边缘计算保障智能医疗安全

最新推荐文章于 2025-12-04 17:23:33 发布

原创最新推荐文章于 2025-12-04 17:23:33 发布 · 652 阅读

9 ·

CC 4.0 BY-SA版权

文章标签：

#边缘计算 #智能医疗 #隐私保护 #访问控制 #可搜索加密

利用边缘计算保障智能医疗保健系统安全

摘要

如今，由于敏感患者数据的快速增长，医疗系统面临着新的挑战。需要一种智能医疗系统（SHS），使医疗系统更加智能化，以保护数据并维护隐私。智能医疗系统（SHS）包含多种物联网设备、传感器和移动节点，这些设备从患者身体采集数据并将其远程存储。在智能医疗系统中，最常用的存储方法是基于云计算的存储。这类系统非常流行，为所有用户提供通用解决方案，因为它允许远程访问数据。然而，远程存储的数据的安全与隐私是另一个重要问题，因为该解决方案面向各类用户开放，导致对数据的控制力减弱。基于云计算的实时健康监测系统并不可行，因为其响应时间相对较高。因此，必须提供某种能够降低响应时间的解决方案。边缘计算方法能够在实时场景中减少响应时间，同时需要较低的带宽。

本文提出了一种基于边缘计算架构的智能医疗系统。该架构包含一个称为边缘计算层的中间层，负责维持网络延迟并保护患者数据的隐私。该边缘计算层借助隐私保护可搜索加密（PPSE）技术处理了患者数据的加密和隐私保护。同时实施了访问控制机制，以限制对远程存储的患者数据的未授权访问。

与类似方法相比，所提出的模型在实现、性能和安全分析方面表现出高安全性、低延迟、低传输时间、低功耗和低能耗。计算结果表明，采用边缘计算方法后，传输时间（64.24%）、功耗（69.03%）和能耗（69.56%）均有所降低。

1. 引言

物联网和边缘计算范式为现代经济带来了技术革命并提供基于互联网的智能医疗保健服务的结构化开发范围。通过在智能医疗系统(SHS)中利用这些技术，医疗保健的质量、治疗过程和服务成本可以得到改进（Arsénio等，2014；Singh和Chatterjee，2019）。

物联网设备产生了大量患者数据，这些数据存储在存储服务器上，并在医疗专业人员之间共享以用于治疗目的。这些数据的处理对于实时响应应用的开发是一个重大问题。同时，电子医疗系统需要一些能够维持服务、安全、低延迟、网络带宽以及电子医疗系统特性的架构解决方案。此类解决方案包括云计算、移动云计算（Fernando等，2013；Khan等，2013）、雾计算（博诺米等，2012；易等，2015）、微型数据中心（Armbrust等，2010；Greenberg等，2009）、云朵（Cloudlet）（Gai等，2016）、云海计算（Xu，2014）以及移动边缘计算（Abbas等，2017；Hu等，2015）。

在文献中，大多数电子医疗解决方案基于云计算概念，其中网关以独立自主的方式部署。所有医疗数据和服务均被部署到云服务器中，并通过互联网进行访问。无线体域网（WBAN）借助云计算概念在医疗保健领域得以实现，用于通过植入人体的智能设备或传感器进行实时远程健康监测。许多基于云计算的解决方案已被用于远程患者监控（Ahuja等，2012；Devadass等，2017；Rolim等，2010）。

为使此类系统有效运行，需要非常快速的治疗方案和响应。例如，在监控危重病人时，高网络延迟和响应时间会导致治疗延误，进而引发患者死亡。由于存在高服务延迟（Mubeen等，2017）以及用户与云中心之间远距离传输造成的计算资源浪费，云计算解决方案在这些医疗服务中效果不佳。此外，由于海量数据来自通过不同网络的多个来源，云计算能力无法满足数据处理需求。同时，当大量用户同时发送访问请求时，网络带宽和传输速度会降低。此外，远程存储的数据容易受到安全和隐私问题的影响。访问控制和数据泄露是云计算中的常见问题。通常在上传至云之前对数据进行加密，以保护其免受攻击者侵害，这使得数据更加安全。但在加密数据上执行搜索操作较为困难，每次都需要进行完整的加解密过程，可能导致带宽、开销和存储不足。因此，传统云计算解决方案无法满足服务需求以及紧急情况下的远程患者治疗等实时应用要求。

1.1. 动机

基于云的远程健康监控系统主要将移动通信与身体传感器相结合，用于传输健康数据。考虑一种健身房场景，其中一名健身爱好者在锻炼期间佩戴身体传感器以进行监控心电图数据、心率及其他生命体征参数。持续监控心电图和心率等特定参数，可以判断这些锻炼是否存在相关风险。同样，在医院中，患有心肺疾病、哮喘、瘫痪、脑出血的危重病人也可以通过传输图像、视频等进行监控。在这两种情况下，都会出现以下问题：首先，在此类基于流媒体的传输中，大量的访问请求以及计算能力的快速增长可能会降低网络效率。医疗网络效率的下降是由于传输所需的能源和互联网带宽不足所致。例如，每通道心电图信号的传输需要4 kbps的带宽。同时，数据的低延迟和可靠性至关重要。其次，这些网络存在许多隐私威胁，如信息泄露、插入攻击、最小化攻击等。由于这些威胁，攻击者可能提出一组敏感属性数值，并能够以高精度推断出这些数值。

这两个问题促使我们研究当前的技术，如边缘计算、雾计算和基于物联网的解决方案，以在最低延迟和处理时间的情况下解决数据隐私保护和访问控制问题。因此，本文确定了电子医疗系统中的两个重要目标。第一个目标是在需要进行关键患者治疗决策时，降低延迟、处理时间和响应时间，同时维护边缘服务器中收集的数据的隐私。另一个目标是确保对公共存储的敏感患者健康信息（PHI）的访问控制。通过受控访问PHI，可以轻松应对未授权用户。

1.2. 问题解决方案

第一个目标的解决方案是引入一个中间边缘计算层，在该层中，边缘节点收集并处理少量数据以快速做出决策，而大量数据则在云数据中心进行处理（穆特拉格等，2019；张等人，2018）。该边缘计算层能够在数据源（医疗网络）附近处理数据，从而降低传输成本并支持更优的结构化决策。该中间层可以卸载计算和通信负担，高效处理大量数据，提高数据处理速度，实现低延迟，并解决电子医疗网络的安全与隐私问题。

第二个目标可以通过在传感器网络边缘使用隐私保护可搜索加密（PPSE），并在远程存储服务器（云存储）上部署统一访问控制模型来实现。该问题可以利用可搜索加密并借助云计算来解决。让我们考虑另一个医院场景，其中所有个人健康信息（PHI）都以加密形式存储在云中。患者应能够搜索其所有个人信息，而医生则可以跟踪其治疗过程中的患者记录。为此，他们使用患者ID和姓名来检索所有记录。同时，研发部门可以搜索一年中特定时间内某些新疾病所涉及的受影响患者数量等统计数据。在这种场景下，根据不同人员的角色组织搜索相关信息。

该解决方案包含两种计算范式（云计算和边缘计算），已足够强大，能够处理大规模数据的处理问题以及数据隐私问题。

本研究工作的贡献如下：
- A框架已被提出，该框架集成物联网‐边缘‐云用于智能医疗保健系统。一个中间的边缘计算层降低了网络延迟并改善了实时情况下的数据处理。
- 所提出的框架通过使用隐私保护可搜索加密(PPSE)来保护敏感患者数据隐私和机密性。
- 所提出的框架包含一个访问控制器模块，用于控制对患者健康信息(PHI)的未授权访问。

所提出的框架经过演示和分析，以测量其在延迟、传输时间、功率和能耗、加密时间、吞吐量等各种性能指标方面的性能和效率。该框架的访问控制模块支持对患者数据的受控访问。

论文的其余部分安排如下：第2节介绍研究背景。第3节描述了提出的工作。第4节讨论了提出的工作的实验设置和结果。第5节给出了工作的结论。

2. 背景

本节讨论了边缘计算架构中的安全与隐私挑战。随后，将探讨文献中发现的多种研究工作，以缓解这些挑战。

2.1. 基于边缘计算的电子医疗系统中的安全与隐私挑战

边缘计算架构与云计算和普适计算协作，以获得丰富的服务接口（Abdellatif等，2019；Khan等，2019）。边缘计算架构包含四层核心基础设施：边缘服务器、边缘网络和边缘设备。这四层架构涵盖了所有安全与隐私挑战。在图1中，总结了边缘计算中的安全与隐私挑战。

核心基础设施 ：它促进了对网络的访问、边缘计算的集中式服务以及边缘设备的功能管理。边缘计算基础设施由边缘设备网络和边缘节点组成，这些节点与物联网设备或云数据中心相连，用于大数据存储。该基础设施由第三方（云数据中心和边缘服务器）管理，可能导致数据丢失、泄露、非法复制、非法发布和非法传播。
边缘服务器 ：这些边缘服务器提供多租户虚拟化并为数据的存储和处理提供实时解决方案。攻击者可以获得对这些处理单元的内部或外部控制，或扰乱系统的功能。
边缘网络 ：一种支持无线功能的网络，其中边缘设备之间已建立连接，边缘服务器以及利用数据中心通过互联网连接的核心基础设施。这些数据中心协同工作，始终保持与传统云的连接。由于互联网连接的物联网设备、传感器和粗糙网关之间的互连过程，存在安全隐患。
边缘设备（移动终端，物联网设备） ：这些设备连接到网络边缘，为终端用户（生产者+消费者）提供便利。边缘设备的工作包括数据收集、数据处理和决策。由于存在被攻破的设备和恶意设备，因此存在一些安全问题。

为了构建安全医疗系统并克服边缘范式下的安全与隐私挑战，需要一种安全数据计算机制，其中外包数据以密文形式进行传输。因此，需要一种通过关键词进行的鲁棒且安全的搜索机制，使得数据在加密形式下无需解密即可执行搜索。目前已有多种可搜索加密方法，例如安全排序关键词搜索（王等，2011）、基于属性的关键词搜索（王等，2013）、动态搜索（卡马拉等，2012）以及带关键词搜索的代理重加密（邵等，2010）。这些方法大多存在信息丢失和计算延迟问题。在电子医疗中，已提出多种访问控制技术（陈和尤里安，2015；昆达瓦尔等，2018；辛格和查特吉，2017；2020；余等，2010；周等，2013），用于控制不同参与方对敏感健康数据的访问。

2.2. 边缘计算中电子医疗系统的相关工作

文献中已发现许多关于医疗系统中雾计算与边缘计算的研究（Bonomi et al., 2012；Elmisery et al., 2016；Kochovski et al., 2019；Mut-lag et al., 2019；Rahmani et al., 2018；Taherizadeh et al., 2018；Tuli et al., 2020；Yi et al., 2015）。部分以往文献工作汇总于表1中。

Alabdulatif等人（2019）提出了一种万物边缘（EoT）计算框架，用于保障电子医疗服务的监控服务。该框架采用完全同态加密来保护隐私，并在万物边缘（EoT）框架上实现实时计算和存储能力。同时采用基于分布式集群的方法来分析大规模异构数据。然而，随着设备扩展和异构传感器需求的大幅增加，该模型的安全性有所降低。

在张等人（2018）中讨论了边缘计算范式下医疗数据安全与隐私的综合分析。他们分析了边缘计算环境中存在的安全威胁和攻击。一些有前景的保护和对策技术，如基于密码学的技术，也已出现以保障基于边缘计算的应用程序。但所讨论的基于密码学的解决方案处理时间较高。

在网络边缘部署了一个智能电子医疗网关，以实现更高级别的医疗服务，例如本地存储、快速计算能力、实时数据处理等（拉赫马尼等人，2018）。在传感器与远程云计算存储服务器之间部署了一个地理分布式的中间雾计算层。该层负责分担传感器和远程云计算存储服务器的额外负担，以便该系统是可扩展的、节能的、可靠的和快速的。作为一种并行系统，由于存在广泛的地理分布，模型的管理和复杂性变得很高。

在Mutlag等人(2019)中讨论了医疗物联网系统中雾计算的有前景的技术和计算革命。文献工作的分类法结果提供了不同的方法和技术，以实现基于雾计算的医疗保健应用程序。

深度学习技术被集成于物联网与雾计算环境中，以构建智能医疗系统（图利等，2020）。所开发的HealthFog系统为数据处理提供了低延迟和节能的解决方案。该系统能够自动诊断心脏疾病，并有效管理心脏病患者的数据。

Nandyala和Kim(2016)开发了一种基于雾计算和物联网的实时电子医疗监控系统。该提出的监控系统利用了云到雾(C2F)计算的功能优势，例如边缘数据存储、更快的数据处理、实时信息共享、低响应时间等。

采用一种包含传感器层、雾层和云层的雾‐云计算方法，用于设计大规模基于物联网的医疗应用（He等人，2017）。该应用程序管理个性化医疗服务，提高了服务效率并降低了响应时间。部署了分区、聚类、通信和并行处理等优化原型以最大化系统效率。

已开发一种雾辅助物联网系统，用于监控远程糖尿病患者（Gia等人，2019）。位于网络边缘的雾计算节能传感器节点可扫描人体的生命体征参数，如葡萄糖、心电图、体温，以及环境上下文数据，如室温、湿度、空气质量等。采用安全的加密算法来保护收集的数据。

一种节能的、低成本的健康监控系统，包含传感器节点和雾计算层，已在Gia et al.(2017).所开发的方法用于通过心电图自动分析对心脏患者进行连续远程监控。

智能网关收集所有数据，执行自动化决策，并生成实时通知以引起立即关注。

一种用于电子医疗应用的雾计算方法已被开发出来，以将存储和数据信号处理任务从云端移除（Craciunescu等人，2015）。实时医疗服务在网络边缘执行了大部分功能。因此，所开发的系统在实时处理和监控方面效率更高。

李等人（2020）开发了一种基于安全SDN的边缘计算框架，用于物联网赋能的医疗系统。在边缘服务器上，所有物联网设备均通过轻量级认证技术进行已认证。随后，所有数据被发送用于存储、处理和分析。SDN控制器与边缘服务器相连，负责物联网赋能的医疗系统中的负载均衡、网络优化和高效资源利用。

设备安全是雾计算和物云环境中的一个重要安全问题。为了解决这一问题，Sohal等人(2018)提出了一种用于识别恶意边缘设备的网络安全框架（cybersecurity framework）。他们采用了三种安全模型：马尔可夫模型（Markov model）、入侵检测系统（IDS）和虚拟蜜罐设备（VHD），以提高系统安全性和恶意节点检测准确率。

江等人（2019）提出了用于移动边缘计算架构的隐私保护位置协议，以维护无线传感器位置的隐私保护。利用Paillier同态加密方案，开发了两种隐私保护的位置协议：三边测量法和多边测量法。该协议的安全性基于Paillier加密的语义安全性，其中每个基站需要进行一步加密，传感器节点需要进行一步解密。

基于雾计算的方法已被开发用于保护工业物联网(IIoT)系统免受分布式拒绝服务(DDoS)网络攻击（周等人，2019）。他们将流量监控与分析工作分配到本地设备附近（边缘网络），并将协调与整合工作交由云中心服务器完成。由此实现了快速响应，并且误报率较低。现场防火墙设备和虚拟化网络功能(VNFs)被用于实时流量分析和攻击数据包过滤。

从这些总体描述中，识别出基于边缘/云计算的智能医疗保健系统中的以下研究问题。

尽管智能医疗系统中的资源共享具有各种优势，但它仍然存在医疗保健数据隐私保护不足的问题。

由于在云中对大规模数据进行预处理，服务常常面临高延迟。

将数据外包给云网络会导致患者关键治疗的准确性低和响应时间长。

云资源中缺乏适当的访问控制机制，导致医疗数据泄露和非法访问医疗数据。

因此，由于数据外包，数据机密性和查询隐私保护成为一大挑战。

作为解决方案，近年来区块链也被应用于医疗系统中。然而，该技术无法解决已识别的问题，因为它消耗过多能源，且操作任务具有高延迟。本研究主要针对上述问题提供解决方案。可搜索加密能够在保护隐私的前提下对数据执行搜索操作。

3. 提议的模型

提出的模型基于上述讨论的研究问题而设计。它由两个模块组成：加密模块和访问控制模块。在该提出的模型中，智能医疗系统(SHS)在无线身体传感器/设备/用户与数据服务器之间包含一个边缘计算层。该边缘计算层负责减少响应时间，并为实时分析提供快速决策。加密模块也实现在此层上，以维持机密性并保护患者数据隐私。在该技术中，数据被分割并加密成多个部分，以便仅访问包含用户感兴趣关键词的文档子集。在访问期间，用户可以在不解密数据的情况下对加密数据进行搜索。由于该技术是基于单个关键词的可搜索加密，因此在此过程中只有相关数据可见，其余数据仍以加密形式存储。访问控制模型实现在数据存储服务器上，能够限制未授权访问。通过这种方式，提出的两个模块将协同工作。这两个模块将在后续的小节中进行讨论。

提出的模型的系统动态视图如图4所示。该图展示了信息/请求在各模块之间的流动过程，如各步骤所述。图5和6分别显示访问控制器期间的序列图以及存储信息。该序列图说明了不同模块如何相互连接和交互，它们传递了何种信息，以及系统内进程运行的顺序。

3.1. 所提议的系统架构的描述

边缘计算架构可以在三个层级上运行（穆特拉格等，2019）：1）传感器层——从边缘设备收集数据；2）网络协调器层——多个连接的设备将数据发送到边缘处理节点；3）决策层——边缘计算层在几秒内处理数据以进行决策。图2显示了所提出的隐私保护模型的系统架构。在此架构中，不同的实体相互交互，执行特定任务，如数据采集、数据聚合、存储和分析，同时保护数据隐私。每个实体的描述如下：

智能用户 ‐ 智能用户可能是健康人群、老年患者、重症患者、住院患者、医生、护士、实验室技术人员等。生物传感器已植入患者体内以采集生物信号，随后在物联网设备中进行聚合，并以加密形式存储在云存储中。
边缘网关 ‐ 此智能设备负责对来自智能患者群体的小量数据进行本地处理。这些数据的本地诊断用于控制心脏泵、氧气供应等智能设备。它还会对数据进行加密并存储到云存储中以供进一步分析，并供医生在治疗过程中访问。
数据库管理器 ‐ 该管理器主要负责数据存储和查询处理。处理后的查询将搜索来自密钥生成器的加密密钥。
边缘服务器 ‐ 这将管理来自不同智能社区用户的所有数据资源，并将它们组织成不同的集群，以便在加密形式下进行分析。

3.2. 加密模型

所提出的加密模型基于图3中所示的以下场景构建。该模型适用于存在多个数据所有者和接收者的情况。一组体感传感器部署在患者身体上，感知到的数据在监控设备中进行汇总。随后，生成一条称为患者健康信息（PHI）的记录。该PHI在患者的医疗手机中生成，并以加密形式外包至云端。在将其存储到云之前，数据将首先发送至可信第三方（边缘服务器），并在该处执行以下操作。此处假设所有数据均为文本格式。模型的工作原理如下所述：

在该模型中，存在一个属性中心（AC），它通过计算属性的熵来设定属性的数值。根据属性的数值，对它们进行优先级排序，并且每个属性都已分配了预定义的数值。将在访问控制器上运行的算法在 _ 中提及。

在此模型中，存在一个密钥生成器（KG），它将计算‐late the key for the数据 based on some参数数值。这些数值位于个人健康信息(PHI)中，并基于两个数值，一个secret key将被生成。该算法将在上运行KG is mentioned in AGG _ENC
在此模型中，有一个查询处理器(QP)，负责查询处理。当任意接收者想要访问特定患者的个人健康信息(PHI)时，他/她将发送包含患者ID及其他详细信息的查询至服务提供商。此处，查询处理器(QP)将处理该查询并生成一个数值作为令牌。该令牌将被提交至密钥生成器会通过盲令牌将被搜索的个人健康信息(PHI)的密钥发送给接收者。在QP上运行的算法见AGG_TKN。现在，接收者仅能获取个人健康信息(PHI)中他们所需的属性数据，其他属性的数值则因隐私政策而保持封闭。

分阶段详细描述所提出的模型

第一阶段 ‐ 在此模型中，第一阶段由属性中心（AC）负责，其中从无线体域网（WBAN）收集大量数据。以下是创建索引表（T1）的步骤（伪代码算法1）。

算法 1 算法‐ AGG_访问控制器(对于索引表( T 1)生成)。
1. 过程输入：（来自无线体域网（WBAN）的收集的数据）
2. 输出：一个索引表T1
3. 开始
4. for i 到 n do //n 是患者数量
5. patient_data.collect[i] //从无线体域网（WBAN）收集患者数据
6. patient_data.divide_fix_block[i]
7. 次级块（SD） = patient_data.store[i]
8. PHI.create //创建患者健康信息(PHI)
9. 主块（PD）= patient_data.store[i]
10. patient_attribute.compute_熵[i]
11. patient_attribute.prioritize[i]
12. list[attribute]=关键词
13. 索引_表[ T1 ].create=文档||对应关键词。
14. 结束

步骤1：定期累积患者数据，如血压、血氧饱和度、脉率、血压、呼吸速率、体温等。

步骤2：将数据划分为每个包含800个实例的固定数据块，并将其标识为患者数据块（D i），其中i = 1,2, 3....n。该数据块将保存在次级块（SD）中。

步骤3：为每位患者创建患者信息，包括患者ID、年龄、性别、电话号码、地址、父母信息等详细信息。这些信息将存储在主区块（PD）中，并与次级区块（SD）关联。

步骤4：计算二级块（SD）中每个属性的熵，对属性进行优先级排序，并相应地放置在文档中。

步骤5：创建患者健康信息（PHI），一组文档（D 1，D 2，D 3… D n），这些文档将被加密并上传到云服务器。

步骤6：列出每份 PHI文档中所有属性名称作为关键词

步骤7：创建一个索引表（T1），其中包含所有文档及其对应的关键词。完成这些步骤后，访问控制器将请求密钥生成器(KG)生成密钥。

表2展示了索引表（T1）。

阶段 II - 在此阶段，知识图谱（KG）将使用隐私保护可搜索加密（PPSE）生成加密密钥。索引和文档的加密过程如下所示（算法 2 ）：

步骤1：这是一个在密钥生成器(KG)中运行的随机化算法。在此步骤中，将生成两个密钥 K文档和 K索引，用于文档和索引加密。这些密钥是关键词和属性索引(I)的哈希值。

步骤2：调用 ENC Kind()。该函数将加密上一阶段生成的关键词集合 S KW(ω 1 , ω 2 , ω 3 .. ω m)。该函数将以关键词 ω 1 和 d1（相应的文档(D 1)ID）作为输入，并生成加密索引(EI)。

算法 2 算法‐ AGG_ENC(用于索引的加密的索引和文档)
1. procedure输入：(索引表 T 1)
2. 输出：表格 T 2和 T 3
3. TC 11 简报文件
4. 计算 K doc和 K ind= H[关键词 || 属性索引(I)]。
5. 生成 EI= ENC类型[ ω 1 ‖ ID D 1], ENC类型[ ω 2 ‖ ID D 2] ......EN C Kind[ ω m ‖ ID D n].
6. 加密_索引_表 T 2.创建=[关键词 || document ID]
7. ED生成 = E NC K d oc[ D 1], E NC K d oc[ D 2], E NC K d oc[ D 3]....E NC K d oc[ D n].
8. 表 T 3.create=加密文档。
9. END

步骤3：创建一个加密索引表，其中每个关键词的加密索引将与文档 ID一起存储在表T 2 ( 表3 ) 中。

步骤4：调用 ENC K doc () 函数。该函数将加密集合D中的每个文档，并将加密文档(ED)与文档ID一起存储在表T3（表4）中。它为用户输出密钥K s。该密钥用于生成陷门，以执行搜索操作。

第三阶段 ——当用户想要搜索包含某个关键词的文档时，将执行此阶段。在此阶段中，将生成搜索令牌。搜索令牌的生成过程如下（算法3）：

算法 3 算法‐ AGG_TKN(用于生成搜索令牌)。
1. procedure输入：(用户搜索关键词)
2. 输出：匹配的文档及其 ID
3. TC 11 简报文件
4. 搜索_令牌.generate TK= ENC K d oc( ω q ‖ D 1), ENC K d oc ( ω q ‖ D 2 ) ， ENC K d oc ( ω q ‖ D 3 ) 。
5. 如果（搜索_关键词==已存储的_关键词）那么
6. 从表 2 中获取文档 ID
7. 返回加密_文档。
8. 文档解密[ DEC Kdoc(D i)]
9. 否则
10. 搜索关键词未在文档中找到。
11. END

步骤1：根据用户输入的搜索关键词生成搜索令牌。关键词ω q的搜索令牌通过所有文档组合计算得出，例如搜索令牌TK= ENC K d ocω( q‖ I D D 1)、EN C K d ocω( q‖I D D 2)、EN C K d ocω( q‖ ID D 3)。

步骤2：搜索令牌包含加密索引，并在索引表T 2（表3）中匹配以查找文档ID。

步骤3：提供与搜索令牌匹配的文档ID对应的密钥，并将相应文档发送回用户。

步骤4：用户可以使用哈希关键词 h( ω q)作为密钥来解密文档，该关键词即为秘密密钥。解密操作由DEC K d oc( D i)完成。

3.3. 访问控制器模块

访问控制系统 (ACS) 用于保护系统和资源免受未经授权方的侵害。在医疗场景中，ACS 检查并决定是否允许主体执行特定访问操作，或拒绝该操作。权限的授予与拒绝基于有关访问上下文和一组条件的明确访问控制策略。当收到访问请求后，该模块将评估当前访问上下文和指南，以对收到的访问请求做出决策。算法 4 描述了访问控制模块的工作功能。图 7 展示了基于边缘计算的智能医疗中的所提访问控制模块。

策略执行点 (PEP) ：PEP 是用户提交访问受保护资源请求的接入点。这是初始访问接口，用于以凭证和属性的形式收集用户请求。它还能够触发访问决策结果。PEP 负责将用户请求传输至策略决策点 (PDP)，并将 PDP 生成的响应传递给用户。
属性管理器 (AMs) ：属性管理器 (AMs) 作为管理者，负责管理、存储和更新主体、资源和环境的属性信息。它还允许访问控制系统 (ACS) 访问这些信息以用于决策过程。由属性管理器 (AMs) 管理的属性信息取决于

算法 4 访问控制器模块。
1. procedure输入：(用户请求附带其凭证)
2. 输出：访问决策（授予/拒绝）
3. TC 11 简报文件
4. 用户请求=[登录凭证 || 资源信息]
5. 用户_请求.收到[PEP]
6. 如果(login credential || resource information)=有效那么
7. 用户请求 →策略决策点 (PDP)// →表示已转发 sign
8. 如果用户请求=有效那么
9. 用户请求 → PAP和 PIP
10. 否则
11. 用户请求无法被处理。
12. 更新_访问_策略.fetch[PAP]
13. 返回更新 _访问_策略
14. 更新_用户_属性_信息。收集[PIP]
15. 返回更新 _用户_属性_信息
16. 访问_决策.evaluate [ 策略决策点 (PDP)]
17. 返回访问决策 _
18. 如果访问决策是授予则
19. 用户可以访问资源和数据。
20. 否则
21. 用户访问被拒绝 else
22. 用户凭证为无效
23. END

关于应用场景，仅指定可能参与授权过程的相关属性。

策略信息点 (PIP) ：PIP 为访问控制系统 (ACS) 提供接口，用于获取当前交互用户已更新属性的数值。PIP 收集由属性管理器 (AMs) 管理和存储的所有属性信息。所获得的属性信息用于授权策略评估。PIP 将评估结果传递给策略决策点 (PDP)，以进行决策过程。
策略管理点 (PAP) ：PAP 是一个授权策略存储库，负责管理和生成以主体、对象、环境上下文（位置和时间）以及一组条件表示的策略。其主要功能是在需要评估访问请求时提供已更新的访问策略。PAP 还可支持策略制定者创建、修改和安装在访问控制系统 (ACS) 中强制执行的策略。
策略决策点 (PDP) ：PDP 是访问控制系统 (ACS) 的核心模块，负责访问请求决策。它接收来自 PEP 的用户访问请求，并将其传递给 PIP 和 PAP 进行进一步评估。根据 PIP 的评估结果和 PAP 的授权策略，PDP 得出访问决策，形式为授予、拒绝和不适用。

基于边缘计算的智能医疗保健系统中的访问控制器规则集

以下元组用于定义基于边缘计算的智能医疗保健系统中的访问控制器规则集。为了做出访问决策，所有这些元组被组合成一个单一实体。

< U, O, A, UA, AP> −→< AD={授予,拒绝}>
U是访问用户的身份。
O是医疗数据（对象）。
A是对 O执行的操作（搜索、读取、写入、执行、更新）。
用户权限是由属性管理器 (AMs)收集的用户属性。
AP是在 PAP生成的访问策略，并在需要时发送到 PDP以评估访问请求。
AD表示访问决策。

以下列出的六条规则将用于验证访问请求的访问决策。

规则1 用户 ={已认证} ∧ 对象 ={Medical_ ∧ 数据} ∧ 操作 ={任意} ∧ 用户权限 ={相关/有效} 访问策略 ={已存储/有效} →访问决策 ={授予}

规则2 用户 ={不诚信} ∧ 对象 ={Medical_数据}∧ 操作={任意}∧ 用户权限={相关/有效}访问策略∧ {已存储/有效}=访问决策→{拒绝}

规则3 用户 ={已认证} ∧ 对象 ={Medical_数据} ∧ 操作={任意}∧ 用户权限={无效}∧ 访问策略={ 已存储/有效}→访问决策={ 拒绝}

规则4 用户 ={已认证} ∧ 对象 ={Medical_数据} ∧ 操作={ 任意}∧ 用户权限={ 相关/有效}访问策略∧ {无效}→ 访问决策={ 拒绝}

规则5 用户 ={已认证} ∧ 对象 ={Medical_数据} ∧ 操作={ 任意}∧ 用户权限={无效}∧ 访问策略={无效}→访问决策={拒绝}

规则6 用户 ={不诚信} ∧ 对象 ={Medical_数据} ∧ 操作={任意}∧ 用户权限={无效}∧ 访问策略={无效}→访问决策={ 拒绝}

3.4. 所提模型的安全性分析

本小节讨论了两个不同的安全测试用例。基于安全测试用例，对所提出的隐私保护技术 PPSE进行了形式化证明。

3.4.1. 安全测试用例

测试用例1 ：考虑攻击者使用密钥生成算法生成主密钥以篡改PHI。现在他想要获取用于搜索操作的密钥K。在这种情况下，他必须满足访问策略，否则该过程将中止。因为根据所提出的令牌生成算法TK= ENC K doc (ω q ‖D 1)，ENC K doc (ω q ‖ D 2)，ENC K doc (ω q ‖ D 3)，攻击者在输入密钥和关键词后才能执行搜索。只有当他满足访问策略时，才可能获得该密钥。

测试用例2 ：在第二种情况下，服务器为半诚实状态，可能会仅返回部分搜索结果。当攻击者试图通过多次查询获取特定数据时，会出现典型的数据泄露问题。在此情况下，由于对于高比特长度消息的大素数而言，令牌生成的概率较低，因此无法生成陷门（加密关键词W q）。

通过考虑以下两种测试情况，可以证明这些定理。

3.4.2. 安全证明

定理1. 当满足方程 H(m i | C i ) = H( m i ) 时，从云访问的患者健康信息（PHI）保持数据隐私，即密文块中消息的条件熵函数等于消息的熵。

证明。 让我们考虑，M i 是由边缘服务器生成的消息或患者健康信息。可搜索加密算法对这一消息进行加密。在此过程中，涉及两个大素数 P 和 Q，其中 N = P∗ Q 在 Z∗ N 中，该值在初始化阶段公开发送给用户。因此，密文为 C i =[ ENC K doc (M i ) + ENC Kind (ω q ) +ADD( R i )] mod N，其中 R i 是填充位。

这是患者使用密钥P、Q、R加密并盲化后的个人健康信息(PHI)，并使用陷门T p = f( ω q )来隐藏信息。若不知道T p ，则在计算上难以推导出加密关键词ω q 。此外，填充位R i 分布在Z∗ N 中。因此，从加密的PHI中猜测属性数值的概率与猜测消息的概率相同。该方案满足数据隐私要求。

Theorem 2. 在假设边缘服务器为半可信（即对分配的任务诚实但好奇并试图从存储的信息中获取泄露内容）的前提下，所提出的方案是安全的。

证明。 所提出方案的工作原理如图3所示。在此方案中，文档附加在边缘服务器生成的个人健康信息(PHI)中。从每个文档中提取属性作为关键词，并使用关键词集合进行索引。在搜索特定文档的关键词时，会生成一个搜索令牌，即T k =ENC K doc ( ω q ‖ ID D 1 )。在此方案中，如果服务器想要泄露消息，只有在搜索令牌被破解的情况下才有可能实现。搜索结果表明，若针对相同输入生成了两个独立的令牌，例如不同文档中的相同关键词或不同个人健康信息(PHI)包含相同关键词，则存在信息泄露的唯一可能性。图中清楚地显示，关键词是从个人健康信息(PHI)的文档中提取的。

假设属性名称为患者姓名，这可能在多个个人健康信息(PHI)中是相同的。如果从不同文档的相同关键词生成了相同的搜索令牌，则可能导致数据泄露。但在所提出的方案中，哈希值是通过关键词和文档ID共同生成的，因此不可能为不同文档生成相同的令牌。

定理3。 假设攻击者获得了搜索集合（T k ,ω q），其中 1< q< r，r 是授权用户允许的查询次数。在这种情况下，攻击者无法获得结果，即结果隐私得以保持。

证明。 每个加密关键词 ω q 被视为一个陷门。根据该概念，陷门算法是一种概率性方法，其输出域G位于集合Z∗ N中，其中N依赖于P, Q（两个大素数）。现在对于两个输入（ ω 1, D 1）和（ω 2, D 2），如果ω 1= ω 2且D1 = D 2，则陷门T p = fω( q) 相等的概率为 1 p。这表明，如果素数值足够大，则消息比特长度l也较大。由此可知，由相同关键词生成相同陷门的概率成反比。这意味着，即使攻击者获得了有关陷门的信息，也无法猜测出关键词和属性数值。

4. 实验设置和结果

本节讨论了实验设置以及所提出的基于边缘计算的智能医疗保健系统的性能。

4.1. 实验设置

开发了一种基于Android可执行文件的原型，用于实现基于安全边缘计算的智能医疗保健。该原型包含一个用于收集医疗数据样本的 Android健康监测应用程序。部署的原型已用于实际医疗应用的安全与隐私保护。图8显示了用于测试和实现所提出模型的有线连接设置。

Arduino Nano V3.0 ATMEGA328设备是一种低成本、小巧、完整且面包板友好型的开发板，基于ATmega328。采用信用卡物理尺寸的ATmega328可在各种版本的Linux上运行。它通过通用输入/输出引脚支持传感器和执行器接口，用于患者数据的采集与操作。所考虑的原型在谷歌云平台（GCP）上使用 Python高级多范式编程语言开发，适合作为坚实的基础。在此 GCP中，虚拟机（VM）采用E2机器类型，最多提供32个虚拟CPU 和128 GB内存，每个虚拟CPU最高支持8 GB内存。E2机器配备两个主频为2.8 GHz的Intel i7‐2500 CPU，搭载8 GB内存和64位Linux操作系统，用于本地处理。

在边缘网关上开发的高级功能，用于展示增强型基于边缘计算的智能医疗中的设备与协议。该工作还实现了一个包含智能网关、输入/ 输出接口、包括网状和星型拓扑在内的网络拓扑、无线传感技术（如 IPv4、IPv6和6LoWPAN）、内存和存储接口、802.11 Wi‐Fi以及 WiLink 6.0蓝牙连接的边缘计算层。网络拓扑包括网状和星型拓扑。

该演示展示了智能医疗系统的特性与性能，包括在安全与访问控制方面的智能边缘计算层。系统设置演示分为三个阶段：用于数据收集的传感器节点实现、边缘计算层的实现，以及用于访问/存储患者数据的后端与用户界面。主要阶段的边缘计算层由医疗服务迷你网关、物联网节点、边缘计算节点和可搜索加密模块组成，以保障患者数据的安全。非IP协议转换模块支持蓝牙与IPv4/IPv6协议（基于IP的协议）之间的转换。

4.2. 性能分析

实验设置完成后，从安全性、访问控制和医疗数据隐私方面对基于边缘计算的智能医疗可行性与性能进行了测量。提出的模型在准确性、网络吞吐量、网络带宽使用、能耗、时间特性、安全强度等多个指标上进行了分析。考虑了五个不同的边缘节点来评估所提出模型的性能。这五个节点（E1、E2、E3、E4和E5）用于医疗数据的快速决策与高速计算。性能测试在不同时间间隔（T1、T2、T3⋯⋯T20）内进行。分析还展示了测量指标的平均性能。所有安全计算/加密均在边缘计算层完成（用于在远程服务器上存储加密数据）。访问控制解决方案已部署在医疗服务器上（用于加密数据的安全）。

4.2.1. 数据集描述

从实验中收集了普通人的生命体征参数（属性）数值。所选的属性是用于健康监测的基本用户身体参数。一组1500个样本数据被组合在一起，样本大小为250千字节。根据上述实验设置，每1500个样本的采集时间数据为3.5秒。在对数据进行采样之前，会从原始数据中移除用户的私人信息。年龄和性别是任何医疗数据中最常见的属性。其他关键属性包括体温、脉率、呼吸频率、血压和血氧饱和度。用户的体温数值范围为36. 0 ◦C至39. 0 ◦C。成年人静息状态下的标准脉率和呼吸频率范围分别为60‐100次/分钟和12‐16次/分钟。常规血压低于120‐80毫米汞柱被视为正常范围。正常的动脉血氧约为75至100毫米汞柱（ mm Hg）。表5展示了包含10个样本的数据集。此表格仅用于帮助理解属性、其数值以及样本大小的目的。

4.2.2 基于提出边缘计算模型的性能

实验在有边缘计算层和无边缘计算层的情况下进行。无边缘计算层时，所有数据1500个采集样本均在云端处理。有边缘计算层时，38%的样本大小减少被观察到。这是因为 62%的样本数据在边缘网关进行处理。关于处理后样本大小减少的结果如表6 所示。

表7显示了在收集和处理250 Kb样本期间，边缘节点中的传输时间、功率和能耗。表7的结果还展示了无边缘网关情况下的传输时间、功率和能耗。该实验在特定条件和“实验设置”小节中总结的固定实验设置/数值下进行。实验结果表明，通过使用边缘网关，提出的模型将传输时间减少了64.24%，功耗降低了69.93%，能耗降低了69.56%。

4.2.3. 性能比较

结果与Rahmani et al. (2018)中讨论的类似方法进行了比较。比较结果总结在表8中。该表格显示，所提出的模型减少了64.87%的传输时间，22.53%的功率消耗，与拉赫马尼等人（2018年）讨论的类似方法相比，能耗降低了8.95 %。该表还显示，在不同的网络负载下，所提出的模型延迟减少（ 49.5%，32.4%，7.2%）远高于拉赫马尼等人，2018的方法。

4.2.4. 延迟分析

该实验在大小为250 Kb的收集的原始样本数据上进行。收集的数据通过两种方式处理：一种是直接通过微型网关传输到云服务器，另一种是通过使用边缘网关。在这两种情况下，均测量250 Kb原始样本数据传输过程中的延迟。对于第一种情况，延迟时间是在从云访问患者数据期间直接测量的。对于第二种情况，将部署一个包含嵌入式套接字服务器的边缘服务器用于本地存储，之后再测量延迟。

延迟减少在不同场景下进行测量：数据样本类型、网络负载（条件）和边缘设备数量。结果在特定条件下进行测试，每个结果表中总结了固定实验设置/数值。从表9可以看出，在收集不同类型的数据样本时，边缘计算可以减少网关与云服务器之间的延迟。计算结果显示，在血氧饱和度数据情况下，所提出的模型的延迟最多减少了73.97%。在第二个场景中，考虑了不同的网络负载/条件。该网络负载/条件分为高负载、中等负载和低负载。观察结果总结见表10。实验结果表明，当网络处于高负载时，延迟降低了49.5%。当网络负载为中等时，观察到的延迟为32.4%，在低网络负载下，延迟为7.2 %。最后，在边缘计算层中通过改变边缘设备的数量来测量延迟。观测最多使用五个边缘设备。表11中的观察结果表明，由于快速处理，增加边缘节点可以降低系统延迟。当边缘计算层有五个边缘节点用于处理医疗数据时，延迟最大降低了53.7%。

4.2.5. 不同测量指标下的结果分析

另一个实验已用于测量所提出模型的加密时间。加密时间在不同的时间间隔内进行测量，如图9所示。计算结果显示，每个时间间隔内的加密时间有所不同，主要取决于患者数据的大小。实验结果表明，平均加密时间为135毫秒，对于患者数据的加密而言，这是非常短的时间。

每个边缘节点的吞吐量被测量，该边缘节点负责计算患者数据。边缘节点的吞吐量定义了边缘计算层在单位时间内的成功计算/处理速率。Figure 10 显示每个边缘节点的吞吐量。在这些实验结果中，模型的平均吞吐量为 205千字节每秒。

加密后接收和传输的数据量直接影响边缘节点的执行时间。由于边缘节点的执行速度不同，边缘节点的执行时间可能有所差异。执行时间还取决于边缘节点的工作耗尽和过载情况节点。图 11 显示了所有五个边缘节点的执行时间。图形结果显示，边缘计算层的平均处理时间为115毫秒。

所提出的模型的实用实现用于在硬件和边缘节点效率方面测量仿真结果。所考虑的提出模型在不同的时间间隔内进行了测试，并取得了不同的效率会不时变化。由于系统的异构性以及边缘计算节点的可变性，这些结果可能会有所不同。取得的结果表明，该系统达到了高达94%的效率。该效率包括硬件和节点效率。效率的取得结果如图12所示。

4.2.6. 访问控制器模块的性能

上述实验旨在测量边缘计算层的效率。所有结果均展示了边缘计算节点的性能表现作为边缘计算层。提出的模型包含两个阶段：由边缘计算层完成的加密模型，以及在数据存储到远程服务器（云）后执行的访问控制模型。目前，已通过实验测试来衡量访问控制模型的性能。

考虑了不同的测试场景来衡量访问控制模型的性能。这些测试场景（TS）是在定义的访问控制规则集的帮助下开发的。所有测试场景实例均汇总于表12中。涉及以下实体和子实体

在测试场景的开发过程中，所开发的测试场景考虑了十种不同的已认证用户（U 1、U 2、U 3、....，以及 U 10），除此之外的用户被视为未认证用户。医疗数据包括实验室检测记录（O 1）、疾病和治疗记录（O 2）、患者注册信息（O 3）、急救详情以及其他医疗相关信息（O 4），以及医疗专业人员详情（O 5）。操作包括搜索（S）、读取（R）、写入（W）、更新（U）和执行（E）。用户属性包括主体（SU）、资源（RE）和环境（EN）属性。访问策略包含存储库具有更新的访问控制策略（Y）或否（N）。访问决策包括访问授予（G）和访问拒绝（D）。

在另一个实验中，将25个访问请求传递给系统，以确定访问授予和拒绝的数量。该实验在20个不同的时间间隔内进行。每个单位时间间隔内的这25个请求由合法请求和恶意请求组成。根据提出的规则集，对访问请求进行评估。图13显示了访问授予和拒绝的取得的结果。

图14展示了在不同时间间隔内处理访问请求所需的时间。访问控制模型需要在不同时间处理不同类型访问请求。通常，包含一些异常请求的访问请求比正常访问请求需要更长的访问决策时间。这意味着当异常访问请求增加时，访问决策所需的时间也会增加。但取得的结果表明，在极端条件下，该模型进行访问决策最多需要25毫秒，平均时间为18毫秒。

5. 结论

电子医疗中的安全与隐私是一个令人关注的重要问题。尽管讨论了多种解决方案，但大多数方案并不适用于实时电子医疗系统。根据文献，确定了若干研究问题。提出的工作试图解决所有这些研究问题。该基于提出边缘计算的电子医疗系统的首要目标是保护患者数据隐私。本研究的另一个目标是降低服务延迟，最后一个是为云存储数据提供适当的授权机制。提出了一种隐私保护可搜索加密机制，以维护电子医疗系统中的隐私。提出了一种基于边缘计算的电子医疗系统，其中边缘计算层减少了服务响应时间和延迟。之所以能够实现这一点，是因为大部分数据在边缘计算层进行处理。为了确保安全，在云存储中实施了适当的访问控制机制，以防止未授权用户访问数据。实验结果和对提出模型的安全分析表明，已确定的研究问题得到了解决。患者数据的隐私得到保障，服务延迟降低，并且访问控制模型提供了防止未授权访问的安全性。

声明利益冲突声明声明利益冲突

作者声明，他们不存在已知的可能影响本文所报告工作的竞争性财务利益或个人关系。以下列名称列出的作者证明，他们对任何组织或实体均无关联或参与，且在本手稿所讨论的主体事项或材料中不存在任何财务利益（如酬金、教育资助、演讲者委员会参与、会员资格、雇佣、咨询、股票所有权或其他股权利益，以及专家证词或专利许可安排）或非财务利益（如个人或专业关系、隶属关系、知识或信仰）。