抗持续泄漏的基于证书广播加密方案

郭宇燕，董 婕，江明明

（1.淮北师范大学 计算机科学与技术学院，安徽 淮北 235000；2.淮北师范大学 物理与电子信息学院，安徽 淮北 235000）

0 引言

广播加密（Broadcast Encryption，简称BE）最早由Fiat等提出［1］. BE支持发送方为多个已授权的接收方发送加密数据. 基于证书加密（Certificate-based Encryption，简称CBE）的概念由Gentry［2］提出，其不仅能有效避免基于身份加密（Identity-based Encryption，简称IBE）中的密钥分配和密钥托管问题，还能避免传统公钥加密（Public-key Encryption，简称PKE）中的证书管理和第三方查询问题. 许多CBE 方案［3-7］被提出.

敌手通过观测以及利用密码执行的物理特性来获取信息的攻击方式被称为侧信道攻击［8-10］. 但在该攻击下，大部分传统基于证书广播加密方案（Certificate-based Broadcast Encryption，简称CBBE）是不安全的. 近年来，密码学者们提出很多抗泄漏密码学方案［11-16］. 但是，针对抗持续泄漏的CBBE 研究较少.因此，构造安全又高效的抗持续泄漏CBBE方案很有必要.

1 预备知识

2 抗泄漏CBBE方案的安全模型

本文提出一个CBBE 泄漏安全模型，该模型中有2类敌手：假设A1表示类型1敌手，模拟未经CA 认证的用户；A2表示类型2 敌手，模拟能获得主密钥的恶意CA. 该模型中的2 类敌手都可以获取部分私钥，私钥允许最大的泄漏量为n比特，其中n∈N 且小于私钥长度.

3 抗持续泄漏CBE方案

4 安全性证明

通过以下2个定理证明该方案针对2类敌手均满足自适应选择密文安全.

定理1 若敌手A1在最多发出qC次证书询问和qD次解密询问后，能够以至少ε的优势赢得游戏1，必定存在具有优势ε的算法B来解决判定截断q-ABDHE问题，其中q=qC+qD+1.

证明 假设B包含元组(p,G,GT,e,g,gα,gα2,...,gαq,g',g'αq+2,T)，B模拟游戏1中的挑战者与A1交互，目的是判断T=e(g,g')αq+1是否成立.

初始化阶段：B执行初始化算法生成(p,G,GT,e). 任取g∈G，计算gT.B选择2 个q阶多项式f1(x),f2(x)∈Zp[x]，计算h1=gf1(x)，h2=gf2(x).B选择上述4种哈希函数，将params 返回给A1.

公钥询问：若L1中存在( )IDi,PKi,SKi,Tagi形式的元组，则B将PKi返回给A1.B使用私钥生成算法生成用户IDi的私钥SKi和公钥PKi. 然后，B以( )IDi,PKi,SKi,0 的形式添加新元组到L1，同时将PKi返回给A1.

定理2 若敌手A2在最多发出qS次私钥询问和qD次解密询问后，能以至少ε的优势赢得游戏2.那么，肯定存在一种具有ω(1 -1/N)qS+qDε/N优势的算法B用于解决判定1-BDHI问题.ω表示当前已授权的接收方的值.

证明与定理1类似可证.

5 结语

本文构造一个可证明安全的抗持续泄漏CBBE 方案，在标准模型下，基于判定截断q-ABDHE 问题和判定1-BDHI问题证明该方案的安全性. 将构造更安全以及效率更高的抗持续泄漏CBBE方案作为进一步的研究方向. 另外，构造固定密文大小的抗持续泄漏CBBE 方案是一个重要的研究方向，以及接收方的隐私保护也是抗持续泄漏CBBE的具有挑战性的研究方向.