ETSI基于加密的访问控制标准落地

想要GDPR合规？找ETSI。

欧洲电信标准协会(ETSI)推出新型加密标准，解决企业安全、访问控制和GDPR合规问题。

ETSI网络安全技术委员会日前发布了两套基于属性的加密标准，旨在帮助公司企业对GDPR合规所需保护的个人数据应用访问控制措施。

新加密标准可确保个人数据只会在用户密钥的属性匹配加密属性时才能解密。

ETSI认为，基于属性的加密更便于以“默认安全”的访问控制保护数据——访问不与用户名和口令绑定而是与假名或匿名属性绑定。另外，标准化也能让互操作更简单易行。

ETSI的发布声明以HR访问控制为例：如果用户具备HR雇员属性，且在公司工作1年以上，可被限制访问员工薪酬数据。

用加密实施访问控制比基于软件的访问控制解决方案更加安全，而且给定数据集用一个加密属性就能保护好，相当有效率。

这次推出的两个标准是ETSI-TS-103-458和ETSI-TS-103-532。

ETSI-TS-103-458定义基于属性加密的高层次要求，涵盖IoT设备、广域网(WLAN)、云服务和移动服务。

网络边界和IoT环境中，数据访问可在网络内或设备上进行控制。广域网访问中的数据防护，需考虑通过不同无线网络提供的终端用户凭证。ETSI-TS-103-458的4个用例可在访问源自非受信移动网络、云环境、IoT环境和广域网时，为数据提供保护。

标准指出，移动用例中，用户的国际移动设备识别码(IMEI)可能在跨国旅游时被暴露出来。基于属性的加密可保护所存储数据免遭网络上的恶意窃听。

通过为不同用例提供用户身份保护，ETSI-TS-103-458能降低恶意第三方攫取用户凭证访问企业数据库之类系统中个人数据的风险。

另一个标准，ETSI-TS-103-532，描述的是基于属性加密的技术实现细节。

正如ETSI声明所阐述的，该标准提供了支持基于属性加密(ABE)密文策略及密钥策略两种变体的一个加密层，有不同层次的安全保障以符合云、移动及IoT用例。

ETSI-TS-103-532含有一个可扩展的加密层，未来能不断加入新的加密方案，直到新兴后量子加密世界。

ETSI的发布声明：

https://www.etsi.org/news-events/news/1328-2018-08-press-etsi-releases-cryptographic-standards-for-secure-access-control

ETSI-TS-103-458标准：

https://www.etsi.org/deliver/etsi_ts/103400_103499/103458/01.01.01_60/ts_103458v010101p.pdf

ETSI-TS-103-532标准：

https://www.etsi.org/deliver/etsi_ts/103500_103599/103532/01.01.01_60/ts_103532v010101p.pdf