成。自动化测试扩展了测试边界，通过穷举状态空间搜索来验证生成的请求.文献揭示了各种验证工具Margrave（Fisler等人，2005）、Cirg（Martin和Xie，2007 ） 、 PoliVer （ Koleini 和 Ryan ， 2011 ） 、 ACPT（Hwang等人，2010年）能够测试类似的应用程序。这些和许多其他这样的工具可以使用一种或其他故障检测技术来验证访问策略，例如时间逻辑（计算树逻辑（CTL）和线性时间时间逻辑（LTL））的逻辑公式（Hu和Kuhn，2011）每种工具的先决条件在产生测试结果的要求上有所不同Lin et al. （2007）迭代每个组织的策略集中的所有规则，并计算两个策略的每个规则属性之间的相似性。它确定了两个策略的接近程度，得出了两个策略可以安全地相互集成考虑到访问策略中普遍存在的所有差异，最基本的要求是允许合法和授权的EHR访问。在医疗保健领域，一个用户在任何给定的时间点以不同的角色能力工作。此外，可以存在同时访问数据的各种入口和出口点。一名医生在一名患者的主治医生的角色可能会转变为专家的角色，为其他病人在同一时间。在这两种情况下，访问权限必须不同。此外，权力不是一成不变的。作为由高级顾问处理的团队的一部分，医生可以在同一家医院独立执业。在这两种情况下，责任心和责任心必须有所不同。因此，确定对EHR的授权和合并访问具有挑战性。3. 拟议框架随着电子数据量的不断增加和技术资源的进步，控制和限制授权用户的访问变得困难和难以管理。每个系统都是自治的，包括唯一的域结构或层次结构和安全策略。当出现政策冲突时，很难对任何政策进行加权以选择最佳选择。此外，没有解决政策冲突的通用方法（Zidat and Djoudi，2006）。Bhartiya和Mehrotra（2015）在各医院和相关机构的实时健康环境中使用基于药物的研究进行了CHAID分析。观察结果显示，使用组织层级中每个医疗保健用户的位置距离来定义本地授权的可能性。通过计算每个用户在各自组织层次中的位置距离，增强了访问控制策略规则属性相似性识别的确定性它将进一步508S. Bhartiya等人⊂ ⊂⊂图1使用HSA的细粒度XACML策略的建议框架。实施强大的授权，从而增强EHR的可用性，而不会损害其机密性和隐私性。每个规则包括多个属性，这些属性本质上是因此，可以通过基于Lin等人的可共享医疗保健系统中的访问控制策略之间的相似性来设计系统，2007年办法。相似性是使用层次结构相似性分析器1（HSA）获得的，该分析器从比较两个遥远的组织层次结构获得的相似性得分然后，将这些值分配给每个用户，作为Security_level2（SL），从而弥合不同医疗保健环境之间的互操作性差距。建议的框架（图1）扩展了XACML结构。两个或多个医疗保健单位协作，并允许访问彼此的数据存储库。由于每个单元采用的数据和存储结构的异构性，复杂性增加。该框架由一个层次相似性分析器算法组成，该算法可查找不同策略（P1、P2）中定义的规则属性之间的相似性，Pn）。HSA（Hierarchy Similarity Analyzer）计算基于用户和资源（EHR）在其各自层次结构中的层次距离来计算所有匹配和不匹配属性的相似性得分通过为 给 定 规 则 集 中 的 每 个 用 户 和 资 源 属 性 分 配Security_Level（SL），规则是细粒度的。通过分配从HSA获得的SL，在现有规则集中添加授权。授权使用简单的安全规则确保EHR的安全共享，其中较低级别的用户只能在较高级别用户的授权下访问高级资源。用户生成一个请求，1层次结构相似性分析器。2安全等级。获取数据使用所选择的规则组合算法来合并细化的策略（策略组合点）评估规则（策略评估点）以满足环境约束并设置授权。从而得到一个简化的规则集。然后合并这些规则，从而处理策略冲突（策略决策点），并获得最终决策（允许/拒绝决策）以允许或拒绝对所请求数据的访问可 扩 展 访 问 控 制 标 记 语 言 （ Extensible AccessControl Markup Language，XACML）等标准为设计灵活、动态的访问控制策略框架提供了模板，广泛应用于支持互操作和异构的环境中。XACML的基本元素包括策略集、策略、规则、目标和条件。策略集是指在组织中定义的访问控制策略集。策略包含每个策略集中定义的规则每个规则由一组主题、资源和操作组成，分别描述为S、R和A。这些组件中的每一个都与具有一个或多个属性值的一组属性相关联目标（T）指定通过定义的规则和策略控制访问的用户或资源Condition元素（C）是可选的，并且如果需要，则对规则施加约束。规则中的Effect（E）是用于授予或拒绝对数据的访问的决策访问请求是元组{s，r，a}，其中s S，r R，a A具有多个属性。无论何时发出访问请求，都将其传递给称为策略决策点（PDP）的软件组件，该组件根据给定的访问控制策略评估请求使用XACML设计的ABAC定义了以下允许合法用户访问EHR的可能状态：定义1. ABAC规则r规定：如果C，则E，即如果满足条件C，则允许效果E。为了前任。如果专家的访问控制策略登记了允许写入的规则如果对患者的诊断记录和定义的条件进行操作定义2. ABAC规则r规定：如果S和R则E，即如果主题S和资源R的属性值都满足，则允许效果E。 为了前任。如果策略规则允许家庭医生无条件地访问患者的临床记录，并且没有定义属性来限制这种访问，则该决定将被允许。上述定义可以扩展为包括规则集中各种其他组件之间的更多关系。问题是这些定义确实表示了各种策略的清晰而简单的集成，但包含了策略冲突和规则冗余。因此，细粒度的政策是必要的，以限制不适当的披露敏感的健康记录，特别是在互操作的环境。拟议框架的执行情况：1. 分类规则有 两 种 规 则 ， 即 允 许 规 则 （ PR ） 和 拒 绝 规 则（DR）。访问控制策略包括用于许可决定的PR和用于拒绝决定的DR，电子健康记录数据共享方法509P2βvPS1995年VPS1995年V猫PS1 9 9 5 年V2L2小时><1公斤;2升>>：Mv1k;-1P-;v2l2MvNv2l¼1猫1公斤;2升Nv2Nv1猫1公斤; 2升¼Nv1;N v1 >Nv2;N v1 P最大值v1;v2PNv2SNv1995年V;N v1 >Nv2由护士长领导的辅助医务人员。患者在医院就诊期间在不同的科室移动并使用设施。图3表示EHR层次结构，假设为d¼ ：>-;v2l2Mv2Nv1k¼1num1公斤;2升Nv1;Nv1决定=许可。5.2.2. 分散式访问控制框架分散的访问控制框架：卫生专业人员被分配了一组预定义的访问权限。用户的访问权限和授权由其层次结构下的访问权限的更改在本地处理，从而可以快速访问所需数据。整合三个组织（H1、H2和H3）的不同访问控制策略（图 10：附录A））显示在图。 六、H3的访问控制策略导致允许对所需数据的访问，而在H1和H2中识别出策略冲突。属性：SPEC（Role=Family_Doc）（EHR=Cl_diag）（MLSDefaultAction=read）（Authorization=HOD）&（Patient_Consent = True）-> decision = Permit。5.2.3. HSA细化策略集层次结构相似性分析器卫生专业人员由中央管理人员或当地管理人员根据组织中遵循的方法分配一套访问组织的用户和资源层次结构被提供给HSA，HSA在给定的访问控制策略中通过建立互操作医疗环境中数据的授权、确定允许/拒绝，进一步细化了策略图图7显示了集成三个不同组织的访问控制策略（A1、A2、A3（图9：附录A））所生成的结果。在合并时，A2和A3的策略表示允许访问所请求的数据的更多相似性，因为与A1的策略在所生成的查询方面相矛盾属性：SPEC（Role=Family_Doc）（EHR=Cl_diag）&（MLSDefaultAction = read）（Patient_Consent = True）&（授权=HOD）（安全级别=2）->决策准。5.3. 解释在互操作环境中，当合并时，生成查询以识别每个模型的鲁棒性和准确性。查询通过迭代到整个规则集来限定用于查找精确匹配的策略。该属性使用3路覆盖数组进行验证，该数组基于第一个适用的策略组合算法生成测试用例。表4确定了电子健康记录数据共享方法513表4在每种方法中合并策略时获得的规则。策略-合并不同的访问控制策略时产生的冲突。基于集中式方法的访问模型是最脆弱的，即使合并策略集中的规则不匹配，也允许对数据的访问。基于分散式方法的模型描述了合并策略中的不相似性，导致无法获得访问，因此延迟了对患者的优质治疗。授权在各种医疗保健系统之间设置，但在动态重置时成本高昂。基于HSA的模型识别出策略P2和P3之间的强相似性在各种医疗保健系统之间动态地设置授权，并且安全级别和授权中的任何变化的开销与用户或资源层次结构中的变化相关授权设置在一个或另一个影响在开放环境中共享时，电子病历的保密性和隐私性。表4显示了导致不披露数据或不当披露数据的漏洞此外，集中式方法定义了隐含的或静态的环境设置。通过修改来实现互操作性是非常困难和耗时的。集中式方法在单一环境下具有最高的机密性当这种方法下的策略合并以允许在不同的医疗保健环境中共享时，机密性受到损害遵循去中心化方法的系统在构建访问规则时不受任何标准规则和指南的约束，因此，导致严格的安全措施拒绝对所需数据的访问在这种方法中，数据的可用性受到很大影响基于HSA的模型对现有的政策进行了细化图8显示了EHR在各种方法中的互操作共享。514S. Bhartiya等人动态地决定允许合法用户访问的数据量。数据的保密性和可用性高于其他两种方法.政策-通过明确定义的授权将冲突降至最低根据相关用户的职责和责任动态设置。在每个访问模型方法中合并P1、P2和P3揭示了允许或拒绝访问的实质性决定图9三个不同的医疗保健组织的HSA细化的XACML策略电子健康记录数据共享方法515图9（续）516S. Bhartiya等人图9（续）to the data数据.例如，在集中式方法中（表4中突出显示），仅允许P3中的护士访问查询数据，而决策适用于合并在一起的所有它使数据有可能被不当披露和违反保密规定。在某些情况下，健康保险携带和责任法案（HIPAA，1996年）推翻了各机构之间的记录共享，即使患者如果规则集中存在此类漏洞，则验证结果会识别出这些漏洞，如表4所示。另一方面，去中心化方法提供了一个更严格的安全模型，只有在每个策略中存在类似规则的情况下，该决策才被允许，否则将导致拒绝访问。矛盾和策略冲突通过简单地拒绝对数据的访问来处理，就像P1中的属性为真，但决策仍然被拒绝。这种模式在维护数据的机密性和隐私性方面具有针对HSA细化策略获得的决定它限制未经授权的披露，从而保持机密性和隐私性，同时确保数据的可用性。验证结果检测到HSA细化策略集中可能存在的策略冲突，并提供了缓解这些冲突的反例因此，我们的框架证明，以加强在动态共享互操作的医疗保健环境中的安全策略6. 结论三个医疗单位纳入独特的访问方法的访问控制政策在合并相关规则时获得允许/拒绝决定。该框架通过在相似性因子上对用户/资源属性进行排名来弥合独立医疗保健组织之间的相似性评分基本上承诺产生匹配规则和策略的合理子集，用于在独立的医疗保健单位之间共享数据。安全级别确保授权，以确保只有合法和授权的用户将能够访问受控数据，特别是在不同环境中动态协作时。此外，该框架还识别了在合并两个或多个策略时出现的策略冲突。表4列出了规则导致策略冲突，因为它们与所定义的属性相矛盾对互操作性和安全因素进行了比较（图1）。 8）关于EHR在所讨论的方法中的共享。事实证明，HSA可以实现互操作性，而不会影响在不同环境中共享数据的安全性此外，HSA预防和消除这样的规则，从而最大限度地减少政策冲突，也是可追踪的。这证明了拟议框架的稳健性此外，如果在某些策略中没有定义根据生成的请求获得的规则，则这些策略的决策和原创性不存在因此，我们的框架是对组织中已经部署的安全状态的扩展。6.1. 未来范围目前的工作能够以安全的方式整合独立医疗保健单位的访问控制策略。检测策略冲突，并将其从允许/拒绝访问所需数据的规则的最终选择中删除这项工作可以扩展到将各种类型的策略冲突归类为语义，语法，时间约束。此外，访问EHR可以根据不同目的的要求进行分类，例如紧急情况和意外情况。像HIPAA这样的联邦机构还提出了设计访问控制模型的指导方针，包括处理此类情况的明确授权。处理这些案件而不失去记录的机密性和隐私性是一个重要领域，需要一个满足医疗保健条件和行动方针的强有力机制附录A集 中 式 、 分 散 式 和 HSA 细 化 的 访 问 控 制 策 略 中 的XACML策略：每个策略都被简化为仅显示与本文中定义的属性相关的规则1. 三个不同医疗保健组织的HSA细化策略（P1、P2和P3）（见图 9）。2. 分散的方法：三个不同的医疗保健组织的政策（P1，P2和P3）（见图）。 10）。3. 集中式方法：内部医疗保健单位的政策（P1、P2和P3）（见图 11）。电子健康记录数据共享方法517图10三个不同的医疗保健组织在分散方法中的XACML策略518S. Bhartiya等人图11三个医疗保健单位采用集中式方法的XACML策略。电子健康记录数据共享方法519引用Al-Abdulmohsin，I.M.，2009.访问控制列表优化的技术和算法。Comput.电子工程35（4），556-566。Azeez，N.A.，文特尔，我，2013.在多域网格环境中确保可扩展性、互操作性和有效的访问控制。SAIEE Africa Res.J.104（2），54-68。Bertino，E.，金，W.，Rabitti，F.，Woelk，D.，1994.面向对象 数 据 库 的 授 权 模 型 模 型 ， 见 ： Biskup ， J. ，Morgenstern，M.，Landwehr，C.E.（编），《数据库安全》，第八卷，第100页。199-222.Bhartiya，S.，Mehrotra，D.，2013.探索医疗保健数据交换中的互操作性和挑战。在：智能健康，国际会议，ICSH2013年会议记录，计算机科学讲义，8040，页。52-65Bhartiya，S.，Mehrotra，D.，2015.应用CHAID算法研究安全互 操 作 卫 生 数 据 交 换 的 关 键 属 性 。 Int. J. 电 子 的 。Healthcare 8（1），25-50.Carmagnola，F.，Cena，F.，Gena，C.，2000.用户模型互操作性：综述。用户模型。用户自适应交互。21（3），285-331。Chandramouli河，2000.业务流程驱动的框架，用于定义基于角色和规则的访问控制服务输入：程序第23届全国信息系统安全大会Ciampi，M.，加洛湖，Coronato，A.，彼得罗，G. D.，2010.协同虚拟环境中交互互操作的中间件机制。Int. J. Adv. 媒体通讯 4（2），154-166。Cimatti，A.，Clarke，E.，Giunchiglia，E.，Giunchiglia，F.，Pistore，M.，Roveri，M.，Ragtiani，R.，Tacchella，A.，2002年。NuSMV，第2版：用于符号模型检查的开源工具，见：第14届计算机辅助验证（CAV）国际会议论文集，pp.359-364.Fisler，K.，Krishnamurthi，S.，洛杉矶的梅耶罗维奇Tschantz，M. C.的方法，2005.访问控制策略的验证和变更影响分析，见：第27届软件工程国际会议论文集，第10页。196-205.1996年健康保险可携带性和责任法案，一九九六年。第104胡，V.C.，库恩，D.R.，2011.用于验证强制访问控制模型和属性的模型检查。Int. J. SoftwareEng. Knowl. Eng. 21（1），103-127.Hu，V.，Schnitzer，A.，Sandlin，K.，2013年。基于属性的访问控制定义和注意事项。NIST规范出版物，八百至一百六十二黄，J.，谢，T.，Hu，V.，Altunay，M.，2010. ACPT：一个访问控制策略的建模和分析工具。卡普，A.H.，Haury，H.，戴维斯，MH，2010.从ABAC到ZBAC：访问控制模型的演变在：Proc.。国际会议信息Warfa，卷。202.Koleini，M.，瑞安，M.，2011.一种基于知识的动态访问控制策略 验证 方 法 。第 13届 形式 工 程 方法 国 际会 议 （ ICFEM2011）。林，D.，Rao，P.，Bertino，E.，Lobo，J.，2007.一种评估政策相似性的方法。第12届ACM访问控制模型和技术研讨会论文集，第12页。1-10。Martin，E.，谢，T.，2007年通过变更影响分析为访问控制策略自动生成测试。第三届国际安全系统软件工程研讨会论文集。IEEE Computer Society，p. 五、Nyanchama，M.，Osborn，S.L.，1999.角色图模型与利益冲突。ACM传输信息系统安全2（1），3-33.Sandhu，R.S.，Coyne，E.，Feinstein，H. L.，尤曼，C.E.，1996.基于角色的访问控制模型。Comput.安全性29（2），38-47。Saltman，RB.，Bankauskaite，V.，Vrangbaek，K.，2007.医疗保健中的权力下放-战略和成果。欧洲卫生系统和政策观察丛书。McGraw Hills，OpenUniversity