关 闭

新闻中心

EEPW首页 > 安全与国防 > 设计应用 > 基于CP-ABE的访问控制研究

基于CP-ABE的访问控制研究

作者:周彦萍 马艳东时间:2013-07-24来源:电子产品世界收藏

  摘要:在分布式应用中,难以在不损害用户隐私的情况下,一次性获取群体的规模与成员身份,而传统机制由于需用接收群体每个成员的后再分发,所以必须获取接收群体中每个成员的身份。针对这一矛盾,论文给出了一种基于(Ciphertext-Policy Attribute-Based Encryption,基于密文策略的属性加密体制)的系统的设计与实现方案。由于具有广播式的、授权人通过满足某些条件就能确定的特点,使本方案能够在保证安全性与用户隐私的前提下,对共享数据进行细粒度的,降低了共享处理开销和加密次数。通过笔者单位所开发的两套系统的实际应用,进一步证明本方案的正确性与优越性。

本文引用地址:http://www.eepw.com.cn/article/147855.htm

  引言

  随着技术的蓬勃发展与分布式应用的日新月异,在分布开放的计算环境中进行安全、可靠、快捷的数据共享和处理的需求越来越强烈。访问控制作为实现用户数据机密性和进行隐私保护的重要手段,已成为其中不可或缺的安全措施。

  传统的机制,如公钥基础设施(Public Key Infrastructure,PKI)及基于身份的加密(Identity-based Encryption,IBE),能够保护数据机密性,但是存在着以下缺陷:(1)资源提供方需要用接收群体中每个用户的公钥加密消息,并将密文再分送给相应的用户,导致处理开销大和占用带宽多;(2)要求资源提供方在加密前获取全部接收用户的信息。但是,分布式应用难以一次性获取接收群体的规模与成员身份。而如果分布式应用列举用户身份,又会损害用户隐私。

  基于密文策略的属性加密体制在公钥加密思想中引入访问结构,以此部署加密数据的存取控制策略。与传统的公钥加密体制(如基于身份的加密IBE)相比,CP-ABE不是将唯一的识别信息作为用户身份,而是利用多个属性(即属性集合)来标识用户,增强了描述性。CP-ABE的密文是加密给满足一定条件的群体用户的,但同时该群体在加密时并不要求逐一确定。因此,CP-ABE打破了传统公钥加密体制一对一的通信模式,而更像一个面对特定群体的广播加密。这些特性,使得CP-ABE解决了传统公钥加密体制对某些应用场景不适应的问题。

  鉴于基于传统公钥基础设施的加密机制在访问控制中面临的困境,同时,考虑到CP-ABE能够制定灵活的访问策略而更加适于访问控制,只有满足密文策略的访问者才能获得解密密钥的权利,本文在深入研究CP-ABE的基础上,提出了一种基于CP-ABE的访问控制方案。该方案通过在笔者单位开发的《婴幼儿在线专家诊断系统》和《基于PMI的内网安全系统》中的成功应用,进一步证明本方案能够在保证访问控制安全性与用户隐私的前提下,对共享数据进行细粒度的访问控制,降低了共享处理开销和加密次数。

  CP-ABE访问控制设计

  CP-ABE方案

  基于属性的加密算法(Attribute-Based Encryption,ABE)是建立在双线性对技术的基于身份加密机制IBE的扩展。该机制实现了基于属性的加解密。在ABE机制中,每个用户拥有一个属性集合以及属性集对应的密钥集,加密或者解密的过程与一个访问结构相关联,通过对此结构的定义规定解密者应具有的属性结构。CP-ABE是ABE的进一步发展,它将访问结构部署在密文中,一个用户能够解密一个密文当且仅当用户拥有的属性集合满足在该密文中部署的访问结构才行。

  属性集合

        设为所有属性的集合,则每个用户的属性S是P 的一个非空子集,,那么N 个属性可用于鉴别2N个用户。

  访问结构

  访问结构是访问控制策略的一个抽象概念,它定义了授权访问集合和非授权访问集合。由于ABE实质上可以看做是,在基于身份加密体制IBE的用户私钥或密文中引入了一个访问结构而构成的,这些结构定义了具备哪些属性的用户可以解密某个密文,而哪些用户不能解密该密文。访问结构的定义如下:

        设是n个参与者的集合。设A表示由参与者集合的子集构成的集合,B、C表示参与者集合的子集,对于所有的B、C,如果则A说是一个单调的访问结构。

        一个访问结构(或者单调的访问结构)T是一个非空的参与者集合的子集(或者单调子集)构成的集合,T代表一个属性判断条件,设A表示参与者的任一子集,如果,则叫做授权集合;如果,则叫做非授权集合。

  在ABE中,上述访问结构中出现的参与者将被属性替换,访问结构 将包含所有属性上的授权集合。

  访问树

  访问树用于描述一个访问结构,树的每个叶节点代表一个属性项,每个内部节点代表一个关系函数,关系函数可以是AND(n of n)、OR(1 of n)以及n of m(m>n)门限等。实现过程中,访问树中的每一个节点(包括叶节点)都可定义一个多项式,节点的遍历方式为由根节点开始从上向下,从左向右的顺序。

  CP-ABE的算法

  (1)初始设置

  输入系统安全参数Para, 输出系统公共参数PK和主密钥MK。

        (2)加密算法

        输入系统公共参数PK、访问结构T和明文M,输出密文CT。

        (3)密钥抽取

        输入系统主密钥MK和属性集合S,输出对应于S的解密密钥KS。

pid控制相关文章:pid控制原理


可控硅相关文章:可控硅工作原理


比较器相关文章:比较器工作原理


pid控制器相关文章:pid控制器原理



上一页 1 2 下一页

评论


相关推荐

技术专区

关闭