Abstract
在一些分布式系统中,只有当用户拥有一组特定的凭证或属性时,用户才能访问数据。目前,实施这种策略的唯一方法是使用一个受信任的服务器来存储数据并协调访问控制。但是,如果存储数据的任何服务器被泄露,那么数据的机密性也会被泄露。本文提出了一种对加密数据进行复杂访问控制的系统——Ciphertext-Policy基于属性的加密。
通过使用我们的技术,即使存储服务器不可信,加密数据也能保持机密;此外,我们的方法对共谋攻击是安全的。以前的属性加密系统使用属性来描述加密数据,并将策略构建到用户的密钥中;而在我们的系统中,属性被用来描述用户的凭证,而加密数据的一方则为谁可以解密制定策略。因此,我们的方法在概念上更接近传统的访问控制方法,如基于角色的访问控制(RBAC)。此外,我们提供了我们的系统的实现,并给出了性能测量。
1 Introduction
在许多情况下,当用户加密敏感数据时,必须建立一个特定的访问控制策略,以确定谁可以解密该数据。例如,假设FBI在诺克斯维尔和旧金山的公共腐败办公室正在调查一项涉及旧金山说客和田纳西州国会议员的贿赂指控。联邦调查局的首席特工可能想要加密一份敏感的备忘录,这样只有那些有特定凭证或属性的人可以获取它。例如,头代理可以指定以下访问结构来访问该信息:((“Public Corruption Office”AND (“Knoxville” OR “San Francisco”)) OR(management-level > 5) OR “Name: CharlieEppes”). 这么说,首席特工的意思可能是,这份备忘录只应该被诺克斯维尔或旧金山的公共腐败办公室的特工、在管理链上非常高的联邦调查局官员,以及一位名叫查理·埃普斯(Charlie Eppes)的顾问看到。
正如这个示例所说明的,拥有秘密数据的人能够基于对底层数据的特定知识选择访问策略是至关重要的。此外,这个人可能不知道所有其他应该能够访问数据的人的确切身份,但她可能只有一种方法来根据描述性属性或凭据描述他们。
传统上,这种类型的表达式访问控制是通过使用一个受信任的服务器在本地存储数据来实现的。服务器被委托为一个参考监视器,在允许用户访问记录或文件之前检查用户是否提供了正确的认证。然而,服务越来越多地以分布式方式跨多个服务器存储数据。跨多个位置复制数据在性能和可靠性方面都有优势。这种趋势的缺点是,越来越难以用传统方法保证数据的安全性;当数据存储在多个位置时,其中一个位置被泄露的可能性就会显著增加。出于这些原因,我们希望敏感数据以加密形式存储,这样即使服务器被泄露,这些数据也将保持私有。
大多数现有的公钥加密方法允许一方向特定用户加密数据,但不能有效地处理更具表达性的加密访问控制类型,如上面所示的示例。
Our contribution
在这项工作中,我们提供了一个密文策略基于属性的加密(CP-ABE)的第一个构造来解决这个问题,并给出了这样一个方案的第一个构造。在我们的系统中,任意数量的属性集生成了用户的私钥。另一方面,当一方在我们的系统中对消息进行加密时,他们会在属性之上指定相关的访问结构。只有当用户的属性通过密文的访问结构时,用户才能解密密文。在数学层次上,系统的访问结构用单调的方法来描述“访问树”,其中访问结构的节点由门限门和描述属性的叶组成。我们注意到AND门可以构造为n-of-n门限门,OR门可以构造为1-of-n门限门。此外,我们还可以处理更复杂的访问控制,比如将数字范围转换为小型访问树(请参阅实现部分中的讨论以了解更多细节)。
Our techniques
在高水平上,我们的工作与Sahai和Waters[24]和最近的工作相似,Goyal等人的[15]关于基于密钥策略属性的加密(KP-ABE),但我们需要大量的新技术。在基于key-policy属性的加密中,密文与描述性属性集相关联,用户密钥与策略相关联(我们处境的反面)。我们强调,在KP-ABE中,加密者不控制谁可以访问她加密的数据,除非她为数据选择描述性属性。相反,她必须信任密钥颁发者发出适当的密钥来授予或拒绝对适当用户的访问。换句话说,在[24,15]中,假定“智能”与密钥颁发者在一起,而不是与加密者在一起。在我们的设置中,加密者必须能够智能地决定谁应该或不应该访问她加密的数据。因此,[24,15]的技术不适用于我们的环境,我们必须开发新的技术。
在技术层面上,我们必须达到的主要目标是抵制合谋:如果多个用户串通,他们只有在至少一个用户能够自己解密的情况下才能解密密文。特别地,回顾一下本文开头的例子,假设一个在旧金山反恐办公室工作的联邦调查局特工与一个在纽约腐败办公室工作的朋友勾结。我们不希望这些共谋者能够通过组合他们的属性来解密秘密备忘录。在我们的设置中,这种类型的安全是访问控制的必要条件。
在[24,15]的工作中,通过使用秘密共享方案并将独立选择的秘密股份嵌入到每个私钥中,来保证抗合谋性。由于在秘密共享方案的每次调用中所使用的随机性是独立的,因此出现了抗合谋性。在我们的场景中,用户的私钥与属性集相关联,而不是与它们之上的访问结构相关联,因此不适用秘密共享方案。
相反,我们设计了一种新的私钥随机化技术,它使用了一种新的两级随机掩蔽方法。该方法利用了具有高效可计算双线性映射的群,这是我们在通用双线性群模型中给出的安全证明的关键[6,28]
最后,我们提供了一个系统的实现,以表明我们的系统在实践中表现良好。我们提供了API和实现结构的描述。此外,我们还提供了几种优化解密性能的技术,并通过实验测量我们的性能特性。
Organization:我们论文的其余部分结构如下。在第二节中,我们将讨论相关的工作。在第3节中,我们给出了具有高效可计算双线性映射的群的定义和背景。然后在第4节给出我们的结构。然后,我们将在第5节介绍我们的实现和性能度量。最后,我们在第6节结束。
2 Related Work
Sahai和Waters[24]提出了基于属性的加密(ABE)作为加密访问控制的新方法。在基于属性的加密系统中,密文不一定要像传统的公钥密码学那样加密给一个特定的用户。相反,用户的私钥和密文将与一组属性或基于属性的策略相关联。如果用户的私钥和密文之间存在“匹配”,则用户能够解密密文。在Sahai和Waters的原始系统中,他们提出了一种阈值ABE系统,在该系统中,密文被标记为一组属性S,用户的私钥与一组阈值参数k和另一组属性S '相关联。为了让用户解密密文,密文和他的私钥之间必须至少有k个属性重叠。这样做的最初动机之一是设计一个容错(或模糊)基于身份的加密方案[27,7,12],可以使用生物识别身份。
Sahai-Waters[24]阈值ABE系统的主要缺点是,阈值语义表达能力不强,因此限制了设计更通用的系统。Goyal等人提出了一种更通用的基于属性的密钥策略加密系统。在它们的构造中,密文与一组属性相关联,用户的密钥可以与任何单调的树访问结构相关联。1 Goyal等人的构建。可以看作是Sahai-Waters技术的扩展,其中权威机构为单调访问树嵌入了更通用的秘密共享方案,而不是在私钥中嵌入Shamir[26]秘密共享方案。
最低0.47元/天 解锁文章
扫一扫
225
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
