面向醫療隱私保護的雙區塊鏈模型研究

趙 劍 董文華 安天博 匡哲君 史麗娟 徐大偉

1(長春大學網絡安全學院 長春 130022) 2(長春大學計算機科學技術學院 長春 130022) 3(長春大學電子信息工程學院 長春 130022)

(zhaojian@ccu.edu.cn)

現實生活中，大多數患者往往都有過在其他醫院重新經歷一次在上一個醫院經歷過的檢查[1]，這種現象的出現主要是由于以下原因引起的：醫療數據主要由醫療機構管理，并且政策對重要個人信息(例如醫療記錄)的傳輸和共享有嚴格的限制和規定.醫療數據分散在各個醫療機構中，并且不同醫療機構的數據標準不統一，導致各機構之間醫療信息系統的互操作性較低.另外，能夠處理醫學數據的受試者是有限的.除了患者要求轉移和查看其個人病歷的要求外，原則上，不允許在醫療機構之外轉移和共享醫學數據.所有這些導致醫學數據的交換和共享非常困難，嚴重地阻礙了其有效性，不能充分發揮醫療數據的作用.

基于這種背景下，以醫療機構為主的現代醫療數據管理系統，無法有效地保證數據的隱私性、完整性和安全性.近年來，國內外由于醫療信息系統被入侵導致的信息泄露事件多次發生，泄露數據涉及多個個人隱私信息.根據2020年醫療行業網絡安全白皮書[2]數據顯示：2019年大量的放射性圖像服務器暴露在公共互聯網中，其中涉及我國14個服務器，包含近28萬條醫療數據.根據調查，醫療隱私泄露事件數量僅次于互聯網隱私泄露事件，且造成的個人隱私泄露數據是最大的.因此，實現一個具有可靠性、共享性、不變性以及可驗證性等特點的醫療數據管理系統是當務之急.

區塊鏈[3]作為一種去中心化機制的數據庫，為醫療數據管理系統中存在的低共享性、低有效性和安全性問題提供了可靠的解決方案.其具有的防篡改和唯一性能夠在醫療記錄安全性領域得到充分的應用，可以在實時共享的區塊鏈平臺記錄數據，并添加時間戳保證數據的不可篡改性，在許可的區塊鏈上，區塊鏈成員可以通過訪問操作等獲取數據的信息，在非許可區塊鏈上，允許成員查看概要信息，從而保證數據的共享性

區塊鏈技術為醫療領域的進一步發展提供了契機，本文基于區塊鏈技術設計了一種存儲方案來管理醫療數據.其主要貢獻如下：1)提出了一種基于區塊鏈技術的醫療存儲方案，將個人信息和醫療信息分別存儲在不同的鏈上，設計其獨特的區塊結構和功能，實現了個人醫療數據的安全存儲；2)搭建了新的醫療數據共享框架，幫助科研機構等能夠批量獲取相關數據，提高數據的獲取效率，最大化地開發醫療數據的功能；3)詳細描述了醫療區塊鏈的特征，使患者能夠有效管理自己的醫療數據，在實現患者隱私保護的基礎上，充分發揮其共享能力.

1 背 景

1.1 區塊鏈技術

區塊鏈技術是一種去中心化的存儲技術，其本質是一種分布式全局賬本數據庫，具有去中心化、開放性、獨立性、安全性、匿名性等特征[4]，其中每個區塊中包含的哈希散列把任意長度的輸入經哈希算法變換成由字母和數字組成的固定長度的輸出，在模型的實現中能夠將前一個區塊形成的哈希散列通過區塊鏈連接起來，實現過往交易的按順序排列.共識算法保證了區塊鏈鏈中每個節點維持1份相同的數據.其目的是保證比特幣不停地在最長鏈條上運轉，從而保證整個記賬系統的一致性和可靠性.區塊鏈技術運用基于數學原理的共識算法，在節點之間建立“信任”的網絡，利用技術手段實現一種創新式的信任網絡，主流的共識算法包括工作量證明(POS)、權益證明(POW)、委托權益證明(DPOS)和Pool驗證池等.方法的選擇需根據實際情況進行，本文選擇DPOS作為共識算法.

1.2 代理重加密技術

代理重加密就是委托可信第三方或是半誠實代理商將自己公鑰加密的密文轉化為可用另一方私鑰解開的密文，從而實現密碼安全性.以圖1為例，A，B分別請求服務器生成自己的公私鑰對，服務器將生成的公私密鑰返回給A，B.A利用AES算法加密數據M生成密文C1，A根據第2層加密算法并利用自己的公鑰加密AES的密鑰生成密文C2，A把加密后的數據密文C1和C2上傳到服務器.之后A向服務器請求B的公鑰，服務器將B的公鑰返回給A，A利用自己的私鑰和B的公鑰生成重加密密鑰KA→B，并將其上傳到服務器上.服務器利用重加密密鑰KA→B和之前的A上傳的密文C2做代理重加密運算生成新的密文C3.當B需要數據時，B向服務器請求解密數據M對應的密文C1，服務器將重加密后生成的密文C3和C1發送給B.B解密密文C3得到對稱密鑰，并用該密鑰解密C1，得到原始的明文數據M.

圖1 重加密密文算法流程圖

1.3 默克爾帕特里夏樹

默克爾帕特里夏樹(Merkle patricia tree, MPT)是一種加密的數據結構，MPT樹中的節點包括空節點、葉子節點、擴展節點和分支節點.

本文主要用MPT樹中[key,value]節點(葉子節點和擴展節點)中的key，來進行數據的搜索，方便科研機構或者是醫療機構采用key值進行相關內容的查詢，解決了數據獲取困難的問題，提高了模型的擴展性.另外，本文采用HP(hex-prefix)編碼，用來對key進行編碼，易操作且計算量低，無論key是奇數長度還是偶數長度，HP都可以對其進行編碼，如圖2所示.

本文主要采用區塊鏈技術對醫療雙鏈模型進行重構，通過代理重加密方案保證密碼正確性和安全傳輸率，利用MPT樹保證交易鏈數據的安全性，同時利用key值快速搜索查詢相關數據.

圖2 MPT樹的結構圖

2 相關工作

醫療數據是關鍵且高度敏感的私人信息，此信息需要醫療機構中各個參與者進行頻繁的共享與傳播.參與者之間共享醫療信息是非常具有挑戰性的，因為在操作過程中可能會泄露或篡改數據[5].醫療機構為了更好地治療患者，需要對醫療信息進行共享，這樣做能夠幫助醫生更好地診斷病情.然而，當前的醫療信息管理系統不足以給患者提供在保護隱私性的基礎上實現醫療信息的共享[4].因此迫切需要對此進行創新.同時針對數據需求的第三方平臺(例如科研機構等)需要大量的同類型數據進行實驗的分析，進而研究更有助于醫療的設備和算法，幫助患者更好地預防和治療疾病.

因此，區塊鏈技術在醫療領域的相關研究也相繼出現，其主要研究包括：醫療信息保護、醫療數據存儲、數據共享、藥品溯源、預測分析等.Mettler[6]介紹了區塊鏈在醫療領域可能出現的問題.Yue等人[7]提出了一個基于區塊鏈的醫療保健數據應用程序，使患者能夠輕松地訪問、控制自己的數據.Peterson等人[8]提出了一種區塊鏈的方法來共享患者數據.Kuo等人[9]使用區塊鏈網絡技術創建了機構間醫療健康預測模型.Kumar[10]提出了一種基于區塊鏈的藥品溯源系統，主要追蹤和監測假冒藥品.

除此之外，對于當前醫療數據在共享過程中存在的安全性和隱私性問題，一些作者也試圖提出相應的解決方案.Azaria等人[11]提出了MedRec模型，該模型利用區塊鏈技術，展示了如何將分散化原理應用在EMR系統中，實現了患者數據共享，使醫療數據能夠真正受到患者的控制，未經過患者授權的醫療機構無法私自使用病人的醫療數據，有效地保護了患者數據的隱私性.薛騰飛等人[12]提出了一個醫療區塊鏈框架，利用代理重加密技術實現數據的訪問和下載，在提高數據隱私性的基礎上，也提高了共享的效率.Xia等人[13]提出了一個基于區塊鏈的醫療數據共享系統MeDShare，通過智能合約來保證區塊鏈上的所有操作，智能合約的使用能夠提高用戶的訪問權限，驗證訪問用戶身份，從而保證了數據的隱私性，同時利用其來實現數據的共享.這2種模型都很好地保護了數據的隱私性，但是如果有第三方機構需要大量同類型數據時，獲取數據的過程很耗時，無法使數據做到最大化的利用.同時這些模型將醫療信息和訪問記錄、治療方法等全部存儲在1條鏈上，單鏈結構將導致存儲鏈的擴展性變差，吞吐能力下降[14].基于此，張利華等人[15]提出了雙區塊鏈的醫療記錄安全存儲與共享方案EMRSBC，該模型使用了2條聯盟鏈分別用于數據的存儲和共享，解決了單鏈結構吞吐量低等問題，使得保密性提高，但是針對科研機構的大量數據使用，仍然需要患者逐個授權，耗時較多，便捷性較差.

3 基于雙區塊鏈的醫療存儲和共享模型

3.1 雙區塊鏈模型的介紹

現有的醫療記錄存儲區塊鏈模型存在以下問題：醫療數據完全掌握在患者手中，醫療機構和第三方機構對醫療數據的使用都需要經過患者的授權，這樣做有效地保證了醫療數據的安全性，增強了患者信息的隱私性.但是數據并沒有被全部利用起來，科研機構獲取大量的數據耗時久，各種治療疾病的措施無法在各個醫院之間形成共享.基于此本文設計了一種基于雙區塊鏈的醫療數據存儲和共享模型，采用“用戶鏈”和“交易鏈”2條鏈來保證用戶的隱私性、醫療記錄的共享性和安全性.其中“用戶鏈”主要用于存儲患者的基本信息，“交易鏈”用來存儲醫療數據、記錄訪問信息.模型如圖3所示，醫療機構，患者和第三方機構(科研機構等)是醫療區塊鏈中的3個主要交易實體，醫療機構負責治療疾病并生成病例，上傳數據.患者可以查詢和共享自己的個人醫療數據，第三方機構能夠批量獲取同類型的數據等.不同類型的交易實體具有不同的權限，具體的權限如表1所示.

圖3 基于雙區塊鏈的醫療存儲與共享模型

表1 3種交易主體的權限

用戶數據、醫療數據和交易數據這些數據量很大，由于區塊鏈容量、成本等的限制，難以將所有的數據全部上鏈，因此我們采用了云存儲的方式來實現數據的存儲，區塊鏈上只記錄索引信息和交易記錄，而醫療記錄、視頻、用藥等均通過加密的方式進行云存儲，云儲存的數據均通過區塊鏈中的哈希值進行關聯，分別授予不同的訪問機構以不同的訪問權限.

3.2 用戶鏈的設計

用戶鏈僅用于存儲用戶信息，包括患者基本信息、對應的病例資料以及該病例對應產生交易的哈希值.其設計結構如圖4所示，該鏈只用于用戶信息的存儲以及患者通過自身密鑰查看和調用自己的醫療數據.

在該鏈上主要功能是用戶信息的保存和患者對自己醫療信息的處理.

用戶信息的保存：當患者前往醫療機構時，患者事先填寫自己的基本信息，該信息利用患者自己的公鑰加密并發送到區塊鏈中.

用戶信息的上鏈和管理：上鏈流程如圖5所示，患者在醫療機構治療時，醫生為患者生成診斷數據，醫生通過系統生成醫療數據的摘要和哈希值，使用醫療機構的私鑰登錄并將其發布到交易鏈中，同時使用代理重加密的方法對醫療數據進行代理重加密，并將其一同發給患者，患者驗證機構的簽名，然后使用自己的私鑰對自己醫療數據的加密密鑰、簽名等進行解密，確認無誤后，將醫療數據加密后存儲到云存儲中，并返回對應的哈希值，并將其填入用戶鏈中.這樣用戶可以通過用戶鏈查看自己的基本信息和醫療數據，在轉院治療時，可以給某個機構授權查閱自己的醫療記錄.

圖4 用戶鏈設計結構

圖5 用戶鏈上鏈流程

3.3 交易鏈的設計

交易鏈是存儲醫療數據和交易訪問的1條鏈，在該鏈可以提供患者、醫療機構各種訪問權限，用于醫療數據的共享和傳播，同時交易鏈使用MPT樹來存儲診療數據，通過(key,value)對來存儲數據，除了可以保證交易結果的真實性和完整性之外，還易于通過key值查詢和追溯交易結果，為今后業務的鏈式擴展預留下接口.

圖6 交易鏈交易流程

交易鏈的處理流程主要包括上傳數據和訪問數據2個部分.如圖6所示，上傳數據主要針對用戶鏈中醫生提交的醫療數據進行上傳，具體的上傳流程詳見圖6中藍色線部分.

當前數據訪問過程存在一些局限性，首先科研機構需與醫生溝通獲取數據，但是數據量仍然很難達到所需要求，耽誤科研進度和任務；其次患者轉院治療時很難獲取到原醫療機構的全部治療數據；最后醫療機構之間的相互交流和病例的學習也受到了各醫院數據共享的局限性.

本文針對不同的訪問類型，將訪問過程分為以下2種情形：

情形1.患者需要醫療數據時，患者通過自己的公鑰pk在用戶鏈中查詢個人信息，用戶鏈返回個人信息資料(個人信息中包含自己的病例的哈希值)并通過自己的私鑰sk進行解密，解密完成后系統會通過哈希值在聯盟鏈中查找對應的病例，并將自己的公鑰上傳至聯盟鏈中進行數據訪問(代理重加密)，返回結果并根據時間順序逐條顯示，患者可以根據自己的需求，通過私鑰進行逐條或批量解密顯示，供自己或醫生查看.

情形2.當科研機構等需要訪問數據時，以關鍵詞(key值)進行搜索，系統對關鍵詞進行加密并發起訪問請求，返回相關數據的訪問結果，科研機構選擇相應結果和自己的公鑰提交給當值節點，當值節點將對公鑰和對應的訪問請求發送給醫療機構，醫療機構對其進行重加密生成重加密鑰ReKeyGen(sk1,sk2)→rk1?2，并發送給當值節點，當值節點對其代理重加密，連同加密數據發送給科研機構，同時記賬節點記錄該訪問記錄，最后醫療機構利用自己的私鑰對其解密.

4 安全性和正確性分析

4.1 密文傳輸的正確性

本文模型的實現過程采用改進的代理重加密方案，因此密文的正確性主要包括2個方面，分別是加密密文和重加密密文的正確性.第一，需要做到任何一方不能從密文和重加密密文中得到明文信息；第二，需要做到除非得到重加密密文.否則無法得到任何明文信息的2個條件.

首先定義函數Bits(·)和Power2(·)，對于v∈和X=[X1|X2|…|Xl]∈我們有Bits(v)Power2(X)=vX∈成立.

ReKeyGen(sk1,sk2)→rk1?2.這里包括A的密鑰組(A,PA,SA)和B的密鑰組(B,PB,SB)結合在一起生成重加密密鑰rkA→B.形式為rkA→B=(PB,Q)，其中:

其中，X∈是隨機選取的.噪聲矩陣E是從選取的.Q的產生方式包括2種：一種是B產生E和X，安全發送X和-XSB+E給A.另一種是A使用自己的私鑰SA結合從B獲取的信息產生以上代理重加密密鑰.

c1=e1A+e3∈
c2=e1P+e3+m·∈

ReEnc(rk1?2,C1)→C2.使用rkA→B來轉換A的密文：f1[A|PB]+[f2|f3]+[Bits(c1)|c2]·Q∈,其中的f1和f2屬于都是服務器選擇的.

綜上所述，本文設計的密鑰能夠在服務器中進行正確的傳輸.

4.2 共識機制

區塊鏈沒有中心化的記賬機構，因此區塊鏈中每一次的數據更新都需要共識算法的參與才能夠完成.考慮到我國的醫療現狀，數據量巨大，如果選擇算力較高的pow共識算法耗時長.因此本文采用的共識機制是DPOS(委托權益證明)，DPOS是一種基于投票選舉的共識算法，持幣人選出幾個代表節點來運營網絡，用專業運行的網絡服務器來保證區塊鏈網絡的安全和性能.DPOS機制中，不需要算力解決數學難題，而是由持幣者選出誰是生產者，如果生產者不稱職，隨時有可能被投票出局，非常符合我國現在的醫療現狀，也解決了POS存在的性能問題.

4.3 隱私保護和安全性分析

患者的隱私性和模型的安全性針對醫療數據而言是必須關注的問題，本文主要通過以下幾個方面來保證模型的安全性和患者的隱私性.

1) 哈希算法：哈希值是一種將任何類型的數據轉換為字符串的加密方法，其本身通過加密提供了安全性，同時哈希值是固定長度的，因此哈希值創建了更高效的數據存儲.輸入任何的更改都會產生不同的輸入，無法逆轉通過輸出來推斷原始的哈希值[16].因此要對通過區塊鏈上鏈的數據進行篡改很難.

2) 數字簽名：本文中數據的上鏈操作等均是數字化的，數字簽名實質上是創建了一個“哈希值表”，用來表示數據片段中的數據代碼，可以與另一個文檔中的哈希值進行交叉驗證，監測是否匹配，從而證明交易的安全性[17].本文所使用的數據簽名算法是secp256k1算法，躲開了密碼學子彈.

3) 區塊鏈結構：本文采用了雙區塊鏈模型，分為用戶鏈和交易鏈2條鏈，二者互不干涉，二者值通過哈希值進行聯系，如果無法同時獲取到用戶和醫療機構的私鑰，那么就無法查看到患者的個人信息和對應的診斷記錄，從而保證了患者的隱私性，如表2所示，雙鏈結構的設計相比單鏈而言，解決了主鏈壓力，增強了隱私保護能力和患者對于自身數據的控制能力.針對雙鏈結構，RMRSBC模型采用的是PBFS共識機制，可以在保證活性和安全性的前提下提供(n-1)/3的容錯性，但是當1/3或以上記賬人停止工作時，系統將無法提供服務，且如果這些記賬人是惡意節點，那么所有的記賬人將恰好被分成2個網絡孤島，出現分叉現象.本文所使用的DPOS共識機制中，去中心化表示每個股東按其持股比例擁有影響力，51%股東投票的結果將是不可逆且具有約束力的.同時根據我國的醫療現狀[18]顯示：我國的醫療機構的重心和民眾主要的疾病治療中心都是三甲醫院，他們將擔任主要工作，因此二者結合起來看，DPOS機制更加符合現狀，且更具有安全性.

數據共享性方面，由表2可知，EMRSBC模型由存儲鏈和共享鏈組成，數據的查詢和共享需要病人進行授權，而病人從看到消息到授權都需要時間，對于需要大量類似數據的醫院和科研機構而言，浪費太多的時間，容易造成疾病治療和科研進度的延誤.本文設計的模型由醫院掌管病例數據，但是無法查閱患者數據，從而保障了患者數據的隱私性，而醫療數據的共享由醫院控制，可以更加及時地進行授權業務，因此我們的模型具有更強的隱私性和更高的共享性.

4) 分叉：區塊鏈的分叉發生在同一時間內發生了2條交易，因此通常會生成多個區塊，但是根據本文的實施機制和對應的法規[19]可以得到解決.

5) 抗攻擊性：DPOS共識算法在抵抗攻擊上，因為前100名代表所獲得的權力值是相同的，每名代表都有1份相等的投票權.因此，無法通過獲得超過1%的選票而將權力集中到1個單一代表上.因為只有100名代表，可以想象1個攻擊者對每名輪到生產區塊的代表依次進行拒絕服務攻擊.事實上每個代表的標識是其公鑰而非IP地址，這種特定攻擊的威脅很容易減小.這將使確定DDOS攻擊目標更為困難.而代表之間的潛在直接連接，將使它們生產區塊變得更為困難.

表2 模型方案對比

5 總 結

本文提出的新的雙區塊鏈模型，不同于原有模型的存儲鏈和共享鏈，本文將用戶數據和交易數據分別存儲在2條鏈上，用戶鏈負責用戶信息的處理，交易鏈處理交易、共享、訪問數據，二者互不干涉，不僅實現了醫療數據的分布式存儲，同時在保護患者隱私基礎上，更好地完成數據共享.模型的實現對于患者而言解決了其轉院看病數據獲取難的問題；對于醫療機構而言，除了可以獲得區塊獎勵外，還能夠了解更多的案例，幫助更精準地治療疑難雜癥，更好地服務患者，提高醫療水平；對于科研機構等第三方平臺，可以方便、快速地獲取大量的數據資源，用于科研的訓練和學習.