傅曉彤,薛 鵬

(西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)理論及關(guān)鍵技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室,陜西西安 710071)

一種匿名的多接收者密鑰封裝機(jī)制

傅曉彤,薛 鵬

(西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)理論及關(guān)鍵技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室,陜西西安 710071)

匿名性能夠保障用戶的個(gè)人隱私不受非授權(quán)方侵害.針對(duì)接收者隱私保護(hù)的需求,基于雙線性對(duì)提出了一個(gè)新的基于身份的匿名多接收者密鑰封裝機(jī)制.利用一次匿名密鑰協(xié)商技術(shù)和Hash函數(shù)生成臨時(shí)密鑰,從而實(shí)現(xiàn)接收者的匿名.在隨機(jī)預(yù)言機(jī)模型下,證明了其在選擇密文攻擊和身份攻擊下滿足封裝密鑰的機(jī)密性和匿名性,具有較高的效率且密文較短.

密鑰封裝;混合加密;隱私保護(hù);隨機(jī)預(yù)言機(jī)

隨著通信技術(shù)和數(shù)字分發(fā)環(huán)境的快速發(fā)展,許多應(yīng)用都要求發(fā)送者能夠發(fā)送消息給特定的接收者集合,比如付費(fèi)瀏覽系統(tǒng)、多方通信等.多接收者密鑰封裝機(jī)制(m KEM)可以很好地解決這一應(yīng)用問題,既能夠阻止非授權(quán)用戶的接入,又能夠保護(hù)數(shù)據(jù)信息.

密鑰封裝(KEM)與對(duì)稱加密結(jié)合,能夠構(gòu)成一個(gè)混合加密方案.混合加密是公鑰加密的一種變體,它利用密鑰封裝保密傳遞對(duì)稱加密的加解密密鑰,從而能夠應(yīng)用對(duì)稱加密算法加密任意長(zhǎng)的消息,無須將消息空間限制為一個(gè)特殊的群.Smart[1]在2004年首次提出了多接收者密鑰封裝的概念,方案以多個(gè)公鑰作為密鑰封裝方案的輸入,與數(shù)據(jù)封裝機(jī)制(DEM)結(jié)合,使得實(shí)體能夠向一個(gè)接收者集合發(fā)送單個(gè)明文消息.隨后,Bentahar等人將密鑰封裝的理論延伸到基于身份的密碼學(xué)原語,提出了基于身份密鑰封裝(ID-KEM)的一般構(gòu)造方法.Barbosa和Farshim[2]在2005年進(jìn)一步將基于身份的密鑰封裝與多接收者密鑰封裝結(jié)合,提出了基于身份的多接收者密鑰封裝(mID-KEM).2006年,Chatterjee和Sarkar提出了一個(gè)多接收者密鑰封裝方案,該方案有效地減小了密文尺寸.但是,Park等人證明了Chatterjee的多接收者密鑰封裝方案不具備保密性.最近的研究成果如文獻(xiàn)[3-5]所述.

許多應(yīng)用環(huán)境要求對(duì)接收者的身份信息提供隱私保護(hù),甚至不能將接收者的合法接收身份泄露給其他接收者,即除了接收者本人和發(fā)送者之外的任何第三方都無法確定該接收者的合法接收身份.比如:商業(yè)網(wǎng)站不愿意泄露自己客戶的身份信息,因?yàn)楦?jìng)爭(zhēng)對(duì)手可能會(huì)針對(duì)這些客戶發(fā)送一些廣告.因此,將接收者匿名性和密鑰封裝相結(jié)合,構(gòu)造匿名的多接收者密鑰封裝機(jī)制,在特殊的應(yīng)用環(huán)境中,有著廣泛的實(shí)用性.

在基于身份的密碼系統(tǒng)下,筆者提出了一個(gè)高效的能夠保護(hù)接收方隱私的多接收者密鑰封裝方案.在隨機(jī)預(yù)言模型和Gap-BDH假設(shè)下,筆者形式化地證明了新提出的方案滿足機(jī)密性(IND-s MID-CCA2)和匿名性(ANON-IND-s MID-CCA2)要求.與Hur等[6]提出的基于身份的匿名廣播加密(IBBE)方案比較,筆者的方案具有較高的效率和更好的安全性.

1 預(yù)備知識(shí)

1.1 雙線性對(duì)

設(shè)p是大素?cái)?shù),G1、G2是兩個(gè)階為p的群,g是群G1的一個(gè)生成元.映射e:G1×G1→G2是雙線性對(duì),滿足如下性質(zhì):

(1)雙線性性.對(duì)任意u,v∈G1和a,b∈Z,e(ua,vb)=e(u,v)ab. (2)非退化性.e(g,g)≠1.

(3)可計(jì)算性.對(duì)任意u,v∈G1,存在算法能有效地計(jì)算e(u,v)的值.

1.2 Gap雙線性Diffie-Hellman問題

設(shè)g是G的一個(gè)生成元,給定ga,gb,gc∈G,其中a,b,c是群里的3個(gè)隨機(jī)數(shù),在判定雙線性Diffie-Hellman預(yù)言機(jī)的幫助下,計(jì)算e(g,g)abc是不可行的.

判定雙線性Diffie-Hellman預(yù)言機(jī):給定(g,ga,gb,gc,R),若e(g,g)abc=R,則輸出1;否則,輸出0.

2 匿名mID-KEM方案

利用一次匿名密鑰協(xié)商技術(shù),筆者提出了一個(gè)新的多接收者密鑰封裝方案.新方案不僅滿足匿名性,還具有更好的安全性、較高的算法效率和更短的密文.方案如下.

(1)初始化(k).輸入安全參數(shù)k,得到一個(gè)雙線性映射群系統(tǒng)其中g(shù)1,g2是群G1的兩個(gè)生成元.選擇3個(gè)密碼學(xué)hash函數(shù),即H.系統(tǒng)公開參數(shù)P=(g1,g2,B,H,H1,H2),系統(tǒng)主私鑰KMS=x,系統(tǒng)公鑰KP=.

(2)私鑰提取(KMS,IDi).輸入KMS,P和身份信息IDi,計(jì)算私鑰

(3)密鑰封裝(S,KP).輸入P,S={ID1,ID2,…,IDn}和KP,算法按下列步驟進(jìn)行:

(4)解封裝(IDi,,Hdr):輸入密文Hdr,P,接收者身份IDi及.按下列步驟進(jìn)行:

算法的正確性可以由下面等式驗(yàn)證:

3 安全性與效率分析

3.1 安全性分析

將Hur等[6]的在選擇身份下選擇明文攻擊的安全模型擴(kuò)展到選擇密文攻擊[7-8]的安全模型,在Gap-BDH假設(shè)下,對(duì)所提的協(xié)議進(jìn)行了安全性分析.

定理1在隨機(jī)預(yù)言機(jī)模型下,對(duì)于Gap-BDH問題,基于身份的匿名多接收者密鑰封裝方案具有機(jī)密性.

定理1由引理1證明.

引理1k是一個(gè)安全參數(shù).假設(shè)存在一個(gè)概率多項(xiàng)式時(shí)間的IND-s MID-CCA攻擊者A,運(yùn)行時(shí)間為τ,至多qi次詢問隨機(jī)預(yù)言機(jī)Hi,qk次密鑰提取詢問以及qd次解密詢問,能夠以ε(k)的優(yōu)勢(shì)攻擊筆者提出的方案,那么,就存在一個(gè)概率多項(xiàng)式時(shí)間內(nèi)的算法B,能夠在運(yùn)行時(shí)間τ′內(nèi),以不可忽略的優(yōu)勢(shì)ε′≥ε-qdq來求解Gap-BDH困難問題,其中運(yùn)行時(shí)間

其中,τ1是在群G1中完成一次標(biāo)量乘法的時(shí)間,n是接收者的總數(shù),qd是至多詢問DBDH預(yù)言機(jī)的次數(shù).

證明 假設(shè)存在一個(gè)IND-s MID-CCA攻擊者A能夠攻破筆者提出的方案,那么可以構(gòu)造一個(gè)算法B來求解Gap-BDH問題.

階段1攻擊者A選擇一個(gè)挑戰(zhàn)接收者集合S*={ID1,ID2,…,IDn},n是正整數(shù).

初始化.挑戰(zhàn)者B把P={g1,g2,G1,G2,e(·,·),KP,H1,H2,H}發(fā)送給攻擊者A,其中H1、H2和H是由B控制的隨機(jī)預(yù)言機(jī).

H1詢問.B維護(hù)一個(gè)初始狀態(tài)為空的列表L1=(IDi,ωi,Qi).一旦接收到對(duì)身份IDj的詢問,B首先搜索列表L1,如果存在(IDj,ωj,Qj),則返回Qj給A;否則,按下列步驟進(jìn)行:

(1)若IDj∈S*,則B隨機(jī)選取計(jì)算并返回Qj=,把(IDj,ωj,Qj)加入列表L1.

H2詢問.B維持一個(gè)初始狀態(tài)為空的列表L2(Vi,vi).一旦接收到對(duì)Vj的詢問,B首先搜索列表L2:

(1)若存在(Vj,vj),則返回vj給A.同時(shí),B以(g1,Qi,KP,,Vj)詢問DBDH預(yù)言器,其中i∈{1, 2,…,n},Qi=∈G1,由H1詢問獲得.若DBDH預(yù)言器輸出為1,則B返回并結(jié)束游戲即是Gap-BDH問題的解e(g1,g1)abc.

(2)若不存在,則B隨機(jī)選取vj∈,返回vj給A,并將(Vj,vj)插入列表L2.

H詢問.B維持一個(gè)初始狀態(tài)為空的列表L=(U,V,IDi,αi,δi).一旦收到對(duì)(U,V,IDj)的詢問,其中j∈[1,q],B首先搜索列表L:

(1)若存在(U,V,IDj,αj,δj),則返回αj給A.

(2)否則,B隨機(jī)選取αj∈和δj∈G2.返回αj給A,并將(U,V,IDj,αj,δj)插入列表L.

階段2攻擊者A在該階段可以進(jìn)行一系列的詢問,包括密鑰提取詢問,解密詢問.

密鑰提取詢問.一旦接收到對(duì)身份IDj?S*的詢問,B首先搜索列表:

(1)若存在(IDj,ωj,Qj),則B計(jì)算并返回給攻擊者A.

(2)否則,隨機(jī)選取ωj∈,計(jì)算和并將(ID j,ωj,Qj)加入列表L 1,返回k s給攻擊者A.

解密詢問.一旦接收到攻擊者A以(Hdr,IDi)的詢問,其中i∈{1,2,…,n},Hdr=(U,V,c1,c2,…, cn),B進(jìn)行如下響應(yīng):

(1)B搜索列表L,如果不存在(U,V,IDi,αi,δi),則返回失敗并終止游戲;否則,B從列表L得到αi和δi.

(2)B搜索列表L1,由元組(IDi,ωi,Qi)得到ωi和Qi.

(3)B搜索列表L2,得到(Vl,vl),其中l(wèi)=1,2,…,q2,并詢問DBDH預(yù)言器(g1,Qi,KP,gc1,Vl)的值.

挑戰(zhàn)階段.攻擊者A輸出兩個(gè)密鑰(K0,K1).在接收到這對(duì)密鑰后,算法B隨機(jī)選取β∈{0,1}并完成如下操作:

階段3與階段2相同,攻擊者A可以進(jìn)行詢問,但不可以對(duì)IDi∈S*進(jìn)行密鑰提取詢問,也不可以對(duì)Hd*r進(jìn)行解密詢問.

猜測(cè):最終攻擊者A輸出他的猜測(cè)值β′.若β=β′,則A在游戲中獲勝.

分析:在上面的游戲中,挑戰(zhàn)者B控制隨機(jī)預(yù)言器成功地模擬了密鑰提取詢問、解密詢問以及哈希函數(shù)H,H1,H2.在密鑰提取詢問中生成的密鑰與真正的密鑰是同分布的.攻擊者A不能區(qū)分模擬環(huán)境與真實(shí)環(huán)境.

下面將分析挑戰(zhàn)者B的優(yōu)勢(shì).

在解密詢問中,若列表L中不存在(U,V,IDi),則B返回失敗并終止游戲.由于至多qd次解密詢問,挑戰(zhàn)者B解密失敗的概率至多為qdq,即Pr[Bf]≤qdq,Bf表示模擬失敗.

若挑戰(zhàn)者B模擬成功,攻擊者A在上面的游戲中獲勝,那么,挑戰(zhàn)者B必定接收到某個(gè)Vj的H2詢問,且DBDH預(yù)言器判定一個(gè)(g1,Q1,KP,,Vj)為1,i=1,2,…,n.正如H2詢問所述,B能計(jì)算從列表L1的元組(IDi,ωi,Qi)獲得.

其中,Bs表示B模擬成功,As表示A獲勝.

最后,Gap-BDH問題以不可忽略的概率ε′得以解決.

定理2在隨機(jī)預(yù)言機(jī)模型下,對(duì)于Cap-BDH問題,基于身份的匿名多接收者密鑰封裝方案具有匿名性.

定理2由引理2證明.

引理2假設(shè)存在一個(gè)概率多項(xiàng)式時(shí)間的ANON-IND-s MID-CCA攻擊者A,運(yùn)行時(shí)間為τ,至多qi次詢問隨機(jī)預(yù)言機(jī)Hi,qk次密鑰提取詢問以及qd次解密詢問,能夠以ε(k)的優(yōu)勢(shì)攻擊筆者提出的方案,那么,就存在一個(gè)概率多項(xiàng)式時(shí)間內(nèi)的算法B,能夠在運(yùn)行時(shí)間τ′內(nèi)以不可忽略的優(yōu)勢(shì)ε′≥ε-qdq來求解Gap-BDH困難問題,其中運(yùn)行時(shí)間

引理2的證明與引理1基本一致,只不過在階段1,攻擊者A選擇一對(duì)挑戰(zhàn)接收者(ID0,ID1),并隨機(jī)選取β∈{0,1}.IDβ作為集合中的一個(gè)接收者.最后輸出對(duì)β的猜測(cè).由此證明匿名身份信息的不可區(qū)分性.

3.2 效率分析

在協(xié)議中,用戶為了獲得封裝密鑰,需要大概n/2次的解封裝嘗試.為了提高效率,對(duì)方案進(jìn)行如下改進(jìn):

(1)密鑰封裝時(shí),需要另外計(jì)算H3(si)和ci=H3(si)‖ci,其中H3→{0,1}γ,γ=log p.

(2)解封裝時(shí),用戶IDi計(jì)算H3(si)并由此定位自己的封裝密文.

顯然,用戶僅通過一次哈希運(yùn)算,取消了多次的嘗試,從而提高了解封裝的效率.

另外,在接收者集合不變的情況下,算法的前兩步可以作為預(yù)計(jì)算部分,也就是說,U可以作為公開參數(shù),減少了密文尺寸和通信數(shù)據(jù)量.然而,其他步驟在每次會(huì)話中仍需要計(jì)算.若集合成員發(fā)生變化,前兩步都要重新進(jìn)行計(jì)算,并選擇新的r′.

表1 通信量比較

表1中,n代表接收者的數(shù)量,Sp代表群中元素的尺寸,S1代表群G1中元素的尺寸,S2代表群G2中元素的尺寸,SID代表用戶身份信息的尺寸.

表2 密鑰封裝的計(jì)算量比較

表3 解封裝的計(jì)算量比較

由表1至表3可以看出:筆者提出方案的密文較短,且只有Hur的方案與筆者的方案具有匿名性.就密鑰封裝而言,新方案僅需要一次群G1上的模指數(shù)運(yùn)算(相比較于群G1上的指數(shù)運(yùn)算,群G2上的指數(shù)運(yùn)算時(shí)間可以忽略),Hur的方案與筆者的方案需要的解封裝計(jì)算量比較接近.綜上所述,新方案計(jì)算效率較高.

4 結(jié)束語

筆者提出了一個(gè)高效的基于身份的匿名多接收者密鑰封裝方案.在隨機(jī)預(yù)言模型和Gap-BDH假設(shè)下,筆者方案滿足選擇身份模型下選擇密文攻擊的機(jī)密性和匿名性.與最近的匿名廣播加密方案比較,筆者的方案具有較高的效率和更好的安全性.

[1]Smart N P.Efficient Key Encapsulation to Multiple Parties[C]//Lecture Notes in Computer Science.Berlin:Springer-Verlag,2005:208-219.

[2]Barbosa M,Farshim P.Efficient Identity-Based Key Encapsulation to Multiple Parties[C]//Lecture Notes in Computer Science.Berlin:Springer-Verlag,2005:428-441.

[3]Weng Zhiwei,Weng Jian,He Kai,et al.New Chosen Ciphertext Secure Public Key Encryption in the Standard Model with Public Verifiability[C]//Lecture Notes in Computer Science.Berlin:Spring-Verlag,2012:170-176.

[4]Tseng Y M,Huang Y H,Chang H J.Privacy-preserving Multirecsiver ID-Based Encryption with Provable Security [DB/OL].[2012-06-29].http://onlinelibrary.wiley.com/doi/10.1002/dac.2395/abstract.

[5]Takahiro M,Goichiro H.Key Encapsulation Mechanisms from Extractable Hash Proof Systems,Revisited[C]// Lecture Notes in Computer Science.Berlin:Springer-Verlag,2013:332-351.

[6]Hur J,Park C,Hwang S O.Privacy-preserving Identity-based Broadcast Encryption[J].Information Fusion,2012,13 (4):296-303.

[7]Barth A,Boneh D,Waters B.Privacy in Encrypted Content Distribution Using Private Broadcast Encryption[C]// Lecture Notes in Computer Science.Berlin:Springer-Verlag,2006:52-64.

[8]Boneh D,Gentry C.Collusion Resistant Broadcast Encryption with Short Ciphertexts and Private Keys[C]//Lecture Notes in Computer Science.Berlin:Springer-Verlag,2005:258-275.

[9]Delerablee C.Identity-based Broadcast Encryption with Cosntant Size Ciphertexts and Private Keys[C]//Lecture Notes in Computer Science.Berlin:Springer-Verlag,2007:200-215.

[10]Ren Yanli,Gu Dawu.Fully CCA2 Secure Identity-based Broadcast Encryption without Random Oracles[J].Information Processing Letters,2009,109(11):527-533.

(編輯:郭 華)

Identity-based privacy-preserving multi-receiver key encapsulation

FU Xiaotong,XUE Peng
(State Key Lab.of Integrated Service Networks,Xidian Univ.,Xi’an 710071,China)

Anonymity can protect the privacy of the user.Based on the bilinear pairing,an efficient identity-based privacy-preserving multi-receiver key encapsulation mechanism is presented to protect the identities of the users who are able to access protected contents.This proposed scheme uses the one-way anonymous key agreement protocol and Hash function to generate the temporary key.In the random oracle model,we formally prove that the proposed scheme is confidential and anonymous under selective ID and chosen ciphertext attack.Besides,it has a higher efficiency and a shorter ciphertext.

key encapsulation;hybrid encryption;privacy protection;random oracle

TN918.1

A

1001-2400(2014)05-0007-06

2013-08-27< class="emphasis_bold">網(wǎng)絡(luò)出版時(shí)間:

時(shí)間:2014-01-12

國(guó)家自然科學(xué)基金資助項(xiàng)目(61100235)

傅曉彤(1977-),女,副教授,E-mail:xtfu@mail.xidian.edu.cn.

http://www.cnki.net/kcms/doi/10.3969/j.issn.1001-2400.2014.05.002.html

10.3969/j.issn.1001-2400.2014.05.002