楊白 陳華強

統(tǒng)計表明，2017年僅在美國出現(xiàn)的重大醫(yī)療信息泄露事件就有15次，保守估計，共有約300萬名病人的信息被泄露。而在我國，近些年來，這樣的安全事件也頻頻發(fā)生。比如2017年9月《法制日報》就報道了一家醫(yī)院的服務(wù)信息系統(tǒng)遭到黑客入侵，被泄露的公民信息多達7億多條，8000多萬條公民信息被販賣。毫無疑問，衛(wèi)生醫(yī)療信息有著很高的價值，其中包含的患者姓名、年齡、居住地址、電話、病史、銀行賬戶等信息，蘊含著重要的財富價值。正因如此，衛(wèi)生醫(yī)療行業(yè)一直是信息竊取的主要目標(biāo)。另外，衛(wèi)生醫(yī)療信息的爆炸式增長及互聯(lián)網(wǎng)的迅速發(fā)展，致使衛(wèi)生醫(yī)療機構(gòu)內(nèi)網(wǎng)的數(shù)據(jù)逐漸走向公網(wǎng)，然而衛(wèi)生醫(yī)療行業(yè)的信息安全保護起步較晚，導(dǎo)致了衛(wèi)生醫(yī)療信息泄露的事故層出不窮。

衛(wèi)生醫(yī)療信息在傳遞過程中容易被攔截、篡改和泄漏，因此，醫(yī)療人員與患者迫切需要一種能夠在各衛(wèi)生醫(yī)療機構(gòu)之間實現(xiàn)衛(wèi)生醫(yī)療信息共享，并能夠保證患者信息不會泄露。

衛(wèi)生醫(yī)療信息安全設(shè)計

基于CA認(rèn)證的傳統(tǒng)安全機制雖然可以解決大部分環(huán)境下的安全問題，但還是存在一定問題。由于其過于依賴CA中心，一旦CA中心被攻破，則無法對人員進行認(rèn)證，也無法辨別信息真假，將造成不可估量的問題。利用區(qū)塊鏈技術(shù)信息的去中心化、不可篡改等性質(zhì)，可以保證衛(wèi)生醫(yī)療信息的安全。因此，本文設(shè)計了基于區(qū)塊鏈的無中心化安全系統(tǒng)架構(gòu)。該架構(gòu)的七層結(jié)構(gòu)分為必須層和可選層，必須層包括數(shù)據(jù)層、網(wǎng)絡(luò)層和共識層，是構(gòu)建區(qū)塊鏈的基礎(chǔ)，可選層包括激勵層、合約層和應(yīng)用層，分別負(fù)責(zé)激勵制度的發(fā)行和分配、個性化合約的制定和基于區(qū)塊鏈技術(shù)App的開發(fā)，其功能與區(qū)塊鏈本身的安全性關(guān)系較低。

按照區(qū)塊鏈的基礎(chǔ)架構(gòu)模型，各層的詳細(xì)設(shè)計如下：

數(shù)據(jù)層：該層涉及數(shù)據(jù)存儲的格式和方法。數(shù)據(jù)層存儲著病人衛(wèi)生醫(yī)療記錄的信息摘要和具體數(shù)據(jù)在云存儲中的位置，結(jié)構(gòu)相同的區(qū)塊通過鏈?zhǔn)浇Y(jié)構(gòu)形成數(shù)據(jù)的鏈條。系統(tǒng)負(fù)責(zé)創(chuàng)建創(chuàng)世塊，網(wǎng)絡(luò)節(jié)點新產(chǎn)生的區(qū)塊經(jīng)過驗證后被加入到主鏈上，形成對交易數(shù)據(jù)的永久保存。在鏈中通過時間戳來保證各區(qū)塊按照時序鏈接，通過哈希函數(shù)來保證數(shù)據(jù)不被篡改，通過公鑰加密實現(xiàn)身份認(rèn)證，這些技術(shù)一起使用保證了安全。

網(wǎng)絡(luò)層：整個區(qū)塊鏈網(wǎng)絡(luò)層可以看作是一個P2P網(wǎng)絡(luò)負(fù)責(zé)節(jié)點之間的通信及傳播區(qū)塊，同時還包含驗證機制輔助完成區(qū)塊的驗證和共識。網(wǎng)絡(luò)層的目的是實現(xiàn)網(wǎng)絡(luò)中各個節(jié)點之間的通信，是一個P2P網(wǎng)絡(luò)。

共識層：該層包含系統(tǒng)的共識機制。區(qū)塊鏈的一個關(guān)鍵優(yōu)勢是使所有分布式節(jié)點達到對數(shù)據(jù)有效性的一致，這是節(jié)點之間相互信任的基礎(chǔ)，因此共識層的設(shè)計非常重要。本系統(tǒng)并沒有采用傳統(tǒng)的PoW和PoS機制，而是采取了多重簽名機制。

激勵層：激勵層提供一定的激勵機制鼓勵節(jié)點參與區(qū)塊鏈的交易驗證工作。區(qū)塊鏈的安全性依賴于眾多節(jié)點的參與。由于衛(wèi)生醫(yī)療信息系統(tǒng)的區(qū)塊鏈不是加密貨幣，所以不能通過挖礦來產(chǎn)生貨幣，以激勵礦工共同維護公共賬本的有效性。在此鏈中法幣將以代幣的形式在鏈中流通，用于支付交易費。在此鏈中，每筆交易都會產(chǎn)生一定量的交易費，交易費由交易的輸入和輸出的差值產(chǎn)生，由在挖礦競賽中獲勝的礦工收集，作為挖礦獎勵。在此鏈中，采用了比特幣的工作量證明機制，每一個固定的時間周期內(nèi)會產(chǎn)生一個新的區(qū)塊。

合約層：合約層繼承了比特幣區(qū)塊鏈的設(shè)計，封裝了區(qū)塊鏈系統(tǒng)的各類腳本代碼、算法。可以利用腳本代碼規(guī)定交易的方式和各項細(xì)節(jié)，通過合約層的腳本技術(shù)，可以實現(xiàn)延時支付、擔(dān)保交易以及根據(jù)外部信息源觸發(fā)交易事件等類型的應(yīng)用。

應(yīng)用層：在此設(shè)計的區(qū)塊鏈中，主要是實現(xiàn)病人衛(wèi)生醫(yī)療記錄的發(fā)布、保存和共享，實現(xiàn)如下3個主要功能。衛(wèi)生醫(yī)療記錄發(fā)布病人在醫(yī)院看病或者在醫(yī)院等醫(yī)療機構(gòu)做檢查時，醫(yī)生會為該病人產(chǎn)生病歷、檢查報告等衛(wèi)生醫(yī)療數(shù)據(jù)（ M）。衛(wèi)生醫(yī)療數(shù)據(jù)產(chǎn)生后，醫(yī)生會為衛(wèi)生醫(yī)療數(shù)據(jù)生成哈希，并將衛(wèi)生醫(yī)療記錄的摘（ Digest） 、哈希用發(fā)行方的私鑰（ skisser） 簽名后發(fā)布到此鏈上。同時將衛(wèi)生醫(yī)療記錄用對稱密鑰（ k） 加密，并將加密密鑰用病人的公鑰（ pk patient） 加密后一起發(fā)送給病人。衛(wèi)生醫(yī)療記錄存儲病人從衛(wèi)生醫(yī)療機構(gòu)收到了自己的衛(wèi)生醫(yī)療數(shù)據(jù)后，首先驗證機構(gòu)的簽名，然后用自己的私鑰解密出衛(wèi)生醫(yī)療數(shù)據(jù)的加密密鑰，并解密出原始衛(wèi)生醫(yī)療數(shù)據(jù)及其簽名，然后生成新的加密密鑰將衛(wèi)生醫(yī)療數(shù)據(jù)及其簽名加密存放到云存儲中保存。衛(wèi)生醫(yī)療記錄共享病人的醫(yī)療數(shù)據(jù)的使用權(quán)限完全由用戶自己控制，病人可以通過訪問控制交易授權(quán)第3方訪問其部分衛(wèi)生醫(yī)療記錄，并可以隨時收回權(quán)限。授權(quán)時會將共享記錄在云存儲中的位置、使用權(quán)限、使用期限、用第3方使用者公鑰機密的解密密鑰一起寫入?yún)^(qū)塊鏈中，云存儲管理端會以此設(shè)置訪問控制策略。

安全性分析

本文從隱私保護、不可修改性和安全存儲3個方面進行了安全分析。

隱私保護。基于區(qū)塊鏈的特性，病人的個人信息將會被唯一哈希值標(biāo)識，而不像傳統(tǒng)衛(wèi)生醫(yī)療機構(gòu)中使用用戶姓名或者ID標(biāo)識。病人的衛(wèi)生醫(yī)療記錄文件訪問權(quán)掌握在自己手中，基于密碼學(xué)的非對稱加密技術(shù)使得用戶可以在每次上傳中重新生成公私鑰對，這樣實現(xiàn)了用戶對每個文件的訪問權(quán)限限定。而衛(wèi)生醫(yī)療機構(gòu)A，則在加入到區(qū)塊鏈網(wǎng)絡(luò)中時，身份信息已被唯一哈希標(biāo)識，使其同步的文件具有權(quán)威性。本文中區(qū)塊鏈網(wǎng)絡(luò)本質(zhì)上是保存文件唯一標(biāo)識的哈希值，因此即使得到了文件哈希，沒有用戶的私鑰也無法解開任何在區(qū)塊鏈網(wǎng)絡(luò)中的任何密文信息。

不可修改性。基于區(qū)塊鏈的設(shè)計，使得上傳到私有網(wǎng)絡(luò)中的文件帶有時間戳，任何操作記錄都被同步到所有節(jié)點，保證了文件使用透明性?；趨^(qū)塊鏈特性，每個文件的區(qū)塊中保存有上一個所存文件的哈希，要想改變當(dāng)前文件哈希必須保證私有網(wǎng)絡(luò)中超過50%的節(jié)點同意，在一個較大規(guī)模的區(qū)塊鏈網(wǎng)絡(luò)中，這幾乎是一件不可能事件。所以，對初始文件的任何改變都會實時顯示在區(qū)塊鏈網(wǎng)絡(luò)中，保證了本方案私有區(qū)塊鏈網(wǎng)絡(luò)中文件的不可修改性。

安全存儲。數(shù)據(jù)的存儲安全是區(qū)塊鏈的重要特性，在本文的方案中，病人對自己的衛(wèi)生醫(yī)療記錄具有所有權(quán)，并完全控制它的使用。從數(shù)據(jù)的生產(chǎn)到數(shù)據(jù)的使用過程都是安全的。衛(wèi)生醫(yī)療記錄的公共信息（ 包括衛(wèi)生醫(yī)療記錄元數(shù)據(jù)、加密記錄的存儲位置、哈希值、存取權(quán)限等） 都存儲在區(qū)塊鏈上，公共可見無法篡改。衛(wèi)生醫(yī)療機構(gòu)作為醫(yī)療記錄生產(chǎn)方，生成記錄后即對記錄進行哈希，并對哈希值進行簽名，然后用病人的記錄和簽名用病人的公鑰進行加密，并存儲在鏈下的云存儲中，并把記錄的哈希和位置寫入?yún)^(qū)塊鏈，確保了數(shù)據(jù)來源的機密性、真實性;云存儲的分布式存儲特點保證數(shù)據(jù)存儲的安全性。病人收到衛(wèi)生醫(yī)療記錄后，用自己的私鑰解密密文，獲得原始記錄的哈希和簽名，驗證記錄的完整性和真實性，并將原始記錄采用對稱密鑰進行加密，并將其歸集到自己的衛(wèi)生醫(yī)療記錄存儲空間。只有授權(quán)用戶才可以獲得解密密鑰，查看真實記錄。敵手即使從存儲中獲得記錄，由于存儲的是記錄的密文，也無法獲得衛(wèi)生醫(yī)療記錄的任何真實信息，確保了衛(wèi)生醫(yī)療記錄數(shù)據(jù)的安全。

本文設(shè)計的區(qū)塊鏈為病人的衛(wèi)生醫(yī)療記錄提供了安全的分布式存儲機制，使得病人的衛(wèi)生醫(yī)療記錄的所有權(quán)歸病人所有，并由其控制其使用權(quán)限，建立起一個共享的、及時的、準(zhǔn)確的和廣泛的個人衛(wèi)生健康數(shù)據(jù)源。

（作者單位：浙江衛(wèi)健委信息中心，高博技術(shù)與戰(zhàn)略研究所）