基于屬性加密的個人醫療數據共享方案

摘 要：目前有關共享醫療數據的研究中，存在患者對本人數據不可控、隱私泄露、共享效率低下等問題。針對這些問題，提出了一種基于屬性加密的個人醫療數據共享方案。該方案的優勢在于允許患者自主設置共享策略，實現了細粒度共享數據；設計屬性撤銷算法，及時變更用戶共享權限；結合可搜索加密技術實現多關鍵詞加密檢索；描述醫療場景驗證該方案合理性。安全性分析和實驗結果表明，該方案能夠在保護患者隱私的情況下，以較低的通信開銷實現患者個人醫療數據共享。

關鍵詞：醫療數據共享；屬性基加密；可搜索加密；隱私保護

中圖分類號：TP309 文獻標志碼：A 文章編號：1001-3695（2023）02-046-0589-06

doi：10.19734/j.issn.1001-3695.2022.06.0316

Personal medical data sharing scheme based on attribute encryption

Xue Qingshui，Shi Xuelei，Wang Junhua，Xue Zhen，Wang Chenyang

（School of Computer Science amp; Information Engineering，Shanghai Institute of Technology，Shanghai 201418，China）

Abstract：In the current research on sharing medical data，there are still problems such as patients’ lack of control over their data，privacy leakage and low sharing efficiency.To solve these problems，this paper proposed a personal medical data sharing scheme based on attribute encryption.In the proposed scheme，firstly，it allowed patients set a sharing policy independently to achieve fine-grained sharing.Secondly，it designed an attribute revocation algorithm to change user sharing permission in time.Thirdly，it combined searchable encryption technology to realize multi-keyword encrypted retrieval.Finally，it verified the rationality of the scheme by describing medical scenarios.The security analysis and experimental results show that the proposed scheme can effectively realize the sharing of patient medical data with low communication overhead while protecting the privacy of patients.

Key words：medical data sharing；attribute-based encryption；searchable encryption；privacy protection

0 引言

隨著社會和科學技術的發展，醫療基礎設施也在不斷更新，傳統的紙質病歷在未來會逐漸被電子醫療病歷或電子健康記錄（electronic health record，EHR）所替代。傳統的紙質病歷攜帶不方便，而且一旦記錄過多時，查找其中某條記錄較為麻煩且紙質病歷容易丟失。而EHR作為新型個人身體健康電子資料，具有便捷、綠色、實用等特點。

近些年來，已有部分醫院將患者信息和就診數據記錄在醫院內部系統中，但是患者依然需要打印紙質病歷自身攜帶。由于患者本人對醫院系統中存儲的個人醫療數據沒有控制權，若患者更換醫院就診，會因為各醫院間醫療數據不共通的原因，使得患者需要進行重復的身體檢查，造成了就醫效率低下，醫療資源浪費的現象。要解決以上問題，需要使用EHR代替紙質病歷，不同醫院可以訪問同一個醫療云系統，得到患者授權后就可以共享該患者的歷史用藥記錄、醫療儀器檢查報告等個人健康信息。對于醫患雙方，可以有效提升就醫效率，享受智慧醫療帶來的便捷。

醫療云系統中的個人EHR數據安全且有效共享是目前智慧醫療領域中的研究熱點［1，2］。數據安全有效共享是指數據在云中被共享時能夠保護數據所有者的隱私，即只有指定用戶或是符合一定條件的用戶才能得到正確的數據。數據的安全性和數據隱私對于用戶至關重要，如何妥善保護用戶在云上存儲的數據成為云存儲系統中一個具有挑戰性的問題。數據訪問控制是一種有效保障云端數據安全的方式。屬性加密技術被認為是云存儲中最常見的數據訪問控制技術之一，該技術能為云中數據所有者提供更直接的控制訪問策略，同時還能夠提供內在的安全防護，使其能夠最大限度地減少云系統中的安全攻擊和威脅。

屬性加密（attribute-based encryption）的相關概念是在2005年被Sahai等人［3］首次提出，將訪問結構巧妙地融合在加密技術當中，基于屬性的加密方案使得對用戶的描述不局限于一個用戶身份，而是可以將用戶描述為若干屬性組成的集合。同時，屬性加密技術可根據訪問結構嵌入的位置不同而分為密文策略屬性加密（ciphertext policy attribute-based encryption，CP-ABE）和密鑰策略屬性加密（key policy attribute-based encryption，KP-ABE），其中CP-ABE是對用戶的屬性進行描述，KP-ABE是對被加密數據文件的屬性進行描述。由于在CP-ABE方案中，數據擁有者可以決定數據的訪問權，所以當前研究人員對CP-ABE的研究相對較多。

雖然基于屬性加密方案比基于證書加密方案和基于身份加密方案有較多的優勢，但是經典的ABE算法中存在許多問題，如加解密計算的效率問題、合謀攻擊問題和屬性撤銷問題等。影響ABE效率的主要原因是其方案采用了雙線性對運算，而雙線性對運算相較于其他運算更加耗時，為解決這一問題，Attrapadung等人［4］將解密算法中的雙線性對運算轉換成模冪運算，從而減少雙線性對運算次數，提升效率；趙志遠等人［5］提出一種支持完全外包的ABE方案，間接降低屬性中心與用戶端計算開銷，計算外包的同時也需要關注外包數據的安全，不能泄露用戶的隱私數據。王悅等人［6］關注到訪問策略帶來的隱私泄露問題，采用合數階雙線性群構造了一種基于包含正負及無關值的與門訪問策略方案。張文芳等人［7］提出了支持細粒度屬性直接撤銷的CP-ABE方案，通過引入屬性撤銷列表設計了密文重加密算法，實現了細粒度用戶屬性撤銷功能，該方案中用戶完成了屬性的撤銷，屬于直接撤銷方式。但是目前大多數方案都是間接撤銷方案，即由授權中心完成對用戶屬性的撤銷，在嚴新成等人［8］所提出的方案中，由授權中心撤銷系統內部屬性或用戶屬性。

EHR系統是一個由政府、醫療機構、研究機構等共同組成的個人醫療數據共享系統［9～13］，系統內部主要記錄著用戶身體健康情況、就醫記錄和病歷等信息。目前，電子病歷也在發展當中，但由于醫院之間所使用的系統相互隔離，所以未能做到相互共享數據，EHR系統就是為解決這個問題而提出的。

在目前的研究當中，張磊等人［13］ 提出了基于區塊鏈的電子病歷可控共享模型，該模型將文獻［14］提出的云存儲中多關鍵字搜索加密算法結合區塊鏈技術應用于醫療場景中，采用云鏈協同的方式存儲并管理用戶EHR數據。在羅恩韜等人［15］提出的移動醫療系統中，患者數據的所有權、加密權不在患者手中，而是由醫生來代替用戶對所有的隱私數據加密處理，這樣需要保證醫生是完全可信的。牛淑芬等人［16，17］先后提出了基于區塊鏈技術、可搜索加密技術的EHR數據共享方案，文獻［16］結合區塊鏈重點研究了電子病歷數據在共享過程中的安全搜索與隱私保護問題，文獻［17］將研究重點放在了EHR數據驗證與多關鍵字搜索等問題上。

本文方案的創新主要有如下幾點：

a）本文方案通過結合屬性加密和可搜索加密技術，實現了醫療云系統中細粒度訪問控制、多關鍵字搜索、隱私保護等功能，且支持患者自主設置其密文訪問策略，進一步保障了用戶的權利。

b）本文方案考慮了用戶屬性更新情況，定義了屬性更新算法，使得本方案更具功能性。

c）通過詳細描述EHR共享方案場景案例對方案進行驗證，方便理解方案過程。

d）對本文方案進行安全分析和性能分析，證明了本文方案可以抵抗用戶合謀攻擊，可以確保關鍵字保密性，相比其他方案也擁有較高的計算效率。

1 理論基礎知識

1.1 雙線性映射

雙線性映射在密碼系統中有著很重要的作用，是屬性基加密方案的數學基礎之一。設G0、G1、GT都是階為素數p的乘法循環群，雙線性映射e：G0×G1→GT具備以下三個特性：

1.2 線性秘密共享

線性秘密共享方案（linear secret sharing scheme，LSSS）的定義如下：如果在一組參與方集合P上的一個秘密共享方案∏具備下面兩個條件，則被稱為Zp上的線性秘密共享方案。

a）每一個參與方的秘密份額構成Zp上的一個向量。

b）存在一個矩陣M（m×d），稱為∏的生成矩陣，對所有i=1，2，…，m，M的第i行Mi被標識為參與方ρ（i）（ρ：{1，2，…，m}→P），ρ為單射函數，有列向量v=（s，r2，r3，…，rd）T，其中s∈Zp是將要被共享的秘密值，而r2，r3，…，rd∈Zp是隨機數，則向量Mv為秘密s的m個秘密份額形成的向量，其中λi=（Mv）i表示參與方ρ（i）所持有的秘密份額。

LSSS方案具有線性重構特性，假定一個線性密鑰共享方案∏的訪問策略為A，設S∈A是一個屬性授權集合，定義為I={i：ρ（i）∈S}。如果{λi}是對秘密值s的有效共享份額，那么可以在多項式時間內找到一組常數{ωi∈Zp}i∈I，使等式∑i∈Iωiλi=s成立。

2 EHR數據共享方案

2.1 EHR數據共享方案設計目標

a）數據安全共享。利用云平臺的優勢，在人人可接入云的情況下，為保證數據安全，數據必須在加密狀態下進行共享，降低患者隱私被泄露的風險。

b）數據高效共享。采用屬性加密技術，具有“一人加密，多人可解密”的優勢，避免了傳統模式下在給n個人共享數據時需要分別加密n次的問題，提高了數據分享的效率。

c）數據細粒度共享。患者在加密數據的同時設置了密文的訪問策略，只有符合訪問策略的用戶才能正確解密，針對解密用戶，在屬性級別進行細粒度的區分，確保數據的細粒度共享。

d）數據安全搜索。構建安全可靠的可搜索方案，在進行搜索的同時不泄露關鍵詞內容，支持多關鍵詞的串聯搜索。

2.2 方案模型介紹

本文設計了一種EHR數據共享模型，共包含權威中心（authority center，AC）、醫療云服務提供商（medical cloud ser-vice provider，MCSP）、EHR數據屬主（EHR data owner，EDO）、EHR數據用戶（EHR data user，EDU）四個實體，如圖1所示。本文提出將AC和MCSP共同構成醫療云系統，該系統支持對所有用戶的EHR數據存儲、管理、搜索、共享等服務。用戶通過身份注冊后可以使用該系統，管理個人電子病歷、體檢記錄等健康數據文件，自主定義數據共享規則（即訪問控制策略）。具體數據共享流程在第3章詳細介紹。該模型力求采用更少的實體，以此降低數據傳輸過程中密文泄露的風險，減少實體間通信量，結合本文提出的算法設計，高效實現EHR數據共享方案的設計目標。

對EHR數據共享模型中的實體介紹如下：

a）AC是系統中的中心機構，負責生成全局參數，也是系統中的密鑰中心，為用戶分配公私鑰對，認證用戶屬性，為用戶分發基于屬性的私鑰。

b）MCSP是系統中可提供強大存儲能力和通信能力的服務商，主要負責系統中存儲、管理密文數據和關鍵詞搜索等服務。

c）EDO是指在醫院就診的患者。EDO負責生成EHR關鍵詞索引，將個人EHR數據加密后上傳到MCSP中存儲，設置文件共享的訪問策略。

d）EDU是指訪問醫療云中EHR數據的用戶，例如醫生、營養師、研究人員等。EDU提供關鍵詞在MCSP中檢索，將檢索到的密文數據下載到本地終端，然后利用個人密鑰對密文解密，若EDU的屬性集滿足密文的訪問策略，則可正確訪問EHR數據，否則EDU不能正確解密。

2.3 算法定義

EHR數據共享方案包含以下算法：

a）Setup（1κ）→（PP，SMK，（pkuser，skuser））初始化算法。該算法的作用是為系統全局設置新的安全參數和主要密鑰用于后續算法的執行。AC執行此算法，生成系統內公共參數PP和系統主密鑰SMK，并且為系統內每位注冊用戶生成用于文件簽名的公私鑰對（pkuser，skuser）。

b）KeyGen（S，SMK）→（SK）密鑰生成算法。該算法的作用是AC為EDU生成屬性私鑰，EDU在SearchandDecrypt算法中使用私鑰參與解密計算。AC執行此算法，根據用戶的屬性集S為用戶生成屬性私鑰SK。

c）IndexGen（PP，F，W）→（IW）文件索引生成算法。該算法的作用是為EDO共享的EHR文件根據關鍵字建立索引，供EDU在SearchandDecrypt算法中搜索計算。EDO執行此算法，EDO為將被共享的文件F建立關鍵字索引，便于EDU在醫療云服務器中搜索，根據關鍵字集W生成關鍵字索引IW。

d）Encrypt（PP，ki，（M，ρ））→（CT）加密算法。該算法作用是對EHR文件加密，密文在上傳至MCSP后供滿足訪問策略的EDU在SearchandDecrypt算法中下載解密。EDO執行此算法，EDO定義用戶訪問策略（M，ρ），將對稱密鑰ki作為屬性加密的對象進行加密，生成密文CT。其中對稱密鑰ki用于加密共享EHR文件Fi。

e）Trap（PP，W′）→（Tok）陷門生成算法。該算法的作用是當EDU需要在MCSP中獲取EHR數據時，根據搜索關鍵詞生成的搜索陷門，在SearchandDecrypt算法中進行與文件索引的匹配計算，不泄露關鍵字內容。EDU執行此算法，使用搜索關鍵字集W′生成搜索陷門Tok。

f）SearchandDecrypt（Tok，IW，CT，SK）→（⊥/Fi）文件搜索與解密算法。該算法的作用是MCSP對收到的搜索陷門與存放在云服務器中的文件索引進行匹配搜索，并將搜索到的EHR數據發送給EDU，EDU使用個人屬性私鑰嘗試解密。MCSP執行搜索算法，根據搜索陷門Tok和關鍵字索引IW進行匹配計算，若匹配成功，向EDU返回搜索密文CT，匹配失敗，返回⊥。EDU執行解密算法，在收到MCSP返回的密文后，使用屬性私鑰SK對密文CT進行解密，若屬性集符合EDO定義的訪問策略，則可解密成功，獲得EHR共享數據，否則解密失敗。

g）UpdateAtt（SMK）→（SUK）屬性私鑰更新算法。此算法的作用是當用戶的屬性發生變更時，為用戶及時更新屬性私鑰，私鑰更新后，用戶使用新私鑰執行SearchandDecrypt算法。AC執行此算法，根據SMK中的屬性參數為待更新屬性用戶生成更新密鑰SUK。該用戶自行更新屬性私鑰，且原私鑰失效。

2.4 安全模型

EHR數據模型中需要保護關鍵字隱私，防止惡意用戶從關鍵字中獲取用戶有效信息，在本節對關鍵字保密游戲安全模型進行介紹。

初始化：挑戰者B運行Setup算法生成系統公共參數PP和系統主密鑰SMK，將PP發送給攻擊者A，而SMK是B獨自持有的。

階段1 A向預言機OTrap進行多項式有界次詢問，B維護一個空的關鍵字列表LW。

-OTrap（PP，W）：輸入公共參數PP和關鍵字集W，B計算相應的陷門Tokw發送給A，然后B將W添加到列表LW中。

挑戰：A選擇長度相同但是不屬于LW的關鍵字集W0和W1，B選擇一個比特b∈（0，1）生成關鍵字集Wb的索引IWb，并發送給A，當然A不能從預言機OTrap詢問到b。

階段2 A向預言機OTrap進行與階段1相同的詢問，但是關鍵字集W0和W1不能被詢問到。

猜測：A輸出一個猜測位b′，若b′=b，A贏得游戲。

A在贏得關鍵字保密游戲的優勢可以描述為AdvA=|Pr［b′=b］-1/2|。如果攻擊者A在這個游戲中不具有不可忽略優勢，則表明本方案可實現關鍵字保密。

3 EHR數據共享方案構造與設計

3.1 系統初始化

4 方案驗證與分析

4.1 方案場景化介紹

本節通過描述一個應用場景對方案進行驗證。

假設多家醫院、健康中心、科研院所共同使用本文提出的醫療云系統，相互之間需要共享一些醫療數據。系統中的用戶需要先注冊才能正常使用，普通用戶使用本系統查看自己的相關病歷數據，所以只需簡單的身份注冊，填寫基本的個人信息（姓名、性別、年齡、聯系方式、郵箱等），系統權威中心根據患者基本信息為其分發屬性私鑰，該私鑰可用于解密本人的EHR數據；而想要訪問其他用戶病歷數據的用戶，如醫生、科研人員等用戶在系統中進行注冊時，需提交相關的身份證明（包含個人身份信息和工作單位開具的工作證明），并經過權威中心的審核，審核通過后，為該用戶頒發相應的屬性證書及屬性私鑰。所有用戶僅需在醫療云系統中注冊一次，若用戶屬性發生變化，可通過屬性撤銷的方式為其更新屬性私鑰，變更該用戶的解密權限。

根據以上介紹，定義以下用戶：Alice，患者，就醫結束后通過在醫療云系統中進行身份注冊，注冊成功后，權威中心根據Alice提交的身份信息（包含姓名、性別、年齡、聯系方式、郵箱等屬性）為Alice分發屬性私鑰；Bob，XX醫院肛腸科醫生，在醫院入職后，根據醫院為其出具的證明和個人身份信息在醫療云系統中進行身份注冊，權威中心審核通過后為Bob頒發屬性證書，其中包含姓名、性別、年齡、聯系方式、郵箱、XX醫院、肛腸科、醫生等屬性，權威中心為Bob分發屬性私鑰；Carol，YY科研院腸道疾病專業研究員，在科研院做研究期間，Carol可以根據科研院開具的學習證明和個人信息在醫療云系統中進行身份注冊，權威中心審核通過后為Carol頒發屬性證書，其中包含姓名、性別、年齡、聯系方式、郵箱、YY科研院、腸道疾病專業、研究員等屬性，權威中心為Carol分發屬性私鑰。具體為EDU分發密鑰過程見3.2節。

Alice因腸胃不適到醫院就醫，Bob為Alice進行診斷并在醫療云系統中為Alice生成一份電子病歷（即EHR數據），Alice作為這份EHR數據的所有者，為保護自己的隱私信息，Alice需要對EHR數據進行加密處理，不能讓其他用戶隨意訪問，但是為了后續就醫查看以往病歷方便，Alice在手機或電腦等終端設備上設置一個訪問控制策略為“（部門：肛腸科） and（職業：醫生or護士）”，可解釋為“在醫療云系統中，只有同時具備‘肛腸科’‘醫生’或者‘肛腸科’‘護士’兩個屬性時才能夠成功訪問Alice的EHR數據”。

Alice設置訪問策略完畢后，醫療云系統需要做的工作是，首先將Alice的EHR數據按照一定大小進行切分，對切分后的數據提取關鍵詞，建立關鍵詞索引表，對每份數據文件使用Alice的簽名私鑰分別進行簽名，并使用AES加密算法加密，系統將上述訪問控制策略轉換為一個矩陣，Alice采用屬性加密算法加密AES對稱密鑰，將訪問策略嵌入到密文當中，加密完成后，將文件簽名、關鍵字索引表、數據密文以及對稱密鑰密文上傳至醫療云服務器中。具體建立索引和EHR數據加密過程見3.3和3.4節。

Alice再次就醫時，不管是Bob，還是另外一家醫院的肛腸科醫生，因為該類用戶都具有“肛腸科”“醫生”的屬性，所以可以使用AC分發的屬性私鑰解密Alice的加密病歷。具體解密過程見3.6節。但是其他科室的醫生，因為屬性不符合Alice設置的訪問策略，在解密過程中恢復不出秘密值，無法最終解密，不能查看Alice的病歷，這樣將患者個人數據的控制權完全放在患者本人手中，在一定程度上保護了用戶隱私。Bob解密后，可通過驗證簽名確定該數據確為Alice的EHR數據。

Carol在做關于腸道疾病研究工作，需要對真實案例分析時，在醫療云系統中輸入相關關鍵字，比如“肛腸”“直腸”等，具體搜索陷門生成過程與搜索過程見3.5和3.6節，系統向Carol返回搜索結果，其中包含了Alice等多位患者的EHR數據密文，Carol能否解密在于Carol的屬性是否符合患者設置的訪問策略，由于Alice此時設置的策略為“（部門：肛腸科） and（職業：醫生or護士）”，那么系統向Carol返回的Alice病歷密文是無用的。若Alice有意向科研機構共享數據，并重新設置訪問策略為“（部門：肛腸科 or 腸道疾病專業） and（職業：醫生 or 護士 or 研究員）”。由于Alice重新調整了訪問策略，醫療云系統對Alice的EHR數據重加密上傳到云服務器中，代替原先密文。此時，Carol便可成功共享Alice的EHR數據。

4.3 機密性分析

由于醫療云服務提供商是半可信實體，它為用戶提供存儲和下載服務，但是它也可能會被惡意用戶利用，竊取EHR數據文件，所以對于存放在MCSP的數據文件要進行加密處理，且在解密時，EDU應將密文下載回本地，禁止將用戶個人屬性私鑰SK提交給MCSP在云端解密。

4.3.1 抗合謀攻擊

本文提出的EHR數據共享方案可抵抗惡意用戶之間的合謀攻擊。在本系統內，若兩個EHR數據用戶擁有相同屬性x，那么這兩個用戶都擁有關于屬性x的相同的屬性標識符PAIx，但是在分發用戶屬性私鑰時，AC是根據用戶的屬性證書來進行計算的，且為用戶生成的隨機參數t，為每個用戶生成的t是互不相同的，進而Dx=PAItx，所以即使兩個用戶的屬性相同，密鑰也是完全不同的。若用戶之間合謀PAIx，由于用戶無法獲得參數t而無法計算出Dx；若用戶之間合謀Dx，會因為參數t的不一致而無效，所以本文方案能夠抵御合謀攻擊。

4.3.2 關鍵字保密性證明

定理1 對于給定一個單向散列函數H2，本文方案在隨機預言機中可以保證關鍵字的保密性。

證明 本文采用一種模擬攻擊游戲進行證明。在攻擊游戲中，攻擊者A的目標是區分gbσi·gβH2（w0）和gbσi·gβH2（w1），輸入一個數字ξ∈Zp，假設A區分gbσi·gβH2（w0）和gbσi·gβH2（w0）的優勢與區分gξ和gbσi的優勢相同。

初始化：挑戰者B隨機確定四個元素α，β，a，b∈Zp，選取一個抗沖突散列函數H2：{0，1}→Zp，確定公共參數PP={H2，gα，gβ，ga，gb}和系統主密鑰SMK={α，β，a，b}。挑戰者B將PP發送給攻擊者A，將SMK私密保存，不予公開。

階段1：攻擊者A向挑戰者B以下面方式詢問OTrap。

-OTrap（PP，W′）：挑戰者B隨機選擇u∈Zp，根據公共參數PP和關鍵字集W′，φ=∏m′j=1guH2（w′j），=gub，計算生成搜索陷門Tok=（φ，，gu）。

挑戰：A選定字節長度相同但是不屬于W′的關鍵字W0和W1，挑戰者B選擇σi∈Zp，隨機選擇一個比特b∈（0，1），如果b=0，B輸出Ii=gσi，Ii，j=gbσi×gβH2（w0）；如果b=1，B輸出Ii=gσi，Ii，j=gbσi×gβH2（w1）。

階段2：與階段1一致，但是在詢問OTrap預言機過程中不能詢問到關鍵字w0和w1。

4.4 性能分析

4.4.1 功能比較

本文方案的功能優勢主要體現在細粒度訪問控制、支持多關鍵字搜索、隱私保護、支持屬性更新、結果驗證等方面，將本文方案與目前已提出的EHR數據共享方案進行功能比較，比較結果如表1所示。

在表1中可以看出，相比于其他方案，本文方案功能設計較為全面，特別是支持屬性更新（撤銷）功能。在CPABE方案中，用戶屬性是用戶權限的體現，隨著用戶社會關系發生變化，用戶的屬性也要隨著改變，所以在醫療云系統中，不得不考慮數據用戶屬性更新的問題。因此，本文方案更具功能性。

4.4.2 計算開銷和通信開銷

設群G和GT中的元素長度為|G|和|GT|，域Zp中元素長度為|Zp|，a表示用戶屬性集中屬性的個數，b表示訪問策略中屬性個數，c表示索引中關鍵字個數，d表示用戶EHR數據文件被切分為d份，e表示一次對運算，f表示一次指數運算，h表示一次哈希運算，k表示一次AES對稱加密運算，l表示用戶提交的關鍵詞個數。由于乘法與加法運算與以上運算的計算開銷相比較小，所以不進行統計。

在表2中，給出本文與文獻［17］的計算開銷對比，包含了密鑰生成、數據加密、陷門生成、搜索匹配與解密過程中的計算開銷，其中EDO生成文件索引的計算開銷被計算在文件加密過程中。在表3中，給出了本文與文獻［17］的通信開銷對比，主要考慮了AC向EDU分發密鑰、EDO上傳密文和EDU向MCSP發送搜索陷門的通信開銷。通過對比可以看出，本文方案所需計算和通信開銷都低于文獻［17］方案，更適用于醫療云場景當中，提高了EHR數據共享效率，提升了用戶的使用體驗。

4.5 實驗分析

本節對仿真實驗結果進行分析，實驗環境為Windows 64位操作系統，Intel CoreTM i7-10700 CPU@2.90 GHz，內存24.0 GB，采用Java語言編寫實驗代碼，使用JPBC（Java pairing-based cryptography）庫在密鑰生成時間、索引生成時間、搜索陷門生成時間和搜索解密時間進行實驗模擬，仿真結果如圖2所示。

如圖2（a）所示，在AC為用戶生成密鑰階段可以看出，密鑰生成時間與用戶屬性集中屬性個數線性相關，相較于文獻［17］，隨著用戶屬性個數增多，本文方案能夠更快地為用戶分配密鑰。在EHR數據加密階段，由于文件索引關鍵字數量和訪問策略屬性個數共同影響加密計算時間，圖2（b）為控制索引中關鍵字個數|c|為10個，改變訪問策略中屬性個數|b|從10變化到60，兩方案加密所需時間相近，而圖2（c）為控制|b|=10，改變|c|從10變化到60，隨著關鍵詞個數的增加，本文方案生成索引所需計算時間多于文獻［17］，但在實際應用中，由于每份文件會按文件大小分成文件集，每份子文件包含關鍵字個數數量有限，所以并不會影響用戶使用體驗。文獻［17］為用戶生成搜索陷門時，用戶屬性需要參與計算過程中，而本文方案則只需要用戶提交的關鍵字即可，故本文方案在此過程中效率較高，圖2（d）是令|a|=10時，用戶提交關鍵字個數從10變化到60的仿真結果。數據搜索過程中，用戶提交關鍵字個數影響搜索時間，圖2（e）是令|a|=10時，|l|從10變化到60時的計算開銷；數據解密時，用戶屬性影響解密時間，圖2（f）是令|l|=10時，|a|從10變化到60時的計算開銷。由圖2（e）和（f）可以看出，兩方案在搜索解密階段所需計算開銷相近，基本符合表2分析的計算復雜度。綜合來看，本文方案在AC生成密鑰和EDU生成搜索陷門階段優于文獻［17］。

5 結束語

本文提出了一種在智慧醫療場景中個人醫療數據共享方案，該方案實現了EHR數據安全、高效共享的設計目標。相較于目前的紙質病歷，或者是未經加密處理的電子病歷數據，本文方案可以保護數據的機密性、完整性和不可否認性。安全性分析表明，本文方案具有一定的安全性，能夠很好地實現方案目標功能，保護用戶隱私。性能分析和實驗分析表明，本文方案相較于其他EHR數據共享方案，在計算開銷和通信開銷上具有一定優勢。在未來的研究工作中，將考慮進一步完善醫療云系統，在該系統中添加更多的服務功能，實現字段加密以及多種搜索模式等功能。

參考文獻：

［1］Mukherjee S，Ray I，Ray I，et al.Attribute based access control for healthcare resources［C］//Proc of the 2nd ACM Workshop on Attribute-Based Access Control.New York：ACM Press，2017：29-40.

［2］Lin Hanyu，Jiang Yanru.A multi-user ciphertext policy attribute-based encryption scheme with keyword search for medical cloud system［J］.Applied Sciences，2020，11（1）：63.

［3］Sahai A，Waters B.Fuzzy identity-based encryption［C］//Proc of the 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques.Berlin：Springer，2005：457-473.

［4］Attrapadung N，Herranz J，Laguillaumie F，et al.Attribute-based encryption schemes with constant-size ciphertexts［J］.Theoretical Computer Science，2012，422：15-38.

［5］趙志遠，王建華，徐開勇，等.面向云存儲的支持完全外包屬性基加密方案［J］.計算機研究與發展，2019，56（2）：442-452.（Zhao Zhiyuan，Wang Jianhua，Xu Kaiyong，et al.Fully outsourced attribute-based encryption with verifiability for cloud storage［J］.Journal of Computer Research and Development，2019，56（2）：442-452.）

［6］王悅，樊凱.隱藏訪問策略的高效CP-ABE方案［J］.計算機研究與發展，2019，56（10）：2151-2159.（Wang Yue，Fan Kai.Effective CP-ABE with hidden access policy［J］.Journal of Computer Research and Development，2019，56（10）：2151-2159.）

［7］張文芳，陳楨，劉旭東，等.支持細粒度屬性直接撤銷的CP-ABE方案［J］.軟件學報，2019，30（9）：2760-2771.（Zhang Wenfang，Chen Zhen，Liu Xudong，et al.CP-ABE scheme supporting fine-grained attribute direct revocation［J］.Journal of Software，2019，30（9）：2760-2771.）

［8］嚴新成，陳越，巴陽，等.支持用戶權限動態變更的可更新屬性加密方案［J］.計算機研究與發展，2020，57（5）：1057-1069.（Yan Xincheng，Chen Yue，Ba Yang，et al. Updatable attribute-based encryption scheme supporting dynamic change of user rights［J］.Journal of Computer Research and Development，2020，57（5）：1057-1069.）

［9］Chen Lanxiang，Lee W，Chang C，et al.Blockchain based searchable encryption for electronic health record sharing［J］.Future Generation Computer Systems，2019，95：420-429.

［10］Wang Yong，Zhang Aiqing，Zhang Peiyun，et al.Cloud-assisted EHR sharing with security and privacy preservation via consortium blockchain［J］.IEEE Access，2019，7：136704-136719.

［11］李曉蓉，宋子夜，任婧怡，等.云計算中基于屬性的可搜索加密電子病歷系統［J］.計算機科學，2017，44（S2）：342-347.（Li Xiaorong，Song Ziye，Ren Jingyi，et al.Attribute-based searchable encryption of electronic medical records in cloud computing［J］.Computer Science，2017，44（S2）：342-347.）

［12］Shen Bingqing，Guo Juozhi，Yang Yilong.MedChain：efficient healthcare data sharing via blockchain［J］.Applied Sciences，2019，9（6）：1207.

［13］張磊，鄭志勇，袁勇.基于區塊鏈的電子醫療病歷可控共享模型［J］.自動化學報，2021，47（9）：2143-2153.（Zhang Lei，Zheng Zhiyong，Yuan Yong.A controllable sharing model for electronic health records based on blockchain［J］.Acta Automatica Sinica，2021，47（9）：2143-2153.）

［14］Sun Jin，Ren Lili，Wang Shangping，et al.Multi-keyword searchable and data verifiable attribute-based encryption scheme for cloud storage［J］.IEEE Access，2019，7：66655-66667.

［15］羅恩韜，段國云，周雷，等.移動醫療中一種匿名代理可追蹤隱私保護方案［J］.計算機研究與發展，2020，57（5）：1070-1079.（Luo Entao，Duan Guoyun，Zhou Lei，et al.An anonymous agent tracking privacy preserving scheme in mobile healthcare system［J］.Journal of Computer Research and Development，2020，57（5）：1070-1079.）

［16］牛淑芬，陳俐霞，李文婷，等.基于區塊鏈的電子病歷數據共享方案［J］.自動化學報，2022，48（8）：2028-2038.（Niu Shufen，Chen Lixia，Li Wenting，et al. Electronic medical record data sharing scheme based on blockchain［J］.Acta Automatica Sinica，2022，48（8）：2028-2038.）

［17］牛淑芬，宋蜜，方麗芝，等.智慧醫療中基于屬性加密的云存儲數據共享［J］.電子與信息學報，2022，44（1）：107-117.（Niu Shufen，Song Mi，Fang Lizhi，et al. Cloud storage data sharing based on attribute encryption in smart healthcare［J］.Journal of Electro-nics amp; Information Technology，2022，44（1）：107-117.）

［18］屠袁飛，夏峰，楊庚.面向個人健康記錄并支持屬性撤銷的訪問控制［J］.小型微型計算機系統，2017，38（4）：834-838.（Tu Yuanfei，Xia Feng，Yang Geng.Personal health record using attribute-based access control supporting attribute revocation［J］.Journal of Chinese Computer Systems，2017，38（4）：834-838.）

收稿日期：2022-06-18；修回日期：2022-08-09 基金項目：國家自然科學基金資助項目（61672350，61170227）；教育部基金資助項目（39120K178038，14YJA880033）；國家社會科學基金資助項目（16BGL003）

作者簡介：薛慶水（1971-），男（通信作者），山東濟南人，教授，碩導，博士，主要研究方向為網絡安全、新型密碼體制（xue-qsh@sit.edu.cn）；時雪磊（1997-），男，河南南陽人，碩士研究生，主要研究方向為網絡安全、屬性加密技術；王俊華（1997-），女，河南商丘人，碩士研究生，主要研究方向為云計算安全；薛震（1995-），男，山東菏澤人，碩士研究生，主要研究方向為網絡安全；王晨陽（1996-），女，安徽阜陽人，碩士研究生，主要研究方向為屬性加密．