基于PBAC模型和IBE的醫療數據訪問控制方案

張怡婷，傅煜川，楊明，羅軍舟

(1.東南大學 計算機科學與工程學院，江蘇 南京 210096；2.南京郵電大學 計算機學院，江蘇 南京 210023)

1 引言

隨著互聯網、云計算和物聯網技術的快速發展和普及應用，各個行業和領域都產生了大量的數據，人類社會和科學研究已進入大數據時代。大數據在推動社會發展和文明進步的同時，也帶來了突出的安全和隱私問題，面臨著數據公開與隱私保護的矛盾[1,2]。尤其是在醫療衛生行業，建立基于云計算技術的區域衛生信息平臺已經成為我國各地醫療信息化建設的一個重要組成部分，其基本思路是將區域內各個醫療機構的醫療數據上傳并存儲到衛生信息平臺云端，通過信息數據的集中存儲和資源共享，支撐居民電子健康檔案、雙向轉診、同城互認等醫療業務系統，從而為居民提供更便捷的醫療服務。然而，由于這些醫療數據中包含了大量的個人隱私信息，不可避免會面臨巨大的安全隱患。無論是平臺外部攻擊者的惡意攻擊，還是內部管理人員有意或無意的操作，都有可能導致隱私信息的泄露。

為了保護醫療數據的隱私性，一方面需要加強系統的訪問控制，另一方面需要對醫療數據進行加密處理。然而傳統的訪問控制技術沒有考慮用戶訪問目的在側重數據隱私的訪問控制中的重要作用，現有的對稱、非對稱加密技術又都存在密鑰管理或證書管理的難題。因此，如何針對醫療數據隱私保護的實際需求，設計適用的加密和訪問控制機制，是亟待解決并且具有重要意義的問題。

針對這個需求，本文提出了綜合應用PBAC模型和身份加密技術（IBE,identity-based encryption）的訪問控制方案，以支持醫療數據密文的靈活訪問控制。本文的主要工作包括：1）對PBAC模型進行了擴展，加入了條件目的的概念，實現了對目的樹的全覆蓋。2）以圍繞數據的預期目的構造IBE身份公鑰為核心思路，設計了包括數據的預期目的綁定和加密、用戶的角色分配和角色的訪問目的權限分配、訪問目的匹配和數據解密等核心步驟的綜合應用PBAC、RBAC模型和IBE加密技術的數據訪問控制方案。3）從功能和性能2個方面進行了訪問控制方案的驗證，實驗結果表明該方案既能對外提供較細粒度的訪問控制，又能避免內部人員的信息泄密，并且具有較好的性能。

2 相關工作

2.1 身份加密技術

身份加密技術是由Adi Shamir[3]最先提出的，其設計目標是使通信雙方能夠在不交換公鑰、不需要保存密鑰目錄以及不需要第三方認證服務的情況下實現信息的安全交換。在基于身份的密碼機制中，依舊需要一個可信第三方，但是與PKI中的CA用于公鑰查詢和管理不同，這個可信第三方用于私鑰的生成，稱為私鑰生成中心（PKG,private key generator）。每個合法用戶必須持有自己身份的有效證明，才能夠向PKG申請獲取特定身份所對應的私鑰。PKG在系統建立的時候需要確定整個系統的公共參數和主密鑰：公共參數由整個系統中所有參與的用戶所共有，而主密鑰由PKG掌握。PKG利用主密鑰，結合用戶身份和公共參數，計算出用戶的私鑰。用戶僅需要與PKG交互一次就可以獲取自己身份所對應的私鑰，然后可以離線完成所有的加解密和簽名工作，該私鑰由用戶自己負責保密。

在Shamir提出基于身份的密碼機制設想后，直到2001年才由Boneh和Franklin[4]設計出第一個實用的IBE方案（BF-IBE），該方案利用了橢圓曲線上的雙線性Weil配對，在隨機預言模型下具有選擇密文安全性。與此同時，Cocks等[5]提出了基于二次剩余的IBE方案，不過該方案的效率明顯低于前者。Sakai和Kasahara[6]設計了同樣利用雙線性配對的IBE方案（SK-IBE），通過采用基于指數逆（exponent-inversion）的新密鑰提取方法提高了算法的性能。Canetti等[7]在2003年提出了一種稱為選擇身份（selective-ID）的弱安全模型，并在該模型下設計了一個不借助隨機預言機的IBE方案[8]。該方案雖然在標準模型下是可證明安全的，但是效率較低。因此，Boneh和Boyen[9,10]隨后又提出了在選擇身份模型下更加實用有效的IBE系統，構造了2個效率較高的IBE方案（BB-IBE），并且進一步提出了一個不依賴隨機預言機的完全安全的IBE方案[11]。2005年，Waters[12]簡化了文獻[11]中的設計，提出了一個更加高效的版本。2006年，Gentry[13]針對Boneh等和Waters的IBE方案系統參數較長的問題，提出了一個可證明安全的新IBE方案，并且該方案具有接收者匿名性。2009年，Waters[14]提出了雙重系統加密（dual system encryption）技術，可用于在簡單假設下構造完全安全并具有較短參數的IBE、分層身份加密[15]（HIBE,hierarchical IBE）方案，并且該技術在后續研究中被用于新構造方案的完全安全性證明。在文獻[14]的基礎上，2010年，Lewko等[16]設計了一種不使用標簽的雙重系統加密實現技術，并進一步構造了完全安全且具有較短密文長度的HIBE方案。此外，針對IBE方案中的安全約簡和安全損失問題，Chen等[17]在2013年構造了首個標準假設下完全安全的IBE方案，其安全損失僅取決于安全參數的設置，而與密鑰查詢數量無關。

2.2 IBE擴展及應用

上述研究工作主要是圍繞獲得更高的安全性或更高的運行效率展開，而隨著對基于身份密碼機制研究和應用的不斷深入，一些新型IBE方案相繼被提出。這些方案大多是在BF-IBE、BB-IBE、SK-IBE等方案的基礎上擴展而來，具體包括HIBE分層身份加密機制[15]、抗泄露身份加密技術[18,19]LR-IBE（leakage-resilientIBE）、模糊身份加密技術[20]FIBE（fuzzy IBE）可撤銷身份加密技術[21～23]RIBE（revocable IBE）以及WIBE支持通配符的身份加密技術[24]（wildcarded IBE）。在IBE技術的應用方面，Beato等[25]針對在線社交網絡設計了基于IBE技術的用戶信息加密方案，并采用分布式密鑰生成（DKG）協議來跨OSN網絡建立和保存主密鑰，以避免對單個可信PKG/OSN的依賴。Wu等[26]針對公有云推廣應用所面臨的用戶對數據安全性的顧慮，提出了一種基于IBE的代理重簽名方案。

無論是2.1節分析的BF-IBE、BB-IBE、SK-IBE等標準身份加密方案，還是2.2節的HIBE、LR-IBE、FIBE、RIBE、WIBE等擴展方案，它們的核心思想都是相同的，即數據加密者利用“身份”—通常是用戶的郵箱、IP地址等，作為公鑰直接對數據進行加密處理；而在解密階段，合法用戶憑借能夠證明自己身份的有效憑證從可信第三方獲取私鑰從而解密數據。在這過程中，數據的加密和解密操作可以獨立進行。從密碼學角度，基于身份加密方案中的“身份”可以是任意的字符串，因此采用何種方式組成用戶“身份”是IBE擴展或應用方案的核心要素。例如，為了適應組織機構層次化的特點，HIBE方案[15]采用ID元組表示用戶的身份，ID元組之間的前綴關系用于反映用戶在層次結構上的節點關系，即身份為(ID1,…,IDt)的用戶的祖先節點身份為(ID1,…,IDi)（i＜t），并由后者負責私鑰的生成；為了使加密數據能夠被具有類似屬性的一組用戶而不是單個用戶解密，FIBE方案[20]選擇以用戶屬性的集合u作為身份，該用戶可以解密使用身份u'加密的信息，當且僅當2個集合u和u'之間的交集大于一定的閾值；針對在線社交網絡面臨的用戶信息泄露威脅，文獻[25]以OSNName/Username為身份公鑰，對用戶在OSN網絡中存儲或者與其他用戶分享的隱私信息進行加密等。

上述工作的核心是用戶身份的構造，這些身份一方面將作為公鑰對數據進行加密，另一方面可以反映用戶之間一定的聯系。借鑒這些工作，本文將目的作為用戶身份，數據的使用者之間可能具有類似的目的，由其角色確定；而數據使用者（解密者）和數據提供者（加密者）之間的關系，則由目的匹配結果確定。

2.3 基于目的的訪問控制

基于目的的訪問控制（PBAC，purpose based access control）由Byun等[27,28]最先提出，它利用一個全新的概念“目的”作為訪問控制的基礎，通過定義詳細的隱私保護策略實現訪問控制。PBAC一經提出即引起了很大的關注，各國學者針對基于目的的訪問控制進行了深入的研究。

Yang等[29]在2007年提出了一個基于目的的訪問控制模型，該模型的核心是2種類型的目的：預期目的（IP,intended purpose）和訪問目的（AP,access purpose）。數據提供者給出數據的預期目的IP，即希望數據如何被訪問的要求，隱私數據只能依據其設置的預期目的進行使用；數據使用者根據自己對數據使用的意愿提出訪問目的AP，只有在AP匹配IP的前提下，數據才能夠被訪問。其中IP又由2個部分組成，即允許目的（AIP,allowed intended purpose）和禁止目的（PIP,prohibited intended purpose），分別表示數據在某個特定訪問目的下能夠被訪問和禁止被訪問。

為了同時保證數據的高質量和私密性，在隱私保護的前提下提取出更多有用的信息，Kabir等[30]提出了一種稱為有條件的基于目的的訪問控制模型（CPBAC,conditionalpurpose-basedaccess control）。該模型與PBAC模型的最大區別在于其在預期目的AIP和PIP之外增添了一個新的部分，即CIP（conditional intended purpose），表示數據訪問者在特定的訪問目的下只能夠有條件地獲取數據。同樣在模型擴展方面，Wang等[31]從標準RBAC模型出發，引入目的概念，并定義了目的之間的關系以及RBAC模型中的User、Session等組件與目的的關系，設計了一種涉及目的的基于角色訪問控制模型。

此外，如何實現基于PBAC模型的訪問控制同樣也是重要的研究課題，文獻[28]針對關系型數據庫設計了查詢修改技術以實現基于目的的數據過濾；Colombo等[32]設計了一種采用預過濾和查詢重寫機制的基于目的的隱私策略實施系統。然而，這些工作都需要對現有的DBMS系統進行擴展和改造。針對該問題，本文將基于身份的加密技術和訪問控制技術結合起來，設計一種輕量級的醫療數據密文訪問控制系統。Sun等[33]針對純XML數據庫，通過數據標記技術將預期目的與XML文檔元素關聯起來，并進一步結合使用控制模型（usage access control）設計了一種側重隱私保護的綜合訪問控制方法。Jafari等[34]在給出目的的形式化語義描述的基礎上，設計了一種用于表述和實施基于目的隱私策略的框架。

3 訪問控制模型

3.1 目的符號和定義

本文的研究工作基于Byun等提出的基于目的的訪問控制模型展開，相關概念和定義可查閱文獻[28]，此處僅給出部分符號的說明。

記目的集合為P，目的樹為PT。參考文獻[35]，可建立如圖1所示的醫療目的樹：目的樹中每一個節點表示P集合中的一個目的；目的樹中的每一條邊表示了2個目的之間的泛化/特化關系。

圖1 醫療目的樹

假設R表示某個目的集合，R中的節點均在目的樹PT上。記R↓為由R中節點本身以及R中節點在目的樹中所有后代節點所組成的集合；記R↑為由R中節點本身以及R中節點在目的樹中所有祖先節點所組成的集合；記R?是由R中節點本身以及R中的節點在目的樹中所有祖先節點和后代節點組成的集合，即

記AP為訪問目的，IP為預期目的，預期目的中的允許目的為AIP，禁止目的為PIP。因此，一個預期目的IP也可以表示成＜AIP,PIP＞。

根據上述符號，給出IP*和IPx這2個集合的定義如下

IP*的意義在于，當數據提供者給出的允許目的AIP和禁止目的PIP存在沖突時，采用“禁止優先”原則確定實際可訪問數據的目的集合，即：當且僅當AP∈IP*，數據訪問者能夠獲取數據。IPx則指出了不能訪問數據的目的集合。

綜上，給出訪問目的匹配的定義如下。

定義1 訪問目的匹配

假設PT是一棵目的樹，在PT上分別有預期目的IP=＜AIP,PIP＞和訪問目的AP。如果AP∈IP*，那么稱AP與IP匹配，記為，表明在該AP下數據訪問者能夠獲取數據。

以圖1為例，假設數據提供者設定的預期目的IP=＜{醫療主治,科學研究},{臨床主治}＞，則有

AIP↓={醫療主治,臨床主治,內科主治,外科主治,醫技,科學研究,科學普查,醫學研究}

IPx=PIP?={臨床主治,內科主治,外科主治,醫療主治,醫療,一般目的}

IP*=AIP↓-PIP?={醫技,科學研究,科學普查,醫學研究}

那么當且僅當AP∈{醫技,科學研究,科學普查,醫學研究}，數據訪問者能夠獲取到數據。

3.2 條件目的集合

由上節的例子可以看到，PBAC模型目的樹中的目的被分割成了3部分——IP*、IPx和未分類目的。IP*是數據提供者指定可以訪問數據的目的集合，IPx是禁止訪問數據的目的集合，未分類目的則表示數據提供者未做指定。然而，設計一個完整的訪問控制方案，需要明確給出對這些未分類目的的處理方法，而同樣的問題亦存在于CPBAC模型。為此，結合醫療數據訪問控制的具體需求，本文定義了如下的新的目的集合。

定義2 條件目的集合IP+

假設PT是一棵目的樹，目的樹上的目的集合用P表示，那么IP+=P-IP*-IPx。

此處的“條件”與文獻[30]中的定義類似，即在數據發布前需要對原始數據進行匿名化處理，使數據訪問者在訪問數據時能夠保證用戶隱私。表1的例子展現了訪問目的在屬于不同目的集合時，數據訪問者能夠訪問到的數據。

表1 不同AP訪問得到的數據

假設數據提供者已經提供了某數據記錄的預期目的，并且IP*、IP+、IPx都已計算出來。當數據訪問者給出訪問目的AP，根據AP所屬的集合，從表1可以看到：當AP∈IP*時，數據訪問者獲取了完整的記錄信息；當AP∈IP+時，數據訪問者有條件地獲取了數據；而當AP∈IPx時，數據訪問者不能夠獲取該條記錄的任何信息。

3.3 基于角色和目的的訪問控制

PBAC模型通常會和RBAC模型結合應用[36]，如圖2所示，簡記為RPBAC（role and purpose based accesscontrol）模型，其核心內容簡要描述如下。

圖2RPBAC訪問控制模型

1)從數據提供者的角度而言，主要涉及預期目的綁定（purpose binding）DIP：Data→IP，即建立數據和預期目的IP=＜AIP,PIP＞之間的關聯。

2)從數據訪問者的角度而言，涉及如下概念。

① 用戶角色分配（user role assignment）

UA?User×Role，表示用戶和角色之間的多對多映射關系。

② 訪問目的權限分配（access purpose permission assignment）

APPA?Role×APP，表示角色和訪問目的權限APP（access purpose permission）之間的多對多映射關系。

其中，APP表示所有訪問目的權限的集合，可描述為 三 元 組 {＜ap,d,op＞|ap∈AP,d∈Data,op∈Operation}，AP、Data、Operation分別代表了訪問目的、數據和操作的集合。

3)對于訪問控制系統而言，主要涉及目的匹配（purpose compliance）

PC?APP??DIP，表示訪問目的權限與數據及其預期目的之間的一對一關系。

針對數據d，訪問目的權限APP中的訪問目的ap和預期目的綁定DIP中的預期目的ip進行匹配運算，從而確定訪問目的權限中的操作op。

4 基于IBE的訪問控制方案

本文基于PBAC模型和IBE加密技術，并借鑒FIBE[20]以用戶屬性為身份公鑰等工作的思路，設計了一種針對醫療數據密文的訪問控制方案，其核心思想是圍繞數據的預期目的構造身份公鑰。方案的具體流程如下。

1)采集病患數據，由病患本人自主設定預期目的IP，系統基于病患身份號PID、條件獲取位CondBit（0表示完全獲取信息，1表示條件獲取信息）和IP構造公鑰，并使用IBE算法加密數據及數據的泛化版本，存儲2個版本的加密數據至數據平臺。

2)用戶（如醫生）成功登錄系統（亦充當私鑰生成中心PKG）后，系統自動根據用戶選擇的身份確定其角色，從而判斷訪問目的AP。

3)系統（PKG）根據AP和IP，判斷用戶能否訪問該病患的數據以及訪問哪個版本的數據，返回相應數據及其對應私鑰。

4)用戶使用私鑰解密數據，從而調閱到病患信息或其泛化版本。

根據第2節相關工作分析可以看到，目前大部分IBE研究工作都是針對BF-IBE[4]、SK-IBE[6]、BB-IBE[9,11]等在密碼學安全性、方案性能或者適用性等方面的變形和擴展。這三者相比較，BF-IBE方案是首個實用的身份加密方案，在隨機預言模型下具有選擇密文安全性；SK-IBE同樣利用雙線性對工具，但在私鑰提取算法方面有所區別，通過將身份映射為Zq*中的一個元素而非橢圓曲線上的一個點，在一定程度上提高了性能，并且保持了隨機預言模型下的選擇密文安全性；BB-IBE[9]選擇采用了一個較弱的攻擊模型，即選擇安全攻擊模型，但其安全性不依賴于隨機預言機；BB-IBE[11]雖然是完全安全的IBE方案，但是其效率低，并不適于實際使用。由于BF-IBE是安全性可以接受的首個實用的IBE方案，在學術界得到了普遍的關注，并且其實現流程被納入了IETF標準注1注1 http：//tools.ietf.org/html/rfc5091中，本文采用BF-IBE方案實現基于身份的加密工作。

下面結合IBE形式化定義所涉及的系統建立Setup、私鑰提取Extract、加密Encryption、解密Decryption4個算法[4]，對醫療數據訪問控制方案進行具體設計，該方案由系統準備、數據提供、目的匹配以及數據獲取等階段構成。

1)系統準備階段

系統準備階段是為實現醫療數據的訪問控制所進行的準備工作，主要包括3個方面：基于身份的加密準備、目的樹表的建立以及角色集合的建立。

① 基于身份的加密準備：生成IBE方案的公共參數和主密鑰。本文采用BF-IBE方案實現基于身份的加密工作，在BF-IBE方案的系統建立階段，給定一個安全參數p進行如下工作。

步驟1輸入安全參數p∈Z+，生成大素數q和2個q階群G1和G2，G1和G2之間存在一個雙線性映射關系e：G1×G1→G2。挑選一個隨機生成元g∈G1。

步驟2隨機挑選主密鑰

步驟3選擇散列函數

由上述步驟可知，明文空間為{0,1}n，密文空間為G1×{0,1}*；系統的主密鑰是s，公共參數params=＜q,g,Ppub,H1,H2,H3,H4,n＞。

② 目的樹表的建立：根據需求建立目的樹和目的樹表，具體過程如下。

步驟1系統根據醫療業務的實際需求確定目的集合P，再根據P中目的之間的關系建立目的樹PT。

步驟2根據目的樹PT建立目的樹表，典型的目的樹表由6個字段構成[28]，如表2所示。

表2 目的樹表結構

標識：每個目的在目的樹中的唯一編號，由對目的樹的廣度優先遍歷順序確定，從1開始編號。

目的名：目的的名稱。

父節點標識：該目的在目的樹中的父節點的編號。

目的編碼：該目的位串形式的十六進制編碼。編碼算法如算法1所示，其基本思路是用1個二進制位表示目的樹中的一個目的。

允許目的編碼（aip_code）：當該目的為允許目的時計算出的AIP↓編碼值。假設目的為p，那么p在樹中所有后代節點和p本身構成一個集合，該集合中所有目的的編碼code相加，得到的結果即aip_code。

禁止目的編碼（pip_code）：當該目的為禁止目的時計算出的PIP?編碼值。假設目的為p，p在樹中所有祖先節點和后代節點以及p本身構成了一個集合，將集合中的所有目的的編碼相加得到結果作為pip_code。

③ 角色集合的建立：根據需求建立角色表，分析并設定相應的訪問目的。

算法1目的樹表構建算法

輸入：n個節點的目的樹PT

輸出：數組p：array[1,…,n]of struct{id,name,parent,code,aip_code,pip_code}

步驟：

2)數據提供階段

數據提供階段的流程如圖3所示，主要包括以下4步工作。

① 采集病患信息并對其進行預處理，形成原始數據和泛化數據2個版本；

② 病患根據自己的意向設置這些數據的預期目的IP；

③ 系統將病患身份號PID（31 bit的全局唯一數串）、條件獲取位CondBit（0表示原始數據，1表示泛化數據）和預期目的IP編碼進行拼接，得到IBE加密的公鑰；

④ 對原始數據、泛化數據2個版本的數據信息分別使用不同CondBit位的公鑰進行加密，并保存到數據平臺中。

數據提供階段的核心操作是對病患信息進行基于IBE的加密，具體操作如下。

步驟1對于預期目的IP=＜AIP,PIP＞，假設AIP={aip1,aip2,…,aipm}，PIP={pip1,pip2,…,pipn}。對AIP和PIP中的目的查詢目的樹表，分別獲得aipi對應的aip_code和pipi對應的pip_code。如下計算AIP_code和PIP_code，其中計算式中的 |表示按位或。

步驟2針對CondBit=0和1這2種情況，分別建立公鑰。

這里的“+”為連接符號。由于公鑰中包含了病患的身份信息，因此每個公鑰都對應了一個特定的病患及其設置的特定的預期目的；系統用戶只有擁有針對該病患信息的訪問權限，并且訪問目的符合預期目的才能獲取私鑰并解密該病患的信息。

針對公鑰pub0/原始數據d0和公鑰pub1/泛化數據d1分別進行后續步驟。

步驟3將公鑰pub映射到群G1的一個點上，得到Qpub=H1(pub)。

步驟4選擇一個隨機數σ∈{0,1}n。

步驟5計算得到r=H3(σ,d)，其中d表示要被加密的數據，d∈M。

步驟6計算得到密文C=＜U,V,W＞，U=rg，

3)目的匹配階段

目的匹配階段的流程如圖4所示，主要包括3步工作。

① 在用戶（如醫生、護士、衛生管理人員等）成功登錄系統后，系統首先判斷該用戶角色是否有訪問權限，并根據用戶所進行的醫療活動生成用戶的訪問目的ap。

② 判斷該訪問目的ap是否符合數據提供者（即病患）所設立的預期目的IP。

③ 根據目的匹配的結果，判斷用戶能否獲得加密數據，并將相應版本的數據密文返回給用戶。

圖4 目的匹配流程

這個過程中的核心步驟是目的匹配，需要判斷用戶是能夠完全獲取數據、有條件獲取數據還是禁止獲取數據。目的匹配算法形式化描述如下。

算法2目的匹配算法

輸入：預期目的IP=＜AIP,PIP＞，訪問目的ap

輸出：result：enum{Permit,CondPermit,Deny}

步驟：

4)數據獲取階段

該階段主要包括2步工作。

① 用戶向系統（PKG）申請私鑰，該過程與目的匹配階段步驟類似（可同步處理），系統同樣需要根據用戶角色判斷其AP，并根據AP和IP匹配結果確定是否返回私鑰以及哪個版本的私鑰（CondBit=0 或 1）。

② 用戶利用獲得的私鑰對目的匹配階段獲取的醫療數據密文進行解密處理，最終獲取數據明文。

5 方案的驗證

5.1 功能測試

為了更好地說明流程，并對正確性進行驗證，本文對所提方案進行了實現和測試。實驗環境如下。

硬件環境：Intel Core i7-3770 3.40 GHz CPU；4GB內存；Win7 x64系統類型。

軟件環境： JDK SE 1.8.0_11-b12開發環境；MySql 5.6數據庫；Jpair 1.03開發包、MySql JDBC驅動。

下面對方案中的重要環節進行說明和驗證。

1)目的樹表的建立

本文采用如圖5所示的醫療目的樹進行實驗，根據算法1得到表3所示的目的樹。

圖5 實驗目的樹

以“臨床主治”目的為例，根據廣度優先遍歷順序，該目的為所有10個目的中的倒數第5個，因此，有

code(臨床主治)=(0000010000)2=0x10

aip_code(臨床主治)=code(臨床主治)+code(內科主治)+code(外科主治)=0x13

pip_code(臨床主治)=code(臨床主治)+code(內科主治)+code(外科主治)+code(醫療主治)+code(一般目的)=0x313

表3 實驗目的樹表

2)醫療數據的提供

在實驗中，假設采集到的病患信息如表4所示。同時假設PID=120=(1111000)2，為簡化實驗這里病患ID僅取為7位二進制數。

表4 病患信息

假設病患設定的預期目的IP=＜{臨床主治,自主調閱},{醫學研究}＞，因此有

AIP_code

=aip_code(臨床主治)|aip_code(自主調閱)

=(0010010011)2，該值對應于預期允許目的{臨床主治,內科主治,外科主治,自主調閱}

PIP_code

=pip_code(醫學研究)

=(1001000100)2，對應于預期禁止目的{醫學研究，科學研究,一般目的}

進一步，可以得到2個公鑰

公鑰的這2個二進制位串的第一個字節為7位PID和1位CondBit，后續字節為2個等長位數的AIP_code和PIP_code。

3)基于身份的加密

本文采用JPair開發包注2注 2 http：//jpair.sourceforge.net/實現基于身份的加密。在IBE方案的準備階段，系統利用一個隨機數生成隨機生成元g、系統主密鑰s和系統公共參數Ppub，這里采用的雙線性對是修正的Weil配對。

下面分別用pub0和pub1對表4中原始數據和泛化數據進行IBE加密。這里假設僅對“常用住址”字段中的數據進行加密，分別得到“南京市江寧區東南大學路2號”和泛化信息“南京市江寧區”對應的IBE密文c=＜U,V,W＞三元組。

身份ID：1111000000100100111001000100

明文原始信息：南京市江寧區東南大學路2號

密文信息：U1,V1,W1[數據略]

身份ID：1111000100100100111001000100

明文泛化信息：南京市江寧區

密文信息：U2,V2,W2[數據略]

4)訪問目的的匹配

用戶在調閱病患信息時由系統根據其角色生成訪問目的，并執行目的匹配算法將訪問目的與預期目的進行匹配。根據之前設定，AIP_code=0x093=(0010010011)2、PIP_code=0x244=(1001000100)2，由目的匹配算法計算可得

IPx_code=0x244=(1001000100)2

IP*_code=(0010010011)2=0x093

IP+_code=(0100101000)2=0x128

① 當用戶訪問目的ap=內科主治，則ap_code=0x002，有ap_code&IP*_code=0x2&0x93=0x2，因此匹配結果為：Permit；

② 當用戶訪問目的ap=醫療主治，則ap_code=0x100，有ap_code&IP*_code=0x100&0x93=0且ap_code&IP+_code=0x100&0x128=0x100，因此匹配結果為：CondPermit；

③ 當用戶訪問目的ap=科學研究，則ap_code=0x040，有ap_code&IP*_code=0x40&0x93=0,ap_code&IP+_code=0x40&0x128=0且ap_code&IPx_code=0x40&0x244=0x40，因此匹配結果為：Deny。

5)醫療數據密文的解密

如果訪問目的匹配結果是Permit，那么系統將原始醫療數據密文和pub0對應的私鑰返回給用戶；如果訪問目的匹配結果是CondPermit，那么系統將泛化醫療數據密文和pub1對應的私鑰返回給用戶。用戶私鑰及使用私鑰解密得到的數據如下。

身份ID：1111000000100100111001000100

用戶私鑰：5800835224365257912396868885 46397429916540408846…

解密后的數據：南京市江寧區東南大學路2號

身份ID：1111000100100100111001000100

用戶私鑰：702293066993433351880981699 108847192224188367224…

解密后的數據：南京市江寧區

由上述測試結果可知，系統根據用戶角色正確地返回了相應的私鑰和加密數據，并且加密數據的解密也正常執行。

5.2 性能測試

整個系統的性能主要取決于IBE算法的效率，因此本文針對方案中IBE加、解密操作進行性能測試。實驗選擇使用Jpair預定義對，加密的公鑰設定為“1111000000100100111001000100”。

在該設置下，本文測試了在不同數據量明文情況下加、解密分別所需要的運算時間，明文長度分別設定為1 KB、20 KB、50 KB、100 KB、200 KB、500 KB、1 000 KB、2 000 KB、5 000 KB、10 000 KB、20 000 KB、50 000 KB和100 000 KB共13種情況。針對每個長度的明文，各進行1 000次實驗。為了避免數據內容對加、解密性能測試的影響，每次實驗時均完全隨機地產生二進制明文數據，然后對其進行先加密、后解密的操作，分別統計2個操作的用時，取平均值作為最終測試結果。

為了更好地展現實驗結果，分別給出普通坐標和半對數坐標的性能測試結果。由圖6可知，系統在數據量較?。ā?00 KB）時，加/解密時間耗費基本保持不變，分別在27 ms/17 ms左右；隨著數據量變大，時間耗費基本呈線性增長。

圖6 系統性能測試結果

通過實驗發現，由于一些基本運算帶來的時間消耗，加、解密10 byte數據、1 KB數據和100 KB數據的耗時都是非常接近的。為了判斷能取得較好時間效率的明文數據塊的大小，本文分析了不同數據量情況下單位長度（KB）數據加、解密的平均耗時。如圖7所示，數據量在500 KB/200 KB后加/解密耗時值的數量級保持不變；而當達到20 000 KB后該指標基本保持穩定。因此，本文在設計系統時將數據盡量打包為200 KB以上再進行操作。

圖7 單位長度數據加解密耗時

此外，由上述實驗也可以發現，當加解密大數據時，所需的時間耗費還是非常可觀的，例如解密100 000 KB的數據需要耗時1.777 s。由于通常醫學影像文件都很大，針對這種情況，系統在IBE加密的數據中嵌入AES、3DES等對稱加密密鑰，再使用該密鑰加密目標醫學影像文件，可以取得較好的性能結果。

5.3 正確性分析

本文提出的訪問控制方案是對基于目的訪問控制和身份加密機制的一種綜合應用，主要包含目的樹表構建算法、目的匹配算法和IBE加密方案3個核心部分，下面依次分析其正確性或安全性。

1)根據目的樹表的定義，算法1首先在階段1從根節點出發對目的樹上的所有目的進行廣度優先搜索并編號；隨后在階段2，從編號最大的葉節點開始逆序進行目的編碼，使目的樹中的每一個目的都對應二進制位串上的1個比特位；在階段3，針對目的樹中的每個節點，通過遞歸計算，將其本身和其所有后代節點均加入到初值為空的節點集合中，并進一步通過累加該集合中的節點編碼獲得該節點的允許目的編碼；在階段4，同樣針對目的樹中的每個節點，通過遞歸計算，將其本身和其所有祖先節點、后代節點均加入到初值為空的節點集合中，并進一步通過累加該集合中的節點編碼獲得該節點的禁止目的編碼。上述過程中，階段3和階段4是核心計算步驟，由于目的樹上節點數有限，因此其中的遞歸計算必然能執行結束得到結果。并且這些計算步驟符合目的樹表的定義[28]，正確性可以得到證明。

2)在目的匹配算法中，階段1和階段2分別根據允許訪問目的集合、禁止訪問目的集合和條件目的集合的定義計算對應的目的編碼；由定義2，3個目的集合相互沒有交集并且實現了對目的樹的全覆蓋，所以在階段3依據定義1進行訪問目的匹配時，算法2必然返回Permit、CondPermit或者Deny結果之一。

3)IBE加密以圍繞目的樹表構建算法計算獲得的＜AIP,PIP＞預期目的編碼構造的身份公鑰為輸入，在方案設計時并不依賴于特定的IBE技術。在實驗中，采用BF-IBE方案實現基于身份的加密，該方案利用BDH假設，在隨機預言模型下具有密文安全性[4]。具體實現時采用的JPair預定義修正Weil配對中的群G1的階為160 bit，可以提供1 024 bit RSA加密的安全強度，能夠保證普通用戶的醫療數據的私密性，而更高的安全性可以通過使用自定義配對來獲得。

6 結束語

本文針對醫療衛生領域形成的醫療大數據隱私保護的需求，設計了綜合應用PBAC模型和IBE加密技術的訪問控制方案。該方案對PBAC模型進行了擴展，并選擇以病患ID、條件訪問位和預期目的作為IBE身份公鑰對病患數據進行加密，可以有效保證只有在通過認證并且訪問目的符合預期目的的前提下，系統用戶才能訪問病患信息。實驗結果表明，該系統既能對外提供較細粒度的訪問控制，又能避免內部人員的信息泄密，并且具有較好的性能。

[1] 孟小峰,慈祥.大數據管理：概念、技術與挑戰[J].計算機研究與發展,2013,50(1)：146-169.MENG X F,CI X.Big data management：concepts,techniques and challenges[J].Journal of Compute Research and Development,2013,50(1)：146-169.

[2] 馮登國,張敏,李昊.大數據安全與隱私保護[J].計算機學報,2014,37(1)：246-258.FENG D G,ZHANG M,LI H.Big data security and privacy protection[J].Chinese Journal of Computers,2014,37(1)：246-258.

[3] SHAMIR A.Identity-based cryptosystems and signature schemes[A].Proc of CYPTO'84[C].Springer Berlin Heidelberg,1985.47-53.

[4] BONEH D,FRANKLIN M.Identity based encryption from the Weil pairing[A].Proc of CRYPTO'01[C].Springer Berlin Heidelberg,2001.213-229.

[5] COCKS C.An identity based encryption scheme based on quadratic residues[A].Proc of Cryptography and Coding[C].Springer Berlin Heidelberg,2001.360-363.

[6] SAKAI R,KASAHARA M.ID based cryptosystems with pairing on elliptic curve[J].IACR Cryptology ePrint Archive,2003,03/54.

[7] CANETTI R,HALEVI S,KATZ J.A forward-secure public-key encryption scheme[A].Proc of EUROCRYPT'03[C].Springer Berlin Heidelberg,2003.255-271.

[8] CANETTI R,HALEVI S,KATZ J.Chosen-ciphertext security from identity-based encryption[A].Proc of Cryptoloty-EUROCRYPT'04[C].Springer Berlin Heidelberg,2004.207-222.

[9] BONEH D,BOYEN X.Efficient selective-ID secure identity-based encryption without random Oracle[A]. Proc of Cryptoloty-EUROCRYPT'04[C].Springer Berlin Heidelberg,2004.223-238.

[10]BONEH D,BOYEN X.Efficient selective identity-based encryption without random oracles[J].Journal of Cryptology,2011,24(4)：659-693.

[11]BONEH D,BOYEN X.Secure identity based encryption without random oracles[A].Proc of Cryptology-Crypto'04[C].Springer Berlin Heidelberg,2004.443-359.

[12]WATERS B.Efficient identity-based encryption without random Oracles[A].Proc of Cryptology-EUROCRYPT'05[C].Springer Berlin Heidelberg,2005.114-127.

[13]GENTRY C.Practical identity-based encryption without random oracles[A].Proc of Cryptology-EUROCRYPT'06[C].Springer Berlin Heidelberg,2006.445-464.

[14]WATERS B.Dual system encryption：realizing fully secure IBE and HIBE under simple assumptions[A].Proc of Cryptology-CRYPTO'09[C].Springer Berlin Heidelberg,2009.619-636.

[15]GENTRY C, SILVERBERG A. Hierarchical ID-based cryptography[A].Proc of Cryptology—ASIACRYPT'02[C].Springer Berlin Heidelberg,2002.548-566.

[16]LEWKO A,WATERS B.New Techniques for Dual System Encryption and Fully Secure HIBE with Short Ciphertexts[M].Theory of Cryptography.Springer Berlin Heidelberg,2010.

[17]CHEN J,WEE H.Fully,(almost)tightly secure IBE and dual system groups[A].Proc of Cryptology-CRYPTO 2013[C].Springer Berlin Heidelberg,2013.435-460.

[18]CHOW S S M,DODIS Y,ROUSELAKIS Y,et al.Practical leakage-resilient identity-based encryption from simple assumptions[A].Proc of the 17th ACM Conference on Computer and Communications Security,CCS'10[C].Chicago,Illinois,USA,2010.152-161.

[19]YUEN T H,CHOW S S M,ZHANG Y,et al.Identity-based encryption resilientto continualauxiliary leakage[A].Procof Cryptology-EUROCRYPT 2012[C].Springer Berlin Heidelberg,2012.117-134.

[20]SAHAI A,WATERS B.Fuzzy identity-based encryption[A].Proc of Cryptology-EUROCRYPT'05[C].Springer Berlin Heidelberg,2005.457-473.

[21]BOLDYREVA A,GOYAL V,KUMAR V.Identity-based encryption with efficient revocation[A].Proc of the 15th ACM Conference on Computer and Communications Security[C].2008.417-426.

[22]SEO J H,EMURA K.Revocable identity-based encryption revisited：security model and construction[A]. Proc of Public-Key Cryptography-PKC 2013[C].Springer Berlin Heidelberg,2013.216-234.

[23]LI J,LI J,CHEN X,et al.Identity-based encryption with outsourced revocation in cloud computing[J].IEEE Transactions on Computers,2015,64(2)：425-437.

[24]ABDALLA M,BIRKETT J,CATALANO D,et al.Wildcarded identity-based encryption[J].Journal of Cryptology,2011,24(1)：42-82.

[25]BEATO F,MEUL S,PRENEEL B.Practical identity-based private sharing for online social networks[J].Computer Communications,2015,http：//dx.doi.org/10.1016/j.comcom.2015.07.009.

[26]WU X,XU L,ZHANG X.POSTER：a certificateless proxy re-encryption scheme for cloud-based data sharing[A].Proc of the 18thACM Conference on Computer and Communications Security,CCS'11[C].2011.869-872.

[27]BYUN J W,BERTINO E,LI N.Purpose based access control of complex data for privacy protection[A].Proc of the 10th ACM Symposium on Access Control Models and Technologies[C].ACM,2005.102-110.

[28]BYUN J W,LI N.Purpose based access control for privacy protection in relationaldatabasesystems[J].TheVLDBJournal,2008,17(4)：603-619.

[29]YANG N,BARRINGER H,ZHANG N.A purpose-based access control model[A].Proc of the 3rd International Symposium on InformationAssurance and Security(IAS)[C].IEEE,2007.143-148.

[30]KABIR M E,WANG H.Conditional purpose based access control model for privacy protection[A].Proc.of the 20th Australasian Conference onAustralasian Database[C].Australian Computer Society,Inc,2009.135-142.

[31]WANG Y,ZHOU Z,LI J.A purpose-involved role-based access control model[A].Foundations of Intelligent Systems[C].Springer Berlin Heidelberg,2014.1119-1131.

[32]COLOMBO P,FERRARI E.Enforcement of purpose based access control within relational database management systems[J].IEEE Transactions on KnowledgeandDataEngineering,2014,26(11)：2703-2716.

[33]SUN L,WANG H.A purpose‐based access control in native XML databases[J].Concurrency and Computation：Practice and Experience,2012,24(10)：1154-1166.

[34]JAFARI M,SAFAVI-NAINI R,FONG P W L,et al.A framework for expressing and enforcing purpose-based privacy policies[J].ACM Transactions on Information and System Security,2014,17(1)：3.

[35]渠世艷.基于目的管理的醫療信息系統訪問控制模型研究[D].上海：上海交通大學,2009.QU S Y.Research of Purpose-Based Access Control Model for HospitalInformation System[D].Shanghai：ShanghaiJiaotong University,2009.

[36]KABIR M E,WANG H,BERTINO E.A role-involved purpose-based accesscontrolmodel[J].Information Systems Frontiers,2012,14(3)：809-82.