一種可信安全的層次式基于身份加密系統(tǒng)

王小峰，陳培鑫，周　寰，蘇金樹

(國防科學(xué)技術(shù)大學(xué)計(jì)算機(jī)學(xué)院，湖南長沙 410073)

一種可信安全的層次式基于身份加密系統(tǒng)

王小峰，陳培鑫，周寰，蘇金樹

(國防科學(xué)技術(shù)大學(xué)計(jì)算機(jī)學(xué)院，湖南長沙 410073)

本文提出一種可信安全的層次式基于身份加密系統(tǒng)T-HIBE，通過層次式分布化的用戶私鑰產(chǎn)生，以及私鑰用戶盲因子、用戶私鑰編號因子和PKG私鑰編號因子技術(shù)，解決了層次式私鑰生成機(jī)構(gòu)的密鑰托管和私鑰安全傳輸問題，支持系統(tǒng)高效的用戶身份一次認(rèn)證和可追責(zé)性.基于標(biāo)準(zhǔn)的BDH難題假設(shè)，文章證明了基本T-HIBE機(jī)制和完全T-HIBE機(jī)制分別具有IND-sID-OWE和IND-sID-CCA安全性.

層次化基于身份加密；密鑰托管；密鑰安全傳輸；認(rèn)證可追責(zé)；抗串謀

1　引言

針對傳統(tǒng)非對稱加密機(jī)制的公鑰隨機(jī)化問題，Shamir[1]提出基于身份的加密機(jī)制(IBE，Identity Based Encryption).通過將用戶的身份信息(如姓名、郵件、IP地址等)直接作為用戶的公鑰，無需通過數(shù)字證書綁定用戶身份和公鑰，從而避免了管理公鑰證書帶來的開銷.Boneh[2]基于雙線性對映射，提出了第一個(gè)實(shí)用的IBE方案.進(jìn)一步Horwitz和Gentry等人提出層次化的HIBE(Hierarchical IBE)方案，通過高層級用戶為低層級子孫用戶生成私鑰，有效解決了IBE中私鑰生成機(jī)構(gòu)PKG(Private Key Generator)負(fù)載過重，規(guī)模擴(kuò)展受限等問題.

由于用戶私鑰由私鑰生成機(jī)構(gòu)PKG生成，(H)IBE機(jī)制在具體應(yīng)用時(shí)必須面對以下三個(gè)問題：

(1)PKG的可信問題，即密鑰托管問題，PKG生成并保存用戶的私鑰信息，可能破壞用戶私鑰的保密性.

(2)密鑰傳輸問題，用戶必須采用安全信道從PKG獲取私鑰，增加了系統(tǒng)的部署代價(jià).

(3)密碼系統(tǒng)的效率和身份認(rèn)證可追責(zé)問題，為解決PKG可信問題，現(xiàn)有解決方案大多提出分布式PKG方式，但如果多個(gè)PKG各自認(rèn)證用戶，將大大增加系統(tǒng)開銷；如果采用單個(gè)PKG認(rèn)證共享方案，則可能存在單個(gè)PKG虛假身份認(rèn)證導(dǎo)致非法用戶私鑰獲取的可能性.

針對以上三個(gè)問題，目前的研究主要集中在IBE領(lǐng)域，而HIBE密碼系統(tǒng)缺少針對PKG密鑰托管、密鑰安全傳輸、身份認(rèn)證效率和可追責(zé)問題的系統(tǒng)解決方案.

本文提出一種可信安全的層次式基于身份加密系統(tǒng)T-HIBE(Trustworthy HIBE)，它既能解決系統(tǒng)的密鑰托管和私鑰安全傳輸問題，支持高效的用戶身份一次認(rèn)證和可追責(zé)性，又能實(shí)現(xiàn)IND-sID-CCA(不可區(qū)分選擇身份-選擇密文攻擊)安全的抗串謀HIBE機(jī)制.論文具體貢獻(xiàn)如下：

(1)提出分布式基本T-HIBE機(jī)制，通過層次式PKG和多個(gè)KPA(Key Privacy Authority)共同為用戶產(chǎn)生私鑰，解決了層次式PKG的密鑰托管問題.

(2)基于簡單的BDH和DL難題假設(shè)，使用Fujisaki-Okamoto填充技術(shù)，實(shí)現(xiàn)了IND-sID-CCA安全的完全T-HIBE機(jī)制.

(3)設(shè)計(jì)了高效的T-HIBE安全機(jī)制，增加私鑰用戶盲因子，使得只有掌握秘密值的合法用戶才能得到私鑰，無需私鑰傳輸安全信道；采用PKG一次認(rèn)證，多個(gè)KPA檢查PKG簽名，避免了多個(gè)機(jī)構(gòu)認(rèn)證用戶身份的開銷；通過用戶私鑰編號因子和PKG私鑰編號因子共同組成用戶私鑰編號，實(shí)現(xiàn)了PKG用戶身份認(rèn)證和密鑰產(chǎn)生的可追責(zé).

2　相關(guān)研究

密鑰托管問題是(H)IBE系統(tǒng)的固有問題，解決方法可分為兩類：用戶選擇秘密值方法[3,4]和分布式方法[5～8].用戶選擇秘密值方法是用戶在申請私鑰前選擇秘密值用于修改PKG頒發(fā)的私鑰，使得PKG不知道用戶實(shí)際使用的私鑰，但該方法犧牲了IBE將用戶身份作為公鑰的優(yōu)勢.分布式方法將系統(tǒng)對單個(gè)機(jī)構(gòu)的信任分散到多個(gè)機(jī)構(gòu)，防止單個(gè)機(jī)構(gòu)解密用戶密文或泄漏用戶私鑰.Boneh[2]最先采取(t,n)門限思想緩解IBE中的密鑰托管問題，可抵抗t個(gè)PKG的串謀攻擊.Kate[5]實(shí)現(xiàn)了利用秘密共享機(jī)制的分布式PKG，為Internet上的用戶實(shí)現(xiàn)分布式私鑰生成.上述分布式方法中，系統(tǒng)中每個(gè)機(jī)構(gòu)獨(dú)立檢驗(yàn)用戶身份，且需通過安全信道傳輸密鑰部件，增加了系統(tǒng)的通信和計(jì)算開銷.Lee等人提出串行的分布式結(jié)構(gòu)[8]，用戶私鑰由PKG頒發(fā)并由多個(gè)KPA順序地加固密鑰隱私，解決了密鑰托管問題，同時(shí)降低了系統(tǒng)的用戶身份驗(yàn)證開銷.但是該方法無法保證PKG驗(yàn)證用戶身份的真實(shí)性.文獻(xiàn)[9]基于遮蔽技術(shù)，提出一個(gè)解決密鑰托管和身份認(rèn)證可追責(zé)的IBE方案，但是該方案僅具有CPA(Chosen plaintext attack)安全性，安全性不夠強(qiáng).

目前針對IBE系統(tǒng)安全性的研究較多[10,11]，但由于HIBE和IBE在密鑰產(chǎn)生和加解密算法上的不同[12]，上述針對IBE的解決方案無法直接用到HIBE機(jī)制中.Gentry[13]提出第一個(gè)完全防串謀HIBE機(jī)制，該機(jī)制被證明為基于隨機(jī)預(yù)言機(jī)模型下的CCA安全.Waters首次提出了雙系統(tǒng)加密方式，實(shí)現(xiàn)了一個(gè)基于簡單假設(shè)下的完全安全HIBE機(jī)制[14]，并在此基礎(chǔ)上進(jìn)行改進(jìn)[15]，有效減小系統(tǒng)的密文長度.但兩者專注密碼機(jī)制本身，沒有考慮密碼應(yīng)用的密鑰傳輸、身份認(rèn)證及可追責(zé)問題.而本文提出的T-HIBE密碼系統(tǒng)既能實(shí)現(xiàn)IND-sID-CCA安全的完全抗串謀HIBE機(jī)制，又能解決密鑰托管、密鑰安全傳輸、身份高效認(rèn)證和可追責(zé)性的問題.

3　預(yù)備知識

3.1符號說明

3.2雙線性映射

滿足以下性質(zhì)的映射關(guān)系e:G1×G1→G2稱為雙線性映射：

(1)雙線性.?P,Q∈G1以及?a,b∈uq，有e(aP,bQ)=e(P,Q)ab=e(P,aQ)b=e(bP,Q)a.

(2)非退化性.?P,Q∈G1，s.t. e(P,Q)∈G2不是G2的單位元.

(3)可計(jì)算性.?P,Q∈G1，存在計(jì)算e(P,Q)∈G2的有效算法.

3.3難題假設(shè)

(1)DL問題(離散對數(shù)問題)

輸入：已知加法群G1的生成元為P，a∈uq，則輸入P，aP.

輸出：計(jì)算值a.

(2)BDH問題

輸入：群G1、G2的描述，雙線性映射e:G1×G1→G2，G1的生成元P，以及群元素aP、bP、cP(a,b,c∈uq)

輸出：計(jì)算值e(P,P)abc

3.4安全性定義

密碼體制的形式化安全定義依賴于攻擊游戲的描述.攻擊游戲通常包括兩個(gè)實(shí)體：敵手A以及挑戰(zhàn)者C.

單向加密(OWE,One Way Encryption)安全.給定敵手A一個(gè)隨機(jī)公鑰Kpub以及密文C=Enc(Kpub,M)，A給出明文的猜測M′.如果不存在敵手A可以在多項(xiàng)式時(shí)間內(nèi)以不可忽略的優(yōu)勢得到M′=M，則稱該密碼體制是OWE安全的.

IND-sID-CCA(選擇身份-選擇密文攻擊)安全.敵手A和挑戰(zhàn)者C之間進(jìn)行如下安全游戲：

(1)C輸入安全參數(shù)K進(jìn)行系統(tǒng)初始化，并將系統(tǒng)公共參數(shù)提供給A.

(2)A選擇兩個(gè)等長的明文M0、M1，以及要攻擊的公鑰ID0，發(fā)送給C；C以等同的概率選擇b∈u{0,1}，加密得到C=Enc(ID0,Mb).

(3)A向C提交兩種類型的服務(wù)請求：私鑰查詢服務(wù)(IDi)，C返回；解密服務(wù)(IDi,C)，C返回M=Dec(IDi,C).此處須滿足條件IDi≠ID0，M≠M(fèi)i，i=1,2；否則，終止該游戲.

(4)A給出b∈{0,1}的猜測b′.

如果不存在敵手A可以在多項(xiàng)式時(shí)間內(nèi)以不可忽略的優(yōu)勢得到b′=b，則稱該密碼體制是IND-sID-CCA安全的.

4　T-HIBE系統(tǒng)結(jié)構(gòu)

T-HIBE機(jī)制包括四個(gè)算法：Setup(系統(tǒng)初始化)、KeyGen(私鑰生成)、Encryption(加密)和Decryption(解密).

Setup系統(tǒng)初始化，輸入系統(tǒng)安全參數(shù)，產(chǎn)生各個(gè)機(jī)構(gòu)的主密鑰和系統(tǒng)參數(shù).

KeyGen為用戶生成私鑰，用戶與層次化PKG和KPAs的交互協(xié)議如圖2所示，包括PKG密鑰頒發(fā)(Key Issuing)，KPA私鑰加固(Key Securing)和私鑰恢復(fù)(Key Retrieving)三個(gè)步驟：

(2)Key Securing：用戶將PKG盲私鑰部件和簽名、盲因子X1提交給每個(gè)KPA；KPA通過驗(yàn)證簽名來共享PKG用戶身份認(rèn)證，然后產(chǎn)生KPA盲私鑰部件并將結(jié)果傳輸給用戶.

(3)Key Retrieving：用戶收到所有KPA響應(yīng)后，計(jì)算私鑰編號，通過去遮蔽因子得到自己的私鑰.

Encryption輸入接收方ID、系統(tǒng)參數(shù)和消息，輸出密文.

Decryption輸入密文、系統(tǒng)參數(shù)和接收方私鑰，輸出消息.

5　T-HIBE機(jī)制設(shè)計(jì)

基于層次分布的T-HIBE結(jié)構(gòu)，本節(jié)首先提出一個(gè)滿足系統(tǒng)設(shè)計(jì)目標(biāo)且具有IND-sID-OWE安全的基本T-HIBE機(jī)制；在基本T-HIBE基礎(chǔ)上，文章進(jìn)一步通過使用Fujisaki-Okamoto[16]數(shù)據(jù)填充技術(shù)，實(shí)現(xiàn)具有IND-sID-CCA安全的完全T-HIBE機(jī)制.

5.1基本T-HIBE機(jī)制

基本T-HIBE機(jī)制包括Setup(系統(tǒng)初始化)、KeyGen Protocol(私鑰生成協(xié)議)、Encryption(加密)和Decryption(解密)四個(gè)算法.

(1)根PKG初始化執(zhí)行步驟.

(a)P運(yùn)行群生成器IG生成階為q的群G1、G2，以及雙線性映射e:G1×G1→G2.

(b)選擇任意生成元P0∈G1.

(c)取s0∈uq，計(jì)算Q0=s0P0.

(e)公開PKG參數(shù)(G1,G2,e,P0,Q0,H1,H2)，保留s0∈q作為根的PKG私鑰.

(2)域PKG初始化執(zhí)行步驟.

(a)計(jì)算Pt=H1(ID1,…,IDt).

(3)KPA初始化執(zhí)行步驟.

KPAy(1≤y≤n)選擇秘密值sKpay∈uq，計(jì)算并公開QKpay=sKpayP0.

(c)隨機(jī)選擇x′∈uq，計(jì)算.

(d)計(jì)算Pt=H1(ID1,…,IDt).

(g)用隱藏系數(shù)遮蔽私鑰部件SK，得到D0=bIdt·SK.

(3)KPAy(1≤y≤n)收到用戶的請求后，執(zhí)行下述動(dòng)作：

(b)計(jì)算隱藏系數(shù)bKpay=H3(sKpayX1).

(c)計(jì)算P1=H1(ID1)，Pt=H1(ID1,…,IDt).

(d)計(jì)算KPAy私鑰部件：SKpay=sKpay(P1+Pt).

(e)用隱藏系數(shù)遮蔽私鑰部件SKpay，得到Dy=bKpay·SKpay.

(f)將Dy發(fā)送給用戶.

(b)計(jì)算KPAy(1≤y≤n)的去遮蔽因子

unbKpay=H3(xQKpay)=H3(xsKpaxP0)

=H3(sKpayxP0)=H3(sKpayX1)

=bKpay

Encryption假設(shè)使用ID-tuplet=(ID1,…,IDt)作為公鑰對明文M∈M進(jìn)行加密，執(zhí)行如下步驟：

(1)計(jì)算Pi=H1(ID1,…,IDi)，1≤i≤t.

(2)選擇r∈uq.

(3)計(jì)算密文：

Decryption記密文C=[U0,U2,…,Ut,V]∈是使用ID-tuplet=(ID1,…,IDt)加密所得，用戶接收密文后，計(jì)算

正確性驗(yàn)證：

故使用ID-tuple加密的密文C，使用用戶私鑰進(jìn)行解密運(yùn)算，可以得到明文M.

5.2完全T-HIBE機(jī)制

基本T-HIBE機(jī)制滿足基于隨機(jī)預(yù)言機(jī)的IND-sID-OWE安全性.為了抵御對T-HIBE密碼機(jī)制的復(fù)雜攻擊，本小節(jié)在基本T-HIBE機(jī)制的基礎(chǔ)上進(jìn)一步提出完全T-HIBE機(jī)制，使用Fujisaki-Okamoto填充技術(shù)[2]使得T-HIBE機(jī)制能夠達(dá)到基于隨機(jī)預(yù)言機(jī)的CCA安全.完全T-HIBE機(jī)制描述如下：

Setup與基本T-HIBE大致相同，增加選擇兩個(gè)單向散列函數(shù)：H4:{0,1}n×{0,1}n→n，H5:{0,1}n→{0,1}n.

KeyGen與基本T-HIBE機(jī)制相同.

Encryption使用ID-tuplet=(ID1,…,IDt)作為公鑰對明文M∈M進(jìn)行加密，執(zhí)行如下步驟：

(1)計(jì)算Pi=H1(ID1,…,IDi)，1≤i≤t.

(2)選擇σ∈u{0,1}n.

(3)計(jì)算r=H4(σ,M).

(4)計(jì)算密文

C=[rP0,rP2,…,rPt,

Decryption記密文C=[U0,U2,…,Ut,V,W]∈是使用ID-tuple(ID1,…,IDt)加密所得，用戶接收密文后，

(1)計(jì)算

(2)計(jì)算W⊕H5(σ)=M.

(3)計(jì)算r=H4(σ,M)，使用r和(ID1,…,IDt)對M進(jìn)行T-HIBE加密，檢驗(yàn)結(jié)果是否與[U0,U2,…,Ut,V]一致.如果不一致，則拒絕密文.

(4)輸出解密C得到的明文M.

6　T-HIBE安全性分析

為了證明基本T-HIBE機(jī)制的安全性，首先介紹基本公鑰加密機(jī)制BasicPub以及基本HIBE加密機(jī)制BasicHIBE.BasicPub最初介紹于文獻(xiàn)[2]，本文采用的機(jī)制與其大致相同，包括KeyGen(密鑰生成)、Encryption(加密)和Decryption(解密)三個(gè)步驟：

KeyGen

(1)運(yùn)行群生成器IG，輸入安全參數(shù)K，輸出階為q的兩個(gè)群G1、G2，以及雙線性映射e:G1×G1→G2.隨機(jī)選擇群生成元P0∈G1.

(2)隨機(jī)選擇s∈uq，計(jì)算Q0=sP0.

(3)隨機(jī)選擇群元素P1∈uG1.

(4)選擇哈希函數(shù)H2:G2→{0,1}n.

BasicHIBE加密機(jī)制與本文提出的基本T-HIBE機(jī)制基本相同，區(qū)別在于沒有KPA和盲因子的使用.各算法的描述如下[10]：

Setup沒有KPA的初始化，其余初始化步驟相同.

KeyGen沒有與KPAi相關(guān)的密鑰部件，不使用遮蔽因子對私鑰部件進(jìn)行遮蔽，即密鑰生成獲得的完整私鑰部件為：

Encryption計(jì)算密文C=[rP0,rP2,…,rPt,M⊕H2(gr)]，其中g(shù)=e(Q0,P1).

定理1說明攻破基本T-HIBE機(jī)制的任務(wù)可以規(guī)約到解決BDH難題的能力，其證明可以表述為引理1、2、3的證明.如圖3所示，引理1、2、3分別證明了各密碼機(jī)制之間以及BDH難題的規(guī)約關(guān)系.

引理1假設(shè)存在敵手A可以以一個(gè)不可忽略的優(yōu)勢ε在IND-sID-OWE模式下攻破基本T-HIBE機(jī)制，則存在一個(gè)算法B可以以不小于ε的優(yōu)勢在多項(xiàng)式時(shí)間內(nèi)攻破BasicHIBE.

證明敵手A對基本T-HIBE機(jī)制的攻擊如圖4所示，并在多項(xiàng)式時(shí)間內(nèi)以不可忽略的優(yōu)勢輸出明文的有根據(jù)猜測M′，使得M′=M.敵手B與HIBE的挑戰(zhàn)者進(jìn)行攻擊游戲，為了獲得攻擊優(yōu)勢ε，使用如圖5所示的方法進(jìn)行基本T-HIBE機(jī)制的仿真，具體包括如下四個(gè)步驟.

Setup初始化階段，敵手A向基本T-HIBE機(jī)制挑戰(zhàn)者查詢公共參數(shù)，敵手B仿真挑戰(zhàn)者為A返回公共參數(shù).

(1)敵手B從HIBE挑戰(zhàn)者處獲取公共參數(shù)Kpub=(G1,G2,e,P0,Q0,H1,H2,H3).

KeyGen私鑰查詢階段，敵手B需要維護(hù)一個(gè)用戶秘密值表Blist，用于存放敵手A查詢的ID-tuplet的秘密值，該表初始化為空.敵手A向基本T-HIBE機(jī)制的挑戰(zhàn)者查詢ID-tuplet的私鑰時(shí)，敵手B執(zhí)行相應(yīng)動(dòng)作：

(1)敵手B計(jì)算Pt=H1(ID1,…,IDt)，在Blist中查詢Pt.

(a)如果Pt在Blist中，返回ID-tuplet的秘密值x∈q；否則，隨機(jī)選擇x∈uq，將(Pt,x)加入Blist中.

(b)計(jì)算用戶的盲因子X1=xP0，私鑰編號因子X2=xPt.

(c)計(jì)算bID=unbID=H3(xst-1P0)=H3(xQt-1).

(2)敵手B仿真PKG為敵手A提供預(yù)言服務(wù)：

(a)向BasicHIBE挑戰(zhàn)者查詢ID-tuplet的私鑰(St,{Qi}i=1,…,t-1).

(b)向BasicHIBE挑戰(zhàn)者查詢ID-tuplet-1的私鑰(St-1,{Qi}i=1,…,t-2).

(c)選擇x′∈uq，計(jì)算Dx′=x′bID，R=x′x(St-St-1)=x′xst-1Pt.

(d)計(jì)算SK=St+R.

(e)計(jì)算D0=bIDSK.

(f)選取sfake∈uq，利用sfake簽名用戶的盲私鑰部件Sig(D0)=sfakeD0.

(g)將(Dx′,D0,Sig(D0),{Qi}i=1,…,t-1)作為基本T-HIBE機(jī)制私鑰的PKG部件發(fā)送給敵手A.

(3)敵手B接收敵手A進(jìn)行私鑰加固的請求，仿真KPA為A提供預(yù)言服務(wù)：

(c)將{Di}i=1,…,n發(fā)送給A.

敵手A收到敵手B的所有私鑰部件后，可提取完整的私鑰.

Challenge挑戰(zhàn)階段，敵手A向基本T-HIBE機(jī)制挑戰(zhàn)者請求使用公鑰ID-tuple0加密的挑戰(zhàn)密文，敵手B執(zhí)行相應(yīng)動(dòng)作.

(1)敵手B向BasicHIBE挑戰(zhàn)者請求ID-tuple0加密的挑戰(zhàn)密文C=[U0,U2,…,Ut,V]∈.

根據(jù)第5節(jié)對基本T-HIBE機(jī)制的描述可知，明文M經(jīng)過加密可得到密文

C=[rP0,rP2,…,rPt,M⊕H2(g1r)⊕H2(g2r)]

敵手B將BasicHIBE的密文部件V=M⊕H2(gr)經(jīng)過變換得到V′=M⊕H2(gr)⊕H2((g′)r)，其中g(shù)=g1，g′=g2.可知敵手B正確模擬了基本T-HIBE機(jī)制的加密步驟，即B返回給敵手A的密文是使用ID-tuple0加密的有效密文.

Guess敵手A輸出明文的有效猜測M′.敵手B將M′作為攻擊的猜測明文，提交給BasicHIBE挑戰(zhàn)者.

由引理的假設(shè)可知，敵手A在多項(xiàng)式時(shí)間內(nèi)以不可忽略的優(yōu)勢ε提交的猜測明文M′=M，故敵手B可以在多項(xiàng)式時(shí)間內(nèi)以不可忽略的優(yōu)勢ε攻破BasicHIBE.

引理2假設(shè)一個(gè)可以進(jìn)行無限次私鑰查詢的NHID-OWE(Non chosen adaptively OWE)敵手A具有攻破BasicHIBE的優(yōu)勢ε，并且哈希函數(shù)H1是一個(gè)隨機(jī)預(yù)言機(jī).則存在一個(gè)OWE敵手B，具有至少為ε的優(yōu)勢，在A的多項(xiàng)式時(shí)間內(nèi)攻破BasicPub.

引理2和引理3的證明與文獻(xiàn)[10]的A.3引理1一致，本文不加以贅述.

定理2假設(shè)存在敵手A可以在多項(xiàng)式時(shí)間內(nèi)以不可忽略的優(yōu)勢在IND-sID-CCA模式下攻破完全T-HIBE機(jī)制.那么則存在算法B可在多項(xiàng)式時(shí)間內(nèi)以不可忽略的優(yōu)勢在IND-sID-CPA模式下攻破基本T-HIBE機(jī)制.

證明完全T-HIBE機(jī)制在基本T-HIBE機(jī)制的基礎(chǔ)上使用Fujisaki-Okamoto填充技術(shù)[16].定理2的證明可見參考文獻(xiàn)[16].

定理3T-HIBE中，用戶只能計(jì)算出自己私鑰的隱藏系數(shù).

證明由于秘密值x由用戶生成，由DL難題假設(shè)得到已知X,P∈G1，計(jì)算x使得X=xP是困難的，所以秘密值不會被泄漏.PKG的私鑰為s，其公共參數(shù)包括Q,P∈G1，其中Q=sP，因此已知Q,P的情況下，根據(jù)DL難題，計(jì)算s是困難的，故PKG私鑰不會泄露.由以上的推導(dǎo)可知，已知Q,X的情況下，不能計(jì)算出s和x，則不能計(jì)算出sxP.因此，隱藏系數(shù)的計(jì)算方法可以保證只有私鑰對應(yīng)用戶和PKG能夠計(jì)算出隱藏系數(shù)(去隱藏系數(shù))，即unb=H(xQ)=H(xsP) =H(sxP)=H(sX)= b.由于用戶秘密值x以及PKG私鑰s的保密性，隱藏系數(shù)b不會被泄漏.而每個(gè)用戶僅僅知道自己的秘密值x，所以用戶只能計(jì)算出自己私鑰所對應(yīng)的隱藏系數(shù).

定理3說明經(jīng)過遮蔽的用戶私鑰傳輸不需要安全信道傳輸，即T-HIBE解決了密鑰安全傳輸問題.

引理4T-HIBE機(jī)制下，PKG為非法用戶生成私鑰，無法計(jì)算合法用戶的私鑰編號.

引理5利用已有私鑰信息，用戶無法計(jì)算出編號不同的良構(gòu)的用戶私鑰.

定理4在T-HIBE機(jī)制下，PKG為非法用戶生成私鑰的行為可追責(zé).

前面是對兩種T-HIBE機(jī)制的安全性證明，表1對T-HIBE和相關(guān)工作進(jìn)行了對比分析，n為系統(tǒng)中私鑰產(chǎn)生機(jī)構(gòu)數(shù)目，t為門限值，身份驗(yàn)證開銷由參與用戶身份驗(yàn)證的機(jī)構(gòu)數(shù)量表示.可以發(fā)現(xiàn)完全T-HIBE機(jī)制在解決密鑰托管問題、密鑰安全通道需求、PKG身份認(rèn)證開銷和可追責(zé)、安全性方面具有系統(tǒng)優(yōu)勢.T-HIBE密鑰托管問題由分布式密鑰生成機(jī)制解決，用戶需獲得所有n個(gè)私鑰生成機(jī)構(gòu)的私鑰構(gòu)件才能計(jì)算得到自己的私鑰，即系統(tǒng)的容忍度為(n-1)/n.T-HIBE無需安全通道即可實(shí)現(xiàn)私鑰的安全傳輸由定理3證明，PKG用戶認(rèn)證的可追責(zé)性由定理4證明，而基本T-HIBE機(jī)制的IND-sID-OWE安全性和完全T-HIBE機(jī)制的IND-sID-CCA安全性則分別由定理1和定理2證明.

表1　方案對比分析

7　總結(jié)

本文提出一種可信安全的層次式基于身份加密系統(tǒng)T-HIBE.通過層次式分布化的用戶私鑰產(chǎn)生、私鑰用戶盲因子和用戶私鑰編號，解決了層次式私鑰生成機(jī)構(gòu)的密鑰托管和私鑰安全傳輸問題，支持系統(tǒng)高效的用戶身份一次認(rèn)證和可追責(zé)性.基于標(biāo)準(zhǔn)的BDH難題假設(shè)，文章證明了基本T-HIBE機(jī)制和完全T-HIBE機(jī)制分別具有IND-sID-OWE和IND-sID-CCA安全性.同時(shí)文章在理論上證明了T-HIBE機(jī)制有效解決了密鑰托管問題，能夠?qū)崿F(xiàn)無安全通道的私鑰安全傳輸以及PKG用戶認(rèn)證的可追責(zé)性.

[1]Samir A.Identity-based cryptosystems and signature schemes[A].Advances in Cryptology-Crypto (LNCS 0196)[C].Berlin:Springer-Verlag,1984.47-53.

[2]Boneh D,Franklin M.Identity-based encryption from the Weil pairing[A].Advances in Cryptology-Crypto (LNCS 2139)[C].Berlin:Springer-Verlag,2001.213-229.

[3]Al-Riyami S S,Paterson K G.Certificateless public key cryptography[A].Advances in Cryptology-ASIACRYPT (LNCS 2894)[C].Berlin:Springer-Verlag,2003.452-473.

[4]Gentry C.Certificate-based encryption and the certificate Revocation problem[A].Advances in Cryptology-EUROCRYPT (LNCS 2656)[C].Berlin:Springer-Verlag,2003.272-293.

[5]Kate A,Goldberg I.A Distributed Private-Key Generator for Identity-Based Cryptography[R].Centre for Applied Cryptographic Research (CACR 2007-33).2007.

[6]Chen L,Harrison K,Soldera D,Smart N P.Applications of multiple trust authorities in pairing based cryptosystems[A].Proceedings of the International Conference on Infrastructure Security (LNCS 2637)[C].Berlin:Springer-Verlag,2003.260-275.

[7]Wang J,Bai X,Yu J,Li D.Protecting against key escrow and key exposure in identity-based cryptosystem[A].Proceedings of the 4th International Conference on Theory and Applications of Models of Computation-TAMC (LNCS 4484)[C].Berlin:Springer-Verlag,2007.148-158.

[8]Lee B,Boyd C,Dawson E,Kim K,Yang J,Yoo S.Secure key issuing in ID-based cryptography[A].Proceedings of Australasian Information Security Workshop-AISW[C].Dunedin,New Zealand:IEEE Press,2004.69-74.

[9]曹丹,王小峰,王飛,胡喬林,蘇金樹.SA-IBE：一種安全可追責(zé)的基于身份加密方案[J].電子與信息學(xué)報(bào),2011,33(12):2922-2928.

CAO Dan,WANG Xiao-feng,WANG Fei,HU Qiao-lin,SU Jin-su.SA-IBE:A secure and accountable identity-based encryption scheme[J].Journal of Electronics & Information Technology,2011,33(12):2922-2928.(in Chinese)

[10]葛愛軍,馬傳貴,程慶豐.標(biāo)準(zhǔn)模型下CCA2安全且固定密文長度的模糊基于身份加密方案[J].電子學(xué)報(bào),2013,41(10):1948-1952.

GE Ai-jun,MA Chuan-gui,CHENG Qing-feng.CCA2 secure fuzzy identity-based encryption with constant size ciphertexts in the standard model[J].Acta Electronica Sinica,2013,41(10):1948-1952.(in Chinese)

[11]明洋,王育民.標(biāo)準(zhǔn)模型下可證安全的通配符基于身份加密方案[J].電子學(xué)報(bào),2013,41(10):2082-2086.

Ming Yang,Wang Yu-min.Provably secure identity-based encryption scheme with wildcard in the standard model[J].Acta Electronica Sinica,2013,41(10):2082-2086.(in Chinese)

[12]Lewko A B,Waters B.Why proving HIBE systems secure is difficult[A].Advances in Cryptology-EUROCRYPT (LNCS 8441)[C].Berlin:Springer-Verlag,2014.58-76.

[13]Gentry C,Silverberg A.Hierarchical id-based cryptography[A].Advances in Cryptology-ASIACRYPT (LNCS 2501)[C].Berlin:Springer-Verlag,2002.548-566.

[14]Waters B.Dual system encryption:realizing fully secure IBE and HIBE under simple assumptions[A].Advances in Cryptology-CRYPTO (LNCS 5677)[C].Berlin:Springer-Verlag,2009.619-636.

[15]Lewko A,Waters B.New techniques for dual system encryption and fully secure HIBE with short ciphertexts[A].Theory of Cryptograpy Conference (LNCS 5978)[C].Berlin:Springer-Verlag,2010.455-479.

[16]Fujisaki E,Okamoto T.Secure integration of asymmetric and symmetric encryption schemes[J].Journal of cryptology,2013,26(1):80-101.

王小峰男，1982年4月出生，江蘇海安人.2009年在國防科技大學(xué)計(jì)算機(jī)學(xué)院獲博士學(xué)位，現(xiàn)為國防科技大學(xué)計(jì)算機(jī)學(xué)院助理研究員，主要從事可信網(wǎng)絡(luò)系統(tǒng)、密碼應(yīng)用、網(wǎng)絡(luò)安全、智能數(shù)據(jù)處理研究.

E-mail：xf-wang@nudt.edu.cn

陳培鑫男，1987年6月出生，廣東普寧人.2009、2012年畢業(yè)于國防科技大學(xué)計(jì)算機(jī)學(xué)院，獲學(xué)士、碩士學(xué)位，現(xiàn)為博士研究生，主要從事基于身份的加密、域間路由安全相關(guān)研究.

E-mail：chenpeixin@nudt.edu.cn

A Trustworthy and Secure Hierarchical Identity-Based Encryption System

WANG Xiao-feng,CHEN Pei-xin,ZHOU Huan,SU Jin-shu

(College of Computer,National University of Defense Technology,Changsha,Hunan 410073,China)

The paper proposes a trustworthy and secure HIBE (hierarchical identity-based encryption) system named T-HIBE.It generates private keys in a hierarchical and distributed manner.By using the user blinding index,user private key index and PKG private key index,T-HIBE can achieve the trustworthy private key generation and secure private key distribution.Moreover,the T-HIBE system needs one single user authentication whose accountability is traceable.Based on the standard BDH assumption,we prove that the basic T-HIBE and full T-HIBE have the IND-sID-OWE and IND-sID-CCA security respectively.

HIBE;key escrow;secure key transmission;accountable authentication;collusion resistant

2015-01-13；

2015-03-25；責(zé)任編輯：孫瑤

國家自然科學(xué)基金(No.61103194，No.61202119)；國家863高技術(shù)研究發(fā)展計(jì)劃(No.2011AA01A103)

TN918

A

0372-2112 (2016)07-1521-09

??學(xué)報(bào)URL:http://www.ejournal.org.cn

10.3969/j.issn.0372-2112.2016.07.001