賀智明，徐億達(dá)

江西理工大學(xué) 信息工程學(xué)院，江西 贛州341000

電子病歷（Electronic Medical Record，EMR）作為在醫(yī)療中臨床診斷和治療的高度敏感的私人信息，而EMR共享是提高醫(yī)療服務(wù)質(zhì)量、加速生物醫(yī)學(xué)發(fā)現(xiàn)和降低醫(yī)療成本的一種有效的方法[1]。然而，大多數(shù)私人診所和醫(yī)療機構(gòu)通常使用內(nèi)部網(wǎng)絡(luò)來跟蹤他們的患者，但不與其他醫(yī)療機構(gòu)實現(xiàn)數(shù)據(jù)共享[2]，從而導(dǎo)致醫(yī)療服務(wù)難度大和費用高以及信息孤島現(xiàn)象。為了解決現(xiàn)有EMR共享的問題，需要構(gòu)建一個安全的數(shù)據(jù)共享基礎(chǔ)設(shè)施。如今，隨著醫(yī)療數(shù)據(jù)激增，對存儲和計算資源的需求也日益增加[3]，很多醫(yī)療機構(gòu)傾向于將數(shù)據(jù)外包存儲在數(shù)據(jù)中心。因為可能存在敏感信息，甚至數(shù)據(jù)中心也可能是惡意的，所以數(shù)據(jù)通常在外包前加密。然而，加密反過來會阻礙數(shù)據(jù)的利用，例如頻繁的搜索操作會消耗帶寬。因此，需要提出關(guān)鍵字可搜索加密技術(shù)來解決上述問題。

使用傳統(tǒng)的加密機制來確保靜態(tài)數(shù)據(jù)和傳輸數(shù)據(jù)的機密性。但是，這種方法限制了用戶共享和搜索加密數(shù)據(jù)的能力，從而影響了用戶的搜索體驗。為了最小化強加給數(shù)據(jù)用戶的解密開銷，外包解密機制的密文-策略屬性基加密利用轉(zhuǎn)換密鑰將原始密文轉(zhuǎn)換成一個可以用一次冪運算解密的密文。然而，不能保證惡意云服務(wù)器執(zhí)行轉(zhuǎn)換的正確性。另一個缺點是密文長度隨著每個訪問策略的復(fù)雜性而線性增加，因為描述訪問策略的布爾公式通常是根據(jù)線性秘密共享方案（Linear Secret Sharing Scheme，LSSS）設(shè)計的[4]。布爾公式的大小通常比析取范式（Disjunctive Normal Form，DNF）[5]中子句的數(shù)量大得多。考慮到惡意云服務(wù)器可能執(zhí)行一小部分搜索操作并返回一小部分錯誤的搜索結(jié)果，因此，出現(xiàn)了可靠性問題。

區(qū)塊鏈技術(shù)顯示了其解決可靠性問題的潛力。在醫(yī)療保健領(lǐng)域，隱私、安全和互操作性這三個因素極其重要。醫(yī)療機構(gòu)之間的互操作性仍然是一個嚴(yán)峻的挑戰(zhàn)。一種名為區(qū)塊鏈的新興技術(shù)被研究作為EMR管理的潛在解決方案[6]。區(qū)塊鏈?zhǔn)且环N適用于EMR存儲和查詢的高度分布式數(shù)據(jù)結(jié)構(gòu)，區(qū)塊鏈固有地使EMR中的添加、查詢和修改能夠通過所有相關(guān)方的共識得到驗證和記錄[7]。然而，EMR使用區(qū)塊鏈的一個關(guān)鍵挑戰(zhàn)是，區(qū)塊鏈設(shè)計的最初重點不是限制未經(jīng)授權(quán)的粒度訪問，以避免使用區(qū)塊鏈實施的EMR的特定機密部分[8]，這意味著區(qū)塊鏈設(shè)計可以保護(hù)EMR的數(shù)據(jù)完整性。

到目前為止，已經(jīng)有很多關(guān)于區(qū)塊鏈技術(shù)與可搜索加密技術(shù)的方案被提出。Liu等提出了一種具有高效撤銷和解密功能的區(qū)塊鏈輔助可搜索屬性加密算法，在區(qū)塊鏈的協(xié)助下解決了在選擇明文攻擊和選擇關(guān)鍵字攻擊下的安全性安全問題[9]，但是造成了密文長度過大的問題。Yang等提出了一種基于區(qū)塊鏈的EMR數(shù)據(jù)搜索方案，基于屬性加密機制，實現(xiàn)了云數(shù)據(jù)的細(xì)粒度訪問控制，并利用屬性簽名技術(shù)驗證了EMR數(shù)據(jù)源的真實性[10]，這無疑使帶寬和通信消耗過大。Niu等提出了一種基于許可區(qū)塊鏈的醫(yī)療數(shù)據(jù)共享方案，該方案使用基于密文的屬性加密來保證醫(yī)療數(shù)據(jù)的機密性和訪問控制，在隨機預(yù)言模型下對自適應(yīng)選擇關(guān)鍵詞攻擊具有不可區(qū)分性[11]，但是存在計算開銷大的問題。Jiang等提出了一個布隆過濾器支持的多關(guān)鍵字搜索協(xié)議，提高了效率和隱私保護(hù)，基于屬性加密機制的解密開銷隨著訪問策略的復(fù)雜性或數(shù)據(jù)用戶屬性的數(shù)量而線性增加[12]，但是存在較高的誤報率。

因此，為了解決現(xiàn)有的問題，本文提出了基于區(qū)塊鏈的可搜索EMR數(shù)據(jù)共享方案，解決了帶寬和通信消耗大、密文長度長、搜索速度慢且計算開銷大的問題。本方案的主要貢獻(xiàn)如下：

（1）原始的EMR存儲在私有鏈中，索引存儲在防篡改的聯(lián)盟鏈中。

（2）通過基于密文策略屬性的關(guān)鍵字搜索實現(xiàn)細(xì)粒度的訪問控制。通過用屬性上的任何布爾公式指定表達(dá)性訪問策略，實現(xiàn)了對加密數(shù)據(jù)的細(xì)粒度訪問控制，可以進(jìn)一步最小化帶寬和通信消耗。

（3）短密文長度。本文的方案中的密文長度隨DNF形式的子句數(shù)或訪問結(jié)構(gòu)中布爾公式的大?。ㄈQ于哪個值較?。┒`活地線性增長。此外，門限簽名機制將由門限數(shù)目的數(shù)據(jù)擁有者生成的多個簽名轉(zhuǎn)換為單個門限簽名，進(jìn)一步減少了密文長度。

（4）快速（外包）解密。允許私有鏈服務(wù)器通過使用其密鑰來執(zhí)行最耗時的配對操作，這在數(shù)據(jù)用戶方留下了一小部分輕量級操作。外包解密開銷不會隨著DNF形式的子句數(shù)量或訪問布爾公式的大小而變化，這進(jìn)一步加快了搜索過程。

（5）搜索結(jié)果驗證。允許公共驗證者代表數(shù)據(jù)用戶檢查搜索結(jié)果的正確性，而不會泄露隱私。這降低了資源受限的數(shù)據(jù)用戶的計算需求。

1 預(yù)備知識

1.1 區(qū)塊鏈技術(shù)

區(qū)塊鏈?zhǔn)且环N分布式數(shù)據(jù)庫或公共分類賬本[13]，其中經(jīng)過驗證的交易和數(shù)字事件在數(shù)據(jù)區(qū)塊中按時間順序保存和連接在一起。所謂的數(shù)據(jù)塊由交易發(fā)起者提交的數(shù)據(jù)和交易驗證者產(chǎn)生的新記錄組成。此外，每個塊都標(biāo)有時間戳和前一個塊的散列，這使得區(qū)塊鏈的數(shù)據(jù)不可改變且可追蹤。該分布式P2P網(wǎng)絡(luò)中的每個節(jié)點都保留相同的事務(wù)記錄副本，這提供了對單點失效和攻擊的魯棒性[14]。一個區(qū)塊鏈由許多與哈希值鏈接的區(qū)塊組成，每個塊包含數(shù)據(jù)、加密哈希值和時間戳，并且數(shù)據(jù)可以包含幾個屬性及其值。一個塊的哈希值由先前的哈希值和當(dāng)前塊中的數(shù)據(jù)產(chǎn)生。這意味著哈希值用于建立兩個塊之間的鏈接，任何錯誤和失真的數(shù)據(jù)都將通過驗證哈希值計算出來。

1.2 雙線性映射

設(shè)Q、QT代表f階的兩個有限乘法群，其中f為大素數(shù)[15]。此外，設(shè)q為Q的生成元，Zf為有限域，則雙線性映射e:Q×Q→QT對所有有三個特征。

1.3 LSSS矩陣

設(shè)O表示GA上的訪問結(jié)構(gòu)[16]，則存在一個LSSS矩陣和一個將Ψ的每一行映射到O中的一個屬性的函數(shù)Θ。元組( )Ψ,Θ通過與列向量o=組合來表示LSSS訪問策略，其中m表示要共享的秘密值。假設(shè)M表示( )Ψ,Θ所描述的一個授權(quán)集，N*表示Ψ中的一組行，使得N*=，那么可以找到滿足的常數(shù)

1.4 計算Diffie-Hellman問題

計算Diffie-Hellman問題（The Computational Diffie-Hellman Problem，CDH）：

給定循環(huán)群Q，取階為f，設(shè)q∈Q為循環(huán)群Q的

1.5 離散對數(shù)問題

離散對數(shù)問題（The Discrete Logarithm Problem，

DLP）：

給定阿貝爾群（Abelian Group）又稱交換群或加群G，對于任意q∈G，設(shè)m>1且令qm表示為q×q×…×q，其中q出現(xiàn)了m次，而尋找m是困難的。

2 系統(tǒng)模型

本章介紹基于區(qū)塊鏈的可搜索EMR數(shù)據(jù)共享模型和區(qū)塊鏈系統(tǒng)中EMR交易序列模型。

2.1 基于區(qū)塊鏈的可搜索EMR數(shù)據(jù)共享模型

本方案基于密文策略屬性的關(guān)鍵字搜索實現(xiàn)細(xì)粒度的訪問控制。其中，私有鏈中存儲原始的EMR，聯(lián)盟鏈中存儲關(guān)鍵詞索引。使用門限簽名機制減小密文長度，利用快速外包解密加快搜索過程。在本文的設(shè)計中，系統(tǒng)由以下各參與方組成：聯(lián)盟鏈（CB）、私有鏈（PB）、患者（PA）和數(shù)據(jù)請求用戶（DRU）。圖1為本方案的系統(tǒng)模型。

圖1 基于區(qū)塊鏈的可搜索EMR模型Fig.1 Searchable EMR model based on blockchain

（1）聯(lián)盟鏈（CB）：所有的醫(yī)療機構(gòu)共同構(gòu)成，負(fù)責(zé)生成公共參數(shù)、系統(tǒng)密鑰以及控制點和信息系統(tǒng)的密鑰，負(fù)責(zé)授予密鑰；負(fù)責(zé)存儲EMR的關(guān)鍵字密文；一旦接收到搜索結(jié)果，CB通過以挑戰(zhàn)-應(yīng)答模式與私有鏈服務(wù)器交互來調(diào)用搜索結(jié)果驗證機制。如果搜索結(jié)果正確，CB將它們以及轉(zhuǎn)換后的密文發(fā)送給DRU，否則，拒絕服務(wù)。請注意，CB可以檢查搜索結(jié)果的正確性。

（2）私有鏈（PB）：負(fù)責(zé)存儲加密后的EMR；私有鏈服務(wù)器（PBS）：負(fù)責(zé)分發(fā)密鑰，一個醫(yī)療機構(gòu)的內(nèi)部服務(wù)器進(jìn)行部分計算，以處理搜索查詢。根據(jù)DRU的搜索請求提供密文檢索服務(wù)。PBS還在搜索階段執(zhí)行代價高昂的密文轉(zhuǎn)換，從而在DRU上留下輕量級的密文解密操作。一旦DRU的屬性和陷門分別與訪問策略和索引匹配，PBS將搜索結(jié)果和轉(zhuǎn)換后的密文一起返回給CB。

（3）患者（PA）：根據(jù)公共參數(shù)生成自己的公鑰和私鑰對，使用指定的訪問策略對EMR加密密鑰進(jìn)行加密，并根據(jù)提取的關(guān)鍵字建立索引，并將帶有可搜索密文的文檔存儲在PB上。

（4）數(shù)據(jù)請求用戶（DRU）：每個請求用戶基于動態(tài)口令生成自己的公鑰和私鑰對，并計算感興趣的特定關(guān)鍵字的陷門。它解密從私有鏈返回的搜索結(jié)果，并獲得滿足搜索查詢的文檔的索引。授權(quán)用戶可以發(fā)出基于關(guān)鍵字的搜索查詢，包括單個關(guān)鍵字或多個關(guān)鍵字，從用戶終端接收經(jīng)過驗證和轉(zhuǎn)換的密文，并執(zhí)行輕量級解密，以明文形式獲得所需的搜索結(jié)果。

2.2 區(qū)塊鏈系統(tǒng)中EMR交易序列模型

為了保障基于區(qū)塊鏈的可搜索EMR數(shù)據(jù)共享方案中PA和DRU與PBS的安全交易，設(shè)計了EMR交易序列模型，主要由三個部分構(gòu)成，如圖2所示。

（1）患者決定DRU的操作權(quán)限和加密持續(xù)時長，然后通過智能合約將EMR密文和關(guān)鍵字密文上傳到PBS。智能合約控制PBS，并將標(biāo)記有患者ID的數(shù)據(jù)進(jìn)行加密。

（2）有操作權(quán)限的DRU通過智能合約對數(shù)據(jù)進(jìn)行操作，但DRU只能通過智能合約向PBS發(fā)出合法的操作指令，不能直接操作數(shù)據(jù)。

（3）在預(yù)定的加密持續(xù)時間結(jié)束時，智能合約將共享可向所有DRU解密密鑰，所有DRU確認(rèn)交易成功。

在交易過程中引入激勵機制，在交易需要保密的時候，智能合約不會將解密密鑰發(fā)送給DRU，使得交易內(nèi)容私有化、安全化。經(jīng)過一段時間的交易后，交易內(nèi)容的隱私不再重要，智能合約將向所有DRU共享解密密鑰。在沒有欺騙者的交易中，當(dāng)DRU獲得密鑰并解密EMR密文時，智能合約的工作就結(jié)束了。

若交易中存在欺騙者，則欺騙者的存在會傷害誠實的DRU，誠實的DRU在獲得密鑰后將能夠看到所有數(shù)據(jù)。通過假數(shù)據(jù)上的ID標(biāo)簽，誠實的DRU可以很容易地找到騙子。此時，智能合約會跟進(jìn)，按照設(shè)定的程序?qū)ζ垓_者做出足夠的懲罰，以補償受傷的誠實DRU。欺騙者高成本的欺騙行為降低了欺騙的概率，使系統(tǒng)更加健康和穩(wěn)定。

3 具體方案描述

基于區(qū)塊鏈的可搜索EMR數(shù)據(jù)共享方案分為三個階段：系統(tǒng)初始化階段、EMR加密存儲階段和EMR搜索與共享階段。

3.1 系統(tǒng)初始化階段

本階段分為Setup()和KeyGen()兩個步驟。Setup()：給定公共雙線性參數(shù)CB選擇?1,?2,χ∈Zf,?∈Q，計算，其中?=?1+?2。然后，為全局屬性集生成n個隨機元素?1,?2,…,?n∈Q。最后，選擇兩個防沖突散列函數(shù)H0:{0,1}*→Zf,H1:{0,1}*→Q。輸出公鑰PK=(BCP,?,H,?1,…,?n,e(q,q)?,qχ)和主密鑰MSK=( ?1,?2)。

KeyGen(PK,MSK,Μ,Y)：CB運行該算法分別為每個DRU、PBS和PA生成秘密/公共密鑰對。對于屬性集為M={Ma1,Ma2,…,Man′}的每個DRU，CB執(zhí)行算法1。

算法1KeyGen()

假設(shè)存在PA的Y={Y1,Yν}的PA，CB為PA分配一個公私鑰對(skY=s,pkY=qs)，其中s∈Zf。然后，PA輸出一個(ξ-1)次多項式h(u)=αξ-1uξ-1+…+α1u+α0，其中αη∈Zf(η∈[1,ξ-1]),α0=s,2ξ-1≥ν，此外，PA根據(jù)h(μ)選擇ν點{(u1,ο1),(u2,ο2),…,(uν,oν)}，其中oi′通過安全通道返回最后，CB用式（1）標(biāo)記每個DRU、PBS和PA的公私鑰對。

3.2 EMR加密存儲階段

Enc(PK,pkκ,pkm,skΥ,E,T,O)。給定文件集E={l}和關(guān)鍵字集T={t}，PA需要生成文件密文和關(guān)鍵字索引，如下所示。

對于每個帶有身份ID標(biāo)識的文件l∈E，PA首先使用傳統(tǒng)的對稱加密密鑰Λ∈QT將其加密為Cl。假設(shè)指定的訪問結(jié)構(gòu)O用DNF形式表示，其大小為||O，即O=co1∨co2∨…∨co?，其中每個子句是一組屬性。如果A選擇秘密共享m∈Zf并輸出密鑰密文。否則，PA將A描述為LSSS矩陣然后選擇隨機向量并計算，最后生成密文因此，PA可以通過比較?和來實現(xiàn)短密文長度。

為了稍后驗證搜索結(jié)果的正確性，每個Yi′生成他的簽名在獲得至少ξ（閾值）簽名后，PA輸出閾值簽名以縮短密文長度，其中

此外，PA執(zhí)行算法2為每個關(guān)鍵字t∈T建立索引。

算法2IndGen()

3.3 EMR搜索與共享階段

Trap(I,skκ,pkm,PK,t′)。當(dāng)搜索包含關(guān)鍵字t′的加密文件時，DRU首先選擇兩個隨機元素x1,x2∈Zf，然后計算qβx1x2。最后，DRU將其屬性M和陷門TR=(TR1,TR2,TRt′)發(fā)送給PBS。

Search( )PK,GA,CA,N,TR,M,skm。PBS首先檢查DRU的屬性集M是否滿足GA。如果不滿足，PBS結(jié)束這個過程。否則，PBS繼續(xù)驗證陷門TR是否與方程如果這個公式不成立，PBS返回出錯。否則，PBS返回相應(yīng)的搜索結(jié)果為了減輕資源有限的DRU的解密負(fù)擔(dān)，PBS根據(jù)以下兩種情況執(zhí)行部分解密。如果CA中的密文分量數(shù)等于o+5，PBS通過調(diào)用等式（2）計算轉(zhuǎn)換后的密文ρ，其中o表示DNF形式的子句數(shù)。否則，PBS可以通過計算注 意。最后，PBS將元組發(fā)送給CBs。

Verify(PK,ζ)。設(shè)搜索結(jié)果的個數(shù)為Δ，每個搜索結(jié)果的恒等式為CBs執(zhí)行算法3進(jìn)行驗證。

算法3Verify()

Dec(PK,?,skκ)。為了獲得每個結(jié)果的文件解密密鑰，DRU首先計算

4 安全分析和性能分析

4.1 安全性分析

本節(jié)在陷門不可區(qū)分性和不可偽造性方面進(jìn)行具體的安全性分析。

4.1.1 陷門不可區(qū)分性

為了抵御外部關(guān)鍵詞猜測攻擊，提出的方案應(yīng)該保證陷門的不可區(qū)分性，并且不允許惡意攻擊者測試索引和陷門之間的關(guān)系。方案是利用乘法雙線性映射而不是加法雙線性映射構(gòu)造的。為了進(jìn)一步避免外部攻擊者以窮盡的方式測試索引和陷門之間的關(guān)系，關(guān)鍵字通常是從低熵關(guān)鍵字空間中選擇的，如果沒有密鑰，外部攻擊者無法檢查提交的陷門是否與索引匹配，從而避免了關(guān)鍵字猜測的可能性。

在搜索結(jié)果驗證機制方面，要求CBs能夠檢查搜索結(jié)果的正確性，而敵方不能偽造可疑搜索結(jié)果的有效證明信息?；诶窭嗜斩囗検讲逯?，將由至少一個門限數(shù)的PA貢獻(xiàn)的門限簽名轉(zhuǎn)化為PA的簽名，CBs利用公鑰pk驗證搜索結(jié)果的正確性，搜索結(jié)果驗證機制可以被認(rèn)為是修改的公共審計方案[17]。如果沒有存儲完整元組(ID,Cipl,Ξ*)的惡意PBS不能說服CBs，那么提出的方案被認(rèn)為是合理的。提出的方案的完備性要求，對于所有文件E={l}的所有密鑰對和元組(ID,Cipl,Ξ*)，CBs在接收到PBS的有效證明信息時，總是決定搜索結(jié)果通過搜索結(jié)果驗證。

4.1.2 不可偽造性

用以下兩種案例來證明本方案的不可偽造性：

案例1假設(shè)對手A能夠偽造有效的門限簽名，那么就可以找到解決CDH的方法。對于(ξ-v)門限簽名( 2ξ-1>v)，它要求至少ξ個PA正確地輸出它們各自的簽名。即使惡意的敵手A可以與多達(dá)(ξ-1)個PA串通并獨立輸出(ξ-1)個公私/私鑰對，仍然不能生成有效的門限簽名。接下來，將展示一個安全游戲，其中允許A訪問散列和簽名預(yù)言。在給定元組(q,qα′,qβ′)的情況下，B對上述兩個預(yù)言的查詢結(jié)果進(jìn)行標(biāo)記，如下模擬這個安全游戲。

設(shè)置查詢：敵手A請求初始化這個系統(tǒng)，首先為(ξ-1)損壞的PA輸出秘密/公鑰對{skη=oη,pkη=qoη}。然后，B為PA的其余部分設(shè)置相同的公鑰pkηω=qα′，并將pkηω發(fā)送給A。

哈希查詢：A首先對具有標(biāo)識ID的文件l發(fā)出哈希查詢，然后B檢查元組(l,ID)是否屬于表T。如果這是真的，B將相應(yīng)的結(jié)果T*返回給A。否則，B選擇?∈Zf。注意，B需要將元組(l,Cl,ID,?,T)保留在T中。由于q,q?,qβ′是q中的群元素，q?和q?,qβ′在q中都是隨機分布的，因此A不能根據(jù)收到的哈希結(jié)果來區(qū)分查詢的結(jié)果。

簽名查詢：A對元組(l,ID)發(fā)出簽名查詢的結(jié)果，然后B檢查(l,ID)是否是表T中的實體。如果為真，則B將相關(guān)結(jié)果Ξ′返回給A；否則，B設(shè)置，并生成閾值特征碼注意，B還需要將元組(l,Cl,ID,?,Ξ′)添加到表S中。

偽造：A在(l′,ID′)上返回偽造的門限簽名Ξ′。根據(jù)哈希查詢和簽名查詢過程中生成的相應(yīng)結(jié)果?，B具有-1也就是說，如果A成功地偽造了門限簽名，B就可以解決CDH問題，這與CDH問題假設(shè)相沖突。因此，敵手A在本方案中輸出有效的閾值簽名在計算上是不可行的。

如果A能夠根據(jù)所有有效的門限簽名生成有效的證明信息，那么就可以解決DLP，這也與DLP假設(shè)相沖突。在本方案中使用的門限簽名機制是基于Boneh-Lynn-Shacham簽名[18]。

根據(jù)以上分析，本方案對于敵手A偽造有效的門限簽名和證明信息在計算上是不可行的，因此滿足不可偽造性。

4.2 性能分析

將本方案與現(xiàn)有的可搜索加密方案進(jìn)行對比，從帶寬和通信消耗、密文長度、搜索速度、計算開銷方面進(jìn)行比較，結(jié)果如表1所示?？梢钥闯觯琇iu[9]、Yang[10]和Niu[11]的方案帶寬和通信消耗大，Liu[9]、Yang[10]的方案搜索速度慢，Liu[9]、Yang[10]、Jiang[12]和Niu[11]的方案密文長度大，Yang[10]和Niu[11]的方案計算開銷大。而本方案通過用屬性上的任何布爾公式指定表達(dá)性訪問策略使得帶寬和通信消耗更小，使用門限簽名機制縮短了密文長度，通過私有鏈服務(wù)器使用密鑰執(zhí)行配對操作加快了搜索過程，允許公共驗證者代表數(shù)據(jù)用戶檢查搜索結(jié)果的正確性使得計算開銷更少，相比其他方案，本方案在帶寬和通信消耗、密文長度、搜索速度和計算開銷方面更具優(yōu)勢。

表1 不同方案的功能特性對比Table 1 Comparison of functional characteristics of different schemes

將本方案與輕量級的WBANs加密數(shù)據(jù)細(xì)粒度搜索方案[19]在密鑰生成時間、加密時間、陷門生成時間、陷門生成成本、結(jié)果搜索時間和結(jié)果搜索成本方面進(jìn)行性能分析比較。通過Python語言和基于配對的密碼學(xué)庫，在AMD Ryzen 5 2500U with Radeon Vega MobileGfx2.00 GHz的Ubuntu 20.04.2.0 LTS上模擬了一系列的實證測試。實驗結(jié)果如圖3所示。

從圖3（a）中，注意到這兩種方案在KeyGen()中具有相似的密鑰生成計算時間，本方案可以很容易地實現(xiàn)在PBS上提供密文轉(zhuǎn)換。

圖3 （b）所示的實驗結(jié)果表明，本方案具有更少的密文加密開銷，這與E的值具有近似的線性關(guān)系。因此，得出的結(jié)論在創(chuàng)建閾值簽名時，本方案中的Enc()在實踐中仍然是有效和可行的。

在圖3（c）、（d）中分析陷門生成時間和存儲成本。本方案的性能只受變量的影響，而另一個方案中Trap的性能隨著每個DRU的屬性個數(shù)和查詢關(guān)鍵字個數(shù)的增加而提高[19]。

在圖3（e）、（f）中，考慮了查詢關(guān)鍵詞的個數(shù)和搜索文件的個數(shù)這兩個因素，通過改變變量的值來分析兩個方案的結(jié)果搜索時間和搜索成本的性能。兩個方案的結(jié)果搜索時間和成本隨著z值的增加而增加。

圖3 算法的實際性能分析Fig.3 Performance analysis of algorithm

當(dāng)對每個加密文件執(zhí)行密文檢索時，本方案所需時間更少。

通過分析表明性能受查詢關(guān)鍵詞數(shù)量和搜索文件數(shù)量的影響，當(dāng)基于單個關(guān)鍵字搜索一個加密文件時，本方案的性能更優(yōu)。雖然在本方案中驗證的性能并不比基于文件/關(guān)鍵字哈希表的簡單檢查機制有效多少，但是可以支持通過利用公共驗證器來保護(hù)隱私的搜索結(jié)果驗證，這進(jìn)一步減輕了資源有限的用戶設(shè)備的額外計算負(fù)擔(dān)。不可偽造性，且陷門生成時間和存儲成本少、密文加密開銷低、結(jié)果搜索時間短和搜索成本低，該方案具有更高的效率。

5 結(jié)束語

本文提出了一個基于區(qū)塊鏈的EMR隱私保護(hù)數(shù)據(jù)共享方案。該方案將原始數(shù)據(jù)和關(guān)鍵詞索引分別存儲在私有鏈和聯(lián)盟鏈中，解決了EMR數(shù)據(jù)存儲的安全性問題。通過改進(jìn)的基于密文策略屬性的關(guān)鍵字搜索算法，使得該方案帶寬和通信消耗小且密文長度短。該方案通過快速外包解密提高了搜索效率，利用搜索結(jié)果驗證機制優(yōu)化了計算開銷。通過對該方案的安全性和性能進(jìn)行評估，表明該方案具備陷門不可區(qū)分性和