電子醫療下支持數據持有性驗證檢索方案

李 梁，譚 薇，陳彥萍

LI Liang1,TAN Wei2,CHEN Yanping3

1.西安郵電大學 無線網絡安全技術國家工程實驗室，西安 710121

2.西安交通大學 網絡中心，西安 710049

3.西安郵電大學 計算機學院，西安 710121

1.National Engineering Laboratory for Wireless Security,Xi’an University of Posts and Telecommunications Xi’an 710121,China

2.Network Center,Xi’an Jiaotong University,Xi’an 710049,China

3.School of Computer Science and Technology,Xi’an University of Posts and Telecommunications,Xi’an 710121,China

1 引言

電子醫療（E-health）[1-3]系統這一術語最先由Mitch-ell于1999年提出[4]，該系統是電子信息技術與通信技術的完美體現，能實現醫療電子資源的存儲、檢索以及傳輸等功能。科學水平的不斷發展，電子醫療系統的應用也越來越受到人們的廣泛關注。電子醫療系統中存儲著大量的患者電子病歷，這些病歷能夠被各大醫療機構檢索及參考；其次，像電子病歷這樣重要數據的缺失可能會導致誤診以及重復用藥等醫療事故。因此，電子醫療系統的發展，伴隨著眾多安全問題的出現。

電子病歷數據與傳統紙質病歷有著很大的不同，電子化病歷容易被復制、共享、竊取以及修改等。波耐蒙研究所于2015年發布的《第五屆醫療數據隱私與安全研究報告》顯示，在美國超過90%的醫療機構存在數據泄露情況，40%的公司在過去兩年內至少發生了5次數據泄露[4]。一旦患者知道自己的隱私被泄露，其對信息收集者的信任程度將大大降低。例如，當患者意識到電子醫療記錄存在較高的隱私風險時，便會抱有抵制態度，比如在電子醫療記錄中只提供有限的敏感信息，而這樣很可能會妨礙就醫的誠實性和醫療服務機構為患者提供最佳的治療。

因此，如何有效保護電子病歷數據的隱私性，如何有效保證云端電子病歷的完整性便成為急需解決的問題。現如今有很多方案被提出應用于電子醫療環境中。例如，2009年Al-Neyadi等人[5]提出了電子醫療系統中基于內容的訪問控制方案，利用該方案實現了對電子病歷的訪問控制，但該方案未能提供對電子病歷的檢索技術，未能實現對云端電子病歷的持有性驗證；2015年Yang等人[6]提出了電子醫療下基于屬性的關鍵字檢索方案，該方案利用基于屬性的加密技術實現了云端電子病歷的權限控制；2017年Yang等人[7]提出了電子醫療系統下可靠、可檢索的隱私保護方案，但該方案依舊未能實現對云端電子病歷的持有性驗證。

而本文提出的電子醫療環境下支持數據持有性驗證的數據檢索方案是將支持數據持有性驗證功能與傳統可搜索加密系統結合，實現了功能上更加完全的數據檢索系統。傳統的數據支持性驗證方案多種多樣，例如，陳蘭香[8]于2011年利用同態Hash給出了一種基于Hash函數同態性的數據持有性驗證方案，但該方案無法檢測服務器是否存在欺騙行為，安全性不高。而黃石等人[9]于2015年針對陳蘭香的方案進行了改進，最終能夠檢測出服務器的行為。而本文方案中將編碼理論知識與同態Hash函數相結合，提出了編碼Hash函數實現了數據持有性驗證功能，并將該功能應用于云環境下的數據檢索系統中。

基于上述各方面因素考慮，本文提出了一種電子醫療環境下支持數據持有性驗證的數據檢索方案。本文方案主要完成了以下幾個目標；（1）利用基于屬性加密技術實現了云端電子病歷的細粒度權限控制，將電子病歷的權限進一步細化，同時方案安全性有所提高；（2）將編碼相關知識與Hash函數相結合，提出了編碼Hash[10-11]并應用于數據持有性驗證中，據理論分析以及實驗仿真分析，相對于其他相關方案均有較大的安全性以及性能優勢；（3）利用編輯距離，實現了容錯多關鍵字檢索功能。

2 預備知識

2.1 雙線性對

定義1（雙線性對）定義G1和G2是素數階為p的循環群，g是G1的生成元，運算e:G1×G1→G2映射擁有下面的3個性質。

（1）雙線性：e(ga,gb)=e(g,g)ab，a,b∈ZP；

（2）不可退化性：存在x,y∈G1使得e(x,y)≠1；

（3）可計算性：對于所有的x,y∈G1，存在一個有效的算法可計算e(x,y)。

2.2 特權樹

本文方案通過特權樹來描述每一種特權，該樹的每個非葉子結點是一個閾值門，每個葉子結點通過一個屬性描述。本文所提及的特權類似于操作系統中的特權。每一份數據文件包含有幾種可操作的行為，根據不同的資格條件，每種特權可以被賦予不同權限的用戶。比如，{read_mine,read_all,delete,modify,create}是一個學生成績的特權集合，只有該學生本人及其老師可以讀該學生的成績，但是所有其他的特權只能被授權給該老師，因此需要將{read_mine}這個特權授予該學生和其老師。

每種可執行操作均與某種特權p相關，而這個特權p是由一特權樹Tp描述的，如果一個用戶的屬性滿足該特權樹Tp，那么該用戶便被授予該特權p。這樣不僅控制了文件的訪問權限，而且還控制其他可操作行為，使得文件的控制更加細粒。

為了驗證用戶的身份并賦予其相應的特權，每份數據文件中包含有幾種特權樹。假如有r種這樣的特權樹，這就意味著有r種不同的特權。特權0可以被定義為讀文件，其他特權可以被任意地定義。當m＞n時，這并不意味著第m種特權比第n種特權的權限大。該特權樹與文獻[12]中所定義的類似。給定一個特權樹，如果numx是結點x的孩子結點的數量，kx是x的閾值且0＜kx＜numx，如果至少有kx個孩子結點被賦值為真，那么該結點將被賦值為真。在特別情況下，當kx=1時，該結點便成為了OR門；當kx=numx時，該結點便成為了AND門。

如果用戶的屬性集合S滿足特權樹Tp或者是結點x，便定義Tp(S)=1或x(S)=1。Tp(S)可以通過以下遞歸算法計算得出。如果x是葉子結點，當且僅當att(x)∈S時，x(S)=1；如果x是非葉子結點，當結點x至少有kx個孩子結點返回1時，則x(S)=1。對于特權樹Tp的根結點Rp來說，只有當Rp(S)=1時，Tp(S)=1。

2.3 編輯距離

編輯距離[13]是兩個字符串之間相似度的測量。比如兩個單詞w1和w2的編輯距離ed(w1,w2)指的是一個單詞變換成另一個單詞所執行的最小操作步驟。這其中包含3個基本操作。

（1）置換：將一個單詞中的字符變換成另一個。

（2）刪除：從一個單詞中刪除一個字符。

（3）插入：將單個字符插入到一個單詞之中。

給定一個關鍵字w，如果對于一個確定的整數d，使得ed(w,w′)＜d滿足，則用Ww,d表示關鍵字w′的集合。

2.4 編碼Hash

傳統Hash函數將任意長的消息映射成一個固定長度的摘要，其Hash函數是基于傳統壓縮函數構造而成的，而利用校驗子譯碼問題構造出的編碼Hash具有特殊的內部結構，Augot等在文獻[14]中提出了編碼Hash，且對該種編碼Hash的內部結構進行了詳細的講解。

選擇一個(n,k)糾錯碼，同時選擇正整數ω使得ω可以整除n，將所有長度為n的碼字等分為ω個塊，每塊有比特。該碼的校驗矩陣H是一個(n-k) ×n矩陣，同樣將H等分為ω個子矩陣，H=(H1,H2,…,Hω),子矩陣表示為Hi。壓縮函數F定義為：→，其中，則F的輸入數據。壓縮函數F的運算過程如下：

（1）將e bit輸入數據x等分為ω個子塊，即x1,x2,…,xω，每個子塊xi包含比特，且

（2）將每個xi轉換為0到之間的整數xi。

（3）選擇相應的子矩陣Hi的第xi+1列，表示為

（4）將選好的ω個列累加，獲得一個長為r的比特串，就是F的輸出，即計算

上述說明了一次壓縮過程，如圖1所示為消息m的壓縮過程。每次從消息m中選取e-r位輸入，其次首輪隨機選取r位填充數據，組合成e位的數據作為壓縮函數的輸入，經過壓縮F函數后輸出r位數據。接下來，輸出的r位數據返回填充到輸入中，直到將整個消息m壓縮輸出為r位數據，此r位數據為該消息m的Hash值。

圖1 編碼Hash函數結構

3 方案介紹

3.1 系統模型

如圖2所示為方案系統模型，該系統模型中包括授權中心、數據擁有者、數據使用者以及云服務器4個實體，數據擁有者以及數據使用者可以是醫療患者或醫療組織結構。

（1）授權中心：為了保護數據用戶的隱私安全，本文方案采用多個授權中心為用戶生成屬性私鑰，每個授權中心獲得用戶部分屬性并獨立運算生成部分屬性私鑰，最終將各部分屬性私鑰組合成某個用戶的屬性私鑰SKu。

（2）數據擁有者：數據擁有者具備兩方面的作用。

①文件上傳：首先數據擁有者向授權中心請求獲得屬性私鑰SKu，并利用對稱加密算法（例如AES等）以及對稱密鑰Ke，加密數據文件F，生成文件密文C。其次，數據擁有者利用屬性私鑰SKu加密對稱密鑰Ke，生成對稱密鑰密文CT，同時數據擁有者在該密文中指定文件F的特權集合{Tp}p∈{0,1,…,r-1} ，其中p表示該文件的某種特權，r表示該文件包含的特權個數。接下來數據擁有者利用文件關鍵字集合生成搜索索引FI。最終數據擁有者將密文C、密鑰密文CT以及索引FI上傳至云服務器。

②數據持有性驗證：數據擁有者將加密后的密文集合上傳至云服務器前，對每個密文數據文件Cf利用編碼Hash函數生成數據標簽Tagf。數據擁有者進行數據持有性驗證時，向云服務器隨機挑戰數據塊，由云服務器計算相應的數據塊標簽Tagf'并返回給數據擁有者，判斷Tagf與Tagf'是否相同，完成數據持有性驗證。

（3）數據使用者：數據使用者輸入搜索關鍵字集合，生成搜索請求符號發送給云服務器，云服務返回相應請求文件，驗證用戶身份，解密獲得相應文件，獲得文件的相應特權。

圖2 系統模型

3.2 方案目標

電子醫療系統下支持數據持有性驗證方案的設計目標主要包括以下幾點：

（1）支持多個關鍵字容錯搜索。文中將關鍵字集合首先進行預處理，生成關鍵字與文件集合相對應的二維索引表格；將輸入的關鍵字經過編輯距離處理后查找二維索引表獲得相應文件。

（2）利用編碼Hash函數支持數據持有性證明，數據擁有者隨時可以驗證系統中數據的完整性。

（3）提供了對該醫療系統中病歷數據的細粒度權限控制，明確了用戶對文件數據的查看、修改等權限控制，使得病歷數據的使用更加安全。

3.3 安全模型

本文方案首先假設N個授權中心對用戶的身份信息感興趣，各自會獨立獲取用戶的身份信息，但授權中心不會與其他用戶或者授權中心合謀，因為授權中心可能會接受政府等部門的監管。假設用戶不可信，假設網絡環境安全，依據上述假設環境，定義下面的安全模型。

Init：敵手A聲稱某幾個授權中心在它的控制之下（但至少有兩個授權中心不在敵手控制中），同時宣稱它想挑戰特權T0，該特權樹中某些屬性也包含在挑戰者所控制的授權中心之下。

Setup：敵手與挑戰者啟動系統建立。

Phase1：敵手開始執行Key Generate算法查詢，用于盡可能多地獲得他想要的私鑰，但這些私鑰不滿足特權樹T0。

Challenge：敵手提交兩個長度相等的消息M0和M1給挑戰者，挑戰者隨機地拋擲硬幣b∈{0,1}，利用特權樹T0加密消息Mb，隨后將密文發送給敵手。

Phase2：Phase1可以被適當地重復執行，但沒有私鑰能夠滿足特權樹T0。

Guess：敵手猜測并輸出Mb′。

定義2對于所有的概率多項式時間敵手，如果其在上述游戲中無法獲得不可忽視的優勢，則說明該方案是安全的。

4 電子醫療系統下支持數據持有性驗證方案

4.1 基本定義

電子醫療系統下支持數據持有性驗證方案包括N個授權中心、數據擁有者、數據使用者以及云服務器4個實體。

定義3該系統中包含4個實體，每個實體包含以下算法過程：

（1）N個授權中心

①Setup(1l)算法：該算法為系統建立算法，輸入安全參數1l，輸出授權中心Ak的主密鑰MKk以及整個系統的公鑰PK，這里的k表示第k個授權中心。

②User Key Generate(PK,MKk,Αu)：輸入授權中心Ak的主密鑰MKk、整個系統公鑰PK以及用戶u的屬性集合Αu，輸出用戶的屬性私鑰SKu。

（2）數據擁有者

①GenerateT(Αu)：輸入用戶u的屬性集合Αu，輸出特權樹權限集合{Tp}p∈{0,1,…,r-1},這里的r表示特權個數。

②Encrypt(PK,Ke,{Tp})：輸入系統公鑰PK，對稱加密密鑰Ke以及特權樹集合{Tp}p∈{0,1,…,r-1}，輸出密文CT。

③GenerateFI(W)：輸入關鍵字文件集合W，輸出文件搜索索引FI。

④GenarateTag(C)：輸入密文文件集合C，輸出數據持有性標簽Tag。

⑤DataHoldCheck(i)：輸入隨機數i∈Z，返回文件標簽Tag′。

（3）數據使用者

①FileSearch(Keywords)：輸入關鍵字集合Keywords,獲得搜索結果CT以及C。

②Decrypt(PK,SKu,CT)：輸入系統公鑰PK、用戶屬性私鑰SKu以及CT，輸出對稱密鑰Ke。

（4）云服務器：云服務器主要存儲用戶的密文文件并提供一定的計算服務，例如利用編碼Hash函數生成用戶的數據標簽Tag。

4.2 方案具體算法過程

本節將會按照定義1中算法過程對整個方案的具體算法詳細說明。

（1）N個授權中心

①Setup(1l)：任意一個授權中隨機選擇一個素數階為p且生成元為g的雙線性群G0并將其公開。隨后所有授權中心各自獨立且隨機地選擇vk∈Zp，同時計算Yk=e(g,g)vk并將其發送給其他所有授權中心，這些授權中心單獨計算

然后，每一個授權中心Ak隨機選擇N-1個整數skj∈Zp(j∈{1,2,…,N}{k})并計算gskj，并將gskj與其他授權中心Aj共享。當接收到由Aj生成的N-1個gsjk后，授權中心Ak按照如下運算計算安全參數xk∈Zp：

②User Key Generate(PK,MKk,Αu)：對于任意屬性i∈Αu，每一個授權中心Ak隨機選擇ri∈Zp并單獨地計算部分屬性私鑰將其秘密地發送給用戶u。

接下來，每一個授權中心Ak隨機選擇dk∈Zp，并將其與其他授權中心共享，但對用戶保密。然后，每個授權中心秘密將xk?gdk發送給用戶u。任意一個授權中心計算，并將其發送給用戶u。

因此，該用戶計算屬性i∈Αu的部分屬性私鑰為：

當用戶u獲得D、Di和Di'后，則該用戶u的屬性私鑰為：

（2）數據擁有者

①GenerateT(Αu)：該算法根據用戶的屬性集合Αu生成特權樹權限集合該特權樹權限集合根據2.2節中的原理過程生成。

②Encrypt(PK,Ke,{Tp})：在該算法過程中，采用Shamir的秘密分享技術構建特權樹。在特權樹Tp中存儲某個隨機數s∈Z，利用此隨機數掩飾對稱密鑰Ke。采用Shamir的秘密分享技術將此隨機數分享至葉子結點。具體過程如下：

對于每一個特權樹Tp，對該樹中的每一個結點x選擇一個多項式qx，設置多項式qx的次數為dx，且比該結點中的閾值kx少1。從根結點Rp開始，隨機選擇sp∈Zp，并設定qRp(0):=sp且隨機設置多項式qRp的其他系數。對于其他結點x，對應多項式的系數隨機選擇，但其常數項設置為qparent(x)(index(x))，使得qx(0)=qparent(x)(index(x))，這里的index(x)是結點x的孩子結點的索引，parent(x)是結點x的父結點。最終，選擇一個隨機數h∈Zp，使得h-1模上p存在，進而計算gh?sp和Dh-1，則密文CT可以表示為：

③GenerateFI(W)：對于關鍵字集合 {w1,w2,…,wm}，生成文件搜索索引的具體算法如下：

對于每一個wj∈W的關鍵字，數據擁有者計算其索引最終獲得關鍵字集合索引FI=

圖3 索引矩陣δ

④GenerateTag(C)：對于明文文件集合F={f1,f2,…,fn}，采用對稱加密算法以及對稱密鑰Ke加密生成密文集合C={c1,c2,…,cn}，對于每一份密文ci，利用編碼Hash函數生成對應的數據標簽Tagi。例如，根據2.4節中定義的壓縮過程，采用（8，5）的編碼，ω=4，輸入的數據位長度為e=4，返回的數據位長度為r=3。若待壓縮的消息為(10110010101)，最終壓縮后消息為(101)，則該消息(10110010101)壓縮后的標簽最終生成的標簽集合為

⑤DataHoldCheck(i)：該算法為數據擁有者的持有性驗證過程。數據擁有者隨機向云服務器挑戰一個密文文件，云服務器將對應的密文ci返回給數據擁有者，數據擁有者利用GenerateTag(C)算法生成數據標簽Tagi'，并驗證Tag=?Tagi'，若相等，則說明數據持有性通過；否則，驗證失敗。

（3）數據使用者

①FileSearch(Keywords)：當數據使用者輸入搜索關鍵字集合，生成關鍵字索引集合并發送給云服務器。

②Decrypt(PK,SKu,CT)：獲得搜索后的密文C和CT后，數據擁有者通過特權樹驗證，解密CT獲得對稱密鑰Ke，進而解密文件密文C，獲得響應明文信息。

系統每個用戶可以根據關鍵字搜索并下載云服務器上的密文，但是只有在成功解密密文文件之后，才可以對文件作相應的操作。首先，定義一個遞歸的解密算法DecryptNode(CT,SKu,x)，這里的x代表特權樹Tp中的某個結點。如果這個結點x是葉子結點，便讓i成為結點x的屬性并進行如下定義。

如果i∈Αu：

如果i?Αu，便定義DecryptNode(CT,SKu,x):=⊥。如果x不是葉子結點，該算法將按如下過程進行：對于x的所有孩子結點z,調用算法DecryptNode(CT,SKu,z)并將輸出Fz存下來。定義Sx是孩子結點z中任意一個包含kx個孩子結點的集合，使得Fz≠?，如果沒有這樣的集合存在，那么這個結點將不滿足，算法便返回⊥。否則，計算出Fx：

這里的d=index(z)，Sx'=index(z)。

通過計算多項式的系數和p(0)，使用多項式插值法可恢復出父結點的值。用戶從云服務器下載了密文文件之后，從特權樹Tp的根節點Rp開始，迭代地調用該算法，如果這個樹被驗證通過，就意味著該用戶被賦予了特權p，于是：

當用戶試著去閱讀該文件時，通過下面的式子可以將解密密鑰Ke恢復出來：

最終，通過該解密密鑰，密文文件便可以被解密出來，如果用戶需要對數據文件執行其他操作，那么該用戶首先需要被驗證是具有該操作的一個已授權用戶。如果該操作需要第j種特權，那么該用戶需要從特權樹Tj的根結點Rj開始，迭代調用DecryptNode(CT,SKu,x)算法，得到。用上面同樣的方程式可以獲得Ysj，用戶將Ysj和操作請求一同發送給云服務器，云服務器將會檢查是否Ysj=Ej，這里的Ej∈并存儲在云服務端，用于云服務端權限驗證。

（4）云服務器

5 方案分析

5.1 安全性分析

（1）該方案能夠抵抗授權中心的合謀攻擊。

本文所設計的系統中，利用N個屬性授權中心生成用戶屬性私鑰。每個授權中心Ak生成一個隨機的秘密參數集合，并通過安全通道將gskj與其他授權中心共享，而xk正是基于這些參數計算得來的。人們知道在素數階為p的群G0上，DDH問題是難解的，因此gskj不會泄露關于skj的任何統計信息。這意味著即使一個敵手危害了N-2個授權中心，依舊有兩個參數skj敵手無法知道。這個敵手無法猜到這個有效的參數，進而他無法構造一個有效的密鑰，因此該方案能夠忍受N-2個授權中心的合謀攻擊。

（2）該方案能夠有效保護用戶的身份隱私安全，能夠實現半匿名性。

定理1對于定義1的安全游戲，如果存在一個敵手以不忽略的優勢贏得了該安全游戲，則至少存在一個概率多項式時間算法以不可忽略的優勢解決DBDH困難問題。

證明 假設在本文方案中，一個概率多項式時間敵手的優勢是ε，接下來將會證明能夠以ε/2的優勢解決DBDH困難問題。

設定e:G0×G0→GT是一個雙線性映射，這里的G0是一個素數階為p，生成元為g的乘法群。首先挑戰者拋擲一個二元硬幣u，如果u=0，則挑戰者設定。否則設定這里的a,b,c,κ∈Zp，且是隨機選取的。于是挑戰者將給模擬者simulator，在接下來的DBDH游戲中，simulator扮演者挑戰者的角色。

Init：攻擊者A控制著受到危害的幾個授權中心但系統中至少有兩個授權中心沒有被控制，剩下的授權中心被模擬者simulator控制，攻擊者接下來宣稱它打算挑戰特權樹T0，在該特權樹中的一些屬性被simulator所控制的授權中心掌握著。

Phase1 ：對應于屬性集合Α1,Α2,…,Αq，攻擊者盡可能多地請求它想要的密鑰，而這些屬性集合被控制著，但它們均不滿足特權樹T0。當模擬者收到這些密鑰請求后，將會計算私鑰的響應組成部分，來回應攻擊者的請求。對于所有的屬性i∈Au，模擬者會隨機選擇ri∈Zp，并計算Di:=A?H(att(i))ri，Di':=gri。最終，模擬者將生成的私鑰返回給攻擊者。

Challenge：敵手向挑戰者提交兩個挑戰消息m0和m1，挑戰者拋擲一枚硬幣γ隨機選擇mγ，并將其密文返回給敵手，消息mγ加密后的密文如下：

如果u=0，Z=e(g,g)abc以及之前已設定a=∑dk,以及Di=因此，CT*是消息mγ有效的密文，Di是用戶私鑰有效的組成部分。否則，如果u=1，Z=e(g,g)κ，于是就有E0=mγ?e(g,g)κ。因為κ∈Zp上的一個隨機元素，則從敵手的角度來看，E0是群GT中的一個隨機元素，因此密文CT*中沒有包含關于mγ的任何信息。

Phase2：適當重復Phase1。

Guess：敵手提交關于γ的一個猜想γ′。如果γ′=γ,則模擬者simulator輸出u′=0，這樣意味著敵手給出了一個有效的DBDH元組；如果u′=1，意味著敵手給出了一個隨機的五元組(g,A,B,C,Z)。

根據之前定義的游戲規則，模擬者simulator會按照算法方式計算公共參數以及私鑰。如果u=1，則敵手將不會學習到關于γ的任何信息，因此有當γ′≠γ時，模擬者simulator輸出他的猜想u′=1,因此有如果u=0，敵手會得到關于mγ一個有效的密文，根據定義，在這種情況之下敵手的優勢是ε，因此有因為當γ′=γ時，模擬者給出了他的猜想u′=0，于是有則在該DBDH游戲中全部的優勢為：

總結，如果一個多項式時間敵手在這個安全游戲中的優勢為ε，那么在DBDH游戲中一個概率多項式時間敵手的優勢為。因此，如果在這個安全游戲中，一個敵手擁有不可忽略的優勢為ε，那么他將擁有不可忽略的優勢去解決該DBDH游戲。因此，該安全性滿足定義2的安全性。

（3）編碼Hash安全性分析

安全性方面，該方案中編碼Hash的安全性依賴于這樣一個NP完全問題，輸入有限域Fq上的一個(n-k)×n矩陣H，向量整數k＞0，是否存在一個字其重量w(x)≤k，使得HxT=s。

文中得出結論，由于編碼Hash的壓縮函數是使用一個糾錯碼的校驗矩陣構造的，且Hash函數FH的輸出相當于計算一個(n,ω) 正則字的校驗子，該編碼Hash的安全性可以歸約為校驗子譯碼問題（SD）問題，且該校驗子譯碼問題已經被證實屬于NP完全問題，可有效抵抗目前的量子攻擊，因此對其壓縮函數求逆是幾乎不可能的，從而該方案具有更高的安全性。

5.2 性能分析

本文提出了一種電子醫療下支持數據持有性驗證檢索方案，主要從密文檢索以及數據持有性驗證兩方面說明本文方案的性能優勢。

5.2.1 密文可搜索性能分析

密文可搜索實驗平臺的搭建主要依靠JPBC（Java Pairing-Based Cryptography Library）開源代碼庫以及Java開發平臺Myeclipse 2014。關于JPBC有以下三方面的知識：

（1）JPBC是PBC（Pairing-Based Cryptography Library）的一個子庫，利用該庫可以直接利用Java語言進行雙線性對的基本運算操作。

（2）利用該庫可以直接將雙線性對的運算外包給PBC庫。

（3）該庫是關于整數上的多重線性映射的一個實現，該實現支持多線程。

總之，JPBC是密碼學研究中非常重要的工具之一。如下是本實驗仿真運行的操作系統配置信息。

（1）電腦型號：聯想ThinkPad T450s筆記本電腦；

（2）操作系統：Windows 10專業版64位；

（3）處理器：英特爾Core i7-5600U@2.60 GHz雙核；

（4）內存：12 GB（三星DDR3L 1600 MHz）。

此次系統采用的文件數據集來自于中國知網上的期刊論文，根據前期計劃，本次總共在中國知網上收集了3000份不同的期刊論文，同時為了增強本次實驗的有限性，通過修改期刊名稱以及關鍵字，將期刊論文集合一共拓展為12000份。本文主要對密文可搜索系統的系統建立、屬性私鑰生成以及安全索引生成與文獻[15]、文獻[16]進行了效率對比分析。

（1）系統建立階段

圖4所示為系統建立效率對比，從圖中可以發現，本文方案在系統建立上具有較大的時間效率優勢。

（2）屬性私鑰生成階段

圖5所示為屬性私鑰生成效率對比圖，從圖中可以發現，隨著用戶屬性個數的增加，用戶屬性私鑰的生成時間對比文件文獻[15]和[16]具有較大的性能優勢。

（3）安全索引生成階段

圖6所示為安全索引生成效率對比，從圖中可以發現，隨著關鍵字個數的增加，安全索引生成的效率優勢越來越明顯。

表1 方案效率對比分析

圖4 系統建立效率對比

圖5 屬性私鑰生成效率對比

圖6 安全索引生成時間效率對比

5.2.2 方案各個階段效率對比

為了更好地說明本文方案的效率，通過實驗仿真將本文方案相關運算階段與相關云存儲下的數據檢索方案進行了對比。如表1所示，通過進行系統建立、屬性私鑰生成、安全索引生成、特權樹建立等階段進行了對比說明。該表中說明本文方案在系統生成、安全索引生成、加密以及解密階段均有較好的優勢；本文方案支持文件特權控制以及數據持有性驗證功能，而文獻[15]和[16]不支持。

5.2.3 編碼Hash函數效率分析

如表2所示是編碼Hash函數的數據壓縮時間開銷對比，由于采用的糾錯碼的能力不一樣，輸入每比特數據的時間開銷不一樣，根據以上3種時間開銷對比，當糾錯碼碼長為n=1024時，每比特的平均時間開銷最小。

表2 平均壓縮時間對比

5.2.4 數據持有性相關方案效率對比分析

本文所提方案中基于編碼Hash函數的數據持有性驗證功能是本文的創新點，為了更好地說明該數據持有性的驗證效率，將本文方案與相關數據持有性驗證方案進行了對比。如表3所示，本文方案在數據持有性驗證上有明顯的效率優勢。

表3 數據持有性驗證效率對比

6 結束語

基于屬性加密以及編碼Hash相關知識，本文方案提出了一個電子醫療環境下支持數據持有性驗證的數據檢索方案。通過構造特權樹，實現了對隱私文件的細粒度控制；通過編輯距離以及相關安全索引，實現了容錯多關鍵字搜索；通過編碼Hash，實現了數據持有性驗證。通過一定的安全分析以及實驗性能測試，說明本文方案具有一定的安全性，并在實際應用中具有一定的實用價值。