轉載於https://www.jianshu.com/p/8d8cf34a9aa0
首先,要明白一個概念:訪問結構。
訪問架構(access structure):訪問結構是安全系統研究的術語,系統的訪問結構是指被授權的集合的結構。
CP-ABE(ciphertext policy attribute based encryption,密文策略屬性基加密系統):所謂密文政策加密系統是指,密文對應於一個訪問結構而密鑰對應於屬性集合,解密當且僅當屬性集合中的屬性能夠滿足此訪問結構。這種設計比較接近於現實中的應用場景,可以假象每個用戶根據自身條件或者屬性從屬性機構得到密鑰,然后加密者來制定對消息的訪問控制。
CP-ABE應用圖
KP-ABE(key policy attribute based encryption,密鑰策略屬性基加密系統):所謂密鑰政策加密系統是指,密鑰對應於一個訪問控制而密文對應於一個屬性集合,解密當且僅當屬性集合中的屬性能夠滿足此訪問結構。這種設計比較接近靜態場景,此時密文用與其相關的屬性加密存放在服務器上,當允許用戶得到某些消息時,就分配一個特定的訪問結構給用戶。
KP-ABE應用圖
CP-ABE流程
①設置:這是一個隨機算法,輸入隱藏的安全參數,輸出公開參數PK和一個主密鑰MK。
②加密:這是一個隨機算法,輸入一個消息m、一個訪問結構A、公開參數PK,輸出密文E。
③密鑰生成:這是一個隨機算法,輸入一組屬性Y、主密鑰MK、公開參數PK,輸出一個解密密鑰D。
④解密算法輸入:基於訪問結構A加密的密文E,對應屬性組Y的解密密鑰D,公開參數PK。
如果Y∈A,輸出X消息m。
KP-ABE流程
①設置:這是一個隨機算法,輸入隱藏的安全參數,輸出公開參數PK和一個主密鑰MK。
②加密:這是一個隨機算法,輸入一個消息m、一組屬性Y、公開參數PK,輸出密文E。
③密鑰生成:這是一個隨機算法,輸入訪問結構A、主密鑰MK、公開參數PK,輸出一個解密密鑰D。
④解密算法輸入:基於屬性組Y加密的密文E,對應訪問結構A的解密密鑰D,公開參數PK。
如果Y∈A,輸出X消息m。
1
在物聯網的認證機制中,傳感網的認證機制是需要研究的重要部分。無線傳感網絡中的認證技術主要包括基於輕量級公鑰算法的認證技術、基於預共享密鑰的認證技術、基於隨機密鑰預分布的認證技術、利用輔助信息的認證技術以及基於單向散列函數的認證技術等。
(1)基於輕量級公鑰算法的認證技術。鑒於經典的公鑰算法需要高計算量,在資源有限的無線傳感網絡中不具有可操作性,當前一些研究正致力於對公鑰算法進行優化設計以使其能適應無線傳感網絡,但在能耗和資源方面仍存在很大的改進空間,如基於RSA公鑰算法的Tiny PK認證方案和基於身份標識的認證算法等。
(2)基於預共享密鑰的認證技術。SNEP方案中提出兩種配置方法:一是結點之間的共享密鑰,二是每個結點和基站之間的共享密鑰。這類方案使用每對結點之間共享一個主密鑰,可以在任何一對結點之間建立安全通信。其缺點是擴展性和抗捕獲能力較差,任意一結點被俘獲后就會暴露密鑰信息,進而導致全網絡癱瘓。
(3)基於單向散列函數的認證技術。該技術主要用於廣播認證。單向散列函數可生成一個密鑰鏈,利用單向散列函數的不可逆性,保證密鑰不可預測。通過某種方式依次公布密鑰鏈中的密鑰,可以對消息進行認證。目前,基於單向散列函數的廣播認證技術主要是對TESLA協議的改進;它以TESLA協議為基礎,對密鑰更新過程、初始認證過程進行了改進,使其能夠在無線傳感器網絡有效實施。
2
訪問控制 訪問控制是指對用戶合法使用資源的認證和控制。目前,對信息系統的訪問控制主要采用基於角色的訪問控制機制( Role Based Access Control,RBAC)及其擴展模型。RBAC機制主要由Sandhu於1996年提出的基本模型RBAC96構成,其認證過程為:一個用戶先由系統分配一個角色,如管理員、普通用戶等;登錄系統后,根據對用戶角色所設置的訪問策略實現對資源的訪問。顯然,同樣的角色可以訪問同樣的資源。RBAC機制是一種基於互聯網的OA系統、銀行系統、網上商店系統等的訪問控制方法,是基於用戶的。
對物聯網而言,末端是感知網絡,即可能是一個感知結點或一個物體,采用用戶角色的形式進行資源控制顯然不夠靈活。
一是本身基於角色的訪問控制在分布式網絡環境中已呈現出不相適應的地方,如對具有時問約束資源的訪問控制以及訪問控制的多層次適應性等方面均需要進一步探討;
二是結點不是用戶,而是各類傳感器或其他RBAC且種類繁多,基於角色的訪問控制機制中的角色類型無法一一對應這些結點,因此使RBAc機制難於實現;
三是物聯網表現的是信息的感知互動過程,包含了信息的處理、決策和控RBAC程,尤其反向控制是物物互聯的特征之一,資源的訪問呈現動態性和多層次性,而RBAc機制中一旦用戶被指定為某種角色,其可訪問的資源就相對固定了。因此,尋求新的訪問控制機制是物聯網也是互聯網值得研究的問題。
基於屬性的訪問控制( Attribute Based Access Control, ABAC)是近幾年研究的熱點,若將角色映射成用戶的屬性,可以構成ABAC與RBAC的對等關系’而且屬性的增加相對簡單,同時基於屬性的加密算法可以使ABAC得以實現。ABAC方法的問題是對較少的屬性來說,加密解密的效率較高,但隨着屬性數量的增加,加密的密文飫度將增加,使算法的實用性受到限制。目前有兩個發展方向,即基於密鑰策略和基於密文策略,其目標均是改善基於屬性的加密算法的性能。