◆吕立群 杨晓元

（武警工程大学电子技术系 陕西 710086）

一种适用于多用户子集的广播加密方案

◆吕立群 杨晓元

（武警工程大学电子技术系 陕西 710086）

针对目前网络环境下用户子集数目剧增的问题，利用广播加密及群加密技术构造了一种面向多用户子集的广播加密方案。在多用户子集的环境下，新方案在标准模型下达到了选择明文安全性并具有良好的通信与计算开销，密文长度仅为常数，加密时仅需做常数次指数运算。新方案灵活安全高效，可广泛应用于云服务、付费电视等诸多领域。

广播加密；多用户子集；双线性映射

0 引言

广播加密是一种在不安全信道实现一对多保密通信的加密体制[1]。在一般的广播加密系统中，广播者对其系统内的用户广播加密后的信息，任何用户监听该广播均能获得加密后的信息，只有在授权用户集合S中的用户才能利用其私钥解密广播密文，恢复出相应的明文信息。若所有的非授权用户合谋也无法解密广播信息，则该广播加密系统具有完全抗合谋特性。目前，广播加密作为一种常用的加密手段已广泛应用于付费电视、数字版权管理、卫星通信、电视电话会议以及无线传感网络中[2]。

如图1所示，在当前云环境中，云服务提供商可根据用户订购业务或缴纳费用的不同，将云用户划分为不同的授权用户集合，不同的用户集合获取的云服务信息也不尽相同。目前云服务的多样化，云用户的多元化，用户选择的订购业务也越来越复杂多样，因此所构成的云用户集合数目也越来越多，云服务提供商作为广播者所要广播的信息也越来越多，广播中心的负担也越来越重，性能瓶颈问题也随之出现，限制了广播系统的应用。因此，传统的简单一对多的广播加密已不能满足上述应用环境，设计针对多用户子集环境下的广播加密具有十分重要的意义。

图1 云端向用户集合提供服务

Fiat与Naor在1994年首先提出了广播加密的概念，随后一系列的广播加密方案相继被提出，但是这些方案的密文长度均与用户的数目成线性关系。后期 Boneh等人利用双线性对构造的BGW 方案，但这些方案的公钥长度与用户的数目成线性关系。为降低公钥开销，Boneh等人利用多线性映射构造了低开销的广播加密方案，在保证其密文与用户私钥长度均为常数的前提下，公钥长度仅为 O(log(N))。在方案的灵活性上，Ohtake等人提出了BEPM方案实现了广播者与用户间一对一的私密通信[8]，但是这些方案在多用户子集环境下会造成较大的密文与计算开销，因此设计低开销的适用于多用户子集环境下的广播加密值得进一步的研究。

本文综合了广播加密与群加密的思想，构造了一种低开销的适用于多用户子集环境下的广播加密方案，并证明了方案在标准模型下的选择明文安全性。新方案的用户私钥与广播密文均由3个群元素组成，达到了较低的存储与通信开销。

1 多线性判定Diffie-Hellman假设

定义2 MDDH假设指出，不存在多项式时间算法A，其具有不可忽略的优势 AdvMDDH(λ)≥ε可以解决MDDH问题。

2 广播加密的定义

结合广播加密方案的形式化定义和群加密的一般构造，下面给出面向多用户子集的广播加密的形式化定义及安全模型。

一个面向多用户子集的广播加密系统可以由如下四个算法描述：

Setup:系统建立算法Setup以安全参数 为输入，输出系统公钥PK、系统主私钥MSK以及其他系统公共参数，公开系统公共参数和系统公钥，保留其系统主私钥。

KeyGen:私钥生成算法KeyGen以系统公钥PK,主私钥MSK和用户pij所在的广播用户群 i作为输入，输出其对应的私钥

Enc(PK, S):广播加密算法Enc以系统公钥PK和广播用户群组的集合S作为输入，计算出其中K用来对共同的广播信息进行加密，Ki用来对各个不同群组的信息进行加密，最终广播:广播解密算法Dec以系统公钥PK、用户所在的广播群组i、用户私钥SKij、广播数据头Hdr以及广播群组集合 S作为输入,若i∈S则算法输出(K, Ki),随后分别利用K与Ki对相应的密文进行解密，恢复出明文。

基于身份的BEPM方案需满足解密一致性。即对任意

3 算法构造

新算法构造如下：

密钥生成 Keygen(msk,PK)：对于每个群组 i,( i ∈ [1,n ]),随机选择 si∈ ℤp,i ∈ [1,n]，计算其群组的公钥为 PK=wsi。对于群组

i i里的每个用户pj计算其私钥如下：

最终用户pj的私钥为

加密Enc(PK,S):算法随机选择 t∈ℤp，计算其对称加密密钥为 K = e( f (1),… ,f( n))α。

而后计算对每个群组 i的对称加密密钥为K =e( h, P K )t=e( g, h )γtsi,i∈ S 。而后，计算：

i i

而后分别利用 K, Ki对发送的信息进行加密，得到相应的密文与Hdr一同发送给用户。

解密 Dec(S,i,j,SKij,Hdr,PK):令 Hdr =(C0, C1,C2),若 i∈ S,则计算共同的对称加密密钥为：

计算每个群组i的对称加密密钥：

4 效率分析

下面从通信、存储及计算开销对方案进行性能分析。其中，n表示广播加密方案中用户的个数，p和e分别表示加解密时的双线性对运算和指数运算，由于乘法运算的开销远远小于双线性对运算和指数运算的开销，因此在考虑计算开销时忽略乘法运算，仅考虑指数运算与双线性对运算。此外，由于所构造的方案是面向多用户子集的，因此用m表示方案中用户集合的个数。具体如表1所示。

通过表1可以看出，同传统的广播加密方案相比，新方案在少量增加用户密钥长度的基础上，密文长度以及加密的运算量上有着明显的优势，计算开销上，加密的运算量仅需3次指数运算。此外，新方案还具有很好的灵活性，在所有的用户均在一个群组即m=1时，新方案就转化为一个指定用户集合的广播加密方案，并且系统的公钥长度、密文长度、用户私钥长度均达到常数级别。综上，新方案在通信与计算开销方面较优，并且具有很好的灵活性。

表1 与已有的方案性能比较

5 结束语

本文在广播加密方案的基础上，通过引入群加密的概念，从而提出了一种面向多用户子集的广播加密方案。新方案很好地解决了多用户子集环境下传统广播加密通信开销大的问题，密文长度仅为常数，加密时仅做常数次运算。同时，新方案还具有很好的灵活性，可转化为传统的固定密文长度的广播加密或指定用户子集的广播加密。分析表明：新方案安全灵活高效，可广泛应用于当前复杂的网络通信环境中。

[1]Fiat A, Naor M. Broadcast encryption[C]//Annual International Cryptology Conference. Springer Berlin Heidelberg，1993.

[2]Zou X, Xiang J. Dynamic broadcast encryption scheme with revoking user[J]. Wuhan University Journal of Natural Sciences，2013.

[3]Ohtake G, Hanaoka G, Ogawa K. Efficient broadcast encryption with personalized messages[C]//International Conference on Provable Security. Springer Berlin Heidelberg，2010.