行动- ehr:以患者为中心的基于区块链的癌症护理电子健康记录数据管理

介绍

供应商之间及时共享电子健康记录(EHR)对于及时提供医疗服务至关重要。例如，癌症患者护理的过渡和协调是非常普遍的现象。病人的健康史、检查、诊断和治疗为医生做出临床决定提供了必要的知识。个人患者也更喜欢访问EHR历史，以支持个人和家庭参与以用户为中心的数据共享和访问控制[1]。历史电子病历数据还可以支持预测建模，从而推动个性化医疗，并通过机器学习提高医疗质量[2]。

电子病历数据是高度隐私和敏感的。根据健康保险流通与责任法案(HIPAA) [3.]，病人有权掌握自己的健康信息，并可以对谁可以访问和接收健康信息制定规则和限制。在目前的实践中，如果患者需要将其临床数据从一家医院转移到另一家医院，通常需要他签署书面同意，指定将共享何种类型的数据以及有关接收者的信息。电子病历数据共享仍然是一个繁琐的手工过程，通过传真或邮件，通常需要几天甚至几个月的时间才能获得记录。这主要是由于缺乏安全可靠的电子病历数据共享的系统基础设施支持，这也可能导致患者护理的严重延误。

卫生信息交换生态系统(HIE)旨在确保在全国范围内安全、有效和准确地共享来自电子病历的患者数据。然而，HIEs的采用有限，许多区域网络仍然是孤立的[4]。此外，目前的系统缺乏标准架构，导致数据共享后无法确保适当的安全性和对患者的访问控制。

HIEs通常被设计成一个单一的、完全可信的实体，单独负责管理和存储来自多个参与医院的电子病历数据。虽然集中式系统可能更容易管理，但它存在单点故障，并且可能成为实际部署的性能瓶颈。此外，事实证明，可以访问敏感健康信息的集中式机构会给最终用户带来更多的安全和隐私问题。使用GoogleHealth钱包的经验[5，例如，已经表明患者关心他们的隐私，并意识到他们的敏感数据可能被滥用的潜在风险。或者，所有数据都可以以加密的形式存储和管理(例如，使用同态加密)，以提高安全性和隐私性。然而，它需要大量的内存和大量的计算[6这对医院环境来说可能是令人望而却步的。部分数据加密可以提高这类方法的效率[7];但是，在医疗环境中，可能需要访问和分析所有历史数据和图像(缺乏任何加密)，以便做出更好的医疗保健决策。

基于比特币加密货币的成功，区块链技术最近以巨大的势头出现[8]。区块链使用分布式账本来提供所有网络参与者发生的所有操作的共享、不可变和透明的历史记录。它使新一代的事务性应用程序能够建立信任、责任和透明度。区块链，特别是经许可的区块链技术，使用户可以在没有中央控制点的情况下完全控制数据和隐私;因此，建立共享电子病历数据的应用程序，成本效益高，效率高[9-15]。

在本文中，我们提出了action -EHR，一个以患者为中心的，安全的，可信赖的EHR数据共享框架，具有允许的区块链框架，不仅可以加速数据共享过程，而且可以使患者对自己的EHR数据采取行动进行共享，具有完全的访问控制。该系统不仅将使个体患者处于其护理的中心，还将使医疗从业者和研究人员能够快速、安全地访问数据，从而在显著降低成本和提高效率的情况下加强癌症治疗。

方法

区块链技术背景

区块链是一种点对点分布式账本技术，它为网络中发生的所有交易提供了一个共享的、不可变的、透明的、只追加的注册表[8]。交易形式的数据，由参与者进行数字签名和广播，按时间顺序分组成块并打上时间戳。哈希函数应用于块的内容，形成一个唯一的块标识符，存储在后续块中，从而形成一个“链”。由于哈希函数的属性(结果是确定的，不能逆转)，可以通过对块内容进行哈希并将其与标识符进行比较来轻松验证块是否被修改。前一个块的哈希值作为块内容的一部分，允许人们确保该块属于其“位置”。区块链由每个参与者复制和维护。使用这种分散的方法，就不需要为管理注册中心设置一个受信任的集中式实体。参与者(特别是在许可设置中)将注意到恶意企图篡改存储在注册表中的信息;因此，分类帐的不变性得到了保证。

区块链技术依赖于公钥基础设施(PKI)，并采用数字签名和非对称加密等加密原语。在非对称加密方案的情况下[16]，生成两个密钥:一个是公开的(公钥)，另一个(私钥，或秘密，密钥)由其所有者保持私有。要发送秘密消息，发送方使用接收方的公钥对消息进行加密并发送。接收方可以使用他的私钥解密它。数字签名是以一种可证明的方式对消息的来源和内容进行身份验证的构造。用户用他的私钥签署消息，其他用户可以用签名者的公钥检查签名[17]。PKI是一个框架，用于管理公钥的创建、分发、识别、认证和撤销[18]。向现有分类账添加新块是由区块链技术实现中采用的共识协议定义的。共识协议被定义为用于在节点之间传播请求的协议，以便每个节点在其服务实例上执行相同的请求序列[19]。基于成员机制(即参与者的身份及其参与共识的权利如何在网络中定义，例如工作量证明或背书政策)，可以区分无许可和有许可的区块链系统[20.]。工作量证明的作用是定义谁将添加下一个区块(在参与者身份已知的许可区块链的情况下，这是在策略级别定义的)。无许可和许可系统通常也采用不同的共识协议(例如，Nakamoto共识，Practical Byzantine Fault Tolerance [PBFT])。Nakamoto共识实现了一种复制状态机抽象，其中无权限网络中的节点就一组已提交的事务及其排序达成一致[21]。该协议依赖于交易区块链。节点通过使用接受的块的哈希值作为前一个哈希值来创建链中的下一个块来表达他们对该块的接受。在许可区块链中使用PBFT或其他协议的情况下，指定的节点集根据交易来源的凭据验证交易的有效性。受许可区块链技术的体系结构设计提供了在无权限设置中不可能实现的隐私和安全保证。

我们根据高度敏感的电子病历所容许的区块链技术设置，限制我们的工作[22]。一个被许可的区块链网络由已知的实体(如给定行业的利益相关者)运营。因此，这种设计选择可以改善对参与网络和用户注册的控制，并且与无权限区块链中使用的昂贵的工作量证明过程相比，可以最大限度地减少计算能力。因此，可以实现更好的事务吞吐量，同时提供更好的可信度，并保留数据共享的隐私和审计跟踪。

Hyperledger Fabric [23，24-一个被允许的区块链的实现-是一个开源的区块链倡议由Linux基金会主办。Hyperledger Fabric包含用于身份验证和授权的安全基础设施(成员服务[MS]，采用证书颁发机构[CA]， CA是一个实体，可以为对等节点和解决方案用户[su]的签名和加密密钥对生成证书)。MS的目标是通过公钥证书支持对等体和用户的注册和事务授权。这是与无权限区块链框架的主要区别之一。Hyperledger Fabric还提供了对多个ca的匿名凭证的支持，并使用了阈值签名。除了MS之外，其他主要的体系结构组件是对等节点和排序服务节点(orderer)。Orderer是运行通信服务的节点(或节点集群)，该通信服务实现交付保证，例如原子或总订单广播。这是通过事务验证和排序完成的。在验证阶段，验证交易发行者的数字签名，以及所谓的背书策略。背书策略是为链码定义的，用于指导对等方如何确定交易是否有效。 An example of such a policy can be defined as a requirement that all the peers in the network have to validate (and therefore sign) the transaction. Then, the orderer, during the verification, must ensure that the transaction is indeed signed by all the peers and that the signatures are valid.

在Hyperledger Fabric中，智能合约由链码实现。链码由其逻辑和相关的世界状态(state)定义。链码逻辑是一组规则，它定义了交易将如何执行以及状态将如何变化。逻辑可以使用通用编程语言编写。状态是一个以键值对的形式存储信息的数据库，其中值是一个任意字节数组。状态也包含它所对应的块号。分类帐通过在附加块时包含状态的有效加密散列来管理区块链。如果节点暂时脱机，这将实现高效的同步，从而最大限度地减少节点上存储的数据量。

行动电子病历系统模型

ACTION-EHR(以患者为中心，基于区块链的EHR管理)是一个基于区块链的许可系统，用于EHR数据共享和集成。每家医院将提供一个区块链节点，与自己的EHR系统集成，形成区块链网络，患者和医生将使用一个web应用程序来启动EHR共享交易。为了实现EHR数据的可扩展性，ACTION-EHR采用混合数据管理方法，其中数据共享的元数据将存储在链上，共享的EHR数据将被加密并存储在符合hipaa的基于云的存储中。患者(或其医疗保健代理)将能够发起记录共享请求并定义共享权限，从而完全控制共享数据。PKI-based [25非对称加密(区分加密和解密密钥)和数字签名被用来保护共享的电子病历数据。ACTION-EHR框架的系统模型见图1，并使用Hyperledger Fabric v1.4实现了原型。

‎ 查看此图

ACTION-EHR由以下组件组成:对等节点、SU、客户端-服务器web应用、MS、订购器和符合hipaa的CS (cloud storage)。

对等节点(1-n)是代表医疗保健机构的EHR区块链网络中的对等节点。由于每家医院都有自己的EHR系统，对等节点可以访问EHR系统，以便提取数据进行共享。对等节点有一个web服务器、EHR集成层、定义共享操作的链码和一个数据库(如CouchDB [26])进行链上数据管理(图2)。对等体还就交易的有效性达成一致，并通过添加新的交易块和相应更新链上数据来维护区块链分类账的当前状态。元数据存储在链上，由EHR元数据(例如，数据源，数据类别)和每个EHR记录的共享权限元数据组成。

SU是系统的最终用户。目前，有2个可用的SU角色:患者和护理人员。我们还假设在每个医院都有一个具有管理员角色的受信任用户，用于注册新用户。一旦系统集成到临床数据流中，用户管理将实现自动化，可以在医院内使用电子身份管理系统(即身份证)。管理员的身份以及用户的身份都由CA维护。

客户端-服务器web应用程序用于客户端，客户端将通过web客户端(用户界面提供者)访问系统。在每个对等节点上部署一个web服务器，它与链码交互。医院管理员(Admin)注册用户并从本地EHR数据库检索数据。为了确保软件是可信的，可以对源代码进行数字签名，并将其作为开放源代码进行验证。

MS是管理所有成员组织和用户的网络身份的实体，但不能访问存储在区块链上的EHR数据或元数据。在注册对等体之前，MS使用可信数据库(如National Practitioner Data Bank)对对等体进行验证。为了放松假设并提供更强的安全性和分布式信任，集体授权服务器可以代替单个MS [27]。我们假设MS是受信任的，并且托管一个标准CA，该CA可以为密钥对生成证书，用于对对等节点和su进行签名和加密。

orderer是提供事务验证和排序的服务。

符合hipaa的CS是一种服务器，其中根据患者指定的访问控制策略存储加密形式的高度敏感的医疗保健数据。CS用于支持大型文件(如医学图像)的交换，也可用于构建患者数据的完整历史。

基于这种设计，Action-EHR分别为患者和护理人员提供了以下两种用户场景。

‎ 查看此图

患者可以使用web应用程序登录到web平台。然后，患者可以从本地数据库共享他的医疗保健数据(通过负责验证患者的存在、数据的存在和提取数据的“记录共享服务”使用自动获取)，与来自医院的注册护理人员模拟医院数据库管理系统，形成区块链网络。要与护理人员共享数据，患者需要指定护理人员、要共享的数据类别，以及该护理人员能够访问数据的时间段。交易是根据患者通过web应用程序提供的信息自动生成的，并在网络中广播。同时，在上传到云端之前，数据是加密的。定义上传数据元数据的相应事务随后被添加到分类帐中。

护理人员可以登录系统并查询分类账，查看患者指定的权限，从CS下载权限，并解密数据。患者可以通过使用相应的交易更新分类账来撤销先前给予医生的许可。患者还可以按时间顺序从区块链检索所有历史事务。这也可以用于审计目的。权限也可以间接用于删除患者对应的数据。如果患者想要从CS中删除他的数据，他可以相应地修改区块链上的权限。数据删除流程的实施是我们未来工作的下一步。

实现注意事项

云存储

通过区块链共享EHR数据的一个主要挑战是可伸缩性，因为EHR数据(如图像)可能很大。由于区块链网络的分布式复制特性，在网络上存储和复制EHR数据进行共享是不可行的，因为大数据量会显著降低性能。相反，我们提出了一种混合数据管理方法:所有元数据(如事务、EHR元数据、访问控制)都存储在链上，但共享的敏感EHR数据在符合hipaa的云中存储和管理。我们采用了亚马逊网络服务(AWS)，该服务通过“AWS商业伙伴附录”[28]。共享的EHR将加密存储在AWS存储中，具有高可扩展性、高可用性和低延迟性。

区块链节点

Hyperledger Fabric的组件以虚拟容器的形式提供——虚拟容器是一种标准的软件单元，用于打包代码及其所有依赖项。然而，在真实的工作场景中，每个同行将实际位于医院场所;因此，我们必须能够在单独的机器上运行每个对等点。对于链上的元数据管理，我们采用键值方法，其中“键”是患者的假名(可以随机选择字母和数字的组合或使用哈希函数生成)，该值表示存储在链码状态数据库CouchDB中的JavaScript Object Notation文档中表示的元数据[26]， Hyperledger提供的面向文档的NoSQL数据库。

门户网站

为了与chaincode交互并管理用户(患者和护理人员)，需要一个门户网站和一组允许用户界面和服务器(chaincode)之间通信的方法。出于测试目的，我们为每个节点创建了一个模拟的EHR数据库，其中包含示例患者、EHR数据和护理人员。应用程序的web门户对用Javascript实现的表示状态传输应用程序编程接口进行异步调用。用于实现web门户的技术是HTML、层叠样式表和Javascript，以及开源的Bootstrap库。

密码操作

遵循应用密码学的最佳实践，我们确保所有的SUs都拥有用于签名和加密的2个不同的密钥对。密钥是在注册阶段生成的。用他的秘密密钥签名(SK)_苏)， SU在利用链码的功能时对每笔交易进行签名。用户可以通过验证数字签名来验证交易的真实性和权限。混合密码系统(即结合了公开密钥密码系统的便利性和对称密钥密码系统的效率的密码系统)[29])被用来加密病人的数据。患者数据在上传到CS之前会被对称密钥加密。然后，用存储病人的公钥和病人希望与之共享数据的医生的公钥对对称密钥进行加密。为了解密患者的数据，医生首先使用自己对应的私钥对对称密钥进行解密，然后使用对称密钥进行数据解密。可以根据管理对称密钥的可用机制选择不同的方法。一种解决方案是仅使用一个特定于患者的对称密钥来加密该患者的数据，并确保对该密钥进行强保护。虽然从理论上讲，这给了与患者共享数据的医生解密所有患者数据的机会，但存储在分类账上的权限严格管理对患者数据的访问，只允许医生根据患者的访问控制策略下载数据。一个优点是，如果一个病人想要与多个医生共享相同的数据，他只需要上传一次加密的数据，而只有密钥会被共享多次。然而，如果这种特定于患者的密钥被泄露，患者必须立即采取一组操作，以防止侵犯其隐私并恢复数据可用性。为每个数据共享操作使用新生成的对称密钥将在密钥泄露的情况下最大限度地减少这种隐私威胁，但需要建立全面的密钥管理，并在与不同医生共享时复制患者数据。 While both approaches are viable, for the prototype, we used the latter and assumed that the keys are encrypted and managed off-chain and can be stored using existing conventional approaches (eg, smart cards, security tokens, or cloud-based hardware security modules [30.])。公钥加密保证了对称密钥的机密性，对称加密保证了患者数据的机密性，数字签名保证了完整性、不可否认性(即提供来源证明)和真实性。

区块链技术的特性、体系结构设计、实现方法和加密接口保证了对系统中流动的敏感数据的保护。这包括以下隐私和安全属性:根据访问控制策略，数据完整性、机密性、真实性和可用性，以及对于任何未经授权的用户，系统元数据与相应患者身份之间的不可链接性(即，只有患者授权的用户才允许将患者身份与其存储在区块链上的记录链接起来)。

结果

在本节中，我们将展示演示该方法可行性的解决方案原型。我们描述了与系统模型一致的数据模型和数据共享事务，以及在ACTION-EHR系统模型一节中定义的所需功能。

原型概述

为了介绍ACTION-EHR，我们使用放射肿瘤学肿瘤信息系统之间共享EHR数据的例子。EHR数据包括辐射、医疗和外科信息，以帮助放射肿瘤学家和医学物理学家管理不同类型的医疗数据，制定肿瘤特定护理计划，并监测患者的辐射剂量。我们还描述了单组织和多组织设置，这两种设置都已实现。

图2显示了一个组织设置:EHR区块链网络由云服务器、MS、订购者和对等节点(医疗机构;图2)。参与网络的每家医院都需要部署一台运行Hyperledger Fabric v1.4对等体的服务器，连接EHR数据库(为了进行测试，每个对等体使用了一个使用MySQL的模拟EHR数据库)，一个用于链上元数据管理的CouchDB实例，以及一个用于与链码和EHR交互的web应用程序。

然而，尽管这种方法更容易设置和维护，但在实践中可能不是最适合的:然后需要MS管理来自不同医院的所有用户的身份。此外，一定程度的集中化是不可避免的，因为需要单独的指定实体来托管MS和订货人。

为了解决这个问题并提供更好的去中心化和信任水平，我们采用了超级账本结构中的组织概念来创建医院网络(如图图3)，其中每家医院将作为一个独立的组织，拥有自己的MS、订购者和一组对等体，并将托管一个web应用程序。在这种设置中，用户管理是分布式的，但患者可以选择医院和医生来添加相应的权限。网络是动态的:医院可以根据网络中设置的策略，在交换密码材料的公开部分后加入网络。

‎ 查看此图

行动电子病历数据模型

图4给出了ACTION-EHR的数据模型，分别表示了存储在链码和云服务器上的EHR数据和元数据的数据结构。区块链上的记录以“键-值”形式存储;“key”是患者的假名，对应的患者记录以JavaScript Object Notation格式存储为字节数组，形成链码状态的“值”部分。

‎ 查看此图

访问控制元数据

包含有关权限的信息的块组织如下。每个权限对应一个ID，护工用这个ID在系统中注册。每个权限都指定了一个时间段(“从:到:”)，在此时间段内，临床医生有权“读取属于特定‘数据类别’的患者数据，并将数据上传到云存储库(“写入”)”。“时间戳”使患者能够更新和跟踪访问控制更改。如果患者P要撤销护理人员C访问其他护理人员提供的特定类型数据的权利，则患者P必须添加具有另一个时间框架的新权限。为此，患者需要通过发送相应的交易来更新分类帐。

电子健康档案元数据

临床元数据是一个块，包含有关临床医生或患者本人上传到云的所有数据文件的信息。元数据项根据相应数据文件的语义进行分类。每个项包含上传数据的临床医生的ID(“医生ID”)或患者的假名，存储在云中的文件的指针(“文件路径”)和数据文件的哈希值(“哈希(文件)”)，以确保存储在云中的数据的不可伪造性，以及数据文件上传时的“时间戳”。没有必要对文件使用数字签名而不是哈希，因为包含医生ID和哈希(文件)的交易的整个内容都由上传文件的医生进行了数字签名。

解决方案用户的Web门户

web应用程序是一个用户界面的实现，它为用户提供了对原型功能的方便访问。门户网站有3种视图:管理员(一旦原型完全集成到临床数据流中，将与医院的身份管理系统合并)、患者(用户)和护理人员(用户)。

管理员页面显示了该医院在系统中注册的所有患者和医生的列表。通过调用MS并验证为该用户生成的凭据，可以通过管理员页面注册新用户。通过此页面，还可以自定义界面(例如，添加或删除新部门或新角色;计划通过增加新角色(如护士或实验室科学家)来扩展功能，以满足行动-电子病历的未来发展。

当患者登录到患者门户时，他可以访问原型的患者特定功能(图5)。患者可以查看当前存储在云上的数据，以及相应的权限，包括哪些医生可以访问数据以及在哪个时间段访问数据。当患者添加允许医生访问数据的权限时，数据将使用该医生的公钥加密并上传到云端。患者还可以下载自己的数据，并通过添加新的权限来修改访问控制策略。患者还可以看到他正在接受治疗的护理人员以及所有共享交易的历史记录。

‎ 查看此图

图6显示特定患者所给予的所有权限的历史记录。患者可以使用这些信息来检查他的访问控制策略，也可以用于审计目的。在系统的进一步开发中，这些信息也将有助于建立患者数据的完整历史。

‎ 查看此图

看护者的门户(如图7和8)允许医生查看正在接受治疗的患者的信息以及他们共享了哪些数据。医生可以看到哪个病人与他分享了哪种类型的数据，以及在哪个时间段(图7)，以及根据患者指定的权限下载相应的患者数据文件(图8)。

‎ 查看此图

‎ 查看此图

讨论

主要研究结果

为了实现ACTION-EHR所需的功能(参见ACTION-EHR系统模型)，我们设计了链上存储和链下存储的系统架构和数据结构。我们定义并实现了关于医疗保健场景的数据共享协议，并相应地开发了链码。我们创建了作为用户界面的web应用程序，并允许与chaincode进行交互。为了确保系统的互操作性和与临床数据流的无缝集成，我们实现了一个独立的可插拔模块，该模块符合快速医疗保健互操作性资源(FHIR)标准。

鉴于我们的系统所开发的医疗保健环境，确保不同敏感级别的多种数据类型的安全性和隐私性是非常重要的。我们的系统保证以下类型数据的隐私权和安全属性(数据完整性、可用性、保密性、真实性和不可链接性):EHR数据、元数据(包括权限或访问控制策略)、加密密钥和用户凭证。

多媒体附录1包含对威胁模型的详细描述、安全属性的定义和安全分析。

限制

在高度管制的卫生保健环境中应用一项尚未受到政府规章制度约束的相对较新的技术是一项挑战。我们的原型的一些技术限制，特别是与应用程序领域相关的，将在接下来的段落中强调。

如果系统的部署没有正确完成(如果只使用单个订购者和单个CA)，则可能出现系统单点故障的风险。使用Kafka集群和多个ca(如[27)可以解决这一限制。群签名的性质[31]和匿名证书[32]也可以在未来的工作中加以探索，以解决这一限制。

在卫生保健领域，紧急情况经常发生，可能迫切需要数据。如果一个失去意识的病人到达医疗机构，并且访问控制策略定义为医疗机构的任何护理人员都无权访问病人的EHR，则不可能更新权限并授予护理人员访问数据的权限。需要建立健全和安全的紧急情况"破玻璃"机制来解决这一限制。

根据欧洲新的《通用数据保护条例》，病人有“被遗忘的权利”。这项权利可能不容易与本工作中使用的区块链技术的当前实现的不变性原则兼容;患者不能从分类账中删除他的元数据记录。应用不同的加密技术，如非对称加密、阈值加密和代理重新加密，以及可读区块链的原则(如[33，34])可以用来解决这些限制，需要进一步调查。

与前期工作比较

在本节中，我们描述了最近使用区块链技术实现快速、安全和隐私保护的电子病历共享的相关工作。我们还强调了与本文中描述的工作的差异。

最近的一篇综述[15]提供了一份广泛的研究和正在进行的项目清单，重点是使用区块链交换患者护理数据，以改善病历管理，开展临床研究，并支持医疗保健融资任务。作者描述了在医疗保健中使用区块链技术的主要好处，并讨论了在采用无许可区块链技术时需要考虑的潜在问题和挑战(例如，速度和可扩展性、保密性、51%攻击的威胁、交易费用管理和“挖矿”)。

两个最成熟的原型是MedRec和FHIRchain。MedRec [13是一个基于以太坊智能合约的系统，用于存储在网络上各个节点内的现有医疗记录的智能表示。作者提出了两种“挖掘”的激励模型，包括为研究目的访问数据的可能性。然而，作者并没有提出一种机制，在确保患者隐私的同时，以分散的方式为研究生成这种匿名数据。FHIRchain [10是一种基于区块链的数据共享方法，封装了临床数据的HL7 FHIR标准。Zhang等[10描述了使用区块链技术转移电子病历的严格而深入的研究。由于这两种系统都使用无许可区块链技术，因此它们都面临Kuo等人列出的大部分挑战[15以及已经提到的。此外，例如，在MedRec中，事务的假名属性和在当前原型实现中使用公钥作为节点地址可能导致从频率分析推断处理模式。即使没有披露姓名或个人身份信息(对链上数据和流量进行加密)，通过对网络通信的分析，人们也可以推断出已经发生了一些交互。在我们的工作中，我们采用了许可的区块链技术，只有经过验证的节点才被允许访问分类账。这可以防止恶意流量监控。此外，我们对链下数据进行加密并将其存储在云中，以防止意外或恶意违反患者医疗保健数据的保密性和不可用性。同时，我们从原始数据源中删除了基于指向原始数据源的指针公开数据访问接口所带来的威胁。此外，使用MS允许更灵活的用户管理流程，包括对新用户的严格验证。在我们的工作中，我们还采用了假名方法，允许检索特定患者的共享历史。在FHIR链和其他基于以太坊的实现中，公钥被用作数字身份的一种形式。 However, if the user loses his private key, it is impossible to authenticate this user.

在医疗保健领域应用许可区块链技术方面，以下研究与我们的方法有一些相似之处。Liang等人的研究[9专注于从可穿戴健康设备(如手表和手环)收集医疗数据。作者建议使用允许的区块链技术并在链上存储医疗保健数据。Liang等[9]通过使用MS组件和通过通道的数据分离实现了访问控制方案，以保护隐私。我们的方法是不同的，因为我们建议使用区块链分类帐主要存储与医疗保健数据相对应的元数据和权限，这些数据以加密形式存储在云服务上。这样可以实现更细粒度的访问控制策略，增强数据安全性和隐私性，并避免不必要的医疗保健数据复制。马札尔人的(35]使用了HIPAA法规的基本原则，并提出了一系列加密工具，可以潜在地应用于确保数据隐私和安全，以及基于区块链的EHR应用程序建模的潜在方法。在提供重要见解的同时，马扎尔的研究[35只是理论上的;没有提供实现。

在Krawiec等人的研究中，可以找到对医疗保健行业需要解决的挑战的分析，以及采用区块链技术的潜在好处，特别是经过许可的实施[11]， Paranjape等[36]， IBM的一份白皮书[12]。我们的工作，在同意一般陈述的同时，也关注于实际的例子，并通过提供对隐私和安全的分析，以及当前的限制和解决这些问题的方法，对它们进行了扩展。

Peterson等[14提出了另一种基于允许区块链实现的系统设计(MultiChain [37])，并讨论了将FHIR集成到这样一个系统中如何解决互操作性问题。Peterson等人提出的互操作性证明[14]基于是否符合FHIR协议，这需要验证发送到区块链的消息是否可以转换为其他所需的格式。Peterson等人的这项工作侧重于数据存储和数据互操作性，但在选定的底层区块链技术实现不支持的智能合约功能方面受到限制。相比之下，我们利用智能合约功能来启用动态访问控制策略定义，并确保原型的一些隐私和安全属性。

将数据存储在区块链上可能会限制可有效管理的数据量，并可能侵犯患者的权利(即删除数据或退出研究研究)。Motohashi等[38描述了一种基于区块链的临床试验系统的系统设计，该系统需要从移动设备收集数据。作者建议在将数据上传到区块链之前，使用多个中继服务器对数据进行加密。虽然使用中继有助于防止篡改，并增加了移动设备上数据加密的复杂性，但中继服务器(或至少大多数服务器)必须是可信的。只有在匿名数据无法与移动设备的用户或所有者的真实身份相关联的情况下，才可以接受这种做法。Li等[39提出了一个共享加密处方数据的系统，并使用了相同的底层实现私有许可区块链技术，以及与我们的工作类似的密钥共享机制。然而，正如Motohashi等人的研究[38]，李等[39选择将数据存储在区块链上。在ACTION-EHR中，区块链上只存储元数据。Hylock等[40提出了一个以患者为中心的区块链框架，该框架支持一组配置(与加密和数据存储模式相关的不同模式)。为了遵守法例，作者提出了另一种方法:使用可读的区块链[41来构建由不可变和不可变区块组成的分类账。然而，作者没有提供多节点实现，这使得无法评估论文中提出的概念验证。作者还建议将数据存储在原始数据源中，如前所述，这可能会引入数据不可用和安全威胁。

Pournaghi等[42]建议使用有许可和无许可的区块链技术，前者交换存储在云中的加密数据的指针，以及使用基于属性的加密方案加密的对称加密密钥。后者用于分发存储在云中的数据的描述和访问控制结构。作者建议在两个区块链上使用基于pbft的共识，这可能会引入可扩展性问题。此外，为基于属性的加密方案定义访问结构需要指定医疗和患者概要文件的属性，使用树的格式，其中每个内部节点是一个阈值门，叶子是属性。对于患者来说，构建这样的访问控制结构可能很困难。共享这样的结构，以及在区块链上共享加密密钥(即使是以加密的形式)，也可能对患者隐私造成威胁。虽然我们使用类似的概念，将加密数据存储在云中，并在区块链上共享指针，但我们建议在链下交换密钥，并通过让云在共享数据之前验证分类账的一致性来实施访问控制策略。我们提出一种更简单但更安全的方法来定义访问控制策略;权限是为假名用户定义的，并存储在一个私有的许可区块链上。

过多的现有区块链平台和建立在这些技术之上的各种原型可能会加剧医疗保健系统之间缺乏互操作性的问题，这与具有不同接口的众多EHR系统高度相关。因此，确保不同区块链平台之间的互操作性是非常重要的，应该被认为是未来工作的可能方向之一。此外，由于定制的隐私要求和不同患者的个人需求，人们可以考虑多分类账设计:特定于患者甚至特定于病例的分类账[43]。然后，数据可以在多个分类账和地点之间复制，从而创建网络的网络[44]。

结论

在医疗保健领域，分布式账本可以被视为电子健康用户执行的所有操作的共享、不可变和透明的历史记录;这些操作包括定义访问控制策略以及共享、访问和修改数据。这项工作为放射肿瘤学的特定数据共享案例提供了框架的体系结构，并实现了一个原型，该原型可确保对高度敏感的患者数据的隐私、安全性、可用性和粒度访问控制。该方法是通用的，可以很容易地扩展到支持其他类型的病人护理。

从医疗实践的角度来看，原型的功能满足需求。为了简化原型的采用，我们实现了一个符合FHIR标准的独立可插拔模块。我们的下一步是在美国和瑞士建立一个医疗机构的试点网络，以进一步测试行动-电子健康档案的患者数据。一旦被卫生界采用，这样的系统将减少数据共享的周转时间，改善医疗保健决策，并降低总体成本。