基于便携式虹膜仪的医疗图像数据安全共享平台设计

李 健

(徐州医科大学 信息化处，江苏 徐州 221000)

0 引言

随着信息技术的快速发展与智能设备的普遍应用，各个行业都会收集大量数据用于分析客户需求、企业发展方向等，但是这些数据往往包含了用户的个人隐私数据，简单删除用户的姓名、年龄等可以在一定程度上保护用户的隐私，但很难抵抗背景攻击、频繁查询攻击。部分研究人员采用了同态加密、差分隐私等方法来保护用户隐私，并取得了较好的效果。2006年，Dwork等人[1]提出差分隐私(differential privacy)，该方法是最早用于解决数据泄露的问题，在该方法的定义下，数据集的添加或减少计算结果对于具体某条数据的变化影响较小。2009年，Gentry等人[2]提出全同步加密(homomorphic encryption)，该方法实现了在加密数据上进行任意计算，但全同步加密方法不适应于深度学习模型，计算复杂度较高，实时性较差。

图1 系统流程及模块划分图

同态加密、差分隐私方法多用于保护空间数据、流数据等，针对图像隐私保护的相关研究较少，但人们获取图像的渠道日益丰富，图像同样蕴含了大量个人敏感信息，很有可能泄露个人隐私信息[3-4]。比如，攻击者可以通过收集大量的人脸图像判断是否为同一人，通过分析能够得出该人的性别、家庭住址等敏感信息。Wright等人[5]将压缩感知应用到人脸识别，该算法提出的改进高斯观测矩阵，实现了对图像的多层CS采样编码，达到了隐私保护的目，对于被遮挡的人脸图像识别具有较高的准确度。张啸剑等人[6]提出结合矩阵分解与差分隐私的人脸图像发布，该算法将低秩分解与奇异值分解结合对图像压缩，但隐私人脸特征重构图像存在较大问题，分类性较差。患者的医疗图像同样包含患者的个人隐私，上传到医疗信息系统中可能会造成个人隐私泄露。为此，该文提出了基于便携式虹膜仪的医疗图像数据安全共享系统，并结合实际病例，给出了系统的架构和具体实现方法[7-8]。

1 平台架构及原理

医疗图像数据安全共享系统主要由客户端，图像处理端及云平台三部分组成。客户端Ⅰ由医生、患者构成，客户端Ⅱ由科研人员构成。图像处理端由图像采集模块，图像处理模块构成。云平台由网络通信与数据库构成。

该系统将采集到的图像数据实时传输到医生诊疗端，患者可通过查询入口及时了解医生诊断意见和患者自身病况，同时这部分采集到的数据经过离散傅里叶变换技术对图像进行压缩，将时域信息转换为频域信息，对图像有效特征提取傅里叶系数。采用拉普拉斯机制对此系数添加拉普拉斯噪音，形成噪音系数，该过程需要满足ε-差分隐私，从而保护图像数据的隐私信息。利用GPRS/4G网络上传至数据库，研究者可以通过接口提取处理后的图像开展研究。该文系统流程和算法流程分别如图1、图2和表1所示。

表1 该文算法流程

为了充分将底层硬件和上层软件结合，系统开发采用异构式平台。客户端Ⅰ、Ⅱ软件运行于嵌入式ARM11平台，操作系统采用Linux；云平台上的数据库采用DBbridge。目前，DBbridge已经支持Oracle、TDSQL、TBase、MySQL、PostgreSQL等多种数据库类型的迁移。网络通信服务基于ICOP通信模型，采用TCP/IP协议，支持云平台到处理端服务器及处理端服务器到客户端的无线和有线两种传输模式。客户端采用Visual Studio.NET移动开发平台，软件运行于PC机，客户端Ⅰ、Ⅱ均采用C/S架构与服务器建立连接，通过汇编语言python对图像进行压缩处理，处理过程满足ε-差分隐私。

图2 算法流程图

2 系统硬件设计

系统硬件设计分为两部分：图像采集模块，网络通信模块。图像采集模块用于采集患者的虹膜图像；网络通信模块能够将图像采集模块处理后的医疗图像及初始图像传送至数据库，并且通过登录客户端反馈不同的医疗图像。其硬件系统组成如图3所示。

图3 硬件系统组成图

图像处理是图像处理端的核心模块，以ARM11S3C44B0控制芯片为核心，扩展LED显示模块，GPRS/4G通信模块等，可初步实现对图像的处理、存储和传输功能。该系统对嵌入式Linux操作系统仅保留必需的功能模块，使资源利用最大化。各硬件模块的实现如下。

2.1 图像采集模块的实现

图像采集模块由PC图像采集卡，PC图像处理卡组成，PC图像采集卡是控制摄像机拍照，完成相机输出的视频信号的实时数据采集，并提供与PC的高速接口，是协调整个系统的重要设备；PC图像处理卡在图像采集卡的基础上，增加了图像分析、处理等功能。目的是提高图像信号的实时处理能力、降低主控系统在图像处理过程中对资源的要求，从而提高系统整体处理能力。图像采集软件处理系统工作原理如图4所示。

图4 图像采集软件处理系统工作原理图

本设计的A/D转换芯片采用AD7892，它是一款高速、低功耗、12位模数转换器(ADC)，采用+5 V单电源供电。AD7892内置一个1.47 μs逐次逼近型ADC、一个片内采样保持放大器、一个内部+2.5 V基准电压源和片内多功能接口结构，并且提供两种数据输出格式可供选择：单个并行12位字或串行数据。快速总线访问时间和标准控制输入，可确保该器件与微处理器和数字信号处理器轻松实现并行接口。通过高速串行接口，可以与微控制器及数字信号处理器的串行端口直接连接。

2.2 网络通信模块的实现

图像处理端将采集到的患者图像进行处理，添加噪音，对图像进行隐私保护，通过GPRS/4G网络上传至安全共享系统服务器的指定位置，当医生需要诊断患者病情时，由网络通信模块将便携式虹膜仪采集患者的医疗图像下载至医生治疗端，医生治疗端对患者医疗图像进行分析并给出诊断意见；患者通过登录患者查询端及时了解医生的诊断意见和患者自身健康状况；研究者通过登录科研人员研究端，下载处理后的患者医疗图像，科研人员对此类病情的分析研究，给出具体治疗方案，方便此类病情患者的后续治疗。该模块主要实现了网络通信和图像存储与传输，网络通信服务模块是安全共享平台的中枢系统，主要功能是接收图像处理端的TCP连接，同时将这些采集到图像存储到数据库。

3 基于差分隐私的图像处理方法

3.1 差分隐私

对于输入图像序列H，将每一个像素点作为一个单元，则图像序列H可以表示为一个二维矩阵Am×n，其中m表示矩阵的行数，n表示矩阵的列数。

定义2：设便携式虹膜仪采集到一幅尺寸大小为m×n的图像，则用矩阵可表示为:

(1)

(2)

式中，ε表示差分预算，该值与算法M的隐私保护程度成反比关系，ε越小表示算法M隐私保护效果更加鲁棒。常用的机制有拉普拉斯机制，指数机制和高斯机制。该文采用拉普拉斯机制实现图像的差分隐私。

3.2 常用机制

3.2.1 拉普拉斯机制

3.2.2 指数机制

从式中可以看出，指数分布是分段分布。当x小于等于0时，函数结果为0；当x大于0时，函数结果为λe-λx。

3.3 基于离散傅里叶变换的图像压缩方法

图像数据由矩阵形式表示，若对整幅图像采用拉普拉斯机制添加噪音，鲁棒性较差，如图5和图6所示。

图5 初始图像 图6 整体加噪后的图像

由图5、6可知，对整幅图像添加噪音后图像变得较为模糊，与初始图像相差较大，虽然达到了保护图像安全隐私的目的，但实用性较差，无法提供给研究者可用数据。由定义2可知，只需对该图像的部分特征进行加噪，保证该处理过程满足ε-差分隐私，重构后的图像与初始图像相差较小，精度较为准确。

输入：图像序列：H；参数k，隐私预算ε；

输出：满足ε-差分隐私的图像序列H1；

(1)Fα←DFT(ω)//对初始图像进行傅里叶变换；

(2)Fl←Fα(1≤l≤α)//对变换后的图像提取有效特征中的l×l个傅里叶系数；

4 系统运行结果与分析

根据上述系统设计方案，设计出基于便携式虹膜仪的医疗图像数据安全共享系统，为了验证该系统的可行性，需要进行一次仿真实验，使用公共数据库图像数据进行实验对比。在python3.7的环境下搭建基于便携式虹膜仪的医疗图像数据安全共享系统仿真系统，实验步骤如下：

1)虹膜仪采集患者医疗图像，该图像采集后直接上传到客户端Ⅰ；

2)医生登录客户端Ⅰ，给出诊断结果；

3)患者登录客户端Ⅰ，查询诊断意见；

4)采集的医疗图像经过傅里叶变换得到该图像的频谱数据；

5)提取有效数据进行加噪，对添加噪音后的频谱数据进行逆傅里叶变换，得到重构图像；

6)科研人员登录客户端Ⅱ，获取重构后的图像进行研究。

具体实验结果如下：

图7 初始图像 图8 系统处理后的图像

图7为便携式虹膜仪采集的初始图像，该图像采集后直接上传到客户端Ⅰ，医生通过该图像进行分析给出诊疗意见，患者通过查询端登录客户端Ⅰ，查询医生诊断意见，历史诊断查询结果等，及时了解自身健康状况，配合治疗，保证患者病情得到有效控制。图8为处理后图像，为了保证患者隐私数据的安全共享，在此图像上传到云平台数据库之前，利用差分隐私算法进行加噪处理，同时保证图像数据的高可用性，该部分图像被科研人员研究分析，对此类疾病分析得到长期治疗方案。从实验结果可知，该系统能够实现采集满足ε-差分隐私的医疗图像，具有较好的可用性与实用性，并且为医疗图像数据安全设计平台提供了新的指导方法，能有效地用于医疗系统领域。

5 结束语

基于便携式虹膜仪的医疗图像数据安全共享系统不仅能够满足医生的快速诊疗需求，同时满足了患者及时了解病情的需求，此外，利用差分隐私算法处理后的图像数据还能够满足研究者的科研需求。该安全平台的设计能够实时处理医生与患者的需求，保存大量的医疗数据，并确保患者的医疗图像隐私不被泄露。实验结果表明，该文设计的系统功能完善，鲁棒性强，图像采集传输准确并且安全，具有较大的理论价值及实践意义。