CN112765650A - 一种属性基可搜索加密的区块链医疗数据共享方法 - Google Patents

Abstract

本发明公开的一种属性基可搜索加密的区块链医疗数据共享方法，主要解决现有技术不能安全共享的问题。其实现步骤是：1)认证机构TA进行系统初始化；2)认证机构TA根据用户的属性生成用户U的密钥SK_U；3)用户U将医疗文件加密后上传到星际文件系统IPFS中，同时将文件加密密钥和文件存储地址加密后上传到区块链中；4)用户U根据自己密钥SK_U和关键字q生成搜索陷门T_q，并调用搜索算法得到文件加密密钥和文件存储地址的密文；5)用户U进行解密，得到医疗文件。本发明具有高效、防篡改、访问控制、隐私保护、无单点故障、实用性更强的优点，可用于教育、商业、医疗等云环境中数据的安全共享。

Description

一种属性基可搜索加密的区块链医疗数据共享方法

技术领域

本发明属于信息安全技术领域，特别涉及一种医疗数据的共享方法，可用于云环境中对医疗数据的安全共享。

背景技术

最近，随着云存储的广泛应用，日益增多的医疗机构将医疗数据存储在云端。这样可以提高医生的服务效率，降低医疗数据的存储成本。但不同的医疗机构往往对医疗数据有着不同的管理方式，难以实现不同医疗机构间的医疗数据共享。个人医疗记录通常包含保健、用药等隐私信息和敏感数据，且容易在不知情的情况下被滥用。为了保护医疗数据的隐私，医疗数据通常加密后上传到医疗机构的第三方云服务器上。当医生查找数据时，他必须要下载所有数据并在解密后才能获得对应的数据。随着存储数据的剧增，大量的本地开销被浪费，严重影响医生的效率。传统的第三方服务器都是诚实但好奇的，存在隐私数据泄露的安全隐患，以上问题严重阻碍了医疗数据共享。

可搜索加密方案的出现解决了云存储中加密数据的搜索问题，半可信的第三方云服务器无法在搜索过程中得到任何有效信息，因此可以实现数据的隐私保护。但是，数据拥有者往往不希望医疗机构的所有人都能检索其医疗数据，而访问控制是保障医疗数据安全共享的有效措施。属性基加密可以根据数据拥有者制定的访问策略，实现云存储中医疗数据的细粒度控制。然而，如何在加密数据上实现密文搜索以及访问控制仍是一个挑战。

基于属性的可搜索加密方案就是在这样的背景下提出的。基于属性的关键字搜索加密的概念最早由Zheng等人在2014年提出，该方案实现了外包加密数据上的安全搜索和可验证性。一种基于匿名属性的关键字搜索加密方案由Das等人在2017年提出，其中，在搜索操作过程中不会暴露用户的身份。2018年，Zhang等人详细概括了可搜索加密的发展历程，根据不同医疗场景下的医疗数据检索需求，他们分析了医疗云中数据的隐私保护和安全访问问题。Yin等人与2019年提出了一种密文策略的属性基可搜索加密方案CP-ABE，他们声称其方案在很多方面都优于Zheng提出的方案。

为了更好的改善可搜索加密的应用需求，研究人员做了大量的研究。比如，一些分布式云存储的方案被提出来克服云服务器存在的单点故障问题，单点故障会严重影响医疗机构的正常运行。此外，也有一些研究者提出一些基于区块链的数据共享方案，利用区块链将医疗数据操作记录在不可篡改和公开透明的账本中，防止医疗数据的滥用。

中本聪在2008年提出比特币网络以后，区块链技术就备受追捧，被应用于很多领域如车联网、智能电网和供应链等。区块链在数据共享和隐私保护具有较强的应用潜力。Tahir等人提出了一种可搜索加密框架，用于保护许可区块链网络中的数据隐私，但是其在计算方面具有较大的开销。Cao等人提出了一种云辅助的安全电子健康系统，其操作过程是由外包来进行计算，为了防止外包对医疗数据的篡改，将整个操作过程记录到区块链上，增加了系统的设计复杂度。Wang等人通过组合IPFS、以太坊和ABE等技术提出了一种基于区块链的框架，用于分布式存储中具有访问控制的数据共享，但该框架在密钥管理方面存在被泄漏的风险。Tsai提出了一种基于区块链的医疗数据共享方案，该方案可验证医疗数据的完整性，并且该方案的系统模型与Wang提出的方案的系统模型相似，但这两个方案由于都采用了ABE和公有区块链实现搜索功能，因而需要消耗大量的燃料和电力。

发明内容

本发明的目的在于针对上述现有技术的不足，提出一种属性基可搜索加密的区块链医疗数据共享方法，以增强系统密钥安全和数据隐私安全，并降低计算开销和系统复杂度。

为实现上述目的，本发明的实现步骤包括如下：

(1)系统初始化：

认证机构TA生成一个双线性映射e：G₁×G₁→G₂，并选择一个对称密码算法SE、两个哈希函数H、H'，其中G₁是加法群，G₂是乘法群；

认证机构TA选择两个随机数α、β，计算公钥PK和系统主密钥MK，并公开全局参数GP和公钥PK，同时保密系统主密钥MK，其中α、β属于整数群

(2)密钥生成：

对每个属性l∈L，认证机构TA为用户U选择两个随机数x_U和r_l，计算密钥SK_U，并通过一个安全通道向用户U返回SK_U，其中x_U、r_l属于整数群

x_U是用户的全局身份ID，r_l是计算密钥SK_U的参数，L是属性集合；

(3)医疗文件处理：

(3a)用户U随机选择一个对称密钥k，加密医疗文件F得到加密的医疗文件A＝SE.Enc(F)，再将该文件上传到星际文件系统IPFS，并返回文件存储地址M＝URL(A)，其中SE.Enc是对称加密算法，URL是存储地址生成算法；

(3b)用户U生成加密关键字索引：I_w＝(T,I₁,I₂,I₃,I₄)，其中T是访问结构，I₁、I₂、I₃、I₄是关键字索引的不同中间参数；

(3c)用户U生成文件对称密钥k和存储地址M的密文：CT＝(T,C_k,C_M,I₂,I₃,I₄)，并将密文CT上传到区块链中，其中C_k是对称密钥k的密文，C_M是文件存储地址M的密文；

(4)医疗文件查询：

(4a)用户U输入自己的密钥SK_U以及待查询的关键词q，医疗机构服务器HS返回给用户搜索陷门T_q＝(T_u,K₃,K₄)，其中，T_u是搜索陷门的中间参数，K₃、K₄是两个不同的密钥参数；

(4b)用户U的本地客户端调用搜索算法在区块链网络中进行关键字搜索，该算法输入用户的全局身份x_U、搜索陷门T_q和加密关键字索引I_w，计算访问结构T的根节点秘密值D和临时参数C，并根据临时参数C和关键字索引参数I'_w，判断这两个参数是否相等；

如果参数C等于关键字索引参数I'_w，则搜索算法返回密文CT和访问结构T的根节点秘密值D到本地客户端，执行步骤(5)，否则，搜索算法返回⊥到本地客户端，其中，⊥表示访问树T不满足属性L，搜索算法查询失败；

(5)医疗文件解密：

用户U的本地客户端先利用密文CT和访问结构T的根节点秘密值D计算医疗文件地址M和对称密钥k；再在星际文件系统IPFS网络中输入文件地址M下载加密文件A到本地客户端，利用对称密钥k解密得到医疗文件F。

本发明具有以下优点：

1)效率高

到目前为止，大部分的数据共享方法都采用密文策略属性基可搜索加密方法CP-ABSE来完成细粒度的共享控制，但是该方案在搜索陷门生成阶段都与属性的个数相关，随着属性个数的增加，计算开销增大，不适用于物联网环境下资源受限的设备，本发明通过构建与属性个数无关的搜索陷门生成阶段，使得计算开销大大降低，提高了执行效率。

2)防篡改

本发明将医疗文件加密后存储在星际文件系统IPFS中，同时将医疗文件的索引和加密密钥等信息通过改进的密文策略属性基可搜索加密方法CP-ABSE加密后存储在区块链中，保证医疗文件和索引信息均难以被篡改，这是大多数医疗数据共享方法所不具备的特性。

3)能隐私保护

本发明由于在医疗联盟中的每个用户使用随机生成的全局身份匿名参与区块链的交易事务，保护了用户的真实身份，同时由于采用了基于区块链和星际文件系统IPFS的防篡改链上链下存储模型，保证用户信息的安全存储。

4)具有可验证性

本发明将所有与医疗文件共享和搜索相关的操作均记录在防篡改的许可区块链上，可用于提供全局验证以及匿名追踪，这是大多数医疗数据共享方法所不具备的特性。

5)密钥管理安全

本发明将用户的密钥经过改进的密文策略属性基可搜索CP-ABSE加密后存储在防篡改的许可区块链中，权威机构利用许可区块链建立医疗联盟之间的信任，保障了密钥管理的安全性。

附图说明

图1是本发明的实现总流程图；

图2是本发明中的密钥生成子流程图；

图3是本发明中的医疗文件处理子流程图；

图4是本发明中的医疗文件查询子流程图；

图5是本发明中的医疗文件解密子流程图。

具体实施方式

参照图1，本发明的实现步骤如下：

步骤1，系统初始化。

(1.1)认证机构TA生成一个双线性映射e：G₁×G₁→G₂，并选择一个对称密码算法SE＝(SE.Enc,SE.Dec)、两个哈希函数

H':{0,1}^*→G₁，其中，e是双线性映射，G₁是加法群，G₂是乘法群，SE.Enc是对称加密算法，SE.Dec是对称解密算法，

是模p的整数群；

(1.2)认证机构TA选择两个随机数α、β，计算公钥PK＝(g^β,e(g,g)^α)和系统主密钥MK＝(β,g^α)，并公开全局参数GP＝(G₁,G₂,e,g,p,H,H')和公钥PK，同时保密系统主密钥MK，其中α、β属于整数群

g是加法群G₁的生成元，p是加法群G₁和乘法群G₂的阶数。

步骤2，认证机构TA为用户U生成密钥SK_U。

参数图2，本步骤的具体实现如下：

(2.1)认证机构TA为用户U选择一个随机数x_U，分别计算第一个密钥参数

第二个密钥参数

中间参数

其中x_U属于整数群

x_U是用户的全局身份ID，α、β是两个不同的随机数，g是公开全局参数GP中加法群G₁的生成元；

(2.2)对每个属性l∈L，认证机构TA选择一个随机数r_l，计算第三个密钥参数

第四个密钥参数

其中，r_l属于整数群

r_l是计算密钥SK_U的密钥参数，H'是哈希函数，L是属性集合；

(2.3)认证机构TA根据上述四个密钥参数计算密钥SK_U＝(K₁,K₂,K₃,K₄)，之后，认证机构TA将密钥SK_U通过一个安全通道返回给用户U。

步骤3，用户医疗文件处理。

参照图3，本步骤的具体实现如下：

(3.1)用户U随机选择一个对称密钥k，利用该对称密钥加密医疗文件F得到加密医疗文件：A＝SE.Enc(F)，其中，SE.Enc是对称加密算法；

(3.2)用户U将该加密的医疗文件上传到星际文件系统IPFS，利用文件地址生成算法URL生成加密医疗文件A的存储地址M＝URL(A)，并将该地址返回给用户U；

(3.3)用户U对医疗文件F提取出关键字w，选择一个随机数s，计算第一个关键字索引参数I₁＝e(g^H(w)·s,g)e(g,g)^αs和第二个关键字索引参数I₂＝g^βs，其中，s属于整数群

α、β是两个不同的随机数，g是公开全局参数GP中加法群G₁的生成元，e是公开全局参数GP中的双线性映射，H是哈希函数；

(3.4)令t为访问结构T的根节点，用户U判断访问结构T中的每个节点y是否为根节点：

如果节点y是根节点t，则用户U先随机选择一个关于根节点t的多项式q_t，并令多项式q_t(0)＝s，再随机设置多项式q_t的其他点；

否则，用户U先随机选择一个关于节点y的多项式q_y，并令多项式q_y(0)＝q_p(y)(index(y))，再随机设置多项式q_y的其他点，其中，index是计算索引算法，p(y)表示节点y的父节点；

(3.5)令集合Y是访问结构T的叶子节点集合，对于该集合中的每个叶子节点η，用户U计算第三个关键字索引参数

和第四个关键字索引参数

其中，attr是计算属性算法，H'是哈希函数；

(3.6)用户U根据上述四个关键字索引参数和访问结构T生成加密关键字索引I_w＝(I₁,I₂,I₃,I₄,T)，并将该加密关键字索引上传到区块链网络中；

(3.7)用户U计算对称密钥k的密文C_k＝ke(g,g)^αs和文件存储地址M的密文C_M＝Me(g,g)^αs；

(3.8)用户U根据对称密钥k密文的C_k、文件存储地址M的密文C_M、三个不同的关键字索引参数I₂、I₃、I₄和访问结构T生成文件对称密钥k和存储地址M的密文：CT＝(T,C_k,C_M,I₂,I₃,I₄)，并将该密文CT上传到区块链网络中。

步骤4，用户医疗文件查询。

参照图4，本步骤的具体实现如下：

(4.1)用户U输入自己的密钥SK_U以及待查询的关键词q，医疗机构服务器HS计算第一个搜索陷门参数

和第二个搜索陷门参数

其中，α、β是两个不同的随机数，x_U是用户的全局身份ID，K₁、K₂是第一个密钥和第二个密钥参数，g是公开全局参数GP中加法群G₁的生成元；

(4.2)医疗机构服务器HS根据上述第二个搜索陷门参数和两个不同的密钥参数计算搜索陷门：T_q＝(T_u,K₃,K₄)，其中，K₃、K₄是第三个密钥参数和第四个密钥参数；

(4.3)用户U生成搜索陷门T_q后，调用认证机构TA部署在区块链上的搜索合约，该合约调用搜索算法在区块链网络中进行密文搜索；

(4.4)对访问结构T中的每个叶子节点y，设属性l表示一个与叶子节点y关联的属性，判断属性l是否属于属性集合L：

如果属性l∈L，则通过搜索算法计算叶子节点秘密值：

其中K₃、K₄是第三个密钥参数和第四个密钥参数，I₃、I₄是第三个关键字索引参数和第四个关键字索引参数，x_U是用户的全局身份ID，e表示公开全局参数GP中的双线性映射；

否则，则属性结构L不满足访问结构T，该搜索算法结束；

(4.5)对访问结构T中的每个非叶子节点θ，令z为该非叶子节点θ的子节点，令集合S_θ为子节点z的任意大小集合，判断是否存在该集合使得子节点z的秘密值F_z为有效的G₂乘法群上的值：

如果不存在此集合，则表示属性结构L不满足访问结构T，该搜索算法结束；

否则，使用拉格朗日差值定理计算非叶子节点θ的秘密值：

其中，x_U是用户的全局身份ID，q_y(0)是多项式q_y在0点处的值；

(4.6)根据叶子节点秘密值F_y和非叶子节点秘密值F_θ，搜索算法计算根节点秘密值D：

其中，s是一个随机数；

(4.7)判断(4.6)计算的根节点秘密值是否为有效的G₂乘法群上的值：

如果是，则表示属性结构L不满足访问结构T，该搜索算法结束；

如果不是，则计算临时参数C：

其中，I₂是第二个关键字索引参数，T_u是第二个搜索陷门参数；

(4.8)搜索算法根据临时参数C和关键字索引参数I'_w，判断这两个参数是否相等；

如果参数C等于关键字索引参数I'_w，则搜索算法返回密文CT和访问结构T的根节点秘密值D到本地客户端，执行步骤(5)，

否则，搜索算法查询失败。

步骤5，医疗文件解密。

参照图5，本步骤的具体实现如下：

(5.1)用户U的本地客户端先利用密文CT和访问结构T的根节点秘密值D计算医疗文件地址M和对称密钥k，公式如下：

其中，C_M是文件存储地址M的密文，C_k是对称密钥k的密文，K₁是第一个密钥参数，I₂是第二个关键字索引参数，D是根节点秘密值，α、s是两个不同的随机数，g是公开全局参数GP中加法群G₁的生成元，e是公开全局参数GP中的双线性映射；

(5.2)用户U在星际文件系统IPFS网络中输入文件地址M下载加密文件A到本地客户端，再利用对称密钥k对其解密得到文件F。

上述描述仅是本发明的一个具体实例，并不构成本发明的任何限制，显然，对于本领域的专业人员来说，在了解本发明的原理和内容后，都可以在不背离本发明的原理和内容的情况下，对本发明的形式和细节上作出各种修正和改变，但这些基于本发明的内容和原理的修正和改变仍在本发明的权利要求保护范围之内。

Claims (7)

1.一种属性基可搜索加密的区块链医疗数据共享方法，其特征在于，包括如下：

(1)系统初始化：

认证机构TA生成一个双线性映射e：G₁×G₁→G₂，并选择一个对称密码算法SE、两个哈希函数H、H'，其中G₁是加法群，G₂是乘法群；

认证机构TA选择两个随机数α、β，计算公钥PK和系统主密钥MK，并公开全局参数GP和公钥PK，同时保密系统主密钥MK，其中α、β属于整数群

(2)密钥生成：

对每个属性l∈L，认证机构TA为用户U选择两个随机数x_U和r_l，计算密钥SK_U，并通过一个安全通道向用户U返回SK_U，其中x_U、r_l属于整数群

x_U是用户的全局身份ID，r_l是计算密钥SK_U的参数，L是属性集合；

(3)医疗文件处理：

(3a)用户U随机选择一个对称密钥k，加密医疗文件F得到加密的医疗文件A＝SE.Enc(F)，再将该文件上传到星际文件系统IPFS，并返回文件存储地址M＝URL(A)，其中SE.Enc是对称加密算法，URL是存储地址生成算法；

3b)用户U生成加密关键字索引：I_w＝(T,I₁,I₂,I₃,I₄)，其中T是访问结构，I₁、I₂、I₃、I₄是关键字索引的不同中间参数；

(3c)用户U生成文件对称密钥k和存储地址M的密文：CT＝(T,C_k,C_M,I₂,I₃,I₄)，并将密文CT上传到区块链中，其中C_k是对称密钥k的密文，C_M是文件存储地址M的密文；

(4)医疗文件查询：

(4a)用户U输入自己的密钥SK_U以及待查询的关键词q，医疗机构服务器HS返回给用户搜索陷门T_q＝(T_u,K₃,K₄)，其中，T_u是搜索陷门的中间参数，K₃、K₄是两个不同的密钥参数；

(4b)用户U的本地客户端调用搜索算法在区块链网络中进行关键字搜索，该算法输入用户的全局身份x_U、搜索陷门T_q和加密关键字索引I_w，计算访问结构T的根节点秘密值D和临时参数C，并根据临时参数C和关键字索引参数I'_w，判断这两个参数是否相等；

如果参数C等于关键字索引参数I'_w，则搜索算法返回密文CT和访问结构T的根节点秘密值D到本地客户端，执行步骤(5)，否则，搜索算法查询失败；

(5)医疗文件解密：

用户U的本地客户端先利用密文CT和访问结构T的根节点秘密值D计算医疗文件地址M和对称密钥k；再在星际文件系统IPFS网络中输入文件地址M下载加密文件A到本地客户端，利用对称密钥k解密得到医疗文件F。

2.根据权利要求1所述的方法，其特征在于，其中(2)中计算密钥SK_U，实现如下：

(2a)认证机构TA为用户U选择一个随机数x_U，分别计算第一个密钥参数

第二个密钥参数

中间参数

其中x_U属于整数群

x_U是用户的全局身份ID，α、β是两个不同的随机数，g是公开全局参数GP中加法群G₁的生成元；

(2b)对每个属性l∈L，认证机构TA选择一个随机数r_l，计算第三个密钥参数

第四个密钥参数

其中，r_l属于整数群

r_l是计算密钥SK_U的密钥参数，L是属性集合；

(2c)认证机构TA根据上述四个密钥参数计算密钥SK_U＝(K₁,K₂,K₃,K₄)。

3.根据权利要求1所述的方法，其特征在于，其中(3b)中用户U生成加密关键字索引I_w，实现如下：

(3b1)用户U对医疗文件F提取出关键字w，选择一个随机数s，计算第一个关键字索引参数

和第二个关键字索引参数I₂＝h^s＝g^βs，其中，s属于整数群

α、β是两个不同的随机数，g是公开全局参数GP中加法群G₁的生成元，e是公开全局参数GP中的双线性映射；

(3b2)令t为访问结构T的根节点，用户U判断访问结构T中的每个节点y是否为根节点：

如果节点y是根节点t，则用户U先随机选择一个关于根节点t的多项式q_t，并令多项式q_t(0)＝s，再随机设置多项式q_t的其他点；

否则，用户U先随机选择一个关于节点y的多项式q_y，并令多项式q_y(0)＝q_p(y)(index(y))，再随机设置多项式q_y的其他点，其中，index是计算索引算法，p(y)表示节点y的父节点；

(3b3)令集合Y是访问结构T的叶子节点集合，对于该集合中的每个叶子节点η，用户U计算第三个关键字索引参数

和第四个关键字索引参数

其中，attr是计算属性算法；

(3b4)用户U根据上述四个关键字索引参数和访问结构T生成加密关键字索引I_w＝(I₁,I₂,I₃,I₄,T)。

4.根据权利要求1所述的方法，其特征在于，其中(3c)中用户U生成文件对称密钥k和存储地址M的密文CT，实现如下：

(3c1)用户U计算对称密钥k的密文C_k＝ke(g,g)^αs和文件存储地址M的密文C_M＝Me(g,g)^αs，其中，s、α是两个不同的随机数，g是公开全局参数GP中加法群G₁的生成元，e是公开全局参数GP中的双线性映射；

(3c2)用户U根据对称密钥k密文的C_k、文件存储地址M的密文C_M、三个不同的关键字索引参数和访问结构T生成文件对称密钥k和存储地址M的密文：CT＝(T,C_k,C_M,I₂,I₃,I₄)。

5.根据权利要求1所述的方法，其特征在于，其中(4a)中生成用户搜索陷门，实现如下：

(4a1)用户U输入自己的密钥SK_U以及待查询的关键词q，医疗机构服务器HS计算第一个搜索陷门参数

和第二个搜索陷门参数

其中，α、β是两个不同的随机数，x_U是用户的全局身份ID，K₁、K₂是第一个密钥和第二个密钥参数，g是公开全局参数GP中加法群G₁的生成元；

(4a2)医疗机构服务器HS根据上述第二个搜索陷门参数和两个不同的密钥参数计算搜索陷门：T_q＝(T_u,K₃,K₄)，其中，K₃、K₄是第三个密钥参数和第四个密钥参数。

6.根据权利要求1所述的方法，其特征在于，其中(4b)中计算访问结构T的根节点秘密值D和临时参数C，实现如下：

(4b1)对访问结构T中的每个叶子节点y，设属性l表示一个与叶子节点y关联的属性，判断属性l是否属于属性集合L：

如果属性l∈L，则通过搜索算法计算叶子节点秘密值：

其中K₃、K₄是第三个密钥参数和第四个密钥参数，I₃、I₄是第三个关键字索引参数和第四个关键字索引参数，x_U是用户的全局身份ID，g是公开全局参数GP中加法群G₁的生成元，e是公开全局参数GP中的双线性映射；

否则，则访问结构T不满足属性L，该搜索算法结束；

(4b2)对访问结构T中的每个非叶子节点θ，令z为该非叶子节点θ的子节点，令集合S_θ为子节点z的任意大小集合，判断是否存在该集合使得子节点z的秘密值F_z为有效的G₂乘法群上的值：

如果不存在此集合，则表示属性结构L不满足访问结构T，该搜索算法结束；

否则，使用拉格朗日差值定理计算非叶子节点θ的秘密值：

其中，x_U是用户的全局身份ID，q_y(0)是多项式q_y在0点处的值；

(4b3)根据叶子节点秘密值F_y和非叶子节点秘密值F_θ，计算根节点秘密值D：

其中，s是一个随机数；

(4b4)判断(4b3)计算的根节点秘密值是否为有效的G₂乘法群上的值：

如果是，则表示属性结构L不满足访问结构T，该搜索算法结束；

如果不是，则计算临时参数C：

其中，I₂是第二个关键字索引参数，T_u是第二个搜索陷门参数。

7.根据权利要求1所述的方法，其特征在于，其中(5)中计算医疗文件地址M和对称密钥k，公式如下：

其中，C_M是文件存储地址M的密文，C_k是对称密钥k的密文，K₁是第一个密钥参数，I₂是第二个关键字索引参数，D是根节点秘密值，α、s是两个不同的随机数，g是公开全局参数GP中加法群G₁的生成元，e是公开全局参数GP中的双线性映射。

Images