CN111986755A

CN111986755A - 一种基于区块链和属性基加密的数据共享系统

Info

Publication number: CN111986755A
Application number: CN202010856607.5A
Authority: CN
Inventors: 王娜; 杜学绘; 陈性元; 刘敖迪; 曹利峰; 任志宇; 王文娟; 单棣斌
Original assignee: Information Engineering University of PLA Strategic Support Force
Current assignee: Information Engineering University of PLA Strategic Support Force
Priority date: 2020-08-24
Filing date: 2020-08-24
Publication date: 2020-11-24
Anticipated expiration: 2040-08-24
Also published as: CN111986755B

Abstract

本发明公开了一种基于区块链和属性基加密的数据共享系统，基于分布式的区块链系统实现了一个去中心、防篡改、可追溯的数据安全共享模型，并且使用属性基加密对用户隐私医疗数据进行保护，基于密码学的方法实现拥有者对数据细粒度的访问控制，在保护数据安全性的前提下，降低了数据共享的成本，提高了数据利用的效率。

Description

一种基于区块链和属性基加密的数据共享系统

技术领域

本发明涉及数据分析技术领域，尤其涉及一种基于区块链和属性基加密的数据共享系统。

背景技术

随着大数据、物联网、云计算等信息技术的飞速发展，数字化医疗、智慧医疗已经成为医疗技术发展的重要趋势。病历电子化管理、医生网络问诊、医疗大数据分析等业务的纷纷开展，使得患者的医疗信息逐渐数字化，越来越多的个人健康信息也接入到了网络之中，每天都会产生大量的医疗信息数据。为了提高医院服务质量，降低患者成本，更好地利用医疗信息数据已逐渐成为研究热点。医疗信息数据的管理给医疗机构带来了新的挑战。医疗数据的价值非常高，只有数据流通起来，才能使医疗数据得到更广泛的开发与利用，它的价值才能真正发挥出来。但是，医疗事关患者的重要隐私及生命健康，其安全性、完整性以及可用性相比于其它数据具有更高的要求。

由于医疗数据的来源众多，是分布式多源数据的汇聚，因此存在医疗数据共享难的问题。从机构角度来看，医院中产生数据的部门多、系统多。例如在医院中包括医院信息系统HIS、临床管理信息系统CIS、影像归档和通信系统PACS、实验室检验信息系统LIS和电子健康记录系统EHRS、放射科信息管理系统RIS、医学数字成像和通信系统DICOM等，不同机构的不同系统之间都有一套独立的数据管理模式，跨机构、跨系统数据共享难。从个人角色来看，个人移动医疗如智能穿戴设备、智能手表、智能手环等都存在个人健康监测数据，这些数据都需要上传到相应的医疗机构才能发挥价值。这些原因导致医疗数据碎片化越来越严重，散在“数据孤岛”中的数据无法及时地为用户提供更有效、准确地服务。在数据共享过程中，需要经过多机构、多部门、多系统、多人员的复杂审批与数据校验，这使得医疗数据共享十分困难，存在响应缓慢、数据易被篡改、数据传输不安全等问题，这些都严重阻碍了智慧医疗和医疗大数据的发展。

另一方面，医疗数据的共享在提升人们便捷性的同时，也面临着严峻的的安全威胁、安全事故频发。传统的医疗系统往往需要将医疗数据传输到云端。针对云环境下医疗数据共享问题，目前部分技术从云服务提供商与医疗服务提供商的角色出发，分别从基于角色的访问、网络安全机构、数据加密、数字签名、访问监控等方面分析了通过云服务来存储医疗数据的安全需求。部分技术将统计分析和密码学结合在一起，提出了用来平衡医疗数据利用和隐私保护的多重范式，在对病历属性进行分类的基础上，利用医疗数据集的垂直分割，实现对不同隐私关注点的医疗数据不同部分的保护。部分技术提出了一种基于cloudlet的医疗数据共享系统，利用数论研究单元(NTRU，NumberTheory ResearchUnit)方法对可穿戴设备采集的用户身体数据进行加密保护。并基于用户的相似性和信誉来建立信任模型，系统根据被测用户的信任程度，确定是否进行数据共享。针对临床医疗数据的共享难题，建立了数据和医学图像共享平台GIFT-Cloud，通过数据标准化、简化数据传输过程和自动匿名化的发布来鼓励数据共享。部分技术研究了在微服务架构下，如何解决与医疗保健相关的数据管理和交换。部分技术使用雾计算设施实现对云中私有医疗数据的保护，并提出了一种基于双线性配对密码学的三方一轮认证密钥协议，该协议能够在参与者之间生成会话密钥并实现安全通信，通过诱饵技术，可以安全地访问和存储私有医疗数据。

虽然也都可以帮助实现医疗数据的共享，但这些研究大多聚焦于数据的安全存储与传输，且需要具有权威的可信第三方作为中心来实现共享，安全压力与性能压力都基于在可信第三方，从而带来安全瓶颈与性能瓶颈。同时，在对多机构、分布式、跨安全域、多源汇聚的复杂场景下，不同机构间难以信任将自身数据都依靠第三方来实现共享。同时，对共享数据事件的难以实现追溯。

因此，保证医疗数据的共享安全性是利用医疗数据的前提与基础，如何建立一个可信、透明、可追溯的数据共享协同体系，使得数据的使用权和所有权分离，来解决医疗数据集中存储、碎片化存储的问题十分重要。

发明内容

有鉴于此，本发明提供了一种基于区块链和属性基加密的数据共享系统，以解决医疗数据集中存储、碎片化存储的问题。

本发明提供了一种基于区块链和属性基加密的数据共享系统，包括：

属性授权机构，用于生成系统公钥和主私钥，以及分发属性密钥；

计算终端，用于将加密数据采用链上存储模式和链上链下混合存储模式存储在区块链中，其中，所述链上存储模式为直接使用属性基加密技术对医疗数据本身进行加密，并将加密的医疗数据直接上链；所述链上链下混合存储模式为使用对称加密技术对医疗数据进行加密，使用属性基加密技术对对称秘钥进行加密，将加密得到的秘钥密文和数据存储的地址上链；

云存储服务端，用于存储被加密的医疗数据；

安全模块，用于阻挡明文攻击；

合约模块，用于在去信任环境下，按顺序触发设定的合约内容并完成相应的安全的自动化操作，以及追踪合约动态。

优选地，所述计算终端包括：

系统初始化模块：用于对输入数据进行初始化处理；

私钥生成模块：用于在数据使用者向属性授权机构注册并进行身份验证通过后，基于属性授权机构评估的数据使用者在系统中的身份信息，以及根据用户信息从系统的属性空间中识别出的数据使用者所拥有的属性集，生成并分配数据使用者拥有的私钥；

数据加密模块：用于在将医疗数据上传到区块链上之前，将医疗数据加密成密文；

数据解密模块：用于当当前的数据使用者所拥有的属性满足用于加密数据的访问策略时，对数据进行解密。

优选地，所述系统初始化模块具体用于：

以系统中的属性个数作为输入，选择阶为素数p的循环群G₀和G₁，g是G的生成元，存在映射e:G₀×G₀→G₁，随机选取α，a∈Z_p，n是系统中属性空间的大小，随机选择与系统中属性相关联的n个群成员h₁,h₂,…,h_n∈G₀，输出系统公钥PK和系统主私钥MSK：

PK＝(g,e(g,g)^a,g^a,h₁,h₂,...,h_n)

MSK＝g^a。

优选地，所述私钥生成模块具体用于：

以主私钥MSK和一组属性S作为输入，随机选取c∈Z_p计算如下：

SK＝(K,L,{K_i}_i∈S,S)。

优选地，所述数据加密模块具体用于：

随机选择一个秘密d，再选择一个随机向量v＝(d,y2,…,yn)，其中y2,…,yn被用于共享秘密d；

计算λi＝Mi·v(i＝1,…,m)，Mi是M中第i行对应的向量；

通过如下式计算得到密文CT：

其中C为中间变量。

优选地，所述解密模块具体用于：

以公钥PK、密钥SK、明文m作为输入，若数据用户属性集S满足访问结构(M,ρ)，则

被定义为I＝{i:ρ(i)∈S}；若{λi}是秘密d的有效共享份额，则存在一组常数{ωi∈Zp}i∈I，使得成立∑_i∈Iω_iλ_i＝d；其中，(M,ρ)是基于LSSS的访问结构，其中M是一个m×n的访问矩阵，单射函数ρ将M的行与相应属性相对应；{λ_i}的计算方法为λ_i＝M_i·v(i＝1,…,m)，M_i是M中第i行对应的向量，v是随机向量,

所述明文m的计算公式为：

优选地，所述合约模块包括：联盟管理合约CMC、身份管理合约IMC、数据管理合约DMC；其中：

所述联盟管理合约CMC，用于作为全局合约记录该联盟链上所有作为数据共享参与方的机构实体标识I-ID，对应的公钥PK、以及与其相关联的身份管理合约IMC和数据管理合约DMC；

所述身份管理合约IMC，用于基于民主投票的方式在参与方机构间达成共识，实现对数据共享参与方的管理；

所述数据管理合约DMC，用于对共享的医疗数据进行存储保护及共享。

优选地，所述身份管理合约IMC包括：身份注册合约IRC和身份更新合约IUC；其中：

所述身份注册合约IRC，用于为新加入数据共享联盟的参与方在所述联盟管理合约CMC中创建投票请求并为其投票；

所述身份更新合约IUC，用于对相关参与方数据身份进行更新。

优选地，所述数据管理合约DMC包括：数据存储合约DSC1和数据共享合约DSC2；其中：

所述数据存储合约DSC1，用于存储共享医疗数据的摘要信息；

所述数据共享合约DSC2，用于存储医疗数据的共享状态信息。

综上所述，本发明公开了一种基于区块链和属性基加密的数据共享系统，其特征在于，包括：属性授权机构，用于生成系统公钥和主私钥，以及分发属性密钥；计算终端，用于将加密数据采用链上存储模式和链上链下混合存储模式存储在区块链中，其中，链上存储模式为直接使用属性基加密技术对医疗数据本身进行加密，并将加密的医疗数据直接上链；链上链下混合存储模式为使用对称加密技术对医疗数据进行加密，使用属性基加密技术对对称秘钥进行加密，将加密得到的秘钥密文和数据存储的地址上链；云存储服务端，用于存储被加密的医疗数据；安全模块，用于阻挡明文攻击；合约模块，用于在去信任环境下，按顺序触发设定的合约内容并完成相应的安全的自动化操作，以及追踪合约动态。本发明将区块链中的智能合约技术与属性基加密相结合，利用智能合约提高数据共享的效率，利用属性基加密实现对共享数据细粒度的方面控制，在保证数据安全的前提下实现了数据的效率共享。另外，在未来的研究中，本发明还可以将对适用于医疗数据共享场景下的区块链的共享机制进行研究，从而进一步提高数据共享与交互的效率。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明公开的一种基于区块链和属性基加密的数据共享系统的结构示意图；

图2为本发明公开的合约架构图；

图3为本发明公开的数据使用者向属性授权机构申请用户私钥流程示意图；

图4为本发明公开的医疗数据共享与获取流程图；

图5为本发明公开的性能评估示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

本发明采用4个多项式时间算法，分别是设定Setup、密钥生成KeyGen算法、加密Encrypt算法、解密Decrypt算法。

Setup(1^λ)→{PK,MSK}：属性授权机构以安全参数λ作为输入运行该算法，输出系统公钥PK和系统主私钥MSK。

KeyGen(PK,MSK,S)→[11]：属性授权机构以PK、MSK和属性集合S作为输入运行该算法，输出对应的用户私钥SK。

Encrypt(PK,(M,ρ),m)→{CT}：DO以PK、访问结构(M,ρ)和明文消息m作为输入运行该算法，输出密文CT。

Decrypt(PK,SK,CT)→{m}：DU以PK、SK和密文消息CT作为输入运行该算法，输出明文消息m。

参照图1，本发明公开了一种基于区块链和属性基加密的数据共享系统，包括属性授权机构、计算终端、云存储服务端、安全模块、合约模块。

假设属性授权机构AA是完全可信的密钥分发权威机构，主要负责生成系统公钥和系统的主私钥，同时负责属性密钥的分发工作。数据拥有者DO是拥有数据所有权的病人或机构等实体，使用计算终端将加密数据存储在区块链中。其中，包括两种类型的加密数据，对于规模不大的数据直接使用属性基加密技术对医疗数据本身进行加密，并将加密的医疗数据直接上链。而对于规模较大的数据，则使用对称加密技术对医疗数据进行加密，使用属性基加密技术对对称秘钥进行加密，将加密得到的秘钥密文和数据存储的地址上链，真正的被加密的医疗数据可以存储在第三方的云存储服务中，由云存储服务提供商CSSP来提供。数据使用者DU是需要使用数据的医疗机构、保险公司等实体。被授权的数据使用者DU能够通过区块链自由地访问共享密文数据资源，属性授权机构AA根据其属性为数据使用者DU生成私钥并用于解密密钥密文，若其属性满足访问结构，则数据使用者DU能够计算得到最终明文。云存储服务端提供商CSSP主要指第三方云存储提供商，由区块链上的存储能够受限，无法直接在链上存储大量数据，云存储服务端提供商CSSP为区块链提供额外的扩展存储能力，降低区块链的数据存储负担。

安全模块：假设敌手具有选择明文攻击的攻击能力，安全目标为密文的不可分辨性。通过敌手A和仿真者B之间的博弈游戏来对安全模型进行描述，具体过程如下：

Init：敌手A选择一个要挑战的访问结构(M,ρ)，并将其发送给仿真者B。

Setup：仿真者B运行Setup算法得到PK，并将PK给敌手A。

Phase 1：敌手A将一系列属性集{S_i}(i＝[1,2,…,l])发送给B，B将相应的私钥SK_i发送回A。但任意的S_i都不满足访问结构(M,ρ)。

Challenge：A向B提交两条长度相等的消息m₀和m₁。B从m₀和m₁中随机选择m_b(b∈{0,1})在访问结构(M,ρ)下进行加密，并将生成的密文CT发送给A。

Phase 2：与Phase 1相同。

Guess：A生成一个猜测值b’∈{0,1}，若b’＝b，则A胜利。则在该博弈游戏中A的优势被定义为：

Adv(A)＝|Pr[b'＝b]-1/2|

若敌手无法在多项式时间内以不可忽略的优势攻破上述安全模型，则认为本发明所提出方案在选择明文攻击下是选择安全的。

本系统的构建方法如下：

(1)系统初始化阶段

Setup算法以系统中的属性个数作为输入，选择阶为素数p的循环群G₀和G₁，g是G的生成元，存在映射e:G₀×G₀→G₁，随机选取α,a∈Z_p，n是系统中属性空间的大小，随机选择与系统中属性相关联的n个群成员h₁,h₂,…,h_n∈G₀，输出系统公钥PK和系统主私钥MSK：

PK＝(g,e(g,g)^α,g^a,h₁,h₂,...,h_n)

MSK＝g^α

(2)私钥生成阶段

每个数据使用者都应该向属性授权机构AA注册并进行身份验证。如果数据使用者的身份不合法，中止私钥生成过程。否则，属性授权机构AA将评估数据使用者在系统中的身份信息，根据用户身份从系统的属性空间中识别出DU所拥有的属性集S，据此生成并分配给DU它所应该拥有的私钥。私钥生成算法以主密钥和一组属性作为输入。KeyGen算法以PK、MSK和S作为输入，随机选取c∈Zp计算如下：

SK＝(K,L,{K_i}_i∈S,S)

(3)数据加密阶段

在将数据上传到区块链上之前，DO需要运行加密算法对数据进行加密。根据LSSS访问结构中表示的访问策略，将数据加密成密文。Encrypt以PK、访问结构(M,ρ)和明文消息m作为输入。

(M,ρ)是基于LSSS的访问结构，其中M是一个m×n的访问矩阵，单射函数ρ将M的行与相应属性相对应。首先，随机选择一个秘密d，再选择一个随机向量v＝(d,y2,…,yn)，其中y2,…,yn被用于共享秘密d；计算λi＝Mi·v(i＝1,…,m)，Mi是M中第i行对应的向量。通过如下式计算得到密文CT：

其中C为中间变量。

(4)数据解密阶段

当访问存储在区块链上的数据时，DU可以根据自己的需求下载加密的数据。然而，访问控制发生在解密期间，只有当前DU其所拥有的属性能够满足用于加密数据的访问策略时，DU才能解密数据。Decrypt以PK、SK和CT作为输入。若S满足访问结构(M,ρ)，则

被定义为I＝{i:ρ(i)∈S}。若{λi}是秘密d的有效共享份额，则存在一组常数{ωi∈Zp}i∈I，使得成立∑_i∈Iω_iλ_i＝d；其中，(M,ρ)是基于LSSS的访问结构，其中M是一个m×n的访问矩阵，单射函数ρ将M的行与相应属性相对应；{λ_i}的计算方法为λ_i＝M_i·v(i＝1,…,m)，M_i是M中第i行对应的向量，v是随机向量,

所述明文m的计算公式为：

(5)智能合约：

如图2所示，本发明主要利用区块链中智能合约所具有的安全、可靠、不可篡改的优势。所述包括联盟管理合约(Consortium management contract，CMC)、身份管理合约(Identity management contract，IMC)、和数据管理合约(Datamanagement contract，DMC)等。联盟管理合约(CMC)作为全局合约记录该联盟链上所有作为数据共享参与方的机构实体标识Institution ID(I-ID)、对应的公钥(PK)、以及与其相关联的身份管理合约(IMC)和数据管理合约(DMC)。在创建CMC合约时，初始参与方机构的数字身份及其相关合约被首次创建。

身份管理合约(IMC)基于民主投票的方式在参与方机构间达成共识，实现对数据共享参与方的管理，包括身份注册合约(Identity registration contract,IRC)、身份更新合约(Identityupdate contract,IUC)。IRC合约用于为新加入数据共享联盟的参与方在CMC合约中创建投票请求并为其投票。IUC合约用于对相关参与方数据身份进行更新。

数据管理合约(DMC)用于实现的共享的医疗数据进行存储保护及共享，包括数据存储合约(Data storage contract,DSC1)与数据共享合约(Data sharing contract,DSC2)。DSC1合约用于存储共享医疗数据的摘要信息，包括共享对象的R-ID、Style以及共享的数据。

共享的数据的Style包括直接密文ciphertext和资源地址Res_url，分别用0和1来进行表示。Ciphertext方式用于存储和共享小规模数据、Res_url方式可以与第三方存储服务(如云存储服务)配合用于存储大规模数据。DSC2合约用于存储医疗数据的共享状态信息，包括共享对象的R-ID、I-ID、Staus、Time等。Staus表示共享数据的类型，包括0、1、2。其中0表示所有用户均可以访问该资源、1表示只有联盟内部参与方可以访问该资源、2表示仅联盟内指定参与方可以访问该资源。

联盟身份管理：医疗数据共享参与方的数字身份表示相关机构参与到数据共享联盟链中，是医疗数据共享与保护的基础。每个希望加入联盟的参与方机构都需要获得2/3以上联盟成员的同意，才能完成在该共享联盟中数字身份的注册。具体流程如下：首先加入联盟的参与方机构基于公钥算法在本地安全环境中生成一对公私密钥<PKj,SKj>，本地秘密存储私钥SKj。然后，通过可靠信道将PKj,及其相关身份注册信息发送给联盟内的成员，并委托某个成员通过其IRC合约创建该参与方的数字身份投票请求，其他成员通过该IRC合约进行投票。最后，若同意的票数占比大于2/3，则在CMC合约中保存该参与方的公钥信息，并为其生成唯一的I-ID、创建相应的IMC与DMC等合约，完成参与方的数字身份注册过程。

由于私钥存在泄露和丢失的可能，因此，存在定期进行参与方的数字身份信息更新的需求，从而实现身份密钥的更新。本发明的身份信息更新机制也是基于联盟投票机制来实现的。具体流程如下：首先参与方在本地安全环境中重新生成一对公私密钥<PK’,SK’>，并通过可靠信道将新的公钥PK’发送给联盟内的其他成员，并通过其IUC合约创建参与方数字身份更新的投票请求，其他参与方为其进行投票。若同意的票数占比大于2/3，则在CMC合约中更新该参与方的公钥信息。

用户身份管理：身份管理合约用于对参与医疗数据共享的用户身份进行管理，例如病人、医生、保险工作人员等。不同身份的用户具有不同的属性信息。用户根据其所拥有的不同属性信息能够获取访问相应共享资源的权限。在B-CP-ABE方案，由属性授权机构AA负责生成系统公钥和系统的主私钥，同时负责用户属性密钥的分发工作。用户的身份信息及其相关的属性信息就是属性授权机构AA通过身份管理合约来进行管理与维护。本发明认为属性授权机构AA是完全可信的密钥分发权威机构，它能够依托IRC合约创建新的用户身份及属性信息，并依托IUC对用户身份及属性信息进行更新。

如图3所示，基于CMC合约与IMC合约能够实现DU向AA申请用户私钥过程。在①②中，用户DU向CMC合约发送请求，获取相应AA的系统公钥。在③中，DU再向AA发送申请用户私钥的请求。在④⑤中，AA在IMC合约中验证用户DU的身份并获取其在对应机构中的属性信息。在⑥中，AA向DU返回用户属性所对应用的用户私钥SK。

(6)数据共享与获取

医疗数据的共享是指在共享联盟内部成员间，或联盟与外部用户间通过智能合约、第三方云存储服务和密文属性基加密机制实现权限可控、安全可靠的医疗数据共享，并使得传统的医疗机构能够安全、可信、高效地参与到联盟区块链系统的运行中，从而提高数据共享的效率，打破数据共享的藩篱。本发明以机构之间的数据共享为例进行说明，其具体流程如图4所示。

步骤1：医院A中病人A使用私钥SKA对待共享数据的R-ID、数据Hash等信息进行签名并将其发送至智能合约。DSC2合约在接收到请求后，先调用CMC合约与IMC合约通过签名对医院A中病人A的身份进行校验，校验通过后将待共享数据的相关信息写入DSC1合约。

步骤2：医院B中B向联盟链发出共享数据访问请求，由联盟链CMC合约与IMC合约通过签名完成对医院B中用户B的身份校验并获取用户对应的授权属性集。校验通过后由属性授权机构AA生成用户B的用户私钥SK，将用户SK、Res_addr以及数据指纹Hash等信息传回给用户B。

步骤3：用户B根据从合约中获取共享资源地址Res_addr，从第三方云存储服务中获取加密的共享数据。

步骤4：用户B收到返回的共享数据密文后，使用用户私钥SK，基于密文属性基加密解密算法对数据进行解密，并通过对解密后明文进行哈希计算，并与链上数据指纹Hash进行对比，验证数据的一致性。从而完成了整个医疗数据共享流程。

(6)安全性分析

本发明所提出的医疗数据共享模型的安全性建立在B-CP-ABE方案基础之上。而本发明的B-CP-ABE方案是在决策q-BDHE假设下，该方案对选择的明文攻击具有选择性安全。下面对方案的安全性进行证明。

定理2：在决策q-BDHE假设为困难的条件下，敌手A无法在多项式时间内选择一个m×n(n≤q)的挑战访问结构来破坏B-CP-ABE方案，即敌手A无法以不可忽略的优势赢得安全模型中所定义的博弈游戏。

证明：假设在安全模型中所定义的博弈游戏中，存在一个敌手A具有不可忽视的优势ε＝Adv(A)能够赢得游戏。其中，A选择挑战的访问结构为(M,ρ)，M是一个m×n(n≤q)的矩阵。即必然可以构建一个仿真者D，能够在多项式时间内解决q-BDHE问题。

Init：仿真者D得到q-BDHE假设的参数

和Z，其中，Z是G₁中的随机元素或

敌手A选择一个要挑战的访问结构(M,ρ)，并将其发送给B。

Setup：仿真者D设置公共参数

和参数{h_i}i＝1,…,m。其中，I是{1,2,…,m}的集合，z_i为被选择的随机数。D运行Setup算法得到PK，并将PK给A。

Phase 1：敌手A向仿真者D进行一系列属性集{S_i}(i＝[1,2,…,l])的私钥查询，任意的S_i都不满足访问结构(M,ρ)。根据LSSS的定义，存在一个向量v＝(v₁,…,v_n)，其中r₁＝-1且v·M_i＝0(i＝1,…,m)。随机选择r∈Z_p，令c＝u+w₁a^q+w₂a^q-1+…+w_na^q-n+1。

Challenge：A向仿真者D提交两条长度相等的消息m₀和m₁。D从中随机选择m_b(b∈{0,1})在访问结构(M,ρ)下进行加密。令C＝m_bZ·e(g,g)^α′d，C'＝g^d。仿真者D选择一组随机数{r₂,...r_n}，并通过巧妙地设置向量v＝(d,da+r₂,da²+r₃,...,da^n-1+r_n)来共享秘密d，从而消掉全部的未知项。最后，将生成的密文CT发送给A。

Phase 2：与Phase 1相同。

Guess：A生成一个猜测值b’∈{0,1}，若b’＝b，仿真者D输出0，代表猜测

否则，仿真者D输出1，代表猜测Z是G1中的随机数。基于此，可以分析仿真者D赢得该博弈游戏的优势。本发明约定事件γ＝0表示

约定事件γ＝1表示Z是G₁上某随机数。约定victory表示D攻破q-BDHE假设，可计算得到：

因此，D能够攻破q-BDHE的优势Adv(D)＝Pr[victory]-1/2＝ε/2。综上，若敌手能够以不可忽略的优势ε赢得该博弈游戏，那么仿真者能够以不可忽略优势ε/2解决q-BDHE假设。从而，证明了本发明本发明所提出的医疗数据共享模型是选择安全的。

(7)性能评估

A、功能分析

采用对照分析的方法来对B-CP-ABE方案进行评估。本发明通过与现有研究成果中的其他方案进行对比，来分析本发明方案的优缺点，如表1所示。

表1方案对照表

表1从七个维度将本发明的方案与现有研究进行了对比。对照1、对照2和对照3基于云服务来实现对医疗数据的共享，与基于区块链的方案相比，在可扩展性上存在不足，且缺少对数据完整性和防篡改能力的考虑，比较适用单一安全域内的数据共享，在分布式、多方环境下能力受限。对照4侧重于使用区块链技术来有效地跟踪、监控和审计数据共享行为，从而撤销违反数据规则和权限的访问。对照5通过策略来实现对个人医疗共享数据的细粒度访问控制，但需要用户来存储和维护自身的共享数据，对用户自身要求较高，且没有引入可靠的密码学方法对数据进行保护。对照6与对照7分别使用代理重加密(Proxy re-encryption)和同态加密(Homomorphic encryption)技术来对医疗数据的共享与转移进行保护，但无法支持对共享数据细粒度的访问控制。对照6直接将共享数据信息存储在区块交易中，没有使用智能合约，其灵活性与可扩展性存在不足。对照7为每一个参与方和用户都建立一套用于数据共享的智能合约。因此，当参与方与及用户数量巨大时，系统中将创建大量的合约，这将占据节点大量的计算资源和运行时间，效率较低。

综上所述，能够看出本发明方案在整体上具有一定的优势，能够较好地兼顾数据的安全性与可控性，在能够实现对医疗共享数据资源细粒度控制的前提下，通过区块链技术提高数据资源的共享效率，具有较高的可扩展性。

B、性能评估

通过功能分析，可知本发明的方案在功能上具有一定优势，为了对本发明所提出的方案的性能进行进一步的评估，本发明在如下软硬件环境中进行了仿真实验：操作系统是64bit Ubuntu 18.04、CPU为IntelR Core(TM)i7-8750H(2.2GHz)、RAM为16GB。区块链平台基于Ethereum进行构建。代码基于GMP5.1.3和pbc-0.5.14进行实现，并使用MNT 224椭圆曲线。在B-CP-ABE方案中，为了对影响数据共享性能的各个环节进行评估，以(A₁ and A₂…andA_n)的形式来描述复杂的访问控制策略，其中A代表一个属性。以这种形式来保证B-CP-ABE中的所有属性都参与到加密与解密计算。在Setup、KeyGen、Encrypt、Decrypt这四个阶段中，属性都从10开始，以10为增量进行属性的递增，属性规模的范围为10-100。对于每一个访问控制场景重复进行10次实验求得时间开销的平均值作为最终的实验结果。由于B-CP-ABE方案通常要与对称加密机制进行配合，本发明使用B-CP-ABE方案对128bit的对称密钥进行加密处理。设计了如下四个实验来对数据共享的计算代价进行分析：不同属性规模下Setup阶段的时间开销、不同属性规模下KeyGen阶段的时间开销、访问控制策略中不同属性规模下Encrypt阶段的时间开销、不同属性规模下Decrypt阶段的时间开销。实验结果如图5所示。

由图5(a)可知，系统初始化时间与系统中属性总数之间基本呈现线性增长关系。由图5(b)可知，用户密钥生成时间与用户所拥有的属性数量基本呈现线性增长关系。由图5(c)可知，共享数据加密时间与访问控制结构中属性的数量基本呈现线性增长关系。由图5(d)可知，共享数据解密时间与解密所需要的属性的数量基本呈现线性增长关系。综合分析，各个阶段的时间开销都在可接受的范围以内，能够适应用于医疗数据资源安全、可控共享的应用场景。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本发明。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本发明的精神或范围的情况下，在其它实施例中实现。因此，本发明将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。