◆呂立群 楊曉元

（武警工程大學(xué)電子技術(shù)系 陜西 710086）

一種適用于多用戶子集的廣播加密方案

◆呂立群 楊曉元

（武警工程大學(xué)電子技術(shù)系 陜西 710086）

針對目前網(wǎng)絡(luò)環(huán)境下用戶子集數(shù)目劇增的問題，利用廣播加密及群加密技術(shù)構(gòu)造了一種面向多用戶子集的廣播加密方案。在多用戶子集的環(huán)境下，新方案在標(biāo)準(zhǔn)模型下達(dá)到了選擇明文安全性并具有良好的通信與計算開銷，密文長度僅為常數(shù)，加密時僅需做常數(shù)次指數(shù)運(yùn)算。新方案靈活安全高效，可廣泛應(yīng)用于云服務(wù)、付費(fèi)電視等諸多領(lǐng)域。

廣播加密；多用戶子集；雙線性映射

0 引言

廣播加密是一種在不安全信道實(shí)現(xiàn)一對多保密通信的加密體制[1]。在一般的廣播加密系統(tǒng)中，廣播者對其系統(tǒng)內(nèi)的用戶廣播加密后的信息，任何用戶監(jiān)聽該廣播均能獲得加密后的信息，只有在授權(quán)用戶集合S中的用戶才能利用其私鑰解密廣播密文，恢復(fù)出相應(yīng)的明文信息。若所有的非授權(quán)用戶合謀也無法解密廣播信息，則該廣播加密系統(tǒng)具有完全抗合謀特性。目前，廣播加密作為一種常用的加密手段已廣泛應(yīng)用于付費(fèi)電視、數(shù)字版權(quán)管理、衛(wèi)星通信、電視電話會議以及無線傳感網(wǎng)絡(luò)中[2]。

如圖1所示，在當(dāng)前云環(huán)境中，云服務(wù)提供商可根據(jù)用戶訂購業(yè)務(wù)或繳納費(fèi)用的不同，將云用戶劃分為不同的授權(quán)用戶集合，不同的用戶集合獲取的云服務(wù)信息也不盡相同。目前云服務(wù)的多樣化，云用戶的多元化，用戶選擇的訂購業(yè)務(wù)也越來越復(fù)雜多樣，因此所構(gòu)成的云用戶集合數(shù)目也越來越多，云服務(wù)提供商作為廣播者所要廣播的信息也越來越多，廣播中心的負(fù)擔(dān)也越來越重，性能瓶頸問題也隨之出現(xiàn)，限制了廣播系統(tǒng)的應(yīng)用。因此，傳統(tǒng)的簡單一對多的廣播加密已不能滿足上述應(yīng)用環(huán)境，設(shè)計針對多用戶子集環(huán)境下的廣播加密具有十分重要的意義。

圖1 云端向用戶集合提供服務(wù)

Fiat與Naor在1994年首先提出了廣播加密的概念，隨后一系列的廣播加密方案相繼被提出，但是這些方案的密文長度均與用戶的數(shù)目成線性關(guān)系。后期 Boneh等人利用雙線性對構(gòu)造的BGW 方案，但這些方案的公鑰長度與用戶的數(shù)目成線性關(guān)系。為降低公鑰開銷，Boneh等人利用多線性映射構(gòu)造了低開銷的廣播加密方案，在保證其密文與用戶私鑰長度均為常數(shù)的前提下，公鑰長度僅為 O(log(N))。在方案的靈活性上，Ohtake等人提出了BEPM方案實(shí)現(xiàn)了廣播者與用戶間一對一的私密通信[8]，但是這些方案在多用戶子集環(huán)境下會造成較大的密文與計算開銷，因此設(shè)計低開銷的適用于多用戶子集環(huán)境下的廣播加密值得進(jìn)一步的研究。

本文綜合了廣播加密與群加密的思想，構(gòu)造了一種低開銷的適用于多用戶子集環(huán)境下的廣播加密方案，并證明了方案在標(biāo)準(zhǔn)模型下的選擇明文安全性。新方案的用戶私鑰與廣播密文均由3個群元素組成，達(dá)到了較低的存儲與通信開銷。

1 多線性判定Diffie-Hellman假設(shè)

定義2 MDDH假設(shè)指出，不存在多項式時間算法A，其具有不可忽略的優(yōu)勢 AdvMDDH(λ)≥ε可以解決MDDH問題。

2 廣播加密的定義

結(jié)合廣播加密方案的形式化定義和群加密的一般構(gòu)造，下面給出面向多用戶子集的廣播加密的形式化定義及安全模型。

一個面向多用戶子集的廣播加密系統(tǒng)可以由如下四個算法描述：

Setup:系統(tǒng)建立算法Setup以安全參數(shù) 為輸入，輸出系統(tǒng)公鑰PK、系統(tǒng)主私鑰MSK以及其他系統(tǒng)公共參數(shù)，公開系統(tǒng)公共參數(shù)和系統(tǒng)公鑰，保留其系統(tǒng)主私鑰。

KeyGen:私鑰生成算法KeyGen以系統(tǒng)公鑰PK,主私鑰MSK和用戶pij所在的廣播用戶群 i作為輸入，輸出其對應(yīng)的私鑰

Enc(PK, S):廣播加密算法Enc以系統(tǒng)公鑰PK和廣播用戶群組的集合S作為輸入，計算出其中K用來對共同的廣播信息進(jìn)行加密，Ki用來對各個不同群組的信息進(jìn)行加密，最終廣播:廣播解密算法Dec以系統(tǒng)公鑰PK、用戶所在的廣播群組i、用戶私鑰SKij、廣播數(shù)據(jù)頭Hdr以及廣播群組集合 S作為輸入,若i∈S則算法輸出(K, Ki),隨后分別利用K與Ki對相應(yīng)的密文進(jìn)行解密，恢復(fù)出明文。

基于身份的BEPM方案需滿足解密一致性。即對任意

3 算法構(gòu)造

新算法構(gòu)造如下：

密鑰生成 Keygen(msk,PK)：對于每個群組 i,( i ∈ [1,n ]),隨機(jī)選擇 si∈ ?p,i ∈ [1,n]，計算其群組的公鑰為 PK=wsi。對于群組

i i里的每個用戶pj計算其私鑰如下：

最終用戶pj的私鑰為

加密Enc(PK,S):算法隨機(jī)選擇 t∈?p，計算其對稱加密密鑰為 K = e( f (1),… ,f( n))α。

而后計算對每個群組 i的對稱加密密鑰為K =e( h, P K )t=e( g, h )γtsi,i∈ S 。而后，計算：

i i

而后分別利用 K, Ki對發(fā)送的信息進(jìn)行加密，得到相應(yīng)的密文與Hdr一同發(fā)送給用戶。

解密 Dec(S,i,j,SKij,Hdr,PK):令 Hdr =(C0, C1,C2),若 i∈ S,則計算共同的對稱加密密鑰為：

計算每個群組i的對稱加密密鑰：

4 效率分析

下面從通信、存儲及計算開銷對方案進(jìn)行性能分析。其中，n表示廣播加密方案中用戶的個數(shù)，p和e分別表示加解密時的雙線性對運(yùn)算和指數(shù)運(yùn)算，由于乘法運(yùn)算的開銷遠(yuǎn)遠(yuǎn)小于雙線性對運(yùn)算和指數(shù)運(yùn)算的開銷，因此在考慮計算開銷時忽略乘法運(yùn)算，僅考慮指數(shù)運(yùn)算與雙線性對運(yùn)算。此外，由于所構(gòu)造的方案是面向多用戶子集的，因此用m表示方案中用戶集合的個數(shù)。具體如表1所示。

通過表1可以看出，同傳統(tǒng)的廣播加密方案相比，新方案在少量增加用戶密鑰長度的基礎(chǔ)上，密文長度以及加密的運(yùn)算量上有著明顯的優(yōu)勢，計算開銷上，加密的運(yùn)算量僅需3次指數(shù)運(yùn)算。此外，新方案還具有很好的靈活性，在所有的用戶均在一個群組即m=1時，新方案就轉(zhuǎn)化為一個指定用戶集合的廣播加密方案，并且系統(tǒng)的公鑰長度、密文長度、用戶私鑰長度均達(dá)到常數(shù)級別。綜上，新方案在通信與計算開銷方面較優(yōu)，并且具有很好的靈活性。

表1 與已有的方案性能比較

5 結(jié)束語

本文在廣播加密方案的基礎(chǔ)上，通過引入群加密的概念，從而提出了一種面向多用戶子集的廣播加密方案。新方案很好地解決了多用戶子集環(huán)境下傳統(tǒng)廣播加密通信開銷大的問題，密文長度僅為常數(shù)，加密時僅做常數(shù)次運(yùn)算。同時，新方案還具有很好的靈活性，可轉(zhuǎn)化為傳統(tǒng)的固定密文長度的廣播加密或指定用戶子集的廣播加密。分析表明：新方案安全靈活高效，可廣泛應(yīng)用于當(dāng)前復(fù)雜的網(wǎng)絡(luò)通信環(huán)境中。

[1]Fiat A, Naor M. Broadcast encryption[C]//Annual International Cryptology Conference. Springer Berlin Heidelberg，1993.

[2]Zou X, Xiang J. Dynamic broadcast encryption scheme with revoking user[J]. Wuhan University Journal of Natural Sciences，2013.

[3]Ohtake G, Hanaoka G, Ogawa K. Efficient broadcast encryption with personalized messages[C]//International Conference on Provable Security. Springer Berlin Heidelberg，2010.