李 健

(徐州醫(yī)科大學 信息化處，江蘇 徐州 221000)

0 引言

隨著信息技術的快速發(fā)展與智能設備的普遍應用，各個行業(yè)都會收集大量數(shù)據(jù)用于分析客戶需求、企業(yè)發(fā)展方向等，但是這些數(shù)據(jù)往往包含了用戶的個人隱私數(shù)據(jù)，簡單刪除用戶的姓名、年齡等可以在一定程度上保護用戶的隱私，但很難抵抗背景攻擊、頻繁查詢攻擊。部分研究人員采用了同態(tài)加密、差分隱私等方法來保護用戶隱私，并取得了較好的效果。2006年，Dwork等人[1]提出差分隱私(differential privacy)，該方法是最早用于解決數(shù)據(jù)泄露的問題，在該方法的定義下，數(shù)據(jù)集的添加或減少計算結果對于具體某條數(shù)據(jù)的變化影響較小。2009年，Gentry等人[2]提出全同步加密(homomorphic encryption)，該方法實現(xiàn)了在加密數(shù)據(jù)上進行任意計算，但全同步加密方法不適應于深度學習模型，計算復雜度較高，實時性較差。

圖1 系統(tǒng)流程及模塊劃分圖

同態(tài)加密、差分隱私方法多用于保護空間數(shù)據(jù)、流數(shù)據(jù)等，針對圖像隱私保護的相關研究較少，但人們獲取圖像的渠道日益豐富，圖像同樣蘊含了大量個人敏感信息，很有可能泄露個人隱私信息[3-4]。比如，攻擊者可以通過收集大量的人臉圖像判斷是否為同一人，通過分析能夠得出該人的性別、家庭住址等敏感信息。Wright等人[5]將壓縮感知應用到人臉識別，該算法提出的改進高斯觀測矩陣，實現(xiàn)了對圖像的多層CS采樣編碼，達到了隱私保護的目，對于被遮擋的人臉圖像識別具有較高的準確度。張嘯劍等人[6]提出結合矩陣分解與差分隱私的人臉圖像發(fā)布，該算法將低秩分解與奇異值分解結合對圖像壓縮，但隱私人臉特征重構圖像存在較大問題，分類性較差?；颊叩尼t(yī)療圖像同樣包含患者的個人隱私，上傳到醫(yī)療信息系統(tǒng)中可能會造成個人隱私泄露。為此，該文提出了基于便攜式虹膜儀的醫(yī)療圖像數(shù)據(jù)安全共享系統(tǒng)，并結合實際病例，給出了系統(tǒng)的架構和具體實現(xiàn)方法[7-8]。

1 平臺架構及原理

醫(yī)療圖像數(shù)據(jù)安全共享系統(tǒng)主要由客戶端，圖像處理端及云平臺三部分組成。客戶端Ⅰ由醫(yī)生、患者構成，客戶端Ⅱ由科研人員構成。圖像處理端由圖像采集模塊，圖像處理模塊構成。云平臺由網(wǎng)絡通信與數(shù)據(jù)庫構成。

該系統(tǒng)將采集到的圖像數(shù)據(jù)實時傳輸?shù)结t(yī)生診療端，患者可通過查詢?nèi)肟诩皶r了解醫(yī)生診斷意見和患者自身病況，同時這部分采集到的數(shù)據(jù)經(jīng)過離散傅里葉變換技術對圖像進行壓縮，將時域信息轉換為頻域信息，對圖像有效特征提取傅里葉系數(shù)。采用拉普拉斯機制對此系數(shù)添加拉普拉斯噪音，形成噪音系數(shù)，該過程需要滿足ε-差分隱私，從而保護圖像數(shù)據(jù)的隱私信息。利用GPRS/4G網(wǎng)絡上傳至數(shù)據(jù)庫，研究者可以通過接口提取處理后的圖像開展研究。該文系統(tǒng)流程和算法流程分別如圖1、圖2和表1所示。

表1 該文算法流程

為了充分將底層硬件和上層軟件結合，系統(tǒng)開發(fā)采用異構式平臺。客戶端Ⅰ、Ⅱ軟件運行于嵌入式ARM11平臺，操作系統(tǒng)采用Linux；云平臺上的數(shù)據(jù)庫采用DBbridge。目前，DBbridge已經(jīng)支持Oracle、TDSQL、TBase、MySQL、PostgreSQL等多種數(shù)據(jù)庫類型的遷移。網(wǎng)絡通信服務基于ICOP通信模型，采用TCP/IP協(xié)議，支持云平臺到處理端服務器及處理端服務器到客戶端的無線和有線兩種傳輸模式。客戶端采用Visual Studio.NET移動開發(fā)平臺，軟件運行于PC機，客戶端Ⅰ、Ⅱ均采用C/S架構與服務器建立連接，通過匯編語言python對圖像進行壓縮處理，處理過程滿足ε-差分隱私。

圖2 算法流程圖

2 系統(tǒng)硬件設計

系統(tǒng)硬件設計分為兩部分：圖像采集模塊，網(wǎng)絡通信模塊。圖像采集模塊用于采集患者的虹膜圖像；網(wǎng)絡通信模塊能夠將圖像采集模塊處理后的醫(yī)療圖像及初始圖像傳送至數(shù)據(jù)庫，并且通過登錄客戶端反饋不同的醫(yī)療圖像。其硬件系統(tǒng)組成如圖3所示。

圖3 硬件系統(tǒng)組成圖

圖像處理是圖像處理端的核心模塊，以ARM11S3C44B0控制芯片為核心，擴展LED顯示模塊，GPRS/4G通信模塊等，可初步實現(xiàn)對圖像的處理、存儲和傳輸功能。該系統(tǒng)對嵌入式Linux操作系統(tǒng)僅保留必需的功能模塊，使資源利用最大化。各硬件模塊的實現(xiàn)如下。

2.1 圖像采集模塊的實現(xiàn)

圖像采集模塊由PC圖像采集卡，PC圖像處理卡組成，PC圖像采集卡是控制攝像機拍照，完成相機輸出的視頻信號的實時數(shù)據(jù)采集，并提供與PC的高速接口，是協(xié)調(diào)整個系統(tǒng)的重要設備；PC圖像處理卡在圖像采集卡的基礎上，增加了圖像分析、處理等功能。目的是提高圖像信號的實時處理能力、降低主控系統(tǒng)在圖像處理過程中對資源的要求，從而提高系統(tǒng)整體處理能力。圖像采集軟件處理系統(tǒng)工作原理如圖4所示。

圖4 圖像采集軟件處理系統(tǒng)工作原理圖

本設計的A/D轉換芯片采用AD7892，它是一款高速、低功耗、12位模數(shù)轉換器(ADC)，采用+5 V單電源供電。AD7892內(nèi)置一個1.47 μs逐次逼近型ADC、一個片內(nèi)采樣保持放大器、一個內(nèi)部+2.5 V基準電壓源和片內(nèi)多功能接口結構，并且提供兩種數(shù)據(jù)輸出格式可供選擇：單個并行12位字或串行數(shù)據(jù)。快速總線訪問時間和標準控制輸入，可確保該器件與微處理器和數(shù)字信號處理器輕松實現(xiàn)并行接口。通過高速串行接口，可以與微控制器及數(shù)字信號處理器的串行端口直接連接。

2.2 網(wǎng)絡通信模塊的實現(xiàn)

圖像處理端將采集到的患者圖像進行處理，添加噪音，對圖像進行隱私保護，通過GPRS/4G網(wǎng)絡上傳至安全共享系統(tǒng)服務器的指定位置，當醫(yī)生需要診斷患者病情時，由網(wǎng)絡通信模塊將便攜式虹膜儀采集患者的醫(yī)療圖像下載至醫(yī)生治療端，醫(yī)生治療端對患者醫(yī)療圖像進行分析并給出診斷意見；患者通過登錄患者查詢端及時了解醫(yī)生的診斷意見和患者自身健康狀況；研究者通過登錄科研人員研究端，下載處理后的患者醫(yī)療圖像，科研人員對此類病情的分析研究，給出具體治療方案，方便此類病情患者的后續(xù)治療。該模塊主要實現(xiàn)了網(wǎng)絡通信和圖像存儲與傳輸，網(wǎng)絡通信服務模塊是安全共享平臺的中樞系統(tǒng)，主要功能是接收圖像處理端的TCP連接，同時將這些采集到圖像存儲到數(shù)據(jù)庫。

3 基于差分隱私的圖像處理方法

3.1 差分隱私

對于輸入圖像序列H，將每一個像素點作為一個單元，則圖像序列H可以表示為一個二維矩陣Am×n，其中m表示矩陣的行數(shù)，n表示矩陣的列數(shù)。

定義2：設便攜式虹膜儀采集到一幅尺寸大小為m×n的圖像，則用矩陣可表示為:

(1)

(2)

式中，ε表示差分預算，該值與算法M的隱私保護程度成反比關系，ε越小表示算法M隱私保護效果更加魯棒。常用的機制有拉普拉斯機制，指數(shù)機制和高斯機制。該文采用拉普拉斯機制實現(xiàn)圖像的差分隱私。

3.2 常用機制

3.2.1 拉普拉斯機制

3.2.2 指數(shù)機制

從式中可以看出，指數(shù)分布是分段分布。當x小于等于0時，函數(shù)結果為0；當x大于0時，函數(shù)結果為λe-λx。

3.3 基于離散傅里葉變換的圖像壓縮方法

圖像數(shù)據(jù)由矩陣形式表示，若對整幅圖像采用拉普拉斯機制添加噪音，魯棒性較差，如圖5和圖6所示。

圖5 初始圖像 圖6 整體加噪后的圖像

由圖5、6可知，對整幅圖像添加噪音后圖像變得較為模糊，與初始圖像相差較大，雖然達到了保護圖像安全隱私的目的，但實用性較差，無法提供給研究者可用數(shù)據(jù)。由定義2可知，只需對該圖像的部分特征進行加噪，保證該處理過程滿足ε-差分隱私，重構后的圖像與初始圖像相差較小，精度較為準確。

輸入：圖像序列：H；參數(shù)k，隱私預算ε；

輸出：滿足ε-差分隱私的圖像序列H1；

(1)Fα←DFT(ω)//對初始圖像進行傅里葉變換；

(2)Fl←Fα(1≤l≤α)//對變換后的圖像提取有效特征中的l×l個傅里葉系數(shù)；

4 系統(tǒng)運行結果與分析

根據(jù)上述系統(tǒng)設計方案，設計出基于便攜式虹膜儀的醫(yī)療圖像數(shù)據(jù)安全共享系統(tǒng)，為了驗證該系統(tǒng)的可行性，需要進行一次仿真實驗，使用公共數(shù)據(jù)庫圖像數(shù)據(jù)進行實驗對比。在python3.7的環(huán)境下搭建基于便攜式虹膜儀的醫(yī)療圖像數(shù)據(jù)安全共享系統(tǒng)仿真系統(tǒng)，實驗步驟如下：

1)虹膜儀采集患者醫(yī)療圖像，該圖像采集后直接上傳到客戶端Ⅰ；

2)醫(yī)生登錄客戶端Ⅰ，給出診斷結果；

3)患者登錄客戶端Ⅰ，查詢診斷意見；

4)采集的醫(yī)療圖像經(jīng)過傅里葉變換得到該圖像的頻譜數(shù)據(jù)；

5)提取有效數(shù)據(jù)進行加噪，對添加噪音后的頻譜數(shù)據(jù)進行逆傅里葉變換，得到重構圖像；

6)科研人員登錄客戶端Ⅱ，獲取重構后的圖像進行研究。

具體實驗結果如下：

圖7 初始圖像 圖8 系統(tǒng)處理后的圖像

圖7為便攜式虹膜儀采集的初始圖像，該圖像采集后直接上傳到客戶端Ⅰ，醫(yī)生通過該圖像進行分析給出診療意見，患者通過查詢端登錄客戶端Ⅰ，查詢醫(yī)生診斷意見，歷史診斷查詢結果等，及時了解自身健康狀況，配合治療，保證患者病情得到有效控制。圖8為處理后圖像，為了保證患者隱私數(shù)據(jù)的安全共享，在此圖像上傳到云平臺數(shù)據(jù)庫之前，利用差分隱私算法進行加噪處理，同時保證圖像數(shù)據(jù)的高可用性，該部分圖像被科研人員研究分析，對此類疾病分析得到長期治療方案。從實驗結果可知，該系統(tǒng)能夠實現(xiàn)采集滿足ε-差分隱私的醫(yī)療圖像，具有較好的可用性與實用性，并且為醫(yī)療圖像數(shù)據(jù)安全設計平臺提供了新的指導方法，能有效地用于醫(yī)療系統(tǒng)領域。

5 結束語

基于便攜式虹膜儀的醫(yī)療圖像數(shù)據(jù)安全共享系統(tǒng)不僅能夠滿足醫(yī)生的快速診療需求，同時滿足了患者及時了解病情的需求，此外，利用差分隱私算法處理后的圖像數(shù)據(jù)還能夠滿足研究者的科研需求。該安全平臺的設計能夠實時處理醫(yī)生與患者的需求，保存大量的醫(yī)療數(shù)據(jù)，并確?；颊叩尼t(yī)療圖像隱私不被泄露。實驗結果表明，該文設計的系統(tǒng)功能完善，魯棒性強，圖像采集傳輸準確并且安全，具有較大的理論價值及實踐意義。