拜亞萌，滿君豐，張 宏

（1. 焦作大學信息工程學院，河南焦作454000； 2. 湖南工業(yè)大學計算機學院，湖南株洲412007）

（?通信作者電子郵箱jzbym@163.com）

0 引言

目前，移動醫(yī)療和在線醫(yī)療被認為是解決現(xiàn)有醫(yī)療資源分配不均的有效途徑，在不同醫(yī)療機構或醫(yī)患間共享電子健康記錄能顯著增加醫(yī)學研究和臨床診斷的有效性。但是，電子健康記錄的共享是一個非常復雜的任務:一方面，醫(yī)療機構不愿意共享數(shù)據(jù)，因為電子健康記錄包含病人的重要隱私數(shù)據(jù)，隱私泄露會給醫(yī)療機構帶來嚴重的經(jīng)濟和法律后果；另一方面，電子健康記錄作為醫(yī)療機構的寶貴資產，非授權的訪問可能會造成自身競爭優(yōu)勢的降低。歸其本質，阻礙電子健康記錄共享的原因在于缺乏一種安全的技術方法來保證數(shù)據(jù)的安全，包括病人的隱私保護和數(shù)據(jù)的授權訪問［1-2］。傳統(tǒng)中心化存儲和訪問控制方法容易成為網(wǎng)絡攻擊者的感興趣目標，中心化信任機制暴露出了很多問題。區(qū)塊鏈作為一種去中心化的分布式賬本技術，在數(shù)據(jù)安全性方面具有較大優(yōu)勢［3］。本文提出一種基于區(qū)塊鏈的電子健康記錄安全存儲模型，旨在提出一種通用的電子健康記錄存儲基礎架構，為后續(xù)的機構間共享數(shù)據(jù)提供支撐。

自2008 年中本聰首次提出比特幣以來，區(qū)塊鏈作為比特幣的核心技術，經(jīng)過十多年的發(fā)展逐步為人們所熟知，研究者們也開始探索區(qū)塊鏈在除數(shù)字貨幣外其他領域中的應用。近年來，區(qū)塊鏈在醫(yī)療衛(wèi)生領域的應用，已經(jīng)證明了其在保護病人隱私［4］、確保數(shù)據(jù)授權訪問［5］的優(yōu)勢。William 等［6］介紹了區(qū)塊鏈技術在衛(wèi)生領域的應用場景，提出醫(yī)療衛(wèi)生區(qū)塊鏈系統(tǒng)要注重病人驅動的可互操作性；Koshechkin等［7］介紹了區(qū)塊鏈技術在俄羅斯政府中的公共衛(wèi)生保健系統(tǒng)中的應用，但兩者均并未提出具體的數(shù)據(jù)存儲和共享模型。Gaby等［8］提出使用區(qū)塊鏈技術來實施電子健康記錄的訪問控制和互操作模型，并詳細分析了模型如何在隱私保護和數(shù)據(jù)交互需求中達到有效折中，但模型缺乏相應的實驗論證。Peng 等［9］提出利用區(qū)塊鏈對臨床診斷數(shù)據(jù)進行安全和精確共享，方法使用快速衛(wèi)生保健可操作性資源（Fast Health Interoperable Resources，F(xiàn)HIR）標準進行數(shù)據(jù)一致性存儲，但不能適用于我國醫(yī)療信息系統(tǒng)的現(xiàn)狀。Alex等［10］提出了一個基于區(qū)塊鏈的個人健康記錄實施模型，并對該模型進行了性能分析，實驗結果表明模型在數(shù)據(jù)一致性存儲、響應時間和CPU 利用率等上具有優(yōu)勢，但該模型來源于歐美國家提出的OmniPHR 體系標準，同樣不適合于在我國的應用。Chen 等［11］提出了一種基于區(qū)塊鏈的電子健康記錄可搜索加密方法，方法詳細介紹了如何在電子健康記錄區(qū)塊鏈中安全獲取數(shù)據(jù)，并盡可能降低隱私泄露風險；但該方法的前提是電子健康記錄區(qū)塊鏈已經(jīng)存在，缺乏對其基礎結構的描述。Shaimaa等［12］提出基于物聯(lián)網(wǎng)電子健康記錄系統(tǒng)的多層區(qū)塊鏈框架，框架通過物聯(lián)網(wǎng)設備采集健康數(shù)據(jù)并自動存儲于區(qū)塊鏈系統(tǒng)中，并設計了數(shù)據(jù)共享的智能合約；但框架中沿用了傳統(tǒng)區(qū)塊鏈網(wǎng)絡中的共識算法，在運行效率上存在不足。Gao 等［13］提出結合區(qū)塊鏈和云服務的電子健康數(shù)據(jù)防篡改系統(tǒng)，系統(tǒng)通過將電子健康數(shù)據(jù)云中的數(shù)據(jù)存儲在區(qū)塊鏈中，實現(xiàn)了數(shù)據(jù)的不可篡改；但區(qū)塊鏈中的共識機制選取不夠高效，另外基于中心信任的云數(shù)據(jù)來源具有較大的安全隱患。

綜上所述，區(qū)塊鏈應用于醫(yī)療衛(wèi)生領域是可行的，但在存儲結構通用性、共識算法執(zhí)行效率、實驗論證上存在著不足。針對上述問題，本文提出一種基于區(qū)塊鏈的電子健康記錄安全存儲模型，利用區(qū)塊鏈在隱私保護和數(shù)據(jù)防篡改上的優(yōu)勢安全存儲電子健康記錄。根據(jù)目前我國主要醫(yī)療機構中存儲電子健康記錄的方式，設計新的電子健康記錄區(qū)塊鏈存儲結構，解決現(xiàn)有存儲結構無法通用的問題；設計相對應的區(qū)塊數(shù)據(jù)入鏈算法，優(yōu)化了區(qū)塊鏈工作流程，減少了點到點（Peer-to-Peer，P2P）網(wǎng)絡中信息傳播量；設計基于隨機數(shù)選舉的區(qū)塊鏈節(jié)點間的共識算法，克服現(xiàn)有共識算法在執(zhí)行效率上的不足。

1 相關知識及問題提出

1.1 區(qū)塊鏈

1.1.1 區(qū)塊鏈基礎架構

區(qū)塊鏈實際上并不是一種全新的技術，而是分布式數(shù)據(jù)存儲、去中心化的點對點傳輸、共識機制、加密算法等計算機技術在互聯(lián)網(wǎng)時代的創(chuàng)新應用模式。區(qū)塊鏈采用鏈式結構存儲數(shù)據(jù)，除創(chuàng)始區(qū)塊外，區(qū)塊鏈中的每一個區(qū)塊都有著前驅和后繼區(qū)塊，并且這些相互聯(lián)系的區(qū)塊有著強的依賴關系，一旦某個區(qū)塊的值發(fā)生變化，都會造成整個區(qū)塊鏈發(fā)生改變，加上每個區(qū)塊中的時間戳，確保了區(qū)塊鏈中的數(shù)據(jù)是可溯源和不可篡改的。圖1給出了比特幣中區(qū)塊鏈的存儲結構［14］。

1.1.2 區(qū)塊鏈工作原理

區(qū)塊鏈的工作原理可用比特幣網(wǎng)絡中新區(qū)塊的入鏈過程進行說明，如圖2 所示。新區(qū)塊的入鏈分為四個過程:交易產生及傳播、區(qū)塊生成、區(qū)塊驗證和區(qū)塊入鏈。假設網(wǎng)絡中有4個節(jié)點A、B、C、D，TAB表示節(jié)點A 和B 之間的交易，BL1為新產生的區(qū)塊，BC1為新的區(qū)塊鏈。

1）交易產生及傳播。

圖2（a）左圖表示交易的產生，生成新的交易TAB，圖2（a）右圖表示交易的傳播，將TAB通過四個節(jié)點形成的P2P 網(wǎng)絡進行傳播，每個節(jié)點均會收到此交易信息。

2）區(qū)塊生成。

圖2（b）表示區(qū)塊生成，四個節(jié)點通過約定好的共識機制，如工作量證明（Proof of Work，PoW）機制競爭記賬權，假設C 節(jié)點獲得礦工身份，則負責產生新的區(qū)塊BL1，并將此區(qū)塊簽名和蓋上時間戳。

3）區(qū)塊驗證。

圖2（c）表示區(qū)塊驗證，礦工節(jié)點C將新產生的區(qū)塊BL1通過P2P 網(wǎng)絡傳播給網(wǎng)絡所有節(jié)點，其他節(jié)點對此區(qū)塊的有效性進行驗證，如交易TAB是否合法有效。

4）區(qū)塊入鏈。

圖2（d）表示區(qū)塊入鏈，網(wǎng)絡中節(jié)點通過新區(qū)塊的驗證，并將新產生的區(qū)塊增加到區(qū)塊鏈中，每個節(jié)點擁有當前時刻區(qū)塊鏈的最新狀態(tài)BC1。

圖1 比特幣網(wǎng)絡中的區(qū)塊存儲結構Fig. 1 Block storage structure in Bitcoin network

圖2 比特幣網(wǎng)絡中新區(qū)塊入鏈過程Fig. 2 Process of a new block addition in Bitcoin network

1.2 問題提出

在圖1 所示的區(qū)塊結構中，區(qū)塊頭中實際上定義了網(wǎng)絡節(jié)點間的共識機制，如比特幣系統(tǒng)中定義的PoW 機制，每個節(jié)點嘗試尋找一個“幸運數(shù)”，使得將當前區(qū)塊（區(qū)塊鏈中的最后一個區(qū)塊）的哈希值、最新產生的交易、隨機數(shù)三部分組合起來，通過SHA256算法計算出散列值X（256位），如果X 滿足目標哈希中的條件（比如前20 位均為0），那么該節(jié)點獲得創(chuàng)建新區(qū)塊的權利。事實上，這種共識機制消耗了大量的計算資源，新區(qū)塊入鏈的時間效率較低，比特幣每10 min增加一個新的交易區(qū)塊，并不適合于實際的電子健康記錄區(qū)塊鏈應用。因此，需要設計新的共識機制來確保區(qū)塊入鏈的時間效率。另外，在圖1 所示的區(qū)塊體中，比特幣是將所有交易的詳細記錄保存在區(qū)塊中，這種方法對數(shù)據(jù)量較大的電子健康記錄顯然是不合適的，因為醫(yī)學診斷圖像需要大量的存儲空間。因此，需要對現(xiàn)有區(qū)塊體結構進行改進。

在圖2 所示的區(qū)塊鏈工作原理中，除了上述的礦工節(jié)點競爭所存在的低效率問題外，交易傳播和區(qū)塊驗證過程均需要在全網(wǎng)進行廣播，如果網(wǎng)絡中的節(jié)點數(shù)較多，將會占用大量的網(wǎng)絡帶寬。另外，參與本次交易的節(jié)點仍然有機會成為礦工，這就造成了自己對自己參與的交易進行驗證，這極大增加了數(shù)據(jù)造假的風險。因此，在實際的電子健康記錄區(qū)塊鏈中需要設計新的區(qū)塊入鏈過程，保證數(shù)據(jù)的安全性和入鏈效率。

2 基于區(qū)塊鏈的電子健康記錄存儲模型

2.1 電子健康記錄區(qū)塊鏈存儲結構

本文設計的電子健康記錄區(qū)塊鏈存儲結構參照圖1 進行改進，其中，對區(qū)塊頭和區(qū)塊體中的交易進行說明，如圖3 所示。區(qū)塊頭中保留了原來的時間戳和Merkle 根，增加了前驅區(qū)塊的哈希值，用作驗證目的。增加了參與交易節(jié)點的簽名集合，每個參與交易的節(jié)點需對交易進行簽名驗證，用來確認交易的有效性。將原來區(qū)塊頭中用于工作量證明的隨機數(shù)和目標哈希替換為現(xiàn)有的隨機數(shù)集合，用來產生下一個區(qū)塊入鏈時的礦工節(jié)點，具體機制將在2.3 節(jié)中介紹。為了節(jié)省區(qū)塊鏈占用的存儲空間，區(qū)塊體中不再保存電子健康記錄的詳細信息，事實上，目前的醫(yī)療機構更希望將完整的記錄保存在自己的服務器中，便于實施控制和進行必要的審計。區(qū)塊體中具體交易由資源Hash、交易發(fā)起者簽名、資源統(tǒng)一資源定位（Uniform Resource Locator，URL）和可搜索加密索引四部分組成。資源Hash 即當前交易中電子健康記錄的Hash 值，用來保證記錄的完整性；交易發(fā)起者簽名用來驗證本次交易的真實性；資源URL 用來指向電子健康記錄的訪問地址；可搜索加密索引為后續(xù)安全檢索指定的交易提供準備，此部分內容和數(shù)據(jù)共享的智能合約［15］將在后續(xù)工作中展開研究，在本文中不作詳細介紹。

圖3 電子健康記錄區(qū)塊鏈存儲結構Fig. 3 Blockchain storage structure of electronic health records

2.2 區(qū)塊入鏈算法

優(yōu)化后的區(qū)塊入鏈過程如圖4 所示。一個區(qū)塊從產生到成功入鏈經(jīng)歷四個過程:

1）交易分發(fā)階段。參與交易的節(jié)點A和C將交易TAC發(fā)給礦工節(jié)點B（礦工節(jié)點的產生將在2.3 節(jié)中介紹），B 負責收集指定時間范圍內所有其他節(jié)點發(fā)過來的交易，為了降低潛在的風險，礦工節(jié)點并不處理涉及自己的交易。

2）區(qū)塊驗證階段。B 負責將收集到的交易形成新的區(qū)塊b，并將該區(qū)塊發(fā)回給參與交易的節(jié)點A和C，請求驗證交易的有效性。

3）簽名區(qū)塊返回階段。A 和C 對區(qū)塊b 進行驗證，無誤則進行簽名，選擇一個隨機數(shù)rA和rC與b一起發(fā)回給B（隨機數(shù)rA和rC用于2.3節(jié)中的礦工選舉）。

4）區(qū)塊鏈同步階段。B 將區(qū)塊加入到區(qū)塊鏈中，得到新的區(qū)塊鏈BC并將其發(fā)給所有其他節(jié)點同步。

區(qū)塊入鏈算法如下所示:

圖4 優(yōu)化的區(qū)塊入鏈過程Fig. 4 Optimized process of block addition

2.3 基于隨機數(shù)選舉的共識算法

本文設計的共識算法核心是選舉礦工節(jié)點，在每一個區(qū)塊入鏈開始前進行選舉，意味著每次區(qū)塊入鏈時礦工節(jié)點是已知的，這樣做的好處是交易能有目的性地發(fā)給礦工節(jié)點而不是整個網(wǎng)絡，在進行區(qū)塊驗證時也不需要所有非參與交易的節(jié)點驗證，驗證通過后，由礦工節(jié)點統(tǒng)一發(fā)布當前最新的區(qū)塊鏈狀態(tài)進行全網(wǎng)統(tǒng)一。下一輪礦工節(jié)點的選舉由本輪區(qū)塊中參與交易的節(jié)點提供的隨機數(shù)產生，基于隨機數(shù)選舉的共識算法由兩個部分組成:礦工節(jié)點產生和基于信用的激勵機制。

2.3.1 礦工節(jié)點產生

在2.2 節(jié)介紹的簽名區(qū)塊返回階段，參與交易的節(jié)點會提供下一次區(qū)塊入鏈時用來選舉礦工節(jié)點的隨機數(shù)，這些隨機數(shù)與當前區(qū)塊的Hash值一起采用SHA256算法得到一個新的Hash 值h，對于所有區(qū)塊鏈中的節(jié)點，求節(jié)點公鑰與h 的差的絕對值，其絕對值最小對應的節(jié)點就是礦工節(jié)點。這樣做的目的是確保任何一個節(jié)點成為礦工節(jié)點的概率為1/N，并且防止單一節(jié)點決定礦工節(jié)點的情況。礦工節(jié)點選舉算法如下所示。

2.3.2 基于信用的激勵機制

在比特幣網(wǎng)絡中，成為礦工的節(jié)點將獲得比特幣的獎勵，用以激勵礦工節(jié)點參與記賬作出的貢獻。在本文設計的電子健康記錄區(qū)塊鏈中，礦工節(jié)點在區(qū)塊入鏈過程中承擔了大量的工作，為了激勵礦工節(jié)點，設計基于信用的激勵機制，其基本思路是初始化時網(wǎng)絡中所有節(jié)點的信用值相等，當每次一個節(jié)點成為礦工節(jié)點并完成區(qū)塊入鏈后對其信用值進行調整，礦工節(jié)點信用值計算公式［16］如下所示:

其中:CV 為礦工節(jié)點信用值；TN 為礦工節(jié)點產生正確區(qū)塊的次數(shù)；FN 為礦工節(jié)點產生錯誤區(qū)塊的次數(shù)。從式（1）可以看出:礦工節(jié)點一旦產生錯誤區(qū)塊將會降低其信用值，并且當產生錯誤區(qū)塊的次數(shù)大于正確區(qū)塊時，信用值將減為0；而當沒有錯誤區(qū)塊產生時，礦工節(jié)點的信用值將恒定增加。節(jié)點的信用值將記錄在電子健康記錄區(qū)塊鏈系統(tǒng)中，作為對節(jié)點進行獎勵的依據(jù)。

節(jié)點信用值的更新和維護策略如下:

1）對于有N 個節(jié)點的區(qū)塊鏈，構建一個一維信用值數(shù)組CV=［cv1，cv2，…，cvn］，cvi為第i 個節(jié)點的信用值，所有節(jié)點的信用值初值為0。

2）在礦工節(jié)點選舉結束后，礦工節(jié)點將區(qū)塊中待驗證的交易發(fā)給參與節(jié)點進行驗證，各參與節(jié)點計算礦工節(jié)點處理與本節(jié)點相關的交易獲得的信用值，更新礦工節(jié)點的信用值。

3）礦工節(jié)點將所有參與節(jié)點計算的信用值求和，獲得自己的信用值，更新信用值數(shù)組。

4）下一輪礦工節(jié)點產生后，檢查上一個區(qū)塊中總的交易數(shù)，重新計算上一輪礦工節(jié)點應得的信用值，無誤則將信用值數(shù)組（有誤則以新計算的信用值為準）和本輪區(qū)塊一起存入?yún)^(qū)塊鏈系統(tǒng)中。為了防止礦工節(jié)點修改自己的信用值，增加了下一輪礦工節(jié)點對上一輪礦工節(jié)點信用值的驗證操作。

3 實驗與結果分析

3.1 實驗環(huán)境與參數(shù)設置

為了驗證本文提出模型的可行性，利用Hyperledger Fabric1.4 工具進行電子健康記錄聯(lián)盟鏈的部署，并生成創(chuàng)始區(qū)塊，在本地局域網(wǎng)中部署6 個節(jié)點，用來模擬聯(lián)盟鏈中的用戶，每個節(jié)點提供電子健康記錄的訪問URL，電子健康記錄按照產生時間生成獨立的URL。實驗開始時，在6 個節(jié)點均部署事先生成的20 個電子健康記錄，每個節(jié)點每10 s 隨機發(fā)起一次交易（將一個電子健康記錄添加到區(qū)塊鏈中）。實驗中相關環(huán)境和主要參數(shù)如表1所示。

表1 實驗相關環(huán)境和參數(shù)配置Tab. 1 Experimental environment and parameter configuration

3.2 模型性能分析

3.2.1 正確性分析

表2 給出了6 個節(jié)點在區(qū)塊鏈系統(tǒng)運行20 min 和30 min時成為礦工節(jié)點的次數(shù)和數(shù)據(jù)成功更新的數(shù)據(jù)，從表2 中可以看出，每個節(jié)點請求的數(shù)據(jù)更新服務都已成功執(zhí)行，并且隨著區(qū)塊鏈運行時間的增長，每個節(jié)點成為礦工節(jié)點的概率趨向相等。這也充分說明了本文提出模型的正確性及共識機制在公平公正上的有效性。

表2 正確性實驗結果Tab. 2 Experimental results of correctness

3.2.2 安全性分析

本文提出的電子健康記錄存儲模型基于區(qū)塊鏈技術，相比傳統(tǒng)的中心化存儲具有明顯優(yōu)勢，去中心化的存儲降低了黑客攻擊的風險，也避免了單一節(jié)點失效帶來的系統(tǒng)數(shù)據(jù)丟失的隱患。另外，區(qū)塊鏈中存儲的數(shù)據(jù)僅僅是電子健康記錄的URL，并不存儲完整的記錄，在隱私保護上具有優(yōu)勢。在用戶真正需要訪問完整的記錄時（存儲在機構服務器中的記錄用擁有者的公鑰進行加密存儲），存儲在機構中的記錄需要用戶提供相應的私鑰進行驗證，保證了數(shù)據(jù)訪問的可追溯性，另外可以采用相關的智能合約對數(shù)據(jù)訪問進行進一步控制。最后，區(qū)塊頭中存儲了電子健康記錄的Hash 值，用來驗證電子健康記錄的內容是否受到篡改，另外區(qū)塊鏈本身的不可篡改性也確保了區(qū)塊中存儲的電子健康記錄對應的URL 的真實性。綜上，所提出的安全存儲模型在抵抗黑客攻擊、單點失效、隱私保護和不可篡改性上具有優(yōu)勢。

1）針對礦工節(jié)點偽造交易的攻擊。

首先，礦工節(jié)點因為具有生成區(qū)塊的權利，極有可能偽造交易來獲取特定的利益，由于所有的交易均要發(fā)給參與交易的節(jié)點進行驗證，否則無法寫入到區(qū)塊中。假設礦工節(jié)點偽造2 筆交易，涉及到4 個參與節(jié)點，則礦工節(jié)點需要偽造4 個節(jié)點的私鑰來對交易進行驗證，在現(xiàn)有的公私鑰密碼體制下是非常困難的。

2）針對礦工節(jié)點偽造信用值的攻擊。

為了防止礦工節(jié)點偽造自己的信用值，采取兩種方案確保信用值的真實性:a）礦工節(jié)點的信用值由所有參與節(jié)點計算；b）下一輪礦工節(jié)點對上一輪礦工節(jié)點信用值進行再次核驗，確保所有節(jié)點的信用值真實性。

3.2.3 存儲空間分析

傳統(tǒng)的比特幣網(wǎng)絡將所有交易存儲在區(qū)塊中，造成以太坊的存儲空間呈指數(shù)級增長，雖然聯(lián)盟鏈中用戶數(shù)量和交易數(shù)均有效，但存儲海量的醫(yī)學診斷圖像數(shù)據(jù)對區(qū)塊鏈系統(tǒng)的容量仍是巨大的挑戰(zhàn)；另外，在P2P網(wǎng)絡中進行區(qū)塊鏈同步所需的網(wǎng)絡帶寬和處理時間也是影響模型實際應用的關鍵因素。本文提出的安全存儲模型僅存儲每次交易包含的電子健康記錄的URL，不會顯著增加區(qū)塊鏈的存儲容量。

3.2.4 運行時間分析

模型的運行時間主要由共識機制決定，為了比較本文提出的共識機制在時間效率上的優(yōu)勢，將其與傳統(tǒng)的PoW 和權益證明（Proof of Stake，PoS）機制進行對比，對比結果如圖5所示。PoW 中設置的隨機數(shù)解為5 個0，PoS 中設置的節(jié)點股權占比與節(jié)點信用值進行關聯(lián)，區(qū)塊鏈運行時間設置為30 min。從圖5 中可以看出，三種機制在網(wǎng)絡中交易數(shù)量增加時，所需的執(zhí)行時間都呈上升趨勢，其中，PoW 所需的執(zhí)行時間最多，其原因是所有節(jié)點均需競爭礦工身份，并且隨著隨機數(shù)難度增大，時間會顯著提升。PoS 相比PoW，大大減少了礦工節(jié)點產生的時間，通過股權占比決定礦工節(jié)點，所需的執(zhí)行時間次之，但由于每次區(qū)塊入鏈時的礦工節(jié)點不確定，造成P2P網(wǎng)絡中所傳輸?shù)臄?shù)據(jù)量相比本文方案大得多，本文方案優(yōu)化了工作量證明所需的競爭，并且增加了交易收集和驗證的針對性，所需的執(zhí)行時間最少。

圖5 共識機制時間效率對比Fig. 5 Time efficiency comparison of consensus mechanisms

4 結語

電子健康記錄共享是移動醫(yī)療和在線醫(yī)療的關鍵技術，本文針對電子健康記錄安全存儲問題進行了深入研究，提出了基于區(qū)塊鏈的電子健康記錄存儲模型；設計了新的電子健康記錄區(qū)塊鏈存儲結構，降低了區(qū)塊鏈中數(shù)據(jù)存儲的容量和增強了模型使用的通用性；設計了基于隨機數(shù)選舉的共識機制，提高了區(qū)塊入鏈的時間效率；在此基礎上，優(yōu)化了區(qū)塊入鏈的算法，保證了數(shù)據(jù)操作的安全性和時間效率。如何在本文提出的數(shù)據(jù)存儲模型基礎上實施安全有效的數(shù)據(jù)共享，設計相應的數(shù)據(jù)訪問控制智能合約將是下一步研究的主要工作。