一. 引言
在之前的文章[1]中,我们对图像可搜索加密的经典系统模型进行了介绍,并从效率主导与精度主导两个方面对现有研究方案进行了分析。虽然前文所述的方案已然以实用为导向,但各类方案仍在精度、效率、安全等方面存在权衡。同时,加密算法设计与实现的高门槛在实践中也不可忽视。近年来,随着可信执行环境技术(TEE)的发展,为解决这一问题带来了新的思路。本文将介绍一种基于可信硬件的图像可搜索加密新方案。
二. 基于TEE的图像可搜索方案
图像可搜索加密本质上是为了在提供图像检索服务的同时,让服务提供方无法获知图像的内容。前文所述的方案,试图以某种功能加密技术,确保其密文无法恢复为明文且密文仍可用于距离度量;可以说,这是一种基于加密算法的跨域管控。
不妨换一种思路:如果能让用户的图像检索请求在一个完全隔离的可信环境中执行,同时保证该环境不受其它任何进程的观察和干扰,而且该环境中程序的行为也是确定的、可验证的,那么即便云服务商掌控着硬件资源,也无法窥探用户图像数据和检索过程。这样,图像检索任务就能被安全地执行,用户的隐私也得到了保护。
具体来说,基于TEE的方案,其最简模型如图1所示。不妨简单分为准备阶段、上传阶段、检索阶段。
- 准备阶段:云服务商基于可信硬件部署图像可搜索加密服务:在普通环境中部署服务平台,如前后端等;通过合适的配置,确保机密环境中可调度实际图像检索算法。机密环境中包含一份私钥,该私钥所对应公钥是公开的,而云服务商自身也无法知晓。
- 上传阶段:图像拥有者基于将自身图像加密(通常还需结合对称加密),加密后图像传输至云服务器。云服务器存储相关密文图像库
- 检索阶段:与图像拥有者类似,用户将密文图像上传至云服务器,同时上传一份加密后的对称密钥。云服务器通过机密环境提供的系统调用等,将密文图像库、密文查询等调度入机密环境。机密环境在接收到密文图像库或查询时会首先利用其内含的私钥对其解密,然后执行实际的特征提取与距离度量计算,并将计算出的相似图像用加密后送出机密环境。
图1:基于TEE的图像可搜索加密方案
在整个过程中,敏感的图像数据始终是加密的,云服务商无法获知其内容。同时,敏感的图像检索计算也始终在可信环境中进行,云服务商无法窥探或篡改计算过程及结果。可信硬件作为计算的基础设施,很好的满足了图像可搜索加密在实践中的需求。
基于可信硬件的方案由于其实现原理,在性能上具有显著的优势:①文献[2]指出,部分机密环境中计算开销相比于普通环境仅上升10%;②图像拥有者与用户无需运行较复杂的功能加密算法,而只需要传统的对称与非对称加密即可完成图像的处理,加密速度更快;③可直接复用明文领域中最先进的图像检索算法,精度更高,编码成本更低。
三. 不止图像,也不止检索
不难发现,上述过程的安全性依赖于机密环境的隔离性,而与图像检索算法无关。换言之,如将图像检索换成其它实际业务,上述过程仍具备安全可用性。而真实世界中,需提供安全服务的场景广泛存在,因为很多业务所需的输入数据、库数据是敏感的,如医疗服务所获取的患者病例,金融机构所持有的用户资产等。TEE作为一种通用的隐私保护技术,能够适用于这些场景,让数据所有者放心的让数据运营者进行数据驱动的业务创新。
当然,上一节中事实上屏蔽了很多重要的细节,如需扩展到更一般的场景,至少还需要解决如下问题:
1. 数据的安全存储。实际业务数据可能以结构化数据库、非结构化文件、流数据等多种形态存在,仅依赖于机密环境内置私钥以保障普通环境中数据的安全并不可行。
2. 密钥的安全管理。机密环境的可信启动、安全调用、预埋或动态增加私钥都依赖于完整的密钥管理能力,须通过各类密码学技术保障和论证每一个过程的安全性。
3. 支持分布式调度。真实业务中工作负载通常无法在单台设备完成,须能够形成机密环境集群,保障业务的安全负载均衡调度。
对非安全主营业务企业自身而言,全面掌握TEE等前沿的隐私保护技术并非易事,而由于上述方案直接依赖于硬件,且与工作负载本身耦合,通常也无法以云安全资源池的方式动态添加。是否有成熟简单的集成方案呢?有兴趣的读者不妨关注了解绿盟科技数据保险箱产品[3]。
四. 总结
本文介绍了一种基于可信硬件的图像可搜索加密新方案。相比传统的专用加密算法,该方案具有实现简单、性能更优的优点,且可以有效屏蔽密码学细节,降低了应用开发者的使用门槛。
从系统设计的角度看,传统的专用加密算法类似一种应用层协议,而基于硬件的可信执行环境则为隐私保护提供了更底层的通用机制。根据计算机领域的一般规律,越底层的方案,其性能越好,复用性也越高。可信硬件技术通过硬件和操作系统直接屏蔽了安全实现细节,有望成为新时代隐私保护的一把利器。
展望未来,随着数字化进程的不断深入与数据要素理念的深入人心,对高效、通用的隐私保护技术的需求将持续增长。TEE作为一种极具潜力的底层安全机制,必将在各行各业的数字化转型和业务创新中扮演越来越重要的角色,是当前最值得关注和应用的安全技术之一。
参考文献
[1]: https://mp.weixin.qq.com/s/ICwRV6fjPqdlLboCzJM_pg
[2]: https://arch.cs.ucdavis.edu/assets/papers/ipdps21-hpc-tee-performance.pdf
[3]: https://www.nsfocus.com.cn/html/2023/208_0824/177.html
内容编辑:创新研究院 顾奇 责任编辑:创新研究院 陈佛忠
本公众号原创文章仅代表作者观点,不代表绿盟科技立场。所有原创内容版权均属绿盟科技研究通讯。未经授权,严禁任何媒体以及微信公众号复制、转载、摘编或以其他方式使用,转载须注明来自绿盟科技研究通讯并附上本文链接。