田凱元

（1.天津大學(xué)，天津 300011；2.天津市職業(yè)病防治院，天津 300011）

我國(guó)是世界上勞動(dòng)人口最多的國(guó)家，勞動(dòng)人口占我國(guó)總?cè)丝诩s60%，龐大的勞動(dòng)人口存在大量的職業(yè)病情，對(duì)于職業(yè)病相關(guān)的數(shù)據(jù)合理采集、保存與利用，對(duì)于確保勞動(dòng)者的身體健康，促進(jìn)我國(guó)經(jīng)濟(jì)穩(wěn)定增長(zhǎng)具有重要意義。

在5G 與物聯(lián)網(wǎng)蓬勃發(fā)展的背景下，醫(yī)療機(jī)構(gòu)借助電子設(shè)備傳輸例如電子病歷等醫(yī)療數(shù)據(jù)。電子病歷通常存儲(chǔ)在私有數(shù)據(jù)庫(kù)中，患者的相關(guān)數(shù)據(jù)分散在各個(gè)醫(yī)院系統(tǒng)中，因此患者無法向醫(yī)生提供詳細(xì)、專業(yè)、細(xì)致的歷史醫(yī)療記錄。而作為醫(yī)院，則希望獲取患者過往的歷史病例，以充分了解病程。但患者的病歷資料中包含了大量不宜公開的個(gè)人隱私信息，因此，設(shè)計(jì)合理的醫(yī)療數(shù)據(jù)共享系統(tǒng)具有重要意義。

基于上述問題，針對(duì)醫(yī)學(xué)信息共享進(jìn)行了進(jìn)一步研究，醫(yī)療數(shù)據(jù)信息平臺(tái)的設(shè)計(jì)必須將患者的隱私保護(hù)放在首位。區(qū)塊鏈由于其具有開放性與可驗(yàn)證性等特征，尤其符合醫(yī)療數(shù)據(jù)共享網(wǎng)絡(luò)的設(shè)計(jì)原則。此外，區(qū)塊鏈的分散性，可以有效避免頻繁的網(wǎng)絡(luò)請(qǐng)求和響應(yīng)所帶來的性能限制。

1 醫(yī)療區(qū)塊鏈構(gòu)建

該數(shù)據(jù)結(jié)構(gòu)的目標(biāo)用戶包括醫(yī)院、患者本身及任何醫(yī)療保健提供者、云服務(wù)或其他指定人員[1]。這些實(shí)體在區(qū)塊鏈上均由不對(duì)稱密鑰對(duì)的公共部分表示[2]，每個(gè)醫(yī)院均有唯一的UID，該UID 在發(fā)布前經(jīng)過散列以防止數(shù)據(jù)泄露[3]。

圖1 區(qū)塊鏈結(jié)構(gòu)

如圖1 所示，每個(gè)區(qū)塊由兩個(gè)主要類別的數(shù)據(jù)元素組成，塊頭元素提供了建立區(qū)塊鏈的順序和完整性所需的重要元數(shù)據(jù)。這些包括諸如先前塊的哈希以及唯一的塊標(biāo)識(shí)符[4]、時(shí)間戳和塊的總大小等數(shù)據(jù)。塊數(shù)據(jù)的另一個(gè)主要類別為交易元素。

1.1 交易處理流程

交易元素的處理方式如下：假設(shè)患者P在醫(yī)院H接受放射線檢查，結(jié)果數(shù)據(jù)為X[5]，并且需要與保健醫(yī)生D共享這些數(shù)據(jù)。數(shù)據(jù)傳輸交易的順序如圖2所示。

圖2 中，定義Ka與分別為參與者a 的公鑰和私鑰[6]，而則表示根據(jù)私鑰產(chǎn)生的消息μ。圖2 流程可分為以下最小步驟集：

圖2 交易順序示例

1）定義源[7]。此步驟通過將公鑰鏈接到統(tǒng)一資源定位符（URL）來建立醫(yī)學(xué)成像數(shù)據(jù)的來源[8]。

2）定義檢查[9]。此步驟設(shè)定具有特定唯一標(biāo)識(shí)符UID 的醫(yī)療數(shù)據(jù)創(chuàng)建者和患者作為放射檢查的所有者，存儲(chǔ)在區(qū)塊鏈中的元組為{KH,{KP,KH,Hash。此雙重簽名的交易可類比為帶有患者和醫(yī)院代表簽名的文件[10]，醫(yī)院將共同簽署患者的數(shù)據(jù)請(qǐng)求，并廣播數(shù)據(jù)傳輸交易以納入?yún)^(qū)塊鏈。

3）允許訪問[11]。此步驟允許放射線檢查的資料所有者授權(quán)另一方從源端點(diǎn)URL 檢索所有者的醫(yī)療數(shù)據(jù)[12]。在圖2 給出的流程中，患者P 簽署了一項(xiàng)對(duì)D 醫(yī)生授權(quán)的交易[13]，區(qū)塊鏈中包含已簽名的元組

患者在親自與醫(yī)生核實(shí)秘鑰后發(fā)布了該數(shù)據(jù)傳輸?shù)恼?qǐng)求交易[14]。在上述方式彼此取消匿名后，患者可以授予適當(dāng)人員的訪問權(quán)限，保健醫(yī)生即可將任何接收到的醫(yī)療數(shù)據(jù)與正確的病歷號(hào)相關(guān)聯(lián)[15]。

1.2 數(shù)據(jù)傳輸

本次的醫(yī)療區(qū)塊鏈上未存儲(chǔ)任何醫(yī)學(xué)數(shù)據(jù)；交易鏈僅代表允許訪問每個(gè)研究的關(guān)鍵所有者的列表。實(shí)際的醫(yī)療數(shù)據(jù)傳輸要求醫(yī)療數(shù)據(jù)接收者，將簽名請(qǐng)求發(fā)送到數(shù)據(jù)源的URL 端點(diǎn)。

醫(yī)療數(shù)據(jù)源公共密鑰和哈希研究UID 包含了請(qǐng)求的必要元素。醫(yī)生在某時(shí)刻發(fā)出了數(shù)據(jù)傳輸請(qǐng)求D，收到此類請(qǐng)求后，醫(yī)療數(shù)據(jù)源會(huì)驗(yàn)證簽名是否正確，檢查UID 是否指定了其自身的公鑰。確認(rèn)散列的UID 對(duì)應(yīng)于其預(yù)先為患者發(fā)布的一項(xiàng)醫(yī)療數(shù)據(jù)，并通過區(qū)塊鏈確認(rèn)患者已授予請(qǐng)求者訪問這些醫(yī)療數(shù)據(jù)的權(quán)限。若滿足所有標(biāo)準(zhǔn)，則源返回包含醫(yī)療數(shù)據(jù)的ITI-43 響應(yīng)。請(qǐng)求和響應(yīng)均通過傳輸層安全鏈路傳輸，以防止竊聽。

1.3 數(shù)據(jù)驗(yàn)證

在醫(yī)學(xué)數(shù)據(jù)分享中，必須考慮塊創(chuàng)建和驗(yàn)證的過程[16]。基于分布式共識(shí)的驗(yàn)證系統(tǒng)優(yōu)勢(shì)在于，可以為參與者分配最小的計(jì)算和能源負(fù)擔(dān)。此屬性對(duì)于醫(yī)療數(shù)據(jù)分享平臺(tái)至關(guān)重要，因?yàn)樵诒敬蔚尼t(yī)療區(qū)塊鏈上未提供內(nèi)在價(jià)值或稀缺性的標(biāo)記，以減少醫(yī)療信息共享的成本。為替代稀缺性驅(qū)動(dòng)方式，文中開發(fā)了阻止塊生產(chǎn)者進(jìn)行惡意或無貢獻(xiàn)行為的激勵(lì)措施，該方法類似于加密貨幣權(quán)益證明系統(tǒng)中的綁定驗(yàn)證器。在該結(jié)構(gòu)中，只有建立保證金的節(jié)點(diǎn)才可以參與鏈擴(kuò)展，且任何行為異常的節(jié)點(diǎn)均被迫放棄運(yùn)算。在此系統(tǒng)中，產(chǎn)生最多的塊并不具備特殊的優(yōu)勢(shì)，但模塊選擇不生成塊時(shí)會(huì)受到懲罰。

2 系統(tǒng)安全性分析

該系統(tǒng)中的信息均有可能涉及到患者的隱私，因此本節(jié)主要論證系統(tǒng)的安全性。只有在用戶滿足訪問協(xié)議時(shí)，服務(wù)器才會(huì)向用戶開放數(shù)據(jù)訪問接口。本次的系統(tǒng)安全性驗(yàn)證前提如下：用戶的私鑰不會(huì)以任何形式泄露，惡意攻擊者無法復(fù)制用戶的私鑰。

醫(yī)療區(qū)塊鏈的加密方法如表1 所示。定義用戶為A，分布式記賬服務(wù)器為B，審核服務(wù)器為S，惡意攻擊者為C，訪問密鑰為K。醫(yī)療信息用戶簽名消息可由表示，用戶使用Ka加密得到消息，C(A)表示惡意攻擊者C 的偽裝攻擊消息。

表1 醫(yī)療數(shù)據(jù)信息的區(qū)塊鏈加密方法

場(chǎng)景1，如式（1）所示。

若不具備身份憑證的非法用戶嘗試訪問分類帳，則無法瀏覽簽名數(shù)據(jù)集合以及加密處理過的摘要信息。

場(chǎng)景2，如式（2）～（4）所示。

在場(chǎng)景2 中，惡意攻擊者截?cái)嗔酸t(yī)療數(shù)據(jù)所有者發(fā)送的消息并執(zhí)行重播攻擊。惡意攻擊者C 成功欺騙了分布式記賬服務(wù)器B，導(dǎo)致B 將C 視為A。惡意攻擊者C 獲取了醫(yī)療區(qū)塊鏈訪問權(quán)限，但攻擊者C 僅獲得一條加密信息。由于缺少用戶的專屬私鑰，難以獲取加密信息的具體內(nèi)容，如式（5）～（8）所示。

即使攻擊者想要向其發(fā)送虛假病人信息，由于缺乏信息，其行為將被判斷為虛假信息分類帳服務(wù)器的身份驗(yàn)證信息。下面分析系統(tǒng)的整體安全性，其總體可以分為兩個(gè)認(rèn)證階段，設(shè)置系統(tǒng)中A 是用戶客戶端，B 是分類帳服務(wù)器，K 為公鑰，m 為簽名消息。

場(chǎng)景3 中認(rèn)證階段工作如式（13）所示。

認(rèn)證服務(wù)器接受階段如式（14）所示。

3 系統(tǒng)結(jié)果展示

3.1 系統(tǒng)安全性測(cè)試

由上文所述的3 種場(chǎng)景可知，該系統(tǒng)可以抵御身份偽裝、重播攻擊、綁定攻擊等，統(tǒng)計(jì)結(jié)果如表2所示。

表2 系統(tǒng)阻擋攻擊統(tǒng)計(jì)

醫(yī)療數(shù)據(jù)信息區(qū)塊鏈?zhǔn)轻t(yī)用數(shù)據(jù)信息共享平臺(tái)的核心與技術(shù)實(shí)施載體，其主要的作用是確保共享平臺(tái)的完整性和可靠性，具有篡改拒止機(jī)制及開放驗(yàn)證機(jī)制，從而保證系統(tǒng)信息的安全。即使惡意攻擊者成功更改系統(tǒng)的部分信息，系統(tǒng)也會(huì)迅速對(duì)其進(jìn)行糾正。

攻擊者可能會(huì)嘗試向驗(yàn)證服務(wù)器提交大量請(qǐng)求，通過引起網(wǎng)絡(luò)擁塞影響服務(wù)器的正常驗(yàn)證工作。該系統(tǒng)的驗(yàn)證服務(wù)器完全依靠數(shù)據(jù)簽名來驗(yàn)證位置客戶端的請(qǐng)求合法性。系統(tǒng)的節(jié)點(diǎn)也可能受到攻擊、崩潰，甚至傷害系統(tǒng)的完整性。共識(shí)機(jī)制和背書者的選舉機(jī)制可以確保系統(tǒng)的穩(wěn)定性，從而確保攻擊不會(huì)造成重大損失，這是保護(hù)患者隱私的一種有效方法。

該系統(tǒng)與其他醫(yī)療數(shù)據(jù)信息平臺(tái)的比較結(jié)果如表3 所示。結(jié)果表明，該方案既可做到數(shù)據(jù)保密，又可實(shí)現(xiàn)安全運(yùn)行。

表3 系統(tǒng)對(duì)比實(shí)驗(yàn)

3.2 系統(tǒng)效率測(cè)試

該系統(tǒng)出于對(duì)數(shù)據(jù)安全性的綜合考慮，雖然產(chǎn)生了更多的數(shù)據(jù)量，但數(shù)據(jù)處理效率卻有顯著提高。該文將系統(tǒng)與一些新的云安全設(shè)計(jì)思路進(jìn)行比較，例如MedRec 和Medshare。隨著訪問次數(shù)的增加，MedRec 使用的時(shí)間更少。結(jié)果表明，該系統(tǒng)的數(shù)據(jù)檢索效率顯著提高，如表4 所示。

當(dāng)用戶數(shù)較少時(shí)，原始的搜索方法還可以迅速找到相關(guān)信息。但隨著用戶數(shù)量的增加，醫(yī)療區(qū)塊鏈相對(duì)于原始方法的優(yōu)勢(shì)變得越來越明顯，系統(tǒng)可以直接指導(dǎo)用戶找到相應(yīng)的區(qū)塊，即使有效信息的比例較小，也不會(huì)限制效率。

表4 服務(wù)器檢索延遲

當(dāng)備份服務(wù)器向平臺(tái)發(fā)送添加新的區(qū)塊申請(qǐng)時(shí)，平臺(tái)會(huì)將上傳方案由實(shí)時(shí)傳輸改為備用傳輸。由于醫(yī)療數(shù)據(jù)信息發(fā)出請(qǐng)求的時(shí)間節(jié)點(diǎn)相對(duì)集中，若傳輸方式為實(shí)時(shí)上傳，則會(huì)對(duì)驗(yàn)證服務(wù)器提出較為苛刻的要求或?qū)е聰?shù)據(jù)擁塞。為避免上述情況的發(fā)生，提高系統(tǒng)的穩(wěn)定性，進(jìn)行了服務(wù)器數(shù)據(jù)流實(shí)驗(yàn)，實(shí)驗(yàn)結(jié)果如表5 所示。

表5 服務(wù)器數(shù)據(jù)流實(shí)驗(yàn)

異步上載數(shù)據(jù)可以減少系統(tǒng)負(fù)載的突然變化，大幅度降低了系統(tǒng)數(shù)據(jù)擁塞的概率。通過實(shí)驗(yàn)驗(yàn)證與分析，該方案可以有效避免驗(yàn)證服務(wù)器的高負(fù)載情況，減少了數(shù)據(jù)擁塞發(fā)生的可能。

與基于CP-ABE 的訪問控制相比，該系統(tǒng)的策略更為合適。原因如下：CP-ABE 方案中的吊銷成本過大而不能被忽略。除了需要執(zhí)行加密操作外，當(dāng)需要添加新補(bǔ)丁時(shí)，還需要更改所有分類帳。該系統(tǒng)的信息處理策略可以避免這些問題的出現(xiàn)。

4 結(jié)束語

該文提出了一種基于區(qū)塊鏈的醫(yī)療信息平臺(tái)的設(shè)計(jì)方案，通過設(shè)計(jì)區(qū)塊鏈訪問控制協(xié)議和區(qū)塊鏈加密技術(shù)，可以保證用戶數(shù)據(jù)中的私密性。區(qū)塊鏈僅包括請(qǐng)求信息，不包括敏感的醫(yī)療信息，可防止醫(yī)療數(shù)據(jù)的泄露。利用區(qū)塊鏈技術(shù)，該方案醫(yī)療區(qū)塊鏈成功解決了大規(guī)模的醫(yī)療數(shù)據(jù)管理與共享問題?；颊呖梢酝ㄟ^本系統(tǒng)訪問存儲(chǔ)在不同醫(yī)院數(shù)據(jù)系統(tǒng)的職業(yè)病相關(guān)醫(yī)療數(shù)據(jù)，不受地域與時(shí)間的限制。經(jīng)過患者授權(quán)的區(qū)塊鏈數(shù)據(jù)可以協(xié)助主治醫(yī)生對(duì)患者的職業(yè)病史進(jìn)行全方位的了解，有效提高了患者與醫(yī)療工作人員之間的溝通效率，具有良好的應(yīng)用前景。