一種基于聯盟區塊鏈的電子醫療記錄安全共享模型

林孟晨，馮 勇，付曉東

(昆明理工大學 云南省計算機應用重點實驗室，昆明 650500)

1 引 言

隨著智慧醫療的發展，醫療領域不斷信息化，醫療數據的增長呈井噴式增長.電子醫療記錄的保存和共享成為醫院及其他醫療機構必經之路.經IDC Digital的調研，截至2020年，我國由醫療服務所產生的費用已達到40萬億GB，是2010年的30倍.而且電子醫療記錄保存的時間久、來源廣泛，這對現有的醫療共享體系帶來不小的挑戰.由于以前每家醫療機構的電子醫療記錄存在信息“孤島化”，都沒有統一的存儲標準，導致現有的海量醫療數據缺乏統一的融合標準和管理平臺；而且，現有的醫療體系中，患者幾乎都不能參與其醫療記錄的管理中，無法實現病人可控的個性化隱私保護；同時，醫療數據作為典型的敏感型隱私數據，在醫療大數據時代會受到形式廣泛的攻擊，這對數字簽名醫療信息的溯源愈加困難[1].

在當前的醫療信息共享方面，大部分機構采用的都是中心式數據存儲和共享技術，通過集成獨立數據源來實現電子醫療記錄的共享[2].但實踐表明，傳統集中式的共享方法不能很好地適應當今復雜的電子醫療環境，而且效率也十分低下.并且，集中式存儲方式容易遭受數據丟失、更改等攻擊，不能保證共享的醫療記錄安全可信.同時，現有的共享系統對醫療信息的隱私訪問控制管理不嚴密，權限劃分不明確，導致無法保障患者醫療記錄共享時的隱私保護.

區塊鏈的去中心化、不可篡改等特性更契合當前分布式安全存儲的趨勢[3].醫療記錄在上傳后無法刪除和更改，確保了共享的醫療記錄的唯一性和準確性.本文提出了一種在聯盟區鏈上基于環簽名的電子醫療記錄共享模型，為當前的醫療系統共享模型提供一種新思路.利用區塊鏈的不可篡改性和環簽名的匿名性打造一個可信、高效、智能的醫療記錄共享平臺，解決了在共享信息的同時保護隱私敏感部分的問題.

目前對基于區塊鏈的隱私保護基本停留在數據存儲階段和共享階段割裂的階段.文獻[9]提出了患者醫療記錄在基于區塊鏈的存儲系統中安全上傳及存儲的可行性.文獻[11]提出了在醫生為患者就診的同時，利用基于區塊鏈的共享系統實現醫療記錄的安全共享模型.不過這些模型均不能同時實現患者醫療記錄的上傳、存儲及數據共享等功能.本文提出的電子醫療記錄的隱私安全共享模型，不僅可以實現以上功能，還可以讓患者作為記錄管理主體，自行決定是否上傳及共享本人的醫療記錄.本模型加入了環簽名技術，在透明公開的區塊鏈環境增強用戶共享電子醫療記錄的安全系數，而且通過實驗分析可得，環簽名的加入也不會大幅度降低區塊鏈的執行效率.

上述說明本模型可以融合電子醫療記錄的安全存儲及共享功能，還能夠在增加共享安全系數的同時保持與傳統區塊鏈相當的執行水平，保證了醫療記錄共享的安全性及時效性.

2 相關工作

2.1 環簽名技術

環簽名(Ring Signature)是一種數字簽名方案，最初由Rivest等人提出，環簽名是一種簡化的群簽名，其中只有環成員沒有群管理者，而且不需要環成員間的合作，用公鑰集代替特定的公鑰進行有效性驗證[4-6].環簽名的實質為n個公鑰中隱藏自己擁有私鑰的那個公鑰，具體應用在于區塊鏈上隱藏交易發送人的地址或者公鑰.在如圖1的環簽名實現機制中，簽名由一定的規則組成一個環，簽名者可以用其他環用戶的公鑰和自己的私鑰進行簽名，不用征得其他環成員的同意，然后驗證者通過特定的驗證方式來檢查簽名，驗證者是知道該簽名來自這個環，但不確定來自哪個簽名者，確保了區塊鏈中只有該私鑰持有者即簽名者有資格查看數據的安全性[7].

圖1 環簽名實現機制

區塊鏈作為透明的公共記錄賬本，為醫療區塊鏈的隱私數據共享提供了新思路.本模型采用環簽名的交易簽名方案保證用戶的無條件匿名，從而保護了用戶的隱私.

2.2 醫療區塊鏈

利用區塊鏈技術進行保存EMR，病人本人就是醫療數據的真正掌控者，而不是被某家醫院或其他機構所占有.對于普通居民而言，從出生開始就可以為本人做好健康信息數字化檔案，將來無論遷居到哪里，都可以通過區塊鏈跨院就診.區塊鏈技術能夠實現一種全新的數據管理和信息組織、傳播形態.每個人都能夠自主掌握本人的健康信息，這不僅有助于保護病人隱私，也增強病人使用醫療數據的自主性，實現居民醫療信息的共享和醫療的去中心化[8].

隨著移動互聯網和云計算的發展，基于云平臺建設的區域性電子健康平臺可以將信息共享范圍進一步擴大，減少了居民在不同部門間來回驗證所耗費的時間和精力.

區塊鏈技術將基層醫療機構、健康體檢、傳染病防疫、醫院診療、醫保支付結算等多個系統數據匯總串聯起來，以居民電子健康檔案建設為基礎，延伸其它系統的數據鏈接，進一步擴充居民健康檔案內容信息.通過基于區塊鏈加密合約機制，可以延伸多個相關單位和部門的節點數據端口，鏈接醫院內外部數據.患者健康檔案通過分散式記賬原理，可以由多家機構或醫院保存記錄，經過患者本人授權后方可瀏覽和使用，其訪問權限可以通過公共密鑰和私人密鑰分級分層管理[9-11].

此外，在醫藥產品和醫療器械追溯管理方面，所有的醫藥和器械從生產廠家到消費終端，都可以全流程監管，比如可以監管某個大型醫療設備或耗材從申購、審批、招標、審計、采購、驗收、領用、固定資產登記入庫、使用及維護、報廢等全過程情況，甚至包括消費者使用器材或服用某種藥物的效果，也可以通過區塊鏈終生監管服務.這些數據的獲得完全是憑借去中心化的高效率、低成本的區塊鏈平臺.

醫療區塊鏈主要由兩部分構成：區塊(Block)和交易單(Transaction)，其結構如圖2所示.一條區塊鏈由一個個記錄著前一個區塊ID的區塊組成，而每個區塊又包含了若干個交易單，這些交易單是實際存儲醫療區塊鏈數據即電子醫療記錄的載體[12].數字簽名存儲在區塊鏈的區塊中，如果本模型中的環簽名驗證正確且準確對應某個區塊的簽名，即該區塊中的交易單就是索要共享的電子醫療記錄.

圖2 區塊鏈結構

3 基于聯盟區塊鏈的EMR隱私保護模型

圖3所示的是EMR系統的時序圖，目前基于區塊鏈的EMR隱私保護的數據共享分為3層架構：EMR上傳層，EMR存儲層，EMR共享層[12].該模型中，電子醫療記錄的流動方向及順序在圖中由序號標出.

公有鏈數據處理速度和吞吐量都很低，而且運行過于依賴代幣[13]，這將導致參與者交易成本的增加.私有鏈過于依賴可信中心并且數據容錯性低.之所以選擇使用聯盟區塊鏈保存EMR數據的索引，是因為聯盟區塊鏈結合了公有鏈和私有鏈的優勢.聯盟鏈數具有寫入吞吐量高，提供具有隱私保護的數據共享和支持共識協議擴展等優勢[14].因為EMR的來源廣泛，動態性強以及分布式管理的特點，利用基于區塊鏈的訪問控制機制來管理用戶權限，查詢者的訪問控制信息作為唯一的身份標識.

3.1 基于身份的加密和簽名過程

本文設定讓患者自己上傳自己的EMR記錄至存儲層.第1個原因是患者EMR的擁有者和管理者，有權利選擇是否上傳及共享自己的EMR記錄；第2個原因是，醫生在生成EMR記錄時，其所在的醫療機構已經存在相關EMR記錄，對于該醫療機構而言無需再進行其他上傳操作，此時可以利用基于身份的機密協議實現該過程.

為實現EMR上傳層中醫生和患者之間的基于身份的加密和簽名算法，還需要一個額外的公鑰加密方案，這個公鑰加密方案具有兩個特性：

1)當隨機數K已知，對于不可忽略的一部分公鑰，可以很容易的計算出私鑰.

2)有隨機數K產生的一些確定的公鑰對來計算出隨機數K這個問題是困難的然而，RSA公鑰加密方案不能以某種方式被應用，因為其不可以同時滿足以下的兩個條件：

1)如果模數n是用戶身份的偽隨機函數，密鑰生成中心不能將這個n值作為因素計入也不能通過加密指數e來將解密指數d計算出來.

2)如果模數n是普遍函數，并且其種子是來源于它的秘密因子分解，那么任何一個知曉加密指數e以及其相應解密指數d的人都可以通過計算得到這個隨機種子.

目前僅僅對于基于身份的簽名方案已經有了具體的實現提案.本文中我們又提出了基于身份的加密方案應該，該方案可以避免因傳輸公鑰而導致制隱私泄露的問題.這個簽名方案是基于以下的驗證條件：

Se=i*tf(t，m)(modn)

(1)

其中m位傳送的信息，s、t是簽名，i是用戶的身份特征，n是兩個大素數的產物，e是與ψ(n)互質的大素數，f是一個單向函數.參數n，e還有函數f是由密鑰生成中心來進行選擇，并且所有的用戶在他們的智能卡里都存有相同的n，e以及對于函數f的算法描述.但是關于n的因子分解方式僅能有密鑰生成中心知曉.對于用戶之間唯一不同的區別就是i的值以及對應i的密鑰g不同.g的值由以下共識唯一確定：

ge=i(modn)

(2)

這個g能夠密鑰生成中心很容易的計算出來，并且如果RSA方案是安全的，那么沒有人可以做到對于n的指數型分解.

每一個信息m都會有大量可能的(s，t)簽名但是他們的密度非常低以至于隨機的查找幾乎是不可能找到其中任何一個的.任何一個設定(s，t)其中一個隨機的值，然后求解另外一個參數的嘗試都會要求指數根的一個分解，但這在計算上普遍被認為上是困難的.然而當g是已知的，即使n的因子分解方式未知對于任何一個消息m產生任何一個簽名都存在著一個簡單的方案.

為了對消息m進行簽名，用戶選擇一個隨機數字r并且計算:

t=re(modn)

(3)

那么簽證方案將會被重寫為:

Se=ge*ref(t，.)(modn)

(4)

由于e與ψ(n)互質，那么可以在指數上消除相同的因素e：

s=g*rf(t，m)(modn)

(5)

計算出來的s用作基于身份的簽名，此時的身份簽名可以用作在共享環節中環簽名的私鑰.如果計算出來的環簽名與簽名者對應的私鑰所對應的簽名相等，則說明查詢者身份合法且真實，可以進行EMR的共享.

3.2 RTN和ATN的選擇

在EMR存儲層中，要從聯盟區塊鏈的礦池中進行投票選舉.排在前30名的作為RTN，在共享層中充當完整節點進行挖礦操作；排在之后的20個節點作為ATN，用來審計RTN中是否存在不誠實節點.

在聯盟區塊鏈中采用DPOS共識機制，區塊是由被社區選舉出來的可信賬戶來創建的，可信賬戶是得票數排行在前101位的受托人[15].DPOS機制類似于股份制公司，普通股民進不了董事會，投票選舉代表即受托人代他們做決策.這101個受托人可理解為101個礦池，這101個礦池的權利是完全相等的.這些代表礦池如果利用權利惡意修改數據，會被選民立刻踢出整個系統，而后備代表可以隨時頂上去.

本文使用安全電子選舉中帶有兩個中央機構的投票協議.這個協議中一個是中央合法機構(Central Legal Authority，CLA)來證明投票者，另一個是單獨的中央制表機構(Central Tabulating Facility，CTF)來計票.在存儲層中，該協議可以保證101個代表節點可以在互不干擾的情況下進行投票，要求得到一個有效數字，且沒人只有一次有效投票的機會.CTF還會保留一張有效數字接收者的名單，以防有人試圖改票[16].

由以上過程選出選出的RTN作為環簽名過程中的環成員，以便找到EMR索引；則ATN作為簽名簽證者，檢測是否存在不誠實節點.如果檢測出不誠信節點的存在，則有ATN中的最高分節點充當RTN，在礦池中重新選舉一個RTN節點.檢測出的不誠實節點將不再具備選舉資格.

3.3 基于環簽名的EMR存儲

設定患者的EMR記錄由醫生上傳，如果通過了環簽名的驗證，則將上傳的EMR數據存儲到該共享模型中，否則上傳失敗，需要重現上傳.

在醫療區塊鏈隱私數據共享模型中，對于沒有交易記錄的用戶即第一次使用該共享模型的用戶，將自動發起部署合約的操作，進而生成交易操作.已經處于醫療區塊鏈共享模型中的用戶當滿足預設的條件時，觸發預設環簽名指令，過程如下：

首先定義一個hash函數，這個hash函數的輸入是待簽名的消息m和橢圓曲線上的一個點A，即Hash(m，A).該希函數和橢圓曲線一樣，是這個簽名和驗證簽名體系的前提[17].該hash函數一個參考實現為：將m和A的字節數據拼接，然后用傳統的hash函數，得到一個值，然后對橢圓曲線上有限群的階N取模.

簽名者對消息m進行簽名，但又不想公開簽名的同時，讓別人知道自己的確切身份，所以利用環簽名將自己隱藏在一群環成員中，為了更好地隱藏自己的公鑰，最好選擇該模型之前出現或使用過的公鑰，如果簽名者藏在新用戶中，會很容易被識別.于是，簽名者找來n-1個其他環成員的公鑰，并編好序，將自己的公鑰插入其中，共同組成一個包含n個公鑰的集合.假設這n個公鑰為：

pk0，pk1，pk2，…，pki-1，pki，pki+1…，pkn-1

其中，pki為簽名者的公鑰.

簽名者隨機生成n-1個隨機數：

S0，S1，…，Si-1，Si+1，…，，Sn-1

分別與除pki以外的n-1個公鑰一一對應.這一步沒有隨機生成Si，是因為后面會通過計算得到.

簽名者隨機生成一個數k，并計算k*g的值.令hi為由生一個公鑰pki-1和待簽名消息m計算出來的hash值，在這里假設：

k*g=Si*g+hi*pki

(6)

由(6)式可得，如果擁有公鑰pki和私鑰ski，并且已知hi和k，就可以反向求出Si.接下來引入一個式子：

hx=Hash(m，Sx-1*g+hx-1*pkx-1)

(7)

等式(7)是一個遞推式，由這個遞推式可得，已知第x-1個公鑰對應的隨機數Sx-1和hash值hx-1，求下一個公鑰對應的hash值hx.不過值得注意的是，當x=0時，x的上一個為n-1，因為下標也要對n取模.

由(6)式可以直接計算出hi+1的值：

hi+1=Hash(m，Si*g+hi*pki)

=Hash(m，k*g)

(8)

不過此時暫時還不知道Si和hi的值，不過后面計算得到hi后，可以由k，hi+1和hi求出Si.緊接著，依次計算hi+2，…，hn-1，h0，…，hi-1，hi：

hi+2=Hash(m，Si+1*g+hi+1*pki+1)

…

hn-1=Hash(m，Sn-2*g+hn-2*pkn-2)

h0=Hash(m，Sn-1*g+hn-1*pkn-1)

h1=Hash(m，S0*g+h0*pk0)

…

hi=Hash(m，Si-1*g+hi-1*pki-1)

計算得出hi，由于擁有pki的簽名者的私鑰是已知的，計算出hi后，(6)時可寫成：

k*g=Si*g+hi*ski*g

(9)

即：

k=Si+hi*ski

(10)

最后，待簽名消息m的環簽名數據為：

Signature={h0，pk0，…，pkn-1，S0，…，Sn-1}

3.4 EMR共享層獲取用戶的身份確認

電子醫療記錄的存儲是指患者在某醫療機構進行診療之后，自愿將其記錄M上傳至該共享模型，然后模型中的存儲服務器會為該記錄生成一個簽名SIG(M)，該簽名無任何備份且只存儲于醫療記錄的存儲服務器中.電子醫療記錄的共享發生在該模型的聯盟成員內部，或者發生在聯盟成員與百步用戶之間.由SMCB模型的EMR共享層可以看出，若想獲取電子醫療記錄M，獲取用戶必須通過身份驗證從而得到相應的簽名，如果該簽名與SIG(M)完全匹配，則說明用戶的身份得到確認，可以獲取相應的電子醫療記錄.獲取用戶的額身份確認如算法1所示.

算法 1.Authority Check

輸入： Authority Signature of Administration

1ProduceAuthority Check(IDa，signature，hash)

2ifHash(IDA)=hash in HashListthen

3returntrue

4elsereturnfalse

5endif

6 recover(signature，hash)→ PublicKey

7ifCheckPublicKey(IDA，PublicKey)==falsethen

8Returnfalse

9endif

10ifCheckPublicKey(IDA，PublicKey)==truethen

11returntrue

12endif

13returnCheckHashList(IDa，Signature)

14endProduce

4 安全性分析

4.1 針對聯盟區塊鏈的攻擊及防范措施

針對目前常見的區塊鏈攻擊，本文對共享模型中聯盟區塊鏈作了對應的安全防范措施，如表1所示.

表1 聯盟區塊鏈攻擊類型及防范措施

1)對于女巫攻擊的問題，系統一方面要求節點必須經過認證后才可以加入區塊鏈平臺，另一方面，一旦系統在正常運行過程中，外部節點就無法加入.因為聯盟鏈不像公有鏈那樣任何節點都可以加入鏈中并參與決策，可以確保惡意節點無法像公有鏈那樣隨意加入節點，避免女巫攻擊的產生.

2)重放攻擊的主要特征是攻擊者通過劫持已經被鏈上節點認可的數據包進行二次發送，以達到破壞區塊鏈數據的目的.設定重放攻擊，在每個節點發起交易時，均會產生一個全局遞增的順序號，并且每次均會對順序號進行驗證，以確保寫入區塊的交易從未發生過，從而保障數據安全.

3)雖然在創世區塊[18]創建以來，區塊鏈幾乎沒有受到過51%攻擊.不過在區塊鏈建立之初，其鏈的規模比較小的時候，51%攻擊發生的概率還是挺大的.不過現在針對51%攻擊還沒有具體的解決辦法，最直接有效的辦法就是等待，即在EMR共享模型中設定一個閾值，當聯盟區塊鏈中的代表節點區塊個數超過這個閾值的時候，再讓EMR共享模型去進行對外服務操作.這樣可以有效避免51%攻擊的發生.

4.2 環簽名安全性分析

該模型選擇使用環簽名，是因為一個安全的環簽名可以滿足無條件匿名性、不可偽造性和正確性等特性[19].

1)無條件匿名性

攻擊者無法確定簽名是由環中哪個成員生成，即使在獲得環成員私鑰的情況下，概率也不超過1/n.外部攻擊者在不知道任何成員私鑰的情況下，即使能夠從一個產生環簽名的隨機預言者那里得到任何消息m的簽名，他成功偽造一個合法簽名的概率也是可以忽略的.

2)不可偽造性

環中其他成員不能偽造真實簽名者簽名，外部攻擊者即使在獲得某個有效環簽名的基礎上，也不能為消息m偽造一個簽名.

而且，攻擊者從k*g=Si*g+hi*pki等式中獲取的A點是一個橢圓曲線上的離散點事非常困難的，可以認為簽名者的私鑰是非常安全的.

3)正確性

=Hash(m，Sn-2*g+hn-2*pkn-2)

=Hash(m，Sn-2*g+Hash(m，Sn-3*g+hn-3*pkn-3)*pkn-2)

=…

=Hash(m，Sn-2*g+Hash(…+Hash(m，S0*g+h0*pk0)+…)*pkn-2)

=Hash(m，Sn-2*g+Hash(…+h1+…)*pkn-2)

=…

=Hash(m，m，Sn-1*g+hn-1*pkn-1)

=h0

因此，可以使用上述關系案模型中的方法驗證環簽名方案的正確性.

4.3 模型安全及效率分析

不誠實節點表示該節點試圖惡意攻擊節點.利用環簽名用戶進行挖礦的時候，選擇多個節點而不是只選擇一個節點充當代表節點，是因為各個節點之間互不通信，可以降低被攻擊節點欺騙的概率.

假設不誠實節點占所有完整節點的c%，誠實節點的挖礦結果均為一致的且完全節點用戶的選擇是隨機的，那么可以得出如下結論，某簽名者被欺騙的概率為(c%)n.假設該系統中不誠實節點的比例分別為20%、30%和50%，那么簽名者被欺騙的概率與環簽名的個數n的關系如圖4所示.

由圖4可以看出當系統中的不誠實節點的幾率增高時，節點被攻擊的概率也會因此增大.不過在不誠實節點比例一定的情況下，節點被攻擊的概率會因為n值得增大而減小，其中n為環簽名中環成員的個數.所以可以得出結論，在RSCB模型的聯盟區塊鏈中，利用環簽名，節點被攻擊的概率可以忽略不計.

圖5表示的是在聯盟區塊鏈中加入環簽名生成區塊時間的對比，從圖中可以看出，在聯盟區塊鏈中加入環簽名生成區塊的時間趨勢與未加入環簽名的模型基本相同.說明基于聯盟區塊鏈的電子醫療記錄共享模型沒有因為環簽名的加入變得效率低下.

圖5 生成區塊時間對比

從圖4和圖5可以得出結論，環簽名的加入使得原來的模型變得更加安全可靠，且區塊鏈執行效率也基本沒有因此而降低，所以，在基于傳統區塊鏈的共享模型，加入環簽名可以保證不影響執行效率的前提下保證了電子醫療記錄的安全共享，也可以甄別查詢用戶的身份是否合法.上述說明本模型可以融合電子醫療記錄的安全存儲及共享功能，還能夠在增加共享安全系數的同時保持與傳統區塊鏈相當的執行水平，保證了醫療記錄共享的安全性及時效性.

5 總結與展望

在當今大數據的時代，醫療記錄規模也呈現井噴式的增長，日益復雜的互聯網環境給電子醫療的保存于共享帶來不小的壓力.本文提出了一種在聯盟區塊鏈上基于環簽名的電子醫療記錄共享模型，在解決了大量醫療記錄信息共享的同時也保證了其隱私的保護，并且讓患者自己對其電子醫療記錄是由上傳及共享有了自主控制權.未來的研究可以將區塊鏈和智能合約相結合，保證醫療記錄信息的可信度和權威性，為電子醫療記錄共享模型提供更智能的服務.