CN114417419B - 具有安全授权和隐私保护的外包云存储医疗数据聚合方法 - Google Patents

Abstract

本发明公开了一种具有安全授权和隐私保护的外包云存储医疗数据聚合方法，包括：S1.确定医疗数据存储系统的参数；S2.分别生成数据提供端和数据分析中心的公私密钥对；S3.依次对医疗数据进行盲化、加密和签名处理，然后将医疗数据上传服务器进行存储；S4.云服务器根据接收到的数据聚合请求信息定位一组数据提供端，生成并发送重组数据请求信息给选择的数据提供端，在接收到数据聚合授权信息后对医疗数据进行聚合得到响应聚合医疗数据；S5.数据分析中心验证并解密接收到的响应聚合医疗数据进行验证。本发明不仅解决了医院海量医疗数据的存储和管理负担，而且可以灵活地聚合多个源的加密医疗数据。

Description

具有安全授权和隐私保护的外包云存储医疗数据聚合方法

技术领域

本发明涉及网络空间安全下的云存储医疗大数据的隐私保护、完整性验证与安全聚合技术领域，特别是涉及涉及一种具有安全授权和隐私保护的外包云存储医疗数据聚合方法。

背景技术

当今，随着现代信息与通信技术的蓬勃发展，电子医疗信息系统也随之而快速升级与发展。电子医疗数据作为电子医疗信息系统中最重要的内容之一，其在了解病人病史、进行临床诊断、实现精准治疗等方面一直发挥着重要作用。然而，本地存储呈爆炸式速度增长的医疗数据将给医院带来沉重的负担，同时医院也无法对这些海量的医疗数据进行精细化管理。一个潜在的解决方案是不断地购买大型存储服务器和雇佣更多的员工来解决以上的困难问题，但是购买存储设备和雇佣员工将大大地增加医院的经济负担，且无法解决因单个医院锁定了医疗数据而导致医疗信息孤岛的难题。云存储技术能为各医院或健康服务中心提供海量的数据存储空间、专业的管理服务和强大的信息处理能力。

虽然云存储平台可以为医院的现代信息管理的发展提供多种重要的医疗服务，但其蓬勃发展仍然面临着各种安全威胁。由于网络的开放性和医疗数据的高敏感性，数据在传输或存储过程中可能会出现安全威胁和隐私泄露。例如，窃听者截取传输的医疗数据，并将其交易到非法市场以攫取金钱。为了保证医疗数据的机密性，一系列的公钥加密方案被广泛地提出，其主要核心思想都是病人委托其隶属的医院使用数据接收者的公钥来加密它们的医疗数据，然后上传到云服务器进行长期存储；接收者从云服务器上下载对应的密文，并通过自己所持有的私钥来对这些密文进行解密。这样，即使医疗数据在传输过程中被捕获或在存储过程中被非法访问，敌手也是无法解密或推导出病人的原始医疗数据信息。但不幸的是，由于没有持有对应的解密私钥，原始数据上传者是无法解密存储在云服务器上的密文医疗数据。密钥交换技术能解决这一问题，但是密钥的交换需要较强安全水平与额外的密码操作。同时，云服务器一次只能将一家医院的加密医疗数据共享给数据接收者，而数据接收者却重复使用相同的私钥来重复解密被共享的密文，这将给原始数据上传者和数据接收者带来巨大的通信与计算开销。

基于双陷门解密密码机制的数据聚合技术是解决医疗大数据共享中诸多问题的一种非常有吸引力的方法。具体地，在医疗数据聚合方案中，医院扮演着数据贡献者的角色，它们利用基于同态加密的密码机制来对病人的医疗数据进行加密，然后将其上传到云服务器上进行存储。云服务器充当一个聚合器，它能聚合多源分布式加密医疗数据，并将聚合结果发送到数据分析中心。最后，数据分析中心通过超级私钥来恢复原始医疗数据的聚合结果，而不会泄露患者的个人隐私。尽管如此，大多数现有的数据聚合方案都将数据分析中心视为一个完全可信的实体。然而，一旦数据分析中心因粗心或恶意行为而泄露了超级密钥，医院存储在云服务器上的所有密文都可能被对手解密，从而暴露病人的隐私。更糟糕的是，为了获得额外的利益，贪婪的云服务器可能会将加密的医疗数据秘密地出售给数据分析中心，从而获得额外的利益。另一方面，我们也注意到了即使医疗数据被安全地保护，医院也可能会不情愿地共享其存储在云服务器上的加密医疗数据，因为它们需要执行复杂或额外的操作，例如病人敏感身份的盲化或过滤，加密医疗数据的认证与授权等密码操作。

除了上述关注的安全问题外，确保外包医疗数据的完整性也是一个非常重要的研究内容。因为任意两个逻辑相邻实体之间的数据信息交换都可能被主动攻击者截获、替换或修改。同时，当医疗数据外包给云服务器后，由于设备硬件/软件故障或人为错误，医院或病人可能会失去对这些数据的物理控制，从而始终担心外包数据是否受损。事实上，云服务器也是一个半可信的实体，它可能会通过删除病人的医疗数据来节省自己的存储空间，或篡改特定病人的医疗数据来获取额外的收益。然而，所有这些恶意行为都可能导致病人的误诊，甚至死亡的风险。此外，虽然一些现有的数据聚合方案通过交互式同步算法来实现了数据的完整性验证，但它们给数据聚合器或数据分析中心带来了沉重的性能负担。因此，如何提出一个安全、高效和实际的数据聚合方案来平衡医疗数据机密性与隐私性、多源数据的灵活聚合、抗密钥泄露、安全数据聚合授权、奖励策略，和外包数据的批量验证是非常有现实应用意义但又充满困难的研究课题。

发明内容

本发明的目的在于克服现有技术的一项或多项不足，提供一种具有安全授权和隐私保护的外包云存储医疗数据聚合方法。

本发明的目的是通过以下技术方案来实现的：具有安全授权和隐私保护的外包云存储医疗数据聚合方法，应用于医疗数据存储系统，所述医疗数据存储系统包括数据提供端、云服务器、数据分析中心和密钥生成中心，所述数据提供端分别与云服务器和密钥生成中心通信连接，所述数据分析中心分别与云服务器和密钥生成中心通信连接，所述外包云存储医疗数据聚合方法包括：

S1.根据输入的安全参数确定医疗数据存储系统的参数；

S2.分别生成数据提供端和数据分析中心的公私密钥对；

S3.数据提供端对医疗数据进行盲化处理，对盲化处理后的医疗数据进行加密，然后对加密后的医疗数据进行签名，并将签名后的医疗数据上传服务器进行存储；服务器对接收到的医疗数据进行验证，并在验证通过后存储所述医疗数据；

S4.云服务器接收来自数据分析中心的数据聚合请求信息，并根据数据聚合请求信息定位一组数据提供端以及生成重组数据请求信息，然后将重组数据请求信息发送给该组数据提供端中的一个或多个数据提供端；数据提供端接收到重组数据请求信息后，若同意将其存储在云服务器上的医疗数据共享给数据分析中心，则生成数据聚合授权信息，并将数据聚合请求信息发送给云服务器；云服务器对接收到的数据聚合授权信息进行验证，并对数据聚合授权信息验证通过的数据提供端的医疗数据进行聚合得到响应聚合医疗数据，然后将响应聚合医疗数据发送给数据分析中心；

S5.数据分析中心对接收到的响应聚合医疗数据进行验证，并在验证通过后对所述响应聚合医疗数据进行解密。

优选的，所述S1具体包括以下步骤：

S11.密钥生成中心接收安全参数κ₁和安全参数κ₂；

S12.密钥生成中心生成一个双线性对群(e,G₁,G_T,ρ,g)←Γ(κ₁)，其中G₁和G_T是两个具有相同素数阶ρ的乘法循环群，g是乘法循环群G₁的一个生成元，e表示一个双线性对映射，且e:G₁×G₁→G_T，Γ表示构造这个双线性对映射e的初始化函数，κ₁且表示输入的密钥参数值；

S13.密钥生成中心选择两个大素数p和q，初始化安全模量N＝p×q，并定义模N²的一个剩余循环群G，剩余循环群G对应的阶Ord(G)＝2Nλ(N)，其中，|p|＝|q|＝κ₁，p＝2p₁+1，q＝2q₁+1，p₁和q₁是两个大素数，λ(N)＝lcm(p-1,q-1)是p-1和q-1的最小公倍数；

S14.密钥生成中心从乘法群中选择一个随机数x，计算随机数x的二次剩余值y←x^2NmodN²，y是随机数x的二次剩余值，同时y也是剩余循环群G上的一个生成元；

S15.密钥生成中心设置一个伪随机函数以及四个散列函数 其中，{0,1}^ι和{0,1}^*为不同长度的二进制比特串，且ι＜＜*；/>表示模ρ的乘法群/>Z_N表示一个剩余类环，/>表示一个乘法群；

S16.密钥生成中心设置一个数字签名-验证算法对(SIG,VER)和一个公钥加减密算法对(ENC,DEC)，SIG是一个数字签名算法，VER是数字签名算法SIG对应的签名验证算法；ENC是一个公钥加密算法，DEC是公钥加密算法ENC所对应的公钥解密算法；

S17.密钥生成中心生成医疗数据存储系统的公共参数Pare＝{e,G₁,G_T,ρ,G,N,y,Pf,h₁,h₂,h₃,h₄}，其中两个大质数因子(p,q)是系统中数据解密的超级私钥。

优选的，所述S2具体包括以下步骤：

S21.密钥生成中心从二次剩余乘法群的阶的范围[1,ord(G)]内选择一个值ν_i作为数据提供端的数据解密私钥，并计算对应的解密公钥n是数据提供端的数量；

S22.密钥生成中心从模ρ的乘法群中随机选择一个随机数α_i作为数据提供端的签名私钥，并计算对应的签名公钥/>

S23.密钥生成中心将数据提供端的全部私钥(ν_i,α_i)发送给数据提供端，并公开数据提供端的全部公钥(V_i,β_i)；

S24.密钥生成中心从模ρ的乘法群中随机选择一个值d作为数据分析中心的私钥，并计算对应的公钥D＝g^d；

S25.密钥生成中心将数据分析中心的私钥d和超级私钥(p,q)发送给数据分析中心，并公开数据分析中心的公钥D。

优选的，所述S3具体包括以下步骤：

S31.数据提供端从模ρ的乘法群中随机选择一个值ε_i作为伪随机函数Pf的密钥种子；

S32.数据提供端从模ρ的乘法群中随机选择一个值作为文件标识符Fname；

S33.数据提供端计算ω个盲化因子其中，1≤i≤n，1≤j≤ω，n是数据提供端的数量，ω表示某数据提供端某科室某一确定的时间范围内就诊的病人人数；

S34.数据提供端通过盲化方程来对医疗数据m_ij进行盲化处理，其中，Z_N是一个剩余类环，/>表示盲化后的医疗数据，/>表示第i医院中的第个j病人的医疗数据m_ij所对应的盲化因子；

S35.数据提供端选择乘法群中的一个随机数γ_ij，并将盲化后的医疗数据/>同态加密为C_ij＝(C_ij1,C_ij2)，其中，第一密文部分/>第二密文部分C_ij表示第i医院中的第个j病人盲化了的医疗数据/>所对应的密文数据；

S36.数据提供端从模ρ的乘法群中随机选择一个值Δ，并为加密后的医疗数据生成对应的签名信息Λ＝h₂(Δ)和δ_ij＝(h₁(Hid_i||j||C_ij1||Aux)，其中，Aux＝(A_ty,A_ti,A_pr)是具体医疗数据的匹配识别信息，A_ty表示具体医疗数据的类型，A_ti表示一个确定的时间期，A_pr表示奖励承诺信息，Hid_i表示数据提供端；

S37.数据提供端将存储数据Ψ＝{Hid_i,C_ij,δ_ij,Λ,Aux}_{1≤j≤ω}上传到服务器进行存储；

S38.云服务器接收到存储数据Ψ后对所述存储数据Ψ进行正确性和完整性验证，若验证通过，则接收并存储本次的存储数据Ψ。

优选的，对所述存储数据Ψ进行正确性和完整性验证，包括：

验证第一方程是否成立，若第一方程成立，则表示存储数据Ψ进的正确性和完整性验证通过，否则，表示存储数据Ψ进的正确性和完整性验证未通过；

所述第一方程为：

其中，1≤i≤n，1≤j≤ω。

优选的，云服务器接在所述存储数据Ψ的正确性和完整性验证通过后，响应一个反馈消息给数据提供端来清空数据提供端本地的存储数据Ψ。

优选的，所述S4具体包括以下步骤：

S41.数据分析中心从模ρ的乘法群中选择l个随机序列(μ₁,μ₂…μ_l-1,η)，μ和η都从模ρ的乘法群/>中选择的随机值；

S42.数据分析中心生成一个数据聚合请求信息Req＝{(R_ar,R_ty,R_ti,R_re),(μ₁,μ₂…μ_l-1,η)}，并将所述数据聚合请求信息Req发送给云服务器，其中，R_ar表示数据请求的具体位置区域，R_ty表示数据请求的具体医疗数据类型，R_ti表示数据请求的数据时间范围，R_re表示提供相应的医疗数据的奖励；

S43.云服务器接收到数据聚合请求信息Req后，根据数据请求的具体位置区域R_ar、数据请求的具体医疗数据类型R_ty、数据请求的数据时间范围R_ti定位一组数据提供端，然后从该组数据提供端中选择个数据提供端，并将重组数据请求信息(DAC,Aux,R_re)分别发送给所选择的数据提供端，DAC表示数据分析中心；

S44.数据提供端接收到重组数据请求信息(DAC,Aux,R_re)后，若数据提供端同意将其存储在云服务器上的医疗数据共享给数据分析中心，则数据提供端从模ρ的乘法群中选择一个一次性的数值π_i来计算签名-加密信息/>然后数据提供端发送数据聚合授权信息/>给云服务器，其中，/>是累和盲化因子集，/>表示数据授权凭证，ENC_D表示公钥加密算法ENC将数据分析中心DAC的公开的公钥D作为加密信息时的密钥；

S45.数据提供端接收到重组数据请求信息(DAC,Aux,R_re)后，若数据提供端拒绝将其存储在云服务器上的医疗数据共享给数据分析中心，则数据提供端发送拒绝信息给云服务器；

S46.云服务器接收到数据聚合授权信息RWA_i后，通过验证算法VER和相应数据提供端的签名公钥β_i逐个所有验证数据聚合授权信息RWA_i中签名-加密信息SE_i的有效性；

S47.云服务器分别对每个数据提供端的第一部分密文聚合为第二部分密文聚合为/>以及聚合其对应的签名信息/>

S48.云服务器将所有数据提供端的密文聚合为并计算第l个随机序列值/>组合密文信息/>以及整个签名信息/>其中随机序列下标/>θ表示签名-加密信息SE_i有效的数据提供端数量，/>表示共享聚合密文；

S49.云服务器将响应聚合医疗数据发送给数据分析中心。

优选的，所述S5具体包括以下步骤：

S51.数据分析中心接收到响应聚合医疗数据RAD后计算哈希值

S52.数据分析中心调用验证算法VER和数据提供端的签名公钥β_i来验证签名-加密信息SE_i的有效性，若所有签名-加密信息SE_i均有效，则利用数据分析中心的解密私钥d来获得累和盲化因子集

S53.数据分析中心计算第l个随机序列值并验证所述响应聚合医疗数据是否完整，若所述响应聚合医疗数据完整，则解密所述共享聚合密文/>

S54.伴随着θ个数据提供端的累和盲化因子数据分析中心通过计算来恢复原始医疗数据的最终聚合结果M。

优选的，验证所述响应聚合医疗数据是否完整，包括：

验证第二方程是否成立，若第二方程成立，则表示所述响应聚合医疗数据完整，否则表示所述响应聚合医疗数据不完整；

所述第二方程为：

式中，随机序列下标和/>

优选的，解密所述共享聚合密文的公式为：

式中，1≤i≤n，1≤j≤ω，λ(N)是Carmichael’s函数，以及1/λ(N)是λ(N)在模N的乘法群上的逆元，M^*表示盲化了的聚合医疗数据。

本发明的有益效果是：

(1)本发明基于双陷门解密密码机制提出了一种基于云计算平台的电子医疗数据共享方法，不仅解决了医院海量医疗数据的存储和管理负担，而且可以灵活地聚合多个源的加密医疗数据；

(2)本发明中原始数据上传者和数据接收者可以使用不同的解密私钥来对同一密文进行解密，而能得到相同的解密结果，解决了现有技术中大多数公钥加密密码算法需要事先与数据接收者进行频繁的密钥交换的复杂操作；

(3)本发明通过改进现有的公共云审计机制，设计出一个可重复的随机序列作为审计挑战信息，基于这个挑战信息，云服务器按照既定的数据审计协议来生成包含多源聚合密文的响应审计证明信息，既能检查数据提供端(如医院等)存储在云服务器上的医疗数据是否完整无缺，又能验证聚合共享数据在公开网络环境下传输的完整性；

(4)本发明使用了安全高效的盲化加密技术来过滤病人敏感的身份信息，并将其与先进的签密算法相结合，从而实现了抗密钥泄露的功能，即使数据分析中心多持有的超级私钥被泄露出去，只要对应的数据提供端没有授权指定的医疗数据集，任何对手(包括贪婪的云服务器和腐败的数据分析中心)是无法正确恢复原始医疗数据的最终聚合结果；

(5)本发明方法引入了安全的签名密码技术来设计出了一个实用且公平的具有数据安全授权机制的激励策略，当整个数据共享结束后，真正的数据授权者能从数据分析中获得相应的奖励，而其他人无法获得该奖励，以激励医院等数据提供端积极向数据分析中心提供其所感兴趣的医疗数据，从而满足数据分析中心对科学实验和统计分析的数据量需求；

(6)相较于现有的相关数据聚合方案，本发明的方法在性能方面非常高效，在存储数据的批量验证、云服务器传输聚合共享数据给数据分析中心的通信开销、完整性验证过程的计算成本，以及聚合密文解密计算开销等都是具有明显的性能优势，非常适合部署在具有安全性和效率要求的云辅助电子医疗系统中。

附图说明

图1为本发明中医疗数据存储系统的一个实施例的示意图；

图2为外包云存储医疗数据聚合方法的一个实施例的流程图。

具体实施方式

下面将结合实施例，对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有付出创造性劳动的前提下所获得的所有其他实施例，都属于本发明保护的范围。

参阅图1-图2，本实施例提供了一种具有安全授权和隐私保护的外包云存储医疗数据聚合方法：

所述外包云存储医疗数据聚合方法应用于医疗数据存储系统。如图1所示，所述医疗数据存储系统包括数据提供端、云服务器、数据分析中心和密钥生成中心，所述数据提供端分别与云服务器和密钥生成中心通信连接，所述数据分析中心分别与云服务器和密钥生成中心通信连接。所述数据提供端、云服务器、数据分析中心和密钥生成中心之间的通信连接既可以为有线通信连接，也可以为无线通信连接。所述数据提供端可以为医院、个人等。

如图2所示，所述外包云存储医疗数据聚合方法包括：

S1.根据输入的安全参数确定医疗数据存储系统的参数。

具体的，所述S1具体包括以下步骤：

S11.密钥生成中心接收安全参数κ₁和安全参数κ₂。

S12.密钥生成中心生成一个双线性对群(e,G₁,G_T,ρ,g)←Γ(κ₁)，其中G₁和G_T是两个具有相同素数阶ρ的乘法循环群，g是乘法循环群G₁的一个生成元，e表示一个双线性对映射，且e:G₁×G₁→G_T，Γ表示构造这个双线性对映射e的初始化函数，κ₁且表示输入的密钥参数值。

S13.密钥生成中心选择两个大素数p和q，初始化安全模量N＝p×q，并定义模N²的一个剩余循环群G，剩余循环群G对应的阶Ord(G)＝2Nλ(N)，其中，|p|＝|q|＝κ₁，p＝2p₁+1，q＝2q₁+1，p₁和q₁是两个大素数，λ(N)＝lcm(p-1,q-1)是p-1和q-1的最小公倍数。

S14.密钥生成中心从乘法群中选择一个随机数x，计算随机数x的二次剩余值y←x^2NmodN²，y是随机数x的二次剩余值，同时y也是剩余循环群G上的一个生成元。

S15.密钥生成中心设置一个伪随机函数以及四个散列函数 其中，{0,1}^ι和{0,1}^*为不同长度的二进制比特串，且ι＜＜*；/>表示模ρ的乘法群/>Z_N表示一个剩余类环，/>表示一个乘法群。

S16.密钥生成中心设置一个数字签名-验证算法对(SIG,VER)和一个公钥加减密算法对(ENC,DEC)，SIG是一个安全的数字签名算法，VER是数字签名算法SIG对应的签名验证算法；ENC是一个安全的公钥加密算法，DEC是公钥加密算法ENC所对应的公钥解密算法。

S17.密钥生成中心生成医疗数据存储系统的公共参数Pare＝{e,G₁,G_T,ρ,G,N,y,Pf,h₁,h₂,h₃,h₄}，并设置p-1和q-1的最小公倍数λ(N)为系统的超级密钥。

S2.分别生成数据提供端和数据分析中心的公私密钥对。

一般的，对于新注册的数据提供端和数据分析中心，需要为其生成相应的公私密钥对。

具体的，所述S2具体包括以下步骤：

S21.密钥生成中心从二次剩余乘法群的阶的范围[1,ord(G)]内选择一个值ν_i作为数据提供端的数据解密私钥，并计算对应的解密公钥n是数据提供端的数量。

S22.密钥生成中心从模ρ的乘法群中随机选择一个随机数α_i作为数据提供端的签名私钥，并计算对应的签名公钥/>本步骤中“模ρ”的“模”是数学上的modρ的意思，是行为动词，不是名词代词，本步骤中“模ρ”是“模某xx循环群的素数阶ρ”的一种简略表达方式。

S23.密钥生成中心将数据提供端的全部私钥(ν_i,α_i)发送给数据提供端，并公开数据提供端的全部公钥(V_i,β_i)。

S24.密钥生成中心从模ρ的乘法群中随机选择一个值d作为数据分析中心的私钥，并计算对应的公钥D＝g^d。

S25.密钥生成中心将数据分析中心的私钥d和超级私钥(p,q)发送给数据分析中心，并公开数据分析中心的公钥D。

S3.数据提供端对医疗数据进行盲化处理，对盲化处理后的医疗数据进行加密，然后对加密后的医疗数据进行签名，并将签名后的医疗数据上传服务器进行存储；服务器对接收到的医疗数据进行验证，并在验证通过后存储所述医疗数据。

具体的，所述S3具体包括以下步骤：

S31.数据提供端从模ρ的乘法群中随机选择一个值ε_i作为伪随机函数Pf的密钥种子。

S32.数据提供端从模ρ的乘法群中随机选择一个值作为文件标识符Fname。

S33.数据提供端计算ω个盲化因子其中，1≤i≤n，1≤j≤ω，n是数据提供端的数量，ω表示某数据提供端某科室某一确定的时间范围内就诊的病人人数。盲化因子/>用于盲化关于病人的医疗数据m_ij的敏感信息。

S34.数据提供端通过盲化方程来对医疗数据m_ij进行盲化处理，其中，Z_N是一个剩余类环，/>表示盲化后的医疗数据，/>表示第i医院中的第个j病人的医疗数据m_ij所对应的盲化因子。

S35.数据提供端选择乘法群中的一个随机数γ_ij，并将盲化后的医疗数据/>同态加密为C_ij＝(C_ij1,C_ij2)，其中，第一密文部分/>第二密文部分C_ij表示第i医院中的第个j病人盲化了的医疗数据/>所对应的密文数据。

S36.数据提供端从模ρ的乘法群中随机选择一个值Δ，并为加密后的医疗数据生成对应的签名信息Λ＝h₂(Δ)和δ_ij＝(h₁(Hid_i||j||C_ij1||Aux)，其中，Aux＝(A_ty,A_ti,A_pr)是具体医疗数据的匹配识别信息，A_ty表示具体医疗数据的类型，A_ti表示一个确定的时间期，A_pr表示奖励承诺信息，Hid_i表示数据提供端。

S37.数据提供端将存储数据Ψ＝{Hid_i,C_ij,δ_ij,Λ,Aux}_{1≤j≤ω}上传到服务器进行存储。

S38.云服务器接收到存储数据Ψ后对所述存储数据Ψ进行正确性和完整性验证，若验证通过，则接收并存储本次的存储数据Ψ。

在一个实施例中，对所述存储数据Ψ进行正确性和完整性验证，包括：

验证第一方程是否成立，若第一方程成立，则表示存储数据Ψ进的正确性和完整性验证通过，否则，表示存储数据Ψ进的正确性和完整性验证未通过；

所述第一方程为：

其中，1≤i≤n，1≤j≤ω。

在一个实施例中，云服务器接在所述存储数据Ψ的正确性和完整性验证通过后，响应一个反馈消息给数据提供端来清空数据提供端本地的存储数据Ψ。

在一个实施例中，若所述存储数据Ψ的正确性和完整性验证未通过，则云服务器拒绝接收本次的存储数据Ψ。

S4.云服务器接收来自数据分析中心的数据聚合请求信息，并根据数据聚合请求信息定位一组数据提供端以及生成重组数据请求信息，然后将重组数据请求信息发送给该组数据提供端中的一个或多个数据提供端；数据提供端接收到重组数据请求信息后，若同意将其存储在云服务器上的医疗数据共享给数据分析中心，则生成数据聚合授权信息，并将数据聚合请求信息发送给云服务器；云服务器对接收到的数据聚合授权信息进行验证，并对数据聚合授权信息验证通过的数据提供端的医疗数据进行聚合得到响应聚合医疗数据，然后将响应聚合医疗数据发送给数据分析中心。

具体的，所述S4具体包括以下步骤：

S41.数据分析中心从模ρ的乘法群中选择l个随机序列(μ₁,μ₂…μ_l-1,η)，μ和η都从模ρ的乘法群/>中选择的随机值，也可以将η替换成μ，本实施例只是为了将两者区分和突出功能用处，以及确保密文/>在公开网络中传输过程的安全性与完整性，其需要单独生成第l个随机序列值/>

S42.数据分析中心生成一个数据聚合请求信息Req＝{(R_ar,R_ty,R_ti,R_re),(μ₁,μ₂…μ_l-1,η)}，并将所述数据聚合请求信息Req发送给云服务器，其中，R_ar表示数据请求的具体位置区域，R_ty表示数据请求的具体医疗数据类型，R_ti表示数据请求的数据时间范围，R_re表示提供相应的医疗数据的奖励。

S43.云服务器接收到数据聚合请求信息Req后，根据数据请求的具体位置区域R_ar、数据请求的具体医疗数据类型R_ty、数据请求的数据时间范围R_ti定位一组数据提供端，然后从该组数据提供端中选择个数据提供端，并将重组数据请求信息(DAC,Aux,R_re)分别发送给所选择的数据提供端，DAC表示数据分析中心。

S44.数据提供端接收到重组数据请求信息(DAC,Aux,R_re)后，若数据提供端同意将其存储在云服务器上的医疗数据共享给数据分析中心，则数据提供端从模ρ的乘法群中选择一个一次性的数值π_i来计算签名-加密信息/>然后数据提供端发送数据聚合授权信息/>给云服务器，其中，/>是累和盲化因子集，/>表示数据授权凭证，ENC_D表示公钥加密算法ENC将数据分析中心DAC的公开的公钥D作为加密信息时的密钥。

S45.数据提供端接收到重组数据请求信息(DAC,Aux,R_re)后，若数据提供端拒绝将其存储在云服务器上的医疗数据共享给数据分析中心，则数据提供端发送拒绝信息给云服务器。例如，拒绝信息为“No”。

S46.云服务器接收到数据聚合授权信息RWA_i后，通过验证算法VER和相应数据提供端的签名公钥β_i逐个所有验证数据聚合授权信息RWA_i中签名-加密信息SE_i的有效性。

S47.云服务器分别对每个数据提供端的第一部分密文聚合为第二部分密文聚合为/>以及聚合其对应的签名信息/>

S48.云服务器将所有数据提供端的密文聚合为并计算第l个随机序列值/>组合密文信息/>以及整个签名信息/>其中随机序列下标/>θ表示签名-加密信息SE_i有效的数据提供端数量，/>表示共享聚合密文。

S49.云服务器将响应聚合医疗数据发送给数据分析中心。

S5.数据分析中心对接收到的响应聚合医疗数据进行验证，并在验证通过后对所述响应聚合医疗数据进行解密。

具体的，所述S5具体包括以下步骤：

S51.数据分析中心接收到响应聚合医疗数据RAD后计算哈希值整体/>表示哈希值。

S52.数据分析中心调用验证算法VER和数据提供端的签名公钥β_i来验证签名-加密信息SE_i的有效性，若所有签名-加密信息SE_i均有效，则利用数据分析中心的解密私钥d来获得累和盲化因子集例如，验证签名-加密信息SE_i的有效性时，若所有验证结果均为“True”，则表示所有签名-加密信息SE_i均有效。

在一个实施例中，若至少一个签名-加密信息SE_i无效，则数据分析中心直接中止整个算法步骤并广播出“Error”信息。

S53.数据分析中心计算第l个随机序列值并验证所述响应聚合医疗数据是否完整，若所述响应聚合医疗数据完整，则解密所述共享聚合密文/>

在一个实施例中，若所述响应聚合医疗数据不完整，则数据分析中心中止整个算法步骤，并将审计验证结果设置为“False”。

在一个实施例中，验证所述响应聚合医疗数据是否完整，包括：

验证第二方程是否成立，若第二方程成立，则表示所述响应聚合医疗数据完整，否则表示所述响应聚合医疗数据不完整；

所述第二方程为：

式中，随机序列下标和/>

在一个实施例中，解密所述共享聚合密文的公式为：

式中，1≤i≤n，1≤j≤ω，λ(N)是Carmichael’s函数，以及1/λ(N)是λ(N)在模N的乘法群上的逆元，M^*表示盲化了的聚合医疗数据。

S54.伴随着θ个数据提供端的累和盲化因子数据分析中心通过计算来恢复原始医疗数据的最终聚合结果M。

伴随着θ个数据提供端的累和盲化因子表示一共有θ个数据提供端提供了累和盲化因子集/>数据分析中心再次将这θ个累和盲化因子集再次进行二次累和计算，就得到了这个/>

云服务器批量检查医院上传的存储数据的正确性证明如下：

数据分析中心验证云服务器发送过来的响应聚合医疗数据的正确性证明如下：

数据分析中心解密整个共享聚合密文和恢复原始医疗数据的最终聚合结果M的正确性证明如下：

根据从而能得到盲化了的聚合医疗数据/>最后，数据分析中心通过一个异或操作/>就能恢复出原始医疗数据的最终聚合结果M。

本实施例基于双陷门解密密码机制、改进的公共云审计机制、数据盲化和线性签名技术来共同设计了一个具有安全授权和隐私保护的外包云存储医疗数据聚合方法。双陷门解密密码机制是一个先进的密码算法，不仅实现了算法的语义安全，而且拥有两种不同的解密方法能对同一密文进行解密，得到相同的解密结果。也就是，双陷门解密密码机制确保外包医疗数据的机密性，原始数据拥有者能使用其持有的私钥对存储在云服务器上的对应密文进行解密；数据分析中心能通过超级私钥来恢复原始医疗数据的聚合结果，从而实现数据的统计分析。

为了确保医疗数据上传、存储和共享过程中的完整性，本实施例的方法改进了现有的外包数据完整性验证机制。在数据的上传阶段，一旦接收到医院上传的存储数据，云服务器能以批量验证的方式来对这些存储数据进行验证。在数据的聚合共享阶段，数据分析中心能发送一个可循环利用的审计挑战信息给云服务器。基于这个审计挑战信息，云服务器能响应一个包含多源的聚合密文的审计证明信息给数据分析中心。只有当这些共享的数据被验证是完整无缺的之后，数据分析中心才进行数据的解密与分析。

本实施例的方法将签密技术和盲化过滤技术整合到该基于云辅助的数据聚合方案中，从而提出了一个安全数据认证与授权算法，从而支持抗密钥泄露。即使系统中的超级私钥被数据分析中心泄露，只要没有获得对应医院的聚合数据授权，包括云服务器在内的任何敌手，是无法正确恢复出原始医疗数据的最终聚合结果。此外，本实施例的方法也通过改进现有的线性数字签名技术来提出了一个实用和公平的激励政策来激励医院积极贡献数据分析中心所感兴趣的密文数据集，从而满足数据分析中心进行统计分析和科学研究数据量的要求。

以上所述仅是本发明的优选实施方式，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。

Claims (6)

1.具有安全授权和隐私保护的外包云存储医疗数据聚合方法，应用于医疗数据存储系统，所述医疗数据存储系统包括数据提供端、云服务器、数据分析中心和密钥生成中心，所述数据提供端分别与云服务器和密钥生成中心通信连接，所述数据分析中心分别与云服务器和密钥生成中心通信连接，其特征在于，所述外包云存储医疗数据聚合方法包括：

S1.根据输入的安全参数确定医疗数据存储系统的参数；

S2.分别生成数据提供端和数据分析中心的公私密钥对；

S3.数据提供端对医疗数据进行盲化处理，对盲化处理后的医疗数据进行加密，然后对加密后的医疗数据进行签名，并将签名后的医疗数据上传服务器进行存储；服务器对接收到的医疗数据进行验证，并在验证通过后存储所述医疗数据；

S4.云服务器接收来自数据分析中心的数据聚合请求信息，并根据数据聚合请求信息定位一组数据提供端以及生成重组数据请求信息，然后将重组数据请求信息发送给该组数据提供端中的一个或多个数据提供端；数据提供端接收到重组数据请求信息后，若同意将其存储在云服务器上的医疗数据共享给数据分析中心，则生成数据聚合授权信息，并将数据聚合请求信息发送给云服务器；云服务器对接收到的数据聚合授权信息进行验证，并对数据聚合授权信息验证通过的数据提供端的医疗数据进行聚合得到响应聚合医疗数据，然后将响应聚合医疗数据发送给数据分析中心；

S5.数据分析中心对接收到的响应聚合医疗数据进行验证，并在验证通过后对所述响应聚合医疗数据进行解密；

所述S1具体包括以下步骤：

S11.密钥生成中心接收安全参数κ₁和安全参数κ₂；

S12.密钥生成中心生成一个双线性对群(e,G₁,G_T,ρ,g)←Γ(κ₁)，其中G₁和G_T是两个具有相同素数阶ρ的乘法循环群，g是乘法循环群G₁的一个生成元，e表示一个双线性对映射，且e:G₁×G₁→G_T，Γ表示构造这个双线性对映射e的初始化函数，κ₁且表示输入的密钥参数值；

S13.密钥生成中心选择两个大素数p和q，初始化安全模量N＝p×q，并定义模N²的一个剩余循环群G，剩余循环群G对应的阶Ord(G)＝2Nλ(N)，其中，|p|＝|q|＝κ₁，p＝2p₁+1，q＝2q₁+1，p₁和q₁是两个大素数，λ(N)＝lcm(p-1,q-1)是p-1和q-1的最小公倍数；

S14.密钥生成中心从乘法群中选择一个随机数x，计算随机数x的二次剩余值y←x^2NmodN²，y是随机数x的二次剩余值，同时y也是剩余循环群G上的一个生成元；

S15.密钥生成中心设置一个伪随机函数以及四个散列函数 其中，{0,1}^ι和{0,1}^*为不同长度的二进制比特串，且ι＜＜*；/>表示模ρ的乘法群/>Z_N表示一个剩余类环，/>表示一个乘法群；

S16.密钥生成中心设置一个数字签名-验证算法对(SIG,VER)和一个公钥加减密算法对(ENC,DEC)，SIG是一个数字签名算法，VER是数字签名算法SIG对应的签名验证算法；ENC是一个公钥加密算法，DEC是公钥加密算法ENC所对应的公钥解密算法；

S17.密钥生成中心生成医疗数据存储系统的公共参数Pare＝{e,G₁,G_T,ρ,G,N,y,Pf,h₁,h₂,h₃,h₄}，并设置p-1和q-1的最小公倍数λ(N)为系统的超级密钥；

所述S2具体包括以下步骤：

S21.密钥生成中心从二次剩余乘法群的阶的范围[1,ord(G)]内选择一个值ν_i作为数据提供端的数据解密私钥，并计算对应的解密公钥n是数据提供端的数量；

S22.密钥生成中心从模ρ的乘法群中随机选择一个随机数α_i作为数据提供端的签名私钥，并计算对应的签名公钥/>

S23.密钥生成中心将数据提供端的全部私钥(ν_i,α_i)发送给数据提供端，并公开数据提供端的全部公钥(V_i,β_i)；

S24.密钥生成中心从模ρ的乘法群中随机选择一个值d作为数据分析中心的私钥，并计算对应的公钥D＝g^d；

S25.密钥生成中心将数据分析中心的私钥d和超级私钥(p,q)发送给数据分析中心，并公开数据分析中心的公钥D；

所述S3具体包括以下步骤：

S31.数据提供端从模ρ的乘法群中随机选择一个值ε_i作为伪随机函数Pf的密钥种子；

S32.数据提供端从模ρ的乘法群中随机选择一个值作为文件标识符Fname；

S33.数据提供端计算ω个盲化因子其中，1≤i≤n，1≤j≤ω，n是数据提供端的数量，ω表示某数据提供端某科室某一确定的时间范围内就诊的病人人数；

S34.数据提供端通过盲化方程来对医疗数据m_ij进行盲化处理，其中，Z_N是一个剩余类环，/>表示盲化后的医疗数据，/>表示第i医院中的第个j病人的医疗数据m_ij所对应的盲化因子；

S35.数据提供端选择乘法群中的一个随机数γ_ij，并将盲化后的医疗数据/>同态加密为C_ij＝(C_ij1,C_ij2)，其中，第一密文部分/>第二密文部分C_ij表示第i医院中的第个j病人盲化了的医疗数据/>所对应的密文数据；

S36.数据提供端从模ρ的乘法群中随机选择一个值Δ，并为加密后的医疗数据生成对应的签名信息Λ＝h₂(Δ)和δ_ij＝(h₁(Hid_i||j||C_ij1||Aux)，其中，Aux＝(A_ty,A_ti,A_pr)是具体医疗数据的匹配识别信息，A_ty表示具体医疗数据的类型，A_ti表示一个确定的时间期，A_pr表示奖励承诺信息，Hid_i表示数据提供端；

S37.数据提供端将存储数据Ψ＝{Hid_i,C_ij,δ_ij,Λ,Aux}_{1≤j≤ω}上传到服务器进行存储；

S38.云服务器接收到存储数据Ψ后对所述存储数据Ψ进行正确性和完整性验证，若验证通过，则接收并存储本次的存储数据Ψ；

所述S4具体包括以下步骤：

S41.数据分析中心从模ρ的乘法群中选择l个随机序列(μ₁,μ₂…μ_l-1,η)，μ和η都从模ρ的乘法群/>中选择的随机值；

S42.数据分析中心生成一个数据聚合请求信息Req＝{(R_ar,R_ty,R_ti,R_re),(μ₁,μ₂…μ_l-1,η)}，并将所述数据聚合请求信息Req发送给云服务器，其中，R_ar表示数据请求的具体位置区域，R_ty表示数据请求的具体医疗数据类型，R_ti表示数据请求的数据时间范围，R_re表示提供相应的医疗数据的奖励；

S43.云服务器接收到数据聚合请求信息Req后，根据数据请求的具体位置区域R_ar、数据请求的具体医疗数据类型R_ty、数据请求的数据时间范围R_ti定位一组数据提供端，然后从该组数据提供端中选择个数据提供端，并将重组数据请求信息(DAC,Aux,R_re)分别发送给所选择的数据提供端，DAC表示数据分析中心；

S44.数据提供端接收到重组数据请求信息(DAC,Aux,R_re)后，若数据提供端同意将其存储在云服务器上的医疗数据共享给数据分析中心，则数据提供端从模ρ的乘法群中选择一个一次性的数值π_i来计算签名-加密信息/>然后数据提供端发送数据聚合授权信息/>给云服务器，其中，/>是累和盲化因子集，/>表示数据授权凭证，ENC_D表示公钥加密算法ENC将数据分析中心DAC的公开的公钥D作为加密信息时的密钥；

S45.数据提供端接收到重组数据请求信息(DAC,Aux,R_re)后，若数据提供端拒绝将其存储在云服务器上的医疗数据共享给数据分析中心，则数据提供端发送拒绝信息给云服务器；

S46.云服务器接收到数据聚合授权信息RWA_i后，通过验证算法VER和相应数据提供端的签名公钥β_i逐个所有验证数据聚合授权信息RWA_i中签名-加密信息SE_i的有效性；

S47.云服务器分别对每个数据提供端的第一部分密文聚合为第二部分密文聚合为/>以及聚合其对应的签名信息/>

S48.云服务器将所有数据提供端的密文聚合为并计算第l个随机序列值/>组合密文信息/>以及整个签名信息其中随机序列下标/>θ表示签名-加密信息SE_i有效的数据提供端数量，/>表示共享聚合密文；

S49.云服务器将响应聚合医疗数据发送给数据分析中心。

2.根据权利要求1所述的具有安全授权和隐私保护的外包云存储医疗数据聚合方法，其特征在于，对所述存储数据Ψ进行正确性和完整性验证，包括：

验证第一方程是否成立，若第一方程成立，则表示存储数据Ψ进的正确性和完整性验证通过，否则，表示存储数据Ψ进的正确性和完整性验证未通过；

所述第一方程为：

其中，1≤i≤n，1≤j≤ω。

3.根据权利要求1所述的具有安全授权和隐私保护的外包云存储医疗数据聚合方法，其特征在于，云服务器接在所述存储数据Ψ的正确性和完整性验证通过后，响应一个反馈消息给数据提供端来清空数据提供端本地的存储数据Ψ。

4.根据权利要求1所述的具有安全授权和隐私保护的外包云存储医疗数据聚合方法，其特征在于，所述S5具体包括以下步骤：

S51.数据分析中心接收到响应聚合医疗数据RAD后计算哈希值

S52.数据分析中心调用验证算法VER和数据提供端的签名公钥β_i来验证签名-加密信息SE_i的有效性，若所有签名-加密信息SE_i均有效，则利用数据分析中心的解密私钥d来获得累和盲化因子集

S53.数据分析中心计算第l个随机序列值并验证所述响应聚合医疗数据是否完整，若所述响应聚合医疗数据完整，则解密所述共享聚合密文/>

S54.伴随着θ个数据提供端的累和盲化因子数据分析中心通过计算来恢复原始医疗数据的最终聚合结果M。

5.根据权利要求4所述的具有安全授权和隐私保护的外包云存储医疗数据聚合方法，其特征在于，验证所述响应聚合医疗数据是否完整，包括：

验证第二方程是否成立，若第二方程成立，则表示所述响应聚合医疗数据完整，否则表示所述响应聚合医疗数据不完整；

所述第二方程为：

式中，随机序列下标和/>

6.根据权利要求4所述的具有安全授权和隐私保护的外包云存储医疗数据聚合方法，其特征在于，解密所述共享聚合密文的公式为：

式中，1≤i≤n，1≤j≤ω，λ(N)是Carmichael’s函数，以及1/λ(N)是λ(N)在模N的乘法群上的逆元，M^*表示盲化了的聚合医疗数据。