朱一新，徐挺玉

（南京医科大学第一附属医院（江苏省人民医院）信息处，江苏 南京 210029）

0 引言

重症监护病房（Intensive Care Unit，ICU）是以救治急危重病人为中心的精确诊疗医疗单元。通过现代化的医疗监护仪器设备，可以全面、深入、系统地观察和分析患者病情，并提供给医护人员及时、有效的决策数据。重症监护病房医护人员的医疗水平、监护仪器设备的配置状况，已成为衡量一所现代化医院急救医疗水平的重要标准。将ICU 病房内各类医疗设备联网，建设数据交互与协同医疗管理平台，可以更加高效地获取患者及设备相关数据，实现信息集成，加快院内信息互联互通，通过对监护数据的预防性监测降低临床风险和不良事件。

ICU 病房中医疗设备产生的海量的监护数据具有其特殊的敏感性和重要性，医疗数据安全不仅关系到患者的个人隐私、重症监护行业发展，甚至关系到国家安全。当前情况下，基于监护数据的安全保护技术引起了人们的重视。随着区块链技术的发展，通过数据层非对称加密、网络层P2P 协议、共识层各类共识算法等，解决了数据的可信问题[1]。通过应用区块链技术，无需第三方可信机构介入，解决了由中心化模型产生的安全问题[2-3]。

利用区块链的这些特性，可以将监护数据以数字签名的方式进行标记保存，实现监护数据的安全性、可追溯性。随着学者对区块链的研究，以太坊的概念在2013 年被提出来，标志着区块链2.0 时代的到来，智能合约层的提出使区块链技术能够扩展和应用到各大领域[4-6]。黄铭钧等提出区块链框架概念和高效存储引擎，并用于收集医疗数据、给出预测性健康报告等。Gem 公司基于区块链技术，进行医疗供应链管理，提高了患者访问控制的安全性。PokitDok 公司提出了DokChain 医疗区块链，用于对医疗领域的财务数据和临床数据的交易处理。2015年，区块链技术从金融领域扩展到医疗、物联网领域。Chronicled 公司为医疗供应链和物联网客户构建基于区块链技术的应用，实现从医疗设备、制药到包裹追踪的一系列应用。

本文主要从ICU 监护数据交互平台与医院协同管理平台（下文简称为数据交互管理平台）建设需求、基于联盟链的数据交互管理平台的存储和访问、基于联盟链的数据交互管理平台安全认证与访问控制模型，这3 个方面来分析如何运用区块链技术实现ICU 监护数据交互平台与医院协同管理平台的建设和应用。

1 基于ICU 监护数据管理平台建设需求

当前，虽然大多数ICU 病区已建设中央监护仪来记录患者监护数据，但呼吸机、输液泵、心电监护仪、血透机、血压计等设备数据仍为单机版，并没有一个用于数据记录、集成交互的平台，仍需要人工进行测量和录入工作，这增加了医护人员的工作，且无法保证监护数据的真实性和准确性。同时由于发生医疗行为的地点相对分散，导致数据记录方式相对局限，患者临床信息分散，无法将患者完整的监护数据记录到系统中，存在信息碎片化现象，因此需要一个可以全方面、高效率获取患者监护信息的综合管理平台。

随着大数据时代的到来，医疗数据安全问题会日趋严重[7]，如何建设传输和存储安全的数据交互管理平台是保护患者监护数据的重要的部分[8]。与此同时，为打破信息孤岛，各系统、各医疗部门、各医联体、各卫生管理部门间均需要进行医疗数据的信息共享，而当前大多数的数据交互管理平台主要是中心化存储方式，并且由于数据储存的标准与系统不同，导致实现系统间互联互通需要花费大量的时间和精力进行改造。医疗数据的完整性和可用性是顺利开展医疗行为的基本保证[9]，卫生管理机构、医疗机构、医疗人员和患者都迫切需要一种能够在各医院之间实现医疗信息共享,并且能够保证患者信息不会泄露的数据交互管理平台。

同时，在建设ICU 监护数据交互管理平台时，需要考虑到：ICU 监护设备往往计算和存储能力较弱，甚至有些监护设备的传感器节点没有存储和计算能力，要如何进行授权决策管理问题；监护设备数量较多，种类各不相同，其产生的数据格式也不一致的问题；如血透机、呼吸机等监护设备往往价格较高，存在多个床位使用同一台设备的情况，从而需要考虑监护设备的移动性和动态接入问题。

区块链可以根据参与者的不同，按照访问管理权限划分为公有链、联盟链和私有链。公有链的参与者或者参与节点可以自由进出网络，因此，公有链需要考虑网络中存在故障节点和作恶节点的情况；联盟链是指由若干机构联合发起且仅限于联盟机构参与的区块链，与公有链的区别在于联盟链的网络节点需要严格的认证和审核才能加入或退出。与公有链相比，网络节点数量较少,且节点间有相对程度的信任；私有链一般为私有机构自己组建，适用的场景一般不考虑存在作恶节点，只考虑因系统或网络原因导致的故障节点情况。区块链在医疗行业的应用，一般是一家或几家医疗机构、卫生管理机构或医联体间进行数据共享和互联互通，这些机构接受政府监督与管理，具有严格的验证和审查。根据上述特点，本文建设基于联盟链的ICU 监护数据交互管理平台，基本架构如图1 所示。

图1 ICU 监护数据管理平台架构图

2 基于联盟链的数据交互管理平台存储

由于区块链自身具有不可篡改和隐私保护的特性，因此基于联盟链的数据交互管理平台的应用对ICU 监护设备访问控制提供了第三方的可信平台，为ICU 病房中所有涉及到物联网的相关监护设备提供访问控制的计算和存储能力。

建立一个基于ICU 监护数据管理平台的区块链，首先需要设计区块，一个区块包括头和区块体，区块头设计有：上一个区块ID、公钥、数字签名、默克尔树根哈希值、时间戳，还包括加密的交易单（个数或内容）、交易单ID。区块体主要保存监护数据、呼吸机数据、血压数据、透析数据、输血数据、心电数据、镇痛泵数据等，对数据进行哈希运算并形成默克尔树根哈希值，实现了安全性认知，提高了数据同步效率，解决了大数据量问题，实现了零知识证明。通过存储父区块实现区块与区块的关联，逻辑上将区块串成了链。此外，本项目设计增加了索引模块包括区块哈希值、区块数、交易ID、交易类型、分类索引、存储地址、数字签名、时间戳、公钥，从而方便快速定位区块，进行监护数据交互。

对数据进行加密与验证采用SHA256 哈希算法，数字签名采用RSA 数字签名算法，节点对传输的ICU 监护数据进行支付验证和交易验证，具体实现方式如：首先A 节点用私钥对其监护数据的哈希值进行签名，与监护数据一起传送给接收者B 节点，B节点对签名用公钥解密，并将监护数据进行哈希运算，比较两次数据是否相同，实现数据交互过程中防篡改问题，A 对信息进行了签名，同时也是无法抵赖的。

区块上链时，索引模块会记录该交易单ID、交易类型、不同分类交易单的索引、时间戳、数字签名和公钥，生成一张映射表，提高数据访问速度，其中交易单类型分为临床数据类、实体信息类、交互类的交易类型。区块链通过分布式架构，建立点对点的非集中架构的信任存储模式，以及账本结构的形式实现公开透明性和数据不可篡改性，最终实现中央存储方式到分布式存储方式的转换。在存储过程中，每个区块的数据都会序列成字节码的形式写入 dat 文件中，在写入数据的过程中，通过索引模块会生成区块和交易相关的元数据、数字签名、公钥、时间戳等信息，存储到数据库中。数据层结构图如图2 所示。

图2 ICU 监护数据管理平台数据层图

3 基于联盟链的数据交互管理平台建设

基于监护数据的医疗联盟链的节点，包括验证交易和区块正确性的验证器和生成器，节点采用Raft共识算法，主要分为领导节点、跟随节点、候选节点三种状态，按照时间顺序轮流做主节点，进行日志消息的记录与分发。当数据交互管理平台客户端发来请求时，领导节点并行发送消息给其他节点，当其他节点收到请求后验证区块的正确性，反馈给领导节点，并在下一个心跳中领导节点会通知所有其他节点更新确认区块链。

在本项目数据交互过程主要从设备采集客户端、数据交互管理客户端、消费客户端、区块节点进行。ICU 监护设备的采集程序主要是从呼吸机、监护仪、输液泵、血透机等设备中获取患者生命体征数据，设备采集器本身只进行监护数据的采集工作，上链生成的患者监护数据只有基本生命体征数据和相应仪器ID，即临床数据类信息。数据交互管理客户端可以增加、修改、更新患者身份信息和患者与监护设备关联关系信，该类信息定义为实体信息类。具体数据交互模式如下图所示。消费客户端主要是只从区块链中获取患者对应的监护数据，对消息进行访问，我们将客户端对区块链中数据进行访问的操作信息定义为交互类信息，记录并上链。项目采用标准规范化数据传输接口，不同客户端设置不同访问权限，产生的交易也为不同交易类型。通过对客户端进行安全认证，避免患者监护数据被窃取泄露。

最终达到的效果就是监护设备客户端上传数据至区块节点，区块leader 节点，生成一个区块发给各follower 节点，认证没有问题后，进行上链操作。同时数据管理平台可以进行数据的展示和第三方系统进行数据共享，最终实现通过区块链存储应用ICU监护管理中，进行患者生命体征全方位的监测。管理平台的数据交互模式如图3 所示。

图3 ICU 监护数据管理平台数据交互模式图

4 讨论

本文提出了基于联盟链的数据交互管理平台安全认证与协同调度模型中对交易单进行分类管理，包括临床数据类、实体信息类、交互类的交易类型，建设索引模块，有助于交互平台的可扩展性和可追溯性。采用了Raft 共识机制,能够保证以很小的算力来实现系统安全稳定的运行，且保障了系统的执行速度和系统吞吐量。该平台以较少的节点启动,有助于区块链技术在医疗信息方面的应用推广。较新颖地将区块链技术结合到硬件设备数据采集和数据共享等方面，实现了基于物联网设备和数据交互平台的联盟链设计和多角色访问控制，解决了医疗联盟跨机构间数据共享和安全性问题，为基于物联网和数据交互平台的医疗信息安全和协同管理建设提供一定的参考。