通过区块链、双重属性加密和基于大型语言模型的属性提取实现安全的电子健康记录访问控制

为什么你的病历需要更聪明的“锁”

每次看病都会留下数字痕迹——病历笔记、检测结果、影像——这些常常分散存储在不同医院和云端系统中。这些记录对医疗至关重要，但如果过于开放，会威胁隐私；如果过度封闭，医生可能无法及时看到挽救生命的信息。本文提出了一种新的保护电子健康记录的方法，使得只有合适的人才能查看患者数据中恰当的部分，即便这些记录散布在互联网上。

一刀切隐私策略的问题

如今，许多医院用宽泛的规则来保护数据：如果你是某医院的心脏科医生，可能就能访问大部分心脏病人的档案。但现代记录更为复杂，包含大量自由文本笔记、影像和以日常临床语言书写的报告。简单规则在这种混乱的现实中常常失效：它们可能向并不需要的人暴露细节，或者阻挡真正需要信息的专家。随着更多记录迁移到云端并在机构间共享，泄露、窥探或数据篡改的风险也在上升。

让数据自己描述自己

作者主张，访问决策不应仅取决于用户的“身份”，还应取决于数据实际包含的“内容”。为此，他们使用了一种名为ClinicalBERT的医疗语言模型，这是一类在真实临床笔记上训练的人工智能。模型不是把文本当作无结构的杂乱内容，而是扫描笔记以提取关键概念——如症状、诊断、用药和操作——并将其转为结构化标签。例如，关于“胸痛”和“胰岛素”的句子会变为一组标准化概念。这样系统就能知道某份文件例如是涉及糖尿病的心脏科相关记录，而无需暴露完整文本。

用加密与区块链构建细粒度的“锁”

一旦记录被打上标签，系统便使用一种称为基于属性加密的技术：数据以这样一种方式被加锁，只有符合特定规则的用户才能解锁。这里的属性来自两方面。用户属性描述某人的身份——例如专业或科室——而数据属性来自ClinicalBERT生成的标签，如疾病类型或敏感等级。因此可以根据策略加密记录，例如“只有肾脏科医生可以查看与肾功能相关的化验结果”或“只有小型急救团队可以看到高机密标志”。用于实施这些规则的密钥由多个独立的密钥中心共同生成，这样单一权威就无法独自秘密解锁数据。

用共享账本来协调信任

为跟踪哪些属性和密钥存在，该框架依赖于基于Hyperledger Fabric的私有区块链。该账本仅记录技术元数据——公钥、匿名属性标识符和策略信息——绝不记录原始医疗文本。由于每次更改都写入由多家医院共享的不变链中，内部人员难以悄然篡改访问权限或伪造密钥。区块链上的智能合约会自动为新属性计算组合公钥，在员工角色变化时更新或撤销属性，并帮助患者或机构随时间调整策略。实际的加密医疗文件保存在链外云存储，使区块链保持轻量且可扩展。

系统在攻击与实践中的表现

作者对他们的设计进行了数学和实践测试。使用形式化验证工具，他们模拟了常见威胁，如重放攻击、用户合谋或好奇的云服务提供商，证明攻击者在没有正确属性组合的情况下无法恢复解密密钥。由于密钥分散在多个权威之间，不存在可被对手窃取的“主密钥”。他们还在标准服务器和低功耗的Raspberry Pi板上进行了基准测试，发现加密效率高且关键的是，解密比若干竞争方案更快——这一点很重要，因为医生可能需要多次打开同一记录，而记录通常只需加密一次。

这对患者和临床医师意味着什么

通俗地说，这项工作提出了一种更聪明的病历“锁”：在开门前既看敲门者是谁，也看房间里有什么。通过结合能理解医疗语言的人工智能、能够编码细粒度规则的密码学以及各方都能信任的区块链，该框架旨在让临床医师恰好看到他们需要的内容——既不过多，也不少——同时为患者提供更强的数据滥用防护。如果被广泛采用，此类系统可以在跨医院共享记录时提高安全性和顺畅度，而无需在隐私和优质医疗之间做出妥协。

引用: Nekouie, A., Vafaei Jahan, M., Moattar, M.H. et al. Secure electronic health record access control via blockchain, dual-attribute encryption, and large language model-based attribute extraction. Sci Rep 16, 8673 (2026). https://doi.org/10.1038/s41598-026-39690-2

关键词: 电子健康记录, 医疗数据隐私, 区块链 医疗, 基于属性的加密, 临床语言模型