崔宇杨 ,许琳琳 ,陈雨琳 ,余泽华 ,李书艳

(1.徐州医科大学医学信息与工程学院，江苏徐州 221000；2.徐州医科大学医学影像学院，江苏徐州 221000)

0 引言

医疗器械是一个具有多学科交叉、知识密集、资金集中等特点的高新技术产业。随着远程医疗、人工智能、云计算等新技术的应用与发展，现阶段医疗器械行业呈现出高度信息化、数字化和智能化的发展趋势[1]。在新冠疫情影响、市场需求刺激和政策支持的大背景下，医疗器械在整个医疗行业中的重要地位越发凸显，医疗器械市场正迎来巨大的发展机遇。但是，尽管我国医疗器械市场规模庞大，但在高端医疗器械领域中，国内市场仍被大多数欧美企业所垄断。

此外，统计显示我国医疗器械行业中超过90%为中小型企业，大都处于“小而散”的发展阶段，对在医疗器械云端化过程中存在诸多技术及安全问题缺乏积累，导致市场竞争力有限，难以进入国际高端医疗器械市场，更不利于我国先进医疗技术的发展[2]。

因此通过对医疗器械快速云端部署的关键共性技术的研究及安全平台的构建，来为中小型企业实现医疗设备云端化提供解决方案和技术指导具有十分重要的现实意义。目前在医疗器械领域实现快速云端信息化存在一些普遍的挑战主要包括数据安全、数据传输、数据存储和云端部署等方面。

在数据安全方面，医疗器械信息化过程面临数据安全和隐私泄漏风险。医疗器械云端信息化为医疗数据存储、数据共享、远程医疗提供了便利，但也加大了数据安全风险，易出现数据访问、数据隔离风险，导致重要信息泄露或隐私信息被盗[3]。

在数据传输方面，云端通信传输过程中采用超密集型异构模式的网络架构，但这种通信模式对边缘数据的传输存在部分延迟问题，面临数据感知延时性问题。此外，云端平台通常为多租户框架，多方数据同时传输很容易构成通信传输干扰或信道占用问题[4]，甚至有可能造成数据传输错误，降低云端传输的稳定性和可靠性。

在数据存储方面，医疗数据云存储存在数据兼容性差和效率低的问题。医疗器械涉及的数据类型繁杂多样[5]，云端需面对大吞吐场景。云端存储必须提供高效的查询方案和安全的存储，以支持医疗诊断和数据分析需求。

在云端部署方面，医疗器械实现云端部署缺乏统一标准和安全管理平台。医疗器械快速云端部署需要面对医疗器械与云端的集成、医疗器械的不同类型和生命周期，以及云端平台的不同部署模式和架构的问题[6]。

综上所述，以上医疗器械实现云端化过程中存在的问题，密切相关，互有联系，是制约医疗器械实现快速云端化的关键问题。针对以上面临的问题，本文以建立云端环境下数据安全和防护和隐私保护策略为基础支撑，提出基于分布式云存储和区块链技术的多级云端存储架构作为平台安全保障，同时创新性研究基于5G技术和差分隐私谱聚类算法的高效云端数据传输方案，最终融合以上多项关键技术，构建了一种适用于医疗器械实现快速云端化的安全技术平台，助力实现医疗设备快速云端化和智能化。通过实验对平台性能测试，结果表明该平台具有良好的数据安全性和可扩展性，能够满足医疗器械信息化的需求。

1 平台总体架构

在总体架构上，医疗器械快速云端部署安全平台以云服务为基础，构建基于BaaS 架构的集管理服务、数据云存储、安全共享和智能分析等功能为一体的安全云平台模型，实现满足数据安全云存储服务、云端隐私保护和各类信息化的医疗器械快速接入服务等服务。首先，基于云计算技术，结合多种云端化模块，建立医疗器械管理服务，实现包括设备管理、人员管理和系统管理等相关的服务功能，利用云计算提升整体医疗服务和管理水平。利用多个节点的虚拟服务器和分布式存储模式，提供云端环境下海量图像数据处理服务和海量存储空间，以满足医疗器械云端部署的数据存储需求。采用混合云存储架构，提供公有云和私有云两种入口，公有云平台存储保密性要求不强的数据信息，私有云平台存储着重需要隐私保护的敏感信息。整体的平台设计架构具体如图1所示。

图1 基于BaaS架构的医疗器械快速云端化安全平台架构图

2 平台数据安全模块设计

2.1 差分隐私基本概念

传统的隐私保护方法往往存在数据失真或不完全保护的问题，随着隐私保护日益备受关注，差分隐私[7]作为一种新兴的隐私保护技术应运而生。差分隐私技术的关键思想是在隐私与数据利用之间寻求平衡，通过对数据添加精确校准的噪声，模糊具体信息，但尽可能保留整体数据在统计意义上的有效性和可用性。差分隐私数学定义如下：

定义1 差分隐私：假设存在一个函数A，使得A在给定的两个近邻数据集Q,Q′（即|||Q-Q′|1≤1)上得到的任一输出集合B的概率满足：

则称该函数A满足ε-differential privacy，简写为ε-DP。其中近邻数据集(neighbordatasets)是指仅有1条记录不同的两个数据集，| || |1是指L1范式，Pr[]是指事件发生的概率。ε是隐私预算，其数值的大小代表隐私保护的程度。数值越小，隐私保护效果得越好。

可以通过对算法的输入、目标函数、梯度或输出添加符合特定机制的噪声来实现差分隐私模型。噪声的添加机制有适用于连续型数据普拉斯机制、适用于离散型数据的指数机制以及适用于图像数据的高斯机制，而噪声的大小和算法敏感度相关。

定义2 敏感度Δf：设有函数f:D→Rd,对于两个近邻数据集D,D’，敏感度为：

敏感度是计算待引入噪声大小的重要参数，它衡量了对数据集进行更改（例如剔除某条记录）对结果造成的最大变化。

2.2 云端环境下数据安全防护和隐私保护策略

本研究根据医疗设备产生数据的类型和特点对数据进行分类管理，明确各类数据信息安全防护要求，完善信息安全管理机制，设置不同的敏感度等级并配备相应的安全防护措施，提升此阶段数据信息的抵抗能力。根据各类数据的特点，综合采用数据加密技术和差分隐私保护机制对数据进行适当的加密和隐私保护处理。

具体而言，拟使用安全管理机制、数据加密技术和差分隐私处理三个过程对医疗器械产生的数据进行全面的安全化处理。

过程一，制定完善的信息管理机制，加强数据访问权限管理。在云端环境下，首先根据数据类型特点进行类别划分，明确各类数据的安全防护要求，针对性设置不同防护措施。其次加强数据访问权限管理，根据接入用户和设备的数据访问需求，设置不同的访问权限，实现数据信息的综合管理。此外，增加系统风险监管，实时监控云端系统各项重要信息，重点包括对所有用户进行身份识别认证，验证用户密钥信息；及时掌握云服务器负载状况，分析数据流量是否正常，避免数据信息被盗取。

过程二，根据上一过程中对数据的类别划分，对于需要进行加密的数据采用数据加密算法进行加密处理。对于不同数据，可分别使用不同的加密算法，如针对文本数据使RSA算法，并且在加密过程中默认选择超长RSA密钥，确保无法破译密文，明显提升平台存储数据的安全性。此外还可以使用CP-ABE 加密策略，结合云端重加密技术进行高性能加密处理，可以有效对重要数据进行重加密，增强数据的安全防护能力。

过程三，针对过程一中需要进行隐私化处理的敏感数据，使用差分隐私机制进行隐私保护处理。这一过程首先需要对数据建立敏感度模型，根据数据隐私保护程度的不同划分不同的敏感度等级，分别进行响应的隐私保护处理。本项目中按照敏感系数取值范围初步将敏感度等级划分为三个等级，即轻度、中度敏和重度敏感数据。依据敏感度等级模型，可进一步将数据分为共享数据和非共享数据，对于非共享数据，可根据数据属性特征分别采用拉普拉斯机制、指数机制和高斯机制进行差分隐私处理，从而有效实现隐私信息的保护。

3 平台数据传输模块设计

3.1 基于差分隐私保护的谱聚类算法

谱聚类是当前机器学习领域研究的热点，广泛应用于遥感测绘、自然语言处理和生物信息学等领域。与传统k-means 算法和EM 算法相比，谱聚类算法适用于任意形状的数据集，也无须事先假设数据的概率分布，算法思路简单易于实现。

谱聚类算法的其基本原理在于：将样本数据视为无向图中的一个个顶点，然后基于相似性函数计算出各顶点间的相似度Wij，作为顶点间的权重，最后按照分割准则将图分割，每一个子图相当于一个簇。

在算法具体执行过程中，相似性函数常采用高斯核函数：

其中si,sj为样本中的数据点，d(si,sj)是指数据点之间距离，一般指欧氏距离；σ为规模参数，σ取值影响Wij的计算，间接影响了算法的聚类结果。不同数据集的最优σ值也不一样，因此实践中σ的取值需要依据具体的数据集，多次实验确定。

图的分割准则主要有最小割集准则、比例割集准则、平均割集准则、多路规范割集准则等[8]。考虑到医疗数据的多样性和复杂性，本文所使用的基于差分隐私保护的谱聚类算法采用多路规范割集准则：

基于差分隐私保护的谱聚类算法(DPSC)[9]在执行过程中，需要先对原始数据进行隐私保护处理，然后再进行聚类操作。因此，可以将其分为隐私保护阶段和聚类阶段两个部分。在隐私保护阶段，通过差分隐私模型对原始数据添加噪声，扰动具体信息，以保护个体隐私信息。在聚类阶段，则使用处理后的数据进行聚类分析。具体流程如表1所示。

表1 差分隐私谱聚类算法

3.2 基于5G 技术和机器学习算法的高效云端数据传输方案

为有效处理医疗器械数据采集和传输过程中的意外产生的数据空缺值和噪声值，平台使用聚类算法从大量数据中过滤噪声信号，并对正常数据进行标准化预处理，从而避免数据传输过程中出现的干扰对后续数据分析使用造成的影响。对于云端数据传输存在延时问题，构建结合5G 通信技术的综合传输响应机制，加强大数据技术的充分利用，有效实现数据的分类多渠道传输，提升数据整体传输效率。

图2 平台医疗器械接入界面展示图

具体实践中，本文首先对从医疗器械接入的数据使用DPSC 算法进行聚类预处理。DPSC 将接入的每一个数据看作是图中的一个节点，并按多路规范割集准则对图分割来进行聚类，将所有数据分配到最近的簇中，然后将不属于任何组或属于非常小的组的数据点视为异常值，由此在实现隐私保护的前提下过滤出噪声和异常数据。随后将筛选出的正常数据进行标准化预处理，在提高数据传输效率的同时，保留相关统计特征，进而避免数据传输过程中出现的干扰对数据分析使用造成的影响。

最后，将准备进行云端传输的数据进行整合划分，综合利用云端技术优势，实行数据的分布式传输，提升数据整体传输效率。对于部分实时性要求较高的数据，融合5G通信技术的综合传输响应机制，优先采用5G 通信进行传输，在保障关键信息的及时传输的情况下，进一步缓解传输和响应的延时问题。

4 平台数据存储模块设计

4.1 基于分布式云存储和区块链技术的多级云端存储方案

数据存储是医疗器械云端化的重要部分，考虑到医疗器械产生的数据具有不同业务需求，整体的存储方案设计采用多层级的分布式存储结构，并将各存储节点按需划分为缓冲库、数据仓库、汇总库、备份库等不同存储功能，以满足不同设备对数据存储和查询的需求。此外针对一些特别重要的安全敏感数据，为避免数据被私自盗用和修改，因此引入区块链存储方案。

具体设计中，充分考虑医疗器械存在的多种数据类型以及存储要求，以满足数据存储和使用需求为目的，设计建立具有多层级的分布式存储结构，提供关系型、列式、键值、文件等存储服务，具体包括缓冲库、数据仓库、汇总库、备份库等不同存储功能的数据库。其中数据仓库作为数据存储核心，其他数据库作为辅助存储，并配合形成完整的数据支撑架构。辅助存储系统实现包括任务调度、数据管理、运维监控、日志管理等功能，对外可提供高效的数据查询计算能力。缓冲数据库负责接入原始数据并进行临时存储，接入方式以流、批数据为主要特点，负责对数据仓库存储节点进行数据更新，进行自动数据同步。汇总数据库负责对原始数据结构进行拆分、重组、关联，以形成相互关联的汇总信息表，并针对具体的功能服务，按数据类别、时间等字段类别进行汇总，目的是分离热数据存储库，支持频繁地读写和修改操作任务。备份库目的则是保障数据安全，使用与缓冲数据库相同的数据结构进行同步数据备份。另一方面，考虑到医疗数据的特殊性，存在部分极为重要的敏感数据对存储安全性要求极高。针对这类数据进一步融合以区块链为基础的存储结构，实现去中心化的数据存储，建立数据块密码安全机制，防止数据库被随意修改或损毁。

5 平台总体功能测试

在平台总体功能测试中，本文主要进行了数据共享、通信传输、数据安全、图像处理和容灾备份等功能的测试。通过测试可知，平台能够实现数据预处理，DPSC 算法能够在添加少量噪声的期刊下筛选异常值。此外，远程医疗器械能够迅速与平台建立通信并上传数据，平台端能够正常响应医院端器械各项请求，在进行了相应操作后自动将反馈结果给医院端操控平台。测试结果表明，本文提出的医疗器械快速云端部署安全平台能够满足设计需求。

6 总结

本文描述了医疗器械快速云端部署安全平台总体架构和各子模块设计。该平台基于BaaS架构，允许医疗器械快速接入、存储数据和保障云端环境下数据隐私安全。本平台有望为中小型企业提供可靠的技术方案，从根本上解决设备厂商实际中的难点和痛点，实现医疗器械的快速云端化、智能化，加速医疗器械产业发展，提高行业竞争力。