CN103955677B

CN103955677B - 一种基于隐私保护的心电图识别的方法

Info

Publication number: CN103955677B
Application number: CN201410199652.2A
Authority: CN
Inventors: 华景煜; 葛鑫; 管绍朋; 仲盛
Original assignee: Nanjing University
Current assignee: Nanjing University
Priority date: 2014-05-12
Filing date: 2014-05-12
Publication date: 2017-05-24
Anticipated expiration: 2034-05-12
Also published as: CN103955677A

Abstract

本发明公开了一种基于隐私保护的心电图识别的方法，首先在客户端将ECG数据进行打乱，打乱的方法是将从用户测量得到的心电图信号中提取出来的含有n个元素的特征向量A乘上一个n×n的随机矩阵matrix；然后，将转换得到的向量B而不是原始的A作为用户的特征向量上传到服务器数据库中，用于身份识别阶段对该用户的识别。本发明的方法可以很好的在训练阶段和身份识别过程中保护用户的心电图隐私。

Description

一种基于隐私保护的心电图识别的方法

技术领域

本发明涉及一种基于隐私保护的心电图识别的方法，属于信息安全技术领域。

背景技术

如今，许多基于生物识别技术的识别方法已经存在。众所周知，基于指纹、虹膜、面部以及语音等等的生物识别方法已经被广泛用于工业生产和日常生活中。然而，这些技术有致命的缺陷，用户的生物特征可以被伪造，这可能会对用户造成不可挽回的损失。与这几种生物识别技术相比，基于生物特征的心电图(ECG)识别技术有着无可比拟的优势，因为心电图数据很难伪造。然而，心电图数据被视为重要的个人隐私，用户通常不愿意透露他们的心电图数据，包括在抽样阶段以及识别阶段。

发明内容

发明目的：针对现有技术中存在的问题与不足，本发明提供一种基于隐私保护的心电图识别的方法。

技术方案：一种基于隐私保护的心电图识别的方法，包括如下步骤：

首先在客户端将ECG数据进行打乱(perturbation)，打乱的方法是将从用户测量得到的心电图信号中提取出来的含有n个元素的特征向量A乘上一个n×n的随机矩阵matrix，见等式2：

等式2

这里matrix(记为M)中的元素值是n*n个相互独立的随机数。

然后，将转换得到的向量B而不是原始的A作为用户的特征向量上传到服务器数据库中，用于身份识别阶段对该用户的识别。

基于此，服务器可以使用包括欧几里得距离(ED)、互相关(CC)等方法通过衡量A与B之间的相似性进行判断。

欧几里得距离是测试欧几里得空间里两者的距离。我们如果定义p={p₁,p₂…p_n},q={q₁,q₂…q_n}，那么p，q之间的欧几里得距离就是等式(3)所示。

等式3

求得A，B之间的ED值，由于ED值越小代表着两者间越相像，所以我们确定阈值t_ED，当A，B之间的ED值小于t_ED时，身份匹配；否则身份识别失败。

另外，互相关方法是一种比较稳定的分析方法，它可以用来分析两组ECG数据之间的相关性。两组ECG数值X(i)和X'(i)之间的互相关性计算参见等式4。如果是同一个人的两组ECG数据，那么X(i)和X'(i)会非常接近，那么CC的计算结果就会非常接近1，因此两组心电图数据之间的CC值越接近1，它们的相似性越大。

等式4

求得A，B之间的CC值，CC值越接近1代表两者之间的相关性越大，越相像，所以我们确定一个阈值区域[t_CC1,t_CC2],当求得的A，B间的CC值在此阈值空间内时，身份匹配；否则身份识别失败。

进一步地，为了解决这种转换后由于随机矩阵的随机性带来误差导致识别失败的问题，在训练阶段，我们让每一个用户引入m个随机矩阵来分别进行perturbation操作，这样将得到m组ECG features，记作A1，A2……Am，我们将所有这些ECG features存储在服务器端的数据库上。在身份识别阶段，用户同样使用与其对应的m个随机矩阵来分别进行perturbation操作，这样会在客户端得到m组ECG features记作B1，B2……Bm。将客户端测得的m组ECG features上传到服务器端，就可以求出m组ED和CC值，跟据上文提到的两种方法分别设置的阈值t_ED和阈值区间[t_CC1,t_CC2]。对于采用ED方法时，当m组ED值中有k_ED组小于t_ED时，就可以确定身份匹配，否则不匹配；对于使用CC方法，当m组CC值中有k_CC组在区间[t_CC1,t_CC2]时，就可以确定身份匹配，否则不匹配。使用一组随机矩阵来进行perturbation操作具有很大的随机性，当使用多组随机矩阵来进行多组perturbation操作可以使得实验结果更加具有代表性，消除偶然性误差。

有益效果：与现有技术相比，本发明提供的基于隐私保护的心电图识别的方法，乘上一个n×n的随机矩阵matrix，可以很好的保护用户的心电图数据不被泄露。为了进一步优化本发明，在登记数据阶段将用户的心电图特征向量分别乘上m个随机矩阵得到转变后的m个ECG feature存入到服务器中。如图3所示，当进行匹配时，在客户端求出的心电图特征向量分别乘上对应的m组随机矩阵也就会得到m组转变后的ECG feature，将这m组ECGfeature分别与对应的服务器端的m组ECG feature进行ED和CC值的计算，最终分析这m组ED和CC的值，确定其与阈值之间的关系就可以确定身份识别的最终结果。这种方法可以在保护用户心电图数据被不泄漏的情况下完成身份识别，很好的解决了当前基于心电图身份识别系统中存在的隐私泄露问题。

附图说明

图1为将打乱后的ECG feature(心电图特征向量)作为训练数据存入服务器端；

图2为用户Bob与用户Alice验证身份是否是同一个人的流程图；

图3为计算待识别数据和登记数据之间的m组ED和CC值；

图4为选取一个波形图的两个周期作为登记数据和识别数据；

图5为使用数据库NSRDB的实验结果；

图6为使用数据库MITDB的实验结果；

图7为采取隐私保护以及不采取隐私保护的识别时间的比较。

具体实施方式

下面结合具体实施例，进一步阐明本发明，应理解这些实施例仅用于说明本发明而不用于限制本发明的范围，在阅读了本发明之后，本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。

基于隐私保护的心电图识别的方法，如图1所示，在将心电图数据存入到服务器之前，为了保护用户的心电图隐私，首先在客户端将ECG数据进行打乱(perturbation)，打乱的方法是将从用户测量得到的心电图信号中提取出来的含有n个元素的特征向量A乘上一个n×n的随机矩阵matrix，见等式2：

等式2

这里matrix(记为M)中的元素值是n*n个相互独立的随机数。然后，将转换得到的向量B而不是原始的A作为用户的特征向量上传到服务器数据库中，用于身份识别阶段对该用户的识别。比如对于用户Alice，她的心电图特征向量为ECG_Alice＝{-0.12,-0.485,0.84,-0.435,-0.23}，Alice对应的随机矩阵

ECG_Alice_encryption＝ECG_Alice×matrix_Alice＝{-72.875,-50.315,17.1,-31.325,-24.9}。将加密后的Alice的心电图特征向量即ECG_Alice_encryption存储到服务器端。

对于用户Bob，她的心电图特征向量为:ECG_Bob＝{-0.16,-0.4,1.085,-0.44,-0.09}，而Bob对应的随机矩阵是

ECG_Bob_encryption＝ECG_Bob×matrix_Bob＝{-25.98,50.405,

65.785,0.605,20.95}。同样，将加密后的Bob的心电图特征向量即ECG_Bob_encryption存储到服务器端。

因为等式2中的随机矩阵M是用户私有的，其他人无法获得，所以服务器无法获得M的逆矩阵，也就无法通过他们所获得的打乱后的特征向量B来推测出用户真实的心电图特征向量A。因此这种方法可以在数据训练阶段很好的保护用户的心电图数据不被泄露。下面我们介绍如何通过使用打乱过后的特征向量来对用户进行身份识别。

针对服务器、客户端模式，服务器端存放的是用户经保护后的训练数据；客户端是测出用户的待识别数据，然后上传到服务器端进行身份识别。我们假定如下场景：一个用户自称是Alice(我们不确定他是否是真的Alice，所以我们先称呼他Bob)，系统需要使用心电图匹配来确定Bob是否就是真的Alice。为此，如图2所示，客户端首先通过相关机器测量Bob的心电图数据，并且提取其特征向量。由于此时在服务器端存储的Alice的特征向量样本是经过perturbation的，客户端在将Bob的特征向量上传到服务器进行匹配前，我们同样需要将其乘上Bob在训练阶段所使用的随机矩阵(如果Bob就是Alice，那么Bob此时匹配阶段ECGfeature乘上的随机矩阵跟Alice训练阶段ECG feature乘上的随机矩阵相同。否则不相同)进行perturbation操作，假设结果为B。如果Bob就是Alice，那么，因为同一个人在相同情况下两次测量的心电图特征向量非常接近，并且在训练和匹配阶段会乘上相同的随机矩阵进行perturbation操作，B应该与Alice在服务器上保存的特征向量样本A非常接近。基于此，服务器可以使用包括欧几里得距离(ED)、互相关(CC)等方法通过衡量A与B之间的相似性来判断Bob是否就是Alice。这里，因为识别阶段Bob上传的数据同样经过了perturbation操作，所以我们不仅在训练阶段也在识别阶段保护了用户的心电图数据隐私。

如图2中所示，在识别阶段我们会使用基于欧几里得距离的算法和基于互相关性的算法来衡量特征向量的相关性。

欧几里得距离是测试欧几里得空间里两者的距离。我们如果定义p={p₁,p₂…p_n},q={q₁,q₂…q_n}那么p，q之间的欧几里得距离就是等式(3)所示。

等式3

在使用欧几里得距离算法测试Bob是否是Alice时，我们从服务器中得到Alice的登记数据A。在客户端测出Bob的ECG数据后经转换得到待识别数据B，求得A，B之间的ED值。由于ED值越小代表着两者间越相像，所以我们确定阈值t_ED，当A，B之间的ED值小于t_ED时，说明Bob就是Alice，身份匹配；否则Bob不是Alice，身份识别失败。比如对于用户Alice，此时在客户端可以测出其心电图特征向量为：Alice_client＝{-0.2， -0.535， 0.94， -0.475，

-0.29}，乘上Alice的随机矩阵matrix_Alice，将得到转换后的特征向量ECG_Alice_to_recognize＝Alice_client×matrix_Alice＝{-85.955， -59.115，

17.78， -35.985， -34.48},根据等式3,计算ECG_Alice_encryption以及ECG_Alice_to_recognize之间的欧几里得距离，ED(ECG_Alice_encryption，ECG_Alice_to_recognize)＝19.0389.

对于用户Bob，此时在客户端测出数据为：Bob_client＝{-0.14， -0.37， 1.02， -0.425， -0.115}，乘上Bob的随机矩阵matrix_Bob，将得到转换后的特征向量：ECG_Bob_to_recognize＝Bob_client×matrix_Bob＝{-25.265， 46.39， 61.855， -1， 18.205}，根据等式3：

ED(ECG_Alice_encryption，ECG_Bob_to_recognize)＝128.059.同样可求出ED(ECG_Bob_encryption，ECG_Bob_to_recognize)＝6.49518，ED(ECG_Bob_encryption，ECG_Alice_to_recognize)＝149.357。

Alice与Bob之间的欧几里得距离可以参见表格1。

表1-Alice与Bob之间的欧几里得距离

欧几里得距离越小说明两者之间越相似，相反，欧几里得距离越大说明两者之间差距越大。另外，互相关方法是一种比较稳定的分析方法，它可以用来分析两组ECG数据之间的相关性。两组ECG数值X(i)和X'(i)之间的互相关性计算参见等式4。如果是同一个人的两组ECG数据，那么X(i)和X'(i)会非常接近，那么CC的计算结果就会非常接近1，因此两组心电图数据之间的CC值越接近1，它们的相似性越大。

等式4

当使用互相关算法测试Bob是否是Alice时，我们从服务器中得到Alice的登记数据A，在客户端测出Bob的ECG数据后经转换得到待识别数据B。求得A,B之间的CC值，CC值越接近1代表两者之间的相关性越大，越相像，所以我们确定一个阈值区域[t_CC1,t_CC2],当求得的A，B间的CC值在此阈值空间内时，说明Bob就是Alice，身份匹配；否则Bob不是Alice，身份识别失败。根据等式4以及前面在客户端得到的转换后的心电图特征向量数据：ECG_Alice_to_recognize，ECG_Bob_to_recognize。计算可得CC(ECG_Alice_encryption，ECG_Alice_to_recognize)＝1.18407,

CC(ECG_Alice_encryption，ECG_Bob_to_recognize)＝0.0146687.同样的。可以得到：CC(ECG_Bob_encryption，ECG_Bob_to_recognize)＝0.932607；

CC(ECG_Bob_encryption，ECG_Alice_to_recognize)＝-0.040219；

Alice与Bob之间的互相关性可以参见表格2

表2-Alice与Bob之间的互相关性

互相关性越靠近1说明两者越相似，互相关性越远离1说明两者差距越大。

虽然上文描述的方法可以很好的在训练阶段和身份识别过程中保护用户的心电图隐私，但是这样的一种身份识别的计算可能会出现误差。因为用来计算的ECG feature是由本来的ECG feature乘上一个随机矩阵转换后得到的。身份匹配过程中会出现两种误差：一种是假阳性(false positive)一种是假阴性(false negative)。假阴性是指Bob确实就是Alice，但实验结果却得出Bob不是Alice的错误结论；假阳性是指Bob确实不是Alice，但实验结果却得出Bob就是Alice的错误结论。由于不同人测出的心电图数据的差距会比较明显，所以他们的心电图特征向量差距会比较大。比如Bob不是Alice，那么Bob和Alice的原始特征向量差距会比较大，如果不使用perturbation操作可以很容易的识别出两者的差异，从而判断出Bob不是Alice。但是为了保护隐私，我们会采用perturbation操作，即将Alice和Bob的原始特征向量A和B分别乘上了一个他们各自对应的随机矩阵，由于随机矩阵具有随机性，转换后得到的两个特征向量A'和B'很有可能变得非常接近，从而系统错误的将Bob认定为Alice，造成所谓的假阳性误差。同样，即使Bob就是Alice，即A和B在进行perturbation之前非常接近，但在经过perturbation后我们也无法保证A'和B'仍然接近，相反他们之间的ED值或CC值有可能超出系统规定的阈值，从而被认定不是同一个人，造成所谓的假阳性误差。

本实施例使用了2个公用数据库，其中MIT-BIH Normal Sinus Rhythmdatabase(NSRDB)包含12组心率正常的人的数据，MIT-BIH Arrhythmia database(MITDB)包含31组心率失常的人的数据。由于每个心电图记录都是包含多个周期，所以选取其中一个周期作为本文的采样周期，并且将其运用在数据的训练阶段。将提取到的ECG feature乘上与该个体对应的m个随机矩阵相乘后，将得到的m个ECG feature，并将其存入到服务器端的数据库中，本次实验中本文设定m＝10。我们再选取另一个周期作为待识别的心电图数据在识别阶段使用。同样将提取到的ECG feature乘上该个体对应的m个随机矩阵得到m个特征向量，并将这m个特征向量上传到服务器端进行ED和CC值得计算，分析ED和CC的值就可以得出身份是否匹配的结果。也就是说对于一个如图4的连续存储的心电图记录，选取其中两个周期，一个用来作为训练的数据(周期1)，一个用来作为待识别的数据(周期2)。即周期1提取作为训练阶段的心电图特征向量ECG feature A，周期2提取作为匹配阶段的心电图特征向量ECG feature B。对于心率不正常的人，为了提高识别率，减少因为心率波动过大造成的偶然误差导致的识别失败的情况，在识别和匹配阶段分别会提取多组ECG feature，并在两个阶段各取其平均值作为心电图特征向量。

需要完成的实验是查看在相关阈值的设定下，当Bob确实就是Alice时，使用ED和CC方法各自能成功识别出两者就是同一个人的比率。以及当Bob不是Alice时，使用ED和CC方法各自能成功区分两者不是同一个人的的比率。对于采用ED方法，设定的阈值是：t_ED＝125,k_ED＝9，也就是说当使用ED方法时，计算得到的十组ED值中只要满足9组及以上ED值小于125，那么我们就确定Bob是Alice，否则Bob不是Alice。对于采用CC方法，设定的阈值是：t_CC1＝0.6,t_CC2＝1.4,k_CC＝7,也就是说当使用CC方法时，计算得到的十组CC值中只要满足7组及以上的CC值在区间[0.6,1.4]上，我们就确定Bob是Alice，否则Bob不是Alice。

NSRDB包含了12组心率正常人的心电图数据，所以在训练阶段将会存入12×10组ECG feature，即每个个体都会存入10组ECG feature。在识别阶段，对于每个个体提取得到ECG feature乘上与其对应的10组随机矩阵进行perturbation操作后与训练阶段该个体对应的10组ECG feature分别计算ED和CC值。当Bob确实就是Alice时，共计完成12次实验，实验中使用欧几里得方法的成功识别Bob就是Alice的比率是100％，使用互相关方法成功识别Bob就是Alice的比率是100％。当Bob不是Alice时，共计完成132次实验，实验中使用欧几里得距离成功区分Bob不是Alice的比率是100％，使用互相关方法成功区分Bob不是Alice的比率是97.72％，参见图5。

MITDB包含了31组心率不齐人的心电图数据，所以在训练阶段将会存入31×10组ECG feature，即每个个体都会存入10组ECG feature。在识别阶段，对于每个个体提取得到ECG feature乘上与其对应的10组随机矩阵进行perturbation操作后与训练阶段该个体对应的10组ECG feature分别计算ED和CC值。当Bob确实就是Alice时，共计完成31组实验，实验中使用欧几里得距离(Euclidean-distance)方法的成功识别Bob就是Alice的比率是96.77％,使用互相关(cross-correlation)方法成功识别Bob就是Alice的比率是96.77％。当Bob不是Alice时，共计完成930组实验，实验中使用欧几里得距离成功区分Bob不是Alice的比率是95.70％，使用互相关方法成功区分Bob不是Alice的比率是94.41％，参见图6。

由于实验会有对用户的心电图特征向量进行隐私保护的操作，即前文提到的perturbation操作，所以perturbation操作会在进行心电图识别时花费一定时间，图7对比了使用perturbation操作以及不使用perturbation操作进行心电图识别的时间的对比。当不采用隐私保护时，使用两种身份识别算法平均的识别时间分别是：ED0.627ms；CC0.655ms。当使用隐私保护时，使用两种身份识别算法的平均的识别时间分别是：ED2.71ms；CC:2.73ms。

结果显示对用户的心电图数据进行隐私保护后的心电图识别，无论是使用ED还是CC方法，时间都是非常短，都是即时的，所以本文的隐私保护操作不会影响到用户的使用。

Claims

1.一种基于隐私保护的心电图识别的方法，其特征在于，包括如下步骤：

首先在客户端将ECG数据进行打乱，打乱的方法是将从用户测量得到的心电图信号中提取出来的含有n个元素的特征向量A乘上一个n×n的随机矩阵matrix，见等式2：

这里matrix(记为M)中的元素值是n*n个相互独立的随机数；

然后，将转换得到的向量A’而不是原始的A作为用户的特征向量上传到服务器数据库中，用于身份识别阶段对该用户的识别；

服务器使用欧几里得距离、互相关方法通过衡量用户Alice的特征向量A与用户Bob的特征向量B的相似性进行判断，其中，欧几里得距离简称ED，互相关简称CC；

如果定义p＝{p₁,p₂...p_n}，q＝{q₁,q₂...q_n}，那么p，q之间的欧几里得距离就是等式3所示；

求得A，B之间的ED值，由于ED值越小代表着两者间越相像，确定阈值t_ED，当A，B之间的ED值小于t_ED时，身份匹配；否则身份识别失败；

互相关方法是一种比较稳定的分析方法，它可以用来分析两组ECG数据之间的相关性；两组ECG数值X(i)和X'(i)之间的互相关性计算参见等式4；如果是同一个人的两组ECG数据，那么X(i)和X'(i)会非常接近，那么CC的计算结果就会非常接近1，因此两组心电图数据之间的CC值越接近1，它们的相似性越大；

求得A，B之间的CC值，CC值越接近1代表两者之间的相关性越大，越相像，所以确定一个阈值区域[t_CC1,t_CC2],当求得的A，B间的CC值在此阈值空间内时，身份匹配；否则身份识别失败；

在训练阶段，让每一个用户引入m个随机矩阵来分别对原有ECG数据进行打乱操作，这样将得到m组ECG特征向量，记作A1，A2……Am，将所有这些 ECG特征向量存储在服务器端的数据库上；在身份识别阶段，用户同样使用与其对应的m个随机矩阵来对原有的ECG数据分别进行打乱操作，这样会在客户端得到m组ECG特征向量，记作B1，B2……Bm；将客户端测得的m组ECG特征向量上传到服务器端，就可以求出m组ED和CC值，根据上文提到的欧几里得距离以及互相关方法分别设置的阈值t_ED和阈值区间[t_CC1,t_CC2]；对于采用ED方法时，当m组ED值中有k_ED组小于t_ED时，就可以确定身份匹配，否则不匹配；对于使用CC方法，当m组CC值中有k_CC组在区间[t_CC1,t_CC2]时，就可以确定身份匹配，否则不匹配。