輕量級可搜索醫療數據共享方案

殷新春，王夢宇，寧建廷

（1.揚州大學信息工程學院，江蘇 揚州 225127；2.揚州大學廣陵學院，江蘇 揚州 225128；3.福建師范大學計算機與網絡空間安全學院，福建 福州 350007；4.中國科學院信息安全國家重點實驗室，北京 100093）

0 引言

近年來，隨著云計算和物聯網技術的發展，電子醫療得到了人們的高度重視并處于迅猛發展的階段[1]。通過使用無線傳感器技術和通信網絡，可穿戴醫療設備可以實時采集患者的健康數據并遠程傳輸到云服務器（CS,cloud server）中，既節省了患者的時間和精力，也便于醫護人員了解患者的身體健康狀況并采取相應的診療措施。然而，由于數據中包含患者的身份、病癥和病史等隱私信息，一旦泄露會給患者帶來極大的安全隱患[1]。因此，患者的健康數據必須以密文的形式存儲在系統中。然而，在密態數據中進行檢索是困難的。因此，如何對加密數據進行檢索成為一項特別具有挑戰性的工作[2]。

一種簡單的解決方法是患者或者醫生提前下載數據到本地，解密后再一一檢索，但這種方式的效率太低。可搜索加密（SE,searchable encryption）[3-4]的提出有效地解決了這一問題。在可搜索加密系統中，數據所有者（DO,data owner）根據數據中的信息生成相應的索引，與加密數據一起存儲在云服務器中。當用戶訪問數據時，構建一個搜索令牌并將其提交給服務器。服務器利用搜索令牌執行搜索，但無法獲取除密文和索引外任何與搜索內容相關的信息。因此，可搜索加密使用戶可以在未解密數據的情況下搜索加密數據，既保證了數據的安全，也提高了檢索的效率。但部分傳統的可搜索加密方案[5-7]不支持細粒度訪問控制，并不適用于醫療數據共享的應用場景。例如，在日常生活中，每個醫生診治不同的患者，每個患者可以選擇不同科室和不同級別的醫生就診。因此，細粒度訪問控制在電子醫療系統中是非常必要的。

屬性基加密（ABE,attribute-based encryption）[8]可以有效地實現細粒度和非交互式的訪問控制機制。ABE 可以分為密鑰策略的屬性基加密（KP-ABE,key-policy attribute-based encryption）[9]和密文策略的屬性基加密（CP-ABE,ciphertext-policy attribute-based encryption ）[10]。在KP-ABE 機制中，訪問策略和屬性集合分別嵌入密鑰和密文中；在CP-ABE 機制中，訪問策略和屬性集合分別嵌入密文和密鑰中。相比之下，CP-ABE 更加適用于云存儲與細粒度數據共享。基于密文策略屬性基加密的關鍵字搜索（CP-ABKS,ciphertext-policy attribute-based encryption keyword searchable）方案在細粒度數據共享的基礎上實現了關鍵字搜索，可以滿足上述基本需求。Zheng 等[11]提出了一種可驗證的CP-ABKS 方案，該方案支持搜索驗證，但該方案采用效率較低的樹形結構且無法抵抗關鍵字猜測攻擊。Sun 等[12]提出了一種支持多用戶的可驗證CP-ABKS 方案，該方案支持用戶撤銷并被證明可以抵抗選擇關鍵字攻擊。在屬性基加密系統中，訪問策略用于指定用戶的訪問權限。在大多數屬性基加密方案中，為了實現解密操作，訪問策略通常需要顯式地附加到密文中。但是，訪問策略通常會包含一些敏感信息，云服務器或惡意用戶可能通過訪問策略推斷這些信息。然而，上述方案均不支持策略隱藏。

針對訪問策略可能會泄露數據所有者敏感信息的問題，Nishide 等[13]提出了一種支持部分策略隱藏的解決方案，使用多值通配符來表示所要隱藏的屬性，但該方案僅支持“與門”結構，靈活性差且計算開銷較大。為了提高訪問策略的靈活性，Lai等[14]采用線性秘密共享方案（LSSS,linear secret sharing scheme）結構，提出了一種基于合數階群的部分策略隱藏方案并證明該方案是完全安全的，但其運算效率不高。隨后，Cui 等[15]在Lai 等[14]方案的基礎上提出了一種基于素數階群支持訪問策略隱藏的方案，但該方案的計算開銷較大且不支持解密測試，解密效率較低。此外，上述方案均不支持關鍵字搜索。Qiu 等[16]提出了支持策略隱藏和抗關鍵字猜測攻擊的CP-ABKS 方案，并且該方案可以限制未授權用戶的搜索，但該方案未涉及數據加密，僅支持單個數據所有者。隨后，Wang 等[17]進一步提出了支持策略隱藏的可搜索和可撤銷的數據所有者屬性基加密方案，該方案將同一訪問策略嵌入密文和關鍵字中，實現多所有者數據共享。Miao 等[18]提出了支持多所有者合作且具備隱私保護的關鍵字搜索方案，該方案采用多所有者合作加密模式，支持策略隱藏和用戶追蹤。但上述3 種方案均是基于Nishide 等[13]方案實現的部分策略隱藏，采用“與門”結構且不支持大屬性域，訪問控制的靈活性和可擴展性較低。Zhang 等[19]采用交互式的在線隱私保護測試，提出一種針對屬性值猜測攻擊的部分策略隱藏方案，可以抵抗離線字典猜測攻擊，并且證明了Nishide 等[13]方案實際上無法抵抗離線字典猜測攻擊，側面說明Qiu 等[16]、Wang 等[17]和Miao 等[18]方案均無法抵抗離線字典猜測攻擊。

考慮到云服務器是不完全可信的，并且存在系統故障和黑客攻擊的安全隱患，用戶收到數據的完整性和正確性是有待驗證的。Miao 等[20]提出針對動態數據所有者的可驗證多關鍵字搜索加密數據方案，該方案支持搜索結果驗證，但驗證過程需要設置私人審計服務器，并且需要與服務器交互才可驗證。不僅增加了通信和計算開銷，且該方案不支持策略隱藏。

為了解決上述問題，本文提出了一種輕量級可搜索醫療數據共享方案，采用大屬性域、LSSS 結構和Intel SGX（software guard extension）技術，實現了關鍵字搜索、策略隱藏、數據驗證和抗離線字典猜測攻擊的功能。本文方案在降低計算開銷的同時，保證了數據的安全性。

本文主要研究工作圍繞系統的功能、開銷和安全3 個方面展開，具體內容如下。

1) 提高可擴展性和靈活性。本文方案支持大屬性域，系統不需要預先設定屬性域，不僅提高了訪問控制的可擴展性，也降低了系統在初始化階段的開銷。此外，本文方案采用LSSS 結構，相較于傳統的“與門”結構，具備更加靈活的訪問控制能力。

2) 降低開銷。本文方案實現了關鍵字搜索和策略隱藏的功能，將關鍵字與屬性值綁定，在執行數據搜索的同時驗證了用戶的解密能力，防止未授權用戶的訪問。相較于傳統的策略隱藏方案，本文方案不需要生成測試密文和測試密鑰即可驗證用戶的解密能力，降低了加密和密鑰生成階段的開銷，并且用戶只需要常數級的計算即可解密密文，適用于計算資源受限的用戶設備。此外，本文方案采用非交互式數據驗證，避免用戶與服務器的交互，降低了數據驗證的開銷。

3) 保障安全性。由于服務器可能會根據屬性名、應用場景等信息預設出一個離線字典，猜測出索引和搜索令牌所包含的屬性值和關鍵字。本文方案采用Intel SGX 技術，在系統中開辟一個安全容器Enclave，對數據進行重加密，改變了數據的結構，從而實現抗離線字典猜測攻擊，同時避免用戶與服務器在搜索過程中的交互，適用于可搜索加密方案。安全性分析證明了本文方案具備選擇明文攻擊不可區分（IND-CPA,indistinguishable choose plaintext attack）安全性并且可以抵抗離線字典猜測攻擊。

1 預備知識

1.1 訪問結構

1.2 雙線性映射

令G和GT為2 個階為素數p的循環群，g為群G的生成元，e:G×G→GT為雙線性映射，其中雙線性映射e滿足如下條件。

1) 雙線性：對于 g∈G,a,b∈Zp，有e(ga,gb)=e(g,g)ab。

2) 非退化性：e(g,g) ≠ 1。

如果群G上的計算和雙線性映射e:G×G→GT可以有效地執行，那么稱群G是一個雙線性群。注意到映射e是對稱的，因為e(ga,gb)=e(g,g)ab=e(gb,ga)。

1.3 LSSS

1.4 基于LSSS的部分隱藏結構

將一個屬性分為2 個部分，與矩陣Ml×n第i行相關聯，即Attri→{ci,vi}。其中，ci表示屬性名，vi表示屬性值。存在2 個映射函數ρ 和π。其中，ρ 可以將矩陣第i行映射到一個屬性名，即ρ (i) →ci；π 可以將矩陣第i行映射到一個屬性值，即 π (i) →vi。(Ml×n,ρ)是以明文形式存在于訪問結構中的，π 是被隱藏在密文中的。所以，((Ml×n,ρ ),π)作為本文方案的部分隱藏訪問結構。

1.5 困難性問題

2) CDH（computational Diffie-Hellman problem）假設

給定一個p階的乘法循環群G，g是G的生成元。隨機選擇2 個元素假設可表述為：通過來計算gab是困難的。

1.6 Intel SGX

IntelSGX是在原有Intel架構上擴展的一組新的指令集和內存訪問機制[21]，允許應用程序創建一個叫做Enclave 的隔離執行環境。Enclave 作為一個可信和安全的實體，用來存儲數據和執行代碼。Enclave具有3 個安全特性：隔離、密封和認證[22]。隔離限制了對硬件保護的內存區域的訪問，只有特定的Enclave 可以訪問它。同一處理器上的任何其他進程，甚至是操作系統、管理程序等其他外部實體，都不能訪問該內存。密封提供了一個將Enclave秘密加密到磁盤上的持久存儲的方法，以便即使Enclave 被拆毀也能檢索秘密。加密是使用特定Enclave 私有的密封密鑰執行的，除了完全相同的Enclave 之外，沒有任何進程可以對其解密或修改。認證可以使驗證者驗證檢測代碼是否在Enclave 內安全運行且未被修改。SGX提供2種身份認證方式，分別是本地認證和遠程認證[23]。本地認證用于同一平臺上的2 個Enclave 之間的認證，同一平臺上的2 個Enclave 可以使用它們之間共享的根密封密鑰派生一個共享密鑰。遠程認證使Enclave 能夠生成任何遠程實體都可以驗證的報告。

2 系統定義

2.1 系統模型

本文提出了一種的輕量級可搜索醫療數據共享方案。系統模型如圖1 所示，該模型由5 個實體組成：授權中心（AC,authorization center）、云服務器、Enclave、數據所有者和數據用戶（DU,data user）。每個實體在該系統中具有不同的分工，具體如下。

圖1 系統模型

授權中心。AC 是完全可信的，負責初始化系統公私鑰、發布密鑰。

云服務器。CS 是“誠實且好奇”的半可信服務器，負責存儲DO 的數據，處理DU 的搜索請求。CS 會按協議誠實地執行任務，但也會盡可能地收集用戶的敏感數據。

Enclave。Enclave 是完全可信的，是通過Intel SGX 技術在計算機內存中創建的一個隔離環境，即使是在不可信的主機上，它也可以安全地執行程序和保存數據。在本文方案中Enclave 被用來存儲系統主密鑰Msk 和重加密代碼Code。

數據所有者。DO 是誠實的，負責加密數據和關鍵字，并將加密后的數據和索引上傳到CS。

數據用戶。DU 是不可信的，被授權的DU 負責生成搜索令牌，解密共享數據，驗證解密的正確性。未授權的DU 可能會與其他用戶共謀，獲取自身無法訪問的數據。

2.2 算法定義

本文方案由以下7 種算法組成。

1) 系統初始化算法。Setup(λ ) → (Pk,Msk)：該算法由AC 執行，輸入安全參數λ，輸出系統公鑰Pk，保存系統主密鑰Msk。

2) 密鑰生成算法。KeyGen(Pk,Msk,S)→(Sko,Pko,Ku)：該算法由AC 執行，輸入系統公鑰Pk、主密鑰Msk、DU 的屬性集合S，輸出DO 的私鑰Sko、公鑰Pko和DU 的密鑰Ku，通過安全信道傳送給DU 和DO。

3) 加密算法。Encrypt(Pk,m,Sko,Λ,w)→(CT,Index)：該算法由DO 執行，輸入系統公鑰Pk、消息m、DO 的私鑰Sko、訪問策略Λ、關鍵字w，輸出密文CT 和關鍵字索引Index。

4) 重加密算法。ReEncrypt(Index,Msk)→Indexre：該算法由Enclave執行，輸入關鍵字索引Index和部分系統主密鑰Msk，輸出重加密索引Indexre。

5) 搜索令牌生成算法。T okenGen(Pk,w ′,Ku)→(Td,Sku)：該算法由DU 執行，輸入系統公鑰Pk、關鍵字 w ′、DU 的密鑰Ku，輸出搜索令牌Td 和DU 的私鑰Sku。

6) 搜索算法。Search(Indexre,Td) → CT or ⊥：該算法由CS 執行，輸入重加密索引Indexre、搜索令牌Td。如果搜索成功，輸出密文CT；否則，算法終止。

7) 解密算法。Decrypt(CT,Sku)→m or⊥：該算法由DU 執行，輸入DU 的私鑰Sku和密文CT，如果解密結果正確，輸出消息m；否則，算法終止。

2.3 安全模型

本文提出的方案具備選擇明文攻擊不可區分安全性和抵抗離線字典猜測攻擊安全性。

2.3.1 選擇明文攻擊不可區分安全性

通過攻擊者A和挑戰者C之間的安全游戲來定義選擇明文攻擊不可區分安全性模型，其詳細描述如下。

初始化階段。攻擊者A提交一個訪問策略和一個關鍵字w給挑戰者C。

系統建立階段。挑戰者C先運行Setup 算法，輸入安全參數λ，然后將公共參數Pk 發送給攻擊者A并保存主密鑰Msk。

查詢階段1。攻擊者A發起關于一系列屬性集和關鍵字集的密鑰和搜索令牌請求。挑戰者C運行KeyGen 和TokenGen 算法將生成的密鑰和搜索令牌發送給攻擊者A。其中，AS 的所有屬性集均不滿足訪問策略Λ 且

挑戰階段。攻擊者A向挑戰者C提交2 個等長的明文消息挑戰者C隨機投擲一枚硬幣利用訪問策略Λ、關鍵字w和消息mb，運行Encrypt 和ReEncrypt 算法生成密文CT、索引Index 和重加密索引Indexre，將CT 和Indexre發送給攻擊者A。

查詢階段2。與查詢階段1 相同。

猜測階段。攻擊者A輸出猜測b∈{0,1}。如果b′=b，攻擊者A將贏得游戲。

2.3.2 抗離線字典猜測攻擊安全性

離線字典猜測攻擊通常是針對關鍵字或屬性值發起的。在本文方案中，關鍵字和屬性值是嵌入關鍵字索引和搜索令牌中的。所以，攻擊者會針對這兩部分發起離線字典猜測攻擊。首先，攻擊者在多項式時間內找到一個判別式。然后，攻擊者將離線字典中的關鍵字和屬性值放入判別式中，以檢查判別式是否成立。如果成立，說明攻擊者可以打破抗離線字典猜測攻擊安全；否則，說明本文方案具備抵抗離線字典猜測攻擊安全性。

3 方案設計

本文方案所涉及的符號定義如表1 所示。

1) Setup(λ )。該算法由AC 執行。首先，該算法輸入安全參數λ，輸出一組雙線性對密碼參數(G ,GT,e, p ,g ,g1)，其中G和GT是階為素數p的乘法循環群，e是一個雙線性映射，g,g1是群G的2 個生成元。然后，該算法隨機選擇 α,a ,d ,e, k ,z∈Zp和2 個哈希函數 H:{0,1}*→G ,H1:{0,1}*→Zp，計算系統公鑰和系統主密鑰分別為

表1 符號定義

AC 公布Pk，保存Msk 并將其中的z預存在Enclave 中。

2) KeyGen(Pk,Msk,S)。該算法由AC 執行，分別為DO 和DU 生成相關的密鑰。

如果上述等式成立，說明結果正確，輸出消息m；否則，算法終止。

4 安全性分析

4.1 選擇明文不可區分安全性證明

定理1如果q-parallel BDHE 假設成立，則本文方案是選擇明文不可區分安全的。

證明假設存在一個PPT 攻擊者A，具有不可忽略的優勢AdvA攻破本文方案。利用q-parallel BDHE假設條件構建一個與攻擊者A在安全游戲中交互的挑戰者C。在存在攻擊者A的情況下，證明挑戰者C在打破q-parallel BDHE 假設方面具有不可忽略的優勢。

最后，挑戰者C將密鑰發送給攻擊者A。

搜索令牌查詢。攻擊者A選取一個關鍵字wx∈W向挑戰者發起搜索令牌請求。挑戰者C隨機選擇θ∈Zp，計算搜索令牌

挑戰階段。攻擊者A提交2 個等長消息m0和m1給挑戰者。挑戰者C隨機選擇b∈{0,1}，利用訪問策略Λ、關鍵字w對mb進行加密處理。挑戰者C隨機選擇 γ∈Zp，計算密文

如果T=R，攻擊者A不知道關于m0或m1的任何信息。所以，

所以，如果存在一個攻擊者A可以在多項式時間打破本文方案的安全游戲，那么存在一個挑戰者C 能夠打破q-parallel BDHE 假設。證畢。

4.2 抗離線字典猜測攻擊安全性證明

本節將分別從關鍵字索引和搜索令牌進行抗離線字典猜測攻擊安全性分析。其中，屬性{ci,vi}和關鍵字 w ′均是離線字典中的元素，云服務器看作攻擊者。

定理2如果CDH 假設成立，則本文方案可以抵抗針對關鍵字索引的離線字典猜測攻擊。

5 性能分析

為了評估本文方案的性能，分別從功能、計算開銷和存儲開銷3 個方面與均支持策略隱藏的Zhang等[19]、Wang 等[17]和Miao 等[18]的方案進行了對比。

5.1 功能比較

本節從功能方面進行對比，如表2 所示。其中，F1、F2、F3、F4、F5、F6分別代表關鍵字搜索、大屬性域、訪問結構、解密驗證、抗離線字典猜測攻擊、恒定解密開銷。

表2 功能比較

從表2 中可以看出，Wang 等[17]和Miao 等[18]的方案支持關鍵字搜索，但這2 種方案并不具備其他功能而且采用“與門”結構。本文方案與Zhang等[19]方案都采用大屬性域和LSSS 結構，支持解密驗證和抗離線字典猜測攻擊，但是Zhang 等[19]和Wang 等[17]方案的解密開銷與用戶屬性數量相關，而Miao 等[18]方案的解密開銷與數據所有者合作人數相關，相比之下本文方案支持恒定解密開銷，更加適用于計算資源受限的用戶設備。

5.2 計算開銷

本節將分別從理論和實驗方面分析本文方案的計算開銷。本文方案中主要涉及一些計算操作，E1,E2,ET分別代表群G1,G2,GT上的指數運算，P代表雙線性配對運算。此外，ni代表每個屬性的候選值個數，n代表屬性個數，I代表訪問矩陣行數，d代表數據所有的合作人數。此外，經過1 000 次測試取平均值，在單位計算開銷上ET＜ P＜E1＜E2，具體單位時間開銷如表3 所示。

表3 單位時間開銷

1) 表4 分別統計了本文方案與其他方案在系統初始化、加密、重加密、密鑰生成、搜索令牌生成、關鍵字搜索和解密7 個階段的計算開銷。在系統初始化階段，Wang 等[17]和Miao 等[18]方案的計算開銷是與系統屬性個數n和每個屬性候選值個數ni相關的，而本文方案與Zhang 等[19]方案均是基于大屬性域的。所以，此階段的計算開銷是恒定的常數級，遠小于前2 種方案。此外，本文方案在此階段的計算開銷也略小于Zhang 等[19]方案。在密鑰生成階段，本文方案的計算開銷相比其他對比方案至少降低了nE1。本文方案加密階段包括數據加密和索引加密。在此階段中，由于Miao 等[18]方案的計算開銷與數據所有者的合作人數d相關，與本文方案側重點不同，所以不進行對比。與Zhang 等[19]和Wang等[17]方案相比，本文方案的加密開銷比Wang等[17]方案小IE1左右，比Zhang等[19]方案小2IE1左右。在搜索令牌生成階段，本文方案的計算開銷同樣比其他方案小nE1左右。由于本文方案采用LSSS結構，在重構秘密值的過程中涉及指數運算，所以本文方案在搜索階段的計算開銷比其他2 種方案高(n-1)ET。不過，從表3 中可以看出，ET的計算開銷較小。所以，在搜索階段所增加的開銷是可以接受的。最后，Zhang 等[19]和Wang 等[17]方案在解密階段計算開銷與用戶屬性個數n相關，Miao 等[18]方案與數據所有者合作人數d相關，而本文方案的開銷是恒定的常數級，具有明顯的優勢。

2) 為了更直觀地了解本文方案的性能，本文在2.5 GHz 主頻、Intel(R) i5-7300HQ 處理器、16 GB內存、Win10 操作系統的筆記本上基于Java 配對加密（JPBC,Java pairing-based cryptography）庫，采用A型奇異曲線 y2=x3+x進行仿真實驗。在實驗中，屬性個數n和矩陣行數I取值范圍為[0,50]，屬性候選值個數ni=5。由于Miao 等[18]方案在加密、密鑰生成和解密階段均涉及數據所有者合作人數d，該變量在其他方案中并不包含，在實驗中不便對比。所以，這3 個階段的實驗僅與其他2 種方案進行對比。為了便于更精確地分析各種方案的開銷，表5 給出了在 n=50、I=50、d=1時本文方案和對比方案的各階段和整體時間開銷。

系統初始化時間開銷如圖2 所示，在系統初始化階段，Miao 等[18]和Wang 等[17]方案的時間開銷與屬性個數呈線性增長趨勢，而本文方案和Zhang 等[19]方案的時間開銷一直處于常數狀態，并且開銷是非常低的。結合表5 可以看出，當n=50時，Miao 等[18]和Wang 等[17]方案的時間開銷分別為2 776.9 ms 和2 885 ms，而本文方案和Zhang 等[19]方案的時間開銷分別為35 ms 和57.6 ms。所以，本文方案在系統初始化階段具有明顯的優勢。

圖2 系統初始化時間開銷

加密時間開銷如圖3 所示，在加密階段，本文方案與Zhang 等[19]和Wang 等[17]方案的時間開銷都隨著共享矩陣行數的增加而增加。相比之下，本文方案的增長速度是最低的，明顯低于其他方案。結合表5 可以看出，當I=50時，本文方案時間開銷為1 738.4 ms，而Zhang 等[19]和Wang 等[17]方案的時間開銷分別為2 905.2 ms 和2 264.9 ms，明顯高于本文方案。因此，本文方案在加密時間開銷上是優于這2 種方案的。

表4 計算開銷比較

表5 各階段和整體時間開銷

圖3 加密時間開銷

密鑰生成時間開銷如圖4 所示，在密鑰生成階段，Zhang 等[19]和Wang 等[17]方案的時間開銷相近，本文方案相對較低。結合表5 可以看出，當n=50時，Zhang等[19]和Wang 等[17]方案的時間開銷分別是1 173.9 ms和1 118.8 ms，本文方案的時間開銷為618.5 ms，相比之下，本文方案的時間開銷幾乎是對比方案的

圖4 密鑰生成時間開銷

搜索令牌生成時間開銷如圖5 所示，在搜索令牌生成階段，Wang 等[17]與Miao 等[18]方案的時間開銷相近，本文方案相對較低。結合表5 可以看出，當n=50時，本文方案的時間開銷為589.3 ms，其他方案的時間開銷分別是1 133.6 ms 和1 151.2 ms，幾乎是本文方案的2 倍。

搜索時間開銷如圖6 所示，在搜索階段，本文方案的時間開銷與Wang 等[17]和Miao 等[18]方案相近。結合表5 可以看出，當n=50時，Wang 等[17]和Miao等[18]方案的時間開銷分別是669.5 ms 和652.4 ms，本文方案是700.8 ms，僅相差不到50 ms。

圖5 搜索令牌生成時間開銷

圖6 搜索時間開銷

解密時間開銷如圖7 所示，在解密階段，Zhang等[19]和Wang 等[17]方案的時間開銷隨著屬性個數增加明顯增加。結合表5 可知，當n=50時，Zhang等[19]方案的時間開銷是694 ms，Wang 等[17]方案的時間開銷是652 ms，而本文方案是38.1 ms 且恒定不變，相比之下本文方案在此階段的計算上更加高效。

圖7 解密時間開銷

最后，從表5 中可以看出，當 I=n=50時，本文方案的整體時間開銷是4 280.2 ms，而Wang 等[17]方案是8 676.7 ms，是本文方案的2 倍以上。此外，即使當d=1時，Miao 等[18]方案開銷的總和也達到了7 001.5 ms，明顯高于本文方案，并且隨著數據所有者合作人數d的增加，Miao 等[18]方案部分階段和整體的開銷還會增加。所以，本文方案在整體開銷上是占優的。

表6 存儲開銷

綜上所述，本文方案僅在搜索階段的開銷略高于其他對比方案，但在其他階段具有一定的優勢，整體開銷也低于其他方案。特別是在初始化階段和解密階段，本文方案的開銷都是恒定的常數級，極大地減輕了授權中心和用戶的計算負擔，適用于輕量級的醫療用戶設備。

5.3 存儲開銷

本節將分析方案在存儲開銷上的表現。其中|G1|,|G2|,|GT|,|Zp|分別表示群G1,G2,GT,Zp上 元素的大小，并且在A型奇異曲線 y2=x3+x下，|G1|=|G2|=|GT|。表6 分別給出了本文方案與Zhang等[19]、Wang 等[17]和Miao 等[18]方案在系統公鑰、系統主密鑰、私鑰、搜索令牌、密文與索引上的存儲開銷。

從表6 中可以看出，本文方案的系統公鑰和系統主密鑰存儲開銷是恒定的，分別只需要的存儲開銷，與Zhang等[19]的方案相近，明顯小于Wang 等[17]和Miao 等[18]的方案。在私鑰存儲上，本文方案只需(n+4)|G1|+|Zp|的存儲開銷，而其他方案均大于2 n |G1|，幾乎是本文方案存儲開銷的2 倍。在搜索令牌存儲上，因為，|G1|=|G2|，所以Wang 等[17]和 Miao 等[18]的方案存儲開銷相等，均是(2 n+1)|G1|+|Zp|，而本文方案的存儲開銷為(n+2)|G1|，比這2 種方案減少了一半左右。最后，在密文與索引存儲方面，本文方案的存儲開銷為(2 I+2)|G1|+2 |GT|，而其他方案存儲開銷均大于本文方案，特別是Wang 等[17]的方案幾乎是本文方案的2 倍。

6 結束語

本文提出了一種輕量級可搜索醫療數據共享方案，在保障用戶隱私和數據安全的同時提高了效率。在功能上，本文方案支持關鍵字搜索、部分策略隱藏和數據驗證，便于用戶在加密數據中檢索目標文件，同時保障了數據所有者的隱私和數據安全。在性能上，本文方案采用大屬性域、LSSS 結構和Intel SGX 技術，提高了系統的可擴展性和訪問結構的靈活性，加強了系統的安全性。此外，本文方案還實現了常數級的解密計算，適用于輕量級的醫療設備。最后，本文證明了方案具備選擇明文攻擊不可區分和抗離線字典猜測攻擊安全性。在未來的工作中，期望進一步提高方案的搜索效率。