一种多云多链协同的电子医疗数据安全共享方法技术

一种多云多链协同的电子医疗数据安全共享方法，包括以下步骤：步骤一，构建多云多链协同模式的架构，该架构以层次化方式呈现，包括多云层、多链层、用户层和管理层；步骤二，多匿名化医疗数据存储阶段；步骤三，链上数据投影阶段；步骤四，零信任中转访问阶段；联盟用户请求访问电子医疗数据时，需要先通过零信任认证，然后以机密性中转的方式，在共享池获得请求的医疗数据；具有抗窃取、防篡改、患者身份多匿名化、跨区域和跨机构共享的特点。跨区域和跨机构共享的特点。跨区域和跨机构共享的特点。

【技术实现步骤摘要】
一种多云多链协同的电子医疗数据安全共享方法


[0001]本专利技术属于电子医疗数据共享
，具体涉及一种多云多链协同的电子医疗数据安全共享方法。

技术介绍

[0002]电子医疗数据中通常记录了患者从就医到治疗结束所有的有关病情变化、检查报告、治疗过程等数据。数字化医院的不断增多使得电子医疗数据呈爆发式增长，始终保持着较高的增长速度。然而，电子医疗数据的存储大多缺乏互通，形成了一座座信息孤岛。当患者从一家医院换到另一家医院时，之前的所有电子医疗数据都无法共享，对于患者和医院都是一种损失。电子医疗数据的共享在提升医疗质量、控制医疗成本、提升科研水平，以及推动公共卫生领域的进步等方面起着至关重要的作用。
[0003]长期以来，电子医疗数据一直是被窥伺的主要目标。新冠疫情爆发，重创全球经济、政治、医疗和社会体系的同时，更是也让医疗和公共卫生部门的网络安全风险急剧增加，成为网络攻击的主要目标。然而，目前的医疗安全防御体系主要是抑制来自外部威胁的数据窃取。随着APT攻击、供应链攻击、勒索、木马入侵手段的日趋成熟，攻击者可以在医院内部控制失陷主机，进行窃取和篡改电子医疗数据。内部威胁的存在，不但严重影响医疗业务系统的运行，还将给电子医疗数据共享的安全保障带来严峻挑战。
[0004]现如今，医疗信息系统已成为国家关键信息基础设施保护和个人信息保护的重点。保障医疗数据不泄露、防篡改，实施有效隔离的安全共享，成为决定医疗数字化成败的关键因素。鉴于此，有必要采取更可靠和高效的电子医疗数据共享模式，防范潜在的内部失陷主机威胁，为我国蓬勃发展的数字化医疗行业提供安全保障和技术支持。
[0005]随着数字化医院的建设，实现文字、图像、语音、数据、图表等信息数字化采集、存储、阅读、检索的医院信息体系已经相对成熟,主要包括医院信息系统(Hospital information system,HIS)、临床管理信息系统(Clinic information system,CIS)、医学影像归档和通信系统(Picture archiving and communication systems,PACS)、实验室检验信息系统(Laboratory information system,LIS)和电子病历(Electronic medical record,EMR)等。
[0006]一般来说，医院信息系统产生的医疗数据可以分为两类：结构化和非结构化。结构化数据主要为数值或文字性数据。非结构化数据指的是医疗过程中产生的图片、音频、视频等数据，如影像、B超、心电、内窥镜、手术、重症监护等。目前，电子医疗数据共享主要有区块链、云储存和云链协同三种方式。
[0007]区块链(Blockchain)作为一种去中心化的分布式账本，不需要与第三方机构或管理员进行合作，链中所有用户都可以作出决定，并且具有独特的数据信任保护机制以及强大的数据防篡改能力。这为医疗数据共享提供了一条可行之道。一种基于区块链的共享医疗数据系统(Xia Q I,Sifah E B,Asamoah K O,et al.MeDShare:Trust
‑
less medical data sharing among cloud service providers via blockchain[J].IEEE Access,
2017,5:14757
‑
14767)，利用区块链防篡改的特点对共享医疗数据的使用活动进行细粒度跟踪，将数据隐私风险降到了最低。一种基于联盟链的具有隐私保护功能的医疗数据共享方案(LIU J,LIANG T,SUN R,et al.APrivacy
‑
Preserving Medical Data Shaing Scheme Based on Consortium Blockchain[C].GLOBECOM 2020
‑
2020IEEE Global Communications Conference.IEEE,2020:1
‑
6.)，该方案设计了一个条件匿名跟踪机制来保护用户的隐私。利用区块链技术保护患者医疗数据的隐私安全(KUO T T,OHNO
‑
MACHADO L.Modelchain:Decentralized privacy
‑
preserving healthcare predictive modeling framework on private blockchain networks[J].arXiv preprint arXiv:1802.01746,2018)，同时可增强各种机构之间对数据的互操作性。翟社平、汪一景、陈思吉等人提出将电子病历用于共享(翟社平,汪一景,陈思吉.区块链技术在电子病历共享的应用研究.西安电子科技大学学报,2020)，构建私有链与联盟链分别存储用户加密的电子病历与安全索引记录。牛淑芬,刘文科等人提出了一种区块链上基于可搜索加密的电子病历共享方案(牛淑芬,刘文科,陈俐霞,王彩芬,杜小妮.基于联盟链的可搜索加密电子病历数据共享方案[J].通信学报,2020,41(8):204
‑
214)，在该方案中使用服务器存储电子病历，私有链存储密文哈希值，用联盟链存储关键字索引，最终实现电子病历的安全存储与共享。为了获得更快的区块创建速度，区块链的容量设计通常是1MB。电子化的医疗数据除了文本类型，还包括大尺寸的图片、音频、视频等数据，难以存储于区块链中。
[0008]云计算凭借其高效的计算能力和强大的存储空间，可以在医疗数据领域中有效减轻存储压力和处理压力。患者、医疗机构和研究机构到大型合作机构都希望将他们获取的数据存储在云中。一个医疗数据云平台(Sudheep K,Joseph S.Review on Securing Medical Big Data in Healthcare Cloud[C]//2019 5th International Conference on Advanced Computing&Communication Systems(ICACCS).IEEE,2019:212
‑
215)，将处理后的医疗数据集合上传到云中，实现了高效的访问和移动性。一种基于云的电子病历系统(Liu Z,Weng J,Li J,et al.Cloud
‑
based electronic health record system supporting fuzzy keyword search[J].Soft Computing,2016,20(8):3243
‑
3255)，支持模糊关键字搜索，以确保数据的安全共享和电子病历的有效利用。张键红等人提出了一种基于云计算的隐私保护患者医疗信息共享方案(张键红,武梦龙,王晶,等.云环境下安全的可验证多关键词搜索加密方案[J].通信学报,2021,42(4):139...

【技术保护点】

【技术特征摘要】
1.一种多云多链协同的电子医疗数据安全共享方法，其特征在于，包括以下步骤：步骤一，构建多云多链协同模式的架构，该架构以层次化方式呈现，包括多云层、多链层、用户层和管理层；多云层：每家医院拥有一个专有云，存储其产生的各种类型医疗数据。专有云中的医疗数据在本地可以直接访问，联盟用户之间不能直接访问，只能将数据加密投入到共享池中进行获取；多链层：医院提供门诊、急症、住院、手术、检查的就医部门，患者在这些部门就医服务过程中，产生的医疗数据可分别投影到门诊区块链、急症区块链、住院区块链、手术区块链和检查区块链，加上记录数据访问日志和用户行为的区块链，形成多链区分记录方式；用户层：联盟用户包括医院、医疗科研机构、执法部门、保险公司，医院在医疗数据共享中同时扮演着贡献者和访问者的角色，也承担着区块的生成和验证，具有区块链矿工的职责，医疗科研机构可以访问将患者信息脱敏处理后的数据，用于科学研究，出现医患纠纷时，执法部门可以介入访问医疗数据，确认医保赔偿时，保险公司可以部分访问医疗数据；管理层：由数字证书颁发机构、密钥管理机构、管理证书撤销列表、匿名服务器、数据共享管理者认证体系构成，并部署于卫生主管机构的多台服务器上，管理层只执行认证和授权功能，不存储任何的医疗数据，可以有效减轻其负载压力；其中，数字证书颁发机构负责联盟用户的数字证书申请和颁发；密钥管理机构负责联盟用户的永久密钥和零时密钥；匿名服务器负责患者的身份匿名化，保护患者的身份隐私；联盟用户请求访问医疗数据时，数据共享管理者不仅在数字证书颁发机构处验证其数字证书，还要在管理证书撤销列表上检验数字证书是否失效，才能认证通过和确认身份，并给予相应的访问权限；步骤二，多匿名化医疗数据存储阶段患者在不同医院就医产生的数据进行多匿名化存储，多匿名化医疗数据存储方法的实现包括三个阶段：患者身份多匿名化、专有云加密存储和链上数据投影；引入多匿名化存储，每个患者到医疗机构联盟中的医院就医时都会得到一个匿名身份，并且在不同医院得到的匿名身份都不重复；步骤三，链上数据投影阶段HBM
k
将EMD
jk
提取为投影DS
jk
＝{PID
jk
,HBM
k
,C
jk
,sp
jk
,E
PKj
(access
jk
),Sig
SKk
(EMD
jk
),Sig
SKj
(EMD
jk
),AD
jk
,mdt
jk
}，并打包到对应的链上区块中，其中，sp
jk
为EMD
jk
的存储路径，E
PKj
(access
jk
)为EMD
jk
的访问口令，联盟用户在患者知晓和许可的情况下，患者使用私钥解密E
PKj
(access
jk
)后，才有机会访问EMD
jk
，Sig
SKk
(EMD
jk
),Sig
SKj
(EMD
jk
)分别为HBM
k
和患者对EMD
jk
的签名，AD
jk
表示对EMD
jk
的摘要信息描述；步骤四，零信任中转访问阶段联盟用户请求访问电子医疗数据时，遵循永不信任，始终认证的零信任思想，联动数据共享管理者、患者、数据所在医院进行一系列的认证和加解密操作，中转请求访问的医疗数据到共享池，访问完成后，共享池中的数据自动销毁，零信任认证的核心组件可嵌入到医疗机构联盟管理层的数据共享管理者中。2.根据权利要求1所述的一种多云多链协同的电子医疗数据安全共享方法，其特征在于，所述的患者身份多匿名化，包括以下步骤：Step1，患者选取一个随机数据r
jk
作为匿名参数，向匿名服务器发出匿名服务请求AR
[ID
j
]＝E
PKAS
(r
jk
||ID
j
||Sig
SKj
(r
jk
)||iat1)，其中，PKAS为匿名服务器的公钥，Sig
SKj
(r
jk
)为患者对r
jk
的签名，SKj为患者的私钥，iat1为该请求消息的时间戳，匿名服务器为患者持有一个匿名参数列表Ξ
j
，检查r
jk
是否在Ξ
j
中，主要是避免患者在医疗机构联盟上出现匿名身份重复；如果r
jk
∈Ξ
j
，匿名服务器要求患者再选择一个随机数，重新发送匿名服务请求，直至不重复，如果匿名服务器计算身份匿名PID
jk
＝h
A
(ID
j
*r
jk
)，其中，h
A
(
·
)为一个执行匿名运算的哈希函数，具有不可逆和抗碰撞性，匿名服务器向患者发送匿名服务响应ASR[AS]＝E
PKj
(PID
jk
||Sig
SKAS
(PID
jk
)||iat2)，其中，PKj为患者的公钥，Sig
SKAS
(PID
jk
)为匿名服务器对PID
jk
的签名，SKAS为匿名服务器的私钥，iat2为该响应消息的时间戳；Step2，患者用SKj解密ASR[AS]，得到匿名身份PID
jk
，医疗机构联盟上的医院构成集合Η＝{HBM1,
…
,HBM
k
,
…
,HBM
h
}，匿名服务器为患者持有的匿名身份列表记为Γ
j
，可在匿名服务器处运行算法1实现患者身份多匿名化；具有匿名身份后，患者去HBM
k
就医，只需进行匿名身份验证即可；所述的算法1为：输入Η,Ξ
j
,Γ
j
,ID
j
，首先初始化m为0，Γ
j
为当患者去某家医院HBM
k
就医，患者首先选择一个随机数r
jk
作为匿名参数，如果r
jk
已存在于匿名参数列表Ξ
j
中，则患者必须重新选择新的r
jk
；否则将r
jk
放入到Ξ
j
，并计算患者在HBM
k
中的匿名身份PID
jk
＝h
A
(ID
j
*r
jk
)，最终将其在HBM
k
中的匿名身份添加到患者持有的匿名身份列表Γ
j
中，对于医疗联盟机构中的每家医院，进行循环计算，最终输出患者的匿名身份列表Γ
j
，其中包含了患者在所有医院所具有的不同的匿名身份信息。3.根据权利要求2所述的一种多云多链协同的电子医疗数据安全共享方法，其特征在于，所述的匿名身份验证，具体包括以下步骤：步骤1，患者向HBM
k
发送匿名身份备案AIB[ID
j
]＝E
PKk
(PID
j
||Sig
SKj
(PID
j
)||pvt1)，其中，PK
k
为HBM
k
的公钥，Sig
SKj
(PID
jk
)为患者对PID
jk
的签名，pvt1为该备案消息的时间戳；步骤2，HBM
k
向匿名服务器发送关于患者匿名身份验证AIV[HBM
k
]＝E
PKAS
(PID
jk
||||Sig
SKk
(PID
jk
)||pvt2)，其中，Sig
SKk
(PID
jk
)为HBM
k
对PID
jk
的签名，SK
k
为HBM
k
的私钥，pvt2为该验证消息的时间戳；步骤3，匿名服务器在Γ
j
上验证PID
jk
的存在性，如果PID
jk
∈Γ
j
，验证结果v
jk
＝1，如不是，v
jk
＝0，匿名服务器向HBM
k
返回匿名身份确认AIC[AS]＝E
PKk
(v
jk
||Sig
SKAS
(v
jk
)||pvt3)，其中，Sig
SKAS
(v
jk
)为AS对v
jk
的签名，pvt3为该验证消息的时间戳；步骤4，HBM
k
用SK
k
解密AIC[AS]后，如果v
jk
＝1，则使用PID
jk
为患者匿名化存储医疗数据，如果v
jk
＝0，患者在HBM
k
处的就医服务申请则难以通过；患者在HBM
k
处就医完成后，产生的医疗数据MD
jk
＝{C
jk
,Data
jk
,mdt
jk
}必须加密存储到PCloud
k
，其中，C
jk
的取值范围Λ＝{1,2,3,4,5}分别对应着{门诊,急诊,住院,手术,检查}，Data
jk
为患者在就医过程中产生的所有电子病历、治疗记录、诊断报告，C
jk
可以取Λ的子集或全集，mdt
jk
为MD
jk
的产生时间；对于PCloud
k
上的医疗数据本地访问，HBM
k
有权限直接访问，而患者要向HBM
k
申请才能访问，因此，可用PK
k
加密MD
jk
，记为EMD
jk
，联盟用户未经许可，则难以解密EMD
jk
和获得MD
jk
，从而有效保障了患者隐私和医疗数据共享的安全性。4.根据权利要求1所述的一种多云多链协同的电子医疗数据安全共享方法，其特征在于，所述的步骤中，零信任中转访问包括以下六个阶段：
边界控制策略：零信任网关判断AU
i
的访问请求。若合理，转发给零信任认证引擎；认证策略：零信任认证引擎始终对AU
i
的身份进行查检，将认证结果发送给零信任访问控制引擎；访问裁决策略：认证结果到达访问控制引擎时，根据预设的策略集，进行访问控制裁决；审计策略：零信任审计引擎根据裁决结果，进行异常审计。若安全，则通知零信任网关给予访问权限；授权策略：零信任网关根据AU
i
的类型，在访问权限集Σ中授予相应权限ar
i
，访问权限集Σ＝{1,2,3,4,}分别对应着{至高,高级,中级,低级}，至高权限表示可以访问患者的所有电子医疗数据，高级权限可以访问部分数据，中级权限可以访问脱敏后的医疗数据，低级权限只可访问诊断证明、电子发票、费用明细等有限的医疗数据，同时，零信任网关凭借PID
jk
在AS处关联出患者的所有多匿名身份，然后根据请求的数据类型同时在多条区块链上展开搜索，将查询到的投影数据加载到搜索结果sr
i
中，反馈给AU
i
；中转共享策略：AU
i
根据搜索结果中的投影数据，查找到请求的电子医疗数据位于HBM
p
处后，立即启动机密性中转访问控制协议，根据搜索结果sr
i
，联盟用户虽然可以知道所请求数据的存储路径、摘要信息、访问口令等，但不能直接访问，需要将授权ar
i
和sr
i
发送给电子医疗数据所在的医院，从零信任网关确认该...

【专利技术属性】
技术研发人员：冯景瑜，汪涛，于婷婷，张文波，黄文华，
申请(专利权)人：西安邮电大学，
类型：发明
国别省市：