浅析云计算中的密码技术 马春光 哈尔滨工程大学 教授、博导

Presentation on theme: "浅析云计算中的密码技术 马春光 哈尔滨工程大学 教授、博导"— Presentation transcript:

1 浅析云计算中的密码技术 马春光 machunguang@hrbeu.edu.cn 哈尔滨工程大学 教授、博导
中国密码学会理事、中国保密协会理事

2 提纲 1.云计算 2.密码技术 3.属性基加密 4.可搜索加密 5.全同态加密 6.总结

3 提纲 1.云计算 2.密码技术 3.属性基加密 4.可搜索加密 5.全同态加密 6.总结

4 云计算—定义 云计算，是一种通过互联网络，以按需付费的方式，便利地访问和获取共享资源池中可配置计算资源(例如，网络、服务器、存储设备、应用和服务等) 的商业应用模式。 在当前日益增长的大规模数据存储和处理的需求下，云计算发挥着举足轻重的作用。其所具备的广泛访问、弹性服务和按需付费等特点，根本性地改变了人类生活、生产和商业模式。 全世界只需要 5 台电脑就足够了 ——托马斯·沃森 个人用户的内存只需 640K 足矣 ——比尔·盖茨 Mell P., Grance T. The NIST definition of cloud computing. National Institute of Standards and Technology Special Publication , 2011.

5 云计算—服务模式 IaaS PaaS SaaS NaaS CaaS BaaS

6 IaaS：基础架构即服务 IaaS：Infrastructure as a service 以按需方式通过Internet 网络，向用户提供云计算最原始的组成部分，包括信息处理和存储能力，以及其他形式的低层次虚拟化的网络和硬件资源等。 区别于传统主机服务中按时间租赁整个(或部分) 实体服务器的模式，IaaS 是以按需的方式，虚拟化的形式，为用户提供服务，并且服务还可根据用户需求进行适当扩展。 在虚拟化的服务中，IaaS 用户无须了解和管理云基础架构的内容，而只需控制所虚拟的操作系统、存储设备以及实施的应用程序等。 IaaS 应用实例：Amazon 的EC2 (Elastic Cloud Computing) 和S3 (Simple Storage Service) 开放云计算平台。

7 PaaS：平台即服务 PaaS：Platform as a service 在IaaS 基础上，进一步向用户提供应用程序的编程和执行环境。
在PaaS 模式下，用户能够使用程序设计语言以及云计算平台所提供的API，编写和设计满足自身需求的应用程序，并将其直接实施至该服务提供商所提供的基础设施之上。 类似于IaaS，PaaS 用户也无需关注基础架构和系统管理（例如应用程序的开发环境、测试环境和生产环境的创建和转换等），而可将注意力集中到应用程序的设计和实施，以及具体执行环境的配置之中。 应用实例：Google App Engine。

8 SaaS：软件即服务 Everything as a service ?
SaaS：Software as a service 向用户提供了一种完全通过Internet 网络访问和使用应用程序的方式。 SaaS 中的软件和应用程序，通常运行在云服务提供商的基础设施之上，用户可以通过客户端（例如浏览器等） 访问这些应用程序并获得相应服务。 SaaS 革命性地改变了在本地主机上安装、保存和运行应用程序的传统方式，降低了用户对本地主机硬件设备的依赖，同时其按需付费的服务方式，也节省了用户为购买完整软件所付出的开销。 SaaS 应用实例：Salesforce。 NaaS：Network as a service CaaS：Communications as a service BaaS：BlockChain as a service Everything as a service ?

9 云计算—安全与隐私 随着信息化技术的发展，数据的价值上升到了前所未有的高度。
随着云计算的广泛应用，其所带来和引发的安全问题也逐渐凸显，并成为制约云计算进一步发展和实施的关键性因素。 在云计算的服务模式下，用户须将数据“托付”给云服务提供商，这些失去用户控制的数据，不可避免地面临被窃取或篡改的潜在威胁。 根据Gartner 在2009 年的统计数据，70% 以上受访企业的首席执行官均表示，不采用云计算的首要原因在于对云端数据隐私性的担忧。 根据2013 年云计算安全联盟(Cloud Security Alliance，简称CSA) 的安全威胁报告，云端数据的泄露、丢失和劫持被视为当前云计算中最严重的三大威胁。 “棱镜门”事件，也充分暴露了一些大国正在利用信息技术优势，主动而有计划地采集和窃取他国数据。

10 云计算—安全与隐私

11 云计算—安全架构

12 云计算—安全架构 密码技术 加密、签名、密码协议、密钥管理

13 云计算—加密数据处理 云计算中数据外包存储后，会对数据的机密性、完整性产生威胁。
如果数据属主无法信任云服务器，那么他就会将敏感数据加密后再上传到云服务器。这样，会带来一系列有关“加密数据处理”的新问题，需要新的密码技术。 密文访问：属性基加密 Access Control on Encrypted Data：Attribute-based encryption（ABE） 密文检索：可搜索加密 Retrieve on Encrypted Data：Searchable encryption (SE) 密文计算：全同态加密 Computing on Encrypted Data：Fully homomorphic encryption (FHE)

14 提纲 1.云计算 2.密码技术 3.密文访问：属性基加密 4.密文检索：可搜索加密 5.密文计算：全同态加密 6.总结

15 密码技术 密码技术，根据加解密密钥是否相同，可以分为对称密码技术和非对称密码（公钥密码）技术
密码学，研究有敌手（黑客）存在的信息系统 密码学，包括密码编码学和密码分析学两个分支 信息安全属性：机密性、完整性、真实性、不可抵赖性、可用性、可控性 密码技术，可以保障信息的机密性、完整性、真实性、不可抵赖性、可控性 密码技术，根据加解密密钥是否相同，可以分为对称密码技术和非对称密码（公钥密码）技术 密码技术，根据用途不同，还可以分为密码算法和密码协议（也称为安全协议）

16 密码体制 Cryptosystem（Scheme） 密码体制五元组（M, C, K, E, D） 密钥量 好的密码体制 明文空间 密文空间
密钥空间（加密密钥，解密密钥） 加密算法 解密算法 密钥量 衡量密码体制安全性的重要指标 好的密码体制 已知明文，已知加密密钥，加密容易； 不知解密密钥，解密困难。

17 密码体制 Symmetric & Asymmetric (public key) 对称（单钥），非对称（公钥）
Symmetric-key algorithms are algorithms for cryptography that use the same cryptographic keys for both encryption of plaintext and decryption of ciphertext. The keys may be identical or there may be a simple transformation to go between the two keys. Other terms for symmetric-key encryption are secret-key, single-key, shared-key, one-key, and private-key encryption. Public-key cryptography, also known as asymmetric cryptography, is a class of cryptographic algorithms which requires two separate keys, one of which is secret (or private) and one of which is public. Although different, the two parts of this key pair are mathematically linked. The public key is used to encrypt plaintext or to verify a digital signature; whereas the private key is used to decrypt ciphertext or to create a digital signature. 对称（单钥），非对称（公钥） 对称密码的效率更高，常用于数据量较大的保密通信。 公钥密码的安全性可以证明，常用于数字签名、密钥分发。

18 保密通信系统（对称加密） Claude Elwood Shannon (1916 – 2001)
a confidential report “ a Mathematical Theory of Cryptography” dated Sept. 1, 1946, which has now been declassified. Online retyped copy of the paper (

19 公钥（非对称）加密 Whitfield Diffie (born June 5, 1944) Martin Edward Hellman
(born October 2, 1945)

20 提纲 1.云计算 2.密码技术 3.密文访问：属性基加密 4.密文检索：可搜索加密 5.密文计算：全同态加密 6.总结

21 属性基加密（ABE） 应用场景：密文访问（支持灵活的访问控制策略） 系统结构：云服务器、云用户（数据宿主、数据使用者）
用户身份标识：多个属性 访问控制策略：属性谓词 只有属性满足“属性谓词” 的用户，才能解密文件 宿主 云服务器 使用者

22 属性基加密（ABE） Attribute-based encryption（ABE）
is a type of public-key encryption in which the secret key of a user and the ciphertext are dependent upon attributes (e.g. the country in which he lives, or the kind of subscription he has). In such a system, the decryption of a ciphertext is possible only if the set of attributes of the user key matches the attributes of the ciphertext. Ciphertext-policy ABE (CP-ABE) In the CP-ABE, the encryptor controls access strategy, as the strategy gets more complex, the design of system public key becomes more complex, and the security of the system is proved to be more difficult. The main research work of CP-ABE is focused on the design of the access structure. Key-policy ABE (KP-ABE) In the KP-ABE, attribute sets are used to explain the encrypted texts and the private keys with the specified encrypted texts that users will have the left to decrypt.

23 属性基加密（ABE） 是一种公钥加密算法 源于身份基加密（IBE） ：身份标识（ID）作为公钥。
fuzzy IBE：将IBE 中的身份替换为模糊属性集合，以解决生物身份识别中可能存在的因生物标识(例如指纹等) 存在的噪声而导致验证失败的问题。同时也支持基于门限策略的访问控制。 数据属主仅须提供属性(或访问策略) 以加密消息，而无需关注合法用户的身份或数量； 只有符合密文属性(或访问策略) 的用户才能成功解密，即意味着服务器无法通过密文获得信息； ABE 机制能够预防用户的合谋攻击，即使所有非法用户联合共享其私钥，也无法解密消息密文； ABE支持各种灵活访问控制结构，可以实现门限、属性的与或非连接以及任意非单调的访问控制结构。 ABE 在云计算中应具有更好的应用前景。

24 属性基加密（ABE） ABE 分为两类： CP-ABE (密文策略ABE )：属性集与用户私钥绑定，而数据属主以访问策略（公钥）来加密数据。适用于用户静态的场景。 KP-ABE (密钥策略ABE ) ：访问控制策略与用户私钥绑定，而数据属主提供属性集合（公钥）来加密数据。适用于数据静态的场景。 KP-ABE FussyIBE IBE ABE CP-ABE

25 密文策略ABE（CP-ABE） 用户私钥生成 数据属主（Alice） 数据使用者（Bob）
密钥生成器（KG），根据每个用户的属性集合（公钥），为其生成私钥。 数据属主（Alice） 为某个数据，制定访问策略（属性的谓词） 以此访问策略来加密此数据 将加密数据上传到云服务器（CS） 数据使用者（Bob） 从云服务器下载加密数据 如果其属性集合满足访问策略，则可正确解密 否则，不能正确解密

26 密文策略ABE（CP-ABE） Bob的属性集合为：AS-B = {计算机系, 2013, 学生}
Carlos的属性集合为：AS-C = {数学系, 2014, 学生} KG 根据AS-B（AS-C），为 Bob（Carlos） 生成私钥 Sk-B（ Sk-C） Alice 为数据 D，制定访问策略：P-D = “计算机系 and (2013 or 2014)” Alice 用P-D加密数据 D，得到密文 C Alice 将C上传到CS Bob 从CS下载 C 因为 AS-B 满足P-D，所以 Bob 用SK-B，可正确解密 C， 得到D Carlos 从CS下载 C 因为 AS-C 不满足P-D，所以Carlos用SK-C，不能正确解密 C

27  密文策略ABE（CP-ABE） Alice Bob Carlos 属主以访问策略来加密数据 {计算机系, 2013, 学生}
与 或 计算机系 2013 2014 {计算机系, 2013, 学生} Bob 属性集与使用者私钥绑定 属主以访问策略来加密数据  {数学系, 2014, 学生} Carlos 适用于用户静态的场景 Alice

28  密钥策略ABE（KP-ABE） Bob Alice 适用于数据静态的场景 ・X1 = A ・X2 = T ・X3 = G ・X1 = T
・X3 = C ・X1 = C ＡＮＤ 　X3 = G ＯＲ X1= A　 X2 = C  访问控制策略与用户私钥绑定 属主提供属性集来加密数据 适用于数据静态的场景 Alice Bob

29 提纲 1.云计算 2.密码技术 3.密文访问：属性基加密 4.密文检索：可搜索加密 5.密文计算：全同态加密 6.总结

30 可搜索加密（SE） 应用场景：密文检索（Retrieval on Encrypted Data）
可搜索加密：Searchable Encryption （SE） SE，使得用户利用云服务器的强大计算能力，对密文进行关键词检索，而不会向服务器泄露任何用户的隐私。 这不仅使得用户的隐私得以保护，而且检索效率也在服务器的帮助下得到了大幅度的提升。 用于解决云端数据在变为密文后，因丧失诸多特性，而无法被便捷访问的问题。 对称可搜索加密：Symmetric Searchable Encryption（SSE） 非对称可搜索加密：Asymmetric Searchable Encryption（ASE），公钥关键词搜索加密：public key encryption with keyword search（PEKS）

31 可搜索加密（SE） 数据加密：数据宿主在本地使用加密密钥对文件加密，并将密文上传到云服务器；
陷门生成：经过数据宿主授权的数据使用者，使用密钥对待查询的关键词生成陷门，发送给云服务器； 查询检索：云服务器对数据使用者提交的陷门和每个上传文件的索引表进行检索，返回包含陷门关键词的密文； 数据解密：数据使用者使用解密密钥，对云服务器返回的密文进行解密。

32 可搜索加密（SE） 可搜索加密一般过程

33 对称可搜索加密(SSE) 应用场景：不可信赖服务器的存储问题 基本解决方案：基于密文扫描思想的可搜索加密
假设用户Alice 试图将个人文件存放在一个诚实但具有好奇心（ honest-but-curious ）的外部服务器。为保护文件的隐私，Alice 须加密后再存储。 若采用传统分组密码，只有密钥拥有者才具备解密能力，意味着Alice 在未来执行基于关键词的查询操作时，须下载所有已上传的文件，完全解密后再检索，效率极低。 催生出一种新型加密需求：须同时具备加密和密文直接检索功能，使服务器无法窃取用户个人数据，但又可以根据查询请求检索和返回目标密文文件。 基本解决方案：基于密文扫描思想的可搜索加密 将明文文件划分为“单词”，并对其分别加密。 在响应查询请求时，服务器扫描整个密文文件，并对密文单词进行一一比对，就可确认待查询关键词是否存在，甚至统计其出现次数。

34 对称可搜索加密(SSE) D. X. Song, D. A, Wagner, A. Perrig: Practical Techniques for Searches on Encrypted Data. IEEE Symposium on Security and Privacy 2000.

35 对称可搜索加密（SSE） 搜索语句的表达能力：单（多）关键词，精确（模糊）关键词
安全性：选择关键词攻击（CKA），选择明文攻击（CPA），字典攻击（DA） 具体技术：流密码，布隆过滤器，编辑距离，敏感哈希 对服务器存放的密文文件进行动态添加、更新或删除； 对基本方案中“单个关键词精确匹配”查询方式进行扩展，以适应更广泛查询需求； 对基本方案中“包含与不包含”查询模式进行优化，以进一步降低用户端筛选目标文件的计算量； 半可信且具有好奇心（ semi-honest-but-curious ）威胁模型，即服务器并不总是诚实地计算并返回检索结果的情况。

36 非对称可搜索加密(PEKS) 应用场景：不可信赖服务器的路由存储问题 解决方案：基于IBE（身份基加密）
假设 Bob 通过不可信赖邮件服务器，向 Alice 发送包括某些关键词的邮件。要求服务器不能获取邮件内容和相关关键词信息，但需根据关键词将邮件路由至 Alice 的相应终端设备。 例如，如果邮件的关键词为“urgent”，则服务器将邮件转发至Alice 的手机；如果邮件的关键词为“lunch”，则服务器将邮件转发至Alice 的电脑。 解决方案：基于IBE（身份基加密） 利用IBE，构造PEKS方案，在ROM下可证安全 基于k-resilient IBE 构造KR-PEKS 方案，在标准模型下可证安全 基于二次剩余中二次不可区分性问题的PEKS 方案 搜索语句的表达能力：单关键词、多关键词；精确查询、模糊查询 安全性：IND-CKA（不可区分自适应性选择关键词攻击）

37 隐私信息检索(PIR) Privacy Information Retrieval
应用场景：从一个 n-bit的数据库中隐秘获取第 i-bit 的数据 Alice是查询者，Bob是数据库拥有者 Bob存储的数据用 N个字符串X={x1,x2,…,xN}来表示 Alice想从Bob 那里查询索引为i∈{1,2,…,N}的数据 xi，但又不希望 Bob 知道“i”的信息，而 Bob也不想 Alice 知道除 xi以外的数据库信息。

38 提纲 1.云计算 2.密码技术 3.密文访问：属性基加密 4.密文检索：可搜索加密 5.密文计算：全同态加密 6.总结

39 全态加密(FHE) Fully Homomorphic Encryption（FHE）
应用场景：密文计算，即直接由云服务器，对存储其中的加密数据进行运算 数据使用者通过云服务器，直接对加密数据进行各种运算，并将符合条件的加密数据返还给数据使用者。之后，数据使用者可使用对应的解密密钥，对收到的加密数据进行解密。 用户对外包数据处理时，不必频繁地存取和加解密数据，极大地减少外包服务器端和用户端的通信和计算开销，也保证了数据处理过程中的安全性。 利用全同态加密技术，对加密数据的分析能得到与原始数据同样细致的结果。在保持用户数据隐私性的同时，为分析和挖掘云服务器存储的海量数据开辟了无限的商机。

40 F(e) = E(f (m))，即 F(E(m)) = E(f (m))，
全态加密(FHE) 设加密操作为 E，明文为 m，相应密文为 e，即 e = E(m) 若对明文操作 f，可构造操作F，满足 F(e) = E(f (m))，即 F(E(m)) = E(f (m))， 则称 E 为一个针对 f 的同态加密算法。 若对任意复杂的明文操作 f，都能构造出相应的 F，则称 E 为 全同态加密（Fully Homomorphic Encryption）算法。 FHE的目的是，找到一种能在加密的数据上进行任意次数加法和乘法运算的加密算法，使得对加密数据进行某种操作所得到的结果，恰好等于对加密前的数据进行预期的操作后所得到的密文。

41 全态加密(FHE) Alice 通过 Cloud，以 HE 处理数据的过程：
2）Alice向Cloud提交数据的处理方法，这里用函数 f 来表示； 3）Cloud 在函数 f 下对数据进行处理，并且将处理后的结果发送给Alice； 4）Alice对数据进行解密，得到结果。

42 全态加密(FHE) 云计算服务提供商接受用户委托，在不暴露原始数据的前提下，充分分析其他用户的数据。
可把加密了的个人工资和支出情况交给网上纳税服务系统来处理。 能帮助计算机用户从搜索引擎中提取信息，而不必让搜索引擎了解具体请求内容。 也用于对加密的电子医疗档案进行分析。 目前的FHE 计算量巨大，难以在现有计算技术条件下实现。 如何提高 FHE 加解密效率、降低密钥存储空间，如何设计满足IND-CCA2 安全性的全同态加密方案，是研究难点。

43 提纲 1.云计算 2.密码技术 3.密文访问：属性基加密 4.密文检索：可搜索加密 5.密文计算：全同态加密 6.总结

44 总结 云计算数据安全与隐私 “密文数据上云” 催生新的密码技术。 基本的密码学知识
密文访问：属性基加密（AE），CP-ABE、KP-ABE，可支持灵活的密文访问控制策略 密文检索：可搜索加密（SE），ASE，PEKS，可按关键词进行密文搜索，隐私信息检索（ PIR ） 密文计算：全同态加密（FHE），可在云端进行任意密文的同态运算

45 提纲 1.云计算 2.密码技术 3.密文访问：属性基加密 4.密文检索：可搜索加密 5.密文计算：全同态加密 6.总结

46 关于我们 哈工程网络与信息安全研究团队 哈工程智能计算与安全研究室 黑龙江省保密局保密科技重点实验室 中科院信工所—哈工程保密科技联合实验室
分布式密码算法与协议 格密码 数据安全与隐私 云计算安全与隐私 区块链 机器学习安全与隐私

47

48 THANK YOU （WeChat）