基于區塊鏈的基因組數據安全共享方案

巫光福，魏泰桂，李恩寧

（江西理工大學信息工程學院，江西贛州 341000）

0 引言

基因測序等技術的高速發展，大大降低了基因數據獲取難度和成本，促使基因組數據持續性增長。研究員能通過基因組信息探索疾病的致病機理，尤其是在癌癥診斷方面[1]，進而開展特定藥物研發和制定個性化醫療方案。基因組數據具有極高的隱私性，其中包含人體大量特征信息，并且通過對基因組信息分析能預測個體患病風險。基因組數據一般都是中心化云存儲，其控制權一般是在第三方生物科技等公司手中[2]，如23andme，數據所有者很難接觸自己的數據。同時第三方也會限制數據的訪問權限，形成數據壁壘。基因組數據的共享能有效促進醫療水平的提高，加快生命科學的研究進度。但其數據共享亟須解決上述的數據隱私保護和數據壁壘及權限控制等管理問題。

區塊鏈技術的出現為這些問題解決提供新的方案。區塊鏈技術具有去中心化、不可篡改、分布式存儲等特性，它給數據共享提供一個安全平等的平臺，能將數據的管理權限下放，支持用戶管控自己的數據。并且區塊鏈還支持添加額外密碼協議來保護用戶的數據隱私[3]。正因為區塊鏈這些優勢，使得區塊鏈技術在醫療領域受到廣泛關注。Al Omer 等人[4]提出基于區塊鏈的電子健康記錄(Electronic Health Record,EHR)共享平臺，將敏感數據加密保存在區塊鏈上，解決傳統中心化存儲問題。Genesy[5]是一個基于區塊鏈的基因組共享項目，它旨在消除第三方，給數據所有者帶來用自己基因組數據獲利的機會。然而，這些方案在數據共享時效率不高，甚至有隱私泄露風險，例如文獻[6]，患者在給醫生共享生理數據時，還需選擇性共享自己的私鑰。如果患者重新選擇共享對象時，還需更新密鑰甚至重新加密上傳數據。對于以上情況，Wang 等人[7]提出基于代理重加密技術(Proxy Re-Encryption,PRE)的EHR 共享云系統，實現細粒度數據共享，保證患者密鑰安全。但此方案中EHR因云存儲有被篡改和丟失風險。文獻[8]中提出了一個基于區塊鏈和PHR的文件共享方案，并創新性提出可擴展密鑰管控方案，但是該文獻缺少實施細節。文獻[9]提出一個基于區塊鏈的物聯網數據存儲共享模型，該方案考慮物聯網應用情景，引入邊緣設備進行密集計算，利用PRE在保障數據安全性和完整性的情況下進行細粒度數據共享。Luo等人[10]提出一個基于區塊鏈的EHR 共享協議，該協議使用分布式密鑰生成(Distributed Key Generation,DKG)技術和PRE 來實現EHR的細粒度共享。但其DKG 合成的系統私鑰和用戶私鑰有泄露風險，且方案缺少數據認證體系。

文獻[11]使用條件代理重加密和DKG 來實現電子處方的細粒度共享，該方案一定程度上彌補文獻[10]中認證體系缺失問題，但與文獻[10]一樣，存在私鑰泄露風險。

受基因組數據共享需求及上述研究成果啟發，本文提出一個基于區塊鏈和身份代理重加密的基因組數據共享方案。該方案借助區塊鏈去中心化、不可篡改等特性，保障基因組數據的完整性，使數據所有者對自己基因組數據有完整的控制權。在此方案中，根據基因組數據特點對身份代理重加密技術進行適配改進，使其在進行細粒度數據可信共享同時還具備驗證性。同時，此方案還采用了DKG技術解決系統密鑰托管問題，并針對文獻[10]出現的問題進行解決，引入監管節點群可靠安全地進行私鑰合成和管控。針對文獻[12]提及的緊急情況基因組學信息訪問的開放性問題，該方案給出了可行的解決方法。最后，對方案安全性和正確性進行論證，并將此方案和同類型文獻進行對比分析。基因組大數據的時代即將到來，基因組測序也將納入臨床護理常規項目[13]，該方案的提出為即將面臨的基因組數據管理和共享問題提供解決方案，有助于促進醫療體系現代化建設。

1 背景知識

1.1 基因組信息

基因組常指個體生物遺傳信息總和，通常是以DNA 和RNA 為載體。在醫學研究中，與基因組相對應的表型數據是必不可缺的。表型是指生物性狀的表現，它主要受基因的表達調控以及生存環境影響。通過對表型信息分析才能初步定位進行性狀表達的基因組片段，進而研究該疾病的致病機理，進行相關疾病的基因定點治療。本文中所指基因組數據則包含了基因組和表型數據。對于研究人員和群眾來說，最直觀且最易收集的表型數據是EHR 和PHR (Personal Health Record)。因此文章出現的表型數據以EHR和PHR為例。

1.2 身份代理重加密

代理重加密是由Blaze等人[14]首先提出，該技術通過半可信的代理來實現將數據所有者公鑰加密的密文轉換成數據申請者可以用私鑰解密的密文。數據所有者或可信第三方生成重加密密鑰。代理人運行重加密算法，用重加密密鑰重新加密密文，然后發給數據申請者，進行數據共享。在數據共享的過程代理人和其他非授權的第三方是無法獲取明文的任何信息。為了進一步加強PRE的性能，已由諸多嘗試性方案提出，其中基于身份加密(Identity-based Encryption，IBE)技術備受青睞。IBE 是指使用數據發送者以數據接收者身份作為公鑰加密數據進行傳遞。IBE可以緩解密鑰分發問題，并已基于此開發幾個密碼協議，例如公鑰可搜索加密[15]。IBE和PRE結合能進行更細粒度的數據共享權限管理，同時可以緩解系統密鑰分發問題。

1.3 區塊鏈

區塊鏈技術概念是由Nakamoto[16]提出，其中比特幣是其代表性應用。區塊鏈是由若干塊通過hash 算法鏈接而成。它是由參與者共同維護，數據分布式管理的，且借助hash算法實現數據校驗和防篡改。對區塊鏈本質的探討，已有諸多文獻成果，例如文獻[17]。區塊鏈技術的進一步升華得益于以太坊的出現。以太坊給區塊鏈技術帶來了智能合約和分布式應用。智能合約可以實現區塊鏈底層自動化，提高區塊鏈的性能，也能讓用戶對自己的數據進行細粒度訪問控制。分布式應用則拓展區塊鏈可實現的功能，它允許用戶部署APIs 來開發數據分析等應用，例如Nebula基因組區塊鏈項目[18]可以在鏈上系統提供基因組數據分析等服務。這些特性也正是區塊鏈技術在醫療數據管理被廣泛應用的重要因素。

2 方案實施

2.1 模型概述

基于區塊鏈和身份代理重加密的基因組數據共享方案的主要角色有5 個，如圖1 所示，分別是：數據所有者、數據申請者、外部存儲提供方、代理者和區塊鏈維護者。

圖1 系統模型

（1）數據所有者：即擁有自身基因組測序序列和表型數據的用戶。該用戶可以自主選擇數據存儲方式，并對自己數據有絕對控制權。

（2）數據申請者：一般為醫學研究所、生物科技公司等。他們可以在區塊鏈系統維護的描述性文件數據庫中搜索自己感興趣的基因組數據，并向數據所有者發送訪問請求。

（3）存儲服務供應方：即基因組數據存儲的供應商。基因組數據通常從幾GB到上百GB，直接上傳到區塊鏈保存的可操作性偏低，這就需要外部存儲。IPFS分布式文件存儲系統已成為常用存儲方案，因其可以解決傳統中心化存儲、數據篡改以及節點宕機等問題。當然用戶可以自主選擇其他可信存儲方式，比如華為家庭云存儲設備，自己做存儲供應方管理數據，管理更個性化，靈活控制訪問權限。

（4）代理者：代理者主要負責對密文進行重加密操作，在此過程中數據所有者無須共享自己私鑰就可實現訪問權限再分配。

（5）區塊鏈維護者：即區塊鏈共識過程的參與者，他們共同維護區塊鏈系統正常運轉。其中，具體成員可分為以政府的監管部門和技術部門為主的監督委員、受行業或政府部門高度認可的醫療機構和研究所等權威中心以及提供相關保健診療服務的醫療科技公司等。

區塊鏈系統能保證數據的完整性和不可篡改性，同時管理員可以借助其智能合約實現一定的身份認證和權限審核。監督委員和權威中心共同維護區塊鏈系統中云服務器，該服務器提供包括文件檢索等服務，其中監督委員在區塊鏈系統中管理監管節點。

2.2 方案細節

如圖1所示，基因組數據共享方案整體可分為密鑰生成、數據存儲和數據共享三大部分，具體過程可分為以下5大步驟。

2.2.1 系統初始化

2.2.2 用戶分布式密鑰生成

2.2.3 基因組數據存儲

2.2.4 數據訪問請求及代理過程

數據申請者請求iddq在區塊鏈云服務器中檢索基因組描述文件，此時智能合約自動運行，檢測申請者的權限是否符合智能合約中內置的訪問條件。如果符合，則可以對描述文件進行檢索，選擇感興趣的基因組數據，并可向數據所有者發送數據訪問申請。

2.2.5 基因組數據獲取

2.3 緊急情況基因組數據訪問

在某些突發情況下，需要直接訪問基因組數據，來執行應對措施。例如，醫院在接受突發疾病的病人時，需要了解其病史、藥物過敏、基因類遺傳疾病等信息，來診斷疾病和制定個性化治療方案，而患者卻無法獨自解密獲取相關加密的存儲信息。針對此類情況，基于本文的分布式密鑰系統提出以下方案，可以有效解決緊急情況的信息訪問問題，具體模型如圖2所示。

圖2 緊急情況下基因組信息訪問方案

監管節點收到醫院提供與患者相關證明文件，并驗證其可信性。通過驗證后，監管節點調用系統私鑰合成患者私鑰，并通過限時鏈接返回給醫院。醫院通過患者私鑰解密文件得到HashIPFS和aes，進而訪問患者的EHR，進行相關診斷。限制時間一到，監管節點則會在自己本地刪除此過程中合成相關成員的私鑰，并將私鑰合成記錄和數據訪問記錄上傳到區塊鏈，以便后續審計，維護患者數據所有權和知情權。

3 方案分析和評估

該章節就本文基因組信息共享方案的正確性和安全性進行證明，分析了該方案面對一些主流攻擊的安全性問題。此外，還與現有同類型數據共享方案進行對比，對本文方案的綜合性能進行評估。

3.1 方案正確性證明

該方案的正確性主要體現在密文CT3的正確性、代理重加密密文CT3′的正確性和各方簽名的正確性。對該方案的正確性證明如下所示。

3.2 方案安全性分析

在此將分析本文方案在面對主流攻擊時的安全性問題。

（1）抗中間人攻擊。本文方案對中間人攻擊是安全的。中間人攻擊一般是針對傳統的證書頒發機構(Certificate Authority,CA)，向用戶發送偽造的公鑰，從而獲取隱私信息。此方案中，用戶會根據自己注冊的ID產生公鑰，并在區塊鏈中進行廣播。區塊鏈系統中共識節點充當CA 角色，保證用戶公鑰不被篡改。并且本方案還使用DKG技術，共識節點參與用戶私鑰合成，進一步保證用戶密鑰安全，攻擊者是很難發布假的密鑰來獲得隱私信息。

（2）抗合謀攻擊。在該方案中，合謀攻擊主要針對兩個點，分別是用戶私鑰合成和代理重加密密文合成。在用戶私鑰合成部分，攻擊者可以串謀部分共識節點截取用戶的部分私鑰，但每個部分私鑰都通過用戶臨時公鑰加密過的，攻擊者無法獲取明文信息，進而無法合成用戶私鑰。針對代理重加密過程，代理者和其他節點可能會聯合發動合謀攻擊來嘗試性獲取數據所有者的明文信息。攻擊者冒充合規節點申請數據訪問，聯合代理者進行重加密操作，但得到重加密密文需要合規節點私鑰才能正常解密，故此攻擊者是無法獲取用戶的明文信息。綜上所述，本文方案對合謀攻擊是安全的。

（3）抗統計分析攻擊。本文中基因組信息鏈接和對稱密鑰在初步加密和代理重加密過程中引入隨機數，這使得同一明文在相同加密體制下可以生成不同密文，因此該方案可以有效抵御統計分析攻擊。

3.3 方案安全性證明

本文方案的安全性是基于群G1和G2中決策雙線性Diffie-Hellman (DBDH,decisional bilinear Diffie-Hellman)假設，其定義如下所示。

DBDH 困難問題定義：對于給定形如(g,gu,gv,gw,J)的五元組，令算法A 進行J=(g,g)uvw的運算，當且僅當條件(1)成立，則表明A 具有ε優勢解決DBDH問題，其中u,v,w∈，J則是G2中元素。

DBDH假設：不存在算法A，使其在概率多項式時間內具有ε優勢解決DBDH 問題，則稱DBDH 假設成立。

根據本文基因組數據共享機制可知，本文方案的安全性是依托于PRE 的安全性和選擇明文攻擊下的不可知性。參考文獻[9]，構建安全模型，并對其安全性進行證明。安全模型構建如下。

對手A 在此可對密鑰生成KeyGen、重密鑰生成Rekey、解密Dec、重加密ReEnc等過程進行查詢和挑戰。在對手A和挑戰者C這場安全游戲中，可分為以下四個階段。

（1）初始化：挑戰者C 生成系統參數params，并隨機選擇系統主密鑰msk，并將系統參數params發給敵手A。

（2）查詢階段：敵手A進行以下查詢，并在查詢階段結束時選擇挑戰對象id*∈(0,1)*和(m0,m1)。

①A向C查詢用戶id對應的密鑰，即(KeyGen,id)，C進行計算并將id對應的密鑰skid返回給A。

②A 向C 查詢iddo與iddq之間的重加密密鑰，即(Rekey,iddo,iddq)，當iddo≠iddq時，C 計算重加密密鑰并返回給A。

③當A向C查詢密文CT解密時，即(Dec,id,CT)，C返回⊥。

④當A向C查詢重加密密文時，返回⊥。

在此階段結束時，A選擇的id*要查詢階段未出現過的，避免A用查詢階段生成密鑰進行常規解密。

（3）決策與挑戰階段：敵手A 選擇挑戰對象id*和(m0,m1),并將其發送給C。C接受到后計算密文CT*=Enc(params,id*,mμ)，并 將CT*返 回 給A，其 中μ∈(0,1)。

（4）猜測階段：敵手A 執行與查詢階段類似的查詢操作，直到A結束輸出猜測μ*。如果μ*=μ，則敵手A 獲得勝利。將A 在上述挑戰獲勝的優勢定義為ε，且ε可以忽略不計，則稱該方案對多項式時間算法A來說該方案是能夠滿足身份和選擇明文攻擊下的不可區分性(Indistinguishability under identity and chosen-plaintext attack，IND-ID-CPA)安全的。優勢ε定義，如(2)所示。

定理1 在DBDH 假設下，該方案是滿足INDID-CPA安全的。

證明：假設存在敵手A 有不可忽略的優勢ε打破IND-ID-CPA 安全。構造一個挑戰者C，通過與A 交互，使C 能以不可忽視的優勢解決G1，G2中DBDH 困難問題。對于C給定輸入g，gu，gv，gw∈G1，J∈G2，判斷J=(g,g)uvw是否成立，成立則輸出1。A與C的交互如下所示。

C 模擬隨機預言機H1:{0,1}* →G1：當C 接收關于ID 查詢時，C 選擇一個隨機數θ∈，并以Pr[η=1]=χ的概率分布產生隨機幣η∈(0,1)，如果η=1，h=(gw)θ，否則h=gθ。C 記錄元組(ID,h,θ,η)，并將h作為A 的查詢結果返回，且h具有隨機分布性。C 繼續模擬隨機預言機H2:G2→G1，結果是返回G1中的隨機元素。在此，C對隨機預言機H3:{0,1}* →的模擬可以忽略，因為在游戲博弈過程中，H3僅出現在重加密密鑰生成部分，起驗證作用，且H3進行模擬計算得到的值是ID對應下初始密文CT的哈希值。對于A和C 而言，它是一個確定值。因此，模擬過程中可做常數1處理。

（1）初始化：C 生成系統參數params，并選擇系統密鑰對。

（2）查詢階段：A 向C 發送(KeyGen,id)請求，C 進行H(id)模擬，并得到四元組(id,h,θ,η)。C隨后產生id的私鑰(gu)θ返回給A。當A 繼續發送(Rekey,iddo,iddq)請求，C選擇隨機數r∈、φ∈G1和r3∈G2，并分別對iddo和iddq求H1→(η1,θ1)和H2→(η2,θ2)。該過程會出現以下兩種結果。

（3）挑戰階段：A 輸出自己想挑戰對象id*和(m0,m1)，其中id*的選擇是查詢階段未出現過的。C選擇μ∈(0,1)，并計算H1(id*)得到四元組(id*,h,θ,η)。C將密文CT*=(gv,Jθ·mμ)返回給A。

（4）猜測階段：A 重復查詢階段操作，進行分析，最后輸出猜測μ*。當然A 被限制進行一些能輕易破解密文的查詢操作，比如密文解密結果查詢。如果以下任何一條條件被證明為假，C將中止模擬。否則，繼續執行模擬，如果μ*=μ，則C輸出1，否則輸出0。

①id*、η=0的對應值。

②A所做的每個id對應的(KeyGen,id)查詢。

對于正確形成的DBDH 元組(g,gu,gv,gw,J)，在挑戰者C不終止模擬情況下，在這游戲中敵手A給出的視圖是與真實攻擊相同。因此，A 是不能區分模擬的，因為A不能辨別出錯誤形成的重加密密鑰。并且對于相同的mμ輸入，因為選擇的隨機數不同，形成的初始密文也不相同，產生的重加密密鑰也不同。當C輸入的是DBDH 元組時，如果CT*是在id*下mμ正確形成的初始密文，則A 是滿足定義ε=|Pr[μ*=μ]-1/2|，因此，C 輸入1 的概率為|Pr[μ*=μ]|=ε+1/2。然而，對于C的隨機輸入，CT*是為G2中的隨機元素形成的初始密文，不同的隨機元素輸入會產生不同的密文，與C 選擇的μ無關，即C 輸出1 的概率是|Pr[μ*=μ]|=1/2。因此，C 具有不可忽略的優勢辨別DBDH元組。

證畢。

3.4 方案對比與評估

為了評估本文所提方案的綜合性能，對現有同類數據共享文獻進行了比較與評估。具體結果詳見表1、表2和表3。

表1 方案對比

表2 計算時間復雜度對比

表3 實驗性能對比

表2 中，計算成本時間消耗主要考慮了數據在加密和解密過程中的配對運算Tp和指數運算TE。其中，Enc-1 表示區塊鏈上傳數據的加密過程，Enc-2 則表示其代理重加密過程，Dec-1 和Dec-2 則分別對應上述的解密過程。表3則是相應的實驗結果，該實驗是在配置為Intel i7-7500u 2.7Ghz CPU、RAM 8G、Windows 操作系統的計算機上運行，在本地搭建環境，使用JPCB 2.0 版提供的加密函數進行實驗。表3 中，每個操作執行100次，其每個操作的運行時間取平均值，其單位為ms。

從表1可知，以上文獻具有訪問控制能力，并且均通過PRE實現更細致的權限分配，以保護密鑰和密文安全進行數據共享。相比之下，文獻[7]、文獻[11]和本文方案有更為完善認證體系，用戶可以通過簽名及其相關條件保障數據安全共享，且整體過程可追溯，但文獻[7]使用的傳統云存儲，有數據篡改丟失風險。此外，文獻[11]和本文方案都使用DKG 技術，可以緩解密鑰托管問題，但文獻[11]存在系統私鑰和用戶私鑰泄露問題，而本文方案在此方面進行改進，通過密文方式傳遞系統和用戶的部分私鑰，并引入監管節點群管理系統私鑰，防止系統私鑰被不可信共識節點泄露。

本文在PRE 過程中引入參數δ，使得數據申請者可以通過δ來判斷代理加密文件是否是自己所申請的，來確認代理者是否存在惡意攻擊行為。此外，基于此方案的密鑰生成及管理系統，本文還開創性提出緊急情況下基因組數據訪問方案，來實現在患者無法自理提供相關醫療信息情況下制定個性化醫療方案，提高醫療效率，減少患者不必要的醫療開支。

從表2、表3 可以看出本文方案整體的計算復雜度和時間開銷是小于文獻[7]和[11]，與文獻[9]接近。其中文獻[7]和[11]方案設計時未綜合考慮實施性能，且為了滿足其應用場景需求有額外開銷。本文方案在重加密等階段加入相關認證參數，增加相應的計算開銷，但控制在適當范圍內，提高了方案的安全性。

因此，綜上所述，本文提出的基因組數據共享方案有更優異的綜合性能。

4 結束語

隨著醫療技術的發展，基因組數據將迎來急劇增長的時代。本文提出一個基于區塊鏈和身份代理重加密的基因組數據安全共享方案，讓用戶即可自由掌握自己的基因組數據又可在保護自己數據隱私情況下進行數據分享，充分發揮基因組數據的本身價值。并且本方案對傳統身份代理重加密進行適配改進，設計有完善的加密和認證體系，且整體方案可以抵抗合謀攻擊和中間人攻擊，滿足IND-ID-CPA 安全的。對于密鑰托管問題，本文提出一個更安全的分布式密鑰生成方案，并基于此方案還提出一個新的在緊急情況下數據訪問方法，為后續此方面研究提供新思路。最后，從多角度與相同類型文獻進行對比分析，結果表明本文方案有更優的綜合性能。