基于区块链的医疗系统的安全性:研究挑战和机遇
一.引言
当前的 COVID-19 ⼤流⾏可能加速了向电⼦医疗系统(例如远程医疗)的转变。然⽽,在医疗保健服务的数字化中,我们必须确保医疗保健数据的安全性和隐私性,这些数据通常存储在医院的本地服务器或远程存储在受信任的云服务器中。已经有很多尝试设计基于区块链的⽅法来⽀持医疗系统的安全性和隐私.
本篇论文系统地回顾了关于基于区块链的医疗系统的现有⽂献。然后,将现有的安全解决⽅案分为三类,即 1) 去中⼼化⾝份验证、2) 访问控制和 3) 审计,并讨论基于区块链的医疗保健系统中的隐私保护技术。基于分析与研究确定了许多挑战,包括性能限制和不灵活的审计,以及未来的研究机会.
二.背景
医疗保健+区块链:增强安全性
区块链与医疗保健的结合可以给医疗领域带来巨⼤的⻜跃。区块链设计的核⼼是⼀个去中⼼化的⽹络,节点可以在其中创建、管理和共享⾃⼰的数据。区块链以其分布式、防篡改、互操作性等特点吸引了医学领域的研究⼈员。使⽤区块链增强医疗服务的安全性如下所⽰。
解决单点故障;
防篡改医疗数据;
匿名和访问限制;
患者驱动的安全数据共享和互操作性;
三.解决方案
基于区块链的医疗系统中的数据安全解决方案
可分为三类:去中⼼化⾝份验证、访问控制和审计。去中⼼化认证是数据安全的必要前提,解决了⾮法⽤⼾对医疗数据的潜在威胁。在数据共享过程中避免未经授权的访问的访问控制是确保医疗数据安全的重要⼿段之⼀。审计能够及时发现异常操作,为问责提供依据。
A.去中⼼化认证
为保证医疗数据的安全,往往需要在访问前对访问者的⾝份进⾏⾝份验证。
1)存储在区块链中⽤于⾝份验证的凭证
2)认证密码技术
基于⾝份的密码系统;分布式基于属性的密码学; ⽆证书密码学
3)两因素认证
B. 访问控制
访问策略列表:当⽤⼾创建⽂件时,相应的访问策略同时建⽴并存储在区块链上。然后,⽤⼾可以通过智能合约授予、更改和撤销访问权限。
加密技术:加密技术确保医疗数据的机密性。加密的医疗数据防⽌未经授权的访问,从⽽实现访问控制。
C. 审计
出于好奇、诱惑或其他动机,内部⼈员可能会采取不当⾏为,例如披露敏感数据以谋取利益。因此,审计在保护医疗系统中的数据安全⽅⾯发挥着重要作⽤。在安全事件或其他必要的情况下,审计 可以为问责提供证据,从⽽避免许多不必要的纠纷。
1)诚信审核:完整性审计
最⼴泛的⽤途是保护存储在第三⽅服务器上的医疗数据,以防⽌服务器修改或删除数据。⽬前,基于区块链的医疗系统⼀般使⽤哈希值来实现完整性审计
2)⾏为审计:区块链中的交易可以记录不同⽤⼾对⽂件的操作,并以时间戳存储在区块中,可以作为⾏为审计⽇志
D.基于区块链的医疗保健中的隐私保护
医疗数据属于患者的隐私,保护患者隐私意味着阻断医疗数据与患者⾝份的关联,即医疗数据⽆法溯源到个⼈。保护可以分为两个⽅⾯:共享医疗数据的机密性和患者⾝份的隐藏.
⽤于实现数据隐私的技术包括 ABE、同态加密 (HE)、可搜索加密和代理重加密。⾝份隐私主要是通过隐藏通信地址和数字签名者的⾝份来实现的。
四.讨论与研究
A.基于区块链的医疗系统仍存在的挑战
1)安全性和性能——医疗系统中的艰难权衡:基于区块链 的医疗保健系统的效率通常与实现的安全⽬标成反⽐。系统的认证、访问控制机制、审计、隐私保护等都采⽤附加技术实现,⽆疑会⼤⼤增加负担
2)区块链漏洞——医疗⽣态系统不可忽视的隐患:⼈为因素或编程语⾔因素,⼤多数智能合约很容易受到攻击。并且交易被永久存储在区块链上,使得智能合约的错误⽆法消除,这将对基于区块链的医疗系统造成不可估量的损失。
3) 数据审计——在审计医疗保健数据时避免⼤量存储:⽬前关于医疗数据审计的研究较少,主要集中在第三⽅存储数据的完整性审计上。然⽽,现有的完整性审计⽅案是基于散列函数的。该⽅法的缺点是审核员在下载医疗数据之前⽆法对其进⾏审核。因此,有可能在医疗数据中研究更灵活的审计协议。
B. 潜在挑战的解决⽅案
1)安全性和性能之间的平衡:安全是医疗系统必不可少的 要求,但为了达到安全的⽬的,必须牺牲系统的效率。因此,设计或选择实现医疗数据安全的轻量级算法极为重要。 ⽬前,针对轻量级密码算法的研究较多,如轻量级环签名、 部分同态等。未来,改进现有⽅案或设计⼀种适⽤于基于区块链的医疗系统的轻量级密码算法以实现轻量级安全是相当重要的。
2) 区块链漏洞补丁
3) 动态审计 ⼀种动态审计⽅案,可⽤ 于实现数据完整性审计,⽽⽆需通过审计员⽣成的质询消息 下载整个数据。带有医疗数据的云服务器使⽤数据⽣成审计 验证标签,由智能合约⾃动验证。
五.结论
在本⽂中,调查了现有的基于区块链的数据安全解决⽅案,旨在⽤于电⼦医疗保健环境。⾸先,去中⼼化⾝份验证减少了⾮法⽤⼾对医疗数据的潜在威胁。此外,访问控制机制避免了数据共享期间的未经授权的访问。作为补救措施,数据审计可以及时发现异常操作,并为核算提供依据。 最后,总结和⽐较了常⽤的隐私保护技术来保护医疗数据。此外,讨论了基于区块链的医疗中的剩余挑战,并提出了⼏个可⾏的解决⽅案。根据讨论,确定了研究界可以追求的以下潜在研究议程。