黃娜娜，沈 亮，楊元原

公安部第三研究所，上海200031

1 引言

隨著計算機(jī)技術(shù)的飛速發(fā)展，云計算得到了廣泛的應(yīng)用，如各種互聯(lián)網(wǎng)服務(wù)提供商的網(wǎng)絡(luò)郵件、新浪、微博、微信、QQ 等。個人健康檔案（Personal Health Record，PHR）作為一種新興的健康信息交換模式在醫(yī)療云中成為研究的熱點話題。在醫(yī)療云系統(tǒng)中，每個PHR 數(shù)據(jù)擁有者在云端服務(wù)器中都會創(chuàng)建屬于他們自己的個人健康檔案，在那里他們可以與許多用戶共享他們的健康信息，包括醫(yī)療服務(wù)提供商、個人醫(yī)生、家庭成員和朋友。在PHR 系統(tǒng)中，PHR 數(shù)據(jù)擁有者可以隨時在網(wǎng)上創(chuàng)建、修改和控制他們的個人檔案，從而提高醫(yī)療信息的存儲和共享效率。為了保護(hù)PHR數(shù)據(jù)擁有者的數(shù)據(jù)隱私，PHR 系統(tǒng)里的醫(yī)療數(shù)據(jù)都是加密的，這就需要PHR數(shù)據(jù)擁有者先對健康檔案進(jìn)行加密，然后再上傳至云服務(wù)器。由于PHR數(shù)據(jù)擁有者不知道哪些人會看到自己的病歷，他們可以根據(jù)每個人的屬性設(shè)置一些訪問策略。例如，只有符合一定條件的群組才能看到他們的病歷，組中的成員可能是動態(tài)的。因此，對醫(yī)療數(shù)據(jù)內(nèi)容信息進(jìn)行保護(hù)的實質(zhì)是建立高效的動態(tài)組加密機(jī)制，實現(xiàn)對動態(tài)醫(yī)生組的數(shù)據(jù)訪問控制。

醫(yī)療云帶來了很多好處，但是也有一個關(guān)鍵問題需要解決，由于高昂的維護(hù)成本和復(fù)雜的網(wǎng)絡(luò)及設(shè)備管理，很多醫(yī)療服務(wù)都是外包給第三方服務(wù)商的，這樣PHR 數(shù)據(jù)擁有者的個人健康檔案就會存儲在第三方服務(wù)器中，由于醫(yī)療數(shù)據(jù)涉及PHR 數(shù)據(jù)擁有者的個人隱私，一旦出現(xiàn)隱私泄漏問題，會對他們造成嚴(yán)重的損失，他們能否完全相信第三方服務(wù)器是隨之出現(xiàn)的問題。目前，盡管相關(guān)法律法規(guī)比較完善，特別是隱私泄漏問題，近年來都得到相關(guān)部門的高度重視，但是，仍然存在一些非法用戶利用一些非法手段竊取PHR所有者的隱私，這可能會對PHR 數(shù)據(jù)擁有者造成極大的損害。更糟糕的是，作為第三方，云服務(wù)器是半可信的，他們可能與非法用戶串通，竊取PHR 用戶的隱私，獲取高額利潤，給PHR用戶造成一定的損失。

2 相關(guān)研究

根據(jù)國內(nèi)外研究，最初的訪問控制方案主要是基于傳統(tǒng)的PKE[1]技術(shù)來實現(xiàn)的。后來，許多研究利用基于屬性加密ABE實現(xiàn)訪問控制[2]。然而，屬性加密的有效性和屬性撤銷一直是研究過程中難以解決的問題。為了實現(xiàn)屬性撤銷，Pirretti 等人[3]考慮在系統(tǒng)中分配屬性的失效周期，但該方案不能實現(xiàn)高效及時的屬性撤銷。Hur等人[4]針對這個問題，引入了合適的代理服務(wù)器，實現(xiàn)了細(xì)粒度屬性撤銷CP-ABE 方案，但是，在屬性更新階段，它會導(dǎo)致系統(tǒng)瓶頸問題。為了解決屬性更新帶來的系統(tǒng)瓶頸問題，Green等人[5]首次提出了一種外包解密ABE方案。在他們的方案中，傳統(tǒng)的私鑰被分解為用戶密鑰和轉(zhuǎn)換密鑰。但是，該方案不適用于授權(quán)中心較多的系統(tǒng)。基于這種思想，Yang 等人[6-7]提出了多授權(quán)中心的CP-ABE 方案。但是方案中的外包解密沒有驗證正確性?？偠灾?，現(xiàn)有的CP-ABE云存儲方案存在以下缺點：在云存儲系統(tǒng)中，多權(quán)限場景更能滿足實際需求。但相應(yīng)的CP-ABE訪問控制方案還不夠成熟，現(xiàn)有的方案大多基于一個授權(quán)中心，容易帶來單點故障、系統(tǒng)瓶頸等問題，無法滿足實際應(yīng)用的需要?，F(xiàn)有方案仍然不支持高效靈活的用戶和屬性撤銷。當(dāng)撤銷發(fā)生時，系統(tǒng)的計算成本較高，大量的密鑰更新也給授權(quán)中心帶來了很大的管理負(fù)擔(dān)。

通過以上分析，提出了一種基于多個授權(quán)中心的改進(jìn)CP-ABE方案，并應(yīng)用在PHR系統(tǒng)中。在該方案中，大部分加密解密計算都可以外包給云服務(wù)提供商（CSP），用戶只需完成少量計算，大大減輕了數(shù)據(jù)所有者和用戶的計算負(fù)擔(dān)。同時，根據(jù)所提出的計算外包方案，設(shè)計了相應(yīng)的外包結(jié)果驗證方案和相應(yīng)的用戶和屬性撤銷方案。當(dāng)撤銷發(fā)生時，無需復(fù)雜的更新操作，只需刪除被撤銷用戶存儲在云中的代理密鑰即可。總體來說，該方案主要有以下幾個優(yōu)勢：

（1）結(jié)合文獻(xiàn)[8-9]的分域思想，本文將PHR系統(tǒng)中的PHR用戶域分為公共域（PUD）和個人域（PSD）兩個域。在PSD中，由于用戶數(shù)量較少，且用戶具有明確的身份，分別使用改進(jìn)的聚合密鑰加密方案（Key-Aggregate Encryption，IKAE）和改進(jìn)的基于屬性的簽名方案（Attributebased Signature，IABS）實現(xiàn)用戶的讀寫訪問權(quán)限，大大提高了訪問效率。而對于擁有大量身份不確定用戶的PUD，采用外包的基于屬性的加密（CP-ABE）方案，該方案可以保護(hù)患者的隱私，并減少計算負(fù)擔(dān)。

（2）與其他方案不同，本文采用了一種改進(jìn)的基于屬性的簽名（IABS）[10-12]方案來實現(xiàn)PSD的寫訪問控制。使用該方案進(jìn)行寫訪問控制，個人醫(yī)生或朋友可以在不透露身份的情況下修改PHR用戶的電子病歷（EMR）。

（3）在PUD，與以前的外包解密技術(shù)相比，使用了改進(jìn)的外包CP-ABE方案。該方案不僅可以大大減少PHR用戶的計算開銷，還可以減少PHR 數(shù)據(jù)擁有者的計算開銷。本文所采用的方案可以降低云服務(wù)提供商外包加密解密的復(fù)雜度，并支持高效的屬性撤銷。此外，采用多機(jī)構(gòu)授權(quán)來避免單點故障和復(fù)雜的密鑰分配問題。同時，該方案在公共領(lǐng)域中為用戶和屬性撤銷設(shè)計了相應(yīng)的算法。當(dāng)用戶撤銷發(fā)生時，不需要執(zhí)行復(fù)雜的更新操作，只需刪除存儲在云中被撤銷的用戶的代理密鑰。對于屬性撤銷，大多數(shù)更新和重新加密計算都外包給了云服務(wù)提供商，用戶只需執(zhí)行少量計算。

3 方案描述

如圖1所示，采用分域的思想將用戶區(qū)域劃分成兩個：私有域和公有域，兩個區(qū)域分別設(shè)置不同的加密方案。該方案的系統(tǒng)框架包括：PHR 數(shù)據(jù)擁有者、PHR 用戶、PSD 區(qū)域、PUD 區(qū)域、根授權(quán)機(jī)構(gòu)CA、區(qū)域授權(quán)機(jī)構(gòu)AA、云服務(wù)提供商。PHR 數(shù)據(jù)擁有者將個人健康檔案存儲在云服務(wù)器；云服務(wù)器負(fù)責(zé)分發(fā)合法的PHR 用戶申請的PHR文件；CA負(fù)責(zé)管理各個AA，包括密鑰分發(fā)等。

在私有域中，PHR用戶很少，通常，PHR數(shù)據(jù)擁有者會為他的朋友和家人設(shè)置一些不同的訪問權(quán)限。例如，PHR 數(shù)據(jù)擁有者可能不想讓他的朋友看到他的一些敏感信息，PHR 數(shù)據(jù)擁有者可能會向家人隱瞞一些病情等。因此，在PSD 中，本文使用改進(jìn)的聚合密鑰加密算法（IKAE）來實現(xiàn)讀訪問權(quán)限。此外，還提出了PSD 的寫訪問權(quán)限。對于PHR 用戶來說，公鑰和文件類標(biāo)簽都是已知的，他可以在修改后加密文件，然后將它們上傳到云中。由于PUD 中有大量未知的PHR 用戶，因此本文采用可撤銷的外包MA-ABE方案來實現(xiàn)安全高效的數(shù)據(jù)共享。該方案基于外包加密解密，結(jié)合了多授權(quán)機(jī)構(gòu)和屬性撤銷機(jī)制，多授權(quán)機(jī)構(gòu)的引入不僅簡化了密鑰管理的復(fù)雜性，而且避免了單點故障問題；外包的加密和解密技術(shù)大大減少了PHR數(shù)據(jù)擁有者和PHR用戶的計算開銷。同時，該方案在公共域中可以實現(xiàn)高效的屬性撤銷、動態(tài)更新和分布式授權(quán)等功能。

圖1 系統(tǒng)框架圖

3.1 PSD讀訪問權(quán)限實現(xiàn)方案

對于私有域PSD，文獻(xiàn)[13]采用了YWRL可撤銷的KP-ABE 方案[14]，優(yōu)點是它適用于具有一定身份的少量用戶的場景，缺點是加密和解密的復(fù)雜性會隨著屬性的增加而增加，因此，本文采用改進(jìn)的聚合密鑰加密算法[15]，該算法使用固定大小的密鑰，不會隨著屬性個數(shù)的增加而增加。原來的聚合密鑰加密方案僅涉及直接通信的加密方和解密方，并且雙方計算量很大。為了實現(xiàn)高效的訪問控制，減少PHR 用戶和PHR 數(shù)據(jù)擁有者的計算負(fù)擔(dān)，引入負(fù)責(zé)密鑰生成和管理的可信第三方。在改進(jìn)的聚合密鑰加密方案中，公鑰和公共參數(shù)使由第三方生成的，可以減少用戶的計算負(fù)擔(dān)。此外，在添加第三方后，此場景成為間接通信，因此，PHR所有者只需設(shè)置PHR文件訪問權(quán)限，對其進(jìn)行加密，并上傳到服務(wù)器。當(dāng)PHR 用戶訪問PHR 文件時，第三方首先判斷PHR 用戶的訪問權(quán)限，然后將與授權(quán)PHR 文件相對應(yīng)的私鑰聚合成一個常量大小的聚合密鑰，發(fā)送給PHR用戶。IKAE方案大大降低了PHR擁有者的計算負(fù)擔(dān)，實現(xiàn)了高效的讀訪問權(quán)限。具體算法實現(xiàn)框架如圖2所示：假設(shè)PHR用戶具有訪問文件1、3、6的權(quán)限。

3.2 PSD寫訪問權(quán)限實現(xiàn)方案

在PSD 中，一些PHR 用戶具有對PHR 文件的讀權(quán)限和寫權(quán)限。PHR數(shù)據(jù)擁有者可以決定誰擁有寫權(quán)限，誰擁有讀權(quán)限。如果PHR用戶想要修改他看到的PHR文件，他可以加密修改后的文件。對于PHR用戶，公鑰和PHR 文件標(biāo)簽都是已知的，他可以實現(xiàn)加密算法直接加密文件，然后上傳到云中。問題是云服務(wù)是否存儲修改后的PHR 文件。為了確保安全的寫訪問策略，本文采用改進(jìn)的基于屬性的簽名（IABS）來實現(xiàn)PHR用戶的寫權(quán)限。

在IABS 框架中，如圖3 所示，PHR 用戶首先修改PHR 文件，對修改后的文件進(jìn)行加密，使用基于屬性的簽名方法進(jìn)行簽名，然后將其上傳到云服務(wù)器。云服務(wù)器使用基于屬性的簽名對PHR用戶進(jìn)行身份驗證。如果身份驗證成功，說明PHR 數(shù)據(jù)擁有者已經(jīng)授權(quán)給該用戶修改文件的權(quán)限，云服務(wù)器會將修改后的文件加密存儲。在基于屬性的簽名中，CA將生成所有PHR用戶共享的主密鑰和系統(tǒng)參數(shù)，并將參數(shù)和主密鑰發(fā)送給PHR 所有者。中間介的作用是使用簽名密鑰的一部分檢查PHR用戶的屬性和有效性。

圖3 IABS算法實現(xiàn)框架

3.3 PUD改進(jìn)的外包MA-ABE方案

3.3.1 方案設(shè)計

對于PUD，之前提出的方案都是采用ABE 進(jìn)行加密，并應(yīng)用于公共領(lǐng)域。但是，ABE的計算量太大。為了減少用戶的開銷，Green 等人[5]提出ABE 外包解密方案。但該方案系統(tǒng)中只有一個授權(quán)機(jī)構(gòu)，容易導(dǎo)致系統(tǒng)瓶頸，而且PHR 用戶的加密計算量大。針對這兩個問題，F(xiàn)an等人[9]提出可外包的MA-ABE方案，該方案引入多授權(quán)機(jī)構(gòu)可以解決單點故障問題，為了減輕PHR 用戶的計算負(fù)擔(dān)，提高系統(tǒng)的訪問效率，解密過程中將復(fù)雜的計算都外包給了云服務(wù)提供商，PHR用戶最終只需完成指數(shù)運算即可。但它不能解決PHR數(shù)據(jù)擁有者計算量大的問題。因此，基于這種外包思想，本文方案將進(jìn)一步優(yōu)化計算效率，將部分加密計算外包給云服務(wù)器，減少PHR 擁有者的計算負(fù)擔(dān)。首先由云服務(wù)商對加密過程中的部分生成項進(jìn)行運算，然后將生成的結(jié)果作為部分密文傳給PHR 數(shù)據(jù)擁有者。因為加密過程中，被加密的明文始終在數(shù)據(jù)擁有者手中，不會被云服務(wù)商竊取，所以不會造成數(shù)據(jù)擁有者的數(shù)據(jù)隱私泄露問題。解密的時候，首先由云服務(wù)器生成轉(zhuǎn)換密鑰傳送給PHR用戶端的代理服務(wù)器，由代理服務(wù)器進(jìn)行部分復(fù)雜的屬性解密，然后代理服務(wù)器將部分解密密文傳給PHR用戶，PHR用戶再在自己的服務(wù)器中進(jìn)行簡單的解密運算即可解密出明文。這樣將加密過程和解密過程中的屬性運算都外包的思想大大降低了PHR數(shù)據(jù)擁有者和PHR 用戶的屬性加解密復(fù)雜度，也不會造成明文的泄露，保護(hù)了數(shù)據(jù)隱私。綜上所述，PUD的基本框架如圖4所示。

圖4 外包MA-ABE方案框架

3.3.2 可撤銷外包MA-ABE算法的具體步驟

全局初始化(Global Setup(λ,U)→{GP,uid,aid})：該算法由CA 運算，輸入一個系統(tǒng)安全參數(shù)λ 和屬性域U，輸出全局公共參數(shù)GP，用戶身份IDuid 和授權(quán)中心標(biāo)記aid。

授權(quán)中心初始化(Authority Setup(aid)→{PKaid,SKaid,{PKxk}aid∈IA})：該算法由各個授權(quán)中心運算，輸入授權(quán)中心標(biāo)記aid ，輸出一對授權(quán)中心的公鑰PKaid和私鑰SKaid，并為該授權(quán)中心管理的每個屬性都生成一個屬性公鑰{PKxk}aid∈IA。

外包加密(Encrypt_out(GP,{PKxk}aid∈IA)→CTout：該算法由云服務(wù)商運算，輸入全局公共參數(shù)GP 和屬性公鑰{P Kxk}aid∈IA，輸出部分加密的密文CTout。

數(shù)據(jù)擁有者加密(Encrypt_do(GP,PKaid,{PKxk}aid∈IA,CTout,M,(A,ρ))→CT)：PHR數(shù)據(jù)擁有者執(zhí)行該算法，輸入全局公共參數(shù)GP，相關(guān)授權(quán)中心的公鑰PKaid，屬性公鑰{PKxk}aid∈IA，部分加密的密文CTout，明文M 和訪問結(jié)構(gòu)A，輸出加密后的完整密文CT 。

密鑰生成(KeyGen(GP,uid,Suid,aid,SKaid,{PKxk}aid∈IA)→{PxKuid,aid,SKuid})：授權(quán)中心執(zhí)行該算法，輸入全局公共參數(shù)GP，用戶身份IDuid ，一組用戶的屬性集Suid,aid，授權(quán)中心的私鑰Said,uid以及屬性公鑰{PKxk}aid∈IA，輸出代理密鑰PxKuid,aid和用戶私鑰SKuid。

外包解密(Decypt_out(GP,CT,PxKuid,aid,{PKxk}aid∈IA)→CT′：該算法由云服務(wù)商執(zhí)行，輸入全局公共參數(shù)GP，密文CT ，用戶的代理密鑰PxKuid,aid以及屬性公鑰{PKxk}aid∈IA，輸出部分解密的密文CT′。

用戶解密(Decrypt_user(CT,CT′,SKuid)→M)：PHR用戶執(zhí)行該算法，輸入密文CT ，部分解密的密文CT′以及用戶私鑰SKuid，輸出明文M 。

4 系統(tǒng)仿真和性能分析

4.1 安全性分析

在PSD 中，采用改進(jìn)的聚合密鑰加密方案來實現(xiàn)PHR用戶的讀訪問控制，因為PHR文件是加密的，而且PHR 數(shù)據(jù)擁有者對PHR 文件分別設(shè)置不同的訪問權(quán)限，所以對于一般用戶來說，他們無法獲知PHR文件的內(nèi)容。對于云服務(wù)提供商來說，加密的PHR 文件包含不同的隨機(jī)數(shù)t，所以云服務(wù)提供商也無法竊取PHR文件的信息，從而達(dá)到了數(shù)據(jù)擁有者的隱私保護(hù)。

如表1 所示，與其他方案相比，本文方案在PUD 可以實現(xiàn)隱私保護(hù)。首先，從合謀攻擊的角度分析，由于PUD區(qū)域采用外包的CP-ABE方案，需要考慮云服務(wù)器及其與非法用戶之間的勾結(jié)。由于每個PHR 用戶的TK 不同，所以TK 中包含的參數(shù)z 與相應(yīng)的PHR用戶綁定。因此不可能將不同的TK 組合起來解密PHR 文件，從而抵抗用戶的合謀攻擊。其次，在授權(quán)中心類型方面，本文方案采用多授權(quán)機(jī)構(gòu)，每個授權(quán)機(jī)構(gòu)管理部分屬性，每個PHR 用戶的私鑰由一組不同的授權(quán)機(jī)構(gòu)授權(quán)，如醫(yī)院、機(jī)構(gòu)、保險機(jī)構(gòu)或研究機(jī)構(gòu)。根據(jù)PHR用戶的屬性，這些機(jī)構(gòu)可以分別生成所需要的私鑰并發(fā)送給PHR用戶。PHR用戶所擁有的屬性集是由各授權(quán)機(jī)構(gòu)聯(lián)合分發(fā)的，這樣可以避免由單授權(quán)機(jī)構(gòu)管理所導(dǎo)致的單點故障問題。第三，從訪問策略方面來看，該方案采用矩陣訪問結(jié)構(gòu)，與以前的樹結(jié)構(gòu)相比更加安全。最后，該方案采用屬性撤銷，比之前的訪問控制列表更細(xì)粒度、更安全。總而言之，本文方案可以保證PHR數(shù)據(jù)擁有者的隱私安全。

表1 安全性比較

4.2 復(fù)雜度分析

在PSD 中，IKAE 方案中的聚合密鑰和密文的大小是不變的都是2G+GT，不會隨著屬性的增多而變化，因此，采用這種方案來實現(xiàn)讀訪問權(quán)限，提高了訪問效率。

為了分析該方案在PUD 中的復(fù)雜性，將該方案與現(xiàn)有的兩種方案進(jìn)行了比較，并給出3種方案的時間仿真圖。假設(shè)有10個授權(quán)機(jī)構(gòu)共同管理100個屬性，平均每個授權(quán)機(jī)構(gòu)管理10個屬性，3種方案的用戶解密時間隨屬性個數(shù)的變化曲線圖如圖5所示，用戶加密時間隨屬性個數(shù)的變化曲線圖如圖6 所示。所涉及到的相關(guān)符號和對應(yīng)含義如表2 所示，各方案的計算結(jié)果如表3所示。

表2 符號及對應(yīng)含義

圖5 PHR用戶解密時間隨屬性個數(shù)的關(guān)系

圖6 PHR數(shù)據(jù)擁有者加密時間隨屬性個數(shù)的關(guān)系

在PUD 中，采用了外包的CP-ABE 訪問控制方案。將從以下幾個方面分析該方案的效率：首先從解密時間上看，與其他方案相比，PHR 用戶只需一次指數(shù)運算即可解密部分由云服務(wù)提供商解密的ElGamal 形式的密文。其次，從PHR數(shù)據(jù)擁有者執(zhí)行的加密時間來看，在本文方案中，加密過程中最復(fù)雜的操作都外包給了CSP。PHR 數(shù)據(jù)擁有者只需要完成一個普通的公鑰加密，指數(shù)運算，而這些計算均和屬性無關(guān)，所以加密時間是一個恒定值，綜合以上幾個方面，該方案大大減少了PHR數(shù)據(jù)擁有者和PHR用戶的計算開銷。

5 結(jié)束語

本文提出了一種基于CP-ABE 外包的個人健康檔案訪問控制方案。在該方案中，PHR 用戶分為個人域（PSD）和公共域（PUD）。在PSD 中，分別采用改進(jìn)的密鑰聚合加密（IKAE）和改進(jìn)的基于屬性的簽名（IABS）來實現(xiàn)讀訪問權(quán)限和寫訪問權(quán)限。對于PUD 的PHR用戶，使用外包的MA-ABE 技術(shù)，在很大程度上減輕PHR 數(shù)據(jù)擁有者和PHR 用戶的計算負(fù)擔(dān)，該方案還可以實現(xiàn)有效及時的用戶和屬性撤銷。最后，通過仿真結(jié)果和性能分析驗證了該方案能夠?qū)崿F(xiàn)隱私保護(hù)。

表3 計算開銷