劉榮管，王兆棟，鄧蘭華，陳長(zhǎng)源，陳佩江

（1. 臨沂億通軟件有限公司產(chǎn)品開(kāi)發(fā)部，臨沂 276000；2. 臨沂市大數(shù)據(jù)協(xié)會(huì)，臨沂 276000；3. 臨沂大學(xué)機(jī)械與車輛工程學(xué)院，臨沂 276000）

0 引言

近年來(lái)，隨著計(jì)算機(jī)和信息技術(shù)的快速發(fā)展，電子病歷已基本取代紙質(zhì)文本，給患者就醫(yī)、醫(yī)院管理都帶來(lái)了極大便利。病歷的電子化既解決了紙質(zhì)文本的存放和丟失問(wèn)題，也為科學(xué)研究提供了寶貴資源。然而，隨著智慧醫(yī)療和醫(yī)療大數(shù)據(jù)應(yīng)用的快速發(fā)展，仍存在一些障礙。一是醫(yī)療數(shù)據(jù)的安全存儲(chǔ)，電子病歷一般由醫(yī)療機(jī)構(gòu)集中存儲(chǔ)在單位數(shù)據(jù)庫(kù)，容易受到單點(diǎn)攻擊，導(dǎo)致患者數(shù)據(jù)丟失和隱私泄露［1］；二是醫(yī)療數(shù)據(jù)共享，各醫(yī)療機(jī)構(gòu)的信息系統(tǒng)不兼容，溝通不暢，擔(dān)心信息泄露，不愿分享信息，形成數(shù)據(jù)孤島；三是數(shù)據(jù)所有權(quán)，患者是電子病歷的所有者，希望有權(quán)管理個(gè)人數(shù)據(jù)，并可以根據(jù)請(qǐng)求者身份和內(nèi)容決定是否授予相應(yīng)權(quán)限。

醫(yī)療數(shù)據(jù)的共享和訪問(wèn)新技術(shù)主要有兩種方法：云計(jì)算和區(qū)塊鏈。云計(jì)算是指把醫(yī)療數(shù)據(jù)上傳到云端實(shí)現(xiàn)存儲(chǔ)和共享，有效減少本地存儲(chǔ)成本，方便用戶訪問(wèn)數(shù)據(jù)，但這種方法的隱患是如果云端服務(wù)器出現(xiàn)故障或受到惡意攻擊，會(huì)引起數(shù)據(jù)丟失或泄露［2］。區(qū)塊鏈?zhǔn)且环N由許多節(jié)點(diǎn)通過(guò)一致性協(xié)議進(jìn)行維護(hù)的分布式賬本，具備去中心化、可追溯、不可篡改、集體維護(hù)等特點(diǎn)，醫(yī)療數(shù)據(jù)可以在互不信任的環(huán)境下保證安全和使用的可追溯性，電子病歷等數(shù)據(jù)可以在眾多醫(yī)療機(jī)構(gòu)之間安全傳輸和共享，實(shí)現(xiàn)醫(yī)療體系的互聯(lián)互通，提高醫(yī)療服務(wù)質(zhì)量和準(zhǔn)確的遠(yuǎn)程會(huì)診［3］，為醫(yī)療數(shù)據(jù)共享所面臨的問(wèn)題提供了新的解決方法。

電子病歷等醫(yī)療數(shù)據(jù)的共享與應(yīng)用具有極其重要的意義，本文基于區(qū)塊鏈技術(shù)，提出一個(gè)電子病歷的訪問(wèn)控制方案，實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的共享和隱私保護(hù)，促進(jìn)醫(yī)療大數(shù)據(jù)的應(yīng)用。

1 區(qū)塊鏈技術(shù)

區(qū)塊鏈?zhǔn)且环N鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)，以時(shí)間為順序把數(shù)據(jù)區(qū)塊相連接，其核心是分布在P2P 網(wǎng)絡(luò)中的賬本，用于存儲(chǔ)交易公共記錄，對(duì)所有用戶共享以及驗(yàn)證交易。

1.1 區(qū)塊鏈基本結(jié)構(gòu)

作為一種數(shù)據(jù)結(jié)構(gòu)，區(qū)塊由區(qū)塊內(nèi)結(jié)構(gòu)與區(qū)塊間鏈?zhǔn)浇Y(jié)構(gòu)組成。一個(gè)區(qū)塊結(jié)構(gòu)含有頭信息和體信息。頭信息是元數(shù)據(jù)，包括時(shí)間戳、前區(qū)塊哈希值、隨機(jī)數(shù)、Merkle 根值等，用于驗(yàn)證區(qū)塊，并把其前驅(qū)和后繼區(qū)塊聯(lián)系起來(lái)；體信息用于交易序列［4］。哈希值作為區(qū)塊的唯一標(biāo)識(shí)，把區(qū)塊鏈接起來(lái)，前區(qū)塊哈希值決定了所鏈接的唯一區(qū)塊，最終構(gòu)成一種鏈狀數(shù)據(jù)結(jié)構(gòu)。

1.2 共識(shí)機(jī)制

作為分布式系統(tǒng)，為讓所有主機(jī)都能達(dá)到一致性，區(qū)塊鏈利用了共識(shí)機(jī)制，常用算法包括：權(quán)益證明（PoS）、工作量證明（PoW）、委托權(quán)益證明（DPoS）和實(shí)用拜占庭容錯(cuò)算法（PBFT）等。

在委托權(quán)益證明區(qū)塊鏈中，節(jié)點(diǎn)能根據(jù)其權(quán)益來(lái)選擇證人［5］，獲得最高票數(shù)的前N個(gè)節(jié)點(diǎn)具有記賬權(quán)利，至少有50%的投票利益相關(guān)者才有足夠的權(quán)力下放。DPoS 的每個(gè)客戶端都有權(quán)利選擇可信任節(jié)點(diǎn)［6］，被選中節(jié)點(diǎn)可輪流記賬，有效地減少了驗(yàn)證節(jié)點(diǎn)的個(gè)數(shù)，既能保證網(wǎng)絡(luò)安全，又提高共識(shí)驗(yàn)證效率，降低運(yùn)行成本，更高效、節(jié)能和去中心化［7］。

1.3 智能合約

智能合約被定義為是可以自動(dòng)執(zhí)行的電子版合同，其實(shí)智能合約就是代碼程序，它被部署在區(qū)塊鏈區(qū)塊中，當(dāng)一個(gè)預(yù)先編制好的條件被觸發(fā)時(shí)，智能合約自動(dòng)執(zhí)行該工作，目的是用于驗(yàn)證和執(zhí)行合約。智能合約協(xié)商簽訂后，如果有用戶發(fā)起交易，會(huì)向區(qū)塊鏈網(wǎng)絡(luò)提交智能合約，經(jīng)網(wǎng)絡(luò)傳輸和礦工驗(yàn)證存儲(chǔ)在特定區(qū)塊，向用戶返回地址和接口等信息，可調(diào)用合約［8］。合約代碼檢查信息、判斷是否滿足觸發(fā)條件，并執(zhí)行響應(yīng)、更新?tīng)顟B(tài)。

智能合約適用于各種不同的區(qū)塊鏈網(wǎng)絡(luò)，并可應(yīng)用在電子商務(wù)、供應(yīng)鏈優(yōu)化等具體場(chǎng)景中，智能合約執(zhí)行的自動(dòng)化和智能性提高了交易的安全性和效率。

2 基于區(qū)塊鏈的電子病歷訪問(wèn)控制模型

2.1 電子病歷基本數(shù)據(jù)

在基于區(qū)塊鏈的電子病歷系統(tǒng)中，產(chǎn)生新區(qū)塊的醫(yī)院賬號(hào)、患者號(hào)碼和加密的病歷內(nèi)容寫(xiě)入?yún)^(qū)域數(shù)據(jù)庫(kù)。如果某患者在多個(gè)機(jī)構(gòu)就診，區(qū)域數(shù)據(jù)庫(kù)將存儲(chǔ)若干條記錄。電子病歷類型多樣，文本內(nèi)容豐富，涉及的數(shù)據(jù)既有健康數(shù)據(jù)，也有非健康數(shù)據(jù)，前者與個(gè)人身體狀況相關(guān)。有些數(shù)據(jù)涉及患者隱私，比如個(gè)人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療資金和支付數(shù)據(jù)等，這些數(shù)據(jù)的隱私情況不同，利用價(jià)值也有區(qū)別。

為有效控制電子病歷訪問(wèn)，按數(shù)據(jù)敏感程度把患者隱私信息分為三個(gè)等級(jí)：一級(jí)敏感度最高，對(duì)應(yīng)權(quán)值最大，二級(jí)、三級(jí)的相應(yīng)權(quán)值依次減小。一級(jí)隱私信息主要是病人的身份信息，比如：姓名、性別、身份證號(hào)、家庭住址等；二級(jí)隱私信息主要為患者醫(yī)療記錄；三級(jí)隱私信息主要為患者診斷輔助數(shù)據(jù)。將患者的各級(jí)隱私逐條分塊處理，加密存儲(chǔ)。

2.2 基于區(qū)塊鏈的電子病歷訪問(wèn)控制模型

為了實(shí)現(xiàn)電子病歷的共享和訪問(wèn)控制安全，基于區(qū)塊鏈設(shè)計(jì)一個(gè)電子病歷共享模型，其中主要有四個(gè)實(shí)體。

（1）權(quán)威中心，即密鑰生成中心。由區(qū)塊鏈中的醫(yī)院、醫(yī)學(xué)研究院等機(jī)構(gòu)聯(lián)合組成，負(fù)責(zé)系統(tǒng)主密鑰的生成，并和各機(jī)構(gòu)協(xié)商生成對(duì)應(yīng)私鑰［9］。

（2）數(shù)據(jù)擁有者，即數(shù)據(jù)的所有者?；颊邠碛凶约旱碾娮硬v數(shù)據(jù)，一般授權(quán)醫(yī)生生成病歷，加密存儲(chǔ)在區(qū)塊鏈中。在數(shù)據(jù)共享過(guò)程中，負(fù)責(zé)生成代理重加密密鑰，并發(fā)送給代理者［10］。

（3）數(shù)據(jù)用戶，即各醫(yī)療機(jī)構(gòu)。醫(yī)療機(jī)構(gòu)如有需求，經(jīng)授權(quán)后發(fā)送請(qǐng)求，獲取重新加密電子病歷文本，并可利用私鑰來(lái)解密閱讀。

（4）代理者，即執(zhí)行重加密的節(jié)點(diǎn)。根據(jù)委托權(quán)益證明共識(shí)算法所推舉出來(lái)的礦工節(jié)點(diǎn)作為代理節(jié)點(diǎn)，對(duì)數(shù)據(jù)擁有者發(fā)送的密文重新加密。

2.3 基于角色的電子病歷訪問(wèn)控制流程

醫(yī)療信息化系統(tǒng)擁有大量用戶，各有其特點(diǎn)，可利用用戶特點(diǎn)制定訪問(wèn)控制模型，更好地滿足醫(yī)療電子病歷系統(tǒng)的要求。此模型主要有如下幾個(gè)基本要素：用戶、角色、權(quán)限和會(huì)話；為用戶分配角色，角色具備相應(yīng)權(quán)限，在系統(tǒng)應(yīng)用中，角色把用戶與權(quán)限之間聯(lián)系起來(lái)，用戶通過(guò)其所處角色具有了相應(yīng)權(quán)限。

為做好電子病歷的隱私信息保護(hù)，基于用戶角色實(shí)現(xiàn)電子病歷的訪問(wèn)控制，主要過(guò)程如下：①根據(jù)要求的安全參數(shù)，進(jìn)行系統(tǒng)初始化；②根據(jù)系統(tǒng)初始化結(jié)果，生成主密鑰，得到主公鑰和主私鑰；③根據(jù)主密鑰，生成用戶私鑰；④對(duì)電子病歷文本進(jìn)行加密；⑤對(duì)電子病歷文本進(jìn)行解密。

將制定的訪問(wèn)控制流程用智能合約來(lái)實(shí)現(xiàn)，降低了管理員的工作量，提高了隱私數(shù)據(jù)安全性［11］。本智能合約定義了一系列角色與相關(guān)訪問(wèn)權(quán)限，不同角色有不同權(quán)限，不同權(quán)限用戶可操作不同的數(shù)據(jù)檢索指令。當(dāng)數(shù)據(jù)訪問(wèn)者的角色滿足權(quán)限要求，經(jīng)身份認(rèn)證后，方能滿足醫(yī)療信息訪問(wèn)請(qǐng)求。

基于角色的電子病歷訪問(wèn)控制流程如圖1所示，主要有六個(gè)步驟：身份驗(yàn)證、處理訪問(wèn)信息、訪問(wèn)權(quán)限驗(yàn)證、信息量計(jì)算、訪問(wèn)控制策略和訪問(wèn)記錄修改等。

圖1 基于角色的EMR訪問(wèn)控制流程

2.4 電子病歷訪問(wèn)控制性能測(cè)試

電子病歷訪問(wèn)控制模型對(duì)不同用戶進(jìn)行了角色和權(quán)限的劃分，利用區(qū)塊鏈技術(shù)，電子病歷數(shù)據(jù)分塊存儲(chǔ)，具有文件存儲(chǔ)安全、防止數(shù)據(jù)篡改和盜竊，制定動(dòng)態(tài)訪問(wèn)策略，可以實(shí)現(xiàn)對(duì)醫(yī)療數(shù)據(jù)的完全控制，有效保護(hù)患者隱私。

為測(cè)試電子病歷訪問(wèn)控制模型的性能，利用訪問(wèn)行為的準(zhǔn)確率來(lái)驗(yàn)證安全性，主要指標(biāo)有正常訪問(wèn)行為準(zhǔn)確識(shí)別率、非法訪問(wèn)行為準(zhǔn)確識(shí)別率和總訪問(wèn)行為準(zhǔn)確識(shí)別率。

測(cè)試數(shù)據(jù)為公司所用電子病歷數(shù)據(jù)庫(kù)，在實(shí)驗(yàn)中，選取120 次電子病歷訪問(wèn)行為進(jìn)行測(cè)試。在每次測(cè)試中，設(shè)置為不同角色，既包括本科室的合法訪問(wèn)，也有跨部門(mén)的非法訪問(wèn)，其中，符合訪問(wèn)控制策略的行為，即正常訪問(wèn)數(shù)量為40；不符合控制策略，即非法訪問(wèn)數(shù)量為80。電子病歷訪問(wèn)控制的測(cè)試結(jié)果如圖2所示。

圖2 電子病歷訪問(wèn)行為識(shí)別結(jié)果

根據(jù)圖2 測(cè)試結(jié)果，經(jīng)分析可知：正常訪問(wèn)、非法訪問(wèn)和總訪問(wèn)的行為識(shí)別準(zhǔn)確率分別為97.5%、96.25%、96.7%。同時(shí)可發(fā)現(xiàn)，盡管電子病歷訪問(wèn)行為正確識(shí)別率不是100%，但由于對(duì)每次訪問(wèn)都有記錄，可以有效約束訪問(wèn)行為，防止醫(yī)療數(shù)據(jù)隱私泄露。

3 結(jié)語(yǔ)

鑒于醫(yī)療大數(shù)據(jù)應(yīng)用的意義，電子病歷等醫(yī)療數(shù)據(jù)需要在各醫(yī)療機(jī)構(gòu)中傳輸和共享，醫(yī)療數(shù)據(jù)的安全性和患者隱私保護(hù)是重要的研究熱點(diǎn)?？紤]到區(qū)塊鏈的去中心化和防篡改等特點(diǎn)，基于用戶角色，提出了一種電子病歷訪問(wèn)控制方案，提高醫(yī)療信息的隱私保護(hù)。

區(qū)塊鏈的信息安全以私鑰安全為前提，患者私鑰一旦丟失，就需要重新考慮隱私安全性；本方案是以DPoS 算法為基礎(chǔ)實(shí)現(xiàn)的，其效率和應(yīng)用效果有待進(jìn)一步提高。此外，由于性能測(cè)試采用的公司測(cè)試數(shù)據(jù)庫(kù)，電子病歷規(guī)模比較小，測(cè)試結(jié)果難免會(huì)受到一定影響，在后面研究中，需要改進(jìn)算法和模型，增加測(cè)試數(shù)據(jù)集，提高訪問(wèn)控制效果。