REDCap系統(tǒng)開(kāi)放API安全性的研究與實(shí)踐

耿輝，田國(guó)祥，賀海蓉，馬茂，張勇，曾憲濤，呂軍

開(kāi)放的Web業(yè)務(wù)系統(tǒng)，帶來(lái)跨越時(shí)間和距離的工作流技術(shù)，人們?cè)谙硎芊奖憧旖莸耐瑫r(shí)，也會(huì)因?yàn)榛诟鞣N動(dòng)態(tài)Web技術(shù)開(kāi)發(fā)的B/S（瀏覽器服務(wù)器）模式系統(tǒng)產(chǎn)生的安全隱患而擔(dān)憂，越是深化網(wǎng)站內(nèi)部共享數(shù)據(jù)服務(wù)接口，越是需要對(duì)開(kāi)放平臺(tái)使用者進(jìn)行嚴(yán)格的權(quán)限和安全性審查，對(duì)系統(tǒng)管理者也提出了更高的技術(shù)性要求，REDCap系統(tǒng)提供多種模塊化的API負(fù)責(zé)完成接收請(qǐng)求，身份校驗(yàn)，權(quán)限檢查，行為監(jiān)控，服務(wù)轉(zhuǎn)發(fā)，返回結(jié)果的工作，使得科研人員在一個(gè)web平臺(tái)就可以完成數(shù)據(jù)收集、數(shù)據(jù)過(guò)濾、圖表說(shuō)明、科研統(tǒng)計(jì)等復(fù)雜問(wèn)題。

1 REDCap系統(tǒng)在各種臨床研究項(xiàng)目中的應(yīng)用

電子數(shù)據(jù)采集系統(tǒng)（REDCap）是由范德堡大學(xué)的保羅·哈里斯（PaulHarris）教授團(tuán)隊(duì)開(kāi)發(fā)網(wǎng)絡(luò)應(yīng)用程序，旨在幫助研究人員系統(tǒng)性捕獲臨床研究數(shù)據(jù)、創(chuàng)建研究項(xiàng)目和數(shù)據(jù)庫(kù)。程序基于工作流系統(tǒng)，專(zhuān)注于收集數(shù)據(jù)并將其導(dǎo)出到統(tǒng)計(jì)程序和其他數(shù)據(jù)分析軟件中進(jìn)行專(zhuān)業(yè)數(shù)據(jù)處理，REDCap系統(tǒng)為研究小組收集和存儲(chǔ)的高度敏感信息提供安全的環(huán)境，世界范圍內(nèi)多個(gè)醫(yī)學(xué)研究中心都在使用REDCap系統(tǒng)建立科研項(xiàng)目和數(shù)據(jù)庫(kù)數(shù)據(jù)處理[1,2]。通過(guò)前面文章的介紹[3-6]，相信對(duì)REDCap系統(tǒng)的架設(shè)和應(yīng)用學(xué)者們已經(jīng)有了系統(tǒng)化的認(rèn)識(shí)，下面本文通過(guò)世界范圍內(nèi)REDCap系統(tǒng)在多個(gè)醫(yī)學(xué)行業(yè)的應(yīng)用進(jìn)行介紹：

2017年Kaur等學(xué)者用REDCap系統(tǒng)對(duì)11例患者，3名整容外科醫(yī)生和行政人員進(jìn)行了半結(jié)構(gòu)式訪談，從不同地點(diǎn)（家庭或整容手術(shù)室）收集數(shù)據(jù)，分別使用不同的模式（紙張與電子問(wèn)卷），參與研究的所有人員都更傾向于使用電子問(wèn)卷[7]。2018年2月~3月期間，Hendry等學(xué)者通過(guò)REDCap系統(tǒng)開(kāi)展了一項(xiàng)關(guān)于受過(guò)教育的成年人群的足部疼痛和足部健康調(diào)查，本研究的目的是：描述受過(guò)教育的成年人群的足部疼痛和足部健康特征；探討中度至重度足部疼痛與多種因素之間的關(guān)聯(lián)；評(píng)估中度至重度足部疼痛與足部

功能，足部健康和與健康相關(guān)的生活質(zhì)量間的關(guān)聯(lián)。結(jié)果是在受過(guò)大學(xué)教育的人群中，中度至重度足部疼痛非常普遍，且與女性，高體質(zhì)指數(shù)，拇囊炎，背痛，髖部疼痛和較低的職業(yè)階層獨(dú)立相關(guān)。中、重度足部疼痛的存在與足部功能，足部健康和與健康相關(guān)生活質(zhì)量的較差得分相關(guān)。教育程度與中度至重度足部疼痛無(wú)關(guān)[8]。2018年Varghese等研究者在先前REDCap系統(tǒng)工作基礎(chǔ)上，建立了一個(gè)擁有大量醫(yī)療數(shù)據(jù)模型的歐洲信息基礎(chǔ)設(shè)施，該項(xiàng)目對(duì)所選數(shù)據(jù)模型和用戶定制的最小數(shù)據(jù)集便于研究者對(duì)研究項(xiàng)目早期規(guī)劃和開(kāi)發(fā)。該在線工具提供了用戶便捷開(kāi)展新項(xiàng)目的方法，可重復(fù)使用，從而使項(xiàng)目更好的標(biāo)準(zhǔn)化或從已發(fā)布模型項(xiàng)目中學(xué)習(xí)，成為新研究項(xiàng)目的設(shè)計(jì)藍(lán)圖[9]。2013年6月~2015年12月期間Agrawal SK，Shenoy SS，Nalawade N等開(kāi)展了據(jù)11個(gè)公布的乳腺癌前哨淋巴結(jié)活檢的質(zhì)量指標(biāo)評(píng)價(jià)前哨淋巴結(jié)活檢（SLNB）取代腋窩淋巴結(jié)清掃術(shù)（ALND）作為早期乳腺癌的標(biāo)準(zhǔn)治療方法。研究者用REDCap數(shù)據(jù)系統(tǒng)從所在醫(yī)院接受SLNB的乳腺癌患者中提取臨床，病理和隨訪數(shù)據(jù)。該研究支持SLNB的已發(fā)表質(zhì)量指標(biāo)評(píng)價(jià)在早期乳腺癌患者隊(duì)列中篩查的適用性[10]。2015年鑒于臨床注冊(cè)管理機(jī)構(gòu)需要收集高質(zhì)量準(zhǔn)確的數(shù)據(jù)，但是，目前手動(dòng)收集數(shù)據(jù)存在高錯(cuò)誤風(fēng)險(xiǎn)，羅切斯特大學(xué)神經(jīng)外科學(xué)者Pittman等與該大學(xué)的臨床和轉(zhuǎn)化科學(xué)研究所合作，實(shí)施了生物學(xué)和床邊信息學(xué)與電子數(shù)據(jù)采集（REDCap）系統(tǒng)的整合使用，完成標(biāo)準(zhǔn)化電子數(shù)據(jù)收集[11]。兒科神經(jīng)外科培訓(xùn)不足以應(yīng)對(duì)低收入和中等收入國(guó)家日益增長(zhǎng)的疾病負(fù)擔(dān)， CURE Hydrocephalus和Spina Bifida（CHSB）獎(jiǎng)學(xué)金提供強(qiáng)化的亞專(zhuān)科培訓(xùn)計(jì)劃，旨在為L(zhǎng)MIC的外科醫(yī)生提供最先進(jìn)的手術(shù)技巧和設(shè)備，以最有效地管理兒童期常見(jiàn)的神經(jīng)外科疾病。在烏干達(dá)姆巴萊的CURE兒童醫(yī)院（CCHU）接受為期8周的培訓(xùn)期之前，準(zhǔn)研究員及其家庭機(jī)構(gòu)接受REDCap系統(tǒng)搭建平臺(tái)進(jìn)行全面評(píng)估。截止2018年，該獎(jiǎng)學(xué)金已經(jīng)為20個(gè)不同的中低收入國(guó)家培養(yǎng)了33名外科醫(yī)生，他們每年獨(dú)立完成數(shù)千次腦積水和脊柱裂手術(shù)[12]。2018年英國(guó)的Gardiner MD，Giblin V等學(xué)者對(duì)實(shí)施了基于腹部的微血管乳房重建手術(shù)后恢復(fù)（ERAS）方案進(jìn)行研究意向改善患者的術(shù)后護(hù)理。接受腹部微血管乳房重建的婦女圍手術(shù)期護(hù)理的變化?；赗EDCap系統(tǒng)開(kāi)展整形外科醫(yī)生，麻醉師和主要臨床醫(yī)生調(diào)查用于每個(gè)單元的乳房重建，這些調(diào)查評(píng)估了圍手術(shù)期護(hù)理的大部分方面。這項(xiàng)研究實(shí)踐調(diào)查顯示，接受腹部微血管乳房重建的女性圍手術(shù)期護(hù)理存在差異，本文的學(xué)者們提出一項(xiàng)大型前瞻性實(shí)驗(yàn)，以評(píng)估當(dāng)前的方案并進(jìn)行隨機(jī)對(duì)照試驗(yàn)，以改善目前的護(hù)理方案[13]。Boller等學(xué)者報(bào)告了2013年9月1日~2017年3月31日的來(lái)自美國(guó)獸醫(yī)緊急和重癥監(jiān)護(hù)獸醫(yī)創(chuàng)傷委員會(huì)（VetCOT）登記處的總結(jié)數(shù)據(jù)，多機(jī)構(gòu)獸醫(yī)將具有創(chuàng)傷證據(jù)的狗和貓向獸醫(yī)創(chuàng)傷中心（VTC）提交了數(shù)據(jù)，VetCOT為狗和貓創(chuàng)傷創(chuàng)建了標(biāo)準(zhǔn)化的數(shù)據(jù)收集方法，數(shù)據(jù)被輸入人員錄入REDCap系統(tǒng)包括人口統(tǒng)計(jì)學(xué)數(shù)據(jù)，創(chuàng)傷類(lèi)型（鈍器與穿透），入院前護(hù)理，住院和重癥監(jiān)護(hù)要求，呈現(xiàn)時(shí)的創(chuàng)傷嚴(yán)重程度評(píng)估（例如，改良的格拉斯哥昏迷量表和動(dòng)物創(chuàng)傷分類(lèi)評(píng)分），關(guān)鍵實(shí)驗(yàn)室參數(shù)，外科手術(shù)干預(yù)的必要性以及案件結(jié)果被收集。報(bào)告了每個(gè)物種的描述性數(shù)據(jù)[14]。

2 REDCap系統(tǒng)的API接口模塊安全性設(shè)置

開(kāi)放的系統(tǒng)平臺(tái)也帶來(lái)了同樣多的數(shù)據(jù)安全問(wèn)題，獲取電子化的數(shù)據(jù)集對(duì)于研究者來(lái)說(shuō)非常重要，因?yàn)樗梢灾苯幼鳛轵?yàn)證統(tǒng)計(jì)的公共數(shù)據(jù)源資源，研究者通常通過(guò)網(wǎng)頁(yè)表單和Web服務(wù)API訪問(wèn)此類(lèi)數(shù)據(jù)集?；诰W(wǎng)絡(luò)協(xié)議（如http）的接入技術(shù)已使用了10余年，并且在整個(gè)行業(yè)中被廣泛采用于各種功能（如，搜索，商業(yè)交易和社交媒體），幾乎所有架構(gòu)都采用這些技術(shù)，為用戶提供訪問(wèn)和共享數(shù)據(jù)的工具，提供多種接入點(diǎn)可確保用戶能夠以最簡(jiǎn)單，最有效的方式訪問(wèn)數(shù)據(jù)以滿足其特定需求，越是開(kāi)放的接口越意味著在選擇接入之前，必須了解具體需求和權(quán)衡安全性，后者需要重視第三方應(yīng)用安全漏洞帶來(lái)的隱患而影響系統(tǒng)整體的安全系數(shù)，但是，所有系統(tǒng)都不可能保證100%沒(méi)有安全漏洞，要求所有的第三方開(kāi)發(fā)者開(kāi)發(fā)出非常安全的應(yīng)用也是不現(xiàn)實(shí)的，所以需解決開(kāi)放API后的安全性問(wèn)題，REDCap系統(tǒng)提供了如下幾種方案：①服務(wù)權(quán)限分級(jí)開(kāi)放。在認(rèn)證和授權(quán)中，管理員盡量做到“最小化授權(quán)”。在API服務(wù)里面，對(duì)接入的API的應(yīng)用進(jìn)行數(shù)據(jù)分級(jí)開(kāi)放是非常有必要的，應(yīng)基于接入應(yīng)用使用數(shù)據(jù)進(jìn)行分級(jí)處理。②權(quán)限按需求劃分。權(quán)限按需求分級(jí)的附加目的是識(shí)別可能的風(fēng)險(xiǎn)并使風(fēng)險(xiǎn)可控。比如某第三方應(yīng)用的安全攻擊對(duì)平臺(tái)其它用戶并無(wú)太大影響，而只是影響到該項(xiàng)目使用者自身數(shù)據(jù)。③開(kāi)發(fā)者資格審查。對(duì)于研究項(xiàng)目的管理者而言，針對(duì)某一科研項(xiàng)目的開(kāi)發(fā)者進(jìn)行資質(zhì)審查和必要的安全告知，是系統(tǒng)管理員必須做到的。④第三方應(yīng)用接入審查。應(yīng)用接入審查不僅包括安全檢查，還應(yīng)加入業(yè)務(wù)規(guī)則檢查。

REDCap系統(tǒng)的API接口模塊接口的安全性主要圍繞Token機(jī)制展開(kāi)設(shè)計(jì)，保證接口的數(shù)據(jù)不會(huì)被篡改和重復(fù)調(diào)用，服務(wù)器配置和授權(quán)檢查第一步主要關(guān)注服務(wù)器的登錄帳戶。Token機(jī)制是開(kāi)放平臺(tái)的身份認(rèn)證體系：用戶名和密碼認(rèn)證是身份認(rèn)證體系中的第一道關(guān)卡，進(jìn)入系統(tǒng)后服務(wù)器會(huì)驗(yàn)證用戶是否有權(quán)限調(diào)取該項(xiàng)目進(jìn)行研究，審核通過(guò)后，采用Token授權(quán)機(jī)制，這是第二層關(guān)卡，用戶使用用戶名密碼登錄服務(wù)器后申請(qǐng)一個(gè)特定的Token，并將Token以鍵值對(duì)的形式存放在服務(wù)器上，經(jīng)過(guò)用戶的下載后，使用第三方軟件開(kāi)發(fā)時(shí)向服務(wù)端發(fā)送Token驗(yàn)證請(qǐng)求，服務(wù)器接收到請(qǐng)求后進(jìn)行Token驗(yàn)證是否存在，不存在則說(shuō)明請(qǐng)求無(wú)效并拋棄。Token機(jī)制作為獨(dú)立的安全主體，對(duì)來(lái)自安全邊界以外的每一次訪問(wèn)請(qǐng)求都需要做獨(dú)立的身份認(rèn)證，通常REDCap系統(tǒng)需要認(rèn)證兩類(lèi)身份：一類(lèi)身份是應(yīng)用身份，一類(lèi)是用戶身份。針對(duì)應(yīng)用身份的認(rèn)證一般是通過(guò)用戶的授權(quán)碼（Token）完成的。這個(gè)機(jī)制中，需要開(kāi)放平臺(tái)生成的應(yīng)用授權(quán)碼具備以下特性以確保安全：①唯一性。每個(gè)Token必須唯一標(biāo)示一個(gè)指定用戶身份防止冒用。②不可破解。Token的生成方式必須是隨機(jī)因子，使它難以被暴力破解。③時(shí)效性。盡管開(kāi)放平臺(tái)基于方便開(kāi)發(fā)者和使用者的考慮，對(duì)Token的時(shí)效性沒(méi)有做要求，但是從安全管理的角度，為T(mén)oken設(shè)置一個(gè)有效期并實(shí)行過(guò)期提醒策略，督促開(kāi)發(fā)者和使用者更新Token，這是非常有必要的，過(guò)期時(shí)間一般設(shè)為6個(gè)月左右對(duì)一個(gè)科研項(xiàng)目來(lái)說(shuō)比較合適。④項(xiàng)目管理者或系統(tǒng)管理員應(yīng)提供Token暫時(shí)失效能力。即項(xiàng)目開(kāi)發(fā)者或使用者發(fā)現(xiàn)身份被盜用后迅速通知管理員切斷Token的登陸機(jī)制，該能力應(yīng)常備作為REDCap系統(tǒng)的運(yùn)維團(tuán)隊(duì)作處理緊急情況使用。

3 基于REDCap系統(tǒng)保證API接口安全模塊的有效性

對(duì)于REDCap系統(tǒng)而言，開(kāi)放API接口意味著數(shù)據(jù)庫(kù)需要承受更大的風(fēng)險(xiǎn)，因此權(quán)限檢查是必需的，應(yīng)做到如下幾點(diǎn)：①系統(tǒng)管理員通過(guò)服務(wù)器控制中心的“瀏覽用戶”部分驗(yàn)證用戶是否擁有系統(tǒng)帳戶；②系統(tǒng)管理員需要在項(xiàng)目的“用戶權(quán)限”部分中驗(yàn)證用戶是否擁有執(zhí)行該項(xiàng)目的權(quán)限，特別需要注意的是如果一個(gè)用戶的用戶名和密碼雖然不能登陸，系統(tǒng)管理員核發(fā)給用戶的API接口仍然有效，因?yàn)镽EDCap系統(tǒng)API調(diào)用機(jī)制是使用令牌而不是密碼；③系統(tǒng)管理員應(yīng)通過(guò)服務(wù)器控制中心的“瀏覽用戶”部分核實(shí)用戶是否已經(jīng)通過(guò)電子郵件驗(yàn)證其帳戶，合法使用API的用戶應(yīng)該擁有“已驗(yàn)證”的標(biāo)簽和圖標(biāo)（圖1粉紅色圈中標(biāo)出）。

3.1 系統(tǒng)管理員應(yīng)驗(yàn)證用戶是否已獲得該項(xiàng)目的導(dǎo)入、導(dǎo)出權(quán)限 可在項(xiàng)目中的“用戶權(quán)限”部分或API部分中進(jìn)行驗(yàn)證（圖2）。

3.2 通過(guò)驗(yàn)證并核實(shí)無(wú)誤后，系統(tǒng)管理員授予合法用戶使用API接口令牌的權(quán)限 指導(dǎo)其使用。

3.3 REDCap系統(tǒng)的API每次執(zhí)行完函數(shù)會(huì)返回一個(gè)HTTP狀態(tài)代碼 下面是可能從API返回所有HTTP代碼以及每個(gè)代碼表示的內(nèi)容的完整列表。

圖1 用戶郵箱已驗(yàn)證示意圖

圖2 系統(tǒng)管理員授予用戶API接口權(quán)限

4 結(jié)語(yǔ)

REDCap系統(tǒng)開(kāi)放API接口能夠?yàn)橛脩艨缭蕉鄠€(gè)行業(yè)領(lǐng)域進(jìn)行數(shù)字業(yè)務(wù)整合，但是開(kāi)放的接口必然為管理人員帶來(lái)更高的技術(shù)性上安全性要求，REDCap系統(tǒng)提供了標(biāo)準(zhǔn)化的API后，即可將多個(gè)支持該標(biāo)準(zhǔn)第三方的應(yīng)用接入開(kāi)放平臺(tái)。本文通過(guò)對(duì)開(kāi)放API的安全性問(wèn)題進(jìn)行系統(tǒng)化介紹，期望引起項(xiàng)目管理人員對(duì)開(kāi)放API后數(shù)據(jù)安全性預(yù)先做以全面的規(guī)劃和架構(gòu)，避免出現(xiàn)惡意程序攻擊系統(tǒng)導(dǎo)致數(shù)據(jù)崩潰而無(wú)法挽救的情況。