开放环境下卫生保健研究的安全协作平台:访问控制问责的视角

简介

背景

物联网、云计算、大数据、区块链等现代技术的发展影响着人类生活的许多方面。首先，这些技术给医疗保健带来了变化。由于卫生保健系统的数字化，卫生保健服务和运作的质量也得到了提高。此外，随着传感器的进步，由物联网设备产生的用于医疗保健的电子健康数据越来越多地由卫生设施和国家卫生机构收集。这些电子卫生数据通常包括电子医疗记录(EMRs)和个人健康记录(PHRs)，其中包含大量的个人信息，如患者可能患有的任何疾病和患者的医疗记录编号。因此，一些电子健康数据主体表达了与使用电子健康数据相关的安全和隐私问题。因此，电子健康数据的使用目前受到许多法律法规的管理，包括《健康保险可携性和问责法》[1]、《一般资料保障规例》(GDPR) [2]，以及《加州消费者隐私法》[3.]。然而，电子健康数据的安全性经常遭到破坏，为劫持用于医疗保健服务的电子健康数据而发起的网络攻击数量正在上升[4]。

尽管如此，使用电子健康数据进行卫生保健研究有许多优势(例如，改善患者的治疗和处方，提高卫生保健系统的效率，扩大疾病知识)，因此许多研究人员希望将其用于他们的研究[5]。然而，在构建医疗保健研究平台时，必须考虑到电子健康数据的互操作性、实用性和数据链接，以及隐私法(如《医疗保险便携与责任法案》、《GDPR》和《加州消费者隐私法案》)和分析工具。此外，需要为电子健康数据的开放研究环境提供安全和隐私措施(如匿名和访问控制)，并且必须遵守许多隐私法。由于这些复杂的需求，大多数卫生保健发展的研究平台都是由国家政府领导的。例如，如描述的图1，韩国卫生福利部[6]运营一个基于封闭网络的分析中心，支持分析电子健康数据的研究环境。然而，研究人员必须访问分析中心，因为他们无法远程连接或在网络上。该分析中心不仅不方便访问，而且由于网络的封闭性质，编程错误只能通过书籍纠正，因此对高效分析eHealth数据提出了挑战。此外，研究人员要求的eHealth数据在使用后立即被删除，这降低了数据的效用。

英格兰国家卫生服务(NHS)也通过数据访问请求服务(DARS)向研究人员和临床医生提供电子卫生数据[7]。NHS DARS在数据访问环境中提供了Databricks、R Studio、Hue等多种分析工具，而且与韩国的研究分析中心不同，研究人员不需要访问研究分析中心。NHS DARS还提供了许多安全解决方案(如2因素认证、数据共享审计和匿名化)，以确保电子健康数据的安全和隐私。此外，瑞士个性化健康网络为电子健康数据的交换和研究使用提供了安全的基础设施[8]。在瑞士个性化健康网络中，电子健康数据只能从可靠的医院和大学或虚拟专用网访问，这些都是环境。研究人员必须接受基于网络的伦理培训，并完成2因素认证。然而，数据主体(即患者)仍然担心未经授权的数据重用和共享，他们希望参与电子健康数据访问决策[9]。此外，即使对eHealth数据进行了身份识别和匿名化处理，仍然可以通过其他大数据进行重新识别[10，11]。换句话说，考虑到数据主体对其电子健康数据的安全和隐私的担忧，需要对医疗保健研究平台的研究提供一个更安全的分析环境。

为此，我们提出了一个面向卫生保健的安全研究平台，简称卫生保健大数据平台(HBDP)。在本研究中，我们只考虑安全开放的研究环境，尽管医疗保健研究平台有很多要求。HBDP使用私有区块链来提供去中心化的持久日志数据库(DB)，在该数据库中，智能合约用时间戳记录平台上的用户活动。这有助于平台管理员对安全威胁进行适当的跟踪和监视。此外，HBDP采用了ABE (attribute-based encryption)加密技术，保证了eHealth数据的安全性和私密性，防止内部人员泄露eHealth数据。据我们所知，这是第一项针对安全研究平台的研究，该平台专注于问责制，以确保在基于区块链和ABE的开放环境中使用电子健康数据的安全。本研究的主要贡献总结在文本框1．

‎ 查看此图

之前的工作

概述

为了分析之前的工作，我们首先收集和分析了电子健康数据互操作性的知名医疗保健标准。在分析了标准之后，我们使用术语“区块链”和“访问或数据共享或访问控制”和“医疗保健”搜索了现有的与区块链相关的医疗保健研究，用于IEEE Xplore、Wiley在线图书馆、ScienceDirect和MDPI的文献综述。结果发现在IEEE Xplore中有501篇论文，在Wiley在线图书馆中有943篇文章，在ScienceDirect上有2599篇文章，在MDPI上有24219篇文章。为了选择合适的研究，我们基于这些结果添加了一些过滤器(即发表于2018 - 2022年，被≥5种期刊引用)。我们还对论文的摘要和标题进行了回顾。在这些工作的基础上，我们最终选择了9篇论文(即IEEE Xplore: n= 4,44%;威利在线图书馆:n= 2,22%;ScienceDirect: n= 2,22%;MDPI: n=1, 11%)。

此外，我们使用谷歌Scholar中的“医疗保健研究平台”和“临床研究平台”搜索2015 - 2022年的医疗保健研究平台。结果显示，每个关键词分别有大约84.9万和148万篇论文。为了找到合适的研究，我们还审查了摘要和标题。特别地，我们检查了每个研究中的安全解决方案，最终选择了6篇论文。本节详细分析了通过这些过程确定的研究。

电子医疗数据互操作性标准

长期以来，由于互操作性问题，如表示方式(如词汇和术语)、设备和数据格式的差异，电子卫生数据仅限于在医疗保健提供者之间共享和访问。这些问题目前使卫生保健提供者难以确保对患者的护理连续性或分析卫生保健中的电子保健数据。因此，许多卫生保健组织正在发布卫生保健中电子卫生数据的互操作性标准。临床文件架构(CDA) [15是Health Level 7 (HL7)设计的一个基于xml的临床文档交换标记标准。CDA规定了医疗保健系统之间交互的临床文档的结构和语义。CDA的核心方面是容易交换临床文档并使其可读。但是，基于cda的文档有一个缺点，它使文档变得复杂和困难。由于这个原因，CDA被扩展为改进了复杂性和互操作性的Consolidated CDA。快速医疗保健互操作性资源(FHIR) [16]是一个标准，以确保卫生保健系统或服务的互操作性，也是由HL7开发的。FHIR改进了以前开发的HL7版本2和3的局限性(例如，实现复杂性和结构化数据模型)，使医疗信息的交换更容易。此外，它是基于具象化状态传输体系结构开发的，因此很容易实现除计算机以外的手机、可穿戴设备和平板设备的医疗保健服务。因此，FHIR是目前医疗保健领域电子健康数据互操作性最流行的标准之一。观察性医疗结果伙伴关系(OMOP)通用数据模型(CDM) [17]是由观察健康数据科学和信息学管理的电子健康数据模型的开放社区标准。OMOP CDM通过构建数据模型和观察数据内容解决了电子健康的互操作性问题。OMOP CDM对eHealth数据进行结构化，以提供公共数据模型，并通过OMOP将其转换为公共表示，以提供公共物理和逻辑互操作性模型。当通过OMOP CDM设计一个医疗保健数据库时，它可以使用标准化的分析工具，帮助系统地分析eHealth数据。它还提高了联合研究的效率。医学数字影像及通讯(DICOM) [18]是用于医疗成像(如磁共振成像、计算机断层扫描和x射线)互操作性的数据格式标准。DICOM定义了医学影像的格式，使各种成像设备捕捉到的医学影像能够传输和交换。DICOM通常通过图片存档和通信系统进行存储、处理和传输，目前在医疗保健领域最为知名。跨企业文件共享(XDS) [19]是集成医疗保健企业于2004年开发的电子健康数据集成概要文件。特别是，XDS可以共享各种基于标准的临床文档，如HL7 CDA、通用字符串和二进制数据。换句话说，XDS代表了一种综合性的通用技术。除了上述标准之外，许多卫生保健组织正在为电子卫生数据的互操作性制定各种标准。我们认为，这些标准并不能提供电子健康数据的完美互操作性，但在不久的将来仍可得到解决。因此，eHealth数据的互操作性是医疗保健研究平台的主要需求，但不是本研究的主要重点。

通过区块链安全共享电子健康数据

区块链有许多优点(例如，数据完整性、去中心化和可编程智能合约)，因此许多研究领域一直在尝试使用它。特别是，区块链已被广泛用于解决eHealth数据的完整性、可伸缩性和共享问题。然而，此外，由于隐私和安全问题，电子健康数据需要访问控制、加密和身份验证等安全机制。因此，许多研究通常将这些安全机制与区块链一起使用。表1展示了这些研究和HBDP的优缺点。杨等[20.]提出了一个可以在现有医疗保健系统中使用区块链的体系结构。该体系结构使用两种智能契约(即摘要契约和记录关系契约)记录了所有的访问，如选择、插入和删除，以确保数据记录的完整性。该体系结构还通过访问控制列表执行访问控制。马丁等人[21]提出了一个基于区块链的、以患者为中心的PHR管理系统。系统使用可信任的oracle执行代理重加密，安全共享PHRs。此外，该系统使用一个声誉系统来跟踪一个神谕的行为，并给出一个评分来识别行为不当的神谕。因此，该系统允许他们安全地获取、存储和共享医疗数据。张等[22提出了基于区块链的临床数据共享架构。该体系结构使用FHIR标准和区块链来解决临床数据互操作性，称为FHIRChain。FHIRChain有助于实现医生之间的协同临床决策。它还允许在无信任和分散的环境中共享临床数据，并通过智能合约进行审计。Shahnaz等人[23为使用智能合约的电子病历设计了基于角色的访问控制(RBAC)框架。他们专注于通过链下伸缩机制解决区块链的可伸缩性问题。

Tanwar等人[24提出了一个基于权限的系统架构，可以使用区块链共享eHealth数据。在该体系结构中，患者可以通过客户端应用程序加入区块链网络，并通过链码更新区块链网络上的eHealth数据。他们还可以向临床医生和研究人员授予或撤销其电子健康数据的许可。总之，该体系结构实现了以患者为中心的电子健康数据共享。菲格罗亚等[25]使用基于属性的访问控制来实现医疗保健射频识别系统的安全性。他们专注于使用区块链解决可伸缩性、同步和单点故障等系统问题。最终，该系统提供了从合适位置使用医疗资产的访问控制。Daraghmi等人[26设计了一个名为MedChain的基于区块链的EMR管理系统。他们使用权威证明改进了阻塞时间和系统性能。他们还使用基于时间的智能合约来保护电子病历的隐私和监控。简而言之，它们使用身份验证技术、哈希函数和代理重新加密提供了安全的环境、数据完整性、可审核性和可访问性。考尔等人[27]提出了基于区块链的存储，用于安全共享和查询eHealth数据。存储使用CouchDB考虑非结构化的eHealth数据。它还将EMRs存储在区块链上的下链表和散列表中，以保证EMRs的完整性，提高存储效率。郭等人[28]提出了基于云的远程医疗系统的多权威ABE方案。特别是，该方案使用区块链保护电子健康数据(如诊断意见)的完整性。此外，该方案易于更新和撤销访问策略。

大部分研究[20.-28]只关注区块链，用于安全共享和确保医院之间电子健康数据的完整性。它们一般都提到了通过区块链的可追溯性和问责制，但没有表示监测和问责制的方法。但是，应该提供这些方法以确保安全的环境。特别是，问责制在开放环境中的卫生保健研究平台中至关重要。由于这些原因，与其他研究不同，HBDP侧重于描述基于区块链的检测方法，以确保问责。此外，在HBDP中，即使导出了eHealth数据，也不能保证数据的可用性，因为它们只能被解密并在HBDP中使用。如前所述，本研究首次关注在开放环境中安全使用电子健康数据的问责制。

卫生保健研究平台

由于大数据分析技术的快速发展，电子健康数据在卫生保健研究中的使用可以从根本上改善卫生保健。出于这个原因，一些研究提出了医疗保健研究平台，可以用于使用电子健康数据的研究。在本节中，我们将重点回顾这些研究平台的安全视角的文献。欧扎丁等人[29]提出了数据仓库的设计，这是一个医疗保健研究和分析数据基础设施解决方案(HRADIS)。HRADIS侧重于整合不同电子卫生数据的基础设施，以提高卫生保健的效率。HRADIS包括一个用于RBAC的帐户管理框架，用于一些eHealth数据。Lunn等[30.]提出了一个基于云的数字健康研究平台，用于全国纵向队列研究。该平台收集和管理性少数群体和性别少数群体成年人的电子健康数据。在该平台中，所有微服务都使用虚拟私有云在子网内，剩余的eHealth数据经过加密后安全存储在MySQL数据库中。此外，平台采用开放的编程接口授权、基于短信文本消息的2因素认证和日志服务，识别恶意用户，确保eHealth数据的安全。阿什法克等人[31]介绍了瑞典哈兰的区域卫生保健信息平台。该平台基本上在瑞典法规和GDPR关于患者数据的规定内运行。在该平台上，只能通过区域IT防火墙保护的内部客户端访问eHealth数据。客户只能在瑞典伦理审查委员会批准的保健项目中使用相关研究人员。特别是，该平台提供匿名的eHealth数据，以确保隐私。康德等人[32提出了一个基于开源的研究平台，以支持临床和转化研究，ITCBio。ITCBio平台支持角色和访问管理工具，以促进研究合作和确保安全。它还提供动态同意，使患者和研究人员之间能够进行持续和灵活的沟通。德摩尔等人[33]描述了电子健康数据系统和临床研究系统互操作性的可扩展和可适应的平台。他们还详细介绍了基于许多安全相关标准的安全体系结构。特别是，该体系结构支持各种安全解决方案，如身份管理和凭据委托。琼斯等人[34]提出了安全匿名信息联动数据库，保证了物理、技术和程序控制。安全匿名信息链接数据库提供加密通信，并防止电子健康数据传输到用户设备之外。它还通过用户凭证和2因素身份验证令牌执行用户身份验证。

多项研究[29-34提出了使用电子健康数据的卫生保健研究平台。然而，大多数研究都集中在高效的研究环境上。一些研究也没有详细描述安全解决方案，尽管电子健康数据的安全和隐私是卫生保健研究平台的主要考虑因素。此外，正如前面在背景部分提到的，电子健康数据主体仍然关注电子健康数据的安全和隐私。因此，有必要研究一个更安全的卫生保健研究平台，保证电子健康数据的可用性，同时关注其安全性和隐私性。下一节提出了一个名为HBDP的卫生保健安全、可扩展的协作研究平台。

方法

概述

本研究为卫生保健研究设计了一个安全、开放的环境。为了实现这一点，我们首先在一个医疗保健研究平台上识别潜在的安全威胁。其次，基于这些威胁，我们提出了安全医疗保健研究平台的安全需求。最后，我们提出了一个名为HBDP的卫生保健安全协作研究平台，它可以在满足这些需求的同时提供一个安全的分析环境。

卫生保健研究平台的安全威胁与需求

概述

卫生保健研究平台应正确理解和减轻安全威胁，以提供安全的分析环境。本小节首先确定了卫生保健研究平台的潜在安全威胁。然后我们定义sr以减轻这些威胁。

安全威胁

在医疗保健研究平台上，可能会出现各种安全威胁，如滥用和非法导出eHealth数据。然而，我们将卫生保健领域中众所周知的安全威胁确定为对卫生保健研究平台的威胁。换句话说，平台上可能会发生许多威胁，但我们明确地关注可能经常发生的威胁。有关主要安全威胁的详细说明载于文本框2．

减轻这些威胁的sr

一个开放环境中的协作式医疗保健研究平台应该满足不同的sr，从而减轻多种类型的安全威胁。然而，在本研究中，我们只关注3个sr，它们与基于上述确定的威胁的安全医疗保健研究平台访问控制的问责性高度相关。对srr的详细描述见文本框3．

提出HBDP

概述

HBDP使用ABE对eHealth数据进行隐私保护和访问控制。特别是，即使内部人员泄露数据，也可以通过列级加密确保eHealth数据的私密性。该平台还使用智能合约在区块链中记录用户活动(例如，登录和解密)。因此，区块链允许平台管理员识别非法用户并进行适当的跟踪和监控。换句话说，区块链作为分布式实时日志系统运行，并确保记录的用户活动的完整性和不可否认性。在本节中，为了介绍HBDP，我们首先解释框架中的假设和主要组件。然后我们详细描述了HBDP的各个阶段。

假设

为了描述HBDP的框架和场景，我们首先定义一些假设。特别是，我们提出了HBDP没有涵盖的其他sr(例如，安全通信、身份识别、完整性和可用性)的假设。详细的假设概述在文本框4．

主要组件

我们为医疗保健研究提供了一个安全的协作平台，确保了电子健康数据的隐私和安全，称为HBDP。图2简要概述了我们为HBDP提出的框架。我们提出的框架有3个主要组成部分:用户、HBDP和区块链网络。主要组件的详细描述概述在文本框5．

‎ 查看此图

HBDP的各个阶段

概述

为了支持安全的分析环境，HBDP有4个阶段(即用户注册、存储、下载和使用)。每个阶段都被配置为满足我们定义的sr(即，用户注册和下载阶段满足访问控制要求，存储阶段满足存储eHealth数据的加密要求，使用阶段实现问责制)。以下各节将详细描述每个阶段。

用户注册阶段

用户注册阶段是“访问控制”中进行身份验证的第一个操作，“访问控制”是医疗保健研究平台的sr之一。此阶段与用户ID和属性一起存储在HBDP上的用户DB中。图3显示用户注册阶段的序列;本节将详细描述。用户访问HBDP，输入用户ID、密码和属性(如所属部门和职位)。此时，我们假设该用户是由参与HBDP的机构授权的。然后，该平台上的安全代理将输入的用户信息插入到用户DB中。安全代理使用注册结果向用户请求设备注册。用户使用自己的设备访问平台，并输入注册的ID、密码和设备标识符。然后，用户设备请求安全代理注册它以及输入的ID和密码。安全代理使用接收到的ID和密码执行基于密码的身份验证。如果身份验证成功，则将设备ID值插入到用户DB中，安全代理将设备注册的结果转发给设备。 After that, the user can access the HBDP at any time.

‎ 查看此图

存储阶段

可能经常发生试图泄漏由HBDP存储的eHealth数据的情况。即使电子健康数据在这些尝试中不可避免地泄露，也应确保数据的不可用性。为此，在存储阶段，如图所示图4，安全代理使用在平台上注册的机构的位置对电子健康数据进行加密，然后将电子健康数据存储在平台上。

特别是，一些列是敏感列，在分析电子健康数据时为研究人员提供可用性，或可与其他大数据结合以识别个人。存储阶段是确保“存储的eHealth数据加密”的操作，这是卫生保健研究平台的sr之一。此阶段确保即使eHealth数据被管理员或平台上的恶意攻击者非法共享或泄露，由于列级加密，它们的可用性也不能得到保证。此外，列级加密允许用户仅在其所在机构使用解密的eHealth数据，因为如果用户的实时位置与用户所在机构不匹配，则eHealth数据的解密将失败。

‎ 查看此图

下载相

下载阶段是卫生保健研究平台sr“访问控制”中授权过程的前提。此阶段通过用户属性(如用户位置和部门)对列级加密的eHealth数据的所有内容进行加密，使用户能够下载eHealth数据。因此，下载阶段提供的数据是加密的，即使被第三方获取，也无法进行分析。下载阶段不是一个必要的阶段，但在进行协同研究时可以提高效率。例如，如果所有合作研究人员都在平台上获得授权，那么在第一次分析后，研究人员将eHealth数据发送给另一个研究人员进行合作。然后，另一名研究人员可以根据平台上分析的电子健康数据进行进一步的工作。图5显示平台上的下载阶段。下一段提供了下载阶段的详细描述。

用户首先登录HBDP，在下载页面选择eHealth数据。平台上的安全代理然后向eHealth数据数据库发送用户请求的eHealth数据查询。eHealth数据DB向安全代理提供列级加密的eHealth数据。之后，安全代理从用户DB请求用户信息，例如用户的属性和ID。用户DB向安全代理提供所请求的用户信息。安全代理使用所提供的用户信息再次加密列级加密的eHealth数据，并提供完整加密的eHealth数据。下载阶段提供的eHealth数据是加密的，因此即使第三方获得也无法进行分析。

‎ 查看此图

使用阶段

使用阶段执行“访问控制”，这是医疗保健研究平台的sr之一。这个阶段还确保了“问责制”，因为用户在平台上的使用活动会在分布式账本中以时间戳记录下来。图6显示使用阶段的顺序;下文各段将详细说明。

用户登录HBDP(即密码认证)，上传加密的eHealth数据。平台上的安全代理然后从用户DB请求用户和设备信息，以进行解密和指纹认证。用户DB向安全代理提供用户属性和用户设备ID。安全代理使用设备ID值向用户设备请求指纹认证和实时定位。用户通过平台上注册的设备输入指纹进行第二次用户认证。如果指纹认证通过，则向安全代理发送实时的GPS定位信息。安全代理通过位置和用户属性对用户上传的eHealth数据进行解密。具体地说，此时在加密的行上执行完全解密，然后在列级加密的列(即敏感列)上执行列级解密。eHealth数据解密后，安全代理请求区块链对端在区块链中记录解密结果，并在区块链中添加时间戳。区块链对等体执行智能合约将解密结果记录在分布式分类账上，智能合约将解密结果插入到分布式分类账上。 When the decryption result is recorded in the distributed ledger, the smart contract returns the execution result to the blockchain peers. The blockchain peers send the received execution result to the security agent. Finally, the security agent provides the decrypted eHealth data to the user, and the user is able to use the data only on the platform. In conclusion, for the user to use eHealth data on the HBDP, the data must be decrypted on the platform.

算法1和算法2是安全代理的伪代码。算法由基于密码的身份验证和电子健康数据解密以及检测非法用户组成。特别是算法1 (图7)首先检查用户ID是否被锁定;如果用户的ID没有被锁定，它将对用户的凭证进行身份验证。然后，安全代理请求在区块链中记录用户登录活动的结果。

相比之下，算法2 (图8)首先对用户的实时位置进行基于指纹的身份验证。之后，安全代理通过用户信息(包括位置)使用创建的策略解密数据。最后，安全代理请求在区块链中记录用户使用活动的结果。特别是，在记录过程的结果之前，安全代理将检查分布式账本中以前记录中最近连续失败的活动。

‎ 查看此图

‎ 查看此图

‎ 查看此图

实现

为了演示和证明HBDP的可行性，我们实现了一个基于软件开发生命周期的框架的主要组件。软件开发生命周期通常配置为需求分析、设计、实现、测试和演进步骤。按照这些步骤，我们首先确定了sr(请参阅卫生保健研究平台的安全威胁和需求部分中的sr)。其次，基于3个确定的sr(即访问控制、存储的电子健康数据加密和问责制)设计了组件。第三，我们实现了这些组件。文本框6详细展示了配置和实现环境的规范。我们配置了用于检测非法用户的区块链网络和一个云环境，以在HBDP中创建一个可伸缩的、协作的和安全的环境。特别是，我们使用开源云操作系统OpenStack (Open Infrastructure Foundation)构建云环境，然后使用基于Python的Flask框架(Python Software Foundation)开发web服务器[42]。我们还开发了用于用户认证的Android应用程序，用于检测和监控非法用户的安全代理，以及用于记录和管理用户活动的链码。第四，通过结果部分中的案例研究，使用HBDP的安全分析对组件进行测试。最后，在讨论部分对组件进行分析，以评估它们。

图9显示我们的实现和主要组件之间的交互的概述。如前所述，我们的实现是一个概念证明，用于演示HBDP实现的功能。

在一个医疗保健研究平台上，云环境不仅以软件即服务的形式提供各种大数据分析工具，还提供了研究者协作的环境。云环境还提供可伸缩性和开放环境。

图10展示了HBDP的一些页面。图10A是当用户通过输入注册用户ID和密码成功登录时显示的页面。成功登录的用户可以随时访问该平台并下载eHealth数据，这些数据可以在中所示的页面上使用图10B。

‎ 查看此图

‎ 查看此图

我们还开发了一个Android应用程序，使用指纹认证和实时位置信息。特别地，我们使用了Firebase (Firebase Inc) [43，以便给Android应用程序发送消息。图11显示了实现的应用程序的一些页面图11第一，应用程序在平台上执行用户注册和设备注册。此外,图11B为指纹认证和实时位置信息的设备注册。最后,图11当用户需要使用加密的eHealth数据时，“C”会显示指纹认证请求。

此外，我们使用OpenABE库(Zeutro)来执行eHealth数据的加密和解密。电子健康数据是匿名的，来自韩国疾病控制和预防机构的公开数据。这些数据来自韩国国民健康和营养调查，包括身份、性别、年龄、地区和收入。特别是，我们将实现中的敏感列定义为年龄和地区。图12显示平台上每个阶段的电子健康数据。图12A显示了安全代理将eHealth数据存储在平台上时使用列级加密的eHealth数据。此外，当用户下载eHealth数据时，它们是在使用存储在平台上的用户属性对列级加密的eHealth数据进行完全加密后提供的，如图12b .最后,图12C为解密后的eHealth数据，平台上的授权用户可以使用这些数据。

通常，区块链中的块是由散列标识的，这些块是连接的，因为它们具有前一个块的散列。换句话说，除非所有参与者的块都被修改，否则更改是不可能的。因此，在该平台上，私有区块链被用作分散的持久日志记录系统。我们使用Hyperledger Fabric (Linux Foundation)构建了区块链网络，并设计了一个负责任的智能合约。图13显示用于检测使用分布式账本的非法用户(即未经验证和未经授权的用户)的网页。此页面帮助平台管理员搜索特定的用户活动，并在出现安全威胁时识别参与者并对其做出响应。简而言之，我们实现中的分布式账本为HBDP提供了问责制和不可否认性。

‎ 查看此图

‎ 查看此图

‎ 查看此图

结果

概述

为了证明概念，上一节实现了HBDP。本节介绍通过实现的HBDP进行安全分析的非法用户检测的案例分析。本节还介绍了几个已进行的实验的结果，这些实验显示了私有区块链和ABE密码体制的效率。

非法用户检测案例研究

概述

除了上述安全威胁之外，在开放环境中的医疗保健研究平台上还可能出现许多安全威胁(例如，电子健康数据的误用和滥用)。因此，一个安全的医疗保健研究平台必须能够检测和追踪这些威胁。本小节描述如何在开放环境中通过HBDP上的分布式账本检测两种代表性的安全威胁——未经验证和未经授权的用户。此外，我们还提出了通过监视和访问控制过程检测其他安全威胁的可能性。

检测未经验证的用户

未经身份验证的用户尝试的最常见的攻击之一是暴力攻击。因此，在这个场景中，我们假设一个未经身份验证的用户通过窃取用户ID不断尝试登录(即对HBDP发起暴力攻击)。图14显示在平台上检测未经过身份验证的用户的序列。以下各段将详细解释这个案例研究。

‎ 查看此图

攻击者首先窃取HBDP平台上使用的用户ID，然后连接平台，输入窃取的用户ID和随机密码。接收用户ID和密码的安全代理从用户DB检索用户信息，并执行基于密码的用户身份验证。之后，安全代理请求区块链对等体将登录结果记录在分布式账本中。区块链对等体通过执行智能合约记录登录结果，并将记录的结果发送给安全代理。安全代理接收记录的结果，然后通知攻击者登录失败。攻击者接收到登录失败的结果，然后不断尝试使用使用窃取的用户ID的随机密码登录。如果重复上述顺序，并且登录失败2次以上，则安全代理将阻止用户ID。此外，安全代理请求指纹认证，以解除在HBDP注册设备上的用户ID阻塞。因此，平台用户将能够识别有非法登录尝试。此外，安全代理将这些尝试转发给平台管理员，以帮助他们根据分布式分类帐详细分析非法登录尝试。

防止未经授权的用户误用(或滥用)电子健康数据

可从HBDP下载的eHealth数据取决于用户所在的部门和职位。因此，未经授权的用户有可能从授权用户那里接收加密的eHealth数据。因此，我们假设电子健康数据的未经授权用户希望使用非法共享或泄漏的电子健康数据。图15显示了检测非法共享eHealth数据的程序。下文各段将详细说明。

‎ 查看此图

未经授权的用户首先通过错误的方式从授权用户处获取加密的eHealth数据。非法用户连接到HBDP平台，上传非法共享的eHealth数据供登录平台后使用。接收eHealth数据的安全代理从用户DB中获取用户信息，并向注册设备请求指纹认证。非法用户进行指纹认证。如果认证成功，设备将实时位置连同签名一起发送给安全代理。然后，安全代理在验证签名后，用接收到的属性和实时位置解密eHealth数据。但是，由于未授权用户的属性与用于加密eHealth数据的用户属性不匹配，导致eHealth数据解密失败。安全代理请求将解密结果记录在分布式账本上，然后在将未授权用户的活动记录在账本上之后通知未授权用户解密失败。如果重复上述顺序并且解密再次失败，则安全代理将阻止用户ID。安全代理还将这些尝试发送给平台管理员，以帮助他们根据详细的分类帐分析非法使用尝试。

在我们的实现中，可以检测和阻止各种安全威胁，以及未经身份验证和未经授权的用户。例如，即使攻击者试图通过窃取用户的ID和密码来解密eHealth数据，由于指纹认证失败，也无法解密。另外，即使通过操纵设备，指纹验证成功，但由于实时位置信息错误，无法解密。也就是说，HBDP确保了eHealth数据的安全性和私密性。此外，平台管理员可以通过定期监控发现非法用户，因为所有用户在HBDP上的活动都记录在分布式账本中。特别是，即使要使用泄漏的数据，也应该根据使用阶段在HBDP上对其进行解密。因此，管理员可以通过监控发现这种行为。最后，HBDP也不能确保通过列级加密的eHealth数据的有用性，即使发生了恶意用户的泄漏。总之，HBDP可以为研究人员提供一个开放和安全的环境，在其中有效地分析电子健康数据。

HBDP的性能评估

概述

我们的主要概念是为医疗保健和检测使用分布式账本的非法用户提出一个安全的研究平台。对于这个概念，我们在前一节中介绍了案例研究。然而，性能是证明系统效率的一个重要因素，因此我们在本节简要介绍并描述实施的HBDP的性能评估。

密码学平均时间

为了测量平均时间，我们执行了10轮加密和解密，更改了行数和敏感列的数量，如图所示文本框7．

图16显示每敏感列数的行数的平均加密和解密时间。图16A显示了基于行数的平均列级加密时间。在图16A，如果最大行数为200,000，敏感列数为5，则最大平均时间约为10分钟。此外,图16B显示了当用户从平台下载eHealth数据时，行数变化与加密的敏感列数变化的平均完全加密时间(请参阅下载阶段部分)。值得注意的是，由于这项工作对行进行加密，因此加密的敏感列的数量不会对完整加密时间产生很大影响。换句话说，加密时间不会随着加密敏感列数量的增加而显著增加。图16C显示了当用户在HBDP上使用eHealth数据时，包括行数与每个加密敏感列数的列级平均完全解密时间(请参阅使用阶段部分)。由于此工作执行两次解密，与完全加密相比，所需的解密时间大幅增加。如果最大行数为200,000，敏感列数为5，则平均时间约为27分钟，因此HBDP在实际情况下的使用有局限性。然而，我们相信有几种方法可以解决这个问题。下面的小节将详细讨论这些方法。

‎ 查看此图

区块链表演

私有区块链是一个分布式日志系统，用于帮助检测HBDP上的非法用户。因此，我们没有评估块和查询时间，只关注区块链特性提供的问责性和不可否认性。因此，在本节中，使用Hyperledger Caliper (Linux Foundation)评估设计的智能合约的写和读时间[44]。我们首先在区块链网络的分类帐上执行了5轮写事务，每轮有1000个事务，速率分别为每秒100、150、200、250和300个事务(TPS)，如图所示文本框8．然后，我们以100、150、200、250和300 TPS的速率对分类帐的区块链网络执行5轮读取事务，在写入100个事务后，每轮执行1000个事务。特别是，现在我们假设平台管理员搜索以前用户活动的100条记录。

图17而且图18显示我们执行的平均延迟和吞吐量。在图17A，写模式为1Org的1Peer在300 TPS中只需要<3秒，这比其他网络的延迟要低得多。相反，在写模式中使用1Peer的1Org比其他网络具有更高的吞吐量(约150 TPS)，如图18a .读模式为1Peer的1Org平均延迟约为14秒，吞吐量约为63 TPS / 300 TPS，如图所示图17B和图18B.对于具有2peer的读模式的2org，平均延迟和吞吐量分别达到约19秒和47 TPS，即300 TPS。结果表明，许多组织和对等体在读写模式下都达到了高时延和低吞吐量，因此在写模式下，时延和吞吐量成反比。

‎ 查看此图

‎ 查看此图

讨论

主要研究结果

在结果部分，我们首先对HBDP进行了安全性分析。结果表明，HBDP提供了一个安全的环境。然后我们给出了HBDP的平均加密时间和区块链性能，以评估其效率。因此，一些性能(例如，依赖于加密列的数量的高解密时间)显示出需要改进。因此，我们首先在本节中讨论这些结果。然后提出了HBDP的一些局限性。此外，我们将HBDP与之前的工作进行了比较。最后，我们描述了我们在区块链和物联网方面的进一步工作。

HBDP提供了一个安全的研究环境，但有几个挑战需要解决以提高效率。因此，本小节将详细讨论我们的结果和这些挑战。首先，为了证明HBDP中的问责性，我们介绍了通过实现的HBDP检测未经验证和未经授权用户的案例研究。此外，还介绍了通过访问控制和监控过程检测其他安全威胁的方法。结果表明，HBDP支持访问控制的问责制。

其次，随着敏感列数量的增加，列级加密和完全解密(包括列级解密时间)在我们的结果中显著增加。该问题会给实际环境中的用户带来不便。为了解决这个问题，我们提出了一些解决方案。首先，当eHealth数据有许多敏感列时，通过将这些列合并为1列来执行加密和解密，可以获得高效的加密时间。其次，可以将安全代理配置为首先对一些列执行解密以显示eHealth数据，然后在后台进程中解密其他列。与前一种方法相比，这种方法可能会让用户觉得延迟是最小的。最后，在云环境中，可以配置多个安全代理来执行并行处理[45-47]。这种方法是有效的，也是使用最广泛的方法。不幸的是，我们的工作没有使用这些方法，但它们有望提供更好的加密时间。

最后，区块链中的读模式比写模式有更高的延迟和更低的吞吐量，大约≥60%。一般来说，在写模式下区块链的性能比在读模式下有更高的延迟和更低的吞吐量，但我们的评估显示了相反的结果。这个结果可能是由于查找和读取100个事务的所有记录的过程造成的。然而，区块链可以充分用作HBDP的分布式日志记录系统，因为它没有显示出糟糕的性能。为了证明这一有效性，我们的讨论可以通过与现有研究的性能比较评估进行扩展。但是，由于实现环境和配置的差异，我们没有进行性能比较。区块链性能一般受对等体和订购方的角色配置、一致算法的差异和区块链类型的影响。此外，即使智能合约执行相同的功能，其性能也会根据智能合约的实现方式而有所不同。总之，我们认为在完美的非等价环境中，性能的比较是无用的。

限制

医疗保健研究平台必须提供一个高效的环境，因为HBDP的主要目的是分析电子健康数据，然后使用结果值进行研究。对于这种环境，需要电子健康数据、分析和可视化工具以及数据链接的互操作性，但HBDP为电子健康数据实现了一些功能。因此，在我们未来的工作中，HBDP将提供一个高效的研究平台，提供各种分析和可视化工具(如Hadoop、Tableau和Spark)，作为软件即服务。

此外，在本研究中，HBDP只关注三个sr(即访问控制、存储的eHealth数据加密和问责制)，但为了更安全的环境，还需要各种附加sr(如身份识别)。此外，即使在对电子保健数据进行身份识别之后，仍然存在重新识别的可能性。因此，我们未来的工作还应该提供其他的sr和方法，通过提前进行再识别评估来降低再识别的风险[48，49]。

最后，这项研究的主要范围是卫生保健研究平台的访问控制和问责，因此HBDP没有确保电子健康数据的完整性和可用性。在HBDP中，通过在分布式账本上写入eHealth数据的散列，可以确保完整性，但不能完全保证。因此，HBDP需要解决方案，以确保电子健康数据的完整性和可用性，以实现一个完整的医疗保健研究平台。可用性和完整性通常可以通过现有的加密技术(例如，各种类型的防火墙、消息身份验证代码、入侵检测系统和哈希函数)来保证。我们也认为一些研究[50-54]有助于建立一个高效的卫生保健研究平台。

与之前工作的比较

为了讨论HBDP，本节将HBDP与基于定义的sr的现有卫生保健研究平台进行比较。表2表明HBDP和之前的研究平台满足特定的sr。首先，所有研究都部分讨论了访问控制(即认证和授权方法)[29-34并在HBDP中得到了解决。特别是一些研究[31，32，34]通过相关当局或合同的直接批准授予访问电子卫生数据的权利。然而，这种访问控制既繁琐又复杂，而且有可能过度限制数据的使用。一些研究[29，34]使用RBAC进行访问控制，但是RBAC不能轻松地提供细粒度的访问控制。相比之下，ABE加密通常实现细粒度的访问控制，因为管理员可以使用各种属性创建详细的安全策略[55-57]。ABE最近也能够实现灵活的访问控制[58，59]。因此，与现有的医疗保健研究平台不同，HBDP通过使用ABE加密的物联网设备的各种传感数据实现细粒度访问控制。此外，Lunn等人的两项研究为存储的电子健康数据提供了加密[30.，琼斯等[34]和HBDP。为了防止内部人员和恶意攻击者的非法泄露，需要这种加密。即使是匿名的电子健康数据，当它们存储在研究平台上时也必须加密，以便在电子健康数据泄露时重新识别变得困难和无用。最后，问责制是一种审计跟踪，它帮助平台管理员在安全事件发生时采取适当的行动，并通过监视减轻安全威胁。然而，在Lunn等人的研究中，测井系统是以集中的形式实现的[30.和琼斯等人[34]。集中式系统在系统不可用时，会难以操作日志服务，而且攻击者可能会破坏日志的完整性。HBDP通过区块链以分散的形式使用日志记录系统，因此，即使有一个节点不可用，日志记录仍然是可能的，并确保日志的完整性，因为所有对等点都拥有分布式分类帐。此外，与以往平台不同的是，我们在HBDP中提出了详细的非法用户检测方法来证明问责。

私人区块链

电子保健数据主体希望通过直接参与电子保健数据访问决策来加强其权利。他们还关心电子健康数据的隐私和安全。然而，当他们直接参与访问决策时，就有可能扼杀或不适当地限制电子健康数据在研究中的可用性(例如，研究人员使用电子健康数据的请求被延迟很长时间或被无条件拒绝)。因此，必须通过其他方式保障主体的权利。通过区块链的分布式账本，我们希望提供者可以监督访问决策，尽管不能直接参与。例如，eHealth数据主体可以通过平台上的分布式账本随时轻松搜索其eHealth数据的使用历史和用户，并在出现任何问题时反对使用。此外，由于区块链的记录历史很难改变，预计它将获得eHealth受试者更大的信任。虽然我们没有实现这一监督功能，但我们期望进一步的研究将有助于解决对使用电子保健数据的关切，并促进电子保健数据主体的权利。

物联网设备的互操作性

来自各种传感器和物联网设备的电子健康数据正在迅速增加，并被许多卫生设施收集。这些电子健康数据用于研究可以改善公众健康，提供高质量的定制化医疗保健服务，因此必须在医疗保健研究平台上提供。一般情况下，物联网设备由物联网平台连接和管理。然而，由于物联网平台上的各种互操作性问题，目前难以共享或使用收集到的电子健康数据。特别是每个物联网平台对物联网设备有不同的访问控制方法和安全策略，无法保证安全的互操作性。因此，我们未来的研究将通过确保HBDP上物联网平台的安全互操作性，为研究人员提供各种详细的电子健康数据。

结论

在卫生保健研究中使用电子健康数据具有广阔的潜力和优势。但是，eHealth数据比其他大数据更敏感，包含更多的个人信息，因此在研究中必须保证eHealth数据的隐私和安全。此外，eHealth数据主体仍然担心在现有医疗研究平台内未经授权的数据重用和共享。因此，我们为卫生保健研究设计了一个更安全的协作平台，称为HBDP。该平台使用私有区块链和ABE加密技术确保了eHealth数据的私密性和安全性。私有区块链作为去中心化的持久日志数据库运行，其中HBDP上发生的所有活动都用时间戳记录下来。因此，区块链(即分布式账本)中的记录有助于平台管理员和用户检测和响应HBDP上未经过身份验证和未经授权的用户。ABE加密技术确保了隐私，即使eHealth数据从平台泄露，也可以使用情境信息进行详细和细粒度的访问控制。此外，我们使用Hyperledger Fabric、OpenStack和OpenABE库开发并测试了HBDP、区块链网络和一个Android应用程序，以展示平台的可行性。我们还通过案例研究描述了非法用户(即未经验证和未经授权的用户)的检测。 As this study focused only on a secure environment for health care research, some future work is needed to provide an efficient and complete research platform. Nevertheless, we believe that the HBDP will provide a sufficiently secure environment for the use of eHealth data in health care research.