基于CP—ABE的云課堂模型研究

劉婭++張豪

摘 要：隨著數字化時代的到來，越來越多的行業(yè)為互聯網所滲透。網絡技術和多媒體技術的普及深刻地影響著人類的思維方式和學習模式。云課堂是近年來教育信息化發(fā)展的新事物，其通過網絡及時地分享語音、視頻以及數據文件，是基于云計算技術的高效、便捷、實時互動的遠程教學課堂形式，為學生提供了便捷的學習資源，豐富了學習內容。值得注意的是，隨著云課堂的廣泛應用，數字化的教育資源以及用戶對數據以及個人隱私需求的提升，信息安全受到了威脅，迫切需要實現對用戶的動態(tài)授權，安全需求急劇增長。文章通過屬性加密的方式，利用屬性集合模糊用戶的身份信息，為數據密文設置訪問結構樹，當屬性集合中的屬性能夠滿足此訪問結構時，才能授權使用者的訪問能力，從而提升安全保障，讓其真正成為安全可靠的學習幫手。

關鍵詞：云課堂；隱私；屬性加密；訪問結構樹；屬性集

1 虛擬課堂概述

隨著計算機技術的不斷成熟和發(fā)展，傳統的教育教學方式已經不能夠滿足人類的需求，現如今網絡已成為教師教學的輔助工具。虛擬課堂的應用已經非常廣泛、靈活、智能。云課堂是時代發(fā)展的必然，學習資源通過云課堂不斷地上傳更新，學生能夠隨時隨地獲取所需視頻資料，不再受到時間、地域等的限制，可以隨時隨地學習。

云課堂帶來方便的同時，也帶來了信息濫用、信息泄露等方面的問題。由于數據信息對于云課堂來說是非常重要的，它是一個商業(yè)企業(yè)的經濟來源，將其隨意地暴露在云端環(huán)境中對任何公司和個人而言都是不公平的。因此，云端環(huán)境下保證課程數據的隱私性是一個重要的問題。確定一套可靠的云課堂資源保護方案將是一個需要在實踐中不斷總結和完善的課題。本文根據屬性加密的方式，對如何進行安全保護做了一定的闡述，當且僅當使用者的信息符合訪問規(guī)定時，才具有訪問云課堂資源功能。

2 云課堂現狀分析

在大時代數據的背景下，云技術、互聯網逐漸的滲透著人類的生活。互聯網的快速發(fā)展，使得知識的更新周期開始加速。聯合國教科文組織曾經做過一項研究，進入新世紀以來，許多學科的知識更新周期已經縮短為2～3年[1]，傳統的課堂教學方式已經不能滿足學生學習的需要。與此同時，中國的教育模式也在隨著科技的發(fā)展悄然放生著變化，傳統教學與網絡在線學習相互結合已成為學生學習的基本模式。云課堂是時代發(fā)展下的必然趨勢[2]，為教育行業(yè)提供了豐富的學習資源和先進的教學技術。云課堂在豐富的學習資源和靈活的學習方式方面的優(yōu)勢是傳統教育無法企及的。結合教育信息化實踐，用信息化促進教育改革，由單一的教材和教師講授向多元化的網絡資源和教學方式過渡，豐富了廣大師生學習的途徑[3]。

網絡在線學習逐漸被廣大師生所接受，信息技術成為教師教學的輔助工具，教師通過云課堂自由地上傳教育資源，學生根據學習興趣自由地下載學習資源[4]。

3 主要概念介紹

3.1 云課堂

所謂“云課堂”，是一類全方位的面向教育行業(yè)和培訓行業(yè)的教育機制，是以網絡平臺為基礎的一種高效、便捷、實時互動的遠程教學課堂形式。各種各樣的學習資源被不斷地上傳與更新，學習者只需點擊鼠標，即可獲得學習視頻或者語音等資源。在信息技術的支撐下，云課堂是一種真正不受時間、地點、空間限制的全方位互動性學習模式。學生通過面對面的教學和云課堂相結合，選擇最適合自己的學習方式，同時能夠隨時隨地的提出自己的想法，可以通過網絡進行溝通解答，由原來被動學習轉變?yōu)橹鲃铀伎?，可以在互動與實踐中進行學習。

3.2 屬性加密

隨著計算技術的迅猛發(fā)展，在云端環(huán)境中信息資源的共享的大眾化，使得其對信息安全問題的處理越來越迫切.教育資源提供方需要制定一系列安全可靠且靈活的訪問控制策略，從而對數據資源的共享加以限制，同時需要在與用戶的數據傳輸過程中保證數據不外泄.大規(guī)模分布式應用也迫切需要支持一對多的靈活的通信模式，基于屬性加密（Attribute-Based Encryption，ABE）機制以屬性為公鑰，將密文和用戶私鑰與屬性關聯，能夠靈活地表示訪問控制策略，它把身份標識被看作是一系列的屬性，而訪問策略的性能將直接影響到整個訪問控制系統的性能。信息使用者只有當自己的屬性信息和信息加密者描述的信息一致的時候，才可以解密加密者加密的信息。傳統的加密技術在加密時，必須明確具體的解密者，實際操作起來對于管理者而言是非常麻煩的，屬性加密打破了傳統公鑰加密體制一對一的通信模式成為一個面對特定群體的廣播加密。

3.3 CP-ABE

早在2005年ABE的設計思想就已被SAHAI等[4]提出。提出者設計了基于生物特征信息的身份加密方案，稱為模糊身份加密方案（Fuzzy Identity-Based Encryption，Fuzzy-IBE）。這個方案是屬性密碼學的雛形?；趯傩缘募用芩惴ㄊ且环N新型的加密算法。它由原來的一對一的數據傳輸模式轉變?yōu)楦屿`活的一對多的通信模式。改變了原來死板機械的識別模式，轉變?yōu)楦屿`活的且安全系數高的訪問控制模式。適用于解密方不確定的情況，它是一個一對多的廣播加密。其在公鑰加密思想中引入訪問結構，以此部署加密數據的合集來標識用戶，通過加密技術對文件數據進行加密，密鑰使用CP-ABE技術加密，當用戶想要訪問受保護的網絡資源時，首先要將自己的屬性發(fā)送至服務器進行同資源的發(fā)布者所設定的屬性進行相關的匹配。在整個加解密過程中云盤系統服務商不知道關于解密密鑰以及訪問結構等信息，確保文件數據在云端環(huán)境下的安全性。圖1所示的是一棵訪問控制樹，樹中的每一個葉子節(jié)點代表一個屬性值。屬性匹配時，只要用戶具有的屬性集合能夠保證使整棵樹的值為1，那么屬性值就是匹配的，否則就是不匹配的。

4 屬性加密在云課堂中的應用構想

4.1 屬性加密與訪問解密在云課堂中的應用

隨著云課堂廣泛應用到互聯網，由于云課堂可以為用戶提供價格公道、便利的服務，越來越多的用戶把自己的注意力轉移到云課堂上來實現知識的獲取。通常情況下，這些云課堂上的信息并都是以加密的形式存儲，且由服務器控制其他用戶對信息的訪問。如果服務器遭到攻擊，信息將會被泄漏，企業(yè)將遭受巨大的損失，用戶所獲得的信息質量也會沒有保障。傳統的公鑰加密機制有以下缺陷：資源提供方需要用接收群體中的每個用戶的公鑰加密信息，并將密文再分給相應的用戶，導致處理開銷大和占用寬帶多。要求資源提供方在在加密前獲取所有接收用戶的信息[5]。文件數據使用加密技術加密，當更改分享對象時，只需簡單的修改訪問策略，重新加密對稱密鑰，而無需對文件重新加密，具有較高的效率[6]。如圖2所示，教育工作者或者老師將錄制好的課程資源加密上傳到云服務器，并且根據機構或者自己的需要為這些教育資源設置相應的訪問結構，當用戶想要訪問受保護的網絡資源時，首先要將自己的屬性發(fā)送至服務器進行同資源的發(fā)布者所設定的屬性進行相關的匹配。能否訪問已有的網絡課程資源，取決于自己所具有的屬性集合能否超越資源發(fā)布者設定的屬性閥值。如，大張老師想在云課堂平臺上發(fā)布一節(jié)網絡課程視頻資源，首先通過給課程資源設定訪問結構樹對資源的訪問權限進行限制，這樣上傳到網絡云課堂上的課程資源就是密文存儲在服務器上，避免了由于服務器不可信帶來的隱私泄露問題。如果小張同學想要訪問大張發(fā)布的課程資源，那么小張首先需要將自己的屬性值發(fā)送給數據中心進行屬性匹配和身份驗證，當小張具有的屬性集合滿足大張設置的訪問結構樹的訪問結構，并且突破大張設置的訪問閥值，小張就可以順利地獲得自己想要的課程資源。如果小張的屬性值集合和大張設置的屬性值集合不匹配或屬性值突破不了訪問結構樹設置的閥值，小張就無法獲得受保護的課程資源。endprint

4.2 算法分析

利用的CP-ABE加密機制，在公鑰加密思想中引入訪問結構，用屬性的合集來標識用戶，當用戶想要訪問受保護的網絡資源時，首先要將自己的屬性發(fā)送至服務器進行同資源的發(fā)布者所設定的屬性進行相關的匹配，當用戶的屬性與資源發(fā)布者設定的屬性閥值相匹配時，用戶才能夠解密得到對稱密鑰再對文件進行解密。CP-ABE主要由4種算法組成。

（1）Setup（k，U）輸入安全系數k和屬性集合U，輸出主私鑰MSK和公共參數Q。

（2）Keygen（MSK，X）輸入MSK和任意權限X，輸出密鑰SKX。

（3）Enc（Q，Y，n）輸入Q，密文索引主Y和將加密的資源n，輸出密文CTY。

（4）Dec（Q，SKX，CTY）輸入P，SKX 和CTY，輸出解密的結果n。

5 結語

現代技術與教育信息的融合，是現代教育信息的一大跨越性發(fā)展，應予以厚望。網絡學習平臺逐漸在高校等教育機構中得到運用，傳統教學與云課堂相互結合，能夠全面、充分地激發(fā)學生學習的興趣與動力。各類學習資源通過云課堂為學生所了解，學習者在不受時間、地點的條件下，能夠便捷、快速地下載并且學習，同時為終身學習提供了便捷性。本文通過屬性結構樹的加密機制，當且僅當用戶屬性集合中的屬性能夠滿足訪問策略，用戶才能進行訪問資源。當分享對象改變時，不需要對文件重新加密，只需更改相應的屬性控制結構樹，這樣不僅信息安全得到了保障也極大地提高了效率，節(jié)省人力物力資源。

[參考文獻]

[1]胡佳詩.網易云課堂“微專業(yè)”公關傳播策劃方案[D].杭州：浙江大學，2015.

[2]張杭美.中小學云課堂個性化教學實施現狀及改進策略研究[D].貴陽：貴州師范大學，2016.

[3]彭璐.基于云課堂在線學習平臺的混合學習資源建設及教學實踐研究[D].武漢：華中師范大學，2016.

[4]SAHAI A，WATERS B.Fuzzy identity-based encryption[C].Advances in Cryptology-EUROCRYPT 2005.Berlin：Springer-Verlag，2005：457-473.

[5]周彥萍，馬艷東.基于CP-ABE的訪問控制研究[J].計算機技術與發(fā)展，2014（2）：145-148.

[6]雷微.基于屬性加密技術的云盤系統研究與實現[D].成都：西南交通大學，2016.endprint