CN115412259A

CN115412259A - 基于区块链的云健康系统可搜索代理签密方法及产品

Info

Publication number: CN115412259A
Application number: CN202211046323.5A
Authority: CN
Inventors: 陈立全; 刘苏慧; 余宏涛
Original assignee: Southeast University
Current assignee: Southeast University
Priority date: 2022-08-30
Filing date: 2022-08-30
Publication date: 2022-11-29
Anticipated expiration: 2042-08-30
Also published as: CN115412259B

Abstract

本发明公开了一种基于区块链的云健康系统可搜索代理签密方法及产品，首先密钥生成中心生成系统密钥对；患者/医生/用户进行注册，密钥生成中心为其生成身份密钥对、属性密钥、外包解密密钥、验证密钥对、搜索密钥和解密密钥；然后，患者和医生分别作为被代理者和代理者，患者和医生交互生成授权密钥和代理密钥；医生运行签密算法生成第一密文(访问密文)、第二密文(数据密文)和索引；用户生成搜索陷门请求搜索；区块链通过索引和陷门的配对完成搜索，接着云存储根据第一密文进行访问控制，成功访问则对第二密文进行外包解密；最后用户对返回的搜索结果和第二密文进行验证和完全解密，得到明文；区块链还实现身份追踪和用户撤销。

Description

基于区块链的云健康系统可搜索代理签密方法及产品

技术领域

本发明属于信息安全技术领域，具体涉及一种基于区块链的云健康系统可搜索代理签密方法及产品。

背景技术

目前的医疗系统通常以牺牲患者隐私为代价来实现高质量的医疗服务。随着便携式设备(更大的存储空间和更快的处理速度)的广泛应用和患者日益增长的隐私要求，基于云的个人健康记录(PHR)系统受到了学术界和工业界的极大关注。PHR的目的是为个人提供一个平台以管理他们来自不同医院的临床数据，甚至从共享他们的数据中获利，这反过来有助于提供更好的医疗保健服务。显然，实施PHR系统最困难的问题是如何将数据控制权交还给拥有有限存储和计算资源的患者。在大多数相关系统中，患者与医生/医院之间的关系都被忽略或模糊了，它们直接将医院作为数据共享和管理的主体，这与PHR系统的设计初衷背道而驰。此外，公共云存储的广泛部署和采用能够打破医院的限制并将患者的医疗数据整合成一个整体。虽然云存储可以解决患者资源有限和无法管理自己数据的问题，但因为云通常被假设为是半可信的，这种不受患者物理控制的远程存储将不可避免地导致安全和隐私问题。

基于身份的代理签名(IBPS)是一种加密原语，可以实现实体之间对代理的有效授权。然而，很少有工作利用IBPS的潜力来解决PHR系统中的授权问题。大多数情况下，传统的加密算法如高级加密标准(AES)算法可以保证数据的机密性，但无法实现细粒度的数据共享，这意味着数据所有者需要时刻在线响应每一个数据访问请求。因此，这种采用传统加密方法来确保记录机密性的PHR系统无法被广泛采用，它所需的患者开销和不便远远超过了共享数据的回报。

搜索是构建实用PHR共享系统的一个重要功能，将搜索能力赋予云存储服务器是一种简单而直接的方法。然而，基于明文索引的搜索将不可避免地将过多的患者和用户(搜索者)的私人信息暴露给半可信的云服务器，即使患者的医疗数据在上传到云端之前已经被加密。因此，可搜索加密(基于密文的搜索)技术被提出。与对称密钥可搜索加密技术相比，基于公钥的可搜索加密技术类型由于其密钥管理更简单，被认为更适合云存储数据场景。然而，由云服务器执行的搜索不能保证返回的搜索结果的完整性，这意味着云可能会故意返回错误或不完整的结果。此问题出现的本质原因是云服务器的权力过于集中，也就是说，数据存储和搜索都在一个权限内，没有可信的第三方就无法对存储完整性和搜索进行有效的验证和审计。

区块链由于其显着的特性，如分布式、不变性、可追溯性和匿名性，越来越多地应用于安全领域。从技术上讲，根据所有权区分，存在两种类型的区块链，许可区块链(例如Hyperledger Fabric)和无许可区块链(例如Ethereum)。在这两种类型的区块链中，用户向区块链提交交易以读取或写入分布式账本。然后，为了维护账本的一致性，强制执行共识算法。最后，有效交易被打包成块，其中新生成的块与具有哈希值的旧块相关联。这样，在不改变存储在后面块中的哈希值的情况下，就不能改变前面的块。基于此，许多基于区块链的搜索方案被提出并用来保证查询完整性，以解决集中搜索引起的搜索隐私问题。

然而，大多数将区块链与PHR系统集成的现有公开文献仅提供了一个缺乏可用性的概念性平台，因为它们都需要数据所有者的持续在线以完成访问授权，这超过了使用数据共享平台可获得的收益。也有一些文章试图通过采用适当的加密原语(如属性基加密(ABE))来解决此问题，而这些系统中的区块链仅负责执行有限的功能，例如搜索结果的验证或不可变记录。更重要的是，实现真正以患者为中心的PHR共享系统需要妥善、高效地解决来源认证和责任审计。但是目前来看，这方面目前没有发现有效的方法。

发明内容

本发明正是针对现有技术中存在的问题，提供一种基于区块链的云健康系统可搜索代理签密方法及产品，首先密钥生成中心进行系统初始化，生成系统密钥对；然后患者、医生和用户进行注册，密钥生成中心为其生成身份密钥对、属性密钥、外包解密密钥、验证密钥对、搜索密钥和解密密钥；实施代理签名前，患者(被代理者)和医生(代理者)交互生成授权密钥和代理密钥；医生(代理者)运行签密算法生成第一密文(访问密文)、第二密文(数据密文)和索引；搜索前，用户生成搜索陷门；在搜索时，区块链首先通过索引和陷门的配对完成搜索，接着云存储使用第一密文器运行访问控制，若成功访问则对第二密文进行外包解密；随后，用户对返回的搜索结果和第二密文进行验证和完全解密，得到明文；此外，区块链还可实现身份追踪和用户撤销。此发明通过将IBPS、ABE与区块链相结合来同时解决PHR系统中访问授权和搜索结果不可验证这两个难题，同时支持身份授权签名和可信的搜索。为了实现上述目的，本发明采取的技术方案是：基于区块链的云健康系统可搜索代理签密方法，包括如下步骤：

S1，系统初始化：密钥生成中心生成系统密钥对，公开系统公钥，保密系统私钥；所述系统密钥对(MPK,MSK)的表达式如下：

MPK＝(G,G_T,p,e,g,H₁,H₂,H₃,H₄,H₅,g^α,g^β,e(g,g)^γ,g^c)

MSK＝(α,β,g^γ,c)。

其中，G和G_T为阶数是大素数p的乘法群，g为G的生成元；e为对称双线性映射，e:G×G→G_T；H₁,H₂,H₃,H₄,H₅为抗碰撞哈希函数；α,β,γ,c为从群

中随机选取的随机值，群

为模p的整数组成的群；

S2，用户注册：密钥生成中心为患者/医生/用户生成一对身份密钥，随后将身份公钥公开在区块链中，将身份私钥秘密地返回给患者/医生/用户；所述身份密钥对的表达式为：

IPK_x＝H₁(GID_x),ISK_x＝IPK^α；

其中，IPK_x为身份公钥；ISK_x为身份私钥；GID_x为用户身份号；

S3，密钥生成：患者/医生/用户与密钥生成中心交互生成属性密钥、验证密钥、外包解密密钥、搜索密钥和解密密钥，其中，搜索密钥存储在区块链中，外包解密密钥由云存储器持有，而验证公钥公开，验证私钥和解密密钥由患者/医生/用户保密；

S4，代理授权：患者和医生分别作为被代理者和代理者，交互生成授权密钥和代理密钥，医生掌握可用于签名的代理密钥；

S5，签密：医生使用代理密钥对明文进行签密生成第一密文和第二密文，并根据关键词集合生成搜索索引；所述第一密文和第二密文存在云存储器中，索引存在区块链中；

S6，陷门生成：用户根据关键词集合生成搜索陷门，随后将陷门发送到云存储器；所述陷门的表达式为：

其中，KwS_tp＝{kw′₁,...,kw′_m}是包含m关键词集合，k为关键词循环的下标，已知索引中的关键词集合包含n个关键词，j是与索引关键词集合中对应的关键词循环下标；

S7，搜索、访问和外包解密：区块链首先通过索引和陷门的配对完成搜索，接着云存储器运行访问控制，若成功访问则对第一密文进行外包解密，将解密结果和对应的第二密文返回给用户；所述区块链完成索引和陷门的配对的公式为：

其中，(IX₁,IX₂,IX_i)是索引，SchK是搜索密钥；

所述云存储器完成访问控制和外包解密的公式为：

其中，I＝{i:ρ(i)∈AtS}满足∑_i∈Iw_iλ_i＝s，(C_i,C′_i)是第一密文，(ODK₁,ODK_ρ(i))是外包解密密钥；

S8，验证和完全解密：用户对返回结果进行验证，通过后执行完全解密得到明文。

作为本发明的一种改进，还包括步骤S9，追踪和撤销：患者或第三方向区块链发起追踪请求，输入为身份信息和对应的密文，区块链使用追踪公式完成签名验证，输出对应的身份信息；若发现用户过期或违法，执行进一步的用户撤销，即为将对应用户在区块链和云存储器中的搜索密钥和外包解密密钥标记为无效。

为了实现上述目的，本发明还采取的技术方案是：基于区块链的云健康系统可搜索代理签密产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述方法的步骤。

与现有技术相比，本发明的技术优势在于：

(1)为同时保证数据的机密性和认证，设计了一种结合IBPS和ABE的签密方案，命名为BC-SPSC。其中，IBPS实现真正以患者为中心的数据管理和共享，ABE实现细粒度的访问控制，避免数据所有者繁琐的授权。

(2)通过用户协助的密钥生成，实现抗密钥托管的方案。此外，该方案通过外包解密实现高效的用户解密。

(3)BC-SPSC方案可实现区块链支持的多关键字搜索，其中所有用户都可以通过区块链实现基于关键字的搜索，相对的，云存储器仅为满足访问控制结构的用户进行外包解密。

(4)该方案基于区块链中存储的数据的不可篡改性和智能合约的自动执行，避免了恶意云服务器导致的搜索结果不完整，从而削弱了云存储中心的权力。

(5)本案方法可通过区块链基于代理签名实现身份追踪和用户级撤销，更加符合实际需求。

附图说明

图1是本发明方法的系统框架图；

图2是本发明方法的流程步骤图。

具体实施方式

下面结合附图和具体实施方式，进一步阐明本发明，应理解下述具体实施方式仅用于说明本发明而不用于限制本发明的范围。

实施例1

本方案中的符号及其定义如表1所示：

表1

符号	定义
		κ	安全参数
G,G<sub>T</sub>(p)	阶数为p的乘法群
		g	群G的生成元
MPK,MSK	系统公私钥对
		H<sub>1</sub>-H<sub>5</sub>	五个抗碰撞哈希函数
GID	用户身份号
		IPK<sub>x</sub>,ISK<sub>x</sub>	用户身份密钥对
PxFl	代理授权文件
		AxSt＝(M,ρ)	访问控制结构
PK,PxK	授权密钥、代理密钥
		AtS	用户属性集合
SchK/SchK′	搜索密钥
		AKP	用户属性密钥
ODK、DK	外包解密密钥、解密密钥
		VK＝(VPK，VSK)	用户验证密钥对
OCT、CT	第一密文，第二密文
		IX	搜索索引
Trpd	搜索陷门
		KwS<sub>ix</sub>,KwS<sub>tp</sub>	用于索引构建和陷门构建的关键词集合
MdFl	医疗文件(明文)
		Rst<sub>d</sub>,Rst<sub>v</sub>	外包解密结果、签名验证结果

如图1所示，本发明提出的基于区块链的云健康系统可搜索代理签密方法，包括六个参与者：

(1)密钥生成中心(KGC)是一个可信服务器，负责初始化系统并生成用户身份密钥、搜索密钥和解密密钥。

(2)患者(被代理者)可以使用其身份密钥将授权文件包括访问结构代理给医生(代理者)。

(3)医生(代理者)负责将数据签密，生成密文和搜索索引。另一方面，医生在需要访问患者的历史医疗数据时充当用户。

(4)云存储器(CS)是一个半可信(可以获取访问结构和用户属性集而不是明文)服务器，其中存储了密文的属性结构相关部分，用于判断用户是否可以访问密文。此外，CS负责管理用户的外解密密钥，完成第一模式的撤销用户。

(5)许可区块链分为核心部分和边缘部分。核心部分由属于多家医院的资源丰富的计算服务器组成，它们负责执行智能合约并通过共识维护账本的一致性。边缘部分是患者、医生和用户，他们可以提出交易来触发智能合约，包括存储合约、搜索合约和追踪合约。

(6)用户是希望访问数据的参与者，他们使用陷门进行搜索请求和外包解密请求。

图2展示了整个方案的数据交互过程，基于区块链的云健康系统可搜索代理签密方法，具体实施步骤描述如下：

步骤S1：系统初始化。输入为一个安全参数κ，KGC执行以下步骤：

(1.1)选择两个阶为p的乘法循环群G,G_T和一个双线性配对e:G×G→G_T。g是群G的生成元。

(1.2)选择五个抗碰撞哈希函数：H₁:{0,1}^*→G,

H₃:G_T→{0,1}^*,

(1.3)随机选择四个元素

然后计算系统公私钥对如下：

MPK＝(G,G_T,p,e,g,H₁,H₂,H₃,H₄,H₅,g^α,g^β,e(g,g)^γ,g^c)

MSK＝(α,β,g^γ,c)。

步骤S2：用户注册。KGC为持有身份号GID_x的患者/医生/用户生成一对身份密钥；随后将身份公钥公开在区块链中，而将身份私钥秘密地返回给患者/医生/用户；身份密钥对的表达式为：

IPK_x＝H₁(GID_x),ISK_x＝IPK^α；

步骤S3：密钥生成。持有身份号CID_x的患者/医生/用户与KGC交互，生成属性密钥、验证密钥、外包解密密钥、搜索密钥和解密密钥，具体步骤如下：

S31：KGC根据属性集合AtS生成如下属性密钥，随后将属性密钥返回患者/医生/用户，KGC随机选择参数

计算：

S32:持有身份号GID_x的患者/医生/用户随机选择参数

使用自己的身份私钥ISK_s来计算外包解密密钥和验证密钥对：

VK＝[VSK₁＝z,VSK₂＝g^t·z,VPK₁＝g^z,

随后，持有身份号GID_x的患者/医生/用户将ODK和验证公钥VPK发送给KGC，同时将ODK发送到云存储器中。

S33:KGC计算t′＝H₄(VPK₁||GID_x||ODK₁||{ODK_i})来验证以下等式是否成立：

e(g,VPK₂)＝e(g^α,H₁(GID_x)^t′)·e(g^α,VPK₁).

如果验证通过，KGC为用户生成解密密钥和搜索密钥如下：

DK＝g^z·γ·g^z·c·t,

随后KGC将搜索密钥存在区块链中，将DK通过秘密信道返回给用户。

其中，SchK是搜索模式一中的搜索密钥，SchK′是搜索模式二中的搜索密钥。

步骤S4：代理授权。此步骤需要患者(被代理者)和医生(代理者)交互，具体计算过程如下：

S41:身份号为GID_a的患者(被代理者)，指定一个授权代理文件PxFl和一个访问结构AxSt＝(M,ρ),然后，患者随机选择参数

使用自己的身份私钥计算授权密钥如下：

患者将(PxFl,AxSt,PK)发送给代理者。

S42:身份号为GID_p的医生(代理者)验证以下等式是否成立：

如果验证通过，医生(代理者)使用自己的身份私钥计算代理密钥如下：

步骤S5：签密。医生(代理者)根据访问结构AxSt＝(M,ρ)对医疗数据MdFl＝{0,1}^*进行签密以保证数据机密性和完整性，其中M是一个访问矩阵，M_i是访问矩阵的第i行,ρ是对应的映射函数。具体实施步骤如下：

S51：医生(代理者)随机选择对称加密密钥SyK∈G_T，计算下列参数：

s＝H₂(SyK,MdFl),

C₀＝g^s,C₁＝SyK·e(g,g)^γ·s,

S52：医生(代理者)随机选择一组数v₂,...,v_l构成向量

对访问矩阵的每一行M_i，计算

随后，医生(代理者)随机选择一组数{d_i}来计算密文如下：

S53：根据时间戳T，医生(代理者)使用代理密钥计算签名如下：

σ₁＝H₂(e(g,ISK_p)^s,C₀||C₁||C₂||T),

S54：根据关键词集合KwS_ix＝{kw₁,...,kw_n}生成搜索索引。首先医生(代理者)随机选择参数

构建多项式如下：

f(x)＝a(x-H₄(kw₁))(x-H₄(kw₂))…(x-H₄(kw_n))+b

＝a_nxⁿ+a_n-1x^n-1+...+a₁x+a₀

然后，医生(代理者)计算搜索索引如下：

最终，第一密文

和第二密文CT＝[C₀,C₁,C₂,σ₁,σ₂],存在云存储器中，索引Ix＝[IX₁,IX₂,{IX_i}_i∈[0,n]]存在区块链中。

步骤S6:陷门生成。用户根据关键词集合KwS_tp＝{kw′₁,...,kw′_m}生成搜索陷门如下：

最后用户将搜索陷门发送到云服务器。

步骤S7:搜索、访问和外包解密。所述步骤进一步包括：

S71，区块链搜索：智能合约计算下列等式进行搜索索引和搜索陷门的配对：

结果被返回到云存储器。

S72，云存储器执行访问控制和外包解密。

云存储器根据存储在其中的用户外包解密密钥中的属性集合AtS，判断此集合是否满足第一密文中的访问结构。若不满足，返回访问拒绝；若满足，执行外包解密如下：

云存储器找到一组常数I＝{i:ρ(i)∈AtS}满足∑_i∈Iw_iλ_i＝s，计算如下外包解密结果：

最终，搜索结果及对应的第二密文被返回给用户。

步骤S8：验证和完全解密。用户执行以下操作对签名和外包解密结果进行验证，并执行完全解密得到明文。

首先，签名验证。根据身份信息，用户判计算下述验证结果：

随后，用户将上述结果带入下式，判断是否成立：

σ₁＝H₂(Rst_v,C₀||C₁||C₂||T).

若成立，验证通过，用户继续执行解密。

用户通过下式计算对称解密密钥：

然后使用此密钥完全解密得到明文：

最后，计算s＝H₂(SyK.MdFl)并带入下述两个等式，判断外包解密结果的正确性：

C₁＝SyK·(e(g,g)^γ)^s,Rst_d＝e(g^c,VSK_s)^s

若正确，用户接受解密得到的明文MdFl。

步骤S9：追踪和用户撤销。

S91：追踪。患者(数据拥有者)或第三方向区块链发起追踪请求。输入为身份信息和对应密文。区块链使用追踪公式对应密文中的签名部分进行签名验证，追踪公式与上述签名验证公式相同，可以验证签名的代理者和被代理者的身份。

S92：若追踪到的用户存在过期或违法行为，区块链首先将此用户对应的搜索密钥标记为无效。同时，区块链向云存储器发送撤销请求。云服务器会将对应用户在云存储器中的外包解密密钥标记为无效。随后，当此用户申请搜索和外包解密时，会被云存储器和区块链拒绝。

基于区块链的云健康系统可搜索代理签密方法，通过结合基于身份的代理签名和属性基加密，同时保证数据机密性和可靠性；进一步的，此方案基于区块链协助技术，实现了多关键字搜索和身份追踪；此外，特殊的密钥生成方式不仅满足抗密钥托管，还实现了高效的用户解密。

需要说明的是，以上内容仅仅说明了本发明的技术思想，不能以此限定本发明的保护范围，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰均落入本发明权利要求书的保护范围之内。

Claims

1.基于区块链的云健康系统可搜索代理签密方法，其特征在于：包括如下步骤：

MPK＝(G,G_T,p,e,g,H₁,H₂,H₃,H₄,H₅,g^α,g^β,e(g,g)^γ,g^c)

MSK＝(α,β,g^γ,c)

中随机选取的随机值，群

为模p的整数组成的群；

IPK_x＝H₁(GID_x),ISK_x＝IPK^α；

S6，陷门生成：用户根据关键词集合生成搜索陷门，随后将陷门发送到云存储器；所述陷门Trpd的表达式为：

其中，KwS_tp＝{kw′₁,...,kw′_m}是包含m个关键词的集合，k为关键词循环的下标，已知索引中的关键词集合包含n个关键词，j是与索引关键词集合中对应的关键词循环下标；

S7，搜索、访问和外包解密：区块链首先通过索引和陷门的配对完成搜索，接着云存储器运行访问控制，若成功访问则对第一密文进行外包解密，将解密结果Rst_d和对应的第二密文返回给用户；所述区块链完成索引和陷门的配对的公式为：

其中，(IX₁,IX₂,IX_i)是索引，SchK是搜索密钥；

所述云存储器完成访问控制和外包解密的公式为：

2.如权利要求1所述的基于区块链的云健康系统可搜索代理签密方法，其特征在于：还包括步骤S9追踪和撤销，患者或第三方向区块链发起追踪请求，输入为身份信息和对应的密文；区块链使用追踪公式完成签名验证，输出对应的身份信息；若发现用户过期或违法，执行进一步的用户撤销，即为将对应用户在区块链和云存储器中的搜索密钥和外包解密密钥标记为无效。

3.如权利要求1或2所述的基于区块链的云健康系统可搜索代理签密方法，其特征在于：所述步骤S3进一步包括：

S31,属性密钥生成：密钥生成中心根据患者/医生/用户的属性集合AtS生成属性密钥AKP，并将属性密钥AKP并发送给患者/医生/用户；所述属性密钥AKP表达式如下：