加密数据能共享吗?传统的做法是“一把钥匙开一把锁”,数据的解密只能由拥有密钥者进行。能否“多把钥匙开同一把锁”呢?这个看似矛盾的问题有了肯定的回答。日前,世界上第一台加密数据共享移动设备在上海交通大学可信任数字技术实验室研发成功,并完成了服务器上的加密服务和个人电脑上相关程序的研发工作,专家认为,“移动设备共享加密数据从理论构想变成了现实”。
在国际密码学界,Bethencourt、Sahai和Waters于2007年在安全领域的顶级会议上第一次提出密文规则的属性基加密方案(CP-ABE)。2008年年初,上海交通大学计算机系可信任数字技术实验室曹珍富、董晓蕾课题组设计了一个新的高效的CP-ABE方案,用来解决加密数据的共享问题。此后历时半年多,他们在世界上最先实现了加密数据共享移动设备及相关程序的研发。其核心在于,终端通过具体的规则加密数据,密文存放在服务器上;不同属性的用户具有不同的访问权限,只有当用户的权限能够满足密文的访问规则时,才能从服务器获取密文后解密,阅读使用。加密数据共享移动设备及相关程序实现了加密方案和访问控制的完美结合,具有完全自主知识产权。
加密数据共享移动设备及相关程序改变了现有的明文数据存储方式,实现密文数据存储,是业内领先的科研技术成果。以电子银行系统为例,现有数据存储方式着重访问控制,通过电子口令或辅以硬件设备(如工行的优盾)对用户终端加以控制,但银行服务器上的数据为明文存储。一旦入侵者进入服务器,则可能读取、篡改服务器数据,给银行与用户带来重大损失。如果采用加密数据共享技术,服务器数据都进行加密处理,即使入侵者突破访问控制(如盗取口令)登录服务器或者占有服务器,也无法读取服务器内容,从而给电子银行系统增加一道安全的防护网。
曹珍富、董晓蕾课题组研发的加密数据共享技术,包括一个加密解密速度更快的共享方案、加密数据共享移动设备和相关程序三部分。目前,移动设备以单片机为载体,外观为15.8厘米×10.2厘米大小,以后有望做成集成芯片,大幅缩减其体积;既可以独立使用,也可以安装在手机或类似大小的终端设备里。移动设备具有体积小、重量轻的特点,有端口可以连接互联网,适于随时随地与服务器保持联络,进行加密数据传输。同时,课题组也实现了个人电脑上的加密数据共享。
可信任数字技术实验室主任曹珍富教授介绍,他们研制的加密数据共享技术通过严格的数学证明,其安全性可以达到国际最高级别的CCA安全等级。
11月22日,上海交通大学计算机系50周年系庆期间,加密数据共享移动设备及相关程序公开亮相,诺基亚、欧姆龙、富士通等公司研发部门负责人给予该设备高度评价,并表达了开展合作的愿望。
在可信任数字技术实验室,课题组向记者演示了加密数据共享技术与电子海图的结合应用示范。对于长江口一带的电子海图,不同类型的船只根据其访问权限可以得到相应的海图,例如A类船可以查阅工事海图,A类船和B类船可以查阅暗礁海图,A类船、B类船和C类船都可以查阅佘山岛周围的海图。当暗礁海图有更新时,监管部门工作人员将海图加密上传到服务器,其中A类船和B类船都能够根据相应权限得到此文件并解密查阅,而没有得到相应权限的C类船即使能得到该密文,却因为没有解密权限而无法解密暗礁海图文件。
据介绍,加密数据共享移动设备及相关程序的应用前景非常广阔,如公司内部数据共享、有线电视对付费用户的管理、手机获取加密服务、电子银行提高安全性能……既可以军用,也可以民用。
曹珍富表示,将积极推进加密数据共享技术的产业化过程,并继续开展深入研究,保持上海交通大学可信任数字技术实验室在此领域的学术制高点。 |