基于云安全的醫(yī)療數(shù)據(jù)信息平臺架構(gòu)與網(wǎng)絡(luò)通信方法研究

田凱元

（1.天津大學(xué)，天津 300011；2.天津市職業(yè)病防治院，天津 300011）

我國是世界上勞動人口最多的國家，勞動人口占我國總?cè)丝诩s60%，龐大的勞動人口存在大量的職業(yè)病情，對于職業(yè)病相關(guān)的數(shù)據(jù)合理采集、保存與利用，對于確保勞動者的身體健康，促進我國經(jīng)濟穩(wěn)定增長具有重要意義。

在5G 與物聯(lián)網(wǎng)蓬勃發(fā)展的背景下，醫(yī)療機構(gòu)借助電子設(shè)備傳輸例如電子病歷等醫(yī)療數(shù)據(jù)。電子病歷通常存儲在私有數(shù)據(jù)庫中，患者的相關(guān)數(shù)據(jù)分散在各個醫(yī)院系統(tǒng)中，因此患者無法向醫(yī)生提供詳細、專業(yè)、細致的歷史醫(yī)療記錄。而作為醫(yī)院，則希望獲取患者過往的歷史病例，以充分了解病程。但患者的病歷資料中包含了大量不宜公開的個人隱私信息，因此，設(shè)計合理的醫(yī)療數(shù)據(jù)共享系統(tǒng)具有重要意義。

基于上述問題，針對醫(yī)學(xué)信息共享進行了進一步研究，醫(yī)療數(shù)據(jù)信息平臺的設(shè)計必須將患者的隱私保護放在首位。區(qū)塊鏈由于其具有開放性與可驗證性等特征，尤其符合醫(yī)療數(shù)據(jù)共享網(wǎng)絡(luò)的設(shè)計原則。此外，區(qū)塊鏈的分散性，可以有效避免頻繁的網(wǎng)絡(luò)請求和響應(yīng)所帶來的性能限制。

1 醫(yī)療區(qū)塊鏈構(gòu)建

該數(shù)據(jù)結(jié)構(gòu)的目標用戶包括醫(yī)院、患者本身及任何醫(yī)療保健提供者、云服務(wù)或其他指定人員[1]。這些實體在區(qū)塊鏈上均由不對稱密鑰對的公共部分表示[2]，每個醫(yī)院均有唯一的UID，該UID 在發(fā)布前經(jīng)過散列以防止數(shù)據(jù)泄露[3]。

圖1 區(qū)塊鏈結(jié)構(gòu)

如圖1 所示，每個區(qū)塊由兩個主要類別的數(shù)據(jù)元素組成，塊頭元素提供了建立區(qū)塊鏈的順序和完整性所需的重要元數(shù)據(jù)。這些包括諸如先前塊的哈希以及唯一的塊標識符[4]、時間戳和塊的總大小等數(shù)據(jù)。塊數(shù)據(jù)的另一個主要類別為交易元素。

1.1 交易處理流程

交易元素的處理方式如下：假設(shè)患者P在醫(yī)院H接受放射線檢查，結(jié)果數(shù)據(jù)為X[5]，并且需要與保健醫(yī)生D共享這些數(shù)據(jù)。數(shù)據(jù)傳輸交易的順序如圖2所示。

圖2 中，定義Ka與分別為參與者a 的公鑰和私鑰[6]，而則表示根據(jù)私鑰產(chǎn)生的消息μ。圖2 流程可分為以下最小步驟集：

圖2 交易順序示例

1）定義源[7]。此步驟通過將公鑰鏈接到統(tǒng)一資源定位符（URL）來建立醫(yī)學(xué)成像數(shù)據(jù)的來源[8]。

2）定義檢查[9]。此步驟設(shè)定具有特定唯一標識符UID 的醫(yī)療數(shù)據(jù)創(chuàng)建者和患者作為放射檢查的所有者，存儲在區(qū)塊鏈中的元組為{KH,{KP,KH,Hash。此雙重簽名的交易可類比為帶有患者和醫(yī)院代表簽名的文件[10]，醫(yī)院將共同簽署患者的數(shù)據(jù)請求，并廣播數(shù)據(jù)傳輸交易以納入?yún)^(qū)塊鏈。

3）允許訪問[11]。此步驟允許放射線檢查的資料所有者授權(quán)另一方從源端點URL 檢索所有者的醫(yī)療數(shù)據(jù)[12]。在圖2 給出的流程中，患者P 簽署了一項對D 醫(yī)生授權(quán)的交易[13]，區(qū)塊鏈中包含已簽名的元組

患者在親自與醫(yī)生核實秘鑰后發(fā)布了該數(shù)據(jù)傳輸?shù)恼埱蠼灰譡14]。在上述方式彼此取消匿名后，患者可以授予適當人員的訪問權(quán)限，保健醫(yī)生即可將任何接收到的醫(yī)療數(shù)據(jù)與正確的病歷號相關(guān)聯(lián)[15]。

1.2 數(shù)據(jù)傳輸

本次的醫(yī)療區(qū)塊鏈上未存儲任何醫(yī)學(xué)數(shù)據(jù)；交易鏈僅代表允許訪問每個研究的關(guān)鍵所有者的列表。實際的醫(yī)療數(shù)據(jù)傳輸要求醫(yī)療數(shù)據(jù)接收者，將簽名請求發(fā)送到數(shù)據(jù)源的URL 端點。

醫(yī)療數(shù)據(jù)源公共密鑰和哈希研究UID 包含了請求的必要元素。醫(yī)生在某時刻發(fā)出了數(shù)據(jù)傳輸請求D，收到此類請求后，醫(yī)療數(shù)據(jù)源會驗證簽名是否正確，檢查UID 是否指定了其自身的公鑰。確認散列的UID 對應(yīng)于其預(yù)先為患者發(fā)布的一項醫(yī)療數(shù)據(jù)，并通過區(qū)塊鏈確認患者已授予請求者訪問這些醫(yī)療數(shù)據(jù)的權(quán)限。若滿足所有標準，則源返回包含醫(yī)療數(shù)據(jù)的ITI-43 響應(yīng)。請求和響應(yīng)均通過傳輸層安全鏈路傳輸，以防止竊聽。

1.3 數(shù)據(jù)驗證

在醫(yī)學(xué)數(shù)據(jù)分享中，必須考慮塊創(chuàng)建和驗證的過程[16]。基于分布式共識的驗證系統(tǒng)優(yōu)勢在于，可以為參與者分配最小的計算和能源負擔。此屬性對于醫(yī)療數(shù)據(jù)分享平臺至關(guān)重要，因為在本次的醫(yī)療區(qū)塊鏈上未提供內(nèi)在價值或稀缺性的標記，以減少醫(yī)療信息共享的成本。為替代稀缺性驅(qū)動方式，文中開發(fā)了阻止塊生產(chǎn)者進行惡意或無貢獻行為的激勵措施，該方法類似于加密貨幣權(quán)益證明系統(tǒng)中的綁定驗證器。在該結(jié)構(gòu)中，只有建立保證金的節(jié)點才可以參與鏈擴展，且任何行為異常的節(jié)點均被迫放棄運算。在此系統(tǒng)中，產(chǎn)生最多的塊并不具備特殊的優(yōu)勢，但模塊選擇不生成塊時會受到懲罰。

2 系統(tǒng)安全性分析

該系統(tǒng)中的信息均有可能涉及到患者的隱私，因此本節(jié)主要論證系統(tǒng)的安全性。只有在用戶滿足訪問協(xié)議時，服務(wù)器才會向用戶開放數(shù)據(jù)訪問接口。本次的系統(tǒng)安全性驗證前提如下：用戶的私鑰不會以任何形式泄露，惡意攻擊者無法復(fù)制用戶的私鑰。

醫(yī)療區(qū)塊鏈的加密方法如表1 所示。定義用戶為A，分布式記賬服務(wù)器為B，審核服務(wù)器為S，惡意攻擊者為C，訪問密鑰為K。醫(yī)療信息用戶簽名消息可由表示，用戶使用Ka加密得到消息，C(A)表示惡意攻擊者C 的偽裝攻擊消息。

表1 醫(yī)療數(shù)據(jù)信息的區(qū)塊鏈加密方法

場景1，如式（1）所示。

若不具備身份憑證的非法用戶嘗試訪問分類帳，則無法瀏覽簽名數(shù)據(jù)集合以及加密處理過的摘要信息。

場景2，如式（2）～（4）所示。

在場景2 中，惡意攻擊者截斷了醫(yī)療數(shù)據(jù)所有者發(fā)送的消息并執(zhí)行重播攻擊。惡意攻擊者C 成功欺騙了分布式記賬服務(wù)器B，導(dǎo)致B 將C 視為A。惡意攻擊者C 獲取了醫(yī)療區(qū)塊鏈訪問權(quán)限，但攻擊者C 僅獲得一條加密信息。由于缺少用戶的專屬私鑰，難以獲取加密信息的具體內(nèi)容，如式（5）～（8）所示。

即使攻擊者想要向其發(fā)送虛假病人信息，由于缺乏信息，其行為將被判斷為虛假信息分類帳服務(wù)器的身份驗證信息。下面分析系統(tǒng)的整體安全性，其總體可以分為兩個認證階段，設(shè)置系統(tǒng)中A 是用戶客戶端，B 是分類帳服務(wù)器，K 為公鑰，m 為簽名消息。

場景3 中認證階段工作如式（13）所示。

認證服務(wù)器接受階段如式（14）所示。

3 系統(tǒng)結(jié)果展示

3.1 系統(tǒng)安全性測試

由上文所述的3 種場景可知，該系統(tǒng)可以抵御身份偽裝、重播攻擊、綁定攻擊等，統(tǒng)計結(jié)果如表2所示。

表2 系統(tǒng)阻擋攻擊統(tǒng)計

醫(yī)療數(shù)據(jù)信息區(qū)塊鏈是醫(yī)用數(shù)據(jù)信息共享平臺的核心與技術(shù)實施載體，其主要的作用是確保共享平臺的完整性和可靠性，具有篡改拒止機制及開放驗證機制，從而保證系統(tǒng)信息的安全。即使惡意攻擊者成功更改系統(tǒng)的部分信息，系統(tǒng)也會迅速對其進行糾正。

攻擊者可能會嘗試向驗證服務(wù)器提交大量請求，通過引起網(wǎng)絡(luò)擁塞影響服務(wù)器的正常驗證工作。該系統(tǒng)的驗證服務(wù)器完全依靠數(shù)據(jù)簽名來驗證位置客戶端的請求合法性。系統(tǒng)的節(jié)點也可能受到攻擊、崩潰，甚至傷害系統(tǒng)的完整性。共識機制和背書者的選舉機制可以確保系統(tǒng)的穩(wěn)定性，從而確保攻擊不會造成重大損失，這是保護患者隱私的一種有效方法。

該系統(tǒng)與其他醫(yī)療數(shù)據(jù)信息平臺的比較結(jié)果如表3 所示。結(jié)果表明，該方案既可做到數(shù)據(jù)保密，又可實現(xiàn)安全運行。

表3 系統(tǒng)對比實驗

3.2 系統(tǒng)效率測試

該系統(tǒng)出于對數(shù)據(jù)安全性的綜合考慮，雖然產(chǎn)生了更多的數(shù)據(jù)量，但數(shù)據(jù)處理效率卻有顯著提高。該文將系統(tǒng)與一些新的云安全設(shè)計思路進行比較，例如MedRec 和Medshare。隨著訪問次數(shù)的增加，MedRec 使用的時間更少。結(jié)果表明，該系統(tǒng)的數(shù)據(jù)檢索效率顯著提高，如表4 所示。

當用戶數(shù)較少時，原始的搜索方法還可以迅速找到相關(guān)信息。但隨著用戶數(shù)量的增加，醫(yī)療區(qū)塊鏈相對于原始方法的優(yōu)勢變得越來越明顯，系統(tǒng)可以直接指導(dǎo)用戶找到相應(yīng)的區(qū)塊，即使有效信息的比例較小，也不會限制效率。

表4 服務(wù)器檢索延遲

當備份服務(wù)器向平臺發(fā)送添加新的區(qū)塊申請時，平臺會將上傳方案由實時傳輸改為備用傳輸。由于醫(yī)療數(shù)據(jù)信息發(fā)出請求的時間節(jié)點相對集中，若傳輸方式為實時上傳，則會對驗證服務(wù)器提出較為苛刻的要求或?qū)е聰?shù)據(jù)擁塞。為避免上述情況的發(fā)生，提高系統(tǒng)的穩(wěn)定性，進行了服務(wù)器數(shù)據(jù)流實驗，實驗結(jié)果如表5 所示。

表5 服務(wù)器數(shù)據(jù)流實驗

異步上載數(shù)據(jù)可以減少系統(tǒng)負載的突然變化，大幅度降低了系統(tǒng)數(shù)據(jù)擁塞的概率。通過實驗驗證與分析，該方案可以有效避免驗證服務(wù)器的高負載情況，減少了數(shù)據(jù)擁塞發(fā)生的可能。

與基于CP-ABE 的訪問控制相比，該系統(tǒng)的策略更為合適。原因如下：CP-ABE 方案中的吊銷成本過大而不能被忽略。除了需要執(zhí)行加密操作外，當需要添加新補丁時，還需要更改所有分類帳。該系統(tǒng)的信息處理策略可以避免這些問題的出現(xiàn)。

4 結(jié)束語

該文提出了一種基于區(qū)塊鏈的醫(yī)療信息平臺的設(shè)計方案，通過設(shè)計區(qū)塊鏈訪問控制協(xié)議和區(qū)塊鏈加密技術(shù)，可以保證用戶數(shù)據(jù)中的私密性。區(qū)塊鏈僅包括請求信息，不包括敏感的醫(yī)療信息，可防止醫(yī)療數(shù)據(jù)的泄露。利用區(qū)塊鏈技術(shù)，該方案醫(yī)療區(qū)塊鏈成功解決了大規(guī)模的醫(yī)療數(shù)據(jù)管理與共享問題。患者可以通過本系統(tǒng)訪問存儲在不同醫(yī)院數(shù)據(jù)系統(tǒng)的職業(yè)病相關(guān)醫(yī)療數(shù)據(jù)，不受地域與時間的限制。經(jīng)過患者授權(quán)的區(qū)塊鏈數(shù)據(jù)可以協(xié)助主治醫(yī)生對患者的職業(yè)病史進行全方位的了解，有效提高了患者與醫(yī)療工作人員之間的溝通效率，具有良好的應(yīng)用前景。