大数据安全与隐私保护研究进展

Journal of Computer Research and Development

DOI：10. 74/issnl000-1239. 2016. 20160684

53(10) : 2137-2151，2016

大数据安全与隐私保护研究进展

曹珍富1董晓蕾1周俊1沈佳辰1宁建廷2巩俊卿2

U华东师范大学计算机科学与软件工程学院密码与网络安全系上海200062)2 (上海交通大学计算机科学与工程系上海200240)(zfcao@sei.ecnu.edu.cn)

Research Advances on Big Data Security and Privacy Preserving

Cao Zhenfu1 , Dong Xiaolei1，Zhou Jun1，Shen Jiachen1 , Ning Jianting2 , and Gong Junqing2

1 {Department of Cryptography and Netxvork Security ? School of Computer Science and Software Engineering ? East China

Normal University , Shanghai 200062)

2 {Department of Computer Science and Engineering ? Shanghai Jiao Tong University , Shanghai 200240)

Abstract Nowadays，data security and privacy preserving have been definitely becoming one of the

most crucial issues in the big data setting, where data encryption plays the most important role to achieve these goals. Therefore, to explore new data encryption techniques and new modes of big data processing has emerged as one of the most popular research topics all over the world. During the whole life cycle of data, the problems of computation, access control and data aggregation in the ciphertext domain (ciphertext computation, ciphertext access control and ciphertext data aggregation) are three critical issues in this research field. In this paper, we firstly review the state-of-the-art in the field of ciphertext computation, ciphertext access control and ciphertext data aggregation by identifying their inappropriateness. Based on it, a series of recent results in this research field are presented. In the aspect of ciphertext computation，a new method of designing efficient privacy preserving outsourced computation by reducing the usage times of public key encryption is proposed, with the implementation of a concrete construction which is realized by one time offline computation of any one-way trapdoor permutation without exploiting the technique of public key (fully) homomorphic encryption. In the aspect of ciphertext access control, a short ciphertext size traceable and revocable attribute-based encryption supporting flexible attributes is proposed. In the aspect of ciphertext data aggregation, an efficient privacy preserving data aggregation protocol with both input privacy and output privacy is devised without exploiting public key additive homomorphic encryption. Finally，we also suggest several interesting open research issues and the trend in the future.

Key words big data security； privacy preserving； ciphertext computation； ciphertext access control；

ciphertext data aggregation

收稿日期：2016-06-15 ;修回日期：2016-09-20

基金项目：国家自然科学基金项目（613731,61371083,61632012,61672239,61602180);高等学校博士学科点专项科研基金优先发展计划

项目（20130073130004);上海市高科技项目（16511101400);上海市自然科学基金项目（16ZR1409200)

This work was supported by the National Natural Science Foundation of China (613731, 61371083, 61632012, 61672239,61602180) , the Prioritized Development Projects Through the Specialized Research Fund for the Doctoral Program of Higher Education of China (20130073130004) , Shanghai High-Tech Field Project (16511101400) , and the Natural Science Foundation of Shanghai (16ZR1409200).

通信作者：董晓蕾（dongxiaolei@sei. ecnu. edu. cn)

2138计算机研究与发展2016, 53(10)

摘要当前，用户数据的安全与隐私保护无疑成为大数据环境中最为重要的问题之一，而其最彻底的

解决方式是通过加密所有数据来完成.因此，新的加密技术和在密文域上探索高效的大数据处理新模式 是国内外当前的研究热点.在贯穿于整个数据生命周期中，密文域上的计算、访问控制和数据聚合（分别 称为密文计算、密文访问控制和密文数据聚合）等问题已成为该领域的核心问题.主要针对密文计算、密 文访问控制和密文数据聚合等当前国内外研究的现状进行综述，指出其存在的问题与不足.在此基础 上，重点介绍了文章作者团队在大数据安全与隐私保护方面的最新研究成果.在密文计算方面，提出了 通过减少公钥加密使用次数来设计高效的隐私保护外包计算的新方法，并设计了不依赖于公钥（全）同 态加密，仅需一次离线计算任意单向陷门置换来实现安全外包计算的新方案.在密文访问控制方面，提 出了支持大属性集合的、短密文的高效可追踪、可撤销属性基加密方案.在密文数据聚合方面，提出了不 依赖于加法同态加密的、保护个体数据隐私且仅由授权接收方可成功解密聚合结果的高效隐私保护外 包聚合方案.最后，还指出了该领域当前研究中需要解决的公开问题和未来的发展趋势.

关键词大数据安全；隐私保护；密文计算；密文访问控制；密文数据聚合 中图法分类号TP393

应用驱动的密码理论研究是我们团队长期以来 的研究方向[1].基于各类应用问题的密码学新发 展[2]和隐私保护[3]已出现了较为系统的研究成果， 尤其是最近几年在面向大数据的应用驱动方面，新 的安全理论问题也已被提出[4].

大数据（big data)指无法在可承受的时间范围 内用常规软件工具进行捕捉、管理和处理的数据集 合，是需要新处理模式才能具有更强的决策力、洞察 发现力和流程优化能力的海量、高增长率和多样化 的信息资产&6].用户的数据安全和隐私保护无疑是 大数据背景下最为重要的问题之一[7].实现大数据 安全与隐私保护的方法虽然种类多样，但其中最彻 底的方法是通过加密来实现用户的数据安全和隐私 保护.然而，随之而来的一个问题是：如何在密文域 上实现类似于明文域上相同的大数据处理技术呢？ 这其中最重要的问题不仅仅是要解决诸如密文计 算、密文访问控制和密文数据聚合等功能上的问题， 更重要的问题是：要解决这些问题对应的新处理模 式问题，即如同明文域上的大数据处理模式问题一样.

密文计算也称密态计算，是指在密文域上的计 算以及符合访问权限的用户对密文域上的计算结果 可进行确认并可获得对应的明文.为了保护用户数 据的隐私，用户数据需要加密后存储，所以参与计算 的密文数据一方面是由用户直接提供（用户需要的 计算），另一方面通过密文搜索获得（运营商受托对 某类数据作分析或统计计算）.同态加密技术可以实 现加密数据的处理，因此高效的同态加密算法在大 数据外包中得到了广泛应用.同态加密(homomorphic

morphic encryption，SHE )和全同态加密（fully

homomorphic encryption, FHE)，前者是指该加密

算法只满足加法同态或乘法同态之一■，而后者指该 加密算法同时满足加法同态和乘法同态.全同态加 密实现了密文数据上同时进行加法与乘法运算的功 能，从而能满足安全外包聚合与安全外包计算的功 能需求.由于同态加密是公钥加密，其直接作用到数 据上必然带来效率低下的问题，更不要说面向大数 据的密文计算了.所以研究不依赖同态加密的密文 计算是一个新的课题.

密文访问控制也称密态访问控制，是指对密文 数据实现的访问控制.属性基加密（attribute-based

encryption, ABE)通过对用户私钥设置属性集（或

访问结构），为数据密文设置访问结构（或属性集）， 由属性集和访问结构之间的匹配关系确定其解密能 力.特别是密文策略的属性基加密（ciphertext-policy

attribute-based encryption, CP-ABE)是解决密文

存储后访问控制问题的重要出发点.但仅具有“信道 安全”的CP-ABE并不能真正解决密文访问控制问 题，其主要原因是CP-ABE中不同密钥持有者能够 解开同一份密文，且密钥持有者在泄露其密钥的情 况下并不会招致任何损失.因此，对泄露密钥的用户 实现可追踪是CP-ABE通往实际使用的必要步骤. 与可追踪性紧密相关的性质便是可撤销性，即撤销 泄露密钥或共享密钥的用户的解密能力.否则，即使 系统具备的追踪机制能够帮助我们追踪到泄露密钥 的用户，也并不能撤销非授权用户的解密能力，那么 整个系统也是不完整的.

密文数据聚合也称密态数据聚合，是指在密文

encryption, HE)可分为单同态加密（single homo­

曹珍富等：大数据安全与隐私保护研究进展

2139

域上实现数据分析与统计，即实现“单个数据、部分 数据均不可知，但整体数据可知”功能.为了完成数 据分析或统计，各部门通常是委托运营商（第三方） 来实现，而运营商可能是半可信的甚至是恶意的(比 如被收买）：半可信的是指运营商严格执行协议的规 定，但通过与用户的交互最大程度地提取有关用户 隐私的秘密信息；恶意的是指运营商可以任意破坏 协议的执行来获得用户隐私的秘密信息.密文数据 Cloud Server ：

聚合正是因解决这方面问题而提出的前沿课题，它 能够实现在完成数据分析或统计的过程中保证用户 的个人数据隐私.这方面目前大部分工作都是使用 公钥单同态加密和密钥预分配来实现，效率不高、可 用性差.

国内外针对密文计算、密文访问控制和密文数 据聚合等已有的研究思路绝大部分都是分别通过全 同态加密、属性基加密和单同态加密来实现.但这些 加密全部是公钥加密，它们或因计算开销大，或因无 法抵抗密钥共享攻击而对普通数据都显得“力不从 心”，因而也更无法直接应用在大数据环境中，以高 效地解决大数据安全与隐私保护问题.换言之，密文 域上的大数据系统尤其需要新的处理模式，即通过 尽量减少公钥加密使用次数（最优时一次）的方法， 且不依赖(全）同态加密，来设计高效的密文计算、密 文访问控制和密文数据聚合方案.

本文在分析了密文计算、密文访问控制和密文 数据聚合等国内外研究现状的基础上，指出了传统 的使用公钥全同态加密、“信道安全”属性基加密和 单同态加密来分别实现密文计算、密文访问控制和 密文数据聚合的不足，同时给出了适应于大数据系 统安全与隐私保护需求的新型的处理模式.最后，本 文还给出了这方面存在的问题与未来的研究方向.

1密文计算

1.1基于全同态加密的密文计算

当前的密文计算主要是基于公钥全同态加密实 现.其一般方法如图1所示.

首先，各用户即数据发送方利用公钥全同态加

密算法加密每一个输人数据；G = 1，2，…，〃)；然 后，云服务器可以在密文域上进行函数F运算，并 将同样是在密文域上的计算结果返回给接收方；最 后，授权的数据接收方可以利用公钥全同态加密的 私钥成功解密，得到明文域上的函数F计算结果. 在利用传统的基于公钥全同态加密技术实现密 文计算时，需要将计算开销本来就较大的公钥全同态

User 1 User 2 User n-l User n

Fig. 1 Ciphertext computation based on public key fully

homomorphic encryption.

图1

基于公钥全同态加密的密文计算

加密作用在每一个输人数据上来实现隐私保护，无法 满足大数据环境中资源受限的移动终端设备在性能 上的客观需求，且违背混合加密中用公钥加密来 加密较短的对称密钥、用对称密钥来加密数据的基本 原则• 1978 年由 Rivest，Shamir 和 Adleman[31]提出 了同态加密的概念，同年他们[32]提出了 RSA公钥 加密算法具乘法同态性(单同态），该方案的安全 性基于大整数分解.第1个基于离散对数问题的公

钥加密ElGamal[33]具有第2项密文的乘法同 态性（部分单同态）.Goldwassef和Micali「31提出了 一种满足加法同态的加密方案，其安全性基于二次 剩余假设，由Benaloh_给出的改进版本也具有加 法同态性.Naccach等人[36]、Okamoto等人_和

Paillier[3«分别提出了实现多次加法同态运算的加

密方案.2005年，第1种同时支持任意多次加法同 态运算和一次乘法同态运算的方案由Boneh等 人_:提出，该方案是距离全同态加密方案最近的一 项工作.

2009年，Gentry[4°]提出了基于理想格的全同态

构造方法，这是第1个语义安全的全同态加密方案. 它在理论上无懈可击，但实现起来却颇有难度.2010 年，Smart 和 Vercauteren[41^^f Gentry 方案进行了 第 1 次实现.2010 年，Stehle 与 Steinfeld[42]提出了 另一种对Gentry方案的实现，通过引人解密误差的 方法来缩短计算次数.2011年，Gentry和Halevi[43] 采用类似于Smart和Vercauteren的方法来实现， 在生成密钥时去掉了行列式为素数这个条件，提出 了 4种不同规模环境下的参数.2010年，Dijk等 人[44]提出了基于整数环上运算的类同态方案，并且 使用Gentry的构造方法将其转化为全同态方案.总 体而言，由于Gentry方案在构造上的局限性，使其 实现效率很低，因此并不实用.

2140计算机研究与发展2016, 53(10)

为促成同态密码在实际中的应用，除了采取各 种技巧来提高效率之外，在方案的构造阶段，还存在 另一种思路，就是针对实际应用的特点，降低对加密 算法的要求，利用效率较高的类同态加密方案来满 足实际需要[8—3。，45—49]•自从 LWECleaming with error) 问题[8]被提出以来，它就被应用于密码的构建 中.Halvei等人[9]在2010年基于BGN密码提出了 一种实用的方案，其安全性基于ring-LWE问题，支 持任意次数的加法和一次乘法，支持较大的消息空 间，是一个高效而实用的方案.但是，只能计算一次 验证计算的构造.Goldwasser等人在文献[29]中给 出了多输人的函数加密的构造，并在此基础之上，对 如何将其应用于多客户端可验证计算方案的构造作

了讨论.Gordon等人[3°]给出了多客户端的可验证 计算中更强的安全性和隐私性模型的探讨，并分别 基于属性基加密、全同态加密以及Yao的混淆电路 构造了支持多客户端的可验证计算方案.

1.2不依赖于全同态加密的密文计算

毋庸置疑，当今信息安全发展的另一大趋势是 大数据技术，其特点可以概括为：理想状况下很有 乘法运算的性质仍然了其应用范围.2011年，

Brakerski 和 \\^15111^31131:11311[1。]使用 Gentry 的构

造方法和重线性化技术的基本原理，分别基于ring- LWE 困难问题和标准 LWE 困难问题构造了 2 个

全同态加密方案.其他密码学家们[1115]也在积极尝 试对Gentry的构造方法进行改进，并且提出了一系 列基于LWE的同态加密方案.

全同态加密实现了密文数据上同时进行加法与 乘法运算的功能，从而能满足安全外包计算的功能 需求.但是，Lauter等™指出：目前的全同态加密技 术的计算代价仍然无法达到真实应用的需求.

在大数据外包计算的可验证性方面，Gennaro 等人[17]形式化地定义了可验证计算方案，并在Yao 的混淆电路™的基础上构造了一个非交互的可验 证计算方案.Chung等人[19]在FHE的基础上构造 了非交互的可验证计算方案，该方案的优势在于其 公钥长度较短.Applebamn等人[2°]利用消息认证码 提出了一种更加简单高效的构造可验证计算的方 法.Benabbas等人[21]则针对某些特殊函数构造了高 效的可验证计算方案.Barbosa等人[22]以模块化的 方式，利用全同态加密技术、函数加密技术和消息认 证码技术提出了一个可验证的函数加密方案与可代 理的同态加密方案.Fiore等人[23]则基于同态HASH 函数、针对加密数据给出了高效的可验证计算方案.

Parno等人[24]首次提出了可公开验证计算的概 念，并基于密钥策略的属性基加密方案（KP-ABE) 构造了可公开验证计算方案.Fiore等人[25]在 Benabbas等人[22]所构造方案的基础上，构造了针对

高阶多项式函数和矩阵乘积的支持公开验证的方 案.Catalano等人[26]通过引人代数单向函数来构造 针对高阶多项式与矩阵乘积的支持公开验证的方 案.Papamanthou等人[27]构造了云环境下可验证签 名的动态计算的新模型.

Choi等人™给出了支持多客户端、非交互的可

效，但在有敌手的状况下无效[5°].因为敌手可以任 意篡改外包存储的数据，使得随之得到的计算统计 分析结果出错，误导决策，严重地影响人们的生产生 活.目前针对上述问题，主要有2种解决方案：1)UC 通用组合技术，即证明设计的大数据方案在现实环 境下和理想环境下不可区分;2)密文大数据技术，其 中最重要的是实现密文域上的安全外包计算.然而， 基于公钥全同态加密的密文计算是否能够真正解决 密文域上的大数据处理问题呢？答案是否定的[5°]. 国内外有关可验证外包计算的研究工作W°m

58]

多基于公钥全同态加密技术实现，其巨大的计算开 销无法满足面向大数据系统的性能需求.更重要的 是，直接将公钥全同态加密应用于数据本身，违背了 混合加密中用公钥加密算法来加密较短的对称 密钥，用对称密钥来加密大数据这一基本原则.文献

[45-49]试图通过减少公钥全同态加密本身的计算

开销来构造轻量化的密文计算方案，然而其结果仍 无法满足大数据背景下的客观需求.因此，我们团队 开创性地提出了在不得不使用公钥加密实现隐私保 护前提下，通过减少公钥加密的使用次数（最低一 次)来实现不依赖公钥全同态加密的、高效的隐私保 护外包计算新理论、新方法[5°，59].在利用传统的利 用公钥全同态加密技术[8 3°]实现密文计算时，需要 将计算开销本来就较大的公钥全同态加密作用在每 一个输人数据上来实现隐私保护，无法满足大数据 环境中资源受限的移动终端设备在性能上的客观需 求；而我们团队提出的不依赖于公钥全同态加密的 密文计算新方法，仅需离线状态下一次任意单向陷 门置换运算，在线状态时仅需要简单的加法、乘法运 算即能达到对《个数据的隐私保护.其主要实现思 路如图2所东.

1)

离线阶段，用任意单向陷门置换或公钥加

函数加密随机数，用作对称密钥分发；

2) 在线阶段，用生成的对称密钥利用简单的加

曹珍富等：大数据安全与隐私保护研究进展

2141

Cloud Server ：

外包存储或外包计算到云服务器端，却随之带来一

xn))=

CF = FHM(F(^i

系列安全与隐私保护问题.现有工作多集中于静态 密文医疗数据的访问控制与分析，未对动态密文健 康状态波动信息与密文医疗图像作出相关研究.我 们在基于云的电子医疗系统中，提出了一个高效的 隐私保护动态医疗文本挖掘与图像特征提取方案

F(FHM(jq)，FHM〇2)，...，FHM〇〇)

PPDM:病兆函数相关性匹配方案PPDM1以及能

同时保护病人病历图像隐私与医生病兆模板隐私的 医疗图像特征提取与匹配方案PPDM2,为实现隐

Fig. 2 Ciphertext computation without publie key fully

私保护的智能诊疗专家系统提供了有利保障.最后， homomorphic encryption.

图2

不依赖于公钥全同态加密的密文计算

法或乘法运算对数据本身通过对称的全同态映射

FHM进行加密；

3) 存储与计算资源充足的云服务器在密上计算函数；

4) 授权用户可先用公钥加密算法对应的私求解单向陷门置换的逆得到对称密钥，然后用对称

密钥解密密文计算结果并验证其正确性.同时，我们团队还利用上述不依赖于公钥全同 态加密的隐私保护密文计算新方法提出了不依赖于 公钥全同态加密的可验证外包计算技术，使得计 算资源受限的移动设备将以而，為，…，&为输人的 函数F外包给计算资源充足的云服务器完成.现有

工作主要依赖于重客户端的Yao的乱码电路和全 同态加密技术.我们基于任意单向陷门置换提出了 一个高效的可验证外包计算方案EVOC[6'解决了

Gennaro等人提出的“如何设计一个不依赖于全同

态加密的高效可验证外包计算”这一挑战性公开问 题.最后，形式化安全性证明和仿真实验表明了所构 造方案EVOC能满足可验证外包计算的安全与隐 私保护需求，并与现有工作相比具有较低的计算与 通信开销.

此外，我们团队还利用不依赖于公钥全同态加 密的隐私保护密文计算新方法高效地解决了能同时 保护文本隐私与模板隐私的安全外包模式匹配问 题[§ G ;并在电子医疗云计算系统中，提出了高效的 隐私保护医疗图像特征提取与匹配协议，构建了智 慧诊疗系统[S2].电子医疗系统越来越广泛地通过医 疗数据挖掘和医疗图像特征提取等方式，应用于人 类健康管理、病情建模、早期干预和基于证据的医疗 诊断.由于可穿戴设备资源受限，要求将频繁采集的

(personal health information, PHI)

形式化安全性证明和仿真实验表明，与现有方案相 比，所构造方案PPDM具有更高的安全性(输人隐 私的无条件安全和输出隐私的CCA2安全）和在计 算、通信开销方面的优势.

1.3存在问题与未来研究方向

本节主要回顾了在密文计算研究领域的国内外

研究现状，指明了基于公钥全同态加密算法实现的

密文计算协议的缺陷与不足；并在此基础上重点介

绍了不依赖于公钥全同态加密、仅需一次离线任意

单向陷门置换实现的密文计算新方法.然而，现有工

作多在随机预言机模型下构造，且对外包密文计算结 果的可验证性尚未作出深人研究.由于在恶意模型 下，云服务器可通过任意行为来破坏协议的执行，即 有动机通过返回任意计算结果对资源受限的移动用 户进行欺诈.设计标准模型下或通用组合安全模型下 的高效可验证密文计算协议是进一步的研究方向.

2密文访问控制

2.1 “信道安全”属性基加密

密文访问控制可以但不能完全基于传统的属性 基加密实现[5°夂传统的属性基加密方案仅考虑信道 安全，即选择明文安全（chosen plaintext attack，CPA) 或适应性选择密文安全(adaptive chosen ciphertext

attack，CCA2). Sahai 和 Waters「6V 在 2005 年提出模

糊身份加密方案的时候，只实现了最简单的访问表达 能力——

仅要求身份的交集达到给定的阈值，即将身

份的匹配关系由原来的“完全匹配”变为“相似匹配”， 允许存在一些小的误差.Cheung和Newport[]在标 准模型和标准假设（BDBH假设）下给出了一个可 证明安全的方案，但是访问结构只能支持与门.文献 []以访问策略的表达能力(只支持一个AND关 系）为代价、文献[65]以部分表达能力（有界的访问 策略)和部分性能（较大的密文长度）为代价来设计

文域钥2142计算机研究与发展2016, 53(10)

可证明安全的CP-ABE. Emura等人[66]给出了一个 常量密文的密文策略属性基加密系统，但该系统的 访问策略只能支持单一的AND关系• Herranz等 人[67]则在访问策略的表达能力方面前进了一步，给 出了能够支持门限策略的常量密文策略属性基加密 系统• Lewko等人™和Okamoto等人[69]分别给出 了属性个数完全不受的属性基加密方案，但这 2个方案的效率不高且证明相对复杂.在2013年，

数阶实现方面，我们团队™采用双系统群模拟法

(dual system group method)给出了 一■个嵌套双系

统证明技术的更加高效灵活的素数阶实现.该项工 作的最终效果是一个更加高效且具备灵活参数调节 机制的非受限层次身份基加密（UHIBE).最近，我 们团队[83]与Attrapadung等人[84]地给出了 第1个采用素数阶双线性群实现的在多挑战模型下 紧规约安全的身份基加密系统，该项工作已经发表 在公钥密码学顶级会议PKC 2016上.这2项工作 均是双系统群方法（向量空间模拟技术之一）在复杂 Rouselakis和Waters™给出了支持大属性集合的 ABE方案，并利用“编程和消去”（program and cancel)证明技术和“q类”（q-type)困难问题假设证 明其方案为选择性安全.Green等人结合云计算

模型，允许用户提供给云服务器一个转换密钥，允许 云服务器转换成满足用户属性的ElGamal型密文； 而云服务器在此过程中并不能读取用户的明文. 2012年，Lewko等人™首次在适应性模型下给出 了支持属性在访问结构中重复出现任意多次的属性 基加密方案• 2〇13 年，Hohenberger 和 Waters[73]通 过双线性群上的数学性质，将一些经典的属性基加 密方案中的解密所需双线性运算次数都减小为常 数.考虑到属性基加密在资源受限移动设备上的应 用，Hohenberger等人[74]在2〇14年提出了高效的 在线离线属性基加密方案.Boneh等人[75]在2014 年给出了基于格和全密钥同态加密（fully key-

homomorphic encryption) 的 具有短 密钥的 （ 密钥策 略）属性基加密系统.Yamada等人[76]在2014年给

出了支持任意个属性集合和访问结构的紧凑参数

(compact parameters)的非单调的 CP-ABE.短密文

属性基密码的构造，往往会导致弱的安全性—选

择安全性或者需要参数化的假设.

Kowalczyk和Lewko[77]结合在双系统模型下 在DLIN假设下给出了完全安全的短公开参数的 KP-ABE. Chen等人[78]基于改进的双系统模型给出

了更为高效的素数阶的属性基加密方案，方案的运 行效率较现方案有25%〜50%不同程度的提升.

Gorbunov 和 Vinayagamurthy[7£l]基于标准的 LWE 问题给出了支持branching programs的短密文 ABE. Attrapadung等人[8°]研究了 ABE与其他功能

加密之间的相互转化关系，并给出了首个非单调的 支持大属性集合的常数密文CP-ABE、首个密钥长 度为常数的KP-ABE、首个支持arithmetic span

programs的常数密文ABE. Brakerski等人[81]基于 LWE难题给出了首个支持大属性集合的KP-ABE.

在属性基加密完全安全性所依赖的双系统技术的素

情形下的扩展和应用.

2.2 “信道安全+ ”属性基加密

自香农在1948年提出经典信道通信模型以来， 历经几十年的发展历程，直到Diffie-Hellman密钥 交换的出现，以至当前如火如荼的建立在选择明 文安全或适应性选择密文安全模型基础上的属性 基加密，国内外学者一直沿袭着信道安全模型的脚 步开展了一系列重要研究并取得了里程碑式的结 果[6\"122].然而，基于信道安全模型、仅考虑传输过程 中安全问题的属性基加密是否能够真正解决密文数 据的访问控制问题呢？答案是否定的[5°].让我们通 过加密电视机顶盒的例子来阐明我们的观点.首先， 加密电视的授权用户可能会出卖或出租自己的解密 密钥给其他人，而不影响自己的解密，通过相互间的 密钥共享，使得该集体能解密并观看更多的电视频 道，以达到“双赢”乃至“多赢”的结果.为了解决此类 “慷集体之慨，谋私人之利”的安全问题，有效抵抗密 钥共享攻击，必须从应用需求出发考虑可追踪的安 全模型，对密钥泄露源进行有效追踪.其次，授权用 户还可能会出卖或出租自己的解密密钥用来复制机 顶盒设备，因此，如何消除市面上大量复制的该设备 就必须考虑可撤销的安全模型.在传统信道安全模 型的基础上，融合可追踪、可撤销的安全模型，从而 迈人“信道安全+ ”的时代，成为了当今信息安全发 展的一大趋势.

可追踪、可撤销属性基加密主要思想如图3所 示.白盒可追踪是指私钥泄露方直接出售解密密钥， 而黑盒可追踪是指解密密钥和解密算法被隐藏在黑 盒中.可追踪、可撤销属性基加密不仅要求对私钥泄 漏源，即图3白盒可追踪属性基加密的用户Sc和黑 盒可追踪属性基加密的用户SA实现有效追溯，还 要求对私钥泄漏用户Sc，SA以及非法获得密文访 问控制权限的非授权用户的访问控制能力进行及时 撤销.

曹珍富等：大数据安全与隐私保护研究进展

2143

Selling Decryption Key

S = {CS，PhD}

Decryption Black Box

Decryption Key and

Decryption Algorithm are Embedded in the Black Box

Revocation of Unauthorized Users

Who is the Secret Key Leaker?

Who is the Secret Key Leaker?

心

= {CS，PhD

(83 %

} ,Sc = {CS,PhD,YYY,-..} 5B = {CS,PhD,ECNU, •••}

心={CS，PhD，XXX，…}知={CS，PhD，YYY，•••} 5B = {CS，PhD，ECNU，.._}

Black-box Traceable Attribute-based Encryption

White-box Traceable Attribute-based Encryption

Fig. 3 Traceable and revocable attribute-based encryption.

图3

可追踪可撤销属性基加密

在可追踪方面，2008年，Jason等人[85]提出了 第1个密钥可追踪选择性安全的系统，但他们的系 统是基于一个可信第三方机构的，解密者每次解密 都要与这个第三方机构进行交互，这个第三方机构 会成为系统的性能瓶颈.2009年，Yu等人[86]给出 了一个可追踪的密钥策略属性基加密方案，该方案 在密钥关联的访问策略中嵌人身份信息的每一位信 息，每一位信息作为一个属性嵌人在访问策略中. 2011年，Katz和Schroder[87]提出了谓词加密中的 可追踪性概念，并给出了可追踪的内积谓词加密系 统，其所付出的代价与系统中的用户数量呈线性关 系.2013年，我们团队[88]给出了第1个同时支持高 表达力和白盒可追踪的密文策略属性基加密系统， 实现了对泄露密钥的恶意用户的白盒可追踪.该方 案达到了标准模型下的适应性安全，允许任意单调 访问结构作为访问策略，其密文大小的密文的访问 策略大小成线性关系.但该方案需要维护一个记录 用户的列表来实现白盒可追踪，当用户数量逐渐变 大后对用户列表的维护，会成为该方案实际应用当 中的一个瓶颈.同年，我们团队[9°]又提出了第1个 同时支持高表达力和抗全合谋黑盒可追踪性的密文 策略属性基加密系统.作为一个具有抗全合谋的黑 盒可追踪的属性基加密系统来说，所提方案的密文 大小达到了目前所知的最好水平（与系统的用户总 数成亚线性关系）.随后，我们团队[9192]提出了第1 个切实可行的同时支持白盒可追踪和大属性空间的 构造(公开参数大小与属性空间大小无关）的密文策 略属性基加密系统，该方案无需维护一个记录用户 的列表，而仅需在系统初始化时记录一小部分预先 设定的参数即可，从而使得属性基加密系统从理论 向实际应用又向前迈进了一步.最近，我们团

队[’93]还给出了支持高表达力、白盒可追踪、可追 责和公开审计的密文策略属性基加密与更短密文、 抗全合谋、抗适应性类密钥和固定策略解密黑盒的 高效黑盒可追踪密文策略属性基加密.

在可撤销方面，文献[94]给出了一个解决方法， 是通过给每个用户颁发一个额外的终止日期的属性 来密钥的使用时间.之后，也有一些工作考虑了 属性基加密系统中的密钥撤销问题，但其所采用的 更新方式都不能满足实际应用需求.在更新(或者撤 销）密钥时，密钥更新机构的工作量与系统中用户数 量成线性相关关系，而且每个用户还需与密钥更新 机构之间保持一个安全信道.另一方面，虽然目前已 经有一些结合实际应用(如云计算、无线传感网等） 的属性基加密系统相关的撤销方案被提出来，但这 些方案中都是把用户作为最小单位进行撤销的，还 是延续了身份基加密的撤销机制，没有充分体现出 属性基加密的灵活性，即每次撤销一个用户，而不是 在撤销一个用户的某些属性的同时允许用户的其他 的有效属性仍然可以用来解密.事实上，我们团队[95] 在2009年就提出了第1个多用单向的属性基代理 重加密方案，基于授权有效地实现了由一个访问控 制结构到另一^任意访冋控制结构的完全密钥撤销. 之后，我们团队[96]提出了（无需授权的）可撤销属性 基加密方案，引起Sahai等人[97]的兴趣，他们在2012 年的美密会上提出了另一个可撤销属性基加密方 案.该方案同样采用二叉树思想，将每个用户设置为 与二叉树的叶节点相关，使得密钥更新数量与用户 数量呈对数关系，同时结合了“密文代理”的性质， 以达到高效的密钥撤销.此外，我们团队[123]提出了 第1个基于属性的代理重加密方案；我们团队[124]在

ESORICS 2011首次提出无机构的门限多机构

21,14计算机研究与发展2016, 53(10)

的属性加密方案；我们团队[125]设计了可同时满足 白盒可追踪、可撤销性质的多机构属性基加密方案， 并利用该构造在电子医疗云计算系统中实现了多级 隐私保护.

从当前国内外的研究现状来看，虽然当前属性 基加密在表达能力、通信效率、计算效率以及“信道 安全+(可追踪/可撤销）”等方面受到了学术界广泛 的研究，并越来越靠近实际应用，但距离面向大数据 系统的实际应用还有一定的距离.

可利用公钥同态加密算法的加法同态性在密文域上 进行数据聚合及各种丰富类型的统计与分析;最后， 拥有公钥同态加密算法对应私钥的授权用户可解密 聚合运算的结果.在运用上述密文聚合协议实现隐 私保护方面有一系列研究进展[1{}711&]. 2012年

Zhang等人@7]提出了 一套细粒度的隐私保护配对

协议，使得2个用户在各自文档描述不被泄露的前 提下，与其具有相似文档描述的用户实现成功匹配. 2013年Liang等人nG81在移动社交网络中研究隐私 保护的用户匹配，并提出了一系列的用户文档描述 2.3存在问题与未来研究方向

本节主要回顾了基于信道安全属性基加密实现 密文访问控制的国内外最新研究进展，并指出了仅 满足信道安全(选择明文攻击、适应性选择密文攻 击)并不能满足从应用出发的密文访问控制的安全 性需求.并在此基础上重点介绍了“信道安全十”新 安全模型与同时满足可追踪、可撤销、多机构性质的 属性基加密方案的构造与设计.为了适应大数据背 景下计算、通信能力受限的移动用户的性能需求，寻 求更短密文、短密钥、短公开参数的，且具备丰富表 达能力的，基于简单标准难题假设的可追踪、可撤 销、多机构属性基加密方案是一个值得进一步研究 的方向.

3密文数据聚合

3.1基于同态加密的密文数据聚合

在密文数据聚合方面，国内外最新的研究工作 多基于公钥加法同态加密(如Paillier加密算法）实 现，其主要思想如图4所示：

Cloud Server ：

CA = E(xi ,x2,---,xn) = E(xi) + E(x2) + • • • + E{xn)

User 1 User 2 User n-1 User n

Fig. 4 Ciphertext data aggregation based on homomorphic

encryption.

图4

基于同态加密的密文数据聚合

首先，利用公钥加法同态加密对每一个个体数 据加密以实现个体数据的隐私保护；同时，云服务器

匹配协议.另一方面，隐私保护的群分级也是一个有 意义的研究问题.2012年Li等人[1°9]提出了一个隐 私保护的多方排序协议，保证只要在最终排序结果 隐藏的情况下，敌手无法将用户的身份与其对应的 文档描述进行有效联系.2013年Zhang等人™提 出了一个可验证的隐私保护分类分级协议，且在同 年Li等人[111]提出了 一个隐私保护的位置查询协 议.然而，上述协议均依赖于公钥同态加密技术来实 现隐私保护，计算开销巨大.

国内外大量的研究工作致力于智能电网中隐私 保护的数据聚合与动态计费问题.2012年Lu等 人[112]在智能电网通信中提出了一个隐私保护的数 据聚合方案EPPA.该方案利用超递增向量和

Paillier同态加密技术对数据进行密文聚合.但

是，为验证〃个加密用电量，即使在采用批量验证技 术的前提下，仍需要进行》+1次配对运算和〃一 1 次模乘运算.因此，该方案的计算复杂度随用户数量 与用电量采集频率的增加迅速递增，不能满足智能 电网中设计轻量的隐私保护数据聚合协议的基本要 求.同年，Erkin等人「U31利用Paillier同态加密技术 提出了 一个基于时间和空间特性的、隐私保护用电 数据聚合方案• 2〇13年Liang等人[114]提出了一个 智能电网中基于实时用电量的、隐私保护的动态计 费方案.该方案在利用全同态加密技术保护用户实 时用电量隐私的前提下，以用户个人用电量与用户 所在地区用电量为标准来实现动态峰谷计费.2014 年Won等人[iifl在智能电网中提出了一个能够有效 保护差分隐私，高效容侵的智能传感数据聚合协议. 然而，上述国内外现有工作均利用公钥同态加密技术 作用于每一个实时用电数据，以实现隐私保护的数据 聚合，既不符合混合加密的基本原则，且计算开 销大，不适于存储、计算及通信资源受限的智能电表.

3.2不基于同态加密的密文数据聚合

如何在面向大数据系统的资源非对称分布的环

曹珍富等：大数据安全与隐私保护研究进展

2145

境下设计安全高效且隐私保护的外包数据聚合与分 析协议是近年来国内外学者研究的焦点.最近，我们 团队^在国际上首次考虑避开全同态公钥加密和 零知识证明技术，利用任意单向陷门置换提出高效 的基于单用户时间序列隐私保护数据聚合方案，仅 需离线执行一次任意单向陷门置换及其求逆运算便 能实现对多个数据的隐私保护聚合[23’5°].其主要思 想如图5所示：

差.利用Reed-Solomon纠错编码技术构造共享密 钥机制.随后，Bao等人利用脉搏间隙（inter­

pulse-interval， IPI) ，基于部署于同一病人不 同位置

的传感器对同一生命体征采集数据的汉明距离远小 于部署于不同病人身体上的传感器对该生命体征采 集数据的汉明距离这一观察，构造无线体域网中的 会话密钥协商协议.Fuzzy Vault技术[10«被广泛采 用，设计无线体域网中的密钥协商协议.由某一人体 传感器节点引入盲化点集合，来混淆从病人人体采集 的真实生命体征数据，从而构造Vault.另一传感器 Ciphertext data aggregation without homomorphic encryption.

图5

不基于同态加密的密文数据聚合

首先，在离线状态下利用一次任意单向陷门置 换/加密随机数r，用于对称密钥分发，在线状态利用 对称密钥r通过仅包含加法和乘法等简单运算的对 称加法同态映射AHM对个体数据x; = l，2，…，77) 进行加密.然后，云服务器可利用加法同态性在密文 域上进行数据聚合及各种丰富类型的统计与分析. 最后，拥有单向陷门置换/对应私钥的授权用户可 先由CA解密出对称密钥r，继而进一步解密明文域 上聚合运算的结果，与基于同态加密的密文数据聚 合相比，不基于同态加密的密文数据聚合不仅无需 将公钥加法同态加密作用于每一个个体数据，使得 资源受限的移动用户端的效率得到了很大的提高， 且符合混合加密的基本原则.

唐前国内外学者的亀要工作集中在基于云的无 线体域网[981胃、智能电网[112116]和无线车载网™122] 的密文数据聚合方面，主要出发点是保护用户的隐 私数据.无线体域网中的密钥预分配可以视作隐私 保护的数据聚合的准备阶段，多个不同用户之间可 先协商共同的会话密钥，为实现多用户时间、空间多 维数据隐私保护聚合打下基础.Chemkim等人 首次在无线体域网中提出基f生物特征的密钥协商 协议.2个部署于同一人体不同部位的传感器节点 对同一生命体征采集到的数据在一定范围内存在误

节点能成功与其建立对密钥，，且仅当该Vault与 其自身对同一生命体征采集到的数据集的交集的大 小满足系统预设的门限值.然而，Venkatasubramanian 等人[1°1]在指出IPI信号由于其在不同人体间的低 差分性不适宜用作无线体域网对密钥建宣的同时， 提出了一个基于生理信号PPG和ECG的认证密钥 协商协议.2013年Hu等人[1(^基于某些特定的生 物特征(如ECG信号)是有序排列的且只有采集该

信号的传感器才能正确识别该序列这一事实，提出 了无线体域网中有序生物特征的密钥协商协议.上 述2个方案均利用Fuzzy Vault技术实现.

此外，国内外现有工作仅考虑病人身处家庭环 境等相对安全的静态场景，然而在现实中，部署无线 体域网穿戴设备的病人在进行心电图（ECG)和脑 电图（EEG)检查时，可以像普通人群一样在公开环 境移动.因此，人体传感器更易遭受包括节点俘获攻 击在内的各种攻击，这种新的安全性模型对现有工 作提出了极大的挑战.患有冋种疾病且隶属于冋一‘ 社交群体的移动病人可以相互交流病情和诊疗经 验_]. Wang等人[1°4]提出了 一个移动健康网络中 的体域网安全模型.Ren等人[1°5]提出了一系列在移 动医疗社交网络中安全高效的监控病人病情的技 术，但并没有给出具体的方案构造.此外，基于

Shamir秘密共享的主动密钥分发技术，由于在密钥

预分配阶段需要为每一个传感器节点分发一个f次 多项式，在对密钥建立阶段需要进行多项式插值操 作，巨大的计算量使其不能直接应用于无线体域网； 且未考虑保护病人身份隐私与位置隐私保护问题. 最近，我们团队[1°6_在基于云的移动电子医疗体域 网中设计轻量级外包密钥更新算法，提出了能抵抗 时间和空间2类移动敌手攻击的，同时保护用户身 份隐私、位置隐私及人体传感器部署隐私的密钥管 理方案.

为了解决该问题，2014年我们团队在智能

2146计算机研究与发展2016, 53(10)

电网中，提出了一个基于ElGamal加密的、高 效的隐私保护数据聚合方案.该方案只需要额外的 产生2个密文，就能实现M个时间周期内隐私保护 的数据聚合功能.因此，其计算开销与时间周期的长 度无关.2015年，我们提出了不依赖于公钥同态加 密、利用一次任意单项陷门置换实现的隐私保护数 据聚合一般性构造[59].在基于云的车载容斥网络 中，利用该一般性新构造，我们提出了安全外包数据 包传递证据生成算法，设计了能抵抗夹层合谋攻击 [1] Cao Zhenfu. New Directions of Modern. Cryptography [M] //

Boca Raton, FL： CRC Press Inc，2012

[2] Cao Zhenfu. New development of cryptography [J]. Journal

of Sichuan. University： Engineering Science Edition., 2015, 47(1) ： 1-12 (in. Chinese)

参考文献

(曹珍富.密码学的新发展[J].四川大学学报：工程科学版，

2015, 47(1): 1—12)

[3] Dong Xiaolei. Advances of privacy preservation, in. Internet of

这一公开问题的安全数据包传输协议[122].

3.3存在问题与未来研究方向

本节主要回顾了基于同态加密算法实现的隐私 保护密文数据聚合的国内外最新研究进展，并指出 现有的通过将公钥同态加密作用于每一个数据来实 现隐私保护的方法计算开销大，不能满足大数据环 境中资源受限的移动设备的客观需要.并在此基础 上重点介绍了在不得不使用公钥加密实现隐私保护 的前提下，如何通过尽量减少公钥加密的使用次数， 来达到同时对n个数据实现隐私保护数据聚合的新 技术.然后，现有工作多集中于单用户时间序列密文 数据聚合，如何实现高效的多用户隐私保护密文数 据聚合，以及各类密文域上的数据统计与分析是一 项极富意义的研究课题.

4结束语

本文主要围绕大数据的安全与隐私保护，指出

解决大数据安全与隐私保护最彻底的方法是通过加 密来实现.并进一步从密文计算、密文访问控制和密 文数据聚合3方面对如何在密文域上实现与明文域 上相同的大数据技术等国内外研究进展进行综述， 并指出其存在问题与不足.尤其重点对我们团队提 出的密文计算中不依赖公钥（全）同态加密、且仅需 一次离线任意单向陷门置换实现的高效隐私保护外 包计算、密文访问控制中支持大属性集合的短密文 高效可追踪密文策略属性基加密方案与密文数据聚 合中不依赖于加法同态加密的、且能同时保护个体 数据隐私与聚合结果隐私的高效隐私保护外包聚合 方案，给出了其主要研究思路和研究方法.最后，还针 对密文计算、密文访问控制和密文数据聚合3方面， 指出了当前研究存在的问题和未来的研究方向，以让 读者理解各种方法的优劣和适用场景，为进一步从 事面向大数据的共享安全理论研究提供了新思路.

things [J]. Journal of Computer Research and Development,2015, 52(10)； 2341-2352 (in Chinese)

(董晓蕾.物联网隐私保护研究进展[J].计算机研究与发

展，2015, 52(10) : 2341-2352)

[4] Cao Zhenfu. New trends of information, security—How to

change people's life style? [J].

SCIENCE CHINA

Information Sciences，2016，59(5) ： 050106

[5] Mayer-Schonberger V, Cukier K. Big data： A Revolution.

That Will Transform How We Live, Work, and Think [M]. Boston, MA： Houghton. Mifflin. Harcourt, 2013

[6] Cukier K» Mayer-Schoenberger V. Rise of big data： How it’s

changing the way we think about the world [J]. The Foreign. Affairs，2013, 92: 28

[7] Feng Dengguo» Zhang Min., Li Hao. Big data security and

privacy protection. [J]. Journal of Computer, 2014，37(01): 246-258 (in. Chinese)

(冯登国，张敏，李昊.大数据安全与隐私保护[J].计算机

学报，2014, 37(1): 246-258)

[8] Lyubashevsky V» Peikert C» Regev O. On. ideal lattices and

learning with errors over rings [G] //LNCS 6110： Proc of Advances in Cryptology-CRYPTO'10. Berlin： Springer, 2010: 1-23

[9] Halvei S» Gentry C» Vaikuntanathan. V. A simple BGN-type

cryptosystem from LWE [G] //LNCS 6110 ： Proc of EUROCRYPTIO. Berlin： Springer, 2010： 506-522[10] Brakerski Z， Vaikuntanathan. V.

Fully homomorphic

encryption, for ringlwe and security for key dependent messages [G] //LNCS 6841 ： Proc of Advances in. Cryptology- CRYPTOll. Berlin： Springer, 2011： 505-524

[11] Brakerski Z. Fully homomorphic encryption, without modulus

switching from classical GapSVP [G] //LNCS 7417； Proc of Advances on Cryptology-CRYPTO'12. Berlin； Springer,

2012； 868-886

[12] Brakerski Z， Gentry C， Vaikuntanathan. V. Fully

homomorphic encryption, without bootstrapping [C] //Innovations in. Theoretical Computer Science (ITCS). New York： ACM, 2012： 309-325

[13] Gentry C, Halevi S, Smart N. P. Better bootstrapping in.

fully homomorphic encryption. [G] //LNCS 72393； Proc of Public Key Cryptography-PKC'12. Berlin； Springer, 2012；1—16

曹珍富等：大数据安全与隐私保护研究进展

2147

[14] Gentry C» Sahai A，Waters B. Homomorphic encryption,

from

learing

with

errors ：

comceptually-simpler»

asymptotically-faster» attribute-based [G] //LNCS 8042 ： Proc of Advances in Cryptology—CRYPTO’13. Berlin： Springer, 2013 ： 75-92

[15] Vercauteren. F» Smart N P. Fully homomorphic SIMD

operations [J]. Designs» Codes and Cryptography, 2014, 71(1): 57-81

[16] Lauter K» Naehrig M, Vaikuntanathan. V. Can. homomorphic

encryption, be practical? [C] //Proc of ACM CCS 2011. New York； ACM, 2011； 1-12

[28] Choi S G，Katz J，Kumaresan. R，et al. Multi-client non.-

interactive verifiable computation. [C] //Proc of Theory of Cryptography. Berlin： Springer, 2013： 499-518

[29] Goldwasser S» Goyal V, Jain. A, et al. Multi-input function,

encryption [C] //Proc of EUROCRYPT 2014. Berlin： Springer, 2014： 578-602

[30] Gordon S D，Katz J，Liu F H，et al. Multi-client verifiable

computation, with stronger security guarantees [C] //Proc of Theory of Cryptography Conf. Berlin.： Springer, 2015： 144-168

[31] Rivest R» Shamir A» Adleman. L. On. data banks and privacy

homomorphisms [J]. Foundations of Secure Computation.» [17] Gennaro R» Gentry C» Parno B. Non.-in.teractive verifiable

computing ： Outsourcing computation, to untrusted workers [C] //Proc of CRYPTO 2010. Berlin： Springer, 2010, 465- 482

[18] Yao A. Protocols for secure computations [C] //Proc of the

23rd Annual Symp on. Foundations of Computer Science. Piscataway，NJ： IEEE，1982: 160-1

[19] Chung K M, Kalai Y，Vadhan. S. Improved delegation, of

computation, using fully homomorphic encryption. [C] //Proc of CRYPTO 2010. Berlin； Springer, 2010； 483-501[20] Applebaum B, Ishai Y，Kushilevitz E. From secrecy to

soundness： Efficient verification, via secure computation. [C] //Proc of the 37th In.t Colloquium in. Automata, Languages and Programming. Berlin.： Springer, 2010： 152-163[21] Benabbas S» Gennaro R» Vahlis Y. Verifiable delegation, of

computation, over large datasets [C] //Proc of the 31 st Annual Conf on. Advances in. Cryptology. Berlin.： Springer, 2011: 111-131

[22] Barbosa M, Farshim P. Delegatable homomorphic encryption,

with applications to secure outsourcing of computation. [C] // Proc of CT-RSA 2012. Berlin： springer, 2012： 296-312[23] Fiore D， Gennaro R， Pastro V. Efficiently verifiable

computation, on. encrypted data [C] //Proc of the 2014 ACM Conf on. Computer and Communications Security. New York： ACM, 2014： 844-855

[24] Parno B，Raykova M，Vaikuntanathan. V. How to delegate

and verify in. public： verifiable computation, from attribute based encryption. [C] //Proc of Theory of Cryptography. Berlin： Springer, 2012： 422-439

[25] Fiore D，Gennaro R. Publicly verifiable delegation, of large

polynomials and matrix computations, with applications [C] //Proc of the 2012 ACM Conf on Computer and Communications Security. New York； ACM，2012: 501-512[26] Catalano D， Fiore D， Gennaro D， et al. Algebraic

(trapdoor) one-way functions and their applications [C] // Proc of Theory of Cryptography. Berlin.： Springer, 2013： 680-699

[27] Papamanthou C» Shi E，Tamassia R. Signatures of correct

computation. [C] //Proc of Theory of Cryptography. Berlin.： Springer, 2013 ； 222-242

Georgia Institute of Technology, 1978，21(2) ： 169-180[32] Rivest R, Shamir A, Adleman. L. A methord for obtaining

digital signatures and public key cryptosystems [J]. Communications of the ACM, 1978，21(2) ； 120-126[33] ElGamal T. A public key cryptosystem and a signature

scheme based on. discrete logarithms [J]. IEEE Trans on. Information. Theory, 1985，31(4): 469-472

[34] Goldwasser S， Micali S. Probabilistic encryption. [J].

Journal of Computer and Systems Sciences, 1984，28(2): 270-299

[35] Benaloh J. Dense probabilistic encryption. [C] //Proc of the

Workshop on. Selected Areas of Cryptography. Berlin.： Springer, 1994： 120-128

[36] Naccache D» Stern. J. A new public key cryptosystem based

on. higher residues [C] //Proc of the 5th ACM Conf on. Computer and Communications Security. New York： ACM，1998： 59-66

[37] Okamoto T» Uchiyama S. A new public-key cryptosystem as

secure as factoring [G] //LNCS 1403： Proc of Advances in. Cryptology—EUROCRYPT’98. Berlin； Springer, 1998: 308-318

[38] Paillier P. Public-key cryptosystems based on. composite

degree residuosity classes [G] //LNCS 1592： Proc of Advances in. Cryptology —EURCRYPT'99. Berlin： Springer, 1999： 223-238

[39] Boneh D» Goh E J, Nissim K. Evaluation. 2-dnf fomulas on.

ciphertexts [G] //LNCS 3378： Theory of Cryptoography. Berlin： Springer, 2005： 325-341

[40] Gentry C. Fully homomorphic encryption, using ideal lattices

[C] //Proc of the 41st ACM Symp on. Theory of Computing (STOC). New York： ACM, 2009： 169-178

[41] Smart N P，Vercauteren. F. Fully homomorphic encryption,

with relatively small key and ciphertext size [G] //LNCS 6056； Proc of PKC 2010. Berlin； Springer, 2010； 420-443[42] Stehle D, Steinfeld R. Faster fully homomorphic encryption.

[G] //LNCS 77 ； Proc of Advances in Cryptology— ASIACRYPTIO. Berlin； Springer, 2010； 377-394[43] Gentry C， Halevi S.

Implementing gentry's fully-

homomorphic encryption, scheme [G] //LNCS 6632： Proc of

Advances

in

Cryptology—EUR OCR YPT11.

Berlin；

Springer, 2011； 129-148

2148计算机研究与发展2016, 53(10)

[44] Dijk M，Gentry C» Halevi S，et al. Fully homomorphic

encryption, over the integers [G] //LNCS 6110： Proc of Advances in Cryptology—EURCRYPT’10. Berlin： Springer, 2010： 24-43

[45] Damgard I，Polychroniadou A，Rao V. Adaptively secure

multi-party computation, from lwe (via equivocal fhe) [C] // Proc of IACR In.t Workshop on. Public Key Cryptography. Springer, 2016： 208-233Berlin：

[46] Gordon S D，Katz J，Liu F H，et al. Multi-client verifiable

computation, with stronger security guarantees [C] //Proc of [59] Zhou Jim，Cao Zhenfu» Dong Xiaolei，et al. Security and

privacy in. cloud-assisted wireless wearable communications ： challenges» solutions and future directions [J]. IEEE Wireless Communications，2015，22(2) ： 136—144

[60] Zhou Jun, Cao Zhenfu，Dong Xiaolei，et al. EVOC： More

efficient verifiable outsourced computation, from any one-way

trapdoor function. [C] //Proc of IEEE ICC 2015. Piscataway，

NJ： IEEE, 2015： 7444-7449

[61] Zhou Jun, Cao Zhenfu, Dong Xiaolei. PPOPM； More

efficient privacy preserving outsourced pattern, matching [C] Theory of Cryptography Conf. Berlin.： Springer, 2015： 144­168

[47] Wang C，Ren. K» Wang J. Secure optimization, computation,

outsourcing in. cloud computing ： A case study of linear programming [J]. IEEE Trans on. Computers, 2016, 65(1)：216-229

[48] Chen. X, Huang X, Li J，et al. New algorithms for secure

outsourcing of large-scale systems of linear equations [J]. IEEE Trans on. Information. Forensics and Security, 2015 » 10(I) ； 69-78

[49] Alderman. J，Janson. C，Cid C，et al. Hybrid publicly

verifiable computation. [C] //Proc of Cryptographers' Track at the RSA Conf. Berlin； Springer, 2016； 147-163[50] Zhou Jim， Dong Xiaolei, Cao Zhenfu.

Advances of

Ciphertext access control and privacy preserving [J]. Bulletin, of Chinese Association, for Cryptologic Research, 2015，41 (6): 19-21 (in. Chinese)

(周俊，董晓蕾，曹珍富.密文访问控制与隐私保护研究进展[J] .中国密码学会通讯，2015, 41(6): 19-21)

[51] Brakerski Z，Vaikuntanathan. V. Efficient fully homomorphic

encryption, from (standard) LWE [C] //Proc of FOCS. Los Alamitos. CA：

IEEE Computer Society，2011: 97-106[52] Brakerski Z，Gentry C» Vaikuntanathan. V. (Leveled) fully

homomorphic encryption, without bootstrapping [C] //Proc of ITCS. New York: ACM，2012, 309-325

[53] Halevi S, Shoup V. Algorithm in. HElib [G] //LNCS 8616：

Proc of CRYPTO 2014 Part I. Berlin： Springer, 2014： 5­571

[] Dowlin. N» Gilad-Bachrach R，Laine K» et al. Manual for

using for homomorphic encryption, for bioinformatics» MSR- TR-2015-87 [R]. New York： Microsoft Research, 2015[55] Gentry C, Halevi S, Smart N P. Homomorphic evaluation, of

the AES circuit [C] //Proc of Advances in. Cryptology— CRYPTO 2012. Berlin； Springer, 2012； 850-867

[56] Cheon. J H» Lee H T» Seo J H. A new additive homomorphic

encryption, based on. the c〇-ACD problem [C] //Proc of ACM CCS 2014. New York： ACM, 2014： 287-298

[57] Costache A，Smart N P，Vivek S，et al. Fixed point

arithmetic in. SHE scheme [J]. ePrint 2016/250, 2016[58] Cheon J H，Kim A，Kim M，et al. Floating-point

homomorphic encryption. [J]. ePrint 2016/421, 2016

//Proc of ESORICS 2016. Berlin； Springer, 2016； 135-153[62] Zhou Jun, Cao Zhenfu, Dong Xiaolei, et al. PPDM： A

privacy-preserving protocol forcloud-assisted e-healthcare systems [J].

IEEE Journal of Selected Topics in.

SignalProcessing，2015，9(7) ： 1332-1344

[63] Sahai A, Waters B. Fuzzy Identity-Based Encryption. [C] //

Proc of EUROCRYPT 2005. Berlin； Springer, 2005； 457­473

[] Cheung L» Newport C C. Provably secure ciphertext policy

ABE [C] //Proc of 2007 ACM Conf on Computer and Communications Security (CCS). New York： ACM，2007 ： 456-465

[65] Goyal V，Jain A，Pandey 0，et al. Bounded ciphertext policy

attribute based encryption. [C] //Proc of the In.t Colloquium on. Automata» Languages» and Programming. Berlin.：

Springe，2008: 579-591

[66] Emura K, Miyaji A, Nomura A, et al. A ciphertext-policy

attribute-based encryption, scheme with constant ciphertext length [C] //Proc of the In.t Conf on. Information. Security Practice and Experience. Berlin.： Springer, 2009： 13-23[67] Herranz J， Laguillaumie F， Rafols C. Constant size

ciphertexts in. threshold attribute-based encryption. [C] //Proc of the In.t Workshop on. Public Key Cryptography. Berlin.： Springer，2010: 19-34

[68] Lewko A, Waters B. Unbounded HIBE and attribute-based

encryption. [C] //Proc of the Annual In.t Conf on. the Theory and Applications of Cryptographic Techniques. Berlin.：Springer, 2011； 7-567

[69] Okamoto T» Takashima K. Fully secure unbounded inner-

product and attribute-based encryption. [C] //Proc of the In.t Conf on. the Theory and Application, of Cryptology and Information. Security. Berlin.： Springer, 2012： 349-366[70] Rouselakis Y，Waters B. Practical constructions and new

proof methods for large universe attribute-based encryption. [C] //Proc of ACM CCS 2013. New York； ACM, 2013； 463-474

[71] Green. M，Hohenberger S，Waters B. Outsourcing the

decryption, of ABE ciphertexts [C/OL] //Proc of USENIX Security Symp. Berkeley, CA ； USENIX, 2011 [2016-06­15]. http：//citeseerx. ist. psu. edu/viewdoc/down.load? doi = 10. 1. 1. 306. 9655&-rep=repl&-type=pdf

曹珍富等：大数据安全与隐私保护研究进展2149

[72] Lewko A» Waters B. New proof methods for attribute-based

encryption. ： Achieving full security through selective techniques [C] //Proc of the Advances in. Cryptology— CRYPTO 2012. Berlin： Springer, 2012： 180-198

[73] Hohenberger S» Waters B. Attribute-based encryption, with

fast decryption. [C] //Proc of Public-Key Cryptography—PKC Springer, 2013： 162-1792013. Berlin. ：

[74] Hohenberger S，Waters B. Online/offline attribute-based

encryption. [C] //Proc of the In.t Workshop on. Public Key Cryptography. Berlin； Springer, 2014； 293-310

[75] Boneh D，Gentry C» Gorbunov S，et al. Fully key-

[85] Jason. H，Jiang S，Safavi-Naini R，et al. Attribute-based

encryption, with key cloning protection. [J]. IACR Cryptology ePrint Archive 2008，2008: No. 478

[86] Yu S，Ren. K» Lou W，et al. Defending against key abuse

attacks in. KP-ABE enabled broadcast systems [C] //Proc of the In.t Conf on. Security and Privacy in. Communication. Systems. Berlin； Springer, 2009； 311-329

[87] Katz J，Schroder D. Tracing insider attacks in. the context of

predicate encryption, schemes [J/OL]. ACITA 2011. [2016­06-15]. https：//www. usukita. org/n.ode/1779

[88] Liu Zhen, Cao Zhenfu, Wong D S. White-box traceable

ciphertext-policy attribute-based encryption, supporting any homomorphic encryption., arithmetic circuit ABE and compact garbled circuits [C] //Proc of the Annual In.t Conf on. the Theory and Applications of Cryptographic Techniques. Berlin： Springer, 2014： 533-556

[76] Yamada S，Attrapadung N» Hanaoka G» et al. A framework

and compact constructions for non.-mon.oton.ic attribute-based encryption. [C] //Proc of the In.t Workshop on. Public Key Cryptography. Berlin； Springer, 2014； 275-292

[77] Kowalczyk L，Lewko A B. Bilinear entropy expansion, from

the decisional linear assumption. [C] //Proc of Advances in. Cryptology—CRYPTO 2015. Berlin： Springer, 2015： 524­1

[78] Chen. J» Gay R，Wee H. Improved dual system ABE in.

prime-order groups via predicate encodings [C] //Proc of Advances in Cryptology—EUROCRYPT 2015. Berlin：

Springer, 2015 ： 595-624

[79] Gorbunov S，Vinayagamurthy D. Riding on. asymmetry：

Efficient ABE for branching programs [C] //Proc of Advances in Cryptology—ASIACRYPT 2015. Berlin；Springer, 2015 ： 550-574

[80] Attrapadung N» Hanaoka G» Yamada S. Conversions among

several classes of predicate encryption, and applications to abe with various compactness tradeoffs [C] //Proc of Advances in. Cryptology—ASIACRYPT 2015. Berlin： Springer, 2015:575-601

[81] Brakerski Z，Vaikuntanathan V. Circuit-ABE from LWE；

Unbounded attributes and semi-adaptive security [J]. IACR Cryptology ePrint Archive, 2016

[82] Gong Junqing» Cao Zhenfu» Tang S，et al. Extended dual

system group and shorter unbounded hierarchical identity based encryption. [J]. Designs，Codes and Cryptography,2016, 80(3)， 525-559

[83] Gong Junqing, Chen. Jim，Dong Xiaolei, et al. Extended

nested dual system groups» revisited [C] //Proc of PKC 2016. Berlin； Springer, 2016； 133-163

[84] Attrapadung N» Hanaoka G» Yamada S. A framework for

identity-based encryption, with almost tight security [C] // Proc of the In.t Conf on. the Theory and Application, of Cryptology and Information. Security. Berlin. ： Springer» 2015； 521-9

monotone access structures [J]. IEEE Trans on. Information. Forensics and Security, 2013，8(1) ； 76—88

[] Ning Jianting» Cao Zhenfu» Dong Xiaolei，et al. Traceable

CP-ABE with short ciphertexts： How to catch people selling decryption, devices on. eBay efficiently [C] //Proc of the European. Symp on. Research in. Computer Security. Berlin.： Springer, 2016： 551-569

[90] Liu Zhen, Cao Zhenfu, Wong D S, Blackbox traceable CP-

ABE： How to catch people leaking their keys by selling decryption, devices on. ebay [C] //Proc of ACM Conf on. Computer and Communications Security. New York： ACM,2013； 475-486

[91] Ning Jianting, Cao Zhenfu, Dong Xiaolei, et al. Large

universe ciphertext-policy attribute-based encryption, with white-box traceability [C] //Proc of the European. Symp on. Research in. Computer Security. Berlin.： Springer, 2014： 55­72

[92] Ning Jianting, Cao Zhenfu, Dong Xiaolei, et al. White-box

traceable

ciphertext-policy

attribute-based

encryption,

supporting flexible attributes [J]. IEEE Trans on.

Information. Forensics and Security (TIFS)，2015，10(6)；

1274-1288

[93] Ning Jianting, Cao Zhenfu, Dong Xiaolei, et al. Accountable

authority ciphertext-policy attribute-based encryption, with white-box traceability and public auditing in. the cloud [C] // Proc of the European. Symp on. Research in. Computer Security. Berlin： Springer, 2015： 270-2

[94] Hur J，Noh D K，Attribute-based access control with

efficient revocation, in. data outsourcing systems [J]. IEEE Trans on. Parallel Distribute System，2011，22(7): 1214­1221

[95] Liang Xiaohui, Cao Zhenfu, Lin. Huang, et al. Attribute

based proxy re-encryption, with delegating capabilities [C] // Proc of the 4th In.t Symp on. Information., Computer, and Communications Security. New York； ACM, 2009； 276-286[96] Qian Jimlei，Dong Xiaolei. Fully secure revocable attribute-

based encryption. [J].

Journal of Shanghai Jiaotong

University (Natural Science Edition.) , 2011，16(4) ： 490-496[97] Sahai A，Seyalioglu H» Waters B. Dynamic credentials and

ciphertext delegation, for attribute-based encryption. [C] // Proc of the Advances in Cryptology—CRYPTO 2012. Berlin； Springer, 2012； 199-217

2150计算机研究与发展2016, 53(10)

[98] Cherukuri S» Venkatasubramanian. K K，Gupta S K S.

BioSec： A biometric based approach for securing communication, in. wireless networks of biosensors implanted in. the human, body [C] //Proc of IEEE In.t Conf on. ParallelProcessing Workshop. Piscataway，NJ ： IEEE，2003: 432­439

[99] Bao S D，Pooii C C Y，Zhang Y T，et al. Using the timing

information, of hearbeats as an. entity identifier to secure body sensor network [J]. IEEE Trans on. Information. Technology in Biomedicine, 2008, 12(6)； 772-779

[100] Juels A, Sudan. M. A fuzzy vault scheme [J]. Designs»

[111] Li X Y，Jung T. Search me if you can.： Privacy-preserving

location, query service [C] //Proc of INFOCOM 2013. 2768Piscataway，NJ: IEEE, 2013: 2760—

[112] Lu R，Liang X, Li X，et al. EPPA； An efficient and

privacy-preserving aggregation, scheme for secure smart grid communications [J].

IEEE Trans on. Parallel and

Distributed Systems，2012，23(9) ： 1621-1631

[113] Erkin. Z, Tsudik G. Private computation, of spatial and

temporal power consumption, with smart meters [G] // LNCS 7341： Proc of ACNS12. Berlin： Springer, 2012： Codes and Cryptography, 2006，38(2) ； 237-257

[101] Venkatasubramanian. K K，Banerjee A，Gupta S K S.

PSKA： Usable and secure key agreement scheme for body area networks [J]. IEEE Trans on. Information. Technology in Biomedicine，2010，14(1) ： 60-68

[102] Hu C，Cheng X，Zhang F，et al. OPFKA： Secure and

efficient ordered-physiological-feature-based key agreement for wireless body area networks [C] //Proc of INFOCOM 2013. Piscataway，NJ: IEEE，2013: 2274-2282

[103] Lu R» Lin X，Liang X，et al. A secure handshake scheme

with symptoms-matching for mhealthcare social network [J]. Mobile Networks and Applications，2011，16(6): 683-694

[104] Wang H, Fang H, Xing L, et al. An. integrated biometric-

based security framework using wavelet-domain. HMM in. wireless body area networks (WBAN) [C] //Proc of the 2011 IEEE lilt Conf on Communications ( ICC ). Piscataway，NJ：

IEEE，2011: 1-5[105] Ren Y，Werner R，Pazzi N，et al. Monitoring patients via a

secure and mobile healthcare system [J]. IEEE Wireless Communications，2010，17(1) ： 59-65

[106] Zhou Jim，Cao Zhenfu, Dong Xiaolei, et al. 4S： A secure

and privacy-preserving key management scheme for cloud- assisted wireless body area network in. m-healthcare social networks [J]. Information. Sciences» 2015，314 ： 255-276

[107] Zhang R，Zhang Y，Sun. J» et al. Fine-grained private

matching for proximity-based mobile social networking [C] //Proc of INFOCOM 2012. Piscataway, NJ： IEEE, 2012： 1969-1977

[108] Liang X, Li X, Zhang K» et al. Fully anonymous profile

matching in. mobile social networks [J]. IEEE Journal on. Selected Areas of Communications (JSAC)，2013，31(9)：1—655

[109] Li L，Zhao X，Xue G» et al. Privacy preserving group

ranking [C] //Proc of the 32nd In.t Conf on. Distributed Computing Systems ( ICDCS). Piscataway，NJ ： IEEE， 2012； 214-223

[110] Zhang L, Li X Y, Liu Y, et al. Verifiable private multi­

party computation.： Ranging and ranking [C] //Proc of INFOCOM 2013. Piscataway，NL IEEE，2013: 605—609

561-577

[114] Liang X, Li X，Lu R，et al. UDP： Usage based dynamic

pricing with privacy preservation, for smart grid [J]. IEEE Trans on. Smart Grid, 2013，4(1) ； 141—150

[115] WonJ, Ma C Y T, Yau D K Y, et al. Proactive fault-

tolerant aggregation, protocol for privacy-assured smart metering [C] //Proc of the IEEE Conf on. Computer Communications ( INFOCOM 2014). Piscataway，NJ: IEEE, 2014： 2804-2812

[116] Dong Xiaolei, Zhou J, Alharbi K» et al. An. ElGamal-based

efficient and privacy-preserving data aggregation, scheme for smart grid [C] //Proc of IEEE Globecom 2014. Piscataway, NJ: IEEE，2014: 4720-4725

[117] Lin X，Sun. X, Wang X, et al. TSVC； Timed efficient and

secure vehicular communications with privacy preserving [J]. IEEE Trans on Wireless Communication., 2008，12 (7): 49874998

[118] Zhang C，Lin X，Lu R，et al. RAISE： An. efficient RSU-

aided message

authentication.

scheme

in.

vehicular

communication, networks [C] //Proc of IEEE ICC. Piscataway，NJ: IEEE，1451-1457

[119] Lin. X，Li X. Achieving efficient cooperative message

authentication, in. vehicular ad hoc networks [J]. IEEE Trans on. Vehicular Technology, 2013, 62(7)：

3339—3348[120] Lu R，Lin. X, Liang X, et al. A dynamic privacy-preserving

key management scheme for location, based services in. VANETs [J]. IEEE Trans on Intelligent Transportation Systems，2012，13(1) ： 127-139

[121] Lu R，Lin X，Luan T H，et al. PReFilter： An efficient

privacy-preserving relay filtering scheme for delay tolerantnetworks [C] //Proc IEEE INFOCOM'12. Piscataway, NJ： IEEE，1395-1403

[122] Zhou Jim，Dong Xiaolei, Cao Zhenfu, et al. Secure and

privacy preserving protocol for cloud-based vehicular DTNs [J]. IEEE Trans on. Information. Forensics and Security»2015, 10(6)： 1299-1314

[123] Liang Xiaohui, Cao Zhenfu, Lin. Huang, et al. Attribute

based proxy re-encryption, with delegating capabilities [C] // Proc of ASIACCS 2009. New York； ACM, 2009； 276-286

曹珍富等：大数据安全与隐私保护研究进展2151

[124] Liu Zhen, Cao Zhenfu, Huang Qiong, et al. Fully secure

multi-authority ciphertext-policy attribute-based encryption, Proc of without random oracles [G] //LNCS 6879 ：

European. Symp on. Research in. Computer Security (ESORICS 2011). Berlin： Springer, 2011： 278-297

[125] Zhou Jun, Cao Zhenfu, Dong Xiao lei, et al. TR-MABE:

White-box traceable and revocable multi-authority attribute- based encryption, and its applications to multi-level privacy­preserving e-healthcare cloud computing systems [C] //Proc of IEEE INFOCOM 2015. Piscataway, NJ: IEEE, 2015： 2398-2406

Zhou Jun, born in 1982. PhD, Chen Hui

Scholar in East China Normal University. His main research interests include key theories for secure outsourced computation and privacy preserving, and the applied cryptography in big data processing (jzhou @sei. ecnu. edu. cn).

Shen Jiachen, born in 1979. PhD, lecturer

in East China Normal University. His main research interests include searchable Cao Zhenfu,

born in 1962. PhD, distinguished professor in East China Normal University. His main research interests include number theory and new theories for cryptography and network security (security and privacy preserving for cloud computing and big data processing).

Dong Xiaolei,

born in 1971. PhD,

distinguished professor in East China Normal University. Her main research interests include number theory, cryptography and network security, and big data security and privacy preserving ( dongxiaolei @ sei.ecnu. edu. cn).

encryption and signal processing in the

encrypted domain (jcshen@sei. ecnu. edu. cn).

Ning Jianting, born in 1988. PhD candidate

in Shanghai Jiao Tong University. His main research interests include attribute-based encryption,

identity-based

encryption,

functional encryption, zero knowledge proof, and applications in cloud computingand big data (jelly408385909@163. com).Gong Junqing，born in 1986. PhD candidatein Shanghai Jiao Tong University. His main

1 ^ ^ W

research interests include construction andanalysis for functional encryption (gongjun qing@126. com).