无线体域网^[1]（wireless body area network, WBAN）指由佩戴或嵌入在人体的各种无线传感器（wireless sensor, WS）组成的无线通信网络.WBAN技术在医疗数据监测方面的应用极为广泛，不同类型的无线医疗传感器负责监测患者各个方面的医疗数据并将数据发送给各种远端服务器，方便对患者的医疗数据做出专业的分析与整合.然而，开放的WBAN在传输患者敏感的医疗数据时，面临着患者的隐私被泄露或医疗数据被恶意篡改等风险^[2].

许多国内外学者提出将密码体制应用到WBAN中，以确保WBAN的医疗数据在传输与共享时的机密性.Mykletun等人^[3]基于传统公钥密码（public key cryptography, PKC）体制，设计了一种保证无线传感网络数据机密性的加密方案.Nadir等人^[4]基于PKC体制与椭圆曲线密码体制为用户生成对称密钥来加密数据，确保医疗数据在无线传感网络中传输与共享时的机密性.然而，基于PKC体制的方案^[3-4]需要可信中心对用户证书进行管理，为消除证书管理的开销，一些基于身份加密体制的WBAN方案^[5-7]相继被提出.上述文献[3−7]利用对数据进行加密的方式确保了医疗数据传输时的机密性，但这种方式没有实现对医疗数据来源的认证.如果无法实现医疗数据的可认证性，不仅会导致医院浪费宝贵的医疗资源进行无效的诊断，还可能基于被篡改的医疗数据而对患者的病情做出错误诊断.

为了实现WBAN中医疗数据的可认证性，Ahn等人^[8]构造了一种基于高级加密标准（advanced encryption standard，AES）对称密码体制的认证方案.黄一才等人^[9]基于身份密码体制设计了一种签名方案，该方案实现了抗重放攻击.Cagalaban等人^[10]将数字签密技术引入医疗保健系统，在确保医疗数据机密性的同时实现了数据的可认证性.Ullah等人^[11]利用超椭圆曲线的概念，设计了一种基于证书的签密方案.尽管文献[8−11]实现了医疗数据的可认证性，但都没有考虑在多用户环境下的应用场景.为解决密码方案在多用户环境下的WBAN中计算效率较低的问题，基于聚合签名与聚合加密等技术，一些支持聚合模式的方案^[12-15]相继被提出.然而，文献[8−15]没有考虑如何对WBAN云端密文进行有效的搜索，导致数据用户在对医疗数据进行检索时开销较大.

基于可搜索加密技术^[16]与密文等值测试技术^[17]，国内外学者提出了一些适用于WBAN的密文检索方案^[18-21].但这些WBAN密文检索方案均存在一些缺陷，例如张嘉懿^[18]与Andrew等人^[19]提出的可搜索加密方案仅支持对用相同公钥加密的医疗数据进行搜索；Ramadan等人^[20]设计的等值测试加密方案无法实现对医疗数据来源的认证；Elhabob等人^[21]设计的基于证书的密文等值测试方案存在证书管理问题等.此外，医生或医疗机构有时需要判断多个患者某些特定方面的医疗数据是否相同，或对有相同病症的患者的医疗数据进行整合与存档，但密文检索文献[18− 21]均没有考虑到多用户检索以及对多密文同时进行检索的情况，在用户节点众多的WBAN实际应用环境中存在一定局限性.

WBAN通常会面临需要对2个以上的密文进行匹配的情况，而传统的密文等值测试技术只能将多个密文两两分为一组，再对所有的分组逐个进行测试，在多用户环境下的密文检索效率较低.为提高密文等值测试技术在多密文测试时的计算效率，Susilo等人^[22]提出了一种支持多密文等值测试的公钥加密（public-key encryption with multi-ciphertext equality test, PKE-MET）方案，实现了对2个以上的密文同时进行匹配的功能.在PKE-MET方案中，每个参与多密文等值测试的数据拥有者都可以指定1个数字n，并将自己的密文与其他n−1个数据拥有者的密文进行匹配.PKE-MET在支持同时对多密文进行等值测试的同时，还支持对多个用户同时进行密文检索，当测试者接收到n个希望进行密文检索的数据用户分别上传的n个测试陷门时，才可以对数据拥有者的密文进行测试，实现了多数据用户同时进行密文匹配的功能.然而，PKE-MET方案中存在证书管理开销较大、无法对数据的来源进行认证等问题.

针对以上问题，本文提出了一种支持多密文等值测试的WBAN聚合签密方案.该方案的创新点主要包括3个方面：

1）基于身份签密体制.本文方案采用基于身份的签密体制，消除了传统公钥加密方案中存在的证书管理开销，确保了WBAN中医疗数据的机密性、完整性、可认证性与数据拥有者签名的不可伪造性.

2）支持多用户密文聚合签密.引入聚合签密技术，验证者可以实现对多个数据拥有者医疗数据密文的批量验证，提高了签密方案在多用户环境下的验证效率.

3）支持多密文等值测试.引入多密文等值测试技术，测试者可以利用数据用户上传的测试陷门同时对多个密文进行匹配，实现了多用户检索与多密文等值测试，降低了多用户环境下等值测试过程的计算开销.

1.   预备知识

1.1   困难问题

计算性Diffie-Hellman（computation Diffie-Hellman, CDH）问题：给定$(P,aP,bP)$，其中$a,b \in \mathbb{Z}_p^*$，计算$abP$.

1.2   克拉默法则

由含有$n$个未知数${x_1},{x_2}, …,{x_n}$的$n$个线性方程所组成的非齐次线性方程组

所对应的系数矩阵为

矩阵A对应的行列式为

若$\det ({\boldsymbol{A}}) \ne 0$，则该方程组有唯一解.

1.3   范德蒙矩阵与范德蒙行列式

形如

的矩阵称为范德蒙矩阵，其对应的范德蒙行列式$\det ({\boldsymbol{V}})$具有如下计算性质：

2.   本文方案

2.1   系统模型

本文提出的支持多密文等值测试的WBAN聚合签密方案的系统模型如图1所示，它包括6个实体：私钥生成器（private key generator, PKG）、云存储提供商、数据拥有者（即患者佩戴的无线传感器）、密文等值测试者、聚合者与数据用户（data user, DU）.

图  1  本文系统模型

Figure  1.  The proposed system model

下载: 全尺寸图片 幻灯片

各个实体具体介绍为：

1）私钥生成器.负责为WBAN中的数据拥有者和数据用户生成密钥.

2）云存储提供商.负责在云服务器中存储用户上传的医疗密文$C{T_1}$，$C{T_2}$，…，$C{T_n}$.

3）数据拥有者.即患者佩戴的无线传感器，负责对医疗数据进行签密并将医疗密文上传到云端存储.

4）测试者.对从云服务器下载的多个医疗密文执行等值测试操作，将测试结果返回给云服务器.

5）聚合者.负责对多个数据拥有者的医疗数据进行聚合签密，将聚合医疗密文上传到云端存储.

6）数据用户.即医生、医疗机构与数据处理中心等希望获取医疗密文的用户，负责将等值测试的陷门上传给测试者，并对从云服务器下载的医疗密文进行解密与认证.

2.2   安全目标

本文提出的支持多密文等值测试的聚合签密方案需要考虑2种类型的敌手，第1类敌手无法访问数据用户的测试陷门，第2类敌手可以获取数据用户的测试陷门.针对这2类敌手，本文提出的方案旨在达到的安全目标为：

1）医疗数据的机密性和完整性.WBAN中传输的大多是敏感的医疗数据，若患者的医疗数据在传输时中被恶意窃取或篡改，会造成严重后果.本文利用基于身份的加密体制，保证了所提方案在面对第1类攻击者时医疗数据的机密性与完整性.机密性指即使攻击者截取了传输的医疗密文也无法获取与明文相关的信息；完整性则指医疗数据在传输时中无法被敌手伪造或篡改.

2）数据拥有者签名的不可伪造性.本文新方案在对数据拥有者的签名的合法性进行验证的过程中，采用基于身份的签密体制，保证了在面对第1类攻击者时数据拥有者签名的不可伪造性，即攻击者不能伪造出合法的数据拥有者签名.

3）测试陷门的单向性.测试者通过数据用户上传的测试陷门对医疗密文进行等值测试操作，在测试过程中，需要保证面对第2类敌手时测试陷门满足单向性，即敌手无法通过测试陷门获取与参与测试的医疗数据明文相关的信息.

2.3   方案构造

2.3.1   系统初始化

给定安全参数$k$，PKG选择大素数$p$($p \gt {2^k}$)，$G$是阶为$p$的循环加法群，$P$是$G$的生成元.PKG随机选择$s \in \mathbb{Z}_p^*$ 作为主密钥秘密保存，计算${P_{{\text{pub}}}} = sP$作为系统公钥，定义6个Hash函数：${H_1}:{\{ 0,1\} ^*} \to \mathbb{Z}_p^*$，${H_2}:{\{ 0,1\} ^*} \times G \to \mathbb{Z}_p^*$，${H_3}:{\{ 0,1\} ^*} \times G \to \mathbb{Z}_p^*$，${H_4}:G \to {\{ 0,1\} ^{{l_0} + {l_1}}}$，${H_5}:{\{ 0,1\} ^*} \to \mathbb{Z}_p^*$，${H_6}:{\{ 0,1\} ^*} \to {\{ 0,1\} ^k}$，其中${l_0}$是密文长度.输出系统参数$params = \{ p,P,{P_{{\text{pub}}}},G,{H_1},{H_2},{H_3},{H_4},{H_5},{H_6}\}$.

2.3.2   用户密钥提取

1）用户将$I{D_i}$上传给PKG，PKG计算${Q_i} = {H_1}(I{D_i})$，$s{k_{i,1}} = s{Q_i}$；

2）PKG随机选择${x_i} \in \mathbb{Z}_p^*$，计算$P{K_{i,1}}\; =\; {x_i}P$，$P{K_{i,2}}\; = {H_1}(I{D_i}||P{K_{i,1}})$，$s{k_{i,2}} = {x_i} + sP{K_{i,2}}$，$s{k_{i,3}} = {H_1}(I{D_i}||s)$，$P{K_{i,3}} = s{k_{i,3}}P$；

3）PKG输出公共参数$P{K_i} = (P{K_{i,1}},P{K_{i,2}},P{K_{i,3}})$与私钥$s{k_i} = (s{k_{i,1}},s{k_{i,2}},s{k_{i,3}})$.

2.3.3   医疗数据签密及上传

给定参与密文等值测试与聚合签密的数据拥有者数量为$n$，数据拥有者的身份标识为$I{D_i}$，数据用户的身份标识为$I{D_j}$，其中$i,j \in \{ 1,2, \cdots ,n\}$.数据拥有者执行1)~5)操作对${m_i}$进行签密：

1）随机选择${a_i},{b_i},{N_i} \in \mathbb{Z}_p^*$，计算${C_{i,1}} = {a_i}P$，${C_{i,2}} = {b_i}P$，${R_i} = {a_i}{Q_j}{P_{{\text{pub}}}}$；

2）计算${U_i} = {H_2}({m_i},I{D_i},I{D_j},{R_i},P{K_{i,1}},P{K_{j,1}})$，${V_i} = {H_3} ({m_i},I{D_i},I{D_j},{R_i},P{K_{i,1}},P{K_{j,1}})$，${v_i} = {a_i}{U_i} + s{k_{i,2}}{V_i}$，${C_{i,3}} = {v_i}P$，${C_{i,4}} = {H_4}({R_i}) \oplus ({m_i}||{v_i})$；

3）计算${f_{i,0}} = {H_5}({m_i}||n)$，${f}_{i,1} = {H}_{5}({m}_{i}|\left|n\right||{f}_{i,0}),\cdots$，${f_{i,n - 1}} = {H_5}({m_i}||n||{f_{i,0}}|| \cdots ||{f_{i,n - 2}})$；

4）计算 ${C_{i,5}} \;= \;{H_4}({b_i}P{K_{j,3}}) \;\oplus\; ({N_i}||f({N_i}))$，${C_{i,6}}\; = \;{H_6} (n|| {C_{i,1}}|| \cdots ||{C_{i,5}}||{b_i}P{K_{j,3}}||{f_{i,0}}|| \cdots ||{f_{i,n - 1}})$，其中$f({N_i}) = {f_{i,0}} + {f_{i,1}}{N_i} + {f_{i,2}}N_i^2 + \cdots + {f_{i,n - 1}}N_i^{n - 1}$；

5）将密文$C{T_i} = ({t_i},{C_{i,1}},{C_{i,2}},{C_{i,3}},{C_{i,4}},{C_{i,5}},{C_{i,6}})$上传到云端存储，其中${t_i} = n$.

2.3.4   多密文等值测试

$n$个数据用户分别将等值测试陷门$t{k_j} = s{k_{j,3}}$发送给测试者，其中$j \in \{ 1,2, \cdots ,n\}$.测试者从云服务器分别下载$n$个数据拥有者想要测试的密文$C{T_1，CT_2，\cdots，CT_n}$，执行1）~3）多密文等值测试操作：

1）检查${t_1} = {t_2} = \cdots = {t_n} = n$是否成立，若成立测试者则继续执行以下操作，否则终止操作并输出“$\bot$”；

2）对于$i \in \{ 1,2, \cdots ,n\}$，$j \in \{ 1,2, \cdots ,n\}$，测试者分别计算${N_i}||f({N_i}) = {C_{i,5}} \oplus {H_4}({C_{i,2}}t{k_j})$，由签密算法有$f({N_i}) = {f_{i,0}} + {f_{i,1}}{N_i} + {f_{i,2}}N_i^2 + \cdots + {f_{i,n - 1}}N_i^{n - 1}$，测试者将$n$个等式合并得到方程组

并隐式设置${f_{i,k}} = {f_{j,k}}$，其中$k \in \{ 0,1, \cdots ,n - 1\}$，测试者通过对该方程组对应的范德蒙矩阵求逆，获得方程组的唯一一组解${f_{1,0}},{f_{1,1}}, \cdots ,{f_{1,n - 1}}$；

3）检查等式${C_{i,6}} = {H_6}(n||{C_{i,1}}||{C_{i,2}}||{C_{i,3}}||{C_{i,4}}||{C_{i,5}}||{C_{i,2}}t{k_j}|| {f_{i,0}}||{f_{i,1}}|| \cdots ||{f_{i,n - 1}})$是否成立，若成立测试者则向云服务器输出测试结果为“1”，否则向云服务器输出测试结果为“0”.

2.3.5   医疗数据聚合签密及上传

若云服务器接收到的密文等值测试结果为“1”，代表$n$个数据拥有者的医疗密文全部相同，云服务器将所有数据拥有者的医疗密文$C{T}_{1}，C{T}_{2}，\cdots ，C{T}_{n}$发送给聚合者，聚合者执行1)~2)操作对医疗密文进行聚合签密：

1）计算${X_{{\text{agg}}}} = \displaystyle\sum\limits_{i = 1}^n {{C_{i,3}}}$；

2）将聚合医疗密文${\sigma _{{\text{agg}}}} = ({\{ C{T_i}\} _{i = 1,2, \cdots ,n}},{X_{{\text{agg}}}})$上传到云服务器存储.

2.3.6   医疗数据下载及解密

给定数据用户的身份标识为$I{D_j}$，其中$j \in \{ 1, 2, \cdots , n\}$.数据用户从云端下载聚合医疗密文${\sigma _{{\text{agg}}}}$，对密文进行解密并验证数据来源.数据用户的具体操作如为：

1）计算$R_{i}'= sk_{j,1} C_{i,1}$，$m_i'||v_i' = {C_{i,4}} \oplus {H_4}(R_i')$；

2）根据$m_i'$的值计算${f}_{i,0}'\;=\;{H}_{5}({m}_{i}'||n)，$$f_{i,1}^{{'} }\; =\; {H_5}(m_i^{{'} }||n|| f_{i,0}^{{'} }) ，\cdots$，$f_{i,n - 1}^{'} = {H_5}(m_i'||n||f_{i,0}'||, \cdots ||f_{i,n - 2}^{{'} })$，$N_i^{{'} }||f(N_i^{{'} }) = {C_{i,5}} \oplus {H_4} ({C_{i,2}}s{k_{j,3}})$；

3）计算$U_i^{{'} } = {H_2}(m_i^{{'} },I{D_i},I{D_j},R_i^{{'} },P{K_{i,1}},P{K_{j,1}})$，$V_i' = {H_3} (m_i', \; I{D_i},\;I{D_j},\;R_i',\;P{K_{i,1}},\;P{K_{j,1}})$，$X_{{\text{agg}}}' = \displaystyle\sum\limits_{i = 1}^n {v_i'P}$，$X_{{\text{agg}}}^*= \displaystyle\sum\limits_{i = 1}^n {U_i'{C_{i,1}} +} \displaystyle\sum\limits_{i = 1}^n {V_i'P{K_{i,1}} + }\displaystyle\sum\limits_{i = 1}^n {V_i'P{K_{i,2}}{P_{{\text{pub}}}}}$；

4）分别检查等式${C_{i,6}}\; =\; {H_6}(n||{C_{i,1}}||{C_{i,2}}||{C_{i,3}}||{C_{i,4}}||{C_{i,5}}|| {C_{i,2}}s{k_{j,3}}|| f_{i,0}'||f_{i,1}'|| \cdots ||f_{i,n - 1}')$，$X_{{\text{agg}}}^* = X_{{\text{agg}}}'$，$f(N_i') = f_{i,0}' + {f_{i,1}'N_i'} +\cdots+ f_{i,n-1}'N_i^{{'}n-1}$是否同时成立.

若以上等式均成立，数据用户则接收医疗数据$m_i'$；否则输出“$\bot$”.

3.   正确性分析与安全性证明

3.1   正确性分析

1）解密等式的正确性

数据用户通过计算$m_i'||v_i' = {C_{i,4}} \oplus {H_4}(R_i')$对密文进行解密，其中$R_i' = s{k_{j,1}}{C_{i,1}}$，$s{k_{j,1}}$是数据用户的私钥，由于$s{k_{j,1}} = s{Q_j}$，则有

即$R_i' = {R_i}$，从而有

因此，本文方案满足密文解密等式的正确性.

2）签名验证等式的正确性

数据用户通过判断等式$X_{{\text{agg}}}^* = X_{{\text{agg}}}'$是否成立以验证聚合密文签名的合法性，其中$X_{{\text{agg}}}' = \displaystyle\sum\limits_{i = 1}^n {v_i'P}$，${v_i'} = {a_i}{U_i} +s{k_{i,2}}{V_i}$，$s{k_{i,2}} = {x_i} + sP{K_{i,2}}$，则有

结合${C_{i,1}} = {a_i}P$，$P{K_{i,1}} = {x_i}P$，${P_{{\text{pub}}}} = sP$，从而有

进一步，由解密等式的正确性可知$m_i'||v_i' = {m_i}||{v_i}$，则有

即${U_i} = U_i'$，${V_i} = V_i'$，于是有

即$X_{{\text{agg}}}^* = X_{{\text{agg}}}'$成立.因此，本文所提的新方案满足签名验证等式的正确性.

3）等值测试结果的正确性

对$i \in \{ 1,2, \cdots ,n\}$，$j \in \{ 1,2, \cdots ,n\}$，测试者通过检查${C_{i,6}} = {H_6}(n||{C_{i,1}}|| \cdots ||{C_{i,5}}||{C_{i,2}}t{k_j}||{f_{i,0}}|| \cdots ||{f_{i,n - 1}})$是否成立来判断$n$个医疗密文是否相同，其中${f_{i,0}}\; =\; {H_5} ({m_i}|| n), \cdots ,$${f_{i,n - 1}} = {H_5}({m_i}||n||{f_{i,0}}|| \cdots ||{f_{i,n - 2}})$.假设所有参与密文等值测试的医疗密文全部相同，即${m_1} = {m_2} = \cdots = {m_n}$，则有

即对于所有的$i,j \in \{ 1,2, \cdots ,n\}$，$k \in \{ 0,1, \cdots ,n - 1\}$，等式${f_{i,k}} = {f_{j,k}}$均成立.

由医疗数据签密及上传算法可知，数据拥有者在签密过程中设置

由此可以得到方程组

结合${f_{i,k}} = {f_{j,k}}$，因此可将${f_{1,0}},{f_{1,1}}, \cdots ,{f_{1,n - 1}}$作为方程组的解，将随机数${N_i}$作为方程组的系数，则该方程组对应的矩阵为

由范德蒙矩阵的性质可知其对应的行列式为$\det ({\boldsymbol{V}}) = \displaystyle\prod\limits_{1 \leqslant i \lt j \leqslant n} {({N_i} - {N_j})}$.

从数据拥有者签密过程可知，${N_i}$是由$n$个不同的数据拥有者在对医疗密文进行签密时分别选择的随机数，因此$\det ({\boldsymbol{V}}) = 0$的概率仅为${[p(p - 1) \cdots (p - n + 1)]^{ - 1}}$，其中$p$为群$\mathbb{Z}_p^*$的阶.由克拉默法则可知当$\det ({\boldsymbol{V}}) \ne 0$时，方程组有且仅有唯一解${f_{1,0}},{f_{1,1}}, \cdots ,{f_{1,n - 1}}$，于是有对于所有的$i,j \in \{ 1,2, \cdots ,n\}$，$k \in \{ 0,1, \cdots ,n - 1\}$，等式${f_{i,k}} = {f_{j,k}}$均成立，与所有参与密文等值测试的医疗密文全部相同的假设相符.因此，本文新方案满足多密文等值测试结果的正确性.

3.2   安全性证明

本文提出的方案引入了基于身份的聚合签密体制，确保了本文方案在面对第1类敌手时医疗数据的机密性与签名的存在不可伪造性，对于机密性与不可伪造性的证明过程可以参考文献[23]方案.同时，本文方案满足面对第2类敌手适应性选择密文攻击下的单向性（one-way against adaptive chosen ciphertext attack, OW-CCA2），以下通过定理1证明本文方案满足OW-CCA2安全.

定理1. 假设CDH问题是难解的，则本文方案在随机预言模型下对第2类敌手是OW-CCA2安全的.

证明.假设$\mathcal{C}$是能够解决CDH困难问题的人，${\mathcal{A}_2}$代表第2类敌手.$\mathcal{C}$以${\mathcal{A}_2}$为子程序充当以下游戏中的挑战者，若${\mathcal{A}_2}$能以不可忽略的优势在概率多项式时间内的游戏中获胜，则$\mathcal{C}$能够在概率多项式时间内解决CDH困难问题.

初始化阶段.CDH问题的输入为$(P,aP,bP)$，其中$a,b \in \mathbb{Z}_p^*$，$\mathcal{C}$的目标是给出CDH困难问题的解$abP$.$\mathcal{C}$选取阶为素数$p$的循环群$G$，计算$P$为$G$的生成元，随机选择$a \in \mathbb{Z}_p^*$并计算$P_{{\text{pub}}}' = aP$.最后，输出系统参数$params=\{p,P,{P}_{\text{pub}},G,{H}_{1},{H}_{2},{H}_{3},{H}_{4}，{H}_{5},{H}_{6}\}$，将$a$秘密保存并发送$params$给${\mathcal{A}_2}$.

询问阶段1.为了响应${\mathcal{A}_2}$的询问，$\mathcal{C}$维持列表${L}_{1}， {L}_{2}，{L}_{3}，{L}_{4}，{L}_{5}，{L}_{6}，{L}_{\text{td}}$分别用于跟踪${\mathcal{A}_2}$的${H_1}$ Hash询问、${H_2}$ Hash询问、${H_3}$ Hash询问、${H_4}$ Hash询问、${H_5}$ Hash询问、${H_6}$ Hash询问、测试陷门询问.${L_1}$同时用于跟踪密钥提取询问，开始时每个列表都为空.

1） ${H_1}$ Hash询问.当$\mathcal{C}$收到${\mathcal{A}_2}$对${H_1}(I{D_i},{Q_i})$的查询，若$I{D_i} \in \{ I{D_i}\} _{i = 1}^n$，则计算$P{K_{i,1}} = {x_i}P$，其中${x_i}$是未知的，$\mathcal{C}$保存$( \bot ,{Q_i},I{D_i})$到${L_1}$；若$i \ne 1$，$\mathcal{C}$随机选择${x_i},P{K_{i,2}} \in \mathbb{Z}_p^*$并设置$P{K_{i,1}} = {x_i}P$，将$P{K_{i,2}} = {H_1}(I{D_i}||P{K_{i,1}})$返回给${\mathcal{A}_2}$并保存$({x_i},P{K_{i,1}},P{K_{i,2}},I{D_i})$到${L_1}$.

2） ${H_2}$ Hash询问.当$\mathcal{C}$收到${\mathcal{A}_2}$对$({m_i},I{D_i},I{D_j},{R_i}, P{K_{i,1}},P{K_{j,1}},{U_i})$的查询后，$\mathcal{C}$首先在${L_2}$查找是否已有$({m_i}, I{D_i},I{D_j},{R_i},P{K_{i,1}},P{K_{j,1}},{U_i},{t_i},{t_i}P)$，若${L_2}$已有$({m_i},I{D_i}, I{D_j},{R_i},P{K_{i,1}},P{K_{j,1}},{U_i},{t_i},{t_i}P)$，则发送${U_i}$给${\mathcal{A}_2}$；否则，$\mathcal{C}$选取${U_i} \in \mathbb{Z}_p^*$，将$({U_i},{t_i},{t_i}P)$加入到${L_2}$中并输出${t_i}P$.

3） ${H_3}$ Hash询问.当$\mathcal{C}$收到${\mathcal{A}_2}$对$({m_i},I{D_i},I{D_j},{R_i}, P{K_{i,1}}, P{K_{j,1}},{V_i})$的查询后，$\mathcal{C}$首先在${L_3}$查找是否已有$({m_i}, I{D_i}, I{D_j},{R_i},P{K_{i,1}},P{K_{j,1}},{V_i},{w_i},{w_i}P)$，若${L_3}$已有$({m_i},I{D_i}, I{D_j},{R_i},P{K_{i,1}},P{K_{j,1}},{V_i},{w_i},{w_i}P)$，则返回${V_i}$给${\mathcal{A}_2}$；否则，$\mathcal{C}$选取${V_i} \in \mathbb{Z}_p^*$，将$({V_i},{w_i},{w_i}P)$加入到${L_3}$中并输出${w_i}P$.

4） ${H_4}$ Hash询问.当$\mathcal{C}$收到${\mathcal{A}_2}$对$({R_i},{H_4}({R_i}))$的查询后，若在${L_4}$中已有$({R_i},{H_4}({R_i}))$则返回${H_4}({R_i})$给${\mathcal{A}_2}$；否则，$\mathcal{C}$选取${H_4}({R_i}) \in {\{ 0,1\} ^{{l_0} + {l_1}}}$，并将$({R_i},{H_4}({R_i}))$加入到${L_4}$中且输出${H_4}({R_i})$.

5） ${H_5}$ Hash询问.当$\mathcal{C}$收到${\mathcal{A}_2}$对${f_{i,d}}$的查询，其中$d \in \{ 1,2, \cdot \cdot \cdot n\}$，若${L_5}$存在$({m_i},n,{f_{i,0}}, \cdot \cdot \cdot ,{f_{i,d - 2}},{f_{i,d}})$则返回${f_{i,d}}$给${\mathcal{A}_2}$；否则，$\mathcal{C}$选取${f_{i,*}} \in \mathbb{Z}_p^*$，将$({m_i},n,{f_{i,0}}, \cdot \cdot \cdot ,{f_{i,d - 2}},{f_{i,d}})$加入到${L_5}$中并输出${f_{i,d}}$.

6） ${H_6}$ Hash询问.当$\mathcal{C}$收到${\mathcal{A}_2}$对${C_{i,6}}$的查询后，若在${L_6}$中已有${C_{i,6}}$则返回${C_{i,6}}$给${\mathcal{A}_2}$；否则，$\mathcal{C}$选取${C_{i,6}} \in {\{ 0,1\} ^k}$，将相应元组加入到${L_6}$中并输出${C_{i,6}}$.

7） 密钥提取询问.当$\mathcal{C}$收到${\mathcal{A}_2}$对$I{D_i}$的私钥的查询后，$\mathcal{C}$首先查询${L_1}$中是否存在$({x_i},P{K_{i,1}},P{K_{i,2}},I{D_i})$，若不存在则输出“$\bot$”；否则返回$({x_i},P{K_{i,1}},*,*)$.如果$I{D_i} \notin \{ I{D_i}\} _{i = 1}^n$，$\mathcal{C}$将$I{D_i}$作为${H_1}$ Hash询问的输入，得到${Q_i} = {H_0} (I{D_i})$，并计算$s{k_{i,1}} = a{Q_i}$，$s{k_{i,2}} = {x_i} + aP{K_{i,2}}$，返回$(P{K_{i,1}}, s{k_{i,1}}, P{K_{i,2}},I{D_i})$给${\mathcal{A}_2}$.

8） 公钥替换询问.当$\mathcal{C}$收到${\mathcal{A}_2}$对$(I{D_i},P{K_{i,1}},P{K_{i,2}})$的查询后，若$({x_i},P{K_{i,1}},P{K_{i,2}},I{D_i})$已存在于${L_1}$中，则$\mathcal{C}$用列表L₁中的$(P{K_{i,1}},P{K_{i,2}})$替换$I{D_i}$原有的公钥$(P{K_{i,1}}, P{K_{i,2}})$；否则，$\mathcal{C}$将$({x_i},P{K_{i,1}}, P{K_{i,2}},I{D_i})$加入到列表${L_1}$中.

9） 签密询问.当$\mathcal{C}$收到${\mathcal{A}_2}$对$({m_i},I{D_i},I{D_j})$的询问后，$\mathcal{C}$执行①~②操作：

① 若$I{D_i} \ne I{D_l}$且${\mathcal{A}_2}$没有对$I{D_i}$的公钥执行过替换询问，$\mathcal{C}$通过${H_1}$ Hash询问与密钥提取询问分别获取${x_i}$和$s{k_{i,2}}$，并对${m_i}$进行签密；若$I{D_i}$对应的公钥被替换过，$\mathcal{C}$首先通过${H_1}$询问分别获取$(P{K_{i,1}},P{K_{i,2}})$和$(P{K_{j,1}},P{K_{j,2}})$，然后$\mathcal{C}$利用随机数${a_i} \in \mathbb{Z}_p^*$计算${C_{i,1}} = {a_i}P$，${R_i} = {a_i}{Q_j}P_{{\text{pub}}}'$，并通过${H_2}$，${H_3}$，${H_4}$ Hash询问分别获取${U_i} = {H_2}({m_i}, I{D_i}, I{D_j}, {R_i},P{K_{i,1}},P{K_{j,1}})$，${V_i} = {H_3}({m_i},I{D_i},I{D_j},{R_i},P{K_{i,1}},P{K_{j,1}})$. ${H_4} ({R_i})$，通过密钥提取询问获取私钥$s{k_{i,2}}$，计算${v_i} = \ {a_i}{U_i} + s{k_{i,2}}{V_i}$，${C_{i,3}} = {v_i}P$，${C_{i,4}} = {H_4}({R_i}) \oplus ({m_i}||{v_i})$，最后输出密文${\sigma _i} = ({C_{i,1}},{C_{i,2}},{C_{i,3}},P{K_{i,1}})$给${\mathcal{A}_2}$.

② 若$I{D_i} = I{D_l}$，$\mathcal{C}$首先通过${H_1}$询问分别获取$(P{K_{i,1}}, P{K_{i,2}})$和$(P{K_{j,1}},P{K_{j,2}})$，随机选择$y,z \in \mathbb{Z}_p^*$并计算${C_{i,1}} = zaP$.然后$\mathcal{C}$通过${H_1}$ Hash询问和${H_4}$ Hash询问分别获取$(I{D_j}, {a_j})$和${H_4}({R_j})$，并计算${R_j} = {a_j}{Q_j}P_{{\text{pub}}}'$，${U_j} = {H_2}({m_l},I{D_l},I{D_j}, {R_j}, P{K_{l,1}},P{K_{j,1}})$，将$({m_l},I{D_l},I{D_j},{R_j},P{K_{l,1}},P{K_{j,1}},{U_j})$加入到${L_2}$中，通过${H_3}$ Hash询问获取$({m_l},I{D_l},I{D_j},{R_l},P{K_{l,1}}, P{K_{j,1}}, {V_l},{w_l},{w_l}P)$，并计算${v_l} = y{U_l}$，${C_{l,3}} = z{v_l}P_{{\text{pub}}}' + {w_l}P{K_{l,1}}$，${C_{i,4}} = {H_4} ({R_l}) \oplus ({m_l}||{v_l})$，最后输出${\sigma _l} = ({C_{l,1}},{C_{l,2}},{C_{l,3}},P{K_{l,1}})$给${\mathcal{A}_2}$.

10） 解签密询问.当$\mathcal{C}$收到${\mathcal{A}_2}$对$(C{T_1},C{T_2}, \cdot \cdot \cdot , C{T_n}, \{ I{D_i}\} _{i = 1}^n,I{D_j})$的查询后，$\mathcal{C}$执行①~②操作：

① 对$(I{D_1},I{D_2}, \cdot \cdot \cdot ,I{D_n},I{D_j})$分别执行${H_1}$ Hash询问以获取$({Q_1},{Q_2}, \cdot \cdot \cdot ,{Q_n},{Q_j})$，$(P{K_{1,1}},P{K_{2,1}}, \cdot \cdot \cdot ,P{K_{n,1}}, P{K_{j,1}})$，然后$\mathcal{C}$执行聚合签名验证算法，若验证未通过，则输出“$\bot$”后终止模拟；否则继续执行后续操作.

② 若$I{D_j} \ne I{D_l}$，$\mathcal{C}$则通过${H_1}$Hash询问获取$(I{D_j}, {a_j})$并计算${R_j} = {a_j}{C_{j,1}}$，检查${L_2}$中是否存在元组$(*,I{D_j},{R_i}, P{K_{i,1}},P{K_{j,1}},{U_i})$，若存在，则$\mathcal{C}$利用Hash值${U_i}$对密文进行解密；否则$\mathcal{C}$随机选取${U_i} \in \mathbb{Z}_p^*$并用${U_i}$对密文进行解密.若$I{D_j} = I{D_l}$，$\mathcal{C}$则在${L_2}$中查询是否存在元组$(*,I{D_j},*, P{K_{i,1}},P{K_{j,1}},{U_i})$，若存在则利用Hash值${U_i}$对密文进行解密；否则将随机选取${U_i} \in \mathbb{Z}_p^*$并用${U_i}$对密文进行解密.

11） 测试陷门询问.当$\mathcal{C}$收到${\mathcal{A}_2}$对$t{k_j}$的询问后，若${L_1}$中存在元组$({x_i},P{K_{i,1}},P{K_{i,2}},I{D_i})$，$\mathcal{C}$通过${H_1}$询问获取$s{k_{i,3}} ={H_1}(I{D_i}||s)$并返回$t{k_j} = s{k_{i,3}}$给${\mathcal{A}_2}$；否则，$\mathcal{C}$选取$t{k_j} \in \mathbb{Z}_p^*$发送给${\mathcal{A}_2}$，并将$({x_i},P{K_{i,1}},P{K_{i,2}},I{D_i})$加入到${L_{{\text{td}}}}$中.

挑战阶段.${\mathcal{A}_2}$输出2个消息$m_0^* = \{ m_{i,0}^*\} _{i = 1}^n$，$m_1^* = \{ m_{i,1}^*\} _{i = 1}^n$，并输出身份$\{ ID_i^*\} _{i = 1}^n$和$ID_j^*$；$\mathcal{C}$以$ID_j^*$作为输入进行${H_1}$ Hash询问，若${L_1}$中不存在与$ID_j^*$相关的元组，则$\mathcal{C}$挑战失败；否则，$\mathcal{C}$从${L_1}$中获取$\{ ID_i^*\} _{i = 1}^n$对应的公钥$\{ PK_{i,1}^*,PK_{i,2}^*\} _{i = 1}^n$，随机选择$\{ s{k_{i,2}} \in \mathbb{Z}_p^*\} _{i = 1}^n$并计算$\{ {C_{i,1}} = s{k_{i,2}}cP\} _{i = 1}^n$；然后$\mathcal{C}$从${L_2}$，${L_3}$中获取$\{ {U_i}\} _{i = 1}^n$，$\{ {V_i}\} _{i = 1}^n$，并计算$v_i^* = {a_i}{U_i} + s{k_{i,2}}{V_i} = {t_i}C_{i,1}^* + s{k_{i,2}}{w_i}PK_{i,1}^*$，其中${t_i}$，${w_i}$，$s{k_{i,2}}$分别来自${H_2}$ Hash询问、${H_3}$ Hash询问与对$ID_j^*$的密钥提取询问；随后$\mathcal{C}$随机选择$\mu \in \{ 0,1\}$并计算$C_{i,4}^* = {H_4}({R_i}) \oplus ({m_{i,\mu }}||v_i^*)$，$C_{i,3}^* = v_i^*P$，然后通过${H_1}$ Hash询问获取公钥$\{ PK_{i,1}^*\} _{i = 1}^n$并输出${\sigma ^*} = (C_{1,1}^*, \cdot \cdot \cdot ,C_{n,1}^*,C_{1,3}^*, \cdot \cdot \cdot ,C_{n,3}^*,C_{1,4}^*, \cdot \cdot \cdot ,C_{n,4}^*,PK_{1,1}^*, \cdot \cdot \cdot ,PK_{n,1}^*)$给${\mathcal{A}_2}$.

询问阶段2.${\mathcal{A}_2}$执行与询问阶段1类似的多项式有界次适应性查询，但不允许对$ID_i^*$和$ID_j^*$对应的密文进行解签密查询.

猜测阶段.${\mathcal{A}_2}$输出1个对$\mu$的猜测$\mu {'} \in \{ 0,1\}$，如果$\mu {'} = \mu$，则${\mathcal{A}_2}$在以上游戏中获胜.$\mathcal{C}$在列表${L_4}$中选取$({R_i},{H_4}({R_i}))$并以${R_i} = abP$作为CDH困难问题的解，这与目前公认的CDH问题的难解性相矛盾.因此本文方案在面对A₂敌手时满足选择OW-CCA2安全. 证毕.

4.   对比分析

4.1   功能特性分析

将本文提出的方案与文献[22−26]方案在功能特性方面进行比较，对比结果如表1所示.与文献[23−24]方案相比，本文方案引入等值测试功能，实现了对存储在云端的医疗密文的安全检索.与文献[22,25−26]方案相比，本文方案引入了聚合签密技术，确保了WBAN中医疗数据的机密性、完整性与可认证性，提高了多用户环境下对医疗数据进行签密与验证的效率.文献[25−26]方案采用的等值测试方法只能对2个密文进行比较，本文方案实现了同时对多个密文进行匹配，降低了测试者执行密文等值测试时的开销.此外，与文献[22−23,25−26]方案相比，本文方案达到了适应性选择密文攻击下的单向性，安全性有所提升.

表  1  功能特性比较

Table  1.  Comparison of Functional Characteristics

方案	等值 测试	多密文等值 测试	签密	聚合 签密	安全性
文献[22]方案	√	√	×	×	选择明文攻击下的单向性
文献[23]方案	×	×	√	√	选择密文攻击 下的不可区分性
文献[24]方案	×	×	√	√	适应性选择密文攻击 下的不可区分性
文献[25]方案	√	×	×	×	选择密文攻击下的单向性
文献[26]方案	√	×	√	×	选择密文攻击下的单向性
本文方案	√	√	√	√	适应性选择密文攻击 下的单向性
注：“×”表示不具有某种特定功能；“√”表示具有某种特定功能.

下载: 导出CSV 

| 显示表格

4.2   范德蒙矩阵求逆算法复杂度分析

本文所提新方案在执行多密文等值测试算法时，测试者通过对范德蒙矩阵求逆以提取出与数据拥有者明文相关的系数.其中，n阶范德蒙矩阵求逆算法的时间复杂度取决于所使用的求逆方法，已有许多学者提出了求解范德蒙矩阵逆矩阵的串行^[27-28]与并行^[29-30]方法，其时间复杂度如表2所示：

表  2  范德蒙矩阵求逆算法复杂度

Table  2.  Complexity of Inversion for Vandermonde Matrix

方案	时间复杂度
文献[27]方案	$O({n^2})$
文献[28]方案	$O({n^2})$
文献[29]方案	$O((\log n))$
文献[30]方案	$O({(\log n)^2})$

下载: 导出CSV 

| 显示表格

4.3   计算开销分析

将本文提出的方案在计算时间开销方面与文献[25−26]方案进行对比，假设参与密文等值测试的用户数量为n，使用i7-8750h，2.20 GHz处理器，8 GB内存和Win10操作系统在VC6.0环境下用PBC库分别对本文方案与对比方案进行了仿真模拟，对比结果如表3所示.其中标量乘法运算时间T_sm = 0.0004 ms，群元素乘法运算时间T_mul = 0.0314 ms，Hash函数运算时间T_h = 0.0001 ms，指数运算时间T_e = 6.9866 ms，双线性配对时间T_bp = 9.6231 ms，范德蒙矩阵求逆时间T_inv取决于矩阵求逆方法.从表3可以看出，由于本文方案中不存在计算开销较大的双线性配对运算，因此在密文生成阶段的计算时间开销相比于文献[25−26]的方案有显著降低.在数据解密及验证阶段，非聚合模式下的文献[25−26]方案需要所有数据用户逐一对数据进行验证并解密，而本文方案中的数据用户能够对聚合密文进行批量验证，验证效率相比于文献[25−26]的方案有所提高.

表  3  计算量比较

Table  3.  Computation Amount Comparison ms

方案	密文生成时间	密文等值测试时间	数据解密及验证时间
文献[25]方案	$\begin{aligned} & n{T_{ {\text{mul} } } } + 3n{T_{ {\text{bp} } } } + 6n{T_{\text{h} } } + 5n{T_{\text{e} } } \\ &\quad( 63.8343n )\end{aligned}$	$\begin{aligned} & (n - 1)(4{T_{ {\text{bp} } } } + 2{T_{\text{h} } }) \\ &\quad ( 38.4926n - 38.4926) \end{aligned}$	$\begin{aligned} & 2n{T_{ {\text{bp} } } } + 4n{T_{\text{h} } } + 2n{T_{{\rm{e}} } }\\ &\quad (33.2198n) \end{aligned}$
文献[26]方案	$\begin{aligned} & 6n{T_{ {\text{sm} } } } + 2n{T_{ {\text{bp} } } } + 7n{T_{\text{h} } } + 2n{T_{\text{e} } } \\ &\quad( 33.2250n) \end{aligned}$	$\begin{aligned} & (n - 1)(4{T_{ {\text{bp} } } } + 2{T_{\text{h} } }) \\ &\quad( 38.4926n - 38.4926) \end{aligned}$	$\begin{aligned}& 3n{T_{ {\text{sm} } } } + n{T_{ {\text{mul} } } } + 5n{T_{ {\text{bp} } } } + 5n{T_{\text{h} } }\\ &\quad ( 48.1486n )\end{aligned}$
本文方案	$\begin{aligned} & 7n{T_{ {\text{sm} } } } + n{T_{ {\text{mul} } } } + n(n + 4){T_{\text{h} } }\\ &\quad ( 0.0346n + 0.0001{n^2})\end{aligned}$	$\begin{aligned} & n{T_{ {\text{sm} } } } + 2n{T_{\text{h} } } + {T_{ {\text{inv} } } }\\ &\quad ( {T_{ {\text{inv} } } } + 0.0006n) \end{aligned}$	$\begin{aligned} & n(2 + 4n){T_{ {\text{sm} } } } + {n^2}{T_{ {\text{mul} } } } + n(n + 4){T_{\text{h} } } \\ &\quad ( 0.0012n + 0.0331{n^2}) \end{aligned}$
注：$n$表示参与密文等值测试的用户数量；$T_{\text{sm}}$表示标量乘法运算时间；$T_{\text{mul}}$表示群元素乘法运算时间；$T_{\text{h}}$表示Hash函数运算时间；$T_{\text{e}}$表示指数运算时间；$T_{\text{bp}}$表示双线性配对时间；$T_{\text{inv}}$表示范德蒙矩阵求逆时间.

下载: 导出CSV 

| 显示表格

此外，文献[25−26]方案仅支持将多个用户的密文两两一组进行匹配，其密文等值测试算法中双线性配对运算数量与参与测试的用户数量呈线性关系；而本文方案中，测试者可以同时对$n$个用户的密文进行匹配，且测试过程中不存在双线性配对运算.本文方案的等值测试时间主要取决于测试者对范德蒙行列式求逆时所选取的算法，而在对范德蒙矩阵求逆的过程中仅进行标量加法与乘法等计算效率较高的运算^[28]，因此本文方案的密文等值测试效率同样高于文献[25−26]方案的效率.

5.   结束语

针对现有的WBAN密码方案在多用户环境下计算效率较低等问题，本文提出了支持多密文等值测试的WBAN聚合签密方案.该方案采用基于身份的密码体制，消除了传统公钥方案中证书管理的开销；引入多密文等值测试技术，实现了多数据用户对多医疗密文的同时检索；减少了多用户环境下密文等值测试的计算开销；利用聚合签密技术，提高了对多个用户的医疗数据进行签密的效率.本文方案满足医疗数据在传输过程中的机密性、完整性和可认证性，同时保证了数据拥有者签名的不可伪造性与测试陷门的单向性.与同类方案的对比分析结果表明，本文方案支持更多安全属性且计算开销更低.在未来的工作中，将尝试设计抗量子计算攻击的支持多密文等值测试的WBAN签密方案.

作者贡献声明：杨小东负责论文整体思路与实验方案的设计；周航负责设计方案与撰写论文；任宁宁负责方案仿真与效率分析；袁森负责搜集应用场景相关资料；王彩芬提出指导意见并修改论文.