◆潘時清 李洪進 潘桃桃

基于聯(lián)盟區(qū)塊鏈的電子病歷系統(tǒng)模型研究

◆潘時清 李洪進通訊作者潘桃桃

（遵義醫(yī)科大學醫(yī)學信息工程學院 貴州 563000）

本文通過研究聯(lián)盟區(qū)塊鏈技術(shù)，結(jié)合醫(yī)療健康信息集成規(guī)范IHE，探討對跨區(qū)域電子病歷共享模型研究方法，構(gòu)建了基于聯(lián)盟區(qū)塊鏈的電子病歷系統(tǒng)模型，設(shè)計系統(tǒng)的四個智能合約。區(qū)塊鏈存儲患者關(guān)鍵醫(yī)療和交易記錄，采用了改進的PBFT共識算法，該算法適用于P2P網(wǎng)絡(luò)且能耗較低；醫(yī)療機構(gòu)作為聯(lián)盟成員互聯(lián)互通，自動執(zhí)行智能合約，通過授權(quán)可以共享和交換患者的完整病歷信息。這個跨平臺、安全可靠的醫(yī)院間電子病歷共享模型，對醫(yī)療大數(shù)據(jù)背景下共享醫(yī)療資源和提升醫(yī)療系統(tǒng)的服務質(zhì)量有重大的現(xiàn)實意義。

電子病歷；聯(lián)盟區(qū)塊鏈；共識算法；智能合約

1 引言

電子病歷是臨床醫(yī)療信息的主要載體，包含了大量的醫(yī)療數(shù)據(jù)，目前各個醫(yī)療機構(gòu)、政府、第三方機構(gòu)等部門不能很好實現(xiàn)數(shù)據(jù)共享，而且在電子病歷中包含有患者診療的隱私健康數(shù)據(jù)信息，因此如何高效安全地進行數(shù)據(jù)共享和如何設(shè)計電子病歷共享系統(tǒng)的智能合約是實施的關(guān)鍵點和難點。采用區(qū)塊鏈技術(shù)在醫(yī)療機構(gòu)間建立聯(lián)盟區(qū)塊鏈，被授權(quán)加入?yún)^(qū)塊鏈的節(jié)點采用相同結(jié)構(gòu)來存儲和訪問數(shù)據(jù)可解決該問題。本文主要研究區(qū)塊鏈技術(shù)在醫(yī)療領(lǐng)域的應用，在醫(yī)療機構(gòu)間建立聯(lián)盟區(qū)塊鏈，并建立支持電子病歷調(diào)度的數(shù)據(jù)共享平臺，采用智能合約來表示區(qū)塊鏈上患者、醫(yī)院、病歷信息指針和患者-醫(yī)院之間的就診關(guān)系、信息如何存儲和查詢，怎樣既能保護患者隱私又能方便信息的共享。結(jié)合醫(yī)療健康信息集成規(guī)范對醫(yī)院間電子病歷互訪機制建模，區(qū)塊鏈存儲患者關(guān)鍵醫(yī)療和交易記錄。醫(yī)院作為聯(lián)盟成員互聯(lián)互通，自動執(zhí)行智能合約，通過授權(quán)共享患者完整病歷信息。區(qū)塊鏈為數(shù)據(jù)記錄和身份管理提供標準，橢圓曲線加密算法進行數(shù)字簽名，利用醫(yī)療信息同時又避免患者隱私泄露。該模型的實現(xiàn)能方便患者跨域看病，提升醫(yī)療系統(tǒng)服務質(zhì)量，對醫(yī)療大數(shù)據(jù)背景下共享資源，整合挖掘醫(yī)療數(shù)據(jù)有現(xiàn)實意義。

2 區(qū)塊鏈技術(shù)

區(qū)塊鏈（Block Chain）技術(shù)是一個集數(shù)據(jù)庫、開放性、安全性等功能為一體的創(chuàng)新技術(shù)，區(qū)塊鏈有嚴密組織架構(gòu)的授權(quán)賬簿，能夠?qū)崟r核實和記錄所有交易，這種特殊運作模式將會顛覆當前醫(yī)療衛(wèi)生行業(yè)的信息處理方式，可以解決“互聯(lián)網(wǎng)+醫(yī)療”和“醫(yī)療大數(shù)據(jù)”背景下醫(yī)療數(shù)據(jù)系統(tǒng)存在的問題，本文研究的電子病歷共享系統(tǒng)利用區(qū)塊鏈技術(shù)來存儲交易，具有去中心化和去信任化的特性。區(qū)塊鏈的基礎(chǔ)架構(gòu)模型如圖1所示，自上而下有六層，包括：應用層、合約層、激勵層、共識層、網(wǎng)絡(luò)層和數(shù)據(jù)層。數(shù)據(jù)層是區(qū)塊鏈的數(shù)據(jù)表示及數(shù)據(jù)操作規(guī)則；網(wǎng)絡(luò)層管理著區(qū)塊鏈網(wǎng)絡(luò)中節(jié)點間的通信聯(lián)系；共識層是描述節(jié)點間達成一致性的一組協(xié)議，包括POW、POS、DPOS、PBFT等共識算法；激勵層掌握著讓系統(tǒng)正常運作的激勵措施；合約層通過虛擬機及編程語言工具為區(qū)塊鏈提供開發(fā)環(huán)境；應用層是基于區(qū)塊鏈底層體系結(jié)構(gòu)所能實現(xiàn)的醫(yī)療數(shù)據(jù)發(fā)布、查詢等功能模塊的集合。

圖1 區(qū)塊鏈基礎(chǔ)結(jié)構(gòu)模型

區(qū)塊鏈包括數(shù)據(jù)塊block和鏈接chain，這些數(shù)據(jù)塊由密碼學算法加密產(chǎn)生，數(shù)據(jù)結(jié)構(gòu)如圖2所示，每個區(qū)塊包含區(qū)塊頭和區(qū)塊體，區(qū)塊頭由版本號、時間戳、前個區(qū)塊形成的哈希散列、隨機數(shù)、難度值、MERKLE 根樹的哈希值幾個部分構(gòu)成，區(qū)塊體記錄了電子病歷的全部交易信息[1]。區(qū)塊鏈上每個區(qū)塊的信息都可以由前驅(qū)節(jié)點追溯，并影響后繼節(jié)點的信息構(gòu)成。其密碼學方法保證了惡意攻擊無法篡改信息，從而確保數(shù)據(jù)的安全性和完整性。區(qū)塊鏈的構(gòu)建遵循一整套共識和協(xié)議機制，全網(wǎng)每個節(jié)點都可驗證或入記錄，但只有當全網(wǎng)大部分節(jié)點一致確認某個記錄的正確性，相應數(shù)據(jù)才允許被寫入?yún)^(qū)塊中。

區(qū)塊鏈分為公有鏈、聯(lián)盟鏈及私有鏈[2]，本文研究主要針對聯(lián)盟區(qū)塊鏈的技術(shù)特點進行深入探討。聯(lián)盟區(qū)塊鏈由行業(yè)內(nèi)部挑選出多個節(jié)點作為記賬節(jié)點，如何在醫(yī)療機構(gòu)間建立聯(lián)盟區(qū)塊鏈，利用區(qū)塊鏈技術(shù)存儲患者的關(guān)鍵醫(yī)療記錄和交易記錄，而完整的病歷記錄還是存儲在本地系統(tǒng)的數(shù)據(jù)庫中。

圖2 區(qū)塊鏈的數(shù)據(jù)結(jié)構(gòu)

3 改進PBFT的共識算法

拜占庭容錯（Practical Byzantine FaultTolerance，PBFT）是在異步網(wǎng)絡(luò)環(huán)境下使用狀態(tài)機的副本復制算法，常應用于分布式系統(tǒng)中，具有容錯性強、吞吐量大、時延低等特性。聯(lián)盟區(qū)塊鏈的共識過程只有預選記賬節(jié)點參與，其他節(jié)點可以參與交易，但是不過問記賬過程，本區(qū)塊聯(lián)盟鏈存儲電子病歷共享模型并不是全網(wǎng)都參與共識，一般采用非工作量證明的共識算法，可以用拜占庭容錯，但是該算法是 C/S 請求響應模式有缺點，需要改進適用于P2P網(wǎng)絡(luò)且能耗較低的IPBFT算法。

根據(jù)聯(lián)盟區(qū)塊鏈的特性，提出改進的拜占庭容錯算法（IPBFT， Improved Practical Byzantine Fault Tolerance），該算法的錯誤節(jié)點不超過（n-1）/3的容錯保證，算法設(shè)計如下，它將服務建模為狀態(tài)機，要求在聯(lián)盟區(qū)塊鏈的節(jié)點個數(shù)n超過4，在分布式網(wǎng)絡(luò)中的不同節(jié)點上進行副本復制，網(wǎng)絡(luò)中的服務都在這些副本上保存相應的狀態(tài)信息并實現(xiàn)相應的操作，要求按照輪次來循環(huán)，在每輪中要計算選出主節(jié)點f來組織交易，只有超過2/ 3 的節(jié)點消息確認后才能進入下一個階段，而每輪結(jié)束后會產(chǎn)生新區(qū)塊[3]。

IPBFT是基于消息傳遞的已執(zhí)行算法，執(zhí)行過程包括以下5個步驟

（1）從全網(wǎng)節(jié)點選出主節(jié)點f，經(jīng)過共識過程最長時間t后，向其他的共識節(jié)點廣播，要求系統(tǒng)運行時所有節(jié)點不容許加入和退出，f向其他的n-1個節(jié)點發(fā)協(xié)議消息。

（2）每個節(jié)點在接收到主節(jié)點的廣播后，需要驗證協(xié)議消息，通過后會向主節(jié)點和其他的節(jié)點確認區(qū)塊消息，進行哈希值進行校驗，交易執(zhí)行完后要根據(jù)交易結(jié)果來計算新區(qū)塊的哈希摘要，按照時間順序排序。

（3）如果這個節(jié)點驗證協(xié)議消息不通過，表明懷疑主節(jié)點f有誤，沒有通過共識，需要發(fā)出更換視圖請求，其他節(jié)點收到這個請求后或暫停共識，確認消息，當收到了2n +1 條確認消息后更換視圖，否則在時間t后重復該流程。

（4）如果每個節(jié)點收到的2n個其他節(jié)點發(fā)來的確認消息都一樣，表明達到了共識。

（5）如果一個節(jié)點收到了2n +1 條確認消息，就可以提交新區(qū)塊及其交易到本地的區(qū)塊鏈并更新狀態(tài)數(shù)據(jù)庫，最后需要更換視圖并清除緩存，再開始下一輪的共識，是個循環(huán)執(zhí)行過程。

聯(lián)盟鏈系統(tǒng)采用IPBFT共識算法使得交易確認速度顯著提高，交易吞吐量也可以滿足現(xiàn)有的數(shù)據(jù)交易規(guī)模，可以解決數(shù)據(jù)丟失、損壞、延遲的問題，通過系統(tǒng)中大部分的誠實節(jié)點來覆蓋掉惡意節(jié)點的發(fā)來的消息，可以保證其安全性和靈活性，對網(wǎng)絡(luò)環(huán)境具有較好的容錯能力，保障系統(tǒng)病歷數(shù)據(jù)的一致性。

4 構(gòu)建電子病歷系統(tǒng)模型

基于聯(lián)盟鏈的區(qū)塊鏈電子病歷系統(tǒng)，包括了由P2P網(wǎng)絡(luò)連接的n（n≧4）個節(jié)點；區(qū)塊鏈由創(chuàng)世區(qū)塊和多個數(shù)據(jù)結(jié)構(gòu)相同的區(qū)塊采用哈希值來鏈接構(gòu)成，創(chuàng)世區(qū)塊中的特殊字段包含區(qū)塊鏈ID、主節(jié)點f、共識算法IPBFT、數(shù)據(jù)讀取的規(guī)則和智能合約；一般主節(jié)點是計算選出的，具有寫數(shù)據(jù)的權(quán)限，而加入聯(lián)盟鏈實例的新節(jié)點要根據(jù)規(guī)則來判斷是否具有讀取電子病歷數(shù)據(jù)的權(quán)限，是否可以獲取寫電子病歷數(shù)據(jù)的權(quán)限。

電子病歷系統(tǒng)的功能模塊如圖所示，由以下五個模塊構(gòu)成：病歷管理模塊，用于查詢患者詳細信息、新建、修改病歷數(shù)據(jù)和上傳圖片，支持對節(jié)點本地的系統(tǒng)數(shù)據(jù)庫訪問；病歷權(quán)限管理模塊，用于病人的掛號，注銷和查詢病歷權(quán)限；加密模塊，采用PKI 體系和密碼學原理用于提供哈希算法、數(shù)字簽名算法，還有對密鑰的驗證、交易等管理；登錄模塊，用于對所有用戶的身份信息進行管理，包括每個節(jié)點用戶的注冊、登錄和注銷，所有需要加入聯(lián)盟鏈的用戶必須先經(jīng)過系統(tǒng)節(jié)點的審核和驗證才可以加入；區(qū)塊鏈客戶端模塊，用于后端客戶端對區(qū)塊鏈網(wǎng)絡(luò)的請求管理、通道創(chuàng)建、節(jié)點信息配置和部署鏈代碼。

圖3 系統(tǒng)的功能模塊圖

研究兩家三級醫(yī)院A和醫(yī)院B的電子病歷系統(tǒng)和數(shù)據(jù)庫，結(jié)合醫(yī)療健康信息集成規(guī)范IHE 構(gòu)建電子病歷共享系統(tǒng)模型，兩家醫(yī)院通過加入機構(gòu)聯(lián)盟智能合約，認證中心進行身份認證和授權(quán)。由于區(qū)塊鏈的存儲容量受限制，所以個人醫(yī)療記錄都存放在鏈下的數(shù)據(jù)庫中，區(qū)塊鏈中只保留對該數(shù)據(jù)在數(shù)據(jù)庫中的引用。

在電子病歷共享系統(tǒng)中，各個醫(yī)院醫(yī)生和患者都可以連接到這個系統(tǒng)，醫(yī)療機構(gòu)之間建立聯(lián)盟區(qū)塊鏈，每個醫(yī)院或機構(gòu)通過注冊授權(quán)后生成一個代碼，每個醫(yī)務人員用這個代碼在上傳患者病歷時采用電子簽名，具有可追溯性，防止別人篡改信息，保證數(shù)據(jù)的完整性。電子病歷里面的信息用區(qū)塊鏈技術(shù)來存儲和交易，醫(yī)生把患者的診療信息先記錄到數(shù)據(jù)庫里，再加上數(shù)字簽名。該醫(yī)院登錄進入?yún)^(qū)塊鏈的聯(lián)盟鏈，把患者的關(guān)鍵信息通過加密算法寫入?yún)^(qū)塊鏈，給患者生成一個用戶的唯一身份標識符（手機驗證碼、二維碼或密鑰），患者用這個密鑰通過系統(tǒng)可以查詢自己的病歷，也可以授權(quán)給其他醫(yī)生和醫(yī)院查詢病史?；ヂ?lián)網(wǎng)+大數(shù)據(jù)電子病歷未來的總體發(fā)展趨勢將是高智能化、嚴標準化、大集成化和區(qū)域共享化。

5 研究電子病歷共享系統(tǒng)的智能合約

智能合約系統(tǒng)Hyperledger Fabric是開源區(qū)塊鏈底層系統(tǒng)，提供了豐富的API接口，可以在上面開發(fā)各種區(qū)塊鏈應用場景，是面向企業(yè)聯(lián)盟的區(qū)塊鏈應用。本電子病歷系統(tǒng)設(shè)計了四個智能合約：。注冊管理合約、權(quán)限管理合約、病歷管理合約、索引合約、機構(gòu)聯(lián)盟合約。注冊管理合約把患者、醫(yī)生的身份字符串放到區(qū)塊鏈上的地址作為唯一標識；權(quán)限管理合約定義了醫(yī)生和患者對病歷的操作權(quán)限；病歷管理合約把醫(yī)生在數(shù)據(jù)庫上執(zhí)行時，將返回一個患者數(shù)據(jù)的子集，醫(yī)生節(jié)點向區(qū)塊鏈提交一份記錄上傳申請；索引合約把患者或醫(yī)療機構(gòu)作為索引，用于患者訪問數(shù)據(jù)庫查找自己的病歷歷史；機構(gòu)聯(lián)盟合約把醫(yī)療機構(gòu)的身份字符串放到區(qū)塊鏈上的地址，形成聯(lián)盟。指針包括實際存儲原始電子病歷數(shù)據(jù)的醫(yī)療機構(gòu)的本地數(shù)據(jù)庫訪問信息，電子病歷信息的哈希值用來查詢患者電子病歷信息和其他查詢的SQL語句[5]。

6 總結(jié)

本文研究將聯(lián)盟區(qū)塊鏈技術(shù)與電子病歷相結(jié)合，嘗試打造基于區(qū)塊鏈技術(shù)的電子病歷，區(qū)塊鏈電子病歷數(shù)據(jù)不單獨在醫(yī)生、醫(yī)院以及任何第三方手里進行存儲，而是由所有區(qū)塊鏈上的參與者共同維護每個人的信息安全，并且患者掌握自己電子病歷的核心數(shù)據(jù)，患者能夠?qū)ψ约旱碾娮硬v查詢、交易等進行授權(quán)，也可以查看到歷史記錄。由于區(qū)塊鏈上的每次交易都會保留記錄，而且所有參與者的信息都是一致的，這就避免了有人惡意篡改系統(tǒng)信息，使區(qū)塊鏈上的數(shù)據(jù)更加安全。

目前國內(nèi)外對區(qū)塊鏈技術(shù)的研究還處于發(fā)展的初級階段，而電子病歷包含的內(nèi)容是病患用戶最完整、詳細的臨床信息資源，用區(qū)塊鏈系統(tǒng)存儲個人醫(yī)療記錄，由于存儲容量受限制，不能把個人醫(yī)療記錄都存放在鏈下的數(shù)據(jù)庫中，區(qū)塊鏈中只保留對該數(shù)據(jù)在數(shù)據(jù)庫中的引用，研究如何在醫(yī)療機構(gòu)間建立聯(lián)盟區(qū)塊鏈，利用區(qū)塊鏈技術(shù)存儲患者的關(guān)鍵醫(yī)療記錄和交易記錄，具體哪些數(shù)據(jù)和信息需要存儲到區(qū)塊鏈，如何設(shè)計智能合約；需要采用改進的PBFT 共識算法、橢圓曲線加密算法和數(shù)字簽名等的研究來提高其效率和安全性。這個平臺的實現(xiàn)可以方便患者跨區(qū)域跨院看病，對醫(yī)療數(shù)據(jù)的整合、挖掘和研究，提升了醫(yī)療系統(tǒng)的服務質(zhì)量，對今后醫(yī)療大數(shù)據(jù)背景下共享醫(yī)療資源提供了理論參考。

[1]袁勇，王飛躍.區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀與展望[J].自動化學報，2016，42（04）：481-494.

[2]張守坤.密碼學貨幣及其在金融領(lǐng)域中的應用研究[D].哈爾濱理工大學，2016.

[3]楊茜.基于區(qū)塊鏈的智能合約研究與實現(xiàn)[D].西南科技大學，2015.

[4]楊超，劉佳.醫(yī)院信息化數(shù)據(jù)平臺構(gòu)建研究[J].才智，2012（29）：42-43.

[5]王毅琳，李剛榮.B/S架構(gòu)下基于JSP技術(shù)的病人信息查詢系統(tǒng)設(shè)計[J].中國數(shù)字醫(yī)學，2010，5（12）：26-28.

遵義市科技局基金項目：基于區(qū)塊鏈技術(shù)的共享電子病歷系統(tǒng)研究（項目編號：遵市科合HZ字（2020）43號）