基于區塊鏈的醫療數據安全共享模型與機制

朱詩生，李朝清，黃仁俊，李維駿

(汕頭大學 計算機系，廣東 汕頭 515063)

0 引 言

當前，患者對醫療診治服務要求越來越迫切，醫療機構對醫療數據的分享利用需求不斷提升，其中醫療數據包括個人隱私信息、慢病測量數據、電子病歷及電子健康檔案等。由于歷史的原因，造成目前各個醫院機構HIS系統相互獨立、協同程度低、信息孤立等，在E-Health病歷中的許多問題包括數據完整性與隱私性以及高度可靠的審計跟蹤等面臨挑戰[1]。患者對于個人醫療數據的掌控程度低，醫院機構的協同診治速度相對緩慢，無疑需要改進傳統的醫療診治以及數據分享模式。

區塊鏈技術因比特幣而進入人們的視線，是近年來研究的熱點[2]。隨著區塊鏈技術的不斷突破和普及，區塊鏈技術在醫療領域將會具有極大的發展機遇，有望在互聯網+醫療生態的構建上發揮重要作用[3]。截止到2018年，全球醫療機制在不斷創新和改變。例如：澳大利亞的Brontech公司使用區塊鏈技術搭建的Cyph MD服務平臺[4]，利用非對稱加密技術與分級證書系統的結合，建立醫療人員的數碼身份，以確保他們之間的信息溝通隱私受到保護，提高醫療保健系統的可信度和安全性；Saravanan Raju等人[5]研究區塊鏈管理教育和健康，使可連續跟蹤個人健康和教育。2017年，中國第一次將醫療與區塊鏈結合使常州市醫療體系有了創新的應用。

醫療+區塊鏈的方式為患者的醫療診治服務提供了一種全新的保障，目前國內外學者提出的方案值得借鑒。例如：黃永剛[6]利用區塊鏈技術討論了醫療在隱私保護方面的應用，為電子健康檔案建設提供新的研究思路。薛騰飛等人提出基于區塊鏈的醫療數據共享模型[7]，通過改進共識機制實現了醫療數據安全、快捷的共享。梅穎提出一個醫療記錄安全存儲方案[8]，利用區塊鏈和云存儲技術有效實現了醫療數據的安全訪問與存儲。Yue Xiao等人提出的基于區塊鏈的HGD體系結構[9]，使患者安全控制共享醫療數據。Tian Haibo等人[10]針對醫療數據的隱私性，提出在診斷和治療過程開始之前，建立一個可以由合法方重建的共享密鑰。Han Huirui等人[11]提出將聯盟鏈與私有鏈結合的混合性區塊鏈，從而提高醫療數據存儲安全性。Li Hongyu等人[12]利用以太坊平臺構建醫療數據安全存儲系統。Ji Yaxian等人[13]提出基于區塊鏈的隱私保護位置共享方案，能夠保證位置共享的安全性。Fan Kai等人[14]建立了基于區塊鏈的信息管理系統Medblock，能對電子病歷有效的安全管理共享。Ahmet EKN等人[15]評估了區塊鏈技術在醫療保健應用上的選擇和部署，為區塊鏈提供新的技術研究。Md Zakirul Alam Bhuiya等人[16]提出一種私有區塊鏈解決方案，該方案管理健康數據更安全以及跨機構共享數據。Hoang Giang Do等人提出一種利用區塊鏈技術來提供具有關鍵字搜索服務的安全分布式數據存儲的系統[17]。Gabor Magyar設計了一個集成的健康信息模型[18]，該模型基于區塊鏈操作環境建立一個分散的、可公開擴展的網絡，使得訪問數據更具保障。Liang Xueping等人提出一種創新的以用戶為中心的健康數據共享解決方案[19]，利用區塊鏈機制保護隱私，加強身份管理，并結合移動應用程序采集數據。Min Gyu Kim[20]等提出了基于區塊鏈的醫療問卷管理系統，可使患者自行管理數據，保障問卷結果數據的完整性。Tang Huanrong等人[21]根據醫療圖像資源保護設計了基于區塊鏈智能合約與信用評分的醫療圖像安全共享方法，保證了智能共享醫療影像數據,其關注主要是圖像資源的保存共享。為改善傳統醫療模式，筆者團隊研究開發了協同診治分享平臺[22]，以便構建共享的醫療數據模式。通過患者的有效授權，合理分配、控制各個層級人員的數據分享訪問，從而降低醫療成本、減少醫療數據資源浪費，提升診治效率。可是開發的平臺只有傳統意義的權限管理，對醫療數據的分享安全控制以及共享的速度并未從根本上加以改變，對于患者身份隱私、醫療數據交易隱私[23]以及隨時追溯等問題也未解決，需要對平臺進行改造。針對以上問題，該文通過對以太坊、協同診治平臺以及加密算法的分析與研究，提出基于區塊鏈的協同診治平臺醫療數據安全訪問共享模型與機制。通過患者授權允許訪問，授權信息需要在以太坊私鏈構建區塊鏈服務中驗證，共享交易記錄永久保存。該區塊鏈服務建立于協同診治平臺實現數據協同化，醫療數據去中心化不需第三方監管、數據不可篡改、匿名的協同化處理與安全傳輸，從而形成了一個完整的模型架構。方案使患者對于個人E-Health信息擁有高度的所有權與支配權，嘗試解決長期存在的醫療數據安全訪問程度低、分享缺乏有效保障的問題。

1 協同診治平臺的醫療數據安全訪問共享模型框架

通過研究慢病患者等不同類型患者傳統診治案例，模擬與剖析醫生就診、患者就醫的完整診治流程，歸納出傳統診治體系的效率低等問題，從而提出安全訪問共享模型。該模型以醫院傳統診治流程為依托，利用區塊鏈技術嵌入協同診治平臺，改進醫療數據的訪問、存儲以及共享流程。模型具有EHRP研究理念，滲透去中心化思想，基于B/S的SaaS應用模式。模型框架總體構建如圖1所示。

圖1 模型架構

(1)物理互聯層：醫療信息系統因不同醫院的不同設置，具有不同的醫療數據資源管理模式。該層的設計嘗試通過數據互聯協同策略將各醫院、各衛生站、社區醫療站以及各醫療機構的醫療數據管理系統連接起來，通過互聯連接規避異構醫療數據資源問題。而物理互聯層的互聯效率較高，實時地進行控制。利用互聯網技術實現電子信息存儲，實時同步互聯。而在本研究平臺下，該層設計針對大文件醫療數據的外部存儲，且實時備份不同患者在該醫院的診治信息。

(2)區塊鏈服務層：該層嵌入協同診治平臺的基礎模型中，使用以太坊平臺搭建的服務器；通過Web3J框架接口溝通以太坊，使用Geth客戶端可創建或啟動以太坊節點；以太坊節點之間形成分布式的溝通模式，互連互通構建以太坊私鏈。區塊鏈服務層根據發布的新的醫療數據存儲操作交易，將醫療信息存儲于區塊鏈，同時可通過交易哈希值查找回具體的所需信息，從區塊鏈或協同存儲平臺取回信息。該層存儲部分醫療信息或數據摘要，根據交易授權信息從物理層的醫療信息系統獲取原始醫療數據。

(3)基礎服務層：經授權的醫院等醫療機構，具有存儲共享數據的權利。該層通過物理互聯層與區塊鏈服務層的傳輸，處理授權方的操作實時要求，獲取存儲的原始醫療數據信息進行數據爬取等處理操作，達到協同診治的優良服務要求，以供診治研究需要。針對龐大的數據信息，該層也可根據需求進行相應的數據預處理清洗等處理。

(4)應用服務層：挖掘處理后的醫療數據，經該層的算法分析等處理，可應用于應用層。該層作為上傳下達的中間層，為整個協同診治平臺提供一定的功能支持作用。經此應用服務層，可更好地提取重要的針對性醫療數據信息，做到分類聚類處理，并且維護了平臺的安全功能支持。

(5)應用層：該層將處理后獲取的醫療數據資源經下層服務調用，于網頁端、APP端等客戶端進行展示，其醫療資源可用于疾病診治分析處理、共享診治資源以及查詢具體信息等。該層承接了醫生及患者兩大主體的實時操作要求，需要通過該層驅動協同診治平臺各層之間的服務處理調用。

在整個架構模型中，患者醫療數據的使用須通過患者在應用層對醫療結構或者醫生進行授權才能共享個人醫療數據。數據的訪問、分享、刪除都會由用戶在區塊鏈服務層發起交易，記錄數據操作，為用戶安全訪問、共享做背書。在該平臺下，平臺應用層具有支持上層服務，調用下層服務的功能，提供對外部應用數據進行安全存儲以及安全訪問等服務。

2 醫療數據安全存儲訪問與共享

2.1 醫療數據安全存儲

傳統醫療數據存儲采用中心化的存儲平臺，數據不可防偽，信息也無法溯源，存儲安全系數低。該模型的存儲模式以協同存儲平臺存儲原始醫療數據，區塊鏈服務層處理患者的醫療數據，以達到保護患者隱私的目的，提高數據存儲的安全性。患者的醫療數據變更交易記錄，操作交易記錄等都將以時間戳的區塊形式存儲于區塊鏈服務器層。不僅存儲了患者的原始醫療病歷、E-Health等信息，還對病歷實時的處理進行記錄，為患者隨時提供完備的真實的存儲數據。

整個醫療數據存儲的具體流程如圖2所示。患者在某醫院經醫生診治后，醫生書寫的診治病歷、治病處方等重要診治數據實時地存儲于該醫院的存儲平臺中，對外不公開，臨時的醫療數據會被消除。醫生、醫療機構等可通過患者授權經區塊鏈服務層驗證授權處理訪問，因此部分醫療數據及存儲記錄需存儲于區塊鏈，以供交易處理。由于區塊鏈中區塊的存儲大小限制，模型將經互聯協同策略處理過的大型醫療數據生成數據摘要和小型醫療數據構成大小合格的數據文件。根據數據文件是否公開，非公開文件進行加密，公開文件進行脫敏后加入進區塊的Data位置處。區塊鏈服務器的區塊鏈數據層存儲數據文件，同時存儲時間標識Time、隨機數Number、Hash值以及患者的私鑰加密后的簽名S等，即(Data,Hash,Time,Number,S)。數據層生成的交易經礦工挖礦，解密簽名，驗證交易，在網絡層以P2P的組網技術進行廣播，經全網驗證。其中過程依靠POW共識機制，驗證通過將該塊加入區塊鏈。患者醫療數據通過此存儲流程，使患者醫療存儲可追溯，存儲更加安全。

圖2 醫療數據存儲流程

2.2 醫療數據安全訪問與共享

為改進共享診治模式，根據疾病嚴重程度實現在社區與醫院康復治療間方便互換診治的新格局。緩解看病難與貴，優化醫療資源配置，降低醫療成本，提高醫療效率，隨時隨地將醫療數據達到最大利用程度。模型針對醫生和患者兩類主要交易對象，其中醫生可來自不同的醫院，患者可為慢病患者等不同類型患者。以患者對個人醫療信息掌握所有權與支配權，患者授權醫生進行訪問與共享信息的方式，進行改善。具體的醫療數據訪問共享流程如圖3，步驟如下：

圖3 醫療數據訪問共享流程

(1)患者授權。患者在應用層系統授權給醫生，授權信息逐層調用服務，服務器管理層將數據訪問授權打包成交易上傳到區塊鏈進行存儲，記錄授權操作行為。授權交易單由授權信息Data、患者簽名S等構成，礦工通過簽名對授權交易驗證，合格的交易完成，醫生獲得患者授權。同時，患者制定加密密鑰以及數據調取方式，通過非對稱加密的方式發送給醫生。

(2)醫生取得授權后具有訪問醫療信息的權限，醫生在權限允許范圍之后提交對患者E-health信息、診斷病歷等醫療數據的訪問共享請求。此時，患者對共享訪問交易單進行簽名，交易單主要包括數據摘要Data、醫生等接收方地址、患者公鑰信息PK、患者私鑰簽名S等。交易單經挖礦驗證成功后，上傳到區塊鏈。發布交易成功返回交易哈希值，交易哈希值與醫療數據摘要形成對照表，易于系統查詢區塊鏈上的信息。具體算法流程如下：

算法1:發送交易 Procedure SendRawTransaction

Input:接收方地址；發送方私鑰，公鑰；數據

Output：交易哈希

1 Begin

2 使用發送方公私玥生成橢圓加密算法對象

3 使用橢圓加密算法對象生成用戶憑證

4 新建RawTransaction，參數(Nonce,GasPrice,GasLimit,接收方地址；數據)

5 使用用戶憑證簽名交易

6 發送交易

7 If發送成功

8 返回交易哈希值

9 else

10 返回失敗原因

11 End

(3)響應數據調取。首先，協同平臺確認授權信息，響應信息調取請求，獲取訪問共享交易信息單。根據交易的哈希值可以快速檢索到交易，然后從交易當中獲取上傳的信息。其中由于以太坊沒有自帶篩選交易的API，所以在服務器實現了，發布交易之后，記錄下交易哈希值的功能。算法描述如下：

算法2:獲取交易中附帶的數據Procedure GetTransactionData

Input：交易哈希值

Output：數據

1 Begin

2 使用Admin對象發送請求，根據交易哈希值返回交易對象

3 返回response的transaction對象

4 獲取transaction對象中的Input數據

5 使用Numeric對象轉為上傳時的原始數據

6 End

從協同存儲機構上取回的醫療數據信息，與在平臺上保存為數字摘要，且由算法產生的數字簽名對所取回的醫療數據進行正確性驗證，然后，使用重加密密鑰加密，保存于平臺等待下載或者打包發送給醫生或機構，使用非對稱加密算法分發的對稱加密密鑰解密即可得到目標明文。最后還需把醫生以及機構調取數據的操作記錄生成交易，上傳到區塊鏈中保存。

(4)若數據調取醫療數據信息失效，則是因患者無授權信息或響應訪問共享信息無效。無法進行相應的調取信息，返回錯誤調取原因。其中，針對無響應訪問共享信息，則將調取索引刪除，從而取消被授權者的授權操作。防止無效或非法的操作造成協同平臺的負擔，降低其安全性。

整個數據訪問共享流程中，患者以匿名的方式參加交易，每一筆交易表現為區塊，上傳的每一筆交易表現為具有時間戳的活動記錄，記錄不可篡改。患者可通過平臺應用層授權給醫生使不同醫院的醫生都能共享患者醫療數據，患者也可以隨時收回權限。平臺區塊鏈服務層以以太坊搭建私鏈經礦工挖礦將每個交易新區塊加入，而運行以太坊代碼是一個挖礦的過程。以太坊使用的Level DB數據庫可實現數據層的快速存取，共識層使用PoW共識機制，系統吞吐率及共識效率較高，整個醫療數據的存儲更安全、共享更高效。激勵層、合約層和應用層維護系統運行，不需第三方的介入，激勵更多的用戶節點參與到越來越大的共識網絡中，使患者醫療數據交易操作更可靠。共享的醫療數據不僅可用于患者個體的診斷和治療，也可使所有授權的醫療機構以及醫生工作站可以通過提交請求遠程調閱患者的電子健康檔案(包括用藥情況、檢驗報告等)從而實現醫療資源共享。

3 醫療數據安全性分析

(1)加密機制：醫療數據在傳送過程中，采用對稱加密的方式。以特定的密碼算法將處于明文狀態下的醫療數據信息進行轉換，成為密鑰信息。此時，明文加密成密文發送，生成的密文的暴力破解難度不同，維護傳送過程安全性。協同診治平臺也將根據醫生加密密鑰與患者的解密密鑰進行重加密，醫生等接收方接收到的密文使用密鑰與密文加密算法進行解密，即可恢復成醫療數據等明文信息。醫療數據交易過程，每一筆交易采用非對稱加密算法簽名交易，需驗證交易加入區塊鏈。此過程，主要使用橢圓加密算法生成的公鑰私鑰生成患者憑證，患者私鑰進行簽名加密，礦工采用secp256k1橢圓曲線進行驗證。使交易真實可靠，醫療數據交易流通安全。

(2)記錄可追溯：傳統的數據操作可能會有異類數據的入侵引起交易記錄的變更，然后醫療數據記錄缺失某一時刻的數據操作或者某一個數據操作，患者無法訪問原始的記錄。該方案會保證每個時刻的數據操作不可變更，按照時間戳記錄，區塊間鏈式連接，結合各種方法與算法，保證交易記錄隨時可查詢，從而實現記錄可追溯。

(3)安全權限規劃：在協同診治平臺中，需要通過權限管理機制，患者對給區域內不同的醫療信息提供者授予不同級別的數據可見度和使用權。因為，患者對于個人醫療數據具有高度的支配權，醫療記錄有部分字段是患者的隱私信息，除了這些隱私信息的其他字段才能供公眾進行研究和分析，還有某些字段如計費，只對相應有權限的部門機構開放。安全權限規劃設計如圖4所示。

圖4 患者權限規劃

4 驗證與評估

4.1 模型架構實踐與驗證

該文使用Eclipse開發平臺，利用以太坊運行環境、以太坊測試環境Ethereum wallet以及Restful數據接口，設計以下醫療數據存儲以及訪問實驗進行結果分析與研究，對應用以太坊區塊鏈技術在協同診治平臺的模型架構進行可行性驗證。

(1)實驗醫療數據參數存儲。

設計醫療數據物理存儲表，3組樣例醫療數據存儲交易記錄上傳到區塊鏈保存，如表1。由于以太坊沒有根據用戶優化的查詢API，所以為了快速查找到交易信息，需要對發布的交易做對照記錄，以提高系統的執行效率，因此設計醫療數據與交易映射物理存儲表，實驗3組醫療數據映射表為表2。

表1 樣本醫療數據存儲交易表

表2 醫療數據與交易映射表

(2)醫療數據訪問交易。

實驗存儲的醫療數據信息進行訪問共享，生成訪問交易單，驗證成功的交易單保存到以太坊區塊鏈上。交易信息將會永久保存到以太坊區塊鏈之上，其中樣例的信息是公開的，可以使用對稱加密算法進行加密。使用以太坊response對象對交易進行查詢，返回的交易對象包含交易的詳細信息，實驗查詢效果可使用瀏覽器和Postman進行數據接口的演示。獲取交易信息進行解密，從協同存儲平臺獲取所需信息。查詢到的信息為交易單樣例數據信息，具體實驗交易結果如圖5所示。

圖5 數據交易效果

4.2 模型架構評估

本部分將以列表的形式，從醫療問題解決，是否基于區塊鏈，是否保障醫療數據安全性，共享訪問速度是否提高等方面，與筆者團隊傳統協同診治方案以及其他存儲共享方案，采用對比分析的方法來評估提出的區塊鏈技術在協同診治平臺的醫療數據安全訪問共享模型與機制，以下稱“醫療數據安全訪問共享方案”(medical data safety access share scheme，MDSASS)。發現該方案的創新性與優點，分析出該方案的缺點以及待改善問題，如表3所示。

表3 方案對比

綜合分析總結，所設計的方案具有一定的優勢，并且在對于醫療市場實施方面具有一定的可行性，利用了區塊鏈技術，解決了醫院系統的協同問題，改善了過去醫療數據分享安全系數低的現象，提升了患者了掌控個人醫療數據的權利。

5 結束語

提出的區塊鏈技術在協同診治平臺的醫療數據安全訪問共享的模型與機制，為醫療數據的存儲、訪問以及共享提供了一種全新的模式，解決了醫院系統間獨立不協同化的難題，實現了醫療數據資源的互聯互通，轉變了傳統醫療驅動模式，提高了訪問共享效率。平臺使用對稱加密算法對醫療數據進行加密存儲以及傳輸；使用非對稱加密算法對對稱加密密鑰進行分發，對整個數據訪問共享流程進行有效保護。相比傳統模型，該模型的安全性得以提升，建立起了一個去中心化應用場景。

方案使患者擁有了對個人醫療數據的高度支配權，保證了數據的真實完整，并能完全記錄數據變更過程，使記錄可溯源以及不可篡改，保護患者隱私。然而，該方案還有一些未解決的問題。例如：將區塊鏈技術與大數據、人工智能的結合；減少平臺協同的開銷等，需要隨著區塊鏈技術的不斷發展進行完善。