一种公共卫生地理数据去隐私处理方法及系统与流程

本发明涉及通信技术领域，尤其涉及一种公共卫生地理数据去隐私处理方法及系统。

背景技术：

在当今大数据的背景下，公共卫生行业中隐私数据的保护尤为重要，且疾控中心本身业务数据的特殊性及社会影响较大，其数据涵盖了各类疾病个案或业务信息，万一泄露至外界，可能产生各种不良影响，因而，数据保护至关重要。

同时，上海市疾控中心于2015年开始建设gis共享平台，且该项目于2017年通过市卫计委的验收，平台至今已汇集了上海市疾控不同业务条线的数据。所以，在共享平台的基础上，实现隐私数据保护亦非常重要，其中实现去隐私处理的技术为本专利需要解决的核心技术问题。

技术实现要素：

针对现有技术中对于公共卫生行业中各类疾病个案或业务信息的隐私数据的泄漏存在的问题，现提供一种旨在对公共卫生地理数据的保存以及发送均采用加密的方式，并且针对隐私数据进行分级加密保存，核实获取隐私数据的用户身份，可有效的保证公共卫生地理数据的去隐私处理方法及系统。

具体技术方案如下：

一种公共卫生地理数据去隐私处理方法，其中，包括以下步骤：

步骤s1、将登录账号信息经过第一级加密后发送至服务端，以供所述服务端解密认证通过，每个用户根据系统角色的不同赋予相应的操作权限；

步骤s2、当需要录入公共卫生地理数据时，将公共卫生地理数据筛选出隐私数据，并按照预设的分级规则进行分级以获得不同等级的隐私数据；

步骤s3、按照等级高低分别对所述隐私数据第二级加密并发送至所述服务端，由所述服务端对能正确解密的所述隐私数据进行保存；

步骤s4、当需要于所述客户端获取公共卫生地理数据时，将预设查询条件经过第三级加密并发送至服务端，所述服务端获取能正确解密后的所述查询条件，并反馈与所述查询条件对应的公共卫生地理数据。

优选的，所述步骤s1中，所述第一级加密方法包括以下步骤：

步骤s11、采用第一加密算法对所述登录账号信息进行加密生成第一摘要值，并将加密数据以及所述第一摘要值发送至所述服务端；

步骤s12、所述服务端通过第一加密算法对所述加密数据进行解密以生成第二摘要值；

步骤s13、所述服务端将所述第一摘要值与所述第二摘要值进行比较，若比较结果一致，则用户身份认证通过；

若比较结果不一致，则拒绝登录所述服务端。

优选的，所述第一加密算法为md5加密算法。

优选的，在所述步骤s3中，按照等级高低分别对所述隐私数据第二级加密并发送至所述服务端，由所述服务端对能正确解密的所述隐私数据进行保存包括以下步骤：

客户端采用第二加密算法和加密秘钥对不同等级的所述隐私数据进行加密，以形成加密数据；

将所述加密数据发送至服务端；

所述服务端采用与所述第二加密算法对应的解密算法和所述加密秘钥对所述加密数据进行解密以判断解密是否成功；

若解密成功，则保存所述隐私数据；

若解密失败，则拒绝保存所述隐私数据。

优选的，所述第二加密算法为des加密算法。

优选的，所述第三加密算法为des加密算法。

优选的，公共卫生地理数据划分的等级包括：

第一级、未脱敏数据；

第二级、已脱敏数据；

第三级、无差异数据。

优选的，所述客户端针对所述隐私数据提供两类存储路径；

第一类存储路径，用以存储第一级未脱敏数据；

第二类存储路径，用以存储第二级已脱敏数据、第三级无差异数据。

优选的，所述服务端划分有多个角色，每个角色关联获取相应级别的所述隐私数据的操作权限；

所述角色包括：

审计组、系统管理组及业务信息组。

还包括一种公共卫生地理数据去隐私处理系统，其中，包括；

客户端，以及与所述客户端连接的服务端；

客户端用以将登录账号信息经过第一级加密后发送至服务端，以供所述服务端解密认证通过，每个用户根据系统角色的不同赋予相应的操作权限；

当需要录入公共卫生地理数据时，通过客户端将所述公共卫生地理数据筛选出隐私数据，并按照预设的分级规则进行分级以获得不同等级的隐私数据；

客户端按照等级高低分别对所述隐私数据第二级加密并发送至所述服务端，由所述服务端对能正确解密的所述隐私数据进行保存；

当需要于所述客户端获取所述公共卫生地理数据时，客户端将预设查询条件经过第三级加密并发送至服务端，所述服务端获取能正确解密后的所述查询条件，并反馈与所述查询条件对应的所述公共卫生地理数据至客户端。

上述技术方案具有如下优点或有益效果：通过不同层级的加密方式，可以对公共卫生地理数据进行分级并实现安全保存，控制用户安全访问服务端的同时，从而保证隐私数据在传输过程中隐私数据的安全。

附图说明

参考所附附图，以更加充分的描述本发明的实施例。然而，所附附图仅用于说明和阐述，并不构成对本发明范围的限制。

图1为本发明一种公共卫生地理数据去隐私处理方法实施例的流程图；

图2为本发明一种公共卫生地理数据去隐私处理方法实施例中，关于对第一级加密方法的流程图；

图3为本发明一种公共卫生地理数据去隐私处理系统实施例的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

需要说明的是，在不冲突的情况下，本发明中的实施例及实施例中的特征可以相互组合。

下面结合附图和具体实施例对本发明作进一步说明，但不作为本发明的限定。

本发明包括一种公共卫生地理数据去隐私处理方法。

如图1所示，一种公共卫生地理数据去隐私处理方法的实施例，其中，包括以下步骤：

步骤s1、将登录账号信息经过第一级加密后发送至服务端，以供服务端解密认证通过，每个用户根据系统角色的不同赋予相应的操作权限；

如图2所示，在步骤s1中，第一级加密方法包括以下步骤：

步骤s11、采用第一加密算法对所述登录账号信息进行加密生成第一摘要值，并将加密数据以及第一摘要值发送至所述服务端；

步骤s12、服务端通过第一加密算法对加密数据进行解密以生成第二摘要值；

步骤s13、服务端将第一摘要值与第二摘要值进行比较，若比较结果一致，则用户身份认证通过；

若比较结果不一致，则拒绝登录服务端，上述第一加密算法为md5加密算法。

上述技术方案中，客户端在录入数据，或者将录入的公共卫生地理数据进行保存之前，都需要对用户的身份信息进行核实，一般的采用的用户身份核实方式是直接输入用户账号信息(用户账号以及对应的密码)，因此数据在发送的过程中明文发送的，即存在第三者获取用户的账户信息，导致公共卫生地理数据的隐私数据被泄露，通过对用户的账户信息进行加密由服务端进行解密可以保证登录的用户的真实性。

步骤s2、当需要录入公共卫生地理数据时，将公共卫生地理数据筛选出隐私数据，并按照预设的分级规则进行分级以获得不同等级的隐私数据；

步骤s3、按照等级高低分别对隐私数据第二级加密并发送至服务端，由服务端对能正确解密的隐私数据进行保存；

在客户端录入公共卫生地理数据后，将公共卫生地理数据的隐私数据进行分级，分为：

第一级，未脱敏数据；

第二级，已脱敏数据；

第三级，无差异数据；

对分级的隐私数据进行保存，具体是客户端针对隐私数据提供两类存储路径：

第一类存储路径，即未脱敏数据库，即上述的未脱敏服务器，用以存储第一级未脱敏数据；

第二类存储路径，即脱敏数据库，即上述的脱敏服务器，用以存储第二级已脱敏数据、第三级无差异数据。

上述技术方案中，公共卫生地理数据即数据来源会进行历史沉淀，其中，公共卫生地理数据主要包括四大类，包括疾病监测与管理的数据、健康相关因素追踪与控制的数据、公共卫生服务的数据和内部综合管理的数据；

公共卫生地理数据中往往包括隐私字段，具体的隐私字段包括姓名、性别、年龄、身份证号码、家庭住址、电话、疾病种类、出生日期、家长或者亲属姓名等，本技术可采用自动识别隐私字段来筛选出隐私数据；

本技术会自动识别带有姓名、性别、年龄、身份证号码、家庭住址、电话、疾病种类、出生日期、家长或者亲属姓名的隐私字段进行隐私保护。

详细流程如下：新录入公共卫生地理数据时，若含有隐私信息，本技术自动识别隐私字段，确认需要加密的字段，对含有隐私字段的公共卫生地理数据进行标记，存储至未脱敏服务器上保存；若有标记的公共卫生地理数据(含有隐私字段)，则经过第二级加密，再同步至已脱敏服务器(即为脱敏数据)，在已脱敏服务器判断加密数据是否能正确解密，若能正确解密，则将有标记的公共卫生地理数据存储至已脱敏服务器，反之，若不能正确解密，则返回错误信息，且不存储数据。不含有隐私字段的公共卫生地理数据做无标记处理，直接存储在脱敏服务器中(即为无差异数据)。

需要说明的是，公共卫生地理数据根据监测数据和阈值(阈值规则为专家经验、行业标准和历史值)进行判定，将数据转入脱敏数据库或未脱敏数据库中。

例如：

若新录入公共卫生地理数据不含隐私数据，则直接存储至脱敏数据库；

若新录入公共卫生地理数据含有隐私数据，则存储至未脱敏数据库中后，会将该数据与阈值进行比较：

(1)若未超过阈值，则将新录入公共卫生地理数据去隐私处理后，存储至脱敏数据库；

(2)若已超过阈值，则将新录入公共卫生地理数据作报警提示，且不存储至脱敏数据库。

上述技术方案中，在隐私数据保存后，在步骤s3中，将隐私数据进行加密的方法包括以下步骤：

客户端采用第二加密算法和加密秘钥对不同等级的所述隐私数据进行加密，以形成加密数据；

将所述加密数据发送至服务端；

所述服务端采用与所述第二加密算法对应的解密算法和所述加密秘钥对所述加密数据进行解密以判断解密是否成功；

若解密成功，则保存所述隐私数据；

若解密失败，则拒绝保存所述隐私数据。

在一种较优的实施方式中，第二加密算法为des加密算法。

步骤s4、当需要于服务端获取公共卫生地理数据时，将预设查询条件经过第三级加密并发送至服务端，服务端获取能正确解密后的查询条件，并反馈与查询条件对应的公共卫生地理数据。

在隐私数据发送至服务端保存后，当客户端的用户需要从服务端获取公共卫生地理数据的隐私数据时，通过以下方式进行安全获取

客户端对生成的查询条件，采用第三加密算法对查询条件进行加密已形成加密数据；

将加密数据发送至服务端；

服务端采用与第三加密算法对应的解密算法和加密秘钥对加密数据进行解密以判断解密是否成功；

若解密成功，则返回与查询条件对应的隐私数据；

若解密失败，则拒绝客户端的访问。

第三加密算法为des加密算法。

公共卫生地理数据的隐私数据划分的等级分为三级，但公共卫生地理数据的隐私数据的等级并不是一成不变的，可以根据阈值进行实时的隐私数据等级更新。

阈值的设置规则是依照专家经验、行业标准、历史平均值进行设置的。其中，专家经验的优先级最高，行业标准如《国家突发公共卫生事件应急预案》、卫生部办公厅关于印发《国家突发公共卫生事件相关信息报告管理工作规范(试行)》的通知、《突发公共卫生事件分级内涵的释义(试行)》等，历史平均值可以是近5年(或10年)的历史平均值，具体步骤如下：

第一步.专家经验值：用户输入公共卫生事件的专家经验值(记为z)；

第二步.行业标准值：根据行业标准，取行业标准值(记为x)；

第三步.历史平均值：系统自动计算近5年(或10年)的月度(或季度，时间可自行设置)历史平均值(记为y)；

第四步.比较行业标准值、历史平均值和专家经验值，确认阈值。系统自动比较行业标准值和历史平均值，取最小值为初步阈值。再将初步阈值与专家经验值进行对比，若等于专家经验值，则阈值为专家经验值，若大于或小于专家经验值，则弹出初步阈值和专家经验值的数值，并标注优先考虑专家值，由用户确定阈值最终数值。

公共卫生地理数据录入过程中，先检查新录入公共卫生地理数据是否为已标记的隐私数据，若是需去隐私保护的数据，则将新录入公共卫生地理数据与阈值进行对比：若新录入公共卫生地理数据小于阈值，则将新录入公共卫生地理数据从未脱敏数据库中存储至脱敏数据库(先进行去隐私保护处理)；若新录入公共卫生地理数据大于或等于阈值，则不存储至脱敏数据库。

若新录入公共卫生地理数据未标记为隐私保护，则将新录入公共卫生地理数据存储至脱敏数据库。

在一种较优的实施方式中，步骤s1-s3中，通过客户端向服务端发送登录账号信息、发送公共卫生地理数据、向服务端发送查询条件获取公共卫生地理数据；

在一种较优的实施方式中，客户端针对隐私数据提供两类存储路径；

第一类存储路径，用以存储第一级未脱敏数据；

第二类存储路径，用以存储第二级已脱敏数据、第三级无差异数据。

服务端划分有多个角色，每个角色关联获取相应级别的隐私数据的操作权限；

角色包括：

审计组、系统管理组及业务信息组；

审计组是负责日志审计，仅可查看日志，不可查看其他任何数据；

系统管理组是用户权限分配，不可查看其他任何数据；

业务信息组包括录入员、脱敏员，未脱敏员，

其中录入员负责录入公共卫生地理数据；

脱敏员可查看已脱敏数据、无差异数据；

未脱敏员可查看未脱敏数据、已脱敏数据、无差异数据；

录入员与脱敏员权限可重叠，录入员与未脱敏员权限可重叠。

例如，某研究个案的学者需要获取脱敏后公共卫生地理数据个案信息，以便进一步研究患者的感染与交互等情况，即可通过向系统管理组申请为脱敏员的用户，这样该用户登录系统后，即可获得脱敏的公共卫生地理数据个案信息。

数据是按权限获取的，如用户需要获取公共卫生地理数据，即在用户登录系统后，首先判断用户角色是否为业务信息组，若不是，则提示用户：“无权限查看数据”，若是，则展示对应权限下的公共卫生地理数据。

本发明的技术方案中还包括一种公共卫生地理数据去隐私处理系统。

如图3所示，一种公共卫生地理数据去隐私处理系统的实施例，其中，包括；

客户端2，以及与客户端2连接的服务端1；

客户端2用以将登录账号信息经过第一级加密后发送至服务端1，以供服务端1解密认证通过，每个用户根据系统角色的不同赋予相应的操作权限；

当需要录入公共卫生地理数据时，通过客户端2将公共卫生地理数据筛选出隐私数据，并按照预设的分级规则进行分级以获得不同等级的隐私数据；

客户端2按照等级高低分别对隐私数据第二级加密并发送至服务端1，由服务端1对能正确解密的隐私数据进行保存；

当需要于服务端1获取公共卫生地理数据时，客户端2将预设查询条件经过第三级加密并发送至服务端1，服务端获取能正确解密后的查询条件，并反馈与查询条件对应的公共卫生地理数据至客户端2。

上述技术方案中，客户端的用户查询(导出、下载或打印)数据时，需要用户输入查询条件，查询条件需要在传输到服务端前进行加密，在服务端接收到加密数据后在进行解密，再将查询结果返回客户端展示，其中客户端以及服务端执行的操作与方法一一对应此处不再赘述。

以上所述仅为本发明较佳的实施例，并非因此限制本发明的实施方式及保护范围，对于本领域技术人员而言，应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案，均应当包含在本发明的保护范围内。