本發(fā)明屬于信息安全
技術(shù)領(lǐng)域:
,涉及一種隱私云醫(yī)療數(shù)據(jù)的安全傳輸方法。
背景技術(shù):
:近年來(lái),隨著醫(yī)療傳感器技術(shù)、移動(dòng)通信技術(shù)(3g,lte,4g等)、云計(jì)算以及相關(guān)無(wú)線通信技術(shù)和網(wǎng)絡(luò)技術(shù)的融合,基于無(wú)線體域網(wǎng)的無(wú)線移動(dòng)醫(yī)療監(jiān)護(hù)網(wǎng)絡(luò)(wirelessmobilehealthcaremonitoringnetwork,wmhmn)得到了深入的發(fā)展。相比于病發(fā)后治療的傳統(tǒng)醫(yī)療系統(tǒng),憑借著云計(jì)算和移動(dòng)醫(yī)療技術(shù),wmhmn能夠使病人免去時(shí)間和地點(diǎn)的限制,在不影響日常生活的情況下進(jìn)行身體狀況信息實(shí)時(shí)監(jiān)測(cè),實(shí)現(xiàn)常見疾病的早期監(jiān)控和預(yù)防,術(shù)后輔助醫(yī)療康復(fù)和緊急情況救治,降低了醫(yī)療成本,緩解了醫(yī)療資源匱乏的壓力。隨著大數(shù)據(jù)技術(shù)的發(fā)展,研究機(jī)構(gòu)可以從患者的醫(yī)療大數(shù)據(jù)中分析出有價(jià)值的結(jié)論,推動(dòng)科學(xué)技術(shù)的發(fā)展。然而,移動(dòng)醫(yī)療、互聯(lián)網(wǎng)醫(yī)療所采集到的生理信息,位置信息以及從這些信息中反映出的生活方式、愛好、習(xí)慣等都是非常重要且敏感的隱私信息,必須保證這些信息的保密性、完整性和準(zhǔn)確性,一旦信息泄露或篡改,不僅會(huì)導(dǎo)致醫(yī)療監(jiān)護(hù)中心作出錯(cuò)誤的診斷治療,甚至還會(huì)威脅病人的生命安全。目前醫(yī)療行業(yè)的信息安全問(wèn)題十分嚴(yán)重。2014年醫(yī)院管理公司communityhealthsystems丟失了450萬(wàn)條醫(yī)療記錄。2015年2月美國(guó)醫(yī)療保險(xiǎn)商anthem披露被入侵一事,超過(guò)8000萬(wàn)個(gè)人信息被盜,被稱為史上最大的醫(yī)療信息泄露事件。ponemon研究所《第五屆醫(yī)療數(shù)據(jù)隱私與安全研究報(bào)告》顯示,超過(guò)90%的醫(yī)療保健機(jī)構(gòu)存在數(shù)據(jù)泄露,以及40%的公司數(shù)據(jù)在過(guò)去兩年內(nèi)泄露了至少五次。美國(guó)市場(chǎng)研究公司gartner的研究表明70%以上的潛在用戶認(rèn)為安全問(wèn)題是拒絕使用云服務(wù)的主要原因。如果不能很好的解決這一問(wèn)題,對(duì)互聯(lián)網(wǎng)云醫(yī)療行業(yè)的發(fā)展將會(huì)造成極大地影響。高精度的醫(yī)療數(shù)據(jù)每秒需傳輸?shù)臄?shù)據(jù)量非常大,一般的軟件加密方式難以滿足加密需求。技術(shù)實(shí)現(xiàn)要素:本發(fā)明的目的是提供一種隱私云醫(yī)療數(shù)據(jù)安全傳輸?shù)姆椒?,解決了現(xiàn)有的個(gè)人隱私醫(yī)療數(shù)據(jù)在發(fā)送到云服務(wù)器之前,需要加密來(lái)保證安全性,然而,高精度的醫(yī)療數(shù)據(jù)需要的數(shù)據(jù)帶寬非常大,傳統(tǒng)的軟件的計(jì)算能力難以滿足實(shí)時(shí)加密的需求的問(wèn)題,本發(fā)明通過(guò)sm4算法保證數(shù)據(jù)的安全性,通過(guò)sm2數(shù)字簽名算法來(lái)保證數(shù)據(jù)的可靠性,利用硬件的并行處理能力,實(shí)時(shí)高效的完成個(gè)人醫(yī)療數(shù)據(jù)傳輸過(guò)程中的隱私保護(hù)。為了實(shí)現(xiàn)上述目的,本發(fā)明采用的技術(shù)方案是,本發(fā)明所采用的技術(shù)方案是,一種隱私云醫(yī)療數(shù)據(jù)的安全傳輸方法,包括數(shù)據(jù)上傳步驟,具體如下:步驟1)、用戶使用醫(yī)療數(shù)據(jù)采集儀器采集個(gè)人醫(yī)療數(shù)據(jù);步驟2)、用戶與云服務(wù)器進(jìn)行密鑰協(xié)商,獲得sm2模塊的公鑰和sm4模塊加密算法的密鑰;步驟3)、將步驟1)中采集的醫(yī)療數(shù)據(jù)傳入到zedboard里;步驟4)、通過(guò)zedboard調(diào)用sm4模塊使用步驟2)中得到的密鑰對(duì)醫(yī)療數(shù)據(jù)進(jìn)行實(shí)時(shí)加密;步驟5)、zedboard使用步驟2)中得到的公鑰采用sm2模塊算法對(duì)步驟4)加密后的醫(yī)療數(shù)據(jù)進(jìn)行數(shù)字簽名,其中,sm2模塊中的簽名過(guò)程調(diào)用sm3模塊來(lái)完成,具體過(guò)程如下:步驟51)、啟動(dòng)sm3模塊內(nèi)算法,開始依次讀入初始化參數(shù)和經(jīng)過(guò)步驟4)加密后的醫(yī)療數(shù)據(jù);步驟52)、將加密后的醫(yī)療數(shù)據(jù)輸入到接口模塊,并通過(guò)迭代模塊、擴(kuò)展模塊和壓縮模塊依次進(jìn)行迭代、擴(kuò)展、壓縮得到256位的雜湊值;步驟53)、輸出雜湊值,并給出工作完成標(biāo)志位;步驟6)、給步驟5)簽名后的數(shù)據(jù)加上時(shí)間戳并上傳到云服務(wù)器。所述步驟4)的具體步驟如下:步驟41)、首先輸入128位密鑰,然后輸入使能信號(hào)給sm4模塊,sm4模塊立即拉高busy信號(hào);步驟42)、輪密鑰模塊根據(jù)步驟41)輸入的128位密鑰進(jìn)行密鑰運(yùn)算,生成輪密鑰,sm4模塊拉高輪密鑰完成信號(hào);步驟43)、然后輸入醫(yī)療數(shù)據(jù),輪函數(shù)模塊根據(jù)步驟42)中生成的輪密鑰對(duì)醫(yī)療數(shù)據(jù)進(jìn)行加密;步驟44)、在步驟43)中的加密完成后拉高加密完成信號(hào),即完成一組加密,重復(fù)步驟43)和44)直至完成所有醫(yī)療數(shù)據(jù)的加密。所述步驟43)中的醫(yī)療數(shù)據(jù)首先分割填充成128位的明文,然后進(jìn)行輸入。步驟52)中,首先對(duì)加密后的醫(yī)療數(shù)據(jù)以512位為單元進(jìn)行分割,當(dāng)最后一個(gè)分割單元不足512位時(shí),在分割單元的末尾添加0至512位完成消息填充,得到的每個(gè)分割單元均為512位;將分割單元依次輸入到接口模塊并通過(guò)迭代模塊、擴(kuò)展模塊和壓縮模塊依次進(jìn)行迭代、擴(kuò)展、壓縮得到256位的雜湊值;其中,步驟52)中具體過(guò)程為,輸入第一個(gè)分割單元,經(jīng)過(guò)迭代模塊、擴(kuò)展模塊和壓縮模塊依次進(jìn)行迭代、擴(kuò)展、壓縮得到過(guò)程值,將當(dāng)前過(guò)程值與下一分割單元同時(shí)輸入接口模塊,通過(guò)迭代模塊進(jìn)行迭代后,再通過(guò)擴(kuò)展模塊和壓縮模塊進(jìn)行擴(kuò)展和壓縮,直至最后一個(gè)分割單元運(yùn)算結(jié)束得到256位的雜湊值。還包括數(shù)據(jù)存儲(chǔ)步驟,具體如下:步驟7)、云服務(wù)器收到數(shù)據(jù)后首先驗(yàn)證時(shí)間戳是否正確,正確則進(jìn)行下一步,不正確則丟棄;步驟8)、與服務(wù)器使用自己的私鑰檢驗(yàn)數(shù)據(jù)是否被篡改;檢驗(yàn)通過(guò)則保存,不通過(guò)則丟棄。所述sm3模塊和sm4模塊均通過(guò)axi總線與arm連接的,sm4模塊用于實(shí)現(xiàn)流程控制、數(shù)據(jù)輸入輸出以及操作指令解析;sm4模塊包括輪函數(shù)模塊和輪密鑰模塊,其中,輪函數(shù)模塊包括32級(jí)流水線,每一級(jí)均為一個(gè)f函數(shù),每個(gè)f函數(shù)均由l變換和t變換組成,其中,l變換為線性變換,t變換為非線性變換,需要4個(gè)s盒;輪密鑰模塊由非線性變換t變換和線性變換lrk變換組成,lrk變換需要4個(gè)s盒;sm3模塊由命令信號(hào)進(jìn)行控制,由接口模塊將用戶信號(hào)轉(zhuǎn)換成算法模塊的信號(hào),并控制緩沖區(qū)和控制信號(hào),其中緩沖區(qū)包括輸入緩沖區(qū)和輸出緩沖區(qū);sm3模塊包括頂層設(shè)計(jì)模塊以及由頂層設(shè)計(jì)模塊進(jìn)行控制的迭代模塊、擴(kuò)展模塊和壓縮模塊,迭代模塊、擴(kuò)展模塊和壓縮模塊為頂層設(shè)計(jì)模塊的子模塊;頂層設(shè)計(jì)模塊中通過(guò)調(diào)用各子模塊來(lái)實(shí)現(xiàn)sm3模塊算法的雜湊值計(jì)算,頂層設(shè)計(jì)模塊采用時(shí)序邏輯電路,利用狀態(tài)機(jī)對(duì)各子模塊進(jìn)行調(diào)用進(jìn)而控制算法的執(zhí)行。還包括連接在arm上用于采集醫(yī)療數(shù)據(jù)的傳感器以及用于與云端服務(wù)器數(shù)據(jù)連接的wifi模塊。本發(fā)明使用zedboard開發(fā)了,用戶采集個(gè)人醫(yī)療數(shù)據(jù)之后使用sm4加密,并使用sm2算法進(jìn)行數(shù)字簽名,數(shù)據(jù)發(fā)送到云端。云服務(wù)器接收到這一數(shù)據(jù)后,首先驗(yàn)證sm2簽名的正確性,驗(yàn)證正確后,使用預(yù)先得到的密鑰進(jìn)行sm4解密,即可得到個(gè)人醫(yī)療數(shù)據(jù)。與現(xiàn)有技術(shù)相比,本發(fā)明至少具有以下有益效果,通過(guò)fpga對(duì)國(guó)密sm4算法以及國(guó)密sm2數(shù)字簽名算法中需要用到的國(guó)密sm3雜湊算法進(jìn)行了優(yōu)化,大大提升了運(yùn)算速度,滿足了大帶寬數(shù)據(jù)加密的實(shí)時(shí)性。附圖說(shuō)明圖1為本發(fā)明的數(shù)據(jù)上傳過(guò)程流程圖;圖2為本發(fā)明的數(shù)據(jù)存儲(chǔ)過(guò)程流程圖;圖3為本發(fā)明的zedboard板卡結(jié)構(gòu)圖;圖4為本發(fā)明的sm4頂層模塊設(shè)計(jì)圖;圖5為本發(fā)明的sm4硬件設(shè)計(jì)結(jié)構(gòu)圖;圖6為本發(fā)明的sm3硬件結(jié)構(gòu)圖;圖7為本發(fā)明上傳的數(shù)據(jù)包內(nèi)容;圖8為本發(fā)明上傳前的數(shù)據(jù);圖9為云服務(wù)器接收存儲(chǔ)的數(shù)據(jù);圖10為速度傳統(tǒng)軟件加密與本發(fā)明設(shè)計(jì)的fpga加密速度對(duì)比圖。具體實(shí)施方式下面結(jié)合附圖和具體實(shí)施方式對(duì)本發(fā)明進(jìn)行詳細(xì)說(shuō)明。本發(fā)明基于zedboard板卡,通過(guò)軟硬件協(xié)同設(shè)計(jì)實(shí)現(xiàn),其中,如圖3所示,zedboard板卡,包括arm以及通過(guò)axi總線與arm連接的sm3模塊和sm4模塊,sm4模塊用于實(shí)現(xiàn)流程控制、數(shù)據(jù)輸入輸出以及操作指令解析;sm4模塊包括輪函數(shù)模塊和輪密鑰模塊,其中,輪函數(shù)模塊包括32級(jí)流水線,每一級(jí)均為一個(gè)f函數(shù),每個(gè)f函數(shù)均由l變換和t變換組成,其中,l變換為線性變換,t變換為非線性變換,需要4個(gè)s盒;輪密鑰模塊由非線性變換t變換和線性變換lrk變換組成,lrk變換需要4個(gè)s盒;sm3模塊由命令信號(hào)進(jìn)行控制,由接口模塊將用戶信號(hào)轉(zhuǎn)換成算法模塊的信號(hào),并控制緩沖區(qū)和控制信號(hào),其中緩沖區(qū)包括輸入緩沖區(qū)和輸出緩沖區(qū);sm3模塊包括頂層設(shè)計(jì)模塊以及由頂層設(shè)計(jì)模塊進(jìn)行控制的迭代模塊、擴(kuò)展模塊和壓縮模塊,迭代模塊、擴(kuò)展模塊和壓縮模塊為頂層設(shè)計(jì)模塊的子模塊;頂層設(shè)計(jì)模塊中通過(guò)調(diào)用各子模塊來(lái)實(shí)現(xiàn)sm3模塊算法的雜湊值計(jì)算,頂層設(shè)計(jì)模塊采用時(shí)序邏輯電路,利用狀態(tài)機(jī)對(duì)各子模塊進(jìn)行調(diào)用進(jìn)而控制算法的執(zhí)行,還包括連接在arm上用于采集醫(yī)療數(shù)據(jù)的傳感器以及用于與云端服務(wù)器數(shù)據(jù)連接的wifi模塊。zedboard板卡首先通過(guò)傳感器進(jìn)行數(shù)據(jù)采集,將采集到的數(shù)據(jù)通過(guò)arm經(jīng)axi總線調(diào)用sm4的ip核進(jìn)行加密,加密完成后,arm使用sm2算法對(duì)加密后的數(shù)據(jù)進(jìn)行數(shù)字簽名,在簽名過(guò)程中,調(diào)用sm3算法的ip核進(jìn)行運(yùn)算加速,完成后使用wifi發(fā)送到云端。本發(fā)明的傳輸方法包括數(shù)據(jù)上傳步驟,如圖1所示,具體如下:步驟1)、用戶使用醫(yī)療數(shù)據(jù)采集儀器采集個(gè)人醫(yī)療數(shù)據(jù);步驟2)、用戶與云服務(wù)器進(jìn)行密鑰協(xié)商,獲得sm2模塊的公鑰和sm4模塊加密算法的密鑰;步驟3)、將步驟1)中采集的醫(yī)療數(shù)據(jù)傳入到zedboard里;步驟4)、通過(guò)zedboard調(diào)用sm4模塊使用步驟2)中得到的密鑰對(duì)醫(yī)療數(shù)據(jù)進(jìn)行實(shí)時(shí)加密;步驟5)、zedboard使用步驟2)中得到的公鑰采用sm2模塊算法對(duì)步驟4)加密后的醫(yī)療數(shù)據(jù)進(jìn)行數(shù)字簽名,其中,sm2模塊中的簽名過(guò)程調(diào)用sm3模塊來(lái)完成;步驟6)、給步驟5)簽名后的數(shù)據(jù)加上時(shí)間戳并上傳到云服務(wù)器。還包括數(shù)據(jù)存儲(chǔ)步驟,如圖2所示,具體如下:步驟7)、云服務(wù)器收到數(shù)據(jù)后首先驗(yàn)證時(shí)間戳是否正確,正確則進(jìn)行下一步,不正確則丟棄;步驟8)、與服務(wù)器使用自己的私鑰檢驗(yàn)數(shù)據(jù)是否被篡改;檢驗(yàn)通過(guò)則保存,不通過(guò)則丟棄。如圖5所示,sm4模塊包括用于實(shí)現(xiàn)流程控制,數(shù)據(jù)輸入輸出以及操作指令解析的頂層模塊。頂層模塊下設(shè)置有輪函數(shù)模塊和輪密鑰模塊,其中,輪函數(shù)模塊包括32級(jí)流水線,每一級(jí)均為一個(gè)f函數(shù),每個(gè)f函數(shù)均由l變換和t變換組成,其中,l變換為線性變換,t變換為非線性變換,需要4個(gè)s盒;輪密鑰模塊由非線性變換t變換和線性變換lrk變換組成,lrk變換需要4個(gè)s盒。如圖4所示,sm4模塊(即加密模塊)運(yùn)行過(guò)程如下:步驟41)、首先輸入128位密鑰,然后輸入使能信號(hào)給sm4模塊,sm4模塊立即拉高busy信號(hào);步驟42)、輪密鑰模塊根據(jù)步驟41)輸入的128位密鑰進(jìn)行密鑰運(yùn)算,生成輪密鑰,sm4模塊拉高輪密鑰完成信號(hào);步驟43)、然后輸入128位明文,輪函數(shù)模塊根據(jù)步驟42)中生成的輪密鑰對(duì)明文進(jìn)行加密;步驟44)、步驟43)中的加密完成后拉高加密完成信號(hào),即完成一組加密。如圖6所示,sm3模塊采用硬件描述語(yǔ)言實(shí)現(xiàn),首先進(jìn)行模塊化設(shè)計(jì),sm3模塊包括頂層設(shè)計(jì)模塊以及由頂層設(shè)計(jì)模塊進(jìn)行控制的迭代模塊、擴(kuò)展模塊和壓縮模塊,迭代模塊、擴(kuò)展模塊和壓縮模塊為頂層設(shè)計(jì)模塊的子模塊;在頂層設(shè)計(jì)模塊中,通過(guò)調(diào)用各子模塊來(lái)實(shí)現(xiàn)sm3模塊算法的雜湊值計(jì)算,頂層設(shè)計(jì)模塊采用時(shí)序邏輯電路,利用狀態(tài)機(jī)對(duì)各子模塊進(jìn)行調(diào)用進(jìn)而控制算法的執(zhí)行。sm3模塊由命令信號(hào)進(jìn)行控制,設(shè)置有512位輸入和256位輸出,由接口模塊將用戶信號(hào)轉(zhuǎn)換成算法模塊的信號(hào),并控制緩沖區(qū)和控制信號(hào),其中緩沖區(qū)包括輸入緩沖區(qū)和輸出緩沖區(qū);sm3模塊算法工作過(guò)程為:步驟51)、啟動(dòng)sm3模塊內(nèi)算法,開始依次讀入初始化參數(shù)和消息m;步驟52)、對(duì)加密后的醫(yī)療數(shù)據(jù)以512位為單元進(jìn)行分割,當(dāng)最后一個(gè)分割單元不足512位時(shí),在分割單元的末尾添加0至512位完成消息填充,得到的每個(gè)分割單元均為512位;將分割單元依次輸入到接口模塊并通過(guò)迭代模塊、擴(kuò)展模塊和壓縮模塊依次進(jìn)行迭代、擴(kuò)展、壓縮得到256位的雜湊值;步驟53)、輸出雜湊值,并給出工作完成標(biāo)志位。其中,步驟52)中,輸入第一個(gè)分割單元,經(jīng)過(guò)迭代模塊、擴(kuò)展模塊和壓縮模塊依次進(jìn)行迭代、擴(kuò)展、壓縮得到過(guò)程值,將當(dāng)前過(guò)程值與下一分割單元同時(shí)輸入接口模塊,通過(guò)迭代模塊進(jìn)行迭代后,再通過(guò)擴(kuò)展模塊和壓縮模塊進(jìn)行擴(kuò)展和壓縮,直至最后一個(gè)分割單元運(yùn)算結(jié)束得到256位的雜湊值。實(shí)施例:用戶端發(fā)送加密數(shù)據(jù)測(cè)試:如圖7所示,我們抓到了采集端連續(xù)向云服務(wù)端上傳的幾組數(shù)據(jù)我們上傳的13組原始數(shù)據(jù)為(9,3)(18,9)(8,10)(13,5)(19,14)(7,13)(11,13)(4,7)(6,4)(12,7)(4,6)(2,5)(16,3),對(duì)數(shù)據(jù)包進(jìn)行分析,發(fā)現(xiàn)數(shù)據(jù)完全都是加密的,無(wú)法得到原始數(shù)據(jù)。云服務(wù)端存儲(chǔ)密文數(shù)據(jù)測(cè)試:直接從txt文件里上傳一組醫(yī)療數(shù)據(jù),然后在云端數(shù)據(jù)庫(kù)把云服務(wù)器接收到的數(shù)據(jù)打印出來(lái),觀察里面的數(shù)據(jù)變化,如圖8是上傳前的數(shù)據(jù),圖9為云服務(wù)器接并存儲(chǔ)的數(shù)據(jù),通過(guò)對(duì)比可以看出,用戶的數(shù)據(jù)全部被加密后存儲(chǔ)在云服務(wù)器當(dāng)中,云服務(wù)器對(duì)數(shù)據(jù)內(nèi)容毫不知情。表1本發(fā)明加密算法速度測(cè)試表算法最高頻率(hz)理論速度(bps)實(shí)際頻率(hz)實(shí)際速度(bps)sm3167m1336m100m800msm4286m1144m200m800m從上表中可以看出,本發(fā)明的硬件加密模塊數(shù)據(jù)吞吐量非常大,完全可以滿足實(shí)時(shí)監(jiān)控?cái)?shù)據(jù)的加密。如圖10所示,傳統(tǒng)軟件加密與本發(fā)明設(shè)計(jì)的fpga加密速度對(duì)比圖,本發(fā)明的加密吞吐量比傳統(tǒng)的軟件加密快十倍以上,完全可以滿足高精度醫(yī)療數(shù)據(jù)實(shí)時(shí)傳輸加密需求。當(dāng)前第1頁(yè)12