移动电子医疗中具有叛逆者追踪功能的可搜索加密系统

摘要

本发明涉及一种移动电子医疗中具有叛逆者追踪功能的可搜索加密系统，针对现有移动医疗(mHealth)系统中的计算开销过大，无法支持叛逆者跟踪以及对用户进行按需撤销等问题，提出了一种新型的轻量级、可进行数据共享和访问权限控制、可进行叛逆者追踪的安全电子医疗系统（LiST）。除了使用基于属性的加密(ABE)机制实现对加密电子医疗记录(EHR)的细粒度访问控制，LiST还支持对加密的EHR的关键字搜索，提供高效的叛逆者追踪和灵活的用户撤销机制。

说明书

技术领域

本发明涉及一种移动电子医疗中具有叛逆者追踪功能的可搜索加密系统。

背景技术

移动电子医疗(mHealth)系统中包含各种移动设备，利用无线通信技术进行设备间的通信，可用于收集临床医疗数据，并将其提供给医疗服务机构。无线体域传感器网络(WBSN)的出现加速了移动电子医疗网络的发展，将可植入或可穿戴的医疗传感器放置在患者上以监测生理数据。这些医疗数据汇聚到移动设备中，并且经由无线网络发送到云端。可是移动设备往往具有非常有限的计算，存储能力和有限的电量供给。除了移动设备的性能问题，数据安全和隐私问题也是阻碍电子医疗系统广泛采用的主要障碍。在移动电子医疗网络中，电子医疗记录 (EHR)被外包给公共云进行存储，数据拥有者无法掌控用于存储其数据的云端软件和硬件平台。为了减轻有关EHR安全和隐私问题的担忧，一个常见的解决方案是通过以加密形式存储EHR来实现端到端加密。即使云端是不完全可信的或受到受到攻击，也能保持数据的私密和安全。然而，加密的EHR还需要便于共享，并为其提供访问控制机制。基于属性的加密(ABE)是一种有效的方法来对加密数据提供细粒度的访问控制。目前大多数现有的基于ABE的数据加密系统需要大规模周期性密钥更新或密文更新来实现用户撤销，这会导致mHealth系统的计算和通信开销过大。

ABE的概念首先由Goyal等人提出。他们提出了基于访问树的密钥策略ABE (KP-ABE)方案和密文策略ABE(CP-ABE)方案。Ostrovsky等人引入了一种新的KP-ABE方案，使得用户的私钥可以表示成关于属性的任何访问公式。为了避免单一的中央权威机构所造成的系统瓶颈，又提出了基于多权限中心的分散式ABE系统。然而，这些方案的计算开销很大。

为了减少本地的计算开销，Green等人在ABE系统中引入外包解密机制，以减少用户的解密开销。在外包解密机制中，通过代理转换操作将密文转换为另一种形式，以便用户可以有效地恢复消息。然而，Green的方案不能验证密文转换的正确性。后来，Lai等人提出了一种可验证的外包解密(VOD)ABE方案，通过附加冗余消息作为辅助验证信息。虽然Lai的方案实现了可验证性，但是该方案使密文的长度加倍并且在加密操作中引入了很多额外开销。这些方案减少了解密计算开销，但是加密开销仍然随着访问结构的复杂性而增长。此外，这些方案不能对加密的密文提供搜索功能。在现有的其他可搜索加密方案中，也没有考虑到降低关键词陷门生成的开销。

ABE机制的另一个问题是，用户的密钥总是与一组属性相关联，而不是用户的身份。同一组属性可以由一组不同的用户共享。如果恶意的授权用户决定出售他的密钥以获得经济利益(该恶意用户也称为叛逆者)，则在传统ABE方案中几乎不可能找出的真正的密钥拥有者。现有具有叛逆者追踪方案的不足之处在于：需要建立和维护一个用户列表，以实现叛逆者追踪功能；或者会给系统产生很大的额外计算开销。

虽然ABE的加密可以防止云服务提供商或外部攻击者获取敏感的EHR信息，但它仍然面临数据可用性的问题。加密算法为保密医疗文件提供了不可读性，但同时也妨碍了用户对加密数据的操作，例如最常用的信息检索功能。Song等人提出了第一个可搜索加密方案，以实现对加密文件的搜索。为了在公钥机制中提供可搜索加密功能，Boneh等人提出了公钥可搜索加密(PEKS)的架构，以实现不同实体之间的可搜索数据共享。后来，Curtmola等人提出了一种基于倒排索引的动态可搜索加密方案。2007年，Boneh和Waters等人提出了一个新的PEKS 方案，并支持联结、子集和范围关键字查询。然而，该方案需要很大的计算和存储开销。此外，还需要为多用户可搜索加密系统提供权限授予的功能。将ABE 机制引入到可搜索加密系统中，使得外包文件不仅可以由多个数据拥有者上传，还可由多个用户搜索。数据拥有者可以对文档的索引实施访问策略控制，从而实现对用户搜索授权的控制。还有的可搜索加密方案要求系统重新加密所有的加密文件并更新所有的合法秘钥，从而撤销用户。显然，这种方式不适合大型电子医疗系统。此外，这些方案的计算开销随着访问结构的复杂性增加，大量的计算开销并不适用于mHealth网络中电量有限的移动设备。

针对现有的系统存在计算和存储开销过大，无法支持叛逆者追踪，无法按需要进行用户撤销等问题，本发明提出一种新型轻量级，可进行数据和访问权限共享，可进行叛逆者追踪的安全电子医疗系统(LiST)。

发明内容

本发明的目的在于提供一种移动电子医疗中具有叛逆者追踪功能的可搜索加密系统，以克服现有技术中存在的缺陷。

为实现上述目的，本发明的技术方案是：一种移动电子医疗中具有叛逆者追踪功能的可搜索加密系统，包括：数据拥有单元、数据用户单元、公共云以及密钥生成中心单元；

当无线体域传感器网络中产生电子医疗数据时，所述数据拥有单元提取用于描述电子医疗数据的关键词，通过轻量级加密算法对电子医疗数据和关键字进行加密；在加密过程中，所述数据拥有单元件预设访问策略将嵌入到加密的电子医疗数据中；加密完成后，所述数据拥有单元将密文将通过无线局域网外包存储到所述公共云；

所述密钥生成中心单元生成密钥，并下发至所述数据用户单元；当具备密钥的数据用户单元发出搜索查询时，通过安全电子医疗系统中的轻量级陷门生成算法生成关键字查询陷门，通过无线局域网将查询陷门发送到所述公共云；

在接收到数据检索请求后，所述公共云将执行轻量级测试算法，找到匹配的文件；所述公共云将匹配的文件转换为外包密文的形式，然后发送给所述具备密钥的数据用户单元；

在接收到所述公有云发送过来的密文后，所述具备密钥的数据用户单元通过轻量级的解密算法恢复明文电子医疗数据，并用轻量级验证算法检查正确性；

当发现用户密钥在市场上销售时，所述密钥生成中心单元验证所销售的密钥是否是密钥生成中心单元生成的合法密钥；如果是有效的密钥，密钥生成中心单元将运行轻量级叛逆者追踪算法来找出密钥所有者的真实身份。

相较于现有技术，本发明具有以下有益效果：

(1)轻量级加密。在加密算法中，大量ABE加密的计算开销都被转移给公共云进行运算；在数据拥有者的移动设备中只需执行少量指数运算。加密后的 EHR上传到公共云进行存储。

(2)轻量级关键词陷门生成。为了在公共云中检索到包含某个关键字的加密EHR，数据用户需要生成关键字陷门并将其发送到云端进行查询。在关键词陷门生成算法中，在数据用户的设备中仅需要进行少量的乘法，除法和求逆运算，而不需要进行耗费资源的指数运算和双线性对运算。

(3)轻量级测试算法。在接收到数据用户发送的关键词陷门后，云端运行测试算法以检索包含指定关键词的加密文档。云存储提供商只需要三个双线性计算来完成测试操作。而现有的基于属性可搜索加密系统需要大量耗时的双线性运算来执行测试算法。

(4)轻量级解密和验证。在解密算法中，大多数ABE解密操作都外包给公共云。也就是说，云端首先将加密的EHR转换为中间密文并发送给数据用户。数据用户的设备仅需要执行一次指数计算就可获得明文EHR，然后验证云端完成的变换是否正确。

(5)轻量级用户撤销。现有的可搜索加密系统需要通过耗时耗力的大规模密钥更新或密文重加密来进行用户召回。而LiST系统的精巧设计，实现了超轻量级的用户撤销机制。

(6)轻量级叛逆者跟踪。由于ABE的一对多加密特性，解密权限可以由拥有相同属性集合的一组用户共享。由于大多数现有的ABE方案在密钥生成过程中进行了随机化处理，因此从泄露的密钥恢复出密钥持有者的原始身份是非常困难的。而LiST系统支持轻量级的叛逆者追踪。在追踪算法中只需要三次双线性运算就可以恢复出叛逆者的身份，并且不需要通过维护用户列表来辅助完成叛逆者追踪的过程。

附图说明

图1为本发明中移动电子医疗中具有叛逆者追踪功能的可搜索加密系统的原理框图。

图2为本发明中移动电子医疗中具有叛逆者追踪功能的可搜索加密系统中各个单元的流程图。

图3为本发明中移动电子医疗中具有叛逆者追踪功能的可搜索加密系统中用户撤销示意图。

具体实施方式

下面结合附图，对本发明的技术方案进行具体说明。

本发明一种移动电子医疗中具有叛逆者追踪功能的可搜索加密系统，图1 为本实施例中的系统框架，主要由四个实体组成：作为数据拥有者的无线体域传感器网络(WBSN)，作为数据用户的医护人员，公共云和密钥生成中心(KGC)。

(1)当无线体域传感器网络中产生电子医疗数据(EHR)时，数据拥有者将提取关键词来描述EHR。然后，使用轻量级加密算法对EHR和关键字进行加密。在加密过程中，数据拥有者指定的访问策略将嵌入到加密的EHR中。然后，密文将通过无线局域网(WLAN)外包存储到公共云。

(2)当授权的医护人员(数据用户)发出搜索查询时，使用LiST中的轻量级陷门生成算法生成关键字查询陷门。然后，通过WLAN将查询陷门发送到公共云。

(3)接收到数据检索请求后，公共云将执行轻量级测试算法，找到匹配的文件。然后，公共云将匹配的文档转换为外包密文的形式，然后以较低的传输开销发送给医护人员。

(4)在接收到公有云发送过来的密文后，医务人员用轻量级的解密算法恢复明文EHR，并用轻量级验证算法检查正确性。

(5)当发现用户密钥在市场上销售时，KGC将首先验证所销售的密钥是否是KGC生成的合法密钥。如果它是有效的密钥，KGC将运行轻量级叛逆者追踪算法来找出密钥所有者的真实身份。

(6)为了保护EHR的隐私，需要召回被滥用的密钥。KGC将利用轻量级撤销机制来撤销叛逆者用户的数据检索和解密权限。

进一步的，在本实施例中，通过如下方式进行系统建立：KGC将安全参数1^λ作为输入，Setup算法将输出整个系统的公共参数PP和系统主密钥MSK。KGC>为其密钥空间。定义两个哈希函数：和

Setup(1^λ)→(PP,MSK)。

令为群的生成元。系统建立算法Setup选择随机数α，λ，和 k₁，计算f＝g^τ，Y＝e(g,g)^α，Y₀＝e(g,f)，h＝g^λ。系统公共参数是>0)，主密钥是MSK＝(α,λ,τ,k₁,k₂)。

进一步的，在本实施例中，通过如下方式进行生成密钥：

KGC使用KeyGen算法为每个数据用户生成公/私钥对。用户的身份id和属性集S将被嵌入到生成的密钥SK_id，S中。

KeyGen(MSK,id,S)→(PK_id,S,SK_id,S)。

密钥生成算法将主密钥MSK，用户的身份id和属性集作为输入。选择随机数计算数据用户的公钥PK_id,S和私钥SK_id,S的构造如下：

Ψ₁＝(D₁^σ)^u',Ψ₁＝Y₀^u”',Ψ_3,i＝(D_3,i^σ)^u”,Ψ₄＝g^s',Ψ₅＝f^s”，

PK_id,S＝(Ψ₁,Ψ₂,{Ψ_3,i}_i∈[k],Ψ₄,Ψ₅)，

SK_id,S＝(D₁,D₂,{D_3,i}_i∈[k],D₄,s′,s″,u′,u″,u″′)。

注意，1/(λ+δ)是在模p中计算的。如果gcd(λ+δ,p)≠1，KeyGen算法将重新选择并计算直至gcd(λ+δ,p)＝1。

进一步的，在本实施例中，数据拥有者将执行以下步骤来加密EHR。首先，应首先提取用于描述文件的关键字(例如疾病名称)。其次，数据拥有者将选择一个随机数并计算其哈希值，该哈希值被用作加密EHR的对称密钥。为了支持解密验证，数据拥有者将在EHR之后附加零串并生成消息密文。然后，数据拥有者指定EHR文件的访问策略。最后，使用访问策略对消息m和关键字 KW进行加密。

加密Enc算法为Enc(m,(M,ρ),KW)→CT。令M为一个l×n的矩阵，ρ为将矩阵M的行与用户属性相关联的函数。加密Enc算法选择随机数计算 k_SE＝H₁(Υ)和其中||表示联结关系。这里，我们在消息m之后联结0字符串，用于外包解密验证。数据拥有者将选择随机然后选择随机向量对于i∈[l]，计算其中M_i是对应于矩阵M的第i行的向量。密文CT计算如下：

C₀＝Υ·Y^s,C₁＝g^s,C₂＝h^s，

C_3，i＝ρ(i)s_i/[s′H(KW)],C′_3,i＝s_i/[s″H(KW)]，C₄＝Y₀^H(KW)Y^s/H(KW)。

然后，Enc算法输出密文CT＝(C₀,C₁,C₂,{C_3,i,C′_3,i}_i∈[l],C₄,C_m)，并将CT和访问策略(M,ρ)外包存储至公共云平台。

进一步的，在本实施例中，数据用户将使用Trapdoor算法生成关键字陷门T_KW。数据用户的属性集合S也会被嵌入到生成的陷门T_KW中，用户其将通过无线信道发送到公共云服务器进行查询。

Trapdoor(SK_id,S,KW)→T_KW。

数据拥有者选择随机数并计算关键词陷门T_KW＝(T₀,T₁,T₂,T₃,T₃′,T₄,T₅)：

T₀＝u·(u′)^-1,T₁＝u₀/[u′H(KW)],T₂＝D₂，T₃＝u₀·(u″)^-1,T₃′＝uH(KW)·(u″)^-1，

T₄＝u₀D₄,T₅＝u₀D₄·H(KW)·(u″′)^-1。

进一步的，在本实施例中，接收到来自数据用户的数据检索请求后，公共云服务器将对存储的加密EHR进行搜索，寻找匹配的文件。云服务器提供商将利用测试Test和转换Transform算法完成该过程。

Test&Transform(CT,T_KW,PK_id,S)→CT_out/⊥。

在测试Test算法中，如果密文满足以下两个要求，公共云服务器搜索匹配的加密EHR：数据用户的属性集S(隐含地包括在关键词陷门中)满足加密EHR 中定义的访问结构；关键字陷门中包含的关键字与密文中的关键字一致。

Test(CT,T_KW,PK_id,S)→1/0。

假设密文CT与关键字KW′关联，查询陷门T_KW与关键字KW关联。该算法验证与T_KW相关的用户属性集S是否满足与CT相关的访问策略(M,ρ)。如果不是，输出0；否则，将定义为I＝{i:ρ(i)∈S}，则存在一组常数使得∑_i∈Iω_iM_i＝(1,0,···,0)。Test算法计算：

然后，Test算法验证以下等式是否成立如果等式不成立，则输出0，表示KW′≠KW。否则，它输出1。

在转换Transform算法中，公共云服务器将匹配的密文CT转换为CT_out，使得数据用户可以使用轻量级解密算法来恢复明文。

Transform(CT,T_KW,PK_id,S)→CT_out/⊥。

如果Test算法的输出为0，则Transform算法输出⊥。否则，Transform算法计算并输出CT_out＝(C₀,Γ₁,Λ₁,C_m)，其中

进一步的，在本实施例中，在接收到公共云服务器发送过来的密文CT_out后，数据用户可以仅仅通过一个幂运算来恢复出随机数Υ，并通过解密Dec算法恢复电子医疗数据的消息m。为了验证所接收的CT_out是否从原始CT正确变换，数据用户将检查在m之后是否附加零串。解密Dec算法的输入为密文CT_out和用户密钥>id,S，解密成功则输出明文消息m；否则，输出⊥；解密Dec算法表示为：>out,SK_id,S)→m/⊥。

数据用户单元计算k_SE＝H₁(Υ)和并检查在恢复的消息之后是否附加了冗余的如果成立，消息m可以通过截断0字符串获得。否则，说明云服务器不诚实，返回了不正确的转换密文，算法将输出⊥。

进一步的，在本实施例中，对于叛逆者追踪，KGC首先通过KeySanityCheck算法验证所销售的密钥是否是有效密钥。

KeySanityCheck(SK_id,S)→1/0。

假设密钥相关的属性集合S＝{ξ₁,ξ₂,···ξ_k}。密钥SK_id,S的密钥有效性检查包括两个步骤。首先，KGC检查SK_id,S是否是如下格式的密钥：

(D₁,D₂,{D_3,i}_i∈[k],D₄,s′,s″,u′,u″,u″′)

其中，然后，KGC验证方程是否成立：如果SK_id,S通过了密钥有效性检查，算法输出1。否则，它输出0。

进一步的，在本实施例中，如果市场上所销售的密钥被证明是KGC生成的有效密钥，则可以通过对密钥SK_id,S中的D₁进行两次解密计算，恢复出密钥持有者的真实身份。轻量级叛逆者追踪Trace算法将由KGC使用主密钥MSK来执行。

Trace(MSK,SK_id,S)→id/⊥。

如果KeySanityCheck算法输出0，这意味着SK_id,S不是一个有效密钥，不需要进行叛逆者追踪，Trace算法将输出⊥。否则，SK_id,S是KGC生成的有效密钥。Trace>恶意用户的真实身份id可以通过计算来恢复。

进一步的，在本实施例中，图2表示用户撤销机制，利用精妙的密钥设计， KGC可以很容易地撤销用户在LiST系统中的访问权限。由于密钥的分量D₂＝δ包含用户的身份信息。此外，在检索阶段，数据用户必须将其作为关键字陷门的组件T₂＝D₂提交给公共云服务器以发出数据检索请求。KGC可以将D₂＝δ放到撤销列表中以实现用户撤销。如图3所示，撤销列表应该存储在公共云服务器中(与被KGC签名的签名一起)。当公共云接收到关键字陷门T_KW时，应首先检查撤销列表中是否包括T₂＝D₂＝δ。如果是，则数据检索请求将被拒绝；如果不是，则执行测试操作。

进一步的，在本实施例中，移动医疗系统(mHealth)已经成为一种新的以患者为中心的应用模型，可以通过可穿戴传感器实时收集患者的数据，在移动设备上对这些医疗数据进行聚合和加密，然后将加密的数据上传到云端以供医务人员和研究人员查询和访问。然而，加密数据的高效利用和可共享性是一个非常具有挑战性的问题。用户可以使用本实施例中提供的上述技术方案，实现高效的关键字搜索，并对加密数据进行细粒度的访问控制。可以确保用户的数据安全，保证只有授权用户才能够对用户数据进行访问，同时实现叛逆者追踪，并允许系统对恶意用户用户的权限进行撤销。本实施例中提供的轻量级算法可以在资源受限的移动用户设备上使用。

以上是本发明的较佳实施例，凡依本发明技术方案所作的改变，所产生的功能作用未超出本发明技术方案的范围时，均属于本发明的保护范围。