Следует также учесть критерии, которым должна удовлетворять криптосистема на основе атрибутов, сформулированные в работе [5]: К1: Конфиденциальность данных .

Данные должны быть зашифрованы владельцем перед отправкой их в облако. Неавторизованный участник, включая облако не могут узнать о данных, которые были зашифрованы.

К2: Детальный контроля доступа .

В группе пользователей система предоставляет различные правила доступа для каждого отдельного участника группы. Таким образом, пользователи, которые находятся в одной группе могут иметь различные правила доступа к данным.

К3: Масштабируемость . Число зарегистрированных пользователей не должно влиять на производительность системы. К4: Контроль действий . Недопустима передача атрибутов секретного ключа авторизованного пользователя другим лицам. К5: Отзыв прав пользователя .

Если пользователь выходит из системы, то система может отозвать права данного пользователя. Пользователь, чьи права были отозваны, уже не сможет получить доступ к данным.

К6: Невозможность сговора .

Пользователи не могут объединять свои атрибуты, чтобы расшифровать данные, поскольку каждый атрибут связан с многочленом или случайным числом. Таким образом, пользователи не могут вступать в сговор друг с другом.

Также распределение ключей с ограничением на взаимодействие может быть реализовано с помощью хэш-функций [6].

Другой подход основан на модификации схем предварительного распределения ключей. В работе [7] предложена модификация схемы Блома, позволяющая реализовать запрет на отдельные каналы обмена информацией между пользователями. В статьях [8, 9] аналогичная задача решена на основе KDP-схемы предварительного распределения ключей. Однако в обоих случаях запрещен или разрешен полный обмен информацией между двумя пользователями. Тогда как в реальных системах актуальна проблема разграничения доступа к ресурсам исходя из его типа. Таким образом, актуальной является задача модификации схем предварительного распределения ключей, учитывающая направление информационных потоков.

Целью данной статьи является разработка схемы предварительного распределения ключей для системы с учетом типов доступов. 1

Постановка задачи Рассмотрим систему с двумя базовыми типами доступа: чтения ( ) и записи (). При инициализации канала обмена информацией необходимо следить в каком направлении будут передаваться данные. Таким образом все каналы должны быть симплексными. Введем переменную , показывающую направление передачи данных. Если пользователь отправляет запрос на открытие канала по чтению, то есть получению информации, то = − 1. Если пользователь открывает канал по записи, то есть передаче информации, то = 1.

В схеме предварительного распределения ключей каждому пользователю по защищенному каналу выдаются некоторые ключевые материалы, на основании которых с использованием открытой информации может быть сформирован общий ключ. В нашем случае симплексных каналов для пары пользователей и должны формироваться два ключа: – ключ для передачи информации от пользователя пользователю , – ключ для передачи информации от пользователя пользователю . В случае обращения пользователя для чтения информации к пользователю или обращения пользователя к пользователю для записи используется ключ . В случае обращения пользователя для чтения информации к пользователю или обращения пользователя к пользователю для записи используется ключ . Потребуем, чтобы запрещенные каналы передачи информации имели нулевой парный ключ, а разрешенные – ненулевой. Схему предварительного распределения ключей, удовлетворяющую данным условиям, будем называть симплексной. 2

Алгоритм предварительного распределения ключей Реализуем мандатную схему предварительного распределения ключей на базе хорошо известной схемы Блома, проведя ее модификацию.

В схеме предварительного распределения ключей Блома на сервере генерируется симметрический многочлен от двух переменных (, ) над полем по модулю . Каждому пользователю сопоставляется некоторое число . Далее для каждого пользователя формируются многочлены от одного переменного () = (, ). Данные многочлены передаются по защищенным каналам пользователям и хранятся в секрете. При необходимости выработать общий ключ с пользователем пользователь извлекает из открытой базы элемент и вычисляет значение = (). Аналогичным образом поступает пользователь , вычисляя = (). Симметричность многочлена (, ) обеспечивает выполнение равенства = .

Для реализации симплексной схемы предварительного распределения ключей необходимо учесть направления информационных потоков. Для учета направления потоков будем генерировать на сервере многочлен от трех переменных (, , ) над полем по модулю , в котором переменная может принимать два значения (+1 или -1) и определяет направление потока информации. Каждому пользователю как и в обычной схеме Блома сопоставим некоторое число , которое хранится в открытом виде и защищено от изменений. Для каждого пользователя сервер распределения ключей формирует многочлен (, ) = (, , ) и передает его по защищенному каналу. Многочлен (, , ) должен иметь такой вид, чтобы на основе функции (, ) и чисел для разрешенного обмена информации генерировался ключ ̸= 0, а для запрещенных каналов = 0. При этом оба участника обмена должны вырабатывать одинаковый ключ на основе собственных секретных ключевых материалов и открытой информации друг о друге.

Рассмотрим два вида взаимодействия пользователей при передаче информации. Во-первых, остановимся на случае, в котором пользователь инициирует получение информации от пользователя , то есть обращается к нему с запросом на чтение. Пользователь отправляет информацию предварительно зашифровав ее ключом

= (, 1) = (, , 1). Параметр = 1, так как для информационный поток исходящий. Пользователь получает сообщение и расшифровывает его тем же ключом, вычисляемым на основе своих ключевых материалов: = (, − 1) = (, , − 1). Параметр = − 1, так как для информационный поток входящий.

Второй случай состоит в том, что пользователь инициирует отправку информации пользователю , то есть обращается к нему с запросом на запись. Пользователь отправляет информацию предварительно зашифровав ее ключом

= (, 1) = (, , 1). Параметр = 1, так как для информационный поток исходящий. Пользователь получает сообщение и расшифровывает его тем же ключом, вычисляемым на основе своих ключевых материалов: Параметр = − 1, так как для информационный поток входящий.

Из рассмотрения этих двух случаев вытекает три требования, накладываемых на функцию (, , ): = (, − 1) = (, , − 1). 1. 2. 3.

(, , 1) ̸= (, , 1), (, , − 1) ̸= (, , − 1), (, , 1) = (, , − 1). Первые два требования сводятся к несимметричности функции (, , ) к перестановке первых двух аргументов при любом значении третьего аргумента. Для криптографической стойкости также необходимо потребовать, чтобы вычисление (, , ) было невозможно на основании известного значения (, , ). Будем задавать (, , ) в следующем виде: (, , ) = ︂{ ℎ(), = 1,

ℎ(), = − 1. Здесь ℎ() некоторый многочлен от одной переменной. Очевидно, что данная функция удовлетворяет всем трем требованиям, перечисленным выше. Криптографическая стойкость данной функции обеспечивается трудоемкостью задач линейного логарифмирования и вычисления корня в конечных полях. степени : Тогда значение функции: где () = ( = 1, ..., ).

каналу вектор: ются ключевые материалы, необходимые для вычисления функции от двух переменных: (, ) = (, , ) = ︂{ ℎ(), = 1, ℎ(), = − 1. Для вычисления значений функции (, 1) пользователю необходимо знать одно число ℎ = ℎ(), которое сервер передает ему по защищенному каналу.

Рассмотрим более сложный случай вычисления (, − 1). Пусть ℎ() представляет собой многочлен ℎ() = + − 1− 1 + ... + 1 + 0. (, − 1) = +− 1− 1+...+1+0 = = ( ) (︀ − 1 )︀ − 1

... (1 ) (0 ) = = ︁( ())︁ (︁ · ()− 1︁) − 1 · ... · (︁ ())︁ 1 · (0), Таким образом сервер в качестве ключевых материалов высылает пользователю по защищенному = ︁( ℎ, (), ()− 1, ..., () 1 , ())︁ . 0 Этих данных достаточно для вычисления значений функции. При этом, задача определения коэффициентов многочлена ℎ() по координатам вектора сводится к дискретному логарифмированию.

Следует отметить, что данная схема незначительно увеличивает объем ключевых материалов, хранящихся у пользователя в сравнении с традиционной схемой Блома – добавляется одно число. Однако процедура нахождения парного ключа значительно более трудоемкая, так как требует возведения в степень больших чисел. Заключение Таким образом, модификация схемы Блома позволяет организовать обмен сообщениями по симплексным каналам. При этом приходится отказаться от идеи использования симметрических многочленов. Такой отказ обусловлен тем, что сам обмен информацией становится несимметричным. Список литературы [1] A. Shamir. Identity-Based Cryptosystems and Signature Schemes. Advances in Cryptology: Proceedings of

CRYPTO 84, Lecture Notes in Computer Science , 7:47–53, 1984. [3] D. Boneh, M. Franklin. Identity-based encryption from the weil pairing. In CRYPTO ’01: Proceedings of the 21st Annual International Cryptology Conference on Advances in Cryptology , 213–229, 2001. [4] C. Cocks. An identity based encryption scheme based on quadratic residues. Proceedings of the 8th IMA

International Conference on Cryptography and Coding , 360–363, 2001. [5] C.-C. Lee, P.-S. Chung, M.-S. Hwang. A Survey on Attribute-based Encryption Schemes of Access Control in Cloud Environments. International Journal of Network Security , 15(4):231–240, 2013. [6] S.V. Belim, N.F. Bogachenko. Distribution of Cryptographic Keys in Systems with a Hierarchy of Objects.

Automatic Control and Computer Sciences , 50(8):773–776, 2016. [7] S.V. Belim, S.Yu. Belim, S.Yu. Polyakov. The implementanion of discretionary access separation using a modified Blom’s scheme of key distribution.

2015.

Realization of Simplex Channels in the Distributed Systems on the Basis of the Blom’s Preliminary Distribution of Keys Scheme