崔 巖,黃欣沂,賴建昌,寧建廷

(1. 福建師范大學 計算機與網絡空間安全學院,福建 福州 350117；2. 香港科技大學(廣州),廣東 廣州 511400;3. 東南大學 網絡空間安全學院,江蘇 南京 211189)

廣播加密的概念由Fiat等[1]提出，假設Alice想要向大量接收者發(fā)送相同的消息，若采用多次執(zhí)行加密算法并將密文依次發(fā)送給接收者的方法，雖然可實現(xiàn)一對多加密，但加密和解密的計算代價高昂且通信代價隨著接收者的數(shù)量增加而線性增加。隨著付費直播、數(shù)字產品、在線會議的迅速發(fā)展，點對點的加密方式已經逐漸不能滿足互聯(lián)網環(huán)境的通信需求，亟需一對多或多對多的安全通信方式。

廣播加密是一種支持在不安全的公開信道上實現(xiàn)多用戶數(shù)據安全共享的加密技術，適用于一對多安全傳輸場景。廣播加密的工作方式為：數(shù)據擁有者首先選取一組接收者，運行廣播加密算法，將加密得到的密文發(fā)布到公開信道，監(jiān)聽該信道的所有用戶均可獲取密文，但只有授權用戶可利用解密密鑰正確解密，未授權用戶不能從密文中獲取任何明文信息。廣播加密在付費電視、數(shù)字版權保護及區(qū)塊鏈等領域廣泛使用。

根據加密和解密過程中密鑰的不同，廣播加密可分為對稱廣播加密和公鑰廣播加密。在對稱廣播加密中，廣播者只能是可信機構，該機構負責生成并分發(fā)已授權用戶的解密密鑰，因此，對稱廣播加密在實際應用中局限性較大，應用范圍窄。公鑰廣播加密允許系統(tǒng)內任意用戶作為數(shù)據擁有者，且數(shù)據擁有者可指定任意系統(tǒng)內一個用戶集合作為數(shù)據接收者，只有集合內的用戶可以解密。由于系統(tǒng)中任意用戶均可作為發(fā)送者運行加密算法，更具一般性且靈活。因此，公鑰廣播加密具有更加廣泛的應用，得到了專家學者的廣泛關注和研究。

公鑰廣播加密為多用戶數(shù)據安全共享的典型方法技術，其研究方向主要可概括為2個方向：

(1)根據廣播加密的應用場景需求不同或功能不同，可分為標識廣播加密、匿名廣播加密、叛逆者追蹤廣播加密，以及可撤銷廣播加密等；

(2)從算法本身對廣播加密方案進行優(yōu)化，可分為2類：①對算法安全性的研究，例如選擇密文攻擊、自適應安全性等；②對算法效率的研究，包括加密和解密算法的時間復雜度、公共參數(shù)大小、私鑰長度以及密文長度等。

評估廣播加密方案的優(yōu)劣通常從方案滿足的安全屬性、方案的計算和通信代價進行分析。一個健壯的廣播加密系統(tǒng)應滿足如下安全屬性：

(1)權限控制：系統(tǒng)用戶的添加或刪除由可信中心執(zhí)行，用戶的解密權限由加密者(數(shù)據擁有者)決定。

(2)抗合謀攻擊：任何數(shù)量的非授權接收者即使合謀都無法解密獲取加密數(shù)據的內容。

(3)接收者無狀態(tài)：在系統(tǒng)的整個生命周期內接收者無需改變自己的設置，解密操作只能按照系統(tǒng)初始設置進行。

Wong等[2]于2000年基于邏輯層次樹結構提出了組播密鑰管理方案，該方案也稱為有狀態(tài)廣播加密。在該系統(tǒng)中，接收者需利用接收到的組密鑰解密廣播密文。若組內成員發(fā)生變化，即有成員新加入系統(tǒng)或離開系統(tǒng)，為保證系統(tǒng)安全性，所有用戶的組密鑰必須更新；若利用該方案實現(xiàn)無狀態(tài)廣播加密，則通信代價和計算開銷極高，且可信中心知道每個接收者的信息，無法實現(xiàn)匿名等功能，靈活性較差。因此，本文不考慮該類型的廣播加密。

另一種廣播加密稱為靜態(tài)廣播加密[3]，該機制需要在系統(tǒng)建立階段確定接收者集合，每個用戶的私鑰生成都與其他所有授權接收者的公鑰相關，應用場景較為有限，本文同樣不考慮該類型的廣播加密。

本文著重關注近年來公鑰廣播加密的研究進展，闡述了公鑰廣播加密的研究歷史、形式化定義和典型構造，旨在推動廣播加密的研究與發(fā)展。

1 基于PKI的廣播加密

一對多加密傳輸最早由Berkovits[4]提出，在文獻[4]中，利用拉格朗日插值，可將任意秘密分享方案轉換成秘密廣播方案。隨后Fiat等[1]在1993年提出“廣播加密”的概念并給出了廣播加密的形式化定義和安全模型，同時給出了對稱廣播加密方案的具體構造。

然而由于對稱廣播加密的局限性較大，近年來對廣播加密的研究主要圍繞公鑰廣播加密展開。公鑰廣播加密(Public Key Broadcast Encryption,PKBE)的概念由Naor等[5]首次提出，傳統(tǒng)公鑰廣播加密方案通常為基于證書的密碼方案，為確保用戶公鑰的真實有效性，公鑰基礎設施(Public Key Infrastructure,PKI)應運而生。PKI中通常包含一個證書認證機構(Certificate Authority,CA)，負責為用戶簽發(fā)證書。文獻[5]中的方案利用門限秘密共享技術，實現(xiàn)了有效叛逆者追蹤，最多撤銷t個用戶的解密權限，滿足t-抗合謀攻擊的安全性。

1.1 公鑰廣播加密定義

公鑰廣播加密包括3個過程：

(1)Setup(λ,n):輸入安全參數(shù)λ，廣播接收者人數(shù)n，輸出n個私鑰k1,k2,…,kn和一個公鑰PK。

(2)Encrypt (S,PK):以授權接收者集合S∈{1,2,…,n}和公鑰PK為輸入，輸出二元組(Hdr,K)，其中，Hdr稱為首部；K為加密密鑰，用于加密廣播內容。已知廣播消息為M，利用會話密鑰K加密消息M得到密文CM，則整個廣播內容為(S,Hdr,CM)，其中，(S,Hdr)通常稱為廣播頭，CM稱為廣播體。

(3)Decrypt (S,i,ki,Hdr,PK):輸入接收者集合S∈{1,2,…,n}，用戶i和對應的私鑰ki，首部Hdr和公鑰PK。若i∈S，則算法可正確輸出會話密鑰K，進而解密CM得到消息M，否則不能獲取明文信息。

基于PKI的廣播加密的正確性要求對任意的消息M，(PK,(k1,…,kn))←Setup(λ,n)，(Hdr,K)←Encrypt(S,PK)。若i∈S，那么

Pr[Decrypt(S,i,ki,Hdr,PK)=M]=1。

1.2 公鑰廣播加密安全模型

在廣播加密的安全模型中，根據敵手的攻擊能力不同可將敵手分為自適應敵手和靜態(tài)敵手。靜態(tài)敵手要求在發(fā)起攻擊之前給出要攻擊的接收者集合。顯然，自適應敵手具有更強的攻擊能力，敵手無需在攻擊前選取待攻擊的接收者集合。因此，自適應敵手模型比靜態(tài)敵手模型安全性更強。

廣播加密最基本的要求是保證數(shù)據的機密性，即非授權用戶不能獲取任何明文信息。針對數(shù)據的機密性，下面給出自適應選擇密文攻擊下的不可區(qū)分性(Indistinguishability against Adaptive Chosen-Ciphertext Attacks,IND-CCA)[6]，通過敵手和挑戰(zhàn)者的交互游戲定義，安全模型定義如下：

(2)詢問階段1。敵手允許在該階段自適應地發(fā)起如下詢問：

a.私鑰詢問：敵手可自適應地詢問集合中第u個位置的私鑰，挑戰(zhàn)者將ku發(fā)送給敵手；

b.解密詢問：敵手可針對密文發(fā)起解密詢問，詢問的格式為 (u,S,Hdr)，挑戰(zhàn)者運行算法Decrypt(S,u,ku,Hdr,PK)，將解密結果K返回給敵手。

(3)挑戰(zhàn)階段。敵手輸出挑戰(zhàn)接收者集合S*，要求敵手沒有發(fā)起過對u∈S*的私鑰詢問。挑戰(zhàn)者運行加密算法Encrypt(S*,PK)，輸出二元組(Hdr*,K)。接著挑戰(zhàn)者隨機選取1比特b∈{0,1}，令Kb=K，從密鑰空間中選取隨機密鑰K′∈K，令K1-b=K′，最后將(Hdr*,K0,K1)發(fā)送給敵手。

(4)詢問階段2。敵手可在該階段繼續(xù)發(fā)起私鑰詢問和解密詢問，詢問的限制是不能詢問u∈S*的私鑰，不能發(fā)起Hdr=Hdr*,S=S*的解密詢問。挑戰(zhàn)者的回復方式與詢問階段1相同。

(5)猜測。敵手輸出猜測值b′∈{0,1}，若b=b′，則敵手獲勝。

定義1(可忽略) 令||為自然數(shù)集合，對于任意d∈，若存在λd∈，使得對于任意λ>λd，ε(λ)≤λ-d始終成立，那么函數(shù)ε:→[0,1]稱為可忽略函數(shù)。

定義2 如果對于任意的多項式時間(Probabilistic Polynomial Time,PPT)敵手，在上述游戲中獲勝的優(yōu)勢是可忽略的，則稱廣播加密方案是IND-CCA安全的。

若在上述IND-CCA模型中，不允許敵手在詢問階段發(fā)起密鑰詢問，則相應的模型為IND-CPA模型。

廣播加密與傳統(tǒng)點對點的公鑰加密在IND-CCA安全模型的不同點主要體現(xiàn)在：前者要求在系統(tǒng)建立階段，挑戰(zhàn)者需要將所有用戶的公鑰信息發(fā)送給敵手，敵手可在詢問階段自適應的發(fā)起密鑰詢問。在挑戰(zhàn)階段，敵手可根據已掌握的信息選取接收者集合進行攻擊；后者在系統(tǒng)建立階段只需要向敵手發(fā)送挑戰(zhàn)用戶的公鑰信息即可。

1.3 公鑰廣播加密研究現(xiàn)狀

在2002年，Dodis等[7]對基于對稱密鑰的廣播加密和公鑰廣播加密展開進一步研究，將對稱廣播加密中的子集差分法(Subset Difference,SD)拓展到公鑰體制廣播加密，給出一種對稱廣播加密向公鑰廣播加密的轉化關系，提出具有定長公鑰的公鑰廣播加密方案。

2005年，Boneh等[6]利用雙線性對技術提出首個完全抗合謀攻擊(fully collusion resistant)的無狀態(tài)公鑰廣播加密方案(簡稱BGW方案)，文獻[6]中給出了兩種PKBE構造方案，第一個構造中具有定長的密文長度，公鑰長度和解密代價均隨著接收者線性增長，能夠抵抗選擇明文攻擊(Chosen Plaintext Attack,CPA)；第二個構造具有亞線性大小的密文長度和公鑰長度。并利用相同的參數(shù)給出一種可抵抗選擇密文攻擊的方案。

Delerablée等[8]在2007年提出了動態(tài)廣播加密的概念，在系統(tǒng)建立階段用戶總數(shù)不是固定的，系統(tǒng)參數(shù)的生成也無需用到接收者的公鑰信息，新用戶可隨時加入廣播系統(tǒng)，并獲取之前公布的廣播消息，且無需修改其他用戶的私鑰。該方案適用于付費電視等應用，當新用戶想觀看之前的直播回放時，即可利用自己的私鑰解密。

Gentry等[9]在2009年提出具有抵抗自適應性選擇明文攻擊安全的廣播加密方案，安全性基于判定性BDHE(Bilinear Diffie-Hellman Exponent)假設。文獻[9]中引入半靜態(tài)(semi-static)敵手模型的概念，在半靜態(tài)模型中，敵手在系統(tǒng)建立階段之前要提交一個集合S，在挑戰(zhàn)階段可以選取集合S的任意子集S′作為攻擊目標。該模型比靜態(tài)敵手模型具有更強的靈活性，在靜態(tài)模型中敵手只能攻擊集合S。

在2012年，Phan等[10]基于文獻[6]的CPA方案，提出了一個定長密文的公鑰廣播加密方案，可抵抗靜態(tài)選擇密文敵手攻擊，其公鑰長度在BGW方案的基礎上增加一個群元素。文獻[10]還提出了一個具有撤銷功能的廣播加密方案，與第一個方案采用同樣的參數(shù)，安全性基于較為普遍的BDH(Bilinear Diffie-Hellman)困難假設。

2018年，Gay等[11]在文獻[6]的基礎上做了進一步研究，指出文獻[6]的兩點局限性：①BGW方案不能抵抗自適應敵手，敵手可根據獲取到的公共參數(shù)后選擇容易發(fā)起攻擊的用戶；②BGW方案的安全性依賴參數(shù)化假設(parameterized assumptions)，即q-type的安全性假設，其安全性較弱。文獻[11]提出一種更安全高效的公鑰廣播加密方案，實現(xiàn)了固定大小的密文和用戶私鑰，且滿足自適應安全性。

1.4 典型方案回顧

在文獻[6]中提出的兩個公鑰廣播加密方案，均具有完全抗合謀的安全特性。其中，第一個方案(簡稱BGW1)計算代價較低，而通信代價過高，當接收者數(shù)量為n時，系統(tǒng)公鑰長度為2n+1，難以應用于大規(guī)模網絡；第二個方案(簡稱BGW2)中犧牲了部分計算量，獲得更短的公鑰長度。

BGW2為公鑰廣播加密的典型構造，后續(xù)大量公鑰廣播加密的研究均基于該方案[10-11]，因此，本小節(jié)給出該方案的具體構造，方案描述如下：

已知接收者集合為{u1,u2,…,un}，將n個用戶進行分組，首先確定每個分組的最大接收者數(shù)量為B(B

(1)Setup(λ,n)：輸入安全參數(shù)λ，系統(tǒng)接收者數(shù)量n，令A=「n/B?。G是階為素數(shù)p的雙線性群，隨機選取生成元g∈G和一個隨機數(shù)α∈p。對于任意i=1,2,…,B,B+2,…,2B，計算gi=gαi。接著隨機選取A個群元素γ1,γ2,…,γA∈p，設v1=gγ1,…,vA=gγA∈G，將系統(tǒng)公鑰設置為

PK=(g,g1,…,gB,gB+2,…,g2B,v1,…,vA)∈G2B+A。

(2)Encrypt(PK,S)：對于任意l=1,…,A，定義子集l和Sl為

l=S∩{(l-1)B+1,…,lB},

Sl={x-lB+B|x∈l}?{1,…,B}。

接著，隨機選取t∈p，設會話密鑰為K=e(gB+1,g)t∈G，其中，e(gB+1,g)可通過e(gn,g)獲得。最后，輸出(Hdr,K)，其中，

(3)Decrypt(S,i,ki,Hdr,PK)：輸入接收者集合S、用戶下標i、用戶私鑰ki、密文首部Hdr和系統(tǒng)公鑰PK，其中，i=(a-1)B+b，若用戶為合法接收者，則可以通過利用獲得的私鑰ki計算出

正確性分析：對于合法接收者uij，通過輸入kij，有如下等式成立：

e(gB+1,g)t。

2 標識廣播加密

在公鑰密碼體制的實際應用過程中，用戶公鑰為一串毫無意義的字符串，不便于記憶，對用戶并不友好。為保證用戶公鑰的有效性，需通過證書綁定用戶，而證書的引入增加了額外的存儲和驗證開銷。標識密碼體制[12]可有效解決公鑰密碼中加密存在的證書問題，消除了對證書的依賴，用戶的公鑰可由能夠唯一標識用戶身份信息的字符串組成，如郵箱地址、手機號碼等，使用上述字符串具有便于用戶記憶的優(yōu)點。

隨著雙線性對實用且安全算法[13]的提出，標識廣播加密(Identity-Based Broadcast Encryption,IBBE)也得到了廣泛研究。IBBE也稱為基于身份的廣播加密，系統(tǒng)中的密鑰生成中心負責為新加入系統(tǒng)的用戶生成并分發(fā)用戶私鑰。

標識廣播加密是公鑰廣播加密的一種特例，用戶的私鑰由額外的可信第三方生成。標識廣播加密工作流程如圖1所示。

圖1 標識廣播加密工作流程Fig.1 The workflow of identity-based broadcast encryption

由圖1可知，密鑰生成中心(Key Generator Center,KGC)首先運行Setup算法生成主密鑰msk和主公鑰mpk，接著運行KeyGen算法生成用戶私鑰,系統(tǒng)中的任意用戶均可選擇任意接收者集合運行加密算法Encrypt并發(fā)布廣播密文。在圖1中，Alice可向Dave和Eric發(fā)送加密消息，授權接收者Dave可利用自己的用戶私鑰解密廣播密文進而獲取數(shù)據。

2.1 標識廣播加密定義

IBBE方案由以下4個可在多項式時間內計算出的算法組成：

(1)Setup(1λ,m)→(mpk,msk):輸入安全參數(shù)λ和系統(tǒng)可容納的最大接收者個數(shù)m，KGC運行Setup算法，輸出系統(tǒng)主私鑰msk、系統(tǒng)主公鑰mpk。系統(tǒng)主私鑰由KGC秘密保存，系統(tǒng)主公鑰公開。

(2)KeyGen(mpk,msk,ID)→skID:輸入系統(tǒng)主公鑰mpk，主私鑰msk，用戶標識ID，KGC運行KeyGen算法生成用戶私鑰skID。

(3)Encrypt(mpk,S,M)→CT:輸入系統(tǒng)主公鑰mpk、接收者標識集合S=(ID1,ID2,…,IDn)和待加密消息M，其中，n≤m，加密者運行加密算法Encrypt，輸出密文CT并通過公開信道廣播。

(4)Decrypt(mpk,S,CT,ID,skID)→(M/⊥):輸入系統(tǒng)主公鑰mpk、接收者身份集合S、密文CT、接收者標識ID以及對應的私鑰skID，解密者運行解密算法Decrypt，輸出正確的明文數(shù)據M或者⊥代表解密失敗。

標識廣播加密的正確性要求對任意的消息M，(mpk,msk)←Setup(1λ,m)，skID←KeyGen(mpk,msk,ID),CT←Encrypt(mpk,S,M)。若ID∈S，那么

Pr[Decrypt(mpk,S,CT,ID,skID)=M]=1。

2.2 安全模型

IBBE的安全模型與PKBE的安全模型相似，主要區(qū)別體現(xiàn)在私鑰詢問階段，敵手可發(fā)起對任意身份ID的私鑰詢問，但不能詢問挑戰(zhàn)標識ID*的私鑰，挑戰(zhàn)者運行KeyGen(mpk,msk,ID)算法并將產生的密鑰發(fā)送給敵手[14]。

2.3 標識廣播加密研究現(xiàn)狀

Sakai等[14]在2007年提出了標識廣播加密，可利用任意字符串作為接收者的公鑰，避免了對公鑰基礎設施的依賴。在通信代價方面，該方案優(yōu)于BGW方案，其公鑰大小與最大接收者數(shù)量有關，適用于潛在用戶數(shù)量較多，而實際接收者數(shù)量比較少時且接收者不會經常發(fā)生變化的場景；在安全性方面，該方案滿足完全抗合謀攻擊，基于隨機諭言模型證明了方案滿足CPA安全。

同年，Delerablée[15]提出具有定長密文和私鑰的IBBE方案，文獻[15]利用多接收者密鑰封裝(multi-receiver Key Encapsulation Mechanism,mKEM)[16]機制，mKEM是一種高效的多用戶密鑰協(xié)商技術，與多接收者公鑰加密[17-18]不同，文獻[17-18]為一個發(fā)送者向多個接收者發(fā)送不同的消息。文獻[16,19]中將多接收者密鑰封裝的概念擴展到標識多接收者密鑰封裝(multi-receiver Identity-based Key Encapsulation Mechanism,mID-KEM)。

Boneh等[20]為構造標識廣播加密提供了通用的構造方案，并使用分層標識加密技術構造了首個具有短密文的分層標識廣播加密方案，密文由3個元素組成，私鑰長度隨系統(tǒng)的復雜性線性增長。

劉瀟等[21]基于文獻[15]，通過在廣播接收者集合中引入虛擬標識，構造了一個具有靜態(tài)(selective)選擇密文安全(Chosen Ciphertext Attack,CCA)的標識廣播加密方案，與文獻[15]相比，公鑰長度增加一個群元素。在加密過程中，增加了與接收者集合相關群元素的哈希值計算過程，解密過程中也增加了對該哈希值的計算，可利用該部分的內部關聯(lián)特性檢驗廣播密文是否有效。

Kim等[22]利用混合階群下的對偶加密(dual system encryption)技術提出一個自適應(adaptive)選擇密文安全的標識廣播加密方案，該方案的系統(tǒng)公鑰和用戶私鑰均隨著最大接收者個數(shù)線性增長，密文長度為定長。

文獻[23]把內積加密技術融合到廣播加密系統(tǒng)中，提出內積型標識廣播加密方案，解密結果不在是明文，而是與用戶私鑰和明文關聯(lián)的內積值，可用于數(shù)理統(tǒng)計等應用場景。

賴建昌等[24]結合SM9商用標識密碼的特點，提出了首個基于SM9的標識廣播加密方案，在SM9標識加密算法的基礎上，密文長度僅增加一個群元素，并采用與SM9標識加密算法相同的密鑰生成算法。

Yao等[25]也對內積型廣播加密進行了深入研究，考慮到廣播加密接收者的身份隱私，提出了具有匿名性質的基于證書的內積廣播加密，同時證明了該方案在IND-CCA安全模型下是自適應安全的，密文長度隨著接收者數(shù)量線性增長。Liu等[26]針對云場景中重復數(shù)據的刪除進行研究，利用廣播加密技術提出了一種無需獨立密鑰管理服務器的客戶端重復數(shù)據刪除協(xié)議。

2.4 典型方案回顧

在Delerablée[15]提出的方案中，系統(tǒng)公鑰長度與系統(tǒng)可容納最大接收者個數(shù)成線性關系，密文長度為固定長度。后續(xù)具有定長密文的IBBE方案大多采取該方案的構造技術，方案的具體描述如下：

(4)Decrypt(S,IDi,SKIDi,Hdr,PK)：輸入由廣播信道獲取的密文首部Hdr=(C1,C2)，接收者標識集合S，用戶自身的標識IDi和標識對應的私鑰SKIDi以及公鑰PK。首先計算

其中，

方案的正確性分析如下：

若IDi∈S，則

T=(e(C1,hpi,n(γ))·e(SKIDi,C2))=

3 匿名廣播加密

由廣播加密的定義可知，在解密過程中，每個用戶需要輸入密文CT，接收者集合S，自己的私鑰skID和主公鑰mpk，所有接收者信息也作為廣播密文的一部分傳輸，這種設置將造成嚴重的隱私泄露問題。假設在付費電視中使用的是上述不提供匿名性的廣播加密，授權用戶集合為某個頻道所有付費用戶的集合，那么用戶必須知道所有購買該頻道的用戶才能解密，該做法侵犯了消費者隱私，在實際部署中極為不便。

然而在當今互聯(lián)網環(huán)境，保護用戶的隱私至關重要，密碼學幾個重要研究領域都依賴匿名性，例如數(shù)字簽名中的群簽名和匿名憑證。在很多廣播場景中，授權用戶的身份信息和廣播消息本身同樣是敏感內容。理想情況下，廣播加密方案應確保密文不會泄露任何接收者集合的任何信息，進而保護接收者的隱私。

3.1 匿名廣播加密定義

匿名廣播加密的形式化定義與IBBE類似，區(qū)別在于匿名廣播加密在解密階段無需輸入接收者集合。

3.2 匿名廣播加密安全模型

匿名廣播加密不僅需要保證消息的機密性，還要保證接收者的匿名性。接收者的匿名性由選擇密文攻擊下的用戶集合不可區(qū)分性(Anonymous indistinguishability under Chosen-Ciphertext Attacks,ANON-CCA)[27]來定義，該交互游戲確保敵手無法區(qū)分由兩個不同接收者集合生成的密文。

(1)系統(tǒng)建立階段

已知安全參數(shù)λ和系統(tǒng)可容納的最大接收者個數(shù)m，挑戰(zhàn)者運行Setup(1λ,m)算法，輸出主公鑰mpk及主私鑰msk，將mpk發(fā)送給。

(2)詢問階段1

敵手允許在該階段自適應地發(fā)起如下詢問：

a.私鑰詢問：輸入標識ID，挑戰(zhàn)者運行算法KeyGen(mpk,msk,ID)→skID，將結果發(fā)送給敵手；

b.解密詢問：輸入標識ID和密文CT，挑戰(zhàn)者運行解密算法Decrypt(mpk,S,CT,ID,skID)→M，將解密得到的消息M返回給敵手。

(3)挑戰(zhàn)階段

(4)詢問階段2

(5) 猜測階段

定義3 如果對于任意的PPT敵手，在上述游戲中獲勝的優(yōu)勢是可忽略的，則稱廣播加密方案是ANON-CCA安全的。

3.3 相關工作

在以往對廣播加密的研究中，大多圍繞提高廣播加密系統(tǒng)的抗合謀能力和減少廣播密文長度展開，Barth等[28]提出私有廣播加密的概念，首次解決了用戶隱私泄露的問題。并提出一個私有廣播加密方案的通用構造，方案滿足靜態(tài)敵手模型下的匿名性和IND-CCA安全，能夠保證在不泄露接收者身份信息的情況下正確解密。

文獻[29]利用子集覆蓋(subset-cover)技術提出具有亞線性密文長度的匿名標識廣播加密方案，并給出了外部匿名性的形式化定義。對于接收者集合S外的用戶來說是匿名的，但對于S內的用戶不滿足匿名性。

Libert等[30]指出文獻[29]中的匿名性較弱，不能滿足完全匿名性，然而完全匿名性在實際應用中是必要的。文獻[30]給出了匿名廣播加密的形式化定義，并提出兩個具有CCA安全的匿名廣播加密的一般構造。然而，方案的匿名性由多個對稱加密的密文構成，通信代價和解密計算開銷較大。

文獻[31]提出可在不需要解密的情況下匿名撤銷IBBE系統(tǒng)中部分接收者的解密權限，該方案滿足完全匿名性，只有數(shù)據發(fā)送方知道接收者的身份信息，并且撤銷過程不會泄露明文和接收者身份的任何信息。

基于證書(certificate-based)的匿名廣播加密概念在文獻[32]中給出，文獻[32]同時給出了相應的形式化定義和安全模型，并提出一個自適應CCA安全的基于證書的匿名廣播加密方案。基于證書的密碼機制解決了傳統(tǒng)公鑰密碼體制中的證書管理問題，無需建立安全信道，同時也避免了標識密碼體制中的密鑰托管問題。

3.4 典型方案回顧

文獻[27]提出了在選擇密文攻擊下可同時滿足機密性和完全匿名性的AIBBE方案，且公共參數(shù)和私鑰大小與接收者數(shù)量無關，方案通信代價較小，具有代表性。該方案描述如下：

符號定義為[x]表示比特串x的前位，[x]表示比特串x的后位。x‖y表示將比特串x和y連接。

(1)Setup(1λ):以安全參數(shù)λ為輸入，首先生成雙線性群(p,G,GT,e)，其中，p是長度為λ的素數(shù)，G,GT為兩個p階循環(huán)群，e為雙線性映射e:G×G→GT。隨機選取生成元g,u,v,w∈G，選取一個隨機數(shù)α∈p作為主密鑰，計算g1=gα。接著選取4個哈希函數(shù):p。公共參數(shù)設為

paras=(p,G,GT,e,g,g1,u,v,w,H1,H2,H3,H4),

私鑰msk=α。

(3)Encrypt(params,S,m)：輸入系統(tǒng)公開參數(shù)params,接收者身份信息集合S={ID1,ID2,…,IDt}和代價密廣播消息m∈{0,1}l，執(zhí)行以下步驟：

1)選取隨機數(shù)r,k,τ∈p;

2)計算G中群元素C0=gr；

3)對任意IDi∈S，計算VIDi=H2(e(QIDi,g1));

4)計算多項式

5)計算

C1=[H3(k‖C0)]l-l1‖([H3(k‖C0)]l1)?m，

h=H4(C0,C2,a0,a1,…,at-1),C2=(uhvτw)r，

輸出密文CT=(τ,C0,C1,C2,a0,a1,…,at-1)。

[C1]l-l1≠[H3(k‖C0)]l-l1，

則解密失敗，輸出⊥。否則可得到廣播明文m=[C1]l1‖([H3(k‖C0)]l1)。

由上述方案可知，用戶在解密過程中無需輸入接收者集合，有效保護了接收者的身份信息。方案的正確性分析如下：

若接收者獲得的C0,C2未經篡改過，則如下等式成立：

e(g,C2)=e(g,(uh,vτ,w)r)=

e(gr,uh,vτ,w)=

e(C0,uh,vτ,w),

接收者接著可利用自己的私鑰計算VID：

VID=H2(e(skID,C0))=

H2(e(QID,g1)r),

帶入f(x)可得到正確的k，進而求得正確解密的廣播明文。

4 叛逆者追蹤廣播加密

在一對一傳輸場景中，只存在一個授權方，若授權方知曉的某個秘密泄露出來，顯而易見泄密者就是該授權方。當授權方有多個時，找出泄露秘密的授權方就變得比較復雜。隨著網絡服務的不斷多樣化，越來越多的數(shù)字產品都以廣播的形式進行發(fā)放，例如電子圖書、電子軟件及音樂等。通常情況下，數(shù)據提供商會向每一個合法用戶分發(fā)一個包含用戶私鑰的硬件或軟件“解密盒”，這在付費電視和電子商務中更為常見。然而盜版問題是不可避免的，若某個惡意的訂閱者將自己的“解密盒”拷貝給其他人，數(shù)據提供商并不能阻止該做法；另一種惡意用戶是利用自己的私鑰通過共謀生成非法的盜版產品，再進行轉賣獲取利潤。這種行為既侵犯了作者的知識產權，又破壞了正常市場秩序。為減少數(shù)據提供商的經濟損失，需盡快找出該惡意用戶(叛逆者)。

4.1 叛逆者追蹤廣播加密定義

叛逆者追蹤廣播加密由以下4個多項式時間算法組成：

(1)KeyGen(λ,n)：密鑰生成算法，又稱為用戶初始化算法，輸入安全參數(shù)λ和接收者個數(shù)n，算法輸出公鑰e和n個私鑰d1,d2,…,dn，其中任何的私鑰都可以對廣播密文解密。

(2)Encryption(e,S,M)：輸入公鑰e，接收者集合S和待加密消息M，加密算法輸出廣播密文C并發(fā)送給所有用戶。

(3)Decryption(C,di)：輸入廣播密文C和私鑰di，輸出解密后得到明文M。

(4)Tracing(D)：輸入一個盜版解密盒D，若該解密盒在創(chuàng)建時使用到多個私鑰d1,d2,…,dk，則叛逆者追蹤算法至少追蹤到其中一個叛徒。

叛逆者追蹤廣播加密的正確性要求對任意的消息M，(e,(d1,…,dn))←Setup(λ,n)，C←Encrypt(e,S,M)。若i∈S，那么

Pr[Decrypt(S,i,di,Hdr,PK)=M]=1。

4.2 叛逆者追蹤廣播研究現(xiàn)狀

叛逆者追蹤技術由Chor等[33]在1994年的美密會上首次提出，主要用于對抗廣播加密中合謀攻擊和重放攻擊。文獻[33]為基于對稱密鑰的叛逆者可追蹤的廣播加密，采用的方法是為每個接收者提供不同的密鑰，每一個密鑰相當于一個水印，可追溯到特定解密盒的所有者。但對于多個叛逆者合謀產生的解密盒，該方案無法實現(xiàn)有效追蹤。隨后，Naor等[34]提出了門限叛逆者追蹤方案，可有效降低存儲代價與計算開銷。隨后，研究方向主要集中于基于公鑰的叛逆者追蹤，大量基于公鑰的叛逆者追蹤方案也相繼被提出[35-42]。

Pfitzmann[35]在1996年首次提出了基于公鑰的叛逆者追蹤方案，指出在對稱叛逆者追蹤加密體制中存在不滿足不可抵賴性的問題，這與對稱的消息認證碼類似，不提供不可抵賴性，也稱為不可否認性。系統(tǒng)權威機構與訂閱用戶共享密鑰，惡意的權威機構可能利用用戶的密鑰生成盜版解密盒，并且將誠實的用戶控告為叛逆者。而非對稱的叛逆者追蹤方案可避免該問題。文獻[35]中利用交互式的密鑰分發(fā)協(xié)議實現(xiàn)叛逆者追蹤廣播加密方案。

Boneh等[43]指出文獻[34,36]中的方案僅能夠實現(xiàn)概率性的叛逆者追蹤，提出了改進版的公鑰叛逆者追蹤方案，能夠實現(xiàn)確定性追蹤且滿足k-抗共謀攻擊，即當發(fā)起共謀的惡意用戶(叛逆者)個數(shù)不超過k時，至少可以有效識別出其中一個叛逆者，若個數(shù)超過k，則不能有效追蹤。該方案同樣具有黑盒追蹤性(無需打開解密盒)。

2008年，Boneh等[44]提出了定長密文的叛逆者追蹤方案，密文僅由兩個群元素組成，可滿足t-抗共謀攻擊。與文獻[43]的k-抗共謀攻擊不同的是，t-抗共謀攻擊中允許叛逆者數(shù)量t和接收者數(shù)量n相等。在文獻[44]中t=n時，滿足完全抗共謀攻擊，且不會增加密文大小。但該方案的私鑰長度過大，私鑰復雜度為O(t2logn)。

文獻[40-41]中的方案均利用復合階(composite order)雙線性群提出，然而復合階雙線性群存在針對模數(shù)因式分解的亞指數(shù)攻擊。為保證安全性，必須使用階數(shù)較大的復合階群。Garg等[45]指出利用復合階雙線性群效率較低，與素數(shù)階雙線性群相比，在相同的安全級別下，復合階雙線性群中的指數(shù)運算時間是素數(shù)階雙線性群中的25倍，在很多實際應用場景不便于使用。Garg基于素數(shù)階雙線性群首次提出了完全抗共謀攻擊的叛逆者追蹤方案，與文獻[43]相比，該方案的加解密效率有大幅提升，且密文長度更短。

4.3 典型方案回顧

文獻[42]利用多項式插值技術提出一種具有撤銷能力的公鑰叛逆者追蹤方案，方案滿足黑盒追蹤性。若出現(xiàn)盜版解密盒，可追蹤并撤銷門限值為z的用戶私鑰，而無需更新其他用戶的私鑰，并可以恢復已撤銷用戶私鑰的解密權限。該方案還滿足k-彈性追蹤，如果叛逆者的數(shù)量為k或更少，跟蹤算法可以找到所有叛逆者。由于該方案代表性較強，此后眾多叛逆者追蹤且可撤銷方案均是基于該方案的構造技巧，這里給出文獻[42]的具體構造：

令k為最大叛逆者數(shù)量，z為可撤銷的叛逆者數(shù)量門限值，并設2k-1≤z。

(3)Encryption：輸入待加密廣播消息M，數(shù)據提供商隨機選取z個未使用過的二元份額組(j1,f(j1)),(j2,f(j2)),…,(jz,f(jz))和一次性隨機數(shù)r∈q，接著計算聯(lián)合授權分組

T=(sgra0,gr,(j1,grf(j1)),(j2,grf(j2)),…,(jz,grf(jz))),

其中,s是加密廣播數(shù)據的會話密鑰。數(shù)據提供商將廣播密文設為E(f(x),M)=(T,E′(s,M))，其中,E()為分組加密算法，例如DES算法。

(4)Decryption：訂閱者獲取到廣播密文(T,E′(s,M))，可利用密文中的T按照如下方式計算會話密鑰s，

(5)Traitor tracing：假設可能存在m個訂閱者{c1,c2,…,cm}(m≤k)，利用其份額構造了盜版解密盒，為確定這m個用戶是否確定為叛逆者。數(shù)據提供商可按如下步驟操作：數(shù)據提供商隨機選取z-m個未使用的份額，如{j1,…,jz-m}，利用測試消息M構造測試密文E(f(x),M)=(T,E′(s,M))，其中

T=(sgra0,gr,(c1,grf(c1)),(c2,grf(c2)),…,(cm,grf(cm)),(j1,grf(j1)),(j2,grf(j2))…,(jz-m,grf(jz-m))),

將(T,E′(s,M))作為盜版解密盒的輸入，若該解密盒無法正確解密輸出測試消息M，則{c1,c2,…,cm}中存在叛逆者。接著，可縮小集合范圍或對集合{c1,c2,…,cm}的標識元素單獨運行上述算法，以精確求得叛逆者集合。

5 可撤銷廣播加密

僅實現(xiàn)叛逆者追蹤性質并不能完全滿足應用的需求。一個健壯的廣播加密系統(tǒng)需滿足追蹤并撤銷功能，當出現(xiàn)非法解密設備時，應確保在第一時間追蹤到該非法設備所使用密鑰的來源并撤銷密鑰擁有者的解密能力，使撤銷用戶不再能夠解密密文。

在將一個廣播加密系統(tǒng)部署到付費電視等實際應用中時，可能存在如下問題：①用戶的私鑰可能泄露、丟失；②用戶因退訂服務退出廣播加密系統(tǒng)等；③用戶主動離開廣播加密系統(tǒng)等。為保證數(shù)據機密性，廣播加密系統(tǒng)需保證上述用戶不再具有解密權限。用于解決該問題的廣播加密稱為接收者可撤銷廣播加密(Recipient Revocable Identity-Based Broadcast Encryption,RR-IBBE)。

5.1 可撤銷廣播加密定義

文獻[46]給出的標識可撤銷廣播加密的定義與標識廣播加密的定義類似，區(qū)別在于前者在加密階段輸入為撤銷用戶的標識集合，而后者在加密階段輸入為授權接收者用戶的標識集合。

在Susilo等[47]提出的方案中，撤銷方式同樣為利用接收者標識集合撤銷，該方案在加密階段輸入的集合為當前已授權用戶的標識集合S，撤銷階段輸入撤銷標識集合R，則解密階段只有S′=S-R中的用戶可正確解密。

5.2 可撤銷廣播加密的研究現(xiàn)狀

Naor等[48]利用子集-覆蓋方法提供了一種經典的追蹤可撤銷的廣播加密構造方法。子集‐覆蓋算法為每個不相交的劃分集合分配一個長期密鑰，并為每個子集加密短期密鑰，用短期密鑰加密需要廣播的消息。文獻[48]分別利用完全生成子樹和子集差分給出了2種方案的構造。當加密者為一些授權用戶集合S?{1,2,…,N}提供廣播密文時，若存在一個盜版者利用合謀用戶T?{1,2,…,N}的一組私鑰構造了一個盜版解密盒D，那么，跟蹤算法可以與D進行交互，并識別追蹤到盜版者擁有的一個活動密鑰，即其中一個用戶的密鑰t∈S∩T。廣播者將授權用戶集合S′設置為S′←S{t}，再進行廣播，其中，S{t}表示刪除集合S中的t元素。如果盜版解密盒依舊可以解密，再次運行跟蹤算法并得到另一個參與共謀的密鑰t′∈S′∩T，將授權用戶集合S″設置為S″←S′{t′}。按照此方法進行下去，直到盜版解密盒無法解密。

Boneh等[40]提出了增強廣播加密(Augmented Broadcast Encryption,ABE)的概念，并給出了可同時滿足叛逆者追蹤并撤銷、完全抗合謀性、黑盒追蹤性的方案構造，方案具有亞線性大小的密文和私鑰，且可抵抗自適應選擇明文攻擊的敵手。

文獻[45]提出了兩個具有短密鑰的可撤銷廣播加密方案，方案的密文開銷均為O(r)，其中，r為被撤銷的用戶數(shù)量。公鑰和私鑰的大小為素數(shù)階橢圓曲線群中的定長群元素，公鑰的長度分別為5個和12個群元素，私鑰長度分別為3個和5個群元素。與文獻[5,7,9]中的方案不同，該方案允許用戶創(chuàng)建一個可以撤銷無限數(shù)量用戶的廣播密文。而在其他系統(tǒng)中，公共參數(shù)限制了系統(tǒng)中的可撤銷用戶數(shù)量，必須更新系統(tǒng)公共參數(shù)才能支持撤銷更多用戶。

譚作文等[49]在2005年提出一種完全式的公鑰廣播加密方案，與傳統(tǒng)的公鑰廣播加密方案不同，在完全式廣播加密方案中，由用戶自己生成解密密鑰，而傳統(tǒng)公鑰廣播加密中用戶的解密密鑰由廣播者分發(fā)。文獻[49]還實現(xiàn)了叛逆者追蹤和非法用戶撤銷的功能，該方案在DDH困難假設下可抵抗選擇密文攻擊。

文獻[47]首次提出接收者可撤銷的廣播加密，在RR-IBBE中，數(shù)據提供商將生成的密文內容發(fā)送給受信任的第三方，即廣播公司。廣播公司會周期性的向訂閱者廣播內容，也可以從加密內容中撤銷一組用戶，而無需對其進行解密。在文獻[47]提出的方案中，首先發(fā)送給廣播公司長度為m+3個群元素的廣播密文，其中，m為一次加密中最大撤銷用戶數(shù)量，廣播公司執(zhí)行撤銷算法后生成長度為3個群元素的廣播密文發(fā)送給訂閱者。

Lai等[31]基于文件共享的應用場景提出了匿名標識可撤銷廣播加密方案，該方案適用于：數(shù)據擁有者將文件加密后存儲于云服務器中共享，當一個用戶集合R中的用戶離開公司后，該服務器必須撤銷R中用戶的訪問權限。撤銷算法執(zhí)行后，集合R中用戶將不能再利用自己的私鑰解密文件。文獻[31]提出的方案具有恒定大小的公鑰和私鑰，撤銷階段的計算開銷為O(r)，其中，r為撤銷用戶的數(shù)量。

Ge等[50]從密鑰更新的角度出發(fā)，實現(xiàn)了可撤銷廣播加密。文獻[50]基于二叉樹結構和素數(shù)階雙線性群的非對稱配對，提出了可撤銷IBBE的具體方案。在該方案中，KGC定期發(fā)布一些更新密鑰所需的元素，只有未撤銷的用戶才能更新其解密密鑰，已撤銷用戶無法更新密鑰。在標準模型中，選擇明文攻擊下，該方案被證明是半自適應安全的，且實現(xiàn)了固定長度的密文。

5.3 典型方案回顧

文獻[46]的方案采用了新型的秘密分享技術，將秘密份額si和撤銷用戶標識IDi一同嵌入到密文中，使得已撤銷用戶無法解密密文。該方案的構造技巧后來被廣泛應用于屬性基加密方案構造中[51-52]。該方案代表性較強，其方案構造具體描述如下：

(1)Setup：定義階為素數(shù)p的雙線性群G，隨機選取G中2個生成元g,h∈G和中兩個隨機數(shù)α,b∈p將公鑰設為PK=(g,gb,gb2,hb,e(g,g)α)，系統(tǒng)私鑰為MSK=(α,b)。

(2)KeyGen(MSK,ID)：首先隨機選取t∈p，依次計算D0=gαgb2t,D1=(gb·IDh)t,D2=g-t，將私鑰設為SKID=(D0,D1,D2)。

(3)Encrypt(PK,M,S)：隨機選取s∈p，令r=|S|，即撤銷用戶數(shù)量。隨機選取r個隨機數(shù)s1,…,sr使得s=s1+…+sr。令IDi表示撤銷集合S中的第i個身份。接著計算C′=e(g,g)αsM，C0=gs。對于任意i=1,2,…,r，計算

Ci,1=gb,si,Ci,2=(gb2·IDi·hb)si，

密文為CT=(C′,C0,(C1,1,C1,2),…,(Cr,1,Cr,2))。

(4)Decrypt(S,CT,ID,SKID)：輸入撤銷用戶身份集合S、密文CT、用戶的身份ID和用戶私鑰SKID，若用戶身份在撤銷集合內，則解密算法終止解密。否則，解密算法計算

正確性分析：

W=e(C0,D0)/

e(gs,gαgb2t)/

e(gs,gα)·e(gs,gb2t)/

e(gs,gα)·e(gs,gb2t)/

e(gs,gα)·e(gs,gb2t)/

e(gs,gα)。

6 公鑰廣播加密的應用研究

廣播加密可提供一對多場景下數(shù)據安全共享的功能，適用于互聯(lián)網以及物聯(lián)網中眾多場景，如：

(1)車載自組織網絡的安全通信

車載自組織網絡(Vehicular Ad Hoc Networks,VANETs)也稱車聯(lián)網，通過車載智能設備可實現(xiàn)云端服務通訊與本地總線通訊，以及通過手機應用對車輛進行遠程控制，目前已經成為通信領域和無線傳感網領域的一個研究熱點。VANETs中的信息傳播離不開車輛和基礎設施的交互。在VANETs中，可信機構(Trust Authority,TA)通常需要與多臺車輛建立安全連接，并發(fā)揮重要作用。然而，當TA向多臺車輛發(fā)送相同的消息時，會產生較多的冗余信息，因為TA需要與每臺車輛協(xié)商并向每個車輛發(fā)送不同的密文。目前，VANETs采用的大多為點對點的通信方式，通信效率較低。因此，廣播加密是VANETs通信中的重要研究方向。文獻[53]針對車聯(lián)網場景，提出了一種身份基廣播加密方案，適用于車輛到基礎設施間的通信。

(2)云存儲的訪問控制

云存儲的訪問控制是公鑰廣播加密另一個重要的研究方向。隨著社交媒體的不斷發(fā)展，眾多基于云存儲的社交網絡應用被廣泛使用，如抖音、微信和微博等。用戶使用這些應用會產生大量數(shù)據。具體而言，通過社交網絡應用，用戶可獲取網絡熱點新聞，也可以建立朋友群組，以分享個人觀點或個人內容，如照片、視頻、文件等。社交應用通常會產生大量的敏感數(shù)據。一方面，個人終端設備的計算能力和存儲空間通常是有限的，使用一段時間后不得不將一些敏感數(shù)據刪掉；另一方面，對于大多數(shù)維持這些應用運行的中小企業(yè)來說，隨著用戶規(guī)模的快速增長，企業(yè)也無力承擔相應的計算和存儲成本。因此，云計算和云存儲服務應運而生，使得計算資源和存儲資源像水、電一樣利用。企業(yè)用戶可以向云計算廠商租用計算資源和存儲資源，既可以將大部分計算任務外包給云計算服務器，也可以將大量數(shù)據存儲于云存儲服務器。

近年來，企業(yè)和個人用戶越來越依賴云存儲服務，云存儲服務技術發(fā)展也逐漸成熟，既有商業(yè)級的云存儲服務，如亞馬遜S3、Egnyte、和Tresorit等，也有消費級的云存儲服務，如Google Drive、iCloud、微軟OneDrive、Dropbox等。然而，對于云存儲服務，需要解決隱私保護問題，即如何確保存儲在云中的照片和視頻等用戶個人數(shù)據只能由數(shù)據所有者授權的用戶訪問，而所有未經授權的用戶，包括云存儲提供商本身，都不能訪問或恢復原始的個人數(shù)據。因此，針對上述應用場景，提出一種高效安全、低帶寬需求的公鑰廣播加密方案是十分有意義且可行的。文獻[54]針對云存儲文件共享場景進行了研究，提出了功能廣播加密(Functional Broadcast Encryption,FBE)的概念，這是帶訪問控制的公鑰加密的一種表現(xiàn)形式，用于云數(shù)據的訪問控制。文獻[55]也對廣播加密在云存儲的應用進行了研究，提出了自適應安全的基于證書的廣播加密。

(3)在物聯(lián)網的應用

物聯(lián)網目前與人們的工作和生活息息相關，海量物聯(lián)網設備紛紛接入到互聯(lián)網中，從智能手表到安全門鎖，物聯(lián)網技術已經成為人們生活中不可缺少的一部分。然而，物聯(lián)網安全并沒有得到足夠重視，安全事件頻發(fā)，全球近20%的企業(yè)和相關機構在過去3年遭遇物聯(lián)網攻擊。例如在2021年，美國的15萬個攝像頭被入侵造成個人隱私泄露，以及利用攝像頭組成僵尸網絡發(fā)起的分布式拒絕服務攻擊(Distributed Denial-Of-Service,DDOS)攻擊等。因此，物聯(lián)網的安全問題亟待解決。隨著物聯(lián)網的大規(guī)模部署，為確保整個網絡的安全，需及時進行設備更新以修復高危安全漏洞。文獻[56]提出一種適用于物聯(lián)網中組密鑰管理的多變量廣播加密方案，可有效減少功耗，并提高物聯(lián)網數(shù)據傳輸?shù)陌踩浴Ｒ环N利用區(qū)塊鏈技術提供軟件更新的機制在文獻[57]中得到研究，一旦更新作為有效區(qū)塊的一部分添加到區(qū)塊鏈中，那么該區(qū)塊就不可刪除，可抵抗阻止物聯(lián)網設備更新的惡意實體發(fā)起的攻擊，確保了更新的可用性。同時，還可抵抗針對中心化結構的拒絕服務攻擊。對于區(qū)塊鏈基礎設施向物聯(lián)網設備共享升級文件、網絡配置文件等通信環(huán)節(jié)，均可采用廣播加密技術實現(xiàn)。

(4)基于格密碼的廣播加密

目前，大多數(shù)公鑰加密方案的設計通?；跀?shù)學困難問題，隨著量子技術的飛速發(fā)展，現(xiàn)有公鑰密碼算法在量子計算下將不再安全，量子計算機的出現(xiàn)可能會威脅到基于數(shù)學困難問題的密碼體制。目前，實用化的密碼體制仍是基于數(shù)學困難問題的公鑰密碼。格密碼作為抗量子密碼算法，是公認的后量子密碼領域中最熱門的研究方向之一。近年來，學者們已經逐步開始研究抗量子廣播加密，提出了一些優(yōu)秀的基于格的廣播加密方案[58-60]，基于格密碼的廣播加密研究也將成為未來較為重要的研究方向之一。

7 結論與展望

近年來，隨著無線傳感網、智能終端、云計算等新興應用的快速發(fā)展，網絡形態(tài)逐步呈現(xiàn)出層次化、服務化等特點。面向服務的計算通常采用資源共享的工作方式，該工作方式的特點為多個用戶請求同一個數(shù)據。企業(yè)或個人的數(shù)據上云首要解決的問題就是數(shù)據安全與隱私保護。廣播加密為一對多場景下數(shù)據安全且高效的共享提供了解決方案，在物聯(lián)網、云存儲的訪問控制等應用中得到廣泛使用。

本文介紹了公鑰廣播加密的概念、定義以及安全模型，針對不同應用場景的安全需求，詳細論述了公鑰廣播加密、標識廣播加密、匿名廣播加密、叛逆者追蹤廣播加密以及可撤銷廣播加密的原理、特征及研究成果。

雖然目前已經存在大量公鑰廣播加密研究的文獻，但大多圍繞國外算法展開，基于國產密碼的廣播加密算法及其衍生的功能型算法較少。因此，設計安全高效的具有不同功能的國產公鑰廣播加密算法可作為未來的研究方向之一。此外，目前基于格的廣播加密研究較少，也將成為未來的研究熱點。