本發(fā)明公開了一種屬性基信息流控制方法，包括步驟：發(fā)送者發(fā)送第二屬性、認(rèn)證標(biāo)簽和密文給消毒機(jī)構(gòu)；消毒機(jī)構(gòu)對(duì)接收到的第二屬性和認(rèn)證標(biāo)簽進(jìn)行認(rèn)證，認(rèn)證通過后對(duì)接收到的密文進(jìn)行消毒，得到被消毒密文，將被消毒密文發(fā)送給接收者；接收者利用接收者密鑰對(duì)收到的被消毒密文進(jìn)行解密，得到明文。一種屬性基信息流控制系統(tǒng)，包括：中心機(jī)構(gòu)、消毒機(jī)構(gòu)、發(fā)送者和接收者。可以靈活的選擇信息流的訪問控制結(jié)構(gòu)；通過消毒機(jī)構(gòu)的認(rèn)證過程，判斷第二屬性的合法性，以及是否滿足信息流控制政策，確認(rèn)消息來源的合法性；通信成本與訪問控制結(jié)構(gòu)的復(fù)雜度成正比。

技術(shù)領(lǐng)域

本發(fā)明涉及計(jì)算機(jī)安全領(lǐng)域，尤其涉及一種屬性基信息流控制方法及系統(tǒng)。

背景技術(shù)

信息流控制被用于規(guī)范數(shù)據(jù)流的流向。一個(gè)數(shù)據(jù)流控制政策由三部分組成：安全等級(jí)、安全等級(jí)間信息流動(dòng)關(guān)系的說明以及將客體分成不同安全等級(jí)的方法。當(dāng)系統(tǒng)中一個(gè)用戶向另一個(gè)用戶發(fā)送一條消息時(shí)，系統(tǒng)中就出現(xiàn)了一條信息流。如果通信雙方的安全等級(jí)滿足信息流控制政策，該信息流被受理；否則，該信息流被中斷。Bell–LaPadula(BLP)模型是應(yīng)用最廣的信息流控制模型。該模型強(qiáng)調(diào)兩個(gè)規(guī)則：(1)向上不可讀：一個(gè)用戶只能閱讀安全等級(jí)等于或者低于其安全等級(jí)的文件；(2)向下不可寫：用戶只能創(chuàng)建、修改安全等級(jí)等于或者高于其安全等級(jí)的文件。

傳統(tǒng)的公鑰加密方案(RSA、EIGamal)可以實(shí)現(xiàn)安全的端對(duì)端通信，但不能表達(dá)靈活的訪問控制結(jié)構(gòu)。屬性基加密是一種靈活的公鑰加密方案。在該方案中，加密者用一組屬性加密消息，得到密文。一個(gè)用戶可以解密密文當(dāng)且僅當(dāng)其屬性與密文中的屬性相匹配。與傳統(tǒng)的公鑰加密方案相比，屬性基加密具有以下優(yōu)點(diǎn)：(1)可以實(shí)現(xiàn)靈活的訪問控制結(jié)構(gòu)；(2)通信成本與訪問控制結(jié)構(gòu)的復(fù)雜度成正比，而不是與接收者的人數(shù)成正比。

加密方案可以實(shí)現(xiàn)對(duì)數(shù)據(jù)接收者的控制，然而對(duì)信息發(fā)送者沒有任何控制，即加密方案只能實(shí)現(xiàn)向上不可讀功能。為了加強(qiáng)信息流訪問控制方案，訪問控制加密被提出。一個(gè)訪問控制方案由四個(gè)實(shí)體構(gòu)成：中心機(jī)構(gòu)、消毒機(jī)構(gòu)、消息發(fā)送者和消息接收者。發(fā)送者須經(jīng)由消毒機(jī)構(gòu)才能將消息發(fā)送給接收者。消毒機(jī)構(gòu)對(duì)收到的消息首先做消毒處理，然后將消毒后的消息發(fā)送給信息接收者。如果消息發(fā)送者和消息接收者的安全等級(jí)滿足系統(tǒng)中的信息流控制政策，則消息接收者可以獲得明文消息；否則，消息接收者不能獲得關(guān)于明文消息除長(zhǎng)度外的任何信息。因此，訪問控制加密可以同時(shí)實(shí)現(xiàn)向上不可讀規(guī)則和向下不可寫規(guī)則。

現(xiàn)有的訪問控制加密存在以下缺陷：一、消毒機(jī)構(gòu)對(duì)于消息來源的合法性無法認(rèn)證，即消毒機(jī)構(gòu)需要對(duì)接收到的任何信息進(jìn)行消毒。因此，消毒機(jī)構(gòu)容易遭受服務(wù)否定攻擊；二、不能表達(dá)靈活的信息流訪問控制政策；三、通信成本較高，即與消息接收者的人數(shù)成正比關(guān)系。

發(fā)明內(nèi)容

本發(fā)明的目的在于解決現(xiàn)有技術(shù)存在的缺陷。

為了達(dá)到上述目的，一方面，本發(fā)明公開了一種屬性基信息流控制方法，包括下列步驟：

發(fā)送者發(fā)送第二屬性、認(rèn)證標(biāo)簽和密文給消毒機(jī)構(gòu)；其中，根據(jù)發(fā)送者選擇的訪問控制結(jié)構(gòu)，得到第一屬性，根據(jù)第一屬性和中心機(jī)構(gòu)說明的信息流控制政策，選擇發(fā)送者的部分屬性作為第二屬性；第一屬性和第二屬性同時(shí)滿足信息流控制政策；利用發(fā)送者密鑰生成認(rèn)證標(biāo)簽；根據(jù)訪問控制結(jié)構(gòu)和消毒機(jī)構(gòu)公鑰加密明文得到密文；

消毒機(jī)構(gòu)對(duì)接收到的第二屬性和認(rèn)證標(biāo)簽進(jìn)行認(rèn)證，認(rèn)證通過后對(duì)接收到的密文進(jìn)行消毒，得到被消毒密文，將被消毒密文發(fā)送給接收者；其中，認(rèn)證包括：判斷第一屬性和第二屬性是否滿足信息流控制政策，根據(jù)認(rèn)證標(biāo)簽判斷發(fā)送者是否擁有第二屬性；消毒包括：利用消毒機(jī)構(gòu)私鑰和代理解密密鑰對(duì)密文進(jìn)行消毒；

接收者利用接收者密鑰對(duì)收到的被消毒密文進(jìn)行解密，得到明文。

在一個(gè)實(shí)例中，如果消毒機(jī)構(gòu)判斷第一屬性和第二屬性滿足信息流控制政策，且發(fā)送者擁有第二屬性，則認(rèn)證通過；如果消毒機(jī)構(gòu)判斷第一屬性和第二屬性不滿足信息流控制政策，和/或發(fā)送者沒有第二屬性，則終止信息流。