基于區(qū)塊鏈的電子醫(yī)療記錄安全共享

林超，何德彪，黃欣沂

基于區(qū)塊鏈的電子醫(yī)療記錄安全共享

林超1，何德彪2*，黃欣沂1

（1.福建師范大學(xué) 計算機(jī)與網(wǎng)絡(luò)空間安全學(xué)院，福州 350117； 2.武漢大學(xué) 國家網(wǎng)絡(luò)安全學(xué)院，武漢 430072）（?通信作者電子郵箱 hedebiao@163.com）

針對電子醫(yī)療記錄（EMR）共享面臨的數(shù)據(jù)提供商集權(quán)化、患者數(shù)據(jù)管理顯被動、互操作效率低、惡意傳播等問題，提出一種基于區(qū)塊鏈的電子醫(yī)療記錄安全共享方法。首先，基于商用密碼SM2數(shù)字簽名算法提出一種更加安全高效的泛指定驗(yàn)證者簽名證明（UDVSP）方案；然后，設(shè)計具有上傳、驗(yàn)證、檢索、撤銷等功能的智能合約，構(gòu)造基于區(qū)塊鏈的電子醫(yī)療記錄安全共享系統(tǒng)；最后，通過安全性分析和性能分析論證UDVSP方案和共享系統(tǒng)的可行性。安全性分析結(jié)果表明，所設(shè)計的UDVSP方案滿足可證明安全性。性能評估結(jié)果表明，與現(xiàn)有常用的UDVSP/UDVS方案相比，節(jié)省至少87.42%的計算開銷和93.75%的通信代價。區(qū)塊鏈智能合約原型系統(tǒng)的仿真結(jié)果進(jìn)一步論證了共享系統(tǒng)的安全性和高效性。

電子醫(yī)療記錄；區(qū)塊鏈；SM2數(shù)字簽名算法；泛指定驗(yàn)證者簽名證明；數(shù)據(jù)共享

0 引言

隨著互聯(lián)網(wǎng)技術(shù)的快速發(fā)展，傳統(tǒng)的紙質(zhì)健康檔案系統(tǒng)逐漸向功能完備的數(shù)字化基礎(chǔ)設(shè)施轉(zhuǎn)變［1］。電子醫(yī)療記錄（Electronic Medical Record， EMR）將在不遠(yuǎn)的將來充斥整個世界。研究EMR共享技術(shù)有助于提高醫(yī)療保健服務(wù)質(zhì)量、促進(jìn)生物醫(yī)學(xué)發(fā)現(xiàn)和降低醫(yī)療成本［2-3］。雖然目前已有眾多EMR共享方案，但這些方案面臨數(shù)據(jù)提供商集權(quán)化、患者數(shù)據(jù)管理被動、互操作效率低等問題，難以得到廣泛應(yīng)用。尤其在實(shí)際的就診過程中，患者不局限于特定的醫(yī)院和醫(yī)生，可能會去不同的診所或醫(yī)院找不同醫(yī)生進(jìn)行醫(yī)療觀察/治療，或者從一家醫(yī)院轉(zhuǎn)到另一家醫(yī)院。

區(qū)塊鏈?zhǔn)且环N分布式賬本技術(shù)，因具有公開驗(yàn)證、不可篡改、可編程等特點(diǎn)［4-5］，可解決上述問題。目前已有多種方案［3，6-7］嘗試?yán)脜^(qū)塊鏈實(shí)現(xiàn)EMR管理與共享，這些方案的通用架構(gòu)主要包含醫(yī)生（或醫(yī)療機(jī)構(gòu)）、患者、區(qū)塊鏈三種角色（圖1），其中醫(yī)生負(fù)責(zé)生成/發(fā)布患者的EMR到區(qū)塊鏈，患者可以從鏈上檢索EMR并向其他醫(yī)生/醫(yī)療機(jī)構(gòu)展示。為了節(jié)省區(qū)塊鏈存儲代價，部分方案將原始EMR存儲在云端，僅將哈希值、索引、時間戳等摘要信息記錄到區(qū)塊鏈。

圖1　基于區(qū)塊鏈的EMR共享通用架構(gòu)

在現(xiàn)有基于區(qū)塊鏈的EMR共享系統(tǒng)中，患者的EMR容易檢索和共享，有效提升了EMR的互操作性，同時保證了患者對自身數(shù)據(jù)的擁有權(quán)與使用權(quán)。然而，這些系統(tǒng)將面臨EMR隱私泄露問題：一方面，區(qū)塊鏈的公開透明性導(dǎo)致任意實(shí)體均可獲取鏈上的EMR；另一方面，共享后的EMR易被惡意傳播。由于加密技術(shù)或訪問控制技術(shù)可有效解決第一個問題［8-9］，所以本文主要關(guān)注如何保護(hù)EMR共享后的隱私。

由于現(xiàn)有的UDVSP方案［10-11］均涉及高耗時的雙線性對運(yùn)算（1次雙線性對運(yùn)算在移動終端的耗時約為32 ms，是橢圓曲線標(biāo)量乘運(yùn)算的9倍左右［12］），這將阻礙UDVSP在EMR共享、電子投票、匿名證書、收入?yún)R總管理等領(lǐng)域的應(yīng)用。因此，本文先基于商用密碼SM2數(shù)字簽名算法提出一種安全高效的UDVSP方案，再設(shè)計基于區(qū)塊鏈的EMR安全共享系統(tǒng)。由安全性分析與性能評估結(jié)果可知，本文設(shè)計的UDVSP方案是可證明安全的，且無需高耗時的雙線性對運(yùn)算，與對比方案相比具有較低的計算開銷與通信代價。因此，基于本文的UDVSP構(gòu)建的系統(tǒng)實(shí)用性更強(qiáng)。

1 相關(guān)工作

1.1　泛指定驗(yàn)證者簽名（證明）

Steinfeld等［13］在2003年最早提出泛指定驗(yàn)證者簽名的概念。這種特殊簽名允許指定者（也稱簽名擁有者）在不泄露簽名情況下，讓指定驗(yàn)證者相信他/她擁有這個簽名。因此，泛指定驗(yàn)證者簽名能夠有效阻止指定驗(yàn)證者惡意傳播簽名，適用于EMR、收入?yún)R總等場景，提供隱私保護(hù)功能。

為了實(shí)現(xiàn)可證明安全，Zhang等［14］在2005年利用SDH（Strong Diffie-Hellman）問題設(shè)計了泛指定驗(yàn)證者簽名（Universal Designated Verifier Signature， UDVS）方案，Huang等［15］在2008年利用GBDH（Gap Bilinear Diffie-Hellman）問題設(shè)計了UDVS方案。上述兩個方案的計算開銷較大，難以廣泛應(yīng)用。為了提高效率，Lin等［16］在2013年基于BIDH（Bilinear Inverse Diffie-Hellman）問題設(shè)計了兩種更加高效的UDVS方案，但這兩種方案的驗(yàn)證部分仍涉及雙線性對運(yùn)算，效率有待提高。在安全性提升方面，Rastegari等［17］在2019年提出了標(biāo)準(zhǔn)模型下安全的UDVS方案。此外，國內(nèi)外學(xué)者還研究基于標(biāo)識/無證書的UDVS方案［18-20］，并將UDVS與傳遞簽名［21-22］、內(nèi)容提取簽名［23］等其他特殊簽名相結(jié)合，實(shí)現(xiàn)隱私保護(hù)。

上述UDVS方案存在公鑰初始化問題，指定驗(yàn)證者需要事先利用簽名擁有者的系統(tǒng)參數(shù)生成公私鑰信息，同時申請公鑰證書［10］。這在實(shí)際生活中極其不便，尤其指定驗(yàn)證者一般已經(jīng)在不同的系統(tǒng)參數(shù)下生成公私鑰信息和申請公鑰證書。為了驗(yàn)證某實(shí)體的簽名擁有權(quán)，需要更換系統(tǒng)參數(shù)重新生成公私鑰并申請公鑰證書，為驗(yàn)證者帶來不便。

Baek等［10］在2005年提出了泛指定驗(yàn)證者簽名證明（UDVSP），這是UDVS的一種變形，不僅具有UDVS的可驗(yàn)證性與隱私保護(hù)功能，還可有效解決UDVS面臨的公鑰初始化問題。文獻(xiàn)［10］中基于BLS（Boneh-Lynn-Shacham）簽名和BB（Boneh-Boyen）簽名提出了兩種UDVSP方案，但這兩種方案均涉及高耗時的雙線性對運(yùn)算，難以支持移動終端或其他輕量級場景。Chen等［11］在2009年提出了基于標(biāo)識的UDVSP方案，可以避免繁瑣的公鑰證書管理，但也涉及高耗時的雙線性對運(yùn)算。據(jù)調(diào)查，目前尚未有無需雙線性對運(yùn)算的UDVSP方案在國內(nèi)外刊物上公開發(fā)表。

1.2　基于區(qū)塊鏈的EMR共享

為了滿足醫(yī)療領(lǐng)域面臨的身份驗(yàn)證、互操作性、數(shù)據(jù)共享、隱私保護(hù)等需求，國內(nèi)外學(xué)者利用區(qū)塊鏈技術(shù)提出了一系列解決方案。Mettler［24］在2016年利用以太坊設(shè)計了一種EMR共享網(wǎng)絡(luò)基礎(chǔ)設(shè)施，能實(shí)現(xiàn)患者與醫(yī)生之間無縫共享患者的EMR，但無法保證EMR被惡意修改和濫用。Yue等［9］在2016年利用區(qū)塊鏈技術(shù)提出了一套醫(yī)療數(shù)據(jù)網(wǎng)關(guān)（Healthcare Data Gateway， HDG）系統(tǒng)，主要在統(tǒng)一數(shù)據(jù)模式下存儲和組織電子醫(yī)療數(shù)據(jù)，支持患者擁有、控制和共享自身EMR。雖然HDG系統(tǒng)嘗試在提供數(shù)據(jù)隱私保護(hù)的同時實(shí)現(xiàn)數(shù)據(jù)安全共享，但無法支持用戶自定義共享電子醫(yī)療數(shù)據(jù)和數(shù)據(jù)共享后的隱私保護(hù)。

Azaria等［8］在2016年結(jié)合云存儲和區(qū)塊鏈提出了具有認(rèn)證、保密、可靠、共享等特點(diǎn)的Medrec模型。Medrec雖然可以保障患者和醫(yī)生之間的數(shù)據(jù)互操作性，但存在電子醫(yī)療數(shù)據(jù)共享后隱私泄露問題。Roehrs等［25］在2017年為了實(shí)現(xiàn)物理健康記錄（Physical Health Record）的分發(fā)性和互操作性，提出了支持跨衛(wèi)生組織的健康記錄統(tǒng)一視圖模型。雖然這種模型可以解決EMR與物理健康記錄之間的差異性問題，但存在數(shù)據(jù)共享范圍受限、隱私泄露隱患等不足。薛騰飛等［26］在2017年利用區(qū)塊鏈和代理重加密技術(shù)提出了新的醫(yī)療數(shù)據(jù)共享模型，可以解決各醫(yī)療機(jī)構(gòu)間數(shù)據(jù)共享難題，但存在數(shù)據(jù)共享復(fù)雜和隱私泄露問題。

2018年，Liu等［3］結(jié)合區(qū)塊鏈技術(shù)、密文策略屬性基加密（Ciphertext-Policy Attribute-Based Encryption， CPABE）和內(nèi)容提取簽名（Content Extraction Signature），提出了一種具有隱私保護(hù)功能的EMR共享方案。Wu等［27］在2019年引入數(shù)據(jù)掩碼技術(shù)和星際文件系統(tǒng)（Inter Planetary File System），設(shè)計了高效的區(qū)塊鏈EMR共享模型。2020年，Li等［28］設(shè)計了新的基于區(qū)塊鏈的電子醫(yī)療紀(jì)錄共享系統(tǒng)，解決了相互信任問題和EMR存儲/共享安全問題。

上述基于區(qū)塊鏈的EMR共享系統(tǒng)雖然能夠解決一些訪問控制、數(shù)據(jù)存儲、身份隱私等安全問題，但均未考慮EMR共享后的隱私泄露問題。本文主要解決該問題，既實(shí)現(xiàn)數(shù)據(jù)有效性驗(yàn)證，又防止數(shù)據(jù)被惡意傳播。

2 技術(shù)背景

2.1　符號定義

2.2　系統(tǒng)模型

基于區(qū)塊鏈的EMR安全共享系統(tǒng)主要包括醫(yī)生、患者、區(qū)塊鏈三種角色（如圖2）。

圖2　系統(tǒng)模型

醫(yī)生角色主要為患者診斷服務(wù)，是EMR的生成者。收到患者的門診請求后（步驟①），醫(yī)生為患者診斷生成EMR，然后將EMR盲化處理后上傳到區(qū)塊鏈（步驟②），再將盲化因子返回給患者（步驟③）。此外，本角色在提供診斷服務(wù)時，可要求患者提供過往EMR（步驟⑤），并從區(qū)塊鏈檢索相關(guān)數(shù)據(jù)進(jìn)行驗(yàn)證（步驟⑥）。

患者角色是EMR的擁有者，在接受醫(yī)生診斷后獲取EMR的相關(guān)證明憑證（即前述的盲化因子），利用此憑證驗(yàn)證EMR的有效性（步驟④）。在更換其他醫(yī)生時，患者可提供過往EMR獲取更準(zhǔn)確、更高效的醫(yī)療服務(wù)，但為了避免EMR被惡意傳播，患者不直接提供EMR，而是利用盲化處理的EMR和盲化因子向新醫(yī)生證明（步驟⑤）。

區(qū)塊鏈角色是分布式賬本，用于維護(hù)患者的盲化EMR列表，提供EMR的上傳（步驟②）、驗(yàn)證（步驟④）、檢索（步驟⑥）、撤銷（步驟⑦）服務(wù)。此角色主要分為公有鏈和聯(lián)盟鏈，其中公有鏈允許任何實(shí)體共同維護(hù)賬本，而聯(lián)盟鏈僅由授權(quán)節(jié)點(diǎn)維護(hù)賬本。在系統(tǒng)實(shí)現(xiàn)部分，本文將采用智能合約實(shí)現(xiàn)上述功能。

系統(tǒng)需要滿足以下性質(zhì)：

完備性（Completeness） 本性質(zhì)用于保障系統(tǒng)的正確性/可靠性。有效盲化因子生成的EMR擁有證明可被驗(yàn)證通過。假設(shè)用戶沒有盲化因子，將無法生成有效的EMR擁有證明。

兼容性（Compatibility） 本性質(zhì)用于保障系統(tǒng)的實(shí)用性。要求系統(tǒng)實(shí)現(xiàn)不受限于區(qū)塊鏈的類型，也就是既能支持以太坊等公有鏈，也能支持超級賬本等聯(lián)盟鏈。

2.3　SM2數(shù)字簽名算法

國家密碼管理局2010年頒布的SM2數(shù)字簽名算法，已成為國際標(biāo)準(zhǔn)數(shù)字簽名ISO/IEC 14888―3和國家商用密碼公鑰算法標(biāo)準(zhǔn)GM/T 000.3―2012［29］。該算法包括初始化（Setup）、密鑰生成（Key Generation， KGen）、簽名（Sign）和驗(yàn)證（Verify ）四個算法：

SM2數(shù)字簽名算法滿足正確性、自適應(yīng)選擇攻擊存在不可偽造性（Existential UnForgeability on adaptively Chosen Message Attacks， EUF-CMA）和抗密鑰替換攻擊［29］。

2.4　泛指定驗(yàn)證者簽名證明

R-IM指UDVSP能夠保證沒有簽名的敵手無法冒充誠實(shí)的簽名擁有者。該性質(zhì)可分為抗類型1冒充攻擊（R?IM?TYPE?1）和抗類型2冒充攻擊（R?IM?TYPE?2）。

3 協(xié)議設(shè)計

3.1　基于SM2數(shù)字簽名算法的UDVSP

基于SM2數(shù)字簽名算法設(shè)計的UDVSP，可以避免雙線性對運(yùn)算，有效提升性能。本文設(shè)計的UDVSP包括USetup、UKGen、USign、UVerf、UTran和UIVerf六個算法：

3.2　智能合約設(shè)計

系統(tǒng)需要提供盲化EMR的上傳、驗(yàn)證、檢索、撤銷等服務(wù)，本文利用智能合約進(jìn)行實(shí)現(xiàn)。當(dāng)且僅當(dāng)盲化EMR被上傳到智能合約，患者才能利用盲化因子提供有效的EMR證明，同時要求僅有授權(quán)的醫(yī)生才能夠上傳/撤銷盲化EMR。本文的智能合約主要包括Upload、Check、Get、Revoke四個算法（算法1）。

算法1 Smart Contract on EMRList。

輸入 Function name， invoked parameters；

輸出 Setting up functions。

address［］； % 定義授權(quán)醫(yī)生列表

structure% 定義數(shù)據(jù)結(jié)構(gòu)體

uint256； % 一部分盲化EMR

uint256； % 另一部分盲化EMR

FUNCTION EMRList（address［20］）

% 構(gòu)造函數(shù)，智能合約部署時自動執(zhí)行

FOR（= 0；<；++）

［］；

ENDFOR

mapping（uint256 =>）；

FUNCTION Upload（，） returns （）

授權(quán)醫(yī)生調(diào)用該算法上傳盲化EMR

（，）； % 計算索引值

［］.；

［］.；

RETURN；

FUNCTION Check（，） returns （bool）

調(diào)用該算法可判斷盲化EMR是否上傳

（，）； % 計算索引值

IF （［］.&&［］.）

RETURN true；

ELSE RETURN false；

ENDIF

FUNCTIONGet（） returns （uints256［2］）

調(diào)用該算法可檢索盲化EMR

=［］.；

［］.；

RETURN （，）；

FUNCTION Revoke（）

授權(quán)醫(yī)生可調(diào)用該算法撤銷盲化EMR

（，）； % 計算索引值

［］.null；

［］.null；

3.3　系統(tǒng)設(shè)計

4 安全性分析

為了分析系統(tǒng)的安全性，本文首先證明UDVSP的安全性。由于UDVSP的EUF-CMA與SM2數(shù)字簽名算法的EUF-CMA保持一致，所以本文主要分析UDVSP的R?IM?TYPE?1 （定理1）和R?IM?TYPE?2（定理2）。

定理1 若UDVSP的UIVerf交互式協(xié)議滿足誠實(shí)驗(yàn)證者零知識性（Honest-verifier Zero-knowledge），則UDVSP具有R?IM?TYPE?1的性質(zhì)。

算法2 UIVerf協(xié)議的模擬器Sim。

定理2 若SM2數(shù)字簽名算法具有EUF-CMA的性質(zhì)，則UDVSP具有R?IM?TYPE?2的性質(zhì)。

在上述基礎(chǔ)上，本文進(jìn)一步分析系統(tǒng)的完備性、不可鏈接性和兼容性。

完備性 系統(tǒng)的完備性一方面是因?yàn)閁DVSP的“UTran與UIVerf一致”，另一方面是轉(zhuǎn)換密鑰僅患者和醫(yī)生可知，其他人無法生成有效的盲化EMR證明。

兼容性 在系統(tǒng)設(shè)計中，主要利用區(qū)塊鏈智能合約進(jìn)行實(shí)現(xiàn)，所以任何支持智能合約功能的區(qū)塊鏈均適用，例如：支持Solidity語言的公有鏈以太坊和支持Go語言的聯(lián)盟鏈超級賬本。

5 性能評估與分析

本章從燃?xì)猓℅as）消耗、計算開銷和通信代價討論系統(tǒng)性能。

1）燃?xì)庀模簽樵u估系統(tǒng)的燃?xì)庀?，本文采用以太坊測試平臺Remix （https：//remix.ethereum.org/）實(shí)現(xiàn)。Remix采用編譯器（0.4.23+commit.124ca40d.Emscripten.clang）、語言（Solidity）、以太坊虛擬機(jī)（Ethereum Virtual Machine， EVM）版本（默認(rèn)）、部署環(huán)境（Javascript虛擬機(jī)）、功能插件（調(diào)試器、部署/運(yùn)行、Solidity編譯器、Solidity靜態(tài)分析）。

在上述配置的Remix中編譯和部署智能合約代碼，得到圖3的燃?xì)庀那闆r。其中，據(jù)CoinMarketCap 2021年7月26日行情，1 Ether約等于2 000美元（United States of America Dollar， USD），最高燃?xì)庀拗圃O(shè)為3 000 000 gas，每個燃?xì)庠O(shè)為2 GWei （約為0.006 Ether和12 USD）。合約部署Deploy消耗交易燃?xì)庾疃?，約為3.208 0 USD （其中包含執(zhí)行燃?xì)?.293 6 USD），其余的Upload、Check、Get和Revoke算法消耗的交易燃?xì)饩∮?.45 USD，尤其是Check、Get和Revoke僅消耗gas分別為0.111 7 USD、0.111 0 USD和0.126 8 USD。由于Deploy僅需執(zhí)行一次，而其余算法在系統(tǒng)中需要重復(fù)調(diào)用，所以上述的交易燃?xì)庀那闆r合理，滿足實(shí)際應(yīng)用需求。

圖3　智能合約算法的燃?xì)庀那闆r

2）計算開銷與通信代價：系統(tǒng)的計算開銷與通信代價主要由UDVSP方案引起，所以本文首先理論分析UDVSP的計算開銷與通信代價；同時，分析對比本文的UDVSP與現(xiàn)有常用的UDVSP/UDVS方案（包括UDVSP?1［10］、UDVSP?2［10］、UDVS?1［15］和UDVS?2［17］）。本文將UDVS的兩個密鑰生成算法統(tǒng)一為UKGen算法，且通信代價部分主要考慮UIVerf交互協(xié)議的通信代價。從理論分析對比結(jié)果（表1）可知，本文UDVSP的計算開銷和通信代價均比現(xiàn)有方案更優(yōu)，主要是因?yàn)楸疚牡腢DVSP避免了高耗時的雙線性對運(yùn)算和全域哈希函數(shù)計算。

表1　理論性能分析對比結(jié)果

表2　符號定義和耗時情況

表3　實(shí)際性能對比結(jié)果

6 結(jié)語

雖然泛指定驗(yàn)證者簽名證明（UDVSP）可以解決現(xiàn)有基于區(qū)塊鏈的EMR共享系統(tǒng)面臨的惡意傳播問題，但現(xiàn)有的UDVSP方案均涉及高耗時的雙線性對運(yùn)算。本文先利用SM2數(shù)字簽名算法設(shè)計了一種更加安全高效的UDVSP方案，并構(gòu)建了基于區(qū)塊鏈的EMR安全共享系統(tǒng)。為了說明UDVSP方案和共享系統(tǒng)具有實(shí)用性，本文首先證明本文UDVSP的安全性，然后在此基礎(chǔ)上分析系統(tǒng)的安全性，最后通過性能對比和仿真結(jié)果進(jìn)行論證。

[1] TAMERSOY A， LOUKIDES G， NERGIZ M E， et al. Anonymization of longitudinal electronic medical records［J］. IEEE Transactions on Information Technology in Biomedicine， 2012， 16（3）： 413-423.

[2] OHNO-MACHADO L. Sharing data from electronic health records within， across， and beyond healthcare institutions： current trends and perspectives［J］. Journal of the American Medical Informatics Association， 2018， 25（9）： 1113-1113.

[3] LIU J， LI X， YE L， et al. BPDS： A blockchain based privacy-preserving data sharing for electronic medical records［C］// Proceedings of the 2018 IEEE Global Communications Conference. Piscataway： IEEE， 2018： 1-6.

[4] LIN C， HE D， HUANG X， et al. BSeIn： a blockchain-based secure mutual authentication with fine-grained access control system for industry 4.0［J］. Journal of Network and Computer Applications， 2018， 116： 42-52.

[5] 祝烈煌，高峰，沈蒙，等. 區(qū)塊鏈隱私保護(hù)研究綜述［J］. 計算機(jī)研究與發(fā)展，2017， 54（10）： 2170-2186.（ZHU L H， GAO F， SHEN M， et al. Survey and privacy preserving techniques for blockchain technology［J］. Journal of Computer Research and Development， 2017， 54（10）： 2170-2186.）

[6] DUBOVITSKAYA A， XU Z， RYU S， et al. Secure and trustable electronic medical records sharing using blockchain［C］// Proceedings of the 2017 American Medical Informatics Association Annual Symposium. Washington， DC： AMIA Publications， 2017： 650.

[7] USMAN M， QAMAR U. Secure electronic medical records storage and sharing using blockchain technology［J］. Procedia Computer Science， 2020， 174： 321-327.

[8] AZARIA A， EKBLAW A， VIEIRA T， et al. MedRec： using blockchain for medical data access and permission management［C］// Proceedings of the 2nd International Conference on Open and Big Data. Washington， DC： IEEE Computer Society， 2016： 25-30.

[9] YUE X， WANG H， JIN D， et al. Healthcare data gateways： found healthcare intelligence on blockchain with novel privacy risk control［J］. Journal of Medical Systems， 2016， 40（10）： 1-8.

[10] BAEK J， SAFAVI-NAINI R， SUSILO W. Universal designated verifier signature proof （or how to efficiently prove knowledge of a signature）［C］// Proceedings of the 11th International Conference on the Theory and Application of Cryptology and Information Security， LNSC 3788. Berlin： Springer， 2005： 644-661.

[11] CHEN X， CHEN G， ZHANG F， et al. Identity-based universal designated verifier signature proof system［J］. International Journal of Network Security， 2009， 8（1）： 52-58.

[12] ABBASINEZHAD-MOOD D， NIKOOGHADAM M. An anonymous ecc-based self-certified key distribution scheme for the smart grid［J］. IEEE Transactions on Industrial Electronics， 2018， 65（10）： 7996-8004.

[13] STEINFELD R， BULL L， WANG H， et al. Universal designated-verifier signatures［C］// Proceedings of the 9th International Conference on the Theory and Application of Cryptology and Information Security， LNCS 2894. Berlin： Springer， 2003： 523-542.

[14] ZHANG R， FURUKAWA J， IMAI H. Short signature and universal designated verifier signature without random oracles［C］// Proceedings of the 3rd International Conference on Applied Cryptography and Network Security， LNSC 3531. Cham： Springer， 2005： 483-498.

[15] HUANG X， SUSILO W， MU Y， et al. Secure universal designated verifier signature without random oracles［J］. International Journal of Information Security， 2008， 7（3）： 171-183.

[16] LIN H Y. Secure universal designated verifier signature and its variant for privacy protection［J］. Information Technology and Control， 2013， 42（3）： 268-276.

[17] RASTEGARI P， BERENJKOUB M， DAKHILALIAN M， et al. Universal designated verifier signature scheme with non-delegatability in the standard model［J］. Information Sciences， 2019， 479： 321-334.

[18] SEO S H， HWANG J Y， CHOI K Y， et al. Identity-based universal designated multi-verifiers signature schemes［J］. Computer Standards & Interfaces， 2008， 30（5）： 288-295.

[19] CAO F， CAO Z. An identity based universal designated verifier signature scheme secure in the standard model［J］. Journal of Systems and Software， 2009， 82（4）： 643-649.

[20] CHANG T Y. An ID-based multi-signer universal designated multi-verifier signature scheme［J］. Information and Computation， 2011， 209（7）： 1007-1015.

[21] HOU S， HUANG X， LIU J K， et al. Universal designated verifier transitive signatures for graph-based big data［J］. Information Sciences， 2015， 318： 144-156.

[22] LIN C， WU W， HUANG X， et al. A new universal designated verifier transitive signature scheme for big graph data［J］. Journal of Computer and System Sciences， 2017， 83（1）： 73-83.

[23] WANG M， ZHANG Y， Ma J， et al. A universal designated multi verifiers content extraction signature scheme［J］. International Journal of Computational Science and Engineering， 2020， 21（1）： 49-59.

[24] METTLER M. Blockchain technology in healthcare： the revolution starts here［C］// Proceedings of the 18th International Conference on E-health Networking， Applications and Services. Piscataway： IEEE， 2016： 1-3.

[25] ROEHRS A， DA COSTA C A， DA ROSA RIGHI R. OmniPHR： a distributed architecture model to integrate personal health records［J］. Journal of Biomedical Informatics， 2017， 71： 70-81.

[26] 薛騰飛，傅群超，王樅，等. 基于區(qū)塊鏈的醫(yī)療數(shù)據(jù)共享模型研究［J］. 自動化學(xué)報，2017， 43（9）： 1555-1562.（XUE T F， FU Q C， WANG C， et al. A medical data sharing model via blockchain［J］. Acta Automatica Sinica， 2017， 43（9）： 1555-1562.）

[27] WU S， DU J. Electronic medical record security sharing model based on blockchain［C］// Proceedings of the 3rd International Conference on Cryptography， Security and Privacy. New York： ACM， 2019： 13-17.

[28] LI L，YUE Z， WU G. Electronic medical record sharing system based on hyperledger fabric and interplanetary file system［C］// Proceedings of the 5th International Conference on Compute and Data Analysis. New York： ACM， 2021： 149-154.

[29] ZHANG Z， YANG K， ZHANG J， et al. Security of the SM2 signature scheme against generalized key substitution attacks［C］// Proceedings of the 2nd International Conference on Research in Security Standardisation， LNSC 9497. Cham： Springer， 2015： 140-153.

Blockchain?based electronic medical record secure sharing

LIN Chao1， HE Debiao2*， HUANG Xinyi1

（1，，350117，；2，，430072，）

To solve various issues faced by Electronic Medical Record （EMR） sharing， such as centralized data provider， passive patient data management， low interoperability efficiency and malicious dissemination， a blockchain-based EMR secure sharing method was proposed. Firstly， a more secure and efficient Universal Designated Verifier Signature Proof （UDVSP） scheme based on the commercial cryptography SM2 digital signature algorithm was proposed. Then， a smart contract with functionalities of uploading， verification， retrieval and revocation was designed， and a blockchain-based EMR secure sharing system was constructed. Finally， the feasibilities of UDVSP scheme and sharing system were demonstrated through security analysis and performance analysis. The security analysis shows that the proposed UDVSP is probably secure. The performance analysis shows that compared with existing UDVSP/UDVS schemes， the proposed UDVSP scheme saves the computation cost at least 87.42% and communication overhead at least 93.75%. The prototype of blockchain smart contract further demonstrates the security and efficiency of the sharing system.

Electronic Medical Record (EMR); blockchain; SM2 digital signature algorithm; universal designated verifier signature proof; data sharing

This work is partially supported by National Natural Science Foundation of China （62102089）， Fundamental Research Funds for Central Universities （2042021kf1030）.

LIN Chao， born in 1991， Ph. D.， lecturer. His research interests include applied cryptography， blockchain.

HE Debiao， born in 1980， Ph. D.， professor. His research interests include applied cryptography， cryptographic protocol， cloud computing security.

HUANG Xinyi， born in 1981， Ph. D.， professor. His research interests include applied cryptography， network security.

1001-9081（2022）11-3465-08

10.11772/j.issn.1001-9081.2021111895

2021?11?09；

2021?12?18；

2022?01?05。

國家自然科學(xué)基金資助項(xiàng)目（62102089）；中央高?；究蒲袠I(yè)務(wù)費(fèi)專項(xiàng)資金資助項(xiàng)目（2042021kf1030）。

TP309.2

A

林超（1991—），男，福建平和人，講師，博士，CCF會員，主要研究方向：應(yīng)用密碼學(xué)、區(qū)塊鏈；何德彪（1980—），男，山東聊城人，教授，博士，CCF會員，主要研究方向：應(yīng)用密碼學(xué)、安全協(xié)議、云計算安全；黃欣沂（1981—），男，江蘇儀征人，教授，博士，CCF會員，主要研究方向：應(yīng)用密碼學(xué)、網(wǎng)絡(luò)安全。