基于身份的抗私钥泄漏的广播加密方案

2016-12-26于启红李继国

计算机应用与软件 2016年11期

关键词：敌手私钥密文

于启红李继国

1(宿迁学院信息工程学院江苏宿迁 223800)2(河海大学计算机与信息学院江苏南京 211100)

基于身份的抗私钥泄漏的广播加密方案

于启红1,2李继国2

1(宿迁学院信息工程学院江苏宿迁 223800)2(河海大学计算机与信息学院江苏南京 211100)

侧信道攻击引起密码系统的部分信息泄漏，破坏很多密码方案的安全性。在基于身份的广播加密方案(IBBE)中，到目前为止，还没有能抵抗侧信道攻击的安全方案。基于此，提出一个抗侧信道攻击安全的基于身份的广播加密方案。使用双系统加密技术，在复合阶群静态假设下在标准模型中证明了提出方案的安全性。泄漏性能分析表明，私钥的相对泄漏率可以达到1/3。该方案具有较好的抗私钥泄漏性能。

弹性泄漏双系统加密私钥泄漏基于身份广播加密

0 引言

最近几年，许多侧信道攻击[1-6]导致密码系统中一些秘密信息(甚至是部分私钥信息)泄漏给敌手。在侧信道攻击中，敌手可以通过密码系统的实现特征来获得系统的秘密信息。侧信道攻击呈现许多形式：电磁辐射、能量消耗、时序等。冷启动攻击[7]是一种特殊侧信道攻击，在这样的攻击中，即使设备断电了，敌手还可以从存储器中获得部分信息。

为了保证密码系统抗侧信道攻击的安全性，密码学研究者提出了泄漏弹性密码模型来捕获这些攻击。近几年，抗泄漏(LR)密码学已成为信息安全领域研究的热点。

在2009年，Akavia等人正式提出了有界泄漏模型概念[8]。此后，一些相关的抗泄漏的密码方案被提出[9-21]。Naor等给出了通过哈希证明系统(HPS)得到针对存储攻击安全的公钥加密方案[9]。文献[9]给出针对几乎整个密钥泄漏的选择明文攻击(CPA)安全方案和针对密钥1/6泄漏的选择密文攻击(CCA)安全方案。Luo等人构建基于格的抗泄漏的公钥加密方案(LR-PKE)[10]。Chen等人推广HPS到包括匿名的特点(称为匿名的HPS)，然后使用匿名的HPS构建抗泄漏的公钥加密方案[11]。文献[12]定义弱HPS概念，表明如果单向函数存在就能得到抗泄漏弱伪随机函数、抗泄漏的消息认证码和抗泄漏的对称密钥加密。方案[13-15]是关于泄漏率较高的抗泄漏公钥加密方案。文献[16,17]构造了可以抵抗“获得挑战密文后密钥部分泄漏”攻击的方案。文献[18]考虑到密码学组件之一提取器的泄漏问题。Zhang等人借助很难求逆的函数构造了抗泄漏的功能加密[19]。文献[20,21]构造了抗泄漏的签名方案。

自从基于身份的广播加密概念(IBBE)[22,23]提出以来，已经有许多IBBE方案被提出[24-30]。方案[24,25]具有很好的性能，取得常数大小的密文和密钥。方案[26,27]考虑了分层的概念，分别提出分层的基于身份的广播加密方案。文献[28,29]提出匿名的基于身份的广播加密方案。文献[30]基于格的理论提出了前向安全的基于身份的广播加密方案。但是，据我们所知，到目前为止，还没有抗私钥泄漏的IBBE方案被提出。

在本文中，提出了第一个抗私钥泄漏的安全的基于身份广播加密方案。在复合阶群的三个静态假设下，提出的方案是自适应安全(完全安全性)。通过双系统加密结构[31-33]，证明方案的完全安全性。

在本文的方案中，密钥和密文具有两种状态：正常态、半功能(SF)。正常的密文可以通过正常的密钥或半功能密钥解密。半功能的密文可以被正常的密钥解密。在真正的游戏中，所有的密文和密钥是正常的。证明采用混合论证技术。在证明中，借助于一系列游戏来实现。首先，密文变为半功能的；然后，密钥逐步变为半功能的；最后，得到了这样一个游戏：所有的私钥和密文都是半功能的，所以攻击者无法正确解密密文。连续两个游戏被证明是不可区分的。这样，可以获得方案的安全性。如果选择一个合适的参数，提出的方案可以容忍私钥的1/3泄漏。

1 预备知识

文献[34]提出组合阶的双线性群概念。假设Ψ是一个关于组合阶的双线性群的生成算法，它以安全参数λ作为输入，生成一个复合阶双线性群Ω={N=p1p2p3,G,GT,e}，其中p1、p2、p3是三个不同的素数，满足Log(p1)=Log(p2)=Log(p3)，G与GT都是循环群且阶均为N，双线性映射e定义如下：

(1) 双线性：

∀g,h∈G a,b∈ZNe(ga,gb)=e(g,h)ab

(2) 非退化性:∃g∈G使得e(g,g)∉1。

此外，针对安全参数λ来说，群G与GT中操作均是在多项式时间内有效可计算的。分别用符号Gp1、Gp2与Gp3表示群G中的阶为p1、p2与p3子群。阶为p1p2子群用Gp1p2表示。不失一般性，若hi∈Gpi、hj∈Gpj，当i≠j时，则e(hi,hj)为GT中单位元。例如，若h1∈Gp1，h2∈Gp2，且g是G生成元；则gp1p2可以生成Gp3，gp1p3可以生成Gp2，gp2p3可以生成Gp1。那么，存在α1,α2使得h1=(gp2p3)α1，h2=(gp1p3)α2成立，则e(h1,h2)=e(gp2p3α1,gp1p3α2)=e(gα1,gp3α2)p1p2p3=1，也就是说Gp1,Gp2与Gp3是相互正交的。

下面列出三个有用的假设。

假设1给定一个实例:

算法A攻破假设1的优势定义为：

Adv1ψ,A(ϑ)=|Pr[A(D1,T0)=1]-Pr[A(D1,T1)=1]|

如果任何概率多项式时间(PPT)敌手获得优势Adv1ψ,A(ϑ)都是可以忽略的，那么就称假设1成立。

事实上，T1可以表示成一个Gp1中的元素与一个Gp2中元素之积，这两部分分别被称为T1的Gp1部分与T1的Gp2部分。

假设2给定一个实例:

算法A攻破假设2的优势定义为：

Adv2ψ,A(ϑ)=|Pr[A(D2,T0)=1]-Pr[A(D2,T1)=1]|

如果任何概率多项式时间敌手获得优势Adv2ψ,A(ϑ)都是可以忽略的，则称假设2成立。

G中的阶为p1p3子群用符号Gp1p3表示。T1可以唯一表示成Gp1中一个元素与Gp2中一个元素和Gp3中的一个元素之积，这三部分分别被称为T1中的Gp1部分、T1中的Gp2部分与T1中的Gp3部分，类似地，T0可唯一表示成Gp1的一个元素与Gp3的一个元素之积。

假设3给定一个实例:

算法A攻破假设3的优势定义为：

Adv3ψ,A(ϑ)=|Pr[A(D3,T0)=1]-Pr[A(D3,T1)=1]|

如果任何概率多项式时间敌手获得优势Adv3ψ,A(ϑ)都是可忽略的，则称假设3成立。

2 本文方案的形式描述

在文献[31]的基础上，结合方案[24,25,35],我们给出基于身份的抗泄漏的广播加密方案的形式化描述。我们的方案由以下算法组成。

Setup Setup(ϑ,m)→(PK,MK)。该算法输入一个安全参数ϑ和用户最大可能的数量m。它输出主公钥PK和主密钥MK。PK对所有用户公开。

如图10所示，当正向及反向分别加载至CD和C′D′段卸载时，卸载路线分别沿56和5′6′进行，卸载刚度分别取K56和K5′6′；采用拟合法对卸载点56和5′6′之间的所有实测数据进行拟合，分别得到正向加载CD和反向加载C′D′段所有数据点的卸载刚度K56和K5′6′；然后再对各阶段所有卸载刚度进行无量纲化处理并采用幂函数进行非线性回归拟合，分别得到K56/K0与+Δ5/(+Δm)及K5′6′/K0′与Δ5′/(-Δm)之间的非线性关系曲线，如图13所示。

KeyGen KeyGen(PK,MK,ID)→SKID。该算法以主公钥PK，主密钥MK和用户身份ID为输入。产生对应与ID的私钥SKID。

Encrypt Encrypt(PK,M,S)→CT。首先，算法以公钥PK，身份集合S={ID1,…,IDd}(d≤m)为输入，输出(Hdr,DK)，其中Hdr称为头部，DK是用于加密消息M的对称密钥。接着，当广播者想加密消息M给S中的用户时，它用DK加密消息M得到密文C。总的密文CT=(C,Hdr)，广播者广播CT=(C,Hdr)。

Decrypt Decrypt(PK,SKIDi,S,CT)→M。算法以主公钥PK，私钥SKIDi，用户集合S和密文CT为输入，划分CT为(C,Hdr)。如果IDi∈S，根据Hdr计算出对称密钥DK，然后，用DK解密C恢复出M。

算法Setup与KeyGen由私钥产生中心(KGC)生成，其他算法由用户产生。KeyGenSF与EncryptSF仅用于安全性证明中。

3 本文方案安全模型

方案的安全模型通过敌手A和挑战者B之间的游戏GameR来体现。m表示一次广播中接收密文的最大用户数。

在游戏GameR中：B持有一个列表L={(H,I,SK,LK)}，其中H、I、SK和LK分别表示句柄空间，身份空间，私钥空间和泄漏量。假定H=与LK=。

初始化挑战者运行算法Setup产生主公钥PK和主私钥MK。挑战者把PK发给敌手，把MK作为秘密保存。

阶段1敌手作如下询问：

O-Create(ID)：给定一个身份ID，挑战者在列表L中查找对应ID的项。如果ID在列表L中，算法终止。否则，挑战者运行KeyGen算法产生私钥SKID并更新h←h+1。把项(h,ID,SKID,0)放入列表L。

O-Leak(h,f)：敌手询问对应于句柄h的私钥的泄漏。敌手任意选择一个多项式时间内可计算的函数f，函数f以私钥为输入，给出固定长度的输出。

具体来说，挑战者在列表L中找出h对应的项。不失一般性，假定找出的项为(h,ID,SKID,L)。挑战者判定是否L+|f(SKID)|≤LSK，其中LSK是私钥的泄漏的界。如果检验为真，挑战者把f(SKID)发给敌手且用(h,ID,SKID,L+|f(SKID)|)更新(h,ID,SKID,L)。否则，挑战者输出⊥。

O-Reveal(h)：敌手询问关于句柄h对应的私钥。挑战者在列表L中查找此项。假设查到的项为(h,ID,SKID,L)，挑战者发送SKID给敌手。

O-Decrypt：敌手询问关于(ID,CT)的明文，挑战者在列表L中找到私钥SKID，然后运行解密算法Decrypt获得对应的明文M并发给敌手。

阶段2敌手A询问O-Create、O-Reveal和O-Decrypt。基本的限制和阶段1同，此外，不能对ID∈S*或Hdr=Hdr*进行询问。进一步，不能询问泄漏预言机，因为如果允许这样做的话，敌手可以选择这样一个泄漏函数，这个泄漏函数把解密算法作为输入，它就可以平凡地赢得游戏。

如果在GameR中，所有的PPT敌手都只能取得可以忽略的优势，则称本文方案是抗私钥泄漏安全的。

4 本文方案构造

本文方案是基于3素数的组合阶群，由如下6个算法构成。子群Gp3用于随机化密钥。子群Gp2只用于证明中使用的半功能密钥和密文。

具体如下：

公钥为：

主密钥为：

Encrypt 广播者以消息M和接受者身份集合S=(ID1,…,IDd)为输入。随机选择s∈ZN，生成密文：

其中盲化因子为e(g1,g1)αs。

Decrypt 如果用户身份IDi是接收者集合S中的元素，即IDi∈S，则此用户可以解密密文。首先，用密钥计算：

(4) 最后恢复明文

5 安全性证明

定理1如果假设1-假设3成立，本文方案是标准模型中抗泄漏安全的，抵抗的私钥泄漏量为LSK=(n-2Λ-1)λ，其中λ=logp2，n≥2是一个整数，Λ是一个正的常数。

当n比较大时，能容忍的泄漏率比较高。当n比较小时，主公钥也比较短。具体的泄漏性能分析在第6节给出。

总体来说，我们用双系统加密技术来证明方案的安全性。通过一系列游戏来完成证明。这些游戏都由真实的安全性游戏GameR修改而来。第一个游戏是真实的安全性游戏，最后一个游戏中敌手没有任何优势(因为加密一个随机的消息)。这些游戏中相邻两个是不可区分的。用q表示游戏的个数。

这些游戏具体定义如下：

GameR：这是一个真实的安全性游戏。

Game0：与GameR类似，除了Game0中挑战密文是半功能的。

Gamei(i∈[1,q])：在这个游戏中，挑战密文是半功能的。对前i个私钥询问，挑战者用半功能的私钥回答。对其他私钥询问，挑战者用正常私钥回答。如果i=q(Gameq)，对每个私钥询问挑战者都用半功能的私钥回答。

GameF：这个游戏与Gameq几乎一样，除了这一点外：在GameF中广播者加密一个随机消息得到挑战密文，而在Gameq中广播者加密一个随机的挑战消息得到挑战密文。

证明通过一系列游戏GameR，Gamei(i∈(0,1,…,q))和GameF，我们用引理1-引理4来证明安全性。首先，用引理1来获得泄漏界。其次，用引理2-引理4来证明这一系列游戏是不可区分的。再者，证明攻击者在GameF中获得的优势是可以忽略的。这样，安全性便可以获证。

表1 敌手在连续两个游戏中获得的优势差异

由表1,可得：

具体来说，下面我们完成4个引理证明。

引理1私钥泄漏的量可以达到LSK=(n-2Λ-1)λ。

证明我们用文献[36]中的一个结论来证明这个引理。

从结论1，我们很容易得到下面的推论1。

=(n-2Λ-1)logp2=(n-2Λ-1)λ

阶段2攻击者继续对IDi进行私钥询问，所受的限制是IDi∉S*。

猜测A输出关于β的猜测β′。如果β′=β，A赢得游戏。

阶段1A询问关于第i个身份IDi的私钥。B进行如下操作：

(1) 如果i

对于攻击者A而言，模拟是有效的。

(2) 如果i>k，B运行算法KeyGen产生正常私钥。

若T∈Gp1p3，私钥是正常的。若T∈G，私钥是半功能的。

阶段2攻击者继续进行私钥询问，只要IDi∉S*。

猜测A输出关于β的猜测β′。如果β′=β，A赢得游戏。

概率分析当T∈Gp1p3，B恰当模拟游戏Gamek-1。当T∈G，B恰当模拟游戏Gamek。由此可得：

公钥为：

阶段1A询问关于第i个身份IDi∈S的私钥，其中S={ID1,…,IDd}。B操作如下。B随机选择t1,…,tn+2∈ZN。半功能密钥产生如下：

对于攻击者A而言，模拟是有效的。

阶段2攻击者继续询问关于IDi的私钥，受到的限制是IDi∉S*。

猜测A输出一个关于β的猜测β′。如果β′=β，A赢得游戏。

概率分析当T=e(g1,g1)αs，B恰当模拟游戏Gameq。当T∈Gp1，B恰当模拟游戏GameF。可得：

6 泄漏性能分析

本文方案中，p1、p2、p3都是λ比特的素数。私钥长度为3(n+3)λ比特。私钥的泄漏量至多为(n-2Λ-1)λ比特。此处，n≥2是一个可变整数，它用于获得不同的泄漏弹性，Λ是一个正常数。私钥的相对泄漏率为：

我们要强调的是：n是一个变量。如果我们要得到一个相对泄漏率较高的方案，我们可以把方案中的n设置为一个较大的数。这样，系统的抗泄漏性能较好。但是，私钥会相应变长。如果设置n为一个较小的数，相对泄漏率也较小。但是私钥也相对变短。

表2给出本文的方案和文献[31,35]的方案比较。表2给出了私钥的大小和泄漏量等信息。

表2 本文方案和文献[31,35]中方案的比较

文献[35]给出一个没有泄漏弹性的IBBE。文献[31]提出一个抗泄漏的基于身份的加密方案(LR-IBE)，但是没有考虑到广播加密情况。本文方案中，我们同时考虑广播加密和泄漏弹性问题。

7 结语

本文给出了基于身份的抗泄漏广播加密方案的形式化定义和安全模型。提出一个抗泄漏的基于身份广播加密方案。本方案可以抵抗私钥的泄漏攻击。方案的安全性由复合阶双线性群中的三个静态假设保证，这是第一个抗泄漏的广播加密方案。本文给出的方案具有较好的泄漏弹性。当设置n是很大的值时，方案的私钥的泄漏率可以达到1/3。构造素数阶群假设下的安全抗泄漏基于身份的广播加密方案是下一步的研究方向。

[1] Chen C S,Wang T,Tian J.Improving timing attack on RSA-CRT via error detection and correction strategy[J].Information Sciences,2013,232(5):464-474.

[2] Chari S,Jutla C S,Rao J R,et al.Towards sound approaches to counteract power-analysis attacks[C]//Advances in Cryptology—CRYPTO’99.Springer Berlin Heidelberg,1999:398-412.

[3] Ishai Y,Sahai A,Wagner D.Private circuits:Securing hardware against probing attacks[C]//Advances in Cryptology-CRYPTO 2003.Springer Berlin Heidelberg,2003:463-481.

[4] Rechberger C,Oswald E.Stream ciphers and side-channel analysis[C]//ECRYPT Workshop,SASC-The State of the Art of Stream Ciphers,2004:320-326.

[5] Li W,Gu D,Li J.Differential fault analysis on the ARIA algorithm[J].Information Sciences,2008,178(19):3727-3737.

[6] Gandolfi K,Mourtel C,Olivier F.Electromagnetic analysis:Concrete results[C]//Cryptographic Hardware and Embedded Systems—CHES 2001.Springer Berlin Heidelberg,2001:251-261.

[7] Halderman J A,Schoen S D,Heninger N,et al.Lest we remember:cold-boot attacks on encryption keys[J].Communications of the ACM,2009,52(5):91-98.

[8] Akavia A,Goldwasser S,Vaikuntanathan V.Simultaneous hardcore bits and cryptography against memory attacks[C]//Theory of Cryptography.Springer Berlin Heidelberg,2009:474-495.

[9] Naor M,Segev G.Public-key cryptosystems resilient to key leakage[J].SIAM Journal on Computing,2012,41(4):772-814.

[10] Luo X,Qian P,Zhu Y.Leakage-resilient IBE from lattices in the standard model[C]//Information Science and Engineering (ICISE),2010 2nd International Conference on.IEEE,2010:2163-2167.

[11] Chen Y,Zhang Z,Lin D,et al.Generalized (identity-based) hash proof system and its applications[J].Security and Communication Networks,2013,9(12):143-160.

[12] Hazay C,López-Alt A,Wee H,et al.Leakage-resilient cryptography from minimal assumptions[C]//Advances in Cryptology-EUROCRYPT 2013.Springer Berlin Heidelberg,2013:160-176.

[13] Li S,Zhang F,Sun Y,et al.Efficient leakage-resilient public key encryption from DDH assumption[J].Cluster computing,2013,16(4):797-806.

[14] Qin B,Liu S,Chen K.Efficient chosen-ciphertext secure public-key encryption scheme with high leakage-resilience[J].IET Information Security,2014,9(1):32-42.

[15] Liu S,Weng J,Zhao Y.Efficient public key cryptosystem resilient to key leakage chosen ciphertext attacks[C]//Topics in Cryptology-CT-RSA 2013.Springer Berlin Heidelberg,2013:84-100.

[16] Fujisaki E,Kawachi A,Nishimaki R,et al.Post-Challenge Leakage Resilient Public-Key Cryptosystem in Split State Model[J].IEICE Transactions on Fundamentals of Electronics,Communications and Computer Sciences,2015,98(3):853-862.

[17] Zhang Z,Chow S S M,Cao Z.Post-challenge leakage in public-key encryption[J].Theoretical Computer Science,2015,572(C):25-49.

[18] Chen D,Zhou Y,Han Y,et al.On hardening leakage resilience of random extractors for instantiations of leakage-resilient cryptographic primitives[J].Information Sciences,2014,271(7):213-223.

[19] Zhang M,Wang C,Takagi T,et al.Functional Encryption Resilient to Hard-to-Invert Leakage[J].The Computer Journal,2015,58(4):735-749.

[20] Katz J,Vaikuntanathan V.Signature schemes with bounded leakage resilience[C]//Advances in Cryptology-ASIACRYPT 2009.Springer Berlin Heidelberg,2009:703-720.

[21] Alwen J,Dodis Y,Wichs D.Leakage-resilient public-key cryptography in the bounded-retrieval model[C]//Advances in Cryptology-CRYPTO 2009.Springer Berlin Heidelberg,2009:36-54.

[22] Delerablée C.Identity-based broadcast encryption with constant size ciphertexts and private keys[C]//Advances in Cryptology-ASIACRYPT 2007.Springer Berlin Heidelberg,2007:200-215.

[23] Sakai R,Furukawa J.Identity-Based Broadcast Encryption[EB/OL].[2016-03-16].http://eprint.iacr.org/2007/217.

[24] Kim J,Susilo W,Au M H,et al.Adaptively Secure Identity-Based Broadcast Encryption With a Constant-Sized Ciphertext[J].Information Forensics and Security,IEEE Transactions on,2015,10(3):679-693.

[25] Zhang L,Hu Y,Wu Q.Adaptively Secure Identity-based Broadcast Encryption with constant size private keys and ciphertexts from the Subgroups[J].Mathematical and computer Modelling,2012,55(1):12-18.

[26] Yang C,Zheng S,Wang L,et al.Hierarchical identity-based broadcast encryption scheme from LWE[J].Communications and Networks,Journal of,2014,16(3):258-263.

[27] Liu W,Liu J,Wu Q,et al.Practical chosen-ciphertext secure Hierarchical Identity-Based Broadcast Encryption[J].International Journal of Information Security,2016,15(1):35-50.

[28] Ren Y,Niu Z,Zhang X.Fully Anonymous Identity-based Broadcast Encryption without Random Oracles[J].International Journal of Network Security,2014,16(3):247-255.

[29] Li X,Yanli R.Efficient Anonymous Identity-Based Broadcast Encryption without Random Oracles[J].International Journal of Digital Crime and Forensics (IJDCF),2014,6(2):40-51.

[30] Zhang X,Wang S,Zhang W.Forward-Secure Identity-based Broadcast Encryption Scheme from Lattice[J].Appl.Math,2015,9(4):1993-2000.

[31] Lewko A,Rouselakis Y,Waters B.Achieving leakage resilience through dual system encryption[C]//Theory of Cryptography.Springer Berlin Heidelberg,2011:70-88.

[32] Waters B.Dual system encryption:Realizing fully secure IBE and HIBE under simple assumptions[C]//Advances in Cryptology-CRYPTO 2009.Springer Berlin Heidelberg,2009:619-636.

[33] Lewko A,Waters B.New proof methods for attribute-based encryption:Achieving full security through selective techniques[C]//Advances in Cryptology-CRYPTO 2012.Springer Berlin Heidelberg,2012:180-198.

[34] Boneh D,Goh E J,Nissim K.Evaluating 2-DNF formulas on ciphertexts[C]//Theory of cryptography.Springer Berlin Heidelberg,2005:325-341.

[35] Sun J,Hu Y P.Identity-based broadcast encryption scheme using the new techniques for dual system encryption[J].Journal of Electronics and Information Technology,2011,33(5):1266-1270.

[36] Brakerski Z,Kalai Y T,Katz J,et al.Overcoming the hole in the bucket:Public-key cryptography resilient to continual memory leakage[C]//Foundations of Computer Science (FOCS),2010 51st Annual IEEE Symposium on.IEEE,2010:501-510.

IDENTITY-BASED BROADCAST ENCRYPTION WITH ANTI PRIVATE KEY LEAKAGE

Yu Qihong1,2Li Jiguo2

1(School of Information Engineering,Suqian College,Suqian 223800,Jiangsu,China)2(College of Computer and Information Engineering,Hohai University,Nanjing 211100,Jiangsu,China)

The side channel attack causes information leakage of cryptosystems, and it also destroys the security of many cryptographic schemes. There is no security scheme can resist side channel attack in identity-based broadcast encryption (IBBE). In this paper, we propose an IBBE scheme against side channel attack. The scheme uses dual system encryption technology, and we prove the safety of the proposed scheme in the standard model based on composite order bilinear group assumptions. Leakage performance analysis shows that the private key of the relative leakage rate can reach 1/3. The scheme has good performance of anti-private key leak.

Leakage-resilient Dual system encryption Private key leakage Identity-based broadcast encryption

2016-03-30。国家自然科学基金项目(61272542)；江苏省教育厅自然科学基金项目( 14KJD52006，13KJD460007)；宿迁市工业科技支撑计划项目(H201315，Z201450)；宿迁学院优秀青年骨干教师基金；宿迁学院科研基金项目(2016KY04)。于启红，讲师，主研领域：计算机网络与信息安全。李继国，教授。

TP309

10.3969/j.issn.1000-386x.2016.11.065