基于区块链的动态同意架构以支持临床基因组数据共享(consentedchain):概念验证研究

简介

概述

随着快速有效的下一代测序技术的出现，不相关和分散的基因组数据已成为诊断罕见疾病的主要挑战。罕见疾病的分子诊断包括将患者的遗传变异数据与大量人群中患有类似疾病的其他患者的遗传变异数据进行比较。因此，遗传数据库和实验室之间的数据共享对于确定重叠结果和确定变异的致病意义以诊断罕见遗传疾病至关重要。

需要克服的最常见的挑战之一是，由于隐私和安全问题，基因组数据通常保存在集中的限制性访问存储库中[1-7];因此，这些数据很难在拥有它们的实验室之外找到或获得。一项深入的定性研究揭示，目前通过限制性访问存储库访问和共享基因组数据的方法既耗时又困难，并强调基因组数据的可用性、可发现性和可访问性是促进基因组数据共享的瓶颈[8］．还有进一步的挑战阻碍了基因组数据的大规模共享，包括缺乏获得共享同意所需的时间和资源[9]，缺乏资源和基础设施来追踪和重新联系患者[10，11]，缺乏互用性[1，2，12，13]，以及伦理问题[1，13-15］．

上述一些挑战是采用集中式架构来存储、共享和访问基因组数据的结果。在这样的架构中，数据存储在集中的数据库中，并通过受控的访问机制进行访问。尽管这种收集和管理基因组数据的方法在过去已被证明是成功的，但研究表明，这种集中式架构未能适当地满足访问基因组数据日益增长的需求[16，17］．这令人担忧，因为基因组数据的可发现性、可用性和可获得性对于罕见遗传疾病的诊断至关重要[8，18］．

针对与基因组数据集中存储相关的挑战，已经提出了各种解决方案。例如，联邦数据存储系统已被提议支持基因组数据共享。GA4GH信标计划[19]和i2b2数据共享网络[20.都是这类系统的例子。两者都使用联邦网络连接机构的基因组数据库，这使他们能够处理有关遗传变异和性状存在的查询。这也降低了基因组数据传输的成本，并允许机构保持数据控制[21］．然而，这样的系统有一些缺点，包括它们不能支持复杂的查询，对研究机构和医院的限制，不允许患者参与贡献或控制他们的基因组数据，以及缺乏分散的治理[21，22］．

去中心化和分布式技术被认为是促进基因组数据共享的潜在解决方案[23，24］．这种技术的一个新兴例子是区块链技术。作为去中心化和分布式技术，区块链技术具有许多吸引人的特性，如数据完整性和可问责性，可用于提高基因组数据的完整性、可发现性和可访问性，从而朝着支持促进基因组数据共享的新的可信基础设施发展。本文提出了基于区块链的动态同意架构来支持基因组数据共享。我们提出了一些设计注意事项，并描述了所提议的名为consentedchain的体系结构的概念验证实现。源代码可在Mendeley数据[25在麻省理工学院的许可下。

背景

区块链

概述

区块链是一种协议，使计算机网络(称为节点)能够维护一个称为账本的共享数据库，而不需要网络节点之间完全信任[26］．它最初是在2009年作为点对点电子现金系统比特币的底层基础设施开发的[27］．其他区块链平台，包括以太坊[28]和Hyperledger Fabric [29]，已成为下一代区块链技术，并实现了智能合约的概念，智能合约最初由Nick Szabo在20世纪90年代提出，旨在通过计算机网络在双方之间建立数字关系[30.］．在区块链中，智能合约是在区块链中根据预定义的条件存储、执行和验证的计算机程序，不需要任何可信任的第三方[31］．智能合约执行的结果是记录在区块链上的交易[28］．以太坊智能合约是使用高级编程语言编写的，如Solidity和Vyper;因此，它们很容易受到编码错误和恶意缺陷的影响[32］．

区块链结构

区块链由两个主要组件组成:点对点网络和分布式账本。

• 点对点网络:理解点对点网络对于理解区块链至关重要，因为在其核心，区块链是一个点对点网络。如上所述，点对点网络由许多被称为节点的连接计算机组成。网络中的每个节点都与其他网络节点有直接或间接的连接。每个节点将其部分计算资源(即处理能力或存储容量)直接提供给其他节点，而不需要服务器的集中协调[33］．与集中式网络不同，点对点网络没有中央控制，每个网络节点与所有其他网络节点相同。此外，所有节点都同时充当服务器和客户端。图1说明集中式和点对点网络的体系结构。

‎ 查看此图

• 分布式账本:网络中的所有交易都存储在共享账本中。它由一个区块链组成，每个区块包含一组交易。每个块都有时间戳，并链接到它前面的块。每个节点维护共享分类帐的相同副本。为了添加新的交易，网络节点使用共识协议来评估和验证新交易。该协议保证只有当大多数节点验证交易时，才会将交易追加到共享账本。一旦事务被追加到共享账本，它就不能被更改或恢复，而且由于所有节点都有共享账本的相同副本，因此没有节点有权更改数据。这确保了共享账本的完整性。然而，最近的研究已经证明，通过51%的攻击改变共享账本是可行的，其中对手可以控制区块链网络中一半以上的节点来改变共享账本[34］．图2说明了一个简化的区块链概念。

‎ 查看此图

区块链的类型

根据对数据的访问和参与网络的节点的角色，区块链分为4种类型[35］．

1. 公众无许可。任何人都可以参与网络并从区块链读取或写入数据。比特币和以太坊是公共许可区块链的例子。
2. 公共许可。任何人都可以参与网络并从区块链中读取数据，但有限的参与者可以在区块链中写入数据。纹波(36]和EOSIO区块链[37]是公共许可区块链的例子。
3. 私人无许可。有限的参与者可以参与一个网络，其中所有参与者都可以从区块链中或在区块链中读取或写入数据。Holochain [38]是一个私有无权限区块链的例子。
4. 私人的许可。有限的一组参与者可以参与网络并从区块链读取数据，但其中的一个子集可以在区块链中写入数据。超级账本结构[39]和超级账本Besu [40]是私人许可的区块链的例子。

动态同意和区块链

动态同意是一种双向沟通方法，使个人能够通过设置和修改他们的同意偏好来指定他们愿意与各种医疗保健提供者共享哪些数据。它使个人能够通过授予和撤销对他们的数据的访问、跟踪他们的数据以及更新他们的同意首选项来控制他们的数据。尽管有这些好处，但由于伦理、法律和数据安全方面的考虑，动态同意在临床遗传学中的实施是有限的。缺乏耐心的信任[41，42]、保密资料及滥用[42，43]，以及缺乏可追溯性和透明度机制[44-47都是最令人担忧的问题之一。区块链技术具有许多吸引人的特性，例如不变性、透明性和可问责性，这些特性可以解决一些阻碍动态同意实现的障碍。区块链可以支持动态同意，具体如下:通过不可变的账本实现数据透明和问责，使用加密机制实现数据安全和隐私，通过智能合约实现高效管理系统。

方法

基因组数据共享的潜力

确定区块链是否适用于特定场景并不是一件容易的任务。虽然没有关于区块链的适用性的通用公式或规则，但已经提出了几种决策方案，以确定是否应根据情况要求使用区块链[48-50］．Wüst和Gervais [48]提出了一种决策树来识别区块链基于场景的适用性，如图3．该决策树由6个问题组成。接下来，我们通过考虑我们的基因组数据共享场景来回答这些问题。

‎ 查看此图

1. 你需要存储状态吗?这个问题的答案是肯定的。诊断患有罕见遗传疾病的患者是一项复杂而耗时的任务，因为它涉及从多个来源收集数据[51］．例如，要回答一个简单的问题，即与特定疾病相关的患者的突变是否在另一个个体中报告过与相同或类似的疾病，就需要从与临床病例相关的多个数据库中访问先前存在的遗传和表型数据[51，52］．因此，使用区块链统一获取先前存在的基因型和表型数据可以提高罕见疾病的发现和诊断。此外，访问这些数据库涉及到法律和道德义务，包括患者的同意。例如，患者必须控制自己的数据，并跟踪在任何给定时间谁可以访问他们的数据。因此，使用区块链将保证患者同意的存储和收集，以及同意的管理和数据的可追溯性。
2. 是否有多个数据写入器?在临床基因组学中，患者治疗途径涉及多方，如临床医生、科学家和临床实验室技术人员[51］．因此，患者数据需要一个单一的真实来源。由于区块链的不可变性，可以保证患者数据的存在以及数据的所有权和完整性。因此，考虑到患者数据是多方产生和传递的，这个问题可以回答yes。
3. 你能使用一个始终基于网络的可信第三方吗?信任和同意是基因组医学和研究成功推进的重要因素。患者应该相信他们的数据是安全处理的，并且只有在他们同意的情况下才会使用。英国基因组最近的一份报告[53]表明，患者和公众对基因组医学的潜力持乐观态度，但他们对数据的安全性和使用存在担忧。有理由提到，患者更信任医疗保健提供者，而不是任何第三方的数据。然而，由于患者数据泄露事件备受关注[54，55这种信任已经被打破。区块链可以通过其健壮的技术基础设施和加密机制在系统参与者之间建立信任，从而消除对受信任方的需求。因此，这个问题的答案可能是否定的。
4. 所有的作家都是已知的吗?要生成、管理和存储患者数据，卫生保健提供者必须表明自己的身份。此外，患者需要确认自己的身份才能与医疗保健提供者联系。因此，对这个问题的明确回答是肯定的。
5. 所有的作家都可信吗?尽管患者和卫生保健提供者之间需要最低程度的信任，但卫生保健提供者可能在未获得患者明确同意的情况下将患者数据用于研究目的[56-58］．区块链通过提供存储数据的审计跟踪和可追溯性，实现了系统的问责制和透明度，从而加强了患者对医疗保健提供者的信任。因此，这个问题的答案可能是否定的。
6. 是否需要公共可验证性?即使患者数据没有直接存储在区块链(链外存储)中，对系统的访问也应该是私有的和允许的。因此，这个问题的答案是否定的。

根据对这6个问题的回答，很明显，在提议的基因组数据共享场景中使用区块链是合理的。

设计要求

概述

为了确定同意链的设计要求，我们分析了最近一项与国家卫生服务(NHS)基因组医学服务患者关于共享基因组数据的公众意见的审议性焦点小组研究(国家研究伦理委员会伦理批准参考文献18/NW/0510) [59］．我们使用用户故事方法[60]，以撷取主要系统设计需求。我们使用卡片分类从手稿中收集数据。我们用我们的解释来代表研究参与者在简单用户故事中所做的陈述。然后，我们与焦点小组研究团队讨论这些用户故事，以完善它们。我们强调，焦点小组研究的结果部分适用于我们区块链用例的场景。最后确定了6个设计需求。

需求1:数据发现

用户故事

作为一名患者，我希望我的数据可以共享，以方便我的诊断和治疗。

作为一名患者，我希望我无法识别的数据能够被更广泛地分享，以帮助其他人的治疗，并促进广泛的研究。

作为一名患者，我希望我的数据可供不同的医疗保健提供商使用，这样我就不必每次访问新的医疗保健提供商时都重复自己说的话。

上下文

研究参与者允许共享他们的基因组数据，以支持多个医疗保健提供者对他们的病情进行诊断和治疗。他们还同意将他们的基因组数据用于其他有类似遗传状况的患者，并用于未来的研究。

对系统设计的启示

该系统应允许卫生保健专业人员和研究人员发现和访问存储在单个遗传实验室的感兴趣的基因组数据集的信息。

需求二:数据安全

用户故事

作为一名患者，我希望实施数据安全方面的最佳实践，以保护我的数据，使其免受黑客攻击和丢失。

作为一名患者，我希望有不同层次的目的来访问我的数据，这样它们就可以用于授权的目的。

上下文

与会者一致认为，基因组数据应安全地存储和共享，不得进行未经授权的更改，同时可用于授权目的。

对系统设计的启示

应使用数据加密和访问控制等安全技术来保护敏感数据。由于区块链的公开透明性质，敏感数据(加密或未加密)不应存储在链中。

要求三:数据隐私

用户故事

作为一名患者，我希望我的基因数据在没有我的身份信息(例如，我的名字)的情况下被共享，这样我的身份就不会受到损害。

上下文

参与者强调，在患者直接护理之外共享的基因组数据应该匿名化，以保护他们的身份。

对系统设计的启示

该系统应允许患者数据在相关各方之间流动，同时最大限度地减少患者身份泄露的风险。

需求4:患者对数据的控制和需求5:可追溯性

用户故事

作为一名患者，我想同意出于某些明确概述的目的分享我的数据，这样就不需要进一步的同意了。

作为患者，我想知道分享我的数据的目的是否改变了，这样我就可以选择明确地允许新的改变。

作为一名患者，我希望能够以一种直接和简单的方式更新/撤回我的同意，这样我以后就可以改变主意了。

作为一名患者，我希望能够跟踪我的共享数据，以便知道我的数据是在何时与谁共享的。

上下文

参与者认为，他们应该被允许分享他们的数据，并被告知他们的数据将如何使用以及用于什么目的。此外，一些人认为他们将行使选择退出的权利。

对系统设计的启示

该系统应该允许患者动态地更新他们的权限，并跟踪与不同方共享的数据。

要求6:最低限度的数据披露

用户故事

作为一名患者，我希望指定不同级别的角色请求者访问我的数据，这样只有授权方才能获得访问权限。

作为一个病人，我希望对我的共享数据有一个时间限制，这样以后就不能用于其他目的了。

上下文

一些参与者担心未经授权将其数据披露给第三方，包括家庭成员、雇主和执法机构，而其他人则担心商业实体对其数据的访问受到限制。

对系统设计的启示

该系统的设计应该允许在特定的时间框架和特定目的下共享患者数据。

同意元素

受全球基因组学和健康联盟(GA4GH)数据使用本体努力的启发，对基因组数据使用限制和数据访问请求进行建模[61，62]，我们开发了一个本体模型，将患者同意元素表示为机器可读的代码。该模型包括描述数据类型、目的和数据请求者(DR)角色的同意元素。表1-3.展示同意元素及其代码的抽象视图。我们还引入了一个访问策略树，表示一个布尔公式，该公式定义了同意元素的组合。任何满足该树的数据访问请求都可以获得对患者数据的访问。图4显示了允许临床医生访问患者基因型数据进行治疗的访问策略树的示例。

‎ 查看此图

相关工作

我们使用PRISMA(系统评价和元分析首选报告项目)指南进行了系统评价，以分析医疗保健管理系统中使用的基于区块链的同意数据的现有文献。此系统评审的PRISMA流程图如图所示图5．为了本综述的目的，使用所示的搜索查询搜索了一个信誉良好的数据库(PubMed)文本框1．最终的研究论文(N=54)被导入到基于web的应用程序工具Covidence中，用于管理系统评价。在接下来的步骤中，研究论文根据标题和摘要进行筛选，与同意管理系统无关的研究论文被排除(n=20)。然后，对其余的研究论文(n=34)进行全文合格性评估，并采用以下排除标准:

• 未解释同意管理(n=13)
• 没有提供实现(n=2)
• 无法访问全文(n=2)
• 回顾和想法(n=6)

‎ 查看此图

其他相关研究论文通过引用数确定(n=3)。对剩余的研究论文和已确定的相关研究论文(n=10)进行了深入分析。最后的研究结果总结在多媒体附件1［63-72］．

陈塔拉等[63他提出了一个基于区块链的隐私保护框架，称为Healthchain，以支持电子健康记录(EHR)访问控制和管理。该框架是使用Hyperldger Fabric星际文件系统(IPFS)实现的。为了实现EHRs的不变性，它们被存储在IPFS中，只有EHRs的哈希值存储在区块链中。智能合约用于系统中EHR事务的逻辑建模，包括数据交换、访问管理和EHR管理。Azaria等[64他提出了一个名为MedRec的去中心化管理系统，该系统使用以太坊智能合约构建，以促进医疗保健提供商之间的电子病历管理。MedRec允许患者通过授予或撤销对其数据的访问权来完全控制其数据。为了保持患者的匿名性，他们的识别字符串被映射到他们的区块链地址。智能合约用于定义如何管理和访问数据。MedRec提供了一个不可更改的访问历史摘要，提高了系统的问责制和透明度。它可以与当前提供商的现有数据库集成，其他医疗利益相关者也可以参与其中。

克莱恩(65他提出了一个基于区块链的架构，能够在医院系统之间共享患者数据。提议的架构是使用以太坊智能合约和IPFS来实现的，以保护敏感的患者数据，并使患者能够拥有并与指定的临床医生共享他们的数据，并在以后撤销该许可。乔伯里等人[66开发了一个使用Hyperledger Fabric进行知情同意管理和二级数据共享的去中心化系统。该系统通过利用智能合同来实现快速有效的同意记录，并执行临床试验方案的指导方针，从而提高了机构审查委员会法规对人体主体法规的合合性。马莫等[67他介绍了一个精心设计的名为Dwarna的系统，该系统利用区块链技术实现生物银行的动态同意。该系统旨在通过将研究参与者的同意更改存储在区块链上来提高透明度，并提出了一种解决方案，通过在链下数据库和区块链中使用不同的研究参与者表示来克服区块链与欧盟一般数据保护条例(GDPR)第17条(被称为删除权)的不兼容性。该系统使用Hyperledger Fabric区块链实现。

Tith等[68]提出了一个基于区块链的同意管理模型，以支持电子病历的共享。该模型是使用Hyperledger Fabric实现的，智能合约用于管理患者的同意。患者同意偏好、患者记录元数据和数据访问日志都不可更改地存储在区块链上，从而实现了患者数据和同意的透明度和可追溯性。杜博维茨卡娅等[69提出了一个基于区块链的安全记录管理系统，促进了EHR数据的安全共享和聚合。该系统以患者为中心，允许患者在多家医院管理自己的电子病历。它使用代理重新加密算法和细粒度访问控制机制，以确保患者的隐私和机密性。杜博维茨卡娅等[70]提出了一个框架，允许在区块链上共享癌症患者护理的电子病历。该框架由Hyperledger Fabric区块链实现，并使用会员服务使用用户名或密码凭据对注册用户进行身份验证。为了创建患者身份，需要对个人身份信息(如姓名、社会保险号和出生日期)进行散列和加密以确保安全。医疗数据存储在安全的云存储链下，其中访问管理由智能合约逻辑管理。

拉杰普特等[71]提出了一个基于区块链的访问控制框架，在紧急情况下维护患者数据隐私。该框架在许可的区块链Hyperledger Fabric上实现，并使用智能合约使患者能够管理其数据的访问规则。当患者处于紧急情况时，系统保留交易历史日志，支持在任何时间点进行审计。庄等[72]提出了一种基于区块链的通用架构，为广泛的医疗保健应用程序提供通用功能和方法。这些功能和方法包括请求患者数据、授予或撤销数据访问权限以及数据跟踪。所提出的架构在以太坊区块链上实现，用于2个相关的健康应用程序领域:健康信息交换和临床试验的受试者招募。

与已有的相关文献相比，所提出的系统是动态的，支持最小的数据公开。据我们所知，目前还没有相关文献报道这6个设计需求，并对系统性能进行了详细的分析。多媒体附件1［63-72]总结了基于区块链的同意管理系统的文献。

系统架构

在本节中，我们将描述提议的基于区块链的动态同意架构，以支持临床基因组数据共享。这种通用架构可以自定义，并用于需要动态同意的不同用例。如图6，建议架构的组成部分如下:

1. 用户
   • 数据创建者(DC):一个组织实体，如基因检测实验室，在那里收集患者数据并存储在安全的数据库中。
   • 患者:其数据存储在数据中心管理的链下安全数据库中的个人;患者可以使用同意元素代码向系统提供同意。
   • DR:希望出于特定目的(包括研究和医疗保健)发现并请求访问患者数据的领域专家或组织实体。
2. 智能合约，用于提供系统功能，如注册新用户、管理患者同意和处理对患者数据的访问请求。此外，智能合约创建事务日志和事件，支持跟踪和审计所有系统数据和操作。
3. 链上的资源
   • 日志和事件:智能合约为所有系统事务创建日志和事件。这些日志和事件存储在链上，它们是跟踪和审计所有系统操作的重要资源，从而使所有系统用户对他们的操作负责。
   • 数据简介(DP):这是对存储在遗传实验室数据库链下的特定患者的先前存在的基因组数据的描述。患者DP包含的信息包括患者数据的位置、患者状况和基因名称，它不透露任何敏感和可识别的信息。将患者DPs存储在链上有助于DR发现和识别存储在几个遗传实验室数据库中的感兴趣的基因组数据集。
   • 同意管理:用于处理患者同意操作，如添加、更新和删除同意。
   • 访问数据管理:用于处理对患者数据的访问过程，包括验证访问请求和提供对链下数据的安全访问。
4. Off-chain资源
   • 安全数据库:由DC管理的私有数据库，与所需DP相关的所有信息都存储在其中。
   • Oracle服务:根据设计，区块链和智能合约不能访问和读取链下数据;因此需要使用oracle服务。oracle服务是向区块链提供链下数据的可信数据提要服务。在该系统中，使用oracle服务使智能合约能够与安全数据库通信。
   • IPFS:这是一个去中心化的文件存储系统，可以永久地存储和共享各种类型的文件。每个存储的文件根据其内容被赋予一个唯一的哈希值。然后使用这个散列值从系统中检索文件。在本研究中，我们利用IPFS作为密钥管理服务来存储用户的公钥(PU)。我们认为IPFS是用户PU的最佳候选，因为它具有高可用性和低成本。

‎ 查看此图

结果

实现

概述

我们在一个私人许可的区块链上实现了概念验证，以演示我们基于区块链的架构的可行性。在基础设施层面，超级账本Besu [40]是一个开源以太坊客户端，提供许可的私有区块链网络，用于构建私有区块链。使用Solidity编程语言编写了系统智能合约和truffle框架(用于开发和测试以太坊智能合约的开发工具)，以测试、编译和部署系统智能合约。图7显示患者智能合约代码的一部分。最后，我们使用了Provable [73]作为oracle服务和MongoDB创建一个链下数据库。

六种智能合约用于管理链上交易:注册智能合约(RSC)、患者智能合约(PSC)、数据配置智能合约(DPSC)、数据创建者智能合约(DCSC)、数据请求者智能合约(DRSC)和甲骨文服务智能合约(OSSC)。这些智能合约提供了8个主要系统功能:createNewDataRequestorContract，createNewPatientContract、铬eateNewDataCreatorContract，setConsent，cancelConsent，checkConsent，setupDataProfile，requestAccessTicket,requestAccessToken．我们使用智能合约修饰符将这些函数的调用限制为授权用户。任何未经授权的函数调用都会导致函数停止执行，并将所有更改恢复到原始状态。本节的其余部分将解释使用智能合约函数实现的主要系统功能。

‎ 查看此图

登记

每个系统参与者通过他或她的智能合约与系统交互，其中包括与系统交互所需的所有信息。因此，参与者应该注册在创建智能合约的系统中。所有用户的身份和专业注册都应由系统管理员进行验证，系统管理员负责建立系统并邀请当局加入系统，例如NHS，然后才能进行系统注册。文本框2-4分别描述患者、DC和DR的用户注册流程。系统管理员为每个用户执行一个特定的智能合约函数，它会创建一个新的智能合约，并将用户分配为合约的所有者。这是通过使用修饰符将用户智能合约函数的调用限制到用户的以太坊地址来实现的。

同意管理

文本框5描述了通过向患者的智能合约提交代表患者同意的访问策略树的元素来创建和存储患者同意的过程”。然后对树元素进行散列以创建同意签名，然后将其存储在患者的智能合约中。映射数据结构是一种由键类型和相应值类型对组成的数据结构类型，用于存储同意签名，同意签名用作与布尔值相关联的键，以指示其状态(例如，该值为true表示有效同意，false表示无效同意)。散列并将同意树存储在映射数据结构中，可以实现高效的同意状态检索和验证。如文本框6，如果患者想取消他或她的同意，与同意签名相关的值将被设置为false。文本框7描述通过返回与同意签名相关的值来检查患者的同意状态的过程。

患者数据

文本框8描述向系统提交患者数据的过程。在安全的链下数据库(例如，基因组实验室数据库)中收集和存储患者数据后，数据中心向系统提交患者元数据，即不揭示敏感和可识别信息的患者数据描述，如存储数据的散列、病情、数据类型和基因名称。然后将患者元数据存储在数据结构中，其中存储数据的散列用作键，其余患者数据作为值。

访问管理

为了访问患者数据，DR需要获取ATi (access ticket)和ATo (access token)。ATi用于控制对患者数据的访问，而ATo用于将对所请求数据的访问降至最低级别。文本框9描述为病人资料请求ATi的过程。在识别出潜在患者的数据后，DR必须向系统提交一个ATi请求，以提供所请求数据的散列、DR的角色和访问数据的目的。然后，请求由患者的智能合约验证，患者的同意存储在智能合约中。如果有符合容灾请求的有效同意，则自动为该容灾创建ATi。

为了获得ATo, DR必须向系统提交有效的ATi。文本框10描述了申请ATo的过程。如果ATi仍然有效，且患者的同意尚未更新或取消，则数据中心将自动为dr生成ATo。ATo包括一个安全的一次性URL，可用于访问链下存储的患者数据。

概念验证(同意书链)

本节介绍了consenchain，这是所提议架构的概念验证实现，以探索应用区块链技术来支持临床基因组数据共享的有效性。ConsentChain为患者、数据中心和医生提供了一个与系统交互的web门户。它使患者能够提供或撤回关于共享其数据的同意，dc可以收集和存储患者数据，dr可以查询和访问患者数据。图8显示了由consentenchain提供的患者接口。同意书链的高级结构和工作流程如图所示图9，每一步对应的说明如下:

1. 在注册过程中，DR生成一对密钥:一个PU和一个PR (private key)。DR将PU上传到IPFS，并记录IPFS返回的位置。
2. DR发送一个区块链事务，将IPFS返回的PU位置存储在RSC中。
3. 患者发送一个区块链事务，在PSC中存储他们的同意元素(数据类型、角色和目的)。
4. DC收集患者数据并将其存储在安全的链下数据库中。DC还记录数据库返回的患者数据引用(DRef)。
5. DC创建一个DP，其中包括DRef、PSC地址和其他与患者数据相关的信息，这些信息不透露任何敏感和可识别的信息。然后，DC发送一个区块链事务将DP存储在DPSC中。
6. DR查询DPSC以发现感兴趣的特定DP并读取与该DP相关的事务信息。
7. DR从DP获取PSC地址，并向PSC发送一个区块链事务，请求ATi访问存储在链下数据库中的患者数据。根据存储在PSC中的患者同意，请求将被自动接受或拒绝。在接受时，生成ATi并存储在PSC中，DR接收与ATi相关的事务ID。
8. DR向DCSC发送包含ATi的区块链事务，请求ATo检索存储在链下数据库中的患者数据。根据ATi验证自动接受或拒绝请求。在接受请求时，ATo存储在DCSC中，DR接收与ATo相关的事务ID。
9. DR发送一个包含ATo的区块链事务到oracle服务智能合约，以检索存储在链下数据库中的患者数据。请求将根据ATo验证自动接受或拒绝。
10. 当请求被接受时，请求被转发到Oracle Service Server (OSS)。
11. OSS从RSC获取DR在IPFS上的PU位置。
12. 网管从IPFS中下载灾备端PU。
13. OSS从数据库中获取患者的数据，并创建一个包含患者数据的临时JSON文件。这个JSON文件可以通过HTTPS请求访问，并且可以一次性访问。
14. OSS使用dr的PU对JSON文件的URL进行加密，然后发送一个区块链事务，将加密后的URL存储在DRSC中。
15. DR从DRSC检索加密的URL，并使用相应的PR对其解密以访问JSON文件。

‎ 查看此图

‎ 查看此图

讨论

主要研究结果

在本节中，我们将讨论概念验证(consentschain)如何满足从患者论坛捕获的需求，并详细分析其性能。

解决需求

需求一:数据安全

在ConsentChain中，我们使用了混合数据存储模型，包括链上或链下存储。敏感的患者数据安全地存储在链下，而患者数据的元数据存储在链上，并带有指向数据源的引用指针。此引用指针受短时间框架的约束，并且是加密的。只有经过授权的DR才能在给定的时间范围内解密它以访问患者数据。此外，在私有或联盟区块链上实现consentschain增加了一个安全层，其中所有用户在加入网络之前都要经过验证。

需求二:用户对数据的控制

智能合约作为自主参与者，其行为是可预测的[74］．然而，由于区块链的不可变性，一旦智能合约被部署，它就不能被修改;因此，在部署的智能合约中发现的错误和安全漏洞很难解决。因此，智能合约安全审计和测试对于开发智能合约至关重要，可以最大限度地减少智能合约预期行为与实际行为之间不匹配的风险[75］．使用智能合约来管理同意将使患者能够动态授予和撤销对其数据的访问权。在consentenchain中，患者将同意偏好记录在智能合约中，他们可以随时修改或删除这些偏好。这些变化实时反映在系统中。

要求三:数据隐私

通过利用区块链的真实性和可验证性特性，ConsentChain通过使用许可的区块链和匿名账户来维护隐私。只有经过授权的用户才能通过他们的匿名账户访问区块链，使患者能够在不暴露真实身份的情况下提供他们的同意。

要求4和5:数据发现和最低限度的数据披露

在医疗保健环境中，在最大化数据发现的同时最小化数据披露风险是一项具有挑战性的任务[76-78］．受一次性密码方案的启发，我们提出了一种一次性访问令牌机制，以最小化同意书链中的数据泄露风险。在这种机制中，为授权的访问请求自动生成ATo。令牌只对一次性使用有效，它包含指向数据源的加密引用指针以及共享数据上的数字签名，以确保数据完整性不受篡改。只有经过授权的DR才能解密引用指针，以便在给定的时间范围内访问数据。如果DR将来还需要访问数据，则需要生成新的ATo。通过实现一次性的基于访问的令牌和公钥加密，对患者数据的引用指针的损害不会导致数据泄漏。这是因为有限的访问权限和访问患者数据的时间限制，进一步增加了consentenchain的安全性，并降低了数据泄漏的可能性。

为了最大化数据发现，我们利用了区块链特性。其中之一是通过网络复制存储在链上的数据;共识机制确保每个节点获得数据的本地相同副本。使用链上数据的本地副本，DR可以识别潜在的患者数据，而不是单独查询每个链下存储。因此，在链上存储患者的元数据将为医生提供更广泛的类似患者数据的视野，这些数据存储在不同实验室的链下。

需求6:可追溯性

通过利用区块链的不可变性，我们的系统维护了所有系统事务的不可变日志。由于共享患者数据的过程由智能合约管理，所有涉及的交易都被永久地记录在区块链上。这将使患者能够检查区块链与他们的数据相关的所有信息和交易，包括数据存储在链下的位置、谁可以访问它们以及用于什么目的。该特性是向以患者为中心的方法推进数据共享的重大升级。它还将使监管机构能够在相关各方发生纠纷时调查索赔，从而增加对consentschain的信心。

安全分析

本节从患者隐私保护、数据存储、数据共享和防篡改等方面对consentenchain进行安全分析。

保护病人隐私

基因组数据高度敏感，未经许可不得公开。在consentenchain中，基因组数据存储在链下私有安全存储中，具有访问控制机制，从而降低了患者数据泄露的风险。此外，为了确保参与者的匿名性，为与某个PU相关联的参与者生成一个随机生成的唯一帐户。此帐户用于向区块链发送交易;这些交易是匿名的，不能与参与者的真实身份相关联。此外，可以为一个与会者创建多个帐户;因此，由同一参与者发送到区块链的事务不能被对手推断出来。

数据存储

在consentschain中，基因组数据存储在链下私有安全存储系统中。此存储的安全性超出了本文的范围，我们假设它由其所有者(DC)保护。只有链外存储数据的元数据、散列和引用在区块链上共享。存储在区块链中的链下DRef是防篡改的。

数据共享

只有经过授权的用户才能通过智能合约中预设的权限请求访问链下数据。在接收到有效的请求后，DC创建一个JSON文件，其中包含所请求的数据，并将其存储在临时访问链外存储中，可以通过HTTPS访问它。对JSON文件的访问受到一次性访问和短时间框架的限制。然后，DC从IPFS检索请求数据的用户的PU，并加密允许访问JSON文件的URL，然后将其存储在区块链中。然后，请求数据的用户可以从区块链获取URL，并使用他们的PR对其解密并访问JSON文件。一旦JSON文件被访问，它将从临时访问链下存储中删除，使存储在区块链中的URL无用;因此，如果攻击者破坏了请求数据以解密URL的用户的PR, URL将一无所获。此外，如果JSON文件没有在指定的时间范围内被访问，则将其从临时访问链下存储中删除，从而降低未经授权访问数据的风险。

防干扰的

在ConsentChain中，数据访问活动被记录在区块链中，并且可以被审计和跟踪。此外，由于区块链中使用的共识机制，存储在区块链中的数据是不可变的，不能任意修改，这保证了添加的块不能被修改，除非对手可以发起51%的攻击。值得注意的是，发起51%攻击的机制取决于区块链中使用的共识机制的类型。例如，以太坊和比特币等公共区块链使用工作量证明共识机制，需要很高的计算能力来生成新的区块，而在私有许可的区块链中，可以使用权威证明共识机制来生成新的区块[79-82］．要对使用工作量证明共识机制的区块链发起51%攻击，对手需要获得51%的网络计算能力。相比之下，当使用权威证明共识机制时，只有控制51%以上的网络节点才能发起51%的攻击，这比获得51%的网络计算能力要困难得多[80］．因此，在consentenchain中，使用了权威证明共识机制来降低51%攻击的风险。

绩效评估

为了测试和验证consentenchain，我们构建了一个用于部署和托管consentenchain的真实生产环境。中提供了一个详细的一致性链性能分析多媒体附件2．综上所述，对性能进行了分析事务而且读ConsentChain的操作显示平均值事务吞吐量13.59的TPS和平均值读吞吐量135.78 tps。的事务延迟是2.76秒，而平均值呢读延迟是0.288秒。此外，通过对系统性能的分析，系统可以以很低的延迟处理大量的读操作(从区块链读取一个状态)，即10,000个事务，而由于事务操作的复杂性(从区块链读取或写入一个状态)，处理事务操作的延迟较高。

结论

当在临床基因组学社区中共享基因组数据并与其他患者数据进行比较时，基因组数据是有用的，这表明临床医生可能需要共享数据以有效地治疗患者。然而，许多挑战阻碍了大规模基因组数据共享，例如基因组数据的可用性、可发现性和可访问性[8，51，52]，使临床医生和研究人员无法对罕见遗传疾病形成全面的看法。在这项研究中，我们提出了一个基于区块链的动态同意架构来支持基因组数据共享，并实现了该架构的概念验证。我们还开发了一个本体模型，将患者同意元素表示为机器可读的代码，以自动化同意和数据访问过程。概念验证已经在私有以太坊区块链上实现，它表明所提议的架构可以在相关各方之间实现大规模的基因组数据共享。评估表明，使用该系统，患者对自己的数据有了更好的控制。性能分析表明，该系统高效、可扩展。

然而，这项研究的一些局限性需要解决。由于区块链技术的开放性和分布式特性，验证用户身份具有挑战性。我们的系统运行假设系统是在私有区块链上实现的，所有用户都被邀请加入系统。在用户可以加入系统之前执行用户身份验证，并为每个用户提供一个假名标识符来在系统上表示他们。克服这一问题的一个更可靠和实用的解决方案可能是将患者身份与外部可信的信息源联系起来，例如GOV.UK Verify和NHS identity。此外，DR和DC的身份验证可以通过链接到他们的专业注册来实现。

另一个问题是区块链的GDPR合规性，这需要考虑[83-85］．虽然区块链可以帮助动态同意系统遵守GDPR的一些目标，包括知情权和撤销权，但区块链的不可变性似乎与GDPR相冲突，后者鼓励数据最小化，并赋予数据所有者删除的权利。欧洲议会研究服务部进行的一项研究得出结论，尽管私有和许可的区块链可以很容易地遵守GDPR要求，但很难确定区块链作为一个整体是完全符合还是不符合GDPR [86］．然而，自从GDPR生效以来，一些研究已经在设计和构建符合GDPR的基于区块链的用例方面采取了初步步骤[44，87-91］．因此，在设计基于区块链的系统时，应考虑GDPR合规性[92，93］．

这项工作的目标不是设计一个可以在医疗保健环境中实际使用的系统，而是表明区块链技术具有解决几个基因组数据共享挑战的潜力。我们发现，通过区块链技术和智能合约促进基因组数据共享是有前途的。然而，它们并不是完整的答案，在实际部署这种系统之前，仍有许多问题需要解决，特别是与验证用户凭证有关的问题。