Published January 1, 2022
| Version v1
Publication
Open
SmartAccess: Attribute-Based Access Control System for Medical Records Based on Smart Contracts
Creators
- 1. University of Amsterdam
- 2. Amsterdam University Medical Centers
- 3. Athens University of Economics and Business
- 4. Institute of Communication and Computer Systems
- 5. National Technical University of Athens
- 6. Universidade Federal Fluminense
Description
Cross-organisation data sharing is challenging because all the involved organisations must agree on 'how' and 'why' the data is processed.Due to a lack of transparency, the organisations need to trust that others comply with the agreements and regulations.We propose to exploit blockchain and smart contracts technologies to define an Attribute-Based Access Control System for cross-organisation medical records sharing, coined SmartAccess.SmartAccess offers joint agreement over access policies and dynamic access control besides blockchain transparency and auditability.We leverage the Attribute-Based Access Control model to implement smart contracts.We deploy and test them on a private and permissioned blockchain, transforming the access control process into a distributed smart contract execution.This paper proposes the SmartAccess system and its application in two healthcare use cases.We introduce the threat model and perform a security analysis of the system.To demonstrate the feasibility of our proposal, we implement a proof-of-concept of the smart contracts, written in Solidity language, with a size-efficient policy representation, and analyse the complexity and scalability of the contracts' functions.Furthermore, we present performance results, measuring the latency and throughput of the transactions to execute the access control functions with different blockchain network consensus setups.We also compare the performance of the SmartAccess system against two open-source Solidity implementations of smart contract-based access control, Role-based Access Control and Access Control List.Finally, we discuss the strengths and drawbacks of our proposal.SmartAccess requires the overhead of a decentralised system, but the trade-off is transparency, regulation compliance and auditability for complex cross-organisation data sharing.
Translated Descriptions
⚠️
This is an automatic machine translation with an accuracy of 90-95%
Translated Description (Arabic)
تمثل مشاركة البيانات عبر المنظمات تحديًا لأن جميع المنظمات المعنية يجب أن تتفق على "كيف" و "لماذا" تتم معالجة البيانات. نظرًا لانعدام الشفافية، تحتاج المنظمات إلى الثقة في أن الآخرين يمتثلون للاتفاقيات واللوائح. نقترح استغلال تقنيات البلوك تشين والعقود الذكية لتحديد نظام التحكم في الوصول القائم على السمات لمشاركة السجلات الطبية عبر المنظمات، صاغ SmartAccess. تقدم SmartAccess اتفاقية مشتركة حول سياسات الوصول والتحكم الديناميكي في الوصول إلى جانب شفافية البلوك تشين وقابليتها للتدقيق. نحن نستفيد من نظام التحكم في الوصول القائم على السمات نموذج التحكم في الوصول لتنفيذ العقود الذكية .ننشرها ونختبرها على سلسلة كتل خاصة ومصرح بها، ونحول عملية التحكم في الوصول إلى تنفيذ عقد ذكي موزع .تقترح هذه الورقة نظام الوصول الذكي وتطبيقه في حالتين من حالات استخدام الرعاية الصحية .نقدم نموذج التهديد ونجري تحليلًا أمنيًا للنظام .لإثبات جدوى اقتراحنا، ننفذ إثباتًا لمفهوم العقود الذكية، مكتوبًا بلغة متينة، مع تمثيل سياسة فعال للحجم، ونحلل تعقيد وظائف العقود وقابليتها للتطوير. علاوة على ذلك، نقدم نتائج الأداء، ونقيس زمن الوصول وإنتاجية المعاملات لتنفيذ وظائف التحكم في الوصول مع إعدادات إجماع شبكة البلوك تشين المختلفة. نقارن أيضًا أداء نظام SmartAccess مقابل اثنين من تطبيقات Solidity مفتوحة المصدر للتحكم في الوصول القائم على العقود الذكية، والتحكم في الوصول القائم على الأدوار وقائمة التحكم في الوصول. وأخيرًا، نناقش نقاط القوة والعيوب في اقتراحنا. يتطلب SmartAccess النفقات العامة لنظام لامركزي، ولكن المقايضة هي الشفافية والامتثال للتنظيم وقابلية التدقيق لمشاركة البيانات المعقدة عبر المنظمات.Translated Description (French)
Le partage de données interorganisations est difficile car toutes les organisations impliquées doivent s'entendre sur « comment » et « pourquoi » les données sont traitées.En raison d'un manque de transparence, les organisations doivent faire confiance aux autres pour se conformer aux accords et aux réglementations.Nous proposons d'exploiter les technologies de la blockchain et des contrats intelligents pour définir un système de contrôle d'accès basé sur les attributs pour le partage des dossiers médicaux interorganisations, baptisé SmartAccess.SmartAccess offre un accord conjoint sur les politiques d'accès et le contrôle d'accès dynamique en plus de la transparence et de l'auditabilité de la blockchain.Nous tirons parti du système de contrôle d'accès basé sur les attributs Modèle de contrôle d'accès pour mettre en œuvre des contrats intelligents.Nous les déployons et les testons sur une blockchain privée et autorisée, transformant le processus de contrôle d'accès en une exécution distribuée de contrats intelligents.Cet article propose le système SmartAccess et son application dans deux cas d'utilisation de soins de santé.Nous introduisons le modèle de menace et effectuons une analyse de sécurité du système.Pour démontrer la faisabilité de notre proposition, nous mettons en œuvre une preuve de concept des contrats intelligents, rédigée en langage Solidity, avec une représentation de politique efficace en termes de taille, et analysons la complexité et l'évolutivité des fonctions des contrats.En outre, nous présentons des résultats de performance, mesurant la latence et le débit des transactions pour exécuter les fonctions de contrôle d'accès avec différentes configurations de consensus de réseau blockchain. Nous comparons également les performances du système SmartAccess à deux implémentations Solidity open source de contrôle d'accès basé sur des contrats intelligents, de contrôle d'accès basé sur les rôles et de liste de contrôle d'accès. Enfin, nous discutons des forces et des inconvénients de notre proposition. SmartAccess nécessite les frais généraux d'un système décentralisé, mais le compromis est la transparence, la conformité à la réglementation et l'auditabilité pour le partage de données interorganisations complexes.Translated Description (Spanish)
El intercambio de datos entre organizaciones es un desafío porque todas las organizaciones involucradas deben ponerse de acuerdo sobre "cómo" y "por qué" se procesan los datos. Debido a la falta de transparencia, las organizaciones deben confiar en que otros cumplan con los acuerdos y regulaciones. Proponemos explotar las tecnologías de blockchain y contratos inteligentes para definir un sistema de control de acceso basado en atributos para compartir registros médicos entre organizaciones, acuñado SmartAccess. SmartAccess ofrece un acuerdo conjunto sobre políticas de acceso y control de acceso dinámico además de transparencia y auditabilidad de blockchain. Aprovechamos el sistema basado en atributos Modelo de control de acceso para implementar contratos inteligentes. Los implementamos y probamos en una cadena de bloques privada y autorizada, transformando el proceso de control de acceso en una ejecución distribuida de contratos inteligentes. Este documento propone el sistema SmartAccess y su aplicación en dos casos de uso de atención médica. Introducimos el modelo de amenazas y realizamos un análisis de seguridad del sistema. Para demostrar la viabilidad de nuestra propuesta, implementamos una prueba de concepto de los contratos inteligentes, escrita en lenguaje Solidity, con una representación de políticas de tamaño eficiente, y analizamos la complejidad y escalabilidad de las funciones de los contratos. Además, presentamos los resultados de rendimiento, midiendo la latencia y el rendimiento de las transacciones para ejecutar las funciones de control de acceso con diferentes configuraciones de consenso de red blockchain. También comparamos el rendimiento del sistema SmartAccess con dos implementaciones de Solidity de código abierto de control de acceso basado en contratos inteligentes, Control de acceso basado en roles y Lista de control de acceso. Finalmente, discutimos las fortalezas y desventajas de nuestra propuesta. SmartAccess requiere la sobrecarga de un sistema descentralizado, pero la compensación es la transparencia, el cumplimiento de la regulación y la auditabilidad para el intercambio complejo de datos entre organizaciones.Files
09930340.pdf.pdf
Files
(245 Bytes)
| Name | Size | Download all |
|---|---|---|
|
md5:8ffb53a421c031d60656783e983ebed0
|
245 Bytes | Preview Download |
Additional details
Additional titles
- Translated title (Arabic)
- SmartAccess: نظام التحكم في الوصول القائم على السمات للسجلات الطبية بناءً على العقود الذكية
- Translated title (French)
- SmartAccess : système de contrôle d'accès basé sur les attributs pour les dossiers médicaux basé sur des contrats intelligents
- Translated title (Spanish)
- SmartAccess: Sistema de control de acceso basado en atributos para registros médicos basado en contratos inteligentes
Identifiers
- Other
- https://openalex.org/W4312691519
- DOI
- 10.1109/access.2022.3217201
References
- https://openalex.org/W2076014973
- https://openalex.org/W2102788240
- https://openalex.org/W2126087831
- https://openalex.org/W2151413173
- https://openalex.org/W2266730079
- https://openalex.org/W2392113277
- https://openalex.org/W2522448907
- https://openalex.org/W2736904962
- https://openalex.org/W2791935104
- https://openalex.org/W2805800921
- https://openalex.org/W2809143401
- https://openalex.org/W2914281983
- https://openalex.org/W2923615625
- https://openalex.org/W2937831154
- https://openalex.org/W2959530791
- https://openalex.org/W2963993810
- https://openalex.org/W2988094919
- https://openalex.org/W2999705451
- https://openalex.org/W3030149940
- https://openalex.org/W3035734344
- https://openalex.org/W3090297697
- https://openalex.org/W3110938758
- https://openalex.org/W3130280527
- https://openalex.org/W3130362418
- https://openalex.org/W3136233340
- https://openalex.org/W3151748982
- https://openalex.org/W3180530279
- https://openalex.org/W3201451468
- https://openalex.org/W3206643590