基于区块链的医疗数据分级访问控制与共享系统_曹萌.pdf

1、2023-05-10计算机应用,Journal of Computer Applications2023,43(5):1518-1526ISSN 1001-9081CODEN JYIIDUhttp：/基于区块链的医疗数据分级访问控制与共享系统曹萌1，2，余孙婕1，2，曾辉1，2，史红周1*（1.移动计算与新型终端北京市重点实验室（中国科学院计算技术研究所），北京 100190；2.中国科学院大学 计算机科学与技术学院，北京 100049）（通信作者电子邮箱）摘要：针对当前医疗数据共享时访问控制粒度过粗、共享灵活性低、集中式医疗数据共享平台存在数据泄露的安全隐患等问题，提出一种基于区块链的医疗数

2、据分级访问控制与共享系统。首先，对医疗数据按照敏感度分级，并提出了密文策略属性基分级加密（CP-ABHE）算法，实现对不同敏感度医疗数据的访问控制。该算法使用合并访问控制树和结合对称加密方法提升密文策略属性基加密（CP-ABE）算法的性能，并使用多授权中心解决密钥托管问题。然后，采用基于许可区块链的医疗数据共享模式解决集中式共享平台存在的中心化信任问题。安全性分析结果表明，所提系统在数据共享过程中保证了数据的安全性，可以抵御用户合谋攻击和权威合谋攻击。实验结果表明，CP-ABHE算法拥有比CP-ABE算法更低的计算开销，所提系统的最大平均时延为7.8 s，最高吞吐量为每秒处理236个事务，符合

3、预期性能要求。关键词：医疗大数据；区块链；访问控制；数据共享；智能合约；基于属性的访问控制中图分类号：TP309 文献标志码：AHierarchical access control and sharing system of medical data based on blockchainCAO Meng1，2，YU Sunjie1，2，ZENG Hui1，2，SHI Hongzhou1*（1.Beijing Key Laboratory of Mobile Computing and Pervasive Device（Institute of Computing Technology，Ch

4、inese Academy of Sciences），Beijing 100190，China；2.School of Computer Science and Technology，University of Chinese Academy of Sciences，Beijing 100049，China）Abstract:Focusing on coarse granularity of access control，low sharing flexibility and security risks such as data leakage of centralized medical

5、data sharing platform，a blockchain-based hierarchical access control and sharing system of medical data was proposed.Firstly，medical data was classified according to sensitivity，and a Ciphertext-Policy Attribute-Based Hierarchical Encryption（CP-ABHE）algorithm was proposed to achieve access control o

6、f medical data with different sensitivity.In the algorithm，access control trees were merged and symmetric encryption methods were combinined to improve the performance of Ciphertext-Policy Attribute-Based Encryption（CP-ABE）algorithm，and the multi-authority center was used to solve the key escrow pro

7、blem.Then，the medical data sharing mode based on permissioned blockchain was used to solve the centralized trust problem of centralized sharing platform.Security analysis shows that the proposed system ensures the security of data during the data sharing process，and can resist user collusion attacks

8、 and authority collusion attacks.Experimental results also show that the proposed CP-ABHE algorithm has lower computational cost than CP-ABE algorithm，the maximum average delay of the proposed system is 7.8 s，and the maximum throughput is 236 transactions per second，which meets the expected performa

9、nce requirements.Key words:medical big data;blockchain;access control;data sharing;smart contract;Attribute-Based Access Control(ABAC)0 引言 医疗信息化作为实现智慧医疗的必由之路，是医疗行业发展的必然趋势，也是我国医疗改革的重要方向1。区域医疗信息共享作为医疗信息化发展的总体趋势2，打破了传统医疗行业相对封闭的使用环境，使医疗数据的收集和使用更加便捷、迅速的同时，也带来了新的安全隐患，例如医疗数据泄露3-4、勒索攻击5等。医疗数据安全关乎个人隐私和社会福祉。区

10、块链具有去中心化、高信任、可追溯、不可篡改等特性，能满足复杂医疗场景下的安全可信需求6。区块链技术通过跟踪数据使用情况实现个人对数据的控制权，能为构建用户之间的互信关系提供解决方案。随着区块链技术在各行业的广泛应用以及被认同度的提升，医疗领域的数据共享方案也开始尝试采用区块链技术7-10。例如，我国首个基于区块链的医疗数据共享应用11就是由阿里健康与江苏省常文章编号：1001-9081（2023）05-1518-09DOI：10.11772/j.issn.1001-9081.2022050733收稿日期：2022-05-23；修回日期：2022-08-18；录用日期：2022-08-19。作者

11、简介：曹萌（1997），女，河南郑州人，硕士研究生，CCF会员，主要研究方向：信息安全、区块链；余孙婕（1998），女，浙江宁波人，硕士研究生，主要研究方向：信息安全、区块链；曾辉（1998），男，江西赣州人，硕士研究生，主要研究方向：信息安全、区块链；史红周（1971），男，陕西眉县人，高级工程师，博士，CCF会员，主要研究方向：物联网安全、大数据。第 5 期曹萌等：基于区块链的医疗数据分级访问控制与共享系统州市合作提出的。该应用以区块链技术为医疗信息化系统的底层架构，使常州市部分医疗机构之间能够共享患者的电子病历。借助区块链技术，个人能够通过瑞士Healthbank12实现医疗系统中的事务

12、处理，并通过终端设备的链接直接掌握及共享自己的健康信息。个人能够使用隐私管理器（Privacy Policy Manager，PPM）13实现数据共享，并且能够通过隐私偏好设置来限制医院某些数据请求行为。而且在PPM中，医院所有不符合个人隐私设置的数据请求均需要得到数据所有者的审核后才能被通过，对于被数据所有者同意使用的数据，医院必须对数据进行匿名处理得到符合平台共享规则的匿名数据集，并对该数据集进行哈希处理，哈希值作为数据集的ID回送给PPM。这样就确保了数据所有者能够全面了解所有共享出去的数据的使用情况。由于区块链的公开透明和不可篡改特性，由区块链记录的数据集使用和传递情况能够被有效地验证

13、和安全存储，从而为用户提供了可信赖的数据追踪服务。上述过程如图1所示。MedRec系统14作为一个基于区块链的分散式记录管理系统，其内部区块存储数据的访问权限，数据请求者必须先从区块链中获取数据访问权限后才能访问特定数据。该系统将数据访问权限的聚合作为区块链中的激励机制，鼓励各方机构参与构建区块链。区块链技术能够提高共享方之间的信任，在现阶段的医疗数据共享模式中逐渐成了共识。利用区块链的去中性化和不可篡改特性，数据提供者可将其作为数据使用日志的工具。访问控制技术是保障数据安全的重中之重15，它能够限制或制止未经授权的数据访问行为。基于密码学原理实现的访问控制技术能够保证数据共享过程中的安全，其

14、中常用的加密算法包括对称加密、非对称加密、基于身份加密（Identity-Based Encryption，IBE）以 及 基 于 属 性 加 密（Attribute-Based Encryption，ABE）等。对称加密在数据共享中的应用受制于两个因素：第一，为了数据安全性，数据共享方之间必须要有解密密钥才能获取数据明文；第二，密钥数随数据共享双方的组合数呈指数增长，大量的密钥伴随着复杂的管理。因此对称加密会使得共享过程过于复杂。非对称加密方式用公钥加密数据，用私钥解密数据。例如，在杨茂江16提出的医疗数据共享方案中，数据请求者初次数据请求通过后，将自己的公钥交由数据所有者进行数据加密，而后

15、收到由自身公钥加密的加密数据，请求者用自己的私钥即可解密数据；在Yue等17提出的共享医疗数据系统中，数据直接存储在私有区块链中，当数据请求发生时，数据提供者提取并加密数据，然后将加密数据和密钥一并发送给对方。随着医疗数据的日益增长，非对称加密的计算开销也会变得非常高18，每次共享都伴随巨大的计算开销。对于基于属性的加密算法19，属性即用户特征，例如年龄、性别、职业等，属性组合即可表示用户身份，再利用任意门限组合连接属性构成访问策略。属性加密算法通常将允许访问数据的用户属性（或访问策略）嵌入到密文（或密钥）中，只有满足访问策略的特定用户属性能够解密数据，由此可以看出，该类算法自然地支持一对多的

16、数据安全共享。而且为了防止用户之间的合谋攻击，属性加密算法将用户密钥与随机数相关联。由于上述优势，基于属性的加密算法在医疗共享方案有广泛的应用。Wei等20提出在个人电子病历中使用基于属性加密算法实现细粒度的访问控制，在保证了数据在云存储中的安全性的同时，还利用基于属性加密算法加入密文更新功能和用户撤销机制，增强了数据访问控制的灵活和安全性。在 Riad 等21提出的基于云的物联网医疗系统中，使用结合了基于属性的访问控制（Attribute-Based Access Control，ABAC）和云存储技术的访问控制机制 SE-AC（Sensitive and Energetic Access

17、Control），并且其中的托管域承担数据中转处理的任务，医疗数据提交到云存储之前，需要在此处进行基于属性的加密算法的加密处理，对数据的请求也会转发至托管域，待其验证过身份信息后，用户可以通过收到的属性等信息解密数据。Pournaghi等22提出的MedSBA方案中，使用基于属性的加密在不同策略下进行细粒度的访问控制，并且通过私有和公有区块链技术分配访问级别，保证了数据的安全性。基于属性的加密算法依然存在访问控制难、计算复杂度高、存在密钥托管等缺点23-25。另外，医疗数据的属性存在不同的敏感区度，如姓名、电话号码、身份证号码等高敏感度的属性如果泄露将会造成重大影响，而个人的一些诊断结果、报告

18、等数据的泄露相对来说影响较小。而且不同机构的需求对数据属性的敏感度区分也不一致，例如个体的家族史、年龄等敏感数据可以作为预测致癌率研究的关注对象，而地区等低敏感数据可以作为传染病传播模型的研究对象。由此，为了满足医疗数据共享的灵活性需求，为不同敏感度的属性制定不同的访问控制策略是非常必要的。本文提出了一种基于区块链技术的医疗数据分级访问控制和共享系统。采用医疗数据区块链上链下存储相结合的共享模式解决区块链数据存储昂贵的问题，其中链下存储原始医疗数据，链上存储数据描述和数据共享日志，区块链的不可篡改特性提高了方案的可行性。如上文所述，通过对医疗数据的属性按敏感性不同进行分级，以满足医疗数据共享的

19、灵活性需求，同时利用访问控制树、对称加密和基于属性的加密相结合的方法减少加密开销，还实现了医疗数据的细粒度访问控制。另外使用密钥生成中心（Key Generation Center，KGC）和属性验证中心（Attribute Validation Center，AVC）生成用户密钥。本文最后分析了该系统的性能和安全性，验证了本文方案在医疗数据共享中的安全性。1 相关研究 1.1区块链区块链提供了一种去中心化的分布式数据系统。参与系统的可信或半可信节点通过共识机制共同维护一条不断增长的链，发生过的记录均不可篡改，共识过程无需集中控制，通过 Hash、数字证书、签名等密码学机制确保记录无法被伪造或

20、破坏。因此，区块链天然具备去中心化、高可信、可追溯、不可篡改等优势。区块链按是否具有访问和管理权限图1基于区块链的数据共享过程Fig.1Blockchain-based data sharing process1519第 43 卷计算机应用可分为无许可区块链和许可区块链。无许可区块链的每个参与者均可以参与区块链的交易和数据共识过程，例如以太坊等；许可区块链为封闭网络，仅允许具有高信任度的节点来 验 证 交 易，只 对 特 定 的 群 体 开 放，例 如 超 级 账 本（Hyperledger Fabric）等。传统的共识机制，例如工作量证明（Proof-of-Work，PoW）、权益证明（Pr

21、oof-of-Stake，PoS）等，需要经过多个区块生成后才能确认，不可避免地存在效率低下的问题。以 Hyperledger Fabric 为代表的许可区块链选择确认时间相对固定的实用拜占庭容错（Practical Byzantine Fault Tolerance，PBFT）26算法解决快速确认问题，提高共识效率。同时，许可区块链存在参与方的部分信任基础，性能更优；采用高性能节点作为核心节点，减弱每个节点都参与完整处理的制约，扩展性更优；用户准入和交易活动受到限制，稳定性更优；可根据不同需求进行模块化的定制，灵活性更优。因此，许可区块链更符合医疗数据共享需求。1.2CP-ABE算法基于属性

22、的加密算法主要分为密钥策略属性基加密（Key-Policy Attribute-Based Encryption，KP-ABE）27-28和密文策 略 属 性 基 加 密（Ciphertext-Policy Attribute-Based Encryption，CP-ABE）29-30两种。KP-ABE 和 CP-ABE 基本结构如图 2所示：KP-ABE中，密文中含有用户属性信息，如果用户的密钥访问策略与属性相匹配，用户可以解密密文；在CP-ABE中，用户密钥含有用户属性信息，密文含有一个访问结构，如果用户密钥的属性信息满足密文中的访问策略，就可以解密密文。KP-ABE给出了一个用户可以访问

23、哪些信息的方案，而CP-ABE给出了哪个用户可以读取密文的方案。在医疗数据共享的实际场景中，存在大量的信息需要共享给他人，这与CP-ABE提出的方案更加契合。以下是CP-ABE算法的四个步骤：1）Setup（k）：通过安全参数k，生成系统公钥PK和主密钥MK。2）Encrypt（PK，M，）：首先，将访问控制策略转化为访问控制树结构，如图 3所示，结构树中的att(x)是x节点表示的属性，i of j意味着访问者必须满足该节点下j个属性中要有i个属性才能访问该节点中的秘密。然后，利用访问结构对明文M加密，得到密文CT。3）KenGen（MK，S）：从数据请求者的属性集合S生成密钥SK。4）De

24、crypt（PK，CT，SK）：利用公开参数PK和自身密钥SK递归计算访问控制树，解密密文CT，得到明文M。2 系统设计 2.1系统框架本文设计基于许可区块链的医疗数据共享系统架构如图4所示，包括核心层、服务层和应用层。1）核心层：负责许可区块链的底层运行，为数据共享服务提供核心支撑。各功能由许可区块链提供，包括智能合约、共识机制、区块同步、账本管理、交易验证和背书策略等模块。2）服务层：负责实现数据共享平台的各服务，包括区块链模块和加密模块。区块链模块基于核心层开发，包括组织管理模块和链码模块。其中：组织管理模块负责管理数据共享的各参与方，并为它创建共享通道；链码模块负责智能合约的创建、部署

25、和执行，是数据共享可信执行的基础保障。加密模块负责实现密文策略属性基分级加密（Ciphertext-Policy Attribute-Based Hierarchical Encryption，CP-ABHE）算法（2.3.2节），保证CP-ABHE算法在各环节的稳定执行。3）应用层：封装数据共享平台提供的各服务，使用户可以通过HTTP接口的方式调用所需要的数据共享服务，为用户使用提供便利。2.2共享模式本文使用智能合约制定共享规则，智能合约内容公开透明且不可篡改，在满足对应条件时能够自动执行。同时，借助区块链存储数据共享记录，通过区块链本身的可审计性保障数据共享记录的可信性。但是，区块链存储

26、成本较高，若将大量医疗数据存储在区块链，不仅会大幅影响区块链性能，且一旦密钥泄露，数据安全将无法得到保证。因此，本文选择将医疗数据存储在各机构的数据库中，在此基础上通过分级访问控制算法实现机构对数据的控制。本文提出的数据共享模型如图5所示，包括个人、机构、数据使用者和共享平台。其中，共享平台为个人、机构和数据使用者提供数据共享服务。1）数据产生：个人参与日常活动会产生大量医疗数据，如医院就诊、体检、使用便携式医疗设备等。在经过个人同意的前提下，机构将会对这些数据进行采集、清洗和处理。2）数据存储：机构根据本文2.3.1节提出的数据分级标图2KP-ABE和CP-ABE基本结构Fig.2Basic

27、 structures of KP-ABE and CP-ABE图 3CP-ABE访问控制树结构Fig.3CP-ABE access control tree structure图4数据共享系统架构Fig.4Architecture of data sharing system1520第 5 期曹萌等：基于区块链的医疗数据分级访问控制与共享系统准对数据进行分级，并依据访问控制策略，使用本文 2.3.2节提出的 CP-ABHE 算法的加密方法对数据进行加密并存储。3）数据注册：机构将数据信息（包括数据描述、加密密钥、机构信息、相关个人、访问控制策略和数据地址等）上传至数据共享平台，并将数据信息存

28、储至区块链上。4）密钥申请：使用者可以根据自身属性向数据共享平台申请密钥，属性授权机构验证其身份后，使用CP-ABHE算法的密钥生成方法生成对应密钥，并向使用者发送。5）数据请求：使用者在共享平台检索数据，向平台发送数据请求，平台收到请求后向使用者返回数据信息。6）数据发送：使用者收到数据信息后，根据数据地址获取密文数据，使用CP-ABHE算法的解密方法解密密文。7）使用日志查询：共享参与方可以通过向共享平台发送请求来查询数据使用情况。2.3医疗数据多级访问控制算法2.3.1医疗数据分级标准医疗数据的组成结构复杂多样，不仅包含患者的身份信息和检查数据，也包括医生的诊断记录。针对不同来源、不同敏

29、感程度的数据，所应用的访问控制策略也应该不同。因此，为实现医疗数据的高灵活性隐私保护，本文按照 健康医疗数据安全指南 的风险级别和重要程度，将医疗数据分为以下三个等级：高敏感、中敏感和低敏感。其中，高敏感数据不参与数据共享活动，不同级别的数据可以执行不同的访问控制策略。具体的医疗数据分级标准如下：1）高敏感数据：可以标识个人身份的信息或暴露后会给患者造成重大影响的信息，如姓名、电话、身份证号、地址、生物识别（指纹、视网膜、声音、基因等）、照片、信仰等。2）中敏感数据：不能标识个人身份的信息且模糊化后仍有重要医学意义的数据，可以保留模糊后的结果，如年龄、地区、家族史、婚姻生育史等。3）低敏感数据

30、：其他医疗数据，如年龄范围、性别、疾病、主诉、药品、生活习惯、诊断结果、手术记录、检查报告等。同时为实现医疗数据的访问控制，需要依据数据使用者身份信息对其进行划分，包括使用者的类型和使用者的专业等级。使用者属性集合如表 1所示。其中使用者的类型包括：研 究 机 构（Research-Institute）、保 险 公 司（Insurance-Company）、医院（Hospital）和个人（Person），反映使用者的身份类型。使用者的专业等级从高到低分为 A、B、C 三类，反映使用者的资质信息，不同的使用者类型应用不同的专业等级分类标准，例如：一级医院、二级医院、三级医院对应医院（Hospit

31、al）使用方的A、B、C三类专业等级。每个使用者应同时包含使用者类型和使用者专业等级两方面属性，且不得包含多个使用者类型属性或多个使用者专 业 等 级 属 性，例 如，三 级 医 院 使 用 者 属 性 集 合 为S=Hospital，A。使用门限值连接使用者属性集合构成医疗数据的访问策略，例如，仅允许A级医院或A级保险公司访问的医疗数据访问控制策略表示为=“Hospital Insurance-Company 1 of 2 A 2 of 2”。2.3.2CP-ABHE算法传统的分级数据属性加密策略针对中敏感数据M1和低敏感数据M2的两种不同的访问策略1和2需要使用两次CP-ABE算法，计算开

32、销较大。但在实际应用中，中敏感数据与低敏感数据的访问策略往往存在依赖关系，即中敏感数据的访问策略包含低敏感数据的访问策略要求。例如，低敏感数据访问策略为=“Hospital Insurance-Company 1 of 2”，即所有医院和保险公司均可访问，如图6（a）；中敏感数据的访问策略为=“Hospital Insurance-Company 1 of 2 A 2 of 2”，即仅A类的医院和保险公司可以访问，如图6（b）。考虑到中敏感数据与低敏感数据访问策略间的依赖关系，本文合并中敏感数据和低敏感数据的访问控制树，合并策略为将低敏感数据的访问控制树整体作为访问控制树根节点的左孩子，并将中

33、敏感数据访问控制策略的附加条件作为访问控制树根节点的右孩子，根节点使用2 of 2连接，如图6（c）。访问控制树的叶子节点数量与传统方案相比减少约50%，同时，考虑叶子节点的椭圆曲线群幂运算比中间节点的有限域运算复杂度更高，该方案可以有效降低计算开销。与此同时，考虑当原始数据较大时，对明文数据直接进行属性加解密存在较大的计算开销。因此，本文联合对称加密方案，用对对称加密密钥的属性加解密取代对明文数据的属性加解密过程，当数据量较大时，将有效减少加、解密时间。此外，CP-ABE算法中的第三方机构属性授权机构可以获取任意用户密钥，若属性授权机构遭受攻击，数据的安全性将遭到破坏。因此，本文使用属性验证

34、中心和密钥生成中心共同生成用户密钥，第三方机构均无法单独获取用户密钥。图5医疗数据共享模型Fig.5Medical data sharing model表1使用者属性集合Tab.1Collection of user attributes属性分类使用者类型使用者专业等级属性值Research-Institute，Insurance-Company，Hospital，PersonA，B，C图6访问控制树转换示意图Fig.6Schematic diagram of access control tree transformation1521第 43 卷计算机应用CP-ABHE访问控制算法具体设计如

35、下：1）Setup（k）：输入安全参数k，生成一个阶为素数p，生成元为g的双线性群G0和一个双线性映射e：G0 G0 G1。生成全局公钥：PKglobal=(G0，g)属性验证中心随机选取 Zp，生成公钥和主密钥：PKAVC=e(g，g)MKAVC=g密钥生成中心随机选取 Zp，生成公钥和主密钥：PKKGC=gMKKGC=最终得到系统公钥：PK=(G0，g，h=g，e(g，g)2）Encrypt（PK，Mmedium，Mlow，）：对明文Mmedium、Mlow在访问结构下加密，输出密文CT。加密过程如下：生成访问控制树：和CP-ABE算法相同。递归计算访问控制树：为每一个节点x选择一个多项式

36、qx，多项式qx的度dx比该节点的门限值kx少1，即dx=kx-1。从根节点xmedium开始选择随机数smedium Zp，为根节点生成多项式为qmedium，设置qmedium(0)=smedium，为根节点的左孩子节 点xlow生 成 多 项 式 为qlow，设 置qlow(0)=slow=qmedium(index(xlow)，对于其他节点x，选取多项式qx，令qx(0)=qparent(x)(index(x)，parent(x)为节点x的父亲节点，随机选取dx个点来完全定义qx。对称加密：随机生成mmedium，mlow G1，作为 AES 对称加密密钥对mmedium和mlow加密

37、得到密文：C=(C1medium=AES.encrypt(mmedium，Mmedium)，C1low=AES.encrypt(mlow，Mlow)计算密文：设访问结构中所有叶子节点集合为Y，则明文Mmedium、Mlow在访问结构下的密文为：CT=(，C?medium=mmediume(g，g)smedium，Cmedium=hsmedium，C?low=mlowe(g，g)slow，Clow=hslow，y Y：Cy=gqy()0，)Cy=H(att(y)qy()03）KenGen（MK，S，K）：为属性集合S生成密钥SK。用户选择随机数x Zp，计算gx，将(S，K=gx)发送给属性认证

38、中心。属性认证中心选择随机数r Zp，计算D=K+r=gx (+r)，将D发送给密钥生成中心。对于每一个j S选择随机数rj Zp，计算SK1，将SK1返回给用户。SK1=()j S：Dj=gr H(j)rj，Dj=grj密钥生成中心计算D=(D)1/=gx (+r)，并将D发送给用户。用户计算D=(D)1/x=g(+r)，得到密钥：SK=()D=g(+r)，j S：Dj=gr H(j)rj，Dj=grj4）Decrypt（PK，CT，SK）：使用公开参数PK和密钥SK将CT解密为明文Mmedium、Mlow。递归计算访问控制树：和CP-ABE算法相同。递归计算至根节点的左孩子节点得到e(g，

39、g)r qlow(0)=e(g，g)rslow；递归计算至根节点得到e(g，g)r qmedium(0)=e(g，g)rsmedium。计算明文：计算中敏感明文：Mmedium=AES.decrypt()C?medium e(Cmedium，D)e(g，g)rsmedium，C1medium=AES.decrypt()mmedium e(g，g)smediume(hsmedium，g(+r)e(g，g)rsmedium，C1medium=AES.decrypt()mmedium，C1medium=Mmedium同理，计算低敏感明文：Mlow=AES.decrypt(C?low e(Clow，D

40、)e(g，g)rslow，C1low)=AES.decrypt(mlow e(g，g)slowe(hslow，g(+r)e(g，g)rslow，C1low)=AES.decrypt(mlow，C1low)=Mlow3 安全分析 3.1算法安全性Bethencourt 等29在 DBDH（Decisional Bilinear Diffie-Hellman）假设下证明了 CP-ABE 的安全性，AES 对称加密算法作为美国联邦政府采用的一种对称加密标准，安全性获得认可。本文提出的CP-ABHE算法基于CP-ABE算法实现，并结合了AES对称加密算法，算法安全性不低于CP-ABE算法和AES对称加

41、密算法，下面给出证明。定义1 CP-ABE算法安全，且AES对称加密算法安全。定理 1 本文提出的 CP-ABHE 算法安全性不低于 CP-ABE算法和AES对称加密算法。证明 考虑CP-ABHE算法的四个步骤：1）Setup：CP-ABHE 公钥PK与 CP-ABE 一致；主密钥MK拆分为两个部分由属性验证中心和密钥生成中心分别保管，并未降低系统安全性。2）Encrypt：与 CP-ABE 算法相比，CP-ABHE 属性加密的主体是 AES 对称密钥，明文通过 AES 对称密钥加密，而 CP-ABE 算法属性加密的主体是明文。针对 AES 对称密钥mmedium、mlow的属性加密过程，mm

42、edium与 CP-ABE 在访问结构下的加密过程一致，mlow与CP-ABE在访问结构根节点左子树下的加密过程一致。3）KenGen：CP-ABHE 的密钥SK1的生成过程与 CP-ABE一致；SK2=(D=g(+r)由属性认证中心、密钥生成中心和用户共同生成，基于离散对数求解的困难性，用户无法从已知的h=g，D=gx (+r)，K=gx中计算出主密钥g、，因此SK2的生成过程不会暴露主密钥，不会降低系统安全性。4）Decrypt：与 CP-ABE 算法相比，CP-ABHE 属性解密得到 AES 对称密钥，明文通过 AES 对称密钥解密得到，而 CP-ABE算法属性解密直接得到明文。AES对

43、称密钥mmedium，mlow的属性解密过程与CP-ABE一致。综上所述，CP-ABHE算法四个步骤安全性均不低于CP-ABE 算法，且通过将加（解）密主体明文替换为 AES 对称密钥，使CP-ABHE的安全性不低于AES对称加密算法。定理2 若用户只符合低敏感数据的访问策略，则无法访问中敏感数据。证明 用户符合低敏感数据的访问策略，可以递归至根节点的左孩子xlow得到e(g，g)rslow；且由于用户不符合中敏感数据的访问策略，无法递归至根节点xmedium得到e(g，g)rsmedium。与此同时，生成的左、右孩子节点多项式值不相关，用户无法1522第 5 期曹萌等：基于区块链的医疗数据分

44、级访问控制与共享系统从slow=qlow(0)推断smedium=qmedium(0)，即无法从e(g，g)rslow推断得到e(g，g)rsmedium。定义2 CP-ABE可以抵御用户合谋攻击：如果多个用户串通，他们只有在至少一个用户能够自己解密的情况下才能解密密文29。定理3 CP-ABHE可以抵御用户合谋攻击。证明 CP-ABHE与CP-ABE一致，每个用户的密钥SK中包含属性认证中心生成的随机值，在计算叶子节点时，不同密钥中的Di包含的r Zp不同，无法合谋计算至根节点的左孩子得到e(g，g)rslow或计算至根节点得到e(g，g)rsmedium，因此无法合谋解密低敏感或中敏感密文

45、。定理4 CP-ABHE解决权威单点攻击问题。证明 由于离散对数属于困难性问题，属性验证中心无法从系统公钥h=g和密钥生成过程中获取的gx (+r)中获取主密钥，而属性验证中心无法从e(g，g)中获取主密钥g。因此，属性验证中心和密钥生成中心无须完全可信，即使任意一方遭受攻击，仍然可以保证攻击者无法获得合法的密钥。定理5 CP-ABHE可以抵御权威合谋攻击：即使多个权威机构串通也无法解密密文。证明 属性验证中心和密钥生成中心联合计算出来的D=gx (+r)包含用户随机生成的随机数x Zp。即使属性验证中心和密钥生成中心合谋尝试得到用户密钥，必须从gx中计算出x，而这是一个离散对数困难性问题。3

46、.2系统安全性医疗数据中往往蕴含着患者大量敏感信息，一旦泄露，将会给患者带来巨大的负面影响。本文提出的医疗数据共享系统在数据生命周期的各个环节均能保证数据的安全性，包括数据存储、数据共享、数据访问。与此同时，区块链具有天然的不可篡改和可审计性，当各方针对共享数据的完整性和真实性产生怀疑时，区块链中记录的医疗数据共享过程可以提供可信的溯源追责。1）数据存储：相关机构的数据库中存放的数据为经过对称加密后的数据，即使数据库遭受外部攻击后医疗数据被暴露，攻击者也无法从密文中获取任何信息。此外，共享的医疗数据不包含高敏感数据，无法直接识别个人。2）数据共享：本文提出的医疗数据共享系统以区块链为基础，通过

47、共识机制和加密算法来保障数据共享过程的安全性，去中心化的结构避免单点故障风险，为数据共享过程提供安全保障。3）数据访问：医疗数据通过2.3节提出的CP-ABHE算法实现分级访问控制，本文3.1节证明了该算法在满足访问控制需求前提下，具备安全性，可以抵御用户合谋攻击、权威单点攻击和权威合谋攻击。4 实验与结果分析 4.1仿真系统本文方案使用 Java 语言，基于 JPBC 双线性映射库、Hyperledger Fabric SDK 实现。各节点均运行在同一物理服务器上，部署时使用 Docker 虚拟化技术。实验环境配置如下：操作系统为 Ubuntu16.04，64 位；CPU 为 4 核（vCP

48、U），内存16 GiB。本文使用Hyperledger Fabric V1.4许可区块链实现医疗数据共享系统，数据共享系统网络节点包括区块链各节点和属性授权机构各节点，节点架构如图 7所示。其中，区块链节点作为系统的底层核心，为数据共享服务提供支撑；属性授权机构节点为访问控制算法 CP-ABHE 提供加解密支持；区块链网络中包含两个组织，即机构组织（Institution Org）和请求者组织（Requester Org），其中，机构组织对应数据共享中的数据收集者，请求者组织对应数据共享中的个人和使用者。本文使用糖尿病并发症预警数据集31作为仿真系统的医疗健康数据集，该数据集是关于200名糖尿

49、病患者的健康数据，包括患者的性别、年龄、身高、体重、血压、心跳、血液检测结果等属性。4.2系统性能本文将 Hyperledger Fabric 性能和规模工作组发布的白皮书中定义的主要性能评估关键指标作为系统性能评估指标，包 括 交 易 时 延（Transaction Latency）和 交 易 吞 吐 量（Transaction Throughput）32，交易吞吐量表示为每秒事务数（Transactions Per Second，TPS）。交易时延和交易吞吐量也被认为是区块链系统中评估频率最高的宏观指标33，例如，比特币交易吞吐量约每秒 7笔交易，交易时延约 10 min34。本文使用 J

50、Meter压力测试工具对医疗数据共享仿真系统的两个关键交易环节进行性能测试，包括 Query交易和 Invoke交易。其中，Query交易执行数据查询活动，Invoke交易执行数据注册活动。由于 Query 交易只涉及一个 Peer 节点，而Invoke交易涉及多个Peer节点，并需要Orderer节点参与事务排序和打包，因此Invoke交易与Query交易在相同系统并发度下，时延更高、吞吐量更低。本文在系统并发度为100700 TPS时测试Query交易性能，时延与吞吐量如图 8所示。Query 交易失败率为 0%，交易最大平均时延为3 s，最大吞吐量为每秒处理236个事务，均处于可接受范围