董鑫穎 江榮旺，2 魏 爽，2

1 三亞學院 三亞 572022

2 容淳銘院士工作站 三亞 572022

引言

隨著科學技術(shù)和網(wǎng)絡的迅猛發(fā)展，越來越多的紙質(zhì)文件已被電子文件取代。除了比紙質(zhì)文檔更環(huán)保之外，數(shù)字數(shù)據(jù)還可以實時傳輸和共享[1]。其中，電子醫(yī)療信息可以帶來很多便利，越來越多的國家已經(jīng)開始使用電子病歷[2]。電子醫(yī)學記錄、電子健康記錄和個人健康記錄的數(shù)據(jù)融合可以使醫(yī)療環(huán)境更加個性化并滿足患者的需求。這三類電子記錄的融合可以幫助醫(yī)生在做出診斷之前全方位掌握患者的情況(包括過敏性藥物、既往病史和主要手術(shù)等)，因此不僅可以使醫(yī)學診斷過程更加迅速，而且可以減少由于信息不足引起的醫(yī)療事故的發(fā)生[3]。另外，三類電子記錄的融合有利于醫(yī)療電子文件的共享、保存和保護，從而使醫(yī)療過程更加透明，醫(yī)療服務更加個性化，也有助于進行相關(guān)醫(yī)療研究。

2005年，電子醫(yī)學記錄的重要性引起了人們的關(guān)注[4]。雖然電子醫(yī)學記錄具有相當大的優(yōu)勢，但除了用于存儲電子醫(yī)療數(shù)據(jù)的收集、存儲和數(shù)據(jù)分析外，同時確保這些信息在整個醫(yī)療系統(tǒng)的操作過程中不侵犯用戶的隱私也非常重要。而這也是電子醫(yī)療數(shù)據(jù)重要的研究課題?，F(xiàn)如今，大多數(shù)新技術(shù)都依賴于互聯(lián)網(wǎng)[5]，在公共渠道中，文件容易受到惡意攻擊，從而導致信息安全問題，而區(qū)塊鏈技術(shù)可以很好地保護信息的安全。因此，研究和設計一種基于區(qū)塊鏈技術(shù)的醫(yī)療數(shù)據(jù)融合系統(tǒng)是一種解決當有醫(yī)療數(shù)據(jù)共享中信息安全的辦法。

1 醫(yī)療數(shù)據(jù)融合和認證方案

醫(yī)療數(shù)據(jù)融合系統(tǒng)主要由以下幾部分組成：醫(yī)院、醫(yī)生、患者、其他人員(比如患者的家人)、區(qū)塊鏈轉(zhuǎn)化系統(tǒng)和區(qū)塊鏈存儲共享系統(tǒng)。患者接受身體健康檢查后，醫(yī)院會生成患者的電子健康記錄。患者從醫(yī)生那里獲得身體診斷結(jié)果，同時醫(yī)生會生成電子醫(yī)學記錄。患者本人使用的傳感器通過物聯(lián)網(wǎng)技術(shù)獲得生理信息，生成個人健康記錄并通過移動設備上傳網(wǎng)絡。醫(yī)院、醫(yī)生和患者生成的電子醫(yī)學記錄會被發(fā)送到區(qū)塊鏈系統(tǒng)的工作站中，工作站通過計算并生成塊，然后將其上傳到區(qū)塊鏈網(wǎng)絡。當患者收集三份電子醫(yī)療相關(guān)文檔時，可以解密并匯總區(qū)塊中的隱私信息，然后將其傳輸?shù)焦ぷ髡具M行計算以生成個人健康記錄區(qū)塊并將其上傳到區(qū)塊鏈網(wǎng)絡。在完成此階段的步驟之后，其他人員通過患者的授權(quán)可以搜索患者的匯總記錄。詳細的醫(yī)療數(shù)據(jù)融合系統(tǒng)架構(gòu)如圖1所示。

圖1 醫(yī)療數(shù)據(jù)融合系統(tǒng)結(jié)構(gòu)

醫(yī)療數(shù)據(jù)融合系統(tǒng)可以分為電子健康記錄上傳系統(tǒng)階段、電子醫(yī)學記錄上傳系統(tǒng)階段、個人健康記錄上傳系統(tǒng)階段和個人醫(yī)學報告上傳區(qū)塊鏈網(wǎng)絡階段。在前三個階段，醫(yī)院、醫(yī)生和患者將其電子病歷上傳到區(qū)塊鏈轉(zhuǎn)換系統(tǒng)中，然后患者在區(qū)塊鏈轉(zhuǎn)化系統(tǒng)中匯總病歷記錄，最后將匯總的病歷上傳至區(qū)塊鏈網(wǎng)絡中。在區(qū)塊鏈網(wǎng)絡中，醫(yī)生和患者家屬需要組認證許可才可以訪問患者的區(qū)塊。對于組認證的設置將在1.2.2節(jié)中介紹，包括組成員的相互認證以及組成員的添加和刪除。組認證可以有效保護隱私安全。下面將詳細介紹醫(yī)療數(shù)據(jù)融合系統(tǒng)的各個部分。

1.1 區(qū)塊內(nèi)容

在醫(yī)療數(shù)據(jù)融合系統(tǒng)中區(qū)塊的內(nèi)容包括塊編號、塊ID、先前的塊ID、隨機數(shù)、接收方公鑰、記錄生成時間戳、塊生成時間戳、塊簡要信息和敏感信息。區(qū)塊的內(nèi)容結(jié)構(gòu)如圖2所示。

圖2 區(qū)塊的內(nèi)容結(jié)構(gòu)

每個區(qū)塊包括區(qū)塊頭和區(qū)塊體兩部分。區(qū)塊頭主要有：區(qū)塊ID、前區(qū)塊ID，先前區(qū)塊內(nèi)容和隨機數(shù)的哈希值，并且區(qū)塊ID將引導所有區(qū)塊向前形成區(qū)塊鏈。塊生成最重要的部分是塊ID的計算，區(qū)塊ID的計算必須滿足難度限制。在每個區(qū)塊中都包含了接收者的公鑰。接收者的公鑰相當于發(fā)送信件時收件人地址。因此，當區(qū)塊存儲公鑰時，接收者可以使用他/她的公鑰在區(qū)塊鏈中檢索自己的區(qū)塊。區(qū)塊時間戳是生成塊的時間，其目的是識別塊生成的順序。區(qū)塊的信息內(nèi)容主要包括患者的生理數(shù)據(jù)、生理狀況和醫(yī)療建議。區(qū)塊體中的敏感信息是患者的個人隱私信息，因此區(qū)塊內(nèi)的敏感信息將由接收者的公共密鑰或組會話密鑰加密，只有密鑰的所有者才能將密文解密為純文本以供查看。區(qū)塊鏈轉(zhuǎn)化系統(tǒng)的區(qū)塊模擬如圖3所示。

圖3 區(qū)塊示意圖

1.2 個人醫(yī)學報告匯總

醫(yī)療數(shù)據(jù)融合系統(tǒng)中首先要解決的問題就是醫(yī)院、醫(yī)生和患者在上傳電子記錄時要計算的簽名、加密、解密問題和小組成員設置問題。小組成員包括醫(yī)生、患者、親戚、朋友和護理提供者，在小組設置階段要執(zhí)行的驗證和計算，以及關(guān)于會話密鑰的最終聯(lián)合協(xié)議。而小組成員如何獲取患者匯總的個人健康記錄也是數(shù)據(jù)融合系統(tǒng)需要解決的問題。接下來針對這些問題進行詳細介紹。

1.2.1 電子健康記錄上傳階段

最后，所有信息都使用醫(yī)院的私鑰簽名。其中

電子醫(yī)學記錄和個人健康記錄上傳階段流程與電子健康記錄上傳階段大致相同。

1.2.2 個人醫(yī)學報告生成階段

1.3 組設置階段

此階段的主要目的是構(gòu)建組環(huán)境。包括患者、醫(yī)生、親戚、朋友和醫(yī)療提供者在內(nèi)的組成員進行相互身份驗證并共同商定組會話密鑰，以便在最終組成員檢索階段，組成員可以使用此密鑰查看加密的隱私信息。

1.3.1 組成員互認證階段

是否等。如果不相等，則認證失敗，會話終止。否則，驗證成功并結(jié)束此階段。

1.3.2 新成員加入階段

1.3.3 會員離開階段

1.3.4 組成員檢索階段

在此階段，有效的組成員可以通過患者個人醫(yī)學報告搜索系統(tǒng)檢索患者個人醫(yī)學報告。成員首先發(fā)送組標識然后在區(qū)塊鏈網(wǎng)絡中檢索它。區(qū)塊鏈搜索系統(tǒng)收到成員的請求后，檢索并顯示所有符合的塊。想要查看其信息內(nèi)容的組成員，通過解密敏感信息。

并驗證以下內(nèi)容的正確性。

如果公式(16)、(17)、(18)內(nèi)容正確，則檢索結(jié)束。

2 擬議方案的分析

組成員身份驗證中常見的安全問題包括用戶匿名性、已知密鑰安全性和內(nèi)部攻擊。本節(jié)將對提出的方案進行安全和功能分析，以證明提議的機制可以抵抗以下常見的安全攻擊并滿足安全功能要求，具體分析如下。

2.1 患者匿名性

在所提出的方案中，所有消息均使用用戶的公鑰和私鑰進行加密和簽名，在不公開披露的情況下傳輸患者的身份，并通過計算來驗證消息的身份以及消息的加密和解密公鑰和私鑰。在患者個人醫(yī)學報告上傳階段，患者將匯總所有電子記錄，然后使用組會話密鑰加密敏感信息并將其上傳到區(qū)塊鏈轉(zhuǎn)換系統(tǒng)中，最后將其轉(zhuǎn)換成區(qū)塊上傳到區(qū)塊鏈網(wǎng)絡中。在小組成員檢索階段，小組成員將發(fā)送到患者醫(yī)學報告搜索系統(tǒng)中，該系統(tǒng)使用此類標識代碼進行索引，最后顯示所有匹配的區(qū)塊。要查看內(nèi)容，授權(quán)的小組成員必須使用小組會話密鑰解密才能查看。由于在整個過程中，患者的個人身份并未通過公共渠道進行傳輸，因此攻擊者無法跟蹤患者的身份，也無法收集特定患者的醫(yī)學信息。

2.2 已知密鑰攻擊的預防

2.3 防止內(nèi)部攻擊

在患者發(fā)送消息后，消息通過塊轉(zhuǎn)換系統(tǒng)轉(zhuǎn)換為符合格式的區(qū)塊，然后上載到塊鏈網(wǎng)絡。塊轉(zhuǎn)換系統(tǒng)收到消息后，包含患者身份的敏感信息仍為密文。這些內(nèi)容都使用患者的公鑰公式(19)加密。

或使用公式(20)所示的組會話密鑰進行加密，并且內(nèi)容只能由患者使用他自己的私鑰解密，或者由組成員使用組會話密鑰解密，而在整個過程中不使用個人識別密碼。因此，內(nèi)部人員無法使用患者用戶標識密碼或未授權(quán)身份來竊取患者的敏感信息。

2.4 安全性和功能比較

在安全性和功能方面，本方法與文獻[6]、文獻[7]和文獻[8]進行了比較。其中文獻[6]無法實現(xiàn)用戶匿名和抵御離線密碼猜測攻擊。而文獻[7]和文獻[8]沒有提供組認證機制。具體比較結(jié)果如表1、表2所示。

表1 各方案的安全性比較

表2 各方案之間功能比較

3 結(jié)論

本研究將區(qū)塊鏈的安全性、不可否認性和其他功能與物聯(lián)網(wǎng)的遠程、實時、自動化和其他功能相結(jié)合，并提出了一種可以匯總?cè)N類型病歷的安全機制。該機制的目的不僅是解決病歷存儲問題，加快醫(yī)療過程，減少醫(yī)療錯誤，而且還為患者提供更加個性化的醫(yī)療服務。本研究中，醫(yī)院、醫(yī)生和患者可以對生成的電子記錄(電子健康記錄、電子醫(yī)學記錄、個人健康記錄)的隱私信息進行加密和簽名，然后將其發(fā)送到區(qū)塊鏈轉(zhuǎn)換系統(tǒng)以合并成區(qū)塊并上傳到區(qū)塊鏈網(wǎng)絡。之后，患者可以通過區(qū)塊鏈網(wǎng)絡獲得自己的電子健康記錄、電子醫(yī)學記錄和個人健康記錄，并匯總這三個文件以生成自己的個人醫(yī)學報告，然后通過區(qū)塊鏈轉(zhuǎn)換系統(tǒng)將其上傳到區(qū)塊鏈網(wǎng)絡。另一方面，本研究還設計了一種組認證機制，以使授權(quán)的組成員(例如醫(yī)生、親戚和朋友等)可以隨時隨地查看患者的醫(yī)學信息并監(jiān)視患者的生理信息。授權(quán)的小組成員共同認證同意的小組身份和小組會話密鑰使患者能夠使用小組會話密鑰來加密和保護患者的隱私。如果其他授權(quán)的小組成員想要查看和監(jiān)視患者當前的生理健康數(shù)據(jù)，他們還可以使用該小組的會話密鑰進行解密，從而實現(xiàn)實時的遠程醫(yī)療監(jiān)視功能。