随着医疗信息系统(Hospital Information System,HIS)技术的发展,电子病历、健康档案等应用极大地提升了医疗服务能力和医疗信息的综合利用能力。但与此同时,带来了医疗信息隐私泄露问题,给HIS系统的访问控制带来新的挑战。HIS系统是开放性体系,使得可以方便地整合集成各类医疗应用。HIS系统涵盖了诸多医疗隐私信息,因此它既要实现对此类信息的灵活授权与访问控制,又要具备充分的隐私保护机制。目前访问控制领域广泛采用的RBAC访问控制,无法满足HIS隐私保护的相关需求:第一,信息所有者和策略制定者相分离,导致无法清晰界定隐私内容。第二,基于角色的通用性授权策略,无法满足患者对隐私保护的个性化需求。第三,对隐私信息的访问更加注重其使用目的,而传统RBAC无法满足此项要求。本文在探讨医疗信息系统隐私保护特点基础上,分析了应用于健康记录隐私保护的PAC模型的不足,根据HIS隐私保护需求提出基于目的管理的医疗信息系统隐私保护访问控制模型——PBAC-HIS。模型主要思想是建立以患者为中心的HIS系统,将系统的管理权限进行部分转移,让患者参与访问策略的制定、维护,由患者对隐私内容进行界定。模型引入具有继承关系的目的概念,采用“基于目的管理”的授权管理方式。医疗机构根据角色职责,通过为角色绑定目的制定通用策略;患者根据个人隐私侧重点不同,为隐私数据设置目的属性,制定个人策略。采用基于通用策略和个人策略相结合的方式,在系统通用策略不变的前提下,患者通过调整个人策略满足个性化隐私需求。本文详细阐述了PBAC-HIS的设计思想,介绍模型的重要组成元素和关键功能模块,并对目的管理模块进行了详细设计。论文的主要贡献在于:一,提出面向HIS的隐私保护访问控制模型PBAC-HIS,在实现医疗机构对医疗信息分级授权管理的基础上,满足患者对隐私信息保护的个性化访问控制约束。二,采用“基于目的”的判决方式,设计实现目的管理器,使访问判决结果取决于目的管理器对目的一致性的判定,实现对资源使用意图的控制。三,基于策略组思想,将通用策略和个人策略相结合,使得访问控制灵活性大大提高。四,完成了相关模型的设计和目的管理器的实现,对相关应用有一定的参考价值。