楊小東 周 航 任寧寧 袁 森 王彩芬

1（西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 蘭州 730070）

2（深圳技術(shù)大學(xué)大數(shù)據(jù)與互聯(lián)網(wǎng)學(xué)院 廣東深圳 518118）

無線體域網(wǎng)[1]（wireless body area network,WBAN）指由佩戴或嵌入在人體的各種無線傳感器（wireless sensor,WS）組成的無線通信網(wǎng)絡(luò).WBAN 技術(shù)在醫(yī)療數(shù)據(jù)監(jiān)測(cè)方面的應(yīng)用極為廣泛，不同類型的無線醫(yī)療傳感器負(fù)責(zé)監(jiān)測(cè)患者各個(gè)方面的醫(yī)療數(shù)據(jù)并將數(shù)據(jù)發(fā)送給各種遠(yuǎn)端服務(wù)器，方便對(duì)患者的醫(yī)療數(shù)據(jù)做出專業(yè)的分析與整合.然而，開放的WBAN 在傳輸患者敏感的醫(yī)療數(shù)據(jù)時(shí)，面臨著患者的隱私被泄露或醫(yī)療數(shù)據(jù)被惡意篡改等風(fēng)險(xiǎn)[2].

許多國(guó)內(nèi)外學(xué)者提出將密碼體制應(yīng)用到WBAN中，以確保WBAN 的醫(yī)療數(shù)據(jù)在傳輸與共享時(shí)的機(jī)密性.Mykletun 等人[3]基于傳統(tǒng)公鑰密碼（public key cryptography,PKC）體制，設(shè)計(jì)了一種保證無線傳感網(wǎng)絡(luò)數(shù)據(jù)機(jī)密性的加密方案.Nadir 等人[4]基于PKC 體制與橢圓曲線密碼體制為用戶生成對(duì)稱密鑰來加密數(shù)據(jù)，確保醫(yī)療數(shù)據(jù)在無線傳感網(wǎng)絡(luò)中傳輸與共享時(shí)的機(jī)密性.然而，基于PKC 體制的方案[3-4]需要可信中心對(duì)用戶證書進(jìn)行管理，為消除證書管理的開銷，一些基于身份加密體制的WBAN 方案[5-7]相繼被提出.上述文獻(xiàn)[3?7]利用對(duì)數(shù)據(jù)進(jìn)行加密的方式確保了醫(yī)療數(shù)據(jù)傳輸時(shí)的機(jī)密性，但這種方式?jīng)]有實(shí)現(xiàn)對(duì)醫(yī)療數(shù)據(jù)來源的認(rèn)證.如果無法實(shí)現(xiàn)醫(yī)療數(shù)據(jù)的可認(rèn)證性，不僅會(huì)導(dǎo)致醫(yī)院浪費(fèi)寶貴的醫(yī)療資源進(jìn)行無效的診斷，還可能基于被篡改的醫(yī)療數(shù)據(jù)而對(duì)患者的病情做出錯(cuò)誤診斷.

為了實(shí)現(xiàn)WBAN 中醫(yī)療數(shù)據(jù)的可認(rèn)證性，Ahn等人[8]構(gòu)造了一種基于高級(jí)加密標(biāo)準(zhǔn)（advanced encryption standard，AES）對(duì)稱密碼體制的認(rèn)證方案.黃一才等人[9]基于身份密碼體制設(shè)計(jì)了一種簽名方案，該方案實(shí)現(xiàn)了抗重放攻擊.Cagalaban 等人[10]將數(shù)字簽密技術(shù)引入醫(yī)療保健系統(tǒng)，在確保醫(yī)療數(shù)據(jù)機(jī)密性的同時(shí)實(shí)現(xiàn)了數(shù)據(jù)的可認(rèn)證性.Ullah 等人[11]利用超橢圓曲線的概念，設(shè)計(jì)了一種基于證書的簽密方案.盡管文獻(xiàn)[8?11]實(shí)現(xiàn)了醫(yī)療數(shù)據(jù)的可認(rèn)證性，但都沒有考慮在多用戶環(huán)境下的應(yīng)用場(chǎng)景.為解決密碼方案在多用戶環(huán)境下的WBAN 中計(jì)算效率較低的問題，基于聚合簽名與聚合加密等技術(shù)，一些支持聚合模式的方案[12-15]相繼被提出.然而，文獻(xiàn)[8?15]沒有考慮如何對(duì)WBAN 云端密文進(jìn)行有效的搜索，導(dǎo)致數(shù)據(jù)用戶在對(duì)醫(yī)療數(shù)據(jù)進(jìn)行檢索時(shí)開銷較大.

基于可搜索加密技術(shù)[16]與密文等值測(cè)試技術(shù)[17]，國(guó)內(nèi)外學(xué)者提出了一些適用于WBAN 的密文檢索方案[18-21].但這些WBAN 密文檢索方案均存在一些缺陷，例如張嘉懿[18]與Andrew 等人[19]提出的可搜索加密方案僅支持對(duì)用相同公鑰加密的醫(yī)療數(shù)據(jù)進(jìn)行搜索；Ramadan 等人[20]設(shè)計(jì)的等值測(cè)試加密方案無法實(shí)現(xiàn)對(duì)醫(yī)療數(shù)據(jù)來源的認(rèn)證；Elhabob 等人[21]設(shè)計(jì)的基于證書的密文等值測(cè)試方案存在證書管理問題等.此外，醫(yī)生或醫(yī)療機(jī)構(gòu)有時(shí)需要判斷多個(gè)患者某些特定方面的醫(yī)療數(shù)據(jù)是否相同，或?qū)τ邢嗤“Y的患者的醫(yī)療數(shù)據(jù)進(jìn)行整合與存檔，但密文檢索文獻(xiàn)[18? 21]均沒有考慮到多用戶檢索以及對(duì)多密文同時(shí)進(jìn)行檢索的情況，在用戶節(jié)點(diǎn)眾多的WBAN 實(shí)際應(yīng)用環(huán)境中存在一定局限性.

WBAN 通常會(huì)面臨需要對(duì)2 個(gè)以上的密文進(jìn)行匹配的情況，而傳統(tǒng)的密文等值測(cè)試技術(shù)只能將多個(gè)密文兩兩分為一組，再對(duì)所有的分組逐個(gè)進(jìn)行測(cè)試，在多用戶環(huán)境下的密文檢索效率較低.為提高密文等值測(cè)試技術(shù)在多密文測(cè)試時(shí)的計(jì)算效率，Susilo等人[22]提出了一種支持多密文等值測(cè)試的公鑰加密（public-key encryption with multi-ciphertext equality test,PKE-MET）方案，實(shí)現(xiàn)了對(duì)2 個(gè)以上的密文同時(shí)進(jìn)行匹配的功能.在PKE-MET 方案中，每個(gè)參與多密文等值測(cè)試的數(shù)據(jù)擁有者都可以指定1 個(gè)數(shù)字n，并將自己的密文與其他n?1 個(gè)數(shù)據(jù)擁有者的密文進(jìn)行匹配.PKE-MET 在支持同時(shí)對(duì)多密文進(jìn)行等值測(cè)試的同時(shí)，還支持對(duì)多個(gè)用戶同時(shí)進(jìn)行密文檢索，當(dāng)測(cè)試者接收到n個(gè)希望進(jìn)行密文檢索的數(shù)據(jù)用戶分別上傳的n個(gè)測(cè)試陷門時(shí)，才可以對(duì)數(shù)據(jù)擁有者的密文進(jìn)行測(cè)試，實(shí)現(xiàn)了多數(shù)據(jù)用戶同時(shí)進(jìn)行密文匹配的功能.然而，PKE-MET 方案中存在證書管理開銷較大、無法對(duì)數(shù)據(jù)的來源進(jìn)行認(rèn)證等問題.

針對(duì)以上問題，本文提出了一種支持多密文等值測(cè)試的WBAN 聚合簽密方案.該方案的創(chuàng)新點(diǎn)主要包括3 個(gè)方面：

1）基于身份簽密體制.本文方案采用基于身份的簽密體制，消除了傳統(tǒng)公鑰加密方案中存在的證書管理開銷，確保了WBAN 中醫(yī)療數(shù)據(jù)的機(jī)密性、完整性、可認(rèn)證性與數(shù)據(jù)擁有者簽名的不可偽造性.

2）支持多用戶密文聚合簽密.引入聚合簽密技術(shù)，驗(yàn)證者可以實(shí)現(xiàn)對(duì)多個(gè)數(shù)據(jù)擁有者醫(yī)療數(shù)據(jù)密文的批量驗(yàn)證，提高了簽密方案在多用戶環(huán)境下的驗(yàn)證效率.

3）支持多密文等值測(cè)試.引入多密文等值測(cè)試技術(shù)，測(cè)試者可以利用數(shù)據(jù)用戶上傳的測(cè)試陷門同時(shí)對(duì)多個(gè)密文進(jìn)行匹配，實(shí)現(xiàn)了多用戶檢索與多密文等值測(cè)試，降低了多用戶環(huán)境下等值測(cè)試過程的計(jì)算開銷.

1 預(yù)備知識(shí)

1.1 困難問題

計(jì)算性Diffie-Hellman（computation Diffie-Hellman,CDH）問題：給定(P,aP,bP)，其中a,b∈計(jì)算abP.

1.2 克拉默法則

由含有n個(gè)未知數(shù)x1,x2,…,xn的n個(gè)線性方程所組成的非齊次線性方程組

所對(duì)應(yīng)的系數(shù)矩陣為

矩陣A對(duì)應(yīng)的行列式為

若det(A)≠0，則該方程組有唯一解.

1.3 范德蒙矩陣與范德蒙行列式

形如

的矩陣稱為范德蒙矩陣，其對(duì)應(yīng)的范德蒙行列式det(V)具有如下計(jì)算性質(zhì)：

2 本文方案

2.1 系統(tǒng)模型

本文提出的支持多密文等值測(cè)試的WBAN 聚合簽密方案的系統(tǒng)模型如圖1 所示，它包括6 個(gè)實(shí)體：私鑰生成器（private key generator,PKG）、云存儲(chǔ)提供商、數(shù)據(jù)擁有者（即患者佩戴的無線傳感器）、密文等值測(cè)試者、聚合者與數(shù)據(jù)用戶（data user,DU）.

各個(gè)實(shí)體具體介紹為：

1）私鑰生成器.負(fù)責(zé)為WBAN 中的數(shù)據(jù)擁有者和數(shù)據(jù)用戶生成密鑰.

Fig.1 The proposed system model圖1 本文系統(tǒng)模型

2）云存儲(chǔ)提供商.負(fù)責(zé)在云服務(wù)器中存儲(chǔ)用戶上傳的醫(yī)療密文CT1，CT2，…，CTn.

3）數(shù)據(jù)擁有者.即患者佩戴的無線傳感器，負(fù)責(zé)對(duì)醫(yī)療數(shù)據(jù)進(jìn)行簽密并將醫(yī)療密文上傳到云端存儲(chǔ).

4）測(cè)試者.對(duì)從云服務(wù)器下載的多個(gè)醫(yī)療密文執(zhí)行等值測(cè)試操作，將測(cè)試結(jié)果返回給云服務(wù)器.

5）聚合者.負(fù)責(zé)對(duì)多個(gè)數(shù)據(jù)擁有者的醫(yī)療數(shù)據(jù)進(jìn)行聚合簽密，將聚合醫(yī)療密文上傳到云端存儲(chǔ).

6）數(shù)據(jù)用戶.即醫(yī)生、醫(yī)療機(jī)構(gòu)與數(shù)據(jù)處理中心等希望獲取醫(yī)療密文的用戶，負(fù)責(zé)將等值測(cè)試的陷門上傳給測(cè)試者，并對(duì)從云服務(wù)器下載的醫(yī)療密文進(jìn)行解密與認(rèn)證.

2.2 安全目標(biāo)

本文提出的支持多密文等值測(cè)試的聚合簽密方案需要考慮2 種類型的敵手，第1 類敵手無法訪問數(shù)據(jù)用戶的測(cè)試陷門，第2 類敵手可以獲取數(shù)據(jù)用戶的測(cè)試陷門.針對(duì)這2 類敵手，本文提出的方案旨在達(dá)到的安全目標(biāo)為：

1）醫(yī)療數(shù)據(jù)的機(jī)密性和完整性.WBAN 中傳輸?shù)拇蠖嗍敲舾械尼t(yī)療數(shù)據(jù)，若患者的醫(yī)療數(shù)據(jù)在傳輸時(shí)中被惡意竊取或篡改，會(huì)造成嚴(yán)重后果.本文利用基于身份的加密體制，保證了所提方案在面對(duì)第1類攻擊者時(shí)醫(yī)療數(shù)據(jù)的機(jī)密性與完整性.機(jī)密性指即使攻擊者截取了傳輸?shù)尼t(yī)療密文也無法獲取與明文相關(guān)的信息；完整性則指醫(yī)療數(shù)據(jù)在傳輸時(shí)中無法被敵手偽造或篡改.

2）數(shù)據(jù)擁有者簽名的不可偽造性.本文新方案在對(duì)數(shù)據(jù)擁有者的簽名的合法性進(jìn)行驗(yàn)證的過程中，采用基于身份的簽密體制，保證了在面對(duì)第1 類攻擊者時(shí)數(shù)據(jù)擁有者簽名的不可偽造性，即攻擊者不能偽造出合法的數(shù)據(jù)擁有者簽名.

3）測(cè)試陷門的單向性.測(cè)試者通過數(shù)據(jù)用戶上傳的測(cè)試陷門對(duì)醫(yī)療密文進(jìn)行等值測(cè)試操作，在測(cè)試過程中，需要保證面對(duì)第2 類敵手時(shí)測(cè)試陷門滿足單向性，即敵手無法通過測(cè)試陷門獲取與參與測(cè)試的醫(yī)療數(shù)據(jù)明文相關(guān)的信息.

2.3 方案構(gòu)造

2.3.1 系統(tǒng)初始化

2.3.2 用戶密鑰提取

1）用戶將IDi上傳給PKG，PKG 計(jì)算Qi=H1(IDi)，ski,1=sQi；

2）PKG 隨機(jī)選擇xi∈計(jì)算PKi,1=xiP，PKi,2=H1(IDi||PKi,1)，s?ki,2=xi+sPKi,2，ski,3=H1(IDi||s) ，PKi,3=ski,3P；

3）PKG輸出公共參 數(shù)PKi=(PKi,1,PKi,2,PKi,3)與私鑰ski=(ski,1,ski,2,ski,3).

2.3.3 醫(yī)療數(shù)據(jù)簽密及上傳

給定參與密文等值測(cè)試與聚合簽密的數(shù)據(jù)擁有者數(shù)量為n，數(shù)據(jù)擁有者的身份標(biāo)識(shí)為IDi，數(shù)據(jù)用戶的身份標(biāo)識(shí)為IDj，其中i,j∈{1,2,···,n}.數(shù)據(jù)擁有者執(zhí)行1)～5)操作對(duì)mi進(jìn)行簽密：

1）隨機(jī)選擇ai,bi,Ni∈計(jì)算Ci,1=aiP，Ci,2=biP，Ri=aiQjPpub；

2）計(jì)算Ui=H2(mi,IDi,IDj,Ri,PKi,1,PKj,1)，Vi=H3(mi,IDi,IDj,Ri,PKi,1,PKj,1)，vi=aiUi+ski,2Vi，Ci,3=viP，Ci,4=H4(Ri)⊕(mi||vi)；

3）計(jì)算fi,0=H5(mi||n) ，fi,1=H5(mi||n||fi,0),··· ，fi,n?1=H5(mi||n||fi,0||···||fi,n?2)；

4）計(jì)算Ci,5=H4(biPKj,3) ⊕(Ni||f(Ni))，Ci,6=H6(n||Ci,1||···||Ci,5||biPKj,3||fi,0||···||fi,n?1)，其中

5）將密文CTi=(ti,Ci,1,Ci,2,Ci,3,Ci,4,Ci,5,Ci,6)上傳到云端存儲(chǔ)，其中ti=n.

2.3.4 多密文等值測(cè)試

n個(gè)數(shù)據(jù)用戶分別將等值測(cè)試陷門tkj=skj,3發(fā)送給測(cè)試者，其中j∈{1,2,···,n}.測(cè)試者從云服務(wù)器分別下載n個(gè)數(shù)據(jù)擁有者想要測(cè)試的密文CT1，CT2，···，CTn，執(zhí)行1）～3）多密文等值測(cè)試操作：

1）檢查t1=t2=···=tn=n是否成立，若成立測(cè)試者則繼續(xù)執(zhí)行以下操作，否則終止操作并輸出“ ⊥”；

2）對(duì)于i∈{1,2,···,n} ，j∈{1,2,···,n}，測(cè)試者分別計(jì)算Ni||f(Ni)=Ci,5⊕H4(Ci,2tkj)，由簽密算法有f(Ni)=測(cè)試者將n個(gè)等式合并得到方程組

并隱式設(shè)置fi,k=fj,k，其中k∈{0,1,···,n?1}，測(cè)試者通過對(duì)該方程組對(duì)應(yīng)的范德蒙矩陣求逆，獲得方程組的唯一一組解f1,0,f1,1,···,f1,n?1；

3）檢查等式Ci,6=H6(n||Ci,1||Ci,2||Ci,3||Ci,4||Ci,5||Ci,2tkj||fi,0||fi,1||···||fi,n?1)是否成立，若成立測(cè)試者則向云服務(wù)器輸出測(cè)試結(jié)果為“1”，否則向云服務(wù)器輸出測(cè)試結(jié)果為“0”.

互聯(lián)網(wǎng)經(jīng)濟(jì)的迅猛發(fā)展，促使高等教育分化，高等院校培養(yǎng)學(xué)生的出口拓寬。應(yīng)用型本科院校教學(xué)的重點(diǎn)除了給學(xué)生奠定科學(xué)基礎(chǔ)，更重要的功能是培養(yǎng)學(xué)生的應(yīng)用能力。數(shù)據(jù)庫原理是計(jì)算機(jī)類專業(yè)的必修專業(yè)基礎(chǔ)課，為學(xué)生進(jìn)行信息化管理應(yīng)用奠定基礎(chǔ)。如何使學(xué)生將理論學(xué)習(xí)轉(zhuǎn)化為應(yīng)用技能提升是應(yīng)用型本科教學(xué)的關(guān)注點(diǎn)，平頂山學(xué)院信息工程學(xué)院物聯(lián)網(wǎng)工程專業(yè)以數(shù)據(jù)庫原理課程教學(xué)為載體，探索了基于“學(xué)習(xí)成效”評(píng)價(jià)模式教學(xué)過程管理應(yīng)用研究，以期通過全過程的學(xué)習(xí)評(píng)價(jià)、注重學(xué)習(xí)效果的評(píng)價(jià)方式提升學(xué)生自主學(xué)習(xí)的自覺性和提高創(chuàng)新思維的主動(dòng)性。

2.3.5 醫(yī)療數(shù)據(jù)聚合簽密及上傳

若云服務(wù)器接收到的密文等值測(cè)試結(jié)果為“1”，代表n個(gè)數(shù)據(jù)擁有者的醫(yī)療密文全部相同，云服務(wù)器將所有數(shù)據(jù)擁有者的醫(yī)療密文CT1，CT2，···，CTn發(fā)送給聚合者，聚合者執(zhí)行1)～2)操作對(duì)醫(yī)療密文進(jìn)行聚合簽密：

2）將聚合醫(yī)療密文σagg=({CTi}i=1,2,···,n,Xagg)上傳到云服務(wù)器存儲(chǔ).

2.3.6 醫(yī)療數(shù)據(jù)下載及解密

給定數(shù)據(jù)用戶的身份標(biāo)識(shí)為IDj，其中j∈{1,2,···,n}.數(shù)據(jù)用戶從云端下載聚合醫(yī)療密文σagg，對(duì)密文進(jìn)行解密并驗(yàn)證數(shù)據(jù)來源.數(shù)據(jù)用戶的具體操作如為：

3 正確性分析與安全性證明

3.1 正確性分析

1）解密等式的正確性

因此，本文方案滿足密文解密等式的正確性.

3）等值測(cè)試結(jié)果的正確性

由醫(yī)療數(shù)據(jù)簽密及上傳算法可知，數(shù)據(jù)擁有者在簽密過程中設(shè)置

由此可以得到方程組

結(jié)合fi,k=fj,k，因此可將f1,0,f1,1,···,f1,n?1作為方程組的解，將隨機(jī)數(shù)Ni作為方程組的系數(shù)，則該方程組對(duì)應(yīng)的矩陣為

由范德蒙矩陣的性質(zhì)可知其對(duì)應(yīng)的行列式為det(V)=

從數(shù)據(jù)擁有者簽密過程可知，Ni是由n個(gè)不同的數(shù)據(jù)擁有者在對(duì)醫(yī)療密文進(jìn)行簽密時(shí)分別選擇的隨機(jī)數(shù)，因此det(V)=0的概率僅為[p(p?1)···(p?n+1)]?1，其中p為群的階.由克拉默法則可知當(dāng)det(V)≠0時(shí)，方程組有且僅有唯一解f1,0,f1,1,···,f1,n?1，于是有對(duì)于所有的i,j∈{1,2,···,n}，k∈{0,1,···,n?1}，等式fi,k=fj,k均成立，與所有參與密文等值測(cè)試的醫(yī)療密文全部相同的假設(shè)相符.因此，本文新方案滿足多密文等值測(cè)試結(jié)果的正確性.

3.2 安全性證明

本文提出的方案引入了基于身份的聚合簽密體制，確保了本文方案在面對(duì)第1 類敵手時(shí)醫(yī)療數(shù)據(jù)的機(jī)密性與簽名的存在不可偽造性，對(duì)于機(jī)密性與不可偽造性的證明過程可以參考文獻(xiàn)[23]方案.同時(shí)，本文方案滿足面對(duì)第2 類敵手適應(yīng)性選擇密文攻擊下的單向性（one-way against adaptive chosen ciphertext attack,OW-CCA2），以下通過定理1 證明本文方案滿足OW-CCA2安全.

定理1.假設(shè)CDH 問題是難解的，則本文方案在隨機(jī)預(yù)言模型下對(duì)第2 類敵手是OW-CCA2 安全的.

證明.假設(shè) C是能夠解決CDH 困難問題的人，A2代表第2 類敵手.C 以 A2為子程序充當(dāng)以下游戲中的挑戰(zhàn)者，若A2能以不可忽略的優(yōu)勢(shì)在概率多項(xiàng)式時(shí)間內(nèi)的游戲中獲勝，則 C能夠在概率多項(xiàng)式時(shí)間內(nèi)解決CDH 困難問題.

初始化階段.CDH 問題的輸入為(P,aP,bP)，其中a,b∈C的目標(biāo)是給出CDH 困難問題的解abP.C選取階為素?cái)?shù)p的循環(huán)群G，計(jì)算P為G的生成元，隨機(jī)選擇a∈并計(jì)算=aP.最后，輸出系統(tǒng)參數(shù)params={p,P,Ppub,G,H1,H2,H3,H4，H5,H6}，將a秘密保存并發(fā)送params給 A2.

詢問階段1.為了響應(yīng) A2的詢問，C維持列表L1，L2，L3，L4，L5，L6，Ltd分別用于跟蹤 A2的H1Hash 詢問、H2Hash 詢 問、H3Hash 詢問、H4Hash 詢 問、H5Hash詢問、H6Hash 詢問、測(cè)試陷門詢問.L1同時(shí)用于跟蹤密鑰提取詢問，開始時(shí)每個(gè)列表都為空.

1）H1Hash 詢問.當(dāng) C收到 A2對(duì)H1(IDi,Qi)的查詢，若則計(jì)算PKi,1=xiP，其中xi是未知的，C保存(⊥,Qi,IDi) 到L1；若i≠1，C隨機(jī)選擇xi,PKi,2∈并設(shè)置PKi,1=xiP，將PKi,2=H1(IDi||PKi,1)返回給 A2并保存(xi,PKi,1,PKi,2,IDi) 到L1.

2）H2Hash 詢 問.當(dāng) C收 到A2對(duì)(mi,IDi,IDj,Ri,PKi,1,PKj,1,Ui)的查詢后，C首先在L2查找是否已有(mi,IDi,IDj,Ri,PKi,1,PKj,1,Ui,ti,tiP)，若L2已 有(mi,IDi,IDj,Ri,PKi,1,PKj,1,Ui,ti,tiP)，則發(fā)送Ui給 A2；否則，C選取Ui∈將(Ui,ti,tiP)加入到L2中并輸出tiP.

3）H3Hash 詢 問.當(dāng) C收 到A2對(duì)(mi,IDi,IDj,Ri,PKi,1,PKj,1,Vi)的查詢后，C首先在L3查找是否已有(mi,IDi,IDj,Ri,PKi,1,PKj,1,Vi,wi,wiP)，若L3已 有(mi,IDi,IDj,Ri,PKi,1,PKj,1,Vi,wi,wiP)，則返回Vi給A2；否則，C選取Vi∈將(Vi,wi,wiP)加入到L3中并輸出wiP.

4）H4Hash 詢問.當(dāng) C收到 A2對(duì)(Ri,H4(Ri))的查詢后，若在L4中已有(Ri,H4(Ri))則返回H4(Ri)給 A2；否則，C選取并將(Ri,H4(Ri))加入到L4中且輸出H4(Ri).

5）H5Hash 詢問.當(dāng) C收到 A2對(duì)fi,d的查詢，其中d∈{1,2,···n}，若L5存在(mi,n,fi,0,···,fi,d?2,fi,d)則返回fi,d給 A2；否則，C選取fi,?∈將(mi,n,fi,0,···,fi,d?2,fi,d)加入到L5中并輸出fi,d.

6）H6Hash 詢問.當(dāng) C收到 A2對(duì)Ci,6的查詢后，若在L6中已有Ci,6則返回Ci,6給A2；否則，C選取Ci,6∈{0,1}k，將相應(yīng)元組加入到L6中并輸出Ci,6.

7）密鑰提取詢問.當(dāng) C收到 A2對(duì)IDi的私鑰的查詢后，C首先查詢L1中是否存在(xi,PKi,1,PKi,2,IDi)，若不存在則輸出“ ⊥”；否則返回(xi,PKi,1,?,?).如果IDi?C 將IDi作為H1Hash 詢問的輸入，得到Qi=H0(IDi)，并計(jì)算ski,1=aQi，ski,2=xi+aPKi,2，返回(PKi,1,ski,1,PKi,2,IDi) 給 A2.

8）公鑰替換詢問.當(dāng) C收到 A2對(duì)(IDi,PKi,1,PKi,2)的查詢后，若(xi,PKi,1,PKi,2,IDi)已存在于L1中，則C用列表L1中的(PKi,1,PKi,2)替換IDi原有的公鑰(PKi,1,PKi,2)；否則，C將(xi,PKi,1,PKi,2,IDi)加入到列表L1中.

9）簽密詢問.當(dāng) C收到 A2對(duì)(mi,IDi,IDj)的詢問后，C 執(zhí)行①～②操作：

①若IDi≠IDl且 A2沒有對(duì)IDi的公鑰執(zhí)行過替換詢問，C通過H1Hash 詢問與密鑰提取詢問分別獲取xi和ski,2，并對(duì)mi進(jìn)行簽密；若IDi對(duì)應(yīng)的公鑰被替換過，C首先通過H1詢問分別獲取(PKi,1,PKi,2)和(PKj,1,PKj,2)，然后 C利用隨機(jī)數(shù)ai∈計(jì)算Ci,1=aiP，Ri=并通過H2，H3，H4Hash 詢問分別獲取Ui=H2(mi,IDi,IDj,Ri,PKi,1,PKj,1)，Vi=H3(mi,IDi,IDj,Ri,PKi,1,PKj,1) .H4(Ri)，通過密鑰提取詢問獲取私鑰ski,2，計(jì)算vi=aiUi+ski,2Vi，Ci,3=viP，Ci,4=H4(Ri)⊕(mi||vi)，最后輸出密文σi=(Ci,1,Ci,2,Ci,3,PKi,1)給 A2.

② 若IDi=IDl，C首先通過H1詢問分別獲取(PKi,1,PKi,2)和(PKj,1,PKj,2)，隨機(jī)選擇y,z∈并計(jì)算Ci,1=zaP.然后 C通過H1Hash 詢問和H4Hash 詢問分別獲取(IDj,aj)和H4(Rj)，并計(jì)算Rj=Uj=H2(ml,IDl,IDj,Rj,PKl,1,PKj,1)，將(ml,IDl,IDj,Rj,PKl,1,PKj,1,Uj)加入到L2中，通過H3Hash 詢問獲取(ml,IDl,IDj,Rl,PKl,1,PKj,1,Vl,wl,wlP)，并計(jì)算vl=yUl，Cl,3=Ci,4=H4(Rl)⊕(ml||vl)，最后輸出σl=(Cl,1,Cl,2,Cl,3,PKl,1) 給 A2.

10）解簽密詢問.當(dāng) C收到 A2對(duì)(CT1,CT2,···,CTn,的查詢后，C執(zhí)行①～②操作：

①對(duì)(ID1,ID2,···,IDn,IDj)分別執(zhí)行H1Hash 詢問以獲取(Q1,Q2,···,Qn,Qj)，(PK1,1,PK2,1,···,PKn,1,PKj,1)，然后 C執(zhí)行聚合簽名驗(yàn)證算法，若驗(yàn)證未通過，則輸出“ ⊥”后終止模擬；否則繼續(xù)執(zhí)行后續(xù)操作.

② 若IDj≠IDl，C則通過H1Hash 詢問獲取(IDj,aj)并計(jì)算Rj=ajCj,1，檢查L(zhǎng)2中是否存在元組(?,IDj,Ri,PKi,1,PKj,1,Ui)，若存在，則 C利用Hash 值Ui對(duì) 密文進(jìn)行解密；否則 C隨機(jī)選取Ui∈并用Ui對(duì)密文進(jìn)行解密.若IDj=IDl，C則在L2中查詢是否存在元組(?,IDj,?,PKi,1,PKj,1,Ui)，若存在則利用Hash 值Ui對(duì)密文進(jìn)行解密；否則將隨機(jī)選取Ui∈并用Ui對(duì) 密文進(jìn)行解密.

11）測(cè)試陷門詢問.當(dāng) C收到 A2對(duì)tkj的詢問后，若L1中存在元組(xi,PKi,1,PKi,2,IDi)，C通過H1詢問獲取ski,3=H1(IDi||s)并返回tkj=ski,3給 A2；否則，C選取tkj∈發(fā)送給 A2，并將(xi,PKi,1,PKi,2,IDi)加入到Ltd中.

詢問階段2.A2執(zhí)行與詢問階段1 類似的多項(xiàng)式有界次適應(yīng)性查詢，但不允許對(duì)對(duì)應(yīng)的密文進(jìn)行解簽密查詢.

猜測(cè)階段.A2輸出1 個(gè)對(duì) μ的猜測(cè)μ′∈{0,1}，如果μ′=μ，則 A2在以上游戲中獲勝.C在列表L4中選取(Ri,H4(Ri))并以Ri=abP作為CDH 困難問題的解，這與目前公認(rèn)的CDH 問題的難解性相矛盾.因此本文方案在面對(duì)A2敵手時(shí)滿足選擇OW-CCA2 安全.

證畢.

4 對(duì)比分析

4.1 功能特性分析

將本文提出的方案與文獻(xiàn)[22?26]方案在功能特性方面進(jìn)行比較，對(duì)比結(jié)果如表1 所示.與文獻(xiàn)[23?24]方案相比，本文方案引入等值測(cè)試功能，實(shí)現(xiàn)了對(duì)存儲(chǔ)在云端的醫(yī)療密文的安全檢索.與文獻(xiàn)[22,25?26]方案相比，本文方案引入了聚合簽密技術(shù)，確保了WBAN中醫(yī)療數(shù)據(jù)的機(jī)密性、完整性與可認(rèn)證性，提高了多用戶環(huán)境下對(duì)醫(yī)療數(shù)據(jù)進(jìn)行簽密與驗(yàn)證的效率.文獻(xiàn)[25?26]方案采用的等值測(cè)試方法只能對(duì)2 個(gè)密文進(jìn)行比較，本文方案實(shí)現(xiàn)了同時(shí)對(duì)多個(gè)密文進(jìn)行匹配，降低了測(cè)試者執(zhí)行密文等值測(cè)試時(shí)的開銷.此外，與文獻(xiàn)[22?23,25?26]方案相比，本文方案達(dá)到了適應(yīng)性選擇密文攻擊下的單向性，安全性有所提升.

Table 1 Comparison of Functional Characteristics表1 功能特性比較

4.2 范德蒙矩陣求逆算法復(fù)雜度分析

本文所提新方案在執(zhí)行多密文等值測(cè)試算法時(shí)，測(cè)試者通過對(duì)范德蒙矩陣求逆以提取出與數(shù)據(jù)擁有者明文相關(guān)的系數(shù).其中，n階范德蒙矩陣求逆算法的時(shí)間復(fù)雜度取決于所使用的求逆方法，已有許多學(xué)者提出了求解范德蒙矩陣逆矩陣的串行[27-28]與并行[29-30]方法，其時(shí)間復(fù)雜度如表2 所示：

Table 2 Complexity of Inversion for Vandermonde Matrix表2 范德蒙矩陣求逆算法復(fù)雜度

4.3 計(jì)算開銷分析

將本文提出的方案在計(jì)算時(shí)間開銷方面與文獻(xiàn)[25?26]方案進(jìn)行對(duì)比，假設(shè)參與密文等值測(cè)試的用戶數(shù)量為n，使用i7-8750h，2.20 GHz 處理器，8 GB 內(nèi)存和Win10 操作系統(tǒng)在VC6.0 環(huán)境下用PBC 庫分別對(duì)本文方案與對(duì)比方案進(jìn)行了仿真模擬，對(duì)比結(jié)果如表3 所示.其中標(biāo)量乘法運(yùn)算時(shí)間Tsm=0.0004 ms，群元素乘法運(yùn)算時(shí)間Tmul=0.0314 ms，Hash 函數(shù)運(yùn)算時(shí)間Th=0.0001 ms，指數(shù)運(yùn)算時(shí)間Te=6.9866 ms，雙線性配對(duì)時(shí)間Tbp=9.6231 ms，范德蒙矩陣求逆時(shí)間Tinv取決于矩陣求逆方法.從表3 可以看出，由于本文方案中不存在計(jì)算開銷較大的雙線性配對(duì)運(yùn)算，因此在密文生成階段的計(jì)算時(shí)間開銷相比于文獻(xiàn)[25?26]的方案有顯著降低.在數(shù)據(jù)解密及驗(yàn)證階段，非聚合模式下的文獻(xiàn)[25?26]方案需要所有數(shù)據(jù)用戶逐一對(duì)數(shù)據(jù)進(jìn)行驗(yàn)證并解密，而本文方案中的數(shù)據(jù)用戶能夠?qū)酆厦芪倪M(jìn)行批量驗(yàn)證，驗(yàn)證效率相比于文獻(xiàn)[25?26]的方案有所提高.

Table 3 Computation Amount Comparison表3 計(jì)算量比較ms

此外，文獻(xiàn)[25?26]方案僅支持將多個(gè)用戶的密文兩兩一組進(jìn)行匹配，其密文等值測(cè)試算法中雙線性配對(duì)運(yùn)算數(shù)量與參與測(cè)試的用戶數(shù)量呈線性關(guān)系；而本文方案中，測(cè)試者可以同時(shí)對(duì)n個(gè)用戶的密文進(jìn)行匹配，且測(cè)試過程中不存在雙線性配對(duì)運(yùn)算.本文方案的等值測(cè)試時(shí)間主要取決于測(cè)試者對(duì)范德蒙行列式求逆時(shí)所選取的算法，而在對(duì)范德蒙矩陣求逆的過程中僅進(jìn)行標(biāo)量加法與乘法等計(jì)算效率較高的運(yùn)算[28]，因此本文方案的密文等值測(cè)試效率同樣高于文獻(xiàn)[25?26]方案的效率.

5 結(jié)束語

針對(duì)現(xiàn)有的WBAN 密碼方案在多用戶環(huán)境下計(jì)算效率較低等問題，本文提出了支持多密文等值測(cè)試的WBAN 聚合簽密方案.該方案采用基于身份的密碼體制，消除了傳統(tǒng)公鑰方案中證書管理的開銷；引入多密文等值測(cè)試技術(shù)，實(shí)現(xiàn)了多數(shù)據(jù)用戶對(duì)多醫(yī)療密文的同時(shí)檢索；減少了多用戶環(huán)境下密文等值測(cè)試的計(jì)算開銷；利用聚合簽密技術(shù)，提高了對(duì)多個(gè)用戶的醫(yī)療數(shù)據(jù)進(jìn)行簽密的效率.本文方案滿足醫(yī)療數(shù)據(jù)在傳輸過程中的機(jī)密性、完整性和可認(rèn)證性，同時(shí)保證了數(shù)據(jù)擁有者簽名的不可偽造性與測(cè)試陷門的單向性.與同類方案的對(duì)比分析結(jié)果表明，本文方案支持更多安全屬性且計(jì)算開銷更低.在未來的工作中，將嘗試設(shè)計(jì)抗量子計(jì)算攻擊的支持多密文等值測(cè)試的WBAN 簽密方案.

作者貢獻(xiàn)聲明：楊小東負(fù)責(zé)論文整體思路與實(shí)驗(yàn)方案的設(shè)計(jì)；周航負(fù)責(zé)設(shè)計(jì)方案與撰寫論文；任寧寧負(fù)責(zé)方案仿真與效率分析；袁森負(fù)責(zé)搜集應(yīng)用場(chǎng)景相關(guān)資料；王彩芬提出指導(dǎo)意見并修改論文.