韩家伟,刘衍珩,孙 鑫,宋立军

(1.吉林大学 计算机科学与技术学院,长春130012;2.长春大学 量子通信技术实验室 长春130022;3.吉林大学 符号计算与知识工程教育部重点实验室 长春130012)

0 引 言

基于身份的加密方案是一种简捷高效的公钥加密机制。用户身份可以由邮箱或其他任意字符串表示,发送方可以直接用接收方的身份作为公钥加密消息,用户的私钥则由可信任的密钥生成器(Private key generator,PKG)生成。与公钥基础设施(Public key infrastructure,PKI)相比,IBE加密方案更为方便和高效。但是在用户数量增多时,大量的私钥发放、更新,用户撤销等操作,使PKG成为系统瓶颈。随着IBE在各个领域的应用日益增多[1,2],研究人员发现有效利用云服务充分的计算资源是一种提高IBE方案效率的有效方式。Li等[3]提出了通过云服务来分担PKG密钥更新和撤销任务的方案,与原始的IBE方案[4]和通过二叉树管理用户撤销的RIBE方案[5]相比,可以较高效地解决PKG的性能瓶颈问题。但是现有方案中,PKG和云服务之间需要频繁地传输用户列表、用户撤销列表,用户服务密钥等敏感信息,因此需要实际的安全通道来保证传输安全,否则IBE方案内部信息被窃取和篡改,会对整体方案带来巨大安全威胁。此外,现有以公开时间和哈希函数作为时间标识构建私钥的方法为非法用户伪造私钥提供了可能性。

量子加密是依据量子态的物理特性以及量子物理理论进行加密通信的可证安全的加密技术[6],其安全性依赖量子物理原理而不是传统密码学的数学复杂性,因此在拥有超强计算能力的云计算环境中具有显著安全优势。量子卫星网络、量子城域网络、量子干线网络等实际量子网络的建设[7],阿里云和电信运营商的参与,利用量子密钥加密已经实际应用到各个领域[8]。引入量子密钥分发(Quantum key distribution,QKD)技术到现有云计算和大数据环境[9,10],充分利用量子密钥的物理特性[8,11]通过与现有方案结合,可以有效加强系统安全性。

本文提出了一个结合量子密钥和云服务的IBE方案——QIBE(Quantum identity based encryption),通过量子保密技术加强PKG和云服务间通信安全,并且利用量子物理安全特性生成的“量子时间令牌”(Quantum time token,QTT)”,定期管理维护未撤销用户的私钥,实现一个云计算环境下安全、高效、可撤销的IBE方案。

1 相关知识及问题定义

1.1 量子密钥分发

量子密钥分发是量子通信技术中最为成熟并且广泛进行实际应用的技术,利用量子态的物理特性进行量子密钥的分发具有高度安全性[6,12]。量子密钥分发协议主要有基于单光子的QKD协议、基于连续变量的QKD协议和基于量子纠缠的QKD协议。其中BB84是最早并且最为成熟的量子密钥分发协议。BB84协议利用了单光子的偏振特性,依据海森堡不确定性原理和量子不可克隆理论,窃听者无法在没有干扰通讯的情况下观察到通讯信息。收发双方主要通信过程为:首先,发送方Alice准备用于发送量子序列的量子源S＝{|0＞,|1＞,|＋＞,|－＞}和一个随机比特序列。Alice根据比特序列依次随机选择基矢制备1个量子态,并将量子态序列。 发送给接收方Bob。接收方Bob并不清楚Alice使用哪个基矢制备的量子态,因此也随机选择一个基矢对接收到的量子态进行测量,并记录测量结果。在量子序列发送后Alice公布制备量子态时选择的基矢序列,Bob对基矢序列进行比对,舍弃了不同基矢的测量结果,余下的比特信息经过“后处理”过程后就作为双方共享的量子密钥,从而完成了量子密钥的分发过程。在此过程中任何的窃听者对量子态进行测量或窃听,都会对量子态进行破坏,从而使窃听者被发现。

1.2 相关定义

通过量子密钥分发,可以在收发两端安全地、同步地生成量子密钥。在原有基于云服务的IBE方案基础上引入量子密钥分发机制,既可以有效保证PKG与云服务之间的实际安全通信,同时利用量子密钥的特性构造的量子时间令牌可以安全高效地进行用户密钥更新和用户撤销管理,相关定义如下:

定义1 量子加密通道QEC(Quantum encrypted channel)。收发双方通过量子信道进行量子密钥分发后,为了利用量子密钥进行基于比特流的OTP(One time pad)加密的安全传输通道。

利用量子密钥进行“一次一密”的加密是目前可证安全的量子加密通信方式。

现有的方案中,是以时间段与哈希函数直接运算作为时间列表分发给用户,存在非法用户利用公开时间和哈希函数伪造私钥的可能性。而通过每个阶段发布一个不同的量子标识序列来获得的时间标识,可以保证原有的加密结构的同时,有效防止域外用户伪造私钥。

式中:μ为云服务端从PKG获得的主密钥的随机分量,;r i为一个随机数且。H2为哈希函数,现有方案一般采用将用户私钥分割为ID部分和时间部分,共同构成私钥,而在密钥更新时只由云服务更新私钥中的时间部分,这样可以将密钥更新的任务转移到云服务完成,提高系统效率。但是采用的时间和哈希函数都是公开的,存在一定安全隐患,采用量子时间令牌代替现有方案中私钥的时间部分,可以保留用户仍然使用公开的时间进行加密的便捷,同时防止非法用户伪造私钥。

(3)随机性:量子时间令牌通过随机分割的主密钥分量μ,量子标识序列和当前时间片P i及随机数r i计算得到,量子时间令牌的生成是随机的。

式中:d id为私钥中身份标识部分,为量子时间令牌。两者通过“与门”连接为一体构成用户私钥。

2 基于量子密钥和云服务的QIBE方案

2.1 QIBE方案的组件设计

基于量子密钥分发和云服务的QIBE方案如图1所示。使用云服务分担PKG在用户私钥生成和更新时产生巨大的计算和通信的负载。通过利用量子密钥分别实现量子加密传输和量子时间令牌发放功能,在现有IBE方案基础上有效的加强了安全性。

图1 基于量子密钥和云服务的QIBE方案Fig.1 QIBE scheme based on cloud service and quantum keys

QIBE方案包括PKG、用户、量子时间令牌云服务提供者QTT-CSP,以及用于PKG和QTTCSP之间量子密钥分发链路及设备。其中各组件的作用如下:

PKG:密钥生成器,用于私有密钥的生成和发布,PKG与QTT-CSP之间通过量子加密通道QEC对用户撤销列表、主密钥分量等敏感数据信息传输使用基于量子密钥的“一次一密”,实现高度安全的量子加密通信

QTT-CSP:通过发放“量子时间令牌”QTT,实现对混杂私钥的部分更新,从而实现将繁重的密钥更新的计算任务和通信任务转移给云计算服务来完成,QTT-CSP可以是私有云也可以是经过授权使用量子通信服务的公有云或混合云。

用户:获得由PKG发放的混杂私钥sk id,pi,sk id,Pi包括两个部分,如定义3所示。其中sk id,p0由PKG初次发放时获得,之后通过用户与QTTCSP的交互更新每一个时间段P i下用户ID所对应的量子时间令牌QTT id,Pi,只有未撤销用户才能够在新的时间段P i＋1获得新的QTT id,Pi。

QKD设备:采用技术成熟使用比较广泛的基于单光子诱骗态BB84协议的量子密钥分发设备。量子密钥的生成、量子态的传输均基于量子链路实现,可以有效对抗基于云环境的高性能破解计算能力。

2.2 QIBE方案的主要算法

QIBE在现有基于云服务的IBE方案基础上,保留了基于椭圆曲线双线性映射的特点,引入基于量子密钥加密和管理的相关算法,提高实用性和安全性。主要算法有初始化算法;量子链路初始验证算法;用户私钥生成算法;量子时间令牌更新算法。

初始化算法Setup(k):初始化PKG,生成通用的系统参数和主密钥。

(1)设k为安全参数,选择随机生成元g,g∈G1。

(2)随机选择主密钥α,,而g1＝gα,然后选择g2并且g2∈G1,同时选择2个哈希函数H1和H2,H1,H2:{0,1}∗→G T。输出公共参数pk(g,g1,g2,H1,H2)。

(3)主密钥α,对于每个用户随机分割α使α＝β＋μmodq其中。β为用于身份标识加密的主密钥分量,由PKG持有,μ为用于时间标识加密的主要分量,传输给QTT-CSP持有。

(4)生成私有信息列表Pil,Pil＝{rl,ul},rl为撤销列表,rl＝∅,ul为用户列表。

(5)PKG与QTTCSP之间建立量子加密通道QEC(μ,Pi),对核心参数进行基于量子密钥的“一次一密”传输。

建立QEC通道时,需要采用QKD协议生成的量子密钥进行初始验证。在PKG和QTTCSP之间的量子链路初始验证算法如下:

(1)PKG与QTT-CSP通过量子链路共享对称量子密钥Кqauth

(2)PKG→QTT-CSP(σ,MAC(H(σ),Кqauth)

(3)QTT-CSP→PKG(H(σ),MAC(H(σ),Кqauth)

(4)PKG→QTT-CSP 认证通过返回“ACK”否则认证失败返回“NAK”。

σ表示随机信息,Кqauth表示用于认证的量子密钥,MAC为消息认证函数,H为只用于认证阶段的哈希函数。

用户私钥生成算法Key Gen(id,QTT id,Pi,rl,β)如下:

(1)运行在PKG端,检查用户的id是否存在于撤销列表rl中,若存在则输出“⊥”,程序终止退出。

(2)根据公式(4)计算用户的私钥。其中基于id生成的私钥部分称为d id,用户id对应当前时间段P i的量子时间令牌为QTT id,Pi。其中,r为随机数且。

(3)根据定义4及公式(2)(3)计算用户混杂私钥的量子时间令牌QTT id,Pi。

更新未撤销用户私钥中的量子时间令牌QTT id,Pi＋1部分,可以使未撤销用户继续获得新的完整私钥,从而可以进行解密。通过利用云服务进行用户私钥部分更新的方法可以将密钥更新计算和通信负载转移到云端完成。

量子时间令牌更新算法QTTUpdate(id,P i＋1,qk Pi＋1,rl)如下:

(1)运行在QTT-CSP端,在密钥更新时,QTT-CSP首先检查用户id如果在撤销用户列表rl表中,则输出“⊥”程序终止。

(2)根据定义4及公式(2)(3)执行QTT生成的过程,生成下一个时间段P i＋1的量子时间令牌QTT id,Pi＋1。

(3)根据定义5对用户的私钥sk id,Pi＋1进行更新,sk id,Pi＋1＝(d id,QTT id,Pi＋1),在此次通信中捎带将新的量子标识序列qk id,Pi＋1和量子通信密钥qck id,Pi＋1分配给用户,在用户向QTT-CSP请求更新私钥时使用。

2.3 正确性检验

PKG和QTT-CSP之间采用量子密钥机制后更加安全和具有实用性,而对于用户的加密和解密过程没有影响,仍然保留用户只需要身份ID作为公钥进行加密,利用自己的私钥进行解密的方便特性。加密和解密过程如下:

用户端加密算法Encrypt(id,P i,M,qk Pi)运行在数据发送方,输入为用户id和当前时间段P i量子标识序列qk Pi和消息M∈M,输出为密文C＝(C0,C1,T id,T Pi)。其中C0＝M(g1,g2)φ,C1＝gφ,其中φ为加密端生成的随机数并且。

解密算法Decrypt(C,sk id,Pi):解密算法运行在数据接收方,输入密文C和混杂的用户私钥sk id,Pi,其中C由用户id和时间段P i共同加密获得,而通过根据id获得的d id组件以及通过P i在QTT-CSP获得的QTT id,Pi＋1共同组成的混杂私钥sk id,Pi进行解密。解密获得初始的信息明文M的计算过程如下:

因此,用户可以利用私钥准确的解密出明文M。

2.4 安全性分析

提出的QIBE方案与现有方案相比,在安全性方面有防止窃听、破解攻击;防止域内用户共谋和防止域外非法用户伪造的优势。

(1)QIBE可以有效防止窃听、破解攻击

证明:现有方案一般以假设的安全通道进行关键系统参数的传输,而在实际应用中,由于网络的复杂性而存在的窃听、破解等安全问题会威胁IBE方案的整体安全性。在提出的QIBE方案中,引入量子密钥分发机制,充分利用量子密钥的安全特性,通过建立QEC量子加密通道,在PKG端与QTT-CSP之间通过量子加密的“一次一密”对信息进行加密,利用海森堡测不准原理,量子态不可克隆原理等量子的物理特性[6],有效防止监听和窃取,加强了现有方案的通信安全性。

(2)QIBE方案是可以有效防止同谋

提出的QIBE方案可以有效防止共谋,对于域内被撤销的恶意用户,企图通过其他用户共谋获得其他用户的量子时间令牌QTT id,Pi＋1,构造私钥sk id,Pi是无法用于解密的。QIBE通过三种方式防止此类情况。首先,对于每个用户标识id都会随机分割不同的主密钥分量;其次,每个用户与云服务通信的量子通信密钥qck id,Pi是不同的,无法伪造身份向QTT-CSP索取QTT id,Pi＋1;最后,为每个用户分发QTT id,Pi＋1时是通过随机数r i计算的,因此为每个用户分发的量子时间令牌QTT id,Pi＋1具有很好的安全性,即使获得其他用户的QTT id,Pi＋1也无法继续进行解密,可以有效抵抗同谋。对于QTT-CSP因为采用的结合量子信道和经典信道进行认证的方式,通过通信认证后,认为是半可信任的,即QTT-CSP在自身权限范围内能够得到主密钥分量μ和用户用于生成量子时间令牌的qk Pi和量子时间令牌QTT id,Pi＋1,又企图与撤销用户同谋为其继续发放QTT id,Pi＋1。但是基于量子密钥分发协议的特性,量子密钥会同时在PKG和QTT-CSP同步生成,因此虽然QTT id,Pi＋1分发的工作由云服务完成,但撤销用户列表和量子通信密钥qck id,Pi实际上是由PKG监督管理的,防止了QTT-CSP为已撤销用户继续发放QTT id,Pi＋1的可能性。

(3)QIBE可以有效防止域外非法用户伪造私钥

在现有的方案中由于私钥的时间部分采用公开时间,公开哈希函数,存在域外恶意用户伪造私钥的可能性。而在QIBE中,通过量子密钥时间标识管理,每个时间段使用不同的量子时间标识,域内用户可以进行加密和解密,而依据量子密钥的随机性,QIBE域外非法用户因无法获得量子时间标识而无法进一步伪造用户私钥。因此,提出的方案可以防止非法用户伪造用户私钥。

3 实验与性能分析

为验证QIBE方案的可行性和效率,通过实际部署的云服务和量子密钥分发网络进行实验分析。通过部署亚马逊的EC2的开源项目Eucalyptus构建云环境,实现弹性的云服务,物理层采用实际的量子密钥分发Quantum-CTEK Q GW-A设备,基本参数为:工作频率40 MHz,信号光波长1550.12 nm,信号光脉宽200,探测器暗计数≤5×10－6。量子密钥分发链路传输距离为10 km,采用1550 nm单模光纤,光路衰减为11.6 db。利用CPU型号为Intel Xeon E5-1600、主频为2.8 GHz、内存大小为16 GB的Dell T5810台式工作站作为PKG。通过实际的量子密钥分发环境,对提出的QIBE方案与现有方案在用户私钥生成时间、密钥更新即用户撤销的效率等方面综合比较分析各个方案的效率。

首先,QIBE与现有基于云服务的ORIBE方案[3]和可以利用二叉树较好进行用户密钥管理和撤销的RIBE[5]进行密钥生成效率比较,如图2所示。随着系统用户数量的增加,比较分析各方案中每个私钥生成的时间消耗。其中RIBE方案中用户私钥生成时间随着用户规模的增大接近正比增长,原因是RIBE方案中采用一个二叉树来管理所有的用户,每一个用户信息存储在一个叶子节点上,随着用户规模的增大管理用户的二叉树规模增大,用户私钥长度不断增加。密钥发布时需要遍历根节点到叶子节 点所在的路径的所有节点,所需要的时间也不断增大。在QIBE和文献[3]的ORIBE方案中,都利用了云服务的计算资源,随着用户数量增大,密钥生成的效率保持在高效而稳定的状态。QIBE方案虽然引入了量子密钥分发机制以加强系统安全性,但量子密钥由独立的量子链路生成,系统生成用户私钥的时间消耗并没有明显的增加,用户密钥生成效率较高。

图2 密钥生成时间消耗比较Fig.2 Comparison of single key generation time cost

图3所示是在用户规模为215时,比较不同方案的撤销效率。对用户的撤销是通过在密钥更新时,不再为撤销用户分发新的私钥而实现的。本文提出的QIBE方案和文献[3]中的ORIBE方案,都采用了借助云服务进行密钥更新的策略,目的是通过借助云计算服务充足的计算资源减少PKG的工作负载,从而提高系统的整体效率。文献[3]中PKG不做任何工作,甚至下线,提出的QIBE方案中的PKG只负责对云端通信密钥qck id,Pi发放数量和量子时间序列Q Pi,用户撤销列表维护等云端行为进行监督和校验工作,而密钥更新通过云服务更新量子时间令牌来高效的完成,随着系统用户规模的增大,在PKG端的时间成本是一个较小的可以忽略的常量时间,对系统资源的利用更为合理。

图3 密钥更新时间比较Fig.3 Comparison of key update time cost

随着用户撤销比率的增加,QBIE和ORIBE[3]更新密钥所需要的时间成本降低。是因为撤销用户越多,需要更新密钥的未撤销用户数量越少。而RIBE方案[5]完全运行在PKG上,随着撤销用户数量的增长,二叉树中需要更新的节点数量不断增加,对应的撤销时间成本也持续增长,在撤销比率为50%时系统的撤销效率达到最低。当用户规模增大时RIBE方案的撤销会给PKG带来更大的负担。而从图中可知,结合云服务的方案QIBE和ORIBE在用户撤销率为45%附近时,撤销效率已经开始超过RIBE方案,而云服务拥有充足的资源和计算能力,可以通过定制弹性计算服务,使系统效率进一步提高,而PKG始终可以保持良好的性能,进行新用户的密钥生成和管理等工作。

文献[3]的ORIBE与文献[5]的RIBE是针对用户撤销进行优化的方案。本文提出的QIBE方案与传统的IBE方案[4]相比在效率上更具优势,如图4所示,在用户规模为215时,QIBE方案中,PKG的始终保持较低负载,同时利用云服务进行密钥更新保持较低的时间成本,比传统IBE方案中的密钥更新时间成本更低,系统效率更好。

图4 QIBE与传统IBE方案撤销效率比较Fig.4 Comparison of revocation efficiency between QIBE and classical IBE scheme

通过以上实验,从密钥生成和密钥更新等主要引起系统效率降低的方面,比较QIBE方案和现有方案,从实验结果可知提出的QIBE方案,可以有效地将工作负载从PKG安全的转移到云服务端高效地完成,在具有较高安全性的同时,系统有较高的效率和更好的实用性。

4 结束语

本文给出了一种融合了量子密钥和云服务的基于身份加密方案。充分利用量子密钥的特性和优势,定义一个连接“量子时间令牌”和身份组件的混杂用户私钥,通过定期发放“量子时间令牌”控制用户私钥的更新和撤销。在密钥更新期间,将PKG繁重的私钥管理和更新工作以安全的方式转移给云服务提供者来完成,实现安全高效的密钥更新和用户撤销管理。通过实际实验结果表明方案在性能和效率方面都优于现有的方案。

[1]Wang X A,Ma J,Xhafa F,et al.Cost-effective secure E-health cloud system using identity based cryptographic techniques[J].Future Generation Computer Systems,2017,67:242-254.

[2]Zhou Y,Deng H,Wu Q,et al.Identity-based proxy re-encryption version 2:making mobile access easy in cloud[J].Future Generation Computer Systems,2016,62:128-139.

[3]Li J,Li JW,Chen X,et al.Identity-based encryption with outsourced revocation in cloud computing[J].IEEE Transactions on Computers,2015,64(2):425-437.

[4]Boneh D,Franklin M.Identity based encryption from the Weil pairing[J].SIAM Journal on Computing,2001,32(3):213-229.

[5]Boldyreva A,Goyal V,Kumar V.Identity-based encryption with efficient revocation[C]∥ACM Conference on Computer and Communications Security,ACM,Alexandria USA,2008:417-426.

[6]Alléaume R,Branciard C,Bouda J,et al.Using quantum key distribution for cryptographic purposes:a survey[J].Theoretical Computer Science,2014,560:62-81.

[7]郭光灿,张昊,王琴.量子信息技术发展概况[J].南京邮电大学学报:自然科学版,2017,37(3):1-14.Guo Guang-can,Zhang Hao,Wang Qin.Review on development of quantum information technology[J].Journal of Nanjing University of Posts and Telecommunications(Natural Science Edition),2017,37(3):1-14.

[8]Fröhlich B,Dynes J F,Lucamarini M,et al.A quantum access network[J].Nature,2013,501(7465):69-72.

[9]Jasim O K,Abbas S,El-Horbaty E S M,et al.Cryptographic cloud computing environment as a more trusted communication environment[J].International Journal of Grid&High Performance Computing,2014,6(2):38-51.

[10]Thayananthan V,Albeshri A.Big data security issues based on quantum cryptography and privacy with authentication for mobile data center[J].Procedia Computer Science,2015,50:149-156.

[11]韩家伟,刘衍珩,孙鑫,等.基于滑动窗口的量子密钥管理算法[J].吉林大学学报:工学版,2016,46(2):535-541.Han Jia-wei,Liu Yan-heng,Sun Xin,et al.Quantum key management algorithm based on sliding window[J].Journal of Jilin University(Engineering and Technology Edition),2016,46(2):535-541

[12]Fujiwara M,Domeki T,Moriai S,et al.Highly secure network switches with quantum key distribution systems[J].International Journal of Network Security,2015,17(1):34-39.