(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210657480.3 (22)申请日 2022.06.10 (71)申请人 西安电子科技大 学 地址 710071 陕西省西安市太白南路2号 (72)发明人 李腾　尹思薇　张胜凯　于润泽　 郑百川　马卓　郑璇　沈玉龙　 马建峰　 (74)专利代理 机构 陕西电子 工业专利中心 61205 专利代理师 侯琼　王品华 (51)Int.Cl. G16H 50/80(2018.01) G06F 21/62(2013.01) H04W 4/029(2018.01) H04W 4/80(2018.01)H04W 12/02(2009.01) H04W 12/033(2021.01) H04W 12/122(2021.01) (54)发明名称 基于隐私保护的呼吸道传染病密接目标追 踪方法 (57)摘要 本发明公开了一种基于隐私保护的呼吸道 传染病密接目标追踪 方法， 主要解决现有方法智 能追踪密接者时造成患者隐私泄露的问题， 方案 包括： 1)用户智能设备生成匿名标识符并使用低 功耗蓝牙进行广播和交换； 2)在设备交换标识符 的同时收集用户GPS位置信息， 并对其进行隐藏 操作； 3)患者的智能设备对数据进行防止隐私泄 露的预处理操作； 4)在患者的允许下， 智能设备 检查许可码后安全上传信息； 5)服务器端将所有 患者的数据进行混淆； 6)用户设备定期检测公开 的患者数据并计算风险系数以检测自身是否为 密切接触者。 本发明保证了患者个人信息及追踪 系统的安全， 同时减少了数据冗余， 有效提高了 用户设备的检测效率。 权利要求书2页 说明书7页 附图4页 CN 114913990 A 2022.08.16 CN 114913990 A 1.一种基于隐私保护的呼吸道传染病密接目标追踪方法， 其特 征在于， 包括以下步骤： (1)各用户的智能设备每天生成随机且唯一的用户匿名标识符， 且该标识符以蓝牙随 机地址产生的频率进行 更换； (2)设备将生成的标识符存储在本地的广播标识符列表中， 并使用BLE周期性地向周围 传播该标识符； (3)当用户之间进行密切接触时， 设备使用低功耗蓝牙BLE相互交换彼此的标识符， 同 时在本地记录时间戳及经过隐私保护处理的用户位置坐标信息， 生成交换标识符信息列 表； (4)智能设备提取判断潜在 密切接触者所需的信息， 得到最终的输出列表： (4.1)患者用户的智能设备导入设备中的交换标识符信息列表和广播标识符列表， 并 在交换标识符列表中依次查找所记录的标识符信息， 提取交换标识符信息中 的时间戳ti和 位置坐标信息Li； (4.2)将时间戳ti与患者的智能设备产生的广播标识符列表中的有效 时间段进行比较， 确定该时间戳ti相对应的有效时间段Sj， 并记录与此时间段相对应的患者用户智能设备广 播标识符Aj； (4.3)将时间戳ti对应的位置信息Li与患者用户智能设备广 播标识符Aj进行结合， 形成 新的标识符信息， 并将其加入输出列表； (4.4)判断列表中是否存在重复项， 若有， 则去除冗余信息后得到最终的输出列表， 反 之， 直接得到最终的输出列表； (5)患者用户的智能设备验证 医疗机构下发的许可号， 验证通过后， 以签名且加密的安 全方式将最终的输出列表发送到服 务器端， 并通过S SL/TLS技 术保障底层 传输安全； (6)服务器端将接收到的所有患者用户智能设备上传的信息进行混淆， 打乱服务器中 存储的默认上传顺序； (7)用户智能设备定期从服务器端下载患者用户的数据进行信息验证， 判断本用户是 否为患者的密切接触者。 2.根据权利要求1所述的方法， 其特征在于： 步骤(3)中经过隐私保护处理的用户位置 坐标信息， 具体是使用Geohash多维空间点索引来进行处理， 将GPS坐标点进行粗粒度的划 分， 再使用SHA ‑256哈希函数对粗粒度化后生成的Geohash索引进行哈希处 理。 3.根据权利要求1所述的方法， 其特征在于： 步骤(5)中以签名且加密的安全方式将最 终的输出列表发送到服 务器端， 实现如下： (5.1)用户生成双线性配对的参数q、 g、 G、 GU、 e， 其中， e:G ×G＝GU表示双线性映射， g是 阶为q的群G的生成元； 之后设备随机生成一个私钥 并计算得到公钥 选择参数n1、 n2、 n3、 n4， 并选取大素数 服务器随机生成一个私钥 并计算得到公钥 服务器和用户之间协商确定会话密钥SEK； (5.2)用户使用下式对预处 理后的标识符信息 MES进行签名： 其中， SIG是签名后的结果， H()为SM3安全哈希函数， time是发送时间的时间戳， NUM是权　利　要　求　书 1/2 页 2 CN 114913990 A 2医疗机构发送给患者的上传许 可号码， SID为会话密钥的ID号码； 设备使用会话密钥SEK对预处理后的标识符信息MES进行加密， 得到经过签名和加密的 标识符信息mes sage： message＝E(MES||time||NUM||SID||SIG)， 其中， E()为SM4对称加密算法； (5.3)用户设备将经 过签名和 加密的标识符信息mes sage传输给服 务器； (5.4)在服务器接收到信后， 验证收到的数据是否满足下式， 用于确定消息是否经过恶 意篡改： e(g,SIG)＝e(PKU,H(MES||time||NUM||SID))； 其中， SIG是用户签名后的结果， H()是SM3安全哈希函数， PKU是用户的公钥， MES、 time、 NUM和SID均为服务器通过SIG解密出的信息， 分别代表着标识符信息、 时间戳、 医疗机构发 送给患者的上传许 可号码和会话密钥的ID号码。 4.根据权利要求1所述的方法， 其特征在于： 步骤(6)中服务器端将接收到的所有患者 用户智能设备上传的信息进 行混淆， 具体是： 当患者上传标识符信息时， 服务器为每条信息 分配一个随机序列号Ni， 在其他用户下载服务器上的患者 数据之前， 服务器 根据序列号Ni对 所有信息重新进行排序， 之后删除Ni， 从而完成信息的混淆； 此过程只在服务器上执行， 用 户应用程序仅获得患者的标识符信息和地理位置信息 。 5.根据权利要求1所述的方法， 其特征在于： 步骤(7)中信息验证， 具体如下： 若用户设 备在交换标识符信息列 表中匹配到与患者信息相同的标识符信息和地理信息， 则表明用户 在近期内可能接触过患者， 此时， 设备利用蓝牙信号 强度数据计算接触风险系数， 若风险系 数超过预先设定的安全阈值， 则判定该用户是呼吸道传染病患者的密切接触者， 系统将发 出警告提醒， 反 之， 判定该用户为非密切接触者。 6.根据权利要求5所述的方法， 其特 征在于： 接触风险系数按照下式计算： ExposureRiskScore＝Cr*Dur*Day*Si， 其中， Cr表示当前呼吸道传染病患者的传播风险值， Dur表示用户与患者的累计的接触 时间， Day表示自最后一次接触患者以来的天数， Si表示衰减风险值。权　利　要　求　书 2/2 页 3 CN 114913990 A 3