條件型非對稱跨加密系統(tǒng)的代理重加密方案

郝偉　楊曉元　王緒安　吳立強(qiáng)

摘要：

為了減輕云應(yīng)用中移動設(shè)備解密的負(fù)擔(dān)，利用基于身份的廣播加密（IBBE）、基于身份的加密（IBE）、基于身份的條件型廣播代理重加密方案，提出了多條件型非對稱跨加密系統(tǒng)的代理重加密方案。該方案允許發(fā)送方將信息加密成IBBE密文，一次性發(fā)送給多個接收方，其中任一接收方又可以授權(quán)給代理者一個多條件型的重加密密鑰，代理者利用該多條件型重加密密鑰，能將符合多個條件的原始密文重加密成一個新的接收方可以解密的IBE密文。該方案實(shí)現(xiàn)了從IBBE加密系統(tǒng)到IBE加密系統(tǒng)的非對稱代理重加密，而且代理者可以根據(jù)條件將最初的原始密文進(jìn)行重加密，避免了不需要進(jìn)行重加密的原始密文被代理者重加密，提高了代理者重加密的效率，同時節(jié)約了接收方獲悉正確明文的時間。

關(guān)鍵詞：

基于身份的加密；基于身份的廣播加密；基于身份的條件型廣播代理重加密；代理重加密

中圖分類號：

TP309

文獻(xiàn)標(biāo)志碼：A

Abstract：

In order to reduce the decryption burden of the mobile device in cloud application， using IdentityBased Broadcast Encryption （IBBE） scheme， IdentityBased Encryption （IBE） scheme and conditional identitybased broadcast proxy reencryption scheme， an asymmetric crosscryptosystem proxy reencryption scheme with multiple conditions was proposed. In this scheme， the sender is allowed to encrypt information into IBBE ciphertext， which can be sent to multiple recipients at a time. Anyone of the receivers can authorize a multicondition reencryption key to the proxy to reencrypt the original ciphertext which meets the conditions into the IBE ciphertext that a new receiver can decrypt. The scheme realizes asymmetric proxy reencryption from IBBE encryption system to IBE encryption system and allows the proxy to reencrypt the original ciphertext according to the conditions， which avoids the proxy to reencrypt the unnecessary original ciphertext. The scheme not only improves the reencryption efficiency of the proxy， but also saves the time of the receiver to get the correct plaintext.

英文關(guān)鍵詞Key words：

IdentityBased Encryption （IBE）； IdentityBased Broadcast Encryption （IBBE）； conditional identitybased broadcast proxy reencryption； proxy reencryption

0引言

代理重加密（Proxy Reencryption， PRE）[1]為用戶存儲及分享信息提供了一種安全靈活的方法。用戶可以用自己的公鑰加密文件并將其存儲于一個半可信的服務(wù)器中。當(dāng)用戶想將服務(wù)器中的加密文件轉(zhuǎn)寄給他人時，他便讓服務(wù)器充當(dāng)一個代理者，同時授予代理者一個由用戶的私鑰及接收方的公鑰生成的重加密密鑰，代理者用該密鑰將服務(wù)器中的密文轉(zhuǎn)換成接收方可以用自己的私鑰解密的密文。早期基于公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure， PKI）的代理重加密方案存在繁瑣的證書管理問題[2]，為了克服這一問題，提出了基于身份的代理重加密方案[3]。但是，基于身份的代理重加密方案只能一次給一個用戶轉(zhuǎn)寄信息。為了便于多個用戶同時共享信息，又提出了廣播代理重加密[4]、基于身份的廣播代理重加密[5]。然而，這些代理重加密方案大多是以一種粗糙的方式控制原始的密文，即要么將全部原始密文進(jìn)行代理重加密，要么一個原始密文也不被代理重加密。針對這一缺陷，引進(jìn)了條件型代理重加密[4-10]，使得只有符合某一條件的原始密文才能被代理者重加密。

隨著現(xiàn)代通信技術(shù)和云計算的不斷進(jìn)步，智能移動終端被廣泛地應(yīng)用于聊天、交友、辦公當(dāng)中。但是，移動設(shè)備的計算能力是有限的，如果要用上述代理重加密方案將存儲在云端的信息轉(zhuǎn)寄給移動設(shè)備，移動設(shè)備在解密時勢必會力不從心。

針對這一實(shí)際問題，本文提出多條件型非對稱代理重加密方案。利用現(xiàn)存的基于身份的廣播加密 （IdentityBased Broadcast Encryption， IBBE）[11]、基于身份的條件型廣播代理重加密[5]和文獻(xiàn)[12]中的基于身份的加密（IdentityBased Encryption， IBE）方案，提出了從基于身份的廣播加密到基于身份的加密的、跨加密系統(tǒng)的、多條件型非對稱代理重加密方案（MultiConditional Asymmetric Proxy Reencryption， MCAPRE）。該方案充分結(jié)合了基于身份的廣播加密、基于身份的加密和條件型代理重加密方案的優(yōu)點(diǎn)，代理者可以將一個原始IBBE密文轉(zhuǎn)換成一個IBE密文，適合于計算能力有限的移動用戶共享花費(fèi)較小的代價分享云端數(shù)據(jù)。同時，本文提出了該方案的安全模型，并證明它在該模型下是安全的，對方案的正確性也作了充分說明。

第一個一致性表明任意的原始MCAPRE密文可以被它指定的接收者正確解密。對于任意被重加密密鑰加密的原始MCAPRE密文，第二個一致性表明如果重加密密鑰是由原始MCAPRE密文指定的接收者產(chǎn)生的，且原始MCAPRE密文與重加密密文具有相同的條件，那么被該重加密密鑰加密的原始MCAPRE密文是正確的，而且它能被指定的接收方正確解密。

1.5安全模型

該MCAPRE系統(tǒng)包含一個IBE方案和一個IBBE方案，而這兩個原語的標(biāo)準(zhǔn)安全性定義可以分別在文獻(xiàn)[13]和文獻(xiàn)[11]中找到。由于引進(jìn)了代理重加密，在安全性定義中要著重關(guān)注它的安全性。一般來講，任何概率多項(xiàng)式時間的攻擊者在不知道原始MCAPRE密文接收者的私鑰及該原始密文的、重加密密文的接收者的私鑰的情況下，他無法判斷出密文是由兩個明文中哪一個加密得到的，那么該MCAPRE方案是選擇性身份安全下的選擇明文攻擊安全的（INDistinguishabilityselective IDentityChosen Plaintext Attack，INDsIDCPA）。

MCAPRE正式的安全性定義通過攻擊者與挑戰(zhàn)者的游戲定義。設(shè)置階段，攻擊者發(fā)布他要攻擊的身份集S*及條件γ*、 β*、ω*，在初始化階段，挑戰(zhàn)者初始化MCAPRE方案。在挑戰(zhàn)階段，挑戰(zhàn)者在給定的兩個明文中隨機(jī)地選擇一個，然后用身份集S*和條件γ*、 β*、ω*進(jìn)行IBBE加密，形成挑戰(zhàn)密文，讓攻擊者判斷他對哪個明文加密。在挑戰(zhàn)階段的前后，攻擊者允許詢問某些用戶的私鑰和重加密密鑰，也就是攻擊者可以與一些用戶勾結(jié)。但是，攻擊者符合兩個限制條件：1）不能詢問挑戰(zhàn)密文的私鑰；2）如果攻擊者擁有某一密文的解密密鑰，他不能詢問可以使得挑戰(zhàn)密文轉(zhuǎn)換成該密文的重加密密鑰。

3.2性能分析

表1將MCAPRE方案分別與文獻(xiàn)[12]和文獻(xiàn)[5]中的方案進(jìn)行了比較。文獻(xiàn)[12]的方案中公鑰長度和原始密文較短，而且是跨加密系統(tǒng)的代理重方案，同時在生成重加密密鑰過程中不需要發(fā)送方與接收方交互；但是，它是非條件型代理重加密，也就是，在代理重加密過程中，代理者會將所有的原始密文進(jìn)行重加密，這不僅造成代理者作很多無用功，而且還使得接收方解密許多不需要的密文，影響解密效率。文獻(xiàn)[5]中的方案是基于身份的廣播代理重加密方案，在生成重加密密鑰過程中也不需要發(fā)送方與接收方交互，而且在重加密過程中代理者進(jìn)行條件型代理重加密；但是，該方案不是跨加密系統(tǒng)的代理重加密，而且方案的公鑰長度、重加密密鑰長度、重加密密文長度都偏長，同時接收方在解密過程中需要3次配對運(yùn)算，解密效率較低。

通過比較可以發(fā)現(xiàn)，盡管MCAPRE方案的公私鑰長度、原始密文、重加密密文偏長，但是，它在生成重加密密鑰的過程中，不需要發(fā)送方與接收方進(jìn)行交互，而且支持多條件型的、跨加密系統(tǒng)的代理重加密，可以將原始密文進(jìn)行篩選后再進(jìn)行重加密，不但提高了代理者的代理重加密效率，還提高了接收方的解密效率，更適合于計算能力一般的移動用戶應(yīng)用。

4結(jié)語

本文充分利用基于身份的廣播加密、基于身份的加密和基于身份的廣播代理重加密的優(yōu)點(diǎn)，提出了更實(shí)用的多條件型、非對稱代理重加密方案。該方案充分考慮到目前移動設(shè)備計算能力一般這個劣勢，根據(jù)條件，有選擇地將復(fù)雜的基于身份的IBBE密文高效地轉(zhuǎn)換成相對簡單的IBE密文，更加利于移動設(shè)備的解密，便于移動設(shè)備高效快捷地訪問云端的信息。但是，當(dāng)條件增多時，方案的原始密文長度、重加密密文長度相應(yīng)地都會增大，同時接收方在解密時也會增加配對運(yùn)算的次數(shù)，大家都知道但配對運(yùn)算相對于指數(shù)運(yùn)算比較耗時，因此為了使移動設(shè)備的解密速度更快，今后應(yīng)該研究原始密文長度、重加密密文長度都不會隨著條件個數(shù)的增加而線性增長的多條件型非對稱代理重加密方案，而且也應(yīng)該在減少接收方解密時的配對運(yùn)算次數(shù)方面下功夫。

參考文獻(xiàn)：

[1]

BLAZE M， BLEUMER G， STRAUSS M. Divertible protocols and atomic proxy cryptography [C]// Proceedings of Advances in Cryptology — European Cryptology Conference 98， LNCS 1403. Berlin： Springer， 1998： 127-144.

[2]

BOLDYREVA A， FISCHLIN M， PALACIO A， et al. A closer look at PKI： security and efficiency [C]// PKC 07： Proceedings of the 10th International Conference on Practice and Theory in PublicKey Cryptography. Berlin： Springer， 2007： 458-475.

[3]

WANG L， WANG L， MAMBO M， et al. Identitybased proxy cryptosystems with revocability and hierachical confidentialities [J]. IEICE Transactions on Fundamentals of Electronics， Communications and Computer Sciences， 2012， 95（1）： 70-80.

WANG L， WANG L， MAMBO M， et al. Identitybased proxy cryptosystems with revocability and hierachical confidentialities [C]// SORIANO M， QING S， LPEZ J. Information and Communications Security， LNCS 6476. Berlin： Springer， 2010：383-400.

[4]

CHU C K， WENG J， CHOW S S M， et al. Conditional proxy broadcast reencryption [C]// Proceedings of the 2009 Information Security and Privacy， LNCS 5594. Berlin： Springer， 2009： 327-342.

[5]

XU P， JIAO T， WU Q， et al. Conditional identitybased broadcast proxy reencryption and its application to cloud email [J]. IEEE Transactions on Computers， 2016， 65（1）： 66-79.

[6]

SHAO J， WEI G， LING Y， et al. Identitybased conditional proxy reencryption [C]// ICC 2011： Proceedings of the Institute of Electrical and Electronics Engineers of International Conference on Communications. Piscataway， NJ： IEEE， 2011： 1-5.

SHAO J， WEI G， LING Y， et al. Identitybased conditional proxy reencryption [C]// Proceedings of the 2011 IEEE International Conference on Communications. Piscataway， NJ： IEEE， 2011： 1-5.

[7]

LIANG K， LIU Z， TAN X， et al. A CCAsecure identitybased conditional proxy reencryption without random oracles [C]// ICISC 12： Proceedings of the 15th International Conference on Information Security and Cryptology， LNCS 7839. Berlin： Springer， 2013： 231-246.

[8]

LIANG K， HUANG Q， SCHLEGEL R， et al. A conditional proxy broadcast reencryption scheme supporting timedrelease [C]// ISPEC 2013： Proceedings of the International Conference on Information Security Practice and Experience， LNCS 7863. Berlin： Springer， 2013： 132-146.

[9]

LIANG K， CHU C K， TAN X， et al. Chosenciphertext secure multihop identitybased conditional proxy reencryption with constantsize ciphertext [J]. Theoretical Computer Science， 2014， 539（9）： 87-105.

[10]

LI J， ZHAO X， ZHANG Y. Certificatebased Conditional Proxy Reencryption [M]// AU M H， CARMINATI B， KOU C C J. Network and System Security， LNCS 8792. Berlin： Springer， 2014： 299-310.

[11]

DELERABLE C. Identitybased broadcast encryption with constant size ciphertexts and private keys [C]// ASIACRYPT 2007： Proceedings of the 2007 Annual International Conference on the Theory and Application of Cryptology and Information Security， LNCS 4833. Berlin： Springer， 2007： 200-215.

[12]

DENG H， WU Q， QIN B， et al. Asymmetric crosscryptosystem reencryption applicable to efficient and secure mobile access to outsourced data [C]// ASIA CCS 15： Proceedings of the 10th ACM Symposium on Information， Computer and Communications Security. New York： ACM， 2015： 393-404.

[13]

BONEH D， BOYEN X. Efficient selectiveid secure identitybased encryption without random oracles [C]// EUROCRYPT 2004： Proceedings of the 2004 European Cryptology Conference， LNCS 3027. Berlin： Springer， 2004： 223-238.