带免费接收者的概率广播加密方案

卫星电视节目分发传输加密技术介绍为确保卫星电视节目制作方的合法权益不受侵害，避免非授权用户盗用接收，在卫星电视节目分发传输过程需要采用加密技术防止此类侵权行为的发生。

由于卫星节目分发不同于一般卫星电视播出，不适宜采用一般条件接收加密方法，而需要制定一种简单的加密方式。

本文将对国际上通用的节目分发传输主流加密方式进行简单介绍。

随着卫星数字电视的蓬勃发展，如何确保卫星电视节目制作方的合法权益不受侵害，避免非授权用户盗用接收，成为业界不断探索的课题。

为了防止被破解，许多公司和研究部门花重金聘请人才．研究和设汁了各种各样的条件收视的加密系统。

条件接收系统是付费数字电视广播的核心技术，其主要功能是阻止非法入侵数字广播网络，并允许被授权的用户收看特定的节目而使未被授权的用户无法收看。

CAS的主要任务是阻止用户接收未被授权的节目和如何从用户处收费的问题，而在广播电视系统中，在发送端对节目进行加扰(Scrambling)、加密(Encryption)，在接收端对用户进行寻址控制和授权解密、解扰是解决这个两个问题的基本途径。

CAS由前端(广播)和终端(接收)两个部分组成：前端完成广播数据的加扰并生成授权信息以及完成解扰密钥的加密工作，从而将被传送的节目数据由明码变为密码，加扰后的数据对未授权的用户无用，而向授权用户提供解扰用的信息，这些信息以加密的形式复用到MPEG-2的传送流中，授权用户对它进行解密后即可得到解扰密钥(即控制字cw，Controlword)并实现对信号的解扰和MPEG-2解码。

终端由智能卡(或其他CA卡)和解扰器完成解密和解扰。

CAS是实现付费电视广播的技术保障。

这些设计都十分复杂和聪明，但从实践来看，并不是十分有效。

各类流行的加密系统不断被攻破，不断更换卡上的密码也没有多少效果，有的干脆整体更新、升级。

Viaccess，Nagravision．Irdeto，conax等系统是被攻击最多的条件收视系统，目前也都出现了第二代，市场上的应用也是最大的，但有的刚升级不久就已经被破解。

广播加密方案的设计研究
广播加密方案的设计研究是为了确保在广播传输过程中的数据安全性，防止信息泄露、篡改和未经授权的访问。

以下介绍一些常见的广播加密方案设计：
1. 对称加密方案：对称加密算法使用同一个密钥进行数据的加密和解密，通信双方要
在通信前共享密钥。

在广播场景下，使用对称密钥加密方案可以提供较高的传输效率，但密钥管理会面临较大挑战。

2. 公钥加密方案：公钥加密方案使用非对称密钥对进行加密和解密，通信双方都可以
生成一对公钥和私钥。

发送方使用接收方的公钥进行加密，只有拥有对应私钥的接收
方才能解密。

公钥加密方案相对于对称加密方案更安全，但计算复杂度较高。

3. 混合加密方案：混合加密方案结合对称加密和公钥加密的优势，针对广播网络中的
不同需求和性能要求，灵活选择合适的加密算法。

4. 群组密钥方案：群组密钥方案适用于广播组内成员间的通信，使用一个群组密钥进
行加密和解密。

该方案可以提供高效的加密和解密速度，同时降低密钥管理的复杂性。

5. 安全多路复用方案：安全多路复用方案将多个广播信道绑定在一个安全信道上，使
用相同的加密密钥进行保护。

通过安全多路复用方案可以提高数据的保密性和抗干扰性，同时减少加密算法的计算复杂度。

除了以上常见的加密方案，还有一些高级的广播加密方案，如基于身份的加密方案、
匿名广播方案等。

在设计广播加密方案时，需要根据具体的应用场景和安全需求进行
选择，并考虑密钥管理、计算效率、安全性等方面的问题。

广播加密方案的设计研究广播加密方案是一种在广播或多播通信环境下保证通信信息安全的技术手段，可以防止第三方对通信内容的窃听和篡改。

本文将介绍广播加密方案的设计研究。

一、方案设计要求广播加密方案的设计需要考虑以下要求：1.保证通信信息的机密性，即只有授权的用户能够解密和读取通信信息。

2.具备适应多种应用场景的灵活性。

3.执行效率高，可以在实际通信环境中快速地加密和解密大量数据。

4.具备抗攻击的能力，能够抵御各种网络攻击，如中间人攻击、重放攻击、拒绝服务攻击等。

5.能够实现可扩展性，方便应对未来网络通信技术的发展和升级。

二、方案设计原则在设计广播加密方案时，需要遵循以下原则：1.安全性优先原则：在保证通信信息安全的情况下，尽可能地保持通信效率和灵活性。

2.简单易用原则：广播加密方案需要尽量简单易懂，易于实施和管理。

3.兼容性原则：广播加密方案需要与现有的通信协议兼容，能够无缝接入现有的通信网络。

4.可维护性原则：广播加密方案需要具有易于维护和升级的特性，方便对系统进行改进和优化。

三、方案设计框架广播加密方案的设计框架包括以下几个方面：1.密钥管理：广播加密需要使用密钥进行加密和解密操作，因此需要考虑密钥的生成和管理。

密钥管理需要确保密钥的机密性和完整性，避免密钥被泄露或篡改。

2.加密算法：广播加密中需要使用加密算法进行数据加密和解密操作。

加密算法需要高效、安全，能够保证通信信息的机密性。

3.认证机制：广播加密需要使用认证机制进行身份验证和数据真实性验证。

认证机制需要具有高度的安全性和可靠性。

4.密钥更新机制：广播加密需要使用密钥更新机制来更新密钥，以保证通信的持续性和安全性。

5.加密实现：广播加密需要实现加密和解密功能的软件和硬件设备。

加密实现需要保证高效、安全和可靠性。

四、方案设计方案和解决方案广播加密方案的设计方案和解决方案包括以下几个方面：1.密钥管理方案：密钥管理方案可以采用Asymmetric Key Cryptography (公钥密码学)或Symmetric Key Cryptography (对称加密密码学)。

广播电视传输业务的内容保护与加密技术传送内容保护与加密技术指的是一种技术手段，用来保护广播电视传输业务的内容不被未经授权的人获取和复制。

随着数字化时代的到来，广播电视行业也面临着内容泄露和侵权的风险，因此采用内容保护与加密技术已经成为了当今广播电视传输业务中的关键环节。

本文将从技术原理、应用场景和发展前景等方面进行论述。

一、技术原理广播电视传输业务的内容保护与加密技术基于加密算法和解密算法的相互配合，确保传输的内容在传播过程中具有保密性、完整性和可用性。

1.1 加密算法加密算法是内容保护与加密技术的核心。

常见的加密算法包括对称加密算法、非对称加密算法和哈希函数等。

对称加密算法采用同一个密钥进行加密和解密，速度较快，但密钥管理较为困难；非对称加密算法使用一对密钥，一把用于加密，另一把用于解密，提供了更高的安全性；哈希函数用于验证数据的完整性，通过生成固定长度的哈希值，确保传输过程中的数据没有被篡改。

1.2 解密算法解密算法是加密算法的逆向操作，将使用加密算法加密的数据还原为原始数据。

解密算法与加密算法使用相同的密钥或密钥对，确保数据在传输过程中可以被正确解密。

二、应用场景广播电视传输业务的内容保护与加密技术广泛应用于有线电视、卫星电视、网络电视等各种传输方式的内容保护。

2.1 有线电视有线电视采用数字信号传输，通过加密技术可以实现有线电视信号的加密传输和解密播放。

用户需购买解密设备，并通过智能卡或密钥授权方式获得访问权限，确保内容正版化。

2.2 卫星电视卫星电视的传输过程容易受到非法用户的监听和盗用，通过加密技术可以对信号进行加密处理，限制非法用户的访问。

用户需购买专用接收设备，并通过智能卡或密钥更新方式获取信号解密权限。

2.3 网络电视网络电视面临着源文件非法传播、直播侵权等风险，通过数字版权保护技术和加密技术，可以对音视频内容进行加密保护，限制未经授权的用户获取和复制节目内容。

三、发展前景随着互联网和移动互联网的快速发展，广播电视传输业务面临越来越多的安全风险。

专利名称：一种广播加密方法及系统
专利类型：发明专利
发明人：李继国,张亦辰,陈礼青,章如愿,康曌哲申请号：CN202010302855.5
申请日：20200417
公开号：CN111541669A
公开日：
20200814
专利内容由知识产权出版社提供
摘要：本发明提供了一种广播加密方法及系统，广播端接收证书中心生成的系统公开参数及接收端的公钥；所述广播端根据所述系统公开参数生成会话密钥，使用所述会话密钥加密需广播的消息，生成广播密文主体；所述广播端接收所述接收端中的目标接收端集合并分解，根据所述分解后的目标接收端集合、所述会话密钥和所述接收端的公钥，生成广播密文头；所述广播端广播包括所述广播密文主体及广播密文头的广播密文；所述接收端接收所述广播端广播的广播密文，根据与所述接收端的公钥对应的私钥解密所述广播密文头，并根据解密结果判断是否对所述广播密文主体进行解密处理，提高了解密效率，并且使计算开销不随广播接收者的数量增加而增大。

申请人：福建师范大学
地址：350117 福建省福州市闽侯大学城福建师范大学科技处
国籍：CN
代理机构：福州市博深专利事务所(普通合伙)
代理人：董晗
更多信息请下载全文后查看。

广播加密广播加密作为一种将数据内容通过广播信道安全地分发给合法用户的安全机制，目前在付费电视、视频会议、无线传感网络等方面得到了广泛的应用。

那么，我今天就带大家来认识一下广播加密。

一、广播加密的概念广播加密是一种在不安全信道上给一组用户传输加密信息的密码体制，它可使发送者选取任意用户集合进行广播加密，只有授权用户才能够解密密文。

广播加密有着广泛的实际应用背景，例如，数字版权管理、付费电视、卫星广播通信等。

一个广播加密方案满足完全抗同谋攻击（fully collusion resistant），即所有撤销用户合作，也无法解密密文。

对于一个公钥广播加密方案，用户私钥长度、系统公钥长度、密文长度以及加密解密计算复杂度是衡量性能优劣的重要标准。

二、广播加密分类广播加密根据使用场景不同，主要可分为有状态广播加密和无状态广播加密两类。

1、有状态广播加密有状态广播加密方案是针对有状态接收者的，指接收者可以保存接收信息，用户可以根据接收到的广播信息对存贮的密钥进行更新。

该类方案的特点：由于密文是用当前组用户（即授权用户）共享的组密钥进行加密，密文短，计算量小，但当组用户发生动态变化时，即有用户加入和退出，此时为了保证广播安全，组内的其它用户的密钥都必须更新，此时通信量较大。

另外有状态加密要求所有用户一直处于在线状态，因此在实际应用中受到一定的限制。

2、无状态广播加密无状态广播加密是指接收者不能改变其初始状态（例如修改用户密钥），仅按照初始设置的密钥处理接收到的广播数据，由于接收用户密钥不需要更新，因此不要求用户一直处于在线状态。

无状态广播加密方案可分为基于对称密钥的广播加密和基于公钥的广播加密两类。

前者的特点是网络中必须有一个信任中心，信任中心产生并拥有所有用户的密钥，只有信任中心才能广播信息，这类方案对信任中心的依赖性会导致单一失效点问题。

而基于公开密钥的加密方案克服了这个缺点，公钥可以存贮在每一个用户或任一个用户都可以存取的共享存贮设备上，也可以广播给用户，因此所有的用户都可以用公钥加密并广播消息。

完全安全的基于属性的广播加密方案孙瑾;胡予濮【摘要】针对现有的广播加密方案效率与安全性难以兼顾的事实,利用Waters双系统密码技术及基于属性的密码系统,提出一个双系统密码技术下的基于属性的广播加密方案.该方案建立在标准模型下,通过对混合阶群双线性运算的正交性和向量属性的运用,成就了短的尺寸固定的密文,具有较高的计算效率与存储效率.该方案的安全性依赖于3个简单的静态假设,安全性证明显示该方案达到了完全安全性的高安全要求级别.%According to the broadcast encryption scheme with wide applications in the real world but to the fact that its security and efficiency".pan not be taken into consideration in the model simultaneously, a fully secure attribute-hased broadcast encryption scheme is proposed by combining Waters dual system encryption and attribute-based cryptography. Based on the standard model, by using the orthogonality property of composite-order bilinear groups and the attribute vector, the scheme can achieve constant-size ciphertext which constrains four group exponents. The scheme is proved by using three static assumptions which do not depend on the number of queries the attacker makes. Furthermore, the analytical results indicate that the scheme of this paper is fully secure and can satisfy the higher efficiency and practical requirement.【期刊名称】《西安电子科技大学学报（自然科学版）》【年(卷),期】2012(039)004【总页数】7页(P23-28,154)【关键词】双系统密码;基于属性的密码;广播加密;可证明安全【作者】孙瑾;胡予濮【作者单位】西安电子科技大学计算机网络与信息安全教育部重点实验室,陕西西安710071;西安理工大学理学院数学系,陕西西安710054;西安电子科技大学计算机网络与信息安全教育部重点实验室,陕西西安710071【正文语种】中文【中图分类】TN918.1广播加密的概念最先是由Fiat和Naor提出的［1］，它应用于将密文发给一组指定用户的场合.在广播加密系统中，其核心思想是广播者将消息加密通过广播方式发送给大量用户，其中只有拥有授权的合法用户才可以解密并获得真实信息.目前，这种加密方式已成为密码学的一个新研究热点.国内外学者纷纷涉猎于此，很多具有特殊用途的广播加密方案也相继被提出［2－6］.但这些方案存在明显的不足，比如，基于的困难性问题太强，仅具有选择身份（Selective-ID）安全性或安全性依赖于随机预言机模型等.随着密码学技术的不断发展，基于属性的密码（ABE）［7］作为密码算法的新概念，近年来受到了广泛的关注.它允许加密者来设定能够读取消息的用户的公开描述，可以有效地解决访问控制中难解的问题，同时提供消息的私密性和访问控制的灵活性.在属性密码系统中，权威机构分配的私钥与属性集合相关，而密文则与属性方程相关，当且仅当，属性与方程匹配时，用户才可以成功解密密文.然而，现有的ABE系统［7－12］均只满足选择安全性，安全性证明中必需的限制条件更是不切实际，而且效率不高.2009年，Waters等［13－14］采用新的双系统密码技术，构造了标准模型下完全安全的分级的基于身份的加密（HIBE）方案，该方案的安全性基于判定性Diffie-Hellman（DBDH）假设和判定性线性假设，不足之处是其密文长度随分级参数n呈线性递增.受到Waters新技术的启发，结合基于属性的密码思想，笔者构造了一个新的基于属性的广播加密方案.该方案建立在标准模型下，通过使用双系统密码技术和混合阶双线性群系统的双线性运算，使方案的密文中只包含4个子群元素，并且其尺寸不随用户属性的增加而变化.同时，该方案的安全性规约在3个简单的静态假设下，其安全性证明显示方案具有完全安全性的高级别安全要求.1 预备知识1.1 混合阶双线性群混合阶双线性群的概念首次使用在文献［13］中.该群是用一个群生成元G和一个以安全参数λ作为输入的算法来定义的，并随后输出双线性群G的一个具体描述.此处以3个不同的素数p1、p2和p3的乘积为阶，构建群系统（N ＝p1p2p3，G，GT，e），其中，G和GT是N 阶循环群，e：G×G→GT是一个双线性映射并满足以下性质：（1）双线性性：∀g，h∈G，a，b∈ZN，e（ga，hb）＝e（g，h）ab. （2）非退化性：∃g∈G，使得e（g，g）在GT中的阶是N.对于上述概念，若符号Gp1、Gp2和Gp3分别表示G中阶为p1、p2和p3的子群，则当hi∈Gpi，hj∈Gpj且i≠j时，e（hi，hj）是GT 中的“个性”元素.具体来说，假设h1∈Gp1，h2∈Gp2，g表示G 中的一个生成元，则有结论gp1p2能生成群Gp3、gp1p3能生成群Gp2及gp2p3能生成群Gp1.因此对于某些值α1和α2，h1＝（gp2p3）α1和h2 ＝（gp1p3）α2，应满足e（h1，h2）＝e （gp2p3α1，gp1p3α2）＝e（gα1，gp3α2）p1p2p3 ＝1，这里称Gp1、Gp2 和Gp3 的这一特性为正交性.1.2 复杂性假设以下给出的复杂性假设均为静态假设，即不随攻击者提出的质询次数的变化而改变的假设.这些假设在文献［14］中已经证明.设符号Gp1p2等表示群G中p1p2阶的子群.假设1 给定一个生成元G，构建群系统Γ＝（N ＝p1p2p3，G，GT，e），定义下列分布：，则定义算法 A 攻破假设 1 的优势为： .其中注意到T1可以被惟一表示成Gp1中元素与Gp2中元素的乘积，从而可以理解这些部分分别是的部分”.定义1 若（λ）对任意多项式时间算法A是一个可忽略的关于λ的函数，则称G 满足假设1.假设2 给定一个生成元G，构建群系统，则定义算法A攻破假设2的优势为：定义2 若Adv2A（λ）对任意多项式时间算法A是一个可忽略的关于λ的函数，则称G满足假设2.假设3 给定一个生成元G，构建群系统，则定义算法A攻破假设3的优势为：定义3 若Adv3A（λ）对任意多项式时间算法A是一个可忽略的关于λ的函数，则称G满足假设3.1.3 基于属性的广播加密方案的形式化定义广播加密方案由系统建立、密钥提取、加密和解密4个随机算法构成，详细表述如下.系统建立：输入安全参数λ，最大接收者的数目及属性空间U，输出公共参数pk 与主密钥mk.私钥提取：输入主密钥mk及属性集合S，输出相应用户的解密密钥di.加密：设用户属性集合为S＝（x1，x2，…，xm），输入公共参数pk，消息M及接收者对应的属性描述；输出（Hdr，K），其中Hdr称为密文头部，K称为会话密钥，然后利用K加密消息M 得到广播体CM并将（Hdr，CM）发送给每一个用户.解密：设用户i是诚实用户，（Hdr，CM）是其接收到的密文，他首先利用Hdr 析出K，然后解密CM恢复明文M.1.4 基于属性的广播加密方案的安全模型基于属性的广播加密的安全模型定义如下，设集合｛¯S｝表示最大接收者属性集合，其对敌手与挑战者是公开的，二者进行如下的交互游戏：（1）系统建立：挑战者运行该算法得到公共参数pk与主密钥mk，并将pk发送给敌手A.（2）阶段1：敌手A适应性提出质询q1，q2，…，qn0，但每次质询前先确认用户是否诚实，包括私钥提取质询和解密质询.私钥提取质询：设用户i 是要质询的对象，挑战者运行密钥提取算法获得其对应的私钥，随后发送给A.解密质询：询问对象为（xi，S，Hdr）（S⊆¯S），挑战者首先得到用户i的私钥，然后解密Hdr并将结果返回给敌手，这时xi∈S.（3）挑战：当敌手A决定阶段1结束时，A发送给R两个等长的消息M0、M1和一个存储矩阵A＊，并运行加密算法得到（Hdr，K）＝Encrypt（S，pk），然后随机选取b∈｛0，1｝，令Kb ＝K，K1－b 为~K 中任意元素（~K为G1 中的一个子集），最后将（Hdr，K0，K1）返回给敌手.（4）阶段2：敌手继续进行询问qn0＋1，qn0＋2，…，qn，每一次询问类似于阶段1.（5）猜测：最后，敌手要输出一个猜测b′∈（0，1）.当b＝b′时，宣布敌手在游戏中获胜.1.5 双系统密码技术的描述在密码双系统中，密文与密钥均能呈现两种形态：标准型和半功能型.半功能型的密文和密钥不在实际方案中使用，而只是用来进行安全性证明.其中，一个标准密钥可以解密标准型或半功能型密文，而一个标准密文也能用标准型或半功能型密钥解密.然而当一个半功能型密钥去解密一个半功能型密文时，解密算法失效，即密钥和密文中的半功能成分会相互作用，通过另外的随机元素伪装成盲化因子.双系统密码方案的安全性证明要通过一系列被证明是不可区分的交互游戏来完成.其中Gamereal为安全游戏，要求参与用户的身份模N不等；Gamerestricted是受限游戏，其与实际安全的游戏很相似，但限制更严格，即攻击不能为模p2后与挑战身份相同的那些身份进行密钥质询，并且此限制将贯穿随后的游戏.Gamek（设q表示攻击者提出密钥质询的次数，且k＝1，2，…，q）中给攻击者的密文是半功能的，前k个密钥是半功能的，剩余密钥标准，其他同受限游戏.特殊地，Game0中所有密钥标准但密文为半功能，而Gameq中密文与所有密钥均为半功能.Gamefinal要求攻击者要求消息之外的随机消息的密文是半功能的，其余同游戏Gameq.2 基于属性的广播加密方案文中方案是利用双系统密码技术并结合基于属性的密码构造的，其中所用到的混合阶群的阶为N＝p1p2p3，其中，p1、p2 和p3 是3个不同的素数.2.1 方案构造在构造方案时，子群Gp2并没有在实际的新方案中被使用，而是置于半功能空间，也即是说当密钥和密文中包含了子群Gp2中元素时，都定义为半功能的.另外由于解密过程要对密钥和密文中的分量进行双线性对运算，所以解密算法必须具备下述两个功能：（1）当标准密钥与半功能密文，或者半功能密钥与标准密文进行对运算时，Gp2中元素与Gp1和Gp3中元素在对运算中满足正交性，从而相互抵消.（2）当半功能密钥与半功能密文进行对运算时，会得到一个附加元素，其产生于Gp2中元素的对运算.系统建立：设G是一个N阶混合双线性群，满足N＝p1p2p3，其中p1、p2和p3是3个不同的素数.Gpi表示G中pi阶的子群，i＝1，2，3.设最大接收者数量为l，对应的属性集合为S＝｛Si｜i＝1，2，…，l｝，其中属性Si为n维向量.PKG随机选择g∈Gp1及α，a∈ZN，则对于每个属性Si∈S，及任选的ti∈ZN，公共参数为pk ＝｛N，g，ga，e（g，g）α，Ti ＝gti∀i｝，而主密钥为α和Gp3 中的一个生成元.私钥生成：设用户i的属性表示为Si，PKG随机选取ri∈ZN及Xi，X′i，~Xi∈Gp3（其中的Xi、X′i和~Xi可以用Gp3中的生成元的任意幂次模N后获得），则用户i的私钥为加密：当广播者想要发送消息M给某接收用户集合（其对应的属性集合是｛Si｜i ＝1，…，h；h≤l｝并满时，若用符号Ak（向量）表示属性Sk对应的n维列向量置于第k列，则可构成一个l×n的矩阵Al×n.广播者随机选取r∈ZN 和向量v＝（s，v2，…，vn）并计算密文如下：解密：设某合法接收用户k收到的密文是有效的，并与其私钥相匹配，则解密算法如下：e（g，g）αs＝e（dk，1，C1）［e（dk，2，C2）e（dk，Ak，C3）］，且M ＝C0／e（g，g）as.2.2 正确性设C ＝（C0，C1，C2，C3）是合法的密文，则有2.3 有效性广播加密方案是建立在标准模型下，方案简单且加密算法中e（g，g）可以预计算，不需要其他双线性对运算，而解密算法中只需要3个双线性对运算，不含乘幂运算，因而具有较高的运算效率.其次，虽然该方案的公共参数与密钥的长度会随着用户个数的增加而变大，但密文长度均固定，只包含4个子群元素且不需要身份标签的介入，有效节省了存储空间，降低了存储代价.同时方案的安全性依赖于3个已经证明的简单的静态假设.结果显示，此方案达到了完全安全性的高安全级别要求.与以往方案相比，该方案无论在结构、效率还是安全性方面，均具有更大的优势及更好的兼顾性.3 安全性证明为了证明文中方案的安全性，首先定义两个附加的结构：半功能密钥和半功能密文.它们没有在真实系统中使用，仅供证明使用.半功能密文：设g2是子群Gp2的一个生成元，c是一个模N随机值，半功能密文按如下方式创建：根据加密算法所产生的标准密文C′0，C′1，C′2C′3，首先随机选择随机元素xi，zk ∈ZN 分别对应属性Si 及矩阵第k半功能密钥：半功能密钥按如下两种方式创建：根据密钥生成算法中生成的标准密钥义类型1，首先随机选取τ，β∈ZN，然后令.若令类型1中β＝0，即定义为类型2.由上述定义可知，当半功能密钥去解密半功能密文时，盲化因子会被一个e（g2，g2）cτ－βu1的附加因子所掩盖，其中u1＝（1，0，…，0）·u.若cτ－βu1＝0，解密仍会继续.这种情形下称密钥是名义上半功能的，因为它虽然含有Gp2中的元素，但不妨碍解密的进行.安全性证明建立在假设1，2，3下，证明过程通过对一系列敌手A与挑战者R之间的游戏的综合论述来完成.Gamereal：第1个游戏为安全游戏，其中要求参与用户的身份模N不等.Game0：此游戏中所有密钥标准，但所有密文均为半功能型.Gamek，1：设q表示攻击者提出密钥质询的次数，且k＝1，2，…，q.此游戏中给攻击者的挑战密文是半功能的，前k－1个密钥是类型2种半功能的，第k个密钥是类型1种半功能的，剩余密钥标准.Gamek，2：此游戏中给攻击者的挑战密文是半功能的，前k个密钥是类型2种半功能的，剩余密钥标准.特殊地，Gameq，2中密文为半功能且所有密钥均是类型2种半功能的.Gamefinal：此游戏要求攻击者要求消息之外的随机消息的密文是半功能的，而所有密钥是类型2种半功能的.可用下面4个引理来证明上述游戏彼此不可区分.引理1 如果存在一个算法A使得GamerealAdvA－Game0AdvA＝ε，那么就能创建一个算法R以ε的优势攻破假设1.证明算法R首先接收g、X3、T.R与A模拟游戏Gamerestricted或者Game0.算法R随机选取α，a∈ZN，对于每个属性Si∈S及任选的ti∈ZN，公共参数为pk ＝｛N，g，ga，e（g，g）α，Ti＝gti∀i｝，R将其发送给A.每当R被要求提供用户i的密钥时，由于持有｛α，X3｝，他可以为A生成标准密钥.若A给R发送两个等长的消息M0和M1及挑战者属性集合S＝｛Si｜i＝1，2，…，l｝，R 先随机选择β∈｛0，1｝，然后计算密文如下：C0 ＝Mβe（T，gα），C1 ＝T （即暗示gs 等于T 中Gp1 的部分），以及通过选择随机向量v′＝（1，v′2，…，v′n）和随机值的部分，则密文为半功能的且满足s，且模p1的值随机，所以这是正确的分布.若T∈Gp1，则密文是标准的.因此，R可以用A的结果区分T的两种可能结果.引理2 如果存在一个算法A使得Gamek－1，2AdvA－Gamek，1AdvA＝ε，那么就能创建一个算法R以接近ε的可忽略的优势攻破假设2.证明给定g、X1X2、X3、Y2Y3、T、R可以和A模拟游戏.算法R随机选取α，a∈ZN，对于每个属性Si∈S及任选的ti∈Z N，公共参数为｝，R将其发送给A.为了得到前k－1个2型半功能密钥，R随机选取，其中j∈ ｛1，2，…，l｝.但当i＞k 时，R设定）（即暗示等于T 中的部分）.A发送给R两个等长的消息M0、M1和一个存储矩阵A＊.为了构造半功能密文，R毫无疑问地设定gs＝，通过随机选择的向量u＝cu′，即暗示所以这是符合要求的1型半功能密钥的分布.如果，则R模拟的是游戏Gamek－1，2；如果T∈G，且所有非零，则R模拟的是游戏Gamek，1.因此，R可以用A的结果区分T的两种可能结果.引理3 如果存在一个算法A使得＝ε，那么就能创建一个算法R以ε的优势攻破假设2.证明算法R首先接收g、X1X2、X3、Y2Y3、T，公共参数计密钥设定同引理2，即说明该密文在中分配了值ac.此时为了创建密钥di，R随机加选一个元素θ∈ZN，仿照引理2设置di ＝（Si，di，1，di，2，di，j）＝，于是此密钥既不是标准密钥，也不是名义半功能密钥，用它解密半功能密文，会导致解密失败.如果T∈Gp1p3，则R模拟的是游戏Gamek，2；如果T∈G，则R模拟的是游戏Gamek，1.因此，R可以用A的结果区分T的两种可能结果.引理4 如果存在一个算法A使得Gameq，2AdvA－GamefinalAdvA＝ε，那么就能创建一个算法R以ε的优势攻破假设3.证明算法R首先接收g，gαX2，X3，gsY2，Z2，T.算法R随机选取a∈ZN，对于每个属性Si∈S及任选的ti ∈ZN，同时从gαX2中提取α，则公共参数为pk＝｛N，g，ga，e（g，g）α ＝e（g，gαX2），Ti ＝gti∀i｝，并将其发送给A.当R被要求提供2型半功能密钥时，他随机选择元素ri ∈ZN，并计算di ＝（Si，di，1，di，2，di，j）＝（Si，gαgariZri2Xi，griX′i，Trij~Xj），其中j∈｛1，2，…，l｝.若A给R发送两个等长的消息和一个存储矩阵A＊，为了构造半功能的挑战密文，R首先从gsY2中提取s，而后通过随机选择的向量u′＝（a，u2，…，un）及随机值v＝sa－1u′，u＝cu′，所以s分布在子群Gp1中，而ac分布在子群Gp2中，这就暗示若T＝e（g，g）αs，则这是一个消息Mβ的正确分布的半功能密文.若T是GT中的随机元素，则这是一个随机消息的半功能密文.因此，R可以根据A的结果区分T的两种可能性.综上所述能得出下面的定理.定理1 如果假设1，2，3成立，那么基于属性的广播加密方案IBBE方案是安全的. 证明如果假设1，2，3成立，那么通过前面的引理已经证明了实际安全的游戏与游戏Gamefinal是不可区分的，其中β的值理论上会被攻击者隐藏.因此攻击文中的方案，攻击者会一无所得.4 结束语现有的身份型广播加密方案，虽然形式上和效率上有所改进，但仍然存在一些缺陷，如密钥与密文长度随用户个数的增加而增大，基于的困难问题太强，仅达到Selective-ID安全性，选择明文安全性，或建立在随机预言机模型下.考虑到上述问题，笔者借鉴了Waters新提出的双系统密码技术，在混合阶群双线性运算系统下，结合基于属性的密码系统，提出了一个标准模型下的不使用身份标签的属性广播加密方案.该方案的密文中只包含4个群元素，其尺寸不随用户身份的增加而变化，运算简单，具有较高的存储效率及运算效率.同时，方案的安全性规约在3个简单的静态假设下，安全性证明显示方案具有完全安全性，达到了最高级别的安全性要求.参考文献：［1 ］Fiat A，Naor M.Broadcast Encryption ［C］／／Advances in Cryptography-CRYPTO'93Proceeding，LNCS 773.Paris：ACM，1993：480-491.［2 ］Zhang Y L，Zhang Y K，Zhang J.An ID-based Broadcast Encryption Scheme for Collaborative Design ［C］／／International Conference on Networks Security，Wireless Communications and Trusted Computing：Vol 2.Wuhan：IEEE，2009：699-702.［3 ］Delerablée C，Paillier P，Pointcheval D.Fully Collusion Secure Dynamic Broadcast Encryption with Constant-size Ciphertexts or Decryption Keys［C］／／Pairing 2007.LNCS 4575.Tokyo：Springer-Verlag，2007：39-59.［4 ］Hu L，Liu Z L，Cheng X H.Efficient Identity-based Broadcast Encryption without Random Oracles［J］.Journal of Computers，2010，5（3）：331-336.［5 ］Yu G，Ma X，Shen Y，et al.Provable Secure Identity Based Generalized Signcryption Scheme［J］.Theoretical Computer Science，2010，411（40-42）：3614-3624.［6 ］Zhang L Y，Hu Y P，Mu N B.An Identity-based Broadcast Encryption Protocol for Ad Hoc Networks［J］.IEEE Computer Society，2009，194：1619-1623.［7 ］Vipul G，Omkant P，Amit S，et al.Attribute-Based Encryption for Fine-Grained Access Control for Encrypted Data［C］／／ACM CCS 06：13th Conference on Computer and Communications Security：Vol309.Alexandria：ACM，2006：89-98.［8 ］Goyal V，Jain A，Pandey O，et al.Bounded Ciphertext Policy Attribute-based Encryption［C］／／ICALP 2008：LNCS 5126.Berlin Heidelberg：Springer-Verlag，2008：579-591.［9 ］Ostrovksy R，Sahai A，Waters B.Attribute Based Encryption withNon-Monotonic Access Structures［C］／／CCS'2007：Vol 139.Alexandria：ACM，2007：195-203.［10 ］Waters B.Ciphertext-policy Attribute-based Encryption：an Expressive，Efficient，and Provably Secure Realization［C］／／PKC 2011，Computer Science：LNCS 6571.Berlin Heidelberg：Springer-Verlag，2011：53-70.［11］Katz J，Sahai A，Waters B.Predicate Encryption Supporting Disjunctions，Polynomial Equations，and Inner Products［C］／／Advances in Cryptology-EUROCRYPT2008：LNCS 4965.Santa Barbara：CiteSeerX，2008：146-162.［12 ］Allison L，Tatsuaki O，Amit S，et al.Fully Secure Functional Encryption：Attribute-based Encryption and（Hierarchical）Inner Product Encryption［C］／／Advances in Cryptology-EUROCRYPT 2010：62-91：LNCS 6110.French Riviera：Springer-Verlag，2010：62-91.［13 ］Waters B.Dual System Encryption：Realizing Fully Secure IBE and HIBE under Simple Assumptions［C］／／Advances in Cryptology-CRYPTO 2009：LNCS 5677.Santa Barbara：Springer-Verlag，2009：619-636. ［14］Lewko A B，Brent W.New Techniques for Dual System Encryption and Fully Secure HIBE with Short Ciphertexts［C］／／TCC 2010：7th Theory of Cryptography Conference：LNCS 5978.Zurich：CiteSeerX，2010：455-479.。

基于国密SM2算法的广播加密方案设计
付有才;庞浩霖;何凯
【期刊名称】《东莞理工学院学报》
【年(卷),期】2023(30)1
【摘要】广播加密广泛应用于付费电视、卫星广播通讯、数字版权分发(CD/DVD)等领域。

SM2公钥加密算法基于椭圆曲线设计,安全高效并应用于物联网等领域。

为将SM2算法应用在多接收者背景,本文在国密SM2公钥加密算法的基础上提出一个广播加密方案,方案具有较低的计算和通讯开销。

方案的系统参数和密钥大小
固定,密文长度与接收者数目呈线性相关,实验表明解密时间受接收者数目影响较小。

【总页数】6页(P51-55)
【作者】付有才;庞浩霖;何凯
【作者单位】东莞理工学院计算机科学与技术学院
【正文语种】中文
【中图分类】TN918.4
【相关文献】
1.基于国密算法SM2软硬件协同系统的FPGA架构
2.基于SM2国密算法优化的
区块链设计3.基于国密SM2 和SM9 的加法同态加密方案4.基于SM2/SM3国密算法的数字电影发行密钥实现方法5.基于国密算法SM2、SM3、SM4的高速混合加密系统硬件设计
因版权原因，仅展示原文概要，查看原文内容请购买。

一种CCA安全的高效公钥广播加密方案
在数字通信中，安全性是一项至关重要的因素。

公钥加密是一种安全协议，允许交换数据时安全地进行加密和解密。

然而，公钥加密在广播加密中效率较低，因为每个接收者都需要单独进行解密。

针对这一问题，提出了一种高效的公钥广播加密方案——CCA安全的高效公钥广播加密方案。

该方案采用了一种新的加密方式——组播加密，将接收者分成多个组，每个组的接收者可以共享相同的密钥。

解决了广播加密中每个接收者都需要单独解密的问题。

同时，该方案保证了完整性并具有安全性。

该方案的实现基于离线密钥，即在通信前预先生成的键值，可以在通信时进行使用，避免了在线生成密钥的成本和计算开销。

该方案采用多秘密共享方法，每组接收者拥有不同的密钥，以最大程度上保证密钥的安全。

此外，该方案基于前向安全性概念，即在过去通讯中生成的密钥不会因未来通讯中的事件而泄露。

如果某个密钥被攻破，未来通讯所使用的密钥不会受到影响，从而保证了长期的安全性。

为保证方案的高效性，该方案采用了基于椭圆曲线的密码学算法加速方案实现。

该算法具有较高的加密性能和计算效率，同时具有较小的密钥尺寸。

总之，CCA安全的高效公钥广播加密方案提供了一种高效、
安全、可靠的广播加密解决方案。

该方案采用了组播加密、离
线密钥、多秘密共享、前向安全性和基于椭圆曲线的密码学算法等技术，具有高效性、安全性和实用性特点。

该方案的出现将极大地促进数字通信领域的发展和应用，对保证信息传输的安全和可靠性具有重要意义。

下周二停课1次♦4.椭圆曲线密码体制的安全性♦目前的有效算法表明，在椭圆曲线上求解离散对数问题，其算法复杂性是完全指数时间，因此一般认为它比大数分解*上的离散对数问题要难。

问题和Zp♦但对于某些椭圆曲线，已有一些有效攻击方法。

♦例如当椭圆曲线点群E(F q)的阶也是q时，就能容易求解离散对数，其有效算法由Semave,Smart和Satoh,Araki分别独立给出。

这类椭圆曲线我们称为反常椭圆曲线，在实际使用时应去除这类曲线。

♦除此之外，Menizes,Okamoto和Vanstone(MOV)提出了一种方法，当(|E(F q)|,q)=1时，可将E(F q)上的离散对数问题化归到有限域上的离散对数问题。

♦在构造椭圆曲线密码体制时，应避免上述两类椭圆曲线。

♦用合适的椭圆曲线可以构造安全强度高的公钥密码体制。

♦根据现有结论，使用160bit模的椭圆曲线密码体制与1024bit模的RSA有同样的密码安全强度，其加解密速度则比1024bit模的RSA快近10倍，等同于RSA 采用低加密指数的速度，因此应用前景有可能较广。

♦对于椭圆曲线E通常有2种情形：♦(1)E是域F p上的椭圆曲线，p为素数，a是E中阶为素数q=|E|/h的元素，典型的是h=1,2,4♦(2) E是域F2n上的椭圆曲线，p为素数，a是E 中阶为素数q=|E|/h的元素，典型的是h=2,4♦有估计，安全性要保持到2020年，一般应取p 为160位。

♦在2000年4月，联合了40个国家，9500台计算机完成了Certicom公司发出的ECC2K-108挑战，解决了定义在F2109上的椭圆曲线的离散对数问题3.5.5 概率加密概率加密是由S.Goldwasser和S.Micali提出的。

基本想法是使公钥密码体制的信息泄露为0在多项式时间内由密文不能推出明文或密钥的任何信息。

♦对给定的公开密钥，对一个确定的明文加密总是得到一个相应的密文，因此攻击者就可采用已知明文进行攻击。