在線問診環境下細粒度雙邊訪問控制方案

李藝昕，張應輝，胡凌云，鄭 東，3

1.西安郵電大學 網絡空間安全學院，西安 710121

2.西安郵電大學 無線網絡安全技術國家工程實驗室，西安 710121

3.衛士通摩石實驗室，北京 100070

云存儲[1]憑借其便捷、存儲空間大、低成本、自動容錯等一系列的優點，被廣泛應用在個人健康記錄（personal health records，PHR）系統中，越來越多的患者選擇將自己的電子病歷存儲至云服務器上。然而，云存儲存在著許多問題。首先，云服務器并非完全可信，云服務器可能會在用戶不知情的情況下篡改、刪除用戶存儲在云端的隱私數據，導致數據不完整。其次由于云存儲是集中式存儲，即由一臺或多臺計算機組成中心節點負責集中存儲數據信息，因此中心節點一旦遭受攻擊，將會造成數據信息的泄漏，存在較大的安全隱患。

近年來，星際文件系統（interplanetary file system，IPFS）得到了廣泛的研究與應用。IPFS[2]是一個全球的、點對點分布式文件系統。在IPFS系統中，內容會分塊存放，并分散存儲在IPFS 系統中的節點上。系統會根據文件的內容分塊生成不同的哈希值，對所有的哈希值再次進行哈希，從而得到最終的哈希值。當文件的內容發生改變時，生成的哈希值也會隨之改變，這樣可以確認要訪問的文件是否被經過篡改。由于IPFS采用的是分布式存儲，文件被存儲在不同的網絡節點之中，有效避免了分布式拒絕服務攻擊。文件可以同時從多個網絡節點之間同步進行下載，大大提高了通信的效率。IPFS提高了存儲空間的利用率，減少網絡帶寬，實現了彈性擴展，降低了運營成本從而避免了資源的浪費[3]。

隨著互聯網技術在各行各業的不斷滲透，醫療行業也逐漸地尋求改變，在線醫療健康技術使得病人可以更快捷方便地獲取醫療衛生信息資源，也為醫護人員提供了知識共享的場所。越來越多的病人選擇在線咨詢自己的病情，在線問診這一技術在一定程度上促進了醫學的進步。而由于互聯網具有開放性、共享性、交換性、受眾性，病人的病歷信息可能發生泄露的風險，嚴重威脅到病人的隱私，并且醫護人員針對數以億計的互聯網用戶，無法做到針對性地解決某些或者某個病人的病情。上述問題在當前在線問診技術迅猛發展的如今成為了一個具有挑戰性的問題。

在現有的解決方案中，病人上傳自己的病歷后，可以通過控制訪問策略有條件地選擇將自己的病歷信息授權給相關的醫護人員讀取下載，而醫護人員往往需要從眾多被授權的病歷中篩選出自己需要進行問診病人的病歷，這樣使得醫護人員的工作效率極大降低，嚴重影響了病人的治療。此外，在病歷上傳或者下載讀取的過程中，可能會發生數據篡改、刪除、泄漏等威脅到患者隱私的問題。因此，如何在保證患者隱私安全的前提下，使醫護人員針對性地選擇病人的病歷從而減輕工作負擔是當前研究中一個具有挑戰性的問題。

1 相關研究

數據加密技術近年來得到較多的關注，包括同態加密、可搜索加密、屬性基加密、廣播加密等[4]，其中屬性基加 密[5（]attribute-based encryption，ABE）應 用 最 為 廣泛。ABE實現了一對多加、解密，在屬性加密中，身份被看作是一組屬性，當用戶所具有的屬性集滿足加密者所制定的訪問控制策略時，用戶則可對加密數據進行解密。ABE的概念首先由Sahai和Waters在文獻[6]提出，用戶的身份信息被看作一組屬性。隨后，Waters 等人[7]提出了用戶具有多個屬性這一特性，根據此特性，推廣出了基于密文策略的屬性加密（ciphertext policy attribute based encryption，CP-ABE）方案，即訪問控制策略與密文相互關聯，而用戶的屬性集被嵌入加密密鑰之中。Goyal 等人[8]又提出了基于密鑰策略的屬性加密（key policy attribute based encryption，KP-ABE），在該方案中，密文與用戶的屬性集相互關聯，而訪問控制策略被嵌入加密密鑰之中。Cheung 等人[9]利用“與門”的訪問控制策略，第一次在DBDH假設下證明了CP-ABE的安全性。Bhartiva 等人[10]提出了屬性基模糊簽名加密，將屬性基加密技術用于移動醫療傳感網中，對數據進行訪問控制，但由于采用了簽名技術，導致運行效率較低。Attrapadung 和Imai[11]提出了雙重策略ABE，在該方案中，發送方通過選擇訪問控制策略和一組屬性對消息進行加密，接收方可以使用一個描述接收方策略和屬性的解密密鑰來解密密文，但這樣僅僅保護了明文的安全性。Attrapadung 和Yamada 提出了文獻[12]，該方案中，若解密不成功，則有可能會泄漏發送方的隱私。隨后，Ateniese等人[13]提出了匹配加密，將屬性基加密與簽名算法相互結合，降低了計算效率。Xu 等人[14]基于KP-ABE 與文獻[13]提出了云霧計算下的雙邊訪問控制，接收方也可以通過制定訪問控制策略來解密符合自己要求的密文，但在加密過程中，由于密文與屬性相關聯導致計算效率較低。苗田田等人[15]所提出的方案僅僅保護了發送方的隱私安全，無法提高接收方的工作效率。

區塊鏈技術在多個領域得到了廣泛的研究與應用。區塊鏈是一個分布式賬本，它是以區塊為單位構成的鏈式結構，每一個區塊由區塊頭和區塊體兩部分所構成。區塊鏈具有去中心化、不可篡改、可追溯等特點[16-17]。區塊鏈技術可以在不依賴第三方可信機構的情況下建立點對點的可信價值傳遞，可以降低信任成本，提高交互效率。但由于區塊鏈公開透明的特點，存儲在區塊鏈中的數據會遭受隱私泄漏的風險，具有一定的威脅性。同時，存儲在區塊鏈中的數據缺少靈活的訪問控制，例如：在基于區塊鏈的醫療系統中，病人可以選擇將自己的病歷信息發布在區塊鏈中，但由于病人的病歷信息屬于隱私信息，只有經過授權的醫護人員才可以讀取訪問，因此需要對此類隱私信息進行安全保護并給予靈活的訪問控制[18]，保證被授權的醫護人員可以安全掌握病人的全部病歷信息。Zheng 等人[19]提出了一種基于IPFS的比特幣網絡存儲機制。數據信息被存儲在IPFS系統中，并且由IPFS 系統生成的哈希值被存儲在區塊鏈的塊中以減少存儲空間。Xu等人[20]提出了一種基于以太坊和IPFS 的社交網絡系統，該系統允許用戶上傳他們的文件，如圖片或音頻到IPFS 系統進行存儲。Pham 等人[21]提出了一個結合IPFS 系統，屬性基加密以及區塊鏈的分布式存儲系統。邵奇峰等人[16]將區塊鏈與ABE 進行結合，解決了區塊鏈中保護數據隱私的問題。Wang等人[22]提出IPFS存儲系統與ABE結合，并且引入可搜索技術使接收方工作量增加。

在目前現有方案中，主要存在以下問題：

（1）只有發送方可以通過制定訪問控制策略對接收方進行選擇，接收方需要從大量的密文中逐一識別檢索出自己所需要的數據，嚴重地降低了接收方的工作效率。

（2）大多數發送方將加密后的數據上傳至云服務器，云服務器是一個獨立的實體，由于其自身價值，經常會遭受黑客攻擊，存在數據泄露的風險，嚴重威脅到了用戶的隱私安全。

（3）上傳至存儲系統的數據，可能會發生被篡改或者刪除等一系列惡性操作，從而無法保證數據的完整性，嚴重影響到了原始數據的正確性。

針對上述問題，本文提出了一個適用于在線問診環境下的支持細粒度雙邊訪問控制的CP-ABE 方案。本方案利用屬性基加密技術，不僅發送方可以制定訪問控制策略來篩選滿足條件的接收方，并且也允許接收方制定訪問控制策略來對密文進行篩選，接收方僅僅只需要解密滿足自己訪問控制策略的密文，不需要逐一對大量密文進行解密來選取需要的數據，這樣極大地減少工作量。并利用IPFS存儲系統根據數據內容分塊生成哈希值的特點，會將加密后的電子病歷生成唯一的哈希字符串，將其視作加密病歷的存儲“地址”，并將這串“地址”存放在區塊鏈中，利用區塊鏈的不可篡改性保證數據不會被進行篡改、刪除，確保了數據的完整性。

本文貢獻如下：

（1）細粒度的雙邊訪問控制：病人加密自己的病歷并制定相應的訪問控制策略，只有屬性滿足該訪問控制策略的醫護人員才有權查看病歷信息。而醫護人員也制定相應的訪問控制策略，只有病人的屬性滿足該訪問控制策略，其病歷才可以被經過授權的醫護人員讀取下載。提高了醫護人員的工作效率，減少了病患就診的時間。

（2）隱私安全的保護：病人將加密后的病例上傳至IPFS系統，將得到唯一的一串哈希字符串，即加密病歷的存儲“地址”。本文利用IPFS 存儲加密后的病歷，將得到的哈希字符串使用ABE 加密后存儲至區塊鏈，確保了數據不會被篡改或刪除。只有醫護人員的屬性滿足病人所設置的訪問控制策略，才可以解密存儲在區塊鏈中的IPFS 地址，從而在IPFS 系統中下載病歷進行解密，讀取數據。保證了病患的隱私信息不會被泄露以及篡改。

（3）數據的完整性保護：加密后的數據上傳至IPFS系統，由于IPFS 的性質，一旦數據發生更改，生成的哈希值也會隨著發生變化，可以確保數據的原始性。將生成的哈希值存儲至區塊鏈之中，由于區塊鏈具有不可篡改性，可以保證數據的完整性。

2 預備知識

2.1 雙線性映射

假設G、G0是兩個階為素數p的循環群，g是群G的生成元，定義一個可有效計算的雙線性映射e:G×G→G0，該映射必須滿足如下性質：

（1）雙線性：對于任意的兩個數a,b∈Zp，存在e(ga,gb)=e(g,g)ab。

（2）非退化性：對于群G的生成元g，有e(g,g)≠1。

（3）可計算性：對于所有的g1,g2∈G，均存在多項式時間算法計算e(g1,g2)。

2.2 訪問結構

假設{S1,S2,…,Sn} 是由n個屬性組成的集合，訪問結構? 是指由{S1,S2,…,Sn} 的非空子集組成的集合，即為? ?2{S1,S2,…,Sn}{? } 。若集合D∈? ，則稱D為授權集合，若集合D?? ，則稱D為非授權集合。訪問結構? 是單調的，對于任意集合B和C，若B∈? ，B?C，則有C∈? 。

2.3 線性秘密共享方案

線性秘密共享方案（linear secret sharing scheme）的定義是參與實體集合P上的一個密鑰共享方案若滿足以下兩個條件，則稱Π為定義在ZP上的線性秘密共享方案：

（1）一個參與實體所具有的秘密份額都可以構成ZP上的向量。

（2）每個LSSS 的Π都對應一個l行n列的生成矩陣M，映射函數ρ：{1,2,…,l} →P將M中的每一行(i=1,2,…,l)映射到參與實體ρ(i)，隨機選取v={s,l2,…,ln} ∈Zp，s∈ZP是需要共享的秘密，那么Mv是根據Π得到的關于s的l個共享組成的向量，λi=(Mv)i表示秘密值s的第i個秘密份額，并分配給參與實體ρ(i)。

線性秘密共享方案具有線性重構的性質。假設Π是訪問策略A的一個線性秘密共享，設訪問授權集合S∈A，均存在一個常數{wi∈Zp}i∈I，使得成立，其中I={i:ρ(i)∈S} 。

2.4 困難問題

判定性雙線性Diffie-Hellman（DBDH）問題。假設a,b,c,z∈Zp，g是階為p的乘法循環群G的生成元。DBDH 問題定義為：區分兩個四元組(A=ga,B=gb,C=gc,D=e(g,g)abc)與(A=ga,B=gb,C=gc,Z=e(g,g)z)。如果對于多項式時間內解決DBDH 的概率是可以忽略的，那么就DBDH問題是困難的。

3 模型定義

本章主要對系統模型、安全模型進行詳細的介紹。

3.1 常用符號

表1 中顯示了在線問診環境下細粒度雙邊訪問控制方案中的常用符號。

表1 系統常用符號Table 1 Common symbols in system

3.2 系統模型

在系統模型中，主要介紹了在線問診環境下細粒度雙邊訪問控制方案的各個參與實體，各個參與實體的功能與特點以及各個參與實體之間的交互流程。各參與實體的特點和功能說明具體如下：

本方案系統中具體包括5 個實體，密鑰生成中心（key generation center，KGC）、病人、醫護人員、IPFS、區塊鏈。系統模型如圖1所示。

圖1 系統模型圖Fig.1 System model diagram

各實體的功能詳細說明如下：

（1）KGC：密鑰生成中心主要負責為系統生成公開參數以及主密鑰，并將密鑰秘密的分發給病人與醫護人員。

（2）病人（patient）：病人將自己加密后的電子病歷上傳至IPFS系統，獲得訪問路徑L，并對L再次進行加密；病人制定醫護人員需滿足的訪問控制策略，并將自己的屬性集合、制定的訪問控制策略、發布時間以及加密后的路徑L上傳至區塊鏈。

（3）醫護人員（medical staff）：醫護人員將自己的屬性集合、訪問時間，以及病人需要滿足的訪問控制策略上傳至區塊鏈；在滿足醫護人員的屬性集合與病人所制定的訪問控制策略匹配的條件下，病人的屬性集合同時也需滿足醫護人員所制定的訪問控制策略時，醫護人員則可解密獲得路徑L，并根據L從IPFS 中下載對應的密文，從而解密獲得密文。

（4）IPFS：病人上傳加密后的病歷至IPFS 系統后，通過文件內容獲得一串獨立的哈希字符串來標識文件，這串哈希字符串可被看作是病歷的存儲“路徑”。

（5）區塊鏈：病人將病歷加密后存儲至IPFS 系統，將獲得的存儲“路徑”加密后保存在區塊鏈之中。

3.3 安全模型

在安全模型中，將描述隨機諭言機模型中的選擇明文攻擊下的不可區分性，來抵御發送者猜測攻擊，合謀攻擊。

通過一個攻擊游戲來定義支持細粒度雙邊訪問控制的CP-ABE方案的安全模型。

（1）初始化：攻擊者A 選擇想要挑戰的訪問結構，并提交給挑戰者B。

（2）系統建立：挑戰者B 執行本文方案中的Setup算法，將生成的公鑰發送給攻擊者A 。

（3）詢問階段1：攻擊者A 可以詢問某個屬性集合所對應的密鑰，要求該屬性集合不滿足訪問控制策略。挑戰者B 運行密鑰生成算法后，將生成的密鑰發送給攻擊者A 。

（4）挑戰階段：攻擊者A 向挑戰者B 提交相等長度的消息以及挑戰屬性集合，要求該挑戰屬性集合在詢問階段1 中不曾被詢問過對應的密鑰。挑戰者B 隨機選取b∈{0,1} ，并運行加密算法對其進行加密，將生成的密文Mb發送給攻擊者A 。

（5）詢問階段2：重復執行詢問階段1。

（6）猜測階段：攻擊者A 輸出一個對于b的猜測b′，若兩者相等，則攻擊者A 贏得游戲。其中攻擊A 的優勢定義為

4 方案實現

本章主要介紹加密支持細粒度的雙邊訪問控制的密文策略屬性基加密方案的具體實現。

4.1 工作流程

本節主要詳細說明病人將加密病歷上傳至存儲系統以及醫護人員從存儲系統下載加密病歷的具體流程。

4.1.1 上傳流程

首先，病人將加密后的病歷上傳至IPFS存儲系統，會得到一串來自IPFS 存儲系統返回的哈希字符串，可將其視為加密病歷的存儲路徑“L”。之后，病人將得到的路徑“L”、自己的屬性集合Ss以及所制定的訪問控制策略Rr上傳至區塊鏈。具體流程如圖2所示。

圖2 病人上傳電子病歷具體流程Fig.2 Specific flow of patient uploading electronic medical record

4.1.2 下載流程

首先，醫護人員上傳自己的屬性集合Sr、訪問時間以及所制定的訪問控制策略Rs至區塊鏈中。若該屬性集合滿足Rr，則可獲得加密病歷的存儲路徑“L”。之后，驗證病人的屬性集合Ss是否滿足Rs，若滿足，醫護人員即可對存儲路徑“L”進行解密。最終，獲得病人的病歷信息。具體流程如圖3所示。

圖3 醫護人員下載電子病歷具體流程Fig.3 Specific process of medical staff downloading electronic medical records

4.2 具體算法

本節將構造一個支持細粒度雙邊訪問控制的CP-ABE 方案?；赪aters 所提出ABE 方案[7]，設計出一種新的方案，在保證發送方可以制定接收方需滿足的訪問控制策略同時，使接收方也可以通過制定的訪問控制策略對發送方進行驗證與篩選。方案具體算法細節如下：

（1）系統初始化算法Setup(λ)

KGC運行該算法，輸入安全參數λ。生成兩個階為素數p的群G、G0，構成雙線性映射e:G×G→G0，g是群G的生成元。隨機選擇α,β∈Zp，以及一個穩定抗碰撞的哈希函數：H:{0,1}*→G。該算法輸出一個公鑰以及一個主密鑰：

（2）密鑰生成算法

①加密密鑰生成算法EKGen(MSK,Ss)。分析發送者屬性集合Ss，加密密鑰生成算法隨機選擇t∈Zp,?x∈Ss，可計算得：

該算法返回加密密鑰ek={ek1,ek2}。

②解密密鑰生成算法DKGen(MSK,Sr)。分析接收者屬性集合Sr，解密密鑰生成算法隨機選擇t*∈Zp,?y∈Sr，可計算得：

該算法返回解密密鑰dk=(dk1,dk2,dk3,y)。

（3）加密算法Enc(ek,M,Ss,Rr)

分析接收者需要滿足的訪問控制策略Rr，Rr=(M1,P1)，其中M1是lM1×nM1矩陣，P1:[lM1] →Sr是一個映射函數。該加密算法隨機選取v=(s,y2,…,ynM1)⊥∈Zp，其中s是待分享的秘密，計算λ=(λ1,λ2,…,λlM1)=M1v。對于所有i∈[lM1] ，隨機選擇ri∈ZP，計算：

（4）解密算法Dec(dk,CT,Rs)

分析發送者需要滿足的訪問控制策略Rs，其中M2是lM2×nM2矩陣，P2:[lM2] →Ss是一個映射函數。該解密算法隨機選擇，計 算k=k1,k2,…,klM2。

令I滿足I={i|i∈[lM2],P2(i)=Ss} ，可找到{ωi}i∈I滿足計算下式：

若上述等式成立，則繼續解密，否則結束解密。

令F滿足F={f|f∈[lM1],P2(i)=Ss} ?？烧业絳θ}f∈F滿足，計算下式：

其中，i是P1,i在y中的索引，即P1,i=y。該解密算法可通過上式分離得到消息M。

4.3 正確性分析

若4.2節中的解密算法Dec中的式（1）如下計算，即認為發送者屬性集合Ss滿足接收者所制定的訪問控制策略Rs，接收者則可繼續對消息進行解密：

若4.2節中的解密算法Dec中的式（2）如下計算，即認為接收者屬性集合Sr滿足發送者所指定的訪問控制策略Rr，接受者則可解密得到原始消息：

5 安全性分析

定理1假設DBDH 問題是困難的，本方案在隨機諭言機模型下夠滿足選擇明文攻擊下的不可區分性。

證明假設攻擊者A 可以在一個概率多項式時間內以不可忽略的優勢ε在安全模型IND-CPA 下打破本文所提出的方案，那么就能構建一個挑戰者B 能夠以不可忽略的優勢解決DBDH問題。因此，提供了一個挑戰者與攻擊者之間的真實方案的正確模擬。

假設挑戰者隨機翻轉一枚二進制的硬幣μ∈{0,1} 。當μ=0 時，四元組為{A=gα,B=gb,C=gc,T=e(g,g)abc} ，當μ=1，四元組為{A=gα,B=gb,C=gc,T=e(g,g)t} 。挑戰者B 輸出μ′作為μ的猜測。

（1）Setup。挑戰者B 隨機選擇β∈Zp以及一個抗碰撞哈希函數：H：{0,1}*→G，生成公鑰給攻擊者A：

其中，gb是生成元，

（2）查詢階段1。攻擊者A 向挑戰者B 通過諭言機發起私鑰詢問。

①令L={att,r,r*} 為哈希列表，攻擊者A 向隨機諭言機詢問att，如果att之前被詢問過，則返回Brigri*，如果att∈Ss，挑戰者B 選擇r=0,r*∈Zq，如果att?Ss，挑戰者B 選擇r,r*∈Zq。之后，挑戰者B 更新哈希列表L={att,r,r*} 。

②攻擊者A 通過加密密鑰諭言機詢問加密密鑰，攻擊者A 提供發送者屬性集合Ss，挑戰者B 隨機選取t∈Zp,?x∈Ss，計算：

挑戰者B 將加密密鑰發送給挑戰者A。

③攻擊者A 通過解密密鑰諭言機詢問解密密鑰，攻擊者A 提供發送者屬性集合Sr，挑戰者B 隨機選取t*∈Zp,?x∈Sr，計算：

挑戰者B 將解密密鑰發送給挑戰者A。

（3）挑戰。攻擊者A 提交m0,m1,S0,S1，挑戰者B隨機選擇b∈{0,1} ，假設Sb=Ss，挑戰者B 隨機選擇t∈Zp,?x∈Sb，計算：

挑戰者B 通過加密算法對消息進行加密，c0=MbT,c1=gc。并將密文發送給挑戰者A。

如果μ=0，則T=e(g,g)abc，如果令s=c，則e(A,B)=(e(g,g)ab)s=e(g,g)abs，c1=gs=gc。因此，密文是對Mb的有效加密。

如果μ=1，則T=e(g,g)t，則c0=Mb e(g,g)t，由于t是隨機產生的，攻擊者A 不能得出任何有關于消息的信息。

（4）查找階段2。重復查找階段1的過程。

（5）猜測。攻擊者A 輸出對于b的猜測b′，如果b′=b，挑戰者B 輸出μ′=0 表示它是一個DBDH 的四元組，否則，它是一個隨機四元組。

當μ=1 時，攻擊者A 沒有得到任何有用信息，因此可以得到，因為當b′=b時，挑戰者B 猜測μ′=1，則

當μ=0 時，攻擊者A 可以得到關于Mb的有效信息，在此情況下，攻擊者A擁有優勢ε。因此可以得到。因為當b′=b，挑戰者B 猜測μ′=0，則因此挑戰者B 贏得DBDH游戲的整體優勢是：

若攻擊者在一個概率多項式時間內贏得游戲的優勢為ε，則其可以以不可忽略的優勢解決DBDH困難問題。

在安全模型IND-CPA中，攻擊者存在不可忽略的優勢ε才能打破本文的方案，因此，本文的方案是IND-CPA安全的。證畢。

6 功能對比與性能分析

6.1 功能對比分析

將本文方案與文獻[7]、文獻[14]、文獻[15]、文獻[23]進行對比，對比結果如表2所示。

表2 不同方案的功能對比Table 2 Function comparison of different schemes

從表2的對比可知，本文方案在保證選擇明文攻擊下的不可區分性的前提下，不僅使發送方可以通過制定訪問控制策略對接收方進行選擇，而且使接收方同樣可以制定訪問控制策略對發送方進行驗證，不需要從大量密文中逐一進行檢索，提高了接收方的工作效率。并且引入了區塊鏈技術以及IPFS 存儲系統，將加密后的數據上傳至IPFS 存儲系統，避免了分布式拒絕攻擊。再將由IPFS 生成的唯一哈希索引上傳至區塊鏈，實現了數據的不可篡改性。

6.2 安全性對比分析

將本文方案與文獻[15]、文獻[23]進行對比分析，對比結果如表3所示。

表3 不同方案的安全性對比Table 3 Safety comparison of different schemes

從表3可知，由于本文方案將加密后的數據上傳至IPFS分布式存儲系統，即可有效地抵抗分布式拒絕服務攻擊。此外，本文方案允許發送方選擇隨機數來加密密鑰，因此除發送方之外的任何一方都無法知道這個隨機數的值，可有效地抵抗發送者猜測攻擊。最后，本文方案中解密密鑰都具有隨機性。多個解密密鑰的組合不能幫助攻擊者獲得有效的解密密鑰。因此，可有效地抵抗合謀攻擊。

6.3 對比仿真結果分析

在本節中，分析密鑰生成、加密過程以及解密過程的計算開銷，將本文提出的方案與文獻[13]、文獻[14]中提出的方案進行比較。本文進行仿真的實現設備為Intel?Core?i5-5250U CPU@1.60 GHz，4 GB 內存。操作系統為macOS Catalina 10.15.5，編程語言為Java，使用的密碼庫為jPBC 2.0.0。

TE表示指數計算時間，TP表示雙線性對計算時間，TH→G表示哈希到群G的計算時間，TH→Zq*表示哈希到Zq*的計算時間。由于在本設備中，乘法運算、逆運算與除法運算的計算時間與其他運算的計算時間相比微不足道，所以可忽略不計。

本文方案與文獻[13]、文獻[14]方案的效率對比如表4所示。

表4 不同方案的效率對比Table 4 Comparison of efficiency of different schemes

本節實驗仿真中分別測試了在10～50 個屬性集個數下文獻[13]、文獻[14]與本文的Setup、EKGen、DKGen、Enc、Dec運算環節的運算時間開銷，具體對比如圖4所示。

根據圖4（a）的對比可知，在系統初始化的計算中，本文方案僅采用了一個哈希運算，所以隨著屬性個數的增加，本文方案的計算時間具有一定的優勢。

根據圖4（b）的對比可知，在加密密鑰生成的計算中，本文方案與文獻[14]相比相差不大。

根據圖4（c）的對比可知，在解密密鑰生成計算中，本文方案與文獻[14]相比僅采用兩個指數運算，從而隨著屬性個數的增加，具有顯著的優勢。

根據圖4（d）的對比可知，在加密的計算中，文獻[13]、文獻[14]采用了較多的哈希以及指數運算，而本文方案僅采用了1個哈希運算，降低了計算時間。并且本文方案與文獻[14]相比，本文密文與訪問控制策略相關聯，而文獻[14]密文與用戶屬性集合相互關聯，隨著屬性集合的增加，文獻[14]需要花費更多的計算時間，所以，本文的計算時間與文獻[14]相比具有一定的優勢。

根據圖4（e）的對比可知，在解密的計算中，與文獻[13]、文獻[14]進行對比，本文方案并未采用哈希計算，極大地降低了計算時間，具有顯著的優勢。

圖4 計算時間Fig.4 Calculation time

綜合上述對比進行分析可得，本文所提出的方案具有較高效率。

7 結束語

本文針對當前在線問診環境中在保護患者隱私的前提下，提高醫護人員的工作效率的需求，提出了基于在線問診環境下的細粒度雙邊訪問控制，該方案通過ABE 對患者的病歷進行加密后上傳至IPFS 系統，并將生成的唯一哈希字符串加密上傳至區塊鏈。在本文方案中，不僅患者可以制定訪問控制策略來對醫護人員進行查看病歷的授權，醫護人員也可制定訪問控制策略進一步地通過屬性匹配來篩選需要解密的病歷，既有效地保護了患者的個人隱私問題，也減輕了醫護人員的工作負擔。最后，在標準模型下基于判定性雙線性Diffie-Hellman問題證明了本文方案是IND-CPA安全的，并利用jPBC密碼庫進行性能分析表明本文方案與其他方案相比具有較低的計算開銷。