一種高效安全的密文電子病歷多關鍵字檢索方案

鄧 蘭 徐 進

(華中科技大學同濟醫學院附屬同濟醫院 武漢 430030)

1 引言

隨著醫療信息化建設和醫藥衛生體制改革的推進，電子病歷得到廣泛應用。云計算技術的日益成熟和醫療數據互聯互通需求增強，促使電子病歷存儲在云服務器成為醫療信息化未來發展趨勢。云存儲應用既方便多方機構存儲和交換數據，又能大幅節省醫院構建和維護獨立數據庫的開支。電子病歷作為醫療衛生信息的主要載體包含大量有價值信息，如患者身份信息、聯絡方式、治療信息等，通過網絡存儲和傳輸時存在隱私泄露、非法訪問等隱患[1]，一旦電子病歷信息被泄露可能會給患者和醫院帶來較大損失[2]，影響醫患關系。目前對電子病歷安全性和隱私性的保護措施主要包括身份認證[3]、操作日志、數據脫敏[4]、數據加密[5-6]等。其中數據加密是保護電子病歷安全性的重要手段，一經加密即使黑客非法竊取也難以解密獲取信息。然而數據保密性與可用性之間難以平衡[7]是電子病歷加密存儲難以推廣的重要原因，主要表現在電子病歷加密后難以對其進行檢索。電子病歷數據一經加密，檢索時需要對整個數據庫解密，計算和通信成本過高。本文提出一種對密文電子病歷進行關鍵字檢索的方案，利用布隆過濾器和k最鄰近(k-Nearest Neighbor,kNN)加密等工具，將可搜索加密中的正向和反向索引相結合，構造一個兩級索引，使用戶能夠對密文電子病歷進行多關鍵字檢索且檢索效率較高，從而平衡電子病歷的保密性與可用性，使電子病歷密文存儲成為可能。

2 基礎知識

2.1 可搜索加密

2.1.1 概述 2000年Song D X、Wagner D和 Perrig A提出可搜索加密問題[8]，2004年Dan B、Crescenzo G D和Ostrovsky R 等[9]提出可關鍵字檢索的公鑰加密(Public-Key Encryption with Keyword Search，PEKS)概念并提出第1個PEKS方案?？伤阉骷用茏钤鐟糜诩用茈娮余]件的關鍵字檢索，隨著云計算的興起，其在云存儲領域得到廣泛研究[10-12]?？伤阉骷用苁褂脩裟軌蛟诓蝗肯螺d并解密數據且不讓云服務器獲取數據和關鍵字明文的前提下對數據進行關鍵字檢索。

2.1.2 基于索引的方案 較常用的可搜索加密方案[13]，即通過為數據額外生成1個安全索引，索引中記錄關鍵字與數據的對應關系，從而實現關鍵字檢索功能。索引分為正向和反向索引。正向索引是由數據條目指向關鍵字，優點是便于更新，缺點是在檢索某個關鍵字時需要掃描整個索引，檢索效率較低。反向索引則為每個關鍵字存儲1個數據id列表，檢索時可以直接獲取某個關鍵字的檢索結果，效率較高，但索引更新較麻煩且不便于支持多關鍵字檢索。

2.1.3 多關鍵字檢索 即搜索同時包含多個關鍵字的數據，考慮到數據量龐大，支持多關鍵字檢索是提高檢索效率、準確性和使用友好度的必要功能。

2.2 布隆過濾器

2.2.1 概述 布隆過濾器由Bloom B H[14]于1970年提出并由Eu-jin Goh[15]首先應用于可搜索加密中。布隆過濾器使用1個0、1數組代表集合S，S中的每個元素都通過k個哈希函數映射數組中的k個位置，這些位置被設為1，其他位置則為0。當檢測1個元素是否屬于S時只需計算出該元素對應的k個位置并查看這些位置是否全為1即可，見圖1。

圖1 布隆過濾器原理

2.2.2 原理 集合S中包含x、y、z3個元素，每個元素通過3個哈希函數對應3個位置，這些位置全部被置為1，可得出代表集合S的布隆過濾器。為檢驗元素w是否存在于集合S中時，通過計算w的3個哈希值，也得到1個布隆過濾器。兩個布隆過濾器的內積為2，小于k=3，可知w并不屬于集合S。布隆過濾器具有查詢空間和時間效率較高的優點，因此可將其應用于密文電子病歷檢索，為每條電子病歷生成1個布隆過濾器，在實現電子病歷密文存儲的同時保留關鍵字檢索功能。

2.3 kNN加密

3 方案

3.1 系統模型

本系統成員包括電子病歷管理員、使用者以及云服務器。管理員將電子病歷加密并生成安全索引存儲到云服務器中。使用者檢索時只需發送關鍵字給管理員，由管理員使用密鑰生成該關鍵字對應的搜索憑證并回復給使用者，其中管理員和使用者之間的身份認證不在討論范圍。云服務器收到搜索憑證后將其與安全索引做一定計算即可得出搜索結果并返回給使用者，見圖2。在本方案中電子病歷加密和索引生成是分開的，電子病歷使用常規的對稱加密算法，如AES、SM1、SM4、SM7、祖沖之密碼等。

圖2 系統模型

3.2 方案算法

3.2.1 初始化 管理員生成方案所需密鑰包括偽隨機函數F()的密鑰K1、K2，以及kNN密鑰KkNN=(K,M1,M2)。對于每條電子病歷提取出若干關鍵字。對于每個關鍵字w，使用偽隨機函數F()和密鑰K1與其進行計算，得到tagw。使用F()和K2生成Kw，用Kw將w對應的每個病歷id加密成E(id)，與tagw構成1個反向索引。 對于每條電子病歷，用其包含的所有關鍵字生成1個布隆過濾器。對每個布隆過濾器使用kNN加密算法和密鑰KkNN將其加密，所有加密的布隆過濾器即構成正向索引。將索引1和2連同加密的電子病歷存儲到云服務器中，見圖3。

圖3 初始化流程

3.2.2 生成檢索憑證(圖4)

圖4 檢索流程

從需要搜索的多個關鍵字中挑選出1個，如x，使用偽隨機函數F()和密鑰K1對其進行處理得到tagx。使用F()和K2，生成關鍵字x的id加密密鑰Kx。使用哈希函數將需檢索的所有關鍵字映射到1個布隆過濾器中。使用kNN加密算法和密鑰Kknn對該布隆過濾器加密。將生成的搜索憑證即tagx、Kx和加密的布隆過濾器發送給云服務器。

3.2.3 密文檢索 云服務器先根據tagx，在索引1中找到關鍵字x對應的所有病歷id，使用Kx將其解密。對于每個病歷id，從索引2中獲取其對應的加密布隆過濾器，將搜索憑證中的加密布隆過濾器與每個id對應的加密布隆過濾器進行計算，得到的內積即是要搜索的關鍵字與每條電子病歷的相似度。將內積值大于某個閾值的密文電子病歷返回給使用者。

4 實踐與分析

4.1 概述

在真實病歷數據基礎上用實驗測試方案，方案可行性、安全性得到驗證。實驗證明該方案能夠實現對密文電子病歷的多關鍵字檢索功能，且檢索準確性和檢索效率較高。

4.2 安全性

由于信息均被加密存儲，攻擊者無法從索引中獲取信息。此外進行檢索時由于kNN加密中使用1個隨機數，每次生成搜索憑證都不相同，攻擊者無法判斷兩次搜索的關鍵字是否完全相同。通過模擬攻擊發現無法獲取病歷明文、關鍵字明文、未被檢索的病歷id、兩次檢索的關鍵字是否相同等關鍵信息，安全性得到保障。

4.3 時間和空間效率

表1 方案時間、空間成本

4.3.2 時間成本 耗時最長的步驟是索引生成，耗時與病歷數量成正比。由于索引只需生成1次且索引2的生成可分散到每份電子病歷提交時進行，因此是可接受的，更高性能的計算機可縮短生成時間。生成檢索憑證耗時恒定，基本可以忽略。關鍵字檢索耗時與被檢索第1個關鍵字對應的病歷數相關，與病歷總數無關，第1個關鍵字對應的病歷數越少檢索越快。根據方案時間、空間成本統計，檢索憑證的生成和檢索操作耗時較短，因此檢索效率得以保障。

4.3.3 通信成本 進行檢索時使用者和云服務器之間只需1輪通信且搜索憑證大小恒定，通信成本較低。

4.3.4 存儲成本 索引1的大小與關鍵字總數成正比，索引2的大小與病歷總數成正比，且由于加密后的布隆過濾器由大量浮點數組成，因此需要的存儲空間略多，但在云環境下這些存儲量是可接受的。此外還可通過適當減小布隆過濾器的長度來縮減索引大小。

5 結語

針對云環境下密文電子病歷無法進行關鍵字檢索的問題，基于布隆過濾器和kNN加密算法，結合正向和反向索引，提出一種安全高效且支持多關鍵字搜索的電子病歷加密方案，使電子病歷加密并存儲在云服務器、實現數據共享成為可能。此外檢索方案和電子病歷加密方案相互獨立，電子病歷可使用任何現有方案進行加解密，具有可部署性。目前該方案尚存在存儲成本有待降低等不足，需在未來研究中繼續完善。