定义1 令群G₁和G₂为两个阶为素数p的乘法循环群,定义一个双线性映射e:G₁×G₁→G₂满足以下性质:

(1) 双线性性:对于任意的两个随机数a,b∈ $Z_p^{\mathrm{*}}$,g,h∈G₁存在e(g^a,h^b)=e(g,h)^ab;

(2) 非退化性:存在g,h∈G₁,使得e(g,h)≠1;

(3) 可计算性:对于任意的两个点g,h∈G₁,e(g,h)是容易计算的。

定义2 令判定性双线性Diffie-Hellman(Decisional Bilinear Diffie-Hellman,DBDH)问题:定义5元组(g,g^a,g^b,g^c,e(g,g)^abc),敌手A计算z=abc mod p,当且仅当|Pr[A(g,g^a,g^b,g^c,e(g,g)^abc)=0]|-|Pr[A(g,g^a,g^b,g^c,e(g,g)^z)=0]|ε,A具有优势ε解决DBDH问题。

DBDH假设:没有多项式时间的敌手A,至少能以优势ε解决DBDH问题。

代理重加密(Proxy Re-Encryption,PRE)在公钥加密的基础上支持解密权限的转移,由BLAZE等^[

Setup(κ)→(pp):输入安全参数κ,输出系统公开参数pp。

KeyGen(pp)→(sk_A,pk_A):输入系统公开参数pp,输出用户公私钥对(sk_A,pk_A)。

Enc(m,pk_A)→C_A:输入待加密的数据明文m,数据拥有者公钥pk_A,输出数据密文C_A。

RekeyGen(pk_A,sk_A,pk_B)→rk_A→B:输入数据拥有者公钥pk_A,私钥sk_A,数据使用者公钥pk_B,输出重加密密钥rk_A→B。

ReEnc(C_A,rk_A→B)→C_B:输入密文C_A,重加密密钥rk_A→B,生成重加密密文C_B。

Dec(sk_B,C_B)→m:输入数据使用者私钥sk_B,密文C_B,得到数据明文m。

笔者所提方案的系统模型如图1所示,包含有7个参与实体:患者、医院、研究机构、代理服务器、密钥生成中心(KGC)、区块链系统矿工节点、区块链授权管理节点,其功能说明如下。

图1  系统模型

下载:  | 高精图 |

(1) 患者:医疗数据的实际数据拥有者,自主决定各个医疗研究机构对其数据的访问权限,可有条件地共享医疗数据。对医疗数据进行初始加密生成初始医疗数据密文,并把医疗数据初始密文上传到半诚实的代理服务器;规定数据访问权限,构造授权列表发送给区块链系统授权管理节点;构造代理重加密密钥参数和医疗数据哈希值,并将其广播到区块链网络。

(2) 医院:患者医疗数据的管理者,不完全受信任,可在患者的授权委托下作为数据拥有者来执行医疗数据共享任务。

(3) 研究机构:需要患者医疗数据进行研究的数据使用者,从代理服务器上获取医疗数据重加密密文,可用其私钥和区块链系统授权管理节点发送的解密参数对重加密密文进行解密,获取医疗数据明文;从区块链上获取医疗数据哈希值,进行医疗数据的完整性验证。

(4) 半诚实代理服务器:存储和转换医疗数据初始密文。存储由数据拥有者进行初始加密的医疗数据密文;对于合法研究机构的数据请求,从区块链上获取代理重加密密钥,对初始密文进行代理重加密后,把医疗数据重加密密文发送给研究机构。

(5) 密钥生成中心:在系统建立阶段进行系统参数初始化,生成用户的公私钥对,完成密钥分发。

(6) 区块链矿工节点:对于合法用户,利用患者上传的重加密密钥参数以及授权管理节点发送的授权参数生成代理重加密密钥,发送给半诚实代理服务器;把一段时间内的交易信息广播,各个节点进行验证,验证通过后加入区块链账本。

(7) 授权管理节点:根据患者或医院给定的授权列表验证研究机构的医疗数据访问权限,对于合法医疗数据访问请求,把授权参数发送给矿工节点来构造针对合法研究机构的代理重加密密钥,同时发送解密参数给研究机构,完成医疗数据共享;通过与患者或医院交互,更新授权列表。该节点是可信的参与实体,可利用区块链共识算法进行选取。

笔者所提方案的安全模型由以下游戏定义。该游戏在随机预言机模型下进行,敌手A与挑战者C之间的交互过程如下:

初始化阶段:挑战者C选择安全参数,生成系统公开参数pp发送给敌手A。

查询阶段一:敌手A做出如下询问:

A询问KeyGen,ReKeyPara,ReKeyGen,ReEncrypt,Decrypt。用KeyGen生成的密钥查询ReKeyPara,ReKeyGen,ReEncrypt,Decrypt。

挑战阶段:A提交消息(m₀,m₁)∈M给C,以及解密参数 $S_j^{\mathrm{*}}$,重加密参数β^*,公钥pk^*,且pk^*由KeyGen产生,私钥未被泄露。当A以(β^*,β', $S_j^{\mathrm{*}}$)查询ReKeyGen时,β'对应的私钥不能泄露。C选取b∈{0,1},运行初始密文生成算法来生成挑战密文C_b=Encrypt(m_b,pk^*),发送给A。

查询阶段二:与阶段一相同,并且有下述条件。

(1) 当A以(β^*,β', $S_j^{\mathrm{*}}$)对ReKeyGen查询时,β'的私钥不能泄露;

(2) 当A以(C_b,β^*,β', $S_j^{\mathrm{*}}$)对ReEncrypt查询时,pk'的不能泄露;

(3) 当A以(β^*,β', $S_j^{\mathrm{*}}$)对ReKeyGen查询时,则不能利用C'_b查询Decrypt,C'_b是由运行ReEncrypt(C_b,β^*,β', $S_j^{\mathrm{*}}$)生成的。

猜测阶段:敌手A输出b'∈{0,1},若b'=b,则敌手赢得该游戏。

若敌手A赢得上述挑战的优势定义为ε= $\left|\mathrm{P}\mathrm{r}[b\text{'}=b]-\frac{1}{2}\right|$,且对于任意的概率多项式时间敌手赢得以上安全游戏的优势是可忽略的,则文中方案在选择密文攻击下是安全的。

笔者所提方案的流程图如图2所示。

图2  方案流程图

下载:  | 高精图 |

方案设计了4个阶段:系统建立阶段、数据存储阶段、医疗数据共享阶段以及用户授权更新阶段。

(1) 系统建立阶段:初始化系统参数,输入系统安全参数λ,输出系统公开参数pp,得到用户公私钥对(sk,pk)。

(2) 数据存储阶段:患者P_i或医院H_n加密医疗数据产生初始医疗数据密文 $C_{P_i}$,并发送给代理服务器。构造代理重加密密钥参数β以及医疗数据哈希值H(m),并将其广播到区块链网络,同时划分医疗数据访问权限生成授权参数S_j,把包含了授权参数S_j的授权列表L发送给区块链系统的授权管理节点。

(3) 医疗数据共享阶段:研究机构R_j向区块链发送医疗数据访问请求,授权管理节点通过列表L验证研究机构R_j的访问权限,对于合法的研究机构,授权管理节点发送授权参数S_j给区块链矿工节点,矿工节点利用重加密密钥参数β和授权参数S_j构造代理重加密密钥r $k_{P_i\to R_j}$,发送给代理服务器。代理服务器使用代理重加密密钥r $k_{P_i\to R_j}$和初始密文 $C_{P_i}$计算出医疗数据重加密密文,并把重加密医疗数据密文C' ${\mathrm{ }}_{P_i}$发送给合法医疗研究机构R_j。研究机构R_j可用其私钥s $k_{R_j}$和授权管理节点发送的解密参数S_j对医疗数据密文进行解密,获取医疗数据明文m,同时可从区块链上获取医疗数据哈希值,进行数据完整性验证。若为非法数据用户,则拒绝用户请求。

(4) 用户授权更新阶段:患者或医院与区块链系统授权管理节点交互,更新授权列表L,实现医疗数据访问权限的更新,实现研究机构的撤销或者是重加入。

笔者所提出的方案包含4个阶段:系统建立、数据存储、医疗数据共享、用户授权更新阶段。

阶段1 系统建立。

包括系统初始化生成公开参数以及密钥生成2个步骤。

(1) 系统初始化:Setup(λ)→pp。

密钥生成中心执行该算法初始化系统。选择安全参数λ,输入系统安全参数λ后,输出系统公开参数。随机选取阶为p的乘法循环群G₁和G₂,生成元g∈G₁,双线性对e:G₁×G₁→G₂,定义哈希函数组H₁,H₂,H₃,H₄,其中:H₁:{0,1}^*→G₁,H₂:{0,1}^*→ ${{{\rm Z}}_p}^{\mathrm{*}}$,H₃:G₂→{0,1}^l,H₄:{0,1}^*→G₁。公布系统公开参数pp={p,G₁,G₂,g,H₁,H₂,H₃,H₄}。

(2) 密钥生成:KeyGen(pp)→(s $k_{P_i}$,p $k_{P_i}$)。

KGC执行该算法为用户生成相关的公私钥对。患者P_i向KGC提交其身份标识符i ${\mathrm{d}}_{p_i}$,KGC为患者P_i生成公私钥对。输入系统公开参数pp,选择随机数 $x_{p_i}$∈ $Z_q^{\mathrm{*}}$,私钥s $k_{p_i}$= $x_{p_i}$,公钥p $k_{p_i}$= $g^{x_{p_i}}$。医院H_n和研究机构R_j同样可通过向KGC提交其身份标识符i ${\mathrm{d}}_{H_n}$、i ${\mathrm{d}}_{R_j}$获取公私钥对。

阶段2 数据存储。

包含患者P_i对医疗数据初始加密、构造代理重加密密钥参数以及针对合法研究机构的授权列表L={S₁,S₂,…,S_j}。患者在医院治疗后产生医疗数据m,为实现医疗数据安全共享,可用其公钥p $k_{p_i}$对医疗数据进行初始加密,得到初始医疗数据密文 $C_{P_i}$,发送给代理服务器。可使用安全哈希函数SM3生成医疗数据哈希值H(m),构造针对合法研究机构R_j的代理重加密密钥参数β和授权参数S_j,并把授权参数S_j添加到授权列表L中发送给授权管理节点,同时把重加密密钥参数β和医疗数据的哈希值H(m)写入交易,广播到区块链网络中,由矿工节点验证后加入区块链账本。经过患者授权委托的医院可作为医疗数据的拥有者来执行上述工作以完成医疗数据安全共享。具体算法如下:

(1) 初始加密:Encrypt(m,p $k_{p_i}$)→ $C_{P_i}$。

患者P_i使用公钥p $k_{p_i}$加密医疗数据m,得到医疗数据初始密文,随机选取k∈G₂;加密运算如下:

(2) 代理重加密密钥参数生成:RekeyPara(p $k_{P_i}$,p $k_{R_j}$,s $k_{P_i}$,r)→β。

患者执行该算法构造针对合法研究机构R_j的代理重加密密钥参数:β= $\left\{p{k}_{R_j},H_1(p{k}_{P_i}{)}^{s{k}_{P_i}},r\right\}$。

阶段3 医疗数据共享。

包含矿工节点生成代理重加密密钥r $k_{P_i\to R_j}$,代理服务器对初始医疗数据密文进行重加密生成重加密密文,以及合法研究机构对重加密密文的解密。区块链系统授权管理节点验证研究机构的数据访问权限,对于合法数据请求,发送授权参数S_j给矿工节点,区块链矿工节点用患者或者医院上传的代理重加密密钥参数β和授权参数S_j生成代理重加密密钥r $k_{P_i\to R_j}$,发送给代理服务器。服务器用重加密密钥r $k_{P_i\to R_j}$对初始医疗数据密文 $C_{P_i}$进行重加密后,把重加密密文C' ${\mathrm{ }}_{P_i}$发送给合法研究机构。研究机构可用其私钥s $k_{R_j}$和授权管理节点发送的解密参数S_j对重加密密文进行解密以获取医疗数据明文m。由于区块链公开透明、防篡改、可追溯的性质,研究机构可从区块链上获取医疗数据哈希值H(m),确保医疗数据的完整性。同时记录了患者P_i与研究机构R_j间医疗数据共享信息的交易由矿工节点验证通过后加入区块链账本,存储在区块链上可作为公证。具体算法如下:

(1) 代理重加密密钥:RekeyGen(S_j,β)→r $k_{P_i\to R_j}$。

区块链上矿工节点执行该算法构造代理重加密密钥:

(2) 重加密:ReEncrypt(C_P,r $k_{P_i\to R_j}$)→C' ${\mathrm{ }}_{P_i}$。

代理服务器执行该算法对初始医疗数据密文进行重加密,生成重加密密文,重加密运算如下:

(3) 解密:Decrypt(s $k_{R_j}$,C' ${\mathrm{ }}_{P_i}$,S_j)→m。

研究机构使用其私钥s ${\mathrm{k}}_{R_j}$和解密参数S_j对医疗数据重加密密文进行解密,解密运算如下:

计算r=H₂(m‖k),若C'₁=g^r且C'₂=ke(p $k_{R_j}^r$,H₁(p $k_{R_j}$‖S_j)),输出明文m。

阶段4 用户授权更新。

患者或医院与区块链上的授权管理节点交互,通过更新之前的授权列表L,来更新研究机构的医疗数据访问权限。代理重加密密钥参数β广播到了区块链上,矿工节点存储代理重加密密钥参数β,根据授权管理节点的验证结果决定是否构造代理重加密密钥r $k_{P_i\to R_j}$发送给半诚实代理服务器,来实现医疗研究机构对数据的安全访问。患者或医院通过删除授权列表L中的授权参数来撤消研究机构对医疗数据的访问权限,通过在L中添加新的授权参数来授予医疗研究机构新的医疗数据访问权限。

在笔者所提方案当中初始化2个医疗数据拥有者,即患者P_i和医院H_n,3个医疗研究机构,即研究机构R_a、研究机构R_b、研究机构R_c。定义一个医疗数据的隐私保护需求,如表1所示。医疗数据的访问权限应该由患者来进行划分规定,假设医疗数据可由患者自身将其定义为基础医疗数据和敏感医疗数据,医疗数据只有授权的研究机构可见。例如,患者P_i定义的基础医疗数据,有研究机构R_a、R_c可见,只有研究机构R_b不可见。患者P_i定义的敏感医疗数据,只有研究机构R_a可见,研究机构R_b、R_c都不能访问。患者或医院可以与授权管理节点交互来更新授权列表L,让医疗数据的访问权限进行动态更新,具体有如下情况:

表1  医疗数据隐私保护需求表

数据拥有者	医疗数据类型	研究机构
		研究机构Ra	研究机构Rb	研究机构Rc
患者Pi	基础医疗数据	可见	不可见	可见
	敏感医疗数据	可见	不可见	不可见
医院Hn	基础医疗数据	可见	可见	不可见
	敏感医疗数据	不可见	可见	不可见

下载:  CSV

(1) 若患者P_i要授权共享敏感医疗数据给原本没有访问权限的研究机构R_c,则患者P_i与授权管理节点交互,在授权列表L中添加医疗研究机构R_c的授权参数S_c,同时构造对应的代理重加密密钥参数β广播到区块链网络,由区块链矿工节点生成代理重加密密钥r $k_{P_i\to R_c}$发送给代理服务器,以计算医疗数据重加密密文。

(2) 若患者P_i要授权共享医疗数据给新的研究机构R_d,则患者P_i与授权管理节点交互,在L中添加针对医疗研究机构R_d的授权参数S_d,同时将相应的代理重加密密钥参数β广播到区块链网络来生成r $k_{P_i\to R_d}$发送给代理服务器。

(3) 若医院H_n要撤销原来合法的医疗研究机构R_b的访问权限,则医院H_n与授权管理节点交互,在L中删除相应的授权列表参数S_b。

在授权更新阶段,患者或医院在对医疗数据进行初始加密后存储在代理服务器中,后续更新研究机构对数据的访问权限不用再对医疗数据进行重复加密,只需定义新的授权列表发送给授权管理节点,以及构造对应的代理重加密密钥参数广播到区块链网络,由区块链矿工节点生成代理重加密密钥后发送给代理服务器,服务器对医疗数据密文进行转换。

定理1 若DBDH假设成立,则不存在一个概率多项式时间敌手以不可忽略的优势赢得选择密文攻击安全挑战,因此笔者所提方案的代理重加密算法在随机预言机模型中是CCA安全的。

证明 假设存在一个概率多项式时间(PPT)敌手A,以不可忽略的优势ε= $\left|\mathrm{P}\mathrm{r}\left[b\text{'}=b\right]-\frac{1}{2}\right|$攻破方案的安全性,那么在游戏中,敌手能够以不可忽略的优势打破DBDH假设。即证明敌手A是以可忽略的优势ε赢得挑战游戏。有挑战游戏g_i(i=0,1,…,5),T_i表示在g_i中b'=b的事件。敌手A和挑战者C之间进行游戏如下:

(1) g₀:C响应敌手A的随机查询,同时在表格 ${H_i}^{\mathrm{l}\mathrm{i}\mathrm{s}\mathrm{t}}$(i=1,2,3,4)中进行初始化,令δ₀=Pr $\left[b\text{'}=b\right]$,有 $\left|{\delta }_0-\frac{1}{2}\right|$=ε。

(2) g₁:C和g₀一样进行该查询,并且C要随机选择τ∈ $\left\{\mathrm{1,2},\dots ,p+1\right\}$,对H₁完成τ次查询,在C接到A对H₁的查询时就中止,C能够有至少 $\frac{1}{p+1}$的概率成功,g₁中δ₁=Pr $\left[b\text{'}=b\right]$,则Pr $\left[T_1\right]$= $\frac{{\delta }_1}{p+1}$。

(3) g₂:C和g₁一样的步骤执行游戏,由于哈希函数是标准的随机过程,则可以将 $\left|\mathrm{P}\mathrm{r}\left[T_1\right]-\mathrm{P}\mathrm{r}\left[T_2\right]\right|$忽略。

(4) g₃:C和g₂一样的执行游戏过程,仅在运行Decrypt时产生区别,如果以(C,β^*, ${S_j}^{\mathrm{*}}$)来进行计算,A没有利用(β^*‖ ${S_j}^{\mathrm{*}}$)对H₁进行查询,则游戏就会中止,否则C将进行计算并且把结果发送给A。在其中所使用的哈希函数是随机过程,则可以将 $\left|\mathrm{P}\mathrm{r}\left[T_2\right]-\mathrm{P}\mathrm{r}\left[T_3\right]\right|$忽略。

(5) g₄:C和G₃一样执行游戏过程,仅在运行ReKeyGen,ReEncrypt时不一样。

运行ReKeyGen时,C使用A发送的(β,S_j)在重加密密钥列表中进行查询。若存在,C将发送r $k_{P_i\to R_j}$给敌手A;若不存在,则C利用β、S_j在密钥列表中进行查询;若所提方案中的患者P_i的私钥泄露,则有s $k_{P_i}$= $x_{P_i}$,计算出代理重加密密钥r $k_{P_i\to R_j}$=(p $k_{R_j}$,p ${k_{R_j}}^r$,H₁(p $k_{R_j}$‖S_j)·H₁(p $k_{P_i}{)}^{s{k}_{P_i}}$,g^-r);若所提方案中的患者P_i的私钥没有泄露,则取α∈G₁,令s $k_{P_i}$=α $x_{P_i}$,计算代理重加密密钥r $k_{P_i\to R_j}$=(p $k_{R_j}$,p ${k_{R_j}}^r$,H₁(p $k_{R_j}$‖S_j)·H₁(p $k_{P_i}{)}^{s{k}_{P_i}}$,g^-r);若所提方案中的医疗研究机构R_j的私钥泄露,则C中止。在运行ReEncrypt时,C用A发送的(β,S_j,C_i)计算出ReEncrypt中所需的解密参数,若不存在,则C中止;否则查找密钥和重加密密钥列表,发送密文给A。若A没有在ReKeyGen中使用由KeyGen计算的pk_i,则C中止游戏。可以将 $\left|\mathrm{P}\mathrm{r}\left[T_3\right]-\mathrm{P}\mathrm{r}\left[T_4\right]\right|$忽略。