摘要根据医疗行业现状,不难发现各医疗机构间共享数据困难,因为医疗数据的校验、保存和同步一直是一个难点.病人、医生以及研究人员在访问和共享医疗数据时存在严格的限制,这一过程需要花费大量的资源和时间用于权限审查和数据校验.本文提出一个基于区块链的医疗数据共享模型,具有去中心化、安全可信、集体维护、不可篡改等特点,适用于解决各医疗机构数据共享的难题.本文详细介绍了模型的组件以及实现原理.将现有医疗机构进行分类,配合使用改进的共识机制实现了方便、安全、快捷的数据共享.此外,通过对比医疗数据共享存在的问题,分析了本模型的优势以及带来的影响.
关键词医疗数据,区块链,共识机制,共享模型
目前全球解决医疗健康信任问题的应用很少,主要由于医疗记录的校验、保存和同步一直是一个难点.当病人、医生在访问和共享医疗数据的时候会受到严格的限制,需要花费大量的资源和时间进行权限审查和数据校验.这使得用户获得医疗数据十分困难,每次使用时需要向类似于健康信息交易所(Healthinformationexchange,HIE)和全员人口数据库(APCD)这样的组织机构提交申请.整个响应过程存在很多问题,例如响应缓慢、数据可被篡改、数据传输不安全等.这些都严重阻碍了智慧医疗和医疗大数据的发展.
截止到2015年,至少有10%的医疗记录实现了电子化存储,较2008年有90%的增长l](图1).2011年全部类别的医院超过20%都开始建设基础的电子健康记录系统(Electronichealthrecordsystem,EHRS)(图2).这说明医疗数据信息化已经相对成熟,例如类似于EHRS的还有医院信息系统(Hospitalinformationsystem,HIS)、放射科信息管理系统(Radioinformationmanagementsystem,RIS)、医学数字成像和通信系统(Digitalimagingandcommunications,DICOM)、影像归档和通信系统(Picturearchivingandcommunicationsystem,PACS).这些系统都被设计用来解决医疗信息存储和共享等问题.然而区块链技术的诞生,改变了这种医疗数据集中存储,需通过组织机构完成权限审查和数据校验的结构,提出了一种可去除中间机构、增加数据安全性、节约时间和成本的全新模式.
区块链技术[2l可以帮助医生、病人和研究人员快速安全地认证权限,实现自由的数据访问和分享.
因此,目前区块链在医疗领域的应用和研究备受关注,世界上许多公司和研究机构均参与其中.位于瑞士的Healthbank公司是全球数字健康的创新者,通过区块链采用透明化的方式处理健康系统的事务,保证了健康数据存储的绝对安全].GemHealth联手飞利浦区块链实验室构建了一个包含区块链的健康生态系统,推动全球医疗一体化,使得医疗健康更加个性化和平民化[.飞利浦医疗与Tierion公司成立新的科研项目,研究区块链技术是否可以增加医疗健康产业中数据交换的价值.Bithealth机构研究如何采用区块链记录和认证全球的医疗健康数据.
本文介绍和设计了一个基于区块链的医疗数据分享模型(Medicaldatasharemodel,MDSM),帮助解决医疗数据存储集中、安全共享难、数据可信度过度依赖组织机构等问题.实现去中心化、安全、不可篡改的医疗数据分享。该模型的主要特点有:
1)医疗机构联盟服务器群(Medicalinstitutionfederateservers,MIFS)和审计联盟服务器群(Au-ditingfederateservers,AFS):根据医疗资源分布的现状可以发现,主要的医疗信息服务和主要的数据存储节点都部署在大医院或者核心医疗机构.因此可以将医疗机构划分等级,高等级的机构节点加人MIFS成为代理,第二等级的机构加入AFS作为审计校验的节点.模型中采用改进的股份授权证明机制(Delegateproofofstake,DPOS)实现节点之间的共识.
2)医疗记录存储结构:自定义一套层级存储结构,可以高效方便地传播.最后将所有数据的Merkle根锚定到比特币区块链,实现真正的不可篡改和不可抵赖.
3)分布式数据库系统(Distributeddatabasesystem,DDBS):医疗数据文件将加密存储在数据库中,解决了数据集中存储在各个医疗机构的数据服务器上的问题,同时也减轻了区块链上的数据存储和高频访问的压力.
本文内容安排如下:第1节介绍基于区块链的医疗领域的研究情况以及相关技术介绍;第2节详细阐述医疗数据共享模型的各环节;第3节通过与现有问题的对照以及其他模型的比较进行模型评估.第4节对本文工作的总结和展望.
相关期刊推荐:《自动化学报》是由中国科学院主管,中国自动化学会、中国科学院自动化研究所共同主办的高级学术期刊。本刊于1963年创刊,1966年停刊,1979年复刊,现为大16开本,月刊,每期112页。科学出版社与Elsevier合作出版,国内外公开发行。刊载自动化科学与技术领域的高水平理论性和应用性的科研成果,内容包括:1)自动控制;2)系统理论与系统工程;3)自动化工程技术与应用;4)自动化系统计算机辅助技术;5)机器人;6)人工智能与智能控制;7)模式识别与图象处理;8)信息处理与信息服务;9)基于网络的自动化等。学报编辑委员会由世界各地自动化领域的权威学者组成,编辑部设在中国科学院自动化研究所[2]。
1相关工作
目前,关于区块链的研究很多,但结合医疗领域的研究相对较少,方向主要有医疗信息保护、医疗支付、医疗数据应用、医疗数据存储分享、医疗信息交易、预测分析等.区块链技术的快速发展引起了政府部门、金融机构、企业和资本市场的广泛关注.为推动区块链技术和产业发展,国务院工业和信息化部信息化和软件服务业司指导中国电子技术标准化研究院,联合蚂蚁金融云、万向控股、微众银行等骨干企业,开展区块链技术和应用发展趋势专题研究,发布了《中国区块链技术和应用发展白皮书(2016)》5].Lvan等提出了一个基于区块链安全存储病人医疗记录的方法1问.Shrier等提出采用美国麻省理工学院的OPAL/Enigma加密平台,配合区块链技术可以创建一个用于存储和分析医疗数据的安全环境[.Kuo等采用区块链私链网络技术,创建了一个跨机构的医疗健康预测模型(8).Ekblaw等提出一个新颖的去中心化电子病历管理系统9l.还有一些研究对使用区块链存储电子病例I9-101和健康相关事务1]进行了评估.对比发现国内区块链结合医疗领域的研究刚刚起步,国外的研究相对更多.我们创新地提出并设计了基于区块链的医疗数据共享模型.
1.1区块链和股份授权证明机制(DPOS)
目前尚未形成一个公认的区块链定义.狭义地讲,区块链是一种按照时间顺序将有效数据区块以链式形式组合而成的数据结构,并通过密码学方式保证不可篡改和不可抵赖的、可附加的去中心化共享总账fDecentralizedsharedledger).广义的区块链技术则是利用加密链式区块结构来验证与存储数据、利用分布式节点共识算法来生成和更新数据、利用自动化脚本代码(智能合约)来编程和操作数据的一种全新的去中心化基础架构与分布式计算范式[12].区块链的基本原理简单易懂,包括三个主要组件:
1)电子交易:记录账本的变化.任何类型的有效交易信息都会通过数字化或加密方式来确保准确性和真实性.
2)区块:一个存储所有交易信息的数据结构,包括区块头和区块体.
3)链:包含按时间顺序生成的区块,记录状态的改变.DPOS被称为是更有效、更去中心化、更灵活的共识机制[12].它允许所有的股东节点都具有投票权,通过公平民主的方式票选出101个权益代表.并可以在后续过程中根据代表的表现自由重投选票.有效地降低了参与记账节点的数量,实现快速共识验证.DP0S的基本工作思路是:
1)每一个股东节点都需要把票投给信任的代表.得票数最高的且愿意成为代表的前101个节点将轮流记账生成新的区块.
2)如果授权代表生产了错误的区块或者错过了签署新区块,那么将由下一个代表代替完成.并有可能被股东节点投出代表席.
3)想成为代表,需要在网上使用公钥注册一个32位的唯一编码,每一条记录的头部会引用这个标识数字.
4)每一个股东都有一个表现指示器来记录代表的行为.如果错过很多个区块的签署或者签署过错误区块,指示器会建议选取别的代表.
1.2哈希算法与Merkle树
哈希算法是一项在通信领域很基本也很重要的技术.通过数学算法将大小不一致的数据映射成固定大小的字符串.从另一个角度看,加密的哈希算法是一个单项函数,即可以很容易地计算出数据的哈希值,但反过来根据哈希值很难推算出原数据,这一特性对于区块链非常重要.Merkle树是一个基于哈希算法的数据结构,它的特点是每一个非叶子节点都是其叶子节点的哈希值[13].在点对点的网络中,可以使用Merkle树来验证数据是否被篡改或接收到的数据是否损坏.在区块链中生成的所有记录通过Merkle树的哈希过程生成唯一的Merkle根,存储在区块链的头部.
2医疗数据共享模型
医疗数据共享模型包括许多重要的组件,如图3所示.
根据医疗行业现状,我们设定用户分为不同的类型:完备级、轻量级和普通用户.其中轻量级的用户将使用网站或者移动应用查看他们的医疗数据并且可以授权或撤销数据的访问权限.我们将用户使用的客户端分为3个类型:
1)完备级客户端:存储所有记录(医疗机构可以提供接口对外服务);
2)轻量级客户端:不保存记录,需要向其他节点或者MIFS查询(医疗机构可以提供查询接口,个人用户可以完成授权等操作);
3)在线客户端:网页模式浏览,例如,用户在医疗机构就诊结束时申请数据记录上传,医院会通过完备级的客户端对MIFS申报.当用户再次就诊时可以通过轻量级客户端授权查询获得自己的历史记录.在线客户端则是为用户提供简单自查阅的服务.
行业背景研究发现,医疗大数据中心基本都建设在重点医疗机构.小规模的医疗机构一方面流量小,产生的医疗数据少;另一方面数据中心建设也不够完善,没有很强的数据处理能力.因此我们设计了MIFS和AFS两套联盟服务器群,配合使用改进的DPOS共识机制,可以有效地利用当前医疗机构现状实现去中心化、安全、快捷可追溯的医疗数据共享.此外,很多医疗数据文件体积较大,例如病人的住院记录文档、处方、医疗视频和图片等,这类数据将使用所有者的公钥加密存储在分布式数据库中.为了保证记录内容可信、未篡改,模型记录所有医疗数据的摘要并采用分层机构存储.将数据哈希值存放在Item结构中,再计算出每个Item的哈希值放人Item块结构中,这样做可以有效减少搜索空间,加快用户对记录的校验速度.
如图4所示,数据块由多个Item块构成,层层计算哈希值会得到这一数据块的Merkle根,每1分钟进行一次.由于比特币区块链采用工作量证明机制(Proofofwork,PoW),稳定在每10分钟生成一个区块,所以在模型中每10分钟冻结数据,由MIFS中的当值代表提交生成的Merkle根到比特币区块链中,形式类似=丁:提交一笔比特币交易.这样可以实现真正意义上的不可篡改,因为比特币区块链相对于我们的模型更具公信力.每个Item块都存储Iteln的哈希值以及一个头部信息(如图5),这样不仅利于每个块在点对点网络的传播,也减少了数据校验的成本.每个Iten1中可存储l0条医疗数据,每条都包含三个信息:数据所有者公钥、元数据、数据摘要.
2.1医疗数据存储机构Item和Item块
与比特币类似,在Item中存储的每条医疗数据不得大于100KB,因此在用户不愿对数据加密且数据量很小的情况下,数据摘要部分可以存储医疗数据原文.数据类型可能是一个链接、一段文本、一个小图片或者一小段检验视频等.另外当用户希望数据加密或医疗数据文件很大时,解决方案是一边计算数据摘要并将其存储在Item中,一边将文件加密存储在分布式数据库系统中.这样做使得Item中的数据摘要不仅可以对数据进行完整性校验,同时可以作为在数据库中查找数据的索引.作为绑定用户的唯一标识,公钥字段则可以很方便地查到某用户发布的数据记录以及是否拥有访问权限.元数据部分存放数据的电子资源,例如生成时间戳等信息.
2.2医疗机构联盟服务器、校验联盟服务器和改进的DPoS
现阶段我国对医疗机构的评级采用卫生部1994年印发的医疗机构基本标准))和1989年印发的《医院分级管理办法)),从硬件条件、社会效益、服务质量等多个维度进行评估,百分制评分.本模型采用这套评分体系作为评价医疗机构的依据.DPOS共识机制采用投票的方式选出101个权益代表,但这种方式应用于医疗数据共享模型有明显的问题.这样的初始化不能保证选出的权益代表是具有影响力的医疗机构,不具备提供记账、查询等服务的能力.模型改进了DPOS的初始化方法,根据现阶段国家对医疗机构的评级和信息中心的配置规模将医疗机构进行初始排名,排在前101位的信息中心被指定为MIFS中的一员,轮流负责把提交上来的请求记录到Item中并用自己的私钥签名.这类医疗机构包括高级别医院(三甲)、妇幼保健院、急救中心、高级别临床检测中心等.排在第101位之后的20位被指定为AFS,轮流校验每个被签署的区块是否真实有效.其余的医疗中心使用完备的客户端向用户提供服务.这样有效地解决了医疗数据共享模型初始化无效的问题.医疗机构排名的依据被称为信用积分,积分的高低代表了医疗机构积的综合实力,可以为负数但不能转赠和退还.MIFS和AFS中的节点对外提供服务可以增加信用积分.如果MIFS中的节点签署无效区块或者作假会丢失信用积分,积分低于阈值将被踢出MIFS,由AFS中积分较高的节点填补.同样地,AFS中的节点错误审计、作弊等也将扣除信用积分.信用积分的加入充分调动了医疗机构主动参与评审的积极性,也将成为评估医疗机构的重要依据.因为各大医疗机构本身具备很强的公信力和政府背书,同时可以方便直接地将授权的医疗数据进行处理,所以将其初始设定成101个权益代表节点是十分合理的.下面是MIFS具体工作过程:
步骤1.用户提记录请求,并提交公钥作为标识.
步骤2.某代表节点接受请求.
步骤3.某代表节点广播已接受请求.
步骤4.用户提交记录,如果不希望公开数据,使用公钥对数据进行加密.
步骤5.当值的代表节点根据用户公钥将记录添加入Item.
步骤6.当值的代表节点广播Item确认信息,并将需要上传的大文件存入分布式数据库.
步骤7.校验代表节点对记录进行校验,其他节点更新数据.
步骤8.每隔1分钟检查一下Itemblock的数量,达到10个则组成一个数据块,并计算该数据块的mertle根.
步骤9.每隔10分钟将所有新生成的数据块的merkle根锚定到比特币区块链.
步骤10.返回步骤1.
