智慧醫(yī)療中基于屬性加密的云存儲數(shù)據(jù)共享

牛淑芬 宋 蜜* 方麗芝 王彩芬②

①(西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 蘭州 730070)

②(深圳技術(shù)大學(xué)大數(shù)據(jù)與互聯(lián)網(wǎng)學(xué)院 深圳 518118)

1 引言

隨著信息技術(shù)的飛速發(fā)展，越來越多的醫(yī)療機(jī)構(gòu)使用電子信息系統(tǒng)來存儲醫(yī)療數(shù)據(jù)。為了提高醫(yī)院服務(wù)質(zhì)量，降低患者成本，更好地利用醫(yī)療信息數(shù)據(jù)已逐漸成為研究熱點(diǎn)。作為患者，個(gè)人電子健康記錄(Electronic Health Record， EHR)[1]是一種電子的個(gè)人醫(yī)療健康記錄，包含所有與個(gè)人健康相關(guān)的信息，如個(gè)人醫(yī)療記錄、過敏藥物、體檢報(bào)告、家族病史等敏感信息。由于EHR中包含著患者極其隱私敏感的信息， 而且數(shù)據(jù)的存儲需要很大的空間，云技術(shù)被提出用于個(gè)人健康數(shù)據(jù)的存儲、管理和共享[2—4]。醫(yī)療云系統(tǒng)不僅為醫(yī)患雙方提供了極大的便利，而且也有助于患者更好地控制自己的病情。然而，云服務(wù)器并不完全可信，當(dāng)用戶在云服務(wù)器上存儲EHR數(shù)據(jù)時(shí)，數(shù)據(jù)會受到各種安全威脅，涉及數(shù)據(jù)的隱私、完整性和數(shù)據(jù)的認(rèn)證[5]。為了防止數(shù)據(jù)泄露，在上傳前需對共享數(shù)據(jù)進(jìn)行加密。但又會出現(xiàn)新的問題，數(shù)據(jù)加密之后，數(shù)據(jù)的使用就會受到一定的限制。為了解決這一問題，研究人員引入了可搜索加密(Searchable Encryption，SE)技術(shù)。Song等人[6]首先在流密碼的基礎(chǔ)上提出了對稱可搜索加密，該方案對文件中的每個(gè)關(guān)鍵字進(jìn)行加密，使得云服務(wù)器在不知道具體關(guān)鍵字的情況下卻能明確文件中是否包含特定的關(guān)鍵字。

文獻(xiàn)[7]提出了可實(shí)現(xiàn)動態(tài)更新的可搜索加密方案，方案具有較高的準(zhǔn)確性和安全性。文獻(xiàn)[8]支持連接關(guān)鍵字作為搜索的輸入，并使服務(wù)器能夠向用戶證明搜索結(jié)果的完整性。然而，這些可搜索方案都是一對一加密，由于加密數(shù)據(jù)在多個(gè)接收者之間共享，并保存在一個(gè)不可信的遠(yuǎn)程共享存儲服務(wù)器中。如何實(shí)現(xiàn)多個(gè)用戶安全高效的訪問數(shù)據(jù)成為新的問題，屬性基加密(Attribute-Based Encryption，ABE)正好解決了這個(gè)問題。文獻(xiàn)[9，10]提出了幾個(gè)ABE方案，實(shí)現(xiàn)了細(xì)粒度的訪問控制和關(guān)鍵字搜索。然而，這些方案關(guān)注的是數(shù)據(jù)的機(jī)密性，沒有考慮訪問策略的隱私保護(hù)。訪問策略被大多數(shù)注重?cái)?shù)據(jù)保密性的ABE方案采用，并與相關(guān)密文公開共享。這種數(shù)據(jù)訪問策略的暴露會泄露共享數(shù)據(jù)和解密方身份的敏感信息，從而使傳統(tǒng)的ABE方案變得不安全。

為了防止訪問策略的泄露，文獻(xiàn)[11] 提出了一種在素序群中具有部分隱藏訪問結(jié)構(gòu)的基于密文策略的屬性加密方案。另一個(gè)問題是云服務(wù)器(Cloud Server Provider， CSP)并不完全可信。在不完全可信的云環(huán)境中，半可信云服務(wù)器可能會返回部分結(jié)果或錯(cuò)誤的搜索結(jié)果，因此研究支持搜索結(jié)果完整性驗(yàn)證的SE技術(shù)顯得尤為重要。為了驗(yàn)證CSP返回的搜索結(jié)果的完整性，Sun等人[12]提出了一種基于屬性的可驗(yàn)證加密方案，但是這些方案存在云數(shù)據(jù)的重復(fù)性。隨著云中存儲的數(shù)據(jù)量增加，不可避免地會出現(xiàn)重復(fù)數(shù)據(jù)。如果云服務(wù)器存儲大量冗余數(shù)據(jù)，則會浪費(fèi)CSP的存儲資源和用戶的網(wǎng)絡(luò)帶寬。因此，重復(fù)數(shù)據(jù)消除對于云服務(wù)提供商來說是非常必要的。針對這個(gè)問題，文獻(xiàn)[13]提出了一個(gè)在混合云環(huán)境下具有重復(fù)數(shù)據(jù)消除功能的屬性加密存儲系統(tǒng)，其中私有云負(fù)責(zé)重復(fù)數(shù)據(jù)的檢測，公共云負(fù)責(zé)數(shù)據(jù)的存儲。文獻(xiàn)[14，15]均使用消息鎖定加密來實(shí)現(xiàn)對密文的重復(fù)數(shù)據(jù)刪除，用戶使用聚合密鑰對敏感數(shù)據(jù)進(jìn)行加密，CSP將存儲的數(shù)據(jù)與新上傳的數(shù)據(jù)進(jìn)行比較，若發(fā)現(xiàn)相同的數(shù)據(jù)，CSP將不再存儲新的數(shù)據(jù)，以節(jié)省存儲空間。

本文在加密的云數(shù)據(jù)上建立一個(gè)基于屬性的關(guān)鍵字搜索加密方案，它支持?jǐn)?shù)據(jù)完整性驗(yàn)證和重復(fù)數(shù)據(jù)消除，能夠?qū)崿F(xiàn)醫(yī)療數(shù)據(jù)的機(jī)密性、認(rèn)證性、完整性，并支持機(jī)密數(shù)據(jù)的共享。該文分別從數(shù)據(jù)所有者、數(shù)據(jù)用戶和醫(yī)療云的角度進(jìn)行了研究。對于數(shù)據(jù)所有者來說，數(shù)據(jù)機(jī)密性是最重要的，其次是對數(shù)據(jù)用戶的有效授權(quán)。為此，本文采用ABE技術(shù)來保證數(shù)據(jù)的機(jī)密性和用戶的匿名性。為了防止訪問策略泄漏，本文將訪問策略中的屬性進(jìn)行加密隱藏。此外，還提供了細(xì)粒度的訪問授權(quán)，只允許屬性集滿足訪問策略的用戶才可獲得醫(yī)療數(shù)據(jù)。對于數(shù)據(jù)用戶來說，搜索數(shù)據(jù)的完整性是最重要的。為了保證搜索結(jié)果的完整性，本文通過數(shù)據(jù)用戶和醫(yī)療云的交互對密文進(jìn)行驗(yàn)證。對于醫(yī)療云，它側(cè)重于消除重復(fù)數(shù)據(jù)和減少存儲資源的浪費(fèi)，因此本文為每個(gè)共享文檔生成數(shù)據(jù)標(biāo)簽，以實(shí)現(xiàn)云重復(fù)數(shù)據(jù)消除。 對于數(shù)據(jù)所有者來說，數(shù)據(jù)保密性是最重要的，其次是對數(shù)據(jù)用戶的有效授權(quán)。

本文的創(chuàng)新點(diǎn)如下:

(1)方案允許多個(gè)患者對電子病歷設(shè)置訪問控制策略，同時(shí)支持多個(gè)用戶對數(shù)據(jù)進(jìn)行細(xì)粒度訪問，所有屬性滿足訪問策略的用戶均能夠獲取醫(yī)療數(shù)據(jù)。

(2)方案實(shí)現(xiàn)了訪問策略的隱藏，有效避免用戶的具體屬性值泄露給第三方，確保了用戶隱私的安全。

(3)方案通過對加密文件設(shè)置數(shù)字標(biāo)簽，實(shí)現(xiàn)重復(fù)數(shù)據(jù)消除功能，減少占用醫(yī)療云的存儲空間；同時(shí)對密文進(jìn)行簽名來保證數(shù)據(jù)正確性，實(shí)現(xiàn)密文可驗(yàn)證，解決了半誠實(shí)云服務(wù)器下搜索結(jié)果不正確的問題。

(4)安全性分析表明了本文方案對適應(yīng)性選擇關(guān)鍵字攻擊是安全的，確保了關(guān)鍵字的保密性；此外，還可以有效地阻止未經(jīng)授權(quán)用戶對數(shù)據(jù)的訪問。

2 相關(guān)工作

2.1 EHR系統(tǒng)

EHR系統(tǒng)是以電子病歷為核心的醫(yī)療信息系統(tǒng)，EHR不僅包括個(gè)人的醫(yī)療記錄，即門診、住院就診的所有醫(yī)療信息，還包括個(gè)人的健康記錄，如免疫接種、過敏源、健康狀態(tài)等內(nèi)容，如圖1所示。如果一個(gè)急診患者突然來到醫(yī)院，醫(yī)師可以將患者身上所帶的醫(yī)療卡插入計(jì)算機(jī)，這樣計(jì)算機(jī)就會立刻顯示出患者的有關(guān)情況，如姓名、年齡、藥敏等，此時(shí)醫(yī)師就能夠根據(jù)患者的臨床表現(xiàn)開出需要的檢查項(xiàng)目單。電子病歷和計(jì)算機(jī)信息系統(tǒng)的應(yīng)用，將使醫(yī)療會診的時(shí)間縮短，質(zhì)量大幅度提高，同時(shí)改善醫(yī)療服務(wù)，提高治愈率，降低成本。然而EHR系統(tǒng)也存在一些安全和隱私問題，這些問題也受到了越來越多的關(guān)注[16，17]。

圖1 電子病歷示例圖

2.2 屬性基加密

屬性基加密與過去的公鑰加密方案相比(如身份基加密)最大的不同點(diǎn)就是，ABE實(shí)現(xiàn)了一對多的加解密。不需要像身份加密一樣，每次解密都必須知道接收者的身份信息，在ABE中它把身份標(biāo)識看作一系列的屬性。當(dāng)用戶擁有的屬性超過加密者所描述的預(yù)設(shè)門檻時(shí)，用戶是可以解密的。 基于屬性加密主要分為兩大類：密文策略的屬性加密(Ciphertext Policy Attribute Based Encryption，CP-ABE)[18]和密鑰策略的屬性加密(Key Policy Attribute Based Encryption， KP-ABE)[19]。ABE方案可以運(yùn)用在多對多的場景下，例如電子病歷系統(tǒng)和社交網(wǎng)絡(luò)中。

ABE方案提出以后，大多數(shù)學(xué)者開始著手關(guān)于ABE的研究[20，21]。如Yin 等人[20]提出了一種有效的機(jī)制來實(shí)現(xiàn)對加密數(shù)據(jù)的安全搜索，服務(wù)器可以根據(jù)數(shù)據(jù)用戶提交的查詢陷門對加密數(shù)據(jù)進(jìn)行關(guān)鍵字搜索，如圖2所示。近年來，為了獲得更好的安全性和性能，文獻(xiàn)[21，22]分別提出了支持?jǐn)?shù)據(jù)更新和搜索結(jié)果可驗(yàn)證的方案。本文重點(diǎn)研究了基于CP-ABE的醫(yī)療數(shù)據(jù)共享方案，允許多個(gè)用戶進(jìn)行細(xì)粒度的數(shù)據(jù)訪問，支持多關(guān)鍵字搜索，保護(hù)了數(shù)據(jù)用戶的匿名性和隱私安全，不僅實(shí)現(xiàn)了多個(gè)數(shù)據(jù)用戶對密文的可驗(yàn)證，同時(shí)保障了用戶隱私安全，具有實(shí)際可行的意義。

圖2 屬性基可搜索加密方案示例圖

3 預(yù)備知識

定義1(訪問控制樹)[22]在本方案中，訪問結(jié)構(gòu)可以用訪問樹Γ來表示，其中非葉節(jié)點(diǎn)表示門限值，葉節(jié)點(diǎn)表示屬性值。對于Γ中的每個(gè)非葉節(jié)點(diǎn)x，numx定義為子節(jié)點(diǎn)數(shù)量，kx表示節(jié)點(diǎn)x的門限值，其中，如果kx=1，表示閾值門是“OR”門。 如果kx=numx，則閾值門表示“AND”門。為了方便描述訪問結(jié)構(gòu)，本文用att(x)表示和葉節(jié)點(diǎn)x相關(guān)聯(lián)的屬性，用parent(x)表示節(jié)點(diǎn)x的父節(jié)點(diǎn)，對于每個(gè)節(jié)點(diǎn)y，它是x的子節(jié)點(diǎn)(即parent(y)=x)，本文將index(y)表示為節(jié)點(diǎn)y的索引號，其中1≤index(y)≤numx，這些索引值以任意方式唯一地分配給訪問結(jié)構(gòu)中的節(jié)點(diǎn)，即?y ／=y′，若parent(y)=parent(y′)，則 index(y)／=index(y′)。

定義2(離散對數(shù)假設(shè)) 設(shè)G為一個(gè)階為素?cái)?shù)p的群，g是G的生成元，給定g和ga，DL問題的目標(biāo)是輸出a。對于任何概率多項(xiàng)式時(shí)間(PPT)的對手 A，如果Pr[A(g，ga)=a]≤ε成立可以認(rèn)為 A在解決DL問題方面的優(yōu)勢忽略不計(jì)，即在DL假設(shè)下，G中的DL問題在計(jì)算上是不可行的或困難的。

4 形式化模型

4.1 系統(tǒng)模型

本文考慮一個(gè)加密云存儲系統(tǒng)(醫(yī)療云)，它支持信息檢索和對加密的個(gè)人數(shù)據(jù)文件(健康記錄)進(jìn)行細(xì)粒度訪問控制。在這個(gè)系統(tǒng)中，存在多個(gè)數(shù)據(jù)所有者(患者)和多個(gè)數(shù)據(jù)用戶(如醫(yī)生、診所、政府機(jī)構(gòu)等)?；颊呖梢詣?chuàng)建、管理和修改其文件，數(shù)據(jù)用戶可以通過特定患者的授權(quán)訪問這些敏感文件。系統(tǒng)框架涉及4個(gè)實(shí)體，即數(shù)據(jù)所有者(Data Owner， DO)、數(shù)據(jù)用戶(Data User， DU)、云服務(wù)器提供商(Cloud Server Provider， CSP)、密鑰生成中心(Key Generation Center， KGC)，如圖3所示。

圖3 系統(tǒng)模型

各個(gè)角色的具體介紹如下：

(1) DO是指到醫(yī)院或醫(yī)療機(jī)構(gòu)看病就醫(yī)的患者。DO作為健康檔案的來源，對數(shù)據(jù)擁有所有權(quán)和控制權(quán)。他們加密健康記錄，將密文外包給CSP，并把隱藏的訪問策略和安全索引上傳到CSP。

(2) DU是指需要訪問患者EHR的醫(yī)生、政府、實(shí)驗(yàn)室、診所等。通過將自己的屬性集提交給KGC獲得密鑰，生成感興趣關(guān)鍵字集的陷門，并將其提交給CSP。

(3) CSP是指醫(yī)院的云服務(wù)器，即醫(yī)療云。主要負(fù)責(zé)存儲DO提供的加密健康記錄，驗(yàn)證DU的合法性，將陷門與索引、用戶提交的屬性集與訪問策略進(jìn)行匹配，若匹配成功，將電子健康記錄文件地址返回給DU。它是誠實(shí)的，但對數(shù)據(jù)很好奇。

(4) KGC是指密鑰生成中心。主要負(fù)責(zé)系統(tǒng)初始化、數(shù)據(jù)用戶認(rèn)證和密鑰生成。

在本文模型中，DO去醫(yī)院就診后，醫(yī)生為其生成一份電子病歷，DO根據(jù)自己的需要對病歷設(shè)置訪問控制策略，并生成一份關(guān)鍵字安全索引。隨后DO將加密的病歷、加密的訪問策略和安全索引上傳到CSP。當(dāng)有DU想要訪問特定病歷時(shí)，DU會根據(jù)自己的私鑰生成搜索令牌，并將其提交給CSP，當(dāng)DU的屬性滿足DO定義的訪問控制策略，且符合訪問條件時(shí)，CSP把相應(yīng)密文發(fā)送給DU，DU可以對密文進(jìn)行驗(yàn)證并解密，最新獲得病歷明文。

4.2 算法描述

4.3 安全模型

本方案的安全模型包括適應(yīng)性選擇關(guān)鍵字攻擊游戲、關(guān)鍵字保密游戲。

游戲1：選擇關(guān)鍵字攻擊游戲

初始化：挑戰(zhàn)者 B運(yùn) 行系統(tǒng)建立算法，返回系統(tǒng)公開參數(shù)PP，保留主密鑰Msk。

階段1：攻擊者 A在Trap預(yù)言機(jī)中查詢關(guān)鍵字集{W1，W2，...，Wt}。

-Trap(sk，W)： B運(yùn)行陷門生成算法得到陷門Tokwi(1≤i ≤t)發(fā)送給A 。

挑戰(zhàn)： A向 B提交兩個(gè)挑戰(zhàn)關(guān)鍵字W0和W1，

5 方案構(gòu)造

本文提出的方案主要包括3個(gè)階段：系統(tǒng)建立、數(shù)據(jù)加密與存儲、數(shù)據(jù)共享。具體方案如下：

5.1 系統(tǒng)建立

算法1：初始化(Setup)

輸入：安全參數(shù)λ

輸出：公共參數(shù)PP，主密鑰Msk

給定安全參數(shù)λ和雙線性映射參數(shù)(G1，G2，q，g，e)，其中G1和G2為兩個(gè)階為素?cái)?shù)q的循環(huán)乘法群，g為G1的生成元，且滿足雙線性映射對e:G1×G1→G2。KGC首先調(diào)用(1λ)→(PP，Msk)算法生成公鑰 PP，主密鑰Msk和對稱密鑰k。選擇兩個(gè)抗沖突哈希函數(shù)H1:{0，1}*→G1，H2:{0，1}*→Zq。另外，K G C 隨機(jī)選取3 個(gè)元素a，b，c ∈Zq，計(jì)算β1=ga，β2=gb，β3=gc。最后，設(shè)置公鑰PP和主密鑰Msk為

算法2：密鑰生成(KeyGen)

輸入：DU的屬性集S，公共參數(shù)PP，主密鑰Msk

輸出：DU的私鑰SK

給定一組屬性集S，KGC調(diào)用(PP，Msk，S)→SK算法生成授權(quán)用戶DU的私鑰S K。它首先選擇一個(gè)隨機(jī)元素r ∈Zq，然后對每個(gè)屬性j ∈S選擇隨機(jī)數(shù)rj ∈Zq，計(jì)算λj=grH1(j)rj，μj=grj，φj=H1(j)a，最后通過下式輸出密鑰SK。SK=(A=g(ac-r)/b，{λj=grH1(j)rj，μj=grj，φj=H1(j)a}j∈S)。

5.2 數(shù)據(jù)加密與存儲

算法3：數(shù)據(jù)加密(Encrypt)

輸入：公共參數(shù)PP，主密鑰Msk，文件集F，關(guān)鍵字集W，對稱密鑰k，訪問策略Γ

輸出：密文CT

給定文件集F={f1，f2，...，fn}，關(guān)鍵字集W= {w1，w2，...，wt}，DO首先為每個(gè)文件建立關(guān)鍵字索引Il，i。在本文中，DO首先通過AES算法生成文件密文，再采用CP-ABE算法加密文件密鑰，最終把完整的密文上傳至云端。

(1)關(guān)鍵字索引生成：DO選擇一個(gè)隨機(jī)數(shù)α ∈Zp，計(jì)算Pko=gα作為自己的公鑰，給定具有身份 idl的文件集F={f1，f2，...，fn}，DO提取關(guān)鍵字集W= {w1，w2，...，wt}并建立索引Il，i，圖4描述了一個(gè)簡單的索引建立過程。若關(guān)鍵字wi包含在文件fl中，計(jì)算文件索引Il，i=β1α1H2(wi)，否則Il，i=1， 最后設(shè)置索引表IW= {Il，i|l ∈[1，n]，i ∈[1，t]}。

圖4 索引建立

(2) DO為訪問樹中的每個(gè)節(jié)點(diǎn)x選擇一個(gè)多項(xiàng)式qx，對于根節(jié)點(diǎn)r o o t，隨機(jī)選擇兩個(gè)元素α1，α2∈Zq，令qroot(0)=α2，而多項(xiàng)式qr在其他dr個(gè)點(diǎn)的值完全進(jìn)行隨機(jī)選取，往下的其他節(jié)點(diǎn)x，令qx(0)=qparent(x)(index(x))，而其他dx個(gè)點(diǎn)的值隨機(jī)定義，其中函數(shù)parent(x)表示訪問樹Γ中節(jié)點(diǎn)x的父節(jié)點(diǎn)。經(jīng)過以上操作所有多項(xiàng)式全部確定。本文用att(x)表示和葉子節(jié)點(diǎn)x相關(guān)聯(lián)的屬性，對于Γ中的每一個(gè)葉子節(jié)點(diǎn)x，計(jì)算δx=gqx(0)，

5.3 數(shù)據(jù)共享

本文基于請求者所查詢的關(guān)鍵詞，醫(yī)療云可以定位特定數(shù)據(jù)用戶的預(yù)期搜索結(jié)果。因此，本文提出的方案不僅可以節(jié)省計(jì)算和帶寬資源，還可以通過患者指定不同的數(shù)據(jù)訪問結(jié)構(gòu)來實(shí)現(xiàn)細(xì)粒度的訪問控制。方案的框架如圖5所示。

圖5 方案框架

6 方案分析

6.1 正確性分析

6.2 安全性分析

定理1 本文方案在基于一般雙線性群模型的自適應(yīng)選擇關(guān)鍵字攻擊下是選擇性安全的。

證明 設(shè)散列函數(shù)H1為隨機(jī)預(yù)言機(jī)，H2為單向散列函數(shù)，證明在隨機(jī)預(yù)言模型中，本文方案在選擇關(guān)鍵字攻擊下是選擇性安全的。游戲如下：

6.3 性能分析

6.3.1 功能分析

表1列出了本文方案的功能優(yōu)勢，主要在訪問控制、多關(guān)鍵字搜索、結(jié)果驗(yàn)證、策略隱藏和數(shù)據(jù)去重等方面與方案[10，12，22]進(jìn)行了比較。通過比較可以看出文獻(xiàn)[22]和本文方案支持完整性驗(yàn)證，也實(shí)現(xiàn)了訪問策略的隱藏以及數(shù)據(jù)去重，避免了醫(yī)療云的存儲資源浪費(fèi)，但本文方案支持多關(guān)鍵字搜索，能使搜索結(jié)果更準(zhǔn)確，節(jié)省搜索時(shí)間，減少資源浪費(fèi)，因此更具功能性。

表1 功能比較

6.3.2 計(jì)算量分析

表2對文獻(xiàn)[10，12]方案和本文方案進(jìn)行了計(jì)算量的比較。其中s表示用戶提交的屬性數(shù)量，l表示訪問策略中的屬性數(shù)量，m表示關(guān)鍵字?jǐn)?shù)量，t表示用戶提交的關(guān)鍵字?jǐn)?shù)量。p表示配對運(yùn)算的時(shí)間，e表示指數(shù)運(yùn)算的時(shí)間，h表示哈希運(yùn)算的時(shí)間。文獻(xiàn)[12]方案似乎效率更高，但該方案只支持一對一的搜索模型，而本方案支持多對多模型，可應(yīng)用于多個(gè)實(shí)際場景中。本文將方案應(yīng)用于多個(gè)患者和多個(gè)數(shù)據(jù)請求者之間，有效實(shí)現(xiàn)了醫(yī)療數(shù)據(jù)的共享。因此，本文方案在實(shí)際應(yīng)用中是有效的和可擴(kuò)展的，在一定程度上不會帶來較大的計(jì)算負(fù)擔(dān)。

6.3.3 存儲量分析

表3對方案[10，12]和本文方案進(jìn)行了存儲量的比較。本文主要考慮以下幾種算法的存儲量：Key-Gen， Encrypt， Trap和Search算法， 并定義群G1，G2，Zq中元素的長度為|G1|， |G2|和|Zq|。本文方案的陷門生成(Trap)算法和搜索(Search)算法的存儲成本比文獻(xiàn)[10]、文獻(xiàn)[12]方案的低。在加密(Encrypt)階段，本文方案隱藏了訪問策略，相對于其他兩種方案具有更高的存儲負(fù)擔(dān)，由于加密算法只是一次性操作，因此本方案不會影響用戶的使用體驗(yàn)感。

表3 存儲量比較

6.3.4 實(shí)驗(yàn)分析

為了更準(zhǔn)確地評估方案的實(shí)際性能，本文使用真實(shí)數(shù)據(jù)集和PBC ( Pairing-Based Cryptograply)庫在密鑰生成時(shí)間、索引生成時(shí)間、搜索令牌生成時(shí)間、搜索時(shí)間方面進(jìn)行仿真測試。本文基于C 語言進(jìn)行編程， 在聯(lián)想AMD-Randeon R5圖形處理器筆記本上，Linux 操作系統(tǒng)下運(yùn)行實(shí)驗(yàn)。

在本文中，主要通過改變屬性的數(shù)目測試方案計(jì)算開銷。如圖6(a)所示，在KeyGen算法中，相比文獻(xiàn)[10]和文獻(xiàn)[12]，本文提出的方案效率更高，密鑰生成的計(jì)算開銷隨著數(shù)據(jù)用戶屬性數(shù)量的增加幾乎呈線性增長。在圖6(b)中，本文方案的數(shù)據(jù)加密時(shí)間受兩個(gè)因素的影響，即關(guān)鍵字?jǐn)?shù)量|m|和訪問策略中的屬性個(gè)數(shù)|l|。為了便于比較，本文在算法中設(shè)置了 |m|=100，可以發(fā)現(xiàn)3種方案在Encrypt算法中的計(jì)算開銷與系統(tǒng)中的屬性個(gè)數(shù)|l|都近似呈線性關(guān)系。由于加入了訪問策略的隱藏算法，本文提出的方案比另外兩個(gè)方案產(chǎn)生了更高的計(jì)算負(fù)擔(dān)。但Encrypt算法是一次性開銷，不會影響用戶搜索體驗(yàn)，因此，本文方案在實(shí)踐中仍然是可行的。通過將密文存儲外包給CSP，數(shù)據(jù)所有者可以減輕存儲負(fù)擔(dān)。由于本文方案中的Trap算法的計(jì)算開銷受到兩個(gè)不同因素的影響，即查詢關(guān)鍵字?jǐn)?shù)量|t|和用戶提交的屬性個(gè)數(shù)|s|，如圖6(c)所示，為了便于比較，本文設(shè)置|t| = 10，并將|s|的值從1變化到50。在Search算法中本文同樣通過設(shè)置|t| =10，|s|∈[1，50]來演示搜索算法的計(jì)算開銷，如圖6(d)所示，本文的方案在該算法中的計(jì)算開銷明顯低于另外兩個(gè)方案。最后得出結(jié)論，利用真實(shí)數(shù)據(jù)集得到的性能評估基本符合表2所示的計(jì)算復(fù)雜度。

圖6 不同方案的性能比較

表2 計(jì)算量比較

7 結(jié)束語

本文提出了一種基于屬性加密的電子病歷隱私保護(hù)方案，該方案支持重復(fù)數(shù)據(jù)刪除和搜索結(jié)果的可驗(yàn)證性。方案采用了隱藏訪問策略的CP-ABE技術(shù)對共享數(shù)據(jù)進(jìn)行加密，保護(hù)了數(shù)據(jù)的機(jī)密性，實(shí)現(xiàn)了數(shù)據(jù)用戶的匿名性；為了驗(yàn)證電子病歷數(shù)據(jù)的完整性，引入驗(yàn)證算法來測試搜索結(jié)果真實(shí)性，保證用戶得到正確的電子病歷；同時(shí)，為了減少云服務(wù)器上數(shù)據(jù)的冗余，使用數(shù)據(jù)標(biāo)簽來檢測上傳數(shù)據(jù)與云中數(shù)據(jù)的重復(fù)性，從而實(shí)現(xiàn)云數(shù)據(jù)去重。安全性分析表明，所提方案安全性能較高，能很好地保護(hù)用戶的隱私以及數(shù)據(jù)的安全。性能分析以及實(shí)驗(yàn)結(jié)果表明，所提方案與其他相似方案相比具有更大的優(yōu)勢，更加適用于智慧醫(yī)療等多對多搜索場景，下一步將考慮如何進(jìn)一步提高方案的效率，使搜索的結(jié)果更快更準(zhǔn)確。