屬性加密算法用于網(wǎng)絡(luò)健康數(shù)據(jù)隱私保護

陳向陽，凌寶紅，胡東輝

國外早些年間就已經(jīng)提出健康管理的概念[1]。所謂健康管理，就是基于身體保健、醫(yī)學(xué)診療服務(wù)系統(tǒng)，結(jié)合信息管理技術(shù)實現(xiàn)對個人健康的維護和監(jiān)測，其意義和目的在于通過日常和初期的健康咨詢來幫助人們遠離一些疾病和健康隱患，維護個人健康。互聯(lián)網(wǎng)模式的健康服務(wù)已經(jīng)漸漸轉(zhuǎn)變成為一種全新的生活方式，但是遠程醫(yī)療技術(shù)也埋下了一系列可能發(fā)生的健康數(shù)據(jù)隱私問題的隱患。病人的資料、病史等信息存儲在服務(wù)器上，一旦這些數(shù)據(jù)被泄露出去，將會給用戶（即病人）帶來許多未知的損失或傷害。所以在遠程醫(yī)療技術(shù)中，病人的健康數(shù)據(jù)隱私保護問題是安全問題的重中之重。

因此，本文提出一種基于屬性加密網(wǎng)絡(luò)的健康數(shù)據(jù)隱私保護方法，優(yōu)化解密策略及解密計算公式，為基于互聯(lián)網(wǎng)的健康服務(wù)提供安全保障。

1 屬性加密算法

在基于身份加密體制（IBE）的基礎(chǔ)上，Sahai和Waters[2]首次于2005年提出基于屬性的加密體制（ABE）。之后，為了提升訪問控制策略的復(fù)雜性和有效性，密鑰策略基于屬性的加密(KP-ABE)方案在2006年被Goyal[3]等提出，該方案把一個屬性集與密文關(guān)聯(lián)到一起，而密鑰則被關(guān)聯(lián)到訪問結(jié)構(gòu)，只有通過驗證發(fā)現(xiàn)密文中的屬性集與使用者的訪問結(jié)構(gòu)相對應(yīng)，用戶才能獲取明文信息。2007年，首個基于屬性的密文策略加密(CP-ABE)方案[4]被提出，與KP-ABE不同，Bethencourt等將用戶私鑰和一個屬性集關(guān)聯(lián)起來，而密文和一個訪問結(jié)構(gòu)關(guān)聯(lián)，用戶要想將密文解密，其屬性集必須要使訪問結(jié)構(gòu)得到滿足。只有通過驗證發(fā)現(xiàn)用戶的屬性集與訪問結(jié)構(gòu)相符合，才能獲取明文信息。

1.1 CP-ABE算法描述

密文策略的屬性加密方案包含4個部分[5]，分別如圖1～4所示，其中第4步的解密算法中，訪問結(jié)構(gòu)A是隱藏在密文CT中的。

圖1 系統(tǒng)初始化

圖2 加密算法Encrypt(PK,M,A)

圖3 密鑰抽取

圖4 解密算法Decrypt(PK,CT,SK)

1.2 CP-ABE安全模型

CP-ABE的安全模型與其他一些身份加密相似[6-7]，攻方可以向守方詢問任意的SK，但是它無法對守方所掌握的CT進行解密。整個攻防過程如下：

(1)守方通過圖1的算法將系統(tǒng)生成的PK共享給攻方。

(2)攻守雙方第一階段：攻方生成若干個與管理屬性集S相對應(yīng)的私鑰，向守方提交長度一樣的兩個消息及一個用于進攻的訪問策略B，而且S中的任何一個屬性集都不滿足此處的訪問策略B。守方隨機選擇x（0或1）并在B下加密明文Mx，再將密文傳送給攻方。

(3)攻守雙方第二階段：攻方繼續(xù)生成若干個與管理屬性集S相對應(yīng)的私鑰，依然保證任意一個屬性集不能滿足B，守方進行上面相同的操作。

(4)攻方猜測一個x'，如果x=x'的概率達到50%表示攻方獲勝。

2 系統(tǒng)設(shè)計

2.1 數(shù)據(jù)庫E－R圖

每個用戶可以發(fā)出多條咨詢消息，每條咨詢消息僅由一位用戶發(fā)出。每個用戶每天都可記錄多條信息，每次保存的記錄內(nèi)容都會顯示記錄時間，每條內(nèi)容僅有一位用戶記錄。可以有多個醫(yī)生對同一個咨詢內(nèi)容進行回復(fù)，每條回復(fù)單獨顯示且每條信息的發(fā)出者為一個人；一個醫(yī)生也可以給多條信息發(fā)出回復(fù)，如圖5所示。

圖5 E-R圖

2.2 加密設(shè)計

2.2.1 數(shù)據(jù)庫庫外加密

采用屬性加密技術(shù)是一種數(shù)據(jù)庫外的加密方法[8]。在庫外加密方式[9]中，加解密過程發(fā)生在DBMS（Database Management System）之外，密文由數(shù)據(jù)庫管理系統(tǒng)管理，用戶在客戶端完成加密與解密，該過程也可由專門設(shè)備完成。數(shù)據(jù)庫庫外加密的優(yōu)勢主要表現(xiàn)在：1）為數(shù)據(jù)庫管理系統(tǒng)減負；2）加密密鑰與加密數(shù)據(jù)分開存儲，安全性更高；3）實現(xiàn)端到端的網(wǎng)絡(luò)密文傳遞。

2.2.2 屬性加密設(shè)計

數(shù)據(jù)庫中使用屬性加密，是對數(shù)據(jù)庫中部分字段信息進行加密[10]，較少的使用密鑰，因而可行。本設(shè)計中，用戶并不是所有資料都需要加密，對于其所分享的醫(yī)生來說，如身份證號、具體住址等信息是不需要可見的。

（1）系統(tǒng)角色

在此人體健康數(shù)據(jù)隱私保護系統(tǒng)中，連接服務(wù)器后的4個角色包括[11]：1）向醫(yī)生進行健康咨詢普通用戶為數(shù)據(jù)提供者；2）為病人進行診斷的醫(yī)生為數(shù)據(jù)接收者；3）數(shù)據(jù)共享存儲中心；4）密鑰分發(fā)者。密鑰分發(fā)中心為可信第三方。

（2）系統(tǒng)構(gòu)造

在此系統(tǒng)中，有3個主要階段[11]，分別是系統(tǒng)初始化、數(shù)據(jù)生成和數(shù)據(jù)分享。具體描述如下：

（ⅰ）系統(tǒng)初始化：該階段可分為系統(tǒng)生成和密鑰生成兩個子階段。系統(tǒng)生成階段，輸入系統(tǒng)安全參數(shù)K，獲得所用到的Hash函數(shù)與群結(jié)構(gòu)等并取得公鑰－私鑰對。密鑰生成階段，驗證咨詢醫(yī)生屬性，如果符合，運行基于屬性加密的密鑰生成算法，得到一個與醫(yī)生屬性相應(yīng)的密鑰sk，并將其傳送給咨詢醫(yī)生。

（ⅱ）數(shù)據(jù)生成：普通用戶根據(jù)數(shù)據(jù)共享的要求找到符合自己的咨詢醫(yī)生，運用自己的公鑰運行基于屬性加密算法并將獲得的密文傳送到數(shù)據(jù)共享中心，只要屬性符合共享要求，普通用戶即可使用手中的私鑰對密文信息進行解密。

（ⅲ）數(shù)據(jù)共享：屬性相符的數(shù)據(jù)提供者或數(shù)據(jù)接收者向數(shù)據(jù)共享存儲中心發(fā)出數(shù)據(jù)獲取請求，數(shù)據(jù)共享存儲中心返回數(shù)據(jù)即可。

3 效率優(yōu)化和性能分析

3.1 效率優(yōu)化與分析

系統(tǒng)初始化時，需要選擇一個素數(shù)階的雙線性群，再隨機選擇兩個參數(shù)，決定公開參數(shù)PK，從而確定主密鑰MK；加密算法Encrypt(PK,M,A)是在訪問結(jié)構(gòu)A中對明文M進行加密，算法首先為A中的每個結(jié)點x選擇一個多項式qx，這些多項式會以自頂向下的方式逐一確定，對每個qx設(shè)置其次數(shù)為其門限值減一；解密算法Decrypt(PK,CT,SK)也是一個遞歸算法，需要定義每個結(jié)點的遞歸解密算法。CP－ABE的遞歸運算中，要判斷每個葉子結(jié)點是否滿足訪問結(jié)構(gòu)A需要對它進行兩次雙線性運算，還需做一次指數(shù)運算打開門限。如果A很復(fù)雜會嚴重影響解密效率。文獻[12]對這一算法進行了優(yōu)化，并提出了兩種方案。

（1）優(yōu)化解密策略

實際上，對訪問結(jié)構(gòu)樹的所有節(jié)點來說，除了門限值K個子節(jié)點外，其余子結(jié)點都可以去除，因此在尋找屬性是否滿足訪問策略時，不考慮多余的子節(jié)點將會省去許多雙線性配對運算。可以構(gòu)造一個遞歸函數(shù)restrict(T,M)，M為訪問結(jié)構(gòu)樹T的一個子集，其中M滿足條件：只包含T中為其定義的節(jié)點個數(shù)N，去除其子節(jié)點X中的孩子樹小于X的門限值的節(jié)點。

（2）優(yōu)化解密計算公式

M所有的葉節(jié)點記為集L，對L中任一元素l，定義從葉節(jié)點l到根節(jié)點r的路徑為

定義節(jié)點x的兄弟節(jié)點集合為

定義了上面的符號，解密算法可直接運算得到，省去了遞歸過程中的雙線性運算。首先對于l∈L，計算：

其中，i=index(i),S={index(y)|y∈sibs(x)}，那么可以直接運算根節(jié)點的解密算法得到整個方案的解密結(jié)果：

假如屬性空間全集為U，則原始方法需要進行雙線性配對的次數(shù)為2|U|。通過這種方法可以將雙線性運算減少到2|L|對，極大地提高了解密效率。

3.2 隱私安全性分析

采用數(shù)據(jù)庫外加密，即屬性加密，對用戶數(shù)據(jù)庫中少部分字段進行加密，如用戶的身份證號、家庭住址等；用戶在編輯資訊內(nèi)容時會選擇咨詢對象，用戶的選擇就構(gòu)成了一個屬性范圍，只有其屬性符合這個屬性范圍的醫(yī)生才可以查看用戶發(fā)出的該條咨詢內(nèi)容；這有效地保護了用戶隱私信息。例如在圖6的醫(yī)院信息系統(tǒng)中，患者需要遠程上傳自己的電子病歷到醫(yī)院信息系統(tǒng)中，以供醫(yī)生翻閱。患者可以對自己的電子病歷中不同的就診信息指定不同的醫(yī)療專業(yè)人員的屬性（例如職務(wù)、所處科室等），然后患者可以在客戶端利用以上屬性加密策略對自己的就診信息進行加密、上傳，加入自己的電子健康檔案。因此保存在醫(yī)院信息系統(tǒng)中的只有加密之后的患者信息。為了保護患者的個人信息，可信第三方（如政府衛(wèi)生機構(gòu)）向患者和醫(yī)護人員發(fā)放了私鑰。只有患者本人或者滿足該訪問控制策略的醫(yī)護人員才能對數(shù)據(jù)進行解密。

圖6 屬性加密結(jié)構(gòu)圖

4 總結(jié)與展望

本文給出了CP-ABE算法描述、安全模型及方案構(gòu)造，對網(wǎng)絡(luò)健康數(shù)據(jù)采用屬性加密，優(yōu)化了解密策略及解密計算公式，使用戶的健康數(shù)據(jù)得到了一定的保障。下一步研究將考慮在屬性加密過程中加入時間戳，即可實現(xiàn)分時段的解密，醫(yī)生只能解密提取某段時間的數(shù)據(jù)。

參考文獻：

[1]熊嬌.家庭健康管理系統(tǒng)的設(shè)計和實現(xiàn)[D].北京：北京交通大學(xué),2008.

[2]SAHAI A,WATERS B.Fuzzy Identity-based Encryption[C].Proceedings of EUROCRYPT'O5，Berlin,Germany：Springer-Verlag,2005：457-473.

[3]GOYAL V,PANDEY O,SAHAI A,et al.Attribute based encryption for fine-grained access control of encrypted data[C].Proceedings of the 13th ACM Conference on Computer and Communications Security(CCS'06),New York,USA：ACM,2006：89-98.

[4]BETHENCOURT J,SAHAI A,WATERS B.Ciphertext-policy Attribute-based Encryption[C].Proceedings of the 2007 IEEE Symposium on Security and Privacy,Washington D.C.,USA：IEEE Computer Society,2007：321-334.

[5]孫國梓,董宇,李云.基于CP－ABE算法的云存儲數(shù)據(jù)訪問控制[J].通信學(xué)報,2011(32)：146-152

[6]BELLARE M,ROGAWAY P.Random oracles are practical：A paradigm for designing efficient protocols[C].In ACM cronference on Computer and Communications Security(ACM CCS),1993：62-73.

[7]SHAMIR A.Identity based cryptosystems and signature schemes[M]//BLAKLEYGR,CHAUMD.Lecture.Note in Computer Science.Betlin：Springer,1984：47-53.

[8]潘大四.基于數(shù)據(jù)綁定技術(shù)構(gòu)建Flex組件的XML數(shù)據(jù)源[J].電腦知識與技術(shù)，2007(14)：3-5.

[9]王勁東.目基于高級數(shù)據(jù)加密標準AES的數(shù)據(jù)庫加密技術(shù)研究與實現(xiàn)[D].西安：西安電子科技大學(xué),2011.

[10]朱勤,駱軼姝,樂嘉錦.數(shù)據(jù)庫加密與密文數(shù)據(jù)查詢技術(shù)綜述[J].東華大學(xué)學(xué)報（自然科學(xué)版）,2007(33)：543-547.

[11]俞海燕.安全高效的跨高校檔案信息共享系統(tǒng)[J].現(xiàn)代教育技術(shù),2010(20)：126-129.

[12]張玉鳳.基于CPABE的云存儲訪問控制研究[D].武漢：華中科技大學(xué),2013.