儲(chǔ)轉(zhuǎn)轉(zhuǎn)，王志偉

南京郵電大學(xué) 計(jì)算機(jī)學(xué)院/軟件學(xué)院，南京 210003

1 引言

PHR系統(tǒng)是一個(gè)以患者為中心的健康信息的訪問、存儲(chǔ)和交流的系統(tǒng)[1-3]。由于新型網(wǎng)絡(luò)環(huán)境的興起，促進(jìn)了PHR系統(tǒng)的快速發(fā)展。PHR系統(tǒng)能夠讓患者和醫(yī)生之間聯(lián)系和交流更緊密、更具有持續(xù)性，醫(yī)生可以及時(shí)地得到患者的健康信息并給予患者及時(shí)診斷和醫(yī)治。然而，當(dāng)前PHR系統(tǒng)還面臨一些急需解決的問題。比如PHR系統(tǒng)中存儲(chǔ)有患者和醫(yī)生的敏感信息，這關(guān)系到個(gè)人信息的安全、隱私等問題。其次，在使用移動(dòng)終端設(shè)備訪問PHR系統(tǒng)時(shí)資源受限，因此密碼學(xué)方案需要考慮移動(dòng)終端設(shè)備的計(jì)算量。此外，在PHR系統(tǒng)中，用戶是動(dòng)態(tài)地加入或離開，但在密文策略的屬性基加密中，密鑰是與屬性集相關(guān)的，一旦用戶動(dòng)態(tài)地改變，相應(yīng)用戶的屬性集也改變。用戶屬性一旦撤銷，相應(yīng)的該用戶應(yīng)該失去相對應(yīng)解密密文的能力，所以方案設(shè)計(jì)需要考慮屬性撤銷問題。每個(gè)用戶擁有很多屬性，不同的用戶相同的屬性應(yīng)該具有不同的角色地位。所以，設(shè)計(jì)方案時(shí)，可以考慮引入屬性的權(quán)重概念，更加迎合PHR系統(tǒng)的需要。

ABE（Attribute-Based Encryption，屬性基加密）的雛形是來源于2005年，由Sahai和Waters[4]提出的FIBE（Fuzzy Identity-Based Encryption，模糊的基于身份的加密）的概念，ABE提供了細(xì)粒度的密文訪問控制，即，如果用戶的屬性集與訪問結(jié)構(gòu)能夠匹配可以解密密文。2006年Goyal等人[5]將FIBE的概念進(jìn)一步擴(kuò)展為一般的ABE，對此提出并發(fā)展為兩個(gè)研究分支：一個(gè)是KP-ABE（Key-Policy ABE，密鑰策略的屬性基加密）[5]，密鑰與訪問策略有關(guān)，密文和用戶的屬性集有關(guān)；另一個(gè)是CP-ABE（Ciphertext-Policy ABE，密文策略的屬性基加密）[6]，密文與訪問策略有關(guān)，密鑰和用戶的屬性集有關(guān)。當(dāng)新環(huán)境的不斷變化，ABE模型也需要不斷地發(fā)展和改進(jìn)，以符合實(shí)際應(yīng)用。此后，ABE得到較大發(fā)展，主要有多機(jī)構(gòu)ABE、可追蹤ABE和可撤銷ABE。對于可撤銷ABE來說，最初Pirretti等人[7]給出的解決方案是通過給每個(gè)用戶額外頒發(fā)一個(gè)額外的終止日期的屬性來限制密鑰的使用時(shí)間。隨后也有很多撤銷的ABE方案[8-9]被提出，但都是把用戶作為最小單位進(jìn)行撤銷，即每次撤銷一個(gè)用戶，而不是在撤銷一個(gè)用戶的某些屬性的同時(shí)，允許用戶的其他的有效屬性仍然可以用來解密。Waters[10]提出了一個(gè)密文策略的功的屬性基加密方案，但沒有考慮屬性撤銷和用戶外包解密的問題。隨后，Wang等人[11]提出的改進(jìn)方案，使其具有外包解密和屬性撤銷的功能，但該方案的屬性撤銷是仲裁者預(yù)先存有一張屬性撤銷列表，在解密階段首先判斷屬性是否撤銷才決定是否解密，不能做到及時(shí)的屬性撤銷。Hur等人[12]和Xie等人[13]提出的方案可以實(shí)現(xiàn)屬性的及時(shí)撤銷，但密文和密鑰的更新使得方案的效率不高。此外，現(xiàn)有的方案很少有考慮到屬性的重要性，但在實(shí)際應(yīng)用中，每個(gè)屬性有不同的角色和地位，屬性帶有權(quán)值具有實(shí)際意義。PHR系統(tǒng)是對用戶開放的，合法的用戶都可以去訪問。但是不同角色和地位的用戶應(yīng)該有不同的訪問權(quán)限。比如，職位屬性都為醫(yī)生的兩個(gè)訪問用戶，不同的年齡應(yīng)該對應(yīng)不同的權(quán)限，年齡越大的醫(yī)生應(yīng)該要比年齡小的醫(yī)生更有經(jīng)驗(yàn)，相應(yīng)的經(jīng)驗(yàn)豐富的人的權(quán)限應(yīng)該比經(jīng)驗(yàn)少的人擁有高一點(diǎn)的訪問權(quán)限。因此引入屬性的權(quán)值概念更加適合PHR系統(tǒng)的需要。Jin等人[14]提出用鏈狀權(quán)重秘密共享方案來構(gòu)造屬性基加密，但是用鏈狀Mignotte序列來構(gòu)造訪問控制樹局限性比較大；后來劉等人[15]提出了權(quán)重屬性概念，將其引入到密文策略屬性基加密方案中。

基于以上分析，本文基于Wang等人[11]提出的方案，利用Hur等人提出方案中的KEK樹的性質(zhì)，提出了一種可以及時(shí)撤銷的密文策略屬性基加密方案，使得方案不僅因外包解密減少了用戶端計(jì)算量，而且使得屬性撤銷更加細(xì)粒度化；此外，將權(quán)重屬性概念引入到本文方案中，使得方案更加適合當(dāng)下新型網(wǎng)絡(luò)環(huán)境下的PHR系統(tǒng)。

2 準(zhǔn)備知識(shí)

2.1 雙線性映射

假設(shè)G和GT是兩個(gè)階為素?cái)?shù)p的循環(huán)群，其中G是加法群，GT是乘法群。雙線性映射e:G×G→GT同時(shí)滿足以下三個(gè)特征：

（2）非退化：?g1,g2∈G，有e(g1,g2)≠1。

（3）可計(jì)算：?g1,g2∈G，都有有效的算法計(jì)算e(g1,g2)的值。

2.2 訪問結(jié)構(gòu)

2.3 LSSS（Linear Secret Sharing Scheme 線性秘密共享）方案

（1）每個(gè)參與者的秘密份額λi來自于ZP上的一個(gè)向量。（2）隨機(jī)選擇一個(gè)列向量其中是 待 共 享 的 秘 密 ，計(jì) 算是待共享的秘密s的第i個(gè)秘密份額，秘密份額λi屬于參與者f()i。

線性秘密共享方案滿足以下性質(zhì)：假設(shè)方案π是訪問結(jié)構(gòu)A上的一個(gè)秘密共享方案，F(xiàn)∈A，F(xiàn)是授權(quán)的屬性集合，定義如果{λi}是待共享的秘密s的有效秘密份額，則一定存在常數(shù)，使得

2.4 KEK（Key Encryption Key，密鑰加密密鑰）樹

KEK樹是指基于用戶的二叉樹，它可以為未撤銷用戶提供密鑰更新信息，未撤銷用戶利用密鑰更新信息更新自己的私鑰，從而實(shí)現(xiàn)解密。如圖1所示，假設(shè)系統(tǒng)中所有用戶的集合為是擁有屬性θk的用戶集合，稱為屬性群。PHR系統(tǒng)按以下方式構(gòu)造KEK樹，為P中每個(gè)用戶分發(fā)屬性密鑰：

（1）將P中每個(gè)用戶都分布到二叉樹的葉子節(jié)點(diǎn)，為每個(gè)節(jié)點(diǎn)vj都生成一個(gè)隨機(jī)數(shù)存儲(chǔ) ，記為KEKj。

（2）每個(gè)葉子節(jié)點(diǎn)到根節(jié)點(diǎn)所經(jīng)過的節(jié)點(diǎn)的密鑰KEK集合即為每個(gè)用戶ut∈U的路徑密鑰，記為Kut。例如：用戶u2所存儲(chǔ)的路徑密鑰為

（3）能夠覆蓋屬性群Gk中所有用戶的最小的節(jié)點(diǎn)集合稱為Gk的最小覆蓋元，記為KEKGk。例如：Gk=

（4）KEKGk與Kut的交集可以得到：每個(gè)用戶ut∈Gk且擁有唯一的KEKj。

圖1 KEK樹

3 方案設(shè)計(jì)

3.1 方案模型描述

本文所描述的系統(tǒng)模型如圖2所示，該系統(tǒng)模型由5部分構(gòu)成：PHR數(shù)據(jù)擁有者、PHR系統(tǒng)、外包解密仲裁者、可信第三方PPT和訪問用戶。PHR數(shù)據(jù)擁有者將密文上傳到PHR系統(tǒng)中，PHR系統(tǒng)為用戶生成KEK樹。當(dāng)某一用戶想要訪問PHR系統(tǒng)時(shí)，可信第三方分別為仲裁者和用戶分發(fā)密鑰，然后仲裁者先對密文進(jìn)行預(yù)解密得到半明文T，以此減少用戶端計(jì)算量，最后用戶再利用自己的私鑰對預(yù)解密得到的半明文進(jìn)行最終的解密而得到明文。

圖2 模型示意圖

3.2 改進(jìn)算法描述

本文的改進(jìn)方案由8個(gè)算法組成，如下所示：

（1）屬性分割：由屬性機(jī)構(gòu)運(yùn)行。屬性集分割算法輸入系統(tǒng)中的所有屬性集中的屬性。對于屬性集F中的每個(gè)屬性attj，分配屬性attj允許在系統(tǒng)中的最大權(quán)值為ηk=weight(atti)，注意到這里的權(quán)值僅為整數(shù)。將屬性集F中的每個(gè)屬性atti，依據(jù)權(quán)重進(jìn)行分割，分割后的屬性atti對應(yīng)于( )atti,1,設(shè)定分割后的最小份額為1，其構(gòu)成的集合稱為屬性權(quán)重的分割集F*，將其輸出。

（2）系統(tǒng)建立：由屬性機(jī)構(gòu)運(yùn)行。系統(tǒng)建立算法輸入安全參數(shù)λ，并定義屬性權(quán)重的分割集F*中的全體元素。該算法生成一個(gè)階為素?cái)?shù)p的群G和GT，g為G的生成元。記雙 線 性 映 射e:G×G→GT。隨機(jī)選擇a,α∈Zp,h1,h2,…,hz∈G（h1,h2,…,hz與屬性權(quán)重的分割集F*相關(guān)）。然后，輸出主公鑰主私鑰MSK=gα。最后，設(shè)屬性群集G={}Gkθk∈F，其中Gk是擁有屬性θk的用戶集合，將其發(fā)送給PHR系統(tǒng)。

（3）密鑰生成：密鑰生成算法由一個(gè)可信第三方執(zhí)行。該算法輸入屬性權(quán)重的分割集F*，主私鑰MSK。隨機(jī)選擇t∈?p，uid1和uid2，使得uid1-uid2=1。然后，輸出兩個(gè)私鑰對，最后，將第一個(gè)秘密分派給仲裁者，第二個(gè)秘密分派給用戶。

（4）數(shù)據(jù)加密：由PHR數(shù)據(jù)擁有者運(yùn)行。加密算法輸入主公鑰MPK，屬性權(quán)重的分割集F*，秘密共享方案（其中函數(shù)f將屬性權(quán)重的最小份額與M中的行對應(yīng)起來。將矩陣中的第j個(gè)位置對應(yīng)于屬性atti的第ηk個(gè)權(quán)重分割位置，即f(i)→(a tti,ηk)）和消息m。隨機(jī)選擇s∈?p和向量V=( )s,v2,v3,…,vn，其中i=2,3,…,n。 然 后 計(jì) 算 λi=Mi?V 。 隨 機(jī) 選 擇輸出密文其中i=[n]。PHR數(shù)據(jù)擁有者將密文存儲(chǔ)到PHR系統(tǒng)。

（5）密文更新：假設(shè)Gk中的成員發(fā)生變化，即假設(shè)某一用戶ut獲得或者失去屬性θk。當(dāng)屬性機(jī)構(gòu)接收到屬性群變化的請求后，將更新后的屬性群發(fā)送給PHR系統(tǒng)。隨機(jī)選擇屬性群密鑰根據(jù)KEK樹的構(gòu)造Kut。該算法輸出更新后的密文

（6）密鑰更新：假設(shè)Gk中的成員發(fā)生變化，即假設(shè)某一用戶ut獲得或者失去屬性θk，根據(jù)KEK樹的性質(zhì)擁有屬性，PHR數(shù)據(jù)提供者將屬性群密鑰Sf()j秘密發(fā)送給TTP。TTP則輸出更新后的密鑰，并將更新后的密鑰發(fā)送給仲裁者。

（7）預(yù)解密：此算法由仲裁者執(zhí)行。假設(shè)屬性權(quán)重的分割集F*滿足訪問結(jié)構(gòu)(M ,f)，若密文沒有更新，則仲裁者預(yù)解密同Wang等人的方案；若密文已更新，則使用更新后的密鑰進(jìn)行預(yù)解密得：

（8）解密：此算法由用戶執(zhí)行。若密文是原始密文預(yù)解密的，則用戶解密同Wang等人的方案；若密文是更新后的密文預(yù)解密的，則用戶計(jì)算：然后用戶可以從密文中得到明文m。

4 方案分析

4.1 安全性分析

數(shù)據(jù)的機(jī)密性：一方面，在PHR系統(tǒng)中，根據(jù)LSSS方案線性重組的性質(zhì)，如果訪問用戶的屬性集不能滿足密文的權(quán)重訪問結(jié)構(gòu)，則不存在常數(shù)ωi，使得此時(shí)由于不能恢復(fù)秘密值s，仲裁者不能解密得到T，因此用戶就不能解密得到最終明文m；另一方面，仲裁者沒有私鑰SKF*,2，只能預(yù)解密，所以不可信的仲裁者不能解密T得到明文m；并且，由于向量V中s的隨機(jī)選取，因此仲裁者不能根據(jù)預(yù)解密出來的半密文得到與明文相關(guān)的信息。

抗共謀攻擊：在本文方案中，即使多個(gè)惡意用戶相互共用私鑰，且滿足密文的訪問結(jié)構(gòu)，仍然不可以解密密文。因?yàn)?，在密鑰生成階段，為每個(gè)用戶隨機(jī)選擇不同的值t、uid1和uid2，隨機(jī)化了用戶私鑰。這樣每個(gè)用戶可以計(jì)算出自己相應(yīng)的，但不能得到

前向、后向安全：當(dāng)某一用戶離開屬性群，屬性機(jī)構(gòu)將變化的屬性群發(fā)送給PHR系統(tǒng)，PHR系統(tǒng)更新屬性群密鑰，根據(jù)KEK樹的構(gòu)造可知，離開的用戶將不能解密密文獲取屬性群密鑰，也就無法讓PPT更新相應(yīng)的私鑰，因此，用戶就不能最終解密得到明文；同樣的，當(dāng)某一用戶加入PHR系統(tǒng)，PHR系統(tǒng)收到屬性機(jī)構(gòu)的屬性變化發(fā)起后，更新屬性群密鑰，根據(jù)KEK樹的構(gòu)造可知，加入的用戶將能解密密文獲取屬性群密鑰，讓PPT更新相應(yīng)的私鑰，因此，用戶就能最終解密得到明文。

4.2 性能分析

本文方案與其他方案做了功能上的比較，如表1所示。

表1 功能比較

表1的結(jié)果表明，本文方案相較于其他方案，功能上有顯著改進(jìn)，不僅具有外包解密，大大減少資源受限用戶端的計(jì)算量；而且具有靈活的屬性撤銷，做到了屬性層次的及時(shí)撤銷；并且引入權(quán)重屬性的概念。方案功能上的改進(jìn)更加豐富了基于Intel Edison開發(fā)芯片（該芯片是Intel公司推出的智能硬件產(chǎn)品，內(nèi)包含有Yocto Linux操作系統(tǒng)，可將C++程序?qū)朐撔酒\(yùn)行）做了本文方案的實(shí)驗(yàn)：將芯片作為資源受限的用戶端，結(jié)合一臺(tái)筆記本電腦進(jìn)行實(shí)驗(yàn)，針對該方案的各個(gè)階段，進(jìn)行了各個(gè)階段隨著屬性個(gè)數(shù)的增加，運(yùn)行時(shí)間上的變化進(jìn)行統(tǒng)計(jì)分析，如圖3所示。

本文方案與其他方案算法的一些階段進(jìn)行了計(jì)算量規(guī)模上的比較，如表2所示。

表2 計(jì)算量比較

表2中的各字母代表含義：m代表訪問結(jié)構(gòu)上的屬性；|G|代表群G上的冪運(yùn)算；|GT|代表雙線性對運(yùn)算；dl代表雙線性對運(yùn)算。由實(shí)驗(yàn)統(tǒng)計(jì)分析結(jié)果和表2的比較結(jié)果可以看出，本文方案相較于其他方案，在密文更新和密鑰更新以及用戶端解密階段的計(jì)算量規(guī)模都很小，并且都是常量級(jí)。

圖3 各階段的運(yùn)行時(shí)間

5 結(jié)束語

本文在Wang等人提出方案的基礎(chǔ)上進(jìn)行了改進(jìn)，結(jié)合了Hur方案中KEK樹的性質(zhì)和劉等人提出的權(quán)重屬性的概念，使得改進(jìn)的方案在功能上不僅具有外包解密，還可以做到細(xì)粒度的屬性及時(shí)撤銷。并且屬性帶有權(quán)重特征，更加適合大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算的新型網(wǎng)絡(luò)環(huán)境下PHR系統(tǒng)的需求。同時(shí)，改進(jìn)方案能夠保證數(shù)據(jù)的安全和用戶的隱私信息。同其他方案對比，本文方案在功能和性能上都有較大程度提高。

[1]U.S.Department of Health and Human Services National Institutes of Health National Cancer Institute.Personal health records and personal health record systems[EB/OL].[2014-05].http://ncvhs.us/wp-content/uploads/2014/05/0602nhiirpt.pdf.

[2]Tang P C，Ash J S，Bates D W，et al.Personal health records：definitions，benefits，and strategies for overcoming barriers to adoption[J].Journal of the American Medical Informatics Association，2015，13（2）：121.

[3]The US Department of Health and Human Services.Sumamary of the HIPAA privacy rule[EB/OL].[2003].https://www.hhs.gov/hipaa/for-professionals/privacy/lawsregulations/index.html.

[4]Sahai A，Waters B.Fuzzy identity-based encryption[C]//Advances in Cryptology-International Conference on Theory&Applications of Cryptographic Techniques，EUROCRYPT 2005.Berlin Heidelberg：Springer，2005：457-473.

[5]Goyal V，Pandey O，Sahai A，et al.Attribute-based encryption for fine-grained access control of encrypted data[C]//ACM Conference on Computer and Communications Security，CCS 2006，Alexandria，Va，USA，2006：89-98.

[6]Bethencourt J，Sahai A，Waters B.Ciphertext-policy attribute-based encryption[C]//IEEE Symposium on Security&Privacy，2007，2008（4）：321-334.

[7]Pirretti M，Traynor P，McDaniel P，et al.Secure attributebased systems[C]//Proceedings of ACM Conference on ComputerandCommunicationsSecurity.Alexandria：Springer，2006.

[8]Yu Shucheng，Ren Kui，Lou Wenjing.FDAC：Toward finegrained distributed data access control in wireless sensor networks[J].IEEE Transactions on Parallel and Distributed Systems，2011，22（4）：673-686.

[9]Luan I，Petkovic M，Nikova S，et al.Mediated ciphertextpolicy attribute-based encryption and its application[C]//International Workshop on Information Security Applications，Wisa Busan，Korea，August 25-27，2009：309-323.

[10]Ostrovsky R，Sahai A，Waters B.Attribute-based encryption with non-monotonic access structures[C]//ACM Conference on Computer&Communications Security，CCS 07，2007：195-203.

[11]Wang Z，Chu Z.Efficient mediated ciphertext-policy attribute-based encryption for personal health records systems[J].Journal of Internet Technology，2015，16（5）.

[12]Hur J，Noh D K.Attribute-based access control with efficientrevocation in dataoutsourcing systems[J].IEEE Transactions on Parallel&Distributed Systems，2011，22（7）：1214-1221.

[13]Xie X，Ma H，Li J，et al.An efficient ciphertext-policy attribute-based access control towards revocation in cloud computing[J].Journal of Universal Computerence，2013，19（16）：2349-2367.

[14]Jin Lianwen，Wei Gang.Handwritten Chinese character recognition with directional decomposition cellular features[J].Journal of Circuits System&Computers，1998，8（4）：517-524.

[15]劉西蒙，馬建峰，熊金波，等.密文策略的權(quán)重屬性基加密方案[J].西安交通大學(xué)學(xué)報(bào)，2013，47（8）：44-48.