關(guān)鍵詞：智能合約；訪問(wèn)控制；電子健康記錄（EHRs） ；智慧康養(yǎng)；醫(yī)療信息系統(tǒng)

0 引言

通過(guò)身體可穿戴設(shè)備和無(wú)線傳感器網(wǎng)絡(luò)（WSNs） ，醫(yī)療信息系統(tǒng)可以獲得精細(xì)化的個(gè)人電子健康記錄（EHRs） 。在智慧康養(yǎng)的大背景下，EHRs中包含全面、多層次的健康監(jiān)測(cè)信息，醫(yī)生或?qū)＜铱梢苑治龌颊叩慕】弟壽E，做出科學(xué)和合理的診斷。EHRs普遍用于配藥、疾病診斷、科學(xué)研究等多個(gè)醫(yī)療場(chǎng)景[1]。為了最大限度利用患者的EHRs，不同醫(yī)療機(jī)構(gòu)之間EHRs交換和共享是不可避免的。雖然個(gè)人EHRs的收集、共享和分析對(duì)個(gè)人醫(yī)療和流行病預(yù)防至關(guān)重要，但是在數(shù)據(jù)存儲(chǔ)和共享方面仍存在許多關(guān)于EHRs保密性和訪問(wèn)控制的問(wèn)題[2]。數(shù)據(jù)所有者失去了對(duì)數(shù)據(jù)管理的權(quán)限，從而很難保護(hù)個(gè)人隱私。因此，研究如何實(shí)現(xiàn)個(gè)體中心的細(xì)粒度數(shù)據(jù)訪問(wèn)控制是有意義的。目前，基于公鑰密碼學(xué)的方案被廣泛應(yīng)用于訪問(wèn)控制和數(shù)據(jù)交換。橢圓曲線密碼學(xué)（ECC） 被用在VANETs中來(lái)實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)控制的保密性。非對(duì)稱加密還與邊緣計(jì)算相結(jié)合，實(shí)現(xiàn)跨域消息交換。密文策略屬性加密（CP-ABE） [3]是實(shí)現(xiàn)細(xì)粒度訪問(wèn)控制最合適的方法，因?yàn)樗试S數(shù)據(jù)所有者定義數(shù)據(jù)的訪問(wèn)規(guī)則。然而，CP-ABE存在一些固有缺點(diǎn)，例如依賴復(fù)雜的雙線性映射運(yùn)算以及生成大尺寸的密文。基于角色的訪問(wèn)控制（RBAC） [4]和基于屬性的訪問(wèn)控制（ABAC） 模型[5]是最常用的模型，但是這些模型依賴于半信任的權(quán)限驗(yàn)證器，并且缺乏跟蹤和審計(jì)惡意行為的能力。目前智能合約因具有透明性和不可變更性，為改善數(shù)據(jù)訪問(wèn)控制的可靠性提供了一種前景廣闊的方法。

1 相關(guān)工作

區(qū)塊鏈技術(shù)為構(gòu)建安全、可靠的醫(yī)療信息系統(tǒng)提供了一種新穎的解決方案，可用于電子健康記錄（EHRs） 的存儲(chǔ)和安全共享。在文獻(xiàn)[6]中，作者提出了一種去中心化的存儲(chǔ)架構(gòu)，該存儲(chǔ)架構(gòu)利用Hyperledger-fabric和可擴(kuò)展的星際文件系統(tǒng)（IPFS） 來(lái)實(shí)現(xiàn)電子健康記錄的可靠存儲(chǔ)。但是該方案并未考慮到隱私保護(hù)，沒(méi)有采用任何針對(duì)EHRs的隱私保護(hù)方法。為了提高醫(yī)療系統(tǒng)的安全性，Wang等人[7]提出了一種基于區(qū)塊鏈的醫(yī)療系統(tǒng)，該系統(tǒng)與無(wú)線體域網(wǎng)絡(luò)（WBAN） 相互作用，通過(guò)Zigbee網(wǎng)絡(luò)將病人身上的傳感器連接到醫(yī)院的信息中心，進(jìn)一步利用區(qū)塊鏈作為數(shù)據(jù)傳輸和存儲(chǔ)方法。為了解決個(gè)人EHRs共享服務(wù)中缺乏安全性和可靠性的問(wèn)題，Zhang等人[8]提出了一種區(qū)塊鏈輔助的數(shù)據(jù)共享框架（BHDSF） 以提供細(xì)粒度的訪問(wèn)控制和高效的密文檢索。然而，該方案包含了大量的雙線性映射操作，這將導(dǎo)致大量的計(jì)算資源消耗。Guo等人[9]提出了一種使用基于屬性的訪問(wèn)控制（ABAC） 模型和圖靈完備智能合約的細(xì)粒度數(shù)據(jù)訪問(wèn)控制方案?？紤]到隱私保護(hù)，甘臣權(quán)等人[10]將同態(tài)加083f6049e6d94ddb5c4aecd886f8126d09ee16c6e08b9dc469617130a418b41d密、基于屬性的訪問(wèn)控制（ABAC） 和智能合約結(jié)合起來(lái)，設(shè)計(jì)了一個(gè)保護(hù)隱私的訪問(wèn)控制模型。此外，文獻(xiàn)[11]提出了一個(gè)基于智能合約的方案，該方案使用三種不同的訪問(wèn)控制模型整合為一個(gè)適用于物聯(lián)網(wǎng)醫(yī)療系統(tǒng)的通用框架中，上述方案并未提供一個(gè)實(shí)際的方法來(lái)整合這三種訪問(wèn)控制方案。

2 系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

如圖1所示，本文方案的系統(tǒng)架構(gòu)主要包括幾個(gè)組件，例如患者、醫(yī)療保健設(shè)備和云服務(wù)器。在這里，涉及的組件可以進(jìn)一步分為三部分：數(shù)據(jù)提供者、基于區(qū)塊鏈的訪問(wèn)控制單元和數(shù)據(jù)請(qǐng)求者，現(xiàn)對(duì)這些組件做如下簡(jiǎn)要介紹。

數(shù)據(jù)提供者主要由以下組成部分構(gòu)成：1） 患者是電子健康記錄（EHRs） 的真實(shí)擁有者，將被授予管理其醫(yī)療記錄的權(quán)力。2） 智能醫(yī)療設(shè)備是可穿戴和便攜式設(shè)備，它們被部署用來(lái)監(jiān)測(cè)患者的生理信息。3） 在本文的方案中，醫(yī)院不僅包括公立醫(yī)院，還包括私立醫(yī)療機(jī)構(gòu)。實(shí)際上，電子健康記錄（EHRs） 是由醫(yī)院自行維護(hù)與保存的。

數(shù)據(jù)存儲(chǔ)和訪問(wèn)控制模塊由以下部分構(gòu)成：1） 云服務(wù)器可以分為由醫(yī)療機(jī)構(gòu)維護(hù)私有云和由政府維護(hù)的公共云，云服務(wù)器被部署用來(lái)存儲(chǔ)和管理來(lái)自數(shù)據(jù)提供者的加密電子健康記錄（EHRs） 。2） 區(qū)塊鏈可以用來(lái)將數(shù)據(jù)請(qǐng)求者的訪問(wèn)請(qǐng)求轉(zhuǎn)換為區(qū)塊鏈交易，便于對(duì)惡意行為進(jìn)行審計(jì)，考慮到隱私保護(hù)，本文采用聯(lián)盟區(qū)塊鏈作為底層區(qū)塊鏈平臺(tái)。

數(shù)據(jù)請(qǐng)求者主要包括以下角色：1） 醫(yī)療機(jī)構(gòu)可能需要從其他合作機(jī)構(gòu)請(qǐng)求電子健康記錄（EHRs） ，醫(yī)療保健機(jī)構(gòu)通常需要從不同機(jī)構(gòu)獲取同一患者的醫(yī)療保健信息，以便于進(jìn)行有效診斷。2） 藥劑師和研究人員可能需要獲取診斷和治療記錄以便進(jìn)行藥物選擇和病理研究。

2.1 系統(tǒng)實(shí)現(xiàn)

在該方案中，設(shè)計(jì)了三種基于智能合約的方法來(lái)實(shí)現(xiàn)醫(yī)療系統(tǒng)中數(shù)據(jù)所有者和請(qǐng)求者之間的訪問(wèn)控制。這種訪問(wèn)控制范式基于RBAC，它能夠準(zhǔn)確地將用戶角色與特定訪問(wèn)權(quán)限相關(guān)聯(lián)。因此，本章從權(quán)限設(shè)置和訪問(wèn)匹配兩個(gè)方面詳細(xì)闡述這一過(guò)程。

1） 權(quán)限設(shè)置：為了提供靈活的數(shù)據(jù)訪問(wèn)控制，該方案允許數(shù)據(jù)所有者通過(guò)智能合約定義電子健康記錄EHRs的訪問(wèn)規(guī)則。為了實(shí)現(xiàn)細(xì)粒度的隱私保護(hù)，本文將醫(yī)療記錄R中的屬性轉(zhuǎn)換為JSON格式的元組（I，P，D），其中I是個(gè)人信息部分（如姓名、年齡、地址），P代表生理測(cè)量數(shù)據(jù)（如心率、脈搏、血壓），D是診斷結(jié)果。該方案允許數(shù)據(jù)所有者對(duì)電子健康記錄EHRs 中包含的個(gè)人信息進(jìn)行加密，以保護(hù)隱私。需要注意的是，使用對(duì)稱加密算法（即AES） 來(lái)加密醫(yī)療記錄，即Ens（sk，R） → CT（R）。圖2 展示了EHRs 的一般結(jié)構(gòu)，包括明文和密文格式。此外，我們?cè)O(shè)計(jì)了一個(gè)智能合約角色權(quán)限管理合約RPMC（Roles PermissionManagement Contract，RPMC） 以實(shí)現(xiàn)對(duì)系統(tǒng)角色的細(xì)粒度權(quán)限設(shè)置，相應(yīng)的處理流程可以描述為以下步驟：

（1） Ei （健康監(jiān)測(cè)數(shù)據(jù)擁有者）構(gòu)建權(quán)限設(shè)置請(qǐng)求PS（Ei ） = {FileId： < #FD > ，Rights：[ < Role ? （i，p，d） >]（1 ???n） }，其中FileId 是醫(yī)療記錄R 的唯一標(biāo)識(shí)，Rights ∈ PS（Ei ） 代表系統(tǒng)角色的相應(yīng)權(quán)限。此外，PS（Ei）可以格式化為JSON，i ∈ Rights（pord）表示角色Role對(duì)R中的I（PorD）部分的訪問(wèn)權(quán)限。

（2） PS（Ei）將作為輸入?yún)?shù)提交給setFilePermission（?） 方法（算法1） ，在算法1 中，定義一個(gè)映射變量FilesRoleAccess =< FileId ? （Role，Permission）（1 ???n） >來(lái)維護(hù)角色與權(quán)限之間的關(guān)系（第3行）。

（3） PS（Ei） 迭代輸入數(shù)據(jù)集以初始化映射變量FilesRoleAccess且FilesRoleAccess將作為區(qū)塊鏈交易被存儲(chǔ)（第12-13行），從而可以對(duì)醫(yī)療記錄R的訪問(wèn)權(quán)限進(jìn)行細(xì)粒度設(shè)置。

2） 訪問(wèn)匹配：當(dāng)Ei （電子健康記錄請(qǐng)求者）提交Req = {Role，F(xiàn)ileId，Sig，TS（now） }訪問(wèn)請(qǐng)求時(shí)，將調(diào)用權(quán)限驗(yàn)證程序AccessReq（Role，F(xiàn)ileId） 來(lái)執(zhí)行訪問(wèn)匹配操作，相應(yīng)的工作流程如圖3所示。該算法的后續(xù)步驟可以描述如下：

（1）RMC.VerifyRoleByPubk（Role，Pubk（Ei ） ）被AccessReq（?）用以調(diào)用定義的智能合約ABI，使用公鑰Pubk（Ei ） 進(jìn)行查詢定義的分布式賬本RolesLedger，確認(rèn)Ei 的系統(tǒng)角色是否為Role。（2） 在Req.{Role}被驗(yàn)證之后，為了獲取Ei 訪問(wèn)權(quán)限AccessReq（?） 會(huì)調(diào)用方法RPMC.getFilePermission（?），以便訪問(wèn)帶有FileId 標(biāo)識(shí)的記錄。（3） AccessReq（?）通過(guò)對(duì)象序列化方法，進(jìn)一步將調(diào)用智能合約RPMC的結(jié)果轉(zhuǎn)換為JSON格式的憑證Proof（access），并將它返回給調(diào)用者。

RPMC 使用方法getFilePermission（?） 提供權(quán)限查詢服務(wù)。該方法接收FileId和Role作為輸入?yún)?shù)。該方法調(diào)用權(quán)限分類賬本FilesRoleAccess來(lái)獲取對(duì)應(yīng)的數(shù)據(jù)訪問(wèn)權(quán)限，具體過(guò)程如下所示：H（FileId） → Fid，F(xiàn)ilesRoleAccess[Fid] → RoleAccess。之后，程序?qū)⑦M(jìn)一步迭代RoleAccess來(lái)搜索與Role相對(duì)應(yīng)的權(quán)限對(duì)象perm，然后將匹配的權(quán)限perm返回給方法調(diào)用者，將上述過(guò)程總結(jié)為算法2。

此外，RPMC.obtainFile（?）的設(shè)計(jì)目的是根據(jù)Ei 的訪問(wèn)權(quán)限來(lái)處理目標(biāo)醫(yī)療記錄。obtainFile（?） 接收Proof（access） 和FileId作為輸入?yún)?shù)，以實(shí)現(xiàn)基于角色的訪問(wèn)控制，相應(yīng)的程序可以描述為以下步驟：

（1） 驗(yàn)證Proof（access） = {FileId，Rights： < i，p，d > ，Sig }并提交給云服務(wù)器以獲取目標(biāo)記錄CT（R）。（2） 迭代Rights ←< i，p，d > 來(lái)設(shè)置CT（R） 的可見(jiàn)性。若Rights.{I} == 0，使用哈希函數(shù)將CT（R） 中的單個(gè)字段設(shè)置為不可見(jiàn)。如果Rights.{I} == 1則表示CT（R） 中的生理信息可以向Ei 展示。需要注意的是，obtainFile（?）對(duì)加密的電子健康記錄EHRs執(zhí)行操作，確保個(gè)人隱私。（3） Ei 通過(guò)調(diào)用RPMC.obtainFile（?）獲得處理后的EHR CT*（R），并通過(guò)安全通道從DO請(qǐng)求解密密鑰sk- - ---DO。Ei解密CT*（R）中的字段作為Dec（sk- - ---DO，Section ∈ CT*（R） ）。由于智能合約RPMC.obtainFile（?）對(duì)CT（R） 中Ei 無(wú)法訪問(wèn)的字段進(jìn)行哈希處理，意味著原始密文被哈希值所替換。因此，這些字段在解密過(guò)程中無(wú)法被實(shí)體Ei 獲取，保障了數(shù)據(jù)的機(jī)密性。

3 系統(tǒng)實(shí)現(xiàn)

測(cè)試方案依托于自建的集群設(shè)備，系統(tǒng)使用以太坊和Docker 2.0在兩臺(tái)臺(tái)式電腦（Intel（R） Core（TM） i5-11300H 3.10 GHz，RAM 16 GB） 的基礎(chǔ)上構(gòu)建了一個(gè)包含10個(gè)對(duì)等節(jié)點(diǎn)的區(qū)塊鏈網(wǎng)絡(luò)。原型系統(tǒng)由一個(gè)物聯(lián)網(wǎng)支持的健康感知模塊、基于區(qū)塊鏈的訪問(wèn)控制框架和云數(shù)據(jù)處理服務(wù)組成。此外，系統(tǒng)還提供了一個(gè)基于Node.js的區(qū)塊鏈訪問(wèn)服務(wù)，為調(diào)用已部署的智能合約提供接口。系統(tǒng)利用傳感器設(shè)備（即MAX30102心率信號(hào)傳感器）來(lái)采集用戶的心率數(shù)據(jù)，通過(guò)程序進(jìn)行接收和處理，實(shí)現(xiàn)了設(shè)備終端與用戶的交互作用（如圖4所示）。

用戶通過(guò)使用傳感器生成個(gè)人的心率監(jiān)測(cè)數(shù)據(jù)，數(shù)據(jù)采集完成后，通過(guò)數(shù)據(jù)串口通信，將Ardunio端的感知數(shù)據(jù)上傳至上位機(jī)服務(wù)程序，確保了健康感知數(shù)據(jù)的質(zhì)量與可用性。此外，本文將從云服務(wù)的部署、智能合約代理服務(wù)部署、數(shù)據(jù)權(quán)限控制模塊以及數(shù)據(jù)訪問(wèn)共享模塊闡述系統(tǒng)的功能實(shí)現(xiàn)。

1） 云服務(wù)的部署：云數(shù)據(jù)處理服務(wù)，旨在實(shí)現(xiàn)電子健康記錄（EHRs） 及其相應(yīng)訪問(wèn)權(quán)限文件的存儲(chǔ)。在這個(gè)原型中，我們采用HTTP協(xié)議和第三方網(wǎng)絡(luò)庫(kù)來(lái)構(gòu)建RESTful API。通過(guò)這些已部署的API，醫(yī)療記錄和訪問(wèn)控制策略可以被同步到區(qū)塊鏈并存儲(chǔ)在云服務(wù)器上，圖5展示了云服務(wù)的運(yùn)行狀態(tài)。

2） 合約代理服務(wù)：訪問(wèn)控制框架由智能合約（即RMC、RPMC） 和區(qū)塊鏈代理服務(wù)組成。由于該以太坊框架中的智能合約只能由基于Web3.js的JavaScript 程序調(diào)用，系統(tǒng)進(jìn)一步采用Web3.js智能合約通信庫(kù)，調(diào)用部署的智能合約執(zhí)行數(shù)據(jù)存儲(chǔ)和檢索服務(wù)。

3） 權(quán)限控制模塊：一旦數(shù)據(jù)采集完成，系統(tǒng)能夠通過(guò)上位機(jī)軟件對(duì)數(shù)據(jù)進(jìn)行確認(rèn)和分析，并根據(jù)需要進(jìn)行角色的權(quán)限設(shè)置（如圖6所示），從而確保數(shù)據(jù)的安全性和受限訪問(wèn)。

4） 數(shù)據(jù)訪問(wèn)共享模塊：智能合約RPMC由Solidity 語(yǔ)言編寫(xiě)被部署與以太坊（Ethereum） 中，執(zhí)行數(shù)據(jù)訪問(wèn)權(quán)限的寫(xiě)入和讀取操作（如圖7所示）。系統(tǒng)通過(guò)Web瀏覽器進(jìn)行健康數(shù)據(jù)進(jìn)行訪問(wèn)。

作品使用8080端口作為通信端口，具體訪問(wèn)路徑為：http：//127.0.0.1：8080/obtainFile？role=？&fileid=？。role 標(biāo)簽的選取取決于訪問(wèn)角色，不同role標(biāo)簽將導(dǎo)向不同的數(shù)據(jù)內(nèi)容，這表示用戶可以根據(jù)具體需求，定制化地訪問(wèn)和獲取健康數(shù)據(jù)的權(quán)限。fileid參數(shù)則對(duì)應(yīng)于所需獲取的數(shù)據(jù)記錄ID。圖8是相同數(shù)據(jù)ID下不同用戶角色的數(shù)據(jù)訪問(wèn)結(jié)果，個(gè)人信息對(duì)主治醫(yī)生進(jìn)行公開(kāi)，對(duì)藥劑師公開(kāi)診斷信息和生理監(jiān)測(cè)數(shù)據(jù)，而對(duì)于外部研究人員只公開(kāi)診斷信息。

通過(guò)上述訪問(wèn)控制方案，系統(tǒng)不僅能夠確保數(shù)據(jù)的精確檢索還能夠?qū)Ρ辉L問(wèn)數(shù)據(jù)的安全性進(jìn)行有效控制。

4 結(jié)束語(yǔ)

本文設(shè)計(jì)了一個(gè)基于智能合約的訪問(wèn)控制方案以用于醫(yī)療信息系統(tǒng)中電子健康記錄（EHRs） 。本文將ABAC模型與智能合約相結(jié)合，構(gòu)建了基于屬性機(jī)制的用戶角色設(shè)置機(jī)制。其次，將基于RBAC的訪問(wèn)控制模型與腳本驅(qū)動(dòng)的訪問(wèn)控制策略相結(jié)合，實(shí)現(xiàn)了以用戶為中心的數(shù)據(jù)訪問(wèn)控制。最后，我們開(kāi)發(fā)了基于訪問(wèn)控制框架的原型系統(tǒng)，并進(jìn)一步評(píng)估該系統(tǒng)的功能和性能優(yōu)勢(shì)。