CN114564744A - 用于医疗健康档案管理系统的数据保护方法及装置 - Google Patents

Abstract

本发明提供一种用于医疗健康档案管理系统的数据保护方法及装置，所述方法包括：采集用户医疗数据；对所述用户医疗数据进行标准化处理，以得到数值型用户数据集；利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中；对所述数据库中存储的数据进行还原处理，并利用基于K匿名聚类的改良算法将还原后的数据转换为脱敏数据，以发布到前端显示界面进行可视化展示。本发明针对数据生命周期的不同阶段特点，采用两种不同的数据加密方案：前端数据的隐私保护采用基于k匿名的改良算法；后台数据的加密采用可逆矩阵加密，从而实现从数据的生命周期出发对于医疗数据进行高效的隐私防护。

Description

用于医疗健康档案管理系统的数据保护方法及装置

技术领域

本发明涉及隐私数据保护技术领域，尤其是涉及一种用于医疗健康档案管理系统的数据保护方法及装置。

背景技术

随着物理网、互联网、云计算等新兴技术的不断发展，信息资源的产生和共享出现了许多新的形式。为了提升医疗领域的信息化建设水平，改善医疗资源不均衡的现状，发展互联网+医疗已经成为了国家的战略要求。医疗健康档案管理系统作为记录用户各项健康数据的载体和各种诊疗活动的管理平台，已逐渐成为互联网+医疗建设中的重点。

建立个性化的医疗健康档案系统，能够辅助诊疗和用户的健康管理，但同时由于系统的开放性，医疗数据的高隐私性、高敏感性、高价值性等特点会暴露出众多的安全隐患。如果数据遭到泄露或不正当使用，将给个人和相关集体/机构造成巨大的损失和伤害。因此对于医疗健康档案系统的数据安全研究，不能仅仅关心数据的存储安全，还需要考虑到数据在整个生命周期的安全性。如何在考虑隐私保护的基础上合理对用户健康数据进行分析和利用，对于医疗健康档案系统的设计和搭建具有重大的意义。

常用的隐私保护技术包括：数据失真、数据加密、限制发布。其中，数据失真技术主要是指采用添加随机噪声、数据交换、数值改变等手段对原始数据进行扰动处理，失真后的数据仍然保持某些性质不变，但有着一定程度的信息丢失；数据加密技术是采用加密的手段对敏感数据进行数域的转变，起到隐藏的效果，多用于分布式的应用环境中，计算量相对较大；限制发布技术会根据具体情况有条件地对数据进行发布，发布出的数据存在着一定程度的信息损失。

具体针对数据发布场景，攻击者获取隐私数据的攻击方式大体可以分为两大类：一类是链接攻击，此时在集中式数据集中把列属性划分为准标识符和敏感信息，攻击者通过对准标识符链接外部数据集来识别发布数据集中的个体身份，从而获取患者个体对应的敏感信息，代表K-Anonymity,L-Diversity,T-Closeness；另一类是概率攻击，攻击者通过自己的己知信息对数据集中的未知信息进行猜测，以获取数据发布方欲保护的敏感信息，这种情况下不再对集中式数据集中的列属性进行准标识符和敏感信息的区分，攻击者的识别目标为未知的个体信息元组。

现阶段，医疗健康档案系统存储的数据具有数据量大、种类繁多的特性，如何从数据的生命周期出发对于医疗数据进行高效的隐私防护是现阶段的研究重点。

发明内容

本发明的目的在于提供一种用于医疗健康档案管理系统的数据保护的方案，以解决无法从数据的生命周期出发对于医疗数据进行高效的隐私防护的问题。

本发明第一方面提供了一种用于医疗健康档案管理系统的数据保护方法。

其中，所述方法包括：

采集用户医疗数据，所述用户医疗数据包括用户基本信息、用户基础医疗信息以及用户完全隐私信息；

对所述用户医疗数据进行标准化处理，以得到数值型用户数据集；

利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中；

对所述数据库中存储的数据进行还原处理，并利用基于K匿名聚类的改良算法将还原后的数据转换为脱敏数据，以发布到前端显示界面进行可视化展示。

根据本发明第一方面提供的方法，对所述用户医疗数据进行标准化处理，以得到数值型用户数据集，具体包括：

根据中间转换规则建立数据转换字典；

利用所述数据转换字典将所述用户医疗数据中文本型数据或布尔型数据转换为数值型数据。

根据本发明第一方面提供的方法，利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，具体包括：

根据所述数值型数据集的规模生成相应维数的可逆矩阵；

从密钥集中筛选出与所述可逆矩阵的矩阵维数相同的密钥矩阵；

利用所述密钥矩阵对所述可逆矩阵进行矩阵运算得到加密矩阵；

其中,加密运算公式为：M＝P·A，M为加密矩阵，P为可逆矩阵，A为密钥矩阵。

根据本发明第一方面提供的方法，对所述数据库中存储的数据进行还原处理，具体包括：

利用所述可逆矩阵对所述数据库中存储的数据进行解密处理，其中，解密运算公式为：P＝M·A^-1，M为加密矩阵，P为可逆矩阵，A为密钥矩阵。

根据本发明第一方面提供的方法，利用基于K匿名聚类的改良算法将还原后的数据转换为脱敏数据，具体包括：

对所述还原后的数据构成的数据集D中的准标识列和敏感数据列进行泛化处理以划分等价类；

设置等价类个数参数阈值K和敏感属性参数阈值L；

利用Fisher变换计算所述数据集D中数据对象之间的相似性，并构造相似性矩阵D₁，其中，初始状态下，每个所述数据对象为一个簇，即D₁＝{A₁，A₂，…，A_n}；

从所述相似性矩阵D₁中选择相似性最大的两个簇A_i和A_j；如果|A_i|+|A_j|<2K，|A_i|表示簇A_i的节点个数总和，|A_j|表示簇A_j的节点个数总和,则合并两个簇A_i和A_j为A_p，否则将两个簇A_i和A_j合并后再分裂成两个簇，使得满足|A_i|和|A_j|均在[K,2K)之间；重复执行直到所述相似性矩阵D₁中所有簇的节点个数总和不小于K；

检查所述相似性矩阵D₁中每个簇是否均满足所述敏感属性参数阈值L的要求；如果不满足，在每个簇满足所述等价类个数参数阈值K的条件下，设置隐私保护参数b＝L/K,分别计算每个簇中隐私保护参数b的值,如果所述簇的隐私保护参数小于b时，则通过添加或减少簇内的数据对象使得所述簇满足所述敏感属性参数阈值L的要求；

生成脱敏数据并输出。

根据本发明第一方面提供的方法，利用所述可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中的步骤之后还包括：

对从所述数据库中查询的数据添加差分隐私噪声后进行分析处理。

根据本发明第一方面提供的方法，对从所述数据库中查询的数据添加差分隐私噪声后进行分析处理，具体包括：

从所述数据库的数据表中读取隐私预算值；

根据查询函数和查询结果数据共同确定局部敏感度值；

根据所述隐私预算值和所述局部敏感度值计算出差分隐私噪声数据；

对所述查询结果数据与所述差分隐私噪声数据相加后的数据进行分析处理。

根据本发明第一方面提供的方法，所述隐私预算值∈应满足以下范围：

Δv＝max|q(d)-q(d)|

其中，q为查询函数，d，d′∈D′，D′为任意n-1条对象组合的集合，p为攻击者得到正确结果的概率，Δf为查询函数在数据集上的敏感度，Δv是指的是算法的全局敏感度，n指数据集的n条元组，d和d’指的是相邻数据集。

根据本发明第一方面提供的方法，利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中的步骤还包括：

执行数据热备份脚本，以将加密处理后的数据同步存储在备份数据库中。

本发明第二方面提供了一种用于医疗健康档案管理系统的数据保护装置。

所述装置包括：

数据采集模块，被配置为采集用户医疗数据，所述用户医疗数据包括用户基本信息、用户基础医疗信息以及用户完全隐私信息；

标准化处理模块，被配置为对所述用户医疗数据进行标准化处理，以得到数值型用户数据集；

加密处理模块，被配置为利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中；

以及，数据发布模块，被配置为对所述数据库中存储的数据进行还原处理，并利用基于K匿名聚类的改良算法将还原后的数据转换为脱敏数据，以发布到前端显示界面进行可视化展示。

综上，本方案按照数据的生命周期所处阶段的不同，隐私保护可以分为：数据发布中的隐私保护、数据存储中的隐私保护、数据挖掘中的隐私保护和数据使用中的隐私保护；针对数据生命周期的不同阶段特点，采用两种不同的数据加密方案：前端数据的隐私保护更倾向于在保证安全的前提下提升数据的可读性，采用基于k匿名的改良算法；后台数据的加密倾向于在导入导出过程中提升数据的价值利用率，采用可逆矩阵加密，从而实现从数据的生命周期出发对于医疗数据进行高效的隐私防护。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为根据本发明实施例的用于医疗健康档案管理系统的数据保护方法的流程图；

图2为根据本发明实施例的用于医疗健康档案管理系统的数据保护方法的具体流程图；

图3为根据本发明实施例的用于医疗健康档案管理系统的数据保护装置的结构图。

具体实施方式

下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明第一方面提供了一种用于医疗健康档案管理系统的数据保护方法。图1为根据本发明实施例的用于医疗健康档案管理系统的数据保护方法的流程图；如图1所示，其中，所述方法包括：

S1:采集用户医疗数据，所述用户医疗数据包括用户基本信息、用户基础医疗信息以及用户完全隐私信息；

S2:对所述用户医疗数据进行标准化处理，以得到数值型用户数据集；

S3:利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中；

S4:对所述数据库中存储的数据进行还原处理，并利用基于K匿名聚类的改良算法将还原后的数据转换为脱敏数据，以发布到前端显示界面进行可视化展示。

具体的，S1中数据采集，数据的采集范围有普通用户的基本信息、普通用户的基础医疗信息以及完全隐私信息，从前端获取数据后传输给后台。

具体的，S2中数据标准化处理，指的是后台在获取到前端发送的数据后，对于不同类型的数据进行标准化，通过设置中间转换规则将文本型、布尔型等数值类型数据转换为数值。

具体的，S3中数据存储，指的是将数据进行标准化处理后存储在数据服务中心，主要利用可逆矩阵加密算法，隐私管理机构可以对用于加密的矩阵进行相关选择和设置。

具体的，S$中数据发布，将后台处理后并存储的数据还原为原始数据，再通过隐私保护方法处理后发布到前端进行可视化展示，展示的数据均是处理后的脱敏数据，具体的内容包含了匿名化数据的预览、展示等,采用k匿名的改良算法。

在一些实施例中，S2中对所述用户医疗数据进行标准化处理，以得到数值型用户数据集，具体包括：

根据中间转换规则建立数据转换字典；

利用所述数据转换字典将所述用户医疗数据中文本型数据或布尔型数据转换为数值型数据。

具体的，普通用户通过医疗健康档案管理系统录入的结构化数据的类型丰富，有文本型，数值型或者布尔型之类的，所以需要一个数据字典，将数据统一转化成数值型。相当于设置一个中间表，能把其他类型数据统一转换成数值型，然后再进行可逆矩阵加密。

在一些实施例中，S3中利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，具体包括：

根据所述数值型数据集的规模生成相应维数的可逆矩阵；

从密钥集中筛选出与所述可逆矩阵的矩阵维数相同的密钥矩阵；

利用所述密钥矩阵对所述可逆矩阵进行矩阵运算得到加密矩阵；

其中,加密运算公式为：M＝P·A，M为加密矩阵，P为可逆矩阵，A为密钥矩阵。

具体的，在数据完成采集和处理后，医疗健康档案管理系统会对于数据集进行加密后存储，利用可逆矩阵，根据数值型数据集的规模生成相应维数的可逆矩阵P，在密钥集中选取矩阵维数相通的密钥矩阵A对P进行矩阵运算，生成加密矩阵M，存储在数据表中。

在一些实施例中，S4中对所述数据库中存储的数据进行还原处理，具体包括：

利用所述可逆矩阵对所述数据库中存储的数据进行解密处理，其中，解密运算公式为：P＝M·A^-1，M为加密矩阵，P为可逆矩阵，A为密钥矩阵。

具体的，在第三方介质中存储的数据导入医疗健康档案管理系统进行逆向操作时，同样首先在系统中匹配对应的密钥矩阵A，然后进行逆向化的解密操作。

在一些实施例中，S4中利用基于K匿名聚类的改良算法将还原后的数据转换为脱敏数据，具体包括：

对所述还原后的数据构成的数据集D中的准标识列和敏感数据列进行泛化处理以划分等价类；

设置等价类个数参数阈值K和敏感属性参数阈值L；

利用Fisher变换计算所述数据集D中数据对象之间的相似性，并构造相似性矩阵D₁，其中，初始状态下，每个所述数据对象为一个簇，即D₁＝{A₁，A₂，…，A_n}；

从所述相似性矩阵D₁中选择相似性最大的两个簇A_i和A_j；如果|A_i|+|A_j|<2K，|A_i|表示簇A_i的节点个数总和，|A_j|表示簇A_j的节点个数总和,则合并两个簇A_i和A_j为A_p，否则将两个簇A_i和A_j合并后再分裂成两个簇，使得满足|A_i|和|A_j|均在[K,2K)之间；重复执行直到所述相似性矩阵D₁中所有簇的节点个数总和不小于K；

检查所述相似性矩阵D₁中每个簇是否均满足所述敏感属性参数阈值L的要求；如果不满足，在每个簇满足所述等价类个数参数阈值K的条件下，设置隐私保护参数b＝L/K,分别计算每个簇中隐私保护参数b的值,如果所述簇的隐私保护参数小于b时，则通过添加或减少簇内的数据对象使得所述簇满足所述敏感属性参数阈值L的要求；

生成脱敏数据并输出。

具体的，数据发布隐私保护主要针对前端发布的链接攻击，使用基于K匿名聚类的改良算法KL。在K-匿名算法的基础上，对敏感属性元组SA进行划分，同一组等价类中敏感属性项个数不超过L个，这样将原来简单的泛化措施更改为具体到某一敏感值属性的泛化，能确保隐私泄露的概率不超过1/L。算法执行的步骤具体为：①对QA进行等价类划分(簇划分)，划分依据为聚类算法；②对SA进行等价类划分；③根据划分结果进行局部泛化；④根据距离函数计算信息损失度；⑤输出加密数据。在系统实际操作中，需要相关专业人员提供和调整的参数为K和L值，其中K值规范了属性组的个数，L值保证等价类中敏感信息的丰富性，通过调整K和L的值，生成合适的加密数据。系统在参数设置好后将完成匿名化，然后在页面中展示出来，页面执行自动刷新脚本，以便数据能随时的更新。

在一些实施例中，S3的步骤之后还包括：S5：对从所述数据库中查询的数据添加差分隐私噪声后进行分析处理。

在一些实施例中，S5中对从所述数据库中查询的数据添加差分隐私噪声后进行分析处理，具体包括：

从所述数据库的数据表中读取隐私预算值；

根据查询函数和查询结果数据共同确定局部敏感度值；

根据所述隐私预算值和所述局部敏感度值计算出差分隐私噪声数据；

对所述查询结果数据与所述差分隐私噪声数据相加后的数据进行分析处理。

具体的，数据分析隐私保护主要针对前端数据分析的概率攻击，使用差分隐私增加噪声，最后分析返回结果。对于聚类算法，差分隐私保护机制的主要功能是根据聚类算法，提供的查询函数对数据库中的相应数据进行查询，该过程主要分为两步，首先从数据库表中读取隐私预算的值，然后根据数据和查询函数共同确定局部敏感度的大小，通过隐私预算与局部敏感度计算出噪声大小，并将之前真实的查询结果与得到的噪声相加后返回带噪声的查询结果。

在一些实施例中，S5中所述隐私预算值∈应满足以下范围：

Δv＝max|q(d)-q(d)|

其中，q为查询函数，d，d′∈D′，D′为任意n-1条对象组合的集合，p为攻击者得到正确结果的概率，Δf为查询函数在数据集上的敏感度，Δv是指的是算法的全局敏感度，n指数据集的n条元组，d和d’指的是相邻数据集。

在一些实施例中，S3中利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中的步骤还包括：

执行数据热备份脚本，以将加密处理后的数据同步存储在备份数据库中。

为了确保数据存储介质的安全性，需要执行数据热备份脚本，保证系统在运行期间产生的数据不仅在主服务器上存储，在备份服务器上也能实现数据同步。

具体的，医疗健康档案管理系统的使用对象主要涉及以下四个角色：①普通用户，即健康档案记录的拥有者，对归属于个人的数据具有完全访问权，并能够管理自己健康记录的访问对象；②医疗相关专业人员，主要是数据的使用和分析者，包括医生、护士、医疗机构工作人员、科研人员等，可以访问权限内健康数据，并进行一定的数据挖掘、下载等；③数据服务中心：数据服务中心提供数据存储、计算和分析功能。存储所有的电子健康档案数据，并能够对密文状态的健康数据进行特定的计算和分析；④隐私管理机构：主要负责隐私保护的管理。

图2示出了本发明实施例的用于医疗健康档案管理系统的数据保护方法的具体流程图，其隐私保护的具体实现过程如下：

1、数据采集：

将普通用户的信息可以分为标识符(Explicit Identifier，EI)、准标识符集(Quasi-identifier Attribute set，QA)、敏感数据(Sensitive Attributes，SA)。EI可以直接确定一个个体，如：身份证号，姓名等。QA为可以和外部表链接来识别个体的最小属性集，如：邮编，生日，性别等。敏感数据(Sensitive Attributes)：SA为用户不希望被人知道的数据，如：薪水，疾病历史，购买偏好等。系统在为普通用户设计相关信息填写时可定义信息属性的级别，或者直接根据语义进行判断。

2、数据预处理：

普通用户通过管理系统录入的结构化数据的类型丰富，有文本型，数值型或者布尔型之类的，所以需要一个数据字典，将数据统一转化成数值型。相当于设置一个中间表，能把其他类型数据统一转换成数值型，然后再进行可逆矩阵加密。

3、后端数据存储与导入：

可逆矩阵加密算法的实现分为两部分，加密阶段需要对明文数据D生成明文矩阵P，然后在密钥集中选取矩阵维数相通的密钥A对P进行矩阵运算，生成加密矩阵M。在解密阶段对M和A-¹进行矩阵乘积运算，就可以得出P。

1)加密阶段

M＝P·A

2)解密阶段

P＝M·A^-1

具体流程可模拟为：发送方需要将数据进行加密后发送给接收方，首先需要根据明文的大小生成N维向量X(每个字符的UTF-8码值)。在密钥矩阵库中随机挑选相同维度的N*N矩阵A，根据可逆加密算法规则，形成密文M＝AX，在导入时利用A计算出X，最后根据X中的UTF-8码值找出对应的明文。

4、前端数据发布与分析：

数据发布

数据发布的隐私保护主要是处理准标识符属性，它是数据属性中与外部数据连接可以唯一识别个体的非标识符属性的最小集合。数据库表在属性集上包含相同值的一组元组集合，称为一个簇/组。例如表1(a)中属性集合{编号，性别，年龄}是准标识符。表1(b)中记录2和记录3关于准标识符{编号，性别，年龄}组成一个簇，它们具有相同的属性值。

表1(a)原始数据表

编号	性别	年龄	疾病
				43520	男	42	癌症
43522	男	23	流感
				42556	女	21	癌症
42278	女	27	流感

表1(b)匿名化数据表

编号	性别	年龄	疾病
				4352*	男	[41-45]	癌症
4352*	人	[21-25]	流感
				4255*	人	[21-25]	癌症
4227*	男	[26-30]	流感

基于聚类实现KL的基本思想是寻找任意小于k的簇并与相似性最大的簇合并以组成更大的簇，重复迭代这个过程直到每个簇至少包含k(k≤n)个数据点且至少l个数据对象的敏感值各不相同，同时保证所有簇的总信息损失最小。基于聚类的算法合并相似度最高的簇对象，信息损失较小，因此采用聚类实现。具体算法流程如下：

数据分析举例：差分隐私在聚类中的应用

在初始聚类时给出参考k值，首次聚类将采用给出的参考值，利用经典K-means算法对数据进行预处理，将数据进行划分簇，为局部敏感度的计算提供数据支持。

隐私预算值∈应满足以下范围：

Δv＝max|q(d)-q(d)}

其中，Q为查询函数，p为攻击者得到正确结果的概率，Δf为查询函数在数据集上的敏感度。对于同一数据集进行多个查询，且每个查询满足m_i-差分隐私。

其具体算法流程如下：

第一方面的方法，首先进行用户医疗数据采集；之后对用户医疗数据进行标准化处理，以得到数值型用户数据集；然后利用HiLL可逆矩阵加密算法对数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中；最后对数据库中存储的数据进行还原处理，并利用基于K匿名聚类的改良算法将还原后的数据转换为脱敏数据，以发布到前端显示界面进行可视化展示。本发明按照数据的生命周期所处阶段的不同，隐私保护可以分为：数据发布中的隐私保护、数据存储中的隐私保护、数据挖掘中的隐私保护和数据使用中的隐私保护。本发明主要针对数据生命周期的不同阶段特点，采用两种不同的数据加密方案：前端数据的隐私保护更倾向于在保证安全的前提下提升数据的可读性，采用基于k匿名的改良算法；后台数据的加密倾向于在导入导出过程中提升数据的价值利用率，采用可逆矩阵加密，从而实现从数据的生命周期出发对于医疗数据进行高效的隐私防护。

本发明第二方面提供了一种用于医疗健康档案管理系统的数据保护装置。图3为根据本发明实施例的用于医疗健康档案管理系统的数据保护装置的结构图，如图3所示，所述装置100包括：

数据采集模块1，被配置为采集用户医疗数据，所述用户医疗数据包括用户基本信息、用户基础医疗信息以及用户完全隐私信息；

标准化处理模块2，被配置为对所述用户医疗数据进行标准化处理，以得到数值型用户数据集；

加密处理模块3，被配置为利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中；

以及，数据发布模块4，被配置为对所述数据库中存储的数据进行还原处理，并利用基于K匿名聚类的改良算法将还原后的数据转换为脱敏数据，以发布到前端显示界面进行可视化展示。

综上，本发明各个方面的技术方案针对数据生命周期的不同阶段特点，采用两种不同的数据加密方案：前端数据的隐私保护更倾向于在保证安全的前提下提升数据的可读性，采用基于k匿名的改良算法；后台数据的加密倾向于在导入导出过程中提升数据的价值利用率，采用可逆矩阵加密，从而实现从数据的生命周期出发对于医疗数据进行高效的隐私防护。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (10)

1.一种用于医疗健康档案管理系统的数据保护方法，其特征在于，所述方法包括：

采集用户医疗数据，所述用户医疗数据包括用户基本信息、用户基础医疗信息以及用户完全隐私信息；

对所述用户医疗数据进行标准化处理，以得到数值型用户数据集；

利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中；

对所述数据库中存储的数据进行还原处理，并利用基于K匿名聚类的改良算法将还原后的数据转换为脱敏数据，以发布到前端显示界面进行可视化展示。

2.根据权利要求1所述的一种用于医疗健康档案管理系统的数据保护方法，其特征在于，其中，对所述用户医疗数据进行标准化处理，以得到数值型用户数据集，具体包括：

根据中间转换规则建立数据转换字典；

利用所述数据转换字典将所述用户医疗数据中文本型数据或布尔型数据转换为数值型数据。

3.根据权利要求2所述的一种用于医疗健康档案管理系统的数据保护方法，其特征在于，其中，利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，具体包括：

根据所述数值型数据集的规模生成相应维数的可逆矩阵；

从密钥集中筛选出与所述可逆矩阵的矩阵维数相同的密钥矩阵；

利用所述密钥矩阵对所述可逆矩阵进行矩阵运算得到加密矩阵；

其中,加密运算公式为：M＝P·A，M为加密矩阵，P为可逆矩阵，A为密钥矩阵。

4.根据权利要求3所述的一种用于医疗健康档案管理系统的数据保护方法，其特征在于，其中，对所述数据库中存储的数据进行还原处理，具体包括：

利用所述可逆矩阵对所述数据库中存储的数据进行解密处理，其中，解密运算公式为：P＝M·A^-1，M为加密矩阵，P为可逆矩阵，A为密钥矩阵。

5.根据权利要求4所述的一种用于医疗健康档案管理系统的数据保护方法，其特征在于，其中，利用基于K匿名聚类的改良算法将还原后的数据转换为脱敏数据，具体包括：

对所述还原后的数据构成的数据集D中的准标识列和敏感数据列进行泛化处理以划分等价类；

设置等价类个数参数阈值K和敏感属性参数阈值L；

利用Fisher变换计算所述数据集D中数据对象之间的相似性，并构造相似性矩阵D₁，其中，初始状态下，每个所述数据对象为一个簇，即D₁＝{A₁，A₂，…，A_n}；

从所述相似性矩阵D₁中选择相似性最大的两个簇A_i和A_j；如果|A_i|+|A_j|<2K，|A_i|表示簇A_i的节点个数总和，|A_j|表示簇A_j的节点个数总和,则合并两个簇A_i和A_j为A_p，否则将两个簇A_i和A_j合并后再分裂成两个簇，使得满足|A_i|和|A_j|均在[K,2K)之间；重复执行直到所述相似性矩阵D₁中所有簇的节点个数总和不小于K；

检查所述相似性矩阵D₁中每个簇是否均满足所述敏感属性参数阈值L的要求；如果不满足，在每个簇满足所述等价类个数参数阈值K的条件下，设置隐私保护参数b＝L/K,分别计算每个簇中隐私保护参数b的值,如果所述簇的隐私保护参数小于b时，则通过添加或减少簇内的数据对象使得所述簇满足所述敏感属性参数阈值L的要求；

生成脱敏数据并输出。

6.根据权利要求5所述的一种用于医疗健康档案管理系统的数据保护方法，其特征在于，其中，利用所述可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中的步骤之后还包括：

对从所述数据库中查询的数据添加差分隐私噪声后进行分析处理。

7.根据权利要求6所述的一种用于医疗健康档案管理系统的数据保护方法，其特征在于，其中，对从所述数据库中查询的数据添加差分隐私噪声后进行分析处理，具体包括：

从所述数据库的数据表中读取隐私预算值；

根据查询函数和查询结果数据共同确定局部敏感度值；

根据所述隐私预算值和所述局部敏感度值计算出差分隐私噪声数据；

对所述查询结果数据与所述差分隐私噪声数据相加后的数据进行分析处理。

8.根据权利要求7所述的一种用于医疗健康档案管理系统的数据保护方法，其特征在于，所述隐私预算值∈应满足以下范围：

Δv＝max|q(d)-q(d′)|

其中，q为查询函数，d，d′∈D′，D′为任意n-1条对象组合的集合，p为攻击者得到正确结果的概率，Δf为查询函数在数据集上的敏感度，Δv是指的是算法的全局敏感度，n指数据集的n条元组，d和d’指的是相邻数据集。

9.根据权利要求8所述的一种用于医疗健康档案管理系统的数据保护方法，其特征在于，其中，利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中的步骤还包括：

执行数据热备份脚本，以将加密处理后的数据同步存储在备份数据库中。

10.一种用于医疗健康档案管理系统的数据保护装置，其特征在于，所述装置包括：

数据采集模块，被配置为采集用户医疗数据，所述用户医疗数据包括用户基本信息、用户基础医疗信息以及用户完全隐私信息；

标准化处理模块，被配置为对所述用户医疗数据进行标准化处理，以得到数值型用户数据集；

加密处理模块，被配置为利用HiLL可逆矩阵加密算法对所述数值型用户数据集的数据进行加密处理，并将加密处理后的数据存储在数据库中；

以及，数据发布模块，被配置为对所述数据库中存储的数据进行还原处理，并利用基于K匿名聚类的改良算法将还原后的数据转换为脱敏数据，以发布到前端显示界面进行可视化展示。

Images