1 引言

1.1 研究背景

压缩感知(compressed sensing,CS)是一种新颖的数据采样理论,它可以在远小于Nyquist采样率的条件下,用随机采样获取信号的离散样本,然后通过非线性重构算法完美恢复信号[1].压缩感知理论一经提出就引起了学术界和工业界的广泛关注,并被美国科技评论评为2007年度十大科技进展.具体来说,对于n-维信号 x=[x1,x2,···,x n],压缩采样的模式为 y= Φx,其中Φ =(ϕ1,ϕ2,···,ϕn)是 k×n(k ≪ n)的测量矩阵,y为x的测量值.压缩感知理论确保从测量值y可以精确恢复信号x.

由于具有压缩功能和线性结构,压缩感知被广泛应用于分布式环境下的数据采集和数据聚合.对于测量值y,它可以表示为:

 

对于 i=1,2,···,n,如果 x i表示节点v i的数据,那么每个节点只需先计算x iϕi,再加上孩子节点传过来的数据后发送给父亲节点.这样在传输过程中就完成了数据的压缩采集或数据聚合.

压缩感知可以实现高效的数据采集,但是不能提供数据采集的隐私和安全性保护.近几年来,如何安全地应用压缩感知引起了学界的广泛关注.

为了解决压缩感知的安全问题,学界开始将压缩感知视为对称密码系统.其基本的思想是把测量矩阵作为加解密方私有的密钥,把原始采样信号看作为明文,随机测量值看作密文.该思想最早在中CT 06[2]被提及.RB08[3]首次系统地研究了压缩感知对称加密的安全性,他们指出在测量矩阵保持不变的情况下,该方法是一种确定性加密,只能达到抗已知明文攻击单向性安全,但是可以在不需要额外开销的条件下为压缩感知提供一定的计算保密性.此后压缩感知对称密码系统成为了研究热点,其中代表性的工作是BBM 14[4],它系统地分析了压缩感知对称密码系统的安全性,指出如果每个原始信号能量都为常数,通过采用随机高斯测量矩阵作为密钥,并且在每次加密都对密钥进行更新,压缩感知对称密码系统可以实现信息论上的完美安全性.BBM 16[5]进一步指出采用一次随机高斯矩阵作为测量矩阵时压缩感知对称密码系统的安全性,他们指出由于测量矩阵需满足约束等距性(RIP),使得测量前后信号能量保持不变,当信号能量不为常数时,测量会泄露信号的能量,然而通过测量值的能量常数化方法实现压缩感知对称密码系统信息论上完美安全性.基于前人的工作,FR16[6]进一步提出了抗选择明文攻击不可区分性安全的压缩感知对称密码系统通用模型,基本思想是采用“一次一密”来保证方案的信息论安全性.由于更新密钥代价太高,这些方案都不实用.NYY 17b[7]从实用化角度考虑,利用一个公开的酉矩阵和双向密钥流来生成和更新测量矩阵,构造了一个计算上安全的压缩感知对称密码系统,他们进一步地证明了当明文足够大时,该方法产生的测量矩阵具有渐进高斯性,从而在信号具有常数能量条件下该密码系统可实现抗选择明文不可区分性安全.遗憾地是,上述压缩感知对称密码系统在安全性、效率及实用性方面仍然存在着一些固有的不足:

(1)加解密双方需要事先通过私有信道共享一个密钥.在移动互联网和物联网时代,海量的智能、移动和可穿戴设备接入联网,密钥的分发与保存不仅困难而且需要消耗大量的系统资源.

(2)为了实现抗选择明文攻击不可区分性安全,需求每次加密更新密钥,并且当信号x能量不为常数时(这通常是一个大概率事件),还需要对密文y的能量做常数化处理,然后将信号的能量值通过私有信道秘密传送给接收方用于解密.虽然NYY 17b通过采用伪随机数生成器的方法可以降低更新密钥的通信量,但每次加密仍需安全信道传送信号的能量值,并且伪随机数生成器能产生的最大密钥量是有限的,因此它也会给系统的实用性带来一定的影响.

设l,s,n,d为正整数,q为素数或素数的幂,信号的稀疏度为d,ω为CS中测量信号m所需的次数,满足n≫ω(出于通用性考虑,本算法将CS视为一个黑盒,ω,d和n需要满足的其它关系可参考具体的CS算法,例如文献[30–32].方案中满足s>ω>l和s>2l⌈log q⌉,典型地可取 ω =l⌈log q⌉,s=2ω,详见 MP12.

分布 2输出

为了解决压缩感知对称密码系统不足,我们可以将压缩感知同公钥密码进行结合,构造压缩感知公钥密码系统.然而如果直接用公钥密码对CS进行加密,CS的线性结构可能会受到破坏,从而不再适用于分布式环境下的数据采集与聚合.因此寻找一种合适的公钥密码,使其能同压缩感知理论进行有效的内在结合,构造满足经典安全性且保持CS线性结构的压缩感知公钥加密算法具有重要的意义.

1.2 相关工作

将压缩感知视为对称密码系统的思想最早在中CT 06被提及.RB 08首次系统地研究了压缩感知对称加密的安全性,证明了该方法达不到信息论意义上的完美保密性,但是可以实现计算保密性.OAS08[8]指出利用代数的方法,该方法可以实现抗密钥搜索计算安全性.BBM 14系统地分析了压缩感知对称密码系统的安全性,指出如果每个原始信号能量都为常数,通过采用随机高斯测量矩阵作为密钥,并且在每次加密都对密钥进行更新,压缩感知对称密码系统可以实现信息论上的完美安全性.BM 14[9]分析了采用循环矩阵作为密钥时,压缩感知对称密码系统的安全性.GP14[10]通过构造安全线性移位反馈寄存器来产生一次随机测量矩阵.BBM 16进一步研究了采用一次随机高斯矩阵作为测量矩阵时压缩感知对称密码系统的安全性,指出这种情况下,测量仅仅泄露了信号的能量,并且当信号能量不为常数时,可以通过测量值的能量常数化方法实现压缩感知对称密码系统信息论上完美安全性.F16[11]通过利用随机测量固有的保密性,每次加密信号时采用不同的随机测量矩阵,压缩感知对称密码系统可实现抗选择明文攻击不可区分性安全.FR 16基于BM 14和F16的工作,进一步提出了抗选择明文攻击不可区分性安全的压缩感知对称密码系统通用模型.NYY 17b利用一个公开的酉矩阵和双向密钥流来生成和更新测量矩阵,构造了一个新的压缩感知对称密码系统,他们进一步地证明了当明文足够大时,该方法产生的测量矩阵具有渐进高斯性,从而在信号具有常数能量条件下该密码系统可实现不可区分性安全.FR 17[12]针对存在主动攻击者的环境,将消息认证码同压缩感知加密结合,构造了压缩感知认证加密系统.

RGMG 11[13]和AV11[14]利用搭线窃听信道的非对称特性,研究了压缩感知对称密码系统在无线环境下的安全性.NYY 17a[15]进一步指出,基于无线信道非对称特性,采用循环矩阵作为测量矩阵可实现压缩感知对称密码系统的不可区分性安全.

④ 将先前层提取到的特征图通过卷积和全局均值池化，输出对应各类的特征图,最后利用Softmax回归模型输出对应类别概率，根据式(4)得到识别结果；

在考核内容上注重质量，增设“学生”维度，为其提供话语权，增强课堂参与程度，与教师共同就“观点内容”、“呈现方式”、“表达能力”、“时间控制”以及“过程组织”5方面进行多角度审视。在考核方式上涉及“组内评价”、“组间互评”和“教师评价”，其中，“组内评价”要求各成员之间就成果贡献值进行评价，实现组内监督作用，“组内互评”方式要求其他小组按照指定的评分标准给予现场打分，学生也由课堂旁观者变成了课堂参与者、主导者，而“教师评价”方式则重点进行查漏补缺与适当补充。

文献 [20–25]对压缩感知对称密码系统在多媒体、图像、智能电网、数据库以及云计算安全方面的应用进行了研究.XLL17[26]研究了压缩感知对称密码系统在物联网安全中的应用.

1.3 相关工作

本文将压缩感知对称加密推广到了公钥的情况,提出了压缩感知公钥加密 (com pressed sensing pub lic key encryp tion,CSPKE)的概念,定义了压缩感知公钥加密的算法模型,并将压缩感知与格上困难问题有效结合构造出了具体的CSPKE算法.该算法保持了压缩感知算法的线性结构,将加密同数据压缩采集过程有效的融合成同一步,实现了数据压缩采集即加密的特点,能很好地适用分布式多跳数据采集环境.进一步地,我们证明了算法在标准模型下基于LW E困难性假设,满足抗选择明文攻击不可区分性(IND-CPA)安全.算法的数据压缩率与数据稀疏性成正比例关系,对稀疏性良好的数据,在保障数据采集安全性的同时,还可实现较大的数据压缩.算法以较小的通信代价弥补了分布式环境下压缩感知对称密码系统密钥分发与保存困难、每次加密需要安全信道传递信号能量以及易受到合谋攻击等不足.最后以多跳传感器网络为例,介绍了算法在分布式多跳环境下如何实现数据加密压缩采集.

2 基础知识

2.1 符号

R表示实数,Z表示整数.v←R V表示从集合V中随机均匀选取元素v,||·||表示最大欧式长度,O(·)表示复杂度,|·|表示比特(bit)长度.B T表示矩阵B 的转置矩阵.对于自然数n,s和素数的幂积q,R n表示实数域上n维向量,表示有限域Z q上n维向量,表示有限域Z q上n×s的矩阵.

两组功能区切除患者术前术后KPS分值比较均为P>0.05；两组术后KPS分值均提高，P均<0.05；观察组术前术后KPS分值之差较对照组大，P<0.05。见表2。

有限(或可计算)域D上两个分布X和Y的统计距离用来表示.如果某个分布同均匀分布的统计距离最大为ε,称该分布为D上的ε-均匀分布.对于圆上的随机化参数r,我们用函数来表示渐进地以的速度增长,为了方便表示,后面用ξ(·)来缩写.

2.2 亚高斯分布与格

定义1[38]根据MR07的工作,对于任意参数s>0,我们定义R n上中心为c的高斯函数:

 

当s和c省略时表示它们分布取0和1.

定义2 [38]对于任意c∈R n,实数s>0,n维格Λ,定义Λ上的离散高斯分布:

 

如果X 为R上参数为u>0的分布,对于δ>0,和所有的t∈R,矩母函数满足

 

那么我们称X 是 δ-亚高斯分布.

定义3 [38]对于 n维格 Λ 和实数 ε>0,平滑参数 ηε(Λ)是指满足 ρ(1/s)(Λ⋆{0})的最正小实 s.

引理1 [29]设 Λ⊂R n为格,r>ηε(Λ),其中 0<ε<1,对于任意c∈span(Λ),满足

 

并且如果c=0,对于任意的r>0,ε=0时等号成立.

引理2 [29]设 Λ⊂R n为格,r>ηε(Λ),其中 0<ε<1,对于任意 c∈span(Λ),DΛ+c,u是参数为u的亚高斯分布,并且当 c=0时,对于任意 u>0,它是 0-亚高斯分布.

定理 1设 D Z m,u是参数为 u的离散高斯分布,向量组那么向量e=e1+e2+···+e k服从D Z m,u上的离散高斯分布.

图1所示为杨庄东街4个信号交叉口路段的道路结构、道路渠化和周边交通需求产生情况等. 从图1中可以看出，该道路周边聚集有大量生活社区，交通需求非常大.

证明: 由于向量组那么向量 e1,e2,···,e k两两独立且都服从上的高斯分布.根据高斯分布的加性特征,可以得向量e=e1+e2+···+e k服从D Z m,u上的离散高斯分布.

2.3 LWE(learning With errors)问题

定义4(判定性 LWE问题)对于素数或素数的幂积 q,正整数 m,n,以及 Z q上的噪声分布 χ,q,n,m,χ-LWE问题是指以不可忽略的优势区分以下两个分布:

分布 1输出

CHPR13[16]和CMPR15[17]研究了基于压缩感知对称加密的分级密码系统,对于相同的密文,不同级别的解密方可以恢复不同质量水平的原始信号.CMP15b[18]研究表明,确定性压缩感知对称密码系统只满足抗已知明文攻击单向性安全(OW-KPA),达不到选择明文攻击安全性.ZZZL16[19]对压缩感知对称密码加密研究进展进行了综述.

眼下，这样貌似关切的话语出自他自己的嘴他多少觉得有些怪异和飘渺。她或许并不需要。彼此的心外罩着厚厚的玻璃罩子，透明却不相通。看着她，就像看着一个熟悉的陌生人，脑海里翻寻着似曾相识的过往，一丝一缕，却哪里还能找回记忆呢？

(3)算法应用于分布式环境中时:1需要将密钥直接部署在分布式节点上,然而该环境下存在着许多不可信节点,因此容易造成密钥泄露;2当不可信节点v i−1与v i+1合谋,就可以计算出节点v i的测量值x iϕi,如果x iϕi的值为0(由于是稀疏的,这是一个大概率事件),那么可以直接得到 x i=0,否则可以通过计算得到 ϕi=gcd(x iϕi,x′iϕi),这里 x′iϕi是节点 v i另外一个合适的非零测量值.

其中分布2中的b是从中随机均匀选取.

LW E困难假设是指如果q,n,m,χ-LWE问题是困难的,那么分布1与分布2的输出是不可区分的.

Regev和Peikert证明了通过合适的选取q,n,m,χ,如果存在多项式时间算法能解决判定性LW E问题,那么存在多项式时间量子算法能解决最坏情况下的gap-SVP(gap shortest vector problem)和SIVP(shortest independent vectors problem)问题[27,28].

巴西的农业补贴政策有两个明显的特点：一是主要采用信贷支持和农业保险补贴等金融政策来促进农业的发展；二是补贴资金很少用于对农业直接进行补贴，主要以市场为导向，将资金用于投资和市场决策。

2.4 格上陷门生成与求逆运算

MP12[29]定义了一个格上新陷门,并且描述了它的一些重要性质.

定义5[29]设矩阵矩阵A的G-陷门是满足的矩阵R,其中为可逆矩阵,

引理3[29]存在一个高效的概率多项式时间算法Gen Trap D(1n,1m,q):

开挖前，需保证施工区域土层密实平整，稳定性好，周边施工空间无障碍物，悬吊机具的钢丝索必须在导墙中心线上成垂直状态，不能松弛，才能保证成槽垂直精度，待确保施工区域土层稳定后，以最小角度定位。

输入任意整数n>1,q>2,以及足够大的m=O(n log q);

输出矩阵和对应的陷门其中(m>ω>n),且A的分布统计接近上的均匀分布.

此外,存在一个多项式时间求逆算法Invert(R,A,b):

输入G en Trap D(1n,1m,q)生成的矩阵A及对应的陷门R,以及 b=A T s+e,其中或e服从亚高斯分布,e←R D Z m,q,且满足

输出s和e.

文献[29]给出了算法Gen T rap D(1n,1m,q)和Invert(R,A,b)的具体构造,并且还给出了一些重要的结果.如果是一个离散高斯分布,其中 u>ηε(Z),ε=negl(n),那么 D 是一个参数为 u的0-亚高斯分布.进一步地有,给定对于所选定的陷门R的条件分布以大概率满足参数为u的 ε-亚高斯分布.进一步地有,按照引理3要求选择噪声e,Invert求逆失败的概率为2−Ω(n)(详见文献[29]中引理2.8和定理 5.4)

2.5 有限域上的压缩感知

设q为素数的幂积,有限域Z q上的压缩感知理论主要由三部分组成:信号稀疏性、选取测量矩阵和重构信号.

信号稀疏性 设x=[x1,x2,···,x n]T为n维信号,其中x i∈Z q,用w t(x)6 k表示x中非零元素的个数.若对于所有的x∈Z nq,满足wt(x)6 k,则称信号x是k-稀疏的,令γ为稀疏因子,则k=nγ.

选取测量矩阵 如果Z nq上的信号x是k-稀疏的,就可以用一个m(m≪n)维的观测值来表示:

 

其中为观测值.

对于任意k-稀疏的信号 x,要重构信号x,必须满足 m>2k[1].此外,DM 09[30]指出测量矩阵可通过在有限域上随机均匀选取的方法构造.SL12[31]设计了一种随机测量矩阵的选取及信号重构方法.BCM 14[32]给出了一种新的有限域上CS信号重构方法F2OMP,该方法简单高效,采样次数不依赖于q,给与了系统参数更大的选择空间.

某站220 kV出线GIS断路器型号为LW24-252，操作机构型号为CT20-Ⅳ，分相弹簧操作机构，于2014年10月投运。2017年7月，在对该断路器进行例行试验过程中，发现该断路器机械特性测试数据异常，测试所使用的机械特性测试仪型号为GKC433E。测试数据如表1所示，从表中可以看出该断路器C相合闸时间刚好满足标准要求，但A、B两相合闸时间分别比标准上限大22.00%、26.55%，明显偏大；合闸速度偏低，合闸不同期时间达28.2 ms，严重超过厂家技术标准要求的“≤4 ms”，是标准上限值的7.05倍。

本文算法中测量矩阵要求测量矩阵满足随机均匀分布,为了方便描述,下面定义方案中测量矩阵选取算法,其具体实现可参考文献[30–32].

定义6 G etM atr(q,m,n)是一个多项式时间算法,输入参数q,m,n,其中q为素数或素数的幂积,m,n∈Z,0,算法输出均匀随机测量矩阵

重构信号 根据观测矩阵Φ和观测信号y=Φx,通过求解最优化问题重构原始信号为了方便描述,下面定义信号重构算法,其具体实现可参考文献[30–32].

定义7 R ecSig(q,Φ,y)是一个多项式时间算法,算法输入 q,Φ,y,其中 q为素数或素数的幂积,为观测矩阵,y=Φx为观测值,算法输出重构信号

3 压缩感知公钥加密、安全性定义及加密模型

3.1 压缩感知公钥加密及安全性定义

压缩感知公钥加密由四个多项式时间算法构成:

密钥生成K eyG en(n,l,q),根据输入的安全参数n,l∈Z,q为素数或素数的幂积,输出公钥pk,以及私钥sk;

加密算法Enc(m,pk),对信号m利用公钥pk执行加密操作,并输出观测信号的密文值c;

所谓生态破坏，即城市水环境中的生态结构受到破坏，而水体修复技术的应用是重新构建水生态环境，促使其恢复原有的生态结构和相关功能。对于城市水环境治理工作，其开展方向主要包括源头治理、水流控制、人工生态技术应用3个方面，具体阐述如下。

重构算法MesRec(y),对观测信号y利用观测私钥sk重构信号,并输出信号m.

压缩感知公钥加密其本质是一种不改变压缩感知线性结构的公钥加密算法,因此我们可以从公钥密码的角度定义其安全性.下面根据公钥密码IND-CPA[33]的安全定义,定义CES的IND-CPA安全性.

IND-CPA 安全:在选择明文攻击下,攻击者对挑战密文的不可区分性安全,此概念由如下挑战者和攻击者之间的交互游戏来定义:

挑战者运行KeyGen(n,l,q),获取公钥pk,以及私钥sk,将公钥pk给攻击者;攻击者在消息空间中随机选择两个消息m 0,m 1∈M,并发送给挑战者.

在此次研究中,全部患者均顺利的完成了治疗,研究组的临床治疗有效率是97.8%(45/46),共有30例显效,15例有效,1例无效,对照组的临床有效率是82.6%(38/46),其中23例显效,15例有效,8例无效。研究组的临床治疗有效率比对照组高,结果存在统计学差异性(P<0.05)。研究组的不良反应率是8.7%(4/46),对照组不良反应率是23.9%(11/46),研究组不良反应率比对照组低,结果存在统计学差异性(P<0.05)。

挑战者掷硬币确定比特b∈{0,1},计算挑战密文c∗=En c(m b,pk),然后将c∗发送给攻击者;

攻击者输出b′∈{0,1}作为对b的猜想.

攻击者攻击上述加密算法的优势被定义为:

 

CSPKE算法是IND-CPA安全的当且仅当对概率多项式时间敌手attacker来说是可以忽略的.

3.2 压缩感知公钥加密模型

在传统的加密模型中,加密的对象是采集好的数据,数据先采集后加密,数据采集的安全性得不到保证.压缩感知对称密码系统加密是在数据采集过程中完成,加密与数据采集一步完成,数据采集的安全性有一定的保证,但是存在着密钥分发与保存困难,以及密钥泄露的风险.我们在压缩感知密码系统中引入公钥,将其推广到公钥密码系统的情况.信号源m通过公钥压缩加密测量,得到密文观测信号c,c传输到解密方后用私钥解密,得到明文观测信号y,然后利用重构私钥,用压缩感知信号重构算法重构信号m,具体模型见图1.

  

图1 压缩感知公钥加密算法模型Figure 1 Model of compressed sensing public key encryption algorithm

4 压缩感知公钥加密算法(CSPKE)

4.1 相关参数说明

方案中包含一些参数,下面我们先给出这些参数的相关说明及取值范围.

“念到您现在所肩的责任的重大，我便连孺慕之思都不敢道及，希望您能原谅我，只要您知道我是真心敬慕您，我便够快活的了。”

设矩阵矩阵为negl(l)-均匀分布.

4.2 算法实现

KeyGen(n,l,s,q)利用 GetMatr(q,l,n)算法生成 l×n的测量矩阵设置 Φ 为公开参数;对于参数 l,s,q,运行 G en Trap D(1l,1s,q)函数,生成矩阵和陷门矩阵满足输出公钥pk=A,私钥sk=R.

Enc(m,pk)

选择向量噪声 e,满足或 e服从亚高斯分布,e←R D Z m,αq,且满足计算这里0的维数为输出密文

Dec(c,sk)

对于c=A T b+e mod q,运行Invert(R,A,c)算法,得到b∈Z lq,和噪声e.如果Invert求逆失败,输出 ⊥;如果或者对于输出 ⊥;最后设v=c−e m od q,计算y=[R T|I T]v,并输出y.

定理 2上述方案解密失败的概率仅为2−Ω(l).

利用压缩感知解码算法R ecSig(q,Φ,y),重构信号m,并输出m.

4.3 算法分析

4.3.1 正确性

MesRec(y)

窃听节点对多个用户信息的处理我们分两种情况进行讨论.一种是窃听节点没有用户间干扰消除的能力；另一种情况是窃听节点具有用户间干扰消除的能力，这里考虑对信息保密传输最不利的一种情况，即窃听者在接收一个用户的信息时，其他用户的信号其可采用干扰消除技术完全消除.在下面的讨论中，我们将两种情况分别用符号NIC和IC标记.

证明: 设(A,R)←K eyG en(n,l,s,q),我们首先考虑En c(m,pk)中各种参数的随机选择.对于任意有Φm∈Z q.如果或者对于输出⊥.基于上述对噪声e的选择,解密过程Dec(c,sk)中的求逆算法以大概率成功解密,而解密失败的概率为2−Ω(l)(见2.4节).最后对于v=c−e m od q,我们计算因此 RecSig(q,Φ,y)可按要求输出

根据治疗结果显示，术后第7天换药，高压氧治疗组与常规治疗组比较皮片成活率明显升高。患者出院时，高压氧治疗组与常规治疗组比较平均换药次数明显降低。通过高压氧的治疗，提高了皮片的成活率，降低了换药次数，减轻了患者的经济负担，提高了疗效。

解密算法Dec(c,sk),对密文c利用解密私钥sk执行解密操作,并输出相应观测信号y;

4.3.2 安全性

下面我们基于判定性LW E问题证明本方案抗选择明文攻击不可区分性(IND-CPA)安全性.

定理3如果判定性LW E问题是困难的,则上述CSPKE方案是IND-CPA安全的.

证明: 假设存在着一个多项式时间敌手Attacker 1可以攻击本方案的IND-CPA安全性,下面我们展示一个模拟者如何利用Attacker 1的知识构造一个统计区分器来解决判定性LW E问题.

给定服从分布1和分布2中的某一种分布(详见2.3节),下面给出模拟者的详细描述.

准备公钥阶段模拟者按照4.2节算法运行GetSMatr(q,ω,n)生成随机矩阵Φ,并设置Φ为公开参数,输出公钥pk=A.

准备挑战密文阶段当敌手选择消息m 0,m 1∈M发送给模拟者后,模拟者随机选择b∈(0,1),x←R噪声或e服从亚高斯分布,e←R D Z m,αq,且满足然后计算最后输出挑战密文

以上完成了对模拟者的描述.可以看出当给定的(A,u)服从分布2时,从敌手的角度来看c∗和b是完全独立的,敌手只能随机猜测b的值.当给定的(A,u)服从分布1时,输出的挑战密文是一个完全合法的密文,如果敌手Attacker 1可以以一定的优势此时攻击者可以攻击上述CSPKE方案,那么他可以以一定的优势猜测b的值.于是我们获得了一个统计区分器,可以以同样的优势区分分布1和分布2.

5 效率分析

本文将CS同格上经典困难问题结合,构造了压缩感知公钥加密方案,同压缩感知对称密码系统比,CSPKE以少量的通信效率损耗为代价,解决了压缩感知对称密码系统密钥分发及更新问题.由于方案设计的都是简单的线性运算,计算效率都很高,因此下面主要从存储及通信开销方面将CSPKE方案同典型的压缩感知对称密码方案进行比较.在Z q中,对于大小为n log2 q比特的同一明文信号,各密码系统加解密的空间及通信开销详见表 1,其中“-”表示无,“P”表示移位反馈寄存器的大小,“L”表示种子密钥的初始长度,它与移位反馈寄存器的线性复杂度及能产生的最大密钥流相关,“ω”为压缩感知算法需要的测量次数.为了比较更直观,参照文献[29]可取s=2ω=2l log2 q.

 

表1 相关算法效率对比Table 1 Efficiency comparison of related algorithm

  

_____________对比项 R B 08 BBM 16 N Y Y 17b CSPK E信号(bit) n log2 q n log2 q n log2 q n log2 q公开加密密钥(bit) - - n2 log2 q+P ls log2 q保密加密密钥(bit) ωn log2 q ωn log2 q L -解密密钥(bit) ωn log2 q ωn log2 q L ω(s−ω)log2 q初始化需安全信道传递密钥(bit) ωn log2 q ωn log2 q L -每次加密需安全信道传递(bit) - ωn log2 q log2||x||2 -安全性 OW-KPA 信息论安全 IND-CPA IND-CPA密文(bit) ωlog2 q ωlog2 q ωlog2 q s log2 q__________密明文长度比 ω/n ω/n ω/n s/n

通过比较可以看出,CSPKE算法弥补了压缩感知对称密码算法的密钥传递及更新密钥的不足,但是密明文长度比增加了2倍.然而CSPKE的公钥、私钥及密文长度同稀疏因子γ成正比例关系,对于稀疏性良好的原始信号,CSPKE仍然可以实现较大的数据压缩.为进一步分析稀疏性对效率的影响,根据文献 [34],可选取 l=⌈2.05nγ⌉≈2.05nγ>2nγ,根据文献 [29]定理 3可选取 q=2k(其中 k为安全参数),下面给出关于稀疏因子γ与密明文长度比关系,详见图2.从图2可以看出,随着信号稀疏因子γ减少(稀疏性提高),密明文长度比也相应地减少.当数据非常稀疏时,例如稀疏因子为百万分之一量级的淘宝数据[35],CSPKE的密文压缩率也非常高.

6 应用

6.1 分布式数据的压缩加密采集

分布式环境中数据具有天然的稀疏性,压缩感知公钥加密很好的保持了压缩感知算法的线性结构,使得它可以分布式数据压缩采集过程中完成加密.

  

图2 稀疏因子与密明文长度比关系Figure 2 Relation between sparse factor and length ratio of ciphertext to plaintext

下面我们详细介绍分布式环境中如何利用该算法进行数据压缩加密采集.

在传统多跳W SNs(无线传感网络)数据收集方法[36]中,由于靠近Sink节点(汇聚节点)的传感器节点需要转发所有下游节点的数据,形成“热区”现象,从而影响网络生命期,详见图3.利用CS采集数据可以很好的消除“热区”现象,其原理如下:

  

图3 多跳无线传感器网络数据采集模式Figure 3 Data acquisition mode of multi hop wireless sensor network

CYC14[37]给出了一种多跳传感器网络中基于CS的数据采集方法.

 

由压缩感知理论,Sink节点所收集到的数据可表示为其中,x i为第 v i个节点的数据,ϕi是观测矩阵Φ的第i个列向量.由式 (1)可知,任意节点 v i,只需将收集的数据x i与m 维列向量 ϕi相乘得到x iϕi,然后与子节点发送来的 m维列向量相加,并转发给父节点.每个节点依次执行该操作,就能在传输的过程中完成压缩编码,最后Sink节点能得到压缩观测向量y.

基于CS的多跳传感器我拿过来数据采集方法中任意节点只需要发送一个m维列向量,因此不存在“热区”现象.然而该方法并不能对数据采集提供隐私及安全性保护.

在该环境中采用RB08的压缩感知对称加密方法,可在实现数据的压缩采集的同时为系统提供一定的安全保护,但是它需要事先在各分布式节点中传递和保持一个密钥,随着节点的增多,必然给系统的实用性带来影响,而且还易遭受不可信节点的合谋攻击.BBM 16和NYY 17b的方案中,除了需要安全信道事先传递和保持密钥,还需在每次加密时利用安全信道传递辅助信息,因此在该环境下更不实用.

本文的CSPKE算法可以克服以上压缩感知对称密码系统的不足,还很好的保持了CS算法的线性结构,加密过程可表示为:

 

其中 e=e1+e2+···+e k服从 D Z m,αq上的离散高斯分布,x=x1+···+x n,根据定理3,各节点噪声的选择只需满足即可.

同 CS算法比,对于任意节点 v i,首先选择一个随机向量 x i,一个在 上得噪声e i,然后计算自己的数据接着加上子节点 v i−1传过来的数据 data i−1,最后发送给父节点v i+1,这样最后就在传输过程完成了加密,详见图4.

  

图4 基于CSPKE的多跳无线传感器数据采集模式Figure 4 Data acquisition mode of multi-hop wireless sensor network based on CSPKE

由于每个采集节点存储的是公钥,系统无需每次加密更新密钥,只需在初始化时将公钥做一次广播,各节点根据自己的ID号保存自己的公钥分量即可完成公钥的分发,很好地解决了密钥分发与存储的问题.进一步地,每个节点采集的数据都是经过噪声伪装的,并不会被少数不可信节点的合谋所泄露,下面我们给出具体的安全性证明.

定理4上述CSPKE算法在分布式多跳环境中是抗合谋攻击IND-CPA安全的.

证明: 对于任意节点 v i,其它节点合谋时,它所泄露的所有信息都来自于它本身的数据 data i=参照定理3,很容易证明密文同样是IND-CPA安全的,因此上述CSPKE算法在分布式多跳环境中是抗合谋攻击IND-CPA安全的.

6.2 其它应用

压缩感知公钥加密实现了数据压缩采集的同时完成加密,数据压缩的同时保护了其安全性.这一特点在诸如云计算与雾计算环境下的数据压缩加密等许多领域具有重要的意义和广泛的应用.例如对于图像视频等稀疏数据而言,采用压缩感知公钥加密算法,既可以实现对数据的压缩,又能完成数据加密,便于数据安全的传输与存储.

7 小结

目前,大数据已成为继云计算之后信息技术领域的另一个产业增长点,其安全问题也引起了学术和产业界的高度重视.本文提出的加密方案,立足于互联网环境下,将公钥密码与通信技术相结合,从数据采集的源头入手,结合了数据的稀疏特性,将数据加密融合在数据采集过程中,能够较好的保障移动互联网及物联网环境下数据采集过程中的安全性.通过效率分析可以看出,对于稀疏性较好的数据,方案在保障安全性的同时还能实现较大的数据压缩;通过应用分析可以看出,方案很好地保持了CS算法的线性结构,能很好的适用于分布式环境的数据压缩加密采集.

References

[1]DONOHO D L.Compressed sensing[J].IEEE Transactions on Information Theory,2006,52(4):1289–1306.[DOI:10.1109/TIT.2006.871582]

[2]CANDÈS E J,TAO T.Near-optimal signal recovery from random projections:Universal encoding strategies?[J].IEEE Transactions on Information Theory,2006,52(12):5406–5425.[DOI:10.1109/T IT.2006.885507]

[3]RACHLIN Y,BARON D.The secrecy of compressed sensing measurements[C].In:Proceedings of 46th Annual Allerton Conference on Communication,Control,and Computing.Urbana,IL,USA,2008:813–817.[DOI:10.1109/ICASSP.2014.6854351]

[4]BIANCHI T,BIOGLIO V,MAGLI E.On the security of random linear measurements[C].In:Proceeddings of IEEE International Conference on Acoustic,Speech and Signal Processing(ICASSP2014).Florence,Italy,May 4–9,2014:3992–3996.[DOI:10.1109/ICASSP.2014.6854351]

[5]BIANCHIT,BIOGLIO V,MAGLIE.Analysis of one-time random projections for privacy preserving com pressed sensing[J].IEEE Transactions on Information Forensics and Security,2016,11(2):313–327.[DOI:10.1109/TIFS.2015.2493982]

[6]FAY R,RULAND C.Compressive sensing encryption modes and their security[C].In:Proceedings of 2016 11th International Conference for Internet Technology and Secured Transactions(ICITST).IEEE,2016:119–126.[DOI:10.1109/ICITST.2016.7856681]

[7]YU N Y.Indistinguishability and energy sensitivity of asymptotically Gaussian compressed encryption[J].IEEE Transactions on Information Forensics and Security,2018,13(7):1722–1735.[DOI:10.1109/TIFS.2018.2800726]

[8]ORSDEMIR A,ALTUN H O,SHARMA G,et al.On the security and robustness of encryption via compressed sensing[C].In:Proceedings of IEEE Military Communication Conference(MILCOM).IEEE,2008:1–7.[DO I:10.1109/MILCOM.2008.4753187]

[9]BIANCHI T,MAGLI E.Analysis of the security of compressed sensing With circulant matrices[C].In:Proceedings of 2014 IEEE Workshop on Information Forensics and Security(WIFS).IEEE,2014:1–6.[DO I:10.1109/WIFS.2014.7084323]

[10]GEORGE S N,PATTATHIL D P.A secure LFSR based random measurement matrix for compressive sensing[J],Sensing and Imaging,2014,15(1):1–29.[DO I:10.1007/s11220-014-0085-9]

[11]FAY R.Introducing the counter mode of operation to compressed sensing based encryption[J].Information Processing Letters,2016,116(4):279–283.[DO I:10.1016/j.ip l.2015.11.010]

[12]FAY R,RULAND C.Compressed sampling and authenticated-encryption[C].In:Proceedings of 11th International ITG Conference on System s,Communications and Coding(SCC 2017).IEEE,2017:1–6.

[13]REEVES G,GOELA N,M ILOSAVLJEVIC N,et al.A compressed sensing wire-tap channel[C].In:Proceedings of 2011 IEEE Information Theory Workshop(ITW).IEEE,2011:548–552.[DO I:10.1109/ITW.2011.6089562]

[14]AGRAWAL S,VISHWANATH S.Secrecy using compressive sensing[C].In:Proceedings of 2011 IEEE Information Theory Workshop(ITW).IEEE,2011:563–567.[DOI:10.1109/ITW.2011.6089519]

[15]NAM Y Y.Indistinguishability of compressed encryption With circulant matrices for wireless security[J].IEEE Signal Processing Letters,2017,24(2):181–185.[DO I:10.1109/LSP.2017.2647953]

[16]CAMBARERI V,HABOBA J,PARESCH I F,et al.A two-class information concealing system based on compressed sensing[C].In:Proceedings of 2013 IEEE International Symposium on Circuits and System s(ISCAS).Beijing,China,May 2013:1356–1359.[DO I:10.1109/ISCAS.2013.6572106]

[17]CAMBARERI V,MANGIA M,PARESCHI F,et al.Low complexity multiclass encryption by compressed sensing[J],IEEE Transactions on Signal Processing,2015,63(9):2183–2195.[DO I:10.1109/TSP.2015.2407315]

[18]CAMBARERI V,MANGIA M,PARESCHI F,et al.On known-plaintext attacks to a compressed sensing-based encryption:A quantitative analysis[J].IEEE Transactions on Information Forensics and Security,2015,10(10):2182–2195.[DOI:10.1109/TIFS.2015.2450676]

[19]ZHANG Y,ZHANG L Y,ZHOU J,et al.A review of compressive sensing in information security field[J].IEEE Access,Special Section on Green Communications and Networking for 5G Wireless,2016,4:2507–2519.[DOI:10.1109/ACCESS.2016.2569421]

[20]LI Y D,ZHANG Z,WINSLETT M,et al.Compressive mechanism:Utilizing sparse representation in differentical privacy[C].In:Proceedings of 10th Annual ACM Workshop on Privacy in Electronic Society(WPES).IEEE,2011:177–182.[DOI:10.1145/2046556.2046581]

[21]ZHANG Y,ZHOU J,CHEN F,et al.A b lock compressive sensing based scalable encryption framework for protecting significant image regions[J].International Journal of Bifurcation and Chaos,2016,26(11):1650191.[DOI:10.1142/S0218127416501911]

[22]DAUTOV R,TSOURIG R.Establishing secure measurement matrix for compressed sensing using wireless physical layer security[C].In:Proceedings of International Conference on Computing,Networking and Communications(ICNC).IEEE,2013:354–358.[DOI:10.1109/ICCNC.2013.6504108]

[23]ZHANG Y,ZHOU J,CHEN F,et al.Embedding cryptographic features in compressive sensing[J].Neurocomputing,2016,205:472–480.[DOI:10.1016/j.neucom.2016.04.053]

[24]LI H,MAO R,LAI L,et al.Com pressed meter reading for delay-sensitive and secure load report in smart grid[C].In:Proceedings of 2010 First IEEE International Conference on Smart Grid Communications(Smart Grid Comm).IEEE,2010:114–119.[DOI:10.1109/SMARTGRID.2010.5622027]

[25]GAO J,ZHANG X,LIANG H,et al.Joint encryption and compressed sensing in smart grid data transmission[C].In:Proceedings of 2014 IEEE Global Communications Conference.IEEE,2014:662–667.[DOI:10.1109/GLOCOM.2014.7036883]

[26]XUE W,LUO C,LAN G,et al.Kryptein:A compressive-sensing-based encryption scheme for the internet of things[C].In:Proceedings of the 16th ACM/IEEE International Conference on Information Processing in Sensor Networks(IPSN 2017).ACM,2017:169–180.[DOI:10.1145/3055031.3055079]

[27]REGEV O.On lattices,learning With errors,random linear codes,and cryptography[J].Journal of the ACM(JACM),2009,56(6):34.[DOI:10.1145/1568318.1568324]

[28]PEIKERT C.Public-key cryptosystems from the worst-case shortest vector problem[C].In:Proceedings of the Forty-first Annual ACM Symposium on Theory of Computing. ACM,2009:333–342. [DOI:10.1145/1536414.1536461]

[29]MICCIANCIO D,PEIKERT C.Trapdoors for lattices:Simpler,tighter,faster,smaller[C].In:Advances in Cryptology—EUROCRYPT 2012.Sp ringer Berlin Heidelberg,2012:700–718.[DO I:10.1007/978-3-642-29011-4_41]

[30]DRAPER S C,MALEKPOUR S.Compressed sensing over finite fields[C].In:Proceedings of 2009 IEEE International Symposium on Information Theory(ISIT).IEEE,2009:669–673.[DOI:10.1109/ISIT.2009.5205666]

[31]SEONG J T,LEE H N.On the compressed measurements over finite fields:Sparse or dense sampling[J].arXiv preprint arXiv:1211.5207,2012.

[32]BIOGLIO V,COLUCCIA G,MAGLI E.Sparse image recovery using compressed sensing over finite alphabets[C].In:2014 IEEE International Conference on Image Processing(ICIP).IEEE,2014:1287–1291.[DO I:10.1109/ICIP.2014.7025257]

[33]GOLDWASSER S,MICALIS.Probabilistic encryption[J].Journal of Computer and System Sciences,1984,28(2):270–299.[DO I:10.1016/0022-0000(84)90070-9]

[34]BIOGLIO V,BIANCHI T,MAGLI E.Secure compressed sensing over finite fields[C].In:Proceedings of 2014 IEEE International Workshop on Information Forensics and Security(W IFS).IEEE,2014:191–196.[DO I:10.1109/WIFS.2014.7084326]

[35]Data scientist.Ten challenges for personalized recommendation[OL].Available at:http://cxds1234.blog.163.com/blog/static/446019220133173178811.2013,04.

[36]DURMAZ O I,GHOSH A,KRISHNAMACHAR I B,et al.Fast data collection in tree-based wireless sensor networks[J].IEEE Transactions on Mobile Computing,2012,11(1):86–99.[DO I:10.1109/TM C.2011.22]

[37]CHEN Z Y,YANG G,CHEN L,et al.Data gathering for long network lifetime in WSNs based on compressed sensing[J].Journal of Electronics&Information Technology,2014,36(10):2343–2349.[DOI:10.3724/SP.J.1146.2013.01787]陈正宇,杨庚,陈蕾,等.基于压缩感知的 WSNs长生命周期数据收集方法 [J].电子与信息学报,2014,36(10):2343–2349.[DO I:10.3724/SP.J.1146.2013.01787]

[38]M ICCIANCIO D,REGEV O.Worst-case to average-case reductions based on Gaussian measures[J].SIAM Journal on Computing,2007,37(1):267–302.[DO I:10.1137/S0097539705447360]