基于物联网的隐私保护智能医疗大数据存储和自适应访问控制系统外文翻译资料

英语原文共 26 页，剩余内容已隐藏，支付完成后下载完整资料

基于物联网的隐私保护智能医疗大数据存储和自适应访问控制系统

摘要—在本文中，提出了一种具有自适应访问控制的隐私保护智能物联网医疗大数据存储系统。旨在保障患者医疗数据的安全，实现正常和紧急场景的访问控制，支持智能去重，节省大数据存储系统的存储空间。医疗物联网网络生成的医疗文件被加密并传输到存储系统，可以利用跨域访问控制策略在不同医疗域的医护人员之间安全地共享。传统的访问控制技术允许授权的数据用户解密患者的敏感医疗数据，但由于不允许现场急救人员获取患者的历史医疗数据，在患者生命受到威胁时也妨碍了急救。为应对这一困境，我们提出了一个安全系统来设计一种新颖的双重访问控制机制，该机制对正常和紧急情况都具有自适应性。在正常应用中，具有适当属性密钥的医护人员可以拥有数据访问权限；在紧急应用中，可以使用基于密码的玻璃门访问机制恢复患者的历史医疗数据。为了节省大数据存储系统的存储开销，设计了一种安全的去重方法，以消除具有相同数据的重复医疗文件，这些文件可能被不同的访问策略加密。这种智能安全去重方法的一大亮点是去重后剩余的医疗文件可以被不同原始访问策略 授权的所有数据用户访问。这个智能医疗大数据存储系统被正式证明是安全的，广泛的比较和模拟证明了它的效率。

关键词 隐私保护医疗大数据存储；物联网；自适应访问控制；智能重复；数据删除

一 引言

物联网(IoT)技术的发展[1]为医疗机构提供优质、便捷、普惠的医疗服务提供了可能。可以将一组微型无线传感器节点植入粘附在患者表面，监测健康状况并收集重要生理数据，有助于紧急医疗决策和慢性病检测[12,32].老年人可以使用可穿戴或植入式医疗传感器随时随地访问现代医疗服务，以提高他们的生活质量。

生理数据通过医疗物联网网络采集后，传输到医疗大数据中心进行存储和疾病诊断。为了保护患者的隐私，医疗文件需要在传输前进行加密，以防止公共领域的窃听。患者对受保护数据实施访问策略以定义授权属性和关系。只有拥有适当属性密钥的用户（如医生、护士、麻醉师或患者家属）才有权解密密文。这种加密方式称为基于属性的加密[33]。

在现代医疗系统中，一个症状不明的患者可能会在不同的医院进行诊断和治疗，并存储不同的病历。因此，有必要实现跨域安全数据共享系统，以方便患者在不同医院之间的治疗。例如，A医院出具的检查报告，B医院的医生可以访问，不同医院生成的加密医疗文件被发送到公有云进行存储和无孔不入的数据访问[9,10].患者为其受保护的医疗记录定义跨域访问策略。每位医务人员向其所在医疗机构注册，获取属性密钥，用于解密患者的加密文件。

医疗系统中可能会出现紧急情况，例如发生车祸或患者突然昏厥。在这些紧急情况下，迫切需要专利的电子病历来挽救他们的生命。然而，现场的救护人员往往无权访问加密的医疗文件。在这种情况下，保护数据隐私的安全机制可能会阻碍患者生命的紧急救援。因此，即使救护人员没有相关的属性密钥，也需要为救护人员设计一种打破玻璃的访问方法来访问电子医疗文件，这一点至关重要。同时，打破玻璃的访问方法应该是可管理和负责的，以防止攻击者恶意访问数据。

除了这些安全保护问题外，相同的医疗数据可能会被不同的医务人员在医疗大数据存储系统中使用不同的访问策略进行加密。 这些密文同时外包给公有云，可以占用巨大的存储空间。为了节省存储空间和传输开销，一种有效的方法是消除大数据存储系统中同一条消冗余密文，这称为去重。

1.1我们的贡献

针对上述安全问题，我们提出了一种保护隐私的医疗大数据存储和具有智能重复数据删除的自适应访问控制系统。我们的主要贡献总结如下。

1. 智能跨域数据共享：在实际应用中，患者可能属于不同的医疗机构（如不同的医院、诊所）。系统根据医疗机构划分为多个医疗域，支持医疗机构MI1患者的加密健康档案在医疗机构医疗人员或医疗机构研究人员(MI₁之间安全共享，bull;bull;bull;，MI_n)。患者病历采用基于属性的加密方式和跨域访问策略进行加密，使得整个系统的授权用户都可以访问。
2. 智能自适应门禁：本系统的门禁机制对正常和紧急情况进行自适应。患者和医护人员注册到自己的医疗域，并获得属性密钥，在正常情况下可以使用该密钥访问患者的加密文件。在紧急情况下，设计了一种紧急情况访问方法，以便可以通过基于密码的紧急情况密钥恢复患者的所有历史医疗文件。
3. 智能去重：该系统支持对基于属性的加密数据进行智能去重，以节省存储空间，降低公有云与数据用户之间的传输成本，分为三个阶段。首先，我们可以测试密文是否有效。接下来，我们可以测试密文是否包含相同的医疗文件。最后，使用组合访问策略对密文进行重新加密，使得原始密文的所有原始定义的授权用户都可以访问加密数据。在去重过程中，没有明文消息泄露到公有云。
4. 仿真性和安全性：本系统与其他相关方案进行了综合比较。我们还在现代测试台上对这些方案进行了模拟以测试性能。比较和模拟结果表明，我们的系统实现了多种有用的功能，并且我们提出的工作在存储和计算成本方面是有效的。基于决策双线性Diffie-Hellman假设，该系统被验证与选择的明文攻击无法区分。

1.2相关工作

1.2.1打破玻璃访问

2009年，布鲁克等人。[6]开发了一种带有break-glass的访问控制模型，以防止可能导致生命损失的系统停滞，以及支持 break-glass的安全架构。后来，他们将碎玻璃机制整合到属性中基于加密方案[7]启用安全日志记录，可用于分析用户在紧急情况访问过程中的行为。马里诺维奇等人。[24]提出了一种名为Rampole的新突破玻璃模型，该模型可以将完整性约束放入决策过程中，以便政策制定者可以以细粒度的方式管理突破玻璃访问权限。毛等人。[25]提出了一种具有无线传感器网络的医疗保健系统的破玻璃访问模型，该模型考虑了跨医疗域的访问权限的执行。然而，这些研究论文[6,7,24,25]只介绍架构而不是具体方案。2016 年，张等人。[35]提出了一种基于密码的安全门访问方案，该方案基于两因素加密构建：基于密码的加密和基于主密钥的加密。

1.2.2安全重复数据删除

2013年，Bellare等人。[3]提出了一种消息锁定加密原语来实现安全的重复数据删除，其中加密和解密密钥来自消息。他们扩展他们的工作[3]交互式消息锁定加密[4]具有上传和下载协议。两个研究项目中的重复数据删除系[3,4]可以互动。斯塔内克等人。[29]建议在云中支持重复数据删除的安全存储系统。2014年，李等人。

1. 提出了一种控制重复数据删除收敛键的系统。以基于秘密共享的Dekey技术为例。后来，他们开发了一个方案来解决混合云架构中不同权限的重复数据删除问题[18]私有云[8]。该提议对合谋攻击是安全的，并且证明与文件令牌/重复检查令牌无法区分。2015年，新的安基于公有云和全重复数据删除系统[20]，它是基于密码认证的密钥交换协议构建的。由于这些安全的重复数据删除系统不考虑访问控制问题，Cui等人。[11]提出了一种基于零知识证明的基于属性的访问控制的安全去重系统。

1.2.3基于属性的加密

2007年，Ostrovsky提出了一种基于属性的加密(ABE)算法[27]这样用户的密钥就可以代表单调和非单调的访问策略。为了减少解密计算开销，Green等人。[13]建议将解密负担外包，以便用户可以通过轻量级计算恢复消息。为了验证转换后密文的正确性，研究了可验证的外包解密问题[16,23,28]为正确性验证提供有效途径ABE中的叛徒追踪问题在[21,26]推断出出售密钥以获取金钱利益的恶意用户的身份。对加密ABE数据的安全搜索在[19,30]提供高效的关键字搜索。例如，数据用户向服务器发送关键字陷门以发出搜索查询。服务器以包含相同关键字的匹配密文进行响应。为了扩展视频内容的ABE安全性，Yang等人提出了一种基于时域属性的访问控制方案。[31]保护基于云的视频内容共享，将时间嵌入到密文和密钥中，实现时间控制。为了减少对单一权威的信任，研究了多权威ABE方案[14,15,22,34]。

二 初步的

在本节中，我们回顾了其余部分中使用的一些基本概念和定义。主要符号列于表格1。

2.1.访问政策

定义1.（访问结构[2]）。将{P₁,bull;bull;bull;,P_n} 定义为实体。如果任意B和C满足，则Asube;2{P₁，···，P_n}F149)是单调的：当Bisin;A和Bsube;C时，Cisin;A。访问结构（分别称为单调访问结构）是{P1 ,bull;bull;bull;, Pn} 的非空子集的集合（分别为单调集合）A， 即 A sube; 2{P₁,···，P_n }{phi;} 。A中的集合称为授权集合，并且不在A中的集合称为未授权集合。

定义 2.（线性秘密共享方案（LSSS）[2]）。在一组参与方P上的秘密共享方案 TI 称为线性（在Z上），如果每一方的份额在Z上形成一个向量。

1. 存在一个l行n列的矩阵M，称为TI的共享生成矩阵。对于所有 i = 1,···, l，M的第i行由一方rho;(i) 标记（rho;是从{1,bull;bull;bull;,l}到P的函数）。设置列向量 v = (s,r₂,···,r_n)，其中sisin; Z_p是要共享的秘密，r₂,··· , rnisin; Z_p是随机选择的，则Mv是根据TI的秘密s的l份向量。份额(Mv)i属于方rho;(i)。

根据定义，每个LSSS都实现了线性重建特性[2].假设TI 是一个LSSS{omega;_iisin;Z_p}i_isin;I使得，如果{lambda;_i}_iisin;访问结构 A。令SA是任何授权isin;集，并且Isub;{1 ,bull;bull;bull;,l}定义为 I={i:irho;(i)isin;S}。然后，存在常数{lambda;_i}_iisin;I是根据TI的任何秘密s的有效份额，则Sigma;_iisin;Iw_ilambda;_i。此外，它显示在[2]这些常数{omega;_i}_iisin;I可以在共享生成矩阵M大小的时间多项式中找到。对于未经授权的集合，不存在这样的常数。在本文中，将使用一个LSSS矩阵(M,rho;)来表示访问策略与密文相关联。

表1符号

2.2 双线性群

令G是一种算法，在输入安全参数lambda;时，将素数阶双线性映射的参数输出为 (p,g,G,GT,e)，其中G和GT是相乘的素数阶p和g的循环群是G的随机生成器。映射e: Gtimes;G→GT是双线性映射。双线性映射e具有三个性质：(1)双线性：forall;u, visin;Gand a,bisin;Zp,我们有e(ua, vb)= e(uv)^ab抗体。(2)非退化e(g,g)/= 1.(3)可计算性e可以有效地计算。

2.3 硬度问题

假设（DBDH：决策双线性Diffie-Hellman假设）。令G为素数阶p的双线性群，g为G的生成器。令alpha;,beta;,eta;isin;Zp机选择。如果给定敌手A = (g,g^alpha;,g^beta;,g^eta;)，则攻击者A很难区分e(g,g)^{alpha;beta;eta;}isin;GT和从GT中随机选择的元素T。

三 系统和安全模型

3.1系统型号

图.1提出了基于物联网的具有自适应访问控制和智能去重的医疗保健大数据存储系统的系统模型架构，涉及以下实体。下面介绍各个实体的特点和作用。

1. 密钥生成中心（KGC）：KGC是第三方可信实体，负责生成系统公共参数。它还创建一个主密钥并将其保密。KGC验证医疗机构的医疗质量并为其生成公钥/密钥。
2. 医疗机构（MI）：该系统可以容纳不同的医疗机构。医疗机构负责治疗患者，并负责管理其医疗领域的患者和医务人员。“医疗机构”应向 KGC 注册以获得公钥/私钥对。此外，它为患者和医务人员分配一组属性来描述他们的特征，并为他们生成属性密钥。每个医疗机构都有自己的私有云，在其管理域内代表用户启用存储和计算服务，例如患者紧急联系人列表存储、密文重加密和打破玻璃密钥提取等。

图1 系统模型

1. 数据所有者（基于医疗物联网）：患者始终扮演数据所有者的角色并由医疗物联网系统监控。几个微型无线传感器嵌入或表面安装在患者皮肤上，以形成健康物联网网络。这些传感器不断检测重要的生理参数并将其发送到聚合节点。然后，患者的电子医疗保健数据将包含在电子医疗文件中。为了保证患者的隐私，医疗文件被加密为密文，并为密文指定访问策略，进行访问控制，只有授权用户才能恢复受保护的医疗文件，并将其外包给公共云。为减少发生紧急情 况的可能性，患者预先设置了密码、碎玻璃钥匙和一组紧急联系人（如其主治医师、家人或朋友）。碎玻璃密钥可以解密目标患者的任何加密医疗文件。患者可以告诉紧急联系人

   剩余内容已隐藏，支付完成后下载完整资料

   ---

   资料编号：[604287]，资料为PDF文档或Word文档，PDF文档可免费转换为Word