基于区块链的多权限属性隐藏电子病历共享方案

金琳，田有亮,2

基于区块链的多权限属性隐藏电子病历共享方案

金琳1，田有亮1,2

（贵州大学计算机科学与技术学院 贵州 贵阳 550025；2. 贵州省公共大数据重点实验室贵州 贵阳 550025）

现阶段，不同医院之间没有数据交换共享，容易形成数据孤岛。同时，区域医疗数据含有大量患者的敏感信息，这些数据的公开获取、共享及流通会导致恶意篡改、窃取、滥用与所有权丢失，从而泄露患者隐私。由于庞大的医疗数据量以及医疗数据的非结构化，一些具有较强针对性的恶意攻击更加难以防范与追责，如对医疗数据的窃取、篡改、勒索等恶意攻击。针对以上问题，提出一种基于区块链的多权限属性隐藏电子病历共享方案，以实现共享电子病历的细粒度访问的同时，保证患者隐私安全。引入多授权属性加密（MA-ABE）算法，利用多权限机构管理分散属性，同时通过哈希函数来识别不同用户，可以有效抵抗不同权限用户之间的共谋攻击；利用线性秘密共享方案（LSSS）实现属性的部分隐藏，将属性分为属性名与属性值两部分，以保护属性隐私；结合区块链公开透明、不易篡改等特性，设计访问策略可更新算法，基于访问策略更新算法追加策略区块，将新的访问策略上传至区块链中形成策略可更新溯源链，在隐藏策略条件下实现分布式和可信赖的访问控制管理，同时实现数据隐私保护和用户行为的可追溯。通过安全性证明和实验分析，所提方案能在有效保护属性隐私的同时，降低计算开销。

属性隐藏；区块链；属性加密；隐私保护；数据共享

0 引言

随着“互联网+医疗健康”的普及，电子病历（HER，electronic health record）因易存储、易操作和易共享等特性逐渐常态化。电子病历存储着病人的诊断信息和治疗信息，有助于提供便利的健康记录存储服务。但是随着电子医疗数据的广泛共享，患者的隐私安全问题受到越来越多的关注，特别是对敏感数据的安全防护正面临着严峻的挑战。首先，医疗数据资源的外包存储服务使患者的数据不受自己掌控，分布式存储的医疗数据的流通共享变得愈加复杂，这带来了潜在的安全风险。其次，利用数据挖掘技术，原有的“低价值”数据经过聚类分类能够推导出固定的用户模式，导致用户隐私信息泄露。最后，由于庞大的医疗数据量以及医疗数据的非结构化，一些具有较强针对性的恶意攻击更加难以防范，如对医疗数据的窃取、篡改、勒索等恶意攻击。访问控制作为一种重要的信息安全技术，其通过某种途径显式地准许或限制主体对客体的访问能力及范围，保证数据用户在其合法权限内访问数据，并禁止非授权用户的违规和越界操作，从而保证数据的安全可控共享。

近年来，基于属性的加密（ABE，attribute- based encryption）[1]被认为是一种对加密数据提供细粒度访问控制的高级加密工具，已被广泛应用于云数据上的可搜索加密和医疗数据的可控共享等领域[2-4]。ABE的现有方案可分为两种，即基于密钥属性的加密（KP-ABE，key-policy attribute-based encryption）[5]方案和基于密文属性的加密（CP-ABE，ciphertext-policy attribute-based encryption）[6]方案。在KP-ABE方案中，密钥是基于访问策略生成的，访问策略决定哪些密文可以解密，密文与属性集相关联。相反，在CP-ABE方案中，密钥是通过属性集生成的，密文与访问策略相关联。CP-ABE方案允许数据所有者定义自己的访问策略，因此比KP-ABE方案更适合在分散的系统中进行访问控制。在大多数现有的CP-ABE方案[2-3,7]中，需要中央权威机构来颁发和验证私钥，数据用户可以使用一组属性从权威机构获得密钥，以解密来自云服务器的加密数据[8-9]。显然，数据访问控制的可信任性强烈依赖于中间实体，但这是不切实际的，且中间实体可能存在高信任建立成本、单点故障等问题，因此传统的ABE方案不适用于跨不同管理域共享数据的分布式环境。

为解决现有ABE方案中的单授权问题，本文提出了一种基于多权限属性加密（MA-ABE，multi-authority attribute-based encryption）方案，通过多授权机构分散管理属性以提高系统安全性，其中不需要中央机构授权，并且可以防止串通。对多授权机构环境下的密文访问控制研究主要有Chase[10]提出的多授权机构ABE方案，该方案通过中央授权机构（CA，central authority），将用户身份标识（GID，global identity）和各属性授权机构（AA，attribute authority），生成的私钥结合在一起。然而，CA拥有系统的主密钥和用户私钥，其一旦被攻破，将造成数据的泄露。为解决CA造成的安全隐患，Lin等[11]采用无CA的密钥分发和联合的零秘密共享技术，但此技术最多只能防止个用户的联合攻击。Lewko等[12]提出了一种新的基于多授权机构的属性加密方案，此方案仅在初始化阶段采用CA，由CA为授权机构分发公共参数并根据用户的请求验证AA，此后CA将不再参与任何运算。Qian等[13]提出了支持隐私保护和高效用户撤销的MA-ABE解决方案，实现了动态策略更新以及健康记录访问控制的高扩展性。Zhong等[14]提出了一种去中心化的多权限 CP-ABE 访问控制方案，能够高效实现用户撤销。Yan等[15]引入了一种匿名发布密钥的协议，以保护参与者的隐私并抵抗属性权限的合谋攻击。文献[15]提出的方案不仅支持任何类型的策略更新，而且与现有相关方案相比，缩短了密文和密钥长度，在实际应用中更有效。Zhang等[16]提出了第一个支持雾计算外包和属性更新的CP-ABE访问控制方案，将加密和解密的繁重计算操作外包给雾节点，因此数据所有者加密和用户解密的计算操作分别与访问结构和密钥中的属性数量无关。

区块链具有分布式、交易透明、不易篡改的特点以及无须第三方背书的可信机制，这符合大数据环境下访问控制待解决的分布式部署、审计机制、信任机制等需求。为了实现可信的访问控制，大部分研究[17-21]集中于区块链上部署访问控制策略，使用区块链来存储加密的密钥或一组属性。然而，区块链具有透明性，直接将访问策略或用户属性集发送到区块链[22]将对隐私的披露构成巨大威胁。特别是在CP-ABE方案中，人们可以从嵌入密文的访问策略中推断出一些私有属性[23-25]。例如，在医疗系统中，电子病历访问控制策略为（“心内科”“心脏病”“患者”“三甲医院”），则可能会泄露用户的健康状况等。文献[23]提出了第一个基于分散内积谓词加密的属性隐藏多权限ABE方案，但它只能隐藏整个属性集，同时仍然显示某个机构正在控制的属性。为了防止从访问策略暴露用户隐私信息，Nishide等[26]提出了隐藏策略的CP-ABE。树形访问结构的CP-ABE[27]通过属性匿名技术隐藏访问策略中全部属性，而线性秘密共享方案（LSSS，linear secret sharing scheme）的CP-ABE[28-29]通过隐藏属性映射关系隐藏访问策略。文献[28]中访问矩阵的属性映射关系被隐藏，并将策略中的所有的属性用属性布隆过滤器（ABF，attribute bloom filter）隐藏。用户执行解密算法之前先通过ABF查询，验证用户是否满足访问策略。验证通过的用户可以进行解密算法；验证没有通过的用户无法获取访问与策略相关的任何信息，巧妙地实现了策略隐藏功能。Wang等[29]利用LSSS结构，同样将属性分为属性名和属性值两部分，在执行策略隐藏时，只隐藏属性值，而属性名是公开的。Liu等[30]利用LSSS结构，同样将属性分为属性名和属性值两部分，实现物联网中高效的多权限部分属性隐藏访问控制。然而, 访问策略中不是所有的属性泄露用户隐私信息，完全隐藏属性计算开销较大且可扩展性较弱。为提高计算效率，文献[30]提出的方案利用灵活的LSSS结构实现属性的部分隐藏。

为进一步扩展访问控制的灵活性，研究者提出了策略更新机制。Yang等[31]通过策略动态更新对云环境中的数据进行访问控制。Liu等[32]提出一种智能电网多权限访问控制的高效属性撤销方案。Huang等[33]提出一种多权限属性加密方案，其允许属性撤销。田有亮等[34]提出基于属性加密的区块溯源算法，实现了区块交易数据的动态更新。但上述方案都没有兼顾数据隐私保护和恶意行为追责问题。

鉴于上述分析，本文提出一种基于区块链的多权限属性隐藏电子病历共享方案。利用设计的访问策略可更新的多权限部分属性隐藏加密算法完成电子病历共享的隐私安全保护，结合区块链设计策略更新溯源链，实现分布式和可信赖的访问控制管理，同时实现数据隐私保护和用户行为的可追溯。本文的主要贡献如下。

1) 设计基于多权限的属性隐藏加密算法。利用多权限属性加密，结合线性秘密共享方案，设计访问策略可更新的多权限部分属性隐藏加密算法，将属性分为属性名与属性值两部分，实现属性的部分隐藏，以保护属性隐私。

2) 实现隐藏策略下的可追溯。结合区块链的公开透明、不易篡改特性，基于访问策略更新算法追加策略区块，实现访问策略的可信动态更新及隐藏策略下的追溯和追责。

3) 安全性分析和实验表明，本文所提方案在保护数据隐私安全的同时，降低了计算开销。

1 准备知识

1.1 参数定义

基于区块链的多权限属性隐藏电子病历共享方案涉及的主要参数如表1所示。

1.2 双线性映射

1.3 访问结构

表1 方案参数

1.4 线性秘密共享方案

2 系统设计

本文所提方案中每个医院都是独立的管理域，与MA-ABE方案中的权限相对应，每个机构负责在其域中发布和验证属性密钥。本文方案的总体流程如图1所示。

图1 方案流程

Figure 1 Scheme process

2.1 系统模型

系统模型包括以下实体：属性权威机构（AA）、患者（Patient）、医疗联盟机构（MIS）、区块链网络（BC）、云服务提供商（CSP）和数据用户（DU），如图2所示。

（1）属性权威机构

AA是相互独立的（AA中的属性集不重复）。一个AA对应管理一个独立的医疗机构, 每个属性机构负责在其域中发布和验证属性密钥。

（2）患者

（3）医疗联盟机构

多个医疗机构组成医疗联盟，每个医院都是独立的管理域，与MA-ABE方案中的权限相对应，负责存储和管理患者数据。

（4）区块链网络

（5）数据用户

（6）云服务提供商

CSP负责代理加密或解密。

2.2 算法描述

本文方案主要由全局设置算法、权限设置算法、属性密钥生成算法、加密算法、用户身份认证算法、解密算法、策略更新算法和策略验证算法组成。各算法描述如下。

图2 系统模型

3 方案分析

3.1 正确性分析

若式(3)成立，则用户身份认证算法满足正确性。

若式(4)成立，则解密算法满足正确性。

3.2 安全性分析

定理1 在选择明文攻击下的不可区分性（IND-CPA），本文方案是安全的。

挑战者赢得游戏的优势为

因此多项式时间中，任何敌手赢得IND-CPA游戏的优势是可忽略的。

证毕。

定理2 若数字签名算法满足不可伪造性，则该算法可以抵抗策略更新攻击。

证毕。

证毕。

4 性能分析

4.1 功能性分析

通过将本文方案与文献[23-25]提出的方案在授权类型、访问结构、隐藏策略、外包解密和访问策略更新方面的功能对比，可以看出本文方案具有综合功能优势，如表2所示。

表2 功能比较

4.2 实验分析

本文仿真实验采用一台主机（CPU为Intel Core i32120，内存为4 GB，操作系统为Windows 7），并选用Python编程语言来构建实验框架，以比较本文方案的解密计算成本与文献[23]、文献[25]所提方案的不同。当机构数分别设置为4，6，8，10，12，14，16，18，20时，权限机构数量越多，方案的用户解密时间越长，而本文方案的解密时间比其他两种方案解密所需时间较少，如图3所示。可见，本文方案能够降低一定的时间开销。

若要实现用户访问权限的更改，可以通过重加密方式和策略更新方式完成。通过仿真实验得到二者的时间代价如图4所示，当更新算法的属性个数依次递增时，策略更新总时间消耗比重加密总时间消耗少，因此本文方案的访问策略更新算法有一定优势。

图3 用户解密时间对比

Figure 3 Comparison of user decryption time

图4 重加密与策略更新时间对比

Figure 4 Comparison of re-encryption and policy update time

5 结束语

针对不同医院之间共享电子病历信任建立成本高、患者隐私易泄露及难以追责等问题，本文提出一种基于区块链的多权限属性隐藏电子病历共享方案，可以实现分布式和可信的电子病历安全共享。首先，引入多权限属性加密以解决信任成本高及单点故障问题；由于访问策略中包含与用户相关的某些敏感数据，本文采用线性秘密共享方案，这样不仅可以支持灵活的访问结构，同时可以实现属性的部分隐藏，保护用户隐私。其次，结合区块链设计可信的访问策略动态更新算法，用户可以动态更新访问策略，将生成的新访问策略区块上传至区块链中，能够实现隐藏策略下的可追溯。最后，通过安全性及实验分析表明，所提方案可以在保护用户隐私安全的同时，降低计算开销，实现动态隐私保护。

但现有的电子病历共享方案还存在一些不足之处，仍需要持续更新和完善，如访问控制细粒度不够，数据共享效率低等问题。在未来工作中，将继续探究基于区块链的医疗数据共享方案的实现途径和方法，如基于区块链设计高效灵活、更细粒度的分级诊疗方案，利用智能合约自动实现分级访问控制算法等以提高系统的高效性和可扩展性。

[1] SAHAI A, WATERS B R. Fuzzy identity-based encryption[C]//24th Annual International Conference on Theory and Applications of Cryptographic Techniques. 2004: 457-473.

[2] LI H, YANG Y, DAI Y, et al. Achieving secure and efficient dynamic searchable symmetric encryption over medical cloud data[J]. IEEE Transactions on Cloud Computing, 2020, 8(2): 484-494.

[3] LI H, LIU D, DAI Y, et al. Personalized search over encrypted data with efficient and secure updates in mobile clouds[J]. IEEE Transactions on Emerging Topics in Computing, 2018, 6(1): 97-109.

[4] WANG S, ZHANG Y, ZHANG Y. A blockchain-based framework for data sharing with fine-grained access control in decentralized storage systems[J]. IEEE Access, 2018, 6: 38437-38450.

[5] GOYAL V, PANDEY O, SAHAI A, et al. Attribute-based encryption for fine-grained access control of encrypted data[C]//13th ACM conference on Computer and Communications Security. 2006: 89-98.

[6] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-policy attribute-based encryption[C]//2007 IEEE Symposium on Security and Privacy (SP '07). 2007: 321-334.

[7] ZHANG Y, ZHENG D, DENG R H. Security and privacy in smart health: Efficient policy-hiding attribute-based access control[J]. IEEE Internet Things, 2018, 5(3): 2130-2145.

[8] WU A, ZHANG Y, ZHENG X, et al. Efficient and privacy-preserving traceable attribute-based encryption in blockchain[J]. Ann. Telecommun., 2019, 74(7-8): 401-411.

[9] MIAO Y, MA J, LIU X, et al. Lightweight fi-ne-grained search over encrypted data in fog computing[J]. IEEE Transactions on Services Computing, 2019, 12(5): 772-785.

[10] CHASE M. Multi-authority attribute-based encryption[C]//Pro- ceedings of Cryptography Conference on Theory of Cryptography (TCC'07). 2007: 515-534.

[11] LIN H, CAO Z F, LIANG X. Secure threshold multi-authority attribute-based encryption without a central authority[C]//Pro- ceedings of International Conference on Cryptology. 2008: 426-436.

[12] LEWKO A, WATERS B. Decentralizing attribute-based encryption[C]//Proceedings of International Conference on the Theory and Applications of Cryptographic Techniques. 2011: 568-588.

[13] QIAN H L, LI J G, ZHANG Y C, et al. Privacy-preserving personal health record using multi-authority attribute-based encryption with revocation[J]. International Journal of Information Security, 2015(14): 487-497.

[14] ZHONG H, ZHU W, XU Y, et al. Multi-authority attribute-based encryption access control scheme with policy hidden for cloud storage[J]. Soft Computing A Fusion of Foundations Methodologies & Applicaitons, 2018, 22(1): 243-251.

[15] YAN X, LIU Y, LI Z, et al. Multi-authority attribute-based encryption scheme with policy dynamic updating[J]. Journal on Communications, 2017, 38(10): 94-101.

[16] ZHANG P, CHEN Z, LIU J K, et al. An efficient access control scheme with outsourcing capability and attribute update for fog computing[J]. Future Generation Computer Systems, 2018, 78: 753-762.

[17] DI FRANCESCO MAESA D, MORI P, RICCI L. A blockchain based approach for the definition of auditable access control systems[J]. Computers & Security, 2019, 84: 93-119.

[18] LI R, SONG T, MEI B, et al. Blockchain for large-scale internet of things data storage and protection[J]. IEEE Transactions on Services Computing, 2019, 12(5): 762-771.

[19] DORRI A, KANHERE S S, JURDAK R, et al. Blockchain for IoT security and privacy: The case study of a smart home[C]//2017 IEEE International Conference on Pervasive Computing and Communications Workshops (PerCom Workshops). 2017: 618-623.

[20] DING S, CAO J, LI C, et al A novel attribute-based access control scheme using blockchain for IoT[J]. IEEE Access, 2019, 7: 38431-38441.

[21] MAESA D D F, MORI P, RICCI L. Blockchain based access control[C]//2017 IFIP International Conference on Distributed Applications and Interoperable Systems. 2017: 206-220.

[22] LAI J, DENG R H, LI Y. Fully secure cyphertext-policy hiding CP-ABE[C]//2011 International Conference on Information Security Practice and Experience. 2011: 24-39.

[23] WANG H, NING J, HUANG X, et al. Secure fine-grained encrypted keyword search for e-healthcare cloud[C]//IEEE Transactions on Dependable and Secure Computing. 2021: 1307-13019.

[24] CUI H, DENG R H, WU G, et al An efficient and expressive ciphertext-policy attribute-based encryption scheme with partially hidden access structures[C]//2016 International Conference on Provable Security. 2016: 19-38.

[25] YANG K, HAN Q, LI H, et al. An efficient and fine-grained big data access control scheme with privacy-preserving policy[J]. IEEE Internet Things, 2017, 4(2): 563-571.

[26] NISHIDE T, YONEYAMA K, OHTA K. Attribute-based encryption with partially hidden encryptor-specified access structures[C]//2008 International Conference on Applied Cryptography and Network Security. 2008: 111-129.

[27] HUR J. Attribute-based secure data sharing with hidden policies in smart grid[J]. IEEE Transactions on Parallel& Distributed Systems, 2013, 24(11): 2171-2180.

[28] QI H, YING H Z, HUI L. Efficient and robust attribute-based encryption supporting access policy hiding in Internet of Things[J]. Future Generation Computer Systems, 2018, 83: 269-277.

[29] WANG Y, FAN K. Effective CP-ABE with hidden access policy[J]. Journal of Computer Research and Development, 2019, 56(10): 2151-2159.

[30] LIU Y, DU R. Efficient partially policy-hidden with multi-authority for access control scheme in Internet of Things[C]//2020 International Conference on Networking and Network Applications (NaNA). 2020: 375-380.

[31] YANG K, JIA X, REN K. Secure and verifiable policy update out-sourcing for big data access control in the cloud[J]. IEEE Transactions on Parallel and Distributed Systems, 2015, 26(12): 3461-3470.

[32] LIU D, LI H, YANG Y, et al. Achieving multi-authority access control with efficient attribute revocation in smart grid[C]//2014 IEEE Inter-national Conference on Communications. 2014: 634-639.

[33] HUANG X F, TAO Q, QIN B D, et al. Multi-authority attribute based encryption scheme with revocation[C]//2015 IEEE International Conference on Computer Communication & Networks. 2015: 1-5.

[34] 田有亮, 杨科迪, 王缵, 等. 基于属性加密的区块链数据溯源算法[J]. 通信学报, 2019, 40 (11): 101-111.

TIAN Y L, YANG K D, WANG Z, et al. Algorithm of blockchain data provenance based on ABE[J]. Journal on Communications, 2019, 40 (11): 101-111.

Multi-authority attribute hidden for electronic medical record sharing scheme based on blockchain

JIN Lin1, TIAN Youliang1,2

1. College of Computer Science and Technology, Guizhou University, Guiyang 550025, China2. State Key Laboratory of Public Big Data, Guizhou University, Guiyang 550025, China

Currently, there is no data exchanging and sharing between different hospitals, and it is easy to form data islands. At the same time, regional medical data contains a large amount of sensitive information of patients. The public acquisition, sharing and circulation of these data will lead to malicious tampering, theft, abuse and loss of ownership, thereby revealing patient privacy. In addition, the size of medical data is enormous and the data is unstructured, then it is more difficult to prevent and hold accountable some highly targeted malicious attacks, such as malicious attacks on medical data theft, tampering, and extortion. In view of the above problems, a blockchain-based on multi-authority attribute hidden electronic medical record sharing scheme was proposed to achieve fine-grained access to shared electronic medical records while ensuring patient privacy. The Multi-Authorization Attribute Encryption (MA-ABE) algorithm was introduced, which used multi-authority organizations to manage decentralized attributes. It also used hash functions to identify different users, in order to effectively resist collusion attacks between users with different authorizations. Besides, the linear secrets sharing scheme (LSSS) was used to realize partial hiding of attributes, and the attributes were divided into two parts: attribute name and attribute value. In addition, combined with the characteristics of blockchain openness, transparency and tamper-proof, the design of access policy can update the algorithm. Based on the access policy update algorithm, the policy block was added. The new access policy was uploaded to the blockchain to form a policy update traceability chain, which can realize distributed and reliable access control management under the condition of hidden policy. It can also support data privacy protection at the same time, and traceability of user behavior. The theoretical proof and experimental analysis have proved that this scheme protect attribute privacy effectively, while reduces computational overhead.

hidden attribute, blockchain, attribute encryption, privacy protection, data sharing

The National Natural Science Foundation of China (61662009, 61772008), Guizhou Provincial Department of Education Science and Technology Top-notch Talent Support Project ([2016]060), Science and Technology Major Support Program of Guizhou Province (20183001), Guizhou Provincial Science and Technology Plan Project ([2017]5788), Ministry of Education-China Mobile Research Fund Project (MCM20170401), Guizhou University Cultivation Project ([2017]5788), Research on Block Data Fusion Analysis Theory and Security Management Model of Data Sharing Application(U1836205), Research on Key Technologies of Blockchain for Big Data Applications([2019]1098)

金琳, 田有亮. 基于区块链的多权限属性隐藏电子病历共享方案[J]. 网络与信息安全学报, 2022, 8(4): 66-76.

TP393

A

10.11959/j.issn.2096−109x.2022044

金琳（1997−），女，云南曲靖人，贵州大学硕士生，主要研究方向为属性加密、区块链。

田有亮（1982−），男，贵州盘县人，博士，贵州大学教授、博士生导师，主要研究方向为算法博弈论、密码学与安全协议、大数据隐私保护与区块链技术等。

2022−03−08；

2022−06−27

田有亮，youliangtian@163.com

国家自然科学基金（61662009，61772008）；贵州省教育厅科技拔尖人才支持项目（黔教合KY字[2016] 060）；贵州省科技重大专项计划（20183001）；贵州省科技计划项目（黔科合平台人才[2017]5788号）；教育部—中国移动科研基金研发项目（MCM20170401）；贵州大学培育项目（黔科合平台人才[2017]5788）；数据共享应用的块数据融合分析理论与安全管控模型研究（U1836205）；面向大数据应用的区块链关键技术研究（黔科合基础[2019]1098）

JIN L, TIAN Y L. Multi-authority attribute hidden for electronic medical record sharing scheme based on blockchain[J]. Chinese Journal of Network and Information Security, 2022, 8(4): 66-76.