改进的身份基在线离线加密方案

摘要：现有的基于指数逆模型的身份基在线离线加密方案的在线加密效率最高，密文长度最短，但是用户私钥由身份唯一确定，在抗私钥泄露攻击下比较脆弱。针对这个问题，将在线离线技术与Boneh等人提出的身份基加密相结合，提出了一个改进的身份基在线离线加密方案。该方案在保持原来指数逆模型在线加密效率前提下，给用户私钥中增加了一个随机参数，改进了私钥由用户身份唯一确定的弱点，从而大大提高了在抗私钥泄露攻击下的安全性。

关键词：身份基加密；在线离线；在线加密；密文长度

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）33-0063-02

Abstract： The existing identity Based online offline encryption （IBOOE） schemes in the exponent inverse model are of the highest online computation efficiency and the shortest ciphertxt size. However the user private key is fully determined by the user identity， which leads the schemes vulnerable against the private key leakage attack. This paper introduces the online offline technique into Boneh etc’s identity based encryption and proposes a improved IBOOE. Compared with the previous IBOOE in the exponent inverse model， it is of the same efficiency while adding a random number into the private key. Thus we remedy the weakness of the previous private key and our scheme strengthen the security against the private key leakage attack greatly.

Key words： identity based encryption； online offline； online encryption； ciphertxt size

1 概述

1984年，Shamir等人首次引入了身份基加密（Identity based encryption，简写为IBE）的概念[1].在IBE中，人们可以用任意字符串，比如邮箱地址、身份证号码等作为公钥，只有被管理员认证的用户才能得到用户私钥解密密文。与传统的公钥加密相比，身份基加密删除了用户证书管理工作，当一个新用户加入或解密密文时，用户无需验证其证书的有效性，从而提高了加密的效率。

随着互联网技术的发展，人们越来越多的使用轻量级设备，比如手机或无线传感器来加密数据。身份基加密的加密過程需要执行椭圆曲线上的双线性对和幂乘运算，这些运算的复杂度较高，一般的轻量级设备无法完成。2008年，Guo等人提出了身份基在线离线加密（Identity Based online offline encryption，简写为IBOOE）的概念[2]， IBOOE将IBE的加密过程分解为离线加密和在线加密两个阶段，首先离线阶段执行加密所需要的大部分的繁重运算，然后，在线阶段得到消息和接受者身份后，仅执行一些简单运算即可快速生成密文。离线阶段可由功能强大的外部设备来完成。这样IBOOE就可以在轻量级设备上运行了。此后，许多学者在效率和安全性以及拓展功能等方面对IBOOE进行了许多改进[3-8]。2011年，基于指数逆模型下Saka等人的身份基加密[9]，Chow等人提出了一个效率更高的IBOOE方案[3]，其密文长度仅有640 bits，在线加密仅需计算素数域上的一个乘法运算，满足选择身份模型下选择明文攻击安全性。该方案在计算效率和密文长度方面对原有的方案都进行了很大的改进，但是该方案的用户私钥有用户身份唯一确定，在抗私钥泄露环境下对方案的安全性带来极大挑战。

本文将在线离线技术与Boneh等人提出的IBE方案[10]相结合，提出了一个新的IBOOE方案。该方案的密文长度仅为640 bits，在线加密仅需数域上的一个乘法运算。与Chow等人的方案具有相同的密文长度和在线加密运算量，远远高于其它IBOOE方案的效率。与Chow等人的方案相比，该方案的用户私钥有一个随机参数，不能由用户身份唯一确定，在抗私钥泄露的环境下，大大改善了方案安全性。

2 改进的IBOOE方案

一个身份基在线离线加密有五个算法构成：初始化（Setup）、密钥生成（Keygen）、离线加密（Encoff）、在线加密（Encon）、解密（Dec）。在IBOOE方案中，离线加密算法选择一个随机数，计算该随机身份的离线密文，并存储一些额外信息，以便在线加密算法只需一个整数运算即可快速将随机身份的密文转换为指定身份的密文。

Setup：初始化算法随机选择群生成元gÎG， x， yÎZ*p， 计算X= gx， Y= gy。定义M为全体消息空间，设|M| =[2nM]，H：{0，1}*®[{0，1}nM]表示密码学哈希函数，身份空间为数域Zp，输出管理员公钥mpk=（g， X， Y， H ）和管理员私钥msk=（ x， y ）.

Keygen（msk， ID ）管理员随机选择rÎZ*p， 计算K=[g1（ID+x+ry）]， 输出用户私钥dID=（r， K）.

Encoff（mpk）：离线加密算法随机选择α， sÎZ*p，计算C1=gsαXs， C2=Ys， C3=H（e（g，g）s），输出离线密文CToff=（ C1， C2， C3， α， s）.

Encon（CToff， m， ID）：在线加密算法计算C4=C3 Å m， t = s（ID - α），输出密文CT=（ C1， C2， C4， t）.

Dec（dID， CT）：解密算法接收到密文CT=（ C1， C2， C4， t）. 利用dID=（r， K）. 首先计算[e（C1gtCr2，K）]=[e（gs（ID+x+ry），g1（ID+x+ry））]=[e（g，g）s]，然后计算C4 Å H（e（g，g）s = m。

3 安全性证明

定理 如果Boneh等人的IBE方案[10]BB2是CPA安全的，则该IBOOE也是CPA安全的.

证明：假设存在一个攻击者A可以攻破该IBOOE的CPA安全性， 则能构造一个仿真器B能以相同的优势攻破BB2的CPA安全性。

开始：A发送挑战身份ID*给B，B将ID*发送给C.

初始化：挑战者C执行BB2的初始化算法得到管理员私钥msk和管理员公钥mpk，并将mpk发送给B， B将mpk发送给A. 注意IBOOE 和BB2的管理员公钥是相同的。

阶段1：A提交身份ID给B，B将ID提交给C. C利用msk生成ID的私钥dID发送给B， B再发送给A. 注意IBOOE 和BB2的用户私钥是相同的。

挑战：A提交消息m0， m1给B， B将其提交给C，C随机选择bÎ{0，1}生成BB2的挑战密文C*=（C1=[gsID*Xs]， C2=Ys， C3=H（e（g， g）s ）Å mb.将C*发送给B， B随机选择rÎZ*p，计算C*1= C1gr， C*2 = C2， C*4 = C3， t* = -r. B将CT*=（ C*1， C*2 ， C*4， t* ）发送给A. 注意C*1= C1gr= [gs（ID*+rs）Xs]隐式的设置α = ID* + r/s ， t*=s（ID* - α）= -r.是正确分布的IBOOE密文.

阶段2与阶段1相同.

猜测：当A输出b时猜测值b"时，B输出相同的猜测.

4 比较

表1在效率和安全性方面将本文IBOOE方案和2个著名方案比较。素数p阶的双线性群G和Zp中的每一个元素长度是160bits，在合数N阶双线性群G中，每一个元素一般要几万个比特表示，没有公认的长度，用|G|表示。|ZN|表示 ZN中一個元素的长度，注意|G|、|ZN|比160bits大许多。消息m的长度为160bits，P表示双线性对运算，M、E表示G中的乘法、指数运算，mc表示数域Zp或环ZN的乘法运算。

从表1可得，与IBOOE[3]、IBOOE[4]相比，在线加密效率同样高，解密运算量略有增加，本文方案的密文长度与IBOOE[3]相同，却实现了私钥不由身份唯一确定的优点，提高了抗泄露环境下的安全性。本文方案私钥不由身份唯一确定方面与IBOOE[4]相同，密文长度却减少了很多。

5 结论

本文提出了一个改进的IBOOE方案，优点在于：1） 在线加密效率极高；2） 用户私钥不由身份唯一确定，在抗泄露环境下的安全性很高。本文方案非常适合在运算能力弱的轻量级设备上执行。

参考文献：

[1] SHAMIR A. Identity-based cryptosystems and signature schemes[C]// Advances in Cryptology-Proceedings of CRYPTO’84， LNCS 196. Berlin： Springer-Verlag， 1984：47-53.

[2] BONEH D， BOYEN X. Efficient selective-ID secure identity based encryption without random oracles[C]// Proceedings of the Advances in Cryptology-Eurocrypt’04. Berlin： Springer-Verlag， 2004： 223-238.

[3] GUO F， MU Y， CHEN Z. Identity-Based online/offline encryption[C]//Proceedings of Financial Cryptography and Data Security 2008.Cozumel， Mexico， 2008：247-261.

[4] CHOW S， LIU J K， ZHOU J Y. Identity-Based online/Offline Key Encapsulation and Encryption[C]// Proceedings of ASIACCS’11. Hong Kong， China， 2011：52-60.

[5] 王占君，李杰，马海英，等. 完全安全的身份基在线/离线加密[J]. 计算机应用，2014，34（12）：3458-3461.

[6] 王占君，马海英，王金华. 完全安全的等级身份基在线/离线加密[J]. 计算机应用， 2015，35（9）：2522-2526.

[7] 马海英，曾国荪，王占君，等. 高效可证明安全的基于属性的在线/离线加密机制[J]. 通信学报， 2014，35（7）：104-112.

[8] SUSAN H， WATERS B. Online/offline attribute-based encryption[C]// In Proceedings of PKC 2014， Buenos Aires， Argentina LNCS 8383， 2014：293-310.

[9] Sakai R， Kasahahara M. ID based cryptosystems with pairing on elliptic curve. IACR Cryptology eprint Archive 2003，54.

[10] 王占君，马海英，王金华. attribute Based online offline encryption with outsourcing decryptin[J]. Journal of information science and engineering. 2016， 32（6）：1595-1608.

推荐访问： 在线 离线 加密 改进 身份

---