基于物联网的安全医疗大数据系统技术方案

本发明专利技术涉及一种基于物联网的安全医疗大数据系统。物联网采集患者的生理数据，并将其汇聚到电子医疗文档中；医疗系统中的大数据外包给云平台进行存储；患者通过无交互方式为物联网中的节点分发群组密钥，节点用其加密物联网数据；患者收到物联网中的加密数据后，可通过批量认证方法来实现高效的数据认证。本发明专利技术设计了轻量级的访问控制方法来实现大数据安全、高效的共享，防止数据被未授权者访问；此外，设计了基于关键词匹配的访问策略更新机制；患者只需向云平台发送包含关键词和新访问策略的更新请求，即可由云平台高效地实现基于关键词匹配的大数据策略更新，并且此过程不会泄露任何关于关键词和医疗文档的明文信息。

【技术实现步骤摘要】
基于物联网的安全医疗大数据系统
本专利技术涉及一种基于物联网的安全医疗大数据系统。
技术介绍
物联网的快速发展极大的改变了我们的日常生活，在电子医疗领域的表现尤为突出。患有慢性疾病或者重病的患者可以通过配备植入型或者穿戴型医用传感器，来监控各种生理数据。医疗节点采集患者的生理数据，并通过网络将数据汇集成电子医疗文档。随着数据的增加，患者的电子医疗文档构成医疗大数据，并因此带来了许多挑战，比如数据的隐私性、可搜索性、更新和共享问题。为了处理这些问题，急需设计一个基于物联网的安全医疗大数据系统。在医疗物联网中，患者的生理数据可能会泄漏个人隐私，应该加密以保证机密性。密钥分配在物联网中是一个重要问题，患者的网关设备和所有医疗节点共享相同的物联网对称密钥。在现有的方案中，网关设备和医疗节点之间需要交互进行密钥协商，而交互过程会消耗大量的传输和计算资源。考虑到微型医疗传感器的电量低、计算能力弱，希望可以在无需交互的情况下进行物联网群组密钥(在患者和医疗节点之间)的分发，并同时保证密钥的安全性。物联网密钥分发后，医疗节点使用物联网密钥加密患者的生理数据，并将其传输给患者。为了防止假冒攻击，患者对物联网密文进行认证，以确保消息是由其物联网网络中的节点发送的。为了提高认证速度，需要设计批量验证方法。医疗大数据系统中的电子医疗文档也需要隐私保护，并且由患者和授权用户共享使用。基于属性的加密(ABE)提供了一种实现细粒度访问控制的方法，并且适用于医疗大数据系统。本专利技术为系统用户分配属性密钥，并且用访问策略对患者的电子医疗文档进行加密，只有具有相应属性密钥的用户才能解密患者的加密电子医疗文档。由于加密的电子医疗文档存储在云平台而不是在本地，在医疗大数据环境下，访问策略更新将是一个重大挑战。一种方法是让患者下载所有拥有旧访问策略的电子医疗加密文档，全部解密，然后再使用新的访问策略重新加密，这种方法在医疗大数据环境下显然是不现实的。这将为患者的医疗设备带来沉重的传输和计算负担。另一方面，患者希望更好地控制访问策略的更新机制，使得只有包含了特定关键词的加密电子医疗文档才能更新访问策略。现有的其他方案中均没有考虑并解决这个问题。物联网包含了大量的安全和隐私问题。Arias等人分析了可穿戴设备的硬件安全性和可穿戴物联网系统的用户隐私。针对动态的物联网应用，研究安全存储和转发代理问题。在智能城市物联网应用中设计了相互认证协议，该协议是基于错误学习的复杂性假设构造的。Zhang等人为医疗系统提出了一个支持动态认证的三因素密钥协商协议；另一个协议是针对多网关物联网提出的。Liu等人设计了一个Merkle哈希树来实现大数据存储系统中的公共审计。可搜索的加密技术是一种能够实现密文检索功能的技术。2004年，Boneh等人提出公钥可搜索加密体制。Xu等人研究了模糊关键词搜索。Wang等人提出了一个外包云数据的排序关键词搜索方案，Cao等人构建了一个支持多个关键字的排序搜索方案。Cash等人提出了一个动态的可搜索加密系统，适用于大型数据库。Li等人研究移动云应用中可搜索加密的保护质量和体验质量问题。Yang等人研究了连结关键字搜索和时间控制授权问题，并构建了一个具体的可搜索加密系统。Goyal等人提出了基于属性的加密(ABE)的概念。Yang等人提出可共享和可追踪的ABE方案，并研究在紧急情况下的紧急接入访问。
技术实现思路
本专利技术的目的在于针对有的方案中，无法高效处理医疗大数据中数据的隐私保护、批量验证、策略更新和计算开销大等问题，提供一种基于物联网的安全医疗大数据系统。为实现上述目的，本专利技术的技术方案是：一种基于物联网的安全医疗大数据系统，包括可信中心TA、患者PA、医疗节点MN、用户U、云平台；所述可信中心TA，负责生成公开参数和主密钥；同时可信中心TA也要为患者和用户生成公钥/私钥对；所述患者PA，由医疗物联网监测其病情，并负责为医疗物联网中的医疗节点MN生成公钥/私钥对；患者PA还需生成医疗物联网中的密钥以确保医疗物联网中的消息保密传输；从医疗物联网收集的加密数据被汇总到电子医疗文档中，并由患者PA通过进行加密，使得只有指定的授权用户才能解密电子医疗文档；患者PA还能够利用基于关键字匹配的访问策略更新机制，来更新云服务器中存储的加密电子医疗文档的预定义访问策略；所述医疗节点MN，负责在患者PA的医疗物联网中收集生理数据，并使用医疗物联网密钥对其进行加密；然后，医疗节点MN将加密的医疗物联网消息发送给患者PA；所述用户U，从可信中心TA获得属性公钥、私钥对；若用户U的属性满足电子医疗文档的访问策略，则能够使用属性私钥对患者PA的电子医疗保密文档进行解密；所述云平台，负责存储加密的电子医疗文档；接收到患者PA发送的基于关键词匹配的访问策略后，云平台运行密文更新算法，查找匹配的电子医疗文档密文，并更新访问策略。在本专利技术一实施例中，该系统的建立过程如下：输入安全参数κ，可信中心TA选择一个κ比特的素数p；选择双线性映射参数(e,G,GT,g)，其中g是G的一个生成元；选择哈希函数选择安全对称加密/解密对SEnc/SDec和密钥空间选择g1∈G；计算g2＝gβ，θ＝e(g,g)，θα＝e(g,g)α；生成公开参数PP＝(g,g1,g2,θα)以及系统主密钥MSK＝(α,β,a)。在本专利技术一实施例中，患者PA密钥生成过程如下：输入PP,MSK以及属性集可信中心TA运行患者密钥生成算法生成患者PA的公钥/私钥对PKPA/SKPA：计算PIDPA＝SEnc(PA,H0(α,β))；选择计算生成患者PA的公钥PKPA＝(wPA,1,wPA,2,wPA,3)；设置dPA,1＝αPA,dPA,2＝γPA；计算fori＝1tonPAdo；计算生成患者PA的私钥在本专利技术一实施例中，用户U密钥生成过程如下：输入MSK，属性集可信中心TA运行用户密钥生成算法生成用户U的公钥/私钥对PKU/SKU：计算PIDU＝SEnc(U,H0(α,β))；选择计算生成用户U的公钥PKU＝(wU,1,wU,2,wU,3)；设置dU,1＝αU,dU,2＝γU；计算fori＝1tonUdo；计算生成用户U的私钥在本专利技术一实施例中，医疗物联网中的医疗节点MN密钥生成过程如下：输入SKPA，患者PA在医疗物联网中的医疗节点MN运行医疗节点密钥生成算法，生成医疗节点MN的公钥/私钥对PKMN/SKMN：患者PA计算PIDMN＝SEnc(MN,H0(SKPA))；选择生成医疗节点MN的公钥计算生成医疗节点MN的私钥SKMN＝(f1,f2)。在本专利技术一实施例中，患者PA生成医疗物联网中的密钥以确保医疗物联网中的消息保密传输，以及从医疗物联网收集的加密数据被汇总到电子医疗文档的具体实现过程如下：假设是患者PA的医疗物联网中的医疗节点集合；为了保证隐私保护的物联网数据的传输，患者PA利用自身的私钥SKPA，运行医疗物联网群组密钥分发算法，生成一个医疗物联网密钥k和密钥提取辅助信息KEA＝(b1,b2,b3,b4,TSPA)，其中TSPA是一个时间戳，用于抵抗重放攻击：患者PA选择计算医疗物联网密钥计算计算设置KEA＝(b1,b2,b3,b4,TSPA)；医疗节点MNi∈∑MN(1≤i≤n)收到本文档来自技高网...

【技术保护点】
一种基于物联网的安全医疗大数据系统，其特征在于：包括可信中心TA、患者PA、医疗节点MN、用户U、云平台；所述可信中心TA，负责生成公开参数和主密钥；同时可信中心TA也要为患者和用户生成公钥/私钥对；所述患者PA，由医疗物联网监测其病情，并负责为医疗物联网中的医疗节点MN生成公钥/私钥对；患者PA还需生成医疗物联网中的密钥以确保医疗物联网中的消息保密传输；从医疗物联网收集的加密数据被汇总到电子医疗文档中，并由患者PA通过进行加密，使得只有指定的授权用户才能解密电子医疗文档；患者PA还能够利用基于关键字匹配的访问策略更新机制，来更新云服务器中存储的加密电子医疗文档的预定义访问策略；所述医疗节点MN，负责在患者PA的医疗物联网中收集生理数据，并使用医疗物联网密钥对其进行加密；然后，医疗节点MN将加密的医疗物联网消息发送给患者PA；所述用户U，从可信中心TA获得属性公钥、私钥对；若用户U的属性满足电子医疗文档的访问策略，则能够使用属性私钥对患者PA的电子医疗保密文档进行解密；所述云平台，负责存储加密的电子医疗文档；接收到患者PA发送的基于关键词匹配的访问策略后，云平台运行密文更新算法，查找匹配的电子医疗文档密文，并更新访问策略。...

【技术特征摘要】
1.一种基于物联网的安全医疗大数据系统，其特征在于：包括可信中心TA、患者PA、医疗节点MN、用户U、云平台；所述可信中心TA，负责生成公开参数和主密钥；同时可信中心TA也要为患者和用户生成公钥/私钥对；所述患者PA，由医疗物联网监测其病情，并负责为医疗物联网中的医疗节点MN生成公钥/私钥对；患者PA还需生成医疗物联网中的密钥以确保医疗物联网中的消息保密传输；从医疗物联网收集的加密数据被汇总到电子医疗文档中，并由患者PA通过进行加密，使得只有指定的授权用户才能解密电子医疗文档；患者PA还能够利用基于关键字匹配的访问策略更新机制，来更新云服务器中存储的加密电子医疗文档的预定义访问策略；所述医疗节点MN，负责在患者PA的医疗物联网中收集生理数据，并使用医疗物联网密钥对其进行加密；然后，医疗节点MN将加密的医疗物联网消息发送给患者PA；所述用户U，从可信中心TA获得属性公钥、私钥对；若用户U的属性满足电子医疗文档的访问策略，则能够使用属性私钥对患者PA的电子医疗保密文档进行解密；所述云平台，负责存储加密的电子医疗文档；接收到患者PA发送的基于关键词匹配的访问策略后，云平台运行密文更新算法，查找匹配的电子医疗文档密文，并更新访问策略。2.根据权利要求1所述的一种基于物联网的安全医疗大数据系统，其特征在于：该系统的建立过程如下：输入安全参数κ，可信中心TA选择一个κ比特的素数p；选择双线性映射参数(e,G,GT,g)，其中g是G的一个生成元；选择哈希函数选择安全对称加密/解密对SEnc/SDec和密钥空间选择α，β，g1∈G；计算g2＝gβ，θ＝e(g,g)，θα＝e(g,g)α；生成公开参数PP＝(g,g1,g2,θα)以及系统主密钥MSK＝(α,β,a)。3.根据权利要求2所述的一种基于物联网的安全医疗大数据系统，其特征在于：患者PA密钥生成过程如下：输入PP,MSK以及属性集S＝(attr1,...,attrnPA)，可信中心TA运行患者密钥生成算法生成患者PA的公钥/私钥对PKPA/SKPA：计算PIDPA＝SEnc(PA,H0(α,β))；选择计算生成患者PA的公钥PKPA＝(wPA,1,wPA,2,wPA,3)；设置dPA,1＝αPA,dPA,2＝γPA；计算fori＝1tonPAdo；计算生成患者PA的私钥4.根据权利要求3所述的一种基于物联网的安全医疗大数据系统，其特征在于：用户U密钥生成过程如下：输入MSK，属性集可信中心TA运行用户密钥生成算法生成用户U的公钥/私钥对PKU/SKU：计算PIDU＝SEnc(U,H0(α,β))；选择计算生成用户U的公钥PKU＝(wU,1,wU,2,wU,3)；设置dU,1＝αU,dU,2＝γU；计算fori＝1tonUdo；计算生成用户U的私钥5.根据权利要求3所述的一种基于物联网的安全医疗大数据系统，其特征在于：医疗物联网中的医疗节点MN密钥生成过程如下：输入SKPA，患者PA在医疗物联网中的医疗节点MN运行医疗节点密钥生成算法，生成医疗节点MN的公钥/私钥对PKMN/SKMN：患者PA计算PIDMN＝SEnc(MN,H0(SKPA))；选择生成医疗节点MN的公钥计算生成医疗节点MN的私钥SKMN＝(f1,f2)。6.根据权利要求5所述的一种基于物联网的安全医疗大数据系统，其特征在于：患者PA生成医疗物联网中的密钥以确保医疗物联网中的消息保密传输，以及从医疗物联网收集的加密数据被汇总到电子医疗文档的具体实现过程如下：假设是患者PA的医疗物联网中的医疗节点集合；为了保证隐私保护的物联网数据的传输，患者PA利用自身的私钥SKPA，运行医疗物联网群组密钥分发算法，生成一个医疗物联网密钥k和密钥提取辅助信息KEA＝(b1,b2,b3,b4,TSPA)，其中TSPA是一个时间戳，用于抵抗重放攻击：患者PA选择...

【专利技术属性】
技术研发人员：杨旸，穆轲，郭文忠，
申请(专利权)人：福州大学，
类型：发明
国别省市：福建,35