信息安全的新发展
——为《计算机研究与发展》创刊六十周年而作

曹珍富

(华东师范大学计算机科学与软件工程学院 上海 200062)

《计算机研究与发展》作为我国最早的计算机刊物，创刊已经整整60周年了.而信息安全作为一个学科领域的公开研究却是从1976年Diffie-Hellman提出公钥密码开始的.本人于1980年开始从事公钥密码研究，当时就给出了几类RSA改进方案和数字签名方案，所以有幸成为公钥密码学研究的最早的见证者之一，出版了国内第一部《公钥密码学》专著[1]和国际上第一部涉及多方的密码学专著《现代密码学的新方向》[2].

按照解决安全问题的手段，信息安全大致可分为两大类：1)基于保密手段的系统安全；2)公开手段的密码安全.系统安全通常是不用密码技术的，而密码安全是使用密码技术的.因为密码技术是可证明安全的，所以后者又被称为可证明安全的安全技术.如今，随着移动互联网、物联网、云计算、大数据、区块链与人工智能等新型网络形态及网络服务的兴起，人们开始在系统安全领域不断引入密码技术并提出新的密码问题，使得密码安全不断地渗透到系统的方方面面.这种渗透可能是信息安全发展过程中的最大趋势了.而渗透的结果加上新的服务运营模式，使得现代密码学呈现新的特点[3-4]：

1)“端端”单方模式改变为多方模式——由“一对一”的单方通信模式改变为“一对多”、“多对一”、“多对多”的多方通信模式(将产生非常多的涉及多方的密码学理论问题)；

2)“位置”本地模式改变为异地模式——计算和处理模式由本地位置向异地位置转变(本地可控向异地不可控、不可泄露转变)；

3)“安全模型”由信道安全改变为“信道安全+”模型——即除了信道安全，还需具有其他安全性要求.

在这里，我将从应用驱动出发，较为详细地介绍在密文访问控制、安全外包计算、安全搜索、电子货币与区块链安全、人工智能与机器学习中的安全与隐私保护等方面的最新理论研究进展与未来发展方向.此外，还将介绍这些成果的一些应用，包括加密数据共享移动设备研制与基于生物信息的身份鉴别类应用等.

1 密文访问控制

密文访问控制(ciphertext access control)也称密态访问控制，是指对密文数据实现的访问控制.属性基加密(attribute-based encryption, ABE)通过对用户私钥设置属性集(或访问结构)，为数据密文设置访问结构(或属性集)，由属性集和访问结构之间的匹配关系确定其解密能力.特别是密文策略的属性基加密(ciphertext-policy attribute-based encryption, CP-ABE)是解决密文存储后访问控制问题的重要出发点.自Shannon在1948年提出经典信道通信模型以来，历经几十年的发展历程，直到Diffie-Hellman密钥交换的出现，以至当前如火如荼地建立在选择明文安全或适应性选择密文安全模型基础上的属性基加密，国内外学者一直沿袭着信道安全模型的脚步开展了一系列重要研究并取得了里程碑式的结果[5].然而，为了达到“双赢”乃至“多赢”的目的，敌手可以向非授权用户恶意泄露其私钥或公开售卖声称具有特定解密能力的解密黑盒，以获得非法收益.由于在CP-ABE中，所有能使得密文中的访问控制结构为真的用户都拥有合法私钥可以成功解密密文，为了有效抵抗密钥共享攻击，必须从应用需求出发考虑可追踪的安全模型，对密钥泄露源进行有效追踪.其次，还需要设计有效的撤销机制，将非授权用户非法获得的访问控制权限进行撤销，从而将私钥泄露的损害降到最低.在传统信道安全模型的基础上，融合可追踪、可撤销的安全模型，从而迈入“信道安全+”的时代，成为了当今信息安全发展的一大趋势.

为了适应大数据背景下计算、通信能力受限的移动用户的性能需求，寻求更短密文、短密钥、短公开参数的，且具备丰富表达能力的，基于简单标准难题假设的可追踪、可撤销、多机构属性基加密方案是一个值得进一步研究的方向[6-11].近年来，在可追踪方面，我和刘振、Wong D S[6]提出了第一个同时支持高表达力和抗全合谋黑盒可追踪性的密文策略属性基加密系统，后来我们[7]还提出了一个同时支持白盒可追踪和大属性空间的密文策略属性基加密方案.在可撤销方面，我和梁晓辉、林煌等人[8]提出了多用单向的属性基代理重加密方案，基于授权有效地实现了由一个访问控制结构到另一任意访问控制结构的完全密钥撤销.之后，董晓蕾等人[9]提出了(无需授权的)可撤销属性基加密方案，引起Sahai等人的极大兴趣，后者在2012年的国际密码技术年会上提出了另一个适合动态的可撤销属性基加密方案[10].后来，我和周俊、董晓蕾等人[11]还提出了第一个同时具有白盒可追踪、可撤销与多机构的密文策略属性基加密方案，适用范围大大扩大了.

2 轻量级安全外包计算

安全外包计算(secure outsourced computation)是指计算资源受限的用户将计算开销较大的函数运算外包给云服务提供商在密文域上实现.而云服务提供商可能是半可信的甚至是恶意的(比如被收买)：半可信是指服务提供商严格执行协议的规定，但通过与用户的交互最大程度地提取有关用户隐私的秘密信息；恶意是指服务提供商可以任意破坏协议的执行来获得用户隐私的秘密信息.安全外包计算正是因解决这方面问题而提出的前沿课题，它能够实现在外包计算过程中的输入隐私、输出隐私和函数隐私.

然而国内外有关可验证外包计算的研究工作多基于公钥全同态加密技术实现，需要将计算开销本来就较大的公钥全同态加密作用在每一个输入数据上来实现隐私保护，其巨大的计算开销无法满足面向大数据系统的性能需求.更重要的是，直接将公钥全同态加密应用于数据本身，违背了混合加密体制中用公钥加密算法来加密较短的对称密钥，用对称密钥来加密大数据这一基本原则[3].国内外大量研究尝试通过减少公钥全同态加密本身的计算开销来构造轻量化的密文计算方案，然而其结果仍无法满足大数据背景下的客观需求.因此，如何在不得不使用公钥加密实现隐私保护的前提下，通过减少公钥加密的使用次数(最低只使用一次，与输入数据的大小无关)来实现不依赖公钥全同态加密的、高效的隐私保护外包计算新理论、新方法，是一个全新的研究方向.此外，如何在恶意环境下，设计高效的安全外包计算结果正确性验证机制，也是国内外研究的热点之一[12-13].近年来，我和周俊、董晓蕾等人[12]提出了不依赖公钥加法同态加密的数据包传输证据生成算法，解决了基于云的车载容迟网络中抵抗合谋夹层攻击这一挑战性问题.同时，我们[13]不依赖公钥全同态加密，提出了一个基于SIFT特征描述子的轻量级隐私保护外包图像特征提取与匹配协议.

3 安全搜索

安全搜索(secure search)通常指对加密数据的有效搜索.为了解决当数据加密存储在云端时，服务器不完全可信的前提下如何利用服务器来完成安全的关键词的搜索问题，学者们提出了可搜索加密(searchable encryption).作为安全搜索的核心技术，可搜索加密具有广阔的应用前景，对云计算及大数据环境下构造安全、高效的安全搜索方案具有很强的理论及现实意义.然而，近年来随着无线通信与移动计算的迅猛发展，无线体域网、智能电网、车载网等一系列新兴网络应用均具有存储和计算资源受限的特点.因此，真正实现安全搜索仅依赖可搜索加密技术是不够的.我们可将安全搜索定义为：“可搜索加密+X”，其中X可根据不同的安全搜索需求定义不同的研究对象[14].同时，为使得安全搜索在新兴网络应用服务中达到高效实例化，还需要研究可搜索加密轻量化、批量化处理技术，其基本要求是：在不损失安全性的前提下使之适合各类资源受限的网络应用.

可搜索加密主要包含对称可搜索加密(symme-tric searchable encryption)和非对称可搜索加密(asymmetric searchable encryption)两种类型，二者分别在功能和性能方面有不同的侧重点，分别用来解决云计算不同场景下的业务需求问题.根据文件拥有者和查询用户数目的多少，可搜索加密可以分为一对一、一对多、多对一和多对多4种模式.可参看文献[14].

可搜索加密未来主要研究方向体现在3方面：

1) 灵活的密文搜索语句不仅能够让用户可以更加精确地定位到所需要的加密数据文件，同时也可以让用户能够更加灵活地表述搜索需求，所以，研究模糊搜索、有序搜索、区间搜索以及子集搜索等复杂性密文可搜索能力是可搜索加密研究中的一个重要课题.

2) 针对不同需求，结合可搜索方案的不同表达能力，定义不同可搜索加密方案的安全级别.并在此基础上，寻求简单高效的难题假设，证明可搜索加密方案的安全性.

3) 研究可搜索加密方案的搜索凭证、搜索关键字与密钥、密文间的关系，探索用越短的密钥、密文来实现表达能力越丰富的可搜索加密方案.进一步地，结合不同的需求和安全级别，探索高效安全的可搜索加密[15-16].

近年来，我和王海江、董晓蕾等人[15]提出了一个高效的属性基可搜索加密方案，同时，我们[16]还提出了一个轻量级隐私保护外包模式匹配协议，在保护文本隐私、查询隐私与匹配结果隐私的前提下，大幅度减少了用户端的计算与通信开销.

4 电子货币与区块链安全

电子货币(electronic currency)是将现金或存款以电子的方式进行兑换和存储，并能够像传统货币一样进行支付的货币形式.密码学家Chaum在20世纪80 年代以盲签名为基础提出了电子货币这一概念，并研发了E-Cash电子货币系统[17].2009 年，以区块链和密码技术为基础的比特币的出现在世界范围内刮起了一股去中心化电子货币热潮，各国政府、银行及金融机构开始采取措施积极推动电子货币的发展.目前全球有超过90家央行参与区块链研究，并致力于构建电子货币系统.

电子货币算法的研究引起国际学术前沿的密切关注，研究人员通过构造密码算法以解决电子货币系统的一些基本安全问题.如：利用延展零知识证明，可提出具有更强安全性的延展签名方案[18].而基于延展签名方案，可提出支持离线可转移、双花检测的匿名电子货币方案[19]，允许用户在不知道银行的签名私钥的条件下对签名的消息进行追加式变换而得到新的有效的银行签名，从而达到离线可转移特性.利用公开的全局树结构构建电子货币，提出了既高效又具有标准模型下可证明安全的可分电子货币系统[20].利用零知识证明等技术，提出了Zerocoin方案[21]，可实现强匿名性.此外，还提出了Bitcoin-NG协议[22]，相比于比特币具备更高的吞吐量、更低的延迟.

随着对电子货币研究工作的进一步推进，将密码技术与区块链技术两者有机的结合，并构建安全、高效、可扩展、可监管、具有交易隐私性的电子货币系统，已成为该领域的研究热点之一.英国央行率先推出了RSCoin电子货币系统[23]，与传统货币一样由中央银行控制和发行，但同时也具备了区块链的技术优势.目前的电子货币的流通依然面临着严峻的安全挑战.2014年，当时世界最大的比特币交易所Mt.Gox被盗85万个比特币，价值3.5亿美元[24]；2016年，黑客利用the DAO智能合约中split函数的漏洞，盗取the DAO智能合约中的以太币，导致价值6千万美元的以太币损失[25].

针对以上电子货币与区块链系统中的安全与隐私保护问题，该方向的未来主要研究方向集中在5个方面：

1) 研究电子货币的基础构造理论，以及算法和协议的可证明安全模型；

2) 研究“几乎”无中心的电子货币新算法，包括电子货币共识机制、电子货币高效和匿名流通支付模型等；

3) 研究多中心的电子货币新算法，包括电子货币安全的分级发行方法、电子货币流通的授权可追踪方法与认证方法等；

4 )研究电子货币安全账本模型，包括可防伪可验证的加密账本原理等；

5) 研究电子货币安全分析模型，包括电子货币算法攻击分析和防护方法、安全能力测试和评估机制、业务风险分析及安全监管机制等.

当然，还需要对区块链本身进行研究.由于区块链中的各个密码算法是具有生命周期的，所以完全去中心化的区块链实质上是不存在的.区块链的安全性主要来自于密码算法，但密码算法安全参数当前是安全的，并不代表它未来也是安全的，而且密码算法本身在未来也可能被攻破，因此密码算法需要周期性更新或调换.作为去中心化的区块链，这项工作谁来完成？所以基于轻量CA的区块链应成为设计者的主要出发点.此外，与传统的区块链去中心化概念相对的，我们还可以将区块链看作一个分布式的可信中心，用于各类密码算法或协议的应用当中.这方面虽然我们已经做了一些尝试，但仍然展示广阔的未知领域，等待人们进一步去探索[26].

5 人工智能与机器学习中的安全与隐私保护

机器学习(machine learning)是一门多领域交叉学科，涉及概率论、统计学、逼近论、凸分析、算法复杂度理论等多门学科[27].它专门研究计算机怎样模拟或实现人类的学习行为，以获取新的知识或技能，重新组织已有的知识结构使之不断改善自身的性能.它是人工智能的核心，是使计算机具有智能的根本途径，其应用遍及人工智能的各个领域，它主要使用归纳、综合而不是演绎.

机器学习的隐私保护是近2年国内外研究的热点，主要集中于如何在保护训练集数据隐私的前提下进行密文域上的模型训练，以及如何在保护输入数据隐私、模型参数隐私以及预测结果隐私的前提下进行密文域上的模型计算.

国内外最新的研究成果主要利用2种技术：1)利用公钥全同态加密对训练集数据进行加密，从而实现隐私保护的模型训练与预测，然而其巨大的计算和通信开销无法满足资源受限的本地用户的客观性能需求；2)利用秘密分享技术，通过安全多方计算协议来实现机器学习的安全与隐私保护，然而其需要服务器实时在线，并与用户进行实时交互.此外，推荐系统的隐私保护也是与之休戚相关的重要研究课题.现有的隐私保护推荐系统主要通过基于数据扰动技术、公钥全同态加密技术或安全多方计算技术实现.基于前者构造的隐私保护推荐系统的效率较高，但会对推荐系统结果的可用性带来一定影响；基于后者构造的隐私保护推荐系统结果精确度高，但在用户本地的计算、通信开销都较大.

因此，如何在保护用户历史数据隐私、模型参数隐私以及模型计算结果隐私的前提下，在机器学习模型计算结果或推荐系统的预测结果精确度与效率两者间达到有效的平衡是具有重要理论意义与实用价值的研究课题.此外，如何利用人工智能和机器学习的方法，将各类行为按照其特征进行有效分类，从而快速锁定敌手的恶意(潜在)攻击行为，也是近年来的研究热点之一.近年来，唐强等人[28-29]分别利用公钥全同态加密和安全多方计算技术提出了隐私保护的推荐系统.

6 应用系统原型

基于以上一些理论成果，我们曾进行了一系列的应用系统原型开发，包括加密数据共享移动设备硬件研制与基于生物信息的身份鉴别类应用等[4-5].

加密数据共享设备的核心部件是芯片.通过具体的规则控制用户获取私钥，或通过具体的属性集合提取用户私钥.用户使用此芯片连接服务器，只有当用户权限能够满足访问规则时才能解密，从而阅读使用.

由于文件本身以明文形式存储在访问控制服务器中，该服务器本身就容易成为攻击的目标.一旦服务器被攻陷，所有明文存放的数据都将暴露.因此，要求以加密数据存储来实现加密文件系统.然而，针对不可信的文件系统，采用加密的方式存放在服务器上，又面临访问控制与文件共享的困难：每个用户只能解密自己的文件，缺少文件的共享机制与灵活的访问机制.

我们的加密数据共享设备芯片以Verilog电路形式实现前述功能，其主要元件包括状态控制器、数据存储器、指令存储器、程序计数器和算术逻辑器.能支持有限域上的乘法、求逆运算和椭圆曲线上的点加、数乘和配对运算.其正确性在Xilinx FPGA 平台(Xilinx Virtex 5-110T 型号、65 纳米工艺、100 MHz主频率)上通过了验证.并基于Java技术研制出了跨平台(Windows, Linux) FPGA形式的演示系统.在FPGA系统中，Tate配对的电路设计是其核心，而使用高效实现Tate配对的Duursma-Lee算法时需要10次调用有限域GF(3m)上的立方运算.2011年，我们提出了一个生成有限域GF(3m)上立方运算电路的一般化方法，该方法应用于由不可约多项式x97+x16+2生成的有限域GF(397)上立方运算电路只需96个加法器，比同年国际上发表在IEEE Transactions on Computers上最新研究结果[30](需要111个加法器)减少13.5%；将该方法用于Tate配对运算中580个不同的不可约多项式确定的有限域后，其立方运算电路所需加法器个数比已有的平均减少31.7%.实验表明，我们提出的方法对形如xm+ptxt+x0(t

基于生物信息的身份鉴别与防伪技术，通常基于访问控制服务器的判断与鉴别，抗攻击能力弱，服务器本身就容易成为攻击的目标.而且生物信息需要存储，给存储服务器带来了很大存储与通信开销，也泄露了用户的隐私信息.所以，不用存储生物特征的任何信息实现用户的身份鉴别与防伪是一个重要研究课题[5].但是在不存储用户生物特征(如用户的指纹扫描数据等)的前提下，用已有的基于身份的鉴别技术很难实现比对，因为一对一的密码技术并不具有容错性，而现实中很难做到2次获得的生物特征数据完全吻合.

我们曾提出了模糊身份的签名技术，并用该技术提出了不存储生物特征而实现生物特征比对的防伪技术.该技术不需要访问控制服务器的存在，也不需要存储用于比对的生物特征的图片或特征点信息，降低了存储和通信的开销，实现离线状态下的认证功能.该技术可以应用在指纹、虹膜等生物特征的防伪银行卡、电子护照、加油卡、门禁卡、身份证等“证、卡、票、券”上面.后来这一技术被发展为一般的属性基签名，引起许多研究.参看文献[5].

本文从应用驱动出发，介绍了密文访问控制、安全外包计算、安全搜索、电子货币与区块链安全、人工智能与机器学习中的安全与隐私保护等信息安全重大研究领域的最新研究进展，并进一步提出了各个领域存在的挑战性公开问题，指明了相关领域的未来研究方向.

最后，衷心地祝愿《计算机研究与发展》越办越好！