第五章 数据加密技术



            数据计算的应用问题。Graepel 等人利用 SWHE 在加密数据上运行一些简单机器
            学习分类器的学习算法和分类算法，Bost 等人将加密数据上运行的分类器的种类
            扩展到超平面分割、朴素贝叶斯和决策树分类器，并使得这三类分类器在加密函
            数上能够通过 AdaBoost 框架相结合以提高分类准确性。
                 （二）函数加密

                 同态加密的高安全性要求带来了如上所述的低效问题，也使其不适用于某
            些需要在密文上进行计算、获取计算结果并根据该结果进行相应的判断和进一步
            操作的应用场景。例如，在加密邮件上进行邮件过滤，服务器需要根据垃圾邮件

            判断函数的输出以决定是否过滤该邮件。当使用同态加密方案来解决该问题时，
            邮件服务器需要获得解密私钥才能够解密计算结果。但是将解密私钥发送给邮件
            服务器也意味着放弃了邮件的机密性，因为该私钥同样可以用来解密邮件密文，
            从而导致邮件内容泄露。因此要求达到语义安全的同态加密不适用于解决上述应
            用问题。

                 这里介绍的函数加密（functional encryption）不再要求加密方案达到语义安全，
            而允许服务器在密文上进行计算之后获取函数的输出结果，但是不能获得除此之
            外的任何信息（不包含能够从该结果本身推算出的信息）。例如，在邮件过滤应

            用中，邮件服务器只能获取某一封邮件是否为垃圾邮件这一信息，而不能获取其
            他有关该邮件内容的信息。
                 函数加密的发展可以追溯到 1984 年。由于公钥基础设施管理的繁杂，
            Shamir 提出了能够实现用户公钥和用户身份信息自动绑定的基于身份的密码系
            统（identity-based crypto system，IBC)，经过近 20 年的努力，Boneh 等人于 2001

            年基于双线性对构造了第一个语义安全的基于身份的加密方案（i-dentity-based
            encryption，IBE)BF-IBE，在这之后密码学界掀起了一股基于身份密码学的研究
            热潮，其中就包括由 Sahai 等人提出的基于模糊身份的加密方案：发送者加密

            一个数据，并且制定一个属性集合和阈值 d，只有拥有至少 d 个给定属性的接
            收者才能解密该密文。基于这个方案，Goyal 等人进一步提出了一个结合细粒度
            访问控制的基于属性加密方案（attribute-based encryption，ABE)，可以支持任意
            单调的包含与 / 或门的访问结构（access structure)，这个方案被称为密钥策略的
            ABE(KP-ABE)，因为访问结构是嵌入在私钥当中的。随后 Bethencourt 等人提出

            了密文策略的 ABE(CP-ABE)，其访问结构是嵌入在密文当中的，而解密私钥只


                                                                                    155
                                                                                    155