基于格式保留的敏感信息加密方案*

張玉磊，駱廣萍，張永潔，張雪微，劉祥震，王彩芬

(1.西北師范大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院,甘肅 蘭州 730070;2.甘肅衛(wèi)生職業(yè)學(xué)院,甘肅 蘭州 730000; 3.深圳技術(shù)大學(xué),廣東 深圳 518000)

1 引言

隨著大數(shù)據(jù)技術(shù)的成熟，大量敏感信息的安全問題引起了各方關(guān)注，如密碼、地址、手機(jī)號等在未授權(quán)下不得公開的信息都屬于敏感信息。研究者提出了一系列的加密方案確保安全傳輸網(wǎng)絡(luò)信息。現(xiàn)有的數(shù)據(jù)信息加密方案大多在加密后會對數(shù)據(jù)進(jìn)行擴(kuò)展，使得數(shù)據(jù)長度和數(shù)據(jù)類型發(fā)生改變[1]。對敏感信息進(jìn)行加密，需要保證加密后不僅維持敏感數(shù)據(jù)的基本格式，還應(yīng)確保不破壞數(shù)據(jù)用戶定義的完整性約束，主要包含數(shù)據(jù)類型不能改變、不能被擴(kuò)充等。格式保留加密FPE(Format-Preserving Encryption)能夠保持明文的原有格式，把某種格式的明文加密成具有同樣格式的密文。

格式保留加密問題在1981年由美國標(biāo)準(zhǔn)局[2]首次提出，2009年，Bellare等[3]將格式保留加密與數(shù)據(jù)庫中的敏感信息保護(hù)相關(guān)聯(lián)，提出了基于FPE保護(hù)個人信息的方案。2010年，Bellare等[4]提出了基于Feistel網(wǎng)絡(luò)[5]的格式保留FFX(Feistel-based Format-Preserving)模型。該模型在Feistel網(wǎng)絡(luò)類型和輪運(yùn)算方面對Feistel有限集加密模型進(jìn)行了擴(kuò)展，可以解決長度為n的字符串構(gòu)成的消息空間上的FPE問題。2009年，Morris等[6]改進(jìn)了FFX模型，說明了調(diào)整因子的使用方法，設(shè)計(jì)了一種基于分組密碼的模型，通過分組鏈接CBC(Cipher-Block Chaining)模式可以對字符串進(jìn)行加密并保持其原有格式。2012年，劉哲理等[7]在已有的格式保留加密模型研究的基礎(chǔ)上，提出了先編碼后加密的新模型。2012年，李經(jīng)緯等[8]設(shè)計(jì)了基于k-分割的Feistel網(wǎng)絡(luò)保留格式加密方案，支持對任意數(shù)據(jù)進(jìn)行FPE加密。同年，李敏等[9]設(shè)計(jì)了2種可變長度編碼字符數(shù)據(jù)的FPE方案。2016年，Bellare等[10]提出基于Feistel的格式保留加密的消息恢復(fù)攻擊。2017年，王鵬[11]提出了通過FPE對多類型數(shù)據(jù)進(jìn)行加密。2018年，張百惠[12]提出面向大數(shù)據(jù)發(fā)布的保留格式加密技術(shù)研究。

在傳統(tǒng)格式保留加密方案中，密鑰K存儲在不同設(shè)備中，每個設(shè)備直接在K下加密。但是,設(shè)備因物理因素處于邊信道攻擊的風(fēng)險(xiǎn)中。本文基于Bellare等[13]提出的格式保留加密方案，提出了基于身份的敏感信息格式保留加密IBSIFPE(Identity-Based Sensitive Information Format-Preserving Encryption)方案。該方案能夠?qū)?shù)據(jù)存儲、網(wǎng)絡(luò)傳輸?shù)葢?yīng)用環(huán)境中的敏感信息進(jìn)行加密保護(hù)，同時減少公鑰證書的存儲和合法性驗(yàn)證，提高信息傳輸安全性，減少密鑰管理系統(tǒng)所需的設(shè)施。

本文提出的IBSIFPE方案具有以下幾個特點(diǎn)：

(1)與已有的FPE方案相比，本文IBSIFPE方案在混合加密體制下進(jìn)行，簡化了密鑰管理，避免了通信前傳輸密鑰的安全風(fēng)險(xiǎn)。

(2)引入身份加密，因此不需要頒發(fā)證書。通過密鑰派生函數(shù)KDF(Key Derivation Functions)生成加密密鑰和解密密鑰，即使敵手截獲了密文和公鑰也無法破解。

(3)本方案的安全目標(biāo)是偽隨機(jī)置換式安全PRP(Pseudo Random Permutation)，在密鑰生成過程中加入身份ID，可以唯一識別其身份信息。

2 IBSIFPE方案定義

(1)系統(tǒng)建立(Setup)：使用安全參數(shù)λ，獲得系統(tǒng)參數(shù)。

(2)公鑰派生(PKDF)：通過密鑰派生函數(shù)輸入公鑰Ppub身份ID，生成公鑰QID。

(3)密鑰生成SKG(Symmetric Key Generation)：計(jì)算生成用戶密鑰dID。

(4)加密密鑰派生(EKDF)：使用密鑰派生函數(shù)得到加密密鑰K。

(5)IBSIFPE加密(Enc)：發(fā)送方使用加密密鑰對信息加密，并輸出密文c。

(6)解密密鑰派生(DKDF)：使用密鑰派生函數(shù)得到解密密鑰K。

(7)IBSIFPE解密(Dec)：接收方使用解密密鑰對密文解密，并輸出明文m。

3 安全模型

格式保留加密標(biāo)準(zhǔn)的安全目標(biāo)是偽隨機(jī)置換安全[14],即要求攻擊者無法區(qū)分是保留格式加密方案，還是某個隨機(jī)置換。IBSIFPE方案同樣需要滿足PRP安全，即要求即使敵手可以截獲密文和公鑰，也無法破解加密信息。并且，密鑰與身份ID相關(guān)聯(lián)，即使解密密鑰丟失，造成的損害僅保持在該身份下，不會影響其他身份的通信安全性。

定義1假設(shè)A是基于身份的偽隨機(jī)置換式安全I(xiàn)B-PRP(Identity-Based Pseudo Random Permutation)敵手，C是挑戰(zhàn)者，(F,KDF)是1個IBSIFPE方案，若敵手A以不可忽略的優(yōu)勢在游戲中獲勝，則稱該方案滿足適應(yīng)性偽隨機(jī)置換安全性。

初始階段：輸入安全參數(shù)λ，隨機(jī)挑選b個比特，把生成的系統(tǒng)參數(shù)傳送給A，保留系統(tǒng)主密鑰s。

階段1：A適應(yīng)性地執(zhí)行下列詢問。

加密預(yù)言詢問：A輸入消息m，C使用相應(yīng)算法，得到密文c。

解密預(yù)言詢問：A輸入密文c，C使用相應(yīng)算法，得到消息m。

身份查詢：A詢問身份ID，C運(yùn)行算法，并將對應(yīng)用戶密鑰傳送給A。

挑戰(zhàn)：A生成2個明文消息m0和m1，以及要挑戰(zhàn)的接收者的身份IDr。C隨機(jī)選擇b∈{0,1}，得到密文c并傳送給A。

階段2：A繼續(xù)執(zhí)行多項(xiàng)式詢問。約束條件是：(1)不能詢問目標(biāo)用戶ID的密鑰；(2)A無法對密文c執(zhí)行解密詢問。

定義3假設(shè)存在1個適應(yīng)性選擇挑戰(zhàn)ID和選擇明文攻擊下的語義不可區(qū)分安全I(xiàn)ND-ID-CPA(IDentity-based INDistinguishable under Chosen-Plaintext Attack)敵手A以ε(k)的優(yōu)勢攻破本方案，A最多進(jìn)行q1>0次身份詢問，對加密預(yù)言機(jī)至多進(jìn)行q2>0次詢問。那么一定存在1個算法B至少以Advg,B(k)≥(2ε(k))/(e(1+q1)·q2)的優(yōu)勢解決g生成群中的雙線性Diffie-Hellman問題。

4 具體方案

(2)公鑰派生算法(PKDF)：定義PKDF用于生成用戶公鑰QID。發(fā)送方輸入公鑰Ppub和身份IDs生成Qs=KDF(Ppub,IDs)，作為發(fā)送方的公鑰。

(3)用戶密鑰生成算法(SKG)：輸入ID和系統(tǒng)參數(shù)，計(jì)算身份ID的私鑰dID=sQID。

(5)IBSIFPE加密算法(Enc)：給定m和身份IDs，計(jì)算QIDs=KDF(Ppub,IDs)，通過加密密鑰派生算法計(jì)算的K對m執(zhí)行加密，得到密文c=(C1,C2)，其中C1=U，C2=Enc(K,T,m)。

(6)解密密鑰派生算法(DKDF)：接收方輸入身份IDr和系統(tǒng)參數(shù)，使用密鑰派生函數(shù)得到解密密鑰K=KDF(Ppub,e(dIDr+QIDr,C1))。

(7)IBSIFPE解密算法(Dec)：接收方利用解密密鑰對密文c=(C1,C2)解密，獲得消息m=Dec(K,T,C2)。

5 方案安全性及性能分析

5.1 正確性及安全性分析

正確性接收方對于得到的密文可以正確解密，根據(jù)格式保留加密的要求，加密前后消息格式不變，即發(fā)送方和接收方計(jì)算的密鑰K一致。

□

證明敵手APRP首先挑選1個比特b∈{0,1}。在自適應(yīng)敵手A切換挑戰(zhàn)位前，APRP總是使用它的加密、解密預(yù)言來回復(fù)A的加密、解密查詢。在A進(jìn)入挑戰(zhàn)階段后，如果b=1，那么APRP繼續(xù)使用它的加密、解密預(yù)言來回復(fù)A的加密、解密查詢。如果b=0，那么APRP給出的答案從先前的查詢答案中隨機(jī)選擇。當(dāng)A輸出其猜測b′時，若b′=b則輸出1，否則輸出0。我們要求：

□

□

定理4假設(shè)基于身份的適應(yīng)性選擇明文攻擊的敵手A，以ε(k)優(yōu)勢成功攻擊本方案，假設(shè)敵手A最多進(jìn)行q>0次密鑰提取詢問。那么存在1個不可區(qū)分的選擇明文攻擊IND-CPA(Indistinguishability under Chosen-Plaintext Attack)敵手B，以至少ε(k)/[e(1+q)]的概率成功擊破非基于身份的公鑰加密方案，運(yùn)行時間是O(time(A))。那么就有算法B′，以2ε(k)/q的優(yōu)勢和O(time(A))的運(yùn)行時間解決g生成群中的雙線性Diffie-Hellman BDH(Bilinear Diffie-Hellman)問題。

證明由A定義得|Pr[c=c′]-1/2|≥ε，整個過程中算法B′不間斷的概率為δq(1-δ)，當(dāng)δ=1-1/(1+q)時最大，即最大值為ε(k)/[e(1+q)]。存在IND-CPA敵手B以至少ε1=ε(k)/[e(1+q)]的概率成功攻擊非基于身份的公鑰加密方案，Pr[c=c′|B]=1/2，則Pr[c=c′]=Pr[c=c′|B]·Pr[B]+Pr[c=c′|A]·Pr[A]≤Pr[c=c′|B]·Pr[B]+Pr[A]=1/2Pr[B]+Pr[A]=1/2+1/2Pr[A]，得ε≤|Pr[c=c′]-1/2|≤1/2Pr[A]，即Pr[A]≥2ε。B以至少2ε1/q=2ε(k)/[e(1+q)·q]的優(yōu)勢解決g生成群中的BDH問題。

□

5.2 性能分析

公開文獻(xiàn)顯示目前沒有基于身份的格式保留加密方案，因此無法與同類方案進(jìn)行效率比較。從表1可以看出，文獻(xiàn)[12]中方案是基于對稱加密的FPE方案，通過密鑰分發(fā)中心KDC(Key Distribution Center)產(chǎn)生密鑰后，在傳輸密鑰后進(jìn)行通信。文獻(xiàn)[13]在對稱加密的基礎(chǔ)上引入身份ID，但仍使用該機(jī)制。本文方案與這2篇文獻(xiàn)中的方案相比，實(shí)現(xiàn)了公鑰密碼體制與格式保留加密的結(jié)合，避免了通信前傳輸密鑰的風(fēng)險(xiǎn)，通過派生函數(shù)生成加解密密鑰，并且保證了PRP安全。

Table 1 Performance comparison 表1 性能對比

6 結(jié)束語

格式保留加密不僅可以保證敏感數(shù)據(jù)的機(jī)密性，而且加密前后數(shù)據(jù)長度和數(shù)據(jù)格式不變，降低了改造數(shù)據(jù)格式的成本。本文設(shè)計(jì)了1個混合加密環(huán)境下基于身份的格式保留的敏感信息加密方案。該方案結(jié)合了基于身份的公鑰加密和格式保留加密的優(yōu)勢，能夠?qū)γ舾行畔⑦M(jìn)行加密傳輸，并確保加密前后格式不變。同時，提高了通信安全性，減少了密鑰系統(tǒng)的相關(guān)設(shè)施。本文方案保證了基于身份的PRP安全并滿足IND-ID-CPA安全。