李 梁，譚 薇，陳彥萍

LI Liang1,TAN Wei2,CHEN Yanping3

1.西安郵電大學(xué) 無線網(wǎng)絡(luò)安全技術(shù)國家工程實(shí)驗(yàn)室，西安 710121

2.西安交通大學(xué) 網(wǎng)絡(luò)中心，西安 710049

3.西安郵電大學(xué) 計(jì)算機(jī)學(xué)院，西安 710121

1.National Engineering Laboratory for Wireless Security,Xi’an University of Posts and Telecommunications Xi’an 710121,China

2.Network Center,Xi’an Jiaotong University,Xi’an 710049,China

3.School of Computer Science and Technology,Xi’an University of Posts and Telecommunications,Xi’an 710121,China

1 引言

電子醫(yī)療（E-health）[1-3]系統(tǒng)這一術(shù)語最先由Mitch-ell于1999年提出[4]，該系統(tǒng)是電子信息技術(shù)與通信技術(shù)的完美體現(xiàn)，能實(shí)現(xiàn)醫(yī)療電子資源的存儲(chǔ)、檢索以及傳輸?shù)裙δ?。科學(xué)水平的不斷發(fā)展，電子醫(yī)療系統(tǒng)的應(yīng)用也越來越受到人們的廣泛關(guān)注。電子醫(yī)療系統(tǒng)中存儲(chǔ)著大量的患者電子病歷，這些病歷能夠被各大醫(yī)療機(jī)構(gòu)檢索及參考；其次，像電子病歷這樣重要數(shù)據(jù)的缺失可能會(huì)導(dǎo)致誤診以及重復(fù)用藥等醫(yī)療事故。因此，電子醫(yī)療系統(tǒng)的發(fā)展，伴隨著眾多安全問題的出現(xiàn)。

電子病歷數(shù)據(jù)與傳統(tǒng)紙質(zhì)病歷有著很大的不同，電子化病歷容易被復(fù)制、共享、竊取以及修改等。波耐蒙研究所于2015年發(fā)布的《第五屆醫(yī)療數(shù)據(jù)隱私與安全研究報(bào)告》顯示，在美國超過90%的醫(yī)療機(jī)構(gòu)存在數(shù)據(jù)泄露情況，40%的公司在過去兩年內(nèi)至少發(fā)生了5次數(shù)據(jù)泄露[4]。一旦患者知道自己的隱私被泄露，其對(duì)信息收集者的信任程度將大大降低。例如，當(dāng)患者意識(shí)到電子醫(yī)療記錄存在較高的隱私風(fēng)險(xiǎn)時(shí)，便會(huì)抱有抵制態(tài)度，比如在電子醫(yī)療記錄中只提供有限的敏感信息，而這樣很可能會(huì)妨礙就醫(yī)的誠實(shí)性和醫(yī)療服務(wù)機(jī)構(gòu)為患者提供最佳的治療。

因此，如何有效保護(hù)電子病歷數(shù)據(jù)的隱私性，如何有效保證云端電子病歷的完整性便成為急需解決的問題?，F(xiàn)如今有很多方案被提出應(yīng)用于電子醫(yī)療環(huán)境中。例如，2009年Al-Neyadi等人[5]提出了電子醫(yī)療系統(tǒng)中基于內(nèi)容的訪問控制方案，利用該方案實(shí)現(xiàn)了對(duì)電子病歷的訪問控制，但該方案未能提供對(duì)電子病歷的檢索技術(shù)，未能實(shí)現(xiàn)對(duì)云端電子病歷的持有性驗(yàn)證；2015年Yang等人[6]提出了電子醫(yī)療下基于屬性的關(guān)鍵字檢索方案，該方案利用基于屬性的加密技術(shù)實(shí)現(xiàn)了云端電子病歷的權(quán)限控制；2017年Yang等人[7]提出了電子醫(yī)療系統(tǒng)下可靠、可檢索的隱私保護(hù)方案，但該方案依舊未能實(shí)現(xiàn)對(duì)云端電子病歷的持有性驗(yàn)證。

而本文提出的電子醫(yī)療環(huán)境下支持?jǐn)?shù)據(jù)持有性驗(yàn)證的數(shù)據(jù)檢索方案是將支持?jǐn)?shù)據(jù)持有性驗(yàn)證功能與傳統(tǒng)可搜索加密系統(tǒng)結(jié)合，實(shí)現(xiàn)了功能上更加完全的數(shù)據(jù)檢索系統(tǒng)。傳統(tǒng)的數(shù)據(jù)支持性驗(yàn)證方案多種多樣，例如，陳蘭香[8]于2011年利用同態(tài)Hash給出了一種基于Hash函數(shù)同態(tài)性的數(shù)據(jù)持有性驗(yàn)證方案，但該方案無法檢測(cè)服務(wù)器是否存在欺騙行為，安全性不高。而黃石等人[9]于2015年針對(duì)陳蘭香的方案進(jìn)行了改進(jìn)，最終能夠檢測(cè)出服務(wù)器的行為。而本文方案中將編碼理論知識(shí)與同態(tài)Hash函數(shù)相結(jié)合，提出了編碼Hash函數(shù)實(shí)現(xiàn)了數(shù)據(jù)持有性驗(yàn)證功能，并將該功能應(yīng)用于云環(huán)境下的數(shù)據(jù)檢索系統(tǒng)中。

基于上述各方面因素考慮，本文提出了一種電子醫(yī)療環(huán)境下支持?jǐn)?shù)據(jù)持有性驗(yàn)證的數(shù)據(jù)檢索方案。本文方案主要完成了以下幾個(gè)目標(biāo)；（1）利用基于屬性加密技術(shù)實(shí)現(xiàn)了云端電子病歷的細(xì)粒度權(quán)限控制，將電子病歷的權(quán)限進(jìn)一步細(xì)化，同時(shí)方案安全性有所提高；（2）將編碼相關(guān)知識(shí)與Hash函數(shù)相結(jié)合，提出了編碼Hash[10-11]并應(yīng)用于數(shù)據(jù)持有性驗(yàn)證中，據(jù)理論分析以及實(shí)驗(yàn)仿真分析，相對(duì)于其他相關(guān)方案均有較大的安全性以及性能優(yōu)勢(shì)；（3）利用編輯距離，實(shí)現(xiàn)了容錯(cuò)多關(guān)鍵字檢索功能。

2 預(yù)備知識(shí)

2.1 雙線性對(duì)

定義1（雙線性對(duì)）定義G1和G2是素?cái)?shù)階為p的循環(huán)群，g是G1的生成元，運(yùn)算e:G1×G1→G2映射擁有下面的3個(gè)性質(zhì)。

（1）雙線性：e(ga,gb)=e(g,g)ab，a,b∈ZP；

（2）不可退化性：存在x,y∈G1使得e(x,y)≠1；

（3）可計(jì)算性：對(duì)于所有的x,y∈G1，存在一個(gè)有效的算法可計(jì)算e(x,y)。

2.2 特權(quán)樹

本文方案通過特權(quán)樹來描述每一種特權(quán)，該樹的每個(gè)非葉子結(jié)點(diǎn)是一個(gè)閾值門，每個(gè)葉子結(jié)點(diǎn)通過一個(gè)屬性描述。本文所提及的特權(quán)類似于操作系統(tǒng)中的特權(quán)。每一份數(shù)據(jù)文件包含有幾種可操作的行為，根據(jù)不同的資格條件，每種特權(quán)可以被賦予不同權(quán)限的用戶。比如，{read_mine,read_all,delete,modify,create}是一個(gè)學(xué)生成績(jī)的特權(quán)集合，只有該學(xué)生本人及其老師可以讀該學(xué)生的成績(jī)，但是所有其他的特權(quán)只能被授權(quán)給該老師，因此需要將{read_mine}這個(gè)特權(quán)授予該學(xué)生和其老師。

每種可執(zhí)行操作均與某種特權(quán)p相關(guān)，而這個(gè)特權(quán)p是由一特權(quán)樹Tp描述的，如果一個(gè)用戶的屬性滿足該特權(quán)樹Tp，那么該用戶便被授予該特權(quán)p。這樣不僅控制了文件的訪問權(quán)限，而且還控制其他可操作行為，使得文件的控制更加細(xì)粒。

為了驗(yàn)證用戶的身份并賦予其相應(yīng)的特權(quán)，每份數(shù)據(jù)文件中包含有幾種特權(quán)樹。假如有r種這樣的特權(quán)樹，這就意味著有r種不同的特權(quán)。特權(quán)0可以被定義為讀文件，其他特權(quán)可以被任意地定義。當(dāng)m＞n時(shí)，這并不意味著第m種特權(quán)比第n種特權(quán)的權(quán)限大。該特權(quán)樹與文獻(xiàn)[12]中所定義的類似。給定一個(gè)特權(quán)樹，如果numx是結(jié)點(diǎn)x的孩子結(jié)點(diǎn)的數(shù)量，kx是x的閾值且0＜kx＜numx，如果至少有kx個(gè)孩子結(jié)點(diǎn)被賦值為真，那么該結(jié)點(diǎn)將被賦值為真。在特別情況下，當(dāng)kx=1時(shí)，該結(jié)點(diǎn)便成為了OR門；當(dāng)kx=numx時(shí)，該結(jié)點(diǎn)便成為了AND門。

如果用戶的屬性集合S滿足特權(quán)樹Tp或者是結(jié)點(diǎn)x，便定義Tp(S)=1或x(S)=1。Tp(S)可以通過以下遞歸算法計(jì)算得出。如果x是葉子結(jié)點(diǎn)，當(dāng)且僅當(dāng)att(x)∈S時(shí)，x(S)=1；如果x是非葉子結(jié)點(diǎn)，當(dāng)結(jié)點(diǎn)x至少有kx個(gè)孩子結(jié)點(diǎn)返回1時(shí)，則x(S)=1。對(duì)于特權(quán)樹Tp的根結(jié)點(diǎn)Rp來說，只有當(dāng)Rp(S)=1時(shí)，Tp(S)=1。

2.3 編輯距離

編輯距離[13]是兩個(gè)字符串之間相似度的測(cè)量。比如兩個(gè)單詞w1和w2的編輯距離ed(w1,w2)指的是一個(gè)單詞變換成另一個(gè)單詞所執(zhí)行的最小操作步驟。這其中包含3個(gè)基本操作。

（1）置換：將一個(gè)單詞中的字符變換成另一個(gè)。

（2）刪除：從一個(gè)單詞中刪除一個(gè)字符。

（3）插入：將單個(gè)字符插入到一個(gè)單詞之中。

給定一個(gè)關(guān)鍵字w，如果對(duì)于一個(gè)確定的整數(shù)d，使得ed(w,w′)＜d滿足，則用Ww,d表示關(guān)鍵字w′的集合。

2.4 編碼Hash

傳統(tǒng)Hash函數(shù)將任意長的消息映射成一個(gè)固定長度的摘要，其Hash函數(shù)是基于傳統(tǒng)壓縮函數(shù)構(gòu)造而成的，而利用校驗(yàn)子譯碼問題構(gòu)造出的編碼Hash具有特殊的內(nèi)部結(jié)構(gòu)，Augot等在文獻(xiàn)[14]中提出了編碼Hash，且對(duì)該種編碼Hash的內(nèi)部結(jié)構(gòu)進(jìn)行了詳細(xì)的講解。

選擇一個(gè)(n,k)糾錯(cuò)碼，同時(shí)選擇正整數(shù)ω使得ω可以整除n，將所有長度為n的碼字等分為ω個(gè)塊，每塊有比特。該碼的校驗(yàn)矩陣H是一個(gè)(n-k) ×n矩陣，同樣將H等分為ω個(gè)子矩陣，H=(H1,H2,…,Hω),子矩陣表示為Hi。壓縮函數(shù)F定義為：→，其中，則F的輸入數(shù)據(jù)。壓縮函數(shù)F的運(yùn)算過程如下：

（1）將e bit輸入數(shù)據(jù)x等分為ω個(gè)子塊，即x1,x2,…,xω，每個(gè)子塊xi包含比特，且

（2）將每個(gè)xi轉(zhuǎn)換為0到之間的整數(shù)xi。

（3）選擇相應(yīng)的子矩陣Hi的第xi+1列，表示為

（4）將選好的ω個(gè)列累加，獲得一個(gè)長為r的比特串，就是F的輸出，即計(jì)算

上述說明了一次壓縮過程，如圖1所示為消息m的壓縮過程。每次從消息m中選取e-r位輸入，其次首輪隨機(jī)選取r位填充數(shù)據(jù)，組合成e位的數(shù)據(jù)作為壓縮函數(shù)的輸入，經(jīng)過壓縮F函數(shù)后輸出r位數(shù)據(jù)。接下來，輸出的r位數(shù)據(jù)返回填充到輸入中，直到將整個(gè)消息m壓縮輸出為r位數(shù)據(jù)，此r位數(shù)據(jù)為該消息m的Hash值。

圖1 編碼Hash函數(shù)結(jié)構(gòu)

3 方案介紹

3.1 系統(tǒng)模型

如圖2所示為方案系統(tǒng)模型，該系統(tǒng)模型中包括授權(quán)中心、數(shù)據(jù)擁有者、數(shù)據(jù)使用者以及云服務(wù)器4個(gè)實(shí)體，數(shù)據(jù)擁有者以及數(shù)據(jù)使用者可以是醫(yī)療患者或醫(yī)療組織結(jié)構(gòu)。

（1）授權(quán)中心：為了保護(hù)數(shù)據(jù)用戶的隱私安全，本文方案采用多個(gè)授權(quán)中心為用戶生成屬性私鑰，每個(gè)授權(quán)中心獲得用戶部分屬性并獨(dú)立運(yùn)算生成部分屬性私鑰，最終將各部分屬性私鑰組合成某個(gè)用戶的屬性私鑰SKu。

（2）數(shù)據(jù)擁有者：數(shù)據(jù)擁有者具備兩方面的作用。

①文件上傳：首先數(shù)據(jù)擁有者向授權(quán)中心請(qǐng)求獲得屬性私鑰SKu，并利用對(duì)稱加密算法（例如AES等）以及對(duì)稱密鑰Ke，加密數(shù)據(jù)文件F，生成文件密文C。其次，數(shù)據(jù)擁有者利用屬性私鑰SKu加密對(duì)稱密鑰Ke，生成對(duì)稱密鑰密文CT，同時(shí)數(shù)據(jù)擁有者在該密文中指定文件F的特權(quán)集合{Tp}p∈{0,1,…,r-1} ，其中p表示該文件的某種特權(quán)，r表示該文件包含的特權(quán)個(gè)數(shù)。接下來數(shù)據(jù)擁有者利用文件關(guān)鍵字集合生成搜索索引FI。最終數(shù)據(jù)擁有者將密文C、密鑰密文CT以及索引FI上傳至云服務(wù)器。

②數(shù)據(jù)持有性驗(yàn)證：數(shù)據(jù)擁有者將加密后的密文集合上傳至云服務(wù)器前，對(duì)每個(gè)密文數(shù)據(jù)文件Cf利用編碼Hash函數(shù)生成數(shù)據(jù)標(biāo)簽Tagf。數(shù)據(jù)擁有者進(jìn)行數(shù)據(jù)持有性驗(yàn)證時(shí)，向云服務(wù)器隨機(jī)挑戰(zhàn)數(shù)據(jù)塊，由云服務(wù)器計(jì)算相應(yīng)的數(shù)據(jù)塊標(biāo)簽Tagf'并返回給數(shù)據(jù)擁有者，判斷Tagf與Tagf'是否相同，完成數(shù)據(jù)持有性驗(yàn)證。

（3）數(shù)據(jù)使用者：數(shù)據(jù)使用者輸入搜索關(guān)鍵字集合，生成搜索請(qǐng)求符號(hào)發(fā)送給云服務(wù)器，云服務(wù)返回相應(yīng)請(qǐng)求文件，驗(yàn)證用戶身份，解密獲得相應(yīng)文件，獲得文件的相應(yīng)特權(quán)。

圖2 系統(tǒng)模型

3.2 方案目標(biāo)

電子醫(yī)療系統(tǒng)下支持?jǐn)?shù)據(jù)持有性驗(yàn)證方案的設(shè)計(jì)目標(biāo)主要包括以下幾點(diǎn)：

（1）支持多個(gè)關(guān)鍵字容錯(cuò)搜索。文中將關(guān)鍵字集合首先進(jìn)行預(yù)處理，生成關(guān)鍵字與文件集合相對(duì)應(yīng)的二維索引表格；將輸入的關(guān)鍵字經(jīng)過編輯距離處理后查找二維索引表獲得相應(yīng)文件。

（2）利用編碼Hash函數(shù)支持?jǐn)?shù)據(jù)持有性證明，數(shù)據(jù)擁有者隨時(shí)可以驗(yàn)證系統(tǒng)中數(shù)據(jù)的完整性。

（3）提供了對(duì)該醫(yī)療系統(tǒng)中病歷數(shù)據(jù)的細(xì)粒度權(quán)限控制，明確了用戶對(duì)文件數(shù)據(jù)的查看、修改等權(quán)限控制，使得病歷數(shù)據(jù)的使用更加安全。

3.3 安全模型

本文方案首先假設(shè)N個(gè)授權(quán)中心對(duì)用戶的身份信息感興趣，各自會(huì)獨(dú)立獲取用戶的身份信息，但授權(quán)中心不會(huì)與其他用戶或者授權(quán)中心合謀，因?yàn)槭跈?quán)中心可能會(huì)接受政府等部門的監(jiān)管。假設(shè)用戶不可信，假設(shè)網(wǎng)絡(luò)環(huán)境安全，依據(jù)上述假設(shè)環(huán)境，定義下面的安全模型。

Init：敵手A聲稱某幾個(gè)授權(quán)中心在它的控制之下（但至少有兩個(gè)授權(quán)中心不在敵手控制中），同時(shí)宣稱它想挑戰(zhàn)特權(quán)T0，該特權(quán)樹中某些屬性也包含在挑戰(zhàn)者所控制的授權(quán)中心之下。

Setup：敵手與挑戰(zhàn)者啟動(dòng)系統(tǒng)建立。

Phase1：敵手開始執(zhí)行Key Generate算法查詢，用于盡可能多地獲得他想要的私鑰，但這些私鑰不滿足特權(quán)樹T0。

Challenge：敵手提交兩個(gè)長度相等的消息M0和M1給挑戰(zhàn)者，挑戰(zhàn)者隨機(jī)地拋擲硬幣b∈{0,1}，利用特權(quán)樹T0加密消息Mb，隨后將密文發(fā)送給敵手。

Phase2：Phase1可以被適當(dāng)?shù)刂貜?fù)執(zhí)行，但沒有私鑰能夠滿足特權(quán)樹T0。

Guess：敵手猜測(cè)并輸出Mb′。

定義2對(duì)于所有的概率多項(xiàng)式時(shí)間敵手，如果其在上述游戲中無法獲得不可忽視的優(yōu)勢(shì)，則說明該方案是安全的。

4 電子醫(yī)療系統(tǒng)下支持?jǐn)?shù)據(jù)持有性驗(yàn)證方案

4.1 基本定義

電子醫(yī)療系統(tǒng)下支持?jǐn)?shù)據(jù)持有性驗(yàn)證方案包括N個(gè)授權(quán)中心、數(shù)據(jù)擁有者、數(shù)據(jù)使用者以及云服務(wù)器4個(gè)實(shí)體。

定義3該系統(tǒng)中包含4個(gè)實(shí)體，每個(gè)實(shí)體包含以下算法過程：

（1）N個(gè)授權(quán)中心

①Setup(1l)算法：該算法為系統(tǒng)建立算法，輸入安全參數(shù)1l，輸出授權(quán)中心Ak的主密鑰MKk以及整個(gè)系統(tǒng)的公鑰PK，這里的k表示第k個(gè)授權(quán)中心。

②User Key Generate(PK,MKk,Αu)：輸入授權(quán)中心Ak的主密鑰MKk、整個(gè)系統(tǒng)公鑰PK以及用戶u的屬性集合Αu，輸出用戶的屬性私鑰SKu。

（2）數(shù)據(jù)擁有者

①GenerateT(Αu)：輸入用戶u的屬性集合Αu，輸出特權(quán)樹權(quán)限集合{Tp}p∈{0,1,…,r-1},這里的r表示特權(quán)個(gè)數(shù)。

②Encrypt(PK,Ke,{Tp})：輸入系統(tǒng)公鑰PK，對(duì)稱加密密鑰Ke以及特權(quán)樹集合{Tp}p∈{0,1,…,r-1}，輸出密文CT。

③GenerateFI(W)：輸入關(guān)鍵字文件集合W，輸出文件搜索索引FI。

④GenarateTag(C)：輸入密文文件集合C，輸出數(shù)據(jù)持有性標(biāo)簽Tag。

⑤DataHoldCheck(i)：輸入隨機(jī)數(shù)i∈Z，返回文件標(biāo)簽Tag′。

（3）數(shù)據(jù)使用者

①FileSearch(Keywords)：輸入關(guān)鍵字集合Keywords,獲得搜索結(jié)果CT以及C。

②Decrypt(PK,SKu,CT)：輸入系統(tǒng)公鑰PK、用戶屬性私鑰SKu以及CT，輸出對(duì)稱密鑰Ke。

（4）云服務(wù)器：云服務(wù)器主要存儲(chǔ)用戶的密文文件并提供一定的計(jì)算服務(wù)，例如利用編碼Hash函數(shù)生成用戶的數(shù)據(jù)標(biāo)簽Tag。

4.2 方案具體算法過程

本節(jié)將會(huì)按照定義1中算法過程對(duì)整個(gè)方案的具體算法詳細(xì)說明。

（1）N個(gè)授權(quán)中心

①Setup(1l)：任意一個(gè)授權(quán)中隨機(jī)選擇一個(gè)素?cái)?shù)階為p且生成元為g的雙線性群G0并將其公開。隨后所有授權(quán)中心各自獨(dú)立且隨機(jī)地選擇vk∈Zp，同時(shí)計(jì)算Yk=e(g,g)vk并將其發(fā)送給其他所有授權(quán)中心，這些授權(quán)中心單獨(dú)計(jì)算

然后，每一個(gè)授權(quán)中心Ak隨機(jī)選擇N-1個(gè)整數(shù)skj∈Zp(j∈{1,2,…,N}{k})并計(jì)算gskj，并將gskj與其他授權(quán)中心Aj共享。當(dāng)接收到由Aj生成的N-1個(gè)gsjk后，授權(quán)中心Ak按照如下運(yùn)算計(jì)算安全參數(shù)xk∈Zp：

②User Key Generate(PK,MKk,Αu)：對(duì)于任意屬性i∈Αu，每一個(gè)授權(quán)中心Ak隨機(jī)選擇ri∈Zp并單獨(dú)地計(jì)算部分屬性私鑰將其秘密地發(fā)送給用戶u。

接下來，每一個(gè)授權(quán)中心Ak隨機(jī)選擇dk∈Zp，并將其與其他授權(quán)中心共享，但對(duì)用戶保密。然后，每個(gè)授權(quán)中心秘密將xk?gdk發(fā)送給用戶u。任意一個(gè)授權(quán)中心計(jì)算，并將其發(fā)送給用戶u。

因此，該用戶計(jì)算屬性i∈Αu的部分屬性私鑰為：

當(dāng)用戶u獲得D、Di和Di'后，則該用戶u的屬性私鑰為：

（2）數(shù)據(jù)擁有者

①GenerateT(Αu)：該算法根據(jù)用戶的屬性集合Αu生成特權(quán)樹權(quán)限集合該特權(quán)樹權(quán)限集合根據(jù)2.2節(jié)中的原理過程生成。

②Encrypt(PK,Ke,{Tp})：在該算法過程中，采用Shamir的秘密分享技術(shù)構(gòu)建特權(quán)樹。在特權(quán)樹Tp中存儲(chǔ)某個(gè)隨機(jī)數(shù)s∈Z，利用此隨機(jī)數(shù)掩飾對(duì)稱密鑰Ke。采用Shamir的秘密分享技術(shù)將此隨機(jī)數(shù)分享至葉子結(jié)點(diǎn)。具體過程如下：

對(duì)于每一個(gè)特權(quán)樹Tp，對(duì)該樹中的每一個(gè)結(jié)點(diǎn)x選擇一個(gè)多項(xiàng)式qx，設(shè)置多項(xiàng)式qx的次數(shù)為dx，且比該結(jié)點(diǎn)中的閾值kx少1。從根結(jié)點(diǎn)Rp開始，隨機(jī)選擇sp∈Zp，并設(shè)定qRp(0):=sp且隨機(jī)設(shè)置多項(xiàng)式qRp的其他系數(shù)。對(duì)于其他結(jié)點(diǎn)x，對(duì)應(yīng)多項(xiàng)式的系數(shù)隨機(jī)選擇，但其常數(shù)項(xiàng)設(shè)置為qparent(x)(index(x))，使得qx(0)=qparent(x)(index(x))，這里的index(x)是結(jié)點(diǎn)x的孩子結(jié)點(diǎn)的索引，parent(x)是結(jié)點(diǎn)x的父結(jié)點(diǎn)。最終，選擇一個(gè)隨機(jī)數(shù)h∈Zp，使得h-1模上p存在，進(jìn)而計(jì)算gh?sp和Dh-1，則密文CT可以表示為：

③GenerateFI(W)：對(duì)于關(guān)鍵字集合 {w1,w2,…,wm}，生成文件搜索索引的具體算法如下：

對(duì)于每一個(gè)wj∈W的關(guān)鍵字，數(shù)據(jù)擁有者計(jì)算其索引最終獲得關(guān)鍵字集合索引FI=

圖3 索引矩陣δ

④GenerateTag(C)：對(duì)于明文文件集合F={f1,f2,…,fn}，采用對(duì)稱加密算法以及對(duì)稱密鑰Ke加密生成密文集合C={c1,c2,…,cn}，對(duì)于每一份密文ci，利用編碼Hash函數(shù)生成對(duì)應(yīng)的數(shù)據(jù)標(biāo)簽Tagi。例如，根據(jù)2.4節(jié)中定義的壓縮過程，采用（8，5）的編碼，ω=4，輸入的數(shù)據(jù)位長度為e=4，返回的數(shù)據(jù)位長度為r=3。若待壓縮的消息為(10110010101)，最終壓縮后消息為(101)，則該消息(10110010101)壓縮后的標(biāo)簽最終生成的標(biāo)簽集合為

⑤DataHoldCheck(i)：該算法為數(shù)據(jù)擁有者的持有性驗(yàn)證過程。數(shù)據(jù)擁有者隨機(jī)向云服務(wù)器挑戰(zhàn)一個(gè)密文文件，云服務(wù)器將對(duì)應(yīng)的密文ci返回給數(shù)據(jù)擁有者，數(shù)據(jù)擁有者利用GenerateTag(C)算法生成數(shù)據(jù)標(biāo)簽Tagi'，并驗(yàn)證Tag=?Tagi'，若相等，則說明數(shù)據(jù)持有性通過；否則，驗(yàn)證失敗。

（3）數(shù)據(jù)使用者

①FileSearch(Keywords)：當(dāng)數(shù)據(jù)使用者輸入搜索關(guān)鍵字集合，生成關(guān)鍵字索引集合并發(fā)送給云服務(wù)器。

②Decrypt(PK,SKu,CT)：獲得搜索后的密文C和CT后，數(shù)據(jù)擁有者通過特權(quán)樹驗(yàn)證，解密CT獲得對(duì)稱密鑰Ke，進(jìn)而解密文件密文C，獲得響應(yīng)明文信息。

系統(tǒng)每個(gè)用戶可以根據(jù)關(guān)鍵字搜索并下載云服務(wù)器上的密文，但是只有在成功解密密文文件之后，才可以對(duì)文件作相應(yīng)的操作。首先，定義一個(gè)遞歸的解密算法DecryptNode(CT,SKu,x)，這里的x代表特權(quán)樹Tp中的某個(gè)結(jié)點(diǎn)。如果這個(gè)結(jié)點(diǎn)x是葉子結(jié)點(diǎn)，便讓i成為結(jié)點(diǎn)x的屬性并進(jìn)行如下定義。

如果i∈Αu：

如果i?Αu，便定義DecryptNode(CT,SKu,x):=⊥。如果x不是葉子結(jié)點(diǎn)，該算法將按如下過程進(jìn)行：對(duì)于x的所有孩子結(jié)點(diǎn)z,調(diào)用算法DecryptNode(CT,SKu,z)并將輸出Fz存下來。定義Sx是孩子結(jié)點(diǎn)z中任意一個(gè)包含kx個(gè)孩子結(jié)點(diǎn)的集合，使得Fz≠?，如果沒有這樣的集合存在，那么這個(gè)結(jié)點(diǎn)將不滿足，算法便返回⊥。否則，計(jì)算出Fx：

這里的d=index(z)，Sx'=index(z)。

通過計(jì)算多項(xiàng)式的系數(shù)和p(0)，使用多項(xiàng)式插值法可恢復(fù)出父結(jié)點(diǎn)的值。用戶從云服務(wù)器下載了密文文件之后，從特權(quán)樹Tp的根節(jié)點(diǎn)Rp開始，迭代地調(diào)用該算法，如果這個(gè)樹被驗(yàn)證通過，就意味著該用戶被賦予了特權(quán)p，于是：

當(dāng)用戶試著去閱讀該文件時(shí)，通過下面的式子可以將解密密鑰Ke恢復(fù)出來：

最終，通過該解密密鑰，密文文件便可以被解密出來，如果用戶需要對(duì)數(shù)據(jù)文件執(zhí)行其他操作，那么該用戶首先需要被驗(yàn)證是具有該操作的一個(gè)已授權(quán)用戶。如果該操作需要第j種特權(quán)，那么該用戶需要從特權(quán)樹Tj的根結(jié)點(diǎn)Rj開始，迭代調(diào)用DecryptNode(CT,SKu,x)算法，得到。用上面同樣的方程式可以獲得Ysj，用戶將Ysj和操作請(qǐng)求一同發(fā)送給云服務(wù)器，云服務(wù)器將會(huì)檢查是否Ysj=Ej，這里的Ej∈并存儲(chǔ)在云服務(wù)端，用于云服務(wù)端權(quán)限驗(yàn)證。

（4）云服務(wù)器

5 方案分析

5.1 安全性分析

（1）該方案能夠抵抗授權(quán)中心的合謀攻擊。

本文所設(shè)計(jì)的系統(tǒng)中，利用N個(gè)屬性授權(quán)中心生成用戶屬性私鑰。每個(gè)授權(quán)中心Ak生成一個(gè)隨機(jī)的秘密參數(shù)集合，并通過安全通道將gskj與其他授權(quán)中心共享，而xk正是基于這些參數(shù)計(jì)算得來的。人們知道在素?cái)?shù)階為p的群G0上，DDH問題是難解的，因此gskj不會(huì)泄露關(guān)于skj的任何統(tǒng)計(jì)信息。這意味著即使一個(gè)敵手危害了N-2個(gè)授權(quán)中心，依舊有兩個(gè)參數(shù)skj敵手無法知道。這個(gè)敵手無法猜到這個(gè)有效的參數(shù)，進(jìn)而他無法構(gòu)造一個(gè)有效的密鑰，因此該方案能夠忍受N-2個(gè)授權(quán)中心的合謀攻擊。

（2）該方案能夠有效保護(hù)用戶的身份隱私安全，能夠?qū)崿F(xiàn)半匿名性。

定理1對(duì)于定義1的安全游戲，如果存在一個(gè)敵手以不忽略的優(yōu)勢(shì)贏得了該安全游戲，則至少存在一個(gè)概率多項(xiàng)式時(shí)間算法以不可忽略的優(yōu)勢(shì)解決DBDH困難問題。

證明 假設(shè)在本文方案中，一個(gè)概率多項(xiàng)式時(shí)間敵手的優(yōu)勢(shì)是ε，接下來將會(huì)證明能夠以ε/2的優(yōu)勢(shì)解決DBDH困難問題。

設(shè)定e:G0×G0→GT是一個(gè)雙線性映射，這里的G0是一個(gè)素?cái)?shù)階為p，生成元為g的乘法群。首先挑戰(zhàn)者拋擲一個(gè)二元硬幣u，如果u=0，則挑戰(zhàn)者設(shè)定。否則設(shè)定這里的a,b,c,κ∈Zp，且是隨機(jī)選取的。于是挑戰(zhàn)者將給模擬者simulator，在接下來的DBDH游戲中，simulator扮演者挑戰(zhàn)者的角色。

Init：攻擊者A控制著受到危害的幾個(gè)授權(quán)中心但系統(tǒng)中至少有兩個(gè)授權(quán)中心沒有被控制，剩下的授權(quán)中心被模擬者simulator控制，攻擊者接下來宣稱它打算挑戰(zhàn)特權(quán)樹T0，在該特權(quán)樹中的一些屬性被simulator所控制的授權(quán)中心掌握著。

Phase1 ：對(duì)應(yīng)于屬性集合Α1,Α2,…,Αq，攻擊者盡可能多地請(qǐng)求它想要的密鑰，而這些屬性集合被控制著，但它們均不滿足特權(quán)樹T0。當(dāng)模擬者收到這些密鑰請(qǐng)求后，將會(huì)計(jì)算私鑰的響應(yīng)組成部分，來回應(yīng)攻擊者的請(qǐng)求。對(duì)于所有的屬性i∈Au，模擬者會(huì)隨機(jī)選擇ri∈Zp，并計(jì)算Di:=A?H(att(i))ri，Di':=gri。最終，模擬者將生成的私鑰返回給攻擊者。

Challenge：敵手向挑戰(zhàn)者提交兩個(gè)挑戰(zhàn)消息m0和m1，挑戰(zhàn)者拋擲一枚硬幣γ隨機(jī)選擇mγ，并將其密文返回給敵手，消息mγ加密后的密文如下：

如果u=0，Z=e(g,g)abc以及之前已設(shè)定a=∑dk,以及Di=因此，CT*是消息mγ有效的密文，Di是用戶私鑰有效的組成部分。否則，如果u=1，Z=e(g,g)κ，于是就有E0=mγ?e(g,g)κ。因?yàn)棣省蔤p上的一個(gè)隨機(jī)元素，則從敵手的角度來看，E0是群GT中的一個(gè)隨機(jī)元素，因此密文CT*中沒有包含關(guān)于mγ的任何信息。

Phase2：適當(dāng)重復(fù)Phase1。

Guess：敵手提交關(guān)于γ的一個(gè)猜想γ′。如果γ′=γ,則模擬者simulator輸出u′=0，這樣意味著敵手給出了一個(gè)有效的DBDH元組；如果u′=1，意味著敵手給出了一個(gè)隨機(jī)的五元組(g,A,B,C,Z)。

根據(jù)之前定義的游戲規(guī)則，模擬者simulator會(huì)按照算法方式計(jì)算公共參數(shù)以及私鑰。如果u=1，則敵手將不會(huì)學(xué)習(xí)到關(guān)于γ的任何信息，因此有當(dāng)γ′≠γ時(shí)，模擬者simulator輸出他的猜想u′=1,因此有如果u=0，敵手會(huì)得到關(guān)于mγ一個(gè)有效的密文，根據(jù)定義，在這種情況之下敵手的優(yōu)勢(shì)是ε，因此有因?yàn)楫?dāng)γ′=γ時(shí)，模擬者給出了他的猜想u′=0，于是有則在該DBDH游戲中全部的優(yōu)勢(shì)為：

總結(jié)，如果一個(gè)多項(xiàng)式時(shí)間敵手在這個(gè)安全游戲中的優(yōu)勢(shì)為ε，那么在DBDH游戲中一個(gè)概率多項(xiàng)式時(shí)間敵手的優(yōu)勢(shì)為。因此，如果在這個(gè)安全游戲中，一個(gè)敵手擁有不可忽略的優(yōu)勢(shì)為ε，那么他將擁有不可忽略的優(yōu)勢(shì)去解決該DBDH游戲。因此，該安全性滿足定義2的安全性。

（3）編碼Hash安全性分析

安全性方面，該方案中編碼Hash的安全性依賴于這樣一個(gè)NP完全問題，輸入有限域Fq上的一個(gè)(n-k)×n矩陣H，向量整數(shù)k＞0，是否存在一個(gè)字其重量w(x)≤k，使得HxT=s。

文中得出結(jié)論，由于編碼Hash的壓縮函數(shù)是使用一個(gè)糾錯(cuò)碼的校驗(yàn)矩陣構(gòu)造的，且Hash函數(shù)FH的輸出相當(dāng)于計(jì)算一個(gè)(n,ω) 正則字的校驗(yàn)子，該編碼Hash的安全性可以歸約為校驗(yàn)子譯碼問題（SD）問題，且該校驗(yàn)子譯碼問題已經(jīng)被證實(shí)屬于NP完全問題，可有效抵抗目前的量子攻擊，因此對(duì)其壓縮函數(shù)求逆是幾乎不可能的，從而該方案具有更高的安全性。

5.2 性能分析

本文提出了一種電子醫(yī)療下支持?jǐn)?shù)據(jù)持有性驗(yàn)證檢索方案，主要從密文檢索以及數(shù)據(jù)持有性驗(yàn)證兩方面說明本文方案的性能優(yōu)勢(shì)。

5.2.1 密文可搜索性能分析

密文可搜索實(shí)驗(yàn)平臺(tái)的搭建主要依靠JPBC（Java Pairing-Based Cryptography Library）開源代碼庫以及Java開發(fā)平臺(tái)Myeclipse 2014。關(guān)于JPBC有以下三方面的知識(shí)：

（1）JPBC是PBC（Pairing-Based Cryptography Library）的一個(gè)子庫，利用該庫可以直接利用Java語言進(jìn)行雙線性對(duì)的基本運(yùn)算操作。

（2）利用該庫可以直接將雙線性對(duì)的運(yùn)算外包給PBC庫。

（3）該庫是關(guān)于整數(shù)上的多重線性映射的一個(gè)實(shí)現(xiàn)，該實(shí)現(xiàn)支持多線程。

總之，JPBC是密碼學(xué)研究中非常重要的工具之一。如下是本實(shí)驗(yàn)仿真運(yùn)行的操作系統(tǒng)配置信息。

（1）電腦型號(hào)：聯(lián)想ThinkPad T450s筆記本電腦；

（2）操作系統(tǒng)：Windows 10專業(yè)版64位；

（3）處理器：英特爾Core i7-5600U@2.60 GHz雙核；

（4）內(nèi)存：12 GB（三星DDR3L 1600 MHz）。

此次系統(tǒng)采用的文件數(shù)據(jù)集來自于中國知網(wǎng)上的期刊論文，根據(jù)前期計(jì)劃，本次總共在中國知網(wǎng)上收集了3000份不同的期刊論文，同時(shí)為了增強(qiáng)本次實(shí)驗(yàn)的有限性，通過修改期刊名稱以及關(guān)鍵字，將期刊論文集合一共拓展為12000份。本文主要對(duì)密文可搜索系統(tǒng)的系統(tǒng)建立、屬性私鑰生成以及安全索引生成與文獻(xiàn)[15]、文獻(xiàn)[16]進(jìn)行了效率對(duì)比分析。

（1）系統(tǒng)建立階段

圖4所示為系統(tǒng)建立效率對(duì)比，從圖中可以發(fā)現(xiàn)，本文方案在系統(tǒng)建立上具有較大的時(shí)間效率優(yōu)勢(shì)。

（2）屬性私鑰生成階段

圖5所示為屬性私鑰生成效率對(duì)比圖，從圖中可以發(fā)現(xiàn)，隨著用戶屬性個(gè)數(shù)的增加，用戶屬性私鑰的生成時(shí)間對(duì)比文件文獻(xiàn)[15]和[16]具有較大的性能優(yōu)勢(shì)。

（3）安全索引生成階段

圖6所示為安全索引生成效率對(duì)比，從圖中可以發(fā)現(xiàn)，隨著關(guān)鍵字個(gè)數(shù)的增加，安全索引生成的效率優(yōu)勢(shì)越來越明顯。

表1 方案效率對(duì)比分析

圖4 系統(tǒng)建立效率對(duì)比

圖5 屬性私鑰生成效率對(duì)比

圖6 安全索引生成時(shí)間效率對(duì)比

5.2.2 方案各個(gè)階段效率對(duì)比

為了更好地說明本文方案的效率，通過實(shí)驗(yàn)仿真將本文方案相關(guān)運(yùn)算階段與相關(guān)云存儲(chǔ)下的數(shù)據(jù)檢索方案進(jìn)行了對(duì)比。如表1所示，通過進(jìn)行系統(tǒng)建立、屬性私鑰生成、安全索引生成、特權(quán)樹建立等階段進(jìn)行了對(duì)比說明。該表中說明本文方案在系統(tǒng)生成、安全索引生成、加密以及解密階段均有較好的優(yōu)勢(shì)；本文方案支持文件特權(quán)控制以及數(shù)據(jù)持有性驗(yàn)證功能，而文獻(xiàn)[15]和[16]不支持。

5.2.3 編碼Hash函數(shù)效率分析

如表2所示是編碼Hash函數(shù)的數(shù)據(jù)壓縮時(shí)間開銷對(duì)比，由于采用的糾錯(cuò)碼的能力不一樣，輸入每比特?cái)?shù)據(jù)的時(shí)間開銷不一樣，根據(jù)以上3種時(shí)間開銷對(duì)比，當(dāng)糾錯(cuò)碼碼長為n=1024時(shí)，每比特的平均時(shí)間開銷最小。

表2 平均壓縮時(shí)間對(duì)比

5.2.4 數(shù)據(jù)持有性相關(guān)方案效率對(duì)比分析

本文所提方案中基于編碼Hash函數(shù)的數(shù)據(jù)持有性驗(yàn)證功能是本文的創(chuàng)新點(diǎn)，為了更好地說明該數(shù)據(jù)持有性的驗(yàn)證效率，將本文方案與相關(guān)數(shù)據(jù)持有性驗(yàn)證方案進(jìn)行了對(duì)比。如表3所示，本文方案在數(shù)據(jù)持有性驗(yàn)證上有明顯的效率優(yōu)勢(shì)。

表3 數(shù)據(jù)持有性驗(yàn)證效率對(duì)比

6 結(jié)束語

基于屬性加密以及編碼Hash相關(guān)知識(shí)，本文方案提出了一個(gè)電子醫(yī)療環(huán)境下支持?jǐn)?shù)據(jù)持有性驗(yàn)證的數(shù)據(jù)檢索方案。通過構(gòu)造特權(quán)樹，實(shí)現(xiàn)了對(duì)隱私文件的細(xì)粒度控制；通過編輯距離以及相關(guān)安全索引，實(shí)現(xiàn)了容錯(cuò)多關(guān)鍵字搜索；通過編碼Hash，實(shí)現(xiàn)了數(shù)據(jù)持有性驗(yàn)證。通過一定的安全分析以及實(shí)驗(yàn)性能測(cè)試，說明本文方案具有一定的安全性，并在實(shí)際應(yīng)用中具有一定的實(shí)用價(jià)值。