CN111107094A - 轻量级地面向医疗物联网的大数据共享系统 - Google Patents

Abstract

本申请公开了一种轻量级地面向医疗物联网的大数据共享系统，包括内置安全中间件的患者端、信任中心、云服务器和用户端。患者端对共享医疗数据进行数据加密并设置授权用户身份集合，利用安全中间件将加密后的共享医疗数据分割为多个数据块并为各数据块生成标签；信任中心基于系统参数为患者端和用户端计算共享医疗数据的加密中间值和解密中间值，并为用户生成数据下载许可证和私钥；云服务器当验证用户数据下载许可证中的下载数据时间有效后，生成数据证明和标签证明；用户端根据数据证明和标签证明确定数据完整后，从云服务器下载加密数据并计算解密密钥得到明文数据。实现了安全、轻量级地医疗大数据共享，保证了共享数据的隐私性和完整性。

Description

轻量级地面向医疗物联网的大数据共享系统

技术领域

本申请涉及数据共享技术领域，特别是涉及一种轻量级地面向医疗物联网的大数据共享系统。

背景技术

随着信息技术的快速发展，医疗物联网在医疗领域得到了广泛应用。医疗物联网不仅可以给患者带来便利，使患者可以随时随地远程医疗，还可以帮助医疗专家利用医疗大数据进行疾病精准预测等智能医疗。但随着物联网设备对医疗数据的不断采集和医疗大数据应用的持续增长，医疗信息系统面临着如何高效地对医疗大数据进行存储、检索和处理等挑战。

基于云计算技术的云平台作为一个新兴的平台，具有存储量大，运算效率高、成本低等优点。因此，患者可以将个人健康医疗等信息上传到云端，供医疗专家进行疾病诊断或预测。将医疗数据外包到云端进行信息共享，不仅节省了医疗信息系统本地的存储空间，而且大大减少了医疗企业在软硬件维护上的投资成本。

但是，在云平台共享敏感医疗数据时，会产生一定的安全隐私问题。首先，医疗数据不仅涉及患者的个人身份信息，还涉及传染病等医疗信息。敏感信息的泄露无疑会对患者的生活和工作造成危害，因此，保证患者医疗数据的隐私刻不容缓。另外，云存储服务器有时会产生硬件或软件故障，或者遭受恶意的内部或外部攻击。因此，确保云存储服务器共享医疗数据的完整性极其重要。此外，云端共享的敏感医疗数据不应被未授权的用户访问。如果未经授权的用户访问并篡改了云端的共享医疗记录，将导致误诊等严重的后果。此外，物联网终端节点通常为资源受限设备，存储空间小，处理速度慢。

目前，相关技术通过基于属性的加密方法来实现医疗数据共享，加密和解密的操作主要在患者端和用户端实现，这无疑增加了终端的通信和计算负担。此外，由于共享方案没有完整性验证机制，导致不完整的医疗数据供用户共享，产生错误的诊断结果。

鉴于此，在医疗数据共享过程中，确保只有合法的用户访问医疗数据，并且保证患者医疗信息的隐私和数据完整性，以及解决物联网终端节点由于资源受限设备导致存储空间小，处理速度慢的问题，是本领域技术人员需要解决的问题。

发明内容

本申请提供了一种轻量级地面向医疗物联网的大数据共享系统，实现了安全、轻量级地医疗大数据共享，不仅保证只有合法的用户才能访问共享数据，在共享中确保患者的数据隐私和数据完整性，而且还解决物联网终端节点由于资源受限设备导致存储空间小，处理速度慢的问题；不仅保证了医疗数据在共享中的安全隐私性，同时极大地提高了患者和用户端的运算及通信效率。

为解决上述技术问题，本发明实施例提供以下技术方案：

本发明实施例提供了一种轻量级地面向医疗物联网的大数据共享系统，包括内置安全中间件的患者端、信任中心、云服务器和用户端；

所述患者端用于根据采集的患者数据信息生成共享医疗数据并进行数据加密，同时设置所述共享医疗数据的授权用户身份集合；利用所述安全中间件将加密后的共享医疗数据分割为多个数据块并为各数据块生成标签；

所述信任中心用于生成系统参数；并基于所述系统参数根据所述患者端的加密中间值计算请求和所述用户端的解密中间值计算请求计算所述共享医疗数据的加密中间值和解密中间值；为用户生成所述共享医疗数据的数据下载许可证和解密私钥；

所述云服务器用于存储所述授权用户身份集合、所述共享医疗数据、标签数据及相应患者身份；当验证用户完整性验证请求中的所述数据下载许可证中的下载数据时间有效，生成数据证明和标签证明；

所述用户端用于根据所述标签证明和所述数据证明确定数据完整后，从所述云服务器下载数据并计算解密密钥得到明文数据。

可选的，所述患者端用于计算对称密钥，利用所述对称密钥的哈希值对所述共享医疗数据进行对称加密，并将加密后的共享医疗数据发送至所述安全中间件中。

可选的，所述安全中间件用于通过纠错算法将加密后的共享医疗数据分割为多个数据块，并利用自己的私钥为各数据块生成标签；

其中，第i个数据块m_i的标签σ_i为

x为所述安全中间件的私钥，H₃为密码学哈希函数，u＝h^τ，h为随机选择的生成元，τ为随机数且

可选的，所述系统参数为参数集Params中的任意一个或任意组合：

其中，

为双线性映射群系统，

为阶为q的乘法群，e为双线性映射且

H₁、H₂、H₃为密码学哈希函数，且

λ为安全参数，y为预设整数值，γ为随机数且

w＝g^γ，v＝e(g,h)，g、h为随机选择的生成元且

可选的，所述用户端用于生成两个随机函数f₁和f₂，f₁:{1,2,…,n}→{1,2,…,n}，

通过f₁从[1,n]中选择包含c个元素的集合Ι，并且根据f₂选择c个相应的随机数

向所述云服务器发送携带挑战信息的用户完整性验证请求；

所述挑战信息chal为chal＝(Uid_j,(i,d_i)_i∈I,Pid)，Uid_j为所述当前解密用户身份，Pid为患者身份。

可选的，所述云服务器用于利用

验证所述数据下载许可证中的下载数据时间有效，当验证所述下载数据时间有效，则生成标签证明

和数据证明

式中，warr为所述数据下载许可证，time为当前解密用户访问所述共享医疗数据的有效时间，H₁为密码学哈希函数，

a₁、a₂为随机数且

h为随机选择的生成元，σ_i为第i个数据块m_i的标签。

可选的，所述加密中间值计算请求为携带所述授权用户身份集合信息的请求；所述信任中心用于基于所述授权用户身份集合和所述系统参数利用加密中间值计算关系式计算得到加密中间值；所述加密中间值计算关系式为：

式中，φ为所述加密中间值，Uid_k为所述授权用户身份，t为所述授权用户身份集合中的授权用户总个数，1≤k≤t，t≤y，y为预设整数值，H₁为密码学哈希函数，γ为随机数且

可选的，所述解密中间值计算请求为携带所述患者身份和当前解密用户身份的请求，且所述当前解密用户身份为所述授权用户身份集合中的第j个授权用户的身份；所述信任中心用于基于所述患者身份、所述当前解密用户身份、所述授权用户身份集合和所述系统参数利用解密中间值计算关系式计算得到解密中间值，所述解密中间值计算关系式为：

Δ_γ(Uid_j,S)＝γ^-1·(φ·(γ+H₁(Uid_j))^-1-δ)；

其中，

式中，Δ_γ(Uid_j,S)为所述解密中间值，Uid_k为所述授权用户身份，Uid_j为所述当前解密用户身份，S为所述授权用户身份集合，φ为所述加密中间值，t为所述授权用户身份集合中的授权用户总个数，1≤k≤t，t≤y，y为预设整数值，H₁为密码学哈希函数，γ为随机数且

可选的，所述信任中心用于利用许可证生成关系式为用户生成所述共享医疗数据的数据下载许可证，所述许可证生成关系式为：

warr＝a₁+a₂·H₁(Uid_j||time)；

式中，warr为所述数据下载许可证，a₁、a₂为随机数且

time为当前解密用户访问所述共享医疗数据的有效时间。

可选的，所述用户端用于利用解密密钥计算关系式生成所述解密密钥K，所述解密密钥计算关系式为：

式中，

e为双线性映射，C₁＝w^-r，w＝g^γ，C₂＝h^r·φ，r为随机数且

g、h为随机选择的生成元且

γ为随机数且

为阶为q的乘法群，sk_Uid为所述当前解密用户的私钥。

本申请提供的技术方案的优点在于，通过在患者端加入安全中间件，实现患者端的轻量级操作；预先定义可允许访问医疗共享数据的用户信息，保证只有合法的用户才能访问共享数据，在医疗数据共享的整个过程采用基于身份的加密方法结合云服务器和信任中心共同完成的加密环节，不仅保证医疗数据的安全性和隐私性，还解决了相关技术中基于属性加密增加患者端和用户端的通信及计算负担的问题；为了保证共享医疗数据的完整性，安全中间件将该数据分割为数据块，并为每个数据块计算标签；在数据共享之前先进行数据完整性验证，保证获取医疗数据的完整性，避免云服务器由于遭受恶意攻击或故障导致数据获取不完整的现象发生；将用户数据存储云服务器中，还可解决物联网终端节点由于资源受限设备导致存储空间小，处理速度慢的问题。实现了安全、轻量级地医疗大数据共享，极大地提高了患者和用户端的运算及通信效率。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本公开。

附图说明

为了更清楚的说明本发明实施例或相关技术的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单的介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的轻量级地面向医疗物联网的大数据共享系统的一种具体实施方式结构图；

图2为本发明实施例提供的一种轻量级地面向医疗物联网的大数据共享交互流程示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面结合附图和具体实施方式对本发明作进一步的详细说明。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等是用于区别不同的对象，而不是用于描述特定的顺序。此外术语“包括”和“具有”以及他们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可包括没有列出的步骤或单元。

在介绍了本发明实施例的技术方案后，下面详细的说明本申请的各种非限制性实施方式。

首先参见图1，图1为本发明实施例提供的一种轻量级地面向医疗物联网的大数据共享系统的一种框架结构示意图，本发明实施例可包括以下内容：

一种轻量级地面向医疗物联网的大数据共享系统包括患者端1、信任中心2、云服务器3和用户端4，各端通过交互最终完成医疗数据的共享。

其中，患者端1为医疗数据的所有者，可利用物联网传感器等终端设备采集体温、心率、脉搏、身体数据等自身的医疗数据生成当前患者的共享医疗数据并进行数据加密。患者端1中可包括多个患者的共享医疗数据，可采用任何一种加密方法对共享医疗数据进行加密，为了提高灵活性，不同患者的共享医疗数据的加密方法可根据实际需求采用不同的加密方法进行加密。为了方便患者端1数据处理，可对患者端1所有的共享医疗数据采用同一种加密方法进行数据加密。具体加密过程可参阅相关加密技术的加密过程，本申请对此不再赘述。为了保证共享医疗数据的安全性和隐私性，患者端1可在生成共享医疗数据之后，根据患者定义用户访问共享医疗数据的访问权限生成共享医疗数据的授权用户身份集合，授权用户身份集合包括所有可通过用户端4访问共享医疗数据的授权用户身份。

在本申请中，为了减轻患者端1的计算负担，实现了患者端1地轻量级操作，患者端1可内置安全中间件10，安全中间件10可以由一定范围内的服务器来实现，比如社区医疗服务器，本申请对此不做任何限定。利用安全中间件10可将加密后的共享医疗数据分割为多个数据块并为各数据块生成标签；可采用任何一种数据分割方法将共享医疗数据分割为多个数据块，例如可采用纠错码算法将数据分割为数据块。

本发明实施例的信任中心2可用于生成系统参数，系统参数包括公开参数和秘密参数，作为后续进行加减密、各端私钥的参数信息。基于系统参数根据患者端1发送的加密中间值计算请求和用户端4发送的解密中间值计算请求分别为患者端1计算共享医疗数据的加密中间值和为用户端4计算共享医疗数据的解密中间值。通过利用信任中心2在医疗数据共享过程中计算加解密中间值，实现患者1和用户端4的轻量级运算，降低患者1和用户端4的计算负担。为了保证用户端4从云服务器3安全下载共享医疗数据，信任中心2还可生成共享医疗数据的数据下载许可证和私钥。

本申请中的云服务器3拥有大量的存储和计算资源，负责存储和处理共享的数据并且为合法用户提供数据访问服务。具体来说，云服务器3可用于存储授权用户身份集合、共享医疗数据、标签数据及相应患者身份，标签数据为安全中间件10为各数据块生成的标签集合。当验证用户完整性验证请求中的数据下载许可证中的下载数据时间有效，生成标签证明和数据证明；标签证明和数据证明可用于作为数据完整性验证的标准。

在本申请中，用户端4可为患者授权的医疗专家或研究者，可以从云服务器3下载并解密医疗数据。在共享医疗数据下载之前，可先根据标签证明和数据证明确定数据完整后，然后再从云服务器3中下载加密的共享医疗数据并利用解密密钥得到明文数据。

在本发明实施例提供的技术方案中，通过在患者端加入安全中间件，实现患者端的轻量级操作；预先定义可允许访问医疗共享数据的用户信息，保证只有合法的用户才能访问共享数据，在医疗数据共享的整个过程采用基于身份的加密方法结合云服务器和信任中心共同完成的加密环节，不仅保证医疗数据的安全性和隐私性，还解决了相关技术中基于属性加密增加患者端和用户端的通信及计算负担问题；为了保证共享医疗数据的完整性，安全中间件将该数据分割为数据块，并为每个数据块计算标签；在数据共享之前先进行数据完整性验证，保证获取医疗数据的完整性，避免云服务器由于遭受恶意攻击或故障导致数据获取不完整的现象发生；将共享数据存储云服务器中，还可解决物联网终端节点由于资源受限设备导致存储空间小，处理速度慢的问题。实现了安全、轻量级地医疗大数据共享，极大地提高了患者和用户端的运算及通信效率。

为了便于本领域技术人员更加清楚本申请的技术方案，本申请基于图1所示的系统，还提供了系统中各端的数据交互流程示意图，请参阅图2，包括下述内容：

信任中心2可基于给定安全参数λ和整数y，构造的双线性映射群系统

生成系统参数并进行发布。系统参数构成参数集Params，可表示为

为阶为q的乘法群，e为双线性映射且

H₁、H₂、H₃为选取的安全的密码学哈希函数，且

γ为随机数且

w＝g^γ，v＝e(g,h)，g、h为随机选择的生成元且

信任中心2还可秘密保存主密钥Mk＝(g,γ)。

患者端1预先定义访问共享医疗数据的授权用户身份集合，并将授权用户身份集合和患者身份发送至信任中心2，以作为加密中间值的计算请求发送给信任中心2，信任中心2根据授权用户身份集合计算得到加密中间值，并将加密中间值秘密发送给患者端1。

其中，患者端1预先定义共享医疗数据的授权用户身份集合S，S＝Uid_k，1≤k≤t，t≤y。满足

的任何授权用户都可以通过用户端4在有效时间内访问共享医疗数据。患者Pid将注册信息即授权用户身份集合S和患者身份Pid发送给信任中心2后，以作为加密中间值的计算请求，信任中心2根据授权用户身份集合和系统参数利用加密中间值计算关系式计算得到加密中间值，并将φ秘密地传送给患者端1，同时为了后续的运算，可将φ保存在信任中心2本地。其中，加密中间值计算关系式可表示为：

式中，φ为加密中间值，Uid_k为授权用户身份，t为授权用户身份集合中的授权用户总个数，y为预设整数值，H₁为密码学哈希函数，γ为随机数且

患者端1计算对称密钥，利用对称密钥的哈希值对共享医疗数据进行对称加密，同时将加密后的共享医疗数据发送至安全中间件10中。安全中间件10通过纠错算法将加密后的共享医疗数据分割为多个数据块并利用自己私钥为各数据块生成标签，并将患者身份、标签信息、加密后共享医疗数据发送至云服务器3。

其中，患者身份为Pid的共享医疗数据为M，数据的最大长度为l。患者端1计算对称密钥K，并用H₂(K)对共享医疗数据进行对称加密。患者端1可首先随机选取

并计算C₁＝w^-r、C₂＝h^r·φ。K＝v^r。然后可通过计算关系式

将数据M加密为M′。最后，患者端1将Pid、S、C＝C₁,C₂发送到云服务器3，将Pid、M′发送到安全中间件10。为了确保数据M的完整性，安全中间件10可通过纠错码算法将数据分割为数据块，即M′＝m_i。然后随机选择

并计算pk＝h^x，u＝h^τ。安全中间件10可将x定义为私钥，将pk定义为公钥，以将私钥x为各数据块计算标签，第i个数据块m_i的标签σ_i为

同时将各数据块标签生成标签集合T，T＝σ_j，H₃为密码学哈希函数，u＝h^τ，h为随机选择的生成元，τ为随机数且

并将D＝(Pid、M′、T、u)发送到云服务器3中。

用户端4向信任中心2发送携带用户身份的数据访问请求，以获得私钥。信任中心2接收到用户端4发送的用户身份Uid_k∈{0，1}^*，Uid_k为授权用户身份集合中的第k个授权用户的身份，可为该用户生成相应的私钥

对于当前解密用户来说，当前解密用户的私钥可表示为

当判定用户身份属于授权用户身份集合，为了控制用户下载数据的有效时间，可为用户生成数据下载许可证，并将私钥sk_Uid秘密发送给用户端4中，将数据下载许可证和用户身份Uid_j发送至云服务器3中。

其中，信任中心2可用于利用许可证生成关系式生成共享医疗数据的数据下载许可证，许可证生成关系式为：

warr＝a₁+a₂·H₁(Uid_j||time)；

式中，warr为数据下载许可证，a₁、a₂为随机选择的两个随机数且

time为当前用户访问共享医疗数据的有效时间。

用户端4在向云服务器3下载共享医疗数据之前，先向云服务器3发送携带数据下载许可证的完整性验证请求；云服务器3接收到该完整性验证请求后，判断完整性验证请求中的数据下载许可证中的下载时间是否有效，若判定数据下载许可证中的下载数据时间有效，则生成标签证明和数据完整性证明并秘密发送给用户端4中。

在本申请中，用户端4在生成用户完整性验证请求之前，可首先生成两个随机函数f₁和f₂，f₁:{1,2,…,n}→{1,2,…,n}，

通过f₁从[1,n]中选择包含c个元素的集合Ι，并且根据f₂选择c个相应的随机数

最后向云服务器3发送携带挑战信息的用户完整性验证请求；挑战信息chal可表示为chal＝(Uid_j,(i,d_i)_i∈I,Pid)，Uid_j为当前解密用户身份，Pid为患者身份。云服务器3在接收到完整性验证请求后，可利用

验证数据下载许可证中的下载数据时间的有效性，若

等式成立，则下载数据时间有效。warr为数据下载许可证，time为当前用户访问共享医疗数据的有效时间，H₁为密码学哈希函数，

和

预先存储至云服务器3中，a₁、a₂为随机数且

h为随机选择的生成元，σ_i为第i个数据块m_i的标签。若验证下载数据时间有效，则云服务器3生成数据证明

和标签证明

并将P＝(TP,DP)发送给用户端4。用户端4可根据

来验证共享医疗数据M的完整性。

用户端4在判定数据完整后，向信任中心2发送计算解密中间值的请求并计算解密共享医疗数据的解密密钥，其中，解密中间值计算请求为携带患者身份和当前解密用户身份的请求信任中心2可基于患者身份、当前解密用户身份、授权用户身份集合和系统参数利用解密中间值计算关系式计算得到解密中间值，并将解密中间值秘密发送给用户端4，解密中间值计算关系式为：

Δ_γ(Uid_j,S)＝γ^-1·(φ·(γ+H₁(Uid_j))^-1-δ)；

其中，

式中，Δ_γ(Uid_j,S)为解密中间值，Uid_k为授权用户身份，Uid_j为当前解密用户身份，S为授权用户身份集合，φ为加密中间值，t为授权用户身份集合中的授权用户总个数，1≤k≤t，t≤y，y为预设整数值，H₁为密码学哈希函数，γ为随机数且

此外，用户端4还可用于利用解密密钥计算关系式生成解密密钥K，并利用解密密钥解密从云服务器3下载的加密的共享医疗数据；解密密钥计算关系式可表示为：

式中，

e为双线性映射，C₁＝w^-r，w＝g^γ，C₂＝h^r·φ，r为随机数且

w为参数集Params中的一个参数，g、h为随机选择的生成元且

γ为随机数且

为阶为q的乘法群，sk_Uid为当前解密用户的私钥。

用户端4在接收到解密中间值和计算得到解密密钥后，向云服务器3发送下载数据请求，同时从云服务器3中下载加密后的共享医疗数据，并利用解密中间值和解密密钥得到明文数据。具体来说，用户Uid_j从云服务器3下载得到(M′,C)，并根据信任中心2发送的(δ,Δ_γ(Uid_j,S))，计算

获得解密密钥K。最后用户端4基于解密密钥K通过计算关系式M＝M′·H₂(K)恢复得到共享医疗数据的明文。

对上文中提到的轻量级地面向医疗物联网的大数据共享系统，其内包含的患者端、信任中心、云服务器和用户端均可包括处理器和存储器，其中，存储器可用于存储计算机程序；处理器用于执行相应计算机程序时实现如上述实施例提到的各端执行医疗物联网的大数据共享过程中的相应步骤。

其中，处理器可以包括一个或多个处理核心，比如4核心处理器、8核心处理器等。处理器可以采用DSP(Digital Signal Processing，数字信号处理)、FPGA(Field－Programmable Gate Array，现场可编程门阵列)、PLA(Programmable Logic Array，可编程逻辑阵列)中的至少一种硬件形式来实现。处理器也可以包括主处理器和协处理器，主处理器是用于对在唤醒状态下的数据进行处理的处理器，也称CPU(Central Processing Unit，中央处理器)；协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中，处理器可以在集成有GPU(Graphics Processing Unit，图像处理器)，GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中，处理器还可以包括AI(ArtificialIntelligence，人工智能)处理器，该AI处理器用于处理有关机器学习的计算操作。

存储器可以包括一个或多个计算机可读存储介质，该计算机可读存储介质可以是非暂态的。存储器还可包括高速随机存取存储器，以及非易失性存储器，比如一个或多个磁盘存储设备、闪存存储设备。本实施例中，存储器至少用于存储以下计算机程序，其中，该计算机程序被处理器加载并执行之后，能够实现前述任一实施例公开的医疗物联网的大数据共享方法的相关步骤。另外，存储器所存储的资源还可以包括操作系统和数据等，存储方式可以是短暂存储或者永久存储。其中，操作系统可以包括Windows、Unix、Linux等。数据可以包括但不限于测试结果对应的数据等。

在一些实施例中，患者端、信任中心、云服务器或用户端还可包括有显示屏、输入输出接口、通信接口、电源以及通信总线，当然可以包括更多或更少的组件，例如传感器。

可以理解的是，如果上述实施例中的患者端、信任中心、云服务器和用户端在执行医疗物联网的大数据共享过程中相关步骤是以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(Read-OnlyMemory，ROM)、随机存取存储器(Random Access Memory，RAM)、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、磁碟或者光盘等各种可以存储程序代码的介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

以上对本申请所提供的一种轻量级地面向医疗物联网的大数据共享系统进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以对本申请进行若干改进和修饰，这些改进和修饰也落入本申请权利要求的保护范围内。

Claims (10)

1.一种轻量级地面向医疗物联网的大数据共享系统，其特征在于，包括内置安全中间件的患者端、信任中心、云服务器和用户端；

所述患者端用于根据采集的患者数据信息生成共享医疗数据并进行数据加密，同时设置所述共享医疗数据的授权用户身份集合；利用所述安全中间件将加密后的共享医疗数据分割为多个数据块并为各数据块生成标签；

所述信任中心用于生成系统参数；并基于所述系统参数根据所述患者端的加密中间值计算请求和所述用户端的解密中间值计算请求计算所述共享医疗数据的加密中间值和解密中间值；为用户生成所述共享医疗数据的数据下载许可证和私钥；

所述云服务器用于存储所述授权用户身份集合、所述共享医疗数据、标签数据及相应患者身份；当验证用户完整性验证请求中的所述数据下载许可证中的下载数据时间有效，生成数据证明和标签证明；

所述用户端用于根据所述标签证明和所述数据证明确定数据完整后，从所述云服务器下载数据并计算解密密钥得到明文数据。

2.根据权利要求1所述的轻量级地面向医疗物联网的大数据共享系统，其特征在于，所述患者端用于计算对称密钥，利用所述对称密钥的哈希值对所述共享医疗数据进行对称加密，并将加密后的共享医疗数据发送至所述安全中间件中。

3.根据权利要求2所述的轻量级地面向医疗物联网的大数据共享系统，其特征在于，所述安全中间件用于通过纠错算法将加密后的共享医疗数据分割为多个数据块，并利用自己的私钥为各数据块生成标签；

其中，第i个数据块m_i的标签σ_i为

x为所述安全中间件的私钥，H₃为密码学哈希函数，u＝h^τ，h为随机选择的生成元，τ为随机数且

4.根据权利要求1所述的轻量级地面向医疗物联网的大数据共享系统，其特征在于，所述系统参数为参数集Params中的任意一个或任意组合：

其中，

为双线性映射群系统，

为阶为q的乘法群，e为双线性映射且e:

H₁、H₂、H₃为密码学哈希函数，且H₁:

H₂:

H₃:

λ为安全参数，y为预设整数值，γ为随机数且

w＝g^γ，v＝e(g,h)，g、h为随机选择的生成元且

5.根据权利要求1所述的轻量级地面向医疗物联网的大数据共享系统，其特征在于，所述用户端用于生成两个随机函数f₁和f₂，f₁:{1,2,…,n}→{1,2,…,n}，f₂:

通过f₁从[1,n]中选择包含c个元素的集合Ι，并且根据f₂选择c个相应的随机数

向所述云服务器发送携带挑战信息的用户完整性验证请求；

所述挑战信息chal为chal＝(Uid_j,(i,d_i)_i∈I,Pid)，Uid_j为所述当前解密用户身份，Pid为患者身份。

6.根据权利要求5所述的轻量级地面向医疗物联网的大数据共享系统，其特征在于，所述云服务器用于利用

验证所述数据下载许可证中的下载数据时间有效，当验证所述下载数据时间有效，则生成标签证明

和数据证明

式中，warr为所述数据下载许可证，time为当前解密用户访问所述共享医疗数据的有效时间，H₁为密码学哈希函数，

a₁、a₂为随机数且

h为随机选择的生成元，σ_i为第i个数据块m_i的标签。

7.根据权利要求1至6任意一项所述的轻量级地面向医疗物联网的大数据共享系统，其特征在于，所述加密中间值计算请求为携带所述授权用户身份集合信息的请求；所述信任中心用于基于所述授权用户身份集合和所述系统参数利用加密中间值计算关系式计算得到加密中间值；所述加密中间值计算关系式为：

式中，φ为所述加密中间值，Uid_k为所述授权用户身份，t为所述授权用户身份集合中的授权用户总个数，1≤k≤t，t≤y，y为预设整数值，H₁为密码学哈希函数，γ为随机数且

8.根据权利要求1至6任意一项所述的轻量级地面向医疗物联网的大数据共享系统，其特征在于，所述解密中间值计算请求为携带所述患者身份和当前解密用户身份的请求，且所述当前解密用户身份为所述授权用户身份集合中的第j个授权用户的身份；所述信任中心用于基于所述患者身份、所述当前解密用户身份、所述授权用户身份集合和所述系统参数利用解密中间值计算关系式计算得到解密中间值，所述解密中间值计算关系式为：

其中，

式中，Δ_γ(Uid_j,S)为所述解密中间值，Uid_k为所述授权用户身份，Uid_j为所述当前解密用户身份，S为所述授权用户身份集合，φ为所述加密中间值，t为所述授权用户身份集合中的授权用户总个数，1≤k≤t，t≤y，y为预设整数值，H₁为密码学哈希函数，γ为随机数且

9.根据权利要求8所述的轻量级地面向医疗物联网的大数据共享系统，其特征在于，所述信任中心用于利用许可证生成关系式为用户生成所述共享医疗数据的数据下载许可证，所述许可证生成关系式为：

warr＝a₁+a₂·H₁(Uid_j||time)；

式中，warr为所述数据下载许可证，a₁、a₂为随机数且

time为当前解密用户访问所述共享医疗数据的有效时间。

10.根据权利要求9所述的轻量级地面向医疗物联网的大数据共享系统，其特征在于，所述用户端用于利用解密密钥计算关系式生成所述解密密钥K，所述解密密钥计算关系式为：

式中，

e为双线性映射，C₁＝w^-r，w＝g^γ，C₂＝h^r·φ，r为随机数且

g、h为随机选择的生成元且

γ为随机数且

为阶为q的乘法群，sk_Uid为所述当前解密用户的私钥。

Images