王占君　馬海英　王金華　李燕

摘 要：針對(duì)可撤銷成員的身份基加密（RIBE）方案中密鑰更新效率較低，且解密的工作量較大，難以應(yīng)用于輕量級(jí)設(shè)備的問(wèn)題，提出了一個(gè)可外包解密和成員撤銷的身份基加密方案（RIBE-OD）。首先，生成一個(gè)完全二叉樹(shù)，為這棵樹(shù)的每個(gè)節(jié)點(diǎn)指定一個(gè)一次多項(xiàng)式。然后，將基于指數(shù)逆模式構(gòu)造的身份基加密（IBE）方案和完全子樹(shù)方法相結(jié)合，利用該一次多項(xiàng)式計(jì)算所有用戶的私鑰和未撤銷用戶的更新密鑰，撤銷用戶因不能獲得與之匹配的更新密鑰而失去解密能力。其次，利用外包解密技術(shù)修改密鑰生成算法，增加密文轉(zhuǎn)換算法，從而將大部分解密運(yùn)算量安全外包給云服務(wù)器，輕量級(jí)設(shè)備僅需少量運(yùn)算即可解密密文。最后，基于判定雙線性Diffie-Hellman逆轉(zhuǎn)（DBDHI）假設(shè)，證明了所提方案的安全性。與BGK方案相比，該方案的密鑰更新效率提高了85.7%，輕量級(jí)設(shè)備的解密過(guò)程減少到一個(gè)橢圓曲線指數(shù)運(yùn)算，非常適合于輕量級(jí)設(shè)備解密密文。

關(guān)鍵詞：身份基加密;成員撤銷;完全子樹(shù)方法;外包解密技術(shù);輕量級(jí)設(shè)備

中圖分類號(hào)： TP309.7文獻(xiàn)標(biāo)志碼：A

Revocable identity-based encryption scheme with outsourcing decryption and

member revocation

WANG Zhanjun1， MA Haiying2*， WANG Jinhua1， LI Yan2

（1. School of Sciences， Nantong University， Nantong Jiangsu 226019， China;

2. School of Information Science and Technology， Nantong University， Nantong Jiangsu 226019， China）

Abstract： For the drawbacks of low key updating efficiency and high decryption cost of the Revocable Identity-Based Encryption （RIBE）， which make it unsuitable for lightweight devices， an RIBE with Outsourcing Decryption and member revocation （RIBE-OD） was proposed. Firstly， a full binary tree was created and a random one-degree polynomial was picked for each node of this tree. Then， the one-degree polynomial was used to create the private keys of all the users and the update keys of the unrevoked users by combining the IBE scheme based on exponential inverse model and the full subtree method， and the revoked users decryption abilities were deprived due to not obtaining their update keys. Next， the majority of decryption calculation was securely outsourced to cloud servers after modifying the private key generation algorithm by the outsourcing decryption technique and adding the ciphertext transformation algorithm. The lightweight devices were able to decrypt the ciphertexts by only performing a little simple computation. Finally， the proposed scheme was proved to be secure based on the Decisional Bilinear Diffie-Hellman Inversion （DBDHI） assumption. Compared with Boldyreva-Goyal-Kumar （BGK） scheme， the proposed scheme not only improves the efficiency of key updating by 85.7%， but also reduces the decryption cost of lightweight devices to an exponential operation of elliptic curve， so it is suitable for lightweight devices to decrypt ciphertexts.

Key words： Identity-Based Encryption （IBE）; member revocation; full subtree method; outsourcing decryption technology; lightweight device

0 引言

1984年，文獻(xiàn)[1]首次提出了身份基加密機(jī)制（Identity-Based Encryption， IBE）的概念。在IBE中，用戶可以使用一個(gè)唯一的字符串（例如家庭住址、身份證號(hào)、E-mail地址等）表示自己的身份信息，密鑰生成中心（Key Generation Center， KGC）利用該身份信息和系統(tǒng)主密鑰為其生成用戶私鑰，加密者利用接收者身份信息和系統(tǒng)公鑰加密消息。IBE刪除了傳統(tǒng)公鑰加密機(jī)制中證書(shū)驗(yàn)證過(guò)程，提高了加密效率。2001年，文獻(xiàn)[2]利用橢圓曲線上的雙線性映射提出了第一個(gè)實(shí)用且可行的IBE方案，并在隨機(jī)預(yù)言模型下證明了此方案的安全性。隨后，學(xué)者們提出了許多實(shí)用的IBE方案[2-4]。依據(jù)密文和私鑰的構(gòu)造模式不同，身份基加密可分為交換隱藏、全域哈希和指數(shù)逆三種類型[3]。其中，基于指數(shù)逆模式構(gòu)造的IBE方案效率較高，因此，本文采用文獻(xiàn)[5]提出的基于指數(shù)逆模式構(gòu)造的IBE方案來(lái)構(gòu)造本文的方案。然而，在實(shí)際應(yīng)用中用戶私鑰可能會(huì)泄漏、丟失或者到期，因此，IBE需要提供一種有效的成員撤銷機(jī)制。

針對(duì)IBE的成員撤銷問(wèn)題，現(xiàn)有的解決方案利用完全子樹(shù)和子集差分方法可以實(shí)現(xiàn)成員撤銷[6]。由于利用完全子樹(shù)撤銷方法，用戶僅需存儲(chǔ)較短的私鑰，文獻(xiàn)[7]基于該方法提出了成員撤銷的IBE方案。該IBE方案利用用戶身份和時(shí)間進(jìn)行加密，KGC根據(jù)最新成員撤銷列表，周期性地發(fā)布未撤銷用戶的更新密鑰，使得未撤銷用戶利用相應(yīng)的更新鑰可以重構(gòu)自己的解密密鑰。由于更新密鑰的工作量過(guò)大，導(dǎo)致KGC可能構(gòu)成系統(tǒng)的瓶頸，該文獻(xiàn)[7]方案僅滿足選擇身份模型下的安全性。為了提高系統(tǒng)的安全性，文獻(xiàn)[8-12]方案提出適應(yīng)性安全的可撤銷IBE方案。文獻(xiàn)[13-14]提出了可撤銷身份基加密的通用性構(gòu)架。文獻(xiàn)[15]提出了可撤銷成員的屬性基在線離線加密方案， 為了抵制密鑰泄漏攻擊，文獻(xiàn)[16]方案提出了抗連續(xù)輔助輸入泄漏的屬性基加密方案。然而，現(xiàn)有可撤銷身份基加密方案中密鑰更新效率較低，且成員撤銷的引入極大增加了解密的工作量，解密過(guò)程需要執(zhí)行一些橢圓曲線上的雙線性對(duì)和冪乘復(fù)雜運(yùn)算，使得輕量級(jí)設(shè)備難以勝任解密工作。

為了提高解密效率，文獻(xiàn)[17]首次提出了可外包解密的屬性基加密方案，將解密運(yùn)算中雙線性對(duì)和冪乘復(fù)雜計(jì)算的大部分工作量外包給半可信的第三方服務(wù)器，輕量級(jí)設(shè)備僅需執(zhí)行少量解密運(yùn)算即可恢復(fù)明文。文獻(xiàn)[18]提出了可外包解密的屬性基在線/離線加密方案。外包解密技術(shù)可以借助半可信第三方高性能計(jì)算設(shè)備對(duì)大部分解密工作進(jìn)行預(yù)處理，極大地減少了輕量級(jí)終端設(shè)備的解密開(kāi)銷。學(xué)者們提出了許多可外包解密的IBE方案。然而，現(xiàn)有的可外包解密IBE方案都不能實(shí)現(xiàn)成員撤銷，很難滿足實(shí)際應(yīng)用中成員撤銷的需求。

本文提出了一種高效可外包解密和成員撤銷的身份基加密（Revocable Identity-Based Encryption scheme with Outsourcing Decryption， RIBE-OD）方案。該方案將文獻(xiàn)[5]的IBE方案和完全子樹(shù)方法相結(jié)合，實(shí)現(xiàn)用戶撤銷。首先，生成一個(gè)完全二叉樹(shù)，該二叉樹(shù)上每個(gè)節(jié)點(diǎn)都被指定一個(gè)一次多項(xiàng)式f（x）=ax+1，利用這個(gè)一次多項(xiàng)式將常數(shù)1分解成兩個(gè)份額f（id）和f（T），其中，id是用戶的身份，T表示時(shí)間且其值大于1，份額f（id）用于生成用戶私鑰，份額f（T）用于生成用戶的更新密鑰。密鑰生成中心利用完全子樹(shù)方法周期性地為未撤銷用戶生成一個(gè)覆蓋集合，覆蓋集合中的每個(gè)用戶都可以獲得一個(gè)更新密鑰，未撤銷用戶能夠利用其私鑰和更新密鑰計(jì)算出一個(gè)有效的解密密鑰，然而，撤銷用戶因不能獲得更新密鑰而喪失解密能力。由于所有撤銷用戶都擁有不相同的份額f（id），即使他們聯(lián)合起來(lái)也不能重構(gòu)解密密鑰，從而該方案可以抵抗聯(lián)合攻擊。在此基礎(chǔ)上，利用外包解密技術(shù)修改密鑰生成算法，輸出一個(gè)身份私鑰和一個(gè)轉(zhuǎn)換密鑰。增加密文轉(zhuǎn)換算法，半可信第三方云服務(wù)器利用轉(zhuǎn)換密鑰對(duì)大部分解密運(yùn)算量進(jìn)行處理。輕量級(jí)設(shè)備僅需執(zhí)行一個(gè)簡(jiǎn)單的指數(shù)運(yùn)算即可解密密文，極大地提高了輕量級(jí)設(shè)備的解密效率。基于判定雙線性Diffie-Hellman逆轉(zhuǎn)（Decisional Bilinear Diffie-Hellman Inversion， DBDHI）假設(shè)，證明了所提方案的安全性。與相關(guān)知名方案比較，本文方案不僅提高了密鑰更新的效率，而且極大減少了輕量級(jí)設(shè)備的解密開(kāi)銷。

本文方案特別適用于移動(dòng)云計(jì)算環(huán)境中，輕量級(jí)設(shè)備獲取機(jī)密信息，同時(shí)減少了密鑰生成中心密鑰更新的工作量。當(dāng)成員私鑰丟失、到期或被他人盜取時(shí)，本文方案能夠有效撤銷這些成員，未撤銷成員能夠解密指定的密文。由于現(xiàn)有可撤銷身份基加密方案的解密算法需要執(zhí)行許多復(fù)雜的雙線性對(duì)運(yùn)算，而輕量級(jí)設(shè)備是由電池供電，因此，這些可撤銷的身份加密方案不適合輕量級(jí)設(shè)備解密密文。本文方案通過(guò)增加一個(gè)密文轉(zhuǎn)化算法，在保證不泄露用戶機(jī)密信息的前提下，將大部分的解密運(yùn)算量外包給云服務(wù)器，輕量級(jí)移動(dòng)設(shè)備僅需執(zhí)行少量運(yùn)算即可解密密文。

1 預(yù)備知識(shí)

雙線性群 假定G與GT為素?cái)?shù)p階的循環(huán)群，g為G的生成元，e： G × G → GT是一個(gè)映射，滿足以下三個(gè)條件，那么將（G，GT）稱為雙線性群。

1）雙線性性：對(duì)u，v∈G，σ，β∈Zp，有e（uσ，vβ）=e（u，v）σβ。

2）非退化性：e（g，g） ≠ 1。

3）可計(jì)算性：群G和GT中的乘法以及映射e都是在多項(xiàng)式時(shí)間內(nèi)可計(jì)算的。

2（l+1）-DBDHI假設(shè) 設(shè)g為G的生成元，α∈Zp，給定（2l+4）元組（g，gα，gα2，gα3，…，gα2（l+1），Z），如果任意多項(xiàng)式時(shí)間敵手A確定Z=e（g，g）1/α或Z為GT的隨機(jī)元素的優(yōu)勢(shì)都是可以忽略的，則稱2（l+1）-DBDHI假設(shè)成立。

2 RIBE-OD的定義和安全性模型

一個(gè)可外包解密和成員撤銷的身份基加密（RIBE-OD）方案由初始化（Setup）、加密 （Enc）、私鑰產(chǎn)生（Genkey）、密鑰更新 （Updatekey）、解密密鑰生成（Derivekey）、密文轉(zhuǎn)換（Trans）、解密（Dec）、成員撤銷（Revoke）算法構(gòu)成。

Setup（1λ，Nmax） → （PK，MSK，LR，ST）： KGC運(yùn)行該初始化算法，輸入安全參數(shù)1λ與用戶最大個(gè)數(shù)Nmax，輸出系統(tǒng)公鑰PK（Public Key），系統(tǒng)主密鑰MSK（Master Secret Key），撤銷列表LR（List of Revocation）和當(dāng)前狀態(tài)ST（STate）。

Enc（PK，id，T，M） → CTid，T： 該加密算法輸入系統(tǒng)公鑰PK、時(shí)間T、消息M與身份id，輸出密文CTid，T。

Genkey （PK，MSK，id，ST ） → （SKid，TKid，ST′）： KGC運(yùn)行私鑰產(chǎn)生算法，輸入系統(tǒng)公鑰PK、系統(tǒng)主密鑰MSK、身份id與狀態(tài)ST，輸出私鑰SKid，轉(zhuǎn)換密鑰TKid和更新后的狀態(tài)ST′。

Updatekey（T，PK，MSK，LR，ST ） → UKT，R： KGC運(yùn)行更新密鑰產(chǎn)生算法，輸入當(dāng)前時(shí)間T、系統(tǒng)公鑰PK、系統(tǒng)主密鑰MSK、撤銷列表LR與狀態(tài)ST，輸出T時(shí)刻的更新密鑰UKT，R，其中R是T時(shí)刻的撤銷用戶身份集合。

Derivekey（UKT，R，SKid，PK）→（DKid，T，TKid，T ）/⊥： 該解密密鑰生成算法輸入更新鑰UKT，R，用戶私鑰SKid與系統(tǒng)公鑰PK，輸出解密密鑰和中間密鑰對(duì)（DKid，T，TKid，T ）或失敗符號(hào)⊥。

Trans（CTid，T，PK，TKid′，T′）→CT′/⊥：該密文轉(zhuǎn)換算法輸入密文CTid，T，系統(tǒng)公鑰PK和中間密鑰TKid′，T′，當(dāng)id=id′且T= T′時(shí)，輸出中間密文CT′;否則輸出失敗符號(hào)⊥。

Dec（CTid，T，PK，DKid′，T′）→M/⊥： 該解密算法輸入密文CTid，T，系統(tǒng)公鑰PK與解密密鑰DKid′，T′，當(dāng)id=id′且T=T′時(shí)，輸出消息M;否則輸出失敗符號(hào)⊥。

Revoke（id，T，LR，ST）→LR′： KGC運(yùn)行成員撤銷算法，輸入身份id、時(shí)間T、撤銷列表LR與狀態(tài)ST，輸出更新之后的成員撤銷列表LR′。

RIBE-OD的安全性由敵手A與挑戰(zhàn)者C的攻防游戲定義：

開(kāi)始 敵手A提交挑戰(zhàn)身份id*、挑戰(zhàn)時(shí)間T*和T*時(shí)的撤銷列表LR*給挑戰(zhàn)者C。

初始化 挑戰(zhàn)者C運(yùn)行Setup算法，生成系統(tǒng)公鑰PK、系統(tǒng)主密鑰MSK、撤銷列表LR與狀態(tài)ST，并且把系統(tǒng)公鑰PK發(fā)送給敵手A。

階段一 敵手A可以適應(yīng)性地詢問(wèn)下面三個(gè)預(yù)言機(jī)：

1）私鑰生成預(yù)言機(jī)OSK（·）：敵手A將身份id提交給挑戰(zhàn)者C，C運(yùn)行Genkey（PK，MSK，id，ST ）算法，發(fā)送SKid給敵手A，當(dāng)敵手A提交身份id*給C時(shí)，若id*∈R*時(shí)則發(fā)送SKid*;若id*R *時(shí)發(fā)送TKid*。

2）更新密鑰生成預(yù)言機(jī)OUK（·）：敵手A提交時(shí)間T給C，C運(yùn)行Updatekey（T，PK，MSK，LR，ST ）算法生成UKT，R，并將其發(fā)送給敵手A。

3）撤銷成員預(yù)言機(jī)ORev（·，·）：敵手A將身份id與時(shí)間T提交給C，C使用Revoke（id，T，LR，ST ）算法，并且發(fā)送新的撤銷列表LR′給敵手A。假若敵手A詢問(wèn)過(guò)SKid*，則C必須在T*時(shí)刻之前撤銷身份id*的私鑰。

挑戰(zhàn) 敵手A將兩個(gè)長(zhǎng)度相等的消息M0，M1發(fā)送給C，C隨機(jī)選擇μ∈{0，1}，運(yùn)行Enc（PK，id*，T*，Mμ）并且把CT*id*，T*發(fā)送給敵手A。

階段二 與階段一相同。

猜測(cè) 敵手A輸出μ的猜測(cè)值μ′，若μ=μ′，則表示敵手A贏得此次安全性游戲。

敵手的優(yōu)勢(shì)AdvA=Pr[μ=μ′]-1/2。假若任意多項(xiàng)式時(shí)間里敵手A贏得了上述安全性游戲的優(yōu)勢(shì)都是可忽略的，則稱該RIBE-OD方案在選擇撤銷身份列表模型下是安全的。

3 RIBE-OD方案的詳細(xì)設(shè)計(jì)

本文方案利用完全子樹(shù)方法撤銷用戶。首先生成一棵完全二叉樹(shù)，每個(gè)節(jié)點(diǎn)指定一個(gè)一次多項(xiàng)式f（x），使得f（0）=1。每個(gè)用戶被指定到一個(gè)葉子節(jié)點(diǎn)，獲得從其葉子節(jié)點(diǎn)到根節(jié)點(diǎn)路徑上每個(gè)節(jié)點(diǎn)處的身份私鑰。利用X=e（g，g）s加密消息。給定T時(shí)刻的撤銷用戶集合R，密鑰生成中心計(jì)算出非撤銷用戶的覆蓋集合，為覆蓋集合中的每個(gè)節(jié)點(diǎn)生成更新密鑰，使得未撤銷用戶利用更新密鑰可以計(jì)算X f（T），利用身份私鑰計(jì)算X f（id），由于f（x）為一次函數(shù)，利用X f（T）和X f（id）可以算出X f（0），可以成功解密密文。特別地，撤銷用戶僅能計(jì)算X f（id），由于其他撤銷用戶私鑰中的身份與密文中的身份不相同，即使任意多個(gè)撤銷用戶聯(lián)合起來(lái)也得不到f（x）上的其他點(diǎn)，不能重構(gòu)函數(shù)f（x），所以無(wú)法獲知f（0）的值，導(dǎo)致撤銷用戶解密失敗。所以，本方案成功地阻止了撤銷用戶的解密，滿足了抗聯(lián)合攻擊性。具體方案設(shè)計(jì)如下：

1）Setup（1λ，Nmax）。該初始化算法輸入安全參數(shù)1λ和用戶最大個(gè)數(shù)Nmax，給定一個(gè)素?cái)?shù)p階的雙線性群e： G×G→GT，且G的生成元是g。隨機(jī)選取x1，x2 ∈Zp*，計(jì)算X1 =gx1，X2=gx2。建立兩個(gè)列表：一個(gè)用于存放（id，u）的用戶列表LU（List of Users），另一個(gè)用于存放（u， fu（x））的函數(shù)列表LF（List of Functions）。選擇Hash函數(shù)H： {0，1}*→ Zp，然后，生成一棵完全二叉樹(shù)BT（Binary Tree），使其至少有Nmax個(gè)葉子節(jié)點(diǎn)。對(duì)該樹(shù)的任意節(jié)點(diǎn)u，隨機(jī)選擇一個(gè)一次函數(shù)fu（x），使得fu（0）=1，并存放（u， fu（x））到LF。最后，輸出系統(tǒng)主密鑰MK=（x1，x2，LF）、撤銷用戶列表LR、狀態(tài)ST=（BT，LU）、系統(tǒng)公鑰PK=（g，X1，X2，e（g，g），H）。

2）Enc（PK，id，T，M）。該加密算法輸入系統(tǒng)公鑰PK、身份id、時(shí)間T與消息M，計(jì)算：

C=Me（g，g）s

C1 = （X1gH（id））s

C2=（X2gT）s（1）

輸出密文：

CTid，T=（C，C1，C2）（2）

3）Genkey（PK，MSK，id，ST ）。該密鑰生成算法輸入系統(tǒng)公鑰PK、系統(tǒng)主密鑰MSK、身份id與狀態(tài)ST=（BT，LU）。首先，選擇一個(gè)未使用的葉子節(jié)點(diǎn)u，并且保存這個(gè)元組（id，u）到LU中。然后，隨機(jī)選擇一個(gè)δ∈ Zp*，對(duì)于任意節(jié)點(diǎn)v ∈ Path（u），檢索LF={（u， fu（x））|u ∈ BT}，計(jì)算：

Dv=gfv（H（id））/δ（x1+H（id））（3）

最后，輸出更新的狀態(tài)ST與用戶私鑰SKid={Path（u），{δ，Dv}v ∈ Path（u）}，用戶轉(zhuǎn)換鑰TKid={Path（u），{Dv}v∈ Path（u）}。

4）Updatekey（T，PK，MSK，LR，ST ）。該更新密鑰產(chǎn)生算法輸入當(dāng)前時(shí)間T、系統(tǒng)公鑰PK、系統(tǒng)主密鑰MSK、撤銷列表LR與狀態(tài)ST。首先，利用LR定義T時(shí)間的撤銷用戶集合R，即如果存在（id′，T′）∈LR且T ′≤ T，則id′∈R，根據(jù)用戶撤銷列表LR 給出撤銷集合索引RI（Revocation Index），得到撤銷用戶的覆蓋集合CVRI。隨后，對(duì)任意v∈CVRI，計(jì)算：

Ev=gfv（T）/（x2+T）（4）

最后，輸出更新的狀態(tài)和更新鑰UKT，R={CVRI，{Ev}v∈CVRI }。

5）Derivekey（UKT，R，SKid，PK）。該解密密鑰生成算法輸入更新密鑰UKT，R = {CVRI，{Ev}v∈CVRI }，用戶私鑰SKid={Path（u），{δ，Dv}v ∈ Path（u）和系統(tǒng)公鑰PK。如果idR， 由完全子樹(shù)方法得v ∈ Path（u） ∩ CVRI，計(jì)算解密密鑰DKid，T和中間密鑰TKid，T，其中：

DKid，T=（δ，Dv，Ev）=（δ，gfv（H（id））δ（x1+H（id）），gfv（T）x2+T）（5）

TKid，T =（Dv，Ev）=（gfv（H（id））δ（x1+H（id）），gfv（T）x2+T）（6）

否則輸出⊥。

6）Trans（CTid，T，PK，TKid′，T′）。該密文轉(zhuǎn)換算法輸入密文CTid，T、系統(tǒng)公鑰PK和中間密鑰TKid′，T′，當(dāng)id=id′且T=T′時(shí)，計(jì)算：

C1′ =e（C1，Dv）TT-H（id）=e（g，g）sfv（H（id））Tδ（T-H（id））（7）

C2′=e（C2，Ev）H（id）H（id）-T=e（g，g）sfv（T）H（id）H（id）-T（8）

輸出中間密文CT′=（C，C1′，C2′） ;否則輸出失敗符號(hào)⊥。

7）Dec（CTID，T，DKID（，T（，PK）。該解密算法輸入密文CTID，T、解密鑰DKID′，T′與系統(tǒng)公鑰PK，當(dāng)密文CTID，T未被轉(zhuǎn)換為中間密文CT′=（C，C1′，C2′）時(shí)，首先運(yùn)行密文轉(zhuǎn)換算法得到CT′=（C，C1′，C2′）;否則，計(jì)算：

M=C/（C1′δC2′）（9）

8）Revoke（id，T，LR，ST）。撤銷算法輸入身份id、時(shí)間T、撤銷列表LR和狀態(tài)ST =（BT，LU），如果（id，*）LU，則輸出失敗符號(hào)⊥;否則，將（id，T）加入到LR，最后輸出更新后的撤銷列表LR′。

4 RIBE-OD方案的安全性證明

定理1 假設(shè)2（l+1）-DBDHI成立，則本文的RIBE-OD方案在選擇撤銷身份列表模型下是安全的。

證明 若存在一個(gè)敵手A可以破解RIBE-OD方案，則可以構(gòu)造一個(gè)算法D來(lái)攻破2（l+1）-DBDHI假設(shè)。

開(kāi)始 敵手A提交挑戰(zhàn)身份id*、挑戰(zhàn)時(shí)間T*與T*時(shí)刻的挑戰(zhàn)撤銷列表LR*。

初始化 D得到（g，gα，gα2，…，gα2（l+1），Z），其中Z=e（g，g）1/α或Z∈GT。D生成一棵完全二叉樹(shù)、函數(shù)列表LF與用戶列表LU。將id*指定一個(gè)隨機(jī)葉子節(jié)點(diǎn)u*，并保存（id*，u*）到LU。設(shè)T*時(shí)刻撤銷列表為L(zhǎng)R*，如果id*∈R*，則定義FixedSubset（id*）={Path（u*）};否則定義FixedSubset（id*）=。令函數(shù)列表LF如下所示：

1）當(dāng)z∈FixedSubset（id*）時(shí)，隨機(jī)選擇y∈Zp，隱式地將（x=H （id*），αy）保存在函數(shù)列表LF中;

2）當(dāng)zFixedSubset（id*）時(shí)，隨機(jī)選取y∈Zp，隱式地將（x=T*，αy）保存在函數(shù)列表LF中，特別地，一次函數(shù)fu（x）是由（0，1）與（x，αy）兩個(gè)點(diǎn)所確定。

D設(shè)置一個(gè)撤銷列表LR與狀態(tài)ST =（BT，LU），隨機(jī)選取π1，π2∈{1，2，…，l}，Iπ1，w1，…，wπ1-1，wπ1+1，wl∈Zp ，當(dāng)i≠π1時(shí)，則定義Ii = Iπ1-wi，系統(tǒng)的運(yùn)行時(shí)間T1，…，Tπ2-1，Tπ2 =T*，…，Tl，計(jì)算2（l-1）次多項(xiàng)式：

f（z）=∏li=1，i≠π1（z+wi）∏li=1，i≠π2（z+T-Ti）=∑2l-2i=0cizi（10）

構(gòu)建生成元：

P=∏2l-2i=0gciαi=gf（α）（11）

若i∈{1，2，…，l}＼{π1}，D計(jì)算：

f1，i（z）=f（z）z+wi=∑2l-3j=0d1，i，j zj（12）

P1α+wi=gf（α）α+wi=H1，i=∏2l-3j=0gd1，i， j α j（13）

Pαα+wi=gαf（α）α+wi=Hα1，i=∏2l-3j=0gd1，i， j α j（14）

若i∈{1，2，…，l}＼{π 2}，D計(jì)算：

f2，i（z）=f（z）z+Ti=∑2l-3j=0d2，i，jzj（15）

P1α+T-Ti=gf（α）α+T-Ti=H2，i=∏2l-3j=0gd2，i， j α j（16）

Pαα+T-Ti=gαf（α）α+T-Ti=Hα2，i=∏2l-3j=0gd2，i， j α j+1（17）

D設(shè)定Pub1 =P-α -Iπ1 ，Pub2=P-α -T*，其中：

WMW（Wang-Ma-Wang）方案[19]提出了一種可外包解密身份基在線離線加密方案，該方案主要運(yùn)用在輕量級(jí)設(shè)備上，不能實(shí)現(xiàn)撤銷用戶，而本文所提的方案有效地解決了撤銷用戶問(wèn)題。WMW方案在進(jìn)行解密計(jì)算中所耗費(fèi)的計(jì)算代價(jià)與本文所提的方案都是執(zhí)行了一個(gè)橢圓曲線上的冪乘運(yùn)算，這些都是相對(duì)簡(jiǎn)單的計(jì)算過(guò)程，因此解決了在傳統(tǒng)基于身份加密方案中撤銷用戶計(jì)算負(fù)擔(dān)過(guò)大的問(wèn)題。

綜上所述，與兩個(gè)相關(guān)方案相比，本文方案不僅提高了成員撤銷過(guò)程中密鑰更新的效率，而且減輕了輕量級(jí)設(shè)備的解密負(fù)擔(dān)，更能滿足IBE在實(shí)際應(yīng)用中的隱私保護(hù)需求。表格（有表名）表1 本文方案與相關(guān)方案的功能和性能比較

Tab. 1 Comparison of function and performance of proposed

scheme and other related schemes

方案解密代價(jià)密鑰更新代價(jià)能否撤銷BGK方案2E+4P7r log（Nmax/r）E√SE方案3P3r log（Nmax/r）E√WMW方案1E—×本文方案1Er log（Nmax/r）E√

6 結(jié)語(yǔ)

本文提出了一個(gè)可外包解密和成員撤銷的身份基加密方案，首先將文獻(xiàn)[5]的身份基加密方案和完全子樹(shù)方法相結(jié)合，為未撤銷用戶生成更新密鑰，撤銷用戶因不能獲得與之匹配的更新密鑰而失去解密能力，從而實(shí)現(xiàn)用戶撤銷。在此基礎(chǔ)上，利用外包解密技術(shù)修改密鑰生成算法，增加密文轉(zhuǎn)換算法，從而將大部分解密運(yùn)算量安全外包給云服務(wù)器，輕量級(jí)設(shè)備僅需少量運(yùn)算即可解密密文，極大地提高了輕量級(jí)設(shè)備的解密效率，且云服務(wù)器得不到關(guān)于明文的任何信息?；贒BDHI假設(shè)，證明了所提方案的安全性。與相關(guān)知名方案比較，比較結(jié)果表明，本文方案不僅提高了成員撤銷過(guò)程中密鑰更新的效率，而且極大減少了輕量級(jí)設(shè)備的解密開(kāi)銷，適合于輕量級(jí)設(shè)備解密密文。然而，該方案的加密算法需要執(zhí)行橢圓曲線上的3個(gè)指數(shù)運(yùn)算，對(duì)輕量級(jí)設(shè)備構(gòu)成一定的計(jì)算負(fù)擔(dān)，未來(lái)將進(jìn)一步考慮如何降低加密算法的復(fù)雜度。此外，我們可以利用基于智能卡的密碼認(rèn)證方法[20]改進(jìn)用戶加入過(guò)程，增強(qiáng)系統(tǒng)的安全性。

參考文獻(xiàn) （References）

[1]SHAMIR A. Identity-based cryptosystems and signature schemes [C]// Proceedings of the 1984 Workshop on the Theory and Application of Cryptographic Techniques， LNCS 196. Berlin： Springer， 1984： 47-53.

[2]BONEH D， FRANKLIN M. Identity-based encryption from the Weil pairing [J]. SIAM Journal of Computing， 2001， 32（3）： 586-615.

[3]WARTERS B. Dual system encryption： realizing fully secure IBE and HIBE under simple assumptions [C]// Proceedings of the 2009 Annual International Cryptology Conference， LNCS 5677. Berlin： Springer， 2009： 619-636.

[4]BOYEN X. General Ad Hoc encryption from exponent inversion IBE [C]// Proceedings of the 2007 Annual International Conference on the Theory and Applications of Cryptographic Techniques， LNCS 4515. Berlin： Springer， 2007： 394-411.

[5]SAKAI R， KASAHARA M. ID-based cryptosystems with pairing over pairing over elliptic curve [EB/OL]. [2019-05-18]. https：//eprint.iacr.org/2003/054.pdf.

[6]NAOR D， NAOR M， LOTSPIECH J. Revocation and tracing schemes for stateless receivers [C]// Proceedings of the 2001 Annual International Cryptology Conference， LNCS 2139. Berlin： Springer， 2001： 41-62.

[7]BOLDYREVA A， GOYAL V， KUMAR V. Identity-based encryption with efficient revocation [C]// Proceedings of the 15th ACM Conference on Computer and Communications Security. New York： ACM， 2008： 417-426.

[8]LIBERT B， VERGNAUD D. Adaptive-ID secure revocable identity-based encryption [C]// Proceedings of the 2009 Cryptographers Track at the RSA Conference， LNCS 5473. Berlin： Springer， 2009： 1-15.

[9]SEO J H， EMURA K. Revocable identity-based encryption revisited： security model and construction [C]// Proceedings of the 2013 International Workshop on Public Key Cryptography， LNCS 7778. Berlin： Springer， 2013： 216-234.

[10]LEE K， LEE D H， PARK J H. Efficient revocable identity-based encryption via subset difference methods [J]. Designs， Codes and Cryptography， 2017， 85（1）： 39-76.

[11]WANG C， LI Y， XIA X， et al. An efficient and provable secure revocable identity-based encryption scheme [J]. PloS One， 2014， 9（9）： Article No. e106925.

[12]LEE K. Revocable hierarchical identity-based encryption with adaptive security [EB/OL]. [2019-05-18]. https：//eprint.iacr.org/2016/749.pdf.

[13]LEE K. A generic construction for revocable identity-based encryption with subset difference methods [EB/OL]. [2019-05-19]. https：//eprint.iacr.org/2019/798.pdf.

[14]MA X， LIN D. A generic construction of revocable identity-based encryption [EB/OL]. [2019-04-15]. https：//eprint.iacr.org/2019/299.pdf.

[15]MA H， WANG Z， WANG J. Efficient ciphertext-policy attribute-based online/offline encryption with user revocation [J]. Security and Communication Networks， 2019， 2019： Article No. 8093578.

[16]馬海英，曾國(guó)蓀，包志華，等.抗連續(xù)輔助輸入泄漏的屬性基加密方案[J].計(jì)算機(jī)研究與發(fā)展，2016，53（8）：1867-1878.（MA H Y， ZENG G S， BAO Z H， et al. Attribute-based encryption scheme resilient against continuous auxiliary-inputs leakage [J]. Journal of Computer Research and Development， 2016， 53（8）： 1867-1878.）

[17]GREEN M， HOHENBERGER S， WATERS B. Outsourcing the decryption of ABE ciphertexts [C]// Proceedings of the 20th USENIX Conference on Security. Berkeley： USENIX Association， 2011： 34-34.

[18]WANG Z， MA H， WANG J. Attribute-based online/offline encryption with outsourcing decryption [J]. Journal of Information Science and Engineering， 2016， 32（6）： 1595-1611.

[19]王占君，馬海英，王金華.移動(dòng)云計(jì)算中基于身份的輕量級(jí)加密方案[J].計(jì)算機(jī)工程與應(yīng)用，2018，54（19）：72-76.（WANG Z J， MA H Y， WANG J H. Identity-based lightweight encryption scheme in mobile cloud computing [J]. Computer Engineering and Applications， 2018， 54（19）： 72-76.）

[20]WANG D， WANG P. Two birds with one stone： two-factor authentication with security beyond conventional bound [J]. IEEE Transactions on Dependable and Secure Computing， 2018， 15（4）： 708-722.

This work is partially supported by the National Natural Science Foundation of China （61402244）， the Natural Science Independent Research and Development Project of Nantong University （13230132）， the Jiangsu Graduate Research and Innovation Program （SJCX19_0981）.

WANG Zhanjun， born in 1978， M. S.， lecturer. His research interests include public key cryptography， algebra.

MA Haiying， born in 1977， Ph. D.， associate professor. Her research interests include public key cryptography， privacy protection.

WANG Jinhua， born in 1962， Ph. D.， professor. His research interests include combinatorial mathematics， cryptography.

LI Yan， born in 1996， M. S. candidate. Her research interests include cryptography， blockchain application.

收稿日期：2019-07-15;修回日期：2019-09-08;錄用日期：2019-09-09?；痦?xiàng)目：國(guó)家自然科學(xué)基金基金項(xiàng)目（61402244）;南通大學(xué)自然科學(xué)自主研發(fā)項(xiàng)目（13230132）;江蘇省研究生科研創(chuàng)新計(jì)劃項(xiàng)目（SJCX19_0981）。

作者簡(jiǎn)介：王占君（1978—），男，河南鶴壁人，講師，碩士，主要研究方向：公鑰密碼學(xué)、代數(shù); 馬海英（1977—），女，河南新鄉(xiāng)人，副教授，博士，CCF會(huì)員，主要研究方向：公鑰密碼學(xué)、隱私保護(hù); 王金華（1962—），男，江蘇南通人，教授，博士生導(dǎo)師，博士，主要研究方向：組合數(shù)學(xué)、密碼學(xué); 李燕（1996—），女，江蘇鹽城人，碩士研究生，主要研究方向：密碼學(xué)、區(qū)塊鏈應(yīng)用。

文章編號(hào)：1001-9081（2019）12-3563-06DOI：10.11772/j.issn.1001-9081.2019071215