使用ABE方案组合加密数据是否可行？

Question

对于保存共享日志文件，我有一个特殊的要求。例如，我有1000条记录，它们属于不同的组织，如下所示，所有的日志都在一个CSV文件中。

1-100 records --> ORG-A;
101-200 records --> ORG-B;
.
.
901-1000 records --> ORG-Z; 

在最初的1-100条记录中，数据只能由ORGANZATION A用户解密，在这100条记录中，很少有记录可供管理员访问，其他90条记录可供普通用户访问(基本上，具有特定角色的用户可以访问这100条记录中的某些记录集)。

我正试图使用ABE方案的组合来解决上述问题，即KP和CP-ABE方案：

加密

1. 基本上，我会使用CP方案(密文策略)对每个记录字段1-100进行加密。我选择CP是因为它允许将基于角色的访问控制( RBAC )策略嵌入到密码文本中。
2. 我会再次使用与组织相关的标签加密1-100记录，使用KP方案。这意味着只有特定组织的用户才能解密记录。

解密

首先使用与KP方案相关的私钥，然后使用CP方案访问数据。

我还在学习如何在现实世界中使用安倍计划。如果有人能验证我在解决问题相关的共享日志和RBAC策略方面的想法，我会很高兴的。

Answer 1

这种加密机制的分层不会显示出这两种方案之间的串通阻力。例如，拥有Org密钥的人可以通过指定给Org管理员的记录解密外部加密，然后将内部密文传递给具有管理员密钥的人。当然，您可以为每个Org的管理员使用不同的密钥，但这只是业务逻辑，而不是加密保证。

我觉得你认为亚伯太狭隘了。听起来你是在强迫安倍像IBE那样运作，这是完全可能的，但不是最好地利用它的能力。使用CP-ABE，您可以指定每个键的多个属性和每个密文的多个策略，并使用自定义的谓词表达式将这些密文策略关联起来。

考虑到这一点，在我看来，日志文件问题的最简单的选择是使用CP-ABE对每条记录进行加密，该谓词与应该发生解密的情况完全匹配。每个键都可以包含组织成员的属性和组织中角色的属性。例如，记录1-90本身可能被加密到“Org”，而记录11-100被加密到“Org和Org”。