張 磊 鄭志勇 ,2 袁 勇,3

1.中國(guó)人民大學(xué)數(shù)學(xué)學(xué)院 北京 100872 2.中國(guó)人民大學(xué)金融計(jì)算與數(shù)字工程教育部工程研究中心 北京 100872 3.中國(guó)科學(xué)院自動(dòng)化研究所復(fù)雜系統(tǒng)管理與控制國(guó)家重點(diǎn)實(shí)驗(yàn)室 北京 100190

電子醫(yī)療病歷(Electronic health record,EHR)存儲(chǔ)著病人的診斷信息和治療信息,有助于提供便利的健康記錄存儲(chǔ)服務(wù).對(duì)于嚴(yán)重疾病或者慢性疾

病,病人就診時(shí),如果醫(yī)生能夠看到先前病史,就可以綜合之前的診斷及治療效果,對(duì)病情進(jìn)行更全面、準(zhǔn)確地分析,為病人提供更加高效的治療方案.同時(shí),對(duì)于重大突發(fā)傳染病,EHR 的共享也可使來自各個(gè)地區(qū)的優(yōu)秀醫(yī)療團(tuán)隊(duì)對(duì)疫情態(tài)勢(shì)進(jìn)行全方位、準(zhǔn)確和快速地研判,提高處置效率和公共醫(yī)療健康水平[1].

然而,目前不同醫(yī)院之間的數(shù)據(jù)互操作性相對(duì)較差,醫(yī)療數(shù)據(jù)普遍存在數(shù)據(jù)孤島問題.電子病歷數(shù)據(jù)大多是由醫(yī)院掌握,病人對(duì)自己病歷的使用情況并不完全知情.EHR 中存儲(chǔ)著病人的個(gè)人信息和病歷,一旦受到攻擊,將會(huì)導(dǎo)致病人隱私等敏感信息泄露,引發(fā)安全風(fēng)險(xiǎn)及醫(yī)患矛盾[2].因此,EHR 共享時(shí)的數(shù)據(jù)及身份隱私保護(hù)至關(guān)重要.

為實(shí)現(xiàn)不同醫(yī)院間醫(yī)療數(shù)據(jù)的安全共享,同時(shí)病人能夠?qū)?shù)據(jù)進(jìn)行訪問控制,一些學(xué)者提出利用基于密文策略的屬性加密方案(Ciphertext-policy attribute-based encryption,CP-ABE)[3]對(duì)病歷進(jìn)行加密,將密文存儲(chǔ)于云服務(wù)器上,實(shí)現(xiàn)EHR的共享.CP-ABE 方案能實(shí)現(xiàn)細(xì)粒度的數(shù)據(jù)訪問控制和加密,然而,云服務(wù)器通常是半可信的,其會(huì)執(zhí)行用戶的命令,但仍對(duì)用戶的信息感到好奇.在監(jiān)管缺失和遭受特定攻擊時(shí),云可能會(huì)篡改、丟失或泄露用戶的數(shù)據(jù).

區(qū)塊鏈作為比特幣的核心技術(shù),具有去中心化、數(shù)據(jù)不可篡改、可追溯、不可偽造、可編程等性質(zhì)[4-6],在特定的場(chǎng)景下,也可以對(duì)區(qū)塊鏈上的數(shù)據(jù)進(jìn)行隱藏,因此可用于實(shí)現(xiàn)安全和可信的EHR 管理[7-10].由于區(qū)塊鏈現(xiàn)階段存在性能瓶頸,而EHR 中通常包括大規(guī)模、跨媒體的健康數(shù)據(jù),例如CT、X 光等醫(yī)療影像數(shù)據(jù),因此單純使用區(qū)塊鏈存儲(chǔ)和共享EHR 的效率不高,迫切需要將云存儲(chǔ)和區(qū)塊鏈相結(jié)合,以便優(yōu)勢(shì)互補(bǔ),實(shí)現(xiàn)安全和高效的EHR 共享.

本文提出了云鏈協(xié)同、病人可控的EHR 安全共享方案.該方案采用鏈上與鏈下混合存儲(chǔ)方式,利用CP-ABE 方案來加密EHR 數(shù)據(jù),使得病人可以自主可控地定義訪問策略,實(shí)現(xiàn)細(xì)粒度的訪問控制.病人將加密EHR 數(shù)據(jù)存儲(chǔ)于云服務(wù)器、并利用區(qū)塊鏈存儲(chǔ)數(shù)據(jù)的Hash 值及訪問策略,從而保證數(shù)據(jù)的真實(shí)性和完整性,方案支持用戶對(duì)密文進(jìn)行多關(guān)鍵詞搜索,以提高搜索效率及準(zhǔn)確性.各級(jí)醫(yī)院形成聯(lián)盟區(qū)塊鏈,改進(jìn)實(shí)用拜占庭算法,利用聚類算法將節(jié)點(diǎn)進(jìn)行分類,在病人將數(shù)據(jù)上傳至區(qū)塊鏈及數(shù)據(jù)用戶向區(qū)塊鏈訪問病歷摘要時(shí),節(jié)點(diǎn)間可盡快達(dá)成共識(shí),改進(jìn)的共識(shí)算法支持節(jié)點(diǎn)動(dòng)態(tài)加入及退出區(qū)塊鏈.考慮到數(shù)據(jù)用戶的身份不是一成不變的,本文提出了屬性更新子協(xié)議,以保障數(shù)據(jù)用戶身份變化時(shí)病歷的安全性.

本文其余部分安排如下:第1 節(jié)介紹相關(guān)工作和研究現(xiàn)狀;第2 節(jié)描述了EHR 數(shù)據(jù)共享模型的設(shè)計(jì)目標(biāo)與模型框架;第3 節(jié)給出了模型的關(guān)鍵步驟和算法設(shè)計(jì);第4 節(jié)闡述用戶搜索訪問更新子協(xié)議;第5 節(jié)討論模型的性質(zhì);第6 節(jié)總結(jié)全文.

1 相關(guān)工作

近年來,EHR 逐漸代替紙質(zhì)病歷,一定程度上解決了病人在某家醫(yī)院就診時(shí),可能因?yàn)榧堎|(zhì)病歷、檢查單等丟失,需要重復(fù)做一些健康檢查的困擾.目前的問題是:不同醫(yī)院之間的EHR 數(shù)據(jù)共享非常少,病人在轉(zhuǎn)院治療時(shí),其他醫(yī)院無法看到病人之前的病歷數(shù)據(jù).因此,EHR 數(shù)據(jù)共享成為公共健康和智慧醫(yī)療領(lǐng)域的熱點(diǎn).

現(xiàn)有文獻(xiàn)中,Alshehri 等[11]提出將EHR 數(shù)據(jù)存儲(chǔ)在云上,利用CP-ABE 方案來進(jìn)行加密,只有具有相應(yīng)屬性的用戶才可以解密密文,可實(shí)現(xiàn)安全存儲(chǔ)及細(xì)粒度的靈活訪問控制.Yang 等[12]提出了支持連接關(guān)鍵詞搜索及定時(shí)啟用代理重加密功能的云上健康數(shù)據(jù)分享方案,允許用戶在指定的時(shí)間內(nèi)進(jìn)行病歷的搜索;數(shù)據(jù)擁有者可控制用戶搜索和解密的時(shí)間,但該方案計(jì)算能力較低,存儲(chǔ)開銷較大.Huang 等[13]提出基于歐幾里得相似性距離的推薦協(xié)議,為病人推薦合適的醫(yī)生,以便減少病人的隱私泄露,同時(shí)利用基于屬性的條件性代理重加密方案,提出了基于云的細(xì)粒度隱私保護(hù)的病歷共享方案.但實(shí)際應(yīng)用場(chǎng)景中,數(shù)據(jù)用戶的屬性并非一成不變的,屠袁飛等[14]利用屬性加密,對(duì)EHR 進(jìn)行加密存儲(chǔ)到云服務(wù)器上進(jìn)行共享,同時(shí)利用版本號(hào)標(biāo)記和代理重加密方案實(shí)現(xiàn)用戶屬性的撤銷,保證了在用戶屬性發(fā)生變化時(shí)密文的安全性.為提高病歷共享的效率,Rao[15]提出了安全的基于屬性的簽名及加密的病歷分享方案,相比之前存在的方案,該方案支持更短的密文,需要更少的雙線性對(duì)計(jì)算.

上述研究盡管也關(guān)注云環(huán)境中數(shù)據(jù)共享的安全性,但因云是半可信的,將數(shù)據(jù)存儲(chǔ)到云服務(wù)器中可能會(huì)面臨數(shù)據(jù)丟失、篡改等風(fēng)險(xiǎn).區(qū)塊鏈技術(shù)可以較好地解決該問題,保障數(shù)據(jù)的完整性和真實(shí)性.區(qū)塊鏈?zhǔn)且粋€(gè)不可篡改的分布式賬本,特定的節(jié)點(diǎn)間通過共識(shí),將數(shù)據(jù)記錄上鏈[16-17],進(jìn)行數(shù)據(jù)審計(jì),防止數(shù)據(jù)被更改.因此,不少學(xué)者將區(qū)塊鏈技術(shù)用于數(shù)據(jù)分享中,以期保障數(shù)據(jù)的真實(shí)性、完整性和不可篡改性[18-22].

Ekblaw 等[23]利用區(qū)塊鏈技術(shù)設(shè)計(jì)了去中心化的電子健康病歷分享系統(tǒng),首次提出利用智能合約實(shí)現(xiàn)權(quán)限管理.Xia 等[24]提出了MeDShare,用于解決在共享醫(yī)療數(shù)據(jù)時(shí)缺乏信任的問題.該系統(tǒng)基于區(qū)塊鏈,為大數(shù)據(jù)實(shí)體之間在云存儲(chǔ)庫(kù)中共享的醫(yī)療數(shù)據(jù)提供數(shù)據(jù)來源、審計(jì)和控制,采用智能合約和訪問控制機(jī)制,有效地跟蹤數(shù)據(jù)的行為,并在發(fā)現(xiàn)用戶違反數(shù)據(jù)權(quán)限時(shí)撤銷違規(guī)實(shí)體的訪問權(quán).薛騰飛等[25]提出了基于區(qū)塊鏈的醫(yī)療數(shù)據(jù)共享模型,將醫(yī)療機(jī)構(gòu)劃分等級(jí),使用改進(jìn)的委托權(quán)益證明共識(shí)機(jī)制安全、快捷地進(jìn)行數(shù)據(jù)共享.Shen 等[26]提出Medchain,將病歷內(nèi)容放在點(diǎn)對(duì)點(diǎn)的網(wǎng)絡(luò)上,摘要等部分放在區(qū)塊鏈上,該方案利用智能合約管理數(shù)據(jù)的訪問權(quán)限,但使用智能合約成本較高.劉格昌等[27]提出了基于可搜索加密的數(shù)據(jù)隱私保護(hù)機(jī)制,將該系統(tǒng)應(yīng)用于個(gè)人醫(yī)療數(shù)據(jù)區(qū)塊鏈中,使得隱私數(shù)據(jù)搜索更加方便.Wu 等[28]提出了將病人敏感信息進(jìn)行數(shù)據(jù)脫敏,然后將其加密存儲(chǔ)到區(qū)塊鏈和分布式文件存儲(chǔ)系統(tǒng)中.張超等[29]提出Medical chain,利用實(shí)用拜占庭容錯(cuò)算法達(dá)成共識(shí),防止醫(yī)療數(shù)據(jù)被篡改.羅文俊等[30]將分布式密鑰生成技術(shù)和基于身份的代理重加密技術(shù)相結(jié)合,設(shè)計(jì)了數(shù)據(jù)安全共享協(xié)議,利用委托權(quán)益證明共識(shí)算法選取代理節(jié)點(diǎn),重加密EHR,但此方案只適合于單對(duì)用戶間進(jìn)行數(shù)據(jù)共享,不支持一對(duì)多的數(shù)據(jù)共享.

通過分析和比較現(xiàn)有的EHR 共享方案可知,該領(lǐng)域研究雖然取得了一定的成果,但還有一些可以改進(jìn)的地方.例如,單獨(dú)使用云服務(wù)器進(jìn)行數(shù)據(jù)存儲(chǔ)時(shí),由于云是半可信的,可能會(huì)造成數(shù)據(jù)篡改或者泄露等安全性問題.單獨(dú)使用區(qū)塊鏈時(shí),則無法克服因存儲(chǔ)數(shù)據(jù)的規(guī)模過大造成效率過低的問題.因此,有必要將區(qū)塊鏈和云存儲(chǔ)技術(shù)相互結(jié)合,實(shí)現(xiàn)云鏈協(xié)同的EHR 數(shù)據(jù)共享.此時(shí),數(shù)據(jù)以何種方式存儲(chǔ)更加安全,病人如何進(jìn)行數(shù)據(jù)訪問控制,數(shù)據(jù)用戶如何對(duì)密文進(jìn)行高效的搜索,如何使得模型兼具以上良好的性質(zhì),如何提高共享的效率,都是值得進(jìn)一步研究的問題.

為此,本文在現(xiàn)有文獻(xiàn)[31]的基礎(chǔ)上提出了病人可控的云鏈協(xié)同的EHR 共享模型.病人將EHR數(shù)據(jù)加密后存儲(chǔ)在云服務(wù)器上,將數(shù)據(jù)摘要及訪問策略存儲(chǔ)在區(qū)塊鏈上,這樣既能防止云服務(wù)器篡改數(shù)據(jù)、方便進(jìn)行數(shù)據(jù)完整性審計(jì);同時(shí)又能減輕區(qū)塊鏈的存儲(chǔ)壓力,使得方案更具可擴(kuò)展性.本文利用聚類算法,改進(jìn)實(shí)用拜占庭算法,提高區(qū)塊鏈中節(jié)點(diǎn)達(dá)成共識(shí)的效率.利用CP-ABE 方案加密病歷,只有滿足病人設(shè)置的屬性訪問策略的用戶可訪問數(shù)據(jù),使得一對(duì)多的數(shù)據(jù)分享能夠?qū)崿F(xiàn)細(xì)粒度的訪問控制.對(duì)于加密后的病歷,支持利用多關(guān)鍵詞搜索,以提高搜索效率及準(zhǔn)確性.在實(shí)際場(chǎng)景中,用戶屬性的變化對(duì)于密文安全性有很大的影響,因此本文提出了用戶屬性的動(dòng)態(tài)更新下數(shù)據(jù)安全共享的方案.本文模型既解決了EHR 安全存儲(chǔ)的問題,同時(shí)病人可以管理病歷的使用情況,使得數(shù)據(jù)共享更加高效、安全.

2 EHR 數(shù)據(jù)共享模型

本節(jié)首先給出EHR 數(shù)據(jù)共享模型的設(shè)計(jì)目標(biāo),然后重點(diǎn)闡述模型的邏輯框架與運(yùn)行流程.

2.1 模型的設(shè)計(jì)目標(biāo)

該模型旨在達(dá)到如下設(shè)計(jì)目標(biāo):

1)病人可控的數(shù)據(jù)共享.針對(duì)病人無法完全掌握其EHR 使用情況的問題,本文旨在設(shè)計(jì)病人可控的EHR 共享模型,即由病人自主決定其病歷的訪問權(quán)限.

2)隱私保護(hù).EHR 存儲(chǔ)著大量隱私信息,因此保障數(shù)據(jù)的保密性及完整性非常重要.本文旨在結(jié)合密碼學(xué)和區(qū)塊鏈技術(shù),通過加密及屬性分配等方式保護(hù)病人及數(shù)據(jù)用戶的隱私信息,同時(shí)保障數(shù)據(jù)在共享過程中的完整性與可審計(jì)性.

3)細(xì)粒度訪問控制.利用CP-ABE 方案,病人可自主定義訪問策略,確保數(shù)據(jù)可達(dá)到細(xì)粒度的訪問控制.

4)安全搜索.本文模型旨在構(gòu)建安全的可搜索加密方案,數(shù)據(jù)用戶利用多關(guān)鍵詞搜索算法,生成關(guān)鍵詞Token,進(jìn)行搜索.數(shù)據(jù)用戶身份在滿足病人設(shè)置的訪問策略時(shí),才有權(quán)訪問其歷史病歷.竊聽者無法猜到關(guān)鍵詞.即使其猜到關(guān)鍵詞,因其身份不符合病人設(shè)置的訪問策略,仍然無法得到數(shù)據(jù)密文.

2.2 模型的邏輯框架與運(yùn)行流程

本文提出將區(qū)塊鏈與云服務(wù)器相結(jié)合,實(shí)現(xiàn)數(shù)據(jù)的鏈上(區(qū)塊鏈)+ 鏈下(云服務(wù)器)混合存儲(chǔ);同時(shí),利用CP-ABE 方案和多關(guān)鍵詞可搜索加密方案,實(shí)現(xiàn)細(xì)粒度的訪問控制及高效的數(shù)據(jù)搜索和安全共享.如圖1所示,基于區(qū)塊鏈和云服務(wù)器的EHR 共享模型包括如下主要角色,即證書機(jī)構(gòu)(Certificate authority,CA)、屬性機(jī)構(gòu)(Attribute authority,AA)、聯(lián)盟區(qū)塊鏈(Blockchain,BC)、云服務(wù)提供者(Cloud service provider,CSP)、數(shù)據(jù)擁有者(Data owner,DO)以及數(shù)據(jù)用戶(Data user,DU).

圖1 EHR 數(shù)據(jù)共享模型的邏輯框架Fig.1 The logic framework of EHR data sharing model

各個(gè)角色的具體介紹如下:

1)證書機(jī)構(gòu)(CA):負(fù)責(zé)進(jìn)行全局設(shè)置,設(shè)置系統(tǒng)的主公鑰和密鑰.生成DO 和CSP 的公私鑰對(duì).本文假設(shè)CA 完全可信.

2)屬性機(jī)構(gòu)(AA):例如醫(yī)院、保險(xiǎn)公司或者醫(yī)療研究機(jī)構(gòu)等,負(fù)責(zé)核查DU 的身份,為合法的DU 生成私鑰.

3)聯(lián)盟區(qū)塊鏈(BC):存儲(chǔ)加密數(shù)據(jù)的摘要,驗(yàn)證DU 的請(qǐng)求.

4)云服務(wù)提供者(CSP):負(fù)責(zé)存儲(chǔ)加密數(shù)據(jù)及訪問策略.

5)數(shù)據(jù)擁有者(DO):即病人,負(fù)責(zé)加密、存儲(chǔ)數(shù)據(jù),生成數(shù)據(jù)的訪問策略.

6)數(shù)據(jù)用戶(DU):例如醫(yī)生、保險(xiǎn)公司經(jīng)理等希望查看病人病歷的用戶.

該模型的運(yùn)行流程如下:

步驟1.全局設(shè)置.該算法由CA 執(zhí)行,包括設(shè)置全局公共參數(shù)、公共屬性密鑰、系統(tǒng)主公鑰和主密鑰.

步驟2.密鑰生成.CA 驗(yàn)證AA 的身份,為合法的AA 分發(fā)身份.CA 驗(yàn)證DO、CSP 的身份,為其設(shè)置公私鑰對(duì).當(dāng)DU 希望加入系統(tǒng)時(shí),發(fā)送注冊(cè)請(qǐng)求給AA,AA 為合法的DU 分配身份uid及屬性Aaid,uid,同時(shí)為其計(jì)算私鑰,如圖1 中①和②所示.

步驟3.數(shù)據(jù)加密.DO 運(yùn)行加密算法,包括以下3 個(gè)子步驟:

1)關(guān)鍵字索引index 產(chǎn)生:DO 為文件選擇關(guān)鍵詞,設(shè)置關(guān)鍵詞索引index;

2)文件加密:從密鑰空間隨機(jī)選取密鑰kθ,對(duì)文件進(jìn)行加密;

3)加密kθ.

步驟4.數(shù)據(jù)存儲(chǔ).如圖1 中③和④所示,為克服區(qū)塊鏈的空間限制和性能瓶頸,提高區(qū)塊鏈的可擴(kuò)展性,同時(shí)防止CSP 篡改數(shù)據(jù),本文提出將數(shù)據(jù)進(jìn)行鏈上、鏈下混合存儲(chǔ)的結(jié)構(gòu),如圖2所示.

圖2 數(shù)據(jù)混合存儲(chǔ)結(jié)構(gòu)Fig.2 Hybrid structure for data storage

DO 將原始醫(yī)療數(shù)據(jù)加密上傳至CSP,將數(shù)據(jù)摘要等存儲(chǔ)到區(qū)塊鏈上,區(qū)塊鏈中的Merkle 樹結(jié)構(gòu)[16]可以用來驗(yàn)證數(shù)據(jù)的完整性與真實(shí)性.醫(yī)療數(shù)據(jù)塊和摘要數(shù)據(jù)塊存儲(chǔ)內(nèi)容如圖3(a)和圖3(b)所示.

圖3 醫(yī)療數(shù)據(jù)塊和摘要數(shù)據(jù)塊Fig.3 Medical data block and digest data block

DO 對(duì)醫(yī)療數(shù)據(jù)進(jìn)行加密,得到密文CT,對(duì)其進(jìn)行簽名,得到SigDO.同時(shí),計(jì)算其Hash 值,然后將密文、Hash 值及SigDO,一起發(fā)送給CSP.CSP接收到簽名之后,驗(yàn)證DO 的簽名,計(jì)算CT 的Hash 值,如果與DO 發(fā)送來的Hash 值相同,則證明接受到了正確的密文,向DO 返回1 及文件位置;否則返回0.

步驟5.數(shù)據(jù)訪問.當(dāng)DU 希望訪問數(shù)據(jù)時(shí),使

用可搜索加密算法,輸入公鑰、關(guān)鍵詞集合,產(chǎn)生搜索Token.DU 向區(qū)塊鏈主節(jié)點(diǎn)發(fā)送查找請(qǐng)求,如圖1 中⑤所示.

節(jié)點(diǎn)收到請(qǐng)求后,運(yùn)行匹配算法,驗(yàn)證是否有關(guān)鍵詞索引index 可以匹配上數(shù)據(jù)用戶產(chǎn)生的Token.如果搜索成功,表明數(shù)據(jù)文件未被刪除,區(qū)塊鏈返回相應(yīng)的摘要數(shù)據(jù)塊給數(shù)據(jù)用戶,否則返回異常提示信息.

該算法由DU 執(zhí)行,DU 接收到摘要數(shù)據(jù)塊后,首先計(jì)算出內(nèi)容密鑰kθ,解密出文件位置,向CSP發(fā)出數(shù)據(jù)請(qǐng)求,如圖1 中⑥所示.如果DU 的屬性集合滿足DO 設(shè)置的訪問策略,CSP 會(huì)輸出相應(yīng)的密文,否則返回異常提示信息.

步驟6.解密.DU 首先計(jì)算密文的Hash 值,與區(qū)塊鏈存儲(chǔ)的Hash 值進(jìn)行比較,驗(yàn)證文件是否被篡改.如果文件沒有被篡改,則首先解密出內(nèi)容密鑰kθ,再利用內(nèi)容密鑰解密文件.

3 模型的詳細(xì)構(gòu)造及算法設(shè)計(jì)

本節(jié)介紹模型的詳細(xì)構(gòu)造.

3.1 模型的全局設(shè)置

CA 進(jìn)行全局設(shè)置,產(chǎn)生系統(tǒng)公鑰和主密鑰.具體步驟如算法1所示.

算法1.模型的全局設(shè)置.

輸入.安全參數(shù),屬性集合.

輸出.全局公共參數(shù)GP,公共屬性密鑰PAKx,公鑰PK,主私鑰MK.

3.2 密鑰生成

3.3 文件加密存儲(chǔ)

3.4 數(shù)據(jù)訪問

3.5 解密

DU 接收到區(qū)塊鏈節(jié)點(diǎn)發(fā)送的交易單.如果

3.6 模型的共識(shí)算法

本文基于實(shí)用拜占庭共識(shí)算法(Practical Byzantine fault tolerance,PBFT)[32],改進(jìn)陳子豪等[33]提出的KPBFT 共識(shí)算法,全國(guó)各級(jí)醫(yī)院間形成聯(lián)盟區(qū)塊鏈,對(duì)于n個(gè)醫(yī)院,隨機(jī)選擇k個(gè)聚類中心,作為代理節(jié)點(diǎn),構(gòu)成代理節(jié)點(diǎn)群,對(duì)其進(jìn)行編號(hào),代理節(jié)點(diǎn)群中成員輪流成為當(dāng)值主節(jié)點(diǎn).考慮各個(gè)醫(yī)院間的地理位置、設(shè)備硬件、網(wǎng)絡(luò)延遲等因素,進(jìn)行聚類.共識(shí)結(jié)構(gòu)如圖4所示.

圖4 共識(shí)節(jié)點(diǎn)結(jié)構(gòu)Fig.4 The structure of the consensus nodes

共識(shí)過程如圖5所示.首先每一類節(jié)點(diǎn)間達(dá)成共識(shí),然后代理節(jié)點(diǎn)群間再進(jìn)行共識(shí),最后達(dá)成共識(shí).在一段時(shí)間后,更換聚類中心,重新進(jìn)行聚類.

圖5 改進(jìn)的PBFT 算法Fig.5 Process of improved PBFT

共識(shí)過程描述如下:

1)請(qǐng)求階段.當(dāng)病人DO 要上傳摘要數(shù)據(jù)塊,或數(shù)據(jù)用戶DU 想訪問病歷時(shí),首先向區(qū)塊鏈提出請(qǐng)求.本文改變PBFT 中要將消息發(fā)送給所有節(jié)點(diǎn),只發(fā)給代理節(jié)點(diǎn).如果請(qǐng)求不是代理當(dāng)值主節(jié)點(diǎn)收到的,先在代理節(jié)點(diǎn)群中廣泛轉(zhuǎn)發(fā).如果是代理當(dāng)值主節(jié)點(diǎn)收到的,其首先驗(yàn)證交易的合法性.若不正確,直接丟棄.否則,對(duì)其進(jìn)行編號(hào),放入列表中,廣播到代理節(jié)點(diǎn)中其他成員.在這個(gè)過程中,節(jié)點(diǎn)需要驗(yàn)證交易中CSP 的簽名是否正確,訪問策略與CSP 中的訪問策略是否相同.

2)子節(jié)點(diǎn)共識(shí)過程.如交易合法,代理節(jié)點(diǎn)將收到的交易廣播到其子共識(shí)節(jié)點(diǎn)群中.子節(jié)點(diǎn)群間進(jìn)行預(yù)備、準(zhǔn)備、確認(rèn)、回復(fù)階段,將執(zhí)行結(jié)果發(fā)送給其代理節(jié)點(diǎn).

3)代理節(jié)點(diǎn)群的共識(shí)過程.代理節(jié)點(diǎn)間執(zhí)行共識(shí)過程,因代理節(jié)點(diǎn)只需將自己負(fù)責(zé)的子節(jié)點(diǎn)群的消息相互廣播即可,所以代理節(jié)點(diǎn)間通過確認(rèn)、回復(fù)階段即可,在收到別的代理節(jié)點(diǎn)值時(shí),節(jié)點(diǎn)會(huì)驗(yàn)證如果與他計(jì)算的值相同,那么廣播一個(gè)確認(rèn)消息到代理節(jié)點(diǎn)網(wǎng)絡(luò)中.當(dāng)節(jié)點(diǎn)收到 2f+1(f為系統(tǒng)中拜占庭節(jié)點(diǎn)的個(gè)數(shù))個(gè)確認(rèn)消息后,向客戶端回復(fù)消息.

4 用戶搜索訪問更新

實(shí)際應(yīng)用場(chǎng)景中,DU 的屬性并非一成不變的.當(dāng)DU 的屬性發(fā)生變化時(shí),為保證文件的安全及搜索的有效性,本文設(shè)置了屬性撤銷及屬性添加子協(xié)議,協(xié)議的具體構(gòu)造如下.

4.1 屬性撤銷協(xié)議

在CA 更新屬性密鑰及公共屬性密鑰,AA 更新DU 的私鑰及DO 更新相應(yīng)的密文后,按照第3.3 節(jié)構(gòu)造中的方法將更新的密文發(fā)送給CSP 及區(qū)塊鏈節(jié)點(diǎn),重新在區(qū)塊鏈上進(jìn)行存儲(chǔ).在執(zhí)行完上述操作后,不再擁有相應(yīng)屬性的DU 不能再查看相應(yīng)屬性加密的文件,確保了文件的安全.

4.2 屬性添加協(xié)議

當(dāng)DU 新增新的屬性y時(shí),為保證DU 能查看相應(yīng)文件,系統(tǒng)運(yùn)行屬性添加協(xié)議,更改DU 的私鑰.詳細(xì)過程如下所示,其余步驟與第3 節(jié)相同.

1)DU 向AA 提出申請(qǐng):新增屬性y,AA 驗(yàn)證其身份的合理性,重新計(jì)算其私鑰為.

3)DU 更新先前屬性集為Suid:=Suid ∪{y}.同時(shí)更新私鑰為SKDU′=(D,D′,D′′,Dx∪y).

執(zhí)行完上述操作后,DU 憑借其新增屬性可以查 看該屬性能夠解密的相應(yīng)文檔.

5 模型分析

5.1 醫(yī)療數(shù)據(jù)分享模型正確性及安全性分析

本節(jié)比較傳統(tǒng)的PBFT 算法及改進(jìn)的共識(shí)算法的通信次數(shù).當(dāng)系統(tǒng)節(jié)點(diǎn)為n個(gè)時(shí),傳統(tǒng)PBFT算法中客戶端請(qǐng)求、各節(jié)點(diǎn)間預(yù)備、準(zhǔn)備、確認(rèn)、回復(fù)給客戶端通信次數(shù)分別為為n次、n-1 次、(n-1)×(n-1)次、n×(n-1)次、n次,總通信次數(shù)為 2n2次.

改進(jìn)的共識(shí)算法中,利用將節(jié)點(diǎn)進(jìn)行聚類,通信次數(shù)計(jì)算如下:因?qū)個(gè)節(jié)點(diǎn)分為k類,每一類中有n/k個(gè)節(jié)點(diǎn).首先,客戶端向代理節(jié)點(diǎn)請(qǐng)求及代理節(jié)點(diǎn)間預(yù)備通信次數(shù)為k次,子節(jié)點(diǎn)間通信次數(shù)為 2n2/k2次,然后代理節(jié)點(diǎn)間進(jìn)行確認(rèn)的通信次數(shù)為k×(k-1)次,代理節(jié)點(diǎn)回復(fù)客戶端次數(shù)通信次數(shù)為k次,求和得總次數(shù)為:2n2/k2+k2+k次.該函數(shù)圖像如圖6所示(為使趨勢(shì)變化更清晰明了,做圖時(shí)對(duì)該函數(shù)進(jìn)行了取對(duì)數(shù)運(yùn)算).

圖6 改進(jìn)共識(shí)算法的通信次數(shù)Fig.6 The communication time of improved PBFT

本文部分工作是基于Sun 等[31]的模型,在其基礎(chǔ)上引入?yún)^(qū)塊鏈技術(shù)實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的分享,關(guān)鍵詞搜索的正確性及文件解密的正確性均已在該文獻(xiàn)中加以證明.

云服務(wù)器是半可信的,它會(huì)執(zhí)行用戶的請(qǐng)求,但也對(duì)用戶的隱私數(shù)據(jù)很感興趣.在本文模型中,其存儲(chǔ)的是密文文件,云服務(wù)器無法獲得解密密鑰,所以無法解密文件,因此數(shù)據(jù)的隱私可以得到保障.

DO 定義了訪問策略,只有當(dāng)DU 的屬性滿足時(shí),才可解密出內(nèi)容密鑰,進(jìn)行文件位置及文件密文解密,因此身份不符的DU 無法獲得DO 病歷.同時(shí),本文將電子病歷的Hash 值和DO 定義的訪問策略記錄在區(qū)塊鏈上,DU 可通過區(qū)塊鏈驗(yàn)證數(shù)據(jù)的完整性,進(jìn)行數(shù)據(jù)審計(jì),防止CSP 篡改數(shù)據(jù).一旦云服務(wù)器非法刪除或者篡改數(shù)據(jù),DU 在得到數(shù)據(jù)后,與區(qū)塊鏈中存儲(chǔ)的Hash 值進(jìn)行對(duì)比,因Hash 函數(shù)的抗碰撞性,所以會(huì)很容易發(fā)現(xiàn)不同,DU 會(huì)向CSP 發(fā)送錯(cuò)誤報(bào)告.

DO 向區(qū)塊鏈存儲(chǔ)數(shù)據(jù)及DU 向區(qū)塊鏈請(qǐng)求查詢文件時(shí),可以通過改進(jìn)的共識(shí)算法確保存儲(chǔ)服務(wù)及查詢服務(wù)順利實(shí)現(xiàn).

DO 利用公鑰T對(duì)密文及交易進(jìn)行簽名,發(fā)送給CSP 及區(qū)塊鏈節(jié)點(diǎn)進(jìn)行驗(yàn)證時(shí),以下兩式的正確性SigDO(CT)T=H(CT)及SigDO(trans)T=H(trans)可由RSA[34]算法的正確性保障.

在向CSP 發(fā)送加密病歷時(shí),DO 使用其私鑰進(jìn)行簽名,而其公私鑰對(duì)是由完全可信的CA 來分配和保存,所以DO 的身份也是保密的.DU 在進(jìn)行數(shù)據(jù)訪問時(shí),利用AA 發(fā)送的獨(dú)特的身份和屬性集合,可以保持其真實(shí)身份的安全性.

在多關(guān)鍵詞搜索方案中,因選用隨機(jī)數(shù)產(chǎn)生的關(guān)鍵詞索引,所以竊聽者不能夠猜到關(guān)鍵詞,無法產(chǎn)生對(duì)應(yīng)的Token,因此多關(guān)鍵詞搜索方案是安全的.

5.2 改進(jìn)的共識(shí)算法分析

5.2.1 算法支持成員的動(dòng)態(tài)變化

改進(jìn)的PBFT 算法可以實(shí)現(xiàn)成員動(dòng)態(tài)加入和退出的功能,因?yàn)槊恳活惖某蓡T由聚類中心的代理節(jié)點(diǎn)管理,當(dāng)成員退出時(shí),代理節(jié)點(diǎn)將該節(jié)點(diǎn)從廣播列表中刪除.當(dāng)成員加入時(shí),計(jì)算其與哪個(gè)代理節(jié)點(diǎn)距離較為接近,將其加入該類子群中,使得成員動(dòng)態(tài)變化時(shí)不用再進(jìn)行整個(gè)網(wǎng)絡(luò)的初始化.

5.2.2 通信次數(shù)分析

如圖6所示,在系統(tǒng)總節(jié)點(diǎn)數(shù)增加時(shí),通信次數(shù)隨著聚類個(gè)數(shù)的增多而減少.但在聚類次數(shù)變大到一定程度時(shí),通信次數(shù)沒有明顯的變化,所以在具體節(jié)點(diǎn)數(shù)目下,可結(jié)合容錯(cuò)性分析,合理選擇聚類次數(shù)很有必要.

5.2.3 容錯(cuò)性分析

對(duì)于改進(jìn)的共識(shí)算法,容錯(cuò)性分析分為代理節(jié)點(diǎn)中不存在拜占庭節(jié)點(diǎn)及其中存在拜占庭節(jié)點(diǎn)的情況.

1)代理節(jié)點(diǎn)中不存在拜占庭節(jié)點(diǎn)子群中錯(cuò)誤的節(jié)點(diǎn)不超過其子群總數(shù)的

若拜占庭節(jié)點(diǎn)均勻分布在每個(gè)聚類中,則每個(gè)則對(duì)最終結(jié)果不會(huì)產(chǎn)生影響,整個(gè)系統(tǒng)的容錯(cuò)為(n-1)/3.

當(dāng)拜占庭節(jié)點(diǎn)集中在某個(gè)聚類時(shí),則該代理節(jié)點(diǎn)將會(huì)產(chǎn)生錯(cuò)誤輸出,這時(shí)在代理共識(shí)群中,該結(jié)果會(huì)被丟棄,該代理節(jié)點(diǎn)也會(huì)被降級(jí).在這種情況下,系統(tǒng)的容錯(cuò)為.

2)代理節(jié)點(diǎn)中存在拜占庭節(jié)點(diǎn)

當(dāng)代理節(jié)點(diǎn)中存在拜占庭節(jié)點(diǎn)時(shí),該節(jié)點(diǎn)可能會(huì)篡改其子群的共識(shí)結(jié)果,導(dǎo)致該區(qū)域的投票結(jié)果不正確.如果錯(cuò)誤的代理節(jié)點(diǎn)超過整個(gè)系統(tǒng)的,系統(tǒng)會(huì)崩潰.否則,系統(tǒng)的容錯(cuò)為.

綜上所述,代理節(jié)點(diǎn)的選取十分重要.本文隨機(jī)選取代理節(jié)點(diǎn),未來考慮利用信譽(yù)機(jī)制及節(jié)點(diǎn)間的相互投票,選取更加可信的節(jié)點(diǎn)作為代理節(jié)點(diǎn),提高共識(shí)效率.

5.3 對(duì)比分析

本節(jié)采用對(duì)比分析的方式,將本文方案與已提出的醫(yī)療數(shù)據(jù)共享方案進(jìn)行比較,分析模型的優(yōu)缺點(diǎn)(如表1);另一方面,通過分析目前EHR 共享面臨的問題,分析本模型的應(yīng)對(duì)方法(如表2).

表2 當(dāng)前EHR 共享面臨的問題及模型應(yīng)對(duì)的方法Table 2 The problems of EHR sharing and how to deal with the model

表1 從7 個(gè)方面將本文與現(xiàn)有研究成果進(jìn)行比較,可以看出本模型有一定的優(yōu)勢(shì).但本模型仍有需要改進(jìn)的地方,如可以嘗試?yán)弥悄芎霞s使得交易過程自動(dòng)化等.

表1 不同方案之間的比較Table 1 Comparison between different models

6 結(jié)論及未來工作

EHR 共享是非常有必要的,不僅使得病人在轉(zhuǎn)院治療時(shí),病情能夠得到全面、綜合、準(zhǔn)確的診斷,避免病人做一些重復(fù)的檢查;同時(shí)可以增進(jìn)不同醫(yī)院間的交流,促進(jìn)公共醫(yī)療領(lǐng)域的不斷發(fā)展.EHR中包含大量病人的隱私信息,在數(shù)據(jù)共享時(shí)需要保護(hù)數(shù)據(jù)隱私及身份隱私.

為了解決目前不同醫(yī)療機(jī)構(gòu)間數(shù)據(jù)互操作性較差,及病人無法掌握EHR 的使用情況等問題,本文提出病人可控的、云鏈協(xié)同的安全數(shù)據(jù)共享方案,利用CP-ABE 方案對(duì)EHR 進(jìn)行加密,防止半可信的云服務(wù)器竊聽數(shù)據(jù),同時(shí)病人可以自主設(shè)置訪問策略,達(dá)到細(xì)粒度的訪問控制.該方案將加密數(shù)據(jù)進(jìn)行鏈上、鏈下混合存儲(chǔ),不僅保證了數(shù)據(jù)的真實(shí)性、完整性及不可篡改性,同時(shí)提高了區(qū)塊鏈的可擴(kuò)展性.該方案利用多關(guān)鍵詞可搜索加密方案,可提高對(duì)密文搜索的準(zhǔn)確性和效率.由于用戶的屬性是不斷變化的,因此本文設(shè)置屬性更新協(xié)議,支持用戶的屬性撤銷和屬性添加.通過將本文方案與其他方案的比較可知,本文方案在一定程度上具有優(yōu)勢(shì).利用聚類算法,選取代理節(jié)點(diǎn),將各級(jí)醫(yī)院進(jìn)行聚類,改進(jìn)PBFT 共識(shí)算法.通過對(duì)改進(jìn)的共識(shí)算法進(jìn)行分析及計(jì)算,得出其通信次數(shù)有所降低,容錯(cuò)性有待提高.在未來的工作中,將不斷試驗(yàn),考慮何種方法選擇代理節(jié)點(diǎn)更加安全高效,減少達(dá)成共識(shí)的時(shí)間,提高數(shù)據(jù)共享的效率.同時(shí),將嘗試使用零知識(shí)證明、同態(tài)加密等隱私保護(hù)技術(shù)進(jìn)行病人身份及病歷的隱私保護(hù).