CN110321721A - 基于区块链的电子病历访问控制方法 - Google Patents

Abstract

本发明公开了一种基于区块链的电子病历访问控制方法，所述方法涉及医疗数据共享方法技术领域。所述方法包括如下步骤：首先制定动态的访问控制策略对电子病历访问者进行权限上的分配，将访问控制策略写入到智能合约中，完成对数据访问者的身份认证；对患者的医疗数据进行分块存储，采用去中心化网络部署，使用信息熵理论来对信息进行量化处理，根据患者的要求，来设定访问医疗数据的条件。所述方法不仅可以实现服务过程中用户的医疗隐私信息保护，还能让患者自主地管理自己的医疗数据，有利于实现医疗数据共享下的隐私保护的方法。

Description

基于区块链的电子病历访问控制方法

技术领域

本发明涉及医疗数据共享方法技术领域，尤其涉及一种基于区块链的电子病历访问控制方法。

背景技术

随着计算机和信息技术的快速发展及广泛应用，带来了医疗机构的信息化的变革，电子病历(Electronic Medical Records，EMR)的广泛使用给医疗领域带来非常大的便利，对于一个病人来说，在检查过程中一个病症可能伴随着多种特征，在医生诊断病症的时候，通常做法是询问病人一些历史病症、身体状况等。这样的做法有两个缺点:(1)很难保证病人能够精确记得历史病症的量化值，例如血压历史记录等。(2)病人在描述病症的时候往往夹杂非专业医学词语，这将影响医生对病人历史病症的理解。因此一份精准精确的医疗记录文件对一个医生来说无疑提供更加可靠的参考。医疗大数据的应用越来越广泛，伴随而来的问题也很突出，最令人关注的便是隐私问题。由360公司发布的2015年中国网站安全报告可知，医疗隐私泄露事件的数量仅次于互联网隐私信息泄露事件，且医疗网站漏洞造成的个人隐私泄露的信息量是最大的，可见医疗数据泄露的危害。医疗数据的泄露不只是医疗机构外部风险导致的，还有内部泄露的因素。医疗机构对数据管理不慎，访问权限不明确，内部个别人员以牺牲患者的隐私信息来换取丰厚的不法利益的情况时有发生并且在发生隐私泄露的时候无法追查到问题所在。2016年2月，美国俄亥俄州精神健康和成瘾服务中心向以前在这就诊的患者邮寄“患者之声”字样的明信片，邀请他们做在线问卷调查，这等于告诉他们自己曾经在服务中心就诊。另外，明信片含有患者的基本信息，如姓名、住址、性别等信息，经手之人可以获取明信片中患者的基本信息，其再与俄亥俄州精神健康和成瘾服务中心的医疗信息进行联系，进而推测出患者的隐私信息，造成患者隐私信息泄露。2018年全年美国共发生18起涉及医疗记录数量达到或超过10万份的数据泄露事件。其中有8起事故甚至影响到超过50万份医疗记录，另有3起违规令超过100万份医疗保健记录遭到意外曝光。其中，总部位于纽约州拉桑姆的医疗计费厂商Med Associates公司负责为超过70家医疗保健供应商提供索赔服务。他们发现一名员工的计算机遭遇未授权个人访问，攻击者可能获得最多27万6057名患者的个人医疗信息。因此，保护电子病历敏感数据信息隐私保护问题是一大研究热点和研究趋势。此外，患者并没有参与对自己医疗信息的管理，自己的数据被谁使用，以何种目的使用，患者有可能是不知情的。在传统的医疗数据库***中，管理员是可以对医疗数据的访问记录进行修改，这样就导致一旦数据发生泄露，是无法确定数据是谁，在什么时候泄露的，无法做到准确的追责。还需要考虑的是，在提高隐私保护的同时，往往会降低对医疗数据的利用率，无法实现医疗数据的共享。

目前，各种医疗隐私保护技术正在不断更新发展。首先，在访问控制方面，基于访问控制的隐私保护研究方法主要是设计安全的身份验证算法，限制访问主体对电子病历***的访问权限。Zhu等人在2015年针对云存储服务提出了一个可兼容RBAC的用户友好、易于管理的ABAC机制，同时为属性定义了优先级，细化了云环境中数据访问控制的粒度；Somchart与Hiroyuki综合ABAC、RBAC、对称加密技术与密文策略属性基加密***(CP-ABE)提出了一个新的访问控制模型C-CP-ARBE，模型将访问控制策略定义为一个树，通过在树中不断计算和分发密钥来保证安全性，该模型不仅实现了细粒度访问控制，其效率与传统ABAC相比也提升了很多。Belaazi等提出了一个基于本体的隐私保护访问控制架构，利用自行建立的隐私本体来验证访问控制策略，并对策略进行冗余消除和一致性检查；lmran-Daud等设计了一个基于本体的访问控制***，结合ABAC与本体技术，克服了分布式环境中各个构件间互操作性低的问题。这些研究都证明了本体技术可以应用在大数据的分布式环境中，将角色、属性等的描述进行统一。但目前这方面的研究只注重了描述统一，没有考虑如何进一步对隐私数据泄露程度进行量化，并且这些研究都集中在如何细化访问控制的粒度、提高效率以及与现在的大数据环境相适应上，以隐私保护作为讨论重点的研究很少。根据患者对自身信息隐私保护需求的不同程度，Hsu等人针对医疗信息***中随着用户数量以及信息量增长而造成的用户授权难度增加的问题，提出了一种基于角色的访问控制方法，能够支持对不同种类的对象的授权和一个新的授权域。霍成义等人在RBAC模型的基础上，提出面向患者的隐私保护访问控制模型POP-PAC，在该模型中，用户可以根据自身需求定义符合自身偏好的访问控制策略，能够解决隐私数据被动泄露的问题。但是该模型没有对患者的数据进行细致的区分，在医生获取患者病历的同时，有可能获取与该病例无关的病例信息，甚至获取患者的基本信息。Shin M S等人提出了基于RBAC的个性化医疗服务平台，用于智能设备智能管理个人健康档案。惠榛等人提出医疗大数据的风险自适应的访问控制模型。可以动态控制访问控制行为，并满足一定的数据利用需求。但该方法只考虑了医生访问数据的复杂性，没有对患者的数据进行细致的区分，未考虑数据本身在利用过程中的价值。陈提出了一种新的授权访问控制模型，将患者的数据按隐私级别分类存储，根据不同的授权模式来获得相应的信息，隐私级别根据具体情况进行设置。但是该模型只解决合法授权用户的医疗信息访问控制问题，不涉及其他类型的医疗信息泄露与安全保护问题。

上述医疗访问控制模型可以在一定程度上保护患者隐私，但是医疗数据互操作性差，数据过于集中，中心化的数据库带来的风险增大、成本增加及节点扩展受限等问题。一旦中心点出现问题或者崩溃，不仅导致全部节点无法使用，增加了风险，而且，中心数据一旦泄露，隐私信息的泄露也将是毁灭性的，传统的医疗***所使用的数据库是可以篡改数据的，并且可追溯性差，区块链技术可以有效地解决这些问题。

区块链是随着比特币等加密货币的出现而兴起的一种分布式、去中心化的网络数据库，区块链采用带时间戳的链式区块结构存储数据，为数据增加了时间维度，并且区块上每笔交易都通过密码学方法与相邻两个区块相联，因此任何一笔交易都是可追溯的。并且区块链上存储着自***运行以来的所有交易数据，基于这些不可篡改的日志类型数据，可方便地还原、追溯出所有历史操作。

薛腾飞等提出了一种电子医疗信息分享模型，该模型以区块链技术为基础，有助于解决各医疗单位之间信息分享困难的问题。ShaeZ等提出了一种区块链平台架构以帮助医学临床试验和精准医疗。Ivan D等提出了将区块链作为保护医疗健康数据存储的新颖方法、实施障碍以及从当前技术向区块链解决方案逐步过渡的计划。Azaria A等采用美国麻省理工学院的OPAL/Enigma加密平台与区块链技术相结合的方式，提出了一种基于区块链技术的医疗数据获取和权限管理***。Kuo T T等采用了隐私保护在线机器学习与私有区块链技术相结合的模式。Witchey N介绍了医疗交易单(Transaction)验证***和方法。XiaQ等认为病人的医疗记录在传递的过程中可能会面临诸如隐私泄漏、经济损失等多方面的风险。为了解决这些问题，Xia Q提出了一种共享医疗大数据在弱信任环境托管问题的解决方案。该***基于区块链，并可以提供数据溯源、数据审计、共享医疗数据管控等功能。Dubovitskaya A等同样是基于区块链可追溯等优点，提出了一种安全可信任的医疗电子记录***。AhramT介绍了一种基于区块链的医疗健康应用Healthchain。上述的各种设想或解决方案的缺点在于医疗数据无法及时更新到区块链上，并且需要支付一定的报酬，成本较高。

信息熵是度量信息的有效工具，信息量可以用信息熵来表示，隐私信息也可以用信息熵来度量，信息熵在位置隐私保护、数据匿名化中都有较多的应用。根据传统的访问控制模型可知，信息熵用于隐私信息访问控制的方法已经比较成熟，在对隐私信息的访问控制中，***直观地了解访问者所掌握的隐私信息量可以辅助策略的制定与决策的执行。YLiu等人提出了一种基于隐私的数据访问控制和医学文档共享机制，其中利用信息熵对隐私信息进行计算，识别具有较大信息量的集成模式，利用集成模式对分布式医疗文档进行查询。但是隐私信息具有不同的敏感程度，在数据利用过程中，数据的使用常常受限于隐私信息保护要求而使利用率大打折扣。

发明内容

本发明所要解决的技术问题是如何提供一种不仅可以实现服务过程中用户的医疗隐私信息保护，还能让患者自主地管理自己的医疗数据，有利于实现医疗数据共享下的隐私保护的方法。

为解决上述技术问题，本发明所采取的技术方案是：一种基于区块链的电子病历访问控制方法，其特征在于包括如下步骤：

首先制定动态的访问控制策略对电子病历访问者进行权限上的分配，将访问控制策略写入到智能合约中，完成对数据访问者的身份认证；

对患者的医疗数据进行分块存储，采用去中心化网络部署，使用信息熵理论来对信息进行量化处理，根据患者的要求，来设定访问医疗数据的条件。

进一步的技术方案在于：访问医疗数据的条件包括：1)访问目的与意向目的一致；2)对医疗信息进行量化处理，设定信息量容忍度，所访问信息需要小于设定的信息量容忍度；若数据访问者的访问目的与患者的意向目的不符，或信息量大于所设定的信息量容忍度，不允许访问数据，但是可以再次提出申请，只有当患者同意时，才允许其查看对应区块上所存储的医疗数据。

进一步的技术方案在于：每次访问数据时，对访问行为进行记录并存储在区块链上，该访问记录无法进行篡改。

进一步的技术方案在于，使用信息熵理论来对信息进行量化处理的方法如下：

应对不同隐私信息设置不同的权值，在患者的隐私信息中根据利害关系设置不同的比重；

将患者隐私信息按照隐私保护敏感程度分为3个等级，三类隐私信息的敏感程度不同；一类隐私信息敏感度最高，则对应的权值应该最大，二类、三类隐私信息的权值依次减小，权值的设置根据不同的患者可以设置不同的值，但是权值相加应为1；

一类隐私信息是对患者具有指向性的信息，此类信息将需要较高的隐私保护敏感度，二类隐私信息为患者的医疗记录，与疾病诊断治疗相关，包含患者的患病就诊历史，病症和治疗方法；三类隐私信息为患者的检测化验记录，此类信息为单纯的医疗数据，对患者不具备指向性，但是有助于疾病的分析、诊断，具有研究价值，不需要高级别的隐私保护敏感度；

定义一类隐私信息权值为q₁，二类隐私信息权值为q₂，三类隐私信息权值为q₃；

定义访问信息形式为access＝{id,a₁,a₂,a₃……a_n}，a_i为访问信息条目，访问信息条数为n，在不将权值纳入计算时，根据熵的定义计算各条请求的信息量如下：

E_s为整个访问请求将获得的信息量，在计算每条访问信息条目信息量后，按其隐私信息分类，计算各类隐私信息熵，再根据每种隐私信息的权值计算整个访问请求将获得的信息量；***针对每个访问请求的信息量容忍度设为E_t，此值根据不同***可以按具体情况设置。

进一步的技术方案在于，当访问者想要访问医疗数据时，需遵循以下规则实现访问控制：

1)访问者进行身份认证，如认证失败，此次访问结束；如认证通过，提交医疗信息访问请求；

2)接收访问请求，提取患者id和具体请求条目ai；

3)对请求条目按照L1，L2，L3进行分类，记录各类隐私信息条目数s1，s2，s3；

4)计算访问请求信息熵Es；

5)访问目的与意向目的，Es与Et，两两比较，若访问目的与意向目的一致，并且Es<Et，，则允许访问；若访问目的与意向目的不同，或者Es>Et，则不允许访问。

进一步的技术方案在于，所述方法还包括为患者的电子病历增加记录的步骤：

在对患者进行初次治疗时，将用户的每一条医疗记录按照隐私保护敏感程度来分块存储，采用非对称加密技术，用使患者公钥进行加密隐私信息，当进程较多时，先放到本地数据库进行缓存，等待数据存储后，再删除本地数据库的信息；如果患者的病历信息的信息量较大并且隐私程度不高，可以建立在区块链上建立索引，而不需要将该信息存储到区块链上。

进一步的技术方案在于，所述方法还包括隐私信息的交互：

患者节点属于用户端；医疗信息访问节点认为是数据需求商，数据库是本地数据库；

访问者在提交访问请求时，触发智能合约所制定的访问控制策略，对其进行身份认证，若认证不通过，则不能提出访问请求；如果认证通过，则向访问结点的EMR管理者发送其所需要的患者信息请求；

EMR管理者在收到请求后，先查看本地数据库中是否存储有相应的存储内容；有三种情况：存在、部分存在或不存在；EMR管理者需要将存在内容对应的请求修改为是否正确、是否需要更新，若无此内容，则不需要对请求改动，继续进行后续操作即可；

患者节点的EMR管理者将患者的公钥发送给访问结点的EMR管理者；

访问结点的EMR管理者将患者公钥加密后的数据请求和访问者的公钥传输给患者节点；

患者节点对EMR管理者发来的数据请求进行判断，结合相应信息的隐私程度，确定对访问者共享的内容请求，发送给EMR管理者；

当EMR管理者收到患者节点确认过的请求后，将请求中同意的部分和要更新的部分发送给***；如果收到的请求当中没有同意或更新的部分，则不需要进行下面的步骤；

***从区块链中得到的信息是被患者公钥加密过得数据，因此需要由患者的私钥进行解密得到明文，发送给EMR管理者；

患者节点的EMR管理者在将访问者需要的信息或是患者完全拒绝后的结果发送给访问节点的EMR管理者时，需要用之前接收到的访问者的公钥进行加密，达到保密传输的目的；

医疗信息访问节点的EMR管理者收到加密后的结果信息后首先将其存入本地数据库当中，留存备份；

将收到的加密结果先利用访问者密钥进行解密，再发送给访问者，在每次交互过程结束后将本次的访问进行记录，并存储在区块链上。

采用上述技术方案所产生的有益效果在于：所述方法首先采用合适的访问控制策略，解决病历信息在使用过程中用户医疗隐私信息的泄漏问题。然后，利用信息熵技术，来对医疗数据进行量化处理，实现对医疗数据的有效地以及最大化地利用。利用区块链分布式总账的特性及自身固有的安全属性，可以消除数据孤岛，推动医疗***间的数据共享性，防止对访问记录进行篡改，更好地支持医学研究和精准医疗。通过本项研究，不仅可以实现服务过程中用户的医疗隐私信息保护，还能让患者自主地管理自己的医疗数据，有利于实现医疗数据共享下的隐私保护。

附图说明

下面结合附图和具体实施方式对本发明作进一步详细的说明。

图1是本发明实施例所述方法中区块链的链式结构示意图；

图2是本发明实施例所述方法中所述方法的整体流程图；

图3是本发明实施例中所述方法的交互流程图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

医疗区块链与医疗区块：每一个用户的电子病历与数据的访问记录单独成一条链存储，医疗区块链主要由两部分构成：区块(Block)和交易单(Transaction)。一条区块链由一个个记录着前一个区块ID的区块组成，而每个区块又包含了若干交易单。这些交易单是实际存储区块链(Blockchain)数据的载体。举例来讲，一条区块链可以看作是一个数据库，构成区块链的每一个区块可以看作是数据库中的一张表，交易单可以看作是每张表上的一条记录(Record)。例如，当患者进行治疗后，本次的医疗数据就成为一个区块加入到该患者电子健康档案的区块链中，主要分为两部分：起始区块和增加区块。每个增加区块都包含前一个区块的哈希值，起始区块包含患者的基本信息，患者每次进行治疗后所得到的医疗数据就只需链接到前一个区块即可。结构如图1所示。

一个区块主要由区块头和区块头以外的内容构成。区块头中包含上一个区块的ID，区块生成者的公钥，由交易单ID生成的Merkle树根哈希值和生成区块的时间截。区块头以外的内容包括区块生成者对于区块头的数字签名，交易单ID的个数，和保存在此区块中所有的交易单ID。数字签名是为了保证区块内容不被篡改，并且确保区块生成者在生成恶意区块后无法抵赖。另外，区块中仅保存交易单的ID，即仅保存指向某个交易单的索引，而不保存交易单本身，这样便可使每个区块容量降低，便于同步与备份。区块、交易单物理上都是保存在数据库里的，在逻辑上以区块链的形式来存储。在交易单设计存储上，实际上只是在正常存储于数据库的数据上添加交易单ID，交易单类型、时间戳、公钥、数字签名等交易单字段信息，将所要存储的信息作为交易单内容，形成逻辑上的交易单，其物理存储上与一般数据存储并无太大区别。

共识算法：

采用PBFT算法作为医疗区块链中的共识算法，是因为PBFT算法是一种适用于联盟链的共识算法，其优势与优点在于：

1)PBFT算法不需要像POW算法那样靠大量算力来避免“51％攻击”的发生，也不用像POS算法或DPOS算法那样需要靠代币作为衡量投票权的标准，就可以允许***中少于个节点出错(数据丢失、不工作等)的情况。

2)PBFT算法作为一种拜占庭容错算法(Byzantine fault tolerance，BFT)在***中存在小于或等于个故障或恶意节点的情况下，才能保证一次分布式共识过程正常执行，这就要求采用PBFT算法的***中的节点，在每次共识过程中至少有个正常节点，因此这些节点所运行的环境必须是相对安全、稳定的。

3)医疗区块链是一种联盟链，参与到医疗区块链中的实体有政府背书，具有一定公信力，并由卫生管理部门严格监管，出现恶意行为的情况远远少于比特币等区块链***。同时经过多年的信息化发展，各医院具有较为完备的网络、服务器和数据库***。因此，现有医疗***可以提供一个相对安全、稳定的运行环境供PBFT算法正常运行。同时，因为运行PBFT算法的集群中各个节点地位平等，不存在投票权高低的情况，避免医疗区块链***验证交易单或区块链时的中心化。因此PBFT算法十分适合医疗区块链。

智能合约：

智能合约是一种无需中介、自我验证、自动执行合约条款的计算机交易协议，近年来随着区块链技术的日益普及而备受关注。区块链上的智能合约具有去中心化、去信任、可编程、不可篡改等特性，可灵活嵌入各种数据和协议，帮助实现安全高效的信息交换、价值转移、财产管理。

智能合约一般具有值和状态两个属性，代码中用If-Then和What-If语句预置了合约条款的相应触发场景和响应规则，智能合约经多方共同协定、各自签署后随用户发起的交易提交，经P2P网络传播、矿工验证后存储在区块链特定区块中，用户得到返回的合约地址及合约接口等信息后即可通过发起交易来调用合约。矿工受***预设的激励机制激励，将贡献自身算力来验证交易，矿工收到合约创建或调用交易后在本地沙箱执行环境(如以太坊虚拟机)中创建合约或执行合约代码，合约代码根据可信外部数据源(也称为预言机，Oracles)和世界状态的检查信息自动判断当前所处场景是否满足合约触发条件以严格执行响应规则并更新世界状态。交易验证有效后被打包进新的数据区块，新区块经共识算法认证后链接到区块链主链，所有更新生效。

结合以上理论，如图2所示，本发明公开了一种基于区块链的电子病历访问控制方法，主要包括如下步骤：

首先制定动态的访问控制策略对患者、医生和其他工作人员进行权限上的分配，将访问控制策略写到智能合约中，来完成对数据访问者的身份认证。然后，对患者的医疗数据进行分块存储，采用去中心化网络部署，使用信息熵的理论，来对信息进行量化处理，根据患者的要求，来设定访问医疗数据的条件，第一点，访问目的与意向目的一致；第二点，对医疗信息进行量化处理，设定信息量容忍度，所访问信息需要小于信息量容忍度。若医生或其他数据访问者的访问目的与患者的意向目的不符，或信息量大于所设定的信息量容忍度，是不允许访问数据的，但是可以再次提出申请，只有当患者同意时，才允许其查看对应区块上所存储的医疗数据。这样解决了的信息交互性差、灵活度不高，患者无法参与对数据的管理等问题。并且每次访问数据时，对访问行为进行记录并存储在区块链上，该访问记录是无法进行篡改的，这样就解决了传统数据库中存在的篡改数据，篡改记录等问题，提高了隐私保护的强度。

信息熵对隐私数据量化处理：

医疗数据涉及健康数据和非健康数据，健康数据是有关于个人身体状况的数据，如诊疗信息，非健康数据为与个人健康状况无直接关系的信息。不同的数据相对于患者的隐私程度不同，访问者得到医疗数据后，不同隐私信息的利用价值是不同的，此时访问者获得的隐私信息量则不能以信息数量衡量。应对不同隐私信息设置不同的权值，在患者的隐私信息中根据利害关系设置不同的比重。

本申请所述方法将患者隐私信息按照隐私保护敏感程度分为3个等级，三类隐私信息的敏感程度不同。一类隐私信息敏感度最高，则对应的权值应该最大，二类、三类隐私信息的权值依次减小，权值的设置根据不同的患者可以设置不同的值，但是权值相加应为1。三类隐私信息隐私保护权值设置如下表1所示。

表1隐私信息权值设置表

一类隐私信息：患者基本信息，如姓名、身份证号、住址、联系方式，等级表示为L₁；

二类隐私信息：患者医疗记录，等级表示为L₂；

三类隐私信息：患者的检测、化验数据，等级表示为L₃。

一类隐私信息是对患者具有指向性的信息，此类信息将需要较高的隐私保护敏感度，二类隐私信息为患者的医疗记录，与疾病诊断治疗相关，包含患者的患病就诊历史，病症，治疗方法。三类隐私信息为患者的检测化验记录，此类信息为单纯的医疗数据，对患者不具备指向性，但是有助于疾病的分析、诊断，具有研究价值，不需要高级别的隐私保护敏感度。

定义一类隐私信息权值为q₁，二类隐私信息权值为q₂，三类隐私信息权值为q₃。

定义访问信息形式为access＝{id,a₁,a₂,a₃……a_n}，a_i为访问信息条目，访问信息条数为n，在不将权值纳入计算时，根据熵的定义计算各条请求的信息量如下：

E_s为整个访问请求将获得的信息量，在计算每条访问信息条目信息量后，按其隐私信息分类，计算各类隐私信息熵，再根据每种隐私信息的权值计算整个访问请求将获得的信息量。***针对每个访问请求的信息量容忍度设为E_t，此值根据不同***可以按具体情况设置。

访问控制策略：

为了实现对数据的细粒度隐私保护访问控制，在基于角色的访问控制模型的基础上进行用户角色设计以及权限分配。患者对自身数据设置意向目的，访问者在访问数据时，需要表明访问目的，然后再与意向目的进行比对。

电子病历***的访问者身份多样，各自需求也不同。需要根据不同的访问者设定不同等级的访问权限。医院的医疗信息***不仅有内部科室访问，同时还设有外部医疗保险接口、社区卫生服务接口、远程医疗咨询***接口，不同的访问者对医疗信息有不同需求。患者对自身的电子病历应当有完全的访问权利，不受限制；医生访问医疗信息主要是利用医疗信息帮助医疗诊断和医学研究，对医疗信息的访问应该有一定的隐私性限制；数据管理员管理医疗数据，对数据操作有极大的权限，并对其他人的访问权限进行人为干预，以满足医疗访问事件的特殊需求，但管理员应该进行数据读取隐私性保护，医疗信息内容的查看受到限制，而外部访问者访问具有很低的权限，获得的医疗信息更少。

医疗数据访问行为是指针对医疗信息的查询、处理、利用等操作。主要操作对象为患者本人、医生、外部访问者以及数据管理人员。根据不同的访问者进行不同的需求行为划分，不同的行为主体分配不同的权限。防止访问者有越权访问行为。用户对自身的医疗信息拥有全部的访问权限，医生对患者的隐私信息主要是进行写入、查询和修改操作，数据管理员主要是对其他用户的权限进行等级分配，对数据进行***管理，但是数据都是经过加密的。

将制定的访问控制策略用智能合约来实现，这样就不需要第三方去验证访问者的身份。只有访问者满足规定，通过身份认证，才可以提出对医疗信息的访问请求。

访问控制方法：

当访问者想要访问医疗数据时，需遵循以下规则实现访问控制。

1)访问者进行身份认证，如认证失败，此次访问结束。如认证通过，提交医疗信息访问请求；

2)接收访问请求，提取患者id和具体请求条目ai；

3)对请求条目按照L1，L2，L3进行分类，记录各类隐私信息条目数s1，s2，s3；

4)计算访问请求信息熵Es；

5)访问目的与意向目的，Es与Et，两两比较，若访问目的与意向目的一致，并且Es<Et，则允许访问；若访问目的与意向目的不同，或者Es>Et，则不允许访问。

区块链的建立主要用来解决几下几个问题：医疗数据的分散，访问缓慢；数据之间的互操作性差；需要提高医学研究的数据质量和数量；患者对自身数据缺乏拥有权和管理权，没有参与对自身医疗数据的管理；医生在访问数据时，可能获取到与本次治疗无关的患者的其他信息。将患者的医疗记录放到区块链中，患者的医疗信息是以密文的形式进行存储的，EMR管理员是无法得到患者的明文的，数据库对患者隐私信息完全不可见。并将患者的每一条医疗记录进行查分，拆分之后进行分块，比如用户的基本信息、医疗诊断、医学报告、医疗实验数据等等，进行分块存储，当需要访问哪块数据时，在得到患者同意后，只取该块的数据，提高了数据安全性。在区块链上的记录使用加密散列的方法以防止篡改，从而跟踪数据完整性。数据库管理员可以添加与特定患者相关联的新记录，并且患者可以授权在访问者之间共享记录。接收新信息的一方都会收到自动通知，并可以在接受或拒绝数据之前验证记录。这使参与者了解情况并参与其记录的演变。将已经存在并广泛使用的ID(例如名称或用户账号)形式映射到该人的一台方地址。在确认权限之后，进行患者数据库信息和访问者之间的数据交换。图3是本申请所述方法的总体流程图，主要分为两大部分进行详细介绍，一部分是为患者增加医疗数据，详细介绍是如何在存储数据阶段来保护患者的医疗数据的隐私。另一部分是数据之间的交互过程，描述了数据在交互过程中所用到的技术以及具体的步骤。接下来将一一介绍具体模块的功能及原理。

为患者增加记录：

在对患者进行初次治疗时，需要将用户基本资料、医疗诊断、医学报告等数据进行存储，这项工作是由EMR管理者负责的，图中步骤①、②、③和④是将用户的每一条医疗记录按照隐私保护敏感程度来分块存储，采用非对称加密技术，用使患者公钥进行加密隐私信息，当进程较多时，可以先放到本地数据库进行缓存，等待数据存储后，在删除本地数据库的信息。如果患者的病历信息的信息量较大并且隐私程度不高，可以建立在区块链上建立索引，而不需要将该信息存储到区块链上。

隐私信息的交互：

该部分包含两个节点，患者节点和医疗信息访问节点。患者节点属于用户端；医疗信息访问节点可以认为是数据需求商，可以是医疗机构等，数据库是本地数据库。该部分主要实现的是患者结合访问者提交的请求和相应信息的隐私度，选择性地从区块链中取出相应区块的信息，返还给访问者的过程。

步骤⑧是访问者在提交访问请求时，触发智能合约所制定的访问控制策略，对其进行身份认证，若认证不通过，则不能提出访问请求。如果认证通过，则向访问结点的EMR管理者发送其所需要的患者信息请求。

步骤⑨EMR管理者在收到请求后，先查看本地数据库中是否存储有相应的存储内容。这时候有三种情况：存在、部分存在、不存在。EMR管理者需要将存在内容对应的请求修改为是否正确、是否需要更新，若无此内容，则不需要对请求改动，继续进行后续操作即可。(因为请求当中有可能涉及患者的部分信息，所以需要利用患者的公钥进行加密，防止被泄密)

步骤⑩是患者节点的EMR管理者将患者的公钥发送给访问结点的EMR管理者。

步骤是EMR管理者将患者公钥加密后的数据请求和访问者的公钥传输给患者节点。

步骤是对患者对EMR管理者发来的数据请求进行判断，结合相应信息的隐私程度，确定对访问者共享的内容请求，发送给EMR管理者。由于数据请求是之前利用患者公钥加密过的，所以再查看的时候需要先利用患者的私钥进行解密。

步骤当EMR管理者收到患者确认过的请求后，将请求中同意的部分和要更新的部分发送给***。如果收到的请求当中没有同意或更新的部分，则不需要进行步骤

***实现了加入和参与区块链网络所需的全部功能。这可以处理大量任务，例如连接到对等网络，编码和发送事务以及保留区块链的经过验证的本地副本。步骤是客户端根据所需信息区块的hash、区块高度和区块哈希得到交易key，从而查询到相关的信息。

步骤***从区块链中得到的信息是被患者公钥加密过得数据，因此需要由患者的私钥进行解密得到明文，发送给EMR管理者。

步骤是患者节点的EMR管理者在将访问者需要的信息或是患者完全拒绝后的结果发送给访问节点的EMR管理者时，需要用之前接收到的访问者的公钥进行加密，已达到保密传输的目的。

步骤是医疗信息访问节点的EMR管理者收到加密后的结果信息后首先将其存入本地数据库当中，留存备份。

步骤是将收到的加密结果先利用访问者密钥进行解密，再发送给访问者，在每次交互过程结束后将本次的访问进行记录，并存储在区块链上。

实例分析：

用户在请求数据时，严格按照访问控制方法进行。接下来将结合相应实例，来对本模型进行讲解。

例一：皮肤科医生Cary提出要访问患者Bob支气管炎(呼吸内科)的检查数据，目的是用于治疗。首先Cary要进行身份认证，对于制定的访问控制策略，医生Cary的身份认证是通过不了的，其没有相应的权限去查看非本科室的患者的医疗数据。这样就通过访问控制对用户的身份及权限进行制约，来达到数据保护的目的。

例二：心血管内科医生Mark提出要访问患者Mary心血管病的医疗数据，访问目的是用于疾病研究，患者Mary心血管病的医疗数据的意向目的是治疗。医生Mark通过了相应的身份认证，其访问目的与意向目的不一致，这样就没有必要在计算本次访问请求信息熵Es，本次访问请求被拒绝，无法查看医疗数据。这样就降低了访问数据的风险，优先考虑患者的要求；若医生Mark认为本次的疾病研究是对疾病起到预防的效果，有利于患者的健康，医生Mark可以再次提出申请，详细说明访问目的，并计算Es并与Et进行比较，将结果与公钥一并发送给EMR管理员，EMR管理者在收到该请求后，将通知患者Mary是否同意该请求，若患者依然拒绝访问请求，医生将得不到医疗数据，本次访问终止；若患者同意该请求，则将自己的肠胃医疗信息进行解密发送给EMR管理员，管理员用Mark的公钥进行加密在发送给Mark，医生Mark使用自己的私钥解密，进而查看数据。这样就在保护患者隐私的前提下，增强了数据访问的灵活性与实时交互性。

例三：临床科医生Jack提出要访问患者Tom的肠胃健康状况，目的是用于进一步的治疗。首先医生Jack的角色是临床主治医生，通过了相应的身份认证，访问目的与意向目的一致，并且比较Es和Et，若Es<Et，则允许访问；医生Jack将自己的请求和公钥发送给EMR管理员，EMR管理者在收到该请求后，将通知患者Tom，患者Tom将自己的肠胃医疗信息进行解密发送给EMR管理员，管理员用Jack的公钥进行加密在发送给Jack，这样就完成了信息的传递。每次访问结束后，EMR管理员会记录下这次访问过程，并存储在区块链上，来解决数据发生泄漏后的追责问题。

安全性分析：

1)文件存储安全：区块链的特性作为一种时间戳系列的账本，一旦共识机制确认，便不发修改内容。如果攻击者想要修改在区块链***中储存的数据，必须仿造一个跟源链一样的主链，而这需要极大算力，这几乎是不可能的。另外在区块链中存储的数据被分成区块序列存储在***中，得到这些数据并按照一定序列顺序拼接才能形成源文件，其概率非常低的，想要按照顺序合成这些文件，也是困难的。假设攻击者能够通过某种手段得到患者保存在***中的数据，但是该数据并不会被查看，也不会被删除或者被修改，因此数据是安全的。

2)数据防篡改：经过加密的文件被储存在区块链中，在得不到患者私钥的情况下，及时文件与源文件一样，也无法解密文件，即攻击者并不能查看患者的医疗数据，从而保证患者隐私安全。假设攻击者能够通过某种手段得到被分成碎片的文件并且按照一定顺序拼接起来，得到跟源文件一样的文件。攻击者想要查看得到文件内容，需要通过患者的私钥才能解密文件。而通过非对称加密的数据文件，想要在不得到私钥的情况下解密是困难的。

3)数据防盗窃：攻击者通过某种手段试图使用一个虚假文件来替换储存在***中的真实文件，在源文件存在的情况下，这是很困难的。在本文中，对于执行智能合约的文件需要进行哈希值重复性检查，当攻击者打算使用一个虚假文件F'执行智能合约通过哈希算法得到的哈希为hash_F'。源文件F执行智能合约，通过哈希算法得到的哈希为hash_F。根据哈希规则，两个内容不是完全相同的文件经过哈希得到的hash值是不同的，即hash_F'≠hash_F。这样虚假文件F'是不能执行合约的，因此，这样就能够保证用户的源文件不能够被攻击者使用的虚假文件所替换，从而保证了用户医疗数据文件溯源安全性。

对比分析：

采用对比分析的方式来对比已有的医疗区块链***与本申请所述方法，目前主要的医疗区块链***有MDSM、MedRec与ModelChain，与现有解决方案对比结果如下：

表2本申请所述方法与现有医疗区块链对比

1)相对于前三个医疗区块链***，本申请所述方法使用信息熵对医疗信息进行量化处理，使访问者得到的信息在***内部有明确的量化控制，***对访问者掌握的隐私信息量知情，防止访问者通过掌握的隐私信息推测出患者的其他信息。除此之外，本文采用动态访问控制策略来对用户的权限进行动态的绑定与撤销，并用智能合约来实现，这样就减少了人力资源。当访问者提出请求时执行智能合约来进行身份认证，防止越权行为的发生，这些特点是其他三个医疗区块链***所不具备的。

2)相对于MDSM***，所需要的启动节点个数远远少于MDSM，且MDSM需要人为设定每个医院是否具有投票的权力与投票在决定最终结果中的比例。

3)相对于MedRec，所需维护区块链***的节点数远远少于MedRec，不需要支付给区块链***共识参与节点报酬，且不需要大量算力去维护区块链***。

4)ModelChain采用了私有区块链的形式，其所需节点个数不确定。但由于工作证明共识机制容易受到“51％攻击”，即节点通过掌握全网超过51％的算力就有能力成功篡改和伪造区块链数据，因此需要较多的节点来“平均”算力，防止这种攻击的发生。所以相对于ModelChain，不需要支付给共识参与节点报酬，需要的节点数也较少。

因此，可以看出，本申请所述方法不需要支付报酬、所需启动与运行节点少、后期可扩展，算力需求小，且不需要人为设置投票权比重，并可以实现对隐私数据量化处理，制定动态访问控制策略，实现权限的有效管理，这些是本方案所独有的特点与优势。

本申请所述方法首先采用访问控制技术，对患者、医生和其他人员进行权限与角色的划分，为保护医疗数据设置第一道屏障。接下来运用区块链技术，对患者的基本资料、医疗诊断、医学报告等进行分块存储，当进行下一次治疗时，需要什么样的病例数据，在患者同意的前提下，只需要取对应块儿的数据，对数据进行了更严格地管理，防止医生或其他人员获取到过多的医疗数据进行非法操作。并对每次交互过程添加记录，传统的数据库***，是可以对存储的数据与访问记录进行修改的，这样就导致，数据发生泄漏时，无法查到问题所在。区块链具有不可篡改性的特点，访问记录和数据在区块链上是无法进行篡改的，这样就有效地解决了该问题。

医疗隐私数据一直缺乏互操作性和共享性，医疗数据中心化的管理方式剥夺患者对数据具有拥有权，使得患者无法参与自身数据的管理。本申请所述方法运用访问控制技术、信息熵技术和区块链技术，对医疗数据的保护进一步提升，提高了数据的完整性，促进了可信数据之间的交换，对医疗数据进行去中心化管理，使患者可以控制数据分享，提升隐私保护。对患者的医疗数据进行分块存储，也可以有效地解决数据挖掘过程中出现的数据泄露问题，只需要把与病情相关的数据进行分析，这就可以做到对某种病情的预测，提前预防，更好地帮助患者保持健康。

Claims (7)

1.一种基于区块链的电子病历访问控制方法，其特征在于包括如下步骤：

首先制定动态的访问控制策略对电子病历访问者进行权限上的分配，将访问控制策略写入到智能合约中，完成对数据访问者的身份认证；

对患者的医疗数据进行分块存储，采用去中心化网络部署，使用信息熵理论来对信息进行量化处理，根据患者的要求，来设定访问医疗数据的条件。

2.如权利要求1所述的基于区块链的电子病历访问控制方法，其特征在于：访问医疗数据的条件包括：1)访问目的与意向目的一致；2)对医疗信息进行量化处理，设定信息量容忍度，所访问信息需要小于设定的信息量容忍度；若数据访问者的访问目的与患者的意向目的不符，或信息量大于所设定的信息量容忍度，不允许访问数据，但是可以再次提出申请，只有当患者同意时，才允许其查看对应区块上所存储的医疗数据。

3.如权利要求1所述的基于区块链的电子病历访问控制方法，其特征在于：每次访问数据时，对访问行为进行记录并存储在区块链上，该访问记录无法进行篡改。

4.如权利要求1所述的基于区块链的电子病历访问控制方法，其特征在于：使用信息熵理论来对信息进行量化处理的方法如下：

应对不同隐私信息设置不同的权值，在患者的隐私信息中根据利害关系设置不同的比重；

将患者隐私信息按照隐私保护敏感程度分为3个等级，三类隐私信息的敏感程度不同；一类隐私信息敏感度最高，则对应的权值应该最大，二类、三类隐私信息的权值依次减小，权值的设置根据不同的患者可以设置不同的值，但是权值相加应为1；

一类隐私信息是对患者具有指向性的信息，此类信息将需要较高的隐私保护敏感度，二类隐私信息为患者的医疗记录，与疾病诊断治疗相关，包含患者的患病就诊历史，病症和治疗方法；三类隐私信息为患者的检测化验记录，此类信息为单纯的医疗数据，对患者不具备指向性，但是有助于疾病的分析、诊断，具有研究价值，不需要高级别的隐私保护敏感度；

定义一类隐私信息权值为q₁，二类隐私信息权值为q₂，三类隐私信息权值为q₃；

定义访问信息形式为access＝{id,a₁,a₂,a₃……a_n}，a_i为访问信息条目，访问信息条数为n，在不将权值纳入计算时，根据熵的定义计算各条请求的信息量如下：

E_s为整个访问请求将获得的信息量，在计算每条访问信息条目信息量后，按其隐私信息分类，计算各类隐私信息熵，再根据每种隐私信息的权值计算整个访问请求将获得的信息量；***针对每个访问请求的信息量容忍度设为E_t，此值根据不同***可以按具体情况设置。

5.如权利要求4所述的基于区块链的电子病历访问控制方法，其特征在于，当访问者想要访问医疗数据时，需遵循以下规则实现访问控制：

1)访问者进行身份认证，如认证失败，此次访问结束；如认证通过，提交医疗信息访问请求；

2)接收访问请求，提取患者id和具体请求条目ai；

3)对请求条目按照L1，L2，L3进行分类，记录各类隐私信息条目数s1，s2，s3；

4)计算访问请求信息熵Es；

5)访问目的与意向目的，Es与Et，两两比较，若访问目的与意向目的一致，并且Es<Et，，则允许访问；若访问目的与意向目的不同，或者Es>Et，则不允许访问。

6.如权利要求1所述的基于区块链的电子病历访问控制方法，其特征在于，所述方法还包括为患者的电子病历增加记录的步骤：

在对患者进行初次治疗时，将用户的每一条医疗记录按照隐私保护敏感程度来分块存储，采用非对称加密技术，用使患者公钥进行加密隐私信息，当进程较多时，先放到本地数据库进行缓存，等待数据存储后，再删除本地数据库的信息；如果患者的病历信息的信息量较大并且隐私程度不高，可以建立在区块链上建立索引，而不需要将该信息存储到区块链上。

7.如权利要求1所述的基于区块链的电子病历访问控制方法，其特征在于，所述方法还包括隐私信息的交互：

患者节点属于用户端；医疗信息访问节点认为是数据需求商，数据库是本地数据库；

访问者在提交访问请求时，触发智能合约所制定的访问控制策略，对其进行身份认证，若认证不通过，则不能提出访问请求；如果认证通过，则向访问结点的EMR管理者发送其所需要的患者信息请求；

EMR管理者在收到请求后，先查看本地数据库中是否存储有相应的存储内容；有三种情况：存在、部分存在或不存在；EMR管理者需要将存在内容对应的请求修改为是否正确、是否需要更新，若无此内容，则不需要对请求改动，继续进行后续操作即可；

患者节点的EMR管理者将患者的公钥发送给访问结点的EMR管理者；

访问结点的EMR管理者将患者公钥加密后的数据请求和访问者的公钥传输给患者节点；

患者节点对EMR管理者发来的数据请求进行判断，结合相应信息的隐私程度，确定对访问者共享的内容请求，发送给EMR管理者；

当EMR管理者收到患者节点确认过的请求后，将请求中同意的部分和要更新的部分发送给***；如果收到的请求当中没有同意或更新的部分，则不需要进行下面的步骤；

***从区块链中得到的信息是被患者公钥加密过得数据，因此需要由患者的私钥进行解密得到明文，发送给EMR管理者；

患者节点的EMR管理者在将访问者需要的信息或是患者完全拒绝后的结果发送给访问节点的EMR管理者时，需要用之前接收到的访问者的公钥进行加密，达到保密传输的目的；

医疗信息访问节点的EMR管理者收到加密后的结果信息后首先将其存入本地数据库当中，留存备份；

将收到的加密结果先利用访问者密钥进行解密，再发送给访问者，在每次交互过程结束后将本次的访问进行记录，并存储在区块链上。