實(shí)用拜占庭容錯共識算法在醫(yī)療信息泄露防控及共享中的研究與應(yīng)用

陳 潔

(南京醫(yī)科大學(xué) 附屬無錫人民醫(yī)院，江蘇 無錫 214023)

0 引言

病歷是患者在醫(yī)療機(jī)構(gòu)就診后所形成的一份書面記錄，是醫(yī)生為患者做出診斷的重要依據(jù)[1-3]。信息發(fā)展推動著傳統(tǒng)紙質(zhì)病歷向線上電子病歷轉(zhuǎn)變，同時(shí)區(qū)塊鏈技術(shù)的應(yīng)用使得電子病歷的管理愈發(fā)容易，共享性更強(qiáng)[4-6]，同時(shí)泄露的風(fēng)險(xiǎn)也加大。Abbas A等人針對醫(yī)療信息泄露防控的問題，在對醫(yī)療系統(tǒng)進(jìn)行詳細(xì)分析的基礎(chǔ)上提出了有效的替代方案[7]。牛淑芬等人為了保障電子病歷共享中數(shù)據(jù)的安全性，在區(qū)塊鏈技術(shù)的基礎(chǔ)上提出了一種新的數(shù)據(jù)共享方案[8]。張劍等人針對電子病歷數(shù)據(jù)分享中的信息泄露、篡改等問題，在區(qū)塊鏈技術(shù)的基礎(chǔ)上構(gòu)建了電子病歷數(shù)據(jù)存儲的系統(tǒng)[9]。區(qū)塊鏈技術(shù)的出現(xiàn)，很好地解決了傳統(tǒng)模式下因互不信任而導(dǎo)致的合作難題。而從這一點(diǎn)上來看，區(qū)塊鏈技術(shù)的作用是顯而易見的。隨著區(qū)塊鏈技術(shù)的不斷發(fā)展和廣泛應(yīng)用，其在電子醫(yī)療檔案管理方面也得到了廣泛的應(yīng)用。利用區(qū)塊鏈技術(shù)的數(shù)據(jù)不可更改、去中心化等特點(diǎn)來管理電子病歷具備各種優(yōu)點(diǎn)。與傳統(tǒng)的電子病歷管理系統(tǒng)相比，其優(yōu)勢在于病歷更加容易管理、電子病歷存檔更加安全可靠且更容易實(shí)現(xiàn)共享，從而在保證醫(yī)療信息共享安全性以及患者隱私性具備有效性。盡管當(dāng)前，區(qū)塊鏈技術(shù)已經(jīng)取得了較大的進(jìn)展，但還有許多問題有待于進(jìn)一步研究和完善。并且，當(dāng)前應(yīng)用區(qū)塊鏈技術(shù)的電子病歷在多客戶端數(shù)據(jù)共享上仍然存在醫(yī)療信息泄露的問題，同時(shí)傳統(tǒng)意義上的共識算法的抗攻擊預(yù)測能力明顯不足?；诖?，針對以往共識算法的缺陷，研究在實(shí)用拜占庭容錯算法(PBFT，practical byzantine fault tolerance)的基礎(chǔ)上引入抵抗預(yù)測攻擊(anti-forecast)機(jī)制，提出了afBFT共識算法。其目的是有效保證醫(yī)療信息共享的安全性并保護(hù)患者的隱私，同時(shí)也有效加強(qiáng)患者醫(yī)療信息在多客戶端中的共享性，以此為提升醫(yī)療技術(shù)的發(fā)展提供幫助。

1 afBFT共識算法整體設(shè)計(jì)

針對醫(yī)療數(shù)據(jù)中的電子病歷在多客戶端信息共享中的困難與隱私安全性問題，研究在PBFT的基礎(chǔ)上引入anti-forecast機(jī)制，提出了afBFT共識算法。共識算法中的共識指的是在一個(gè)更加分布式的非中心化點(diǎn)到點(diǎn)網(wǎng)絡(luò)中，網(wǎng)絡(luò)中的所有節(jié)點(diǎn)都可以在沒有任何非信任第三方的幫助下達(dá)到一致[10-12]。在區(qū)塊鏈網(wǎng)絡(luò)中，隨著節(jié)點(diǎn)數(shù)量的減少和分散性的降低，安全問題也會隨之增加。隨著網(wǎng)絡(luò)中節(jié)點(diǎn)數(shù)量的增加和分散，單個(gè)節(jié)點(diǎn)所擁有的唯一決策權(quán)力變得更少，這也會導(dǎo)致系統(tǒng)性能下降[13-15]?；诜植际剿枷氲囊恢滦运惴镻2P網(wǎng)絡(luò)中節(jié)點(diǎn)間的互信提供了一種有效的解決方案。研究選擇了目前作為主流的PBFT共識算法作為基礎(chǔ)算法。

在實(shí)際的網(wǎng)絡(luò)共識過程中，傳統(tǒng)的BFT算法在處理交易數(shù)據(jù)時(shí)性能較弱，因此為了解決該問題對其進(jìn)行改進(jìn)就得到了PBFT算法。PBFT共識算法通過對網(wǎng)絡(luò)中節(jié)點(diǎn)和視圖的標(biāo)號，使一致性網(wǎng)絡(luò)成為確定性網(wǎng)絡(luò)。同時(shí)，其引入了主節(jié)的概念，從而減少了系統(tǒng)的通信開銷，并提高了一致性對交易信息的處理效率[16-18]。其中，PBFT共識算法會在每一個(gè)視圖中均存在一個(gè)副本節(jié)點(diǎn)，并且該節(jié)點(diǎn)會被視為主節(jié)點(diǎn)。因此，副本節(jié)點(diǎn)相應(yīng)表達(dá)如式(1)所示：

q=umodm

(1)

式(1)中，q表示副本節(jié)點(diǎn)的實(shí)際標(biāo)號；u表示目前視圖的標(biāo)號；m表示網(wǎng)絡(luò)中節(jié)點(diǎn)的實(shí)際數(shù)量。在PBFT共識算法的前期工作中，若副本節(jié)點(diǎn)沒有收到當(dāng)前主節(jié)點(diǎn)的相關(guān)信息，或發(fā)現(xiàn)當(dāng)前主節(jié)點(diǎn)有欺詐行為，就會向另一個(gè)主節(jié)點(diǎn)發(fā)出請求，要求切換視圖。該過程的計(jì)算表達(dá)如式(2)所示：

q=(u+1)modm

(2)

在PBFT共識算法的視圖切換期間，因?yàn)闆]有一個(gè)能夠?qū)蛻舭l(fā)出的交易要求做出反應(yīng)，因此此時(shí)網(wǎng)絡(luò)對于交易要求的處理能力是0。與此同時(shí)，在視角切換期間，還會產(chǎn)生更多的數(shù)據(jù)流量。所以，視角切換會極大地影響一致性網(wǎng)絡(luò)的整體性能，同時(shí)，增加的數(shù)據(jù)流量也會給整個(gè)一致性網(wǎng)絡(luò)帶來很大的壓力。另外，在主節(jié)點(diǎn)選擇的實(shí)際過程中，如果其存在一定的順序，預(yù)測性的攻擊就難以被規(guī)避，以此產(chǎn)生不必要的安全風(fēng)險(xiǎn)[19-20]。因此，為了解決該問題研究提出的afBFT共識算法。afBFT共識算法集成了智能合約(Fabric)中PBFT公式算法的相關(guān)協(xié)議，并將主節(jié)點(diǎn)的選擇過程進(jìn)行了無序化處理。其流程如圖1所示。

從圖1中可以看出，afBFT共識算法流程中首先是客戶端將相應(yīng)的交易請求發(fā)送給等待打包的交易池，同時(shí)智能合約進(jìn)行相應(yīng)的投票以選擇出主節(jié)點(diǎn)的備選節(jié)點(diǎn)和候補(bǔ)的節(jié)點(diǎn)。其次主節(jié)點(diǎn)的備選節(jié)點(diǎn)進(jìn)行對應(yīng)的主節(jié)點(diǎn)共識操作，如果共識失敗則重新進(jìn)行共識，如果共識成功則將PBFT共識算法的一致性協(xié)議進(jìn)行打包交易。最后開始判定出塊是否正確，如果不是則實(shí)行懲罰措施重新進(jìn)行共識，如果是則獲得相應(yīng)的出塊獎勵并結(jié)束流程。afBFT共識算法確保主節(jié)點(diǎn)在共識選擇出來之前的不可預(yù)測性，以此可以對預(yù)先攻擊進(jìn)行規(guī)避。同時(shí)，等待打包的交易池也有效增加了電子病歷系統(tǒng)的并行性，從而主節(jié)點(diǎn)無論處于哪種狀態(tài)下，區(qū)塊鏈網(wǎng)絡(luò)都可以接收到實(shí)際交易請求。在獎懲機(jī)制中，將由節(jié)點(diǎn)出塊所產(chǎn)生的挖礦獎勵一次性支付給節(jié)點(diǎn)，而變成在連續(xù)的6個(gè)區(qū)塊中每次給予該區(qū)塊鑄造獎勵的1/6，以此減少主節(jié)點(diǎn)作惡所造成的損失。

從圖1的afBFT共識算法流程可以看出，其為主節(jié)點(diǎn)提供了不可被預(yù)測的方案，而在其共識的階段中，網(wǎng)絡(luò)中的實(shí)際節(jié)點(diǎn)被劃分了主節(jié)點(diǎn)的備選節(jié)點(diǎn)、候補(bǔ)節(jié)點(diǎn)以及一般的節(jié)點(diǎn)，分別用A、B、C來表示。在實(shí)際的網(wǎng)絡(luò)中，由于每一個(gè)節(jié)點(diǎn)真實(shí)的網(wǎng)絡(luò)帶寬不一定是一致的，因此造成網(wǎng)絡(luò)上的信息量是有限的。同時(shí)因?yàn)閍fBFT算法中添加了一個(gè)主節(jié)點(diǎn)的一致階段，所以通信量比PBFT稍大一些。節(jié)點(diǎn)的網(wǎng)絡(luò)帶寬必須足夠大，從而能夠在最后一個(gè)區(qū)塊上對整個(gè)網(wǎng)絡(luò)進(jìn)行廣播確認(rèn)。其中，研究最低的網(wǎng)絡(luò)帶寬表達(dá)如式(3)～(6)所示：

D=fh×T2+bl×T+CP+s

(3)

式(3)中，D表示網(wǎng)絡(luò)帶寬的實(shí)際最小值；fh表示轉(zhuǎn)發(fā)哈希的實(shí)際大小；T表示主節(jié)點(diǎn)的實(shí)際數(shù)目；bl表示進(jìn)行相應(yīng)打包操作后的一個(gè)區(qū)塊的實(shí)際大?。籆P表示一致性協(xié)議中實(shí)際產(chǎn)出的通信總量；s表示一般節(jié)點(diǎn)進(jìn)行投票操作后生成的備選的主節(jié)點(diǎn)產(chǎn)生的通信總量。

CP=bl×T+(pr+v)×T2

(4)

式(4)中，pr表示準(zhǔn)備階段中節(jié)點(diǎn)廣播進(jìn)行確認(rèn)的消息的實(shí)際大??；v表示確認(rèn)階段節(jié)點(diǎn)廣播進(jìn)行確認(rèn)的消息的實(shí)際大小。

W=γ×t

(5)

式(5)中，W表示一個(gè)區(qū)塊進(jìn)行打包時(shí)的實(shí)際交易數(shù)目；γ表示每秒可以打包的交易的實(shí)際數(shù)目；t表示前一個(gè)區(qū)塊處于主節(jié)點(diǎn)共識階段的時(shí)間與當(dāng)前處于主節(jié)點(diǎn)共識階段的時(shí)間之間存在的時(shí)間差。

(6)

式(6)中，he表示區(qū)塊頭的實(shí)際大小；λ表示一條交易相關(guān)信息的實(shí)際大小。依據(jù)式(3)至式(6)可以看出，T的大小直接決定著網(wǎng)絡(luò)中的最小帶寬，將其設(shè)置過小會帶來較為嚴(yán)重的醫(yī)療信息泄露等問題，這違背了afBFT共識算法設(shè)計(jì)的初衷，而如果將其設(shè)置過大，則會使得網(wǎng)絡(luò)中的實(shí)際通信量不斷增大，以此造成不必要的網(wǎng)路擁堵問題。因此研究利用仿真計(jì)算將節(jié)點(diǎn)數(shù)目設(shè)定為19，以此保證產(chǎn)生的通信總量僅占整個(gè)網(wǎng)絡(luò)帶寬的35～40%之間。在afBFT共識算法中，研究加入了一種懲罰機(jī)制來避免主節(jié)點(diǎn)與多個(gè)C節(jié)點(diǎn)串通一氣地使某個(gè)節(jié)點(diǎn)順利進(jìn)入主節(jié)點(diǎn)的備用節(jié)點(diǎn)隊(duì)列中作惡。在表決過程中，各節(jié)點(diǎn)均需提供相應(yīng)的通證。如果主節(jié)點(diǎn)被發(fā)現(xiàn)作惡，那么這個(gè)主節(jié)點(diǎn)和那些投票給這個(gè)節(jié)點(diǎn)的C節(jié)點(diǎn)將會被扣掉通證，這將使其所付出的成本遠(yuǎn)高于所得到的收益，進(jìn)而降低了其作惡的概率。懲罰措施的流程如圖2所示。

圖2 懲罰措施的流程示意圖

從圖2中可以看出，afBFT共識算法懲罰措施流程中首先判斷主節(jié)點(diǎn)是否實(shí)施作惡，如果沒有則結(jié)束流程。如果有則將該作惡的節(jié)點(diǎn)剔除出主節(jié)點(diǎn)的備選隊(duì)列中。其次將主節(jié)點(diǎn)以及進(jìn)行表決的C節(jié)點(diǎn)的通證進(jìn)行扣除，并確保之后的20個(gè)塊中其不能進(jìn)行參與。最后進(jìn)行主節(jié)點(diǎn)的共識操作以選擇出新的主節(jié)點(diǎn)并結(jié)束流程。afBFT共識算法表決過程中，每一個(gè)節(jié)點(diǎn)都要支付一定的抵押額，每一個(gè)被選為“ON”和“SN”的節(jié)點(diǎn)都會被記錄下來。如果當(dāng)前的主節(jié)點(diǎn)被發(fā)現(xiàn)作惡，那么這個(gè)主節(jié)點(diǎn)與其所票的其他節(jié)點(diǎn)將會被扣掉通證，這將使其所付出的成本遠(yuǎn)高于所得到的收益，進(jìn)而降低了其所能產(chǎn)生的收益。

在afBFT的共識算法中，盡管節(jié)點(diǎn)的公鑰是可共享的，但在協(xié)議產(chǎn)生階段，網(wǎng)絡(luò)中的所有節(jié)點(diǎn)都是在協(xié)議產(chǎn)生階段通過哈希合成和轉(zhuǎn)發(fā)哈希加密，從而在協(xié)議產(chǎn)生前網(wǎng)絡(luò)中的其他節(jié)點(diǎn)都不知道被轉(zhuǎn)發(fā)哈希的節(jié)點(diǎn)是哪一個(gè)。此外，在使用afBFT共識算法選定出主節(jié)點(diǎn)之后，惡意節(jié)點(diǎn)無法預(yù)知下一次負(fù)責(zé)出塊的是哪一個(gè)節(jié)點(diǎn)，從而無法發(fā)起攻擊?；诖?，利用afBFT算法的多客戶端電子病歷信息管理與數(shù)據(jù)共享方案整體框架如圖3所示。

從圖3中可以看出，該方案主要包含線下的就診與線上的鏈接兩個(gè)部分。通過該方案可以有效實(shí)現(xiàn)醫(yī)療機(jī)構(gòu)之間電子病歷信息數(shù)據(jù)共享的安全性與真實(shí)性，并加強(qiáng)了醫(yī)療信息泄露防控，從而保證了患者的隱私。另外，線下就診層和病案上鏈層相互合作，能夠?qū)崿F(xiàn)對電子病案進(jìn)行加密上鏈，在加強(qiáng)醫(yī)療信息泄露防控的基礎(chǔ)上實(shí)現(xiàn)了不同的醫(yī)療機(jī)構(gòu)之間病案信息的共享。與此同時(shí)，因?yàn)椴捎昧薬fBFT共識算法，所以能夠有效地避免節(jié)點(diǎn)通過對其進(jìn)行預(yù)測攻擊，以此讓其選擇主節(jié)點(diǎn)，從而對病案信息進(jìn)行篡改。從總體上看，電子病案管理系統(tǒng)是保存病人病案資料的重要載體，其數(shù)據(jù)的真實(shí)性和正確性要求很高。同時(shí)，在電子醫(yī)療記錄系統(tǒng)中，醫(yī)療記錄的上載程序不需要實(shí)時(shí)，因而能夠容許一定程度的延時(shí)。而在所給出的方案中，研究所使用的afBFT共識算法，也是為了確保鏈上數(shù)據(jù)的真實(shí)性和可靠性而犧牲了一些實(shí)時(shí)性，將afBFT共識算法應(yīng)用到電子醫(yī)案管理系統(tǒng)中，完全能夠滿足系統(tǒng)的要求。

另外，afBFT共識算法在實(shí)際的公式過程中，由于其面向多客戶端，因此在每次共識結(jié)束后均會進(jìn)行一次多對多的通信進(jìn)入新的視圖之中。因此，afBFT共識算法在實(shí)際的共識過程中，交互式通信量的計(jì)算表達(dá)如式(7)所示：

ξa=l2M2+3lm-4

(7)

式(7)中，ξa表示afBFT共識算法實(shí)際共識過程中的交互式通信總量。lm表示加入共識的節(jié)點(diǎn)。而其與原始的PBFT算法通信開銷對比表達(dá)如式(8)所示：

(8)

式(8)中，X為原始PBFT算法與afBFT算法通信開銷之比；ξp表示PBFT算法的通信開銷。同時(shí)，在進(jìn)行時(shí)延分析時(shí)，afBFT共識算法拜占庭可容忍的最大數(shù)量表達(dá)如式(9)所示：

(9)

式(9)中，g為afBFT共識算法拜占庭可容忍的最大數(shù)量。由于研究的共識算法利用了區(qū)塊鏈技術(shù)，因此需要在實(shí)際的應(yīng)用方案中進(jìn)行驗(yàn)證。區(qū)塊鏈?zhǔn)且环N新型的計(jì)算機(jī)技術(shù)，包括分布式數(shù)據(jù)存儲，點(diǎn)對點(diǎn)傳輸，共識機(jī)制，加密算法等。在區(qū)塊鏈中，區(qū)塊是由上一個(gè)區(qū)塊的哈希值所連接起來的，并由創(chuàng)世區(qū)塊與最近的一個(gè)區(qū)塊相連接而成的一條鏈，一旦被寫進(jìn)去，就難以更改或刪除。實(shí)際的區(qū)塊鏈系統(tǒng)具備去中心化、難以篡改、匿名以及開放性等特點(diǎn)，在區(qū)塊鏈技術(shù)中，智能合約是在一個(gè)重要的概念，研究提出的方案便是利用此概念構(gòu)建的。

2 afBFT算法在醫(yī)療信息泄露防控及共享方案中的應(yīng)用實(shí)驗(yàn)

為了驗(yàn)證afBFT算法在醫(yī)療信息泄露防控及共享方案中應(yīng)用時(shí)的安全性，研究利用模擬實(shí)驗(yàn)對其進(jìn)行了驗(yàn)證，并在南京醫(yī)科大學(xué)附屬無錫人民醫(yī)院進(jìn)行了實(shí)際應(yīng)用。實(shí)驗(yàn)環(huán)境中4個(gè)服務(wù)器均采用同樣的中央處理器、內(nèi)存容量以及操作系統(tǒng)，除服務(wù)器2硬盤1 TB外，其余均為500 GB。同時(shí)，研究引入傳統(tǒng)的PBFT共識算法和在PBFT基礎(chǔ)上構(gòu)建的可插拔共識算法(CPBFT，Pluggable Consensus based on pbft)作為對比算法。其中，在正常的系統(tǒng)環(huán)境中，3種算法均對100個(gè)包含區(qū)塊頭的空塊進(jìn)行打包，同時(shí)做50次實(shí)驗(yàn)，最后得到實(shí)際通信量的平均值與出塊時(shí)間，其結(jié)果如圖4所示。

圖4 不同算法的平均通信量與出塊時(shí)間平均值對比結(jié)果

綜合圖4中可以看出，通過對50次實(shí)驗(yàn)的數(shù)據(jù)統(tǒng)計(jì)后，PBFT共識算法、CPBFT共識算法以及afBFT共識算法每秒通信量的平均值分別達(dá)到3.04千字節(jié)、3.04和3.47千字節(jié)。同時(shí)，因?yàn)镻FBT具有較高的出塊速度，因此對其改進(jìn)后得到的afBFT算法可以將全局一致性的時(shí)間控制在2.4 s左右來確保系統(tǒng)的性能。綜合來看，在連續(xù)運(yùn)行時(shí)，CPBFT算法和PBFT算法的通信量的平均值十分相近，而afBFT共識算法的通信量平均值比PBFT算法高14.1%左右。在afBFT共識算法中加入了主節(jié)點(diǎn)的一致性，使得在一致性過程中，需要進(jìn)行更多的廣播，以此使通信量有所增加。盡管在執(zhí)行時(shí)，afBFT共識算法的通信量很大，但實(shí)際通信量仍然在可以接受的范圍之內(nèi)。

另外，CPBFT共識算法每個(gè)節(jié)點(diǎn)的可信度都是按照其信譽(yù)度相關(guān)系數(shù)來進(jìn)行的，這就導(dǎo)致第一個(gè)區(qū)塊的出塊時(shí)間比較長。在afBFT算法中，節(jié)點(diǎn)必須首先對智能契約進(jìn)行表決，然后再選擇一個(gè)替代的主結(jié)點(diǎn)，這會導(dǎo)致算法耗時(shí)很長。PBFT和CPBFT平均出塊時(shí)間分別為1.65 s和1.7 s，而在afBFT共識算法中，因?yàn)槊總€(gè)節(jié)點(diǎn)在最初的階段都要對智能合約進(jìn)行表決，所以第一個(gè)區(qū)塊的出塊時(shí)間會比較長。在選擇了主節(jié)點(diǎn)備選隊(duì)列之后，在主節(jié)點(diǎn)選擇、普通節(jié)點(diǎn)投票以及備選節(jié)點(diǎn)進(jìn)入主節(jié)點(diǎn)備選隊(duì)列都是同步進(jìn)行的，所以后續(xù)出塊時(shí)間可基本穩(wěn)定在2.4 s。在受到預(yù)測攻擊環(huán)境中，研究仿真模擬攻擊者早上7點(diǎn)開始進(jìn)行預(yù)測性攻擊，12點(diǎn)結(jié)束攻擊。因此，其通信量對別結(jié)果如圖5所示。

圖5 受到預(yù)測攻擊環(huán)境中不同算法的對比結(jié)果

綜合圖5可以看出，PBFT與CPBFT算法的視窗切換策略利用了A節(jié)點(diǎn)偵測到當(dāng)前主節(jié)點(diǎn)的脫機(jī)情況，從而增加了視窗切換的通信量。同時(shí)因?yàn)橹鞴?jié)點(diǎn)和編號在當(dāng)前主節(jié)點(diǎn)之后的5個(gè)節(jié)點(diǎn)都是脫線的，因此系統(tǒng)將會接連觸發(fā)五次超時(shí)，并接連發(fā)起五次視圖切換請求。afBFT共識算法中，如果當(dāng)前的主節(jié)點(diǎn)因?yàn)槭艿搅藧阂夤?jié)點(diǎn)的攻擊而處于脫機(jī)狀態(tài)，則必須重新運(yùn)行主節(jié)點(diǎn)一致性來選擇新的主節(jié)點(diǎn)。因此在剛剛被攻破的區(qū)域，信息流是最多的。但是，因?yàn)檫@種預(yù)測攻擊是一種固定的攻擊方式，所以不會對afBFT共識算法的后續(xù)出塊通信量產(chǎn)生影響。

另外，在受到預(yù)測攻擊的情況下，afBFT共識算法的出塊時(shí)間大致維持在2.5 s，而PBFT算法和CPBFT算法在7點(diǎn)至11點(diǎn)之間時(shí)出塊時(shí)間為0，其余時(shí)間出塊時(shí)間平均值為1.7 s左右。同時(shí)，CPBFT和PBFT公式算法均無法在受到預(yù)測攻擊的時(shí)間段內(nèi)進(jìn)行打包交易。而 afBFT共識算法，則是在第一次被預(yù)測攻擊時(shí)，將主結(jié)點(diǎn)脫機(jī)來使系統(tǒng)恢復(fù)到主節(jié)點(diǎn)的一致性。因此在第一個(gè)被攻擊的區(qū)塊上，每一個(gè)被攻擊的區(qū)塊，都會花費(fèi)更多的時(shí)間。但是從實(shí)驗(yàn)的結(jié)果來看，預(yù)測攻擊并沒有對afBFT共識算法的后續(xù)分塊造成任何影響。綜合圖4和圖5來看，在正常工作狀態(tài)下，afBFT共識算法數(shù)據(jù)傳輸速率稍有增大，但在受到攻擊時(shí)具有較好的穩(wěn)定性。與PBFT和CPBFT相比，afBFT共識算法的出塊時(shí)間沒有明顯的變化。因此afBFT共識算法在某種程度上具備了對預(yù)測攻擊的抵抗能力，并且在遇到預(yù)測攻擊時(shí)，其穩(wěn)定性和安全性都要高得多，即在醫(yī)療信息防控上具備較高的性能。為了進(jìn)一步驗(yàn)證afBFT共識算法的優(yōu)越性，研究對比3種算法在不同節(jié)點(diǎn)下的時(shí)延與吞吐量，其結(jié)果如圖6所示。

圖6 3種算法在不同節(jié)點(diǎn)下的時(shí)延與吞吐量

綜合圖6可以看出，afBFT共識算法的時(shí)延遠(yuǎn)遠(yuǎn)低于對比算法，在實(shí)驗(yàn)節(jié)點(diǎn)中最高為3 150 ms，僅為PBFT算法的一半。另外，其吞吐量也遠(yuǎn)遠(yuǎn)大于對比算法。綜合來看，研究提出的afBFT共識算法無論是時(shí)延還是吞吐量上都具備較高的性能?；诖耍芯繉⑵鋺?yīng)用到實(shí)際的醫(yī)療信息泄露防控及共享方案中，得到的數(shù)據(jù)加密與搜索成本結(jié)果如圖7所示。

圖7 基于afBFT共識算法的方案數(shù)據(jù)加密與搜索成本結(jié)果

綜合圖7可以看出，數(shù)據(jù)對數(shù)量的不斷增加促使加密和搜索過程的消耗逐漸變大，但所需要的時(shí)間一直都在較低的范圍內(nèi)，其中加密時(shí)間維持在350 ms內(nèi)，而搜索時(shí)間維持在140 ms內(nèi)。綜合來看，運(yùn)用afBFT共識算法后的方案在加密和搜索過程中擁有較低的時(shí)延，表明了方案在實(shí)際應(yīng)用中可以及時(shí)進(jìn)行數(shù)據(jù)加密和搜索，具有一定的可行性。同時(shí)也表明了afBFT共識算法在醫(yī)療信息泄露防控及共享方案中的應(yīng)用對數(shù)據(jù)的安全性保證與患者的隱私性保護(hù)上具備有效性。為了進(jìn)一步驗(yàn)證利用區(qū)塊鏈技術(shù)與afBFT共識算法構(gòu)建的方案的有效性，研究在實(shí)際應(yīng)用中將其應(yīng)用到系統(tǒng)中，以此驗(yàn)證數(shù)據(jù)上鏈的性能和耗時(shí)，實(shí)驗(yàn)訪問用戶為100個(gè)。其結(jié)果如表1所示。

表1 研究方案在系統(tǒng)應(yīng)用下的性能

表1中，1～5分別表示請求的實(shí)際數(shù)量、響應(yīng)時(shí)間的平均值、最小值、最大值以及吞吐量；A和B表示數(shù)據(jù)的上鏈和查詢接口。6～8表示50%～95%的用戶。從表1中可以看出，數(shù)據(jù)上鏈與查詢接口的平均響應(yīng)時(shí)間分別為2 120 ms和1 020 ms，同時(shí)95%永華下分別為3 600 ms與2 000 ms，基本滿足需求。

3 結(jié)束語

為了解決醫(yī)療信息泄露防控及共享方案中的安全性與隱私性等的問題，研究在PBFT共識算法的基礎(chǔ)上引入anti-forecast，提出了afBFT共識算法，并利用實(shí)驗(yàn)對其有效性進(jìn)行驗(yàn)證。實(shí)驗(yàn)結(jié)果表明，在正常無攻擊的情況中，PBFT共識算法、 CPBFT共識算法以及afBFT共識算法每秒通信量的平均值分別達(dá)到3.04千字節(jié)、3.04和3.47千字節(jié)。PBFT一致性和CPBFT平均出塊時(shí)間分別為1.65 s和1.7 s。而在afBFT共識算法中第一個(gè)區(qū)塊的出塊時(shí)間會比較長，基本穩(wěn)定為2.4 s。同時(shí)，afBFT共識算法的時(shí)延遠(yuǎn)遠(yuǎn)低于對比算法，在實(shí)驗(yàn)節(jié)點(diǎn)中最高為3 150 ms，僅為PBFT算法的一半，而吞吐量遠(yuǎn)遠(yuǎn)大于對比算法，并且將其應(yīng)用在實(shí)際方案中使得方案的數(shù)據(jù)加密與搜索時(shí)間分別維持在350 ms與140 ms內(nèi)，具備較高的可行性。實(shí)際應(yīng)用中，數(shù)據(jù)上鏈與查詢接口的平均響應(yīng)時(shí)間分別為2 120 ms和1 020 ms。綜合來看，研究提出的afBFT共識算法在保證系統(tǒng)穩(wěn)定上具備高性能，即在醫(yī)療信息泄露防控及共享方案中的應(yīng)用具備較高的實(shí)用性，同時(shí)在數(shù)據(jù)的安全性保證與患者的隱私性保護(hù)上具備較高的有效性。但是，afBFT共識算法的主節(jié)點(diǎn)共識工程比較繁雜，由此造成通信量的不斷增長，因此后續(xù)需要進(jìn)行優(yōu)化。