k-mBDHI困难问题假设如果不存在概率多项式时间算法A能以不可忽略的优势解决G1上的k-mBDHI问题,则称群G1上的k-mBDHI问题是难解的.
DDH困难问题假设若不存在概率多项式时间算法能以不可忽略的优势判断T是否等于gab,则称DDH问题在有限域中是难解的.
3 基于证书广播加密方案的形式化定义及安全模型
结合基于证书加密方案的形式化定义和广播加密的一般构造,下面分别给出基于证书广播加密方案的形式化定义及安全模型.
3.1基于证书广播加密的形式化定义
设SN为所有广播用户的集合,其中N={1,2,…,n}.一个基于证书的广播加密方案由一个广播密钥封装机制和一个对称加密方案组成,包括下面五个算法:
系统参数设置算法Setup该算法由CA运行.CA选择系统的安全参数ζ,运行此算法产生主公钥和主密钥(mpk,msk)以及其它系统参数,公开系统参数params(包括系统主公钥mpk),CA保存系统主密钥msk.
用户密钥生成算法Extract该算法由用户IDi(i∈N)运行.用户IDi利用系统参数params生成自己的公/私钥对(PKi,SKi),私钥SKi自己保存,公钥PKi公开.
证书产生算法Certify该算法由CA中心运行.CA以用户IDi的身份信息、公钥PKi、系统参数params和主私钥msk为输入,产生用户证书CertIDi,τ,并通过公开信道发送给用户IDi.
加密算法Enc该算法由广播者运行.广播者选择广播集合S={ID1,ID2,…,IDw},满足w≤n.对于需要广播的消息m,算法以广播集合S、广播公钥PKS和系统公开参数params为输入,先计算(Hdr,k)=Enc(S,PKS),其中报头Hdr是对对称密钥k的封装,k∈K,K为对称加密方案(E,D)的密钥空间,再用对称加密算法E以k为密钥对m进行加密,生成对应的密文C0=Ek(m),将C=(S,Hdr,C0)通过广播信道进行广播.
解密算法Dec该算法由用户IDi(IDi∈S)运行.在收到广播密文C后,用户IDi首先利用私钥SKi、证书CertIDi,τ以及报头信息Hdr恢复出对称加密算法的密钥k=Dec(Hdr,SKi,CertIDi,τ),最后以k和对称加密方案的解密算法D恢复出对应的消息m=Dk(C0)或者直接输出无效标志⊥.
一个安全的基于证书广播加密方案必需满足以下性质:
(1)正确性按照方案的步骤正常运行生成的广播密文可以被合法用户正确解密.
(2)保密性在不知道合法用户的私钥和证书的情况下,任何监听广播的用户都无法正确解密.
(3)抗联合攻击若广播集合外的所有用户联合起来也无法破解广播密文,则称该方案可抵抗完全联合攻击.
(4)用户的动态加入和退出可以方便的实现用户加入和退出广播集合,并且对于新加入的用户而言,只能正常解密加入后的广播消息,而不能解密之前的广播消息,对于已撤销的用户而言,不能对撤销之后的广播消息进行解密.
3.2基于证书广播加密的安全模型
2005年,Boneh等人[2]定义了广播加密的静态安全模型.2007年,Delerablée[5]结合基于身份公钥加密的性质,给出了基于身份广播加密方案的安全模型.本文结合上述两个安全模型以及Gentry[14]提出的基于证书加密方案的安全模型,引入公钥替换攻击思想[23~26],首次刻画了基于证书广播加密方案的安全模型.在本文所定义的安全模型下,基于证书广播加密方案的安全性是指在自适应选择密文攻击下,对于静态敌手而言是密文不可区分的,且能抵抗完全联合攻击.
基于证书广播加密方案中包含两类攻击者AI和AII.AI模拟了未认证的用户这一类敌手,它可以获得任意用户的私钥,不可以获得目标广播集合内任何用户的证书,但可以询问目标广播集合外任意用户的证书,可以进行除目标密文外的解密询问,AI还可以进行公钥替换攻击,可以获得替换后公钥所对应的证书,但若敌手AI对目标广播集合内的用户进行了公钥替换攻击,则AI不能询问替换后公钥所对应的证书.AII模拟了一个恶意的CA,它拥有系统主密钥,可以生成任意用户的证书,不可以询问目标广播集合内用户的私钥,但可以获得目标广播集合外任意用户的私钥,AII也可以进行公钥替换,但不可以替换目标广播集合内用户的公钥,可以进行除目标广播密文外的解密询问.
广播加密方案一般是由一个密钥封装算法和一个对称加密算法组成,对称加密算法都是选取自适应选择密文攻击下安全的算法,在定义方案的安全模型时只对密钥封装算法部分进行定义.由于我们的安全模型是针对静态敌手,所以敌手在系统参数生成前需要确定目标广播集合.结合上述两类敌手及其各自不同的攻击能力,下面分别给出两类敌手与挑战者之间的游戏:
游戏1
初始化阶段AI选择目标广播集合S*,S*⊆SN.
系统参数设置挑战者C运行算法Setup,生成系统的主公/私钥对(mpk,msk)以及其它系统参数,C保存主私钥msk,把系统参数params(包括主公钥mpk)发送给AI.
第一阶段询问(Phase 1)在该阶段,AI可向挑战者C自适应地进行下列询问:
公钥询问AI提交任意用户IDi的身份信息,C返回IDi所对应的公钥信息.
私钥提取询问AI提交用户IDi的身份信息,C返回IDi所对应的私钥.
公钥替换AI提交(IDi,PKi′,SKi′),C将IDi的公钥替换为PKi′.
证书询问AI提交(IDi,PKi),若IDi∈S*,C拒绝回复询问;否则C运行证书生成算法,返回(IDi,PKi)对应的证书.
解密询问AI提交(IDi,Si,Hdri),其中IDi∈Si.C运行解密算法返回对应的ki或无效标志⊥.
挑战阶段AI判断Phase1询问结束后,C运行广播加密算法,计算(Hdr*,k*)=Enc(S*,PKS*),k*∈K,然后C随机选择λ∈{0,1},k∈K,令kλ=k*,k1-λ=k,将(Hdr*,k1-λ,kλ)返回给AI.
第二阶段询问(Phase2):AI可继续类似Phase1中的步骤进行询问,但解密询问时不可对Hdr*进行询问.
猜测Phase2询问结束后AI输出λ′,若λ′=λ,则称AI赢得该游戏.
我们定义AI赢得游戏1的优势为:
游戏2
初始化阶段AII选择目标广播集合S*,S*⊆SN.
系统参数设置挑战者C运行算法Setup,生成系统的主公/私钥对(mpk,msk)以及其它系统参数,将主私钥msk和系统参数params(包括系统主公钥mpk)都发送给敌手AII.
第一阶段询问(Phase 1)在该阶段,AII可以自适应地向挑战者C进行下列询问:
公钥询问AII提交任意用户IDi的身份信息,C返回IDi对应的公钥信息.
私钥提取询问AII提交用户IDi的身份信息,若IDi∈S*,C拒绝回复询问;否则返回用户IDi所对应的私钥.
公钥替换AII提交(IDi,PKi′,SKi′),若IDi∈S*,C拒绝替换;否则C将IDi的公钥替换为PKi′.
解密询问AII提交(IDi,Si,Hdri),其中IDi∈Si,C运行解密算法返回对应的ki或无效标志⊥.
挑战阶段AII判断Phase1询问结束后,C运行广播加密算法,生成(Hdr*,k*)=Enc(S*,PKS*),k*∈K,随机选择λ∈{0,1},k∈K,令kλ=k*,k1-λ=k,将(Hdr*,k1-λ,kλ)返回给AII.
第二阶段询问(Phase 2)AII可类似Phase1中的步骤继续进行询问,但解密询问时不可对目标Hdr*进行询问.
猜测Phase2询问结束后AII输出λ′,若λ′=λ,则称AII赢得该游戏.
我们定义AII赢得游戏2的优势为:
注:敌手在进行询问时,允许敌手询问目标广播集合以外的所有用户信息,因此本文给出的安全模型是可以抵抗完全联合攻击的.
4 基于证书广播加密方案
在这部分中,首次提出了一个基于证书广播加密方案,并对它进行正确性分析.该方案由以下五个算法组成:
加密算法Enc该算法由广播者运行.广播加密算法由一个密钥封装算法和一个安全的对称加密算法共同来实现:
步骤1广播者选择需要广播的集合S⊆SN.
步骤2对于IDi∈S,广播者依次计算hi=H1(τ‖IDi‖PKi),QIDi∈S=hiP+Q.
步骤4广播者通过公开的广播信道广播消息C=(Hdr,S,C0).
解密算法Dec该算法由用户IDi(IDi∈S)运行.在收到广播密文C后,用户IDi以其私钥SKi、证书CertIDi,τ为输入,按照下面的步骤计算,最后输出C对应的消息m或者无效标志⊥:
步骤4验证H3(σ′,k′)是否等于H3(σ,k),若相等,则以对称加密方案中的解密算法D返回m=Dk′(C0),否则返回⊥.
对于广播的消息该方案只需要进行一次加密,系统可以对g1=e(P,P)进行预计算,加密算法中就不需要进行双线性对运算,仅在解密算法中做一次双线性对运算,提高了计算效率.
正确性分析
本文的方案里,广播集合里的合法用户可将接收到的正确的广播密文恢复出对应的广播消息.
(1)用户IDi∈S收到广播密文后计算:
5 安全性证明
下面根据3.2节提出的安全模型给出本方案的安全性证明.由于不同的敌手具备不同的能力,本文刻画了两个游戏来模拟不同敌手与挑战者之间的交互,从而证明方案的安全性.本文提出的方案是由一个密钥封装算法和一个安全的对称加密算法构成,假定选取的对称加密算法为自适应选择密文安全的算法,在进行安全性证明时,只对密钥封装算法部分进行分析,分析敌手是否能由头文件Hdr以不可忽略的优势区分出对称加密算法的对称密钥k.由于是静态敌手,所以在系统参数产生之前两类敌手都需要先选定目标广播集合.
定理2如果存在概率多项式时间静态敌手AI,经过最多qPK次公钥询问、qSK次私钥询问、qr次公钥替换询问、qH1次H1询问、qH2次H2询问、qC次证书询问、qd次解密询问后,在最多t时间内以不小于ε的概率赢得游戏1,那么就存在一个算法可以在t′时间内以不小于ε′的概率解决k-mBDHI问题,其中k≥(qH1-w),ε′=(1-w/qt)qdε/qH2,w为广播集合内的用户个数,qt=(qPK+qSK+qr+qC+qd).
初始化阶段AI选择目标广播集合S*⊆SN,|S*|=w.
系统参数设置算法(Setup)B运行算法Setup.B令系统主公钥Q=sP,其中sP为k-mBDHI困难问题的输入,主私钥为s未知.将系统参数params={ζ,G1,G2,e,q,P,Q,g1,g2,p,SN,pi,K,H1,H2,H3}发送给AI.
第一阶段询问(Phase 1)B保存列表LAI:{IDi,PKi,SKi,hi,CertIDi,τ,δ},列表初始化为{⊥,⊥,⊥,⊥,⊥,0},列表LH2:{(gi,σi),ki},初始化为{(⊥,⊥),⊥}.在该阶段,AI可以向B自适应地进行下列询问:
公钥询问AI提交任意用户IDi的身份信息,B检查LAI:
(2)若IDi不为⊥,B直接返回IDi的公钥PKi.
私钥提取询问AI提交用户IDi的身份信息,B检查LAI.
(2)若IDi不为⊥,B直接返回IDi的私钥SKi.
公钥替换AI提交(IDi,PKi′,SKi′),B直接更新列表LAI为:{IDi,PKi′,SKi′,⊥,⊥,1}.
H1询问AI提交用户的身份信息IDi和公钥信息PKi,B检查LAI:
(1)若IDi∉S*,B随机选择hi,满足hi∈(h1,h2,…,hk)且未曾出现过,更新列表LAI为:{IDi,PKi,SKi,hi,⊥,δ},δ表示保持原状.B返回hi.
H2询问AI提交(gi,σi),B检查LH2:
(1)若存在{(gi,σi),ki}元组,则B返回ki.
(2)若不存在{(gi,σi),ki}元组,B随机选择ki∈K且未曾出现过,将{(gi,σi),ki}添加到LH2中,返回ki.
证书询问AI提交用户IDi的身份信息,若IDi∈S*,B输出⊥并退出(对目标集合中用户公钥询问证书,拒绝询问),否则若IDi∉S*则检查LAI,CertIDi,τ不为⊥时,直接返回CertIDi,τ,否则:
解密询问AI对(IDi,Si,Hdri)进行询问,其中IDi∈Si.若IDi∈S*,则B失败并退出;否则B按步骤计算生成(SKi,CertIDi,τ),运行解密算法:
=e(P,P)ri
挑战阶段AI判断Phase1询问结束后,B运行广播加密算法:
第二阶段询问(Phase 2)AI可继续进行Phase1中的各种询问,但解密询问时不可对(IDi,S*,Hdr*)进行询问,其中IDi∈S*.
猜测Phase2询问结束后AI猜测λ′∈{0,1}.B在LH2中随机选择{(gi,σi),ki},B输出(gi)1/li作为k-mBDHI的解.
分析
下面分析B解决k-mBDHI困难问题的概率:
B要解决k-mBDHI困难问题就必须保证在与AI进行交互时没有失败退出.由游戏模拟过程可知,当AI对目标集合内用户进行解密询问时,B挑战失败.记事件E1表示AI未对目标集合内用户进行解密询问,其概率Pr[E1]=(1-w/qt)qd.
事件E2表示LH2中存在{(g*,σ*),k*},即AI对(g*,σ*)进行过H2询问,则Pr[λ′=λ]=Pr[λ′=λ|E2]Pr[E2]+Pr[λ′=λ|E2]Pr[E2]≥ε,若AI未对(g*,σ*)进行H2询问,而是随机猜测,则Pr[λ′=λ|E2]=1/2,即[E2] ≥[,可知Pr[E2]≥2Pr[λ′=λ]-1=ε.
事件E3表示B选择了满足需要的{(g*,σ*),k*}元组,其概率Pr[E3]≥1/qH2.
B要成功破解k-mDBDHI问题必须保证事件E1,E2,E3同时发生,Pr[B Success]≥(1-w/qt)qd·ε·1/qH2=(1-w/qt)qdε/qH2,即若存在概率多项式时间的敌手AI能在t时间内以不可忽略的优势ε赢得游戏1,则必然存在一个概率多项式时间的算法能够以不小于ε′的概率解决k-mBDHI问题,其中ε′=(1-w/qt)qdε/qH2.而由于k-mBDHI困难问题是难解的,所以不存在概率多项式时间的敌手AI能在t时间内以不可忽略的优势赢得游戏1,即该方案能够抵抗第一类敌手攻击.
定理3如果存在概率多项式时间静态敌手AII,经过最多qPK次公钥询问、qSK次私钥询问、qr次公钥替换询问、qd次解密询问后,在最多t时间内以不小于ε的概率赢得游戏2,那么就存在一个算法可以在t′时间内以不小于ε′的概率解决DDH问题,其中ε′=(1-w/qt)qd(1+ε)/2,w为广播集合内的用户个数,qt=(qPK+qSK+qr+qd).
证明(g,ga,gb,T)为一个DDH问题的输入,构造算法B,在游戏中B模拟挑战者与敌手AII进行交互,最后判断T是否等于gab.
初始化阶段AII选择目标广播集合S*⊆SN,|S*|=w.
第一阶段询问(Phase 1)B保存列表LAII:{IDi,PKi,SKi,δ},初始化为{⊥,⊥,⊥,0},AII可以自适应地向挑战者B进行下列询问:
公钥询问AII提交任意用户IDi的身份信息,B检查LAII:
(2)若IDi已存在,B直接返回IDi的公钥PKi.
私钥提取询问AII提交用户IDi的身份信息,若IDi∈S*,B拒绝并输出⊥退出,若IDi∉S*,B检查LAII:
(2)若IDi已存在,B直接返回IDi的私钥SKi.
公钥替换AII提交(IDi,PKi′,SKi′),若IDi∈S*,B拒绝替换并输出⊥退出,否则B直接更新列表LAI为:{IDi,PKi′,SKi′,1}.
解密询问AII对(IDi,Si,Hdri)进行解密询问,其中IDi∈Si.若IDi∈S*,则B失败并退出;否则,B同时拥有系统主密钥和用户私钥,直接运行解密算法:
=σi.
(2)根据riQIDi再计算
e(riQIDi,CertIDi,τ)1/xi2
=e(P,P)ri
挑战阶段AII决定Phase 1询问结束后,B运行广播加密算法:
(1)对于IDi∈S*,B计算QIDi∈S*=hiP+Q.
第二阶段询问(Phase 2)AII可类似Phase1中的步骤继续进行询问,但解密询问时不可以对(IDi,S*,Hdr*)进行询问,其中IDi∈S*.
猜测Phase2询问结束后猜测λ′∈{0,1},若λ′=λ,则B输出T=gab,否则输出T≠gab.
分析
下面分析B成功破解DDH问题的概率:
B要解决DDH困难问题就必须保证在与AII进行交互时没有失败退出.由游戏模拟过程可知,当AII对目标集合内用户进行解密询问时,B挑战失败.记事件E1表示AII未对目标集合内用户进行解密询问,其概率Pr[E1]=(1-w/qt)qd.
E2表示在AII未退出游戏、输出猜测后B解决DDH困难问题的概率,则Pr[E2]=Pr[λ′=λ|T=gab]·Pr[T=gab]+Pr[λ′≠λ|T≠gab]·Pr[T≠gab].T=gab时AII能够区分λ′的概率不小于(1/2+ε),即Pr[λ′=λ|T=gab]≥(1/2+ε),T≠gab时AII不能从各种询问中获得有用信息,只能随机猜测λ′,即Pr[λ′=λ|T≠gab]=Pr[λ′≠λ|T≠gab]=1/2,因此B在AII输出猜测后解决DDH困难问题的概率Pr[E2]≥(1/2+ε)·1/2+1/2·1/2=(ε+1)/2.
B要成功破解DDH困难问题必须保证事件E1,E2同时发生,即Pr[B Success]=Pr[E1]·Pr[E2]≥(1-w/qt)qd(1+ε)/2.
若存在概率多项式时间的敌手AII能在t时间内以不可忽略的优势ε赢得游戏2,则必然存在一个概率多项式时间的算法能够以不小于ε′的概率解决DDH问题,其中ε′=(1-w/qt)qd(1+ε)/2.而由于DDH问题是难解的,所以不存在概率多项式时间的敌手AII能在t时间内以不可忽略的优势赢得游戏2,即该方案是能抵抗第二类敌手攻击的.
6 结论
本文构造了一个高效的基于证书广播加密方案,并证明了方案在自适应选择密文攻击下是安全的.在基于证书广播加密方案中,用户的密钥由用户自己选择,而不是由广播中心分发,避免了密钥托管的问题,同时,由于证书通过公开信道发送,也就不需要建立安全信道.对于需要广播的消息,广播发送者只需要进行一次加密.系统可以对双线性对进行预计算,因此在加密过程中就不需要进行双线性对的运算,在解密时只要做一次双线性对运算,提高了计算效率.并且该方案可以实现用户的动态加入和撤销,不需要更新其它用户的密钥信息,新添加的用户只需将公钥信息添加到公钥列表,而撤销的用户只需删除其公钥信息.但本文给出的具体构造中密文长度与广播集合中用户数量呈线性增长,下一步将重点研究密文定长广播加密方案.
[1]Naor D,Naor M,Lotspiech J.Revocation and tracing schemes for stateless receiver[A].Advances in Cryptography-CRYPTO 2001[C].LNCS 2139,Berlin:Springer-Verlag,2001.41-62.
[2]Boneh D,Gentry C,Waters B.Collusion resistant broadcast encryption with short ciphertexts and private keys[A].Advances in Cryptology-CRYPTO 2005[C].LNCS 3621,Berlin:Springer-Verlag,2005.258-275.
[3]Boneh D,Waters B.A fully collusion resistant broadcast,traces,and revokes system[A].Proceedings of the 13th ACM Conference on Computer and Communications Security[C].ACM New York,NY,USA:2006.211-220.
[4]Liu Y R,Tzeng W G.Public key broadcast encryption with low number of keys and constant decryption time[A].PKC 2008[C].LNCS 4939,Berlin:Springer-Verlag,2008.380-396.
[5]Delerablée C.Identity-based broadcast encryption with constant size ciphertexts and private keys[A].Advances in Cryptology-ASIACRYPT 2007[C].LNCS 4833,Berlin:Springer-Verlag,2007.200-215.
[6]Gentry C,Waters B.Adaptive security in broadcast encryption systems (with short ciphertexts)[A].Advances in Cryptology-EUROCRYPT 2009[C].LNCS 5479,Berlin:Springer-Verlag,2009.171-188.
[7]Boneh D,Waters B.Zhandry M.Low overhead broadcast encryption from multilinear maps[A].Advances in Cryptology-CRYPTO 2014[C].LNCS 8616,Berlin:Springer-Verlag,2014.206-223.
[8]Tan Z W,Liu Z J,Xiao H G.A fully public key tracing and revocation scheme provably secure against adaptive adversary[J].Journal of Software,2005,16(7):1333-1343.
[9]Phan D H,Pointcheval D,Strefler M.Decentralized dynamic broadcast encryption[A].Security and Cryptography for Networks[C].LNCS 7485,Berlin:Springer-Verlag,2012.166-183.
[10]Wu Q H,Qin B,Zhang L,Ferrer J D,Farràs O.Bridging broadcast encryption and group key agreement[A].Advances in Cryptology-ASIACRYPT 2011[C].LNCS 7073,Berlin:Springer-Verlag,2011.143-160.
[11]Hofheinz D,Striecks C.A generic view on trace-and-revoke broadcast encryption schemes[A].Topics in Cryptology-CT-RSA 2014[C].LNCS 8366,Berlin:Springer-Verlag,2014.48-63.
[12]Wee H.Threshold and revocation cryptosystems via extractable hash proofs[A].Advances in Cryptology-EUROCRYPT 2011[C].LNCS 6632,Berlin:Springer-Verlag,2011.589-609.
[13]Boneh D,Zhandry M.Multiparty key exchange,efficient traitor tracing,and more from indistinguishability obfuscation[A].Advances in Cryptology-CRYPTO 2014[C].LNCS 8616,Berlin:Springer-Verlag,2014.480-499.
[14]Gentry C.Certificate-based encryption and the certificate revocation problem[A].Advances in Cryptology-EUROCRYPT 2003[C].LNCS 2656,Berlin:Springer-Verlag,2003.272-293.
[15]Morillo P,Ràfols C.Certificate-based encryption without random oracles[DB/OL].Cryptology ePrint Archive,Report 2006/12,2006.
[16]Waters B.Efficient identity-based encryption without random oracles[A].Advances in Cryptology-EUROCRYPT 2005[C].LNCS 3494,Berlin:Springer-Verlag,2005.114-127.
[17]Dodis Y,Katz J.Chosen-ciphertext security of multiple encryptions[A].TCC 2005[C].LNCS 3378,Berlin:Springer-Verlag,2005.188-209.
[18]Galindo D,Morillo P,Ràfols C.Improved certificate-based encryption in the standard model[J].Journal of Systems and Software,2008,81(7):1218-1226.
[19]陆阳,李继国,肖军模.一个高效的基于证书的加密方案[J].计算机科学,2009,36(9):28-31.
Lu Y,Li J G,Xiao J M.Efficient certificate-based encryption scheme[J].Computer Science,2009,36(9):28-31.(in Chinese )
[20]Li J G,Huang X Y,Hong M X,Zhang Y C.Certificate-based signcryption with enhanced security features[J].Computers and Mathematics with Applications.2012,64(6):1587-1601.
[21]Li J G,Wang Z W,Zhang Y C.Provably secure certificate-based signature scheme without pairings[J].Information Sciences,2013,233(6):313-320.
[22]Selvi S,Vivek S,Shukla D.Efficient and provable secure certificateless multi-receiver signcryption[A].ProvSec 2008[C].LNCS 5324,Berlin:Springer-Verlag,2008.52-67.
[23]Al-Riyami S S,Paterson K G.Certificateless public key cryptography[A].Advances in Cryptology-ASIACRYPT 2003[C].LNCS 2894,Berlin:Springer-Verlag,2003.452-473.
[24]Li J G,Huang X Y,Mu Y,Susilo W,Wu Q H.Certificate-based signature:security model and efficient construction[A].Advances in Cryptology-EuroPKI’07[C].LNCS 4582,Berlin:Springer-Verlag,2007.110-125.
[25]Li J G,Huang X Y,Mu Y,Susilo W,Wu Q H.Constructions of certificate-based signature secure against key replacement attacks[J].Journal of Computer Security,2010,18(3):421-449.
[26]Li J G,Huang X Y,Zhang Y C,Xu L Z.An efficient short certificate-based signature scheme[J].Journal of Systems and Software,2012,85(2):314-322.
李继国(通信作者)男,1970年生于黑龙江富裕,博士,教授,博士生导师,主要研究领域为信息安全、密码学理论与技术、云计算安全等.
E-mail:ljg1688@163.com
张亦辰女,1971年生于黑龙江齐齐哈尔,学士,博士研究生,讲师,主要研究领域为密码学理论与技术.
A Provably Secure Certificate-Based Broadcast Encryption Scheme
LI Ji-guo,ZHANG Yi-chen,WEI Xiao-xia
(CollegeofComputerandInformationEngineering,HohaiUniversity,Nanjing,Jiangsu210098,China)
Broadcast encryption allows a sender to securely broadcast to any subset of the group members.However,its security heavily depends on broadcast centre to generate and distribute decryption secret keys for group members.In order to solve the above problem,we propose the notion of certificate-based broadcast encryption,describe the formal definition and security model of the certificate-based broadcast encryption.Furthermore,we also provide an efficient certificate-based broadcast encryption scheme.In our scheme,the decryption key includes user’s private key and a certificate,where the private key is chosen by user himself,and the certificate is generated by certification authority.Therefore,our scheme overcomes the key escrow problem.In addition,our scheme is efficient,because it needs only one paring in decryption algorithm and paring operation in encryption algorithm can be pre-computed.
broadcast encryption;certificate-based encryption;bilinear paring
2014-07-29;
2014-11-28责任编辑:马兰英
国家自然科学基金(No.61272542);中央高校基本科研项目(No.2013B07014)
TP309
A
0372-2112 (2016)05-1101-10
电子学报URL:http://www.ejournal.org.cn10.3969/j.issn.0372-2112.2016.05.013