陳波，于泠，強(qiáng)小輝，王巖

(1. 南京師范大學(xué) 計(jì)算機(jī)學(xué)院，江蘇 南京 210023；2. 麥考瑞大學(xué) 計(jì)算機(jī)學(xué)院，悉尼 2109)

1 引言

移動(dòng)存儲(chǔ)介質(zhì)主要是指通過(guò)USB端口與計(jì)算機(jī)相連的U盤(pán)、移動(dòng)硬盤(pán)、存儲(chǔ)卡、iPod等[1]，它們具有體積小、容量大、價(jià)格低廉、方便攜帶、即插即用等特點(diǎn)，不僅在信息交換的過(guò)程中得到了廣泛應(yīng)用，也可以作為啟動(dòng)盤(pán)創(chuàng)建計(jì)算環(huán)境[2]。因此，移動(dòng)存儲(chǔ)介質(zhì)在政府、企事業(yè)單位及個(gè)人有著廣泛的應(yīng)用。

移動(dòng)存儲(chǔ)介質(zhì)在給人們帶來(lái)極大便利的同時(shí)，由于它們的丟失、被盜以及濫用也帶來(lái)了敏感(機(jī)密)信息泄露、感染和傳播惡意代碼以及與操作系統(tǒng)隱蔽交互等安全威脅[3,4]。

通過(guò)移動(dòng)存儲(chǔ)介質(zhì)泄露敏感信息是當(dāng)前一個(gè)非常突出的問(wèn)題。內(nèi)、外網(wǎng)物理隔離等安全技術(shù)從理論上來(lái)說(shuō)構(gòu)筑了一個(gè)相對(duì)封閉的網(wǎng)絡(luò)環(huán)境，使攻擊者企圖通過(guò)網(wǎng)絡(luò)攻擊來(lái)獲取重要信息的途徑被阻斷了。而移動(dòng)存儲(chǔ)介質(zhì)在內(nèi)、外網(wǎng)計(jì)算機(jī)間頻繁的數(shù)據(jù)交換，使內(nèi)、外網(wǎng)“隔而不離、藕斷絲連”，很容易造成內(nèi)網(wǎng)敏感信息的泄露。例如，一種運(yùn)行在iPod等移動(dòng)存儲(chǔ)設(shè)備中的Pod Slurping隱蔽程序，非法從企業(yè)計(jì)算機(jī)系統(tǒng)中下載敏感數(shù)據(jù)，給企業(yè)造成了巨大的損失[5]。2010年4月起，“維基解密”網(wǎng)站相繼公開(kāi)了近十萬(wàn)份關(guān)于伊拉克和阿富汗戰(zhàn)爭(zhēng)的軍事文件，給美國(guó)和英國(guó)等政府造成了極大的政治影響。經(jīng)美國(guó)軍方調(diào)查，這些文件的泄露均是由美軍前駐伊情報(bào)分析員通過(guò)移動(dòng)存儲(chǔ)介質(zhì)非法拷貝所致[6]。2013年的斯諾登事件更是讓大家關(guān)注敏感信息泄露問(wèn)題[7]。

如何有效保護(hù)移動(dòng)存儲(chǔ)介質(zhì)中的敏感信息，已經(jīng)成為一項(xiàng)重要的課題。

本文將目前針對(duì)移動(dòng)存儲(chǔ)介質(zhì)安全的研究分為兩大類(lèi)：1）安全性改造，主要是將安全控制功能集成到存儲(chǔ)設(shè)備或?qū)Ｓ迷O(shè)備中，例如將智能卡芯片和動(dòng)態(tài)隔離機(jī)制綁定到存儲(chǔ)設(shè)備中[8,9]，或是增加帶USB接口和可信運(yùn)行環(huán)境的安全板卡[10]；2）安全性增強(qiáng)，主要是通過(guò)軟件增強(qiáng)可信終端對(duì)存儲(chǔ)設(shè)備的安全控制能力。本文的研究屬于后一類(lèi)。

移動(dòng)存儲(chǔ)介質(zhì)的安全性增強(qiáng)研究包括2個(gè)方面：接入前的認(rèn)證機(jī)制和接入后對(duì)敏感信息的訪問(wèn)控制。DeviceLock[11]、北信源[12]、中興通信[13]等公司開(kāi)發(fā)的移動(dòng)存儲(chǔ)介質(zhì)安全管理產(chǎn)品中通常都采用了基于移動(dòng)存儲(chǔ)介質(zhì)唯一性標(biāo)識(shí)[14]的認(rèn)證機(jī)制。即通過(guò)識(shí)別移動(dòng)存儲(chǔ)介質(zhì)的生產(chǎn)廠商號(hào)(VID)、產(chǎn)品號(hào)(PID)以及硬件序列號(hào)(HSN)等能唯一標(biāo)識(shí)移動(dòng)存儲(chǔ)介質(zhì)身份的屬性，來(lái)完成對(duì)移動(dòng)存儲(chǔ)介質(zhì)的接入認(rèn)證。Yang等人[15]提出了一種基于Schnorr協(xié)議的對(duì)移動(dòng)存儲(chǔ)介質(zhì)的用戶進(jìn)行認(rèn)證的方案。然而，不論是基于移動(dòng)存儲(chǔ)介質(zhì)的硬件唯一性標(biāo)識(shí)還是針對(duì)用戶的認(rèn)證方案，都仍然存在一定的安全風(fēng)險(xiǎn)，在文獻(xiàn)[16]中分析了這2類(lèi)方案的安全問(wèn)題。Lee等人[17]提出了一種利用移動(dòng)設(shè)備的存儲(chǔ)和計(jì)算能力，將設(shè)備標(biāo)識(shí)及用戶身份信息加密存儲(chǔ)在設(shè)備端，由設(shè)備端發(fā)起認(rèn)證和處理的方案。該方案對(duì)于無(wú)計(jì)算能力的存儲(chǔ)介質(zhì)不適用，同時(shí)不能有效限定移動(dòng)設(shè)備在內(nèi)網(wǎng)中的使用。文獻(xiàn)[16]提出了一種將移動(dòng)存儲(chǔ)介質(zhì)與用戶身份綁定的安全認(rèn)證協(xié)議，通過(guò)可信內(nèi)網(wǎng)認(rèn)證服務(wù)器有效管理內(nèi)網(wǎng)中使用的移動(dòng)存儲(chǔ)介質(zhì)并能限定其接入的范圍。

移動(dòng)存儲(chǔ)設(shè)備通過(guò)接入認(rèn)證后，對(duì)其中敏感信息的保護(hù)目前主要采用加密的方法[15,17～19]。加密后的敏感信息只有通過(guò)接入認(rèn)證的用戶才能打開(kāi)。數(shù)據(jù)加密方法主要是采用對(duì)稱(chēng)加密機(jī)制，即為每一合法用戶分配一個(gè)對(duì)稱(chēng)加密密鑰，當(dāng)用戶接入認(rèn)證合法后，認(rèn)證服務(wù)器分配相應(yīng)的密鑰，該用戶便可利用該密鑰對(duì)需要輸出到移動(dòng)存儲(chǔ)介質(zhì)上的敏感信息進(jìn)行加密，也可以用該密鑰打開(kāi)移動(dòng)存儲(chǔ)介質(zhì)上已有的加密信息。采用對(duì)稱(chēng)加密方法在一定程度上可以避免信息的泄露，但是對(duì)于移動(dòng)存儲(chǔ)設(shè)備這類(lèi)應(yīng)用而言，由于具有存儲(chǔ)的資源文件眾多、資源使用者不確定和身份可變、使用環(huán)境多樣等特點(diǎn)，應(yīng)用對(duì)稱(chēng)加密方法存在以下2個(gè)主要安全問(wèn)題。

1) 無(wú)法適應(yīng)對(duì)每個(gè)文件進(jìn)行細(xì)粒度訪問(wèn)控制的要求。已有方法中，由于每位用戶擁有一個(gè)對(duì)稱(chēng)密鑰，因此該用戶所拷貝的文件均采用同一密鑰進(jìn)行加密，無(wú)法做到對(duì)不同密級(jí)的文件區(qū)別對(duì)待，不能滿足多密級(jí)交互的安全需求。即使采用基于公鑰基礎(chǔ)設(shè)施PKI的集中式訪問(wèn)控制方式，用戶直接與存儲(chǔ)設(shè)備交互前要先通過(guò)認(rèn)證服務(wù)器獲取相應(yīng)的權(quán)限證書(shū)(密鑰)，同時(shí)認(rèn)證服務(wù)器必須將授權(quán)信息傳送給存儲(chǔ)設(shè)備。這對(duì)于移動(dòng)存儲(chǔ)設(shè)備的應(yīng)用而言，效率問(wèn)題將極大影響移動(dòng)存儲(chǔ)介質(zhì)的使用，而且資源提供方很難一次獲取所有用戶的規(guī)模與身份，列舉用戶身份還會(huì)侵犯用戶的隱私。

2) 無(wú)法適應(yīng)移動(dòng)存儲(chǔ)設(shè)備使用環(huán)境多變對(duì)動(dòng)態(tài)訪問(wèn)控制的要求。已有方法中，只要移動(dòng)存儲(chǔ)介質(zhì)接入認(rèn)證成功后，就可以進(jìn)行文件的加解密，這是一種靜態(tài)訪問(wèn)控制方式。為了控制移動(dòng)存儲(chǔ)介質(zhì)使用的環(huán)境，通常采用后臺(tái)綁定的方式，即在系統(tǒng)初始化階段為每個(gè)移動(dòng)存儲(chǔ)介質(zhì)建立允許使用該介質(zhì)的主機(jī)Mac地址表，一旦策略發(fā)生變化，必須人工修改此表。無(wú)法做到在移動(dòng)存儲(chǔ)介質(zhì)安全使用中根據(jù)使用人(用戶)、使用地點(diǎn)(接入主機(jī)安全級(jí)別)、使用時(shí)間等可能發(fā)生的變化動(dòng)態(tài)控制用戶的訪問(wèn)權(quán)限，因而無(wú)法在保證安全性的同時(shí)又具有靈活性。

為了解決上述已有訪問(wèn)控制存在的問(wèn)題，并滿足人們對(duì)移動(dòng)存儲(chǔ)設(shè)備便捷、靈活的使用需求，需要一種新型的更適應(yīng)泛在應(yīng)用環(huán)境的訪問(wèn)控制方案。Sahai和WatersSahai提出的屬性加密(ABE,attribute-based encryption)算法[20]提供了新思路。本文在隱含密文策略的屬性加密方法的基礎(chǔ)上，通過(guò)引入格結(jié)構(gòu)描述屬性取值，并將移動(dòng)存儲(chǔ)介質(zhì)以及用戶的使用情境用格結(jié)構(gòu)屬性的形式表達(dá)。這樣，當(dāng)移動(dòng)存儲(chǔ)介質(zhì)接入認(rèn)證成功之后，根據(jù)用戶的安全級(jí)、接入主機(jī)的安全級(jí)以及使用時(shí)間等不同的安全情境，得到不同的屬性值集合，根據(jù)由此制定的訪問(wèn)策略對(duì)移動(dòng)存儲(chǔ)介質(zhì)上存取的數(shù)據(jù)進(jìn)行保護(hù)，從而實(shí)現(xiàn)細(xì)粒度的、動(dòng)態(tài)的訪問(wèn)控制。

2 隱含格結(jié)構(gòu)的屬性加密算法

2.1 屬性加密算法

屬性加密(ABE, attribute-based encryption)算法在細(xì)粒度訪問(wèn)控制領(lǐng)域具有廣闊的應(yīng)用前景[21]。這是因?yàn)?，加密用戶無(wú)需知道解密用戶的具體身份信息，而只需掌握解密用戶的一組屬性，然后在加密過(guò)程中以屬性為公鑰，將密文和用戶私鑰與屬性相關(guān)聯(lián)，解密時(shí)只有符合密文屬性要求的解密用戶才能解密消息。ABE算法不再使用傳統(tǒng)公鑰密碼體制中的公鑰證書(shū)，能夠靈活地表示訪問(wèn)控制策略，從而極大地降低了數(shù)據(jù)共享細(xì)粒度訪問(wèn)控制帶來(lái)的處理開(kāi)銷(xiāo)，比基于身份的密碼機(jī)制具有更強(qiáng)的適應(yīng)性和更好的靈活性。

最初提出的基本ABE 算法僅能支持門(mén)限訪問(wèn)控制策略，即只有解密用戶屬性集與密文屬性集相交的元素?cái)?shù)量達(dá)到系統(tǒng)規(guī)定的門(mén)限參數(shù)時(shí)才能解密。為了表示更靈活的訪問(wèn)控制策略，文獻(xiàn)[22]提出由接收方(解密用戶)制定訪問(wèn)策略的密鑰策略ABE(KP-ABE)，文獻(xiàn)[23]提出由發(fā)送方(加密用戶)規(guī)定密文訪問(wèn)策略的密文策略ABE(CP-ABE)。2類(lèi)算法分別適用于查詢(xún)類(lèi)的應(yīng)用和訪問(wèn)控制類(lèi)應(yīng)用[21]。

CP-ABE算法中，加密用戶連同密文一起發(fā)送給解密用戶的訪問(wèn)策略本身也屬于敏感信息，應(yīng)當(dāng)加以保護(hù)，同時(shí)為了避免用戶攻擊系統(tǒng)，文獻(xiàn)[24～26]分別在合數(shù)群、素?cái)?shù)群上提出了一種隱藏訪問(wèn)策略的ABE算法。在該類(lèi)算法中，加密用戶事先知道每個(gè)屬性的所有可能取值，在加密過(guò)程中通過(guò)隱藏部分子集值以達(dá)到使授權(quán)用戶有效密文和非授權(quán)用戶無(wú)效密文的不可區(qū)分性。在解密時(shí)，解密用戶只需根據(jù)密文、自己的屬性集以及私鑰就能確定是否可以解密成功，而無(wú)需知道加密時(shí)所用的訪問(wèn)策略，因?yàn)橹挥惺跈?quán)用戶的屬性對(duì)應(yīng)的密文是良性的，才能解密成功。但是，該算法要求加密用戶羅列訪問(wèn)策略所允許的全部屬性的取值，這使訪問(wèn)策略的描述冗長(zhǎng)且可理解性差，而且對(duì)于加密用戶而言也顯繁瑣，如果用戶稍有疏漏，少列舉一個(gè)本應(yīng)允許的屬性取值，將造成系統(tǒng)的誤阻止訪問(wèn)；多列舉一個(gè)本不允許的屬性取值，將造成系統(tǒng)的漏阻止訪問(wèn)，從而使整個(gè)訪問(wèn)控制系統(tǒng)失效。

在隱藏訪問(wèn)策略的基礎(chǔ)上，如何使加密用戶便捷地制定出一個(gè)可理解的、安全的訪問(wèn)策略，提高隱藏訪問(wèn)策略的ABE算法的實(shí)用性，是本文工作的一個(gè)重點(diǎn)。為此，將格結(jié)構(gòu)引入訪問(wèn)控制策略中，提出了一個(gè)隱含格結(jié)構(gòu)的新的ABE算法。新機(jī)制將每個(gè)屬性構(gòu)成線性格或子集格，屬性集構(gòu)造成一個(gè)乘積格，利用作者曾經(jīng)提出的基于格的多級(jí)信息流控制模型[27]制定訪問(wèn)策略。該方法在保持已有隱藏訪問(wèn)策略ABE算法優(yōu)點(diǎn)的同時(shí)，能有效簡(jiǎn)化訪問(wèn)控制策略的表達(dá)，更符合多級(jí)安全中敏感信息的共享，能夠?qū)崿F(xiàn)細(xì)粒度的訪問(wèn)控制。

2.2 改進(jìn)的CP-ABE算法

首先給出算法基本概念的形式化定義。

2.2.1 理論基礎(chǔ)

定義1 雙線性映射[28]。

設(shè)G1，G2是階為素?cái)?shù)p的乘法循環(huán)群，g是G1的生成元，把滿足下面性質(zhì)的映射e: G1×G1→G2稱(chēng)為雙線性映射。

1) 雙線性。對(duì)任意g,h∈G1，a,b∈Zp，都有e(ga,hb)=e(g,h)ab。

2) 非退化性。e(g,g)≠1。

3) 可計(jì)算性。對(duì)G1中任意的元素g,h，存在有效的算法可計(jì)算e(g,h)。

定義2 拉格朗日插值[20]。

對(duì)于i∈Zp，集合S?Zp，拉格朗日系數(shù)定義為對(duì)于d-1次的一個(gè)多項(xiàng)式p(x)，如果已知集合S中包含d個(gè)數(shù)，且對(duì)于S中任意的i都已知p(i)，可以通過(guò)插值還原出()px=

定義3 DBDH(decisional bilinear diffie-hellman assumption)問(wèn)題[24]。

假定挑戰(zhàn)者B通過(guò)安全參數(shù)k可以得到階為素?cái)?shù)p的乘法群G1,G2，e: G1×G1→G2為雙線性映射，g是G的生成元。對(duì)隨機(jī)選取的x,y,z∈Z*p，Z∈G2，給定(g,gx,gy,gz,Z)，要求攻擊者A區(qū)分Z與e(g,g)xyz的問(wèn)題稱(chēng)為(G1,G2,e)中的判定雙線性Diffie-Hellman問(wèn)題，即DBDH問(wèn)題。

定義4 屬性格結(jié)構(gòu)。

設(shè)A={A1, A2,…, An}是所有屬性的集合，其中n是屬性的個(gè)數(shù)。每個(gè)屬性Ai有ni個(gè)取值，用Vi={vi,1,vi,2,…,vi,ni}表示。設(shè)≤是定義在任意屬性Ai上的偏序關(guān)系，表述屬性ni個(gè)取值之間的小于等于關(guān)系，若vi,1≤vi,2≤…≤vi,ni，則(Vi,≤)是一個(gè)線性格，(V,≤)是一個(gè)乘積格，V=（{v1,*,v2,*,…,vi,*）|v1,*∈V1∧v2,*∈V2∧…∧vi,*∈Vi}。

定義5 訪問(wèn)策略。

2.2.2 算法描述

執(zhí)行本算法的實(shí)體包括3方：授權(quán)中心、加密用戶和解密用戶。算法共分4個(gè)步驟：初始化、加密、用戶密鑰生成、解密。詳細(xì)描述如下。

步驟1 初始化。

授權(quán)中心生成系統(tǒng)參數(shù)(G1,G2,p,g∈G1,e)，其中，G1,G2是階為素?cái)?shù)p的乘法循環(huán)群，g為G1的生成元，e:G1×G1→G2為雙線性映射。

選取隨機(jī)數(shù)α∈Z*p，計(jì)算Y=e(g,g)α；選取一組隨機(jī)數(shù){ai,t∈Z*p|1≤i≤n,1≤t≤ni}，使ai,t對(duì)應(yīng)于屬性Ai第t個(gè)取值，記作，則：

id為加密用戶標(biāo)識(shí)的散列值。

其中，MK為系統(tǒng)主密鑰，PK為公開(kāi)密鑰。

步驟2 加密WM=Encrypt(PK, EK, M, W)。

步驟3 用戶密鑰生成SKU=KeyGen(MK, LU)。

步驟4 解密M=Decrypt(WM, SKU)。

解密用戶U無(wú)需知道訪問(wèn)策略W，只要使用自己的屬性集合LU和私鑰SKU解密密文WM，得到明文M。

2.2.3 算法分析

1) 正確性

如果該解密用戶的屬性集合滿足訪問(wèn)策略W={w1,w2,…wn|wi∈Vi,1≤i≤n}，則必存在集合，使得又因?yàn)楫?dāng)wi＜vi,t時(shí)，Ci,t=Ei,t，因此，在集合T中，滿足t=max(tj)且e(Ci,t,Di,t)≠E的vi,t定等于wi。因此，取到

所以解密成功。

如果該解密用戶的屬性集合不滿足訪問(wèn)策略，則wi?T，取到

Ci={Ci,t=Xi,t|1≤i≤n}}，Xi,t為隨機(jī)數(shù)，1≤i≤n，因此無(wú)法正確解密。

2) 安全性

① 安全模型。本文采用文獻(xiàn)[24]的方法，通過(guò)攻擊者A和挑戰(zhàn)者B之間的游戲(博弈)來(lái)定義安全模型。

預(yù)備階段：攻擊者A向挑戰(zhàn)者B提交需要挑戰(zhàn)的兩個(gè)訪問(wèn)控制策略W0和W1。

初始化階段：挑戰(zhàn)者B運(yùn)行系統(tǒng)初始化算法生成PK。

第一階段：攻擊者A向挑戰(zhàn)者B進(jìn)行有關(guān)屬性集合LA的私鑰詢(xún)問(wèn)。挑戰(zhàn)者B向攻擊者A返回私鑰SKA。此階段要求LA?W0和LA?W1或者LA?/W0和LA?/W1，同時(shí)攻擊者A可做重復(fù)詢(xún)問(wèn)。

挑戰(zhàn)：攻擊者A提交2個(gè)消息M0和M1，挑戰(zhàn)者B隨機(jī)選擇ga∈{0,1},在訪問(wèn)策略Wga的條件下，對(duì)Mga進(jìn)行加密Encrypt(PK,EK, Mga,Wga)，并將密文返回給攻擊者A。在此階段，如果LA?W0and LA?W1，則要求M0=M1。

第二階段：重復(fù)第一階段。

猜測(cè)：攻擊者A輸出對(duì)ga的猜測(cè)ga'。

攻擊者A獲得游戲勝利的優(yōu)勢(shì)為Pr[ga'=ga]-1/2。

定義6 隱含格結(jié)構(gòu)的ABE算法是安全的，當(dāng)且僅當(dāng)在多項(xiàng)式時(shí)間內(nèi)，所有的有效攻擊者最多能以不可忽略的優(yōu)勢(shì)贏得上述游戲。

② 安全性證明。假設(shè)攻擊者A在游戲Game1和Game0中的優(yōu)勢(shì)有不可忽略的差異ε，則可以構(gòu)造一個(gè)挑戰(zhàn)者B以ε的優(yōu)勢(shì)解決DBDH問(wèn)題。類(lèi)似文獻(xiàn)[24]的方法，挑戰(zhàn)者B構(gòu)造方法如下。

在預(yù)備階段：

攻擊者A向挑戰(zhàn)者B提交2個(gè)訪問(wèn)控制策略W0和W1。

初始化階段：

挑戰(zhàn)者B設(shè)置G1,G2，雙線性映射e以及生成g。隨機(jī)選取x,y,z∈Z*p,ga∈{0,1}：

當(dāng)ga=0時(shí)，進(jìn)行游戲Game0，此時(shí)取(gx,gy,gz,e(g,g)xyz)；

當(dāng)ga=1時(shí)，進(jìn)行游戲Game1，此時(shí)取(gx,gy,gz,e(g,g)δ)，其中δ為隨機(jī)數(shù)。

挑戰(zhàn)者B隨機(jī)選取任意α′∈Z*p，記α=xy+α′，則Y=e(g,g)xy+α′。

對(duì)于每個(gè)屬性Ai，隨機(jī)選取值ki,t(1,in≤≤，將公鑰PK返回給攻擊者A。

第一階段：攻擊者A選擇屬性集合LA進(jìn)行私鑰詢(xún)問(wèn)。此時(shí)若，則在下一步挑戰(zhàn)階段，M0=M1，攻擊者A在Game0和Game1中就無(wú)優(yōu)勢(shì)差異，因此此階段僅需考慮的情況。

挑戰(zhàn)者B隨機(jī)選取任意s′∈Z*p，記s=xy+s′y，計(jì)算私鑰SKA。

將私鑰 ＜D0,E,{Di,t|1≤i≤n,1≤t≤ni}＞ 返回給A。

挑戰(zhàn)：

攻擊者A選擇2個(gè)消息M0和M1，挑戰(zhàn)者B隨機(jī)選取ga∈{0,1}對(duì)Mga進(jìn)行加密。

第二階段：與第一階段相同，繼續(xù)私鑰的詢(xún)問(wèn)。

猜測(cè)：

攻擊者A輸出對(duì)ga的猜測(cè)ga'，如果ga' = ga，挑戰(zhàn)者B輸出1；否則，挑戰(zhàn)者B輸出結(jié)果為0。根據(jù)假設(shè)，在游戲Game1中攻擊者A猜測(cè)正確的概率比在Game0中猜測(cè)正確的概率有ε優(yōu)勢(shì)，因此構(gòu)造的挑戰(zhàn)者B可以ε的優(yōu)勢(shì)解決DBDH假設(shè)。

3) 訪問(wèn)策略的簡(jiǎn)潔性

與文獻(xiàn)[24～26]相比，本文給出的算法簡(jiǎn)化了訪問(wèn)策略，縮短了策略長(zhǎng)度。

在文獻(xiàn)[28]中，訪問(wèn)策略中用操作符“與”連接不同的屬性，用“或門(mén)”連接同一個(gè)屬性的不同取值，如

在這種表達(dá)策略的方式下，由于屬性取值間沒(méi)有內(nèi)在關(guān)系，因此必須羅列出所有允許的屬性取值，這勢(shì)必增加訪問(wèn)策略的長(zhǎng)度，且容易造成本文2.1節(jié)所指出的誤阻止訪問(wèn)和漏阻止訪問(wèn)問(wèn)題。

本文借鑒基于格的多級(jí)信息流控制模型中對(duì)主體和客體安全級(jí)別的表達(dá)方式，在定義4中將屬性集組成一個(gè)格結(jié)構(gòu)，根據(jù)信息由低密級(jí)流向高密級(jí)時(shí)不會(huì)發(fā)生信息泄露的原則，可以看出只有當(dāng)用戶U的屬性級(jí)別高于等于密文級(jí)別時(shí)，文件能被解密才是安全的。由此，在訪問(wèn)策略中僅需給出每個(gè)屬性所允許的最小取值即可，如上述訪問(wèn)控制策略就可簡(jiǎn)化為

本文提出的算法在保持傳統(tǒng)隱藏訪問(wèn)策略CP-ABE算法的優(yōu)點(diǎn)的同時(shí)，能有效簡(jiǎn)化訪問(wèn)控制策略的制定，并在一定程度上減少加密時(shí)的指數(shù)運(yùn)算。表1給出了在最壞情況下本文算法與文獻(xiàn)[24～26]中隱藏訪問(wèn)策略CP-ABE算法的比較，其中|A|表示屬性總個(gè)數(shù)，|V|表示|A|個(gè)屬性所有可能的取值，|W|表示策略長(zhǎng)度，有|V|≥|W|≥|A|。

3 移動(dòng)存儲(chǔ)介質(zhì)的情境訪問(wèn)控制

移動(dòng)存儲(chǔ)設(shè)備這類(lèi)應(yīng)用具有存儲(chǔ)的資源文件眾多、資源使用者不確定和身份可變、使用環(huán)境多樣等特點(diǎn)。目前對(duì)移動(dòng)存儲(chǔ)介質(zhì)所采用的、接入認(rèn)證后對(duì)敏感信息進(jìn)行加密的訪問(wèn)控制方法是一種粗粒度的、靜態(tài)的訪問(wèn)控制方法，已不能滿足人們對(duì)移動(dòng)存儲(chǔ)設(shè)備的安全性兼顧便捷性和靈活性的需求。為此，本文提出了情境訪問(wèn)控制的方法，并應(yīng)用于移動(dòng)存儲(chǔ)介質(zhì)的安全性管理。

表1 本文算法與文獻(xiàn)[24～26]的比較(最壞情況下)

3.1 情境訪問(wèn)控制方法

3.1.1 情境訪問(wèn)控制

CP-ABE算法顛覆了傳統(tǒng)公私鑰加密算法中，明文公鑰加密后只能由唯一的私鑰才能解密的思想。算法中，由數(shù)據(jù)創(chuàng)建者利用訪問(wèn)控制策略對(duì)數(shù)據(jù)進(jìn)行加密，而每個(gè)數(shù)據(jù)訪問(wèn)者均有一個(gè)與自身特質(zhì)相對(duì)應(yīng)的解密密鑰，只要該數(shù)據(jù)訪問(wèn)者的特質(zhì)與訪問(wèn)控制策略相符，那他所擁有的密鑰就能進(jìn)行解密操作。

資源創(chuàng)建者在將敏感文檔寫(xiě)入到移動(dòng)存儲(chǔ)設(shè)備之前，利用訪問(wèn)控制策略對(duì)文檔進(jìn)行加密；資源訪問(wèn)者首先根據(jù)自身的屬性產(chǎn)生解密密鑰，然后對(duì)密文資源進(jìn)行解密，此時(shí)只有訪問(wèn)者自身屬性滿足訪問(wèn)控制策略時(shí)，解密才能成功，從而實(shí)現(xiàn)了對(duì)資源的訪問(wèn)控制。例如，資源創(chuàng)建者采用樹(shù)形結(jié)構(gòu)來(lái)定義訪問(wèn)控制策略，他要求只有屬于部門(mén)1的經(jīng)理或銷(xiāo)售員才能解密文件。若訪問(wèn)者UA的屬性是{部門(mén)1，經(jīng)理}，訪問(wèn)者UB的屬性是{部門(mén)1，銷(xiāo)售}，因此訪問(wèn)者UA、UB均可以解密文件正常訪問(wèn)，而若訪問(wèn)者UC的屬性是{部門(mén)2，經(jīng)理}，其屬性不符合訪問(wèn)控制策略，從而無(wú)法正常解密訪問(wèn)文件。從上述描述可以看出CP-ABE算法最突出的優(yōu)點(diǎn)是明文加密后，可有多個(gè)符合解密訪問(wèn)策略的解密密鑰進(jìn)行解密，因此這樣的算法適用于移動(dòng)存儲(chǔ)介質(zhì)這種泛在環(huán)境下的應(yīng)用情況。

在CP-ABE算法的應(yīng)用中，通常選取訪問(wèn)者固有的屬性來(lái)表達(dá)訪問(wèn)者的特質(zhì)，如訪問(wèn)者單位、身份等，而不考慮訪問(wèn)操作執(zhí)行時(shí)的情境。為了滿足移動(dòng)存儲(chǔ)設(shè)備既安全又靈活的使用需求，需要在不同情境下動(dòng)態(tài)控制用戶的訪問(wèn)權(quán)限。為此，本文采用第2節(jié)提出的隱含格結(jié)構(gòu)ABE算法，選取移動(dòng)存儲(chǔ)設(shè)備和用戶的使用情境作為屬性構(gòu)建訪問(wèn)策略。當(dāng)移動(dòng)存儲(chǔ)介質(zhì)接入認(rèn)證成功之后，根據(jù)它當(dāng)時(shí)所處的安全情境(例如用戶的安全級(jí)別、接入主機(jī)的安全級(jí)別以及接入時(shí)間等)，得到實(shí)時(shí)的屬性值集合，從而實(shí)現(xiàn)基于用戶安全級(jí)別、使用時(shí)間、使用環(huán)境等情境的動(dòng)態(tài)的訪問(wèn)控制，本文稱(chēng)之為情境訪問(wèn)控制。這樣可在無(wú)需修改訪問(wèn)控制策略的基礎(chǔ)上，訪問(wèn)控制隨著用戶所處實(shí)時(shí)情境進(jìn)行適應(yīng)性變化，以動(dòng)態(tài)控制用戶的訪問(wèn)權(quán)限，在保證安全性的同時(shí)又具有很高的靈活性。

3.1.2 移動(dòng)存儲(chǔ)介質(zhì)使用情境的格化

為了能根據(jù)當(dāng)前使用移動(dòng)存儲(chǔ)介質(zhì)的情境進(jìn)行動(dòng)態(tài)訪問(wèn)控制，需要將情境用一個(gè)格結(jié)構(gòu)的屬性集來(lái)表達(dá)。

定義7 使用情境。

移動(dòng)存儲(chǔ)介質(zhì)的使用情境由用戶安全級(jí)、接入主機(jī)安全級(jí)以及使用時(shí)間安全級(jí)構(gòu)成，即

其中，Au為用戶安全級(jí)別集合，≤是定義在Au上的運(yùn)算，表示安全級(jí)別之間的小于等于關(guān)系，則(Au, ≤)是一個(gè)線性格，同時(shí)(Al, ≤)和(At, ≤)也為線性格。使用情境(Context,≤)為一個(gè)乘積格，1context≤context2，當(dāng)且僅當(dāng)

根據(jù)基于格的多級(jí)信息流控制模型[27]，為使敏感信息不泄露，一個(gè)主體可以訪問(wèn)一個(gè)信息，當(dāng)且僅當(dāng)該主體的安全級(jí)別至少與該信息的安全級(jí)別一樣高。因此，為了防止移動(dòng)存儲(chǔ)介質(zhì)中的信息泄露，必須滿足即：讀取文件時(shí)的情境安全級(jí)別至少與該文件存入移動(dòng)存儲(chǔ)介質(zhì)時(shí)情境的安全級(jí)別一樣高。

表2給出了各情境屬性的取值。將這些情境參數(shù)作為隱含格結(jié)構(gòu)ABE算法中的屬性，就可以進(jìn)行信息的訪問(wèn)控制。

表2 各情境屬性的取值

3.1.3 信息存取控制

為了提高效率，本文并未采用提出的隱含格結(jié)構(gòu)ABE算法直接對(duì)文件進(jìn)行加密，而是為每個(gè)需要加密的文件File生成一個(gè)基于AES的對(duì)稱(chēng)密鑰Key，用Key對(duì)File進(jìn)行對(duì)稱(chēng)加密，然后用隱含格結(jié)構(gòu)ABE算法對(duì)Key進(jìn)行加密，最后將加密后的Key和加密后的文件作為一個(gè)密文整體存入移動(dòng)存儲(chǔ)介質(zhì)中。解密時(shí)，首先利用隱含格結(jié)構(gòu)ABE算法解密得到Key，然后用Key再解密文件即可。

3.2 移動(dòng)存儲(chǔ)介質(zhì)分層防護(hù)方案

本文運(yùn)用系統(tǒng)安全的整體性及分層性防護(hù)的原則，將外接移動(dòng)存儲(chǔ)設(shè)備、終端用戶、可信內(nèi)網(wǎng)整體納入安全管理和控制中，從以往的應(yīng)用單點(diǎn)安全設(shè)備控制拓展到整個(gè)可信域及邊界的安全控制。如圖1所示，將移動(dòng)存儲(chǔ)介質(zhì)的使用分為接入的前、中、后3個(gè)階段，通過(guò)對(duì)移動(dòng)存儲(chǔ)介質(zhì)的接入認(rèn)證、健康檢測(cè)、權(quán)限管理以及最終的情境訪問(wèn)控制等安全措施，來(lái)完成多級(jí)安全中敏感信息的防護(hù)。

圖1 移動(dòng)存儲(chǔ)介質(zhì)敏感信息分層防護(hù)

1) 接入前的階段主要是進(jìn)行接入認(rèn)證。

2) 接入中的階段是指移動(dòng)存儲(chǔ)介質(zhì)通過(guò)合法身份認(rèn)證后，可正常接入主機(jī)，但還不能進(jìn)行任何操作的時(shí)間段。本階段主要解決的問(wèn)題是健康狀態(tài)檢測(cè)。健康狀態(tài)包括對(duì)接入終端主機(jī)及移動(dòng)存儲(chǔ)介質(zhì)雙方的檢測(cè)。這是因?yàn)?，移?dòng)存儲(chǔ)介質(zhì)使用范圍較廣，不可避免地會(huì)出現(xiàn)在外網(wǎng)使用時(shí)感染計(jì)算機(jī)病毒的情況。同樣，如果接入終端存在病毒或惡意程序，也會(huì)影響移動(dòng)存儲(chǔ)介質(zhì)的安全性。

3) 接入后的階段是指根據(jù)健康狀態(tài)的檢測(cè)結(jié)果，賦予移動(dòng)存儲(chǔ)介質(zhì)相應(yīng)的權(quán)限，包括拒絕、只讀以及讀寫(xiě)。

移動(dòng)存儲(chǔ)介質(zhì)獲得相應(yīng)權(quán)限后，就可以進(jìn)行正常的操作。鑒于移動(dòng)存儲(chǔ)介質(zhì)主要的功能是進(jìn)行信息的存取，因此，對(duì)移動(dòng)存儲(chǔ)介質(zhì)中信息的訪問(wèn)控制是確保移動(dòng)存儲(chǔ)介質(zhì)安全使用的關(guān)鍵點(diǎn)。當(dāng)將接入終端上的文件存入移動(dòng)存儲(chǔ)介質(zhì)時(shí)，對(duì)文件進(jìn)行加密；當(dāng)從移動(dòng)存儲(chǔ)介質(zhì)中讀取文件時(shí)，只有符合條件時(shí)，才能正確解密并獲得相應(yīng)的明文。

防護(hù)系統(tǒng)主要工作流程如圖2所示。系統(tǒng)包含5個(gè)實(shí)體，分別為：移動(dòng)存儲(chǔ)介質(zhì)(M)、用戶(U)、接入終端主機(jī)(C)、接入認(rèn)證服務(wù)器(AS)以及授權(quán)服務(wù)器(PS)。其中接入認(rèn)證服務(wù)器負(fù)責(zé)接入認(rèn)證，接入終端主機(jī)負(fù)責(zé)進(jìn)行健康檢測(cè)，授權(quán)服務(wù)器負(fù)責(zé)權(quán)限的分配。

系統(tǒng)分層防護(hù)的主要工作流程如下。

步驟1 移動(dòng)存儲(chǔ)介質(zhì)要求與終端主機(jī)連接，終端主機(jī)讀取移動(dòng)存儲(chǔ)介質(zhì)中的數(shù)字證書(shū)(1a)并接受用戶輸入用戶名和密碼(1b)。

步驟2 接入終端將數(shù)字證書(shū)、用戶信息以及自身信息提交給認(rèn)證服務(wù)器。

圖2 系統(tǒng)框架及流程

步驟3 認(rèn)證服務(wù)器根據(jù)收到的信息，進(jìn)行接入認(rèn)證，并將認(rèn)證結(jié)果返回給接入終端主機(jī)(3a)，同時(shí)若認(rèn)證成功，認(rèn)證服務(wù)器向授權(quán)服務(wù)器轉(zhuǎn)發(fā)屬性證書(shū)請(qǐng)求(3b)。

步驟4 接入終端主機(jī)根據(jù)收到的認(rèn)證結(jié)果，執(zhí)行對(duì)移動(dòng)存儲(chǔ)介質(zhì)的接入控制。

步驟5 授權(quán)服務(wù)器收到屬性證書(shū)請(qǐng)求后，下發(fā)健康狀態(tài)檢測(cè)器。

步驟6 接入主機(jī)收到下發(fā)健康檢測(cè)器后進(jìn)行相應(yīng)檢測(cè)，并將檢測(cè)結(jié)果送給權(quán)限服務(wù)器。

步驟7 權(quán)限服務(wù)器根據(jù)健康狀態(tài)檢測(cè)結(jié)果賦予介質(zhì)相應(yīng)的權(quán)限集。

步驟8 當(dāng)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行具體文件的存取時(shí)，進(jìn)行加解密操作。

3.2.1 接入認(rèn)證

針對(duì)目前移動(dòng)存儲(chǔ)介質(zhì)接入認(rèn)證機(jī)制均存在的安全性問(wèn)題，作者提出了一種基于用戶與存儲(chǔ)介質(zhì)綁定的雙因子認(rèn)證方法，該方法既考慮用戶信息，也認(rèn)證物理特性，能很好地做到用戶和移動(dòng)存儲(chǔ)介質(zhì)的綁定。相關(guān)技術(shù)細(xì)節(jié)已在文獻(xiàn)[16]中介紹，本文不再贅述。

3.2.2 健康狀態(tài)檢測(cè)及權(quán)限分配

健康狀態(tài)檢測(cè)由授權(quán)服務(wù)器下發(fā)的健康狀態(tài)檢測(cè)器對(duì)移動(dòng)存儲(chǔ)介質(zhì)和接入終端主機(jī)的健康狀態(tài)進(jìn)行檢測(cè)。

定義8 健康指數(shù)。

健康狀態(tài)用量化的健康指數(shù)H(x)表達(dá)。H(M)表示移動(dòng)存儲(chǔ)介質(zhì)M的健康指數(shù)，為

H(C)表示接入終端主機(jī)C的健康指數(shù)為

其中，h1(C)表示木馬指數(shù)，h2(C)表示病毒指數(shù)，h3(C)表示未打補(bǔ)丁指數(shù)，h4(C)表示自啟項(xiàng)指數(shù)，且hi(C)∈[0,0.1,0.2,…,1],i∈[1,4]表示各類(lèi)的危害程度，危害越大取值越大。

定義9 移動(dòng)存儲(chǔ)介質(zhì)權(quán)限集。

當(dāng)移動(dòng)存儲(chǔ)介質(zhì)中檢測(cè)出惡意代碼，該移動(dòng)存儲(chǔ)介質(zhì)將無(wú)法使用，否則，根據(jù)接入主機(jī)的健康狀態(tài)賦予移動(dòng)存儲(chǔ)介質(zhì)相應(yīng)的讀(R)、寫(xiě)(W)權(quán)限。移動(dòng)存儲(chǔ)介質(zhì)權(quán)限集用ACC(M)表示為

3.2.3 情境訪問(wèn)控制流程

下面以用戶U利用移動(dòng)存儲(chǔ)介質(zhì)M在接入終端主機(jī)C上存取文件File為例，描述信息存取訪問(wèn)控制技術(shù)的實(shí)現(xiàn)細(xì)節(jié)。

首先，介紹在存取控制中用到的存儲(chǔ)介質(zhì)權(quán)限表、用戶安全級(jí)別表、主機(jī)安全級(jí)別表以及文件屬性表。這4類(lèi)表格均存儲(chǔ)在授權(quán)服務(wù)器上，存儲(chǔ)介質(zhì)權(quán)限表在對(duì)介質(zhì)進(jìn)行健康檢測(cè)后的權(quán)限分配階段產(chǎn)生，表中包括“移動(dòng)存儲(chǔ)介質(zhì)唯一性標(biāo)識(shí)”、“權(quán)限”和“時(shí)間戳”3項(xiàng)內(nèi)容?！皺?quán)限”根據(jù)健康狀態(tài)檢測(cè)結(jié)果動(dòng)態(tài)給出，“時(shí)間戳”用于記錄最新權(quán)限賦予的時(shí)間。

在用戶注冊(cè)階段，系統(tǒng)會(huì)為每個(gè)用戶在用戶安全級(jí)別表中生成一條記錄，格式為：{用戶id，安全級(jí)別，時(shí)間戳}，其中安全級(jí)別取值如表2所示。系統(tǒng)根據(jù)用戶行為可隨時(shí)調(diào)整該用戶的安全級(jí)別，調(diào)整時(shí)間以時(shí)間戳方式記錄。

系統(tǒng)在初始化階段會(huì)根據(jù)主機(jī)所在部門(mén)等因素，為每臺(tái)主機(jī)在主機(jī)安全級(jí)別表中生成一條記錄，格式為：{主機(jī)Mac，安全級(jí)別，時(shí)間戳}，其中安全級(jí)別取值如表2所示。系統(tǒng)可根據(jù)健康狀態(tài)檢測(cè)的結(jié)果，調(diào)整主機(jī)的安全級(jí)別，調(diào)整時(shí)間以時(shí)間戳方式記錄。

當(dāng)每個(gè)文件被創(chuàng)建或修改時(shí)，系統(tǒng)會(huì)在文件屬性表中為此文件建立一條記錄，格式為：{文件名，創(chuàng)建者或最終修改者id，時(shí)間戳}。

1) 存入文件

步驟1 C向PS發(fā)送操作請(qǐng)求，請(qǐng)求協(xié)議格式為：Write|Id(M)|File|Mac(C)。其中Write表示操作類(lèi)型為向移動(dòng)存儲(chǔ)介質(zhì)M中存入文件，Id(M)表示移動(dòng)存儲(chǔ)介質(zhì)唯一性標(biāo)識(shí)，F(xiàn)ile表示需存入的文件名，Mac(C)表示接入終端主機(jī)C的網(wǎng)卡硬件地址。

步驟2 PS收到操作請(qǐng)求后，利用Id(M)查看移動(dòng)存儲(chǔ)介質(zhì)權(quán)限表中Id(M)所對(duì)應(yīng)的權(quán)限，如無(wú)此權(quán)限，返回DENY；若有此權(quán)限，則查看相應(yīng)文件屬性表和用戶安全級(jí)別表得到相應(yīng)文件的Au屬性值，查看主機(jī)安全級(jí)別表得到相應(yīng)主機(jī)的Al屬性值，然后根據(jù)系統(tǒng)時(shí)間得到相應(yīng)的At屬性值。返回當(dāng)前訪問(wèn)情境

步驟4 C將WK與EKey(File)作為一個(gè)密文整體寫(xiě)入M中。

2) 讀取文件

步驟1 C向PS發(fā)送操作請(qǐng)求，請(qǐng)求協(xié)議格式為：Read|Id(M)|Id(U)|Mac(C)。

步驟2 PS收到操作請(qǐng)求后，利用Id(M)查看移動(dòng)存儲(chǔ)介質(zhì)權(quán)限表中相應(yīng)Id(M)所對(duì)應(yīng)權(quán)限，如無(wú)此權(quán)限，返回DENY；若有此權(quán)限，則PS根據(jù)相應(yīng)用戶安全級(jí)別表得到試圖讀取文件的用戶Au屬性值，查看主機(jī)安全級(jí)別表得到相應(yīng)主機(jī)的Al屬性值，根據(jù)系統(tǒng)時(shí)間得到相應(yīng)的At屬性值。由此產(chǎn)生試圖讀取該文件的用戶屬性，然后采用隱含格結(jié)構(gòu)的ABE算法產(chǎn)生解密私鑰SK=KeyGen(MK,L)，并將其返回給C。

步驟3 C收到解密私鑰后，首先讀取密文首部，獲得對(duì)稱(chēng)密鑰密文WK，然后用私鑰對(duì)其解密得Key= Decrypt(WK,SK)。最后用解密后的對(duì)稱(chēng)密鑰對(duì)文件密文解密DKey(EKey(File))。

3.3 方案分析

本文所提出的方案能很好地實(shí)現(xiàn)移動(dòng)存儲(chǔ)介質(zhì)信息存取的訪問(wèn)控制，具有良好的安全性、靈活性及效率。

1) 安全性

移動(dòng)存儲(chǔ)介質(zhì)在使用過(guò)程當(dāng)中，遭受的攻擊主要有冒用攻擊、擺渡攻擊以及濫用攻擊[16]。下面針對(duì)這3類(lèi)攻擊，分析本文所提出方案的安全性。

① 冒用攻擊。冒用攻擊主要手段有：改變用戶和偽造移動(dòng)存儲(chǔ)介質(zhì)。所謂改變用戶是指對(duì)于一個(gè)屬于用戶UA的移動(dòng)存儲(chǔ)介質(zhì)M，被用戶UB獲得后，用戶UB試圖得到合法的使用權(quán)限；偽造移動(dòng)存儲(chǔ)介質(zhì)是指用戶用未注冊(cè)過(guò)的移動(dòng)存儲(chǔ)介質(zhì)取代合法注冊(cè)過(guò)的移動(dòng)存儲(chǔ)介質(zhì)，以期能得到合法的使用權(quán)限。

為了抵抗此類(lèi)攻擊，本文所給方案在移動(dòng)存儲(chǔ)介質(zhì)接入前采用了雙因子認(rèn)證技術(shù)，即綜合了移動(dòng)存儲(chǔ)介質(zhì)唯一性標(biāo)識(shí)和用戶信息。只有當(dāng)一個(gè)合法用戶將一個(gè)合法的移動(dòng)存儲(chǔ)介質(zhì)接入系統(tǒng)，才能獲得合法性認(rèn)證，否則，移動(dòng)存儲(chǔ)介質(zhì)將無(wú)法接入系統(tǒng)。限于篇幅，本文不再對(duì)雙因子認(rèn)證技術(shù)展開(kāi)說(shuō)明，文獻(xiàn)[16]中有詳細(xì)闡述。

② 擺渡攻擊。擺渡攻擊一般通過(guò)擺渡木馬將可信系統(tǒng)內(nèi)部的敏感文件隱蔽寫(xiě)入移動(dòng)存儲(chǔ)設(shè)備中，一旦該移動(dòng)存儲(chǔ)設(shè)備再接入到連接互聯(lián)網(wǎng)的計(jì)算機(jī)上，木馬就會(huì)將這些敏感文件自動(dòng)發(fā)送到指定計(jì)算機(jī)中。

為了抵抗此類(lèi)攻擊，本文所給方案在移動(dòng)存儲(chǔ)介質(zhì)接入中，采用了動(dòng)態(tài)授權(quán)技術(shù)，即先對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行健康狀態(tài)的檢測(cè)，然后根據(jù)此時(shí)移動(dòng)存儲(chǔ)介質(zhì)的健康指數(shù)，分配相應(yīng)的權(quán)限。根據(jù)3.2.2節(jié)中的描述，當(dāng)移動(dòng)存儲(chǔ)介質(zhì)中存在擺渡木馬時(shí)，移動(dòng)存儲(chǔ)介質(zhì)的健康指數(shù)H(M)必等于1，根據(jù)權(quán)限分配方案，此時(shí)移動(dòng)存儲(chǔ)介質(zhì)權(quán)限集ACC(M)=DENY，說(shuō)明此時(shí)的移動(dòng)存儲(chǔ)介質(zhì)不能進(jìn)行任何讀寫(xiě)操作，因此，擺渡木馬便無(wú)法將敏感文件寫(xiě)入移動(dòng)存儲(chǔ)設(shè)備中，從而抵抗擺渡攻擊。

③ 濫用攻擊。本文所謂濫用攻擊是指一個(gè)合法的用戶將一個(gè)合法的移動(dòng)存儲(chǔ)介質(zhì)接入系統(tǒng)后，在不合法的情境中進(jìn)行了文件的讀取，從而導(dǎo)致敏感信息的泄露。

為了抵抗此類(lèi)攻擊，本文所給方案在移動(dòng)存儲(chǔ)介質(zhì)接入后，根據(jù)它所處的安全情境不同，利用隱含格結(jié)構(gòu)的ABE算法對(duì)文件進(jìn)行加解密，從而有效防止了信息從高密級(jí)的使用環(huán)境流向低密級(jí)的使用環(huán)境而造成信息的泄露。

為了清晰地介紹本文提出方案的安全性及應(yīng)用效果，下面以一個(gè)簡(jiǎn)化的實(shí)例加以說(shuō)明。

在正常工作時(shí)間，當(dāng)用戶U在主機(jī)C(Mac=44-45-53-54-00-00)上接入移動(dòng)存儲(chǔ)介質(zhì)M(id=43278)后，假設(shè)接入認(rèn)證通過(guò)，且權(quán)限分配為RW，此時(shí)用戶U需將主機(jī)中名為abc.doc的文件拷貝至M中。此時(shí)用戶安全級(jí)別、主機(jī)安全級(jí)別以及文件屬性如表3～表5所示。

表3 用戶安全級(jí)別

表4 文件屬性

表5 主機(jī)安全級(jí)別

C向PS發(fā)出操作請(qǐng)求：Write|43278|abc.doc|44-45-53-54-00-00。PS根據(jù)上述各表的情況得出當(dāng)前情境取值：Context=(2,2,2)并將此結(jié)果返回給C，C用密鑰Key對(duì)文件abc.doc進(jìn)行AES加密，然后利用訪問(wèn)策略W=(2,2,2)對(duì)Key進(jìn)行加密得WK，最后將WK和密文作為整體存入M中。

此后，當(dāng)用戶U(id=908)將存有該秘密信息的M在另一正常工作時(shí)間接入終端主機(jī)C(Mac=F0-DE-F1-5F-18-5A)時(shí)(假設(shè)接入認(rèn)證通過(guò)，且權(quán)限分配為RW)，若要讀取此密文信息，必須發(fā)送操作請(qǐng)求：Read|43278|908| F0-DE-F1-5F-18-5A至PS，PS根據(jù)上述表格，可得當(dāng)前用戶的屬性L=(2,1,2)，由此計(jì)算出解密私鑰SK，并返回給U。但由于L中的第2項(xiàng)小于W中的第2項(xiàng)，根據(jù)隱含格結(jié)構(gòu)的ABE算法可知，此時(shí)的用戶屬性L是不滿足訪問(wèn)策略W的，因此用戶U利用此私鑰將無(wú)法正確解密得到Key，從而也無(wú)法還原明文abc.doc。這樣就確保了不會(huì)因信息從高密級(jí)的使用環(huán)境流向低密級(jí)使用環(huán)境而造成信息的泄露。

2) 靈活性

由于本文的方案采用基于用戶安全級(jí)別、使用時(shí)間、使用環(huán)境等情境屬性進(jìn)行加解密，因此對(duì)文件的存取能做到細(xì)粒度的控制，這比目前普遍采用的一個(gè)用戶擁有一個(gè)對(duì)稱(chēng)密鑰，只要是該用戶進(jìn)行存取時(shí)都采用統(tǒng)一密鑰的方法控制粒度更細(xì)。

再者，移動(dòng)存儲(chǔ)介質(zhì)的一個(gè)重要功能是信息交換，在目前已有的方案中，為了控制移動(dòng)存儲(chǔ)介質(zhì)使用的環(huán)境，通常采用后臺(tái)綁定的方式，即在系統(tǒng)初始化階段為每個(gè)移動(dòng)存儲(chǔ)介質(zhì)建立允許使用該介質(zhì)的主機(jī)MAC地址表，一旦策略發(fā)生變化，必須人工修改此表。而本文提出的情境訪問(wèn)控制方法，可在無(wú)需修改訪問(wèn)控制策略的基礎(chǔ)上，訪問(wèn)控制隨著用戶所處實(shí)時(shí)情境進(jìn)行適應(yīng)性變化，以動(dòng)態(tài)控制用戶是否可以讀取相應(yīng)安全級(jí)別的信息，這樣，在保證安全性的同時(shí)又具有很高的靈活性。

3) 效率

本文提出的隱含格結(jié)構(gòu)的ABE算法，在保持傳統(tǒng)隱藏訪問(wèn)策略ABE算法優(yōu)點(diǎn)的同時(shí)，能有效簡(jiǎn)化訪問(wèn)控制策略的制定，并在一定程度上減少加密時(shí)的指數(shù)運(yùn)算(如表1所示)?；谛滤惴ńo出的方案在確保安全性的同時(shí)，也充分考慮到了效率問(wèn)題，因此采用了混合加密體制，用對(duì)稱(chēng)密鑰對(duì)文件進(jìn)行加密以保證加密的高效性；同時(shí)用隱含格結(jié)構(gòu)的ABE算法對(duì)對(duì)稱(chēng)加密密鑰進(jìn)行加密，以保證加密密鑰的安全性。

表6給出了目前已有移動(dòng)存儲(chǔ)設(shè)備安全解決方案中通常采用的單純對(duì)稱(chēng)加密的效率與本文方案混合加密效率的比較。實(shí)驗(yàn)環(huán)境為：接入終端主機(jī)為聯(lián)想PC機(jī)，含1個(gè)Intel Core2 Duo E7500 2.93 GHz CPU，2 GB內(nèi)存。實(shí)驗(yàn)中對(duì)稱(chēng)加密算法采用256 bit AES密鑰，實(shí)驗(yàn)代碼基于.NET基礎(chǔ)類(lèi)庫(kù)在system.security.cryptography命名空間下實(shí)現(xiàn)的加密服務(wù)提供類(lèi)進(jìn)行了封裝。從表6中可以看出，本文方案盡管增加了利用隱含格結(jié)構(gòu)的ABE算法對(duì)對(duì)稱(chēng)加密密鑰進(jìn)行加密的過(guò)程，但對(duì)效率的影響并不算太大，相較于安全性和靈活性的提高，這點(diǎn)代價(jià)是值得的。

表6 單純對(duì)稱(chēng)加密和本方案混合加密的效率比較(單位: s)

4 結(jié)束語(yǔ)

通過(guò)移動(dòng)存儲(chǔ)介質(zhì)泄露敏感信息是當(dāng)前一個(gè)非常突出的問(wèn)題。本文研究了如何增強(qiáng)可信終端對(duì)移動(dòng)存儲(chǔ)設(shè)備的安全控制能力，以有效避免移動(dòng)存儲(chǔ)介質(zhì)中的敏感信息泄露問(wèn)題。

本文的工作主要包括2個(gè)方面：在隱含密文策略的屬性加密方法(CP-ABE)的基礎(chǔ)上，提出了基于格結(jié)構(gòu)的屬性策略描述方法；將移動(dòng)存儲(chǔ)介質(zhì)的使用情境用格結(jié)構(gòu)屬性的形式表達(dá)。從而利用ABE算法的特點(diǎn)實(shí)現(xiàn)了細(xì)粒度、動(dòng)態(tài)的訪問(wèn)控制。

通常的CP-ABE機(jī)制相比基于身份的密碼機(jī)制，能夠靈活地表示訪問(wèn)控制策略，適用于分布式環(huán)境中的信息共享。本文針對(duì)其訪問(wèn)策略的描述冗長(zhǎng)且可理解性差等缺陷，提出了基于格的多級(jí)信息流控制模型來(lái)制定訪問(wèn)策略，在保持已有隱藏訪問(wèn)策略ABE算法優(yōu)點(diǎn)的同時(shí)，能有效簡(jiǎn)化訪問(wèn)控制策略的制定，更符合多級(jí)安全中敏感信息的共享，能夠?qū)崿F(xiàn)細(xì)粒度的訪問(wèn)控制。

目前移動(dòng)存儲(chǔ)設(shè)備中敏感信息的訪問(wèn)控制主要采用數(shù)據(jù)加密的方法，這種靜態(tài)訪問(wèn)控制方式不能適應(yīng)移動(dòng)存儲(chǔ)設(shè)備在泛在應(yīng)用環(huán)境中的數(shù)據(jù)安全防護(hù)，因?yàn)楣蚕碛脩舭踩?jí)不確定，連接的主機(jī)安全級(jí)不確定。本文提出的情境訪問(wèn)控制基于所提出的隱含格結(jié)構(gòu)ABE算法，選取移動(dòng)存儲(chǔ)設(shè)備和用戶的使用情境作為屬性構(gòu)建訪問(wèn)策略。當(dāng)移動(dòng)存儲(chǔ)介質(zhì)接入認(rèn)證成功之后，訪問(wèn)控制可以隨著用戶所處實(shí)時(shí)情境(用戶的安全級(jí)別、接入主機(jī)的安全級(jí)別以及接入時(shí)間等)進(jìn)行適應(yīng)性變化，以動(dòng)態(tài)控制用戶的訪問(wèn)權(quán)限，在保證安全性的同時(shí)又具有很高的靈活性。

本文設(shè)計(jì)的移動(dòng)存儲(chǔ)介質(zhì)安全管理方案包括接入前的認(rèn)證和接入后的情境訪問(wèn)控制，能夠?qū)崿F(xiàn)多層次的安全防護(hù)。該方案將外接移動(dòng)存儲(chǔ)設(shè)備、終端用戶、可信內(nèi)網(wǎng)整體納入安全管理和控制中，從以往的單點(diǎn)安全控制拓展到整個(gè)可信域及邊界的安全控制。本文提出的新方法同樣適用于泛在應(yīng)用環(huán)境下敏感信息的訪問(wèn)控制。

[1] IEEE Computer Society. IEEE Standard for Authentication in Host Attachments of Transient Storage Devices[S]. 2010.

[2] HALSEY M. Beginning Windows 8[M]. Berkeley, CA: Apress, 2012.

[3] TETMEYER A, SAIEDIAN H. Security threats and mitigating risk for USB devices[J]. IEEE Technology and Society Magazine, 2010, 29(4): 44-49.

[4] PHAM D V, SYED A, HALGAMUGE M N. Universal serial bus based software attacks and protection solutions[J]. Digital Investigation, 2011, 7(3):172-184.

[5] GFI White Paper. Pod Slurping-an Easy Technique for Stealing Data[R].2011.

[6] BERGHEL H. WikiLeaks and the matter of private manning[J]. Computer, 2012, 45(3):70-73.

[7] LANDAU S. Making sense from snowden: what’s significant in the NSA surveillance revelations[J]. IEEE Security & Privacy, 2013, 11(4):54-63.

[8] 吳世忠, 石超英. 一種智能卡和U盤(pán)復(fù)合設(shè)備及其與計(jì)算機(jī)通信的方法[P]. 中國(guó)專(zhuān)利200710000328.3, 2007.WU S Z, SHI C Y. Smart Card and USB Combined Equipment and Method for Communication with Computer[P]. Chinese Patent 200710000328.3,2007.

[9] 馬俊, 王志英, 任江春等. TRSF: 一種移動(dòng)存儲(chǔ)設(shè)備主動(dòng)防護(hù)框架[J]. 電子學(xué)報(bào), 2012, 40(2): 376-383.MA J, WANG Z Y, REN J C, etal. TRSF: a positive protection framework for removable storage devices[J]. Acta Electronic Sinica,2012, 40 (2): 376-383.

[10] 張功萱, 沈創(chuàng)業(yè), 王平立等. 移動(dòng)存儲(chǔ)信息的信任鏈動(dòng)態(tài)跟蹤技術(shù)研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2011, 48(S1): 37-42.ZHANG G X, SHEN C Y, WANG P L, etal. The research of dynamic track technology for removable storage information’s trusted chain[J].Journal of Computer Research and Development, 2011, 48(S1):37-42.

[11] DeviceLock. Endpoint DLP suite[EB/OL]. http://www.devicelock.com/dl/features.html, 2013.

[12] VRV SpecSEC[EB/OL]. http://web.vrv.com.cn/products.html, 2013.

[13] 中興通信股份有限公司. 一種實(shí)現(xiàn)接入認(rèn)證的方法、裝置及一種移動(dòng)終端[P]. 中國(guó)專(zhuān)利200910133730.8, 2009.ZTE CORPORATION. Method to Implement Access Authentication,Equipment and a Mobile Terminal[P]. Chinese Patent 200910133730.8,2009.

[14] 廖洪其, 凌捷, 郝彥軍等. USB移動(dòng)存儲(chǔ)設(shè)備的惟一性識(shí)別方法研究[J]. 計(jì)算機(jī)工程與設(shè)計(jì), 2010, 31(12):2778-2780.LIAO H Q, LING J, HE Y J, etal. The research of unique identification for USB removable storage devices[J]. Computer Engineering and Design, 2010, 31(12): 2778-2780.

[15] YANG F Y, WU T D, CHIU S H. A secure control protocol for USB mass storage devices[J]. IEEE Transactions on Consumer Electronics,2010, 56(4):2339-2343.

[16] CHEN B, QIN C F, YU L. A secure access authentication scheme for removable storage media[J]. Journal of Information & Computational Science, 2012, 9(15): 4353-4363.

[17] LEE K, YIM K, SPAFFORD E H. Reverse-safe authentication protocol for secure USB memories[J]. Security and Communication Networks, 2012, 5(8):834-845.

[18] 孫國(guó)梓, 陳丹偉, 吳登榮等. 一種安全移動(dòng)存儲(chǔ)系統(tǒng)的研究與實(shí)現(xiàn)[J]. 計(jì)算機(jī)工程, 2009, 35(11):116-119.SUN G Z, CHEN D W, WU D R, etal. The research and implementation of secure removable storage system[J]. Computer Engineering,2009, 35(11):116-119.

[19] 偉利迅半導(dǎo)體有限公司. 基于同步用戶和主機(jī)認(rèn)證的加密可移動(dòng)存儲(chǔ)設(shè)備[P]. 中國(guó)專(zhuān)利201110184775.5, 2011.SuperSpeed Semiconductors Co Ltd. The Encryption of Removable Storage Devices Based on Synchronization of User and Master Authentication[P]. Chinese Patent 201110184775.5, 2011.

[20] SAHAI A, WATERS B. Fuzzy identity-based encryption[A]. 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2005)[C]. Aarhus, Berlin,GER, 2005. 457-473.

[21] 蘇金樹(shù), 曹丹, 王小峰等. 屬性基加密機(jī)制[J]. 軟件學(xué)報(bào), 2011,22(6):1299-1315.SU J S, CAO D, WANG X F, etal. Attributes radical encryption mechanism[J]. Journal of Software, 2011, 22(6): 1299-1315.

[22] GOYAL V, PANDEY O, SAHAI A, etal. Attribute-Based encryption for fine-grained access control of encrypted data[A]. 2006 ACM Conf on Computer and Communications Security (CCS’06)[C]. Alexandria,New York, USA, 2006. 89-98.

[23] BETHENCOURT J, SAHAI A, WATERS B. Ciphertext-Policy attribute-based encryption[A]. 2007 IEEE Symposium on Security and Privacy (SP’07)[C]. Berkeley, California, USA, 2007. 321-334.

[24] NISHIDE T, YONEYAMA K, OHTA K. Attribute-based encryption with partially hidden encryptor-specified access structures[A]. 6th International Conference on Applied Cryptography and Network Security(ACNS’08)[C]. New York, Berlin, GER, 2008. 111-129.

[25] LAI J, DENG R H, LI Y. Fully secure cipertext-policy hiding CP-ABE[A]. 7th International Conference on Information Security Practice and Experience (ISPEC 2011)[C]. Guangzhou, Berlin, GER,2011. 24-39.

[26] LI J, REN K, ZHU B, etal. Privacy-aware attribute-based encryption with user accountability[A]. 12th International Conference on Information Security (ISC’09)[C]. Pisa, Berlin, GER, 2009. 347-362.

[27] 于泠, 陳波, 肖軍模. 多策略的工作流管理系統(tǒng)訪問(wèn)控制模型[J].系統(tǒng)工程理論與實(shí)踐, 2009, 29(2): 151-158.YU L, CHEN B, XIAO J M. The access control model of multiple strategies workflow management system[J]. Systems Engineeringtheory & Practice, 2009, 29(2): 151-158.

[28] BONEH D, FRANKLIN M. Identity-Based encryption from the Weil pairing[A]. 21st Annual International Cryptology Conference on Advances in Cryptology (CRYPTO 2001)[C]. Santa Barbara , Berlin,GER, 2001. 213-229.