智慧健康中基于属性的访问控制方案

0 引言

随着物联网[1]和云计算[2]等新兴技术的发展，智慧健康(Smart health, S-health)[3]为人们提供精确有效的远程健康服务。通过可穿戴或者植入式的传感器设备，便捷地采集病人的生理信息(例如血糖、血脂)，通过智能设备整合成个人健康档案(Personal Health Record, PHR)，经由网络上传至云服务器，以此节约智能设备的存储开销、快捷地实现PHR共享，并快速地获得医生或者其他专业人员、机构提供的健康服务。然而，PHR里包含了大量的个人隐私信息，如果处理不当，将极大地危害个人隐私，并降低病人使用S-health的积极性。

基于属性的加密(Attribute-Based Encryption, ABE)[4]作为一种新的“一对多”加密模式，在保护数据机密性的同时实现细粒度的访问控制。密文策略ABE(Ciphertext-Policy ABE, CP-ABE)[5]作为一种将访问策略与密文相关联的ABE模式，只有拥有满足该访问策略的属性的用户才能正确解密，更适合由数据拥有者来定义访问策略的场景。因此，本文采用CP-ABE算法作为设计S-health中访问控制方案的基础。

然而，在应用传统的CP-ABE算法[4-8]来实现S-health中访问控制之前，有两个问题需要注意。一方面，在传统CP-ABE算法中，用户的解密开销通常随着解密时用到的属性数量呈线性增长，对于计算能力有限的智能设备而言，极大地降低了它们的解密效率。为此，Green等[9]提出了一个解密外包方法，将ABE中复杂的解密开销外包至计算能力较强的第三方来执行，例如云服务器，第三方返回一个ElGamal类型的部分解密密文(Partial Decryption Ciphertext, PDC)，用户端只需要执行一次指数运算即可恢复出明文，但是该PDC是否正确计算是不能保证的。随后，Lai等[10]提出了一个外包解密结果可以验证的方案，但是该方案需要加密一个额外的随机消息来实现解密结果验证，加密开销和密文长度都是文献[9]方案的两倍。

另一方面，当一些受限的用户不能与云服务器端直接进行交互时，需要将其解密密钥授权给第三方用户，通过第三方用户来获取解密结果。但是，若直接利用文献[5]方案中的代理方法，就会增加隐私泄露的风险，因为文献[5]方案中的授权密钥是可以直接解密密文的。

目前，基于属性的访问控制方案要么只关注如何实现高效的可验证外包解密，要么为了减少授权第三方用户代理解密时隐私泄露风险，而增加了额外的计算开销。文献[11]方案在不增加额外加密开销和密文长度的同时，实现了高效的可验证外包解密，但是没有考虑第三方代理解密的问题，而且其安全性是在一个较弱的安全模型上。文献[12]方案考虑了代理解密问题，但是增加了额外的计算开销。因此，如何设计一个解密外包可验证并可代理的基于属性的访问控制方案仍是一个值得考虑的问题。

基于文献[13]方案，利用文献[11]方案的可验证外包解密思想，本文提出了一个面向S-health的解密外包可验证并可代理的访问控制方案。该方案在合数阶群上构造，用户可以将复杂的解密开销外包至云端执行，并利用授权机构来验证云端返回的PDC的正确性。同时，利用代理方法，可以授权第三方用户来与云端和授权机构进行交互，在保证PDC正确性的同时不泄露PHR的明文信息。在标准模型下证明了方案的自适应安全性，相较文献[11]方案中较弱的安全模型而言，本文的安全模型在公开系统参数之前无需声明要挑战的访问策略。

1 预备知识

1.1 双线性映射(合数阶)

定义1[13]令G和G1为2个阶为N=p1p2p3的群，其中，p1、p2、p3是3个不同的素数。定义一个可有效计算的双线性映射e:G×G→G1，当满足下面条件：

1)双线性性。对于所有的x,y∈ZN和所有的u,v∈G，有e(ux,vy)=e(u,v)xy。

2)非退化性。?g∈G，使e(g,g)在G1中的阶为N。

1.2 线性秘密共享

定义2[13]令PP={P1,P2,…,PT}为参与方的集合，PP上的一个秘密共享方案Π被称作线性的，如果：

1)每个参与方关于秘密s的份额构成ZN上的一个向量。

2)存在Π的一个共享生成矩阵为一个从{1,2,…,l}到PP的映射，即ρ将矩阵W的每一行映射到一个参与方，随机选择一个向量则s关于Π的l个共享份额等于Wv，其中第i个份额λi属于参与方ρ(i)。

文献[13]表明，任何一个线性秘密共享(Linear Secret Sharing Scheme, LSSS)方案与单调访问策略等价，并具有线性重构的性质。令(W,ρ)为一个访问结构AC，若S为一个授权集合，I={i:ρ(i)∈S}，存在常数{ωi∈ZN}i∈I使

2 系统描述、算法定义及安全模型