区块链智能医疗访问控制与隐私保护

沙特国王大学学报基于区块链的分散式基于属性的访问控制，具有智能医疗的张英辉a，b，c，魏宣妮a，c，曹金d，宁建亭b，e，应作斌f，郑东a，gaXi邮电大学网络空间安全学院b福建师范大学网络安全与密码学福建省重点实验室，福州350007cXi邮电大学无线安全国家工程实验室d西安电子科技大学网络工程学院，西安e中国科学院信息工程研究所信息安全国家重点实验室，北京100093f澳门城市大学数据科学学院，中国澳门g北京威斯顿密码学研究中心，北京100070阿提奇莱因福奥文章历史记录：2022年5月31日收到2022年7月16日修订2022年8月14日接受2022年8月20日在线提供保留字：智能医疗门禁基于属性的加密在线-离线加密公平支付A B S T R A C T随着边缘计算技术的快速发展，智能医疗通过实时收集和分析健康数据，显著改善了人们的生活。然而，安全和隐私问题阻碍了智能医疗系统（SHS）的广泛部署。大多数现有的解决方案仍然存在计算效率和用户隐私方面的缺点。在本文中，区块链使能的基于属性的访问控制方案与隐藏的政策，提出了SHS。该方案引入多个权威机构，以避免单点故障。特别是在线-离线加密模式通过将计算任务转移到用户空闲时间来减轻用户的在线计算负担，策略隐藏保护了用户的敏感信息。此外，基于区块链和智能合约实现公平支付，以支持用户和移动边缘计算服务器之间的解密外包。最后，在随机预言机模型下证明了该方案的安全性，实验结果表明该方案计算效率高，可用于边缘计算环境.版权所有©2022作者。由爱思唯尔公司出版代表沙特国王大学这是一个开放的访问CC BY许可下的文章（http://creativecommons.org/licenses/by/4.0/）。1. 介绍近年来，随着COVID-19疫情的持续蔓延和慢性病的流行，人们的健康受到广泛关注。在现实生活中，有大量的电子健康档案（EHR），可以作为重要的医疗资源共享。这种包含患者敏感信息的医疗数据的传输不仅需要通过可靠的网络环境，但也需要一对多的共享机制。也就是说，患者将他们的EHR上传到云端进行存储和共享，医学研究人员可以获得*通讯作者：Xi电子邮件地址：weixuanni_123@163.com（X. Wei）。沙特国王大学负责同行审查从云端获取EHR，以制定下一个治疗计划。然而，这种传统的医疗数据共享系统（Alshehri等人，2012; Zhang等人，2018年; Rana和Mishra，2020年）面临以下未解决的问题：（1）如何灵活地访问密文数据并保护用户的隐私。（2）在现实生活中，资源受限的终端设备大多不能执行昂贵的解密操作。(3)半可信云服务器可能会产生一些恶意行为来获取利益。（4）如果在短时间内将海量数据发送到云服务器，可能会造成网络延迟甚至云服务器瘫痪。大多数现有的医疗数据共享方案采用具有细粒度访问控制的基于属 性 的 加 密 （ Sahai 和 Waters ， 2005; Xu 等 人 ， 2019; Wang 和Song，2018），与多个用户共享EHR。ABE将用户的秘密密钥和密文分别与一组属性和访问策略相关联只有当用户的密钥与密文的访问策略匹配时，用户才能成功解密密文ABE分为密文策略ABE（CP-ABE）和密钥策略ABE（KP-ABE）（Goyal等人， 2006年）。本文主要讨论了密文策略与用户属性相关联的CP-ABE 图1显示传统https://doi.org/10.1016/j.jksuci.2022.08.0151319-1578/©2022作者。由Elsevier B.V.代表沙特国王大学出版。这是CC BY许可下的开放获取文章（http://creativecommons.org/licenses/by/4.0/）。制作和主办：Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.comY. Zhang，X. Wei，J. Cao等人沙特国王大学学报8351Fig. 1. 基于传统CP-ABE的EHR共享系统。基于CP-ABE的电子病历共享系统如果使用传统的CP-ABE对患者的EHR进行加密，则包括云服务器在内的这可以推断患者可能患有心脏病，这是无法忍受的。因此，迫切需要设计一种具有策略隐藏的CP-ABE方案来保护患者的敏感信息。此外，ABE涉及大量的配对和指数运算，导致巨大的计算负担。因此，之前的很多作品都将大量的解密操作外包给云服务器，让计算能力有限的用户独自完成解密（Li et al. 2017年;Li等人，2018; Premkamal等人，2019; Sethi等人， 2021年）。但这会导致一个问题，一旦云中心被恶意攻击或因负载过大而瘫痪，将造成无法挽回的损失。为了解决这个问题，学者们将重点放在边缘计算上（Maoet al.，2017年; Xu等人，2019年; Yang等人，2022; Zhang等人， 2018年）。通过将计算任务外包给部署在终端设备附近的移动边缘计算作为边缘计算的重要应用，非常适合医疗、智能家居、交通等数据共享场景图2示出了“云-边缘-终端”架构的一般形式此外，在现如今的现收现付的网络环境下，MEC服务器在提供计算服务的同时也要收取相应的服务费，用户在收到正确的结果后也要支付服务费。但我们必须考虑的是，MEC服务器是半信任的。例如，它可能会恶意删除数据以节省存储空间，与非法用户勾结生成虚假数据等。同样，恶意用户在声称不正确后试图获得目标结果，从而避免为服务付费。所有这些现象都导致了“薪酬不公”。区块链3.0中智能合约的引入（Maesa和Mori，2020）为使用区块链技术解决MEC服务器和用户之间的不信任问题提供了新的智能合约（Nakamoto，2008）是一种自动执行的合约，使用计算机语言而不是法律语言来记录条款。智能合约具有开放性、透明性、不变性和自动执行等优点，越来越多地实现了买卖双方之间的价值转移，因此引入智能合约是明智之举。为了解决上述问题，实现SHS中更安全、更高效的数据访问控制，我们构造了一个基于区块链的可支付多授权ABE方案，表示为PMA-OD-ABE。PMA-OD-ABE是完全安全和高效的。本文的主要贡献如下：将基于属性的加密技术与区块链技术相结合，构建了一个基于区块链的可支付多授权ABE方案，该方案具有外包解密功能，适用于边缘计算环境下的SHS。在加密阶段，采用线上-离线加密技术，用户只需进行少量的计算操作就可以生成最终密文，大大提高了加密效率。我们引入区块链来存储公共参数，以减少系统中其他实体的在线时间，提高系统的效率。特别是，智能合约在MEC服务器和用户之间实现公平支付，而无需第三方可信实体。本文件的结构安排----本文件其余部分的结构安排如下。在第2节中，我们回顾了以前的工作。在第3节中简要介绍了构造该方案的一些有用工具。在第四节中，我们描述了系统模型和设计目标的PMA-OD-ABE计划。的细节●●●Y. Zhang，X. Wei，J. Cao等人沙特国王大学学报8352×！图二. The ‘‘cloud-edge-terminal”方案见第5节。 在第六节中，我们分析了该方案的安全性。在第7节中，我们介绍了性能评价。最后，在第8中作了总结。2. 相关工作2.1. 基于属性的加密Bethencourt等人 （Bethencourt等人， 2007年首次提出了CP-ABE方案，该方案结合了数据加密和基于双线性对的访问控制，支持正负属性和阈值访问结构。从那时起，ABE因其灵活的特性而被广泛应用于智能医疗环境中（Liang和Susilo，2015; Sun等人， 2020年）。Lai等人 （Lai等人， 2012）提出了一种基于共享矩阵的ABE方案，该方案可以部分隐藏用户属性，并证明了该方案是完全安全的。为了更好地保护用户 （Zhang等人， 2019）为智能医疗系统设计了一种支持大属性域的隐藏策略ABE方案，同时实现了快速解密。上述解决方案都使用单个授权中心来为系统生成密钥并管理属性，这可能导致单点故障问题。因此，Lewko et al. （Lewko等人， 2011）提出了一种分布式CP-ABE方案，其中每个属性权威独立地操作而不相互影响。Horvath（Horváth，2015）在该方案中实现了基于身份的Wang等人（Wang等人，2016）在方案中考虑了密钥托管问题，增强了属性表达能力。Malluhi等人 （Malluhi等人， 2019）提出了一种适用于轻量级设备的密文长度优化的ABE方案，但该方案无法抵御用户合谋攻击。Zhang等人（Zhang等人，2018）提出了一种隐私感知的智能健康（S-Health）访问控制系统，并支持有效的解密测试。Wu等人（Wu等人，2019）提出了一种白盒可追溯性和隐私保护ABE方案。Belguith等人（Belguith等人，2018）提出了一种基于（Lewko等人，2011），可以同时实现策略隐藏和抵抗用户合谋攻击。2.2. 公平支付云计算中的公平支付问题已经在许多方案中得到了广泛的研究（Wang等人，2020; Huang等人，2018年; Chen等人，2012; Li等人，2021; Dorsala等人， 2020年）。Zhang等人（Zhang等人，2018）首次提出了一种基于区块链的云计算外包服务公平支付方案，但由于该方案需要将Mer- kle树中相邻节点的值返回给工人，因此无法实现完全的鲁棒公平。在Lin等人的方案中（Lin等人，2020年），提出了一种基于双线性对的安全外包解决方案，该解决方案引入了区块链和智能合约，以支持计算提供商和用户之间的公平支付。Cui等人（Cui等人，2020）设计了一种用于函数加密的即付即用外包解密方案，该方案允许任何人检查由不可信的第三方提供的外包计算任务的答案的正确性。Yuan等人 （Yuan等人， 2020）提出了一个基于区块链的公共审计计划，不需要第三方审计师。3. 技术资料3.1. 对称双线性对对两个同阶素数p的乘法群G，GT，给出了一个双线性映射e：GGG T称为对称双线性对，如果它满足以下三个条件：Y. Zhang，X. Wei，J. Cao等人沙特国王大学学报8353.- 是的Σ×！.ΣP2ð Þ ðÞnp- 对于任何a;b2Zωp，例如a;gbe- 不等式eg;g-1- 集团业务G E：GGG T是有效可计算的。1) GA：全局权威GA，完全可信，负责为系统生成全局公共参数。2) AA：每个属性权限AAg负责生成我们称之为条款。对称双线性对公钥和私钥对。然后它存储公众参数，并且主密钥由AAg存储。当其他实体需要public参数时，3.2. 线性秘密共享方案本文采用LSSS接入结构。对于U上的每个访问结构，其中U是属性集，存在具有l行和n列的矩阵Al×n对于所有i1; 2;··· ;l，我们设一个映射函数q将每一行映射到U中的属性Ai。当我们想到分享的秘密s，我们考虑的！v/s;v;· · ·;v/T 是一个共享向量，其中s2z是秘密访问区块链以获得它。此外，AAg基于每个用户的属性为他们生成密钥3) CSP：CSP存储MEC服务器上传的长期密文。4) DO：DO拥有并管理EHR。为了与DU共享数据验证参数被传递给智能合约，等待验证解密的密码是正确的。DO可以是患者或医院和v2;· · ·;v n2Zp随机选择。然后是啊！v1是秘密s的份额。每个份额ki对应对于属性qi。我们通常称之为访问策略Al×n;q。它示于（Lewko et al.，2011），每一个LSSS方案必须满足线性重构的要求。假设S是一组授权的属性和I1; 2;···;l can被定义为I^fi：q^i^2Sg，则在Zp存在系数fxigi2I如果fkigi2I是任何秘密s的有效份额，则可以使等式i2Ixiki¼s成立。对于未经授权的属性集，不存在此类系数4. 系统模型和设计目标4.1. 系统模型该系统模型包含七个实体：全球权威（GA），属性权威（AA），云服务提供商（CSP），数据所有者（DO），数据用户（DU），移动边缘计算服务器（MEC Server）和区块链。 系统模型如图所示。3.第三章。代表病人管理电子病历民政事务专员负责制订加密电子健康记录的查阅政策5) DU：DU是EHR的用户，可能是医学研究人员或医生，其使用全局标识符（GID）从AA g安全地获得与其属性相关联的密钥。为了从MEC服务器访问加密的EHR， DU还负责生成用于辅助解密的转换密钥。6) MEC服务器：MEC服务器充当用户和云服务器之间的桥梁。当它收到密文时在EHR中，判断密文是长期密文还是短期密文。如果是长期密文，MEC服务器将密文上传到云服务器，以减少本地负载。当DU请求密文时，MEC服务器首先确定密文是否存储在本地。如果没有，它向CSP请求长期密文，CSP返回它。否则，MEC服务器执行辅助解密。图三. 拟议计划的框架。Y. Zhang，X. Wei，J. Cao等人沙特国王大学学报835427) Blockchain：AAg将公共参数存储在区块链上，供每个实体获取。DO还将验证参数上传到区块链。在这里，智能合约扮演着验证和支付的角色。4.2. 安全假设和设计目标在我们的系统中，每个AAg都是诚实和好奇的。除了创建一组可以一起引用的初始参数之外，不需要在不同的AAg因此，我们系统中的每个AAg一套协议DO可以诚实地将EHR上传到MEC服务器。MEC服务器是半可信的，即MEC服务器严格遵循协议，但它可以主动或被动地获取一些未经授权的信息。DU是恶意实体，例如，不满足访问结构的不同用户可能试图合谋非法访问数据。PMA-OD-ABE方案的设计目标如下：1) 数据的机密性：只有授权用户可以成功-完全访问数据。此外，区块链的不变性确保了公共参数的机密性2) 反用户非法勾结：用户的GID与自己的各种属性绑定，在解密阶段无法与其他用户的属性成功结合。3) 多权威ABE：我们的系统采用多个属性权威，其中每个AAg完全独立地运行，并且某些属性权威的腐败不会影响其他诚实的属性权威。4) 低计算和通信开销：该方案应确保低计算和通信开销，以尽可能满足资源受限设备的要求。5) 公平支付：如果外包数据没有正确解密，MEC服务器不应该获得服务费，同样，用户在5. 支持区块链的可支付多机构ABE，具有外包解密功能5.1. 概述我们的PMA-OD-ABE方案的建议借鉴了Lewko等人（Lewko等人，2011），借用他们的想法，使用GID将用户的各种属性联系在一起，以抵抗来自不同用户的共谋攻击。此外，PMA-OD-ABE还引入了在线-离线加密技术和外包解密技术。通过将加密和解密阶段中最昂贵的计算安全地委托给空闲设备和MEC服务器来提高效率。同时，该计划确保用户的隐私保护和外包服务的公平支付。5.2. PMA-OD-ABE的设计细节我们的方案具体由以下五个阶段组成，该方案的总体概述如图所示。 四、1) 系统初始化● GlobalS e.一千块！PP：首先选择素数阶的乘法群G和GT，生成元g，一个双线性映射e：G×G！GT，安全参数k。此外，还设计了两个防碰撞哈希函数H：f0;1gω！ G，H0：f0;1gω！Zωp发表了。最后，算法随机选取lG，输出公共参数PP1/4。G;GT;g;p;e;l;H;H0。● 用户设置：每 个 进 入 系 统 的 用 户 将 从 遗 传 算 法 中 获 得 一 个 全 局 标 识 符GIDu_GIDu_2f_0：1gω_1，这将唯一地标识用户值得注意的是，GIDu是公开的。见图4。 该计划的一般概述。Y. Zhang，X. Wei，J. Cao等人沙特国王大学学报8355ðÞ.Σ.Σ.Σ¼ðÞð޼𷷷ÞPKgeg;gbi;gi;gg;MSKg¼fbi;aigi2SAAg ;fg● 离线.加密PP;PKg！IC：;;;i2Sg;u;;;我我ii2U×！;;i2X二、L ;1个;;LðÞ● AuthoritySetup权限设置PKg;MSKg：每个属性权限AAg，其中g2 f1; 2;···;ng和n是所有权限的数量，将使用公共参数PP执行-此外，DO选择随机ci2Zωp，i2f1;2;· · ·;1g，并计算密文为：h<$ga;Ce<$lH0μM;C0<$M·e<$g;gs;Cij<$ICqij<$j<$1;2;3g;Ci4启动AuthoritySetup算法。同时，每AAg管理一组属性SAAg。对于这个作者的每一个属性i1/4ki-k0qi;Ci;51/4xi-x0qi;;;AAg随机选择ai;bi2Zωn和fg2Zωn。最后，AAGCOM-puts如下：最后的密文是：CT ¼。h;C0;Ci;1;Ci;2;Ci;3;Ci;4;Ci;5;C i;2f1;2;···;1g.接下来，DO将密文CT和Ce上传到MEC服务器，并且. 不，不，不 。Σi2SAAgblockcha inrespectivel y. Ce将存储在区块链中，返回其地址Addm.最后，l;加上m 将被送到真理之家，加密智能合约（VSC）作为验证参数。公钥PKg可以存储在区块链上，主密钥MSKg可以自己保存。2) 加密为了减少客户端的在线时间，有限资源的DO使用在线-离线加密技术。DO在空闲时间执行复杂的计算，如取幂和配对加密过程如图所示。 五、3) 秘密密钥生成● KeyGen。DU. PP; PKg; Su; GID u= AAg。PKg; MSKg加油！SKg;u：当一个新用户想要访问数据时，他应该首先选择一个拥有属性Sg的相关权威机构AAg。然后用户发送GIDu和一组属性SU到AAg以获得相应的密钥。 Sg;u; Sg;1; Sg;2;··· ; Sg;i是由相关机构和用户识别的属性集合。对于Sg;u中的每个属性i，AAg计算密钥如下：.S Kgu¼.Ki1;Ki2由HgiDuai;Hifgo对于每个属性ei2SAA，DO随机选取k0;x0;xi2Zω然后将其发送给用户。用户G并计算如下：ICi 11/4eg;gkieg;gbi;xi;ICi2/4gxi;ICi3/4gaixigxi伊伊普示于图 六、● Gentoken. SKg;u; Sg;u; PP！ TKg;u：加密后的中间密文ICi;1;ICi;2;ICi;3上传到MEC以节省存储空间。● 在线.enc r yp t. I C;W;P P;P Kg;M！ .CT;Ce：为了与用户共享数据，DO从区块链接收PKg并根据访问策略加密共享数据当DU想要访问存储在MEC服务器中的具有一组属性Sg;u的密文时，DU首先从MEC服务器获得h，然后通过运行gentoken算法来生成变换密钥。算法的具体流程如下：（一）.首先，为了混淆属性i，算法计算：其嵌入授权用户的属性该算法执行以下两个步骤。(a).第一、做选秀权一随机a2Zωn和计算s0eh;Hifgi2Sg;u 1/4e.ga;Hifgi2Sg;us/e。.gfga;Hra，其中frg是访问策略中的一个属性，然后，用s0代替n属性岛X的集合我 QI0其中W和U是属性的数量。DO替换每个属性在访问策略W中的r i，其中si 隐藏访问策略。因此，我们认为，解密ð Þ\SuÞi2f1;2;···;lg将接入策略W转换为LSSS矩阵Al×n;q成功地(b). 然后，该算法以全局公开参数PP、消息M、公钥PKg、中间密文IC和LSSS矩阵Iln; q nn作为输入。DO选择以下内容：(b). 其次，如果DU想要从MEC服务器获得加密数据，他将随机选择值t2Zωp作为恢复密钥RKg;u，并计算：T Kgun.Ki11=t;HGIDu1=togbi=tHGIDuai=t;HGIDu1=to（i）随机ms2Zωp. （ii）随机向量v1/2;v2;· · ·;vn··。（iii）随机向量！ww1;w2;;wn. 然后，DO计算共享向量为：(c). 最后，DU构造转换密钥TKg;u作为令牌，并将其发送到MEC服务器，请求部分解密。！千分之一安培·！vkk···kT 啊！x¼A·！w¼xx···x密码的作用恢复密钥RKg;u 由DU存储在附近图五. 加密过程。不i2Sg;uo是必需的i2Xl×n1个;;l×n二、Y. Zhang，X. Wei，J. Cao等人沙特国王大学学报8356Yn;9：;.Σ.ΣðÞPΣPP;C第1部分 1/4Ci2Xi;1 ·eg;gCi4oci;C第2部分Y8

下载后可阅读完整内容，剩余1页未读，立即下载