基于区块链的移动医疗物联网细粒度访问控制方法及系统与流程

本发明属于信息安全领域，尤其涉及基于区块链的移动医疗物联网细粒度访问控制方法及系统。

背景技术：

1、本部分的陈述仅仅是提供了与本发明相关的背景技术信息，不必然构成在先技术。

2、物联网作为一种新兴技术，通过接入大量的传感器和智能终端设备，与互联网构成了一个万物互联的整体，为工业生产、智慧城市、交通管理、医疗健康等大规模应用提供随时随地的智能化交互服务。移动医疗物联网(mobile internet of medical things，miomt)通过可穿戴的移动设备收集患者的医疗数据。医护人员和患者可以通过便携的移动设备远程访问这些数据，以更好的诊断和交流病情。由于只拥有有限的计算和存储资源，移动设备无法长期存储和管理医疗数据。云计算凭借着强大的计算和存储能力，为物联网运行提供了强有力的支撑。云辅助下的物联网将移动设备接入云服务，享受着服务器集群提供的大容量存储和高性能计算服务。医疗健康领域利用物联网和云服务结合构建了云辅助的移动医疗物联网(ca-mobile internet of medical things，miomt)这一新型计算范式，可以为患者提供更高质量的医疗服务。

3、由于医疗数据中包含了患者的敏感数据，移动医疗物联网数据的云存储存着安全风险。透明数据不做加密或脱敏等处理就上传到云服务提供商存储，容易造成用户的隐私泄露；医疗数据上云存储导致了数据所有权和管理权分离，数据所有者无法实现对个人数据的访问控制和安全管理。由sahai和waters提出的基于属性的加密(abe)技术为上述问题提供了一种比较好的解决方法。属性加密能在实现加密的同时提供一对多的细粒度访问控制。根据访问策略和属性关联对象的不同，abe可以分为两类：kp-abe和cp-abe。其中cp-abe的特性更适用于对数据控制权需求较高的医疗物联网环境。

4、现有的许多cp-abe方案只考虑了数据的机密性，未考虑用户的隐私保护，将访问策略与密文一起显式的发送。访问策略中包含患者和授权用户的隐私信息，显式存储会泄露他们的隐私。如访问策略，(“医院：省立医院”and“部门：心血管内科”)or(“疾病：心脏病”and“性别：女”)，任何人都能从显式的访问策略中看出接收者为省立医院的心血管内科的医生或者为患有心脏病的女患者。并根据接收者的信息直接观察或推测数据拥有者患有心脏病，且正在省立医院接受治疗。同时暴露了数据拥有者和数据接收者的隐私，这是非常不安全的。然而在将访问策略隐藏后，数据访问者只能通过解密结果而不是直接比对属性来确定自己是否为合法授权访问者，无疑增加了非授权用户的无意义解密开销。为了解决该问题，许多方案提出在完全解密之前添加权限认证阶段。这些方案的权限认证阶段由资源有限的移动设备或者集中式的第三方进行，存在用户认证效率低和认证结果可信性差等问题。

5、此外，cp-abe利用了成本高昂的模幂和配对操作，这些操作要求计算设备有足够的电池容量和计算资源。移动医疗物联网环境中的移动设备只拥有有限的电量和计算能力，难以频繁执行生成密文或者解密密文等必要操作。由于移动医疗物联网环境中用户的大规模并发注册会降低注册阶段的效率，用户注册的效率也是目前面临的挑战之一。

6、例如，专利号为cn114650137a、名称为一种基于区块链的支持策略隐藏的解密外包方法及系统的中国发明专利，虽然提供了策略隐藏方法，但并未提供完全解密前的访问认证方法，增加了非授权用户的计算开销。专利号为cn113626831a、名称为一种云中支持隐私保护和解密的cp-abe方法的中国发明专利，虽然增加了解密测试算法和外包解密算法，以达到节省用户开销的目的，但并未关注到密钥生成和加密阶段的高计算开销。此外，其中解密测试算法由轻量级用户执行，依然给用户造成额外的计算开销，且不能达到分布式可信认证的目的。

技术实现思路

1、为克服上述现有技术的不足，本发明提供了基于区块链的移动医疗物联网细粒度访问控制方法及系统，使用策略隐藏机制，保护医疗系统中用户的隐私信息，在完全解密之前添加了访问权限认证阶段，且该认证阶段交由拥有一定计算能力的区块链节点执行，解决了因策略隐藏给非授权用户带来的解密开销难题，在减少用户计算开销的同时实现了用户访问权限的分布式可信认证；同时，采用在线/离线密钥生成和在线/离线加密机制，提升了移动用户的注册和加密效率，利用可验证的外包解密机制，减轻了移动用户解密过程中的计算负担。

2、为实现上述目的，本发明的一个或多个实施例提供了如下技术方案：

3、本发明第一方面提供了基于区块链的移动医疗物联网细粒度访问控制方法。

4、基于区块链的移动医疗物联网细粒度访问控制方法，包括以下步骤：

5、数据请求者发送属性集合至可信授权中心，获取属性密钥，属性密钥中包括权限认证过程中需要的认证密钥；

6、数据拥有者对拟共享数据加密得到密文，密文中包括权限认证过程中需要的认证密文，将密文发送给云服务提供商，并将访问策略、认证密文和云服务提供商返回的密文地址一起发送至区块链网络；

7、数据请求者发送属性集合和认证密钥至区块链网络，调用区块链网络中的智能合约进行访问权限认证，访问权限认证通过，则由区块链网络发送密文地址至数据请求者；

8、数据请求者基于属性密钥生成转换密钥，将转换密钥和密文地址一起发送至云服务提供商，云服务提供商根据密文地址，使用转换密钥对密文进行转换，并将得到的转换密文发送至数据请求者，由数据请求者进行用户解密并验证。

9、本发明第二方面提供了基于区块链的移动医疗物联网细粒度访问控制系统。

10、基于区块链的移动医疗物联网细粒度访问控制系统，包括可信授权中心、云服务提供商、区块链、数据拥有者和数据请求者，其中：

11、可信授权中心，其用于生成公共参数和主密钥，管理用户的注册，接收数据请求者提交的属性集合并生成相应的属性密钥，其中属性密钥的生成分为离线密钥生成和在线密钥生成两个阶段，并将属性密钥发送给数据请求者；

12、数据拥有者，其用于对拟共享数据加密得到密文，其中加密分为离线加密和在线加密两个阶段，将密文发送给云服务提供商，并将密文地址、访问策略和密文中的认证密文一起发送至区块链网络；

13、云服务提供商，其用于存储密文，接收数据请求者发送的密文地址和转换密钥，对密文进行部分解密，得到密文转换结果并发送给数据请求者；

14、区块链网络，其用于接收数据拥有者发送的密文地址、访问策略和认证密文，进行分布式存储，接收数据请求者发送的属性集合和认证密钥，由智能合约对数据请求者进行访问权限认证；

15、数据请求者，其用于发送属性集合至可信授权中心，获取属性密钥，基于属性密钥生成转换密钥；并发送属性集合和属性密钥中的认证密钥至区块链网络，调用区块链网络中的智能合约进行访问权限认证；若访问权限认证通过，接收区块链网络发送的密文地址；将转换密钥和密文地址一起发送至云服务提供商，接收云服务提供商发送的密文转换结果，进行用户解密并验证。

16、本发明第三方面提供了计算机可读存储介质，其上存储有程序，该程序被处理器执行时实现如本发明第一方面所述的基于区块链的移动医疗物联网细粒度访问控制方法中的步骤。

17、本发明第四方面提供了电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的程序，所述处理器执行所述程序时实现如本发明第一方面所述的基于区块链的移动医疗物联网细粒度访问控制方法中的步骤。

18、以上一个或多个技术方案存在以下有益效果：

19、1.与现有技术对比：针对访问策略与医疗系统中用户隐私信息的关联性，本发明利用访问策略隐藏机制保护用户隐私；引入了在线/离线密钥生成和在线/离线加密机制，提升移动用户的注册和加密效率；引入可验证的外包解密机制，减轻移动用户解密过程中的计算负担；在完全解密之前添加了访问权限认证阶段，解决了因策略隐藏给非授权用户带来的无意义解密开销的问题。

20、2.与未使用区块链的现有技术对比：本发明中密文地址、认证密文和访问策略发送给区块链进行存储，保证了数据的不可篡改性。且发明中的权限认证阶段交由区块链网络中的智能合约执行，减少用户计算开销的同时实现了用户访问权限的分布式可信认证。

21、3.与基于区块链的现有技术对比：本发明不仅利用区块链实现了关键信息的分布式存储，还利用区块链实现了用户访问权限的分布式可信认证。此外，本发明引入了在线/离线密钥生成和在线/离线加密机制，通过在离线阶段完成大部分计算来减少在线阶段的计算量，以使得在有限的计算资源和时间内完成更多的计算任务，大幅提升了移动用户的注册和加密效率。同时引入可验证的外包解密机制，将解密阶段的所有配对操作和大部分求幂操作都外包给云服务提供商，只留给用户一次求幂操作，大幅减轻了移动用户解密过程中的计算负担。

22、本发明附加方面的优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本发明的实践了解到。