林超,何德彪,黄欣沂
基于区块链的电子医疗记录安全共享
林超1,何德彪2*,黄欣沂1
(1.福建师范大学 计算机与网络空间安全学院,福州 350117; 2.武汉大学 国家网络安全学院,武汉 430072)(∗通信作者电子邮箱 hedebiao@163.com)
针对电子医疗记录(EMR)共享面临的数据提供商集权化、患者数据管理显被动、互操作效率低、恶意传播等问题,提出一种基于区块链的电子医疗记录安全共享方法。首先,基于商用密码SM2数字签名算法提出一种更加安全高效的泛指定验证者签名证明(UDVSP)方案;然后,设计具有上传、验证、检索、撤销等功能的智能合约,构造基于区块链的电子医疗记录安全共享系统;最后,通过安全性分析和性能分析论证UDVSP方案和共享系统的可行性。安全性分析结果表明,所设计的UDVSP方案满足可证明安全性。性能评估结果表明,与现有常用的UDVSP/UDVS方案相比,节省至少87.42%的计算开销和93.75%的通信代价。区块链智能合约原型系统的仿真结果进一步论证了共享系统的安全性和高效性。
电子医疗记录;区块链;SM2数字签名算法;泛指定验证者签名证明;数据共享
随着互联网技术的快速发展,传统的纸质健康档案系统逐渐向功能完备的数字化基础设施转变[1]。电子医疗记录(Electronic Medical Record, EMR)将在不远的将来充斥整个世界。研究EMR共享技术有助于提高医疗保健服务质量、促进生物医学发现和降低医疗成本[2-3]。虽然目前已有众多EMR共享方案,但这些方案面临数据提供商集权化、患者数据管理被动、互操作效率低等问题,难以得到广泛应用。尤其在实际的就诊过程中,患者不局限于特定的医院和医生,可能会去不同的诊所或医院找不同医生进行医疗观察/治疗,或者从一家医院转到另一家医院。
区块链是一种分布式账本技术,因具有公开验证、不可篡改、可编程等特点[4-5],可解决上述问题。目前已有多种方案[3,6-7]尝试利用区块链实现EMR管理与共享,这些方案的通用架构主要包含医生(或医疗机构)、患者、区块链三种角色(图1),其中医生负责生成/发布患者的EMR到区块链,患者可以从链上检索EMR并向其他医生/医疗机构展示。为了节省区块链存储代价,部分方案将原始EMR存储在云端,仅将哈希值、索引、时间戳等摘要信息记录到区块链。
图1 基于区块链的EMR共享通用架构
在现有基于区块链的EMR共享系统中,患者的EMR容易检索和共享,有效提升了EMR的互操作性,同时保证了患者对自身数据的拥有权与使用权。然而,这些系统将面临EMR隐私泄露问题:一方面,区块链的公开透明性导致任意实体均可获取链上的EMR;另一方面,共享后的EMR易被恶意传播。由于加密技术或访问控制技术可有效解决第一个问题[8-9],所以本文主要关注如何保护EMR共享后的隐私。
由于现有的UDVSP方案[10-11]均涉及高耗时的双线性对运算(1次双线性对运算在移动终端的耗时约为32 ms,是椭圆曲线标量乘运算的9倍左右[12]),这将阻碍UDVSP在EMR共享、电子投票、匿名证书、收入汇总管理等领域的应用。因此,本文先基于商用密码SM2数字签名算法提出一种安全高效的UDVSP方案,再设计基于区块链的EMR安全共享系统。由安全性分析与性能评估结果可知,本文设计的UDVSP方案是可证明安全的,且无需高耗时的双线性对运算,与对比方案相比具有较低的计算开销与通信代价。因此,基于本文的UDVSP构建的系统实用性更强。
Steinfeld等[13]在2003年最早提出泛指定验证者签名的概念。这种特殊签名允许指定者(也称签名拥有者)在不泄露签名情况下,让指定验证者相信他/她拥有这个签名。因此,泛指定验证者签名能够有效阻止指定验证者恶意传播签名,适用于EMR、收入汇总等场景,提供隐私保护功能。
为了实现可证明安全,Zhang等[14]在2005年利用SDH(Strong Diffie-Hellman)问题设计了泛指定验证者签名(Universal Designated Verifier Signature, UDVS)方案,Huang等[15]在2008年利用GBDH(Gap Bilinear Diffie-Hellman)问题设计了UDVS方案。上述两个方案的计算开销较大,难以广泛应用。为了提高效率,Lin等[16]在2013年基于BIDH(Bilinear Inverse Diffie-Hellman)问题设计了两种更加高效的UDVS方案,但这两种方案的验证部分仍涉及双线性对运算,效率有待提高。在安全性提升方面,Rastegari等[17]在2019年提出了标准模型下安全的UDVS方案。此外,国内外学者还研究基于标识/无证书的UDVS方案[18-20],并将UDVS与传递签名[21-22]、内容提取签名[23]等其他特殊签名相结合,实现隐私保护。
上述UDVS方案存在公钥初始化问题,指定验证者需要事先利用签名拥有者的系统参数生成公私钥信息,同时申请公钥证书[10]。这在实际生活中极其不便,尤其指定验证者一般已经在不同的系统参数下生成公私钥信息和申请公钥证书。为了验证某实体的签名拥有权,需要更换系统参数重新生成公私钥并申请公钥证书,为验证者带来不便。
Baek等[10]在2005年提出了泛指定验证者签名证明(UDVSP),这是UDVS的一种变形,不仅具有UDVS的可验证性与隐私保护功能,还可有效解决UDVS面临的公钥初始化问题。文献[10]中基于BLS(Boneh-Lynn-Shacham)签名和BB(Boneh-Boyen)签名提出了两种UDVSP方案,但这两种方案均涉及高耗时的双线性对运算,难以支持移动终端或其他轻量级场景。Chen等[11]在2009年提出了基于标识的UDVSP方案,可以避免繁琐的公钥证书管理,但也涉及高耗时的双线性对运算。据调查,目前尚未有无需双线性对运算的UDVSP方案在国内外刊物上公开发表。
为了满足医疗领域面临的身份验证、互操作性、数据共享、隐私保护等需求,国内外学者利用区块链技术提出了一系列解决方案。Mettler[24]在2016年利用以太坊设计了一种EMR共享网络基础设施,能实现患者与医生之间无缝共享患者的EMR,但无法保证EMR被恶意修改和滥用。Yue等[9]在2016年利用区块链技术提出了一套医疗数据网关(Healthcare Data Gateway, HDG)系统,主要在统一数据模式下存储和组织电子医疗数据,支持患者拥有、控制和共享自身EMR。虽然HDG系统尝试在提供数据隐私保护的同时实现数据安全共享,但无法支持用户自定义共享电子医疗数据和数据共享后的隐私保护。
Azaria等[8]在2016年结合云存储和区块链提出了具有认证、保密、可靠、共享等特点的Medrec模型。Medrec虽然可以保障患者和医生之间的数据互操作性,但存在电子医疗数据共享后隐私泄露问题。Roehrs等[25]在2017年为了实现物理健康记录(Physical Health Record)的分发性和互操作性,提出了支持跨卫生组织的健康记录统一视图模型。虽然这种模型可以解决EMR与物理健康记录之间的差异性问题,但存在数据共享范围受限、隐私泄露隐患等不足。薛腾飞等[26]在2017年利用区块链和代理重加密技术提出了新的医疗数据共享模型,可以解决各医疗机构间数据共享难题,但存在数据共享复杂和隐私泄露问题。
2018年,Liu等[3]结合区块链技术、密文策略属性基加密(Ciphertext-Policy Attribute-Based Encryption, CPABE)和内容提取签名(Content Extraction Signature),提出了一种具有隐私保护功能的EMR共享方案。Wu等[27]在2019年引入数据掩码技术和星际文件系统(Inter Planetary File System),设计了高效的区块链EMR共享模型。2020年,Li等[28]设计了新的基于区块链的电子医疗纪录共享系统,解决了相互信任问题和EMR存储/共享安全问题。
上述基于区块链的EMR共享系统虽然能够解决一些访问控制、数据存储、身份隐私等安全问题,但均未考虑EMR共享后的隐私泄露问题。本文主要解决该问题,既实现数据有效性验证,又防止数据被恶意传播。
基于区块链的EMR安全共享系统主要包括医生、患者、区块链三种角色(如图2)。
图2 系统模型
医生角色主要为患者诊断服务,是EMR的生成者。收到患者的门诊请求后(步骤①),医生为患者诊断生成EMR,然后将EMR盲化处理后上传到区块链(步骤②),再将盲化因子返回给患者(步骤③)。此外,本角色在提供诊断服务时,可要求患者提供过往EMR(步骤⑤),并从区块链检索相关数据进行验证(步骤⑥)。
患者角色是EMR的拥有者,在接受医生诊断后获取EMR的相关证明凭证(即前述的盲化因子),利用此凭证验证EMR的有效性(步骤④)。在更换其他医生时,患者可提供过往EMR获取更准确、更高效的医疗服务,但为了避免EMR被恶意传播,患者不直接提供EMR,而是利用盲化处理的EMR和盲化因子向新医生证明(步骤⑤)。
区块链角色是分布式账本,用于维护患者的盲化EMR列表,提供EMR的上传(步骤②)、验证(步骤④)、检索(步骤⑥)、撤销(步骤⑦)服务。此角色主要分为公有链和联盟链,其中公有链允许任何实体共同维护账本,而联盟链仅由授权节点维护账本。在系统实现部分,本文将采用智能合约实现上述功能。
系统需要满足以下性质:
完备性(Completeness) 本性质用于保障系统的正确性/可靠性。有效盲化因子生成的EMR拥有证明可被验证通过。假设用户没有盲化因子,将无法生成有效的EMR拥有证明。
兼容性(Compatibility) 本性质用于保障系统的实用性。要求系统实现不受限于区块链的类型,也就是既能支持以太坊等公有链,也能支持超级账本等联盟链。
国家密码管理局2010年颁布的SM2数字签名算法,已成为国际标准数字签名ISO/IEC 14888―3和国家商用密码公钥算法标准GM/T 000.3―2012[29]。该算法包括初始化(Setup)、密钥生成(Key Generation, KGen)、签名(Sign)和验证(Verify )四个算法:
SM2数字签名算法满足正确性、自适应选择攻击存在不可伪造性(Existential UnForgeability on adaptively Chosen Message Attacks, EUF-CMA)和抗密钥替换攻击[29]。
R-IM指UDVSP能够保证没有签名的敌手无法冒充诚实的签名拥有者。该性质可分为抗类型1冒充攻击(R‑IM‑TYPE‑1)和抗类型2冒充攻击(R‑IM‑TYPE‑2)。
基于SM2数字签名算法设计的UDVSP,可以避免双线性对运算,有效提升性能。本文设计的UDVSP包括USetup、UKGen、USign、UVerf、UTran和UIVerf六个算法:
系统需要提供盲化EMR的上传、验证、检索、撤销等服务,本文利用智能合约进行实现。当且仅当盲化EMR被上传到智能合约,患者才能利用盲化因子提供有效的EMR证明,同时要求仅有授权的医生才能够上传/撤销盲化EMR。本文的智能合约主要包括Upload、Check、Get、Revoke四个算法(算法1)。
算法1 Smart Contract on EMRList。
输入 Function name, invoked parameters;
输出 Setting up functions。
address[]; % 定义授权医生列表
structure% 定义数据结构体
uint256; % 一部分盲化EMR
uint256; % 另一部分盲化EMR
FUNCTION EMRList(address[20])
% 构造函数,智能合约部署时自动执行
FOR(= 0;<;++)
[];
ENDFOR
mapping(uint256 =>);
FUNCTION Upload(,) returns ()
授权医生调用该算法上传盲化EMR
(,); % 计算索引值
[].;
[].;
RETURN;
FUNCTION Check(,) returns (bool)
调用该算法可判断盲化EMR是否上传
(,); % 计算索引值
IF ([].&&[].)
RETURN true;
ELSE RETURN false;
ENDIF
FUNCTIONGet() returns (uints256[2])
调用该算法可检索盲化EMR
=[].;
[].;
RETURN (,);
FUNCTION Revoke()
授权医生可调用该算法撤销盲化EMR
(,); % 计算索引值
[].null;
[].null;
为了分析系统的安全性,本文首先证明UDVSP的安全性。由于UDVSP的EUF-CMA与SM2数字签名算法的EUF-CMA保持一致,所以本文主要分析UDVSP的R‑IM‑TYPE‑1 (定理1)和R‑IM‑TYPE‑2(定理2)。
定理1 若UDVSP的UIVerf交互式协议满足诚实验证者零知识性(Honest-verifier Zero-knowledge),则UDVSP具有R‑IM‑TYPE‑1的性质。
算法2 UIVerf协议的模拟器Sim。
定理2 若SM2数字签名算法具有EUF-CMA的性质,则UDVSP具有R‑IM‑TYPE‑2的性质。
在上述基础上,本文进一步分析系统的完备性、不可链接性和兼容性。
完备性 系统的完备性一方面是因为UDVSP的“UTran与UIVerf一致”,另一方面是转换密钥仅患者和医生可知,其他人无法生成有效的盲化EMR证明。
兼容性 在系统设计中,主要利用区块链智能合约进行实现,所以任何支持智能合约功能的区块链均适用,例如:支持Solidity语言的公有链以太坊和支持Go语言的联盟链超级账本。
本章从燃气(Gas)消耗、计算开销和通信代价讨论系统性能。
1)燃气消耗:为评估系统的燃气消耗,本文采用以太坊测试平台Remix (https://remix.ethereum.org/)实现。Remix采用编译器(0.4.23+commit.124ca40d.Emscripten.clang)、语言(Solidity)、以太坊虚拟机(Ethereum Virtual Machine, EVM)版本(默认)、部署环境(Javascript虚拟机)、功能插件(调试器、部署/运行、Solidity编译器、Solidity静态分析)。
在上述配置的Remix中编译和部署智能合约代码,得到图3的燃气消耗情况。其中,据CoinMarketCap 2021年7月26日行情,1 Ether约等于2 000美元(United States of America Dollar, USD),最高燃气限制设为3 000 000 gas,每个燃气设为2 GWei (约为0.006 Ether和12 USD)。合约部署Deploy消耗交易燃气最多,约为3.208 0 USD (其中包含执行燃气1.293 6 USD),其余的Upload、Check、Get和Revoke算法消耗的交易燃气均小于0.45 USD,尤其是Check、Get和Revoke仅消耗gas分别为0.111 7 USD、0.111 0 USD和0.126 8 USD。由于Deploy仅需执行一次,而其余算法在系统中需要重复调用,所以上述的交易燃气消耗情况合理,满足实际应用需求。
图3 智能合约算法的燃气消耗情况
2)计算开销与通信代价:系统的计算开销与通信代价主要由UDVSP方案引起,所以本文首先理论分析UDVSP的计算开销与通信代价;同时,分析对比本文的UDVSP与现有常用的UDVSP/UDVS方案(包括UDVSP‑1[10]、UDVSP‑2[10]、UDVS‑1[15]和UDVS‑2[17])。本文将UDVS的两个密钥生成算法统一为UKGen算法,且通信代价部分主要考虑UIVerf交互协议的通信代价。从理论分析对比结果(表1)可知,本文UDVSP的计算开销和通信代价均比现有方案更优,主要是因为本文的UDVSP避免了高耗时的双线性对运算和全域哈希函数计算。
表1 理论性能分析对比结果
表2 符号定义和耗时情况
表3 实际性能对比结果
虽然泛指定验证者签名证明(UDVSP)可以解决现有基于区块链的EMR共享系统面临的恶意传播问题,但现有的UDVSP方案均涉及高耗时的双线性对运算。本文先利用SM2数字签名算法设计了一种更加安全高效的UDVSP方案,并构建了基于区块链的EMR安全共享系统。为了说明UDVSP方案和共享系统具有实用性,本文首先证明本文UDVSP的安全性,然后在此基础上分析系统的安全性,最后通过性能对比和仿真结果进行论证。
[1] TAMERSOY A, LOUKIDES G, NERGIZ M E, et al. Anonymization of longitudinal electronic medical records[J]. IEEE Transactions on Information Technology in Biomedicine, 2012, 16(3): 413-423.
[2] OHNO-MACHADO L. Sharing data from electronic health records within, across, and beyond healthcare institutions: current trends and perspectives[J]. Journal of the American Medical Informatics Association, 2018, 25(9): 1113-1113.
[3] LIU J, LI X, YE L, et al. BPDS: A blockchain based privacy-preserving data sharing for electronic medical records[C]// Proceedings of the 2018 IEEE Global Communications Conference. Piscataway: IEEE, 2018: 1-6.
[4] LIN C, HE D, HUANG X, et al. BSeIn: a blockchain-based secure mutual authentication with fine-grained access control system for industry 4.0[J]. Journal of Network and Computer Applications, 2018, 116: 42-52.
[5] 祝烈煌,高峰,沈蒙,等. 区块链隐私保护研究综述[J]. 计算机研究与发展,2017, 54(10): 2170-2186.(ZHU L H, GAO F, SHEN M, et al. Survey and privacy preserving techniques for blockchain technology[J]. Journal of Computer Research and Development, 2017, 54(10): 2170-2186.)
[6] DUBOVITSKAYA A, XU Z, RYU S, et al. Secure and trustable electronic medical records sharing using blockchain[C]// Proceedings of the 2017 American Medical Informatics Association Annual Symposium. Washington, DC: AMIA Publications, 2017: 650.
[7] USMAN M, QAMAR U. Secure electronic medical records storage and sharing using blockchain technology[J]. Procedia Computer Science, 2020, 174: 321-327.
[8] AZARIA A, EKBLAW A, VIEIRA T, et al. MedRec: using blockchain for medical data access and permission management[C]// Proceedings of the 2nd International Conference on Open and Big Data. Washington, DC: IEEE Computer Society, 2016: 25-30.
[9] YUE X, WANG H, JIN D, et al. Healthcare data gateways: found healthcare intelligence on blockchain with novel privacy risk control[J]. Journal of Medical Systems, 2016, 40(10): 1-8.
[10] BAEK J, SAFAVI-NAINI R, SUSILO W. Universal designated verifier signature proof (or how to efficiently prove knowledge of a signature)[C]// Proceedings of the 11th International Conference on the Theory and Application of Cryptology and Information Security, LNSC 3788. Berlin: Springer, 2005: 644-661.
[11] CHEN X, CHEN G, ZHANG F, et al. Identity-based universal designated verifier signature proof system[J]. International Journal of Network Security, 2009, 8(1): 52-58.
[12] ABBASINEZHAD-MOOD D, NIKOOGHADAM M. An anonymous ecc-based self-certified key distribution scheme for the smart grid[J]. IEEE Transactions on Industrial Electronics, 2018, 65(10): 7996-8004.
[13] STEINFELD R, BULL L, WANG H, et al. Universal designated-verifier signatures[C]// Proceedings of the 9th International Conference on the Theory and Application of Cryptology and Information Security, LNCS 2894. Berlin: Springer, 2003: 523-542.
[14] ZHANG R, FURUKAWA J, IMAI H. Short signature and universal designated verifier signature without random oracles[C]// Proceedings of the 3rd International Conference on Applied Cryptography and Network Security, LNSC 3531. Cham: Springer, 2005: 483-498.
[15] HUANG X, SUSILO W, MU Y, et al. Secure universal designated verifier signature without random oracles[J]. International Journal of Information Security, 2008, 7(3): 171-183.
[16] LIN H Y. Secure universal designated verifier signature and its variant for privacy protection[J]. Information Technology and Control, 2013, 42(3): 268-276.
[17] RASTEGARI P, BERENJKOUB M, DAKHILALIAN M, et al. Universal designated verifier signature scheme with non-delegatability in the standard model[J]. Information Sciences, 2019, 479: 321-334.
[18] SEO S H, HWANG J Y, CHOI K Y, et al. Identity-based universal designated multi-verifiers signature schemes[J]. Computer Standards & Interfaces, 2008, 30(5): 288-295.
[19] CAO F, CAO Z. An identity based universal designated verifier signature scheme secure in the standard model[J]. Journal of Systems and Software, 2009, 82(4): 643-649.
[20] CHANG T Y. An ID-based multi-signer universal designated multi-verifier signature scheme[J]. Information and Computation, 2011, 209(7): 1007-1015.
[21] HOU S, HUANG X, LIU J K, et al. Universal designated verifier transitive signatures for graph-based big data[J]. Information Sciences, 2015, 318: 144-156.
[22] LIN C, WU W, HUANG X, et al. A new universal designated verifier transitive signature scheme for big graph data[J]. Journal of Computer and System Sciences, 2017, 83(1): 73-83.
[23] WANG M, ZHANG Y, Ma J, et al. A universal designated multi verifiers content extraction signature scheme[J]. International Journal of Computational Science and Engineering, 2020, 21(1): 49-59.
[24] METTLER M. Blockchain technology in healthcare: the revolution starts here[C]// Proceedings of the 18th International Conference on E-health Networking, Applications and Services. Piscataway: IEEE, 2016: 1-3.
[25] ROEHRS A, DA COSTA C A, DA ROSA RIGHI R. OmniPHR: a distributed architecture model to integrate personal health records[J]. Journal of Biomedical Informatics, 2017, 71: 70-81.
[26] 薛腾飞,傅群超,王枞,等. 基于区块链的医疗数据共享模型研究[J]. 自动化学报,2017, 43(9): 1555-1562.(XUE T F, FU Q C, WANG C, et al. A medical data sharing model via blockchain[J]. Acta Automatica Sinica, 2017, 43(9): 1555-1562.)
[27] WU S, DU J. Electronic medical record security sharing model based on blockchain[C]// Proceedings of the 3rd International Conference on Cryptography, Security and Privacy. New York: ACM, 2019: 13-17.
[28] LI L,YUE Z, WU G. Electronic medical record sharing system based on hyperledger fabric and interplanetary file system[C]// Proceedings of the 5th International Conference on Compute and Data Analysis. New York: ACM, 2021: 149-154.
[29] ZHANG Z, YANG K, ZHANG J, et al. Security of the SM2 signature scheme against generalized key substitution attacks[C]// Proceedings of the 2nd International Conference on Research in Security Standardisation, LNSC 9497. Cham: Springer, 2015: 140-153.
Blockchain‑based electronic medical record secure sharing
LIN Chao1, HE Debiao2*, HUANG Xinyi1
(1,,350117,;2,,430072,)
To solve various issues faced by Electronic Medical Record (EMR) sharing, such as centralized data provider, passive patient data management, low interoperability efficiency and malicious dissemination, a blockchain-based EMR secure sharing method was proposed. Firstly, a more secure and efficient Universal Designated Verifier Signature Proof (UDVSP) scheme based on the commercial cryptography SM2 digital signature algorithm was proposed. Then, a smart contract with functionalities of uploading, verification, retrieval and revocation was designed, and a blockchain-based EMR secure sharing system was constructed. Finally, the feasibilities of UDVSP scheme and sharing system were demonstrated through security analysis and performance analysis. The security analysis shows that the proposed UDVSP is probably secure. The performance analysis shows that compared with existing UDVSP/UDVS schemes, the proposed UDVSP scheme saves the computation cost at least 87.42% and communication overhead at least 93.75%. The prototype of blockchain smart contract further demonstrates the security and efficiency of the sharing system.
Electronic Medical Record (EMR); blockchain; SM2 digital signature algorithm; universal designated verifier signature proof; data sharing
This work is partially supported by National Natural Science Foundation of China (62102089), Fundamental Research Funds for Central Universities (2042021kf1030).
LIN Chao, born in 1991, Ph. D., lecturer. His research interests include applied cryptography, blockchain.
HE Debiao, born in 1980, Ph. D., professor. His research interests include applied cryptography, cryptographic protocol, cloud computing security.
HUANG Xinyi, born in 1981, Ph. D., professor. His research interests include applied cryptography, network security.
1001-9081(2022)11-3465-08
10.11772/j.issn.1001-9081.2021111895
2021⁃11⁃09;
2021⁃12⁃18;
2022⁃01⁃05。
国家自然科学基金资助项目(62102089);中央高校基本科研业务费专项资金资助项目(2042021kf1030)。
TP309.2
A
林超(1991—),男,福建平和人,讲师,博士,CCF会员,主要研究方向:应用密码学、区块链;何德彪(1980—),男,山东聊城人,教授,博士,CCF会员,主要研究方向:应用密码学、安全协议、云计算安全;黄欣沂(1981—),男,江苏仪征人,教授,博士,CCF会员,主要研究方向:应用密码学、网络安全。