标准模型下种实用的和可证明安全的IBE方案.docVIP

标准模型下一种实用的和可证明安全的IBE方案( 徐鹏，崔国华*，雷凤宇 华中科技大学 计算机科学与技术学院信息安全实验室 湖北 武汉 430074 摘要：组合公钥方案是一种用于基于身份密码体制中生成用户加密密钥和私钥的知名方案。针对组合公钥方案存在合谋攻击的问题，通过仅扩展该方案的私钥生成过程，实现了扩展方案的抗合谋攻击性。在此基础上构建标准模型下基于Decisional Bilinear Diffie-Hellman 假设可证明安全的一种新的基于身份加密方案。最后，为了说明所构新方案的实用性，分析了扩展组合公钥方案的用户加密密钥抗碰撞性；对比了新方案和同类的3个知名方案在安全性证明的归约程度方面、加解密的时间复杂度方面和密文的长度方面的性能，并得出新方案在以上三点上具有目前最优的指标，因此新方案是相对较实用的。 关键字：组合公钥，合谋攻击，标准模型，Decisional Bilinear Diffie-Hellman 假设，基于身份加密 引言 1984年，Shamir创造性的提出了基于身份的加密体制（Identity-Based Encryption, IBE）的概念[1]。和传统的公钥加密体制不同，它可以使用任意字符串作为用户的公钥，这样取消了传统公钥加密体制对在线密钥管理中心的需要，从而大大的提高了效率。虽然IBE的概念提出的很早，但直到2001年才由Boneh提出了第一个实用的IBE方案[2]，并且该方案成功的在随机预言机模型（Random Oracle Model, RO Model）下将双线性计算难题Bilinear Diffie-Hellman问题（BDH问题）的求解归约到其IBE方案的破解，因此是RO模型下可证明安全的。与此同时，Boneh也提出了新的问题，即能否构建标准模型下可证明安全的IBE方案。 在标准模型下构建可证明安全的加密方案具有十分重要的实用意义。众所周知，RO模型下的安全性证明中使用了随机预言机提供询问应答服务，而真实环境中并不存在随机预言机，因此一个RO模型下可证明安全的加密方案在实用中必须选取合适的哈希函数或伪随机函数等等算法来代替方案中的随机预言机（即实例化随机预言机过程），这样对实例化后的方案是否安全和实用需要做进一步的评估[3]。而在标准模型下可证明安全的加密方案通常只需要抗碰撞的哈希函数、或伪随机函数、或单向函数，甚至有的方案根本不需要此类函数，因此其可证明安全性更实用。当然，这些并不能说明标准模型绝对优于RO模型，因为成功实例化随机预言机后的加密方案并不一定比标准模型下可证明安全的方案的安全性和执行效率低，而且有的标准模型下可证明安全的加密方案很显然就是不实用的，例如，文献[4]中的IBE方案。由于在标准模型下构建可证明安全的加密方案比RO模型要难，而且其安全性证明更实用，因此近几年得到了广泛的重视，特别是构建标准模型下可证明安全的IBE方案。 在证明安全性的过程中，必须选取一个公认的难题（或称之为假设），并完成该难题的求解到加密方案破解的归约。这些难题可分为：计算难题和判定难题。而要在标准模型下建立可证明安全的加密方案必须选取判定难题，因为在RO模型下安全性证明的归约过程中计算难题的求解是依赖随机预言机的，而标准模型下由于不存在随机预言机，并且在安全性定义的攻击游戏中[2]，仿真器不可能根据其与相应攻击者的交互信息求解计算难题，例如，IND-ID-CPA安全性定义的攻击游戏中，攻击者告诉仿真器的只有身份信息、两个等长的明文信息和攻击结束时的一位猜测信息，而这些信息或者是仿真器已知的、或者和计算难题的求解无关，因此无法正确的归约并求解计算难题。由此可见，判定难题在标准模型中构建可证明安全的IBE方案是至关重要的。 2004年，Boneh等人[5]提出了第一个标准模型下可证明安全的IBE方案，即在相对较弱的安全性定义下（即非适应性选择挑战ID和选择明文攻击下的语义不可区分性，简称为IND-sID-CPA安全性）成功的实现了Decisional Bilinear Diffie-Hellman问题（Decisional BDH 问题）的求解到该方案破解的归约。但是在相对较强的安全性定义下（即适应性选择挑战ID和选择明文攻击下的语义不可区分性，简称为IND-ID-CPA安全性），该IBE方案的归约十分“松散”，具体的说该归约是指数级的归约，因而在实用中为了保证IND-ID-CPA安全性会选取一个很大的安全参数，但这使得该IBE方案不具有实用性。同年，Boneh等人[4]提出了另一个标准模型下可证明安全的IBE方案，虽然该方案实现了IND-ID-CPA安全性下Decisional BDH问题的求解到IBE方案破解相对有效的归约，但其方案中密文的长度与用户ID的长度有关，因而密文较长，同时