CP-ABE和KP-ABE

CP-ABE和KP-ABE
⾸先，要明⽩⼀个概念：访问结构。

访问架构（access structure）:访问结构是安全系统研究的术语，系统的访问结构是指被授权的集合的结构。

CP-ABE(ciphertext policy attribute based encryption，密⽂策略属性基加密系统)：所谓密⽂政策加密系统是指，密⽂对应于⼀个访问结构⽽密钥对应于属性集合，解密当且仅当属性集合中的属性能够满⾜此访问结构。

这种设计⽐较接近于现实中的应⽤场景，可以假象每个⽤户根据⾃⾝条件或者属性从属性机构得到密钥，然后加密者来制定对消息的访问控制。

CP-ABE应⽤图
KP-ABE(key policy attribute based encryption，密钥策略属性基加密系统)：所谓密钥政策加密系统是指，密钥对应于⼀个访问控制⽽密⽂对应于⼀个属性集合，解密当且仅当属性集合中的属性能够满⾜此访问结构。

这种设计⽐较接近静态场景，此时密⽂⽤与其相关的属性加密存放在服务器上，当允许⽤户得到某些消息时，就分配⼀个特定的访问结构给⽤户。

KP-ABE应⽤图
CP-ABE流程
①设置：这是⼀个随机算法，输⼊隐藏的安全参数，输出公开参数PK和⼀个主密钥MK。

②加密：这是⼀个随机算法，输⼊⼀个消息m、⼀个访问结构A、公开参数PK，输出密⽂E。

③密钥⽣成：这是⼀个随机算法，输⼊⼀组属性Y、主密钥MK、公开参数PK，输出⼀个解密密钥D。

④解密算法输⼊：基于访问结构A加密的密⽂E，对应属性组Y的解密密钥D，公开参数PK。

如果Y∈A，输出X消息m。

KP-ABE流程
①设置：这是⼀个随机算法，输⼊隐藏的安全参数，输出公开参数PK和⼀个主密钥MK。

②加密：这是⼀个随机算法，输⼊⼀个消息m、⼀组属性Y、公开参数PK，输出密⽂E。

③密钥⽣成：这是⼀个随机算法，输⼊访问结构A、主密钥MK、公开参数PK，输出⼀个解密密钥D。

④解密算法输⼊：基于属性组Y加密的密⽂E，对应访问结构A的解密密钥D，公开参数PK。

如果Y∈A，输出X消息m。

1
在物联⽹的认证机制中，传感⽹的认证机制是需要研究的重要部分。

⽆线传感⽹络中的认证技术主要包括基于轻量级公钥算法的认证技术、基于预共享密钥的认证技术、基于随机密钥预分布的认证技术、利⽤辅助信息的认证技术以及基于单向散列函数的认证技术等。

(1)基于轻量级公钥算法的认证技术。

鉴于经典的公钥算法需要⾼计算量，在资源有限的⽆线传感⽹络中不具有可操作性，当前⼀些研究正致⼒于对公钥算法进⾏优化设计以使其能适应⽆线传感⽹络，但在能耗和资源⽅⾯仍存在很⼤的改进空间，如基于RSA公钥算法的Tiny PK认证⽅案和基于⾝份标识的认证算法等。

(2)基于预共享密钥的认证技术。

SNEP⽅案中提出两种配置⽅法：⼀是结点之间的共享密钥，⼆是每个结点和基站之间的共享密钥。

这类⽅案使⽤每对结点之间共享⼀个主密钥，可以在任何⼀对结点之间建⽴安全通信。

其缺点是扩展性和抗捕获能⼒较差，任意⼀结点被俘获后就会暴露密钥信息，进⽽导致全⽹络瘫痪。

(3)基于单向散列函数的认证技术。

该技术主要⽤于⼴播认证。

单向散列函数可⽣成⼀个密钥链，利⽤单向散列函数的不可逆性，保证密钥不可预测。

通过某种⽅式依次公布密钥链中的密钥，可以对消息进⾏认证。

⽬前，基于单向散列函数的⼴播认证技术主要是对TESLA协议的改进；它以TESLA协议为基础，对密钥更新过程、初始认证过程进⾏了改进，使其能够在⽆线传感器⽹络有效实施。

2
访问控制访问控制是指对⽤户合法使⽤资源的认证和控制。

⽬前，对信息系统的访问控制主要采⽤基于⾓⾊的访问控制机制( Role Based Access Control，RBAC)及其扩展模型。

RBAC机制主要由Sandhu于1996年提出的基本模型RBAC96构成，其认证过程为：⼀个⽤户先由系统分配⼀个⾓⾊，如管理员、普通⽤户等；登录系统后，根据对⽤户⾓⾊所设置的访问策略实现对资源的访问。

显然，同样的⾓⾊可以访问同样的资源。

RBAC机制是⼀种基于互联⽹的OA系统、银⾏系统、⽹上商店系统等的访问控制⽅法，是基于⽤户的。

对物联⽹⽽⾔，末端是感知⽹络，即可能是⼀个感知结点或⼀个物体，采⽤⽤户⾓⾊的形式进⾏资源控制显然不够灵活。

⼀是本⾝基于⾓⾊的访问控制在分布式⽹络环境中已呈现出不相适应的地⽅，如对具有时问约束资源的访问控制以及访问控制的多层次适应性等⽅⾯均需要进⼀步探讨；
⼆是结点不是⽤户，⽽是各类传感器或其他RBAC且种类繁多，基于⾓⾊的访问控制机制中的⾓⾊类型⽆法⼀⼀对应这些结点，因此使RBAc机制难于实现；
三是物联⽹表现的是信息的感知互动过程，包含了信息的处理、决策和控RBAC程，尤其反向控制是物物互联的特征之⼀，资源的访问呈现动态性和多层次性，⽽RBAc机制中⼀旦⽤户被指定为某种⾓⾊，其可访问的资源就相对固定了。

因此，寻求新的访问控制机制是物联⽹也是互联⽹值得研究的问题。

基于属性的访问控制( Attribute Based Access Control, ABAC)是近⼏年研究的热点，若将⾓⾊映射成⽤户的属性，可以构成ABAC与RBAC 的对等关系’⽽且属性的增加相对简单，同时基于属性的加密算法可以使ABAC得以实现。

ABAC⽅法的问题是对较少的属性来说，加密解密的效率较⾼，但随着属性数量的增加，加密的密⽂饫度将增加，使算法的实⽤性受到限制。

⽬前有两个发展⽅向，即基于密钥策略和基于密⽂策略，其⽬标均是改善基于属性的加密算法的性能。