基于區塊鏈的分布式EHR 細粒度可追溯方案

應作斌，斯元平，馬建峰,3，劉西蒙

（1.安徽大學計算機科學與技術學院，安徽 合肥 230601；2.安徽大學物質科學與信息技術研究院，安徽 合肥 230601；3.西安電子科技大學網絡與信息安全學院，陜西 西安 710071；4.福州大學數學與計算機科學學院，福建 福州 350108）

1 引言

目前，電子健康檔案（EHR,electronic health record）已經成為提高醫療診斷效率的工具之一，其數據從可穿戴設備、智能傳感器等來源收集。隨著智慧醫療的逐步發展，EHR 數據量呈指數級增長。電子病歷的數據量將以每年48%的速度增長[1]。但是，EHR 數據共享面臨存儲安全性和隱私泄露的問題。密文策略屬性基加密（CP-ABE,ciphertext policy attribute based encryption）專門為一對多加密而設計，適合作為EHR 的訪問控制解決方案。面對海量的EHR 數據，本地存儲解決方案已不再適用，而集中式云存儲方案存在數據泄露和單點故障問題，區塊鏈技術成為EHR 數據管理的有前途的解決方案。考慮到區塊鏈的塊大小有限，將加密的EHR 文件存儲于分布式存儲系統，如星際文件系統（IPFS,inter planetary file system），而將EHR 的密文及其IPFS 中的下載地址等數據上鏈，可以有效節省區塊鏈的存儲空間。

基于區塊鏈的EHR 訪問控制方案的研究大多側重于隱私保護[2-3]，而實現隱私保護的同時帶來了監管問題。區塊鏈中強大的隱私保護滋生了許多安全問題，例如，所有勒索軟件攻擊中有88%發生在醫療保健系統中[4]。文獻[5]指出，2009—2017 年發生了約1 138 起違規事件，影響了1.64 億患者的醫療數據。這些安全問題不僅對用戶利益構成嚴重威脅，而且嚴重阻礙了區塊鏈在EHR 大規模共享中的開發和應用。跟蹤用戶身份是解決區塊鏈監管問題的關鍵。

為了應對這些挑戰，本文提出了一種基于區塊鏈的分布式EHR細粒度可追溯方案，能夠實現EHR在分布式存儲中的隱私保護和細粒度的訪問控制，并完成用戶的追溯。此外，為了消除分布式存儲中密鑰管理的單點故障（SPoF,single point of failure）問題，本文設計了一種分布式CP-ABE 方案。本文主要的貢獻總結如下。

1) 提出了一種基于區塊鏈的可追溯分布式EHR 細粒度訪問控制方案，解決分布式存儲中EHR數據的密鑰管理和惡意用戶的追溯問題。

2) 融合變色龍哈希和零知識證明技術完成鏈上節點的注冊驗證和生成身份證明，通過節點的公開信息可以追溯節點的身份證明，獲得注冊節點的真實ID，從而實現用戶的追溯。

3) 結合分布式密鑰生成（DKG,distributed key generation）協議，設定多個解密機構節點作為授權中心，設計分布式CP-ABE 方案。安全性證明表明，基于區塊鏈的可追溯分布式屬性基加密算法在隨機預言機模型下是自適應安全的。

2 相關工作

2008 年，中本聰在比特幣中使用了哈希鏈和工作量證明[6]。區塊鏈[7]是按時間排序的數據區塊，包括完整和有效的交易記錄列表。近年來，區塊鏈技術已應用于金融服務[8]、醫療保健[2,9]、物聯網[10-11]和車聯網[2,12]等領域。將區塊鏈應用于醫療保健領域的趨勢正在增加[13-16]。文獻[13]提出了使用區塊鏈技術的去中心化電子病歷管理系統——MedRec，它是一種模塊化設計，可管理參與者之間的權限和數據共享。與MedRec 類似，文獻[14]提出了一個基于以太坊的區塊鏈Ancile，它利用智能合約來增強訪問控制和數據混淆。文獻[15]構建了云環境中電子病歷的基于區塊鏈的數據共享框架。文獻[16]提出通過區塊鏈進行高效、安全的醫療數據共享，利用基于混合區塊鏈的架構保護電子病歷。

在基于區塊鏈的存儲EHR 數據的應用中，研究者提出加密方案來增強EHR 的安全性和有效性。文獻[17]采用離散波長變換和遺傳算法來增強安全性并優化系統性能。類似地，文獻[18]通過在密鑰的共享中采用密文策略的屬性基加密，并結合區塊鏈技術，實現了云存儲中的細粒度訪問控制，并支持驗證搜索。文獻[19]將基于分層身份的加密系統（HIBE,hierarchical identity based encryption）和CP-ABE 組合在一起，以實現在云服務器上有效的數據加密共享。文獻[20]提出了一種用于大數據訪問的有效可撤銷CP-ABE 方案，使用基于代理的更新在云中進行控制。Lewko和Waters[21]提出在沒有中央授權的情況下提供分布式CP-ABE 方案。Hu 等[22]和Li 等[23]提出了具有隱私保護和基于雙方屬性的密鑰協議的多權限CP-ABE 方案。

但是，上述應用均集中在增強安全性和隱私保護方面，密鑰生成的單點故障問題依然影響安全，且對于區塊鏈的可追溯功能的研究是有限的。EHR數據具有高度敏感性，在此類數據的共享中，一旦發生非法訪問，將會造成極大的不良影響。文獻[24]中比特幣地址被認證，只要用戶使用新的地址，就必須通過權威機構獲取認證，大大降低了方案的執行效率。文獻[25]設計了新的分布式匿名支付系統以解決監管問題，但系統只適用于Zerocash[26]。本文提出了一種靈活的基于區塊鏈的分布式EHR 細粒度可追溯方案。

分布式密鑰生成。DKG 協議是(t,n)閾值密碼系統的組成部分之一[27]。它允許n方共同生成密鑰對（即公共密鑰和私有密鑰），而不需要讓任何一方重建或存儲密鑰。如果不超過t+1個參與方被破壞，則該協議是安全的。此外，文獻[28]通過統一的隨機性提高了DKG 協議的安全性。通過運行DKG 協議，每個誠實方將擁有密鑰a的份額ai。對于N 組中t+1個正確份額，其中是集合N 的拉格朗日內插系數，t?安全DKG 協議將始終滿足以下特性。

①正確性。t+1份額的任何子集都定義相同的私鑰a(a∈Zp)，并且各方共享相同的公鑰GP=ga。

② 保密性。除了GP=ga外，沒有關于a的任何信息。

3 系統模型

系統模型如圖1 所示，涉及7 個參與方：用戶節點、醫生節點、驗證節點、仲裁節點、解密機構節點、區塊鏈平臺、分布式數據存儲系統。表1 列出了主要參數及含義。

圖1 系統模型

表1 主要參數及含義

驗證節點主要用于生成鏈上節點的身份證明。用戶生成注冊信息，并將其發送給驗證節點，完成注冊信息的驗證。成功注冊的用戶將得到由驗證節點生成的身份證明，身份證明和私人信息之間存在一一對應的綁定關系。

用戶節點由Pu標識，指可以提供EHR 健康數據的患者。用戶節點需要進行節點注冊，從驗證節點獲得身份證明。Pu提交電子健康記錄EHR，用對稱加密算法加密EHR 得到CEHR，并發送到鏈外的IPFS 中，IPFS 將返回一個下載鏈接τ用于檢索數據，再用非對稱加密算法將對稱加密的密鑰ε加密得到Cε。Pu將傳送給仲裁節點F。經F驗證后上傳到區塊鏈B存儲，且Pu節點的公開信息和身份證明在鏈上公開顯示。

醫生節點由Du標識，指申請訪問EHR 的實體。醫生節點需要進行節點注冊，從驗證節點獲得身份證明，并將傳送給仲裁節點F。經F驗證后上傳到區塊鏈B存儲。當醫生節點Du請求訪問數據文件時，Du將自己的屬性集以及身份證明發送給鏈上仲裁節點F。驗證通過后，F返回訪問憑證res。Du獲得訪問憑證后，發送給解密機構節點Ai，獲得足夠的密鑰份額，獲得，完成解密操作。

仲裁節點由F標識，是指可以驗證用戶節點身份以及數據內容的節點，且可以為數據訪問節點生成訪問憑證。鏈上文件訪問異常時，可通過查找用戶身份實現追溯。

解密機構節點由Ai標識，是指使用DKG 協議共同維護主密鑰的實體。他們提供密鑰份額以允許仲裁節點生成訪問憑證res。特別地，Du需要獲得至少t+1份額才能解密從區塊鏈獲得的數據。

區塊鏈平臺由B標識，是由多個區塊鏈節點維護的許可區塊鏈。上述幾個角色都充當區塊鏈節點，允許獲得許可的參與者加入該區塊鏈系統。追溯記錄在B中，使公眾可以審計調查的有效性和合法性。

分布式存儲系統是指存儲相關數據的數據存儲系統，本文方案采用了分布式數據存儲系統IPFS。數據在加密后存入IPFS 中，如果Du想檢索數據，則需要獲得訪問權限以獲得解密密鑰。

設定仲裁節點F和驗證節點比其他節點具有更高的權重來維護B的安全性，區塊鏈基于權益證明（PoS,proof of stake），如果存在可疑行為需要調查，F將在區塊鏈數據中追蹤用戶的真實身份，采用混合加密的方式加強數據保密性，提高加密效率。

4 算法設計

4.1 算法定義

1) 初始化算法

初始化算法輸入安全參數λ，得到公共參數pp，主密鑰MSK=a，全局參數GP=ga。

2) 解密機構和用戶節點初始化階段

獲得每個解密機構Ai的私鑰為，對應的公鑰為以及屬性公鑰。用戶私鑰和公鑰為，且是解密機構對應用戶uid的屬性集。用戶uid發送密鑰份額申請app 給解密機構Ai，解密機構Ai將計算并返回屬性私鑰份額SKatt。

3) 節點注冊與節點驗證階段

節點注冊階段。輸入公共參數pp 和用戶節點的真實身份uid，返回節點的注冊信息regmess=(CTmess,?mess)。

節點驗證階段。輸入公共參數pp、注冊信息regmess，以及注冊信息的私鑰skenrol，驗證節點身份id 是否有效，驗證有效，輸出1；否則輸出0。

4) 身份證明的生成和驗證階段

身份證明的生成階段。輸入公共參數pp、節點的公開和保密信息對(conf,pers)、用戶身份的變色龍哈希值、變色龍哈希的公私鑰對pkchame和skchame、隨機值c、Merkle 樹根節點rt、樹葉節點到樹根節點的路徑，輸出節點的身份證明。

身份證明的驗證階段。輸入公共參數pp、節點的公開信息conf、節點的身份證明，輸出驗證結果，若驗證成功，則b=1。

5) 數據生成階段

在此階段使用混合加密算法加密數據，且將數據密文存儲于分布式存儲系統IPFS 中。對稱加密算法，如AES（advanced encryption standard）加密原數據，對稱加密算法的密鑰由CP-ABE 實現加密。為了消除單點故障，本文方案采用DKG 協議。假設有N個解密機構（也屬于用戶節點）分布于區塊鏈上，每個解密機構Ai獲得a的一個秘密份額ai，將數據加密的密文存儲于IPFS 中，IPFS 返回數據的下載鏈接。數據的密文CEHR、密文在IPFS 中的下載鏈接τ、數據加密的完成時間timestamp，以及密鑰加密結果都被上傳到區塊鏈中存儲。

6) 數據訪問權請求和授權階段

當鏈上節點請求訪問數據文件時，用戶節點將自己的屬性集合發送給鏈上仲裁節點F。如果用戶的屬性集合滿足訪問策略(M,ρ)，則仲裁節點F將訪問授權憑證發送給用戶節點。

7) 解密并獲取數據階段

用戶節點得到授權后，將獲得憑證（包含足夠的密鑰份額），進而有權獲得區塊鏈中存儲的，可以完成解密操作。首先，用戶節點利用訪問授權憑證解密密鑰密文，從而獲得對稱加密算法的密鑰；然后，利用IPFS下載鏈接得到密文CEHR；最后，利用對稱加密算法的密鑰解密數據密文，從而得到數據明文，完成訪問。

8) 追溯階段

仲裁節點F獲得鏈上數據,解密后將得到其變色龍哈希公鑰，通過檢索驗證節點上的記錄信息，從而獲得與用戶節點變色龍哈希公鑰對應的用戶真實id，輸出用戶節點的身份序列ID。

4.2 具體方案構造

1) 系統初始化階段

Setup(1λ) → pp 。初始化算法輸入安全參數λ，得到公共參數pp 。公共參數組成如下：用于zk-SNARK（zero knowledge succinct non-interactive argument of knowledge）中的?mess的證明和驗證密鑰對(pkmess,vkmess)、用于zk-SNARK 中?cert的證明和驗證密鑰對(pkcert,vkcert)、注冊機構的公鑰pkenrol以及用于變色龍哈希的公共參數ppchame。，其中，x為mess或cert，表明給定pkx、陳述dx和見證ox，ρnizk將返回一個證明?x。onizk(vkx,dx,?x)用于驗證，給定驗證密鑰vkx、陳述dx和ρnizk所得證明ξx，如果驗證成功，則onizk返回1，否則返回0。

選擇G1和G2是素數階為q的循環群，且G1的生成元為g。設有雙線性映射e:G1×G1→G2、抗碰撞哈希函數H：{0，1}?→G1。N個解密機構（也屬于用戶節點）分布于區塊鏈上{Ai}i=1,2,…,N，運行DKG 協議，得到主密鑰MSK=a，其中a∈Zq，每個解密機構Ai獲得a的一個秘密份額ai。生成全局參數GP=ga。

2) 解密機構和用戶節點初始化階段

隨機選取參數ηi,θi,κi∈Zq，每個解密機構Ai的私鑰為，對應的公鑰為。Ai隨機選取xj∈Zq，生成屬性公鑰。隨機選取y,z∈Zq，用戶私鑰公鑰為，且是解密機構對應用戶uid的屬性集。uid發送密鑰份額申請app 給解密機構Ai，如式(1)所示。

Ai將計算并返回屬性私鑰份額，如式(2)所示。

3) 節點注冊與節點驗證階段

節點注冊階段可表示為

用戶節點由ppchame生成自己的變色龍方案的公鑰和私鑰對(pkchame,skchame)。由uid計算其變色龍哈希 值，隨 機 選 取c，得 到(pkchame,uid,c)。此時，用戶可以為以下NP 關系生成zk-SNARK 證明?mess。給定dmess=(uid,pkchame,)，得到omess=(skchame,c)。其中，變色龍哈希的私鑰與公鑰的關系為pkchame=chamegen(skchame)。

仲裁節點F得到?mess=ρnizk(pkmess,dmess,omess)。計算注冊信息的加密密文CTmess=Enc(pkenrol,dmess)，驗證節點存儲，同時返回

節點驗證階段可表示為

節點驗證過程如圖2 所示，具體步驟如下。解析regmess 為(CTmess,?mess)，由解密算法得到dmess，，并 解 析dmess為。如果所得uid不是有效身份，則輸出b值為0；否則判斷onizk(vkmess,dmess,?mess)=0是否成立，若成立，則輸出b=0,否則b=1。由仲裁節點存儲(pkchame,uid,)，并通過Merkle 樹來發布。

圖2 節點驗證過程

4) 身份證明的生成和驗證階段

身份證明的生成階段可表示為

身份證明的驗證階段可表示為

身份證明的驗證過程如圖3 所示，主要用來驗證用戶節點的身份證明是否有效。分離為(wcert,?cert)，設置dcert=(conf,wcert)，若onizk(vkcert,dcert,?cert)=0，則返回b=0，否則b=1。

圖3 身份證明的驗證過程

5) 數據生成階段

假設患者Pu首先提交EHR，用對稱加密方法加密得到CEHR并發送到鏈外的IPFS 中，由IPFS 返回下載地址τ；然后用分布式CP-ABE 來加密對稱密鑰ε；最后，Pu向區塊鏈B提交一筆交易，將存儲到鏈上，可以使用區塊鏈中的防篡改交易記錄來驗證數據的完整性。電子健康數據的生成存儲過程具體如下。

①數據加密

為了對EHR 進行加密，隨機生成ε∈G2作為對稱加密的密鑰運行加密算法（例如AES），對數據EHR 進行加密，并計算Encε(EHR)=CEHR。將CEHR存儲于IPFS 中，IPFS 返回數據的下載鏈接τ給Pu。

②對稱加密算法中的密鑰加密

其中，

Pu公開信息conf、身份證明、身份id 的加密結果C、IPFS 中的密文下載地址τ、對稱密鑰加密結果Cε以及數據生成的時間戳timestamp，并上傳到區塊鏈中存儲，即

6) 數據訪問權請求和授權階段

其中，

訪問授權憑證為

7) 解密并獲取數據階段

Du得到授權后，將獲得由F發送的訪問權限憑證res，從而獲得區塊鏈中存儲的數據，從足夠數量的解密機構處獲得的擁有密鑰份額的解密憑證，從而可以完成解密操作。具體分為以下兩步完成。

①Du利用訪問授權憑證res 和全局私鑰對Cε解密，從而獲得對稱加密算法的密鑰ε。

②利用對稱加密算法和解密密鑰ε來解密CEHR從而得到數據明文

8) 追溯階段

追溯過程如圖4 所示，可表示為

圖4 追溯過程

5 性能分析

本文方案與其他相關方案的功能對比如表2 所示。分別對安全、隱私、用戶認證、密鑰管理以及可追溯性能進行比較。

表2 本文方案與其他方案的功能對比

從表2 可以看出，文獻[15,29-30]方案都滿足安全與隱私性能，文獻[15,29]方案利用區塊鏈的不變性追溯鏈上數據，但文獻[15,29-30]方案均缺乏密鑰管理功能，存在安全威脅。比較結果表明，本文方案優于對比方案，可以為改善當前的分布式EHR 應用提供解決方案。

5.1 設計實施

在區塊鏈應用程序中通過私人信息生成公開信息的主要方式是使用橢圓曲線標量乘法，即conf=persG，其中，pers 是標量，G是橢圓曲線的基點，而conf 是橢圓曲線上的一個點。橢圓曲線標量乘法的實現基于MNT6 橢圓曲線。使用Java 編程語言基于zk-SNARK 庫libsnark 實現本文方案的原型。在具體的實現中，使用提供128 bit 安全性的Barreto-Naehrig 橢圓曲線作為zk-SNARK 方案的基礎曲線。變色龍哈希和公鑰加密方案的實現基于254 bit 的質數字段。基于JPBC（基于PBC 配對的密碼庫）在DKG協議和CP-ABE 上實現密碼算法，采用具有160 bitZq和512 bitG1的素數雙線性群設置系統參數。

本節實驗在個人計算機上運行，主要參數是IntelCore? i5-5200U、2.20 GHz CPU，以及4 GB RAM。基于5 個授權機構（5 個中的3 個）設計DKG 協議，以評估通信性能和時間開銷。設置階段包括DKG 協議和CP-ABE 的初始化，使用混合加密方法計算加密和解密的時間性能。

5.2 時間開銷與通信開銷

設置Merkle樹支持的最大用戶數分別為210、220、230，評估算法性能。圖5和圖6展示了Setup、Genmess、Vermess、Gencert、Vercert和Trace 算法的時間開銷。其中，time 代表算法的運行時間。|.|代表數據長度。例如表示注冊中用于zk-SNARK 中驗證密鑰的長度。

圖5 Setup 和Gencert 算法的時間開銷

圖6 Genmess、Vermess、Vercert 和Trace 算法的時間開銷

1) Setup 算法在Merkle 樹深度為10 時，運行時間為180 s；深度為20 時，運行時間為295 s；深度為30 時，運行時間為401 s。

2) Genmess算法在Merkle 樹深度為10 時，運行時間為1 401 ms；深度為20時，運行時間為1 409 ms；深度為30時，運行時間為1525 ms。

3) Vermess算法在Merkle 樹深度為10 時，運行時間為50.7 ms；深度為20時，運行時間為52.6 ms；深度為30時，運行時間為53.3 ms。

4) Gencert算法在Merkle 樹深度為10 時，運行時間為53s；深度為20 時，運行時間為81 s；深度為30 時，運行時間為113 s。

5) Vercert算法在Merkle 樹深度為10 時，運行時間為46.9 ms；深度為20 時，運行時間為48.1 ms；深度為30 時，運行時間為48.3 ms。

6) Trace 算法運行時間與Merkle 樹深度無關，均為0.17 ms。

生成證明和驗證密鑰對的通信開銷如表3 所示。由表3 知，用于zk-SNARK 中的?mess的證明和驗證密鑰對(pkmess,vkmess)的大小分別為663 KB 和665 B。在樹深度為30 時，用于zk-SNARK 中的?cert的證明和驗證密鑰對(pkcert,vkcert)的大小分別為237 MB 和11 KB。zk-SNARK 中?mess和?cert的大小為341 B。

表3 生成證明和驗證密鑰對的通信開銷

設S為方案加密健康數據文件時選取的屬性集，為與用戶屬性私鑰相關的屬性集，分別為在群G1和G2上進行模冪運算消耗的時間，tp是雙線性配對操作消耗的時間。數據文件的加密解密與屬性私鑰和全局私鑰相關，能夠有效避免解密機構節點Ai之間的聯合攻擊。EHR 加密與解密時間開銷如圖7 所示。由圖7可知，方案加密數據的時間開銷與加密健康數據文件時選取的屬性集空間規模|S|成正相關，表達式為。而解密數據的時間開銷與屬性無關，表達式為。

圖7 EHR 加密數據與解密數據時間開銷

表4 EHR 加密數據與解密數據通信開銷

6 安全性證明

追溯算法的安全性證明主要通過節點身份證明的不可區分性來實現。攻擊游戲雙方分別是敵手A和挑戰者C，具有身份ID 的誠實用戶的行為由預言機Oid實現。假設實驗中的誠實用戶和敵手已經在注冊認證機構中成功注冊，可以生成任何身份證明。挑戰者C使用公共參數pp 初始化Oid。

Oid存儲用于生成注冊信息的秘密信息persenrol、用戶生成的一組身份證明以及用戶用來生成身份證明的一組證據certpers。Oid接受2 種不同的查詢，具體如下。

1) 查詢1。敵手不知道私人信息pers。Oid首先隨機選擇pers，生成公共信息conf 發布；然后，Oid調用Gencert算法以生成身份證明，并將發送給查詢者。

2) 查詢2。敵手知道私人信息pers，Oid首先使用pers 生成公共信息conf 發布，然后調用Gencert算法來生成身份證明，Oid將發送給查詢者。

攻擊游戲1Gameinden：身份證明不可區分

步驟1挑戰者C選取隨機值b∈{0,1}，通過運行Setup(1λ)獲得公共參數pp，并發送給敵手A。C初始化2 個獨立的預言機

步驟2敵手A發送一系列查詢。

步驟 3挑戰者C對于A的查詢回復為

步驟4查詢結束，A向C發送一個猜測b′∈{0,1}。如果b=b′，C輸出1，挑戰成功；否則，C輸出0。

身份證明的不可區分性要求敵手A以極低的概率贏得上述游戲。正式定義如定義1 所示。

定義1如果對于任意多項式時間敵手A，方案都滿足身份證明的不可區分性，則敵手A存在可忽略優勢εinden，使

定理1假設完全為零知識，加密方案Enc 滿足IND-CCA2 安全性，則本方案滿足身份證明不可區分性。

證明下面通過一系列混合游戲證明定理1。令Qm為敵手A發送的查詢數。定義一組游戲如下。

Gamereal表示真實的IND-CCA2 游戲設置。

Game0與Gamereal除了挑戰者C將模擬方案之外，其他設置相同。挑戰者C調用多項式時間模擬器Snizk(λ,ACcert)獲得證明和驗證密鑰對(pkcert,vkcert)以及門限trap。由于本文方案完全是零知識，因此模擬?cert的分布與證明在Gamereal中計算。因此，

只需要證明不存在多項式時間的敵手A能夠以可忽略的概率區分Game0和Game1。

基于對每個查詢密文的標準混合參數，可以得出結論，在實驗的隨機性上，C′必須以至少的優勢在IND-CCA2 實驗中成功。因此，

證畢。

定理2如果q-BDHE 假設成立，則方案在隨機預言機模型下是自適應安全的。

證明假設敵手任意選擇訪問結構(M′,ρ′)，其中M′的列數為n′，且n′＜q。

詢問預言機Odkg，挑戰者C響應敵手的詢問。

7 結束語

本文針對EHR 在分布式存儲中的密鑰管理及用戶身份追溯問題，提出了一種基于區塊鏈的分布式EHR 細粒度可追溯方案；結合變色龍哈希和zk-SNARK 證明技術實現了鏈上節點的注冊與身份證明的生成，從而能夠對鏈上用戶的追溯。此外，本文通過設置多個解密機構節點聯合分發用戶節點的屬性私鑰，消除了分布式系統中密鑰管理的單點故障問題，設計的分布式密文策略的屬性基加密方案實現了安全細粒度的訪問控制。安全性證明表明，本文方案在隨機預言機模型下是自適應安全的。理論分析和實驗結果表明了本文方案在電子健康數據傳輸和共享方面是可行且實用的。