一种电子医疗中保护患者隐私的临床路径查询系统及方法与流程

本发明涉及用户数据隐私保护技术领域，尤其涉及一种电子医疗中保护患者隐私的临床路径查询系统及方法。

背景技术：

电子医疗系统意味着使用现代信息和通信技术来满足公民、患者、医疗专业人员、医疗提供者以及决策者的需求。随着物联网(iot)设备的蓬勃发展，电子卫生保健提供者(即医院)能够收集和整合大量电子卫生保健数据，这些数据可以为医生提供可靠的数据服务以获得更好的治疗，例如临床途径查询服务。特别是，它为给定时间内特定疾病患者的治疗的每个阶段提供了详细的指导，并包括进展和结果详细信息，这避免了治疗计划的随机性，提高了准确性，并且可能会促进住院时间和医疗费用的减少。

但是，随着治疗数据量和医疗条件复杂性的显著增加，医院逐渐无法胜任存储和处理大量数据的工作。一种流行的解决方案是将电子医疗数据外包给通常被认为在存储容量和计算能力上都强大的云服务器。它不仅可以提高患者护理的效率和质量，还可以帮助医务人员共享和利用大量的医疗信息。

尽管可以通过部署云计算来实现潜在的好处，但是数据安全性和隐私仍然是持续关注的领域。当云服务器未被完全信任时，电子医疗数据非常敏感，例如，病历中包含姓名，年龄，性别，药物，费用和时间等。因此，无法直接地解决临床途径查询问题。

技术实现要素：

本申请实施例通过提供一种电子医疗中保护患者隐私的临床路径查询系统及方法，解决了现有技术中电子医疗的数据安全性和隐私性较差的问题。

本申请实施例提供一种电子医疗中保护患者隐私的临床路径查询方法，多家医院分别将该医院的医疗信息通过秘密共享分发到第一服务器、第二服务器；所述第一服务器、所述第二服务器根据所述医疗信息共同构建临床图并拥有临床份额图额，在用户输入症状信息后计算获得临床路径信息的份额，并将所述临床路径信息的份额发送至所述用户，所述用户恢复出完整的临床路径信息。

优选的，所述电子医疗中保护患者隐私的临床路径查询方法包括：

系统初始化阶段：可信中心生成系统参数，所述医院、所述用户、所述第一服务器、所述第二服务器分别完成注册；

构建临床图阶段：所述医院秘密共享上传医疗信息，所述第一服务器、所述第二服务器获取临床份额图；

查询临床路径阶段：所述用户上传症状信息，所述第一服务器、所述第二服务器获取起始顶点和目标顶点，所述第一服务器、所述第二服务器构造小根堆计算获得临床路径信息的份额，所述用户获取临床路径信息。

优选的，所述系统参数包括：伪标识、随机数份额；

所述医院、所述用户、所述第一服务器、所述第二服务器分别向所述可信中心发送注册请求；所述可信中心向所述医院返回对应的身份标识；所述可信中心向所述用户返回患病状态的伪标识、治愈状态的伪标识；所述可信中心向所述第一服务器返回所有的伪标识、第一份额上下限、第一随机数份额；所述可信中心向所述第二服务器返回所有的伪标识、第二份额上下限、第二随机数份额。

优选的，所述医院秘密共享上传医疗信息包括：

第k家医院用shamir秘密共享方案将病历中的整数部分上传至所述第一服务器和所述第二服务器；

第k家医院用加法共享方案将疾病的关键指标的数值以定点小数上传至所述第一服务器和所述第二服务器。

优选的，所述第一服务器、所述第二服务器获取临床份额图包括：

构造临床图的顶点信息：所述第一服务器、所述第二服务器通过秘密共享乘法方案计算出患病程度参数的份额；所述第一服务器、所述第二服务器比较伪标识中的值与每行医疗记录所计算的患病程度参数的份额，确定顶点位置；

构造临床图的权值信息：所述第一服务器、所述第二服务器计算权值中的费用信息和时间信息；所述第一服务器、所述第二服务器消减掉任意两顶点间的权值较大的连接边，确定其唯一最优边；

构造临床份额图：根据临床图的顶点信息、临床图的权值信息，所述第一服务器、所述第二服务器分别获得第一临床份额图、第二临床份额图。

优选的，所述用户上传症状信息，所述第一服务器、所述第二服务器获取起始顶点和目标顶点包括：

所述用户通过秘密共享上传自己的症状和治愈状态的伪标识；

所述第一服务器、所述第二服务器确定出查询的症状的伪标识。

优选的，所述第一服务器、所述第二服务器构造小根堆计算临床路径的份额包括：

步骤1、所述第一服务器、所述第二服务器设置访问集合、前驱集合，并构造以连接边的权值为元素的小根堆；

步骤2、所述第一服务器、所述第二服务器从小根堆中挑选根节点，通过秘密比较方案调整小根堆；

步骤3、所述第一服务器、所述第二服务器比较中转连接边更新临床前驱顶点；

步骤4、重复步骤2和步骤3，直至挑选到目标顶点。

优选的，所述用户获取临床路径信息包括：

所述第一服务器将临床路径的伪标识发送给所述第二服务器；

所述第一服务器、所述第二服务器分别将存储的临床路径信息的份额以安全信道发送给所述用户；

所述用户恢复完整的临床路径。

另一方面，本申请实施例提供一种电子医疗中保护患者隐私的临床路径查询系统，包括：第一服务器、第二服务器、医院端、用户端；

每家医院对应一个医院端，多个所述医院端用于分别将对应医院的医疗信息通过秘密共享分发到所述第一服务器、所述第二服务器；

一名用户使用一个用户端，所述用户端用于输入症状信息，用于恢复出完整的临床路径信息；

所述第一服务器、所述第二服务器用于根据所述医疗信息构建临床图并拥有临床份额图，用于在获取所述症状信息后计算获得临床路径信息的份额，并将所述临床路径信息的份额发送至所述用户端；

所述临床路径查询系统用于实现上述临床路径查询方法中的步骤。

优选的，所述电子医疗中保护患者隐私的临床路径查询系统还包括：可信中心；

所述可信中心用于实现上述临床路径查询方法中的步骤。

本申请实施例中提供的一个或多个技术方案，至少具有如下技术效果或优点：

在本申请实施例中，提供的临床路径查询系统主要包括第一服务器、第二服务器、医院、用户；假设所述系统内有m家医院，某位用户根据自己的症状想要查询某项疾病的临床路径，每家医院都有大量的医疗信息，这些医疗信息被秘密共享后分发上传到两个不合谋的服务器(即第一服务器、第二服务器)，第一服务器、第二服务器通过计算汇总成一张拓扑结构图，顶点是疾病的唯一身份标识，它代表患病程度，边的权值是患病状态经过治疗后到另一状态产生的费用和所需时间。在整个计算过程结束后，用户除了查询到一条临床路径信息，不知道其他任何患者的医疗信息；服务器也不知道用户申请查询的具体状态和临床信息。相应的，本发明提供的临床路径查询方法包括系统初始化、构建临床图、查询临床路径三个阶段。本发明具有很高的隐私保护安全性，同时由于使用数据结构(小根堆)，具有计算速度快、处理高效的优点。

附图说明

为了更清楚地说明本实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种电子医疗中保护患者隐私的临床路径查询系统的框架示意图；

图2为本发明实施例提供的一种电子医疗中保护患者隐私的临床路径查询方法的流程图；

图3为本发明实施例提供的一种电子医疗中保护患者隐私的临床路径查询方法中成员注册的流程图；

图4为本发明实施例提供的一种电子医疗中保护患者隐私的临床路径查询方法中构造网络图中病历上传的方法图；

图5为本发明实施例提供的一种电子医疗中保护患者隐私的临床路径查询方法中生成临床路径的流程图。

具体实施方式

本发明提供一种电子医疗中保护患者隐私的临床路径查询方法，多家医院分别将该医院的医疗信息通过秘密共享分发到第一服务器、第二服务器；所述第一服务器、所述第二服务器根据所述医疗信息构建临床图并拥有临床份额图，在用户输入症状信息后计算获得临床路径信息的份额，并将所述临床路径信息的份额发送至所述用户，所述用户恢复出完整的临床路径信息。

相应的，提供一种电子医疗中保护患者隐私的临床路径查询系统，包括：第一服务器、第二服务器、医院端、用户端；每家医院对应一个医院端，多个所述医院端用于分别将对应医院的医疗信息通过秘密共享分发到所述第一服务器、所述第二服务器；一名用户使用一个用户端，所述用户端用于输入症状信息，用于恢复出完整的临床路径信息；所述第一服务器、所述第二服务器用于根据所述医疗信息共同构建临床图并拥有临床份额图,即各自拥有完整临床图的份额，用于在获取所述症状信息后计算获得临床路径信息的份额，并将所述临床路径信息的份额发送至所述用户端；所述临床路径查询系统用于实现上述临床路径查询方法中的步骤。

为了更好的理解上述技术方案，下面将结合说明书附图以及具体的实施方式对上述技术方案进行详细的说明。

如图1所示，本发明提供了一种电子医疗中保护患者隐私的临床路径查询系统，包括：第一服务器、第二服务器、医院、用户；假设所述系统内有m家医院hosp，某位用户user根据自己的症状想要查询这项疾病(以慢性肾脏病为例)的临床路径。每家医院都有大量的医疗信息即医疗病历(包括姓名patient、就诊时间date、性别sex、年龄age、血清肌酐浓度scr、治疗药物medicatio、治疗费用expense等)，这些信息被秘密共享后分发上传到两个不合谋的服务器(即第一服务器，记为a；第二服务器，记为b)，两个服务器通过计算汇总成一张拓扑结构图，顶点是疾病的唯一身份的伪标识fidi(i＝1，2，…，n)，它代表患病程度(如肾脏病的肾小球滤过率gfr)，边的权值是患病状态经过治疗后到另一状态产生的费用exp和所需时间time。在整个计算过程结束后，user除了查询到一条临床路径信息：在最小的费用和时间的情况下，当前症状治疗出院所需经历的治疗状态和药物，不知道其他任何患者的医疗信息；服务器也不知道user申请查询的具体症状的状态和临床信息。

请见图2，本发明提供一种电子医疗中保护患者隐私的临床路径查询方法，包括以下步骤：

步骤1：系统初始化。

步骤1.1：可信中心(权威机构)生成系统参数：伪标识fid和随机数份额r^a,r^b等；

步骤1.1.1：可信中心选择伪标识fidi∈{1,2,…,n}以及它们对应的患病状态数值化gfri的份额其中通过随机数ri来构造份额：

步骤1.1.2：可信中心选择一个大整数

步骤1.1.3：可信中心选择随机数份额其中：

r1＝r1^a+r1^b,

步骤1.2：系统实体注册身份标识，可参看图3；

步骤1.2.1：第k个医院向可信中心发送注册请求；

步骤1.2.2：可信中心返回医院身份标识idk；

步骤1.2.3：用户向可信中心发送注册请求；

步骤1.2.4：可信中心返回患病状态的伪标识fids和治愈状态的伪标识fidd；

步骤1.2.5：第一服务器a向可信中心发送注册请求；

步骤1.2.6：可信中心返回所有的伪标识fidi∈{1,2,…,n}以及对应的份额(记为第一份额上下限)以及第一随机数份额其中，伪标识fidi一一对应是肾小球滤过率gfri(患病程度数值化)的范围，因此有第一份额下限和第一份额上限即所述第一份额上下限为患病程度上下限数值化后的份额；

步骤1.2.7：第二服务器b向可信中心发送注册请求；

步骤1.2.8：可信中心返回所有的伪标识fidi∈{1,2,…,n}以及对应的份额(记为第二份额上下限)以及第二随机数份额

步骤2：构建临床图。可参看图4。

步骤2.1：医院秘密共享上传医疗信息(即医疗病历)；

步骤2.1.1：第k家医院hospk(k＝1,2,…,m)用shamir秘密共享方案将病历中整数部分上传给第一服务器a和第二服务器b；将姓名、日期和治疗药物三份信息通过美国信息交换标准代码ascii编码转化为正整数，费用假定是正整数，对这些整数部分分别计算份额。例如费用expi的份额：

步骤2.1.2：第k家医院hospk用加法共享方法将疾病(以慢性肾脏病为例)的关键指标(性别、年龄、血清肌酐浓度)的数值以定点小数上传给第一服务器a和第二服务器b；其中，性别为女时定义sex＝1，否则sex＝0；其份额为：

步骤2.2：服务器构造临床图的顶点信息；

步骤2.2.1：第一服务器a和第二服务器b通过秘密共享乘法方案计算出gfr的份额其中：

步骤2.2.2：服务器比较伪标识fid中的值(份额上下限)与每行医疗记录所计算的gfr的份额确定顶点位置，即通过秘密比较方案比较以及便能确定当前计算的gfri是否属于fidj；如果不是，遍历所有的fidj∈{1，2，…，n}，即可确定顶点位置；

步骤2.3：服务器构造临床图的权值信息；

步骤2.3.1：第一服务器a和第二服务器b计算权值中的费用信息和时间信息；

步骤2.3.1.1：费用的份额分别为

步骤2.3.1.2：时间的份额通过相邻两行医疗记录的时间相减，分别为：

两行记录的顶点确定了边的两端顶点i和j，而权值为费用与时间之和，这个随着不同医疗场景侧重点可以不同，当前将费用和时间视为同等重要，即：

步骤2.3.2：第一服务器a和第二服务器b消减掉任意两顶点间的权值较大的连接边，确定唯一最优边；即对于相同端点的两个连接边，使用秘密比较方案比较即可确定更小权值的边：

多次比较根据冒泡算法即可确定最小的边，即唯一最优边；

步骤2.4：根据顶点和连接边可以构造第一临床份额图ga＝(va,ea)和第二临床份额图gb＝(vb,eb)，第一服务器a获得第一临床份额图，第二服务器b获得第二临床份额图。

步骤3：查询临床路径。可参看图5。

步骤3.1：用户上传症状信息；

步骤3.1.1：用户同样秘密共享后上传自己的症状和治愈状态对应的伪标识fidd；

步骤3.1.2：服务器确定出查询的症状的伪标识fids；

步骤3.2：服务器设置相关参数并构造权值的小根堆；

步骤3.2.1：设置访问集合s，其中s(fidt)＝1代表当前顶点已被访问；设置前驱集合p，其中p(fidt)＝fids代表当前顶点的前驱顶点为伪标识fids；

步骤3.2.2：以fids为起始点，将其所有的连接边都插入到小根堆中，其中，小根堆中每个节点的元素有两个：伪标识fid和权值w；小根堆的性质是所有父节点的元素值不大于任意的孩子节点的元素值，这里比较的是所有的可达顶点到起始点fids的总权值w；通过秘密比较方案比较即可确定更小权值的边，从而确定边的小根堆中的位置；

步骤3.3：服务器挑选临床最佳顶点；

步骤3.3.1：服务器从小根堆中挑选根节点fidt；并设置为已访问；

步骤3.3.2：服务器调整小根堆；

步骤3.3.2.1：将小根堆的最后一个节点更换到根节点中，而后将根节点设为临时调整节点；

步骤3.3.2.2：比较临时调整节点的孩子节点，挑选出代表的权值更小的节点；其中，比较过程如下：

第一服务器a将两个孩子节点的权值为秘密比较的一对输入份额，同时告知第二服务器b即将比较的两条连接边的起始和终止伪标识，第二服务器b将对应两条连接边的权值为秘密比较的另一对输入份额，使用秘密比较方案即可挑选出目标节点。

步骤3.3.2.3：使用秘密比较方案将步骤3.3.2.2中挑选的更小的孩子节点的权值与它的父节点的权值对比：如果前者更小，需要对调这两个节点的元素值，并将更新后的孩子节点设置为临时调整节点；如果后者更小，则不做任何改变，并且结束调整过程；

步骤3.3.2.4：重复步骤3.3.2.2至步骤3.3.2.3，只要当前节点没有孩子节点，代表整个小根堆调整完毕，所有节点都满足小根堆的性质；

步骤3.4：服务器更新临床前驱顶点；

步骤3.4.1：遍历临床图当前所有的连接边中未被访问的顶点fidj：以fidt为中转顶点，如果fidj和没有fidt可到达的路径，则直接将fidj的前驱顶点更新为fidt；并将这个顶点插入到小根堆中留待下轮中顶点挑选和权值更新；

步骤3.4.2：如果fidj和有fidt可到达的路径，则尝试以fidt为中转顶点，重新计算的权值如果小于之前的直连的权值，则需要更新权值，并将fidj的前驱顶点更新为fidt同时更新小根堆；如果重新计算的值更大，则不做改变；

步骤3.5：重复步骤3.3和步骤3.4直至挑选到目标顶点；

步骤3.6：用户恢复秘密后获取完整的临床路径信息；

步骤3.6.1：第一服务器a将临床路径的完整伪标识发送给第二服务器b；

步骤3.6.2：两个服务器都将自己存储的临床路径的份额以安全信道发送给用户；

步骤3.6.3：用户恢复秘密：

即用户恢复出完整的临床路径信息。

综上，本发明通过将小根堆的数据结构与shamir的秘密共享技术相结合，根据治疗费用和治疗时间高效地来寻找一种最佳结果。整个过程应当保证患者的身体健康数据不会被泄露，用户除了临床路径得不到任何信息；同时服务器也不知道用户查询时的症状状态和临床路径的具体信息。本发明基于秘密共享和同态共享方法实现了一种电子医疗中保护患者隐私的临床路径查询方案，实现了抗外部攻击和内部攻击。

本发明实施例提供的一种电子医疗中保护患者隐私的临床路径查询系统及方法至少包括如下技术效果：

(1)本发明具有很高的安全性，所有过程都是利用秘密共享同态方法实现。即使每台服务器拥有部分的有效秘密份额，例如部分医疗状态指标和权值信息，只要他们不合谋，服务器和外部攻击者也无法获得任何隐私信息。用户也只查询到临床路径不知道其他任何的隐私信息。因此，本发明具有很高的隐私保护安全性。

(2)本发明考虑了权值比较过程中出现负数的情况，通过将秘密的范围均等分割为两部分，将负数映射到正数范围保证比较的完备性和正确性。

(3)利用秘密共享的方式，服务器不知道用户想要查询的临床路径的具体内容，也不知道用户查询时的症状信息。

(4)本发明在保证安全性的前提下，通过使用小根堆的数据结构，服务器操作速度快，处理高效，同时过程中的参数都可以预先生成从而降低实际运行时间。

最后所应说明的是，以上具体实施方式仅用以说明本发明的技术方案而非限制，尽管参照实例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。