劉志豪，馬金剛，李逢天，生 慧

（山東中醫(yī)藥大學(xué)，濟南 250355）

0 引言

在目前的醫(yī)療機構(gòu)中，醫(yī)療數(shù)據(jù)主要面臨數(shù)據(jù)泄露和數(shù)據(jù)篡改兩大方面的風(fēng)險?；颊叩碾娮硬v中包含著大量的隱私信息，如患者的病情信息、消費記錄等，這些信息會集中存儲在醫(yī)院的服務(wù)器上，而大多數(shù)醫(yī)院對信息安全的重視程度不高，醫(yī)院網(wǎng)站漏洞數(shù)不勝數(shù)，使攻擊者可以輕而易舉得到醫(yī)院的數(shù)據(jù)庫、患者的信息，從而造成用戶的隱私泄露，即存在數(shù)據(jù)泄露風(fēng)險。同時，若攻擊者對數(shù)據(jù)進(jìn)行蓄意破壞、篡改，會嚴(yán)重阻礙醫(yī)療系統(tǒng)的可用性，即存在數(shù)據(jù)篡改風(fēng)險。

區(qū)塊鏈技術(shù)（Blockchain technology）是一種去中心化的分布式存儲技術(shù)，具有不可篡改、去信任、匿名性等特點，可以實現(xiàn)網(wǎng)絡(luò)中去中心化信用的數(shù)據(jù)共享、協(xié)調(diào)與協(xié)作。本文提出的基于區(qū)塊鏈技術(shù)設(shè)計的醫(yī)療數(shù)據(jù)存儲平臺可有效解決上述問題。

1 區(qū)塊鏈技術(shù)簡介

區(qū)塊鏈技術(shù)也稱為分布式賬本技術(shù)，其本質(zhì)上是一種去中心化的數(shù)據(jù)庫技術(shù)，特點是去中心化、不可篡改等。

（1）去中心化。區(qū)塊鏈?zhǔn)且环N分布式數(shù)據(jù)存儲結(jié)構(gòu)，且沒有中心節(jié)點，所有節(jié)點都保存全部的、相同的區(qū)塊信息，完全實現(xiàn)去中心化，很大程度上保證了分布式數(shù)據(jù)庫開放透明、安全可信、不可篡改的特點。

（2）不可篡改性。區(qū)塊鏈中存儲的交易信息每一條都有相對應(yīng)的哈希值，若想篡改區(qū)塊鏈中的一條記錄，不僅要修改此區(qū)塊的哈希值，還要修改后續(xù)所有區(qū)塊的哈希值。除非能同時修改系統(tǒng)中超過51%的區(qū)塊，否則對單個區(qū)塊上數(shù)據(jù)庫的修改是無效的。

（3）去信任。因為數(shù)據(jù)庫和整個系統(tǒng)的運作是完全公開透明的，且系統(tǒng)中所有節(jié)點之間無需信任也可以進(jìn)行交易，所以在系統(tǒng)的規(guī)則和時間范圍內(nèi)，節(jié)點之間無法彼此欺騙，即節(jié)點之間去信任。

（4）匿名性。由于節(jié)點間的交換遵循固定的算法，其數(shù)據(jù)的交互是無需信任的，因此交易雙方無須公開身份就可以讓雙方產(chǎn)生信任，即區(qū)塊鏈技術(shù)具有匿名性。

2 基于區(qū)塊鏈技術(shù)的醫(yī)療數(shù)據(jù)存儲現(xiàn)狀

近幾年里，各醫(yī)療機構(gòu)都經(jīng)歷過黑客攻擊或數(shù)據(jù)泄露，患者因此遭受經(jīng)濟威脅、精神痛苦和社會輿論等，利用區(qū)塊鏈技術(shù)去中心化和不可篡改性的特點不僅可以避免類似事件的發(fā)生，還可以大大提高醫(yī)療服務(wù)效率。

區(qū)塊鏈包含n個隨時間排序的區(qū)塊，每個區(qū)塊都有一個指向前一區(qū)塊的指針，所有區(qū)塊通過這個指針形成一個鏈，因此稱為區(qū)塊鏈。而第一個區(qū)塊則稱為創(chuàng)世塊，其后每個想要參與進(jìn)來的節(jié)點都要下載并更新一份從創(chuàng)世塊延續(xù)下來的數(shù)據(jù)包。隨著醫(yī)療數(shù)據(jù)的積累，基于區(qū)塊鏈的醫(yī)療數(shù)據(jù)存儲，其數(shù)據(jù)量會迅速上升，區(qū)塊承載的數(shù)據(jù)會越來越多，這便對區(qū)塊鏈數(shù)據(jù)庫的存儲空間有了更高的要求。如果每一個節(jié)點的數(shù)據(jù)都完全同步，區(qū)塊鏈數(shù)據(jù)的存儲空間容量要求就勢必會成為一個限制其發(fā)展的關(guān)鍵問題，會直接影響醫(yī)療部門更新數(shù)據(jù)信息和醫(yī)患對數(shù)據(jù)獲取實時性的需求[1]?；谏鲜鰡栴}，本文設(shè)計了一個結(jié)合區(qū)塊鏈和云存儲技術(shù)的醫(yī)療數(shù)據(jù)存儲平臺。

2.1 醫(yī)療數(shù)據(jù)存儲平臺設(shè)計

由于區(qū)塊鏈的存儲容量有限，無法存儲患者的全部醫(yī)療數(shù)據(jù)，因此，本設(shè)計中區(qū)塊鏈只保存醫(yī)療數(shù)據(jù)的元數(shù)據(jù)和摘要、數(shù)據(jù)提供者公鑰、數(shù)據(jù)提供者簽名以及該醫(yī)療記錄在云數(shù)據(jù)庫中的引用，而具體的醫(yī)療記錄保存在云數(shù)據(jù)庫中?；趨^(qū)塊鏈存儲技術(shù)和云數(shù)據(jù)庫的醫(yī)療數(shù)據(jù)存儲平臺體系結(jié)構(gòu)，如圖1所示。

圖1 醫(yī)療數(shù)據(jù)存儲平臺體系結(jié)構(gòu)圖

將區(qū)塊鏈技術(shù)應(yīng)用于醫(yī)療健康數(shù)據(jù)平臺后，基于區(qū)塊鏈的安全特性，醫(yī)療健康平臺可以確保安全、高效地存儲患者數(shù)據(jù)。以公鑰加密為基礎(chǔ)的共享訪問方式是醫(yī)療健康數(shù)據(jù)平臺的重要設(shè)計方案。醫(yī)院及權(quán)威機構(gòu)保管患者公鑰，并利用公鑰將患者的醫(yī)療健康數(shù)據(jù)進(jìn)行加密，患者通過私鑰訪問個人醫(yī)療健康數(shù)據(jù)[2]。同時，由于區(qū)塊鏈具有高安全性、隱私保護(hù)、高冗余存儲、去中心化等特點，因此能夠防止遭受攻擊或權(quán)限管理不當(dāng)導(dǎo)致的數(shù)據(jù)丟失，使數(shù)據(jù)更加安全可靠[3]。

對醫(yī)療大數(shù)據(jù)的分析處理需要強大的數(shù)據(jù)存儲和計算能力。針對不同用戶，醫(yī)療數(shù)據(jù)云存儲具有不同的意義[4]?；颊呖梢栽谠茢?shù)據(jù)庫中存儲醫(yī)療健康數(shù)據(jù)并實現(xiàn)隨時隨地的訪問；研究人員可以使用云數(shù)據(jù)庫中匯集的醫(yī)療數(shù)據(jù)進(jìn)行分析和計算；醫(yī)療存儲機構(gòu)采用區(qū)塊鏈加云儲存方式是一種安全、經(jīng)濟、便利且可以隨意改善管理的方式[5]。

2.2 醫(yī)療數(shù)據(jù)存儲

雖然區(qū)塊鏈技術(shù)采用了密碼學(xué)等相關(guān)技術(shù)，但整個區(qū)塊鏈網(wǎng)絡(luò)在安全方面仍然存在薄弱環(huán)節(jié)。尤其是數(shù)據(jù)隱私方面，現(xiàn)階段還沒有健全的醫(yī)療隱私法律保護(hù)制度，民眾對個人數(shù)據(jù)也沒有較強的自我保護(hù)意識，區(qū)塊鏈的安全性仍令人擔(dān)憂[6]。

為保證醫(yī)療數(shù)據(jù)的安全存儲，基于區(qū)塊鏈的醫(yī)療數(shù)據(jù)存儲系統(tǒng)的數(shù)據(jù)存儲過程設(shè)計如下：

（1）醫(yī)療機構(gòu)生成醫(yī)療記錄，并將醫(yī)療記錄元數(shù)據(jù)和摘要上傳至區(qū)塊鏈。醫(yī)療記錄元數(shù)據(jù)包括醫(yī)療數(shù)據(jù)ID及其在云數(shù)據(jù)庫中的URL等信息。

（2）醫(yī)療記錄安全傳輸至患者。醫(yī)療機構(gòu)將醫(yī)療數(shù)據(jù)以對稱加密算法加密后傳輸給患者，對稱密鑰的分發(fā)采用公鑰加密算法進(jìn)行?；颊呤紫壤脗€人的私鑰解密醫(yī)療機構(gòu)發(fā)送過來的會話密鑰，然后再用該會話密鑰解密醫(yī)療記錄。該過程可保證密鑰的安全分發(fā)及醫(yī)療記錄安全、快速傳遞。

（3）患者對醫(yī)療記錄加密并上傳至醫(yī)療云數(shù)據(jù)庫?；颊呱尚碌臅捗荑€并用該密鑰加密醫(yī)療記錄后上傳至云數(shù)據(jù)庫中存儲。醫(yī)療數(shù)據(jù)的所有權(quán)限歸患者所有，其他用戶的使用權(quán)限也需患者分配以控制不同用戶對數(shù)據(jù)的訪問。

上述存儲過程中醫(yī)療元數(shù)據(jù)和醫(yī)療數(shù)據(jù)分別存儲在區(qū)塊鏈和云數(shù)據(jù)庫中，可實現(xiàn)醫(yī)療數(shù)據(jù)的分布式存儲；患者作為醫(yī)療數(shù)據(jù)的所有者，利用自己的私鑰可保證醫(yī)療數(shù)據(jù)的隱私安全性，并具有對醫(yī)療數(shù)據(jù)權(quán)限的分配權(quán)，這為醫(yī)療數(shù)據(jù)的安全共享奠定了基礎(chǔ)。

2.3 醫(yī)療數(shù)據(jù)共享

在醫(yī)院中，如果使用區(qū)塊鏈技術(shù)對醫(yī)療數(shù)據(jù)進(jìn)行保護(hù)，當(dāng)患者、醫(yī)生在對醫(yī)療數(shù)據(jù)進(jìn)行訪問或者多科室協(xié)調(diào)工作時，需要對醫(yī)療數(shù)據(jù)進(jìn)行訪問和共享。傳統(tǒng)的數(shù)據(jù)訪問機制需要花費大量的時間及硬件資源進(jìn)行審查和數(shù)據(jù)校驗，因此需要考慮對醫(yī)療數(shù)據(jù)進(jìn)行訪問和共享的需求。

調(diào)查表明醫(yī)療數(shù)據(jù)中心往往建立在大型重點醫(yī)療機構(gòu)，并提供接口給下屬醫(yī)療機構(gòu)使用，而醫(yī)生和患者是小型在線客戶端直接與數(shù)據(jù)中心進(jìn)行信息交互[7]。在調(diào)查和分析后，本研究采用了自底向上的方式，依次研究了在線客戶端、二級醫(yī)療機構(gòu)和頂級數(shù)據(jù)中心的數(shù)據(jù)共享與訪問機制，在此基礎(chǔ)上建立一個完整的醫(yī)療衛(wèi)生信息化系統(tǒng)數(shù)據(jù)共享與訪問模型。大型醫(yī)療機構(gòu)即頂級數(shù)據(jù)中心的職責(zé)是存儲數(shù)據(jù)，并向下屬的二級醫(yī)療機構(gòu)提供數(shù)據(jù)共享接口；二級醫(yī)療機構(gòu)作為區(qū)塊鏈模型中的一個節(jié)點，對頂級數(shù)據(jù)中心提供的接口進(jìn)行解析，接收來自頂級數(shù)據(jù)中心的醫(yī)療數(shù)據(jù)；在二級醫(yī)療機構(gòu)的基礎(chǔ)上再次建立二級區(qū)塊鏈模型，以在線客戶端作為節(jié)點，保障與頂級數(shù)據(jù)中心交互過程中的數(shù)據(jù)共享與訪問[8]。

3 醫(yī)療數(shù)據(jù)的存儲安全性分析

本設(shè)計的醫(yī)療數(shù)據(jù)存儲平臺的安全機制是由3個維度共同保證的，如圖2所示。

圖2 醫(yī)療存儲平臺防篡改機制結(jié)構(gòu)示意圖

第一個維度是分布式賬本技術(shù)。基于區(qū)塊鏈技術(shù)實現(xiàn)的醫(yī)療數(shù)據(jù)平臺網(wǎng)絡(luò)具有大量節(jié)點，它創(chuàng)建了一個多點分布，網(wǎng)絡(luò)成員之間共享、復(fù)制和同步的數(shù)據(jù)庫。攻擊者若要實施攻擊、更改醫(yī)療記錄，必須要在短時間內(nèi)改動超過51%的節(jié)點，其技術(shù)難度巨大，計算上幾乎不可能實現(xiàn)。

第二個維度是巨大的計算力成本。區(qū)塊鏈從創(chuàng)世塊開始，后續(xù)每一個區(qū)塊中的交易記錄都包含前一個區(qū)塊中的內(nèi)容，因此區(qū)塊鏈中的數(shù)據(jù)采用鏈?zhǔn)浇Y(jié)構(gòu)存儲。攻擊者若想更改醫(yī)療交易記錄，那么首先需要根據(jù)當(dāng)前交易內(nèi)容追溯上一個區(qū)塊的位置，然后更改之前每一個區(qū)塊中的相應(yīng)信息，直至完成所有節(jié)點中的備份交易記錄，而完成這些工作的前提要求其他節(jié)點必須都處于靜止?fàn)顟B(tài)。由第一維度可見，更改一個區(qū)塊中的記錄于計算上是不可行的，而更改多個區(qū)塊，其難度必然更大。

第三個維度是密碼學(xué)的應(yīng)用?；趨^(qū)塊鏈技術(shù)的醫(yī)療信息平臺采用了大量的密碼學(xué)技術(shù)，如Hash算法、橢圓曲線、RSA加密算法等。其中Hash算法的應(yīng)用最為關(guān)鍵，該算法對區(qū)塊進(jìn)行SHA-256加密。SHA-256加密算法的輸入長度為256位，輸出長度是32字節(jié)的隨機散列數(shù)據(jù)。區(qū)塊鏈中用Hash算法對一個交易區(qū)塊中的交易信息進(jìn)行加密，并壓縮為一串由數(shù)字和字母構(gòu)成的散列字符串，該串字符串便是這個區(qū)塊的Hash值，如圖3所示。而按現(xiàn)有的計算機技術(shù)，很難找到高效率的解密算法[9]。

圖3 SHA-256加密算法加密流程圖

4 結(jié)語

區(qū)塊鏈和云數(shù)據(jù)庫存儲為醫(yī)療大數(shù)據(jù)的安全存儲和共享提供了技術(shù)基礎(chǔ)，本文設(shè)計的醫(yī)療數(shù)據(jù)平臺既可以實現(xiàn)醫(yī)療數(shù)據(jù)的分布式存儲，又保證了患者對醫(yī)療數(shù)據(jù)的權(quán)限控制，還可以實現(xiàn)第三方用戶對醫(yī)療數(shù)據(jù)的共享應(yīng)用?；颊?、醫(yī)療機構(gòu)和科研機構(gòu)之間可在該平臺分享醫(yī)療數(shù)據(jù)，例如共享疾病診療、遺傳、飲食、環(huán)境和生活方式等醫(yī)療健康數(shù)據(jù)，并以此為基礎(chǔ)挖掘、開發(fā)新的養(yǎng)生和疾病防治方式。

隨著醫(yī)療大數(shù)據(jù)的發(fā)展，區(qū)塊鏈作為系統(tǒng)存儲技術(shù)，將對醫(yī)療信息化的發(fā)展帶來更多的機遇和挑戰(zhàn)。現(xiàn)階段對政策、標(biāo)準(zhǔn)等環(huán)節(jié)的探索和實踐，是行業(yè)發(fā)展的首要任務(wù)，針對這一顛覆性的變革，采取謹(jǐn)慎、循序漸進(jìn)的方法也是醫(yī)療領(lǐng)域中區(qū)塊鏈應(yīng)用的可取途徑。