可撤銷用戶動態更新廣播加密方法的研究

徐澤倫 劉紅梅 牛凱 王堯

摘要：廣播式加密是一種將數據通過廣播信道安全分發給用戶的機制。目前最新的研究是抗私鑰泄露的安全給予身份的廣播加密方案，可撤銷廣播加密則是為了幫助用戶自行撤銷與自身身份相關的私鑰，可更好地確保用戶信息的安全。該文首先論述了用戶將會生成加密內容并發送到第三方，第三方將能撤銷密文中的某些身份；其次提出了一個安全模型來捕捉這些信息，并給出了相關的安全證明。

關鍵詞：基于身份的廣播加密；可撤銷；接收者

中圖分類號：TP393 文獻標識碼：A 文章編號：1009-3044（2019）04-0056-02

廣播加密技術提供了一種通用的在不安全的信道中以便捷的方式來分發數字信息給用戶的方法，確保只有合法的注冊用戶才能接收組播通信數據，從而達到訪問控制目的。廣播加密的概念首先由Berkovits提出，使發件人能有效地廣播密文。之后出現的很多方案都旨在改進目標私鑰大小，密文大小，公鑰大小和計算加密和解密的成本。基于身份的廣播加密（IBBE）方案首先是為了避免PKI設置的必要性。這允許廣播公司使用接收者的身份認證而不需要他們的公鑰。雖然基于身份的加密概念提供了很好的功能，因為它不需要公鑰認證，但卻有難以撤銷用戶私鑰的缺點。有效的撤銷機制問題雖然也進行了研究，但由于安全而無法擴展中心與所有用戶之間的渠道而使其效率低下。

本文首先提出了基于接收者可撤銷身份的廣播加密方案。在該方案中，內容提供者將生成加密的內容并將其發送給第三方即廣播公司，第三方可從密文中撤銷某些身份認證。最后還提出了一個具體的安全模型架構來捕獲這些需求，并加以安全證明。

1 接收者-可撤銷的IBBE

簡單來說，Recipient-Revocable IdentityBased廣播加密（RR-IBBE）方案是基于身份的廣播加密（IBBE），它具有新的功能，即接收方撤銷。形式上，RR-IBBE方案具有安全參數1λ和廣播集的最大大小N。RR-IBBE由如下定義的算法：RR-IBBE =（建立，密鑰生成，加密，撤銷，解密）組成。

設置（1λ，N）。將一個加密的安全參數1λ和一組接收器的最大尺寸的整數N作為輸入，并輸出主公開密鑰mpk和主密鑰msk；

密鑰生成（ID，mpk，msk）。輸入用戶標識ID和主密鑰對（mpk，msk），并生成用戶私鑰skID；

加密（S，K，M，MPK）。以一組身份S = {ID1，ID2，...，IDn}（n≤N），最大撤銷數k≤n，消息M和主公鑰mpk作為輸入，該算法加密M并輸出接收者S的密文CT；

撤銷（S，CT，R，MPK）。以密文CT，撤銷標識集R = {ID1，ID2，...，IDI}∈S（I≤k）和主公鑰mpk作為輸入，撤銷算法為接收者S0輸出新的密文CT0 =S-R；

解密（S0，CT0，MPK，skID）。輸入S0的密文CT0，主公鑰mpk和私鑰skID，判斷在ID∈S0時輸出M的正確性。

在加密算法的定義中，允許加密器選擇標識集合S和最大撤銷編號k。數字k小于n，其大小取決于實際應用。如果k = 0，則意味著加密者不允許第三方撤銷任何身份。如果k = n，則意味著第三方可以撤銷身份集中的所有身份。

2 安全模型

RR-IBBE方案的安全性要求在無有效私鑰的情況下不能區分加密消息。設CT為接收者S的原始密文，CT0為接收者S0撤銷后的密文。安全性要求：

（1）如果沒有與身份ID∈S關聯的私鑰，則密文CT中的消息不能被區分。

（2）如果沒有與身份ID∈S0關聯的私鑰，則無法區分密文CT0中的消息。需要注意的是，允許攻擊者在撤銷集R中擁有與身份相關的私鑰。

為了滿足安全要求為RR-IBBE系統定義了選擇性ID的語義安全性（弱于完全安全性）。本文使用一種安全模型來捕獲兩種不同的攻擊，其定義與IBBE計劃的IND-SID-CPA概念類似。

初始化：攻擊者A輸出一組（s *≤n）目標身份。

設置：挑戰者運行設置（1λ，n）獲取主公鑰mpk并將其提供給對手A。

提取查詢I：攻擊者A在ID /∈S *的限制下自適應地發出任何身份ID的密鑰提取查詢。挑戰者在ID上運行KeyGen并將產生的私鑰轉發給對手。

挑戰：一旦A決定提取查詢I結束，它將輸出兩個相等長度的明文M0，M1和一個撤銷標識集合R *。唯一的限制是R *中的任何標識都不能成為S *中的目標標識。讓| R * | = k，S = R * + S *。挑戰者挑選一個比特b∈{0，1}并生成挑戰密文CT *，如下所示：

CT = Encrypt（S，k，Mb，mpk）

CT0 = Revoke（S，CT，R?，mpk）.

當R * 6 =?時，攻擊者A被賦予挑戰密文CT * = CT0，否則給出CT * = CT作為挑戰密文。

提取查詢II：如在提取查詢I中則對手A繼續發出提取查詢。

猜測：最后，如果b = b0，對手A輸出一個猜測b0∈{0，1}并贏得比賽。

對手在游戲期間發出的提取查詢的總數由t表示，定義A及由挑戰者運行的所有概率算法在贏得上述比賽中的優勢為：AdvsIDRR-SS-IBBE（t，n，A） = Pr[b = b0] ? 1/2。

如果AdvSSRR-IBBE（t，n）= negl（λ），其中AdvSSRR-IBBE（t，n）= maxA，則接收方可撤銷的基于身份的廣播加密方案RR-IBBE是（t，n）AdvSSRR-IBBE（t，n，A），可用于所有概率多項式時間攻擊者A。通過允許攻擊者訪問解密預言者，可以考慮選擇密文安全性更強的安全概念。然而，本文強調任何RR-IBBE方案都不能滿足這樣的安全要求，即允許攻擊者在與挑戰密文時對不同的任何密文發起解密查詢。從本質上講，RR-IBBE方案的功能要求加密應該是可重新隨機化的。這個屬性允許攻擊者重新挑選挑戰密文并將其查詢給解密預言者以揭示挑選的明文Mb。

3 結論

本文提出了一種新的密碼概念，稱為基于可撤銷身份的廣播加密（RR-IBEE）方案。該方案允許發送方通過廣播的第三方將加密內容多播到一組接收方。即使廣播公司沒有解密密文的能力但仍可撤銷密碼文本中指定的一些用戶。因此，該廣播公司可以清除（或審查）密文，以便它不會被一些指定的接收者讀取。

參考文獻：

[1] 李春花.采用擴展公鑰的云存儲廣播加密優化方法[J].計算機研究與發展，2017，52（12）.

[2] 徐盛偉.基于匿名廣播加密的云存儲訪問控制方法[J].計算機應用，2017，37（2）.

[3] 方雪峰.可撤銷用戶的外包加解密CP-ABE方案[J].計算機工程，2016，42（12）.

[4] 張亮軒.云計算中支持有效用戶撤銷的多授權方基于屬性加密方案[J].2017，2（2）.

[5] 程小剛.群簽名與廣播加密的對偶性及應用[J].華僑大學學報（自然科學版），2017，38（2）.

[6] 馮翰文，劉建偉，伍前紅.基于 LWE 的全同態身份基廣播加密方案[J].密碼學報，2018， 5（1）： 21-34.

[7] 閆璽璽，葉青，劉宇.云環境下支持隱私保護和用戶撤銷的屬性基加密方案[J]. 信息網絡安全，2017（6）：14-21.

【通聯編輯：代影】