智慧醫療環境下白盒可追溯的CP-ABE 方案

方子旋，曹素珍，閆俊鑒，盧彥霏，何啟芝，王彩芬

（1.西北師范大學 計算機科學與工程學院，蘭州 730070；2.深圳技術大學 大數據與互聯網學院，廣東 深圳 518118）

0 概述

在5G 移動通信技術的快速發展下，物聯網［1-2］成為全球關注的熱點領域，智能生活［3］時代已經到來。隨著現代醫療水平的不斷提高，智慧醫療［4-5］作為智能生活中的重要組成部分，給人們帶來了極大的便利，顯著地促進了醫患間的溝通與互動，醫護人員可以隨時獲取對應患者的健康信息和最新的診療報告，為患者快速診斷疾病和制定治療計劃，也使患者能及時了解自身的健康情況。在智慧醫療系統中，通常將患者的健康信息存儲于能提供數據訪問的云服務商（Cloud Service Provider，CSP）［6-7］，但云服務商通常被認為是不可信的，如果數據遭到惡意泄露，這將會對患者造成巨大傷害。因此，對患者的健康信息進行加密［8-10］是一個亟待解決的問題。

在智慧醫療系統中，患者無須提前知道具體哪位醫護人員能查看其健康信息，且為了增強患者健康隱私的安全性，要求只有與患者病情相關的醫護人員才能訪問該患者的健康信息，即除了保護患者健康信息的安全性，還需要滿足“一對多”的數據共享以及靈活的訪問控制。文獻［11］提出密文策略屬性基加密（Ciphertext-Policy Attribute Based Encryption，CP-ABE）方案，數據擁有者（Data Ower，DO）通過在密文中嵌入制定的訪問策略精準地控制解密密文的數據使用者（Data User，DU），具有細粒度的訪問控制，完全符合智能醫療系統的實際需求。患者只需根據授權者的屬性制定加密健康信息的訪問策略，若用戶的屬性滿足患者定義的訪問策略，即可解密密文獲取對應的健康信息。近年來提出的屬性加密方案［12-14］是將訪問策略和密文一起存儲在云服務器上，但訪問策略中常常會包含一些敏感信息。例如，某醫院醫療系統中患者設置的訪問策略為｛市級醫院，精神科，醫師｝，其中屬性“精神科”屬于敏感信息，容易泄露患者健康隱私。為了解決這一問題，文獻［15］提出一種具有完全隱藏訪問策略的屬性基加密（Attribute Based Encryption，ABE）方案，訪問策略采用與或門形式，當授權機構為用戶生成私鑰時無法獲取用戶的GID 信息，因而避免了用戶遭受惡意機構的攻擊，但由于該方案將訪問策略完全隱藏，使計算開銷太大，不適用于實際應用。文獻［16］提出一種部分隱藏訪問策略的屬性基加密方案，將屬性分為屬性名和屬性值兩部分，通過將訪問結構的屬性值隱藏來保護用戶的敏感信息，但該方案無法滿足大規模分布式的需求，且計算效率較低。隨后文獻［17］對文獻［16］的方案進行了改進，并將其應用于智能健康系統。文獻［18］提出一種線性秘密共享訪問結構的屬性基加密方案，通過使用屬性過濾器靈活地隱藏了部分訪問策略，高效實現了對用戶的隱私保護。

除了需要考慮隱藏訪問策略來保護患者的敏感信息外，還需要考慮如何解決惡意用戶因販賣患者健康信息將解密密鑰泄露給第三方以謀取暴利的問題。在CP-ABE 方案中，密文的解密密鑰與多個用戶共享的屬性集相關聯，與用戶身份信息無關，因此無法判斷具體是誰泄露密文。例如，Alice 和Bob 的屬性集都包含｛精神科，醫師｝，他們可以訪問由｛精神科，醫師或護士｝加密的所有患者的健康信息。如果解密密鑰被泄露，造成患者隱私曝光，則無法判斷是Alice 還是Bob 泄露的解密密鑰。文獻［15-18］均未考慮如何追溯惡意用戶的問題。針對這種惡意泄露解密密鑰的事件，文獻［19］介紹一種白盒可追溯的CP-ABE 方案，通過采用shamir（t，n）門限方案實現了低成本追溯惡意用戶的功能，但該方案不能將惡意用戶在系統中撤銷。文獻［20］介紹一個黑盒可追溯的CP-ABE 方案，該方案公開惡意用戶的追溯過程，即任何人都可以執行追溯算法，但存在泄露用戶敏感信息的風險。文獻［21］介紹一種支持白盒可追溯的屬性加密方案，該方案能實現惡意用戶的直接撤銷，并通過構造一個與用戶的身份標識相關聯的二叉樹來完成對惡意用戶的追溯功能，但該方案既不能隱藏用戶的敏感信息，又存在用戶計算開銷過大的問題。文獻［22］提出的支持實時撤銷的ABE方案中使用子集覆蓋技術更新密鑰，但該方案不具備惡意用戶追溯功能。文獻［23］介紹一種無密鑰托管的CP-ABE 方案，滿足白盒可追溯性和可撤銷性，但不滿足訪問策略隱藏功能。文獻［24］介紹一種基于白盒可追溯且能完全隱藏訪問策略的ABE 方案，通過采用短簽名算法實現用戶跟蹤機制，解決了私鑰泄露的問題，但該方案不具備用戶撤銷功能。文獻［25］介紹一種能解決用戶和授權中心密鑰濫用問題的白盒可追溯CP-ABE 方案，但該方案同樣不具備用戶撤銷功能。

本文在智慧醫療環境下提出一種支持白盒追溯的CP-ABE 方案，并證明了其在標準模型中滿足選擇明文攻擊下的密文不可區分性（Indistinguishability under Chosen Plaintext Attacks，IND-CPA）。在加密階段的訪問策略中僅包含屬性名，用戶只需提供滿足對應屬性名下的屬性值即可解密密文獲取患者健康信息，從而實現訪問策略的部分隱藏功能。同時，將與用戶信息綁定的二叉樹的葉節點值加密嵌入解密密鑰，用戶信息可直接加密，無須初始化用戶列表來存儲用戶身份，從而實現惡意用戶追溯功能。此外，采用直接撤銷的方式，將惡意用戶信息添加至用戶撤銷列表，無須與屬性機構（Attribute Authority，AA）通信。當用戶不在撤銷列表中且其屬性集滿足訪問策略時，用戶才能成功解密密文。密文更新工作由云服務商執行，減輕了屬性機構的計算負擔。

1 預備知識

1.1 符號說明

本文方案中的部分符合說明如表1 所示。

表1 符號說明Table 1 Symbol description

1.2 二叉樹

設U為系統中總用戶的集合，R為用戶撤銷列表。如圖1 所示，二叉樹T中所有葉節點與用戶集合U中的每位用戶u一一對應，相互關聯。設|U|為總用戶的數量，即二叉樹T中葉節點的個數為|U|，T中的所有節點為2|U| -1。將所有的節點按寬度優先搜索進行編號。

圖1 二叉樹構造Fig.1 Binary tree construction

定義path(ui)為根節點root 到用戶ui的路徑。例如，在圖1 中，path(u2)=path(4)=(0，1，4)。最小覆蓋集cover(R)表示可以覆蓋所有不在撤銷列表R中用戶的最小節點集。例如：若用戶u3∈R，則cover(R)=(1，6)；若用戶u1，u4∈R，則cover(R)=(4，5)；若用戶ui?R，則當cover(R) ∩path(ui) 時，結果僅有一個節點j，即cover(R) ∩path(ui)=j；若用戶u1，u2，u4?R，用 戶u3∈R，則 有cover(R)=(1，6)，path(u2)=path(4)=(0，1，4)，計算得到cover(R) ∩ path(u2)=1。

1.3 線性秘密共享方案

定義一個線性秘密共享方案（Linear Secret Sharing Scheme，LSSS）∏［26］，該方案具有如下特性：

1.4 q-parallel BDHE 困難問題假設

定義1若不存在多項式時間算法在不可忽略的優勢ε下區分∈G2和隨機元素R∈G2，則稱q-parallel BDHE 困難問題假設成立。

2 方案描述

2.1 系統模型

本文方案由6 個實體構成，分別為中央機構（Center Authority，CA）、屬性機構（AA）、數據擁有者（DO）、醫療云服務商（CSP）、外包計算服務商（Outsourced Computing Service Provider，OCSP）和數據使用者（DU），系統模型如圖2 所示。

圖2 系統模型Fig.2 System model

1）中央機構：該實體是一個完全獨立且可信的第三方，可以調用系統設置算法生成系統公共參數PP。

2）屬性機構：該實體可視為醫療機構，主要調用權限設置算法生成系統公鑰PK 和系統私鑰SK，為合適的DU 生成解密密鑰，并且維護用戶撤銷列表R。

3）數據擁有者：該實體可視為去醫院或診所看病的患者。DO 對于自身的健康信息具有絕對的控制權和擁有權，可以指定訪問策略W，并對健康信息m加密形成密文CT，然后將CT 上傳至CSP。

4）醫療云服務商：該實體是半可信的，主要任務是存儲密文。當執行屬性撤銷時，根據AA 通過秘密信道發送的更新參數k'來更新密文。

5）外包計算服務商：該實體收到DU 的轉換密鑰TK 與密文申請后，從醫療云服務商下載密文CT，并將密文CT 外包計算為解密密文CTpart發送給DU。

6）數據使用者：該實體可視為訪問患者健康信息的醫護人員和醫療研究員等。DU 將自身的屬性集發送給AA 獲取相應密鑰，若其屬性集滿足密文設置的訪問策略W且不在用戶撤銷列表R中，即可解密密文獲取患者健康信息。

2.2 系統安全模型

本文定義了一個選擇明文攻擊下的密文不可區分性的安全模型，可通過挑戰者C 和敵手A 之間的安全游戲來表示，具體如下：

4）挑戰：A 向挑戰者C 提交兩個等長的明文m0和m1，挑戰者C 隨機選擇一個明文mb(b∈{0，1})，根據訪問策略W*=(M*，ρ*，H)和用戶撤銷列表R*對其加密形成CTb。最后，挑戰者C 將挑戰明文CTb發送給A。

5）階段2：敵手A 重復階段1 的詢問。

6）猜測：A 輸出b'∈{0，1}中的一個值作為對b的猜想。若b'=b，則稱A 贏得了此游戲。A 贏得游戲的優勢為。

定義2若不存在多項式時間算法使敵手能以不可忽略的優勢贏得此游戲，則本文方案是INDCPA 安全的。

2.3 具體方案

本文方案具體過程如下：

5）部分解密Decryptpart(CT，TK) →(CTpart)。該算法由外包計算服務商OCSP 執行，存在以下2 種情況：

（1）如果Agid不滿足訪問策略W或用戶ui∈R，則算法終止。

OCSP 將部分密文CTpart={C，C0，D，O，R，|W|}發送給DU。

7）密鑰完整性檢查。該算法由屬性機構AA 執行。若解密密鑰sk 被質疑，則算法檢查密鑰是否滿足如式（5）所示的條件：

如果解密密鑰sk 滿足式（5），則通過密鑰完整性檢查，否則輸出⊥。

8）追溯及撤銷。該算法由屬性機構AA 執行。若解密密鑰sk 不能通過密鑰完整性檢查，則算法停止，否則算法計算：

（1）di=Deck(K')重新獲得與用戶u相關聯的葉節點di的值。

（2）在二叉樹中搜索值為di的葉節點并輸出與di相關聯的用戶ui。若不存在這樣的用戶，則算法終止。

（3）若ui?R，則將用戶ui添加到用戶撤銷列表R中，再更新用戶撤銷列表R'=ui∪R。

9）密文更新。該算法由醫療云服務商CSP 執行。AA 隨機選擇，再通過秘密信道將其發送給CSP，CSP 輸入更新參數k'、最新的用戶撤銷列表R'和密文CT，輸出更新后的密文CT'。設cover(R')是與R'相關聯的最小覆蓋集。給定j'∈cover(R)存在以下2 種情況：

（1）若存在j∈cover(R)使j=j'，則令Tj'=Tj。

3 安全性證明

定理1如果q-parallel BDHE 困難問題成立，那么不存在多項式時間算法敵手能夠以不可忽略的優勢攻破此方案。

證明如果存在一個敵手A 能夠以不可忽略的優勢ε攻破此方案，那么就存在挑戰者C 能以的優勢破解q-parallel BDHE 困難問題。C 執行如下算法：

令G1和G2為兩個p階的乘法循環群，g為G1的生成元，e是一個雙線性映射e：G1×G1→G2。系統公共參數為PP=(G1，G2，p，e，g)。挑戰者C 隨機選擇μ，且μ∈{0，1}。給定Y'=(g，gs，gα，gα2，…，)gαq，gαq+2…，gα2q。如果μ=0，則挑戰者C 計算T=e(g，g)αq+1s；如果μ=1，則挑戰者C 隨機選擇T∈G1。

假設path(di)={d0，d1，…，di}，其中，d0為根節點root，di是在二叉樹T中與用戶ui相關聯的葉節點的值。因為ui∈R*，所以有di∈NgidR*，xdi=vdi+ddi。

（4）如果ui?R*，Agid不滿足訪問策略W*，則挑戰者C 如情況3 所示計算L0，L1，K'，K，Kx。

4）挑戰：敵手A 給挑戰者C 發送兩個等長的明文m0和m1。挑戰者C 執行如下算法：

5）階段2：敵手A 重復階段1 的詢問。

6）猜想：敵手A 輸出對b的猜想b'。若b=b'，則挑戰者C 輸出對μ的猜想μ'=0；若b≠b'，則挑戰者C輸出對μ的猜想μ'=1。

最后，將挑戰者C 解決q-parallel BDHE 困難問題假設的優勢定義如下：

由于q-parallel BDHE 困難問題是不可解的，因此本文方案是安全的。

4 性能分析

4.1 功能分析

將本文方案與文獻［18，22，24］方案在是否具備可撤銷、外包解密、惡意用戶追蹤和隱藏訪問策略等功能方面進行對比，其中，√表示具備該功能，×表示不具備該功能，結果如表2 所示。由表2 可以看出，文獻［18，24］方案不支持用戶撤銷功能，文獻［18，22］方案無法實現外包解密和惡意用戶追蹤功能，文獻［22］方案不具備隱藏訪問策略功能，本文方案同時支持可撤銷、外包解密、隱藏訪問策略以及惡意用戶追蹤。因此，本文方案在功能性上具有一定優勢。

表2 功能對比Table 2 Function comparison

4.2 運算成本分析

將本文方案與文獻［18，22，24］方案在密鑰生成、數據加密、外包解密、用戶解密等階段進行性能分析，結果如表3 所示。令E表示G1和G2群上的指數運算次數，P表示雙線性配對運算次數，l表示訪問策略中屬性的個數，s表示用戶的屬性個數，n表示解密時用戶滿足訪問策略的屬性個數，r表示cover(R)的長度，h表示path(ui)的長度。

表3 計算開銷對比Table 3 Computational cost comparison

由表3 可以看出，文獻［24］方案在用戶解密階段的效率比本文方案略高，但它不支持用戶撤銷功能，且在數據加密階段計算開銷遠大于本文方案。本文方案有效實現了一對多的數據共享，且對于各階段運算成本的對比結果而言，在計算開銷上具有一定優勢。

4.3 實驗驗證

為了更直觀地體現本文方案的優勢，將其與文獻［18，22，24］方案進行數值模擬實驗。實驗基于PBC-0.5.14 與cpabe-0.11 進行編寫和修改，實驗配對結構為有限域Fq（q是一個質數且q≡3mod 4）的橢圓曲線y2=x3+x，實驗環境為64 位Ubuntu 14.04 操作系 統、Intel?CoreTMi5-6200U CPU @ 2.30 GHz 處 理器、4.00 GB RAM 的個人筆記本電腦，軟件運行時的環境為JDK 1.7.5、JPBC 2.0.0 和MyEclipse 10。

圖3 為文獻［18，22，24］方案與本文方案在密鑰生成階段隨著數據使用者屬性個數的增加，屬性機構為其生成密鑰的時間開銷對比。本文方案在密鑰生成時只有1 個指數運算與用戶屬性相關，文獻［18，24］方案在計算密鑰時有多個指數運算與用戶屬性相關，文獻［22］在計算密鑰時不僅與屬性個數有關，還與path(ui)的長度有關，使其產生了較重的計算負擔。與本階段效率最高的文獻［24］方案相比，計算開銷減少了49.5%。由圖3 可以看出，本文方案在密鑰生成階段的計算開銷小于文獻［18，22，24］方案。

圖3 密鑰生成階段的效率分析Fig.3 Efficiency analysis of key generation stage

圖4 為文獻［18，22，24］方案與本文方案在數據加密階段隨著訪問策略的屬性個數增加，數據擁有者加密密文的時間開銷對比。本文方案在數據加密時主要影響因素為訪問策略中屬性的個數和cover(R)的長度，為了便于比較，設置r=8。由圖4可以看出，數據加密階段的計算時間幾乎與訪問策略中屬性的個數成正比，但本文方案受訪問策略中屬性個數的影響最小，且與本階段效率最高的文獻［22］方案相比，計算開銷減少了23.2%，因此其加密階段的計算開銷小于文獻［18，22，24］方案。

圖4 數據加密階段的效率分析Fig.4 Efficiency analysis of data encryption stage

由表3 可知，只有文獻［24］方案與本文方案具有外包解密功能，因此其用戶解密的計算開銷遠遠小于文獻［18，22］方案。圖5 為文獻［24］方案與本文方案在外包解密階段的時間計算開銷對比，可以看出本文方案在外包解密階段的時間開銷小于文獻［24］方案。圖6 為文獻［18，22，24］方案與本文方案在整個解密階段的時間開銷對比，包括外包解密的時間開銷與用戶解密的時間開銷。由圖6 可以看出，文獻［18］方案和文獻［22］方案在解密階段的計算時間非常接近，雖然文獻［24］在用戶解密階段的計算開銷略小于本文方案，但其整個解密階段的計算開銷卻遠大于本文方案，且本文方案與本階段效率最高的文獻［22］方案相比，計算開銷減少了10.6%。

圖5 外包解密階段的效率分析Fig.5 Efficiency analysis of outsourcing decryption stage

圖6 整個解密階段的效率分析Fig.6 Efficiency analysis of overall decryption stage

綜上實驗結果表明，本文方案在密鑰生成階段和數據加解密階段的計算開銷均具有一定優勢。

5 結束語

本文面向智慧醫療環境，提出一種支持白盒追溯的CP-ABE 方案，其中密文由兩部分構成，一部分與使用LSSS 作為訪問結構的訪問策略相關，另一部分與用戶撤銷列表相關，通過采用部分隱藏訪問策略的方式來保護患者的隱私信息。為了滿足追溯惡意用戶的需求，構造一個將葉節點與用戶身份綁定的二叉樹，在用戶解密密鑰中嵌入葉節點的值，若發生密鑰泄露事件則在解密密鑰中追溯惡意用戶，且采用直接撤銷的方式撤銷系統中的惡意用戶。基于q-parallel BDHE 假設證明了該方案是安全的，通過數值分析表明該方案在功能和計算效率上相比于現有方案具有一定的優勢。下一步將在加解密階段減少使用雙線性配對，構造輕量級CP-ABE 方案，使其適用于資源受限的智慧醫療系統。