在区块链上使用医生应用程序和助手代理实现个人健康记录的智能去中心化:平台设计和实现研究

简介

个人健康记录是一种电子健康信息资源，源自由个人集成、管理和控制的多个数据源[1，2］．通过使用个人健康记录，人们不仅可以获得更多关于其当前健康状况的知识，而且还可以在寻求适当的治疗计划时获得协助[3.，4］．为了最大限度地利用个人健康档案，有必要开发一种系统，使患者能够方便、安全地访问、管理和交换其健康信息，并适用适当的标准[5，6］．近年来，随着物联网(IoT)技术的发展，患者可通过一系列移动设备或传感器获取各类健康相关信息[7］．个人健康记录的完整性要求语法和语义互操作性以及以患者为中心的各种来源的健康数据集成，包括机构电子健康记录、支持物联网的生活日志、患者报告的结果度量和个人基因组数据。

患者个人健康记录需要一个电子环境，以便与医生应用程序和第三方人工智能服务代理进行交互。健康化身平台(HAP)最初是一个去中心化的健康数据管理平台，支持在移动智能手机应用程序(患者化身)上集成以患者为中心的健康数据。HAP允许患者通过语法和语义互操作性存储和管理从各种医疗保健机构接收的健康数据。一旦获得授权和注册，第三方代理或分布式人工智能服务就可以通过HAP RESTful(具象化状态传输)应用程序编程接口(api)访问患者化身上以患者为中心的健康数据[8，9］．电子健康记录数据可以被推送到一个机构网关服务器(XNetHub)，然后由医生应用程序(XNet)提取。语法互操作性由标准消息传递协议支持，如HL7 FHIR(快速医疗互操作性资源)、HL7护理连续性文档和ASTM护理连续性记录协议。通过完全符合ISO/IEC 11179元数据注册国际标准的预定义、预注册和后扩展通用数据元素，确保来自不同医院的电子健康记录数据的语义互操作性[8］．

HAP支持在患者化身、第三方智能代理和医生应用程序(称为IoA^3.)．DialysisNet(一个医生应用程序)和Avatar Beans(一个病人的化身)是最早和最成功的应用程序，用于慢性肾病和血液透析患者管理。Avatar Beans应用程序可从谷歌Play下载[9]和苹果应用商店[10］．截至2020年12月1日，韩国22名肾病医生使用这些应用程序，连接了使用不同电子健康记录的14家教学医院和245名患者。金等人[11]成功地开展了一项多中心队列研究，评估透析患者肾性贫血的治疗方式使用透析网。DialysisNet展示了异构电子健康记录系统之间标准化电子临床数据捕获的无缝连接和语义互操作性。康复网和Avatar Fit(于2020年)作为工业事故医院网络的第二波启动。

作为公共账本技术[12，13，区块链在防篡改存储中记录网络上参与者之间的交易数据[14］．智能合约可由以太坊开发和部署[15，16]，允许区块链网络参与者之间的契约或交互以图灵完备语言表示并自动执行[17］．许多医疗机构和医疗保健供应商一直在对区块链方法进行研究，以建立一个在传统信息系统中进行交易时更加透明、可追溯、可验证和不可逆的系统[18-24］．大多数这些研究的主要目标是安全地共享和交换主要由提供者产生的医疗信息。其他公司已将区块链网络应用于个人健康记录管理[23，25-31];这些研究集中在为患者管理以患者为中心的健康信息的移动健康平台上。

仅作为中介，HAP不存储任何健康数据，而是以完全去中心化的方式在移动设备和连接患者化身、医生应用程序和智能代理的服务器之间安全地中继经过验证和授权的数据传输。换句话说，早在区块链引入之前，HAP就已经是一个完全去中心化的、区块链友好的电子或个人健康记录管理平台。HAP不是以供应商或提供者为中心，而是以患者为中心。由于HAP是一个基于移动设备的健康数据集成或交换平台，面向患者(即avatar)和医生(即app)，没有中央存储，因此不存在集中式管理系统中存在的隐私风险(如未经授权访问)[32-34］．出于安全考虑，HAP支持ipad的医生应用程序，支持iOS和Android智能手机的患者化身，以获得更广泛的接受。因此，将区块链技术引入到HAP和相互关联的患者化身、医生应用程序和智能代理系统可能是更好地去中心化数字卫生保健的自然演进路径。它解决了(1)管理互连患者化身、医生应用程序和智能代理设备之间分散健康数据的冗余和完整性的老问题;(2)验证数据的真实性和来源;(3)通过不变性保护数据安全不受干扰、伪造和篡改。区块链技术可确保在这些功能方面获得更好的信任[14］．此外，智能合约技术的引入使(4)智能访问控制从当前文档或资源级别降至每个数据元素级别，(5)每个数据元素级别的智能数据共享，以及(6)一个加密经济生态系统，以正确激励医疗保健行为，同时也确保数据隐私保护。

本文通过哈希链、RESTful API和基于智能合约的授权流程(2)数据相互推送到患者avatar和医生app，(3)根据智能代理的请求从avatar和app中提取数据，以达到决策支持的目的，(4)数据备份到安全的备份存储中。医生可以给患者开一份预定的问卷，并通过结合这些过程收集患者报告的结果测量。此外，虽然HL7 FHIR、HL7护理连续性文档或ASTM护理连续性记录等标准消息传递协议允许资源级别的批量查询，但通过智能契约的方式，HAP互连的患者avatar、医生应用程序和智能代理实现支持数据推送和拉取实例的每个公共数据元素级别的详细查询。流程中的每一步都可以由加密经济系统地激励，以促进数据交易和HAP互联患者化身、医生应用程序和智能代理生态系统中的健康行为。

方法

健康化身平台架构与数据通信

化身、医生应用程序和智能代理分别代表患者、医生和第三方数字医疗保健服务提供商。HAP没有中央运行状况数据存储，并执行分散数据管理(图1)．从许多电子健康记录系统中提取患者数据，通过元数据验证进行转换，加载到网关XNetHub上，然后与医生应用程序同步。相关的个人健康数据从医生应用程序推送到患者头像，允许实施机构数据政策。支持智能手机的患者化身是以患者为中心的数据集成的中心，它收集和集成来自多个医疗保健机构的碎片化健康数据。患者还可以生成患者报告的结果测量结果，可以存储并发送到适当的医生应用程序。智能代理可以请求医生应用程序或患者化身通过HAP RESTful api传输健康数据，以提供由平台认证并注册到平台的数字医疗保健服务。代理的建议和分析结果也可以发送到Avatars和XNets。HAP服务器通过智能契约对avatar、应用程序和代理(或相互连接的患者avatar、医生应用程序和智能代理)的数据访问和传输实例进行验证和授权。

完全去中心化的健康数据管理，支持强大的数据私密性，是HAP和相互关联的患者化身、医生应用程序和智能代理系统的特点。每个数据元素都位于其适当的位置(例如，患者的数据在相应的患者Avatar中，医生的数据在医生应用程序中，服务提供商的数据在第三方代理中)。当患者向医生发送患者报告的结果测量的副本，而医生向患者发送电子健康记录数据(如实验室结果和药物)的副本时，数据冗余是不可避免的。智能代理还可以接收健康数据，并向医生或直接向患者发送(专家系统)临床决策支持建议。以前，冗余去中心化健康数据的来源由遗留HAP系统管理。在相互连接的患者化身、医生应用程序和智能代理实体之间为每个数据事务引入哈希链，可以确保更好的数据来源。

HAP为高度互联的个人健康记录提供了一个移动平台，将许多医疗保健机构、患者和分散的人工智能代理连接起来。数据交换过程中的语义互操作性是通过支持ISO/IEC 11179元数据注册标准的完全策划和注册的临床通用数据元素实现的。在提取、转换和加载到XNetHub元数据注册服务器时，电子健康记录数据自动转换为公共数据元素。元数据注册中心记录了元数据的标准化和注册，以使数据易于理解和共享。支持HL7 FHIR、HL7护理连续性文件和ASTM护理连续性记录标准(多媒体附件1)，并通过每个特定应用的元数据注册服务器在每个公共数据元素级别进行语义丰富。HAP已被韩国的2个现实实践所使用:透析网(dialysisnet)用于慢性肾脏疾病，康复网(RehabilitationNet)用于神经肌肉骨骼残疾管理。

‎ 查看此图

区块链网络的应用

虽然HAP已经在临床实践中用于去中心化的健康数据管理，但对于传统的HAP系统来说，验证终端设备(如患者的智能手机)上的数据是否已被泄露是一项挑战。我们实现了一个基于以太坊的散列链，作为一种防篡改和可跟踪的模块化存储方法，通过为每次数据传输存储散列，并应用它们来验证传输数据的原始和副本之间的数据真实性，来保证终端设备之间的数据完整性。因此，所有曾经通过HAP传输的数据都可以通过HAP哈希审计进行正确验证，而不会有隐私风险(例如在中央存储中捕获敏感健康数据时产生的风险)。当患者将这些记录发送给自己进行数字签名或通过哈希审计发送给另一个实体时，可以验证患者自己从可穿戴设备或自我报告表格中获得的患者报告结果测量数据的来源。

健康数据以去中心化的方式在链下存储和管理。该平台充当中继服务器，仅存储所有数据事务链上的哈希值，用于验证、数据来源和审计，以防止篡改数据隐私。两个名为区块链Monitor和Node Manager的模块被新添加到遗留的HAP中，用于在以太坊中创建块数据(多媒体附件2)．向遗留医疗保健信息系统引入区块链技术需要仔细考虑，即使使用的是流行的和技术上成熟的解决方案[35］．比特币被认为是最安全和最具代表性的平台，而以太坊是最受欢迎和最健壮的平台之一(1)允许在链上执行智能合约，(2)提供许可和无许可区块链网络，以及(3)支持基于协议的加密经济环境，这对于激励高度监管但异质性的交互至关重要[36，37］．使用以太坊网络的权威证明共识算法[38］．与无权限区块链不同，授权证明算法可以管理区块链网络中的参与者。该算法还允许区块链网络中的参与者或初始节点作为网络中新节点的块生成器。由于与健康有关的信息可被归类为敏感的个人信息，应防止其他用户未经授权的访问。如果无权限区块链方法应用于移动医疗系统，患者信息必然会被传递到不可靠的匿名节点。适用经许可的区块链更适合于抑制发生这种违约的可能性。在本研究中，这个被允许的区块链被设计成只允许预先咨询的护理提供者或卫生组织作为节点参与。此外，授权证明以太坊可以比无权限的区块链网络方法(如工作证明)更快地创建区块[12，39］．

链下数据管理

为了捕获区块链中的事务哈希日志，需要能够在以太坊虚拟机上执行的智能合约。表1总结了可以从每一步的数据通信中提取的参数。基于这些研究参数，我们设计了智能合约。通过设计这些合同，我们打算在区块链上管理交易元数据，以获取数据来源，同时在适当的位置(即患者智能手机、医生的智能pad和代理服务器)安全地管理链下的患者健康数据，以实现强大的隐私保护。此外，有必要设计一个流程，在遗留数据通信流程中执行额外实现的契约，并交付所需的参数;因此，我们比较了不同的区块链体系结构(多媒体附件3)．

我们通过智能合约实现了go -以太坊区块链(表1)在CentOS(版本7.2;Linux)以及在HAP上的DialysisNet的初始3个授权证明区块链节点。我们将节点的块生成周期设置为5秒。为了性能评估的目的，我们使用样本数据集测试用例场景，包括模拟血液透析患者的生命体征、实验室结果和药物的数据元素。

结果

智能契约和用例

每个以太坊节点在与HAP互联的患者化身、医生应用程序和智能代理上的所有数据交换过程中存储和管理事务元数据。SC-1作为运行状况数据事务管理器存储senderAddr(数据段发送方的帐户地址)，receiverAddr(收件人的帐户地址)，HashedDS(安全哈希算法-256函数对该数据段的哈希值)、HashSeq(交易的唯一键)，它也可以用作契约之间的外键。SC-2作为运行状况数据事务状态管理器，管理要由SC-1保存的数据事务的状态。最后，开发SC-3作为HAP API事务管理器，以管理与代理的个人健康记录数据请求相关的信息。SC-3管理所请求API的哈希值(表2)．

患者数据位于他们的智能手机(Avatar)中，医生的患者数据位于他们的智能pad (XNet)中，代理人的客户数据位于其服务器中，而卫生保健机构的数据位于其电子健康记录或其他生产服务器中。因此，数据主要在链下存储和管理。所有数据传输日志通过HAP哈希-中继服务器在链上以适当的原理和适当的时间发送到适当的接收者(图1)．节点管理器管理组成区块链网络的每个节点的信息。关于个人健康记录数据交易的信息被传送或被要求追踪至区块链监测器(多媒体附件2)．区块链验证在HAP中链外管理的个人健康记录数据，或存储用于验证的事务元数据。所有的交易都可以得到适当的激励。

推送:通过医生应用程序更新

一个数据段有一个或多个带值的数据元素(可以在多媒体附件3:数字S1-S3)。当医生应用程序向患者Avatar发起生命体征(或实验室结果或药物)的数据传输时，HAP中继服务器保存发送方、接收方和文件名的带有时间戳的日志，对数据段中的数据元素进行排序并提取HashedDS通过安全哈希算法-256 (图2a). HAP将提取的数据转移HashedDS发送方和接收方的区块链帐户地址发送到智能合约SC-1运行状况数据事务管理器以供执行(图2b).区块链节点创建事务元数据作为块数据，并执行SC-1运行状况数据事务管理器。通过执行SC-2健康数据事务状态管理器，块数据被创建，并为相关数据事务标记为“等待”状态。如果块创建成功，则aHashSeq值由区块链创建，SC-1返回该值HashSeq．HashSeq是SC-1运行状况数据事务管理器创建的序列号，用于作为与HashedDS价值。通过SC-1健康数据事务管理器，HashedDS映射到这个HashSeq并存储在区块链中。因为HashSeq可以作为3个智能合约的外键，交换数据段的元数据可以通过相对于每个合约的规格化来管理。

当HashSeq从区块链返回，则服务器通过推送消息启用患者Avatar以接收数据段和HashSeq．病人化身在个人健康记录数据库中存储所下载的数据段文件中包括的所有记录。这些记录标有HashSeq并在个人健康记录(或患者化身数据库)中更新。当个人健康记录更新过程完成时，患者化身将其状态信息传输给HAP，表明数据下载完成。然后，HAP服务器通过SC-2健康数据事务状态管理器将数据段的状态信息更新为“完成”，以记录患者健康数据传输的完成和区块链上的个人健康记录更新。在数据传输过程完成之前，与传输的3个数据段相关的元数据将保存在区块链存储(图2)．

‎ 查看此图

Pull:请求和接收数据

HAP服务器将请求(图3)透过适当的API传送至病人化身(多媒体附件4:图S4)。经过授权和身份验证后，Avatar通过返回2种类型的数据段来响应一个正确的和可信的请求:响应数据段(DSR)和验证数据段(DSV)，分别作为API请求的查询响应和数据段验证的查询结果。数据段验证是在将查询结果返回给请求者之前，检查数据段中是否存在调制记录的过程。事务场景示例(图3)是一个智能代理，通过符合HAP RESTful API语法的开放API，向患者Avatar请求个人健康记录数据，包括“干体重”、“血液透析后的体重”和“血液透析前的体重”。api语法的“/api/vitalSigns/”部分指的是数据库表VitalSigns，以及旁边的部分问查询字符串。查询字符串请求“2019-09-25”的干重测量，“2019-09-27”的血液透析后的重量和“2019-09-30”血液透析前的重量。在为请求代理执行身份验证和授权之后，HAP将数据请求传输到相应的患者Avatar。作为对请求的响应，患者的化身查询两种类型的数据段:DSV和DSR。首先，从患者化身的个人健康记录数据库中提取DSR。avatar的个人健康记录表是在符合ASTM持续性护理记录和HL7持续性护理文件标准的数据模型上设计的。以前在同一数据段中交付的健康记录被标记为相同的HashSeq但分别存储在3个不同的表中(图2b和图3B)根据数据模型。提取和处理相应的数据段，为所请求的API语法编译查询结果，然后返回给请求程序。

在将查询到的DSR返回给代理之前，执行数据段验证(验证传输的DSR是否被篡改)。使用HashSeq包含在DSR中的是在化身中执行的，结果是dsv的列表。每个DSV都与HashSeq和再生HashedDS通过对每个DSV中包含的记录(或数据元素)进行排序和散列。如果全部再生HashedDSs从区块链中成功检索，对应于HashedDS没有被妥协。这也意味着DSR中包含的记录没有被修改。验证成功后，SC-3 HAP API事务管理器会将关于API的代理数据请求的信息插入到块中。这将创建一个块，通过SC-2健康数据事务状态管理器将个人健康记录事务的状态更新为“完成”。当代理API生成的事务数据被创建为块数据时，服务器将DSR返回给请求代理。演示了与元数据注册中心提供的数据元素协作的智能合约支持详细的数据元素级查询和访问控制，超出了HL7 FHIR和其他消息传递标准所支持的资源级查询。授权代理可以提供高度个性化的医疗保健服务，而无需请求超出其声明能力和超出HAP授权范围的不必要数据量。

‎ 查看此图

数据备份流程

为了加强数据隐私保护，HAP不存储通过服务器传输的任何健康数据;然而，在严格控制病人的情况下，数据备份对于许多目的是必要的(图4，多媒体附件4:图S5)。当患者启动备份过程时，患者化身查询除患者标识符以外的所有个人健康记录数据，并将其与备份请求一起传输到HAP API。该API允许输出按分组的数据集HashSeq．通过HAP传输的数据段将被散列，每个HashedDS为验证而创建。如果验证通过，则意味着要备份的数据段没有被修改，并将它们发送到备份存储。在将数据段保存到备份存储之前，将校验过的数据段集成到数据段文件中。使用病人的公钥，文件被RSA加密(Rivest-Shamir-Adleman [40)，并保存在备份存储中。当加密文件存储在存储器中时，服务器创建HashedDS在散列文件的集成数据段之后。为了在存储中记录交易的完成情况HashedDS“2 sdf4asfas5a6dd48dd……连接到HashSeq75，并储存起来。区块链将事务的状态存储为“备份”。

‎ 查看此图

讨论

主要研究结果

遗留HAP成功地执行了去中心化的运行状况数据管理。从数据管理的角度来看，用患者的智能手机应用程序分散管理个人健康记录的效率不如集中管理;然而，就隐私保护和患者赋权而言，去中心化更适合创建高度互联的移动医疗生态系统。我们建立了一个分散的系统，并使用DialysisNet和RehabilitationNet进行了真实世界的临床实践验证。平台基于对系统的信任，成功防止了数据重用和个人信息泄露。区块链和智能合约的引入显著提高了我们分散的健康数据管理方法的效率和有效性。将区块链采用到遗留的HAP系统不可避免地会产生开销(多媒体附件5）;然而，我们观察到，通过引入异步区块链连接，增加到遗留系统的开销(平均32.58 ms)被最小化了。该平台证明区块链是一种适合的软件工具，可以安全有效地执行所需的数据验证和分散的数据备份过程。

HAP为系统中的所有数据交换提供语义互操作性。采用ASTM护理连续性记录和HL7护理连续性文件标准作为HAP数据管理所需的语法主干;然而，仅靠语法标准还不足以为平台上的所有数据交换提供统一的规范(例如，数据类型、格式)。因此，我们将XNetHub安装在每个医疗保健机构(图1)和元数据注册，以确保不同电子健康记录之间的语义互操作性。HAP XNetHub支持HL7 FHIR，允许资源级别的健康数据查询。HAP将消息(或健康记录)视为由数据元素组成的数据段的集合，这些数据段由元数据服务器按照ISO/IEC 11179元数据注册标准定义和管理，并提供血透患者管理所需的数千个专家策划的公共数据元素。我们工作的一个独特优势是，启用区块链的HAP允许数据段/数据元素级别的查询和健康数据处理，这些查询和健康数据处理是完全经过身份验证的，并由不可变哈希和子哈希管理方案(图2-4)及智能合约(表2)．相反，HL7 FHIR的资源级数据管理不允许足够细的粒度用于运行状况数据查询或处理。

在这些语法标准的基础上引入元数据注册表，其中包含预定义的、预注册的和后扩展的公共数据元素，通过标准词汇表和本体映射高度丰富了语义，进一步改进了对每个数据元素值级别的语义查询。此外，我们演示了数据段级和数据元素级的数据验证可以通过这种体系结构实现。元数据注册中心改善卫生数据交换的语义互操作性[8，41，42］．语义层允许患者集成来自多个卫生保健机构的健康记录。医生可以合并来自不同机构的病人的健康记录。此外，第三方可以通过HAP RESTful api获得患者健康记录的综合视图。

该平台采用了区块链和智能合约技术，提高了以患者为中心的个人健康记录交易的安全性和去中心化数据管理的效率。此外，对于平台上可能发生的患者数据交换，HAP可以为数据交换方提供数据共享的激励措施。许多卫生保健系统采用按服务付费的报销机制，主要奖励高度物化的临床服务，如药物治疗、实验室检测或干预措施，但缺乏与慢性疾病更相关的教育、锻炼、预防或长期管理的足够奖励制度，而慢性疾病在不断增加。考虑到所有这些优势，与HAP相关联的患者化身、医生应用程序和智能代理系统可以成为一个生态系统，促进可靠地共享与患者赋权相关的健康数据。

限制

由于授权证明共识算法的特点，在块生成过程中产生了等于起源块中设置的延迟;然而，在这个原型系统中，除了健康数据的链下事务之外，区块数据是通过异步链上过程生成的，这意味着链下数据事务不存在延迟。另一个挑战出现在验证患者化身的个人健康记录数据时(通过数据备份或数据查询过程)——当交换大量消息时，数据验证的速度和返回验证结果的速度可能会较慢。因此，将来可能需要计算DSV中包含的数据对齐方法以及在哈希数据段过程中所需的适当时间。对于这一过程，可能需要对数据处理所需的时间和传输数据段的大小进行权衡研究。

结论

我们设计并构建了一个生态系统，通过将区块链原型和智能合约应用到基于患者设备的个人健康记录系统，提供高效和有效的去中心化健康数据管理和交换操作。结果表明，健康数据访问控制和个人健康记录数据的真实性验证不仅可以在整个个人健康记录或资源级别实现，而且可以在粒度数据元素和数据值级别实现。