曹珍富

(華東師范大學(xué)計算機科學(xué)與軟件工程學(xué)院 上海 200062)

《計算機研究與發(fā)展》作為我國最早的計算機刊物，創(chuàng)刊已經(jīng)整整60周年了.而信息安全作為一個學(xué)科領(lǐng)域的公開研究卻是從1976年Diffie-Hellman提出公鑰密碼開始的.本人于1980年開始從事公鑰密碼研究，當(dāng)時就給出了幾類RSA改進方案和數(shù)字簽名方案，所以有幸成為公鑰密碼學(xué)研究的最早的見證者之一，出版了國內(nèi)第一部《公鑰密碼學(xué)》專著[1]和國際上第一部涉及多方的密碼學(xué)專著《現(xiàn)代密碼學(xué)的新方向》[2].

按照解決安全問題的手段，信息安全大致可分為兩大類：1)基于保密手段的系統(tǒng)安全；2)公開手段的密碼安全.系統(tǒng)安全通常是不用密碼技術(shù)的，而密碼安全是使用密碼技術(shù)的.因為密碼技術(shù)是可證明安全的，所以后者又被稱為可證明安全的安全技術(shù).如今，隨著移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、區(qū)塊鏈與人工智能等新型網(wǎng)絡(luò)形態(tài)及網(wǎng)絡(luò)服務(wù)的興起，人們開始在系統(tǒng)安全領(lǐng)域不斷引入密碼技術(shù)并提出新的密碼問題，使得密碼安全不斷地滲透到系統(tǒng)的方方面面.這種滲透可能是信息安全發(fā)展過程中的最大趨勢了.而滲透的結(jié)果加上新的服務(wù)運營模式，使得現(xiàn)代密碼學(xué)呈現(xiàn)新的特點[3-4]：

1)“端端”單方模式改變?yōu)槎喾侥Ｊ健伞耙粚σ弧钡膯畏酵ㄐ拍Ｊ礁淖優(yōu)椤耙粚Χ唷?、“多對一”、“多對多”的多方通信模?將產(chǎn)生非常多的涉及多方的密碼學(xué)理論問題)；

2)“位置”本地模式改變?yōu)楫惖啬Ｊ健嬎愫吞幚砟Ｊ接杀镜匚恢孟虍惖匚恢棉D(zhuǎn)變(本地可控向異地不可控、不可泄露轉(zhuǎn)變)；

3)“安全模型”由信道安全改變?yōu)椤靶诺腊踩?”模型——即除了信道安全，還需具有其他安全性要求.

在這里，我將從應(yīng)用驅(qū)動出發(fā)，較為詳細地介紹在密文訪問控制、安全外包計算、安全搜索、電子貨幣與區(qū)塊鏈安全、人工智能與機器學(xué)習(xí)中的安全與隱私保護等方面的最新理論研究進展與未來發(fā)展方向.此外，還將介紹這些成果的一些應(yīng)用，包括加密數(shù)據(jù)共享移動設(shè)備研制與基于生物信息的身份鑒別類應(yīng)用等.

1 密文訪問控制

密文訪問控制(ciphertext access control)也稱密態(tài)訪問控制，是指對密文數(shù)據(jù)實現(xiàn)的訪問控制.屬性基加密(attribute-based encryption, ABE)通過對用戶私鑰設(shè)置屬性集(或訪問結(jié)構(gòu))，為數(shù)據(jù)密文設(shè)置訪問結(jié)構(gòu)(或?qū)傩约?，由屬性集和訪問結(jié)構(gòu)之間的匹配關(guān)系確定其解密能力.特別是密文策略的屬性基加密(ciphertext-policy attribute-based encryption, CP-ABE)是解決密文存儲后訪問控制問題的重要出發(fā)點.自Shannon在1948年提出經(jīng)典信道通信模型以來，歷經(jīng)幾十年的發(fā)展歷程，直到Diffie-Hellman密鑰交換的出現(xiàn)，以至當(dāng)前如火如荼地建立在選擇明文安全或適應(yīng)性選擇密文安全模型基礎(chǔ)上的屬性基加密，國內(nèi)外學(xué)者一直沿襲著信道安全模型的腳步開展了一系列重要研究并取得了里程碑式的結(jié)果[5].然而，為了達到“雙贏”乃至“多贏”的目的，敵手可以向非授權(quán)用戶惡意泄露其私鑰或公開售賣聲稱具有特定解密能力的解密黑盒，以獲得非法收益.由于在CP-ABE中，所有能使得密文中的訪問控制結(jié)構(gòu)為真的用戶都擁有合法私鑰可以成功解密密文，為了有效抵抗密鑰共享攻擊，必須從應(yīng)用需求出發(fā)考慮可追蹤的安全模型，對密鑰泄露源進行有效追蹤.其次，還需要設(shè)計有效的撤銷機制，將非授權(quán)用戶非法獲得的訪問控制權(quán)限進行撤銷，從而將私鑰泄露的損害降到最低.在傳統(tǒng)信道安全模型的基礎(chǔ)上，融合可追蹤、可撤銷的安全模型，從而邁入“信道安全+”的時代，成為了當(dāng)今信息安全發(fā)展的一大趨勢.

為了適應(yīng)大數(shù)據(jù)背景下計算、通信能力受限的移動用戶的性能需求，尋求更短密文、短密鑰、短公開參數(shù)的，且具備豐富表達能力的，基于簡單標(biāo)準(zhǔn)難題假設(shè)的可追蹤、可撤銷、多機構(gòu)屬性基加密方案是一個值得進一步研究的方向[6-11].近年來，在可追蹤方面，我和劉振、Wong D S[6]提出了第一個同時支持高表達力和抗全合謀黑盒可追蹤性的密文策略屬性基加密系統(tǒng)，后來我們[7]還提出了一個同時支持白盒可追蹤和大屬性空間的密文策略屬性基加密方案.在可撤銷方面，我和梁曉輝、林煌等人[8]提出了多用單向的屬性基代理重加密方案，基于授權(quán)有效地實現(xiàn)了由一個訪問控制結(jié)構(gòu)到另一任意訪問控制結(jié)構(gòu)的完全密鑰撤銷.之后，董曉蕾等人[9]提出了(無需授權(quán)的)可撤銷屬性基加密方案，引起Sahai等人的極大興趣，后者在2012年的國際密碼技術(shù)年會上提出了另一個適合動態(tài)的可撤銷屬性基加密方案[10].后來，我和周俊、董曉蕾等人[11]還提出了第一個同時具有白盒可追蹤、可撤銷與多機構(gòu)的密文策略屬性基加密方案，適用范圍大大擴大了.

2 輕量級安全外包計算

安全外包計算(secure outsourced computation)是指計算資源受限的用戶將計算開銷較大的函數(shù)運算外包給云服務(wù)提供商在密文域上實現(xiàn).而云服務(wù)提供商可能是半可信的甚至是惡意的(比如被收買)：半可信是指服務(wù)提供商嚴(yán)格執(zhí)行協(xié)議的規(guī)定，但通過與用戶的交互最大程度地提取有關(guān)用戶隱私的秘密信息；惡意是指服務(wù)提供商可以任意破壞協(xié)議的執(zhí)行來獲得用戶隱私的秘密信息.安全外包計算正是因解決這方面問題而提出的前沿課題，它能夠?qū)崿F(xiàn)在外包計算過程中的輸入隱私、輸出隱私和函數(shù)隱私.

然而國內(nèi)外有關(guān)可驗證外包計算的研究工作多基于公鑰全同態(tài)加密技術(shù)實現(xiàn)，需要將計算開銷本來就較大的公鑰全同態(tài)加密作用在每一個輸入數(shù)據(jù)上來實現(xiàn)隱私保護，其巨大的計算開銷無法滿足面向大數(shù)據(jù)系統(tǒng)的性能需求.更重要的是，直接將公鑰全同態(tài)加密應(yīng)用于數(shù)據(jù)本身，違背了混合加密體制中用公鑰加密算法來加密較短的對稱密鑰，用對稱密鑰來加密大數(shù)據(jù)這一基本原則[3].國內(nèi)外大量研究嘗試通過減少公鑰全同態(tài)加密本身的計算開銷來構(gòu)造輕量化的密文計算方案，然而其結(jié)果仍無法滿足大數(shù)據(jù)背景下的客觀需求.因此，如何在不得不使用公鑰加密實現(xiàn)隱私保護的前提下，通過減少公鑰加密的使用次數(shù)(最低只使用一次，與輸入數(shù)據(jù)的大小無關(guān))來實現(xiàn)不依賴公鑰全同態(tài)加密的、高效的隱私保護外包計算新理論、新方法，是一個全新的研究方向.此外，如何在惡意環(huán)境下，設(shè)計高效的安全外包計算結(jié)果正確性驗證機制，也是國內(nèi)外研究的熱點之一[12-13].近年來，我和周俊、董曉蕾等人[12]提出了不依賴公鑰加法同態(tài)加密的數(shù)據(jù)包傳輸證據(jù)生成算法，解決了基于云的車載容遲網(wǎng)絡(luò)中抵抗合謀夾層攻擊這一挑戰(zhàn)性問題.同時，我們[13]不依賴公鑰全同態(tài)加密，提出了一個基于SIFT特征描述子的輕量級隱私保護外包圖像特征提取與匹配協(xié)議.

3 安全搜索

安全搜索(secure search)通常指對加密數(shù)據(jù)的有效搜索.為了解決當(dāng)數(shù)據(jù)加密存儲在云端時，服務(wù)器不完全可信的前提下如何利用服務(wù)器來完成安全的關(guān)鍵詞的搜索問題，學(xué)者們提出了可搜索加密(searchable encryption).作為安全搜索的核心技術(shù)，可搜索加密具有廣闊的應(yīng)用前景，對云計算及大數(shù)據(jù)環(huán)境下構(gòu)造安全、高效的安全搜索方案具有很強的理論及現(xiàn)實意義.然而，近年來隨著無線通信與移動計算的迅猛發(fā)展，無線體域網(wǎng)、智能電網(wǎng)、車載網(wǎng)等一系列新興網(wǎng)絡(luò)應(yīng)用均具有存儲和計算資源受限的特點.因此，真正實現(xiàn)安全搜索僅依賴可搜索加密技術(shù)是不夠的.我們可將安全搜索定義為：“可搜索加密+X”，其中X可根據(jù)不同的安全搜索需求定義不同的研究對象[14].同時，為使得安全搜索在新興網(wǎng)絡(luò)應(yīng)用服務(wù)中達到高效實例化，還需要研究可搜索加密輕量化、批量化處理技術(shù)，其基本要求是：在不損失安全性的前提下使之適合各類資源受限的網(wǎng)絡(luò)應(yīng)用.

可搜索加密主要包含對稱可搜索加密(symme-tric searchable encryption)和非對稱可搜索加密(asymmetric searchable encryption)兩種類型，二者分別在功能和性能方面有不同的側(cè)重點，分別用來解決云計算不同場景下的業(yè)務(wù)需求問題.根據(jù)文件擁有者和查詢用戶數(shù)目的多少，可搜索加密可以分為一對一、一對多、多對一和多對多4種模式.可參看文獻[14].

可搜索加密未來主要研究方向體現(xiàn)在3方面：

1) 靈活的密文搜索語句不僅能夠讓用戶可以更加精確地定位到所需要的加密數(shù)據(jù)文件，同時也可以讓用戶能夠更加靈活地表述搜索需求，所以，研究模糊搜索、有序搜索、區(qū)間搜索以及子集搜索等復(fù)雜性密文可搜索能力是可搜索加密研究中的一個重要課題.

2) 針對不同需求，結(jié)合可搜索方案的不同表達能力，定義不同可搜索加密方案的安全級別.并在此基礎(chǔ)上，尋求簡單高效的難題假設(shè)，證明可搜索加密方案的安全性.

3) 研究可搜索加密方案的搜索憑證、搜索關(guān)鍵字與密鑰、密文間的關(guān)系，探索用越短的密鑰、密文來實現(xiàn)表達能力越豐富的可搜索加密方案.進一步地，結(jié)合不同的需求和安全級別，探索高效安全的可搜索加密[15-16].

近年來，我和王海江、董曉蕾等人[15]提出了一個高效的屬性基可搜索加密方案，同時，我們[16]還提出了一個輕量級隱私保護外包模式匹配協(xié)議，在保護文本隱私、查詢隱私與匹配結(jié)果隱私的前提下，大幅度減少了用戶端的計算與通信開銷.

4 電子貨幣與區(qū)塊鏈安全

電子貨幣(electronic currency)是將現(xiàn)金或存款以電子的方式進行兌換和存儲，并能夠像傳統(tǒng)貨幣一樣進行支付的貨幣形式.密碼學(xué)家Chaum在20世紀(jì)80 年代以盲簽名為基礎(chǔ)提出了電子貨幣這一概念，并研發(fā)了E-Cash電子貨幣系統(tǒng)[17].2009 年，以區(qū)塊鏈和密碼技術(shù)為基礎(chǔ)的比特幣的出現(xiàn)在世界范圍內(nèi)刮起了一股去中心化電子貨幣熱潮，各國政府、銀行及金融機構(gòu)開始采取措施積極推動電子貨幣的發(fā)展.目前全球有超過90家央行參與區(qū)塊鏈研究，并致力于構(gòu)建電子貨幣系統(tǒng).

電子貨幣算法的研究引起國際學(xué)術(shù)前沿的密切關(guān)注，研究人員通過構(gòu)造密碼算法以解決電子貨幣系統(tǒng)的一些基本安全問題.如：利用延展零知識證明，可提出具有更強安全性的延展簽名方案[18].而基于延展簽名方案，可提出支持離線可轉(zhuǎn)移、雙花檢測的匿名電子貨幣方案[19]，允許用戶在不知道銀行的簽名私鑰的條件下對簽名的消息進行追加式變換而得到新的有效的銀行簽名，從而達到離線可轉(zhuǎn)移特性.利用公開的全局樹結(jié)構(gòu)構(gòu)建電子貨幣，提出了既高效又具有標(biāo)準(zhǔn)模型下可證明安全的可分電子貨幣系統(tǒng)[20].利用零知識證明等技術(shù)，提出了Zerocoin方案[21]，可實現(xiàn)強匿名性.此外，還提出了Bitcoin-NG協(xié)議[22]，相比于比特幣具備更高的吞吐量、更低的延遲.

隨著對電子貨幣研究工作的進一步推進，將密碼技術(shù)與區(qū)塊鏈技術(shù)兩者有機的結(jié)合，并構(gòu)建安全、高效、可擴展、可監(jiān)管、具有交易隱私性的電子貨幣系統(tǒng)，已成為該領(lǐng)域的研究熱點之一.英國央行率先推出了RSCoin電子貨幣系統(tǒng)[23]，與傳統(tǒng)貨幣一樣由中央銀行控制和發(fā)行，但同時也具備了區(qū)塊鏈的技術(shù)優(yōu)勢.目前的電子貨幣的流通依然面臨著嚴(yán)峻的安全挑戰(zhàn).2014年，當(dāng)時世界最大的比特幣交易所Mt.Gox被盜85萬個比特幣，價值3.5億美元[24]；2016年，黑客利用the DAO智能合約中split函數(shù)的漏洞，盜取the DAO智能合約中的以太幣，導(dǎo)致價值6千萬美元的以太幣損失[25].

針對以上電子貨幣與區(qū)塊鏈系統(tǒng)中的安全與隱私保護問題，該方向的未來主要研究方向集中在5個方面：

1) 研究電子貨幣的基礎(chǔ)構(gòu)造理論，以及算法和協(xié)議的可證明安全模型；

2) 研究“幾乎”無中心的電子貨幣新算法，包括電子貨幣共識機制、電子貨幣高效和匿名流通支付模型等；

3) 研究多中心的電子貨幣新算法，包括電子貨幣安全的分級發(fā)行方法、電子貨幣流通的授權(quán)可追蹤方法與認證方法等；

4 )研究電子貨幣安全賬本模型，包括可防偽可驗證的加密賬本原理等；

5) 研究電子貨幣安全分析模型，包括電子貨幣算法攻擊分析和防護方法、安全能力測試和評估機制、業(yè)務(wù)風(fēng)險分析及安全監(jiān)管機制等.

當(dāng)然，還需要對區(qū)塊鏈本身進行研究.由于區(qū)塊鏈中的各個密碼算法是具有生命周期的，所以完全去中心化的區(qū)塊鏈實質(zhì)上是不存在的.區(qū)塊鏈的安全性主要來自于密碼算法，但密碼算法安全參數(shù)當(dāng)前是安全的，并不代表它未來也是安全的，而且密碼算法本身在未來也可能被攻破，因此密碼算法需要周期性更新或調(diào)換.作為去中心化的區(qū)塊鏈，這項工作誰來完成？所以基于輕量CA的區(qū)塊鏈應(yīng)成為設(shè)計者的主要出發(fā)點.此外，與傳統(tǒng)的區(qū)塊鏈去中心化概念相對的，我們還可以將區(qū)塊鏈看作一個分布式的可信中心，用于各類密碼算法或協(xié)議的應(yīng)用當(dāng)中.這方面雖然我們已經(jīng)做了一些嘗試，但仍然展示廣闊的未知領(lǐng)域，等待人們進一步去探索[26].

5 人工智能與機器學(xué)習(xí)中的安全與隱私保護

機器學(xué)習(xí)(machine learning)是一門多領(lǐng)域交叉學(xué)科，涉及概率論、統(tǒng)計學(xué)、逼近論、凸分析、算法復(fù)雜度理論等多門學(xué)科[27].它專門研究計算機怎樣模擬或?qū)崿F(xiàn)人類的學(xué)習(xí)行為，以獲取新的知識或技能，重新組織已有的知識結(jié)構(gòu)使之不斷改善自身的性能.它是人工智能的核心，是使計算機具有智能的根本途徑，其應(yīng)用遍及人工智能的各個領(lǐng)域，它主要使用歸納、綜合而不是演繹.

機器學(xué)習(xí)的隱私保護是近2年國內(nèi)外研究的熱點，主要集中于如何在保護訓(xùn)練集數(shù)據(jù)隱私的前提下進行密文域上的模型訓(xùn)練，以及如何在保護輸入數(shù)據(jù)隱私、模型參數(shù)隱私以及預(yù)測結(jié)果隱私的前提下進行密文域上的模型計算.

國內(nèi)外最新的研究成果主要利用2種技術(shù)：1)利用公鑰全同態(tài)加密對訓(xùn)練集數(shù)據(jù)進行加密，從而實現(xiàn)隱私保護的模型訓(xùn)練與預(yù)測，然而其巨大的計算和通信開銷無法滿足資源受限的本地用戶的客觀性能需求；2)利用秘密分享技術(shù)，通過安全多方計算協(xié)議來實現(xiàn)機器學(xué)習(xí)的安全與隱私保護，然而其需要服務(wù)器實時在線，并與用戶進行實時交互.此外，推薦系統(tǒng)的隱私保護也是與之休戚相關(guān)的重要研究課題.現(xiàn)有的隱私保護推薦系統(tǒng)主要通過基于數(shù)據(jù)擾動技術(shù)、公鑰全同態(tài)加密技術(shù)或安全多方計算技術(shù)實現(xiàn).基于前者構(gòu)造的隱私保護推薦系統(tǒng)的效率較高，但會對推薦系統(tǒng)結(jié)果的可用性帶來一定影響；基于后者構(gòu)造的隱私保護推薦系統(tǒng)結(jié)果精確度高，但在用戶本地的計算、通信開銷都較大.

因此，如何在保護用戶歷史數(shù)據(jù)隱私、模型參數(shù)隱私以及模型計算結(jié)果隱私的前提下，在機器學(xué)習(xí)模型計算結(jié)果或推薦系統(tǒng)的預(yù)測結(jié)果精確度與效率兩者間達到有效的平衡是具有重要理論意義與實用價值的研究課題.此外，如何利用人工智能和機器學(xué)習(xí)的方法，將各類行為按照其特征進行有效分類，從而快速鎖定敵手的惡意(潛在)攻擊行為，也是近年來的研究熱點之一.近年來，唐強等人[28-29]分別利用公鑰全同態(tài)加密和安全多方計算技術(shù)提出了隱私保護的推薦系統(tǒng).

6 應(yīng)用系統(tǒng)原型

基于以上一些理論成果，我們曾進行了一系列的應(yīng)用系統(tǒng)原型開發(fā)，包括加密數(shù)據(jù)共享移動設(shè)備硬件研制與基于生物信息的身份鑒別類應(yīng)用等[4-5].

加密數(shù)據(jù)共享設(shè)備的核心部件是芯片.通過具體的規(guī)則控制用戶獲取私鑰，或通過具體的屬性集合提取用戶私鑰.用戶使用此芯片連接服務(wù)器，只有當(dāng)用戶權(quán)限能夠滿足訪問規(guī)則時才能解密，從而閱讀使用.

由于文件本身以明文形式存儲在訪問控制服務(wù)器中，該服務(wù)器本身就容易成為攻擊的目標(biāo).一旦服務(wù)器被攻陷，所有明文存放的數(shù)據(jù)都將暴露.因此，要求以加密數(shù)據(jù)存儲來實現(xiàn)加密文件系統(tǒng).然而，針對不可信的文件系統(tǒng)，采用加密的方式存放在服務(wù)器上，又面臨訪問控制與文件共享的困難：每個用戶只能解密自己的文件，缺少文件的共享機制與靈活的訪問機制.

我們的加密數(shù)據(jù)共享設(shè)備芯片以Verilog電路形式實現(xiàn)前述功能，其主要元件包括狀態(tài)控制器、數(shù)據(jù)存儲器、指令存儲器、程序計數(shù)器和算術(shù)邏輯器.能支持有限域上的乘法、求逆運算和橢圓曲線上的點加、數(shù)乘和配對運算.其正確性在Xilinx FPGA 平臺(Xilinx Virtex 5-110T 型號、65 納米工藝、100 MHz主頻率)上通過了驗證.并基于Java技術(shù)研制出了跨平臺(Windows, Linux) FPGA形式的演示系統(tǒng).在FPGA系統(tǒng)中，Tate配對的電路設(shè)計是其核心，而使用高效實現(xiàn)Tate配對的Duursma-Lee算法時需要10次調(diào)用有限域GF(3m)上的立方運算.2011年，我們提出了一個生成有限域GF(3m)上立方運算電路的一般化方法，該方法應(yīng)用于由不可約多項式x97+x16+2生成的有限域GF(397)上立方運算電路只需96個加法器，比同年國際上發(fā)表在IEEE Transactions on Computers上最新研究結(jié)果[30](需要111個加法器)減少13.5%；將該方法用于Tate配對運算中580個不同的不可約多項式確定的有限域后，其立方運算電路所需加法器個數(shù)比已有的平均減少31.7%.實驗表明，我們提出的方法對形如xm+ptxt+x0(t

基于生物信息的身份鑒別與防偽技術(shù)，通?；谠L問控制服務(wù)器的判斷與鑒別，抗攻擊能力弱，服務(wù)器本身就容易成為攻擊的目標(biāo).而且生物信息需要存儲，給存儲服務(wù)器帶來了很大存儲與通信開銷，也泄露了用戶的隱私信息.所以，不用存儲生物特征的任何信息實現(xiàn)用戶的身份鑒別與防偽是一個重要研究課題[5].但是在不存儲用戶生物特征(如用戶的指紋掃描數(shù)據(jù)等)的前提下，用已有的基于身份的鑒別技術(shù)很難實現(xiàn)比對，因為一對一的密碼技術(shù)并不具有容錯性，而現(xiàn)實中很難做到2次獲得的生物特征數(shù)據(jù)完全吻合.

我們曾提出了模糊身份的簽名技術(shù)，并用該技術(shù)提出了不存儲生物特征而實現(xiàn)生物特征比對的防偽技術(shù).該技術(shù)不需要訪問控制服務(wù)器的存在，也不需要存儲用于比對的生物特征的圖片或特征點信息，降低了存儲和通信的開銷，實現(xiàn)離線狀態(tài)下的認證功能.該技術(shù)可以應(yīng)用在指紋、虹膜等生物特征的防偽銀行卡、電子護照、加油卡、門禁卡、身份證等“證、卡、票、券”上面.后來這一技術(shù)被發(fā)展為一般的屬性基簽名，引起許多研究.參看文獻[5].

本文從應(yīng)用驅(qū)動出發(fā)，介紹了密文訪問控制、安全外包計算、安全搜索、電子貨幣與區(qū)塊鏈安全、人工智能與機器學(xué)習(xí)中的安全與隱私保護等信息安全重大研究領(lǐng)域的最新研究進展，并進一步提出了各個領(lǐng)域存在的挑戰(zhàn)性公開問題，指明了相關(guān)領(lǐng)域的未來研究方向.

最后，衷心地祝愿《計算機研究與發(fā)展》越辦越好！