林超，何德彪，黃欣沂

基于區(qū)塊鏈的電子醫(yī)療記錄安全共享

林超1，何德彪2*，黃欣沂1

（1.福建師范大學(xué) 計(jì)算機(jī)與網(wǎng)絡(luò)空間安全學(xué)院，福州 350117； 2.武漢大學(xué) 國(guó)家網(wǎng)絡(luò)安全學(xué)院，武漢 430072）（?通信作者電子郵箱 hedebiao@163.com）

針對(duì)電子醫(yī)療記錄（EMR）共享面臨的數(shù)據(jù)提供商集權(quán)化、患者數(shù)據(jù)管理顯被動(dòng)、互操作效率低、惡意傳播等問(wèn)題，提出一種基于區(qū)塊鏈的電子醫(yī)療記錄安全共享方法。首先，基于商用密碼SM2數(shù)字簽名算法提出一種更加安全高效的泛指定驗(yàn)證者簽名證明（UDVSP）方案；然后，設(shè)計(jì)具有上傳、驗(yàn)證、檢索、撤銷(xiāo)等功能的智能合約，構(gòu)造基于區(qū)塊鏈的電子醫(yī)療記錄安全共享系統(tǒng)；最后，通過(guò)安全性分析和性能分析論證UDVSP方案和共享系統(tǒng)的可行性。安全性分析結(jié)果表明，所設(shè)計(jì)的UDVSP方案滿(mǎn)足可證明安全性。性能評(píng)估結(jié)果表明，與現(xiàn)有常用的UDVSP/UDVS方案相比，節(jié)省至少87.42%的計(jì)算開(kāi)銷(xiāo)和93.75%的通信代價(jià)。區(qū)塊鏈智能合約原型系統(tǒng)的仿真結(jié)果進(jìn)一步論證了共享系統(tǒng)的安全性和高效性。

電子醫(yī)療記錄；區(qū)塊鏈；SM2數(shù)字簽名算法；泛指定驗(yàn)證者簽名證明；數(shù)據(jù)共享

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，傳統(tǒng)的紙質(zhì)健康檔案系統(tǒng)逐漸向功能完備的數(shù)字化基礎(chǔ)設(shè)施轉(zhuǎn)變［1］。電子醫(yī)療記錄（Electronic Medical Record， EMR）將在不遠(yuǎn)的將來(lái)充斥整個(gè)世界。研究EMR共享技術(shù)有助于提高醫(yī)療保健服務(wù)質(zhì)量、促進(jìn)生物醫(yī)學(xué)發(fā)現(xiàn)和降低醫(yī)療成本［2-3］。雖然目前已有眾多EMR共享方案，但這些方案面臨數(shù)據(jù)提供商集權(quán)化、患者數(shù)據(jù)管理被動(dòng)、互操作效率低等問(wèn)題，難以得到廣泛應(yīng)用。尤其在實(shí)際的就診過(guò)程中，患者不局限于特定的醫(yī)院和醫(yī)生，可能會(huì)去不同的診所或醫(yī)院找不同醫(yī)生進(jìn)行醫(yī)療觀察/治療，或者從一家醫(yī)院轉(zhuǎn)到另一家醫(yī)院。

區(qū)塊鏈?zhǔn)且环N分布式賬本技術(shù)，因具有公開(kāi)驗(yàn)證、不可篡改、可編程等特點(diǎn)［4-5］，可解決上述問(wèn)題。目前已有多種方案［3，6-7］嘗試?yán)脜^(qū)塊鏈實(shí)現(xiàn)EMR管理與共享，這些方案的通用架構(gòu)主要包含醫(yī)生（或醫(yī)療機(jī)構(gòu)）、患者、區(qū)塊鏈三種角色（圖1），其中醫(yī)生負(fù)責(zé)生成/發(fā)布患者的EMR到區(qū)塊鏈，患者可以從鏈上檢索EMR并向其他醫(yī)生/醫(yī)療機(jī)構(gòu)展示。為了節(jié)省區(qū)塊鏈存儲(chǔ)代價(jià)，部分方案將原始EMR存儲(chǔ)在云端，僅將哈希值、索引、時(shí)間戳等摘要信息記錄到區(qū)塊鏈。

圖1　基于區(qū)塊鏈的EMR共享通用架構(gòu)

在現(xiàn)有基于區(qū)塊鏈的EMR共享系統(tǒng)中，患者的EMR容易檢索和共享，有效提升了EMR的互操作性，同時(shí)保證了患者對(duì)自身數(shù)據(jù)的擁有權(quán)與使用權(quán)。然而，這些系統(tǒng)將面臨EMR隱私泄露問(wèn)題：一方面，區(qū)塊鏈的公開(kāi)透明性導(dǎo)致任意實(shí)體均可獲取鏈上的EMR；另一方面，共享后的EMR易被惡意傳播。由于加密技術(shù)或訪(fǎng)問(wèn)控制技術(shù)可有效解決第一個(gè)問(wèn)題［8-9］，所以本文主要關(guān)注如何保護(hù)EMR共享后的隱私。

由于現(xiàn)有的UDVSP方案［10-11］均涉及高耗時(shí)的雙線(xiàn)性對(duì)運(yùn)算（1次雙線(xiàn)性對(duì)運(yùn)算在移動(dòng)終端的耗時(shí)約為32 ms，是橢圓曲線(xiàn)標(biāo)量乘運(yùn)算的9倍左右［12］），這將阻礙UDVSP在EMR共享、電子投票、匿名證書(shū)、收入?yún)R總管理等領(lǐng)域的應(yīng)用。因此，本文先基于商用密碼SM2數(shù)字簽名算法提出一種安全高效的UDVSP方案，再設(shè)計(jì)基于區(qū)塊鏈的EMR安全共享系統(tǒng)。由安全性分析與性能評(píng)估結(jié)果可知，本文設(shè)計(jì)的UDVSP方案是可證明安全的，且無(wú)需高耗時(shí)的雙線(xiàn)性對(duì)運(yùn)算，與對(duì)比方案相比具有較低的計(jì)算開(kāi)銷(xiāo)與通信代價(jià)。因此，基于本文的UDVSP構(gòu)建的系統(tǒng)實(shí)用性更強(qiáng)。

1 相關(guān)工作

1.1　泛指定驗(yàn)證者簽名（證明）

Steinfeld等［13］在2003年最早提出泛指定驗(yàn)證者簽名的概念。這種特殊簽名允許指定者（也稱(chēng)簽名擁有者）在不泄露簽名情況下，讓指定驗(yàn)證者相信他/她擁有這個(gè)簽名。因此，泛指定驗(yàn)證者簽名能夠有效阻止指定驗(yàn)證者惡意傳播簽名，適用于EMR、收入?yún)R總等場(chǎng)景，提供隱私保護(hù)功能。

為了實(shí)現(xiàn)可證明安全，Zhang等［14］在2005年利用SDH（Strong Diffie-Hellman）問(wèn)題設(shè)計(jì)了泛指定驗(yàn)證者簽名（Universal Designated Verifier Signature， UDVS）方案，Huang等［15］在2008年利用GBDH（Gap Bilinear Diffie-Hellman）問(wèn)題設(shè)計(jì)了UDVS方案。上述兩個(gè)方案的計(jì)算開(kāi)銷(xiāo)較大，難以廣泛應(yīng)用。為了提高效率，Lin等［16］在2013年基于BIDH（Bilinear Inverse Diffie-Hellman）問(wèn)題設(shè)計(jì)了兩種更加高效的UDVS方案，但這兩種方案的驗(yàn)證部分仍涉及雙線(xiàn)性對(duì)運(yùn)算，效率有待提高。在安全性提升方面，Rastegari等［17］在2019年提出了標(biāo)準(zhǔn)模型下安全的UDVS方案。此外，國(guó)內(nèi)外學(xué)者還研究基于標(biāo)識(shí)/無(wú)證書(shū)的UDVS方案［18-20］，并將UDVS與傳遞簽名［21-22］、內(nèi)容提取簽名［23］等其他特殊簽名相結(jié)合，實(shí)現(xiàn)隱私保護(hù)。

上述UDVS方案存在公鑰初始化問(wèn)題，指定驗(yàn)證者需要事先利用簽名擁有者的系統(tǒng)參數(shù)生成公私鑰信息，同時(shí)申請(qǐng)公鑰證書(shū)［10］。這在實(shí)際生活中極其不便，尤其指定驗(yàn)證者一般已經(jīng)在不同的系統(tǒng)參數(shù)下生成公私鑰信息和申請(qǐng)公鑰證書(shū)。為了驗(yàn)證某實(shí)體的簽名擁有權(quán)，需要更換系統(tǒng)參數(shù)重新生成公私鑰并申請(qǐng)公鑰證書(shū)，為驗(yàn)證者帶來(lái)不便。

Baek等［10］在2005年提出了泛指定驗(yàn)證者簽名證明（UDVSP），這是UDVS的一種變形，不僅具有UDVS的可驗(yàn)證性與隱私保護(hù)功能，還可有效解決UDVS面臨的公鑰初始化問(wèn)題。文獻(xiàn)［10］中基于BLS（Boneh-Lynn-Shacham）簽名和BB（Boneh-Boyen）簽名提出了兩種UDVSP方案，但這兩種方案均涉及高耗時(shí)的雙線(xiàn)性對(duì)運(yùn)算，難以支持移動(dòng)終端或其他輕量級(jí)場(chǎng)景。Chen等［11］在2009年提出了基于標(biāo)識(shí)的UDVSP方案，可以避免繁瑣的公鑰證書(shū)管理，但也涉及高耗時(shí)的雙線(xiàn)性對(duì)運(yùn)算。據(jù)調(diào)查，目前尚未有無(wú)需雙線(xiàn)性對(duì)運(yùn)算的UDVSP方案在國(guó)內(nèi)外刊物上公開(kāi)發(fā)表。

1.2　基于區(qū)塊鏈的EMR共享

為了滿(mǎn)足醫(yī)療領(lǐng)域面臨的身份驗(yàn)證、互操作性、數(shù)據(jù)共享、隱私保護(hù)等需求，國(guó)內(nèi)外學(xué)者利用區(qū)塊鏈技術(shù)提出了一系列解決方案。Mettler［24］在2016年利用以太坊設(shè)計(jì)了一種EMR共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施，能實(shí)現(xiàn)患者與醫(yī)生之間無(wú)縫共享患者的EMR，但無(wú)法保證EMR被惡意修改和濫用。Yue等［9］在2016年利用區(qū)塊鏈技術(shù)提出了一套醫(yī)療數(shù)據(jù)網(wǎng)關(guān)（Healthcare Data Gateway， HDG）系統(tǒng)，主要在統(tǒng)一數(shù)據(jù)模式下存儲(chǔ)和組織電子醫(yī)療數(shù)據(jù)，支持患者擁有、控制和共享自身EMR。雖然HDG系統(tǒng)嘗試在提供數(shù)據(jù)隱私保護(hù)的同時(shí)實(shí)現(xiàn)數(shù)據(jù)安全共享，但無(wú)法支持用戶(hù)自定義共享電子醫(yī)療數(shù)據(jù)和數(shù)據(jù)共享后的隱私保護(hù)。

Azaria等［8］在2016年結(jié)合云存儲(chǔ)和區(qū)塊鏈提出了具有認(rèn)證、保密、可靠、共享等特點(diǎn)的Medrec模型。Medrec雖然可以保障患者和醫(yī)生之間的數(shù)據(jù)互操作性，但存在電子醫(yī)療數(shù)據(jù)共享后隱私泄露問(wèn)題。Roehrs等［25］在2017年為了實(shí)現(xiàn)物理健康記錄（Physical Health Record）的分發(fā)性和互操作性，提出了支持跨衛(wèi)生組織的健康記錄統(tǒng)一視圖模型。雖然這種模型可以解決EMR與物理健康記錄之間的差異性問(wèn)題，但存在數(shù)據(jù)共享范圍受限、隱私泄露隱患等不足。薛騰飛等［26］在2017年利用區(qū)塊鏈和代理重加密技術(shù)提出了新的醫(yī)療數(shù)據(jù)共享模型，可以解決各醫(yī)療機(jī)構(gòu)間數(shù)據(jù)共享難題，但存在數(shù)據(jù)共享復(fù)雜和隱私泄露問(wèn)題。

2018年，Liu等［3］結(jié)合區(qū)塊鏈技術(shù)、密文策略屬性基加密（Ciphertext-Policy Attribute-Based Encryption， CPABE）和內(nèi)容提取簽名（Content Extraction Signature），提出了一種具有隱私保護(hù)功能的EMR共享方案。Wu等［27］在2019年引入數(shù)據(jù)掩碼技術(shù)和星際文件系統(tǒng)（Inter Planetary File System），設(shè)計(jì)了高效的區(qū)塊鏈EMR共享模型。2020年，Li等［28］設(shè)計(jì)了新的基于區(qū)塊鏈的電子醫(yī)療紀(jì)錄共享系統(tǒng)，解決了相互信任問(wèn)題和EMR存儲(chǔ)/共享安全問(wèn)題。

上述基于區(qū)塊鏈的EMR共享系統(tǒng)雖然能夠解決一些訪(fǎng)問(wèn)控制、數(shù)據(jù)存儲(chǔ)、身份隱私等安全問(wèn)題，但均未考慮EMR共享后的隱私泄露問(wèn)題。本文主要解決該問(wèn)題，既實(shí)現(xiàn)數(shù)據(jù)有效性驗(yàn)證，又防止數(shù)據(jù)被惡意傳播。

2 技術(shù)背景

2.1　符號(hào)定義

2.2　系統(tǒng)模型

基于區(qū)塊鏈的EMR安全共享系統(tǒng)主要包括醫(yī)生、患者、區(qū)塊鏈三種角色（如圖2）。

圖2　系統(tǒng)模型

醫(yī)生角色主要為患者診斷服務(wù)，是EMR的生成者。收到患者的門(mén)診請(qǐng)求后（步驟①），醫(yī)生為患者診斷生成EMR，然后將EMR盲化處理后上傳到區(qū)塊鏈（步驟②），再將盲化因子返回給患者（步驟③）。此外，本角色在提供診斷服務(wù)時(shí)，可要求患者提供過(guò)往EMR（步驟⑤），并從區(qū)塊鏈檢索相關(guān)數(shù)據(jù)進(jìn)行驗(yàn)證（步驟⑥）。

患者角色是EMR的擁有者，在接受醫(yī)生診斷后獲取EMR的相關(guān)證明憑證（即前述的盲化因子），利用此憑證驗(yàn)證EMR的有效性（步驟④）。在更換其他醫(yī)生時(shí)，患者可提供過(guò)往EMR獲取更準(zhǔn)確、更高效的醫(yī)療服務(wù)，但為了避免EMR被惡意傳播，患者不直接提供EMR，而是利用盲化處理的EMR和盲化因子向新醫(yī)生證明（步驟⑤）。

區(qū)塊鏈角色是分布式賬本，用于維護(hù)患者的盲化EMR列表，提供EMR的上傳（步驟②）、驗(yàn)證（步驟④）、檢索（步驟⑥）、撤銷(xiāo)（步驟⑦）服務(wù)。此角色主要分為公有鏈和聯(lián)盟鏈，其中公有鏈允許任何實(shí)體共同維護(hù)賬本，而聯(lián)盟鏈僅由授權(quán)節(jié)點(diǎn)維護(hù)賬本。在系統(tǒng)實(shí)現(xiàn)部分，本文將采用智能合約實(shí)現(xiàn)上述功能。

系統(tǒng)需要滿(mǎn)足以下性質(zhì)：

完備性（Completeness） 本性質(zhì)用于保障系統(tǒng)的正確性/可靠性。有效盲化因子生成的EMR擁有證明可被驗(yàn)證通過(guò)。假設(shè)用戶(hù)沒(méi)有盲化因子，將無(wú)法生成有效的EMR擁有證明。

兼容性（Compatibility） 本性質(zhì)用于保障系統(tǒng)的實(shí)用性。要求系統(tǒng)實(shí)現(xiàn)不受限于區(qū)塊鏈的類(lèi)型，也就是既能支持以太坊等公有鏈，也能支持超級(jí)賬本等聯(lián)盟鏈。

2.3　SM2數(shù)字簽名算法

國(guó)家密碼管理局2010年頒布的SM2數(shù)字簽名算法，已成為國(guó)際標(biāo)準(zhǔn)數(shù)字簽名ISO/IEC 14888―3和國(guó)家商用密碼公鑰算法標(biāo)準(zhǔn)GM/T 000.3―2012［29］。該算法包括初始化（Setup）、密鑰生成（Key Generation， KGen）、簽名（Sign）和驗(yàn)證（Verify ）四個(gè)算法：

SM2數(shù)字簽名算法滿(mǎn)足正確性、自適應(yīng)選擇攻擊存在不可偽造性（Existential UnForgeability on adaptively Chosen Message Attacks， EUF-CMA）和抗密鑰替換攻擊［29］。

2.4　泛指定驗(yàn)證者簽名證明

R-IM指UDVSP能夠保證沒(méi)有簽名的敵手無(wú)法冒充誠(chéng)實(shí)的簽名擁有者。該性質(zhì)可分為抗類(lèi)型1冒充攻擊（R?IM?TYPE?1）和抗類(lèi)型2冒充攻擊（R?IM?TYPE?2）。

3 協(xié)議設(shè)計(jì)

3.1　基于SM2數(shù)字簽名算法的UDVSP

基于SM2數(shù)字簽名算法設(shè)計(jì)的UDVSP，可以避免雙線(xiàn)性對(duì)運(yùn)算，有效提升性能。本文設(shè)計(jì)的UDVSP包括USetup、UKGen、USign、UVerf、UTran和UIVerf六個(gè)算法：

3.2　智能合約設(shè)計(jì)

系統(tǒng)需要提供盲化EMR的上傳、驗(yàn)證、檢索、撤銷(xiāo)等服務(wù)，本文利用智能合約進(jìn)行實(shí)現(xiàn)。當(dāng)且僅當(dāng)盲化EMR被上傳到智能合約，患者才能利用盲化因子提供有效的EMR證明，同時(shí)要求僅有授權(quán)的醫(yī)生才能夠上傳/撤銷(xiāo)盲化EMR。本文的智能合約主要包括Upload、Check、Get、Revoke四個(gè)算法（算法1）。

算法1 Smart Contract on EMRList。

輸入 Function name， invoked parameters；

輸出 Setting up functions。

address［］； % 定義授權(quán)醫(yī)生列表

structure% 定義數(shù)據(jù)結(jié)構(gòu)體

uint256； % 一部分盲化EMR

uint256； % 另一部分盲化EMR

FUNCTION EMRList（address［20］）

% 構(gòu)造函數(shù)，智能合約部署時(shí)自動(dòng)執(zhí)行

FOR（= 0；<；++）

［］；

ENDFOR

mapping（uint256 =>）；

FUNCTION Upload（，） returns （）

授權(quán)醫(yī)生調(diào)用該算法上傳盲化EMR

（，）； % 計(jì)算索引值

［］.；

［］.；

RETURN；

FUNCTION Check（，） returns （bool）

調(diào)用該算法可判斷盲化EMR是否上傳

（，）； % 計(jì)算索引值

IF （［］.&&［］.）

RETURN true；

ELSE RETURN false；

ENDIF

FUNCTIONGet（） returns （uints256［2］）

調(diào)用該算法可檢索盲化EMR

=［］.；

［］.；

RETURN （，）；

FUNCTION Revoke（）

授權(quán)醫(yī)生可調(diào)用該算法撤銷(xiāo)盲化EMR

（，）； % 計(jì)算索引值

［］.null；

［］.null；

3.3　系統(tǒng)設(shè)計(jì)

4 安全性分析

為了分析系統(tǒng)的安全性，本文首先證明UDVSP的安全性。由于UDVSP的EUF-CMA與SM2數(shù)字簽名算法的EUF-CMA保持一致，所以本文主要分析UDVSP的R?IM?TYPE?1 （定理1）和R?IM?TYPE?2（定理2）。

定理1 若UDVSP的UIVerf交互式協(xié)議滿(mǎn)足誠(chéng)實(shí)驗(yàn)證者零知識(shí)性（Honest-verifier Zero-knowledge），則UDVSP具有R?IM?TYPE?1的性質(zhì)。

算法2 UIVerf協(xié)議的模擬器Sim。

定理2 若SM2數(shù)字簽名算法具有EUF-CMA的性質(zhì)，則UDVSP具有R?IM?TYPE?2的性質(zhì)。

在上述基礎(chǔ)上，本文進(jìn)一步分析系統(tǒng)的完備性、不可鏈接性和兼容性。

完備性 系統(tǒng)的完備性一方面是因?yàn)閁DVSP的“UTran與UIVerf一致”，另一方面是轉(zhuǎn)換密鑰僅患者和醫(yī)生可知，其他人無(wú)法生成有效的盲化EMR證明。

兼容性 在系統(tǒng)設(shè)計(jì)中，主要利用區(qū)塊鏈智能合約進(jìn)行實(shí)現(xiàn)，所以任何支持智能合約功能的區(qū)塊鏈均適用，例如：支持Solidity語(yǔ)言的公有鏈以太坊和支持Go語(yǔ)言的聯(lián)盟鏈超級(jí)賬本。

5 性能評(píng)估與分析

本章從燃?xì)猓℅as）消耗、計(jì)算開(kāi)銷(xiāo)和通信代價(jià)討論系統(tǒng)性能。

1）燃?xì)庀模簽樵u(píng)估系統(tǒng)的燃?xì)庀?，本文采用以太坊測(cè)試平臺(tái)Remix （https：//remix.ethereum.org/）實(shí)現(xiàn)。Remix采用編譯器（0.4.23+commit.124ca40d.Emscripten.clang）、語(yǔ)言（Solidity）、以太坊虛擬機(jī)（Ethereum Virtual Machine， EVM）版本（默認(rèn)）、部署環(huán)境（Javascript虛擬機(jī)）、功能插件（調(diào)試器、部署/運(yùn)行、Solidity編譯器、Solidity靜態(tài)分析）。

在上述配置的Remix中編譯和部署智能合約代碼，得到圖3的燃?xì)庀那闆r。其中，據(jù)CoinMarketCap 2021年7月26日行情，1 Ether約等于2 000美元（United States of America Dollar， USD），最高燃?xì)庀拗圃O(shè)為3 000 000 gas，每個(gè)燃?xì)庠O(shè)為2 GWei （約為0.006 Ether和12 USD）。合約部署Deploy消耗交易燃?xì)庾疃?，約為3.208 0 USD （其中包含執(zhí)行燃?xì)?.293 6 USD），其余的Upload、Check、Get和Revoke算法消耗的交易燃?xì)饩∮?.45 USD，尤其是Check、Get和Revoke僅消耗gas分別為0.111 7 USD、0.111 0 USD和0.126 8 USD。由于Deploy僅需執(zhí)行一次，而其余算法在系統(tǒng)中需要重復(fù)調(diào)用，所以上述的交易燃?xì)庀那闆r合理，滿(mǎn)足實(shí)際應(yīng)用需求。

圖3　智能合約算法的燃?xì)庀那闆r

2）計(jì)算開(kāi)銷(xiāo)與通信代價(jià)：系統(tǒng)的計(jì)算開(kāi)銷(xiāo)與通信代價(jià)主要由UDVSP方案引起，所以本文首先理論分析UDVSP的計(jì)算開(kāi)銷(xiāo)與通信代價(jià)；同時(shí)，分析對(duì)比本文的UDVSP與現(xiàn)有常用的UDVSP/UDVS方案（包括UDVSP?1［10］、UDVSP?2［10］、UDVS?1［15］和UDVS?2［17］）。本文將UDVS的兩個(gè)密鑰生成算法統(tǒng)一為UKGen算法，且通信代價(jià)部分主要考慮UIVerf交互協(xié)議的通信代價(jià)。從理論分析對(duì)比結(jié)果（表1）可知，本文UDVSP的計(jì)算開(kāi)銷(xiāo)和通信代價(jià)均比現(xiàn)有方案更優(yōu)，主要是因?yàn)楸疚牡腢DVSP避免了高耗時(shí)的雙線(xiàn)性對(duì)運(yùn)算和全域哈希函數(shù)計(jì)算。

表1　理論性能分析對(duì)比結(jié)果

表2　符號(hào)定義和耗時(shí)情況

表3　實(shí)際性能對(duì)比結(jié)果

6 結(jié)語(yǔ)

雖然泛指定驗(yàn)證者簽名證明（UDVSP）可以解決現(xiàn)有基于區(qū)塊鏈的EMR共享系統(tǒng)面臨的惡意傳播問(wèn)題，但現(xiàn)有的UDVSP方案均涉及高耗時(shí)的雙線(xiàn)性對(duì)運(yùn)算。本文先利用SM2數(shù)字簽名算法設(shè)計(jì)了一種更加安全高效的UDVSP方案，并構(gòu)建了基于區(qū)塊鏈的EMR安全共享系統(tǒng)。為了說(shuō)明UDVSP方案和共享系統(tǒng)具有實(shí)用性，本文首先證明本文UDVSP的安全性，然后在此基礎(chǔ)上分析系統(tǒng)的安全性，最后通過(guò)性能對(duì)比和仿真結(jié)果進(jìn)行論證。

[1] TAMERSOY A， LOUKIDES G， NERGIZ M E， et al. Anonymization of longitudinal electronic medical records［J］. IEEE Transactions on Information Technology in Biomedicine， 2012， 16（3）： 413-423.

[2] OHNO-MACHADO L. Sharing data from electronic health records within， across， and beyond healthcare institutions： current trends and perspectives［J］. Journal of the American Medical Informatics Association， 2018， 25（9）： 1113-1113.

[3] LIU J， LI X， YE L， et al. BPDS： A blockchain based privacy-preserving data sharing for electronic medical records［C］// Proceedings of the 2018 IEEE Global Communications Conference. Piscataway： IEEE， 2018： 1-6.

[4] LIN C， HE D， HUANG X， et al. BSeIn： a blockchain-based secure mutual authentication with fine-grained access control system for industry 4.0［J］. Journal of Network and Computer Applications， 2018， 116： 42-52.

[5] 祝烈煌，高峰，沈蒙，等. 區(qū)塊鏈隱私保護(hù)研究綜述［J］. 計(jì)算機(jī)研究與發(fā)展，2017， 54（10）： 2170-2186.（ZHU L H， GAO F， SHEN M， et al. Survey and privacy preserving techniques for blockchain technology［J］. Journal of Computer Research and Development， 2017， 54（10）： 2170-2186.）

[6] DUBOVITSKAYA A， XU Z， RYU S， et al. Secure and trustable electronic medical records sharing using blockchain［C］// Proceedings of the 2017 American Medical Informatics Association Annual Symposium. Washington， DC： AMIA Publications， 2017： 650.

[7] USMAN M， QAMAR U. Secure electronic medical records storage and sharing using blockchain technology［J］. Procedia Computer Science， 2020， 174： 321-327.

[8] AZARIA A， EKBLAW A， VIEIRA T， et al. MedRec： using blockchain for medical data access and permission management［C］// Proceedings of the 2nd International Conference on Open and Big Data. Washington， DC： IEEE Computer Society， 2016： 25-30.

[9] YUE X， WANG H， JIN D， et al. Healthcare data gateways： found healthcare intelligence on blockchain with novel privacy risk control［J］. Journal of Medical Systems， 2016， 40（10）： 1-8.

[10] BAEK J， SAFAVI-NAINI R， SUSILO W. Universal designated verifier signature proof （or how to efficiently prove knowledge of a signature）［C］// Proceedings of the 11th International Conference on the Theory and Application of Cryptology and Information Security， LNSC 3788. Berlin： Springer， 2005： 644-661.

[11] CHEN X， CHEN G， ZHANG F， et al. Identity-based universal designated verifier signature proof system［J］. International Journal of Network Security， 2009， 8（1）： 52-58.

[12] ABBASINEZHAD-MOOD D， NIKOOGHADAM M. An anonymous ecc-based self-certified key distribution scheme for the smart grid［J］. IEEE Transactions on Industrial Electronics， 2018， 65（10）： 7996-8004.

[13] STEINFELD R， BULL L， WANG H， et al. Universal designated-verifier signatures［C］// Proceedings of the 9th International Conference on the Theory and Application of Cryptology and Information Security， LNCS 2894. Berlin： Springer， 2003： 523-542.

[14] ZHANG R， FURUKAWA J， IMAI H. Short signature and universal designated verifier signature without random oracles［C］// Proceedings of the 3rd International Conference on Applied Cryptography and Network Security， LNSC 3531. Cham： Springer， 2005： 483-498.

[15] HUANG X， SUSILO W， MU Y， et al. Secure universal designated verifier signature without random oracles［J］. International Journal of Information Security， 2008， 7（3）： 171-183.

[16] LIN H Y. Secure universal designated verifier signature and its variant for privacy protection［J］. Information Technology and Control， 2013， 42（3）： 268-276.

[17] RASTEGARI P， BERENJKOUB M， DAKHILALIAN M， et al. Universal designated verifier signature scheme with non-delegatability in the standard model［J］. Information Sciences， 2019， 479： 321-334.

[18] SEO S H， HWANG J Y， CHOI K Y， et al. Identity-based universal designated multi-verifiers signature schemes［J］. Computer Standards & Interfaces， 2008， 30（5）： 288-295.

[19] CAO F， CAO Z. An identity based universal designated verifier signature scheme secure in the standard model［J］. Journal of Systems and Software， 2009， 82（4）： 643-649.

[20] CHANG T Y. An ID-based multi-signer universal designated multi-verifier signature scheme［J］. Information and Computation， 2011， 209（7）： 1007-1015.

[21] HOU S， HUANG X， LIU J K， et al. Universal designated verifier transitive signatures for graph-based big data［J］. Information Sciences， 2015， 318： 144-156.

[22] LIN C， WU W， HUANG X， et al. A new universal designated verifier transitive signature scheme for big graph data［J］. Journal of Computer and System Sciences， 2017， 83（1）： 73-83.

[23] WANG M， ZHANG Y， Ma J， et al. A universal designated multi verifiers content extraction signature scheme［J］. International Journal of Computational Science and Engineering， 2020， 21（1）： 49-59.

[24] METTLER M. Blockchain technology in healthcare： the revolution starts here［C］// Proceedings of the 18th International Conference on E-health Networking， Applications and Services. Piscataway： IEEE， 2016： 1-3.

[25] ROEHRS A， DA COSTA C A， DA ROSA RIGHI R. OmniPHR： a distributed architecture model to integrate personal health records［J］. Journal of Biomedical Informatics， 2017， 71： 70-81.

[26] 薛騰飛，傅群超，王樅，等. 基于區(qū)塊鏈的醫(yī)療數(shù)據(jù)共享模型研究［J］. 自動(dòng)化學(xué)報(bào)，2017， 43（9）： 1555-1562.（XUE T F， FU Q C， WANG C， et al. A medical data sharing model via blockchain［J］. Acta Automatica Sinica， 2017， 43（9）： 1555-1562.）

[27] WU S， DU J. Electronic medical record security sharing model based on blockchain［C］// Proceedings of the 3rd International Conference on Cryptography， Security and Privacy. New York： ACM， 2019： 13-17.

[28] LI L，YUE Z， WU G. Electronic medical record sharing system based on hyperledger fabric and interplanetary file system［C］// Proceedings of the 5th International Conference on Compute and Data Analysis. New York： ACM， 2021： 149-154.

[29] ZHANG Z， YANG K， ZHANG J， et al. Security of the SM2 signature scheme against generalized key substitution attacks［C］// Proceedings of the 2nd International Conference on Research in Security Standardisation， LNSC 9497. Cham： Springer， 2015： 140-153.

Blockchain?based electronic medical record secure sharing

LIN Chao1， HE Debiao2*， HUANG Xinyi1

（1，，350117，；2，，430072，）

To solve various issues faced by Electronic Medical Record （EMR） sharing， such as centralized data provider， passive patient data management， low interoperability efficiency and malicious dissemination， a blockchain-based EMR secure sharing method was proposed. Firstly， a more secure and efficient Universal Designated Verifier Signature Proof （UDVSP） scheme based on the commercial cryptography SM2 digital signature algorithm was proposed. Then， a smart contract with functionalities of uploading， verification， retrieval and revocation was designed， and a blockchain-based EMR secure sharing system was constructed. Finally， the feasibilities of UDVSP scheme and sharing system were demonstrated through security analysis and performance analysis. The security analysis shows that the proposed UDVSP is probably secure. The performance analysis shows that compared with existing UDVSP/UDVS schemes， the proposed UDVSP scheme saves the computation cost at least 87.42% and communication overhead at least 93.75%. The prototype of blockchain smart contract further demonstrates the security and efficiency of the sharing system.

Electronic Medical Record (EMR); blockchain; SM2 digital signature algorithm; universal designated verifier signature proof; data sharing

This work is partially supported by National Natural Science Foundation of China （62102089）， Fundamental Research Funds for Central Universities （2042021kf1030）.

LIN Chao， born in 1991， Ph. D.， lecturer. His research interests include applied cryptography， blockchain.

HE Debiao， born in 1980， Ph. D.， professor. His research interests include applied cryptography， cryptographic protocol， cloud computing security.

HUANG Xinyi， born in 1981， Ph. D.， professor. His research interests include applied cryptography， network security.

1001-9081（2022）11-3465-08

10.11772/j.issn.1001-9081.2021111895

2021?11?09；

2021?12?18；

2022?01?05。

國(guó)家自然科學(xué)基金資助項(xiàng)目（62102089）；中央高?；究蒲袠I(yè)務(wù)費(fèi)專(zhuān)項(xiàng)資金資助項(xiàng)目（2042021kf1030）。

TP309.2

A

林超（1991—），男，福建平和人，講師，博士，CCF會(huì)員，主要研究方向：應(yīng)用密碼學(xué)、區(qū)塊鏈；何德彪（1980—），男，山東聊城人，教授，博士，CCF會(huì)員，主要研究方向：應(yīng)用密碼學(xué)、安全協(xié)議、云計(jì)算安全；黃欣沂（1981—），男，江蘇儀征人，教授，博士，CCF會(huì)員，主要研究方向：應(yīng)用密碼學(xué)、網(wǎng)絡(luò)安全。