陳 宇，祁正華，王 翔

(南京郵電大學 計算機學院，江蘇 南京 210003)

0 引 言

基于身份的密碼體制是由Shamir[1]于1984年提出的。在該密碼體制中，用戶的身份標識符可以看作公鑰，而私鑰由可信中心產(chǎn)生,目的是簡化密鑰管理。2001年，Boneh和Franklin[2]提出了一個實用的基于身份的加密方案(identity-based encryption，IBE)，該方案使用雙線性映射并基于隨機預言機模型證明了安全性，但安全性較弱。在Boneh和Boyen[3]的方案中，第一次提出無隨機的構(gòu)造方案，給出了基于BDH假設的高效IBE，但其為較弱模型(selective-ID模型)。2005年，Waters[4]提出了一個更高效的IBE，使方案的安全性規(guī)約降低，這是對Boyen方案的極大改進。2006年，Gentry[5]根據(jù)Waters的方案，提出一個更高效的IBE。此后，基于身份的密碼體制得到了快速發(fā)展。如簽密技術(shù)，文獻[6-8]給出了有關(guān)新的簽密方案。2002年，Horwitz和Lynn[9]提出了IBE的概念，將用戶身份分配在層次結(jié)構(gòu)中，密鑰生成器(PKG)可以將私鑰生成和身份認證委托給子機構(gòu)。第一個功能齊全的HIBE方案由Gentry和Silverberg[10]提出并證明是自適應身份安全的。

數(shù)據(jù)共享系統(tǒng)中的用戶數(shù)可能很大[11]，隨著用戶數(shù)的增加，PKG可能負擔不起，HIBE[12]以樹狀結(jié)構(gòu)組織用戶[9-10,13-19]來解決PKG的負擔。Seo[12]提出了短密文匿名HIBE，其方案中的密文由4個群元素組成，不依賴方案的等級深度，具有較高的實用性；但是Seo的方案是基于弱模型[20]證明的，所以文中采用3個安全素數(shù)，對不同素數(shù)中的元素構(gòu)造私鑰，生成短的固定密文，并正確解密。

1 預備知識

1.1 雙線性對

輸入安全參數(shù)λ，輸出雙線性組(N,G,GT,e)，階為N=p1p2p3，p1,p2,p3是3個安全素數(shù)。設G,GT是一個階為N的循環(huán)群，g是群G的生成元，稱e:G×G→GT是一個雙線性映射，當且僅當其滿足以下性質(zhì)。

(2)非退化性：存在一個元素g∈G，使得e(g,g)在GT中具有N階；

(3)可計算性：對于任意的u,v∈G，存在一個有效的多項式時間算法來計算e(u,v)。

1.2 復雜性假設

通過Katz[21]方案框架證明假設的安全性，通過Lewko[17]的新技術(shù)找出N的非平凡因子的困難性。

假設1：g是Gp1中的生成元，令X3∈Gp3，E1=(g,X3)，T1∈Gp1p2,T2∈Gp1，定義敵手Λ打破假設1的優(yōu)勢為：Adv1Λ(λ)=|Pr[Λ(E1,T1)=1]-Pr[Λ(E1,T2)=1]| 。

定義1：若Λ的優(yōu)勢Adv1Λ(λ)是可忽略的，則假設1成立。

假設2：令X1∈Gp1，X2，Y2∈Gp2，X3,Y3∈Gp3，令E2=(g,X1X2,X3,Y2Y3)，T1∈Gp1p2p3，T2∈Gp1p3，定義Λ打破假設2優(yōu)勢為：Adv2Λ(λ)=|Pr[Λ(E2,T1)=1]-Pr[Λ(E2,T2)=1]|。

定義2：若Λ的優(yōu)勢Adv2Λ(λ)是可忽略的，則假設2成立。

定義3：若Λ的優(yōu)勢Adv3Λ(λ)是可忽略的，則假設3成立。

1.3 基于身份的分等級加密方案的架構(gòu)

一個HIBE由四種算法構(gòu)成[22]：系統(tǒng)建立、密鑰提取、加密和解密。

系統(tǒng)建立(setup)：輸入安全參數(shù)λ，輸出主密鑰gα和公共參數(shù)PK。

密鑰提取(extract)：輸入用戶身份向量I及其對應的私鑰SKI,輸出對應私鑰SKI'。

加密(encrypt)：輸入PK、I和消息M，輸出密文。

解密(decrypt)：輸入PK，I的密文和私鑰SKI，輸出明文或不合法判定。

1.4 基于身份的分等級加密方案的安全模型

文中的安全模型具有抗適應性選擇身份(向量集)和選擇明文攻擊(IND-CIVS-CPA)的密文不可區(qū)分性，具體定義如下：

系統(tǒng)建立。挑戰(zhàn)者ζ運行建立算法，將PK給Λ并初始化集合S。

階段1：Λ進行兩種適應性詢問。

密鑰提取。ζ生成用戶身份IIDi的私鑰SKIDi并將其給Λ。

解密。ζ運行密鑰提取算法得到身份IIDi的私鑰SKIDi，用SKIDi解密Λ提交的密文，并將解密后的消息發(fā)給Λ。

挑戰(zhàn)。當階段1結(jié)束，Λ輸出兩個等長明文消息M0,M1，同時輸出一個挑戰(zhàn)身份T*。ζ隨機選取一個比特b∈{0,1}，記M0,M1中要加密的明文為Mb，將挑戰(zhàn)密文CT發(fā)送給Λ。

階段2：敵手繼續(xù)進行以下詢問。

密鑰提取。設詢問的身份為IIDk，IIDi≠T*且不能是T*的前一級。

解密。詢問的密文CT≠CT*。

猜想。Λ輸出一個猜測b'∈{0,1}，如果b=b'，則Λ贏得游戲。

此游戲中，敵手的優(yōu)勢定義為：

AdvΛIND-CIVS-CPA(λ)=|Pr[b=b']-1/2|

定義4：若多項式時間t內(nèi)，Λ在以上游戲中進行了至多qIID次密鑰詢問，其優(yōu)勢AdvΛIND-CIVS-CPA(λ)是可忽略的,則稱一個HIBE是(t,qIID)安全的。

Canetti[23]提出將具有抗適應性選擇明文攻擊轉(zhuǎn)化為抗適應性選擇密文攻擊的方案。Gentry[24]提出一種半靜態(tài)安全，在此概念中，Λ在系統(tǒng)建立前必須先提交一個身份集合S，Λ無法查詢S中任何用戶的私鑰，但可以攻擊任何目標集S'?S。

2 基于身份的分級加密方案

3 安全性分析

3.1 正確性

正確性證明如下：

3.2 安全性

文中遵循Lewko[17]方案中的證明框架。

定理1：若定義1～3成立，則文中的HIBE具有抗適應性選擇明文攻擊安全。

解密：當使用標準密鑰或半功能密鑰解密半功能密文時，解密算法將正確輸出明文消息M，因為Gp2中添加的元素將由于正交性而被取消。當使用半功能密鑰嘗試解密半功能密文時，盲化因子中將出現(xiàn)附加元素e(g2,g2)xψ(yk-yc)，除非yk=yc概率為1/N。

下面通過一些游戲來證明方案的安全性。

GameR：真實的游戲。

Gamek:假設Λ在階段1和階段2中能進行最大q次密鑰的查詢，則挑戰(zhàn)密文是半功能的，且返回給敵手Λ的前k個密鑰也是半功能的，而其他密鑰都是標準的。在Game0中，只有返回的挑戰(zhàn)密文是半功能的；在Gameq中，返回的挑戰(zhàn)密文以及所有的密鑰都是半功能的。

GameF:相同于Gameq，挑戰(zhàn)密文是隨機消息進行加密所得的半功能密文。

引理1：若假設2成立，則多項式時間算法無法以不可忽略的優(yōu)勢將GameR和GameRT區(qū)分開來。

引理2：若假設1成立，則多項式時間算法無法以不可忽略的優(yōu)勢將GameRT和Game0區(qū)分開來。

引理3：若假設2成立，則多項式時間算法無法以不可忽略的優(yōu)勢將Gamek-1和Gamek區(qū)分開來。

引理4：若假設3成立，則多項式時間算法無法以不可忽略的優(yōu)勢將Gameq和GameF區(qū)分開來。

猜測：若在Gameq中模擬正確，則CT'是消息Mb對應的半功能密文,Γ輸出T=e(g,g)αs；如果在GameF中模擬正確，則CT'是一個隨機加密的半功能密文，Γ輸出T∈GT。因此，若Λ以ε的優(yōu)勢區(qū)分Gameq和GameF，那么Γ以Adv3Γ(λ)≥ε區(qū)分T的不同可能。

因此，若三個假設成立，文中的HIBE是抗選擇明文攻擊安全的。

4 性能分析

效率對比如表1所示。

表1 HIBE方案效率對比

5 結(jié)束語

給出了一種基于身份的分等級加密方案，該方案中密文的長度和計算量都比較低，且密文的大小不依賴等級的深度，在標準模型中的3個靜態(tài)假設都是有效的，滿足抗適應性選擇身份和選擇明文攻擊安全。

參考文獻：

[1] SHAMIR A.Identity-based cryptosystems and signature sch-emes[C]//Proceedings of CRYPTO 84 on advances in cryptology.New York:Springer-Verlag,1985:47-53.

[2] BONEH D,FRANKLIN M.Identity-based encryption from the Weil pairing[C]//Advances in cryptology-CRYPTO 2001.Berlin:Springer,2001:213-229.

[3] BONEH D,BOYEN X.Efficient selective-ID secure identity-based encryption without random oracles[C]//International conference on the theory and applications of cryptographic techniques.Berlin:Springer,2004:223-238.

[4] WATERS B.Efficient identity-based encryption without random oracles[C]//Advances in cryptology-EUROCRYPT 2005.Aarhus,Denmark:[s.n.],2005:114-127.

[5] GENTRY C.Practical identity-based encryption without random oracles[C]//Proceedings of the 24th annual international conference on theory and applications of cryptographic techniques.[s.l.]:[s.n.],2006:445-464.

[6] QI Zhenghua, YANG Geng, REN Xunyi.Provably secure certificateless ring signcryption scheme[J].China Communications,2011,8(3):99-106.

[7] QI Zhenghua, REN Xunyi, YANG Geng.Provably secure general aggregate signcryption scheme in the random oracle model[J].China Communications,2012,9(11):107-116.

[8] REN Xunyi,QI Zhenghua,YANG Geng.Provably secure aggregate signcryption scheme[J].ETRI Journal,2012,34(3):421-428.

[9] HORWITZ J,LYNN B.Toward hierarchical identity-based encryption[C]//Advances in Cryptology-EUROCRYPT 2002.Amsterdam,The Netherlands:[s.n.],2002:466-481.

[10] GENTRY C,SILVERBERG A.Hierarchical ID-based cryptography[C]//Advances in cryptology-ASIACRYPT.New Zealand:[s.n.],2002:548-566.

[11] HUANG Xinyi,LIU J K,TANG Shaohua,et al.Cost-effective authentic and anonymous data sharing with forward security[J].IEEE Transactions on Computers,2015,64(4):971-983.

[12] SEO J H,EMURA K.Revocable identity-based encryption revisited:security model and construction[C]//16th international conference on practice and theory in public-key cryptography.Nara,Japan:[s.n.],2013:216-234.

[13] HU Chengyu,LIU Pengtao,GUO Shanqing,et al.Anonymous hierarchical identity-based encryption with bounded leakage resilience and its application[J].International Journal of High Performance Computing and Networking,2017,10(3):226-239.

[14] LIU Weiran,LIU Jianwei,WU Qianhong,et al.Practical chosen-ciphertext secure hierarchical identity-based broadcast encryption[J].International Journal of Information Security,2016,15(1):35-50.

[15] XING Qianqian,WANG Baosheng,WANG Xiaofeng,et al.Unbounded revocable hierarchical identity-based encryption with adaptive-ID security[C]//IEEE 18th international conference on high performance computing and communications;IEEE 14th international conference on smart city;IEEE 2nd international conference on data science and systems.[s.l.]:IEEE,2016:430-437.

[16] LIANG Kaitai,SUSILO W,LIU J K,et al.Efficient and fully CCA secure conditional proxy re-encryption from hierarchical identity-based encryption[J].The Computer Journal,2015,58(10):2778-2792.

[17] LEWKO A,WATERS B.New techniques for dual system encryption and fully secure HIBE with short ciphertexts[C]//Proceedings of the 7th international conference on theory of cryptography.Zurich,Switzerland:Springer-Verlag,2010:455-479.

[18] TSAI T T,TSENG Y M,WU T Y.RHIBE:constructing revocable hierarchical ID-based encryption from HIBE[J].Informatica,2014,25(2):299-326.

[19] SEO J H,KOBAYASHI T,OHKUBO M,et al.Anonymous hierarchical identity-based encryption with constant size ciphertexts[C]//Proceedings of the 12th international conference on practice and theory in public key cryptography.CA:Springer-Verlag,2009:215-234.

[20] CANETTI R,HALEVI S,KATZ J.A forward-secure public-key encryption scheme[C]//Advances in cryptology-EUROCRYPT 2003.Warsaw,Poland:Springer-Verlag,2003:255-271.

[21] KATZ J,SAHAI A,WATERS B.Predicate encryption supporting disjunctions, polynomial equations, and inner products[C]//Proceedings of the theory and applications of cryptographic techniques 27th annual international conference on advances in cryptology.[s.l.]:[s.n.],2008:146-162.

[22] 王 皓.基于身份密碼體制的研究[D].濟南:山東大學,2012.

[23] CANETTI R,HALEVI S,KATZ J.Chosen-ciphertext security from identity-based encryption[C]//Advances in cryptology-EUROCRYPT 2004.Berlin:Springer,2004:207-222.

[24] GENTRY C,WATERS B.Adaptive security in broadcast encryption systems (with short ciphertexts)[C]//Proceedings of the 28th annual international conference on advances in cryptology:the theory and applications of cryptographic techniques.[s.l.]:[s.n.],2009:171-188.

[25] CHOW S S M,YIU S M,HUI L C K,et al.Efficient forward and provably secure ID-based signcryption scheme with public verifiability and public ciphertext authenticity[C]//International conference on information security and cryptology.Berlin:Springer,2003:352-369.