基于身份的加密IBE研究与启示

标准模型下一种实用的和可证明安全的IBE方案徐鹏（收）邮编电话：，027-E-mail: xupeng0328@hotmailZZZ徐鹏，崔国华*，雷凤宇华中科技大学计算机科学与技术学院信息安全实验室湖北武汉摘要：组合公钥方案是一种用于基于身份密码体制中生成用户加密密钥和私钥的知名方案。

针对组合公钥方案存在合谋攻击的问题，通过仅扩展该方案的私钥生成过程，实现了扩展方案的抗合谋攻击性。

在此基础上构建标准模型下基于Decisional Bilinear Diffie-Hellman 假设可证明安全的一种新的基于身份加密方案。

最后，为了说明所构新方案的实用性，分析了扩展组合公钥方案的用户加密密钥抗碰撞性；对比了新方案和同类的3个知名方案在安全性证明的归约程度方面、加解密的时间复杂度方面和密文的长度方面的性能，并得出新方案在以上三点上具有目前最优的指标，因此新方案是相对较实用的。

关键字：组合公钥，合谋攻击，标准模型，Decisional Bilinear Diffie-Hellman 假设，基于身份加密1、引言1984年，Shamir创造性的提出了基于身份的加密体制（Identity-Based Encryption, IBE）的概念[1]。

和传统的公钥加密体制不同，它可以使用任意字符串作为用户的公钥，这样取消了传统公钥加密体制对在线密钥管理中心的需要，从而大大的提高了效率。

虽然IBE的概念提出的很早，但直到2001年才由Boneh提出了第一个实用的IBE方案[2]，并且该方案成功的在随机预言机模型（Random Oracle Model, RO Model）下将双线性计算难题Bilinear Diffie-Hellman问题（BDH问题）的求解归约到其IBE方案的破解，因此是RO 模型下可证明安全的。

与此同时，Boneh也提出了新的问题，即能否构建标准模型下可证明安全的IBE方案。

在标准模型下构建可证明安全的加密方案具有分重要的实用意义。

计算机研究与发展ISSN100021239ΠCN1121777ΠTP Journal of Computer Research and Development46(9):15371548,2009基于身份密码学的安全性研究综述胡　亮1　刘哲理1　孙　涛1　刘　芳21(吉林大学计算机科学与技术学院　长春　130012)2(吉林大学数学学院　长春　130012)(liuzheli1978@)Survey of Security on Identity2B ased CryptographyHu Liang1,Liu Zheli1,Sun Tao1,and Liu Fang21(College of Com puter Science and Technology,J ilin Universit y,Changchun130012)2(College of M athematics,J ilin Universit y,Changchun130012)Abstract　Nowadays,identity2based encryption(IB E)has become a new research direction of p ublic key encryption,and security is t he most important factor for constructing an IB E scheme.When designing a p ublic encryption scheme,security goals are usually considered by t he standard of attack models.And t hen,t he definition of security combines bot h security goal and attack models.After analyzing t he p ropo sed IB E schemes,t he aut hors p resent t he formalized definition of IB E security and p rovide t he comparison wit h security of traditional p ublic key encryption.They also summarize t he various mat hematical assumptions on which t he security relies and st udy t he relations among assumptions.Furt hermore,t ransformation rules among securities and t ransformation met hods to reach higher security are described,and it is pointed out t hat t hese t ransformation met hods all use some test in t he const ruction,i.e.,t hey give some additional dispo sal of cip hertext or factor construction in t he encryption p hase;meanwhile,t hey can verify t he validity of cip hertext in t he decryption p ter,also cont rasted are t he IB E schemes on t he security and efficiency,which indicates t hat t he t ransformation to reach higher security will reduce efficiency.Finally,t he disadvantages of IB E,f ut ure research directions and open p roblems are summarized.K ey w ords　p ublic key encryption;identity2based cryptograp hy;security of identity2based encryption; cho sen2cip hertext security;bilinear map摘　要　目前IB E已经成为公钥加密领域的一个研究热点,而安全性是构建IB E方案的重要因素.在设计公钥加密方案时,通常主要考虑在各种攻击模型下所要达到的安全目标,使用安全目标与攻击模型相结合的方式来定义安全性.在对已提出的IB E方案进行归纳分析的基础上,概括了IB E安全性的形式化定义;总结了安全性所依赖的各种数学难题基础,对各种数学难题之间的强弱关系进行了分析;进而,基于这些强弱关系描述了IB E安全性之间的相互转化规律以及达到高安全性的转化方法,这些方法有一个共同点,就是在加密方案的构造过程中使用了某种测试;接下来,从安全性和效率的角度对比了已提出的典型IB E方案,指出低安全性向高安全性转化必然会带来额外开销,导致效率下降;最后,总结了IB E的缺点、未来研究趋势以及开放性问题.关键词　公钥加密;基于身份密码学;基于身份加密的安全性;选择性密文安全;双线性映射中图法分类号　TP393.08　收稿日期:2008-09-02;修回日期:2009-02-19　基金项目:国家自然科学基金项目(60473099,60873235);教育部新世纪优秀人才支持计划基金项目(NCET20620300) 公钥密码又称为双钥密码或非对称密码,1976年由Diffie和Hellman首先提出其概念[1].之后一些密码学家陆续提出了多种公钥算法,但只有少数几个算法既安全又实用,典型的算法有:RSA[2], El Gamal[3]和ECC[425]等.通常在设计公钥加密方案时,主要考虑在各种攻击模型下所要达到的安全目标,并使用安全目标与攻击模型相结合的方式来定义安全性.安全目标主要有:语义安全[6](semantic security)、不可区分性[627](indistinguishability,IND)、不可展性[8210] (non2malleability,NM)和明文可意识性[11] (plaintext awareness,PA).攻击模型主要有选择明文攻击(cho sen plaintext attack,CPA)、非适应性选择密文攻击[12](non2adaptive chosen cip hertext attack,CCA1)、适应性选择密文攻击[13](adaptive cho sen cip hertext attcak,CCA2).公钥加密安全性的形式化定义首先由G oldwasser和Micali[6]给出,接着他们[7,14215]证明了语义安全等价于不可区分性.由于明文可意识性只是在随机预言机模型[16] (random oracle model)下定义的,又是理想化模型,因此实际系统安全性的讨论中较少提到.在设计公钥加密方案时,主要考虑的安全性为在3种攻击模型{CPA,CCA1,CCA2}下能达到哪一种安全目标{NM, IND}.将他们配对结合,产生了6种主要的安全性定义:IND2CPA[6],IND2CCA1[12],IND2CCA2[13],NM2 CPA,NM2CCA1,NM2CCA2[8210].与选择明文攻击(CPA)相关的安全性是公钥加密机制的最基本要求,而后出现了选择密文安全性概念[17218],适应性选择密文攻击安全(IND2CCA2)被认为是目前公钥加密机制最强的安全性概念.目前所提出的方案基本上都是CPA安全,但很多达不到选择性密文安全.本文主要关注近年来公钥加密领域的一个新方向———基于身份加密.在对已提出的基于身份加密方案进行总结的基础上,给出了基于身份加密的形式化安全性定义,归纳了安全性的数学难题基础,相互间的转化关系以及高安全性的构建方法,从安全性与效率的角度对比了已提出的典型基于身份加密方案.最后,对全文进行了总结,提出了该方向的发展趋势和开放性问题.1　研究背景基于身份加密(identity2based encryption,IB E)的概念于1984年由Shamir[19]提出,他试图寻找一个公开密钥机制使得公钥是任意的字符串.然而,直到2001年才分别由Boneh和Franklin[20]以及Cocks[21]提出第1个实用的IB E解决方案.其中Boneh和Franklin的方案使用Weil配对技术,基于有效的可计算双线性映射点群构造,并证明了其安全性是在随机预言机模型下的适应性选择密文安全,此外还定义了基于身份加密系统的语义安全性. Boneh和Franklin方案中攻击者可以在挑战阶段适应地选择要攻击的身份,这种攻击方案下的安全性被定义为基于身份加密系统的完全安全性(full security).Cocks的方案也是在随机预言机模型下,其安全性基于二次剩余问题,依赖于因子分解问题的困难性.Galindo[22]对Boneh和Franklin的基础IB E方案进行分析,指出了安全约简过程中的一个缺陷,并提出一种更有效的紧密安全约简对原方案进行了修改,使得使用的随机预言机模型更少、密文更小. Canetti,Halevi和Katz[23]提出了一种弱的安全性概念———选择身份安全(selective identity security),并在不使用随机预言机模型的情况下构建了达到该安全性的IB E方案,但是该方案的效率较低.Boneh 和Boyen[24]不使用随机预言机模型,提出了2种选择身份安全的有效的IB E方案(BB1和BB2).之后又在文献[25]中针对方案BB1提出了一种编码理论上的扩展,在不使用随机预言机模型下,证明了适应性身份的完全安全概念,但是这个扩展的构建并不实用.Waters[26]提出了一种针对方案BB1的更简单的扩展,在不使用随机预言机模型下达到适应性身份的完全安全.Waters方案的效率很高,并且在最近的2篇独立文章[27228]中进一步得到了证明. Att rapadung[29]等人对Boneh和Franklin的方案进行了修改,给出了一种基于LBD H问题的紧密约简,可以预计算加密过程中的大多数部分且具有较小的密文.Wang[30]针对多P KG环境,给出了一个实用的IB E构建,并且在随机预言机模型下证明了安全性.层次I BE(hierarchical identity based encryption, HIB E)概念首先由Horwitz和L ynn[31]提出,其目的是解决单P KG负载过重的问题,并使其适合分布式环境下IB E方案的部署和应用.Gent ry和Silverberg[32]在随机预言机模型下构建了第1个层次IB E方案.Canetti,Halevi和Katz[23]给出了第1个不使用随机预言机模型达到选择身份安全性的HIB E方案,但方案不是十分有效.第1个有效的8351计算机研究与发展　2009,46(9)H IB E方案是文献[24]中提出的方案BB1,在不使用随机预言机模型的情况下证明了其选择身份安全性.Boneh,Boyen和G oh[33]对方案BB1作了改进,具有了更短的密文和私钥,而且加解密时间、密文大小都与层次无关.Boyen和Waters[34]给出了第1个不使用随机预言机模型的完全匿名H IB E方案,防止了密文中对于接收者身份的泄漏.Abdalla[35]等人给出了一种新的带通配符的基于身份加密概念(WIB E),允许向一组身份字符串具有某种特定格式的用户发送加密消息,基于已有的工作给出3个WIB E方案,并证明了选择密文安全性.Abdalla等人[36]基于构建的叛逆者追踪算法改进了一个2层的WIB E方案,可以对活跃的盗用者追踪. Abdalla[37]基于之前的工作给出了一种带有通配符的允许一般化密钥生成模式的HIB E方案,给出了密文大小和效率之间的折中方案,并提出了具有固定密文大小的基于通配符IB E的广播加密方案.从IB E的应用角度,Cheon等人[38]介绍了2种可证明安全性的与时间相关的IB E方案,解密者只能在未来某个时间之后解密消息,并在随机预言机模型下分析了可验证关系.G oyal[39]针对IB E中私钥由第三方管理的固有缺陷提出一种私钥生成器(P KG)承担责任的可跟踪IB E(traceable IB E)方案,为每个身份产生指数级的密钥供用户使用,一旦P KG泄漏密钥,用户可以使用2个不同的密钥来证明P KG的不合法行为,通过这种对P KG的限制减轻了密钥第三方问题.Au等人[40]对文献[36]中的可跟踪IB E方案进行了改进,在多于一个用户的密钥被泄漏时增加了P KG主密钥的重生成机制,并提出了形式化模型,在随机预言机模型下给出了构建和安全性证明.Green和Ateniese[41]给出了基于身份的代理重加密方案,使用代理密钥将密文从一个身份转化为另一个身份,在转化过程中不泄漏明文,而且从代理密钥中不会推出两方身份的密钥. Oliveira等人[42]将IB E用于无线传感器网络的加密方案,使用对技术在资源约束节点实现了IB E.2　安全性的形式化定义2.1　一般化IBE方案的形式描述设I={I D1,I D2,…,I D n}为身份的集合,其中I D i∈{0,1}3,0<i≤n.M为待加密的明文消息,C 表示明文加密后的密文.下面给出一个IB E加密方案Ω的一般化形式描述,Ω通常由4个步骤set up,ext ract,encryption和decryption组成,构成了一个关于算法的四元组Ω=(G,K,E,D),具体描述如下:1)算法G.在set up阶段执行,输入为一个安全参数k∈Z3,输出系统参数:params←G(1k). 2)算法K.在extract阶段执行,输入为一个身份I D∈{0,1}3,且I D∈I,输出对应于该身份的公钥P K和私钥S K:(P K,S K)←K(ID,params). 3)算法 E.在encrypt阶段执行,输入为待加密消息M∈{0,1}3,公钥P K和系统参数p arams,输出关于M的加密后的密文C:C←E(M,P K,params). 4)算法D.在decrypt阶段执行,输入为加密后的密文C,私钥S K和系统参数p arams,输出密文C 所对应的明文消息M:M D(C,S K,params).要求I BE方案的加解密过程满足一个一致性约束,即ΠM,E(M,P K,params)→C且D(C,S K,params)→M. 此外,算法G,K,E,D的计算复杂度都是多项式时间的.定义1.可忽略函数.一个函数<:N→R是可忽略的,对于Πd≥0,d为常数,都存在一个整数k d,使得对于Πk≥k d,有<(k)≥k-d.2.2　IBE安全性的形式化定义在对已有的IB E方案进行分析和总结的基础上,分别在IB E方案中选择身份安全和完全安全下,给出了对应的选择性明文安全和选择性密文安全的形式化定义.首先基于IB E方案针对身份加密的特殊性,以算法的形式给出一个关于密钥查询的基础定义,以便于描述对手对于IB E方案的攻击.定义2.私钥抽取查询Q,算法Q的输入为一个待查询的身份I D∈I和系统参数p arams,执行算法Q输出对应于该I D的私钥S K,即S K←Q(ID,params). 对于选择性身份安全[23],要求对手在set up阶段生成全局参数之前就选择要挑战的I D;而完全安全的概念中,对手可以在挑战阶段适应地选择他想要攻击的I D,从而具备更强的攻击能力.可见,选择身份安全是比完全安全稍弱的安全模型.下面分别为两者定义了攻击对手A S和A F,并且将对手的攻击以概率算法的形式给出,设A S=9351胡　亮等:基于身份密码学的安全性研究综述(A bs,A1,A2),A F=(A as,A1,A2),表示对手的攻击分为3个部分执行.其中,算法A bs表示在选择性身份安全的攻击模型中对手在set up阶段之前选择一个要攻击的I D;而算法A as表示在完全安全的攻击模型中对手在挑战阶段适应地选择一个要攻击的I D.这2种安全性下攻击算法A1,A2的描述一样,其中,算法A1以公钥P K作为输入,执行后输出一个三元组(M0,M1,s),消息M0和M1具有相同的长度,s表示对手保存的状态信息,如加密过程所使用的公钥P K等.然后,挑战者随机选择一个M0或M1,表示为M b,其中b∈{0,1}.挑战者对M b加密后将密文C返回给对手,此时对手以密文C、消息三元组(M0,M1,s)作为输入执行算法A2,得出对于b 的推测值,进而完成一次攻击.在IB E方案安全性分析的游戏模型中,通常考虑的安全目标为不可区分性(IND),将安全目标与选择明文攻击(CPA)或选择密文攻击(CCA)等攻击模型相结合,来定义基于IB E方案的安全性.下面分别给出2种安全性的定义:定义3.设Ω=(G,K,E,D)为一个IB E方案, atm∈{cca,cp a},k∈N,O i为查询机,其中i∈{1, 2},负责响应对手的私钥抽取查询或解密查询.对于选择性身份安全下的选择明文攻击(IND2 sID2CPA)安全和选择密文攻击(IND2sID2CCA)安全,给定一个攻击对手A S=(A bs,A1,A2),定义如下获利函数:A dv ind2sID2atmA,Ω(k)=|Pr[ID←A bs(I);　(P K,S K)←K(ID,params←G(1k));(M0,M1,s)←A O11(P K);b←{0,1};　C←E PK(M b):A O22(M0,M1,s,C)=b]-12|. 对于完全安全下的选择明文攻击(IND2ID2 CPA)安全和选择密文攻击(IND2ID2CCA)安全,给定一个攻击对手A F=(A as,A1,A2),定义如下获利函数:A dv ind2ID2atmA,Ω(k)=|Pr[P K,S K)←　K(ID,params←G(1k));　(M0,M1,s)←A O11(P K);b←{0,1};C←E PK(M b);ID←A as(I):A O22(M0,M1,s,C)=b]-12|,其中:当atm=cpa时,有O1(・)=Q(・),O2(・)= Q(・);当atm=cca时,有O1(・)=Q(・)|D S K(・), O2(・)=Q(・)|D S K(・).两个定义的区别在于,对于选择性身份安全,对手在系统生成参数的set up阶段之前就选择要攻击的身份I D,由A bs给出;而对于完全安全,对手对于攻击身份的选择可以在挑战算法A2执行之前由A as给出.我们说一个I BE方案Ω是IND2sID2ATM安全的或IND2ID2ATM安全的,如果对于任意多项式时间的对手A,函数A dv ind2sID2atmA,Ω(k)或A dv ind2ID2atmA,Ω(k)是可忽略的.结合IB E方案安全性的形式化定义和对传统公钥加密方案的安全性分析,根据各种安全性模拟过程中所允许的步骤不同在表1中给出进一步的对比.T able1　Security Comparison betw een IBE Scheme and T raditional Public K ey E ncryption Scheme 表1　IBE方案与传统公钥加密方案安全性对比表Security of Encryption Scheme Security underThree MainAttack ModelDecryption Querybefore G ivent he CiphertextDecryption Queryafter G ivent he CiphertextPrivate KeyExt ractionQueryDecide t heChallenging IDbefore Set upAdaptively Decidet he challengingID after SetupSecurity of IB E Scheme Selective2IDSecurityFullySecurityIND2sID2CPA√√IND2sID2CCA√√√√IND2ID2CPA√√IND2ID2CCA√√√√Security of Traditional Public Key EncryptionScheme IND(NM)2CPAIND(NM)2CCA1√IND(NM)2CCA2√√ 从表1的安全性对比中可以看出,传统公钥加密方案的安全性主要关注给定密文前后是否允许对密文的解密查询上,不允许对手泄露任何密钥信息.而在IB E中,对手可以基于身份标识来确定要攻击0451计算机研究与发展　2009,46(9)的ID,根据确定时刻的不同,对手具有的攻击优势也不相同,如果允许对手适应性地选择攻击身份,那么该方案具有更高的安全性.基于此产生了较弱的安全概念———选择身份安全和高安全性概念———完全安全.此外,在针对IB E方案的攻击过程中,还允许对手适应地提出私钥抽取查询,来获取待攻击ID 之外任何身份的私钥,这样对手具有更多的攻击破解优势.因此,在抗选择明文攻击和选择密文攻击方面,IB E方案的安全性更高.3　数学难题与安全性各种数学难题和假设是构建密码学安全性的基础,而安全性的高低直接决定了一个密码学方案的安全强度.本节在对典型的数学难题进行回顾的基础上,进一步总结了IB E方案安全性的各种数学难题基础.3.1　双线性映射(bilinear maps)设G1和G2分别为对于一个大素数q具有q阶的加法循环点群和乘法循环点群.定义e^:G1×G1→G2为这2个循环点群之间的一个双线性映射,且该映射必须具备如下3个性质:1)双线性.对于所有的P,Q∈G1和a,b∈Z3q,有e^(a P,bQ)=e^(P,Q)ab.2)非退化性.e^没有将所有的G1×G1中的对映射到G2,即存在P,Q∈G1,使得e^(P,Q)≠I G2.说明当P是G1的生成元时,e^(P,P)是G2的一个生成元.3)可计算性.具有有效的算法对于任何的P, Q∈G1能够计算e^(P,Q).满足如上3个性质的双线性映射就叫做可采纳的双线性映射.文献[20]中给出了关于双线性映射更具体的描述,并且使用Weil对构建了一个可采纳双线性映射,而后基于该映射提出了与双线性相关的数学难题.3.2　DH相关问题(Diffie2H ellm an problems,DH P)定义4.D H问题[1].给定一个大素数q,一个大整数生成元g∈Z3q,以及由大随机数a,b生成的g a mod q和g b mod q,要求找到g ab mod q.DH问题是Diffie2Hellman密钥交换算法安全性的基础,这种安全性是建立在有限域内计算离散对数(discrete logarit hm,DL)的困难性基础之上的.定义5.CD H问题[1](comp utational Diffie2 Hellman).对于随机给定的∫P,a P,b P ,其中a,b 属于具有q阶的点群Z3q,计算ab P的值.同D H问题一样,CD H问题的困难性也是基于离散对数的.定义6.DDH问题[43](decision Diffie2Hellman).区分对于给定的元组∫P,a P,b P,ab P 和∫P,a P, b P,c P 之间的分布,即判断c是否等于ab mod q,其中a,b,c属于具有q阶的点群Z3q.在具有q阶的加法循环点群G1上,DD H问题的判定是容易的.因为在群G1上,对于给定的P, a P,b P,c P∈G1,可以构造出多项式时间可计算的双线性映射e^,来验证c=ab mod qΖe^(a P,b P)= e^(P,c P).这也是文献[20]不基于DD H问题来构建IB E密码系统的原因.定义7.q2D H I问题[24,44245](Diffie2Hellman inversion).给定q+1维元组∫g,g x,g x2,…,g x q ∈G q+1,计算g1/x∈G.q2D HI假设为一个更自然的复杂性假设,且问题描述中不要求使用随机预言机模型.因此,基于D H假设的构建可以被依赖于q2D HI假设的构建所取代.定义8.q2SDH问题[46](strong Diffie2Hellman inversion).给定维q+1元组∫g,g x,g x2,…,g x q ∈G,计算(c,g1Π(x+c)),其中c,x∈Z3q.注意到,当c固定时,SD H问题等价于D HI 问题.此外,文献[45]还总结了其他一些D H问题的各种变型及其对应的判定问题,如SCD H(square comp utational Diffie2Hellman),InvCD H(inverse comp utational Diffie2Hellman),DCD H(divisible comp utational Diffie2Hellman)SDD H,InvDD H, DDD H等.定义9.BDH问题[20](bilinear Diffie2Hellman).设G1和G2为2个具有素数q阶的点群,e^:G1×G1→G2为一个可采纳的双线性映射,P为G1的生成元,对于给定的∫P,a P,b P,c P ,其中a,b,c∈Z3q,计算W=e^(P,P)abc∈G2.通过分析发现,∫G1,G2,e^ 中的BD H问题并不比G1或G2上的CD H问题更难,也即G1或G2上的一个CD H算法足以解决∫G1,G2,e^ 中的BD H 问题.定义10.q2LBD H问题[29](list bilinear Diffie2 Hellman).给定元组∫g,g a,g b,g c ∈(G1)4,其中a,b,c∈Z3q,输出一个长度最大为q(q≥1)的列表L,且L中包含e(g,g)abc∈G2.1451胡　亮等:基于身份密码学的安全性研究综述定义11.DBD H问题[24](decision bilinear Diffie2Hellman).区分给定元组∫g,g a,g b,g c,e (g,g)abc 和∫g,g a,g b,g c,e(g,g)z 的分布,即判断z是否等于abc mod q,其中a,b,c属于具有q阶的点群Z3q.定义12.G BD H问题[47](gap bilinear Diffie2 Hellman).给定元组∫g,g a,g b,g c ∈(G1)4,在DBD H预言机O(对于给定的∫g,g a,g b,g c,T ∈(G1)4×G2,如果T=e(g,g)abc,则为t rue,否则为false)的帮助下,输出e(g,g)abc∈G2.定义13.q2BD H E问题[33](bilinear Diffie2 Hellman exponent).给定∫h,g,g x,g x2,…,g x q,g x q+2,…,g x2q ∈G2q+11,其中x∈Z 3q,计算e(g,h)(x q+1)∈G2.定义14.q2ABD H E问题[48](augmented bilinear Diffie2Hellman exponent).给定∫g′,g′x q+2, g,g x,g x2,…,g x q,g x q+2,…,g x2q ∈G2q+21,其中x∈Z3q,计算e(g,g′)(x q+1)∈G2.定义15.q2BD HI问题[24](bilinear Diffie2 Hellman inversion).给定q+1维元组∫g,g x,g x2,…, g x q ∈(G31)q+1,其中x∈Z3q,计算e(g,g)1Πx∈G2.显然,当q=1时,12BD HI假设等同于标准的BD H假设.定义16.q2DBD HI问题[24,49](decision bilinear Diffie2Hellman inversion).给定∫g,g x,g x2,…, g x q,k ,其中x∈Z3q,g∈G1,k∈G2,判断k是否等于e(g,g)1Πx,若等于,输出“是”;否则,输出“否”.定义17.q2ABDHI问题[47](augmented bilinear Diffie2Hellma inversion).给定∫g(x-q-2),g,g x,g x2,…, g x q ∈G q+11,其中x∈Z3q,计算e(g,g)1Πx∈G2.定义18.q2wBD HI问题[33](weak bilinear Diffie2Hellman inversion).给定元组∫g,h,g x, g x2,…,g x q ,其中g,h∈G1,x∈Z3q,计算e(g,h)1Πx.定义19.q2wBD H I3问题[33].给定元组∫g,h,g x,g x2,…,g x q ,其中g,h∈G1,x∈Z3q,计算e(g,h)(x q+1).图1展示了一些数学难题之间的强弱关系,其中单向箭头左侧数学难题的强度要强于右侧,双向箭头两侧的数学难题是等价的.从图1中的描述可以得出,加法点群G1上的CD H问题要难于DD H问题,因为可以通过可计算的双线性映射e^,来验证c=ab mod qΖe^(a P,b P)= e^(P,c P).G1或G2中的CD H问题足以解决∫G1,G2,e^ 中的BD H问题,但是反过来一个BD H问题是否足以解决G1或G2中的CD H问题仍然是一个开放性问题,有待于进一步的证明.在q=1时, BD H I问题和LBD H问题都等价于BD H问题,而当q>1时,并不能确定BD H和BD H I问题是否等价.q2BD H I问题是(q+1)2BD H E问题的一个特例,难度是相似的,不同之处在于(q+1)2BD H E问题给出了更多G1上的额外值,但是这些额外值对于问题的解决并没有提供任何帮助.q2ABD H I和q2 ABD H E是对q2BD H I和q2BD H E在参数上的扩展,它们之间是等价的,可以通过(g′,g′(x q+2))= ((g(x-q-2))x,g x)进行转换.q2ABD H E的判定问题要强于DBD H问题,q2ABD HI问题等价于q2BD HI 问题.wBD HI问题和wBD HI3问题在线性时间约简下是等价的,且在任何相同的点群下,它们的安全性假设弱于BD H I和BD H E问题.此外,图1中还展示了一个一般规律,即数学难题的难易程度与生成元所在的点群类型和大小相关.在相同点群下通常计算问题要难于判定问题;而在不同点群下,数学难题的难易程度往往不易比较.但通常点群越大,数学难题就越难,由此所带来的安全性也就越高.Fig.1　Relations between math problems.图1　各种数学难题之间的强弱关系4　安全性之间的转化关系与效率比较4.1　安全性之间的转化与构建方法近年来的研究热点集中于安全性之间的转化关系[50254].图2对传统公钥加密方案和IB E方案的安全性转化关系作了一个总结,图中“A→B”表示一个加密方案如果是A的,则一定是B的.通过图2可以看出,在传统公钥加密体制中, IND2CCA2的确是非随机预言机模型下最强的安全性定义;而对于IB E,完全安全模型下的IND2ID2 CCA为最强的安全性定义.在随机预言机模型中,最强的安全性是明文可意识性(PA)[50],即有PA→2451计算机研究与发展　2009,46(9)IND 2CCA2.对两者而言,抗选择明文攻击(CPA )都是基本要求,目前所提出的方案基本都是CPA 安全的.然而随着密码学、密码分析学及其应用的发展,选择密文攻击逐渐成为可能,很多密码学的工作致力于设计新的能够抵抗选择密文攻击的公钥加密方案,或者将已有的抗选择明文攻击方案进一步改造成抗选择密文攻击,达到CCA 安全性[55].Fig.2　Transformation between securities of encryptionscheme.图2　各种安全性之间的转化关系目前已经提出了多种CCA 安全转化方法.Sho up [56]在对Bellare 等人[57]的陷门单向置换方案OA EP 基础上提出了OA EP +方法,同时给出了该方法的CCA2安全性证明.Okamoto 等人[58]提出用陷门单向函数来加密会话密钥的方法RECA T ,比OA EP 方法的适用范围更广,且也达到IND 2CCA2安全.Cammer 和Shoup 提出了基于El Gamal 体制的加密方案[59],基于离散对数的性质实现了密文验证,达到了CCA 安全性.Naor 和Yung [60]提出了不使用随机预言机模型下的IND 2CCA1方案,后来Sahai [61]和Dolev 等人[62]将该方案扩展为IND 2CCA2,Lindell [63]基于陷门置换函数的存在对文献[60]中的方案作了进一步的修改.这些方案及改进都使用了非交互零知识(non 2interactive zero knowledge ,N IZK )证明方法,实用性较差.Crammer和Sho up 在文献[64265]中,提出了另一种构建CCA 安全的技术,使用具有特殊同态性质的代数构建(即可采纳的“平滑Hash 证明系统”),并产生了一些有效的实用方案.Canetti 等人[23]描述了一个基于N IZK 的通过转化构建选择性身份、选择密文安全的IB E 方案的一般化方法.而后Canetti 等人[66]针对N IZK 方法效率不高和实用性不强等缺点,使用对密文进行一次签名,通过解密阶段对签名的验证,给出一种从任意IB E 构建CCA2安全方案的一般方法,即IND 2CCA2→IND 2sID 2CPA.Boneh 和Katz [67]提出了一种更有效的CCA2安全转化方法,使用消息认证编码(message aut hentication code ,MAC )方法将MAC 密钥封装在对密文的承诺中,在解密阶段通过从密文中恢复出的MAC 密钥来进行密文验证,达到CCA2安全性.Boyen ,Mei 和Waters [68]提出一种将身份隐藏在密文前2部分的巧妙构建,在解密时可以对密文的合法性进行验证,省略了一次签名或MAC 方法的额外构建.Boneh 和Boyen [24]还指出只要使用具有足够大q 的双线性点群,任何选择性身份安全的IB E 系统都可以通过效率不高的约简转化成为一个完全安全的IB E ,且这种约简一般都不是多项式时间的,即f ull security →selective 2ID security.文献[627,14]中已经证明了语义安全与不可区分性之间的等价性,而在文献[20]中利用这种等价关系描述了基于身份的语义安全的定义,用IND 2ID 2CCA 表示,即IND 2ID 2CCA [semantic security.表2归纳了主要的CCA 安全转化方法.T able 2　Method for Constructing CCA Security表2　构建CCA 安全的方法Construction Met hod Theory or Mat h AssumptionsWhet her Use RandomOracle ModelSecurity of Achievement OAEP ,OAEP +,SAEP [69],RSA 2OASP [70]One 2Wayness of a Trapdoor Permutation wit h ROM IND 2CCA REACT One 2Wayness of a Trapdoor Function wit h ROM IND 2CCA2GS98[59]Discrete Logarit hmwit hout ROM IND 2CCA2DDN [62],RS91[13],S99[61],CS01[64],ES02[71]Non 2Interactive Zero 2Knowledge wit hout ROM IND 2CCA2CS02[64],CS03[65]Universal Hash Proof s Systems wit hout ROM IND 2CCA2KEM [72]Decision Diffie 2Hellman Assumption wit hout ROM IND 2CCA2One 2Time Signature [66]Decision Bilinear Diffie 2Hellman Assumption wit hout ROM IND 2ID 2CCA MAC [67]Message Aut hentication Code wit hout ROM IND 2ID 2CCA BMW05[68]One Time Identity Hashwit hout ROMIND 2CCA23451胡　亮等:基于身份密码学的安全性研究综述 表2中总结了目前主要几种达到CCA安全的转化方法,这些方法有一个共同点,就是在加密方案的构造过程中使用了某种测试,在加密阶段给出对密文的附加处理或某些因子的额外构造,同时在解密阶段能够通过验证测试出所接收到的密文的合法性,进而达到抗选择密文攻击的CCA安全性.然而通过构造合法性测试将一个CPA安全的加密方案转化为CCA安全,总是要以牺牲一定效率为代价的.设计效率更高的实用CCA安全转化方法是未来一个研究热点.4.2　安全性与公钥加密方案效率的关系对公钥加密方案效率的分析一般主要关注加密时间、解密时间、生成的密文空间大小和方案的模型环境(即是否在随机预言机模型下)等.IB E的研究主要由安全性和效率两方面不断推动向前发展,实际应用中要求设计出安全性和效率都很高的实用方案,而安全性的增加通常以牺牲一定的效率为代价.因此,对公钥加密方案来讲,安全性是构建过程的基本目标,在达到安全目标的基础上提高效率是更高的目标.下面总结已提出的主要几种IB E方案的效率,在表3中给出了对比分析.从表3中可以看出,将安全性较低的CPA安全方案转化为CCA安全时,必然会带来额外的开销,导致效率的下降.此外,人们还关注如何将理想方案(使用随机预言机模型)转化成实用的IB E方案,即构建过程中不使用随机预言机模型.Boneh和Boyen[24]首先给出了一个随机预言机模型下的CPA安全IB E方案,随后在文献[25]中给出了非随机预言机模型下的CCA安全的实用IB E方案.当安全性和实用性得到满足后,开始关注如何进一步提高方案的效率,使得加、解密的时间尽量缩短,而且密文空间和密钥大小尽量缩短.基于此, Waters[26]给出了一个效率较高的实用IB E方案. Horwitz和L ynn[31]首先提出HIB E的概念,并给出了局部抗共谋的HIB E方案后,Boneh和Boyen[24]以及Gent ry和Silverberg相继给出了各自的H IB E 方案,但是这2个方案的加解密时间都随着层次l 线性增长.Boneh,Boyen和G oh从效率出发考虑,最终给出了加解密时间和密文大小都与层次l无关的CCA安全的HIB E算法.因此,设计和构建满足高安全性且高效率的IB E方案,是未来的研究重点和目标.T able3　Peform ance Analysis for Several IBE Schemes表3　主要IBE方案性能的比较Scheme Name Encrypt Time Decrypt Time Ciphertext Size SecurityBF2BasicIdent[20]1P+1Mt P+1sM1+1E21P G1×{0,1}n wit h ROM under BD H,IND2ID2CPA securityBF2FullIdent[20]1P+1Mt P+1sM1+1E21P+1sM1G1×{0,1}n×{0,1}n wit h ROM under BD H,IND2ID2CCA security BB2sID2IBE[24]1P+3E1+1gM1+1E2+1gM21P+1gM1+1E1+1R2G21×G2wit h ROM under BD HI,IND2sID2CPA securityBB2SIBE[25]1P+(n+1)E1+1gM2+1E2(n+1)P+(n+1)gM2+R2G n+11×G2wit hout ROM under DBD H,IND2ID2CCA securityWat2IBE[26]1P+2E1+n2gM1+1E2+1gM22P+1gM2+R2G21×G2wit hout ROM under DBD H,IND2ID2CCA securityHL2HIBE[31]1P+(m+3)E1+m・gM2+1E21P G1×{0,1}k wit h ROM under BD H,IND2ID2CPA securityBB2sID2HIBE[24]1P+(l+1)E1+1gM2+1E2(l+1)P+1gM2+1E2G l+11×G2wit hout ROM under DBD H,IND2sID2CPA security GS2HIB E[32]1P+l・Mt P+l・sM1+1E2l・P+(l-1)gM2+1R2G l1×{0,1}n×{0,1}n wit h ROM under BD H,IND2ID2CPA security BB G2HIBE[33]1P+(l+2)E1+l・gM1+1E2+1gM22P+1gM2+R2G21×G2wit h ROM under BD H,IND2ID2CPA security 其中,P:对e(・,・)的运算时间;R i:群G i上的求逆运算时间;E i:群G i上的指数运算时间;sM i:群G i上的数乘运算时间;gM i:群G i上的乘法运算时间;pA i:群G i上的点加运算时间;l:HIB E中层次化实体的层次数;n:表示实体身份ID的长度;m: HIB E中容忍的最大层共谋数;k:消息空间的长度;4451计算机研究与发展　2009,46(9)。

龙源期刊网 完全安全的身份基在线/离线加密作者：王占君李杰马海英王金华来源：《计算机应用》2014年第12期摘要：针对现有身份基在线/离线加密（IBOOE）机制仅满足较弱的选择安全模型，不允许攻击者适应性选择攻击目标的问题，将在线/离线密码技术引入到完全安全的身份基加密方案中，提出一种完全安全的身份基在线/离线加密方案。

基于合数阶群上的3个静态假设，利用双系统加密技术证明该方案满足完全安全性。

与知名的身份基在线/离线加密方案相比，所提方案不仅极大地提高了在线加密的效率，而且更能满足实际系统中对完全安全性的需求。

关键词：身份基在线/离线加密；完全安全性；双系统加密；可证明安全中图分类号： TP309.7；TN929.50引言1984年，Shamir [1]首先提出了身份基加密（Identity-Based Encryption， IBE）的概念。

与传统的公钥加密不同，它用任意字符串（如电子邮箱或装置的序列号）作为公钥，只有被可信任的密钥生成中心证明的实体才可获得一个身份字符串的私钥。

这个性质使得IBE体制可以消除在传统公钥基础设施中检查证书正确性的必要性，大大提高了效率。

直到2001年，Boneh等[2]才提出了第一个实用的IBE方案。

随后，研究者们提出许多IBE方案[3-10]，逐步降低了加密算法的复杂性。

由于IBE极大地提高了加密过程的效率，降低了计算节点的开销，因此IBE在云存储、无线传感网中得到了广泛的应用。

特别的，在无线传感网中，传感器收集敏感数据并发回基站。

为了保证安全性，使用IBE对数据加密。

然而IBE必须执行幂乘或双线性对等复杂运算，而传感器计算能力非常有限，短时间内无法完成。

2008年，Guo等[11]提出了身份基在线/离线加密（Identity-Based Online/Offline Encryption， IBOOE）的概念。

基于身份的公钥密码系统的研究在传统的公钥密码系统中,用户公钥证书的签发、传输、验证、查询和存储等都需要耗费大量时间和成本。

为了简化该系统中的证书管理问题,提高公钥密码系统的效率,1985年,Shamir提出了基于身份的公钥密码系统(Identity-Based Cryptosystem, IBC)这一概念。

在IBC中,用户的身份与其公钥以最自然的方式捆绑在一起,用户的身份信息作为用户公钥,用户的私钥则由私钥生成中心(Private Key Generator, PKG)生成。

IBC使得任意两个用户可以直接通信,不需要交换公钥证书,不必保存公钥证书列表,也不必使用在线的第三方,简化了公钥证书的管理过程,降低了计算和存储开销。

正因为如此,IBC可以作为传统公钥密码系统的一个很好的替代,尤其是在储存和计算受限的环境下。

本文从IBC数学基础安全性、IBC机制以及IBC机制安全性三个层面出发,较为完整系统地介绍了IBC相关理论,回答了人们关注的四大问题：1.我们为什么要研究IBC?与传统公钥密码系统相比,IBC有哪些优势?2.IBC还有哪些问题值得研究?3.我们为什么相信IBC是安全的?4.IBC涉及到哪些关键技术?本文的研究可分为三大部分：第一部分,主要从IBC系统数学基础安全性的层面介绍椭圆曲线和双线性对相关理论知识,重点研究了椭圆曲线数点问题与Dirichlet特征和的算术性质。

主要研究成果如下：1.较系统地研究了IBC数学基础的安全性。

从椭圆曲线理论着手,首先简要地介绍了椭圆曲线的算术理论,然后通过椭圆曲线的除子理论引进Weil对的概念,重点对除子和Weil对的相关性质展开讨论,并给予了证明；接着简要介绍了如何通过变形映射将Weil对转化成有效的双线性对。

由于基于双线性的数学困难问题和假设是构建IBC系统安全性的数学基础,而安全性的高低直接决定了一个密码方案的安全强度,所以我们对几种比较流行的基于双线性对的数学困难问题进行了分析和比较,研究结果表明,使用双线性对技术的基于身份公钥机制的数学基础安全性可归结为所选取的椭圆曲线上离散对数问题(ECDLP)的难解性,针对现有的各种ECDLP求解方法,我们对如何建立安全有效椭圆曲线进行了讨论。

基于身份加密体系IBE的软件实现续素芬;李树国【摘要】在可实现的基于身份加密体系IBE（Identity-Based Encryption）中，椭圆曲线上的双线性对可用于IBE 加解密算法的构造。

目前尚无关于IBE加密体系软件实现中Tate对的计算及化简的研究。

针对这一事实，提出一种基于软件实现的IBE体系架构。

从算法层次深入研究了BF-IBE加密方案的加解密流程以及椭圆曲线上双线性对Tate对的计算方法，完成了BF-IBE中Tate对的化简，在Windows VC＋＋6．0软件环境下实现了IBE加解密运算。

%In practically realisable IBE (identity-based encryption)scheme,the bilinear pairings on elliptic curve can be used to construct the encryption and decryption algorithms of IBE.Up to now,there is no research about the computation or simplification of Tate pairing in software implementation of IBE yet.For this fact,we propose a software implementation-based IBE architecture.We intensively study the en-cryption and decryption processes of BF-IBE scheme and the computation method of Tate pairing of bilinear pairing on elliptic curve on algo-rithm level,as well as complete the simplification of Tate pairing in BF-IBE.Moreover,the encryption and decryption operations of IBE are realised in Windows VC++6.0.【期刊名称】《计算机应用与软件》【年(卷),期】2015(000)004【总页数】5页(P301-304,325)【关键词】基于身份加密体系;BF-IBE架构;Tate对化简【作者】续素芬;李树国【作者单位】清华大学微电子学研究所北京100084;清华大学微电子学研究所北京100084【正文语种】中文【中图分类】TP309.7在公钥密码体系中，存在两把不同的密钥:公钥和私钥。

电子邮件IBE加密研究龙毅宏;黄强;王维【摘要】提出了一种电子邮件IBE加密方案.方案采用了伪RSA密钥和IBE插件技术.伪RSA密钥是一种存放有用户标识即邮箱地址的假的RSA密钥数据.在伪RSA 密钥基础上,引入自签发的伪RSA数字证书以及IBE密码模块.伪RSA数字证书的公钥是伪RSA公钥.IBE插件插入到电子邮件客户端中,当用户发送加密邮件时,IBE 插件自动插入邮件加密所需的伪RSA数字证书,当用户读取加密邮件时,IBE插件自动插入邮件解密所需的用户带私钥的伪RSA数字证书;IBE密码模块将邮件客户端使用伪RSA数字证书及私钥所进行的密码运算转化为使用IBE密钥的密码运算,由此实现电子邮件的IBE加密、解密而无需对邮件客户端作任何修改.【期刊名称】《软件》【年(卷),期】2018(039)002【总页数】6页(P1-6)【关键词】标识加密;伪RSA密钥;插件;安全电子邮件【作者】龙毅宏;黄强;王维【作者单位】武汉理工大学信息工程学院,湖北武汉 430070;武汉理工大学信息工程学院,湖北武汉 430070;武汉理工大学信息工程学院,湖北武汉 430070【正文语种】中文【中图分类】TP393.0980 引言电子邮件是人们常用的信息传递工具，许多的敏感和重要信息都是通过电子邮件传送的，保证电子邮件安全非常重要。

目前保证电子邮件安全的技术方案主要有两种，PGP（Pretty Good Privacy）[1]，和S/MIME（Secure/Multipurpose Internet Mail Extensions）[2]，这两种技术方案都是采用公钥密码技术，都能实现电子邮件的消息鉴别和数据保密。

S/MIME 基于 PKI（Public Key Infrastructure）[3,4]安全技术体系，它通过 CA认证机构签发的数字证书实现电子邮件的数字签名和数据加密。

PGP与S/MIME的公钥管理机制不同，它的公钥发布不是通过 CA认证机构，而是通过社交网络传播。

一种基于身份加密的可验证秘密共享方案李大伟,杨 庚,朱 莉(南京邮电大学计算机学院,江苏南京210003)摘 要: 提出了一种使用IBE 公钥算法实现的可验证秘密共享方案.该方案中秘密分发者将IBE 私钥作为共享秘密在接入结构中分发,任何参与者可以通过公开的验证信息验证影子秘密的正确性.随后在随机预言模型中证明了所提方案的语义安全性.理论分析和仿真实验表明,方案可以有效检测来自内外部攻击者的欺骗攻击,并具有较低的时间复杂度和通信开销.关键词: 可验证;秘密共享;基于身份加密中图分类号: TP309 文献标识码: A 文章编号: 0372 2112(2010)09 2059 07An ID Based Verifiable Secret Sharing SchemeLI Da wei,YANG Geng,Z HU Li(Colle ge o f Computer Scie nce,Nanjing U nive rsity of Posts and Telecommunications.Nanjing ,Jiangsu 210003,China )Abstract: A verifiable secret sharing scheme based IBE is proposed.In the scheme,the shared secret is the private key which extracted by IBE algorithm and every participator can verify the s hares conveniently by the public information.A formal proof of se mantic security of the scheme is provided in the random oracle model.The theoretical analy sis indicates that the scheme can detect cheatings from both inside and outside attacker.The simulation results demons trate that the proposed scheme has remarkable perfor mance in both computation and communication cost.Key words: verifiable;secret s haring ;identity based encryption (IBE)1 引言秘密共享技术是分布式系统中数据保密的重要手段.其主要思想是将共享的秘密分发给接入结构中不同的参与者,达到门限数量的参与者合作才能重构共享的秘密.目前典型的秘密共享体制是Sha mir 提出的基于拉格朗日插值的方案.Shamir 方案的一个假设前提是系统中所有参与者都是可信的,因此无法抵抗某些不诚实参与者发起的欺骗攻击.为解决这个问题,Chor 等[1]首次提出了可验证秘密共享(Verifiable Secret Sharing,VSS)的概念.通过附加的交互式认证算法,参与者可以检验所收到的影子秘密的正确性.此方案的缺点是参与者只能验证各自收到的影子秘密的正确性,难以验证来自其它参与者的影子秘密.为此,Stadler [2]对Chor 方案进行改进,提出了公开可验证的秘密共享(Publicly Ve rifiable Secret Sharing,PVSS)概念.所谓公开可验证是指任何人可以通过公开信息验证影子秘密是否有效而不泄露共享的秘密和参与者持有的影子秘密.Stadler 分别基于离散对数和复合数取模的e 次方根给出了两个PVSS 方案,但这两个方案通信量和计算量都很大(最坏情况为O( 2n)),难以在实际环境中广泛应用.随后有学者致力于对Stadler 方案效率的改进,例如Fujisaki 和Okamoto [3]提出的方案.为降低验证过程的通信开销,Sc hoenmakers [4]使用非交互零知识证明协议实现了一个PVSS 方案,达到了O ( n)的复杂度.近年来,随着密钥托管系统、具有可撤销匿名性的电子支付协议以及电子选举协议的发展,PVSS 方案研究得到了广泛关注[5~7].Yu 等[8]基于零知识证明协议提出的动态P VSS 方案能灵活处理节点加入和退出.Wang 等[9]和Tar tary 等[10]提出的可验证多秘密共享方案能为每个共享秘密设置不同的门限值,提高了系统灵活性和易用性.Pang 等[11]提出的方案影子秘密具有可重用的特性,而Dehkordi 的方案[12,13]具有较好的可用性.上述方案的缺点是验证过程多基于离散对数难解问题,需进行多次模指数运算实现,计算量较大.当方案中秘密共享过程不以离散对数难题作为安全基础时,则需要额外的算法支持,带来计算开销.收稿日期:2009 06 25;修回日期:2010 04 28基金项目:国家自然科学基金(No.60873231);国家973研究发展规划项目(No.2011CB302903);江苏省高校自然科学基金(No.08KJB520006);江苏省 六大人才高峰 基金(No.06 E 044)第9期2010年9月电 子 学 报ACTA ELECTRONICA SINICA Vol.38 No.9Sep. 2010可验证秘密共享方案主要解决秘密共享中的欺骗问题.秘密共享中欺骗攻击主要包括秘密分发者欺骗和参与者欺骗两种情况.分发者欺骗指秘密分发者为某个参与者分配假的影子秘密,致使该参与者在秘密重构时不能提供有效的秘密份额.而参与者欺骗是参与者在秘密重构过程中对其他合作者提供假的影子秘密,会在不影响自身利益的情况下妨碍其合作者秘密重构.针对以上两种攻击,典型的可验证秘密共享方案应该满足:(1)在秘密分发阶段,每个参与者可有效的检验秘密分发者是否发送了正确的影子秘密.(2)在秘密重构阶段,每个参与者可有效的检验其他参与者是否提供了正确的影子秘密.本文基于IBE公钥加密算法,提出了一个可验证的秘密共享方案.方案使用双线性映射在秘密分发阶段生成影子秘密的同时生成验证信息,不需要额外的辅助算法.验证算法采用基于双线性映射的零知识证明算法,参与者可通过公开信息方便有效的对影子秘密进行验证.2 IBE公钥算法基础IBE公钥算法的安全性建立在CD H(Computa t ional Diffie Hellman)困难问题的一个变形之上,称之为BDH (Bilinear Diffie Hellman)问题[14].记Z q={0,!,q-1}为素数阶q的加法群,Z为正整数,G为加法群,F为乘法群.定义1(双线性映射) 对所有x,y∀G,a,b∀Z,映射^e:G#G∃F称为双线性映射,满足:(1)双线性:^e(ax,b y)=^e(x,y)ab;(2)非退化性: P,Q∀G,满足^e(P,Q)%1;(3)可计算性:存在多项式时间算法计算^e(x,y).给定&G,q,P,aP,b P∋,随机选择a,b∀Z*q,计算abP∀G称群G上的CD H问题.随机算法G( )使用一个安全参数 ∀Z+,在 阶多项式时间内输出阶q的加法群G和乘法群F,及其上的双线性映射^e:G#G∃F.对P∀G*,a,b,c∀Z*q,计算^e(P,P)abc称为BDH 问题.I BE公钥算法由四个函数Setup,Extract,Encrypt和Decrypt组成,分别完成系统参数建立、密钥提取、加密和解密的功能.若s为主密钥,Ppub 为系统公钥,H1,H2为单向散列函数,M为明文,身份I D对应的公私钥分别为QID=H1(ID),D ID=sQ ID.Encrypt:选择r∀Z*q.密文C=(U,V),其中U= rP,V=H2(k)M,k=^e(Q ID,P pub)r.Decrypt:M=V H2(^e(D ID,U)).3 方案构成方案基于IBE公钥加密算法,加密者可以通过特定ID的公钥对消息M进行加密得到C.需要进行解密时,解密者首先需要联系持有共享秘密的解密服务器节点,得到多于门限t份影子秘密后,解密者可以通过拉格朗日插值定理重构解密算子,进而解密密文C得到明文M.方案包括系统初始化,共享秘密分发和秘密重构三个阶段.前两个阶段由秘密分发者D完成,方案中秘密分发者同时作为I BE算法的PKG,在秘密分发过程中运行Setup和Extract算法.影子秘密验证过程基于Chaum和Pede rsen非交互零知识证明算法[15]的改进算法,我们称之为B-DLEQ (g1,h1;g2,h2; )算法.其中g1,g2∀(G,+),h1,h2∀GF(P2)*, 为证明者要证明的秘密参数,满足h1=^e ( ,g1),h2=^e( ,g2).H为安全散列函数.证明者选取w∀(G,+),计算E1=^e(w,g1),E2=^e(w,g2),c= H(E1(E2),r=w- c mod q.公开证据PROOF P=(r, c).验证者V通过等式c)H(^e(r,g1)h c1||^e(r,g2)h c2)验证证明者是否拥有正确的 .3!1 基本假设系统结构和信道假设.系统由秘密分发者D(兼有PKG功能)和n个参与者P={P1,P2,!,P n}组成,P 中参与者是解密服务器节点,同时根据实际需要担当解密者的角色.所有节点共享一条广播信道,该信道在稳定性,延迟等方面处于理想状态.任何两个节点间存在一条私有信道,在此信道中传输的信息无法被第三者获取.私有信道可以由硬件实现也可通过加密方法实现.攻击者假设.攻击者分为内部攻击者和外部攻击者.内部攻击者的攻击行为主要表现为影子秘密欺骗.即通过提供虚假的影子秘密企图阻止其他参与者获得共享秘密,在其理想情况(其他参与者都诚实)下只有欺骗者可获得共享秘密.外部攻击者能获得广播信道中所有的公开信息,其攻击行为表现在攻击P中节点,企图获得节点存储的信息(如ID,影子秘密等),并操纵攻破的节点.所有类型的攻击者都可以访问广播信道,进行诸如插入错误信息等攻击.3!2 方案描述3!2!1 系统初始化阶段给定一个安全参数 ,选择大素数p( bit),找一条满足CD H安全假设的超奇异椭圆曲线E/GF(p),生成E/GF(p)上的q(q>2 )阶子群(G,+)和其生成元P,双线性映射^e:G#G| GF(P2)*.设l为明文长度.单向散列函数H1,H2,H3定义为:2060 电 子 学 报2010年H1:{0,1}*| G*;H2,H3:GF(P2)*| {0,1}l.选择主密钥s∀Z*q,计算系统公钥P pub=sP,返回系统参数pa ra=(G,q,P,^e,H1,H2,H3,P pu b).3!2!2 秘密分发和验证阶段秘密分发过程由秘密分发者D完成.秘密分发者执行Extract算法生成特定I D对应的公私钥对Q ID= H1(I D)和D ID=s Q I D.将D I D作为共享秘密分发给参与者集合P中成员.Step1 随机选择插值多项式的系数集合{a j|a j∀G*;j=1,2,!,t-1;a t-1%0}构造t-1阶多项式F(x)=D I D+∗t-1j=1a j x j, x∀{0}+I N(1)其中I N为正整数集合.Step2 计算参与者P i的影子秘密S i=F(i),计算y i=^e(S i,P),1,i,n;Step3 计算验证密钥U j=^e(a j,P pub),1,j,t-1,U0=^e(D ID,P pub);Setp4 通过私有信道发送S i给P i,通过广播信道公布yi,U j,1,i,n,0,j,t-1.任何参与者可以通过公开信息计算Y i=−t-1j=0U i j j(2)分发者D使用B-DLEQ(Ppub,Y i;P,y i;S i)算法生成证据.首先随机选择wi ∀(G,+),计算E1i=^e(w i,P pub),E2i=^e(w i,P),c i=H3(Y i(y i(E1i(E2i),r i= w i-S i c i mod q.公开证据PROOF i=(r i,c i),1,i,n.收到影子秘密后,参与者Pi 通过公开信息计算E1i=^e(r i,P pub)Y c i i,E2i=^e(r i,P)y c i i.验证等式c i)H3(Y i(yi (E1i(E2i).若等式成立,说明D发送的影子秘密是正确的.3!2!3 秘密重构阶段需要解密M的参与者PD向P中成员提出解密申请,通过身份验证后收到来自P中t个成员的影子秘密,其执行的操作如下(设t个成员组成的授权子集为).Step1 验证收到的影子秘密合法性.一般的,参与者Pi 收到参与者Pj(i%j)的影子秘密S j后,根据公开信息Ui,0,i,t-1计算Y j=−t-1l=0U j l l.结合公开参数运行B-DLEQ(Ppub,Y j;P,y j;S j)中验证算法,若成立则证明收到的影子秘密是正确的.Step2 给定IBE密文(U,V),P i计算k=−j∀^e(S i,U)C0,j.其中C0,j为拉格朗日系数,定义为:Cx,j=−l∀,l%j x-lj-l∀Zq.集合∀{1,2,!,n},.t.于是参与者PD得到解密算子k,根据IBE加密算法,明文M=V H2(k).4 证明和分析4!1 正确性证明下面通过两个定理证明方案的正确性.定理1若参与者P i收到的影子秘密通过B-D LEQ(P p ub,Y i;P,y i;S i)验证,则S i为正确秘密多项式产生的影子秘密且在传输中没有被篡改.证明 已知,秘密分发过程中秘密分发者D发送的公开参数y i=^e(S i,P),验证密钥U0=^e(D ID,P pub), U j=^e(a j,P pub),0,j,t-1.根据双线性映射的性质,参与者P i容易得到:Yi=−t-1j=0U i j j=^e(D ID+∗t-1j=1a j i j,P pub)=^e(S i,P p ub)根据B-DLEQ(Ppub,Y i;P,y i;S i)算法的证据PROOF i,有:E1i=^e(r i,P pub)Y c i i=^e(w i-S i c i,P pub)^e(S i,P p ub)c i=^e(w i,P pub)同理,E2i=^e(r i,P)y c i i=^e(w i,P).显然,正确的影子秘密能够通过前述的基于双线性映射的零知识证明协议.证毕.由于参数PROOFi,y i,U j,(1,i,n,0,j,t-1)在共享秘密分发时已经公开,因此在秘密重构过程中,解密请求者也可通过这些信息验证来自任意参与者的影子秘密.定理2 若存在接入结构中的授权子集,满足.t(t为门限值),则解密者根据中成员提供的影子秘密可以解密密文C得到M.证明 需要解密C的参与者PD向中成员发送解密请求,认证通过后得到通过验证的影子秘密{Si|i∀}.将Si同密文中的分量U做双线性运算,结合拉格朗日插值定理,有:k=−j∀^e(S j,U)C0,j=^e(∗j∀C0,j S j,U)=^e(D ID,U)根据IBE算法,明文为:M=V H2(k).证毕4!2 安全性证明类似于公钥加密算法语义安全性证明,我们给出方案在随机预言模型下的安全性证明.本方案核心为根据特定I D在接入结构下共享IBE私钥,证明的基本2061第 9 期李大伟:一种基于身份加密的可验证秘密共享方案思想是攻击者选择两个ID发送给挑战者,后者随机选择一个ID对应的IBE私钥在授权子集中共享.若攻击者通过重构恢复共享秘密后不能以明显大于1/2的概率正确猜测共享秘密来自哪个ID,就称方案具有语义安全性.关于秘密共享方案语义安全性证明的详细论述,参见文献[16].假设多项式时间算法A对秘密共享方案进行攻击,其过程如下:初始化阶段:攻击者宣布被挑战的参与者集合P.系统运行系统初始化过程,根据安全参数k生成系统参数para并公布.攻击者发出影子秘密询问请求,得到P中子集P/的影子秘密.集合P/满足P0P/=t-1 (t为门限值).询问阶段:攻击者提供2个身份标识I D,I D1提交给秘密分发者.后者随机掷硬币得到b∀{0,1},然后运行秘密分发算法,将ID b对应的IBE私钥D I Db在集合P 成员中分发.猜测阶段:重复前一阶段过程.攻击者通过猜测第t个参与者的影子秘密,重构D IDb.输出对b的猜测b/,攻击算法A的优势定义为adv IND CC AA =Pr[b/=b]-12(3)下面通过一个定理证明对本方案的攻击具有攻破IBE公钥算法具有等同的困难性.定理3 若攻击者能攻破本方案,则存在一个多项式时间模拟算法能以不可忽略的优势攻破IBE公钥算法.证明 假设存在一个多项式时间攻击者能够以优势!攻破本方案,构造一个模拟算法Simulator,使其能模拟本方案,并能对IBE公钥算法进行攻击.运行初始化过程,根据安全参数k选择大素数p(k bit),选择椭圆曲线E/GF(p),生成E/GF(p)上的q(q>2k)阶子群(G,+)和生成元P,双线性映射^e:G #G| GF(P2)*.单向散列函数H1,H2,H3,选择主密钥s∀Z*q,系统公钥P pub=sP,返回系统参数para=(G,q,P,^e,H1,H2,H3,P pub).算法Simulator中Extract函数掷硬币得到∀∀{0, 1}.若∀=0,根据攻击者询问的ID,生成对应的私钥D ID =sQ ID.Simulator选择随机多项式F(x),计算影子秘密S i=F(i),y i=^e(S i,P),1,i,n;计算验证密钥U j=^e (a j,P),1,j,t-1,U0=^e(D ID,P).若∀=1,随机生成与正确私钥等长的信息,在授权子集中分发.询问阶段:攻击者提交挑战信息ID,ID1给模拟算法Simula tor.Si mula tor随机掷硬币得到#∀{0,1}.选择P 中子集P/,满足生成私钥,并将P/中成员应得的影子秘密发送给攻击者,公开验证信息.猜测阶段:模拟算法重复前一阶段过程.攻击者猜测#的值,记为#/.当#/=#时,表示攻击者猜中了正确的结果,模拟算法调用Extract函数,输出对应ID的正确的IBE私钥并分发,此时Simulator输出∀/=0.相反,若#/%#,模拟算法输出并分发与正确IBE私钥等长的随机信息,此时Simulator输出∀/=1.考虑以下两种情况:(1)∀=0时,模拟算法分发了正确的IBE私钥,成功的攻击者能恢复正确的共享秘密,表明攻击者攻破了本方案.根据假设条件,这种情况发生的概率为!.于是有:Pr[#/=#|∀=0]=12+!(4)在成功的情况下,∀/=0.事件#/=#等价于事件∀/=∀,由公式(4)可得在∀=0时模拟算法成功攻破IBE 公钥算法的概率为:Pr[∀/=0]=Pr[∀/=∀|∀=0]=12+!(5)(2)∀=1时,模拟算法分发的影子秘密中不包括IBE私钥相关的任何信息,因此攻击者无论如何猜测,都不能得到共享秘密的任何信息.有:Pr[#/%#|∀=1]=Pr[#/=#|∀=1]=12(6)在此情况下,Simulator输出∀/=1,因此事件#/%#的等价事件为∀/=∀.公式(6)可得在∀=1时模拟算法成功攻破IBE算法的概率为:Pr[∀/=1]=Pr[∀/=∀|∀=1]=Pr[#/%#|∀=1]=12(7)结合公式(5)和(7),有:Pr[∀/=∀]=Pr[∀/=0]1Pr[∀=0]+Pr[∀/=1]1Pr[∀=1]=(12+!)112+12112=!2+12故Si mulator成功攻破IBE公钥算法的优势为:advAIND-C C A=Pr[∀/=∀]-12=!2.证毕.4!3 欺骗检测秘密分发者欺骗发生在秘密分发阶段,不诚实的秘密分发者通过为某个参与者分配虚假影子秘密,使该参与者所持的影子秘密无法进行秘密重构.在本方案中,参与者Pi收到影子秘密后,可以通过公开的验证信息PROOFi,y i,U j(1,i,n,0,j,t-1)验证影子秘密的正确性.由于验证密钥是公开的,并且同秘密多项式系数相关联,秘密分发者不能在不影响其他参与者影子秘密验证的情况下对特定的参与者进行欺骗.2062 电 子 学 报2010年在秘密重构阶段,任何参与者都可以通过公开的验证信息判断收到的影子秘密的正确性.验证过程基于双线性映射的零知识证明协议,参与者并不知道秘密多项式的相关信息,无法伪造信息通过验证.因此可以有效检测参与者欺骗行为.综上所述,方案满足前述的可验证秘密共享方案必须满足的两个条件.4!4 抗攻击分析(1)内部攻击内部攻击主要来自于秘密分发者和参与者之间的恶意欺骗.对于参与者来说,发送错误的影子秘密可以在不影响自己秘密重构的前提下防止其他参与者重构共享秘密.在(t,t)密钥共享体制下,存在一种情况使得除恶意参与者之外的其他所有参与者都得不到共享的秘密信息.本文方案的验证机制可有效的对发送方的影子秘密进行正确性验证,从而能阻止内部攻击的发生.此外,由于秘密共享方案具有一定的鲁棒性,在(n, t)秘密共享体制下,即使有恶意参与者存在的情况下,任何包括t个通过影子秘密正确验证的子集都能恢复共享秘密.(2)外部攻击若攻击者A不属于参与者集合P,即A为外部攻击者.A能获取广播信道上传输的所有公开信息,包括系统参数para,验证参数等.公开信息中Uj是秘密多项式系数经过双线性映射计算后的数值.根据双线性映射的性质,攻击者通过U j推测秘密多项式系数面临CD H难解问题的复杂度.同理,攻击者通过y i也无法得到关于影子秘密的任何信息.外部攻击者的另一攻击方法是通过各种手段攻破P中参与者,获得影子秘密等信息.若攻击者获得了少于t个正确的影子秘密企图重构共享秘密,其难度相当于攻破Shamir秘密共享方案.若攻击者获得了t-1个正确的影子秘密企图猜测最后一个影子秘密的值恢复共享秘密,相当于在GF(q)中进行随机猜测,其成功概率仅为1/q.4!5 性能分析与对比(1)计算性能方案主要由共享秘密的分发、影子秘密验证和共享秘密恢复三个协议组成.其中共享秘密的分发和恢复使用基于IBE的门限算法,影子秘密验证使用基于双线性对的零知识证明算法.从计算复杂度方面分析,计算量主要集中在双线性对^e的计算拉格朗日插值等方面(表1).需要指出的是,秘密分发过程包含了分发者对所有影子秘密证明参数的计算,从而带来了一定的计算开销,考虑到实际应用中秘密分发节点通常具有较多的系统资源,因此这些开销不会造成系统瓶颈.表1 方案计算量操作秘密分发份额验证秘密重构^e运算3n+t2tHash运算210Lagrange插值001模指数运算0t+1t-1注:n为节点数量,t为门限值.表1显示,方案的计算量与系统规模有关.设系统中节点数量为n,门限值为t.目前求解双线性映射的一种可行算法是Boneh Franklin提出的基于有限域内超奇异椭圆曲线的算法[17],其计算复杂度为O(log2q).目前普遍使用的快速求幂方法求解模指数运算的计算复杂度为O(log2n).相对于^e运算和模指数运算,拉格朗日插值多项式的运算具有更高的计算复杂度,目前已知的构造经过n个点的插值多项式需要O(n lg2n)次乘法运算,而目前拉格朗日插值算法的复杂度为O(n log22n),插值的计算开销与插值多项式的次数有关.(2)通信量方案通信主要包括广播和单播.众所周知,广播通信是最有效、最节省能量的通信方式.我们方案的各个阶段较多的使用了广播通信,如公布公共参数和验证信息以及系统同步等.相对于广播通信,方案中只有在分发和交换影子秘密时使用安全信道的点对点单播,通信数据量较小.(3)与现有方案的比较与分析下面就秘密共享各阶段的运算量、通信量等方面将本方案与已有方案进行对比分析(表2).比较的标准为复杂运算的调用次数,因为这些运算是方案计算复杂度的主要来源.我们比较的运算包括:双线性对运算(E)、椭圆曲线标量乘运算(M)、模指数运算(S)和拉格朗日插值运算(L),其它运算由于运算量较小而忽略不计.表2 与已有方案的对比分析方案秘密分发阶段影子秘密验证阶段秘密重构阶段通信量验证算法基础本文方案(3n+t)E2E+(t+1)StE+(t-1)S+1L(3n+t)|q|CDH Ti an Peng方案[6](4n+t)M(t+1)E+tS2E+3M+1L(3n+t+1)|q|ECC Yu Kong方案[8](4n+2t+1)S(2n+t+2)S2nS+1L(5n+2)|q|D LPang Li方案[11]>6nM nM tM+1L(3n+1)|q|ECC Dehkordi Mas hhadi方案[13]3nS tS(n-t)S+1L(3n+t+1)|q|D L通过对比可以看出,方案[8,13]由于使用离散对数难题实现影子秘密的验证,引入了较多的模指数运算,其2063第 9 期李大伟:一种基于身份加密的可验证秘密共享方案计算复杂度比使用椭圆曲线(ECC)和CDH 的方案高.而方案[11]在秘密分发阶段生成了一个过n +t 个点的秘密多项式,需要额外付出O ((n +t )lg 2(n +t))的计算量.显然,所提方案在计算量方面具有优势.通信量方面,所提方案主要使用广播信道和非交互式验证,可以用较少通信量实现可验证秘密共享.5 仿真实验为验证方案在实际场景中的性能,我们使用MSVC6.0实现并部署了所提方案.仿真环境是实验室局域网中的计算机集群,节点计算机配置Intel 酷睿2.0GHz CPU,512M DDRII 内存,Windows XP(sp3)操作系统.所有数据均为10次实验结果的平均值.图1显示了秘密分发过程执行时间随网络规模变化呈线性关系.图2为不同门限值下秘密分发过程的计算性能.可以看出,计算时间随网络规模变大而增大,而门限值变化对秘密分发执行时间影响不大.图3、图4显示了影子秘密验证过程的计算性能.结果显示,当系统门限值增大时,验证执行的时间增加,这是因为t 增大时秘密多项式F(x )的阶增加,增大了验证信息处理的复杂度.而验证耗时受网络规模的影响较小,因而方案具有良好的可扩展性.方案中秘密重构过程的计算性能如图5、图6所示.可以看出,秘密重构过程计算时间随网络规模变化不大,但受t 值的影响较为明显.这是因为拉格朗日插值的计算开销与插值多项式的次数相关,实验结果与前述理论分析一致.从绝对量上看,验证和重构所需要的运算量远小于秘密分发需要的计算量,更适合服务器和客户机同时存在的计算环境.图7、图8显示了方案整体的计算性能.从总体上看,所提方案计算性能与网络规模呈斜率较小的线性增长关系,但受t 值的影响较小,因而具有很好的可扩展性.6 结论可验证秘密共享方案具有防欺骗攻击的性质,被广泛应用于密钥分配、电子选举、电子现金等应用环境中.本文基于IBE 公钥算法,提出了一个可验证秘密共享方案.我们使用双线性运算改进了经典的Chaum 和Pederse n 非交互零知识证明算法,提高了方案中影子秘密验证的有效性.通过对方案安全性和可用性的分析显示,所提方案满足可验证秘密共享方案应满足的特2064 电 子 学 报2010年性,同时具有随机预言模型下可证明语义安全性,能抵抗来自内外攻击者的各种攻击.与已有算法的对比显示,所提算法具有较优的时间复杂度和通信开销.参考文献:[1]Chor B,Goldwasser S,Micali S,et al.Verifiable secret sharingand achiev i ng simultaneity in the presence of faults[A].Pro ceedings of26IEEE Symposiu ms on Foundations of Computer Science[C].Washington:IEEE Computer Society,1985.383-395.[2]Stadler M.Publicly verifiable secret s haring[A].Advances inCrypto logy EURO CRYPT296[C].Berlin:Springer Verlag, 1996.32-46.[3]Fujisaki E,Okamoto T.A practical and provably secure schemefor publicly verifiable secret s haring and its applications[A].Advances in Cryptology EUROCRYPT298[C].Berlin: Springer Verlag,1998.32-46.[4]Schoenmakers B.A simple publicly verifiable s ecret sharingscheme and its application to electronic voti ng[A].Advances in Crypto logy Crypto299Proceedings[C].Berlin:Springer V erlag,1999.148-164.[5]Ho u Z F,Han J H,Hu D H.A new authentication schemebas ed on verifiable secret sharing[A].2008International Con ference on Compu ter Science and Software Engineering[C].Wuhan,China:IEEE Computer So ciety,2008.1028-1030. [6]T ian Y L,Peng C G,Z hang R P,et al.A practical publicly verifiable secret s haring scheme based on bilinear pairi ng[A].2nd International Conference on Anti counterfei ting,Security and I dentification,2008(A SID2008)[C].G uiyang,China:IEEE, 2008.71-75.[7]Liu F,Gao D M.On the design of divisible PVSS based electronic cash schemes[A].IEEE International Symposium on Knowledge Acquisition and M odeling Workshop(KAM Work shop2008)[C].Wuhan China:IEEE,2008.112-115.[8]Y u J,Kong F Y,Hao R.Publicly verifiable secret sharing w i thenrollment ability[A].8th ACIS International Conference on Software Engineeri ng,Artificial Intelligence,Networki ng,and Parallel/Distribu ted Computing,2007(SNPD2007)[C].Qing dao,China:IEEE Computer Society,2007.194-199.[9]Wang F,Gu L,Z heng S,et al.A novel verifiable dynamic multi policy secret sharing scheme[A].The12th International Conference on Advanced Communication Techno logy (ICACT2010)[C].Paris France:IEEE,2010.1474-1479. [10]Tartary C,Pieprzyk J,Wang H X.V erifiable multi secret sharing schemes for multiple threshold access structures[A].Infor mation Security and Cryptology2007[C].Berlin:Pringer Ver lag Heidelberg,2008.167-181.[11]Pang L J,Li H X,Y ao Y,et al.A verifiable(t,n)multiples ecret s haring scheme and its analyses[A].2008InternationalSymposiu m on Electronic Commerce and Secu rity(ISECS2008)[C].Guangzho u,China:IEEE Computer Society,2008.22-26.[12]Dehkordi M H,Mashhadi S.An efficient threshold verifiablemulti secret sharing[J].Computer Standards&Interfaces,2008,30(3):187-190.[13]Dehkordi M H,M ashhadi S.New efficient and practical verifiable multi secret sharing schemes[J].Information Sciences:anInternational Journal,2008,178(9):2262-2274.[14]杨庚,王江涛,程宏兵,容淳铭.基于身份加密的无线传感器网络密钥分配方法[J].电子学报,2007,35(1):180 -184.Yang G,Wang J T,Cheng H B,Rong C M.A key establis hscheme for wsn bas ed on ibe and diffie hellman algorithms [J].A cta Electronica Sinia,2007,35(1):180-184.(in Chi nes e)[15]Chaum D,Pedersen T P.Wallet databases w ith observers[A].Advances i n Cryptolo gy CRY PTO292[C].Berlin:SpringerVerlag,1992.89-105.[16]李慧贤,庞辽军.基于双线性变换的可证明安全的秘密共享方案[J].通信学报,2008,29(10):45-50.Li H X,Pang L J.Provably secure secret sharing schemebased on bilinear maps[J].Journal on Communications,2008,29(10):45-50(in Chinese).[17]Boneh D,Franklin M.Identity based encryption from the weilpairing[A].Advances in Cryptology,CRYPTO2001,L ectureNotes in Computer Science[C].Berlin:Springer V erlag,2001.2139.213-229.作者简介:李大伟 男,1981年生于山东潍坊,南京邮电大学计算机学院博士研究生.研究方向为计算机通信网与安全、密钥管理.E mail:lidw1981@杨 庚 男,1961年生于江苏建湖,IEEECE和中国计算机学会会员.南京邮电大学教授、博士生导师.目前研究方向为计算机通信与网络、网络安全、分布与并行计算等.E mail:yangg@朱 莉 女,1984年生于河南商丘,南京邮电大学计算机学院硕士研究生.研究方向为计算机应用技术,信息安全.E mail:zhuli.1984@2065第 9 期李大伟:一种基于身份加密的可验证秘密共享方案。

基于ITE 策略的物联网终端设备间的身份认证方案**基金项目：上海市信息安全管理技术研究重点实验室开放课题(AGK2015003)李秋月J 赵艳J 李世明1 #3，於家伟J 高胜花1(1.哈尔滨师范大学计算机科学与信息工程学院，黑龙江哈尔滨150025 ；2.洛阳师范学院物理与电子信息学院，河南洛阳471022 ;3.上海市信息安全综合管理技术研究重点实验室，上海200240)摘要：随着物联网终端设备间直接通信的需求不断增大，为解决物联网终端设备间安全通信和隐私保护问题，终端设 备间认证技术成为人们关注的一个热点，业界诸多学者已经对此展开相关研究并提出多种物联网终端设备间的认证机 制。

但是，上述机制在安全强度及抵抗攻击效果方面尚存在不足。

为解决此问题，该文提出一种基于IBE 策略的物联网 终端设备身份认证方案，实现终端设备之间匿名双向认证，同时使用椭圆曲线加密算法保证认证过程中信息传输的安全性。

通过安全性理论分析和性能分析表明，该方案可很好地抵抗重放攻击、中间人攻击和篡改攻击等已知攻击且具有较 低的计算开销。

关键词：物联网安全；物联网终端设备认证；IBE 策略；双向认证中图分类号:TP309. 1文献标识码:ADOI ： 10. 19358/j.issn. 2096-5133.2020.03.002引用格式：李秋月，李世明，於家伟，等.基于IBE 策略的物联网终端设备间的身份认证方案[J ].信息技术与网络安全,2020，39(3) ：6-9,22.HE-based authentication scheme for Internet of Things terminal devicesLs QiuyuV ，Zhao Yan 2，Li Shiming 1，3，Yu JiaweO ，Gar Shenghua 1(1. CoOege of Computer Science and Information Engineering Harbin Normal University , Harbin 150025，China ；2. School of Physica and E lectronic Information ， Luoyang Normal University , Luoyang 471022， China ；3. Shanghai Key Laboratory of Information Security Management Technology Reseerch ，Shanghai 200240，China )Abstract : Along with qrowing demand of direet ccmmuniccotion between the Internet of Things terminal equipments , in order to solvethe Internet of Things secure communication between terminal equipment and privacy problem ，authentication techniques between termi ­nal equipmente beccme a hot spot of peeple , many scholars have a related industa reseerch and put fosard a variete of IoT authenticc-tion mechanism betteen the terminat equipment. However, the above mechanism Co still insufficient in terms of securite intensite and an-ti-5ttack effect. In order te solve this problem ，this paper proposes an authentication scheme of Internet of Things terminat deviccs basedon HE strateey ,which reelizes anonymous two-way authentication betteen terminat devices ，and uses elliptic curve encryption algorithm to ensure the securite of information transmission during authentication. The analysis of securite theoo and performancc shows that thescheme can resist replay attack ，man-in-the-middle attack ，tamper attack and other known attacks.Key words : Internet of Things securite ； IoT trust II ； identita-based encryption strategy ； tfo-way authentication0引言互联网的开放性有利于物联网设备的接入，却也给物联网设备带来了不可预知的风险，攻击者可 能通过身份假冒等手段达到攻击或破坏的目的，从而威胁或破坏物联网系统的安全［1 为此，国内外学者提出了许多物联网设备的接入认证方案%", 但随着物联网终端设备直接通信的需求日益增长，终端设备间的认证技术引起了人们的关注并对此做出了相关研究，如：CHEN D 等人提出一种基于声 学指纹的轻量级无线设备认证协议［6& ； SOWJANYA K 等人为克服LI X 等人的方案%7&存在的漏洞提出了一种基于ECC 端到端认证协议%8& ； SHIVRAJ VL等人提出了基于Lamport OTP 的物联网端到端身份验证协议［9］;WILSON P提出了一种基于非对称密码的LT设备间相互认证协议，并提供了共享的秘密会话密钥%10］。

基于IBE Service的新型文件加密系统施健;陈铁明;茆俊康【摘要】Identity-based public key encryption (short for IBE) system can directly take user's ID as her public key, without need of public key certificate. Comparing to the traditional PKI, IBE is easy to develop and deploy with lower cost. It is specially suited for the enterprises with centralized key management supported. In this paper, a web service-based IBE key management service system, IBE Service, is firstly proposed, which facilitates users of different security domains to manage IBE keys and provides a user secure policy-centered key service. Based on IBE service, a general file encryption client application is then developed. It utilizes SOAP protocol to implement XML-based IBE key data communications. The proposed new file encryption system can map the receiver's ID as her public key, and the receiver can automatically do decryption by achieving her private key from IBE service. It is more secure, efficient, as well as with flexible ID secure policy supported.%基于身份的公钥加密(Identity-based Encryption,简称IBE)体制采用用户ID作为公钥,无需公钥证书操作,较传统的PKI 体系具有开发部署简单、应用成本低等优势,尤其适用于密钥集中式管理的企业级应用.设计了一个基于Web Service的IBE密钥管理服务系统IBE Service,实现各个网络安全域内的用户密钥管理,提供以用户安全策略为中心的密钥服务；基于IBE Service开发了一个面向通用文件加密的客户端应用,主要通过SOAP服务接口实现基于XML的IBE密钥数据交互.新型的文件加密系统可将接收方ID直接映射为公钥,接收方自动向IBE Service获取私钥完成文件解密,具有安全、便捷等优点,且支持灵活的ID安全策略管理.【期刊名称】《计算机系统应用》【年(卷),期】2012(021)006【总页数】4页(P16-19)【关键词】文件加密;IBE;Web Service;SOAP;XML【作者】施健;陈铁明;茆俊康【作者单位】浙江工业大学计算机科学与技术学院,杭州310023;浙江工业大学计算机科学与技术学院,杭州310023;浙江工业大学计算机科学与技术学院,杭州310023【正文语种】中文1 引言对称密码系统是一种比较传统的加密方式，其加密运算、解密运算使用的是相同的密钥，信息的发送者和信息的接收者在进行信息的传输与处理时，必须共同持有该密码。