云數(shù)據(jù)安全保護(hù)方法綜述

沈 劍 周天祺 曹珍富

1(南京信息工程大學(xué)計(jì)算機(jī)與軟件學(xué)院 南京 210044) 2(上海市高可信計(jì)算重點(diǎn)實(shí)驗(yàn)室(華東師范大學(xué)) 上海 200062)

云計(jì)算作為互聯(lián)網(wǎng)產(chǎn)業(yè)中的重要新型數(shù)字基礎(chǔ)設(shè)施，為大數(shù)據(jù)、5G、人工智能等領(lǐng)域的進(jìn)一步發(fā)展奠定了重要基礎(chǔ).如今，云計(jì)算及其提供的各類應(yīng)用與人們的日常生產(chǎn)生活息息相關(guān)，在互聯(lián)網(wǎng)環(huán)境下，人們的日常溝通交流、工作、學(xué)習(xí)等或多或少都會(huì)使用到云計(jì)算提供的各類資源.全球著名市場(chǎng)研究公司——國(guó)際數(shù)據(jù)公司(International Data Corpora-tion, IDC)預(yù)測(cè)：截止2021年底全球公有云收入將達(dá)到2 783億元.本質(zhì)上來說，人們進(jìn)行的各類操作、使用的各種應(yīng)用都可以歸結(jié)為數(shù)據(jù)流通.因此，數(shù)據(jù)的安全直接決定著云計(jì)算的安全和其所支持的各類應(yīng)用的合規(guī)合法.然而，隨著云計(jì)算的發(fā)展和普及，數(shù)據(jù)安全與隱私保護(hù)問題日益嚴(yán)峻.騰訊安全云鼎實(shí)驗(yàn)室聯(lián)合GeekPwn發(fā)布的《2019云安全威脅報(bào)告》中顯示在所有國(guó)內(nèi)攻擊源中云資源作為攻擊源占比已接近一半[1].同時(shí)，該報(bào)告指出，當(dāng)前數(shù)據(jù)安全威脅已成為云企業(yè)面必須直面的挑戰(zhàn).

云計(jì)算是傳統(tǒng)計(jì)算機(jī)與網(wǎng)絡(luò)技術(shù)發(fā)展融合的產(chǎn)物，為個(gè)人的數(shù)據(jù)存儲(chǔ)和使用、企業(yè)的數(shù)據(jù)開發(fā)和利用、國(guó)家的數(shù)據(jù)監(jiān)控和管控提供極大的便利.云計(jì)算主要特點(diǎn)是可提供大量數(shù)據(jù)存儲(chǔ)和計(jì)算服務(wù).盡管云計(jì)算為人們的生產(chǎn)生活提供了極大便利，數(shù)據(jù)安全威脅仍是云計(jì)算當(dāng)前所面臨的巨大挑戰(zhàn).此外，用戶或企業(yè)對(duì)外包云數(shù)據(jù)的安全考量將極大影響云計(jì)算及其相關(guān)服務(wù)領(lǐng)域的進(jìn)一步發(fā)展.另一方面，近年來數(shù)據(jù)泄露、數(shù)據(jù)丟失、用戶隱私泄露等各類云數(shù)據(jù)安全攻擊事件激增，各類攻擊手段層出不窮.因此，如何保護(hù)云計(jì)算的數(shù)據(jù)安全成為近年來國(guó)內(nèi)外的研究熱點(diǎn).值得注意的是，密碼學(xué)中的加密、簽名、密鑰協(xié)商等基本密碼原語作為可抵抗上述安全威脅事件的可靠技術(shù)受到了工業(yè)界、學(xué)術(shù)界乃至國(guó)家的廣泛關(guān)注.

1 云計(jì)算模型

本節(jié)主要介紹云計(jì)算網(wǎng)絡(luò)模型、安全模型和安全需求.

1.1 網(wǎng)絡(luò)模型

云計(jì)算是一種集成了傳統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)，各類硬件資源，并通過虛擬化技術(shù)、資源優(yōu)化技術(shù)、并行計(jì)算技術(shù)等先進(jìn)的技術(shù)進(jìn)行優(yōu)化的生態(tài)系統(tǒng).云計(jì)算的基礎(chǔ)架構(gòu)如圖1所示.具體來說，云計(jì)算的架構(gòu)主要可分為3層，即，基礎(chǔ)設(shè)施層(infrastructure as a service, IaaS)、平臺(tái)層(platform as a service, PaaS)和軟件服務(wù)層(software as a service, SaaS).IaaS層主要包括云計(jì)算基礎(chǔ)架構(gòu)及其硬件設(shè)備；PaaS層可以看作云計(jì)算的操作系統(tǒng)，是云平臺(tái)和應(yīng)用軟件的穩(wěn)定良好運(yùn)行的基礎(chǔ)平臺(tái)；SaaS層提供軟件即服務(wù)，是一種基于互聯(lián)網(wǎng)的云平臺(tái)應(yīng)用軟件付費(fèi)使用的新型模式.

Fig. 1 The architecture of cloud computing圖1 云計(jì)算架構(gòu)

1.2 安全模型

云計(jì)算3層體系涉及到的安全問題主要包括：數(shù)據(jù)安全、終端安全、訪問控制管理、應(yīng)用安全、主機(jī)和網(wǎng)絡(luò)安全、物理和基礎(chǔ)設(shè)施安全.本文主要討論云計(jì)算中的數(shù)據(jù)安全和訪問控制安全.云上的數(shù)據(jù)生存周期及數(shù)據(jù)安全威脅如圖2所示.其中，數(shù)據(jù)的生存周期指數(shù)據(jù)自產(chǎn)生開始，經(jīng)歷存儲(chǔ)、使用、共享、歸檔直至最終銷毀經(jīng)歷的6個(gè)階段.在這過程中，數(shù)據(jù)安全主要面臨數(shù)據(jù)泄露、數(shù)據(jù)丟失、數(shù)據(jù)損壞、密鑰攻擊等威脅.

云計(jì)算可以實(shí)現(xiàn)計(jì)算機(jī)和網(wǎng)絡(luò)資源的共享應(yīng)用，提高計(jì)算效率和存儲(chǔ)容量，保障存儲(chǔ)可靠.云計(jì)算可以為用戶提供大容量數(shù)據(jù)存儲(chǔ)高性能計(jì)算服務(wù)，云數(shù)據(jù)服務(wù)的系統(tǒng)模型可以概括為圖3所示.其中，云服務(wù)器為單個(gè)用戶或者企業(yè)公司等群組用戶提供數(shù)據(jù)存儲(chǔ)和計(jì)算服務(wù)；可信第三方負(fù)責(zé)對(duì)存儲(chǔ)在云上的外包數(shù)據(jù)進(jìn)行審計(jì)，確保數(shù)據(jù)的完整性和正確性；單個(gè)用戶可以存儲(chǔ)或者訪問存儲(chǔ)在云上的外包數(shù)據(jù)；群組用戶除了可以存儲(chǔ)和訪問外包數(shù)據(jù)，還可通過云進(jìn)行數(shù)據(jù)共享，組管理員可執(zhí)行身份追蹤、訪問控制、成員注冊(cè)、容錯(cuò)檢測(cè)等保證數(shù)據(jù)共享過程中群組用戶數(shù)據(jù)安全的操作.

Fig. 2 Data life cycle and data security threats圖2 數(shù)據(jù)生存周期及數(shù)據(jù)安全威脅

Fig. 3 The system model of cloud data service圖3 云數(shù)據(jù)服務(wù)的系統(tǒng)模型

1.3 安全需求

云數(shù)據(jù)安全保護(hù)的安全需求以及為其提供保障的密碼原語可概括如表1所示.

首先，不可偽造[2]和合法訪問[3]指非法用戶無法通過身份認(rèn)證進(jìn)而訪問云上數(shù)據(jù)，該屬性是云數(shù)據(jù)安全保護(hù)的關(guān)鍵環(huán)節(jié).其次，數(shù)據(jù)的完整性和正確性[4]是指外包存儲(chǔ)在云上的數(shù)據(jù)沒有出現(xiàn)錯(cuò)誤，與用戶上傳的數(shù)據(jù)一致且完整，完整性和正確性是云服務(wù)發(fā)展的基礎(chǔ)同時(shí)也是用戶使用云的重要前提.再次，數(shù)據(jù)機(jī)密性[5]和隱私保護(hù)[6]是指存儲(chǔ)數(shù)據(jù)安全，攻擊者或者好奇的云在沒有密鑰的情況下無法獲知數(shù)據(jù)所包含任何有價(jià)值信息，該屬性是云數(shù)據(jù)安全的重要特征.最后，隱私保護(hù)是指用戶身份和數(shù)據(jù)隱私安全，目前，隱私保護(hù)越來越受到人們關(guān)注，同時(shí)大數(shù)據(jù)環(huán)境下驅(qū)動(dòng)的各領(lǐng)域多方協(xié)作可極大推進(jìn)科技的發(fā)展，但協(xié)作過程中的隱私保護(hù)是各方參與協(xié)作的必要前提，因此隱私保護(hù)已成為云進(jìn)一步發(fā)展的關(guān)鍵瓶頸.

Table 1 Data Security Requirements and Corresponding Cryptographic Primitives表1 數(shù)據(jù)安全需求及相應(yīng)密碼原語

針對(duì)上述安全需求，密碼學(xué)中的加密、簽名、認(rèn)證、密鑰協(xié)商等密碼原語作為保證數(shù)據(jù)機(jī)密性、身份合法性、數(shù)據(jù)完整性的技術(shù)具有重要作用.當(dāng)前，云環(huán)境中較為有效的數(shù)據(jù)安全和隱私保護(hù)技術(shù)包括：基于屬性的加密、同態(tài)加密技術(shù)、代理重加密、零知識(shí)證明技術(shù)、多方密鑰協(xié)商、群簽名技術(shù)等.

2 背景知識(shí)

本節(jié)介紹云數(shù)據(jù)安全保護(hù)涉及到的密碼學(xué)相關(guān)背景知識(shí)，主要包括：秘密共享、多方密鑰協(xié)商、數(shù)據(jù)審計(jì)和代理重加密.

2.1 秘密共享

秘密共享是一種將秘密分割的重要密碼學(xué)原語.在秘密共享技術(shù)中，秘密持有者根據(jù)需求選取門限值t并基于特定技術(shù)將秘密值S分割為n個(gè)子秘密份額{s1,s2,s3,…,sn}.目前，用于生成子秘密份額的技術(shù)主要包括一元N次多項(xiàng)式、中國(guó)剩余定理、多維向量空間等.當(dāng)且僅當(dāng)合作的用戶數(shù)量大于門限值t時(shí)，恢復(fù)出秘密值S.秘密共享包括4個(gè)算法:

1) 初始化.輸入安全參數(shù)l、門限值t.輸出子秘密份額生成函數(shù)Gen()和秘密恢復(fù)函數(shù)Rec().

2) 秘密分割.輸入秘密值S、門限值t，參與秘密共享的人數(shù)n，子秘密份額生成函數(shù)Gen().輸出n個(gè)子秘密份額{s1,s2,s3,…,sn}.

3) 秘密份額分發(fā).在安全信道下或采用安全加密算法Enc()將秘密份額分發(fā)給n個(gè)參與者.

4) 秘密恢復(fù).輸入秘密份額{s1,s2,s3,…,sm},m≥t，秘密恢復(fù)函數(shù)Rec().輸出秘密值S.

秘密共享的基本安全需求包括2方面：正確性和隱私性.正確性要求具有高效的算法能夠根據(jù)滿足門限要求的秘密份額{s1,s2,s3,…,sm},m≥t恢復(fù)出原始秘密值S；隱私性要求任何不滿足門限t要求的秘密份額組合{s1,s2,s3,…,sm},m

2.2 多方密鑰協(xié)商

多方密鑰協(xié)商是保證公開網(wǎng)絡(luò)下多方安全交互的基礎(chǔ)密碼原語，多方密鑰協(xié)商主要包括3個(gè)算法：

1) 初始化.輸出系統(tǒng)安全參數(shù)l，用戶數(shù)量n.輸出子密鑰生成函數(shù)SubGen()，共享密鑰生成函數(shù)SessionGen().

2) 子密鑰生成.每個(gè)用戶選取隨機(jī)數(shù)r和用戶私鑰sk，根據(jù)子密鑰生成函數(shù)SubGen()計(jì)算子密鑰ki.

3) 共享密鑰生成.輸入n個(gè)用戶的子密鑰，共享密鑰生成函數(shù)SessionGen()，輸出n個(gè)用戶的共享密鑰K.

多方密鑰協(xié)商的基本安全需求要求參與用戶外的任何人都無法獲知生成的共享密鑰K.

2.3 數(shù)據(jù)審計(jì)

數(shù)據(jù)審計(jì)方案是保障云存儲(chǔ)數(shù)據(jù)完整性的重要密碼學(xué)原語.數(shù)據(jù)審計(jì)方案主要包括4個(gè)算法：

1) 初始化.輸出系統(tǒng)安全參數(shù)l.輸出用戶公私鑰對(duì)(pk,sk).

2) 驗(yàn)證標(biāo)簽生成.輸入公私鑰對(duì)(pk,sk)和文件塊f.輸出驗(yàn)證標(biāo)簽Tf.

3) 證明生成.輸入挑戰(zhàn)chal，文件公鑰pk，文件塊f及其對(duì)應(yīng)的驗(yàn)證標(biāo)簽Tf.輸出被挑戰(zhàn)塊的持有性證明P.

4) 證明驗(yàn)證.輸入公私鑰對(duì)(pk,sk)，挑戰(zhàn)chal和證明P.輸出成功或失敗.

數(shù)據(jù)審計(jì)方案的安全性要求以極大的概率檢測(cè)出外包數(shù)據(jù)的損壞或丟失.

2.4 代理重加密

代理重加密是云環(huán)境下保證數(shù)據(jù)共享安全的有效密碼原語.本質(zhì)上來說，代理重加密是實(shí)現(xiàn)云環(huán)境下密文轉(zhuǎn)換的一種技術(shù)，即將用戶A可解密的加密數(shù)據(jù)轉(zhuǎn)換成用戶B可解密的加密數(shù)據(jù).該特性可有效支持云環(huán)境用戶動(dòng)態(tài)變化情況下的高效密文更新.代理重加密包括5個(gè)算法：

1) 初始化.輸出系統(tǒng)安全參數(shù)l.輸出用戶公私鑰對(duì)(pk,sk).

2) 初始加密.用戶持有者A采用加密函數(shù)加密消息M，生成初始密文C=Enc(M).

3) 轉(zhuǎn)換密鑰生成.用戶持有者根據(jù)其意愿分享數(shù)據(jù)的接收方生成轉(zhuǎn)換密鑰KA-B.并將初始密文和轉(zhuǎn)換密鑰提交給代理.

4) 重加密.代理根據(jù)初始密文C和轉(zhuǎn)換密鑰KA-B對(duì)密文進(jìn)行轉(zhuǎn)換，生成轉(zhuǎn)換密文CT.

5) 解密.符合用戶A授權(quán)的用戶在收到經(jīng)過代理轉(zhuǎn)換的密文后使用自己的解密密鑰解密出明文M.

代理重加密的安全性要求代理在轉(zhuǎn)換的過程中無法獲知明文的任何信息.

3 云計(jì)算數(shù)據(jù)安全保護(hù)方案

當(dāng)前，國(guó)內(nèi)外的研究學(xué)者們已對(duì)各類云數(shù)據(jù)安全保護(hù)方案展開研究，取得了一系列研究成果.研究成果主要集中在訪問控制、密鑰協(xié)商、安全審計(jì)和安全共享4個(gè)方面.

3.1 訪問控制

為了保障外包數(shù)據(jù)安全，云服務(wù)器提供商應(yīng)只允許合法用戶進(jìn)行數(shù)據(jù)訪問和操作，因此訪問控制是云數(shù)據(jù)安全的第一道屏障，目前，屬性加密、秘密共享、簽名等密碼技術(shù)已廣泛應(yīng)用于云環(huán)境以實(shí)現(xiàn)訪問控制.

2005年，Sahai和Waters[7]在歐密會(huì)上對(duì)存儲(chǔ)數(shù)據(jù)的生命周期各階段的數(shù)據(jù)安全和隱私保護(hù)問題進(jìn)行了簡(jiǎn)要而全面的分析，并改進(jìn)基于身份的加密(identity based encryption, IBE)方案，提出了基于屬性的加密(attribute based encryption, ABE)方案.該方案可支持一對(duì)多安全數(shù)據(jù)共享，在不可靠的存儲(chǔ)環(huán)境中實(shí)現(xiàn)細(xì)粒度的訪問控制.隨后，ABE的研究主要分為2個(gè)分支：密文策略屬性加密(ciphertext policy attribute based encryption, CP-ABE)[8-9]和密鑰策略屬性加密(ciphertext policy attribute based encryption, KP-ABE)[10-11].相對(duì)于KP-ABE，CP-ABE可支持密文的隱式授權(quán)且不依賴于密鑰分發(fā)中心，適用于更多應(yīng)用領(lǐng)域.KP-ABE和CP-ABE基本結(jié)構(gòu)如圖4所示.在ABE中屬性代表一系列標(biāo)識(shí)用戶的元素，如身份、出生年月、工作等可以標(biāo)識(shí)用戶的特征，訪問策略則規(guī)定了何種屬性組合符合要求.在KP-ABE中，密文與用戶屬性綁定，密鑰包含訪問策略，當(dāng)且僅當(dāng)密文所綁定的用戶屬性滿足密鑰包含的訪問策略時(shí)可正確解密.CP-ABE則相反，即密鑰與用戶屬性綁定，密文包含訪問策略，當(dāng)且僅當(dāng)密鑰所綁定的用戶屬性符合密文包含的訪問策略時(shí)可正確解密.CP-ABE方案可保護(hù)不可信云服務(wù)器環(huán)境下的數(shù)據(jù)機(jī)密性，有效支持細(xì)粒度數(shù)據(jù)訪問控制.

Fig. 4 The structure of KP-ABE and CP-ABE圖4 KP-ABE和CP-ABE基本結(jié)構(gòu)

此外，ABE方案的關(guān)鍵部分，即訪問策略的制定，通常與秘密共享技術(shù)[12]密切相關(guān)，在圖4的訪問策略中，葉子節(jié)點(diǎn)代表用戶屬性，其余節(jié)點(diǎn)均表示門限值，秘密共享方案可以為門限的設(shè)計(jì)提供良好的解決方案.2010年Yu等人[13]基于ABE、代理重加密、延遲重加密技術(shù)提出了云環(huán)境下安全、可擴(kuò)展和細(xì)粒度的數(shù)據(jù)訪問控制方案.該方案還實(shí)現(xiàn)了用戶密鑰問責(zé)功能和訪問權(quán)限隱私保護(hù).2015年，王皓等人[11]針對(duì)ABE方案計(jì)算效率低的問題，引入外部資源優(yōu)化計(jì)算效率，形式化定義了外包ABE方案和協(xié)議安全模型，在此基礎(chǔ)上，基于合數(shù)階雙線性群構(gòu)造了一個(gè)具體的外包CP-ABE方案，并基于雙系統(tǒng)加密技術(shù)證明協(xié)議的自適應(yīng)安全性.2017年，楊騰飛等人[14]將分類分級(jí)的屬性層級(jí)支配關(guān)系嵌入ABE機(jī)制，實(shí)現(xiàn)了訪問控制的層次化授權(quán)特性和存儲(chǔ)數(shù)據(jù)隔離，但該系統(tǒng)復(fù)雜度較高，且用戶撤銷帶來的開銷較大.同年，Huang等人[15]提出了一種基于分層屬性加密的安全、細(xì)粒度數(shù)據(jù)訪問控制方案，支持輕量密鑰管理，有效降低了本地服務(wù)器的負(fù)擔(dān).此外，該方案僅需更新策略而無需更新加密密文，進(jìn)一步提高了方案的動(dòng)態(tài)性.此后，Li等人[16]針對(duì)信息中心網(wǎng)絡(luò)(information centric network, ICN)中可能存在的內(nèi)置病毒防護(hù)缺失問題，提出了一種強(qiáng)制性內(nèi)容訪問控制方案(mandatory content access control, MCAC)，使得內(nèi)容提供者根據(jù)需求對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的緩存內(nèi)容進(jìn)行控制，該文針對(duì)不同內(nèi)容定義安全標(biāo)簽，根據(jù)標(biāo)簽判斷路由器是否需要緩存，從而保證了訪問控制的緩存內(nèi)容的安全.Xue等人[17]指出現(xiàn)有的CP-ABE方案中，單屬性授權(quán)機(jī)構(gòu)由于需執(zhí)行耗時(shí)的用戶合法性驗(yàn)證和密鑰分配操作，可能導(dǎo)致單點(diǎn)失效問題.另一方面，多權(quán)限訪問控制方案也存在權(quán)限管理屬性集不相交的問題，導(dǎo)致訪問控制效率低下.該文針對(duì)上述問題提出了一種具備審計(jì)機(jī)制的訪問控制方案，并引入可信第三方驗(yàn)證用戶合法性、實(shí)現(xiàn)密鑰分配、支持錯(cuò)誤審核，有效提升訪問控制方案的效率保證密鑰分配的安全.2019年，Xue等人[18]指出現(xiàn)有訪問控制方案不支持用戶協(xié)作獲得訪問許可.針對(duì)該問題，Xue等人設(shè)計(jì)了支持用戶協(xié)作的訪問控制結(jié)構(gòu)，定義了訪問控制中的轉(zhuǎn)換節(jié)點(diǎn)，通過將轉(zhuǎn)換密鑰嵌入BSW方案[10]的密鑰中，為每個(gè)轉(zhuǎn)換節(jié)點(diǎn)添加轉(zhuǎn)換值.轉(zhuǎn)換密鑰和轉(zhuǎn)換值的組合使支持用戶可以相互協(xié)作滿足策略樹規(guī)定的策略.2020年，杜瑞忠等人[19]針對(duì)霧計(jì)算環(huán)境下節(jié)點(diǎn)資源受限的實(shí)際情況，基于模加法一致性秘密分享技術(shù)和重加密機(jī)制優(yōu)化CP-ABE方案的加解密和屬性更新效率.然而，改方案沒有考慮節(jié)點(diǎn)域的劃分的問題，隨著設(shè)備來源增多，存在虛假節(jié)點(diǎn)和用戶騙取數(shù)據(jù)的狀況.針對(duì)該問題，潘瑞杰等人[20]針對(duì)云環(huán)境跨域訪問控制易受惡意用戶攻擊的問題，提出了一種基于動(dòng)態(tài)用戶信任度的訪問控制模型(ABAC based on dynamic user trust in loud computing, CT-ABAC)，將主體、客體、權(quán)限、環(huán)境和用戶信任度等屬性納入訪問請(qǐng)求并設(shè)計(jì)采用動(dòng)態(tài)細(xì)粒度的授權(quán)機(jī)制，支持用戶動(dòng)態(tài)變化.此外，引入時(shí)間、安全域間評(píng)價(jià)相似度、懲罰機(jī)制等元素計(jì)算用戶信任度屬性，進(jìn)一步優(yōu)化了用戶的可信度評(píng)估，保證跨域訪問控制的安全性.

然而僅依靠ABE并不能從根本上徹底解決密文訪問控制問題.曹珍富等人[21]在此基礎(chǔ)上構(gòu)建了高效的可追蹤、可撤銷、多機(jī)構(gòu)的ABE方案.具體而言，在可追蹤方面，劉振和曹珍富等人[22]給出了第一個(gè)同時(shí)支持高表達(dá)力和抗全合謀黑盒可追蹤性的密文策略屬性基加密系統(tǒng)，其密文大小達(dá)到了目前所知的最好水平，即與系統(tǒng)的總用戶數(shù)成亞線性關(guān)系.在可撤銷方面，董曉蕾等人[23]提出了無需授權(quán)的可撤銷ABE方案，引起Sahai等人[24]的興趣，在2012年的美密會(huì)(CRYPTO 2012)上提出了另一個(gè)可撤銷屬性基加密方案，去掉了撤銷列表.在多機(jī)構(gòu)屬性基加密方面，劉振和曹珍富等人[25]給出了一個(gè)標(biāo)準(zhǔn)模型下適應(yīng)性安全的多機(jī)構(gòu)密文策略屬性基加密方案，其中的任何機(jī)構(gòu)都不能獨(dú)立解開任何密文，克服了Waters等人[26]在歐密會(huì)(EUROCRYPT 2011)上的分布式ABE工作中“每個(gè)機(jī)構(gòu)都能獨(dú)立解開部分密文”的弱點(diǎn)，徹底解決了屬性基加密系統(tǒng)中固有的密鑰托管問題.周俊和曹珍富等人[27]還提出了同時(shí)具有白盒可追蹤、可撤銷性質(zhì)的多機(jī)構(gòu)屬性基加密方案，在電子醫(yī)療云計(jì)算系統(tǒng)中實(shí)現(xiàn)了多級(jí)隱私保護(hù).近年來，曹珍富等人[28]還提出了自治路徑代理重加密算法，實(shí)現(xiàn)了對(duì)代理路徑的高效的細(xì)粒度密文訪問控制方法.代理者可以按優(yōu)先權(quán)由高到低指定一系列期望的被代理者，使得代理者可以完全控制代理過程以及代理路徑的管理.

綜上所述，國(guó)內(nèi)外研究學(xué)者已對(duì)基于屬性加密的訪問控制方案展開了廣泛的研究，但是，已有的研究成果仍然存在用戶隱私易泄露的問題.在云環(huán)境下一方面由于云是半可信的，可能竊取用戶隱私；另一方面，用戶對(duì)隱私保護(hù)的意識(shí)和需求不斷提升.因此，云環(huán)境下支持隱私保護(hù)的訪問控制方案仍需進(jìn)一步研究.

3.2 密鑰協(xié)商協(xié)議

密鑰協(xié)商協(xié)議是保證外包數(shù)據(jù)機(jī)密性，支持?jǐn)?shù)據(jù)共享、訪問控制、數(shù)據(jù)審計(jì)等安全操作的基礎(chǔ)密碼組件.1976年，Diffie和Hellman首次提出了密鑰協(xié)商的概念[29]，該工作奠定了公鑰密碼學(xué)的基礎(chǔ).Diffie-Hellman協(xié)議為在公開信道下創(chuàng)建2個(gè)參與者的會(huì)話密鑰提供了有效的解決方案，協(xié)議的安全性要求僅通信雙方可獲知會(huì)話密鑰，其余任何信道監(jiān)聽者都無法知道最終生成的會(huì)話密鑰，該會(huì)話密鑰可用于保證通信雙方后續(xù)通信安全.然而，該協(xié)議缺乏認(rèn)證機(jī)制，無法抵抗中間人攻擊，此外，該協(xié)議僅能支持兩方進(jìn)行密鑰協(xié)商，無法拓展至多用戶場(chǎng)景的密鑰協(xié)議.此后，大量的研究工作圍繞密鑰協(xié)商協(xié)議的安全和性能展開.針對(duì)密鑰協(xié)商過程中的安全問題，Matsumoto等人[30]對(duì)DH協(xié)議進(jìn)行了擴(kuò)展，實(shí)現(xiàn)了支持隱式密鑰認(rèn)證的密鑰協(xié)商協(xié)議，保證通信雙方能確保對(duì)方的真實(shí)身份.然而，Law等人[31]指出該協(xié)議無法實(shí)現(xiàn)密鑰確認(rèn)的安全需求，并提出了一種可擴(kuò)展至任意有限群的帶密鑰確認(rèn)功能的密鑰協(xié)商協(xié)議.在這段時(shí)間內(nèi)，針對(duì)密鑰協(xié)商協(xié)議的安全需求，涌現(xiàn)出相當(dāng)一部分具有代表性的安全模型.第一個(gè)密鑰協(xié)商安全模型[32]由Bellare和Rogaway提出，基于該模型定義了密鑰協(xié)商協(xié)議語義安全性，并設(shè)計(jì)了一個(gè)兩方帶認(rèn)證的密鑰協(xié)商協(xié)議.此后，Blake-Wilson等人[33]提出了適用于公鑰密碼體制下密鑰協(xié)商的BJM97模型.Bellare等人[34]提出了BPR00模型，該模型適用于基于口令的密鑰協(xié)商協(xié)議.Canetti和Krawczyk[35]提出了CK01模型，該模型定義了目前公認(rèn)的會(huì)話密鑰協(xié)商安全模型，并且給出了一種證明協(xié)議安全的簡(jiǎn)單模塊化證明方法.Lamacchia等人[36]基于CK01模型提出了一種增強(qiáng)的eCK模型，該模型保留了原模型能夠抵抗密鑰偽裝攻擊的功能，并且允許敵手查詢臨時(shí)私鑰和長(zhǎng)期私鑰等，但是不允許攻擊者查詢會(huì)話內(nèi)部狀態(tài).Cremers[37-38]對(duì)CK和eCK模型進(jìn)行了詳細(xì)的比較和分析，并得出2個(gè)模型間并無強(qiáng)弱好壞之分.針對(duì)標(biāo)準(zhǔn)模型下的密鑰協(xié)商安全性證明問題，高志剛等人[39]基于身份加密，提出了標(biāo)準(zhǔn)模型下可證明安全的基于身份加密方案.王圣寶等人[40]提出了一個(gè)標(biāo)準(zhǔn)模型下的基于身份的密鑰協(xié)商協(xié)議.然而，郭華等人在文獻(xiàn)[41]中指出該協(xié)議需要基于強(qiáng)困難性假設(shè)，且不能抵抗擴(kuò)充的私鑰泄漏模仿攻擊.近年來，隨著在線群組協(xié)作的需求增加和大規(guī)模共享平臺(tái)的構(gòu)建，從兩方/三方向多方擴(kuò)展已經(jīng)成為密鑰協(xié)商協(xié)議的重要研究方向.一般來說，密鑰協(xié)商協(xié)議主要分為交互式密鑰協(xié)商和非交互密鑰協(xié)商.其中交互式密鑰協(xié)商主要是基于兩方/三方密鑰協(xié)商或者加密方案通過多方交互最終生成會(huì)話密鑰的過程.協(xié)議的效率要求交互過程中的通信開銷和交互輪數(shù)盡可能的少.非交互式密鑰協(xié)商的發(fā)展則主要依賴于多線性對(duì)、不可區(qū)分混淆等技術(shù)的創(chuàng)新.在非交互式密鑰協(xié)商領(lǐng)域，自1976年Diffie-Hellman協(xié)議[29]提出以來，直到2000年，三方非交互式密鑰協(xié)商協(xié)議才由Joux等人[42]提出，該協(xié)議基于雙線性對(duì)實(shí)現(xiàn)了三方密鑰協(xié)商，同時(shí)這也是雙向性對(duì)在密碼學(xué)上的首次正面地應(yīng)用.2002年，Boneh等人[43]提出了基于多線性對(duì)(multilinear pairing)構(gòu)造多方非交互式協(xié)商協(xié)議的思想，然而多線性對(duì)的構(gòu)造在當(dāng)時(shí)依然是一個(gè)懸而未決的問題.直到2013年，Garg，Gentry和Halevi團(tuán)隊(duì)[44]以及Coron，Lepoint和Tibouchi團(tuán)隊(duì)[45]才分別構(gòu)造出具體的多線性對(duì).然而，由于多線性對(duì)較為抽象且實(shí)現(xiàn)困難，至今仍沒有被應(yīng)用于實(shí)際環(huán)境下的多方密鑰協(xié)商協(xié)議.2014年，Boneh和Zhandry[46]在美密會(huì)上提出了基于不可區(qū)分混淆技術(shù)(indistinguishability obfuscation, iO)構(gòu)造的多方密鑰協(xié)商協(xié)議，相較于多線性對(duì)，基于iO技術(shù)的密鑰協(xié)商協(xié)議不需要初始化操作即可運(yùn)行.然而，由于混淆程序的設(shè)計(jì)和運(yùn)行耗時(shí)問題，基于iO技術(shù)的多方密鑰協(xié)商也沒有被投入實(shí)際應(yīng)用.

不難看出，非交互式密鑰協(xié)商發(fā)展緩慢，現(xiàn)有安全模型也大都針對(duì)交互式密鑰協(xié)商協(xié)議提出，難以直接適配非交互式密鑰協(xié)商的安全性證明.此外，現(xiàn)有基于多線性對(duì)或者iO技術(shù)的密鑰協(xié)商協(xié)議仍難以投入實(shí)際應(yīng)用.非交互式密鑰協(xié)商具備優(yōu)越的性能，因此如何構(gòu)建適用于非交互式密鑰協(xié)商的安全模型，設(shè)計(jì)實(shí)用的數(shù)學(xué)工具以實(shí)現(xiàn)安全高效的非交互式多方密鑰協(xié)商協(xié)議是密鑰協(xié)商發(fā)展中亟待解決的問題.在交互式密鑰協(xié)商領(lǐng)域，根據(jù)協(xié)商交互模型的組織結(jié)構(gòu)，可以將其分為環(huán)形模型、分層模型和廣播模型的協(xié)議.Ingemerson等人[47]基于Diffie-Hellman協(xié)議，設(shè)計(jì)了密鑰協(xié)商的環(huán)形交互模型，將協(xié)商人數(shù)擴(kuò)展至多方.然而，該協(xié)議基于較弱的安全模型，導(dǎo)致協(xié)議僅能抵抗具有竊聽功能的敵手.Atenise等人[48]在多方密鑰協(xié)商協(xié)議中引入了認(rèn)證功能，并對(duì)主動(dòng)攻擊進(jìn)行了啟發(fā)式的安全分析.Steiner等人[49]考慮了組成員增減變動(dòng)、更新等不同情況，提出了一個(gè)支持用戶動(dòng)態(tài)變動(dòng)的多方密鑰協(xié)商協(xié)議.以上方案都采用啟發(fā)式的分析方法對(duì)主動(dòng)攻擊行為進(jìn)行分析，缺少嚴(yán)格的安全性證明，在真實(shí)環(huán)境下，不可避免地存在很多潛在的安全威脅.

Kim等人[50]基于兩方密鑰協(xié)商，提出了一種基于二叉樹結(jié)構(gòu)的交互模型，并基于此設(shè)計(jì)了多方密鑰協(xié)商協(xié)議，基于二叉樹的靈活性，該協(xié)議可以很好地支持用戶的變動(dòng).然而，該協(xié)議僅對(duì)協(xié)議的安全性進(jìn)行了啟發(fā)式的證明.Nalla和Reddy[51]基于二叉樹交互模型中引入認(rèn)證技術(shù)，設(shè)計(jì)了可認(rèn)證的多方密鑰協(xié)商協(xié)議.Barua等人[52]結(jié)合Joux三方密鑰協(xié)商協(xié)議[42]，設(shè)計(jì)了基于三叉樹結(jié)構(gòu)的交互模型，并在此基礎(chǔ)上提出了一種基于三叉樹交互模型的多方密鑰協(xié)商協(xié)議.然而，該協(xié)議不提供認(rèn)證功能.王志偉等人[53]也提出了一種基于樹結(jié)構(gòu)和門限思想的組密鑰協(xié)商協(xié)議，但是該協(xié)議具有較大的計(jì)算開銷.Burmester和Desmedt[54]提出了一個(gè)非認(rèn)證組密鑰協(xié)商協(xié)議該協(xié)議的優(yōu)點(diǎn)是密鑰協(xié)商過程只需2輪通信，并且能夠抵抗外部節(jié)點(diǎn)的假冒攻擊，但是該協(xié)議需要一個(gè)認(rèn)證廣播信道且無法抵抗內(nèi)部惡意節(jié)點(diǎn)的攻擊.Bresson等人[55]提出基于口令的組密鑰協(xié)商協(xié)議，然而，此協(xié)議所需的交互輪數(shù)與參與通信的用戶總數(shù)量成線型關(guān)系.2006年，Damiani等人[56]提出了選擇性加密和分級(jí)密鑰分配的概念，以此來實(shí)現(xiàn)密鑰的管理.2010年，Blundoa等人[57]提出了一種啟發(fā)式的密鑰管理方案，大大減少了用戶訪問控制所需的認(rèn)證密鑰數(shù)量.為了降低用戶認(rèn)證的成本，啟發(fā)式方案利用最小生成樹進(jìn)行密鑰優(yōu)化.然而，該方案不能實(shí)現(xiàn)用戶密鑰的更新.2014年，Odelu等人[58]提出了一種基于對(duì)稱密鑰體制和單向散列函數(shù)的動(dòng)態(tài)密鑰管理方案.該方案可以實(shí)現(xiàn)對(duì)安全類的添加、刪除和更改操作.在上述方案的基礎(chǔ)上，Hong等人[59]提出了一種基于中國(guó)剩余定理的分層密鑰管理方案，該方案可以管理用戶訪問外包數(shù)據(jù)的權(quán)限，同時(shí)也可以降低密鑰更新的成本.

近來在交互式密鑰協(xié)商協(xié)議方面的工作大都集中在對(duì)協(xié)議性能的改進(jìn)上和對(duì)功能的增加上.毛江棟等人[60]、陳海紅等人[61]、曾繼強(qiáng)等人[62]對(duì)基于三叉樹結(jié)構(gòu)的密鑰協(xié)商協(xié)議進(jìn)行改進(jìn)，引入橢圓曲線加密技術(shù)并設(shè)計(jì)成員管理機(jī)制，實(shí)現(xiàn)了改進(jìn)的支持成員動(dòng)態(tài)變化的群組密鑰協(xié)商.2016年，陳勇等人[63]基于零知識(shí)證明技術(shù)，設(shè)計(jì)了一種可否認(rèn)群密鑰協(xié)商協(xié)議，實(shí)現(xiàn)了密鑰協(xié)商過程中的隱私保護(hù).Teng等人[64]在密鑰協(xié)商協(xié)議中引入矩陣論，有效支持協(xié)商過程中用戶動(dòng)態(tài)變化問題，然而，該協(xié)議交互信息量較多，計(jì)算和通信開銷較大.方亮等人[65]基于秘密共享技術(shù)，提出了無需在線可信第三方的密鑰協(xié)商協(xié)議.然而，該協(xié)議需要較大的計(jì)算和通信開銷.鄧淑華等人[66]基于ElGamal體制，提出了一種安全組播密鑰管理方案，提升了組密鑰管理的可擴(kuò)展性，然而，該協(xié)議基于集中式模型，存在單點(diǎn)失效以及成員貢獻(xiàn)失衡問題.為了平衡多方密鑰協(xié)商協(xié)議所需的通信開銷、交互次數(shù)和協(xié)議功能性.2009年，Wu等人[67]在歐密會(huì)上提出了一種非對(duì)稱群組密鑰協(xié)商協(xié)議(asymmetric group key agreement, ASGKA)，平衡了非交互式密鑰協(xié)商難以實(shí)現(xiàn)以及交互式密鑰協(xié)商輪數(shù)偏高，安全性不足等問題.該協(xié)議基于可聚合簽名廣播密碼原語實(shí)現(xiàn)了多方單輪群組密鑰協(xié)商，該協(xié)議執(zhí)行效率高且在n-BDHE(n-bilinear diffie-hellman exponentiation,n-BDHE)假設(shè)下是可證明安全的.ASGKA密鑰協(xié)商模型和傳統(tǒng)多方密鑰協(xié)商模型如圖5所示，在傳統(tǒng)多方密鑰協(xié)商協(xié)議中，每個(gè)群組成員協(xié)商完成后將生成一個(gè)群組會(huì)話密鑰，該密鑰需要保密以保證后續(xù)通信安全，ASGKA協(xié)議中，協(xié)商完成后每個(gè)群組成員將生成各自的用戶私鑰(群組私鑰)和一個(gè)群組公鑰，每個(gè)成員所持有的不相同的用戶私鑰可以解密群組公鑰加密的信息.ASGKA協(xié)議相較于傳統(tǒng)群組密鑰協(xié)商協(xié)議具備無需管理員參與(dealer-free)、密鑰自認(rèn)證(key self-confirmation)、惡意參與方識(shí)別(identification of disruptive principals)等優(yōu)勢(shì).然而，通過該協(xié)議得到的群組公私鑰需要基于公鑰加密實(shí)現(xiàn)安全通信，其運(yùn)行效率將低于傳統(tǒng)群組密鑰協(xié)商得到的對(duì)稱密鑰.此外，該協(xié)議具備密鑰同態(tài)的特性，若存在惡意參與者，則會(huì)導(dǎo)致協(xié)議受到共謀攻擊.謝濤等人[68]研究了ASGKA協(xié)議[67]中的共謀攻擊問題，定義了非對(duì)稱群組密鑰交換的叛逆追蹤性，并嚴(yán)格證明了具備密鑰同態(tài)性質(zhì)的非對(duì)稱密鑰協(xié)商協(xié)議中合謀者構(gòu)成的集合滿足非模糊性導(dǎo)致合謀者是不可追蹤的.2019年，Shen等人[69]創(chuàng)新了會(huì)話密鑰的協(xié)商方式，定義了基于對(duì)稱平衡不完全區(qū)組設(shè)計(jì)(symmetric balanced incomplete block design, SBIBD)的負(fù)載均衡、通信輕量的多播協(xié)商模型.設(shè)計(jì)了(7,3,1)-SBIBD結(jié)構(gòu)多方密鑰協(xié)商協(xié)議并進(jìn)一步根據(jù)SBIBD的結(jié)構(gòu)特性，構(gòu)造SBIBD的通用數(shù)學(xué)表達(dá)，設(shè)計(jì)SBIBD結(jié)構(gòu)轉(zhuǎn)換算法，使其適用于離散多方密鑰協(xié)商協(xié)議，該結(jié)構(gòu)轉(zhuǎn)換算法如圖6所示.

Fig. 5 The model of ASGKA protocol and the traditional key agreement protocol圖5 ASGKA密鑰協(xié)商模型和傳統(tǒng)多方密鑰協(xié)商模型

Fig. 6 The transformation algorithm of the SBIBD structure圖6 SBIBD結(jié)構(gòu)轉(zhuǎn)換算法

不難看出，國(guó)內(nèi)外研究學(xué)者已在密鑰協(xié)商相關(guān)領(lǐng)域做出了一系列有益的探索，在兩方密鑰協(xié)商領(lǐng)域已提出很多經(jīng)典的方案并投入實(shí)際使用.在多方密鑰協(xié)商領(lǐng)域，針對(duì)交互式多方密鑰協(xié)商的交互計(jì)開銷和協(xié)議安全性已展開了大量研究.然而，面對(duì)新環(huán)境如區(qū)塊鏈、大數(shù)據(jù)、云環(huán)境等應(yīng)用領(lǐng)域，支持隱私保護(hù)、分層管理、高效更新等需求的新型交互式多方密鑰協(xié)商協(xié)議仍有待研究.在非交互式多方密鑰協(xié)商領(lǐng)域，高效實(shí)用的非交互式多方密鑰協(xié)商協(xié)議的設(shè)計(jì)依賴于適用的具備如有限域上的離散對(duì)數(shù)、橢圓曲線上的離散對(duì)數(shù)陷門性質(zhì)的數(shù)學(xué)工具的開發(fā).

3.3 安全審計(jì)

外包數(shù)據(jù)的完整性是云存儲(chǔ)的基本需求，該屬性是可供數(shù)據(jù)所有者參照的反映外包數(shù)據(jù)安全的直接參數(shù).

當(dāng)數(shù)據(jù)以密文形式存儲(chǔ)在服務(wù)器中時(shí)，數(shù)據(jù)的直接可用性會(huì)降低，并且為用戶端對(duì)數(shù)據(jù)的存儲(chǔ)完整性驗(yàn)證帶來了困難.為了解決上述問題，出現(xiàn)了大量針對(duì)密文數(shù)據(jù)完整性驗(yàn)證的研究成果[70-74].2007年，Ateniese等人[75]首次提出了公共審計(jì)方案，該方案定義了“公共審計(jì)”的概念，并提出了“概率性審計(jì)”的思想極大地降低了審計(jì)的計(jì)算和通信開銷.具體來說，在1%的數(shù)據(jù)被損壞時(shí)，該方案僅需取樣數(shù)據(jù)文件4.6%的數(shù)據(jù)塊即能以99%的概率檢測(cè)到數(shù)據(jù)的損壞.由于不需對(duì)整個(gè)數(shù)據(jù)文件進(jìn)行審計(jì)，該方案對(duì)大小為768 KB的文件進(jìn)行審計(jì)的開銷較傳統(tǒng)方案提升了185倍.

2007年，Sebé等人[76]基于Diffie-Hellman協(xié)議設(shè)計(jì)了一種可支持隨機(jī)數(shù)據(jù)塊存儲(chǔ)檢查的數(shù)據(jù)持有性驗(yàn)證協(xié)議，使得用戶可在無需取回全部數(shù)據(jù)的情況下對(duì)數(shù)據(jù)的完整性進(jìn)行驗(yàn)證.隨后，為了提高數(shù)據(jù)完整性驗(yàn)證結(jié)果的可信度和公平性，一些學(xué)者通過引入一個(gè)可信第三方(third party auditor, TPA)設(shè)計(jì)了一種可支持公共審計(jì)的數(shù)據(jù)存儲(chǔ)審計(jì)協(xié)議.Wang等人[77]提出了一個(gè)公共云數(shù)據(jù)審計(jì)協(xié)議，該協(xié)議基于密碼學(xué)中的同態(tài)消息認(rèn)證碼和隨機(jī)掩碼技術(shù)支持審計(jì)過程中的用戶隱私保護(hù).為了在審計(jì)中實(shí)現(xiàn)數(shù)據(jù)動(dòng)態(tài)操作，Wang等人[78]通過在審計(jì)協(xié)議的設(shè)計(jì)中引入Merkle-Hash-Tree技術(shù)，使得審計(jì)協(xié)議可支持?jǐn)?shù)據(jù)動(dòng)態(tài)操作.2013年，Zhu等人[79]設(shè)計(jì)了一種基于索引哈希表的審計(jì)方案，相較之前的協(xié)議而言，該方案的計(jì)算和通信開銷都有所減少.但是，鑒于該協(xié)議中所采用的索引哈希表是一種順序表，按照順序表的屬性，當(dāng)遇到插入、刪除等會(huì)改變索引哈希表結(jié)構(gòu)的動(dòng)態(tài)操作時(shí)，該協(xié)議開銷仍然較大，不適用于數(shù)據(jù)的動(dòng)態(tài)操作.2015年，Liu等人[80]基于再生碼技術(shù)(regenerating codes)提出了一種支持容錯(cuò)性和故障修復(fù)功能的數(shù)據(jù)審計(jì)方案，該方案解決了審計(jì)過程中要求數(shù)據(jù)所有者實(shí)時(shí)在線的問題，降低了數(shù)據(jù)擁有者的在線負(fù)擔(dān).然而，該方案中數(shù)據(jù)所有者委托的代理可以偽造任何數(shù)據(jù)塊的身份驗(yàn)證器，導(dǎo)致該協(xié)議并不安全.2018年，He等人[81]針對(duì)云輔助無線體域網(wǎng)環(huán)境下(wireless body area networks, WBANs)資源受限問題，提出了一種高效的無證書公共審計(jì)(certificateless public auditing, CLPA)方案，解決了審計(jì)協(xié)議中的密鑰管理和密鑰托管問題，能夠抵御傳統(tǒng)基于身份(identity-based, ID-based)和基于公鑰密鑰體制的審計(jì)方案中的Ⅰ型敵手和Ⅱ型敵手，其中Ⅰ型敵手具備替換用戶公鑰的能力，Ⅱ型敵手具備訪問主密鑰的能力.

另一方面，共享數(shù)據(jù)審計(jì)是驗(yàn)證共享數(shù)據(jù)完整性的重要方案.在云存儲(chǔ)服務(wù)中，由于數(shù)據(jù)的所有權(quán)和數(shù)據(jù)的控制權(quán)分離，使得共享數(shù)據(jù)的完整性成為用戶使用云存儲(chǔ)最大的擔(dān)憂.共享數(shù)據(jù)審計(jì)方案有效實(shí)現(xiàn)云數(shù)據(jù)完整性的驗(yàn)證，保障了共享數(shù)據(jù)的完整性.已有的共享數(shù)據(jù)審計(jì)協(xié)議，多采用基于線性同態(tài)認(rèn)證子技術(shù)進(jìn)行實(shí)現(xiàn)，但這些協(xié)議都基于復(fù)雜的密鑰管理，通常采用PKI基礎(chǔ)設(shè)施管理密鑰，證書的生成、存儲(chǔ)、撤銷、更新是很昂貴的操作，復(fù)雜的密鑰管理導(dǎo)致協(xié)議在具體實(shí)施時(shí)效率不高.針對(duì)共享數(shù)據(jù)審計(jì)的效率不高問題，Yu等人[82]提出了一系列具備簡(jiǎn)化密鑰管理的云數(shù)據(jù)完整性審計(jì)模型，包括基于身份的云數(shù)據(jù)完整性審計(jì)協(xié)議、基于生物特征的云數(shù)據(jù)完整性審計(jì)協(xié)議等.正規(guī)化了這些新型協(xié)議的系統(tǒng)模型、安全需求和安全模型，并提出可證明安全的一系列協(xié)議.方案中提出基于身份的云數(shù)據(jù)完整性審計(jì)協(xié)議系統(tǒng)模型，給出其安全性定義，該系統(tǒng)模型能有效抵抗惡意的云服務(wù)器、防止對(duì)第三方審計(jì)者泄露信息.

結(jié)合基于身份的簽名方案及非對(duì)稱群組密鑰協(xié)商技術(shù)，給出基于身份的云數(shù)據(jù)完整性審計(jì)協(xié)議的具體構(gòu)造，其中挑戰(zhàn)響應(yīng)協(xié)議由第三方審計(jì)者與云服務(wù)器進(jìn)行協(xié)商完成，在生成共享密鑰時(shí)必須包含挑戰(zhàn)塊，并在一般群模型下證明基于身份的云數(shù)據(jù)完整性審計(jì)協(xié)議的安全性.通過原型系統(tǒng)執(zhí)行云數(shù)據(jù)完整性審計(jì)協(xié)議，性能分析表面隨著挑戰(zhàn)塊數(shù)的增加，時(shí)間開銷呈遞增趨勢(shì)，當(dāng)挑戰(zhàn)460塊時(shí)，驗(yàn)證者驗(yàn)證響應(yīng)只需花費(fèi)3.0 s，服務(wù)器生成響應(yīng)花費(fèi)0.7 s.這一協(xié)議提升云數(shù)據(jù)審計(jì)協(xié)議安全性的同時(shí)滿足實(shí)用性需求，為共享數(shù)據(jù)審計(jì)提供了有效的解決方案.

Fig. 7 The system model of fuzzy identity-based data integrity auditing protocol.圖7 基于模糊身份的云數(shù)據(jù)完整性審計(jì)協(xié)議系統(tǒng)模型

Fig. 8 Doubly linked info table圖8 雙向鏈?zhǔn)叫畔⒈?/p>

共享數(shù)據(jù)審計(jì)協(xié)議使得驗(yàn)證者無需下載數(shù)據(jù)能夠有效檢查數(shù)據(jù)的完整性.但現(xiàn)有的數(shù)據(jù)審計(jì)協(xié)議的密鑰管理相對(duì)復(fù)雜，為解決復(fù)雜的密鑰管理這一挑戰(zhàn)，Li等人[83]在共享數(shù)據(jù)完整性審計(jì)中引入模糊身份認(rèn)證機(jī)制，結(jié)合現(xiàn)實(shí)應(yīng)用，將用戶生物特征(如指紋、虹膜)作為模糊身份進(jìn)行數(shù)據(jù)完整性審計(jì)，提出基于生物特征的云數(shù)據(jù)完整性審計(jì)協(xié)議，形式化定義其系統(tǒng)模型和安全模型，如圖7所示，并給出基于生物特征的云數(shù)據(jù)完整性審計(jì)協(xié)議架構(gòu).其主要包含3個(gè)階段:1)注冊(cè).采用專用設(shè)備(如指紋掃描儀)采集用戶生物特征，提取特征向量，生成用戶私鑰；2)存儲(chǔ).用戶對(duì)元數(shù)據(jù)進(jìn)行預(yù)處理，生成文件標(biāo)簽及認(rèn)證子；3)審計(jì).根據(jù)挑戰(zhàn)-響應(yīng)算法，審計(jì)數(shù)據(jù)完整性.結(jié)合模糊身份加密思想與門限秘密共享方案，給出具體的基于生物特征技術(shù)的模糊身份云數(shù)據(jù)完整性審計(jì)協(xié)議，其有效保障數(shù)據(jù)完整性，同時(shí)提供了有效容錯(cuò)性，當(dāng)且僅當(dāng)2個(gè)身份足夠接近時(shí)，其中一個(gè)用戶身份可以驗(yàn)證對(duì)另一身份響應(yīng)的正確性.借助可證明安全理論，在選擇身份安全模型下證明協(xié)議基于計(jì)算Diffie-Hellman假設(shè)和離散對(duì)數(shù)假設(shè)的安全性.通過原型系統(tǒng)部署基于生物特征的云數(shù)據(jù)完整性審計(jì)協(xié)議，當(dāng)挑戰(zhàn)300個(gè)數(shù)據(jù)塊，第三方審計(jì)者需要0.997 3 s進(jìn)行驗(yàn)證和服務(wù)器花費(fèi)9.071 s，而當(dāng)挑戰(zhàn)460個(gè)數(shù)據(jù)塊，第三方審計(jì)者花費(fèi)1.324 s和服務(wù)器12.938 s.協(xié)議實(shí)現(xiàn)模糊身份審計(jì)功能，同時(shí)滿足有效性及實(shí)用性.數(shù)據(jù)審計(jì)的相關(guān)模型和協(xié)議等成果已被同行推廣至數(shù)據(jù)動(dòng)態(tài)操作、多副本數(shù)據(jù)持有性證明、數(shù)等場(chǎng)景.

針對(duì)當(dāng)前的研究工作中，防篡改、防泄露的云審計(jì)協(xié)議無法解決更新數(shù)據(jù)操作復(fù)雜、定位數(shù)據(jù)位置耗時(shí)等問題，導(dǎo)致計(jì)算資源占用過度、審計(jì)效率低下，難以滿足云數(shù)據(jù)在共享過程中即時(shí)驗(yàn)證的需求.Shen等人[84]定義了一種新型的雙向鏈?zhǔn)叫畔⒈?doubly linked info table)，如圖8所示，有效地解決了云存儲(chǔ)服務(wù)中數(shù)據(jù)塊物理位置與索引號(hào)之間存在的映射問題，在不引入額外開銷的前提下更好地支持了數(shù)據(jù)的動(dòng)態(tài)更新.同時(shí)，提出了面向云數(shù)據(jù)安全共享的雙向鏈?zhǔn)綄徲?jì)協(xié)議，支持低開銷、高效率的云數(shù)據(jù)動(dòng)態(tài)操作和批量審計(jì)，提供公開、無塊驗(yàn)證，從而有效防止云中的數(shù)據(jù)(特別是涉及隱私的數(shù)據(jù))被驗(yàn)證者竊取.實(shí)驗(yàn)表明：在審計(jì)20 000個(gè)數(shù)據(jù)塊時(shí)，相較于傳統(tǒng)的基于動(dòng)態(tài)哈希表結(jié)構(gòu)的審計(jì)協(xié)議，數(shù)據(jù)更新效率、數(shù)據(jù)審計(jì)效率均提高150%.

不難看出，國(guó)內(nèi)外研究學(xué)者已在數(shù)據(jù)審計(jì)方面展開了較為充分的研究.但是，已有的研究成果動(dòng)態(tài)操作效率低下，在完整性和正確性的監(jiān)測(cè)、檢驗(yàn)，以及數(shù)據(jù)的可用性的保障等方面仍有所欠缺.此外，目前少有合適的數(shù)據(jù)審計(jì)協(xié)議能在精確定位的前提下實(shí)現(xiàn)數(shù)據(jù)恢復(fù).

3.4 安全共享

數(shù)據(jù)安全共享作為云計(jì)算的重要應(yīng)用受到了國(guó)內(nèi)外學(xué)者的廣泛關(guān)注，產(chǎn)生了大量的研究成果.目前國(guó)內(nèi)外在數(shù)據(jù)安全共享領(lǐng)域的研究成果頗豐.代理重加密(proxy re-encryption, PRE)技術(shù)能讓數(shù)據(jù)擁有者將加密數(shù)據(jù)的解密權(quán)限委托給授權(quán)接收者而無需直接交互[85-90].

傳統(tǒng)的公鑰密碼學(xué)和身份密碼學(xué)(identity-based cryptography, IBC)方案分別在證書管理和密鑰托管方面存在問題.2012年，Xu等人[91]在文獻(xiàn)[92]的基礎(chǔ)上，提出一種無證書PRE方案以克服密鑰托管問題.2013年，Liu等人[93]針對(duì)數(shù)據(jù)共享過程中的用戶動(dòng)態(tài)變化問題，基于動(dòng)態(tài)廣播加密和群簽名技術(shù)，提出了一種用戶可撤銷的云數(shù)據(jù)共享方案.該方案中，組管理員維護(hù)一張記錄用戶撤銷列表(revocation list, RL)如表2所示，其中，IDgroup為群組標(biāo)識(shí)符，三元組(Ai,xi,ti)表示用戶i在ti時(shí)刻被撤銷，Pi為群組管理員使用主私鑰和群G1上的隨機(jī)元素計(jì)算得到，其余參數(shù)Zr，tRL，sig(RL)為撤銷列表相關(guān)參數(shù).基于撤銷列表可判斷用戶的合法性，實(shí)現(xiàn)高效的用戶撤銷操作.然而，隨著撤銷用戶的增多，撤銷列表的管理和查詢將影響組管理員和用戶數(shù)據(jù)共享的效率.此外，該方案易遭受云和撤銷用戶的共謀攻擊，將導(dǎo)致被撤消的用戶獲得共享數(shù)據(jù)并泄露其他合法成員的秘密.2015年，李繼國(guó)等人[94]在CP-ABE方案的基礎(chǔ)上提出了保護(hù)隱私且支持用戶撤銷的屬性加密方案.2016年，Lu等人[95]構(gòu)建了一個(gè)無雙線性對(duì)的CB-PRE方案，但該方案的安全性只能在隨機(jī)預(yù)言機(jī)模型中得到證實(shí).因此，在標(biāo)準(zhǔn)模型中構(gòu)造無雙線性對(duì)的CB-PRE方案將是可探究的方向.2017年，Li等人[96]提出了一種移動(dòng)用戶端基于屬性的數(shù)據(jù)共享方案，該方案通過使用變色龍哈希函數(shù)產(chǎn)生即時(shí)密文的方法實(shí)現(xiàn)了移動(dòng)用戶間的安全數(shù)據(jù)共享，然而，其尚未對(duì)用戶屬性的直接撤銷展開研究.

Table 2 Revocation List表2 撤銷列表

2017年，Shen等人[97]針對(duì)現(xiàn)有數(shù)據(jù)共享方案的設(shè)計(jì)多專注于一對(duì)多的共享模式，限制了數(shù)據(jù)交互的靈活性，且存在難以追蹤數(shù)據(jù)來源，易于遭受共謀攻擊等問題，無法保證安全高效的匿名抗共謀數(shù)據(jù)共享.突破匿名抗共謀數(shù)據(jù)共享的傳統(tǒng)設(shè)計(jì)觀念，設(shè)計(jì)了特殊結(jié)構(gòu)的組公鑰，生成專屬標(biāo)簽，用于匿名標(biāo)記及用戶追蹤；借助群密鑰構(gòu)建組內(nèi)/組間通信框架，減少冗余的授權(quán)操作；合理定義系統(tǒng)參數(shù)更新方式，提高密鑰生成的安全性，如圖9所示.此外，在可追蹤、抗共謀數(shù)據(jù)共享算法的基礎(chǔ)上，設(shè)計(jì)了容錯(cuò)檢測(cè)機(jī)制，如圖10所示，有效保護(hù)了數(shù)據(jù)共享的安全高效執(zhí)行.具體地說，在初始化期間，每個(gè)成員需向組管理員提交一個(gè)關(guān)于子密鑰的承諾.在密鑰協(xié)商之后，組管理員在所有成員之間廣播消息已驗(yàn)證會(huì)話密鑰的一致性.若有成員發(fā)現(xiàn)不一致，則其將向組管理員提交一份錯(cuò)誤報(bào)告，此后，組管理員先根據(jù)發(fā)送錯(cuò)誤報(bào)告用戶的承諾驗(yàn)證該用戶的合法性，若用戶合法，則其余所有成員都將進(jìn)行錯(cuò)誤檢測(cè)以抵御差別密鑰攻擊.

Fig. 9 Traceable and collusion-resistant data sharing model圖9 可追蹤、抗共謀數(shù)據(jù)共享模型

Fig. 10 Fault-tolerant detection mechanism圖10 容錯(cuò)檢測(cè)機(jī)制

2019年，Shen等人[98]針對(duì)共享過程中敏感信息易暴露的問題，提出了一種遠(yuǎn)程數(shù)據(jù)完整性審計(jì)方案,方案中用戶將與原始文件的個(gè)人敏感信息相對(duì)應(yīng)的數(shù)據(jù)塊隱藏起來，并生成相應(yīng)的簽名，然后將其發(fā)送給清理程序.清理程序?qū)⑦@些隱藏的數(shù)據(jù)塊清理為統(tǒng)一格式，并且還清理了與組織的敏感信息相對(duì)應(yīng)的數(shù)據(jù)塊.它還會(huì)將相應(yīng)的簽名轉(zhuǎn)換為已清理文件的有效簽名.該方案實(shí)現(xiàn)了遠(yuǎn)程數(shù)據(jù)完整性審計(jì)，同時(shí)支持在云存儲(chǔ)中保護(hù)敏感信息的情況下進(jìn)行數(shù)據(jù)共享.同年，Wei等人[99]針對(duì)個(gè)人電子病歷共享過程中的隱私保護(hù)問題，考慮了外包個(gè)人醫(yī)療數(shù)據(jù)強(qiáng)安全性和特定的安全需求，具體來說為了增強(qiáng)系統(tǒng)安全性并滿足特定應(yīng)用的需求，在基礎(chǔ)ABE方案中引入用戶撤銷，秘密密鑰委派和密文更新機(jī)制，并提出了基于可撤消存儲(chǔ)分層屬性的加密(revocable-storage hierarchical attribute-based encryption, RS-HABE)方案.所提出的RS-HABE方案同時(shí)具有前向安全性(被撤消的用戶不能再訪問以前的加密數(shù)據(jù))和后向安全性(被撤消的用戶也不能訪問后續(xù)的加密數(shù)據(jù))，并且在雙線性困難性問題假設(shè)下能夠達(dá)到選擇性安全.

2020年，Pu等人[100]針對(duì)邊緣計(jì)算數(shù)據(jù)共享過程中的隱私泄露問題，提出了一種隱私保護(hù)、可恢復(fù)和可撤銷的邊緣數(shù)據(jù)共享方案.該方案設(shè)計(jì)了一種基于區(qū)塊鏈的屬性撤銷鏈，實(shí)現(xiàn)了CP-ABE方案中的屬性撤銷.同時(shí)，針對(duì)單個(gè)ES被劫持的情況，引入了秘密共享方案輔助數(shù)據(jù)恢復(fù).此外，該方案提出了相應(yīng)的高效檢測(cè)機(jī)制和密鑰更新策略，以保證方案的安全穩(wěn)定運(yùn)行.同年，Huang等人[101]針對(duì)現(xiàn)有數(shù)據(jù)共享研究?jī)H考慮同組用戶共享的問題，提出了一種基于區(qū)塊鏈的數(shù)據(jù)共享方案有效支持多組協(xié)作數(shù)據(jù)共享.該方案基于聯(lián)盟區(qū)塊鏈技術(shù)，在無需TPA參與的情況下實(shí)現(xiàn)了共享數(shù)據(jù)的高效和公共驗(yàn)證.此外，該方案可以支持用戶的匿名性、可追溯性和不可陷害性.

此外，還有一系列工作針對(duì)密文計(jì)算結(jié)果的安全數(shù)據(jù)共享開展研究.國(guó)內(nèi)外現(xiàn)有做法是利用公鑰全同態(tài)加密技術(shù)，在計(jì)算結(jié)果接收方的公鑰下對(duì)每一個(gè)數(shù)據(jù)進(jìn)行全同態(tài)加密，從而使得授權(quán)的接收方能用其私鑰正確解密明文計(jì)算結(jié)果.2009年，Gentry等人[102]首次提出了公鑰FHE，他們先構(gòu)造了SWHE方案，并使它可引導(dǎo).然而，基于Gentry等人[102]的公鑰全同態(tài)加密方案需要對(duì)明文消息逐比特加密，計(jì)算開銷非常巨大，所以無法直接用于邊緣計(jì)算底層資源受限的本地設(shè)備.Halevi等人[103]建立了一個(gè)名為HElib的FHE算法庫，以實(shí)現(xiàn)全同態(tài)加密系統(tǒng)和自引導(dǎo)方法.Chen等人[104]利用重線性化技術(shù)和密文打包技術(shù)，基于門限全同態(tài)加密算法提出了多密鑰全同態(tài)加密算法，并將其應(yīng)用于密文域的神經(jīng)網(wǎng)絡(luò)訓(xùn)練與預(yù)測(cè).雖然上述國(guó)內(nèi)外關(guān)于公鑰全同態(tài)加密(FHE)的工作取得了一定成效，但其高計(jì)算、存儲(chǔ)和通信開銷仍然無法滿足邊云數(shù)據(jù)安全計(jì)算和安全共享中資源受限的本地設(shè)備的客觀性能需求.近年來，周俊和曹珍富等人[105-106]不依賴公鑰全同態(tài)加密，通過減少公鑰加密使用次數(shù)，提出了單用戶多數(shù)據(jù)輕量級(jí)隱私保護(hù)外包計(jì)算新方法，實(shí)現(xiàn)了云計(jì)算系統(tǒng)中高效的可驗(yàn)證隱私保護(hù)模式匹配協(xié)議；同時(shí)將該方案進(jìn)一步擴(kuò)展到多用戶多數(shù)據(jù)場(chǎng)景，基于常數(shù)次任意單向陷門置換提出了輕量級(jí)的多密鑰全同態(tài)映射數(shù)據(jù)封裝機(jī)制，其中的單項(xiàng)陷門置換可用基于身份加密、基于屬性加密及抗量子攻擊的公鑰加密算法進(jìn)行實(shí)例化，從而實(shí)現(xiàn)不同場(chǎng)景下為滿足多種安全性及應(yīng)用需要設(shè)計(jì)的安全數(shù)據(jù)共享協(xié)議.

綜上所述，研究人員已經(jīng)對(duì)安全數(shù)據(jù)共享相關(guān)技術(shù)做出了大量探究，但是已有的基于屬性的數(shù)據(jù)共享方案不能較好地解決用戶屬性撤銷的問題.同時(shí)，在數(shù)據(jù)共享方面仍沒有完整的代理重加密方案能夠同時(shí)在標(biāo)準(zhǔn)模型中支持密鑰更新、抵御撤銷用戶的共謀攻擊和降低服務(wù)器開銷.

4 總結(jié)與展望

從國(guó)內(nèi)外研究動(dòng)態(tài)的分析可知，云環(huán)境中的數(shù)據(jù)保護(hù)已經(jīng)引起了國(guó)內(nèi)外學(xué)者長(zhǎng)期廣泛的關(guān)注，取得了很多研究成果，但現(xiàn)有研究還存在4個(gè)主要問題：

1) 現(xiàn)有的訪問控制方案中都需要授權(quán)中心的參與，授權(quán)中心在整個(gè)訪問控制中起到至關(guān)重要的作用.然而，對(duì)授權(quán)中心的過度依賴也限制了這一類方案的使用，可能導(dǎo)致用戶隱私泄露.同時(shí)，基于屬性加密的訪問控制方案無法抵抗共謀攻擊，缺乏對(duì)云存儲(chǔ)準(zhǔn)入控制的安全性保護(hù).因此，研究隱私保護(hù)且具備抗共謀機(jī)制的云數(shù)據(jù)訪問控制方案具有重要的理論和實(shí)踐意義.

Fig. 11 Data security in cloud computing and the related cryptographic technologies圖11 云數(shù)據(jù)安全保護(hù)方法及相關(guān)密碼技術(shù)

2) 現(xiàn)有交互式多方密鑰協(xié)商協(xié)議存在結(jié)構(gòu)單一偏大等問題，且安全性證明不完善.另一方面，目前雖然已有將iO技術(shù)和多線性對(duì)技術(shù)應(yīng)用于非交互式多方密鑰協(xié)商協(xié)議的設(shè)計(jì)中，但協(xié)議的運(yùn)行開銷較大難以投入使用，且安全性尚不明確.因此，研究新型結(jié)構(gòu)以降低交互式多方密鑰協(xié)商協(xié)議的通信開銷，優(yōu)化協(xié)議性能，開發(fā)實(shí)用數(shù)學(xué)工具以支持非交互式多方密鑰協(xié)商協(xié)議的高效實(shí)現(xiàn)將是多方密鑰協(xié)商領(lǐng)域亟待解決的問題.

3) 現(xiàn)有數(shù)據(jù)審計(jì)方案存在隱私易泄露、錯(cuò)誤定位精度較低、恢復(fù)困難等問題.因此，如何在保證審計(jì)正確性和效率的基礎(chǔ)上保護(hù)用戶隱私，如何在發(fā)現(xiàn)錯(cuò)誤后支持高精度錯(cuò)誤定位以及有效的數(shù)據(jù)恢復(fù)是數(shù)據(jù)審計(jì)協(xié)議領(lǐng)域值得研究的方向.

4) 現(xiàn)有的數(shù)據(jù)共享方案無法較好地支持用戶撤銷和新增等動(dòng)態(tài)操作，且存在成員動(dòng)態(tài)管理開銷偏大、難以追蹤惡意用戶的問題.同時(shí)，現(xiàn)有數(shù)據(jù)共享方案容錯(cuò)性不足，惡意用戶的參與將導(dǎo)致共享失效.因此，研究支持群組動(dòng)態(tài)操作，設(shè)計(jì)容錯(cuò)可追蹤機(jī)制是云數(shù)據(jù)共享領(lǐng)域值得進(jìn)一步研究的方向.

4.1 總 結(jié)

本文從云數(shù)據(jù)安全的訪問控制、密鑰協(xié)商、安全審計(jì)和安全共享4個(gè)方面出發(fā)，對(duì)國(guó)內(nèi)外云數(shù)據(jù)安全保護(hù)方案的最新研究成果進(jìn)行系統(tǒng)分析.從密碼學(xué)的角度出發(fā)，總結(jié)出現(xiàn)有云數(shù)據(jù)安全保護(hù)方案涉及到的相關(guān)密碼原語、技術(shù)，如圖11所示，并對(duì)其進(jìn)行深入分析：

1) 在訪問控制方案研究中既要保證只有合法用戶才可訪問數(shù)據(jù)，又要保護(hù)合法用戶隱私.由此，基于屬性加密是實(shí)現(xiàn)隱私保護(hù)訪問控制的較好選擇.一般來說，屬性加密機(jī)制中的訪問控制結(jié)構(gòu)可基于秘密共享方案構(gòu)造實(shí)現(xiàn)，常用的有Shamir秘密共享和線性秘密共享方案.在此基礎(chǔ)上，可通過引入代理重加密、分層機(jī)制、轉(zhuǎn)換機(jī)制、可信機(jī)制等支持訪問控制過程中的可擴(kuò)展性、輕量操作、可協(xié)作性、跨域控制等功能.

2) 在數(shù)據(jù)安全審計(jì)方案設(shè)計(jì)中，首先需要保證公共審計(jì)和概率審計(jì)的特性，同時(shí)引入可信第三方保證審計(jì)結(jié)果的公平可信.在此基礎(chǔ)上，基于同態(tài)消息認(rèn)證碼、隨機(jī)掩碼、默克爾樹、索引哈希樹、再生碼、身份簽名、非對(duì)稱密鑰協(xié)商、雙向鏈?zhǔn)叫畔⒈淼戎С謱徲?jì)中的隱私保護(hù)、動(dòng)態(tài)操作、可協(xié)作性、動(dòng)態(tài)更新等特性，基于無證書密碼體制和模糊身份機(jī)制解決審計(jì)中的密鑰托管和密鑰管理問題.

3) 在數(shù)據(jù)安全共享方案設(shè)計(jì)中主要基于代理重加密技術(shù)和屬性加密技術(shù)實(shí)現(xiàn)共享數(shù)據(jù)密鑰的高效轉(zhuǎn)換和保護(hù)共享數(shù)據(jù)隱私.在此基礎(chǔ)上利用群簽名、動(dòng)態(tài)廣播加密、無雙線性對(duì)密碼體制、變色龍哈希函數(shù)、多方密鑰協(xié)商、容錯(cuò)機(jī)制、清理機(jī)制等支持?jǐn)?shù)據(jù)共享過程中的動(dòng)態(tài)管理、移動(dòng)用戶、容錯(cuò)共享、隱私保護(hù)，并基于無證書密碼體制解決數(shù)據(jù)共享過程中的密鑰托管問題.

4) 在密鑰協(xié)商方案的設(shè)計(jì)中主要分為非交互式密鑰協(xié)商和交互式密鑰協(xié)商，其中非交互式多方密鑰協(xié)商目前僅有兩方和三方非交互式密鑰協(xié)商具有實(shí)用價(jià)值，大于3人的非交互式密鑰協(xié)商方案需要利用多線性對(duì)、不可區(qū)分混淆、約束偽隨機(jī)函數(shù)等技術(shù).多線性對(duì)和不可區(qū)分混淆可以相互轉(zhuǎn)化，同時(shí)這兩者可用于構(gòu)造約束偽隨機(jī)函數(shù).然而，目前多線性對(duì)需要基于理想格或整數(shù)進(jìn)行構(gòu)造，安全性難以證明且效率較低.交互式密鑰協(xié)商的設(shè)計(jì)主要基于多方交互模型和交互過程中使用的加密方法.交互模型主要包括二叉樹、三叉樹、矩陣論、拉丁方、螺旋矩陣、區(qū)組設(shè)計(jì)；加密方法主要有基于身份加密、屬性加密、橢圓曲線加密、對(duì)稱加密等并可在此基礎(chǔ)上引入容錯(cuò)機(jī)制、秘密共享、成員管理、哈希函數(shù)等實(shí)現(xiàn)或支持協(xié)商過程中的容錯(cuò)協(xié)商、隱私保護(hù)、動(dòng)態(tài)管理.此外，為了平衡多方的功能需求和協(xié)議的運(yùn)行性能，非對(duì)稱多方密鑰協(xié)商協(xié)議基于可聚合性和密鑰同態(tài)的特性實(shí)現(xiàn)了高效地多方密鑰協(xié)商并可支持高效錯(cuò)誤識(shí)別、線性加密復(fù)雜度、密鑰自確認(rèn)等功能.

4.2 展 望

立足于國(guó)家“建設(shè)國(guó)家數(shù)據(jù)統(tǒng)一共享開放平臺(tái)，保障國(guó)家數(shù)據(jù)安全，加強(qiáng)個(gè)人信息保護(hù)”的戰(zhàn)略需求，云數(shù)據(jù)安全保護(hù)方案的未來發(fā)展方向主要包括3個(gè)分支.

1) 可信認(rèn)證模式的統(tǒng)一

實(shí)現(xiàn)云數(shù)據(jù)安全訪問的前提條件是對(duì)各類不同來源、不同類型數(shù)據(jù)的可信認(rèn)證.現(xiàn)階段云數(shù)據(jù)訪問控制在隱私保護(hù)、可信評(píng)估和來源認(rèn)證等方面已經(jīng)積累了一定的經(jīng)驗(yàn)和基礎(chǔ)，取得了一定的研究成果，然而目前成果缺乏針對(duì)數(shù)據(jù)復(fù)雜異構(gòu)場(chǎng)景的特殊化模式設(shè)計(jì).因此，為了云數(shù)據(jù)安全訪問控制，推動(dòng)云技術(shù)的進(jìn)一步應(yīng)用，迫切需要實(shí)現(xiàn)不同來源、不同類型數(shù)據(jù)認(rèn)證模式的統(tǒng)一，其具體內(nèi)涵包括：

①推進(jìn)不同來源、不同類型數(shù)據(jù)結(jié)構(gòu)歸一化，打破跨域訪問控制的壁壘.②推進(jìn)數(shù)據(jù)可信評(píng)估標(biāo)準(zhǔn)統(tǒng)一，完善云數(shù)據(jù)可信評(píng)估體系.保障數(shù)據(jù)來源可信是確保數(shù)據(jù)真實(shí)合法的前提條件.然而，現(xiàn)有的評(píng)估指標(biāo)體系構(gòu)建不完善，評(píng)估標(biāo)準(zhǔn)不一，無法對(duì)云數(shù)據(jù)的可信度進(jìn)行系統(tǒng)科學(xué)的評(píng)估和決策.因此，迫切需要針對(duì)云數(shù)據(jù)復(fù)雜異構(gòu)特點(diǎn)，實(shí)現(xiàn)可信評(píng)估標(biāo)準(zhǔn)統(tǒng)一，并在此基礎(chǔ)上引入深度學(xué)習(xí)技術(shù)，建立智能化的云數(shù)據(jù)可信評(píng)估模型.③推進(jìn)數(shù)據(jù)擁有者身份去特征化隱藏，確保云數(shù)據(jù)的隱私保護(hù).云數(shù)據(jù)多涉及個(gè)人隱私乃至國(guó)家機(jī)密，對(duì)數(shù)據(jù)隱私保護(hù)提出更高要求.因此，迫切需要對(duì)數(shù)據(jù)擁有者進(jìn)行身份去特征化隱藏，保證其行為的匿名.

2) 安全傳輸技術(shù)的創(chuàng)新

數(shù)據(jù)安全傳輸技術(shù)是云數(shù)據(jù)安全交互的重要保證.目前，密鑰協(xié)商、數(shù)字簽名、簽密等關(guān)鍵的密碼原語在其發(fā)展和實(shí)踐過程中已趨于成熟，能夠保障基本的數(shù)據(jù)傳輸安全，然而，現(xiàn)有關(guān)鍵密碼原語的代表算法和解決方案多為國(guó)外組織或團(tuán)隊(duì)設(shè)計(jì)發(fā)明，且其具體的設(shè)計(jì)結(jié)構(gòu)、對(duì)接方法和關(guān)系映射缺少針對(duì)云數(shù)據(jù)安全交互場(chǎng)景的具體實(shí)踐性創(chuàng)新.因此，目前云數(shù)據(jù)安全交互所用傳輸技術(shù)如何實(shí)現(xiàn)交互模型結(jié)構(gòu)、傳輸對(duì)接模式及地址映射關(guān)系上的演進(jìn)創(chuàng)新是值得研究的方向，其具體內(nèi)涵包括：

①創(chuàng)新多方密鑰協(xié)商交互模型結(jié)構(gòu)，提高云數(shù)據(jù)交互對(duì)象間的協(xié)商交互效率.云數(shù)據(jù)互通涉及大規(guī)模、多方并行的數(shù)據(jù)交互實(shí)際需求，現(xiàn)有的研究成果交互模型構(gòu)建復(fù)雜、群組結(jié)構(gòu)單一固化、用戶交互輪數(shù)偏高、通信開銷偏大，傳輸所需密鑰生成效率無法得到保障.因此，迫切需要在數(shù)據(jù)傳輸初始階段，結(jié)合組合數(shù)學(xué)等跨學(xué)科基本理論方法，優(yōu)化多方交互結(jié)構(gòu)，構(gòu)建具有普適性的多方密鑰協(xié)商模型，為云安全互通傳輸提供密鑰保障.②創(chuàng)新輕量數(shù)據(jù)安全傳輸對(duì)接模式，實(shí)現(xiàn)數(shù)據(jù)傳輸方法的自適應(yīng)切換.云數(shù)據(jù)安全互通囊括多種應(yīng)用場(chǎng)景，現(xiàn)有的數(shù)據(jù)傳輸方式單一，難以滿足用戶多場(chǎng)景下數(shù)據(jù)傳輸?shù)膶?shí)際需求，限制了云數(shù)據(jù)傳輸過程中數(shù)據(jù)相關(guān)群體間對(duì)接的靈活性.因此，迫切需要在數(shù)據(jù)傳輸中進(jìn)行自適應(yīng)簽密算法的設(shè)計(jì)，為豐富和創(chuàng)新云數(shù)據(jù)交互對(duì)接模式創(chuàng)造條件.③創(chuàng)新云數(shù)據(jù)儲(chǔ)存地址映射關(guān)系，保障用戶動(dòng)態(tài)操作數(shù)據(jù)的痕跡隱藏.現(xiàn)有的數(shù)據(jù)存儲(chǔ)方案能夠在一定程度上保證數(shù)據(jù)的存儲(chǔ)和安全需求，然而，多數(shù)存儲(chǔ)方案存在動(dòng)態(tài)操作繁雜、算法時(shí)間復(fù)雜度偏大、存儲(chǔ)痕跡易泄漏、資源利用率低下、訪問模式單一等問題，數(shù)據(jù)外包存儲(chǔ)服務(wù)提供商缺乏進(jìn)一步保障數(shù)據(jù)擁有者、使用者隱私安全及數(shù)據(jù)存取效率.因此，迫切需要在云數(shù)據(jù)傳輸至外包服務(wù)器進(jìn)行存儲(chǔ)的過程中設(shè)計(jì)全新的無痕化地址序列映射關(guān)系，為后續(xù)云數(shù)據(jù)安全共享提供數(shù)據(jù)保障.

3) 安全共享組件的創(chuàng)新

實(shí)現(xiàn)數(shù)據(jù)安全共享是云數(shù)據(jù)的重要應(yīng)用.當(dāng)前云數(shù)據(jù)應(yīng)用在目標(biāo)選取、公共審計(jì)、數(shù)據(jù)聚合等重要組件方面已經(jīng)積累了一定的經(jīng)驗(yàn)和基礎(chǔ)，然而這些組件多依附于全球先進(jìn)的安全算法進(jìn)行設(shè)計(jì)，且缺乏云數(shù)據(jù)安全共享場(chǎng)景下實(shí)際急需的隱私匹配、數(shù)據(jù)恢復(fù)、同態(tài)分析以及容錯(cuò)共享等特性.因此，目前云數(shù)據(jù)現(xiàn)行的共享組件如何實(shí)現(xiàn)功能性躍遷是具備應(yīng)用前景的發(fā)展方向，其具體內(nèi)涵包括：

①落實(shí)用戶隱私數(shù)據(jù)細(xì)粒度匹配，保障隱私保護(hù)的共享對(duì)象的精準(zhǔn)定位.現(xiàn)有的數(shù)據(jù)共享研究工作能夠定位共享對(duì)象，但是，少部分實(shí)現(xiàn)細(xì)粒度的算法不能兼?zhèn)淇沈?yàn)證、防泄漏、抗共謀等安全性質(zhì)，共享的對(duì)象往往在確認(rèn)過程中需要犧牲其部分?jǐn)?shù)據(jù)的私密性，阻礙了云數(shù)據(jù)共享過程中對(duì)用戶隱私的可靠保護(hù).因此，需要在數(shù)據(jù)共享中進(jìn)行支持隱私保護(hù)的細(xì)粒度目標(biāo)匹配，保證云數(shù)據(jù)可靠互通共享中的數(shù)據(jù)服務(wù)提供對(duì)象享有合理的隱私權(quán).②強(qiáng)化共享云數(shù)據(jù)審計(jì)過程中的可恢復(fù)特性，確保重要的共享數(shù)據(jù)因不可抗力損毀后能夠極大程度地挽回所造成的損失.現(xiàn)有的數(shù)據(jù)共享方案能夠?qū)?shù)據(jù)實(shí)現(xiàn)一定程度的完整性校驗(yàn)，然而，執(zhí)行效率無法滿足實(shí)際需要且不支持損毀數(shù)據(jù)的恢復(fù)，共享機(jī)制的防災(zāi)抗毀能力較弱，難以為云數(shù)據(jù)共享提供可靠的審計(jì)服務(wù).因此，需要在數(shù)據(jù)共享中實(shí)現(xiàn)可恢復(fù)的公共審計(jì)，為云數(shù)據(jù)安全共享體系的預(yù)防性抗毀能力構(gòu)筑重要基石.再次，貫穿用戶數(shù)據(jù)聚合的同態(tài)特性，進(jìn)一步保護(hù)數(shù)據(jù)擁有者、數(shù)據(jù)使用者的隱私.現(xiàn)有的數(shù)據(jù)共享方案能夠完成實(shí)驗(yàn)室場(chǎng)景下的單一目標(biāo)數(shù)據(jù)聚合，但是，多數(shù)聚合策略存在操作單一、隱私易泄漏和難以抵抗共謀攻擊等問題，無法為敏感多級(jí)數(shù)據(jù)的合法擁有者和使用者提供完善的隱私信息保護(hù)，限制了數(shù)據(jù)相關(guān)人員隱私的可靠保護(hù)力度.因此，需要在數(shù)據(jù)共享中進(jìn)行同態(tài)的數(shù)值計(jì)算，為云數(shù)據(jù)安全共享中的數(shù)據(jù)統(tǒng)計(jì)、分析提供支持隱私保護(hù)的方法.③建立多對(duì)多共享的隱私保護(hù)——可容錯(cuò)協(xié)同防御機(jī)制，增強(qiáng)共享技術(shù)在內(nèi)外攻擊下的功能完備.現(xiàn)有的數(shù)據(jù)共享方案能夠保障單一鏈路的投遞實(shí)現(xiàn)，然而，多對(duì)多共享模式的容錯(cuò)性不足，數(shù)據(jù)交互靈活性差，且存在用戶隱私易泄漏、共享過程中易出錯(cuò)等問題，無法為云數(shù)據(jù)安全共享提供可靠的服務(wù).因此，需要在數(shù)據(jù)共享中引入約束偽隨機(jī)函數(shù)、門限秘密共享等密碼組件，構(gòu)建隱私保護(hù)——可容錯(cuò)協(xié)同防御機(jī)制，為云數(shù)據(jù)安全共享中完備的“內(nèi)防外抗”提供技術(shù)支撐.