基于CP-ABE的訪問控制研究
(4)解密算法輸入系統(tǒng)公共參數(shù)PK、用訪問結構A加密的密文CT,及對應于屬性集合S的解密密鑰KS。如果屬性集合S滿足訪問結構T,則輸出消息M。
本文引用地址:http://www.ex-cimer.com/article/147855.htm屬性集合的表達
將授權管理基礎設施(Privilege Management Infrastructure,PMI)應用到設計方案中,利用PMI的屬性證書(Attribute Certificate,AC)來描述CP-ABE中的屬性集合,并支持分布式、可授權、可推導等特性,支持屬性授權能力應遵守約束限制,完全適用于分布和開放的網(wǎng)絡應用環(huán)境。
用戶通過屬性來描述,用屬性證書AC作為用戶屬性的憑證。屬性證書AC根據(jù)用戶提交的描述信息生成,并采用頒發(fā)者的IBE私鑰簽名。AC采用國際標準的X.509 V4證書格式及抽象語法符號(Abstract Syntax Notation One,ANS.1)的編碼格式來描述。
訪問結構的表達
利用可擴展的標記語言(eXtensible Markup Language,XML)文檔記錄CP-ABE中的訪問結構。信息發(fā)布者定義能夠共享信息的用戶。由授權用戶應該滿足的條件形成的XML文檔,經(jīng)加密后,再存儲到屬性描述符證書(Attribute Descriptor Certificate,ADC)中。
訪問結構的安全性處理
訪問結構決定了哪些是授權用戶,哪些是非授權用戶,所以一旦訪問結構被竊取,整個的訪問控制就失去了意義。為了保證訪問結構的安全,方案對描述訪問結構的XML文件加以防護,利用發(fā)布人的私鑰簽名、系統(tǒng)的公鑰加密,保證訪問結構XML文件的不可抵賴性與不被篡改,保證傳輸中不被竊取。
利用屬性描述符證書ADC來存儲最后形成的XML訪問結構文件,即將文件內容拷貝到ADC的擴展域PrivilegePolicyIdentifier屬性值中。
訪問控制模型
方案采用可擴展訪問控制標記語言(eXtensible Access Control Markup Language,XACML)來構建訪問控制模型。XACML是一種基于屬性訪問控制模型的策略描述語言及協(xié)議棧,它采用樹狀分層嵌套結構定義訪問權限。
屬性描述符證書ADC中存儲的訪問結構是訪問控制策略的主要組成部分,除此之外,訪問控制策略還包括環(huán)境和策略約束等條件,這些以XACML策略文件的方式存儲,納入XACML控制模型來處理。
基于XACML的訪問控制模型如圖1所示。
方案應用
文中的方案在筆者單位開發(fā)的項目《嬰幼兒在線專家診斷系統(tǒng)》和《基于PMI的內網(wǎng)安全系統(tǒng)》加以應用。這兩個項目分別受到《基于Windows Mobile的移動終端安全技術研究》、《PMI多訪問控制機制的細粒度授權服務系統(tǒng)》與《河北省食品安全協(xié)調指揮系統(tǒng)》的資助。其中,《嬰幼兒在線專家診斷系統(tǒng)》利用該方案使得嬰幼兒發(fā)育信息只對特定人群可見,且特定人群只須滿足某種條件,而不必具體地一一指定,避免了因為不能列舉共享人群而帶來的信息難以共享的問題。而《基于PMI的內網(wǎng)安全系統(tǒng)》利用該方案進行訪問控制,避免了原方案在采用PKI進行信息共享時,信息提供者需要先列出所有共享用戶,再實行一對一加密,而導致的加密次數(shù)多、共享延遲、用戶隱私被侵犯等問題。
結束語
本文通過分析基于公鑰的傳統(tǒng)加密機制在訪問控制中面臨的困境,以及CP-ABE所具有的種種優(yōu)點,建立了基于CP-ABE的訪問控制方式。通過實際應用表明,該方案在保證訪問控制安全性與用戶隱私的前提下,對共享數(shù)據(jù)進行細粒度的訪問控制,降低了共享處理的開銷和加密次數(shù),從而進一步證明了該方案的正確性與優(yōu)越性。作為下一步工作,可以針對網(wǎng)格計算、云計算等大規(guī)模分布式網(wǎng)絡應用環(huán)境下的數(shù)據(jù)隔離及身份驗證、授權、訪問控制和審計等安全問題進行有針對性的優(yōu)化、擴展研究,使該方案能夠在安全性、時間復雜度上表現(xiàn)出更好的性能。
參考文獻:
[1]A. Sahai, B. Waters. Fuzzy identity based encryption: Advances in Cryptology- EUROCRYPT 2005, 2005[C]. Aarhus, Denmark: Springer, 2005:457-473
[2]V.Goyal, O.Pandey, A.Sahai and B.Waters. Attribute-based encryption for fine-grained access control of encrypted data, 2006: Proceedings of the 13th ACM conference on Computer and communications security, 2006[C]. Alexandria, VA, USA, 2006: 89-98
[3]J.Bethencourt, A.Sahai, B.Waters. Ciphertext-policy attribute-based encryption, 2007: 2007 IEEE Symposium on Security and Privacy[C]. Oakland, California, USA. 2007:321-334
[4]L. Cheung, C. Newport. Porvably secure ciphertext policy ABE, 2007: Proceedings of the 14th ACM Conference on Computer and Communications Security[C]. Alexandria, VA, USA, 2007:456-465
[5]V. Goyal, A. Jain, O. Pandey. A. Sahai, Bounded ciphertext policy attribute based encryption, 2008: 35th International Colloquium on Automata, Languages and Programming[C]. Reukjavik, Iceland: Springer, 2008: 579-591
[6]B. Waters. Ciphertext-policy attribute- based encryption: An expressive, efficient, and provably secure realization. 2010-12-20. http://eprint.iacr.org/2008/290
pid控制相關文章:pid控制原理
可控硅相關文章:可控硅工作原理
比較器相關文章:比較器工作原理
pid控制器相關文章:pid控制器原理
評論