时间戳

首页 > 技术文章 > CP-ABE和KP-ABE

CP-ABE和KP-ABE

ytssjbhy616 原文

转载于https://www.jianshu.com/p/8d8cf34a9aa0

首先,要明白一个概念:访问结构。

​访问架构(access structure):访问结构是安全系统研究的术语,系统的访问结构是指被授权的集合的结构。

CP-ABE(ciphertext policy attribute based encryption,密文策略属性基加密系统):所谓密文政策加密系统是指,密文对应于一个访问结构而密钥对应于属性集合,解密当且仅当属性集合中的属性能够满足此访问结构。这种设计比较接近于现实中的应用场景,可以假象每个用户根据自身条件或者属性从属性机构得到密钥,然后加密者来制定对消息的访问控制。

CP-ABE应用图

KP-ABE​(key policy attribute based encryption,密钥策略属性基加密系统):所谓密钥政策加密系统是指,密钥对应于一个访问控制而密文对应于一个属性集合,解密当且仅当属性集合中的属性能够满足此访问结构。这种设计比较接近静态场景,此时密文用与其相关的属性加密存放在服务器上,当允许用户得到某些消息时,就分配一个特定的访问结构给用户。

KP-ABE应用图

CP-ABE流程​

①设置:这是一个随机算法,输入隐藏的安全参数,输出公开参数PK和一个主密钥MK。

②加密:这是一个随机算法,输入一个消息m、一个访问结构A、公开参数PK,输出密文E。​

③密钥生成:这是一个随机算法,输入一组属性Y、主密钥MK、公开参数PK,输出一个解密密钥D。

④解密算法输入:​基于访问结构A加密的密文E,对应属性组Y的解密密钥D,公开参数PK。

如果Y∈A,输出X消息m。

KP-ABE流程

①设置:这是一个随机算法,输入隐藏的安全参数,输出公开参数PK和一个主密钥MK。

②加密:这是一个随机算法,输入一个消息m、一组属性Y、公开参数PK,输出密文E。​

③密钥生成:这是一个随机算法,输入访问结构A、主密钥MK、公开参数PK,输出一个解密密钥D。

④解密算法输入:​基于属性组Y加密的密文E,对应访问结构A的解密密钥D,公开参数PK。

如果Y∈A,输出X消息m。

1

在物联网的认证机制中,传感网的认证机制是需要研究的重要部分。无线传感网络中的认证技术主要包括基于轻量级公钥算法的认证技术、基于预共享密钥的认证技术、基于随机密钥预分布的认证技术、利用辅助信息的认证技术以及基于单向散列函数的认证技术等。

(1)基于轻量级公钥算法的认证技术。鉴于经典的公钥算法需要高计算量,在资源有限的无线传感网络中不具有可操作性,当前一些研究正致力于对公钥算法进行优化设计以使其能适应无线传感网络,但在能耗和资源方面仍存在很大的改进空间,如基于RSA公钥算法的Tiny PK认证方案和基于身份标识的认证算法等。

(2)基于预共享密钥的认证技术。SNEP方案中提出两种配置方法:一是结点之间的共享密钥,二是每个结点和基站之间的共享密钥。这类方案使用每对结点之间共享一个主密钥,可以在任何一对结点之间建立安全通信。其缺点是扩展性和抗捕获能力较差,任意一结点被俘获后就会暴露密钥信息,进而导致全网络瘫痪。

(3)基于单向散列函数的认证技术。该技术主要用于广播认证。单向散列函数可生成一个密钥链,利用单向散列函数的不可逆性,保证密钥不可预测。通过某种方式依次公布密钥链中的密钥,可以对消息进行认证。目前,基于单向散列函数的广播认证技术主要是对TESLA协议的改进;它以TESLA协议为基础,对密钥更新过程、初始认证过程进行了改进,使其能够在无线传感器网络有效实施。

2

访问控制 访问控制是指对用户合法使用资源的认证和控制。目前,对信息系统的访问控制主要采用基于角色的访问控制机制( Role Based Access Control,RBAC)及其扩展模型。RBAC机制主要由Sandhu于1996年提出的基本模型RBAC96构成,其认证过程为:一个用户先由系统分配一个角色,如管理员、普通用户等;登录系统后,根据对用户角色所设置的访问策略实现对资源的访问。显然,同样的角色可以访问同样的资源。RBAC机制是一种基于互联网的OA系统、银行系统、网上商店系统等的访问控制方法,是基于用户的。

对物联网而言,末端是感知网络,即可能是一个感知结点或一个物体,采用用户角色的形式进行资源控制显然不够灵活。

一是本身基于角色的访问控制在分布式网络环境中已呈现出不相适应的地方,如对具有时问约束资源的访问控制以及访问控制的多层次适应性等方面均需要进一步探讨;

二是结点不是用户,而是各类传感器或其他RBAC且种类繁多,基于角色的访问控制机制中的角色类型无法一一对应这些结点,因此使RBAc机制难于实现;

三是物联网表现的是信息的感知互动过程,包含了信息的处理、决策和控RBAC程,尤其反向控制是物物互联的特征之一,资源的访问呈现动态性和多层次性,而RBAc机制中一旦用户被指定为某种角色,其可访问的资源就相对固定了。因此,寻求新的访问控制机制是物联网也是互联网值得研究的问题。

基于属性的访问控制( Attribute Based Access Control, ABAC)是近几年研究的热点,若将角色映射成用户的属性,可以构成ABAC与RBAC的对等关系’而且属性的增加相对简单,同时基于属性的加密算法可以使ABAC得以实现。ABAC方法的问题是对较少的属性来说,加密解密的效率较高,但随着属性数量的增加,加密的密文饫度将增加,使算法的实用性受到限制。目前有两个发展方向,即基于密钥策略和基于密文策略,其目标均是改善基于属性的加密算法的性能。

推荐阅读