互联患者的化身、应用程序和代理化身、医生应用程序和智能代理分别代表患者、医生和第三方数字医疗服务提供商。HAP没有中央健康数据存储，执行分散的数据管理( 图1)．从许多电子健康记录系统提取患者数据，通过元数据验证进行转换，加载到网关XNetHub上，然后与医生应用程序同步。相关的个人健康数据从医生应用程序推送到患者化身，允许实施机构数据政策。支持智能手机的患者化身是以患者为中心的数据集成的中心，通过收集和集成来自多个医疗保健机构的碎片化健康数据。患者还可以生成患者报告的结果测量，可以存储并发送到适当的医生应用程序。智能代理可以要求医生应用程序或患者化身通过HAP RESTful api传输健康数据，以提供经过平台认证并向平台注册的数字医疗服务。代理的建议和分析结果也可以发送到化身和xnet。HAP服务器通过智能合约对化身、应用程序和代理(或相互连接的患者化身、医生应用程序和智能代理)的数据访问和传输实例进行身份验证和授权。

完全分散的健康数据管理，支持强大的数据隐私，是HAP和相互连接的患者化身、医生应用程序和智能代理系统的标志。每个数据元素都位于其适当的位置(例如，患者的数据在相应的患者Avatar中，医生的数据在医生应用程序中，服务提供商的数据在第三方代理中)。当患者向医生发送患者报告的结果测量数据副本时，当医生向患者发送实验室结果和药物等电子健康记录数据副本时，数据冗余是不可避免的。智能代理还可以接收健康数据，并向医生或直接向患者发送(专家系统)临床决策支持建议。以前，冗余分散的健康数据的来源由遗留的HAP系统管理。为相互连接的患者Avatar、医生应用程序和智能代理实体之间的每个数据事务引入哈希链，可确保更好的数据来源。

HAP为高度互联的个人健康记录提供了一个移动平台，连接了许多医疗机构、患者和分散的人工智能代理。数据交换过程中的语义互操作性通过支持ISO/IEC 11179元数据注册标准的完全策划和注册的临床通用数据元素实现。在提取、转换和加载到XNetHub元数据注册服务器时，电子健康记录数据自动转换为公共数据元素。元数据注册中心记录了元数据的标准化和注册，以使数据易于理解和共享。支持HL7 FHIR、HL7护理连续性文件和ASTM护理连续性记录标准( 多媒体附件1)，并由每个特定应用程序的元数据注册服务器在每个公共数据元素级别上进行语义丰富。HAP已被韩国的2个现实实践使用，透析网用于慢性肾脏疾病，康复网用于神经肌肉骨骼残疾管理。

虽然HAP已经在临床实践中用于去中心化的健康数据管理，但对于传统HAP系统来说，验证终端设备(如患者的智能手机)上的数据是否已被泄露是一项挑战。我们实现了一个基于以太坊的哈希链，作为一种防篡改和可跟踪的模块化存储方法，通过为每次数据传输存储哈希，并应用它们来验证传输数据的原件和副本之间的数据真实性，来保证终端设备之间的数据完整性。因此，所有曾经通过HAP传输的数据都可以被HAP哈希审计正确验证，而不会有隐私风险(例如在中央存储中捕获敏感健康数据所产生的风险)。当患者将这些记录发送给自己进行数字签名或通过哈希审计发送给另一个实体时，可以通过可穿戴设备或自我报告表格验证患者自己的患者报告结果测量数据的来源。

健康数据以分散的方式在链下存储和管理。该平台作为中继服务器，仅存储所有数据交易链上的哈希值，用于验证、数据来源和审计防篡改数据隐私。两个名为区块链Monitor和Node Manager的模块被新添加到遗留的HAP中，用于在以太坊中创建块数据( 多媒体附件2)．将区块链技术引入传统医疗保健信息系统需要仔细考虑，即使采用了流行的技术成熟的解决方案[ 35］．虽然比特币被认为是最安全和最具代表性的平台，但以太坊是最受欢迎和最健壮的平台之一(1)允许智能合约在链上执行，(2)提供许可和无许可的区块链网络，以及(3)支持基于协议的加密经济环境，这对于激励高度监管但异构的交互至关重要[ 36， 37］．使用以太坊网络的权威证明共识算法[ 38］．与无权限的区块链不同，授权证明算法可以管理区块链网络中的参与者。该算法还允许区块链网络中的参与者或初始节点充当网络中新节点的块生成器。由于健康相关信息可被归类为敏感的个人信息，因此应防止其他用户未经授权访问。如果将无权限区块链方法应用于移动医疗系统，则患者信息必然会传递到不可靠的匿名节点。许可的区块链的应用更适合于抑制发生此类违规的可能性。在本研究中，这个经过许可的区块链被设计成只允许预先咨询的护理提供者或卫生组织作为节点参与。此外，授权证明以太坊可以比无权限的区块链网络方法(如工作量证明)更快地创建区块[ 12， 39］．

为了捕获区块链中的交易哈希日志，需要可以在以太坊虚拟机上执行的智能合约。 表1总结可以从每个步骤的数据通信中提取的参数。基于这些研究参数，我们设计了智能合约。通过设计这些合约，我们打算在区块链上管理交易元数据以获得数据来源，同时还在适当的位置(即患者的智能手机、医生的智能pad和代理的服务器)安全地管理链下的患者健康数据，以获得强大的隐私保护。此外，有必要设计一个流程，在遗留数据通信流程中执行额外实现的契约，并交付所需的参数;因此，我们比较了不同的区块链架构( 多媒体)．

我们用智能合约实现了Go-Ethereum区块链( 表1)在CentOS(版本7.2;Linux)以及在HAP上的DialysisNet的初始3个权威证明区块链节点。我们将节点的块生成周期设置为5秒。为了进行性能评估，我们使用样本数据集(包括模拟血液透析患者的生命体征、实验室结果和药物的数据元素)来测试用例场景。

每个以太坊节点在连接患者化身、医生应用程序和智能代理的HAP上的所有数据交换过程中存储和管理交易元数据。SC-1作为运行状况数据事务管理器存储 senderAddr(数据段发送方的账户地址)， receiverAddr(收件人的户口地址) HashedDS(通过安全哈希算法-256函数得到的数据段的哈希值)，以及 HashSeq(交易的唯一键)，也可以用作合同之间的外键。SC-2作为运行状况数据事务状态管理器，管理SC-1保存的数据事务的状态。最后，开发了SC-3作为HAP API事务管理器，用于管理与代理的个人健康记录数据请求相关的信息。SC-3管理请求API的哈希值( 表2)．

患者数据位于智能手机(Avatar)中，医生关于患者的数据位于智能pad (XNet)中，代理人关于客户的数据位于服务器中，医疗机构的数据位于电子健康记录或其他生产服务器中。因此，数据主要在链下存储和管理。所有数据传输日志都是在链上通过HAP哈希和中继服务器在适当的时间以适当的原理( 图1)．节点管理器管理组成区块链网络的每个节点的信息。有关个人健康记录数据交易的信息被传送或要求追踪至区块链监控器( 多媒体附件2)．区块链验证在HAP链下管理的个人健康记录数据或存储交易元数据以进行验证。所有的交易都可以得到适当的激励。

数据段有一个或多个带值的数据元素(示例数据集可以在 多媒体:数字S1-S3)。当医生应用程序向患者Avatar发起生命体征(或实验室结果或药物)的数据传输时，HAP中继服务器会保存发送者、接收者和文件名的带时间戳的日志，对数据段中的数据元素进行排序，并提取 HashedDS通过安全哈希算法-256 ( 图2a). HAP将提取的数据进行传输 HashedDS发送方和接收方的区块链帐户地址发送给智能合约SC-1健康数据事务管理器以供执行( 图2b).区块链节点将事务元数据创建为块数据，并执行SC-1健康数据事务管理器。通过执行SC-2健康数据事务状态管理器，将创建块数据，并为相关数据事务标记为“等待”状态。如果创建块成功，则a HashSeq值由区块链创建，SC-1返回此值 HashSeq。 HashSeq是SC-1运行状况数据事务管理器创建的序列号，用作对应于 HashedDS价值。通过SC-1运行状况数据事务管理器， HashedDS映射到这个 HashSeq存储在区块链中。因为 HashSeq可以作为3个智能合约中的外键，交换数据段的元数据可以通过相对于每个合约的规范化来管理。

当 HashSeq从区块链返回，患者的Avatar被服务器通过推送消息启用以接收数据段和 HashSeq。患者头像将下载的数据段文件中包括的所有记录存储在个人健康记录数据库中。这些记录被标记为 HashSeq并在个人健康记录(或患者阿凡达数据库)中更新。当个人健康记录更新过程完成时，患者Avatar将其状态信息传输给HAP，表明数据下载完成。然后，HAP服务器通过SC-2健康数据事务状态管理器将数据段的状态信息更新为“完成”，记录患者健康数据传输完成，并在区块链上更新个人健康记录。在数据传输过程完成之前，与传输的3个数据段有关的元数据保存在区块链存储中( 图2)．

HAP服务器转发请求( 图3)透过适当的API传送给病人的化身( 多媒体附件4:图S4)。在授权和身份验证之后，Avatar通过返回2种类型的数据段来响应正确且可信的请求:用于响应的数据段(DSR)和用于验证的数据段(DSV)，分别作为API请求的查询响应和用于数据段验证的查询结果。数据段验证是在将查询结果返回给请求者之前检查数据段中是否有调制记录的过程。事务场景示例( 图3)是一个智能代理，通过遵循HAP RESTful API语法的开放API，向患者的Avatar请求个人健康记录数据，包括“干体重”、“血液透析后体重”和“血液透析前体重”。api语法中的“/api/vitalSigns/”部分指的是数据库表 VitalSigns，以及旁边的部分 问查询字符串。查询字符串要求“2019-09-25”的干重，“2019-09-27”的血液透析后体重，“2019-09-30”的血液透析前体重。在对请求代理执行身份验证和授权之后，HAP将数据请求传输到相应的患者Avatar。在响应请求时，患者的Avatar查询2种类型的数据段:DSV和DSR。首先，从患者Avatar的个人健康记录数据库中提取DSR。化身的个人健康记录表是在符合ASTM连续护理记录和HL7连续护理文件标准的数据模型上设计的。以前在同一数据段中交付的健康记录将使用相同的标记 HashSeq但是分别存储在3个不同的表中( 图2b和 图3B)根据数据模型。相应的数据段被提取和处理，以编译所请求API语法的查询结果，然后返回给请求者。

数据段验证，即验证传输的DSR是否被篡改的过程，在查询的DSR返回给代理之前执行。使用 HashSeq包含在DSR中的命令会在Avatar中执行，从而产生dsv列表。每个DSV都绑定到 HashSeq和再生 HashedDS通过对每个DSV中包含的记录(或数据元素)进行排序和散列。如果全部再生 HashedDSs成功从区块链检索，DSV对应的 HashedDS没有妥协。这也意味着包含在DSR中的记录没有被修改。验证成功后，关于API的代理数据请求的信息将由SC-3 HAP API事务管理器插入到块中。这将创建一个块，通过SC-2健康数据事务状态管理器将个人健康记录事务的状态更新为“完成”。当代理API生成的事务数据被创建为块数据时，服务器将DSR返回给请求代理。本文演示了与元数据注册中心提供的数据元素协作的智能合约支持详细的数据元素级查询和访问控制，超出了HL7 FHIR和其他消息传递标准支持的资源级查询。授权代理可以提供高度个性化的医疗保健服务，而无需请求超出其声明能力和HAP授权范围的不必要数据量。

为了加强数据隐私保护，HAP不存储通过服务器传输的任何健康数据;然而，在严格控制病人的情况下，很多情况下都需要备份数据( 图4， 多媒体附件4:图S5)。当患者启动备份过程时，患者化身查询除患者标识符以外的所有个人健康记录数据，并将其与备份请求一起传输到HAP API。该API允许输出按分组的数据集 HashSeq。通过HAP传输的数据段将被散列，并且每个 HashedDS为验证而创建的。如果验证通过，则意味着要备份的数据段没有被更改，它们将被发送到备份存储。在数据段保存到备份存储之前，将校验后的数据段集成到数据段文件中。使用患者的公钥，该文件通过RSA加密(Rivest-Shamir-Adleman [ 40)，并保存在备份存储中。当加密文件存储在存储器中时，服务器创建 HashedDS在散列文件的集成数据段之后。要在存储器中记录交易的完成情况，请使用 HashedDS“2 sdf4asfas5a6dd48dd……是连接到 HashSeq75并储存起来。区块链将事务的状态存储为“backup”。

遗留HAP成功执行了分散的运行状况数据管理。从数据管理的角度来看，通过患者的智能手机应用程序分散管理个人健康记录的效率低于集中管理的方法;然而，在隐私保护和患者赋权方面，去中心化更有利于创建高度互联的移动医疗生态系统。我们建立了一个分散的系统，并使用DialysisNet和RehabilitationNet进行了真实世界的临床实践验证。该平台基于对系统的信任，成功防止了数据重用和个人信息泄露。区块链和智能合约的引入，极大地提高了我们去中心化健康数据管理方法的效率和有效性。在遗留的HAP系统中采用区块链不可避免地会产生开销( 多媒体）;然而，我们观察到，通过引入异步区块链连接，增加到遗留系统的开销(平均32.58 ms)被降到了最低。该平台证明区块链是一款安全有效地执行所需数据验证和分散数据备份过程的合适软件工具。

HAP为系统中的所有数据交换提供了语义互操作性。ASTM持续性护理记录和HL7持续性护理文件标准被应用为HAP数据管理所需的语法主干;然而，仅靠语法标准不足以为平台上的所有数据交换提供统一的规范(如数据类型、格式)。因此，我们在每个医疗保健机构安装了XNetHub ( 图1)和元数据注册，以确保不同电子健康档案在语义上的互用性。HAP XNetHub支持HL7 FHIR，允许资源级健康数据查询。HAP将消息(或健康记录)视为由数据元素组成的数据段的集合，这些数据元素由元数据服务器按照ISO/IEC 11179元数据注册标准定义和管理，并提供血液透析患者管理所需的数千个专家管理的公共数据元素。我们的工作的一个独特优势是，支持区块链的HAP允许数据段/数据元素级别的查询和健康数据处理，这些数据处理由启用技术(如不可变哈希和子哈希管理方案)进行完全身份验证和审计。 图2- 4)与智能合约( 表2)．相反，HL7 FHIR的资源级数据管理不允许足够细的粒度用于健康数据查询或处理。

在这些语法标准之上引入元数据注册，包括预定义的、预注册的和后扩展的公共数据元素，通过标准词汇表和本体映射在语义上高度丰富，进一步改进了对每个数据元素值级别的语义查询。此外，我们还演示了该体系结构支持数据段级和数据元素级的数据验证。元数据注册中心提高了健康数据交换的语义互操作性[ 8， 41， 42］．语义层允许患者集成来自多个医疗机构的健康记录。医生可以合并来自不同机构的病人的健康记录。此外，第三方可以通过HAP RESTful api获得患者健康记录的综合视图。

该平台采用区块链和智能合约技术，增强了以患者为中心的个人健康记录交易的安全性和分散数据管理的效率。此外，对于平台上可能发生的患者数据交换，HAP可以为与之交换数据的各方提供数据共享激励。许多卫生保健系统采用按服务收费的报销机制，主要奖励高度物质化的临床服务，如药物治疗、实验室检测或干预，但缺乏足够的奖励系统，以教育、锻炼、预防或长期管理更相关的慢性病，这是不断增加的。考虑到所有这些优势，HAP连接的患者化身、医生应用程序和智能代理系统可以成为一个生态系统，促进在患者授权的情况下可靠地共享健康数据。

由于权威证明共识算法的特点，在区块生成过程中会出现与创世区块中设置相同的延迟;然而，在这个原型系统中，除了健康数据的链下交易，区块数据是通过异步链上过程生成的，这意味着链下数据交易不存在延迟。另一个挑战出现在验证患者Avatar的个人健康记录数据时(通过数据备份或数据查询过程)——当交换大量消息时，数据验证的速度和验证结果的返回速度可能会较慢。因此，将来可能需要计算DSV中包含的数据对齐方法以及在散列数据段过程中所需的适当时间。对于这个过程，可能需要权衡数据处理所需的时间和传输数据段的大小。

我们设计并构建了一个生态系统，通过将原型区块链和智能合约应用于基于患者设备的个人健康记录系统，提供高效和有效的去中心化健康数据管理和交换操作。结果表明，健康数据访问控制和个人健康记录数据的真实性验证不仅在整体个人健康记录或资源级别启用，而且在粒度数据元素和数据价值级别启用。