CN109496403B

CN109496403B - 用于具有前向隐私与委托可验证性的动态可搜索对称加密的方法和系统

Info

Publication number: CN109496403B
Application number: CN201780045979.6A
Authority: CN
Inventors: X.范; Q.郑; L.杨
Original assignee: Robert Bosch GmbH
Current assignee: Robert Bosch GmbH
Priority date: 2016-07-25
Filing date: 2017-07-25
Publication date: 2023-06-23
Anticipated expiration: 2037-07-25
Also published as: US11222136B2; BR112019001059A2; EP3488554A1; CN109496403A; US20190278939A1; WO2018019815A1; EP3488554B1

Abstract

提供了一种DSSE架构网络，其使得诸如数据所有者和数据用户之类的多用户能够对存储在云网络中的加密PHI执行隐私保护搜索并且同时验证所检索的搜索结果的正确性和完整性。数据所有者和数据用户可以是患者、HSP或者这些的组合。IoT网关定期地将所采集的数据聚合到单个PHI文件中、提取关键词、建立加密索引、并且在加密索引和PHI文件被定期地传输到云网络以用于存储之前加密PHI文件，因此使得DSSE架构网络能够通过在IoT网关处保持用于每个关键词的递增计数器来实现次线性搜索效率和前向隐私。因为PHI文件总是通过云网络108被传输和添加/存储到云存储中，所以文件删除、文件修改被取消。云网络因此不需要获知新存储的PHI文件是否包含特定的关键词。诸如数据用户的任何数量的HSP通过以隐私和可验证的方式搜索、查询、和/或检索递增地存储在云网络上的用户的加密PHI来为患者提供医疗服务。患者委托可验证性得自于布鲁姆过滤器和聚合消息认证码的组合。

Description

用于具有前向隐私与委托可验证性的动态可搜索对称加密的方法和系统

相关申请的交叉引用

本申请要求于2016年7月25日提交的美国临时专利申请序列号No. 62/366,320的优先权，该美国临时专利申请的内容被好像完全包含于此那样通过引用合并于此。

技术领域

本公开一般地涉及可搜索对称加密，并且更特别地涉及具有前向隐私和委托可验证性的动态可搜索对称加密系统和方法。

背景技术

除非在此另外指示，否则本节中描述的材料并非对于本申请中的权利要求来说是现有技术并且并不因为包括于本节中而被承认是现有技术。

通过在患者参与度、生产率和风险缓解方面提供综合的改善，云计算和物联网（Internet of Things，IoTs）的一体化快速成为针对医疗行业数字化改造的关键促成因素。在典型的电子医疗（e-healthcare）环境中，形成无线人体局域网（BAN）的一组可穿戴和/或可植入的设备（诸如智能手表、手环或者心脏起搏器）定期地从在家的患者处收集诸如心率、血压、温度或者脉搏血氧之类的关键生命信号。这些信息在IoT网关处被聚合到已知为个人健康信息（Personal Health Information，PHI）的单个文件中并且然后被转发到云服务器用于存储。第三方医疗服务提供商（Healthcare Service Providers，HSP）能够监控患者的PHI并且通过向云存储提交根据要求的查询来提供及时的诊断和反应。虽然医疗行业中增加的对云计算和IoT服务的采用有助于降低IT成本并且改善患者的预后，但是这种范式转换已经引发了安全性和隐私的顾虑，诸如易遭受恶意攻击、软件缺陷或者偶然误差的数据和安全性漏洞。特别是，诸如健康保险携带和责任法案（Health InsurancePortability and Accountability Act，HIPPA）与医疗信息经济和临床健康法案（HealthInformation Technology for Economic and Clinical Health Act，HITCH）之类的医疗法规明确地要求即使当PHI迁移到云架构时PHI也是安全的。

虽然在外包到云之前简单地加密PHI能够确保医疗系统的法规遵从性，但是这使得诸如由第三方HSP提交的查询之类的PHI利用特别有挑战性。常规的可搜索加密技术——其通过利用加密的搜索索引对加密文件进行扩充而允许加密文件被按照原样搜索——是可用的。可搜索加密技术的一个示例是静态可搜索对称加密（SSE），其在加密的数据库中处理静态的数据集但是不支持后续的更新或者动态的数据集。可搜索加密技术的另一个示例是动态SSE，其中大的静态数据集首先被处理并且外包到云存储，随后是一些不常见的更新操作。然而，动态SSE不支持前向隐私以避免云服务器仅仅基于对所存储的对于另外的数据用户和/或HSP的加密索引的观察就推断出涉及患者的诸如活动模式或者饮食习惯的敏感信息。

因此，存在对于改善现有的系统和方法的盼望已久的需要。

发明内容

下面阐述了在此公开的特定实施例的概述。应当理解的是，这些方面仅仅是为了对读者提供这些特定实施例的简要概述而提出的并且这些方面不意图限制本公开的范围。实际上，本公开可以涵盖可能没有在下面阐述的各种各样的方面。

本公开的实施例涉及具有前向隐私和委托可验证性的动态可搜索对称加密（DSSE）系统和方法。DSSE系统包括IoT网关、云网络、以及经由云网络耦合到云服务器的至少一个HSP。诸如患者之类的用户被经由任何数量的客户设备（其或者是便携的并且/或者是可穿戴的）连接到DSSE系统。IoT网关将所采集的数据定期地聚合到单个PHI文件中，提取关键词，建立加密索引，并且加密PHI文件。加密索引和PHI文件然后被传输到具有云服务器的云网络以用于存储。为用以对具有特定关键词的多个或者所有的文件标识符进行检索的云服务器提供链表策略以将对应于同一关键词的元组隐式链接在一起。云服务器然后通过迭代这样的策略直到密钥是λ比特的零为止来获得所有文件标识符。云服务器保持布鲁姆过滤器（bloom filter，BF_S），并且将每个接收到的加密关键词

放到布鲁姆过滤器BF_S中。经授权的用户生成对称密钥r并且与云服务器安全地共享。所有经授权的用户使得由经授权的用户生成的关键词/>

的搜索令牌是/>

并且云服务器能够经由SE.Dec利用所存储的r来恢复/>

，其中SE是安全对称加密。经授权的用户将时间戳T与布鲁姆过滤器BF_c一同使用以生成MAC。定期地上传新文件以便经授权的用户能够使用时间戳/>

来确保聚合MAC是由数据所有者新生成的。经授权的用户可以使用至少一个二叉搜索（binary search)以加速猜测最新的计数器cnt。

附图说明

当参照随附附图阅读随后的对特定示例性实施例的详细描述时，本公开的这些和其它特征、方面以及优点将变得被更好地理解，在随附附图中贯穿于附图同样的符号表示同样的事物，在附图中：

图1是依照本公开的所描述实施例的动态可搜索对称加密（DSSE）架构网络的框图。

图2是图示用于在依照本公开的所描述实施例的图1的DSSE架构网络中使用的完全的DSSE构造的表。

具体实施方式

随后的描述是为使得本领域技术人员能够制作和使用所描述的实施例而提供的，并且是在特定的应用及其要求的上下文中提供的。对所描述实施例的各种修改对于本领域技术人员来说将是容易地显见的，并且在此限定的一般原则可以在不脱离所描述实施例的精神和范围的情况下应用于其它实施例和应用。因此，所描述的实施例不限制于示出的实施例而是要符合与在此公开的原则和特征一致的最宽范围。

提供了一种DSSE架构网络，其使得诸如数据所有者和数据用户之类的多用户能够对存储在云网络中的加密PHI执行隐私保护（privacy-preserving）搜索并且同时验证所检索的搜索结果的正确性和完整性。数据所有者和数据用户可以是患者、HSP或者这些的组合。IoT网关生成PHI文件并且将PHI文件定期地传输到云网络以用于存储，因此使得DSSE架构网络能够通过在IoT网关处保持针对每个关键词的递增计数器来实现次线性搜索效率和前向隐私。云网络因此不需要获知新存储的PHI文件是否包含特定的关键词。诸如数据用户之类的任何数量的HSP通过以隐私和可验证的方式搜索、查询、和/或检索递增地存储在云网络上的用户的加密PHI来为患者提供医疗服务。在一个实施例中，患者委托可验证性得自于布鲁姆过滤器和聚合消息认证码的组合。

图1图示动态可搜索对称加密（DSSE）架构网络100的示例性实施例。DSSE架构网络100包括IoT网关102、云网络108、以及经由云网络108耦合到云服务器110的至少一个HSP112。诸如患者104的用户被经由任何数量的客户设备（其或者是便携的并且/或者是可穿戴的）连接到DSSE架构网络100。虽然未被图示，但是DSSE架构网络100能够容纳由患者104携带或者穿戴的任何数量的客户设备。被定义为BAN 106的一个或多个客户设备监控患者104的健康状态，并且被彼此连接的客户设备可以交换和共享所监控的健康状态。例如，客户设备可以是起搏器、腕部健康监控系统、手表、手环、戒指、补丁、发带、腕带、胸带、眼镜、护目镜、助听器、头戴式耳机、耳机、薄的或者厚的客户设备、蜂窝电话、平板、个人数字助理、膝上型电脑、或者任何合适的客户设备。IoT网关102是数据聚合器并且被配置为将所采集的数据定期地聚合到单个PHI文件中、提取关键词、建立加密索引、并且加密PHI文件。虽然图示了一个IoT网关102，但是多于一个的IoT网关102可以被连接并且被集成到DSSE架构网络100中。加密的索引和PHI文件然后被传输到云网络108用于存储。在一些实施例中，云服务器110能够表示一个或多个服务器、一个或多个数据存储等等。在替换的实施例中，云服务器110可以是使用任何协议或者协议的组合而被分布在多个云网络108上的。作为示例，云服务器110能够表示在一个或多个位置处提供存储资源的云存储。用户104能够使用BAN106的客户设备经由IoT网关102与云存储进行交互。在一个实施例中，由IoT网关102创建的加密索引和PHI文件被定期地（例如每十分钟）存储在云网络108中。在一些实施例中，PHI文件可以以任何预定的阈值定期地存储在云网络108中。因为PHI文件总是通过云网络108被传输和添加/存储到云存储中，所以文件删除、文件修改被取消。多个HSP 112可以是数据用户并且通过以隐私和可验证的方式搜索、查询、和/或检索递增地存储在云网络108中的用户的加密PHI来为患者104提供医疗服务。一个或多个HSP 112可以通过安全的信道从IoT网关102获得用于词语_W的搜索令牌τ_w。

数据所有者或者患者104关联到每个关键词和计数器，其指示具有关键词的外包加密文件的数量。也就是，数据所有者或者患者104在本地保持状态信息，即，成对的关键词和计数器。假定关联到关键词w的计数器是cnt，则存储在云网络108的云服务器110中的关于w的索引是：

其中F1是安全的伪随机函数，K是私人密钥并且f1...，f _cnt是具有关键词w的文件。

当添加包含关键词w的新文件f时，数据所有者或者患者104生成

其被发送到云网络108的云服务器110，因此，云服务器110不知道T _cnt+1是否是从与T _i，1≤i≤cnt的关键词相同的关键词w生成的。因为没有针对流送数据进行文件删除，所以数据所有者或者患者104不需要为了实现前向隐私而在本地针对每个关键词w保持所有先前的状态。

为用以对具有特定关键词的多个或者所有的文件标识符进行检索的云服务器110提供链表策略以将对应于同一关键词的元组隐式链接在一起，假设

:

其中F ₂是另一个安全伪随机函数并且K _i，1≤i≤cnt是得自于计数器i的随机密钥。在不知道K _i，i≥cnt的情况下服务器不能将T _cnt与T _j（j<cnt）链接，即使K _i和T _cnt可能是从相同的关键词但是不同的计数器cnt生成的。另一方面，给定T _cnt和K _cnt，云服务器110能够获得ID(f _cnt)并且通过计算如下来恢复T _cnt-1和T _cnt-1：

云服务器100然后通过迭代这样的处理直到密钥是λ比特的零为止来获得所有的文件标识符。

图2图示了用于在图1的DSSE架构网络中使用的完全的DSSE构造200。实现了一种证明加猜测（document-and-guess）的方法，其中云服务器110保持布鲁姆过滤器（BF_S）并且将每个接收到的加密关键词

放入到过滤器BF_S中。具有秘密密钥并且从云服务器110取回BF_S的诸如HSP的经授权的用户能够通过枚举（1，…cnt，cnt+1）以使得

是哈希（hash，也作“散列”）到BF_S的元素来猜测最新的计数器值。为了允许数据所有者或者患者104使用任何合适的客户设备或者BAN 106以撤销经授权的用户的搜索能力，实现了群组密钥方法，其中数据所有者或者患者104生成对称密钥r并且与云服务器110安全地共享。所有经授权的用户（例如HSP）使得由经授权的用户生成的关键词w的搜索令牌是/>

并且云服务器110能够经由SE.Dec利用所存储的r恢复/>

，其中SE是安全对称加密。当经授权的数据用户被撤销时，使用任何合适的客户设备或者BAN 106的数据所有者只需要将群组密钥r更新为r'并且被撤销的用户在不知道r'的情况下不能生成有效的搜索令牌。

在数据所有者侧，哈希表TBL_c的每个入口包括（w，cnt，γ_cnt），其中γ_cnt是用于文件和w的串联的MAC的聚合。将文件和w串联作为输入防止了替换攻击，即给定的关键词w ₁，云服务器110可以返回聚合MAC和一组文件标识符，其是w ₂的搜索结果，如果两个关键词具有相同数量的返回文件标识符的话。另外，使用任何合适的客户设备或者BAN 106的数据所有者将时间戳T与布鲁姆过滤器BF_c一同使用以生成MAC以进一步防止云服务器可能返回陈旧搜索结果的重放攻击。新文件被定期地（例如每十分钟或者任何合适的阈值）上传以便经授权的用户能够使用时间戳

以确保聚合MAC是由数据所有者新生成的。经授权的用户可以使用至少一个二叉搜索以加速猜测最新的计数器cnt。在一个实施例中，经授权的用户设置足够大的上限Max并且针对具有[1，Max]的最新计数器cnt执行二叉搜索，以使得/>

是哈希到BF_S的元素而/>

不是。哈希到BF_S中的元素的数量于是变得非常巨大；当生成用于关键词w的/>

时，计数器值cnt总是在增加。为了保持低的假阳性率，实现了规则的更新策略。给定状态信息TBL_c，使用任何合适的客户设备或者BAN 106的数据所有者规则地生成隐式地存储用于每个关键词w的当前的计数器/>

的新的布鲁姆过滤器

、生成MAC并且将BF_c和MAC发送到云服务器。在一个实施例中，使用任何合适的客户设备或者BAN 106的数据所有者将/>

哈希到BF_c，其中digit_pos是cnt_L的最新有效数（其中pos=1），并且经授权的用户能够通过枚举pos=1，…和digit_pos=0，…9的组合来猜测cnt_L。云服务器令BF_s=BF_c。在接收BF_s之后，经授权的用户提取计数器cnt_L并且然后从cnt_L开始猜测最新的计数器。在这样做当中，/>

仅包含来自于关键字w的在计数器从cnt_L开始而不是从1开始的情况下的元素，并且因此BF_s的大小能够被减小同时或者保持相同的假阳性率或者将假阳性率保持得低）。

已经通过示例的方式示出了上面描述的实施例，并且应当理解的是，这些实施例可以易于接受各种修改和替换形式。应当进一步理解的是，权利要求不意图被限制于所公开的特定形式而是相反覆盖落入本公开的精神和范围内的所有修改、等同物和替换。

在本公开的范围内的实施例还可以包括用于携带计算机可执行指令或者数据结构或者使计算机可执行指令或者数据结构存储于其上的非暂态计算机可读存储介质或者机器可读介质。这样的非暂态计算机可读存储介质或者机器可读介质可以是能够由一般目的或者特殊目的计算机访问的任何可用介质。通过示例并且不是限制的方式，这样的非暂态计算机可读存储介质或者机器可读介质能够包括RAM、ROM、EEPROM、CD-ROM或者其它光盘存储、磁盘存储或者其它磁存储设备、或者能够被用于携带或者存储采用计算机可执行指令或者数据结构的形式的想要的程序代码方案的任何其它介质。以上的组合也应当被包括在非暂态计算机可读存储介质或者机器可读介质的范围内。

实施例还可以被实践在其中通过被通过通信网络链接（或者通过硬布线链路、无线链路、或者通过它们的组合）的本地和远程处理设备来执行任务的分布式计算环境中。

计算机可执行指令包括例如引起通用计算机、专用计算机或者专用处理设备执行特定功能或者一组功能的指令和数据。计算机可执行指令还包括由在单机或者网络环境中的计算机执行的程序模块。一般地，程序模块包括执行特定任务或者实现特定抽象数据类型的例程、程序、对象、组件、以及数据结构等。计算机可执行指令、相关的数据结构、以及程序模块表示用于执行在此所公开方法的步骤的程序代码方案的示例。这样的可执行指令或者相关的数据结构的特定序列表示用于实现在这样的步骤中所描述功能的对应动作的示例。

虽然已经参照各种实施例描述了本专利，但是将理解的是这些实施例是说明性的并且本公开的范围不限制于此。许多变化、修改、添加、以及改进是可能的。更一般地，依照本专利的实施例已经在上下文或者特定的实施例中描述。功能可以在本公开的各种实施例中被不同地分离或者组合成块或者被利用不同术语描述。这些和其它变化、修改、添加、以及改进可以落在如在随后的权利要求中限定的本公开的范围内。

Claims

1.一种动态可搜索对称加密DSSE系统，包括：

人体局域网BAN，生成第一对称密钥r;

医疗服务提供商HSP，使用第一对称密钥r生成关键词w的第一搜索令牌；以及

云网络，将HSP通信地耦合到BAN，

其中BAN在HSP被撤销后将第一对称密钥r更新成第二对称密钥r'，云网络使用第二对称密钥r'来恢复第二搜索令牌，

其中第二搜索令牌不同于第一搜索令牌，其中所述DSSE系统进一步包括云服务器，云服务器被配置为保持布鲁姆过滤器BF，

其中BAN被进一步配置为使用时间戳T和BF来生成MAC，

其中所述DSSE系统进一步包括网关，其被配置为从HSP和BAN中的至少一个定期地采集数据并且将采集的数据聚合在单个个人健康信息PHI文件中，

其中网关被进一步配置为：从PHI文件提取关键词；基于针对每个关键词的计数器关于关键词建立加密索引；以及加密PHI文件，其中计数器指示具有相应的关键词的PHI文件的数量，以及

其中网关被进一步配置为将包括加密索引的PHI文件传输到云服务器以用于存储。

2.如权利要求1所述的DSSE系统，其中云服务器在云网络内。

3.如权利要求2所述的DSSE系统，其中HSP使用秘密密钥从云服务器检索BF。

4.如权利要求1所述的DSSE系统，其中BAN是起搏器、腕部健康监控设备、手表、手环、戒指、补丁、发带、腕带、胸带、眼镜、护目镜、助听器、耳机、或者头戴式耳机。