高效無雙線性對(duì)的基于證書代理重加密方案

徐海琳 陳鶯 陸陽

摘要：針對(duì)已有基于證書代理重加密（PRE）方案需要復(fù)雜的雙線性對(duì)運(yùn)算，計(jì)算效率較低的問題，提出了一個(gè)高效的不依賴于雙線性對(duì)的基于證書代理重加密方案。基于計(jì)算性DiffieHellman（CDH）問題的困難性假設(shè)，該方案在隨機(jī)預(yù)言模型下被嚴(yán)格證明滿足適應(yīng)性選擇密文攻擊下的不可區(qū)分安全性，即滿足選擇密文安全性。所提方案的構(gòu)造基于橢圓曲線群，避免了計(jì)算開銷高昂的雙線性對(duì)運(yùn)算，因此方案的計(jì)算性能得到了顯著提高。對(duì)比分析表明，相對(duì)于已有使用雙線性對(duì)的基于證書代理重加密方案，所提方案在計(jì)算效率和通信代價(jià)兩個(gè)方面都具有明顯的優(yōu)勢(shì)，更適用于計(jì)算受限以及低通信帶寬的應(yīng)用場(chǎng)合。

關(guān)鍵詞：公共云；基于證書代理重加密；橢圓曲線；隨機(jī)預(yù)言模型；選擇密文安全性

中圖分類號(hào)：TP309.7 文獻(xiàn)標(biāo)志碼：A

Abstract： All the previous certificatebased Proxy ReEncryption （PRE） schemes are based on the computationallyheavy bilinear pairings， and thus have low computation efficiency. To solve this problem， a certificatebased proxy reencryption scheme without relying on the bilinear pairings was proposed over the elliptic curve group. Under the hardness assumption of the Computational DiffieHellman （CDH） problem， the proposed scheme was formally proven to be indistinguishable against adaptively chosenciphertext attacks in the random oracle model. Due to avoiding the timeconsuming bilinear pairing operations， the proposed scheme significantly reduced the computation cost. Compared with the previous certificatebased proxy reencryption schemes with bilinear pairings， the analysis shows that the proposed scheme has obvious advantages in both the computation efficiency and the communication cost， and the scheme is more suitable for the computationconstrained and bandwidthlimited applications.

Key words：public cloud； certificatebased proxy reencryption； elliptic curve； Random Oracle Model （ROM）； chosenciphertext security

0 引言

云計(jì)算是近年來互聯(lián)網(wǎng)領(lǐng)域發(fā)展的熱點(diǎn)，它旨在通過計(jì)算機(jī)網(wǎng)絡(luò)把多個(gè)成本相對(duì)較低的計(jì)算實(shí)體整合成一個(gè)具有強(qiáng)大計(jì)算能力的完美系統(tǒng)， 搭建高可擴(kuò)展性、超大規(guī)模、高可用性以及低廉成本的云計(jì)算平臺(tái)已經(jīng)成為當(dāng)前信息化建設(shè)的方向。作為云計(jì)算最廣泛的應(yīng)用，云存儲(chǔ)為廣大用戶帶來方便性的同時(shí)，也造成了數(shù)據(jù)所有權(quán)和管理權(quán)分離的問題。當(dāng)用戶使用云計(jì)算環(huán)境時(shí)，需要將數(shù)據(jù)存儲(chǔ)至云端并依靠云服務(wù)提供者處理數(shù)據(jù)，這使得數(shù)據(jù)脫離了用戶的控制。由于用戶數(shù)據(jù)中含有隱私敏感信息，因此需要有合適的機(jī)制來保障存儲(chǔ)在云端的用戶數(shù)據(jù)不被非授權(quán)訪問。密文訪問控制是云存儲(chǔ)模式下實(shí)現(xiàn)用戶數(shù)據(jù)機(jī)密性和訪問控制的重要方法，該方法要求數(shù)據(jù)擁有者將數(shù)據(jù)加密后存放在云端。為了解決加密數(shù)據(jù)分發(fā)或分享的問題，一些密文訪問控制方法采用了密鑰分發(fā)的方法，即數(shù)據(jù)擁有者通過保密的方式將解密密鑰發(fā)送給授權(quán)用戶。在這種情況下，需要針對(duì)不同的訪問控制單元使用不同的密鑰加密數(shù)據(jù)，顯然這會(huì)造成數(shù)據(jù)的重復(fù)加密，從而浪費(fèi)大量的計(jì)算資源和存儲(chǔ)資源。另一類解決方法則需要數(shù)據(jù)擁有者從云端取回加密數(shù)據(jù)，解密后再使用被授權(quán)用戶的公鑰對(duì)數(shù)據(jù)重新加密并發(fā)送給被授權(quán)用戶，顯然這會(huì)給數(shù)據(jù)擁有者帶來嚴(yán)重的計(jì)算和通信開銷，從而降低系統(tǒng)整體效率。因此，在云計(jì)算環(huán)境中如何實(shí)現(xiàn)加密數(shù)據(jù)的高效分享是亟待解決的問題。

代理重加密（Proxy ReEncryption， PRE）是Blaze等[1]在1998年的歐洲密碼學(xué)大會(huì)上為解決解密授權(quán)問題而提出的一種公鑰加密體制。在代理重加密系統(tǒng)中，一個(gè)半可信的代理在獲得由授權(quán)人產(chǎn)生的針對(duì)被授權(quán)人的重加密密鑰后，能夠?qū)⒃炯用芙o授權(quán)人的密文轉(zhuǎn)換為針對(duì)被授權(quán)人的密文，然后被授權(quán)人只需利用自己的私鑰就可以解密轉(zhuǎn)換后的密文。而在密文重加密的過程中，代理無法獲得所處理密文對(duì)應(yīng)明文的任何信息。利用代理重加密這一技術(shù)，能夠有效地解決云計(jì)算環(huán)境中加密數(shù)據(jù)分享的問題：數(shù)據(jù)擁有者將針對(duì)指定用戶的重加密密鑰交給云計(jì)算提供者，后者將存儲(chǔ)在云端的屬于該數(shù)據(jù)擁有者的數(shù)據(jù)密文轉(zhuǎn)換為針對(duì)指定用戶的密文，然后該指定用戶利用自身的私鑰就可以解密這些重加密密文。近年來，代理重加密引起了密碼學(xué)界的廣泛關(guān)注，許多代理重加密方案被相繼提出[2-9]。

已有的代理重加密方案大多基于傳統(tǒng)公鑰密碼體制或基于身份密碼體制，因此這些方案要么存在復(fù)雜的證書管理問題，要么存在密鑰托管問題。為了解決已有代理重加密方案中存在的上述問題，Sur等[10]于2013年將代理重加密方法擴(kuò)展到基于證書密碼體制中，提出了基于證書代理重加密的概念?；谧C書密碼體制（CertificateBased Cryptography， CBC）由Gentry[11]在2003年的歐洲密碼學(xué)大會(huì)上首次提出，是近年來頗受關(guān)注的一種新型公鑰密碼體制[12-18]。該體制有機(jī)結(jié)合了傳統(tǒng)公鑰密碼體制和基于身份密碼體制，并有效克服了這兩種密碼體制中一些固有的缺陷?；谧C書代理重加密繼承了基于證書密碼體制的所有優(yōu)良特性，不僅簡(jiǎn)化了傳統(tǒng)公鑰代理重加密中復(fù)雜的證書管理問題，而且解決了基于身份代理重加密中固有的密鑰托管，為公共云中加密數(shù)據(jù)的高效分享提供了理想的方法。在文獻(xiàn)[10]中，Sur等設(shè)計(jì)出了首個(gè)基于證書代理重加密方案，并在隨機(jī)預(yù)言模型（Random Oracle Model， ROM）下證明了該方案滿足選擇密文安全性。最近，Li等[19]也提出了一個(gè)隨機(jī)預(yù)言模型下可證明安全的基于證書代理重加密方案。然而，已有的基于證書代理重加密方案的構(gòu)造嚴(yán)重地依賴雙線性對(duì)運(yùn)算，因此方案的效率不高。作為密碼方案設(shè)計(jì)中的一個(gè)重要工具，雙線性對(duì)運(yùn)算有著良好的數(shù)學(xué)性質(zhì)，即雙線性。然而，相對(duì)于密碼學(xué)領(lǐng)域的其他常用運(yùn)算，雙線性對(duì)的計(jì)算代價(jià)比較高。隨著智能手機(jī)、平板電腦等計(jì)算受限或電量受限的移動(dòng)用戶終端在云計(jì)算環(huán)境中廣泛應(yīng)用，基于雙線性對(duì)的密碼方案的應(yīng)用將受到限制。

本文提出了一個(gè)高效的、不依賴于雙線性對(duì)的基于證書代理重加密方案，并在隨機(jī)預(yù)言模型下基于計(jì)算性DiffieHellman（Computational DiffieHellman， CDH）問題的困難性證明了該方案對(duì)適應(yīng)性選擇密文攻擊是不可區(qū)分的，即滿足選擇密文安全性。與已有的基于證書代理重加密方案[10，19]相比，本文方案在計(jì)算效率和通信帶寬上具有明顯的優(yōu)勢(shì)，更適用于計(jì)算受限、低通信帶寬的應(yīng)用環(huán)境。

2 基于證書代理重加密方案及其安全模型

2.1 基于證書代理重加密方案的定義

基于證書代理重加密方案由如下8個(gè)算法組成：

1）系統(tǒng)參數(shù)設(shè)置算法（Setup）。輸入安全參數(shù)k，該算法生成并輸出CA的主密鑰msk和系統(tǒng)參數(shù)集params。CA將系統(tǒng)參數(shù)集params公開，而將主密鑰msk保密。

2）用戶密鑰生成算法（UserKeyGen）。輸入系統(tǒng)公開參數(shù)集params，該算法生成并輸出用戶U的私鑰SKU和部分公鑰pkU。

3）證書生成算法（Certify）。輸入系統(tǒng)公開參數(shù)集params、CA的主密鑰msk、用戶U的身份IDU和部分公鑰pkU，該算法生成并輸出用戶U的證書CertU和公鑰PKU。通常，該算法由CA運(yùn)行。

4）加密算法（Encrypt）。輸入系統(tǒng)公開參數(shù)集params、明文M、數(shù)據(jù)發(fā)布方A的身份IDA和公鑰PKA， 該算法生成并輸出消息M的原始密文CA。該算法由數(shù)據(jù)發(fā)布方A運(yùn)行。

5）重加密密鑰生成算法（ReKeyGen）。輸入系統(tǒng)公開參數(shù)集params、數(shù)據(jù)發(fā)布方A的身份IDA、私鑰SKA和證書CertA、被授權(quán)方的身份IDB和公鑰PKB，該算法生成并輸出重加密密鑰RKA→B。該算法由數(shù)據(jù)發(fā)布方A運(yùn)行。

6）重加密算法（ReEncrypt）。輸入系統(tǒng)公開參數(shù)集params、原始密文CA、重加密密鑰RKA→B，該算法生成并輸出重加密密文CB或無效標(biāo)志。該算法由云端代理運(yùn)行。

7）原始密文解密算法（Decrypt1）。輸入系統(tǒng)公開參數(shù)集params、原始密文CA、數(shù)據(jù)發(fā)布方A的身份IDA、私鑰SKA和證書CertA，該算法生成并輸出明文M或無效標(biāo)志。該算法由數(shù)據(jù)發(fā)布方A運(yùn)行。

8）重加密密文解密算法（Decrypt2）。輸入系統(tǒng)公開參數(shù)集params、重加密密文CB、數(shù)據(jù)發(fā)布方A的身份IDA和公鑰PKA、被授權(quán)方B的身份IDB、私鑰SKB和證書CertB，該算法生成并輸出明文M或無效標(biāo)志。該算法由被授權(quán)方B運(yùn)行。

上述算法應(yīng)滿足如下的正確性約束：若CA=Encrypt（params， M， IDA， PKA），則M=Decrypt1（params， CA， IDA， SKA， CertA）；若RKA→B=ReKeyGen（params， IDA， SKA， CertA， IDB， PKB）且CB=ReEncrypt（params， CA， RKA→B），則M=Decrypt2（params， CB， IDA， PKA， IDB， SKB， CertB）。

2.2 基于證書密鑰封裝機(jī)制的安全模型

基于證書代理重加密方案的安全模型包含2類不同的敵手A1和A2[10，19]。第1類敵手A1模擬未經(jīng)CA認(rèn)證的用戶，它不知道系統(tǒng)的主密鑰，但可以詢問任意用戶的私鑰以及除目標(biāo)用戶以外的任意用戶的證書。第2類敵手A2則模擬擁有系統(tǒng)主密鑰的惡意CA，它可以生成任意用戶的證書，并可以詢問除目標(biāo)用戶以外的任意用戶的私鑰。

基于證書代理重加密方案的選擇密文安全性可通過如下兩個(gè)敵手游戲INDCCA2Ⅰ和INDCCA2Ⅱ來定義。

2.2.1 游戲INDCCA2Ⅰ

1）系統(tǒng)參數(shù)設(shè)置。挑戰(zhàn)者模擬算法Setup（k）生成系統(tǒng)主密鑰msk和公開參數(shù)集params。挑戰(zhàn)者保密主密鑰msk并將公開參數(shù)集params輸出給敵手A1。

2）第1階段詢問。在這一階段中，敵手A1可以向挑戰(zhàn)者適應(yīng)性地作如下一系列詢問。

用戶產(chǎn)生詢問 挑戰(zhàn)者維護(hù)一個(gè)列表Luser用于記錄用戶的私鑰、公鑰和證書。列表Luser初始為空。敵手A1輸入身份IDU，如果列表Luser中已存在相應(yīng)的記錄，挑戰(zhàn)者則直接輸出身份IDU對(duì)應(yīng)的公鑰PKU給敵手A1；否則，挑戰(zhàn)者生成身份IDU對(duì)應(yīng)的私鑰SKU、公鑰PKU和證書CertU，然后將結(jié)果保存在列表Luser中并輸出公鑰PKU給敵手A1。對(duì)于任意的身份IDU，規(guī)定敵手A1必須先對(duì)其進(jìn)行用戶產(chǎn)生詢問，才可作下述的其他預(yù)言詢問。

私鑰詢問 敵手A1輸入身份IDU，挑戰(zhàn)者從列表Luser中獲取身份IDU對(duì)應(yīng)的私鑰SKU并輸出給敵手A1。

證書詢問 敵手A1輸入身份IDU，挑戰(zhàn)者從列表Luser中獲取身份IDU對(duì)應(yīng)的證書CertU并輸出給敵手A1。

重加密密鑰詢問 敵手A1輸入身份IDA和IDB，挑戰(zhàn)者生成一個(gè)重加密密鑰RKA→B，并將之輸出給敵手A1。

重加密詢問 敵手A1輸入身份IDA和IDB以及一個(gè)原始密文CA，挑戰(zhàn)者生成一個(gè)重加密密文CB，并將之輸出給敵手A1。

解密詢問 敵手A1輸入身份IDU和一個(gè)密文CU，挑戰(zhàn)者解密密文CU并將結(jié)果輸出給敵手A1。

3）挑戰(zhàn)階段。敵手A1輸出身份IDch以及2個(gè)等長(zhǎng)的明文（M0， M1）進(jìn)行挑戰(zhàn)，限制是敵手A1在第1階段詢問中沒有詢問過身份IDch對(duì)應(yīng)的證書。挑戰(zhàn)者隨機(jī)選擇γ∈{0，1}，運(yùn)行加密算法Encrypt（params， Mλ， IDch， PKch）生成Mλ的原始密文Cch，并將之作為挑戰(zhàn)密文輸出給敵手A1。

4）第2階段詢問。同第1階段詢問，限制是：敵手A1不可詢問挑戰(zhàn)身份IDch的證書；對(duì)于任意的身份IDU ≠ IDch，敵手A1不可對(duì)（IDch， IDU）作重加密密鑰詢問；敵手A1不可對(duì)（IDch， Cch）和（IDder， Cder）作解密詢問，其中密文Cder是重加密詢問（IDch， IDder， Cch）的輸出。

5）猜測(cè)。敵手A1輸出對(duì)γ的猜測(cè)γ′。如果γ=γ′，則稱敵手A1贏得游戲。敵手A1獲勝的優(yōu)勢(shì)定義為：

AdvINDCCA2A1= 2|Pr[γ=γ′]-1/2|

2.2.2 游戲INDCCA2Ⅱ

1）系統(tǒng)參數(shù)設(shè)置。挑戰(zhàn)者模擬算法Setup（k）生成系統(tǒng)主密鑰msk和公開參數(shù)集params。挑戰(zhàn)者將主密鑰msk和公開參數(shù)集params輸出給敵手A2。

2）第1階段詢問。在這一階段中，敵手A2可以向挑戰(zhàn)者適應(yīng)性地作如下一系列詢問。

用戶產(chǎn)生詢問 挑戰(zhàn)者維護(hù)一個(gè)列表Luser用于記錄用戶的私鑰、公鑰和證書。列表Luser初始為空。敵手A2輸入身份IDU，如果列表Luser中已存在相應(yīng)的記錄，挑戰(zhàn)者則直接輸出身份IDU對(duì)應(yīng)的公鑰PKU給敵手A2；否則，挑戰(zhàn)者生成身份IDU對(duì)應(yīng)的私鑰SKU、公鑰PKU和證書CertU，然后將結(jié)果保存在列表Luser中并輸出公鑰PKU給敵手A2。

私鑰詢問 敵手A2輸入身份IDU，挑戰(zhàn)者從列表Luser中獲取身份IDU對(duì)應(yīng)的私鑰SKU并輸出給敵手A2。

重加密密鑰詢問 敵手A2輸入身份IDA和IDB，挑戰(zhàn)者生成一個(gè)重加密密鑰RKA→B，并將之輸出給敵手A2。

重加密詢問 敵手A2輸入身份IDA和IDB以及一個(gè)原始密文CA，挑戰(zhàn)者生成一個(gè)重加密密文CB并將之輸出給敵手A2。

解密詢問 敵手A2輸入身份IDU和一個(gè)密文CU，挑戰(zhàn)者解密密文CU并將結(jié)果輸出給敵手A2。

3）挑戰(zhàn)階段。敵手A2輸出身份IDch以及2個(gè)等長(zhǎng)的明文（M0， M1）進(jìn)行挑戰(zhàn)，限制是敵手A2在第1階段詢問中沒有詢問過身份IDch對(duì)應(yīng)的私鑰。挑戰(zhàn)者隨機(jī)選擇γ∈{0，1}，運(yùn)行加密算法Encrypt（params， Mγ， IDch， PKch）生成Mγ的原始密文Cch，并將之作為挑戰(zhàn)密文輸出給敵手A2。

4）第2階段詢問。同第1階段詢問，限制是：敵手A2不可詢問挑戰(zhàn)身份IDch的私鑰；對(duì)于任意的身份IDU ≠ IDch，敵手A2不可對(duì)（IDch， IDU）作重加密密鑰詢問；敵手A2不可對(duì)（IDch， Cch）和（IDder， Cder）作解密詢問，其中密文Cder是重加密詢問（IDch， IDder， Cch）的輸出。

4.2 性能評(píng)價(jià)

下面從計(jì)算代價(jià)和通信代價(jià)這兩個(gè)方面來評(píng)價(jià)本文方法的性能。

表1給出了本文方案與文獻(xiàn)[10，19]中基于證書代理重加密方案的性能對(duì)比。假設(shè)這方案中的雙線性對(duì)為e： G×G→GT，其中GT為雙線性目標(biāo)群。表1中符號(hào)p、 eT、e和h分別表示雙線對(duì)性運(yùn)算、群GT中的指數(shù)運(yùn)算、群G中的指數(shù)運(yùn)算以及MaptoPoint雜湊函數(shù)運(yùn)算，其系數(shù)表示該運(yùn)算的次數(shù)。一般雜湊函數(shù)運(yùn)算的計(jì)算代價(jià)忽略不計(jì)。

根據(jù)文獻(xiàn)[20]中的度量數(shù)據(jù)（見表2），表3和表4進(jìn)一步給出了本文方案與文獻(xiàn)[10，19]中方案的詳細(xì)對(duì)比，其中MNT/80和SS/80分別表示80比特的MNT（MiyajiNakabayashiTakano）橢圓曲線和80比特的超奇異橢圓（Super Singular， SS）曲線，可提供1024比特的RSA安全性。便于比較，假定三個(gè)方案加密時(shí)都使用SHA1雜湊函數(shù)，此時(shí)n和l的值為160。

由表3和表4可見，與文獻(xiàn)[10，19]中方案相比，本文方案在計(jì)算代價(jià)和通信代價(jià)兩個(gè)方面都具有明顯的優(yōu)勢(shì)，更適用于計(jì)算受限且低通信帶寬的應(yīng)用場(chǎng)合。

5 結(jié)語

本文提出了一個(gè)高效的不依賴于雙線性對(duì)的基于證書代理重加密方案?；贑DH問題的困難性假設(shè)，該方案在隨機(jī)預(yù)言模型下被證明滿足選擇密文安全性。與已有的基于證書代理重加密方案相比較，本文方案具有計(jì)算效率高和通信代價(jià)低的優(yōu)點(diǎn)，因此適用于計(jì)算受限且低通信帶寬的應(yīng)用場(chǎng)合。

已有的代理重加密方案只能針對(duì)唯一的被授權(quán)人產(chǎn)生重加密密鑰和重加密密文。但在很多實(shí)際應(yīng)用場(chǎng)合下，一個(gè)用戶希望與多個(gè)用戶同時(shí)分享其存儲(chǔ)在云端的加密數(shù)據(jù)，那么授權(quán)人將不得不針對(duì)每一個(gè)被授權(quán)人生成重加密密鑰，而云端代理也需要針對(duì)每一個(gè)被授權(quán)人生成相應(yīng)的重加密密文。這不僅給授權(quán)人和代理帶來了沉重的計(jì)算負(fù)擔(dān)，同時(shí)也增加了授權(quán)人與代理之間的通信代價(jià)，因此，構(gòu)造多接受者的基于證書代理重加密方案是下一步的工作重心。

參考文獻(xiàn)：

[1]BLAZE M， BLEUMER G， STRAUSS M. Divertible protocols and atomic proxy cryptography [C]// Proceedings of the 1998 International Conference on the Theory and Application of Cryptographic Techniques. Berlin： Springer， 1998： 127-144.

[2]ATENIESE G， FU K， GREEN M， et al. Improved proxy reencryption schemes with applications to secure distributed storage[J]. ACM Transactions on Information and System Security， 2006， 9（1）： 1-30.

[3]CANETTI R， HOHENBERGER S. Chosenciphertext secure proxy reencryption[C]// Proceedings of the 14th ACM Conference on Computer and Communications Security. New York： ACM， 2007： 185-194.

[4]LIBERT B， VERGNAUD D. Unidirectional chosenciphertext secure proxy reencryption[C]// Proceedings of the 11th International Workshop on Practice and Theory in PublicKey Cryptography. Berlin： Springer， 2008： 360-379.

[5]SHAO J， CAO Z. CCAsecure proxy reencryption without pairings [C]// Proceedings of the 12th International Workshop on Practice and Theory in PublicKey Cryptography. Berlin： Springer， 2009： 357-376.

[6]GREEN M， ATENIESE G. Identitybased proxy reencryption[C]// Proceedings of the 5th International Conference on Applied Cryptography and Network Security. Berlin： Springer， 2007： 288-306.

[7]MATSUO T. Proxy reencryption systems for identitybased encryption[C]// Proceedings of the 1st International Conference on PairingBased Cryptography. Berlin： Springer， 2007： 247-267.

[8]LUO S， SHEN Q， CHEN Z. Fully secure unidirectional identitybased proxy reencryption[C]// Proceedings of the 14th Annual International Conference on Information Security and Cryptology. Berlin： Springer， 2012： 109-126.

[9]LIANG K， LIU J K， WONG D S， et al. An efficient cloudbased revocable identitybased proxy reencryption scheme for public clouds data sharing[C]// Proceedings of the 19th European Symposium on Research in Computer Security. Berlin： Springer， 2014： 257-272.

[10]SUR C， PARK Y， SHIN S U， et al. Certificatebased proxy reencryption for public cloud storage[C]// Proceedings of the 7th International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing. Piscataway， NJ： IEEE， 2013： 159-166.

[11]GENTRY C. Certificatebased encryption and the certificate revocation problem[C]// Proceedings of 2003 International Conference on the Theory and Applications of Cryptographic Techniques. Berlin： Springer， 2003： 272-293.

[12]WANG L， SHAO J， CAO Z， et al. A certificatebased proxy cryptosystem with revocable proxy decryption power[C]// Proceedings of the 8th International Conference on Cryptology in India. Berlin： Springer， 2007： 297-311.

[13]GALINDO D， MORILLO P， RFOLS C. Improved certificatebased encryption in the standard model[J]. Journal of Systems and Software， 2008， 81（7）： 1218-1226.

[14]LIU J K， ZHOU J Y. Efficient certificatebased encryption in the standard model[C]// Proceedings of the 6th International Conference on Security and Cryptography for Networks. Berlin： Springer， 2008： 144-155.

[15]LU Y， LI J G， XIAO J M. Constructing efficient certificatebased encryption with pairing[J]. Journal of Computers， 2009， 4（1）： 19-26.

[16]SHAO Z. Enhanced certificatebased encryption from pairings [J]. Computers & Electrical Engineering， 2011， 37（2）： 136-146.

[17]YAO J， LI J G， ZHANG Y. Certificatebased encryption scheme without pairing[J]. KSII Transactions on Internet and Information Systems， 2013， 7（6）： 1480-1491.

[18]LU Y， LI J G. Efficient construction of certificatebased encryption secure against public key replacement attacks in the standard model[J]. Journal of Information Science and Engineering， 2014， 30（5）： 1553-1568.

[19]LI J G， ZHAO X， ZHANG Y. Certificatebased conditional proxy reencryption[C]// Proceedings of the 8th International Conference on Network and System Security. Berlin： Springer， 2014： 299-310.

[20]BOYEN X. The BB1 identitybased cryptosystem： a standard for encryption and key encapsulation [EB/OL]. [2015-06-10].