智慧醫療環境下支持屬性更新的加解密外包方案*

馬佳佳，曹素珍，竇鳳鴿，丁曉暉，丁賓賓，王彩芬,2

(1.西北師范大學計算機科學與工程學院，甘肅 蘭州 730070；2.深圳技術大學大數據與互聯網學院，廣東 深圳 518118)

1 引言

在大數據時代，為了有效地節省本地存儲成本，用戶通常選擇將海量的數據存儲在云服務器上。使用強大的云服務器資源不僅可以解決海量數據存儲問題，而且還可以提供高效的計算服務[1]。然而，由于它主要提供分布在遠離用戶的核心網絡中的資源，具有高帶寬耗費和高傳輸時延等缺點,研究人員提出了霧計算。霧計算(也稱為邊緣計算)是云計算的擴展，它使計算和存儲能夠在網絡邊緣實現。因為存儲和處理任務可以由大規模、無處不在和分散的設備執行，無需第三方干預即可相互通信并可能相互合作。霧計算為各種用戶提供了新的應用程序和服務，具有更強大CPU、更大內存和更大存儲空間的特定高端服務器[2,3]。

相比傳統病歷，電子病歷具有使用方便、及時性強和成本低的優點,再加上計算機和通信技術的快速發展，使得電子病歷成為醫療服務必不可少的工具，人們也越來越關注醫療系統的安全性和隱私保護問題[4]。文獻[5]提出了區塊鏈與可搜索加密結合的電子病歷共享方案，利用可搜索加密技術將關鍵字索引保存在私有鏈上，實現醫療數據的隱私保護。文獻[6]提出了基于區塊鏈的電子病歷數據共享方案，使用可搜索加密技術實現安全索引。但是，文獻[5,6]都未能實現醫療數據的細粒度訪問控制且未考慮數據使用者密鑰可能泄露的問題。

基于屬性的加密方案ABE(Attribute-Based Encryption)[7]中，每個用戶由一組屬性來標識，并且這些屬性的一些功能被用來確定每個密文的解密能力[8]。其中，密文策略屬性基加密方案[9]將訪問策略嵌入密文中，患者指定具有哪些屬性的醫生解密患者病歷信息，不僅保護了患者病歷信息，而且還實現了一對多的細粒度訪問控制。文獻[10]提出了一種支持快速加密的基于屬性的加密方案，采用密文策略的屬性外包加密方案保證了用戶的機密性，同時采用外包方案降低了系統的計算開銷，提高了傳輸效率。多機構授權下可追蹤可隱藏的屬性基加密方案[11]和智慧城市關鍵詞搜索技術中隱藏敏感策略的基于密文策略屬性的加密方案[12]都采用了密文策略的屬性基加密方案，但未將加解密方案外包給代理服務器，大大增加了系統的計算開銷?；趯傩缘募用芊桨冈诓呗詷嬙焐嫌性L問樹和訪問矩陣2種方式。文獻[13]提出了霧環境下的電子健康外包和屬性撤銷的高效訪問控制方案,其訪問策略的構造采用了訪問矩陣方式。相比訪問矩陣，訪問樹具有易構造，可讀性強和加密效率高的優勢。

為了實現用戶的屬性更新，文獻[14]提出了一種基于云的用戶屬性更新的訪問控制方案，但不適用于外包計算框架。文獻[15]提出了支持屬性撤銷和用戶屬性更新的方案，但沒有將加解密運算外包給代理服務器，使得數據擁有者和數據用戶的計算負擔增大，同時降低了效率。文獻[16]基于霧計算提出了一種具有外包和屬性更新能力的高效訪問控制方案，但并未實現加密外包計算，降低了數據擁有者的計算效率。

基于上述問題，本文提出了智慧醫療環境下支持屬性更新的加解密外包方案，主要貢獻有：

(1)將部分加解密運算外包給霧節點，有效減少了數據擁有者和數據用戶的計算負擔，降低了傳輸時延，提高了通信效率；

(2)將云服務器視為半可信實體，在密文更新時，向云服務器傳輸屬性相關的哈希值，有效保護了用戶的隱私；

(3)實現數據擁有者屬性的更新，更加符合實際的醫療應用環境。

最后，基于DBDH困難問題證明了本文方案是安全的，通過與現有其它方案的數值分析比較，表明本文方案具有更高的效率。

2 預備知識

2.1 符號說明

智慧醫療環境下支持屬性更新的加解密外包方案中使用的部分符號說明如表1所示。

Table 1 Symbol description表1 符號說明

2.2 雙線性映射

設p是一個大素數，G和GT是2個階為p的乘法循環群，G到GT的雙線性映射e:G×G→GT滿足以下性質[17]：

(2)非退化性。存在g∈G，有e(g,g)≠1。

(3)可計算性。對任意的g1,g2，存在一個有效算法計算e(g1,g2)。

2.3 訪問樹

定義T為訪問樹，它的每個葉節點代表一個屬性，每個非葉節點代表一個門限節點。numx表示節點x的所有子節點的個數，d表示數據擁有者設置的閾值數，且0

如圖1所示，假設訪問樹的閾值為2，訪問子樹的葉節點屬性為{甘肅省人民醫院，普外科系統，甲亢患者}。當用戶的屬性為{蘭州大學第二醫院，內科系統，疝氣患者}時，不滿足訪問樹的任何2個屬性，秘密值不能通過線性秘密共享來恢復；當用戶的屬性為{甘肅省人民醫院，普外科系統，甲亢患者}時，滿足訪問樹的最低閾值，可以訪問根節點的秘密值，因此最終的明文可以通過用戶的私鑰解密密文來獲得。

Figure 1 Access tree圖1 訪問樹

2.4 困難問題假設

設G1和G2是p階的雙線性群,e：G1×G1→G2，設g是群G1的生成元，給定元組y={g,ga,gb,gc,e(g,g)abc}，其中a,b,c∈RZp，對于多項式時間算法Y來說，區分有效的元組e(g,g)abc與群中G2的隨機元素r是困難的[18]。令算法Y輸出一個比特h∈{0,1}，如果等式pr[Y(y,T=e(g,g)abc)=0]-pr[Y(y,T=r)=0]≥δ成立,則稱Y在解決DBDH問題上的優勢為δ。

3 方案描述

3.1 方案模型

智慧醫療環境下支持屬性更新的加解密外包方案模型如圖2所示。方案共有6個實體，分別為可信中心CA(Center Authority)、授權機構AAs(Attribute Authorities)、霧節點FN(Fog Node)、醫療云服務商CSP(Cloud Service Provide)、數據擁有者DO(Date Owner)和數據使用者DU(Date User)。

Figure 2 Model of encryption and decryption outsourcing solution supporting attribute update圖2 支持屬性更新的加解密外包方案模型

(1)CA是完全可信的一方,其主要作用是負責管理全局參數的設置，并且為每一個DU和AA生成唯一的身份標識uid和aid。

(2)AAs：授權機構之間相互信任，可將醫院視為授權機構，主要為每個DO和FN根據其管理的屬性生成密鑰。在屬性更新階段，AAs為CSP生成用于更新密文的代理密鑰的更新密鑰 。

(3)FN的主要作用是承擔DO和DU的部分加解密工作。加密階段，患者將部分加密運算傳輸給FN，FN執行加密操作；解密階段，醫生將部分解密計算外包給FN，然后醫生進行最后的解密，這樣可有效減少DO和DU的計算開銷。

(4)CSP的主要作用是提供存儲功能，從FN接收密文，然后存儲并發送給FN。此外，還在更新相關屬性時執行密文更新。

(5)患者作為DO，對自己的病歷根據其設置的加密算法對關鍵信息進行加密，然后將加密后的病歷上傳到FN。

(6)醫生作為DU，從FN獲得部分解密的密文之后，執行剩余的解密操作，最終獲得患者病歷。

3.2 方案構造

令G和G1是階為p的雙線性群，其生成元為g，e:G×G→G1。定義一個哈希函數H:{0,1}*→G。

(1)系統初始化。

①GlobalSetup(1λ)→PP。

該階段由可信中心執行。輸入安全參數λ，輸出公共參數PP={G,p,g,e,H}。CA為每一個授權機構AA和數據使用者DU生成唯一的身份標識aid和uid。定義全局屬性U={u1,u2,…,un}。

②AuthSetup(PP,aid)→{MSKaid,PKaid}。

該階段由授權機構執行。令AAaid管理的屬性集為Aaid，且A1∩A2∩…∩Aaid…∩AAID≠?,其中AID為授權機構數量。授權機構AAaid隨機選取αaid∈Zp，對于每一個j∈Aaid，選取βj,aj,vj∈RZp，計算屬性密鑰PKj=gvj。系統主密鑰為MSKaid={aj,gαaid,βj}，公鑰為PKaid={H(j)aj,e(g,g)αaid,PKj}。

(2)密鑰生成。

KeyGen(PP,uid,MSKaid,S)→{SKaid,FSKaid,uid}。

該階段由授權機構執行。數據使用者要想訪問加密數據，其密鑰必須滿足訪問策略才能解密數據文件。

Aaid,uid表示由授權機構AAaid管理的用戶uid的屬性集，且Aaid,uid?S，其中S為所有用戶屬性集。對于任意的j∈Aaid,uid:

①選取隨機數raid,taid∈Zp，計算部分密鑰構件Kaid,uid=(graidvj·H(j)aj)taid，Laid=gajtaid，Faid=gαaid+raid/βj;

②生成霧節點的轉換密鑰FSKaid,uid={Faid,Kaid,uid,Laid}和DU的私鑰SKuid={Faid,taid}。

(3)數據加密。

①DOEncrypt(PP,M,T,PKaid)→CTpart。

該階段由數據擁有者執行。數據擁有者通過構造訪問樹T加密消息M。

a 構造訪問策略。定義R為訪問樹的根節點。對于根節點R，數據擁有者加密算法隨機選取一個秘密值s∈Zp，選擇一個d-1次多項式Y(·)，令YR(0)=s。令Q是訪問樹T中與葉節點相關聯的屬性集。

最終得到部分加密密文：

CTpart={C,C0,?att(n)=j∈Q:C1,C2}

②FNEncrypt(T,PP,CTpart)→CT。

該階段由霧節點執行。數據擁有者將加密的部分密文發送給霧節點，霧節點執行進一步加密操作。

a 對于每一個節點n∈T1，霧節點加密算法從根節點R開始，根據其閾值d開始自上向下為每一個節點n選擇一元d-1次多項式Y(·)。

b 對于父節點p(c)的子節點c，Yc(0)=Yp(c)(index(n))。

最終，密文CT={T,C,C0,?att(n)=j∈Q:C1,C2}。

(4)數據解密。

①FNDecryct(PP,CT,uid,FSKaid,uid)→CT′part。

該階段由霧節點執行，當數據使用者的屬性集能滿足訪問樹T時，才能夠解密得到消息M。

a 當n為葉節點時，令j=att(n)。如果j?Auid，則Fn=⊥。

否則，計算:

e(g,g)Yn(0)taidraid

b 當n為非葉節點時，如果n

令IC={?c∈Cn:Ic}，計算:

e(g,g)raidtaidYn(0)

最終，CT′part=(T,C,C0,Fn)。

②EUDecryct(CT′part,SKaid)→M。

該階段由數據使用者執行。數據使用者對霧節點解密的密文進行進一步解密，得到最終的消息消息M:

(5)屬性更新。

①更新密鑰KeyUpdate(SKuid,i)→USKuid。

當數據擁有者的信息需要更新時，如更新用戶uid的某一屬性i時，需要執行該階段。假設患者的病歷信息增加了病癥，需要不同科室的醫生癥治時，執行該階段。該階段由授權機構執行。

a 隨機選取v′j∈Zp，授權機構AAaid為用戶uid產生一個升級密鑰UKuid=g(v′j-vj)taid，更新私鑰相關聯的密鑰構件Kaid,uid，有K′aid,uid=Kaid,uid×UKuid;

b 對于?j∈S，當j≠i時，有Kaid,uid=(graidvj·H(j)aj)taid；當j=i時，有K′aid,uid=Kaid,uid×UKuid=(graidv′j·H(j)aj)taid。

c 生成代理密鑰Km=vj/v′j。

②更新密文CTUpdate(CT,Km)→CTU。

密文更新利用代理重加密技術，有利于減少數據擁有者的計算負擔。密文更新時，向醫療云服務商提供包含更新屬性j的哈希值H(j)后，醫療云服務商通過判斷用戶提交的哈希值H(j)′與哈希值H(j)是否相等來更新密文，這樣能確保更新屬性不被泄露，有效保護了數據擁有者的屬性信息。

CTU={T,C,C0,?j=att(n)∈Y,C′1,C′2}。

4 安全性證明

定理1假設存在多項式時間的敵手以不可忽略的優勢φ(φ>0)攻破本文方案。那么，存在一個多項式時間算法QA，以φ/2的優勢解決DBDH問題。

證明設G1是素數階p的雙線性群，其生成元為g，設雙線性映射e:G1×G1→G2。首先挑戰者C隨機選擇x,y,z∈RZp，隨機元素F∈G2且b∈{0,1}，如果b=0，挑戰者C設置(g,X,Y,Z,L)=(g,gx,gy,gz,e(g,g)xyz)，其中L=e(g,g)xyz；否則設置(g,X,Y,Z,L)=(g,gx,gy,gz,F)，其中L=F。

系統建立首先，敵手A選擇一個訪問樹T*并將訪問樹T*發送給挑戰者C。

階段2和階段1相同。

挑戰敵手A提交b的一個猜測b′。若b=b′，那么挑戰者C輸出0，即T=e(g,g)xyz；否則，挑戰者C輸出1，即T=F。如果T=e(g,g)xyz，那么密文CT為有效密文，則敵手A的優勢為φ，則有Pr[QA(g,gx,gy,gz,L=e(g,g)xyz)=0]=1/2+φ；如果T=f，則密文CT是隨機選取的，則有Pr[QA(g,gx,gy,gz,L=F)=0]=1/2。因此，挑戰者C的優勢δ表示為：

5 性能分析

表2是本文方案與文獻[15,16]方案的功能比較，從表2可以看出，本文方案最大的優勢在于將加解密運算部分外包給霧節點，同時滿足屬性的更新。

本文方案與文獻[15,16]方案在性能比較中，用NE1表示群G上的指數運算次數，NE2表示群G1上的指數運算次數，NP表示雙線性運算次數，Nct表示與密文相關的屬性個數，Nsk表示與用戶私鑰相關的屬性個數，NM表示滿足訪問結構的最小內部節點數。

Table 2 Comparison of characteristics of relevant schemes

表3是本文方案與文獻[15,16]方案的計算開銷比較。數據擁有者的計算開銷主要取決于加密數據的不同授權機構生成的公鑰。本文方案支持外包加密，因此數據擁有者的計算開銷比文獻[15,16]方案的計算開銷低些。另外，數據使用者的屬性密鑰存儲在霧節點中進行外包解密，因此數據使用者的計算開銷低于文獻[15]方案的計算成本。

為了對比方案效率，本文還通過實驗對現有其它方案和本文方案進行了更直觀的比較。實驗環境為Intel(R)Core(TM)i5-8250U CPU@1.60 GHz 1.80 GHz處理器8.00 GB RAM，使用語言為JAVA，方案實現基于JPBC(Java Pairing-Based Cryptography library)庫。

圖3是密鑰生成階段隨著屬性個數的遞增，授權機構為用戶生成密鑰所消耗的時間，在密鑰生成階段，因為雙線性配對的運算時間遠大于指數運算的時間，所以文獻[16]方案消耗的時間明顯多于文獻[15]方案和本文方案的時間。圖4是本文方案和對比方案的整個加密階段所消耗的時間，包括霧節點的加密時間和數據擁有者的加密時間。圖5是本文方案和對比方案整個解密階段所消耗的時間，包括霧節點解密和數據用戶的解密時間。從圖4和圖5可以看出，本文方案與文獻[16]方案加解密時間遠優于文獻[15]方案的，本文方案與文獻[16]方案將大部分運算外包給霧節點，數據使用者僅有少量的運算,這樣大大提高了整個系統的效率。

Table 3 Calculation cost comparison of relevant schemes

Figure 3 Computational overhead during key generation圖3 密鑰生成階段計算開銷

Figure 4 Computational overhead during encryption圖4 加密階段計算開銷

Figure 5 Time during decryption圖5 解密階段所消耗時間

圖6是霧節點外包解密所消耗的時間，從圖6中可以看出，本文方案略優于文獻[16]方案。在文獻[15,16]方案中，由于數據擁有者執行所有的加密操作，因此增加了數據擁有者的計算開銷，降低了方案整體效率；而在本文方案中，部分加密運算由霧節點執行，有效降低了計算開銷，提高了效率。圖7是3個方案加解密階段的總體時間對比。

Figure 6 Time during outsourcing decryption圖6 外包解密所消耗時間

Figure 7 Running time during encryption and decryption圖7 加解密運行時間

上述實驗結果表明，本文方案在數據所有者加密、數據用戶解密和密文更新過程中的計算開銷較小。

6 結束語

本文提出的在智慧醫療環境下支持屬性更新的加解密外包方案將部分加解密運算外包給霧節點，有效地減少了數據擁有者和數據用戶的計算負擔，同時提高了通信效率；且在密文更新時，向云服務器傳輸屬性相關的哈希值而非屬性值，有效保護了用戶的隱私。最后，基于DBDH問題證明了本文方案是安全的，數值分析結果表明，本文方案在計算效率上具有一定的優勢。