前沿密碼應(yīng)用技術(shù)課件

1、內(nèi)容提要1. 什么是安全2. 可證明安全性3. 基于身份加密4. 基于屬性加密5. 代理重加密6. 函數(shù)加密7. 可搜索加密8. 加密云郵件系統(tǒng)徐鵬 副教授郵箱：研究領(lǐng)域：公鑰密碼，基于身份密碼，格密碼，可搜索加密，云數(shù)據(jù)安全等內(nèi)容提要1. 什么是安全2. 可證明安全性3. 基于身1. 什么是安全？1. 什么是安全？安全與信任的關(guān)系你們考慮過密碼算法為什么安全么？簡單地說，安全就是信任；或者說，你相信“它”是安全的，就是安全的從“水”的安全性說開去生活中，常見的信任源有哪些？信任源具有動態(tài)性密碼學(xué)的信任源是什么？學(xué)術(shù)界與工業(yè)界對安全的構(gòu)建采用的不同思想擴展問題：信任源空間的大小是變化的安全與信

2、任的關(guān)系你們考慮過密碼算法為什么安全么？2. 可證明安全性Goldwasser S, Micali S, Rackoff C. The knowledge complexity of interactive proof-systemsC/ DBLP, 1985:291-304.2. 可證明安全性Goldwasser S, Micali 可證明安全性的起源起源于1982年Goldwasser和Micali等學(xué)者的開創(chuàng)性工作,他們提出了語義安全性定義,將可證明安全的思想首次帶入安全協(xié)議的形式化分析中Goldwasser和Micali獲2012年圖靈獎可證明安全性的起源起源于1982年Goldwas

3、ser和Mi語義安全性的主要成分如何定義攻擊者計算能力先驗知識如何定義攻擊目標直觀目標明文語義以上述兩者為基礎(chǔ)，如何定義安全一種“優(yōu)勢”語義安全性的主要成分如何定義攻擊者語義安全性的一種簡單抽象攻擊者挑戰(zhàn)者公鑰挑戰(zhàn)明文（M0，M1）隨機選擇任意一個明文，并生成其挑戰(zhàn)密文C；挑戰(zhàn)密文C猜測結(jié)果d=0或1若Md是挑戰(zhàn)者之前所選擇的明文，則攻擊成功；語義安全性：在上述攻擊游戲中，若攻擊者的成功優(yōu)勢可忽略，則該公鑰加密算法是語義安全的（具體的說是選擇明文攻擊下語義安全的）以某類公鑰加密算法為例，例如ElGamal算法語義安全性的一種簡單抽象攻擊者挑戰(zhàn)者公鑰挑戰(zhàn)明文（M0，M1ElGamal加密與數(shù)學(xué)難

4、題ElGamal加密與數(shù)學(xué)難題ElGamal加密的可證明安全性核心思想若存在某個攻擊者A能以不可忽略的優(yōu)勢攻破ElGamal加密算法，則存在一個算法B能利用這個攻擊者來求解DDH問題，ElGamal加密的可證明安全性核心思想其它問題什么是安全參數(shù)？從RSA 1024bits加密密鑰所開去量化安全性的重要依據(jù)為什么隨機數(shù)對加密算法的安全性至關(guān)重要？從信息論的角度說開去確定算法無法增加輸出的熵其它問題什么是安全參數(shù)？小結(jié)可證明安全性首次以科學(xué)的方式嚴格的定義了密碼方案的安全性，讓安全性可量化可證明安全性使密碼學(xué)研究、密碼方案的設(shè)計從“藝術(shù)”變成了“科學(xué)”針對不同功能和不同類型密鑰的密碼方案，可證明

5、安全性所變現(xiàn)出的形態(tài)也各不一樣針對簽名方案，有不可存在性偽造針對安全協(xié)議，有通用可組合安全小結(jié)可證明安全性首次以科學(xué)的方式嚴格的定義了密碼方案的安全性基于身份加密（IBE）Boneh D, Franklin M. Identity-based encryption from the Weil pairingC/ Advances in CryptologyCRYPTO 2001. Springer Berlin/Heidelberg, 2001: 213-229.基于身份加密（IBE）Boneh D, Franklin M回顧公鑰基礎(chǔ)設(shè)施（PKI）的核心基于PKI的公鑰加密體制回顧公鑰基礎(chǔ)設(shè)施

6、（PKI）的核心基于PKI的公鑰加密體制回顧PKI的核心功能Alice如何知道Joy，Mike，Bob和Ted的公鑰Joy，Mike，Bob和Ted自己公開并聲明自身的公鑰在實際應(yīng)用中是不安全和不現(xiàn)實的需要一個可信的第三方去證明Alice拿到的公鑰一定就是Joy，Mike，Bob和Ted的PKI提供了這個可信第三方，即CA（證書中心）回顧PKI的核心功能Alice如何知道Joy，Mike，Bo回顧PKI的核心功能Alice向CA詢問Joy，Mike，Bob和Ted的公鑰CA用自身的私鑰簽發(fā)Joy，Mike，Bob和Ted的公鑰，即生成證書Alice拿到證書后，利用簽名驗證的思想，驗證證書的有效

7、性另外，CA也起到的撤銷用戶公鑰的能力，即不再簽發(fā)相應(yīng)用戶的公鑰回顧PKI的核心功能Alice向CA詢問Joy，Mike，B簡單說PKI的核心功能向發(fā)送方證明接收方的公鑰是“那一個”或者說將接收方與某個公鑰綁定當接收方公鑰不再有效時，告知發(fā)送方接收方的公鑰已被撤銷簡單說PKI的核心功能向發(fā)送方證明接收方的公鑰是“那一個”或PKI存在的實際問題實際應(yīng)用中，發(fā)送方是非常多的理論上，每次發(fā)送方加密數(shù)據(jù)之間，都要詢問CA接收方的公鑰是什么（即獲得接收方公鑰的證書），或者是詢問接收方的公鑰是否依然有效CA成為了PKI的性能瓶頸PKI存在的實際問題實際應(yīng)用中，發(fā)送方是非常多的PKI存在問題的本質(zhì)原因公鑰是

8、隨機生成的，因此與用戶沒有天然的綁定關(guān)系例如：RSA中公開密鑰：e, nn為兩個隨機選擇的且滿足一些要求的素數(shù)p和q的乘積e與(n)互素，即與(p-1)(q-1)互素且有了公鑰之后，再生成相應(yīng)的私鑰dPKI存在問題的本質(zhì)原因公鑰是隨機生成的，因此與用戶沒有天然IBE的思想能夠有一種方法讓用戶及其公鑰有天然的綁定關(guān)系么？這是基于身份體制的核心要求怎樣的公鑰才有可能和用戶天然的綁定呢？這個公鑰直接或者間接的是用戶的某些自然屬性同時由于公鑰需要有唯一性，即每個用戶的公鑰必須不同，因此自然屬性需要有唯一性屬性身份公鑰IBE的思想能夠有一種方法讓用戶及其公鑰有天然的綁定關(guān)系么？IBE的提出1984，sh

9、amir提出了基于身份體制（Identity-Based Cryptography，IBC）的概念，但并沒有找到實現(xiàn)方法上個世紀90年代，實現(xiàn)了基于身份簽名方案（Identity-Based Signature，IBS）直到2000或者2001年，實現(xiàn)了首個基于身份加密方案（Identity-Based Encryption， IBE）IBE的提出1984，shamir提出了基于身份體制（Ide誰是第一個IBE方案Sakai和KasaharaBoneh和Franklin上述兩個方案均基于雙線性映射構(gòu)建，具有較好的實用性Cocks基于二次剩余假設(shè)構(gòu)建在實際應(yīng)用中缺乏實用性誰是第一個IBE方案Sa

10、kai和KasaharaIBE的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公開參數(shù)和系統(tǒng)秘密參數(shù)Extract算法輸入：系統(tǒng)秘密參數(shù)，用戶的身份信息（公鑰）輸出：用戶私鑰Enc算法輸入：系統(tǒng)公開參數(shù)，接收方的身份信息（公鑰），明文輸出：密文Dec算法輸入：接收方的私鑰，密文輸出：明文IBE的定義Setup算法基于BF-IBE的郵件系統(tǒng)初始階段密鑰生成中心（KGC）運行Setup算法（輸入：安全參數(shù)），生成系統(tǒng)公開參數(shù)和系統(tǒng)秘密參數(shù)用戶加入階段令新加入用戶的郵箱地址為ID，KGC運行Extract算法（輸入：系統(tǒng)秘密參數(shù)，ID），生成并授予其私鑰郵件安全傳輸階段令接收方的郵箱地址是ID， 發(fā)送方

11、運行Enc算法加密郵件（輸入：系統(tǒng)公開參數(shù)，ID，郵件內(nèi)容），生成密文C并發(fā)送給接收方接收方用私鑰解密出郵件內(nèi)容基于BF-IBE的郵件系統(tǒng)初始階段IBE的實例雙線性映射的歷史93年三個日本人發(fā)表在IEEE Transactions on Information Theory上他們自己并沒有意識到其巨大的價值，只是想找一種攻擊特定橢圓曲線密碼學(xué)的方法其巨大的價值被Boneh和Franklin發(fā)現(xiàn)，并實現(xiàn)了BF-IBE方案IBE的實例雙線性映射的歷史數(shù)學(xué)基礎(chǔ)雙線性映射的定義數(shù)學(xué)基礎(chǔ)雙線性映射的定義具體方案具體方案IBE的密鑰托管問題問題用戶私鑰由密鑰生成中心生成，因此該中心知道所有用戶私鑰若用戶私

12、鑰泄露，無法通過更新公鑰的方式撤銷泄露的私鑰解決思路一個用戶公鑰對應(yīng)多個私鑰（指數(shù)個）基于零知識證明，使得密鑰生成中心無法知道用戶選定的私鑰是哪一個基于私鑰的取證技術(shù)，使得若攻擊者使用了非用戶選定的私鑰來解密，可以被發(fā)現(xiàn)IBE的密鑰托管問題問題IBE的小結(jié)以任意身份信息作為公鑰與傳統(tǒng)公鑰加密相比IBE的公鑰可以是具有唯一標識用戶作用的自然信息或者自然屬性以RSA為例，RSA的公鑰是隨機生成的與用戶具有的自然屬性沒有關(guān)系IBE的小結(jié)以任意身份信息作為公鑰基于屬性加密（ABE）Sahai A, Waters B. Fuzzy identity-based encryptionC/ Eurocryp

13、t. 2005, 3494: 457-473.Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted dataC/Proceedings of the 13th ACM conference on Computer and communications security. Acm, 2006: 89-98.基于屬性加密（ABE）Sahai A, Waters B. 回顧傳統(tǒng)的訪問控制Alice詢問數(shù)據(jù)庫某數(shù)據(jù)已知的傳統(tǒng)訪問控制方法，包括：

14、自主訪問控制，強制訪問控制，基于角色訪問控制等等數(shù)據(jù)庫數(shù)據(jù)以明文形式存放，通過驗證用戶權(quán)限實現(xiàn)數(shù)據(jù)訪問，其安全性完全依賴用戶對服務(wù)器安全性的信任回顧傳統(tǒng)的訪問控制Alice詢問數(shù)據(jù)庫某數(shù)據(jù)傳統(tǒng)訪問控制存在的問題若數(shù)據(jù)庫服務(wù)器存在漏洞，導(dǎo)致攻擊者獲得管理員權(quán)限，則該攻擊者可以繞開訪問控制策略獲得數(shù)據(jù)若數(shù)據(jù)庫管理員本身與攻擊者合謀，同樣可以導(dǎo)致訪問控制策略失效傳統(tǒng)的訪問控制方法無法保證云計算環(huán)境下的數(shù)據(jù)安全性數(shù)據(jù)集中的云平臺更容易成為攻擊目標云平臺缺乏可信性傳統(tǒng)訪問控制存在的問題若數(shù)據(jù)庫服務(wù)器存在漏洞，導(dǎo)致攻擊者獲得ABE的提出2005年Waters等人，提出了模糊的基于身份加密以指紋作為身份信息

15、加密，存在每次指紋的提取不一致問題模糊的基于身份加密實現(xiàn)了同一用戶的不同指紋加密生成的密文，可以被該用戶的同一個私鑰解密ABE的提出2005年Waters等人，提出了模糊的基于身份ABE的提出本質(zhì)上，2005年Waters等人，實現(xiàn)了不同的基于身份公鑰被同一個私鑰解密借鑒模糊基于身份加密的思想，提出了第一種ABE，即key-policy ABEABE的提出本質(zhì)上，2005年Waters等人，實現(xiàn)了不同的ABE的提出KP-ABE：以明文的屬性做公鑰，以訪問控制策略生成對應(yīng)的私鑰Ciphertext Policy ABE（CP-ABE）：以訪問控制策略做公鑰加密明文，以用戶的屬性生成對應(yīng)的私鑰AB

16、E的提出KP-ABE：以明文的屬性做公鑰，以訪問控制策略KP-ABE與CP-ABE的應(yīng)用差異KP-ABE適合于加密方與訪問控制方分離的場景數(shù)據(jù)安全采集與共享CP-ABE適合于加密方與訪問控制方一體的場景企業(yè)數(shù)據(jù)安全存儲與共享KP-ABE與CP-ABE的應(yīng)用差異KP-ABE適合于加密方ABE的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公開參數(shù)和系統(tǒng)秘密參數(shù)Extract算法輸入：系統(tǒng)秘密參數(shù)，用戶的訪問控制策略（KP-ABE）/屬性（CP-ABE）輸出：私鑰Enc算法輸入：系統(tǒng)公開參數(shù)，明文的屬性（KP-ABE）/訪問控制策略（CP-ABE），明文輸出：密文Dec算法輸入：私鑰，密文輸出：明文A

17、BE的定義Setup算法基于CP-ABE的云存儲系統(tǒng)基于CP-ABE的云存儲系統(tǒng)CP-ABE的實例CP-ABE的實例ABE算法設(shè)計的難點支持訪問控制策略的能力“與”門“或”門“非”門系統(tǒng)參數(shù)的數(shù)量密文的長度通常，支持訪問控制策略的能力越強，那么系統(tǒng)參數(shù)的數(shù)量越多、密文的長度越長ABE算法設(shè)計的難點支持訪問控制策略的能力ABE的小結(jié)ABE是密碼學(xué)與傳統(tǒng)訪問控制的“有機”結(jié)合在實際應(yīng)用中，ABE與傳統(tǒng)訪問控制的最大的不同是，ABE不需要信任服務(wù)器，換句話說，即使服務(wù)器是惡意的或者被攻破，也不會導(dǎo)致數(shù)據(jù)泄漏ABE的小結(jié)ABE是密碼學(xué)與傳統(tǒng)訪問控制的“有機”結(jié)合代理重加密（PRE）Ivan A A,

18、Dodis Y. Proxy Cryptography RevisitedC/ NDSS. 2003.代理重加密（PRE）Ivan A A, Dodis Y. P回顧基于CP-ABE的云存儲系統(tǒng)ABE適合于企業(yè)級的安全數(shù)據(jù)存儲與訪問用戶難以掌握和正確設(shè)置數(shù)據(jù)的訪問控制策略ABE不適合普通用戶使用回顧基于CP-ABE的云存儲系統(tǒng)ABE適合于企業(yè)級的安全數(shù)據(jù)PRE的提出1998年Blaze等人，提出了一種代理協(xié)議，可以讓第三方（代理方）修改已有密文的公鑰，但該方案存在明顯的安全性缺陷2003年Ivan等人，正式提出了PREPRE的提出1998年Blaze等人，提出了一種代理協(xié)議，可PRE的定義Se

19、tup算法輸入：安全參數(shù)輸出：系統(tǒng)公開參數(shù)和系統(tǒng)秘密參數(shù)Extract算法（該算法僅在基于身份類的PRE中才存在）輸入：系統(tǒng)秘密參數(shù)，用戶的身份輸出：私鑰Enc算法輸入：系統(tǒng)公開參數(shù)，Alice公鑰，明文輸出：初始密文Dec-1算法輸入：Alice私鑰，初始密文輸出：明文RK算法輸入：Alice私鑰，Bob公鑰輸出：重加密密鑰ReEnc算法輸入：重加密密鑰，初始密文輸出：重加密密文Dec-2算法輸入：重加密密文，Bob私鑰輸出：明文PRE的定義Setup算法基于PRE的安全云數(shù)據(jù)存儲與共享基于PRE的安全云數(shù)據(jù)存儲與共享基于身份的PRE實例基于身份的PRE實例PRE的其它問題細粒度的控制問題打

20、破“全或無”的共享模式多次重加密的問題打破一個密文只能以重加密形式共享一次的問題雙向重加密的問題打破一次重加密過程只能實現(xiàn)Alice-Bob或者Bob-Alice的單向共享復(fù)雜多特性PRE方案的設(shè)計問題使得一個PRE方案同時具有多種特性，例如細粒度共享、多次重加密、雙向重加密等等PRE的其它問題細粒度的控制問題PRE的小結(jié)相比于ABE，PRE以用戶為中心，實現(xiàn)了用戶自主可控的訪問控制過程PRE的公鑰類型與傳統(tǒng)公鑰體制一致，因此從工業(yè)的角度來說，更容易應(yīng)用到現(xiàn)有密碼系統(tǒng)中PRE的小結(jié)相比于ABE，PRE以用戶為中心，實現(xiàn)了用戶自主函數(shù)加密（FE）函數(shù)加密（FE）回顧CP-ABECP-ABE以訪問

21、控制策略做公鑰，以用戶屬性生成私鑰訪問控制策略是基于屬性（或權(quán)限）的布爾表達式能不能有比布爾表達式更靈活的訪問控制方式更通用的，任意數(shù)據(jù)的訪問控制方式都可以表示為某一個函數(shù)我們能以函數(shù)作為公鑰么？回顧CP-ABECP-ABE以訪問控制策略做公鑰，以用戶屬性FE的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公開參數(shù)和系統(tǒng)秘密參數(shù)Extract算法輸入：系統(tǒng)秘密參數(shù)，用戶的屬性輸出：私鑰Enc算法輸入：系統(tǒng)公開參數(shù)，某個函數(shù)F，明文輸出：密文Dec算法輸入：私鑰，密文輸出：若用戶的屬性使得函數(shù)F輸出為“1”，則私鑰可以解密出正確的明文FE的定義Setup算法FE的小結(jié)相比于ABE，F(xiàn)E實現(xiàn)更為靈活的

22、訪問控制方法，也就是說，任意可以描述為一個函數(shù)的訪問控制策略都可以做為公鑰從實際應(yīng)用的角度來說，F(xiàn)E實現(xiàn)了所有可能的訪問控制策略FE的小結(jié)相比于ABE，F(xiàn)E實現(xiàn)更為靈活的訪問控制方法，也就可搜索加密Song D X, Wagner D, Perrig A. Practical techniques for searches on encrypted dataC/ Security and Privacy, 2000. S&P 2000. Proceedings. 2000 IEEE Symposium on. IEEE, 2000: 44-55.Curtmola R, Garay J, Kam

23、ara S, et al. Searchable symmetric encryption: improved definitions and efficient constructionsC/ ACM Conference on Computer and Communications Security. ACM, 2006:79-88.Kamara S, Papamanthou C, Roeder T. Dynamic searchable symmetric encryptionC/ Proceedings of the 2012 ACM conference on Computer an

24、d communications security. ACM, 2012: 965-976.Xu P, Liang S, Wang W, et al. Dynamic Searchable Symmetric Encryption with Physical Deletion and Small LeakageC/ Australasian Conference on Information Security and Privacy. Springer, Cham, 2017: 207-226.Xu P, Wu Q, Wang W, et al. Generating searchable p

25、ublic-key ciphertexts with hidden structures for fast keyword searchJ. IEEE Transactions on Information Forensics and Security, 2015, 10(9): 1993-2006.可搜索加密Song D X, Wagner D, Perri回顧ABE和PRE存在的問題ABE和PRE都是加密數(shù)據(jù)的外包存儲用戶如何訪問和取回包含有特定關(guān)鍵字的密文？通過ABE/PRE加密上傳文件用戶下載文件的密文用戶必須提前知道自己需要下載或共享的密文文件實際情況中，用戶不能提前知道對應(yīng)的文件解

26、決辦法：用戶必須下載或者共享全部密文文件，解密之后再檢索出目標文件回顧ABE和PRE存在的問題ABE和PRE都是加密數(shù)據(jù)的外包密文的外包檢索發(fā)送方接收方云服務(wù)器1.發(fā)送加密數(shù)據(jù)給接收方3.云服務(wù)器根據(jù)用戶要求對密文進行檢索操作安全要求：云服務(wù)器（內(nèi)部攻擊者）在檢索過程中無法知道用戶提交的檢索請求中包含的關(guān)鍵字內(nèi)容加密文件安全索引2.提交檢索4.返回結(jié)果密文的外包檢索發(fā)送方接收方云服務(wù)器1.發(fā)送加密數(shù)據(jù)給接收方3SSE的提出2000年，Song等提出了第一個基于對稱加密的密文檢索（SSE）方案其核心是以對稱加密形式加密文件，并提供加密內(nèi)容的檢索2003年-2012年，SSE的研究主要集中于關(guān)鍵字

27、檢索，包括：安全性的提升、檢索多樣化、多用戶支持等等2012年以后，動態(tài)的SSE研究受到了廣泛關(guān)注2012年Kamara等首次提出了支持數(shù)據(jù)動態(tài)更新的可搜索對稱加密（DSSE）方案，并且形式化定義了DSSE的安全性DSSE不僅支持密文檢索，還支持可搜索密文的動態(tài)更新操作，如密文添加、密文刪除、關(guān)鍵字添加刪除SSE的提出2000年，Song等提出了第一個基于對稱加密SSE的通用應(yīng)用場景INDEXkeywordSSE的通用應(yīng)用場景INDEXkeywordSSE的設(shè)計思路（1）基本對象：關(guān)鍵字和文件存在的問題安全性降低，達不到關(guān)鍵字的語義安全性，因為同一文件的不同關(guān)鍵字的可搜索密文可區(qū)分解決思路引入

28、文件標識，從物理上拆開可搜索密文與文件的常規(guī)密文SSE的設(shè)計思路（1）基本對象：關(guān)鍵字和文件SSE的設(shè)計思路（2）逐一密文比對的檢索模式存在的問題檢索效率和可搜索密文的總數(shù)線性相關(guān)解決思路相同關(guān)鍵字的可搜索密文構(gòu)建隱藏鏈式結(jié)構(gòu)存儲階段：SSE的設(shè)計思路（2）逐一密文比對的檢索模式存儲階段：SSE的設(shè)計思路（3）密文刪除思路1：“已添加代刪除”存在的問題：僅完成邏輯刪除思路2：構(gòu)建面向文件標識的可搜索密文存在的問題：物理刪除降低了安全性，即刪除過程增加了信息泄露解密解密SSE的設(shè)計思路（3）密文刪除解密解SSE的一種定義Setup算法:客戶端:輸入:輸入安全參數(shù)和數(shù)據(jù)庫輸出:私鑰（對稱密鑰）、標

29、簽用字典和檢索用字典服務(wù)器：存儲加密數(shù)據(jù)庫（即檢索用字典）AddKeyword算法 :客戶端：輸入：私鑰、標簽用字典、關(guān)鍵字、文件標識和加密數(shù)據(jù)庫輸出：密文服務(wù)器：更新數(shù)據(jù)庫Search算法:客戶端：輸入：私鑰和關(guān)鍵字輸出：檢索陷門服務(wù)器：輸入：加密數(shù)據(jù)庫和檢索陷門輸出：文件標識集合（含有指定關(guān)鍵字的文件標識集合）SSE的一種定義Setup算法:SSE的一種應(yīng)用場景待添加密文K1操作1.1操作2.1操作3.1SSE的一種應(yīng)用場景待添加密文K1操作1.1操作SSE的一種實例SSE的一種實例SSE的另一種定義SSE的另一種定義SSE的另一種應(yīng)用場景操作1.1操作2.1操作3.1SSE的另一種應(yīng)用場

30、景操作1.1操作2.1操作SSE的另一種實例SSE的另一種實例SSE存在的問題可搜索密文的刪除問題邏輯刪除，易于保證安全性物理刪除，容易破壞安全性多樣化檢索的問題模糊檢索、范圍檢索等等安全性與效率的博弈現(xiàn)有提出的SSE無法避免信息泄露無信息泄露的SSE，也可以稱為“隱私信息抽取”，大量的采用了“不經(jīng)意”傳輸協(xié)議，性能地下SSE存在的問題可搜索密文的刪除問題PEKS的提出2004年，Boneh以加密郵件系統(tǒng)的檢索問題為出發(fā)點，首次提出了PEKS的概念和實例化方案初步實現(xiàn)了在不泄露郵件內(nèi)容和關(guān)鍵字的條件下，郵件服務(wù)器對加密郵件的關(guān)鍵字檢索PEKS的提出2004年，Boneh以加密郵件系統(tǒng)的檢索問題

31、PEKS的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公鑰和系統(tǒng)私鑰Enc算法輸入：輸入公鑰，關(guān)鍵字輸出：關(guān)鍵字可搜索密文Trapdoor算法輸入：輸入私鑰，關(guān)鍵字輸出：關(guān)鍵字陷門Test算法輸入：輸入公鑰，可搜索密文和陷門輸出：搜索結(jié)果PEKS的定義Setup算法基于PEKS的應(yīng)用場景2.2上傳加密數(shù)據(jù)2.1輸入接收方公鑰和關(guān)鍵字，運行Enc算法生成關(guān)鍵字可搜索密文2.2將加密文件和可搜索密文上傳至服務(wù)器發(fā)送方1.1輸入安全參數(shù)，運行Setup算法生成系統(tǒng)公鑰和私鑰；3.1輸入私鑰和待檢索的關(guān)鍵字，運行Trapdoor算法生成關(guān)鍵字陷門；3.2將檢索陷門上傳至服務(wù)器3.2搜索請求4.2返回結(jié)果

32、4.1輸入公鑰，一條可搜索密文和接收方檢索陷門，運行Test算法判斷密文是否包含指定的關(guān)鍵字；接收方云服務(wù)器基于PEKS的應(yīng)用場景2.2上傳加密數(shù)據(jù)2.1輸入接收方公鑰PEKS實例PEKS實例PEKS存在的問題O(N),N表示密文數(shù)量PEKS存在的問題O(N),N表示密文數(shù)量回顧明文關(guān)鍵字的檢索方式回顧明文關(guān)鍵字的檢索方式以明文關(guān)鍵字檢索方式考慮如何加快密文關(guān)鍵字的檢索相同關(guān)鍵字的密文能否合并常規(guī)加密屬于隨機化加密，使得相同關(guān)鍵字的密文相互獨立（或者截然不同），因此不能合并可以采用確定化的加密，使得相同的關(guān)鍵字具有相同的密文，因此可以合并，但降低了安全性（2008年，Bellare的核心思路）

33、不同關(guān)鍵字的密文能否建立二叉樹只有確定化的加密，才能建立二叉樹以明文關(guān)鍵字檢索方式考慮如何加快密文關(guān)鍵字的檢索相同關(guān)鍵字的如何在不降低安全性的條件下，加快PEKS的檢索速度2008年，Camenisch等描述了一種方法，使具有相同關(guān)鍵字的密文形成一條隱式鏈;如果服務(wù)器正確查找到第一條匹配的密文，他們的方法將會提高檢索的效率;該方案不能快速查找到第一條匹配的密文,檢索效率和整個密文相關(guān);如何在不降低安全性的條件下，加快PEKS的檢索速度2008年SPCHS的提出2015年徐鵬等人首次提出了結(jié)構(gòu)化公鑰可搜索加密（SPCHS）概念；首次實現(xiàn)了檢索復(fù)雜度只取決于包含查詢關(guān)鍵字的可搜索密文的數(shù)量，而不是

34、所有密文的數(shù)量，大幅提高了PEKS的效率；核心思路：同一個關(guān)鍵字的所有可搜索密文具有隱藏的鏈式結(jié)構(gòu)，鏈頭與公共頭部構(gòu)成了一個隱藏的星型結(jié)構(gòu)；可搜索關(guān)鍵字密文的星型結(jié)構(gòu)SPCHS的提出2015年徐鵬等人首次提出了結(jié)構(gòu)化公鑰可搜索SPCHS的定義SystemSetup算法輸入：安全參數(shù)輸出：系統(tǒng)公鑰和系統(tǒng)私鑰StructureInitialization算法輸入：系統(tǒng)公鑰輸出：隱藏結(jié)構(gòu)的私有部分和公有部分StructuredEncryption算法輸入：系統(tǒng)公鑰、關(guān)鍵字、和隱藏結(jié)構(gòu)的私有部分輸出：可搜索密文Trapdoor算法輸入：系統(tǒng)私鑰、關(guān)鍵字輸出：關(guān)鍵字檢索陷門StructuredSearc

35、h算法輸入：系統(tǒng)公鑰、隱藏結(jié)構(gòu)的公有部分、密文集合和關(guān)鍵字檢索陷門輸出：關(guān)鍵字對應(yīng)的密文SPCHS的定義SystemSetup算法基于SPCHS的應(yīng)用場景上傳加密數(shù)據(jù)2.0若發(fā)送方還未初始化隱藏結(jié)構(gòu)（或者第一次生成可搜索密文時），輸入系統(tǒng)公鑰，運行StructureInitialization算法，生成隱藏結(jié)構(gòu)的私有部分和公有部分，上傳公有部分；2.1輸入接收方公鑰、關(guān)鍵字和隱藏結(jié)構(gòu)的私有部分，運行StructuredEncryption算法，生成可搜索密文；2.2將加密文件和可搜索密文上傳至服務(wù)器發(fā)送方1.1輸入安全參數(shù)，運行SystemSetup算法，生成系統(tǒng)公鑰和系統(tǒng)私鑰；3.1輸入私鑰

36、和待檢索的關(guān)鍵字，運行Trapdoor算法生成關(guān)鍵字檢索陷門；3.2將檢索陷門上傳至服務(wù)器搜索請求返回結(jié)果接收方云服務(wù)器4.1輸入公鑰、某發(fā)送方隱藏結(jié)構(gòu)的公有部分、可搜索密文和檢索陷門，運行StructuredSearch算法，找到該發(fā)送方生成的所有滿足條件的密文；4.2針對所有發(fā)送方，執(zhí)行步驟4.1；4.3返回檢索出的加密文件；基于SPCHS的應(yīng)用場景上傳加密數(shù)據(jù)2.0若發(fā)送方還未初始化SPCHS實例SPCHS實例SPCHS存在的問題本地私有狀態(tài)問題為了隱藏結(jié)構(gòu)的生成，用戶需要存儲和更新私有信息僅支持關(guān)鍵字的精確查找快速的模糊搜索、范圍搜索、子集檢索等等學(xué)術(shù)界提出的可搜索加密難以適用于數(shù)據(jù)庫

37、兩者索引的建立模式截然不同SPCHS存在的問題本地私有狀態(tài)問題小結(jié)可搜索加密是加密數(shù)據(jù)外包存儲的重要支撐技術(shù)可搜索加密研究的博弈焦點：性能安全性檢索多樣性可搜索加密應(yīng)用的博弈焦點：基于數(shù)據(jù)語義的數(shù)據(jù)庫索引建立模式與可搜索加密的隱藏結(jié)構(gòu)索引模式不兼容小結(jié)可搜索加密是加密數(shù)據(jù)外包存儲的重要支撐技術(shù)加密云郵件系統(tǒng)TC AsiACCSPeng Xu, Hai Jin, Qianhong Wu, Wei Wang, Public-Key Encryption with Fuzzy Keyword Search: A Provably Secure Schemeunder Keyword Guessing

38、 Attack, IEEE Transactions on Computers, 62(11), pp. 2266-2277, 2013.Peng Xu, Jun Xu, Wei Wang, Hai Jin, Willy Susilo, Deqing Zou, Generally Hybrid Proxy Re-Encryption: A Secure Data Sharing among Cryptographic Clouds,ASIACCS 2016, 913-918.加密云郵件系統(tǒng)TC AsiACCSPeng Xu, Hai云郵件系統(tǒng)的商業(yè)價值云郵件系統(tǒng)：通過租用云平臺，減少自構(gòu)建郵件

39、系統(tǒng)的成本云郵件系統(tǒng)的商業(yè)價值云郵件系統(tǒng)：通過租用云平臺，減少自構(gòu)建郵云郵件系統(tǒng)的商業(yè)價值一個快速發(fā)展的領(lǐng)域From Radicati云郵件系統(tǒng)的商業(yè)價值一個快速發(fā)展的領(lǐng)域From Radica云郵件系統(tǒng)的商業(yè)價值低廉的成本云郵件系統(tǒng)的商業(yè)價值低廉的成本郵件系統(tǒng)面臨的威脅郵件系統(tǒng)的保密性一直以來都是熱點問題郵件服務(wù)器端的泄漏事故屢見不鮮2013年2月，因為一些被公之于眾的內(nèi)部郵件，沃爾瑪股價周五一度下跌逾3%2012年02月，敘利亞總統(tǒng)辦公室的電子郵箱系統(tǒng)遭到黑客組織攻擊，導(dǎo)致數(shù)百封郵件外泄2009年丹麥哥本哈根氣候變化會議前，英國東英吉利大學(xué)氣候變化研究人員的郵件泄漏引發(fā)人們對相關(guān)氣候變化報

40、告的質(zhì)疑，該事件對大會造成了非常不利的影響在聯(lián)合國將在南非德班舉行新一輪氣候會議之際，黑客在網(wǎng)上公布了盜取的數(shù)據(jù)，其中包括了十多年來，英美氣候變化專家之間的近1000封私人電子郵件和約3000份文件云平臺更易成為攻擊目標，且租用統(tǒng)一云平臺的郵件系統(tǒng)被破壞可能導(dǎo)致眾多企業(yè)同時遭受損失郵件系統(tǒng)面臨的威脅郵件系統(tǒng)的保密性一直以來都是熱點問題郵件安全的核心技術(shù)加密郵件超過55%郵件安全的核心技術(shù)加密郵件超過55%業(yè)界動態(tài)2014年8月8日雅虎表示，將與谷歌合作開發(fā)安全電子郵件系統(tǒng)，將使黑客無法繼續(xù)竊取用戶的信息。這一新系統(tǒng)將基于PGP加密技術(shù)。用戶的密鑰被保存在自己的筆記本、平板電腦和智能手機中201

41、3年，北京中興通科技股份有限公司申報的項目基于標識密碼技術(shù)的云安全郵件服務(wù)平臺，成功獲得信息安全專項資金支持。此項目也將被列入2012年國家高技術(shù)產(chǎn)業(yè)發(fā)展項目計劃業(yè)界動態(tài)2014年8月8日雅虎表示，將與谷歌合作開發(fā)安全電子Top 10企業(yè)的產(chǎn)品分析基于SSL協(xié)議Voltage, DataMotion, Proofpoint, EdgeWave, Symantec, Sophos, LuxSci, Privato基于PGP協(xié)議Voltage, DataMotion, Cryptzone, Symantec, Sophos, Privato基于IBE協(xié)議Voltage, DataMotion, P

42、roofpoint, TrendmicroTop 10企業(yè)的產(chǎn)品分析基于SSL協(xié)議SSL協(xié)議存在的問題無法防范惡意郵件服務(wù)器事故案例2011年3月，Gmail郵件泄露2013年8月，Gmail承認掃描用戶郵件內(nèi)容，且不尊重用戶隱私為了實現(xiàn)內(nèi)容推送服務(wù)，相當一部分郵件服務(wù)提供商在掃描用戶郵件惡意或被攻擊郵件服務(wù)器將泄露用戶郵件內(nèi)容SSL協(xié)議存在的問題無法防范惡意郵件服務(wù)器事故案例惡意或被攻PGP和IBE協(xié)議存在的問題用戶使用不友好PGP和IBE協(xié)議存在的問題用戶使用不友好加密云郵件的群發(fā)和群轉(zhuǎn)發(fā)問題來源SSL的群發(fā)和群轉(zhuǎn)發(fā)均由云平臺以明文方式處理PGP和IBE不支持加密郵件的群發(fā)，更嚴重的是不支

43、持群轉(zhuǎn)發(fā)加密云郵件的群發(fā)和群轉(zhuǎn)發(fā)問題來源加密云郵件的群發(fā)和群轉(zhuǎn)發(fā)核心思路設(shè)計多功能的代理重加密，即細粒度的、基于身份的和廣播的代理重加密算法已有成果論文：Conditional Identity-Based Broadcast Proxy Re-Encryption and Its Application to Cloud Email. IEEE Transactions on Computers (Accepted)專利：一種提高外包加密數(shù)據(jù)共享功能的代理重加密方法（已獲專利申請?zhí)枺┘用茉凄]件的群發(fā)和群轉(zhuǎn)發(fā)核心思路CIBPRE的提出常規(guī)PRE方案代理方重加密次數(shù)與接收者人數(shù)成正比，消耗較多的

44、網(wǎng)絡(luò)資源發(fā)送者不能對云端的重加密對象做細粒度控制，換句話說，無法控制云端對密文的重加密范圍2015年，徐鵬等人提出帶條件的基于身份廣播代理重加密方案CIBPRE實現(xiàn)用戶細粒度控制遠程密文數(shù)據(jù)的代理重加密過程，加強用戶對自己密文數(shù)據(jù)的控制能力實現(xiàn)群加密，為一組接收者生成一條初始密文或重加密密文，減少系統(tǒng)通信開銷實現(xiàn)身份信息做公鑰，避免PKI的使用CIBPRE的提出常規(guī)PRE方案CIBPRE的定義CIBPRE的定義基于CIBPRE的郵件系統(tǒng)基于CIBPRE的云郵件系統(tǒng)包括：可信的密鑰生成中心（KGC）、云服務(wù)提供商、用戶基于CIBPRE云郵件系統(tǒng)的具體工作流程如下：初始化階段：KGC初始化CIBPRE方案生成系統(tǒng)參數(shù)密鑰管理階段：當一個新用戶加入到系統(tǒng)中，KGC為其生成一個私鑰發(fā)送加密郵件：發(fā)送者可以發(fā)送一封加密郵件給多個接收者，并且此加密郵件會在云端保存轉(zhuǎn)發(fā)歷史加密郵件：發(fā)送者為新的多個接收者生成指定郵件的重加密密鑰；根據(jù)該密鑰，云端重加密指定的歷史