1、第 5 期2023 年5 月电子学报ACTA ELECTRONICA SINICAVol.51 No.5May 2023抗共谋攻击的多授权电子健康记录共享方案王经纬1,3,吴静雯1,殷新春1,2,3(1.扬州大学信息工程学院,江苏扬州 225127;2.扬州大学广陵学院,江苏扬州 225128;3.广东省信息安全技术重点实验室,广东广州 510275)摘要:为解决属性基加密方案中用户权限变更不灵活以及无法抵抗共谋攻击的问题,本文提出一种抗共谋攻击的多授权电子健康记录共享方案.采用版本控制的方式实现属性撤销,属性授权中心为非撤销用户提供更新密钥并更新密文,而没有更新密钥的用户将无法继续获取数据.
2、为了保证数据访问的效率,系统将大部分计算外包至云服务器执行.此外,所有属性授权中心需要生成各自的公私钥对以抵抗共谋攻击.本方案在随机谕言模型下满足选择明文攻击不可区分安全,与其他多中心方案相比,功能更加实用且解密开销至少降低了45.9%.关键词:属性基加密;多授权中心;抗共谋攻击;属性撤销;外包解密;外包可验证基金项目:广东省信息安全技术重点实验室开放基金(No.2020B1212060078)中图分类号:TP309.7文献标识码:A文章编号:0372-2112(2023)05-1179-08电子学报URL:http:/DOI:10.12263/DZXB.20220769Collusion-R
3、esistant Multi-Authority Electronic Health Records Sharing SchemeWANG Jing-wei1,3,WU Jing-wen1,YIN Xin-chun1,2,3(1.College of Information Engineering,Yangzhou University,Yangzhou,Jiangsu 225127,China;2.Guangling College of Yangzhou University,Yangzhou,Jiangsu 225128,China;3.Guangdong Provincial Key
4、Laboratory of Information Security Technology,Guangzhou,Guangdong 510275,China)Abstract:To achieve flexible user revocation and collusion attack resistance,this paper proposes a collusion-resistant multi-authority EHRs(Electronic Health Records)sharing scheme.Version control is used to achieve user
5、revocation.Attribute authorities need to distribute update keys for non-revoked users as well as update the ciphertexts in the cloud,and users without update keys will not be able to access data.To guarantee the performance of data retrieval,most of the computation is outsourced to the cloud.Besides
6、,all the attribute authorities need to generate a pair of public key and secret key to resist collusion attacks.The proposed scheme is indistinguishably secure against chosen-plaintext attack under the random oracle model.Compared to other multi-authority schemes,the proposed scheme is practical in
7、function and the overhead of the decryption is reduced by at least 45.9%.Key words:attribute-based encryption;multi-authority;anti-collusion attack;attribute revocation;outsource decryption;outsource verificationFoundation Item(s):Opening Project of Guangdong Provincial Key Laboratory of Information
8、 Security Technology(No.2020B1212060078)1引言随着云计算技术的不断成熟,越来越多的软件开始提供数据传输、存储、共享等服务.在医疗行业,各类传感器24小时不间断地监测患者的生理状态,自动将产 生 的 电 子 健 康 记 录(Electronic Health Records,EHRs)存储在指定的第三方服务器中供医护人员诊断.尽管这有助于提高医护人员的工作效率,但将患者的EHRs存储在第三方云服务器使患者失去了对数据的管理能力,带来了安全方面的问题14.针对这些问题,研究人员基于属性基加密(Attribute-Based Encryption,ABE)提出
9、了大量的EHRs访问控制方案510.然而,这些方案大多采用单授权中心结构,并不适合多授收稿日期:2022-07-01;修回日期:2022-11-21;责任编辑:覃怀银电子学报2023 年权中心1113的场景.在多授权中心的研究方面,Lewko等14提出了去中心化的ABE方案,但其中每个授权中心只能管理一个属性,实用性较差.Rouselakis等15改进了文献 14 中的方案,消除了授权中心管理属性数量的限制.文献1619 提出了各具特色的多授权ABE方案,但这些方案均无法抵抗共谋攻击.在撤销方面,文献 20,21 分别提出了一个支持属性撤销的ABE方案,但计算开销较大.文献 22,23 中的方
10、案计算效率较高,但安全与实用性存在缺陷.为解决上述问题,本文提出一个抗共谋攻击的多授权电子健康记录共享(Collusion-resistant Multi-authority EHRs Sharing,CM-EHRS)方案,在抵抗共谋攻击的同时提供外包解密、外包可验证以及属性撤销功能,可以保证方案的安全与执行效率.2CM-EHRS方案2.1实体介绍本方案包括以下4类实体:(1)属性授权中心(Attribute Authority,AA):AA负责生成系统参数、为用户生成部分属性私钥以及实现属性撤销.AA是半可信的.(2)数据拥有者(Data Owner,DO):DO 负责制定访问策略、加密EH
11、Rs并上传至云服务器进行存储和共享.DO是可信的.(3)数据用户(Data User,DU):DU可以按照其属性的权限访问云服务器中的数据.DU是不可信的.(4)云服务器(Cloud Server,CS):CS负责存储DU上传的密文、执行外包解密、密文更新等算法.CS是半可信的.2.2安全目标(1)选 择 明 文 攻 击 不 可 区 分(Indistinguishable Chosen-Plaintext Attack,IND-CPA)安全:给定2个等长的明文,使用相同的访问策略加密后,未授权的DU无法在两者之间进行区分.(2)抗用户共谋攻击:即使未授权DU通过与不满足访问策略的DU合并属性私
12、钥也无法恢复该未授权DU本身无法解密的数据.(3)抗用户与属性授权中心共谋攻击:即使未授权DU 与 AA 进行共谋(要求该未授权 DU 的属性集合与AA负责属性的并集无法满足访问策略)也无法恢复未授权DU本身无法解密的数据.2.3安全性假设在q-DPBDHE2(q-Decisional Parallel Bilinear Diffie-Hellman Exponent2)假设15中,挑战者选择阶为p的群G 和GT,构 造 双 线 性 映 射e:GGGT,随 机 选 择sab1b2bqZp,gG,YGT.令T=(GGTpeg),T0=gs(1)T1=gaii2qiq+1(2)T2=gbjai(i
13、j)2qqiq+1,T3=gs/bjjq(3)T4=gsaibj/bj(ijj)q+1qqjj(4)Y 为 群GT中 的 一 个 随 机 元 素.令 元 组D=(TT0T1T2T3T4),r=aq+1,攻击者无法在多项式时间内区分(De(gg)sr)与(DY).定义1 对于任意多项式时间算法,如果其成功解决 q-DPBDHE2 问 题 的 优 势 是 可 忽 略 的,则 称 q-DPBDHE2困难性假设成立.2.4方案设计CM-EHRS方案包括系统初始化、用户注册、EHRs上传、EHRs访问和属性撤销5个阶段,方案执行步骤如图1所示.2.4.1系统初始化该阶段包括2个步骤,主要目的是生成并公开
14、系统参数.步骤1 Setup()paramsAA根据输入的安全参数生成群参数(GGTpe).随机选择gG以及 3个安全的哈希函数 H:0,1*G,T:0,1*G,H1:0,1*0,1*.最终生成的系统公共参数为params=(GGTpe)gHTH1(params为其他算法的默认输入).步骤2 AASetup(S)PKMSKVKv该算法由所有的AAn执行,输入AA管理的属 性 集 合S.AA随 机 选 择Zp,计 算PK1=e(gg),PK2=g.令AA的公钥为PK=PK1PK2,+35SetupAASetupAAKeyGenparamsSID,IDK,IDKeyComb6PK,VKEncryp
15、tCTMTKGenTKIDC_DecryptTCU_DecryptRevoAUKID,uCUKuKeyUpCipherUpparamsparams+#EHRsEHRsALK图1方案执行步骤图1180第 5 期王经纬:抗共谋攻击的多授权电子健康记录共享方案主私钥为MSK=.对于属性uS,AA随机选择 u 的初始版本私钥vvuZp,计算版本公钥VKvu=e(gT(u)vvu.AA公开PK以及S的版本公钥VK=VKvuuS,保 存MSK以 及S的 版 本 私 钥v=vvuuS,其中下标v为版本号,初值为0.2.4.2用户注册该阶段包括2个步骤,AA通过AAKeyGen为DU生成部分属性私钥,DU再通
16、过KeyComb组合部分属性私钥为完整属性私钥.步骤3 AAKeyGen(SIDSIDMSKv)KID该算法由AA执行,输入DUID的属性集合SID,AA的属性集合S,DUID的身份标识ID,AA的主私钥MSK以及版本私钥v.对于uSIDS,AA随机选择tuZp,保存IDutu.按式(5)和式(6)计算属性u的私钥KIDuKvu:KIDu=gH(ID)T(u)vvu(tu+1)(5)Kvu=gvvutu(6)AA将部分属性私钥KID=KIDuKvuuSIDS发送给DUID.步骤4 KeyComb(KIDAAList)KID该算法由DUID执行,令AAList为AA编号的集合,算 法 输 入 各 AA 为DUID生 成 的 部 分 属 性 私 钥KIDAAList.DUID将所有KID组合后即可得到完整的属性私钥KID=KIDuKvuuSID.2.4.3EHRs上传令 D表示 EHRs,基于密钥封装的思想,我们首先使用对称密钥ck加密D生成对称密文Eck(D),然后利用ABE加密ck生成部分密文CT.步骤5 Encrypt(PKVK(MF)ckEck(D)CTM该算法由DO执行,输入AA
