牛淑芬,于 斐,陳俐霞,王彩芬

(1.西北師范大學計算機科學與工程學院，甘肅 蘭州 730070；2.深圳技術大學大數(shù)據(jù)與互聯(lián)網(wǎng)學院，廣東 深圳 518118)

1 引言

隨著信息技術的高速發(fā)展，很多醫(yī)院選擇使用電子病歷EHR (Electronic Health Record)實現(xiàn)患者診斷信息的存儲、檢索和共享[1 - 3]。EHR的使用已引起學術界的廣泛關注，其最重要的發(fā)展方向是EHR的數(shù)據(jù)共享和數(shù)據(jù)安全[4 - 6]。

云存儲具有數(shù)據(jù)存儲和訪問功能。數(shù)據(jù)存放到云存儲前應該進行加密以保證數(shù)據(jù)安全。但是數(shù)據(jù)加密使得在大量密文文件中搜索特定的文件變得困難。為了解決加密數(shù)據(jù)的搜索問題，Song等[7]提出了對稱可搜索加密算法，但是搜索效率較低。Boneh等[8]提出了基于關鍵字的公鑰可搜索加密方案，將公鑰密碼體制引入可搜索加密領域，但是該方案只能在安全信道模型下應用。Baek等[9]提出了一種不需要安全信道的可搜索加密方案。Shao等[10]將可搜索加密和代理重加密[11]相結合，提出了帶關鍵字搜索的代理重加密方案，實現(xiàn)了密文搜索與數(shù)據(jù)共享。

近年來，云存儲為EHR的存儲和共享帶來了便利[12 - 14]。很多研究人員提出了基于云存儲的EHR共享方案。文獻[15]將混淆和RSA加密相結合，提出了基于云存儲的EHR存儲框架，實現(xiàn)了EHR數(shù)據(jù)機密性和用戶的身份驗證。Xu等[16]提出了云輔助的EHR共享方案，支持多關鍵字搜索并在EHR共享過程中保護患者的隱私。盡管這些方案在云環(huán)境下實現(xiàn)了EHR的數(shù)據(jù)安全和隱私保護，但仍然存在一個關鍵問題:云服務器并不是完全誠實可信的。如果EHR系統(tǒng)僅依賴于第三方云服務器，則很容易造成EHR數(shù)據(jù)的泄漏、篡改和濫用等問題。為了解決上述問題，研究人員提出了基于區(qū)塊鏈[17]的EHR共享方案。Wang等[18]提出基于云和區(qū)塊鏈的EHR共享方案，用云存儲EHR密文，區(qū)塊鏈存儲安全索引，利用可搜索加密和代理重加密，實現(xiàn)了EHR共享過程中的隱私保護和訪問控制。文獻[19]提出了基于私有鏈和聯(lián)盟鏈的EHR存儲與共享方案，私有鏈存儲EHR，聯(lián)盟區(qū)塊鏈存儲安全索引，實現(xiàn)了EHR的安全搜索。Chen等[20]提出了一種基于區(qū)塊鏈的EHR可搜索加密方案，EHR的關鍵字索引通過邏輯表達式構建并存儲在區(qū)塊鏈，實現(xiàn)了EHR搜索的可追溯性。

為了實現(xiàn)數(shù)據(jù)的細粒度訪問控制和安全共享，Sahai等[21]提出了屬性基加密算法。屬性基加密算法被很多研究人員應用到了EHR數(shù)據(jù)共享中。文獻[22]提出一種基于屬性基簽密方案，實現(xiàn)了EHR在云存儲中的細粒度訪問。Niu等[23]提出一種基于聯(lián)盟鏈的EHR數(shù)據(jù)共享方案，將基于密文策略的屬性基加密算法CP-ABE (Ciphertext-Policy Attribute-Based Encryption)[24]結合聯(lián)盟鏈實現(xiàn)了EHR的安全共享和訪問控制。文獻[25]基于區(qū)塊鏈和屬性基加密算法提出了一個EHR數(shù)據(jù)存儲與共享框架，實現(xiàn)了EHR的數(shù)據(jù)完整性和細粒度訪問。

本文基于CP-ABE算法提出了一種云鏈協(xié)同存儲的EHR數(shù)據(jù)安全共享方案。方案的創(chuàng)新點如下所示：

(1)醫(yī)生用對稱加密算法加密EHR數(shù)據(jù)，用CP-ABE算法加密對稱密鑰，用可搜索加密算法加密關鍵字生成安全索引。醫(yī)生將EHR密文存儲在醫(yī)療云，將安全索引存儲在聯(lián)盟鏈，實現(xiàn)了EHR數(shù)據(jù)的安全存儲。

(2)數(shù)據(jù)用戶將陷門上傳到聯(lián)盟鏈，聯(lián)盟鏈節(jié)點負責關鍵字搜索。搜索成功后，數(shù)據(jù)用戶獲得EHR密文的存儲地址，然后從醫(yī)療云獲得EHR密文。當數(shù)據(jù)用戶的屬性滿足訪問策略時，可以解密EHR密文，實現(xiàn)了EHR數(shù)據(jù)的細粒度訪問控制和安全共享。

(3)提出基于通配符的訪問結構，使用通配符代替訪問結構中的部分屬性，實現(xiàn)了數(shù)據(jù)用戶的隱私保護。并且使用代理重加密實現(xiàn)了數(shù)據(jù)用戶的屬性撤銷。

2 預備知識

2.1 困難問題

2.2 訪問結構

本文提出一種基于通配符的訪問結構，如圖1所示，其中，Ω為系統(tǒng)中所有屬性的集合，atti?Ω,atti={vi,1,vi,2,…,vi,m}表示第i(1≤i≤Unum)個用戶的屬性集合，Unum表示系統(tǒng)中的用戶總數(shù)，vi,j(1≤j≤m)表示第i個用戶的屬性集合atti中的第j個屬性值。

Figure 1 Wildcard-based access structure圖1 基于通配符的訪問結構

例如，學生1的屬性為{18,male,first,math},學生2的屬性為{20,male,third,math},學生3的屬性為{19,female,first,english}。為了和一年級數(shù)學學科的學生共享數(shù)據(jù)，構造訪問結構o={age,gender,grade,subject}={*,*,first,math}，年齡和性別為“不關心的屬性”，用通配符*表示，則學生1能夠共享信息。從訪問結構中并不知道學生1的具體屬性，僅知道該學生的年齡和性別，保護了該學生的隱私。

3 系統(tǒng)模型與安全模型

3.1 系統(tǒng)模型

本文方案的系統(tǒng)模型包括6個實體:權威中心、患者、醫(yī)生、數(shù)據(jù)用戶、聯(lián)盟鏈和醫(yī)療云。系統(tǒng)模型如圖2所示。

Figure 2 System model圖2 系統(tǒng)模型

(1)權威中心。權威中心負責建立系統(tǒng)，并為參與者生成私鑰，然后經(jīng)安全信道發(fā)送給參與者。在屬性撤銷階段，權威中心利用代理重加密更新密鑰和密文。

(2)患者?；颊邩嬙煸L問結構并發(fā)送給醫(yī)生?；颊咝枰狤HR時，通過存儲地址從醫(yī)療云獲得。

(3)醫(yī)生。醫(yī)生為患者生成EHR數(shù)據(jù)并從中提取關鍵字。醫(yī)生加密EHR并將密文上傳到醫(yī)療云，將關鍵字集合加密建立安全索引，并將安全索引、EHR存儲地址和簽名上傳到區(qū)塊鏈。

(4)數(shù)據(jù)用戶。數(shù)據(jù)用戶生成陷門并將陷門和身份上傳到區(qū)塊鏈搜索關鍵字。搜索成功后，數(shù)據(jù)用戶獲得EHR存儲地址和EHR密文。

(5)聯(lián)盟鏈。根據(jù)中心化程度的不同，區(qū)塊鏈可分為3種類型：公有鏈、聯(lián)盟鏈和私有鏈。聯(lián)盟鏈部分去中心化，由多個醫(yī)院共同建立和維護。聯(lián)盟鏈節(jié)點執(zhí)行共識協(xié)議將上傳的數(shù)據(jù)以交易的形式存儲在聯(lián)盟鏈上。數(shù)據(jù)搜索時，聯(lián)盟鏈節(jié)點運行搜索算法。

(6)醫(yī)療云。當醫(yī)療云接收到數(shù)據(jù)用戶發(fā)送的EHR密文存儲地址后，將存儲地址對應的EHR密文發(fā)給數(shù)據(jù)用戶。在屬性撤銷階段，醫(yī)療云負責更新密文。

3.2 安全模型

本文方案的安全性基于DL假設和BDH困難問題。為證明方案的安全性，本文設計2個安全游戲：選擇密文策略和選擇明文攻擊下的不可區(qū)分性IND-SCP-CPA(INDistinguishability against Selective Ciphertext-Policy and Chosen Plaintext Attack)以及選擇關鍵字攻擊下的不可區(qū)分性IND-CKA(INDistinguishability against Chosen Keyword Attack)。

(1)IND-SCP-CPA游戲。

系統(tǒng)初始化：敵手A聲明挑戰(zhàn)的訪問結構o。挑戰(zhàn)者B生成系統(tǒng)參數(shù)PP和系統(tǒng)主密鑰msk。挑戰(zhàn)者B將系統(tǒng)參數(shù)PP發(fā)送給敵手A。

階段1在多項式時間內(nèi)，敵手A做以下詢問：

①私鑰詢問：敵手A對屬性進行私鑰詢問。

②屬性更新詢問：敵手A通過提交屬性v′i,j進行屬性更新詢問。

③私鑰更新詢問：敵手A通過屬性v′i,j對更新的密鑰sk′進行詢問。

挑戰(zhàn)敵手A向挑戰(zhàn)者B發(fā)送等長消息F0和F1、身份δu和訪問結構o，挑戰(zhàn)者B隨機選取τ∈{0,1}并將Fτ加密發(fā)送給敵手A。

階段2敵手A進行和階段1相同的詢問，但是不能詢問F0和F1。

猜測敵手A輸出猜測τ′∈{0,1}，如果τ′=τ，敵手A贏得游戲。敵手A贏得游戲的優(yōu)勢定義為：Adv=|pr[τ′=τ]-1/2|。

(2)IND-CKA游戲。

系統(tǒng)初始化挑戰(zhàn)者B生成系統(tǒng)參數(shù)PP和系統(tǒng)主密鑰msk。挑戰(zhàn)者B將系統(tǒng)參數(shù)PP發(fā)送給敵手A。

階段1在多項式時間內(nèi)，敵手A進行以下詢問：

①哈希詢問：敵手A詢問關鍵字w的哈希。

②私鑰詢問：敵手A對屬性進行私鑰詢問。

③陷門詢問：敵手A對關鍵字w進行陷門詢問。

挑戰(zhàn)敵手A將未經(jīng)過陷門詢問的等長關鍵字w0和w1發(fā)送給挑戰(zhàn)者B，挑戰(zhàn)者B隨機選取τ∈{0,1}并生成安全索引Iwτ。

階段2敵手A進行和階段1相同的詢問，但是不能詢問w0和w1。

猜測敵手A輸出猜測τ′∈{0,1}，如果τ′=τ，敵手A贏得游戲。敵手A贏得游戲的優(yōu)勢定義為：Adv=|pr[τ′=τ]-1/2|。

4 具體方案與安全性證明

4.1 本文方案

本文方案包括系統(tǒng)建立、數(shù)據(jù)生成與存儲、數(shù)據(jù)搜索與共享和屬性撤銷4個階段。

(1)系統(tǒng)建立。

①系統(tǒng)初始化。

權威中心初始化系統(tǒng)。輸入安全參數(shù)λ和系統(tǒng)中所有屬性的集合Ω，權威中心運行算法1輸出公共參數(shù)PP和系統(tǒng)主密鑰msk。

算法1系統(tǒng)初始化

步驟1選擇階為p的乘法循環(huán)群G1和G2，g和h是群G1的生成元。定義雙線性映射e:G1×G1→G2；

步驟4foratti?Ωdo

forvi,j∈attido

endfor

endfor

步驟5msk={α,ai,j,bi,j};

(2)密鑰生成。

輸入數(shù)據(jù)用戶身份δu和屬性Ωu，權威中心運行算法2輸出私鑰sk。

算法2密鑰生成

步驟1計算d=α/δu;

步驟2forvi,j∈Ωudo

endfor

步驟3sk=(d,Di,Pi,Ri);

(2)數(shù)據(jù)生成與存儲。

患者構造訪問結構o，并把訪問結構o發(fā)送給醫(yī)生。醫(yī)生為患者生成EHR明文F，并提取關鍵字集合W={w1,w2,…,wt},其中，t為關鍵字個數(shù)。醫(yī)生用對稱加密算法加密EHR，用訪問結構o加密對稱密鑰k;同時醫(yī)生加密關鍵字集合生成安全索引。

①電子病歷加密。

輸入EHR明文F、對稱密鑰k和訪問結構o中所包含的屬性Ωo，醫(yī)生運行算法3輸出EHR密文CF。

算法3電子病歷加密

步驟2用對稱加密算法加密EHR明文F：C2=Enck(F);

步驟3計算C3=H3(C0,C2)×rF;

步驟4forvi,j∈Ωodo

endfor

步驟5CF=(C0,C1,C2,C3,Ei,j,Li,j);

醫(yī)生將EHR密文CF上傳到醫(yī)療云，醫(yī)療云接收后將存儲地址address返回給醫(yī)生。

②安全索引生成。

輸入關鍵字集合W={w1,w2,…,wt}，醫(yī)生運行算法4加密關鍵字集合生成安全索引IW。

算法4安全索引生成

步驟2for1≤l≤tdo

endfor

步驟3IW=(IR,Iw1,Iw2,…,Iwt);

輸入安全索引IW，醫(yī)生運行算法5對安全索引簽名,輸出安全索引簽名σ。

算法5安全索引簽名生成

步驟2σ=(S1,S2);

醫(yī)生將安全索引IW、CF的存儲地址address和簽名σ提交到聯(lián)盟鏈的數(shù)據(jù)池。

為了提高聯(lián)盟鏈的記賬效率，規(guī)定聯(lián)盟鏈上的所有節(jié)點按照事先商定的順序輪流記賬。記賬節(jié)點時刻監(jiān)控數(shù)據(jù)池，記賬成功后會得到一定的代幣作為獎勵。當某個節(jié)點不能履行記賬責任時，則由其下一個節(jié)點代替記賬，聯(lián)盟鏈將扣除其一定的代幣作為懲罰。

正確性驗證如下所示：

e(Y1,S2)=e(gα,hrσH4(IW))=

Figure 3 Blockchain data structure圖3 區(qū)塊鏈數(shù)據(jù)結構

(3)數(shù)據(jù)搜索與共享。

當數(shù)據(jù)用戶需要共享EHR時，數(shù)據(jù)用戶需要生成陷門并在聯(lián)盟鏈上搜索。

①陷門生成。

數(shù)據(jù)用戶輸入私鑰和需要搜索的關鍵字集合W′={w′1,w′2,…,w′t},運行算法6生成陷門TD。

算法6陷門生成

for1≤l≤tdo

end

②關鍵字搜索。

數(shù)據(jù)用戶將陷門TD和身份δu發(fā)送到聯(lián)盟鏈。搜索節(jié)點收到TD和δu后，運行算法7進行關鍵字搜索。

算法7關鍵字搜索

returnaddress;

else

return⊥;

搜索成功后，搜索節(jié)點將EHR密文的存儲地址address返回給數(shù)據(jù)用戶，搜索節(jié)點得到一定的代幣作為獎勵。

正確性驗證如下所示：

③密文驗證。

數(shù)據(jù)用戶收到address后，從醫(yī)療云獲取EHR密文CF。數(shù)據(jù)用戶運行算法8對EHR密文進行驗證。

算法8密文驗證

returnsuccess;

else

return⊥;

如果驗證算法輸出的信息是success，說明EHR密文沒有被篡改或者缺失；否則說明EHR密文被篡改或者已經(jīng)缺失。

正確性驗證如下所示：

④解密。

數(shù)據(jù)用戶從醫(yī)療云得到EHR密文后，運行算法9解密得到EHR明文。

算法9解密

步驟2計算k=C0⊕H2(ε);

步驟3解密：F=Deck(C2);

正確性驗證如下所示：

k=C0⊕H2(ε)=

F=Deck(Enck(F))=F

(4)屬性撤銷。

①屬性更新密鑰生成。

當某個用戶的屬性v′i,j需要被撤銷時,權威中心將用戶的身份加入屬性撤銷列表，并運行算法10計算屬性更新密鑰rk。

算法10屬性更新密鑰生成

步驟1forv′i,j∈Ωdo

Ui,j=a′i,j/ai,j,Vi,j=b′i,j/bi,j;

endfor

步驟2rk=(Ui,j,Vi,j);

②私鑰更新。

權威中心需要對用戶私鑰進行更新時。運行算法11計算更新后的私鑰sk′。

算法11私鑰更新

步驟1forv′i,j∈Ωdo

ifv′i,j≠vi,jthen

else

D′i=Di,P′i=Pi,R′i=Ri;

endfor

步驟2sk′=(d,D′i,P′i,R′i);

③密文更新。

權威中心對密鑰更新完畢后，醫(yī)療云運行算法12計算出更新后的密文C′F。

算法12密文更新

步驟1forv′i,j∈Ωdo

ifv′i,j≠vi,jthen

else

E′i,j=Ei,j,L′i,j=Li,j;

endfor

C′0=C0,C′1=C1,C′2=C2,C′3=C3;

步驟2C′F=(C′0,C′1,C′2,C′3,Ei,j,Li,j);

4.2 安全性證明

定理1假設DL假設成立，則沒有敵手能在多項式時間內(nèi)以不可忽略的優(yōu)勢贏得IND-SCP-CPA游戲。

證明假設敵手A在概率多項式時間內(nèi)能以不可忽略的優(yōu)勢ξ贏得IND-SCP-CPA游戲。本文建立一個挑戰(zhàn)者B，可以計算出DL問題的解。給挑戰(zhàn)者B一個DL實例(gt1,gt2,gt2t4,gt3+t4,gt1t3)和(gt1,gt2,gt2t4,gt3+t4,gT)，挑戰(zhàn)者B的目的是判定T=t1t3。

階段1敵手A做如下詢問：

③私鑰更新詢問：敵手A提交(δu,sk)，其中sk詢問過，v′i,j已經(jīng)授權給δu。挑戰(zhàn)者B更新List并返回一個新的私鑰sk′給敵手A。

階段2敵手A做如階段1的詢問，但是不能詢問F0和F1。

□

定理2如果BDH困難問題成立，則沒有敵手A能夠在多項式時間內(nèi)以不可忽略的優(yōu)勢贏得IND-CKA游戲。

階段1敵手A做如下詢問:

③陷門詢問：當敵手A做陷門詢問時，挑戰(zhàn)者B查詢列表。如果c=0，挑戰(zhàn)者B定義陷門TD=gt2d=Rd;否則，挑戰(zhàn)者B返回錯誤信息。

階段2敵手A做如階段1相同的詢問，但是不能詢問w0和w1。

猜測敵手A輸出猜測τ′∈{0,1}。如果τ′=τ，則說明在詢問中沒有出現(xiàn)終止的情況下得到Iwτ=(gt3,e(gt1t2,H(wτ)))=(gt3,e(g,g)T)，那么挑戰(zhàn)者B成功提示的概率至少為ξ/(Ne)才能符合要求。

□

5 性能分析

5.1 功能比較

本文方案與文獻[28-31]方案的功能比較如表1所示。由表1可知，本文方案既使用了區(qū)塊鏈也使用了云服務器，文獻[29]方案僅使用了區(qū)塊鏈，文獻[28,30,31]方案僅使用了云服務器。本文方案與文獻[30,31]方案支持安全搜索和多關鍵字搜索，文獻[28,29]方案不支持關鍵字搜索。本文方案和文獻[28,31]方案實現(xiàn)了屬性撤銷，文獻[29,30]方案沒有實現(xiàn)屬性撤銷。

5.2 理論運算時間比較

由表2可知，在加密階段，本文方案效率高于文獻[28,29]方案的，文獻[30,31]方案效率高于本文方案的，本文方案與文獻[31]方案僅理論運算時間相差2Th。在解密階段，本文方案效率高于文獻[28-31]方案的。在關鍵字搜索階段，本文方案效率高于文獻[30,31]方案的，文獻[30]方案效率最低。關鍵字個數(shù)越多，本文方案優(yōu)勢越明顯。

5.3 數(shù)值模擬

數(shù)值模擬實驗程序用C語言和PBC(Paring-Based Cryptography)編寫，在PC機(聯(lián)想G50-80，8 GB RAM，2.40 GHz CPU) 的Linux環(huán)境中運行。屬性個數(shù)和關鍵字個數(shù)分別取10,20,30,40,50，結果取20次實驗的平均值，如圖4～圖6所示。

Figure 4 Encryption time圖4 加密時間

Figure 5 Decryption time圖5 解密時間

Figure 6 Keyword search time圖6 關鍵字搜索時間

由圖4可知，對于加密算法，本文方案的運算時間低于文獻[28,29]方案的，但是高于文獻[30,31]方案的。本文方案的運算時間與文獻[31]方案的相差很小，當屬性個數(shù)為10時，兩方案運算時間僅相差1 ms。

Table 2 Comparison of different schemes operation time

由圖5可知，對于解密算法，本文方案的運算時間最短，當屬性個數(shù)小于30時，文獻[31]方案的解密運算時間最長；當屬性個數(shù)為30時，文獻[30,31]方案的解密運算時間相等，都是497 ms；當屬性個數(shù)大于30時，文獻[30]方案的解密運算時間最長。

由圖6可知，對于關鍵字搜索算法，本文方案的運算時間最短，文獻[30]方案的運算時間最長。文獻[30]方案的運算時間隨關鍵字個數(shù)的增加變化明顯，本文方案和文獻[31]方案的運算時間隨關鍵字個數(shù)的增加變化不明顯。

6 結束語

本文提出了一種基于屬性的云鏈協(xié)同存儲的電子病歷共享方案，該方案用對稱加密算法加密電子病歷，用基于密文策略的屬性基加密算法加密對稱密鑰，用可搜索加密算法加密關鍵字，實現(xiàn)了電子病歷的細粒度訪問控制和安全存儲與共享。經(jīng)過安全證明，該方案能夠實現(xiàn)密文的安全性和關鍵字的安全性；數(shù)值模擬實驗結果表明，該方案具有良好的性能，但是該方案的數(shù)據(jù)加密算法效率比某些對比方案的低，今后將繼續(xù)深入研究屬性基加密算法，提高算法效率。