王占君，馬海英，王金華

1.南通大學(xué) 理學(xué)院，江蘇 南通 226019

2.南通大學(xué) 計算機科學(xué)與技術(shù)學(xué)院，江蘇 南通 226019

3.南洋理工大學(xué) 計算機科學(xué)工程學(xué)院，新加坡 639815

1 引言

隨著移動通信和云計算技術(shù)的快速發(fā)展，移動云計算通過移動網(wǎng)絡(luò)能夠向人們提供自由、方便、按需使用存儲和計算的云服務(wù)模式。移動云服務(wù)除了具備傳統(tǒng)云計算的便捷云端數(shù)據(jù)存儲、大量的開放軟件服務(wù)、無所不在的強大云計算支撐、終端配置要求低等特點，融合了移動通信設(shè)備和互聯(lián)網(wǎng)，將云服務(wù)從云端推送到移動終端。近年來，世界各大IT公司紛紛推出自己的移動云服務(wù)產(chǎn)品，比如加拿大RIM公司的黑莓服務(wù)、蘋果公司MobileMe服務(wù)、微軟公司的LiveMesh服務(wù)等，這些移動云服務(wù)越來越廣泛地被人們所使用。然而，存儲在云端的海量數(shù)據(jù)往往包含個人隱私信息，如電子病歷、隱私郵件、個人機密信息、金融戰(zhàn)略文件等，這些隱私信息的泄露勢必對個人或企業(yè)造成重大損失?，F(xiàn)代密碼學(xué)機制是保障隱私數(shù)據(jù)安全的一種重要方法。

1984年，Shamir提出了基于身份加密（Identity-Based Encryption，IBE）的概念[1]，改進了傳統(tǒng)公鑰加密機制，解決了PKI的證書管理問題。在IBE系統(tǒng)中，用戶使用唯一的身份信息表示其公鑰，比如身份證號、郵箱地址、電話號碼等，可信的第三方密鑰生成中心根據(jù)其身份為用戶頒發(fā)其私鑰。在移動云環(huán)境中，移動終端設(shè)備在計算能力、存儲能力等方面都存在限制，然而，IBE的加解密需要執(zhí)行許多橢圓曲線上的冪乘和雙線性對等復(fù)雜運算，這使得傳統(tǒng)的IBE方案很難適用于輕量級移動設(shè)備，如手機、無線傳感器。

在線離線密碼機制[2]可以將加密過程分解成離線和在線兩個階段，離線加密利用高性能設(shè)備對加密所需要的大部分復(fù)雜運算進行預(yù)處理，并將預(yù)處理結(jié)果存儲于輕量級設(shè)備中，輕量級設(shè)備執(zhí)行在線加密，根據(jù)得到消息和接受者身份后，僅需執(zhí)行一些簡單運算即可快速生成密文。研究人員將在線離線密碼機制應(yīng)用到IBE中，提出一系列基于身份在線離線加密方案[3-7]，減少了終端設(shè)備的加密開銷，但是，現(xiàn)有IBE方案[3-8]的解密過程仍需要執(zhí)行一些冪乘和雙線性對復(fù)雜運算，很難適用移動設(shè)備。

由于可外包解密的密碼機制[9-12]在保證數(shù)據(jù)安全性的前提下，能夠有效地將絕大部分的解密工作量外包給云服務(wù)器處理，備受移動用戶的青睞。為了減輕移動設(shè)備的解密負擔(dān)，文獻[9]提出了可外包解密的基于屬性加密方案。文獻[10-11]提出了可外包雙線性對的密碼方案。文獻[13-15]提出了基于屬性在線離線加密方案。文獻[16]提出了可外包解密的基于屬性在線離線加密方案，有效緩解了輕量級設(shè)備的加解密計算開銷。因此，構(gòu)造一種適用于移動云計算的基于身份輕量級加密機制，使得加密和解密能夠同時適用于輕量級設(shè)備，將有助于IBE在移動云計算環(huán)境中的廣泛應(yīng)用。

本文利用在線離線和外包技術(shù)，對IBE的加密和解密過程進行合理擴展，提出可外包解密的基于身份在線離線加密方案（IBOOE-OD），并基于DBDHI假設(shè)對其安全性進行了嚴格證明，該方案非常適用于移動云計算中輕量級設(shè)備處理隱私數(shù)據(jù)。首先，該IBOOE-OD方案將加密過程分解為兩個階段：在無需獲知消息和接受者身份的情況下，離線階段利用高性能設(shè)備對加密所需的大部分復(fù)雜運算進行預(yù)處理，并將預(yù)處理結(jié)果保存在輕量級移動設(shè)備中；之后，在得到消息和身份后，移動設(shè)備執(zhí)行在線階段，僅需計算少量簡單運算即可生成密文。在此基礎(chǔ)上，利用外包解密技術(shù)，修改密鑰生成算法，輸出一個Elgmal型密鑰和一個轉(zhuǎn)化密鑰，其中，Elgmal型密鑰是由用戶秘密保存，轉(zhuǎn)化密鑰可提交給云服務(wù)商。通過增加一個密文轉(zhuǎn)化算法，使得云服務(wù)商在不能獲知用戶私鑰和明文的任何信息情況下，利用轉(zhuǎn)化密鑰和轉(zhuǎn)化算法，將密文轉(zhuǎn)化成Elgmal型密文。最后，移動終端利用用戶私鑰和Elgmal型密文，僅通過一個冪乘運算即可恢復(fù)明文。通過對該IBOOE-OD方案進行性能分析，表明移動設(shè)備僅需執(zhí)行少量的加密和解密計算量即可生成密文和恢復(fù)明文，非常適合于移動云計算中的輕量級終端設(shè)備。

2 雙線性對和q-DBDHI假設(shè)

雙線性對：設(shè)G和GT是兩個階為素數(shù)p的乘法循環(huán)群，g是G的生成元，是一個映射滿足：（1）雙線性，對任意的 U,V∈G ，a,b∈Z ，有非退化性，；（3）可計算性，對任意的U,V∈G，可在多項式時間內(nèi)計算e(U,V)，則稱e為一個雙線性對。

3 IBOOE-OD定義和安全模型

一個IBOOE-OD方案包括以下六個算法：初始化Setup、密鑰生成 KeyGen、離線加密Encoff、在線加密Encon、密文轉(zhuǎn)化Trans、解密Dec。

Setup(λ)初始化算法輸入安全參數(shù)λ，輸出系統(tǒng)公鑰Pk和主密鑰Msk。

KeyGen(Msk，ID)密鑰生成算法輸入系統(tǒng)主密鑰Msk和用戶身份ID，輸出用戶轉(zhuǎn)化密鑰TKID和用戶私鑰SKID。

Encoff(Pk)離線加密算法輸入系統(tǒng)公鑰Pk，輸出離線密文CToff。

Encon(ID，m，CToff)在線加密算法輸入用戶身份ID，消息m和離線密文CToff，輸出密文CT。

Trans(TKID，CT)密文轉(zhuǎn)化算法輸入轉(zhuǎn)化密鑰TKID和密文CT，如果轉(zhuǎn)化密鑰和密文中的身份相同，輸出轉(zhuǎn)化密文CT'。否則輸出失敗符號

Dec(SKID，CT')解密算法輸入私鑰SKID和轉(zhuǎn)化密文CT'，如果CT'與私鑰中的身份ID相同，輸出明文m，否則輸出失敗符號^。

IBOOE-OD的安全性模型是由挑戰(zhàn)者C和攻擊者A之間的游戲定義如下：

InitA提交一個挑戰(zhàn)身份ID*并發(fā)送給C。

SetupC運行初始化算法Setup，將系統(tǒng)公鑰Pk發(fā)送給A，并秘密保存系統(tǒng)主密鑰Msk。

Phase1A提交身份ID給C，C運行密鑰生成算法，生成用戶轉(zhuǎn)化密鑰TKID和用戶私鑰SKID，若IDID*，C將SKID發(fā)送給A；否則，C將TKID發(fā)送給A。

ChallengeA提交兩個等長的消息m0和m1給C，C隨機選擇b∈{0，1}，利用ID*對mb執(zhí)行加密算法，得到挑戰(zhàn)密文CT*，并將其發(fā)送給A。

Phase2與Phase 1相同。

GuessA給出b的猜測值b'。若b=b'，C輸出1；否則C輸出0。

在上述安全性游戲中，將A攻破IBOOE-OD的優(yōu)勢定義為 Adv(λ)=Pr[b'=b]-1/2 。

定義1（安全性）若所有多項式時間攻擊者A攻破上述游戲的優(yōu)勢都是可以忽略的，則稱該IBOOE-OD在選擇身份模型下滿足選擇明文攻擊的安全性。

4 IBOOE-OD方案和安全性證明

本章首先給出一種IBOOE-OD方案，然后，基于q-DBDHI假設(shè)對其安全性進行證明。

Setup(λ)初始化算法隨機選擇群G的生成元g∈G和一個隨機數(shù)，并計算P=gα，令M 為消息空間，且是兩個密碼學(xué)哈希函數(shù)，輸出系統(tǒng)公鑰Pk={G,GT,p,g,P,M,H1,H2}和系統(tǒng)主密鑰Msk=α。

Encoff(Pk)離線加密算法輸入系統(tǒng)公鑰Pk，隨機選擇，計算輸出離線密文CToff=(C1,c,x,y)。

Encon(ID，m，CToff)在線加密算法輸入用戶身份ID，消息m和離線密文CToff，計算C2=x(H1(ID)-y)modp ，，輸出密文

Dec（SKID，CT'）解密算法輸入私鑰 SKID=(z,TKID)和轉(zhuǎn)化密文CT'=(C3,C4)，如果密文還沒有被轉(zhuǎn)化，該算法首先調(diào)用密文轉(zhuǎn)化算法，得到轉(zhuǎn)化密文CT'=(C3,C4)，然后計算

定理如果q-DBDHI假設(shè)成立，則本文的IBOOE-OD方案在選擇身份模型下滿足選擇明文攻擊的安全性。

證明如果存在一個攻擊者A能以ε的優(yōu)勢攻破IBOOE-OD方案，則可以構(gòu)造一個挑戰(zhàn)者C以相同的優(yōu)勢攻破q-DBDHI假設(shè)。

假定挑戰(zhàn)者 C 獲得一個（q+2）元組 (g,gα,gα2,…,，其中或T是GT中的一個隨機元素。若，C 輸出1；否則，C 輸出0。

InitA提交一個挑戰(zhàn)身份ID*并發(fā)送給C。

SetupC 隨機選擇和，對任意的 i∈{1，2，L，l}{ π}，計算，構(gòu)造 l-1次多項式并設(shè)定G的生成元Q=計算和

Phase1A設(shè)置一個指針變量v=1，提交身份IDv給C，C詢問下面的隨機預(yù)言機和私鑰生成預(yù)言機，生成用戶轉(zhuǎn)換鑰TKID和用戶私鑰SKID，若將SKID發(fā)送給A，否則，C將TKID發(fā)送給A。注意每次詢問Hash函數(shù)H1的身份IDv都是不同的。

隨機預(yù)言機：假設(shè)第v次詢問的身份為IDv，C輸出 H1(IDv)=Iv，并令v增加1。

圖1 移動云計算中基于身份的輕量級加密方案的示意圖

ChallengeA輸入兩個消息m0和m1，C首先計算TG=Tc20T0，其中：

Phase2與Phase 1相同。

GuessA輸出猜測值b ′，若 b=b′，C 輸出1，表示；否則C輸出0，表示T是中的一個隨機元素。

因此，C以ε的優(yōu)勢攻破q-DBDHI假設(shè)。

5 移動云計算IBOOE-OD方案及性能分析

本章首先給出IBOOE-OD在移動云計算環(huán)境中的具體應(yīng)用場景，如圖1所示。

（1）在移動云計算環(huán)境中，可信權(quán)威中心首先執(zhí)行初始化算法，生成系統(tǒng)主密鑰Msk和系統(tǒng)公鑰Pk；

（2）移動用戶向權(quán)威中心提交自己的身份ID，權(quán)威中心執(zhí)行密鑰生成算法，給用戶頒發(fā)相應(yīng)的私鑰SKID；

（3）移動用戶在其可信環(huán)境中，利用高性能設(shè)備執(zhí)行離線加密算法，計算離線密文，并將其保存在移動設(shè)備中；

（4）當(dāng)移動用戶需要上傳隱私數(shù)據(jù)到云端時，利用離線密文和接收者的身份ID，執(zhí)行在線加密算法，生成相應(yīng)的密文，并將其上傳到云存儲中心；

（5）當(dāng)移動用戶ID需要讀取隱私數(shù)據(jù)時，首先將其轉(zhuǎn)化密鑰提交給云服務(wù)器，使其執(zhí)行密文轉(zhuǎn)化算法，生成轉(zhuǎn)化密文CT'；

（6）移動用戶獲取轉(zhuǎn)化密文，如果其身份ID和轉(zhuǎn)化密文中的身份ID'相同時，執(zhí)行解密算法，獲知隱私數(shù)據(jù)m，否則，解密失敗。

表1將本文IBOOE-OD方案和兩個相關(guān)著名方案在性能方面進行了詳細的比較，其中，在素數(shù)p階的雙線性群中，用分別表示雙線性群G和有限域Zp中一個元素的長度。消息m的長度為，P表示雙線性對運算，E表示G或GT中的冪乘運算，M表示G或GT中的乘法運算，mc表示Zp或ZN中的模乘計算。

表1 本文方案與兩個知名方案的性能比較

由表1可知，文獻[3]和[4]的解密過程需要執(zhí)行復(fù)雜度非常大的雙線性對和乘法運算，很難適用于輕量級移動設(shè)備解密文件。與IBOOE[3]、IBOOE[4]相比，本文IBOOEOD方案在線加密運算僅需執(zhí)行一個模乘計算的前提下，不僅具有最短的密文長度，而且大大提高了解密的效率。因此，本文IBOOE-OD方案僅需執(zhí)行少量計算即可完成文件的加密和解密運算，非常適合移動環(huán)境下輕量級設(shè)備。

6 結(jié)束語

針對移動云計算環(huán)境中基于身份加密中加密和解密過程存在大量復(fù)雜計算，不適合輕量級設(shè)備的問題，提出了一種可外包解密的基于身份在線離線加密方案，并對其安全性進行嚴格證明。本文利用在線離線和外包技術(shù)，在保證數(shù)據(jù)安全性的前提下，將加解密中的復(fù)雜計算進行合理分解，使得文件的加密僅需少量簡單運算，解密僅需一個冪乘運算即可完成。與現(xiàn)有知名方案相比，本文IBOOE-OD方案僅需執(zhí)行少量運算即可完成文件的加密和解密處理，且密文長度最短，適合移動環(huán)境下輕量級設(shè)備。