基于區(qū)塊鏈的電子醫(yī)療病歷可控共享模型

張 磊 鄭志勇 ,2 袁 勇,3

1.中國人民大學(xué)數(shù)學(xué)學(xué)院 北京 100872 2.中國人民大學(xué)金融計算與數(shù)字工程教育部工程研究中心 北京 100872 3.中國科學(xué)院自動化研究所復(fù)雜系統(tǒng)管理與控制國家重點實驗室 北京 100190

電子醫(yī)療病歷(Electronic health record,EHR)存儲著病人的診斷信息和治療信息,有助于提供便利的健康記錄存儲服務(wù).對于嚴(yán)重疾病或者慢性疾

病,病人就診時,如果醫(yī)生能夠看到先前病史,就可以綜合之前的診斷及治療效果,對病情進(jìn)行更全面、準(zhǔn)確地分析,為病人提供更加高效的治療方案.同時,對于重大突發(fā)傳染病,EHR 的共享也可使來自各個地區(qū)的優(yōu)秀醫(yī)療團(tuán)隊對疫情態(tài)勢進(jìn)行全方位、準(zhǔn)確和快速地研判,提高處置效率和公共醫(yī)療健康水平[1].

然而,目前不同醫(yī)院之間的數(shù)據(jù)互操作性相對較差,醫(yī)療數(shù)據(jù)普遍存在數(shù)據(jù)孤島問題.電子病歷數(shù)據(jù)大多是由醫(yī)院掌握,病人對自己病歷的使用情況并不完全知情.EHR 中存儲著病人的個人信息和病歷,一旦受到攻擊,將會導(dǎo)致病人隱私等敏感信息泄露,引發(fā)安全風(fēng)險及醫(yī)患矛盾[2].因此,EHR 共享時的數(shù)據(jù)及身份隱私保護(hù)至關(guān)重要.

為實現(xiàn)不同醫(yī)院間醫(yī)療數(shù)據(jù)的安全共享,同時病人能夠?qū)?shù)據(jù)進(jìn)行訪問控制,一些學(xué)者提出利用基于密文策略的屬性加密方案(Ciphertext-policy attribute-based encryption,CP-ABE)[3]對病歷進(jìn)行加密,將密文存儲于云服務(wù)器上,實現(xiàn)EHR的共享.CP-ABE 方案能實現(xiàn)細(xì)粒度的數(shù)據(jù)訪問控制和加密,然而,云服務(wù)器通常是半可信的,其會執(zhí)行用戶的命令,但仍對用戶的信息感到好奇.在監(jiān)管缺失和遭受特定攻擊時,云可能會篡改、丟失或泄露用戶的數(shù)據(jù).

區(qū)塊鏈作為比特幣的核心技術(shù),具有去中心化、數(shù)據(jù)不可篡改、可追溯、不可偽造、可編程等性質(zhì)[4-6],在特定的場景下,也可以對區(qū)塊鏈上的數(shù)據(jù)進(jìn)行隱藏,因此可用于實現(xiàn)安全和可信的EHR 管理[7-10].由于區(qū)塊鏈現(xiàn)階段存在性能瓶頸,而EHR 中通常包括大規(guī)模、跨媒體的健康數(shù)據(jù),例如CT、X 光等醫(yī)療影像數(shù)據(jù),因此單純使用區(qū)塊鏈存儲和共享EHR 的效率不高,迫切需要將云存儲和區(qū)塊鏈相結(jié)合,以便優(yōu)勢互補(bǔ),實現(xiàn)安全和高效的EHR 共享.

本文提出了云鏈協(xié)同、病人可控的EHR 安全共享方案.該方案采用鏈上與鏈下混合存儲方式,利用CP-ABE 方案來加密EHR 數(shù)據(jù),使得病人可以自主可控地定義訪問策略,實現(xiàn)細(xì)粒度的訪問控制.病人將加密EHR 數(shù)據(jù)存儲于云服務(wù)器、并利用區(qū)塊鏈存儲數(shù)據(jù)的Hash 值及訪問策略,從而保證數(shù)據(jù)的真實性和完整性,方案支持用戶對密文進(jìn)行多關(guān)鍵詞搜索,以提高搜索效率及準(zhǔn)確性.各級醫(yī)院形成聯(lián)盟區(qū)塊鏈,改進(jìn)實用拜占庭算法,利用聚類算法將節(jié)點進(jìn)行分類,在病人將數(shù)據(jù)上傳至區(qū)塊鏈及數(shù)據(jù)用戶向區(qū)塊鏈訪問病歷摘要時,節(jié)點間可盡快達(dá)成共識,改進(jìn)的共識算法支持節(jié)點動態(tài)加入及退出區(qū)塊鏈.考慮到數(shù)據(jù)用戶的身份不是一成不變的,本文提出了屬性更新子協(xié)議,以保障數(shù)據(jù)用戶身份變化時病歷的安全性.

本文其余部分安排如下:第1 節(jié)介紹相關(guān)工作和研究現(xiàn)狀;第2 節(jié)描述了EHR 數(shù)據(jù)共享模型的設(shè)計目標(biāo)與模型框架;第3 節(jié)給出了模型的關(guān)鍵步驟和算法設(shè)計;第4 節(jié)闡述用戶搜索訪問更新子協(xié)議;第5 節(jié)討論模型的性質(zhì);第6 節(jié)總結(jié)全文.

1 相關(guān)工作

近年來,EHR 逐漸代替紙質(zhì)病歷,一定程度上解決了病人在某家醫(yī)院就診時,可能因為紙質(zhì)病歷、檢查單等丟失,需要重復(fù)做一些健康檢查的困擾.目前的問題是:不同醫(yī)院之間的EHR 數(shù)據(jù)共享非常少,病人在轉(zhuǎn)院治療時,其他醫(yī)院無法看到病人之前的病歷數(shù)據(jù).因此,EHR 數(shù)據(jù)共享成為公共健康和智慧醫(yī)療領(lǐng)域的熱點.

現(xiàn)有文獻(xiàn)中,Alshehri 等[11]提出將EHR 數(shù)據(jù)存儲在云上,利用CP-ABE 方案來進(jìn)行加密,只有具有相應(yīng)屬性的用戶才可以解密密文,可實現(xiàn)安全存儲及細(xì)粒度的靈活訪問控制.Yang 等[12]提出了支持連接關(guān)鍵詞搜索及定時啟用代理重加密功能的云上健康數(shù)據(jù)分享方案,允許用戶在指定的時間內(nèi)進(jìn)行病歷的搜索;數(shù)據(jù)擁有者可控制用戶搜索和解密的時間,但該方案計算能力較低,存儲開銷較大.Huang 等[13]提出基于歐幾里得相似性距離的推薦協(xié)議,為病人推薦合適的醫(yī)生,以便減少病人的隱私泄露,同時利用基于屬性的條件性代理重加密方案,提出了基于云的細(xì)粒度隱私保護(hù)的病歷共享方案.但實際應(yīng)用場景中,數(shù)據(jù)用戶的屬性并非一成不變的,屠袁飛等[14]利用屬性加密,對EHR 進(jìn)行加密存儲到云服務(wù)器上進(jìn)行共享,同時利用版本號標(biāo)記和代理重加密方案實現(xiàn)用戶屬性的撤銷,保證了在用戶屬性發(fā)生變化時密文的安全性.為提高病歷共享的效率,Rao[15]提出了安全的基于屬性的簽名及加密的病歷分享方案,相比之前存在的方案,該方案支持更短的密文,需要更少的雙線性對計算.

上述研究盡管也關(guān)注云環(huán)境中數(shù)據(jù)共享的安全性,但因云是半可信的,將數(shù)據(jù)存儲到云服務(wù)器中可能會面臨數(shù)據(jù)丟失、篡改等風(fēng)險.區(qū)塊鏈技術(shù)可以較好地解決該問題,保障數(shù)據(jù)的完整性和真實性.區(qū)塊鏈?zhǔn)且粋€不可篡改的分布式賬本,特定的節(jié)點間通過共識,將數(shù)據(jù)記錄上鏈[16-17],進(jìn)行數(shù)據(jù)審計,防止數(shù)據(jù)被更改.因此,不少學(xué)者將區(qū)塊鏈技術(shù)用于數(shù)據(jù)分享中,以期保障數(shù)據(jù)的真實性、完整性和不可篡改性[18-22].

Ekblaw 等[23]利用區(qū)塊鏈技術(shù)設(shè)計了去中心化的電子健康病歷分享系統(tǒng),首次提出利用智能合約實現(xiàn)權(quán)限管理.Xia 等[24]提出了MeDShare,用于解決在共享醫(yī)療數(shù)據(jù)時缺乏信任的問題.該系統(tǒng)基于區(qū)塊鏈,為大數(shù)據(jù)實體之間在云存儲庫中共享的醫(yī)療數(shù)據(jù)提供數(shù)據(jù)來源、審計和控制,采用智能合約和訪問控制機(jī)制,有效地跟蹤數(shù)據(jù)的行為,并在發(fā)現(xiàn)用戶違反數(shù)據(jù)權(quán)限時撤銷違規(guī)實體的訪問權(quán).薛騰飛等[25]提出了基于區(qū)塊鏈的醫(yī)療數(shù)據(jù)共享模型,將醫(yī)療機(jī)構(gòu)劃分等級,使用改進(jìn)的委托權(quán)益證明共識機(jī)制安全、快捷地進(jìn)行數(shù)據(jù)共享.Shen 等[26]提出Medchain,將病歷內(nèi)容放在點對點的網(wǎng)絡(luò)上,摘要等部分放在區(qū)塊鏈上,該方案利用智能合約管理數(shù)據(jù)的訪問權(quán)限,但使用智能合約成本較高.劉格昌等[27]提出了基于可搜索加密的數(shù)據(jù)隱私保護(hù)機(jī)制,將該系統(tǒng)應(yīng)用于個人醫(yī)療數(shù)據(jù)區(qū)塊鏈中,使得隱私數(shù)據(jù)搜索更加方便.Wu 等[28]提出了將病人敏感信息進(jìn)行數(shù)據(jù)脫敏,然后將其加密存儲到區(qū)塊鏈和分布式文件存儲系統(tǒng)中.張超等[29]提出Medical chain,利用實用拜占庭容錯算法達(dá)成共識,防止醫(yī)療數(shù)據(jù)被篡改.羅文俊等[30]將分布式密鑰生成技術(shù)和基于身份的代理重加密技術(shù)相結(jié)合,設(shè)計了數(shù)據(jù)安全共享協(xié)議,利用委托權(quán)益證明共識算法選取代理節(jié)點,重加密EHR,但此方案只適合于單對用戶間進(jìn)行數(shù)據(jù)共享,不支持一對多的數(shù)據(jù)共享.

通過分析和比較現(xiàn)有的EHR 共享方案可知,該領(lǐng)域研究雖然取得了一定的成果,但還有一些可以改進(jìn)的地方.例如,單獨(dú)使用云服務(wù)器進(jìn)行數(shù)據(jù)存儲時,由于云是半可信的,可能會造成數(shù)據(jù)篡改或者泄露等安全性問題.單獨(dú)使用區(qū)塊鏈時,則無法克服因存儲數(shù)據(jù)的規(guī)模過大造成效率過低的問題.因此,有必要將區(qū)塊鏈和云存儲技術(shù)相互結(jié)合,實現(xiàn)云鏈協(xié)同的EHR 數(shù)據(jù)共享.此時,數(shù)據(jù)以何種方式存儲更加安全,病人如何進(jìn)行數(shù)據(jù)訪問控制,數(shù)據(jù)用戶如何對密文進(jìn)行高效的搜索,如何使得模型兼具以上良好的性質(zhì),如何提高共享的效率,都是值得進(jìn)一步研究的問題.

為此,本文在現(xiàn)有文獻(xiàn)[31]的基礎(chǔ)上提出了病人可控的云鏈協(xié)同的EHR 共享模型.病人將EHR數(shù)據(jù)加密后存儲在云服務(wù)器上,將數(shù)據(jù)摘要及訪問策略存儲在區(qū)塊鏈上,這樣既能防止云服務(wù)器篡改數(shù)據(jù)、方便進(jìn)行數(shù)據(jù)完整性審計;同時又能減輕區(qū)塊鏈的存儲壓力,使得方案更具可擴(kuò)展性.本文利用聚類算法,改進(jìn)實用拜占庭算法,提高區(qū)塊鏈中節(jié)點達(dá)成共識的效率.利用CP-ABE 方案加密病歷,只有滿足病人設(shè)置的屬性訪問策略的用戶可訪問數(shù)據(jù),使得一對多的數(shù)據(jù)分享能夠?qū)崿F(xiàn)細(xì)粒度的訪問控制.對于加密后的病歷,支持利用多關(guān)鍵詞搜索,以提高搜索效率及準(zhǔn)確性.在實際場景中,用戶屬性的變化對于密文安全性有很大的影響,因此本文提出了用戶屬性的動態(tài)更新下數(shù)據(jù)安全共享的方案.本文模型既解決了EHR 安全存儲的問題,同時病人可以管理病歷的使用情況,使得數(shù)據(jù)共享更加高效、安全.

2 EHR 數(shù)據(jù)共享模型

本節(jié)首先給出EHR 數(shù)據(jù)共享模型的設(shè)計目標(biāo),然后重點闡述模型的邏輯框架與運(yùn)行流程.

2.1 模型的設(shè)計目標(biāo)

該模型旨在達(dá)到如下設(shè)計目標(biāo):

1)病人可控的數(shù)據(jù)共享.針對病人無法完全掌握其EHR 使用情況的問題,本文旨在設(shè)計病人可控的EHR 共享模型,即由病人自主決定其病歷的訪問權(quán)限.

2)隱私保護(hù).EHR 存儲著大量隱私信息,因此保障數(shù)據(jù)的保密性及完整性非常重要.本文旨在結(jié)合密碼學(xué)和區(qū)塊鏈技術(shù),通過加密及屬性分配等方式保護(hù)病人及數(shù)據(jù)用戶的隱私信息,同時保障數(shù)據(jù)在共享過程中的完整性與可審計性.

3)細(xì)粒度訪問控制.利用CP-ABE 方案,病人可自主定義訪問策略,確保數(shù)據(jù)可達(dá)到細(xì)粒度的訪問控制.

4)安全搜索.本文模型旨在構(gòu)建安全的可搜索加密方案,數(shù)據(jù)用戶利用多關(guān)鍵詞搜索算法,生成關(guān)鍵詞Token,進(jìn)行搜索.數(shù)據(jù)用戶身份在滿足病人設(shè)置的訪問策略時,才有權(quán)訪問其歷史病歷.竊聽者無法猜到關(guān)鍵詞.即使其猜到關(guān)鍵詞,因其身份不符合病人設(shè)置的訪問策略,仍然無法得到數(shù)據(jù)密文.

2.2 模型的邏輯框架與運(yùn)行流程

本文提出將區(qū)塊鏈與云服務(wù)器相結(jié)合,實現(xiàn)數(shù)據(jù)的鏈上(區(qū)塊鏈)+ 鏈下(云服務(wù)器)混合存儲;同時,利用CP-ABE 方案和多關(guān)鍵詞可搜索加密方案,實現(xiàn)細(xì)粒度的訪問控制及高效的數(shù)據(jù)搜索和安全共享.如圖1所示,基于區(qū)塊鏈和云服務(wù)器的EHR 共享模型包括如下主要角色,即證書機(jī)構(gòu)(Certificate authority,CA)、屬性機(jī)構(gòu)(Attribute authority,AA)、聯(lián)盟區(qū)塊鏈(Blockchain,BC)、云服務(wù)提供者(Cloud service provider,CSP)、數(shù)據(jù)擁有者(Data owner,DO)以及數(shù)據(jù)用戶(Data user,DU).

圖1 EHR 數(shù)據(jù)共享模型的邏輯框架Fig.1 The logic framework of EHR data sharing model

各個角色的具體介紹如下:

1)證書機(jī)構(gòu)(CA):負(fù)責(zé)進(jìn)行全局設(shè)置,設(shè)置系統(tǒng)的主公鑰和密鑰.生成DO 和CSP 的公私鑰對.本文假設(shè)CA 完全可信.

2)屬性機(jī)構(gòu)(AA):例如醫(yī)院、保險公司或者醫(yī)療研究機(jī)構(gòu)等,負(fù)責(zé)核查DU 的身份,為合法的DU 生成私鑰.

3)聯(lián)盟區(qū)塊鏈(BC):存儲加密數(shù)據(jù)的摘要,驗證DU 的請求.

4)云服務(wù)提供者(CSP):負(fù)責(zé)存儲加密數(shù)據(jù)及訪問策略.

5)數(shù)據(jù)擁有者(DO):即病人,負(fù)責(zé)加密、存儲數(shù)據(jù),生成數(shù)據(jù)的訪問策略.

6)數(shù)據(jù)用戶(DU):例如醫(yī)生、保險公司經(jīng)理等希望查看病人病歷的用戶.

該模型的運(yùn)行流程如下:

步驟1.全局設(shè)置.該算法由CA 執(zhí)行,包括設(shè)置全局公共參數(shù)、公共屬性密鑰、系統(tǒng)主公鑰和主密鑰.

步驟2.密鑰生成.CA 驗證AA 的身份,為合法的AA 分發(fā)身份.CA 驗證DO、CSP 的身份,為其設(shè)置公私鑰對.當(dāng)DU 希望加入系統(tǒng)時,發(fā)送注冊請求給AA,AA 為合法的DU 分配身份uid及屬性Aaid,uid,同時為其計算私鑰,如圖1 中①和②所示.

步驟3.數(shù)據(jù)加密.DO 運(yùn)行加密算法,包括以下3 個子步驟:

1)關(guān)鍵字索引index 產(chǎn)生:DO 為文件選擇關(guān)鍵詞,設(shè)置關(guān)鍵詞索引index;

2)文件加密:從密鑰空間隨機(jī)選取密鑰kθ,對文件進(jìn)行加密;

3)加密kθ.

步驟4.數(shù)據(jù)存儲.如圖1 中③和④所示,為克服區(qū)塊鏈的空間限制和性能瓶頸,提高區(qū)塊鏈的可擴(kuò)展性,同時防止CSP 篡改數(shù)據(jù),本文提出將數(shù)據(jù)進(jìn)行鏈上、鏈下混合存儲的結(jié)構(gòu),如圖2所示.

圖2 數(shù)據(jù)混合存儲結(jié)構(gòu)Fig.2 Hybrid structure for data storage

DO 將原始醫(yī)療數(shù)據(jù)加密上傳至CSP,將數(shù)據(jù)摘要等存儲到區(qū)塊鏈上,區(qū)塊鏈中的Merkle 樹結(jié)構(gòu)[16]可以用來驗證數(shù)據(jù)的完整性與真實性.醫(yī)療數(shù)據(jù)塊和摘要數(shù)據(jù)塊存儲內(nèi)容如圖3(a)和圖3(b)所示.

圖3 醫(yī)療數(shù)據(jù)塊和摘要數(shù)據(jù)塊Fig.3 Medical data block and digest data block

DO 對醫(yī)療數(shù)據(jù)進(jìn)行加密,得到密文CT,對其進(jìn)行簽名,得到SigDO.同時,計算其Hash 值,然后將密文、Hash 值及SigDO,一起發(fā)送給CSP.CSP接收到簽名之后,驗證DO 的簽名,計算CT 的Hash 值,如果與DO 發(fā)送來的Hash 值相同,則證明接受到了正確的密文,向DO 返回1 及文件位置;否則返回0.

步驟5.數(shù)據(jù)訪問.當(dāng)DU 希望訪問數(shù)據(jù)時,使

用可搜索加密算法,輸入公鑰、關(guān)鍵詞集合,產(chǎn)生搜索Token.DU 向區(qū)塊鏈主節(jié)點發(fā)送查找請求,如圖1 中⑤所示.

節(jié)點收到請求后,運(yùn)行匹配算法,驗證是否有關(guān)鍵詞索引index 可以匹配上數(shù)據(jù)用戶產(chǎn)生的Token.如果搜索成功,表明數(shù)據(jù)文件未被刪除,區(qū)塊鏈返回相應(yīng)的摘要數(shù)據(jù)塊給數(shù)據(jù)用戶,否則返回異常提示信息.

該算法由DU 執(zhí)行,DU 接收到摘要數(shù)據(jù)塊后,首先計算出內(nèi)容密鑰kθ,解密出文件位置,向CSP發(fā)出數(shù)據(jù)請求,如圖1 中⑥所示.如果DU 的屬性集合滿足DO 設(shè)置的訪問策略,CSP 會輸出相應(yīng)的密文,否則返回異常提示信息.

步驟6.解密.DU 首先計算密文的Hash 值,與區(qū)塊鏈存儲的Hash 值進(jìn)行比較,驗證文件是否被篡改.如果文件沒有被篡改,則首先解密出內(nèi)容密鑰kθ,再利用內(nèi)容密鑰解密文件.

3 模型的詳細(xì)構(gòu)造及算法設(shè)計

本節(jié)介紹模型的詳細(xì)構(gòu)造.

3.1 模型的全局設(shè)置

CA 進(jìn)行全局設(shè)置,產(chǎn)生系統(tǒng)公鑰和主密鑰.具體步驟如算法1所示.

算法1.模型的全局設(shè)置.

輸入.安全參數(shù),屬性集合.

輸出.全局公共參數(shù)GP,公共屬性密鑰PAKx,公鑰PK,主私鑰MK.

3.2 密鑰生成

3.3 文件加密存儲

3.4 數(shù)據(jù)訪問

3.5 解密

DU 接收到區(qū)塊鏈節(jié)點發(fā)送的交易單.如果

3.6 模型的共識算法

本文基于實用拜占庭共識算法(Practical Byzantine fault tolerance,PBFT)[32],改進(jìn)陳子豪等[33]提出的KPBFT 共識算法,全國各級醫(yī)院間形成聯(lián)盟區(qū)塊鏈,對于n個醫(yī)院,隨機(jī)選擇k個聚類中心,作為代理節(jié)點,構(gòu)成代理節(jié)點群,對其進(jìn)行編號,代理節(jié)點群中成員輪流成為當(dāng)值主節(jié)點.考慮各個醫(yī)院間的地理位置、設(shè)備硬件、網(wǎng)絡(luò)延遲等因素,進(jìn)行聚類.共識結(jié)構(gòu)如圖4所示.

圖4 共識節(jié)點結(jié)構(gòu)Fig.4 The structure of the consensus nodes

共識過程如圖5所示.首先每一類節(jié)點間達(dá)成共識,然后代理節(jié)點群間再進(jìn)行共識,最后達(dá)成共識.在一段時間后,更換聚類中心,重新進(jìn)行聚類.

圖5 改進(jìn)的PBFT 算法Fig.5 Process of improved PBFT

共識過程描述如下:

1)請求階段.當(dāng)病人DO 要上傳摘要數(shù)據(jù)塊,或數(shù)據(jù)用戶DU 想訪問病歷時,首先向區(qū)塊鏈提出請求.本文改變PBFT 中要將消息發(fā)送給所有節(jié)點,只發(fā)給代理節(jié)點.如果請求不是代理當(dāng)值主節(jié)點收到的,先在代理節(jié)點群中廣泛轉(zhuǎn)發(fā).如果是代理當(dāng)值主節(jié)點收到的,其首先驗證交易的合法性.若不正確,直接丟棄.否則,對其進(jìn)行編號,放入列表中,廣播到代理節(jié)點中其他成員.在這個過程中,節(jié)點需要驗證交易中CSP 的簽名是否正確,訪問策略與CSP 中的訪問策略是否相同.

2)子節(jié)點共識過程.如交易合法,代理節(jié)點將收到的交易廣播到其子共識節(jié)點群中.子節(jié)點群間進(jìn)行預(yù)備、準(zhǔn)備、確認(rèn)、回復(fù)階段,將執(zhí)行結(jié)果發(fā)送給其代理節(jié)點.

3)代理節(jié)點群的共識過程.代理節(jié)點間執(zhí)行共識過程,因代理節(jié)點只需將自己負(fù)責(zé)的子節(jié)點群的消息相互廣播即可,所以代理節(jié)點間通過確認(rèn)、回復(fù)階段即可,在收到別的代理節(jié)點值時,節(jié)點會驗證如果與他計算的值相同,那么廣播一個確認(rèn)消息到代理節(jié)點網(wǎng)絡(luò)中.當(dāng)節(jié)點收到 2f+1(f為系統(tǒng)中拜占庭節(jié)點的個數(shù))個確認(rèn)消息后,向客戶端回復(fù)消息.

4 用戶搜索訪問更新

實際應(yīng)用場景中,DU 的屬性并非一成不變的.當(dāng)DU 的屬性發(fā)生變化時,為保證文件的安全及搜索的有效性,本文設(shè)置了屬性撤銷及屬性添加子協(xié)議,協(xié)議的具體構(gòu)造如下.

4.1 屬性撤銷協(xié)議

在CA 更新屬性密鑰及公共屬性密鑰,AA 更新DU 的私鑰及DO 更新相應(yīng)的密文后,按照第3.3 節(jié)構(gòu)造中的方法將更新的密文發(fā)送給CSP 及區(qū)塊鏈節(jié)點,重新在區(qū)塊鏈上進(jìn)行存儲.在執(zhí)行完上述操作后,不再擁有相應(yīng)屬性的DU 不能再查看相應(yīng)屬性加密的文件,確保了文件的安全.

4.2 屬性添加協(xié)議

當(dāng)DU 新增新的屬性y時,為保證DU 能查看相應(yīng)文件,系統(tǒng)運(yùn)行屬性添加協(xié)議,更改DU 的私鑰.詳細(xì)過程如下所示,其余步驟與第3 節(jié)相同.

1)DU 向AA 提出申請:新增屬性y,AA 驗證其身份的合理性,重新計算其私鑰為.

3)DU 更新先前屬性集為Suid:=Suid ∪{y}.同時更新私鑰為SKDU′=(D,D′,D′′,Dx∪y).

執(zhí)行完上述操作后,DU 憑借其新增屬性可以查 看該屬性能夠解密的相應(yīng)文檔.

5 模型分析

5.1 醫(yī)療數(shù)據(jù)分享模型正確性及安全性分析

本節(jié)比較傳統(tǒng)的PBFT 算法及改進(jìn)的共識算法的通信次數(shù).當(dāng)系統(tǒng)節(jié)點為n個時,傳統(tǒng)PBFT算法中客戶端請求、各節(jié)點間預(yù)備、準(zhǔn)備、確認(rèn)、回復(fù)給客戶端通信次數(shù)分別為為n次、n-1 次、(n-1)×(n-1)次、n×(n-1)次、n次,總通信次數(shù)為 2n2次.

改進(jìn)的共識算法中,利用將節(jié)點進(jìn)行聚類,通信次數(shù)計算如下:因?qū)個節(jié)點分為k類,每一類中有n/k個節(jié)點.首先,客戶端向代理節(jié)點請求及代理節(jié)點間預(yù)備通信次數(shù)為k次,子節(jié)點間通信次數(shù)為 2n2/k2次,然后代理節(jié)點間進(jìn)行確認(rèn)的通信次數(shù)為k×(k-1)次,代理節(jié)點回復(fù)客戶端次數(shù)通信次數(shù)為k次,求和得總次數(shù)為:2n2/k2+k2+k次.該函數(shù)圖像如圖6所示(為使趨勢變化更清晰明了,做圖時對該函數(shù)進(jìn)行了取對數(shù)運(yùn)算).

圖6 改進(jìn)共識算法的通信次數(shù)Fig.6 The communication time of improved PBFT

本文部分工作是基于Sun 等[31]的模型,在其基礎(chǔ)上引入?yún)^(qū)塊鏈技術(shù)實現(xiàn)醫(yī)療數(shù)據(jù)的分享,關(guān)鍵詞搜索的正確性及文件解密的正確性均已在該文獻(xiàn)中加以證明.

云服務(wù)器是半可信的,它會執(zhí)行用戶的請求,但也對用戶的隱私數(shù)據(jù)很感興趣.在本文模型中,其存儲的是密文文件,云服務(wù)器無法獲得解密密鑰,所以無法解密文件,因此數(shù)據(jù)的隱私可以得到保障.

DO 定義了訪問策略,只有當(dāng)DU 的屬性滿足時,才可解密出內(nèi)容密鑰,進(jìn)行文件位置及文件密文解密,因此身份不符的DU 無法獲得DO 病歷.同時,本文將電子病歷的Hash 值和DO 定義的訪問策略記錄在區(qū)塊鏈上,DU 可通過區(qū)塊鏈驗證數(shù)據(jù)的完整性,進(jìn)行數(shù)據(jù)審計,防止CSP 篡改數(shù)據(jù).一旦云服務(wù)器非法刪除或者篡改數(shù)據(jù),DU 在得到數(shù)據(jù)后,與區(qū)塊鏈中存儲的Hash 值進(jìn)行對比,因Hash 函數(shù)的抗碰撞性,所以會很容易發(fā)現(xiàn)不同,DU 會向CSP 發(fā)送錯誤報告.

DO 向區(qū)塊鏈存儲數(shù)據(jù)及DU 向區(qū)塊鏈請求查詢文件時,可以通過改進(jìn)的共識算法確保存儲服務(wù)及查詢服務(wù)順利實現(xiàn).

DO 利用公鑰T對密文及交易進(jìn)行簽名,發(fā)送給CSP 及區(qū)塊鏈節(jié)點進(jìn)行驗證時,以下兩式的正確性SigDO(CT)T=H(CT)及SigDO(trans)T=H(trans)可由RSA[34]算法的正確性保障.

在向CSP 發(fā)送加密病歷時,DO 使用其私鑰進(jìn)行簽名,而其公私鑰對是由完全可信的CA 來分配和保存,所以DO 的身份也是保密的.DU 在進(jìn)行數(shù)據(jù)訪問時,利用AA 發(fā)送的獨(dú)特的身份和屬性集合,可以保持其真實身份的安全性.

在多關(guān)鍵詞搜索方案中,因選用隨機(jī)數(shù)產(chǎn)生的關(guān)鍵詞索引,所以竊聽者不能夠猜到關(guān)鍵詞,無法產(chǎn)生對應(yīng)的Token,因此多關(guān)鍵詞搜索方案是安全的.

5.2 改進(jìn)的共識算法分析

5.2.1 算法支持成員的動態(tài)變化

改進(jìn)的PBFT 算法可以實現(xiàn)成員動態(tài)加入和退出的功能,因為每一類的成員由聚類中心的代理節(jié)點管理,當(dāng)成員退出時,代理節(jié)點將該節(jié)點從廣播列表中刪除.當(dāng)成員加入時,計算其與哪個代理節(jié)點距離較為接近,將其加入該類子群中,使得成員動態(tài)變化時不用再進(jìn)行整個網(wǎng)絡(luò)的初始化.

5.2.2 通信次數(shù)分析

如圖6所示,在系統(tǒng)總節(jié)點數(shù)增加時,通信次數(shù)隨著聚類個數(shù)的增多而減少.但在聚類次數(shù)變大到一定程度時,通信次數(shù)沒有明顯的變化,所以在具體節(jié)點數(shù)目下,可結(jié)合容錯性分析,合理選擇聚類次數(shù)很有必要.

5.2.3 容錯性分析

對于改進(jìn)的共識算法,容錯性分析分為代理節(jié)點中不存在拜占庭節(jié)點及其中存在拜占庭節(jié)點的情況.

1)代理節(jié)點中不存在拜占庭節(jié)點子群中錯誤的節(jié)點不超過其子群總數(shù)的

若拜占庭節(jié)點均勻分布在每個聚類中,則每個則對最終結(jié)果不會產(chǎn)生影響,整個系統(tǒng)的容錯為(n-1)/3.

當(dāng)拜占庭節(jié)點集中在某個聚類時,則該代理節(jié)點將會產(chǎn)生錯誤輸出,這時在代理共識群中,該結(jié)果會被丟棄,該代理節(jié)點也會被降級.在這種情況下,系統(tǒng)的容錯為.

2)代理節(jié)點中存在拜占庭節(jié)點

當(dāng)代理節(jié)點中存在拜占庭節(jié)點時,該節(jié)點可能會篡改其子群的共識結(jié)果,導(dǎo)致該區(qū)域的投票結(jié)果不正確.如果錯誤的代理節(jié)點超過整個系統(tǒng)的,系統(tǒng)會崩潰.否則,系統(tǒng)的容錯為.

綜上所述,代理節(jié)點的選取十分重要.本文隨機(jī)選取代理節(jié)點,未來考慮利用信譽(yù)機(jī)制及節(jié)點間的相互投票,選取更加可信的節(jié)點作為代理節(jié)點,提高共識效率.

5.3 對比分析

本節(jié)采用對比分析的方式,將本文方案與已提出的醫(yī)療數(shù)據(jù)共享方案進(jìn)行比較,分析模型的優(yōu)缺點(如表1);另一方面,通過分析目前EHR 共享面臨的問題,分析本模型的應(yīng)對方法(如表2).

表2 當(dāng)前EHR 共享面臨的問題及模型應(yīng)對的方法Table 2 The problems of EHR sharing and how to deal with the model

表1 從7 個方面將本文與現(xiàn)有研究成果進(jìn)行比較,可以看出本模型有一定的優(yōu)勢.但本模型仍有需要改進(jìn)的地方,如可以嘗試?yán)弥悄芎霞s使得交易過程自動化等.

表1 不同方案之間的比較Table 1 Comparison between different models

6 結(jié)論及未來工作

EHR 共享是非常有必要的,不僅使得病人在轉(zhuǎn)院治療時,病情能夠得到全面、綜合、準(zhǔn)確的診斷,避免病人做一些重復(fù)的檢查;同時可以增進(jìn)不同醫(yī)院間的交流,促進(jìn)公共醫(yī)療領(lǐng)域的不斷發(fā)展.EHR中包含大量病人的隱私信息,在數(shù)據(jù)共享時需要保護(hù)數(shù)據(jù)隱私及身份隱私.

為了解決目前不同醫(yī)療機(jī)構(gòu)間數(shù)據(jù)互操作性較差,及病人無法掌握EHR 的使用情況等問題,本文提出病人可控的、云鏈協(xié)同的安全數(shù)據(jù)共享方案,利用CP-ABE 方案對EHR 進(jìn)行加密,防止半可信的云服務(wù)器竊聽數(shù)據(jù),同時病人可以自主設(shè)置訪問策略,達(dá)到細(xì)粒度的訪問控制.該方案將加密數(shù)據(jù)進(jìn)行鏈上、鏈下混合存儲,不僅保證了數(shù)據(jù)的真實性、完整性及不可篡改性,同時提高了區(qū)塊鏈的可擴(kuò)展性.該方案利用多關(guān)鍵詞可搜索加密方案,可提高對密文搜索的準(zhǔn)確性和效率.由于用戶的屬性是不斷變化的,因此本文設(shè)置屬性更新協(xié)議,支持用戶的屬性撤銷和屬性添加.通過將本文方案與其他方案的比較可知,本文方案在一定程度上具有優(yōu)勢.利用聚類算法,選取代理節(jié)點,將各級醫(yī)院進(jìn)行聚類,改進(jìn)PBFT 共識算法.通過對改進(jìn)的共識算法進(jìn)行分析及計算,得出其通信次數(shù)有所降低,容錯性有待提高.在未來的工作中,將不斷試驗,考慮何種方法選擇代理節(jié)點更加安全高效,減少達(dá)成共識的時間,提高數(shù)據(jù)共享的效率.同時,將嘗試使用零知識證明、同態(tài)加密等隱私保護(hù)技術(shù)進(jìn)行病人身份及病歷的隱私保護(hù).