郝伟　杨晓元　王绪安　吴立强

摘要：

为了减轻云应用中移动设备解密的负担，利用基于身份的广播加密（IBBE）、基于身份的加密（IBE）、基于身份的条件型广播代理重加密方案，提出了多条件型非对称跨加密系统的代理重加密方案。该方案允许发送方将信息加密成IBBE密文，一次性发送给多个接收方，其中任一接收方又可以授权给代理者一个多条件型的重加密密钥，代理者利用该多条件型重加密密钥，能将符合多个条件的原始密文重加密成一个新的接收方可以解密的IBE密文。该方案实现了从IBBE加密系统到IBE加密系统的非对称代理重加密，而且代理者可以根据条件将最初的原始密文进行重加密，避免了不需要进行重加密的原始密文被代理者重加密，提高了代理者重加密的效率，同时节约了接收方获悉正确明文的时间。

关键词：

基于身份的加密；基于身份的广播加密；基于身份的条件型广播代理重加密；代理重加密

中图分类号：

TP309

文献标志码：A

Abstract：

In order to reduce the decryption burden of the mobile device in cloud application， using IdentityBased Broadcast Encryption （IBBE） scheme， IdentityBased Encryption （IBE） scheme and conditional identitybased broadcast proxy reencryption scheme， an asymmetric crosscryptosystem proxy reencryption scheme with multiple conditions was proposed. In this scheme， the sender is allowed to encrypt information into IBBE ciphertext， which can be sent to multiple recipients at a time. Anyone of the receivers can authorize a multicondition reencryption key to the proxy to reencrypt the original ciphertext which meets the conditions into the IBE ciphertext that a new receiver can decrypt. The scheme realizes asymmetric proxy reencryption from IBBE encryption system to IBE encryption system and allows the proxy to reencrypt the original ciphertext according to the conditions， which avoids the proxy to reencrypt the unnecessary original ciphertext. The scheme not only improves the reencryption efficiency of the proxy， but also saves the time of the receiver to get the correct plaintext.

英文关键词Key words：

IdentityBased Encryption （IBE）； IdentityBased Broadcast Encryption （IBBE）； conditional identitybased broadcast proxy reencryption； proxy reencryption

0引言

代理重加密（Proxy Reencryption， PRE）[1]为用户存储及分享信息提供了一种安全灵活的方法。用户可以用自己的公钥加密文件并将其存储于一个半可信的服务器中。当用户想将服务器中的加密文件转寄给他人时，他便让服务器充当一个代理者，同时授予代理者一个由用户的私钥及接收方的公钥生成的重加密密钥，代理者用该密钥将服务器中的密文转换成接收方可以用自己的私钥解密的密文。早期基于公钥基础设施（Public Key Infrastructure， PKI）的代理重加密方案存在繁琐的证书管理问题[2]，为了克服这一问题，提出了基于身份的代理重加密方案[3]。但是，基于身份的代理重加密方案只能一次给一个用户转寄信息。为了便于多个用户同时共享信息，又提出了广播代理重加密[4]、基于身份的广播代理重加密[5]。然而，这些代理重加密方案大多是以一种粗糙的方式控制原始的密文，即要么将全部原始密文进行代理重加密，要么一个原始密文也不被代理重加密。针对这一缺陷，引进了条件型代理重加密[4-10]，使得只有符合某一条件的原始密文才能被代理者重加密。

随着现代通信技术和云计算的不断进步，智能移动终端被广泛地应用于聊天、交友、办公当中。但是，移动设备的计算能力是有限的，如果要用上述代理重加密方案将存储在云端的信息转寄给移动设备，移动设备在解密时势必会力不从心。

针对这一实际问题，本文提出多条件型非对称代理重加密方案。利用现存的基于身份的广播加密 （IdentityBased Broadcast Encryption， IBBE）[11]、基于身份的条件型广播代理重加密[5]和文献[12]中的基于身份的加密（IdentityBased Encryption， IBE）方案，提出了從基于身份的广播加密到基于身份的加密的、跨加密系统的、多条件型非对称代理重加密方案（MultiConditional Asymmetric Proxy Reencryption， MCAPRE）。该方案充分结合了基于身份的广播加密、基于身份的加密和条件型代理重加密方案的优点，代理者可以将一个原始IBBE密文转换成一个IBE密文，适合于计算能力有限的移动用户共享花费较小的代价分享云端数据。同时，本文提出了该方案的安全模型，并证明它在该模型下是安全的，对方案的正确性也作了充分说明。

第一個一致性表明任意的原始MCAPRE密文可以被它指定的接收者正确解密。对于任意被重加密密钥加密的原始MCAPRE密文，第二个一致性表明如果重加密密钥是由原始MCAPRE密文指定的接收者产生的，且原始MCAPRE密文与重加密密文具有相同的条件，那么被该重加密密钥加密的原始MCAPRE密文是正确的，而且它能被指定的接收方正确解密。

1.5安全模型

该MCAPRE系统包含一个IBE方案和一个IBBE方案，而这两个原语的标准安全性定义可以分别在文献[13]和文献[11]中找到。由于引进了代理重加密，在安全性定义中要着重关注它的安全性。一般来讲，任何概率多项式时间的攻击者在不知道原始MCAPRE密文接收者的私钥及该原始密文的、重加密密文的接收者的私钥的情况下，他无法判断出密文是由两个明文中哪一个加密得到的，那么该MCAPRE方案是选择性身份安全下的选择明文攻击安全的（INDistinguishabilityselective IDentityChosen Plaintext Attack，INDsIDCPA）。

MCAPRE正式的安全性定义通过攻击者与挑战者的游戏定义。设置阶段，攻击者发布他要攻击的身份集S*及条件γ*、 β*、ω*，在初始化阶段，挑战者初始化MCAPRE方案。在挑战阶段，挑战者在给定的两个明文中随机地选择一个，然后用身份集S*和条件γ*、 β*、ω*进行IBBE加密，形成挑战密文，让攻击者判断他对哪个明文加密。在挑战阶段的前后，攻击者允许询问某些用户的私钥和重加密密钥，也就是攻击者可以与一些用户勾结。但是，攻击者符合两个限制条件：1）不能询问挑战密文的私钥；2）如果攻击者拥有某一密文的解密密钥，他不能询问可以使得挑战密文转换成该密文的重加密密钥。

3.2性能分析

表1将MCAPRE方案分别与文献[12]和文献[5]中的方案进行了比较。文献[12]的方案中公钥长度和原始密文较短，而且是跨加密系统的代理重方案，同时在生成重加密密钥过程中不需要发送方与接收方交互；但是，它是非条件型代理重加密，也就是，在代理重加密过程中，代理者会将所有的原始密文进行重加密，这不仅造成代理者作很多无用功，而且还使得接收方解密许多不需要的密文，影响解密效率。文献[5]中的方案是基于身份的广播代理重加密方案，在生成重加密密钥过程中也不需要发送方与接收方交互，而且在重加密过程中代理者进行条件型代理重加密；但是，该方案不是跨加密系统的代理重加密，而且方案的公钥长度、重加密密钥长度、重加密密文长度都偏长，同时接收方在解密过程中需要3次配对运算，解密效率较低。

通过比较可以发现，尽管MCAPRE方案的公私钥长度、原始密文、重加密密文偏长，但是，它在生成重加密密钥的过程中，不需要发送方与接收方进行交互，而且支持多条件型的、跨加密系统的代理重加密，可以将原始密文进行筛选后再进行重加密，不但提高了代理者的代理重加密效率，还提高了接收方的解密效率，更适合于计算能力一般的移动用户应用。

4结语

本文充分利用基于身份的广播加密、基于身份的加密和基于身份的广播代理重加密的优点，提出了更实用的多条件型、非对称代理重加密方案。该方案充分考虑到目前移动设备计算能力一般这个劣势，根据条件，有选择地将复杂的基于身份的IBBE密文高效地转换成相对简单的IBE密文，更加利于移动设备的解密，便于移动设备高效快捷地访问云端的信息。但是，当条件增多时，方案的原始密文长度、重加密密文长度相应地都会增大，同时接收方在解密时也会增加配对运算的次数，大家都知道但配对运算相对于指数运算比较耗时，因此为了使移动设备的解密速度更快，今后应该研究原始密文长度、重加密密文长度都不会随着条件个数的增加而线性增长的多条件型非对称代理重加密方案，而且也应该在减少接收方解密时的配对运算次数方面下功夫。

参考文献：

[1]

BLAZE M， BLEUMER G， STRAUSS M. Divertible protocols and atomic proxy cryptography [C]// Proceedings of Advances in Cryptology — European Cryptology Conference 98， LNCS 1403. Berlin： Springer， 1998： 127-144.

[2]

BOLDYREVA A， FISCHLIN M， PALACIO A， et al. A closer look at PKI： security and efficiency [C]// PKC 07： Proceedings of the 10th International Conference on Practice and Theory in PublicKey Cryptography. Berlin： Springer， 2007： 458-475.

[3]

WANG L， WANG L， MAMBO M， et al. Identitybased proxy cryptosystems with revocability and hierachical confidentialities [J]. IEICE Transactions on Fundamentals of Electronics， Communications and Computer Sciences， 2012， 95（1）： 70-80.

WANG L， WANG L， MAMBO M， et al. Identitybased proxy cryptosystems with revocability and hierachical confidentialities [C]// SORIANO M， QING S， LPEZ J. Information and Communications Security， LNCS 6476. Berlin： Springer， 2010：383-400.

[4]

CHU C K， WENG J， CHOW S S M， et al. Conditional proxy broadcast reencryption [C]// Proceedings of the 2009 Information Security and Privacy， LNCS 5594. Berlin： Springer， 2009： 327-342.

[5]

XU P， JIAO T， WU Q， et al. Conditional identitybased broadcast proxy reencryption and its application to cloud email [J]. IEEE Transactions on Computers， 2016， 65（1）： 66-79.

[6]

SHAO J， WEI G， LING Y， et al. Identitybased conditional proxy reencryption [C]// ICC 2011： Proceedings of the Institute of Electrical and Electronics Engineers of International Conference on Communications. Piscataway， NJ： IEEE， 2011： 1-5.

SHAO J， WEI G， LING Y， et al. Identitybased conditional proxy reencryption [C]// Proceedings of the 2011 IEEE International Conference on Communications. Piscataway， NJ： IEEE， 2011： 1-5.

[7]

LIANG K， LIU Z， TAN X， et al. A CCAsecure identitybased conditional proxy reencryption without random oracles [C]// ICISC 12： Proceedings of the 15th International Conference on Information Security and Cryptology， LNCS 7839. Berlin： Springer， 2013： 231-246.

[8]

LIANG K， HUANG Q， SCHLEGEL R， et al. A conditional proxy broadcast reencryption scheme supporting timedrelease [C]// ISPEC 2013： Proceedings of the International Conference on Information Security Practice and Experience， LNCS 7863. Berlin： Springer， 2013： 132-146.

[9]

LIANG K， CHU C K， TAN X， et al. Chosenciphertext secure multihop identitybased conditional proxy reencryption with constantsize ciphertext [J]. Theoretical Computer Science， 2014， 539（9）： 87-105.

[10]

LI J， ZHAO X， ZHANG Y. Certificatebased Conditional Proxy Reencryption [M]// AU M H， CARMINATI B， KOU C C J. Network and System Security， LNCS 8792. Berlin： Springer， 2014： 299-310.

[11]

DELERABLE C. Identitybased broadcast encryption with constant size ciphertexts and private keys [C]// ASIACRYPT 2007： Proceedings of the 2007 Annual International Conference on the Theory and Application of Cryptology and Information Security， LNCS 4833. Berlin： Springer， 2007： 200-215.

[12]

DENG H， WU Q， QIN B， et al. Asymmetric crosscryptosystem reencryption applicable to efficient and secure mobile access to outsourced data [C]// ASIA CCS 15： Proceedings of the 10th ACM Symposium on Information， Computer and Communications Security. New York： ACM， 2015： 393-404.

[13]

BONEH D， BOYEN X. Efficient selectiveid secure identitybased encryption without random oracles [C]// EUROCRYPT 2004： Proceedings of the 2004 European Cryptology Conference， LNCS 3027. Berlin： Springer， 2004： 223-238.