回到主页
回到主页

ETSI基于加密的访问控制标准落地

· N2,INDUSTRY NEWS
想要GDPR合规?找ETSI。
broken image

欧洲电信标准协会(ETSI)推出新型加密标准,解决企业安全、访问控制和GDPR合规问题。

ETSI网络安全技术委员会日前发布了两套基于属性的加密标准,旨在帮助公司企业对GDPR合规所需保护的个人数据应用访问控制措施。

新加密标准可确保个人数据只会在用户密钥的属性匹配加密属性时才能解密。

ETSI认为,基于属性的加密更便于以“默认安全”的访问控制保护数据——访问不与用户名和口令绑定而是与假名或匿名属性绑定。另外,标准化也能让互操作更简单易行。

ETSI的发布声明以HR访问控制为例:如果用户具备HR雇员属性,且在公司工作1年以上,可被限制访问员工薪酬数据。

“

用加密实施访问控制比基于软件的访问控制解决方案更加安全,而且给定数据集用一个加密属性就能保护好,相当有效率。

这次推出的两个标准是ETSI-TS-103-458和ETSI-TS-103-532。

ETSI-TS-103-458定义基于属性加密的高层次要求,涵盖IoT设备、广域网(WLAN)、云服务和移动服务。

网络边界和IoT环境中,数据访问可在网络内或设备上进行控制。广域网访问中的数据防护,需考虑通过不同无线网络提供的终端用户凭证。ETSI-TS-103-458的4个用例可在访问源自非受信移动网络、云环境、IoT环境和广域网时,为数据提供保护。

标准指出,移动用例中,用户的国际移动设备识别码(IMEI)可能在跨国旅游时被暴露出来。基于属性的加密可保护所存储数据免遭网络上的恶意窃听。

通过为不同用例提供用户身份保护,ETSI-TS-103-458能降低恶意第三方攫取用户凭证访问企业数据库之类系统中个人数据的风险。

另一个标准,ETSI-TS-103-532,描述的是基于属性加密的技术实现细节。

正如ETSI声明所阐述的,该标准提供了支持基于属性加密(ABE)密文策略及密钥策略两种变体的一个加密层,有不同层次的安全保障以符合云、移动及IoT用例。

ETSI-TS-103-532含有一个可扩展的加密层,未来能不断加入新的加密方案,直到新兴后量子加密世界。

ETSI的发布声明:

https://www.etsi.org/news-events/news/1328-2018-08-press-etsi-releases-cryptographic-standards-for-secure-access-control

ETSI-TS-103-458标准:

https://www.etsi.org/deliver/etsi_ts/103400_103499/103458/01.01.01_60/ts_103458v010101p.pdf

ETSI-TS-103-532标准:

https://www.etsi.org/deliver/etsi_ts/103500_103599/103532/01.01.01_60/ts_103532v010101p.pdf

本文转自安全牛,nana

原文链接:https://mp.weixin.qq.com/s/wq9fJJCzs2RI72J-Q317QA

上一篇
阿里云都开始养猪了 不要忽视农村科技的显著进步
下一篇
最佳电子邮件安全要靠这三大协议:DMARC、SPF和DKIM
 回到主页
Cookie的使用
我们使用cookie来改善浏览体验、保证安全性和数据收集。一旦点击接受,就表示你接受这些用于广告和分析的cookie。你可以随时更改你的cookie设置。 了解更多
全部接受
设置
全部拒绝
Cookie设置
必要的Cookies
这些cookies支持诸如安全性、网络管理和可访问性等核心功能。这些cookies无法关闭。
分析性Cookies
这些cookies帮助我们更好地了解访问者与我们网站的互动情况,并帮助我们发现错误。
首选项Cookies
这些cookies允许网站记住你的选择,以提供更好的功能和个性化支持。
保存