一种DICOM图像脱敏系统及方法与流程

一种dicom图像脱敏系统及方法
技术领域
1.本发明涉及医疗图像处理技术领域，具体地涉及一种dicom图像脱敏系统及方法。


背景技术：

2.目前，深度学习已经广泛应用于医学图像处理领域，病人检查影像的医学数字成像和通信文件等已成为对某一疾病进行大数据挖掘分析的重要突破点。但是由于这些医学影像文件在未脱敏的情况下包含大量患者个人信息，如病人姓名、病人id、病人住址、身体健康状况等，一旦泄露或者非法使用，就会导致个人信息权益遭受侵害。尤其基于当今网络技术迅猛发展的现状，使用数据“脱敏”技术，从而降低敏感数据泄露的风险，就显得极为迫切。
3.dicom(digital imaging and communications in medicine，医学数字成像和通信)是一个交换和管理医疗影像数据及相关数据的国际标准，可以用于在医用信息系统之间或者医用信息系统与医用设备之间进行通讯。dicom被广泛应用于放射医疗、心血管成像以及放射诊疗诊断设备(例如x射线、ct、核磁共振、超声等)，而这些设备中形成的dicom图像包含了病人的敏感信息。
4.目前对dicom图像进行脱敏的脱敏方法比较单一，需要依靠人工完成，例如通过如下步骤实现：
5.将图像从医疗设备下载到本地计算机，本地计算机通过脱敏软件，读取待处理的医疗影像数据；
6.脱敏软件对所确定的图像内容敏感信息进行格式化替换(数值变换)或由*代替(无效化)的方法脱敏处理并记录存储；
7.人工审核图像是否脱敏完全并剔除未脱敏数据；
8.将脱敏后的图像进行传输。
9.上述现有方法存在以下缺点：
10.1、操作复杂，需要人工操作进行审核及脱敏，时间、人力成本高。
11.2、处理速度慢，工作效率低。
12.3、由于是从医疗设备下载到本地计算机再通过脱敏软件进行处理，在下载传输和软件处理的过程中都存在着敏感数据泄露的风险。
13.4、没有精确的脱敏模型，往往需要抹去患者大部分的标识信息，不仅对医生阅片无帮助，还阻碍了对某一种疾病进行大数据的挖掘分析，极大程度上破坏了数据挖掘的价值，导致可能产生不符合标准、不可读、不可用的数据。


技术实现要素：

14.本发明所要解决的技术问题在于：提出一种dicom图像脱敏系统及方法，通过计算机系统代替人工处理过程，实现在保护患者隐私的同时提高脱敏处理效率，并且防止数据泄漏。
15.依据本发明的技术方案，本发明提供了一种dicom图像脱敏系统，包括交互连接的工作端和设备端；工作端中包括有指令模块和解密模块，设备端中包括有查找模块、脱敏模块、脱敏检查模块和加密传输模块；指令模块用于选择需要的dicom图像，生成相应的指令并发送至设备端；查找模块用于根据指令查找到对应的dicom图像；脱敏模块用于对待脱敏的dicom图像进行解析，获得脱敏模型，并进行脱敏；脱敏检查模块用于判断脱敏后的dicom图像是否脱敏完全；加密传输模块用于对脱敏完全的dicom图像进行可逆的加密处理，并传输给工作端；解密模块用于对加密处理后的dicom图像进行解密处理，获得脱敏完全的dicom图像。
16.进一步地，设备端为若干个，设备端为医疗影像设备，每个医疗影像设备均与工作端通过有线或无线方式连接。
17.本发明还提供一种基于前述的dicom图像脱敏系统的dicom图像脱敏方法，包括如下步骤：
18.步骤一，工作人员在工作端进行操作，通过指令模块选择所需要的dicom图像，工作端生成指令并发送到设备端；
19.步骤二，设备端的查找模块按照指令从设备端内存储的数据中找到相应的dicom图像，并将其复制生成一dicom图像副本供脱敏处理；
20.步骤三，设备端的脱敏模块基于待脱敏的dicom图像副本，根据dicom协议建立脱敏模型，并存储该脱敏模型；
21.步骤四，设备端的脱敏模块根据dicom协议及脱敏模型，对待脱敏的dicom图像副本进行脱敏，得到脱敏后的dicom图像；
22.步骤五，设备端的脱敏检查模块进行脱敏检查，判断脱敏后的dicom图像是否脱敏完全，若未脱敏完全，则返回步骤四再进行脱敏；若脱敏完全，则存储为脱敏完全的dicom图像；
23.步骤六，设备端的加密传输模块对脱敏完全的dicom图像进行可逆的加密，将加密后的数据传输给工作端；
24.步骤七，工作端的解密模块对加密后的数据进行解密，获得脱敏完全的dicom图像。
25.进一步地，脱敏模型为，脱敏模块提取待脱敏的dicom图像副本中dicom协议下涉及病人个人隐私的数据，将这些数据单独建立而成的存储表单。
26.进一步地，涉及病人个人隐私的数据至少包括病人的姓名、性别和年龄。
27.进一步地，步骤四中进行的脱敏为，脱敏模块将涉及病人个人隐私的数据的原始字段替换为字段长度相同的脱敏字段，脱敏字段的替换方式采用数值变换方式或者替换为无意义字段的无效化方式。
28.优选地，步骤四中进行的脱敏为不可逆的过程。
29.进一步地，步骤五中进行的脱敏检查为，脱敏检查模块将脱敏后的字段及字段长度和脱敏前的原始字段及字段长度进行逐一对比；计算：脱敏完成度＝脱敏字段长度的总和
÷
原始字段长度的总和；将计算的脱敏完成度与设定的脱敏完成度阈值相比较，若计算的脱敏完成度小于设定的脱敏完成度阈值，则未脱敏完全；若计算的脱敏完成度大于或等于设定的脱敏完成度阈值，则脱敏完全。
30.优选地，脱敏完成度阈值为95％。
31.优选地，步骤六中加密传输模块采用国际数据加密算法进行加密。
32.与现有技术相比，本发明的有益技术效果如下：
33.1、本发明的图像脱敏系统及方法实现了脱敏过程无人工操作，并且能够通过远程的工作端进行指令，而后直接接收脱敏完全的图像，步骤简单，节约人力及时间成本。
34.2、本发明的图像脱敏系统及方法实现了快速脱敏dicom图像敏感信息以及加密，避免了在传输过程中发生数据泄漏，安全可靠。
35.3、本发明的图像脱敏系统及方法严格按照dicom协议定制精确的脱敏模型，不会出现抹去大量信息的情况，在保护患者隐私信息的同时，最大限度地保留其数据分析价值。
附图说明
36.图1是本发明的图像脱敏系统结构及传输过程简单示意图。
37.图2是本发明的图像脱敏方法的详细流程图。
38.图3是一实施例的脱敏前的dicom图像。
39.图4是图3采用本发明的图像脱敏系统及方法进行脱敏后得到的脱敏完全的dicom图像。
具体实施方式
40.本发明提供一种dicom图像脱敏系统及方法，与现有技术相比的主要改进在于：整体采用计算机处理代替人工，尤其对于审核判断是否脱敏完全的步骤，大大提高了工作效率；将图像脱敏前置到医疗影像设备，并在加密后才进行传输，有效避免了数据泄漏；基于dicom图像建立精确的脱敏模型，保证了脱敏后图像的数据分析价值。
41.请参阅图1，本发明的一种dicom图像脱敏系统，包括交互连接的工作端和设备端。设备端为一个或若干个，设备端为医疗影像设备，每个医疗影像设备均与工作端通过有线或无线方式连接，工作端例如为本地计算机设备。工作端中包括有指令模块1和解密模块2，设备端中包括有查找模块3、脱敏模块4、脱敏检查模块5和加密传输模块6。
42.其中，指令模块1用于选择需要的dicom图像，生成相应的指令并发送至设备端。
43.查找模块3用于根据指令查找到对应的dicom图像。
44.脱敏模块4用于对待脱敏的dicom图像进行解析，获得脱敏模型，并进行脱敏。
45.脱敏检查模块5用于判断脱敏后的dicom图像是否脱敏完全。
46.加密传输模块6用于对脱敏完全的dicom图像进行可逆的加密处理，并传输给工作端。
47.解密模块2用于对加密处理后的dicom图像进行解密处理，获得脱敏完全的dicom图像。
48.本发明的dicom图像脱敏系统用于实施本发明的dicom图像脱敏方法，具体包括如下步骤：
49.步骤一，工作人员在工作端进行操作，通过指令模块(例如在软件操作界面)选择所需要的dicom图像(例如ct设备内某时间范围内的医疗图像)，工作端识别其中关键词(例如“ct设备”和所指定的时间范围)生成指令并通过有线或无线方式发送到相应的设备端，
指示该设备端找到对应具体的图像。
50.步骤二，设备端的查找模块按照指令从设备端内存储的数据中找到相应的dicom图像(例如以指令中时间范围为关键词进行搜索筛选)，保留原始图像不变，将其复制生成一dicom图像副本供脱敏处理。
51.步骤三，设备端的脱敏模块基于待脱敏的dicom图像(为确保原始图像不会受到任何影响，此处优选使用其副本而非原始图像)，根据dicom协议建立脱敏模型，并在设备端中存储该脱敏模型。
52.其中，脱敏模型是指，脱敏模块(利用算法)提取该图像中dicom协议下例如patient tag(病人信息标签)下涉及病人个人隐私的数据(即需要脱敏的字段，例如病人的姓名、性别、年龄)，将这些数据单独建立而成的存储表单，例如为如下表1所示的表单。姓名的字段为“王小红”，统计并记录该字段长度为6；性别的字段为“女”，统计并记录该字段长度为2；年龄的字段为“25”，统计并记录该字段长度为2。
53.表1：
[0054] 原始字段名称原始字段长度姓名王小红6性别女2年龄252
[0055]
步骤四，设备端的脱敏模块根据dicom协议及该脱敏模型，对待脱敏的dicom图像副本进行脱敏，得到脱敏后的dicom图像。
[0056]
其中，脱敏的过程为，脱敏模块将涉及病人个人隐私的数据的原始字段替换为字段长度相同的脱敏字段。脱敏字段的替换方式采用数值变换方式或者替换为无意义字段的无效化方式。例如，采用数值变换将年龄的字段“25”替换为“31”，采用无效化将姓名的字段“王小红”替换为“******”。此脱敏过程优选为不可逆过程，即在存储时直接覆盖脱敏前的数据，从而避免数据泄漏后脱敏字段被破译还原出原始字段的可能。
[0057]
步骤五，设备端的脱敏检查模块审查判断脱敏后的dicom图像是否脱敏完全。由于一些特殊情况(例如步骤四进行脱敏时网络中断，或由于操作人员失误导致在脱敏模块在未完全读取待脱敏的dicom图像副本时就开始进行脱敏)，可能导致未脱敏完全。若未脱敏完全，则返回步骤四再进行脱敏，随后再进行脱敏检查，此过程可能会重复多次，直至脱敏完全。若步骤五判断脱敏完全，则存储为脱敏完全的dicom图像。例如，进行了一次脱敏后的图像数据如下表2所示。
[0058]
表2：
[0059] 脱敏后字段名称脱敏的字段长度姓名****红4性别**2年龄312
[0060]
脱敏检查模块在判断是否脱敏完全时的过程具体为，脱敏检查模块将脱敏后的字段及字段长度和脱敏前的原始字段及字段长度进行逐一对比；计算：脱敏完成度＝脱敏字段长度的总和
÷
原始字段长度的总和。以上表2所示数据为例，应该脱敏共10个字节，但实际只脱敏了8个字节，计算出脱敏完成度为80％，将计算的脱敏完成度与设定的脱敏完成度
阈值相比较，若计算的脱敏完成度小于设定的脱敏完成度阈值，则未脱敏完全；若计算的脱敏完成度大于或等于设定的脱敏完成度阈值，则脱敏完全。脱敏完成度阈值例如根据经验设置为95％。
[0061]
步骤六，脱敏完全后，在传输之前，为了进一步维护数据安全，设备端的加密传输模块对脱敏完全的dicom图像进行可逆的加密，例如利用国际数据加密算法(idea)进行加密。上述这些对dicom图像进行处理的过程均在设备端完成，然后才将加密后的数据通过有线或无线方式传输给工作端。
[0062]
步骤七，工作端接收到加密后的数据，工作端的解密模块立即依据之前加密所用的加密算法对加密后的数据进行解密，获得所需的脱敏完全的dicom图像。
[0063]
具体一实施例请参阅图3、图4所示，图3中涉及病人个人隐私的数据为病人的姓名，进而将该字段全部进行无效化的替换处理，而其余信息及图像均保留了原始状态，从而在保护病人隐私不受侵害的前提下充分保留了其数据分析价值。
[0064]
综上所述，本发明的脱敏系统及方法准确有效，通过工作端进行指令，远程自动控制医疗设备进行操作，且在医疗设备传输dicom图像至工作端设备之前，利用算法建立脱敏模型，进行脱敏以及脱敏检查，并进行加密，然后再进行传输。从而实现了无需人工操作、快速准确、充分地对dicom图像进行数据脱敏操作，对病人隐私进行保护，节约大量人力和时间成本，并且防止了数据泄漏；同时由于严格按照dicom协议定制精确的脱敏模型，不会出现抹去大量信息的情况，最大限度地保留其数据分析价值。