大數據安全與隱私保護研究進展

曹珍富 董曉蕾 周 俊 沈佳辰 寧建廷 鞏俊卿

1(華東師范大學計算機科學與軟件工程學院密碼與網絡安全系 上海 200062)2(上海交通大學計算機科學與工程系 上海 200240) (zfcao@sei.ecnu.edu.cn)

?

大數據安全與隱私保護研究進展

曹珍富1董曉蕾1周 俊1沈佳辰1寧建廷2鞏俊卿2

1(華東師范大學計算機科學與軟件工程學院密碼與網絡安全系 上海 200062)2(上海交通大學計算機科學與工程系 上海 200240) (zfcao@sei.ecnu.edu.cn)

當前，用戶數據的安全與隱私保護無疑成為大數據環境中最為重要的問題之一，而其最徹底的解決方式是通過加密所有數據來完成.因此，新的加密技術和在密文域上探索高效的大數據處理新模式是國內外當前的研究熱點.在貫穿于整個數據生命周期中，密文域上的計算、訪問控制和數據聚合(分別稱為密文計算、密文訪問控制和密文數據聚合)等問題已成為該領域的核心問題.主要針對密文計算、密文訪問控制和密文數據聚合等當前國內外研究的現狀進行綜述，指出其存在的問題與不足.在此基礎上，重點介紹了文章作者團隊在大數據安全與隱私保護方面的最新研究成果.在密文計算方面，提出了通過減少公鑰加密使用次數來設計高效的隱私保護外包計算的新方法，并設計了不依賴于公鑰(全)同態加密，僅需一次離線計算任意單向陷門置換來實現安全外包計算的新方案.在密文訪問控制方面，提出了支持大屬性集合的、短密文的高效可追蹤、可撤銷屬性基加密方案.在密文數據聚合方面，提出了不依賴于加法同態加密的、保護個體數據隱私且僅由授權接收方可成功解密聚合結果的高效隱私保護外包聚合方案.最后，還指出了該領域當前研究中需要解決的公開問題和未來的發展趨勢.

大數據安全；隱私保護；密文計算；密文訪問控制；密文數據聚合

應用驅動的密碼理論研究是我們團隊長期以來的研究方向[1].基于各類應用問題的密碼學新發展[2]和隱私保護[3]已出現了較為系統的研究成果，尤其是最近幾年在面向大數據的應用驅動方面，新的安全理論問題也已被提出[4].

大數據(big data)指無法在可承受的時間范圍內用常規軟件工具進行捕捉、管理和處理的數據集合，是需要新處理模式才能具有更強的決策力、洞察發現力和流程優化能力的海量、高增長率和多樣化的信息資產[5-6].用戶的數據安全和隱私保護無疑是大數據背景下最為重要的問題之一[7].實現大數據安全與隱私保護的方法雖然種類多樣，但其中最徹底的方法是通過加密來實現用戶的數據安全和隱私保護.然而，隨之而來的一個問題是：如何在密文域上實現類似于明文域上相同的大數據處理技術呢？這其中最重要的問題不僅僅是要解決諸如密文計算、密文訪問控制和密文數據聚合等功能上的問題，更重要的問題是：要解決這些問題對應的新處理模式問題，即如同明文域上的大數據處理模式問題一樣.

密文計算也稱密態計算，是指在密文域上的計算以及符合訪問權限的用戶對密文域上的計算結果可進行確認并可獲得對應的明文.為了保護用戶數據的隱私，用戶數據需要加密后存儲，所以參與計算的密文數據一方面是由用戶直接提供(用戶需要的計算)，另一方面通過密文搜索獲得(運營商受托對某類數據作分析或統計計算).同態加密技術可以實現加密數據的處理，因此高效的同態加密算法在大數據外包中得到了廣泛應用.同態加密(homomorphic encryption, HE)可分為單同態加密(single homo-morphic encryption, SHE)和全同態加密(fully homomorphic encryption, FHE)，前者是指該加密算法只滿足加法同態或乘法同態之一，而后者指該加密算法同時滿足加法同態和乘法同態.全同態加密實現了密文數據上同時進行加法與乘法運算的功能，從而能滿足安全外包聚合與安全外包計算的功能需求.由于同態加密是公鑰加密，其直接作用到數據上必然帶來效率低下的問題，更不要說面向大數據的密文計算了.所以研究不依賴同態加密的密文計算是一個新的課題.

密文訪問控制也稱密態訪問控制，是指對密文數據實現的訪問控制.屬性基加密(attribute-based encryption, ABE)通過對用戶私鑰設置屬性集(或訪問結構)，為數據密文設置訪問結構(或屬性集)，由屬性集和訪問結構之間的匹配關系確定其解密能力.特別是密文策略的屬性基加密(ciphertext-policy attribute-based encryption, CP-ABE)是解決密文存儲后訪問控制問題的重要出發點.但僅具有“信道安全”的CP-ABE并不能真正解決密文訪問控制問題，其主要原因是CP-ABE中不同密鑰持有者能夠解開同一份密文，且密鑰持有者在泄露其密鑰的情況下并不會招致任何損失.因此，對泄露密鑰的用戶實現可追蹤是CP-ABE通往實際使用的必要步驟.與可追蹤性緊密相關的性質便是可撤銷性，即撤銷泄露密鑰或共享密鑰的用戶的解密能力.否則，即使系統具備的追蹤機制能夠幫助我們追蹤到泄露密鑰的用戶，也并不能撤銷非授權用戶的解密能力，那么整個系統也是不完整的.

密文數據聚合也稱密態數據聚合，是指在密文域上實現數據分析與統計，即實現“單個數據、部分數據均不可知，但整體數據可知”功能.為了完成數據分析或統計，各部門通常是委托運營商(第三方)來實現，而運營商可能是半可信的甚至是惡意的(比如被收買)：半可信的是指運營商嚴格執行協議的規定，但通過與用戶的交互最大程度地提取有關用戶隱私的秘密信息；惡意的是指運營商可以任意破壞協議的執行來獲得用戶隱私的秘密信息.密文數據聚合正是因解決這方面問題而提出的前沿課題，它能夠實現在完成數據分析或統計的過程中保證用戶的個人數據隱私.這方面目前大部分工作都是使用公鑰單同態加密和密鑰預分配來實現，效率不高、可用性差.

國內外針對密文計算、密文訪問控制和密文數據聚合等已有的研究思路絕大部分都是分別通過全同態加密、屬性基加密和單同態加密來實現.但這些加密全部是公鑰加密，它們或因計算開銷大，或因無法抵抗密鑰共享攻擊而對普通數據都顯得“力不從心”，因而也更無法直接應用在大數據環境中，以高效地解決大數據安全與隱私保護問題.換言之，密文域上的大數據系統尤其需要新的處理模式，即通過盡量減少公鑰加密使用次數(最優時一次)的方法，且不依賴(全)同態加密，來設計高效的密文計算、密文訪問控制和密文數據聚合方案.

本文在分析了密文計算、密文訪問控制和密文數據聚合等國內外研究現狀的基礎上，指出了傳統的使用公鑰全同態加密、“信道安全”屬性基加密和單同態加密來分別實現密文計算、密文訪問控制和密文數據聚合的不足，同時給出了適應于大數據系統安全與隱私保護需求的新型的處理模式.最后，本文還給出了這方面存在的問題與未來的研究方向.

1 密文計算

1.1 基于全同態加密的密文計算

當前的密文計算主要是基于公鑰全同態加密實現.其一般方法如圖1所示.

Fig. 1 Ciphertext computation based on public key fully homomorphic encryption.圖1 基于公鑰全同態加密的密文計算

首先，各用戶即數據發送方利用公鑰全同態加密算法加密每一個輸入數據xi(i=1,2,…,n)；然后，云服務器可以在密文域上進行函數F運算，并將同樣是在密文域上的計算結果返回給接收方；最后，授權的數據接收方可以利用公鑰全同態加密的私鑰成功解密，得到明文域上的函數F計算結果.在利用傳統的基于公鑰全同態加密技術[8-30]實現密文計算時,需要將計算開銷本來就較大的公鑰全同態加密作用在每一個輸入數據上來實現隱私保護，無法滿足大數據環境中資源受限的移動終端設備在性能上的客觀需求，且違背混合加密體制中用公鑰加密來加密較短的對稱密鑰、用對稱密鑰來加密數據的基本原則.1978年由Rivest，Shamir和Adleman[31]提出了同態加密的概念，同年他們[32]提出了RSA公鑰加密算法具有乘法同態性(單同態)，該方案的安全性基于大整數分解.第1個基于離散對數問題的公鑰加密體制ElGamal[33]具有第2項密文的乘法同態性(部分單同態).Goldwasser和Micali[34]提出了一種滿足加法同態的加密方案，其安全性基于二次剩余假設，由Benaloh[35]給出的改進版本也具有加法同態性.Naccach等人[36]、Okamoto等人[37]和Paillier[38]分別提出了實現多次加法同態運算的加密方案.2005年，第1種同時支持任意多次加法同態運算和一次乘法同態運算的方案由Boneh等人[39]提出，該方案是距離全同態加密方案最近的一項工作.

2009年，Gentry[40]提出了基于理想格的全同態構造方法，這是第1個語義安全的全同態加密方案.它在理論上無懈可擊，但實現起來卻頗有難度.2010年，Smart和Vercauteren[41]對Gentry方案進行了第1次實現.2010年，Stehle與Steinfeld[42]提出了另一種對Gentry方案的實現，通過引入解密誤差的方法來縮短計算次數.2011年，Gentry和Halevi[43]采用類似于Smart和Vercauteren的方法來實現，在生成密鑰時去掉了行列式為素數這個條件，提出了4種不同規模環境下的參數.2010年，Dijk等人[44]提出了基于整數環上運算的類同態方案,并且使用Gentry的構造方法將其轉化為全同態方案.總體而言，由于Gentry方案在構造上的局限性，使其實現效率很低，因此并不實用.

為促成同態密碼在實際中的應用，除了采取各種技巧來提高效率之外，在方案的構造階段，還存在另一種思路，就是針對實際應用的特點，降低對加密算法的要求，利用效率較高的類同態加密方案來滿足實際需要[8-30,45-49].自從LWE(learning with error)問題[8]被提出以來，它就被應用于密碼體制的構建中.Halvei等人[9]在2010年基于BGN密碼提出了一種實用的方案，其安全性基于ring-LWE問題，支持任意次數的加法和一次乘法，支持較大的消息空間，是一個高效而實用的方案.但是，只能計算一次乘法運算的性質仍然限制了其應用范圍.2011年，Brakerski和Vaikuntanathan[10]使用Gentry的構造方法和重線性化技術的基本原理，分別基于ring-LWE困難問題和標準LWE困難問題構造了2個全同態加密方案.其他密碼學家們[11-15]也在積極嘗試對Gentry的構造方法進行改進，并且提出了一系列基于LWE的同態加密方案.

全同態加密實現了密文數據上同時進行加法與乘法運算的功能，從而能滿足安全外包計算的功能需求.但是，Lauter等[16]指出：目前的全同態加密技術的計算代價仍然無法達到真實應用的需求.

在大數據外包計算的可驗證性方面，Gennaro等人[17]形式化地定義了可驗證計算方案，并在Yao的混淆電路[18]的基礎上構造了一個非交互的可驗證計算方案.Chung等人[19]在FHE的基礎上構造了非交互的可驗證計算方案，該方案的優勢在于其公鑰長度較短.Applebaum等人[20]利用消息認證碼提出了一種更加簡單高效的構造可驗證計算的方法.Benabbas等人[21]則針對某些特殊函數構造了高效的可驗證計算方案.Barbosa等人[22]以模塊化的方式，利用全同態加密技術、函數加密技術和消息認證碼技術提出了一個可驗證的函數加密方案與可代理的同態加密方案.Fiore等人[23]則基于同態HASH函數、針對加密數據給出了高效的可驗證計算方案.

Parno等人[24]首次提出了可公開驗證計算的概念，并基于密鑰策略的屬性基加密方案(KP-ABE)構造了可公開驗證計算方案.Fiore等人[25]在Benabbas等人[22]所構造方案的基礎上，構造了針對高階多項式函數和矩陣乘積的支持公開驗證的方案.Catalano等人[26]通過引入代數單向函數來構造針對高階多項式與矩陣乘積的支持公開驗證的方案.Papamanthou等人[27]構造了云環境下可驗證簽名的動態計算的新模型.

Choi等人[28]給出了支持多客戶端、非交互的可驗證計算的構造.Goldwasser等人在文獻[29]中給出了多輸入的函數加密的構造，并在此基礎之上，對如何將其應用于多客戶端可驗證計算方案的構造作了討論.Gordon等人[30]給出了多客戶端的可驗證計算中更強的安全性和隱私性模型的探討，并分別基于屬性基加密、全同態加密以及Yao的混淆電路構造了支持多客戶端的可驗證計算方案.

1.2 不依賴于全同態加密的密文計算

毋庸置疑，當今信息安全發展的另一大趨勢是大數據技術，其特點可以概括為：理想狀況下很有效，但在有敵手的狀況下無效[50].因為敵手可以任意篡改外包存儲的數據，使得隨之得到的計算統計分析結果出錯，誤導決策，嚴重地影響人們的生產生活.目前針對上述問題，主要有2種解決方案：1)UC通用組合技術，即證明設計的大數據方案在現實環境下和理想環境下不可區分；2)密文大數據技術，其中最重要的是實現密文域上的安全外包計算.然而，基于公鑰全同態加密的密文計算是否能夠真正解決密文域上的大數據處理問題呢？答案是否定的[50].國內外有關可驗證外包計算的研究工作[8-30,45-49,51-58]多基于公鑰全同態加密技術實現，其巨大的計算開銷無法滿足面向大數據系統的性能需求.更重要的是，直接將公鑰全同態加密應用于數據本身，違背了混合加密體制中用公鑰加密算法來加密較短的對稱密鑰，用對稱密鑰來加密大數據這一基本原則.文獻[45-49]試圖通過減少公鑰全同態加密本身的計算開銷來構造輕量化的密文計算方案，然而其結果仍無法滿足大數據背景下的客觀需求.因此，我們團隊開創性地提出了在不得不使用公鑰加密實現隱私保護前提下，通過減少公鑰加密的使用次數(最低一次)來實現不依賴公鑰全同態加密的、高效的隱私保護外包計算新理論、新方法[50,59].在利用傳統的利用公鑰全同態加密技術[8-30]實現密文計算時,需要將計算開銷本來就較大的公鑰全同態加密作用在每一個輸入數據上來實現隱私保護，無法滿足大數據環境中資源受限的移動終端設備在性能上的客觀需求；而我們團隊提出的不依賴于公鑰全同態加密的密文計算新方法，僅需離線狀態下一次任意單向陷門置換運算，在線狀態時僅需要簡單的加法、乘法運算即能達到對n個數據的隱私保護.其主要實現思路如圖2所示.

Fig. 2 Ciphertext computation without public key fully homomorphic encryption.圖2 不依賴于公鑰全同態加密的密文計算

1) 離線階段，用任意單向陷門置換或公鑰加密函數加密隨機數,用作對稱密鑰分發；

2) 在線階段，用生成的對稱密鑰利用簡單的加法或乘法運算對數據本身通過對稱的全同態映射FHM進行加密；

3) 存儲與計算資源充足的云服務器在密文域上計算函數；

4) 授權用戶可先用公鑰加密算法對應的私鑰求解單向陷門置換的逆得到對稱密鑰，然后用對稱密鑰解密密文計算結果并驗證其正確性.

同時，我們團隊還利用上述不依賴于公鑰全同態加密的隱私保護密文計算新方法提出了不依賴于公鑰全同態加密的可驗證外包計算技術[60],使得計算資源受限的移動設備將以x1,x2,…,xn為輸入的函數F外包給計算資源充足的云服務器完成.現有工作主要依賴于重客戶端的Yao的亂碼電路和全同態加密技術.我們基于任意單向陷門置換提出了一個高效的可驗證外包計算方案EVOC[60].解決了Gennaro等人提出的“如何設計一個不依賴于全同態加密的高效可驗證外包計算”這一挑戰性公開問題.最后，形式化安全性證明和仿真實驗表明了所構造方案EVOC能滿足可驗證外包計算的安全與隱私保護需求，并與現有工作相比具有較低的計算與通信開銷.

此外，我們團隊還利用不依賴于公鑰全同態加密的隱私保護密文計算新方法高效地解決了能同時保護文本隱私與模板隱私的安全外包模式匹配問題[61]；并在電子醫療云計算系統中，提出了高效的隱私保護醫療圖像特征提取與匹配協議，構建了智慧診療系統[62].電子醫療系統越來越廣泛地通過醫療數據挖掘和醫療圖像特征提取等方式，應用于人類健康管理、病情建模、早期干預和基于證據的醫療診斷.由于可穿戴設備資源受限，要求將頻繁采集的個人健康信息(personal health information, PHI)外包存儲或外包計算到云服務器端，卻隨之帶來一系列安全與隱私保護問題.現有工作多集中于靜態密文醫療數據的訪問控制與分析，未對動態密文健康狀態波動信息與密文醫療圖像作出相關研究.我們在基于云的電子醫療系統中，提出了一個高效的隱私保護動態醫療文本挖掘與圖像特征提取方案PPDM：病兆函數相關性匹配方案PPDM1以及能同時保護病人病歷圖像隱私與醫生病兆模板隱私的醫療圖像特征提取與匹配方案PPDM2，為實現隱私保護的智能診療專家系統提供了有利保障.最后，形式化安全性證明和仿真實驗表明，與現有方案相比，所構造方案PPDM具有更高的安全性(輸入隱私的無條件安全和輸出隱私的CCA2安全)和在計算、通信開銷方面的優勢.

1.3 存在問題與未來研究方向

本節主要回顧了在密文計算研究領域的國內外研究現狀，指明了基于公鑰全同態加密算法實現的密文計算協議的缺陷與不足；并在此基礎上重點介紹了不依賴于公鑰全同態加密、僅需一次離線任意單向陷門置換實現的密文計算新方法.然而，現有工作多在隨機預言機模型下構造，且對外包密文計算結果的可驗證性尚未作出深入研究.由于在惡意模型下，云服務器可通過任意行為來破壞協議的執行，即有動機通過返回任意計算結果對資源受限的移動用戶進行欺詐.設計標準模型下或通用組合安全模型下的高效可驗證密文計算協議是進一步的研究方向.

2 密文訪問控制

2.1 “信道安全”屬性基加密

密文訪問控制可以但不能完全基于傳統的屬性基加密實現[50]，傳統的屬性基加密方案僅考慮信道安全，即選擇明文安全(chosen plaintext attack, CPA)或適應性選擇密文安全(adaptive chosen ciphertext attack, CCA2).Sahai和Waters[63]在2005年提出模糊身份加密方案的時候，只實現了最簡單的訪問表達能力——僅要求身份的交集達到給定的閾值，即將身份的匹配關系由原來的“完全匹配”變為“相似匹配”，允許存在一些小的誤差.Cheung和Newport[64]在標準模型和標準假設(BDBH假設)下給出了一個可證明安全的方案，但是訪問結構只能支持與門.文獻[64]以訪問策略的表達能力(只支持一個AND關系)為代價、文獻[65]以部分表達能力(有界的訪問策略)和部分性能(較大的密文長度)為代價來設計可證明安全的CP-ABE.Emura等人[66]給出了一個常量密文的密文策略屬性基加密系統，但該系統的訪問策略只能支持單一的AND關系.Herranz等人[67]則在訪問策略的表達能力方面前進了一步，給出了能夠支持門限策略的常量密文策略屬性基加密系統.Lewko等人[68]和Okamoto等人[69]分別給出了屬性個數完全不受限制的屬性基加密方案，但這2個方案的效率不高且證明相對復雜.在2013年，Rouselakis和Waters[70]給出了支持大屬性集合的ABE方案，并利用“編程和消去”(program and cancel)證明技術和“q類”(q-type)困難問題假設證明其方案為選擇性安全.Green等人[71]結合云計算模型，允許用戶提供給云服務器一個轉換密鑰，允許云服務器轉換成滿足用戶屬性的ElGamal型密文；而云服務器在此過程中并不能讀取用戶的明文.2012年，Lewko等人[72]首次在適應性模型下給出了支持屬性在訪問結構中重復出現任意多次的屬性基加密方案.2013年，Hohenberger和Waters[73]通過雙線性群上的數學性質，將一些經典的屬性基加密方案中的解密所需雙線性運算次數都減小為常數.考慮到屬性基加密在資源受限移動設備上的應用，Hohenberger等人[74]在2014年提出了高效的在線離線屬性基加密方案.Boneh等人[75]在2014年給出了基于格和全密鑰同態加密(fully key-homomorphic encryption)的具有短密鑰的(密鑰策略)屬性基加密系統.Yamada等人[76]在2014年給出了支持任意個屬性集合和訪問結構的緊湊參數(compact parameters)的非單調的CP-ABE.短密文屬性基密碼的構造，往往會導致弱的安全性——選擇安全性或者需要參數化的假設.

Kowalczyk和Lewko[77]結合在雙系統模型下在DLIN假設下給出了完全安全的短公開參數的KP-ABE.Chen等人[78]基于改進的雙系統模型給出了更為高效的素數階的屬性基加密方案，方案的運行效率較現方案有25%～50%不同程度的提升.Gorbunov和Vinayagamurthy[79]基于標準的LWE問題給出了支持branching programs的短密文ABE.Attrapadung等人[80]研究了ABE與其他功能加密之間的相互轉化關系，并給出了首個非單調的支持大屬性集合的常數密文CP-ABE、首個密鑰長度為常數的KP-ABE、首個支持arithmetic span programs的常數密文ABE.Brakerski等人[81]基于LWE難題給出了首個支持大屬性集合的KP-ABE.在屬性基加密完全安全性所依賴的雙系統技術的素數階實現方面，我們團隊[82]采用雙系統群模擬法(dual system group method)給出了一個嵌套雙系統證明技術的更加高效靈活的素數階實現.該項工作的最終效果是一個更加高效且具備靈活參數調節機制的非受限層次身份基加密(UHIBE).最近，我們團隊[83]與Attrapadung等人[84]獨立地給出了第1個采用素數階雙線性群實現的在多挑戰模型下緊規約安全的身份基加密系統，該項工作已經發表在公鑰密碼學頂級會議PKC 2016上.這2項工作均是雙系統群方法(向量空間模擬技術之一)在復雜情形下的擴展和應用.

2.2 “信道安全+”屬性基加密

自香農在1948年提出經典信道通信模型以來，歷經幾十年的發展歷程，直到Diffie-Hellman密鑰交換的出現，以至當前如火如荼的建立在選擇明文安全或適應性選擇密文安全模型基礎上的屬性基加密，國內外學者一直沿襲著信道安全模型的腳步開展了一系列重要研究并取得了里程碑式的結果[65-122].然而，基于信道安全模型、僅考慮傳輸過程中安全問題的屬性基加密是否能夠真正解決密文數據的訪問控制問題呢？答案是否定的[50].讓我們通過加密電視機頂盒的例子來闡明我們的觀點.首先，加密電視的授權用戶可能會出賣或出租自己的解密密鑰給其他人，而不影響自己的解密，通過相互間的密鑰共享，使得該集體能解密并觀看更多的電視頻道，以達到“雙贏”乃至“多贏”的結果.為了解決此類“慷集體之慨，謀私人之利”的安全問題，有效抵抗密鑰共享攻擊，必須從應用需求出發考慮可追蹤的安全模型，對密鑰泄露源進行有效追蹤.其次，授權用戶還可能會出賣或出租自己的解密密鑰用來復制機頂盒設備，因此，如何消除市面上大量復制的該設備就必須考慮可撤銷的安全模型.在傳統信道安全模型的基礎上，融合可追蹤、可撤銷的安全模型，從而邁入“信道安全+”的時代，成為了當今信息安全發展的一大趨勢.

可追蹤、可撤銷屬性基加密主要思想如圖3所示.白盒可追蹤是指私鑰泄露方直接出售解密密鑰，而黑盒可追蹤是指解密密鑰和解密算法被隱藏在黑盒中.可追蹤、可撤銷屬性基加密不僅要求對私鑰泄漏源，即圖3白盒可追蹤屬性基加密的用戶SC和黑盒可追蹤屬性基加密的用戶SA實現有效追溯，還要求對私鑰泄漏用戶SC,SA以及非法獲得密文訪問控制權限的非授權用戶的訪問控制能力進行及時撤銷.

Fig. 3 Traceable and revocable attribute-based encryption.圖3 可追蹤可撤銷屬性基加密

在可追蹤方面，2008年，Jason等人[85]提出了第1個密鑰可追蹤選擇性安全的系統，但他們的系統是基于一個可信第三方機構的，解密者每次解密都要與這個第三方機構進行交互，這個第三方機構會成為系統的性能瓶頸.2009年，Yu等人[86]給出了一個可追蹤的密鑰策略屬性基加密方案，該方案在密鑰關聯的訪問策略中嵌入身份信息的每一位信息，每一位信息作為一個屬性嵌入在訪問策略中.2011年，Katz和Schroder[87]提出了謂詞加密中的可追蹤性概念，并給出了可追蹤的內積謂詞加密系統，其所付出的代價與系統中的用戶數量呈線性關系.2013年，我們團隊[88]給出了第1個同時支持高表達力和白盒可追蹤的密文策略屬性基加密系統，實現了對泄露密鑰的惡意用戶的白盒可追蹤.該方案達到了標準模型下的適應性安全，允許任意單調訪問結構作為訪問策略，其密文大小的密文的訪問策略大小成線性關系.但該方案需要維護一個記錄用戶的列表來實現白盒可追蹤，當用戶數量逐漸變大后對用戶列表的維護，會成為該方案實際應用當中的一個瓶頸.同年，我們團隊[90]又提出了第1個同時支持高表達力和抗全合謀黑盒可追蹤性的密文策略屬性基加密系統.作為一個具有抗全合謀的黑盒可追蹤的屬性基加密系統來說，所提方案的密文大小達到了目前所知的最好水平(與系統的用戶總數成亞線性關系).隨后，我們團隊[91-92]提出了第1個切實可行的同時支持白盒可追蹤和大屬性空間的構造(公開參數大小與屬性空間大小無關)的密文策略屬性基加密系統，該方案無需維護一個記錄用戶的列表，而僅需在系統初始化時記錄一小部分預先設定的參數即可，從而使得屬性基加密系統從理論向實際應用又向前邁進了一步.最近，我們團隊[89,93]還給出了支持高表達力、白盒可追蹤、可追責和公開審計的密文策略屬性基加密與更短密文、抗全合謀、抗適應性類密鑰和固定策略解密黑盒的高效黑盒可追蹤密文策略屬性基加密.

在可撤銷方面，文獻[94]給出了一個解決方法，是通過給每個用戶頒發一個額外的終止日期的屬性來限制密鑰的使用時間.之后，也有一些工作考慮了屬性基加密系統中的密鑰撤銷問題，但其所采用的更新方式都不能滿足實際應用需求.在更新(或者撤銷)密鑰時，密鑰更新機構的工作量與系統中用戶數量成線性相關關系，而且每個用戶還需與密鑰更新機構之間保持一個安全信道.另一方面，雖然目前已經有一些結合實際應用(如云計算、無線傳感網等)的屬性基加密系統相關的撤銷方案被提出來，但這些方案中都是把用戶作為最小單位進行撤銷的，還是延續了身份基加密的撤銷機制，沒有充分體現出屬性基加密的靈活性，即每次撤銷一個用戶，而不是在撤銷一個用戶的某些屬性的同時允許用戶的其他的有效屬性仍然可以用來解密.事實上，我們團隊[95]在2009年就提出了第1個多用單向的屬性基代理重加密方案，基于授權有效地實現了由一個訪問控制結構到另一任意訪問控制結構的完全密鑰撤銷.之后，我們團隊[96]提出了(無需授權的)可撤銷屬性基加密方案，引起Sahai等人[97]的興趣，他們在2012年的美密會上提出了另一個可撤銷屬性基加密方案.該方案同樣采用二叉樹思想，將每個用戶設置為與二叉樹的葉節點相關，使得密鑰更新數量與用戶數量呈對數關系，同時結合了“密文代理”的性質，以達到高效的密鑰撤銷.此外，我們團隊[123]提出了第1個基于屬性的代理重加密方案；我們團隊[124]在ESORICS 2011首次提出無中央機構的門限多機構的屬性加密方案；我們團隊[125]設計了可同時滿足白盒可追蹤、可撤銷性質的多機構屬性基加密方案，并利用該構造在電子醫療云計算系統中實現了多級隱私保護.

從當前國內外的研究現狀來看，雖然當前屬性基加密在表達能力、通信效率、計算效率以及“信道安全+(可追蹤可撤銷)”等方面受到了學術界廣泛的研究，并越來越靠近實際應用，但距離面向大數據系統的實際應用還有一定的距離.

2.3 存在問題與未來研究方向

本節主要回顧了基于信道安全屬性基加密實現密文訪問控制的國內外最新研究進展，并指出了僅滿足信道安全(選擇明文攻擊、適應性選擇密文攻擊)并不能滿足從應用出發的密文訪問控制的安全性需求.并在此基礎上重點介紹了“信道安全+”新安全模型與同時滿足可追蹤、可撤銷、多機構性質的屬性基加密方案的構造與設計.為了適應大數據背景下計算、通信能力受限的移動用戶的性能需求，尋求更短密文、短密鑰、短公開參數的，且具備豐富表達能力的，基于簡單標準難題假設的可追蹤、可撤銷、多機構屬性基加密方案是一個值得進一步研究的方向.

3 密文數據聚合

3.1 基于同態加密的密文數據聚合

在密文數據聚合方面，國內外最新的研究工作多基于公鑰加法同態加密(如Paillier加密算法)實現，其主要思想如圖4所示：

Fig. 4 Ciphertext data aggregation based on homomorphic encryption.圖4 基于同態加密的密文數據聚合

首先，利用公鑰加法同態加密對每一個個體數據加密以實現個體數據的隱私保護；同時，云服務器可利用公鑰同態加密算法的加法同態性在密文域上進行數據聚合及各種豐富類型的統計與分析；最后，擁有公鑰同態加密算法對應私鑰的授權用戶可解密聚合運算的結果.在運用上述密文聚合協議實現隱私保護方面有一系列研究進展[107-115].2012年Zhang等人[107]提出了一套細粒度的隱私保護配對協議，使得2個用戶在各自文檔描述不被泄露的前提下，與其具有相似文檔描述的用戶實現成功匹配.2013年Liang等人[108]在移動社交網絡中研究隱私保護的用戶匹配，并提出了一系列的用戶文檔描述匹配協議.另一方面，隱私保護的群分級也是一個有意義的研究問題.2012年Li等人[109]提出了一個隱私保護的多方排序協議，保證只要在最終排序結果隱藏的情況下，敵手無法將用戶的身份與其對應的文檔描述進行有效聯系.2013年Zhang等人[110]提出了一個可驗證的隱私保護分類分級協議，且在同年Li等人[111]提出了一個隱私保護的位置查詢協議.然而，上述協議均依賴于公鑰同態加密技術來實現隱私保護，計算開銷巨大.

國內外大量的研究工作致力于智能電網中隱私保護的數據聚合與動態計費問題.2012年Lu等人[112]在智能電網通信中提出了一個隱私保護的數據聚合方案EPPA.該方案利用超遞增向量和Paillier同態加密技術對多維數據進行密文聚合.但是，為驗證n個加密用電量，即使在采用批量驗證技術的前提下，仍需要進行n+1次配對運算和n-1次模乘運算.因此，該方案的計算復雜度隨用戶數量與用電量采集頻率的增加迅速遞增，不能滿足智能電網中設計輕量的隱私保護數據聚合協議的基本要求.同年，Erkin等人[113]利用Paillier同態加密技術提出了一個基于時間和空間特性的、隱私保護用電數據聚合方案.2013年Liang等人[114]提出了一個智能電網中基于實時用電量的、隱私保護的動態計費方案.該方案在利用全同態加密技術保護用戶實時用電量隱私的前提下，以用戶個人用電量與用戶所在地區用電量為標準來實現動態峰谷計費.2014年Won等人[115]在智能電網中提出了一個能夠有效保護差分隱私，高效容侵的智能傳感數據聚合協議.然而，上述國內外現有工作均利用公鑰同態加密技術作用于每一個實時用電數據，以實現隱私保護的數據聚合，既不符合混合加密體制的基本原則，且計算開銷大，不適于存儲、計算及通信資源受限的智能電表.

3.2 不基于同態加密的密文數據聚合

如何在面向大數據系統的資源非對稱分布的環境下設計安全高效且隱私保護的外包數據聚合與分析協議是近年來國內外學者研究的焦點.最近，我們團隊[59]在國際上首次考慮避開全同態公鑰加密和零知識證明技術，利用任意單向陷門置換提出高效的基于單用戶時間序列隱私保護數據聚合方案，僅需離線執行一次任意單向陷門置換及其求逆運算便能實現對多個數據的隱私保護聚合[2-3,50].其主要思想如圖5所示：

Fig. 5 Ciphertext data aggregation without homomorphic encryption.圖5 不基于同態加密的密文數據聚合

首先，在離線狀態下利用一次任意單向陷門置換f加密隨機數r,用于對稱密鑰分發，在線狀態利用對稱密鑰r通過僅包含加法和乘法等簡單運算的對稱加法同態映射AHM對個體數據xi(i=1,2,…,n)進行加密.然后，云服務器可利用加法同態性在密文域上進行數據聚合及各種豐富類型的統計與分析.最后，擁有單向陷門置換f對應私鑰的授權用戶可先由CA解密出對稱密鑰r，繼而進一步解密明文域上聚合運算的結果.與基于同態加密的密文數據聚合相比，不基于同態加密的密文數據聚合不僅無需將公鑰加法同態加密作用于每一個個體數據，使得資源受限的移動用戶端的效率得到了很大的提高，且符合混合加密的基本原則.

當前國內外學者的主要工作集中在基于云的無線體域網[98-111]、智能電網[112-116]和無線車載網[117-122]的密文數據聚合方面，主要出發點是保護用戶的隱私數據.無線體域網中的密鑰預分配可以視作隱私保護的數據聚合的準備階段，多個不同用戶之間可先協商共同的會話密鑰，為實現多用戶時間、空間多維數據隱私保護聚合打下基礎.Cherukuri等人[98]首次在無線體域網中提出基于生物特征的密鑰協商協議.2個部署于同一人體不同部位的傳感器節點對同一生命體征采集到的數據在一定范圍內存在誤差.利用Reed-Solomon糾錯編碼技術構造共享密鑰機制.隨后，Bao等人[99]利用脈搏間隙(inter-pulse-interval, IPI)，基于部署于同一病人不同位置的傳感器對同一生命體征采集數據的漢明距離遠小于部署于不同病人身體上的傳感器對該生命體征采集數據的漢明距離這一觀察，構造無線體域網中的會話密鑰協商協議.Fuzzy Vault技術[100]被廣泛采用，設計無線體域網中的密鑰協商協議.由某一人體傳感器節點引入盲化點集合，來混淆從病人人體采集的真實生命體征數據，從而構造Vault.另一傳感器節點能成功與其建立對密鑰，當且僅當該Vault與其自身對同一生命體征采集到的數據集的交集的大小滿足系統預設的門限值.然而，Venkatasubramanian等人[101]在指出IPI信號由于其在不同人體間的低差分性不適宜用作無線體域網對密鑰建立的同時，提出了一個基于生理信號PPG和ECG的認證密鑰協商協議.2013年Hu等人[102]基于某些特定的生物特征(如ECG信號)是有序排列的且只有采集該信號的傳感器才能正確識別該序列這一事實，提出了無線體域網中有序生物特征的密鑰協商協議.上述2個方案均利用Fuzzy Vault技術實現.

此外，國內外現有工作僅考慮病人身處家庭環境等相對安全的靜態場景，然而在現實中，部署無線體域網穿戴設備的病人在進行心電圖(ECG)和腦電圖(EEG)檢查時，可以像普通人群一樣在公開環境移動.因此，人體傳感器更易遭受包括節點俘獲攻擊在內的各種攻擊，這種新的安全性模型對現有工作提出了極大的挑戰.患有同種疾病且隸屬于同一社交群體的移動病人可以相互交流病情和診療經驗[103].Wang等人[104]提出了一個移動健康網絡中的體域網安全模型.Ren等人[105]提出了一系列在移動醫療社交網絡中安全高效的監控病人病情的技術，但并沒有給出具體的方案構造.此外，基于Shamir秘密共享的主動密鑰分發技術，由于在密鑰預分配階段需要為每一個傳感器節點分發一個t次多項式，在對密鑰建立階段需要進行多項式插值操作，巨大的計算量使其不能直接應用于無線體域網；且未考慮保護病人身份隱私與位置隱私保護問題.最近，我們團隊[106]在基于云的移動電子醫療體域網中設計輕量級外包密鑰更新算法，提出了能抵抗時間和空間2類移動敵手攻擊的，同時保護用戶身份隱私、位置隱私及人體傳感器部署隱私的密鑰管理方案.

為了解決該問題，2014年我們團隊[116]在智能電網中，提出了一個基于ElGamal加密體制的、高效的隱私保護數據聚合方案.該方案只需要額外的產生2個密文，就能實現n個時間周期內隱私保護的數據聚合功能.因此，其計算開銷與時間周期的長度無關.2015年，我們提出了不依賴于公鑰同態加密、利用一次任意單項陷門置換實現的隱私保護數據聚合一般性構造[59].在基于云的車載容斥網絡中，利用該一般性新構造，我們提出了安全外包數據包傳遞證據生成算法，設計了能抵抗夾層合謀攻擊這一公開問題的安全數據包傳輸協議[122].

3.3 存在問題與未來研究方向

本節主要回顧了基于同態加密算法實現的隱私保護密文數據聚合的國內外最新研究進展，并指出現有的通過將公鑰同態加密作用于每一個數據來實現隱私保護的方法計算開銷大，不能滿足大數據環境中資源受限的移動設備的客觀需要.并在此基礎上重點介紹了在不得不使用公鑰加密實現隱私保護的前提下，如何通過盡量減少公鑰加密的使用次數，來達到同時對n個數據實現隱私保護數據聚合的新技術.然后，現有工作多集中于單用戶時間序列密文數據聚合，如何實現高效的多用戶隱私保護密文數據聚合，以及各類密文域上的數據統計與分析是一項極富意義的研究課題.

4 結束語

本文主要圍繞大數據的安全與隱私保護，指出解決大數據安全與隱私保護最徹底的方法是通過加密來實現.并進一步從密文計算、密文訪問控制和密文數據聚合3方面對如何在密文域上實現與明文域上相同的大數據技術等國內外研究進展進行綜述，并指出其存在問題與不足.尤其重點對我們團隊提出的密文計算中不依賴公鑰(全)同態加密、且僅需一次離線任意單向陷門置換實現的高效隱私保護外包計算、密文訪問控制中支持大屬性集合的短密文高效可追蹤密文策略屬性基加密方案與密文數據聚合中不依賴于加法同態加密的、且能同時保護個體數據隱私與聚合結果隱私的高效隱私保護外包聚合方案，給出了其主要研究思路和研究方法.最后，還針對密文計算、密文訪問控制和密文數據聚合3方面，指出了當前研究存在的問題和未來的研究方向，以讓讀者理解各種方法的優劣和適用場景，為進一步從事面向大數據的共享安全理論研究提供了新思路.

[1]Cao Zhenfu. New Directions of Modern Cryptography[M] //Boca Raton, FL: CRC Press Inc, 2012

[2]Cao Zhenfu. New development of cryptography[J]. Journal of Sichuan University: Engineering Science Edition, 2015, 47(1): 1-12 (in Chinese)(曹珍富. 密碼學的新發展[J]. 四川大學學報: 工程科學版, 2015, 47(1): 1-12)

[3]Dong Xiaolei. Advances of privacy preservation in Internet of things[J]. Journal of Computer Research and Development, 2015, 52(10): 2341-2352 (in Chinese)(董曉蕾. 物聯網隱私保護研究進展[J]. 計算機研究與發展, 2015, 52(10): 2341-2352)

[4]Cao Zhenfu. New trends of information security—How to change people’s life style?[J]. SCIENCE CHINA Information Sciences, 2016, 59(5): 050106

[5]Mayer-Sch?nberger V, Cukier K. Big data: A Revolution That Will Transform How We Live, Work, and Think[M]. Boston, MA: Houghton Mifflin Harcourt, 2013

[6]Cukier K, Mayer-Schoenberger V. Rise of big data: How it’s changing the way we think about the world[J]. The Foreign Affairs, 2013, 92: 28

[7]Feng Dengguo, Zhang Min, Li Hao. Big data security and privacy protection[J]. Journal of Computer, 2014, 37(01): 246-258 (in Chinese)(馮登國, 張敏, 李昊. 大數據安全與隱私保護[J]. 計算機學報, 2014, 37(1): 246-258)

[8]Lyubashevsky V, Peikert C, Regev O. On ideal lattices and learning with errors over rings[G] //LNCS 6110: Proc of Advances in Cryptology-CRYPTO’10. Berlin: Springer, 2010: 1-23

[9]Halvei S, Gentry C, Vaikuntanathan V. A simple BGN-type cryptosystem from LWE[G] //LNCS 6110: Proc of EUROCRYPT’10. Berlin: Springer, 2010: 506-522

[10]Brakerski Z, Vaikuntanathan V. Fully homomorphic encryption for ringlwe and security for key dependent messages[G] //LNCS 6841: Proc of Advances in Cryptology-CRYPTO’11. Berlin: Springer, 2011: 505-524

[11]Brakerski Z. Fully homomorphic encryption without modulus switching from classical GapSVP[G] //LNCS 7417: Proc of Advances on Cryptology-CRYPTO’12. Berlin: Springer, 2012: 868-886

[12]Brakerski Z, Gentry C, Vaikuntanathan V. Fully homomorphic encryption without bootstrapping[C] //Innovations in Theoretical Computer Science (ITCS). New York: ACM, 2012: 309-325

[13]Gentry C, Halevi S, Smart N. P. Better bootstrapping in fully homomorphic encryption[G] //LNCS 72393: Proc of Public Key Cryptography-PKC’12. Berlin: Springer, 2012: 1-16

[14]Gentry C, Sahai A, Waters B. Homomorphic encryption from learing with errors: comceptually-simpler, asymptotically-faster, attribute-based[G] //LNCS 8042: Proc of Advances in Cryptology—CRYPTO’13. Berlin: Springer, 2013: 75-92

[15]Vercauteren F, Smart N P. Fully homomorphic SIMD operations[J]. Designs, Codes and Cryptography, 2014, 71(1): 57-81

[16]Lauter K, Naehrig M, Vaikuntanathan V. Can homomorphic encryption be practical?[C] //Proc of ACM CCS 2011. New York: ACM, 2011: 1-12

[17]Gennaro R, Gentry C, Parno B. Non-interactive verifiable computing: Outsourcing computation to untrusted workers[C] //Proc of CRYPTO 2010. Berlin: Springer, 2010, 465-482

[18]Yao A. Protocols for secure computations[C] //Proc of the 23rd Annual Symp on Foundations of Computer Science. Piscataway, NJ: IEEE, 1982: 160-164

[19]Chung K M, Kalai Y, Vadhan S. Improved delegation of computation using fully homomorphic encryption[C] //Proc of CRYPTO 2010. Berlin: Springer, 2010: 483-501

[20]Applebaum B, Ishai Y, Kushilevitz E. From secrecy to soundness: Efficient verification via secure computation[C] //Proc of the 37th Int Colloquium in Automata, Languages and Programming. Berlin: Springer, 2010: 152-163

[21]Benabbas S, Gennaro R, Vahlis Y. Verifiable delegation of computation over large datasets[C] //Proc of the 31st Annual Conf on Advances in Cryptology. Berlin: Springer, 2011: 111-131

[22]Barbosa M, Farshim P. Delegatable homomorphic encryption with applications to secure outsourcing of computation[C] //Proc of CT-RSA 2012. Berlin: springer, 2012: 296-312

[23]Fiore D, Gennaro R, Pastro V. Efficiently verifiable computation on encrypted data[C] //Proc of the 2014 ACM Conf on Computer and Communications Security. New York: ACM, 2014: 844-855

[24]Parno B, Raykova M, Vaikuntanathan V. How to delegate and verify in public: verifiable computation from attribute based encryption[C] //Proc of Theory of Cryptography. Berlin: Springer, 2012: 422-439

[25]Fiore D, Gennaro R. Publicly verifiable delegation of large polynomials and matrix computations, with applications[C] //Proc of the 2012 ACM Conf on Computer and Communications Security. New York: ACM, 2012: 501-512

[26]Catalano D, Fiore D, Gennaro D, et al. Algebraic (trapdoor) one-way functions and their applications[C] //Proc of Theory of Cryptography. Berlin: Springer, 2013: 680-699

[27]Papamanthou C, Shi E, Tamassia R. Signatures of correct computation[C] //Proc of Theory of Cryptography. Berlin: Springer, 2013: 222-242

[28]Choi S G, Katz J, Kumaresan R, et al. Multi-client non-interactive verifiable computation[C] //Proc of Theory of Cryptography. Berlin: Springer, 2013: 499-518

[29]Goldwasser S, Goyal V, Jain A, et al. Multi-input function encryption[C] //Proc of EUROCRYPT 2014. Berlin: Springer, 2014: 578-602

[30]Gordon S D, Katz J, Liu F H, et al. Multi-client verifiable computation with stronger security guarantees[C] //Proc of Theory of Cryptography Conf. Berlin: Springer, 2015: 144-168

[31]Rivest R, Shamir A, Adleman L. On data banks and privacy homomorphisms[J]. Foundations of Secure Computation, Georgia Institute of Technology, 1978, 21(2): 169-180

[32]Rivest R, Shamir A, Adleman L. A methord for obtaining digital signatures and public key cryptosystems[J]. Communications of the ACM, 1978, 21(2): 120-126

[33]ElGamal T. A public key cryptosystem and a signature scheme based on discrete logarithms[J]. IEEE Trans on Information Theory, 1985, 31(4): 469-472

[34]Goldwasser S, Micali S. Probabilistic encryption[J]. Journal of Computer and Systems Sciences, 1984, 28(2): 270-299

[35]Benaloh J. Dense probabilistic encryption[C] //Proc of the Workshop on Selected Areas of Cryptography. Berlin: Springer, 1994: 120-128

[36]Naccache D, Stern J. A new public key cryptosystem based on higher residues[C] //Proc of the 5th ACM Conf on Computer and Communications Security. New York: ACM, 1998: 59-66

[37]Okamoto T, Uchiyama S. A new public-key cryptosystem as secure as factoring[G] //LNCS 1403: Proc of Advances in Cryptology—EUROCRYPT’98. Berlin: Springer, 1998: 308-318

[38]Paillier P. Public-key cryptosystems based on composite degree residuosity classes[G] //LNCS 1592: Proc of Advances in Cryptology—EURCRYPT’99. Berlin: Springer, 1999: 223-238

[39]Boneh D, Goh E J, Nissim K. Evaluation 2-dnf fomulas on ciphertexts[G] //LNCS 3378: Theory of Cryptoography. Berlin: Springer, 2005: 325-341

[40]Gentry C. Fully homomorphic encryption using ideal lattices[C] //Proc of the 41st ACM Symp on Theory of Computing (STOC). New York: ACM, 2009: 169-178

[41]Smart N P, Vercauteren F. Fully homomorphic encryption with relatively small key and ciphertext size[G] //LNCS 6056: Proc of PKC 2010. Berlin: Springer, 2010: 420-443

[42]Stehle D, Steinfeld R. Faster fully homomorphic encryption[G] //LNCS 6477: Proc of Advances in Cryptology—ASIACRYPT’10. Berlin: Springer, 2010: 377-394

[43]Gentry C, Halevi S. Implementing gentry’s fully-homomorphic encryption scheme[G] //LNCS 6632: Proc of Advances in Cryptology—EUROCRYPT’11. Berlin: Springer, 2011: 129-148

[44]Dijk M, Gentry C, Halevi S, et al. Fully homomorphic encryption over the integers[G] //LNCS 6110: Proc of Advances in Cryptology—EURCRYPT’10. Berlin: Springer, 2010: 24-43

[45]Damg?rd I, Polychroniadou A, Rao V. Adaptively secure multi-party computation from lwe (via equivocal fhe)[C] //Proc of IACR Int Workshop on Public Key Cryptography. Berlin: Springer, 2016: 208-233

[46]Gordon S D, Katz J, Liu F H, et al. Multi-client verifiable computation with stronger security guarantees[C] //Proc of Theory of Cryptography Conf. Berlin: Springer, 2015: 144-168

[47]Wang C, Ren K, Wang J. Secure optimization computation outsourcing in cloud computing: A case study of linear programming[J]. IEEE Trans on Computers, 2016, 65(1): 216-229

[48]Chen X, Huang X, Li J, et al. New algorithms for secure outsourcing of large-scale systems of linear equations[J]. IEEE Trans on Information Forensics and Security, 2015, 10(1): 69-78

[49]Alderman J, Janson C, Cid C, et al. Hybrid publicly verifiable computation[C] //Proc of Cryptographers’ Track at the RSA Conf. Berlin: Springer, 2016: 147-163

[50]Zhou Jun, Dong Xiaolei, Cao Zhenfu. Advances of Ciphertext access control and privacy preserving[J]. Bulletin of Chinese Association for Cryptologic Research, 2015, 41(6): 19-21 (in Chinese)(周俊, 董曉蕾, 曹珍富. 密文訪問控制與隱私保護研究進展[J]. 中國密碼學會通訊, 2015, 41(6): 19-21)

[51]Brakerski Z, Vaikuntanathan V. Efficient fully homomorphic encryption from (standard) LWE[C] //Proc of FOCS. Los Alamitos. CA: IEEE Computer Society, 2011: 97-106

[52]Brakerski Z, Gentry C, Vaikuntanathan V. (Leveled) fully homomorphic encryption without bootstrapping[C] //Proc of ITCS. New York: ACM, 2012, 309-325

[53]Halevi S, Shoup V. Algorithm in HElib[G] //LNCS 8616: Proc of CRYPTO 2014 Part I. Berlin: Springer, 2014: 554-571

[54]Dowlin N, Gilad-Bachrach R, Laine K, et al. Manual for using for homomorphic encryption for bioinformatics, MSR-TR-2015-87[R]. New York: Microsoft Research, 2015

[55]Gentry C, Halevi S, Smart N P. Homomorphic evaluation of the AES circuit[C] //Proc of Advances in Cryptology—CRYPTO 2012. Berlin: Springer, 2012: 850-867

[56]Cheon J H, Lee H T, Seo J H. A new additive homomorphic encryption based on the co-ACD problem[C] //Proc of ACM CCS 2014. New York: ACM, 2014: 287-298

[57]Costache A, Smart N P, Vivek S, et al. Fixed point arithmetic in SHE scheme[J]. ePrint 2016/250, 2016

[58]Cheon J H, Kim A, Kim M, et al. Floating-point homomorphic encryption[J]. ePrint 2016/421, 2016

[59]Zhou Jun, Cao Zhenfu, Dong Xiaolei, et al. Security and privacy in cloud-assistedwireless wearable communications: challenges, solutions and future directions[J]. IEEE Wireless Communications, 2015, 22(2): 136-144[60]Zhou Jun, Cao Zhenfu, Dong Xiaolei, et al. EVOC: More efficient verifiable outsourced computation from any one-way trapdoor function[C] //Proc of IEEE ICC 2015. Piscataway, NJ: IEEE, 2015: 7444-7449

[61]Zhou Jun, Cao Zhenfu, Dong Xiaolei. PPOPM: More efficient privacy preserving outsourced pattern matching[C] //Proc of ESORICS 2016. Berlin: Springer, 2016: 135-153

[62]Zhou Jun, Cao Zhenfu, Dong Xiaolei, et al. PPDM: A privacy-preserving protocol forcloud-assisted e-healthcare systems[J]. IEEE Journal of Selected Topics in SignalProcessing, 2015, 9(7): 1332-1344

[63]Sahai A, Waters B. Fuzzy Identity-Based Encryption[C] //Proc of EUROCRYPT 2005. Berlin: Springer, 2005: 457-473

[64]Cheung L, Newport C C. Provably secure ciphertext policy ABE[C] //Proc of 2007 ACM Conf on Computer and Communications Security (CCS). New York: ACM, 2007: 456-465

[65]Goyal V, Jain A, Pandey O, et al. Bounded ciphertext policy attribute based encryption[C] //Proc of the Int Colloquium on Automata, Languages, and Programming. Berlin: Springe, 2008: 579-591

[66]Emura K, Miyaji A, Nomura A, et al. A ciphertext-policy attribute-based encryption scheme with constant ciphertext length[C] //Proc of the Int Conf on Information Security Practice and Experience. Berlin: Springer, 2009: 13-23

[67] Herranz J, Laguillaumie F, Ràfols C. Constant size ciphertexts in threshold attribute-based encryption[C] //Proc of the Int Workshop on Public Key Cryptography. Berlin: Springer, 2010: 19-34

[68]Lewko A, Waters B. Unbounded HIBE and attribute-based encryption[C] //Proc of the Annual Int Conf on the Theory and Applications of Cryptographic Techniques.Berlin: Springer, 2011: 547-567

[69]Okamoto T, Takashima K. Fully secure unbounded inner-product and attribute-based encryption[C] //Proc of the Int Conf on the Theory and Application of Cryptology and Information Security. Berlin: Springer, 2012: 349-366

[70]Rouselakis Y, Waters B. Practical constructions and new proof methods for large universe attribute-based encryption[C] //Proc of ACM CCS 2013. New York: ACM, 2013: 463-474

[71]Green M, Hohenberger S, Waters B. Outsourcing the decryption of ABE ciphertexts[C/OL] //Proc of USENIX Security Symp. Berkeley, CA : USENIX, 2011[2016-06-15]. http://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.306.9655&rep=rep1&type=pdf

[72]Lewko A, Waters B. New proof methods for attribute-based encryption: Achieving full security through selective techniques[C] //Proc of the Advances in Cryptology—CRYPTO 2012. Berlin: Springer, 2012: 180-198

[73]Hohenberger S, Waters B. Attribute-based encryption with fast decryption[C] //Proc of Public-Key Cryptography—PKC 2013. Berlin : Springer, 2013: 162-179

[74]Hohenberger S, Waters B. Online/offline attribute-based encryption[C] //Proc of the Int Workshop on Public Key Cryptography. Berlin: Springer, 2014: 293-310

[75]Boneh D, Gentry C, Gorbunov S, et al. Fully key-homomorphic encryption, arithmetic circuit ABE and compact garbled circuits[C] //Proc of the Annual Int Conf on the Theory and Applications of Cryptographic Techniques. Berlin: Springer, 2014: 533-556

[76]Yamada S, Attrapadung N, Hanaoka G, et al. A framework and compact constructions for non-monotonic attribute-based encryption[C] //Proc of the Int Workshop on Public Key Cryptography. Berlin: Springer, 2014: 275-292

[77]Kowalczyk L, Lewko A B. Bilinear entropy expansion from the decisional linear assumption[C] //Proc of Advances in Cryptology—CRYPTO 2015. Berlin: Springer, 2015: 524-541

[78]Chen J, Gay R, Wee H. Improved dual system ABE in prime-order groups via predicate encodings[C] //Proc of Advances in Cryptology—EUROCRYPT 2015. Berlin: Springer, 2015: 595-624

[79]Gorbunov S, Vinayagamurthy D. Riding on asymmetry: Efficient ABE for branching programs[C] //Proc of Advances in Cryptology—ASIACRYPT 2015. Berlin: Springer, 2015: 550-574

[80]Attrapadung N, Hanaoka G, Yamada S. Conversions among several classes of predicate encryption and applications to abe with various compactness tradeoffs[C] //Proc of Advances in Cryptology—ASIACRYPT 2015. Berlin: Springer, 2015: 575-601

[81]Brakerski Z, Vaikuntanathan V. Circuit-ABE from LWE: Unbounded attributes and semi-adaptive security[J]. IACR Cryptology ePrint Archive, 2016

[82]Gong Junqing, Cao Zhenfu, Tang S, et al. Extended dual system group and shorter unbounded hierarchical identity based encryption[J]. Designs, Codes and Cryptography, 2016, 80(3), 525-559

[83]Gong Junqing, Chen Jun, Dong Xiaolei, et al. Extended nested dual system groups, revisited[C] //Proc of PKC 2016. Berlin: Springer, 2016: 133-163

[84]Attrapadung N, Hanaoka G, Yamada S. A framework for identity-based encryption with almost tight security[C] //Proc of the Int Conf on the Theory and Application of Cryptology and Information Security. Berlin: Springer, 2015: 521-549

[85]Jason H, Jiang S, Safavi-Naini R, et al. Attribute-based encryption with key cloning protection[J]. IACR Cryptology ePrint Archive 2008, 2008: No.478

[86]Yu S, Ren K, Lou W, et al. Defending against key abuse attacks in KP-ABE enabled broadcast systems[C] //Proc of the Int Conf on Security and Privacy in Communication Systems. Berlin: Springer, 2009: 311-329

[87]Katz J, Schroder D. Tracing insider attacks in the context of predicate encryption schemes[J/OL]. ACITA 2011. [2016-06-15]. https://www.usukita.org/node/1779

[88]Liu Zhen, Cao Zhenfu, Wong D S. White-box traceable ciphertext-policy attribute-based encryption supporting any monotone access structures[J]. IEEE Trans on Information Forensics and Security, 2013, 8(1): 76-88

[89]Ning Jianting, Cao Zhenfu, Dong Xiaolei, et al. Traceable CP-ABE with short ciphertexts: How to catch people selling decryption devices on eBay efficiently[C] //Proc of the European Symp on Research in Computer Security. Berlin: Springer, 2016: 551-569

[90]Liu Zhen, Cao Zhenfu, Wong D S, Blackbox traceable CP-ABE: How to catch people leaking their keys by selling decryption devices on ebay[C] //Proc of ACM Conf on Computer and Communications Security. New York: ACM, 2013: 475-486

[91]Ning Jianting, Cao Zhenfu, Dong Xiaolei, et al. Large universe ciphertext-policy attribute-based encryption with white-box traceability[C] //Proc of the European Symp on Research in Computer Security. Berlin: Springer, 2014: 55-72

[92]Ning Jianting, Cao Zhenfu, Dong Xiaolei, et al. White-box traceable ciphertext-policy attribute-based encryption supporting flexible attributes[J]. IEEE Trans on Information Forensics and Security (TIFS), 2015, 10(6): 1274-1288

[93]Ning Jianting, Cao Zhenfu, Dong Xiaolei, et al. Accountable authority ciphertext-policy attribute-based encryption with white-box traceability and public auditing in the cloud[C] //Proc of the European Symp on Research in Computer Security. Berlin: Springer, 2015: 270-289

[94]Hur J, Noh D K, Attribute-based access control with efficient revocation in data outsourcing systems[J]. IEEE Trans on Parallel Distribute System, 2011, 22(7): 1214-1221

[95]Liang Xiaohui, Cao Zhenfu, Lin Huang, et al. Attribute based proxy re-encryption with delegating capabilities[C] //Proc of the 4th Int Symp on Information, Computer, and Communications Security. New York: ACM, 2009: 276-286

[96]Qian Junlei, Dong Xiaolei. Fully secure revocable attribute-based encryption[J]. Journal of Shanghai Jiaotong University (Natural Science Edition), 2011, 16(4): 490-496

[97]Sahai A, Seyalioglu H, Waters B. Dynamic credentials and ciphertext delegation for attribute-based encryption[C] //Proc of the Advances in Cryptology—CRYPTO 2012. Berlin: Springer, 2012: 199-217

[98]Cherukuri S, Venkatasubramanian K K, Gupta S K S. BioSec: A biometric based approach for securing communication in wireless networks of biosensors implanted in the human body[C] //Proc of IEEE Int Conf on Parallel Processing Workshop. Piscataway, NJ: IEEE, 2003: 432-439

[99]Bao S D, Poon C C Y, Zhang Y T, et al. Using the timing information of hearbeats as an entity identifier to secure body sensor network[J]. IEEE Trans on Information Technology in Biomedicine, 2008, 12(6): 772-779

[100]Juels A, Sudan M. A fuzzy vault scheme[J]. Designs, Codes and Cryptography, 2006, 38(2): 237-257

[101]Venkatasubramanian K K, Banerjee A, Gupta S K S. PSKA: Usable and secure key agreement scheme for body area networks[J]. IEEE Trans on Information Technology in Biomedicine, 2010, 14(1): 60-68

[102]Hu C, Cheng X, Zhang F, et al. OPFKA: Secure and efficient ordered-physiological-feature-based key agreement for wireless body area networks[C] //Proc of INFOCOM 2013. Piscataway, NJ: IEEE, 2013: 2274-2282

[103]Lu R, Lin X, Liang X, et al. A secure handshake scheme with symptoms-matching for mhealthcare social network[J]. Mobile Networks and Applications, 2011, 16(6): 683-694

[104]Wang H, Fang H, Xing L, et al. An integrated biometric-based security framework using wavelet-domain HMM in wireless body area networks (WBAN)[C] //Proc of the 2011 IEEE Int Conf on Communications (ICC). Piscataway, NJ: IEEE, 2011: 1-5

[105]Ren Y, Werner R, Pazzi N, et al. Monitoring patients via a secure and mobile healthcare system[J]. IEEE Wireless Communications, 2010, 17(1): 59-65

[106]Zhou Jun, Cao Zhenfu, Dong Xiaolei, et al. 4S: A secure and privacy-preserving key management scheme for cloud-assisted wireless body area network in m-healthcare social networks[J]. Information Sciences, 2015, 314: 255-276

[107]Zhang R, Zhang Y, Sun J, et al. Fine-grained private matching for proximity-based mobile social networking[C] //Proc of INFOCOM 2012. Piscataway,NJ: IEEE, 2012: 1969-1977

[108]Liang X, Li X, Zhang K, et al. Fully anonymous profile matching in mobile social networks[J]. IEEE Journal on Selected Areas of Communications (JSAC), 2013, 31(9): 641-655

[109]Li L, Zhao X, Xue G, et al. Privacy preserving group ranking[C] //Proc of the 32nd Int Conf on Distributed Computing Systems (ICDCS). Piscataway, NJ: IEEE, 2012: 214-223

[110]Zhang L, Li X Y, Liu Y, et al. Verifiable private multi-party computation: Ranging and ranking[C] //Proc of INFOCOM 2013. Piscataway, NJ: IEEE, 2013: 605-609

[111]Li X Y, Jung T. Search me if you can: Privacy-preserving location query service[C] //Proc of INFOCOM 2013. Piscataway, NJ: IEEE, 2013: 2760-2768

[112]Lu R, Liang X, Li X, et al. EPPA: An efficient and privacy-preserving aggregation scheme for secure smart grid communications[J]. IEEE Trans on Parallel and Distributed Systems, 2012, 23(9): 1621-1631

[113]Erkin Z, Tsudik G. Private computation of spatial and temporal power consumption with smart meters[G] //LNCS 7341: Proc of ACNS’12. Berlin: Springer, 2012: 561-577

[114]Liang X, Li X, Lu R, et al. UDP: Usage based dynamic pricing with privacy preservation for smart grid[J]. IEEE Trans on Smart Grid, 2013, 4(1): 141-150

[115]Won J, Ma C Y T, Yau D K Y, et al. Proactive fault-tolerant aggregation protocol for privacy-assured smart metering[C] //Proc of the IEEE Conf on Computer Communications (INFOCOM 2014). Piscataway, NJ: IEEE, 2014: 2804-2812

[116]Dong Xiaolei, Zhou J, Alharbi K, et al. An ElGamal-based efficient and privacy-preserving data aggregation scheme for smart grid[C] //Proc of IEEE Globecom 2014. Piscataway, NJ: IEEE, 2014: 4720-4725

[117]Lin X, Sun X, Wang X, et al. TSVC: Timed efficient and secure vehicular communications with privacy preserving[J]. IEEE Trans on Wireless Communication, 2008, 12(7): 4987-4998

[118]Zhang C, Lin X, Lu R, et al. RAISE: An efficient RSU-aided message authentication scheme in vehicular communication networks[C] //Proc of IEEE ICC. Piscataway, NJ: IEEE, 1451-1457

[119]Lin X, Li X. Achieving efficient cooperative message authentication in vehicular ad hoc networks[J]. IEEE Trans on Vehicular Technology, 2013, 62(7): 3339-3348

[120]Lu R, Lin X, Liang X, et al. A dynamic privacy-preserving key management scheme for location based services in VANETs[J]. IEEE Trans on Intelligent Transportation Systems, 2012, 13(1): 127-139

[121]Lu R, Lin X, Luan T H, et al. PReFilter: An efficient privacy-preserving relay filtering scheme for delay tolerant networks[C] //Proc IEEE INFOCOM’12. Piscataway, NJ: IEEE, 1395-1403

[122]Zhou Jun, Dong Xiaolei, Cao Zhenfu, et al. Secure and privacy preserving protocol for cloud-based vehicular DTNs[J]. IEEE Trans on Information Forensics and Security, 2015, 10(6): 1299-1314

[123]Liang Xiaohui, Cao Zhenfu, Lin Huang, et al. Attribute based proxy re-encryption with delegating capabilities[C] //Proc of ASIACCS 2009. New York: ACM, 2009: 276-286

[124]Liu Zhen, Cao Zhenfu, Huang Qiong, et al. Fully secure multi-authority ciphertext-policy attribute-based encryption without random oracles[G] //LNCS 6879: Proc of European Symp on Research in Computer Security (ESORICS 2011). Berlin: Springer, 2011: 278-297

[125]Zhou Jun, Cao Zhenfu, Dong Xiaolei, et al. TR-MABE: White-box traceable and revocable multi-authority attribute-based encryption and its applications to multi-level privacy-preserving e-healthcare cloud computing systems[C] //Proc of IEEE INFOCOM 2015. Piscataway, NJ: IEEE, 2015: 2398-2406

Cao Zhenfu, born in 1962. PhD, distinguished professor in East China Normal University. His main research interests include number theory and new theories for cryptography and network security (security and privacy preserving for cloud computing and big data processing).

Dong Xiaolei, born in 1971. PhD, distinguished professor in East China Normal University. Her main research interests include number theory, cryptography and network security, and big data security and privacy preserving (dongxiaolei@sei.ecnu.edu.cn).

Zhou Jun, born in 1982. PhD, Chen Hui Scholar in East China Normal University. His main research interests include key theories for secure outsourced computation and privacy preserving, and the applied cryptography in big data processing (jzhou@sei.ecnu.edu.cn).

Shen Jiachen, born in 1979. PhD, lecturer in East China Normal University. His main research interests include searchable encryption and signal processing in the encrypted domain (jcshen@sei.ecnu.edu.cn).

Ning Jianting, born in 1988. PhD candidate in Shanghai Jiao Tong University. His main research interests include attribute-based encryption, identity-based encryption, functional encryption, zero knowledge proof, and applications in cloud computing and big data (jelly408385909@163.com).

Gong Junqing, born in 1986. PhD candidate in Shanghai Jiao Tong University. His main research interests include construction and analysis for functional encryption (gongjun qing@126.com).

Research Advances on Big Data Security and Privacy Preserving

Cao Zhenfu1, Dong Xiaolei1, Zhou Jun1, Shen Jiachen1, Ning Jianting2, and Gong Junqing2

1(DepartmentofCryptographyandNetworkSecurity,SchoolofComputerScienceandSoftwareEngineering,EastChinaNormalUniversity,Shanghai2000622(DepartmentofComputerScienceandEngineering,ShanghaiJiaoTongUniversity,Shanghai200240)

Nowadays, data security and privacy preserving have been definitely becoming one of the most crucial issues in the big data setting, where data encryption plays the most important role to achieve these goals. Therefore, to explore new data encryption techniques and new modes of big data processing has emerged as one of the most popular research topics all over the world. During the whole life cycle of data, the problems of computation, access control and data aggregation in the ciphertext domain (ciphertext computation, ciphertext access control and ciphertext data aggregation) are three critical issues in this research field. In this paper, we firstly review the state-of-the-art in the field of ciphertext computation, ciphertext access control and ciphertext data aggregation by identifying their inappropriateness. Based on it, a series of recent results in this research field are presented. In the aspect of ciphertext computation, a new method of designing efficient privacy preserving outsourced computation by reducing the usage times of public key encryption is proposed, with the implementation of a concrete construction which is realized by one time offline computation of any one-way trapdoor permutation without exploiting the technique of public key (fully) homomorphic encryption. In the aspect of ciphertext access control, a short ciphertext size traceable and revocable attribute-based encryption supporting flexible attributes is proposed. In the aspect of ciphertext data aggregation, an efficient privacy preserving data aggregation protocol with both input privacy and output privacy is devised without exploiting public key additive homomorphic encryption. Finally, we also suggest several interesting open research issues and the trend in the future.

big data security; privacy preserving; ciphertext computation; ciphertext access control; ciphertext data aggregation

2016-06-15；

2016-09-20

國家自然科學基金項目(61373154，61371083，61632012，61672239，61602180)；高等學校博士學科點專項科研基金優先發展計劃項目(20130073130004)；上海市高科技項目(16511101400)；上海市自然科學基金項目(16ZR1409200)

董曉蕾(dongxiaolei@sei.ecnu.edu.cn)

TP393

This work was supported by the National Natural Science Foundation of China (61373154, 61371083, 61632012, 61672239, 61602180), the Prioritized Development Projects Through the Specialized Research Fund for the Doctoral Program of Higher Education of China (20130073130004), Shanghai High-Tech Field Project (16511101400), and the Natural Science Foundation of Shanghai (16ZR1409200).