可撤销用户动态更新广播加密方法的研究

徐泽伦 刘红梅 牛凯 王尧

摘要：广播式加密是一种将数据通过广播信道安全分发给用户的机制。目前最新的研究是抗私钥泄露的安全给予身份的广播加密方案，可撤销广播加密则是为了帮助用户自行撤销与自身身份相关的私钥，可更好地确保用户信息的安全。该文首先论述了用户将会生成加密内容并发送到第三方，第三方将能撤销密文中的某些身份；其次提出了一个安全模型来捕捉这些信息，并给出了相关的安全证明。

关键词：基于身份的广播加密；可撤销；接收者

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2019）04-0056-02

广播加密技术提供了一种通用的在不安全的信道中以便捷的方式来分发数字信息给用户的方法，确保只有合法的注册用户才能接收组播通信数据，从而达到访问控制目的。广播加密的概念首先由Berkovits提出，使发件人能有效地广播密文。之后出现的很多方案都旨在改进目标私钥大小，密文大小，公钥大小和计算加密和解密的成本。基于身份的广播加密（IBBE）方案首先是为了避免PKI设置的必要性。这允许广播公司使用接收者的身份认证而不需要他们的公钥。虽然基于身份的加密概念提供了很好的功能，因为它不需要公钥认证，但却有难以撤销用户私钥的缺点。有效的撤销机制问题虽然也进行了研究，但由于安全而无法扩展中心与所有用户之间的渠道而使其效率低下。

本文首先提出了基于接收者可撤销身份的广播加密方案。在该方案中，内容提供者将生成加密的内容并将其发送给第三方即广播公司，第三方可从密文中撤销某些身份认证。最后还提出了一个具体的安全模型架构来捕获这些需求，并加以安全证明。

1 接收者-可撤销的IBBE

简单来说，Recipient-Revocable IdentityBased广播加密（RR-IBBE）方案是基于身份的广播加密（IBBE），它具有新的功能，即接收方撤销。形式上，RR-IBBE方案具有安全参数1λ和广播集的最大大小N。RR-IBBE由如下定义的算法：RR-IBBE =（建立，密钥生成，加密，撤销，解密）组成。

设置（1λ，N）。将一个加密的安全参数1λ和一组接收器的最大尺寸的整数N作为输入，并输出主公开密钥mpk和主密钥msk；

密钥生成（ID，mpk，msk）。输入用户标识ID和主密钥对（mpk，msk），并生成用户私钥skID；

加密（S，K，M，MPK）。以一组身份S = {ID1，ID2，...，IDn}（n≤N），最大撤销数k≤n，消息M和主公钥mpk作为输入，该算法加密M并输出接收者S的密文CT；

撤销（S，CT，R，MPK）。以密文CT，撤销标识集R = {ID1，ID2，...，IDI}∈S（I≤k）和主公钥mpk作为输入，撤销算法为接收者S0输出新的密文CT0 =S-R；

解密（S0，CT0，MPK，skID）。输入S0的密文CT0，主公钥mpk和私钥skID，判断在ID∈S0时输出M的正确性。

在加密算法的定义中，允许加密器选择标识集合S和最大撤销编号k。数字k小于n，其大小取决于实际应用。如果k = 0，则意味着加密者不允许第三方撤销任何身份。如果k = n，则意味着第三方可以撤销身份集中的所有身份。

2 安全模型

RR-IBBE方案的安全性要求在无有效私钥的情况下不能区分加密消息。设CT为接收者S的原始密文，CT0为接收者S0撤销后的密文。安全性要求：

（1）如果没有与身份ID∈S关联的私钥，则密文CT中的消息不能被区分。

（2）如果没有与身份ID∈S0关联的私钥，则无法区分密文CT0中的消息。需要注意的是，允许攻击者在撤销集R中拥有与身份相关的私钥。

为了满足安全要求为RR-IBBE系统定义了选择性ID的语义安全性（弱于完全安全性）。本文使用一种安全模型来捕获两种不同的攻击，其定义与IBBE计划的IND-SID-CPA概念类似。

初始化：攻击者A输出一组（s *≤n）目标身份。

设置：挑战者运行设置（1λ，n）获取主公钥mpk并将其提供给对手A。

提取查询I：攻击者A在ID /∈S *的限制下自适应地发出任何身份ID的密钥提取查询。挑战者在ID上运行KeyGen并将产生的私钥转发给对手。

挑战：一旦A决定提取查询I结束，它将输出两个相等长度的明文M0，M1和一个撤销标识集合R *。唯一的限制是R *中的任何标识都不能成为S *中的目标标识。让| R * | = k，S = R * + S *。挑战者挑选一个比特b∈{0，1}并生成挑战密文CT *，如下所示：

CT = Encrypt（S，k，Mb，mpk）

CT0 = Revoke（S，CT，R?，mpk）.

当R * 6 =?时，攻击者A被赋予挑战密文CT * = CT0，否则给出CT * = CT作为挑战密文。

提取查询II：如在提取查询I中则对手A继续发出提取查询。

猜测：最后，如果b = b0，对手A输出一个猜测b0∈{0，1}并赢得比赛。

对手在游戏期间发出的提取查询的总数由t表示，定义A及由挑战者运行的所有概率算法在赢得上述比赛中的优势为：AdvsIDRR-SS-IBBE（t，n，A） = Pr[b = b0] ? 1/2。

如果AdvSSRR-IBBE（t，n）= negl（λ），其中AdvSSRR-IBBE（t，n）= maxA，则接收方可撤销的基于身份的广播加密方案RR-IBBE是（t，n）AdvSSRR-IBBE（t，n，A），可用于所有概率多项式时间攻击者A。通过允许攻击者访问解密预言者，可以考虑选择密文安全性更强的安全概念。然而，本文强调任何RR-IBBE方案都不能满足这样的安全要求，即允许攻击者在与挑战密文时对不同的任何密文发起解密查询。从本质上讲，RR-IBBE方案的功能要求加密应该是可重新随机化的。这个属性允许攻击者重新挑选挑战密文并将其查询给解密预言者以揭示挑选的明文Mb。

3 结论

本文提出了一种新的密碼概念，称为基于可撤销身份的广播加密（RR-IBEE）方案。该方案允许发送方通过广播的第三方将加密内容多播到一组接收方。即使广播公司没有解密密文的能力但仍可撤销密码文本中指定的一些用户。因此，该广播公司可以清除（或审查）密文，以便它不会被一些指定的接收者读取。

参考文献：

[1] 李春花.采用扩展公钥的云存储广播加密优化方法[J].计算机研究与发展，2017，52（12）.

[2] 徐盛伟.基于匿名广播加密的云存储访问控制方法[J].计算机应用，2017，37（2）.

[3] 方雪峰.可撤销用户的外包加解密CP-ABE方案[J].计算机工程，2016，42（12）.

[4] 张亮轩.云计算中支持有效用户撤销的多授权方基于属性加密方案[J].2017，2（2）.

[5] 程小刚.群签名与广播加密的对偶性及应用[J].华侨大学学报（自然科学版），2017，38（2）.

[6] 冯翰文，刘建伟，伍前红.基于 LWE 的全同态身份基广播加密方案[J].密码学报，2018， 5（1）： 21-34.

[7] 闫玺玺，叶青，刘宇.云环境下支持隐私保护和用户撤销的属性基加密方案[J]. 信息网络安全，2017（6）：14-21.

【通联编辑：代影】