馬佳佳，曹素珍，竇鳳鴿，丁曉暉，丁賓賓，王彩芬,2

(1.西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院，甘肅 蘭州 730070；2.深圳技術(shù)大學(xué)大數(shù)據(jù)與互聯(lián)網(wǎng)學(xué)院，廣東 深圳 518118)

1 引言

在大數(shù)據(jù)時(shí)代，為了有效地節(jié)省本地存儲(chǔ)成本，用戶通常選擇將海量的數(shù)據(jù)存儲(chǔ)在云服務(wù)器上。使用強(qiáng)大的云服務(wù)器資源不僅可以解決海量數(shù)據(jù)存儲(chǔ)問題，而且還可以提供高效的計(jì)算服務(wù)[1]。然而，由于它主要提供分布在遠(yuǎn)離用戶的核心網(wǎng)絡(luò)中的資源，具有高帶寬耗費(fèi)和高傳輸時(shí)延等缺點(diǎn),研究人員提出了霧計(jì)算。霧計(jì)算(也稱為邊緣計(jì)算)是云計(jì)算的擴(kuò)展，它使計(jì)算和存儲(chǔ)能夠在網(wǎng)絡(luò)邊緣實(shí)現(xiàn)。因?yàn)榇鎯?chǔ)和處理任務(wù)可以由大規(guī)模、無處不在和分散的設(shè)備執(zhí)行，無需第三方干預(yù)即可相互通信并可能相互合作。霧計(jì)算為各種用戶提供了新的應(yīng)用程序和服務(wù)，具有更強(qiáng)大CPU、更大內(nèi)存和更大存儲(chǔ)空間的特定高端服務(wù)器[2,3]。

相比傳統(tǒng)病歷，電子病歷具有使用方便、及時(shí)性強(qiáng)和成本低的優(yōu)點(diǎn),再加上計(jì)算機(jī)和通信技術(shù)的快速發(fā)展，使得電子病歷成為醫(yī)療服務(wù)必不可少的工具，人們也越來越關(guān)注醫(yī)療系統(tǒng)的安全性和隱私保護(hù)問題[4]。文獻(xiàn)[5]提出了區(qū)塊鏈與可搜索加密結(jié)合的電子病歷共享方案，利用可搜索加密技術(shù)將關(guān)鍵字索引保存在私有鏈上，實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的隱私保護(hù)。文獻(xiàn)[6]提出了基于區(qū)塊鏈的電子病歷數(shù)據(jù)共享方案，使用可搜索加密技術(shù)實(shí)現(xiàn)安全索引。但是，文獻(xiàn)[5,6]都未能實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的細(xì)粒度訪問控制且未考慮數(shù)據(jù)使用者密鑰可能泄露的問題。

基于屬性的加密方案ABE(Attribute-Based Encryption)[7]中，每個(gè)用戶由一組屬性來標(biāo)識(shí)，并且這些屬性的一些功能被用來確定每個(gè)密文的解密能力[8]。其中，密文策略屬性基加密方案[9]將訪問策略嵌入密文中，患者指定具有哪些屬性的醫(yī)生解密患者病歷信息，不僅保護(hù)了患者病歷信息，而且還實(shí)現(xiàn)了一對(duì)多的細(xì)粒度訪問控制。文獻(xiàn)[10]提出了一種支持快速加密的基于屬性的加密方案，采用密文策略的屬性外包加密方案保證了用戶的機(jī)密性，同時(shí)采用外包方案降低了系統(tǒng)的計(jì)算開銷，提高了傳輸效率。多機(jī)構(gòu)授權(quán)下可追蹤可隱藏的屬性基加密方案[11]和智慧城市關(guān)鍵詞搜索技術(shù)中隱藏敏感策略的基于密文策略屬性的加密方案[12]都采用了密文策略的屬性基加密方案，但未將加解密方案外包給代理服務(wù)器，大大增加了系統(tǒng)的計(jì)算開銷。基于屬性的加密方案在策略構(gòu)造上有訪問樹和訪問矩陣2種方式。文獻(xiàn)[13]提出了霧環(huán)境下的電子健康外包和屬性撤銷的高效訪問控制方案,其訪問策略的構(gòu)造采用了訪問矩陣方式。相比訪問矩陣，訪問樹具有易構(gòu)造，可讀性強(qiáng)和加密效率高的優(yōu)勢(shì)。

為了實(shí)現(xiàn)用戶的屬性更新，文獻(xiàn)[14]提出了一種基于云的用戶屬性更新的訪問控制方案，但不適用于外包計(jì)算框架。文獻(xiàn)[15]提出了支持屬性撤銷和用戶屬性更新的方案，但沒有將加解密運(yùn)算外包給代理服務(wù)器，使得數(shù)據(jù)擁有者和數(shù)據(jù)用戶的計(jì)算負(fù)擔(dān)增大，同時(shí)降低了效率。文獻(xiàn)[16]基于霧計(jì)算提出了一種具有外包和屬性更新能力的高效訪問控制方案，但并未實(shí)現(xiàn)加密外包計(jì)算，降低了數(shù)據(jù)擁有者的計(jì)算效率。

基于上述問題，本文提出了智慧醫(yī)療環(huán)境下支持屬性更新的加解密外包方案，主要貢獻(xiàn)有：

(1)將部分加解密運(yùn)算外包給霧節(jié)點(diǎn)，有效減少了數(shù)據(jù)擁有者和數(shù)據(jù)用戶的計(jì)算負(fù)擔(dān)，降低了傳輸時(shí)延，提高了通信效率；

(2)將云服務(wù)器視為半可信實(shí)體，在密文更新時(shí)，向云服務(wù)器傳輸屬性相關(guān)的哈希值，有效保護(hù)了用戶的隱私；

(3)實(shí)現(xiàn)數(shù)據(jù)擁有者屬性的更新，更加符合實(shí)際的醫(yī)療應(yīng)用環(huán)境。

最后，基于DBDH困難問題證明了本文方案是安全的，通過與現(xiàn)有其它方案的數(shù)值分析比較，表明本文方案具有更高的效率。

2 預(yù)備知識(shí)

2.1 符號(hào)說明

智慧醫(yī)療環(huán)境下支持屬性更新的加解密外包方案中使用的部分符號(hào)說明如表1所示。

Table 1 Symbol description表1 符號(hào)說明

2.2 雙線性映射

設(shè)p是一個(gè)大素?cái)?shù)，G和GT是2個(gè)階為p的乘法循環(huán)群，G到GT的雙線性映射e:G×G→GT滿足以下性質(zhì)[17]：

(2)非退化性。存在g∈G，有e(g,g)≠1。

(3)可計(jì)算性。對(duì)任意的g1,g2，存在一個(gè)有效算法計(jì)算e(g1,g2)。

2.3 訪問樹

定義T為訪問樹，它的每個(gè)葉節(jié)點(diǎn)代表一個(gè)屬性，每個(gè)非葉節(jié)點(diǎn)代表一個(gè)門限節(jié)點(diǎn)。numx表示節(jié)點(diǎn)x的所有子節(jié)點(diǎn)的個(gè)數(shù)，d表示數(shù)據(jù)擁有者設(shè)置的閾值數(shù)，且0

如圖1所示，假設(shè)訪問樹的閾值為2，訪問子樹的葉節(jié)點(diǎn)屬性為{甘肅省人民醫(yī)院，普外科系統(tǒng)，甲亢患者}。當(dāng)用戶的屬性為{蘭州大學(xué)第二醫(yī)院，內(nèi)科系統(tǒng)，疝氣患者}時(shí)，不滿足訪問樹的任何2個(gè)屬性，秘密值不能通過線性秘密共享來恢復(fù)；當(dāng)用戶的屬性為{甘肅省人民醫(yī)院，普外科系統(tǒng)，甲亢患者}時(shí)，滿足訪問樹的最低閾值，可以訪問根節(jié)點(diǎn)的秘密值，因此最終的明文可以通過用戶的私鑰解密密文來獲得。

Figure 1 Access tree圖1 訪問樹

2.4 困難問題假設(shè)

設(shè)G1和G2是p階的雙線性群,e：G1×G1→G2，設(shè)g是群G1的生成元，給定元組y={g,ga,gb,gc,e(g,g)abc}，其中a,b,c∈RZp，對(duì)于多項(xiàng)式時(shí)間算法Y來說，區(qū)分有效的元組e(g,g)abc與群中G2的隨機(jī)元素r是困難的[18]。令算法Y輸出一個(gè)比特h∈{0,1}，如果等式pr[Y(y,T=e(g,g)abc)=0]-pr[Y(y,T=r)=0]≥δ成立,則稱Y在解決DBDH問題上的優(yōu)勢(shì)為δ。

3 方案描述

3.1 方案模型

智慧醫(yī)療環(huán)境下支持屬性更新的加解密外包方案模型如圖2所示。方案共有6個(gè)實(shí)體，分別為可信中心CA(Center Authority)、授權(quán)機(jī)構(gòu)AAs(Attribute Authorities)、霧節(jié)點(diǎn)FN(Fog Node)、醫(yī)療云服務(wù)商CSP(Cloud Service Provide)、數(shù)據(jù)擁有者DO(Date Owner)和數(shù)據(jù)使用者DU(Date User)。

Figure 2 Model of encryption and decryption outsourcing solution supporting attribute update圖2 支持屬性更新的加解密外包方案模型

(1)CA是完全可信的一方,其主要作用是負(fù)責(zé)管理全局參數(shù)的設(shè)置，并且為每一個(gè)DU和AA生成唯一的身份標(biāo)識(shí)uid和aid。

(2)AAs：授權(quán)機(jī)構(gòu)之間相互信任，可將醫(yī)院視為授權(quán)機(jī)構(gòu)，主要為每個(gè)DO和FN根據(jù)其管理的屬性生成密鑰。在屬性更新階段，AAs為CSP生成用于更新密文的代理密鑰的更新密鑰 。

(3)FN的主要作用是承擔(dān)DO和DU的部分加解密工作。加密階段，患者將部分加密運(yùn)算傳輸給FN，F(xiàn)N執(zhí)行加密操作；解密階段，醫(yī)生將部分解密計(jì)算外包給FN，然后醫(yī)生進(jìn)行最后的解密，這樣可有效減少DO和DU的計(jì)算開銷。

(4)CSP的主要作用是提供存儲(chǔ)功能，從FN接收密文，然后存儲(chǔ)并發(fā)送給FN。此外，還在更新相關(guān)屬性時(shí)執(zhí)行密文更新。

(5)患者作為DO，對(duì)自己的病歷根據(jù)其設(shè)置的加密算法對(duì)關(guān)鍵信息進(jìn)行加密，然后將加密后的病歷上傳到FN。

(6)醫(yī)生作為DU，從FN獲得部分解密的密文之后，執(zhí)行剩余的解密操作，最終獲得患者病歷。

3.2 方案構(gòu)造

令G和G1是階為p的雙線性群，其生成元為g，e:G×G→G1。定義一個(gè)哈希函數(shù)H:{0,1}*→G。

(1)系統(tǒng)初始化。

①GlobalSetup(1λ)→PP。

該階段由可信中心執(zhí)行。輸入安全參數(shù)λ，輸出公共參數(shù)PP={G,p,g,e,H}。CA為每一個(gè)授權(quán)機(jī)構(gòu)AA和數(shù)據(jù)使用者DU生成唯一的身份標(biāo)識(shí)aid和uid。定義全局屬性U={u1,u2,…,un}。

②AuthSetup(PP,aid)→{MSKaid,PKaid}。

該階段由授權(quán)機(jī)構(gòu)執(zhí)行。令A(yù)Aaid管理的屬性集為Aaid，且A1∩A2∩…∩Aaid…∩AAID≠?,其中AID為授權(quán)機(jī)構(gòu)數(shù)量。授權(quán)機(jī)構(gòu)AAaid隨機(jī)選取αaid∈Zp，對(duì)于每一個(gè)j∈Aaid，選取βj,aj,vj∈RZp，計(jì)算屬性密鑰PKj=gvj。系統(tǒng)主密鑰為MSKaid={aj,gαaid,βj}，公鑰為PKaid={H(j)aj,e(g,g)αaid,PKj}。

(2)密鑰生成。

KeyGen(PP,uid,MSKaid,S)→{SKaid,FSKaid,uid}。

該階段由授權(quán)機(jī)構(gòu)執(zhí)行。數(shù)據(jù)使用者要想訪問加密數(shù)據(jù)，其密鑰必須滿足訪問策略才能解密數(shù)據(jù)文件。

Aaid,uid表示由授權(quán)機(jī)構(gòu)AAaid管理的用戶uid的屬性集，且Aaid,uid?S，其中S為所有用戶屬性集。對(duì)于任意的j∈Aaid,uid:

①選取隨機(jī)數(shù)raid,taid∈Zp，計(jì)算部分密鑰構(gòu)件Kaid,uid=(graidvj·H(j)aj)taid，Laid=gajtaid，F(xiàn)aid=gαaid+raid/βj;

②生成霧節(jié)點(diǎn)的轉(zhuǎn)換密鑰FSKaid,uid={Faid,Kaid,uid,Laid}和DU的私鑰SKuid={Faid,taid}。

(3)數(shù)據(jù)加密。

①DOEncrypt(PP,M,T,PKaid)→CTpart。

該階段由數(shù)據(jù)擁有者執(zhí)行。數(shù)據(jù)擁有者通過構(gòu)造訪問樹T加密消息M。

a 構(gòu)造訪問策略。定義R為訪問樹的根節(jié)點(diǎn)。對(duì)于根節(jié)點(diǎn)R，數(shù)據(jù)擁有者加密算法隨機(jī)選取一個(gè)秘密值s∈Zp，選擇一個(gè)d-1次多項(xiàng)式Y(jié)(·)，令YR(0)=s。令Q是訪問樹T中與葉節(jié)點(diǎn)相關(guān)聯(lián)的屬性集。

最終得到部分加密密文：

CTpart={C,C0,?att(n)=j∈Q:C1,C2}

②FNEncrypt(T,PP,CTpart)→CT。

該階段由霧節(jié)點(diǎn)執(zhí)行。數(shù)據(jù)擁有者將加密的部分密文發(fā)送給霧節(jié)點(diǎn)，霧節(jié)點(diǎn)執(zhí)行進(jìn)一步加密操作。

a 對(duì)于每一個(gè)節(jié)點(diǎn)n∈T1，霧節(jié)點(diǎn)加密算法從根節(jié)點(diǎn)R開始，根據(jù)其閾值d開始自上向下為每一個(gè)節(jié)點(diǎn)n選擇一元d-1次多項(xiàng)式Y(jié)(·)。

b 對(duì)于父節(jié)點(diǎn)p(c)的子節(jié)點(diǎn)c，Yc(0)=Yp(c)(index(n))。

最終，密文CT={T,C,C0,?att(n)=j∈Q:C1,C2}。

(4)數(shù)據(jù)解密。

①FNDecryct(PP,CT,uid,FSKaid,uid)→CT′part。

該階段由霧節(jié)點(diǎn)執(zhí)行，當(dāng)數(shù)據(jù)使用者的屬性集能滿足訪問樹T時(shí)，才能夠解密得到消息M。

a 當(dāng)n為葉節(jié)點(diǎn)時(shí)，令j=att(n)。如果j?Auid，則Fn=⊥。

否則，計(jì)算:

e(g,g)Yn(0)taidraid

b 當(dāng)n為非葉節(jié)點(diǎn)時(shí)，如果n

令I(lǐng)C={?c∈Cn:Ic}，計(jì)算:

e(g,g)raidtaidYn(0)

最終，CT′part=(T,C,C0,Fn)。

②EUDecryct(CT′part,SKaid)→M。

該階段由數(shù)據(jù)使用者執(zhí)行。數(shù)據(jù)使用者對(duì)霧節(jié)點(diǎn)解密的密文進(jìn)行進(jìn)一步解密，得到最終的消息消息M:

(5)屬性更新。

①更新密鑰KeyUpdate(SKuid,i)→USKuid。

當(dāng)數(shù)據(jù)擁有者的信息需要更新時(shí)，如更新用戶uid的某一屬性i時(shí)，需要執(zhí)行該階段。假設(shè)患者的病歷信息增加了病癥，需要不同科室的醫(yī)生癥治時(shí)，執(zhí)行該階段。該階段由授權(quán)機(jī)構(gòu)執(zhí)行。

a 隨機(jī)選取v′j∈Zp，授權(quán)機(jī)構(gòu)AAaid為用戶uid產(chǎn)生一個(gè)升級(jí)密鑰UKuid=g(v′j-vj)taid，更新私鑰相關(guān)聯(lián)的密鑰構(gòu)件Kaid,uid，有K′aid,uid=Kaid,uid×UKuid;

b 對(duì)于?j∈S，當(dāng)j≠i時(shí)，有Kaid,uid=(graidvj·H(j)aj)taid；當(dāng)j=i時(shí)，有K′aid,uid=Kaid,uid×UKuid=(graidv′j·H(j)aj)taid。

c 生成代理密鑰Km=vj/v′j。

②更新密文CTUpdate(CT,Km)→CTU。

密文更新利用代理重加密技術(shù)，有利于減少數(shù)據(jù)擁有者的計(jì)算負(fù)擔(dān)。密文更新時(shí)，向醫(yī)療云服務(wù)商提供包含更新屬性j的哈希值H(j)后，醫(yī)療云服務(wù)商通過判斷用戶提交的哈希值H(j)′與哈希值H(j)是否相等來更新密文，這樣能確保更新屬性不被泄露，有效保護(hù)了數(shù)據(jù)擁有者的屬性信息。

CTU={T,C,C0,?j=att(n)∈Y,C′1,C′2}。

4 安全性證明

定理1假設(shè)存在多項(xiàng)式時(shí)間的敵手以不可忽略的優(yōu)勢(shì)φ(φ>0)攻破本文方案。那么，存在一個(gè)多項(xiàng)式時(shí)間算法QA，以φ/2的優(yōu)勢(shì)解決DBDH問題。

證明設(shè)G1是素?cái)?shù)階p的雙線性群，其生成元為g，設(shè)雙線性映射e:G1×G1→G2。首先挑戰(zhàn)者C隨機(jī)選擇x,y,z∈RZp，隨機(jī)元素F∈G2且b∈{0,1}，如果b=0，挑戰(zhàn)者C設(shè)置(g,X,Y,Z,L)=(g,gx,gy,gz,e(g,g)xyz)，其中L=e(g,g)xyz；否則設(shè)置(g,X,Y,Z,L)=(g,gx,gy,gz,F)，其中L=F。

系統(tǒng)建立首先，敵手A選擇一個(gè)訪問樹T*并將訪問樹T*發(fā)送給挑戰(zhàn)者C。

階段2和階段1相同。

挑戰(zhàn)敵手A提交b的一個(gè)猜測(cè)b′。若b=b′，那么挑戰(zhàn)者C輸出0，即T=e(g,g)xyz；否則，挑戰(zhàn)者C輸出1，即T=F。如果T=e(g,g)xyz，那么密文CT為有效密文，則敵手A的優(yōu)勢(shì)為φ，則有Pr[QA(g,gx,gy,gz,L=e(g,g)xyz)=0]=1/2+φ；如果T=f，則密文CT是隨機(jī)選取的，則有Pr[QA(g,gx,gy,gz,L=F)=0]=1/2。因此，挑戰(zhàn)者C的優(yōu)勢(shì)δ表示為：

5 性能分析

表2是本文方案與文獻(xiàn)[15,16]方案的功能比較，從表2可以看出，本文方案最大的優(yōu)勢(shì)在于將加解密運(yùn)算部分外包給霧節(jié)點(diǎn)，同時(shí)滿足屬性的更新。

本文方案與文獻(xiàn)[15,16]方案在性能比較中，用NE1表示群G上的指數(shù)運(yùn)算次數(shù)，NE2表示群G1上的指數(shù)運(yùn)算次數(shù)，NP表示雙線性運(yùn)算次數(shù)，Nct表示與密文相關(guān)的屬性個(gè)數(shù)，Nsk表示與用戶私鑰相關(guān)的屬性個(gè)數(shù)，NM表示滿足訪問結(jié)構(gòu)的最小內(nèi)部節(jié)點(diǎn)數(shù)。

Table 2 Comparison of characteristics of relevant schemes

表3是本文方案與文獻(xiàn)[15,16]方案的計(jì)算開銷比較。數(shù)據(jù)擁有者的計(jì)算開銷主要取決于加密數(shù)據(jù)的不同授權(quán)機(jī)構(gòu)生成的公鑰。本文方案支持外包加密，因此數(shù)據(jù)擁有者的計(jì)算開銷比文獻(xiàn)[15,16]方案的計(jì)算開銷低些。另外，數(shù)據(jù)使用者的屬性密鑰存儲(chǔ)在霧節(jié)點(diǎn)中進(jìn)行外包解密，因此數(shù)據(jù)使用者的計(jì)算開銷低于文獻(xiàn)[15]方案的計(jì)算成本。

為了對(duì)比方案效率，本文還通過實(shí)驗(yàn)對(duì)現(xiàn)有其它方案和本文方案進(jìn)行了更直觀的比較。實(shí)驗(yàn)環(huán)境為Intel(R)Core(TM)i5-8250U CPU@1.60 GHz 1.80 GHz處理器8.00 GB RAM，使用語言為JAVA，方案實(shí)現(xiàn)基于JPBC(Java Pairing-Based Cryptography library)庫。

圖3是密鑰生成階段隨著屬性個(gè)數(shù)的遞增，授權(quán)機(jī)構(gòu)為用戶生成密鑰所消耗的時(shí)間，在密鑰生成階段，因?yàn)殡p線性配對(duì)的運(yùn)算時(shí)間遠(yuǎn)大于指數(shù)運(yùn)算的時(shí)間，所以文獻(xiàn)[16]方案消耗的時(shí)間明顯多于文獻(xiàn)[15]方案和本文方案的時(shí)間。圖4是本文方案和對(duì)比方案的整個(gè)加密階段所消耗的時(shí)間，包括霧節(jié)點(diǎn)的加密時(shí)間和數(shù)據(jù)擁有者的加密時(shí)間。圖5是本文方案和對(duì)比方案整個(gè)解密階段所消耗的時(shí)間，包括霧節(jié)點(diǎn)解密和數(shù)據(jù)用戶的解密時(shí)間。從圖4和圖5可以看出，本文方案與文獻(xiàn)[16]方案加解密時(shí)間遠(yuǎn)優(yōu)于文獻(xiàn)[15]方案的，本文方案與文獻(xiàn)[16]方案將大部分運(yùn)算外包給霧節(jié)點(diǎn)，數(shù)據(jù)使用者僅有少量的運(yùn)算,這樣大大提高了整個(gè)系統(tǒng)的效率。

Table 3 Calculation cost comparison of relevant schemes

Figure 3 Computational overhead during key generation圖3 密鑰生成階段計(jì)算開銷

Figure 4 Computational overhead during encryption圖4 加密階段計(jì)算開銷

Figure 5 Time during decryption圖5 解密階段所消耗時(shí)間

圖6是霧節(jié)點(diǎn)外包解密所消耗的時(shí)間，從圖6中可以看出，本文方案略優(yōu)于文獻(xiàn)[16]方案。在文獻(xiàn)[15,16]方案中，由于數(shù)據(jù)擁有者執(zhí)行所有的加密操作，因此增加了數(shù)據(jù)擁有者的計(jì)算開銷，降低了方案整體效率；而在本文方案中，部分加密運(yùn)算由霧節(jié)點(diǎn)執(zhí)行，有效降低了計(jì)算開銷，提高了效率。圖7是3個(gè)方案加解密階段的總體時(shí)間對(duì)比。

Figure 6 Time during outsourcing decryption圖6 外包解密所消耗時(shí)間

Figure 7 Running time during encryption and decryption圖7 加解密運(yùn)行時(shí)間

上述實(shí)驗(yàn)結(jié)果表明，本文方案在數(shù)據(jù)所有者加密、數(shù)據(jù)用戶解密和密文更新過程中的計(jì)算開銷較小。

6 結(jié)束語

本文提出的在智慧醫(yī)療環(huán)境下支持屬性更新的加解密外包方案將部分加解密運(yùn)算外包給霧節(jié)點(diǎn)，有效地減少了數(shù)據(jù)擁有者和數(shù)據(jù)用戶的計(jì)算負(fù)擔(dān)，同時(shí)提高了通信效率；且在密文更新時(shí)，向云服務(wù)器傳輸屬性相關(guān)的哈希值而非屬性值，有效保護(hù)了用戶的隱私。最后，基于DBDH問題證明了本文方案是安全的，數(shù)值分析結(jié)果表明，本文方案在計(jì)算效率上具有一定的優(yōu)勢(shì)。