我们的移动医疗系统由CBTi客户端和CBTi服务器( 图1)．在该系统中，患者每天通过聊天程序接受会话。该程序包括一个全自动的智能手机应用程序。患者必须每天早晚两次输入他们的移动健康数据。基于收集到的数据进行CBTi会话。CBTi的内容不仅包括行为和认知策略，还包括放松策略。这些策略是基于目前的文献[ 21， 27］．该系统用于我们正在进行的临床试验(UMIN000023999)。

从患者身上收集的移动健康记录分为两种类型:主观数据和客观数据。主观数据包括临床指标、睡眠状态和白天活动的回顾，以自我管理问卷的形式收集。客观数据，包括精神运动警觉性测试的结果[ 28]，通过使用智能手机的触摸功能测量触摸反应来评估。临床指标采用雅典失眠量表[ 29]、爱普沃斯困倦量表[ 30.]，使用《抑郁症状快速量表》[ 31］．睡眠状态记录就寝时间、入睡时间、醒来时间、起床时间。所有数据都以JSON格式存储在数据库中。我们利用了一个志愿者的移动健康数据。本研究的发表已获得志愿者的知情同意。该研究已获得神经精神病学伦理委员会的伦理批准。所有的方法都是按照相关的指南和规定进行的。

我们使用区块链网络( 图1)．在该系统中，患者通过智能手机发送自己的日常数据，并获得数据反馈信息。该系统使用智能手机和网络上的服务器集群构建。我们使用Hyperledger Fabric 0.5版本来操作系统，因为Hyperledger是一个开源的区块链平台，并且已经被广泛使用[ 7， 32］．在本研究中，系统由4个验证对等点(VP)和一个会员服务(MS)组成。副总裁负责区块链的主要功能，MS负责客户端(智能手机)和副总裁的身份验证。MS向客户端颁发注册证书和交易证书，客户端使用该证书进行认证。每个副总裁都有一个被称为“状态”的公共数据库的副本。

其中一个副总裁成为网络的领导者，并接受来自CBTi客户端的请求。领导接受的请求被传递给每个副总裁。CBTi客户端将第一个事务发送给leader VP，然后leader VP让每个VP安装chaincode并执行初始化。之后，CBTi客户端发送数据处理请求，leader VP将客户端请求发送给各个VP。vp执行一个已安装的链码，并返回由执行结果生成的哈希值。当时，每个VP都遵循共识算法，这种算法被称为实用拜占庭容错(PBFT)算法[ 33， 34］．当副总裁们达成一致意见时，就由所有副总裁来决定。之后，每个VP将相同的结果存储到它们的状态中。之后，生成基于事务散列结果的信息。这就是所谓的“块”。该块包含先前的块信息作为哈希值和当前块哈希值( 图1)． 图1说明了区块链的结构。字段“height”是区块链的长度(N:正整数)。在每个进程开始时，高度为1，并随着块的生成而递增。除初始块外，每个块包含3个字段:“currentBlockHash”、“previousBlockHash”和“statehash”。字段“currentBlockHash”是当前区块的哈希信息，匹配下一个区块的“previousBlockHash”。该块还保留了当前状态的散列信息。以这种方式生成的新块连接到称为“区块链”的列表。

我们根据理事会关于信息系统和网络安全指南的建议，就数据完整性评估了CBTi系统的网络稳健性[ 35］．

为了测试网络故障期间的网络健壮性，我们使用下面描述的过程确保来自智能手机的mHealth数据更新的正确性。首先，我们验证了正常数据更新的过程。接下来，我们在其中一个VP服务器宕机时测试数据更新。

在测试中，我们使用了一名志愿者5天的移动健康数据。客户端数据格式为JSON，在实验中，数据是手动输入到CBTi服务器，而不是通过智能手机应用程序。每个服务器都在虚拟环境中构建，运行在同一台本地个人电脑上，英特尔酷睿i5-5200U CPU 2.2GHz和8GB内存，运行Windows 10。对于虚拟环境的构建，我们使用Docker 1.10.2版本[ 36， Oracle VirtualBox版本为5.1.12,Vagrant版本为1.9.1。我们使用Docker -compose 1.5.2版本来管理Docker。研究中的虚拟计算环境包括4个副总裁和1个MS ( 图1)．每个VP服务器包括一个Docker容器和一个分类账。在docker容器中注册了一个链码。分类账由状态和块组成。状态是键值存储数据库，记录事务的结果。

我们在所有副总裁正常运行的情况下验证了数据更新过程。测试过程分为2个步骤:部署和调用。

为了研究我们系统的抗篡改性，我们在系统中制造了一个人为故障，导致副总裁的分类账包含不一致。我们通过关闭其中一个vp来产生网络故障，然后在网络故障期间更新数据。这表明了区块链网络的鲁棒性。在重新启动已经停止的VP之后，我们确认重新启动的VP中的数据落后了一步。我们还检查了分类帐同步是否纠正了不一致。具体流程如下:首先，有4个vp在初始状态下运行。我们在正常数据更新后依次进行测试。因此，记录了3天的用户数据( 图3)．其次，我们阻止了其中一个副总裁(VP1);因此，总剩余运行vp数为3 (VP0, VP2, VP3)。然后执行Invoke步骤。使用PBFT作为共识协议，由N个节点组成的区块链网络可以承受多个故障节点f，其中f=(N−1)/3。我们的网络包含N=4个节点，因此应用可容忍故障节点的最大数量的公式导致f=(4−1)/3=1。换句话说，PBFT确保至少有2×f + 1(即3)个节点在将其追加到共享账本之前就交易顺序达成共识。生产的区块( 图4: Node down & Invoke)，由于PBFT共识协议，状态更新成功( 图5)．在数据更新测试中的所有进程开始时，高度为3，并随着块的生成而递增。说明采用区块链网络的移动健康系统对网络故障具有较强的鲁棒性。

接下来，我们重新启动停止的VP (VP1)。我们确认VP1的block落后了一步，因为VP1已经down了( 图4:节点重启)。到目前为止，正在运行的副总裁总数为4人。我们再次执行Invoke步骤。成功生产区块( 图4:调用)，并且状态已更新( 图5)．

从状态查询的完整用户数据显示在 多媒体附件2．因为在进行下一个交易区块之前，至少必须有2×f + 1个节点达成共识，任何其他节点(2×f + 1之外)上的账本都会暂时落后。被重新启动的节点在几次事务之后尝试与最新的分类账同步( 图4)．

我们进一步测试了如果另一个VP (VP2)暂时宕机，重新启动的VP (VP1)是否可以重新加入PBFT共识。VP2离线后，VP1完全赶上了VP0和VP3，因为2×f + 1节点必须在进行下一个交易块之前达成共识( 图4)．

从这些实验中得到的区块链的全部信息显示在 多媒体．这些结果表明，注册到区块链网络的电子病历具有抗篡改和修改的能力。移动健康数据的更新也与区块链网络的抗篡改兼容。

在这项研究中，我们使用区块链技术开发并评估了一个抗篡改的移动健康系统。使用智能手机收集的移动健康数据被发送到一个私有的Hyperledger Fabric区块链网络。区块链网络中的mHealth数据库对于“节点宕机”等网络故障具有鲁棒性。区块链网络中出现故障的分布式数据库节点由于采用了共识算法，能够赶上其他正常节点，而这在一般的分布式数据库系统中是无法实现的。因此，区块链网络中的分布式数据库具有抗篡改和修订性，而移动健康数据更新兼容区块链网络中的抗篡改性。

因此，使用移动设备的CBTi等移动医疗技术可以提供以前需要劳动密集型的治疗。移动医疗系统需要防篡改，因为系统会根据存储的数据自动为患者提供治疗。最近有报道称，医院网络受到勒索软件攻击，医院不得不向攻击者支付赎金[ 37］．如果移动健康系统被攻击，数据被篡改，基于篡改信息的反馈可能会对患者造成伤害。

在以往的研究中，提出了各种安全的电子病历系统[ 14， 38， 39］．有人指出，这类系统由于依赖单一的可信权威机构，因而存在保安风险，不足以实际应用。[ 40］．本研究通过使用分布式区块链网络来避免这种风险。此外，我们在本研究中构建的系统使用了开源软件，可以应用于其他移动医疗系统。

区块链技术对移动健康数据有利有两个原因。首先，如本研究所示，mHealth数据更新并不频繁，因为在我们的系统中，患者数据每天仅传输到服务器两次。因此，尽管区块链对于具有高时间分辨率的数据并不理想，但它可以轻松处理mHealth数据。其次，移动健康数据很有价值，这就是为什么高水平的安全性至关重要。从安全性的角度来看，区块链有望实现高抗篡改性。

该系统保证了移动健康数据的准确性，无需第三方确认，因此它有可能在以下两方面应用于临床试验:(1)该系统将减少目前由第三方(如合同研究机构)确认的费用，从而降低临床试验的成本[ 41];(2)它可以减少人为错误的可能性，因为系统可以最大限度地减少人为对数据的影响。此外，临床试验中的一个伦理问题是，患者数据和个人信息可以被不直接参与患者护理的人访问。因此，区块链技术在临床试验中的应用可能会促进药物和医疗器械的开发。

这项研究有两个局限性。首先，区块链系统存在漏洞。虽然区块链技术是防篡改的，但围绕它的实现可能会受到攻击。维护不善和过时的代码在涉及分散自治组织的事件中存在漏洞[ 42］．其次，区块链中使用的共识算法的理论局限性也存在漏洞。虽然我们使用了PBFT算法来达成共识，但如果超过(N-1)/3个vp同时受到攻击，区块链可以被禁用。这类事件可能会发生，尤其是在小型网络中。 43］．要解决这个问题，重要的是增加服务器的数量，同时增加持有服务器的利益相关者的数量，以防止恶意用户占用系统。目前，私有区块链可以扩展到几百个节点，并且已经开发了一个先进的系统[ 44］．

在本研究中，我们使用区块链技术开发并评估了一个防篡改的移动医疗保健系统。