陳文　張凱　錢海峰

摘要：雙接收者加密（Dual Receiver Encryption，DRE）是一種特殊的公鑰加密（Public Key Encryption，PKE）體制，它允許兩個獨立的接收者分別解密同一密文得到相應的正確明文信息。雙接收者加密非常適用于敏感信息需要被監(jiān)督方或者第三方解密的應用場景?；趥鹘y(tǒng)公鑰加密方案構造的雙接收者加密方案需要額外的開銷來進行公鑰證書的發(fā)放和管理；而基于身份的雙接收者加密（Identity-Based Dual Receiver Encryption，ID-DRE）可以避免公鑰證書的問題。第一個基于身份的雙接收者加密方案是通過一個高效的基于身份的加密方案（Identity-Based Encryption，IBE）構造而得。本文首先利用從IBE構造可抵抗選擇密文攻擊（chosen-Ciphertext Attack，CCA）的PKE的通用技術對上述方案進行擴展，得到了不可區(qū)分選擇身份和選擇密文攻擊安全（Indistinguishability Against Adaptively ChosenIdentity and Chosen-Ciphertext Attack，IND-ID—CCAl的加密方案。并通過基于雙線性判定Diffie-Hellman（Bilinear Decision Diffie-Hellman，BDDH）假設（BDDH假設），對此方案的安全性進行了證明。最后，將此加密方案擴展成一個非交互式公開可認證的雙接收者加密方案，該方案是目前已知的第一個非交互式公開可認證的基于身份的雙接收者加密方案。

關鍵詞：雙接收者加密；基于身份的加密；選擇密文攻擊；非交互式公開可認證

0.引言

2004年，Diament等人首次提出了雙接收者加密（DRE）的概念，它是一種特殊的公鑰加密體制。在這種加密體制中，消息由獨立的兩方公鑰加密生成密文，而密文可由兩方各自的私鑰解密得到明文。同時，他們通過特定的橢圓曲線群上的雙線性對構造了第一個雙接收者加密方案，將基于Diffie-Hellman的三方密鑰協(xié)議應用到了雙接收加密方案的公鑰構造上。2014年，Chow等人重新定義了雙接收者加密體制，在定義了完整性的基礎上，構造了具有完全不可延展性（completely non-malleable）和明文可意識性（Plaintext-awareness）等性質的一系列加密方案。

雙接收者加密體制適用于眾多應用場景中。例如，在數(shù)據(jù)加密傳輸中，涉及政治或者醫(yī)療的敏感信息通常需要被可信的第三方備份并且監(jiān)管查看，即第三方具備和消息的接收方一樣的解密該消息的能力。在普通的公鑰加密體制中，為實現(xiàn)此項功能，消息的發(fā)送方在消息發(fā)送前一般需要和消息的接收方以及第三方進行通信，而雙接收者加密體制通過使用兩方公鑰共同加密消息避免了額外的開銷。再例如，在數(shù)據(jù)外包存儲中，如果存在兩個數(shù)據(jù)擁有者，也可以采用雙接收者加密體制對數(shù)據(jù)加密后再將數(shù)據(jù)外包存儲：當其中一個數(shù)據(jù)擁有者需要對數(shù)據(jù)進行存取操作時，無需跟另一個數(shù)據(jù)擁有者通信；需要對數(shù)據(jù)進行更新操作時，可以使用自己的私鑰進行簽名。這樣數(shù)據(jù)的存取、更新就會更加快捷，當一方擁有多個數(shù)據(jù)時，也無需對不同的解密密鑰進行管理。另外，當客戶端和文件存儲服務器進行交互時，通過雙接收者加密構造的計算難題也可使服務器可抵抗資源耗盡攻擊。雙接收者加密體制也可以用來構造可否認認證機制和密鑰托管機制協(xié)議。

基于身份的加密是一種新型的公鑰加密體制，在這種加密體制中簡單的識別符（例如郵件地址等）可用于作為方案的公鑰。與傳統(tǒng)的公鑰加密體制相比較，基于身份的加密機制大大減小了加密過程的復雜度，不需要公鑰證書，避免了證書管理上的困難。

具有非交互式公開可認證性質的公鑰加密方案允許在消息接收者和第三方無額外交互的情況下，第三方可驗證消息是否為確定明文的密文或者該消息為無效的密文。具有非交互式公開可驗證性質的公鑰加密方案通常應用在協(xié)議的設計中，例如將具有非交互式公開可認證性質的公鑰加密方案應用在多方計算協(xié)議中。另外，也可以通過具有非交互式公開可認證性質的公鑰加密方案構造安全的消息傳輸方案。

盡管雙接收者加密體制在實際中有著廣闊的應用前景，但是目前的雙接收者加密方案均是構造在傳統(tǒng)的公鑰加密方案體制下，因此它們和傳統(tǒng)的公鑰加密方案一樣，都存在證書管理的問題。文獻中提出的基于身份的雙接收者（ID-DRE）加密機制有效地解決了公鑰證書帶來的額外開銷，使得雙接收者加密方案更具實用性，但該文獻中提出的具有不可區(qū)分選擇身份和選擇密文攻擊安全（IND-ID-CCA）的雙接收者加密方案的效率較低。

在文獻中，Zhang等人基于WatersIBE的方案構造了第一個標準安全模型下的ID-DRE。本文結合Lai等人提出的技巧構造了一個新的具有不可區(qū)分選擇身份和選擇密文攻擊安全（IND-ID-CCA）的雙接收者加密方案，給出了該方案基于標準的BDDH假設的安全性證明，且安全性規(guī)約損耗僅為0（g-2n-1），q為挑戰(zhàn)者進行問詢的次數(shù)，n為接收者身份標識串的長度。在此基礎上，本文將非交互式公開可認證的概念，第一次應用到基于身份的雙接收者加密方案中。