一种基于多线性映射的高效公钥广播加密方案

第17卷第32期2017年11月 1671 — 1815(2017)032-0138-05科学技术与工程

Science Technology and Engineering

Vol. 17 No.32 Nov. 2017

©2017 Sci.Tech.Engrg.

自动化技术、计算机技术

一种基于多线性映射的高效公钥广播加密方案

吕立群杨晓元！

(武警工程大学网络与信息安全武警部队重点实验室，西安710086)

摘要针对目前广播加密用户大小子集同时存在的情况，构造了一种高效的广播加密方案。在BWZ14方案的基础上，通过 引入撤销用户集合、共享广播加密的部分密文信息，提高了广播加密在同时向大小用户集合发送信息的效率。新方案密文与 用户私钥长度均为常数，公钥长度仅为〇(3$)。新方案同时满足标准模型下的选择明文安全性与抗合谋特性。实验结果表 明，新方案安全高效，可广泛应用于实际通信中。

关键词广播加密 公钥加密 多线性映射

中图法分类号TP309; 文献标志码A

广播加密是一种面向多接受者的秘密通信方式[1]。在广播加密过程中，广播者首先选择一个授权用户集合（，而后对广播加密所使用的对称密钥X进行加密得到广播密文头Q*b，最后利用对称密钥X加密明文信息并利用广播信道发布出去。只 有属于授权用户集合（的用户才能利用其私钥解密 信息，恢复出明文信息。若所有的非授权用户合谋也无法解密广播信息，则该广播加密系统具有完全抗合谋特性。广播加密在数字版权管理、付费电视、电视电话会议以及云端数据共享中有着广泛的应用[2]。

广播加密根据授权用户集合的大小可分为两类:一类是面向大的用户集合广播（即授权用户的数目接近用户全集的数目），一类面向小的用户集合广播（即授权用户集合的大小远远小于用户全集）。一般的广播加密方案通常只是针对一种情况;并不能高效的同时处理两种情况。但是在实际应用中，可能会出现同时处理两种情况的需求，比如 云端数据的共享，有些数据或服务可能大部分的用户都可获得;但同时也有一些数据只有很少的用户

2017年4月5日收到国家自然科学基金

(61272492，61572521)资助 第一作者简介&吕立群（1993—)，硕士研究生。研究方向：密码学。E-mail:llq654@163. com。

!通信作者简介&杨晓元（1959—)，教授，博士研究生导师。研究方 向:信息安全。E-mail&xyyangwj@126. com。

引用格式：吕立群，杨晓元.一种基于多线性映射的高效公钥广播 加密方案[J]•科学技术与工程，2017, 17(32): 138—142

Lv Liqun，Yang Xiaoyuan. An efficient broadcast encryption scheme based on multilinear m aps [ J ].Science Technology and Engineering，2017, 17(32) ：138—142群才可以获取。目前解决这类问题的方法是，并行 的运行两种广播加密的方法;但这会造成了资源的浪费且效率较低。

F ia t与Naco•在1994年首先提出了广播加密的概念，随后一系列的广播加密方案相继被提出[3—6]，但是这些方案的密文扩展性不好，密文长度均与广播用户数呈线性关系。在2005年，B o n e h等利用双 线性对构造的B

G W方案[7]，首次实现了密文长度与用户私钥长度均为常数。随后D e le a b le e等提出 了基于身份的动态广播加密方案DPP07[8]、G entry 等构造了一种具有适应性安全、密文长度短的广播加密方案G W09[9]。但是这些方案的广播公钥长度 均与用户数呈线性关系。为降低公钥开销，Boneh 等利用多线性映射构造了低开销的广播加密方案[10]，在保证其密文与用户私钥长度均为常数的前 提下，公钥长度仅为〇(lg$)。其他如基于证书的广 播加密方案、可撤销的广播加密方案等也相继被提出[11—13]，但是这些方案均不能有效地同时向大集合 与小 。L in出了一种高效的 钥广播加密方案，有效地实现了这一功能;但是其方案 的公钥长度为2$+ 4个群元素[14]($为广播用户的 数目）。由于用户在解密时需要公钥信息，过长的 公钥会造成较大的存储开销。因此，设计低开销的同时面向大小集合的广播加密方案仍然值得进一步 的研究。

用多 性映射构造了一种基于 份的高 效广播方案并在标准模型下证明了新方案的选择明 文安全性，新方案可同时向大用户集合与小用户集合广播消息，具有较低的系统开销，方案的密文与用 户的私钥长度均为常数，公钥长度降低至〇(lg$)。

32期 吕立群，等:一种基于多线性映射的高效公钥广播加密方案 139

同时，新方案具有完全抗合谋的特性。

1预备知识

1.1多线性映射

假设存在一个群生成算法G以安全参数（和

所要生成群的个数《为输入，生成一个群组！！，!，…，！丨；每个群的阶为为群！的生成元。如果存在这样一'个映射集合丨X !3丨柄

。

G)双线性 & a(@『，@2=@8，其中 a，2"z p。

(2) 非退化性:对于每个正确的％'都有A(@，

=@V。

(3) 可计算性&群组里的所有映射均可被有效计算。

那么群组！！，！，…，！丨就是一个多线性映

射群。

1.2 H D H E多线性映射困难问题

定义1令（+!&，…，！1，！，！…')为与安全

参数（相关的多线性群系统，为群！的生成元，随机选择J C7=@f;)(%=〇，i，+，？-i)，7=@f"+1)，" = @:。w d h e假设为给定元组

)=((7)i"[〇，？]，"以及T" G…8_i，判断T=

或!%?。算法4在安全参数（下解决

h d h e假设的优势定义为

A d v HDHE(() T@r[)，T=@r…<2n>) =1 ] -P r[A()，

T丄!2?)=1]

|⑴定义2 H D H E假设指出，不存在多项式时间

算法A，其具有不可忽略的优势A d1DHE(() '1可

以解决H D H E问题。

1.3高效的广播加密的定义

一个高效的广播加密可以由如下4个算法

。

Setup (A，/):系统建立算法S e tu p以安全参数 (以及用户的身份空间4为输入，输出系统公钥S6

和主私钥；(6。

KeyG en (P6，M S6,4):私钥生成算法 KeyG en

以系统公钥S6,主私钥M S6和用户身份4 " /作

为输入，输出其对应的私钥。

E n, (S6，S/O):广播加密算法E n,以系统公

钥S6和授权接收者身份集合S或撤销用户集合N

作为输入，计算出（Q*b，6)，其中6用来对广播信

息进行加密得到密文C。最终广播（Q d r，C)

De, (S6，/)，S6f fi，Q dB，S/O):广播解密算法

D e c以系统公钥P6、用户身份4、用户私钥S6f f i、广播数据头H d r以及接收者身份集合S或撤销用户 集合N作为输入，若为授权用户则算法输出6，随 后利用6对相应的密文进行解密，恢复出明文。

高效的 密方案 密7性。对任意（S6，M S6)A，4 )，S6ffi56a!?(S6，M S6，/))，（Q d r，6)5#n c(S6，S/O)。

若用户为授权用户，那么有65)a(S6,4, S64，Q d r，S/O)。

1.4高效广播加密方案安全模型

高效广播方案的选择明文安全模型由攻击者A 与挑战者进行的攻击游戏所描述。游戏过程由下列 6个阶段构成。

初始化阶段攻击者A向挑战者输出要挑战的 身份集合（！。

系统建立阶段挑战者运行

S a f+A，/)，将主私钥M S6保留，公钥S6发送给击者 A 。

私钥生成询问攻击者A可对任意的47S!进行私钥询问，挑战者运行S6ffi5 6a!?(S6, M S6,4)而后将私钥S6f f i发送给攻击者A。

挑战阶段当攻击者决定私钥生成询问阶段结束，挑战者运行（Q d r，6) 5#?c(S6，S)，获得挑战 广播数据头Q d B与挑战对称密钥6!。挑战者选 取2 "丨0，1丨，若2 = 0，则挑战者将（Q d B，6!)发送给攻击者A。若2 = 1，挑战者随机选取6!发 送给攻击者A。

攻击者A可继续进行私钥生成询问，挑战者运 行 S6ffi56a!?(S6，M S6，/))而后将私钥S6ra 发送给 击者 A 。

猜测阶段最终，攻击者A输出猜测2，若 2=2则表示攻击者A赢得游戏。此时，攻击者赢 得攻击游戏的优势可表示为

仙抓⑴=P r[<2=2)]- 士 <2)

定义3对于任意多项式时间的攻击者A，其 针对给定高效广播加密方案进行上述攻击游戏。如 果攻击者A赢得攻击游戏的优势满足A d1E(A)& 1，其中1为与安全参数相关的概率可忽略函数，那 么称此系统是=a,c a%C P A安全的。

2方案描述

用记号“S/O”表示“S或者N’。S是授权用户 集合，N是撤销用户集合。在实际应用中，可以利 用输入信息的某一固定比特来标记要利用授权用户集合广播信息（后面称之为小集合模式）还是要 利用撤销用户集合广播信息（后面称之为大集合