陳文　張凱　錢海峰

摘要：雙接收者加密（Dual Receiver Encryption，DRE）是一種特殊的公鑰加密（Public Key Encryption，PKE）體制，它允許兩個(gè)獨(dú)立的接收者分別解密同一密文得到相應(yīng)的正確明文信息。雙接收者加密非常適用于敏感信息需要被監(jiān)督方或者第三方解密的應(yīng)用場景。基于傳統(tǒng)公鑰加密方案構(gòu)造的雙接收者加密方案需要額外的開銷來進(jìn)行公鑰證書的發(fā)放和管理；而基于身份的雙接收者加密（Identity-Based Dual Receiver Encryption，ID-DRE）可以避免公鑰證書的問題。第一個(gè)基于身份的雙接收者加密方案是通過一個(gè)高效的基于身份的加密方案（Identity-Based Encryption，IBE）構(gòu)造而得。本文首先利用從IBE構(gòu)造可抵抗選擇密文攻擊（chosen-Ciphertext Attack，CCA）的PKE的通用技術(shù)對(duì)上述方案進(jìn)行擴(kuò)展，得到了不可區(qū)分選擇身份和選擇密文攻擊安全（Indistinguishability Against Adaptively ChosenIdentity and Chosen-Ciphertext Attack，IND-ID—CCAl的加密方案。并通過基于雙線性判定Diffie-Hellman（Bilinear Decision Diffie-Hellman，BDDH）假設(shè)（BDDH假設(shè)），對(duì)此方案的安全性進(jìn)行了證明。最后，將此加密方案擴(kuò)展成一個(gè)非交互式公開可認(rèn)證的雙接收者加密方案，該方案是目前已知的第一個(gè)非交互式公開可認(rèn)證的基于身份的雙接收者加密方案。

關(guān)鍵詞：雙接收者加密；基于身份的加密；選擇密文攻擊；非交互式公開可認(rèn)證

0.引言

2004年，Diament等人首次提出了雙接收者加密（DRE）的概念，它是一種特殊的公鑰加密體制。在這種加密體制中，消息由獨(dú)立的兩方公鑰加密生成密文，而密文可由兩方各自的私鑰解密得到明文。同時(shí)，他們通過特定的橢圓曲線群上的雙線性對(duì)構(gòu)造了第一個(gè)雙接收者加密方案，將基于Diffie-Hellman的三方密鑰協(xié)議應(yīng)用到了雙接收加密方案的公鑰構(gòu)造上。2014年，Chow等人重新定義了雙接收者加密體制，在定義了完整性的基礎(chǔ)上，構(gòu)造了具有完全不可延展性（completely non-malleable）和明文可意識(shí)性（Plaintext-awareness）等性質(zhì)的一系列加密方案。

雙接收者加密體制適用于眾多應(yīng)用場景中。例如，在數(shù)據(jù)加密傳輸中，涉及政治或者醫(yī)療的敏感信息通常需要被可信的第三方備份并且監(jiān)管查看，即第三方具備和消息的接收方一樣的解密該消息的能力。在普通的公鑰加密體制中，為實(shí)現(xiàn)此項(xiàng)功能，消息的發(fā)送方在消息發(fā)送前一般需要和消息的接收方以及第三方進(jìn)行通信，而雙接收者加密體制通過使用兩方公鑰共同加密消息避免了額外的開銷。再例如，在數(shù)據(jù)外包存儲(chǔ)中，如果存在兩個(gè)數(shù)據(jù)擁有者，也可以采用雙接收者加密體制對(duì)數(shù)據(jù)加密后再將數(shù)據(jù)外包存儲(chǔ)：當(dāng)其中一個(gè)數(shù)據(jù)擁有者需要對(duì)數(shù)據(jù)進(jìn)行存取操作時(shí)，無需跟另一個(gè)數(shù)據(jù)擁有者通信；需要對(duì)數(shù)據(jù)進(jìn)行更新操作時(shí)，可以使用自己的私鑰進(jìn)行簽名。這樣數(shù)據(jù)的存取、更新就會(huì)更加快捷，當(dāng)一方擁有多個(gè)數(shù)據(jù)時(shí)，也無需對(duì)不同的解密密鑰進(jìn)行管理。另外，當(dāng)客戶端和文件存儲(chǔ)服務(wù)器進(jìn)行交互時(shí)，通過雙接收者加密構(gòu)造的計(jì)算難題也可使服務(wù)器可抵抗資源耗盡攻擊。雙接收者加密體制也可以用來構(gòu)造可否認(rèn)認(rèn)證機(jī)制和密鑰托管機(jī)制協(xié)議。

基于身份的加密是一種新型的公鑰加密體制，在這種加密體制中簡單的識(shí)別符（例如郵件地址等）可用于作為方案的公鑰。與傳統(tǒng)的公鑰加密體制相比較，基于身份的加密機(jī)制大大減小了加密過程的復(fù)雜度，不需要公鑰證書，避免了證書管理上的困難。

具有非交互式公開可認(rèn)證性質(zhì)的公鑰加密方案允許在消息接收者和第三方無額外交互的情況下，第三方可驗(yàn)證消息是否為確定明文的密文或者該消息為無效的密文。具有非交互式公開可驗(yàn)證性質(zhì)的公鑰加密方案通常應(yīng)用在協(xié)議的設(shè)計(jì)中，例如將具有非交互式公開可認(rèn)證性質(zhì)的公鑰加密方案應(yīng)用在多方計(jì)算協(xié)議中。另外，也可以通過具有非交互式公開可認(rèn)證性質(zhì)的公鑰加密方案構(gòu)造安全的消息傳輸方案。

盡管雙接收者加密體制在實(shí)際中有著廣闊的應(yīng)用前景，但是目前的雙接收者加密方案均是構(gòu)造在傳統(tǒng)的公鑰加密方案體制下，因此它們和傳統(tǒng)的公鑰加密方案一樣，都存在證書管理的問題。文獻(xiàn)中提出的基于身份的雙接收者（ID-DRE）加密機(jī)制有效地解決了公鑰證書帶來的額外開銷，使得雙接收者加密方案更具實(shí)用性，但該文獻(xiàn)中提出的具有不可區(qū)分選擇身份和選擇密文攻擊安全（IND-ID-CCA）的雙接收者加密方案的效率較低。

在文獻(xiàn)中，Zhang等人基于WatersIBE的方案構(gòu)造了第一個(gè)標(biāo)準(zhǔn)安全模型下的ID-DRE。本文結(jié)合Lai等人提出的技巧構(gòu)造了一個(gè)新的具有不可區(qū)分選擇身份和選擇密文攻擊安全（IND-ID-CCA）的雙接收者加密方案，給出了該方案基于標(biāo)準(zhǔn)的BDDH假設(shè)的安全性證明，且安全性規(guī)約損耗僅為0（g-2n-1），q為挑戰(zhàn)者進(jìn)行問詢的次數(shù)，n為接收者身份標(biāo)識(shí)串的長度。在此基礎(chǔ)上，本文將非交互式公開可認(rèn)證的概念，第一次應(yīng)用到基于身份的雙接收者加密方案中。