郝偉　楊曉元　王緒安　吳立強(qiáng)

摘要：

為了減輕云應(yīng)用中移動(dòng)設(shè)備解密的負(fù)擔(dān)，利用基于身份的廣播加密（IBBE）、基于身份的加密（IBE）、基于身份的條件型廣播代理重加密方案，提出了多條件型非對(duì)稱跨加密系統(tǒng)的代理重加密方案。該方案允許發(fā)送方將信息加密成IBBE密文，一次性發(fā)送給多個(gè)接收方，其中任一接收方又可以授權(quán)給代理者一個(gè)多條件型的重加密密鑰，代理者利用該多條件型重加密密鑰，能將符合多個(gè)條件的原始密文重加密成一個(gè)新的接收方可以解密的IBE密文。該方案實(shí)現(xiàn)了從IBBE加密系統(tǒng)到IBE加密系統(tǒng)的非對(duì)稱代理重加密，而且代理者可以根據(jù)條件將最初的原始密文進(jìn)行重加密，避免了不需要進(jìn)行重加密的原始密文被代理者重加密，提高了代理者重加密的效率，同時(shí)節(jié)約了接收方獲悉正確明文的時(shí)間。

關(guān)鍵詞：

基于身份的加密；基于身份的廣播加密；基于身份的條件型廣播代理重加密；代理重加密

中圖分類號(hào)：

TP309

文獻(xiàn)標(biāo)志碼：A

Abstract：

In order to reduce the decryption burden of the mobile device in cloud application， using IdentityBased Broadcast Encryption （IBBE） scheme， IdentityBased Encryption （IBE） scheme and conditional identitybased broadcast proxy reencryption scheme， an asymmetric crosscryptosystem proxy reencryption scheme with multiple conditions was proposed. In this scheme， the sender is allowed to encrypt information into IBBE ciphertext， which can be sent to multiple recipients at a time. Anyone of the receivers can authorize a multicondition reencryption key to the proxy to reencrypt the original ciphertext which meets the conditions into the IBE ciphertext that a new receiver can decrypt. The scheme realizes asymmetric proxy reencryption from IBBE encryption system to IBE encryption system and allows the proxy to reencrypt the original ciphertext according to the conditions， which avoids the proxy to reencrypt the unnecessary original ciphertext. The scheme not only improves the reencryption efficiency of the proxy， but also saves the time of the receiver to get the correct plaintext.

英文關(guān)鍵詞Key words：

IdentityBased Encryption （IBE）； IdentityBased Broadcast Encryption （IBBE）； conditional identitybased broadcast proxy reencryption； proxy reencryption

0引言

代理重加密（Proxy Reencryption， PRE）[1]為用戶存儲(chǔ)及分享信息提供了一種安全靈活的方法。用戶可以用自己的公鑰加密文件并將其存儲(chǔ)于一個(gè)半可信的服務(wù)器中。當(dāng)用戶想將服務(wù)器中的加密文件轉(zhuǎn)寄給他人時(shí)，他便讓服務(wù)器充當(dāng)一個(gè)代理者，同時(shí)授予代理者一個(gè)由用戶的私鑰及接收方的公鑰生成的重加密密鑰，代理者用該密鑰將服務(wù)器中的密文轉(zhuǎn)換成接收方可以用自己的私鑰解密的密文。早期基于公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure， PKI）的代理重加密方案存在繁瑣的證書管理問(wèn)題[2]，為了克服這一問(wèn)題，提出了基于身份的代理重加密方案[3]。但是，基于身份的代理重加密方案只能一次給一個(gè)用戶轉(zhuǎn)寄信息。為了便于多個(gè)用戶同時(shí)共享信息，又提出了廣播代理重加密[4]、基于身份的廣播代理重加密[5]。然而，這些代理重加密方案大多是以一種粗糙的方式控制原始的密文，即要么將全部原始密文進(jìn)行代理重加密，要么一個(gè)原始密文也不被代理重加密。針對(duì)這一缺陷，引進(jìn)了條件型代理重加密[4-10]，使得只有符合某一條件的原始密文才能被代理者重加密。

隨著現(xiàn)代通信技術(shù)和云計(jì)算的不斷進(jìn)步，智能移動(dòng)終端被廣泛地應(yīng)用于聊天、交友、辦公當(dāng)中。但是，移動(dòng)設(shè)備的計(jì)算能力是有限的，如果要用上述代理重加密方案將存儲(chǔ)在云端的信息轉(zhuǎn)寄給移動(dòng)設(shè)備，移動(dòng)設(shè)備在解密時(shí)勢(shì)必會(huì)力不從心。

針對(duì)這一實(shí)際問(wèn)題，本文提出多條件型非對(duì)稱代理重加密方案。利用現(xiàn)存的基于身份的廣播加密 （IdentityBased Broadcast Encryption， IBBE）[11]、基于身份的條件型廣播代理重加密[5]和文獻(xiàn)[12]中的基于身份的加密（IdentityBased Encryption， IBE）方案，提出了從基于身份的廣播加密到基于身份的加密的、跨加密系統(tǒng)的、多條件型非對(duì)稱代理重加密方案（MultiConditional Asymmetric Proxy Reencryption， MCAPRE）。該方案充分結(jié)合了基于身份的廣播加密、基于身份的加密和條件型代理重加密方案的優(yōu)點(diǎn)，代理者可以將一個(gè)原始IBBE密文轉(zhuǎn)換成一個(gè)IBE密文，適合于計(jì)算能力有限的移動(dòng)用戶共享花費(fèi)較小的代價(jià)分享云端數(shù)據(jù)。同時(shí)，本文提出了該方案的安全模型，并證明它在該模型下是安全的，對(duì)方案的正確性也作了充分說(shuō)明。

第一個(gè)一致性表明任意的原始MCAPRE密文可以被它指定的接收者正確解密。對(duì)于任意被重加密密鑰加密的原始MCAPRE密文，第二個(gè)一致性表明如果重加密密鑰是由原始MCAPRE密文指定的接收者產(chǎn)生的，且原始MCAPRE密文與重加密密文具有相同的條件，那么被該重加密密鑰加密的原始MCAPRE密文是正確的，而且它能被指定的接收方正確解密。

1.5安全模型

該MCAPRE系統(tǒng)包含一個(gè)IBE方案和一個(gè)IBBE方案，而這兩個(gè)原語(yǔ)的標(biāo)準(zhǔn)安全性定義可以分別在文獻(xiàn)[13]和文獻(xiàn)[11]中找到。由于引進(jìn)了代理重加密，在安全性定義中要著重關(guān)注它的安全性。一般來(lái)講，任何概率多項(xiàng)式時(shí)間的攻擊者在不知道原始MCAPRE密文接收者的私鑰及該原始密文的、重加密密文的接收者的私鑰的情況下，他無(wú)法判斷出密文是由兩個(gè)明文中哪一個(gè)加密得到的，那么該MCAPRE方案是選擇性身份安全下的選擇明文攻擊安全的（INDistinguishabilityselective IDentityChosen Plaintext Attack，INDsIDCPA）。

MCAPRE正式的安全性定義通過(guò)攻擊者與挑戰(zhàn)者的游戲定義。設(shè)置階段，攻擊者發(fā)布他要攻擊的身份集S*及條件γ*、 β*、ω*，在初始化階段，挑戰(zhàn)者初始化MCAPRE方案。在挑戰(zhàn)階段，挑戰(zhàn)者在給定的兩個(gè)明文中隨機(jī)地選擇一個(gè)，然后用身份集S*和條件γ*、 β*、ω*進(jìn)行IBBE加密，形成挑戰(zhàn)密文，讓攻擊者判斷他對(duì)哪個(gè)明文加密。在挑戰(zhàn)階段的前后，攻擊者允許詢問(wèn)某些用戶的私鑰和重加密密鑰，也就是攻擊者可以與一些用戶勾結(jié)。但是，攻擊者符合兩個(gè)限制條件：1）不能詢問(wèn)挑戰(zhàn)密文的私鑰；2）如果攻擊者擁有某一密文的解密密鑰，他不能詢問(wèn)可以使得挑戰(zhàn)密文轉(zhuǎn)換成該密文的重加密密鑰。

3.2性能分析

表1將MCAPRE方案分別與文獻(xiàn)[12]和文獻(xiàn)[5]中的方案進(jìn)行了比較。文獻(xiàn)[12]的方案中公鑰長(zhǎng)度和原始密文較短，而且是跨加密系統(tǒng)的代理重方案，同時(shí)在生成重加密密鑰過(guò)程中不需要發(fā)送方與接收方交互；但是，它是非條件型代理重加密，也就是，在代理重加密過(guò)程中，代理者會(huì)將所有的原始密文進(jìn)行重加密，這不僅造成代理者作很多無(wú)用功，而且還使得接收方解密許多不需要的密文，影響解密效率。文獻(xiàn)[5]中的方案是基于身份的廣播代理重加密方案，在生成重加密密鑰過(guò)程中也不需要發(fā)送方與接收方交互，而且在重加密過(guò)程中代理者進(jìn)行條件型代理重加密；但是，該方案不是跨加密系統(tǒng)的代理重加密，而且方案的公鑰長(zhǎng)度、重加密密鑰長(zhǎng)度、重加密密文長(zhǎng)度都偏長(zhǎng)，同時(shí)接收方在解密過(guò)程中需要3次配對(duì)運(yùn)算，解密效率較低。

通過(guò)比較可以發(fā)現(xiàn)，盡管MCAPRE方案的公私鑰長(zhǎng)度、原始密文、重加密密文偏長(zhǎng)，但是，它在生成重加密密鑰的過(guò)程中，不需要發(fā)送方與接收方進(jìn)行交互，而且支持多條件型的、跨加密系統(tǒng)的代理重加密，可以將原始密文進(jìn)行篩選后再進(jìn)行重加密，不但提高了代理者的代理重加密效率，還提高了接收方的解密效率，更適合于計(jì)算能力一般的移動(dòng)用戶應(yīng)用。

4結(jié)語(yǔ)

本文充分利用基于身份的廣播加密、基于身份的加密和基于身份的廣播代理重加密的優(yōu)點(diǎn)，提出了更實(shí)用的多條件型、非對(duì)稱代理重加密方案。該方案充分考慮到目前移動(dòng)設(shè)備計(jì)算能力一般這個(gè)劣勢(shì)，根據(jù)條件，有選擇地將復(fù)雜的基于身份的IBBE密文高效地轉(zhuǎn)換成相對(duì)簡(jiǎn)單的IBE密文，更加利于移動(dòng)設(shè)備的解密，便于移動(dòng)設(shè)備高效快捷地訪問(wèn)云端的信息。但是，當(dāng)條件增多時(shí)，方案的原始密文長(zhǎng)度、重加密密文長(zhǎng)度相應(yīng)地都會(huì)增大，同時(shí)接收方在解密時(shí)也會(huì)增加配對(duì)運(yùn)算的次數(shù)，大家都知道但配對(duì)運(yùn)算相對(duì)于指數(shù)運(yùn)算比較耗時(shí)，因此為了使移動(dòng)設(shè)備的解密速度更快，今后應(yīng)該研究原始密文長(zhǎng)度、重加密密文長(zhǎng)度都不會(huì)隨著條件個(gè)數(shù)的增加而線性增長(zhǎng)的多條件型非對(duì)稱代理重加密方案，而且也應(yīng)該在減少接收方解密時(shí)的配對(duì)運(yùn)算次數(shù)方面下功夫。

參考文獻(xiàn)：

[1]

BLAZE M， BLEUMER G， STRAUSS M. Divertible protocols and atomic proxy cryptography [C]// Proceedings of Advances in Cryptology — European Cryptology Conference 98， LNCS 1403. Berlin： Springer， 1998： 127-144.

[2]

BOLDYREVA A， FISCHLIN M， PALACIO A， et al. A closer look at PKI： security and efficiency [C]// PKC 07： Proceedings of the 10th International Conference on Practice and Theory in PublicKey Cryptography. Berlin： Springer， 2007： 458-475.

[3]

WANG L， WANG L， MAMBO M， et al. Identitybased proxy cryptosystems with revocability and hierachical confidentialities [J]. IEICE Transactions on Fundamentals of Electronics， Communications and Computer Sciences， 2012， 95（1）： 70-80.

WANG L， WANG L， MAMBO M， et al. Identitybased proxy cryptosystems with revocability and hierachical confidentialities [C]// SORIANO M， QING S， LPEZ J. Information and Communications Security， LNCS 6476. Berlin： Springer， 2010：383-400.

[4]

CHU C K， WENG J， CHOW S S M， et al. Conditional proxy broadcast reencryption [C]// Proceedings of the 2009 Information Security and Privacy， LNCS 5594. Berlin： Springer， 2009： 327-342.

[5]

XU P， JIAO T， WU Q， et al. Conditional identitybased broadcast proxy reencryption and its application to cloud email [J]. IEEE Transactions on Computers， 2016， 65（1）： 66-79.

[6]

SHAO J， WEI G， LING Y， et al. Identitybased conditional proxy reencryption [C]// ICC 2011： Proceedings of the Institute of Electrical and Electronics Engineers of International Conference on Communications. Piscataway， NJ： IEEE， 2011： 1-5.

SHAO J， WEI G， LING Y， et al. Identitybased conditional proxy reencryption [C]// Proceedings of the 2011 IEEE International Conference on Communications. Piscataway， NJ： IEEE， 2011： 1-5.

[7]

LIANG K， LIU Z， TAN X， et al. A CCAsecure identitybased conditional proxy reencryption without random oracles [C]// ICISC 12： Proceedings of the 15th International Conference on Information Security and Cryptology， LNCS 7839. Berlin： Springer， 2013： 231-246.

[8]

LIANG K， HUANG Q， SCHLEGEL R， et al. A conditional proxy broadcast reencryption scheme supporting timedrelease [C]// ISPEC 2013： Proceedings of the International Conference on Information Security Practice and Experience， LNCS 7863. Berlin： Springer， 2013： 132-146.

[9]

LIANG K， CHU C K， TAN X， et al. Chosenciphertext secure multihop identitybased conditional proxy reencryption with constantsize ciphertext [J]. Theoretical Computer Science， 2014， 539（9）： 87-105.

[10]

LI J， ZHAO X， ZHANG Y. Certificatebased Conditional Proxy Reencryption [M]// AU M H， CARMINATI B， KOU C C J. Network and System Security， LNCS 8792. Berlin： Springer， 2014： 299-310.

[11]

DELERABLE C. Identitybased broadcast encryption with constant size ciphertexts and private keys [C]// ASIACRYPT 2007： Proceedings of the 2007 Annual International Conference on the Theory and Application of Cryptology and Information Security， LNCS 4833. Berlin： Springer， 2007： 200-215.

[12]

DENG H， WU Q， QIN B， et al. Asymmetric crosscryptosystem reencryption applicable to efficient and secure mobile access to outsourced data [C]// ASIA CCS 15： Proceedings of the 10th ACM Symposium on Information， Computer and Communications Security. New York： ACM， 2015： 393-404.

[13]

BONEH D， BOYEN X. Efficient selectiveid secure identitybased encryption without random oracles [C]// EUROCRYPT 2004： Proceedings of the 2004 European Cryptology Conference， LNCS 3027. Berlin： Springer， 2004： 223-238.