一種保護(hù)接收者隱私的IBBE方案

趙 一，楊 波

（陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院，西安710119）

一種保護(hù)接收者隱私的IBBE方案

趙 一，楊 波

（陜西師范大學(xué)計(jì)算機(jī)科學(xué)學(xué)院，西安710119）

廣播加密在現(xiàn)實(shí)中有廣泛應(yīng)用，但對(duì)于接收者隱私的保護(hù)方案仍然較少，且現(xiàn)存的能夠保護(hù)隱私的方案多數(shù)不能抵御合法接收者的替換攻擊。針對(duì)以上問題，結(jié)合密鑰交換和秘密共享，提出一種新的基于身份的廣播加密方案。接收者在解密時(shí)需要密文的哈希值作為解密密鑰的一部分，使得密文不可修改，不僅能夠保護(hù)接收者的隱私，而且能夠成功抵御合法接收者集合內(nèi)部的攻擊，即任一合法接收者不能知道另外的接收者身份。分析結(jié)果表明，與同類方案相比，該方案在安全性上具有明顯優(yōu)勢(shì)，且能保證效率性能。

隱私保護(hù)；基于身份的廣播加密；密鑰交換；多項(xiàng)式秘密共享；替換攻擊

1 概述

自文獻(xiàn)［1］提出廣播加密的概念之后，作為一種高效的加密通信方式，廣播加密得到了迅速發(fā)展。在廣播加密系統(tǒng)中，一個(gè)廣播密文可以讓多個(gè)合法接收者接收同一條消息，而不需要對(duì)每個(gè)接收者單獨(dú)發(fā)送密文，同時(shí)非消息接收者不能解密出消息。對(duì)于較長消息的廣播加密，考慮到公鑰加密的效率較低，經(jīng)常使用一個(gè)對(duì)稱密鑰方案來加密密文，而用公鑰基礎(chǔ)的廣播加密方案來加密對(duì)稱密鑰，因此廣播加密方案可以被轉(zhuǎn)化為密鑰封裝機(jī)制和多接收者的加密方案。

在很長一段時(shí)間之內(nèi)，對(duì)于廣播加密的研究集中在提升效率和降低密鑰長度上。文獻(xiàn)［2］提出了一個(gè)有較短密文長度和密鑰長度的公鑰方案，文獻(xiàn)［3］在基于身份的環(huán)境下，提出了常數(shù)級(jí)密文和密鑰長度的方案。然而，在很多場(chǎng)景下，接收者的身份與消息內(nèi)容同等重要，比如醫(yī)療信息的傳播、學(xué)校里成績的發(fā)布等，保護(hù)接收者身份的隱私也是廣播加密中需要關(guān)注和研究的重要內(nèi)容。文獻(xiàn)［4］提出了公鑰的保護(hù)隱私的廣播加密的一般構(gòu)造方法。文獻(xiàn)［5］利用拉格朗日插值技術(shù)提出了一個(gè)匿名的多接收者加密方案，文獻(xiàn)［6］指出文獻(xiàn)［5］是不安全的并提出一個(gè)改進(jìn)方案，文獻(xiàn)［7］發(fā)現(xiàn)文獻(xiàn)［6］的改進(jìn)方案仍然不安全，提出了一個(gè)不利用插值的方案，但是效率非常低。其實(shí)方案［5］的主要問題在于，讓接收者用公開信息得到對(duì)應(yīng)的密鑰，使得合法接收者能夠得到其他接收者的信息。文獻(xiàn)［8］提出了一個(gè)安全的基于身份的保護(hù)隱私的廣播加密方案，其結(jié)構(gòu)類似于文獻(xiàn)［4］，并使用一個(gè)密鑰協(xié)商協(xié)議產(chǎn)生的秘密值作為索引加速解密。在國內(nèi)，文獻(xiàn)［9-10］分別提出了一個(gè)匿名的多接收者加密方案和匿名的廣播加密方案。

然而，文獻(xiàn)［7-10］雖然實(shí)現(xiàn)了密文本身的安全和匿名，但是卻無法抵御文獻(xiàn)［4］中提出的合法接收者的替換攻擊。即合法接收者之一，解密出對(duì)稱密鑰之后，用同一個(gè)密鑰加密另一個(gè)消息，替換原密文中的對(duì)應(yīng)部分，然后發(fā)送出去，這樣原密文的接收者仍能收到改變后的密文并看到內(nèi)容，該接收者可以通過觀察其他人對(duì)他篡改密文的反應(yīng)而知道誰是別的合法接收者。因此，此類方案的密文構(gòu)造中，必須包換密文的相關(guān)簽名等信息以保證密文不可被修改，上述基于身份的方案均無法抵御此類攻擊。

本文通過分析上述方案的優(yōu)缺點(diǎn)，結(jié)合密鑰交換協(xié)議和群上的多項(xiàng)式插值方法，提出一個(gè)能夠抵御替換攻擊的基于身份的保護(hù)隱私的廣播加密方案，并與傳統(tǒng)方案進(jìn)行了對(duì)比。

2 背景知識(shí)

2.1 雙線性映射

設(shè)G1為階數(shù)q的加法循環(huán)群，G2為階數(shù)q的乘法循環(huán)群，是整數(shù)乘法循環(huán)群，則稱滿足以下性質(zhì)的映射e：G1×G1→G2為雙線性映射：

（1）雙線性：對(duì)任意g1，g2∈G1，a，，有e（ag1，bg2）=e（g1，g2）ab。

（2）非退化性：對(duì)任意g1，g2∈G1，有e（g1，g2）≠1。

（3）可計(jì)算性：對(duì)任意g1，g2∈G1，存在有效的算法計(jì)算e（g1，g2）。

2.2 匿名的密鑰交換協(xié)議

文獻(xiàn)［11］提出一個(gè)基于身份的使用雙線性對(duì)的密鑰交換協(xié)議，可以簡單地實(shí)現(xiàn)用戶之間協(xié)商共享秘密值。

在一個(gè)如上節(jié)的雙線性系統(tǒng)中，設(shè)主密鑰為s的PKG為每個(gè)IDi生成一個(gè)對(duì)應(yīng)的私鑰di= sH（IDi），其中，H：｛0，1｝*→G1是密碼學(xué)hash函數(shù)。用戶A和用戶B以身份IDA和IDB分別向PKG進(jìn)行私鑰提取，得到dA=sH（IDA）與dB=sH（IDB），密鑰交換協(xié)議如下：

（1）A選取一個(gè)隨機(jī)數(shù)r，計(jì)算PA=rH（IDA），然后把PA發(fā)送給B。

（2）A計(jì)算協(xié)商密鑰KAB=e（dA，H（IDB））r，而B計(jì)算協(xié)商密鑰為KAB=e（PA，dB），可以看到：

此協(xié)議在BDH假設(shè)下以隨機(jī)預(yù)言機(jī)模型證明是安全的。

2.3 群上的多項(xiàng)式秘密共享

文獻(xiàn)［12］使用了一個(gè)群上多項(xiàng)式插值構(gòu)造的秘密共享來構(gòu)造門限簽名方案，在本文的方案中將反向應(yīng)用這一工具。下面描述這個(gè)方案：

（1）秘密分發(fā)階段：

在q階循環(huán)群G中，設(shè)S0∈G*是要分享的秘密，t和n滿足1≤t≤n＜q，隨機(jī)選取F1，F(xiàn)2，…，F(xiàn)t-1∈G，然后定義群上的類多項(xiàng)式函數(shù)F：N∪｛0｝→G，令算秘密值Si=F（i），然后將Si發(fā)給第i個(gè)成員。

（2）秘密重構(gòu)階段：

設(shè)Φ?｛1，2，…，n｝，|Φ|≥t，則由Si重構(gòu)函數(shù)其中，這樣接收者可以通過計(jì)算F（0）得到秘密S0。

2.4 基于身份的廣播加密

一個(gè)基于身份的廣播加密方案由以下4個(gè)部分組成：

（1）建立：輸入安全參數(shù)，輸出主密鑰交給PKG。

（2）提取：輸入主密鑰和一個(gè)用戶的ID，輸出該用戶的私鑰。

（3）從用戶中選擇接收者身份集合S=｛ID1，ID2，…，IDn｝和要發(fā)送的消息M，輸出（Hdr，K），用K作為對(duì)稱加密方案的密鑰加密M，輸出CM，廣播（Hdr，S，CM）。

（4）解密：輸入S和一個(gè)接收者的私鑰，以及Hdr，解密出K并從CM中解密出明文。

3 方案描述

本文給出了一個(gè)保護(hù)接受者隱私的基于身份的廣播加密的一般構(gòu)造方法，實(shí)際應(yīng)用時(shí)可以根據(jù)需要選擇不同的子方案以達(dá)到不同的要求。

給定一個(gè)語義安全的群上的IBE方案（Gen，Ext，Enc，Dec），一個(gè)不可區(qū)分加密的對(duì)稱加密方案（D，E），以及hash函數(shù)H1：｛0，1｝*→G1，H2：G2→方案構(gòu)造如下：

（1）建立：輸入安全參數(shù)λ，構(gòu)造一個(gè)雙線性系統(tǒng)（q，g，G1，G2，e（·，·）），其中g(shù)是隨機(jī)選取的生成元，再選擇s作為主密鑰發(fā)送給PKG，輸出（H1，H2，H3，q，g，G1，G2，e（·，·））作為公開參數(shù)，運(yùn)行IBE的算法Gen（λ）。

（2）提?。狠斎胫髅荑€s和用戶身份IDi，輸出用戶私鑰di=sH1（IDi），為簡單起見，這里設(shè)IBE的Eχt算法與此相同，不同的情況下一個(gè)用戶2個(gè)私鑰仍然是可以的。

（3）加密：身份為ID0的發(fā)送者隨機(jī)生成一個(gè)用于對(duì)稱加密的密鑰K，選擇接收者集合S=（ID1，ID2，…，IDn）和要發(fā)送的消息M，進(jìn)行如下步驟：

1）使用對(duì)稱加密方案加密M，輸出CM；

3）計(jì)算發(fā)送者和每個(gè)接收者的秘密協(xié)商值si= H2（e（ad0，H1（IDi）））+H3（CM）；

4）對(duì)每個(gè)接收者IDi運(yùn)行IBE對(duì)K加密，輸出ci=Enci（K）；

7）輸出密文C=（CM，Hdr），其中，Hdr=

（4）解密：第i個(gè)接收者收到密文后，進(jìn)行如下計(jì)算：

1）計(jì)算秘密值si=H2（e（P，di））+H3（CM）；

2）將si帶入F（χ），得到ci=F（si）；

3）運(yùn)行Dec（di，ci），如果輸出⊥則停止，否則得到K，從CM中恢復(fù)出消息M。

4 安全性分析

在匿名環(huán)境下，基于身份的加密方案的CPA/ CCA證明仍然是個(gè)公開問題。文獻(xiàn)［7，10］在證明安全性時(shí)都假定知道接收者的身份，即在非匿名條件下完成的證明。文獻(xiàn)［8］在匿名條件下證明了加密的不可區(qū)分性，本文也采取這個(gè)方法。

4.1 語義安全性

4.1.1 定義

機(jī)密性的定義由以下游戲給出：

游戲A：

建立：敵手從用戶集合中選取一個(gè)待攻擊的子集S*，挑戰(zhàn)者運(yùn)行建立算法，把公開參數(shù)（q，g，G1，G2，e（·，·），H1，H2，H3）發(fā)送給敵手。敵手發(fā)送要加密的消息M給挑戰(zhàn)者。

第1階段詢問：敵手可以自適應(yīng)地對(duì)ID?S*發(fā)起以下2種詢問，私鑰提取詢問和hash詢問。

（1）hash詢問：對(duì)Hi，i=1，2，3的詢問由表來記錄，表中元素為當(dāng)敵手對(duì)IDi發(fā)起hash詢問時(shí)，如果中有IDi的記錄，就回答hi，否則檢查IDi是否在hi中，若不在隨機(jī)選擇一個(gè)回復(fù)并將填入表中。

（2）提取詢問：當(dāng)敵手對(duì)IDi發(fā)起私鑰提取詢問時(shí)，若表中已有IDi對(duì)應(yīng)的私鑰，就回復(fù)表中的值，否則，運(yùn)行提取算法計(jì)算私鑰并回復(fù)，并將（IDi，hi，dIDi）填入表中。

挑戰(zhàn)階段：挑戰(zhàn)者運(yùn)行加密算法，得到（Hdr，K），隨機(jī)選取比特b∈｛0，1｝，令Kb=K，再隨機(jī)選擇一個(gè)K1-b，然后將（Hdr，K0，K1）發(fā)給敵手。

第2階段詢問：如第1階段一樣，繼續(xù)發(fā)起詢問。

猜測(cè)：敵手輸出對(duì)b的猜測(cè)Hdr=｛Pb，｛Fl｝b｝。

如果Hdr=｛Pb，｛Fl｝b｝，稱敵手贏得了游戲。adν=|Pro［b=b′］-1/2|稱作敵手贏得游戲的優(yōu)勢(shì)。

如果沒有多項(xiàng)式時(shí)間的敵手能以不可忽略的優(yōu)勢(shì)贏得上述游戲，則稱該方案是滿足機(jī)密性的。

4.1.2 定義證明

以上過程模擬了敵手的真實(shí)交互，敵手收到挑戰(zhàn)密文Hdr=｛Pb，｛Fl｝b｝，由的隨機(jī)性，可知P=aH1（ID0）是均勻分布的，同理si=H2（e（ad0，H1（IDi）））+H3（CM）也是隨機(jī)均勻分布的，由此可得｛Fl｝b也是均勻分布的，因此對(duì)于敵手而言并不能區(qū)分｛Fl｝0和｛Fl｝1，敵手猜出b的概率為1/2，因此無論參數(shù)選擇如何，對(duì)任意計(jì)算能力的敵手而言，都不能以不可忽略的優(yōu)勢(shì)贏得游戲，故方案是滿足機(jī)密性的。

4.2 接收者的隱私保護(hù)性

由于本文方案構(gòu)造的復(fù)雜性，僅在單接收者的情況下證明不同身份加密的不可區(qū)分性，能區(qū)分單個(gè)接收者，也就能區(qū)分多個(gè)接收者。

4.2.1 定義

接收者的隱私保護(hù)性由如下游戲定義：

建立：挑戰(zhàn)者建立系統(tǒng)，公布公開參數(shù)（q，g，G1，G2，e（·，·），H1，H2，H3），敵手從用戶集合中選取一個(gè)待攻擊的子集S*，并選擇消息M和對(duì)稱密鑰K發(fā)送給挑戰(zhàn)者。

詢問：同機(jī)密性的詢問階段。

挑戰(zhàn)：敵手從S*中選擇2個(gè)身份ID0和ID1發(fā)送給挑戰(zhàn)者，挑戰(zhàn)者選擇一個(gè)發(fā)送身份IDs并計(jì)算Q=H1（IDs），然后隨機(jī)選擇和比特b∈｛0， 1｝，以IDb為接收者執(zhí)行加密算法，輸出Hdrb=｛P，其中，

猜測(cè)：敵手輸出對(duì)b的猜測(cè)b∈｛0，1｝，如果b′=b，稱敵手贏得了游戲。adν=|Pro［b=b′］-1/2|稱作敵手贏得游戲的優(yōu)勢(shì)。

4.2.2 定義證明

從上面的證明可以看到，該游戲包括了合法接收者的情況，假定敵手知道消息和對(duì)稱密鑰的情況下不能區(qū)分密文，從而無法獲知其他接收者的身份。

5 效率性能分析

5.1 通信帶寬與計(jì)算效率

本文的方案不需要廣播公鑰，在私鑰長度和密文長度上都和文獻(xiàn)［8］一樣短，比之前的方案所占資源都明顯降低，并且實(shí)現(xiàn)了對(duì)接收者隱私的保護(hù)，能抵御替換攻擊，比文獻(xiàn)［8］的安全性更強(qiáng)。與之前經(jīng)典方案的對(duì)比如表1所示。其中，n為接收者的數(shù)目；m為中元素長度；g為G1中元素長度；h為 G2中元素長度；i為用戶ID的長度。

表1 基于身份的廣播加密方案效率對(duì)比

在計(jì)算效率方面，文獻(xiàn)［4，8］的方案都是直接講每個(gè)接收者對(duì)應(yīng)的密文直接列在最后的密文中，這樣子方案的安全性要求就比較高，需要CCA安全并且有密鑰隱藏特性的加密方案作為子方案，而本文方案利用插值法，將子方案的密文隱藏在密鑰交換協(xié)議生成的秘密值之后，因此不需要子方案有很高的安全性，僅設(shè)定為語義安全就可以，密文整體的安全性建立在秘密交換協(xié)議的安全之上，相比文獻(xiàn)［4，8］中同樣也用了密鑰交換協(xié)議，但是只用來做索引方便搜索密文，更加充分利用了密鑰交換協(xié)議。具體的計(jì)算代價(jià)減少取決于具體的子方案選擇，但是每次子方案的調(diào)用，從CCA級(jí)別的計(jì)算量下降到語義安全級(jí)別，是非常明顯的。

5.2 對(duì)替換攻擊的防御

在本文方案中，在計(jì)算協(xié)商的秘密值si時(shí)，需包括密文的hash值，這樣若一個(gè)合法接收者替換密文，將導(dǎo)致其他接收者對(duì)應(yīng)的秘密值發(fā)生變化，從而其他接收者無法從替換過的密文中獲取到消息，合法接收者的攻擊行為就不能生效，從而抵御了替換攻擊。

6 結(jié)束語

在以往廣播加密的應(yīng)用中，接收者的身份非常容易被獲取，從而形成安全隱患。近年來對(duì)接收者的隱私保護(hù)越來越受到研究人員的關(guān)注，提出了不少保護(hù)接收者隱私的方案，然而大多數(shù)方案依然不夠安全。本文總結(jié)了之前方案的優(yōu)缺點(diǎn)，提出了一個(gè)可以保護(hù)接收者隱私的基于身份的廣播加密方案，不僅和已存方案一樣密文本身具備安全性和隱私性，也能抵御文獻(xiàn)［4］中提出的替換攻擊，這是之前基于身份的大多數(shù)方案不具備的。另一方面，本文方案對(duì)子方案的密文實(shí)現(xiàn)了隱藏，因此效率提升和安全性基礎(chǔ)的轉(zhuǎn)移以及新功能的發(fā)現(xiàn)，是后續(xù)工作的重點(diǎn)。

［1］ Fiat A，Naor M.Broadcast Encryption［C］//Proceedings of CRYPTO'93.Berlin，German：Springer，1993：480-491.

［2］ Boneh D，Gentry C.Collusion Resistant Broadcast Encryption with Short Ciphertexts and Private Keys［C］// Proceedings of CRYPTO'05.Washington D.C.，USA：IEEE Press，2005：258-275.

［3］ Delerablee C.Identity-based Broadcast Encryption with Cosntant Size Ciphertexts and Private Keys［C］// Proceedings of IEEE ASIACRYPT'07.Washington D.C.，USA：IEEE Press，2005：200-215.

［4］ Barth A，Boneh D，Waters B.Privacy in Encrypted Content Distribution Using Private Broadcast Encryption［C］//Proceedings of IEEE CRYPTO'06.Berlin，Germany：Springer，2006：215-222.

［5］ Fan C，Huang L，Ho P.Anonymous Multi-receiver Identity-based Encryption［J］.IEEE Transactions on Computers，2010，59（9）：1239-1249.

［6］ W ang H，Zhang Y，Xiong H，et al.Cryptanalysis and Improvements of an Anonymous Multi-receiver Identitybased Encryption Scheme［J］.IET Information Security，2012，6（1）：20-27.

［7］ Zhang J，Xu Y.Comment on Anonymous Multi-receiver Identity-based Encryption Scheme［C］//Proceedings of the 4th International Conference on Intelligent Networking and Collaborative Systems.Washington D.C.，USA：IEEE Press，2012：473-476.

［8］ Hur J，Park C，Hw ang S O.Privacy-preserving Identitybased Broadcast Encryption［J］.Information Fusion，2012，13（1）：296-303.

［9］ 譚紅楊，李紅娟.具有隱私性保護(hù)的基于身份的多接收者加密方案［J］.科學(xué)技術(shù)與工程，2013，35（13）：685-690.

［10］ 楊坤偉，李順東.一種基于身份的匿名廣播加密方案［J］.計(jì)算機(jī)工程，2014，40（7）：97-101.

［11］ Kate A，Zaverucha G，Goldberg I.Pairing-based Onion Routing［C］//Proceedings of Privacy Enhancing Technologies Symposium.Washington D.C.，USA：IEEE Press，2007：95-112.

［12］ Baek J，Zheng Y.Identity-based Threshold Signature from the Bilinear Pairings［C］//Proceedings of ITCC'04. Washington D.C.，USA：IEEE Press，2004：124-128.

編輯 索書志

A Identity-based Broadcast Encry Ption Scheme for Protecting Reci Pient Private

ZHAO Y i，YANG Bo
（School of Computer Science，Shannxi Normal University，Xi'an 710119，China）

Broadcast encryption has been widely used today.But most schemes do not pay much attention to privacy protection and the ones which claim to have the property of recipient privacy actually can not resist the replace attack from legal receivers.To solve the problem above，an identity based private broadcast encryption construction combining the techniques of key agreement and secret sharing is proposed.In the new scheme，the hash value of the ciphertext is necessary to decrypt so that the ciphertext can not be tampered.Thus new scheme can protect the recipient privacy not only from outside，but also from inside.That is，any legal receiver can not learn anything about the identities of other receivers.Analysis result shows that the construction is more advantageous in security level Without increasing computation costs com pared with existing schemes.

privacy protecting；Identity-based Broadcast Encryption（IBBE）；key exchange；polynomial secret sharing；replace attack

趙 一，楊 波.一種保護(hù)接收者隱私的IBBE方案［J］.計(jì)算機(jī)工程，2015，41（9）：180-183.

英文引用格式：Zhao Yi，Yang Bo.A Identity-based Broadcast Encryption Scheme for Protecting Recipient Private［J］. Computer Engineering，2015，41（9）：180-183.

1000-3428（2015）09-0180-04

A

TP309

10.3969/j.issn.1000-3428.2015.09.033

國家自然科學(xué)基金資助項(xiàng)目“基于密文的安全多方計(jì)算”（61272436）。

趙 一（1985-），男，碩士，主研方向：密碼學(xué)，信息安全；楊 波，教授、博士生導(dǎo)師。

2014-09-25

2014-10-22 E-m ail：yizhaore@hotmail.com