基于身份的抗私鑰泄漏的廣播加密方案

于啟紅 李繼國(guó)

1(宿遷學(xué)院信息工程學(xué)院 江蘇 宿遷 223800)2(河海大學(xué)計(jì)算機(jī)與信息學(xué)院 江蘇 南京 211100)

?

基于身份的抗私鑰泄漏的廣播加密方案

于啟紅1,2李繼國(guó)2

1(宿遷學(xué)院信息工程學(xué)院 江蘇 宿遷 223800)2(河海大學(xué)計(jì)算機(jī)與信息學(xué)院 江蘇 南京 211100)

側(cè)信道攻擊引起密碼系統(tǒng)的部分信息泄漏，破壞很多密碼方案的安全性。在基于身份的廣播加密方案(IBBE)中，到目前為止，還沒(méi)有能抵抗側(cè)信道攻擊的安全方案。基于此，提出一個(gè)抗側(cè)信道攻擊安全的基于身份的廣播加密方案。使用雙系統(tǒng)加密技術(shù)，在復(fù)合階群靜態(tài)假設(shè)下在標(biāo)準(zhǔn)模型中證明了提出方案的安全性。泄漏性能分析表明，私鑰的相對(duì)泄漏率可以達(dá)到1/3。該方案具有較好的抗私鑰泄漏性能。

彈性泄漏 雙系統(tǒng)加密 私鑰泄漏 基于身份廣播加密

0 引 言

最近幾年，許多側(cè)信道攻擊[1-6]導(dǎo)致密碼系統(tǒng)中一些秘密信息(甚至是部分私鑰信息)泄漏給敵手。在側(cè)信道攻擊中，敵手可以通過(guò)密碼系統(tǒng)的實(shí)現(xiàn)特征來(lái)獲得系統(tǒng)的秘密信息。側(cè)信道攻擊呈現(xiàn)許多形式：電磁輻射、能量消耗、時(shí)序等。冷啟動(dòng)攻擊[7]是一種特殊側(cè)信道攻擊，在這樣的攻擊中，即使設(shè)備斷電了，敵手還可以從存儲(chǔ)器中獲得部分信息。

為了保證密碼系統(tǒng)抗側(cè)信道攻擊的安全性，密碼學(xué)研究者提出了泄漏彈性密碼模型來(lái)捕獲這些攻擊。近幾年，抗泄漏(LR)密碼學(xué)已成為信息安全領(lǐng)域研究的熱點(diǎn)。

在2009年，Akavia等人正式提出了有界泄漏模型概念[8]。此后，一些相關(guān)的抗泄漏的密碼方案被提出[9-21]。Naor等給出了通過(guò)哈希證明系統(tǒng)(HPS)得到針對(duì)存儲(chǔ)攻擊安全的公鑰加密方案[9]。文獻(xiàn)[9]給出針對(duì)幾乎整個(gè)密鑰泄漏的選擇明文攻擊(CPA)安全方案和針對(duì)密鑰1/6泄漏的選擇密文攻擊(CCA)安全方案。Luo等人構(gòu)建基于格的抗泄漏的公鑰加密方案(LR-PKE)[10]。Chen等人推廣HPS到包括匿名的特點(diǎn)(稱為匿名的HPS)，然后使用匿名的HPS構(gòu)建抗泄漏的公鑰加密方案[11]。文獻(xiàn)[12]定義弱HPS概念，表明如果單向函數(shù)存在就能得到抗泄漏弱偽隨機(jī)函數(shù)、抗泄漏的消息認(rèn)證碼和抗泄漏的對(duì)稱密鑰加密。方案[13-15]是關(guān)于泄漏率較高的抗泄漏公鑰加密方案。文獻(xiàn)[16,17]構(gòu)造了可以抵抗“獲得挑戰(zhàn)密文后密鑰部分泄漏”攻擊的方案。文獻(xiàn)[18]考慮到密碼學(xué)組件之一提取器的泄漏問(wèn)題。Zhang等人借助很難求逆的函數(shù)構(gòu)造了抗泄漏的功能加密[19]。文獻(xiàn)[20,21]構(gòu)造了抗泄漏的簽名方案。

自從基于身份的廣播加密概念(IBBE)[22,23]提出以來(lái)，已經(jīng)有許多IBBE方案被提出[24-30]。 方案[24,25]具有很好的性能，取得常數(shù)大小的密文和密鑰。方案[26,27]考慮了分層的概念，分別提出分層的基于身份的廣播加密方案。文獻(xiàn)[28,29]提出匿名的基于身份的廣播加密方案。文獻(xiàn)[30]基于格的理論提出了前向安全的基于身份的廣播加密方案。但是，據(jù)我們所知，到目前為止，還沒(méi)有抗私鑰泄漏的IBBE方案被提出。

在本文中，提出了第一個(gè)抗私鑰泄漏的安全的基于身份廣播加密方案。在復(fù)合階群的三個(gè)靜態(tài)假設(shè)下，提出的方案是自適應(yīng)安全(完全安全性)。通過(guò)雙系統(tǒng)加密結(jié)構(gòu)[31-33]，證明方案的完全安全性。

在本文的方案中，密鑰和密文具有兩種狀態(tài)：正常態(tài)、半功能(SF)。正常的密文可以通過(guò)正常的密鑰或半功能密鑰解密。半功能的密文可以被正常的密鑰解密。在真正的游戲中，所有的密文和密鑰是正常的。證明采用混合論證技術(shù)。在證明中，借助于一系列游戲來(lái)實(shí)現(xiàn)。首先，密文變?yōu)榘牍δ艿模蝗缓螅荑€逐步變?yōu)榘牍δ艿模蛔詈螅玫搅诉@樣一個(gè)游戲：所有的私鑰和密文都是半功能的，所以攻擊者無(wú)法正確解密密文。連續(xù)兩個(gè)游戲被證明是不可區(qū)分的。這樣，可以獲得方案的安全性。如果選擇一個(gè)合適的參數(shù)，提出的方案可以容忍私鑰的1/3泄漏。

1 預(yù)備知識(shí)

文獻(xiàn)[34]提出組合階的雙線性群概念。假設(shè)Ψ是一個(gè)關(guān)于組合階的雙線性群的生成算法，它以安全參數(shù)λ作為輸入，生成一個(gè)復(fù)合階雙線性群Ω={N=p1p2p3,G,GT,e}，其中p1、p2、p3是三個(gè)不同的素?cái)?shù)，滿足Log(p1)=Log(p2)=Log(p3)，G與GT都是循環(huán)群且階均為N，雙線性映射e定義如下：

(1) 雙線性：

?g,h∈G a,b∈ZNe(ga,gb)=e(g,h)ab

(2) 非退化性:?g∈G使得e(g,g)?1。

此外，針對(duì)安全參數(shù)λ來(lái)說(shuō)，群G與GT中操作均是在多項(xiàng)式時(shí)間內(nèi)有效可計(jì)算的。分別用符號(hào)Gp1、Gp2與Gp3表示群G中的階為p1、p2與p3子群。階為p1p2子群用Gp1p2表示。不失一般性，若hi∈Gpi、hj∈Gpj，當(dāng)i≠j時(shí)，則e(hi,hj)為GT中單位元。例如，若h1∈Gp1，h2∈Gp2，且g是G生成元；則gp1p2可以生成Gp3，gp1p3可以生成Gp2，gp2p3可以生成Gp1。那么，存在α1,α2使得h1=(gp2p3)α1，h2=(gp1p3)α2成立，則e(h1,h2)=e(gp2p3α1,gp1p3α2)=e(gα1,gp3α2)p1p2p3=1，也就是說(shuō)Gp1,Gp2與Gp3是相互正交的。

下面列出三個(gè)有用的假設(shè)。

假設(shè)1給定一個(gè)實(shí)例:

算法A攻破假設(shè)1的優(yōu)勢(shì)定義為：

Adv1ψ,A(?)=|Pr[A(D1,T0)=1]-Pr[A(D1,T1)=1]|

如果任何概率多項(xiàng)式時(shí)間(PPT)敵手獲得優(yōu)勢(shì)Adv1ψ,A(?)都是可以忽略的，那么就稱假設(shè)1成立。

事實(shí)上，T1可以表示成一個(gè)Gp1中的元素與一個(gè)Gp2中元素之積，這兩部分分別被稱為T(mén)1的Gp1部分與T1的Gp2部分。

假設(shè)2給定一個(gè)實(shí)例:

算法A攻破假設(shè)2的優(yōu)勢(shì)定義為：

Adv2ψ,A(?)=|Pr[A(D2,T0)=1]-Pr[A(D2,T1)=1]|

如果任何概率多項(xiàng)式時(shí)間敵手獲得優(yōu)勢(shì)Adv2ψ,A(?)都是可以忽略的，則稱假設(shè)2成立。

G中的階為p1p3子群用符號(hào)Gp1p3表示。T1可以唯一表示成Gp1中一個(gè)元素與Gp2中一個(gè)元素和Gp3中的一個(gè)元素之積，這三部分分別被稱為T(mén)1中的Gp1部分、T1中的Gp2部分與T1中的Gp3部分，類(lèi)似地，T0可唯一表示成Gp1的一個(gè)元素與Gp3的一個(gè)元素之積。

假設(shè)3給定一個(gè)實(shí)例:

算法A攻破假設(shè)3的優(yōu)勢(shì)定義為：

Adv3ψ,A(?)=|Pr[A(D3,T0)=1]-Pr[A(D3,T1)=1]|

如果任何概率多項(xiàng)式時(shí)間敵手獲得優(yōu)勢(shì)Adv3ψ,A(?)都是可忽略的，則稱假設(shè)3成立。

2 本文方案的形式描述

在文獻(xiàn)[31]的基礎(chǔ)上，結(jié)合方案[24,25,35],我們給出基于身份的抗泄漏的廣播加密方案的形式化描述。我們的方案由以下算法組成。

Setup Setup(?,m)→(PK,MK)。該算法輸入一個(gè)安全參數(shù)?和用戶最大可能的數(shù)量m。它輸出主公鑰PK和主密鑰MK。PK對(duì)所有用戶公開(kāi)。

如圖10所示，當(dāng)正向及反向分別加載至CD和C′D′段卸載時(shí)，卸載路線分別沿56和5′6′進(jìn)行，卸載剛度分別取K56和K5′6′；采用擬合法對(duì)卸載點(diǎn)56和5′6′之間的所有實(shí)測(cè)數(shù)據(jù)進(jìn)行擬合，分別得到正向加載CD和反向加載C′D′段所有數(shù)據(jù)點(diǎn)的卸載剛度K56和K5′6′；然后再對(duì)各階段所有卸載剛度進(jìn)行無(wú)量綱化處理并采用冪函數(shù)進(jìn)行非線性回歸擬合，分別得到K56/K0與+Δ5/(+Δm)及K5′6′/K0′與Δ5′/(-Δm)之間的非線性關(guān)系曲線，如圖13所示。

KeyGen KeyGen(PK,MK,ID)→SKID。該算法以主公鑰PK，主密鑰MK和用戶身份ID為輸入。產(chǎn)生對(duì)應(yīng)與ID的私鑰SKID。

Encrypt Encrypt(PK,M,S)→CT。首先，算法以公鑰PK，身份集合S={ID1,…,IDd}(d≤m)為輸入，輸出(Hdr,DK)，其中Hdr稱為頭部，DK是用于加密消息M的對(duì)稱密鑰。接著，當(dāng)廣播者想加密消息M給S中的用戶時(shí)，它用DK加密消息M得到密文C。總的密文CT=(C,Hdr)，廣播者廣播CT=(C,Hdr)。

Decrypt Decrypt(PK,SKIDi,S,CT)→M。算法以主公鑰PK，私鑰SKIDi，用戶集合S和密文CT為輸入，劃分CT為(C,Hdr)。如果IDi∈S，根據(jù)Hdr計(jì)算出對(duì)稱密鑰DK，然后，用DK解密C恢復(fù)出M。

算法Setup與KeyGen由私鑰產(chǎn)生中心(KGC)生成，其他算法由用戶產(chǎn)生。KeyGenSF與EncryptSF僅用于安全性證明中。

3 本文方案安全模型

方案的安全模型通過(guò)敵手A和挑戰(zhàn)者B之間的游戲GameR來(lái)體現(xiàn)。m表示一次廣播中接收密文的最大用戶數(shù)。

在游戲GameR中：B持有一個(gè)列表L={(H,I,SK,LK)}，其中H、I、SK和LK分別表示句柄空間，身份空間，私鑰空間和泄漏量。假定H=與LK=。

初始化挑戰(zhàn)者運(yùn)行算法Setup產(chǎn)生主公鑰PK和主私鑰MK。挑戰(zhàn)者把PK發(fā)給敵手，把MK作為秘密保存。

階段1敵手作如下詢問(wèn)：

O-Create(ID)：給定一個(gè)身份ID，挑戰(zhàn)者在列表L中查找對(duì)應(yīng)ID的項(xiàng)。如果ID在列表L中，算法終止。否則，挑戰(zhàn)者運(yùn)行KeyGen算法產(chǎn)生私鑰SKID并更新h←h+1。把項(xiàng)(h,ID,SKID,0)放入列表L。

O-Leak(h,f)：敵手詢問(wèn)對(duì)應(yīng)于句柄h的私鑰的泄漏。敵手任意選擇一個(gè)多項(xiàng)式時(shí)間內(nèi)可計(jì)算的函數(shù)f，函數(shù)f以私鑰為輸入，給出固定長(zhǎng)度的輸出。

具體來(lái)說(shuō)，挑戰(zhàn)者在列表L中找出h對(duì)應(yīng)的項(xiàng)。不失一般性，假定找出的項(xiàng)為(h,ID,SKID,L)。挑戰(zhàn)者判定是否L+|f(SKID)|≤LSK，其中LSK是私鑰的泄漏的界。如果檢驗(yàn)為真，挑戰(zhàn)者把f(SKID)發(fā)給敵手且用(h,ID,SKID,L+|f(SKID)|)更新(h,ID,SKID,L)。否則，挑戰(zhàn)者輸出⊥。

O-Reveal(h)：敵手詢問(wèn)關(guān)于句柄h對(duì)應(yīng)的私鑰。挑戰(zhàn)者在列表L中查找此項(xiàng)。假設(shè)查到的項(xiàng)為(h,ID,SKID,L)，挑戰(zhàn)者發(fā)送SKID給敵手。

O-Decrypt：敵手詢問(wèn)關(guān)于(ID,CT)的明文，挑戰(zhàn)者在列表L中找到私鑰SKID，然后運(yùn)行解密算法Decrypt獲得對(duì)應(yīng)的明文M并發(fā)給敵手。

階段2敵手A詢問(wèn)O-Create、O-Reveal和O-Decrypt。基本的限制和階段1同，此外，不能對(duì)ID∈S*或Hdr=Hdr*進(jìn)行詢問(wèn)。進(jìn)一步，不能詢問(wèn)泄漏預(yù)言機(jī)，因?yàn)槿绻试S這樣做的話，敵手可以選擇這樣一個(gè)泄漏函數(shù)，這個(gè)泄漏函數(shù)把解密算法作為輸入，它就可以平凡地贏得游戲。

如果在GameR中，所有的PPT敵手都只能取得可以忽略的優(yōu)勢(shì)，則稱本文方案是抗私鑰泄漏安全的。

4 本文方案構(gòu)造

本文方案是基于3素?cái)?shù)的組合階群，由如下6個(gè)算法構(gòu)成。子群Gp3用于隨機(jī)化密鑰。子群Gp2只用于證明中使用的半功能密鑰和密文。

具體如下：

公鑰為：

主密鑰為：

Encrypt 廣播者以消息M和接受者身份集合S=(ID1,…,IDd)為輸入。隨機(jī)選擇s∈ZN，生成密文：

其中盲化因子為e(g1,g1)αs。

Decrypt 如果用戶身份IDi是接收者集合S中的元素，即IDi∈S，則此用戶可以解密密文。首先，用密鑰計(jì)算：

(4) 最后恢復(fù)明文

5 安全性證明

定理1如果假設(shè)1-假設(shè)3成立，本文方案是標(biāo)準(zhǔn)模型中抗泄漏安全的，抵抗的私鑰泄漏量為L(zhǎng)SK=(n-2Λ-1)λ，其中λ=logp2，n≥2是一個(gè)整數(shù)，Λ是一個(gè)正的常數(shù)。

當(dāng)n比較大時(shí)，能容忍的泄漏率比較高。當(dāng)n比較小時(shí)，主公鑰也比較短。具體的泄漏性能分析在第6節(jié)給出。

總體來(lái)說(shuō)，我們用雙系統(tǒng)加密技術(shù)來(lái)證明方案的安全性。通過(guò)一系列游戲來(lái)完成證明。這些游戲都由真實(shí)的安全性游戲GameR修改而來(lái)。第一個(gè)游戲是真實(shí)的安全性游戲，最后一個(gè)游戲中敵手沒(méi)有任何優(yōu)勢(shì)(因?yàn)榧用芤粋€(gè)隨機(jī)的消息)。這些游戲中相鄰兩個(gè)是不可區(qū)分的。用q表示游戲的個(gè)數(shù)。

這些游戲具體定義如下：

GameR：這是一個(gè)真實(shí)的安全性游戲。

Game0：與GameR類(lèi)似，除了Game0中挑戰(zhàn)密文是半功能的。

Gamei(i∈[1,q])：在這個(gè)游戲中，挑戰(zhàn)密文是半功能的。對(duì)前i個(gè)私鑰詢問(wèn)，挑戰(zhàn)者用半功能的私鑰回答。對(duì)其他私鑰詢問(wèn)，挑戰(zhàn)者用正常私鑰回答。如果i=q(Gameq)，對(duì)每個(gè)私鑰詢問(wèn)挑戰(zhàn)者都用半功能的私鑰回答。

GameF：這個(gè)游戲與Gameq幾乎一樣，除了這一點(diǎn)外：在GameF中廣播者加密一個(gè)隨機(jī)消息得到挑戰(zhàn)密文，而在Gameq中廣播者加密一個(gè)隨機(jī)的挑戰(zhàn)消息得到挑戰(zhàn)密文。

證明通過(guò)一系列游戲GameR，Gamei(i∈(0,1,…,q))和GameF，我們用引理1-引理4來(lái)證明安全性。首先，用引理1來(lái)獲得泄漏界。其次，用引理2-引理4來(lái)證明這一系列游戲是不可區(qū)分的。再者，證明攻擊者在GameF中獲得的優(yōu)勢(shì)是可以忽略的。這樣，安全性便可以獲證。

表1 敵手在連續(xù)兩個(gè)游戲中獲得的優(yōu)勢(shì)差異

由表1,可得：

具體來(lái)說(shuō)，下面我們完成4個(gè)引理證明。

引理1私鑰泄漏的量可以達(dá)到LSK=(n-2Λ-1)λ。

證明我們用文獻(xiàn)[36]中的一個(gè)結(jié)論來(lái)證明這個(gè)引理。

從結(jié)論1，我們很容易得到下面的推論1。

=(n-2Λ-1)logp2=(n-2Λ-1)λ

階段2攻擊者繼續(xù)對(duì)IDi進(jìn)行私鑰詢問(wèn)，所受的限制是IDi?S*。

猜測(cè)A輸出關(guān)于β的猜測(cè)β′。如果β′=β，A贏得游戲。

階段1A詢問(wèn)關(guān)于第i個(gè)身份IDi的私鑰。B進(jìn)行如下操作：

(1) 如果i

對(duì)于攻擊者A而言，模擬是有效的。

(2) 如果i>k，B運(yùn)行算法KeyGen產(chǎn)生正常私鑰。

若T∈Gp1p3，私鑰是正常的。若T∈G，私鑰是半功能的。

階段2攻擊者繼續(xù)進(jìn)行私鑰詢問(wèn)，只要IDi?S*。

猜測(cè)A輸出關(guān)于β的猜測(cè)β′。如果β′=β，A贏得游戲。

概率分析當(dāng)T∈Gp1p3，B恰當(dāng)模擬游戲Gamek-1。當(dāng)T∈G，B恰當(dāng)模擬游戲Gamek。由此可得：

公鑰為：

階段1A詢問(wèn)關(guān)于第i個(gè)身份IDi∈S的私鑰，其中S={ID1,…,IDd}。B操作如下。B隨機(jī)選擇t1,…,tn+2∈ZN。半功能密鑰產(chǎn)生如下：

對(duì)于攻擊者A而言，模擬是有效的。

階段2攻擊者繼續(xù)詢問(wèn)關(guān)于IDi的私鑰，受到的限制是IDi?S*。

猜測(cè)A輸出一個(gè)關(guān)于β的猜測(cè)β′。如果β′=β，A贏得游戲。

概率分析當(dāng)T=e(g1,g1)αs，B恰當(dāng)模擬游戲Gameq。當(dāng)T∈Gp1，B恰當(dāng)模擬游戲GameF。可得：

6 泄漏性能分析

本文方案中，p1、p2、p3都是λ比特的素?cái)?shù)。私鑰長(zhǎng)度為3(n+3)λ比特。私鑰的泄漏量至多為(n-2Λ-1)λ比特。此處，n≥2是一個(gè)可變整數(shù)，它用于獲得不同的泄漏彈性，Λ是一個(gè)正常數(shù)。私鑰的相對(duì)泄漏率為：

我們要強(qiáng)調(diào)的是：n是一個(gè)變量。如果我們要得到一個(gè)相對(duì)泄漏率較高的方案，我們可以把方案中的n設(shè)置為一個(gè)較大的數(shù)。這樣，系統(tǒng)的抗泄漏性能較好。但是，私鑰會(huì)相應(yīng)變長(zhǎng)。如果設(shè)置n為一個(gè)較小的數(shù)，相對(duì)泄漏率也較小。但是私鑰也相對(duì)變短。

表2給出本文的方案和文獻(xiàn)[31,35]的方案比較。表2給出了私鑰的大小和泄漏量等信息。

表2 本文方案和文獻(xiàn)[31,35]中方案的比較

文獻(xiàn)[35]給出一個(gè)沒(méi)有泄漏彈性的IBBE。文獻(xiàn)[31]提出一個(gè)抗泄漏的基于身份的加密方案(LR-IBE)，但是沒(méi)有考慮到廣播加密情況。本文方案中，我們同時(shí)考慮廣播加密和泄漏彈性問(wèn)題。

7 結(jié) 語(yǔ)

本文給出了基于身份的抗泄漏廣播加密方案的形式化定義和安全模型。提出一個(gè)抗泄漏的基于身份廣播加密方案。本方案可以抵抗私鑰的泄漏攻擊。方案的安全性由復(fù)合階雙線性群中的三個(gè)靜態(tài)假設(shè)保證，這是第一個(gè)抗泄漏的廣播加密方案。本文給出的方案具有較好的泄漏彈性。當(dāng)設(shè)置n是很大的值時(shí)，方案的私鑰的泄漏率可以達(dá)到1/3。構(gòu)造素?cái)?shù)階群假設(shè)下的安全抗泄漏基于身份的廣播加密方案是下一步的研究方向。

[1] Chen C S,Wang T,Tian J.Improving timing attack on RSA-CRT via error detection and correction strategy[J].Information Sciences,2013,232(5):464-474.

[2] Chari S,Jutla C S,Rao J R,et al.Towards sound approaches to counteract power-analysis attacks[C]//Advances in Cryptology—CRYPTO’99.Springer Berlin Heidelberg,1999:398-412.

[3] Ishai Y,Sahai A,Wagner D.Private circuits:Securing hardware against probing attacks[C]//Advances in Cryptology-CRYPTO 2003.Springer Berlin Heidelberg,2003:463-481.

[4] Rechberger C,Oswald E.Stream ciphers and side-channel analysis[C]//ECRYPT Workshop,SASC-The State of the Art of Stream Ciphers,2004:320-326.

[5] Li W,Gu D,Li J.Differential fault analysis on the ARIA algorithm[J].Information Sciences,2008,178(19):3727-3737.

[6] Gandolfi K,Mourtel C,Olivier F.Electromagnetic analysis:Concrete results[C]//Cryptographic Hardware and Embedded Systems—CHES 2001.Springer Berlin Heidelberg,2001:251-261.

[7] Halderman J A,Schoen S D,Heninger N,et al.Lest we remember:cold-boot attacks on encryption keys[J].Communications of the ACM,2009,52(5):91-98.

[8] Akavia A,Goldwasser S,Vaikuntanathan V.Simultaneous hardcore bits and cryptography against memory attacks[C]//Theory of Cryptography.Springer Berlin Heidelberg,2009:474-495.

[9] Naor M,Segev G.Public-key cryptosystems resilient to key leakage[J].SIAM Journal on Computing,2012,41(4):772-814.

[10] Luo X,Qian P,Zhu Y.Leakage-resilient IBE from lattices in the standard model[C]//Information Science and Engineering (ICISE),2010 2nd International Conference on.IEEE,2010:2163-2167.

[11] Chen Y,Zhang Z,Lin D,et al.Generalized (identity-based) hash proof system and its applications[J].Security and Communication Networks,2013,9(12):143-160.

[12] Hazay C,López-Alt A,Wee H,et al.Leakage-resilient cryptography from minimal assumptions[C]//Advances in Cryptology-EUROCRYPT 2013.Springer Berlin Heidelberg,2013:160-176.

[13] Li S,Zhang F,Sun Y,et al.Efficient leakage-resilient public key encryption from DDH assumption[J].Cluster computing,2013,16(4):797-806.

[14] Qin B,Liu S,Chen K.Efficient chosen-ciphertext secure public-key encryption scheme with high leakage-resilience[J].IET Information Security,2014,9(1):32-42.

[15] Liu S,Weng J,Zhao Y.Efficient public key cryptosystem resilient to key leakage chosen ciphertext attacks[C]//Topics in Cryptology-CT-RSA 2013.Springer Berlin Heidelberg,2013:84-100.

[16] Fujisaki E,Kawachi A,Nishimaki R,et al.Post-Challenge Leakage Resilient Public-Key Cryptosystem in Split State Model[J].IEICE Transactions on Fundamentals of Electronics,Communications and Computer Sciences,2015,98(3):853-862.

[17] Zhang Z,Chow S S M,Cao Z.Post-challenge leakage in public-key encryption[J].Theoretical Computer Science,2015,572(C):25-49.

[18] Chen D,Zhou Y,Han Y,et al.On hardening leakage resilience of random extractors for instantiations of leakage-resilient cryptographic primitives[J].Information Sciences,2014,271(7):213-223.

[19] Zhang M,Wang C,Takagi T,et al.Functional Encryption Resilient to Hard-to-Invert Leakage[J].The Computer Journal,2015,58(4):735-749.

[20] Katz J,Vaikuntanathan V.Signature schemes with bounded leakage resilience[C]//Advances in Cryptology-ASIACRYPT 2009.Springer Berlin Heidelberg,2009:703-720.

[21] Alwen J,Dodis Y,Wichs D.Leakage-resilient public-key cryptography in the bounded-retrieval model[C]//Advances in Cryptology-CRYPTO 2009.Springer Berlin Heidelberg,2009:36-54.

[22] Delerablée C.Identity-based broadcast encryption with constant size ciphertexts and private keys[C]//Advances in Cryptology-ASIACRYPT 2007.Springer Berlin Heidelberg,2007:200-215.

[23] Sakai R,Furukawa J.Identity-Based Broadcast Encryption[EB/OL].[2016-03-16].http://eprint.iacr.org/2007/217.

[24] Kim J,Susilo W,Au M H,et al.Adaptively Secure Identity-Based Broadcast Encryption With a Constant-Sized Ciphertext[J].Information Forensics and Security,IEEE Transactions on,2015,10(3):679-693.

[25] Zhang L,Hu Y,Wu Q.Adaptively Secure Identity-based Broadcast Encryption with constant size private keys and ciphertexts from the Subgroups[J].Mathematical and computer Modelling,2012,55(1):12-18.

[26] Yang C,Zheng S,Wang L,et al.Hierarchical identity-based broadcast encryption scheme from LWE[J].Communications and Networks,Journal of,2014,16(3):258-263.

[27] Liu W,Liu J,Wu Q,et al.Practical chosen-ciphertext secure Hierarchical Identity-Based Broadcast Encryption[J].International Journal of Information Security,2016,15(1):35-50.

[28] Ren Y,Niu Z,Zhang X.Fully Anonymous Identity-based Broadcast Encryption without Random Oracles[J].International Journal of Network Security,2014,16(3):247-255.

[29] Li X,Yanli R.Efficient Anonymous Identity-Based Broadcast Encryption without Random Oracles[J].International Journal of Digital Crime and Forensics (IJDCF),2014,6(2):40-51.

[30] Zhang X,Wang S,Zhang W.Forward-Secure Identity-based Broadcast Encryption Scheme from Lattice[J].Appl.Math,2015,9(4):1993-2000.

[31] Lewko A,Rouselakis Y,Waters B.Achieving leakage resilience through dual system encryption[C]//Theory of Cryptography.Springer Berlin Heidelberg,2011:70-88.

[32] Waters B.Dual system encryption:Realizing fully secure IBE and HIBE under simple assumptions[C]//Advances in Cryptology-CRYPTO 2009.Springer Berlin Heidelberg,2009:619-636.

[33] Lewko A,Waters B.New proof methods for attribute-based encryption:Achieving full security through selective techniques[C]//Advances in Cryptology-CRYPTO 2012.Springer Berlin Heidelberg,2012:180-198.

[34] Boneh D,Goh E J,Nissim K.Evaluating 2-DNF formulas on ciphertexts[C]//Theory of cryptography.Springer Berlin Heidelberg,2005:325-341.

[35] Sun J,Hu Y P.Identity-based broadcast encryption scheme using the new techniques for dual system encryption[J].Journal of Electronics and Information Technology,2011,33(5):1266-1270.

[36] Brakerski Z,Kalai Y T,Katz J,et al.Overcoming the hole in the bucket:Public-key cryptography resilient to continual memory leakage[C]//Foundations of Computer Science (FOCS),2010 51st Annual IEEE Symposium on.IEEE,2010:501-510.

IDENTITY-BASED BROADCAST ENCRYPTION WITH ANTI PRIVATE KEY LEAKAGE

Yu Qihong1,2Li Jiguo2

1(School of Information Engineering,Suqian College,Suqian 223800,Jiangsu,China)2(College of Computer and Information Engineering,Hohai University,Nanjing 211100,Jiangsu,China)

The side channel attack causes information leakage of cryptosystems, and it also destroys the security of many cryptographic schemes. There is no security scheme can resist side channel attack in identity-based broadcast encryption (IBBE). In this paper, we propose an IBBE scheme against side channel attack. The scheme uses dual system encryption technology, and we prove the safety of the proposed scheme in the standard model based on composite order bilinear group assumptions. Leakage performance analysis shows that the private key of the relative leakage rate can reach 1/3. The scheme has good performance of anti-private key leak.

Leakage-resilient Dual system encryption Private key leakage Identity-based broadcast encryption

2016-03-30。國(guó)家自然科學(xué)基金項(xiàng)目(61272542)；江蘇省教育廳自然科學(xué)基金項(xiàng)目( 14KJD52006，13KJD460007)；宿遷市工業(yè)科技支撐計(jì)劃項(xiàng)目(H201315，Z201450)；宿遷學(xué)院優(yōu)秀青年骨干教師基金；宿遷學(xué)院科研基金項(xiàng)目(2016KY04)。于啟紅，講師，主研領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)與信息安全。李繼國(guó)，教授。

TP309

A

10.3969/j.issn.1000-386x.2016.11.065