重大疫情患者隱私數(shù)據(jù)保護(hù)方案研究

韓 剛，呂英澤，羅 維，王嘉乾

西安郵電大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，西安710000

新冠肺炎作為席卷全球的傳染疾病，對全球人類的生命健康造成了巨大的威脅，極大地影響了社會的正常運(yùn)行，同時也對世界各國的醫(yī)療系統(tǒng)運(yùn)行帶來了巨大的挑戰(zhàn)。在中國，疫情雖已得到控制，但仍存在風(fēng)險，一旦發(fā)現(xiàn)新冠肺炎疑似或確診病例，政府部門和醫(yī)療機(jī)構(gòu)會立即展開行動，對患者的個人信息和最近行程進(jìn)行統(tǒng)計(jì)，并傳遞至下一級部門，下一級部門搜尋密切接觸者，并對密切接觸者進(jìn)行隔離觀察。政府部門還會以匿名形式向公眾公布新冠肺炎確診患者的最近行程以及接觸人群信息。但在政府或醫(yī)療機(jī)構(gòu)將患者基本信息傳送至下一級部門的過程中，可能會造成患者身份證號碼、家庭住址等個人信息泄露，引發(fā)諸如社會恐慌、對患者歧視等次生災(zāi)害。此外，政府機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)的患者數(shù)據(jù)類型不統(tǒng)一、存儲方式不統(tǒng)一，無法實(shí)現(xiàn)患者數(shù)據(jù)信息的安全、實(shí)時共享。因此，患者個人信息數(shù)據(jù)以及醫(yī)療記錄數(shù)據(jù)的安全問題顯得十分緊迫。

區(qū)塊鏈技術(shù)的蓬勃發(fā)展為各個行業(yè)提供了新的發(fā)展方向，區(qū)塊鏈技術(shù)在保護(hù)患者隱私方面展現(xiàn)出巨大的潛力，世界各國針對區(qū)塊鏈隱私保護(hù)進(jìn)行了大量研究。Nathan 等人提出了一種基于區(qū)塊鏈的個人信息管理系統(tǒng)，使用區(qū)塊鏈來儲存、傳遞、下載分析數(shù)據(jù)。Lazarovich提出使用區(qū)塊鏈技術(shù)保護(hù)個人隱私，以保護(hù)醫(yī)療患者數(shù)據(jù)為例闡述基于區(qū)塊鏈審計(jì)技術(shù)的隱形墨水系統(tǒng)。Azaria 等人首次提出了基于區(qū)塊鏈技術(shù)的電子病歷系統(tǒng)，通過在鏈上部署智能合約來完成病例的修改、刪除、更改權(quán)限和信息共享等功能。Chen等人提出利用區(qū)塊鏈和云存儲技術(shù)來實(shí)現(xiàn)一個患者醫(yī)療數(shù)據(jù)管理儲存方案。Omar等人提出了一種基于聯(lián)盟鏈的患者醫(yī)療數(shù)據(jù)隱私保護(hù)平臺，將數(shù)據(jù)加密存儲至鏈上，數(shù)據(jù)擁有者可授權(quán)數(shù)據(jù)訪問者的訪問權(quán)限。薛騰飛等人提出了一種區(qū)塊鏈醫(yī)療數(shù)據(jù)共享模型，根據(jù)多維度評價指標(biāo)，選用股份授權(quán)證明機(jī)制（delegated proof of stake，DPoS）分配權(quán)限。張超等人提出使用基于實(shí)用拜占庭容錯算法（practical Byzantine fault tolerance，pBFT）的聯(lián)盟鏈醫(yī)療區(qū)塊鏈系統(tǒng)，系統(tǒng)可以有效防止醫(yī)療數(shù)據(jù)被泄露。但是，上述研究依然存在系統(tǒng)性能不夠高效，患者數(shù)據(jù)安全性無法完全保障的問題。

綜合上述情況，本文提出了結(jié)合區(qū)塊鏈的重大疫情患者隱私數(shù)據(jù)保護(hù)方案，該方案可滿足患者隱私數(shù)據(jù)的完整性、可限制性、不可篡改性以及可審計(jì)性等數(shù)據(jù)安全需求。方案采用聯(lián)盟鏈，將重大疫情治理的主要參與者和次要參與者分布在主、側(cè)兩鏈上，采用側(cè)鏈技術(shù)在主鏈和側(cè)鏈之間使用智能合約進(jìn)行信息交互，并對主鏈進(jìn)行擴(kuò)容。使用改進(jìn)的拜占庭容錯機(jī)制（delegated Byzantine fault tolerant，dBFT）保障系統(tǒng)的性能同時保證患者的個人隱私安全，實(shí)現(xiàn)醫(yī)療數(shù)據(jù)共享；提出了分級加密方案（hierarchical data encryption scheme，HDES），對患者數(shù)據(jù)進(jìn)行加密，保護(hù)患者個人隱私。若患者隱私數(shù)據(jù)遭到泄露，系統(tǒng)可利用區(qū)塊鏈審計(jì)技術(shù)，追溯數(shù)據(jù)泄露方，追究泄露方法律責(zé)任。

1 基礎(chǔ)知識

區(qū)塊鏈包含底層交易數(shù)據(jù)、分布式賬本、共識機(jī)制、分布式網(wǎng)絡(luò)、分布式應(yīng)用這幾個要素。區(qū)塊鏈基本架構(gòu)如圖1 所示。

圖1 區(qū)塊鏈基本架構(gòu)Fig.1 Blockchain basic architecture

1.1 共識機(jī)制

共識機(jī)制是系統(tǒng)的核心要素。由于區(qū)塊鏈具有去中心化的性質(zhì)，在進(jìn)行信息傳輸時，共識機(jī)制保證每一次數(shù)據(jù)交互在所有記賬節(jié)點(diǎn)上的一致性和正確性?；趨^(qū)塊鏈的系統(tǒng)中主流共識算法包括：工作量證明（proof of work，PoW）、權(quán)益證明（proof of stake，PoS）、股份授權(quán)證明、實(shí)用拜占庭容錯機(jī)制、改進(jìn)的拜占庭容錯機(jī)制等。

1.2 分布式賬本

分布式記賬本被稱為狹義的區(qū)塊鏈，由區(qū)塊頭和區(qū)塊體構(gòu)成。區(qū)塊頭內(nèi)容一般包含上一區(qū)塊頭的散列值、時間戳、Merkle 的根，并根據(jù)不同的共識機(jī)制存儲相應(yīng)的信息。區(qū)塊體則包含了一個區(qū)塊的完整交易信息，以Merkle 樹的形式組織在一起。在一定時間內(nèi)，多個交易信息形成一個數(shù)據(jù)塊，將數(shù)據(jù)塊關(guān)聯(lián)起來。這些決策規(guī)則的核心就是共識機(jī)制，共識機(jī)制用來保證分布式賬本的一致性。

1.3 智能合約

“智能合約”的概念在1995 年由密碼學(xué)家Szabo首次提出，是對現(xiàn)實(shí)中的合約條款執(zhí)行電子化的量化交易協(xié)議。區(qū)塊鏈的出現(xiàn)，支持了可編程合約的數(shù)字系統(tǒng)和技術(shù)，讓智能合約的理論變?yōu)楝F(xiàn)實(shí)。本質(zhì)上講，智能合約是一段程序，以計(jì)算機(jī)指令的方式自動化處理了傳統(tǒng)的合約，就是雙方在區(qū)塊鏈資產(chǎn)上交易時，觸發(fā)的一段代碼，去中心化、可信息共享的程序代碼。智能合約一旦啟動就會自動運(yùn)行，不需要任何合約參與部署方的操作。因此這種技術(shù)是在沒有第三方監(jiān)控的情況下進(jìn)行的可信交易。目前，智能合約已經(jīng)不僅用于金融領(lǐng)域，并且在分布式計(jì)算、物聯(lián)網(wǎng)等領(lǐng)域有著廣闊的應(yīng)用前景。

1.4 公有鏈、聯(lián)盟鏈和私有鏈

區(qū)塊鏈根據(jù)不同的應(yīng)用場景和中心化程度，分成三種不同的區(qū)塊鏈，分別是公有鏈、聯(lián)盟鏈和私有鏈。

（1）公有鏈

公有鏈為任何節(jié)點(diǎn)都可參與的去中心化區(qū)塊鏈。記賬者為區(qū)塊鏈內(nèi)的所有節(jié)點(diǎn)，信任機(jī)制為工作量證明。代表為比特幣和以太坊。

（2）聯(lián)盟鏈

聯(lián)盟鏈為預(yù)先設(shè)定參與者的多中心化區(qū)塊鏈。記賬者由參與者協(xié)商決定，信任機(jī)制為共識機(jī)制。聯(lián)盟鏈所存儲的數(shù)據(jù)訪問受到參與者的約束。聯(lián)盟鏈可以對控制權(quán)進(jìn)行限定，但是聯(lián)盟鏈存在匿名性和數(shù)據(jù)透明性以及審計(jì)便利性的綜合問題。假設(shè)公司是聯(lián)盟鏈的應(yīng)用場景，若保留匿名性，那么公司內(nèi)部數(shù)據(jù)審計(jì)無法開展。若聯(lián)盟鏈不匿名，那么必須保證數(shù)據(jù)的透明性低，因?yàn)槊總€公司都不想讓競爭對手知道自己的詳細(xì)信息，若將數(shù)據(jù)進(jìn)行加密，那么會增加審計(jì)的工作量。一般金融領(lǐng)域聯(lián)盟會使用到聯(lián)盟鏈。代表為Hyperledger Fabric和openchain 等。

（3）私有鏈

私有鏈為中心控制著參與人員的中心化區(qū)塊鏈。信任機(jī)制和記賬者都是內(nèi)部指定。私有鏈無需考慮共識問題，交易量無限制，速度快。所有節(jié)點(diǎn)按內(nèi)部權(quán)限、程序和規(guī)則展開工作。但是私有鏈存在細(xì)粒度權(quán)限分配問題。對每個節(jié)點(diǎn)的訪問權(quán)限都需要詳細(xì)規(guī)定。由于私有鏈?zhǔn)侵行幕瘏^(qū)塊鏈，私有鏈可能存在內(nèi)部攻擊，區(qū)塊鏈的不可篡改性可能會被破壞。

2 重大疫情患者隱私數(shù)據(jù)保護(hù)方案模型

當(dāng)醫(yī)療機(jī)構(gòu)或者政府部門發(fā)現(xiàn)患者后，將會立即隔離并對患者進(jìn)行調(diào)查，統(tǒng)計(jì)患者的基本信息如姓名、性別、身份證號、家庭住址等隱私信息和近期行程、癥狀表現(xiàn)等基礎(chǔ)數(shù)據(jù)。并立即將患者的基本信息和近期行程等數(shù)據(jù)發(fā)送至下一級疫情管理部門，調(diào)查近期行程便于找出密切接觸者并及時隔離，對患者經(jīng)過地點(diǎn)及時進(jìn)行消殺。疫情管理部門還應(yīng)立即將患者的近期行程數(shù)據(jù)匿名公布，使人民群眾產(chǎn)生警惕，注意自身防護(hù)，有相似行程并出現(xiàn)類似疫情癥狀表現(xiàn)的民眾應(yīng)立即報(bào)告并緊急隔離。

當(dāng)政府部門將患者的各項(xiàng)數(shù)據(jù)下發(fā)至下一級疫情管理部門時，只將患者的近期行程和癥狀表現(xiàn)等數(shù)據(jù)公布至民眾。但由于管理的疏忽或攻擊者惡意將患者的姓名、身份證號、家庭住址等個人敏感信息公之于眾，造成患者的個人信息泄露，嚴(yán)重影響患者正常生活。

根據(jù)此，本文提出了一個結(jié)合區(qū)塊鏈的重大疫情患者隱私數(shù)據(jù)保護(hù)方案。醫(yī)療機(jī)構(gòu)或政府部門將患者隱私數(shù)據(jù)上傳至區(qū)塊鏈，各地醫(yī)療機(jī)構(gòu)和疫情管理部門從區(qū)塊鏈上取得信息并及時做出響應(yīng)。鑒于中國醫(yī)療衛(wèi)生數(shù)據(jù)系統(tǒng)現(xiàn)狀，重大疫情醫(yī)療信息一般由重點(diǎn)三甲醫(yī)院掌握，選擇各地疫情防控管理部門、政府部門、各地三甲醫(yī)療機(jī)構(gòu)為超級節(jié)點(diǎn)。系統(tǒng)圍繞超級節(jié)點(diǎn)展開一系列患者隱私數(shù)據(jù)的共享服務(wù)，其中政府部門起監(jiān)督管理作用，有權(quán)對參與數(shù)據(jù)共享的機(jī)構(gòu)進(jìn)行管理。采用聯(lián)盟鏈將若干個機(jī)構(gòu)形成聯(lián)盟共同管理，每個機(jī)構(gòu)都運(yùn)行著一個或者多個節(jié)點(diǎn)，系統(tǒng)只允許被授權(quán)的機(jī)構(gòu)或者個人查看數(shù)據(jù)。由于各節(jié)點(diǎn)的權(quán)限不同，利用聯(lián)盟鏈可以更好地保護(hù)隱私數(shù)據(jù)。共識機(jī)制選用dBFT 機(jī)制，系統(tǒng)拓?fù)鋱D如圖2 所示。

圖2 系統(tǒng)拓?fù)鋱DFig.2 System topology diagram

考慮到患者數(shù)據(jù)的安全性以及重要性，將政府部門、各地疫情管理部門和各地醫(yī)療機(jī)構(gòu)作為主鏈，三方互相合作，在保證患者個人隱私的前提下進(jìn)行數(shù)據(jù)共享。由于將患者數(shù)據(jù)上傳至主鏈上會增加主鏈壓力，可能會造成較高的確認(rèn)延遲。為了提高系統(tǒng)效率，本文使用側(cè)鏈技術(shù)對區(qū)塊鏈進(jìn)行擴(kuò)容。并將民眾、科研機(jī)構(gòu)和社區(qū)等節(jié)點(diǎn)加入側(cè)鏈，通過側(cè)鏈技術(shù)與主鏈?zhǔn)褂弥悄芎霞s進(jìn)行對接，從而實(shí)現(xiàn)患者數(shù)據(jù)信息共享。

2.1 患者隱私數(shù)據(jù)保護(hù)框架

若將患者的隱私數(shù)據(jù)明文text直接上鏈，沒有任何的隱私保護(hù)措施，容易造成敏感數(shù)據(jù)泄露。若僅將患者隱私數(shù)據(jù)的哈希值Hash上鏈存儲，那么患者真實(shí)數(shù)據(jù)并不在鏈上，鏈下數(shù)據(jù)存儲容易存在數(shù)據(jù)丟失、被破壞等安全隱患。因此，患者的隱私數(shù)據(jù)加密并存放于主鏈上，才能使用智能合約完成對患者隱私數(shù)據(jù)的保護(hù)和分享，才能真正利用區(qū)塊鏈的可追溯、不可篡改等特性。

政府機(jī)構(gòu)_將患者的個人基礎(chǔ)數(shù)據(jù)和行程數(shù)據(jù)以及病歷加密上傳至區(qū)塊鏈，其他節(jié)點(diǎn)無法獲得隱私數(shù)據(jù)DATA的具體內(nèi)容。區(qū)塊鏈審計(jì)機(jī)構(gòu)構(gòu)建在區(qū)塊鏈上，可對鏈上所有數(shù)據(jù)操作行為進(jìn)行審計(jì)。該機(jī)構(gòu)將對主鏈和側(cè)鏈任何讀寫操作以及更新數(shù)據(jù)進(jìn)行記錄，加強(qiáng)了、各方的操作合規(guī)性。患者自己也能申請查看區(qū)塊鏈審計(jì)機(jī)構(gòu)的審計(jì)結(jié)果，增強(qiáng)患者隱私數(shù)據(jù)傳輸過程的透明度。

、上的各個機(jī)構(gòu)對患者隱私數(shù)據(jù)傳輸流程如圖3 所示。

圖3 主鏈隱私數(shù)據(jù)傳輸流程Fig.3 Main chain privacy data transfer process

患者將隱私數(shù)據(jù)和具體行程告知_。由于、各個機(jī)構(gòu)或者民眾的權(quán)限不同，能夠看到患者數(shù)據(jù)的敏感程度不同。即上的機(jī)構(gòu)不僅可以看到患者的近期行程路線等基本信息，用來對高危場所及時實(shí)施消殺，對密切接觸者及時隔離，還可以掌握例如身份信息、家庭住址等患者敏感信息用作記錄檔案。而為了保護(hù)患者個人隱私，防止患者因身份泄露而造成影響正常生活的不良后果，上的民眾只能掌握患者近期內(nèi)的行程路線和病癥，以提示民眾近期不要前往高危地區(qū)?？蒲袡C(jī)構(gòu)等可根據(jù)醫(yī)療機(jī)構(gòu)提供的病癥以及一些科研所需數(shù)據(jù)，例如病毒基因序列、病毒分型等進(jìn)行疫苗研發(fā)以及科研攻關(guān)。社區(qū)可根據(jù)疫情發(fā)展等綜合因素配合疫情管理部門進(jìn)行基層工作。因此應(yīng)采取分級加密的方式對鏈上數(shù)據(jù)進(jìn)行加密。

2.2 患者個人數(shù)據(jù)信息單

個人數(shù)據(jù)信息單中應(yīng)儲存的內(nèi)容包括患者個人隱私信息DATA、患者醫(yī)療信息DATA、患者行程信息DATA、主治醫(yī)師信息DATA等。

（1）患者個人隱私信息DATA。主要記錄患者的基本資料，如姓名、性別、年齡、地址、單位、電話號碼、手機(jī)號碼、身份證號、患者編號等。

（2）患者醫(yī)療信息DATA。主要包括診斷、處方、檢查和檢驗(yàn)結(jié)果、醫(yī)囑、病例等。

（3）患者行程信息DATA?；颊咴诮?4 天之內(nèi)所去過的所有場所以及患者的密切接觸者。

（4）主治醫(yī)師信息DATA。主要記錄主治醫(yī)師所在的醫(yī)院、醫(yī)院等級、科室以及醫(yī)師的姓名、身份證號等個人信息。

醫(yī)療機(jī)構(gòu)提供DATA和DATA，疫情防控部門提供DATA和DATA。政府機(jī)構(gòu)將整合以上信息并進(jìn)行對稱加密上傳至區(qū)塊鏈，可供鏈上的任何節(jié)點(diǎn)下載數(shù)據(jù)，并根據(jù)主側(cè)鏈權(quán)限查看相應(yīng)數(shù)據(jù)。系統(tǒng)每隔一段時間會檢查一遍各節(jié)點(diǎn)是否存在同步出錯或者惡意篡改鏈上數(shù)據(jù)的情況。新節(jié)點(diǎn)加入也需對區(qū)塊鏈上數(shù)據(jù)進(jìn)行校驗(yàn)。為了方便檢索，本系統(tǒng)需要對每一個患者個人數(shù)據(jù)單設(shè)計(jì)一個唯一ID，ID的命名規(guī)則為=(ID,ID)，其中ID為患者編號，ID為患者個人數(shù)據(jù)分類編號。具體組成結(jié)構(gòu)如圖4所示。患者個人數(shù)據(jù)單上鏈時按照如圖4 的層次排序，患者、政府部門以及醫(yī)療機(jī)構(gòu)可以細(xì)粒度地控制患者個人數(shù)據(jù)單。假如某節(jié)點(diǎn)想要搜索101 號患者行程信息，其ID 為（101，4）。此方法可快速查找到所需記錄，將患者的個人數(shù)據(jù)單信息進(jìn)行歸納整合。

圖4 ID 結(jié)構(gòu)Fig.4 ID structure

2.3 患者數(shù)據(jù)上鏈后區(qū)塊鏈系統(tǒng)共識過程

本文采用dBFT 機(jī)制完成聯(lián)盟鏈的共識過程?；颊邤?shù)據(jù)上鏈后，通過聯(lián)盟鏈上各個節(jié)點(diǎn)進(jìn)行共識后，記錄在區(qū)塊中。系統(tǒng)中由_內(nèi)部選取一個節(jié)點(diǎn)作為主節(jié)點(diǎn)，該節(jié)點(diǎn)只起共識過程的發(fā)起與引導(dǎo)作用，可以將上鏈請求排序。上除主節(jié)點(diǎn)外的其他節(jié)點(diǎn)設(shè)置為代理節(jié)點(diǎn)，上的節(jié)點(diǎn)為普通節(jié)點(diǎn)。代理節(jié)點(diǎn)有記賬權(quán)，普通節(jié)點(diǎn)可以看到共識過程，并同步賬本信息，但不參與記賬。具體共識過程如下：

（1）患者數(shù)據(jù)產(chǎn)生后由政府機(jī)構(gòu)節(jié)點(diǎn)ψ經(jīng)過預(yù)處理提取其摘要后，向區(qū)塊鏈網(wǎng)絡(luò)中的主、側(cè)鏈分別廣播該摘要值記錄，其中D為加密過的患者數(shù)據(jù)：

（2）主節(jié)點(diǎn)收到足夠多的患者數(shù)據(jù)摘要后，將這些患者數(shù)據(jù)排序并上傳至新區(qū)塊上，對新區(qū)塊進(jìn)行簽名并將其Hash 值(D) 廣播至主鏈網(wǎng)絡(luò)中。上的其他代理節(jié)點(diǎn)收到該區(qū)塊后，將區(qū)塊中的患者數(shù)據(jù)添加至自己的賬本中，再對區(qū)塊中的患者數(shù)據(jù)進(jìn)行Hash 運(yùn)算，與主節(jié)點(diǎn)發(fā)來的新區(qū)塊Hash值(′)比較，若兩Hash值相同，則代理節(jié)點(diǎn)認(rèn)為該區(qū)塊是正確的，并廣播確認(rèn)信息至區(qū)塊鏈網(wǎng)絡(luò)上。

2.4 區(qū)塊鏈分級加密患者隱私保護(hù)方案

由上述隱私數(shù)據(jù)保護(hù)方案可知，、的權(quán)限不同，允許查看患者隱私數(shù)據(jù)的敏感程度不同。接觸患者隱私數(shù)據(jù)的敏感程度高，接觸患者隱私數(shù)據(jù)的敏感程度低。因此通過采取HDES 分級加密的方法來保護(hù)患者隱私數(shù)據(jù)。

HDES 方案中把患者數(shù)據(jù)可分為基礎(chǔ)數(shù)據(jù)和隱私數(shù)據(jù)兩部分：

（1）隱私數(shù)據(jù)DATA：患者個人隱私信息DATA、主治醫(yī)師信息DATA。

（2）基礎(chǔ)數(shù)據(jù)DATA：患者醫(yī)療信息DATA、患者行程信息DATA。

側(cè)鏈節(jié)點(diǎn)只允許查看DATA，主鏈節(jié)點(diǎn)允許查看DATA和DATA。加密后的患者數(shù)據(jù)還需要支持授權(quán)共享，例如區(qū)塊鏈系統(tǒng)如何授權(quán)新的主鏈機(jī)構(gòu)給予其隱私數(shù)據(jù)查看權(quán)限。

HDES 方案主要包括_提供患者個人數(shù)據(jù)的加密存儲和上各個患者數(shù)據(jù)使用方對數(shù)據(jù)的解密讀取、對新加入節(jié)點(diǎn)授予權(quán)限。通過將患者數(shù)據(jù)分為基礎(chǔ)數(shù)據(jù)和隱私數(shù)據(jù)兩部分進(jìn)行不同級別的保護(hù)，達(dá)到在區(qū)塊鏈上對數(shù)據(jù)操作、患者數(shù)據(jù)隱私保護(hù)和新加入節(jié)點(diǎn)數(shù)據(jù)共享的目的。

_對患者個人數(shù)據(jù)加密的流程如圖5所示，其加密過程描述如下。

圖5 患者個人數(shù)據(jù)加密流程Fig.5 Patient personal data encryption process

加密患者數(shù)據(jù)算法本文方案選擇AES-256 算法，加密對稱加密密鑰選擇RSA-OAEP 算法。假設(shè)、為主鏈上的機(jī)構(gòu)MChain、MChain，為側(cè)鏈上的機(jī)構(gòu)SChain。且_已經(jīng)授權(quán)并分配給MChain和MChain私鑰_MP、_MP和公鑰_MS、_MS，并分配給SChain私鑰_SP和公鑰_SS。

（1）第一級加密

使用智能合約生成的K對患者的DATA進(jìn)行逐個對稱加密形成密文text。此時患者的DATA是明文狀態(tài)text。導(dǎo)出類似患者1：text的鍵值對，將text上鏈。

MChain使用_授權(quán)分配的_MS對K進(jìn)行非對稱加密，K-C為使用_MS加密K的密文。

導(dǎo)出類似于MChain：K-C的鍵值對并寫入?yún)^(qū)塊鏈上。

（2）第二級加密

以MChain和SChain為例。使用智能合約隨機(jī)生成側(cè)鏈節(jié)點(diǎn)公鑰_SS=(,)和私鑰_SP=(,)。其中，是兩個隨機(jī)大素?cái)?shù)之積，1 ≤≤()，且gcd(,())=1，=2 mod(())。

使用K對text和text進(jìn)行逐個加密，text表示第二級加密密文，此時的DATA是二次加密狀態(tài)，DATA是一次加密狀態(tài)。

MChain和SChain使用_授權(quán)分配的_MS和_SS對K逐個進(jìn)行非對稱加密，其中K-C為使用_SS加密K的密文。

導(dǎo)出類似于SChain：K-C的鍵值對并寫入?yún)^(qū)塊鏈上。

導(dǎo)出類似于患者1：text的鍵值對并寫入?yún)^(qū)塊鏈上。

主、側(cè)鏈上患者個人數(shù)據(jù)使用方解密的流程如圖6 所示，現(xiàn)在MChain對區(qū)塊鏈上患者數(shù)據(jù)進(jìn)行解密，具體流程如下：

圖6 患者個人數(shù)據(jù)解密流程Fig.6 Patient personal data decryption process

（1）主鏈機(jī)構(gòu)第一級解密

MChain向數(shù)據(jù)系統(tǒng)提出數(shù)據(jù)獲取請求，發(fā)送當(dāng)前時間戳并加密，格式如下：request_=(DATA||DATA||)。隨后數(shù)據(jù)系統(tǒng)驗(yàn)證MChain的身份時，MChain重新生成一個驗(yàn)證時間戳并進(jìn)行加密，格式如下：verify_=(DATA||DATA||′)，若數(shù)據(jù)系統(tǒng)驗(yàn)證身份成功，則將加密后的患者數(shù)據(jù)reply_=(text||″)返回至MChain。并由區(qū)塊鏈審計(jì)機(jī)構(gòu)進(jìn)行審計(jì)。

MChain使用智能合約從區(qū)塊鏈上讀取_MP：K-C鍵值對，MChain使用_授權(quán)分配的私鑰_MP對K-C進(jìn)行解密。并由區(qū)塊鏈審計(jì)機(jī)構(gòu)進(jìn)行審計(jì)，生成數(shù)據(jù)操作記錄。

MChain使用K對text進(jìn)行解密，并由區(qū)塊鏈審計(jì)機(jī)構(gòu)進(jìn)行審計(jì)。由于K只能解密患者的DATA，此時的DATA依舊是密文狀態(tài)text。

將患者的text與text進(jìn)行分離，text用于第二層解密。

（2）第二級解密

MChain使用智能合約從區(qū)塊鏈數(shù)據(jù)系統(tǒng)讀取K-C，MChain使用_授權(quán)分配的_MP對K進(jìn)行解密，并由區(qū)塊鏈審計(jì)機(jī)構(gòu)進(jìn)行審計(jì)，生成數(shù)據(jù)操作記錄。

得到K后，MChain使用智能合約在區(qū)塊鏈數(shù)據(jù)系統(tǒng)中獲取患者1：text的鍵值對。

MChain使用K對text進(jìn)行解密，得到text，并由區(qū)塊鏈審計(jì)機(jī)構(gòu)進(jìn)行審計(jì)。

側(cè)鏈上的民眾或者機(jī)構(gòu)只需要進(jìn)行第一級解密，就可以得到患者的基礎(chǔ)數(shù)據(jù)DATA，在此不再贅述。

本文在HDES 方案中還需考慮新加入節(jié)點(diǎn)的數(shù)據(jù)共享問題。若此時機(jī)構(gòu)D 申請加入?yún)^(qū)塊鏈成為一個節(jié)點(diǎn)，假設(shè)其加入側(cè)鏈，則通過_分配公私鑰對。假設(shè)其加入主鏈，則使用pBFT 共識機(jī)制，由主鏈上具有投票權(quán)的機(jī)構(gòu)進(jìn)行投票，當(dāng)超過51%的節(jié)點(diǎn)同意其加入主鏈，達(dá)成共識，那么機(jī)構(gòu)D 即可加入主鏈。新加入節(jié)點(diǎn)共享患者數(shù)據(jù)流程圖如圖7 所示。具體流程如下：

圖7 新加入節(jié)點(diǎn)共享患者數(shù)據(jù)流程Fig.7 Newly joined nodes share patient data process

假設(shè)機(jī)構(gòu)已通過投票成為MChain。

_為MChain分配公私鑰對_MP、_MS。

使用主鏈或者側(cè)鏈任意節(jié)點(diǎn)（圖中為MChain）的私鑰_MP解密隨機(jī)密鑰密文K-C，得到K的明文。

使用MChain的公鑰_MS加密K，隨后添加進(jìn)公鑰對應(yīng)K-C的鍵值對列表。

MChain為主鏈機(jī)構(gòu)，使用主鏈任意節(jié)點(diǎn)（圖中為MChain）的私鑰_MP解密隨機(jī)密鑰密文K-C，得到K的明文。

使用MChain的公鑰_MS加密隨機(jī)密鑰K，隨后添加進(jìn)公鑰對應(yīng)K-的鍵值對列表，增加權(quán)限流程結(jié)束。

當(dāng)主鏈或者側(cè)鏈上某個節(jié)點(diǎn)退出區(qū)塊鏈，或者_(dá)將其節(jié)點(diǎn)強(qiáng)制封禁時需撤銷其權(quán)限。但是由于區(qū)塊鏈具有不可篡改性，不可以直接從區(qū)塊鏈賬本上刪除類似:K-的鍵值對來撤銷權(quán)限，系統(tǒng)需要通過對區(qū)塊鏈賬本添加撤銷指令，用以撤銷節(jié)點(diǎn)查看信息的權(quán)限。將新的撤銷指令添加到區(qū)塊鏈賬本上，由于區(qū)塊鏈上的區(qū)塊以時間順序連接在一起，在查看訪問策略時，先查看最新添加的訪問控制信息，一旦檢索到節(jié)點(diǎn)的訪問控制策略后，隨即停止檢索。即可做到節(jié)點(diǎn)查看患者個人信息權(quán)限的撤銷。

3 安全性與性能分析

3.1 安全性分析

本文方案中，當(dāng)發(fā)現(xiàn)疫情相關(guān)患者后，政府機(jī)構(gòu)及時將患者的個人信息、近期行程以及治療細(xì)節(jié)加密上傳至鏈上，密文可以保證數(shù)據(jù)的安全性。全國各地經(jīng)過政府機(jī)構(gòu)驗(yàn)證的主鏈節(jié)點(diǎn)和注冊驗(yàn)證的側(cè)鏈，個人或者機(jī)構(gòu)可下載加密數(shù)據(jù)并使用私鑰進(jìn)行解密，使得全網(wǎng)可快速、安全地共享患者個人數(shù)據(jù)而不會泄露患者的隱私。

本文系統(tǒng)為基于聯(lián)盟鏈的雙鏈系統(tǒng)。由疾控系統(tǒng)中擔(dān)任的角色以及責(zé)任劃分為主鏈和側(cè)鏈，并將患者數(shù)據(jù)分為隱私數(shù)據(jù)DATA和基礎(chǔ)數(shù)據(jù)DATA。上由_主導(dǎo)，醫(yī)療機(jī)構(gòu)與疫情防控管理部門共同合作共享DATA，則由民眾、科研機(jī)構(gòu)以及社區(qū)組成，可查看DATA。各個節(jié)點(diǎn)之間無需互相信任，每一個節(jié)點(diǎn)都無法控制或者修改患者數(shù)據(jù)，只攻擊系統(tǒng)中的一個或者一部分節(jié)點(diǎn)不會造成系統(tǒng)網(wǎng)絡(luò)癱瘓。本系統(tǒng)將患者數(shù)據(jù)進(jìn)行加密后直接存儲在鏈上，首先是為了方便智能合約對數(shù)據(jù)進(jìn)行處理；其次，患者個人隱私數(shù)據(jù)不選擇儲存在第三方中心化云存儲服務(wù)器上，更有效地利用區(qū)塊鏈系統(tǒng)的去中心化特點(diǎn)，使系統(tǒng)具有更加良好的抗單點(diǎn)失效攻擊性能。

本系統(tǒng)采用區(qū)塊鏈作為底層架構(gòu)，節(jié)點(diǎn)? 與數(shù)據(jù)系統(tǒng)進(jìn)行交互時均發(fā)送了系統(tǒng)當(dāng)前時間戳，過程如下所示：

節(jié)點(diǎn)? 向數(shù)據(jù)系統(tǒng)提出數(shù)據(jù)獲取請求，并對該時間戳進(jìn)行了加密_=(DATA||DATA||)，此時攻擊者無法獲得該時間戳。

數(shù)據(jù)系統(tǒng)驗(yàn)證節(jié)點(diǎn)? 身份時，節(jié)點(diǎn)? 又將重新生成一個時間戳′并進(jìn)行加密，將_=(DATA||DATA||′) 發(fā)送至數(shù)據(jù)系統(tǒng)。若數(shù)據(jù)系統(tǒng)驗(yàn)證身份成功，則將加密后的患者數(shù)據(jù)_=(text||″)返回至節(jié)點(diǎn)?。在此過程中，假設(shè)攻擊者截獲了{(lán)_,_}，但是依舊不能獲得患者數(shù)據(jù)的明文形式。當(dāng)數(shù)據(jù)系統(tǒng)解密獲得兩個時間戳{,′}后，只需判斷兩個時間戳之間的時間差，若′-＞Δ，則說明系統(tǒng)中存在重放攻擊，因此本文方案可以抵抗重放攻擊。

（1）節(jié)點(diǎn)? 向數(shù)據(jù)系統(tǒng)提出數(shù)據(jù)獲取請求_=(DATA||DATA||)，假設(shè)在此過程中，攻擊者獲取了_，但無法解密該密文，因此無法修改其中的身份信息。

（2）假設(shè)攻擊者攔截節(jié)點(diǎn)? 向數(shù)據(jù)系統(tǒng)發(fā)出的數(shù)據(jù)訪問請求_=(DATA||DATA||)，并將此請求發(fā)送至數(shù)據(jù)系統(tǒng)。此時系統(tǒng)認(rèn)為是節(jié)點(diǎn)? 發(fā)送的請求，并繼續(xù)截獲_=(DATA||DATA||′)發(fā)送給數(shù)據(jù)系統(tǒng)。數(shù)據(jù)系統(tǒng)將加密后的患者個人數(shù)據(jù)單_=(text||″) 返回，攻擊者先將患者個人數(shù)據(jù)單text備份存儲至本地，然后將text轉(zhuǎn)發(fā)給節(jié)點(diǎn)?。此時攻擊者雖然得到加密后的數(shù)據(jù)，但由于沒有授權(quán)的私鑰_，無法解密加密數(shù)據(jù)text。

區(qū)塊鏈系統(tǒng)本身包含很多個節(jié)點(diǎn)，一旦數(shù)據(jù)被寫入?yún)^(qū)塊鏈，每個節(jié)點(diǎn)都會備份該數(shù)據(jù)，由于區(qū)塊鏈賬本是分布式儲存的，這種分布式特性使單個節(jié)點(diǎn)無法修改鏈上內(nèi)容。

假設(shè)攻擊者為系統(tǒng)中的一個節(jié)點(diǎn)，其試圖修改患者數(shù)據(jù)。主節(jié)點(diǎn)_將患者數(shù)據(jù)的摘要值(,()) 廣播至鏈上，修改患者數(shù)據(jù)并且廣播修改后的患者數(shù)據(jù)摘要值′(′,(′))。根據(jù)2.3 節(jié)所述的dBPF 共識機(jī)制過程，其他正常代理節(jié)點(diǎn)將收到一個否認(rèn)信息，但是dBPF 共識機(jī)制可以容忍不超過整個網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)目1/3 的節(jié)點(diǎn)誤差，因此其他代理節(jié)點(diǎn)將確認(rèn)信息結(jié)果同步至本地帳本。攻擊者此時并不能修改患者數(shù)據(jù)。

若攻擊者想要攻擊成功，必須控制系統(tǒng)中超過1/3 的代理節(jié)點(diǎn)。但是，此系統(tǒng)選用的是聯(lián)盟鏈，與公有鏈不同，聯(lián)盟鏈擁有主節(jié)點(diǎn)，主節(jié)點(diǎn)具有身份認(rèn)證和權(quán)限設(shè)置的功能。主鏈上為醫(yī)療機(jī)構(gòu)、政府機(jī)構(gòu)，是社會中公信力較強(qiáng)的機(jī)構(gòu)。因此出現(xiàn)大范圍主動攻擊區(qū)塊鏈系統(tǒng)的可能性極小。故此系統(tǒng)能夠抵抗惡意篡改攻擊。

區(qū)塊鏈系統(tǒng)中每生成一個區(qū)塊，區(qū)塊頭中會寫入?yún)^(qū)塊產(chǎn)生的時間戳，區(qū)塊鏈上的區(qū)塊以時間順序連接在一起。本系統(tǒng)將記錄主側(cè)鏈上各個節(jié)點(diǎn)查看隱私數(shù)據(jù)的操作，并以日志的形式存放在鏈上。如果發(fā)生患者隱私數(shù)據(jù)泄露事件，區(qū)塊鏈審計(jì)機(jī)構(gòu)將所有節(jié)點(diǎn)的數(shù)據(jù)動作進(jìn)行溯源，追究數(shù)據(jù)泄露方責(zé)任。如果發(fā)生惡意篡改患者隱私數(shù)據(jù)事件并且惡意篡改的節(jié)點(diǎn)不超過系統(tǒng)總節(jié)點(diǎn)數(shù)的1/3，區(qū)塊鏈審計(jì)機(jī)構(gòu)將此區(qū)塊的信息進(jìn)行審計(jì)和溯源，對修改區(qū)塊信息的惡意攻擊行為進(jìn)行責(zé)任追究。

3.2 實(shí)驗(yàn)分析

本小節(jié)將對基于側(cè)鏈技術(shù)的重大疫情防控系統(tǒng)使用Ethereum 作為系統(tǒng)的區(qū)塊鏈平臺進(jìn)行實(shí)驗(yàn)測試，實(shí)驗(yàn)環(huán)境為IntelCorei7-7700HQ CPU@2.80 GHz的CPU，RAM 為8 GB 的服務(wù)器，使用docker容器模擬10 個側(cè)鏈節(jié)點(diǎn)，向主鏈發(fā)送查看數(shù)據(jù)的請求。在固定時間內(nèi)側(cè)鏈交易池中確認(rèn)的數(shù)據(jù)請求量如表1 所示。從表1 中可以看出吞吐量能夠穩(wěn)定在130 transaction/s 以上，此系統(tǒng)具備承載醫(yī)療應(yīng)用的能力。

表1 數(shù)據(jù)請求確認(rèn)量Table 1 Number of data request confirmation

本文針對現(xiàn)有患者隱私數(shù)據(jù)進(jìn)行統(tǒng)計(jì)與分析，發(fā)現(xiàn)單個患者個人隱私數(shù)據(jù)的文件大小約為1 KB，本文使用RSA-OAEP 和AES 分級加密算法對上述數(shù)據(jù)文件進(jìn)行加密、解密以及授權(quán)仿真，并對第一、二級加密和第一、二級解密的時間進(jìn)行測試，測試結(jié)果如圖8（a）～（c）所示。

圖8 加解密及授權(quán)時間Fig.8 Encryption and decryption and authorization time

為了更準(zhǔn)確地評估方案的實(shí)際加解密性能，本文利用PyCharm 2020.1.1x64 編譯器對患者數(shù)據(jù)文件進(jìn)行RSA 和AES 分層加解密實(shí)驗(yàn)仿真。圖9（a）～（c）展示了在不同文件大小下的加解密時間以及第一、二級加密和第一、二級解密的時間，將包含批量患者隱私數(shù)據(jù)的文件進(jìn)行加解密，患者文件大小從0 MB到16 MB，每次測試增量為2 MB，觀察到加解密時間是隨著患者隱私數(shù)據(jù)文件大小的增加而增加的，但在批量加解密16 MB 患者隱私數(shù)據(jù)文件時，其加解密時間分別為1 779 s與1 678 s，時間均不超過30 min，考慮到單個患者隱私數(shù)據(jù)為1 KB 級，16 MB 文件大小足以處理16 000 余人的患者隱私數(shù)據(jù)，在應(yīng)對重大疫情時，能夠保證數(shù)據(jù)的吞吐量。

圖9 不同文件大小下的加解密時間Fig.9 Encryption and decryption time for different file sizes

圖10（a）～（c）展示了一次性加解密不同數(shù)量患者隱私數(shù)據(jù)下的時間以及第一、二級加密和第一、二級解密的時間，患者人數(shù)從0 人到16 000 人，每次測試增量為2 000 人。觀察到加解密時間是隨著一次性加解密患者總?cè)藬?shù)的增加而增加的。考慮到一次性加密患者總?cè)藬?shù)較多，本文還可通過分批加密的方式進(jìn)一步減少加解密所需時間。將2 000 人及以上的患者加密時分成以千人為單位的患者數(shù)據(jù)組，每次加密單個患者數(shù)據(jù)組，實(shí)驗(yàn)結(jié)果如圖11 所示。

圖10 不同患者人數(shù)下的加解密時間Fig.10 Encryption and decryption time with different number of patients

圖11 分批加解密時間Fig.11 Batch encryption decryption time

3.3 性能對比分析

本文采取對照分析法評估重大疫情患者隱私保護(hù)方案，由于本文系統(tǒng)是結(jié)合區(qū)塊鏈而提出的醫(yī)療數(shù)據(jù)的隱私保護(hù)以及共享方案，與文獻(xiàn)[3]、文獻(xiàn)[6]和文獻(xiàn)[7]現(xiàn)有所提出的結(jié)合區(qū)塊鏈醫(yī)療數(shù)據(jù)隱私保護(hù)及共享方案進(jìn)行對比。從各個方案所采用的共識機(jī)制、算力需求、鏈結(jié)構(gòu)、所需節(jié)點(diǎn)數(shù)、采用區(qū)塊鏈類型以及加密效率來進(jìn)行比較，對比結(jié)果如表2 所示。

表2 方案對比Table 2 Comparison of programs

根據(jù)對比結(jié)果可知，本文方案使用的dBFT 算法作為共識機(jī)制，相對于文獻(xiàn)[3]使用的工作量證明，文獻(xiàn)[6]使用的改進(jìn)委托權(quán)益證明，文獻(xiàn)[7]使用的實(shí)用拜占庭容錯機(jī)制，本文方案基于共識機(jī)制所需的初始節(jié)點(diǎn)數(shù)相對較少，且不需要大量的算力去維護(hù)區(qū)塊鏈系統(tǒng)，具有一定的易維護(hù)性。且相對于文獻(xiàn)[6]，聯(lián)盟鏈的去中心化程度高于私有鏈。文獻(xiàn)[6]中提出使用分布式數(shù)據(jù)庫存儲患者數(shù)據(jù)，并用格基算法對患者數(shù)據(jù)進(jìn)行加密。與本文方案的加密算法相比，格基算法雖能保證較高的安全性，但是針對醫(yī)療數(shù)據(jù)，格基算法目前只能實(shí)現(xiàn)比特級加密，而在重大疫情發(fā)生時，所需要處理的患者數(shù)據(jù)量至少是MB 級的，格基算法效率低且不易實(shí)現(xiàn)。本文方案還對患者隱私數(shù)據(jù)在鏈上進(jìn)行分層加密，方便節(jié)點(diǎn)使用智能合約對患者數(shù)據(jù)進(jìn)行操作且安全性較高。綜上所述，本文方案的去中心化程度以及效率在目前的方案當(dāng)中占有一定的優(yōu)勢。

4 結(jié)束語

本文使用實(shí)用拜占庭容錯機(jī)制的共識算法，采用聯(lián)盟鏈并劃分出主側(cè)鏈，采用側(cè)鏈技術(shù)對患者信息進(jìn)行共享，并提出HDES 分級加密方案，根據(jù)主側(cè)鏈權(quán)限不同，呈現(xiàn)出的患者數(shù)據(jù)也不同，實(shí)現(xiàn)對患者數(shù)據(jù)的細(xì)粒度訪問控制，更好地保護(hù)了患者的個人隱私。及時做到醫(yī)療信息和行程信息共享，保障患者個人隱私數(shù)據(jù)安全、財(cái)產(chǎn)安全和社會穩(wěn)定。未來將對本文方案的加解密效率和共識算法進(jìn)行改進(jìn)，保證系統(tǒng)的效率，改善系統(tǒng)功能，使得改進(jìn)后的醫(yī)療信息系統(tǒng)未來能夠應(yīng)對類似于新冠肺炎這樣的重大疫情。