在数据需要流通协作的背景下,数据安全授权变得尤为重要。这是因为在数据流通协作过程中,数据所有者需要授权其他参与方来访问和使用其数据,以便达到协作的目的。传统基于角色的权限控制是一种通过角色和权限来实现数据安全授权的机制,这种授权方式具有灵活性和可扩展性,但是可能需要进行大量的角色和权限管理,会增加管理的复杂性和难度。基于密码学的访问控制与基于角色的访问控制是两种不同的数据安全授权机制。
基于密码学的访问控制可以对数据进行加密,从而在数据存储和传输过程中保护数据的隐私性,防止数据被未经授权的人访问和使用;可灵活地控制数据的访问和使用权限,具有更高的可定制性和可扩展性,适用于各种复杂的数据授权场景;可以使用去中心化身份验证和智能合约等技术,实现数据授权和访问的去中心化管理,提高数据流通和共享的效率和安全性。
基于密码学的访问控制,通常使用公钥密码算法来设计。然而,公钥密码算法在处理大量数据时效率较低,因此需要一种基于混合加密的访问控制方案来解决这个问题。这种混合加密方案结合了公钥密码和对称密码算法的优势,可以提高加密和解密的效率,同时保持安全性和可靠性。
Umbral[1]是一种基于门限代理重加密技术的方案,由国外知名技术公司Nucypher提供。该方案基于多种国际标准密码算法,包括AES、ECC和BLAKE2b等,实现了安全的数据加密和解密操作。然而,由于国际密码标准的原因,许多国家对AES和ECC等密码算法的使用和实现都受到一定的限制和监管。因此,对这些算法进行国产化密码替换,具有一定的重要性和必要性。
成方金科新技术实验室与隐语团队共同解决了此问题,即:使用隐语的基础密码库yacl,构建了基于国密算法的分布式门限代理重加密(Threshold Proxy Re-Encryption,简称TPRE),TPRE算法技术详解见公众号次条。
TPRE算法具有以下优势:
1、高强度加密:使用门限代理重加密技术对数据进行高强度加密,保护数据的机密性和隐私性。2、分布式架构:采用分布式架构实现对分布式数据的访问控制和授权管理,解决了传统方法在分布式场景下的难题。3、自主可控:使用国密算法SM2 、SM3和SM4对国际密码算法进行替换,保证了数据的自主可控性,可以有效地避免数据泄露和信息安全风险。4、高效性能:算法实现简单、计算量小,可在现有的计算资源下高效地进行数据安全共享和授权管理。
该算法由成方金科密码学研究员张曙光(知乎:六三),基于隐语的密码库yacl实现,其提供了易于开发的密码工具接口,TPRE算法目前已经贡献至yacl中,访问地址:https://github.com/secretflow/yacl/tree/main/yacl/crypto/primitives/tpre
本次成方金科与隐语团队的合作,构建了“基于国密的分布式门限代理重加密算法TPRE”,在数据隐私保护和数据安全共享方面具有广泛的应用前景和重要意义,为用户提供了一种安全、高效、自主可控的数据共享和授权管理方案。TPRE算法技术详解见公众号次条。
参考文献
1.Nucypher. UMBRAL: A THRESHOLD PROXY RE-ENCRYPTION SCHEME.
