医疗保健业从各种来源获得丰富的健康数据[ 1］．有意义地使用卫生数据可以改善卫生保健提供者的决策和患者的结果[ 2］．电子健康记录(EHRs)等数字化卫生保健记录的日益采用，为卫生保健数据分析和与患者护理协调结果提供了机会[ 3.， 4］．许多卫生保健应用程序旨在最大限度地利用电子病历的潜在好处，例如分析流行病学疾病模式以改善全国的公共卫生，或及时进行卫生信息交换(HIE)以在卫生保健设施之间为患者提供协调和高效的护理。当所需的数据分布和存储在不同来源时，需要进行数据共享[ 5， 6］．然而，数据协调存在多重障碍:(1)HIE过程中的数据隐私和安全问题[ 7， 8]，(2)机构隐私规则的局限性[ 3.， 9]，以及(3)就院校间的数据交换达成协议的耗时过程[ 10， 11］．敏感健康数据的交换存在安全和隐私方面的担忧[ 8］．由于《健康保险可携性和责任法案》，立法限制在没有患者授权的情况下访问电子病历[ 3.， 12］．因此，需要有一种可持续和安全的数据收集机制，通过这种机制，每个数据所有者都可以维持对其数据的控制，而且只有在数据所有者允许这种情况发生的情况下[ 13］．

面对数据协调的挑战，区块链被认为是一种颠覆性技术，适合许多医疗保健应用程序的需求[ 14， 15］．区块链是一项首次应用于金融领域的分布式账本技术[ 16］．比特币是区块链最受欢迎的应用程序之一，它显示了其安全性、持久性和健壮性。区块链中的所有用户都是匿名的，并由随机生成的256位公钥和私钥的唯一对表示[ 16］．这种保护用户隐私的功能是比特币成功的原因之一，也是区块链被考虑用于潜在的医疗保健应用而不考虑患者隐私问题的原因[ 17］．与用于比特币的公共区块链类似，区块链可以私下实现，也称为a 允许链适用于不同用途[ 18］．用户需要获得加入私有链的权限，因此区块链的数据只能被授权用户访问。区块链是一个区块链，包含当前和以前的区块编号，以及在短时间内发生的经过验证的交易[ 19］．区块的生成遵循某种共识协议，如工作证明(Proof of Work, PoW)，它要求矿工提供计算能力来验证交易的合法性，并生成新的区块。数据所有者可以使用块跟踪其数据的时间戳和请求者。所有交易都是公开审计的。任何恶意交易预计会被区块链中的用户检测到，并在随后被丢弃[ 20.］．一旦交易完成，所有用户将验证发送者的身份和交易的合法性。没有可信任的第三方来执行验证过程。相反，交易数据的合法性、准确性和数据来源由所有用户以透明的方式确保[ 21］．经过验证的交易将被写入后续块，交易的内容永远不能被删除或更改[ 16］．以太坊区块链保留了区块链的所有原始特性，并在区块链系统中添加了可编程自执行计算机协议的功能，调用了请求方和接收方之间的协议 聪明的合同［ 19］．智能合约是用图灵完备语言编码的，如以太坊区块链中的Solidity，可以解决任何计算问题[ 22］．例如，使用智能合约可以监管交易，例如强制执行交换数据的互操作性标准[ 23］．

由于去中心化交易验证的特征——确保数据来源、数据共享、数据集成和智能合约的灵活性——非常适合许多医疗保健应用程序的需求，因此已经有许多努力将区块链应用于医疗保健领域，如HIE、药品供应链和临床试验管理[ 24， 25］．然而，在保健领域的大多数区块链应用仍处于实施的早期阶段[ 15］．

这是对以前区块链应用程序设计的扩展研究和对新的通用分层体系结构的探索，如图所示 图1．我们构建了私有区块链环境，实现了分层架构，并基于该架构构建了两个原型应用:HIE和临床试验受试者招募。

与传统的区块链体系结构相比，本研究提出了一个适用于广泛的医疗保健应用的跨站点数据协调的广义区块链系统。分层体系结构提供了一个区块链平台，该平台具有预定义的数据收集功能，开发人员可以在没有区块链丰富经验的情况下实现医疗保健应用程序。我们在方法部分解释了区块链环境设置和新的分层体系结构，然后在结果部分介绍了案例研究和模拟结果，以演示用于医疗保健应用程序开发的体系结构的可行性、可伸缩性和兼容性。

区块链网络在管理数字资产方面具有优势[ 26， 27］．区块链管理的一个知名数字资产是比特币，或者一般来说，加密货币[ 25］．在医疗保健应用程序中，EHR访问是管理中的数字资产。选择参加区块链的患者的健康数据经过加密并存储在安全的区块链外数据库中，该数据库位于受自身防火墙保护的医疗保健设施中。基金会私有区块链用于存储引用EHR请求和交换的所有事务，以及包含带有患者和医疗机构标识的相关医疗数据的元数据。此外，在元数据中捕获以下组件:创建时间、数据集位置、访问权限和控制、数据解密和数据真实性。

由于区块链是一个完全分布式的系统，我们在区块链私有网络的顶部建立了3层: 事务处理层， 接口层, 应用程序层。如 图1, 事务处理层由两种用Solidity编码的智能合约组成，即 电子健康档案管理智能合约和 用户管理器智能合约，使用区块链安全性管理使用分散有效性和真实性检查加密的元数据的存储和访问[ 28］．这2个智能合约在系统中是固定的，不允许更改。

从一个卫生设施到另一个卫生设施的数据请求触发智能合约的某些功能 接口层．只有通过可信任元数据中的信息，才能检索原始数据并验证其真实性 接口层．应用程序，如临床试验的受试者招募，EHR管理和基于人工智能(AI)的数据分析工具可以构建在 应用程序层．与以前用于医疗保健应用程序的区块链系统相比，这种分层体系结构具有以下优点:(1)大多数需要数据交换的医疗保健应用程序的兼容性，(2)半公开修复区块链设置和智能合约功能，但保留大多数区块链功能，(3)每一层的安全设置，以在交换过程中保护患者的身份和数据，(4)谁访问了数据以及他们如何使用数据的可追溯性。

为了建立区块链系统，每个医疗机构需要提供至少一个区块链节点，这是一个可以安装区块链系统的电子设备。在我们的设置中，每个节点在Ubuntu Linux服务器上运行以太坊协议的官方Go实现。为了将区块链与电子病历系统连接起来，我们开发了区块链适配器，这是一个区块链节点，旨在遵守个别医疗机构制定的本地数据访问政策[ 29］．

为确保医疗保健资料的安全及配合现时电子病历运作的需要，我们的区块链系统并没有储存病人资料。这主要有两个原因。首先，由于医疗保健设施共享健康信息的政策和区块链存储限制，在区块链中存储大量医疗保健数据是不现实的[ 25］．其次，医疗保健行业仍不接受允许患者数据跨区块链网络移动[ 12］．一个包含原始EHR数据相关信息的元数据集被创建并提交到区块链平台。元数据的创建和更新记录到区块链中的数据块链中。这些通过智能合约执行的事务是不可变和可跟踪的，因此创建了一个可信任的元数据事务。由于存在不同的互操作性标准，例如快速医疗保健互操作性资源和健康级别7版本3，因此将有不同数据存储的不同元数据点供接收者选择。接收方可在HIE过程中选择其所属部门标准的兼容互操作性标准[ 30.， 31］．元数据所有者与数据集所有者相同，可以通过智能合约或电子通知确认等交互方式自动授予、拒绝或撤销访问权限。例如，可以对智能合约进行编程，根据时间或数据类型授予或拒绝访问权限，或将访问权限委派给特定用户。在所有情况下，由于授予或拒绝权限不需要第三方干预，因此可以大大提高数据共享的时间效率。这是区块链网络的去中心化特性，支持点对点的HIE。

每个区块链用户，包括区块链适配器，由由区块链生成的公钥派生的哈希值(帐户地址)表示[ 32］．私钥由用户保持私有，公钥用于内部和外部事务和通信。与帐户地址相关的任何交易都必须由签名进行签名，即私钥。所有交易都需要确保公钥和私钥匹配，然后将交易记录到区块链中。患者需要到医疗机构选择加入该系统，这样他们就可以声称拥有自己的数据。用户可以创建用户名和密码，或者使用映射到公钥和私钥的生物特征信息，而不是记住真正的密钥值。智能合约的元数据权限控制是匿名的，保证了用户的隐私。用于定位加密数据的元数据通过https协议与安全数据存储进行通信，并通过相同的协议将结果通信回用户;因此，它被认为是安全的数据传输。

我们分层架构的基础是一个私有的以太坊区块链，它涉及一个不可变的数据块链，由提交的账本和多个区块链节点组成，同步维护相同的数据块链。在整个体系结构中，这一层确保了数据的不可变性、去中心化共识、数据透明性和可跟踪性。私有区块链从一个具有特殊设置的起始节点启动，以使区块链独一无二。在构建私有区块链时，智能合约通过开始节点部署。所有来自医疗保健设施的参与节点必须获得起始节点的权限才能加入系统。此程序将禁止未经授权的用户加入系统。当参与节点加入到系统中时，区块链将自动为它们的区块链适配器生成帐户。所有其他用户，如患者和卫生保健提供者，都需要通过卫生保健机构选择加入该系统。一旦申请人的身份得到证实，将为每个保健设施的用户生成区块链帐户。

私人区块链存储(1)患者和批准、撤销和拒绝访问其电子病历数据的医疗保健设施的所有交易;(2)对患者和医疗保健提供者进行认证，以检索电子病历数据;(3)医疗保健设施存储患者就诊的元数据。事务将通过区块链适配器将接收方、发送方、包含的数据和时间戳记录到块中。用户还可以通过区块链节点在后端区块链控制台进行交易。这些交易仍然需要通过智能合约法规才能生效。的图形用户界面(gui)与大多数用户进行交互 应用程序层执行区块链系统中的功能。

的 事务处理层由2个智能合约组成，它们指定医疗记录的元数据模型和规范数据访问权限、权限策略和数据加密的方法。两个智能合约 电子健康档案管理智能合约和 用户管理器智能合约，部署到区块链，以安全地完成基本的EHR管理任务。的 电子健康档案管理只有卫生保健设施才能使用智能合约向区块链提交电子病历元数据。的 用户管理器患者或医疗机构使用智能合约管理对其数据的访问。一旦病人从医疗保健机构选择进入系统，医疗保健机构的区块链适配器将使用病人的私钥和输入自动加密他或她的病人ID和公钥 用户管理器聪明的合同。的适配器id将存储在 用户管理器聪明的合同。下面的场景演示了在EHR元数据输入和HIE中使用智能合约。

的 接口层提供4个高级方法: 得到来自不同机构的医疗数据 商店加密数据安全， 帖子的智能合约向区块链请求元数据或数据 事务处理层, 发送将加密的数据发送给已获得数据所有者许可的接收方。使用这一层中的功能，应用程序开发人员可以实现分布式数据应用程序(dapp)，而不需要了解智能合约和底层区块链网络。该层由api和https web服务组成，定义了一组基本坐标函数:(1)提交数据，(2)设置数据权限，(3)检索数据。数据提交API将从原始数据中提取元数据并调用 事务处理层的智能合约将其记录到区块链。它还将加密原始数据，并将加密版本存储到一个安全的区块链外数据存储。数据检索API将调用智能合约从区块链检索元数据，用元数据验证加密数据的真实性，并对区块链外数据存储中的加密数据进行解密，获得原始数据。数据权限设置API将调用 事务处理层的智能合约，为一段元数据设置访问策略和方法。元数据中包含的信息用于检索和解密数据。当数据要通过通道传输且可能被窃听时，https web服务提供安全的数据传输。使用区块链适配器作为EHR系统的网关，可以最大限度地减少对数据交换安全性的关注。

我们将区块链适配器实现为node .js应用程序，并使用web3.js包与区块链节点和https.js包进行接口，以实现https安全web服务。web3.js也可以作为web3.py在Python库中使用。基于http的web服务主要用于区块链适配器之间的通信。区块链适配器是作为软件嵌入的，它将自动安装缺少的组件，如node.js和web3.js。 图4显示区块链适配器的高级框图。元数据提取器从EHR数据集中提取元数据，如患者ID和数据集ID，用于区块链中的数据识别目的。数据和患者ID管理器将患者ID映射到数据集ID，并在 用户管理器智能合约以及 电子健康档案管理聪明的合同。数据集加密块在 图4对EHR数据集进行加密，并使用URL或数据对象散列存储在安全数据存储中，以供将来访问。

从安全性和可靠性的角度来看，区块链适配器严格遵循以下设计指导原则:

与上述 接口层体系结构和智能合约设置，许多涉及数据交换的医疗保健应用程序可以在 应用程序层．这一层将依赖于 接口层安全地收集数据，然后执行数据分析。应用程序不会更改现有的区块链设置。这些应用程序可以使研究人员或数据所有者更好地利用电子病历数据。例如，个人健康档案管理就可以发展起来 应用程序层．病人的身份将通过区块链中的智能合约进行验证。所有的病人记录都可以通过 接口层．除了HIE应用，也可以在这一层开发临床试验的受试者招募。在进行匹配之前，临床试验发起者需要通过临床试验地点的区块链适配器获得患者的许可[ 34］．在患者允许主办方收集他们的数据后，临床试验主办方可以使用在 应用程序层自动匹配患者与他们的招募标准。我们在我们的私有区块链系统上实现了这两个示例应用程序。的交互 应用程序层并给出了区块链系统的仿真结果。

为了测试分层体系结构的可行性，我们构建了一个区块链环境，其中包含1个起始节点和4个医疗保健设施节点。所有节点都安装了Ubuntu 18.04.2操作系统和默认PoW设置的Go以太坊。每个节点都安装了一个区块链适配器，以与区块链和它自己的安全数据存储通信，这是使用MongoDB实现的。我们为来自监测、流行病学和最终结果数据库的患者记录的每个卫生保健设施节点创建了100个卫生保健提供者帐户，并为10000个患者帐户[ 35］．共有2431、2587和2505名患者的多个记录分布分别存储在2、3和4个卫生保健设施节点中。其余患者的记录存储在单个设施节点中。使用自动化脚本将选定的记录存储在每个安全数据存储中，其过程与 电子健康档案管理聪明的合同。的智能合约将元数据推入区块链时，已经声明了所有权 事务处理层．

在设置好环境之后，我们实现了两个应用程序来与区块链系统交互。应用程序是链下构建的，但可以使用node.js与区块链系统通信。这两个应用程序是可能使用分层区块链体系结构的示例。我们测试了系统的准确性、可伸缩性和速度。我们做了以下假设来模拟这两个过程:(1)每个临床站点向系统提供了至少一个节点，(2)每个临床站点同意将区块链适配器连接到安全的数据存储，以及(3)患者已授权区块链系统和两个应用程序访问他们的健康记录。

此应用程序为用户提供一个接口，以管理对个人医疗保健记录的访问 事务处理层．患者可以使用此应用程序授予和撤销对其记录的访问权。患者还可以通过这个应用程序跟踪他们的记录被访问了多少次。为了测试我们系统的准确性、速度和可伸缩性，我们模拟了患者向其EHR的医疗保健提供者授予许可的过程。我们开发了5个脚本来自动化模拟过程，方法是:(1)随机选择1名患者，在一小时内以每秒的速度向1名医疗保健提供者授予EHR权限并记录时间戳，(2)记录医疗保健提供者获得权限时的时间戳，(3)记录医疗保健提供者收到数据时的时间戳，(5)由于以太坊已知的可伸缩性约束，每秒向脚本1添加1名患者，然后重复脚本1到4，直到达到系统限制[ 36］．

模拟只包含与区块链相互作用的周期。检索数据是通过https门户进行的链下处理，并且根据不同的医疗保健设施而有所不同。从我们的模拟结果来看，当规模达到每秒14个事务(TPS)时，系统在某一点上崩溃。我们模拟了331,142个访问授权事务。由于达到以太坊的可伸缩性限制，除了最后一秒的14个事务外，所有的事务都成功检索了记录。将事务写入块的平均时间为11.271 (SD 2.208)秒。我们没有发现TPS和验证时间之间的相关性。所有卫生保健提供者平均在1.73秒内收到元数据。

在本研究中，通过区块链适配器测试了区块链使用从1到14 TPS的各种事务频率的可伸缩性。 图5显示了从不同尺度授予许可所花费的时间(由于结果不完整，14 TPS组被排除在外)。一旦通过将事务写入块来授予权限，接收方就可以通过区块链适配器从智能合约中检索元数据，而无需为用户进行另一个事务以验证合法性。这意味着接收元数据的平均时间比授予权限的时间短得多。9 TPS组脚本运行速度较前两组慢。所有区块链节点分别重新启动，脚本与10 TPS组一起重新启动。该速度受区块链节点的处理速度和以太坊性能的影响。开始节点的区块链适配器用于控制总体频率。来自医疗保健设施节点的区块链适配器的所有事务将在开始节点的适配器中排队，直到前几批事务由每个区块链适配器执行完毕。我们将总体频率控制为13 TPS，这通过间隔事务避免了以太坊的可伸缩性限制。

为了证明我们分层区块链系统的兼容性，我们实施了另一个应用，作为临床试验的受试者招募。该应用程序涉及发布标准、授予权限和数据交换。要使用该应用程序，每个临床试验主办方需要提供至少一个区块链节点，并安装区块链适配器。所有想要参与临床研究的患者都需要选择加入申请，这样他们才能收到招募标准。此申请涉及以下程序:

我们实现了一个GUI来演示这个应用程序的用法。患者需要选择此申请来接收当前临床试验招募信息。我们随机选择了4个赞助商，使用他们的区块链适配器通过区块链发布他们的招聘标准 接口层．只有选择的患者才会收到招募的临床试验信息。 图6显示了ID为1721653的模拟病人的GUI。它将提供患者的基本信息，例如区块链地址和注册的医疗机构ID。招募标准包括发起人ID、年龄和性别等基本纳入标准以及研究疾病(在本例中，我们在模拟中使用研究疾病的主站点)。患者可以使用GUI授权赞助商接收他们的数据，以与他们的临床试验标准进行精确匹配。该操作将自动将事务发送到 用户管理器智能合约将赞助商的区块链地址添加到其访问列表。通过我们的模拟，2个发起人平均在3.07秒内成功获得许可。

本文描述了一个正在开发的增强的分层区块链系统，用于大多数医疗保健应用程序，涉及跨多个医疗保健设施的数据协调。这种分层体系结构的设计为应用程序开发人员提供了通用函数和方法，以安全地从不同来源收集数据，而不需要区块链技术的丰富经验。分层体系结构允许用户审计以前发生的事务的合法性，但阻止用户修改区块链中的任何组件。区块链的特性为当前的数据协调挑战提供了解决方案。基于区块链的方法将EHR数据集的所有权扩展到每个患者。该方法基于点对点交易的区块链技术去中心化的特点，可以大大减少医疗保健数据集的签署和发布。区块链和智能合约规范的数据交换的不可变性也保证了数据的安全性和真实性。

通过我们的仿真过程，我们的系统实证证明了该体系结构在医疗保健应用中的可行性。我们还测试了区块链系统的可伸缩性，并提供了一个避免区块链可伸缩性限制的最佳解决方案。我们未来的工作将继续评估验证机制，以提高区块链的性能，并在 应用程序层进行数据分析，以最大限度地利用基于分层区块链系统的电子病历。

我们的方法的主要限制是来自每个参与站点的设置要求。每个卫生保健设施必须向系统提供至少一个区块链节点，并在注册患者的操作EHR之外保留一个加密的EHR，以存入可与区块链适配器通信的安全数据存储中。患者可能还需要提供移动设备等区块链节点，以交换和存储其个人医疗设备生成的个人健康记录。模型的性能会受到区块链节点的属性的影响。如果单个节点通过区块链适配器同时创建大量事务，该操作将耗尽所有内存，并在节点被发送到区块链之前中断该节点。