基于身份的加密IBE研究与启示

标准模型下一种实用的和可证明安全的IBE方案徐鹏（收）邮编电话：，027-E-mail: xupeng0328@hotmailZZZ徐鹏，崔国华*，雷凤宇华中科技大学计算机科学与技术学院信息安全实验室湖北武汉摘要：组合公钥方案是一种用于基于身份密码体制中生成用户加密密钥和私钥的知名方案。

针对组合公钥方案存在合谋攻击的问题，通过仅扩展该方案的私钥生成过程，实现了扩展方案的抗合谋攻击性。

在此基础上构建标准模型下基于Decisional Bilinear Diffie-Hellman 假设可证明安全的一种新的基于身份加密方案。

最后，为了说明所构新方案的实用性，分析了扩展组合公钥方案的用户加密密钥抗碰撞性；对比了新方案和同类的3个知名方案在安全性证明的归约程度方面、加解密的时间复杂度方面和密文的长度方面的性能，并得出新方案在以上三点上具有目前最优的指标，因此新方案是相对较实用的。

关键字：组合公钥，合谋攻击，标准模型，Decisional Bilinear Diffie-Hellman 假设，基于身份加密1、引言1984年，Shamir创造性的提出了基于身份的加密体制（Identity-Based Encryption, IBE）的概念[1]。

和传统的公钥加密体制不同，它可以使用任意字符串作为用户的公钥，这样取消了传统公钥加密体制对在线密钥管理中心的需要，从而大大的提高了效率。

虽然IBE的概念提出的很早，但直到2001年才由Boneh提出了第一个实用的IBE方案[2]，并且该方案成功的在随机预言机模型（Random Oracle Model, RO Model）下将双线性计算难题Bilinear Diffie-Hellman问题（BDH问题）的求解归约到其IBE方案的破解，因此是RO 模型下可证明安全的。

与此同时，Boneh也提出了新的问题，即能否构建标准模型下可证明安全的IBE方案。

在标准模型下构建可证明安全的加密方案具有分重要的实用意义。

计算机研究与发展ISSN100021239ΠCN1121777ΠTP Journal of Computer Research and Development46(9):15371548,2009基于身份密码学的安全性研究综述胡　亮1　刘哲理1　孙　涛1　刘　芳21(吉林大学计算机科学与技术学院　长春　130012)2(吉林大学数学学院　长春　130012)(liuzheli1978@)Survey of Security on Identity2B ased CryptographyHu Liang1,Liu Zheli1,Sun Tao1,and Liu Fang21(College of Com puter Science and Technology,J ilin Universit y,Changchun130012)2(College of M athematics,J ilin Universit y,Changchun130012)Abstract　Nowadays,identity2based encryption(IB E)has become a new research direction of p ublic key encryption,and security is t he most important factor for constructing an IB E scheme.When designing a p ublic encryption scheme,security goals are usually considered by t he standard of attack models.And t hen,t he definition of security combines bot h security goal and attack models.After analyzing t he p ropo sed IB E schemes,t he aut hors p resent t he formalized definition of IB E security and p rovide t he comparison wit h security of traditional p ublic key encryption.They also summarize t he various mat hematical assumptions on which t he security relies and st udy t he relations among assumptions.Furt hermore,t ransformation rules among securities and t ransformation met hods to reach higher security are described,and it is pointed out t hat t hese t ransformation met hods all use some test in t he const ruction,i.e.,t hey give some additional dispo sal of cip hertext or factor construction in t he encryption p hase;meanwhile,t hey can verify t he validity of cip hertext in t he decryption p ter,also cont rasted are t he IB E schemes on t he security and efficiency,which indicates t hat t he t ransformation to reach higher security will reduce efficiency.Finally,t he disadvantages of IB E,f ut ure research directions and open p roblems are summarized.K ey w ords　p ublic key encryption;identity2based cryptograp hy;security of identity2based encryption; cho sen2cip hertext security;bilinear map摘　要　目前IB E已经成为公钥加密领域的一个研究热点,而安全性是构建IB E方案的重要因素.在设计公钥加密方案时,通常主要考虑在各种攻击模型下所要达到的安全目标,使用安全目标与攻击模型相结合的方式来定义安全性.在对已提出的IB E方案进行归纳分析的基础上,概括了IB E安全性的形式化定义;总结了安全性所依赖的各种数学难题基础,对各种数学难题之间的强弱关系进行了分析;进而,基于这些强弱关系描述了IB E安全性之间的相互转化规律以及达到高安全性的转化方法,这些方法有一个共同点,就是在加密方案的构造过程中使用了某种测试;接下来,从安全性和效率的角度对比了已提出的典型IB E方案,指出低安全性向高安全性转化必然会带来额外开销,导致效率下降;最后,总结了IB E的缺点、未来研究趋势以及开放性问题.关键词　公钥加密;基于身份密码学;基于身份加密的安全性;选择性密文安全;双线性映射中图法分类号　TP393.08　收稿日期:2008-09-02;修回日期:2009-02-19　基金项目:国家自然科学基金项目(60473099,60873235);教育部新世纪优秀人才支持计划基金项目(NCET20620300) 公钥密码又称为双钥密码或非对称密码,1976年由Diffie和Hellman首先提出其概念[1].之后一些密码学家陆续提出了多种公钥算法,但只有少数几个算法既安全又实用,典型的算法有:RSA[2], El Gamal[3]和ECC[425]等.通常在设计公钥加密方案时,主要考虑在各种攻击模型下所要达到的安全目标,并使用安全目标与攻击模型相结合的方式来定义安全性.安全目标主要有:语义安全[6](semantic security)、不可区分性[627](indistinguishability,IND)、不可展性[8210] (non2malleability,NM)和明文可意识性[11] (plaintext awareness,PA).攻击模型主要有选择明文攻击(cho sen plaintext attack,CPA)、非适应性选择密文攻击[12](non2adaptive chosen cip hertext attack,CCA1)、适应性选择密文攻击[13](adaptive cho sen cip hertext attcak,CCA2).公钥加密安全性的形式化定义首先由G oldwasser和Micali[6]给出,接着他们[7,14215]证明了语义安全等价于不可区分性.由于明文可意识性只是在随机预言机模型[16] (random oracle model)下定义的,又是理想化模型,因此实际系统安全性的讨论中较少提到.在设计公钥加密方案时,主要考虑的安全性为在3种攻击模型{CPA,CCA1,CCA2}下能达到哪一种安全目标{NM, IND}.将他们配对结合,产生了6种主要的安全性定义:IND2CPA[6],IND2CCA1[12],IND2CCA2[13],NM2 CPA,NM2CCA1,NM2CCA2[8210].与选择明文攻击(CPA)相关的安全性是公钥加密机制的最基本要求,而后出现了选择密文安全性概念[17218],适应性选择密文攻击安全(IND2CCA2)被认为是目前公钥加密机制最强的安全性概念.目前所提出的方案基本上都是CPA安全,但很多达不到选择性密文安全.本文主要关注近年来公钥加密领域的一个新方向———基于身份加密.在对已提出的基于身份加密方案进行总结的基础上,给出了基于身份加密的形式化安全性定义,归纳了安全性的数学难题基础,相互间的转化关系以及高安全性的构建方法,从安全性与效率的角度对比了已提出的典型基于身份加密方案.最后,对全文进行了总结,提出了该方向的发展趋势和开放性问题.1　研究背景基于身份加密(identity2based encryption,IB E)的概念于1984年由Shamir[19]提出,他试图寻找一个公开密钥机制使得公钥是任意的字符串.然而,直到2001年才分别由Boneh和Franklin[20]以及Cocks[21]提出第1个实用的IB E解决方案.其中Boneh和Franklin的方案使用Weil配对技术,基于有效的可计算双线性映射点群构造,并证明了其安全性是在随机预言机模型下的适应性选择密文安全,此外还定义了基于身份加密系统的语义安全性. Boneh和Franklin方案中攻击者可以在挑战阶段适应地选择要攻击的身份,这种攻击方案下的安全性被定义为基于身份加密系统的完全安全性(full security).Cocks的方案也是在随机预言机模型下,其安全性基于二次剩余问题,依赖于因子分解问题的困难性.Galindo[22]对Boneh和Franklin的基础IB E方案进行分析,指出了安全约简过程中的一个缺陷,并提出一种更有效的紧密安全约简对原方案进行了修改,使得使用的随机预言机模型更少、密文更小. Canetti,Halevi和Katz[23]提出了一种弱的安全性概念———选择身份安全(selective identity security),并在不使用随机预言机模型的情况下构建了达到该安全性的IB E方案,但是该方案的效率较低.Boneh 和Boyen[24]不使用随机预言机模型,提出了2种选择身份安全的有效的IB E方案(BB1和BB2).之后又在文献[25]中针对方案BB1提出了一种编码理论上的扩展,在不使用随机预言机模型下,证明了适应性身份的完全安全概念,但是这个扩展的构建并不实用.Waters[26]提出了一种针对方案BB1的更简单的扩展,在不使用随机预言机模型下达到适应性身份的完全安全.Waters方案的效率很高,并且在最近的2篇独立文章[27228]中进一步得到了证明. Att rapadung[29]等人对Boneh和Franklin的方案进行了修改,给出了一种基于LBD H问题的紧密约简,可以预计算加密过程中的大多数部分且具有较小的密文.Wang[30]针对多P KG环境,给出了一个实用的IB E构建,并且在随机预言机模型下证明了安全性.层次I BE(hierarchical identity based encryption, HIB E)概念首先由Horwitz和L ynn[31]提出,其目的是解决单P KG负载过重的问题,并使其适合分布式环境下IB E方案的部署和应用.Gent ry和Silverberg[32]在随机预言机模型下构建了第1个层次IB E方案.Canetti,Halevi和Katz[23]给出了第1个不使用随机预言机模型达到选择身份安全性的HIB E方案,但方案不是十分有效.第1个有效的8351计算机研究与发展　2009,46(9)H IB E方案是文献[24]中提出的方案BB1,在不使用随机预言机模型的情况下证明了其选择身份安全性.Boneh,Boyen和G oh[33]对方案BB1作了改进,具有了更短的密文和私钥,而且加解密时间、密文大小都与层次无关.Boyen和Waters[34]给出了第1个不使用随机预言机模型的完全匿名H IB E方案,防止了密文中对于接收者身份的泄漏.Abdalla[35]等人给出了一种新的带通配符的基于身份加密概念(WIB E),允许向一组身份字符串具有某种特定格式的用户发送加密消息,基于已有的工作给出3个WIB E方案,并证明了选择密文安全性.Abdalla等人[36]基于构建的叛逆者追踪算法改进了一个2层的WIB E方案,可以对活跃的盗用者追踪. Abdalla[37]基于之前的工作给出了一种带有通配符的允许一般化密钥生成模式的HIB E方案,给出了密文大小和效率之间的折中方案,并提出了具有固定密文大小的基于通配符IB E的广播加密方案.从IB E的应用角度,Cheon等人[38]介绍了2种可证明安全性的与时间相关的IB E方案,解密者只能在未来某个时间之后解密消息,并在随机预言机模型下分析了可验证关系.G oyal[39]针对IB E中私钥由第三方管理的固有缺陷提出一种私钥生成器(P KG)承担责任的可跟踪IB E(traceable IB E)方案,为每个身份产生指数级的密钥供用户使用,一旦P KG泄漏密钥,用户可以使用2个不同的密钥来证明P KG的不合法行为,通过这种对P KG的限制减轻了密钥第三方问题.Au等人[40]对文献[36]中的可跟踪IB E方案进行了改进,在多于一个用户的密钥被泄漏时增加了P KG主密钥的重生成机制,并提出了形式化模型,在随机预言机模型下给出了构建和安全性证明.Green和Ateniese[41]给出了基于身份的代理重加密方案,使用代理密钥将密文从一个身份转化为另一个身份,在转化过程中不泄漏明文,而且从代理密钥中不会推出两方身份的密钥. Oliveira等人[42]将IB E用于无线传感器网络的加密方案,使用对技术在资源约束节点实现了IB E.2　安全性的形式化定义2.1　一般化IBE方案的形式描述设I={I D1,I D2,…,I D n}为身份的集合,其中I D i∈{0,1}3,0<i≤n.M为待加密的明文消息,C 表示明文加密后的密文.下面给出一个IB E加密方案Ω的一般化形式描述,Ω通常由4个步骤set up,ext ract,encryption和decryption组成,构成了一个关于算法的四元组Ω=(G,K,E,D),具体描述如下:1)算法G.在set up阶段执行,输入为一个安全参数k∈Z3,输出系统参数:params←G(1k). 2)算法K.在extract阶段执行,输入为一个身份I D∈{0,1}3,且I D∈I,输出对应于该身份的公钥P K和私钥S K:(P K,S K)←K(ID,params). 3)算法 E.在encrypt阶段执行,输入为待加密消息M∈{0,1}3,公钥P K和系统参数p arams,输出关于M的加密后的密文C:C←E(M,P K,params). 4)算法D.在decrypt阶段执行,输入为加密后的密文C,私钥S K和系统参数p arams,输出密文C 所对应的明文消息M:M D(C,S K,params).要求I BE方案的加解密过程满足一个一致性约束,即ΠM,E(M,P K,params)→C且D(C,S K,params)→M. 此外,算法G,K,E,D的计算复杂度都是多项式时间的.定义1.可忽略函数.一个函数<:N→R是可忽略的,对于Πd≥0,d为常数,都存在一个整数k d,使得对于Πk≥k d,有<(k)≥k-d.2.2　IBE安全性的形式化定义在对已有的IB E方案进行分析和总结的基础上,分别在IB E方案中选择身份安全和完全安全下,给出了对应的选择性明文安全和选择性密文安全的形式化定义.首先基于IB E方案针对身份加密的特殊性,以算法的形式给出一个关于密钥查询的基础定义,以便于描述对手对于IB E方案的攻击.定义2.私钥抽取查询Q,算法Q的输入为一个待查询的身份I D∈I和系统参数p arams,执行算法Q输出对应于该I D的私钥S K,即S K←Q(ID,params). 对于选择性身份安全[23],要求对手在set up阶段生成全局参数之前就选择要挑战的I D;而完全安全的概念中,对手可以在挑战阶段适应地选择他想要攻击的I D,从而具备更强的攻击能力.可见,选择身份安全是比完全安全稍弱的安全模型.下面分别为两者定义了攻击对手A S和A F,并且将对手的攻击以概率算法的形式给出,设A S=9351胡　亮等:基于身份密码学的安全性研究综述(A bs,A1,A2),A F=(A as,A1,A2),表示对手的攻击分为3个部分执行.其中,算法A bs表示在选择性身份安全的攻击模型中对手在set up阶段之前选择一个要攻击的I D;而算法A as表示在完全安全的攻击模型中对手在挑战阶段适应地选择一个要攻击的I D.这2种安全性下攻击算法A1,A2的描述一样,其中,算法A1以公钥P K作为输入,执行后输出一个三元组(M0,M1,s),消息M0和M1具有相同的长度,s表示对手保存的状态信息,如加密过程所使用的公钥P K等.然后,挑战者随机选择一个M0或M1,表示为M b,其中b∈{0,1}.挑战者对M b加密后将密文C返回给对手,此时对手以密文C、消息三元组(M0,M1,s)作为输入执行算法A2,得出对于b 的推测值,进而完成一次攻击.在IB E方案安全性分析的游戏模型中,通常考虑的安全目标为不可区分性(IND),将安全目标与选择明文攻击(CPA)或选择密文攻击(CCA)等攻击模型相结合,来定义基于IB E方案的安全性.下面分别给出2种安全性的定义:定义3.设Ω=(G,K,E,D)为一个IB E方案, atm∈{cca,cp a},k∈N,O i为查询机,其中i∈{1, 2},负责响应对手的私钥抽取查询或解密查询.对于选择性身份安全下的选择明文攻击(IND2 sID2CPA)安全和选择密文攻击(IND2sID2CCA)安全,给定一个攻击对手A S=(A bs,A1,A2),定义如下获利函数:A dv ind2sID2atmA,Ω(k)=|Pr[ID←A bs(I);　(P K,S K)←K(ID,params←G(1k));(M0,M1,s)←A O11(P K);b←{0,1};　C←E PK(M b):A O22(M0,M1,s,C)=b]-12|. 对于完全安全下的选择明文攻击(IND2ID2 CPA)安全和选择密文攻击(IND2ID2CCA)安全,给定一个攻击对手A F=(A as,A1,A2),定义如下获利函数:A dv ind2ID2atmA,Ω(k)=|Pr[P K,S K)←　K(ID,params←G(1k));　(M0,M1,s)←A O11(P K);b←{0,1};C←E PK(M b);ID←A as(I):A O22(M0,M1,s,C)=b]-12|,其中:当atm=cpa时,有O1(・)=Q(・),O2(・)= Q(・);当atm=cca时,有O1(・)=Q(・)|D S K(・), O2(・)=Q(・)|D S K(・).两个定义的区别在于,对于选择性身份安全,对手在系统生成参数的set up阶段之前就选择要攻击的身份I D,由A bs给出;而对于完全安全,对手对于攻击身份的选择可以在挑战算法A2执行之前由A as给出.我们说一个I BE方案Ω是IND2sID2ATM安全的或IND2ID2ATM安全的,如果对于任意多项式时间的对手A,函数A dv ind2sID2atmA,Ω(k)或A dv ind2ID2atmA,Ω(k)是可忽略的.结合IB E方案安全性的形式化定义和对传统公钥加密方案的安全性分析,根据各种安全性模拟过程中所允许的步骤不同在表1中给出进一步的对比.T able1　Security Comparison betw een IBE Scheme and T raditional Public K ey E ncryption Scheme 表1　IBE方案与传统公钥加密方案安全性对比表Security of Encryption Scheme Security underThree MainAttack ModelDecryption Querybefore G ivent he CiphertextDecryption Queryafter G ivent he CiphertextPrivate KeyExt ractionQueryDecide t heChallenging IDbefore Set upAdaptively Decidet he challengingID after SetupSecurity of IB E Scheme Selective2IDSecurityFullySecurityIND2sID2CPA√√IND2sID2CCA√√√√IND2ID2CPA√√IND2ID2CCA√√√√Security of Traditional Public Key EncryptionScheme IND(NM)2CPAIND(NM)2CCA1√IND(NM)2CCA2√√ 从表1的安全性对比中可以看出,传统公钥加密方案的安全性主要关注给定密文前后是否允许对密文的解密查询上,不允许对手泄露任何密钥信息.而在IB E中,对手可以基于身份标识来确定要攻击0451计算机研究与发展　2009,46(9)的ID,根据确定时刻的不同,对手具有的攻击优势也不相同,如果允许对手适应性地选择攻击身份,那么该方案具有更高的安全性.基于此产生了较弱的安全概念———选择身份安全和高安全性概念———完全安全.此外,在针对IB E方案的攻击过程中,还允许对手适应地提出私钥抽取查询,来获取待攻击ID 之外任何身份的私钥,这样对手具有更多的攻击破解优势.因此,在抗选择明文攻击和选择密文攻击方面,IB E方案的安全性更高.3　数学难题与安全性各种数学难题和假设是构建密码学安全性的基础,而安全性的高低直接决定了一个密码学方案的安全强度.本节在对典型的数学难题进行回顾的基础上,进一步总结了IB E方案安全性的各种数学难题基础.3.1　双线性映射(bilinear maps)设G1和G2分别为对于一个大素数q具有q阶的加法循环点群和乘法循环点群.定义e^:G1×G1→G2为这2个循环点群之间的一个双线性映射,且该映射必须具备如下3个性质:1)双线性.对于所有的P,Q∈G1和a,b∈Z3q,有e^(a P,bQ)=e^(P,Q)ab.2)非退化性.e^没有将所有的G1×G1中的对映射到G2,即存在P,Q∈G1,使得e^(P,Q)≠I G2.说明当P是G1的生成元时,e^(P,P)是G2的一个生成元.3)可计算性.具有有效的算法对于任何的P, Q∈G1能够计算e^(P,Q).满足如上3个性质的双线性映射就叫做可采纳的双线性映射.文献[20]中给出了关于双线性映射更具体的描述,并且使用Weil对构建了一个可采纳双线性映射,而后基于该映射提出了与双线性相关的数学难题.3.2　DH相关问题(Diffie2H ellm an problems,DH P)定义4.D H问题[1].给定一个大素数q,一个大整数生成元g∈Z3q,以及由大随机数a,b生成的g a mod q和g b mod q,要求找到g ab mod q.DH问题是Diffie2Hellman密钥交换算法安全性的基础,这种安全性是建立在有限域内计算离散对数(discrete logarit hm,DL)的困难性基础之上的.定义5.CD H问题[1](comp utational Diffie2 Hellman).对于随机给定的∫P,a P,b P ,其中a,b 属于具有q阶的点群Z3q,计算ab P的值.同D H问题一样,CD H问题的困难性也是基于离散对数的.定义6.DDH问题[43](decision Diffie2Hellman).区分对于给定的元组∫P,a P,b P,ab P 和∫P,a P, b P,c P 之间的分布,即判断c是否等于ab mod q,其中a,b,c属于具有q阶的点群Z3q.在具有q阶的加法循环点群G1上,DD H问题的判定是容易的.因为在群G1上,对于给定的P, a P,b P,c P∈G1,可以构造出多项式时间可计算的双线性映射e^,来验证c=ab mod qΖe^(a P,b P)= e^(P,c P).这也是文献[20]不基于DD H问题来构建IB E密码系统的原因.定义7.q2D H I问题[24,44245](Diffie2Hellman inversion).给定q+1维元组∫g,g x,g x2,…,g x q ∈G q+1,计算g1/x∈G.q2D HI假设为一个更自然的复杂性假设,且问题描述中不要求使用随机预言机模型.因此,基于D H假设的构建可以被依赖于q2D HI假设的构建所取代.定义8.q2SDH问题[46](strong Diffie2Hellman inversion).给定维q+1元组∫g,g x,g x2,…,g x q ∈G,计算(c,g1Π(x+c)),其中c,x∈Z3q.注意到,当c固定时,SD H问题等价于D HI 问题.此外,文献[45]还总结了其他一些D H问题的各种变型及其对应的判定问题,如SCD H(square comp utational Diffie2Hellman),InvCD H(inverse comp utational Diffie2Hellman),DCD H(divisible comp utational Diffie2Hellman)SDD H,InvDD H, DDD H等.定义9.BDH问题[20](bilinear Diffie2Hellman).设G1和G2为2个具有素数q阶的点群,e^:G1×G1→G2为一个可采纳的双线性映射,P为G1的生成元,对于给定的∫P,a P,b P,c P ,其中a,b,c∈Z3q,计算W=e^(P,P)abc∈G2.通过分析发现,∫G1,G2,e^ 中的BD H问题并不比G1或G2上的CD H问题更难,也即G1或G2上的一个CD H算法足以解决∫G1,G2,e^ 中的BD H 问题.定义10.q2LBD H问题[29](list bilinear Diffie2 Hellman).给定元组∫g,g a,g b,g c ∈(G1)4,其中a,b,c∈Z3q,输出一个长度最大为q(q≥1)的列表L,且L中包含e(g,g)abc∈G2.1451胡　亮等:基于身份密码学的安全性研究综述定义11.DBD H问题[24](decision bilinear Diffie2Hellman).区分给定元组∫g,g a,g b,g c,e (g,g)abc 和∫g,g a,g b,g c,e(g,g)z 的分布,即判断z是否等于abc mod q,其中a,b,c属于具有q阶的点群Z3q.定义12.G BD H问题[47](gap bilinear Diffie2 Hellman).给定元组∫g,g a,g b,g c ∈(G1)4,在DBD H预言机O(对于给定的∫g,g a,g b,g c,T ∈(G1)4×G2,如果T=e(g,g)abc,则为t rue,否则为false)的帮助下,输出e(g,g)abc∈G2.定义13.q2BD H E问题[33](bilinear Diffie2 Hellman exponent).给定∫h,g,g x,g x2,…,g x q,g x q+2,…,g x2q ∈G2q+11,其中x∈Z 3q,计算e(g,h)(x q+1)∈G2.定义14.q2ABD H E问题[48](augmented bilinear Diffie2Hellman exponent).给定∫g′,g′x q+2, g,g x,g x2,…,g x q,g x q+2,…,g x2q ∈G2q+21,其中x∈Z3q,计算e(g,g′)(x q+1)∈G2.定义15.q2BD HI问题[24](bilinear Diffie2 Hellman inversion).给定q+1维元组∫g,g x,g x2,…, g x q ∈(G31)q+1,其中x∈Z3q,计算e(g,g)1Πx∈G2.显然,当q=1时,12BD HI假设等同于标准的BD H假设.定义16.q2DBD HI问题[24,49](decision bilinear Diffie2Hellman inversion).给定∫g,g x,g x2,…, g x q,k ,其中x∈Z3q,g∈G1,k∈G2,判断k是否等于e(g,g)1Πx,若等于,输出“是”;否则,输出“否”.定义17.q2ABDHI问题[47](augmented bilinear Diffie2Hellma inversion).给定∫g(x-q-2),g,g x,g x2,…, g x q ∈G q+11,其中x∈Z3q,计算e(g,g)1Πx∈G2.定义18.q2wBD HI问题[33](weak bilinear Diffie2Hellman inversion).给定元组∫g,h,g x, g x2,…,g x q ,其中g,h∈G1,x∈Z3q,计算e(g,h)1Πx.定义19.q2wBD H I3问题[33].给定元组∫g,h,g x,g x2,…,g x q ,其中g,h∈G1,x∈Z3q,计算e(g,h)(x q+1).图1展示了一些数学难题之间的强弱关系,其中单向箭头左侧数学难题的强度要强于右侧,双向箭头两侧的数学难题是等价的.从图1中的描述可以得出,加法点群G1上的CD H问题要难于DD H问题,因为可以通过可计算的双线性映射e^,来验证c=ab mod qΖe^(a P,b P)= e^(P,c P).G1或G2中的CD H问题足以解决∫G1,G2,e^ 中的BD H问题,但是反过来一个BD H问题是否足以解决G1或G2中的CD H问题仍然是一个开放性问题,有待于进一步的证明.在q=1时, BD H I问题和LBD H问题都等价于BD H问题,而当q>1时,并不能确定BD H和BD H I问题是否等价.q2BD H I问题是(q+1)2BD H E问题的一个特例,难度是相似的,不同之处在于(q+1)2BD H E问题给出了更多G1上的额外值,但是这些额外值对于问题的解决并没有提供任何帮助.q2ABD H I和q2 ABD H E是对q2BD H I和q2BD H E在参数上的扩展,它们之间是等价的,可以通过(g′,g′(x q+2))= ((g(x-q-2))x,g x)进行转换.q2ABD H E的判定问题要强于DBD H问题,q2ABD HI问题等价于q2BD HI 问题.wBD HI问题和wBD HI3问题在线性时间约简下是等价的,且在任何相同的点群下,它们的安全性假设弱于BD H I和BD H E问题.此外,图1中还展示了一个一般规律,即数学难题的难易程度与生成元所在的点群类型和大小相关.在相同点群下通常计算问题要难于判定问题;而在不同点群下,数学难题的难易程度往往不易比较.但通常点群越大,数学难题就越难,由此所带来的安全性也就越高.Fig.1　Relations between math problems.图1　各种数学难题之间的强弱关系4　安全性之间的转化关系与效率比较4.1　安全性之间的转化与构建方法近年来的研究热点集中于安全性之间的转化关系[50254].图2对传统公钥加密方案和IB E方案的安全性转化关系作了一个总结,图中“A→B”表示一个加密方案如果是A的,则一定是B的.通过图2可以看出,在传统公钥加密体制中, IND2CCA2的确是非随机预言机模型下最强的安全性定义;而对于IB E,完全安全模型下的IND2ID2 CCA为最强的安全性定义.在随机预言机模型中,最强的安全性是明文可意识性(PA)[50],即有PA→2451计算机研究与发展　2009,46(9)IND 2CCA2.对两者而言,抗选择明文攻击(CPA )都是基本要求,目前所提出的方案基本都是CPA 安全的.然而随着密码学、密码分析学及其应用的发展,选择密文攻击逐渐成为可能,很多密码学的工作致力于设计新的能够抵抗选择密文攻击的公钥加密方案,或者将已有的抗选择明文攻击方案进一步改造成抗选择密文攻击,达到CCA 安全性[55].Fig.2　Transformation between securities of encryptionscheme.图2　各种安全性之间的转化关系目前已经提出了多种CCA 安全转化方法.Sho up [56]在对Bellare 等人[57]的陷门单向置换方案OA EP 基础上提出了OA EP +方法,同时给出了该方法的CCA2安全性证明.Okamoto 等人[58]提出用陷门单向函数来加密会话密钥的方法RECA T ,比OA EP 方法的适用范围更广,且也达到IND 2CCA2安全.Cammer 和Shoup 提出了基于El Gamal 体制的加密方案[59],基于离散对数的性质实现了密文验证,达到了CCA 安全性.Naor 和Yung [60]提出了不使用随机预言机模型下的IND 2CCA1方案,后来Sahai [61]和Dolev 等人[62]将该方案扩展为IND 2CCA2,Lindell [63]基于陷门置换函数的存在对文献[60]中的方案作了进一步的修改.这些方案及改进都使用了非交互零知识(non 2interactive zero knowledge ,N IZK )证明方法,实用性较差.Crammer和Sho up 在文献[64265]中,提出了另一种构建CCA 安全的技术,使用具有特殊同态性质的代数构建(即可采纳的“平滑Hash 证明系统”),并产生了一些有效的实用方案.Canetti 等人[23]描述了一个基于N IZK 的通过转化构建选择性身份、选择密文安全的IB E 方案的一般化方法.而后Canetti 等人[66]针对N IZK 方法效率不高和实用性不强等缺点,使用对密文进行一次签名,通过解密阶段对签名的验证,给出一种从任意IB E 构建CCA2安全方案的一般方法,即IND 2CCA2→IND 2sID 2CPA.Boneh 和Katz [67]提出了一种更有效的CCA2安全转化方法,使用消息认证编码(message aut hentication code ,MAC )方法将MAC 密钥封装在对密文的承诺中,在解密阶段通过从密文中恢复出的MAC 密钥来进行密文验证,达到CCA2安全性.Boyen ,Mei 和Waters [68]提出一种将身份隐藏在密文前2部分的巧妙构建,在解密时可以对密文的合法性进行验证,省略了一次签名或MAC 方法的额外构建.Boneh 和Boyen [24]还指出只要使用具有足够大q 的双线性点群,任何选择性身份安全的IB E 系统都可以通过效率不高的约简转化成为一个完全安全的IB E ,且这种约简一般都不是多项式时间的,即f ull security →selective 2ID security.文献[627,14]中已经证明了语义安全与不可区分性之间的等价性,而在文献[20]中利用这种等价关系描述了基于身份的语义安全的定义,用IND 2ID 2CCA 表示,即IND 2ID 2CCA [semantic security.表2归纳了主要的CCA 安全转化方法.T able 2　Method for Constructing CCA Security表2　构建CCA 安全的方法Construction Met hod Theory or Mat h AssumptionsWhet her Use RandomOracle ModelSecurity of Achievement OAEP ,OAEP +,SAEP [69],RSA 2OASP [70]One 2Wayness of a Trapdoor Permutation wit h ROM IND 2CCA REACT One 2Wayness of a Trapdoor Function wit h ROM IND 2CCA2GS98[59]Discrete Logarit hmwit hout ROM IND 2CCA2DDN [62],RS91[13],S99[61],CS01[64],ES02[71]Non 2Interactive Zero 2Knowledge wit hout ROM IND 2CCA2CS02[64],CS03[65]Universal Hash Proof s Systems wit hout ROM IND 2CCA2KEM [72]Decision Diffie 2Hellman Assumption wit hout ROM IND 2CCA2One 2Time Signature [66]Decision Bilinear Diffie 2Hellman Assumption wit hout ROM IND 2ID 2CCA MAC [67]Message Aut hentication Code wit hout ROM IND 2ID 2CCA BMW05[68]One Time Identity Hashwit hout ROMIND 2CCA23451胡　亮等:基于身份密码学的安全性研究综述 表2中总结了目前主要几种达到CCA安全的转化方法,这些方法有一个共同点,就是在加密方案的构造过程中使用了某种测试,在加密阶段给出对密文的附加处理或某些因子的额外构造,同时在解密阶段能够通过验证测试出所接收到的密文的合法性,进而达到抗选择密文攻击的CCA安全性.然而通过构造合法性测试将一个CPA安全的加密方案转化为CCA安全,总是要以牺牲一定效率为代价的.设计效率更高的实用CCA安全转化方法是未来一个研究热点.4.2　安全性与公钥加密方案效率的关系对公钥加密方案效率的分析一般主要关注加密时间、解密时间、生成的密文空间大小和方案的模型环境(即是否在随机预言机模型下)等.IB E的研究主要由安全性和效率两方面不断推动向前发展,实际应用中要求设计出安全性和效率都很高的实用方案,而安全性的增加通常以牺牲一定的效率为代价.因此,对公钥加密方案来讲,安全性是构建过程的基本目标,在达到安全目标的基础上提高效率是更高的目标.下面总结已提出的主要几种IB E方案的效率,在表3中给出了对比分析.从表3中可以看出,将安全性较低的CPA安全方案转化为CCA安全时,必然会带来额外的开销,导致效率的下降.此外,人们还关注如何将理想方案(使用随机预言机模型)转化成实用的IB E方案,即构建过程中不使用随机预言机模型.Boneh和Boyen[24]首先给出了一个随机预言机模型下的CPA安全IB E方案,随后在文献[25]中给出了非随机预言机模型下的CCA安全的实用IB E方案.当安全性和实用性得到满足后,开始关注如何进一步提高方案的效率,使得加、解密的时间尽量缩短,而且密文空间和密钥大小尽量缩短.基于此, Waters[26]给出了一个效率较高的实用IB E方案. Horwitz和L ynn[31]首先提出HIB E的概念,并给出了局部抗共谋的HIB E方案后,Boneh和Boyen[24]以及Gent ry和Silverberg相继给出了各自的H IB E 方案,但是这2个方案的加解密时间都随着层次l 线性增长.Boneh,Boyen和G oh从效率出发考虑,最终给出了加解密时间和密文大小都与层次l无关的CCA安全的HIB E算法.因此,设计和构建满足高安全性且高效率的IB E方案,是未来的研究重点和目标.T able3　Peform ance Analysis for Several IBE Schemes表3　主要IBE方案性能的比较Scheme Name Encrypt Time Decrypt Time Ciphertext Size SecurityBF2BasicIdent[20]1P+1Mt P+1sM1+1E21P G1×{0,1}n wit h ROM under BD H,IND2ID2CPA securityBF2FullIdent[20]1P+1Mt P+1sM1+1E21P+1sM1G1×{0,1}n×{0,1}n wit h ROM under BD H,IND2ID2CCA security BB2sID2IBE[24]1P+3E1+1gM1+1E2+1gM21P+1gM1+1E1+1R2G21×G2wit h ROM under BD HI,IND2sID2CPA securityBB2SIBE[25]1P+(n+1)E1+1gM2+1E2(n+1)P+(n+1)gM2+R2G n+11×G2wit hout ROM under DBD H,IND2ID2CCA securityWat2IBE[26]1P+2E1+n2gM1+1E2+1gM22P+1gM2+R2G21×G2wit hout ROM under DBD H,IND2ID2CCA securityHL2HIBE[31]1P+(m+3)E1+m・gM2+1E21P G1×{0,1}k wit h ROM under BD H,IND2ID2CPA securityBB2sID2HIBE[24]1P+(l+1)E1+1gM2+1E2(l+1)P+1gM2+1E2G l+11×G2wit hout ROM under DBD H,IND2sID2CPA security GS2HIB E[32]1P+l・Mt P+l・sM1+1E2l・P+(l-1)gM2+1R2G l1×{0,1}n×{0,1}n wit h ROM under BD H,IND2ID2CPA security BB G2HIBE[33]1P+(l+2)E1+l・gM1+1E2+1gM22P+1gM2+R2G21×G2wit h ROM under BD H,IND2ID2CPA security 其中,P:对e(・,・)的运算时间;R i:群G i上的求逆运算时间;E i:群G i上的指数运算时间;sM i:群G i上的数乘运算时间;gM i:群G i上的乘法运算时间;pA i:群G i上的点加运算时间;l:HIB E中层次化实体的层次数;n:表示实体身份ID的长度;m: HIB E中容忍的最大层共谋数;k:消息空间的长度;4451计算机研究与发展　2009,46(9)。

龙源期刊网 完全安全的身份基在线/离线加密作者：王占君李杰马海英王金华来源：《计算机应用》2014年第12期摘要：针对现有身份基在线/离线加密（IBOOE）机制仅满足较弱的选择安全模型，不允许攻击者适应性选择攻击目标的问题，将在线/离线密码技术引入到完全安全的身份基加密方案中，提出一种完全安全的身份基在线/离线加密方案。

基于合数阶群上的3个静态假设，利用双系统加密技术证明该方案满足完全安全性。

与知名的身份基在线/离线加密方案相比，所提方案不仅极大地提高了在线加密的效率，而且更能满足实际系统中对完全安全性的需求。

关键词：身份基在线/离线加密；完全安全性；双系统加密；可证明安全中图分类号： TP309.7；TN929.50引言1984年，Shamir [1]首先提出了身份基加密（Identity-Based Encryption， IBE）的概念。

与传统的公钥加密不同，它用任意字符串（如电子邮箱或装置的序列号）作为公钥，只有被可信任的密钥生成中心证明的实体才可获得一个身份字符串的私钥。

这个性质使得IBE体制可以消除在传统公钥基础设施中检查证书正确性的必要性，大大提高了效率。

直到2001年，Boneh等[2]才提出了第一个实用的IBE方案。

随后，研究者们提出许多IBE方案[3-10]，逐步降低了加密算法的复杂性。

由于IBE极大地提高了加密过程的效率，降低了计算节点的开销，因此IBE在云存储、无线传感网中得到了广泛的应用。

特别的，在无线传感网中，传感器收集敏感数据并发回基站。

为了保证安全性，使用IBE对数据加密。

然而IBE必须执行幂乘或双线性对等复杂运算，而传感器计算能力非常有限，短时间内无法完成。

2008年，Guo等[11]提出了身份基在线/离线加密（Identity-Based Online/Offline Encryption， IBOOE）的概念。