(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210367229.3 (22)申请日 2022.04.08 (71)申请人 成都信息工程大学 地址 610225 四川省成 都市西南 航空港经 济开发区学府路一段24 号 (72)发明人 刘志宏　王晨莎　张晓春　 (74)专利代理 机构 北京元本知识产权代理事务 所(普通合伙) 11308 专利代理师 曹广生 (51)Int.Cl. G06F 21/62(2013.01) G06F 21/60(2013.01) G16H 10/60(2018.01) H04L 9/08(2006.01) (54)发明名称 一种病患隐私的保护方法 (57)摘要 本发明涉及病患隐私保护方法应用技术领 域， 具体的说是一种病患隐私 的保护方法， 该方 法具体包括以下步骤： 对静态信息实现现代密码 学的数字签名， 对动态信息采取数据扰动， 静态 信息的数字签名处理可配置在本地的临时缓存， 每当数据更新一次向服务器进行发送时。 本发明 的有益效果： 本发明用于解决医学物联网普及中 病患隐私泄露的问题。 病人在医学物联网中如网 上问诊等受益、 获取个性化诊疗服务的过程中， 也存在隐私泄露的重大隐患。 本发 明就如何保护 病患隐私又不破坏医疗服务质量提出了一种新 方法， 以数字签名和数据扰动为基础的病患隐私 保护方法。 该方法在进行扰动实现敏感数据隐藏 的基础上， 又不破坏数据 挖掘时潜在的价 值。 权利要求书1页 说明书12页 附图8页 CN 114792014 A 2022.07.26 CN 114792014 A 1.一种病患隐私的保护方法， 其特 征在于： 该 方法具体包括以下步骤： 步骤一： 对静态信息实现 现代密码学的数字签名， 对动态信息采取 数据扰动； 静态信息的数字签名处理可配置在本地的临时缓存， 每当数据 更新一次向服务器进行 发送时， 调用缓存中已处理的数据， 再与已扰动处理的瞬时信息进 行打包和叠加进 行处理， 不仅降低本地预 处理的计算量， 也能缩短发送时延， 且符合资源的优化配置思路； 扰动的动 态数据在接 收端无需恢复和逆运算， 直接进入模式和 规则运算， 输出当前病 人病情的评估 意义； 步骤二： 患者的个人身份信息是直接反应其个人生活的隐私， 对此部分采取数字签名 以防恶意方伪装成患者， 数字签名对网络中收到的报文可核实发送者对该报文签名的真 伪， 在签名之后和核实之前需加入额外的加密流程， 本地处理任务： 患者A的个人身份信息 是原始信息 m， 在本地进行一次哈希 运算， 得到信息摘要h(m)； 用A的私钥sk(A)对信息摘要h (m)进行签名运算得到H(m)， 附加到信息m上； 公钥pk(B)对合并的信息做加密运算再传入信 道； 服务器处理任务： 用sk(B)对接收密文进 行解密运算， 得到明文信息和待核实的信息； 分 离出消息m进行一次哈希运算， 同时使用A的公钥sk(A)对H(m)验证运算； 对比两者， 如果都 得到h(m)， 则可认为当前消息为患者A的个人信息； 步骤三： 除个人身份信 息外， 患者的医疗数据也是隐私信 息； 本发明中扰动的对象就是 可穿戴设备测 量患者的生理参数， 包含中其中一项或者几项； 现阶段可穿戴设备监测的生 理参数比较有限， 也没有完全做到 分秒不漏的实时监测， 则论述时会依据现状而假设， 假设 每间隔固定时间发送采集的生理参数， 每次发送的信息完备包含当前时刻监测的各项生理 参数， 模拟数据采集和传输的过程如下； 根据样本变量属性的个数来分， 扰动算法分为单变量的和多变量的， 且其扰动思想存 在较大差异； 病人不同时刻的生理参数是随时变化的， 则扰动必须选用多变量扰动； K ‑d树 扰动的特点就是针对k个属 性的变量， 有将其用于多变量的决策树模型扰动达到隐私保护 的研究； K均值的聚类算法用于去除扰动噪音方面比较成熟； 设发送先后顺序编号记录为(R1,R2,...,RN,RN+1,...)， 并设R1的原始记录在本地的生存 时间为t； 想要对记录RN的信息进行扰动， 则选取该记录及前(N ‑1)条历史记录作为样本进 行计算； 当计算完成并将 扰动后的RN发出后， R1的生存时间耗尽， 则将R1释放溢出， 此后的样 本随之发生变化； 对RN+1进行扰动时， 重新选RN+1及前(N‑1)条记录作为样本， 即(R2,R3..., RN,RN+1)， 这种原理类似计算机通信中网络拥塞控制的窗口； 样本窗口的大小一般不变， 只 是其位置随着发送 记录的增 加而向后推移一 位； 步骤四： 患者信息分流处理， 用病人的密钥对的私钥对包含身份信息等的静态信息做 签名运算； 使用k ‑d树或k均值聚类算法扰动实时监测的患者生命体征的动态信息， 对血压 和脉搏进行局部修改和替代； 分类处理后的信息进入一个加法器合成， 标志位标记 区分两 部分； 合成的消息进行一次公钥加密， 进入传输信道， 到达服务器以后， 首先使用私钥解密 当前消息， 对获得的消息按规则提取标志 位， 分离出静态信息和 动态信息； 再用当前病人的 公钥核实签名部 分判断是否为该病人所发； 如果无法认证， 认为该消息非法， 则自动出栈或 删除； 如果认证通过， 已扰动部 分的监测值无需还原和恢复， 直接进入模式和规则自动计算 处理； 得到病情监测报告后， 存 入档案， 以备患者本人或主 治医生调取查看。权　利　要　求　书 1/1 页 2 CN 114792014 A 2一种病患隐私的保护方 法 技术领域 [0001]本发明涉及病患隐私保护方法应用技术领域， 具体说是一种病患隐私的保护方 法。 背景技术 [0002]医学物联 网的迅速席卷在带给我们便利的同时引起了威胁和不安。 由于患者和用 户自身长期携带传感器 设备， 其个人身份信息、 位置信息、 生理特征等信息在传输过程中将 面临泄露危险。 数据安全问题成为了日益严重的问题， 特别是在实时传输过程中， 患者的信 息比在医院就诊时的更全面详细， 泄露风险非常大， 预防不当的话， 非常容易被窃取利用， 对患者的学习和生活雪上加 霜。 [0003]目前解决路径可以分类三条： 1， 基于数据加密的隐私保护技术， 对信息进行加密 和打包处理从而防止中途泄露数据； 2， 基于限制发布的隐私保护技术， 主要的做法是不发 布完整数据而是公开部分数据或模糊原来的数据； 3， 基于数据失真的隐私保护技术， 是通 过扰动手段使原来数据失真并偏离从而隐藏敏感数据。 [0004]现有技术的解决方案： [0005](1)原生贝叶斯算法： 对垂直分布式数据进行数据扰动的隐私保护协议， 可用来恢 复已分散的伪装数据， 并对该贝叶斯算法的正确 性进行了验证分析。 该算法可完成基本的 恢复任务， 具有非常高的准确率。 [0006](2)扰动算法： 对数据库中的部分数据记录变换位置， 使得原始 数据呈现的偏离 足 以破坏从中试图恢复敏感信息的企图。 通过矩阵乘法实现数据的旋转扰动和矩阵分块的不 同旋转规则的旋转扰动。 [0007]目前技术方案如下缺点： 1、 对患者的隐私数据防护不当， 造成数据泄露， 导致病患 心理防线的塌陷， 进一步恶化病 人的状态； 2、 对病患的数据信息在采集和传输过程中保护 措施过于严格， 在一定程度上破坏了具有潜在价 值的数据； [0008]本发明是弥补上述两者 缺陷， 在两者之间做到平衡和兼顾。 发明内容 [0009]针对现有技术中的问题， 本发明提供了一种病患隐私的保护方法， 即对病患信息 进行梳理， 包括身份信息和医疗数据等， 通过综合性保护方案， 包括： 第一， 保证传输过程中 病患的隐私信息得到保护。 借助现代密码学和一系列先进的保护算法使得信道中传输的数 据是透明而 无意义的。 第二， 即使信息中途被恶意人士窃取， 也无法从 中恢复真实的病患信 息。 即使在传输过程中特定的属于病患的信息被拦截， 恶意人士在不知道保护算法和规则 的情况下， 也无法从中恢复消息。 第三， 一旦数据库被攻击， 也无法从披露的信息中获取真 实的病患信息。 由于对大量病患的集中处理和反馈集中在服务器上， 即服务器和数据库中 保存了人数众多的病患信息， 并且每个病患的信息也非常详细和缜密， 对于数据库的直接 披露和服务器访问权限的攻击也必须提前预防， 本发明主要解决医学物 联网中患者的身份说　明　书 1/12 页 3 CN 114792014 A 3