周正強，陳玉玲，李 濤，任曉軍，卿欣藝

1.貴州大學計算機科學與技術學院，貴州貴陽550025

2.貴州大學公共大數據國家重點實驗室，貴州貴陽550025

3.濰坊科技學院農蔬區(qū)塊鏈實驗室，山東壽光262700

隨著醫(yī)療行業(yè)的飛速發(fā)展，醫(yī)療數據急劇增多，于是越來越多的醫(yī)療機構開始使用電子設備記錄患者的醫(yī)療數據，取代了傳統(tǒng)的手寫紙質病歷。醫(yī)療數據共享可以幫助醫(yī)生更準確地了解患者的病史并制定優(yōu)化的治療方案，為研究人員提供廣泛的數據，加快了生物醫(yī)藥的研發(fā)[1-2]。然而，現階段的電子醫(yī)療數據面臨諸多問題，主要概括為以下兩點：1）醫(yī)療數據集中存儲在患者就診醫(yī)院的數據庫中，而不能在醫(yī)院間及時共享，導致信息孤島問題。2）醫(yī)療數據涉及患者的個人隱私，但就目前的存儲方式而言安全性較低，容易被非法用戶竊取和篡改。

云計算[3-5]的發(fā)展為醫(yī)療數據的共享提供了一種有效的方法。許多用戶和醫(yī)療機構開始將數據上傳到云端進行存儲和共享，不但可以降低本地存儲數據的成本，而且便于用戶隨時隨地訪問數據，但云中的安全問題也日益凸顯。人們對隱私保護[6]和訪問控制等安全問題進行了一系列研究。文獻[7] 提出了一種基于云的醫(yī)療記錄系統(tǒng)，該系統(tǒng)先用對稱加密方案加密醫(yī)療數據，再用屬性基加密方案加密對稱密鑰，從而保護了患者的醫(yī)療數據。文獻[8] 提出了基于屬性基的加密方案（attribute-based encryption,ABE），以屬性為加解密的關鍵要素將屬性同密文和用戶密鑰相關聯。文獻[9] 提出了一種基于秘密共享和重構外包的醫(yī)療數據云存儲方案，用秘密共享技術實現數據的隱私保護，在共享醫(yī)療數據時將數據重建外包給云服務提供商（cloud service provider,CSP），減少醫(yī)療機構或患者的計算量。然而，這些方案高度依賴CSP，一旦CSP 的軟硬件出現故障或受到惡意攻擊就會造成醫(yī)療數據丟失、泄露等后果。

區(qū)塊鏈技術[10-11]為醫(yī)療數據的安全共享提供了新的機遇。區(qū)塊鏈在本質上是一種分布式賬本數據庫，具有去中心化、不可篡改等特點，且不必用可靠第3 方存儲數據。因此，區(qū)塊鏈技術可以解決云端數據的安全性問題。按照參與者的不同可以將區(qū)塊鏈分為3 類：公有鏈、聯盟鏈、私有鏈。公有鏈是完全去中心的區(qū)塊鏈，任何節(jié)點都可以加入和讀取數據，如比特幣和以太坊就是典型的公有鏈。私有鏈是完全中心化的區(qū)塊鏈，可以在一個實體內部使用。文獻[12] 通過構造私有鏈提出了一種基于區(qū)塊鏈的醫(yī)療數據共享模型，在改進共識算法的基礎上將醫(yī)療文件存儲加密到分布式數據庫，采用代理重加密算法來實現醫(yī)療文件的訪問控制。文獻[13] 將私有鏈作為云存儲的角色進行醫(yī)療數據存儲，并確?；颊邠碛袛祿袡?。聯盟鏈是半中心化的區(qū)塊鏈，只有經過授權的用戶才能訪問鏈上數據，而聯盟鏈節(jié)點分屬于多家不同的公司或集團。醫(yī)療區(qū)塊鏈的節(jié)點是醫(yī)療機構、保險公司、研究所等，其行政、財務等完全獨立，同時這些節(jié)點接受政府監(jiān)督與管理，且有嚴格的準入和分級制度，因此醫(yī)療區(qū)塊鏈實際上是一種醫(yī)療聯盟鏈。文獻[14] 提出了一種基于區(qū)塊鏈的醫(yī)療數據隱私保護共享方案，將醫(yī)療數據存入云服務器，而將索引保存在聯盟鏈上，并且結合屬性加密和內容提取簽名來實現數據的隱私保護。但在此方案中，數據的解密和加密等都由患者執(zhí)行，這將增加患者的計算量。文獻[15] 提出了一個Ancile 框架，利用智能合約對區(qū)塊鏈上的節(jié)點進行權限控制，并用代理重加密算法來提高醫(yī)療數據的安全性。文獻[16] 提出了一種基于區(qū)塊鏈的醫(yī)療數據完整性驗證和共享方案，由患者為數據用戶分發(fā)私鑰，再將加密的數據存儲到云服務器和區(qū)塊鏈上，然后部署智能合約來驗證數據完整性。然而在此方案中，患者充當密鑰分發(fā)中心，需要做大量的計算工作。文獻[17] 結合屬性加密和身份加密技術來加密醫(yī)療數據，用基于身份的簽名實現數字簽名，以區(qū)塊鏈技術確保醫(yī)療數據的完整性和可追溯性。文獻[18] 提出了一種基于區(qū)塊鏈和屬性加密的醫(yī)療數據共享方案，將數據密文的大部分解密操作外包給云服務器，減輕了數據用戶的計算量。醫(yī)療數據需要從時間維度上進行訪問控制管理[19]，但這些方案只是在醫(yī)療數據共享過程中進行了一定的隱私保護。從相關工作中可以得知目前仍有兩個問題需要解決：1）患者雖然擁有數據所有權，但是對數據的處理過程只執(zhí)行簡單計算操作；2）數據用戶只能在有效時間段內才能訪問醫(yī)療數據。因此，迫切需要具有時間維度的數據共享方案，于是本文提出了一種基于聯盟鏈的醫(yī)療數據安全共享方案，設計了數據安全共享協(xié)議，從而將智能合約和密文策略屬性基加密技術[20]相結合；引入智能合約，使數據用戶只有在使用期限內才能訪問醫(yī)療數據；采用CP-ABE 技術，實現了對醫(yī)療數據的細粒度訪問控制。

1 相關知識

1.1 智能合約

智能合約[21]存儲在區(qū)塊鏈上，是一種由事件觸發(fā)的、具有狀態(tài)的、自行驗證和自動執(zhí)行的計算機協(xié)議。用戶通過發(fā)起交易提交智能合約到區(qū)塊鏈網絡，經曠工節(jié)點驗證后存儲在區(qū)塊鏈特定的區(qū)塊中，用戶得到返回的合約地址及合約接口等信息后，可通過發(fā)起交易來調用合約。智能合約的運行原理如圖1所示。

圖1 智能合約運行原理Figure 1 Smart contract operation principle

1.2 CP-ABE 算法

基于屬性基加密方案分為兩類：基于密文策略的屬性基加密[20]和基于秘鑰策略的屬性基加密。本文中使用的是CP-ABE，其用戶的私鑰關聯一個屬性集，密文則關聯一個屬性策略，當且僅當屬性集滿足屬性策略時，用戶才可解密。CP-ABE 方案通常由以下4 個算法組成：

1）Setup(λ)→(PK,MK)

給定安全參數λ，生成公共參數PK和主密鑰MK。

2）KeyGen(MK,S)→SK

輸入主密鑰MK和屬性集合S，得到解密密鑰SK。

3）Eenrypy(PK,M,T)→CT

輸入公共參數PK、明文消息M和訪問結構T，得到密文CT。

4）Decrypt(CT,SK,PK)→M

輸入密文CT、解密密鑰SK和公共參數PK，得到明文消息M。

2 本文方案

2.1 事務結構設計

在區(qū)塊鏈中，數據以事務的形式存儲。事務可用于數據存儲、數據索引和調用智能合約。事務數據結構如圖2所示。

圖2 事務數據結構Figure 2 Transaction data structure

圖中：Tid表示事務消息標識號；TPK表示事務發(fā)布者（醫(yī)院、患者、數據用戶）公鑰；Transaction_type 代表事務消息類型，以Tsto表示數據存儲事務，以Tset表示時間設置事務，以Tget表示訪問事務；Transaction_data 代表具體的事務消息數據，分別有數據存儲信息、時間設置信息和訪問信息；數據存儲內包含元數據，時間設置包含請求者公鑰和允許訪問時間段，訪問包含訪問目標公鑰和事務消息標識號；Signature_message 表示對前4 項事務數據的消息簽名；timestamp 表示消息發(fā)布的時間戳。

2.2 基于聯盟鏈的醫(yī)療數據共享模型

本文提出的模型主要由6 個實體組成：監(jiān)管中心、云存儲器、聯盟鏈、患者、醫(yī)院、數據用戶，如圖3所示。

圖3 醫(yī)療聯盟鏈體系Figure 3 Medical consortium blockchain system

1）監(jiān)管中心

負責向首次進入聯盟鏈的用戶頒發(fā)注冊證書，并作為醫(yī)療數據共享過程的監(jiān)管部門，對患者、醫(yī)院和數據用戶進行監(jiān)督與管理。

2）云存儲器

提供存儲空間，存儲加密醫(yī)療數據。

3）聯盟鏈

聯盟鏈節(jié)點由多家醫(yī)院、保險公司、研究所等構成，并共同維護區(qū)塊鏈。聯盟鏈存儲醫(yī)療元數據，以防止數據被惡意篡改。

4）患者

醫(yī)療數據的擁有者，可以將醫(yī)療數據共享給其他數據用戶。患者制定訪問控制策略并將該策略發(fā)送至醫(yī)院，作為對醫(yī)院的授權。在數據共享過程中，患者為數據用戶設置使用期限。

5）醫(yī)院

產生醫(yī)療數據，得到患者授權后對數據進行加密，并將數據密文存入云存儲器，將醫(yī)療元數據存儲至聯盟鏈。

6）數據用戶

數據用戶若要獲取某患者的醫(yī)療數據，則需獲得該患者的授權才能訪問數據。

醫(yī)療數據的共享模型如圖4所示。為加強監(jiān)管并識別惡意用戶，本模型采用半中心化的聯盟鏈。用戶加入區(qū)塊鏈前需要進行注冊，只有注冊成功才能加入聯盟鏈?；颊叩结t(yī)院就診時，將訪問策略簽名并發(fā)給醫(yī)院；醫(yī)院按照訪問策略對數據進行加密，將加密數據和元數據分別存入云存儲器和聯盟鏈，其中元數據包括醫(yī)療數據的存儲位置、哈希值等。數據用戶向患者發(fā)送訪問請求，患者為其設置使用期限并存入聯盟鏈；數據用戶向聯盟鏈提交共享請求事務來獲取元數據，并根據元數據從云存儲器中下載相應的數據。

圖4 醫(yī)療數據共享模型Figure 4 Medical data sharing model

本文采用實用拜占庭容錯（practical Byzantine fault tolerance,PBFT）機制，按照現階段國家對醫(yī)院的評級標準[22]選擇排名在前面的醫(yī)院作為記賬節(jié)點，因為這些醫(yī)院經過多年的信息化發(fā)展具有較為完備的網絡和服務器。事務消息被提交到聯盟鏈，主節(jié)點醫(yī)院接收到事務消息后驗證其數字簽名，并生成預準備消息廣播給各從節(jié)點醫(yī)院。經過PBFT 階段共識過程后，各從節(jié)點接收該事務請求消息并執(zhí)行事務中所攜帶的操作，同時將該事務請求存入本節(jié)點數據庫。

2.3 基于聯盟鏈的醫(yī)療數據共享協(xié)議

基于聯盟鏈的醫(yī)療數據共享協(xié)議分為3 個階段：用戶注冊、數據存儲、數據共享。

1）用戶注冊

監(jiān)管中心執(zhí)行初始化算法Setup(λ) 產生主密鑰MK和公共參數PK。每個用戶向監(jiān)管中心（第3 方證書授權機構）提交相關注冊信息，只有監(jiān)管中心授權后才能獲得公私鑰對以及屬性私鑰和數字證書。首先，用戶向監(jiān)管中心提交注冊信息（身份信息、醫(yī)療機構的從業(yè)證明等），監(jiān)管中心驗證用戶的身份資質，使用非對稱加密算法為通過驗證的用戶生成公私鑰對UPK、USK，并使用其私鑰對用戶的公鑰UPK進行簽名生成數字證書UCert。然后，監(jiān)管中心根據用戶的身份特征分配一個屬性集合SU并運行密鑰分發(fā)算法KeyGen(MK,SU) 生成用戶的屬性私鑰U′SK。最后，將公鑰UPK、私鑰USK、數字證書UCert和屬性私鑰U′SK通過安全信道發(fā)送給用戶保存。在聯盟鏈系統(tǒng)中，用戶經監(jiān)管中心注冊后成為一個合法的實體，其賬戶由公鑰進行標識。用戶將簽名后的事務請求上傳至聯盟鏈，鏈上節(jié)點根據數字證書驗證簽名，可以保證事務來源的真實性。數據用戶的注冊信息可以表示為

2）數據存儲

患者將訪問策略T發(fā)送給醫(yī)院，授權醫(yī)院對醫(yī)療數據進行加密。醫(yī)院將加密的醫(yī)療數據和元數據分別存入聯盟鏈和云存儲器。為了提高加密效率，使用對稱加密算法加密醫(yī)療數據，再用CP-ABE 算法加密對稱密鑰。首先，醫(yī)院從密鑰空間中隨機選取一個對稱密鑰K加密醫(yī)療數據M，將得到的密文EncK(M) 存儲至云存儲器，再將云中所獲數據的訪問地址LC加密得到L′C=EncK(LC)。然后，加密對稱密鑰K，將公共參數PK、數據訪問結構T、對稱密鑰K作為輸入，輸出密文K′= Eenrypy(PK,K,T)。為醫(yī)療數據生成哈希值H(M)，確保云中的醫(yī)療數據不被篡改和偽造。最后，將元數據Mdata→{L′C,K′,H(M)}以事務的方式提交到聯盟鏈，并將事務消息標識號Tid發(fā)送給患者。

3）數據共享

醫(yī)療數據的使用權限由患者控制，患者P可以共享數據給其他數據用戶U。當數據用戶訪問患者的醫(yī)療數據時，該數據用戶首先向患者提交訪問請求，再由患者為其設置有效的訪問期限。只有數據用戶的屬性集滿足訪問控制策略和時效要求，數據用戶才能獲得醫(yī)療數據密文，進而正確執(zhí)行解密算法得到數據明文。具有時間維度的訪問控制的步驟如下：

步驟1數據用戶向患者發(fā)送請求，請求內容包括自己的公鑰UPK、訪問的時間段[ts,te]（ts為開始時間，te為結束時間）、簽名Sig 和數字證書UCert。訪問請求公式為

步驟2患者首先驗證數據用戶的簽名，并確定其訪問時間是否合理。然后，患者將限時智能合約部署到聯盟鏈網絡，并創(chuàng)建時間設置事務，調用智能合約中SETINTERVAL 函數（如算法1 所示）為數據用戶設置有效訪問時間，時間設置事務的數據結構如圖2所示。最后，患者將元數據的事務消息標識號Tid發(fā)送給數據用戶。當執(zhí)行算法1 時，記賬節(jié)點首先驗證事務提交者的公鑰是否為合約的創(chuàng)建者，若不是，則算法終止；其次，驗證數據用戶的地址是否為有效地址，若不是，則算法終止。最后，為數據用戶添加有效的訪問時間。時間事務在整個區(qū)塊鏈網絡中廣播和驗證后存儲在區(qū)塊上。在這種情況下，節(jié)點證明患者為該數據用戶添加了訪問時間段，并且只有該數據用戶才能訪問其內容。

算法1添加訪問時間

輸入PPK,UPK,[ts,te]

輸出true，則訪問時間添加成功；否則，添加失敗

步驟3數據用戶提交訪問事務，調用智能合約中的GETINTERVAL 函數（如算法2 所示），獲得醫(yī)療數據的訪問期限，訪問事務的數據結構如圖2所示。區(qū)塊鏈節(jié)點首先驗證數據用戶的簽名，若簽名有效則接受該請求，否則將作為無效請求丟棄。對于有效請求，判斷數據用戶是否在訪問時間范圍內，若在時間范圍內則允許訪問，否則拒絕訪問。

步驟4數據用戶以屬性密文K′、屬性私鑰U′SK作為輸入，若U′SK中屬性滿足訪問策略T時，數據用戶解密得到對稱密鑰K=Decrypt(K′,U′SK)，否則解密失?。唤饷芗用艿刂返肔C= DecK(L′C)，從云存儲器中下載加密數據，解密對稱密文得到患者醫(yī)療數據M=DecK(EncK(M))。

算法2獲取訪問時間

輸入Tid,UPK

輸出false，則拒絕訪問；否則輸出密文

3 分析與評估

3.1 安全性分析

3.1.1 防篡改

區(qū)塊鏈上的數據區(qū)塊包含一個時間戳和前一個區(qū)塊的哈希值，區(qū)塊中的事務消息通過Merkle 樹哈希生成Merkle 根，并將其存儲在區(qū)塊頭部。按照時間順序鏈接的區(qū)塊保證事務消息不能任意修改，除非全網51% 的節(jié)點被篡改，而在一個較大的區(qū)塊鏈網絡中，這幾乎是一個不可能事件。本方案將存儲和訪問事務都記錄在聯盟鏈上，保證了醫(yī)療數據的不可篡改性。

3.1.2 隱私保護

事務由發(fā)起者簽名，再經節(jié)點校驗后存儲到聯盟鏈上，保證了事務的安全性。本模型采用鏈上存儲醫(yī)療元數據，鏈下將醫(yī)療數據加密存入云存儲器，保證數據存儲的安全性和高效性。醫(yī)院作為醫(yī)療數據的提供方，將按照患者提供的訪問策略對患者的醫(yī)療數據加密。數據共享時，患者為數據用戶添加訪問時間。訪問控制協(xié)議使得患者對醫(yī)療數據擁有絕對的控制權，只有擁有權限的數據用戶才能查看真實的醫(yī)療數據，因此訪問控制協(xié)議充分保障了醫(yī)療數據的隱私。

3.1.3 協(xié)議攻擊

本方案能有效抵抗身份偽裝和重放攻擊。當數據用戶請求醫(yī)療數據時，需要遵循訪問控制協(xié)議，首先需要滿足訪問時間要求，其次需要解密醫(yī)療數據密文。數據用戶U向患者P發(fā)送簽名的請求，若簽名被P驗證，則P為U設置訪問時間。數據用戶從區(qū)塊鏈中獲取訪問期限，因為只有在有效的訪問時間內才能獲得密文并解密密文。在這個過程中，攻擊者C不會得到明文，C的攻擊有兩種情況。

情況1C向聯盟鏈發(fā)送訪問請求，試圖獲取元數據。因為C沒有P為其設置的時間控制權限，區(qū)塊鏈節(jié)點收到C的請求后也就查不到C的訪問時間，所以將拒絕執(zhí)行C的訪問請求，C攻擊不成功。

情況2P為合法用戶U成功設置了訪問時間，假如U向區(qū)塊鏈節(jié)點發(fā)送的請求消息被C攔截，C就執(zhí)行重放攻擊。C可以偽裝成U向區(qū)塊鏈節(jié)點發(fā)送消息，也可以偽裝成U接收節(jié)點的消息，這樣可以得到時間訪問權限并獲取數據密文，但這段密文對C來說仍是無法解密的，因為該密文的密鑰只有U擁有。

3.1.4 區(qū)塊安全性分析

攻擊者想要成功發(fā)起一次區(qū)塊偽裝攻擊，就必須比誠實節(jié)點更快地產生一條平行鏈代替區(qū)塊鏈[10]。攻擊者攻擊成功的可能性可以近似地看成賭徒破產問題，假設r為誠實節(jié)點制造出下一節(jié)點的概率，w為攻擊者制造出下一個節(jié)點的概率，n為攻擊者需要填補的區(qū)塊數量，那么攻擊者成功攻擊的概率wn為

設定w的值分別為0.1、0.2、0.3，統(tǒng)計wn的大小如圖5所示。

從圖5中可以發(fā)現：隨著區(qū)塊的增加，攻擊者攻擊成功的概率wn呈現指數下降的趨勢。此外。由于真實的醫(yī)療聯盟鏈網絡擁有大量的節(jié)點和計算能力，攻擊者成功攻擊的概率幾乎為0。

圖5 攻擊成功的概率Figure 5 Probability of successful attack

3.2 方案評估

采用對比分析的方法來評估所提出的醫(yī)療數據共享方案。與同類型的醫(yī)療區(qū)塊鏈方案[12,18,23]進行對比，可以更好地評估本方案的優(yōu)缺點，結果如表1所示。

對比表1可知，本方案使用PBFT 算法作為共識機制，相對于文獻[12] 使用的委托權益證明（delegate proof of stake,DPoS）、文獻[18] 使用的權益證明（proof of stake,PoS）、文獻[23] 使用的工作量證明（proof of work,PoW），本方案所需要的啟動節(jié)點數量較少，且不需要大量算力去維護區(qū)塊鏈系統(tǒng)；同時文獻[12] 采用私有鏈的去中心化程度不如聯盟鏈。與文獻[12]、文獻[18]、文獻[23] 相比，本方案使用限時智能合約從時間維度對數據用戶進行訪問控制，因此數據用戶只能在有效的時間范圍內才能訪問數據。

表1 本方案與現有方案對比Table 1 Comparison between proposed scheme and existing schemes

為了更準確地評估方案的實際性能，本文對共識機制和CP-ABE 算法進行實驗仿真。實驗的硬件環(huán)境如下：Intel?CoreTM3.2 GHz 的CPU、RAM 為8 GB。實驗環(huán)境構造如下：在VMware Workstation 10.0.1 上安裝Ubuntu 18.04。圖6展示了在不同屬性數量情況下的加解密時間。將密文中屬性集的大小從5 增加到50，每次測試的增量為5，觀察到加解密時間是隨著屬性數量的增加而增加的，但都在2 s 內完成，說明可以保證醫(yī)療數據的安全同時又能及時獲得數據明文。

圖6 加解密時間效率Figure 6 Time efficiency of encryption and decryption

醫(yī)療元數據在聯盟鏈中共享，其運行時間主要由共識機制決定。本文使用的PBFT 共識機制的執(zhí)行時間如圖7所示，設定醫(yī)療元數據交易次數為{10、20、30、40、50}，觀察得到執(zhí)行時間隨著交易次數的增加呈上升趨勢，但執(zhí)行時間都較短。因此，基于聯盟鏈的醫(yī)療數據安全共享模型支持快速的醫(yī)療數據交易。

圖7 交易速度Figure 7 Transaction speed

為了驗證本文使用的共識機制在執(zhí)行速度方面的優(yōu)勢，將其與PoW、PoS 和DPoS 共識機制進行比較，對比結果如圖8所示。從圖8中可以看出，4 種機制的執(zhí)行時間隨著交易數量的增加而增加，其中本方案使用PBFT 所需的執(zhí)行時間最少，并且只是略有上升。其原因是PBFT 由副本節(jié)點輪流負責生成區(qū)塊，不需要“挖礦”運算、投票等過程。

圖8 共識機制時間效率對比Figure 8 Comparison of time efficiency of consensus mechanism

不同于傳統(tǒng)的醫(yī)療數據泄露方案，基于聯盟鏈的醫(yī)療數據安全共享方案使用智能合約和CP-ABE 來確保醫(yī)療數據共享的安全性，主要包括以下三方面的原因：1）聯盟鏈記錄了醫(yī)療數據的訪問授權和訪問等過程，實現了數據的安全共享和可溯源，有效防止了數據被篡改和泄露。2）使用CP-ABE 實現醫(yī)療數據的細粒度訪問控制，并將加密過程授權給醫(yī)院來降低患者的計算開銷。3）使用限時智能合約，因此數據用戶只能在有效的訪問時間內訪問醫(yī)療數據，保護了患者隱私。

4 結 語

本文在聯盟鏈和屬性加密技術的基礎上提出了一種基于聯盟鏈的醫(yī)療數據安全共享方案，解決了數據泄露等問題。采用云存儲器和聯盟鏈分別存儲加密的醫(yī)療數據以及相關元數據，實現了對醫(yī)療數據的安全存儲，同時減輕了鏈上數據的存儲壓力。使用密文策略屬性加密和限時智能合約，實現了對醫(yī)療數據的細粒度訪問控制，因此只有滿足訪問時間和訪問策略的數據用戶才能訪問數據。在未來的研究工作中，將考慮解決如何改進共識算法以及如何提高共識效率這兩個問題。