[发明专利]基于受限可净化签名的电子病历安全共享方法及系统

说明书

本发明涉及一种基于受限可净化签名的电子病历安全共享方法及系统，该系统包括：可信机构，用于为签名者和净化者生成签名密钥；签名者，用于生成患者的电子病历并签名，还用于定义可修改的内容、可修改的字段数量上限和可修改的截止时间；净化者，用于在一定时间内修改病历中允许修改的部分，并为修改的数据生成新的有效签名，且生成的签名仍可被成功验证；以及验证者，用于验证净化者提交的病历的有效性，验证者可访问医疗数据但不能进行修改。该方法及系统有利于提高电子病历的安全性。

技术领域

本发明属于医疗数据共享技术领域，具体涉及一种基于受限可净化签名的电子病历安全共享方法及系统。

背景技术

电子病历(EHR)作为提高患者医疗保健质量和满意度的有效方案被广泛应用于医疗管理、科学研究和保险理赔等场景。目前常使用数字签名技术来保护医疗信息的真实性和完整性。对经过签名的数据进行任何轻微的修改都将导致签名失效，从而无法验证数据的有效性。但是，对于某些不需要完整的电子病历的场景，如果允许患者从原始数据中删除某些敏感数据将有助于保护个人隐私。例如，当电子病历被提供给其他医疗机构或科学机构用以研究分析时，与病症无关的个人信息(例如住址、医保卡号等)是需要被隐藏的。当电子病历被提供给保险公司进行医疗索赔时，隐藏与索赔无关的其他敏感病症可以避免对患有某种疾病的患者的歧视。可以采用的一种解决方案是要求医生仅签署需要被共享的部分信息。但是，该方案要求每次共享电子病历的新子集时，医生都要重新签名，这将导致高昂的计算成本。因此，如何为患者授予合适的权限以更改签名病历是一个重要的研究问题。在理想情况下，甚至不用和原始签名者进行交互就可以完成对签名消息的修改且保持签名有效性。

可净化签名(Sanitizable Signature Schemes，SSS)在2005年由Ateniese等人提出，其允许指定的第三方(Sanitizer，净化者)以受控且非交互式的方式更改签名的数据，且生成的签名仍能被成功验证，相比于传统数字签名，更适用于某些不需要完整电子病历的场景，其授予患者对自身病历一定的修改权限，允许患者从原始数据中删除某些敏感数据以保护个人隐私。Ateniese等人介绍了SSS的安全属性，包括不可伪造性、不可篡改性、隐私性、透明性和可审计性。这些属性对于医疗数据安全共享都是必要的。其中，不可伪造性确保用户不能在没有相应密钥的情况下生成有效的签名。不可篡改性确保净化者无法对未经签名者允许的内容进行修改。隐私性确保没有人能恢复已经被净化的部分消息。透明性确保了由签名者和净化者计算的签名是不可区分的。可审计性保证恶意的签名者和净化者都不能否认由自己生成的消息签名对。目前绝大多数满足可审计性的可净化签名方案仅允许由签名者生成关于消息签名对生成者的证明，这导致当签名者因丢失密钥或其他原因不能生成证明时，无法判断消息是否经过净化。Brzuska等人提出非交互式的公开可审计性，其可以在无需签名者或净化者提供任何信息的情况下推断出生成消息签名对的责任方，解决了原始方案需要签名者私钥才能揭示责任方的问题，但这种可审计性过于强大，与透明性是无法同时满足的。因此，如何定义强度合适的可审计性，在不影响透明性的同时又允许签名者和净化者各自独立地生成证明是一个重要问题。

可净化签名在为医疗数据共享提供灵活高效的操作支持的同时也会导致净化者修改权限的滥用，从而引发欺诈问题。例如，患者有可能伪造病历来骗取高额保险金，而医保商保领域的欺诈行为会严重危害行业秩序，给社会带来负担。因此，对净化者的权限加以限制是另一个重要问题。

目前仅有少数的工作将重心放在限制净化者的权限上，它们提出扩展的可净化签名方案(Extened SSS)，通过将修改内容固定为某个特定集合、对不同的消息块进行同样的修改、限制修改消息块的数量和签名消息的版本数来降低净化者修改消息的能力。但其中大部分方案由于签名算法需要交互或没有考虑到不可链接性和不可见性等原因，并不适用于医疗场景。在电子病历的安全共享中，不可链接性和不可见性是十分重要的。Brzuska等人在2010年提出不可链接性的概念，并采用群签名实现了额外满足不可链接性的可净化签名方案。不可链接性确保经过净化的签名无法和原始签名相链接。满足不可链接性的签名可以防止电子病历的接收者可以相互串通，重建完整的电子病历。