赵 一，杨 波

（陕西师范大学计算机科学学院，西安710119）

一种保护接收者隐私的IBBE方案

赵 一，杨 波

（陕西师范大学计算机科学学院，西安710119）

广播加密在现实中有广泛应用，但对于接收者隐私的保护方案仍然较少，且现存的能够保护隐私的方案多数不能抵御合法接收者的替换攻击。针对以上问题，结合密钥交换和秘密共享，提出一种新的基于身份的广播加密方案。接收者在解密时需要密文的哈希值作为解密密钥的一部分，使得密文不可修改，不仅能够保护接收者的隐私，而且能够成功抵御合法接收者集合内部的攻击，即任一合法接收者不能知道另外的接收者身份。分析结果表明，与同类方案相比，该方案在安全性上具有明显优势，且能保证效率性能。

隐私保护；基于身份的广播加密；密钥交换；多项式秘密共享；替换攻击

1 概述

自文献［1］提出广播加密的概念之后，作为一种高效的加密通信方式，广播加密得到了迅速发展。在广播加密系统中，一个广播密文可以让多个合法接收者接收同一条消息，而不需要对每个接收者单独发送密文，同时非消息接收者不能解密出消息。对于较长消息的广播加密，考虑到公钥加密的效率较低，经常使用一个对称密钥方案来加密密文，而用公钥基础的广播加密方案来加密对称密钥，因此广播加密方案可以被转化为密钥封装机制和多接收者的加密方案。

在很长一段时间之内，对于广播加密的研究集中在提升效率和降低密钥长度上。文献［2］提出了一个有较短密文长度和密钥长度的公钥方案，文献［3］在基于身份的环境下，提出了常数级密文和密钥长度的方案。然而，在很多场景下，接收者的身份与消息内容同等重要，比如医疗信息的传播、学校里成绩的发布等，保护接收者身份的隐私也是广播加密中需要关注和研究的重要内容。文献［4］提出了公钥的保护隐私的广播加密的一般构造方法。文献［5］利用拉格朗日插值技术提出了一个匿名的多接收者加密方案，文献［6］指出文献［5］是不安全的并提出一个改进方案，文献［7］发现文献［6］的改进方案仍然不安全，提出了一个不利用插值的方案，但是效率非常低。其实方案［5］的主要问题在于，让接收者用公开信息得到对应的密钥，使得合法接收者能够得到其他接收者的信息。文献［8］提出了一个安全的基于身份的保护隐私的广播加密方案，其结构类似于文献［4］，并使用一个密钥协商协议产生的秘密值作为索引加速解密。在国内，文献［9-10］分别提出了一个匿名的多接收者加密方案和匿名的广播加密方案。

然而，文献［7-10］虽然实现了密文本身的安全和匿名，但是却无法抵御文献［4］中提出的合法接收者的替换攻击。即合法接收者之一，解密出对称密钥之后，用同一个密钥加密另一个消息，替换原密文中的对应部分，然后发送出去，这样原密文的接收者仍能收到改变后的密文并看到内容，该接收者可以通过观察其他人对他篡改密文的反应而知道谁是别的合法接收者。因此，此类方案的密文构造中，必须包换密文的相关签名等信息以保证密文不可被修改，上述基于身份的方案均无法抵御此类攻击。

本文通过分析上述方案的优缺点，结合密钥交换协议和群上的多项式插值方法，提出一个能够抵御替换攻击的基于身份的保护隐私的广播加密方案，并与传统方案进行了对比。

2 背景知识

2.1 双线性映射

设G1为阶数q的加法循环群，G2为阶数q的乘法循环群，是整数乘法循环群，则称满足以下性质的映射e：G1×G1→G2为双线性映射：

（1）双线性：对任意g1，g2∈G1，a，，有e（ag1，bg2）=e（g1，g2）ab。

（2）非退化性：对任意g1，g2∈G1，有e（g1，g2）≠1。

（3）可计算性：对任意g1，g2∈G1，存在有效的算法计算e（g1，g2）。

2.2 匿名的密钥交换协议

文献［11］提出一个基于身份的使用双线性对的密钥交换协议，可以简单地实现用户之间协商共享秘密值。

在一个如上节的双线性系统中，设主密钥为s的PKG为每个IDi生成一个对应的私钥di= sH（IDi），其中，H：｛0，1｝*→G1是密码学hash函数。用户A和用户B以身份IDA和IDB分别向PKG进行私钥提取，得到dA=sH（IDA）与dB=sH（IDB），密钥交换协议如下：

（1）A选取一个随机数r，计算PA=rH（IDA），然后把PA发送给B。

（2）A计算协商密钥KAB=e（dA，H（IDB））r，而B计算协商密钥为KAB=e（PA，dB），可以看到：

此协议在BDH假设下以随机预言机模型证明是安全的。

2.3 群上的多项式秘密共享

文献［12］使用了一个群上多项式插值构造的秘密共享来构造门限签名方案，在本文的方案中将反向应用这一工具。下面描述这个方案：

（1）秘密分发阶段：

在q阶循环群G中，设S0∈G*是要分享的秘密，t和n满足1≤t≤n＜q，随机选取F1，F2，…，Ft-1∈G，然后定义群上的类多项式函数F：N∪｛0｝→G，令算秘密值Si=F（i），然后将Si发给第i个成员。

（2）秘密重构阶段：

设Φ⊃｛1，2，…，n｝，|Φ|≥t，则由Si重构函数其中，这样接收者可以通过计算F（0）得到秘密S0。

2.4 基于身份的广播加密

一个基于身份的广播加密方案由以下4个部分组成：

（1）建立：输入安全参数，输出主密钥交给PKG。

（2）提取：输入主密钥和一个用户的ID，输出该用户的私钥。

（3）从用户中选择接收者身份集合S=｛ID1，ID2，…，IDn｝和要发送的消息M，输出（Hdr，K），用K作为对称加密方案的密钥加密M，输出CM，广播（Hdr，S，CM）。

（4）解密：输入S和一个接收者的私钥，以及Hdr，解密出K并从CM中解密出明文。

3 方案描述

本文给出了一个保护接受者隐私的基于身份的广播加密的一般构造方法，实际应用时可以根据需要选择不同的子方案以达到不同的要求。

给定一个语义安全的群上的IBE方案（Gen，Ext，Enc，Dec），一个不可区分加密的对称加密方案（D，E），以及hash函数H1：｛0，1｝*→G1，H2：G2→方案构造如下：

（1）建立：输入安全参数λ，构造一个双线性系统（q，g，G1，G2，e（·，·）），其中g是随机选取的生成元，再选择s作为主密钥发送给PKG，输出（H1，H2，H3，q，g，G1，G2，e（·，·））作为公开参数，运行IBE的算法Gen（λ）。

（2）提取：输入主密钥s和用户身份IDi，输出用户私钥di=sH1（IDi），为简单起见，这里设IBE的Eχt算法与此相同，不同的情况下一个用户2个私钥仍然是可以的。

（3）加密：身份为ID0的发送者随机生成一个用于对称加密的密钥K，选择接收者集合S=（ID1，ID2，…，IDn）和要发送的消息M，进行如下步骤：

1）使用对称加密方案加密M，输出CM；

3）计算发送者和每个接收者的秘密协商值si= H2（e（ad0，H1（IDi）））+H3（CM）；

4）对每个接收者IDi运行IBE对K加密，输出ci=Enci（K）；

7）输出密文C=（CM，Hdr），其中，Hdr=

（4）解密：第i个接收者收到密文后，进行如下计算：

1）计算秘密值si=H2（e（P，di））+H3（CM）；

2）将si带入F（χ），得到ci=F（si）；

3）运行Dec（di，ci），如果输出⊥则停止，否则得到K，从CM中恢复出消息M。

4 安全性分析

在匿名环境下，基于身份的加密方案的CPA/ CCA证明仍然是个公开问题。文献［7，10］在证明安全性时都假定知道接收者的身份，即在非匿名条件下完成的证明。文献［8］在匿名条件下证明了加密的不可区分性，本文也采取这个方法。

4.1 语义安全性

4.1.1 定义

机密性的定义由以下游戏给出：

游戏A：

建立：敌手从用户集合中选取一个待攻击的子集S*，挑战者运行建立算法，把公开参数（q，g，G1，G2，e（·，·），H1，H2，H3）发送给敌手。敌手发送要加密的消息M给挑战者。

第1阶段询问：敌手可以自适应地对ID∉S*发起以下2种询问，私钥提取询问和hash询问。

（1）hash询问：对Hi，i=1，2，3的询问由表来记录，表中元素为当敌手对IDi发起hash询问时，如果中有IDi的记录，就回答hi，否则检查IDi是否在hi中，若不在随机选择一个回复并将填入表中。

（2）提取询问：当敌手对IDi发起私钥提取询问时，若表中已有IDi对应的私钥，就回复表中的值，否则，运行提取算法计算私钥并回复，并将（IDi，hi，dIDi）填入表中。

挑战阶段：挑战者运行加密算法，得到（Hdr，K），随机选取比特b∈｛0，1｝，令Kb=K，再随机选择一个K1-b，然后将（Hdr，K0，K1）发给敌手。

第2阶段询问：如第1阶段一样，继续发起询问。

猜测：敌手输出对b的猜测Hdr=｛Pb，｛Fl｝b｝。

如果Hdr=｛Pb，｛Fl｝b｝，称敌手赢得了游戏。adν=|Pro［b=b′］-1/2|称作敌手赢得游戏的优势。

如果没有多项式时间的敌手能以不可忽略的优势赢得上述游戏，则称该方案是满足机密性的。

4.1.2 定义证明

以上过程模拟了敌手的真实交互，敌手收到挑战密文Hdr=｛Pb，｛Fl｝b｝，由的随机性，可知P=aH1（ID0）是均匀分布的，同理si=H2（e（ad0，H1（IDi）））+H3（CM）也是随机均匀分布的，由此可得｛Fl｝b也是均匀分布的，因此对于敌手而言并不能区分｛Fl｝0和｛Fl｝1，敌手猜出b的概率为1/2，因此无论参数选择如何，对任意计算能力的敌手而言，都不能以不可忽略的优势赢得游戏，故方案是满足机密性的。

4.2 接收者的隐私保护性

由于本文方案构造的复杂性，仅在单接收者的情况下证明不同身份加密的不可区分性，能区分单个接收者，也就能区分多个接收者。

4.2.1 定义

接收者的隐私保护性由如下游戏定义：

建立：挑战者建立系统，公布公开参数（q，g，G1，G2，e（·，·），H1，H2，H3），敌手从用户集合中选取一个待攻击的子集S*，并选择消息M和对称密钥K发送给挑战者。

询问：同机密性的询问阶段。

挑战：敌手从S*中选择2个身份ID0和ID1发送给挑战者，挑战者选择一个发送身份IDs并计算Q=H1（IDs），然后随机选择和比特b∈｛0， 1｝，以IDb为接收者执行加密算法，输出Hdrb=｛P，其中，

猜测：敌手输出对b的猜测b∈｛0，1｝，如果b′=b，称敌手赢得了游戏。adν=|Pro［b=b′］-1/2|称作敌手赢得游戏的优势。

4.2.2 定义证明

从上面的证明可以看到，该游戏包括了合法接收者的情况，假定敌手知道消息和对称密钥的情况下不能区分密文，从而无法获知其他接收者的身份。

5 效率性能分析

5.1 通信带宽与计算效率

本文的方案不需要广播公钥，在私钥长度和密文长度上都和文献［8］一样短，比之前的方案所占资源都明显降低，并且实现了对接收者隐私的保护，能抵御替换攻击，比文献［8］的安全性更强。与之前经典方案的对比如表1所示。其中，n为接收者的数目；m为中元素长度；g为G1中元素长度；h为 G2中元素长度；i为用户ID的长度。

表1 基于身份的广播加密方案效率对比

在计算效率方面，文献［4，8］的方案都是直接讲每个接收者对应的密文直接列在最后的密文中，这样子方案的安全性要求就比较高，需要CCA安全并且有密钥隐藏特性的加密方案作为子方案，而本文方案利用插值法，将子方案的密文隐藏在密钥交换协议生成的秘密值之后，因此不需要子方案有很高的安全性，仅设定为语义安全就可以，密文整体的安全性建立在秘密交换协议的安全之上，相比文献［4，8］中同样也用了密钥交换协议，但是只用来做索引方便搜索密文，更加充分利用了密钥交换协议。具体的计算代价减少取决于具体的子方案选择，但是每次子方案的调用，从CCA级别的计算量下降到语义安全级别，是非常明显的。

5.2 对替换攻击的防御

在本文方案中，在计算协商的秘密值si时，需包括密文的hash值，这样若一个合法接收者替换密文，将导致其他接收者对应的秘密值发生变化，从而其他接收者无法从替换过的密文中获取到消息，合法接收者的攻击行为就不能生效，从而抵御了替换攻击。

6 结束语

在以往广播加密的应用中，接收者的身份非常容易被获取，从而形成安全隐患。近年来对接收者的隐私保护越来越受到研究人员的关注，提出了不少保护接收者隐私的方案，然而大多数方案依然不够安全。本文总结了之前方案的优缺点，提出了一个可以保护接收者隐私的基于身份的广播加密方案，不仅和已存方案一样密文本身具备安全性和隐私性，也能抵御文献［4］中提出的替换攻击，这是之前基于身份的大多数方案不具备的。另一方面，本文方案对子方案的密文实现了隐藏，因此效率提升和安全性基础的转移以及新功能的发现，是后续工作的重点。

［1］ Fiat A，Naor M.Broadcast Encryption［C］//Proceedings of CRYPTO'93.Berlin，German：Springer，1993：480-491.

［2］ Boneh D，Gentry C.Collusion Resistant Broadcast Encryption with Short Ciphertexts and Private Keys［C］// Proceedings of CRYPTO'05.Washington D.C.，USA：IEEE Press，2005：258-275.

［3］ Delerablee C.Identity-based Broadcast Encryption with Cosntant Size Ciphertexts and Private Keys［C］// Proceedings of IEEE ASIACRYPT'07.Washington D.C.，USA：IEEE Press，2005：200-215.

［4］ Barth A，Boneh D，Waters B.Privacy in Encrypted Content Distribution Using Private Broadcast Encryption［C］//Proceedings of IEEE CRYPTO'06.Berlin，Germany：Springer，2006：215-222.

［5］ Fan C，Huang L，Ho P.Anonymous Multi-receiver Identity-based Encryption［J］.IEEE Transactions on Computers，2010，59（9）：1239-1249.

［6］ W ang H，Zhang Y，Xiong H，et al.Cryptanalysis and Improvements of an Anonymous Multi-receiver Identitybased Encryption Scheme［J］.IET Information Security，2012，6（1）：20-27.

［7］ Zhang J，Xu Y.Comment on Anonymous Multi-receiver Identity-based Encryption Scheme［C］//Proceedings of the 4th International Conference on Intelligent Networking and Collaborative Systems.Washington D.C.，USA：IEEE Press，2012：473-476.

［8］ Hur J，Park C，Hw ang S O.Privacy-preserving Identitybased Broadcast Encryption［J］.Information Fusion，2012，13（1）：296-303.

［9］ 谭红杨，李红娟.具有隐私性保护的基于身份的多接收者加密方案［J］.科学技术与工程，2013，35（13）：685-690.

［10］ 杨坤伟，李顺东.一种基于身份的匿名广播加密方案［J］.计算机工程，2014，40（7）：97-101.

［11］ Kate A，Zaverucha G，Goldberg I.Pairing-based Onion Routing［C］//Proceedings of Privacy Enhancing Technologies Symposium.Washington D.C.，USA：IEEE Press，2007：95-112.

［12］ Baek J，Zheng Y.Identity-based Threshold Signature from the Bilinear Pairings［C］//Proceedings of ITCC'04. Washington D.C.，USA：IEEE Press，2004：124-128.

编辑 索书志

A Identity-based Broadcast Encry Ption Scheme for Protecting Reci Pient Private

ZHAO Y i，YANG Bo
（School of Computer Science，Shannxi Normal University，Xi'an 710119，China）

Broadcast encryption has been widely used today.But most schemes do not pay much attention to privacy protection and the ones which claim to have the property of recipient privacy actually can not resist the replace attack from legal receivers.To solve the problem above，an identity based private broadcast encryption construction combining the techniques of key agreement and secret sharing is proposed.In the new scheme，the hash value of the ciphertext is necessary to decrypt so that the ciphertext can not be tampered.Thus new scheme can protect the recipient privacy not only from outside，but also from inside.That is，any legal receiver can not learn anything about the identities of other receivers.Analysis result shows that the construction is more advantageous in security level Without increasing computation costs com pared with existing schemes.

privacy protecting；Identity-based Broadcast Encryption（IBBE）；key exchange；polynomial secret sharing；replace attack

赵 一，杨 波.一种保护接收者隐私的IBBE方案［J］.计算机工程，2015，41（9）：180-183.

英文引用格式：Zhao Yi，Yang Bo.A Identity-based Broadcast Encryption Scheme for Protecting Recipient Private［J］. Computer Engineering，2015，41（9）：180-183.

1000-3428（2015）09-0180-04

A

TP309

10.3969/j.issn.1000-3428.2015.09.033

国家自然科学基金资助项目“基于密文的安全多方计算”（61272436）。

赵 一（1985-），男，硕士，主研方向：密码学，信息安全；杨 波，教授、博士生导师。

2014-09-25

2014-10-22 E-m ail：yizhaore@hotmail.com