王萍姝，乜國(guó)雷

（1.青海民族大學(xué)數(shù)學(xué)學(xué)院，青海西寧810007；2.青海民族大學(xué)計(jì)算機(jī)學(xué)院，青海西寧810007）

基于多類型和身份的代理重加密方案

王萍姝1，乜國(guó)雷2

（1.青海民族大學(xué)數(shù)學(xué)學(xué)院，青海西寧810007；2.青海民族大學(xué)計(jì)算機(jī)學(xué)院，青海西寧810007）

在代理重加密中，代理人通過(guò)代理重加密密鑰能夠?qū)⑹跈?quán)人的加密密文全部地轉(zhuǎn)換給受理人，但有些實(shí)際應(yīng)用場(chǎng)景，授權(quán)人只允許代理人按密文子集的類型轉(zhuǎn)換給相應(yīng)的受理人。針對(duì)此問(wèn)題，將基于類型的代理重加密擴(kuò)展到多個(gè)類型和基于身份的環(huán)境中，提出了基于多類型和身份的代理重加密概念，給出了形式化的定義，構(gòu)造了一個(gè)具有多類型的基于身份的代理重加密方案，在隨機(jī)預(yù)言模型下達(dá)到了CPA安全性。

代理重加密；基于類型代理重加密；基于身份代理重加密；雙線性映射

代理重加密允許一個(gè)半可信的代理人，通過(guò)代理重加密密鑰將授權(quán)人用自己的公鑰加密的密文轉(zhuǎn)換為受理人用自己私鑰解密的密文。在代理重加密中，代理人使用重加密密鑰可以將授權(quán)人的全部密文轉(zhuǎn)換為受理人用其公鑰加密的密文。代理重加密有著廣泛的應(yīng)用背景，如加密郵件的轉(zhuǎn)發(fā)，分布式文件存儲(chǔ)系統(tǒng)等等。

在實(shí)際的應(yīng)用中，有這樣的應(yīng)用場(chǎng)景，授權(quán)人的加密密文不是全部轉(zhuǎn)發(fā)給受理人去處理，而是授權(quán)人根據(jù)需要把密文劃分為若干類，每一類標(biāo)記不同的標(biāo)簽，按標(biāo)簽發(fā)給相關(guān)的受理人。如某公司有下屬兩個(gè)子公司A和B，公司總經(jīng)理的郵件包括市場(chǎng)、銷售和人力資源等不同類型，他出差時(shí)需要把郵件發(fā)給子公司經(jīng)理去處理，與市場(chǎng)和銷售相關(guān)的郵件分派給子公司A的經(jīng)理去處理，銷售和人力資源的郵件分派給子公司B的經(jīng)理，同時(shí)對(duì)于涉及機(jī)密的部分還不能轉(zhuǎn)發(fā)給他人，只能留給他自己處理。解決此類問(wèn)題的關(guān)鍵是授權(quán)人需要一個(gè)細(xì)粒度策略來(lái)控制代理人對(duì)密文的轉(zhuǎn)換能力，授權(quán)人將委托受理人處理的密文分類，按密文類型指定受理人，代理人只能按類型進(jìn)行轉(zhuǎn)換。授權(quán)人也可對(duì)重加密密鑰附加某種條件，代理人只能轉(zhuǎn)換與授權(quán)人設(shè)定的條件相一致的密文給受理人?；谶@種思路，基于類型的代理重加密和條件代理重加密分別被提出[1-2]。在這類擴(kuò)展的代理重加密中，代理人只能按授權(quán)人對(duì)密文預(yù)設(shè)定的類型或?qū)χ丶用苊荑€附加的條件去轉(zhuǎn)發(fā)密文，起到了授權(quán)人對(duì)代理人的轉(zhuǎn)換能力的控制，是解決上述實(shí)際問(wèn)題的一種有效方法。

現(xiàn)有的基于類型的代理重加密方案，采用的方法是授權(quán)人用他的公鑰加密密文時(shí)，對(duì)密文分為子集，不同的密文子集標(biāo)記不同的標(biāo)簽，同時(shí)標(biāo)簽作為代理重加密密鑰的一部分，代理人進(jìn)行密文轉(zhuǎn)換時(shí)只能轉(zhuǎn)換與標(biāo)簽相一致的密文給受理人，以此達(dá)到對(duì)重加密密文細(xì)粒度控制。但對(duì)更復(fù)雜的情形，如對(duì)同一密文子集貼多個(gè)標(biāo)簽、不同密文子集具有相同類型標(biāo)簽情況，目前還沒(méi)有提出有效的解決方案。本文試圖在綜合已有文獻(xiàn)方法的基礎(chǔ)上，針對(duì)同一密文子集標(biāo)有多個(gè)標(biāo)簽的情形進(jìn)行研究，提出一個(gè)基于多類型和身份的代理重加密方案，使代理人能對(duì)標(biāo)有多個(gè)標(biāo)簽的密文子集轉(zhuǎn)換給指定的受理人。

1 相關(guān)工作

代理重加密（proxy re-encryption,PRE）的概念是BLEUMER等[3]提出的，在代理重加密中，授權(quán)人用自己的公鑰加密的密文允許代理人將其轉(zhuǎn)換為用受理人公鑰加密的密文，代理人不能得到有關(guān)授權(quán)人的私鑰和密文的任何信息。隨后代理重加密得到了廣泛地研究，以重加密密文的轉(zhuǎn)換方向和轉(zhuǎn)換次數(shù)分別提出了單向/多向和單跳/多跳的代理重加密方案[4-7]。GREEN等[8]擴(kuò)展代理重加密到基于身份的公鑰密碼體制中，提出了基于身份的代理重加密概念，并構(gòu)造了兩個(gè)非交互的單向基于身份的重加密方案。在基于身份的環(huán)境中，各種代理重加密方案被提出[9-10]。

在公鑰密碼體制環(huán)境中，代理重加密允許代理人把授權(quán)人的密文全部轉(zhuǎn)換為受理人可解密的密文。為控制代理人使用代理重加密權(quán)限，TANG[1]和WENG[2]分別引入了基于類型的代理重加密（type-based proxy re-encryption，TBPRE）和條件代理重加密，雖然兩個(gè)文獻(xiàn)在概念的命名上有所不同，但實(shí)質(zhì)上是相同的。WENG[2]提出了一個(gè)在雙線性Diffe-Hellman假設(shè)下達(dá)到CCA安全的條件代理重加密方案，但WENG等[11]指出該方案并未達(dá)到CCA安全。2011年，LIANG等[13]在基于身份的環(huán)境中提出了兩個(gè)基于身份的條件代理重加密方案，并聲稱在標(biāo)準(zhǔn)模型下達(dá)到了CCA安全性，但HE等[15]給出了具體的攻擊，表明方案中的原始密文不具有不可展性，未能達(dá)到CCA安全?；陬愋偷拇碇丶用芎蜅l件代理重加密都得到了很多學(xué)者的關(guān)注，先后在傳統(tǒng)的公鑰密碼體制下，特別是在基于身份的環(huán)境下提出了諸多方案[12，14]。IBRAIMI等[16]將基于類型與基于身份結(jié)合，提出了基于類型和身份的代理重加密方案，并達(dá)到了CPA安全性。

本文的貢獻(xiàn)是在文獻(xiàn)[16]的基礎(chǔ)上，將授權(quán)人標(biāo)記單一密文類型擴(kuò)充到標(biāo)記多個(gè)類型（即類型集），提出并形式化定義基于多類型和身份的代理重加密，構(gòu)造了一個(gè)具體的基于多類型和身份的代理重加密方案。

2 基于多類型和身份的代理重加密

下面給出雙線性映射、復(fù)雜性假設(shè)和DBDH假設(shè)等相關(guān)定義，參見(jiàn)文獻(xiàn)[14]。

2.1 雙線性映射

設(shè)G和GT是兩個(gè)階為素?cái)?shù)q的循環(huán)乘法群，一個(gè)雙線性映射e:G×G→GT滿足下列條件：

雙線性性：對(duì)?g1，g2∈G和?a，b∈Z*q，滿足

非退化性：?g1，g2∈G，使得e（g1，g2）≠1.

可計(jì)算性:對(duì)?g1，g2∈G，存在高效的算法能夠計(jì)算出e（g1，g2）.

2.2 復(fù)雜性假設(shè)

定義1 DBDH問(wèn)題（Decisional Bilinear Diffie-Hellman，DBDH）：設(shè)G和GT是兩個(gè)階為素?cái)?shù)q的循環(huán)乘法群，g是G的生成元，雙線性映射e:G×G→GT。對(duì)于給定的元組（g，ga，gb，gc，Q）∈G4×GT，判斷Q=e（g，g）abc，其中a，b，c∈。對(duì)于一個(gè)多項(xiàng)式時(shí)間的敵手A解決（G，GT）上的DBDH困難問(wèn)題的優(yōu)勢(shì)定義為：

定義2 DBDH假設(shè)：若對(duì)于任意多項(xiàng)式t時(shí)間的敵手A，對(duì)解決群（G，GT）上的DBDH困難問(wèn)題的優(yōu)勢(shì)均小于ε，則稱G上的(t,ε)-DBDH假設(shè)是成立的。

2.3 基于多類型和身份的代理重加密模型

基于多類型和身份的代理重加密（Multiple Typeand-Identity-based PRE,MTIBPRE）由以下算法構(gòu)成：

Setup(1κ)算法：該算法輸入一個(gè)安全的參數(shù)1κ，輸出一個(gè)全局公開參數(shù)params和主秘密參數(shù)msk。

KeyGen(params，m sk,ID)算法:該算法以params、msk和用戶的身份ID作為輸入，輸出與身份ID相一致的用戶秘密密鑰skID。

Enc(param s，ID,m,T)算法:該算法以params、用戶的身份ID、消息m∈G、類型集Q的子集T?Q作為輸入，輸出具有與類型子集相一致，并用用戶ID加密的密文C。.

ReEnKeyGen(param s，skID1，T，ID1，ID2)算法:該算法以params、身份為ID1用戶的私鑰skID1、消息的類型集T以及身份ID1和ID2作為輸入，輸出與類型集T相一致的代理重加密密鑰

Dec(Param s，C,skID)算法:該算法以params、加密密文C和身份為ID的用戶私鑰skID作為輸入，輸出與密文相一致的明文m或錯(cuò)誤符⊥。

2.4 基于多類型和身份的代理重加密方案

在文獻(xiàn)[1]和[16]給出的基于類型的代理重加密定義基礎(chǔ)上，構(gòu)造基于多類型和身份的代理重加密方案（MTIBPRES），本方案由以下六種算法構(gòu)成。

Setup(1κ)算法：該算法由可信的第三方PKG執(zhí)行，生成全局參數(shù)，具體操作如下四步。

（1）選取一個(gè)大素?cái)?shù)q，生成兩個(gè)循環(huán)乘法群G和GT，取G的生成元g，一個(gè)雙線性映射e:G×G→GT。

（2）隨機(jī)選取α∈Z*q作為主秘密參數(shù)msk=α，并生成參數(shù)mpk=gα。

（3）選擇兩個(gè)Hash函數(shù)：

（4）生成全局公開參數(shù)params=｛G，GT,g,mpk,e,H1,H2｝和主秘密參數(shù)msk=α.

KeyGen(params，msk,ID)算法:該算法由可信的第三方PKG執(zhí)行，生成與用戶身份ID相一致的私鑰skID=H1（ID）α。

Enc(param s，ID,m,T)算法:該算法由授權(quán)人執(zhí)行，得到用授權(quán)人身份ID加密并與類型子集相一致的密文C，該密文允許代理人轉(zhuǎn)換為受理人解密的密文。具體執(zhí)行如下操作。

（2）隨機(jī)選取r∈Z*q，計(jì)算C1=gr，

取C=（C1，C2，C3，C4）為授權(quán)人加密并標(biāo)有類型T的密文。

ReEnKeyGen(param s，skID1，T，ID1，ID2)算法:該算法由授權(quán)人執(zhí)行，生成代理重加密密鑰，具體操作如下。

（1）隨機(jī)選取s∈Z*q，計(jì)算d1=H1（ID1）s-1，d2=H1（ID2）s，d3=gs。

Dec(Param s，C,skID)算法:該算法由授權(quán)人/受理人用可信第三方生成的私鑰skID對(duì)密文/重加密密文進(jìn)行解密操作，得到相應(yīng)的明文m或錯(cuò)誤符⊥。具體操作如下。

（1）對(duì)加密密文C=（C1，C2，C3，C4），授權(quán)人用其私鑰skID，并執(zhí)行下面的解密運(yùn)算得到明文

（2）對(duì)重加密密文C'=（C'1，C'2，C'3，C'4），受理人用其私鑰skID2，并執(zhí)行下面的解密運(yùn)算得到明文

2.5 正確性

方案的正確性由下面的兩個(gè)等式得到：

3 性能和安全性分析

3.1 性能與效率分析

（1）提出的方案具有文獻(xiàn)[8]中所描述的IBPRE兩個(gè)重要性質(zhì)，具體如下。

單向性：由代理重加密密鑰算法和代理重加密算法看出，授權(quán)人用其加密的附有類型集的密文只能單向地轉(zhuǎn)換為受理人能夠解密的密文，但反之不行。

（2）文獻(xiàn)[1]和[16]只對(duì)密文標(biāo)記一種類型，而本方案對(duì)密文標(biāo)記多個(gè)類型，當(dāng)=1時(shí)，方案為同一域中的基于類型和身份的代理重加密方案，由此看出本方案是文獻(xiàn)[16]的擴(kuò)充形式，在應(yīng)用范圍上比文獻(xiàn)[16]擴(kuò)大了。

（3）令te和tp分別表示一次雙線性對(duì)運(yùn)算和一次指數(shù)運(yùn)算。下面將本文中提出的方案與文獻(xiàn)[1]和[16]中的方案在雙線性對(duì)運(yùn)算和指數(shù)運(yùn)算的效率上作以比較，從表1比較看出，在相同安全性的前提下，本文提出的方案具有較高的效率。

表1 基于類型和身份代理重加密方案效率比較Table1 The efficiency comparison ofmultiple type-and-identity-based proxy re-encryption scheme

3.2 安全性分析

文獻(xiàn)[16]中的授權(quán)人和受理人可以來(lái)自不同的域，而本方案兩者均在同一個(gè)域中。因此，對(duì)文獻(xiàn)[16]的IND-ID-DR-CPA安全定義做適當(dāng)修改，取Extract2查詢與Extract1查詢相同，并用T*代替t*就可形成IND-TIBPRE-CPA安全定義，由于篇幅所限此處略去。

與文獻(xiàn)[16]中的證明類似，在隨機(jī)預(yù)言模型下可證明下面的定理是成立的。

定理1.假設(shè)在群中DBDH問(wèn)題是困難的，則方案在隨機(jī)預(yù)言模型下是IND-TIBPRE-CPA安全的。

4 總結(jié)

在文獻(xiàn)[1]和[16]的基礎(chǔ)上，對(duì)基于類型和身份的代理重加密中的類型擴(kuò)充到了類型集，提出了基于多類型和身份的代理重加密和一個(gè)具體的重加密方案，對(duì)標(biāo)有多個(gè)類型的密文能夠?qū)崿F(xiàn)代理人按照授權(quán)人設(shè)定的密文類型轉(zhuǎn)換給相應(yīng)的受理人。就理論方案而言，在相同安全的前提下，與現(xiàn)有方案相比在代理重加密和重加密解密的計(jì)算上具有較高的效率。

[1]TANG Q.Type-based proxy re-encryption and its construction[C]//International Conference on Cryptology in India:Progress in Cryptology.Springer-Verlag,2008:130-144.

[2]WENG J,DENG R H,DING X,et al.Conditional proxy reencryption secure against chosen-ciphertext attack[C]//ACM Symposium on Information,Computer and Communications Security,ASIACCS 2009,Sydney,Australia,March.DBLP,2009:322-332.

[3]BlAZE M,BLEUMER G,STRAUSS M.Divertible protocols and atomic proxy cryptography[C]//Advances in Cryptology-Crypto'98,LNCS 1403.Berlin:Springer-erlag,1998,127-144.

[4]LIBERT B,VERGNAUD D.Unidirectional Chosen-Ciphertext Secure Proxy Re-encryption[C]//Proc.of PKC'08,LNCS 4929,Springer-Verlag,2008.360-379.

[5]CANETTIR,HOHENBERGER S.Chosen-Ciphertext Secure Proxy Re-Encryption[C]//Proceeding of ACM CCS 2007.185-194.

[6]CHOW SS,WENG J,YANG Y,etal.Efficientunidirectional proxy re-encryption[C]//Bernstein D J,Lang T,eds.AFRICA CRYPT,LNCS.6055,Berlin:Springer-Verlag,2010:316-332.

[7]SHAO J,CAO Z F.CCA-Secure Proxy Re-encryption without Pairings[C]//Public Key Cryptography.LNCS 5443.357–376.

[8]GREENM,ATENIESEG.Identity-based proxy re-encryption[C]//ACNS 2007,volume 4521 of LNCS,2007.288–306.

[9]CHU C K,TZENGW G.Identity-based proxy re-encryption without random oracles[C].Proc.of ISC'07.LNCS 4779.189–202.

[10]MATSUO T.Proxy re-encryption systems for identity-based encryption[C]//Proc.of Paring'07,LNCS 4575.247–267.

[11]WENG J,YANG Y J,TANG Q,et.al.Efficient conditional proxy re-encryption with chosen-ciphertext security[C]//In:Proc.of ISC'09,Springer-Verlag,LNCS 5735.151–166.

[12]SHAO J,WEIG,LING Y,et al.Identity-Based Conditional Proxy Re-Encryption[C]//IEEE International Conference on Communications.IEEE,2011:1-5.

[13]LIANG K,LIU Z,TAN X,et al.A CCA-Secure identitybased conditional proxy re-encryption without random oracles[C]//International Conference on Information Security and Cryptology.Springer-Verlag,2012:231-246.

[14]ZHOU D H,CHEN K F,LIU S L,et.al.Identity-Based Conditional Proxy Re-Encryption[J].Chinese Journal of Electronics，2013(1):61-66.

[15]HE K,WENG J,DENG R H,et al.On the security of two identity-based conditional proxy re-encryption schemes[J].Theoretical Computer Science,2016,652:18-27.

[16]IBRAIMI L,TANG Q,HARTEL P,et al.A type-andidentity-based proxy re-encryption scheme and its application in healthcare[C]//Secure Data Management 2008,LNCS 5159.Berlin:Springer-Verlag,2008,185-198.

（責(zé)任編輯：葉麗娜）

A M ultiple Type-and-Identity-based Proxy Re-encryption Scheme

WANG Pingshu1，NIEGuolei2
(1.School of Mathematics,Qinghai University for Nationalities,Xining 810007;2.School of Computers'science and Technology,QinghaiUniversity for Nationalities，Xining 810007)

In a proxy re-encryption system,a semi-trusted proxy can convert all ciphertexts by delegator encrypted plaintextwith his public key to the delegatee so that the re-encrypted ciphertexts can be decrypted with the delegatee's private key.However,inmany application scenarios,delegator only allows proxy to convert ciphertextwith corresponding type set as tag to a specific delegatee.In order to address this issue,we extend the concept of type-and-identity-based proxy re-encryption to multiple type setting and proposemultiple type-and-identity-based proxy re-encryption(MTIBPRE),which enables the delegator to control his delegate right for proxy.We present a concrete MTIBPRE system,and prove itagainst the chosen-plaintextattack(CPA)in the random oraclemodel.

proxy re-encryption;type-based proxy re-encryption;identity-based proxy re-encryption;bilinearmaps

TP309.7

：A

：1674－2109(2017)06－0048－05

2017-05-01

青海省自然科學(xué)基金(2011-Z-906)；教育部“春暉計(jì)劃”項(xiàng)目(Z2012113)。

王萍姝(1967-），女，漢族，教授，主要從事密碼學(xué)的研究。