云醫療環境下策略可更新的多權威屬性基安全方案

Multi-authority attribute-based security solution for policy renewability in cloud healthcare environments

Wu Zhaoxia，Jiang Xu? （FacultyofStatistics amp; Data Science，Xinjiang UniversityofFinanceamp; Economics，Urimqi83oo12，China）

Abstract：Inthecloud medicalenvironment，medicaldata stored inthecloud has problems likeeasy privacyleakageand high cost of acesspolicyupdates.Toaddresstheseproblems，this paper proposedamulti-authorityatribute-basedsecurityscheme withupdatablepolicies.Theproposedschemewasbasedonmultipleauthoritativeinstitutionssuchashospitalsandresearch institutes，hich manageddisjointatributests.Itencrypteddatausingaciphertext-olicyatribute-basedencryptionapproach， enabling fine-grainedaccessandsecuresharingof medicaldatainthecloud.Theschemeintroduced policyupdate keystofficientlyupdate access policies withlowoverhead.Securityanalysisand experimental resultsshowthatthe scheme has ciphertext indistinguishabilitysecurityandanti-conspiracyatacksecurity，ndhaslowtimeoverheadinencryption，decryptionandpolicy update，effectivelyrealizing the secure storage of medical data in thecloud and dynamic policy update.

Key Words：attribute-based encryption；access control；multi-authority；policy update

0 引言

隨著云存儲技術的飛速發展，許多醫療機構選擇將醫療數據上傳到云存儲平臺，進行遠程訪問、共享或更新數據。云醫療作為一種新興的醫療服務模式，為患者提供了更加便捷、高效的醫療服務[1]。由于將患者的數據上傳到醫療云平臺上，患者失去了對數據的完全控制，一些不誠實的醫療云嚴重威脅患者數據的隱私和安全，如何實現存儲在云中的醫療數據安全共享是一個重點問題。在云存儲之前對數據進行加密是必要的，特別是涉及患者健康信息的醫療數據。

屬性基加密（attribute-basedencryption，ABE）是一種“一對多”的加密方式，具有靈活的訪問控制，能夠實現數據的細粒度訪問和安全共享。屬性基加密分為密鑰策略屬性基加密（KP-ABE）2和密文策略屬性基加密（CP-ABE）。Bethencourt等人3提出了一種對加密數據實現細粒度訪問控制的密文策略屬性基加密方案，用戶的私鑰與其屬性相關聯，密文與訪問結構相關聯。只有當用戶的屬性滿足密文的訪問結構時，用戶才能使用私鑰正確恢復明文。例如，患者可能希望對本人的心理醫療數據進行加密，指定具有‘心理醫生’，‘專家’的用戶才能訪問該患者的心理醫療數據。Li等人[4]提出了一個多權限的ABE方案，用于保證云存儲環境中的數據刪除。Fan等人[5通過將加解密外包，解決了計算開銷較高問題。Wu等人[提出了一個多授權的CP-ABE方案來解決系統中的單點瓶頸問題。由于數據擁有者可以通過CPABE為密文指定靈活的訪問結構，從而實現對密文的細粒度訪問控制，所以CPABE更適合在云存儲中應用。

傳統的單權威屬性基加密方案存在計算負擔過重、單點故障危機以及中央權威過大等一系列負面影響。多權威方案解決了單權威屬性基加密方案中計算資源有限和單點故障的問題，因此在云存儲中得到了廣泛的應用。Chase[首次提出基于多權威機構屬性基加密方案，在該方案中，存在一個中央權威機構和一些屬性權威機構，但中央權威機構可能會解密密文，導致用戶的隱私泄露。Lin等人8首次提出了一種無中心權威的閾值多權威模糊身份加密方案，但系統的安全性對用戶數量有一定限制，抗合謀的靈活性較差。董國芳等人通過更新版本號實現屬性撤銷的屬性密鑰單次更新，并且通過引入外包有效地降低了用戶計算開銷。Zhang等人[10]提出了一種個人健康記錄系統的CPABE方案，通過使用線性秘密共享方案（LSSS）使訪問策略更具表現力。

此外，當數據擁有者的屬性發生變化時，需要修改相應的訪問策略。例如，患者將醫療數據存放在醫療云服務器中并制定訪問策略，要求只有同時滿足重癥病房，心理科，專家的人才能訪問該患者的數據，但當患者需要轉到其他科室，訪問策略由重癥病房，心理科，專家更改為普通病房，心理科，坐診醫生，只有普通病房心理科的坐診醫生才能訪問該患者的數據。因此，這就需要加密方案具有訪問策略可更新功能。Jahid等人[1通過引用代理使用特定的轉換操作進行策略更新，但是效率較低。Ying等人[12]提出一種支持動態策略更新的屬性基加密方案。該方案能夠支持任何類型的細粒度策略更新，但在進行策略更新時，數據所有者需要存儲額外的秘密信息，這可能會隨著數據量的增加影響系統的效率。隨后，Liu等人[13]提出一種允許在不重新加密數據的情況下動態更新訪問控制策略的密文策略屬性加密方案，但該方案未涉及到在多權威機構下的應用情況。

基于上述分析，本文提出了一種基于云醫療環境下策略可更新的多權威機構密文策略屬性基安全方案。為了提升系統性能和安全性，所提方案采用相互獨立的權威機構管理不同屬性。同時數據擁有者可以根據各種需求修改訪問策略，從而達到細粒度控制的目的并降低了系統的計算開銷?；?q -PBDHE假設，本文方案具有選擇明文下密文不可區分安全性，同時可以抵抗用戶之間以及用戶與權威機構之間共謀攻擊。

1背景知識

1.1 雙線性映射

雙線性映射， G 和 G_T 為 p 階乘法循環群， g 為生成元， e 為雙線性映射： G×GG_T ，具有以下三個性質：

a）雙線性：任意 g，h∈G 和 a，b∈Z_p ，有 e（g，h）^ab

b）退化性：任意 g∈G ，有 e（g，g）≠1 。

c）可計算性：任意 g，h∈G ，都可有效計算 e（g，h） 。

1.2線性秘密共享方案（LSSS）

設 U 為全域屬性集合， q 為一個素數，如果有以下條件成立，則稱訪問策略 A 在 U 上的線性秘密共享方案 π 在 Z_p 上為線性的：

a） U 中包含的每個屬性都擁有秘密值 s，s∈Z_p 的一部分秘密份額，且各秘密份額在 Z_p 上組成一個向量；

b）針對方案 π ，一定有一個共享生成矩陣 M∈Z_q^l×n 以及一個映射函數 ρ 存在 表示行 M_i 代表的屬性，其中 M_i 是矩陣 M 的第 i 行， i∈[1，l] 。此外，給定一個行向量 ν=（s r₂，…，r_l） ，其中 r₂…r_l 都是從 Z_p 中隨機取值，則根據線性秘密共享方案 π 可以生成一個列向量 λ=（λ₁，λ₂，…，λ_l）^T=M ：ν^T∈Z_q^l×n ，該向量是由 s 的 l 個秘密份額 {λ₁，λ₂，…，λ_l} 組成，并對于全部的 i∈[1，l] ，秘密份額 λ_i=（λ₁，λ₂，…，λ_l）^T= M_i?ν^T 屬于 ρ（i） 。

1.3判定性 q 階數雙線性Diffie-Hellman（DBDH）問題

設階為素數 p 的乘法循環群 G 和 G_T ，存在一個雙線性對映射 e：G×G?G_T，g 為 G 生成元。隨機選擇指數 a，s，b₁ ，b₂，…，b_q∈Z_p^* ，挑戰者公開并向敵手發送以下項：

在判定性q-PBDHE下敵手區分T=e（g，g）+1 與 G_T

中隨機元素 T 是困難的。

2 系統架構

2.1 系統模型

當患者身體狀態發生變化時，用戶的訪問權限也需要發生變化，因此需要對訪問策略進行變更。本文設計一種醫療云環境下策略可更新系統，它支持對加密的個人醫療數據進行細粒度訪問控制和訪問策略更新。在這個系統中，數據擁有者可以自主定義訪問策略并動態更新訪問策略，數據用戶可以用相應的私鑰訪問患者的敏感文件。本文方案共涉及系統方、醫療云服務器（CA）權威機構（AA）數據擁有者、用戶和受信任方六種實體。

a）系統方：系統方的實體為系統管理者，系統方將調用系統初始化算法生成公共參數 （PP） ，公共參數首先被分發到權威機構、數據擁有者、用戶、受信方。

b）數據擁有者：數據擁有者實體為患者，數據擁有者將密文 （CT） 上傳到醫療云服務器，一旦數據擁有者希望更改現有CT 的訪問策略，數據擁有者就會向云存儲提供商發送策略更新密鑰。

c）醫療云服務器（CA）：CA負責存儲密文CT，驗證用戶的屬性滿足訪問策略、密文更新等操作。

d）權威機構（AA）：AA調用權威機構初始化算法生成公鑰 （PK_aid ），并將 PK_aid 發送給數據擁有者、數據用戶和受信任方，AA同時根據數據用戶的請求為他們分配屬性。

e）受信方：受信方實體為第三方可信機構，如果出現爭議或懷疑，受信方會調用追蹤算法，并向AA報告可疑用戶的唯一標識符（uid）。

f）用戶：用戶實體為獲取醫療數據的人員，如果用戶的屬性滿足訪問策略，則可以使用相應的私鑰解密 CT 。每位用戶擁有一個標識符（uid）。

系統方調用系統初始化算法并生成公共參數（ PP） ？ PP 被分發給權威機構、數據擁有者、用戶和受信方。權威機構（AA）調用權威機構初始化算法生成公鑰，并將公鑰發送給數據擁有者、數據用戶和受信方。數據擁有者將密文（CT）上傳到醫療云服務器。一旦數據擁有者希望改變現有 CT 上的訪問策略，數據擁有者就向醫療云服務器發送策略更新密鑰，醫療云服務器對密文進行更新。隨后，如果用戶的屬性滿足CT的訪問策略，他們可以使用密鑰執行解密操作。方案的系統模型如圖1所示。

2.2 算法定義

云醫療環境下策略可更新的多權威屬性基安全方案算法由系統初始化、權威機構初始化、密鑰生成、數據加密、數據解密、策略更新密鑰生成和密文更新和追蹤八部分組成。

a）系統初始化算法 ：輸入安全參數 λ ，輸出并發布系統的公共參數 PP，PP 是每個算法的輸入參數。

b）權威機構初始化算法AASetup （aid，PP）?SK_aid， PK_aid 每個屬性權威AA都有一個索引 aid ，以每個屬性權威AA的索引aid和公共參數 PP 作為輸入，輸出屬性權威的私鑰 SK_aid 和公鑰 PK_aid 。

c）用戶密鑰生成算法 Keygen（uid，S，∣SK_aid∣，PP） SK_s，uid ：輸入用戶標識符 uid 、屬性集合 s 、屬性對應權威機構的私鑰 SK_aid 、系統公共參數 PP ，輸出用戶對應的私鑰 SK_s，uid 。

d）加密算法 Encrypt（m，（M，ρ），PK_aid，PP）CT 輸入需要加密的明文 ?_m 、訪問結構 （M，ρ） 、屬性權威機構的公鑰PK_aid ，以及系統的公共參數 PP ，輸出對應的密文 CT 。

e）解密算法 Decrypt（CT，SK_s，uid，PP）?m ：輸入需要解密的密文 CT 、用戶的私鑰 SK_s，uid 、系統公共參數 PP ，輸出對應的明文 m 。

f）策略更新密鑰生成算法PUKeygen（ PP ， PK_aid Share（m），（M，ρ），（M^′，ρ^′））UK_m ：輸人系統公共參數 PP 屬性權威機構的公鑰 PK_aid、m 的加密信息 Share（m） （包含隨機向量 u 和 x 的信息）、舊訪問策略 （M，ρ） 和新訪問策略（ M^′ ，ρ^′. ），輸出策略更新密鑰 UK_m 。

g）密文更新算法CTUdata （CT，UK_m）?CT^′ ：輸人密文 ∠sCT 和策略更新密鑰 UK_m ，算法輸出更新的密文 CT^′ 。

h）追蹤算法 Trace（ SK_s，uid ， {PK_aid}，PP）uid. 1 ⊥ ：輸入用戶私鑰、權威機構公鑰和系統公共參數，輸出用戶的 uid 或 ⊥ 。

3具體方案

a）系統初始化：該算法輸入安全參數 λ ，選擇階為素數 p 的線性群 G_T，e 為雙線性映射， e：G×G?G_T 。隨機選擇 g∈G 和三個抗碰撞性哈希函數 H₁，H₂，T 其中， H₁ 用于將用戶的身份映射到 G 的一個元素中，即 用于將用戶的屬性映射到 G 的一個元素中，即 用于將屬性 i 映射到相應權威機構的索引 （aid） ，即 Z_q 。系統的公共參數為 PP=（G，G_T，p，e，g，H₁，H₂，T） ，以系統的公共參數 PP 作為輸出。

b）權威機構初始化：選擇隨機數 α_aidβ_aid∈Z_p ，輸入aid、PP ，計算公鑰： ，令權威機構私鑰為 SK_aid={α_aid，β_aid} 。

c）用戶密鑰生成：隨機選擇 ，可得用戶的密鑰組成部分如下： ： ，輸出用戶密鑰SK_S，uid={K_2，uid，{K_{1，i，uid}，K_{3，i，uid}，K_{4，i，uid}}_i∈S} 。

d）加密：輸入明文 m 、系統公共參數 PP 、訪問策略 （M，ρ） 、授權機構的公鑰 PK_aid ，隨機選取兩個秘密值 s 和 0，s∈Z_p ，選取兩個隨機向量 ν=（s，v₂，…，v_n） 和 x=（0，x₁，x₂，…，x_n） ，計算 s 和0的份額為 λ_x=M_xν^T 和 ω_x=M_xx^T ，隨機選取 r_x∈Z_p ，并計算密文的子項： C₀=m?e（g，g）^s ， 。則密文 CT 為：CT={C₀，{C_1，x，C_2，x，C_3，x，C_4，x}_{x∈{1，…，l}}} 。

e）解密：輸入密文 （T，SK_s，uid 和系統公共參數 PP ，對于 x∈ I 和 {x：ρ（x）∈S} 其中 I?{1，…，l} ，計算解密因子 D_x ：

D_x=C_1，x?e（K_{1，ρ（x），uid}，C_3，x）?e（H₁（K_2，uid），C_2，x）.

e（K_{3，ρ（x），uid}?K_{4，ρ（x），uid}，C_4，x）

對于 {c_x}_x∈I ，有 ，進一步計算可得明文 （204

f）策略更新密鑰生成：輸人系統公共參數 PP ，屬性權威機構的公鑰 PK_aid ，包含隨機向量 u 和 x 的加密信息 Shares（m） ，舊訪問策略 （M，ρ） 和新訪問策略 （M^′，ρ^′） ， M 為 l×n 的矩陣，M^′ 為 l^′×n^′ 矩陣，定義 δ（i）=T（ρ（i））_i∈[I] 和 δ^′（j）=T（ρ^′ （j））_j∈[I] ，通過文獻[14]的策略比較方法，生成新訪問策略中M^′ 矩陣的三個行索引 I_1，M^′?I_2，M^′?I_3，M^′，num_{ρ（i），M} 和 num_{ρ（i），M^′} 分別表示屬性 ρ（i） 在 M 中和 ρ^′（i） 在 M^′ 中的數量。 I_{1，M^′} 和 I_2，M^′ 都表示索引 j 的集合，使得 ρ^′（j） 在 M 中，且 j 總數不會超過屬性 ρ（i）（ρ（i）=ρ^′（j） 在 M 中的總數，若索引 j 總數超過屬性ρ（i） 在 M 中的數量，對于超出部分的索引 j 將會放人 I_2，M^′ 。I_3，M^′ 取表示 ρ^′（j） 不存在 M 中 j 的索引集合。選取兩個隨機向量 ν^′=（s，ν₂^′，…，ν_n^′） 和 x^′=（0，x₂^′，…，x_n^′） ，計算 λ_j^′=M_j^′ν^′T 和ω_j^′=M_j^′x^′T 且 j∈{1，…，l^′} 。

當行索引滿足 （j，i）∈I_1，M^′ （模塊1），該算法生成策略更新密鑰組件為

當行索引滿足 （j，i）∈I_2，M^′ （模塊2），選取一個隨機數 a_j∈ Z_p ，并產生更新密鑰為

當行索引滿足 （j，0）∈I_3，M^′ （模塊3），隨機選取 ，更新密鑰項： ，更新密鑰為

{UK_j，i，m}₃={UK_{1，j，i，m}，UK_{2，j，i，m}，UK_{3，j，i，m}，UK_{4，j，i，m}}

最后，數據擁有者將策略更新密鑰 UK_m={{UK_{j，i，m}}₁ {UK_j，i，m}₂，{UK_j，i，m}₃} 發送給醫療云存儲服務提供商。

g）密文更新：云存儲服務提供商接收到策略更新密鑰后，將密文 CT 更新為 CT^′ ，具體更新如下：

當行索引屬于模塊1時，更新密文為

當行索引屬于模塊2時，更新密文為

當行索引屬于模塊3時，更新密文為

最后，更新后的密文為

CT^′={C₀，{C^′_1，j，C^′_2，j，C^′_3，j，C^′_4，j}_{j∈{1，…，l^′}}}

h）追蹤：此過程輸入用戶解密密鑰 SK_s，uid 、公共參數 PP 、權威機構的公鑰 PK_aid ，如果用戶解密密鑰 SK_s，uid 來自：SK_S，uid={K_2，uid，{K_1，i，uid，K_{3，i，uid}，K_{4，i，uid}}_i∈S} ，則輸出用戶的uid ，否則輸出 ⊥ ，表示無須追蹤。

4方案分析

4.1 正確性分析

4.1.1方案密鑰正確性分析

若上式成立，則該密鑰符合方案，用戶可以對密文進行解密。

4.1.2解密正確性分析

對于滿足 {c_x}_x∈I 和 時，計算解密因子 D_x ，并將相應的公鑰和私鑰代入解密因子 D_x 進行計算：

有 ，若可以得到 ，則說明數據使用者可以正確解密相應的密文。

4.2 安全性分析

4.2.1選擇明文攻擊下密文不可區分安全

若 q -PBDHE是困難的，敵手A選擇一個挑戰訪問結構（M^?_?rosunΦ_?rosun^? ）在概率多項式時間內不能以不可忽略的優勢攻破加密方案，則該方案具有密文不可區分安全。

證明若存在 PPT 的敵手A以一個不可忽略的 Adv_A 優勢攻破本文方案，則可以找到一個挑戰者C能夠以不可忽略的優勢攻破判定性 q -PBDHE假設，A和C進行如下游戲：

C輸入 q 階數雙線性Diffie-Hellman（DBDH）中的 和 T 判斷 和 T=G_T，T 為 G_T 中隨機元素。

初始化：敵手A將挑戰的訪問結構 Λ（M^*Λ，ρ^*Λ ）發送給挑戰者C。

第一階段：敵手A對 s 的屬性集合做一系列詢問，要求所提問的屬性集合 s 不屬于訪問結構 （M^*，ρ^*） ，挑戰者C將對應的私鑰發送給敵手 ΔA 。

挑戰：敵手A發送兩個等長的明文 m₀ 和 m₁ ，挑戰者C選擇 一個 b∈{0，1} 并加密 m_b ，將得到 m_b 的密文 CT^* 發送給敵手 A_c 0

第二階段：敵手A繼續進行第一階段的查詢操作，同樣要求所提問的屬性集合 s 不屬于訪問結構 （M^*，ρ^*） 。

猜測：若敵手輸出 b^′，b^′=b，b^′∈{0，1} ，挑戰者輸出1，猜測 ，當輸出 0 時， T=G_T 。

在輸出1的情況下，即 ，由于敵手A的優勢可定義為 ，可得 Adv_A=|Pr[b^′=b]- ;在輸出0下，敵手A不能得到 m_b 有用的消息，所以

可以求得，挑戰者C在游戲中總優勢：

可得攻擊者C也有不可忽略的 優勢攻破 q -PBDHE難題。綜上可得，本文方案為密文不可區分安全。

4.2.2抗用戶共謀攻擊

在該方案中使用用戶唯一的 uid 并構造 uid 對應的哈希函數值來抵抗串通攻擊，下面將展示該方案是如何抵抗共謀攻擊。

在解密過程中，數據用戶需要計算 ·e（H₁（uid），g）_x∈Iω_xc_x ，對于滿足訪問結構的單一用戶，由 ，可得 e（g，g）^s ，通過 解密出明文 m 。而對于擁有部分解密私鑰的用戶，想要解密密文必須與其他用戶合謀非法獲取私鑰，當合謀攻擊時，由于不同用戶會有不同的 uid ，求出 H₁（uid） 的值也會不同，所以 部分的 ，無法得到 e（g，g）^s ，即惡意用戶無法通過合謀獲取明文。由此可證明本文方案可以抵抗用戶共謀攻擊。

4.2.3抗用戶與權威機構共謀攻擊

各權威機構執行初始化算法，生成各權威機構主私鑰和主公鑰，各權威機構保存自己的主私鑰并將主公鑰公開，在生成用戶屬性私鑰時需要輸入各權威機構主私鑰和用戶唯一標識符uid，所以不具有其他權威機構主私鑰的惡意權威機構無法生成相對應的私鑰。即在 n 個屬性權威機構中，各個屬性權威機構管理不相同的屬性，只要保證有1個權威機構不泄露對應部分的私鑰，惡意用戶就不能取得滿足訪問結構對應的私鑰，最終保證明文不被泄露，由此可證明本文方案可以抵抗 n-1 個屬性權威機構合謀攻擊。

4.3性能分析

本節將本文方案與現有方案關于功能特征和性能特征進行比較，在方案分析部分網絡擁塞、發送延遲等因素可能對系統產生的影響。

從表1可以看出：文獻[15]只具有多權威機構，不具有策略更新和可追蹤功能。文獻16是基于LSSS的多權威方案，同時具有可追蹤功能，但是不能進行策略更新，不能對醫療數據進行靈活的訪問控制。文獻[17]是基于樹型訪問結構的多權威方案，同時具有可策略更新功能，但是不能對泄密方進行追蹤，安全性較差。文獻[18]是基于LSSS訪問結構的多權威方案，具備可追蹤功能，但是當訪問策略發生變化時不能對其更新。與上述方案相比，本文方案是基于LSSS訪問結構的多權威方案，并且同時支持策略更新和可追蹤功能。

表2展示了計算開銷方面的對比?？梢钥闯?，本文方案公鑰不隨權威機構中屬性域的大小線性增加，文獻[17」方案的公鑰隨權威機構中屬性域的大小線性增加。本文方案私鑰優于文獻[19]，盡管文獻[17]在私鑰長度方面優于本文方案，但是在功能方面文獻[17]不支持可追蹤，本文方案具有可追蹤功能。在加密和解密方面，本文方案的加密和解密成本較文獻[19]得到優化。

4.4 仿真實驗

本文通過進行了一個模擬實驗來評估方案，操作系統為Windows10家庭中文版，處理器為12thGenIntel °ledast CoreTMi7-12700H2.70GHz ，采用Python3.7基于Charm-Crypto庫進行編寫，選擇超奇異對稱橢圓曲線群（“SS512\"）。

本文主要通過改變屬性數目來測試方案，本文方案支持多對多模型，可應用于多種場景中，可將方案應用于患者和醫療數據請求者之間，有效實現了醫療數據的安全共享和策略更新。

圖2、3顯示了當訪問策略中屬性數量在2＼～14變化時加密和解密過程的時間變化。屬性數量在 2～14 變化過程中，本文方案和文獻[19]的加密解密時間均增加，但本文方案在加密和解密過程中時間均少于文獻[19]，即本文方案在加密解密方面具有優越性。

在策略更新階段，本文方案與文獻［19]在時間開銷方面進行比較，如圖4所示，將AA數量固定為6，用戶的屬性個數同樣固定為6，通過改變訪問策略屬性的數目，比較策略更新密鑰生成時間和密文更新時間來測試方案。可以看出，本文方案與文獻[19]策略更新密鑰生成時間和密文更新時間會隨著訪問策略中屬性個數的增加而增加，但當完成相同任務時，本文方案在策略更新密鑰生成以及密文更新方面所花費的時間更少。整體來看，本文方案在策略更新方面性能較好。

5結束語

本文提出一種云醫療環境下支持策略可更新的多權威屬性基安全方案，實現了患者和用戶之間數據的細粒度訪問和安全共享。采用多個權威機構管理用戶的屬性和密鑰，相較于傳統的單權威機構能更好地防止用戶信息泄露。在策略更新方面，允許數據所有者根據變化靈活地更改訪問策略，而不需要重新加密整個數據集，可以有效降低系統計算開銷。方案分析和仿真實驗結果表明，本文方案在功能和計算開銷方面更具有優勢，同時具有較高的安全性。未來工作將研究如何實現云醫療環境下數據的外包解密，進一步降低系統的計算開銷。

參考文獻：

[1]薛慶水，時雪磊，王俊華，等.基于屬性加密的個人醫療數據共享 方案[J].計算機應用研究，2023，40（2）：589-594，600.（Xue Qingshui，ShiXuelei，WangJunhua，etal.Personal medical datasharingschemebased onattributeencryption[J].ApplicationResearch ofComputers，2023，40（2） ：589-594，600.）

[2]Goyal V，PandeyO，Sahai A，etal.Attribute-based encryption for finegrainedaccesscontrol ofencrypted data[C]//Proc ofthe13thACM Conference on Computer and Communications Security.New York： ACM Press，2006：89-98.

[3]Bethencourt J，Sahai A，Waters B. Ciphertext-policy atribute-based encryption[ C]//Proc of IEEE Symposium on Security and Privacy. Piscataway，NJ：IEEE Press，2007：321-334.

[4]Li Jiguo，Zhang Ruyuan，Lu Yang，et al.Multiauthority attribute-based encryption for assuring data deletion[J].IEEE Systems Journal， 2023，17（2） ：2029-2038.

[5]Fan Kai，Liu Tingting，Zhang Kuan，et al.A secure and efficient out sourced computation on data sharing scheme for privacy computing [J].Journal of Parallel and Distributed Computing，2020，135： 169-176.

[6].Wu Qing，Meng Guoqiang，Zhang Leyou，et al. Collusion resistant multi-authorityaccesscontrol scheme with privacy protection for personal health records[J].Journal of King Saud University-Computer and Information Sciences，2023，35（8） ：101677.

[7]Chase M. Multi-authority atribute based encryption[C]//Proc of Theoryof Cryptography：the 4th Theory of Cryptography Conference. Berlin：Springer，2007：515-534.

[8]Lin Huang，Cao Zhenfu，Liang Xiaohui，et al.Secure threshold multi authority attribute based encryption without a central authority[C]// Procof International Conference on Cryptology in India.Berlin： Springer，2008：426-436.

[9]董國芳，魯燁墊，張楚雯，等.支持撤銷屬性的CP-ABE密鑰更新 方法[J].計算機應用研究，2023，40（2）：583-588.（Dong Guofang，Lu Yekun，Zhang Chuwen，et al.CP-ABEkeyupdate method supporting revocation attribute[J].Application Research of Computers，2023，40（2） ：583-588.）

[10] Zhang Leyou，Hu Gongcheng，Mu Yi，et al. Hidden ciphertext policy attribute-based encryption with fast decryption for personal health record system[J]. IEEE Access，2019，7：33202-33213.

[11] Jahid S，Mittal P，Borisov N.EASiER：encryption-based access control in social networks with efficient revocation[C]//Proc of the 6th International Symposium on Information， Computer and Communications Security.New York：ACMPress，2011：411-415.

[12]Ying Zuobin，LiHui，Ma Jianfeng，etal.Adaptively secure ciphertextpolicy attribute-based encryption with dynamic policyupdating[J]. Science China Information Sciences，2016，59（4）：042701.

[13] Liu Zechao，Jiang Z L，Wang Xuan，et al.Practical atribute-based encryption：outsourcing decryption，attribute revocation and policy updating[J]. Journal of Network and Computer Applications，2018， 108;112-123.

[14]Yang Kan，Jia Xiaohua，Ren Kui. Secure and verifiable policy update outsourcing for big data accesscontrol in the cloud[J].IEEE Trans on Parallel and Distributed Systems，2015，26（12） ：3461-3470.

[15] Das S， Namasudra S. Multiauthority CP-ABE-based access control model forIoT-enabled healthcare infrastructure[J]. IEEE Trans on Industrial Informatics，2023，19（1） ：821-829.

[16]許盛偉，王飛杰.多機構授權下可追蹤可隱藏的屬性基加密方案 [J].信息網絡安全，2020，20（1）：33-39.（Xu Shengwei，Wang Feijie.Attribute-based encryption scheme traced under multi-authority [J].Netinfo Security，2020，20（1）：33-39.）

[17]Yan Xixi，Ni Hao，Liu Yuan，et al.Privacy-preserving multi-authority attribute-based encryption with dynamic policy updating in PHR[J]. Computer Science and Information Systems，2019，16（3）： 831-847.

[18]Zhang Kai，Li Hui，Ma Jianfeng，et al.Effcient large-universe multiauthority ciphertext-policy attribute-based encryption with white-box traceability[J]. Science China Information Sciences，2017，61 （3）：032102.

[19]Ling Jie，Chen Junwei，Chen Jiahui，etal.Multiauthorityattributebased encryption with traceable and dynamic policy updating[J].Securityand Communication Networks，2021，2021（1） ：6661450.