2017年前沿密碼應(yīng)用技術(shù)PPT學(xué)習(xí)課件

1、內(nèi)容提要1. 什么是安全2. 可證明安全性3. 基于身份加密4. 基于屬性加密5. 代理重加密6. 函數(shù)加密7. 可搜索加密8. 加密云郵件系統(tǒng),徐鵬 副教授 郵箱： 研究領(lǐng)域：公鑰密碼，基于身份密碼，格密碼，可搜索加密，云數(shù)據(jù)安全等,1,1. 什么是安全？,2,安全與信任的關(guān)系,你們考慮過密碼算法為什么安全么？ 簡單地說，安全就是信任；或者說，你相信“它”是安全的，就是安全的 從“水”的安全性說開去 生活中，常見的信任源有哪些？ 信任源具有動態(tài)性 密碼學(xué)的信任源是什么？ 學(xué)術(shù)界與工業(yè)界對安全的構(gòu)建采用的不同思想 擴(kuò)展問題：信任源空間的大小是變化的,3,2020/8/3,2. 可證明安全性,G

2、oldwasser S, Micali S, Rackoff C. The knowledge complexity of interactive proof-systemsC/ DBLP, 1985:291-304.,4,可證明安全性的起源,起源于1982年Goldwasser和Micali等學(xué)者的開創(chuàng)性工作,他們提出了語義安全性定義,將可證明安全的思想首次帶入安全協(xié)議的形式化分析中 Goldwasser和Micali 獲2012年圖靈獎,5,2020/8/3,語義安全性的主要成分,如何定義攻擊者 計算能力 先驗知識 如何定義攻擊目標(biāo) 直觀目標(biāo) 明文語義 以上述兩者為基礎(chǔ)，如何定義安全 一種

3、“優(yōu)勢”,6,2020/8/3,語義安全性的一種簡單抽象,攻擊者,挑戰(zhàn)者,公鑰,挑戰(zhàn)明文（M0，M1）,隨機(jī)選擇任意一個明文， 并生成其挑戰(zhàn)密文C；,挑戰(zhàn)密文C,猜測結(jié)果d=0或1,若Md是挑戰(zhàn)者之前所選擇 的明文，則攻擊成功；,語義安全性：在上述攻擊游戲中，若攻擊者的成功優(yōu)勢可忽略， 則該公鑰加密算法是語義安全的（具體的說是選擇明文攻擊下 語義安全的）,以某類公鑰加密算法為例，例如ElGamal算法,7,2020/8/3,ElGamal加密與數(shù)學(xué)難題,8,2020/8/3,ElGamal加密的可證明安全性,核心思想 若存在某個攻擊者A能以不可忽略的優(yōu)勢攻破ElGamal加密算法，則存在一個算

4、法B能利用這個攻擊者來求解DDH問題，,9,2020/8/3,其它問題,什么是安全參數(shù)？ 從RSA 1024bits加密密鑰所開去 量化安全性的重要依據(jù) 為什么隨機(jī)數(shù)對加密算法的安全性至關(guān)重要？ 從信息論的角度說開去 確定算法無法增加輸出的熵,10,2020/8/3,小結(jié),可證明安全性首次以科學(xué)的方式嚴(yán)格的定義了密碼方案的安全性，讓安全性可量化 可證明安全性使密碼學(xué)研究、密碼方案的設(shè)計從“藝術(shù)”變成了“科學(xué)” 針對不同功能和不同類型密鑰的密碼方案，可證明安全性所變現(xiàn)出的形態(tài)也各不一樣 針對簽名方案，有不可存在性偽造 針對安全協(xié)議，有通用可組合安全,11,2020/8/3,基于身份加密（IBE）

5、,Boneh D, Franklin M. Identity-based encryption from the Weil pairingC/ Advances in CryptologyCRYPTO 2001. Springer Berlin/Heidelberg, 2001: 213-229.,12,回顧公鑰基礎(chǔ)設(shè)施（PKI）的核心,基于PKI的公鑰加密體制,13,2020/8/3,回顧PKI的核心功能,Alice如何知道Joy，Mike，Bob和Ted的公鑰 Joy，Mike，Bob和Ted自己公開并聲明自身的公鑰在實際應(yīng)用中是不安全和不現(xiàn)實的 需要一個可信的第三方去證明Alice拿到的

6、公鑰一定就是Joy，Mike，Bob和Ted的 PKI提供了這個可信第三方，即CA（證書中心）,14,2020/8/3,回顧PKI的核心功能,Alice向CA詢問Joy，Mike，Bob和Ted的公鑰 CA用自身的私鑰簽發(fā)Joy，Mike，Bob和Ted的公鑰，即生成證書 Alice拿到證書后，利用簽名驗證的思想，驗證證書的有效性 另外，CA也起到的撤銷用戶公鑰的能力，即不再簽發(fā)相應(yīng)用戶的公鑰,15,2020/8/3,簡單說PKI的核心功能,向發(fā)送方證明接收方的公鑰是“那一個”或者說將接收方與某個公鑰綁定 當(dāng)接收方公鑰不再有效時，告知發(fā)送方接收方的公鑰已被撤銷,16,2020/8/3,PKI存

7、在的實際問題,實際應(yīng)用中，發(fā)送方是非常多的 理論上，每次發(fā)送方加密數(shù)據(jù)之間，都要詢問CA接收方的公鑰是什么（即獲得接收方公鑰的證書），或者是詢問接收方的公鑰是否依然有效 CA成為了PKI的性能瓶頸,17,2020/8/3,PKI存在問題的本質(zhì)原因,公鑰是隨機(jī)生成的，因此與用戶沒有天然的綁定關(guān)系 例如：RSA中,公開密鑰：e, n n為兩個隨機(jī)選擇的且滿足一些要求的素數(shù)p和q的乘積 e與(n)互素，即與(p-1)(q-1)互素 且有了公鑰之后，再生成相應(yīng)的私鑰d,18,2020/8/3,IBE的思想,能夠有一種方法讓用戶及其公鑰有天然的綁定關(guān)系么？ 這是基于身份體制的核心要求 怎樣的公鑰才有可能

8、和用戶天然的綁定呢？ 這個公鑰直接或者間接的是用戶的某些自然屬性 同時由于公鑰需要有唯一性，即每個用戶的公鑰必須不同，因此自然屬性需要有唯一性 屬性身份公鑰,19,2020/8/3,IBE的提出,1984，shamir提出了基于身份體制（Identity-Based Cryptography，IBC）的概念，但并沒有找到實現(xiàn)方法 上個世紀(jì)90年代，實現(xiàn)了基于身份簽名方案（Identity-Based Signature，IBS） 直到2000或者2001年，實現(xiàn)了首個基于身份加密方案（Identity-Based Encryption， IBE）,20,2020/8/3,誰是第一個IBE方案,

9、Sakai和Kasahara Boneh和Franklin 上述兩個方案均基于雙線性映射構(gòu)建，具有較好的實用性 Cocks 基于二次剩余假設(shè)構(gòu)建 在實際應(yīng)用中缺乏實用性,21,2020/8/3,IBE的定義,Setup算法 輸入：安全參數(shù) 輸出：系統(tǒng)公開參數(shù)和系統(tǒng)秘密參數(shù) Extract算法 輸入：系統(tǒng)秘密參數(shù)，用戶的身份信息（公鑰） 輸出：用戶私鑰 Enc算法 輸入：系統(tǒng)公開參數(shù)，接收方的身份信息（公鑰），明文 輸出：密文 Dec算法 輸入：接收方的私鑰，密文 輸出：明文,22,2020/8/3,基于BF-IBE的郵件系統(tǒng),初始階段 密鑰生成中心（KGC）運行Setup算法（輸入：安全參數(shù)）

10、，生成系統(tǒng)公開參數(shù)和系統(tǒng)秘密參數(shù) 用戶加入階段 令新加入用戶的郵箱地址為ID，KGC運行Extract算法（輸入：系統(tǒng)秘密參數(shù)，ID），生成并授予其私鑰 郵件安全傳輸階段 令接收方的郵箱地址是ID， 發(fā)送方運行Enc算法加密郵件（輸入：系統(tǒng)公開參數(shù)，ID，郵件內(nèi)容），生成密文C并發(fā)送給接收方 接收方用私鑰解密出郵件內(nèi)容,23,2020/8/3,IBE的實例,雙線性映射的歷史 93年三個日本人發(fā)表在IEEE Transactions on Information Theory上 他們自己并沒有意識到其巨大的價值，只是想找一種攻擊特定橢圓曲線密碼學(xué)的方法 其巨大的價值被Boneh和Franklin

11、發(fā)現(xiàn)，并實現(xiàn)了BF-IBE方案,24,2020/8/3,數(shù)學(xué)基礎(chǔ),雙線性映射的定義,25,2020/8/3,具體方案,26,2020/8/3,IBE的密鑰托管問題,問題 用戶私鑰由密鑰生成中心生成，因此該中心知道所有用戶私鑰 若用戶私鑰泄露，無法通過更新公鑰的方式撤銷泄露的私鑰 解決思路 一個用戶公鑰對應(yīng)多個私鑰（指數(shù)個） 基于零知識證明，使得密鑰生成中心無法知道用戶選定的私鑰是哪一個 基于私鑰的取證技術(shù)，使得若攻擊者使用了非用戶選定的私鑰來解密，可以被發(fā)現(xiàn),27,2020/8/3,IBE的小結(jié),以任意身份信息作為公鑰 與傳統(tǒng)公鑰加密相比 IBE的公鑰可以是具有唯一標(biāo)識用戶作用的自然信息或者自

12、然屬性 以RSA為例，RSA的公鑰是隨機(jī)生成的與用戶具有的自然屬性沒有關(guān)系,28,2020/8/3,基于屬性加密（ABE）,Sahai A, Waters B. Fuzzy identity-based encryptionC/ Eurocrypt. 2005, 3494: 457-473.,Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted dataC/Proceedings of the 13th ACM conference o

13、n Computer and communications security. Acm, 2006: 89-98.,29,回顧傳統(tǒng)的訪問控制,Alice詢問數(shù)據(jù)庫某數(shù)據(jù) 已知的傳統(tǒng)訪問控制方法，包括：自主訪問控制，強(qiáng)制訪問控制，基于角色訪問控制等等 數(shù)據(jù)庫數(shù)據(jù)以明文形式存放，通過驗證用戶權(quán)限實現(xiàn)數(shù)據(jù)訪問，其安全性完全依賴用戶對服務(wù)器安全性的信任,30,2020/8/3,傳統(tǒng)訪問控制存在的問題,若數(shù)據(jù)庫服務(wù)器存在漏洞，導(dǎo)致攻擊者獲得管理員權(quán)限，則該攻擊者可以繞開訪問控制策略獲得數(shù)據(jù) 若數(shù)據(jù)庫管理員本身與攻擊者合謀，同樣可以導(dǎo)致訪問控制策略失效 傳統(tǒng)的訪問控制方法無法保證云計算環(huán)境下的數(shù)據(jù)安全性

14、數(shù)據(jù)集中的云平臺更容易成為攻擊目標(biāo) 云平臺缺乏可信性,31,2020/8/3,ABE的提出,2005年Waters等人，提出了模糊的基于身份加密 以指紋作為身份信息加密，存在每次指紋的提取不一致問題 模糊的基于身份加密實現(xiàn)了同一用戶的不同指紋加密生成的密文，可以被該用戶的同一個私鑰解密,32,2020/8/3,ABE的提出,本質(zhì)上，2005年Waters等人，實現(xiàn)了不同的基于身份公鑰被同一個私鑰解密 借鑒模糊基于身份加密的思想，提出了第一種ABE，即key-policy ABE,33,2020/8/3,ABE的提出,KP-ABE：以明文的屬性做公鑰，以訪問控制策略生成對應(yīng)的私鑰 Ciphert

15、ext Policy ABE（CP-ABE）：以訪問控制策略做公鑰加密明文，以用戶的屬性生成對應(yīng)的私鑰,34,2020/8/3,KP-ABE與CP-ABE的應(yīng)用差異,KP-ABE適合于加密方與訪問控制方分離的場景 數(shù)據(jù)安全采集與共享 CP-ABE適合于加密方與訪問控制方一體的場景 企業(yè)數(shù)據(jù)安全存儲與共享,35,2020/8/3,ABE的定義,Setup算法 輸入：安全參數(shù) 輸出：系統(tǒng)公開參數(shù)和系統(tǒng)秘密參數(shù) Extract算法 輸入：系統(tǒng)秘密參數(shù)，用戶的訪問控制策略（KP-ABE）/屬性（CP-ABE） 輸出：私鑰 Enc算法 輸入：系統(tǒng)公開參數(shù)，明文的屬性（KP-ABE）/訪問控制策略（CP-

16、ABE），明文 輸出：密文 Dec算法 輸入：私鑰，密文 輸出：明文,36,2020/8/3,基于CP-ABE的云存儲系統(tǒng),37,2020/8/3,CP-ABE的實例,38,2020/8/3,ABE算法設(shè)計的難點,支持訪問控制策略的能力 “與”門 “或”門 “非”門 系統(tǒng)參數(shù)的數(shù)量 密文的長度 通常，支持訪問控制策略的能力越強(qiáng)，那么系統(tǒng)參數(shù)的數(shù)量越多、密文的長度越長,39,2020/8/3,ABE的小結(jié),ABE是密碼學(xué)與傳統(tǒng)訪問控制的“有機(jī)”結(jié)合 在實際應(yīng)用中，ABE與傳統(tǒng)訪問控制的最大的不同是，ABE不需要信任服務(wù)器，換句話說，即使服務(wù)器是惡意的或者被攻破，也不會導(dǎo)致數(shù)據(jù)泄漏,40,2020

17、/8/3,代理重加密（PRE）,Ivan A A, Dodis Y. Proxy Cryptography RevisitedC/ NDSS. 2003.,41,回顧基于CP-ABE的云存儲系統(tǒng),ABE適合于企業(yè)級的安全數(shù)據(jù)存儲與訪問 用戶難以掌握和正確設(shè)置數(shù)據(jù)的訪問控制策略 ABE不適合普通用戶使用,42,2020/8/3,PRE的提出,1998年Blaze等人，提出了一種代理協(xié)議，可以讓第三方（代理方）修改已有密文的公鑰，但該方案存在明顯的安全性缺陷 2003年Ivan等人，正式提出了PRE,43,2020/8/3,PRE的定義,Setup算法 輸入：安全參數(shù) 輸出：系統(tǒng)公開參數(shù)和系統(tǒng)秘密

18、參數(shù) Extract算法（該算法僅在基于身份類的PRE中才存在） 輸入：系統(tǒng)秘密參數(shù)，用戶的身份 輸出：私鑰 Enc算法 輸入：系統(tǒng)公開參數(shù)，Alice公鑰，明文 輸出：初始密文 Dec-1算法 輸入：Alice私鑰，初始密文 輸出：明文 RK算法 輸入：Alice私鑰，Bob公鑰 輸出：重加密密鑰 ReEnc算法 輸入：重加密密鑰，初始密文 輸出：重加密密文 Dec-2算法 輸入：重加密密文，Bob私鑰 輸出：明文,44,2020/8/3,基于PRE的安全云數(shù)據(jù)存儲與共享,45,2020/8/3,基于身份的PRE實例,46,2020/8/3,PRE的其它問題,細(xì)粒度的控制問題 打破“全或無”

19、的共享模式 多次重加密的問題 打破一個密文只能以重加密形式共享一次的問題 雙向重加密的問題 打破一次重加密過程只能實現(xiàn)Alice-Bob或者Bob-Alice的單向共享 復(fù)雜多特性PRE方案的設(shè)計問題 使得一個PRE方案同時具有多種特性，例如細(xì)粒度共享、多次重加密、雙向重加密等等,47,2020/8/3,PRE的小結(jié),相比于ABE，PRE以用戶為中心，實現(xiàn)了用戶自主可控的訪問控制過程 PRE的公鑰類型與傳統(tǒng)公鑰體制一致，因此從工業(yè)的角度來說，更容易應(yīng)用到現(xiàn)有密碼系統(tǒng)中,48,2020/8/3,函數(shù)加密（FE）,49,回顧C(jī)P-ABE,CP-ABE以訪問控制策略做公鑰，以用戶屬性生成私鑰 訪問控

20、制策略是基于屬性（或權(quán)限）的布爾表達(dá)式 能不能有比布爾表達(dá)式更靈活的訪問控制方式 更通用的，任意數(shù)據(jù)的訪問控制方式都可以表示為某一個函數(shù) 我們能以函數(shù)作為公鑰么？,50,2020/8/3,FE的定義,Setup算法 輸入：安全參數(shù) 輸出：系統(tǒng)公開參數(shù)和系統(tǒng)秘密參數(shù) Extract算法 輸入：系統(tǒng)秘密參數(shù)，用戶的屬性 輸出：私鑰 Enc算法 輸入：系統(tǒng)公開參數(shù)，某個函數(shù)F，明文 輸出：密文 Dec算法 輸入：私鑰，密文 輸出：若用戶的屬性使得函數(shù)F輸出為“1”，則私鑰可以解密出正確的明文,51,2020/8/3,FE的小結(jié),相比于ABE，F(xiàn)E實現(xiàn)更為靈活的訪問控制方法，也就是說，任意可以描述為一

21、個函數(shù)的訪問控制策略都可以做為公鑰 從實際應(yīng)用的角度來說，F(xiàn)E實現(xiàn)了所有可能的訪問控制策略,52,2020/8/3,可搜索加密,Song D X, Wagner D, Perrig A. Practical techniques for searches on encrypted dataC/ Security and Privacy, 2000. S 否則對比下一條密文;,58,2020/8/3,SSE的設(shè)計思路（2）,逐一密文比對的檢索模式 存在的問題 檢索效率和可搜索密文的總數(shù)線性相關(guān) 解決思路 相同關(guān)鍵字的可搜索密文構(gòu)建隱藏鏈?zhǔn)浇Y(jié)構(gòu),假設(shè)：Enc( 1 , 1 ) Enc( 1 , 2

22、 ) Enc( 1 , 3 ) Enc( 2 , 1 ) Enc( 3 , 1 ),存儲階段：, 2 ,1 |Enc( 2 , 1 , 2 ,2 ), 3 ,1 |Enc( 3 , 1 , 3 ,2 ),59,2020/8/3,SSE的設(shè)計思路（3）,密文刪除 思路1：“已添加代刪除” 存在的問題：僅完成邏輯刪除 思路2：構(gòu)建面向文件標(biāo)識的可搜索密文 存在的問題：物理刪除降低了安全性，即刪除過程增加了信息泄露,如何刪除( 1 , 1 )對應(yīng)的密文 存儲階段： 刪除階段：當(dāng) 1 被檢索時. 從搜索鏈中找到所有滿足條件的密文，得到 id 1 , id 2 , id 3 ； 從刪除鏈中找到所有滿足條

23、件的密文，得到 id 1 ； 返回 id 2 , id 3 對的密文., w 1 ,1 |( 1 , 1 , w 1 ,2 ) Server,存儲階段： 刪除階段：刪除 1 的所有可搜索密文 生成刪除陷門 根據(jù) id 1 ,1 找到 刪除 根據(jù) id 1 ,2 找到, id 1 =( 1 ,1 , 1 ), w 1 ,1 |( 1 , 1 , 1 ,2 ) ?,60,2020/8/3,SSE的一種定義,Setup算法: 客戶端: 輸入:輸入安全參數(shù)和數(shù)據(jù)庫 輸出:私鑰（對稱密鑰）、標(biāo)簽用字典和檢索用字典 服務(wù)器：存儲加密數(shù)據(jù)庫（即檢索用字典） AddKeyword算法 : 客戶端： 輸入：私鑰

24、、標(biāo)簽用字典、關(guān)鍵字、文件標(biāo)識和加密數(shù)據(jù)庫 輸出：密文 服務(wù)器：更新數(shù)據(jù)庫 Search算法: 客戶端： 輸入：私鑰和關(guān)鍵字 輸出：檢索陷門 服務(wù)器： 輸入：加密數(shù)據(jù)庫和檢索陷門 輸出：文件標(biāo)識集合（含有指定關(guān)鍵字的文件標(biāo)識集合）,61,2020/8/3,SSE的一種應(yīng)用場景,1.1Setup算法生成私鑰（對稱密鑰）、標(biāo)簽用字典 和檢索用字典 , = ,1.2Setup算法存儲加密數(shù)據(jù)庫EDB= ,2.1 AddKeyword算法生成待添加關(guān)鍵字的可搜索密文K1 3.1 Search算法根通過私鑰生成檢索陷門 并發(fā)送到服務(wù)器,待添加密文K1,2.2AddKeyowrd算法更新數(shù)據(jù)庫，添加新的密

25、文 3.2Search算法輸出指定關(guān)鍵字的文件標(biāo)識集合,檢索陷門 ,操作1.1,操作2.1,操作3.1,62,2020/8/3,SSE的一種實例,63,2020/8/3,SSE的另一種定義,Setup算法: 客戶端: 輸入:輸入安全參數(shù)和數(shù)據(jù)庫 輸出:加密數(shù)據(jù)庫、私鑰（對稱密鑰）、標(biāo)簽用字典和檢索用字典 服務(wù)器：存儲加密數(shù)據(jù)庫（即檢索用字典） DeleteFile算法 : 客戶端： 輸入：私鑰和文件標(biāo)識id 輸出：刪除陷門 服務(wù)器： 輸入：加密數(shù)據(jù)庫和刪除陷門 輸出：刪除對應(yīng)文件 Search算法: 客戶端： 輸入：私鑰和關(guān)鍵字w 輸出：檢索陷門 服務(wù)器： 輸入：加密數(shù)據(jù)庫和檢索陷門 輸出：文

26、件標(biāo)識集合（含有指定關(guān)鍵字的文件標(biāo)識集合）,64,2020/8/3,SSE的另一種應(yīng)用場景,1.1Setup算法生成、私鑰（對稱密鑰）檢索用字典 和 ,1.2Setup算法存儲加密數(shù)據(jù)庫EDB=( , ),2.1 DeleteFile算法 根據(jù)私鑰和文件標(biāo)識id生成刪除陷門 3.1Search算法根通過私鑰生成檢索陷門 并發(fā)送到服務(wù)器,刪除陷門 ,2.2 DeleteFile算法根據(jù)加密數(shù)據(jù)庫和刪除陷門刪除對應(yīng)文件 3.2Search算法輸出指定關(guān)鍵字的文件標(biāo)識集合,檢索陷門 ,操作1.1,操作2.1,操作3.1,65,2020/8/3,SSE的另一種實例,66,2020/8/3,SSE存在的

27、問題,可搜索密文的刪除問題 邏輯刪除，易于保證安全性 物理刪除，容易破壞安全性 多樣化檢索的問題 模糊檢索、范圍檢索等等 安全性與效率的博弈 現(xiàn)有提出的SSE無法避免信息泄露 無信息泄露的SSE，也可以稱為“隱私信息抽取”，大量的采用了“不經(jīng)意”傳輸協(xié)議，性能地下,67,2020/8/3,PEKS的提出,2004年，Boneh以加密郵件系統(tǒng)的檢索問題為出發(fā)點，首次提出了PEKS的概念和實例化方案 初步實現(xiàn)了在不泄露郵件內(nèi)容和關(guān)鍵字的條件下，郵件服務(wù)器對加密郵件的關(guān)鍵字檢索,68,2020/8/3,PEKS的定義,Setup算法 輸入：安全參數(shù) 輸出：系統(tǒng)公鑰和系統(tǒng)私鑰 Enc算法 輸入：輸入公

28、鑰，關(guān)鍵字 輸出：關(guān)鍵字可搜索密文 Trapdoor算法 輸入：輸入私鑰，關(guān)鍵字 輸出：關(guān)鍵字陷門 Test算法 輸入：輸入公鑰，可搜索密文和陷門 輸出：搜索結(jié)果,69,2020/8/3,基于PEKS的應(yīng)用場景,2.2上傳加密數(shù)據(jù),2.1輸入接收方公鑰和關(guān)鍵字，運行Enc算法生成關(guān)鍵字可搜索密文 2.2將加密文件和可搜索密文上傳至服務(wù)器,發(fā)送方,1.1輸入安全參數(shù)，運行Setup算法生成系統(tǒng)公鑰和私鑰； 3.1輸入私鑰和待檢索的關(guān)鍵字，運行Trapdoor算法生成關(guān)鍵字陷門； 3.2將檢索陷門上傳至服務(wù)器,3.2搜索請求,4.2返回結(jié)果,4.1輸入公鑰，一條可搜索密文和接收方檢索陷門，運行Te

29、st算法判斷密文是否包含指定的關(guān)鍵字；,接收方,云服務(wù)器,70,2020/8/3,PEKS實例,71,2020/8/3,PEKS存在的問題,檢索效率問題 檢索效率與可搜索密文的總數(shù)線性相關(guān) 如何加快檢索速度,O(N),N表示密文數(shù)量,72,2020/8/3,回顧明文關(guān)鍵字的檢索方式,相同關(guān)鍵字直接合并 為不同關(guān)鍵字構(gòu)建二叉樹 O(n)，n為關(guān)鍵字個數(shù) O( log ),n為關(guān)鍵字個數(shù) 檢索效率是不同關(guān)鍵字?jǐn)?shù)量的對數(shù),73,2020/8/3,以明文關(guān)鍵字檢索方式考慮如何加快密文關(guān)鍵字的檢索,相同關(guān)鍵字的密文能否合并 常規(guī)加密屬于隨機(jī)化加密，使得相同關(guān)鍵字的密文相互獨立（或者截然不同），因此不能合

30、并 可以采用確定化的加密，使得相同的關(guān)鍵字具有相同的密文，因此可以合并，但降低了安全性（2008年，Bellare的核心思路） 不同關(guān)鍵字的密文能否建立二叉樹 只有確定化的加密，才能建立二叉樹,74,2020/8/3,如何在不降低安全性的條件下，加快PEKS的檢索速度,2008年，Camenisch等描述了一種方法，使具有相同關(guān)鍵字的密文形成一條隱式鏈; 如果服務(wù)器正確查找到第一條匹配的密文，他們的方法將會提高檢索的效率; 該方案不能快速查找到第一條匹配的密文,檢索效率和整個密文相關(guān);,75,2020/8/3,SPCHS的提出,2015年徐鵬等人首次提出了結(jié)構(gòu)化公鑰可搜索加密（SPCHS）概念

31、； 首次實現(xiàn)了檢索復(fù)雜度只取決于包含查詢關(guān)鍵字的可搜索密文的數(shù)量，而不是所有密文的數(shù)量，大幅提高了PEKS的效率； 核心思路：同一個關(guān)鍵字的所有可搜索密文具有隱藏的鏈?zhǔn)浇Y(jié)構(gòu)，鏈頭與公共頭部構(gòu)成了一個隱藏的星型結(jié)構(gòu)；,可搜索關(guān)鍵字密文的星型結(jié)構(gòu),76,2020/8/3,SPCHS的定義,SystemSetup算法 輸入：安全參數(shù) 輸出：系統(tǒng)公鑰和系統(tǒng)私鑰 StructureInitialization算法 輸入：系統(tǒng)公鑰 輸出：隱藏結(jié)構(gòu)的私有部分和公有部分 StructuredEncryption算法 輸入：系統(tǒng)公鑰、關(guān)鍵字、和隱藏結(jié)構(gòu)的私有部分 輸出：可搜索密文 Trapdoor算法 輸入：系

32、統(tǒng)私鑰、關(guān)鍵字 輸出：關(guān)鍵字檢索陷門 StructuredSearch算法 輸入：系統(tǒng)公鑰、隱藏結(jié)構(gòu)的公有部分、密文集合和關(guān)鍵字檢索陷門 輸出：關(guān)鍵字對應(yīng)的密文,77,2020/8/3,基于SPCHS的應(yīng)用場景,上傳加密數(shù)據(jù),2.0若發(fā)送方還未初始化隱藏結(jié)構(gòu)（或者第一次生成可搜索密文時），輸入系統(tǒng)公鑰，運行StructureInitialization算法，生成隱藏結(jié)構(gòu)的私有部分和公有部分，上傳公有部分； 2.1輸入接收方公鑰、關(guān)鍵字和隱藏結(jié)構(gòu)的私有部分，運行StructuredEncryption算法，生成可搜索密文； 2.2將加密文件和可搜索密文上傳至服務(wù)器,發(fā)送方,1.1輸入安全參數(shù)，運

33、行SystemSetup算法，生成系統(tǒng)公鑰和系統(tǒng)私鑰； 3.1輸入私鑰和待檢索的關(guān)鍵字，運行Trapdoor算法生成關(guān)鍵字檢索陷門； 3.2將檢索陷門上傳至服務(wù)器,搜索請求,返回結(jié)果,接收方,云服務(wù)器,4.1輸入公鑰、某發(fā)送方隱藏結(jié)構(gòu)的公有部分、可搜索密文和檢索陷門，運行StructuredSearch算法，找到該發(fā)送方生成的所有滿足條件的密文； 4.2針對所有發(fā)送方，執(zhí)行步驟4.1； 4.3返回檢索出的加密文件；,78,2020/8/3,SPCHS實例,79,2020/8/3,SPCHS存在的問題,本地私有狀態(tài)問題 為了隱藏結(jié)構(gòu)的生成，用戶需要存儲和更新私有信息 僅支持關(guān)鍵字的精確查找 快速

34、的模糊搜索、范圍搜索、子集檢索等等 學(xué)術(shù)界提出的可搜索加密難以適用于數(shù)據(jù)庫 兩者索引的建立模式截然不同,80,2020/8/3,小結(jié),可搜索加密是加密數(shù)據(jù)外包存儲的重要支撐技術(shù) 可搜索加密研究的博弈焦點： 性能 安全性 檢索多樣性 可搜索加密應(yīng)用的博弈焦點： 基于數(shù)據(jù)語義的數(shù)據(jù)庫索引建立模式與可搜索加密的隱藏結(jié)構(gòu)索引模式不兼容,81,2020/8/3,加密云郵件系統(tǒng)TC AsiACCS,Peng Xu, Hai Jin, Qianhong Wu, Wei Wang, Public-Key Encryption with Fuzzy Keyword Search: A Provably Secu

35、re Schemeunder Keyword Guessing Attack, IEEE Transactions on Computers, 62(11), pp. 2266-2277, 2013.,Peng Xu, Jun Xu, Wei Wang, Hai Jin, Willy Susilo, Deqing Zou, Generally Hybrid Proxy Re-Encryption: A Secure Data Sharing among Cryptographic Clouds,ASIACCS 2016, 913-918.,82,云郵件系統(tǒng)的商業(yè)價值,云郵件系統(tǒng)：通過租用云平臺

36、，減少自構(gòu)建郵件系統(tǒng)的成本,83,2020/8/3,云郵件系統(tǒng)的商業(yè)價值,一個快速發(fā)展的領(lǐng)域,From Radicati,84,2020/8/3,云郵件系統(tǒng)的商業(yè)價值,低廉的成本,85,2020/8/3,郵件系統(tǒng)面臨的威脅,郵件系統(tǒng)的保密性一直以來都是熱點問題 郵件服務(wù)器端的泄漏事故屢見不鮮 2013年2月，因為一些被公之于眾的內(nèi)部郵件，沃爾瑪股價周五一度下跌逾3% 2012年02月，敘利亞總統(tǒng)辦公室的電子郵箱系統(tǒng)遭到黑客組織攻擊，導(dǎo)致數(shù)百封郵件外泄 2009年丹麥哥本哈根氣候變化會議前，英國東英吉利大學(xué)氣候變化研究人員的郵件泄漏引發(fā)人們對相關(guān)氣候變化報告的質(zhì)疑，該事件對大會造成了非常不利的影

37、響 在聯(lián)合國將在南非德班舉行新一輪氣候會議之際，黑客在網(wǎng)上公布了盜取的數(shù)據(jù)，其中包括了十多年來，英美氣候變化專家之間的近1000封私人電子郵件和約3000份文件 云平臺更易成為攻擊目標(biāo)，且租用統(tǒng)一云平臺的郵件系統(tǒng)被破壞可能導(dǎo)致眾多企業(yè)同時遭受損失,86,2020/8/3,郵件安全的核心技術(shù),加密郵件超過55%,87,2020/8/3,業(yè)界動態(tài),2014年8月8日雅虎表示，將與谷歌合作開發(fā)安全電子郵件系統(tǒng)，將使黑客無法繼續(xù)竊取用戶的信息。這一新系統(tǒng)將基于PGP加密技術(shù)。用戶的密鑰被保存在自己的筆記本、平板電腦和智能手機(jī)中 2013年，北京中興通科技股份有限公司申報的項目基于標(biāo)識密碼技術(shù)的云安全郵

38、件服務(wù)平臺，成功獲得信息安全專項資金支持。此項目也將被列入2012年國家高技術(shù)產(chǎn)業(yè)發(fā)展項目計劃,88,2020/8/3,Top 10企業(yè)的產(chǎn)品分析,基于SSL協(xié)議 Voltage, DataMotion, Proofpoint, EdgeWave, Symantec, Sophos, LuxSci, Privato 基于PGP協(xié)議 Voltage, DataMotion, Cryptzone, Symantec, Sophos, Privato 基于IBE協(xié)議 Voltage, DataMotion, Proofpoint, Trendmicro,89,2020/8/3,SSL協(xié)議存在的問題,

39、無法防范惡意郵件服務(wù)器,事故案例 2011年3月，Gmail郵件泄露 2013年8月，Gmail承認(rèn)掃描用戶郵件內(nèi)容，且不尊重用戶隱私 為了實現(xiàn)內(nèi)容推送服務(wù)，相當(dāng)一部分郵件服務(wù)提供商在掃描用戶郵件,惡意或被攻擊郵件服務(wù)器將泄露用戶郵件內(nèi)容,90,2020/8/3,PGP和IBE協(xié)議存在的問題,用戶使用不友好,91,2020/8/3,加密云郵件的群發(fā)和群轉(zhuǎn)發(fā),問題來源 SSL的群發(fā)和群轉(zhuǎn)發(fā)均由云平臺以明文方式處理 PGP和IBE不支持加密郵件的群發(fā)，更嚴(yán)重的是不支持群轉(zhuǎn)發(fā),92,2020/8/3,加密云郵件的群發(fā)和群轉(zhuǎn)發(fā),核心思路 設(shè)計多功能的代理重加密，即細(xì)粒度的、基于身份的和廣播的代理重加密

40、算法 已有成果 論文：Conditional Identity-Based Broadcast Proxy Re-Encryption and Its Application to Cloud Email. IEEE Transactions on Computers (Accepted) 專利：一種提高外包加密數(shù)據(jù)共享功能的代理重加密方法（已獲專利申請?zhí)枺?93,2020/8/3,CIBPRE的提出,常規(guī)PRE方案 代理方重加密次數(shù)與接收者人數(shù)成正比，消耗較多的網(wǎng)絡(luò)資源 發(fā)送者不能對云端的重加密對象做細(xì)粒度控制，換句話說，無法控制云端對密文的重加密范圍 2015年，徐鵬等人提出帶條件的基于身

41、份廣播代理重加密方案CIBPRE 實現(xiàn)用戶細(xì)粒度控制遠(yuǎn)程密文數(shù)據(jù)的代理重加密過程，加強(qiáng)用戶對自己密文數(shù)據(jù)的控制能力 實現(xiàn)群加密，為一組接收者生成一條初始密文或重加密密文，減少系統(tǒng)通信開銷 實現(xiàn)身份信息做公鑰，避免PKI的使用,94,2020/8/3,CIBPRE的定義,Setup PRE 算法: 輸入：安全參數(shù) 輸出：主公開參數(shù)和主秘密參數(shù) Extract PRE 算法: 輸入：主秘密參數(shù)和用戶的身份 輸出：私鑰 Enc PRE 算法: 輸入：主公開參數(shù)，接收者集合，明文及其共享條件 輸出：初始密文 Dec1 PRE 算法: 輸入：主公開參數(shù)，用戶的身份和私鑰，初始密文和接收者集合 S輸出：明

42、文 RK PRE 算法: 輸入：主公開參數(shù)，用戶的身份，私鑰，新接收者集合和一個轉(zhuǎn)發(fā)條件 輸出：重加密密鑰 ReEnc PRE 算法: 輸入：主公開參數(shù)，重加密密鑰，初始密文和原始接收者集合 輸出：重加密密文 Dec2 PRE 算法: 輸入：主公開參數(shù)，用戶的身份，私鑰，重加密密文和新接收者集合 輸出：明文,95,2020/8/3,基于CIBPRE的郵件系統(tǒng),基于CIBPRE的云郵件系統(tǒng)包括：可信的密鑰生成中心（KGC）、云服務(wù)提供商、用戶 基于CIBPRE云郵件系統(tǒng)的具體工作流程如下： 初始化階段：KGC初始化CIBPRE方案生成系統(tǒng)參數(shù) 密鑰管理階段：當(dāng)一個新用戶加入到系統(tǒng)中，KGC為其生

43、成一個私鑰 發(fā)送加密郵件：發(fā)送者可以發(fā)送一封加密郵件給多個接收者，并且此加密郵件會在云端保存 轉(zhuǎn)發(fā)歷史加密郵件：發(fā)送者為新的多個接收者生成指定郵件的重加密密鑰；根據(jù)該密鑰，云端重加密指定的歷史郵件密文，并發(fā)送給新的接收者,96,2020/8/3,基于CIBPRE的郵件系統(tǒng),發(fā)送郵件,轉(zhuǎn)發(fā)郵件,97,2020/8/3,CIBPRE的實例,98,2020/8/3,CIBPRE的實例,99,2020/8/3,異構(gòu)加密郵件系統(tǒng)之間的安全性通信問題,問題來源 實際應(yīng)用中，不同的公司會選擇不同參數(shù)、或者不同體質(zhì)的密碼算法來保障各自系統(tǒng)的安全性 郵件系統(tǒng)是一種跨服務(wù)器、跨域的通信系統(tǒng),100,2020/8/3,PRE間如何安全通信,2003年以來，各種PRE算法不斷提出 不同密鑰類型，例如傳統(tǒng)公鑰類、基于身份類 不同的附加功能，例如廣播加密、細(xì)粒度控制、雙向加密等等 不同的數(shù)學(xué)參數(shù)，例如基于大素數(shù)群的、基于橢圓曲線群的等等 不同PRE之間如何實現(xiàn)安全的通信（數(shù)據(jù)共享