本报讯 加密数据能共享吗?传统的做法是“一把钥匙开一把锁”,数据的解密只能由拥有密钥者进行,能否“多把钥匙开同一把锁”呢?这个看似矛盾的问题有了肯定的回答。日前,世界上第一台加密数据共享移动设备在上海交通大学可信任数字技术实验室研发成功,并完成了服务器上的加密服务和个人电脑上的相关程序研发工作。移动设备共享加密数据从理论构想变成了现实。
在国际密码学界,Bethencourt,Sahai和 Waters于 2007年在安全领域的顶级会议 (IEEE:S:P):上第一次提出密文规则的属性基加密方案(CP-ABE)。2008年初,上海交通大学计算机系可信任数字技术实验室曹珍富、董晓蕾课题组设计了一个新的高效的CP-ABE方案,用来解决加密数据的共享问题。此后历时半年多,他们在世界上最先实现了“加密数据共享移动设备”及相关程序的研发。其核心在于,终端通过具体的规则加密数据,密文存放在服务器上;不同属性的用户具有不同的访问权限,只有当用户的权限能够满足密文的访问规则时,才能从服务器获取密文后解密,阅读使用。加密数据共享移动设备及相关程序实现了加密方案和访问控制的完美结合,具有完全自主知识产权。
加密数据共享移动设备及相关程序改变了现有的明文数据存储方式,实现密文数据存储,是业内领先的科研技术成果。以电子银行系统为例,现有数据存储方式着重访问控制,通过电子口令或辅以硬件设备(如工行的优盾)对用户终端加以控制,但银行服务器上的数据为明文存储。一旦入侵者进入服务器,则可能读取、篡改服务器数据,给银行与用户带来重大损失。如果采用加密数据共享技术,服务器数据都进行加密处理,即使入侵者突破访问控制(如盗取口令)登录服务器,或者占有服务器,也无法读取服务器内容,从而给电子银行系统增加一道安全的防护网。
曹珍富、董晓蕾课题组研发的加密数据共享技术包括一个加密解密速度更快的共享方案、加密数据共享移动设备和相关程序三部分。目前,移动设备以单片机为载体,外观 15.8cm:x:10.2cm大小,以后有望做成集成芯片,大幅缩减其体积,既可以独立使用,也可以安装在手机或类似大小的终端设备里。移动设备具有体积小、重量轻的特点,有端口可以连接互联网,适于随时随地与服务器保持联络,进行加密数据传输。同时,课题组也实现了个人电脑上的加密数据共享。
上海交通大学可信任数字技术实验室主任曹珍富教授介绍,他们研制的加密数据共享技术通过严格的数学证明,其安全性可以达到国际最高级别的CCA安全等级。
加密数据共享移动设备及相关程序的应用前景非常广阔。公司内部数据共享、有线电视对付费用户的管理、手机获取加密服务、电子银行提高安全性能……既可以军用,也可以民用。曹珍富教授表示,将积极推进加密数据共享技术的产业化过程,并继续开展深入研究,保持上海交通大学可信任数字技术实验室在此领域的学术制高点。(董少校)