一种标准模型中素数阶下基于身份匿名广播加密方法

摘要

本发明公开了一种标准模型中素数阶下基于身份匿名广播加密方法，首先进行用户的私钥提取，提取私钥后再进行基于身份的匿名广播加密，然后再进行解密。当接收者收到密文进行验证时，如果密文解密后通过验证，则输出接收；否则输出拒绝，利用双系统加密技术和对偶对向量空间，基于对称性External Diffie‑Hellman假设下的一种基于身份匿名广播加密方法，在标准模型中证明所提方案是完全安全的，能够实现匿名、加密两种功能，保护用户的隐私，本发明提供电子文档的标准模型中素数阶下基于身份匿名广播加密，能够同时提供匿名、加密两种功能，保护了电子文档的隐私性。

说明书

技术领域

本发明属于计算机信息安全领域，具体涉及一种标准模型中素数阶下基于身份匿名广播加密方法。

背景技术

1993年，Fiat等学者首先提出了广播加密的概念。广播加密方案中广播者能够加密消息并通过广播信道发送给多个用户，其中只有授权用户能够使用自己持有的密钥解密获得消息。广播加密被广泛应用于多播通信，付费电视，基于卫星的电子商务等领域。自从广播加密方案概念被提出后，许多广播加密方案相继被提出。

1984年，Shamir首次提出基于身份加密(Identity Based Encryption,IBE)的概念，其思想是允许发送方用接收方的身份(如IP地址，Email地址等)作为公钥来加密数据，避免了公钥证书的分配，简化了公钥加密的应用。基于身份广播加密(Identity BasedBroadcast Encryption,IBBE)是基于身份加密的一般化形式。2007年，Delerablée提出了基于身份广播加密方案，该方案取得了固定大小的私钥长度和密文长度，在随机预言机模型下证明方案是选择身份(selective identity)安全(攻击者必须提前给出挑战身份)。2009年，Gentry等学者提出了标准模型下可证安全的广播加密方案，该方案满足完全(fully)安全(攻击者能够适应性的选择挑战身份)，同时方案取得亚线性的密文长度。同年，Ren等学者提出标准模型下完全安全的基于身份广播加密方案，该方案取得固定长度的公钥和密文。2009年，Waters利用双系统加密技术提出了基于身份加密方案，该方案取得了短的固定长度系统参数和密钥。2010年，Lewko等学者在合数阶下利用双系统加密技术提出基于身份加密方案。2012年，Zhang等学者在合数阶下利用双系统加密技术提出基于身份广播加密方案。

2001年，Bellare等学者提出了加密体制中的匿名性或者隐私密钥的概念，密文不会泄露任何密钥和明文的信息。2006年，Barth等学者提出了隐私广播加密，同年Krzywiecki等学者提出了隐私公钥广播加密方案，但没有给出正式的安全性证明。2007年，Jarecki等学者提出了实用的多接收者匿名广播加密方案，该方案的构建可以被视为一个有状态的公钥广播加密方案。2010年，Yu等学者首次提出了密钥组播方案，用户的匿名性和通信的复杂度与接收者的数量相互独立。2012年，等学者提出了在标准模型下匿名广播加密方案，然而方案中的密文长度随接收者的数量呈线性增长。2013年，Zhang等学者在合数阶下利用双系统加密技术提出标准模型下可证安全的匿名广播加密方案，该方案满足完全(fully)安全，同时取得固定大小的密文长度。

在相同安全条件下，基于合数阶群的密码体制中的群阶数至少为102比特，而素数阶群的阶数仅为160比特，素数阶群中的双线性对计算效率远高于合数阶群中的计算效率。因此，如何构建素数阶群下的密码方案成为研究热点问题。2010年，Freeman等学者使用通用技术把合数阶方案转换成素数阶方案，给出了素数阶下公钥加密体制。2012年，Lewko等学者指出Freeman技术效率不高，提出了一种把合数阶加密方案转换成素数阶加密方案的通用方法，同时给出了素数阶下基于身份加密方案和基于身份分级加密方案。2013年，Chen等学者利用双系统加密技术和对偶对向量空间在素数阶下提出了基于身份加密方案，同年，Jia等学者提出了素数阶下基于身份匿名加密方案，该方案安全性满足完全安全。2016年，Ming等学者提出了在素数阶下利用双系统加密技术提出基于身份广播加密方案。

在多播通信，付费电视，基于卫星的电子商务等领域中进行广播，为了保护用户的隐私，则需要匿名广播加密，现有技术中有匿名广播加密，但效率很低，因此，如何在素数阶群下构建匿名广播加密方法具有十分重要的现实意义。

发明内容

本发明的目的在于克服上述不足，提供一种标准模型中素数阶下基于身份匿名广播加密方法，利用双系统加密技术和对偶对向量空间，基于对称性External Diffie-Hellman假设下的一种基于身份匿名广播加密方法，在标准模型中证明所提方案是完全安全的，能够实现匿名、加密两种功能，保护用户的隐私。

为了达到上述目的，本发明包括以下步骤：

步骤一，建立系统：输入安全参数和接收者数量，输出主密钥和系统参数；

步骤二，输入系统参数，主密钥和用户的身份，提取用户私钥；

步骤三，用提取的私钥对消息进行基于身份的匿名广播加密，将加密后的消息发送给接收者；

步骤四，接收者对加密消息进行解密，通过验证后进行接收，否则拒绝接收。

所述步骤一中，系统建立方法如下：

第一步，输入安全参数λ，接收者数量m和双线性对e:G₁×G₂→G_T；

第二步，密钥生成中心PKG随机选择双正交基(D,D^*)，d₁,···,d₄表示D中的元素，表示D^*中的元素；

第三步，密钥生成中心PKG随机选择α∈Z_q，输出系统参数为主密钥为

所述步骤二中，提取用户私钥的方法如下：

第一步，输入身份ID_i∈S，S＝{ID₁,···,ID_n}；

第二步，密钥生成中心PKG随机选择则私钥为

所述步骤三中，用私钥对消息加密的方法如下：

第一步，输入消息M；

第二步，密钥生成中心PKG随机选择z∈Z_q，则密文为

所述步骤四中，对加密消息进行解密的方法如下：

第一步，若ID_i∈S，用私钥SK_IDi来解密接收到的密文CT＝{C₁,C₂}；

第二步，验证以下方程的有效性：

从而判定是否接收。

与现有技术相比，本发明针对传统广播加密中效率低的问题，利用双系统加密技术和对偶对向量空间，基于对称性External Diffie-Hellman假设下的一种基于身份匿名广播加密方法，在标准模型中证明所提方案是完全安全的，能够实现匿名、加密两种功能，保护用户的隐私，本发明提供电子文档的标准模型中素数阶下基于身份匿名广播加密，能够同时提供匿名、加密两种功能，保护了电子文档的隐私性。

具体实施方式

下面结合实施例对本发明做进一步说明。

实施例：

步骤一，系统建立：

1)输入安全参数λ，接收者数量m和双线性对e:G₁×G₂→G_T；

2)密钥生成中心PKG随机选择双正交基(D,D^*)，d₁,···,d₄表示D中的元素，表示D^*中的元素；

3)密钥生成中心PKG随机选择α∈Z_q，输出系统参数为主密钥为

步骤二，提取用户私钥：

1)输入身份ID_i∈S，S＝{ID₁,···,ID_n}；

2)密钥生成中心PKG随机选择则私钥为

步骤三，加密：

1)输入消息M；

2)密钥生成中心PKG随机选择z∈Z_q，则密文为

步骤四，解密：

当接收者接收到密文CT＝{C₁,C₂}，执行如下步骤：

1)若ID_i∈S，用私钥来解密接收到的密文CT＝{C₁,C₂}；

2)验证以下方程的有效性：

如果有效，输出接收；否则输出拒绝。

下面分别给出本发明在标准模型中素数阶下基于身份匿名广播加密方法的正确性和安全性证明。

一、正确性

本发明提出的标准模型中素数阶下基于身份匿名广播加密方法是正确性的。

接收方收到关于消息M的密文，若该密文时按如上步骤进行并且传输的过程中没有改变，不难证明：

证明：为了证明方案的安全性，定义半功能密钥和半功能密文如下：

半功能密钥：根据密钥生成算法生成正常密钥为随机选取v₁,v₂∈Z_q，生成半功能密钥为

半功能密文：根据加密算法生成正常密文为CT′＝{C′₁,C′₂}，随机选取χ₁,χ₂∈Z_q，生成半功能密文为

定义下述游戏：

Game_real：真实的安全游戏。

Game_k：和Game_real相同，其中0≤k≤q_n，除了：

(1)挑战密文是半功能；

(2)前k个密钥是半功能的，其他密钥是正常的。

注意：在Game₀中所有的密钥都是正常的，挑战密文是半功能的，在中所有的密文和密钥都是半功能的。

Game_Final：和相同，除了挑战密文为G_T中的一个随机元素对应的半功能密文。

定理1：

对于给定的安全参数λ，如果SXDH假设成立，则所提IBBE方案完全安全且满足匿名性。在任何多项式的时间内，如果存在攻击者A攻破IBBE方案，则可以构造算法解SXDH问题，满足

证明：由引理1-4可得。

引理1：

假设存在一个攻击者A使得则构造一个算法B₀以ε的优势攻破DS1假设，满足且K＝2，N＝4。

证明：算法B₀给定和T₁,T₂，B₀判定T₁,T₂是还是算法B₀和攻击者A交互如下：

系统建立：算法B₀随机选择可逆矩阵定义两个双正交基D＝(d₁,d₂,d₃,d₄)，>

d₁＝b₁,d₂＝b₂,(d₃,d₄)＝(b₃,b₄)A，

B₀随机选择α∈Z_q，计算系统参数主密钥 并将系统参数返回给A。

阶段1：攻击者A适应性的询问对ID_i∈S，S＝{ID₁,···,ID_n}进行密钥询问。算法B₀运行密钥提取算法得到正常的密钥，并返回给A。

挑战：当攻击者A决定结束阶段1时，A输出挑战消息M₀,M₁和挑战身份集合S₀＝{ID₀₁,···,ID_0n}，S₁＝{ID₁₁,···ID_1n}发送给算法B₀，B₀随机选择β∈{0,1}，输出密文并发送给A。

阶段2：攻击者A进行询问，与询问阶段1相同，除了

猜测：攻击者A输出一个猜测β′∈{0,1}，如果β′＝β，则攻击者A赢得游戏。令τ₁＝z，如果则CT＝{C₁,C₂}是正常的密文，算法B₀模拟Game_real；如果则CT＝{C₁,C₂}是半功能的密文，C₂的指数增加一个因子，即>2[b₃+b₄(ID_β1+···+ID_βn)]。为了得出基d₃,d₄的系数，利用矩阵A^-1乘以τ₂[1+(ID_β1+···+ID_βn)]^T得出τ₂A^-1[1+(ID_β1+···+ID_βn)]^T，由于矩阵A是随机的选取，由统计不可区分引理可知d₃,d₄的系数也是随机的，因此算法B₀完全模拟Game₀其优势为

引理2：

假设存在一个攻击者A使得则构造算法B_k以ε-1/q的优势攻破DS2假设，满足且K＝2，N＝4。

证明：算法B_k给定和T₁,T₂，B_k判定T₁,T₂是还是算法B₀和攻击者A交互如下：

系统建立：算法B_k随机选择可逆矩阵定义两个双正交基D＝(d₁,d₂,d₃,d₄)，>

d₁＝b₁,d₂＝b₂,(d₃,d₄)＝(b₃,b₄)A

$>d_1^{*}=b_1^{*},d_2^{*}=b_2^{*},(d_3^{*},d_4^{*})=(b_3^{*},b_4^{*}){\left(A^{-1}\right)}^T$>

B_k随机选择α∈Z_q，计算系统参数主密钥 并将系统参数返回给A。

阶段1：攻击者A适应性的询问对ID_i∈S，S＝{ID₁,···,ID_n}进行密钥询问。

1)如果i＜k，算法B_k知道B_k运行半功能密钥提取算法，生成半功能密钥返回给A。

2)如果i＞k，算法B_k运行密钥提取算法，生成正常密钥返回给A。

3)如果i＝k，算法B_k随机选择令B_k计算并返回给A。

如果是正常的密钥；如果是半功能的密钥，密钥的指数增加一个因子，即为了得出基d₃,d₄的系>T乘以τ₂[(ID₁+···+ID_n)-1]^T得出τ₂A^T[(ID₁+···+ID_n)-1]^T。

挑战：当攻击者A决定结束阶段1时，A输出挑战消息M₀,M₁和挑战身份集合S₀＝{ID₀₁,···,ID_0n}，S₁＝{ID₁₁,···,ID_1n}发送给算法B_k，B_k随机选择β∈{0,1}，输出半功能的密文令z＝u₁，为了得出基d₃,d₄的系数，利用矩阵A^-1乘以得出

由于矩阵A是随机的选取，由统计不可区分引理可知d₃,d₄的系数也是随机的(除了1/q的概率)。

阶段2：攻击者A进行询问，与询问阶段1相同，除了

猜测：攻击者A输出一个猜测β′∈{0,1}，如果β′＝β，则攻击者A赢得游戏。

根据T₁,T₂的分布，B_k模拟游戏Game_k-1或者Game_k，算法B_k的优势为 #

引理3：

对于任意的攻击者A有

证明：定义如下分布

$>{\mathrm{Game}}_{q_n}:(PP,{\mathrm{CT}}_{{\mathrm{ID}}_{\beta i}}^{\left(SF\right)},{\left\{{\mathrm{SK}}_{{\mathrm{ID}}_{li}}^{\left(SF\right)}\right\}}_{l\in \left[q_n\right]}),{\mathrm{Game}}_{Final}:(PP,{\mathrm{CT}}_{{\mathrm{ID}}_{Ri}}^{\left(R\right)},{\left\{{\mathrm{SK}}_{{\mathrm{ID}}_{li}}^{\left(SF\right)}\right\}}_{l\in \left[q_n\right]})$>

其中，PP表示(或Game_Final)中系统参数，表示中半功能密文，表示Game_Final下G_T中随机元素对应的半功能密文，表示(或Game_Final)中半功能密钥。

随机选择矩阵定义新的双正交基F＝(f₁,···,f₄)和如下：

容易验证F，F^*和D，D^*具有相同分布的双正交基。

中的系统参数，挑战密文和密钥询问在基D，D^*分别表示为：

在基F，F^*分别表示为：

其中：

z′₁＝z-χ₁ξ_1,1-χ₂ξ_2,1,

z′₂＝z(ID_β1+…+ID_βn)-χ₁ξ_1,2-χ₂ξ_2,2,

挑战密文C₂中d₁,d₂的系数z[1,(ID_β1+···+ID_βn)]变换到f₁,f₂的系数因此挑战密文是G_T中随机元素对应的半功能密文。此外，因为的系数是相互独立的随机值，所以中的系数也是相互独立的随机值。因此， 在基F,F^*上可以表示为Game_Final的

在基(D,D^*)和基(F,F^*)上和Game_Final有相同的系统参数，上述的挑战密文和密钥询问可以看成密钥和密文的两种方式，即在基(D,D^*)上的和在基(F,F^*)上的Game_Final，则可知和Game_Final是统计不可区分的。#

引理4：

对任何的攻击者A，有

证明：Game_Final中β的值是独立于攻击者的，因此

在Game_Final中，挑战密文是G_T中随机元素对应的半功能密文，独立于攻击者A提供的两个消息和挑战身份。因此，IBBE方案具有匿名性。