馮 力 鄧國慶 郁 濱

1(信息工程大學密碼工程學院 鄭州 450001)

2(95028部隊參謀部航管氣象處 武漢 430070)

(291216217@qq.com)

移動存儲設備[1]已經廣泛應用于數(shù)據(jù)存儲和信息交互的場合,由于其通用性和匿名性,移動存儲設備在不同密級信息系統(tǒng)間不受控制地交換數(shù)據(jù)常常導致泄密事件發(fā)生[2-3].因而學者提出設計多密級移動存儲設備[4-5],以實現(xiàn)多密級信息交互安全可控.其中,為多密級移動存儲設備設計密鑰管理方案,是保證多密級環(huán)境下移動存儲設備安全、實現(xiàn)多密級信息安全交互的重要手段.

現(xiàn)有研究沒有針對多密級移動存儲設備設計的密鑰管理方案.雖然在無線傳感器網絡[6]、ad hoc網絡[7]、空間網絡[8]、軍事物聯(lián)網[9]、衛(wèi)星網絡[10]、射頻識別(radio frequency identification,RFID)系統(tǒng)[11]等應用領域,學者提出了多種密鑰管理方案,但是這些方案與所應用領域特點結合過于緊密,通用性不強,不適用于多密級移動存儲設備.

如果將多密級移動存儲設備看作一個等級系統(tǒng),等級密鑰思想則可為其密鑰管理提供思路.在1983年,Akl等人[12]考慮等級系統(tǒng)下的密鑰管理問題,將密鑰管理與訪問控制相結合,提出高級別用戶可以推導出低級別用戶的密鑰信息,反之則不行.這種思想廣泛應用于數(shù)據(jù)庫等存儲系統(tǒng)的訪問控制,學者對等級密鑰管理問題進行了深入的研究,從效率和安全性等方面提出了改進方案.Zych等人[13]提出的密鑰管理方案中,用戶利用一個Key值,基于Diffie-Hellman可以有效計算出所請求訪問數(shù)據(jù)的密鑰,但存儲開銷較大.Zhang等人[14]提出的管理方案基于大素數(shù)因式分解困難性問題,在管理秘密密鑰時采用了中國剩余定理和單向哈希函數(shù),減少了存儲開銷.Basu等人[15]在Wu等人[16]的密鑰管理方案的基礎上提出了改進方案,該方案使用橢圓加密算法(elliptic curves cipher,ECC)、高級加密標準(advanced encryption standard,AES)和Hash的混合加密,降低了計算開銷.上述方案[13-16]雖然在一定程度上降低了存儲開銷和計算開銷,但由于基于公鑰密碼體制實現(xiàn)密鑰管理,大素數(shù)和模乘運算使得存儲開銷和計算開銷難以進一步優(yōu)化,不適用于移動存儲設備這類資源受限主體.Sun[17]提出的管理方案提高了用戶、數(shù)據(jù)庫管理員(database administrator,DBA)和數(shù)據(jù)Creators之間的安全度和信任度.高寶陽等人[18]綜合考慮軍隊保密通信和群組密鑰管理的特點及要求,提出了一種基于等級樹模型的群組密鑰管理方案.胡前偉等人[19]針對等級體制下用戶權限管理和訪問密文數(shù)據(jù)庫的問題,提出了基于橢圓曲線密碼體制的密鑰管理方案.上述方案[17-19]基于樹形結構或有向無環(huán)圖(directed acyclic graph,DAG)結構,信息只允許由低密級向高密級單向流動,不滿足多密級環(huán)境下信息交互的需求.

借鑒等級密鑰思想,本文旨在設計一種密鑰管理方案,能夠實現(xiàn)不同密級主機對移動存儲設備多密級分區(qū)的授權訪問,滿足多密級信息安全交互需求,同時降低計算開銷和存儲開銷,使之適用于移動存儲設備.

1 問題描述

如圖1所示,為滿足多密級環(huán)境下不同密級信息存儲載體物理隔離的要求,移動存儲設備的存儲介質被劃分為不同分區(qū),而主機和不同分區(qū)又由于對存儲于其中的信息區(qū)別保護,被劃分為不同密級.信息跨密級交互過程即為不同密級主機讀寫移動存儲設備不同分區(qū)過程,該過程應當受到安全策略約束.

圖1 應用場景示意圖

為描述擬解決的問題,作如下定義:

定義1.采用相同保護手段對其資源進行保護,且具有相同受訪權限的一類受控對象稱為安全客體.

定義2.對安全客體具有相同的訪問權限的一類主體稱為安全角色.

定義3.安全角色集合對安全客體集合訪問權限的映射關系稱為安全策略.

同一密級的分區(qū)使用相同的加密算法和加密密鑰對其中的資源進行保護,對外表現(xiàn)出一致的受訪權限,因此可以看作一個安全客體,用Mi表示.同一密級的主機對多密級分區(qū)具有相同的訪問權限,因此可以看作一個安全角色,用H i表示,i∈[1,N],i為密級,N為密級數(shù)量.多密級環(huán)境下的信息系統(tǒng),R={H1,H2,…,H N}是全部安全角色構成的集合,O={M1,M2,…,MN}是全部安全客體構成的集合.系統(tǒng)中不同安全客體利用不同密鑰進行加解密,實現(xiàn)對其資源進行區(qū)別保護,只有安全角色具有該安全客體訪問權限時,該安全角色才可擁有該安全客體對應的加解密密鑰.因而擬解決的問題是為安全角色和安全客體之間構造一組加解密密鑰的分配關系,并且這種分配關系應當符合安全策略.

最簡單的密鑰分配機制是為安全角色分配所有它具有訪問權限的安全客體的密鑰,但這種方式會導致密鑰管理復雜度隨著安全角色和安全客體規(guī)模的增加而快速增加,同時增大了密鑰泄露的風險.因而需要設計一種密鑰分配機制和密鑰推導方法,使安全角色持有的密鑰數(shù)量最小化,同時安全角色能夠在符合安全策略的前提下推導出安全客體的密鑰.

2 方案設計

設計方案總體結構以明確密鑰分配機制,設計安全策略以確定安全角色與安全客體的權限映射關系,根據(jù)安全策略設計推導算法以實現(xiàn)密鑰推導.

2.1 總體結構

方案總體結構如圖2所示,由密鑰管理中心(KMC)、授權中心(AC)、主機(Host)、移動存儲設備(RSD)組成.AC根據(jù)實際需求設置訪問權限矩陣A,并發(fā)送至KMC.KMC為j密級的主機生成密鑰Key j后發(fā)送至主機.KMC結合訪問權限矩陣A和各級主機密鑰Key生成關系參數(shù)Parameter,發(fā)送至移動存儲設備.至此密鑰分發(fā)完畢.

圖2 方案總體結構

2.2 安全策略設計

安全策略由N階矩陣A表達.A中元素aij∈{0,1},當i≠j且aij=1時,表示允許密級為j的主機讀取密級為i的分區(qū)數(shù)據(jù);當i≠j且aij=0時,表示禁止密級為j的主機中讀取密級為i的分區(qū)數(shù)據(jù);當i=j時,aij=1,表示允許主機讀寫同密級分區(qū)數(shù)據(jù).

當i＞j(i,j∈[1,N])時,aij代表低密級主機能否讀取高密級分區(qū)數(shù)據(jù);當i＜j(i,j∈[1,N])時,aij代表高密級主機能否讀取低密級分區(qū)數(shù)據(jù).授權中心在設置安全策略時,需要考慮實際需求和相關規(guī)定,例如:軍事領域一般要求信息只能從低密級向高密級單向傳遞,因而設置用戶策略時需要在類BLP(Bel and LaPadula)策略框架下進行.

2.3 算法設計

算法主要包括密鑰構造算法、密鑰推導算法和密鑰更新策略.

2.3.1 密鑰構造算法

KMC依次生成與密級為j(j∈[1,N])的主機相對應的密鑰Keyj,所有密級主機的密鑰生成完畢后,依次查詢訪問權限矩陣A中的元素a ij(i,j∈[1,N],i≠j),若aij=1,則計算關系參數(shù)Parameterij=〈Cij,Rij〉,其中:Cij=H(Keyj⊕Rij)⊕Keyi,Rij是KMC生成的隨機數(shù).通過加密信道將各級密鑰發(fā)送到對應密級主機的安全存儲區(qū),將訪問權限矩陣A和所有關系參數(shù)發(fā)送至移動存儲設備安全存儲區(qū).密鑰構造、密鑰分配流程圖如圖3所示,其中c表示密文,E{}表示加密算法,D{}表示解密算法,SK表示KMC的秘密密鑰,PK表示KMC的公開密鑰.

圖3 密鑰構造和密鑰分配流程圖

2.3.2 密鑰推導算法

移動存儲設備插入主機H j后,通過認證與密鑰協(xié)商協(xié)議證明雙方身份合法性,協(xié)商出會話密鑰k,并獲得主機密級j后主機方可發(fā)起訪問請求.

當主機H j讀取同密級分區(qū)M j時,主機將密鑰Key j通過協(xié)商的會話密鑰k加密傳輸至移動存儲設備,移動存儲設備用會話密鑰解密得到密鑰Keyj,不需密鑰推導,直接對數(shù)據(jù)解密后返回至主機.

當主機H j跨密級讀取分區(qū)M i(i≠j)時,移動存儲設備需要密鑰推導,流程如圖4所示.主機將密鑰Key j通過協(xié)商的會話密鑰k加密傳輸至移動存儲設備,移動存儲設備解密后獲得Keyj并查詢訪問權限矩陣A中元素aij.若aij=0,則拒絕其請求,若aij=1,則計算Keyi=Cij⊕H(Keyj⊕Rij),得到目的分區(qū)密鑰,解密數(shù)據(jù)并返回至主機.

圖4 密鑰推導流程圖

2.3.3 密鑰更新策略

1)主動修改密鑰

在某一等級主機的密鑰丟失、密鑰過期失效等情況下,主機需要更新密鑰.主動修改密鑰流程如圖5所示,主機Hj向KMC發(fā)起密鑰更新請求后,KMC重新生成密鑰Key*j并發(fā)送至H j.同時,KMC更新與主機H j有關的所有關系參數(shù):是KMC重新生成的隨機數(shù).將更新的關系參數(shù)發(fā)送至移動存儲設備,并覆蓋與之對應的陳舊關系參數(shù).

2)訪問權限矩陣更新

若訪問控制矩陣中的元素aij由0變?yōu)?,則增加關系參數(shù)Parameterij并發(fā)送至移動存儲設備;若aij由1變?yōu)?,則刪除移動存儲設備的原關系參數(shù)Parameterij.

3)安全等級更新

若增加一個密級N+1,則遍歷ai(N+1)(i∈[1,N])和a(N+1)i(i∈[1,N]).若ai(N+1)=1,則增加關系參數(shù)Parameteri(N+1);若a(N+1)i=1,則增加關系參數(shù)Parameter(N+1)i,并將關系參數(shù)發(fā)送至移動存儲設備.

若需要刪除一個密級j,只需刪除移動存儲設備所有Parameterij(i∈[1,N],i≠j)和Parameterjk(k∈[1,N],k≠j).

圖5 主動修改密鑰流程圖

3 算法分析

下面從安全性和性能2方面對提出的算法進行分析.

3.1 安全性分析

1)反向攻擊

不具備訪問權限的主機H i欲通過關系參數(shù)Parameterij推導出分區(qū)M j的密鑰稱為反向攻擊.即主機Hi在已知Key i和Cij的情況下,求解密鑰Keyj;其問題簡化為已知H(Keyj⊕Rij)求Keyj,根據(jù)哈希函數(shù)單向性可知這在計算上是不可行的.

2)內部收集攻擊

假設存在密級為i的主機H i,另有主機Hj1,Hj2,…,Hjm對分區(qū)M i均有訪問權限,主機H i收集了關系參數(shù)Parameter ij1,Parameterij2,…,Parameterijm,其試圖推導出其中一個主機的密鑰Keyε,ε∈[j1,jm],這樣的攻擊稱為內部收集攻擊.內部收集攻擊可以轉化為求下列方程組:

從1)中可知,H(Keyj⊕Rij)?Keyj計算上不可行.?ε,ε∈[j1,jm],由于每一個Riε是隨機生成的,所以H(Keyε⊕Riε)?Keyε的計算難度和任意H(Keyj⊕Rij)?Keyj相當,m的大小并不影響計算難度,因而內部收集攻擊難度和反向攻擊難度相當,計算上不可行.

3)外部收集攻擊

假設存在外部攻擊者收集到多個關系參數(shù)Parameterij,(i,j∈[1,N]),并試圖獲得密鑰信息,這種攻擊稱為外部收集攻擊.外部攻擊者只有多個關系參數(shù)信息,僅僅通過Cij=H(Keyj⊕Rij)⊕Keyi無法計算Keyj或Keyi,外部攻擊無效.

3.2 性能分析

下面對算法的時間開銷、存儲開銷、方案特點和其他文獻進行對比分析.

1)時間開銷

表1列出了性能分析所需要的符號定義,表2列出了每種運算所需時間與TMUL的對等轉換[15].多密級移動存儲設備看作一種特殊等級系統(tǒng),因此文獻[15,17,19]中涉及的

方案采用實用高效的哈希運算和異或運算進行密鑰構造和密鑰推導,計算量小,實現(xiàn)簡單.1次密鑰構造需要1次哈希和2次異或運算,關系參數(shù)最多需要構造N2-N個(當A中元素全為1時),因此密鑰構造的時間開銷最大為(1THASH+2TADD)(N2-N),等價于0.36(N2-N)TMUL;1次訪問請求最多需要1次密鑰推導,共計1次哈希運算和2次異或運算,所需時間為1THASH+2TADD,等價于0.36TMUL.從表3可以看出,與文獻[15,17,19]相比,本文方案的計算開銷大幅降低.

表1 符號及定義

表2 運算時間轉換表

表3 計算開銷對比

2)存儲開銷

密鑰構造時的生成的密鑰、隨機數(shù)和哈希函數(shù)結果一般選取為128 b,訪問權限矩陣的存儲開銷為N2bit.本文方案中,密鑰存儲于主機的安全存儲區(qū),關系參數(shù)和訪問權限矩陣存儲于移動存儲設備的安全存儲區(qū);關系參數(shù)個數(shù)最多為(N2-N)個(當A中元素全為1時),因此移動存儲設備的存儲開銷最大為256(N2-N)+N2bit,關系參數(shù)最少為0(當A為單位矩陣時),因而存儲開銷最小為N2b;主機的存儲開銷為128 bit.如表4所示,與文獻[15]、文獻[17]、文獻[19]相比,主機的存儲開銷減少,移動存儲設備的存儲開銷根據(jù)訪問權限表中等于1的元素個數(shù)變化而變化.

表4 存儲開銷對比

3)方案特點對比

如表5所示,本文方案采用矩陣表達安全角色和安全客體間訪問控制關系,相較于文獻[15,17,19]采用DAG結構,本文方案能夠實現(xiàn)多密級信息雙向安全交互,并且由于密鑰管理中心KMC只負責密鑰、關系參數(shù)的生成和分發(fā),不參與主機的訪問請求,因此本文方案更適用于多密級移動存儲設備.

表5 方案特點對比

此外,本文提出的密鑰管理方案具有以下優(yōu)點:

1)移動存儲設備只存儲關系參數(shù),不存儲任何分區(qū)的密鑰信息,即使設備丟失仍能保證各級密鑰安全.

2)主機只需要存儲自身密鑰就能訪問具有訪問權限的多級分區(qū),并且訪問過程中主機并不能獲得目標分區(qū)密鑰,目標分區(qū)密鑰僅存在于移動存儲設備運算中間過程.

4 結 語

本文通過對多密級移動存儲設備密鑰管理問題進行分析,提出一個多級密鑰管理方案.該方案基于矩陣表達主機對多級分區(qū)的訪問控制權限,利用單向哈希函數(shù)構造關系參數(shù)、設計密鑰推導算法.主機只需要持有本級密鑰便可以推導出所有符合安全策略的分區(qū)密鑰.分析表明,該方案安全性較好,計算開銷和存儲開銷較小,能夠有效解決多密級移動存儲設備密鑰管理問題.下一步可在該方案基礎上對多密級移動存儲設備多級加密算法進行研究.

[1]Ieee B E.IEEE Standard for Authentication in Host Attachments of Transient Storage Devices[S].Los Alamitos,CA:IEEE Computer Society,2010

[2]Berghel H.WikiLeaks and the matter of private manning[J].Computer,2012,45(3):70-73

[3]Landau S.Making sense from Snowden:What's significant in the NSA surveillance revelations[J].IEEE Security&Privacy,2013,11(4):54-63

[4]張學思.基于移動存儲設備的多密級安全交互系統(tǒng)設計與實現(xiàn)[D].鄭州:解放軍信息工程大學,2015

[5]龔碧,郁濱.一種基于用戶策略的多區(qū)域交互控制模型[J].系統(tǒng)仿真學報,2017,29(4):880-885

[6]劉志宏,馬建峰,黃啟萍.基于區(qū)域的無線傳感器網絡密鑰管理[J].計算機學報,2006,29(9):1608-1616

[7]李慧賢,龐遼軍,王育民.適合ad hoc網絡無需安全信道的密鑰管理方案[J].通信學報,2010,31(1):112-117

[8]羅長遠,李偉,邢洪智,等.空間網絡中基于身份的分布式密鑰管理研究[J].電子與信息學報,2010,32(1):183-188

[9]李昊鵬,陳立云,盧星,等.一種適用于軍事物聯(lián)網的密鑰管理方案[J].軍械工程學院學報,2017,29(3):30-33

[10]余哲賦,周海剛,吳兆峰,等.基于無證書的衛(wèi)星網絡密鑰管理方案[J].軍事通信技術,2012(2):8-12,27

[11]張兵,秦志光,萬國根.基于PKI和CPK的RFID系統(tǒng)混合密鑰管理機制研究[J].電子科技大學學報,2015,44(3):415-421

[12]Akl S G,Taylor P D.Cryptographic solution to a problem of access control in a hierarchy[J].ACM Trans on Computer Systems,1983,1(3):239-248

[13]Zych A,Petkovi M,Jonker W.Efficient key management for cryptographically enforced access control[J].Computer Standards&Interfaces,2008,30(6):410-417

[14]Zhang J,Li J,Liu X.An efficient key management scheme for access control in a user hierarchy[C]//Proc of Int Conf on Information Technology and Computer Science.Piscataway,NJ:IEEE,2009:550-553

[15]Basu A,Sengupta I.Improved secure dynamic key management scheme with access control in user hierarchy[C]//Proc of Int Conf on Digital Information&Communication Technology&ITS Applications.Piscataway,NJ:IEEE,2012:220-225

[16]Wu S,Chen K.An efficient key-management scheme for hierarchical access control in e-medicine system[J].Journal of Medical Systems,2012,36(4):2325-2337

[17]Sun Xiaohan.A secure scheme of key management for database encryption[C]//Advances in Technology and Management.Berlin:Springer,2012:315-319.

[18]高寶陽,潘進,康連瑞.一種基于等級樹模型的群組密鑰管理方案[J].計算機與現(xiàn)代化,2014(8):34-37

[19]胡前偉,李子臣,閆璽璽.等級訪問控制下密文數(shù)據(jù)庫密鑰管理方案研究[J].計算機科學與探索,2017,11(6):921-931