前沿密碼應(yīng)用技術(shù)教育課件

前沿密碼應(yīng)用技術(shù)PPT講座前沿密碼應(yīng)用技術(shù)PPT講座11.什么是安全？1.什么是安全？2安全與信任的關(guān)系你們考慮過(guò)密碼算法為什么安全么？簡(jiǎn)單地說(shuō)，安全就是信任；或者說(shuō)，你相信“它”是安全的，就是安全的從“水”的安全性說(shuō)開(kāi)去生活中，常見(jiàn)的信任源有哪些？信任源具有動(dòng)態(tài)性密碼學(xué)的信任源是什么？學(xué)術(shù)界與工業(yè)界對(duì)安全的構(gòu)建采用的不同思想擴(kuò)展問(wèn)題：信任源空間的大小是變化的安全與信任的關(guān)系你們考慮過(guò)密碼算法為什么安全么？32.可證明安全性GoldwasserS,MicaliS,RackoffC.Theknowledgecomplexityofinteractiveproof-systems[C]//DBLP,1985:291-304.2.可證明安全性GoldwasserS,Micali4可證明安全性的起源起源于1982年Goldwasser和Micali等學(xué)者的開(kāi)創(chuàng)性工作,他們提出了語(yǔ)義安全性定義,將可證明安全的思想首次帶入安全協(xié)議的形式化分析中Goldwasser和Micali獲2012年圖靈獎(jiǎng)可證明安全性的起源起源于1982年Goldwasser和Mi5語(yǔ)義安全性的主要成分如何定義攻擊者計(jì)算能力先驗(yàn)知識(shí)如何定義攻擊目標(biāo)直觀目標(biāo)明文語(yǔ)義以上述兩者為基礎(chǔ)，如何定義安全一種“優(yōu)勢(shì)”語(yǔ)義安全性的主要成分如何定義攻擊者6語(yǔ)義安全性的一種簡(jiǎn)單抽象攻擊者挑戰(zhàn)者公鑰挑戰(zhàn)明文（M0，M1）隨機(jī)選擇任意一個(gè)明文，并生成其挑戰(zhàn)密文C；挑戰(zhàn)密文C猜測(cè)結(jié)果d=0或1若Md是挑戰(zhàn)者之前所選擇的明文，則攻擊成功；語(yǔ)義安全性：在上述攻擊游戲中，若攻擊者的成功優(yōu)勢(shì)可忽略，則該公鑰加密算法是語(yǔ)義安全的（具體的說(shuō)是選擇明文攻擊下語(yǔ)義安全的）以某類公鑰加密算法為例，例如ElGamal算法語(yǔ)義安全性的一種簡(jiǎn)單抽象攻擊者挑戰(zhàn)者公鑰挑戰(zhàn)明文（M0，M17ElGamal加密與數(shù)學(xué)難題ElGamal加密與數(shù)學(xué)難題8ElGamal加密的可證明安全性核心思想若存在某個(gè)攻擊者A能以不可忽略的優(yōu)勢(shì)攻破ElGamal加密算法，則存在一個(gè)算法B能利用這個(gè)攻擊者來(lái)求解DDH問(wèn)題，ElGamal加密的可證明安全性核心思想9其它問(wèn)題什么是安全參數(shù)？從RSA1024bits加密密鑰所開(kāi)去量化安全性的重要依據(jù)為什么隨機(jī)數(shù)對(duì)加密算法的安全性至關(guān)重要？從信息論的角度說(shuō)開(kāi)去確定算法無(wú)法增加輸出的熵其它問(wèn)題什么是安全參數(shù)？10小結(jié)可證明安全性首次以科學(xué)的方式嚴(yán)格的定義了密碼方案的安全性，讓安全性可量化可證明安全性使密碼學(xué)研究、密碼方案的設(shè)計(jì)從“藝術(shù)”變成了“科學(xué)”針對(duì)不同功能和不同類型密鑰的密碼方案，可證明安全性所變現(xiàn)出的形態(tài)也各不一樣針對(duì)簽名方案，有不可存在性偽造針對(duì)安全協(xié)議，有通用可組合安全小結(jié)可證明安全性首次以科學(xué)的方式嚴(yán)格的定義了密碼方案的安全性11基于身份加密（IBE）BonehD,FranklinM.Identity-basedencryptionfromtheWeilpairing[C]//AdvancesinCryptology—CRYPTO2001.SpringerBerlin/Heidelberg,2001:213-229.基于身份加密（IBE）BonehD,FranklinM12回顧公鑰基礎(chǔ)設(shè)施（PKI）的核心基于PKI的公鑰加密體制回顧公鑰基礎(chǔ)設(shè)施（PKI）的核心基于PKI的公鑰加密體制13回顧PKI的核心功能Alice如何知道Joy，Mike，Bob和Ted的公鑰Joy，Mike，Bob和Ted自己公開(kāi)并聲明自身的公鑰在實(shí)際應(yīng)用中是不安全和不現(xiàn)實(shí)的需要一個(gè)可信的第三方去證明Alice拿到的公鑰一定就是Joy，Mike，Bob和Ted的PKI提供了這個(gè)可信第三方，即CA（證書(shū)中心）回顧PKI的核心功能Alice如何知道Joy，Mike，Bo14回顧PKI的核心功能Alice向CA詢問(wèn)Joy，Mike，Bob和Ted的公鑰CA用自身的私鑰簽發(fā)Joy，Mike，Bob和Ted的公鑰，即生成證書(shū)Alice拿到證書(shū)后，利用簽名驗(yàn)證的思想，驗(yàn)證證書(shū)的有效性另外，CA也起到的撤銷用戶公鑰的能力，即不再簽發(fā)相應(yīng)用戶的公鑰回顧PKI的核心功能Alice向CA詢問(wèn)Joy，Mike，B15簡(jiǎn)單說(shuō)PKI的核心功能向發(fā)送方證明接收方的公鑰是“那一個(gè)”或者說(shuō)將接收方與某個(gè)公鑰綁定當(dāng)接收方公鑰不再有效時(shí)，告知發(fā)送方接收方的公鑰已被撤銷簡(jiǎn)單說(shuō)PKI的核心功能向發(fā)送方證明接收方的公鑰是“那一個(gè)”或16PKI存在的實(shí)際問(wèn)題實(shí)際應(yīng)用中，發(fā)送方是非常多的理論上，每次發(fā)送方加密數(shù)據(jù)之間，都要詢問(wèn)CA接收方的公鑰是什么（即獲得接收方公鑰的證書(shū)），或者是詢問(wèn)接收方的公鑰是否依然有效CA成為了PKI的性能瓶頸PKI存在的實(shí)際問(wèn)題實(shí)際應(yīng)用中，發(fā)送方是非常多的17PKI存在問(wèn)題的本質(zhì)原因公鑰是隨機(jī)生成的，因此與用戶沒(méi)有天然的綁定關(guān)系例如：RSA中公開(kāi)密鑰：e,nn為兩個(gè)隨機(jī)選擇的且滿足一些要求的素?cái)?shù)p和q的乘積e與(n)互素，即與(p-1)(q-1)互素且有了公鑰之后，再生成相應(yīng)的私鑰dPKI存在問(wèn)題的本質(zhì)原因公鑰是隨機(jī)生成的，因此與用戶沒(méi)有天然18IBE的思想能夠有一種方法讓用戶及其公鑰有天然的綁定關(guān)系么？這是基于身份體制的核心要求怎樣的公鑰才有可能和用戶天然的綁定呢？這個(gè)公鑰直接或者間接的是用戶的某些自然屬性同時(shí)由于公鑰需要有唯一性，即每個(gè)用戶的公鑰必須不同，因此自然屬性需要有唯一性屬性＝身份＝公鑰IBE的思想能夠有一種方法讓用戶及其公鑰有天然的綁定關(guān)系么？19IBE的提出1984，shamir提出了基于身份體制（Identity-BasedCryptography，IBC）的概念，但并沒(méi)有找到實(shí)現(xiàn)方法上個(gè)世紀(jì)90年代，實(shí)現(xiàn)了基于身份簽名方案（Identity-BasedSignature，IBS）直到2000或者2001年，實(shí)現(xiàn)了首個(gè)基于身份加密方案（Identity-BasedEncryption，IBE）IBE的提出1984，shamir提出了基于身份體制（Ide20誰(shuí)是第一個(gè)IBE方案Sakai和KasaharaBoneh和Franklin上述兩個(gè)方案均基于雙線性映射構(gòu)建，具有較好的實(shí)用性Cocks基于二次剩余假設(shè)構(gòu)建在實(shí)際應(yīng)用中缺乏實(shí)用性誰(shuí)是第一個(gè)IBE方案Sakai和Kasahara21IBE的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公開(kāi)參數(shù)和系統(tǒng)秘密參數(shù)Extract算法輸入：系統(tǒng)秘密參數(shù)，用戶的身份信息（公鑰）輸出：用戶私鑰Enc算法輸入：系統(tǒng)公開(kāi)參數(shù)，接收方的身份信息（公鑰），明文輸出：密文Dec算法輸入：接收方的私鑰，密文輸出：明文IBE的定義Setup算法22基于BF-IBE的郵件系統(tǒng)初始階段密鑰生成中心（KGC）運(yùn)行Setup算法（輸入：安全參數(shù)），生成系統(tǒng)公開(kāi)參數(shù)和系統(tǒng)秘密參數(shù)用戶加入階段令新加入用戶的郵箱地址為ID，KGC運(yùn)行Extract算法（輸入：系統(tǒng)秘密參數(shù)，ID），生成并授予其私鑰郵件安全傳輸階段令接收方的郵箱地址是ID，發(fā)送方運(yùn)行Enc算法加密郵件（輸入：系統(tǒng)公開(kāi)參數(shù)，ID，郵件內(nèi)容），生成密文C并發(fā)送給接收方接收方用私鑰解密出郵件內(nèi)容基于BF-IBE的郵件系統(tǒng)初始階段23IBE的實(shí)例雙線性映射的歷史93年三個(gè)日本人發(fā)表在IEEETransactionsonInformationTheory上他們自己并沒(méi)有意識(shí)到其巨大的價(jià)值，只是想找一種攻擊特定橢圓曲線密碼學(xué)的方法其巨大的價(jià)值被Boneh和Franklin發(fā)現(xiàn)，并實(shí)現(xiàn)了BF-IBE方案IBE的實(shí)例雙線性映射的歷史24數(shù)學(xué)基礎(chǔ)雙線性映射的定義數(shù)學(xué)基礎(chǔ)雙線性映射的定義25具體方案具體方案26IBE的密鑰托管問(wèn)題問(wèn)題用戶私鑰由密鑰生成中心生成，因此該中心知道所有用戶私鑰若用戶私鑰泄露，無(wú)法通過(guò)更新公鑰的方式撤銷泄露的私鑰解決思路一個(gè)用戶公鑰對(duì)應(yīng)多個(gè)私鑰（指數(shù)個(gè)）基于零知識(shí)證明，使得密鑰生成中心無(wú)法知道用戶選定的私鑰是哪一個(gè)基于私鑰的取證技術(shù)，使得若攻擊者使用了非用戶選定的私鑰來(lái)解密，可以被發(fā)現(xiàn)IBE的密鑰托管問(wèn)題問(wèn)題27IBE的小結(jié)以任意身份信息作為公鑰與傳統(tǒng)公鑰加密相比IBE的公鑰可以是具有唯一標(biāo)識(shí)用戶作用的自然信息或者自然屬性以RSA為例，RSA的公鑰是隨機(jī)生成的與用戶具有的自然屬性沒(méi)有關(guān)系IBE的小結(jié)以任意身份信息作為公鑰28基于屬性加密（ABE）SahaiA,WatersB.Fuzzyidentity-basedencryption[C]//Eurocrypt.2005,3494:457-473.GoyalV,PandeyO,SahaiA,etal.Attribute-basedencryptionforfine-grainedaccesscontrolofencrypteddata[C]//Proceedingsofthe13thACMconferenceonComputerandcommunicationssecurity.Acm,2006:89-98.基于屬性加密（ABE）SahaiA,WatersB.29回顧傳統(tǒng)的訪問(wèn)控制Alice詢問(wèn)數(shù)據(jù)庫(kù)某數(shù)據(jù)已知的傳統(tǒng)訪問(wèn)控制方法，包括：自主訪問(wèn)控制，強(qiáng)制訪問(wèn)控制，基于角色訪問(wèn)控制等等數(shù)據(jù)庫(kù)數(shù)據(jù)以明文形式存放，通過(guò)驗(yàn)證用戶權(quán)限實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)，其安全性完全依賴用戶對(duì)服務(wù)器安全性的信任回顧傳統(tǒng)的訪問(wèn)控制Alice詢問(wèn)數(shù)據(jù)庫(kù)某數(shù)據(jù)30傳統(tǒng)訪問(wèn)控制存在的問(wèn)題若數(shù)據(jù)庫(kù)服務(wù)器存在漏洞，導(dǎo)致攻擊者獲得管理員權(quán)限，則該攻擊者可以繞開(kāi)訪問(wèn)控制策略獲得數(shù)據(jù)若數(shù)據(jù)庫(kù)管理員本身與攻擊者合謀，同樣可以導(dǎo)致訪問(wèn)控制策略失效傳統(tǒng)的訪問(wèn)控制方法無(wú)法保證云計(jì)算環(huán)境下的數(shù)據(jù)安全性數(shù)據(jù)集中的云平臺(tái)更容易成為攻擊目標(biāo)云平臺(tái)缺乏可信性傳統(tǒng)訪問(wèn)控制存在的問(wèn)題若數(shù)據(jù)庫(kù)服務(wù)器存在漏洞，導(dǎo)致攻擊者獲得31ABE的提出2005年Waters等人，提出了模糊的基于身份加密以指紋作為身份信息加密，存在每次指紋的提取不一致問(wèn)題模糊的基于身份加密實(shí)現(xiàn)了同一用戶的不同指紋加密生成的密文，可以被該用戶的同一個(gè)私鑰解密ABE的提出2005年Waters等人，提出了模糊的基于身份32ABE的提出本質(zhì)上，2005年Waters等人，實(shí)現(xiàn)了不同的基于身份公鑰被同一個(gè)私鑰解密借鑒模糊基于身份加密的思想，提出了第一種ABE，即key-policyABEABE的提出本質(zhì)上，2005年Waters等人，實(shí)現(xiàn)了不同的33ABE的提出KP-ABE：以明文的屬性做公鑰，以訪問(wèn)控制策略生成對(duì)應(yīng)的私鑰CiphertextPolicyABE（CP-ABE）：以訪問(wèn)控制策略做公鑰加密明文，以用戶的屬性生成對(duì)應(yīng)的私鑰ABE的提出KP-ABE：以明文的屬性做公鑰，以訪問(wèn)控制策略34KP-ABE與CP-ABE的應(yīng)用差異KP-ABE適合于加密方與訪問(wèn)控制方分離的場(chǎng)景數(shù)據(jù)安全采集與共享CP-ABE適合于加密方與訪問(wèn)控制方一體的場(chǎng)景企業(yè)數(shù)據(jù)安全存儲(chǔ)與共享KP-ABE與CP-ABE的應(yīng)用差異KP-ABE適合于加密方35ABE的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公開(kāi)參數(shù)和系統(tǒng)秘密參數(shù)Extract算法輸入：系統(tǒng)秘密參數(shù)，用戶的訪問(wèn)控制策略（KP-ABE）/屬性（CP-ABE）輸出：私鑰Enc算法輸入：系統(tǒng)公開(kāi)參數(shù)，明文的屬性（KP-ABE）/訪問(wèn)控制策略（CP-ABE），明文輸出：密文Dec算法輸入：私鑰，密文輸出：明文ABE的定義Setup算法36基于CP-ABE的云存儲(chǔ)系統(tǒng)基于CP-ABE的云存儲(chǔ)系統(tǒng)37CP-ABE的實(shí)例CP-ABE的實(shí)例38ABE算法設(shè)計(jì)的難點(diǎn)支持訪問(wèn)控制策略的能力“與”門(mén)“或”門(mén)“非”門(mén)系統(tǒng)參數(shù)的數(shù)量密文的長(zhǎng)度通常，支持訪問(wèn)控制策略的能力越強(qiáng)，那么系統(tǒng)參數(shù)的數(shù)量越多、密文的長(zhǎng)度越長(zhǎng)ABE算法設(shè)計(jì)的難點(diǎn)支持訪問(wèn)控制策略的能力39ABE的小結(jié)ABE是密碼學(xué)與傳統(tǒng)訪問(wèn)控制的“有機(jī)”結(jié)合在實(shí)際應(yīng)用中，ABE與傳統(tǒng)訪問(wèn)控制的最大的不同是，ABE不需要信任服務(wù)器，換句話說(shuō)，即使服務(wù)器是惡意的或者被攻破，也不會(huì)導(dǎo)致數(shù)據(jù)泄漏ABE的小結(jié)ABE是密碼學(xué)與傳統(tǒng)訪問(wèn)控制的“有機(jī)”結(jié)合40代理重加密（PRE）IvanAA,DodisY.ProxyCryptographyRevisited[C]//NDSS.2003.代理重加密（PRE）IvanAA,DodisY.P41回顧基于CP-ABE的云存儲(chǔ)系統(tǒng)ABE適合于企業(yè)級(jí)的安全數(shù)據(jù)存儲(chǔ)與訪問(wèn)用戶難以掌握和正確設(shè)置數(shù)據(jù)的訪問(wèn)控制策略ABE不適合普通用戶使用回顧基于CP-ABE的云存儲(chǔ)系統(tǒng)ABE適合于企業(yè)級(jí)的安全數(shù)據(jù)42PRE的提出1998年Blaze等人，提出了一種代理協(xié)議，可以讓第三方（代理方）修改已有密文的公鑰，但該方案存在明顯的安全性缺陷2003年Ivan等人，正式提出了PREPRE的提出1998年Blaze等人，提出了一種代理協(xié)議，可43PRE的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公開(kāi)參數(shù)和系統(tǒng)秘密參數(shù)Extract算法（該算法僅在基于身份類的PRE中才存在）輸入：系統(tǒng)秘密參數(shù)，用戶的身份輸出：私鑰Enc算法輸入：系統(tǒng)公開(kāi)參數(shù)，Alice公鑰，明文輸出：初始密文Dec-1算法輸入：Alice私鑰，初始密文輸出：明文RK算法輸入：Alice私鑰，Bob公鑰輸出：重加密密鑰ReEnc算法輸入：重加密密鑰，初始密文輸出：重加密密文Dec-2算法輸入：重加密密文，Bob私鑰輸出：明文PRE的定義Setup算法44基于PRE的安全云數(shù)據(jù)存儲(chǔ)與共享基于PRE的安全云數(shù)據(jù)存儲(chǔ)與共享45基于身份的PRE實(shí)例基于身份的PRE實(shí)例46PRE的其它問(wèn)題細(xì)粒度的控制問(wèn)題打破“全或無(wú)”的共享模式多次重加密的問(wèn)題打破一個(gè)密文只能以重加密形式共享一次的問(wèn)題雙向重加密的問(wèn)題打破一次重加密過(guò)程只能實(shí)現(xiàn)Alice->Bob或者Bob->Alice的單向共享復(fù)雜多特性PRE方案的設(shè)計(jì)問(wèn)題使得一個(gè)PRE方案同時(shí)具有多種特性，例如細(xì)粒度共享、多次重加密、雙向重加密等等PRE的其它問(wèn)題細(xì)粒度的控制問(wèn)題47PRE的小結(jié)相比于ABE，PRE以用戶為中心，實(shí)現(xiàn)了用戶自主可控的訪問(wèn)控制過(guò)程PRE的公鑰類型與傳統(tǒng)公鑰體制一致，因此從工業(yè)的角度來(lái)說(shuō)，更容易應(yīng)用到現(xiàn)有密碼系統(tǒng)中PRE的小結(jié)相比于ABE，PRE以用戶為中心，實(shí)現(xiàn)了用戶自主48函數(shù)加密（FE）函數(shù)加密（FE）49回顧C(jī)P-ABECP-ABE以訪問(wèn)控制策略做公鑰，以用戶屬性生成私鑰訪問(wèn)控制策略是基于屬性（或權(quán)限）的布爾表達(dá)式能不能有比布爾表達(dá)式更靈活的訪問(wèn)控制方式更通用的，任意數(shù)據(jù)的訪問(wèn)控制方式都可以表示為某一個(gè)函數(shù)我們能以函數(shù)作為公鑰么？回顧C(jī)P-ABECP-ABE以訪問(wèn)控制策略做公鑰，以用戶屬性50FE的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公開(kāi)參數(shù)和系統(tǒng)秘密參數(shù)Extract算法輸入：系統(tǒng)秘密參數(shù)，用戶的屬性輸出：私鑰Enc算法輸入：系統(tǒng)公開(kāi)參數(shù)，某個(gè)函數(shù)F，明文輸出：密文Dec算法輸入：私鑰，密文輸出：若用戶的屬性使得函數(shù)F輸出為“1”，則私鑰可以解密出正確的明文FE的定義Setup算法51FE的小結(jié)相比于ABE，F(xiàn)E實(shí)現(xiàn)更為靈活的訪問(wèn)控制方法，也就是說(shuō)，任意可以描述為一個(gè)函數(shù)的訪問(wèn)控制策略都可以做為公鑰從實(shí)際應(yīng)用的角度來(lái)說(shuō)，F(xiàn)E實(shí)現(xiàn)了所有可能的訪問(wèn)控制策略FE的小結(jié)相比于ABE，F(xiàn)E實(shí)現(xiàn)更為靈活的訪問(wèn)控制方法，也就52可搜索加密SongDX,WagnerD,PerrigA.Practicaltechniquesforsearchesonencrypteddata[C]//SecurityandPrivacy,2000.S&P2000.Proceedings.2000IEEESymposiumon.IEEE,2000:44-55.CurtmolaR,GarayJ,KamaraS,etal.Searchablesymmetricencryption:improveddefinitionsandefficientconstructions[C]//ACMConferenceonComputerandCommunicationsSecurity.ACM,2006:79-88.KamaraS,PapamanthouC,RoederT.Dynamicsearchablesymmetricencryption[C]//Proceedingsofthe2012ACMconferenceonComputerandcommunicationssecurity.ACM,2012:965-976.XuP,LiangS,WangW,etal.DynamicSearchableSymmetricEncryptionwithPhysicalDeletionandSmallLeakage[C]//AustralasianConferenceonInformationSecurityandPrivacy.Springer,Cham,2017:207-226.XuP,WuQ,WangW,etal.Generatingsearchablepublic-keyciphertextswithhiddenstructuresforfastkeywordsearch[J].IEEETransactionsonInformationForensicsandSecurity,2015,10(9):1993-2006.可搜索加密SongDX,WagnerD,Perri53回顧ABE和PRE存在的問(wèn)題ABE和PRE都是加密數(shù)據(jù)的外包存儲(chǔ)用戶如何訪問(wèn)和取回包含有特定關(guān)鍵字的密文？通過(guò)ABE/PRE加密上傳文件用戶下載文件的密文用戶必須提前知道自己需要下載或共享的密文文件實(shí)際情況中，用戶不能提前知道對(duì)應(yīng)的文件解決辦法：用戶必須下載或者共享全部密文文件，解密之后再檢索出目標(biāo)文件回顧ABE和PRE存在的問(wèn)題ABE和PRE都是加密數(shù)據(jù)的外包54密文的外包檢索發(fā)送方接收方云服務(wù)器1.發(fā)送加密數(shù)據(jù)給接收方3.云服務(wù)器根據(jù)用戶要求對(duì)密文進(jìn)行檢索操作安全要求：云服務(wù)器（內(nèi)部攻擊者）在檢索過(guò)程中無(wú)法知道用戶提交的檢索請(qǐng)求中包含的關(guān)鍵字內(nèi)容加密文件安全索引2.提交檢索4.返回結(jié)果密文的外包檢索發(fā)送方接收方云服務(wù)器1.發(fā)送加密數(shù)據(jù)給接收方355SSE的提出2000年，Song等?提出了第一個(gè)基于對(duì)稱加密的密文檢索（SSE）方案其核心是以對(duì)稱加密形式加密文件，并提供加密內(nèi)容的檢索2003年-2012年，SSE的研究主要集中于關(guān)鍵字檢索，包括：安全性的提升、檢索多樣化、多用戶支持等等2012年以后，動(dòng)態(tài)的SSE研究受到了廣泛關(guān)注2012年Kamara等首次提出了支持?jǐn)?shù)據(jù)動(dòng)態(tài)更新的可搜索對(duì)稱加密（DSSE）方案，并且形式化定義了DSSE的安全性DSSE不僅支持密文檢索，還支持可搜索密文的動(dòng)態(tài)更新操作，如密文添加、密文刪除、關(guān)鍵字添加刪除SSE的提出2000年，Song等?提出了第一個(gè)基于對(duì)稱加密56SSE的通用應(yīng)用場(chǎng)景INDEXkeywordSSE的通用應(yīng)用場(chǎng)景INDEXkeyword57SSE的設(shè)計(jì)思路（1）基本對(duì)象：關(guān)鍵字和文件存在的問(wèn)題安全性降低，達(dá)不到關(guān)鍵字的語(yǔ)義安全性，因?yàn)橥晃募牟煌P(guān)鍵字的可搜索密文可區(qū)分解決思路引入文件標(biāo)識(shí)，從物理上拆開(kāi)可搜索密文與文件的常規(guī)密文

SSE的設(shè)計(jì)思路（1）基本對(duì)象：關(guān)鍵字和文件

58SSE的設(shè)計(jì)思路（2）逐一密文比對(duì)的檢索模式存在的問(wèn)題檢索效率和可搜索密文的總數(shù)線性相關(guān)解決思路相同關(guān)鍵字的可搜索密文構(gòu)建隱藏鏈?zhǔn)浇Y(jié)構(gòu)

存儲(chǔ)階段：

SSE的設(shè)計(jì)思路（2）逐一密文比對(duì)的檢索模式

存儲(chǔ)階段：

59SSE的設(shè)計(jì)思路（3）密文刪除思路1：“已添加代刪除”存在的問(wèn)題：僅完成邏輯刪除思路2：構(gòu)建面向文件標(biāo)識(shí)的可搜索密文存在的問(wèn)題：物理刪除降低了安全性，即刪除過(guò)程增加了信息泄露

解密

解密SSE的設(shè)計(jì)思路（3）密文刪除

解密

解60SSE的一種定義Setup算法:客戶端:輸入:輸入安全參數(shù)和數(shù)據(jù)庫(kù)輸出:私鑰（對(duì)稱密鑰）、標(biāo)簽用字典和檢索用字典服務(wù)器：存儲(chǔ)加密數(shù)據(jù)庫(kù)（即檢索用字典）AddKeyword算法:客戶端：輸入：私鑰、標(biāo)簽用字典、關(guān)鍵字、文件標(biāo)識(shí)和加密數(shù)據(jù)庫(kù)輸出：密文服務(wù)器：更新數(shù)據(jù)庫(kù)Search算法:客戶端：輸入：私鑰和關(guān)鍵字輸出：檢索陷門(mén)服務(wù)器：輸入：加密數(shù)據(jù)庫(kù)和檢索陷門(mén)輸出：文件標(biāo)識(shí)集合（含有指定關(guān)鍵字的文件標(biāo)識(shí)集合）SSE的一種定義Setup算法:61SSE的一種應(yīng)用場(chǎng)景

待添加密文K1

操作1.1操作2.1操作3.1SSE的一種應(yīng)用場(chǎng)景

待添加密文K1

操作1.1操作62SSE的一種實(shí)例SSE的一種實(shí)例63SSE的另一種定義

SSE的另一種定義

64SSE的另一種應(yīng)用場(chǎng)景

操作1.1操作2.1操作3.1SSE的另一種應(yīng)用場(chǎng)景

操作1.1操作2.1操作65SSE的另一種實(shí)例SSE的另一種實(shí)例66SSE存在的問(wèn)題可搜索密文的刪除問(wèn)題邏輯刪除，易于保證安全性物理刪除，容易破壞安全性多樣化檢索的問(wèn)題模糊檢索、范圍檢索等等安全性與效率的博弈現(xiàn)有提出的SSE無(wú)法避免信息泄露無(wú)信息泄露的SSE，也可以稱為“隱私信息抽取”，大量的采用了“不經(jīng)意”傳輸協(xié)議，性能地下SSE存在的問(wèn)題可搜索密文的刪除問(wèn)題67PEKS的提出2004年，Boneh以加密郵件系統(tǒng)的檢索問(wèn)題為出發(fā)點(diǎn)，首次提出了PEKS的概念和實(shí)例化方案初步實(shí)現(xiàn)了在不泄露郵件內(nèi)容和關(guān)鍵字的條件下，郵件服務(wù)器對(duì)加密郵件的關(guān)鍵字檢索PEKS的提出2004年，Boneh以加密郵件系統(tǒng)的檢索問(wèn)題68PEKS的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公鑰和系統(tǒng)私鑰Enc算法輸入：輸入公鑰，關(guān)鍵字輸出：關(guān)鍵字可搜索密文Trapdoor算法輸入：輸入私鑰，關(guān)鍵字輸出：關(guān)鍵字陷門(mén)Test算法輸入：輸入公鑰，可搜索密文和陷門(mén)輸出：搜索結(jié)果PEKS的定義Setup算法69基于PEKS的應(yīng)用場(chǎng)景2.2上傳加密數(shù)據(jù)2.1輸入接收方公鑰和關(guān)鍵字，運(yùn)行Enc算法生成關(guān)鍵字可搜索密文2.2將加密文件和可搜索密文上傳至服務(wù)器發(fā)送方1.1輸入安全參數(shù)，運(yùn)行Setup算法生成系統(tǒng)公鑰和私鑰；3.1輸入私鑰和待檢索的關(guān)鍵字，運(yùn)行Trapdoor算法生成關(guān)鍵字陷門(mén)；3.2將檢索陷門(mén)上傳至服務(wù)器3.2搜索請(qǐng)求4.2返回結(jié)果4.1輸入公鑰，一條可搜索密文和接收方檢索陷門(mén)，運(yùn)行Test算法判斷密文是否包含指定的關(guān)鍵字；接收方云服務(wù)器基于PEKS的應(yīng)用場(chǎng)景2.2上傳加密數(shù)據(jù)2.1輸入接收方公鑰70PEKS實(shí)例PEKS實(shí)例71PEKS存在的問(wèn)題

O(N),N表示密文數(shù)量PEKS存在的問(wèn)題

O(N),N表示密文數(shù)量72回顧明文關(guān)鍵字的檢索方式

回顧明文關(guān)鍵字的檢索方式

73以明文關(guān)鍵字檢索方式考慮如何加快密文關(guān)鍵字的檢索相同關(guān)鍵字的密文能否合并常規(guī)加密屬于隨機(jī)化加密，使得相同關(guān)鍵字的密文相互獨(dú)立（或者截然不同），因此不能合并可以采用確定化的加密，使得相同的關(guān)鍵字具有相同的密文，因此可以合并，但降低了安全性（2008年，Bellare的核心思路）不同關(guān)鍵字的密文能否建立二叉樹(shù)只有確定化的加密，才能建立二叉樹(shù)以明文關(guān)鍵字檢索方式考慮如何加快密文關(guān)鍵字的檢索相同關(guān)鍵字的74如何在不降低安全性的條件下，加快PEKS的檢索速度2008年，Camenisch等描述了一種方法，使具有相同關(guān)鍵字的密文形成一條隱式鏈;如果服務(wù)器正確查找到第一條匹配的密文，他們的方法將會(huì)提高檢索的效率;該方案不能快速查找到第一條匹配的密文,檢索效率和整個(gè)密文相關(guān);如何在不降低安全性的條件下，加快PEKS的檢索速度2008年75SPCHS的提出2015年徐鵬等人首次提出了結(jié)構(gòu)化公鑰可搜索加密（SPCHS）概念；首次實(shí)現(xiàn)了檢索復(fù)雜度只取決于包含查詢關(guān)鍵字的可搜索密文的數(shù)量，而不是所有密文的數(shù)量，大幅提高了PEKS的效率；核心思路：同一個(gè)關(guān)鍵字的所有可搜索密文具有隱藏的鏈?zhǔn)浇Y(jié)構(gòu)，鏈頭與公共頭部構(gòu)成了一個(gè)隱藏的星型結(jié)構(gòu)；可搜索關(guān)鍵字密文的星型結(jié)構(gòu)SPCHS的提出2015年徐鵬等人首次提出了結(jié)構(gòu)化公鑰可搜索76SPCHS的定義SystemSetup算法輸入：安全參數(shù)輸出：系統(tǒng)公鑰和系統(tǒng)私鑰StructureInitialization算法輸入：系統(tǒng)公鑰輸出：隱藏結(jié)構(gòu)的私有部分和公有部分StructuredEncryption算法輸入：系統(tǒng)公鑰、關(guān)鍵字、和隱藏結(jié)構(gòu)的私有部分輸出：可搜索密文Trapdoor算法輸入：系統(tǒng)私鑰、關(guān)鍵字輸出：關(guān)鍵字檢索陷門(mén)StructuredSearch算法輸入：系統(tǒng)公鑰、隱藏結(jié)構(gòu)的公有部分、密文集合和關(guān)鍵字檢索陷門(mén)輸出：關(guān)鍵字對(duì)應(yīng)的密文SPCHS的定義SystemSetup算法77基于SPCHS的應(yīng)用場(chǎng)景上傳加密數(shù)據(jù)2.0若發(fā)送方還未初始化隱藏結(jié)構(gòu)（或者第一次生成可搜索密文時(shí)），輸入系統(tǒng)公鑰，運(yùn)行StructureInitialization算法，生成隱藏結(jié)構(gòu)的私有部分和公有部分，上傳公有部分；2.1輸入接收方公鑰、關(guān)鍵字和隱藏結(jié)構(gòu)的私有部分，運(yùn)行StructuredEncryption算法，生成可搜索密文；2.2將加密文件和可搜索密文上傳至服務(wù)器發(fā)送方1.1輸入安全參數(shù)，運(yùn)行SystemSetup算法，生成系統(tǒng)公鑰和系統(tǒng)私鑰；3.1輸入私鑰和待檢索的關(guān)鍵字，運(yùn)行Trapdoor算法生成關(guān)鍵字檢索陷門(mén)；3.2將檢索陷門(mén)上傳至服務(wù)器搜索請(qǐng)求返回結(jié)果接收方云服務(wù)器4.1輸入公鑰、某發(fā)送方隱藏結(jié)構(gòu)的公有部分、可搜索密文和檢索陷門(mén)，運(yùn)行StructuredSearch算法，找到該發(fā)送方生成的所有滿足條件的密文；4.2針對(duì)所有發(fā)送方，執(zhí)行步驟4.1；4.3返回檢索出的加密文件；基于SPCHS的應(yīng)用場(chǎng)景上傳加密數(shù)據(jù)2.0若發(fā)送方還未初始化78SPCHS實(shí)例SPCHS實(shí)例79SPCHS存在的問(wèn)題本地私有狀態(tài)問(wèn)題為了隱藏結(jié)構(gòu)的生成，用戶需要存儲(chǔ)和更新私有信息僅支持關(guān)鍵字的精確查找快速的模糊搜索、范圍搜索、子集檢索等等學(xué)術(shù)界提出的可搜索加密難以適用于數(shù)據(jù)庫(kù)兩者索引的建立模式截然不同SPCHS存在的問(wèn)題本地私有狀態(tài)問(wèn)題80小結(jié)可搜索加密是加密數(shù)據(jù)外包存儲(chǔ)的重要支撐技術(shù)可搜索加密研究的博弈焦點(diǎn)：性能安全性檢索多樣性可搜索加密應(yīng)用的博弈焦點(diǎn)：基于數(shù)據(jù)語(yǔ)義的數(shù)據(jù)庫(kù)索引建立模式與可搜索加密的隱藏結(jié)構(gòu)索引模式不兼容小結(jié)可搜索加密是加密數(shù)據(jù)外包存儲(chǔ)的重要支撐技術(shù)81加密云郵件系統(tǒng)

TCAsiACCSPengXu,HaiJin,QianhongWu,WeiWang,Public-KeyEncryptionwithFuzzyKeywordSearch:AProvablySecureSchemeunderKeywordGuessingAttack,IEEETransactionsonComputers,62(11),pp.2266-2277,2013.PengXu,JunXu,WeiWang,HaiJin,WillySusilo,DeqingZou,GenerallyHybridProxyRe-Encryption:ASecureDataSharingamongCryptographicClouds,

ASIACCS2016,913-918.加密云郵件系統(tǒng)

TCAsiACCSPengXu,Hai82云郵件系統(tǒng)的商業(yè)價(jià)值云郵件系統(tǒng)：通過(guò)租用云平臺(tái)，減少自構(gòu)建郵件系統(tǒng)的成本云郵件系統(tǒng)的商業(yè)價(jià)值云郵件系統(tǒng)：通過(guò)租用云平臺(tái)，減少自構(gòu)建郵83云郵件系統(tǒng)的商業(yè)價(jià)值一個(gè)快速發(fā)展的領(lǐng)域FromRadicati云郵件系統(tǒng)的商業(yè)價(jià)值一個(gè)快速發(fā)展的領(lǐng)域FromRadica84云郵件系統(tǒng)的商業(yè)價(jià)值低廉的成本云郵件系統(tǒng)的商業(yè)價(jià)值低廉的成本85郵件系統(tǒng)面臨的威脅郵件系統(tǒng)的保密性一直以來(lái)都是熱點(diǎn)問(wèn)題郵件服務(wù)器端的泄漏事故屢見(jiàn)不鮮2013年2月，因?yàn)橐恍┍还诒姷膬?nèi)部郵件，沃爾瑪股價(jià)周五一度下跌逾3%

2012年02月，敘利亞總統(tǒng)辦公室的電子郵箱系統(tǒng)遭到黑客組織攻擊，導(dǎo)致數(shù)百封郵件外泄2009年丹麥哥本哈根氣候變化會(huì)議前，英國(guó)東英吉利大學(xué)氣候變化研究人員的郵件泄漏引發(fā)人們對(duì)相關(guān)氣候變化報(bào)告的質(zhì)疑，該事件對(duì)大會(huì)造成了非常不利的影響在聯(lián)合國(guó)將在南非德班舉行新一輪氣候會(huì)議之際，黑客在網(wǎng)上公布了盜取的數(shù)據(jù)，其中包括了十多年來(lái)，英美氣候變化專家之間的近1000封私人電子郵件和約3000份文件云平臺(tái)更易成為攻擊目標(biāo)，且租用統(tǒng)一云平臺(tái)的郵件系統(tǒng)被破壞可能導(dǎo)致眾多企業(yè)同時(shí)遭受損失郵件系統(tǒng)面臨的威脅郵件系統(tǒng)的保密性一直以來(lái)都是熱點(diǎn)問(wèn)題86郵件安全的核心技術(shù)加密郵件超過(guò)55%郵件安全的核心技術(shù)加密郵件超過(guò)55%87業(yè)界動(dòng)態(tài)2014年8月8日雅虎表示，將與谷歌合作開(kāi)發(fā)安全電子郵件系統(tǒng)，將使黑客無(wú)法繼續(xù)竊取用戶的信息。這一新系統(tǒng)將基于PGP加密技術(shù)。用戶的密鑰被保存在自己的筆記本、平板電腦和智能手機(jī)中2013年，北京中興通科技股份有限公司申報(bào)的項(xiàng)目《基于標(biāo)識(shí)密碼技術(shù)的云安全郵件服務(wù)平臺(tái)》，成功獲得信息安全專項(xiàng)資金支持。此項(xiàng)目也將被列入《2012年國(guó)家高技術(shù)產(chǎn)業(yè)發(fā)展項(xiàng)目計(jì)劃》業(yè)界動(dòng)態(tài)2014年8月8日雅虎表示，將與谷歌合作開(kāi)發(fā)安全電子88Top

10企業(yè)的產(chǎn)品分析基于SSL協(xié)議Voltage,DataMotion,Proofpoint,EdgeWave,Symantec,Sophos,LuxSci,Privato基于PGP協(xié)議Voltage,DataMotion,Cryptzone,Symantec,Sophos,Privato基于IBE協(xié)議Voltage,DataMotion,Proofpoint,TrendmicroTop10企業(yè)的產(chǎn)品分析基于SSL協(xié)議89SSL協(xié)議存在的問(wèn)題無(wú)法防范惡意郵件服務(wù)器事故案例2011年3月，Gmail郵件泄露2013年8月，Gmail承認(rèn)掃描用戶郵件內(nèi)容，且不尊重用戶隱私為了實(shí)現(xiàn)內(nèi)容推送服務(wù)，相當(dāng)一部分郵件服務(wù)提供商在掃描用戶郵件惡意或被攻擊郵件服務(wù)器將泄露用戶郵件內(nèi)容SSL協(xié)議存在的問(wèn)題無(wú)法防范惡意郵件服務(wù)器事故案例惡意或被攻90PGP和IBE協(xié)議存在的問(wèn)題用戶使用不友好PGP和IBE協(xié)議存在的問(wèn)題用戶使用不友好91加密云郵件的群發(fā)和群轉(zhuǎn)發(fā)問(wèn)題來(lái)源SSL的群發(fā)和群轉(zhuǎn)發(fā)均由云平臺(tái)以明文方式處理PGP和IBE不支持加密郵件的群發(fā)，更嚴(yán)重的是不支持群轉(zhuǎn)發(fā)加密云郵件的群發(fā)和群轉(zhuǎn)發(fā)問(wèn)題來(lái)源92加密云郵件的群發(fā)和群轉(zhuǎn)發(fā)核心思路設(shè)計(jì)多功能的代理重加密，即細(xì)粒度的、基于身份的和廣播的代理重加密算法已有成果論文：ConditionalIdentity-BasedBroadcastProxyRe-EncryptionandItsApplicationto

CloudEmail.IEEETransactionsonComputers(Accepted)專利：一種提高外包加密數(shù)據(jù)共享功能的代理重加密方法（已獲專利申請(qǐng)?zhí)枺┘用茉凄]件的群發(fā)和群轉(zhuǎn)發(fā)核心思路93CIBPRE的提出常規(guī)PRE方案代理方重加密次數(shù)與接收者人數(shù)成正比，消耗較多的網(wǎng)絡(luò)資源發(fā)送者不能對(duì)云端的重加密對(duì)象做細(xì)粒度控制，換句話說(shuō)，無(wú)法控制云端對(duì)密文的重加密范圍2015年，徐鵬等人提出帶條件的基于身份廣播代理重加密方案CIBPRE實(shí)現(xiàn)用戶細(xì)粒度控制遠(yuǎn)程密文數(shù)據(jù)的代理重加密過(guò)程，加強(qiáng)用戶對(duì)自己密文數(shù)據(jù)的控制能力實(shí)現(xiàn)群加密，為一組接收者生成一條初始密文或重加密密文，減少系統(tǒng)通信開(kāi)銷實(shí)現(xiàn)身份信息做公鑰，避免PKI的使用CIBPRE的提出常規(guī)PRE方案94CIBPRE的定義

CIBPRE的定義

95基于CIBPRE的郵件系統(tǒng)基于CIBPRE的云郵件系統(tǒng)包括：可信的密鑰生成中心（KGC）、云服務(wù)提供商、用戶基于CIBPRE云郵件系統(tǒng)的具體工作流程如下：初始化階段：KGC初始化CIBPRE方案生成系統(tǒng)參數(shù)密鑰管理階段：當(dāng)一個(gè)新用戶加入到系統(tǒng)中，KGC為其生成一個(gè)私鑰發(fā)送加密郵件：發(fā)送者可以發(fā)送一封加密郵件給多個(gè)接收者，并且此加密郵件會(huì)在云端保存轉(zhuǎn)發(fā)歷史加密郵件：發(fā)送者為新的多個(gè)接收者生成指定郵件的重加密密鑰；根據(jù)該密鑰，云端重加密指定的歷史郵件密文，并發(fā)送給新的接收者基于CIBPRE的郵件系統(tǒng)基于CIBPRE的云郵件系統(tǒng)包括：96基于CIBPRE的郵件系統(tǒng)發(fā)送郵件轉(zhuǎn)發(fā)郵件基于CIBPRE的郵件系統(tǒng)發(fā)送郵件轉(zhuǎn)發(fā)郵件97CIBPRE的實(shí)例CIBPRE的實(shí)例98CIBPRE的實(shí)例CIBPRE的實(shí)例99異構(gòu)加密郵件系統(tǒng)之間的安全性通信問(wèn)題問(wèn)題來(lái)源實(shí)際應(yīng)用中，不同的公司會(huì)選擇不同參數(shù)、或者不同體質(zhì)的密碼算法來(lái)保障各自系統(tǒng)的安全性郵件系統(tǒng)是一種跨服務(wù)器、跨域的通信系統(tǒng)異構(gòu)加密郵件系統(tǒng)之間的安全性通信問(wèn)題問(wèn)題來(lái)源100PRE間如何安全通信2003年以來(lái)，各種PRE算法不斷提出不同密鑰類型，例如傳統(tǒng)公鑰類、基于身份類不同的附加功能，例如廣播加密、細(xì)粒度控制、雙向加密等等不同的數(shù)學(xué)參數(shù)，例如基于大素?cái)?shù)群的、基于橢圓曲線群的等等不同PRE之間如何實(shí)現(xiàn)安全的通信（數(shù)據(jù)共享）思路一：針對(duì)兩兩不同的PRE分別提出解決方法思路二：提出通用的方法，使得任意兩個(gè)PRE方案之間都可以通信PRE間如何安全通信2003年以來(lái)，各種PRE算法不斷提出101通用混合代理重加密(GHPRE)單個(gè)PRE內(nèi)部數(shù)據(jù)共享過(guò)程β-BasedCloud

AliceBob

通用混合代理重加密(GHPRE)單個(gè)PRE內(nèi)部數(shù)據(jù)共享過(guò)程β102

β-BasedCloud

通用混合代理重加密(GHPRE)PRE之間的數(shù)據(jù)共享過(guò)程

β-BasedCloud

通用混合代103加密郵件系統(tǒng)的其它問(wèn)題加密郵件的安全云檢索加密垃圾郵件的云過(guò)濾加密郵件系統(tǒng)的其它問(wèn)題加密郵件的安全云檢索104總結(jié)-安全性絕對(duì)安全不依賴信任源相對(duì)安全依賴信任源信任源具有動(dòng)態(tài)性可證明安全是現(xiàn)代密碼學(xué)的核心面向密碼算法的特點(diǎn)，定義攻擊者、攻擊目標(biāo)和安全指標(biāo)基于數(shù)學(xué)難題，利用反證法證明密碼算法的安全性總結(jié)-安全性絕對(duì)安全105總結(jié)-安全通信對(duì)稱加密是完成安全通信的基礎(chǔ)公鑰加密是完成對(duì)稱密鑰分發(fā)的基礎(chǔ)傳統(tǒng)公鑰密碼體制需要PKI的支持基于身份加密是新一代的公鑰密碼體制，避免了PKI的使用以用戶身份信息做公鑰，實(shí)現(xiàn)了用戶與其公鑰的天然綁定總結(jié)-安全通信對(duì)稱加密是完成安全通信的基礎(chǔ)106總結(jié)-安全控制安全的外包數(shù)據(jù)提取、流轉(zhuǎn)和共享的控制過(guò)程基于屬性加密CP-ABE以訪問(wèn)控制策略為公鑰，用戶屬性生成私鑰KP-ABE以數(shù)據(jù)屬性為公鑰，用戶的訪問(wèn)控制策略生成私鑰代理重加密公鑰與傳統(tǒng)的或基于身份的相同允許不可信第三方，在授權(quán)條件下，將密文的已有公鑰轉(zhuǎn)換成另一個(gè)公鑰總結(jié)-安全控制安全的外包數(shù)據(jù)提取、流轉(zhuǎn)和共享的控制過(guò)程107總結(jié)-安全計(jì)算同態(tài)加密密文計(jì)算的安全外包總結(jié)-安全計(jì)算同態(tài)加密108結(jié)課報(bào)告分析一篇與本課程內(nèi)容相關(guān)的期刊/會(huì)議論文（建議英文論文），并按如下條目撰寫(xiě)報(bào)告（3000-4000字）研究意義從應(yīng)用和理論需求兩個(gè)方面，說(shuō)明為什么做研究?jī)?nèi)容為達(dá)目的，需要研究什么，以及各研究?jī)?nèi)容之間的關(guān)系（用圖和文字說(shuō)明）研究方法在研究上述各內(nèi)容的過(guò)程中，所采用的方法研究成果提出的方案存在的問(wèn)題是否存在安全性問(wèn)題，及其原因是否缺乏實(shí)用性，及其原因總結(jié)封面格式：頁(yè)眉注明“《前沿密碼應(yīng)用技術(shù)》課程報(bào)告”，原文出處，報(bào)告題目，學(xué)生姓名，學(xué)號(hào)，班級(jí)結(jié)課報(bào)告分析一篇與本課程內(nèi)容相關(guān)的期刊/會(huì)議論文（建議英文論109

CFB加密示意圖Ci=Pi(EK(Si)的高j位)

，Si=(Si-1<<j)|Ci-1，S1＝(IV<<j)|IV的高j位CFB加密示意圖Ci=Pi(EK(Si)的高j位)，110

OFB加密示意圖Ci=Pi(EK(Si)的高j位)，Si+1=(Si<<j)|(EK(Si)的高j位)，S1＝(IV<<j)|IV的高j位OFB加密示意圖Ci=Pi(EK(Si)的高j位)，111前沿密碼應(yīng)用技術(shù)PPT講座前沿密碼應(yīng)用技術(shù)PPT講座1121.什么是安全？1.什么是安全？113安全與信任的關(guān)系你們考慮過(guò)密碼算法為什么安全么？簡(jiǎn)單地說(shuō)，安全就是信任；或者說(shuō)，你相信“它”是安全的，就是安全的從“水”的安全性說(shuō)開(kāi)去生活中，常見(jiàn)的信任源有哪些？信任源具有動(dòng)態(tài)性密碼學(xué)的信任源是什么？學(xué)術(shù)界與工業(yè)界對(duì)安全的構(gòu)建采用的不同思想擴(kuò)展問(wèn)題：信任源空間的大小是變化的安全與信任的關(guān)系你們考慮過(guò)密碼算法為什么安全么？1142.可證明安全性GoldwasserS,MicaliS,RackoffC.Theknowledgecomplexityofinteractiveproof-systems[C]//DBLP,1985:291-304.2.可證明安全性GoldwasserS,Micali115可證明安全性的起源起源于1982年Goldwasser和Micali等學(xué)者的開(kāi)創(chuàng)性工作,他們提出了語(yǔ)義安全性定義,將可證明安全的思想首次帶入安全協(xié)議的形式化分析中Goldwasser和Micali獲2012年圖靈獎(jiǎng)可證明安全性的起源起源于1982年Goldwasser和Mi116語(yǔ)義安全性的主要成分如何定義攻擊者計(jì)算能力先驗(yàn)知識(shí)如何定義攻擊目標(biāo)直觀目標(biāo)明文語(yǔ)義以上述兩者為基礎(chǔ)，如何定義安全一種“優(yōu)勢(shì)”語(yǔ)義安全性的主要成分如何定義攻擊者117語(yǔ)義安全性的一種簡(jiǎn)單抽象攻擊者挑戰(zhàn)者公鑰挑戰(zhàn)明文（M0，M1）隨機(jī)選擇任意一個(gè)明文，并生成其挑戰(zhàn)密文C；挑戰(zhàn)密文C猜測(cè)結(jié)果d=0或1若Md是挑戰(zhàn)者之前所選擇的明文，則攻擊成功；語(yǔ)義安全性：在上述攻擊游戲中，若攻擊者的成功優(yōu)勢(shì)可忽略，則該公鑰加密算法是語(yǔ)義安全的（具體的說(shuō)是選擇明文攻擊下語(yǔ)義安全的）以某類公鑰加密算法為例，例如ElGamal算法語(yǔ)義安全性的一種簡(jiǎn)單抽象攻擊者挑戰(zhàn)者公鑰挑戰(zhàn)明文（M0，M1118ElGamal加密與數(shù)學(xué)難題ElGamal加密與數(shù)學(xué)難題119ElGamal加密的可證明安全性核心思想若存在某個(gè)攻擊者A能以不可忽略的優(yōu)勢(shì)攻破ElGamal加密算法，則存在一個(gè)算法B能利用這個(gè)攻擊者來(lái)求解DDH問(wèn)題，ElGamal加密的可證明安全性核心思想120其它問(wèn)題什么是安全參數(shù)？從RSA1024bits加密密鑰所開(kāi)去量化安全性的重要依據(jù)為什么隨機(jī)數(shù)對(duì)加密算法的安全性至關(guān)重要？從信息論的角度說(shuō)開(kāi)去確定算法無(wú)法增加輸出的熵其它問(wèn)題什么是安全參數(shù)？121小結(jié)可證明安全性首次以科學(xué)的方式嚴(yán)格的定義了密碼方案的安全性，讓安全性可量化可證明安全性使密碼學(xué)研究、密碼方案的設(shè)計(jì)從“藝術(shù)”變成了“科學(xué)”針對(duì)不同功能和不同類型密鑰的密碼方案，可證明安全性所變現(xiàn)出的形態(tài)也各不一樣針對(duì)簽名方案，有不可存在性偽造針對(duì)安全協(xié)議，有通用可組合安全小結(jié)可證明安全性首次以科學(xué)的方式嚴(yán)格的定義了密碼方案的安全性122基于身份加密（IBE）BonehD,FranklinM.Identity-basedencryptionfromtheWeilpairing[C]//AdvancesinCryptology—CRYPTO2001.SpringerBerlin/Heidelberg,2001:213-229.基于身份加密（IBE）BonehD,FranklinM123回顧公鑰基礎(chǔ)設(shè)施（PKI）的核心基于PKI的公鑰加密體制回顧公鑰基礎(chǔ)設(shè)施（PKI）的核心基于PKI的公鑰加密體制124回顧PKI的核心功能Alice如何知道Joy，Mike，Bob和Ted的公鑰Joy，Mike，Bob和Ted自己公開(kāi)并聲明自身的公鑰在實(shí)際應(yīng)用中是不安全和不現(xiàn)實(shí)的需要一個(gè)可信的第三方去證明Alice拿到的公鑰一定就是Joy，Mike，Bob和Ted的PKI提供了這個(gè)可信第三方，即CA（證書(shū)中心）回顧PKI的核心功能Alice如何知道Joy，Mike，Bo125回顧PKI的核心功能Alice向CA詢問(wèn)Joy，Mike，Bob和Ted的公鑰CA用自身的私鑰簽發(fā)Joy，Mike，Bob和Ted的公鑰，即生成證書(shū)Alice拿到證書(shū)后，利用簽名驗(yàn)證的思想，驗(yàn)證證書(shū)的有效性另外，CA也起到的撤銷用戶公鑰的能力，即不再簽發(fā)相應(yīng)用戶的公鑰回顧PKI的核心功能Alice向CA詢問(wèn)Joy，Mike，B126簡(jiǎn)單說(shuō)PKI的核心功能向發(fā)送方證明接收方的公鑰是“那一個(gè)”或者說(shuō)將接收方與某個(gè)公鑰綁定當(dāng)接收方公鑰不再有效時(shí)，告知發(fā)送方接收方的公鑰已被撤銷簡(jiǎn)單說(shuō)PKI的核心功能向發(fā)送方證明接收方的公鑰是“那一個(gè)”或127PKI存在的實(shí)際問(wèn)題實(shí)際應(yīng)用中，發(fā)送方是非常多的理論上，每次發(fā)送方加密數(shù)據(jù)之間，都要詢問(wèn)CA接收方的公鑰是什么（即獲得接收方公鑰的證書(shū)），或者是詢問(wèn)接收方的公鑰是否依然有效CA成為了PKI的性能瓶頸PKI存在的實(shí)際問(wèn)題實(shí)際應(yīng)用中，發(fā)送方是非常多的128PKI存在問(wèn)題的本質(zhì)原因公鑰是隨機(jī)生成的，因此與用戶沒(méi)有天然的綁定關(guān)系例如：RSA中公開(kāi)密鑰：e,nn為兩個(gè)隨機(jī)選擇的且滿足一些要求的素?cái)?shù)p和q的乘積e與(n)互素，即與(p-1)(q-1)互素且有了公鑰之后，再生成相應(yīng)的私鑰dPKI存在問(wèn)題的本質(zhì)原因公鑰是隨機(jī)生成的，因此與用戶沒(méi)有天然129IBE的思想能夠有一種方法讓用戶及其公鑰有天然的綁定關(guān)系么？這是基于身份體制的核心要求怎樣的公鑰才有可能和用戶天然的綁定呢？這個(gè)公鑰直接或者間接的是用戶的某些自然屬性同時(shí)由于公鑰需要有唯一性，即每個(gè)用戶的公鑰必須不同，因此自然屬性需要有唯一性屬性＝身份＝公鑰IBE的思想能夠有一種方法讓用戶及其公鑰有天然的綁定關(guān)系么？130IBE的提出1984，shamir提出了基于身份體制（Identity-BasedCryptography，IBC）的概念，但并沒(méi)有找到實(shí)現(xiàn)方法上個(gè)世紀(jì)90年代，實(shí)現(xiàn)了基于身份簽名方案（Identity-BasedSignature，IBS）直到2000或者2001年，實(shí)現(xiàn)了首個(gè)基于身份加密方案（Identity-BasedEncryption，IBE）IBE的提出1984，shamir提出了基于身份體制（Ide131誰(shuí)是第一個(gè)IBE方案Sakai和KasaharaBoneh和Franklin上述兩個(gè)方案均基于雙線性映射構(gòu)建，具有較好的實(shí)用性Cocks基于二次剩余假設(shè)構(gòu)建在實(shí)際應(yīng)用中缺乏實(shí)用性誰(shuí)是第一個(gè)IBE方案Sakai和Kasahara132IBE的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公開(kāi)參數(shù)和系統(tǒng)秘密參數(shù)Extract算法輸入：系統(tǒng)秘密參數(shù)，用戶的身份信息（公鑰）輸出：用戶私鑰Enc算法輸入：系統(tǒng)公開(kāi)參數(shù)，接收方的身份信息（公鑰），明文輸出：密文Dec算法輸入：接收方的私鑰，密文輸出：明文IBE的定義Setup算法133基于BF-IBE的郵件系統(tǒng)初始階段密鑰生成中心（KGC）運(yùn)行Setup算法（輸入：安全參數(shù)），生成系統(tǒng)公開(kāi)參數(shù)和系統(tǒng)秘密參數(shù)用戶加入階段令新加入用戶的郵箱地址為ID，KGC運(yùn)行Extract算法（輸入：系統(tǒng)秘密參數(shù)，ID），生成并授予其私鑰郵件安全傳輸階段令接收方的郵箱地址是ID，發(fā)送方運(yùn)行Enc算法加密郵件（輸入：系統(tǒng)公開(kāi)參數(shù)，ID，郵件內(nèi)容），生成密文C并發(fā)送給接收方接收方用私鑰解密出郵件內(nèi)容基于BF-IBE的郵件系統(tǒng)初始階段134IBE的實(shí)例雙線性映射的歷史93年三個(gè)日本人發(fā)表在IEEETransactionsonInformationTheory上他們自己并沒(méi)有意識(shí)到其巨大的價(jià)值，只是想找一種攻擊特定橢圓曲線密碼學(xué)的方法其巨大的價(jià)值被Boneh和Franklin發(fā)現(xiàn)，并實(shí)現(xiàn)了BF-IBE方案IBE的實(shí)例雙線性映射的歷史135數(shù)學(xué)基礎(chǔ)雙線性映射的定義數(shù)學(xué)基礎(chǔ)雙線性映射的定義136具體方案具體方案137IBE的密鑰托管問(wèn)題問(wèn)題用戶私鑰由密鑰生成中心生成，因此該中心知道所有用戶私鑰若用戶私鑰泄露，無(wú)法通過(guò)更新公鑰的方式撤銷泄露的私鑰解決思路一個(gè)用戶公鑰對(duì)應(yīng)多個(gè)私鑰（指數(shù)個(gè)）基于零知識(shí)證明，使得密鑰生成中心無(wú)法知道用戶選定的私鑰是哪一個(gè)基于私鑰的取證技術(shù)，使得若攻擊者使用了非用戶選定的私鑰來(lái)解密，可以被發(fā)現(xiàn)IBE的密鑰托管問(wèn)題問(wèn)題138IBE的小結(jié)以任意身份信息作為公鑰與傳統(tǒng)公鑰加密相比IBE的公鑰可以是具有唯一標(biāo)識(shí)用戶作用的自然信息或者自然屬性以RSA為例，RSA的公鑰是隨機(jī)生成的與用戶具有的自然屬性沒(méi)有關(guān)系IBE的小結(jié)以任意身份信息作為公鑰139基于屬性加密（ABE）SahaiA,WatersB.Fuzzyidentity-basedencryption[C]//Eurocrypt.2005,3494:457-473.GoyalV,PandeyO,SahaiA,etal.Attribute-basedencryptionforfine-grainedaccesscontrolofencrypteddata[C]//Proceedingsofthe13thACMconferenceonComputerandcommunicationssecurity.Acm,2006:89-98.基于屬性加密（ABE）SahaiA,WatersB.140回顧傳統(tǒng)的訪問(wèn)控制Alice詢問(wèn)數(shù)據(jù)庫(kù)某數(shù)據(jù)已知的傳統(tǒng)訪問(wèn)控制方法，包括：自主訪問(wèn)控制，強(qiáng)制訪問(wèn)控制，基于角色訪問(wèn)控制等等數(shù)據(jù)庫(kù)數(shù)據(jù)以明文形式存放，通過(guò)驗(yàn)證用戶權(quán)限實(shí)現(xiàn)數(shù)據(jù)訪問(wèn)，其安全性完全依賴用戶對(duì)服務(wù)器安全性的信任回顧傳統(tǒng)的訪問(wèn)控制Alice詢問(wèn)數(shù)據(jù)庫(kù)某數(shù)據(jù)141傳統(tǒng)訪問(wèn)控制存在的問(wèn)題若數(shù)據(jù)庫(kù)服務(wù)器存在漏洞，導(dǎo)致攻擊者獲得管理員權(quán)限，則該攻擊者可以繞開(kāi)訪問(wèn)控制策略獲得數(shù)據(jù)若數(shù)據(jù)庫(kù)管理員本身與攻擊者合謀，同樣可以導(dǎo)致訪問(wèn)控制策略失效傳統(tǒng)的訪問(wèn)控制方法無(wú)法保證云計(jì)算環(huán)境下的數(shù)據(jù)安全性數(shù)據(jù)集中的云平臺(tái)更容易成為攻擊目標(biāo)云平臺(tái)缺乏可信性傳統(tǒng)訪問(wèn)控制存在的問(wèn)題若數(shù)據(jù)庫(kù)服務(wù)器存在漏洞，導(dǎo)致攻擊者獲得142ABE的提出2005年Waters等人，提出了模糊的基于身份加密以指紋作為身份信息加密，存在每次指紋的提取不一致問(wèn)題模糊的基于身份加密實(shí)現(xiàn)了同一用戶的不同指紋加密生成的密文，可以被該用戶的同一個(gè)私鑰解密ABE的提出2005年Waters等人，提出了模糊的基于身份143ABE的提出本質(zhì)上，2005年Waters等人，實(shí)現(xiàn)了不同的基于身份公鑰被同一個(gè)私鑰解密借鑒模糊基于身份加密的思想，提出了第一種ABE，即key-policyABEABE的提出本質(zhì)上，2005年Waters等人，實(shí)現(xiàn)了不同的144ABE的提出KP-ABE：以明文的屬性做公鑰，以訪問(wèn)控制策略生成對(duì)應(yīng)的私鑰CiphertextPolicyABE（CP-ABE）：以訪問(wèn)控制策略做公鑰加密明文，以用戶的屬性生成對(duì)應(yīng)的私鑰ABE的提出KP-ABE：以明文的屬性做公鑰，以訪問(wèn)控制策略145KP-ABE與CP-ABE的應(yīng)用差異KP-ABE適合于加密方與訪問(wèn)控制方分離的場(chǎng)景數(shù)據(jù)安全采集與共享CP-ABE適合于加密方與訪問(wèn)控制方一體的場(chǎng)景企業(yè)數(shù)據(jù)安全存儲(chǔ)與共享KP-ABE與CP-ABE的應(yīng)用差異KP-ABE適合于加密方146ABE的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公開(kāi)參數(shù)和系統(tǒng)秘密參數(shù)Extract算法輸入：系統(tǒng)秘密參數(shù)，用戶的訪問(wèn)控制策略（KP-ABE）/屬性（CP-ABE）輸出：私鑰Enc算法輸入：系統(tǒng)公開(kāi)參數(shù)，明文的屬性（KP-ABE）/訪問(wèn)控制策略（CP-ABE），明文輸出：密文Dec算法輸入：私鑰，密文輸出：明文ABE的定義Setup算法147基于CP-ABE的云存儲(chǔ)系統(tǒng)基于CP-ABE的云存儲(chǔ)系統(tǒng)148CP-ABE的實(shí)例CP-ABE的實(shí)例149ABE算法設(shè)計(jì)的難點(diǎn)支持訪問(wèn)控制策略的能力“與”門(mén)“或”門(mén)“非”門(mén)系統(tǒng)參數(shù)的數(shù)量密文的長(zhǎng)度通常，支持訪問(wèn)控制策略的能力越強(qiáng)，那么系統(tǒng)參數(shù)的數(shù)量越多、密文的長(zhǎng)度越長(zhǎng)ABE算法設(shè)計(jì)的難點(diǎn)支持訪問(wèn)控制策略的能力150ABE的小結(jié)ABE是密碼學(xué)與傳統(tǒng)訪問(wèn)控制的“有機(jī)”結(jié)合在實(shí)際應(yīng)用中，ABE與傳統(tǒng)訪問(wèn)控制的最大的不同是，ABE不需要信任服務(wù)器，換句話說(shuō)，即使服務(wù)器是惡意的或者被攻破，也不會(huì)導(dǎo)致數(shù)據(jù)泄漏ABE的小結(jié)ABE是密碼學(xué)與傳統(tǒng)訪問(wèn)控制的“有機(jī)”結(jié)合151代理重加密（PRE）IvanAA,DodisY.ProxyCryptographyRevisited[C]//NDSS.2003.代理重加密（PRE）IvanAA,DodisY.P152回顧基于CP-ABE的云存儲(chǔ)系統(tǒng)ABE適合于企業(yè)級(jí)的安全數(shù)據(jù)存儲(chǔ)與訪問(wèn)用戶難以掌握和正確設(shè)置數(shù)據(jù)的訪問(wèn)控制策略ABE不適合普通用戶使用回顧基于CP-ABE的云存儲(chǔ)系統(tǒng)ABE適合于企業(yè)級(jí)的安全數(shù)據(jù)153PRE的提出1998年Blaze等人，提出了一種代理協(xié)議，可以讓第三方（代理方）修改已有密文的公鑰，但該方案存在明顯的安全性缺陷2003年Ivan等人，正式提出了PREPRE的提出1998年Blaze等人，提出了一種代理協(xié)議，可154PRE的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公開(kāi)參數(shù)和系統(tǒng)秘密參數(shù)Extract算法（該算法僅在基于身份類的PRE中才存在）輸入：系統(tǒng)秘密參數(shù)，用戶的身份輸出：私鑰Enc算法輸入：系統(tǒng)公開(kāi)參數(shù)，Alice公鑰，明文輸出：初始密文Dec-1算法輸入：Alice私鑰，初始密文輸出：明文RK算法輸入：Alice私鑰，Bob公鑰輸出：重加密密鑰ReEnc算法輸入：重加密密鑰，初始密文輸出：重加密密文Dec-2算法輸入：重加密密文，Bob私鑰輸出：明文PRE的定義Setup算法155基于PRE的安全云數(shù)據(jù)存儲(chǔ)與共享基于PRE的安全云數(shù)據(jù)存儲(chǔ)與共享156基于身份的PRE實(shí)例基于身份的PRE實(shí)例157PRE的其它問(wèn)題細(xì)粒度的控制問(wèn)題打破“全或無(wú)”的共享模式多次重加密的問(wèn)題打破一個(gè)密文只能以重加密形式共享一次的問(wèn)題雙向重加密的問(wèn)題打破一次重加密過(guò)程只能實(shí)現(xiàn)Alice->Bob或者Bob->Alice的單向共享復(fù)雜多特性PRE方案的設(shè)計(jì)問(wèn)題使得一個(gè)PRE方案同時(shí)具有多種特性，例如細(xì)粒度共享、多次重加密、雙向重加密等等PRE的其它問(wèn)題細(xì)粒度的控制問(wèn)題158PRE的小結(jié)相比于ABE，PRE以用戶為中心，實(shí)現(xiàn)了用戶自主可控的訪問(wèn)控制過(guò)程PRE的公鑰類型與傳統(tǒng)公鑰體制一致，因此從工業(yè)的角度來(lái)說(shuō)，更容易應(yīng)用到現(xiàn)有密碼系統(tǒng)中PRE的小結(jié)相比于ABE，PRE以用戶為中心，實(shí)現(xiàn)了用戶自主159函數(shù)加密（FE）函數(shù)加密（FE）160回顧C(jī)P-ABECP-ABE以訪問(wèn)控制策略做公鑰，以用戶屬性生成私鑰訪問(wèn)控制策略是基于屬性（或權(quán)限）的布爾表達(dá)式能不能有比布爾表達(dá)式更靈活的訪問(wèn)控制方式更通用的，任意數(shù)據(jù)的訪問(wèn)控制方式都可以表示為某一個(gè)函數(shù)我們能以函數(shù)作為公鑰么？回顧C(jī)P-ABECP-ABE以訪問(wèn)控制策略做公鑰，以用戶屬性161FE的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公開(kāi)參數(shù)和系統(tǒng)秘密參數(shù)Extract算法輸入：系統(tǒng)秘密參數(shù)，用戶的屬性輸出：私鑰Enc算法輸入：系統(tǒng)公開(kāi)參數(shù)，某個(gè)函數(shù)F，明文輸出：密文Dec算法輸入：私鑰，密文輸出：若用戶的屬性使得函數(shù)F輸出為“1”，則私鑰可以解密出正確的明文FE的定義Setup算法162FE的小結(jié)相比于ABE，F(xiàn)E實(shí)現(xiàn)更為靈活的訪問(wèn)控制方法，也就是說(shuō)，任意可以描述為一個(gè)函數(shù)的訪問(wèn)控制策略都可以做為公鑰從實(shí)際應(yīng)用的角度來(lái)說(shuō)，F(xiàn)E實(shí)現(xiàn)了所有可能的訪問(wèn)控制策略FE的小結(jié)相比于ABE，F(xiàn)E實(shí)現(xiàn)更為靈活的訪問(wèn)控制方法，也就163可搜索加密SongDX,WagnerD,PerrigA.Practicaltechniquesforsearchesonencrypteddata[C]//SecurityandPrivacy,2000.S&P2000.Proceedings.2000IEEESymposiumon.IEEE,2000:44-55.CurtmolaR,GarayJ,KamaraS,etal.Searchablesymmetricencryption:improveddefinitionsandefficientconstructions[C]//ACMConferenceonComputerandCommunicationsSecurity.ACM,2006:79-88.KamaraS,PapamanthouC,RoederT.Dynamicsearchablesymmetricencryption[C]//Proceedingsofthe2012ACMconferenceonComputerandcommunicationssecurity.ACM,2012:965-976.XuP,LiangS,WangW,etal.DynamicSearchableSymmetricEncryptionwithPhysicalDeletionandSmallLeakage[C]//AustralasianConferenceonInformationSecurityandPrivacy.Springer,Cham,2017:207-226.XuP,WuQ,WangW,etal.Generatingsearchablepublic-keyciphertextswithhiddenstructuresforfastkeywordsearch[J].IEEETransactionsonInformationForensicsandSecurity,2015,10(9):1993-2006.可搜索加密SongDX,WagnerD,Perri164回顧ABE和PRE存在的問(wèn)題ABE和PRE都是加密數(shù)據(jù)的外包存儲(chǔ)用戶如何訪問(wèn)和取回包含有特定關(guān)鍵字的密文？通過(guò)ABE/PRE加密上傳文件用戶下載文件的密文用戶必須提前知道自己需要下載或共享的密文文件實(shí)際情況中，用戶不能提前知道對(duì)應(yīng)的文件解決辦法：用戶必須下載或者共享全部密文文件，解密之后再檢索出目標(biāo)文件回顧ABE和PRE存在的問(wèn)題ABE和PRE都是加密數(shù)據(jù)的外包165密文的外包檢索發(fā)送方接收方云服務(wù)器1.發(fā)送加密數(shù)據(jù)給接收方3.云服務(wù)器根據(jù)用戶要求對(duì)密文進(jìn)行檢索操作安全要求：云服務(wù)器（內(nèi)部攻擊者）在檢索過(guò)程中無(wú)法知道用戶提交的檢索請(qǐng)求中包含的關(guān)鍵字內(nèi)容加密文件安全索引2.提交檢索4.返回結(jié)果密文的外包檢索發(fā)送方接收方云服務(wù)器1.發(fā)送加密數(shù)據(jù)給接收方3166SSE的提出2000年，Song等?提出了第一個(gè)基于對(duì)稱加密的密文檢索（SSE）方案其核心是以對(duì)稱加密形式加密文件，并提供加密內(nèi)容的檢索2003年-2012年，SSE的研究主要集中于關(guān)鍵字檢索，包括：安全性的提升、檢索多樣化、多用戶支持等等2012年以后，動(dòng)態(tài)的SSE研究受到了廣泛關(guān)注2012年Kamara等首次提出了支持?jǐn)?shù)據(jù)動(dòng)態(tài)更新的可搜索對(duì)稱加密（DSSE）方案，并且形式化定義了DSSE的安全性DSSE不僅支持密文檢索，還支持可搜索密文的動(dòng)態(tài)更新操作，如密文添加、密文刪除、關(guān)鍵字添加刪除SSE的提出2000年，Song等?提出了第一個(gè)基于對(duì)稱加密167SSE的通用應(yīng)用場(chǎng)景INDEXkeywordSSE的通用應(yīng)用場(chǎng)景INDEXkeyword168SSE的設(shè)計(jì)思路（1）基本對(duì)象：關(guān)鍵字和文件存在的問(wèn)題安全性降低，達(dá)不到關(guān)鍵字的語(yǔ)義安全性，因?yàn)橥晃募牟煌P(guān)鍵字的可搜索密文可區(qū)分解決思路引入文件標(biāo)識(shí)，從物理上拆開(kāi)可搜索密文與文件的常規(guī)密文

SSE的設(shè)計(jì)思路（1）基本對(duì)象：關(guān)鍵字和文件

169SSE的設(shè)計(jì)思路（2）逐一密文比對(duì)的檢索模式存在的問(wèn)題檢索效率和可搜索密文的總數(shù)線性相關(guān)解決思路相同關(guān)鍵字的可搜索密文構(gòu)建隱藏鏈?zhǔn)浇Y(jié)構(gòu)

存儲(chǔ)階段：

SSE的設(shè)計(jì)思路（2）逐一密文比對(duì)的檢索模式

存儲(chǔ)階段：

170SSE的設(shè)計(jì)思路（3）密文刪除思路1：“已添加代刪除”存在的問(wèn)題：僅完成邏輯刪除思路2：構(gòu)建面向文件標(biāo)識(shí)的可搜索密文存在的問(wèn)題：物理刪除降低了安全性，即刪除過(guò)程增加了信息泄露

解密

解密SSE的設(shè)計(jì)思路（3）密文刪除

解密

解171SSE的一種定義Setup算法:客戶端:輸入:輸入安全參數(shù)和數(shù)據(jù)庫(kù)輸出:私鑰（對(duì)稱密鑰）、標(biāo)簽用字典和檢索用字典服務(wù)器：存儲(chǔ)加密數(shù)據(jù)庫(kù)（即檢索用字典）AddKeyword算法:客戶端：輸入：私鑰、標(biāo)簽用字典、關(guān)鍵字、文件標(biāo)識(shí)和加密數(shù)據(jù)庫(kù)輸出：密文服務(wù)器：更新數(shù)據(jù)庫(kù)Search算法:客戶端：輸入：私鑰和關(guān)鍵字輸出：檢索陷門(mén)服務(wù)器：輸入：加密數(shù)據(jù)庫(kù)和檢索陷門(mén)輸出：文件標(biāo)識(shí)集合（含有指定關(guān)鍵字的文件標(biāo)識(shí)集合）SSE的一種定義Setup算法:172SSE的一種應(yīng)用場(chǎng)景

待添加密文K1

操作1.1操作2.1操作3.1SSE的一種應(yīng)用場(chǎng)景

待添加密文K1

操作1.1操作173SSE的一種實(shí)例SSE的一種實(shí)例174SSE的另一種定義

SSE的另一種定義

175SSE的另一種應(yīng)用場(chǎng)景

操作1.1操作2.1操作3.1SSE的另一種應(yīng)用場(chǎng)景

操作1.1操作2.1操作176SSE的另一種實(shí)例SSE的另一種實(shí)例177SSE存在的問(wèn)題可搜索密文的刪除問(wèn)題邏輯刪除，易于保證安全性物理刪除，容易破壞安全性多樣化檢索的問(wèn)題模糊檢索、范圍檢索等等安全性與效率的博弈現(xiàn)有提出的SSE無(wú)法避免信息泄露無(wú)信息泄露的SSE，也可以稱為“隱私信息抽取”，大量的采用了“不經(jīng)意”傳輸協(xié)議，性能地下SSE存在的問(wèn)題可搜索密文的刪除問(wèn)題178PEKS的提出2004年，Boneh以加密郵件系統(tǒng)的檢索問(wèn)題為出發(fā)點(diǎn)，首次提出了PEKS的概念和實(shí)例化方案初步實(shí)現(xiàn)了在不泄露郵件內(nèi)容和關(guān)鍵字的條件下，郵件服務(wù)器對(duì)加密郵件的關(guān)鍵字檢索PEKS的提出2004年，Boneh以加密郵件系統(tǒng)的檢索問(wèn)題179PEKS的定義Setup算法輸入：安全參數(shù)輸出：系統(tǒng)公鑰和系統(tǒng)私鑰Enc算法輸入：輸入公鑰，關(guān)鍵字輸出：關(guān)鍵字可搜索密文Trapdoor算法輸入：輸入私鑰，關(guān)鍵字輸出：關(guān)鍵字陷門(mén)Test算法輸入：輸入公鑰，可搜索密文和陷門(mén)輸出：搜索結(jié)果PEKS的定義Setup算法180基于PEKS的應(yīng)用場(chǎng)景2.2上傳加密數(shù)據(jù)2.1輸入接收方公鑰和關(guān)鍵字，運(yùn)行Enc算法生成關(guān)鍵字可搜索密文2.2將加密文件和可搜索密文上傳至服務(wù)器發(fā)送方1.1輸入安全參數(shù)，運(yùn)行Setup算法生成系統(tǒng)公鑰和私鑰；3.1輸入私鑰和待檢索的關(guān)鍵字，運(yùn)行Trapdoor算法生成關(guān)鍵字陷門(mén)；3.2將檢索陷門(mén)上傳至服務(wù)器3.2搜索請(qǐng)求4.2返回結(jié)果4.1輸入公鑰，一條可搜索密文和接收方檢索陷門(mén)，運(yùn)行Test算法判斷密文是否包含指定的關(guān)鍵