一種保護接收者隱私的IBBE方案

趙 一，楊 波

（陜西師范大學計算機科學學院，西安710119）

一種保護接收者隱私的IBBE方案

趙 一，楊 波

（陜西師范大學計算機科學學院，西安710119）

廣播加密在現實中有廣泛應用，但對于接收者隱私的保護方案仍然較少，且現存的能夠保護隱私的方案多數不能抵御合法接收者的替換攻擊。針對以上問題，結合密鑰交換和秘密共享，提出一種新的基于身份的廣播加密方案。接收者在解密時需要密文的哈希值作為解密密鑰的一部分，使得密文不可修改，不僅能夠保護接收者的隱私，而且能夠成功抵御合法接收者集合內部的攻擊，即任一合法接收者不能知道另外的接收者身份。分析結果表明，與同類方案相比，該方案在安全性上具有明顯優勢，且能保證效率性能。

隱私保護；基于身份的廣播加密；密鑰交換；多項式秘密共享；替換攻擊

1 概述

自文獻［1］提出廣播加密的概念之后，作為一種高效的加密通信方式，廣播加密得到了迅速發展。在廣播加密系統中，一個廣播密文可以讓多個合法接收者接收同一條消息，而不需要對每個接收者單獨發送密文，同時非消息接收者不能解密出消息。對于較長消息的廣播加密，考慮到公鑰加密的效率較低，經常使用一個對稱密鑰方案來加密密文，而用公鑰基礎的廣播加密方案來加密對稱密鑰，因此廣播加密方案可以被轉化為密鑰封裝機制和多接收者的加密方案。

在很長一段時間之內，對于廣播加密的研究集中在提升效率和降低密鑰長度上。文獻［2］提出了一個有較短密文長度和密鑰長度的公鑰方案，文獻［3］在基于身份的環境下，提出了常數級密文和密鑰長度的方案。然而，在很多場景下，接收者的身份與消息內容同等重要，比如醫療信息的傳播、學校里成績的發布等，保護接收者身份的隱私也是廣播加密中需要關注和研究的重要內容。文獻［4］提出了公鑰的保護隱私的廣播加密的一般構造方法。文獻［5］利用拉格朗日插值技術提出了一個匿名的多接收者加密方案，文獻［6］指出文獻［5］是不安全的并提出一個改進方案，文獻［7］發現文獻［6］的改進方案仍然不安全，提出了一個不利用插值的方案，但是效率非常低。其實方案［5］的主要問題在于，讓接收者用公開信息得到對應的密鑰，使得合法接收者能夠得到其他接收者的信息。文獻［8］提出了一個安全的基于身份的保護隱私的廣播加密方案，其結構類似于文獻［4］，并使用一個密鑰協商協議產生的秘密值作為索引加速解密。在國內，文獻［9-10］分別提出了一個匿名的多接收者加密方案和匿名的廣播加密方案。

然而，文獻［7-10］雖然實現了密文本身的安全和匿名，但是卻無法抵御文獻［4］中提出的合法接收者的替換攻擊。即合法接收者之一，解密出對稱密鑰之后，用同一個密鑰加密另一個消息，替換原密文中的對應部分，然后發送出去，這樣原密文的接收者仍能收到改變后的密文并看到內容，該接收者可以通過觀察其他人對他篡改密文的反應而知道誰是別的合法接收者。因此，此類方案的密文構造中，必須包換密文的相關簽名等信息以保證密文不可被修改，上述基于身份的方案均無法抵御此類攻擊。

本文通過分析上述方案的優缺點，結合密鑰交換協議和群上的多項式插值方法，提出一個能夠抵御替換攻擊的基于身份的保護隱私的廣播加密方案，并與傳統方案進行了對比。

2 背景知識

2.1 雙線性映射

設G1為階數q的加法循環群，G2為階數q的乘法循環群，是整數乘法循環群，則稱滿足以下性質的映射e：G1×G1→G2為雙線性映射：

（1）雙線性：對任意g1，g2∈G1，a，，有e（ag1，bg2）=e（g1，g2）ab。

（2）非退化性：對任意g1，g2∈G1，有e（g1，g2）≠1。

（3）可計算性：對任意g1，g2∈G1，存在有效的算法計算e（g1，g2）。

2.2 匿名的密鑰交換協議

文獻［11］提出一個基于身份的使用雙線性對的密鑰交換協議，可以簡單地實現用戶之間協商共享秘密值。

在一個如上節的雙線性系統中，設主密鑰為s的PKG為每個IDi生成一個對應的私鑰di= sH（IDi），其中，H：｛0，1｝*→G1是密碼學hash函數。用戶A和用戶B以身份IDA和IDB分別向PKG進行私鑰提取，得到dA=sH（IDA）與dB=sH（IDB），密鑰交換協議如下：

（1）A選取一個隨機數r，計算PA=rH（IDA），然后把PA發送給B。

（2）A計算協商密鑰KAB=e（dA，H（IDB））r，而B計算協商密鑰為KAB=e（PA，dB），可以看到：

此協議在BDH假設下以隨機預言機模型證明是安全的。

2.3 群上的多項式秘密共享

文獻［12］使用了一個群上多項式插值構造的秘密共享來構造門限簽名方案，在本文的方案中將反向應用這一工具。下面描述這個方案：

（1）秘密分發階段：

在q階循環群G中，設S0∈G*是要分享的秘密，t和n滿足1≤t≤n＜q，隨機選取F1，F2，…，Ft-1∈G，然后定義群上的類多項式函數F：N∪｛0｝→G，令算秘密值Si=F（i），然后將Si發給第i個成員。

（2）秘密重構階段：

設Φ?｛1，2，…，n｝，|Φ|≥t，則由Si重構函數其中，這樣接收者可以通過計算F（0）得到秘密S0。

2.4 基于身份的廣播加密

一個基于身份的廣播加密方案由以下4個部分組成：

（1）建立：輸入安全參數，輸出主密鑰交給PKG。

（2）提取：輸入主密鑰和一個用戶的ID，輸出該用戶的私鑰。

（3）從用戶中選擇接收者身份集合S=｛ID1，ID2，…，IDn｝和要發送的消息M，輸出（Hdr，K），用K作為對稱加密方案的密鑰加密M，輸出CM，廣播（Hdr，S，CM）。

（4）解密：輸入S和一個接收者的私鑰，以及Hdr，解密出K并從CM中解密出明文。

3 方案描述

本文給出了一個保護接受者隱私的基于身份的廣播加密的一般構造方法，實際應用時可以根據需要選擇不同的子方案以達到不同的要求。

給定一個語義安全的群上的IBE方案（Gen，Ext，Enc，Dec），一個不可區分加密的對稱加密方案（D，E），以及hash函數H1：｛0，1｝*→G1，H2：G2→方案構造如下：

（1）建立：輸入安全參數λ，構造一個雙線性系統（q，g，G1，G2，e（·，·）），其中g是隨機選取的生成元，再選擇s作為主密鑰發送給PKG，輸出（H1，H2，H3，q，g，G1，G2，e（·，·））作為公開參數，運行IBE的算法Gen（λ）。

（2）提取：輸入主密鑰s和用戶身份IDi，輸出用戶私鑰di=sH1（IDi），為簡單起見，這里設IBE的Eχt算法與此相同，不同的情況下一個用戶2個私鑰仍然是可以的。

（3）加密：身份為ID0的發送者隨機生成一個用于對稱加密的密鑰K，選擇接收者集合S=（ID1，ID2，…，IDn）和要發送的消息M，進行如下步驟：

1）使用對稱加密方案加密M，輸出CM；

3）計算發送者和每個接收者的秘密協商值si= H2（e（ad0，H1（IDi）））+H3（CM）；

4）對每個接收者IDi運行IBE對K加密，輸出ci=Enci（K）；

7）輸出密文C=（CM，Hdr），其中，Hdr=

（4）解密：第i個接收者收到密文后，進行如下計算：

1）計算秘密值si=H2（e（P，di））+H3（CM）；

2）將si帶入F（χ），得到ci=F（si）；

3）運行Dec（di，ci），如果輸出⊥則停止，否則得到K，從CM中恢復出消息M。

4 安全性分析

在匿名環境下，基于身份的加密方案的CPA/ CCA證明仍然是個公開問題。文獻［7，10］在證明安全性時都假定知道接收者的身份，即在非匿名條件下完成的證明。文獻［8］在匿名條件下證明了加密的不可區分性，本文也采取這個方法。

4.1 語義安全性

4.1.1 定義

機密性的定義由以下游戲給出：

游戲A：

建立：敵手從用戶集合中選取一個待攻擊的子集S*，挑戰者運行建立算法，把公開參數（q，g，G1，G2，e（·，·），H1，H2，H3）發送給敵手。敵手發送要加密的消息M給挑戰者。

第1階段詢問：敵手可以自適應地對ID?S*發起以下2種詢問，私鑰提取詢問和hash詢問。

（1）hash詢問：對Hi，i=1，2，3的詢問由表來記錄，表中元素為當敵手對IDi發起hash詢問時，如果中有IDi的記錄，就回答hi，否則檢查IDi是否在hi中，若不在隨機選擇一個回復并將填入表中。

（2）提取詢問：當敵手對IDi發起私鑰提取詢問時，若表中已有IDi對應的私鑰，就回復表中的值，否則，運行提取算法計算私鑰并回復，并將（IDi，hi，dIDi）填入表中。

挑戰階段：挑戰者運行加密算法，得到（Hdr，K），隨機選取比特b∈｛0，1｝，令Kb=K，再隨機選擇一個K1-b，然后將（Hdr，K0，K1）發給敵手。

第2階段詢問：如第1階段一樣，繼續發起詢問。

猜測：敵手輸出對b的猜測Hdr=｛Pb，｛Fl｝b｝。

如果Hdr=｛Pb，｛Fl｝b｝，稱敵手贏得了游戲。adν=|Pro［b=b′］-1/2|稱作敵手贏得游戲的優勢。

如果沒有多項式時間的敵手能以不可忽略的優勢贏得上述游戲，則稱該方案是滿足機密性的。

4.1.2 定義證明

以上過程模擬了敵手的真實交互，敵手收到挑戰密文Hdr=｛Pb，｛Fl｝b｝，由的隨機性，可知P=aH1（ID0）是均勻分布的，同理si=H2（e（ad0，H1（IDi）））+H3（CM）也是隨機均勻分布的，由此可得｛Fl｝b也是均勻分布的，因此對于敵手而言并不能區分｛Fl｝0和｛Fl｝1，敵手猜出b的概率為1/2，因此無論參數選擇如何，對任意計算能力的敵手而言，都不能以不可忽略的優勢贏得游戲，故方案是滿足機密性的。

4.2 接收者的隱私保護性

由于本文方案構造的復雜性，僅在單接收者的情況下證明不同身份加密的不可區分性，能區分單個接收者，也就能區分多個接收者。

4.2.1 定義

接收者的隱私保護性由如下游戲定義：

建立：挑戰者建立系統，公布公開參數（q，g，G1，G2，e（·，·），H1，H2，H3），敵手從用戶集合中選取一個待攻擊的子集S*，并選擇消息M和對稱密鑰K發送給挑戰者。

詢問：同機密性的詢問階段。

挑戰：敵手從S*中選擇2個身份ID0和ID1發送給挑戰者，挑戰者選擇一個發送身份IDs并計算Q=H1（IDs），然后隨機選擇和比特b∈｛0， 1｝，以IDb為接收者執行加密算法，輸出Hdrb=｛P，其中，

猜測：敵手輸出對b的猜測b∈｛0，1｝，如果b′=b，稱敵手贏得了游戲。adν=|Pro［b=b′］-1/2|稱作敵手贏得游戲的優勢。

4.2.2 定義證明

從上面的證明可以看到，該游戲包括了合法接收者的情況，假定敵手知道消息和對稱密鑰的情況下不能區分密文，從而無法獲知其他接收者的身份。

5 效率性能分析

5.1 通信帶寬與計算效率

本文的方案不需要廣播公鑰，在私鑰長度和密文長度上都和文獻［8］一樣短，比之前的方案所占資源都明顯降低，并且實現了對接收者隱私的保護，能抵御替換攻擊，比文獻［8］的安全性更強。與之前經典方案的對比如表1所示。其中，n為接收者的數目；m為中元素長度；g為G1中元素長度；h為 G2中元素長度；i為用戶ID的長度。

表1 基于身份的廣播加密方案效率對比

在計算效率方面，文獻［4，8］的方案都是直接講每個接收者對應的密文直接列在最后的密文中，這樣子方案的安全性要求就比較高，需要CCA安全并且有密鑰隱藏特性的加密方案作為子方案，而本文方案利用插值法，將子方案的密文隱藏在密鑰交換協議生成的秘密值之后，因此不需要子方案有很高的安全性，僅設定為語義安全就可以，密文整體的安全性建立在秘密交換協議的安全之上，相比文獻［4，8］中同樣也用了密鑰交換協議，但是只用來做索引方便搜索密文，更加充分利用了密鑰交換協議。具體的計算代價減少取決于具體的子方案選擇，但是每次子方案的調用，從CCA級別的計算量下降到語義安全級別，是非常明顯的。

5.2 對替換攻擊的防御

在本文方案中，在計算協商的秘密值si時，需包括密文的hash值，這樣若一個合法接收者替換密文，將導致其他接收者對應的秘密值發生變化，從而其他接收者無法從替換過的密文中獲取到消息，合法接收者的攻擊行為就不能生效，從而抵御了替換攻擊。

6 結束語

在以往廣播加密的應用中，接收者的身份非常容易被獲取，從而形成安全隱患。近年來對接收者的隱私保護越來越受到研究人員的關注，提出了不少保護接收者隱私的方案，然而大多數方案依然不夠安全。本文總結了之前方案的優缺點，提出了一個可以保護接收者隱私的基于身份的廣播加密方案，不僅和已存方案一樣密文本身具備安全性和隱私性，也能抵御文獻［4］中提出的替換攻擊，這是之前基于身份的大多數方案不具備的。另一方面，本文方案對子方案的密文實現了隱藏，因此效率提升和安全性基礎的轉移以及新功能的發現，是后續工作的重點。

［1］ Fiat A，Naor M.Broadcast Encryption［C］//Proceedings of CRYPTO'93.Berlin，German：Springer，1993：480-491.

［2］ Boneh D，Gentry C.Collusion Resistant Broadcast Encryption with Short Ciphertexts and Private Keys［C］// Proceedings of CRYPTO'05.Washington D.C.，USA：IEEE Press，2005：258-275.

［3］ Delerablee C.Identity-based Broadcast Encryption with Cosntant Size Ciphertexts and Private Keys［C］// Proceedings of IEEE ASIACRYPT'07.Washington D.C.，USA：IEEE Press，2005：200-215.

［4］ Barth A，Boneh D，Waters B.Privacy in Encrypted Content Distribution Using Private Broadcast Encryption［C］//Proceedings of IEEE CRYPTO'06.Berlin，Germany：Springer，2006：215-222.

［5］ Fan C，Huang L，Ho P.Anonymous Multi-receiver Identity-based Encryption［J］.IEEE Transactions on Computers，2010，59（9）：1239-1249.

［6］ W ang H，Zhang Y，Xiong H，et al.Cryptanalysis and Improvements of an Anonymous Multi-receiver Identitybased Encryption Scheme［J］.IET Information Security，2012，6（1）：20-27.

［7］ Zhang J，Xu Y.Comment on Anonymous Multi-receiver Identity-based Encryption Scheme［C］//Proceedings of the 4th International Conference on Intelligent Networking and Collaborative Systems.Washington D.C.，USA：IEEE Press，2012：473-476.

［8］ Hur J，Park C，Hw ang S O.Privacy-preserving Identitybased Broadcast Encryption［J］.Information Fusion，2012，13（1）：296-303.

［9］ 譚紅楊，李紅娟.具有隱私性保護的基于身份的多接收者加密方案［J］.科學技術與工程，2013，35（13）：685-690.

［10］ 楊坤偉，李順東.一種基于身份的匿名廣播加密方案［J］.計算機工程，2014，40（7）：97-101.

［11］ Kate A，Zaverucha G，Goldberg I.Pairing-based Onion Routing［C］//Proceedings of Privacy Enhancing Technologies Symposium.Washington D.C.，USA：IEEE Press，2007：95-112.

［12］ Baek J，Zheng Y.Identity-based Threshold Signature from the Bilinear Pairings［C］//Proceedings of ITCC'04. Washington D.C.，USA：IEEE Press，2004：124-128.

編輯 索書志

A Identity-based Broadcast Encry Ption Scheme for Protecting Reci Pient Private

ZHAO Y i，YANG Bo
（School of Computer Science，Shannxi Normal University，Xi'an 710119，China）

Broadcast encryption has been widely used today.But most schemes do not pay much attention to privacy protection and the ones which claim to have the property of recipient privacy actually can not resist the replace attack from legal receivers.To solve the problem above，an identity based private broadcast encryption construction combining the techniques of key agreement and secret sharing is proposed.In the new scheme，the hash value of the ciphertext is necessary to decrypt so that the ciphertext can not be tampered.Thus new scheme can protect the recipient privacy not only from outside，but also from inside.That is，any legal receiver can not learn anything about the identities of other receivers.Analysis result shows that the construction is more advantageous in security level Without increasing computation costs com pared with existing schemes.

privacy protecting；Identity-based Broadcast Encryption（IBBE）；key exchange；polynomial secret sharing；replace attack

趙 一，楊 波.一種保護接收者隱私的IBBE方案［J］.計算機工程，2015，41（9）：180-183.

英文引用格式：Zhao Yi，Yang Bo.A Identity-based Broadcast Encryption Scheme for Protecting Recipient Private［J］. Computer Engineering，2015，41（9）：180-183.

1000-3428（2015）09-0180-04

A

TP309

10.3969/j.issn.1000-3428.2015.09.033

國家自然科學基金資助項目“基于密文的安全多方計算”（61272436）。

趙 一（1985-），男，碩士，主研方向：密碼學，信息安全；楊 波，教授、博士生導師。

2014-09-25

2014-10-22 E-m ail：yizhaore@hotmail.com