CN116647837A - 基于rfid和联邦学习的医学大数据共享系统及方法 - Google Patents

Abstract

本发明公开了一种基于RFID和联邦学习的医学大数据共享系统及方法，属于信息安全认证技术领域。方法包括初始化和注册阶段、身份验证阶段和数据传输阶段；该法可解决现有技术中的异步攻击问题。秘密会话密钥SK _TR =h(ID _Ti ⊕PID _Tinew ||(t ₁·R _r1) _x )不仅依赖于长期的秘密参数，还依赖于随机的临时秘密参数t ₁和R _r1。除了短期的身份认同外，PID _Tinew 将在每个会话结束时使用临时秘密参数R _t1进行更新PID _Tinew =h(PID _Tinew ⊕(R _t1) _x )。因此，如果攻击者从当前会话的窃听消息中非法获取RFID系统密钥，攻击者将无法计算以前或下一个会话密钥，本发明提供了前向和反向保密。

Description

基于RFID和联邦学习的医学大数据共享系统及方法

技术领域

本发明涉及一种基于RFID和联邦学习的医学大数据共享系统及方法，属于信息安全认证技术领域。

背景技术

现有的RFID技术，原始NSE协议的参考文献来源：[1]Izza S,Benssalah M,Drouiche K.An enhanced scalable and secure RFID authentication protocol forWBAN within an IoT environment[J].Journal of Information Security andApplications,2021,58(86):102705.

原始NSE协议攻击问题：

STEP 1：黑客分析NSE协议，读卡器端缺少对N₂完整性的验证，如果黑客恶意修改将导致医疗服务器端使用恶意修改的数据N'₂来提取密钥 黑客的恶意攻击导致医疗服务器端密钥是/>而读卡器端密钥是PID^* _R，在下一轮会话中读卡器传递假冒的N'₂发送给医疗服务器端时，导致医疗服务器端和读卡器端保存的密钥不一致，形成异步攻击。

STEP 2：医疗服务器端在N₃的加密机制时，缺少对N₃完整性的验证，如果黑客恶意修改N'₃＝N₃⊕1，导致读卡器端使用恶意修改的数据N'₃来提取密钥 黑客的恶意攻击导致读卡器端密钥是/>而医疗服务器密钥是ID^* _S，在下一轮会话中医疗服务器传递假冒的N'₃发送给读卡器端时，导致医疗服务器端和读卡器端保存的密钥不一致，形成异步攻击。

为应对上述存在的异步攻击，本发明提出了基于RFID和联邦学习的医学大数据共享系统及方法，该方案分为三个主要阶段，具体步骤如下：

1)初始化和注册阶段：此阶段与NSE+协议一致，如图2所示，分为两部分：

①用户注册(读卡器和医疗服务器)通过安全通道成为可信授权机构(网络管理器)。

②标签和读卡器注册到医疗服务器阶段。

2)身份验证阶段：将所有网络实体进行相互的身份验证。

3)数字签名和数据传输阶段：由标签生成的消息被加密并在网络各方之间传输。

发明内容

本发明所要解决的技术问题是，提供一种基于RFID和联邦学习的医学大数据共享方法，该法可解决现有技术中的异步攻击问题。

同时本发明提供一种基于RFID和联邦学习的医学大数据共享系统。

为解决上述技术问题，本发明采用的技术方案为：

一种基于RFID和联邦学习的医学大数据共享方法，包括初始化和注册阶段、身份验证阶段和数据传输阶段；

初始化和注册阶段包括如下步骤：

在无线体域网WBAN中，采用网络管理器NM生成系统参数，

首先，网络管理器NM在质场F_q中选择一条椭圆曲线E_q，q是一个质数，P是n阶椭圆曲线基点；

网络管理器NM选择一个随机整数α∈[1，n-1]，然后计算β＝α·P，作为其公钥；

每个实体用户U_j，读卡器U_R和服务器U_S分别按照以下步骤获得公钥和私钥：

步骤1，每个实体用户U_j都生成自己的随机整数c_j∈[1，n-1]，并计算d_j＝c_j·P，然后发送(d_j，ID_j)到网络管理器NM；其中，ID_j代表实体用户U_j的真实标识；

步骤2，网络管理器NM选择了一个随机的整数k_j∈[1，n-1]和计算y_j＝k_j·P+d_j和z_j＝k_j+((y_j)_x+ID_j)αmod n；其中，x代表会话的顺序号，x为自然顺序整数，从1开始算；

步骤3，网络管理器NM返回(y_j，z_j)，实体用户U_j据此计算其公钥x_j＝z_j+c_j mod n，然后检查x_j·P＝y_j+((y_j)_x+ID_j)β；实体用户U_j获得x_j，y_j；

对于读卡器U_R则计算x_R，y_R，对于服务器U_S则计算x_S，y_S；

分别对(x_j，y_j)、(x_R，y_R)和(x_S，y_S)进行初始化，并在服务器级别上进行注册：

服务器U_S选择标签标识ID_Ti，其中i＝{1，2，3，...，n}，并计算PID_Tiold＝h(ID_Ti)，然后在标签U_T和读卡器U_R的记录中存储两个真实标识ID_Ti和标签原始伪标识PID_Tiold；选择一个随机值init，并将其插入标签U_T和读卡器U_R的内存中；初始化标签新伪标识PID_Tinew＝h(PID_Tiold||init)，并将PID_Tinew存储在读卡器U_R的内存中；选择服务器真实标识ID_S以及读卡器真实标识ID_R，计算读卡器原始伪标识PID_Rold＝h(ID_R)，然后将ID_R和PID_Rold存储在读卡器U_R及服务器U_S的内存中；初始化读卡器新伪标识PID_Rnew＝h(PID_Rold||init)，并将PID_Rnew存储在服务器U_S内存中；选择一个随机数P_rR代表读卡器的密钥并分配P_uR＝P_rR·P作为读卡器的公钥；然后，将密钥对(P_rR，P_uR)存储在读卡器U_R的内存中；此外，服务器U_S选择一个随机数P_rS作为服务器的密钥，并计算P_uS＝P_rS·P代表服务器的公钥；然后，将密钥对(P_rS，P_uS)存储在服务器的内存中；最后，服务器U_S把P_uR和P_uS插入到标签U_T的内存中，还将P_uR放入到读卡器U_R的内存，把P_uS放入到服务器U_S本身的内存中；

身份验证阶段包括如下步骤：

S1，读卡器U_R首先生成一个随机数r₁，然后计算消息R_r1＝r₁·P用来查询标签U_T；

S2，接收到消息R_r1时，标签U_T生成随机数t₁和计算C₁＝t₁·P，R_t1＝t₁·P_uR；然后，标签U_T初始化PID_Tinew＝h(PID_Tiold||init)和计算其中T₁是时间戳，然后发送C₁，C₂和T₁给读卡器U_R；

S3，在收到消息C₁，C₂和T₁后，读卡器U_R立即使用当前时间戳T₂计算时间差，如果|T₂-T₁|<ΔT不成立时终止会话，ΔT代表通信的最大时间延迟，否则读卡器U_R使用R^* _t1＝C₁·P_rR进行提取R_t1，R^* _t1是读卡器端计算的密钥值，R^* _t1＝R_t1，然后计算并检查标签的伪标识PID^* _Ti是否与其数据库中存在的原始伪标识PID_Tiold对应，用来验证标签；读卡器U_R计算N₁＝r₁·P_uS，初始化PID_Rnew＝h(PID_Rold||init)，然后计算B＝PRNG(N₂||R_r1)，然后发送(N₂，R_r1，T₂，B)到服务器U_S；

S4，服务器U_S收到消息(N₂，R_r1，T₂，B)后，立即使用当前时间戳T₃计算时间差，如果|T₃-T₂|<ΔT不成立时终止会话，否则服务器U_S计算B′＝PRNG(N₂||R_r1)，验证B′？＝B，如果B′≠B，终止会话；服务器端计算的值B′用于比较来自读卡器U_R发送过来的B是否相同；如果B′＝B，服务器U_S计算N^* ₁＝R_r1·P_rS并提取读卡器伪标识然后检查读卡器的伪标识PID^* _R是否与数据库中存储的原始伪标识PID_Rold对应，则对读卡器进行身份验证，否则，服务器U_S终止会话；经过对读卡器U_R身份验证后，服务器U_S生成一个随机整数s₁和计算S₁＝s₁·P和R_s1＝s₁·P_uR，然后计算/>然后发送T₃，N₃，S₁，D给读卡器U_R，然后服务器U_S更新读卡器U_R的伪身份在其内存中，如下：

如果PID^* _R＝PID_Rold，然后更新PID_Rold＝PID_Rnew和如果PID^* _R＝PID_Rnew，然后更新PID_Rold＝PID_Rnew和/>

S5，在收到消息T₃，N₃，S₁，D后，读卡器U_R立即使用当前时间戳T₄计算时间差，如果|T₄-T₃|<ΔT不成立时终止会话，否则计算D′＝PRNG(N₃||S₁)，验证D′？＝D；如果D′≠D，终止会话；如果D′＝D，服务器U_S使用它的密钥值R^* _s1＝S₁·P_rR提取R^* _s1；一旦获得了R^* _s1，读卡器U_R计算出 如果对应于被存储在其数据库中ID_S，则通过对服务器U_S的身份验证，否则会话取消；在对服务器身份验证成功后，读卡器U_R计算/>和/> 并转移C₄，C₃，T₃，T₄到标签；然后读卡器在内存中更新标签的伪身份如下：

如果PID^* _Ti＝PID_Tiold，然后更新PID_Tiold＝PID_Tinew和如果PID^* _Ti＝PID_Tinew，然后更新PID_Tiold＝PID_Tinew和/>之后，读卡器更新其伪身份/>

S6，标签收到消息C₄，C₃，T₃，T₄后，立即使用当前时间戳T₅计算时间差；如果|T₅-T₄|<ΔT，提取读卡器的新伪身份然后计算/>如果C^* ₄＝C₄，标签对读卡器和服务器进行身份验证，否则会话终止；一旦通过对读卡器的身份验证，标签更新其伪身份/>一旦所有实体相互通过身份验证，标签和读卡器都生成一个共享会话密钥来加密和解密交换的消息，即对称加密；标签会话密钥是/>读卡器会话密钥是/>

数据传输阶段包括如下步骤：

S7，由于对称加密，一旦导出共享会话密钥，标签和读卡器安全地交换敏感数据；使用具有消息恢复的椭圆曲线数字签名，将敏感的医疗数据安全地传输到医疗服务器上；具体程序描述如下：

带ID_Ti的标签首先生成一个消息m_i，m_i代表生理学数据；通过对称加密，标签用其共享的会话密钥SK_TR对消息M_i＝E_SK(m_i)进行加密，并通过标签和读卡器之间的不安全通道发送M_i，T₅给读卡器；

S8，一旦读卡器收到加密的消息M_i，验证时间戳T₆的新鲜性，如果是|T₆-T₅|<ΔT不成立，则会话终止，否则读卡器使用自己的会话密钥SK_RT来解密消息；之后，读卡器U_R创建一个数字签名，将消息M传输到医疗服务器；消息M表示从w个标签接收到的一组消息M＝m₁,m₂,m₃,…m_i…,m_w，其中i＝1,2,3,…,w；读卡器生成其数字签名如下：

读卡器设置随机数r₀＝0，然后选择一个随机数字k∈[1,w-1]并计算mod w；之后，读卡器推断出r＝h(r₁||r₂||r₃||…||r_w)，r是哈希函数h的参数，是r₁||r₂||r₃||…||r_w的连接，用r计算z＝k-rx_R mod w；然后签名块r,z,r₁,r₂,r₃,…,r_w,T₆被转移到医疗服务器上以进行验证和消息恢复；

S9，在接收到数字签名后，服务器U_S首先检查时间戳T₇的新鲜性；如果|T₇-T₆|<ΔT，则检查是否r＝r^*且其中r^*＝h(r₁||r₂||r₃||…||r_w)，如果成立，则U_S提取消息集m₁,m₂,m₃,…m_i…,m_w，列举如下：

随机值是使用随机生成函数PRNG随机生成的。

内存即为数据库。

密钥对包括公钥和私钥；公钥是密钥对所有者持有，公布给他人的；私钥也是密钥对所有者持有，不可公布。

所有实体包括实体用户U_j、读卡器U_R、服务器U_S和标签U_T。

敏感数据是标签和读卡器端保存的所有密钥。

本发明的方法获得的基于RFID和联邦学习的医学大数据共享系统。

全文中的“·”代表“点积”。

本发明具有以下有益效果：

本发明可以抵抗安全攻击并具有其他的安全特性，具体如下：

1标签的安全显示：攻击者无法提取标签的真实身份。该标签会发送一条消息C₁，C₂和T₁给读卡器，其中标签的伪标识PID_Tinew链接到输入的哈希值，包括哈希值中的临时秘密参数R_t1。R_t1使用读卡器的公钥加密，所以除非攻击者得到读卡器的密钥P_rR，攻击者不能计算得到R_t1。此外，标签的伪标识PID_Tinew是旧的伪标识PID_Tiold的哈希值与秘密参数init结合，其中为PID_Tiold＝h(ID_Ti)。伪标识PID_Tinew在每个会话中使用单向哈希函数和临时秘密参数进行更新。因此，揭示标签的真实身份难以计算。综上所述，本发明可以抵抗标签的标识显示攻击。

2抵抗已知的特定于会话的临时信息攻击：当攻击者意外获得已知的会话特定的临时信息攻击时，攻击者就会获得一个临时秘钥值，攻击者可以使用该值中有用的信息来计算共享会话密钥。在该协议中，使用临时秘密参数t₁和伪标识PID_Tinew以及长期秘密参数ID_Ti计算秘密会话密钥。如果攻击者开始猜测秘密参数为t₁并计算R_t1＝t₁·P_uR。攻击者只能从C₂计算出获得短期身份。因此，为了提取标签的真实身份，攻击者需要倒置哈希值PID_Tinew＝h(PID_Tiold||init)，其中PID_Tiold＝h(ID_Ti)，该步骤计算上不可行。因此，即使攻击者能成功猜测临时参数t₁和伪标识PID_Tinew，攻击者仍然缺乏长期秘密参数ID_Ti。因此，只有合法用户才能生成共享会话密钥/> 综上所述，本发明可以抵抗对已知的特定于会话的临时信息攻击。

3相互认证

身份验证是给定协议可以提供的最重要的安全属性之一，即标签和读卡器之间以及读卡器和服务器之间的相互身份验证。

在本发明中，读卡器通过验证每个标签更新的伪身份PID_Tinew的正确性来验证标签。PID^* _Ti与存储在读卡器数据库中的标签进行比较，只有当它对应于任何一个PID_Tiold或者PID_Tinew时才进行身份验证。假设攻击者窃听了消息C₁，C₂，T₁并且得到但是仍然需要标签秘密随机参数R_t1。因此，攻击者将无法提取更新的伪身份PID^* _Ti，因此，攻击者将无法生成有效的身份验证消息C₂。标签通过验证每个读卡器更新的伪身份PID_Rnew的正确性来验证读卡器。该读卡器会发送一条消息C₃，C₄给标签，其中/>C₄链接到读卡器的伪身份PID_Rnew和标签的秘密参数R_t1。假设攻击者拦截了消息C₃，C₄并且得到C₃，攻击者不能提取PID_Rnew，因为其仍然需要只有合法的标签才可知的ID_Ti。因此，只有合法的标签才能生成消息C₃，C₄。

另一方面，在验证读卡器更新的伪身份PID_Rnew后由服务器验证读卡器。并且PID^* _R与存储在服务器数据库中的PID_Rold或者PID_Rnew进行了比较，以确认读卡器的合法性。假设攻击者拦截了 攻击者仍然需要读卡器的秘密随机参数N₁和读卡器的真实身份的ID_R。因此，攻击者将无法提取更新的伪身份PID^* _R；因此，攻击者将无法生成有效的身份验证消息N₂。读卡器只验证对应于存储在读卡器数据库中的那个服务器的身份ID_S。假设攻击者得到了消息/> 通过窃听攻击，攻击者无法提取服务器的身份，因为它是链接到秘密的随机参数和读卡器的真实身份ID^* _S，只有合法的服务器才可知。因此，攻击者将无法生成有效的身份验证消息N₃。综上所述，本发明提供了网络中所有合法实体之间的相互身份验证。

4前向保密和反向保密

在本发明中，秘密会话密钥不仅依赖于长期的秘密参数，还依赖于随机的临时秘密参数t₁和R_r1。除了短期的身份认同外，PID_Tinew将在每个会话结束时使用临时秘密参数R_t1进行更新/>此外，所有传输的消息都用临时生成的随机变量和新的时间戳保护。因此，如果攻击者从当前会话的窃听消息中非法获取RFID系统密钥，攻击者将无法计算以前或下一个会话密钥，因为当前会话密钥仅取决于当前会话变量。综上所述，本发明提供了前向和反向保密。

5抵抗重放攻击

重放攻击意味着攻击者通过窃听来捕获RFID系统组件之间传输的信息，并在其后时间内重新传输窃听得到的信息。重放攻击的目的是执行一个普通的认证过程，并与合法实体进行通信，从而产生其他的安全攻击。在本发明中，由于每个消息都附加有当前的时间戳。如果时间戳不更新，任何实体都可以终止会话，并且只有在|T_i+1-T_i|<ΔT的ΔT足够小时才接受该消息，因此攻击者不可能重播旧消息。此外对于每个会话，新的随机参数(R_t1，N₁)，用来更新伪身份和/> 因此，如果重播了任何消息，则身份验证过程将被取消。综上所述，本发明可以抵抗重放攻击。

6抵抗读卡器模仿攻击

如果要模拟读卡器，攻击者需要生成可接受的消息C₃和C₄然后把它们发送到标签上。攻击者需要同时拥有读卡器真实标识ID_R和标签真实标识ID_Ti才能得到读卡器的秘密身份。如果攻击者为了伪造身份验证消息，将不能成功从截获的消息中提取PID_Rnew。攻击者仍然需要标签的秘密身份ID_Ti。此外，由于需要标签的秘密参数，攻击者无法构造消息/> 因此，只有合法的标签才能生成消息C₃和C₄。另一方面，攻击者还需要生成一个有效的消息/>其中包括读卡器的真实身份ID_R。所以，只有合法的读卡器才能生成N₂。综上所述，攻击者不可能模拟读卡器进行攻击。

7抵抗标签模拟攻击

该标签使用从读卡器中接收到的新会话，通过随机数查询来生成消息 因此攻击者由于随机数的验证过程和读卡器上的时间戳的更新，不能使用旧的窃听消息查询。此外，攻击者还需要计算更新后的临时秘密身份PID_Tinew以便能够回答来自用户的消息查询。假设标签成功地伪造了消息C₂，该标签将无法生成与读卡器进一步通信的秘密会话密钥。秘密会话密钥SK_TR除了使用长期的秘密参数ID_Ti，还使用了攻击者无法获取的的短期秘密参数PID_Tinew和T₁来计算。综上所述，本发明可以抵抗标签模拟攻击。

8抵抗有特权阶层的内部人士攻击

假设一个恶意的内部人士可以访问医疗服务器中存储的信息，这种内部攻击者实际上对外部攻击者没有任何特权。医疗服务器通过读卡器与标签相关联，因此，攻击者无法获取有关标签的任何有用信息。另一方面，如果恶意的内部人士提取了读卡器的真实身份ID_R和短期身份PID_R，攻击者不能在接下来的会话中模拟读卡器，因为读卡器会在每个会话结束时使用秘密参数N₁更新短期身份。

假设一个恶意的内部人士是在读卡器的层面上发生的。如果攻击者获得了标签的真实身份，仍然不能模拟标签，因为共享会话密钥本发明中，PID_Ti代表标签当前i会话的伪标识；PID_Tinew代表标签i+1会话的伪标识；PID_Tiold代表标签i-1会话的伪标识，使用了长期参数ID_Ti和短期秘密参数PID_Tinew和t₁进行计算。因此，如果享有特权的内部攻击者成功地获得了标签的身份，也无法猜测所有会话的所有随机秘密参数。综上所述，本发明可以抵制享有特权的内部人士的攻击。

9抵抗伪装攻击

如果攻击者希望生成一个身份验证消息并向读卡器发送一系列消息，那么攻击者无法完成攻击，因为其首先必须揭示标签秘密身份PID_Tinew以及标签的秘密参数。由于时间戳的验证机制，攻击者也无法重放以前截获的消息。综上所述，本发明可以抵抗伪装攻击和拒绝服务(DoS)攻击。

10抵抗去同步化攻击

在本发明中，PID_Ti首先在读卡器中更新，其中PID_Tiold和PID_Tinew是根据从标签接收的PID_Ti进行更新的。然后，标签更新自己的标识标签使用存储在读卡器内存中的新标识PID_Tinew启动新会话。如果攻击者阻止了该消息C₃，C₄，则会话终止，标签不更新其标识。然后，标签使用旧的标识PID_Tiold启动一个新的会话，旧标识也存储在读卡器内存中。标签和读卡器之间的交换消息包括更新的身份和随机生成的秘密参数。因此，即使攻击者拦截一条消息并在通道中插入带有新随机数的新参数来执行去同步攻击，接收方也会只接受合法的消息并拒绝未更新的消息。最后，标签和读卡器在每次成功的身份验证会话后使用新的会话参数和更新的身份更新会话密钥。

同样的方法也用于在读卡器和服务器之间更新读卡器的身份PID_Rnew，确保所有RFID系统实体之间的同步通信。综上所述，本发明可以抵抗去同步攻击。

11匿名性和不可追溯性

匿名性和不可追溯性是保护用户隐私的两个主要因素，这是由于RFID标签响应任何接收到的消息查询。本发明的攻击者无法从窃听的消息C₁，C₂，T₁中提取标签秘密身份ID_Ti。使用临时更新的伪身份标识PID_Tinew来确保RFID系统实体之间的身份验证，PID_Tinew使用单向哈希函数来保护真实的身份。此外，PID_Tinew在每个会话结束时更新，并且从未以纯文显式发送。此外，每个会话中秘密参数的随机生成使得攻击者不能预测消息C₁，C₂，T₁。因此，由于时间戳的验证机制，攻击者无法通过生成一个简单的恶意查询来获得标签的身份。此外，更新身份的特性阻止了会话之间的任何链接能力，因此，攻击者无法从以前的消息中跟踪或定位用户。最后，服务器不在其数据库中存储标签标识。因此，如果有任何恶意的内部人士想要透露标签的身份，将会失败，因为服务器只通过读卡器来验证标签。综上所述，本发明提供了匿名性和不可追溯性。

为保护患者数据的隐私，本发明提出了一种基于联邦学习的医疗信息学电子病历共享方案。方案包括如下步骤：步骤一，一个分散的基于联邦学习的卷积神经网络模型在医科大学的附属医院采集本地数据，并将结果存储在一个私有的星际文件系统中；步骤二，在医科大学的大数据研究院所使用本地模型训练第二个全局模型；步骤三，将私有IPFS保护存储在附属医院的所有本地医疗数据。该方案在维护医疗环境的安全性及隐私度的基础上，使临床研究院所共享数据便利化，促进生物医学研究。

附图说明

图1是本发明的身份认证和数据传输阶段的流程图；

图2是安全电子健康记录管理方案图；

图3是本地私有IPFS的安全EHR方案启动图。

具体实施方式

下面结合附图对本发明作更进一步的说明。

本发明提出了基于RFID和联邦学习的医学大数据共享系统及方法，该方案分为三个主要阶段，具体步骤如下：

1)初始化和注册阶段：此阶段与NSE+协议一致，如图1所示，分为两部分：

①用户注册(读卡器和医疗服务器)通过安全通道成为可信授权机构(网络管理器)。

②标签和读卡器注册到医疗服务器阶段。

2)身份验证阶段：将所有网络实体进行相互的身份验证。

3)数字签名和数据传输阶段：由标签生成的消息被加密并在网络各方之间传输。

具体地，一种基于RFID和联邦学习的医学大数据共享方法，包括初始化和注册阶段、身份验证阶段和数据传输阶段；

初始化和注册阶段包括如下步骤：

在无线体域网WBAN中，采用网络管理器NM生成系统参数，

首先，网络管理器NM在质场F_q中选择一条椭圆曲线E_q，q是一个质数，P是n阶椭圆曲线基点；

网络管理器NM选择一个随机整数α∈[1，n-1]，然后计算β＝α·P，作为其公钥；

每个实体用户U_j，读卡器U_R和服务器U_S分别按照以下步骤获得公钥和私钥：

步骤1，每个实体用户U_j都生成自己的随机整数c_j∈[1，n-1]，并计算d_j＝c_j·P，然后发送(d_j，ID_j)到网络管理器NM；其中，ID_j代表实体用户U_j的真实标识；

步骤2，网络管理器NM选择了一个随机的整数k_j∈[1，n-1]和计算y_j＝k_j·P+d_j和z_j＝k_j+((y_j)_x+ID_j)αmod n；其中，x代表会话的顺序号，x为自然顺序整数，从1开始算；

步骤3，网络管理器NM返回(y_j，z_j)，实体用户U_j据此计算其公钥x_j＝z_j+c_j mod n，然后检查x_j·P＝y_j+((y_j)_x+ID_j)β；实体用户U_j获得x_j，y_j；

对于读卡器U_R则计算x_R，y_R，对于服务器U_S则计算x_S，y_S；

读卡器U_R计算x_R，y_R的方法如下：

步骤1，每个实体用户U_j都生成自己的随机整数c_j∈[1，n-1]，并计算d_j＝c_j·P，然后发送(d_j，ID_j)到网络管理器NM；其中，ID_j代表实体用户U_j的真实标识；

步骤2，网络管理器NM选择了一个随机的整数k_j∈[1，n-1]和计算y_R＝k_j·P+d_j和z_R＝k_j+((y_R)_x+ID_j)αmod n；其中，x代表会话的顺序号，x为自然顺序整数，从1开始算；

步骤3，网络管理器NM返回(y_R，z_R)，实体用户U_j据此计算其公钥x_R＝z_R+c_j mod n，然后检查x_R·P＝y_R+((y_R)_x+ID_j)β；实体用户U_j获得x_R，y_R；

服务器U_S计算x_S，y_S的方法如下：

步骤1，每个实体用户U_j都生成自己的随机整数c_j∈[1，n-1]，并计算d_j＝c_j·P，然后发送(d_j，ID_j)到网络管理器NM；其中，ID_j代表实体用户U_j的真实标识；

步骤2，网络管理器NM选择了一个随机的整数k_j∈[1，n-1]和计算y_S＝k_j·P+d_j和z_S＝k_j+((y_S)_x+ID_j)αmod n；其中，x代表会话的顺序号，x为自然顺序整数，从1开始算；

步骤3，网络管理器NM返回(y_S，z_S)，实体用户U_j据此计算其公钥x_S＝z_S+c_j mod n，然后检查x_S·P＝y_S+((y_S)_x+ID_j)β；实体用户U_j获得x_S，y_S；

分别对(x_j，y_j)、(x_R，y_R)和(x_S，y_S)进行初始化，并在服务器级别上进行注册：

服务器U_S选择标签标识ID_Ti，其中i＝{1，2，3，...，n}，并计算PID_Tiold＝h(ID_Ti)，然后在标签U_T和读卡器U_R的记录中存储两个真实标识ID_Ti和标签原始伪标识PID_Tiold；选择一个随机值init，并将其插入标签U_T和读卡器U_R的内存中；初始化标签新伪标识PID_Tinew＝h(PID_Tiold||init)，并将PID_Tinew存储在读卡器U_R的内存中；选择服务器真实标识ID_S以及读卡器真实标识ID_R，计算读卡器原始伪标识PID_Rold＝h(ID_R)，然后将ID_R和PID_Rold存储在读卡器U_R及服务器U_S的内存中；初始化读卡器新伪标识PID_Rnew＝h(PID_Rold||init)，并将PID_Rnew存储在服务器U_S内存中；选择一个随机数P_rR代表读卡器的密钥并分配P_uR＝P_rR·P作为读卡器的公钥；然后，将密钥对(P_rR，P_uR)存储在读卡器U_R的内存中；此外，服务器U_S选择一个随机数P_rS作为服务器的密钥，并计算P_uS＝P_rS·P代表服务器的公钥；然后，将密钥对(P_rS，P_uS)存储在服务器的内存中；最后，服务器U_S把P_uR和P_uS插入到标签U_T的内存中，还将P_uR放入到读卡器U_R的内存，把P_uS放入到服务器U_S本身的内存中；

身份验证阶段包括如下步骤：

S1，读卡器U_R首先生成一个随机数r₁，然后计算消息R_r1＝r₁·P用来查询标签U_T；

S2，接收到消息R_r1时，标签U_T生成随机数t₁和计算C₁＝t₁·P，R_t1＝t₁·P_uR；然后，标签U_T初始化PID_Tinew＝h(PID_Tiold||init)和计算其中T₁是时间戳，然后发送C₁，C₂和T₁给读卡器U_R；

S3，在收到消息C₁，C₂和T₁后，读卡器U_R立即使用当前时间戳T₂计算时间差，如果|T₂-T₁|<ΔT不成立时终止会话，ΔT代表通信的最大时间延迟，否则读卡器U_R使用R^* _t1＝C₁·P_rR进行提取R_t1，R^* _t1是读卡器端计算的密钥值，R^* _t1＝R_t1，然后计算并检查标签的伪标识PID^* _Ti是否与其数据库中存在的原始伪标识PID_Tiold对应，用来验证标签；读卡器U_R计算N₁＝r₁·P_uS，初始化PID_Rnew＝h(PID_Rold||init)，然后计算B＝PRNG(N₂||R_r1)，然后发送(N₂，R_r1，T₂，B)到服务器U_S；

S4，服务器U_S收到消息(N₂，R_r1，T₂，B)后，立即使用当前时间戳T₃计算时间差，如果|T₃-T₂|<ΔT不成立时终止会话，否则服务器U_S计算B′＝PRNG(N₂||R_r1)，验证B′？＝B，如果B′≠B，终止会话；服务器端计算的值B′用于比较来自读卡器U_R发送过来的B是否相同；如果B′＝B，服务器U_S计算N^* ₁＝R_r1·P_rS并提取读卡器伪标识然后检查读卡器的伪标识PID^* _R是否与数据库中存储的原始伪标识PID_Rold对应，则对读卡器进行身份验证，否则，服务器U_S终止会话；经过对读卡器U_R身份验证后，服务器U_S生成一个随机整数s₁和计算S₁＝s₁·P和R_s1＝s₁·P_uR，然后计算/>D＝PRNG(N₃||S₁)，然后发送T₃，N₃，S₁，D给读卡器U_R，然后服务器U_S更新读卡器U_R的伪身份在其内存中，如下：

如果PID^* _R＝PID_Rold，然后更新PID_Rold＝PID_Rnew和如果PID^* _R＝PID_Rnew，然后更新PID_Rold＝PID_Rnew和/>

S5，在收到消息T₃，N₃，S₁，D后，读卡器U_R立即使用当前时间戳T₄计算时间差，如果|T₄-T₃|<ΔT不成立时终止会话，否则计算D′＝PRNG(N₃||S₁)，验证D′？＝D；如果D′≠D，终止会话；如果D′＝D，服务器U_S使用它的密钥值R^* _s1＝S₁·P_rR提取R^* _s1；一旦获得了R^* _s1，读卡器U_R计算出 如果对应于被存储在其数据库中ID_S，则通过对服务器U_S的身份验证，否则会话取消；在对服务器身份验证成功后，读卡器U_R计算和/> 并转移C₄，C₃，T₃，T₄到标签；然后读卡器在内存中更新标签的伪身份如下：

如果PID^* _Ti＝PID_Tiold，然后更新PID_Tiold＝PID_Tinew和如果PID^* _Ti＝PID_Tinew，然后更新PID_Tiold＝PID_Tinew和/>之后，读卡器更新其伪身份/>

S6，标签收到消息C₄，C₃，T₃，T₄后，立即使用当前时间戳T₅计算时间差；如果|T₅-T₄|<ΔT，提取读卡器的新伪身份然后计算/>如果C^* ₄＝C₄，标签对读卡器和服务器进行身份验证，否则会话终止；一旦通过对读卡器的身份验证，标签更新其伪身份/>一旦所有实体相互通过身份验证，标签和读卡器都生成一个共享会话密钥来加密和解密交换的消息，即对称加密；标签会话密钥是/>读卡器会话密钥是/>

数据传输阶段包括如下步骤：

S7，由于对称加密，一旦导出共享会话密钥，标签和读卡器安全地交换敏感数据；使用具有消息恢复的椭圆曲线数字签名，将敏感的医疗数据安全地传输到医疗服务器上；具体程序描述如下：

带ID_Ti的标签首先生成一个消息m_i，m_i代表生理学数据；通过对称加密，标签用其共享的会话密钥SK_TR对消息M_i＝E_SK(m_i)进行加密，并通过标签和读卡器之间的不安全通道发送M_i，T₅给读卡器；

S8，一旦读卡器收到加密的消息M_i，验证时间戳T₆的新鲜性，如果是|T₆-T₅|<ΔT不成立，则会话终止，否则读卡器使用自己的会话密钥SK_RT来解密消息；之后，读卡器U_R创建一个数字签名，将消息M传输到医疗服务器；消息M表示从w个标签接收到的一组消息M＝m₁,m₂,m₃,…m_i…,m_w，其中i＝1,2,3,…,w；读卡器生成其数字签名如下：

读卡器设置随机数r₀＝0，然后选择一个随机数字k∈[1,w-1]并计算 之后，读卡器推断出r＝h(r₁||r₂||r₃||…||rw)，r是哈希函数h的参数，是r₁||r₂||r₃||…||rw的连接，用r计算z＝k-rx_R mod w；然后签名块r,z,r₁,r₂,r₃,…,r_w,T₆被转移到医疗服务器上以进行验证和消息恢复；

S9，在接收到数字签名后，服务器U_S首先检查时间戳T₇的新鲜性；如果|T₇-T₆|<ΔT，则检查是否r＝r^*且其中r^*＝h(r₁||r₂||r₃||…||rw)，如果成立，则U_S提取消息集m₁,m₂,m₃,…m_i…,mw，列举如下：

随机值是使用随机生成函数PRNG随机生成的。

内存即为数据库。

密钥对包括公钥和私钥；公钥是密钥对所有者持有，公布给他人的；私钥也是密钥对所有者持有，不可公布。

所有实体包括实体用户U_j、读卡器U_R、服务器U_S和标签U_T。

敏感数据是标签和读卡器端保存的所有密钥。

本发明的方法获得的基于RFID和联邦学习的医学大数据共享系统。

本发明提出的方案是基于RFID技术和联邦学习的一个医疗网络物理系统，该系统由附属医院、医科大学研究院所、在附属医院接受疫情检测的患者等外部实体组成。附属医院对所有患者使用RFID技术进行大数据收集，为研究者提供进一步的疫情感染筛查研究。联邦学习模型在附属医院和研究院所这两端训练数据。本地模型在附属医院内的局域网上进行训练，结果存储在私人星际文件系统(IPFS)中。全局模型由研究院所管理，该中心收集来自各附属医院的结果，以进一步改进并为疫情数据库建立可靠的模型。目前的两个IPFS分别为私人IPFS和全局IPFS分布式网络。私人IPFS维护患者数据的隐私，并连接附属医院和研究院所内的系统。信任集群包括附属医院医务人员和研究院所。基于全局分布式网络的IPFS与庞大网络中的所有节点共享数据。智能合约使研究院所等第三方实体能够获得患者的私人数据进行大数据建模。基于区块链的联盟网络环境由附属医院，医科大学和研究院所组成。存储在IPFS中的数据的哈希地址被安全地存储为事件。安全电子健康记录管理方案的应用环境如图2所示。

本发明中区块链技术的现有技术来源为：Salim MM,Park JH.FederatedLearning-based secure Electronic Health Record sharing scheme in MedicalInformatics[published online ahead of print,2022May 13].IEEE J Biomed HealthInform.2022；PP:10.1109/JBHI.2022.3174823.doi:10.1109/JBHI.2022.3174823。

为保护患者数据的隐私，本发明提出了一种基于联邦学习的医疗信息学电子病历共享方案。方案包括如下步骤：步骤一，一个分散的基于联邦学习的卷积神经网络模型在医科大学的附属医院采集本地数据，并将结果存储在一个私有的星际文件系统中；步骤二，在医科大学的大数据研究院所使用本地模型训练第二个全局模型；步骤三，将私有IPFS保护存储在附属医院的所有本地医疗数据。该方案在维护医疗环境的安全性及隐私度的基础上，使临床研究院所共享数据便利化，促进生物医学研究。

基于RFID和联邦学习的医学大数据共享模型/系统：

私人IPFS(InterPlanetary File System，星际文件系统)包括附属医院系统的本地部分，且在该方案中，私人IPFS主要达成六个目标。第一，在本地存储所有从医疗设备收集的原始数据，确保没有任何国外实体能够访问私人医疗数据。这些原始数据可进一步被其他医疗诊断系统使用。第二，存储从训练本地联邦学习模型获得的结果，以协助本地医务人员做出进一步的知情决策。第三，确保用户对信任集群的所有组成部分进行访问控制，包括附属医院中的所有相关医务人员。第四，防止信任集群之外的所有国外实体，例如外国研究院所、其他附属医院、保险公司和私人研究院所，获得未被授权的患者数据。第五，由于集中式存储点容易出现单点故障漏洞，分布式文件共享系统可以防止恶意攻击者获得对整个数据的访问权限，因为每个数据在各个小储存点中共享。第六，公共IPFS容易因公共设备没有足够的动力保持在线而导致数据不可用，而私有IPFS确保了数据的持久性和可用性，因为所有系统都是本地附属医院的一部分，并且始终在线、可用。

全局IPFS同样包括连接的点对点系统，但它们位于附属医院系统之外。全局IPFS主要达成以下四个目标：第一，所有附属医院都存储从各自的本地联邦学习模型中获得的结果。第二，由于没有服务器存储数据，从而实现了安全的文件存储，使攻击者难以窃取用户数据。第三，每个文件都保持一个唯一的哈希值，作为指纹并确保数据完整性。任何获得数据访问权的外部实体都可以使用信息的哈希值来验证在传输过程中是否被篡改。第四，外部实体(如项目合作的各个高校，研究中心)可以检查所有修改过的数据的历史版本。一旦用户访问得到保障，所有相关实体都可以访问所有历史和当前版本的数据。

基于联邦学习的分布式学习确保人工智能模型不是在集中式数据库(如私有云网络)上进行训练。联邦学习有以下目标。第一，为识别疫情感染患者而收集的患者数据是基于使用CT扫描和胸部X光图像的数据集。第二，深度卷积神经网络(D-CNN)提取特征，将图像进行输入，并输出疫情感染数据。第三，使用本发明从附属医院医疗系统本地收集所有数据，并使用附属医院内的数据中心在本地对模型进行训练。训练过的模型结果存储在本地IPFS中，以确保不违反用户隐私协议。第四，根据用户访问权限，使用模型的最新结果更新外部IPFS。

一个基于联合的区块链网络将附属医院和研究院所在其信任集群内连接起来，每个附属医院和研究院所组成各自的小组。使用区块验证系统可以阻止网络攻击者的数据篡改企图，该系统删除了具有错误哈希值的无效区块。基于联合的区块链网络有以下目标。基于联合的区块链给予研究院所和注册附属医院发布和访问交易的权利。提供用户访问权限的外部实体只有只读访问权限，从而阻止它们提交数据作为事项。该研究院所改进了全局模型并将其存储在公共IPFS中。哈希地址在区块链网络中作为每个事项存储数据的指纹。数据在所有授权的医疗机构(包括当地附属医院和研究院所)之间共享，化解了临床医学大数据不可共享的困境。研究院所访问存储在区块链网络中的哈希地址，并直接从各自的本地IPFS上传数据。不可变的分类账本确保相邻的区块由于哈希值的变化而摒弃所有数据篡改尝试。

智能合约使患者能够同意或拒绝外部实体访问私人数据的权限。在本发明中，我们假设附属医院的本地医疗系统是安全的，每个患者都可以使用移动设备自由访问他们的数据，并可以选择拒绝或接受智能合约。保险机构可以同意补贴患者的住院费用的形式以换取数据，或者外国研究院所可能会承诺未来的疫苗支持以换取数据访问。在本发明中，我们假设所有请求访问用户数据的第三方实体都是真实的，患者有办法区分有效组织和欺诈组织。在提出的方案中，智能合约主要达成四个目标。第一，所有第三方实体都需要与患者进行身份验证，以获得用户对私人医疗记录的访问权。第二，智能合约在版本限制下验证研究院所实体访问患者数据的权限，即实体要么可以完全访问未来更新的电子健康记录(EHRs)的所有版本，要么只能访问当前可用的EHRs。第三，患者获得了从可信赖的研究院所为未来可能的实验性医疗进行谈判的权利，或从保险机构寻求附属医院治疗的财政补贴。第四，智能合约的成功协议使第三方实体能够接收区块链交易地址，该交易地址指向存储在全局IPFS中的文件的哈希地址。

如图3所示，当患者连接到将数据传输到本地私有IPFS的医疗设备时，安全EHR方案启动。

同时，联邦学习模型开始使用从医疗设备获取的X射线和CT扫描来训练本地模型。方案流程启动时，本地模型从获得的患者数据中进行训练。本地模型的结果存储在私有IPFS中。由于处于信任集群中，医科大学的研究院所可以立即访问数据，而无需向各个附属医院发送请求消息。全局模型使用从所有附属医院收集的数据进行训练。结果存储在一个全局IPFS中，作为联盟区块链成员的所有医疗中心都可以访问。

患者有权访问存储在公共IPFS中的EHR。使用智能合约，患者向第三方实体发出访问权限，并转移事项地址。智能合约的撤销或过期将使访问数据的实体的身份验证失效。存储在区块中的哈希地址由存储在区块中的EHR文件版本的未来更新组成，不会与其他智能合约过期的实体共享。

安全EHR方案实现了一个四阶段方法：其一，训练模型；其二，使用IPFS存储和共享数据；其三，存储IPFS记录；其四，协商EHR。

全局模型

在本发明中，联邦学习实现了分散学习的D-CNN算法。基于FedAvg算法对X射线图像根据活动性疫情的检测进行分类。模型基于数轮(n)训练，模型从权重wt⁰和附属医院的数量(hsp)开始，每个附属医院都有几个病人的图像img_hsp。

全局模型共享权重(wt^n-1)，其中每个附属医院(hsp₁,hsp₂,hsp₃......hsp_n]可以访问img_hsp

[wt¹,wt²,wt³......wtⁿ]。权重与附属医院的子集随机共享(h_st)。如算法1所示，各附属医院基于X射线图像训练局部数据。训练是使用小批量随机梯度下降法(SGD)分批完成的。在数据点上运行SGD的数称为Ep。

模型训练完成后，每个模型结将束其本地模型上传到全局模型/研究院所，wtthsp,hsp∈h_st。如算法2所示，研究院所对从h_st接收到结的束本地模型进行平均，并更新全局模型参数。

上述单轮D-CNN是为联邦学习设计的数轮的一部分。研究院所反复发送权重wt^n-1，随着每个新附属医院成为安全电子健康记录共享方案的一部分，hsp_n+1的数量也在增加。

对于本次附属医院方模型的表示，本发明给出了一个附属医院训练本地模型的方案。其余附属医院在基于DCNN(深度卷积神经网络)架构中共享的相同训练。由研究院所管理的全局模型通过将模型分发到附属医院进行本地培训来启动联邦学习。当附属医院提交其训练过的模型时，结果将用于改进全局模型。

使用IPFS管理和共享数据

私人IPFS和公共IPFS的设计是相似的，只是在私人IPFS中，只有附属医院现场的系统被允许连接。作为信任集群的成员，医生、护士和管理人员可以直接访问EHR。公共IPFS是对公共领域所有可用系统的开放访问。IPFS的目标是为敏感EHR提供安全和隐私的存储系统。每个EHR以PDF格式作为一个对象来储存的。EHR在多个系统之间共享，确保没有任意一个系统受到存储空间不足的影响。此外，每个文件都由一个SHA-256位哈希地址表示，该哈希地址用作组装文件的指针，并检查汇总的EHR的完整性。大量的文件可以存储在一家附属医院本地的各种系统上。在该方案中，IPFS通信有四种类型，如下所述。

1机器到IPFS通信

本地附属医院系统的部分机器传输原始数据，并存储在本地IPFS网络中，以便将来进行分析。

2本地模型到IPFS通信

完成本地数据训练需要将结果存储在私有IPFS中，以便在附属医院网络中进行本地访问。

3IPFS到研究院所

研究院所可以直接访问附属医院的所有学习数据，以完善全局模型。研究院所不需要向附属医院索取数据，而是访问所有附属医院的私人IPFS中预先提供的数据。

4智能合约到区块链通信

公共IPFS需要汇总智能合约授权的有效用户的数据。有效的智能合约允许搜索存储在区块链网络中的哈希地址。一个认证成员请求获取数据，公共IPFS就会检索信息。

保持两个独立的IPFS(私有和公共)的一个关键好处是防止第三方实体访问用于训练本地和全局模型的原始数据。经授权的实体只能在研究院所和附属医院允许的情况下访问医疗报告文件信息。

储存IPFS记录

在这个方案中，区块链网络不用于存储数据，因为医疗记录会大量增加，并在网络中引入可扩展性问题。因此，所有数据都存储在私人IPFS和公共IPFS中。区块链网络负责维护每个电子病历的位置地址记录。医学研究院所将数据存储在公共IPFS中。每个存储的文件都有一个哈希地址，作为一个事项存储在区块链网络中。存储的事务ID由研究院所、当地附属医院和相关患者维护。

所有节点都由其邻近节点验证，试图操纵数据的入侵将导致区块被拒绝，以此确保数据的完整性。不可变的分类账本使用智能合约维护每个访问授权和无效的交易记录，该描述包括所有被患者授予访问记录权限的实体列表。存储的信息包括在第三方实体和患者之间基于智能合约的协议所附加的时间限制。

协商EHR

提出的安全EHR方案防止任何第三方实体访问私人患者记录。然而，从患者的利益出发并基于他们的个人决定，智能合约可以与外部实体共享健康记录。本发明假设患者有一个移动设备来接收、接受或拒绝智能合约通知。当外部实体(如外国医学研究院所或保险公司)要求用户根据所提供的协议共享数据时，该流程启动。患者有办法接受、拒绝或协商协议条款以获得金钱或医疗利益。接受合同要求患者共享区块链交易地址，以便外部实体访问EHR。此外，可以在智能合约中声明访问期限和用户对文件未来版本的访问限制。区块链网络接收智能合约，并将协议的细节记录在一个区块中。授权用户给出哈希地址，然后使用公共IPFS的GET命令下载文件。

以上所述仅是本发明的优选实施方式，应当指出：对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也应视为本发明的保护范围。

Claims (8)

1.一种基于RFID和联邦学习的医学大数据共享方法，其特征在于，包括初始化和注册阶段、身份验证阶段和数据传输阶段；

初始化和注册阶段包括如下步骤：

在无线体域网WBAN中，采用网络管理器NM生成系统参数，

首先，网络管理器NM在质场F_q中选择一条椭圆曲线E_q，q是一个质数，P是n阶椭圆曲线基点；

网络管理器NM选择一个随机整数α∈[1，n-1]，然后计算β＝α·P，作为其公钥；

每个实体用户U_j，读卡器U_R和服务器U_S分别按照以下步骤获得公钥和私钥：

步骤1，每个实体用户U_j都生成自己的随机整数c_j∈[1，n-1]，并计算d_j＝c_j·P，然后发送(d_j，ID_j)到网络管理器NM；其中，ID_j代表实体用户U_j的真实标识；

步骤2，网络管理器NM选择了一个随机的整数k_j∈[1，n-1]和计算y_j＝k_j·P+d_j和z_j＝k_j+((y_j)_x+ID_j)αmod n；其中，x代表会话的顺序号，x为自然顺序整数，从1开始算；

步骤3，网络管理器NM返回(y_j，z_j)，实体用户U_j据此计算其公钥x_j＝z_j+c_j mod n，然后检查x_j·P＝y_j+((y_j)_x+ID_j)β；实体用户U_j获得x_j，y_j；

对于读卡器U_R则计算x_R，y_R，对于服务器U_S则计算x_S，y_S；

分别对(x_j，y_j)、(x_R，y_R)和(x_S，y_S)进行初始化，并在服务器级别上进行注册：

服务器U_S选择标签标识ID_Ti，其中i＝{1，2，3，...，n}，并计算PID_Tiold＝h(ID_Ti)，然后在标签U_T和读卡器U_R的记录中存储两个真实标识ID_Ti和标签原始伪标识PID_Tiold；选择一个随机值init，并将其插入标签U_T和读卡器U_R的内存中；初始化标签新伪标识PID_Tinew＝h(PID_Tiold||init)，并将PID_Tinew存储在读卡器U_R的内存中；选择服务器真实标识ID_S以及读卡器真实标识ID_R，计算读卡器原始伪标识PID_Rold＝h(ID_R)，然后将ID_R和PID_Rold存储在读卡器U_R及服务器U_S的内存中；初始化读卡器新伪标识PID_Rnew＝h(PID_Rold||init)，并将PID_Rnew存储在服务器U_S内存中；选择一个随机数P_rR代表读卡器的密钥并分配P_uR＝P_rR·P作为读卡器的公钥；然后，将密钥对(P_rR，P_uR)存储在读卡器U_R的内存中；此外，服务器U_S选择一个随机数P_rS作为服务器的密钥，并计算P_uS＝P_rS·P代表服务器的公钥；然后，将密钥对(P_rS，P_uS)存储在服务器的内存中；最后，服务器U_S把P_uR和P_uS插入到标签U_T的内存中，还将P_uR放入到读卡器U_R的内存，把P_uS放入到服务器U_S本身的内存中；

身份验证阶段包括如下步骤：

S1，读卡器U_R首先生成一个随机数r₁，然后计算消息R_r1＝r₁·P用来查询标签U_T；

S2，接收到消息R_r1时，标签U_T生成随机数t₁和计算C₁＝t₁·P，R_t1＝t₁·P_uR；然后，标签U_T初始化PID_Tinew＝h(PID_Tiold||init)和计算C₂＝PID_Tinew+h((R_t1)_x⊕(R_r1)_x⊕(C₁)_x||T₁)，其中T₁是时间戳，然后发送C₁，C₂和T₁给读卡器U_R；

S3，在收到消息C₁，C₂和T₁后，读卡器U_R立即使用当前时间戳T₂计算时间差，如果|T₂-T₁|<ΔT不成立时终止会话，ΔT代表通信的最大时间延迟，否则读卡器U_R使用R^* _t1＝C₁·P_rR进行提取R_t1，R^* _t1是读卡器端计算的密钥值，R^* _t1＝R_t1，然后计算PID^* _Ti＝C₂-h((R^* _t1)_x⊕(R_r1)_x⊕(C₁)_x||T₁)，并检查标签的伪标识PID^* _Ti是否与其数据库中存在的原始伪标识PID_Tiold对应，用来验证标签；读卡器U_R计算N₁＝r₁·P_uS，初始化PID_Rnew＝h(PID_Rold||init)，然后计算N₂＝PID_Rnew+h((R_r1)_x⊕ID_R||(N₁)_x||T₂)，B＝PRNG(N₂||R_r1)，然后发送(N₂，R_r1，T₂，B)到服务器U_S；

S4，服务器U_S收到消息(N₂，R_r1，T₂，B)后，立即使用当前时间戳T₃计算时间差，如果|T₃-T₂|<ΔT不成立时终止会话，否则服务器U_S计算B′＝PRNG(N₂||R_r1)，验证B′？＝B，如果B′≠B，终止会话；服务器端计算的值B′用于比较来自读卡器U_R发送过来的B是否相同；如果B′＝B，服务器U_S计算N^* ₁＝R_r1·P_rS并提取读卡器伪标识PID^* _R＝N₂-h((R_r1)_x⊕(ID_R)_x||(N^* ₁)_x||T₂)，然后检查读卡器的伪标识PID^* _R是否与数据库中存储的原始伪标识PID_Rold对应，则对读卡器进行身份验证，否则，服务器U_S终止会话；经过对读卡器U_R身份验证后，服务器U_S生成一个随机整数s₁和计算S₁＝s₁·P和R_s1＝s₁·P_uR，然后计算N₃＝h((R_s1)_x⊕PID^* _R||T₂||T₃)+ID_S，D＝PRNG(N₃||S₁)，然后发送T₃，N₃，S₁，D给读卡器U_R，然后服务器U_S更新读卡器U_R的伪身份在其内存中，如下：

如果PID^* _R＝PID_Rold，然后更新PID_Rold＝PID_Rnew和PID_Rnew＝h(PID_Rold⊕(N₁)_x)；如果PID^* _R＝PID_Rnew，然后更新PID_Rold＝PID_Rnew和PID_Rnew＝h(PID_Rnew⊕(N₁)_x)；

S5，在收到消息T₃，N₃，S₁，D后，读卡器U_R立即使用当前时间戳T₄计算时间差，如果|T₄-T₃|<ΔT不成立时终止会话，否则计算D′＝PRNG(N₃||S₁)，验证D′？＝D；如果D′≠D，终止会话；如果D′＝D，服务器U_S使用它的密钥值R^* _s1＝S₁·P_rR提取R^* _s1；一旦获得了R^* _s1，读卡器U_R计算出ID^* _S＝N₃-h((R^* _s1)_x⊕PID_Rnew||T₂||T₃)，如果对应于被存储在其数据库中ID_S，则通过对服务器U_S的身份验证，否则会话取消；在对服务器身份验证成功后，读卡器U_R计算C₃＝h(ID_Ti⊕T₃||T₄)+PID_Rnew和C₄＝h((R^* _t1)_x⊕PID_Rnew||(R_r1)_x||T₄)并转移C₄，C₃，T₃，T₄到标签；然后读卡器在内存中更新标签的伪身份如下：

如果PID^* _Ti＝PID_Tiold，然后更新PID_Tiold＝PID_Tinew和PID_Tinew＝h(PID_Tiold⊕(R_t1)_x)；如果PID^* _Ti＝PID_Tinew，然后更新PID_Tiold＝PID_Tinew和PID_Tinew＝h(PID_Tinew⊕(R_t1)_x)；之后，读卡器更新其伪身份PID_Rnew＝h(PID_Rnew⊕(N₁)_x)；

S6，标签收到消息C₄，C₃，T₃，T₄后，立即使用当前时间戳T₅计算时间差；如果|T₅-T₄|<ΔT，提取读卡器的新伪身份PID^* _Rnew＝C₃-h(ID_Ti⊕T₃||T₄)，然后计算C^* ₄＝h((R_t1)_x⊕PID^* _Rnew||(R_r1)_x||T₄)；如果C^* ₄＝C₄，标签对读卡器和服务器进行身份验证，否则会话终止；一旦通过对读卡器的身份验证，标签更新其伪身份PID_Tinew＝h(PID_Tinew⊕(R_t1)_x)；一旦所有实体相互通过身份验证，标签和读卡器都生成一个共享会话密钥来加密和解密交换的消息，即对称加密；标签会话密钥是SK_TR＝h(ID_Ti⊕PID_Tinew||(t₁·R_r1)_x)，读卡器会话密钥是SK_RT＝h(ID_Ti⊕PID_Tinew||(r₁·C₁)_x)。

2.根据权利要求1所述的方法，其特征在于，数据传输阶段包括如下步骤：

S7，由于对称加密，一旦导出共享会话密钥，标签和读卡器安全地交换敏感数据；使用具有消息恢复的椭圆曲线数字签名，将敏感的医疗数据安全地传输到医疗服务器上；具体程序描述如下：

带ID_Ti的标签首先生成一个消息m_i，m_i代表生理学数据；通过对称加密，标签用其共享的会话密钥SK_TR对消息M_i＝E_SK(m_i)进行加密，并通过标签和读卡器之间的不安全通道发送M_i，T₅给读卡器；

S8，一旦读卡器收到加密的消息M_i，验证时间戳T₆的新鲜性，如果是|T₆-T₅|<ΔT不成立，则会话终止，否则读卡器使用自己的会话密钥SK_RT来解密消息；之后，读卡器U_R创建一个数字签名，将消息M传输到医疗服务器；消息M表示从w个标签接收到的一组消息M＝m₁,m₂,m₃,…m_i…,m_w，其中i＝1,2,3,…,w；读卡器生成其数字签名如下：

读卡器设置随机数r₀＝0，然后选择一个随机数字k∈[1,w-1]并计算r_i＝m_i+h(r_i-1⊕(k(y_S+((y_S)_x+ID_S)))_x)mod w；之后，读卡器推断出r＝h(r₁||r₂||r₃||…||r_w)，r是哈希函数h的参数，是r₁||r₂||r₃||…||r_w的连接，用r计算z＝k-rx_R mod w；然后签名块r,z,r₁,r₂,r₃,…,r_w,T₆被转移到医疗服务器上以进行验证和消息恢复；

S9，在接收到数字签名后，服务器U_S首先检查时间戳T₇的新鲜性；如果|T₇-T₆|<ΔT，则检查是否r＝r^*且其中r^*＝h(r₁||r₂||r₃||…||r_w)，如果成立，则U_S提取消息集m₁,m₂,m₃,…m_i…,m_w，列举如下：

m_i＝r_i-h(r_i-1⊕(zP+r(y_R+((y_S)_x+ID_R))x_S)_x)mod w。

3.根据权利要求1所述的方法，其特征在于，随机值是使用随机生成函数PRNG随机生成的。

4.根据权利要求1所述的方法，其特征在于，内存即为数据库。

5.根据权利要求1所述的方法，其特征在于，密钥对包括公钥和私钥；公钥是密钥对所有者持有，公布给他人的；私钥也是密钥对所有者持有，不可公布。

6.根据权利要求1所述的方法，其特征在于，所有实体包括实体用户U_j、读卡器U_R、服务器U_S和标签U_T。

7.根据权利要求2所述的方法，其特征在于，敏感数据是标签和读卡器端保存的所有密钥。

8.根据权利要求1～7任意一项所述的方法获得的基于RFID和联邦学习的医学大数据共享系统。