具体实施方式

为了使本申请实施例的目的、技术方案和优点更加清楚，下面将结合附图，对本申请实施例中的技术方案进行描述。

在本申请实施例的描述中，“示例性的”、“例如”或者“举例来说”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”、“例如”或者“举例来说”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”、“例如”或者“举例来说”等词旨在以具体方式呈现相关概念。

在本申请实施例的描述中，术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，单独存在B，同时存在A和B这三种情况。另外，除非另有说明，术语“多个”的含义是指两个或两个以上。例如，多个系统是指两个或两个以上的系统，多个屏幕终端是指两个或两个以上的屏幕终端。

此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。术语“包括”、“包含”、“具有”及它们的变形都意味着“包括但不限于”，除非是以其他方式另外特别强调。

为了增强医疗数据的安全性，避免医疗数据被泄露或非法盗取，相关技术中的一种方法是使用数据加密的手段，对医疗数据进行加密之后，将其发送出去，接收方在收到医疗数据的密文之后，需要对密文进行解密之后才能获得医疗数据，共享过程较为繁琐，而且加密数据的密钥有被泄露的风险。相关技术中的另一种方法是，使用物理手段隔离数据，即采用物理方法将内网与外网隔离，从而避免入侵或信息泄露。这种方法需要内网的设备接入公共网络时切换到外网计算机，医疗数据在内网计算机和外网计算机之间的复制拷贝，直接增加了医疗数据遭到非法窃取和泄露的风险。而且物理隔离的手段也增加的数据防护的成本。

图1是本申请实施例提供的一种医疗数据分享场景的结构示意图。如图1所示，该场景包括：医疗数据网络100、普通网络200和医疗数据服务器300，医疗数据网络100、普通网络200和医疗数据服务器300可以通过各自的路由器（路由器1、路由器2和路由器3）连接公共网络，以通过公共网络共享医疗数据。需要说明的是，本申请的连接可以是电连接和通信连接。

医疗数据网络100中包括：至少一个医疗数据处理设备（如图1中的设备1和设备2）、以及与每个医疗数据处理设备连接的中间设备（如图1中连接设备1的中间设备1和连接设备2的中间设备2），其中，中间设备通过局域网络连接路由器1。普通网络200中包括：至少一个医疗数据处理设备（如图1中的设备2和设备3）、以及与每个医疗数据处理设备连接的中间设备（如图1中连接设备3的中间设备3和连接设备4的中间设备4），其中，中间设备连接路由器2。

需要说明的是，在本申请的后文中描述的医疗数据处理设备和中间设备，可以是医疗数据网络100和普通网络200的任意一个设备和装置。

本申请实施例中，医疗数据处理设备用于向用户提供生成医疗数据的平台，例如，医疗数据处理设备中可以安装用于生成医疗数据的应用程序，这样，用户可以使用应用程序中生成医疗数据。用户还可以在有共享需求的情况下，将其在医疗数据处理设备中生成医疗数据，或者保存在医疗数据处理设备中医疗数据，通过公共网络发送给其他设备（包括普通网络200中的医疗数据处理设备和医疗数据服务器300），或者从其他设备处获得医疗数据。可选地，医疗数据处理设备可以是电脑、笔记本电脑、平板电脑和手机等的终端设备。可选地，用户可以通过在应用程序中创建医疗数据、或者对已有的医疗数据进行修改，以生成医疗数据，此外，用户还可以在应用程序中进行数据删除操作。

本申请实施例中，中间设备用于在用户有数据共享需求的情况下，按照设定的网络安全策略对来自发送方的医疗数据进行甄别，判断是否可以将该医疗数据转发给接收方，以确保医疗数据不被泄露和非法窃取。

本申请实施例中，为确保医疗数据处理设备中的医疗数据不被非法窃取和泄露，医疗数据处理设备中内置上述应用程序的安全工作环境，使所述应用程序只能在所述安全工作环境中启动和运行。可选地，安全工作环境可以是设备中的一个程序。

图2是本申请实施例提供的一种用于医疗数据共享的方法的流程图。该方法由上述医疗数据处理设备的安全工作环境和中间设备相互配合实现。如图2所示，该方法包括如下的步骤S201-步骤S204。

在步骤S201中，安全工作环境启动用于生成医疗数据的应用程序。

本实施例中，用户可以在医疗数据处理设备中触发启动应用程序的启动操作，医疗数据处理设备的安全工作环境检测到该启动操作时，判断该启动操作是否发生在安全工作环境中，当确认启动操作发生在安全工作环境中时，安全工作环境启动该应用程序。否则，医疗数据处理设备在内核层终止该启动操作。

在一个示例中，医疗数据处理设备的安全工作环境可以获取启动操作的环境信息，并将该环境信息与安全工作环境的环境信息进行对比，确定启动操作是否发生在安全工作环境中。

在一个示例中，用户可以在应用程序启动之后，使用自己的账号和密码登录该应用程序。应用程序可以通过检测用户的账号和密码，确定用户是否可以登录应用程序。在一个示例中，用户登录应用程序之后，可以将医疗数据导入应用程序，或者使用应用程序中的数据模板创建医疗数据。

在一个示例中，当用户使用应用程序生成医疗数据之后，安全工作环境可以将医疗数据重定向到其指定的工作目录下保存。可选地，安全工作环境可使用进程钩子（HOOK程序）对应用层的应用程序接口（application programming interface ，API）和底层驱动进行重定向，使得医疗数据保存在指定的工作目录下，提高数据安全性。

在步骤S202中，安全工作环境在确定从应用程序生成的第一数据中提取到预设数据特征时，对第一数据进行预设处理，获得第二数据。

本实施例中，当用户需要将应用程序生成的医疗数据中的第一数据通过公共网络共享给其他设备时，例如，将第一数据发送给其他用户，或者上传到服务器300中保存，安全工作环境可以获取该第一数据进行特征提取，获得第一数据对应的数据特征。安全工作环境在获得数据特征之后，将其与预设数据特征进行对比，确定是否从第一数据中提取到预设数据特征。当安全工作环境确定从第一数据中提取到预设数据特征时，使用预设处理处理第一数据，将其转换为第二数据。其中，预设处理是安全工作环境内置的处理，目的是将第一数据处理为预设的数据格式，处理后即为第二数据。

在一个示例中，用户需要分享数据时，可以向安全工作环境发送第一指示。该第一指示可以包括用户想发送的第一数据的第一信息，还可以包括接收第一数据的第二信息。其中，第一信息可以包括第一数据的编号，或者第一数据的其他标识信息；第二信息可以包括接收方的编号或者互联网协议地址（internet protocol address，IP地址），或者接收第一数据的接收方的其他标识信息。

在一个示例中，安全工作环境可以利用分词算法处理第一数据，获得第一数据的特征词汇，然后将特征词汇输入到特征提取模型，根据特征提取模型的输出确定第一数据的数据特征。可选地，特征提取模型可以根据预先获得训练样本训练获得，具体训练过程将在后文中描述，此处不再赘述。预设数据特征可以是第一数据的科室编号、或者数据类型、或者患者疾病名称等等。在实际应用中，预设数据特征可以根据医疗数据进行具体地配置。

在一个示例中，安全工作环境可以对第一数据进行预设处理，将第一数据转换为第一数据格式。例如，安全工作环境可以对第一数据进行封装处理（预设处理），将其封装为统一内容标签（Uniform Content Locator，UCL）格式。其中UCL格式是一种在统一资源定位器（Uniform Resource Locator，URL）基础上发展而来的多维度全方位描述信息资源的标准化矢量特征的内容元数据。基于UCL标准的数据单元，能够全方位描述临床内容的语用信息、语义信息和管理信息，兼顾数据的使用者、所有者和数管理者。在一个示例中，安全工作环境还可以根据医疗数据的数据特征，在多个第一数据格式中选择第一数据对应的第一数据格式，然后再进行转换处理。需要说明的是，UCL格式是临床医疗数据格式，可以包括：患者信息，语义信息和管理信息。患者信息可以包括：患者姓名、年龄、性别、职业、医保、患者主索引（enterprise master patient index，EMPI）、就诊时间、医疗机构标识等，其中，EMPI可以是患者基本信息检索目录；语义信息可以包括：医生治疗行为、门诊/急诊就诊信息、医学影像、收费明细、病历、门诊处方明细等；管理信息面向的是数据管理和监督方，包括出处、安全、签名、版权等，支持可信度认证和溯源。

在一个示例中，用户的身份信息可以是用户登录应用程序的身份证明（identification，ID）。当用户需要共享医疗数据时，安全工作环境可以获取当前登录应用程序的用户的ID，作为用户的身份信息。在其他示例中，身份信息还可以是用户的职业和职位等等。

在一个示例中，当安全工作环境未从第一数据中提取到预设数据特征时，安全工作环境可以向管理方发出告警，并向管理方申请是否发送该第一数据。当申请结果为通过时，安全工作环境发送该第一数据，申请不通过时，不发送。

在步骤S203中，安全工作环境将第二数据发送给中间设备。

本实施例中，当医疗数据处理设备和中间设备采用电连接时，安全工作环境可以通过医疗数据处理设备的数据传输接口发送第二数据给中间设备，相应的，中间设备通过其数据传输接口接收第二数据。当医疗数据处理设备和中间设备采用通信连接时，安全工作环境可以通过医疗数据处理设备的通信模块以预设的通信协议传输第二数据给中间设备，相应的，中间设备通过其通信模块接收第二数据。

在步骤S204中，中间设备转发第二数据。

本实施例中，中间设备在获得第二数据时，可以判断第二数据是否符合设定的网络安全策略，从而确定是否可以转发第二数据。

在一个示例中，网络安全策略可以是第二数据符合预设数据格式时，接收用户的数据共享请求，并转发第二数据，不符合时，拒绝用户的数据共享请求，不转发第二数据。其中，拒绝用户的数据共享请求时，中间设备还可以向安全工作环境发送拒绝信息，医疗数据处理设备接收到该信息时，通过显示界面反馈给用户。

在一个示例中，中间设备在转发第二数据之前，还可以从安全工作环境中获取登录应用程序的用户的身份信息，将用户的身份信息与预设的身份信息集合进行比对，当预设的身份信息集合包含用户的身份信息时，转发第二数据，否则不转发。

需要说明的是，第二数据的接收方可以预先在中间设备中设置，也可以由中间设备从安全工作环境获取用户指示的接收方。具体地，接收方可以用一个设备或服务器的IP地址进行指示，也就是说，中间设备设置接收方的IP地址，或安全工作环境告知中间设备接收方的IP地址，中间设备即可根据IP地址发送医疗数据。

图2是本申请实施例提供的一种训练特征提取模型的方法流程图。该方法可以由医疗数据处理设备执行，如图3所示，该方法包括如下的步骤S301和步骤S302。

在步骤S301中，获取训练样本。

本实施例中，训练样本包括特征词汇样本及其对应的数据特征标签。医疗数据处理设备可以利用分词算法对医疗数据样本进行分词处理，获得每个医疗数据样本的特征词汇样本，其中，医疗数据样本可以由用户上传到医疗数据处理设备中。然后，用户基于数据特征标签集合对特征词汇样本标注，获得特征词汇样本对应的数据特征标签，并反馈给医疗数据处理设备。

在一个示例中，特征词汇样本可以是症状、疾病、体格检查、体征、化验检查、影像检查、病理检查等板块的医学术语。

在步骤S302中，使用训练样本训练特征提取模型。

本实施例中，医疗数据处理设备可以将训练样本中的特征词汇样本输入预先搭建的特征提取模型，然后根据特征提取模型的输出和特征词汇样本对应的数据特征标签进行误差计算，并调整特征提取模型的参数，直至误差满足预设要求时，结束特征提取模型的训练过程。可选地，特征提取模型的架构可以采用卷积神经网络、BP神经网络和深度神经网络等神经网络中的任意一种。

在一个示例中，医疗数据处理设备还可以使用非医疗数据样本的特征词汇样本及其标签，对特征提取模型进行反向训练，避免特征提取模型从非医疗数据中提取到数据特征，非医疗数据可以是医学科普文章。

基于上述图2所示的方法实施例，本申请实施例还提供一种用于医疗数据共享的方法， 该方法由医疗数据处理设备中的安全工作环境执行。如图4所示，该方法包括如下的步骤S401-步骤S403。

在步骤S401中，启动用于生成医疗数据的应用程序。

在步骤S402中，在确定从所述应用程序生成的第一数据中提取到预设数据特征时，对所述第一数据进行预设处理，获得第二数据。

在步骤S403中，将所述第二数据发送给中间设备。

本实施例中，步骤S401-步骤S403的具体介绍可以参见前述图2所示方法实施例中步骤S201-步骤S203中的描述，此处不再赘述。

基于上述图4所示的方法实施例，本申请实施例还提供一种用于医疗数据共享的装置。该装置应用于医疗数据处理设备，用于实现图4所述的方法步骤。如图5所示，装置包括：启动模块501、获取模块502和发送模块503。可以理解的，图5所示的结构划分仅仅是本申请实施例对装置一种划分示例，并不构成对装置的限定，在其他实施例中，装置还可以被划分为其他的功能模块。

在一个示例中，启动模块501用于启动用于生成医疗数据的应用程序；获取模块502用于获取所述医疗数据对应的特征信息；发送模块503将所述医疗数据和所述特征信息发送给中间设备。其中，三个模块的具体执行过程同样可以前述图2所示方法实施例中步骤S201-步骤S203中的描述，此处不再赘述。

基于上述图2所示的方法实施例，本申请实施例还提供一种中间设备，该中间设备用于执行前述图2中步骤S204，实现医疗数据的安全转发。

基于上述图2所示的方法实施例，本申请实施例还提供一种用于医疗数据共享的系统，该系统包括医疗数据处理设备和中间设备。医疗数据处理设备和中间设备的具体执行的步骤详见发明内容和前述方法实施例中的描述，此处不再赘述。

基于上述图2和图4所示的方法实施例，本申请实施例还提供一种医疗数据处理设备。如图6所述，该医疗数据处理设备包括处理器610、存储器620、接口630和总线640。

其中，存储器620可以是只读存储器（read only memory，ROM）、随机存取存储器（random access memory ，RAM）、硬盘和快闪存储器中一个或其任意组合。存储器620可以存储程序，当存储器620中存储的程序被处理器610执行时，处理器610用于执行图2或图4所示的方法。存储器620还可以用于特征提取模型以及训练样本，还可以存储医疗数据。

处理器610可以采用中央处理器（central processing unit，CPU），应用专用集成电路（application specific integrated circuit，ASIC），GPU或其任意组合。处理器610可以包括一个或多个芯片。处理器610可以包括AI加速器，例如神经网络处理器（neuralprocessing unit，NPU）。

接口630可以使用例如收发器一类的收发模块，来实现医疗数据处理设备和中间设备之间的数据传输，接口630可以是通信接口，或者其他数据传输接口。

总线640可以包括在医疗数据处理设备各个部件（处理器610、存储器620和接口630）之间传送信息的通路。

可以理解的是，本申请的实施例中的处理器可以是中央处理单元（centralprocessing unit，CPU），还可以是其他通用处理器、数字信号处理器（digital signalprocessor，DSP）、专用集成电路（application specific integrated circuit，ASIC）、现场可编程门阵列（field programmable gate array，FPGA）或者其他可编程逻辑器件、晶体管逻辑器件，硬件部件或者其任意组合。通用处理器可以是微处理器，也可以是任何常规的处理器。

本申请的实施例中的方法步骤可以通过硬件的方式来实现，也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成，软件模块可以被存放于随机存取存储器（random access memory，RAM）、闪存、只读存储器（read-only memory，ROM）、可编程只读存储器（programmable rom，PROM）、可擦除可编程只读存储器（erasable PROM，EPROM）、电可擦除可编程只读存储器（electrically EPROM，EEPROM）、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者通过所述计算机可读存储介质进行传输。所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线（例如同轴电缆、光纤、数字用户线（DSL））或无线（例如红外、无线、微波等）方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质（例如固态硬盘（solid state disk，SSD））等。

可以理解的是，在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分，并不用来限制本申请的实施例的范围。