一种基于DICOM协议的非侵入式加密传输方法

技术领域

本发明涉及医学数据传输技术领域，特别涉及一种基于DICOM协议的非侵入式加密传输方法。

背景技术

医学数据是国家基础性战略资源，其安全传输、保密、隐私保护等问题已成为重大数据安全问题。中国信息通信研究院于2021年7月发布了《医疗物联网安全研究报告（2021年）》，其中指出，随着近年来医疗物联网（IoMT）设备激增，多类型、多型号的IoMT设备分布在多科室，且设备厂商的远程运维方式多样，这导致了风险暴露面积的增加，原有安全防护手段难以应对，由此引发的医疗网络安全风险和挑战与日俱增。黑客越来越多地将目标对准我国的公共医疗机构，整体来看医疗机构的网络安全形势不容乐观，医疗机构的网络攻击和数据窃取事件激增，不仅造成了经济损失，也给患者的健康带来了威胁。

发明内容

本发明的目的在于提供一种基于DICOM协议的非侵入式加密传输方法，通过非侵入方式，对传输的基于DICOM协议的影像数据信息进行加密，防止数据在传输过程中被窃取，无需软件改动，即可做到对传输数据加密，对网络透明，终端和服务器对边缘设备和汇聚设备无感知，其中加密可选，支持国密算法，支持一次一密，可减少经济损失，保障患者的健康安全，以解决上述背景技术中提出的问题。

为实现上述目的，本发明提供如下技术方案：

一种基于DICOM协议的非侵入式加密传输方法，包括终端、边缘设备、汇聚设备和服务器，

获取终端的DICOM协议，经明文传输给边缘设备；

获取边缘设备的DICOM协议，经加密传输给汇聚设备；

获取汇聚设备的DICOM协议，经明文传输给服务器；

获取服务器的DICOM协议，经明文传输给汇聚设备；

获取汇聚设备的DICOM协议，经加密传输给边缘设备；

获取边缘设备的DICOM协议，经明文传输给终端。

进一步地，所述边缘设备用于

加密来自于终端的DICOM协议，并传输给汇聚设备；

边缘设备还用于解密来自于汇聚设备的DICOM协议，并传输给终端；

汇聚设备用于解密来自于边缘设备的DICOM协议，并传输给服务器；

汇聚设备还用于加密来自于服务器的DICOM协议，并传输给边缘设备。

进一步地，所述边缘设备接受到来自于终端传输的DICOM协议请求；

边缘设备和汇聚设备自定义算法，边缘设备和汇聚设备生成公私密钥对；

边缘设备采用公钥加密，并将加密后的DICOM协议传送给汇聚设备；

汇聚设备采用私钥解密，并将解密后的DICOM协议传送给服务器。

进一步地，所述边缘设备和汇聚设备均包括密钥读取单元、密钥识别单元、密钥验证单元、密钥存储单元和密钥执行单元，其中

密钥读取单元用于读取加密后的DICOM协议，且将读取后的DICOM协议传送给密钥识别单元；

密钥识别单元用于对读取的DICOM协议进行识别，且对输入的与加密DICOM协议相对应的密钥进行识别；

密钥验证单元用于对加密的DICOM协议进行密钥验证，查验公私密钥对的真实性；

密钥存储单元用于存放对DICOM协议进行加密的公私密钥对；

密钥执行单元用于根据不同的密钥验证结果执行不同的决策。

进一步地，所述边缘设备接受到来自于终端传输的DICOM协议请求，边缘设备对DICOM协议进行加密处理；

利用密钥读取单元对经加密处理的DICOM协议进行密钥读取，读取出DICOM协议的公钥；

利用密钥识别单元对读取出的DICOM协议的公钥及输入的与加密DICOM协议相对应的私钥进行识别；

利用密钥验证单元对公钥及输入的与加密DICOM协议相对应的私钥进行密钥验证，判断输入的私钥是否和密钥存储单元内存放的私钥相对应，进而给出不同的验证结果；

利用密钥执行单元执行不同的决策；

针对输入的私钥和密钥存储单元内存放的私钥相对应的情形，则汇聚设备采用私钥解密，并将解密后的DICOM协议传送给服务器；

针对输入的私钥和密钥存储单元内存放的私钥不对应的情形，则汇聚设备不能对传送的DICOM协议进行解密，不能读取DICOM协议内容。

进一步地，所述边缘设备和汇聚设备还均包括预警提示单元，其中

输入的私钥和密钥存储单元内存放的私钥不对应时，弹窗提示输入私钥失败；

获取私钥，再次输入私钥进行验证；

输入私钥成功，则汇聚设备采用私钥解密，并将解密后的DICOM协议传送给服务器；

输入私钥失败，则预警提示单元发出预警提示。

进一步地，所述预警提示单元发出预警提示时，

获取输入私钥的用户的IP地址，确定用户IP信息；

根据用户IP信息，查找用户身份信息，且将用户身份信息回传，锁定用户。

进一步地，所述边缘设备和汇聚设备自定义算法，采用RSA加密算法进行加密处理，设定公钥A和私钥B结合的公私密钥对，

其中边缘设备向汇聚设备传输DICOM协议时，汇聚设备将自己的公钥A传送给边缘设备；

边缘设备接收到汇聚设备传送的公钥A后，利用公钥A对待传输的DICOM协议进行加密；

DICOM协议经加密后，边缘设备将加密后的DICOM协议传输给汇聚设备；

汇聚设备接收到加密的DICOM协议后，汇聚设备利用自己的私钥B对加密的DICOM协议进行解密，使DICOM协议加密传输。

与现有技术相比，本发明的有益效果是：

本发明的基于DICOM协议的非侵入式加密传输方法，边缘设备接受到来自于终端传输的DICOM协议请求，边缘设备和汇聚设备自定义算法，边缘设备和汇聚设备生成公私密钥对，边缘设备采用公钥加密，并将加密后的DICOM协议传送给汇聚设备，汇聚设备采用私钥解密，并将解密后的DICOM协议传送给服务器，其中边缘设备用于加密来自于终端的DICOM协议，并传输给汇聚设备，边缘设备还用于解密来自于汇聚设备的DICOM协议，并传输给终端，汇聚设备用于解密来自于边缘设备的DICOM协议，并传输给服务器，汇聚设备还用于加密来自于服务器的DICOM协议，并传输给边缘设备，通过非侵入方式，对传输的基于DICOM协议的影像数据信息进行加密，防止数据在传输过程中被窃取，利用加密传输，无需对终端和服务器软件侵入，通过非侵入方式，无需软件改动，即可做到对传输数据加密，对网络透明，终端和服务器对边缘设备和汇聚设备无感知，其中加密可选，支持国密算法，支持一次一密，可减少经济损失，保障患者的健康安全。

附图说明

图1为本发明的基于DICOM协议的非侵入式加密传输方法的原理图；

图2为本发明的基于DICOM协议的非侵入式加密传输方法的模块图；

图3为本发明的基于DICOM协议的非侵入式加密传输方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了解决现有的医疗机构的网络攻击和数据窃取事件激增，不仅造成了经济损失，也给患者的健康带来了威胁的技术问题，请参阅图1-图3，本实施例提供以下技术方案：

一种基于DICOM协议的非侵入式加密传输方法，包括终端、边缘设备、汇聚设备和服务器，

获取终端的DICOM协议，经明文传输给边缘设备；

获取边缘设备的DICOM协议，经加密传输给汇聚设备；

获取汇聚设备的DICOM协议，经明文传输给服务器；

获取服务器的DICOM协议，经明文传输给汇聚设备；

获取汇聚设备的DICOM协议，经加密传输给边缘设备；

获取边缘设备的DICOM协议，经明文传输给终端。

需要说明的是，DICOM即医学数字成像和通信，是医学图像和相关信息的国际标准。它定义了质量能满足临床需要的可用于数据交换的医学图像格式。

DICOM被广泛应用于放射医疗，心血管成像以及放射诊疗诊断设备（X射线，CT，核磁共振，超声等），并且在眼科和牙科等其它医学领域得到越来越深入广泛的应用。在数以万计的在用医学成像设备中，DICOM是部署最为广泛的医疗信息标准之一，当前大约有百亿级符合DICOM标准的医学图像用于临床使用。

自从1985年DICOM标准第一版发布以来，DICOM给放射学实践带来了革命性的改变，X光胶片被全数字化的工作流程所代替。就像Internet成为信息传播应用的全新平台，DICOM使“改变临床医学面貌”的高级医学图像应用成为可能。比如在急诊科中，心脏负荷测试，乳腺癌的检查，DICOM为医生和病人服务，是医学成像有效工作的标准。

DICOM标准中涵盖了医学数字图像的采集、归档、通信、显示及查询等几乎所有信息交换的协议；以开放互联的架构和面向对象的方法定义了一套包含各种类型的医学诊断图像及其相关的分析、报告等信息的对象集；定义了用于信息传递、交换的服务类与命令集，以及消息的标准响应；详述了标识各类信息对象的技术；提供了应用于网络环境的服务支持；结构化地定义了制造厂商的兼容性声明。

所述边缘设备用于

加密来自于终端的DICOM协议，并传输给汇聚设备；

边缘设备还用于解密来自于汇聚设备的DICOM协议，并传输给终端；

汇聚设备用于解密来自于边缘设备的DICOM协议，并传输给服务器；

汇聚设备还用于加密来自于服务器的DICOM协议，并传输给边缘设备。

需要说明的是，终端向服务器传输DICOM协议时，获取终端的DICOM协议，经明文传输给边缘设备，获取边缘设备的DICOM协议，经加密传输给汇聚设备，获取汇聚设备的DICOM协议，经明文传输给服务器；

服务器向终端反馈DICOM协议时，获取服务器的DICOM协议，经明文传输给汇聚设备，获取汇聚设备的DICOM协议，经加密传输给边缘设备，获取边缘设备的DICOM协议，经明文传输给终端。

所述边缘设备接受到来自于终端传输的DICOM协议请求；

边缘设备和汇聚设备自定义算法，边缘设备和汇聚设备生成公私密钥对；

边缘设备采用公钥加密，并将加密后的DICOM协议传送给汇聚设备；

汇聚设备采用私钥解密，并将解密后的DICOM协议传送给服务器。

需要说明的是，边缘设备接受到来自于终端传输的DICOM协议请求，边缘设备和汇聚设备自定义算法，边缘设备和汇聚设备生成公私密钥对，边缘设备采用公钥加密，并将加密后的DICOM协议传送给汇聚设备，汇聚设备采用私钥解密，并将解密后的DICOM协议传送给服务器，其中边缘设备用于加密来自于终端的DICOM协议，并传输给汇聚设备，边缘设备还用于解密来自于汇聚设备的DICOM协议，并传输给终端，汇聚设备用于解密来自于边缘设备的DICOM协议，并传输给服务器，汇聚设备还用于加密来自于服务器的DICOM协议，并传输给边缘设备，通过非侵入方式，对传输的基于DICOM协议的影像数据信息进行加密，防止数据在传输过程中被窃取，利用加密传输，无需对终端和服务器软件侵入，通过非侵入方式，无需软件改动，即可做到对传输数据加密，对网络透明，终端和服务器对边缘设备和汇聚设备无感知，其中加密可选，支持国密算法，支持一次一密，可减少经济损失，保障患者的健康安全。

所述边缘设备和汇聚设备均包括密钥读取单元、密钥识别单元、密钥验证单元、密钥存储单元和密钥执行单元，其中

密钥读取单元用于读取加密后的DICOM协议，且将读取后的DICOM协议传送给密钥识别单元；

密钥识别单元用于对读取的DICOM协议进行识别，且对输入的与加密DICOM协议相对应的密钥进行识别；

密钥验证单元用于对加密的DICOM协议进行密钥验证，查验公私密钥对的真实性；

密钥存储单元用于存放对DICOM协议进行加密的公私密钥对；

密钥执行单元用于根据不同的密钥验证结果执行不同的决策。

需要说明的是，边缘设备接受到来自于终端传输的DICOM协议请求，边缘设备对DICOM协议进行加密处理，利用密钥读取单元对经加密处理的DICOM协议进行密钥读取，读取出DICOM协议的公钥，利用密钥识别单元对读取出的DICOM协议的公钥及输入的与加密DICOM协议相对应的私钥进行识别，利用密钥验证单元对公钥及输入的与加密DICOM协议相对应的私钥进行密钥验证，判断输入的私钥是否和密钥存储单元内存放的私钥相对应，进而给出不同的验证结果，针对输入的私钥和密钥存储单元内存放的私钥相对应的情形，则汇聚设备采用私钥解密，并将解密后的DICOM协议传送给服务器；针对输入的私钥和密钥存储单元内存放的私钥不对应的情形，则汇聚设备不能对传送的DICOM协议进行解密，不能读取DICOM协议内容。

所述边缘设备接受到来自于终端传输的DICOM协议请求，边缘设备对DICOM协议进行加密处理；

利用密钥读取单元对经加密处理的DICOM协议进行密钥读取，读取出DICOM协议的公钥；

利用密钥识别单元对读取出的DICOM协议的公钥及输入的与加密DICOM协议相对应的私钥进行识别；

利用密钥验证单元对公钥及输入的与加密DICOM协议相对应的私钥进行密钥验证，判断输入的私钥是否和密钥存储单元内存放的私钥相对应，进而给出不同的验证结果；

利用密钥执行单元执行不同的决策；

针对输入的私钥和密钥存储单元内存放的私钥相对应的情形，则汇聚设备采用私钥解密，并将解密后的DICOM协议传送给服务器；

针对输入的私钥和密钥存储单元内存放的私钥不对应的情形，则汇聚设备不能对传送的DICOM协议进行解密，不能读取DICOM协议内容。

所述边缘设备和汇聚设备还均包括预警提示单元，其中

输入的私钥和密钥存储单元内存放的私钥不对应时，弹窗提示输入私钥失败；

获取私钥，再次输入私钥进行验证；

输入私钥成功，则汇聚设备采用私钥解密，并将解密后的DICOM协议传送给服务器；

输入私钥失败，则预警提示单元发出预警提示。

所述预警提示单元发出预警提示时，

获取输入私钥的用户的IP地址，确定用户IP信息；

根据用户IP信息，查找用户身份信息，且将用户身份信息回传，锁定用户。

所述边缘设备和汇聚设备自定义算法，采用RSA加密算法进行加密处理，设定公钥A和私钥B结合的公私密钥对，

其中边缘设备向汇聚设备传输DICOM协议时，汇聚设备将自己的公钥A传送给边缘设备；

边缘设备接收到汇聚设备传送的公钥A后，利用公钥A对待传输的DICOM协议进行加密；

DICOM协议经加密后，边缘设备将加密后的DICOM协议传输给汇聚设备；

汇聚设备接收到加密的DICOM协议后，汇聚设备利用自己的私钥B对加密的DICOM协议进行解密，使DICOM协议加密传输。

需要说明的是，采用RSA加密算法进行加密处理，使用公钥加密后只能使用私钥进行解密，反过来，私钥进行加密之后也只能用公钥进行解密，私钥严格保密，公钥任意分发，黑客获取公钥无法破解密文，通过非侵入方式，对传输的基于DICOM协议的影像数据信息进行加密，防止数据在传输过程中被窃取，利用加密传输，无需对终端和服务器软件侵入，通过非侵入方式，无需软件改动，即可做到对传输数据加密，对网络透明，终端和服务器对边缘设备和汇聚设备无感知，其中加密可选，支持国密算法，支持一次一密，可减少经济损失，保障患者的健康安全。

其中公钥是与私钥算法一起使用的密钥对的非秘密一半，公钥通常用于加密会话密钥、验证数字签名，或加密可以用相应的私钥解密的数据，公钥和私钥是通过一种算法得到的一个密钥对，其中的一个向外界公开，称为公钥；另个自己保留，称为私钥，通过这种算法得到的密钥对能保证在世界范围内是唯一的，使用这个密钥对的时候，如果用其中一个密钥加密一段数据，必须用另一个密钥解密，如用公钥加密数据就必须用私钥解密，如果用私钥加密也必须用公钥解密，否则解密将不会成功，私钥严格保密，公钥任意分发，黑客获取公钥无法破解密文，可充分保障DICOM协议传输的安全性。

综上所述，本发明的基于DICOM协议的非侵入式加密传输方法，边缘设备接受到来自于终端传输的DICOM协议请求，边缘设备和汇聚设备自定义算法，边缘设备和汇聚设备生成公私密钥对，边缘设备采用公钥加密，并将加密后的DICOM协议传送给汇聚设备，汇聚设备采用私钥解密，并将解密后的DICOM协议传送给服务器，其中边缘设备用于加密来自于终端的DICOM协议，并传输给汇聚设备，边缘设备还用于解密来自于汇聚设备的DICOM协议，并传输给终端，汇聚设备用于解密来自于边缘设备的DICOM协议，并传输给服务器，汇聚设备还用于加密来自于服务器的DICOM协议，并传输给边缘设备，通过非侵入方式，对传输的基于DICOM协议的影像数据信息进行加密，防止数据在传输过程中被窃取，利用加密传输，无需对终端和服务器软件侵入，通过非侵入方式，无需软件改动，即可做到对传输数据加密，对网络透明，终端和服务器对边缘设备和汇聚设备无感知，其中加密可选，支持国密算法，支持一次一密，可减少经济损失，保障患者的健康安全。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，根据本发明的技术方案及其发明构思加以等同替换或改变，都应涵盖在本发明的保护范围之内。