TWI727551B - 健康資訊去識別化及查詢處理之方法 - Google Patents
健康資訊去識別化及查詢處理之方法 Download PDFInfo
- Publication number
- TWI727551B TWI727551B TW108145765A TW108145765A TWI727551B TW I727551 B TWI727551 B TW I727551B TW 108145765 A TW108145765 A TW 108145765A TW 108145765 A TW108145765 A TW 108145765A TW I727551 B TWI727551 B TW I727551B
- Authority
- TW
- Taiwan
- Prior art keywords
- user
- identification code
- health information
- information
- query
- Prior art date
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本發明提出一種健康資訊去識別化及查詢處理之方法,當外部系統將用戶的健康資訊傳送至雲端服務伺服器儲存時,係利用一保密元件演算金鑰雜湊訊息鑑別碼,用該雜湊碼替換用戶的原識別碼,使得用戶資訊得以在內部系統之間去識別化,在往後存取用戶的資訊時,皆須經由保密元件還原才能對應出用戶的資訊,進一步地,該保密元件將資料的摘要存證於區塊鏈,提供用戶驗證健康資訊的管道,藉此保障資料的完整性。
Description
本發明係關於資訊去識別化之技術,特別是一種健康資訊去識別化及查詢處理之方法。
在健康醫療資訊產業中,用戶的數據為相當重要之資產,服務提供者可透過用戶數據的交流與分析為健康雲服務加值,因此,資料的保護為本領域中相當注重之技術。
近期社群網站濫用個資引起外界對資料隱私權的關注,因而健康醫療資訊中系統如何使用或交換用戶資料也變得值得關注,特別是資料系統內儲存許多用戶資料,若資料系統遭破解時,可能直接讓用戶資料被公開或遭竄改,導致個資洩漏問題,因而資訊去識別化的技術於此也被應用,於中華民國專利號I649665之專利中,其揭露一種健康資訊去識別化與查詢處理方法,該案係提出隱私管理的方法,經由歷程紀錄表管理去識別化的內容與關聯鍵,透過建立快取之方式,藉以達到迅速還原已去識別化之資料,惟其利用資料表儲存快取之方式,使其快取內容產生弱點,
該資料表的洩漏可能導致用戶的個人資訊流出,因而對於去識別化之還原仍存在缺陷。另外,健康醫療資訊除了供用戶查詢外,亦可能供外部系統讀取,例如其他醫療系統,此時有需考量用戶資料或是其健康資訊是否為正確內容,也就是如何確認該些資訊未被竄改過。
由此可見,現有技術對於重要資訊的去識別化仍有待改進空間,因而需要找出有關一種神資訊去識別化的技術,特別是如何達到系統無法獨自還原用戶資訊以及確保資料的完整性與不可否認性,藉以達到用戶資訊的保護,此將成為本領域技術人員所急欲追求之目標。
本發明之目的係提出一種資訊去識別化以及查詢處理之方法,透過一獨立元件將資訊去識別化,使得內部系統無法獨自還原用戶資訊,且該元件可結合一區塊鏈以紀錄資訊流,使得資料保有不可否認性,藉以保障用戶的個人資訊並且建立審查與告警的機制,藉以達到保護用戶資訊之目的。
為了達成上述發明目的或其他目的,本發明係揭露一種健康資訊去識別化之方法,包括:令資訊介接元件接收並初始化用戶之健康資訊以取得用戶特徵,再利用雜湊演算法將該用戶特徵轉成第一識別碼,以將該健康資訊和該第一識別碼以JSON(JavaScript Object Notation)的資料交換格式傳送至保密元件;令該保密元件對該健康資訊進行演算以產生雜湊摘要,以依據該用戶之智能合約將該雜湊摘要儲存於區塊鏈;令該保密元件透過金鑰雜湊訊息鑑別碼(HMAC)演算法,依據該第一識別碼及該
健康資訊之資訊標籤計算出第二識別碼,俾以該第二識別碼取代該用戶的原識別碼;令該保密元件使用對稱密鑰演算法加密該健康資訊之資料內容;以及令該保密元件上傳該第二識別碼與經加密之資料內容至雲端服務伺服器並儲存。
於上述方法中,該初始化該用戶之健康資訊之方式復包括將原始數據依據種類分成各種該資訊標籤。
於上述方法中,該使用該對稱密鑰演算法加密該健康資訊之資料內容之方式復包括產生該第二識別碼與對稱密鑰之關聯,且儲存於該保密元件內。
本發明復提出一種健康資訊查詢處理之方法,包括:令雲端服務伺服器分析用戶或外部系統欲查詢之健康資訊,以依據用戶特徵產出第一識別碼並結合欲查詢之健康資訊的標籤組成JSON的資料交換格式,再傳輸至保密元件進行查詢;令該保密元件使用該第一識別碼至區塊鏈查詢該查詢來源是否擁有存取權限,且將此查詢事件存證於智能合約;於該查詢來源擁有存取權限下,令該保密元件計算該健康資訊之用戶之第二識別碼;令該保密元件依據該第二識別碼查詢該用戶之密鑰,以於取得該密鑰後,由該保密元件將該密鑰及該第二識別碼回傳至該雲端服務伺服器;以及令該雲端服務伺服器使用該第二識別碼至資料庫之資料表進行查詢,以取得該用戶的資料並以該密鑰還原用戶之健康資訊。
於上述方法中,令該保密元件使用該第一識別碼至區塊鏈查詢該查詢來源是否擁有存取權限時,若為拒絕訪問,則由該智能合約紀錄
此非經授權之查詢時間和事件,且回覆該雲端服務伺服器該查詢係未經授權。
於上述方法中,該第二識別碼係由金鑰雜湊訊息鑑別碼(HMAC)演算法所產出,且不將該第一識別碼與該第二識別碼之關聯進行快取或是儲存。
於上述方法中,令該保密元件依據該第二識別碼查詢該用戶之密鑰時,若無法取得,代表該用戶未建立關聯,則查無資料,令該保密元件回覆該用戶無此標籤之健康資訊。
於上述方法中,令該保密元件依據該第二識別碼查詢該用戶之密鑰時,若取得之密鑰為空值,則代表該用戶的資料已被刪除且無法還原,因而無法取得該密鑰,令該保密元件回覆該用戶此標籤之健康資訊已刪除。
於上述方法中,復包括令該雲端服務伺服器計算該健康資訊之雜湊摘要,用於驗證與該區塊鏈是否一致,以於驗證兩者一致時,確認該健康資訊之正確性。另外,若驗證兩者不一致,表示該用戶的資料有被竄改之疑慮,由該雲端服務伺服器產出告警訊息。
綜上所述,本發明提出健康資訊去識別化及查詢處理之方法,能在介接異質系統將用戶資訊儲存於雲端服務伺服器的情境之下,透過一獨立之保密元件計算雜湊碼,混淆用戶資訊而將其去識別化,使得內部系統皆無法獨自還原用戶資訊,另外,該保密元件結合一區塊鏈用以紀錄資訊流,使得資料保有不可否認性,且能透過用戶之智能合約授權個資
的使用權限與審查個資的使用紀錄,可針對異常的個資使用紀錄進行告警。
31~35‧‧‧流程
41~49‧‧‧流程
51‧‧‧用戶識別碼
52‧‧‧設定授權函式
53‧‧‧檢查授權函式
54‧‧‧授權紀錄
55‧‧‧上傳紀錄
61‧‧‧用戶端
611‧‧‧用戶
612‧‧‧外部系統
62‧‧‧管理元件
621‧‧‧監控系統
622‧‧‧授權系統
63‧‧‧區塊鏈
631、90‧‧‧智能合約
64‧‧‧雲端服務伺服器
65‧‧‧保密元件
71~75‧‧‧流程
81~89‧‧‧流程
S11~S15‧‧‧步驟
S21~S25‧‧‧步驟
請參閱以下有關本發明之詳細說明及其附圖,將可進一步瞭解本發明之技術內容及其目的功效,所附圖式說明如下。
第1圖為本發明之健康資訊去識別化之方法的步驟圖。
第2圖為本發明之健康資訊查詢處理之方法的步驟圖。
第3圖為本發明所述健康資訊去識別化處理的流程圖。
第4圖為本發明所述健康資訊查詢處理的流程圖。
第5圖為本發明之智能合約的內容示意圖。
第6圖為本發明所述健康資訊管理方法的架構示意圖。
第7A和7B圖為本發明於一實施例中健康資訊去識別化處理的流程圖。
第8A和8B圖於一實施例中健康資訊查詢處理的流程圖。
以下藉由特定的具體實施形態說明本發明之技術內容,熟悉此技藝之人士可由本說明書所揭示之內容輕易地瞭解本發明之優點與功效。然本發明亦可藉由其他不同的具體實施形態加以施行或應用。為利審查委員了解本發明之技術特徵、內容與優點及其所能達到之功效,茲將本發明配合圖式,並以實施例之表達形式詳細說明如下,而其中所使用之圖式,其主旨僅為示意及輔助說明書之用,未必為本發明實施後之真實比例與精
準配置,故不應就所附之圖式的比例與配置關係解讀、侷限本發明於實際實施上的權利範圍,合先敘明。
本發明之目的在於提供健康資訊去識別化儲存以及查詢處理,在介接異質系統將用戶資訊儲存於雲端服務(即雲端服務伺服器)的情境之下,透過一個獨立之元件將資訊去識別化,本發明稱之為保密元件,經去識別化後,將使得內部系統皆無法獨自還原用戶資訊,且該保密元件結合一區塊鏈以紀錄資訊流,使得資料保有不可否認性,提供後續驗證與審查的管道。因而,本案即提出透過保密元件以及管理元件處理用戶的資料流,進行資訊的去識別化與控管,藉此保障用戶的隱私權。
第1圖說明本發明之健康資訊去識別化之方法的步驟圖。如圖所示,主要說明本發明所述方法在儲存資料時如何去識別化。於步驟S11中,令資訊介接元件接收並初始化用戶之健康資訊以取得用戶特徵,再利用雜湊演算法將該用戶特徵轉成第一識別碼,以將該健康資訊和該第一識別碼以JSON的資料交換格式傳送至保密元件。於本步驟中,當外部系統欲傳送用戶資訊至雲端服務伺服器儲存時,係利用一資訊介接元件進行傳輸,該資訊介接元件可利用用戶特徵進行雜湊演算法(例如SHA-256)演算出雜湊值,以作為第一識別碼,其中,利用SHA-256具有不可逆的特性,無法使用雜湊的結果回推其原本之數值,如此可將用戶的資訊去識別化於外部系統,隨後再以第一識別碼作為用戶索引,將資料傳輸至保密元件。
另外,健康資訊和第一識別碼會以JSON的資料交換格式傳送至保密元件,其中,JSON為JavaScript物件實字(Object literal)的子集,在Web應用程式中通常會採用JSON作為資料交換格式,然此為本領
域技術人員熟悉技術,故不再詳述。
於一實施例中,初始化該用戶之健康資訊復包括將原始數據依據種類分成各種該資訊標籤。簡言之,初始化健康資訊時,會對健康資訊的原始數據依據單張種類(即個別種類)進行分類,例如對心率資訊、血壓資訊等等,藉此形成各種資訊標籤,此將有作為後續執行資料查詢時之依據,也就是日後可以心率為索引,查出想要的資訊。
於步驟S12中,令該保密元件對該健康資訊進行演算以產生雜湊摘要,以依據該用戶之智能合約將該雜湊摘要儲存於區塊鏈。於本步驟中,保密元件將取該健康資訊的雜湊摘要,並且透過該用戶之智能合約將此雜湊摘要存證於區塊鏈,於此,利用區塊鏈不可竄改與不可逆特性,將保障資訊的完整性與不可否認性。
須說明者,權限控管智能合約係指存放於區塊鏈,專屬於各用戶的隱私管理物件,用於管理用戶資訊的上/下載與用戶的權限設定,其紀錄匿名的健康資訊摘要與權限設定,讓用戶設定各家院所是否有權力讀取其健康資訊,並且提供介面予管理元件監控與設定。
於步驟S13中,令該保密元件透過金鑰雜湊訊息鑑別碼(Keyed-hash message authentication code,HMAC)演算法,依據該第一識別碼及該健康資訊之資訊標籤計算出第二識別碼,俾以該第二識別碼取代該用戶的原識別碼。於本步驟中,保密元件接收到健康資訊時會解析其資訊標籤,利用該資訊標籤與該第一識別碼,使用金鑰雜湊訊息鑑別碼(HMAC)計算出第二識別碼,因而透過此階段的雜湊進一步的將用戶去識別化於內部系統範圍,並且由於本階段的雜湊將資訊標籤作為輸入之一,
因此得以將一用戶分散為多個索引,提高去識別化的程度。
於步驟S14中,令該保密元件使用對稱密鑰演算法加密該健康資訊之資料內容。本步驟即使用對稱密鑰演算法(Symmetric-key algorithm)對該健康資訊之資料內容進行加密。
於一實施例中,使用該對稱密鑰演算法加密該健康資訊之資料內容復包括產生該第二識別碼與對稱密鑰之關聯,且儲存於該保密元件內。由此可知,為了便於後續資料回復,因而在使用對稱密鑰演算法對該健康資訊之資料內容進行加密時,同時要產生該第二識別碼與對稱密鑰之關聯,此關聯將儲存於保密元件內,以供日後用戶或外部系統要查詢時,可經由關聯得到密鑰以執行資料回復。
於步驟S15中,令該保密元件上傳該第二識別碼與經加密之資料內容至雲端服務伺服器並儲存。本步驟即將第二識別碼與加密後的資訊傳送至雲端服務伺服器中的用戶資訊內保存。
於本發明中,保密元件係指獨立架設於雲端的伺服器,用於接收資訊介接元件所傳送之訊息,並且使用硬體安全模組(Hardware security module)計算第二識別碼與加密資訊。用戶的第二識別碼與其對應之密鑰則儲存於保密器(即保密元件)端,由於保密器本身並無儲存用戶的特徵與資訊,所以亦無法單獨從保密器的資料庫還原用戶資料。此外,保密元件會即時與區塊鏈同步用戶的資料上傳與存取事件,藉此提供健康紀錄的完整性與可審計性。
由上可知,本發明提出資訊儲存去識別化之方法,在儲存資訊的過程中,透過保密元件進行混淆用戶識別碼的動作,因此本地資料庫
缺乏關鍵參數,無法自行透過用戶特徵對應出用戶資訊,需要向保密元件查詢才能找出對應資訊。因此,在儲存資訊的過程中,透過保密元件進行二次雜湊運算混淆用戶識別碼,使得服務端資料庫缺乏關鍵參數,無法獨自透過用戶特徵對應出用戶資訊,需要向保密元件查詢才能還原資訊,此方法使得服務端資料庫中的資訊得以去識別化,解決以往單一資料庫弱點造成個資洩漏的風險。
本發明採用保密元件混淆識別碼,該保密元件利用健康資訊的資訊標籤與第一識別碼,使用金鑰雜湊訊息鑑別碼重新計算識別碼(即第二識別碼),也就是說,利用健康資訊的標籤與原識別碼,使用金鑰雜湊訊息鑑別碼重新計算識別碼且HMAC的密鑰儲存於硬體安全模組,使得其他內部系統無法獨自還原資訊,另外,由於一位用戶會擁有多種資訊標籤,使得儲存於資料表中的資訊,用戶會對應多個去識別化的索引(key),達到分散資訊的效果,保障用戶資訊隱私權。
另外,本發明採用健康資訊去識別化紀錄(Logging)於區塊鏈之方法,當用戶的健康資訊被上傳至保密元件時,該保密元件會演算健康資訊的雜湊值並且存證於區塊鏈。由於紀錄於區塊鏈上的資訊無法被竄改,且其順序具有不可逆的特性,因此可確保健康資訊的資訊完整性與不可否認性,以及提高健康紀錄可審計性,故能提升健康紀錄的價值。資訊完整性係指可以確保健康資訊未出現被竄改的情形,當用戶透過服務端成功取得用戶資訊之後,可以檢查此健康資訊的摘要是否與區塊鏈的摘要一致,以確保資訊與初始的內容相同,進一步地,由於資料的上傳皆紀錄於區塊鏈,使得健康資訊之間有著不可逆的先後順序,因而可以確保資料
的連貫性,無法於中途新增或是移除健康資訊。綜合以上性質,儲存於本系統的健康資訊具有完整性。
第2圖說明本發明之健康資訊查詢處理之方法的步驟圖。如圖所示,如圖所示,主要說明本發明所述方法在查詢資料時如何處理。於步驟S21中,令雲端服務伺服器分析用戶或外部系統欲查詢之健康資訊,以依據用戶特徵產出第一識別碼並結合欲查詢之健康資訊的標籤組成JSON的資料交換格式,再傳輸至保密元件進行查詢。本步驟即說明用戶或是經授權的外部系統向雲端服務伺服器索取健康資訊時,該雲端服務伺服器會參考用戶的用戶特徵產出第一識別碼,並且將該第一識別碼與健康資訊的標籤傳送於保密元件,而該第一識別碼與該標籤是以JSON的資料交換格式傳輸至保密元件,以由保密元件執行後續查詢。
於步驟S22中,令該保密元件使用該第一識別碼至區塊鏈查詢該查詢來源是否擁有存取權限,且將此查詢事件存證於智能合約。於本步驟中,該保密元件使用該用戶之第一識別碼為索引,訪問智能合約查詢該索取動作之權限,並將相關技術存證於智能合約中。
於一實施例中,若為拒絕訪問,由該智能合約紀錄此非經授權之查詢時間和事件,且回覆該雲端服務伺服器該查詢係未經授權。也就是說,會回覆拒絕訪問並且將此事件紀錄於區塊鏈,隨後交由管理元件判斷是否告警。
於步驟S23中,於該查詢來源擁有存取權限下,令該保密元件計算該健康資訊之用戶之第二識別碼。如前所述,若步驟S22判斷該索取動作有被授權,則即時運算第二識別碼,該第二識別碼可由金鑰雜湊訊
息鑑別碼(HMAC)演算法所產出,且不將該第一識別碼與該第二識別碼之關聯進行快取或是儲存,藉以保護用戶的隱私權。
由此可知,透過即時運算第二識別碼之方式,可以避免資料表中存在用戶關聯的弱點,同時,保密元件將存取事件紀錄於區塊鏈以提供稽核紀錄。因此,平台結合保密元件與智能合約限制外部系統存取用戶資料,並利用區塊鏈賦予存取紀錄可審計性,提供不可竄改的歷程讓管理元件監控平台資料的使用。
於步驟S24中,令該保密元件依據該第二識別碼查詢該用戶之密鑰,以於取得該密鑰後,由該保密元件將該密鑰及該第二識別碼回傳至該雲端服務伺服器。於本步驟中,保密元件依據該第二識別碼查詢該用戶之密鑰,且於取得密鑰後,將該第二識別碼與該密鑰回傳至雲端服務伺服器,以供雲端服務伺服器後續對應出用戶資訊,簡言之,該第二識別碼用於找出對應密鑰,而該密鑰則供還原使用。
於一實施例中,當保密元件依據第二識別碼查詢該用戶之密鑰時,若無法取得,代表該用戶未建立關聯,則查無資料,令該保密元件回覆該用戶無此標籤之健康資訊。
於另一實施例中,當保密元件依據第二識別碼查詢該用戶之密鑰時,若取得之密鑰為空值,則代表該用戶的資料已被刪除且無法還原,因而無法取得金鑰,令該保密元件回覆該用戶此標籤之健康資訊已刪除。
於步驟S25中,令該雲端服務伺服器使用該第二識別碼至資料庫之資料表進行查詢,以取得該用戶的資料並以該密鑰還原用戶之健康資訊。本步驟即說明端服務伺服器依據該第二識別碼進行查詢,藉以取得
用戶的資料,並進一步以該密鑰還原用戶之健康資訊。
於其他實施例中,令該雲端服務伺服器計算該健康資訊之雜湊摘要,用於驗證與該區塊鏈是否一致,以於驗證兩者一致時,確認該健康資訊之正確性,若驗證兩者不一致,表示該用戶的資料有被竄改之疑慮,由該雲端服務伺服器產出告警訊息。由此可知,當用戶或外部系統取得用戶之健康資訊後,可透過比對該健康資訊之雜湊摘要與該區塊鏈內之摘要是否一致,以判斷料正確性。
由上可知,管理元件通過即時與區塊鏈同步之方式取得平台匿名的資料傳輸紀錄,得以對異常的資料使用紀錄進行告警,並立即觸發智能合約進行系統權限的封鎖與黑名單;另外,針對外部系統資料洩漏的情況,本發明利用區塊鏈易於查詢歷史紀錄的特性,可追蹤外部系統先前存取的用戶,並且告警用戶其隱私洩漏風險。
綜上所述,本發明提出了控管資訊的查詢權限與審計查詢紀錄之方法,當外部系統向服務索取用戶資訊時,則觸發保密元件使用區塊鏈上的智能合約,查詢該外部系統的權限並且將存取歷程紀錄於智能合約上。再者,利用區塊鏈不可竄改的特性,提供完整的存取紀錄於分散式的環境,保障使用者控管個人資訊的流向與掌握其資訊被查詢的歷史。另外,此架構可以介接外部系統以管理個人資訊,例如,本發明結合管理元件,並由管理元件即時監控用戶智能合約的資訊,協助處理異常的使用情況與發送告警。
此外,本發明提出了監控資訊的查詢紀錄之方法,利用一管理元件與區塊鏈即時同步,定期查看並驗證智能合約上的個資存取紀錄,
若出現異常的資料使用或資料庫洩漏的事件,則觸發異常情況處理機制,如此可追蹤用戶個資的歷史流向,藉此向用戶與管理人員進行告警,並且依照風險的程度協助封鎖相關系統的存取權限。
第3圖說明本發明所述健康資訊去識別化處理的流程圖。如圖所示,整個流程分別在資訊介接元件、保密元件以及雲端服務伺服器中運行。於流程31中,初始資料分析,產出第一識別碼。本流程為初始資料分析,當外部系統或用戶欲傳輸資料時,皆由資訊介接元件處理原資料的初始化,資訊介接元件將原始數據依據單張種類分成各個訊息加標籤,並使用雜湊演算法SHA-256將用戶特徵轉為第一識別碼,接著將訊息與第一識別碼傳輸至保密元件。
於流程32中,資訊摘要存證區塊鏈。本流程即數據存證,保密元件演算資料的摘要將其存證於區塊鏈,此存證紀錄可以提供日後取得資訊時,作為驗證資料正確性的管道,並且賦予資料不可否認的性質。
於流程33中,金鑰雜湊訊息鑑別碼產出第二識別碼,置換原識別碼。本流程即內部系統去識別化,保密元件使用金鑰雜湊訊息鑑別碼(HMAC),依據第一識別碼與該訊息之標籤產出第二識別碼,並將第二識別碼取代原識別碼以去識別化用戶資料,因為HMAC之密鑰存在於保密元件之硬體安全模組,使得其他內部系統無法獨自還原資訊。
於流程34中,對稱密鑰加密資料內容。本流程即加密用戶資料,保密元件使用對稱密鑰演算法加密用戶資料,此階段需要將第二識別碼與對稱密鑰之關聯儲存於保密元件端,以提供日後查詢資訊後執行還原,由於保密元件本身無用戶特徵使其無法獨自產生用戶的第二識別碼,因此
無法單獨從資料表示別出用戶之密鑰。
於流程35中,儲存資料。本流程即儲存用戶資料,保密元件將第二識別碼與加密資訊傳輸於雲端服務伺服器,雲端服務伺服器將資料儲存於其資料庫,由於雲端服務伺服器本身無法還原用戶之第二識別碼,並且資料於流程33中依據各標籤被分為多個索引,使得儲存於服務端資料庫中的資訊亦無法被識別。
第4圖說明本發明所述健康資訊查詢處理的流程圖。如圖所示,整個流程分別在雲端服務伺服器、保密元件以及區塊鏈中運行。於流程41中,雲端服務查詢用戶資料。本流程為初始用戶資料查詢,用戶或外部系統查詢健康資訊時,由雲端服務伺服器作為起始點,雲端服務伺服器分析欲查詢之範圍,參考用戶特徵產出第一識別碼並結合欲查詢之標籤組成JSON傳輸至保密元件查詢用戶的第二識別碼與密鑰。
於流程42中,判斷是否授權。本流程為檢查授權,保密元件使用第一識別碼至區塊鏈查詢該來源是否擁有存取權限,並依據結果進行存證,若為拒絕訪問,則進到流程43,即存證拒絕存取事件,並於智能合約紀錄此時間點出現非經授權之查詢,存證供區塊鏈進行稽核,例如由第3圖中設定授權32來執行,因而保密元件拒絕此查詢,回覆雲端服務伺服器未授權,反之,若成功取得授權,則進到流程44,即存證成功存取事件,也就是存證此查詢事件供區塊鏈稽核使用,同樣由第3圖中設定授權32來執行。
於流程45中,保密元件計算第二識別碼。本流程為計算第二識別碼,保密元件即時計算用戶之第二識別碼,該第二識別碼僅由硬體保
密模組計算HMAC演算法產出並且不將第一識別碼與第二識別碼之關聯進行快取或是儲存於伺服器,如此能保護用戶的隱私權。
於流程46中,判斷資料表是否存在識別碼。本流程為查詢用戶密鑰,保密元件使用第二識別碼查詢此用戶的密鑰,若查詢成功,則進到流程47,取得對應之密鑰,也就是取得密鑰來用於資料還原,接著,保密元件會將密鑰與第二識別碼回傳於雲端服務伺服器。
反之,若無法取得,則代表此用戶未曾建立關聯(例如於第3圖的流程34),係為查無資料,保密元件回覆用戶無此標籤之健康資訊,並結束查詢;若取得之密鑰是空值,則代表用戶資料已被刪除且無法還原,因而無法取得密鑰,則保密元件回覆用戶此標籤之健康資訊已刪除;
於流程48中,還原資料內容。本流程為還原用戶資料,雲端服務伺服器使用該第二識別碼至資料庫之資料表進行查詢,例如到第3圖的流程35中資料儲存處,藉以取得用戶的資訊並使用密鑰還原用戶的健康資訊。
於流程49中,判斷摘要是否與區塊鏈一致。本流程為驗證健康資訊,雲端服務伺服器計算此健康資訊的雜湊摘要,驗證與區塊鏈是否一致,若不一致,則代表資料有被竄改之疑慮,系統進行告警管理者用戶健康資訊汙染,反之若相同,由於區塊鏈具有不可逆的特性,得以證明健康資訊的正確性。
第5圖為本發明之智能合約的內容示意圖。如圖所示,智能合約可包括用戶識別碼51、設定授權函式52、檢查授權函式53、授權紀錄54以及上傳紀錄55。具體來說,用戶識別碼51即是指依據用戶之識別
碼建立合約,也是索引依據;設定授權函式52為可觸發之函式,需要用戶權限才能設定授權,亦即函式可供用戶執行授權設定時使用;檢查授權函式53為可觸發之函式,需要用戶或管理者權限才能檢查授權,此函式即可供第4圖流程42使用。
另外,授權紀錄54用於存放各系統存取資料之歷史紀錄,該些紀錄可供告警時使用;上傳紀錄55是將用戶上傳的摘要紀錄於此,可供第3圖流程32使用,並且用於驗證此摘要以確保資料的完整性,例如第4圖的流程49。
第6圖為本發明所述健康資訊管理方法的架構示意圖。如圖所示,整體架構包括用戶端61、管理元件62、區塊鏈63、雲端服務伺服器64以及保密元件65,其中,雲端服務伺服器64用於保存去識別化資料,保密元件65之硬體加密模組用於執行資料加密,本實施例係說明資料管理,故主要為用戶端61、管理元件62與區塊鏈63之間的交互關係。用戶端61可包括一般的用戶611以及外部系統612,外部系統可例如為各類醫療系統,管理元件62包括監控系統621和授權系統622,區塊鏈63中則包含有智能合約631。
舉例來說,用戶611可使用管理元件62進行其個人資訊使用權限設定,即透過授權系統622將資料使用權限上傳至智能合約631,利用區塊鏈63加密簽章的功能授權外部系統612使用其資料,具體來說,用戶611查詢資料須由保密元件65確認是否給予密鑰時,保密元件65會至智能合約631去確認該用戶611是否具有資料使用權限,此時存取紀錄也會紀錄於智能合約631,亦即執行如第4圖的流程42,即透過此資訊檢查
外部系統的存取權限。
關於稽核個人資訊使用紀錄與告警部分,本實施例透過管理元件62之監控系統621即時同步區塊鏈63,以取得如第4圖的流程42所紀錄的用戶個資使用歷程,針對異常存取數據的事件進行告警。因此,對於外部系統出現資料庫洩漏的事件,可利用區塊鏈63易於查詢歷史紀錄的特性,追蹤用戶個資使用歷程的紀錄,進而告警用戶其隱私洩漏風險。
第7A和7B圖為本發明於一實施例中健康資訊去識別化處理的流程圖,本實施例為對應第3圖流程之具體範例,說明用戶量測資料的儲存。流程70說明儲存用戶量測資料,用戶量測資料包含用戶之基本資訊與量測內容,基本資料例如身分證和生日,而量測內容可例如血壓和血糖。
流程71說明第一識別碼計算,當外部系統或是用戶欲傳輸資料時,由資訊介接元件處理原資料的初始化,資訊介接元件將原始數據依據單張種類分成各個資訊標籤,使用雜湊演算法SHA-256將用戶特徵轉為第一識別碼,即SHA256(身分證+生日+salt),其中salt為在雜湊之前將雜湊內容的任意固定位置插入特定的字串,據以產生第一識別碼,例如0xDD6E5FFD982....的亂碼。
流程72說明保密元件運算存證內容,保密元件演算資料的摘要,即SHA256(量測內容),接著利用用戶的智能合約,將用戶上傳資料之雜湊存證於區塊鏈,即智能合約(量測內容雜湊)。
流程73說明第二識別碼計算,保密元件使用金鑰雜湊訊息鑑別碼(HMAC),根據第一識別碼與該訊息之標籤產出第二識別碼,即HMAC(保密元件密鑰+第一識別碼+資訊標籤),資訊標籤即用戶量測資料
中的血壓或血糖,所產出的第二識別碼例如0xDD6E5FFD982....的亂碼和0xFGEWG48482....的亂碼,並將第二識別碼取代原識別碼以去識別化用戶資料,接著依據第二識別碼產生用戶密鑰。
流程74說明加密量測資料,保密元件即時運算該第二識別碼的密鑰,使用對稱密鑰演算法加密用戶資料,即AES(密鑰+量測內容)。
流程75說明傳送至雲端儲存,保密元件將第二識別碼與加密資訊傳輸於雲端服務伺服器,供其將用戶量測資訊儲存於資料庫。
第8A和8B圖於一實施例中健康資訊查詢處理的流程圖。本實施例為對應第4圖流程之具體範例,說明用戶量測資料的索取。
流程81為雲端用戶資訊取得第一識別碼,用戶或外部系統查詢健康資訊時,由雲端服務伺服器作為起始點,分析欲查詢之範圍,參考用戶特徵產出第一識別碼並結合欲查詢之標籤組成JSON傳輸至保密元件查詢用戶的第二識別碼與密鑰。
流程82為檢查授權,保密元件使用第一識別碼至區塊鏈查詢該來源是否擁有存取權限,並依據結果進行存證,其中,若為拒絕訪問,則於智能合約紀錄此時間點出現非經授權之查詢,保密元件拒絕此查詢並回覆雲端服務伺服器未授權,若成功取得授權,則存證此查詢事件供保密元件稽核使用,具體來說,檢查授權程序即是至圖中的智能合約90進行授權查詢,智能合約90具體內容如第5圖所示,即在用戶或管理者有權限下,可至第5圖之檢查授權函式53檢查查詢是否有授權,並存證資料讀取事件。
流程83為區塊鏈交易存證,由智能合約90取得資料讀取事
件,存證用戶量測資料的索取以區塊鏈交易之方式進行,交易紀錄如流程84所示,其中,log欄位內容包含存取的量測資訊標籤與時間,由於區塊鏈的交易具有不可竄改與不可逆的特性,可以證實其log的正確性。
流程85為計算第二識別碼,於流程83有授權下,保密元件即時計算用戶之第二識別碼,第二識別碼僅由硬體保密模組計算HMAC演算法產出,即HMAC(保密元件密鑰+第一識別碼+資訊標籤),產出的第二識別碼為例如0xASFSADASD982....的亂碼。此時,不會將第一識別碼與第二識別碼之關聯進行快取或是儲存於伺服器,故能保護用戶的隱私權。
流程86為查詢是否存在密鑰參數,保密元件使用即時產出的第二識別碼查詢此用戶的密鑰參數,若能取得密鑰參數,如流程87所示,則為查詢成功,保密元件即時運算該第二識別碼之密鑰並回傳至雲端服務伺服器。
流程88為還原用戶資料,雲端服務伺服器使用該第二識別碼至資料表進行查詢,取得用戶的加密內容並使用密鑰還原用戶的量測資料,即AES(密鑰+加密內容)。
流程89為檢查資料一致,雲端服務伺服器計算此健康資訊的雜湊摘要,驗證與區塊鏈是否一致,即SHA256(量測內容)=區塊鏈紀錄,若不一致,則代表資料有被竄改之疑慮,此時系統可進行告警,若是相同,由於區塊鏈具有不可逆的特性,得以證明健康資訊的正確性。
綜上可知,本發明揭露一種健康資訊去識別化及查詢處理之方法,當外部系統將用戶的健康資訊傳送至雲端服務伺服器儲存時,可利
用保密元件演算金鑰雜湊訊息鑑別碼,藉以用該雜湊碼替換用戶的原識別碼,使得用戶資訊在內部系統之間可去識別化,在往後存取用戶的資訊時,皆須經由保密元件還原才能對應出用戶的資訊,另外,該保密元件將資料的摘要存證於區塊鏈,藉以提供用戶驗證健康資訊的管道,故能保障資料的完整性。再者,透過智能合約管理個資存取的權限,外部系統在索取用戶資料的過程中,保密元件會向區塊鏈檢查該系統之權限並將存取歷程紀錄於智能合約中,故能提供個資使用紀錄的可審計性,對於主動式審查方面,本發明提出結合管理元件即時與區塊鏈同步,監控平台內個人資訊的使用紀錄,針對資料庫洩漏的事件或異常的個資使用情形,可根據用戶的歷史個資流向進行告警。由上可知,本發明提供在介接異質系統,儲存用戶健康資訊於雲端服務伺服器的情境之下,保障用戶的資訊得以去識別化、確保完整性(Integrity)、可審計性(Auditability)以及監控存取紀錄與設定權限。
上述實施形態僅例示性說明本發明之原理及其功效,而非用於限制本發明。任何熟習此項技藝之人士均可在不違背本發明之精神及範疇下,對上述實施形態進行修飾與改變。因此,本發明之權利保護範圍,應如後述之申請專利範圍所列。
S11~S15‧‧‧步驟
Claims (10)
- 一種健康資訊去識別化之方法,包括:令資訊介接元件接收並初始化用戶之健康資訊以取得用戶特徵,再利用雜湊演算法將該用戶特徵轉成第一識別碼,以將該健康資訊和該第一識別碼以JavaScript物件表示法(JavaScript Object Notation,JSON)的資料交換格式傳送至保密元件;令該保密元件對該健康資訊進行演算以產生雜湊摘要,以依據該用戶之智能合約將該雜湊摘要儲存於區塊鏈;令該保密元件透過金鑰雜湊訊息鑑別碼(HMAC)演算法,依據該第一識別碼及該健康資訊之資訊標籤計算出第二識別碼,俾以該第二識別碼取代該用戶的原識別碼;令該保密元件使用對稱密鑰演算法加密該健康資訊之資料內容;以及令該保密元件上傳該第二識別碼與經加密之資料內容至雲端服務伺服器並儲存。
- 如申請專利範圍第1項所述之健康資訊去識別化之方法,其中,該初始化該用戶之健康資訊之方式復包括將原始數據依據種類分成各種該資訊標籤。
- 如申請專利範圍第1項所述之健康資訊去識別化之方法,其中,該使用該對稱密鑰演算法加密該健康資訊之資料內容之方式復包括產生該第二識別碼與對稱密鑰之關聯,且儲存於該保密元件內。
- 一種健康資訊查詢處理之方法,包括: 令雲端服務伺服器分析用戶或外部系統欲查詢之健康資訊,以依據用戶特徵產出第一識別碼並結合欲查詢之健康資訊的標籤組成JavaScript物件表示法(JavaScript Object Notation,JSON)的資料交換格式,再傳輸至保密元件進行查詢;令該保密元件使用該第一識別碼至區塊鏈查詢該查詢之來源是否擁有存取權限,且將此查詢事件存證於智能合約;於該查詢之來源擁有存取權限下,令該保密元件計算該健康資訊之用戶之第二識別碼;令該保密元件依據該第二識別碼查詢該用戶之密鑰,以於取得該密鑰後,由該保密元件將該密鑰及該第二識別碼回傳至該雲端服務伺服器;以及令該雲端服務伺服器使用該第二識別碼至資料庫之資料表進行查詢,以取得該用戶的資料並以該密鑰還原用戶之健康資訊。
- 如申請專利範圍第4項所述之健康資訊查詢處理之方法,其中,令該保密元件使用該第一識別碼至區塊鏈查詢該查詢來源是否擁有存取權限時,若為拒絕訪問,則由該智能合約紀錄此非經授權之查詢時間和事件,且回覆該雲端服務伺服器該查詢係未經授權。
- 如申請專利範圍第4項所述之健康資訊查詢處理之方法,其中,該第二識別碼係由金鑰雜湊訊息鑑別碼(HMAC)演算法所產出,且不將該第一識別碼與該第二識別碼之關聯進行快取或是儲存。
- 如申請專利範圍第4項所述之健康資訊查詢處理之方法,其中,令該保密元件依據該第二識別碼查詢該用戶之密鑰時,若無法取得, 代表該用戶未建立關聯,則查無資料,令該保密元件回覆該用戶無此標籤之健康資訊。
- 如申請專利範圍第4項所述之健康資訊查詢處理之方法,其中,令該保密元件依據該第二識別碼查詢該用戶之密鑰時,若取得之密鑰為空值,則代表該用戶的資料已被刪除且無法還原,因而無法取得該密鑰,令該保密元件回覆該用戶此標籤之健康資訊已刪除。
- 如申請專利範圍第4項所述之健康資訊查詢處理之方法,復包括令該雲端服務伺服器計算該健康資訊之雜湊摘要,用於驗證與該區塊鏈是否一致,以於驗證兩者一致時,確認該健康資訊之正確性。
- 如申請專利範圍第9項所述之健康資訊查詢處理之方法,其中,若驗證兩者不一致,表示該用戶的資料有被竄改之疑慮,由該雲端服務伺服器產出告警訊息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108145765A TWI727551B (zh) | 2019-12-13 | 2019-12-13 | 健康資訊去識別化及查詢處理之方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW108145765A TWI727551B (zh) | 2019-12-13 | 2019-12-13 | 健康資訊去識別化及查詢處理之方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TWI727551B true TWI727551B (zh) | 2021-05-11 |
| TW202123048A TW202123048A (zh) | 2021-06-16 |
Family
ID=77036631
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW108145765A TWI727551B (zh) | 2019-12-13 | 2019-12-13 | 健康資訊去識別化及查詢處理之方法 |
Country Status (1)
| Country | Link |
|---|---|
| TW (1) | TWI727551B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI820434B (zh) * | 2021-06-17 | 2023-11-01 | 新唐科技股份有限公司 | 參數檢查系統及參數檢查方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201835784A (zh) * | 2016-12-30 | 2018-10-01 | 美商英特爾公司 | 物聯網 |
| TWI674513B (zh) * | 2018-12-06 | 2019-10-11 | 財團法人工業技術研究院 | 健康資訊之存取系統、存取裝置及存取方法 |
-
2019
- 2019-12-13 TW TW108145765A patent/TWI727551B/zh active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW201835784A (zh) * | 2016-12-30 | 2018-10-01 | 美商英特爾公司 | 物聯網 |
| TWI674513B (zh) * | 2018-12-06 | 2019-10-11 | 財團法人工業技術研究院 | 健康資訊之存取系統、存取裝置及存取方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI820434B (zh) * | 2021-06-17 | 2023-11-01 | 新唐科技股份有限公司 | 參數檢查系統及參數檢查方法 |
| US11841944B2 (en) | 2021-06-17 | 2023-12-12 | Nuvoton Technology Corporation | Parameter checking system and parameter checking method |
Also Published As
| Publication number | Publication date |
|---|---|
| TW202123048A (zh) | 2021-06-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11475137B2 (en) | Distributed data storage by means of authorisation token | |
| US10275603B2 (en) | Containerless data for trustworthy computing and data services | |
| AU2008344384B2 (en) | Information distribution system and program for the same | |
| US10348693B2 (en) | Trustworthy extensible markup language for trustworthy computing and data services | |
| US8296824B2 (en) | Replicating selected secrets to local domain controllers | |
| CN109450633B (zh) | 信息加密发送方法及装置、电子设备、存储介质 | |
| CN112231692A (zh) | 安全认证方法、装置、设备及存储介质 | |
| US11604888B2 (en) | Digital storage and data transport system | |
| CN112685790B (zh) | 一种区块链数据安全及隐私保护方法 | |
| US9438427B2 (en) | Method and system for providing a plurality of tamperproof digital certificates for a plurality of public keys of a device | |
| Garba et al. | LightLedger: a novel blockchain-based domain certificate authentication and validation scheme | |
| CN112861157A (zh) | 一种基于去中心化身份和代理重加密的数据共享方法 | |
| Ulybyshev et al. | (WIP) blockhub: Blockchain-based software development system for untrusted environments | |
| CN112926082A (zh) | 一种基于区块链的信息处理方法及装置 | |
| US11640480B2 (en) | Data message sharing | |
| TWI727551B (zh) | 健康資訊去識別化及查詢處理之方法 | |
| Abouali et al. | Performance evaluation of secured blockchain-based patient health records sharing framework | |
| Junghanns et al. | Engineering of secure multi-cloud storage | |
| EP4175225A1 (en) | System and method for providing access to secured content field | |
| Singh et al. | Privacy preserving in TPA for secure cloud by using encryption technique | |
| Schapranow et al. | Security extensions for improving data security of event repositories in EPCglobal networks | |
| US11804969B2 (en) | Establishing trust between two devices for secure peer-to-peer communication | |
| Abramowitz et al. | Enterprise Mission Tailored OpenID Connect (OIDC) Profile and Enterprise Mission Tailored OAuth 2.0 Profile | |
| Vyas et al. | ANALYSIS OF SECURITY REQUIREMENTS OF FUTURISTIC MOBILE APPLICATIONS |