支持條件身份匿名的云存儲醫(yī)療數(shù)據(jù)輕量級完整性驗證方案

張曉均 王 鑫 廖文才 趙 芥 付興兵

①(西南石油大學(xué)計算機科學(xué)學(xué)院網(wǎng)絡(luò)空間安全研究中心 成都 610500)

②(宜賓學(xué)院理學(xué)部 宜賓 644000)

③(杭州電子科技大學(xué)網(wǎng)絡(luò)空間安全學(xué)院 杭州 310018)

1 引言

醫(yī)療大數(shù)據(jù)由于其在現(xiàn)代醫(yī)療系統(tǒng)中的潛在價值，受到了人們的廣泛關(guān)注。醫(yī)療大數(shù)據(jù)的蓬勃發(fā)展不可避免地產(chǎn)生新的數(shù)據(jù)安全和隱私保護問題。如果醫(yī)療大數(shù)據(jù)不完整和不真實，新挖掘的知識將無法令人信服。隨著信息技術(shù)的高速發(fā)展，遠(yuǎn)程醫(yī)療信息系統(tǒng)將與云計算技術(shù)相結(jié)合，提供一種便捷的新型服務(wù)模式[1]。云計算技術(shù)擁有強大的計算能力和存儲能力，它為用戶提供高效靈活的存儲服務(wù)來維護數(shù)據(jù)[2,3]。在基于云輔助的無線醫(yī)療傳感器網(wǎng)絡(luò)中，醫(yī)療用戶通過無線醫(yī)療傳感器設(shè)備收集重要的生理特征參數(shù)(如血壓、血糖等)，實時地將這些醫(yī)療數(shù)據(jù)上傳到云服務(wù)器進(jìn)行存儲、分析與處理[4]。

雖然云計算提供的服務(wù)有著非常多的優(yōu)勢，但數(shù)據(jù)存儲于云服務(wù)器，用戶對數(shù)據(jù)失去絕對控制權(quán)，容易遭受外部敵手惡意刪除或篡改等方面的攻擊。除此之外，某些硬件和軟件故障因素的存在將不可避免地導(dǎo)致數(shù)據(jù)損壞，而云服務(wù)提供商可能會只考慮自身利益不受損壞，從而隱瞞數(shù)據(jù)不完整的事實[5]。近年來頻繁發(fā)生云安全和云犯罪事件，嚴(yán)重影響了用戶和云服務(wù)提供商的信任關(guān)系。醫(yī)療用戶關(guān)注的焦點在于存儲在云端的醫(yī)療健康數(shù)據(jù)的完整性，它是所有臨床診斷的基礎(chǔ)，任何數(shù)據(jù)篡改或者丟失都會導(dǎo)致錯誤診斷，甚至?xí)?dǎo)致死亡等嚴(yán)重后果[6]，因此對云服務(wù)器上的醫(yī)療數(shù)據(jù)進(jìn)行完整性驗證變得尤為關(guān)鍵。

為了檢查云存儲外包數(shù)據(jù)的完整性，Ateniese等人[7]首次提出數(shù)據(jù)可持有性驗證(Provable Data Possession, PDP)審計機制。 Juels 等人[8]提出了數(shù)據(jù)可恢復(fù)證明(Proofs of Retrievability, PoR)審計模型。Wang等人[9]提出了一種具有隱私保護的公共云審計方案，引入第三方審計者為用戶完成外包數(shù)據(jù)的完整性審計任務(wù)。最近，許多具有新型安全功能的公共云存儲審計方案已陸續(xù)被提出[10–13]。特別地，文獻(xiàn)[10]利用高效去重技術(shù)來支持去重搜索，同時實現(xiàn)了過期用戶撤銷和云存儲數(shù)據(jù)審計。文獻(xiàn)[11]設(shè)計出了既能支持?jǐn)?shù)據(jù)的動態(tài)操作(對云端數(shù)據(jù)文件進(jìn)行更新、刪除和插入等操作)，又能實現(xiàn)用戶任意次數(shù)撤銷的審計機制。Hahn等人[12]基于同態(tài)哈希函數(shù)技術(shù)實現(xiàn)數(shù)據(jù)快速動態(tài)更新的完整性審計方案。文獻(xiàn)[13]將Shamir秘密共享方法和代數(shù)簽名應(yīng)用到外包云存儲審計之中，并提出了高效撤銷群組成員的共享數(shù)據(jù)審計方案。

然而，以上提出的云存儲審計方案主要依賴公鑰基礎(chǔ)設(shè)施(Public Key Infrastructure, PKI)設(shè)計的，這將造成對公鑰證書復(fù)雜的管理，包括公鑰證書的創(chuàng)建、分發(fā)、存儲和撤銷，并不適用于移動終端的實際部署環(huán)境。而在基于身份密碼(Identity-Based Cryptography, IBC)體制之中[14]，用戶私鑰是由一個可信的權(quán)威機構(gòu)-密鑰生成中心(Private Key Generator, PKG)生成，它利用自己的主私鑰與用戶唯一可識別的身份信息(如身份證號、護照證號、郵件地址、電話號碼)來為用戶生成私鑰，避免了基于證書的公鑰密碼機制中復(fù)雜證書管理問題。在近幾年內(nèi)，許多基于身份的公共云存儲審計方案已經(jīng)提出[15–18]。特別地，Ni等人[15]基于RSA假設(shè)，提出了一個基于身份的遠(yuǎn)程數(shù)據(jù)完整性驗證方案，該方案實現(xiàn)了不同云用戶擁有的外包數(shù)據(jù)完整性的聚合驗證，其將身份作為哈希函數(shù)的輸入生成一長串參數(shù)，導(dǎo)致用戶的身份隱私不能得到很好的保護，另外其方案在完整性驗證階段的通信開銷也很大，隨著扇區(qū)數(shù)的增長而增長。Zhang等人[16]引入了區(qū)塊鏈技術(shù)，第三方審計者將審計結(jié)果記錄到以太坊中，從而用戶可以檢測第三方審計者的惡意行為，但是存儲的醫(yī)療數(shù)據(jù)的隱私容易泄露給云服務(wù)器。有些用戶可能只關(guān)注他感興趣的部分加密云文件的完整性，Gao等人[17]應(yīng)用了一種關(guān)系認(rèn)證標(biāo)簽技術(shù)，它可以用來查詢哪些文件包含感興趣的關(guān)鍵字和生成審計證明信息，但是在交互過程中，TPA容易通過對響應(yīng)信息進(jìn)行線性運算獲取外包文件的內(nèi)容，導(dǎo)致隱私泄露。Xue等人[18]基于比特幣的公共區(qū)塊鏈隨機數(shù)來生成挑戰(zhàn)信息，可以有效抵御惡意審計者，但是用戶的身份隱私依然沒有得到有效的保護。且以上這些方案在TPA端的計算開銷比較大，且用于驗證數(shù)據(jù)文件完整性的時間與挑戰(zhàn)數(shù)據(jù)塊的數(shù)量線性相關(guān)。5G時代到來，個人數(shù)據(jù)量爆炸，實際上TPA需要快速地完成用戶的審計任務(wù)，由于審計請求可能集中在特定的時間段內(nèi)，因此過長的延遲是不可接受的，這對于TPA的計算能力要求很高。

在保證基于身份的公共云存儲審計機制安全性的前提下，擴展系統(tǒng)功能是一項非常有意義的工作。溯源技術(shù)就被應(yīng)用到云存儲環(huán)境中來實現(xiàn)數(shù)字取證和實體追蹤功能。一旦系統(tǒng)發(fā)生數(shù)據(jù)不一致導(dǎo)致的糾紛或用戶在系統(tǒng)中惡意操作的情況都將是后續(xù)追蹤調(diào)查、劃分責(zé)任和解決訴訟的第一手證明材料。文獻(xiàn)[19]最先將實體溯源的想法應(yīng)用到基于無線體域網(wǎng)的環(huán)境中，利用人體指紋的不可偽造性來安全快速地溯源并識別原始用戶。Zhang等人[20]的方案中，單個用戶(包括組管理者)無法知道簽名者的身份，同時基于秘密共享技術(shù)實現(xiàn)了用戶的可追溯性。然而，這些方案的計算成本相對較高，而且沒有解決復(fù)雜的證書管理問題。

針對上述問題，本文設(shè)計了一種支持條件身份匿名的外包云存儲醫(yī)療數(shù)據(jù)完整性驗證方案。該方案基于同態(tài)哈希函數(shù)技術(shù)設(shè)計了數(shù)字聚合簽名算法，進(jìn)一步構(gòu)造輕量級完整性驗證方案。方案是基于身份的密碼系統(tǒng)設(shè)計的，有效避免了PKI關(guān)于公鑰證書的復(fù)雜管理。方案使得第三方審計者定期代替醫(yī)療用戶驗證存儲在云輔助醫(yī)療系統(tǒng)的外包數(shù)據(jù)的完整性，且能檢測出云醫(yī)療數(shù)據(jù)是否被篡改，從而防止醫(yī)生的臨床誤診。性能分析與比較表明方案在計算開銷與通信開銷方面具有較大優(yōu)勢。特別是在第三方審計者方面，其完整性驗證計算開銷是輕量級的，非常有利于部署在移動終端計算資源受限的設(shè)備環(huán)境。

2 預(yù)備知識

2.1 雙線性對映射

(2) 非退化性。e(g,g)?=1， 其中1是G2的單位元。

(3) 可計算性。對于群G1的 任意兩個元素h1,h2，存在一個高效的算法計算e(h1,h2)。

2.2 同態(tài)哈希函數(shù)

H是一個同態(tài)哈希函數(shù)，它滿足如下性質(zhì)。

(1) 同態(tài)性。對于兩個消息m1,m2和 標(biāo)量k1,k2，有H(k1m1+k2m2)=H(m1)k1·H(m2)k2。

(2) 抗碰撞性。不存在多項式時間敵手能夠偽造元組 (m1,m2,m3,k1,k2) ，使之能同時滿足m3=k1m1+k2m2和H(m3)=H(m1)k1·H(m2)k2。

2.3 密碼學(xué)困難問題

定義1 DL(Discrete Logarithm)問題：給定g,ga ∈G1， 其中a∈Zp?是未知的，DL問題求解目標(biāo)是計算a。

定義2 C D H(C o m p u t a t i o n a l D i f f i e-Hellman)問題：給定g,ga,gb ∈G1， 其中a,b ∈Zp?是未知的，CDH問題求解目標(biāo)是計算gab。

事實上，敵手在多項式時間內(nèi)能夠求解DL困難問題和CDH困難問題的概率是可以忽略的。

2.4 系統(tǒng)模型

支持條件身份匿名的云存儲醫(yī)療數(shù)據(jù)完整性驗證模型如圖1所示，包含密鑰生成中心(Private Key Generator, PKG)、用戶、醫(yī)院、云服務(wù)器和第三方審計者(Third Party Auditor, TPA)。各通信實體的功能介紹如下：

圖1 條件身份匿名的云存儲醫(yī)療數(shù)據(jù)完整性驗證模型

(1) PKG。PKG是一個權(quán)威且完全可信的實體，主要負(fù)責(zé)系統(tǒng)初始化階段公開參數(shù)設(shè)置，以及根據(jù)用戶真實身份生成相應(yīng)的匿名身份和公私鑰對。

(2) 醫(yī)院。為用戶提供醫(yī)療服務(wù)，利用無線醫(yī)療傳感器網(wǎng)絡(luò)收集用戶的健康數(shù)據(jù)，生成用戶的醫(yī)療數(shù)據(jù)文件。

(3) 用戶。根據(jù)醫(yī)療數(shù)據(jù)文件生成相應(yīng)的數(shù)字簽名和審計輔助信息(Auditing Auxiliary Information, AAI)，將醫(yī)療數(shù)據(jù)文件和數(shù)字簽名上傳給云服務(wù)器，將AAI上傳給TPA。最后，用戶刪除本地存儲。

(4) 云服務(wù)器。擁有巨大存儲容量和計算能力，根據(jù)用戶需求存儲用戶的醫(yī)療數(shù)據(jù)以及相應(yīng)的數(shù)字簽名，接受來自TPA的完整性驗證挑戰(zhàn)，并返回完整性驗證證明響應(yīng)信息給TPA。

(5) TPA。TPA得到用戶的授權(quán)并且能夠代表醫(yī)療用戶周期性驗證存儲在云服務(wù)器的健康醫(yī)療數(shù)據(jù)的完整性，定期與云服務(wù)器交互以執(zhí)行完整性審計任務(wù)，并將完整性驗證結(jié)果返回給用戶。

支持條件身份匿名的云存儲醫(yī)療數(shù)據(jù)完整性驗證模型包含以下多項式算法：

(1)系統(tǒng)初始化。由PKG執(zhí)行。系統(tǒng)初始化，輸入安全參數(shù)，生成系統(tǒng)公共參數(shù)并公開。

(2)用戶匿名身份和簽名私鑰生成。由PKG執(zhí)行。輸入用戶真實身份，PKG生成用戶的匿名身份以及簽名私鑰，并將其通過安全信道發(fā)送給用戶。

(3)數(shù)字簽名生成。由用戶執(zhí)行。用戶對數(shù)據(jù)分塊后使用簽名算法對數(shù)據(jù)進(jìn)行簽名，將數(shù)據(jù)和簽名發(fā)送給云服務(wù)器，將審計輔助信息發(fā)送給TPA，最后刪除本地存儲。

(4)挑戰(zhàn)信息生成。由TPA執(zhí)行。TPA生成挑戰(zhàn)信息并發(fā)送給云服務(wù)器，在等待云服務(wù)器響應(yīng)證明信的時間內(nèi)，執(zhí)行預(yù)計算操作。

(5)完整性驗證證明響應(yīng)信息生成。由云服務(wù)器執(zhí)行。云服務(wù)器根據(jù)挑戰(zhàn)信息定位相關(guān)的數(shù)據(jù)塊和簽名，生成完整性驗證證明響應(yīng)信息，并將其發(fā)送給TPA。

(6)完整性驗證。由TPA執(zhí)行。輸入挑戰(zhàn)信息、系統(tǒng)參數(shù)、預(yù)計算值、用戶匿名身份和完整驗證證明信息，生成計算結(jié)果并通知用戶。

3 支持條件身份匿名的外包云存儲醫(yī)療數(shù)據(jù)完整性驗證方案

3.1 具體方案

本文提出一個支持條件身份匿名的外包云存儲醫(yī)療數(shù)據(jù)完整性驗證方案，方案包括系統(tǒng)初始化、用戶匿名身份和簽名私鑰生成、數(shù)字簽名生成、挑戰(zhàn)信息生成、完整性驗證證明響應(yīng)信息生成、完整性驗證6個階段。具體工作流程如圖2所示。

圖2 條件身份匿名的云存儲醫(yī)療數(shù)據(jù)完整性驗證工作流程

(1)系統(tǒng)初始化。輸入安全參數(shù)ζ，PKG執(zhí)行如下步驟：

(a)PKG設(shè)置一個雙線性對映射e:G1×G1→G2，其中G1和G2是具有相同階為素數(shù)p的乘法循環(huán)群，g是G1的生成元。

(b)PKG隨機選取s ←Zp?作為主私鑰，計算ppub=gs作為PKG的主公鑰。PKG隨機均勻地選取元素w←G1。

最后，PKG公布系統(tǒng)公開參數(shù)Para=(e,G1,G2,g,p,ppub,w,H1,H2,H3)，PKG秘密安全地保存主私鑰s。

(2)用戶匿名身份和簽名私鑰生成。根據(jù)醫(yī)療用戶真實身份R ID∈{0,1}ρ和 登錄口令P WD，PKG為用戶產(chǎn)生匿名身份，以及相對應(yīng)的簽名私鑰：

(a)PKG隨機均勻地選取r←Zp?，并使用主私鑰s為用戶產(chǎn)生匿名身份信息A ID=(AID1,AID2)，其中A ID1=gr，A ID2=RID⊕H1(AID1s||ppub||T)，T為一個用戶匿名的有效使用周期。

(b)PKG使用主私鑰s計算匿名身份A ID對應(yīng)的簽名私鑰S KAID=(r+s)H2(AID)。

最后，PKG 通過安全信道返回{AID,SKAID,T}給相應(yīng)的醫(yī)療用戶。

(3)數(shù)字簽名生成。醫(yī)療用戶根據(jù)醫(yī)療健康數(shù)據(jù)文件生成如下數(shù)字簽名，并產(chǎn)生完整性驗證輔助信息：

(a)將醫(yī)療健康數(shù)據(jù)文件F(文件名為n ame∈Zp?)分塊預(yù)處理成F={m1,m2,...,mn}，mi ∈Zp?(i=1,2,...,n)。

(b)隨機均勻地選取η,κ,τ ←Zp，計算種子信息ψ1=η.κ.τ，ψ2=η2.κ2.τ，...，ψn=ηn.κn.τ，以及完整性驗證輔助信息A AI={η,κ,τ,H3(ψ1),...,H3(ψn)}。

(c)利用簽名私鑰 SKAID計算每個醫(yī)療數(shù)據(jù)塊mi(i=1,2,...,n)的 數(shù)字簽名信息Sigi=(wmiH3(name+ψi))SKAID。

最后，醫(yī)療用戶通過無線醫(yī)療傳感器網(wǎng)絡(luò)將({mi}1≤i≤n,{Sigi}1≤i≤n)上傳到云服務(wù)器，通過安全信道將AAI發(fā)送給TPA保存，并在本地端刪除副本。

(4)挑戰(zhàn)信息生成。當(dāng)收到醫(yī)療用戶授權(quán)TPA驗證存儲在云服務(wù)器的外包醫(yī)療數(shù)據(jù)完整性的請求時，TPA生成挑戰(zhàn)信息并發(fā)送給云服務(wù)器：

(a)TPA首先從集合{1,2,...,n}中隨機性地選取一個包含c個元素的子集J={j1,j2,...,jc}，并為每一個j ∈J匹配隨機系數(shù)vj ←Zp，發(fā)送挑戰(zhàn)信息chal={(j,vj)j∈J}給云服務(wù)器。

(b)在等待云服務(wù)器響應(yīng)期間，TPA基于完整性驗證輔助信息AAI={η,κ,τ,H3(ψ1),...,H3(ψn)}執(zhí)行預(yù)計算：

(6)完整性驗證。當(dāng)收到來自云服務(wù)器返回的完整性驗證證明響應(yīng)信息{μ,β,Sig}， TPA利用預(yù)計算值λ判斷完整性驗證方程e(g,Sig)=e((AID1·ppub)H2(AID),λβμ?β)是否成立。若成立，則說明醫(yī)療用戶存儲在云服務(wù)器上的醫(yī)療數(shù)據(jù)是完整的。反之，則醫(yī)療數(shù)據(jù)是不完整的。

3.2 方案正確性證明

現(xiàn)在對醫(yī)療健康數(shù)據(jù)完整性驗證方程的正確性進(jìn)行詳細(xì)推導(dǎo)為

證畢

3.3 多文件批量完整性驗證

支持條件身份匿名的外包云存儲醫(yī)療數(shù)據(jù)完整性驗證方案可以使得TPA對醫(yī)療用戶的多個醫(yī)療數(shù)據(jù)文件同時進(jìn)行批量驗證，具體拓展細(xì)節(jié)描述如下：

醫(yī)療用戶另外選定3個隨機系數(shù)γ,υ,θ ←Zp，這里假設(shè)用戶有d份醫(yī)療文件需要外包存儲在云服務(wù)器，它們的文件名分別是{name1,name2,...,named}。對于每一個?∈{ 1,2,...,d} ，n ame?=γ?υ?θ，每一份文件由n個數(shù)據(jù)塊組成，如：F?= {m?1,m?2,...,m?n}。數(shù)據(jù)文件F?對應(yīng)的種子信息集合為{ψ?i}1≤i≤n，對于i=1,2,...,n，ψ?i=η?·iκ?·iτ?·i。F?對應(yīng)的簽名集合是{Sig?1,Sig?2,...,Sig?n}， 對于i=1,2,...,n， Sig?i=(wm?iH3(name?+ψ?i))SKAID。

多文件批量完整性驗證過程的正確性證明為

證畢

通過以上多文件批量完整性驗證過程得知，TPA所需的驗證計算開銷與單個數(shù)據(jù)文件的計算開銷幾乎相同，與數(shù)據(jù)文件的個數(shù)沒有關(guān)系，這是源于方案設(shè)計中用到同態(tài)哈希函數(shù)技術(shù)，使得TPA在生成挑戰(zhàn)信息時，做了相關(guān)的預(yù)計算。因此本方案在TPA端的開銷是輕量級的。

4 安全性分析

現(xiàn)在，本文給出支持條件身份匿名的外包云存儲醫(yī)療數(shù)據(jù)完整性驗證方案的安全性分析，包括存儲正確性，用戶的條件身份隱私保護，以及防止TPA的數(shù)據(jù)恢復(fù)攻擊。

定理1 在概率多項式時間內(nèi)，方案中的云服務(wù)器試圖產(chǎn)生偽造的完整性驗證證明響應(yīng)信息，通過TPA的驗證在計算上是不可行的。

證明 TPA隨機地生成一個完整性驗證挑戰(zhàn)信息{(j,vj)j∈J}，并通過無線醫(yī)療傳感器網(wǎng)絡(luò)發(fā)送給云服務(wù)器。云服務(wù)器返回給TPA一個有效的完整性驗證證明響應(yīng)信息{μ,β,Sig}，其應(yīng)該通過驗證方程：e(g,Sig)=e((AID1·ppub)H2(AID),λβμ?β)。

在真實情況下，云服務(wù)器可能通過篡改或者替換部分?jǐn)?shù)據(jù)，偽造數(shù)字簽名等方式產(chǎn)生偽造的完整性驗證證明響應(yīng)信息通過TPA的驗證。首先，如果云服務(wù)器偽造某一個數(shù)字簽名 S igi為 S igi′，導(dǎo)致聚合簽名Sig?=Sig′ ，這樣e(g,Sig′)=e((AID1·ppub)H2(AID),λβμ?β)是不滿足的。

因此，本方案中的云服務(wù)器試圖產(chǎn)生偽造的完整性驗證證明響應(yīng)信息，通過TPA的驗證在計算上是不可行的。 證畢

定理2 支持條件身份匿名的外包云存儲醫(yī)療數(shù)據(jù)完整性驗證方案可確保用戶的條件身份隱私性。

證明 首先說明用戶身份對外的隱私性。在本方案中，每個醫(yī)療用戶用以唯一標(biāo)識真實身份信息的是 RID∈{0,1}ρ，PKG生成對應(yīng)的匿名身份：AID=(AID1,AID2) ，其 中A ID1=gr，A ID1與g是乘法循環(huán)群中的元素，在多項式時間內(nèi)，由于離散對數(shù)困難問題，敵手獲得了 A ID1與g而設(shè)法計算出r是可以忽略的。此外，PKG利用主私鑰s計算AID2=RID⊕H1(AID1s||ppub||T)，由于PKG是基于身份密碼體制中的權(quán)威可信實體，主私鑰s是PKG秘密保存的，不能被敵手獲取。因此，即使敵手獲取到了 AID1=gr和ppub=gs，基于CDH困難問題假設(shè)，敵手也無法計算出 A ID1s=grs，進(jìn)而不能完全恢復(fù)用戶的真實身份R ID。

5 性能分析

將本設(shè)計方案與相關(guān)方案在完整性驗證方面進(jìn)行性能分析與比較，這些方案分別是：RDIC方案[21]，IBPA方案[18]，以及CIPPPA方案[16]。為便于表述：用符號P air 表 示雙線性對算法運算時間，E xp表示普通模指數(shù)運算時間，M ult表示橢圓曲線中的倍點運算運行時間，A dd表示橢圓曲線上的加法運算時間，h a 表示普通哈希函數(shù)運算時間，m ult表示普通模乘運行時間， Ha表示哈希函數(shù)映射到基于橢圓曲線加法群上的點的運行時間。關(guān)于通信開銷，本文用 |n| 表示集合{ 1,2,...,n}中元素的大小，定義Zp中 元素比特長度為|p|； 此外，|G|是 循環(huán)群G元素的比特長度，定義零知識證明通信開銷的比特長度為| pf|。

本文將4個方案進(jìn)行實驗仿真分析與比較，實驗仿真以操作系統(tǒng)為Windows 10，處理器為Intel(R)Core(TM)I5-4210 2.40 GHz，內(nèi)存為4 GB的主機以及jpbc-2.0.0密碼庫為實驗環(huán)境，所有算法的計算開銷時間都使用C語言及其版本號為5.6.2密碼算法基礎(chǔ)函數(shù)庫MIRACL得出。

在本方案中，由于用戶存儲了審計輔助信息在TPA端，TPA在發(fā)送挑戰(zhàn)信息給云服務(wù)器之后，在等待云服務(wù)器響應(yīng)的時間內(nèi)，TPA可以預(yù)計算λ，在方案設(shè)計中，我們采用了同態(tài)哈希函數(shù)設(shè)計簽名，進(jìn)而將λ的計算復(fù)雜性優(yōu)化為常量，故而λ的計算可以忽略。在進(jìn)行完整性驗證時TPA僅需要 2次模指數(shù)運算、 2次雙線性對運算、2次普通模乘運算和1 次普通哈希運算，其計算開銷為2Exp+2Pair+2·mult+ha，同理經(jīng)過理論分析可以得到RDIC方案，IBPA方案，以及CIPPPA方案相應(yīng)的TPA端的計算開銷分別為(2c+6)·Exp+(c+1)·Pair +c·mu，lt(2c+4)·Mult+3Pair+(2c?1)·Add+(c+ 2)·Ha+(c+1)·ha ， 以 及(c+2)·Mult+3Pair+(c ?1)·Add+c·Ha+ha。這4 個方案在完整性驗證階段，TPA端的計算開銷的理論比較結(jié)果如表1所示。另外，在云服務(wù)器響應(yīng)完整性證明信息給TPA時，完整性證明響應(yīng)信息通信開銷為 2 |G|+|p|，我們也可以分析得到RDIC方案，IBPA方案，以及CIPPPA方案相應(yīng)的完整性驗證證明的通信開銷分別為3 |G|， 3 |G|+|p|，以及3|G|+|p|。這4個方案在TPA端產(chǎn)生的挑戰(zhàn)信息通信開銷、完整性證明響應(yīng)信息通信開銷的理論比較結(jié)果如表2所示。在這里圖3的實驗仿真結(jié)果表明了本設(shè)計方案比現(xiàn)有的數(shù)據(jù)完整性驗證方案更加輕量級，例如，當(dāng)挑戰(zhàn)數(shù)據(jù)塊的數(shù)量為 500時，TPA實際上大約只需要0.013 s就可以完成驗證任務(wù)，而在RDIC方案，IBPA方案，以及CIPPPA方案中，TPA分別大約需要3.8963 s, 4.9647 s和1.1098 s。在完整性驗證階段，TPA的驗證計算開銷幾乎常量，不會隨著挑戰(zhàn)數(shù)據(jù)塊數(shù)量的增加而增加。而在其他方案中，TPA的用于驗證完整性的時間都隨著挑戰(zhàn)數(shù)據(jù)塊的數(shù)量增加而增加，在挑戰(zhàn)數(shù)據(jù)塊的數(shù)量很大時，這將非常消耗TPA的計算資源。圖4的實驗仿真結(jié)果表明本設(shè)計方案在完整性驗證證明信息通信開銷方面低于IBPA方案和CIPPPA方案。本設(shè)計方案在完整性驗證證明信息通信開銷方面與RDIC方案一致，但在挑戰(zhàn)信息階段RDIC方案的通信開銷顯然遠(yuǎn)遠(yuǎn)高于其他方案，而且RDIC方案不具備本設(shè)計方案的條件匿名安全特性。因此，本設(shè)計方案在TPA端具有合理的通信開銷，而且根據(jù)前面可知，本方案計算開銷在隨著數(shù)據(jù)塊數(shù)量增加時，不會隨著數(shù)據(jù)塊數(shù)量呈線性增長趨勢，擁有更為明顯的計算效率優(yōu)勢。因此，從以上性能分析與實驗仿真結(jié)果可知，本設(shè)計方案在TPA的完整性驗證過程中，整體上在計算開銷與通信開銷方面也有較大優(yōu)勢。而且本設(shè)計方案同時確保了存儲正確性，用戶的條件身份隱私保護，以及防止TPA的數(shù)據(jù)恢復(fù)攻擊的安全特性，非常有利于本方案在云輔助無線醫(yī)療傳感器網(wǎng)絡(luò)環(huán)境的安全高效部署。

圖3 完整性驗證計算開銷實驗仿真

圖4 完整性驗證證明通信開銷實驗仿真

表1 完整性驗證計算開銷比較

表2 完整性驗證通信開銷比較

6 結(jié)束語

針對用戶身份隱私保護，云存儲醫(yī)療數(shù)據(jù)完整性，以及現(xiàn)有完整性驗證方案在TPA端計算開銷較大等問題，該文提出一種條件身份匿名的外包云存儲醫(yī)療輕量級數(shù)據(jù)完整性驗證方案。該方案結(jié)合同態(tài)哈希函數(shù)設(shè)計了一種基于身份的聚合簽名算法，來進(jìn)行高效安全的完整性驗證。方案是基于身份密碼系統(tǒng)設(shè)計的，有效避免了對公鑰證書的復(fù)雜管理，同時保證了用戶的身份隱私，也結(jié)合實體身份溯源技術(shù)來對系統(tǒng)中存在的惡意用戶進(jìn)行跟蹤、揭示和問責(zé)。安全性分析與性能評估結(jié)果表明本方案可以安全高效地部署在云輔助無線醫(yī)療傳感器網(wǎng)絡(luò)。