[发明专利]基于可审计的策略基可净化签名的电子医疗数据共享系统

权利要求书

1.基于可审计的策略基可净化签名的电子医疗数据共享系统，其特征在于包括：

可信中心；可信中心是完全可信的实体，负责系统的初始化以及为医疗数据净化者生成属性密钥；在发生争议时收集证明标签，找出签名的实际生成者；

医疗数据提供者；医疗数据提供者提供医疗数据并对医疗数据签名，以保证医疗数据的可认证性，并指定医疗数据净化的访问策略；在发生争议时，生成证明标签以证明自己是或者不是签名的实际生成者；

医疗数据净化者；满足医疗数据提供者指定的访问策略的医疗数据净化者修改医疗数据，并且能在没有医疗数据提供者的帮助下生成有效的签名；在发生争议时，同样生成证明标签；

医疗数据使用者；医疗数据使用者访问云服务器中医疗数据和签名，并能够验证签名的有效性，从而确认数据的有效性，将数据用于诊断和研究；

云服务器；云服务器是半诚实的，提供存储电子医疗数据和签名的服务，但是不可以修改数据；通过将数据存储到云中，减少用户本地存储的负担，用户以非交互的方式与他人共享数据。

2.根据权利要求1所述的基于可审计的策略基可净化签名的电子医疗数据共享系统，其特征在于包括以下算法：系统初始化算Setup，主密钥对生成算法ParGen，医疗数据提供者密钥对算法KGen_sig，医疗数据净化者密钥对生成算法KGen_san，属性密钥生成算法AttKGen，签名算法Sign，净化算法Sanit，签名验证算法Verify，医疗数据提供者证明标签生成算法Proof_sig，医疗数据净化者证明标签生成算法Proof_san，判断算法Judge；

Setup(1^κ)：由可信中心执行，输入安全参数1^κ，输出公共参数pp；

ParGen(pp)：由可信中心执行，输入公共参数pp，输出主密钥msk和公钥mpk；

KGen_sig(pp)：由医疗数据提供者执行，输入公共参数pp，输出医疗数据净化者的密钥对(sk_sig,pk_sig)；

KGen_san(pp,i)：由医疗数据净化者执行，输入公共参数pp和身份i，输出医疗数据净化者的密钥对(sk_san,i,pk_san,i)；

AttKGen(mpk,msk,pk_san,i,S)：由可信中心执行，输入公钥mpk、主密钥msk、净化者公钥pk_san,i和属性集S，为医疗数据净化者生成属性密钥sk_S；

由医疗数据提供者执行，输入公钥mpk、净化者公钥集合医疗数据提供者私钥sk_sig、医疗数据m、可修改块描述集合ADM和访问策略A，输出医疗数据签名σ；

由医疗数据净化者执行，输入公钥mpk、医疗数据提供者公钥pk_sig、净化者公钥集合医疗数据净化者私钥sk_san,j、属性密钥sk_S、医疗数据m、签名σ和修改操作集MOD，输出医疗数据签名σ′和修改后的医疗数据m′；

由医疗数据使用者执行，输入公钥mpk、医疗数据提供者公钥pk_sig、净化者公钥集合医疗数据m和签名σ，若签名σ有效则输出1，否则输出0；

Proof_sig(mpk,sk_sig,pk_sig,m,σ)：在发生争议时由医疗数据提供者执行，输入公钥mpk、医疗数据提供者私钥sk_sig、医疗数据提供者公钥pk_sig、医疗数据m和签名σ，输出证明标签π；

Proof_san(mpk,sk_san,j,pk_san,j,m,σ)：在发生争议时由医疗数据净化者执行，输入公钥mpk、医疗数据净化者私钥sk_san,j、医疗数据净化者公钥pk_san,j、医疗数据m和签名σ，输出证明标签π；

由可信中心执行，可信中心需要负责收集到足够的证明标签；算法输入医疗数据提供者公钥pk_sig、净化者公钥集合医疗数据m、签名σ和证明标签π，输出签名的实际生成者身份。

3.根据权利要求2所述的基于可审计的策略基可净化签名的电子医疗数据共享系统，其特征在于：

在系统初始化阶段，可信中心运行Setup算法来生成系统的公共参数；令EQS表示等价类签名方案，FAME表示属性加密方案，设G₁,G₂,G_T是q阶乘法循环群，g₁,g₂分别为群G₁,G₂的生成元，e:G₁×G₂→G_T为非对称双线性映射；首先执行BG＝(G₁,G₂,G_T,g₁,g₂,e,q)←G(1^κ)，选择哈希函数H₁:{0,1}^*→G₁，H₂:{0,1}^*→G₂，H:{0,1}^*→Z_q和对称密钥加密方案

SE＝{KGen,Enc,Dec}，令pp＝(BG,SE,H₁,H₂,H)，输出pp；

主密钥对生成阶段，执行(msk_FAME,mpk_FAME)←FAME.Setup(1^κ)，令mpk＝(pp,mpk_FAME)，msk＝msk_FAME，输出(mpk,msk)；

在密钥对和属性密钥生成阶段，随机选择x_S∈Z_q，计算执行(pk_EQS,sk_EQS)←EQS.KGen(BG,1^κ)，令sk_sig＝(sk_EQS,x_S)，pk_sig＝(pk_EQS,y_S)，输出(sk_sig,pk_sig)；随机选择x_i∈Z_q，计算返回(sk_san,i,pk_san,i)←(x_i,y_i)；如果则返回⊥；执行sk_S←FAME.KGen(msk_FAME,S)，返回sk_S；

在签名阶段，由医疗数据提供者执行，如果ADM(m)≠1，返回⊥；将医疗数据m分成l个块，即m＝m₁||m₂||...||m_l；对于0＜i≤l，选择计算令

计算μ←EQS.Sign(sk_EQS,(U₁,...,U_l))，η←EQS.Sign(sk_EQS,(C₁,...,C_l))；随机选择τ∈{0,1}^κ，执行k←SE.KGen(1^κ)，c←SE.Enc(k,(ADM,{ζ_i}_i∈[l]))，令K←encode(k,τ)，执行c_K←FAME.Enc(mpk_FAME,K,A)；接着，令计算h＝H₁(m,σ_s)和为了证明随机选择v,计算和ρ₁＝v-ρ₂·x_S，令返回签名σ←(σ_s,T₁,T₂)；

在净化阶段，由医疗数据净化者执行，如果Verify(mpk,pk_sig,σ,m)≠1则返回⊥；计算K←FAME.Dec(sk_S,c_K)，令(k,τ)←encode^-1(K)，计算(ADM,{ζ_i}_i∈[l])←SE.Dec(k,c)，如果ADM(MOD)≠1则返回⊥；令m′＝MOD(m)＝m′₁P...Pm′_l，随机选择r,对于0＜i≤l，令计算ζ′_i＝s·ζ_i以及

公式解释：

如果i∈ADM，即i是可修改块描述集合ADM中的元素，则计算

该计算式表示哈希值H₂(i||m′_i)的ζ_i′幂次方；

如果是其他情况即i不是可修改块描述集合ADM中的元素，则计算该计算式表示签名值σ_i的s幂次方；

随机选择τ′∈{0,1}^κ，计算c′←SE.Enc(k,(ADM,{ζ′_i}_i∈[l]))，令K′←encode(k,τ′)，执行c′_K←FAME.Enc(K′,A)；计算μ′←EQS.ChgRep(pk_EQS,(U₁,...,U_l),μ,r)，η′←EQS.ChgRep(pk_EQS,(C₁,...,C_l),η,r·s)；接着，令计算h＝H₁(m′,σ′_s)，为了证明随机选择v′,ρ′₁,ρ′₂,计算和ρ′_3,j＝v′-ρ′_4,j·x_j，令令σ′＝(σ′_s,T′₁,T′₂)，返回(m′,σ′)；

在签名验证阶段，由医疗数据使用者执行，计算h＝H₁(m,σ_s)，验证下列式子：

EQS.Vf(pk_EQS,(U₁,...,U_l),μ)＝1

EQS.Vf(pk_EQS,(C₁,...,C_l),η)＝1

如果以上等式成立则返回1，否则返回0；

公式解释：

只有与哈希值

相等并且对于所有的i∈[l],即i是集合[l]中的元素，C_i与g₁不相等且EQS.Vf(pk_EQS,(U₁,...,U_l),μ)＝1并且EQS.Vf(pk_EQS,(C₁,...,C_l),η)＝1并且对于所有的i∈[l],即i是集合[l]中的元素，e(U_i,σ_i)与e(C_i,H(i||m_i))相等时算法返回1，否则返回0；

在证明标签生成阶段，Proof_sig(mpk,sk_sig,pk_sig,m,σ)→π，由医疗数据提供者执行，计算h＝H₁(m,σ_s)，分以下两种情况：

(1)如果则证明“x_S＝log_gy_S＝log_gT₁”；随机选择ω∈Z_q，计算π₁＝H(g^ω,h^ω)和π₂＝ω-π₁·x_S，令π＝{π₁,π₂}；

(2)如果则证明“x_S＝log_gy_S≠log_gT₁”；随机选择ω₁,ω₂,ω₃∈Z_q，计算π₃＝ω₃+ω₁π₂和π₄＝ω₂+ω₁π₂x_S，令π＝{π₁,π₂,π₃,π₄}；返回证明标签π；

Proof_san(mpk,sk_san,j,pk_san,j,m,σ)→π，由医疗数据净化者执行，计算h＝H₁(m,σ_s)，分以下两种情况：

1)如果则证明“x_j＝log_gy_j＝log_gT₁”；随机选择ω∈Z_q，计算π₁＝H(g₁^ω,h^ω)和π₂＝ω-π₁·x_j，令π＝{π₁,π₂}；

2)如果则证明“x_j＝log_gy_j≠log_gT₁”；随机选择ω₁,ω₂,ω₃∈Z_q，计算π₃＝ω₃+ω₁π₂和π₄＝ω₂+ω₁π₂x_j，令π＝{π₁,π₂,π₃,π₄}；

返回证明标签π；

在审计阶段，由可信中心执行，计算h＝H₁(m,σ_s)，分以下两种情况：

(Ⅰ)当π＝{π₁,π₂}说明存在用户生成了自己是签名的实际生成者，如果则返回Signer；如果则输出Santizer-i；

(Ⅱ)当π＝{π₁,π₂,π₃,π₄}，则需要收集足够的证明标签；当收集到足够的证明标签，如果π₁≠1且说明所有净化者生成了自己不是签名的实际生成者，则返回Signer；如果且说明医疗数据提供者和除sanitizer-i的其余净化者生成了自己不是签名的实际生成者，则输出Santizer-i。