2017年前沿密码应用技术.ppt

内容提要 1. 什么是安全 2. 可证明安全性 3. 基于身份加密 4. 基于属性加密 5. 代理重加密 6. 函数加密 7. 可搜索加密 8. 加密云邮件系统,徐鹏 副教授 邮箱：xupeng 研究领域：公钥密码，基于身份密码，格密码，可搜索加密，云数据安全等,1. 什么是安全？,安全与信任的关系,你们考虑过密码算法为什么安全么？ 简单地说，安全就是信任；或者说，你相信“它”是安全的，就是安全的 从“水”的安全性说开去 生活中，常见的信任源有哪些？ 信任源具有动态性 密码学的信任源是什么？ 学术界与工业界对安全的构建采用的不同思想 扩展问题：信任源空间的大小是变化的,2. 可证明安全性,Goldwasser S, Micali S, Rackoff C. The knowledge complexity of interactive proof-systemsC/ DBLP, 1985:291-304.,可证明安全性的起源,起源于1982年Goldwasser和Micali等学者的开创性工作,他们提出了语义安全性定义,将可证明安全的思想首次带入安全协议的形式化分析中 Goldwasser和Micali 获2012年图灵奖,语义安全性的主要成分,如何定义攻击者 计算能力 先验知识 如何定义攻击目标 直观目标 明文语义 以上述两者为基础，如何定义安全 一种“优势”,语义安全性的一种简单抽象,攻击者,挑战者,公钥,挑战明文（M0，M1）,随机选择任意一个明文， 并生成其挑战密文C；,挑战密文C,猜测结果d=0或1,若Md是挑战者之前所选择 的明文，则攻击成功；,语义安全性：在上述攻击游戏中，若攻击者的成功优势可忽略， 则该公钥加密算法是语义安全的（具体的说是选择明文攻击下 语义安全的）,以某类公钥加密算法为例，例如ElGamal算法,ElGamal加密与数学难题,ElGamal加密的可证明安全性,核心思想 若存在某个攻击者A能以不可忽略的优势攻破ElGamal加密算法，则存在一个算法B能利用这个攻击者来求解DDH问题，,其它问题,什么是安全参数？ 从RSA 1024bits加密密钥所开去 量化安全性的重要依据 为什么随机数对加密算法的安全性至关重要？ 从信息论的角度说开去 确定算法无法增加输出的熵,小结,可证明安全性首次以科学的方式严格的定义了密码方案的安全性，让安全性可量化 可证明安全性使密码学研究、密码方案的设计从“艺术”变成了“科学” 针对不同功能和不同类型密钥的密码方案，可证明安全性所变现出的形态也各不一样 针对签名方案，有不可存在性伪造 针对安全协议，有通用可组合安全,基于身份加密（IBE）,Boneh D, Franklin M. Identity-based encryption from the Weil pairingC/ Advances in CryptologyCRYPTO 2001. Springer Berlin/Heidelberg, 2001: 213-229.,回顾公钥基础设施（PKI）的核心,基于PKI的公钥加密体制,回顾PKI的核心功能,Alice如何知道Joy，Mike，Bob和Ted的公钥 Joy，Mike，Bob和Ted自己公开并声明自身的公钥在实际应用中是不安全和不现实的 需要一个可信的第三方去证明Alice拿到的公钥一定就是Joy，Mike，Bob和Ted的 PKI提供了这个可信第三方，即CA（证书中心）,回顾PKI的核心功能,Alice向CA询问Joy，Mike，Bob和Ted的公钥 CA用自身的私钥签发Joy，Mike，Bob和Ted的公钥，即生成证书 Alice拿到证书后，利用签名验证的思想，验证证书的有效性 另外，CA也起到的撤销用户公钥的能力，即不再签发相应用户的公钥,简单说PKI的核心功能,向发送方证明接收方的公钥是“那一个”或者说将接收方与某个公钥绑定 当接收方公钥不再有效时，告知发送方接收方的公钥已被撤销,PKI存在的实际问题,实际应用中，发送方是非常多的 理论上，每次发送方加密数据之间，都要询问CA接收方的公钥是什么（即获得接收方公钥的证书），或者是询问接收方的公钥是否依然有效 CA成为了PKI的性能瓶颈,PKI存在问题的本质原因,公钥是随机生成的，因此与用户没有天然的绑定关系 例如：RSA中,公开密钥：e, n n为两个随机选择的且满足一些要求的素数p和q的乘积 e与(n)互素，即与(p-1)(q-1)互素 且有了公钥之后，再生成相应的私钥d,IBE的思想,能够有一种方法让用户及其公钥有天然的绑定关系么？ 这是基于身份体制的核心要求 怎样的公钥才有可能和用户天然的绑定呢？ 这个公钥直接或者间接的是用户的某些自然属性 同时由于公钥需要有唯一性，即每个用户的公钥必须不同，因此自然属性需要有唯一性 属性身份公钥,IBE的提出,1984，shamir提出了基于身份体制（Identity-Based Cryptography，IBC）的概念，但并没有找到实现方法 上个世纪90年代，实现了基于身份签名方案（Identity-Based Signature，IBS） 直到2000或者2001年，实现了首个基于身份加密方案（Identity-Based Encryption， IBE）,谁是第一个IBE方案,Sakai和Kasahara Boneh和Franklin 上述两个方案均基于双线性映射构建，具有较好的实用性 Cocks 基于二次剩余假设构建 在实际应用中缺乏实用性,IBE的定义,Setup算法 输入：安全参数 输出：系统公开参数和系统秘密参数 Extract算法 输入：系统秘密参数，用户的身份信息（公钥） 输出：用户私钥 Enc算法 输入：系统公开参数，接收方的身份信息（公钥），明文 输出：密文 Dec算法 输入：接收方的私钥，密文 输出：明文,基于BF-IBE的邮件系统,初始阶段 密钥生成中心（KGC）运行Setup算法（输入：安全参数），生成系统公开参数和系统秘密参数 用户加入阶段 令新加入用户的邮箱地址为ID，KGC运行Extract算法（输入：系统秘密参数，ID），生成并授予其私钥 邮件安全传输阶段 令接收方的邮箱地址是ID， 发送方运行Enc算法加密邮件（输入：系统公开参数，ID，邮件内容），生成密文C并发送给接收方 接收方用私钥解密出邮件内容,IBE的实例,双线性映射的历史 93年三个日本人发表在IEEE Transactions on Information Theory上 他们自己并没有意识到其巨大的价值，只是想找一种攻击特定椭圆曲线密码学的方法 其巨大的价值被Boneh和Franklin发现，并实现了BF-IBE方案,数学基础,双线性映射的定义,具体方案,IBE的密钥托管问题,问题 用户私钥由密钥生成中心生成，因此该中心知道所有用户私钥 若用户私钥泄露，无法通过更新公钥的方式撤销泄露的私钥 解决思路 一个用户公钥对应多个私钥（指数个） 基于零知识证明，使得密钥生成中心无法知道用户选定的私钥是哪一个 基于私钥的取证技术，使得若攻击者使用了非用户选定的私钥来解密，可以被发现,IBE的小结,以任意身份信息作为公钥 与传统公钥加密相比 IBE的公钥可以是具有唯一标识用户作用的自然信息或者自然属性 以RSA为例，RSA的公钥是随机生成的与用户具有的自然属性没有关系,基于属性加密（ABE）,Sahai A, Waters B. Fuzzy identity-based encryptionC/ Eurocrypt. 2005, 3494: 457-473.,Goyal V, Pandey O, Sahai A, et al. Attribute-based encryption for fine-grained access control of encrypted dataC/Proceedings of the 13th ACM conference on Computer and communications security. Acm, 2006: 89-98.,回顾传统的访问控制,Alice询问数据库某数据 已知的传统访问控制方法，包括：自主访问控制，强制访问控制，基于角色访问控制等等 数据库数据以明文形式存放，通过验证用户权限实现数据访问，其安全性完全依赖用户对服务器安全性的信任,传统访问控制存在的问题,若数据库服务器存在漏洞，导致攻击者获得管理员权限，则该攻击者可以绕开访问控制策略获得数据 若数据库管理员本身与攻击者合谋，同样可以导致访问控制策略失效 传统的访问控制方法无法保证云计算环境下的数据安全性 数据集中的云平台更容易成为攻击目标 云平台缺乏可信性,ABE的提出,2005年Waters等人，提出了模糊的基于身份加密 以指纹作为身份信息加密，存在每次指纹的提取不一致问题 模糊的基于身份加密实现了同一用户的不同指纹加密生成的密文，可以被该用户的同一个私钥解密,ABE的提出,本质上，2005年Waters等人，实现了不同的基于身份公钥被同一个私钥解密 借鉴模糊基于身份加密的思想，提出了第一种ABE，即key-policy ABE,ABE的提出,KP-ABE：以明文的属性做公钥，以访问控制策略生成对应的私钥 Ciphertext Policy ABE（CP-ABE）：以访问控制策略做公钥加密明文，以用户的属性生成对应的私钥,KP-ABE与CP-ABE的应用差异,KP-ABE适合于加密方与访问控制方分离的场景 数据安全采集与共享 CP-ABE适合于加密方与访问控制方一体的场景 企业数据安全存储与共享,ABE的定义,Setup算法 输入：安全参数 输出：系统公开参数和系统秘密参数 Extract算法 输入：系统秘密参数，用户的访问控制策略（KP-ABE）/属性（CP-ABE） 输出：私钥 Enc算法 输入：系统公开参数，明文的属性（KP-ABE）/访问控制策略（CP-ABE），明文 输出：密文 Dec算法 输入：私钥，密文 输出：明文,基于CP-ABE的云存储系统,CP-ABE的实例,ABE算法设计的难点,支持访问控制策略的能力 “与”门 “或”门 “非”门 系统参数的数量 密文的长度 通常，支持访问控制策略的能力越强，那么系统参数的数量越多、密文的长度越长,ABE的小结,ABE是密码学与传统访问控制的“有机”结合 在实际应用中，ABE与传统访问控制的最大的不同是，ABE不需要信任服务器，换句话说，即使服务器是恶意的或者被攻破，也不会导致数据泄漏,代理重加密（PRE）,Ivan A A, Dodis Y. Proxy Cryptography RevisitedC/ NDSS. 2003.,回顾基于CP-ABE的云存储系统,ABE适合于企业级的安全数据存储与访问 用户难以掌握和正确设置数据的访问控制策略 ABE不适合普通用户使用,PRE的提出,1998年Blaze等人，提出了一种代理协议，可以让第三方（代理方）修改已有密文的公钥，但该方案存在明显的安全性缺陷 2003年Ivan等人，正式提出了PRE,PRE的定义,Setup算法 输入：安全参数 输出：系统公开参数和系统秘密参数 Extract算法（该算法仅在基于身份类的PRE中才存在） 输入：系统秘密参数，用户的身份 输出：私钥 Enc算法 输入：系统公开参数，Alice公钥，明文 输出：初始密文 Dec-1算法 输入：Alice私钥，初始密文 输出：明文 RK算法 输入：Alice私钥，Bob公钥 输出：重加密密钥 ReEnc算法 输入：重加密密钥，初始密文 输出：重加密密文 Dec-2算法 输入：重加密密文，Bob私钥 输出：明文,基于PRE的安全云数据存储与共享,基于身份的PRE实例,PRE的其它问题,细粒度的控制问题 打破“全或无”的共享模式 多次重加密的问题 打破一个密文只能以重加密形式共享一次的问题 双向重加密的问题 打破一次重加密过程只能实现Alice-Bob或者Bob-Alice的单向共享 复杂多特性PRE方案的设计问题 使得一个PRE方案同时具有多种特性，例如细粒度共享、多次重加密、双向重加密等等,PRE的小结,相比于ABE，PRE以用户为中心，实现了用户自主可控的访问控制过程 PRE的公钥类型与传统公钥体制一致，因此从工业的角度来说，更容易应用到现有密码系统中,函数加密（FE）,回顾CP-ABE,CP-ABE以访问控制策略做公钥，以用户属性生成私钥 访问控制策略是基于属性（或权限）的布尔表达式 能不能有比布尔表达式更灵活的访问控制方式 更通用的，任意数据的访问控制方式都可以表示为某一个函数 我们能以函数作为公钥么？,FE的定义,Setup算法 输入：安全参数 输出：系统公开参数和系统秘密参数 Extract算法 输入：系统秘密参数，用户的属性 输出：私钥 Enc算法 输入：系统公开参数，某个函数F，明文 输出：密文 Dec算法 输入：私钥，密文 输出：若用户的属性使得函数F输出为“1”，则私钥可以解密出正确的明文,FE的小结,相比于ABE，FE实现更为灵活的访问控制方法，也就是说，任意可以描述为一个函数的访问控制策略都可以做为公钥 从实际应用的角度来说，FE实现了所有可能的访问控制策略,可搜索加密,Song D X, Wagner D, Perrig A. Practical techniques for searches on encrypted dataC/ Security and Privacy, 2000. S&P 2000. Proceedings. 2000 IEEE Symposium on. IEEE, 2000: 44-55.,Curtmola R, Garay J, Kamara S, et al. Searchable symmetric encryption: improved definitions and efficient constructionsC/ ACM Conference on Computer and Communications Security. ACM, 2006:79-88.,Kamara S, Papamanthou C, Roeder T. Dynamic searchable symmetric encryptionC/ Proceedings of the 2012 ACM conference on Computer and communications security. ACM, 2012: 965-976.,Xu P, Liang S, Wang W, et al. Dynamic Searchable Symmetric Encryption with Physical Deletion and Small LeakageC/ Australasian Conference on Information Security and Privacy. Springer, Cham, 2017: 207-226.,Xu P, Wu Q, Wang W, et al. Generating searchable public-key ciphertexts with hidden structures for fast keyword searchJ. IEEE Transactions on Information Forensics and Security, 2015, 10(9): 1993-2006.,回顾ABE和PRE存在的问题,ABE和PRE都是加密数据的外包存储 用户如何访问和取回包含有特定关键字的密文？,通过ABE/PRE加密上传文件,用户下载文件的密文,用户必须提前知道自己需要下载或共享的密文文件 实际情况中，用户不能提前知道对应的文件 解决办法：用户必须下载或者共享全部密文文件，解密之后再检索出目标文件,密文的外包检索,发送方,接收方,云服务器,1.发送加密数据给接收方,3.云服务器根据用户要求对密文进行检索操作,安全要求：云服务器（内部攻击者）在检索过程中无法知道用户提交的检索请求中包含的关键字内容,加密文件,安全索引,2.提交检索,4.返回结果,SSE的提出,2000年，Song等提出了第一个基于对称加密的密文检索（SSE）方案 其核心是以对称加密形式加密文件，并提供加密内容的检索 2003年-2012年，SSE的研究主要集中于关键字检索，包括：安全性的提升、检索多样化、多用户支持等等 2012年以后，动态的SSE研究受到了广泛关注 2012年Kamara等首次提出了支持数据动态更新的可搜索对称加密（DSSE）方案，并且形式化定义了DSSE的安全性 DSSE不仅支持密文检索，还支持可搜索密文的动态更新操作，如密文添加、密文删除、关键字添加删除,SSE的通用应用场景,INDEX,keyword,SSE的设计思路（1）,基本对象：关键字和文件 存在的问题 安全性降低，达不到关键字的语义安全性，因为同一文件的不同关键字的可搜索密文可区分 解决思路 引入文件标识，从物理上拆开可搜索密文与文件的常规密文,存储阶段：Enc(W,id)和 id| Enc F 查询阶段: Server,对比所有的可搜索密文，例如Enc(W,id)： 若满足，则解密出id，返回 Enc F ; 否则对比下一条密文;,SSE的设计思路（2）,逐一密文比对的检索模式 存在的问题 检索效率和可搜索密文的总数线性相关 解决思路 相同关键字的可搜索密文构建隐藏链式结构,假设：Enc( 1 , 1 ) Enc( 1 , 2 ) Enc( 1 , 3 ) Enc( 2 , 1 ) Enc( 3 , 1 ),存储阶段：, 2 ,1 |Enc( 2 , 1 , 2 ,2 ), 3 ,1 |Enc( 3 , 1 , 3 ,2 ),SSE的设计思路（3）,密文删除 思路1：“已添加代删除” 存在的问题：仅完成逻辑删除 思路2：构建面向文件标识的可搜索密文 存在的问题：物理删除降低了安全性，即删除过程增加了信息泄露,如何删除( 1 , 1 )对应的密文 存储阶段： 删除阶段：当 1 被检索时. 从搜索链中找到所有满足条件的密文，得到 id 1 , id 2 , id 3 ； 从删除链中找到所有满足条件的密文，得到 id 1 ； 返回 id 2 , id 3 对的密文., w 1 ,1 |( 1 , 1 , w 1 ,2 ) Server,存储阶段： 删除阶段：删除 1 的所有可搜索密文 生成删除陷门 根据 id 1 ,1 找到 删除 根据 id 1 ,2 找到, id 1 =( 1 ,1 , 1 ), w 1 ,1 |( 1 , 1 , 1 ,2 ) ?,SSE的一种定义,Setup算法: 客户端: 输入:输入安全参数和数据库 输出:私钥（对称密钥）、标签用字典和检索用字典 服务器：存储加密数据库（即检索用字典） AddKeyword算法 : 客户端： 输入：私钥、标签用字典、关键字、文件标识和加密数据库 输出：密文 服务器：更新数据库 Search算法: 客户端： 输入：私钥和关键字 输出：检索陷门 服务器： 输入：加密数据库和检索陷门 输出：文件标识集合（含有指定关键字的文件标识集合）,SSE的一种应用场景,1.1Setup算法生成私钥（对称密钥）、标签用字典 和检索用字典 , = ,1.2Setup算法存储加密数据库EDB= ,2.1 AddKeyword算法生成待添加关键字的可搜索密文K1 3.1 Search算法根通过私钥生成检索陷门 并发送到服务器,待添加密文K1,2.2AddKeyowrd算法更新数据库，添加新的密文 3.2Search算法输出指定关键字的文件标识集合,检索陷门 ,操作1.1,操作2.1,操作3.1,SSE的一种实例,SSE的另一种定义,Setup算法: 客户端: 输入:输入安全参数和数据库 输出:加密数据库、私钥（对称密钥）、标签用字典和检索用字典 服务器：存储加密数据库（即检索用字典） DeleteFile算法 : 客户端： 输入：私钥和文件标识id 输出：删除陷门 服务器： 输入：加密数据库和删除陷门 输出：删除对应文件 Search算法: 客户端： 输入：私钥和关键字w 输出：检索陷门 服务器： 输入：加密数据库和检索陷门 输出：文件标识集合（含有指定关键字的文件标识集合）,SSE的另一种应用场景,1.1Setup算法生成、私钥（对称密钥）检索用字典 和 ,1.2Setup算法存储加密数据库EDB=( , ),2.1 DeleteFile算法 根据私钥和文件标识id生成删除陷门 3.1Search算法根通过私钥生成检索陷门 并发送到服务器,删除陷门 ,2.2 DeleteFile算法根据加密数据库和删除陷门删除对应文件 3.2Search算法输出指定关键字的文件标识集合,检索陷门 ,操作1.1,操作2.1,操作3.1,SSE的另一种实例,SSE存在的问题,可搜索密文的删除问题 逻辑删除，易于保证安全性 物理删除，容易破坏安全性 多样化检索的问题 模糊检索、范围检索等等 安全性与效率的博弈 现有提出的SSE无法避免信息泄露 无信息泄露的SSE，也可以称为“隐私信息抽取”，大量的采用了“不经意”传输协议，性能地下,PEKS的提出,2004年，Boneh以加密邮件系统的检索问题为出发点，首次提出了PEKS的概念和实例化方案 初步实现了在不泄露邮件内容和关键字的条件下，邮件服务器对加密邮件的关键字检索,PEKS的定义,Setup算法 输入：安全参数 输出：系统公钥和系统私钥 Enc算法 输入：输入公钥，关键字 输出：关键字可搜索密文 Trapdoor算法 输入：输入私钥，关键字 输出：关键字陷门 Test算法 输入：输入公钥，可搜索密文和陷门 输出：搜索结果,基于PEKS的应用场景,2.2上传加密数据,2.1输入接收方公钥和关键字，运行Enc算法生成关键字可搜索密文 2.2将加密文件和可搜索密文上传至服务器,发送方,1.1输入安全参数，运行Setup算法生成系统公钥和私钥； 3.1输入私钥和待检索的关键字，运行Trapdoor算法生成关键字陷门； 3.2将检索陷门上传至服务器,3.2搜索请求,4.2返回结果,4.1输入公钥，一条可搜索密文和接收方检索陷门，运行Test算法判断密文是否包含指定的关键字；,接收方,云服务器,PEKS实例,PEKS存在的问题,检索效率问题 检索效率与可搜索密文的总数线性相关 如何加快检索速度,O(N),N表示密文数量,回顾明文关键字的检索方式,相同关键字直接合并 为不同关键字构建二叉树 O(n)，n为关键字个数 O( log ),n为关键字个数 检索效率是不同关键字数量的对数,以明文关键字检索方式考虑如何加快密文关键字的检索,相同关键字的密文能否合并 常规加密属于随机化加密，使得相同关键字的密文相互独立（或者截然不同），因此不能合并 可以采用确定化的加密，使得相同的关键字具有相同的密文，因此可以合并，但降低了安全性（2008年，Bellare的核心思路） 不同关键字的密文能否建立二叉树 只有确定化的加密，才能建立二叉树,如何在不降低安全性的条件下，加快PEKS的检索速度,2008年，Camenisch等描述了一种方法，使具有相同关键字的密文形成一条隐式链; 如果服务器正确查找到第一条匹配的密文，他们的方法将会提高检索的效率; 该方案不能快速查找到第一条匹配的密文,检索效率和整个密文相关;,SPCHS的提出,2015年徐鹏等人首次提出了结构化公钥可搜索加密（SPCHS）概念； 首次实现了检索复杂度只取决于包含查询关键字的可搜索密文的数量，而不是所有密文的数量，大幅提高了PEKS的效率； 核心思路：同一个关键字的所有可搜索密文具有隐藏的链式结构，链头与公共头部构成了一个隐藏的星型结构；,可搜索关键字密文的星型结构,SPCHS的定义,SystemSetup算法 输入：安全参数 输出：系统公钥和系统私钥 StructureInitialization算法 输入：系统公钥 输出：隐藏结构的私有部分和公有部分 StructuredEncryption算法 输入：系统公钥、关键字、和隐藏结构的私有部分 输出：可搜索密文 Trapdoor算法 输入：系统私钥、关键字 输出：关键字检索陷门 StructuredSearch算法 输入：系统公钥、隐藏结构的公有部分、密文集合和关键字检索陷门 输出：关键字对应的密文,基于SPCHS的应用场景,上传加密数据,2.0若发送方还未初始化隐藏结构（或者第一次生成可搜索密文时），输入系统公钥，运行StructureInitialization算法，生成隐藏结构的私有部分和公有部分，上传公有部分； 2.1输入接收方公钥、关键字和隐藏结构的私有部分，运行StructuredEncryption算法，生成可搜索密文； 2.2将加密文件和可搜索密文上传至服务器,发送方,1.1输入安全参数，运行SystemSetup算法，生成系统公钥和系统私钥； 3.1输入私钥和待检索的关键字，运行Trapdoor算法生成关键字检索陷门； 3.2将检索陷门上传至服务器,搜索请求,返回结果,接收方,云服务器,4.1输入公钥、某发送方隐藏结构的公有部分、可搜索密文和检索陷门，运行StructuredSearch算法，找到该发送方生成的所有满足条件的密文； 4.2针对所有发送方，执行步骤4.1； 4.3返回检索出的加密文件；,SPCHS实例,SPCHS存在的问题,本地私有状态问题 为了隐藏结构的生成，用户需要存储和更新私有信息 仅支持关键字的精确查找 快速的模糊搜索、范围搜索、子集检索等等 学术界提出的可搜索加密难以适用于数据库 两者索引的建立模式截然不同,小结,可搜索加密是加密数据外包存储的重要支撑技术 可搜索加密研究的博弈焦点： 性能 安全性 检索多样性 可搜索加密应用的博弈焦点： 基于数据语义的数据库索引建立模式与可搜索加密的隐藏结构索引模式不兼容,加密云邮件系统 TC AsiACCS,Peng Xu, Hai Jin, Qianhong Wu, Wei Wang, Public-Key Encryption with Fuzzy Keyword Search: A Provably Secure Schemeunder Keyword Guessing Attack, IEEE Transactions on Computers, 62(11), pp. 2266-2277, 2013.,Peng Xu, Jun Xu, Wei Wang, Hai Jin, Willy Susilo, Deqing Zou, Generally Hybrid Proxy Re-Encryption: A Secure Data Sharing among Cryptographic Clouds, ASIACCS 2016, 913-918.,云邮件系统的商业价值,云邮件系统：通过租用云平台，减少自构建邮件系统的成本,云邮件系统的商业价值,一个快速发展的领域,From Radicati,云邮件系统的商业价值,低廉的成本,邮件系统面临的威胁,邮件系统的保密性一直以来都是热点问题 邮件服务器端的泄漏事故屡见不鲜 2013年2月，因为一些被公之于众的内部邮件，沃尔玛股价周五一度下跌逾3% 2012年02月，叙利亚总统办公室的电子邮箱系统遭到黑客组织攻击，导致数百封邮件外泄 2009年丹麦哥本哈根气候变化会议前，英国东英吉利大学气候变化研究人员的邮件泄漏引发人们对相关气候变化报告的质疑，该事件对大会造成了非常不利的影响 在联合国将在南非德班举行新一轮气候会议之际，黑客在网上公布了盗取的数据，其中包括了十多年来，英美气候变化专家之间的近1000封私人电子邮件和约3000份文件 云平台更易成为攻击目标，且租用统一云平台的邮件系统被破坏可能导致众多企业同时遭受损失,邮件安全的核心技术,加密邮件超过55%,业界动态,2014年8月8日雅虎表示，将与谷歌合作开发安全电子邮件系统，将使黑客无法继续窃取用户的信息。这一新系统将基于PGP加密技术。用户的密钥被保存在自己的笔记本、平板电脑和智能手机中 2013年，北京中兴通科技股份有限公司申报的项目基于标识密码技术的云安全邮件服务平台，成功获得信息安全专项资金支持。此项目也将被列入2012年国家高技术产业发展项目计划,Top 10企业的产品分析,基于SSL协议 Voltage, DataMotion, Proofpoint, EdgeWave, Symantec, Sophos, LuxSci, Privato 基于PGP协议 Voltage, DataMotion, Cryptzone, Symantec, Sophos, Privato 基于IBE协议 Voltage, DataMotion, Proofpoint, Trendmicro,SSL协议存在的问题,无法防范恶意邮件服务器,事故案例 2011年3月，Gmail邮件泄露 2013年8月，Gmail承认扫描用户邮件内容，且不尊重用户隐私 为了实现内容推送服务，相当一部分邮件服务提供商在扫描用户邮件,恶意或被攻击邮件服务器将泄露用户邮件内容,PGP和IBE协议存在的问题,用户使用不友好,加密云邮件的群发和群转发,问题来源 SSL的群发和群转发均由云平台以明文方式处理 PGP和IBE不支持加密邮件的群发，更严重的是不支持群转发,加密云邮件的群发和群转发,核心思路 设计多功能的代理重加密，即细粒度的、基于身份的和广播的代理重加密算法 已有成果 论文：Conditional Identity-Based Broadcast Proxy Re-Encryption and Its Application to Cloud Email. IEEE Transactions on Computers (Accepted) 专利：一种提高外包加密数据共享功能的代理重加密方法（已获专利申请号）,CIBPRE的提出,常规PRE方案 代理方重加密次数与接收者人数成正比，消耗较多的网络资源 发送者不能对云端的重加密对象做细粒度控制，换句话说，无法控制云端对密文的重加密范围 2015年，徐鹏等人提出带条件的基于身份广播代理重加密方案CIBPRE 实现用户细粒度控制远程密文数据的代理重加密过程，加强用户对自己密文数据的控制能力 实现群加密，为一组接收者生成一条初始密文或重加密密文，减少系统通信开销 实现身份信息做公钥，避免PKI的使用,CIBPRE的定义,Setup PRE 算法: 输入：安全参数 输出：主公开参数和主秘密参数 Extract PRE 算法: 输入：主秘密参数和用户的身份 输出：私钥 Enc PRE 算法: 输入：主公开参数，接收者集合，明文及其共享条件 输出：初始密文 Dec1 PRE 算法: 输入：主公开参数，用户的身份和私钥，初始密文和接收者集合 S输出：明文 RK PRE 算法: 输入：主公开参数，用户的身份，私钥，新接收者集合和一个转发条件 输出：重加密密钥 ReEnc PRE 算法: 输入：主公开参数，重加密密钥，初始密文和原始接收者集合 输出：重加密密文 Dec2 PRE 算法: 输入：主公开参数，用户的身份，私钥，重加密密文和新接收者集合 输出：明文,基于CIBPRE的邮件系统,基于CIBPRE的云邮件系统包括：可信的密钥生成中心（KGC）、云服务提供商、用户 基于CIBPRE云邮件系统的具体工作流程如下： 初始化阶段：KGC初始化CIBPRE方案生成系统参数 密钥管理阶段：当一个新用户加入到系统中，KGC为其生成一个私钥 发送加密邮件：发送者可以发送一封加密邮件给多个接收者，并且此加密邮件会在云端保存 转发历史加密邮件：发送者为新的多个接收者生成指定邮件的重加密密钥；根据该密钥，云端重加密指定的历史邮件密文，并发送给新的接收者,基于CIBPRE的邮件系统,发送邮件,转发邮件,CIBPRE的实例,CIBPRE的实例,异构加密邮件系统之间的安全性通信问题,问题来源 实际应用中，不同的公司会选择不同参数、或者不同体质的密码算法来保障各自系统的安全性 邮件系统是一种跨服务器、跨域的通信系统,PRE间如何安全通信,2003年以来，各种PRE算法不断提出 不同密钥类型，例如传统公钥类、基于身份类 不同的附加功能，例如广播加密、细粒度控制、双向加密等等 不同的数学参数，例如基于大素数群的、基于椭圆曲线群的等等 不同PRE之间如何实现安全的通信（数据共享） 思路一：针对两两不同的PRE分别提出解决方法 思路二：提出通用的方法，使得任意两个PRE方案之间都可以通信,通用混合代理重加密(GHPRE),单个PRE内部数据共享过程,-Based Cloud,1.密文 lice 的加/解密过程,2.生成重加密密钥 , liceob,4.发送重加密密文 ,5.解密重加密密文 ,Alice,Bob, lice 0 , lice 0, ob 0 , ob 0,3.重加密生成密文 , lice 0 , lice 0, arl 0 , 0, ， arl 0 ， 1 ， 1, 1, lice arl, arl , arl , , ,2. ， arl 0,-Based Cloud,-Based Cloud,1.请求方案中的临时公私钥、方案的公开参数和Carl的公钥； 3.生成重加密密钥 lice arl =( , 1 , ( , arl, 0 , 1 );,通用混合代理重加密(GHPRE),PRE之间的数据共享过程,5.通过 0 解密密文 ( , arl, 0 , 1 )得到 1 ； 6.通过 1 解密密文 1 ，得到明文；,4.重加密密文 arl =( 1 , ( , arl, 0 , 1 );,加密邮件系统的其它问题,加密邮件的安全云检索 加密垃圾邮件的云过滤,总结-安全性,绝对安全 不依赖信任源 相对安全 依赖信任源 信任源具有动态性 可证明安全是现代密码学的核心 面向密码算法的特点，定义攻击者、攻击目标和安全指标 基于数学难题，利用反证法证明密码算法的安全性,总结-安全通信,对称加密是完成安全通信的基础 公钥加密是完成对称密钥分发的基础 传统公钥密码体制需要PKI的支持 基于身份加密是新一代的公钥密码体制，避免了PKI的使用 以用户身份信息做公钥，实现了用户与其公钥的天然绑定,总结-安全控制,安全的外包数据提取、流转和共享的控制过程 基于属性加密 CP-ABE以访问控制策略为公钥，用户属性生成私钥 KP-ABE以数据属性为公钥，用户的访问控制策略生成私钥 代理重加密 公钥与传统的或基于身份的相同 允许不可信第三方，在授权条件下，将密文的已有公钥转换成另一个公钥,总结-安全计算,同态加密 密文计算的安全外包,结课报告,分析一篇与本课程内容相关的期刊/会议论文（建议英文论文），并按如下条目撰写报告（3000-4000字） 研究意义 从应用和理论需求两个方面，说明为什么做 研究内容 为达目的，需要研究什么，以及各研究内容之间的关系（用图和文字说明） 研究方法 在研究上述各内容的过程中，所采用的方法 研究成果 提出的方案 存在的问题 是否存在安全性问题，及其原因 是否缺乏实用性，及其原因 总结 封面格式：页眉注明“前沿密码应用技术课程报告”，原文出处，报告题目，学生姓名，学号，班级,CFB加密示意图,Ci =Pi(EK(Si)的高j位) ，Si=(Si-1j)|Ci-1，S1(IVj)|IV的高j位,OFB加密示意图,Ci =Pi(EK(Si)的高j位)，Si+1=(Sij)|(EK(Si)的高j位)， S1(IVj)|IV的高j位,