使用区块链结合客户端哈希链进行安全、可扩展的移动健康数据管理:系统设计和验证

简介

数字医学，包括移动健康应用程序和物联网设备的使用，已在日常医疗实践中流行起来[1］．它有可能促进改善患者的健康结果，支持护理协调，并以较低的成本改善沟通。虽然数字医学有可能为患者提供更好的实践，但我们需要考虑安全问题。数据篡改和冒用是数字医学和临床试验的重要安全风险。医疗实践中的决策应基于准确的患者信息。通过数据篡改和冒充等手段对系统进行攻击，会导致数据可靠性降低。外部网络攻击，包括导致医疗记录受损的勒索软件攻击，是对医疗保健部门的巨大威胁[2，3.］．数据泄露可能会导致隐私侵犯、尴尬和社会耻辱，以及欺诈和医疗身份盗窃。

除了网络安全，数据治理和真实性也是医疗保健领域的重要问题，尤其是临床试验中的数据管理[4，5］．最近，我们进行了基于网络的临床试验，以简化和提高参与临床试验的便利性[6］．由于临床试验的结果是监管机构批准药物或医疗器械的基础，因此必须保持临床试验获得的数据的可靠性和透明度[7］．然而，有报道称17%的临床药物试验是伪造的[8-10］．轻松地将数据追溯到原始来源的能力是必不可少的。

区块链技术最近引起了人们的关注，它是一种基于“分布式账本”模型在参与各方之间传输数据的手段，该模型提供了完全透明和不可变的数据交易记录[11］．区块链由一个不断增长的事务记录列表组成，这些记录被组织成块，在对等网络的节点上复制。存储在区块链中的有效交易由其发送方进行数字签名和时间戳，在给定时间点提供了记录的来源和存在的加密无可辩驳的证据。该技术为区块链网络中的数据提供了可验证和防篡改的历史记录。比特币是区块链作为一种广泛使用的数字资产的第一个实现[12］．它通过为系统中的每一笔交易提供安全和可验证的历史记录，消除了金融交易中可信第三方的需要。

除了数字货币，研究人员已经开始关注使用区块链技术在包括医疗部门在内的许多领域构建加密证明[13］．区块链已被提议用于各种卫生保健环境，并有可能应用于卫生供应链管理[14-16]、保险索偿处理[17-19]、病案管理[20.，21]，以及临床试验的数据管理[22-26］．制假药是一个全球性问题，对消费者和公众构成重大风险。区块链具有跟踪和追踪药品和试剂的潜力，并通过供应链参与者的信息验证来检测假药。区块链技术还可以应用于保险公司和患者管理保险理赔政策。它可以为研究人员提供数据的授权访问，以分析疾病。提出了基于区块链的电子病历模型，以增强其医疗数据的所有权和平台之间的数据共享[17，27，28］．由于区块链可用于建立所有参与方都同意的永久记录，因此它有可能减轻对数据有效性的一些威胁，因此一些研究人员建议用区块链系统支持甚至取代临床试验中使用的传统数据基础设施[22，23，29，30.］．我们之前的研究还展示了一个使用手机应用程序和区块链存储平台的失眠移动健康系统，并评估了对手机收集的数据的抗篡改性[24］．

虽然在区块链网络中注册的医疗数据已被证明是抗篡改的，但医疗数据的脆弱性存在于注册到区块链网络之前。在区块链网络之外冒充客户端设备或伪造数据会损害医疗数据的可靠性。此外，如果区块链网络对Internet开放，该网络很容易受到攻击和医疗记录被盗。客户端设备，如患者使用的移动电话，不应作为区块链网络的节点来处理，以保持个人医疗数据的机密性并减少私钥管理的操作成本。必须认识到这种权衡，并通过技术改进加以克服。

本研究旨在描述并验证使用客户端管理架构和区块链网络的移动医疗系统。为了克服上述其余问题，我们设计了整个系统与中继服务器，连接客户端设备到区块链网络。为了确保可靠性并防止模仿或伪造，在客户端设备中计算了一个哈希链，并将其与医疗数据一起发送到区块链网络。我们进一步在mHealth针对失眠患者的实际临床试验中验证了所提出的系统，并评估了对各种欺诈攻击的抵抗能力。

方法

临床试验和移动健康记录

所提出的系统已应用并部署到mHealth应用程序中，该应用程序基于失眠认知行为疗法(CBTi)治疗慢性失眠[31］．在经过日本药品和医疗器械厅的正式审查后，数字治疗公司SUSMED, Inc.(东京，日本)对mHealth应用程序进行了研究。本研究的发表已获得患者的知情同意。该研究已获得伦理委员会的伦理批准，并注册到临床试验注册中心(UMIN000032951)。所有的方法都是按照相关的指南和规定进行的。

从患者身上收集的移动健康记录分为主观数据和客观数据。主观数据，包括临床指标、睡眠状态和白天活动的回顾，是通过自我管理的问卷收集的。客观数据，包括精神运动警觉测验的结果[32]，通过使用手机功能测量触摸反应来评估。临床指标采用雅典失眠量表[33]、爱普沃斯困倦量表[34]，以及抑郁症症状快速量表[35被收集起来。对于睡眠状态，记录了就寝时间、入睡时间、起床时间和起床时间。除了医疗信息，还收集了应用程序操作的时间戳。使用手机应用程序收集这些临床指标。所有数据以JSON格式存储在数据库中。

移动健康数据通过中继服务器传输到区块链网络

从患者设备收集的数据通过中继服务器发送到区块链网络。我们使用了三个中继服务器，应用程序随机选择两个中继服务器在客户端设备认证后发送数据。中继服务器通过部署中继代理，并将区块链的sdk设置为只写模式，将接收到的数据发送到区块链网络。中继服务器的身份验证使用单个公共身份验证服务器进行。通过对列出的中继服务器配置Internet协议(IP)地址限制，可以保护包含医疗数据的区块链网络免受外部攻击。区块链网络由三个组织组成，其中包含两个验证对等体。区块链网络节点和中继服务器的每个帐户都由SUSMED公司的独立部门管理。可以通过单独管理不同利益相关者(如制药公司、合同研究组织和监管机构)的帐户来调整数据管理治理的严格程度。

区块链网络中的移动健康数据注册

我们使用Hyperledger Fabric v1.0来运营区块链网络，因为Hyperledger是一个开源的区块链平台，并且已经被广泛使用[36，37］．

区块链网络由一组组织管理。每个组织都有多个节点。在本研究中，网络有三个组织，每个组织有两个节点。CouchDB作为状态数据库，用于存储JSON文档[38］．

节点执行一个已安装的链码，并返回由执行结果生成的哈希值。使用安全哈希算法SHA-256来计算编码到区块链[39］．为了执行交易，每个节点都遵循共识算法，这被称为背书策略[11]，尽管Hyperledger Fabric的上一个版本使用了实用拜占庭容错算法作为共识算法[40，41］．

背书策略以机构为单位设置，根据客户端需要灵活设置，每个机构发布一个签名。在每个组织中验证事务的节点称为背书者。在这项研究中，每个交易的验证需要三个组织的两个以上签名。

根据背书政策，交易通过以下流程进行验证和接受:

1. 提案:交易从客户端应用程序发送到每个组织中的背书者。
2. 背书:每个背书人都验证:(1)交易提议格式良好，(2)过去没有提交过，(3)签名有效，(4)客户被适当授权执行提议的操作，这在链码中有描述。如果事务被验证，则执行chaincode，并将带有签名的结果返回给客户端。
3. 提交:客户验证来自组织的签名数量满足背书政策。如果满足，则将事务发送到排序服务，该服务按时间顺序对一系列事务进行排序，并创建事务块。
4. Broadcast:向所有节点下发块。
5. 提交:如果每个区块都经过验证以满足背书策略，并且是良好形式的，则将该区块追加到每个节点的链中。

所有数据，包括客户端哈希链，都通过中继服务器在区块链网络中注册，以确保数据的抗篡改性。相反，用于计算哈希值的安全字符串保留在客户端设备中。在研究结束时，安全字符串被发送到区块链网络以验证hashchain。使用SHA-256算法，基于医疗数据、安全字符串和之前的哈希值在手机上计算客户端哈希值[39］．

测试场景

在医疗数据管理中存在关于网络安全(即关于外部参与者)和治理/真实性(例如，研究人员等内部参与者)的问题。在区块链网络中注册的数据对外部攻击的抗篡改性已经在以前的研究中得到了证明。通过由不同的利益相关者(如制药公司、合同研究组织和监管机构)管理每个节点的帐户，还可以保证针对区块链网络中内部参与者的数据的可靠性。在这里，我们通过模拟以下恶意访问，评估了如何在注册到区块链网络之前检测和区分数据操纵。为每个场景创建人工数据，并测试是否检测到欺诈访问，以及是否可以将原始数据与非法数据区分开来。由于SHA-256的抗碰撞哈希函数，数据操作的结果是确定的[42]，我们验证了每个场景中单个操作的结果。由于区块链网络节点和中继服务器的帐户由独立的部门管理，因此可以通过入侵每个服务器来模拟内部和外部行为者。

1. 对中继服务器的攻击:为了模拟在临床试验期间对中继服务器的人为攻击(即外部参与者)或中继服务器所有者的不当行为(即内部参与者)，其中一个中继服务器被黑客入侵。客户端设备发送的数据可以在注册到区块链网络之前被恶意访问修改。在这种情况下，用于计算客户端设备中的哈希值的安全字符串没有被窃取。因此，使用先前的哈希值、修改的医疗数据和不正确的字符串计算客户端哈希值。
2. 认证服务器攻击:为了模拟临床试验过程中对认证服务器的人为攻击(如外部攻击者)或认证服务器所有者的不当行为(如内部攻击者)，在认证服务器上窃取现有帐户的认证密钥，并通过多台设备上传被攻击帐户的数据。在这种情况下，用于计算客户端设备中的哈希值的安全字符串没有被窃取。因此，使用先前的哈希值、修改的医疗数据和不正确的字符串计算客户端哈希值。
3. 对客户端设备的攻击:攻击者使用移动恶意软件根漏洞窃取了客户端设备中保存的安全字符串。中继服务器的身份验证信息也被恶意感染窃取。因此，客户端哈希值由不同的设备计算，使用之前的哈希值、修改的医疗数据和正确的安全字符串。

结果

移动健康中区块链网络客户端设计

在我们之前的研究中，通过手机获取的mHealth数据被上传到区块链网络。然后，我们评估了网络的鲁棒性和区块链网络中数据的抗篡改性[24］．为了进一步深入区块链在移动健康中的实际使用，有必要设计客户端设备(如移动电话)如何将医疗数据发送到区块链网络。客户端设备可以直接将数据发送到区块链网络，但在这种架构下，患者安装在手机上的mHealth应用程序需要有用于区块链的sdk。由于缺乏IP地址限制，区块链网络还将接受来自未指定客户端的访问。在这种情况下，存在未指定的客户端使用sdk读取数据在区块链网络中存储医疗信息的风险。系统可以抵抗数据篡改，但由于必须管理每个客户端设备的私钥(图1)．为了克服这些障碍，使用中继服务器是一种可能的选择。通过使用中继服务器的架构，区块链网络可以通过IP地址选择限制访问，并且mHealth应用程序不需要包括区块链的sdk。通过该架构，可以保护区块链网络不受来自internet的未指定访问，中继服务器中sdk的功能可以预定为只写，从而保护存储在区块链网络中的医疗数据。另一方面，对中继服务器的黑客攻击可能会导致冒充行为(图1)．为了平衡这些权衡，我们为移动医疗中的区块链网络提出了以下客户端架构。客户端设备(如手机)将数据发送到多个中继服务器，并在中继服务器之间进行比较和验证。经过验证后，具有IP地址限制访问权限的中继服务器使用sdk的只写功能将数据发送到区块链网络。通过该系统，存储在区块链网络中的医疗数据可防止来自互联网的访问，并可抵御服务器黑客攻击的风险(图1)．

‎ 查看此图

客户端与中继服务器之间的认证

对于上述中继服务器的使用，必须仔细设计客户端设备的身份验证，以便将数据发送到中继服务器。有可能单个公共服务器为客户端设备提供身份验证，但使用这种架构，系统很容易受到服务器黑客的攻击。对单个身份验证服务器的恶意访问可能导致模拟(图2)．另一种方法是为每个中继服务器设置一个身份验证服务器。虽然可以降低服务器黑客冒充的风险，但验证的操作成本会增加。此外，如果多个身份验证服务器被恶意访问，则无法验证原始数据的可靠性(图2)．为了解决这些问题，我们使用另一种方法实现了一个单一的公共身份验证服务器，使用在客户端设备上计算的哈希值。作为初始设置，客户端设备生成并保存一个安全字符串。客户端设备根据医疗数据和安全字符串计算哈希值，并使用SHA-256哈希算法计算之前的哈希值。因此，哈希值包含链结构。哈希值也与医疗数据一起在区块链网络中注册，以保证该值的抗篡改性，尽管安全字符串保留在客户端设备中。可以使用客户端设备中保存的安全字符串验证数据的可靠性，并在完成临床试验后回顾性地拒绝模拟。即使中继服务器被恶意访问入侵，我们也可以根据客户端hashchain和客户端设备中保存的安全字符串来验证正确的数据。由于在客户端设备中计算的哈希值组成了链结构，因此我们将该技术称为“客户端哈希链”，与区块链(图2)．如果设备在研究结束前已被销毁或禁用，则可以将安全字符串预先发送到用户的个人存储空间，例如他们的电子邮箱。

所提出的系统在临床试验中移动医疗和数据管理的应用

为了验证上述提出的系统，我们将该架构实现到mHealth应用程序中。该应用程序基于CBTi对失眠患者进行治疗，并使用手机收集医疗数据。应用程序在登录时生成一个安全字符串，并将其存储在客户端设备上。该应用程序还根据医疗数据、先前的哈希值和安全字符串计算哈希值，以便哈希值组成链结构。应用程序收集的医疗数据以及哈希值通过中继服务器发送到区块链网络。我们使用了三个中继服务器，应用程序随机选择了两个中继服务器将数据发送到区块链网络。区块链网络由三个组织组成，其中包含两个验证对等体。

利用这些系统，我们在mHealth应用程序上对失眠患者进行了临床试验。从患者处获得知情同意，并由医生提供应用程序帐户。使用移动应用程序收集mHealth数据，并通过中继服务器与客户端哈希值(图3)．在客户端设备中，根据mHealth数据、以前的客户端哈希值和存储在客户端设备上的安全字符串计算客户端哈希值。客户端哈希值构成链结构，证明序列数据的来源。

mHealth数据和客户端哈希值都被发送到区块链网络，在分类帐中注册。分类帐由区块链、按块排序的记录和状态数据库组成。区块链的每个节点都维护分类帐的副本。如果在背书策略下验证了交易，则执行链码，并将交易块追加到每个节点。mHealth数据和客户端哈希值存储在CouchDB和区块链。该区块包括该区块交易的哈希，以及前一个区块的哈希。通过这种方式，不可能在不破坏散列链接的情况下篡改账本数据。

虽然区块链的块大小有限，但对于我们的医疗数据来说已经足够了，因为临床指标存储为JSON数据。此外，我们使用的Hyperledger Fabric平台的交易吞吐量为每秒2250笔[27］．相比之下，在无许可网络或公共网络中，如比特币和以太坊，在账本上写一笔交易分别需要600秒和10秒[28］．由于在我们的移动医疗系统中，每个病人每天都要处理几次事务，因此区块链的事务性能不会成为瓶颈。

‎ 查看此图

‎ 查看此图

中继服务器抗攻击验证

为了研究我们提出的系统的抵抗力，我们首先模拟了对中继服务器的人为攻击(即外部参与者)或中继服务器所有者的不当行为(即内部参与者)，并评估是否检测到恶意访问，以及原始数据是否与非法数据区分开来。如上所述，客户端设备通过多个中继服务器将数据发送到区块链网络。我们使用了三个中继服务器，应用程序随机选择了两个中继服务器将数据发送到区块链网络。如果其中一个中继服务器被黑客攻击，攻击者可以在区块链提交之前修改客户端设备发送的数据并窃取授权令牌。在这种情况下，用于计算客户端hashchain的安全字符串没有被攻击者窃取。

如图4，攻击者入侵了中继服务器#2，并修改了一些医疗数据以及客户端哈希值。在这种情况下，使用先前的哈希值、修改的医疗数据和不正确的字符串计算客户端哈希值。通过从其他中继服务器发送的数据之间的不匹配可以检测到访问欺诈。还可以使用客户端hashchain自动从原始数据中区分和拒绝非法数据。在临床试验结束时，该设备将安全字符串发送给区块链，以便能够回顾性地验证上传的数据。由于所有医疗数据和客户端哈希值都存储在区块链网络中，因此不可能根据通过中继服务器发送的安全字符串重写哈希值。通过将拒绝模仿的客户端hashchain与提供防篡改历史的区块链结合起来，可以保证合法数据。

认证服务器抗攻击验证

接下来，我们模拟了在临床试验期间对认证服务器的人为攻击(即外部参与者)或认证服务器所有者的不当行为(即内部参与者)，并评估了如果原始数据与非法数据能够区分，是否可以检测到恶意访问。认证服务器拥有每个帐户的认证密钥。如果身份验证密钥被窃取，攻击者可以从不同的设备发送非法数据。在这种情况下，用于计算客户端hashchain的安全字符串没有被攻击者窃取。

‎ 查看此图

如图5，攻击者使用被盗的身份验证密钥生成多个具有相同日志ID的数据，并通过中继服务器发送到区块链网络。欺诈检测可以通过识别分支数据来实现。此外，还可以使用客户端hashchain自动从原始数据中区分和拒绝非法数据。在临床试验结束时，设备将安全字符串发送到区块链，以便对上传的数据进行回顾性验证。由于所有医疗数据和客户端哈希值都存储在区块链网络中，因此不可能根据通过中继服务器发送的安全字符串重写哈希值。

‎ 查看此图

客户端设备抗攻击验证

为了进一步研究我们提出的系统的抵抗力，我们接下来在客户端设备上模拟了一次人工攻击，并评估是否检测到恶意访问，以及原始数据是否与非法数据区分开来。最危险的攻击之一是恶意软件的根漏洞，它使攻击者能够获得受害者的私钥。在这种情况下，身份验证密钥和安全字符串被攻击者窃取，导致更严重的情况。

如图6，使用被盗的身份验证密钥，生成多个具有相同日志ID的数据并发送到区块链网络。欺诈检测可以通过识别分支数据来实现。然而，由于攻击者窃取了安全字符串来计算客户端哈希值，因此不可能使用客户端哈希链自动区分非法数据和原始数据。然而，在这种情况下，基于欺诈检测，可以通过离线检查患者设备中的数据来判断哪些是原始数据。

‎ 查看此图

讨论

主要研究结果

在这项研究中，我们使用中继服务器和区块链结合客户端hashchain开发了一个安全且可扩展的移动健康系统。虽然区块链技术对医疗数据提供了抗篡改性[24]时，安全性仅限于已注册的数据，不能区分原始数据和模拟数据。此外，如果将客户端设备作为区块链网络的一个节点处理，则会影响可伸缩性。通过我们提出的系统，我们已经证明了这些问题是可以解决的。

比特币是区块链作为数字资产被广泛使用的第一个实现。虽然比特币可以用作防止数据篡改的平台，但这是不合适的，因为它是一个开放的网络，大量的计算能力是工作量证明(PoW)获得共识所必需的[43］．私有区块链网络，如Hyperledger Fabric，更适合于医疗数据的管理，因为利益相关者的节点可以控制。此外，在没有PoW的情况下，可以在私有区块链中处理更多的事务。使用专用区块链网络，我们使用中继服务器从授权客户端发送数据。使用这种体系结构，不需要在客户端设备上合并sdk。为了使系统健壮地抵御中继服务器的黑客攻击，该应用程序通过多个中继服务器将数据发送到区块链网络。即使其中一个中继服务器被黑客入侵，我们也可以检测到访问欺诈，并区分原始数据和修改数据。在我们的研究中，我们使用了三个中继服务器，随机选择了两个来发送数据。如果我们使用更多的中继服务器，例如，如果随机选择5个中继服务器中的3个来发送数据，则可以提高系统对服务器攻击的鲁棒性。

为了进一步阐明数据的来源，我们将客户机hashchain与私有区块链结合起来。哈希值与区块链相结合，已在以前的研究中用作数字内容权限管理的元数据[44］．相反，我们使用在客户端设备上计算的哈希值来防止模拟，并通过链接数据来验证数据的来源。具有链结构的哈希值(客户端哈希链)允许识别从存储安全字符串的特定客户端发送的原始数据。此外，结合区块链，系统还保证了抗篡改性和哈希值的可靠性，防止冒充。我们已经证明，通过使用客户端hashchain可以检测到受感染的中继服务器的欺诈数据，并将其与原始数据区分开来。即使在计算客户端哈希值时使用的安全字符串被攻击者利用根漏洞窃取[45]时，可以检测到链码分支中的畸形。根据畸形的检测，研究人员可以询问患者并检查哪些是原始数据。因此，该系统具有很高的抗假冒和篡改能力。

在本研究中，我们设计了移动健康的架构，并在临床研究中验证了其性能。虽然mHealth适用于收集医疗数据，如患者报告的结果[46]，通过将客户端设备从病人的移动电话改为医疗机构的电脑，该系统也可应用于使用电子数据采集的临床试验[47］．此外，我们可以将智能合约(Hyperledger Fabric中称为链码)部署到区块链网络的每个节点上执行交易。由于智能合约可能具有将医疗数据转换为确定格式的功能，如果应用程序可以通过部署智能合约进行临床试验来访问额外的医疗数据，则有可能自动完成每个患者的病例报告表[25，48］．

该系统可以验证医疗数据的准确性，而无需第三方的确认，如合同研究机构，因此有可能降低临床试验的成本和人为错误的可能性。因此，我们基于区块链技术与客户端hashchain相结合的系统可以促进药物和医疗器械的开发。

限制

需要进一步的研究来验证该系统同时进行多个临床试验的可扩展性。在Hyperledger Fabric v1.0中，可以使用排序服务划分网络并定义通信通道，这使得多个临床试验可以在同一个系统中进行[49］．虽然我们使用的Hyperledger Fabric平台的交易吞吐量远高于公共区块链，但这里描述的专用网络的一个缺点是，在由有限数量的节点组成的网络中，在没有公共验证的情况下，可以防止51%的攻击。

虽然我们的系统可以抵抗冒充和篡改，但对客户端设备的黑客攻击是一个很大的威胁。Root exploit是攻击者用来修改Android操作系统内核的一种恶意软件，这样攻击者就可以获得超级用户权限。当攻击者获得操作系统内核的根权限时，他们也获得了对完全管理员权限的访问。通过这一点，攻击者能够在系统中安装其他类型的恶意软件，如僵尸网络、蠕虫或木马。进一步的研究，如根漏洞检测[45]可能有助于提高系统的安全性。

结论

在本研究中，我们使用区块链设计了一个安全、可扩展的移动健康系统。客户端hashchain与区块链网络相结合，以防止模仿，支持使用中继服务器，并降低mHealth客户端设备身份验证的复杂性。该系统在临床试验中得到验证，并对各种欺诈攻击进行了抗性评估。