基于改進(jìn)IBE算法的透明加解密機制優(yōu)化

何濤 馮偉東 王紅衛(wèi) 譚俊

摘要：企業(yè)信息保密工作的重要性日益突出，提出利用門限密碼共享機制，對目前該領(lǐng)域常用的身份加密（Identity-Based Encryption，IBE）算法進(jìn)行改進(jìn)，提高密鑰管理環(huán)節(jié)的合理性。將改進(jìn)后的IBE算法參與到透明加解密機制的執(zhí)行過程中，實現(xiàn)對后者的顯著優(yōu)化。提出采用EAC算法將原始密文耦合后分塊存儲，并各自獨立執(zhí)行加解密流程的方案，進(jìn)一步增強企業(yè)電子文件的破譯難度。

關(guān)鍵詞：IBE算法；密鑰管理；透明加密；EAC算法

中圖分類號：TP309文獻(xiàn)標(biāo)志碼：A文章編號：1008-1739（2019）22-64-4

0引言

隨著信息化改造進(jìn)程的不斷推進(jìn)，企業(yè)業(yè)務(wù)處理效率得到了大幅提高。與此同時，信息系統(tǒng)遭受的網(wǎng)絡(luò)攻擊不斷升級，信息安全形勢逐漸惡化，給企業(yè)安全運維工作提出了新的挑戰(zhàn)。在當(dāng)前網(wǎng)絡(luò)攻擊模式多樣、攻擊規(guī)模不斷擴(kuò)大的環(huán)境中，既需要可靠地維護(hù)企業(yè)系統(tǒng)的正常運行，保護(hù)核心商業(yè)數(shù)據(jù)的安全，又不能因保密措施占用過多資源而干擾員工的業(yè)務(wù)操作，拖慢企業(yè)經(jīng)營效率[1]。在此背景下，透明加密（On-The-Fly Encryption，OTFE）技術(shù)應(yīng)運而生。

OTFE技術(shù)本身也存在一定的問題，如加解密過程中并未添加對操作者身份進(jìn)行有效驗證的機制，雖然簡化了流程，卻留下了較大的安全隱患。一旦發(fā)生文件泄密情況，無法對泄密行為進(jìn)行追溯調(diào)查[2]，大大增加了信息失竊給企業(yè)帶來的風(fēng)險，因此亟需改進(jìn)。

基于身份加密（Identity-Based Encryption，IBE）算法將用戶身份的標(biāo)識信息（如Email地址、手機號碼等）加入密鑰，實現(xiàn)了在加密過程中對用戶身份信息的驗證[3]。因此采用IBE算法對OTFE機制進(jìn)行優(yōu)化切實可行。但I(xiàn)BE算法同樣存在一些問題，例如該算法將所有私鑰放置于一個PKG文件中進(jìn)行管理，使系統(tǒng)泄密風(fēng)險過于集中，不利于大量重要文件的安全管理[4-5]。本文提出對IBE算法的密鑰管理環(huán)節(jié)進(jìn)行改進(jìn)，利用可驗證的（，）門限密碼共享方案來降低密鑰泄密風(fēng)險，并將改進(jìn)后的算法結(jié)合到透明加密機制中[6]，設(shè)計了一款基于改進(jìn)IBE算法的透明加密方案，對企業(yè)網(wǎng)絡(luò)中重要文件的存儲與操作進(jìn)行可靠地監(jiān)控和保護(hù)，起到了顯著效果。

1相關(guān)加密機制

1.1透明加密基礎(chǔ)

OTFE技術(shù)目前有4種主流的實現(xiàn)技術(shù)，分別與操作系統(tǒng)提供的不同功能相結(jié)合，提供較為可靠的文件加密服務(wù)。首先結(jié)合操作系統(tǒng)內(nèi)核功能的加密文件系統(tǒng)和文件系統(tǒng)過濾驅(qū)動，這2種技術(shù)利用操作系統(tǒng)內(nèi)核中的文件驅(qū)動實現(xiàn)對文件各種操作的監(jiān)測與過濾；其次是工作在應(yīng)用層并使用Windows提供的鉤子技術(shù)對文件實施監(jiān)控保護(hù)的鉤子加密技術(shù)；最后是工作與操作系統(tǒng)底層的磁盤加解密系統(tǒng)，該技術(shù)針對操作系統(tǒng)讀寫磁盤操作進(jìn)行監(jiān)控，并不關(guān)注文件存儲的邏輯位置[7]。傳統(tǒng)加解密技術(shù)存在很多弊端，如操作不便、加密操作公開以及需要在操作系統(tǒng)用戶狀態(tài)下運行等，極易造成密碼泄露或加密文件被破譯等情況，也無法針對文件操作行為進(jìn)行監(jiān)控。OTFE技術(shù)工作在內(nèi)核態(tài)，可對指定類型或安全級別的文件自動執(zhí)行加密措施，無需用戶干預(yù)，同時解密操作也被約束在一定范圍內(nèi)，極大地提高了加解密的效率與安全性。

1.2 IBE算法原理

通過以上步驟可以看出，在采用可驗證的（ ， ）門限密碼共享機制后，原本存在的大量雙線性配對的計算工作都被省略，用戶私鑰的分配問題也被成功轉(zhuǎn)換成整數(shù)的密碼共享問題，既改善了IBE算法私鑰過度集中的問題，又提高了加密效率，優(yōu)化效果顯著。

3透明加解密機制的設(shè)計

本文以改進(jìn)后的IBE算法實現(xiàn)透明加解密機制中核心的加密環(huán)節(jié)，在得到了密文后，再利用耦合后提取（Extracting After Coupling，EAC）算法將生成的密文轉(zhuǎn)換成多個密文分片獨立存儲，從而顯著提高了文件抵抗破解攻擊的能力。優(yōu)化后的透明加解密機制模型如圖1所示。

步驟4：KGC通過對站點的身份檢索后，已確認(rèn)該站點為合法站點。隨后判斷_ ，是否相符，若相符則表明用戶A為該文件的創(chuàng)建者，此時KGC首先從KPCS中調(diào)取該文件的部分密文分片，隨后連同，r一起回傳用戶A主機，并在此執(zhí)行EAC算法，對分片和存儲于本地的進(jìn)行耦合，得到完整的密文后，再通過IBE算法解密成明文；若KGC判斷_與不相符，則表明A不是對象文件的擁有者，假設(shè)此文件來源于用戶B，此時KGC將從用戶B處獲取相關(guān)的身份信息_ ，_，并據(jù)此計算出，r，重新執(zhí)行前種情況對應(yīng)的類似過程，最終幫助用戶A實現(xiàn)了對該文件的解密。

4結(jié)束語

企業(yè)內(nèi)部文件的加解密技術(shù)具有重要且廣泛的應(yīng)用價值，為了在保障企業(yè)經(jīng)營效率不受影響的前提下，提高信息的保密水平，本文提出針對目前的透明加解密機制進(jìn)行改進(jìn)，將IBE算法引入該機制中的加密環(huán)節(jié)，同時也分析了IBE算法在私鑰管理方面存在的問題，提出采用門限密碼共享機制來分散原算法過于集中的風(fēng)險，最后結(jié)合EAC算法實現(xiàn)了密文的分片獨立存取，有效提高了企業(yè)文件的破譯難度和抗攻擊性能。

參考文獻(xiàn)

[1]蔡艷桃.一種基于身份的認(rèn)證加密方案的改進(jìn)[J].計算機工程與應(yīng)用，2011，47（15）：119-122.

[2]邵昱，蕭蘊詩.基于文件系統(tǒng)過濾驅(qū)動器的加密軟件設(shè)計[J].計算機應(yīng)用，2005，25（5）：1151-1152.

[3] Russinovich M E， Solomon D A. Microsoft Windows Internals：Microsoft Windows Server 2003， Windows XP， and Windows 2000[M].Washington，DC：Microsoft Press，2017： 775- 85.

[4] Boneh D，F(xiàn)ranklin M. Identity-based Encryption from the Weil Pairing[J]. SIAM Journal on Computing，2017，32（3）： 586-615.

[5]龍宇，徐賢，陳克非.兩個降低PKG信任級的基于身份的門限密碼體制[J].計算機研究與發(fā)展，2012，49（5）：932-938.

[6]康立，唐小虎，范佳.標(biāo)準(zhǔn)模型下基于認(rèn)證的混合加密算法[J].通信學(xué)報，2009，30（6）：13-18.

[7] WangGJ，Yue FS，LiuQ.A SecureSelf-DestructingSchemefor Electronic Data[J].Journal ofComputer and SystemSciences， 2016，79（2）：279-290.

[8] Wang G J，Yue F S，Liu Q.A Secure Self-destructing Scheme for Electronic Data [J].Journal of Computer and System Sciences，2016，79（2）：279-290.

[9]封化民，孫軼茹，孫瑩.基于身份認(rèn)證加密的私鑰共享方案及其應(yīng)用[J].計算機應(yīng)用研究，2014，31（5）：1507-1510.