基于國密SM9的匿名標(biāo)識廣播加密方案

潘 璇 嚴(yán) 芬

(揚州大學(xué)信息工程學(xué)院 江蘇揚州 225127)

Fait等人[1]于1993年提出了廣播加密(broadcast encryption)的概念,并給出了具體方案.該方案可以根據(jù)選定的多個接收方加密數(shù)據(jù),在公開信道廣播后,只有預(yù)先選定的接收者,即接收者得到合法授權(quán)后方可正確解密,且非法接收者無法通過合謀獲取加密內(nèi)容.廣播加密是一種1對多的加密技術(shù),可以有效地減少數(shù)據(jù)交流過程中的計算成本和通信負(fù)載.另一種相似的概念是由Beak等人[2]在2005年提出的多接收方加密,加密在1組接收者標(biāo)識而不是單一標(biāo)識上進(jìn)行,本文將其和廣播加密視為相同的概念.

標(biāo)識密碼(identity-based cryptosystem)是密碼學(xué)中的另一個重要研究領(lǐng)域,此概念在1984年由Shamir[3]首次提出.標(biāo)識密碼以接收者的唯一信息作為公鑰,取代傳統(tǒng)公鑰加密中證書的功能.2001年,Boneh等人[4]提出了第1個可證明安全的標(biāo)識加密(identity-based encryption, IBE)方案.

標(biāo)識廣播加密(identity-based broadcast encryption, IBBE)的概念在2007年由Delerablée[5]與Sakai等人[6]分別提出,將廣播加密與標(biāo)識加密相結(jié)合,避免了耗費大量資源的證書管理工作.隨后,對照傳統(tǒng)的廣播加密,針對IBBE的研究逐漸深入,其功能性和安全性得以不斷完善.

在現(xiàn)實應(yīng)用中,數(shù)據(jù)的合法接收者通常并不愿意將其身份暴露給其他接收者.因此在2001年,Bellare等人[7]首次提出了加密方案中的匿名概念.而在一般的IBBE方案中,往往將合法接收者的身份作為廣播數(shù)據(jù)的一部分對所有接收者廣播,所以并不具備匿名性.因此,對于IBBE方案的匿名性也有諸多研究[8-18].在2016年,He等人[16]提出了一種通用匿名IBBE方案,方案可以利用滿足安全條件的IBE方案構(gòu)造出具備抵御適應(yīng)性選擇密文攻擊(adaptively chosen ciphertext attacks, CCA2)的不可區(qū)分性和匿名性的IBBE方案,相較于抵御選擇明文攻擊(chosen plaintext attacks, CPA)的CPA安全,CCA2安全能夠有效應(yīng)對攻擊者的主動攻擊.這也是首個基于非對稱雙線性群的CCA2安全的不可區(qū)分性和匿名性的IBBE方案,但在文獻(xiàn)[18]中被證明不具備內(nèi)部匿名性.

2020年1月1日,《中華人民共和國密碼法》正式開始施行,其支持我國商用密碼算法的自主可控,鼓勵從業(yè)單位采用商用密碼推薦性國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn),提升商用密碼的防護(hù)能力.而我國在2008年自主設(shè)計了標(biāo)識密碼SM9,2016年成為我國密碼行業(yè)標(biāo)準(zhǔn)[19],并在2020年正式成為我國的國家標(biāo)準(zhǔn).之后,SM9各部分也陸續(xù)成為國際標(biāo)準(zhǔn),并在2021年全體系納入ISO/IEC標(biāo)準(zhǔn).

目前,基于國密SM9的研究有諸多成果.其中,賴建昌等人[20]借鑒Delerablée[5]的方案,在2021年首次設(shè)計出基于SM9標(biāo)識加密算法的高效IBBE方案,并給出IND-sID-CPA安全性分析.但目前為止,仍缺失基于SM9標(biāo)識加密算法的匿名IBBE方案的研究.

1 基礎(chǔ)知識

1.1 雙線性群

雙線性群可以用五元組(N,G1,G2,GT,e)描述,其中N是1個大質(zhì)數(shù),G1,G2,GT均是階為N的乘法循環(huán)群(在基于橢圓曲線的雙線性群構(gòu)造中G1,G2是加法群,本文方案的設(shè)計與分析均以加法群表示),e為雙線性映射e:G1×G2→GT.如果G1=G2,則為對稱雙線性群,否則為非對稱雙線性群.令g,g′分別為G1,G2的生成元,滿足以下3個性質(zhì):

1) 雙線性(bilinearity).對于任意的P∈G1,Q∈G2,a,b∈N,有e(aP,bQ)=e(P,Q)ab.

2) 非退化性(non-degeneracy).滿足e(g,g′)≠1.

3) 可計算性(efficiency).對于任意的P∈G1,Q∈G2,存在多項式時間算法,可以高效地計算e(P,Q).

SM9標(biāo)識密碼算法使用非對稱雙線性群,且存在同態(tài)映射ψ:G2→G1,使得ψ(g′)=g.

1.2 困難性假設(shè)

以下假設(shè)均定義在雙線性群(N,G1,G2,GT,e)上,設(shè)g,g′分別是G1,G2的生成元(關(guān)于假設(shè)2,3,4的詳細(xì)內(nèi)容可參見文獻(xiàn)[21]).

假設(shè)1.ADBDH(asymmetric decision bilinear Diffie-Hellman)假設(shè):對于隨機(jī)選擇的a,b,c∈和Z∈GT,給定元組(g,ag,cg,g′,ag′,bg′,Z),判斷Z是否等于e(g,g′)abc是困難的.

假設(shè)2.τ-BCA1(bilinear collision attack)假設(shè):對于正整數(shù)τ和隨機(jī)選擇的α∈給定元組其中hi∈且是隨機(jī)選取),計算e(g,g′)α/(h0+α)是困難的.

假設(shè)3.DBIDH(decision bilinear inversion Diffie-Hellman)假設(shè):對于隨機(jī)選擇的a,b∈和Z∈GT,給定元組(g,g′,ag,bg,Z),判斷Z是否等于e(g,g′)a/b是困難的.

假設(shè)4.Gap-τ-BCA1假設(shè):對于正整數(shù)τ和隨機(jī)選擇的α∈給定元組其中hi∈且是隨機(jī)選取)和1個可以解決1個給定DBIDH問題的DBIDH諭言機(jī),計算e(g,g′)α/(h0+α)是困難的.

1.3 標(biāo)識廣播加密

IBBE方案可以用算法元組(Setup,KeyGen,Encrypt,Decrypt)描述,方案需引入密鑰生成中心(key generation center, KGC).由于本文方案采用混合加密方案,所以數(shù)據(jù)封裝機(jī)制(data encapsulation mechanism, DEM)可以選用ISO/IEC18033-2中的DEM2或DEM3等方案,本文只進(jìn)行簡要描述,不重點討論.(Setup,KeyGen,Encrypt,Decrypt)的具體細(xì)節(jié)描述如下:

1)Setup(1λ).算法由KGC執(zhí)行.以系統(tǒng)安全參數(shù)λ為輸入,輸出系統(tǒng)主公鑰mpk和主私鑰msk.mpk作為主公鑰,其整體或部分均可以隱性地作為其他算法的輸入?yún)?shù).

2)KeyGen(msk,ID).算法由KGC執(zhí)行.以msk和接收者標(biāo)識ID為輸入,輸出接收者標(biāo)識ID所對應(yīng)的私鑰skID.

3)Encrypt(S,M).算法由加密者執(zhí)行.以接收者標(biāo)識集合S=(ID1,ID2,…,IDs)和明文消息M為輸入.首先生成封裝密文C和對稱密鑰K.加密方以K作為加密算法DEM.Enc的密鑰生成密文CM,廣播(C,CM).

4)Decrypt(C,CM,skID).算法由解密者執(zhí)行.輸入C,CM以及對應(yīng)的skID.如果解密成功輸出K,否則輸出錯誤符號⊥.如果輸出的是K,接收者可以利用K和DEM的解密算DEM.Dec解密CM.

IBBE方案的正確性要求:對于任意的(mpk,msk)←Setup(1λ),skID←KeyGen(msk,ID),(C,K)←Encrypt(S).當(dāng)ID∈S時,Decrypt(C,skID)=K.

1.4 安全模型

本節(jié)所述的安全模型主要針對密鑰封裝機(jī)制(key encapsulation mechanism, KEM).

1.4.1 IND-nID-CCA2不可區(qū)分性安全模型

初始化:攻擊者A給出欲攻擊的接收者標(biāo)識集合S*的大小s.

系統(tǒng)建立:挑戰(zhàn)者C運行Setup算法,然后,發(fā)送mpk給攻擊者A并秘密保存msk.

詢問1:攻擊者A適應(yīng)性地向挑戰(zhàn)者C詢問以下問題.

私鑰詢問:輸入ID,挑戰(zhàn)者C運行KeyGen算法返回skID給攻擊者A.

解密詢問:輸入ID和C,挑戰(zhàn)者C運行KeyGen算法獲得skID,而后運行Decrypt算法返回解密結(jié)果給攻擊者A.

挑戰(zhàn):攻擊者A確定詢問1結(jié)束后,任意選擇欲攻擊的接收者標(biāo)識集合S*,要求|S*|=s,且攻擊者A沒有在詢問1階段中對標(biāo)識ID∈S*進(jìn)行私鑰詢問.挑戰(zhàn)者C利用Encrypt算法生成挑戰(zhàn)密文C*和對稱密鑰K,同時挑戰(zhàn)者C從密鑰空間中隨機(jī)另選1個密鑰K′,選擇1個比特μ∈{0,1},設(shè)Kμ=K,所選隨機(jī)密鑰為K1-μ,最后將(C*,K0,K1)發(fā)送給攻擊者A.

詢問2:與詢問1類似,但私鑰詢問和解密詢問不得涉及挑戰(zhàn)階段中的ID∈S*和C*.

猜測:攻擊者A輸出對μ的猜測.

定義攻擊者A的優(yōu)勢為

(1)

在模型的初始化階段若需指定具體欲攻擊的接收者標(biāo)識集合,則為選擇身份安全模型,記作IND-sID-CCA2.若無初始化階段,則為完全安全模型,記作IND-ID-CCA2.若在詢問2階段無解密詢問,則為選擇密文模型,記作IND-nID-CCA1.若在詢問1,2階段均無解密詢問,則為選擇明文模型,記作IND-nID-CPA.匿名性安全模型的相關(guān)概念與上述類似,后續(xù)不再贅述.

1.4.2 ANO-ID-CCA2匿名性安全模型

系統(tǒng)建立:與IND-nID-CCA2安全模型類似.

詢問1:與IND-nID-CCA2安全模型類似.

挑戰(zhàn):攻擊者A確定詢問1結(jié)束后,任意選擇欲攻擊的接收者標(biāo)識集合S0和S1給挑戰(zhàn)者C.要求|S0|=|S1|,且攻擊者A沒有以ID∈(S0∪S1-S0∩S1)在詢問1中發(fā)起過私鑰詢問.然后,挑戰(zhàn)者C隨機(jī)選擇1個比特μ∈{0,1},利用Sμ和Encrypt算法返回挑戰(zhàn)密文C*給攻擊者A.

詢問2:與詢問1類似,但不得對ID∈(S0∪S1-S0∩S1)進(jìn)行私鑰詢問和以ID∈(S0∪S1-S0∩S1)對挑戰(zhàn)密文C*進(jìn)行解密詢問.

猜測:攻擊者A輸出對μ的猜測.

定義攻擊者A的優(yōu)勢為

(2)

2 具體方案

本節(jié)所使用的符號借鑒于國密SM9標(biāo)準(zhǔn)文檔.對于數(shù)據(jù)類型間的轉(zhuǎn)換,可以按照國家標(biāo)準(zhǔn)GB/T38635.1—2020中7.2節(jié)給出的方法進(jìn)行.設(shè)1個強一次性簽名方案為Σ=(Gen,Sig,Ver).具體方案如下:

1)Setup(1λ).首先,生成雙線性群(N,G1,G2,GT,e),隨機(jī)選擇生成元g∈G1,g′∈G2,隨機(jī)選擇α,β∈計算g1=αg,g2=βg,g3=e(g2,g′).選擇哈希函數(shù)H1:{0,1}*→G2,H2:GT→{0,1}n,H3:{0,1}*→和用1B表示的加密私鑰生成函數(shù)識別符hid.選擇密鑰派生函數(shù)KDF:{0,1}*→klen,其中klen是封裝的對稱密鑰的長度.設(shè)置主公鑰mpk=(G1,G2,GT,e,g,g1,g2,g3,g′,H1,H2,H3,hid,KDF),主密鑰msk=(α,β).

3)Encrypt(S,M).首先,生成1個簽名密鑰對(svk,ssk)←Gen(1λ).然后,隨機(jī)選擇r∈計算T=rg.對于每個ID∈S,計算H1(ID))r).隨機(jī)選擇r′∈令q=H3(ID‖hid,N)g+g2,計算設(shè)計算生成密文C=(svk,T,C1,σ),其中σ=Sig(ssk,T‖C1).最后,計算K=KDF(C‖w,klen),如果K為全0比特串,則重新計算.以K作為對稱密鑰加密明文得到密文CM=DEM.Enc(K,M).

3 安全性分析

3.1 IND-nID-CCA2安全性分析

定理1.如果H3,KDF是隨機(jī)諭言機(jī),Gap-τ-BCA1假設(shè)成立,那么本文所構(gòu)造的基于國密SM9的匿名IBBE方案是IND-nID-CCA2安全的.

證明.設(shè)攻擊者A欲攻擊的接收者標(biāo)識集合為S*且|S*|=s.首先給出2個游戲,并證明Game0和Game1在計算上無法區(qū)分.

Game0:按照IND-nID-CCA2安全模型進(jìn)行.

Game1:與Game0相同,但是挑戰(zhàn)者在挑戰(zhàn)階段后拒絕所有對含有相同驗證密鑰svk*的(ID,C)解密詢問.

引理1.如果簽名方案Σ是一個強一次性簽名方案,那么Game0和Game1在計算上無法區(qū)分.

系統(tǒng)建立:對挑戰(zhàn)者C給定1個驗證密鑰svk*,然后運行Setup算法生成(mpk,msk).而后,將mpk返回給A,秘密保存msk.

詢問1:攻擊者A可以適應(yīng)性地發(fā)出私鑰詢問和解密詢問.挑戰(zhàn)者C利用msk進(jìn)行回復(fù).

詢問2:攻擊者A繼續(xù)適應(yīng)性地發(fā)起如下詢問.

私鑰詢問:與詢問1階段類似,但所詢問的ID?S*.

猜測:攻擊者A輸出1個猜測μ′∈{0,1}.

可以觀察到,當(dāng)事件F不發(fā)生時,Game1和Game0是相同的.如果事件F以一個不可忽略的概率發(fā)生,那么挑戰(zhàn)者C就可以以一個不可忽略的優(yōu)勢對有效簽名進(jìn)行偽造.由于簽名方案Σ是一個強一次性簽名方案,因此事件F發(fā)生的概率可以忽略.因此,Game0和Game1在計算上是無法區(qū)分的.

證畢.

由于Game0和Game1在計算上無法區(qū)分,所以關(guān)于加密方案的安全性分析,即定理1的證明在Game1上進(jìn)行.如果存在1個攻擊者A能夠以一個不可忽略的優(yōu)勢ε(λ)取得IND-nID-CCA2安全模型的勝利,攻擊期間進(jìn)行了q1+1次H3詢問、q2次KDF詢問、qD次解密詢問.那么,易構(gòu)造1個多項式時間算法C作為挑戰(zhàn)者,其可以利用攻擊者A解決Gap-τ-BCA1問題.

系統(tǒng)建立:挑戰(zhàn)者C生成主公鑰mpk=(G1,G2,GT,e,g,g1,xg,e(xg,g′),g′,H1,H2,H3,hid,KDF),主私鑰msk=(α,x),將mpk返回給A,秘密保存msk.隨機(jī)諭言機(jī)H3和KDF由挑戰(zhàn)者C控制.挑戰(zhàn)者C隨機(jī)選擇s個互不相同的Ii(1≤Ii≤q1+1,i∈{1,2,…,s}).

KDF詢問:輸入(C,w),挑戰(zhàn)者C維護(hù)1個列表KDF.list={(C,w,K)},當(dāng)攻擊者A以(Ci,wi)發(fā)起詢問時,挑戰(zhàn)者C按如下方式回復(fù).

如果KDF.list中存在(Ci,wi,Ki),則挑戰(zhàn)者C回復(fù)Ki.否則,首先解析Ci=(svki,Ti,C1,i,σi)并驗證.

如果Ver(svki,Ti‖C1,i,σi)=0,挑戰(zhàn)者C在對稱密鑰空間中隨機(jī)選擇Ki,將(Ci,wi,Ki)加入KDF.list,回復(fù)Ki.

詢問1:攻擊者A適應(yīng)性地發(fā)起如下詢問.

解密詢問:挑戰(zhàn)者C維護(hù)1個列表Dec.list={(C,K)},當(dāng)攻擊者A以(IDi,Ci)發(fā)起詢問時,挑戰(zhàn)者C按如下方式回復(fù).

首先解析Ci=(svki,Ti,C1,i,σi)并驗證.如果Ver(svki,Ti‖C1,i,σi)=0,則挑戰(zhàn)者C回復(fù)⊥.

詢問2:首先解析Ci=(svki,Ti,C1,i,σi),如果svki=svk*,挑戰(zhàn)者C回復(fù)⊥.后續(xù)操作與詢問1階段類似,其中中止游戲的事件已經(jīng)包含安全模型對詢問2的限制.

猜測:攻擊者A輸出1個猜測μ′∈{0,1}.一旦攻擊者A輸出其猜測,挑戰(zhàn)者C按如下方式回答Gap-τ-BCA1問題.

Pr[μ′=μ]=Pr[μ′=μ|E3]Pr[E3]+

Pr[μ′=μ]≥Pr[μ′=μ|E3]Pr[E3]=

因此,定理1成立.

證畢.

3.2 ANO-ID-CCA2安全性分析

定理2.如果H1,H2是隨機(jī)諭言機(jī),ADBDH和Gap-τ-BCA1假設(shè)成立,那么本文所構(gòu)造的基于國密SM9的匿名IBBE方案是ANO-ID-CCA2安全的.

證明.證明的方式通過一系列的游戲進(jìn)行.不失一般性,假設(shè)接收者標(biāo)識集合S0和S1中只有1個標(biāo)識ID不同且|S0|=|S1|=s.記{ID|ID∈Si∩ID?Sj}=SiSj,IDυ為S0S1的唯一元素,IDω為S1S0的唯一元素.

Game1:與Game0相同,但是挑戰(zhàn)者在挑戰(zhàn)階段后拒絕所有對含有相同驗證密鑰svk*的(ID,C)的解密詢問.

Game5:與Game4相同,但挑戰(zhàn)者在挑戰(zhàn)階段后不拒絕對(ID,C)的解密詢問,其中C包含相同的驗證密鑰svk*.此時,C*是在S1上加密產(chǎn)生的.

下文利用幾個引理,證明上文所述的游戲相鄰之間在計算上無法區(qū)分.通過游戲間傳遞性,可得Game0和Game5在計算上無法區(qū)分.Game0中的C*是在S0上加密產(chǎn)生,Game5中的C*是在S1上加密產(chǎn)生的.根據(jù)ANO-ID-CCA2安全模型,可知基于國密SM9的匿名IBBE方案是ANO-ID-CCA2安全的.

引理2.如果簽名方案Σ是一個強一次性簽名方案,那么Game0和Game1在計算上無法區(qū)分.

與引理1證明類似.

引理3.如果ADBDH假設(shè)成立,那么Game1和Game2在計算上無法區(qū)分.

證明.如果存在1個攻擊者A能夠以一個不可忽略的優(yōu)勢區(qū)分Game1和Game2.那么,易構(gòu)造1個多項式時間算法C作為挑戰(zhàn)者,其可以利用攻擊者A解決ADBDH問題.給定1個ADBDH問題實例(g,ag,cg,g′,ag′,bg′,Z).

系統(tǒng)建立:挑戰(zhàn)者C生成主公鑰mpk=(G1,G2,GT,e,g,g1=ag,g2,g3,g′,H1,H2,H3,hid,KDF),主私鑰msk=(a,β),將mpk返回給A,秘密保存msk.選擇隨機(jī)諭言機(jī)H1,H2由挑戰(zhàn)者C控制.

H1詢問:挑戰(zhàn)者C維護(hù)1個列表H1.list={(ID,Q,q,?)}.輸入標(biāo)識IDi,當(dāng)IDi存在于H1.list中時,返回Q,否則隨機(jī)選擇?∈{0,1}和q∈如果?=0,計算Q=qg′,否則計算Q=bqg′,更新H1.list.挑戰(zhàn)者C將Q返回給攻擊者A.

H2詢問:挑戰(zhàn)者C維護(hù)1個列表H2.list={(X,v)}.輸入Xi,當(dāng)Xi存在于H2.list中時,返回v,否則隨機(jī)選擇v←{0,1}n,更新H2.list.挑戰(zhàn)者C將v返回給攻擊者A.

挑戰(zhàn)者C維護(hù)1個列表List={(C,K)},每當(dāng)挑戰(zhàn)者C生成密文C時,同時生成對稱密鑰K,并以此更新List列表.

詢問1:攻擊者A適應(yīng)性地發(fā)起如下詢問.

詢問2:攻擊者A繼續(xù)適應(yīng)性地發(fā)起如下詢問.

私鑰詢問:與詢問1階段類似,但所詢問的ID?{IDυ,IDω}.

解密詢問:對(ID,C)進(jìn)行解密詢問,但不能以ID∈{IDυ,IDω}對挑戰(zhàn)密文C*進(jìn)行解密詢問.挑戰(zhàn)者C解析C=(svk,T,C1,σ).如果svk=svk*挑戰(zhàn)者C輸出⊥,否則挑戰(zhàn)者C按照詢問1階段回復(fù)攻擊者A.

猜測:攻擊者A輸出1個猜測μ′∈{0,1}.

容易觀察出,當(dāng)Z=e(g,g′)abc時,是對Game1適當(dāng)?shù)哪M,否則是對Game2適當(dāng)?shù)哪M.因此,如果攻擊者A能夠以一個不可忽視的優(yōu)勢區(qū)分Game1和Game2,那么挑戰(zhàn)者C也能以一個不可忽視的優(yōu)勢解決ADBDH問題,違背了ADBDH假設(shè).因此,Game1和Game2在計算上無法區(qū)分.

證畢.

引理4.如果Gap-τ-BCA1假設(shè)成立,那么Game2和Game3是在計算上無法區(qū)分的.

系統(tǒng)建立:與定理1證明類似.但挑戰(zhàn)者C隨機(jī)選擇互不相同的I1和I2(1≤Ii≤q1+1,i∈{1,2}).

KDF詢問:與定理1證明類似.

詢問1:與定理1證明類似.

詢問2:與定理1證明類似.

猜測:攻擊者A輸出1個猜測μ′∈{0,1}.一旦攻擊者A輸出其猜測,挑戰(zhàn)者C按如下方式回答Gap-τ-BCA1問題.

容易觀察出,當(dāng)C*是在S0上加密時,是對Game2適當(dāng)?shù)哪M,否則是對Game3適當(dāng)?shù)哪M.因此,如果攻擊者A能夠以一個不可忽視的優(yōu)勢區(qū)分Game2和Game3,那么挑戰(zhàn)者C也可以以一個不可忽視的優(yōu)勢解決1個Gap-τ-BCA1問題,違背了Gap-τ-BCA1假設(shè).因此,Game2和Game3在計算上無法區(qū)分.

證畢.

引理5.如果ADBDH假設(shè)成立,那么Game3和Game4是在計算上無法區(qū)分的.

與引理3證明類似.

引理6.假設(shè)簽名方案Σ是一個強一次性簽名方案,那么Game4和Game5在計算上無法區(qū)分.

與引理2證明類似.

4 性能分析

在本節(jié),將本文所設(shè)計的基于國密SM9的匿名IBBE方案與現(xiàn)有方案在通信成本、計算成本和特性上進(jìn)行比較.為方便比較,當(dāng)有明文數(shù)據(jù)需要發(fā)送時,首先加密1個對稱密鑰并廣播,然后利用對稱密鑰加密明文數(shù)據(jù).接收者需要首先解密獲得對稱密鑰,利用對稱密鑰解密獲得數(shù)據(jù).比較中使用的符號與數(shù)值借鑒自文獻(xiàn)[18],具體如表1所示.為方便計算,將合法接收者數(shù)目(即方案中接收者標(biāo)識集合的大小)s設(shè)置為100,將文獻(xiàn)[5,20,22]需要的最大接收者數(shù)目m設(shè)置為100,將本文方案中所使用的簽名方案設(shè)置為SM9標(biāo)識簽名.

表1 文中使用符號

1) 通信成本對比.通過表2可以看出,文獻(xiàn)[10,13,18]方案和本文方案的主公鑰長度、主私鑰長度、私鑰長度為O(1),大小恒定,密文長度為O(s),會隨著合法接收者數(shù)目的增大而增大.與之相比,文獻(xiàn)[5,20,22]方案的主密鑰長度為O(m),會隨著最大接收者數(shù)目的增大而增大,雖然密文長度為O(1),但并不具備匿名性.

表2 通信成本對比 b

2) 計算成本對比.在計算成本的對比中,主要考慮一些重量級操作的計算成本,如群G1,G2,GT中的標(biāo)量計算和雙線性配對,忽視一些輕量級操作的計算成本,如哈希函數(shù)和對稱加密.由于參與對比的所有方案均基于雙線性群,而雙線性群的生成可以提前完成,所以這部分的計算成本也忽略.通過表3可以看出,本文方案的主公鑰生成、私鑰生成、解密計算成本為O(1),大小恒定,加密計算成本為O(s),文獻(xiàn)[10,13]方案和本文方案相似.而文獻(xiàn)[5,20,22]方案的主公鑰生成成本為O(m),文獻(xiàn)[5,18,20,22]方案的加解密計算成本均為O(s).

3) 特性對比.從表4可以看出,對于方案的不可區(qū)分性,本文方案是IND-nID-CCA2安全,除了可以有效應(yīng)對攻擊者的主動攻擊外,在安全模型中的初始化階段僅需指定欲攻擊的接收者標(biāo)識集合的大小,而不需要像文獻(xiàn)[5,10,13,20,22]方案指定具體的接收者標(biāo)識集合.而文獻(xiàn)[18]方案的不可區(qū)分性是完全安全,安全性更優(yōu).對于方案的匿名性,本文方案為ANO-ID-CCA2安全且具備內(nèi)部匿名性,優(yōu)于文獻(xiàn)[5,10,13,20,22]方案.由于文獻(xiàn)[5,10,13,20,22]方案和本文方案在安全性分析中均使用了隨機(jī)諭言機(jī),因此方案的安全模型是隨機(jī)諭言模型,弱于文獻(xiàn)[18]方案所使用的不含隨機(jī)諭言機(jī)的標(biāo)準(zhǔn)模型.本文方案基于非對稱雙線性群,較之對稱雙線性群,安全性更高.最后,文獻(xiàn)[20]方案和本文方案均基于國密SM9標(biāo)識加密算法,有助于我國密碼技術(shù)的自主可控.

表4 特性對比

綜上所述,本文方案在通信成本和計算成本的表現(xiàn)上均較為優(yōu)越,具備一定的理想特性,主公鑰、主私鑰、私鑰的長度與計算成本恒定,解密計算成本恒定.本文方案在安全性上僅略弱于文獻(xiàn)[18]方案,但文獻(xiàn)[18]方案并未基于國密SM9標(biāo)識加密算法,難以與基于國密SM9標(biāo)識加密算法的系統(tǒng)相融合.

5 結(jié) 語

本文基于國密SM9標(biāo)識加密算法,利用非對稱雙線性對構(gòu)造了一種匿名IBBE方案,為我國密碼技術(shù)自主可控作出了一定貢獻(xiàn).本文方案滿足隨機(jī)諭言模型下IND-nID-CCA2安全和ANO-ID-CCA2安全,并通過形式化安全性分析,對方案的IND-nID-CCA2安全和ANO-ID-CCA2安全進(jìn)行了證明.并且在與現(xiàn)有方案的對比中,本文方案表現(xiàn)出了一定的理想特性和較好的安全性.在未來工作中,將針對本文方案的安全性和密文長度進(jìn)行優(yōu)化.后續(xù)也將在IBBE方案的國產(chǎn)化、功能性、安全性等方面繼續(xù)研究探索.