王占君　馬海英　王金華　李燕

摘 要：針對可撤銷成員的身份基加密（RIBE）方案中密鑰更新效率較低，且解密的工作量較大，難以應用于輕量級設備的問題，提出了一個可外包解密和成員撤銷的身份基加密方案（RIBE-OD）。首先，生成一個完全二叉樹，為這棵樹的每個節(jié)點指定一個一次多項式。然后，將基于指數(shù)逆模式構(gòu)造的身份基加密（IBE）方案和完全子樹方法相結(jié)合，利用該一次多項式計算所有用戶的私鑰和未撤銷用戶的更新密鑰，撤銷用戶因不能獲得與之匹配的更新密鑰而失去解密能力。其次，利用外包解密技術修改密鑰生成算法，增加密文轉(zhuǎn)換算法，從而將大部分解密運算量安全外包給云服務器，輕量級設備僅需少量運算即可解密密文。最后，基于判定雙線性Diffie-Hellman逆轉(zhuǎn)（DBDHI）假設，證明了所提方案的安全性。與BGK方案相比，該方案的密鑰更新效率提高了85.7%，輕量級設備的解密過程減少到一個橢圓曲線指數(shù)運算，非常適合于輕量級設備解密密文。

關鍵詞：身份基加密;成員撤銷;完全子樹方法;外包解密技術;輕量級設備

中圖分類號： TP309.7文獻標志碼：A

Revocable identity-based encryption scheme with outsourcing decryption and

member revocation

WANG Zhanjun1， MA Haiying2*， WANG Jinhua1， LI Yan2

（1. School of Sciences， Nantong University， Nantong Jiangsu 226019， China;

2. School of Information Science and Technology， Nantong University， Nantong Jiangsu 226019， China）

Abstract： For the drawbacks of low key updating efficiency and high decryption cost of the Revocable Identity-Based Encryption （RIBE）， which make it unsuitable for lightweight devices， an RIBE with Outsourcing Decryption and member revocation （RIBE-OD） was proposed. Firstly， a full binary tree was created and a random one-degree polynomial was picked for each node of this tree. Then， the one-degree polynomial was used to create the private keys of all the users and the update keys of the unrevoked users by combining the IBE scheme based on exponential inverse model and the full subtree method， and the revoked users decryption abilities were deprived due to not obtaining their update keys. Next， the majority of decryption calculation was securely outsourced to cloud servers after modifying the private key generation algorithm by the outsourcing decryption technique and adding the ciphertext transformation algorithm. The lightweight devices were able to decrypt the ciphertexts by only performing a little simple computation. Finally， the proposed scheme was proved to be secure based on the Decisional Bilinear Diffie-Hellman Inversion （DBDHI） assumption. Compared with Boldyreva-Goyal-Kumar （BGK） scheme， the proposed scheme not only improves the efficiency of key updating by 85.7%， but also reduces the decryption cost of lightweight devices to an exponential operation of elliptic curve， so it is suitable for lightweight devices to decrypt ciphertexts.

Key words： Identity-Based Encryption （IBE）; member revocation; full subtree method; outsourcing decryption technology; lightweight device

0 引言

1984年，文獻[1]首次提出了身份基加密機制（Identity-Based Encryption， IBE）的概念。在IBE中，用戶可以使用一個唯一的字符串（例如家庭住址、身份證號、E-mail地址等）表示自己的身份信息，密鑰生成中心（Key Generation Center， KGC）利用該身份信息和系統(tǒng)主密鑰為其生成用戶私鑰，加密者利用接收者身份信息和系統(tǒng)公鑰加密消息。IBE刪除了傳統(tǒng)公鑰加密機制中證書驗證過程，提高了加密效率。2001年，文獻[2]利用橢圓曲線上的雙線性映射提出了第一個實用且可行的IBE方案，并在隨機預言模型下證明了此方案的安全性。隨后，學者們提出了許多實用的IBE方案[2-4]。依據(jù)密文和私鑰的構(gòu)造模式不同，身份基加密可分為交換隱藏、全域哈希和指數(shù)逆三種類型[3]。其中，基于指數(shù)逆模式構(gòu)造的IBE方案效率較高，因此，本文采用文獻[5]提出的基于指數(shù)逆模式構(gòu)造的IBE方案來構(gòu)造本文的方案。然而，在實際應用中用戶私鑰可能會泄漏、丟失或者到期，因此，IBE需要提供一種有效的成員撤銷機制。

針對IBE的成員撤銷問題，現(xiàn)有的解決方案利用完全子樹和子集差分方法可以實現(xiàn)成員撤銷[6]。由于利用完全子樹撤銷方法，用戶僅需存儲較短的私鑰，文獻[7]基于該方法提出了成員撤銷的IBE方案。該IBE方案利用用戶身份和時間進行加密，KGC根據(jù)最新成員撤銷列表，周期性地發(fā)布未撤銷用戶的更新密鑰，使得未撤銷用戶利用相應的更新鑰可以重構(gòu)自己的解密密鑰。由于更新密鑰的工作量過大，導致KGC可能構(gòu)成系統(tǒng)的瓶頸，該文獻[7]方案僅滿足選擇身份模型下的安全性。為了提高系統(tǒng)的安全性，文獻[8-12]方案提出適應性安全的可撤銷IBE方案。文獻[13-14]提出了可撤銷身份基加密的通用性構(gòu)架。文獻[15]提出了可撤銷成員的屬性基在線離線加密方案， 為了抵制密鑰泄漏攻擊，文獻[16]方案提出了抗連續(xù)輔助輸入泄漏的屬性基加密方案。然而，現(xiàn)有可撤銷身份基加密方案中密鑰更新效率較低，且成員撤銷的引入極大增加了解密的工作量，解密過程需要執(zhí)行一些橢圓曲線上的雙線性對和冪乘復雜運算，使得輕量級設備難以勝任解密工作。

為了提高解密效率，文獻[17]首次提出了可外包解密的屬性基加密方案，將解密運算中雙線性對和冪乘復雜計算的大部分工作量外包給半可信的第三方服務器，輕量級設備僅需執(zhí)行少量解密運算即可恢復明文。文獻[18]提出了可外包解密的屬性基在線/離線加密方案。外包解密技術可以借助半可信第三方高性能計算設備對大部分解密工作進行預處理，極大地減少了輕量級終端設備的解密開銷。學者們提出了許多可外包解密的IBE方案。然而，現(xiàn)有的可外包解密IBE方案都不能實現(xiàn)成員撤銷，很難滿足實際應用中成員撤銷的需求。

本文提出了一種高效可外包解密和成員撤銷的身份基加密（Revocable Identity-Based Encryption scheme with Outsourcing Decryption， RIBE-OD）方案。該方案將文獻[5]的IBE方案和完全子樹方法相結(jié)合，實現(xiàn)用戶撤銷。首先，生成一個完全二叉樹，該二叉樹上每個節(jié)點都被指定一個一次多項式f（x）=ax+1，利用這個一次多項式將常數(shù)1分解成兩個份額f（id）和f（T），其中，id是用戶的身份，T表示時間且其值大于1，份額f（id）用于生成用戶私鑰，份額f（T）用于生成用戶的更新密鑰。密鑰生成中心利用完全子樹方法周期性地為未撤銷用戶生成一個覆蓋集合，覆蓋集合中的每個用戶都可以獲得一個更新密鑰，未撤銷用戶能夠利用其私鑰和更新密鑰計算出一個有效的解密密鑰，然而，撤銷用戶因不能獲得更新密鑰而喪失解密能力。由于所有撤銷用戶都擁有不相同的份額f（id），即使他們聯(lián)合起來也不能重構(gòu)解密密鑰，從而該方案可以抵抗聯(lián)合攻擊。在此基礎上，利用外包解密技術修改密鑰生成算法，輸出一個身份私鑰和一個轉(zhuǎn)換密鑰。增加密文轉(zhuǎn)換算法，半可信第三方云服務器利用轉(zhuǎn)換密鑰對大部分解密運算量進行處理。輕量級設備僅需執(zhí)行一個簡單的指數(shù)運算即可解密密文，極大地提高了輕量級設備的解密效率?；谂卸p線性Diffie-Hellman逆轉(zhuǎn)（Decisional Bilinear Diffie-Hellman Inversion， DBDHI）假設，證明了所提方案的安全性。與相關知名方案比較，本文方案不僅提高了密鑰更新的效率，而且極大減少了輕量級設備的解密開銷。

本文方案特別適用于移動云計算環(huán)境中，輕量級設備獲取機密信息，同時減少了密鑰生成中心密鑰更新的工作量。當成員私鑰丟失、到期或被他人盜取時，本文方案能夠有效撤銷這些成員，未撤銷成員能夠解密指定的密文。由于現(xiàn)有可撤銷身份基加密方案的解密算法需要執(zhí)行許多復雜的雙線性對運算，而輕量級設備是由電池供電，因此，這些可撤銷的身份加密方案不適合輕量級設備解密密文。本文方案通過增加一個密文轉(zhuǎn)化算法，在保證不泄露用戶機密信息的前提下，將大部分的解密運算量外包給云服務器，輕量級移動設備僅需執(zhí)行少量運算即可解密密文。

1 預備知識

雙線性群 假定G與GT為素數(shù)p階的循環(huán)群，g為G的生成元，e： G × G → GT是一個映射，滿足以下三個條件，那么將（G，GT）稱為雙線性群。

1）雙線性性：對u，v∈G，σ，β∈Zp，有e（uσ，vβ）=e（u，v）σβ。

2）非退化性：e（g，g） ≠ 1。

3）可計算性：群G和GT中的乘法以及映射e都是在多項式時間內(nèi)可計算的。

2（l+1）-DBDHI假設 設g為G的生成元，α∈Zp，給定（2l+4）元組（g，gα，gα2，gα3，…，gα2（l+1），Z），如果任意多項式時間敵手A確定Z=e（g，g）1/α或Z為GT的隨機元素的優(yōu)勢都是可以忽略的，則稱2（l+1）-DBDHI假設成立。

2 RIBE-OD的定義和安全性模型

一個可外包解密和成員撤銷的身份基加密（RIBE-OD）方案由初始化（Setup）、加密 （Enc）、私鑰產(chǎn)生（Genkey）、密鑰更新 （Updatekey）、解密密鑰生成（Derivekey）、密文轉(zhuǎn)換（Trans）、解密（Dec）、成員撤銷（Revoke）算法構(gòu)成。

Setup（1λ，Nmax） → （PK，MSK，LR，ST）： KGC運行該初始化算法，輸入安全參數(shù)1λ與用戶最大個數(shù)Nmax，輸出系統(tǒng)公鑰PK（Public Key），系統(tǒng)主密鑰MSK（Master Secret Key），撤銷列表LR（List of Revocation）和當前狀態(tài)ST（STate）。

Enc（PK，id，T，M） → CTid，T： 該加密算法輸入系統(tǒng)公鑰PK、時間T、消息M與身份id，輸出密文CTid，T。

Genkey （PK，MSK，id，ST ） → （SKid，TKid，ST′）： KGC運行私鑰產(chǎn)生算法，輸入系統(tǒng)公鑰PK、系統(tǒng)主密鑰MSK、身份id與狀態(tài)ST，輸出私鑰SKid，轉(zhuǎn)換密鑰TKid和更新后的狀態(tài)ST′。

Updatekey（T，PK，MSK，LR，ST ） → UKT，R： KGC運行更新密鑰產(chǎn)生算法，輸入當前時間T、系統(tǒng)公鑰PK、系統(tǒng)主密鑰MSK、撤銷列表LR與狀態(tài)ST，輸出T時刻的更新密鑰UKT，R，其中R是T時刻的撤銷用戶身份集合。

Derivekey（UKT，R，SKid，PK）→（DKid，T，TKid，T ）/⊥： 該解密密鑰生成算法輸入更新鑰UKT，R，用戶私鑰SKid與系統(tǒng)公鑰PK，輸出解密密鑰和中間密鑰對（DKid，T，TKid，T ）或失敗符號⊥。

Trans（CTid，T，PK，TKid′，T′）→CT′/⊥：該密文轉(zhuǎn)換算法輸入密文CTid，T，系統(tǒng)公鑰PK和中間密鑰TKid′，T′，當id=id′且T= T′時，輸出中間密文CT′;否則輸出失敗符號⊥。

Dec（CTid，T，PK，DKid′，T′）→M/⊥： 該解密算法輸入密文CTid，T，系統(tǒng)公鑰PK與解密密鑰DKid′，T′，當id=id′且T=T′時，輸出消息M;否則輸出失敗符號⊥。

Revoke（id，T，LR，ST）→LR′： KGC運行成員撤銷算法，輸入身份id、時間T、撤銷列表LR與狀態(tài)ST，輸出更新之后的成員撤銷列表LR′。

RIBE-OD的安全性由敵手A與挑戰(zhàn)者C的攻防游戲定義：

開始 敵手A提交挑戰(zhàn)身份id*、挑戰(zhàn)時間T*和T*時的撤銷列表LR*給挑戰(zhàn)者C。

初始化 挑戰(zhàn)者C運行Setup算法，生成系統(tǒng)公鑰PK、系統(tǒng)主密鑰MSK、撤銷列表LR與狀態(tài)ST，并且把系統(tǒng)公鑰PK發(fā)送給敵手A。

階段一 敵手A可以適應性地詢問下面三個預言機：

1）私鑰生成預言機OSK（·）：敵手A將身份id提交給挑戰(zhàn)者C，C運行Genkey（PK，MSK，id，ST ）算法，發(fā)送SKid給敵手A，當敵手A提交身份id*給C時，若id*∈R*時則發(fā)送SKid*;若id*R *時發(fā)送TKid*。

2）更新密鑰生成預言機OUK（·）：敵手A提交時間T給C，C運行Updatekey（T，PK，MSK，LR，ST ）算法生成UKT，R，并將其發(fā)送給敵手A。

3）撤銷成員預言機ORev（·，·）：敵手A將身份id與時間T提交給C，C使用Revoke（id，T，LR，ST ）算法，并且發(fā)送新的撤銷列表LR′給敵手A。假若敵手A詢問過SKid*，則C必須在T*時刻之前撤銷身份id*的私鑰。

挑戰(zhàn) 敵手A將兩個長度相等的消息M0，M1發(fā)送給C，C隨機選擇μ∈{0，1}，運行Enc（PK，id*，T*，Mμ）并且把CT*id*，T*發(fā)送給敵手A。

階段二 與階段一相同。

猜測 敵手A輸出μ的猜測值μ′，若μ=μ′，則表示敵手A贏得此次安全性游戲。

敵手的優(yōu)勢AdvA=Pr[μ=μ′]-1/2。假若任意多項式時間里敵手A贏得了上述安全性游戲的優(yōu)勢都是可忽略的，則稱該RIBE-OD方案在選擇撤銷身份列表模型下是安全的。

3 RIBE-OD方案的詳細設計

本文方案利用完全子樹方法撤銷用戶。首先生成一棵完全二叉樹，每個節(jié)點指定一個一次多項式f（x），使得f（0）=1。每個用戶被指定到一個葉子節(jié)點，獲得從其葉子節(jié)點到根節(jié)點路徑上每個節(jié)點處的身份私鑰。利用X=e（g，g）s加密消息。給定T時刻的撤銷用戶集合R，密鑰生成中心計算出非撤銷用戶的覆蓋集合，為覆蓋集合中的每個節(jié)點生成更新密鑰，使得未撤銷用戶利用更新密鑰可以計算X f（T），利用身份私鑰計算X f（id），由于f（x）為一次函數(shù)，利用X f（T）和X f（id）可以算出X f（0），可以成功解密密文。特別地，撤銷用戶僅能計算X f（id），由于其他撤銷用戶私鑰中的身份與密文中的身份不相同，即使任意多個撤銷用戶聯(lián)合起來也得不到f（x）上的其他點，不能重構(gòu)函數(shù)f（x），所以無法獲知f（0）的值，導致撤銷用戶解密失敗。所以，本方案成功地阻止了撤銷用戶的解密，滿足了抗聯(lián)合攻擊性。具體方案設計如下：

1）Setup（1λ，Nmax）。該初始化算法輸入安全參數(shù)1λ和用戶最大個數(shù)Nmax，給定一個素數(shù)p階的雙線性群e： G×G→GT，且G的生成元是g。隨機選取x1，x2 ∈Zp*，計算X1 =gx1，X2=gx2。建立兩個列表：一個用于存放（id，u）的用戶列表LU（List of Users），另一個用于存放（u， fu（x））的函數(shù)列表LF（List of Functions）。選擇Hash函數(shù)H： {0，1}*→ Zp，然后，生成一棵完全二叉樹BT（Binary Tree），使其至少有Nmax個葉子節(jié)點。對該樹的任意節(jié)點u，隨機選擇一個一次函數(shù)fu（x），使得fu（0）=1，并存放（u， fu（x））到LF。最后，輸出系統(tǒng)主密鑰MK=（x1，x2，LF）、撤銷用戶列表LR、狀態(tài)ST=（BT，LU）、系統(tǒng)公鑰PK=（g，X1，X2，e（g，g），H）。

2）Enc（PK，id，T，M）。該加密算法輸入系統(tǒng)公鑰PK、身份id、時間T與消息M，計算：

C=Me（g，g）s

C1 = （X1gH（id））s

C2=（X2gT）s（1）

輸出密文：

CTid，T=（C，C1，C2）（2）

3）Genkey（PK，MSK，id，ST ）。該密鑰生成算法輸入系統(tǒng)公鑰PK、系統(tǒng)主密鑰MSK、身份id與狀態(tài)ST=（BT，LU）。首先，選擇一個未使用的葉子節(jié)點u，并且保存這個元組（id，u）到LU中。然后，隨機選擇一個δ∈ Zp*，對于任意節(jié)點v ∈ Path（u），檢索LF={（u， fu（x））|u ∈ BT}，計算：

Dv=gfv（H（id））/δ（x1+H（id））（3）

最后，輸出更新的狀態(tài)ST與用戶私鑰SKid={Path（u），{δ，Dv}v ∈ Path（u）}，用戶轉(zhuǎn)換鑰TKid={Path（u），{Dv}v∈ Path（u）}。

4）Updatekey（T，PK，MSK，LR，ST ）。該更新密鑰產(chǎn)生算法輸入當前時間T、系統(tǒng)公鑰PK、系統(tǒng)主密鑰MSK、撤銷列表LR與狀態(tài)ST。首先，利用LR定義T時間的撤銷用戶集合R，即如果存在（id′，T′）∈LR且T ′≤ T，則id′∈R，根據(jù)用戶撤銷列表LR 給出撤銷集合索引RI（Revocation Index），得到撤銷用戶的覆蓋集合CVRI。隨后，對任意v∈CVRI，計算：

Ev=gfv（T）/（x2+T）（4）

最后，輸出更新的狀態(tài)和更新鑰UKT，R={CVRI，{Ev}v∈CVRI }。

5）Derivekey（UKT，R，SKid，PK）。該解密密鑰生成算法輸入更新密鑰UKT，R = {CVRI，{Ev}v∈CVRI }，用戶私鑰SKid={Path（u），{δ，Dv}v ∈ Path（u）和系統(tǒng)公鑰PK。如果idR， 由完全子樹方法得v ∈ Path（u） ∩ CVRI，計算解密密鑰DKid，T和中間密鑰TKid，T，其中：

DKid，T=（δ，Dv，Ev）=（δ，gfv（H（id））δ（x1+H（id）），gfv（T）x2+T）（5）

TKid，T =（Dv，Ev）=（gfv（H（id））δ（x1+H（id）），gfv（T）x2+T）（6）

否則輸出⊥。

6）Trans（CTid，T，PK，TKid′，T′）。該密文轉(zhuǎn)換算法輸入密文CTid，T、系統(tǒng)公鑰PK和中間密鑰TKid′，T′，當id=id′且T=T′時，計算：

C1′ =e（C1，Dv）TT-H（id）=e（g，g）sfv（H（id））Tδ（T-H（id））（7）

C2′=e（C2，Ev）H（id）H（id）-T=e（g，g）sfv（T）H（id）H（id）-T（8）

輸出中間密文CT′=（C，C1′，C2′） ;否則輸出失敗符號⊥。

7）Dec（CTID，T，DKID（，T（，PK）。該解密算法輸入密文CTID，T、解密鑰DKID′，T′與系統(tǒng)公鑰PK，當密文CTID，T未被轉(zhuǎn)換為中間密文CT′=（C，C1′，C2′）時，首先運行密文轉(zhuǎn)換算法得到CT′=（C，C1′，C2′）;否則，計算：

M=C/（C1′δC2′）（9）

8）Revoke（id，T，LR，ST）。撤銷算法輸入身份id、時間T、撤銷列表LR和狀態(tài)ST =（BT，LU），如果（id，*）LU，則輸出失敗符號⊥;否則，將（id，T）加入到LR，最后輸出更新后的撤銷列表LR′。

4 RIBE-OD方案的安全性證明

定理1 假設2（l+1）-DBDHI成立，則本文的RIBE-OD方案在選擇撤銷身份列表模型下是安全的。

證明 若存在一個敵手A可以破解RIBE-OD方案，則可以構(gòu)造一個算法D來攻破2（l+1）-DBDHI假設。

開始 敵手A提交挑戰(zhàn)身份id*、挑戰(zhàn)時間T*與T*時刻的挑戰(zhàn)撤銷列表LR*。

初始化 D得到（g，gα，gα2，…，gα2（l+1），Z），其中Z=e（g，g）1/α或Z∈GT。D生成一棵完全二叉樹、函數(shù)列表LF與用戶列表LU。將id*指定一個隨機葉子節(jié)點u*，并保存（id*，u*）到LU。設T*時刻撤銷列表為LR*，如果id*∈R*，則定義FixedSubset（id*）={Path（u*）};否則定義FixedSubset（id*）=。令函數(shù)列表LF如下所示：

1）當z∈FixedSubset（id*）時，隨機選擇y∈Zp，隱式地將（x=H （id*），αy）保存在函數(shù)列表LF中;

2）當zFixedSubset（id*）時，隨機選取y∈Zp，隱式地將（x=T*，αy）保存在函數(shù)列表LF中，特別地，一次函數(shù)fu（x）是由（0，1）與（x，αy）兩個點所確定。

D設置一個撤銷列表LR與狀態(tài)ST =（BT，LU），隨機選取π1，π2∈{1，2，…，l}，Iπ1，w1，…，wπ1-1，wπ1+1，wl∈Zp ，當i≠π1時，則定義Ii = Iπ1-wi，系統(tǒng)的運行時間T1，…，Tπ2-1，Tπ2 =T*，…，Tl，計算2（l-1）次多項式：

f（z）=∏li=1，i≠π1（z+wi）∏li=1，i≠π2（z+T-Ti）=∑2l-2i=0cizi（10）

構(gòu)建生成元：

P=∏2l-2i=0gciαi=gf（α）（11）

若i∈{1，2，…，l}＼{π1}，D計算：

f1，i（z）=f（z）z+wi=∑2l-3j=0d1，i，j zj（12）

P1α+wi=gf（α）α+wi=H1，i=∏2l-3j=0gd1，i， j α j（13）

Pαα+wi=gαf（α）α+wi=Hα1，i=∏2l-3j=0gd1，i， j α j（14）

若i∈{1，2，…，l}＼{π 2}，D計算：

f2，i（z）=f（z）z+Ti=∑2l-3j=0d2，i，jzj（15）

P1α+T-Ti=gf（α）α+T-Ti=H2，i=∏2l-3j=0gd2，i， j α j（16）

Pαα+T-Ti=gαf（α）α+T-Ti=Hα2，i=∏2l-3j=0gd2，i， j α j+1（17）

D設定Pub1 =P-α -Iπ1 ，Pub2=P-α -T*，其中：

WMW（Wang-Ma-Wang）方案[19]提出了一種可外包解密身份基在線離線加密方案，該方案主要運用在輕量級設備上，不能實現(xiàn)撤銷用戶，而本文所提的方案有效地解決了撤銷用戶問題。WMW方案在進行解密計算中所耗費的計算代價與本文所提的方案都是執(zhí)行了一個橢圓曲線上的冪乘運算，這些都是相對簡單的計算過程，因此解決了在傳統(tǒng)基于身份加密方案中撤銷用戶計算負擔過大的問題。

綜上所述，與兩個相關方案相比，本文方案不僅提高了成員撤銷過程中密鑰更新的效率，而且減輕了輕量級設備的解密負擔，更能滿足IBE在實際應用中的隱私保護需求。表格（有表名）表1 本文方案與相關方案的功能和性能比較

Tab. 1 Comparison of function and performance of proposed

scheme and other related schemes

方案解密代價密鑰更新代價能否撤銷BGK方案2E+4P7r log（Nmax/r）E√SE方案3P3r log（Nmax/r）E√WMW方案1E—×本文方案1Er log（Nmax/r）E√

6 結(jié)語

本文提出了一個可外包解密和成員撤銷的身份基加密方案，首先將文獻[5]的身份基加密方案和完全子樹方法相結(jié)合，為未撤銷用戶生成更新密鑰，撤銷用戶因不能獲得與之匹配的更新密鑰而失去解密能力，從而實現(xiàn)用戶撤銷。在此基礎上，利用外包解密技術修改密鑰生成算法，增加密文轉(zhuǎn)換算法，從而將大部分解密運算量安全外包給云服務器，輕量級設備僅需少量運算即可解密密文，極大地提高了輕量級設備的解密效率，且云服務器得不到關于明文的任何信息?；贒BDHI假設，證明了所提方案的安全性。與相關知名方案比較，比較結(jié)果表明，本文方案不僅提高了成員撤銷過程中密鑰更新的效率，而且極大減少了輕量級設備的解密開銷，適合于輕量級設備解密密文。然而，該方案的加密算法需要執(zhí)行橢圓曲線上的3個指數(shù)運算，對輕量級設備構(gòu)成一定的計算負擔，未來將進一步考慮如何降低加密算法的復雜度。此外，我們可以利用基于智能卡的密碼認證方法[20]改進用戶加入過程，增強系統(tǒng)的安全性。

參考文獻 （References）

[1]SHAMIR A. Identity-based cryptosystems and signature schemes [C]// Proceedings of the 1984 Workshop on the Theory and Application of Cryptographic Techniques， LNCS 196. Berlin： Springer， 1984： 47-53.

[2]BONEH D， FRANKLIN M. Identity-based encryption from the Weil pairing [J]. SIAM Journal of Computing， 2001， 32（3）： 586-615.

[3]WARTERS B. Dual system encryption： realizing fully secure IBE and HIBE under simple assumptions [C]// Proceedings of the 2009 Annual International Cryptology Conference， LNCS 5677. Berlin： Springer， 2009： 619-636.

[4]BOYEN X. General Ad Hoc encryption from exponent inversion IBE [C]// Proceedings of the 2007 Annual International Conference on the Theory and Applications of Cryptographic Techniques， LNCS 4515. Berlin： Springer， 2007： 394-411.

[5]SAKAI R， KASAHARA M. ID-based cryptosystems with pairing over pairing over elliptic curve [EB/OL]. [2019-05-18]. https：//eprint.iacr.org/2003/054.pdf.

[6]NAOR D， NAOR M， LOTSPIECH J. Revocation and tracing schemes for stateless receivers [C]// Proceedings of the 2001 Annual International Cryptology Conference， LNCS 2139. Berlin： Springer， 2001： 41-62.

[7]BOLDYREVA A， GOYAL V， KUMAR V. Identity-based encryption with efficient revocation [C]// Proceedings of the 15th ACM Conference on Computer and Communications Security. New York： ACM， 2008： 417-426.

[8]LIBERT B， VERGNAUD D. Adaptive-ID secure revocable identity-based encryption [C]// Proceedings of the 2009 Cryptographers Track at the RSA Conference， LNCS 5473. Berlin： Springer， 2009： 1-15.

[9]SEO J H， EMURA K. Revocable identity-based encryption revisited： security model and construction [C]// Proceedings of the 2013 International Workshop on Public Key Cryptography， LNCS 7778. Berlin： Springer， 2013： 216-234.

[10]LEE K， LEE D H， PARK J H. Efficient revocable identity-based encryption via subset difference methods [J]. Designs， Codes and Cryptography， 2017， 85（1）： 39-76.

[11]WANG C， LI Y， XIA X， et al. An efficient and provable secure revocable identity-based encryption scheme [J]. PloS One， 2014， 9（9）： Article No. e106925.

[12]LEE K. Revocable hierarchical identity-based encryption with adaptive security [EB/OL]. [2019-05-18]. https：//eprint.iacr.org/2016/749.pdf.

[13]LEE K. A generic construction for revocable identity-based encryption with subset difference methods [EB/OL]. [2019-05-19]. https：//eprint.iacr.org/2019/798.pdf.

[14]MA X， LIN D. A generic construction of revocable identity-based encryption [EB/OL]. [2019-04-15]. https：//eprint.iacr.org/2019/299.pdf.

[15]MA H， WANG Z， WANG J. Efficient ciphertext-policy attribute-based online/offline encryption with user revocation [J]. Security and Communication Networks， 2019， 2019： Article No. 8093578.

[16]馬海英，曾國蓀，包志華，等.抗連續(xù)輔助輸入泄漏的屬性基加密方案[J].計算機研究與發(fā)展，2016，53（8）：1867-1878.（MA H Y， ZENG G S， BAO Z H， et al. Attribute-based encryption scheme resilient against continuous auxiliary-inputs leakage [J]. Journal of Computer Research and Development， 2016， 53（8）： 1867-1878.）

[17]GREEN M， HOHENBERGER S， WATERS B. Outsourcing the decryption of ABE ciphertexts [C]// Proceedings of the 20th USENIX Conference on Security. Berkeley： USENIX Association， 2011： 34-34.

[18]WANG Z， MA H， WANG J. Attribute-based online/offline encryption with outsourcing decryption [J]. Journal of Information Science and Engineering， 2016， 32（6）： 1595-1611.

[19]王占君，馬海英，王金華.移動云計算中基于身份的輕量級加密方案[J].計算機工程與應用，2018，54（19）：72-76.（WANG Z J， MA H Y， WANG J H. Identity-based lightweight encryption scheme in mobile cloud computing [J]. Computer Engineering and Applications， 2018， 54（19）： 72-76.）

[20]WANG D， WANG P. Two birds with one stone： two-factor authentication with security beyond conventional bound [J]. IEEE Transactions on Dependable and Secure Computing， 2018， 15（4）： 708-722.

This work is partially supported by the National Natural Science Foundation of China （61402244）， the Natural Science Independent Research and Development Project of Nantong University （13230132）， the Jiangsu Graduate Research and Innovation Program （SJCX19_0981）.

WANG Zhanjun， born in 1978， M. S.， lecturer. His research interests include public key cryptography， algebra.

MA Haiying， born in 1977， Ph. D.， associate professor. Her research interests include public key cryptography， privacy protection.

WANG Jinhua， born in 1962， Ph. D.， professor. His research interests include combinatorial mathematics， cryptography.

LI Yan， born in 1996， M. S. candidate. Her research interests include cryptography， blockchain application.

收稿日期：2019-07-15;修回日期：2019-09-08;錄用日期：2019-09-09?；痦椖浚簢易匀豢茖W基金基金項目（61402244）;南通大學自然科學自主研發(fā)項目（13230132）;江蘇省研究生科研創(chuàng)新計劃項目（SJCX19_0981）。

作者簡介：王占君（1978—），男，河南鶴壁人，講師，碩士，主要研究方向：公鑰密碼學、代數(shù); 馬海英（1977—），女，河南新鄉(xiāng)人，副教授，博士，CCF會員，主要研究方向：公鑰密碼學、隱私保護; 王金華（1962—），男，江蘇南通人，教授，博士生導師，博士，主要研究方向：組合數(shù)學、密碼學; 李燕（1996—），女，江蘇鹽城人，碩士研究生，主要研究方向：密碼學、區(qū)塊鏈應用。

文章編號：1001-9081（2019）12-3563-06DOI：10.11772/j.issn.1001-9081.2019071215