◆王國(guó)環(huán)

內(nèi)積加密技術(shù)原理及其應(yīng)用

◆王國(guó)環(huán)

（聯(lián)通集團(tuán)財(cái)務(wù)有限公司 北京 100032）

大數(shù)據(jù)時(shí)代，信息的遠(yuǎn)程存儲(chǔ)給數(shù)據(jù)的隱私保護(hù)和數(shù)據(jù)的有效共享帶來(lái)了嚴(yán)峻的挑戰(zhàn)，內(nèi)積加密這一新型密碼體制，融合了傳統(tǒng)加密與秘密共享思想，能夠在保證數(shù)據(jù)機(jī)密性的同時(shí)，實(shí)現(xiàn)有效的數(shù)據(jù)計(jì)算、檢索與訪問(wèn)控制。由于內(nèi)積加密具有重要的理論研究意義和廣泛的實(shí)際應(yīng)用價(jià)值，這類密碼體制一經(jīng)提出，就引起了研究者的廣泛關(guān)注。本文首先回顧了內(nèi)積加密的起源與研究進(jìn)展，然后系統(tǒng)介紹了算法相關(guān)原理與定義，并詳細(xì)描述了內(nèi)積加密的幾個(gè)實(shí)際應(yīng)用場(chǎng)景：生物認(rèn)證、最近鄰搜索、加密細(xì)粒度訪問(wèn)控制，最后總結(jié)了有待進(jìn)一步研究的問(wèn)題與方向。

內(nèi)積加密；隱私保護(hù)；數(shù)據(jù)共享

1976年，Diffie和Hellman[1]提出了公鑰密碼學(xué)（Public-Key Cryptography，PKC）的概念，開(kāi)創(chuàng)了密碼學(xué)的新紀(jì)元。與對(duì)稱密碼體制中發(fā)送方和接收方共享同一個(gè)密鑰不同，公鑰密碼體制中，用戶密鑰由私鑰和相應(yīng)的公鑰組成。公鑰可以全網(wǎng)公開(kāi)，而私鑰則由用戶秘密保存。并且，公私鑰計(jì)算具有單向性，由公鑰推導(dǎo)出私鑰在計(jì)算上是不可行的。在公鑰加密算法中，發(fā)送方使用接收方的公鑰加密消息，接收方使用自己的私鑰解密獲得明文消息；而在數(shù)字簽名算法中，發(fā)送方使用自己的私鑰簽名消息并將其發(fā)送給驗(yàn)證者，驗(yàn)證者可使用發(fā)送方的公鑰驗(yàn)證簽名有效性。

PKC解決了對(duì)稱密碼面臨的可靠密鑰傳輸和數(shù)字簽名難題。然而，為了防止假冒，公鑰需要由可信的第三方認(rèn)證并頒發(fā)公鑰證書(shū)。在大型系統(tǒng)中，公鑰將消耗大量存儲(chǔ)空間。為了簡(jiǎn)化公鑰管理，Shamir[2]提出了使用用戶身份（例如姓名、電子郵件地址等）作為公鑰的思想，相應(yīng)的密鑰由密鑰生成中心（Key Generation Centre， KGC）生成。通過(guò)IBE，發(fā)送方使用KGC的公鑰和接收方的身份來(lái)加密消息，接收方則利用KGC分發(fā)的私鑰來(lái)解密消息。但他僅介紹了基于身份的數(shù)字方案，并沒(méi)有給出基于身份加密的構(gòu)造方法。直到2001年，Boneh和Franklin[3]首次提出了完善的IBE方案，并基于隨機(jī)預(yù)約模型證明了該方案在橢圓曲線CDH（Computational Diffie-Hellman，CDH）假設(shè)和適應(yīng)性選擇密文攻擊（adaptive chosen ciphertext attack，CCA）下的安全性。

隨著IBE的不斷演進(jìn)與發(fā)展，Sahai和Waters[4]提出了模糊基于身份加密，也被看作是基于屬性加密（Attribute-Based Encryption ， ABE）最初的形式。在ABE中，由屬性和策略來(lái)標(biāo)識(shí)身份，加解密過(guò)程不再局限于“一對(duì)一”，而是可以實(shí)現(xiàn)“一對(duì)多”的解密。如果策略與密文相關(guān)而屬性與用戶密鑰相關(guān)，這類ABE稱為密文策略的基于屬性加密（Ciphertext-Policy Attribute-Based Encryption，CP-ABE）[5]。例如，發(fā)送方使用策略“計(jì)算機(jī)學(xué)院 or 研究生”來(lái)加密CP-ABE的密文，任意擁有屬性“計(jì)算機(jī)學(xué)院”或者屬性“研究生”的用戶，就可以解密該密文。另一種類型的ABE被稱為密鑰策略的基于屬性加密（Key-Policy Attribute-Based Encryption，KP-ABE）[6]。KP-ABE中，屬性和策略分別與密文和用戶密鑰相關(guān)。ABE的策略最初是以閾值的方式[4]實(shí)現(xiàn)的，故而能表達(dá)的策略類型有限。為了豐富策略類型，Goyal等人[7]提出了一種支持細(xì)粒度訪問(wèn)控制的KP-ABE方案，使用了單調(diào)跨度程序來(lái)構(gòu)成訪問(wèn)結(jié)構(gòu)從而能夠支持訪問(wèn)數(shù)中的“與”門和“或”門。

1 內(nèi)積加密基本原理與定義

1.1 IPE1算法與安全性定義

階段1查詢：

2 內(nèi)積加密的應(yīng)用

3 結(jié)語(yǔ)

[1]W. Diffie and M.E. Hellman. New directions in cryptography， IEEE Transactions on Information Theory，22（6）：644-654，1976.

[2]A.Shamir.Identity-based cryptosystems and signature schemes.In Proceedings in Cryptology - CRYPTO，196：47-53，1985.

[3]D.Boneh and M. Franklin. Identity-based encryption from the weil pairing. In Proceedings in Cryptology - CRYPTO，2139：213-229，2001.

[4]A.Sahai and B. Waters. Fuzzy identity-based encryption. In Proceedings in EUROCRYPT，3494：457-473，2005.

[5]J.Bethencourt，A. Sahai，and B. Waters. Ciphertext-policy attribute based encryption. In IEEE Symposium on Security and Privacy，2007. SP '07，pp. 321-334，2007.

[6]A.Sahai and B. Waters. Fuzzy identity-based encryption. In Proceedings in Cryptology - EUROCRYPT，3494：457-473，2005.

[7]V.Goyal，O.Pandey，Amit Sahai et al.Attribute-basedencryption for fine-grained access control of encrypted data.InProceedings of the 13th ACM Conference on Computer and Communications Security，CCS '06，pp.89-98，2006.

[8]A.Lewko，T.Okamoto，A. Sahai et al. Fully secure functional encryption：Attribute-based encryption and（hierarchical）inner product encryption.In Proceedings in EUROCRYPT 2010，pp.62-91，2010.

[9]D.Boneh，A.Sahai，and B.Waters. Functional encryption：Definitions and challenges.In Theory of Cryptography，pp.253-273，2011.

[10]X.Boyen，B.Waters.Anonymous hierarchical identity-based encryption（without random oracles）.In Proceedings in Cryptology - CRYPTO，pp. 290-307，2006.

[11]S. Kim，K. Lewi，A.Mandal et al.Function-hiding inner product encryption is practical.In：IACR Cryptology ePrint Archive，Vol. 2016，440.2016.

[12]A.Bishop，A. Jain，L. Kowalczyk， Function-hiding inner product encryption. Iin Proceedings in ASIACRYPT， 2015.

[13]J.Katz，A.Sahai，B.Waters， Predicate encryption supporting disjunctions，polynomial equations，and inner products. In Proceeding in EUROCRYPT，pp.146-162，2008.

[14]N.Attrapadung，B. Libert， Functional encryption for inner product： Achieving constant-size ciphertexts with adaptive security or support for negation. In Proceedings in PKC，pp.384-402 2010.

[15]B.Waters，A punctured programming approach to adaptively secure functional encryption. In Proceedings in CRYPTO，2015.

[16]S.Garg，C.Gentry，S.Halevi，M.Zhandry，F(xiàn)unctional encryption without obfuscation. In Proceedings in TCC，2016.

[17]E.Shen，E. Shi，B. Waters，Predicate privacy in encryption systems. In Proceedings in TCC，2009.

[18]D.Boneh，A.Raghunathan，G.Segev，F(xiàn)unction-privateidentity-based encryption：Hiding the function in functionalencryption. In Proceedings in. CRYPTO，2013.

[19]S. Kim，K. Lewi，A. Mandal et al. Function-hiding inner product encryption is practical. In：IACR Cryptology ePrint Archive，Vol. 2016，pp. 440，2016.

[20]S. Kim，J. Kim，J. H. Seo，A new approach to practical function-private inner product encryption. Theoretical Computer Science，783（2019）：22-40，2019.

[21]T. Okamoto，K. Takashima，F(xiàn)ully secure unboundedinner-product and attribute-based encryption. In Proceedings in ASIACRYPT，pp. 349-366，2012.

[22]T. Okamoto，K. Takashima，Achieving short ciphertexts or short secret-keys for adaptively secure general inner-product encryption，Designs Codes and Cryptography 77（2）：725-771，2015.

[23]S.Agrawal，D.M. Freeman，V.Vaikuntanathan，F(xiàn)unctional encryption for inner product predicates from learning with errors. In Proceedings in ASIACRYPT，pp. 21-40，2011.

[24]N. Attrapadung， B. Libert， Functional encryption for inner product： Achieving constant-size ciphertexts with adaptive security or support for negation. In Proceeding in Public Key Cryptography – PKC，pp. 384-402，2010.