Multi-authority attribute-based security solution for policy renewability in cloud healthcare environments

Wu Zhaoxia，Jiang Xu? （FacultyofStatistics amp; Data Science，Xinjiang UniversityofFinanceamp; Economics，Urimqi83oo12，China）

Abstract：Inthecloud medicalenvironment，medicaldata stored inthecloud has problems likeeasy privacyleakageand high cost of acesspolicyupdates.Toaddresstheseproblems，this paper proposedamulti-authorityatribute-basedsecurityscheme withupdatablepolicies.Theproposedschemewasbasedonmultipleauthoritativeinstitutionssuchashospitalsandresearch institutes，hich manageddisjointatributests.Itencrypteddatausingaciphertext-olicyatribute-basedencryptionapproach， enabling fine-grainedaccessandsecuresharingof medicaldatainthecloud.Theschemeintroduced policyupdate keystofficientlyupdate access policies withlowoverhead.Securityanalysisand experimental resultsshowthatthe scheme has ciphertext indistinguishabilitysecurityandanti-conspiracyatacksecurity，ndhaslowtimeoverheadinencryption，decryptionandpolicy update，effectivelyrealizing the secure storage of medical data in thecloud and dynamic policy update.

Key Words：attribute-based encryption；access control；multi-authority；policy update

0 引言

隨著云存儲(chǔ)技術(shù)的飛速發(fā)展，許多醫(yī)療機(jī)構(gòu)選擇將醫(yī)療數(shù)據(jù)上傳到云存儲(chǔ)平臺(tái)，進(jìn)行遠(yuǎn)程訪問、共享或更新數(shù)據(jù)。云醫(yī)療作為一種新興的醫(yī)療服務(wù)模式，為患者提供了更加便捷、高效的醫(yī)療服務(wù)[1]。由于將患者的數(shù)據(jù)上傳到醫(yī)療云平臺(tái)上，患者失去了對(duì)數(shù)據(jù)的完全控制，一些不誠(chéng)實(shí)的醫(yī)療云嚴(yán)重威脅患者數(shù)據(jù)的隱私和安全，如何實(shí)現(xiàn)存儲(chǔ)在云中的醫(yī)療數(shù)據(jù)安全共享是一個(gè)重點(diǎn)問題。在云存儲(chǔ)之前對(duì)數(shù)據(jù)進(jìn)行加密是必要的，特別是涉及患者健康信息的醫(yī)療數(shù)據(jù)。

屬性基加密（attribute-basedencryption，ABE）是一種“一對(duì)多”的加密方式，具有靈活的訪問控制，能夠?qū)崿F(xiàn)數(shù)據(jù)的細(xì)粒度訪問和安全共享。屬性基加密分為密鑰策略屬性基加密（KP-ABE）2和密文策略屬性基加密（CP-ABE）。Bethencourt等人3提出了一種對(duì)加密數(shù)據(jù)實(shí)現(xiàn)細(xì)粒度訪問控制的密文策略屬性基加密方案，用戶的私鑰與其屬性相關(guān)聯(lián)，密文與訪問結(jié)構(gòu)相關(guān)聯(lián)。只有當(dāng)用戶的屬性滿足密文的訪問結(jié)構(gòu)時(shí)，用戶才能使用私鑰正確恢復(fù)明文。例如，患者可能希望對(duì)本人的心理醫(yī)療數(shù)據(jù)進(jìn)行加密，指定具有‘心理醫(yī)生’，‘專家’的用戶才能訪問該患者的心理醫(yī)療數(shù)據(jù)。Li等人[4]提出了一個(gè)多權(quán)限的ABE方案，用于保證云存儲(chǔ)環(huán)境中的數(shù)據(jù)刪除。Fan等人[5通過將加解密外包，解決了計(jì)算開銷較高問題。Wu等人[提出了一個(gè)多授權(quán)的CP-ABE方案來解決系統(tǒng)中的單點(diǎn)瓶頸問題。由于數(shù)據(jù)擁有者可以通過CPABE為密文指定靈活的訪問結(jié)構(gòu)，從而實(shí)現(xiàn)對(duì)密文的細(xì)粒度訪問控制，所以CPABE更適合在云存儲(chǔ)中應(yīng)用。

傳統(tǒng)的單權(quán)威屬性基加密方案存在計(jì)算負(fù)擔(dān)過重、單點(diǎn)故障危機(jī)以及中央權(quán)威過大等一系列負(fù)面影響。多權(quán)威方案解決了單權(quán)威屬性基加密方案中計(jì)算資源有限和單點(diǎn)故障的問題，因此在云存儲(chǔ)中得到了廣泛的應(yīng)用。Chase[首次提出基于多權(quán)威機(jī)構(gòu)屬性基加密方案，在該方案中，存在一個(gè)中央權(quán)威機(jī)構(gòu)和一些屬性權(quán)威機(jī)構(gòu)，但中央權(quán)威機(jī)構(gòu)可能會(huì)解密密文，導(dǎo)致用戶的隱私泄露。Lin等人8首次提出了一種無中心權(quán)威的閾值多權(quán)威模糊身份加密方案，但系統(tǒng)的安全性對(duì)用戶數(shù)量有一定限制，抗合謀的靈活性較差。董國(guó)芳等人通過更新版本號(hào)實(shí)現(xiàn)屬性撤銷的屬性密鑰單次更新，并且通過引入外包有效地降低了用戶計(jì)算開銷。Zhang等人[10]提出了一種個(gè)人健康記錄系統(tǒng)的CPABE方案，通過使用線性秘密共享方案（LSSS）使訪問策略更具表現(xiàn)力。

此外，當(dāng)數(shù)據(jù)擁有者的屬性發(fā)生變化時(shí)，需要修改相應(yīng)的訪問策略。例如，患者將醫(yī)療數(shù)據(jù)存放在醫(yī)療云服務(wù)器中并制定訪問策略，要求只有同時(shí)滿足重癥病房，心理科，專家的人才能訪問該患者的數(shù)據(jù)，但當(dāng)患者需要轉(zhuǎn)到其他科室，訪問策略由重癥病房，心理科，專家更改為普通病房，心理科，坐診醫(yī)生，只有普通病房心理科的坐診醫(yī)生才能訪問該患者的數(shù)據(jù)。因此，這就需要加密方案具有訪問策略可更新功能。Jahid等人[1通過引用代理使用特定的轉(zhuǎn)換操作進(jìn)行策略更新，但是效率較低。Ying等人[12]提出一種支持動(dòng)態(tài)策略更新的屬性基加密方案。該方案能夠支持任何類型的細(xì)粒度策略更新，但在進(jìn)行策略更新時(shí)，數(shù)據(jù)所有者需要存儲(chǔ)額外的秘密信息，這可能會(huì)隨著數(shù)據(jù)量的增加影響系統(tǒng)的效率。隨后，Liu等人[13]提出一種允許在不重新加密數(shù)據(jù)的情況下動(dòng)態(tài)更新訪問控制策略的密文策略屬性加密方案，但該方案未涉及到在多權(quán)威機(jī)構(gòu)下的應(yīng)用情況。

基于上述分析，本文提出了一種基于云醫(yī)療環(huán)境下策略可更新的多權(quán)威機(jī)構(gòu)密文策略屬性基安全方案。為了提升系統(tǒng)性能和安全性，所提方案采用相互獨(dú)立的權(quán)威機(jī)構(gòu)管理不同屬性。同時(shí)數(shù)據(jù)擁有者可以根據(jù)各種需求修改訪問策略，從而達(dá)到細(xì)粒度控制的目的并降低了系統(tǒng)的計(jì)算開銷。基于 q -PBDHE假設(shè)，本文方案具有選擇明文下密文不可區(qū)分安全性，同時(shí)可以抵抗用戶之間以及用戶與權(quán)威機(jī)構(gòu)之間共謀攻擊。

1背景知識(shí)

1.1 雙線性映射

雙線性映射， G 和 G_T 為 p 階乘法循環(huán)群， g 為生成元， e 為雙線性映射： G×GG_T ，具有以下三個(gè)性質(zhì)：

a）雙線性：任意 g，h∈G 和 a，b∈Z_p ，有 e（g，h）^ab

b）退化性：任意 g∈G ，有 e（g，g）≠1 。

c）可計(jì)算性：任意 g，h∈G ，都可有效計(jì)算 e（g，h） 。

1.2線性秘密共享方案（LSSS）

設(shè) U 為全域?qū)傩约希?q 為一個(gè)素?cái)?shù)，如果有以下條件成立，則稱訪問策略 A 在 U 上的線性秘密共享方案 π 在 Z_p 上為線性的：

a） U 中包含的每個(gè)屬性都擁有秘密值 s，s∈Z_p 的一部分秘密份額，且各秘密份額在 Z_p 上組成一個(gè)向量；

b）針對(duì)方案 π ，一定有一個(gè)共享生成矩陣 M∈Z_q^l×n 以及一個(gè)映射函數(shù) ρ 存在 表示行 M_i 代表的屬性，其中 M_i 是矩陣 M 的第 i 行， i∈[1，l] 。此外，給定一個(gè)行向量 ν=（s r₂，…，r_l） ，其中 r₂…r_l 都是從 Z_p 中隨機(jī)取值，則根據(jù)線性秘密共享方案 π 可以生成一個(gè)列向量 λ=（λ₁，λ₂，…，λ_l）^T=M ：ν^T∈Z_q^l×n ，該向量是由 s 的 l 個(gè)秘密份額 {λ₁，λ₂，…，λ_l} 組成，并對(duì)于全部的 i∈[1，l] ，秘密份額 λ_i=（λ₁，λ₂，…，λ_l）^T= M_i?ν^T 屬于 ρ（i） 。

1.3判定性 q 階數(shù)雙線性Diffie-Hellman（DBDH）問題

設(shè)階為素?cái)?shù) p 的乘法循環(huán)群 G 和 G_T ，存在一個(gè)雙線性對(duì)映射 e：G×G?G_T，g 為 G 生成元。隨機(jī)選擇指數(shù) a，s，b₁ ，b₂，…，b_q∈Z_p^* ，挑戰(zhàn)者公開并向敵手發(fā)送以下項(xiàng)：

在判定性q-PBDHE下敵手區(qū)分T=e（g，g）+1 與 G_T

中隨機(jī)元素 T 是困難的。

2 系統(tǒng)架構(gòu)

2.1 系統(tǒng)模型

當(dāng)患者身體狀態(tài)發(fā)生變化時(shí)，用戶的訪問權(quán)限也需要發(fā)生變化，因此需要對(duì)訪問策略進(jìn)行變更。本文設(shè)計(jì)一種醫(yī)療云環(huán)境下策略可更新系統(tǒng)，它支持對(duì)加密的個(gè)人醫(yī)療數(shù)據(jù)進(jìn)行細(xì)粒度訪問控制和訪問策略更新。在這個(gè)系統(tǒng)中，數(shù)據(jù)擁有者可以自主定義訪問策略并動(dòng)態(tài)更新訪問策略，數(shù)據(jù)用戶可以用相應(yīng)的私鑰訪問患者的敏感文件。本文方案共涉及系統(tǒng)方、醫(yī)療云服務(wù)器（CA）權(quán)威機(jī)構(gòu)（AA）數(shù)據(jù)擁有者、用戶和受信任方六種實(shí)體。

a）系統(tǒng)方：系統(tǒng)方的實(shí)體為系統(tǒng)管理者，系統(tǒng)方將調(diào)用系統(tǒng)初始化算法生成公共參數(shù) （PP） ，公共參數(shù)首先被分發(fā)到權(quán)威機(jī)構(gòu)、數(shù)據(jù)擁有者、用戶、受信方。

b）數(shù)據(jù)擁有者：數(shù)據(jù)擁有者實(shí)體為患者，數(shù)據(jù)擁有者將密文 （CT） 上傳到醫(yī)療云服務(wù)器，一旦數(shù)據(jù)擁有者希望更改現(xiàn)有CT 的訪問策略，數(shù)據(jù)擁有者就會(huì)向云存儲(chǔ)提供商發(fā)送策略更新密鑰。

c）醫(yī)療云服務(wù)器（CA）：CA負(fù)責(zé)存儲(chǔ)密文CT，驗(yàn)證用戶的屬性滿足訪問策略、密文更新等操作。

d）權(quán)威機(jī)構(gòu)（AA）：AA調(diào)用權(quán)威機(jī)構(gòu)初始化算法生成公鑰 （PK_aid ），并將 PK_aid 發(fā)送給數(shù)據(jù)擁有者、數(shù)據(jù)用戶和受信任方，AA同時(shí)根據(jù)數(shù)據(jù)用戶的請(qǐng)求為他們分配屬性。

e）受信方：受信方實(shí)體為第三方可信機(jī)構(gòu)，如果出現(xiàn)爭(zhēng)議或懷疑，受信方會(huì)調(diào)用追蹤算法，并向AA報(bào)告可疑用戶的唯一標(biāo)識(shí)符（uid）。

f）用戶：用戶實(shí)體為獲取醫(yī)療數(shù)據(jù)的人員，如果用戶的屬性滿足訪問策略，則可以使用相應(yīng)的私鑰解密 CT 。每位用戶擁有一個(gè)標(biāo)識(shí)符（uid）。

系統(tǒng)方調(diào)用系統(tǒng)初始化算法并生成公共參數(shù)（ PP） ？ PP 被分發(fā)給權(quán)威機(jī)構(gòu)、數(shù)據(jù)擁有者、用戶和受信方。權(quán)威機(jī)構(gòu)（AA）調(diào)用權(quán)威機(jī)構(gòu)初始化算法生成公鑰，并將公鑰發(fā)送給數(shù)據(jù)擁有者、數(shù)據(jù)用戶和受信方。數(shù)據(jù)擁有者將密文（CT）上傳到醫(yī)療云服務(wù)器。一旦數(shù)據(jù)擁有者希望改變現(xiàn)有 CT 上的訪問策略，數(shù)據(jù)擁有者就向醫(yī)療云服務(wù)器發(fā)送策略更新密鑰，醫(yī)療云服務(wù)器對(duì)密文進(jìn)行更新。隨后，如果用戶的屬性滿足CT的訪問策略，他們可以使用密鑰執(zhí)行解密操作。方案的系統(tǒng)模型如圖1所示。

2.2 算法定義

云醫(yī)療環(huán)境下策略可更新的多權(quán)威屬性基安全方案算法由系統(tǒng)初始化、權(quán)威機(jī)構(gòu)初始化、密鑰生成、數(shù)據(jù)加密、數(shù)據(jù)解密、策略更新密鑰生成和密文更新和追蹤八部分組成。

a）系統(tǒng)初始化算法 ：輸入安全參數(shù) λ ，輸出并發(fā)布系統(tǒng)的公共參數(shù) PP，PP 是每個(gè)算法的輸入?yún)?shù)。

b）權(quán)威機(jī)構(gòu)初始化算法AASetup （aid，PP）?SK_aid， PK_aid 每個(gè)屬性權(quán)威AA都有一個(gè)索引 aid ，以每個(gè)屬性權(quán)威AA的索引aid和公共參數(shù) PP 作為輸入，輸出屬性權(quán)威的私鑰 SK_aid 和公鑰 PK_aid 。

c）用戶密鑰生成算法 Keygen（uid，S，∣SK_aid∣，PP） SK_s，uid ：輸入用戶標(biāo)識(shí)符 uid 、屬性集合 s 、屬性對(duì)應(yīng)權(quán)威機(jī)構(gòu)的私鑰 SK_aid 、系統(tǒng)公共參數(shù) PP ，輸出用戶對(duì)應(yīng)的私鑰 SK_s，uid 。

d）加密算法 Encrypt（m，（M，ρ），PK_aid，PP）CT 輸入需要加密的明文 ?_m 、訪問結(jié)構(gòu) （M，ρ） 、屬性權(quán)威機(jī)構(gòu)的公鑰PK_aid ，以及系統(tǒng)的公共參數(shù) PP ，輸出對(duì)應(yīng)的密文 CT 。

e）解密算法 Decrypt（CT，SK_s，uid，PP）?m ：輸入需要解密的密文 CT 、用戶的私鑰 SK_s，uid 、系統(tǒng)公共參數(shù) PP ，輸出對(duì)應(yīng)的明文 m 。

f）策略更新密鑰生成算法PUKeygen（ PP ， PK_aid Share（m），（M，ρ），（M^′，ρ^′））UK_m ：輸人系統(tǒng)公共參數(shù) PP 屬性權(quán)威機(jī)構(gòu)的公鑰 PK_aid、m 的加密信息 Share（m） （包含隨機(jī)向量 u 和 x 的信息）、舊訪問策略 （M，ρ） 和新訪問策略（ M^′ ，ρ^′. ），輸出策略更新密鑰 UK_m 。

g）密文更新算法CTUdata （CT，UK_m）?CT^′ ：輸人密文 ∠sCT 和策略更新密鑰 UK_m ，算法輸出更新的密文 CT^′ 。

h）追蹤算法 Trace（ SK_s，uid ， {PK_aid}，PP）uid. 1 ⊥ ：輸入用戶私鑰、權(quán)威機(jī)構(gòu)公鑰和系統(tǒng)公共參數(shù)，輸出用戶的 uid 或 ⊥ 。

3具體方案

a）系統(tǒng)初始化：該算法輸入安全參數(shù) λ ，選擇階為素?cái)?shù) p 的線性群 G_T，e 為雙線性映射， e：G×G?G_T 。隨機(jī)選擇 g∈G 和三個(gè)抗碰撞性哈希函數(shù) H₁，H₂，T 其中， H₁ 用于將用戶的身份映射到 G 的一個(gè)元素中，即 用于將用戶的屬性映射到 G 的一個(gè)元素中，即 用于將屬性 i 映射到相應(yīng)權(quán)威機(jī)構(gòu)的索引 （aid） ，即 Z_q 。系統(tǒng)的公共參數(shù)為 PP=（G，G_T，p，e，g，H₁，H₂，T） ，以系統(tǒng)的公共參數(shù) PP 作為輸出。

b）權(quán)威機(jī)構(gòu)初始化：選擇隨機(jī)數(shù) α_aidβ_aid∈Z_p ，輸入aid、PP ，計(jì)算公鑰： ，令權(quán)威機(jī)構(gòu)私鑰為 SK_aid={α_aid，β_aid} 。

c）用戶密鑰生成：隨機(jī)選擇 ，可得用戶的密鑰組成部分如下： ： ，輸出用戶密鑰SK_S，uid={K_2，uid，{K_{1，i，uid}，K_{3，i，uid}，K_{4，i，uid}}_i∈S} 。

d）加密：輸入明文 m 、系統(tǒng)公共參數(shù) PP 、訪問策略 （M，ρ） 、授權(quán)機(jī)構(gòu)的公鑰 PK_aid ，隨機(jī)選取兩個(gè)秘密值 s 和 0，s∈Z_p ，選取兩個(gè)隨機(jī)向量 ν=（s，v₂，…，v_n） 和 x=（0，x₁，x₂，…，x_n） ，計(jì)算 s 和0的份額為 λ_x=M_xν^T 和 ω_x=M_xx^T ，隨機(jī)選取 r_x∈Z_p ，并計(jì)算密文的子項(xiàng)： C₀=m?e（g，g）^s ， 。則密文 CT 為：CT={C₀，{C_1，x，C_2，x，C_3，x，C_4，x}_{x∈{1，…，l}}} 。

e）解密：輸入密文 （T，SK_s，uid 和系統(tǒng)公共參數(shù) PP ，對(duì)于 x∈ I 和 {x：ρ（x）∈S} 其中 I?{1，…，l} ，計(jì)算解密因子 D_x ：

D_x=C_1，x?e（K_{1，ρ（x），uid}，C_3，x）?e（H₁（K_2，uid），C_2，x）.

e（K_{3，ρ（x），uid}?K_{4，ρ（x），uid}，C_4，x）

對(duì)于 {c_x}_x∈I ，有 ，進(jìn)一步計(jì)算可得明文 （204

f）策略更新密鑰生成：輸人系統(tǒng)公共參數(shù) PP ，屬性權(quán)威機(jī)構(gòu)的公鑰 PK_aid ，包含隨機(jī)向量 u 和 x 的加密信息 Shares（m） ，舊訪問策略 （M，ρ） 和新訪問策略 （M^′，ρ^′） ， M 為 l×n 的矩陣，M^′ 為 l^′×n^′ 矩陣，定義 δ（i）=T（ρ（i））_i∈[I] 和 δ^′（j）=T（ρ^′ （j））_j∈[I] ，通過文獻(xiàn)[14]的策略比較方法，生成新訪問策略中M^′ 矩陣的三個(gè)行索引 I_1，M^′?I_2，M^′?I_{3，M^′}，num_{ρ（i），M} 和 num_{ρ（i），M^′} 分別表示屬性 ρ（i） 在 M 中和 ρ^′（i） 在 M^′ 中的數(shù)量。 I_1，M^′ 和 I_2，M^′ 都表示索引 j 的集合，使得 ρ^′（j） 在 M 中，且 j 總數(shù)不會(huì)超過屬性 ρ（i）（ρ（i）=ρ^′（j） 在 M 中的總數(shù)，若索引 j 總數(shù)超過屬性ρ（i） 在 M 中的數(shù)量，對(duì)于超出部分的索引 j 將會(huì)放人 I_{2，M^′} 。I_{3，M^′} 取表示 ρ^′（j） 不存在 M 中 j 的索引集合。選取兩個(gè)隨機(jī)向量 ν^′=（s，ν₂^′，…，ν_n^′） 和 x^′=（0，x₂^′，…，x_n^′） ，計(jì)算 λ_j^′=M_j^′ν^′T 和ω_j^′=M_j^′x^′T 且 j∈{1，…，l^′} 。

當(dāng)行索引滿足 （j，i）∈I_1，M^′ （模塊1），該算法生成策略更新密鑰組件為

當(dāng)行索引滿足 （j，i）∈I_2，M^′ （模塊2），選取一個(gè)隨機(jī)數(shù) a_j∈ Z_p ，并產(chǎn)生更新密鑰為

當(dāng)行索引滿足 （j，0）∈I_3，M^′ （模塊3），隨機(jī)選取 ，更新密鑰項(xiàng)： ，更新密鑰為

{UK_{j，i，m}}₃={UK_{1，j，i，m}，UK_{2，j，i，m}，UK_{3，j，i，m}，UK_{4，j，i，m}}

最后，數(shù)據(jù)擁有者將策略更新密鑰 UK_m={{UK_j，i，m}₁ {UK_j，i，m}₂，{UK_j，i，m}₃} 發(fā)送給醫(yī)療云存儲(chǔ)服務(wù)提供商。

g）密文更新：云存儲(chǔ)服務(wù)提供商接收到策略更新密鑰后，將密文 CT 更新為 CT^′ ，具體更新如下：

當(dāng)行索引屬于模塊1時(shí)，更新密文為

當(dāng)行索引屬于模塊2時(shí)，更新密文為

當(dāng)行索引屬于模塊3時(shí)，更新密文為

最后，更新后的密文為

CT^′={C₀，{C^′_1，j，C^′_2，j，C^′_3，j，C^′_4，j}_{j∈{1，…，l^′}}}

h）追蹤：此過程輸入用戶解密密鑰 SK_s，uid 、公共參數(shù) PP 、權(quán)威機(jī)構(gòu)的公鑰 PK_aid ，如果用戶解密密鑰 SK_s，uid 來自：SK_S，uid={K_2，uid，{K_{1，i，uid}，K_{3，i，uid}，K_{4，i，uid}}_i∈S} ，則輸出用戶的uid ，否則輸出 ⊥ ，表示無須追蹤。

4方案分析

4.1 正確性分析

4.1.1方案密鑰正確性分析

若上式成立，則該密鑰符合方案，用戶可以對(duì)密文進(jìn)行解密。

4.1.2解密正確性分析

對(duì)于滿足 {c_x}_x∈I 和 時(shí)，計(jì)算解密因子 D_x ，并將相應(yīng)的公鑰和私鑰代入解密因子 D_x 進(jìn)行計(jì)算：

有 ，若可以得到 ，則說明數(shù)據(jù)使用者可以正確解密相應(yīng)的密文。

4.2 安全性分析

4.2.1選擇明文攻擊下密文不可區(qū)分安全

若 q -PBDHE是困難的，敵手A選擇一個(gè)挑戰(zhàn)訪問結(jié)構(gòu)（M^?_?rosunΦ_?rosun^? ）在概率多項(xiàng)式時(shí)間內(nèi)不能以不可忽略的優(yōu)勢(shì)攻破加密方案，則該方案具有密文不可區(qū)分安全。

證明若存在 PPT 的敵手A以一個(gè)不可忽略的 Adv_A 優(yōu)勢(shì)攻破本文方案，則可以找到一個(gè)挑戰(zhàn)者C能夠以不可忽略的優(yōu)勢(shì)攻破判定性 q -PBDHE假設(shè)，A和C進(jìn)行如下游戲：

C輸入 q 階數(shù)雙線性Diffie-Hellman（DBDH）中的 和 T 判斷 和 T=G_T，T 為 G_T 中隨機(jī)元素。

初始化：敵手A將挑戰(zhàn)的訪問結(jié)構(gòu) Λ（M^*Λ，ρ^*Λ ）發(fā)送給挑戰(zhàn)者C。

第一階段：敵手A對(duì) s 的屬性集合做一系列詢問，要求所提問的屬性集合 s 不屬于訪問結(jié)構(gòu) （M^*，ρ^*） ，挑戰(zhàn)者C將對(duì)應(yīng)的私鑰發(fā)送給敵手 ΔA 。

挑戰(zhàn)：敵手A發(fā)送兩個(gè)等長(zhǎng)的明文 m₀ 和 m₁ ，挑戰(zhàn)者C選擇 一個(gè) b∈{0，1} 并加密 m_b ，將得到 m_b 的密文 CT^* 發(fā)送給敵手 A_c 0

第二階段：敵手A繼續(xù)進(jìn)行第一階段的查詢操作，同樣要求所提問的屬性集合 s 不屬于訪問結(jié)構(gòu) （M^*，ρ^*） 。

猜測(cè)：若敵手輸出 b^′，b^′=b，b^′∈{0，1} ，挑戰(zhàn)者輸出1，猜測(cè) ，當(dāng)輸出 0 時(shí)， T=G_T 。

在輸出1的情況下，即 ，由于敵手A的優(yōu)勢(shì)可定義為 ，可得 Adv_A=|Pr[b^′=b]- ;在輸出0下，敵手A不能得到 m_b 有用的消息，所以

可以求得，挑戰(zhàn)者C在游戲中總優(yōu)勢(shì)：

可得攻擊者C也有不可忽略的 優(yōu)勢(shì)攻破 q -PBDHE難題。綜上可得，本文方案為密文不可區(qū)分安全。

4.2.2抗用戶共謀攻擊

在該方案中使用用戶唯一的 uid 并構(gòu)造 uid 對(duì)應(yīng)的哈希函數(shù)值來抵抗串通攻擊，下面將展示該方案是如何抵抗共謀攻擊。

在解密過程中，數(shù)據(jù)用戶需要計(jì)算 ·e（H₁（uid），g）_x∈Iω_xc_x ，對(duì)于滿足訪問結(jié)構(gòu)的單一用戶，由 ，可得 e（g，g）^s ，通過 解密出明文 m 。而對(duì)于擁有部分解密私鑰的用戶，想要解密密文必須與其他用戶合謀非法獲取私鑰，當(dāng)合謀攻擊時(shí)，由于不同用戶會(huì)有不同的 uid ，求出 H₁（uid） 的值也會(huì)不同，所以 部分的 ，無法得到 e（g，g）^s ，即惡意用戶無法通過合謀獲取明文。由此可證明本文方案可以抵抗用戶共謀攻擊。

4.2.3抗用戶與權(quán)威機(jī)構(gòu)共謀攻擊

各權(quán)威機(jī)構(gòu)執(zhí)行初始化算法，生成各權(quán)威機(jī)構(gòu)主私鑰和主公鑰，各權(quán)威機(jī)構(gòu)保存自己的主私鑰并將主公鑰公開，在生成用戶屬性私鑰時(shí)需要輸入各權(quán)威機(jī)構(gòu)主私鑰和用戶唯一標(biāo)識(shí)符uid，所以不具有其他權(quán)威機(jī)構(gòu)主私鑰的惡意權(quán)威機(jī)構(gòu)無法生成相對(duì)應(yīng)的私鑰。即在 n 個(gè)屬性權(quán)威機(jī)構(gòu)中，各個(gè)屬性權(quán)威機(jī)構(gòu)管理不相同的屬性，只要保證有1個(gè)權(quán)威機(jī)構(gòu)不泄露對(duì)應(yīng)部分的私鑰，惡意用戶就不能取得滿足訪問結(jié)構(gòu)對(duì)應(yīng)的私鑰，最終保證明文不被泄露，由此可證明本文方案可以抵抗 n-1 個(gè)屬性權(quán)威機(jī)構(gòu)合謀攻擊。

4.3性能分析

本節(jié)將本文方案與現(xiàn)有方案關(guān)于功能特征和性能特征進(jìn)行比較，在方案分析部分網(wǎng)絡(luò)擁塞、發(fā)送延遲等因素可能對(duì)系統(tǒng)產(chǎn)生的影響。

從表1可以看出：文獻(xiàn)[15]只具有多權(quán)威機(jī)構(gòu)，不具有策略更新和可追蹤功能。文獻(xiàn)16是基于LSSS的多權(quán)威方案，同時(shí)具有可追蹤功能，但是不能進(jìn)行策略更新，不能對(duì)醫(yī)療數(shù)據(jù)進(jìn)行靈活的訪問控制。文獻(xiàn)[17]是基于樹型訪問結(jié)構(gòu)的多權(quán)威方案，同時(shí)具有可策略更新功能，但是不能對(duì)泄密方進(jìn)行追蹤，安全性較差。文獻(xiàn)[18]是基于LSSS訪問結(jié)構(gòu)的多權(quán)威方案，具備可追蹤功能，但是當(dāng)訪問策略發(fā)生變化時(shí)不能對(duì)其更新。與上述方案相比，本文方案是基于LSSS訪問結(jié)構(gòu)的多權(quán)威方案，并且同時(shí)支持策略更新和可追蹤功能。

表2展示了計(jì)算開銷方面的對(duì)比。可以看出，本文方案公鑰不隨權(quán)威機(jī)構(gòu)中屬性域的大小線性增加，文獻(xiàn)[17」方案的公鑰隨權(quán)威機(jī)構(gòu)中屬性域的大小線性增加。本文方案私鑰優(yōu)于文獻(xiàn)[19]，盡管文獻(xiàn)[17]在私鑰長(zhǎng)度方面優(yōu)于本文方案，但是在功能方面文獻(xiàn)[17]不支持可追蹤，本文方案具有可追蹤功能。在加密和解密方面，本文方案的加密和解密成本較文獻(xiàn)[19]得到優(yōu)化。

4.4 仿真實(shí)驗(yàn)

本文通過進(jìn)行了一個(gè)模擬實(shí)驗(yàn)來評(píng)估方案，操作系統(tǒng)為Windows10家庭中文版，處理器為12thGenIntel °ledast CoreTMi7-12700H2.70GHz ，采用Python3.7基于Charm-Crypto庫進(jìn)行編寫，選擇超奇異對(duì)稱橢圓曲線群（“SS512\"）。

本文主要通過改變屬性數(shù)目來測(cè)試方案，本文方案支持多對(duì)多模型，可應(yīng)用于多種場(chǎng)景中，可將方案應(yīng)用于患者和醫(yī)療數(shù)據(jù)請(qǐng)求者之間，有效實(shí)現(xiàn)了醫(yī)療數(shù)據(jù)的安全共享和策略更新。

圖2、3顯示了當(dāng)訪問策略中屬性數(shù)量在2＼～14變化時(shí)加密和解密過程的時(shí)間變化。屬性數(shù)量在 2～14 變化過程中，本文方案和文獻(xiàn)[19]的加密解密時(shí)間均增加，但本文方案在加密和解密過程中時(shí)間均少于文獻(xiàn)[19]，即本文方案在加密解密方面具有優(yōu)越性。

在策略更新階段，本文方案與文獻(xiàn)［19]在時(shí)間開銷方面進(jìn)行比較，如圖4所示，將AA數(shù)量固定為6，用戶的屬性個(gè)數(shù)同樣固定為6，通過改變?cè)L問策略屬性的數(shù)目，比較策略更新密鑰生成時(shí)間和密文更新時(shí)間來測(cè)試方案。可以看出，本文方案與文獻(xiàn)[19]策略更新密鑰生成時(shí)間和密文更新時(shí)間會(huì)隨著訪問策略中屬性個(gè)數(shù)的增加而增加，但當(dāng)完成相同任務(wù)時(shí)，本文方案在策略更新密鑰生成以及密文更新方面所花費(fèi)的時(shí)間更少。整體來看，本文方案在策略更新方面性能較好。

5結(jié)束語

本文提出一種云醫(yī)療環(huán)境下支持策略可更新的多權(quán)威屬性基安全方案，實(shí)現(xiàn)了患者和用戶之間數(shù)據(jù)的細(xì)粒度訪問和安全共享。采用多個(gè)權(quán)威機(jī)構(gòu)管理用戶的屬性和密鑰，相較于傳統(tǒng)的單權(quán)威機(jī)構(gòu)能更好地防止用戶信息泄露。在策略更新方面，允許數(shù)據(jù)所有者根據(jù)變化靈活地更改訪問策略，而不需要重新加密整個(gè)數(shù)據(jù)集，可以有效降低系統(tǒng)計(jì)算開銷。方案分析和仿真實(shí)驗(yàn)結(jié)果表明，本文方案在功能和計(jì)算開銷方面更具有優(yōu)勢(shì)，同時(shí)具有較高的安全性。未來工作將研究如何實(shí)現(xiàn)云醫(yī)療環(huán)境下數(shù)據(jù)的外包解密，進(jìn)一步降低系統(tǒng)的計(jì)算開銷。

參考文獻(xiàn)：

[1]薛慶水，時(shí)雪磊，王俊華，等.基于屬性加密的個(gè)人醫(yī)療數(shù)據(jù)共享 方案[J].計(jì)算機(jī)應(yīng)用研究，2023，40（2）：589-594，600.（Xue Qingshui，ShiXuelei，WangJunhua，etal.Personal medical datasharingschemebased onattributeencryption[J].ApplicationResearch ofComputers，2023，40（2） ：589-594，600.）

[2]Goyal V，PandeyO，Sahai A，etal.Attribute-based encryption for finegrainedaccesscontrol ofencrypted data[C]//Proc ofthe13thACM Conference on Computer and Communications Security.New York： ACM Press，2006：89-98.

[3]Bethencourt J，Sahai A，Waters B. Ciphertext-policy atribute-based encryption[ C]//Proc of IEEE Symposium on Security and Privacy. Piscataway，NJ：IEEE Press，2007：321-334.

[4]Li Jiguo，Zhang Ruyuan，Lu Yang，et al.Multiauthority attribute-based encryption for assuring data deletion[J].IEEE Systems Journal， 2023，17（2） ：2029-2038.

[5]Fan Kai，Liu Tingting，Zhang Kuan，et al.A secure and efficient out sourced computation on data sharing scheme for privacy computing [J].Journal of Parallel and Distributed Computing，2020，135： 169-176.

[6].Wu Qing，Meng Guoqiang，Zhang Leyou，et al. Collusion resistant multi-authorityaccesscontrol scheme with privacy protection for personal health records[J].Journal of King Saud University-Computer and Information Sciences，2023，35（8） ：101677.

[7]Chase M. Multi-authority atribute based encryption[C]//Proc of Theoryof Cryptography：the 4th Theory of Cryptography Conference. Berlin：Springer，2007：515-534.

[8]Lin Huang，Cao Zhenfu，Liang Xiaohui，et al.Secure threshold multi authority attribute based encryption without a central authority[C]// Procof International Conference on Cryptology in India.Berlin： Springer，2008：426-436.

[9]董國(guó)芳，魯燁墊，張楚雯，等.支持撤銷屬性的CP-ABE密鑰更新 方法[J].計(jì)算機(jī)應(yīng)用研究，2023，40（2）：583-588.（Dong Guofang，Lu Yekun，Zhang Chuwen，et al.CP-ABEkeyupdate method supporting revocation attribute[J].Application Research of Computers，2023，40（2） ：583-588.）

[10] Zhang Leyou，Hu Gongcheng，Mu Yi，et al. Hidden ciphertext policy attribute-based encryption with fast decryption for personal health record system[J]. IEEE Access，2019，7：33202-33213.

[11] Jahid S，Mittal P，Borisov N.EASiER：encryption-based access control in social networks with efficient revocation[C]//Proc of the 6th International Symposium on Information， Computer and Communications Security.New York：ACMPress，2011：411-415.

[12]Ying Zuobin，LiHui，Ma Jianfeng，etal.Adaptively secure ciphertextpolicy attribute-based encryption with dynamic policyupdating[J]. Science China Information Sciences，2016，59（4）：042701.

[13] Liu Zechao，Jiang Z L，Wang Xuan，et al.Practical atribute-based encryption：outsourcing decryption，attribute revocation and policy updating[J]. Journal of Network and Computer Applications，2018， 108;112-123.

[14]Yang Kan，Jia Xiaohua，Ren Kui. Secure and verifiable policy update outsourcing for big data accesscontrol in the cloud[J].IEEE Trans on Parallel and Distributed Systems，2015，26（12） ：3461-3470.

[15] Das S， Namasudra S. Multiauthority CP-ABE-based access control model forIoT-enabled healthcare infrastructure[J]. IEEE Trans on Industrial Informatics，2023，19（1） ：821-829.

[16]許盛偉，王飛杰.多機(jī)構(gòu)授權(quán)下可追蹤可隱藏的屬性基加密方案 [J].信息網(wǎng)絡(luò)安全，2020，20（1）：33-39.（Xu Shengwei，Wang Feijie.Attribute-based encryption scheme traced under multi-authority [J].Netinfo Security，2020，20（1）：33-39.）

[17]Yan Xixi，Ni Hao，Liu Yuan，et al.Privacy-preserving multi-authority attribute-based encryption with dynamic policy updating in PHR[J]. Computer Science and Information Systems，2019，16（3）： 831-847.

[18]Zhang Kai，Li Hui，Ma Jianfeng，et al.Effcient large-universe multiauthority ciphertext-policy attribute-based encryption with white-box traceability[J]. Science China Information Sciences，2017，61 （3）：032102.

[19]Ling Jie，Chen Junwei，Chen Jiahui，etal.Multiauthorityattributebased encryption with traceable and dynamic policy updating[J].Securityand Communication Networks，2021，2021（1） ：6661450.