【技术实现步骤摘要】
一种多云多链协同的电子医疗数据安全共享方法
[0001]本专利技术属于电子医疗数据共享
,具体涉及一种多云多链协同的电子医疗数据安全共享方法。
技术介绍
[0002]电子医疗数据中通常记录了患者从就医到治疗结束所有的有关病情变化、检查报告、治疗过程等数据。数字化医院的不断增多使得电子医疗数据呈爆发式增长,始终保持着较高的增长速度。然而,电子医疗数据的存储大多缺乏互通,形成了一座座信息孤岛。当患者从一家医院换到另一家医院时,之前的所有电子医疗数据都无法共享,对于患者和医院都是一种损失。电子医疗数据的共享在提升医疗质量、控制医疗成本、提升科研水平,以及推动公共卫生领域的进步等方面起着至关重要的作用。
[0003]长期以来,电子医疗数据一直是被窥伺的主要目标。新冠疫情爆发,重创全球经济、政治、医疗和社会体系的同时,更是也让医疗和公共卫生部门的网络安全风险急剧增加,成为网络攻击的主要目标。然而,目前的医疗安全防御体系主要是抑制来自外部威胁的数据窃取。随着APT攻击、供应链攻击、勒索、木马入侵手段的日趋成熟,攻击者可以在医院内部控制失陷主机,进行窃取和篡改电子医疗数据。内部威胁的存在,不但严重影响医疗业务系统的运行,还将给电子医疗数据共享的安全保障带来严峻挑战。
[0004]现如今,医疗信息系统已成为国家关键信息基础设施保护和个人信息保护的重点。保障医疗数据不泄露、防篡改,实施有效隔离的安全共享,成为决定医疗数字化成败的关键因素。鉴于此,有必要采取更可靠和高效的电子医疗数据共享模式,防范潜在的内部失陷主机
【技术保护点】
【技术特征摘要】
1.一种多云多链协同的电子医疗数据安全共享方法,其特征在于,包括以下步骤:步骤一,构建多云多链协同模式的架构,该架构以层次化方式呈现,包括多云层、多链层、用户层和管理层;多云层:每家医院拥有一个专有云,存储其产生的各种类型医疗数据。专有云中的医疗数据在本地可以直接访问,联盟用户之间不能直接访问,只能将数据加密投入到共享池中进行获取;多链层:医院提供门诊、急症、住院、手术、检查的就医部门,患者在这些部门就医服务过程中,产生的医疗数据可分别投影到门诊区块链、急症区块链、住院区块链、手术区块链和检查区块链,加上记录数据访问日志和用户行为的区块链,形成多链区分记录方式;用户层:联盟用户包括医院、医疗科研机构、执法部门、保险公司,医院在医疗数据共享中同时扮演着贡献者和访问者的角色,也承担着区块的生成和验证,具有区块链矿工的职责,医疗科研机构可以访问将患者信息脱敏处理后的数据,用于科学研究,出现医患纠纷时,执法部门可以介入访问医疗数据,确认医保赔偿时,保险公司可以部分访问医疗数据;管理层:由数字证书颁发机构、密钥管理机构、管理证书撤销列表、匿名服务器、数据共享管理者认证体系构成,并部署于卫生主管机构的多台服务器上,管理层只执行认证和授权功能,不存储任何的医疗数据,可以有效减轻其负载压力;其中,数字证书颁发机构负责联盟用户的数字证书申请和颁发;密钥管理机构负责联盟用户的永久密钥和零时密钥;匿名服务器负责患者的身份匿名化,保护患者的身份隐私;联盟用户请求访问医疗数据时,数据共享管理者不仅在数字证书颁发机构处验证其数字证书,还要在管理证书撤销列表上检验数字证书是否失效,才能认证通过和确认身份,并给予相应的访问权限;步骤二,多匿名化医疗数据存储阶段患者在不同医院就医产生的数据进行多匿名化存储,多匿名化医疗数据存储方法的实现包括三个阶段:患者身份多匿名化、专有云加密存储和链上数据投影;引入多匿名化存储,每个患者到医疗机构联盟中的医院就医时都会得到一个匿名身份,并且在不同医院得到的匿名身份都不重复;步骤三,链上数据投影阶段HBM
k
将EMD
jk
提取为投影DS
jk
={PID
jk
,HBM
k
,C
jk
,sp
jk
,E
PKj
(access
jk
),Sig
SKk
(EMD
jk
),Sig
SKj
(EMD
jk
),AD
jk
,mdt
jk
},并打包到对应的链上区块中,其中,sp
jk
为EMD
jk
的存储路径,E
PKj
(access
jk
)为EMD
jk
的访问口令,联盟用户在患者知晓和许可的情况下,患者使用私钥解密E
PKj
(access
jk
)后,才有机会访问EMD
jk
,Sig
SKk
(EMD
jk
),Sig
SKj
(EMD
jk
)分别为HBM
k
和患者对EMD
jk
的签名,AD
jk
表示对EMD
jk
的摘要信息描述;步骤四,零信任中转访问阶段联盟用户请求访问电子医疗数据时,遵循永不信任,始终认证的零信任思想,联动数据共享管理者、患者、数据所在医院进行一系列的认证和加解密操作,中转请求访问的医疗数据到共享池,访问完成后,共享池中的数据自动销毁,零信任认证的核心组件可嵌入到医疗机构联盟管理层的数据共享管理者中。2.根据权利要求1所述的一种多云多链协同的电子医疗数据安全共享方法,其特征在于,所述的患者身份多匿名化,包括以下步骤:Step1,患者选取一个随机数据r
jk
作为匿名参数,向匿名服务器发出匿名服务请求AR
[ID
j
]=E
PKAS
(r
jk
||ID
j
||Sig
SKj
(r
jk
)||iat1),其中,PKAS为匿名服务器的公钥,Sig
SKj
(r
jk
)为患者对r
jk
的签名,SKj为患者的私钥,iat1为该请求消息的时间戳,匿名服务器为患者持有一个匿名参数列表Ξ
j
,检查r
jk
是否在Ξ
j
中,主要是避免患者在医疗机构联盟上出现匿名身份重复;如果r
jk
∈Ξ
j
,匿名服务器要求患者再选择一个随机数,重新发送匿名服务请求,直至不重复,如果匿名服务器计算身份匿名PID
jk
=h
A
(ID
j
*r
jk
),其中,h
A
(
·
)为一个执行匿名运算的哈希函数,具有不可逆和抗碰撞性,匿名服务器向患者发送匿名服务响应ASR[AS]=E
PKj
(PID
jk
||Sig
SKAS
(PID
jk
)||iat2),其中,PKj为患者的公钥,Sig
SKAS
(PID
jk
)为匿名服务器对PID
jk
的签名,SKAS为匿名服务器的私钥,iat2为该响应消息的时间戳;Step2,患者用SKj解密ASR[AS],得到匿名身份PID
jk
,医疗机构联盟上的医院构成集合Η={HBM1,
…
,HBM
k
,
…
,HBM
h
},匿名服务器为患者持有的匿名身份列表记为Γ
j
,可在匿名服务器处运行算法1实现患者身份多匿名化;具有匿名身份后,患者去HBM
k
就医,只需进行匿名身份验证即可;所述的算法1为:输入Η,Ξ
j
,Γ
j
,ID
j
,首先初始化m为0,Γ
j
为当患者去某家医院HBM
k
就医,患者首先选择一个随机数r
jk
作为匿名参数,如果r
jk
已存在于匿名参数列表Ξ
j
中,则患者必须重新选择新的r
jk
;否则将r
jk
放入到Ξ
j
,并计算患者在HBM
k
中的匿名身份PID
jk
=h
A
(ID
j
*r
jk
),最终将其在HBM
k
中的匿名身份添加到患者持有的匿名身份列表Γ
j
中,对于医疗联盟机构中的每家医院,进行循环计算,最终输出患者的匿名身份列表Γ
j
,其中包含了患者在所有医院所具有的不同的匿名身份信息。3.根据权利要求2所述的一种多云多链协同的电子医疗数据安全共享方法,其特征在于,所述的匿名身份验证,具体包括以下步骤:步骤1,患者向HBM
k
发送匿名身份备案AIB[ID
j
]=E
PKk
(PID
j
||Sig
SKj
(PID
j
)||pvt1),其中,PK
k
为HBM
k
的公钥,Sig
SKj
(PID
jk
)为患者对PID
jk
的签名,pvt1为该备案消息的时间戳;步骤2,HBM
k
向匿名服务器发送关于患者匿名身份验证AIV[HBM
k
]=E
PKAS
(PID
jk
||||Sig
SKk
(PID
jk
)||pvt2),其中,Sig
SKk
(PID
jk
)为HBM
k
对PID
jk
的签名,SK
k
为HBM
k
的私钥,pvt2为该验证消息的时间戳;步骤3,匿名服务器在Γ
j
上验证PID
jk
的存在性,如果PID
jk
∈Γ
j
,验证结果v
jk
=1,如不是,v
jk
=0,匿名服务器向HBM
k
返回匿名身份确认AIC[AS]=E
PKk
(v
jk
||Sig
SKAS
(v
jk
)||pvt3),其中,Sig
SKAS
(v
jk
)为AS对v
jk
的签名,pvt3为该验证消息的时间戳;步骤4,HBM
k
用SK
k
解密AIC[AS]后,如果v
jk
=1,则使用PID
jk
为患者匿名化存储医疗数据,如果v
jk
=0,患者在HBM
k
处的就医服务申请则难以通过;患者在HBM
k
处就医完成后,产生的医疗数据MD
jk
={C
jk
,Data
jk
,mdt
jk
}必须加密存储到PCloud
k
,其中,C
jk
的取值范围Λ={1,2,3,4,5}分别对应着{门诊,急诊,住院,手术,检查},Data
jk
为患者在就医过程中产生的所有电子病历、治疗记录、诊断报告,C
jk
可以取Λ的子集或全集,mdt
jk
为MD
jk
的产生时间;对于PCloud
k
上的医疗数据本地访问,HBM
k
有权限直接访问,而患者要向HBM
k
申请才能访问,因此,可用PK
k
加密MD
jk
,记为EMD
jk
,联盟用户未经许可,则难以解密EMD
jk
和获得MD
jk
,从而有效保障了患者隐私和医疗数据共享的安全性。4.根据权利要求1所述的一种多云多链协同的电子医疗数据安全共享方法,其特征在于,所述的步骤中,零信任中转访问包括以下六个阶段:
边界控制策略:零信任网关判断AU
i
的访问请求。若合理,转发给零信任认证引擎;认证策略:零信任认证引擎始终对AU
i
的身份进行查检,将认证结果发送给零信任访问控制引擎;访问裁决策略:认证结果到达访问控制引擎时,根据预设的策略集,进行访问控制裁决;审计策略:零信任审计引擎根据裁决结果,进行异常审计。若安全,则通知零信任网关给予访问权限;授权策略:零信任网关根据AU
i
的类型,在访问权限集Σ中授予相应权限ar
i
,访问权限集Σ={1,2,3,4,}分别对应着{至高,高级,中级,低级},至高权限表示可以访问患者的所有电子医疗数据,高级权限可以访问部分数据,中级权限可以访问脱敏后的医疗数据,低级权限只可访问诊断证明、电子发票、费用明细等有限的医疗数据,同时,零信任网关凭借PID
jk
在AS处关联出患者的所有多匿名身份,然后根据请求的数据类型同时在多条区块链上展开搜索,将查询到的投影数据加载到搜索结果sr
i
中,反馈给AU
i
;中转共享策略:AU
i
根据搜索结果中的投影数据,查找到请求的电子医疗数据位于HBM
p
处后,立即启动机密性中转访问控制协议,根据搜索结果sr
i
,联盟用户虽然可以知道所请求数据的存储路径、摘要信息、访问口令等,但不能直接访问,需要将授权ar
i
和sr
i
发送给电子医疗数据所在的医院,从零信任网关确认该...
【专利技术属性】
技术研发人员:冯景瑜,汪涛,于婷婷,张文波,黄文华,
申请(专利权)人:西安邮电大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。