CN109934012A

CN109934012A - 基于区块链网络的医疗记录安全存储访问方法

Info

Publication number: CN109934012A
Application number: CN201910213707.3A
Authority: CN
Inventors: 陈志德; 徐健; 王可可; 龚平; 郑金花; 许力; 黄欣沂
Original assignee: Fujian Normal University
Current assignee: Fujian Normal University
Priority date: 2019-03-20
Filing date: 2019-03-20
Publication date: 2019-06-25

Abstract

本发明公开了基于区块链网络的医疗记录安全存储访问方法，针对目前在医疗记录EMR领域的四大核心问题:1)如何安全有效储存患者的EMR，2)如何实时上传EMR，3)如何设置访问控制过滤非法者。4)如何方便跨域下载EMR，提出一种基于区块链技术的电子医疗记录ERM存储与管理框架，该框架能够很好解决用户数据的隐私与安全问题。

Description

基于区块链网络的医疗记录安全存储访问方法

技术领域

本发明涉及一种基于区块链网络的医疗记录安全存储访问方法。

背景技术

医疗记录信息，传统来说包括病人的基本资料、检查症状、医嘱信息、以及非文本检查信息(包括超声图像、核磁图像等)，这些都是患者宝贵的生命体数据，不仅仅为当前医生对病情做出判断提供依据，还为其他医护人员对患者情况做出正确评估，理解历史治疗方案，进一步制定个性化治疗方案提供依据和参考。在医生对患者的综合性复杂疾病及各种慢性疾病方面，一份可靠、安全、易访问的电子病历档案无疑在提高医疗文件搜索速度和对患者综合情况评估制定合理方案提供更好效果。对于一个病人来说，在检查过程中一个病症可能伴随这多种特征，在医生诊断病症的时候，通常做法是询问病人一些历史病症、身体状况等。这样的做法有两个缺点:1)很难保证病人能够精确记得历史病症的量化值，例如血压历史记录等。2)病人在描述病症的时候往往夹杂非专业医学词语，这将影响医生对病人历史病症的理解。因此一份精准精确的医疗记录文件对一个医生来说无疑提供更加可靠的参考。

针对这个问题，传统的方案是在就医的机构保留一份医疗记录，当患者下次继续就医，就可以向医生查询相关的病例历史记录。然而，一旦病人在不同科室就医，需要从原来的科室医疗记录库或者医疗机构的数据库里调用这份医疗记录，这样的解决方案不仅效率十分低下，而且针对患者在不同的医疗机构或者不同的地域就医来说，这些解决方案就不可用。

为解决这个问题，随着云计算云存储等互联网技术的流行，不少学者把医疗数据的储存和管理放到云端执行，即在医院形成一份电子医疗记录文件(Electronic MedicalRecord，EMR)，由第三方云服务机构托管。这样的方案解决了不同机构就医，不同地区就医共享医疗记录的难题，然而，一份完整的EMR文件通常包含患者的个人隐私信息，这样的一份EMR文件转交给第三方云服务机构管理保存，在隐私保护与安全性上没有保证。第三方云服务提供机构在云服务研究中通常被认为是半可信的，因为一旦云服务管理不当就会造成数据被篡改，泄露甚至丢失。因此，中心化结构的云服务器，在数据的隐私与安全性方面存在诸多问题。

发明内容

为了解决现有技术中的不足，本发明的目的在于提供一种基于区块链网络的医疗记录安全存储访问方法。

为实现上述目的，本发明采用以下技术方案：

基于区块链网络的医疗记录安全存储访问方法，其特征在于：该方法包括以下步骤：

1)在区块链网络中建立若干个节点，在各节点部署管理端或服务端，其中管理端用于管理电子医疗记录文件在多节点执行相同操作，包括管理上传文件、更新文件、下载文件，服务端用于执行电子医疗记录文件传输，并在区块链网络部署用于电子医疗记录文件存储、上传和下载的智能合约；

2)患者在一个部署管理端的节点上进行注册，该部署管理端的节点为患者创建三个数字密码：经过哈希算法SHA-256加密过后唯一ID，用ECC算法加密的公私密钥对PK、SK，和通过IPNS协议经过哈希加密后的医疗记录文件夹地址FolderAddress，其中公钥PK自动同步到其余节点，且患者自身持有一个公私钥对(PK,SK)，只有该管理节点所分配的初始私钥SK可以解密电子医疗记录文件；

3)步骤2)中部署管理端的节点为启动节点，负责分配电子医疗记录文件执行的任务，包括电子医疗记录文件公钥加密与上传同步形成区块链系统，该节点用公钥对PK患者的电子医疗记录文件进行加密得到加密后的文件SecurityFile和一个唯一文件ID(HashID)，SecurityFile储存在医疗记录文件夹地址FileAddress，智能合约执行使启动节点地址自动拷贝到其余节点，启动完成后，给当前机器分配一个唯一哈希ID作为计算机地址唯一识别，另外包含与启动节点相连的主机地址；

4)上传EMR文件，上传加密后的电子医疗记录文件会得到文件唯一哈希地址与上传时间，这个哈希地址是EMR文件在区块链网络中的唯一识别标志，得到这个哈希地址便可以得到这份加密后的电子医疗记录文件；

5)确认交易，启动节点上传到私有集群网络中的一份加密文档SecurityFile，得到的哈希值Hashtext与时间戳Timestamp，根据Ethereum的工作量证明(Proof of Work,POW)共识机制确认交易，同步到其余节点；

6)文件溯源，跨域医院Hospital_B想要获取到初始医院Hospital_A的文件，必须得到患者的允许下载并提供私钥SK解密文件，文件更新通过管理端的启动节点下文件目录的哈希值，基于区块链特性，文件会在其余节点同步一份副本哈希，实现文件可溯源性，输入文件哈希值便可以下载电子医疗记录文件到本地然后触发智能合约中的算法，输入私钥SK便可解密得到电子医疗记录源文件。

进一步的，的对象为医疗机构所有参与对象，包括医生电脑，患者在家的电脑，或者是医疗记录患者在任何地方的一台个人PC。

本发明采用以上技术方案，具有以下优点：1)隐私保护，基于区块链的特性，患者的个人信息将会被唯一哈希值标识，而不像传统医疗机构中使用患者姓名或者ID标识。患者的医疗记录文件访问权掌握在自己手中，基于密码学的非对称加密技术使得患者可以在每次上传中重新生成公私钥对，这样实现了患者对每个文件的访问权限限定。而医疗机构A，则在加入到区块链网络中时，身份信息已被唯一哈希标识，使其同步的文件具有权威性。本方案中区块链网络本质上时保存文件唯一标识的哈希值，因此即得到了文件哈希，没有患者的私钥也无法解开任何在区块链网络中的任何密文信息。2)不可修改性，基于区块链的设计，使得上传到到私有网络中的文件带有时间戳，任何操作记录都被同步到所有节点，保证了文件使用透明性。基于区块链特性，每个文件的区块中保存有上一个所存文件的哈希，要想改变当前文件哈希必须保证私有网络中超过50％的节点同意，在一个较大规模的区块链网络中，这几乎是一件不可能事件。所以，对初始文件的任何改变都会实时显示在区块链网络中，保证了本方案私有区块链网络中文件的不可修改性。3)存取流程简化，在本文方案中，基于私有区块链的数据在以上分析中保证了其不可篡改性，在储存过程中，只需要一次储存便可随时随地访问。基于哈希算法的重复文件检查机制，使得在重复文件上传到私有区块链网络中时，具有相同的文件哈希，真正实现“一次上传，永久保存”。在患者授权医院机构得到访问EMR文件权限后，医院机构只需根据哈希值便可唯一获取到指定文件，节约了传统医疗记录保存方案中的时间成本，彻底实现“精准定位”。故在本文实验方案中，存取过程都是一次性操作，大大节约了人力成本、时间成本，提高检索文件精确度。

附图说明

以下结合附图和具体实施方式对本发明做进一步详细说明：

图1为本发明RSMR文件同步过程示意图；

图2为授权合约执行过程示意图；

图3为跨域获取合约示意图。

具体实施方式

本发明基于区块链网络的医疗记录安全存储访问方法，包括以下步骤：

进一步的，所述节点的对象为医疗机构所有参与对象，包括医生电脑，患者在家的电脑，或者是医疗记录患者在任何地方的一台个人PC。

本发明针对目前在医疗记录EMR领域的四大核心问题:1)如何安全有效储存患者的EMR，2)如何实时上传EMR，3)如何设置访问控制过滤非法者。4)如何方便跨域下载EMR。设计了三个基于Ethereum的以太坊智能合约：文件同步合约、授权合约和跨域获取合约。

I文件同步合约

为保证上传到RSMR上的文件不被盗窃，本发明中在加密层中用一种非对称加密算法ECC用于给患者的EMR加密。在本发明中，用户在医院注册会给患者需要保存的三个数字密码：一个是经过哈希算法SHA-256加密过后唯一ID以及用ECC算法加密的公私密钥对PK(Public Key)、SK(Secret Key)，另外就是经过IPNS协议经过哈希加密后的医疗记录文件夹地址FolderAddress。整个初始用户数据用公式(1)表示

Patient{ID,PK,SK,FolderAddress,Permission} (1)

患者经过哈希算法SHA-256加密过后唯一ID用于唯一识别患者身份，ECC算法加密的公私密钥对PK用于对患者的EMR加密，加密后得到一个唯一文件ID(HashID),加密可用公式(2)表示:

SHA256(PK,EMR)＝HashID (2)

加密及同步过程如图1所示，患者自身持有一个公私钥对(PK,SK)，在医院就医完成后，把公钥PK给医院A，医院利用公式(2)对患者的医疗记录文件EMR加密，得到加密后的文件SecurityFile，加密后的记录文件储存在医疗记录文件夹地址FileAddress下以便上传到IPFS服务。整个加密过程可用算法1表示：

I授权合约

授权合约描述一个EMR文件经过一个自动执行的智能合约在以太坊区块链网络上的传输过程。首先，经过加密层输出的唯一文件ID(HashID)与EMR密文文件SecurityFile。合约收到传输过来的SecurityFile后自动将文件传输到医疗私有IPFS协议网络MPN(Medical Private Network)上。在上传之前，IPFS会自动检验SecurityFile是否重复以节约带宽。检验成功后，经过公式(3)加密得到该文件个唯一文件ID(HashID₁)。然而，一份完整的EMR文件中常常包括不同类型的病历文件，例如：X光图片，症状视频，治疗结果文字：

SHA256{PK,RecordFile(Pic₁…Pic_n,Video₁…Video_n,Text₁…Text_n)}＝HashID₁(3)

加密得到的一个文件夹哈希值内包含多个文件，本文用下列符号表示：

Pic₁₁…Pic_1n

Video₁₁…Video_1n

Text₁₁…∈Text_1n

一个患者若是综合症患者或者是身患多种疾病，在一个IPFS协议下，用同样的密钥对可以对应多个文件夹，本文用Hospital_A(HashID₁…HashID_n)表示在医院A就诊过程中，综合性疾病包含的文件夹。

校验与上传过程完成后，这份文件被分成序列sequence₁,sequence₂……sequence_n储存在与患者计算机相连的机器上，即使某个主机关机或者不可预知性错误发生，也不会影响患者拿到储存在其他地方的副本文件，如图2所示，当Hospital_B需要检索EMR时，首先需要验证Hospital_B的签名Sig_B，以确定为合法机构。通过检验后，机构便可以得到Hospital_A(HashID₁…HashID_n)，利用Hospital_A(HashID₁…HashID_n)，找到副本的文件地址。也就是说，合成储存在不同机器上的副本文件哈希值序列(sequence₁,sequence₂……sequence_n)。通过这些哈希值，患者可以方便在自己的机器上下载得到自己先前传输的EMR文件。下载完成后，用户还需执行解密文件过程得到解密后的明文文件。合约执行过程如算法2：

III跨域获取合约

针对本发明中的场景，在跨域就医过程中，到达Hospital_B后，针对某些慢性病(例如癌症等)，医生需要获取到公式(1)中的文件夹的地址哈希FolderAddress与权限Permission。医生可以在方案服务上从文件夹FolderAddress下载得到患者的历史患病记录EMR与各项检查多媒体资料(例如图片、症状视频、治疗结果文字等辅助治疗病历)。但是下载后的文件医生没有办法解密，出于医疗病历隐私性与安全性考虑，运用非对称加密的文件，只允许患者通过注册后的SK解密。解密公式为公式(4)：Unlock(SK,SecutyFile,Sig_B)＝RecordFile (4)

获取文件过程如图3所示，用户得到Security file后，需要询问用户的允许。若用户允许访问，则能够通过合于得到用于加密此文件的私钥SK。此时，在解密前，为防止文件泄露，需要验证Hospital_B的签名Sig_B，验证通过后方可得到原文件Record file，同时，合约执行结束。跨域获取合约如算法3：

本发明具有较高的安全性，主要体现在A、文件储存地址安全：假设攻击者能够通过某种手段得到患者保存在RSMR的数据，但是保存在RSMR中的数据并不会被查看，也不会被删除或者被修改，因此数据是安全的。

区块链的特性作为一种时间戳系列的账本，一旦共识机制确认，便不发修改内容。如果攻击者想要修改在区块链系统中储存的数据，必须仿造一个跟源链一样的主链，而这需要极大算力，这几乎是不可能的。另外在RSMR中储存的数据SecurityFile被分成序列(sequence¹,sequence²……sequence_n)储存在与患者计算机相连的机器上，得到这些数据并按照一定序列顺序拼接才能形成源文件，其概率为想要按照顺序合成这些文件，这也是困难的。

B、数据防篡改：假设攻击者能够通过某种手段得到被分成碎片的文件并且按照一定顺序拼接起来，得到跟源文件一样的文件。攻击者想要查看得到文件内容，需要通过患者的SK才能解密文件。而通过非对称加密的文件SecurityFile，想要在不得到SK情况下解密是困难的。

在“跨域获取合约”算法中，经过加密的文件被储存在区块链中。因此，在得不到患者的私钥情况下，即使文件与源文件一样，也无法解密文件，即攻击者并不能查看患者的EMR真实内容，从而保证患者隐私安全。

C、数据防盗窃：攻击者通过某种手段试图使用一个虚假文件替换储存在RSMR中的真实文件，在源文件存在情况下，这是困难的。

在本发明“授权合约”描述中，对执行智能合约的文件需要进行SecurityFile的哈希值重复性检查，当攻击者驶入使用一个虚假文件M′执行智能合约，通过哈希算法得到的哈希为hash_M′，源文件M执行智能合约，通过哈希算法得到的哈希为hash_M。根据哈希规则，两个内容不是完全相同的文件经过哈希得到的hash值是不同的，即hash_M′≠hash_M。这样，虚假文件M′不能够通过REMR智能合约层的哈希重复性检验，合约不能执行。因此，这个机制能够保证用户的源文件不能够被攻击者使用的虚假文件所替换，从而保证了用户EMR文件溯源安全性。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.基于区块链网络的医疗记录安全存储访问方法，其特征在于：该方法包括以下步骤：

1）在区块链网络中建立若干个节点，在各节点部署管理端或服务端，其中管理端用于管理电子医疗记录文件在多节点执行相同操作，包括管理上传文件、更新文件、下载文件，服务端用于执行电子医疗记录文件传输，并在区块链网络部署用于电子医疗记录文件存储、上传和下载的智能合约；

2）患者在一个部署管理端的节点上进行注册，该部署管理端的节点为患者创建三个数字密码：经过哈希算法SHA-256加密过后唯一ID，用ECC算法加密的公私密钥对PK 、SK，和通过IPNS协议经过哈希加密后的医疗记录文件夹地址FolderAddress，其中公钥PK自动同步到其余节点，且患者自身持有一个公私钥对(PK,SK)，只有该管理节点所分配的初始私钥SK可以解密电子医疗记录文件；

3）步骤2）中部署管理端的节点为启动节点，负责分配电子医疗记录文件执行的任务，包括电子医疗记录文件公钥加密与上传同步形成区块链系统，该节点用公钥对PK患者的电子医疗记录文件进行加密得到加密后的文件SecurityFile和一个唯一文件ID（HashID），SecurityFile储存在医疗记录文件夹地址FileAddress，智能合约执行使启动节点地址自动拷贝到其余节点，启动完成后，给当前机器分配一个唯一哈希ID作为计算机地址唯一识别，另外包含与启动节点相连的主机地址；

4）上传电子医疗记录文件，上传加密后的电子医疗记录文件会得到文件唯一哈希地址与上传时间，这个哈希地址是EMR文件在区块链网络中的唯一识别标志，得到这个哈希地址便可以得到这份加密后的电子医疗记录文件；

5）确认交易，启动节点上传到私有集群网络中的一份加密文档SecurityFile，得到的哈希值Hashtext与时间戳Timestamp，根据Ethereum的工作量证明(Proof of Work, POW)共识机制确认交易，同步到其余节点；

6）文件溯源，跨域医院Hospital_B想要获取到初始医院Hospital_A的文件，必须得到患者的允许下载并提供私钥SK解密文件，文件更新通过管理端的启动节点下文件目录的哈希值，基于区块链特性，文件会在其余节点同步一份副本哈希，实现文件可溯源性，输入文件哈希值便可以下载电子医疗记录文件到本地然后触发智能合约中的算法，输入私钥SK便可解密得到电子医疗记录源文件。

2.根据权利要求1所述的基于区块链网络的医疗记录安全存储访问方法，其特征在于：所述节点的对象为医疗机构所有参与对象，包括医生电脑，患者在家的电脑，或者是医疗记录患者在任何地方的一台个人PC。