BGN-型类同态 IBE 方案的构造与分析

BGN-型类同态 IBE 方案的构造与分析

戴晓明;张薇;郑志恒

【摘要】基于身份的公钥密码体制（IBE）与传统的公钥密码体制不同，在 IBE 中用户公钥是与用户身份相关的可识别的一串字符，这就为加密后的数据提供了更灵活的访问控制。BGN 是2005年提出的一种类同态加密方案，该方案能对密文进行任意次加法和一次乘法运算，但是并不是一种 IBE 方案。为得到类同态的 IBE 方案，以满足网络中对身份类加密体制的需求，在 BGN 方案的基础上，基于二次剩余假设和子群判定问题构造了一种新的具有类同态性质的 IBSHE 加密方案，在随机预言机模型下证明了该方案的 CPA 安全性。%Since the identity-based public key encryption(IBE)is different from traditional public key encryption,the public key in IBE is a string of characters which is related to the identity of the user,thus it provides the encrypteddata with a more flexible access control.BGN is a homomorphic encryption scheme proposed in 2005,which is able to do arbitrary additions and one multiplication to the encrypted message, but it is not an IBE scheme still.On the basis of the BGN scheme,a new homomorphic IBSHE scheme based on quadratic residue and subgroup decisional problemis constructedto obtain a homomorphic IBE scheme which satisfies the demand of identity-based encryptionscheme in network.Also,the CPA security of the scheme is proved by random oracle model.

【期刊名称】《计算机应用与软件》

【年(卷),期】2016(033)009

【总页数】4页(P310-312,319)

【关键词】同态加密;基于身份的加密;双线性映射;二次剩余问题;子群判定问题【作者】戴晓明;张薇;郑志恒

【作者单位】武警工程大学信息安全保密重点实验室陕西西安 710086;武警工程大学信息安全保密重点实验室陕西西安 710086;武警工程大学信息安全保密重点实验室陕西西安 710086

【正文语种】中文

【中图分类】TP3

加密体制的同态性已成为新型密码体制的一个重要设计目标。具有同态性质的加密方案允许在服务器端直接对密文进行运算，用户只需对返回的密文结果解密即可，所以同态密码在保证数据安全性的同时，能显著降低数据服务的通信量及运算量。因而将同态加密与具体应用相结合，借鉴成熟的数学工具，构造满足实际应用需要的高效的新型同态加密方案，深入研究同态加密体制在具体场合的应用，并构造相关的应用协议，具有十分重要的理论和实践意义。

1995年，Benaloh[1]提出了一种支持有限次加法操作的密码体制，这是第一个以同态性为设计目标的公钥密码，随后产生的各种同态加密方案都只支持加法操作。直到2005年，Boneh等[2]提出了BGN方案，该方案可对密文做一次乘法和任意多次加法运算，是自同态加密被提出以来的首个类同态加密方案，方案被证明在密文不可区分的选择明文攻击下(Ciphertext indistinguishability under chosen plaintext attacks:IND-CPA)安全。2010年，Gentry等在格上实现了BGN方案[3]。2009年，Gentry[4]开创性地利用自举和压缩的构造方法，提出了一个基于理想格的全同态加密方案。2010年，Dijk等[5]利用Gentry的构造方法构造了整

数上的全同态加密方案DGHV，该方案使用了成熟的困难问题，所以成为第一个

被广泛认为安全的全同态方案。此后相继诞生了几个全同态加密方案[6-9]，但这

些全同态加密方案实现起来都非常复杂，效率很低，并不实用。2013年，Gentry 等人[10]基于LWE问题，利用近似特征值方法提出了一个新的全同态加密方案，

一定程度上简化了全同态加密的实现，但与实际应用还存在不小的差距。

1984年,Shamir[11]提出了基于身份的公钥密码体制，用户公钥是与用户身份相

关的可识别的一串字符，这就为加密后的数据提供了更灵活的访问控制。2001年，Cocks[12]基于二次剩余假设提出了第一个较为实用的IBE方案。随后基于身份加密方案的应用和研究广泛开展，研究人员利用椭圆曲线上的双线性对和多线性对设计出了其他的IBE方案[13-15]。2014年，Ducas等人[16]利用NTRU格上的特

殊分布提出了第一个基于格的IBE方案，并将密钥和密文大小控制在2～4 kbs，

使得该方案较为实用。

2013年,Clear等人[17]基于Cocks的IBE方案构造了一个具有加法同态性质的IBE方案(XOR-Homomorphic IBE)。由于该方案只实现了加法同态性质，所以并不能同时满足乘法同态的运算要求,很大程度上限制了IBE方案的功能。2014

年,Clear等人[18]又提出了一个自举的全同态IBFHE方案，并能扩展应用到属性

基加密(ABFHE方案)，但由于全同态的引入，不可避免的造成了计算复杂度太高。为了实现IBE方案同态性质上的改进，同时考虑到全同态加密实现上的复杂性，本文选择了效率更高的类同态加密方案。将文献[12]中的IBE方案与文献[2]中的类

同态加密方案结合，构造了一个新的具有类同态性质的IBSHE方案，分别论证了

该方案能满足对密文进行任意多次加法运算和一次乘法运算，并在随机预言机模型下证明了该方案的安全性。

1.1 同态加密

同态加密方案含有四个算法：密钥生成算法(Keygen)、加密算法(Encrypt)、解密