医疗秘密共享技术数据管理论文

一、秘密共享技术

使用秘密共享技术可利用多个数据中心形成低成本的医疗数据云，实现云计算时代的数据管理要求，即不需要自己保管关键数据，有安全的地方保存关键数据，任何地点、任何时间可使用数据，仅合法用户可访问数据，降低初始投资和运营成本，确保业务的持续性。秘密共享也是一种加密技术。以Shamir［1］的（k，n）门限秘密共享方案为例，其原理是将秘密消息加密并分割成n个分享份额后分布存储到不同的远程数据中心，多个数据中心构成低成本的医疗数据云。每个数据中心存放的单个分享份额看起来毫无意义，传输和存储不再需要额外的机密性保护，秘密只能从不同数据中心收集满任意k个组成的授权子集中得以恢复，而对于不足k个分享份额的非授权子集，即使拥有无限计算能力和无限大的存储器也无法恢复秘密，因为秘密共享技术的安全性不像传统加密技术那样基于复杂的计算，而是基于信息理论，所以可保证秘密的长期安全性，目前主要用于安全要求较高的密钥管理方面。此外，n个分享份额具有冗余性，即使任意（n－k）个分享份额遭到损坏或因网络故障不能获取，也能从其余的k个分享份额中恢复出秘密，这可保证业务的持续性。秘密共享方案可以是完美的，也可以是不完美的。（k，n）门限方案具有完美的安全性，即少于门限值k个的分享份额得不到原始消息的任何信息，完美方案的缺点是每个分享份额的长度≥原始消息的长度，即所有分享份额的总容量≥原始消息的n倍，如果用于数据量很少的密钥共享是没有问题，目前实际应用的几乎都是完美秘密共享方案，但对于数据量较大的医疗数据管理来说，效率和安全一样重要。

二、提高秘密共享技术的效率

要提高秘密共享技术的效率首先可从算法入手，目前典型的秘密共享算法是Shamir［1］的多项式插值法，这种算法的优点是不管（k，n）门限方案中k和n取什么值，都能用通用的公式实现加密和解密。有作者提出了（k，n）门限方案的异或运算方法［2－4］，异或运算的效率要比多项式插值法高很多，这种方法没有通用的加密或解密公式，不同的k和n取值，需设计不同的加密和解密方法，这使得加密和解密方法也成了秘密的一部分，虽然通用性不高，但安全性更高。Yamamoto［5］提出的（k，L，n）秘密共享方案可大幅减少计算量和传输量，该方案被设计成1个原始消息s可从n个分享份额中的任意k个分享份额获得重构，从任何（k－L）个或更少的分享份额中得不到原始消息的任何信息，但可能会从（K－j）（其中，j＝1，2，…，L－1）个分享份额组成的跳板（Ramp）集合中获得一点儿有关原始消息的信息，由于该方案可能会牺牲一点安全性，所以被称为不完美的秘密共享。但根据对已有（k，L，n）方案的具体算法的研究发现，Ramp集合的不安全性是可以避免和消除的。此方案的优点是：每个分享份额的位长是原始消息长度的1／L，所有分享份额的总容量降为原始消息的n／L，这将使计算量和传输量比（k，n）方案降低大约L倍。（k，L，n）方案的概念自提出以来，根据广泛的国内外文献检索结果显示，目前国际上实际的应用案例还非常少，迄今还没发现任何医院使用这项技术进行数据安全管理。

三、秘密共享服务软件

我们开发了秘密共享服务测试软件，使用了异或运算的（3，2，4）Ramp秘密共享技术，发现该技术完全可胜任大容量医疗数据的分布式存储。该秘密共享服务软件可为用户提供远程备份、远程访问、共享与交换等医疗数据的安全管理功能。用户通过常规方式在指定文件夹中存储1个文件，该文件就会被自动加密并分割成4个子文件，子文件又被分布存储到4个数据中心，每个数据中心存放的单个子文件毫无意义。用户随时随地再次登录并打开文件时，秘密共享服务软件又自动从不同的远程数据中心收集任意3个子文件，恢复出原始文件，同时相关联的应用程序会自动开启，文件又可被编辑和浏览。任何一个子文件遭破坏或因网络故障无法获取，也不会影响文件的恢复。将秘密共享服务软件用于医疗数据的远程备份可兼顾安全性和冗余性，从而保证业务的持续性；用于远程访问可使远程工作者无需随身携带数据，随时随地通过账号远程登录秘密共享服务文件夹抽取数据；通过多用户共享1个秘密共享文件夹可为多用户或多机构的医疗数据交换与共享提供多一种选择。

四、秘密共享方案的优势

1．兼顾安全性和可用性　由于存储的数据已被加密成非敏感数据，传输和存储不需要额外的机密性保护；分割出来的子文件被分布存储到几个不同的地点，可应对大范围灾难的发生；子文件具有（n－k）个冗余备份，即使（n－k）个子文件被偷窃或由于网络故障等原因不能即时获取，也不会影响原始文件的恢复；少于k个子文件则不能获知有关原始文件的任何信息；用户不需将敏感数据小心地攥在自己手里，合法用户可随时随地远程抽取所需要的数据，避免了随身携带数据可能导致的数据丢失和泄露的风险，如笔记本电脑被偷或闪存的丢失等。2．高效　加密和解密使用异或运算比传统的多项式插值法快很多，同时，（k，L，n）Ramp方案又使得计算量和传输量比传统秘密共享方案降低了约L倍。3．经济　使用秘密共享技术构建的医疗数据云是低成本的存储资源，子文件的传输和存储不需要额外的隐私保护措施，降低了医疗机构的初始投资和运营成本。

作者：龚庆悦 胡孔法 龚志千 申俊龙