基于聯盟鏈的醫院人事檔案數據存儲方案研究

李菲

摘要：傳統醫院人事檔案多為紙質版，會集中存儲在檔案室，由專人進行管理。由于紙質檔案存在易丟失、易篡改和易損壞等缺點，對檔案的查閱與審核帶來不便。文章基于聯盟鏈技術提出醫院人事檔案數據存儲方案，方案中的主節點負責對故障的普通節點進行賬本同步，并對加入聯盟鏈的節點進行身份認證，保證了各節點數據的時效性，避免了惡意節點對檔案數據的影響。通過改進的共識算法，將醫院人事檔案數據存儲在區塊中，保證了檔案數據的完整性和一致性，并在共識算法中加入主節點更換機制，有效地避免了單點故障。鏈上哈希鏈下存儲方式，實現了檔案數據的高效存儲。

關鍵詞：人事檔案；紙質版；聯盟鏈；身份認證；共識算法

中圖分類號： TP311? ? ? ? 文獻標識碼：A

文章編號：1009-3044（2023）01-0046-03

醫院人事檔案是醫務人員業務能力、工作表現的重要反應，為醫院合理配置人才提供了重要依據。但目前大部分醫院仍然停留在手工操作的層面上，毀壞、丟失、涂改人事檔案的現象仍有發生，嚴重阻礙了醫院人事檔案資源的開發和利用。如何推進檔案電子化[1]存儲是當前迫切需要解決的問題。

區塊鏈按照節點準入機制分為三類，分別為公有鏈、私有鏈和聯盟鏈[2]。目前聯盟鏈是區塊鏈技術領域的主要研究對象。結合聯盟鏈的特征，把信息存儲到不同的節點中，即使某一節點受到攻擊，其他節點的信息依然會保留信息不會缺失。并且存儲在區塊中的數據無法修改，保證了數據的真實性。

王輝等[3]對實用拜占庭容錯算法（Practical Byzantine Fault Tolerance，PBFT） 進行改進并使用星際文件系統，實現人事檔案的可追溯性和本地備份，但存儲開銷較大，缺少身份認證機制，并且當主節點出錯或成為惡意節點時主節點選取隨意，通信復雜度過高，可拓展性比較低。Azaria等[4]提出一種新的分布式電子健康檔案管理系統，通過區塊鏈技術實現了對電子健康檔案的數據訪問和權限管理，但共識算法采用工作量證明（Proof of Work， PoW），所需的算力較大。本文基于文獻[3]和文獻[4]，提出了基于聯盟鏈的醫院人事檔案數據存儲方案，實現了節點管理、共識算法和鏈上哈希鏈下存儲。

1 基于聯盟鏈的醫院人事檔案數據存儲方案

1.1 網絡模型

本文方案的網絡模型由主節點、從節點、普通節點（醫院）、哨兵和認證中心（Certification Authority，CA） 組成，采用一主多從三哨兵的部署方案。按照地理范圍將節點劃分為若干個區域，每個區域都由32位的區域標識符進行標識，區域中包括一個從節點和若干個普通節點，節點間采用P2P方式進行通信。為了使每一個區域能夠和本區域以外的區域進行通信，本文方案使用層次結構的區域劃分，在上層的區域叫作主干區域，作用是用來連通其他在下層的區域，如圖1所示。

主干區域中的主節點、從節點都安裝非關系型數據庫redis（remote dictionary server），存儲各普通節點登錄醫院人事檔案應用系統的用戶賬號、密碼信息。普通節點部署關系型數據庫，用于存儲本醫院人事檔案信息和經過主節點驗證通過的用戶登錄信息token。哨兵是不提供數據服務的redis服務器，通常哨兵配置數量為奇數。哨兵通過發送命令，讓主節點和從節點中的redis服務器返回其運行狀態。主節點負責對普通節點進行身份認證、對聯盟鏈網絡賬本信息進行同步，在此過程中主節點成為整個系統的單點故障，若主節點宕機則無法向故障的普通節點同步賬本信息。從節點作為主節點的備份，當主節點宕機時，哨兵在從節點中選舉新的主節點，并將新的主節點信息打包成區塊廣播給其他節點。

由于區域之間頻繁地交換區塊數據，因此所有的節點最終都能建立一個完整的賬本，多個賬本記著同一個賬，而且每個賬本都是一樣，可以相互校驗。CA用來將公鑰與其對應的節點進行綁定，每個節點都有CA發來的證書，里面有公鑰及其擁有者的標識信息（節點地址信息）。此證書被CA進行了數字簽名，任何節點都可從可信的地方獲得CA的公鑰。此公鑰用來驗證某個公鑰是否為某個節點所擁有（通過向CA查詢）。

1.2 節點管理

區塊鏈各節點之間的通信方式是對等方式（P2P方式），在P2P網絡中，用戶可以隨時加入、離開網絡，提供一種分布式、自組織的連接模式。而且隨著用戶節點的加入，系統整體的服務能力也在相應地提高。但缺少身份認證、數據驗證、網絡安全管理等機制[5]，P2P通信易遭受截獲攻擊、篡改攻擊、惡意程序和拒絕服務等攻擊。相對于C/S通信方式，P2P通信無法使用安全級別更高的防火墻和入侵檢測等技術。

本文方案對醫院人事檔案聯盟鏈節點進行管理，實現節點的加入認證和權限管理。由公鑰、私鑰和地址可以唯一的確定一個節點，私鑰通過橢圓曲線生成公鑰，公鑰通過哈希函數生成地址，這兩個過程都是單向的。普通節點首次加入聯盟鏈網絡，需要將數字證書發送給主節點。主節點對數字證書進行驗證，若證書有效則允許普通節點加入聯盟鏈中，并將自己的數字證書發送給普通節點，否則拒絕其加入。主節點驗證普通節點數字證書有效后，普通節點需要將節點的用戶信息（賬號、密碼等）通過橢圓曲線數字簽名算法（Elliptic Curve Digital Signature Algorithm， ECDSA） 進行數字簽名，并對數字簽名進行加密后發送給主節點。主節點收到簽名信息后，對簽名信息進行驗證，確認收到的信息的確是普通節點發送的，如圖2所示。

主節點將收到的普通節點的用戶信息和相應節點的地址綁定后存入redis中，并同步給從節點。當系統中檢測到有惡意節點加入，主節點可以停用惡意節點用戶信息，使得惡意節點無法登錄系統。本文方案在醫院內部采用B/S架構，醫院的服務器端作為普通節點。當用戶通過普通節點登錄系統時，將用戶賬號、密碼通過P2P的方式發送給主節點，主節點對賬號密碼進行驗證，若驗證通過則生成令牌token，并回送給普通節點。普通節點將用戶賬號、token存儲在本地關系型數據庫中。并返回給前端用戶登錄頁面，前端保存到window.sessionStorage中，每次訪問接口的時候都需要提交token作為驗證，驗證通過則可以訪問接口。主節點通過redis存儲用戶的賬號、密碼信息，用于對普通節點發送過來的登錄信息進行驗證。若主節點宕機，redis將采用哨兵模式切換主從節點，保證用戶提供正常的用戶登錄驗證功能。redis采用哨兵模式切換主從節點后，新的主節點將本節點的信息打包成區塊發送給其他區塊，收到區塊的節點記錄新的主節點信息。用戶登錄時，普通節點將賬號、密碼信息發送給新的主節點進行驗證。

1.3 IPoW共識算法

不同醫院的人事檔案數據相互獨立存儲和維護，彼此間相互孤立。通過在聯盟鏈下多方參與共識，可以解決數據孤島問題。區塊鏈系統作為一個多節點的分布式賬本系統，當有新的信息（一個區塊）需要更新到本地的賬本記錄中，哪個節點來負責記賬，哪些節點負責驗證記賬結果，如何讓各個節點達成最終一致，將記賬結果被網絡中所有節點以同樣的順序復制并記錄下來，就是共識算法要做的事情。比特幣系統和以太坊系統均基于工作量證明PoW算法來實現其共識機制。

本文對PoW共識算法進行改進，將挖礦過程限制在較小的區域內，對共識過程中節點間傳輸的數據進行加密處理，并為獲得記賬權的節點設置隨機的退避時間，得出改進的工作量證明（Improved Proof of Work， IPoW） 共識算法，如算法1所示。

算法1? IPoW共識算法

1） 主節點選定一條橢圓曲線E和基點G廣播給其他節點。

2） 網絡中所有節點選擇自己的私有密鑰ki，并根據橢圓曲線E和基點G生成相應的公開密鑰Ki=kiG。

3） 普通節點獲取需要存儲在區塊體中的檔案數據data和區塊鏈最后一個區塊的哈希值hash。通過檔案數據data構造merkle哈希樹，并設置一個計數器nonce，初始值為0。

4） 對hash、merkle樹根和nonce進行字符串拼接，并通過安全散列算法（SHA， Secure Hash Algorithm） 進行哈希運算，SHA256（hash+merkle樹根+nonce）。

5） 檢查上一步的哈希值是否滿足某個條件（如哈希值前4位都是0） ，滿足則停止計算，不滿足則nonce加1，然后重復第4步和第5步，直到滿足這個特定的條件為止。

6）將新產生的區塊編碼到橢圓曲線E上的一點M，并產生一個隨機整數r，計算Ci=M+rKi （i=1，2，...） 和C=rG。并將Ci、C發送給同一個區域內的其他相應節點。

7） 其他節點收到信息后，計算[Ci-kiC=M+rKi-ki（rG）=M+r（Ki-kiG）=M]，結果就是點M。

8） 將點M恢復為最初的區塊數據，收到區塊的節點驗證區塊哈希值是否滿足指定條件（如哈希值前4位都是0） ，若不滿足則丟棄該區塊。

9） 獲取新區塊的首部標志字段flag（1-普通區塊 2-主節點更換通知區塊），判斷收到的區塊類型。若標志字段flag為1，該區塊為普通區塊。若標志字段flag為2，該區塊為新的主節點廣播的主節點更換通知區塊，獲取創世區塊中存儲的哨兵節點信息（IP地址、端口號等），遍歷哨兵節點獲取主節點信息，驗證收到的區塊中存儲的主節點信息，若不匹配則丟棄該區塊。

10） 收到區塊的節點驗證區塊頭部中上一區塊哈希值字段與本節點區塊鏈最后一個區塊的哈希值是否一致，若一致則將區塊加入本地區塊鏈中，通過從節點所在的主干區域將區塊廣播給其他區域，其他區域收到經過共識的區塊則直接加入本地區塊鏈中，若不一致則丟棄該區塊。

11）節點記賬成功后，需要退避一個隨機時間才能再次爭奪記賬權。基本退避時間選取系統平均出塊時間τ，從整數集合[0， 1， ... ， （2k -1）]中隨機地取出一個數記為r，其中k = min[出塊次數，3]，退避時間就是r倍的基本退避時間。

1.4 數據存儲

醫院人事檔案包含《干部基本信息審核表》《干部履歷表》《入團志愿書》《入黨志愿書》《轉正定級材料》等檔案材料，數據存儲采用“鏈上哈希，鏈下存儲”的方式[6]，區塊上通過merkle哈希樹存儲檔案摘要信息，醫院本地關系型數據庫中存儲檔案詳細信息和區塊哈希值。《干部基本信息審核表》在區塊上存儲哈希值和摘要信息（姓名、性別、出生年月、民族和籍貫），如圖3所示，區塊的數據結構如下：

block= {

“blockHead” ： {

“index” ： “區塊索引號（區塊高度）”，

“hash” ： “當前區塊的hash值”，

“previousHash” ： “前一個區塊的hash值”，

“merkle” ： “merkle樹根節點的哈希值”，

“timestamp” ： “生成區塊的時間戳”，

“nonce” ： “工作量證明，計算正確hash值的次數”，

“flag” ： “區塊類型標志字段”

}，

“blockBody” ： [{

“name” ： “姓名”，

“gender” ： “性別”，

...

}]

}

在醫院本地關系型數據庫中存儲《干部基本信息審核表》詳細信息和區塊的哈希值。通過區塊上存儲的哈希值和摘要信息，可以定位到關系型數據庫中的詳細信息。當醫院職工調離工作崗位需要轉移其個人人事檔案。首先由個人向原單位申請，原單位查詢存儲在聯盟鏈上的人事檔案，將鏈上數據重新打包成新的區塊，通過IPoW共識算法進行共識。共識通過后將存儲在數據庫中的鏈下數據加密處理后發送給接收單位。若接收單位接收該人事檔案，則將收到加密的鏈下數據進行解密處理后加入本地節點中，并向原單位發送一個接收確認，原單位則將該檔案的狀態標記為調離。

2 性能分析

2.1 安全性分析

區塊鏈網絡中節點故障和網絡擁塞會出現數據異常，導致不同節點賬本數據不統一。本文方案網絡模型采用一主多從三哨兵的部署方案，主節點負責對聯盟鏈網絡賬本信息進行同步。若主節點故障，則通過redis的哨兵模式選舉新的主節點，并在聯盟鏈中進行登記。區塊鏈的虛擬數字貨幣應用，例如比特幣、以太坊等都是建立在不可信且透明的P2P網絡上，共識算法采用PoW通過消耗算力的方式保證數據的一致性和有效性，但是沒有對成員節點進行身份認證，區塊鏈網絡中存在惡意節點廣播錯誤數據。本文方案對節點進行管理，通過數字簽名算法ECDSA對加入系統的節點證明其合法性，實現區塊鏈節點的合法加入和有效通信，從而實現拜占庭容錯。

PoW共識算法在共識過程中，節點間傳輸的數據是明文，容易遭受篡改或監聽。運行區塊鏈系統需要消耗計算資源，隨著系統的運行，資源消耗會越來越大，以至于普通的節點無法負擔。具有較高算力的節點將會優先獲得記賬權，最終區塊鏈系統將被有限的大型資源節點接管，存在節點間的合謀攻擊。本文方案對PoW共識算法進行改進提出IPoW共識算法，對傳輸的檔案數據通過橢圓曲線加密（Elliptic Curve Cryptography， ECC） 保密通信算法進行加密處理，實現傳輸數據的安全性。通過為獲得記賬權的節點設置隨機的退避時間，實現網絡中的所有節點獲得記賬權的公平性，避免了節點間的合謀攻擊。

2.2 存儲開銷

醫院人事檔案數據量較大，若將所有數據都存儲在聯盟鏈上，每一個節點都實時同步完整賬本數據，這種模式產生了大量冗余數據，隨著鏈上數據存儲量增長、數據操作量的增加，大量消耗存儲資源。本系統采用“鏈上哈希，鏈下存儲”的數據存儲方式，通過哈希函數和merkle哈希樹實現鏈上數據和鏈下數據的高效關聯，聯盟鏈上存儲哈希值和摘要信息，聯盟鏈上各節點維護的賬本數據量較小，將大量的詳細檔案信息存儲在醫院本地關系型數據庫中，實現在一個區塊中存儲一組文檔。既保證了檔案信息的不可篡改，又有效地降低了系統運行時的存儲開銷。

3 結束語

醫院人事檔案是醫院人事管理工作的重要組成部分，本文分析了聯盟鏈技術在醫院人事檔案數據存儲中的應用，包括系統網絡模型中節點間采用P2P通信方式、通過ECDSA數字簽名算法實現對普通節點的身份認證、節點間共識采用IPoW共識算法、數據存儲采用鏈上哈希鏈下存儲的方式。本系統實現了傳統檔案的電子化、分布式存儲和不可篡改性，進一步實現了檔案保存的安全性，提高檔案管理效率、優化管理工作質量，有效地降低了檔案管理的成本。

參考文獻：

[1] 吳寶康.檔案學概論[M].北京：中國人民大學出版社，1999.

[2] 黃冬艷，李浪，陳斌，等.RBFT：基于Raft集群的拜占庭容錯共識機制[J].通信學報，2021，42（3）：209-219.

[3] 王輝，陳博，劉玉祥.基于區塊鏈的人事檔案管理系統研究[J].計算機科學，2021，48（S2）：713-718.

[4] Azaria A，Ekblaw A，Vieira T，et al.MedRec：using blockchain for medical data access and permission management[C]. Vienna，Austria：2016 2nd International Conference on Open and Big Data （OBD），2016.IEEE，2016：25-30.

[5] 韓璇，袁勇，王飛躍.區塊鏈安全問題：研究現狀與展望[J].自動化學報，2019，45（1）：206-225.

[6] 邵長年.基于區塊鏈技術的疫苗追溯架構[J].中國醫學工程，2021，29（1）：37-39.

【通聯編輯：王力】