基于身份的抗私鑰泄漏的廣播加密方案

于啟紅 李繼國

1(宿遷學(xué)院信息工程學(xué)院 江蘇 宿遷 223800)2(河海大學(xué)計算機與信息學(xué)院 江蘇 南京 211100)

?

基于身份的抗私鑰泄漏的廣播加密方案

于啟紅1,2李繼國2

1(宿遷學(xué)院信息工程學(xué)院 江蘇 宿遷 223800)2(河海大學(xué)計算機與信息學(xué)院 江蘇 南京 211100)

側(cè)信道攻擊引起密碼系統(tǒng)的部分信息泄漏，破壞很多密碼方案的安全性。在基于身份的廣播加密方案(IBBE)中，到目前為止，還沒有能抵抗側(cè)信道攻擊的安全方案?；诖?，提出一個抗側(cè)信道攻擊安全的基于身份的廣播加密方案。使用雙系統(tǒng)加密技術(shù)，在復(fù)合階群靜態(tài)假設(shè)下在標(biāo)準(zhǔn)模型中證明了提出方案的安全性。泄漏性能分析表明，私鑰的相對泄漏率可以達到1/3。該方案具有較好的抗私鑰泄漏性能。

彈性泄漏 雙系統(tǒng)加密 私鑰泄漏 基于身份廣播加密

0 引 言

最近幾年，許多側(cè)信道攻擊[1-6]導(dǎo)致密碼系統(tǒng)中一些秘密信息(甚至是部分私鑰信息)泄漏給敵手。在側(cè)信道攻擊中，敵手可以通過密碼系統(tǒng)的實現(xiàn)特征來獲得系統(tǒng)的秘密信息。側(cè)信道攻擊呈現(xiàn)許多形式：電磁輻射、能量消耗、時序等。冷啟動攻擊[7]是一種特殊側(cè)信道攻擊，在這樣的攻擊中，即使設(shè)備斷電了，敵手還可以從存儲器中獲得部分信息。

為了保證密碼系統(tǒng)抗側(cè)信道攻擊的安全性，密碼學(xué)研究者提出了泄漏彈性密碼模型來捕獲這些攻擊。近幾年，抗泄漏(LR)密碼學(xué)已成為信息安全領(lǐng)域研究的熱點。

在2009年，Akavia等人正式提出了有界泄漏模型概念[8]。此后，一些相關(guān)的抗泄漏的密碼方案被提出[9-21]。Naor等給出了通過哈希證明系統(tǒng)(HPS)得到針對存儲攻擊安全的公鑰加密方案[9]。文獻[9]給出針對幾乎整個密鑰泄漏的選擇明文攻擊(CPA)安全方案和針對密鑰1/6泄漏的選擇密文攻擊(CCA)安全方案。Luo等人構(gòu)建基于格的抗泄漏的公鑰加密方案(LR-PKE)[10]。Chen等人推廣HPS到包括匿名的特點(稱為匿名的HPS)，然后使用匿名的HPS構(gòu)建抗泄漏的公鑰加密方案[11]。文獻[12]定義弱HPS概念，表明如果單向函數(shù)存在就能得到抗泄漏弱偽隨機函數(shù)、抗泄漏的消息認證碼和抗泄漏的對稱密鑰加密。方案[13-15]是關(guān)于泄漏率較高的抗泄漏公鑰加密方案。文獻[16,17]構(gòu)造了可以抵抗“獲得挑戰(zhàn)密文后密鑰部分泄漏”攻擊的方案。文獻[18]考慮到密碼學(xué)組件之一提取器的泄漏問題。Zhang等人借助很難求逆的函數(shù)構(gòu)造了抗泄漏的功能加密[19]。文獻[20,21]構(gòu)造了抗泄漏的簽名方案。

自從基于身份的廣播加密概念(IBBE)[22,23]提出以來，已經(jīng)有許多IBBE方案被提出[24-30]。 方案[24,25]具有很好的性能，取得常數(shù)大小的密文和密鑰。方案[26,27]考慮了分層的概念，分別提出分層的基于身份的廣播加密方案。文獻[28,29]提出匿名的基于身份的廣播加密方案。文獻[30]基于格的理論提出了前向安全的基于身份的廣播加密方案。但是，據(jù)我們所知，到目前為止，還沒有抗私鑰泄漏的IBBE方案被提出。

在本文中，提出了第一個抗私鑰泄漏的安全的基于身份廣播加密方案。在復(fù)合階群的三個靜態(tài)假設(shè)下，提出的方案是自適應(yīng)安全(完全安全性)。通過雙系統(tǒng)加密結(jié)構(gòu)[31-33]，證明方案的完全安全性。

在本文的方案中，密鑰和密文具有兩種狀態(tài)：正常態(tài)、半功能(SF)。正常的密文可以通過正常的密鑰或半功能密鑰解密。半功能的密文可以被正常的密鑰解密。在真正的游戲中，所有的密文和密鑰是正常的。證明采用混合論證技術(shù)。在證明中，借助于一系列游戲來實現(xiàn)。首先，密文變?yōu)榘牍δ艿?；然后，密鑰逐步變?yōu)榘牍δ艿?；最后，得到了這樣一個游戲：所有的私鑰和密文都是半功能的，所以攻擊者無法正確解密密文。連續(xù)兩個游戲被證明是不可區(qū)分的。這樣，可以獲得方案的安全性。如果選擇一個合適的參數(shù)，提出的方案可以容忍私鑰的1/3泄漏。

1 預(yù)備知識

文獻[34]提出組合階的雙線性群概念。假設(shè)Ψ是一個關(guān)于組合階的雙線性群的生成算法，它以安全參數(shù)λ作為輸入，生成一個復(fù)合階雙線性群Ω={N=p1p2p3,G,GT,e}，其中p1、p2、p3是三個不同的素數(shù)，滿足Log(p1)=Log(p2)=Log(p3)，G與GT都是循環(huán)群且階均為N，雙線性映射e定義如下：

(1) 雙線性：

?g,h∈G a,b∈ZNe(ga,gb)=e(g,h)ab

(2) 非退化性:?g∈G使得e(g,g)?1。

此外，針對安全參數(shù)λ來說，群G與GT中操作均是在多項式時間內(nèi)有效可計算的。分別用符號Gp1、Gp2與Gp3表示群G中的階為p1、p2與p3子群。階為p1p2子群用Gp1p2表示。不失一般性，若hi∈Gpi、hj∈Gpj，當(dāng)i≠j時，則e(hi,hj)為GT中單位元。例如，若h1∈Gp1，h2∈Gp2，且g是G生成元；則gp1p2可以生成Gp3，gp1p3可以生成Gp2，gp2p3可以生成Gp1。那么，存在α1,α2使得h1=(gp2p3)α1，h2=(gp1p3)α2成立，則e(h1,h2)=e(gp2p3α1,gp1p3α2)=e(gα1,gp3α2)p1p2p3=1，也就是說Gp1,Gp2與Gp3是相互正交的。

下面列出三個有用的假設(shè)。

假設(shè)1給定一個實例:

算法A攻破假設(shè)1的優(yōu)勢定義為：

Adv1ψ,A(?)=|Pr[A(D1,T0)=1]-Pr[A(D1,T1)=1]|

如果任何概率多項式時間(PPT)敵手獲得優(yōu)勢Adv1ψ,A(?)都是可以忽略的，那么就稱假設(shè)1成立。

事實上，T1可以表示成一個Gp1中的元素與一個Gp2中元素之積，這兩部分分別被稱為T1的Gp1部分與T1的Gp2部分。

假設(shè)2給定一個實例:

算法A攻破假設(shè)2的優(yōu)勢定義為：

Adv2ψ,A(?)=|Pr[A(D2,T0)=1]-Pr[A(D2,T1)=1]|

如果任何概率多項式時間敵手獲得優(yōu)勢Adv2ψ,A(?)都是可以忽略的，則稱假設(shè)2成立。

G中的階為p1p3子群用符號Gp1p3表示。T1可以唯一表示成Gp1中一個元素與Gp2中一個元素和Gp3中的一個元素之積，這三部分分別被稱為T1中的Gp1部分、T1中的Gp2部分與T1中的Gp3部分，類似地，T0可唯一表示成Gp1的一個元素與Gp3的一個元素之積。

假設(shè)3給定一個實例:

算法A攻破假設(shè)3的優(yōu)勢定義為：

Adv3ψ,A(?)=|Pr[A(D3,T0)=1]-Pr[A(D3,T1)=1]|

如果任何概率多項式時間敵手獲得優(yōu)勢Adv3ψ,A(?)都是可忽略的，則稱假設(shè)3成立。

2 本文方案的形式描述

在文獻[31]的基礎(chǔ)上，結(jié)合方案[24,25,35],我們給出基于身份的抗泄漏的廣播加密方案的形式化描述。我們的方案由以下算法組成。

Setup Setup(?,m)→(PK,MK)。該算法輸入一個安全參數(shù)?和用戶最大可能的數(shù)量m。它輸出主公鑰PK和主密鑰MK。PK對所有用戶公開。

如圖10所示，當(dāng)正向及反向分別加載至CD和C′D′段卸載時，卸載路線分別沿56和5′6′進行，卸載剛度分別取K56和K5′6′；采用擬合法對卸載點56和5′6′之間的所有實測數(shù)據(jù)進行擬合，分別得到正向加載CD和反向加載C′D′段所有數(shù)據(jù)點的卸載剛度K56和K5′6′；然后再對各階段所有卸載剛度進行無量綱化處理并采用冪函數(shù)進行非線性回歸擬合，分別得到K56/K0與+Δ5/(+Δm)及K5′6′/K0′與Δ5′/(-Δm)之間的非線性關(guān)系曲線，如圖13所示。

KeyGen KeyGen(PK,MK,ID)→SKID。該算法以主公鑰PK，主密鑰MK和用戶身份ID為輸入。產(chǎn)生對應(yīng)與ID的私鑰SKID。

Encrypt Encrypt(PK,M,S)→CT。首先，算法以公鑰PK，身份集合S={ID1,…,IDd}(d≤m)為輸入，輸出(Hdr,DK)，其中Hdr稱為頭部，DK是用于加密消息M的對稱密鑰。接著，當(dāng)廣播者想加密消息M給S中的用戶時，它用DK加密消息M得到密文C?？偟拿芪腃T=(C,Hdr)，廣播者廣播CT=(C,Hdr)。

Decrypt Decrypt(PK,SKIDi,S,CT)→M。算法以主公鑰PK，私鑰SKIDi，用戶集合S和密文CT為輸入，劃分CT為(C,Hdr)。如果IDi∈S，根據(jù)Hdr計算出對稱密鑰DK，然后，用DK解密C恢復(fù)出M。

算法Setup與KeyGen由私鑰產(chǎn)生中心(KGC)生成，其他算法由用戶產(chǎn)生。KeyGenSF與EncryptSF僅用于安全性證明中。

3 本文方案安全模型

方案的安全模型通過敵手A和挑戰(zhàn)者B之間的游戲GameR來體現(xiàn)。m表示一次廣播中接收密文的最大用戶數(shù)。

在游戲GameR中：B持有一個列表L={(H,I,SK,LK)}，其中H、I、SK和LK分別表示句柄空間，身份空間，私鑰空間和泄漏量。假定H=與LK=。

初始化挑戰(zhàn)者運行算法Setup產(chǎn)生主公鑰PK和主私鑰MK。挑戰(zhàn)者把PK發(fā)給敵手，把MK作為秘密保存。

階段1敵手作如下詢問：

O-Create(ID)：給定一個身份ID，挑戰(zhàn)者在列表L中查找對應(yīng)ID的項。如果ID在列表L中，算法終止。否則，挑戰(zhàn)者運行KeyGen算法產(chǎn)生私鑰SKID并更新h←h+1。把項(h,ID,SKID,0)放入列表L。

O-Leak(h,f)：敵手詢問對應(yīng)于句柄h的私鑰的泄漏。敵手任意選擇一個多項式時間內(nèi)可計算的函數(shù)f，函數(shù)f以私鑰為輸入，給出固定長度的輸出。

具體來說，挑戰(zhàn)者在列表L中找出h對應(yīng)的項。不失一般性，假定找出的項為(h,ID,SKID,L)。挑戰(zhàn)者判定是否L+|f(SKID)|≤LSK，其中LSK是私鑰的泄漏的界。如果檢驗為真，挑戰(zhàn)者把f(SKID)發(fā)給敵手且用(h,ID,SKID,L+|f(SKID)|)更新(h,ID,SKID,L)。否則，挑戰(zhàn)者輸出⊥。

O-Reveal(h)：敵手詢問關(guān)于句柄h對應(yīng)的私鑰。挑戰(zhàn)者在列表L中查找此項。假設(shè)查到的項為(h,ID,SKID,L)，挑戰(zhàn)者發(fā)送SKID給敵手。

O-Decrypt：敵手詢問關(guān)于(ID,CT)的明文，挑戰(zhàn)者在列表L中找到私鑰SKID，然后運行解密算法Decrypt獲得對應(yīng)的明文M并發(fā)給敵手。

階段2敵手A詢問O-Create、O-Reveal和O-Decrypt?；镜南拗坪碗A段1同，此外，不能對ID∈S*或Hdr=Hdr*進行詢問。進一步，不能詢問泄漏預(yù)言機，因為如果允許這樣做的話，敵手可以選擇這樣一個泄漏函數(shù)，這個泄漏函數(shù)把解密算法作為輸入，它就可以平凡地贏得游戲。

如果在GameR中，所有的PPT敵手都只能取得可以忽略的優(yōu)勢，則稱本文方案是抗私鑰泄漏安全的。

4 本文方案構(gòu)造

本文方案是基于3素數(shù)的組合階群，由如下6個算法構(gòu)成。子群Gp3用于隨機化密鑰。子群Gp2只用于證明中使用的半功能密鑰和密文。

具體如下：

公鑰為：

主密鑰為：

Encrypt 廣播者以消息M和接受者身份集合S=(ID1,…,IDd)為輸入。隨機選擇s∈ZN，生成密文：

其中盲化因子為e(g1,g1)αs。

Decrypt 如果用戶身份IDi是接收者集合S中的元素，即IDi∈S，則此用戶可以解密密文。首先，用密鑰計算：

(4) 最后恢復(fù)明文

5 安全性證明

定理1如果假設(shè)1-假設(shè)3成立，本文方案是標(biāo)準(zhǔn)模型中抗泄漏安全的，抵抗的私鑰泄漏量為LSK=(n-2Λ-1)λ，其中λ=logp2，n≥2是一個整數(shù)，Λ是一個正的常數(shù)。

當(dāng)n比較大時，能容忍的泄漏率比較高。當(dāng)n比較小時，主公鑰也比較短。具體的泄漏性能分析在第6節(jié)給出。

總體來說，我們用雙系統(tǒng)加密技術(shù)來證明方案的安全性。通過一系列游戲來完成證明。這些游戲都由真實的安全性游戲GameR修改而來。第一個游戲是真實的安全性游戲，最后一個游戲中敵手沒有任何優(yōu)勢(因為加密一個隨機的消息)。這些游戲中相鄰兩個是不可區(qū)分的。用q表示游戲的個數(shù)。

這些游戲具體定義如下：

GameR：這是一個真實的安全性游戲。

Game0：與GameR類似，除了Game0中挑戰(zhàn)密文是半功能的。

Gamei(i∈[1,q])：在這個游戲中，挑戰(zhàn)密文是半功能的。對前i個私鑰詢問，挑戰(zhàn)者用半功能的私鑰回答。對其他私鑰詢問，挑戰(zhàn)者用正常私鑰回答。如果i=q(Gameq)，對每個私鑰詢問挑戰(zhàn)者都用半功能的私鑰回答。

GameF：這個游戲與Gameq幾乎一樣，除了這一點外：在GameF中廣播者加密一個隨機消息得到挑戰(zhàn)密文，而在Gameq中廣播者加密一個隨機的挑戰(zhàn)消息得到挑戰(zhàn)密文。

證明通過一系列游戲GameR，Gamei(i∈(0,1,…,q))和GameF，我們用引理1-引理4來證明安全性。首先，用引理1來獲得泄漏界。其次，用引理2-引理4來證明這一系列游戲是不可區(qū)分的。再者，證明攻擊者在GameF中獲得的優(yōu)勢是可以忽略的。這樣，安全性便可以獲證。

表1 敵手在連續(xù)兩個游戲中獲得的優(yōu)勢差異

由表1,可得：

具體來說，下面我們完成4個引理證明。

引理1私鑰泄漏的量可以達到LSK=(n-2Λ-1)λ。

證明我們用文獻[36]中的一個結(jié)論來證明這個引理。

從結(jié)論1，我們很容易得到下面的推論1。

=(n-2Λ-1)logp2=(n-2Λ-1)λ

階段2攻擊者繼續(xù)對IDi進行私鑰詢問，所受的限制是IDi?S*。

猜測A輸出關(guān)于β的猜測β′。如果β′=β，A贏得游戲。

階段1A詢問關(guān)于第i個身份IDi的私鑰。B進行如下操作：

(1) 如果i

對于攻擊者A而言，模擬是有效的。

(2) 如果i>k，B運行算法KeyGen產(chǎn)生正常私鑰。

若T∈Gp1p3，私鑰是正常的。若T∈G，私鑰是半功能的。

階段2攻擊者繼續(xù)進行私鑰詢問，只要IDi?S*。

猜測A輸出關(guān)于β的猜測β′。如果β′=β，A贏得游戲。

概率分析當(dāng)T∈Gp1p3，B恰當(dāng)模擬游戲Gamek-1。當(dāng)T∈G，B恰當(dāng)模擬游戲Gamek。由此可得：

公鑰為：

階段1A詢問關(guān)于第i個身份IDi∈S的私鑰，其中S={ID1,…,IDd}。B操作如下。B隨機選擇t1,…,tn+2∈ZN。半功能密鑰產(chǎn)生如下：

對于攻擊者A而言，模擬是有效的。

階段2攻擊者繼續(xù)詢問關(guān)于IDi的私鑰，受到的限制是IDi?S*。

猜測A輸出一個關(guān)于β的猜測β′。如果β′=β，A贏得游戲。

概率分析當(dāng)T=e(g1,g1)αs，B恰當(dāng)模擬游戲Gameq。當(dāng)T∈Gp1，B恰當(dāng)模擬游戲GameF?？傻茫?/p>

6 泄漏性能分析

本文方案中，p1、p2、p3都是λ比特的素數(shù)。私鑰長度為3(n+3)λ比特。私鑰的泄漏量至多為(n-2Λ-1)λ比特。此處，n≥2是一個可變整數(shù)，它用于獲得不同的泄漏彈性，Λ是一個正常數(shù)。私鑰的相對泄漏率為：

我們要強調(diào)的是：n是一個變量。如果我們要得到一個相對泄漏率較高的方案，我們可以把方案中的n設(shè)置為一個較大的數(shù)。這樣，系統(tǒng)的抗泄漏性能較好。但是，私鑰會相應(yīng)變長。如果設(shè)置n為一個較小的數(shù)，相對泄漏率也較小。但是私鑰也相對變短。

表2給出本文的方案和文獻[31,35]的方案比較。表2給出了私鑰的大小和泄漏量等信息。

表2 本文方案和文獻[31,35]中方案的比較

文獻[35]給出一個沒有泄漏彈性的IBBE。文獻[31]提出一個抗泄漏的基于身份的加密方案(LR-IBE)，但是沒有考慮到廣播加密情況。本文方案中，我們同時考慮廣播加密和泄漏彈性問題。

7 結(jié) 語

本文給出了基于身份的抗泄漏廣播加密方案的形式化定義和安全模型。提出一個抗泄漏的基于身份廣播加密方案。本方案可以抵抗私鑰的泄漏攻擊。方案的安全性由復(fù)合階雙線性群中的三個靜態(tài)假設(shè)保證，這是第一個抗泄漏的廣播加密方案。本文給出的方案具有較好的泄漏彈性。當(dāng)設(shè)置n是很大的值時，方案的私鑰的泄漏率可以達到1/3。構(gòu)造素數(shù)階群假設(shè)下的安全抗泄漏基于身份的廣播加密方案是下一步的研究方向。

[1] Chen C S,Wang T,Tian J.Improving timing attack on RSA-CRT via error detection and correction strategy[J].Information Sciences,2013,232(5):464-474.

[2] Chari S,Jutla C S,Rao J R,et al.Towards sound approaches to counteract power-analysis attacks[C]//Advances in Cryptology—CRYPTO’99.Springer Berlin Heidelberg,1999:398-412.

[3] Ishai Y,Sahai A,Wagner D.Private circuits:Securing hardware against probing attacks[C]//Advances in Cryptology-CRYPTO 2003.Springer Berlin Heidelberg,2003:463-481.

[4] Rechberger C,Oswald E.Stream ciphers and side-channel analysis[C]//ECRYPT Workshop,SASC-The State of the Art of Stream Ciphers,2004:320-326.

[5] Li W,Gu D,Li J.Differential fault analysis on the ARIA algorithm[J].Information Sciences,2008,178(19):3727-3737.

[6] Gandolfi K,Mourtel C,Olivier F.Electromagnetic analysis:Concrete results[C]//Cryptographic Hardware and Embedded Systems—CHES 2001.Springer Berlin Heidelberg,2001:251-261.

[7] Halderman J A,Schoen S D,Heninger N,et al.Lest we remember:cold-boot attacks on encryption keys[J].Communications of the ACM,2009,52(5):91-98.

[8] Akavia A,Goldwasser S,Vaikuntanathan V.Simultaneous hardcore bits and cryptography against memory attacks[C]//Theory of Cryptography.Springer Berlin Heidelberg,2009:474-495.

[9] Naor M,Segev G.Public-key cryptosystems resilient to key leakage[J].SIAM Journal on Computing,2012,41(4):772-814.

[10] Luo X,Qian P,Zhu Y.Leakage-resilient IBE from lattices in the standard model[C]//Information Science and Engineering (ICISE),2010 2nd International Conference on.IEEE,2010:2163-2167.

[11] Chen Y,Zhang Z,Lin D,et al.Generalized (identity-based) hash proof system and its applications[J].Security and Communication Networks,2013,9(12):143-160.

[12] Hazay C,López-Alt A,Wee H,et al.Leakage-resilient cryptography from minimal assumptions[C]//Advances in Cryptology-EUROCRYPT 2013.Springer Berlin Heidelberg,2013:160-176.

[13] Li S,Zhang F,Sun Y,et al.Efficient leakage-resilient public key encryption from DDH assumption[J].Cluster computing,2013,16(4):797-806.

[14] Qin B,Liu S,Chen K.Efficient chosen-ciphertext secure public-key encryption scheme with high leakage-resilience[J].IET Information Security,2014,9(1):32-42.

[15] Liu S,Weng J,Zhao Y.Efficient public key cryptosystem resilient to key leakage chosen ciphertext attacks[C]//Topics in Cryptology-CT-RSA 2013.Springer Berlin Heidelberg,2013:84-100.

[16] Fujisaki E,Kawachi A,Nishimaki R,et al.Post-Challenge Leakage Resilient Public-Key Cryptosystem in Split State Model[J].IEICE Transactions on Fundamentals of Electronics,Communications and Computer Sciences,2015,98(3):853-862.

[17] Zhang Z,Chow S S M,Cao Z.Post-challenge leakage in public-key encryption[J].Theoretical Computer Science,2015,572(C):25-49.

[18] Chen D,Zhou Y,Han Y,et al.On hardening leakage resilience of random extractors for instantiations of leakage-resilient cryptographic primitives[J].Information Sciences,2014,271(7):213-223.

[19] Zhang M,Wang C,Takagi T,et al.Functional Encryption Resilient to Hard-to-Invert Leakage[J].The Computer Journal,2015,58(4):735-749.

[20] Katz J,Vaikuntanathan V.Signature schemes with bounded leakage resilience[C]//Advances in Cryptology-ASIACRYPT 2009.Springer Berlin Heidelberg,2009:703-720.

[21] Alwen J,Dodis Y,Wichs D.Leakage-resilient public-key cryptography in the bounded-retrieval model[C]//Advances in Cryptology-CRYPTO 2009.Springer Berlin Heidelberg,2009:36-54.

[22] Delerablée C.Identity-based broadcast encryption with constant size ciphertexts and private keys[C]//Advances in Cryptology-ASIACRYPT 2007.Springer Berlin Heidelberg,2007:200-215.

[23] Sakai R,Furukawa J.Identity-Based Broadcast Encryption[EB/OL].[2016-03-16].http://eprint.iacr.org/2007/217.

[24] Kim J,Susilo W,Au M H,et al.Adaptively Secure Identity-Based Broadcast Encryption With a Constant-Sized Ciphertext[J].Information Forensics and Security,IEEE Transactions on,2015,10(3):679-693.

[25] Zhang L,Hu Y,Wu Q.Adaptively Secure Identity-based Broadcast Encryption with constant size private keys and ciphertexts from the Subgroups[J].Mathematical and computer Modelling,2012,55(1):12-18.

[26] Yang C,Zheng S,Wang L,et al.Hierarchical identity-based broadcast encryption scheme from LWE[J].Communications and Networks,Journal of,2014,16(3):258-263.

[27] Liu W,Liu J,Wu Q,et al.Practical chosen-ciphertext secure Hierarchical Identity-Based Broadcast Encryption[J].International Journal of Information Security,2016,15(1):35-50.

[28] Ren Y,Niu Z,Zhang X.Fully Anonymous Identity-based Broadcast Encryption without Random Oracles[J].International Journal of Network Security,2014,16(3):247-255.

[29] Li X,Yanli R.Efficient Anonymous Identity-Based Broadcast Encryption without Random Oracles[J].International Journal of Digital Crime and Forensics (IJDCF),2014,6(2):40-51.

[30] Zhang X,Wang S,Zhang W.Forward-Secure Identity-based Broadcast Encryption Scheme from Lattice[J].Appl.Math,2015,9(4):1993-2000.

[31] Lewko A,Rouselakis Y,Waters B.Achieving leakage resilience through dual system encryption[C]//Theory of Cryptography.Springer Berlin Heidelberg,2011:70-88.

[32] Waters B.Dual system encryption:Realizing fully secure IBE and HIBE under simple assumptions[C]//Advances in Cryptology-CRYPTO 2009.Springer Berlin Heidelberg,2009:619-636.

[33] Lewko A,Waters B.New proof methods for attribute-based encryption:Achieving full security through selective techniques[C]//Advances in Cryptology-CRYPTO 2012.Springer Berlin Heidelberg,2012:180-198.

[34] Boneh D,Goh E J,Nissim K.Evaluating 2-DNF formulas on ciphertexts[C]//Theory of cryptography.Springer Berlin Heidelberg,2005:325-341.

[35] Sun J,Hu Y P.Identity-based broadcast encryption scheme using the new techniques for dual system encryption[J].Journal of Electronics and Information Technology,2011,33(5):1266-1270.

[36] Brakerski Z,Kalai Y T,Katz J,et al.Overcoming the hole in the bucket:Public-key cryptography resilient to continual memory leakage[C]//Foundations of Computer Science (FOCS),2010 51st Annual IEEE Symposium on.IEEE,2010:501-510.

IDENTITY-BASED BROADCAST ENCRYPTION WITH ANTI PRIVATE KEY LEAKAGE

Yu Qihong1,2Li Jiguo2

1(School of Information Engineering,Suqian College,Suqian 223800,Jiangsu,China)2(College of Computer and Information Engineering,Hohai University,Nanjing 211100,Jiangsu,China)

The side channel attack causes information leakage of cryptosystems, and it also destroys the security of many cryptographic schemes. There is no security scheme can resist side channel attack in identity-based broadcast encryption (IBBE). In this paper, we propose an IBBE scheme against side channel attack. The scheme uses dual system encryption technology, and we prove the safety of the proposed scheme in the standard model based on composite order bilinear group assumptions. Leakage performance analysis shows that the private key of the relative leakage rate can reach 1/3. The scheme has good performance of anti-private key leak.

Leakage-resilient Dual system encryption Private key leakage Identity-based broadcast encryption

2016-03-30。國家自然科學(xué)基金項目(61272542)；江蘇省教育廳自然科學(xué)基金項目( 14KJD52006，13KJD460007)；宿遷市工業(yè)科技支撐計劃項目(H201315，Z201450)；宿遷學(xué)院優(yōu)秀青年骨干教師基金；宿遷學(xué)院科研基金項目(2016KY04)。于啟紅，講師，主研領(lǐng)域：計算機網(wǎng)絡(luò)與信息安全。李繼國，教授。

TP309

A

10.3969/j.issn.1000-386x.2016.11.065