尚龍飛，王華杰，徐 露

（昆明理工大學(xué)信息工程與自動(dòng)化學(xué)院，云南 昆明 650500）

0 引 言

隨著信息時(shí)代的飛速發(fā)展，在醫(yī)療行業(yè)，傳統(tǒng)的紙質(zhì)病歷單早已被電子病歷所取代，這極大地解決了病人病歷單容易丟失、保存困難、耗時(shí)耗力的問題。許多與健康有關(guān)的醫(yī)療數(shù)據(jù)需要在政府、醫(yī)療研究中心等不同方面得到共享，以便及早對病情進(jìn)行分析來尋找合適的治療方法。但是這些機(jī)構(gòu)之間呈現(xiàn)出孤立的狀態(tài)，醫(yī)療數(shù)據(jù)不能被充分利用，各組織之間互操作性較差，存在信息壁壘[1]。與此同時(shí)，用戶信息呈爆炸式增長，本地計(jì)算機(jī)存儲遠(yuǎn)遠(yuǎn)不能滿足用戶的需求，越來越多的醫(yī)療機(jī)構(gòu)采用云服務(wù)器來存儲、計(jì)算、管理自己的數(shù)據(jù)信息[2]。然而云計(jì)算在給用戶帶來方便、快捷的同時(shí)，用戶敏感數(shù)據(jù)的隱私與安全問題也日益突出[3]。

區(qū)塊鏈技術(shù)以其分散、去中心化、集體維護(hù)的特點(diǎn)為上述問題的解決提供了新的發(fā)展方向[4]。尤其是在醫(yī)療領(lǐng)域[5]，文獻(xiàn)[6]將公鑰加密的相等檢驗(yàn)與代理重加密結(jié)合，利用區(qū)塊鏈上的智能合約解決數(shù)據(jù)搜索問題，實(shí)現(xiàn)了高效的數(shù)據(jù)共享和隱私保護(hù)。文獻(xiàn)[7]提出了基于區(qū)塊鏈的醫(yī)療數(shù)據(jù)共享與隱私保護(hù)方案，通過代理重加密實(shí)現(xiàn)患者醫(yī)療數(shù)據(jù)的共享，該方案具有較高的吞吐量和可擴(kuò)展性。文獻(xiàn)[8]將屬性加密和區(qū)塊鏈技術(shù)結(jié)合起來，使醫(yī)生和患者能夠同時(shí)發(fā)布搜索查詢，并對數(shù)據(jù)實(shí)現(xiàn)了細(xì)粒度的訪問控制。文獻(xiàn)[9]提出了一種區(qū)塊鏈架構(gòu)，通過將智能合約與用戶生成的可接受策略相匹配，實(shí)現(xiàn)健康信息交換以及個(gè)人數(shù)據(jù)的安全控制。文獻(xiàn)[10]提出了一種基于區(qū)塊鏈的電子醫(yī)療記錄隱私數(shù)據(jù)共識方案，在解決醫(yī)療數(shù)據(jù)存儲開銷大，共享困難方面做出了突出貢獻(xiàn)。這些方案雖然實(shí)現(xiàn)了數(shù)據(jù)的安全加密和密文的高效搜索，但是卻沒有考慮到數(shù)據(jù)在搜索過程中的保密性問題，因?yàn)樵跀?shù)據(jù)共享過程中，半可信的服務(wù)器[11]可能會頻繁記錄搜索的數(shù)據(jù)、關(guān)鍵字等信息。

為此，本文將代理重加密技術(shù)和區(qū)塊鏈結(jié)合提出了新的醫(yī)療數(shù)據(jù)共享模型。該方案在云服務(wù)器上存儲患者的密文，聯(lián)盟鏈上存儲條件摘要密文記錄，在避免云服務(wù)器中的數(shù)據(jù)被惡意篡改的同時(shí)，又降低了區(qū)塊鏈上的存儲開銷。

1 醫(yī)療數(shù)據(jù)共享模型

1.1 模型的邏輯框架與實(shí)體功能

本文提出的模型由6 個(gè)實(shí)體組成，如圖1 所示。

圖1 醫(yī)療數(shù)據(jù)共享模型

1）數(shù)據(jù)產(chǎn)生者：原始數(shù)據(jù)通過患者前往各級醫(yī)院就診獲得，生成的醫(yī)療數(shù)據(jù)將被存儲在這些機(jī)構(gòu)。作為醫(yī)療記錄的來源，數(shù)據(jù)產(chǎn)生者擁有數(shù)據(jù)的所有權(quán)和控制權(quán)，他們通過在聯(lián)盟鏈上注冊賬戶進(jìn)行數(shù)據(jù)的共享。

2）數(shù)據(jù)發(fā)送者：各級醫(yī)院構(gòu)成了數(shù)據(jù)的發(fā)送者，中心服務(wù)器負(fù)責(zé)把與病人交互過程中產(chǎn)生的醫(yī)療數(shù)據(jù)加密后發(fā)送給云服務(wù)器，該過程由各機(jī)構(gòu)的管理員控制。同時(shí)，管理員將醫(yī)療數(shù)據(jù)指定條件值形成的摘要索引和患者的賬戶地址作為數(shù)據(jù)交易發(fā)送給區(qū)塊鏈，為需要的數(shù)據(jù)獲取者提供真實(shí)可靠的數(shù)據(jù)。

3）數(shù)據(jù)請求者：藥品供應(yīng)倉庫、疾病研究中心等機(jī)構(gòu)構(gòu)成了數(shù)據(jù)請求者。數(shù)據(jù)請求者需要從數(shù)據(jù)發(fā)送者那里獲取搜索陷門，并在區(qū)塊鏈中搜索條件摘要，只有滿足特定條件才可以獲得訪問權(quán)限。

4）聯(lián)盟區(qū)塊鏈：各級醫(yī)院都是聯(lián)盟鏈的成員，參與區(qū)塊鏈的共識。

5）密鑰生成中心：對系統(tǒng)全局進(jìn)行設(shè)置，給數(shù)據(jù)請求者和數(shù)據(jù)發(fā)送者提供公鑰和私鑰，系統(tǒng)中密鑰生成中心是完全可信的。

6）云服務(wù)器：云服務(wù)器具有強(qiáng)大的計(jì)算和存儲能力，負(fù)責(zé)存儲加密后的醫(yī)療數(shù)據(jù)，并將加密后的密文轉(zhuǎn)換成數(shù)據(jù)請求者可以直接解密的密文，它還負(fù)責(zé)將文件地址發(fā)送到數(shù)據(jù)產(chǎn)生者的賬戶。

1.2 模型的共識算法

本文基于改進(jìn)的拜占庭共識算法（Practical Byzantime Fault Tolerance, PBFT）[12]，結(jié)合各級醫(yī)院共同構(gòu)成了聯(lián)盟區(qū)塊鏈這一特點(diǎn)，對已有的PBFT 算法進(jìn)行了改進(jìn)。首先將各類數(shù)據(jù)發(fā)送者構(gòu)成的所有節(jié)點(diǎn)進(jìn)行初始化，對每個(gè)節(jié)點(diǎn)進(jìn)行打分，最開始所有節(jié)點(diǎn)都是100 分，并將其劃分為共識節(jié)點(diǎn)群和候選節(jié)點(diǎn)群。初始化節(jié)點(diǎn)時(shí)，所有節(jié)點(diǎn)的順序是隨機(jī)的。共識節(jié)點(diǎn)群執(zhí)行聯(lián)盟鏈上的共識過程，候選節(jié)點(diǎn)群暫時(shí)不參與共識過程，在所有節(jié)點(diǎn)達(dá)成共識時(shí)才重新更新其狀態(tài)。假設(shè)系統(tǒng)中有N個(gè)醫(yī)院和醫(yī)療防控中心組成的節(jié)點(diǎn)，拜占庭節(jié)點(diǎn)數(shù)量為f，則共識節(jié)點(diǎn)的數(shù)量CN 必須滿足CN ≥3f+ 1才能確保系統(tǒng)在任何時(shí)候都能達(dá)成共識，本文讓共識節(jié)點(diǎn)的數(shù)量為。同時(shí)，將主節(jié)點(diǎn)的選擇策略定義為p=vmod CN，一旦主節(jié)點(diǎn)被攻擊或者失敗，視圖v將被下一個(gè)節(jié)點(diǎn)替換。如圖2 所示，模型具體的共識過程描述如下：

圖2 改進(jìn)的PBFT 算法

1）請求階段。數(shù)據(jù)發(fā)送者想要上傳條件摘要到區(qū)塊鏈或者數(shù)據(jù)請求者訪問醫(yī)療數(shù)據(jù)時(shí)，將向聯(lián)盟鏈上發(fā)送請求消息。

2）預(yù)備與準(zhǔn)備階段。主節(jié)點(diǎn)收到客戶端節(jié)點(diǎn)的請求后，先進(jìn)入預(yù)準(zhǔn)備階段，然后主節(jié)點(diǎn)將消息廣播到所有的副本節(jié)點(diǎn)，副本節(jié)點(diǎn)驗(yàn)證交易的合法性。如果驗(yàn)證通過，它將進(jìn)入準(zhǔn)備階段，若驗(yàn)證失敗，則直接丟棄，不會執(zhí)行任何操作。如果一個(gè)節(jié)點(diǎn)傳遞了一個(gè)預(yù)備消息，則節(jié)點(diǎn)將進(jìn)入準(zhǔn)備階段并廣播準(zhǔn)備消息。副本節(jié)點(diǎn)在發(fā)送準(zhǔn)備消息過程中，也會收到其他階段廣播的準(zhǔn)備消息并進(jìn)行驗(yàn)證，如果驗(yàn)證通過，則進(jìn)入響應(yīng)階段。

3）響應(yīng)回復(fù)階段。節(jié)點(diǎn)進(jìn)入響應(yīng)階段后，節(jié)點(diǎn)將驗(yàn)證信息并將結(jié)果提供回主節(jié)點(diǎn)。

4）節(jié)點(diǎn)更新階段。如果主節(jié)點(diǎn)收到超過2f+ 1 的確認(rèn)信息，主節(jié)點(diǎn)將確認(rèn)結(jié)果提供給所有節(jié)點(diǎn)（包括候選節(jié)點(diǎn)），并更新所有節(jié)點(diǎn)的分?jǐn)?shù)。如果節(jié)點(diǎn)確認(rèn)結(jié)果與最終共識結(jié)果一致，則該節(jié)點(diǎn)的分?jǐn)?shù)+1；如果確認(rèn)結(jié)果與最終結(jié)果不一致，則該節(jié)點(diǎn)的分?jǐn)?shù)-5。候選節(jié)點(diǎn)群和共識節(jié)點(diǎn)群的節(jié)點(diǎn)每50 個(gè)請求將更新一次，得分最低的m個(gè)節(jié)點(diǎn)將從共識節(jié)點(diǎn)群中刪除并附加到候選列表的末尾；候選節(jié)點(diǎn)群中得分最高的m個(gè)節(jié)點(diǎn)將被加到共識節(jié)點(diǎn)群中，并對這些節(jié)點(diǎn)重新隨機(jī)編號。

2 方案設(shè)計(jì)

本文基于區(qū)塊鏈的醫(yī)療數(shù)據(jù)共享方案流程如圖3所示。數(shù)據(jù)發(fā)送者使用其私鑰skdr、數(shù)據(jù)產(chǎn)生者的私鑰pkds和條件摘要wi對醫(yī)療數(shù)據(jù)加密，生成醫(yī)療數(shù)據(jù)密文Cm，并把生成的密文Cm= (c1,c2,c3,c4,c5,c6)發(fā)送給云服務(wù)器。在數(shù)據(jù)產(chǎn)生者與數(shù)據(jù)發(fā)送者產(chǎn)生交互生成醫(yī)療數(shù)據(jù)時(shí)，數(shù)據(jù)發(fā)送者選擇條件摘要，通過一系列計(jì)算生成條件摘要密文Cw= (M,N,O1,O2,…,On)，并將其發(fā)送給聯(lián)盟區(qū)塊鏈。當(dāng)數(shù)據(jù)請求者想要獲得醫(yī)療數(shù)據(jù)時(shí)，將向聯(lián)盟區(qū)塊鏈生成搜索陷門TS= (TS1,TS2,TS3)。聯(lián)盟區(qū)塊鏈上運(yùn)行Test 算法，判斷是否匹配，如果匹配成功，則將匿名身份AIDi返回給數(shù)據(jù)請求者，否則，終止交易。云服務(wù)器收到數(shù)據(jù)發(fā)送者傳來的RK 后，將對其進(jìn)行重加密，生成重加密密文C′m= (c′1,c′2,c′3,c′4,c′5,c′6)。數(shù)據(jù)請求者收到聯(lián)盟區(qū)塊鏈發(fā)送的C′m，使用自己的私鑰嘗試解密，解密成功，將返回原始明文m，否則，終止交易。具體地，將條件代理重加密下的區(qū)塊鏈醫(yī)療數(shù)據(jù)共享與保護(hù)方案分為4 個(gè)階段：系統(tǒng)初始化、數(shù)據(jù)存儲、索引生成和數(shù)據(jù)共享。

圖3 基于條件代理重加密的數(shù)據(jù)共享流程圖

2.1 系統(tǒng)初始化

本階段可分為兩個(gè)步驟：參數(shù)生成和密鑰生成。

1）參數(shù)生成。指定安全參數(shù)γ，密鑰生成中心選擇雙線性對e:G1×G1→GT，其中G1、GT是具有相同素?cái)?shù)階p的循環(huán)群，g是G1的生成元。設(shè)置h=e(g,g)，選擇g作為系統(tǒng)密鑰。密鑰生成中心選擇4 種哈希函數(shù)，分別為：H1：{0,1}*→G1，H2：{0,1}*×G1×G1→G1，。最后把系統(tǒng)參數(shù)設(shè)置為SP ={p,g,e,G1,GT,H1,H2,H3}。

2.2 數(shù)據(jù)存儲

原始醫(yī)療數(shù)據(jù)m在數(shù)據(jù)產(chǎn)生者前往醫(yī)院生成，這里數(shù)據(jù)產(chǎn)生者的身份是匿名的，各級醫(yī)院中心服務(wù)器通過計(jì)算AIDi=H4(RIDi)生成，其中RIDi為數(shù)據(jù)發(fā)送者的真實(shí)身份。數(shù)據(jù)發(fā)送中心服務(wù)器使用自己的pkds、數(shù)據(jù)請求者的私鑰skdr和條件摘要wi對醫(yī)療數(shù)據(jù)加密。隨機(jī)選擇，通過計(jì)算得到醫(yī)療數(shù)據(jù)密文Cm= (c1,c2,c3,c4,c5,c6)。

2.3 索引生成

以各級醫(yī)院組成的數(shù)據(jù)發(fā)送者為原始醫(yī)療數(shù)據(jù)，選擇條件摘要集W={w1,w2,…,wn}，同時(shí)選擇兩個(gè)隨機(jī)值，計(jì)算，則Oi=bhi+afi，其中i介于1 和n之間。通過以上計(jì)算可以得到條件摘要密文Cw=(M,N,O1,O2,…,On)。 數(shù)據(jù)發(fā)送者將數(shù)據(jù)包μ1=發(fā)送到云服務(wù)器，文件的地址將從云服務(wù)器發(fā)送給區(qū)塊鏈。同時(shí)，數(shù)據(jù)發(fā)送者向區(qū)塊鏈發(fā)送數(shù)據(jù)包，其中Sigds是數(shù)據(jù)發(fā)送者的簽名。

2.4 數(shù)據(jù)共享

本階段可分為三個(gè)步驟：條件摘要搜索、數(shù)據(jù)訪問、數(shù)據(jù)解密。

2.4.1 條件摘要搜索

經(jīng)過上一輪條件摘要集的選擇，數(shù)據(jù)發(fā)送者將生成條件摘要集Φ= (Φ1,Φ2,…,Φn)并為數(shù)據(jù)請求者生成搜索陷門。

2）條件搜索。數(shù)據(jù)請求者得到條件搜索陷門后，向聯(lián)盟區(qū)塊鏈節(jié)點(diǎn)提取安全索引并搜索條件摘要，找到患者的偽身份AIDi。

2.4.2 數(shù)據(jù)訪問

當(dāng)數(shù)據(jù)請求者獲得數(shù)據(jù)產(chǎn)生者的偽身份AIDi后，將發(fā)送數(shù)據(jù)包給聯(lián)盟區(qū)塊鏈用于訪問數(shù)據(jù)產(chǎn)生者的賬戶地址Addressi。數(shù)據(jù)發(fā)送者收到請求通知后，授權(quán)給數(shù)據(jù)請求者，并在數(shù)據(jù)發(fā)送中心服務(wù)器上生成重加密密鑰RK = (RK1,RK2)。其中，RK1=，將重加密密鑰RK 發(fā)送到云服務(wù)器，云服務(wù)器收到重新加密的密鑰RK 后，將對RK 進(jìn)行重加密生成重加密密文C′m。具體過程如下：

1）將初始加密的密文Cm解析為(c1,c2,c3,c4,c5,c6)，把RK 解析為(RK1,RK2)。

4）如果步驟2）和步驟3）都是相等的，云服務(wù)器則會計(jì)算：

根據(jù)以上步驟可以得到代理重加密密文C′m=(c′1,c′2,c′3,c′4,c′5,c′6)。

2.4.3 數(shù)據(jù)解密

云服務(wù)器將代理重加密密文C′m發(fā)送給數(shù)據(jù)請求者，數(shù)據(jù)請求者使用自己的私鑰skdr對密文進(jìn)行解密，得到醫(yī)療原始數(shù)據(jù)。解密步驟可以表示為：

如果步驟1）和步驟2）都恒成立，那么計(jì)算得到的醫(yī)療原始數(shù)據(jù)m是正確的，否則，操作將停止。

3 性能評估

本文加密方案使用Java 語言，在具有3.1 GHz CPU，4 GB RAM 以及Windows 10 操作系統(tǒng)上實(shí)現(xiàn)。私有測試區(qū)塊鏈在虛擬機(jī)上進(jìn)行構(gòu)建，原始數(shù)據(jù)通過solidity 寫入智能合約，并上傳到以太網(wǎng)區(qū)塊鏈上。

3.1 通信開銷對比

表1 通信開銷對比

3.2 計(jì)算開銷對比

本文方案的系統(tǒng)注冊階段使用BuildSystem 算法模擬，數(shù)據(jù)生成算法DateGen 用于生成原始醫(yī)療數(shù)據(jù)，CondInGen 算法負(fù)責(zé)生成可搜索的條件摘要密文Cw，數(shù)據(jù)請求者從數(shù)據(jù)發(fā)送者那里獲取條件搜索陷門TS，并在CondwordSearch 算法中進(jìn)行Test 算法匹配測試，重加密密鑰和重加密密文分別由ReKeyGen 和ReEnc 算法生成，重加密密文通過Dec 算法進(jìn)行解密。由于某些算法的計(jì)算開銷與條件摘要的數(shù)量有關(guān)，所以分別設(shè)置n=10、n=50 和n=100 來對比算法的時(shí)間開銷，取60 次所得結(jié)果分別計(jì)算上述算法的最大時(shí)間、最小時(shí)間以及平均時(shí)間。

從圖4 可以看出，數(shù)據(jù)生成、條件摘要生成以及重加密生成算法隨著條件摘要數(shù)量的增加，算法的時(shí)間開銷也隨著增大，這是因?yàn)檫@些算法都包含著條件摘要，條件摘要數(shù)量的增加勢必會影響到系統(tǒng)的時(shí)間開銷。但是從圖5 卻看到系統(tǒng)注冊、加密以及解密算法的時(shí)間開銷由于和條件摘要值并不直接關(guān)聯(lián)，所以受到條件摘要的影響很小。由圖5b）、圖5c）可以發(fā)現(xiàn)，本文方案的加解密平均時(shí)間開銷分別在30 ms 和40 ms 左右，數(shù)據(jù)請求者可以很容易快速獲取醫(yī)療數(shù)據(jù)。

圖4 數(shù)據(jù)、條件摘要以及重加密密鑰生成時(shí)間對比

圖5 系統(tǒng)注冊、加密以及解密時(shí)間對比

4 結(jié) 語

本文提出了代理重加密技術(shù)下的區(qū)塊鏈醫(yī)療數(shù)據(jù)共享方案，該方案是基于聯(lián)盟鏈構(gòu)建的，在聯(lián)盟鏈上提出了改進(jìn)的拜占庭共識機(jī)制，支持動(dòng)態(tài)更新，提高了共識效率。數(shù)據(jù)發(fā)送方將產(chǎn)生的敏感醫(yī)療數(shù)據(jù)加密后發(fā)送到云服務(wù)器上進(jìn)行存儲，減輕了聯(lián)盟區(qū)塊鏈的存儲壓力。同時(shí)，數(shù)據(jù)發(fā)送方通過在醫(yī)療數(shù)據(jù)中選取條件摘要并加密存儲到區(qū)塊鏈上，以供數(shù)據(jù)請求者快速搜索定位到數(shù)據(jù)產(chǎn)生者文件地址。數(shù)據(jù)請求者通過自己的私鑰結(jié)合云服務(wù)器上產(chǎn)生的代理重加密密鑰對醫(yī)療數(shù)據(jù)密文進(jìn)行解密。最后對本文方案進(jìn)行了數(shù)值模擬分析，實(shí)驗(yàn)表明本文方案整體性能得到了提高。