具源隱藏特性的IB-PRE方案分析*

鄭郁林 蔡沂

（1.華南理工大學(xué) 計算機(jī)科學(xué)與工程學(xué)院， 廣東 廣州510640； 2.華南理工大學(xué)廣州學(xué)院 計算機(jī)工程學(xué)院， 廣東 廣州510800）

代理重加密由Blaze 等［1］提出，近年來已成為密碼學(xué)研究的一個熱點(diǎn)領(lǐng)域，業(yè)界提出了多種方案［2-9］.在基于身份標(biāo)識的代理重加密方案（IB-PRE）［10］中，源密文使用委托者身份標(biāo)識加密，代理負(fù)責(zé)將源密文轉(zhuǎn)換為目標(biāo)密文，目標(biāo)密文使用被委托者的身份標(biāo)識相應(yīng)的密鑰解密.隨后，出現(xiàn)了多種IB-PRE方案［11-23］.Emura 等［22］提出了具有源隱藏特性的基于身份標(biāo)識的代理重加密方案（Emura-IB-PRE 方案），要求經(jīng)過重加密后的目標(biāo)密文沒有泄漏關(guān)于源身份的任何信息.源隱藏特性試圖避免從一個目標(biāo)密文泄漏信息源的身份，解決以往所有IB-PRE 方案中的信息泄漏問題，即一個源密文是否是一個目標(biāo)密文的源的相關(guān)信息被泄漏的問題.需要注意的是，源隱藏特性與匿名性［23］（密文不能泄露相應(yīng)的ID）和密鑰保密［6］（重加密密鑰不泄漏源或目的密鑰）是不同的.

代理重加密模式在電子郵件系統(tǒng)中具有廣泛的應(yīng)用［10，24-27］.源隱藏特性增強(qiáng)了隱私保護(hù)，在商業(yè)應(yīng)用中具有很高的價值.它可以被應(yīng)用于郵件列表系統(tǒng)中，保護(hù)用戶是否屬于某個郵件列表的信息.對企業(yè)而言，其顧客郵件列表的成員被泄露，將可能造成嚴(yán)重的損失.

Emura-IB-PRE 方案的基礎(chǔ)是Boneh-Franklin IBE 方案［28］，滿足源隱藏特性，但違反了一級密文可公開驗證原則，不能抵抗選擇密文攻擊.為此，文中提出了一種攻破該方案的選擇密文安全性的方法，在此基礎(chǔ)上提出了E-SH-IB-PRE 方案，并進(jìn)行相關(guān)安全性證明.

1 Emura-IB-PRE 方案分析

1.1 源隱藏特性

Emura 等［22］提出了源隱藏特性概念，目的是為了保護(hù)源密文與目的密文的關(guān)系，經(jīng)過重加密后源密文與目的密文的關(guān)系將不能被識別，即使一個攻擊者知道一個郵件列表的地址（包括該郵件列表的成員地址），也不能確定一個源密文（使用郵件列表地址加密的）是否是一個目的密文（使用個人郵件地址加密的）的源；并對此概念作了形式化描述，給出基于身份標(biāo)識的代理重加密方案（IB-PRE）的選擇密文安全性（IND-ID-CCA）和源隱藏安全性（IND-SH-ID-CCA）定義.

定義1［22］一個單向單跳的IB-PRE 方案由以下算法組成：

●Setup（k） 輸入安全參數(shù)k，返回一個主密鑰msk 和一組公共參數(shù)列表params；

●KeyGen（msk，IDi） 給定用戶i 的身份標(biāo)識IDi，返回用戶i 的私鑰ski；

●Encrypt（IDi，m） 給定IDi和明文消息m，返回使用IDi加密的密文Ci；

●Decrypt（ski，Ci） 輸入一個給用戶i 的密文Ci和私鑰ski，輸出明文m 或者無意義數(shù)⊥；

●RKGen（ski，IDi，IDj）給定用戶i的身份標(biāo)識IDi和私鑰ski以及用戶j 的身份標(biāo)識IDj，輸出一個單向的重加密密鑰rki→j；

●Re-Encrypt（Ci，rki→j） 輸入一個給用戶i 的一級密文Ci和一個單向的重加密密鑰rki→j，輸出用戶j 可解密的一個重加密密文Cj或者無意義數(shù)⊥.

定義2（IND-ID-CCA）［22］如果一個有多項式能力的敵手A 在IND-ID-CCA 攻擊游戲中，對于一個加密方案∏IB-PRE所具有的優(yōu)勢可忽略，則稱該加密方案在語義上具有自適應(yīng)抗選擇密文攻擊安全性.

∏IB-PRE的IND-ID-CCA 攻擊游戲協(xié)議如下.

1）在系統(tǒng)建立階段，挑戰(zhàn)者獲取安全參數(shù)k，運(yùn)行Setup 算法，產(chǎn)生公共參數(shù)列表params 和主密鑰msk，將params 傳給A，保留主密鑰msk.

在第1 階段， 敵手A 可隨意簽發(fā)查詢q1，q2，…，qm訪問以下諭示機(jī)，獲得輸出結(jié)果，即

●私鑰提取諭示機(jī)OEXT（IDi） 給定用戶i 的身份標(biāo)識IDi，運(yùn)行KeyGen 算法，產(chǎn)生用戶i 的私鑰ski.

●重加密密鑰提取諭示機(jī)ORE-EXT（IDi，IDj） 給定用戶i 的身份標(biāo)識IDi和用戶j 的身份標(biāo)識IDj，運(yùn)行RKGen 算法，產(chǎn)生一個單向的代理重加密密鑰rki→j.

●重加密諭示機(jī)ORE-ENC（IDi，IDj，Ci） 給定用戶i的身份標(biāo)識IDi和密文Ci、用戶j 的身份標(biāo)識IDj，運(yùn)行Re-Encrypt 算法，使用代理重加密密鑰rki→j將密文Ci轉(zhuǎn)化為重加密密文Cj.

●解密諭示機(jī)ODEC（IDi，Ci） 給定用戶i 的身份標(biāo)識IDi和密文Ci，運(yùn)行Decrypt 算法，使用用戶i 的私鑰ski解密密文Ci，返回明文m 或者無意義數(shù)⊥.

2）在挑戰(zhàn)階段，敵手A 決定第1 階段結(jié)束時，就在未被詢問過私鑰的用戶中挑選一個用戶ID*，輸出兩個等長的明文（m0，m1），挑戰(zhàn)者挑選一個隨機(jī)比特b∈{0，1}，計算挑戰(zhàn)密文C*←Encrypt（mb，ID*），然后發(fā)送C*給A.

在第2 階段，敵手A 可以隨意簽發(fā)查詢qm+1，qm+2，…，qn訪問以下諭示機(jī)，獲得輸出結(jié)果，即

●OEXT（IDi） IDi≠ID*，如果不存在挑戰(zhàn)衍生（IDi，Ci），那么挑戰(zhàn)者的響應(yīng)與第1 階段相同.挑戰(zhàn)衍生定義如下［9］：①（IDi，Ci）是其自身的挑戰(zhàn)衍生；②如果（IDi，Ci）是一個挑戰(zhàn)衍生，A已發(fā)出查詢ORE-ENC（IDi，IDj，Ci），收到一個新的密文Cj，則（IDj，Cj）是一個挑戰(zhàn)衍生；③如果（IDi，Ci）是一個挑戰(zhàn)衍生，A 已發(fā)出重加密密鑰查詢ORE-EXT（IDi，IDj），獲得 重加密密鑰rki→j，令Cj=Re-Encrypt（Ci，rki→j），那么（IDj，Cj）是一個挑戰(zhàn)衍生.

●ORE-ENC（IDi，IDj，Ci） 除非A 已查詢OEXT（IDj），且（IDi，Ci）是挑戰(zhàn)衍生，否則挑戰(zhàn)者的響應(yīng)與第1階段相同.

●ORE-EXT（IDi，IDj） 除非A 已查詢OEXT（IDj），且存在挑戰(zhàn)衍生（IDi，Ci），否則挑戰(zhàn)者的響應(yīng)與第1 階段相同.

●ODEC（IDi，Ci） 如果（IDi，Ci）不是挑戰(zhàn)衍生，則挑戰(zhàn)者的響應(yīng)與第1 階段相同.

3）在猜測階段，A 輸出一個猜測比特b′∈{0，1}，如果b′=b，則A 獲勝.

定義3（IND-SH-ID-CCA）［22］如果一個有多項式能力的敵手A 在IND-SH-ID-CCA 攻擊游戲中，對一個加密方案∏SH-IB-PRE所具有的優(yōu)勢可忽略，則稱該加密方案在語義上具有自適應(yīng)選擇密文攻擊源隱藏安全性.

IND-SH-ID-CCA 攻擊游戲協(xié)議與IND-ID-CCA攻擊游戲協(xié)議類似，但A 不管在第1 階段還是第2階段，都可以不受任何限制地訪問OEXT、ORE-ENC、ORE-EXT和ODEC諭示機(jī).

在挑戰(zhàn)階段，敵手A 決定第1 階段結(jié)束時，就挑選兩個源密文的用戶身份標(biāo)識（ID*0，ID*1）、挑戰(zhàn)用戶身份標(biāo)識ID*和一個挑戰(zhàn)明文m*， 計算C*0←Encrypt（m*，ID*0）和C*1←Encrypt（m*，ID*1），挑戰(zhàn)者挑選一個隨機(jī)比特b∈{0，1}，計算挑戰(zhàn)重加密密文后發(fā)送C*給A.

在猜測階段，A 輸出一個猜測比特b'∈{0，1}，如果b'=b，則A 獲勝.

Emura 的安全模型是一個自適應(yīng)模型，相比于非自適應(yīng)模型［3-4］，敵手可以隨機(jī)確定欲攻擊的目標(biāo)用戶，攻擊能力更強(qiáng)［8］，該模型下CCA 安全的方案更具有吸引力.

定義4（DBDH 假設(shè)） 令（G1，GT）是一個雙線性群組，P 是G1的一個產(chǎn)生元，e 是一個雙線性配對，則〈G1，GT，e〉上的DBDH 問題是指：給定（P，Pa，Pb，Pc，w），a，b，c∈RZ*q未知，判斷如果一個概率性多項式時間算法求解的DBDH 問題的優(yōu)勢可以忽略不計，則稱該DBDH 假設(shè)成立.

1.2 Emura-IB-PRE 方案

下面介紹具有源隱藏特性的CCA 安全I(xiàn)B-PRE方案［22］.

●Setup（k） 選擇一個k 位的素數(shù)q，令G1和GT分別是兩個q 階加法循環(huán)群和乘法循環(huán)群，且存在e：G1×G1→GT為雙線性映射，g為群G1的生成元.隨機(jī)選擇s∈RZ*q，輸出主密鑰msk=s 和params=

（g，gs，{Hi}5

i=1），這里Hi為哈希函數(shù)，分別定義為H1：

{0，1}*→G1，H2：{0，1}*→G1，H3：{0，1}*→G1，H4：GT×{0，1}n→Z*q，H5：GT→{0，1}n，明文空間為M：{0，1}n.

●KeyGen（msk，IDi） 給定用戶i 的身份標(biāo)識IDi∈{0，1}*，輸出ski=H1（IDi）s.

●Encrypt（IDi，m） 為使用標(biāo)識IDi加密明文消息m，發(fā)送者隨機(jī)選擇σ∈RGT，令r=H4（σ，m），計算C1←gr，C2←σ·e（gs，H1（IDi）r），C3←m⊕H5（σ），輸出密文C=（C1，C2，C3）.

●RKGen（ski，IDi，IDj） 隨機(jī)選擇X1∈RGT，X2∈R{0，1}n，令r'=H4（X1，X2），計算R1←gr'，R2←X1·e（gs，H1（IDj）r'），R3←X2⊕H5（X1），R4←H2（X2）·ski，輸 出

rki→j=（R1，R2，R3，R4）.

●Re-Encrypt（rki→j，Ci） 給定一個第1 層密文Ci=（C1，C2，C3）和rki→j=（R1，R2，R3，R4），計算第2 層密文Cj：選擇X'1，X'2∈RGT，令t=H4（C3，R3），t'=H4（X'1，C3），s'=H4（X'1，X'2） 和s''=H4（X'2，R3），計算C'1←C1·gt，C'2←C2·e（gs，H1（IDi）t）/e（C'1，R4），C'3←C3⊕H5（X'1），C'4←gt'，C'5←X'1·e（gs，H1（IDj）t'），C'6←gs''，C'7←X'2·e（g，H1（IDj）s''），R'1←R1·gs'，R'2←R2·e（gs，H1（IDj）s'），R'3←R3⊕H5（X'2），S'1←H3（C'1，C'2）t，S'2←H3（R'1，R'2）s'；輸出Cj=（C'1，C'2，…，C'7，S'1，S'2，R'1，R'2，R'3）.

●Decrypt（ski，Ci） 令Ci為一個l（l∈{1，2}）級密文，算法執(zhí)行過程如下.

?當(dāng)l=1 時，Ci表示為（C1，C2，C3），計算σ←C2/e（C1，ski）和m←C3⊕H5（σ），檢查C1？= gr，這 里r=H4（σ，m）.如果檢查通過，則輸出m，否則輸出⊥.

?當(dāng)l=2 時，Ci表示為（C'1，C'2，…，C'7，S'1，S'2，R'1，R'2，R'3），給定ski=H1（IDi）s，解密密文：

1）計算X'1←C'5/e（C'4，ski），C3←C'3⊕H5（X'1），t'=H4（X'1，C3），并檢驗C'4

？=gt'；

2）計算X'2←C'7/e（C'6，ski），R3←R'2⊕H5（X'2），s''=H4（X'2，R3），并檢驗C'6

？=gs''；

3）計算s'←H4（X1'，X'2），檢驗計算X1←R'2/e（R'1，ski），X2←R3⊕H5（X1），r'←H4（X1，X2），檢查

5）計算t=H4（C3，R3），檢驗，計算σ←C'2·e（C'1，H2（X2）），m←C3⊕H5（σ）和r←H4（σ，m），檢查

6）如果所有的檢查通過，則輸出m，否則輸出⊥.

1.3 Emura-IB-PRE 方案的安全性分析

對Emura-IB-PRE 的攻擊方案如下：

2）在第1 階段，敵手A 簽發(fā)提取查詢OEXT（ID'），獲取ID'對應(yīng)的解密密鑰skID'=H1（ID'）s.

3）在挑戰(zhàn)階段，A 輸出兩個長度相同的明文m0，m1∈M 和對應(yīng)的ID*，然后獲得挑戰(zhàn)密文C*←Encrypt（mb，ID*），C*=（C*1，C*2，C*3），其格式為C*=（gr，σ·e（gs，H1（ID*）r），mb⊕H5（σ）），r=H4（σ，mb）.

4）在第2 階段，

（a）A 選擇長度等于m0的m'∈M， 令C'=（C'1，C'2，C'3）=（C*1，C*2，m'⊕C*3），即C'=（gr，σ·e（gs，H1（ID*）r），m'⊕mb⊕H5（σ））.

（b）A 簽發(fā)重加密查詢ORE-ENC（ID*，ID'，C'），獲得重加密密文C''=（C''1，C''2，…，C''7，S''1，S''2，R''1，R''2，R''3）.根據(jù)安全模型，A 查詢C' 的重加密密文是合法的，因為雖然A 掌握了ID' 的解密密鑰，但該模型只禁止對挑戰(zhàn)密文進(jìn)行重加密查詢.

（c）A 已知skID'=H1（ID'）s，計算X'1←C''5/e（C''4，skID'），t'=H4（X'1，C''3），X'2←C''7/e（C''6，skID'），R3←R''3⊕H5（X'2），X1←R''2/e（R''1，skID'），X2←R3⊕H5（X1），mb←C3⊕H5（σ）.注意這里使用C3替代C'3.

這樣，不檢查條件成立與否，敵手A 獲得mb，攻破Emura-IB-PRE 方案的選擇密文安全性.分析Emura的證明過程，發(fā)現(xiàn)在處理解密被篡改的重加密密文的請求時，其模擬過程調(diào)用了BE 解密諭示機(jī)解密C'，得到⊥，此時Emura-IB-PRE 解密諭示機(jī)無法給出m，模擬失敗.這一情況在原文獻(xiàn)［22］中被忽略了.

2 改進(jìn)方案E-SH-IB-PRE

Emura-IB-PRE 方案中重加密代理無法驗證密文，導(dǎo)致攻擊者可構(gòu)造特別密文C'，欺騙重加密代理將C'進(jìn)行重加密，得到攻擊者擁有私鑰的ID'的重加密密文C''，從而使用ID'的私鑰skID'解密重加密密文C''.針對這一問題，文中通過為密文增加可公開驗證的信息來保證密文不被修改.E-SH-IB-PRE方案有如下定義.

●Setup（k） 選擇一個k 位的大素數(shù)q，令G1和GT分別是兩個q 階加法循環(huán)群和乘法循環(huán)群，且存在e：G1×G1→GT為雙線性映射，g 為群G1的生成元.隨機(jī)選擇s∈RZ*q，計算gs，令主密鑰msk=s.選擇隨機(jī)散列函數(shù)H1：{0，1}*→G1，H2：{0，1}*→G1，H3：{0，1}*→G1，H4：GT×{0，1}n→Z*q，H5：GT→{0，1}n和H6：{0，1}*→G1，輸出.明文空間為M：{0，1}n.

●KeyGen（msk，IDi） 給定用戶i 的身份標(biāo)識IDi∈{0，1}*，輸出ski=H1（IDi）s.

●Encrypt（IDi，m） 為了使用用戶i 的身份標(biāo)識IDi加密一個明文消息m∈M，發(fā)送者隨機(jī)選擇σ∈RGT，令r=H4（σ，m），計算C1←gr，C2←σ·e（gs，H1（IDi）r），C3←m⊕H5（σ）；令u=H6（C1||C2||C3），計算C4←ur，輸出密文C=（C1，C2，C3，C4）.

●RKGen（ski，IDi，IDj） 選擇X1∈RGT，X2∈R{0，1}n，令r'=H4（X1，X2），計算R1←gr'，R2←X1·e（gs，H1（IDj）r'），R3←X2⊕H5（X1），R4←H2（X2）·ski，輸出rki→j=（R1，R2，R3，R4）.

●Re-Encrypt（rki→j，Ci） 給定一級密文Ci=（C1，C2，C3，C4）和重加密密鑰rki→j=（R1，R2，R3，R4），通過以下方法計算重加密密文Cj：

1）計算u=H6（C1||C2||C3），檢查e（C1，u）？=e（g，C4），如果檢查不通過，則輸出⊥.

2）選擇X'1，X'2∈RGT，令t=H4（C3，R3），t'=H4（X'1，C3），s'=H4（X'1，X'2）和s''=H4（X'2，R3），計算C'1←C1·gt，C'2←C2·e（gs，H1（IDi）t）/e（C'1，R4），C'3←C3⊕H5（X'1），C'4←gt'，C'5←X'1·e（gs，H1（IDj）t'），C'6←gs''，C'7←X'2·e（g，H1（IDj）s''），R'3←R3⊕H5（X'2），R'1←R1·gs'，R'2←R2·e（gs，H1（IDj）s'），X'2←H3（C'1，C'2）t，S'2←H3（R'1，R'2）s'，輸出Cj=（C'1，C'2…，C'7，S'1，S'2，R'1，R'2，R'3）.

●Decrypt（ski，Ci） 令Ci為一個l（l∈{1，2}）級密文，算法執(zhí)行過程如下.

?當(dāng)l=1 時，Ci=（C1，C2，C3，C4），檢查e（C1，u）？=e（g，C4），這里u=H6（C1||C2||C3），如果檢查不通過，則輸出⊥.計算σ←C2/e（C1，ski）和m←C3⊕H5（σ），輸出m.這里的檢驗方法與Emura-IB-PRE 方案不同，避免解密的是重加密密鑰中的（R1，R2，R3）.

?當(dāng)l=2 時，Ci=（C'1，C'2…，C'7，S'1，S'2，R'1，R'2，R'3），ski=H1（IDi）s，解密密文：

1）計 算X'1←C'5/e（C'4，ski），C3←C'3⊕H5（X'1），t'=H4（X'1，C3），并檢驗C'4

？=gt'；

2）計算X'2←C'7/e（C'6，ski），R3←R'3⊕H5（X'2），s''=H4（X2'，R3），并檢驗

3）計算s'←H4（X'1，X'2），檢驗計算X1←R'1/e（R'1，ski），X2←R3⊕H5（X1），r'←H4（X1，X2），檢 查

4）計算t=H4（C3，R3），檢驗計算σ←C'2·e（C'1，H2（X2）），m←C3⊕H5（σ），r←H4（σ，m），檢查

5）如果所有的檢查通過，則輸出m，否則輸出⊥.

正確性驗證對于源密文，以下等式成立：

C2/e（C1，ski）=σ·e（gs，H1（IDi）r）/e（gr，H1（IDi）s）=σ，C3⊕H5（σ）=m⊕H5（σ）⊕H5（σ）=m.

對于Cj的重加密密文Ci，以下等式成立：

安全性分析文中分析了E-SH-IB-PRE 方案的安全性，給出以下兩個定理，其詳細(xì)證明參見附錄.

定理1在DBDH 假設(shè)成立的條件下，E-SHIB-PRE 方案在隨機(jī)諭示模型下是IND-ID-CCA 安全的.

定理2E-SH-IB-PRE 方案在信息論意義下是IND-SH-ID-CCA 安全的.

3 結(jié)論

文中分析了Emura-IB-PRE 方案的缺陷，提出了具體的攻擊方法，并證明了該方案不能抵抗選擇密文攻擊.在此基礎(chǔ)上，文中提出了改進(jìn)的方案E-SHIB-PRE，該方案在隨機(jī)諭示模型下具有抗選擇密文攻擊安全性和源隱藏特性.

Emura-IB-PRE 方案違反一級密文可公開驗證原則，該原則是對代理重加密方案的普遍性要求.如果代理重加密方案沒有滿足該要求，則可對其進(jìn)行隨機(jī)化密文重放攻擊，攻破方案的選擇密文安全性.此攻擊實(shí)例表明，一級密文可公開驗證的原則對代理重加密方案設(shè)計具有重要的作用.

附錄 安全性證明

Emura-IB-PRE方案的公鑰加密部分是以IBE 方案［28］為基礎(chǔ)的，將C2的計算方法改為C2←σ·e（gs，H1（IDi）r）.文中首先給出基礎(chǔ)IBE 方案，并證明其IND-CCA 安全性，然后將敵手對改進(jìn)方案的攻擊歸約為對基礎(chǔ)IBE 方案的IND-CCA安全性攻擊.

1）基礎(chǔ)IBE 方案的定義和安全性證明

定義5［28］基于身份標(biāo)識的公鑰加密方案（IBE）方案由以下4 個算法組成：

●Setup（k） 輸入安全參數(shù)k，返回一個主密鑰msk 和一組公共參數(shù)列表params；

●KeyGen（msk，IDi） 給定用戶i 的身份標(biāo)識IDi，返回一個用戶i 的私鑰ski；

●Encrypt（IDi，m） 給定IDi和明文消息m，返回使用IDi加密的密文Ci；

●Decrypt （ski，Ci） 輸入一個給用戶i 的密文Ci和私鑰ski，輸出明文m 或者無意義數(shù)⊥.

定義6［28］如果一個有多項式能力的敵手A 在如下的攻擊游戲中，對于一個IBE 方案所具有的優(yōu)勢是可以忽略的，則稱該加密方案具有選擇密文語義安全性（IND-CCA）.

在系統(tǒng)建立階段，挑戰(zhàn)者獲取安全參數(shù)k，運(yùn)行Setup 算法，產(chǎn)生公共參數(shù)列表params 和主密鑰msk，將公共參數(shù)列表params 傳給A，保留主密鑰msk.

在第1 階段，敵手A 可隨意簽發(fā)以下查詢q1，q2，…，qm，獲得輸出結(jié)果：

●Extract（IDi） 給定用戶i的身份標(biāo)識IDi，運(yùn) 行KeyGen 算法，產(chǎn)生用戶i 的私鑰ski.

●Decrypt（IDi，Ci） 給定用戶i 的身份標(biāo)識IDi和密文Ci，運(yùn)行Decrypt 算法，使用用戶i 的私鑰ski解密密文Ci，返回m←Decrypt（ski，Ci）.

在挑戰(zhàn)階段，一旦敵手A 決定第1 階段結(jié)束，就在未被問過私鑰的ID 中挑選一個ID*，輸出兩個等長的明文（m0，m1），挑戰(zhàn)者隨機(jī)挑選比特b∈{0，1}，計算C*←Encrypt（ID*，mb），然后發(fā)送C*給A.

在第2 階段，敵手A 可隨意簽發(fā)以下查詢qm+1，qm+2，…，qn，獲得輸出結(jié)果：

●Extract（IDi） IDi≠ID*，B 的響應(yīng)同第1 階段.

●Decrypt（IDi，Ci）如果（IDi，Ci）不是挑戰(zhàn)密文，則B 的響應(yīng)同第1 階段.

在猜測階段，A 輸出一個猜測比特b'∈{0，1}，如果b'=b，則A 獲勝.

一個攻擊者在上述攻擊協(xié)議中獲得的優(yōu)勢為

定義7基于Boneh 方案的基礎(chǔ)IBE 方案如下：

●Setup（k） 選擇k 位的素數(shù)q，令G1和GT分別是兩個q 階加法循環(huán)群和乘法循環(huán)群，g為群G1的生成元，e：G1×G1→GT為雙線性映射.隨機(jī)選擇s∈Z*q，令msk=s.選擇散列函 數(shù)H1：{0，1}*→G1，H4：GT×{0，1}n→Z*q，H5：GT→{0，1}n，輸出公共參數(shù)（g，gs，H1，H4，H5）.明文空間為M：{0，1}n.

●KeyGen（msk，IDi） 給定用戶i 的身份標(biāo)識IDi∈{0，1}*，輸出ski=H1（IDi）s.

●Encrypt（IDi，m） 為了使用IDi加密明文消息m，發(fā)送者隨機(jī)選擇σ∈RGT，令r=H4（σ，m），計算C1←gr，C2←σ·e（gs，H1（IDi）r），C3←m⊕H5（σ），輸出密文C=（C1，C2，C3）.

●Decrypt（ski，Ci） 令密文為（C1，C2，C3），計算σ←C2/e（C1，ski）和m←C3⊕H5（σ），檢查，這里r=H4（σ，m）.如果檢查通過，則輸出m，否則輸出⊥.

下面證明基礎(chǔ)IBE 方案在DBDH 假設(shè)和隨機(jī)模型下滿足IND-CCA 安全性.

證明構(gòu)造一個算法B，通過能以不可忽略的概率ε 打破基礎(chǔ)IBE 方案的IND-CCA 安全性的敵手A 來解決BDH判定性問題.

在系統(tǒng)建立階段，輸入BDH 判定性問題的一個實(shí)例（P，Pa，Pb，Pc，w），算法B 輸出參數(shù)（P，Pa，H1，H4，H5），H1和H4為B 控制的隨機(jī)諭示機(jī).

●H1（IDi） 如果（IDi，Hi，xi，ci）已在H1中存在，則返回Hi，否則B 投擲加權(quán)硬幣以概率δ 設(shè)置ci=0，隨機(jī)選擇xi∈RZ*q.如果ci=0，令Hi=Pxi，否則令Hi=Pbxi.B 紀(jì)錄相應(yīng)的值到H1中.

●H4（σ，m） 隨機(jī)選擇ri∈RZ*q，記錄（ri，σi，mi）到H4中，返回ri.

在第1 階段，敵手A 可隨意簽發(fā)以下查詢，獲得輸出結(jié)果，B 的響應(yīng)如下：

●Extract（IDi） B 調(diào)用H1（IDi），如果ci=1，則終止模擬，返回失??；否則輸出ski=Paxi.

●Decrypt （IDi，Ci） 設(shè)Ci=（C1，C2，C3），B 在H4中查找滿足C1=Pri的（ri，σi，mi），返回mi.

在挑戰(zhàn)階段，A發(fā)送挑戰(zhàn)消息（m0，m1，ID*）到B.B 調(diào)用H1（ID*），如果ci*=0，那么B 輸出一個隨機(jī)位后中止；否則，挑戰(zhàn)者挑選一個隨機(jī)比特b∈{0，1}，隨機(jī)選擇σ∈RGT，返回C*=（Pc，σ·wxi*，mb⊕H5（σ））給A.

在第2 階段，敵手A 可以隨意簽發(fā)以下查詢，獲得輸出結(jié)果，B 的響應(yīng)如下：

●Extract（IDi） 如果IDi=ID*，則返回⊥；否則B 的響應(yīng)同第1 階段.

●Decrypt（IDi，Ci） 如果（IDi，Ci）是挑戰(zhàn)密文，則返回⊥；否則B 的響應(yīng)同第1 階段.

在猜測階段，當(dāng)A 輸出b′∈{0，1}時，如果b′=b，則B 輸出1，否則輸出0.

若B 在模擬過程中不退出，在構(gòu)造挑戰(zhàn)密文時令r=c，則正確加密情況下C*1=gr=Pc，C*2=σ·e（gs，H1（IDi）r）=σ·e（Pa，Pcbxi）=σ·e（P，P）abcxi，即當(dāng)w=e（P，P）abc時，C*是mb在ID*下的正確加密，否則C*是一個隨機(jī)值的加密.故當(dāng)A 給出b'=b 時，B 輸出1，反之輸出0.

設(shè)qE是A 發(fā)出的查詢數(shù)目，則在第1 或者第2 階段，B不中止的概率為δqE.此外，B 在挑戰(zhàn)階段沒有中止的概率為1-δ.因此B 沒有中止的概率為δqE（1－δ），此值在δ=1－1/（qE+1）時最大化.因此，B 的優(yōu)勢至少是ε/ln（qE+1）.

2）E-SH-IB-PRE 方案的安全性證明

定理3E-SH-IB-PRE 方案在隨機(jī)諭示模型下是IND-ID-CCA 安全的.

證明構(gòu)造一個算法B，通過能以不可忽略的概率ε 打破E-SH-IB-PRE 方案的IND-ID-CCA 安全性的敵手A 來打破基礎(chǔ)IBE的IND-CCA安全性.B維護(hù)一個rk 表（α，IDi，IDj，rki→j），以決定B 是否返回偽造的密鑰.設(shè)* 是B 管理的表中的通配符，C 是基礎(chǔ)IBE 實(shí)驗中的挑戰(zhàn)者.算法B 構(gòu)造如下：

在系統(tǒng)建立階段，C 發(fā)送（g，gs，H1，H4，H5）給B，B 添加H2、H3、H6，并轉(zhuǎn)發(fā)給A，其中H6為B 控制的隨機(jī)諭示機(jī).

●H6（C1||C2||C3） 隨機(jī)選擇si∈RZ*q，記錄（si，C1||C2||C3）到H6表，返回gsi.

在第1 階段，敵手A 可以隨意簽發(fā)查詢q1，q2，…，qm訪問以下諭示機(jī)，獲得輸出結(jié)果，B 的響應(yīng)如下.

●OEXT（IDi） B 投擲加權(quán)硬幣以概率δ 設(shè)置α=1.如果α=0，或者（0，IDi，*，*）或（0，*，IDj，*）已在表rk 中存在，則B輸出一個隨機(jī)位后中止；否則，B 簽發(fā)基礎(chǔ)IBE 游戲中定義的Extract（IDi）獲得ski，在表rk 中記錄（1，IDi，IDj，⊥），并返回ski給A.

●ORE-EXT（IDi，IDj） B 以概率δ 設(shè)置α=1.如果α=1，或者（1，IDi，IDi，*）或（1，IDj，IDj，*）已在 表rk 中存在，則B 簽發(fā)Extract（IDi），獲得ski，然后計算rki→j←RKGen（ski，IDi，IDj），返回rki→j給A，記錄（1，IDi，IDj，rki→j）；否則，B 返回一個偽造的重加密密鑰rki→j，即

（i）選擇X1∈RGT，X2∈R{0，1}n，令r'=H4（X1，X2），計 算R1←gr'，R2←X1·e（gs，H1（IDj）r'），R3←X2⊕H5（X1）；

（ii）選擇x∈RG1，令R4=x，x 可表示為H1（IDi）s·y，其中y∈G1為一個未知量，一個能夠區(qū)分無效重加密密鑰的敵手在仿真中也可判斷（R1，R2，R3）有無加密值Y，這里Y∈GT，且H2（Y）=y.

（iii）B 輸出rki→j=（R1，R2，R3，R4），在表rk 中記錄（0，IDi，IDj，rki→j）.

●ORE-ENC（IDi，IDj，Ci） 計算u=H6（C1||C2||C3），檢查e（g，C4），如果檢查不通過，則輸出⊥.如果（*，IDi，IDj，*）沒在表中，則B 執(zhí)行ORE-EXT（IDi，IDj）后計算Re-Encrypt（rki→j，Ci）.

●ODEC（IDi，Ci） 如果Ci=（C1，C2，C3，C4）是一個第1 層密文，B 簽發(fā)基礎(chǔ)IBE 實(shí)驗中定義的Decrypt（IDi，（C1，C2，C3）），則獲得m 或⊥，返回給A.

如果Ci是有效的第2 層密文，則A 應(yīng)該通過以下3 種方法獲得：

（1）A簽發(fā)ORE-EXT（*，IDi），獲得重加密密鑰rk*→i，并運(yùn)行Re-Encrypt 算法；

（2）A 簽發(fā)ORE-ENC（*，IDi，C*），獲得重加密的二級密文；

（3）A簽發(fā)OEXT（ID*）得到sk*，運(yùn)行RKGen 算法，獲得rk*→i后執(zhí)行Re-Encrypt 算法.

在第（1）、（2）種情形下，表rk 中存在（*，*，IDi，rk*→i）.若（1，*，IDi，rk*→i）在表中，則B 獲得ski（由Extract（IDi）獲得），使用ski解密Ci，返回明文m；否則，如果表中存在（0，*，IDi，rk*→i），則B 通過如下步驟返回m：

1）B 簽發(fā)Decrypt（IDi，（C'4，C'5，C'3）），獲得C3或者⊥.

2）B 簽發(fā)Decrypt（IDi，（C'6，C'7，R'3）），獲得R3或者⊥.

3）B 計算t=H4（C3，R3），檢驗，然后計算C1=C'1·g－t.

4）對于表rk 中所有的（0，IDj，IDi，rkj→i），B 執(zhí)行以下過程直到m 解出來或者沒有剩余的表項.

（a）設(shè)rkj→i=（0，*，*，x），則計算C2←C'2·e（C'1，x）.

（b）B 簽發(fā)Decrypt（IDj，（C1，C2，C3））并獲得m 或者⊥.

5）如果所有檢查的條件成立，結(jié)果也沒有返回⊥，那么B 返回m 給A，否則B 返回⊥.

在第（3）種情況下，表中存在（1，ID*，ID*，⊥），則B 使用skID*解密，返回明文.

在挑戰(zhàn)階段，A 發(fā)送挑戰(zhàn)消息（m0，m1，ID*）到B.如果表中存在（1，ID*，*，*），那么B 輸出一個隨機(jī)位后中止；否則，B發(fā)送（m0，m1，ID*）到C 作為挑戰(zhàn)消息，并由C 獲得（C*1，C*2，C*3），然后執(zhí)行H6（C*1||C*2||C*3），計算C*4←（C*1）si*，將挑戰(zhàn)密文C*=（C*1，C*2，C*3，C*4）返回給A.

在第2 階段，敵手A 可以隨意簽發(fā)查詢，訪問以下諭示機(jī)，獲得輸出結(jié)果，B 的響應(yīng)如下.

●OEXT（IDi） IDi≠ID*，如果存在挑戰(zhàn)衍生（IDi，Ci），則返回⊥，否則B 的響應(yīng)同第1 階段.

●ORE-EXT（IDi，IDj） 若IDi=ID*，則B 偽造一隨機(jī)重加密密鑰，記錄（0，IDi，IDj，rki→j）到表中.若A已查詢IDj的私鑰，且存在挑戰(zhàn)衍生（IDi，Ci），則返回⊥，否則B 的響應(yīng)同第1 階段.

●ORE-ENC（IDi，IDj，Ci） 若A 已查詢IDj的私鑰，且（IDi，Ci）是挑戰(zhàn)衍生，則返回⊥，否則B 的響應(yīng)同第1 階段.

●ODEC（IDi，Ci） 如果（IDi，Ci）是挑戰(zhàn)衍生，則返回⊥，否則B 的響應(yīng)同第1 階段.

在猜測階段，當(dāng)A 返回猜測位b'時，B 輸出b'.

B 在模擬過程中對一些用戶私鑰是未知的(即α=0 的情況），但如果B 在模擬過程中不中止，那么從A 看來，他是無法發(fā)現(xiàn)這種情況的.因此，若A 在不區(qū)分無效重加密密鑰情況下能夠獲得正確的猜測位，則B 能攻破基礎(chǔ)IBE 實(shí)驗.

若A 能區(qū)分偽造的重加密密鑰（R1，R2，R3，x），其對應(yīng)正確的重加密密鑰應(yīng)為（R1，R2，R3，R4），其中（R1，R2，R3）實(shí)際上是使用IDi對X2進(jìn)行加密，即（R1，R2，R3）←Encypti（X2），R4=H2（X2）·ski.令x=H2（Y）·ski，Y∈GT，則A 能夠判斷從而贏得基礎(chǔ)IBE 的IND-CCA 攻擊游戲，攻破基礎(chǔ)IBE.

因此，只要估計B 沒有中止的概率，即可給出敵手的優(yōu)勢.設(shè)qE是A 發(fā)出的查詢數(shù)目，則在第1 或者第2 階段B 以概率δqE不中止，且B 在挑戰(zhàn)階段沒有中止的概率為1-δ.因此B 沒有中止的概率為δqE（1－δ），此值在δ=1－1/（qE+1）時最大化.因此，B 的優(yōu)勢至少是ε/ln（qE+1）.

定理4E-SH-IB-PRE 方案在信息論意義下是IND-SHID-CCA 安全的.

使用Emura 等［22］的方法可以證明定理2 是成立的.

證明令源 密文Ci=（C1，C2，C3，C4），C1=gr，C2=σ·e（gs，H1（IDi）r），C3=m⊕H5（σ），C4=（H6（C1||C2||C3））r，重加密密鑰rki→j=（R1，R2，R3，R4），R1=gr'，R2=X1·e（gs，H1（IDj）r'），R3=X2⊕H5（X1），R4=H2（X2）·ski，則重加密密文Cj=（C'1，C'2，…，C'7，S'1，S'2，R'1，R'2，R'3），其中，C'1=gr+t，C'2=σ/e（gr+t，H2（X2）），C'3=m⊕H5（σ）⊕H5（X'1），C'4=gt'，C'5=X'1·e（gs，H1（IDj）t'），C'6=gs''，C'7=X'2·e（g，H1（IDj）s''），R'1←gr'+s'，R'2=X1·e（gs，H1（IDj）r'+s'），R'3=X2⊕H5（X1）⊕H5（X'2），S'1=H3（C'1，C'2）t，S'2←H3（R'1，R'2)s'，t、t'、s'、s" 和X'1、X'2都是隨機(jī)值.明顯地，目的密文Cj中不包括源身份IDi，故定理顯然是滿足的.沒有源密文直接包括在目的密文中，即方案中使用一個隨機(jī)值t、t'、s'、s" 來隨機(jī)化源密文Ci的一部分，使得對于目的密文Cj，任何一個一級密文Ci都有可能是它的源密文.

［1］Blaze M，Bleumer G，Strauss M.Divertible protocols and atomic proxy cryptography［C］//Advances in Cryptology：EUROCRYPT’98.Berlin/Heidelberg：Springer-Verlag，1998：127-144.

［2］Ateniese Giuseppe，F(xiàn)u Kevin，Green Matthew，et al.Improved proxy re-encryption schemes with applications to secure distributed storage ［J］.ACM Transactions on Information and System Security，2006，9（1）：1-30.

［3］Canetti R，Hohenberger S.Chosen-ciphertext secure proxy re-encryption ［C］//Proceedings of the 14th ACM Conference on Computer and Communications Security.Alexandria：ACM，2007：185-194.

［4］Libert Benoit，Vergnaud Damien.Unidirectional chosenciphertext secure proxy re-encryption ［J］.IEEE Transactions on Information Theory，2011，57（3）：1786-1802.

［5］Deng R H，Weng J，Liu S，et al.Chosen-ciphertext secure proxy re-encryption without pairings ［C］//Proceedings of Cryptology and Network Security.Berlin/Heidelberg：Springer-Verlag，2008：1-17.

［6］Ateniese Giuseppe，Benson Karyn，Hohenberger Susan.Keyprivate proxy re-encryption ［C］//Proceedings of the Cryptographers’ Track at the RSA Conference 2009.Berlin/Heidelberg：Springer，2009：279-294.

［7］Matsuda Toshihide，Nishimaki Ryo，Tanaka Keisuke.CCA proxy re-encryption without bilinear maps in the standard model ［C］//Proceedings of the 13th International Conference on Practice and Theory in Public Key Cryptography.Berlin/Heidelberg：Springer，2010：261-278.

［8］Weng J，Chen M R，Yang Y，et al.CCA-secure unidirectional proxy re-encryption in the adaptive corruption model without random oracles ［J］.Science China：Information Science，2010，53（3）：593-606.

［9］Weng J，Deng R H，Ding X H，et al.Conditional proxy reencryption secure against chosen ciphertext attack ［C］//Proceedings of the 4th International Symposium on Information，Computer，and Communications Security.New York：ACM，2009：322-332.

［10］Green M，Ateniese G.Identity-based proxy re-encryption［C］//Proceedings of the Applied Cryptography and Network Security.Berlin/Heidelberg：Springer-Verlag，2007：288-306.

［11］Chu C-K，Tzeng W-G.Identity-based proxy re-encryption without random oracles［M］//Information Security.Berlin/Heidelberg：Springer-Verlag，2007：189-202.

［12］Hu X，Chen X，Huang S.Fully secure identity based proxy re-encryption schemes in the standard model ［C］//Proceedings of the International Conference on Computer Science and Information Technology.Singapore：IEEE，2008：53-57.

［13］Ibraimi L，Tang Q，Hartel P H，et al.A type-and-identitybased proxy re-encryption scheme and its application in healthcare ［C］//Proceedings of the Secure Data Management.Berlin/Heidelberg：Springer-Verlag，2008：185-198.

［14］Lai J Z，Zhu W T，Deng R H，et al.New constructions for identity-based unidirectional proxy re-encryption ［J］.Journal of Computer Science and Technology，2010，25（4）：793-806.

［15］Matsuo T.Proxy re-encryption systems for identity-based encryption［C］//Proceedings of Pairing 2007.Berlin/Heidelberg：Springer，2007：247-267.

［16］Wang Lihua，Wang Licheng，Mambo M，et al.New identity-based proxy re-encryption schemes to prevent collusion attacks ［C］//Proceedings of Pairing 2010.Berlin/Heidelberg：Springer，2010：327-346.

［17］Shao J，Cao Z.Multi-use unidirectional identity-based proxy re-encryption from hierarchical identity-based encryption［J］.Information Sciences，2012，206（23）：83-95.

［18］Wang H，Cao Z，Wang L.Multi-use and unidirectional identity-based proxy re-encryption schemes ［J］.Information Sciences，2010，180（20）：4042-4059.

［19］Shao J，Wei G，Ling Y，et al.Identity-based conditional proxy re-encryption ［C］//Proceedings of 2011 IEEE International Conference on Communications.Kyoto：IEEE，2011：1-5.

［20］Wang Lihua，Wang Licheng，Manbo M，et al.Identitybased proxy cryptosystems with revocability and hierarchical confidentialities ［J］.EICE Transactions on Fundamentals of Electronics，Communications and Computer Sciences，2012，E95-A（1）：70-88.

［21］Liang Kaitai，Liu Zhen，Tan Xiao，et al.A CCA-secure identity-based conditional proxy re-encryption without random oracles［C］//Proceedings of the 15th International Conference on Information Security and Cryptology.Seoul：Springer，2013：231-246.

［22］Emura K，Miyaji A，Omote K.An identity-based proxy re-encryption scheme with source hiding property，and its application to a mailing-list system ［C］//Proceedings of the Public Key Infrastructures，Services and Applications.Berlin/Heidelberg：Springer-Verlag，2011：77-92.

［23］Shao J.Anonymous ID-based proxy re-encryption ［C］//Proceedings of the 17th International Conference on Information Security and Privacy.Wollongong：Springer，2012：364-377.

［24］Bobba R，Muggli J，Pant M，et al.Usable secure mailing lists with untrusted servers ［C］//Proceedings of the 8th Symposium on Identity and Trust on the Internet.New York：ACM，2009：103-116.

［25］Khurana H，Hahm H S.Certified mailing lists ［C］//Proceedings of the 2006 ACM Symposium on Information,Computer and Communications Security.New York：ACM，2006：46-58.

［26］Khurana H，Slagell A J，Bonilla R.SELS：a secure e-mail list service ［C］//Proceedings of the 2005 ACM Symposium on Applied Computing.New York：ACM，2005：306-313.

［27］Khurana H，Heo J，Pant M.From proxy encryption primitives to a deployable secure-mailing-list solution［C］//Proceedings of Information and Communications Security.Berlin/Heidelberg：Springer，2006：260-281.

［28］Boneh D，F(xiàn)ranklin M.Identity-based encryption from the weil pairing ［C］//Proceedings of the 21st Annual International Cryptology Conference on Advances in Cryptology.Santa Barbara：Springer，2001：213-229.