ETSI基于加密的訪問控制標準落地
責編:gltian |2018-09-03 10:27:34想要GDPR合規?找ETSI。
歐洲電信標準協會(ETSI)推出新型加密標準,解決企業安全、訪問控制和GDPR合規問題。
ETSI網絡安全技術委員會日前發布了兩套基于屬性的加密標準,旨在幫助公司企業對GDPR合規所需保護的個人數據應用訪問控制措施。
新加密標準可確保個人數據只會在用戶密鑰的屬性匹配加密屬性時才能解密。
ETSI認為,基于屬性的加密更便于以“默認安全”的訪問控制保護數據——訪問不與用戶名和口令綁定而是與假名或匿名屬性綁定。另外,標準化也能讓互操作更簡單易行。
ETSI的發布聲明以HR訪問控制為例:如果用戶具備HR雇員屬性,且在公司工作1年以上,可被限制訪問員工薪酬數據。
用加密實施訪問控制比基于軟件的訪問控制解決方案更加安全,而且給定數據集用一個加密屬性就能保護好,相當有效率。
這次推出的兩個標準是ETSI-TS-103-458和ETSI-TS-103-532。
ETSI-TS-103-458定義基于屬性加密的高層次要求,涵蓋IoT設備、廣域網(WLAN)、云服務和移動服務。
網絡邊界和IoT環境中,數據訪問可在網絡內或設備上進行控制。廣域網訪問中的數據防護,需考慮通過不同無線網絡提供的終端用戶憑證。ETSI-TS-103-458的4個用例可在訪問源自非受信移動網絡、云環境、IoT環境和廣域網時,為數據提供保護。
標準指出,移動用例中,用戶的國際移動設備識別碼(IMEI)可能在跨國旅游時被暴露出來。基于屬性的加密可保護所存儲數據免遭網絡上的惡意竊聽。
通過為不同用例提供用戶身份保護,ETSI-TS-103-458能降低惡意第三方攫取用戶憑證訪問企業數據庫之類系統中個人數據的風險。
另一個標準,ETSI-TS-103-532,描述的是基于屬性加密的技術實現細節。
正如ETSI聲明所闡述的,該標準提供了支持基于屬性加密(ABE)密文策略及密鑰策略兩種變體的一個加密層,有不同層次的安全保障以符合云、移動及IoT用例。
ETSI-TS-103-532含有一個可擴展的加密層,未來能不斷加入新的加密方案,直到新興后量子加密世界。
ETSI的發布聲明:
ETSI-TS-103-458標準:
https://www.etsi.org/deliver/etsi_ts/103400_103499/103458/01.01.01_60/ts_103458v010101p.pdf
ETSI-TS-103-532標準:
https://www.etsi.org/deliver/etsi_ts/103500_103599/103532/01.01.01_60/ts_103532v010101p.pdf