基于改進IBE算法的透明加解密機制優化

何濤 馮偉東 王紅衛 譚俊

摘要：企業信息保密工作的重要性日益突出，提出利用門限密碼共享機制，對目前該領域常用的身份加密（Identity-Based Encryption，IBE）算法進行改進，提高密鑰管理環節的合理性。將改進后的IBE算法參與到透明加解密機制的執行過程中，實現對后者的顯著優化。提出采用EAC算法將原始密文耦合后分塊存儲，并各自獨立執行加解密流程的方案，進一步增強企業電子文件的破譯難度。

關鍵詞：IBE算法；密鑰管理；透明加密；EAC算法

中圖分類號：TP309文獻標志碼：A文章編號：1008-1739（2019）22-64-4

0引言

隨著信息化改造進程的不斷推進，企業業務處理效率得到了大幅提高。與此同時，信息系統遭受的網絡攻擊不斷升級，信息安全形勢逐漸惡化，給企業安全運維工作提出了新的挑戰。在當前網絡攻擊模式多樣、攻擊規模不斷擴大的環境中，既需要可靠地維護企業系統的正常運行，保護核心商業數據的安全，又不能因保密措施占用過多資源而干擾員工的業務操作，拖慢企業經營效率[1]。在此背景下，透明加密（On-The-Fly Encryption，OTFE）技術應運而生。

OTFE技術本身也存在一定的問題，如加解密過程中并未添加對操作者身份進行有效驗證的機制，雖然簡化了流程，卻留下了較大的安全隱患。一旦發生文件泄密情況，無法對泄密行為進行追溯調查[2]，大大增加了信息失竊給企業帶來的風險，因此亟需改進。

基于身份加密（Identity-Based Encryption，IBE）算法將用戶身份的標識信息（如Email地址、手機號碼等）加入密鑰，實現了在加密過程中對用戶身份信息的驗證[3]。因此采用IBE算法對OTFE機制進行優化切實可行。但IBE算法同樣存在一些問題，例如該算法將所有私鑰放置于一個PKG文件中進行管理，使系統泄密風險過于集中，不利于大量重要文件的安全管理[4-5]。本文提出對IBE算法的密鑰管理環節進行改進，利用可驗證的（，）門限密碼共享方案來降低密鑰泄密風險，并將改進后的算法結合到透明加密機制中[6]，設計了一款基于改進IBE算法的透明加密方案，對企業網絡中重要文件的存儲與操作進行可靠地監控和保護，起到了顯著效果。

1相關加密機制

1.1透明加密基礎

OTFE技術目前有4種主流的實現技術，分別與操作系統提供的不同功能相結合，提供較為可靠的文件加密服務。首先結合操作系統內核功能的加密文件系統和文件系統過濾驅動，這2種技術利用操作系統內核中的文件驅動實現對文件各種操作的監測與過濾；其次是工作在應用層并使用Windows提供的鉤子技術對文件實施監控保護的鉤子加密技術；最后是工作與操作系統底層的磁盤加解密系統，該技術針對操作系統讀寫磁盤操作進行監控，并不關注文件存儲的邏輯位置[7]。傳統加解密技術存在很多弊端，如操作不便、加密操作公開以及需要在操作系統用戶狀態下運行等，極易造成密碼泄露或加密文件被破譯等情況，也無法針對文件操作行為進行監控。OTFE技術工作在內核態，可對指定類型或安全級別的文件自動執行加密措施，無需用戶干預，同時解密操作也被約束在一定范圍內，極大地提高了加解密的效率與安全性。

1.2 IBE算法原理

通過以上步驟可以看出，在采用可驗證的（ ， ）門限密碼共享機制后，原本存在的大量雙線性配對的計算工作都被省略，用戶私鑰的分配問題也被成功轉換成整數的密碼共享問題，既改善了IBE算法私鑰過度集中的問題，又提高了加密效率，優化效果顯著。

3透明加解密機制的設計

本文以改進后的IBE算法實現透明加解密機制中核心的加密環節，在得到了密文后，再利用耦合后提?。‥xtracting After Coupling，EAC）算法將生成的密文轉換成多個密文分片獨立存儲，從而顯著提高了文件抵抗破解攻擊的能力。優化后的透明加解密機制模型如圖1所示。

步驟4：KGC通過對站點的身份檢索后，已確認該站點為合法站點。隨后判斷_ ，是否相符，若相符則表明用戶A為該文件的創建者，此時KGC首先從KPCS中調取該文件的部分密文分片，隨后連同，r一起回傳用戶A主機，并在此執行EAC算法，對分片和存儲于本地的進行耦合，得到完整的密文后，再通過IBE算法解密成明文；若KGC判斷_與不相符，則表明A不是對象文件的擁有者，假設此文件來源于用戶B，此時KGC將從用戶B處獲取相關的身份信息_ ，_，并據此計算出，r，重新執行前種情況對應的類似過程，最終幫助用戶A實現了對該文件的解密。

4結束語

企業內部文件的加解密技術具有重要且廣泛的應用價值，為了在保障企業經營效率不受影響的前提下，提高信息的保密水平，本文提出針對目前的透明加解密機制進行改進，將IBE算法引入該機制中的加密環節，同時也分析了IBE算法在私鑰管理方面存在的問題，提出采用門限密碼共享機制來分散原算法過于集中的風險，最后結合EAC算法實現了密文的分片獨立存取，有效提高了企業文件的破譯難度和抗攻擊性能。

參考文獻

[1]蔡艷桃.一種基于身份的認證加密方案的改進[J].計算機工程與應用，2011，47（15）：119-122.

[2]邵昱，蕭蘊詩.基于文件系統過濾驅動器的加密軟件設計[J].計算機應用，2005，25（5）：1151-1152.

[3] Russinovich M E， Solomon D A. Microsoft Windows Internals：Microsoft Windows Server 2003， Windows XP， and Windows 2000[M].Washington，DC：Microsoft Press，2017： 775- 85.

[4] Boneh D，Franklin M. Identity-based Encryption from the Weil Pairing[J]. SIAM Journal on Computing，2017，32（3）： 586-615.

[5]龍宇，徐賢，陳克非.兩個降低PKG信任級的基于身份的門限密碼體制[J].計算機研究與發展，2012，49（5）：932-938.

[6]康立，唐小虎，范佳.標準模型下基于認證的混合加密算法[J].通信學報，2009，30（6）：13-18.

[7] WangGJ，Yue FS，LiuQ.A SecureSelf-DestructingSchemefor Electronic Data[J].Journal ofComputer and SystemSciences， 2016，79（2）：279-290.

[8] Wang G J，Yue F S，Liu Q.A Secure Self-destructing Scheme for Electronic Data [J].Journal of Computer and System Sciences，2016，79（2）：279-290.

[9]封化民，孫軼茹，孫瑩.基于身份認證加密的私鑰共享方案及其應用[J].計算機應用研究，2014，31（5）：1507-1510.