《完全安全的基于属性的广播加密方案.doc》由会员分享,可在线阅读,更多相关《完全安全的基于属性的广播加密方案.doc(7页珍藏版)》请在三一办公上搜索。
1、:完全安全的基于属性的广播加密方案孙瑾, 胡 予 濮(西安电子科技大学 计算机网络与信息安全教育部重点实验室,陕西 西安 ;西安理工大学 理学院数学系,陕西 西安 )摘要: 针对现有的广播加密方案效率与安全性难以兼顾的事实,利用 双系统密码技术及基于属性的密码系统,提出一个双系统密码技术下的基于属性的广播加密方案该方案建立在标准模型下,通 过 对 混合阶群双线性运算的正交性和向量属性的运用,成就了短的尺寸固定的密文,具有较高的计算效率与存 储效率该方案的安全性依赖于 个简单的静态假设,安全性证明显示该方案达到了完全安全性的高安全要求级别关键词: 双系统密码;基于属性的密码;广播加密;可证明安全
2、中图分类号:文献标识码:文章编号:(), , (, ,; , ,): , , , , : ;广播加密的概念最先是由 和 提出的,它应用于将密文发给一组指定用户的场合在广播加密系统中,其核心思想是广播者将消息加密通过广播方式发送给大量用户,其中只有拥有授权的合法用户才可以解密并获得真实信息目前,这种加密方式已成为密码学的一个新研究热点国内外学者纷纷涉猎于此, 很多具有特殊用途的广播加密方案也相继被提出但这些方案存在明显的不足,比如,基于的困难性问题 太强,仅具有选择身份()安全性或安全性依赖于随机预言机模型等随着密码学技术的不断发展,基于属性的密码()作为密码算法的新概念,近年来受到了广泛的 关
3、注它允许加密者来设定能够读取消息的用户的公开描述,可以有效地解决访问控制中难解的问题,同时提供消息的私密性和访问控制的灵活性在属性密码系统中,权威机构分配的私钥与属性集合相关,而密文收稿日期:网络出版时间:基金项目: 资助项目 ();国家自然科学基金资助项目 (,);陕西省教育厅自然科学基金资助项目 ()作者简介:孙瑾( ),女,讲师,西安电子科技大学博士研究生,:网络出版地址:西安电子科技大学学报(自然科学版)第 卷则与属性方程相关,当且仅当,属性与方程匹配时,用户才可以成功解密密文然而,现有的 系统均只满足选择安全性,安全性证明中必需的限制条件更是不切实际,而且效率不高 年,等采 用新的双
4、系统密码技术,构造了标准模型下完全安全的分级的基于身份的加密()方案,该方案的安全 性基于判定性 ()假设和判定性线性假设,不足之处是其密文长度随分级参数 呈线性 递增受到 新技术的启发,结合基于属性的密码思想,笔者构造了一个新的基于属性的广播加密方 案该方案建立在标准模型下,通过使用双系统密码技术和混合阶双线性群系统的双线性运算,使方案的密 文中只包含 个子群元素,并且其尺寸不随用户属性的增加而变化同时,该方案的安全性规约在 个简单 的静态假设下,其安全性证明显示方案具有完全安全性的高级别安全要求预备知识混合阶双线性群混合阶双线性群的概念首次使用在文献中该群是用一个群生成元 和一个以安全参数
5、 作为输 入的算法来定义的,并随后输出双线性群 的一个具体描述此处以 个不同的素数 、 和 的乘积为 阶,构建群系统 ( , ,),其中, 和 是 阶循环群,: 是一个双线性映射并满 足以下性质:()双线性性:, , ,( , )( , ) ()非退化性: ,使得(,)在 中的阶是 对于上述概念,若符号 、 和分别表示 中阶为 、 和 的子群,则当 , 且 时,(,)是 中的“个性”元素具体来说,假设 , , 表示 中的一个生成元,则有 结论 能生成群、 能生成群及 能生成群 因此对于某些值和 , ( ) 和 ( ,应满足( ,)(,这里称和的这 ) ( , ) 、 一特性为正交性复杂性假设以
6、下给出的复杂性假设均为静态假设,即不随攻击者提出的质询次数的变化而改变的假设这些假设在文献中已经证明设符号 等表示群 中 阶的子群 假设 给定一个生成元 ,构建群系统 ( , ,),定义下列分布: , 则 定 义 算 法攻 破 假 设 的 优 势 为: ,(,), ,() (,) (,) 其中注意到 可以被惟一表示成 中元素与 中元素的乘积,从而可以理解这些部分分别是“ 中 的部分”和“ 中 的部分”定义若 ()对任意多项式时间算法 是一个可忽略的关于 的函数,则称 满足假设假设 给定一个生成元 ,构建群系统 ( , ,),定义下列分布:, , , , , , (, , ,), , ,则定义算
7、法 攻破假设的优势(,) (,) 为:()定义若 ()对任意多项式时间算法 是一个可忽略的关于 的函数,则称 满足假设假设 给定一个生成元 ,构建群系统 ( , ,),定 义 下 列 分 布:, , (,) , ,则定义算法攻 , , , , , (, , , , ), ()破假设 的优势为:(,) (,) 定义若 ()对任意多项式时间算法 是一个可忽略的关于 的函数,则称 满足假设基于属性的广播加密方案的形式化定义广播加密方案由系统建立、密钥提取、加密和解密 个随机算法构成,详细表述如下系统建立:输入安全参数,最大接收者的数目及属性空间 ,输出公共参数 与主密钥私钥提取:输入主密钥 及属性集
8、合,输出相应用户的解密密钥:第 期孙 瑾等:完全安全的基于属性的广播加密方案加密:设用户属性集合为 ( , , , ),输入公共参数,消息 及接收者对应的属性描述;输出(,),其中 称为密文头部, 称为会话密钥,然后利用 加密消息 得到广播体 并将(, )发送给每一个用户解密:设用户是诚实用户,(, )是其接收到的密文,他首先利用 析出 ,然后解密 恢复明文 基于属性的广播加密方案的安全模型基于属性的广播加密的安全模型定义如下,设集合 珚表示最大接收者属性集合,其对敌手与挑战者是 公开的,二者进行如下的交互游戏:()系统建立:挑战者运行该算法得到公共参数 与主密钥,并将 发送给敌手 ()阶段:
9、敌手 适应性提出质询 , , , ,但每次质询前先确认用户是否诚实,包括私钥提取质询和解密质询私钥提取质询:设用户是要质询的对象,挑战者运行密钥提取算法获得其对应的私钥,随后发送给解密质询:询问对象为 (,)( 珚),挑战者首先得到用户的私钥,然后解密 并将结果返回 给敌手,这时 ()挑战:当敌手 决定阶段结束时, 发送给 两个等长的消息 、 和一个存储矩阵 ,并运 行加密算法得到(,) (,),然后随机选取 ,令 , 为珦 中任意元素(珦 为 中的一个子集),最后将(, ,)返回给敌手()阶段:敌手继续进行询问 , , , ,每一次询问类似于阶段 ()猜测:最后,敌手要输出一个猜测 (,)当
10、 时,宣布敌手在游戏中获胜双系统密码技术的描述在密码双系统中,密文与密钥均能呈现两种形态:标准型和半功能型半功能型的密文和密钥不在实际方案中使用,而只是用来进行安全性证明其中,一个标准密钥可以解密标准型或半功能型密文,而一个标准密文也能用标准型或半功能型密钥解密然而当一个半功能型密钥去解密一个半功能型密文时,解密算法失 效,即密钥和密文中的半功能成分会相互作用,通过另外的随机元素伪装成盲化因子双系统密码方案的安全性证明要通过一系列被证明是不可区分的交互游戏来完成其中 为安全游戏,要求参与用户的身份模 不等;是受限游戏,其与实际安全的游戏很相似,但限制更严格,即攻击不能为模 后与 挑战身份相同的
11、那些身份进行密钥质询,并且此限制将贯穿随后的游戏(设 表示攻击者提出密钥 质询的次数,且 , ,)中给攻击者的密文是半功能的,前 个密钥是半功能的,剩余密钥标准,其他 同受限游戏特殊地, 中所 有密 钥 标准但密文为 半 功能,而 中 密 文 与 所 有密钥均为半功能 要求攻击者要求消息之外的随机消息的密文是半功能的,其余同游戏 基于属性的广播加密方案文中方案是利用双系统密码技术并结合基于属性的密码构造的,其中所用到的混合阶群 的 阶 为 ,其中, 、 和 是 个不同的素数方案构造在构造方案时,子群 并没有在实际的新方案中被使用,而是置于半功能空间,也即是说当密钥和密文中包含了子群 中元素时,
12、都定义为半功能的另外由于解密过程要对密钥和密文中的分量进行双线性对运算,所以解密算法必须具备下述两个功能:()当标准密钥与半功能密文,或者半功能密钥与标准密文进行对运算时, 中元素与 和中元 素在对运算中满足正交性,从而相互抵消()当半功能密钥与半功能密文进行对运算时,会得到一个附加元素,其产生于 中元素的对运算系统建立:设 是一个 阶混合双线性群,满足 ,其中 、 和 是个不同的素数:西安电子科技大学学报(自然科学版)第 卷表示 中 阶的子群,设最大接收者数量为,对应的属性集合为 , ,其中属性 为 维向量 随机选择 及, ,则对于每个属性 ,及任选的 ,公共参数为 , ,( , ),而主密
13、钥为和 中的一个生成元 私钥生成:设用户的属性表示为, 随机选取 及, 珦 其中的 和珦 可,(、 以用 中的生成元的任意幂次模 后获得),则用户的私钥为 (, , ,) (, , 珦 , ), , , , 加密:当广播者想要发送消息 给某接收用户集合(其对应的属性集合是, ,; 并满足 (, ,)时,若用符号(向量)表示属性 对应的 维列向量置于第 列,则可构成一个 的矩阵 广播者随机选取 和向量 (, , ,)并计算密文如下:( ), ( , , ,) (,) , ,)解密:设某合法接收用户 收到的密文是有效的,并与其私钥相匹配,则 解 密 算 法 如 下:(,) (, ,) (, ,)(
14、, ,),且 (,) 正 确 性设 ( , , ,)是合法的密文,则有(, ,), ( )(, ,)(, ,) 珦 ( ) ,( , ) ) ( (,)(,),(,) (,) 从而可得 (,)有 效 性广播加密方案是建立在标准模型下,方案简单且加密算法中(,)可以预计算,不需要其他双线性对 运算,而解密算法中只需要 个双线性对运算,不含乘幂运算,因而具有较高的运算效率其次,虽然该方案 的公共参数与密钥的长度会随着用户个数的增加而变大,但密文长度均固定,只包含 个子群元素且不需要 身份标签的介入,有效节省了存储空间,降低了存储代价同时方案的安全性依赖于 个已经证明的简单的 静态假设结果显示,此方
15、案达到了完全安全性的高安全级别要求与以往方案相比,该方案无论在结构、效 率还是安全性方面,均具有更大的优势及更好的兼顾性安全性证明为了证明文中方案的安全性,首先定义两个附加的结构:半功能密钥和半功能密文它们没有在真实系统中使用,仅供证明使用半功能密文:设 是子群 的一个生成元,是一个模 随机值,半功能密文按如下方式创建:根据加密算法所产生的标准密文 首先随机选择随机元素 分别对应属性 及矩阵第 , , ,( ) 列,以及随机向量 ,然后令 ,及, 半功能密钥:半功能密钥按如下两种方式创建:根据密钥生成算法中生成的标准密钥 和 , ,定义 类型,首先随机选取, ,然后令 若令类型中 ,即定 ,
16、义为类型由上述定义可知,当半功能密钥去解密半功能密文时,盲化因子会被一个( ,) 的附加因子所掩盖,其中 (, ,)若 ,解密仍会继续这种情形下称密钥是名义上半功能的,因为它虽然含有 中的元素,但不妨碍解密的进行:第 期孙 瑾等:完全安全的基于属性的广播加密方案安全性证明建立在假设, 下,证明过程通过对一系列敌手 与挑战者 之间的游戏的综合论述来完成:第 个游戏为安全游戏,其中要求参与用户的身份模 不等 :此游戏中所有密钥标准,但所有密文均为半功能型, :设表示攻击者提出密钥质询的次数,且 , ,此游戏中给攻击者的挑战密文是半功能的,前 个密钥是类型 种半功能的,第 个密钥是类型 种半功能的,
17、剩余密钥标准,:此游戏中给攻击者的挑战密文是半功能的,前 个密钥是类型 种半功能的,剩余密钥标准特殊地, 中密文为半功能且所有密钥均是类型 种半功能的:此游戏要求攻击者要求消息之外的随机消息的密文是半功能的,而所有密钥是类型 种半功能的可用下面 个引理来证明上述游戏彼此不可区分引理攻破假设如果存在一个算法 使得 ,那么就能创建一个算法以的优势证明算法 首先接收、 、与 模拟游戏 或者 算法随机选取, ,对于每个属性 及任选的 ,公共参数为 , ,( , ),将其发送给每, 当 被要求提供用户的密钥时,由于持有,他可以为 生成标准密钥若 给 发送两个等长的消息 和 及挑战者属性集合 , ,先随机
18、选择 ,然后计算密文如下: (, ),(即暗示 等于 中的部分),以及通过选择随机向量 ( , , , )和随机值 ( ) 是属性矩阵的第 列)设定若设是中(, 的部分,则密文为半功能的且满足 , 和 注意 (, , , ), ,且模的值随机,所以这是正确的分布若 ,则密文是标准的因此,可以用 的结果区分的两种可能结果引理如果存在一个算法 使得 , ,那么就能创建一个算法 以接近 的可忽略的优势攻破假设证明给定、 、 、 、可以和 模拟游戏 , 或者 , 算法随机选取, ,对于每个属性 及任选的 ,公共参数为 , ,( , ),将其发送给 为了得到前 个 型 半 功 能 密 钥, 随 机 选
19、取 及 珦 并 设 定 ,( , , ,) (, () , 珦 , ),其 中 , , , 但 当时, 设 定( , , , , 珦 )(即暗示 等于 中 的部分),) (, , 发送给两个等长的消息 、 和一个存储矩阵 为了构造半功能密文,毫无疑问地设定 , ,通 过 随 机 选 择 的 向 量 (,)及 随 机 值 , , ,挑 战 密 文 设 置 为 ) )( ) (), 注 意( , ,( ,(, ,即暗示 , , ,所以这是符合要求的 型半功能密钥的分布如果 ,则 模拟的是游戏 , ;如果 ,且所有 的值模 非零,则 模拟的是 游戏 , 因此, 可以用 的结果区分 的两种可能结果引理
20、如果存在一个算法 使得 ,那么就能创建一个算法 以的优,势攻破假设证明算法 首先接收、 、 、 、,公共参数计密钥设定同引理,即说明该密文在中分配了值此时为了创建密钥, 随机加选一个元素 ,仿照引理 设置 (, , ,), 珦 ),于是此密钥既不是标准密钥,也不是名义半功能密钥,用它解密半功能密(, (), 文,会导致解密失败如 果 ,则模拟的是游戏 , ;如果 ,则模拟的是游戏 , 因此,可以用 :西安电子科技大学学报(自然科学版)第 卷的结果区分 的两种可能结果引理 如果存在一个算法 使得 , ,那么就能创建一个算法以的优势攻破假设证明 算法 首先接收, , , ,算法 随机选取 ,对于每
21、个属性 及任选 的 ,同时从中提取,则公共参数为 ,( , )( ,并将其 , ),发送给 当 被要求提供 型半功能密钥时,他随机选择元素 ,并计算 (, , ,)(, , , ),其中 , ,若 给发送两个等长的消息和一个存储矩阵 ,为 珦 了构造半功能的挑战密文, 首先从中提取,而后通过随机选择的向量(, , )及随机值 ( ) ( ,挑战密文设置为 , , ( ) , ()注意 , ,所以分布在子群 中,而分布在子群 中,这就暗示, 若 (,) ,则这是一个消息 的正确分布的半功能密文若 是 中的随机元素,则这是一个随机消息的半功能密文因此, 可以根据 的结果区分 的两种可能性综上所述能
22、得出下面的定理定理 如果假设, 成立,那么基于属性的广播加密方案 方案是安全的证明 如果假设, 成立,那么通过前面的引理已经证明了实际安全的游戏与游戏 是不可区分的,其中 的值理论上会被攻击者隐藏因此攻击文中的方案,攻击者会一无所得结 束 语现有的身份型广播加密方案,虽然形式上和效率上有所改进,但仍然存在一些缺陷,如密钥与密文长度随用户个数的增加而增大,基于的困难问题太强,仅达到 安全性,选择明文安全性,或建立在随 机预言机模型下考虑到上述问题,笔者借鉴了 新提出的双系统密码技术,在混合阶群双线性运算系 统下,结合基于属性的密码系统,提出了一个标准模型下的不使用身份标签的属性广播加密方案该方案
23、的 密文中只包含 个群元素,其尺寸不随用户身份的增加而变化,运算简单,具有较高的存储效率及运算效率 同时,方案的安全性规约在 个简单的静态假设下,安全性证明显示方案具有完全安全性,达到了最高级别 的安全性要求参考文献: , ,:,: , , , : : ,: , , :,: , , ,(): ,(): , , ,: , :,:(下转第 页):西安电子科技大学学报(自然科学版)第 卷 邱志平,王晓军,马智博结构疲劳寿命估计的集合理论模型固体力学学报,():, ,(): 邱志平,王晓军结构疲劳寿命的区间估计力学学报,(): ,(): , ,(): 宋宗凤,陈建军,朱增青应变能约束下多随机参数连续体结构的拓扑优化西安电子科技大学学报,(): , ,
