郝偉，王緒安，楊曉元，吳立強(qiáng)

（1. 武警工程大學(xué)電子技術(shù)系，陜西 西安 710086；2. 武警工程大學(xué)網(wǎng)絡(luò)與信息安全武警部隊(duì)重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710086）

可實(shí)現(xiàn)固定用戶安全訪問移動(dòng)終端外包數(shù)據(jù)的非對(duì)稱代理重加密系統(tǒng)

郝偉1,2，王緒安1,2，楊曉元1,2，吳立強(qiáng)1,2

（1. 武警工程大學(xué)電子技術(shù)系，陜西 西安 710086；2. 武警工程大學(xué)網(wǎng)絡(luò)與信息安全武警部隊(duì)重點(diǎn)實(shí)驗(yàn)室，陜西 西安 710086）

為實(shí)現(xiàn)固定用戶安全共享移動(dòng)終端的加密數(shù)據(jù)，提出了跨加密系統(tǒng)的非對(duì)稱代理重加密系統(tǒng)。在該系統(tǒng)中，計(jì)算能力有限的移動(dòng)終端使用相對(duì)簡單的基于身份的加密系統(tǒng)，而服務(wù)器和固定用戶使用較復(fù)雜的基于身份的廣播加密系統(tǒng)。該系統(tǒng)基于密文轉(zhuǎn)換機(jī)制，使移動(dòng)終端簡單的IBE密文被代理者轉(zhuǎn)換成復(fù)雜的IBBE密文，同時(shí)代理者不會(huì)得知明文的任何信息。該方案的安全性可以歸約到底層的IBE和IBBE方案的安全性。理論和實(shí)驗(yàn)分析表明，該方案可實(shí)現(xiàn)移動(dòng)終端只需很少的資源便能讓固定用戶安全地共享其加密數(shù)據(jù)。

代理重加密；基于身份的加密；基于身份的廣播加密；安全共享

1 引言

云計(jì)算技術(shù)的迅速發(fā)展，令智能平板、手機(jī)等移動(dòng)設(shè)備被廣泛應(yīng)用于數(shù)據(jù)外包系統(tǒng)中（如云存儲(chǔ)［1］）。用臺(tái)式計(jì)算機(jī)等固定設(shè)備的用戶和使用移動(dòng)設(shè)備的用戶之間，利用網(wǎng)絡(luò)可相互訪問各自的外包數(shù)據(jù)，即訪問由第三方存儲(chǔ)的數(shù)據(jù)。為阻止不可信的存儲(chǔ)服務(wù)器獲得外包數(shù)據(jù)的信息，一般要將外包的數(shù)據(jù)進(jìn)行加密［2］。資源充足的固定用戶通常喜歡使用基于身份的廣播加密［3］（IBBE，identityp-based broadcast encryption）加密自己的數(shù)據(jù)，好讓大批用戶同一時(shí)間共享自己的數(shù)據(jù)。然而，資源有限、計(jì)算能力偏弱的移動(dòng)設(shè)備通常使用基于身份的加密［4］（IBE，identity-based encryption）加密自己的信息，這樣可以避免繁瑣的公鑰證書發(fā)布問題。

目前，文獻(xiàn)［5］實(shí)現(xiàn)了裝有IBE加密系統(tǒng)的移動(dòng)設(shè)備可直接訪問固定用戶的IBBE文件。但是，安裝有IBBE加密系統(tǒng)的固定用戶如何直接訪問IBE文件的問題尚未解決，即資源受限的移動(dòng)終端用戶（如手機(jī)用戶）用節(jié)約資源的IBE加密過的外包數(shù)據(jù)［6］，如何被資源豐富的固定用戶（如臺(tái)式機(jī)用戶）利用耗能且方便IBBE［7］直接訪問。

該問題在單兵的野外偵察中是非常普遍的。指揮所里的每個(gè)官兵都有自己唯一的身份信息，為了保證數(shù)據(jù)的安全，他們使用裝有IBBE的加密系統(tǒng)的臺(tái)式計(jì)算機(jī)辦公。這樣，指揮所里的指揮員Alice就能讓其他同事同時(shí)安全地共享他的數(shù)據(jù)。然而，在外執(zhí)行偵察任務(wù)的偵察兵Bob為了便于偵察，只能攜帶小巧的智能設(shè)備收集情報(bào)。但是由于其計(jì)算能力不足和內(nèi)存有限的問題，Bob只能用節(jié)約資源的IBE將收集到的情報(bào)加密后上傳于云端進(jìn)行存儲(chǔ)。然而實(shí)際情況是指揮所里的其他官兵還需要共享Bob上傳的信息，進(jìn)行實(shí)時(shí)分析。但是，信息已被加密成IBE形式的密文，Bob又不便于先解密自己的IBE密文，然后再用IBBE加密發(fā)給辦公室里的戰(zhàn)友。目前存在的代理重加密技術(shù)［8］沒有一個(gè)可以將密文從一個(gè)簡單的加密系統(tǒng)代理重加密到另一個(gè)復(fù)雜的加密系統(tǒng)。亟需的方法是將Bob的密文直接轉(zhuǎn)換成Alice可以解密的密文。

因此，本文根據(jù)實(shí)際需要，利用密鑰隱藏技術(shù)［5］，基于文獻(xiàn)［3］的IBBE方案和文獻(xiàn)［4］Boyen的IBE方案，提出了可實(shí)現(xiàn)固定用戶安全訪問移動(dòng)終端外包數(shù)據(jù)的跨加密系統(tǒng)的非對(duì)稱代理重加密系統(tǒng)（APRE， asymmetric proxy re-encryption）。

2 預(yù)備知識(shí)

2.1 系統(tǒng)模型

系統(tǒng)結(jié)構(gòu)如圖1所示。該系統(tǒng)中有下面5個(gè)參與方。

1） 管理器（admin）：生成公共參數(shù)及私鑰。

2） 云存儲(chǔ)提供商（CSP）：向數(shù)據(jù)擁有者提供存儲(chǔ)服務(wù)。

3） 數(shù)據(jù)擁有者（data owners）：用IBE加密自己的數(shù)據(jù)，然后外包給CSP。

4） 數(shù)據(jù)共享者（data consumers）：若擁有管理器發(fā)布的正確私鑰，就能夠解密IBBE密文。

5） 代理者（proxy）：若有數(shù)據(jù)擁有者產(chǎn)生的轉(zhuǎn)換密鑰，就能將IBE加密的密文轉(zhuǎn)換成IBBE加密的密文。

在APRE系統(tǒng)中，數(shù)據(jù)擁有者用IBE加密自己的數(shù)據(jù)，數(shù)據(jù)共享者用IBBE加密自己的數(shù)據(jù)。忽略IBE系統(tǒng)中的數(shù)據(jù)共享者和IBBE系統(tǒng)中的數(shù)據(jù)擁有者，主要關(guān)注代理重加密機(jī)制。當(dāng)數(shù)據(jù)擁有者想將存儲(chǔ)在CSP中的IBE數(shù)據(jù)轉(zhuǎn)換成由數(shù)據(jù)共享者的身份加密形成的IBBE數(shù)據(jù)時(shí)，數(shù)據(jù)擁有者不用解密IBE密文，他用自己的私鑰和數(shù)據(jù)共享者的身份信息生成一個(gè)轉(zhuǎn)換密鑰RK，然后將RK發(fā)送給代理者。代理者從CSP中下載數(shù)據(jù)擁有者的數(shù)據(jù)，然后用RK將IBE形式的密文轉(zhuǎn)換成數(shù)據(jù)共享者可以解密的IBBE形式的密文。在整個(gè)數(shù)據(jù)轉(zhuǎn)換過程中，CSP和數(shù)據(jù)共享者都不必參與，而且數(shù)據(jù)擁有者僅需在發(fā)送數(shù)據(jù)的過程中在線即可。當(dāng)數(shù)據(jù)擁有者自己想解密數(shù)據(jù)時(shí)，他將數(shù)據(jù)從云端下載，然后解密。

2.2 安全模型

系統(tǒng)中管理器是可信的，CSP和代理者是半可信的。

由于在上述應(yīng)用情景中固定端的用戶都是可信的，因此該APRE系統(tǒng)不需要保證已授權(quán)用戶和代理者的合謀攻擊。但是，APRE系統(tǒng)需要保證它可抵抗來自非授權(quán)用戶和代理者的合謀攻擊。

圖1 系統(tǒng)模型

攻擊者有2個(gè)限制條件：1） 不能詢問挑戰(zhàn)密文的私鑰；2） 如果攻擊者擁有某一密文的解密密鑰，他不能詢問可以使挑戰(zhàn)密文轉(zhuǎn)換成該密文的重加密密鑰。APRE的安全性通過挑戰(zhàn)者和攻擊者之間的游戲定義。具體定義與普通的代理重加密方案相同，只是在挑戰(zhàn)階段有所不同。

挑戰(zhàn)階段：攻擊者A輸出2個(gè)相同長度的明文信息M0和M1。注意2個(gè)限制條件：1） 對(duì)于ID=ID*，攻擊者不能進(jìn)行Reveal（ID）詢問；2）攻擊者對(duì)于任意的ID，最多只能詢問一次RKReveal（ID*→S）或Reveal（ID）。挑戰(zhàn)者投擲硬幣b∈｛0，1｝，然后在公鑰ID*下加密Mb，再將密文CTID*返回給A。

定義1 如果所有概率多項(xiàng)式時(shí)間內(nèi)的攻擊者在上述游戲中至多擁有可忽略的獲勝優(yōu)勢(shì)，那么這個(gè)APRE系統(tǒng)是安全的。

3 方案構(gòu)造

該APRE方案涉及2個(gè)加密系統(tǒng)，即IBE加密系統(tǒng)和IBBE加密系統(tǒng)。IBE系統(tǒng)中的用戶為數(shù)據(jù)擁有者，IBBE系統(tǒng)中的用戶為數(shù)據(jù)共享者，數(shù)據(jù)擁有者生成IBE形式的共享文件并將其存放于云端，當(dāng)數(shù)據(jù)共享者想共享數(shù)據(jù)擁有者的云端數(shù)據(jù)時(shí)，數(shù)據(jù)擁有者利用自己的身份信息及想共享云端數(shù)據(jù)的數(shù)據(jù)共享者的身份集生成重加密密鑰，并將其發(fā)送給云服務(wù)器即代理者，云服務(wù)器利用重加密密鑰將IBE文件轉(zhuǎn)換成IBBE文件，這樣數(shù)據(jù)共享者便可利用自己的私鑰將共享文件解密。該APRE方案建立在一個(gè)雙線性群映射系統(tǒng)中，即（p，G， GT）←G （1λ）。當(dāng)輸入安全參數(shù)λ，G（1λ）產(chǎn)生循環(huán)群G和 GT。該APRE方案由以下算法構(gòu)成。

系統(tǒng)初始化（system setup）：管理器調(diào)用算法Setup生成系統(tǒng)公鑰PK、主密鑰MSK，公鑰PK包括IBE系統(tǒng)和IBBE系統(tǒng)中的所有公鑰，即PKIBE和PKIBBE。MSK秘密保存，PK公開。

（PK， MSK）←Setup（1λ）：選擇一個(gè)素?cái)?shù)階即q階雙線性群G，生成元為g。選擇隨機(jī)數(shù)h∈G，α∈Zp。選擇一個(gè)散列函數(shù)H:｛0，1｝*→Z，一個(gè)編碼函數(shù)F1:GT→G（該函數(shù)定義為：對(duì)于任意的x∈Zp，輸入元素e （g， gx）∈GT，輸出gx∈G）。令m為廣播加密中接收者的最大個(gè)數(shù)，計(jì)算

用戶注冊(cè)（user registration）：當(dāng)身份為ID的新用戶要加入系統(tǒng)時(shí)，首先，管理器檢查他是否為有效用戶。若是有效用戶，那么管理器會(huì)給他產(chǎn)生一個(gè)私鑰。在APRE系統(tǒng)中，不管用戶是IBE系統(tǒng)中的還是IBBE系統(tǒng)中的，管理器都會(huì)執(zhí)行以下算法給用戶提供一個(gè)私鑰。

SKID←KeyGen（PK， MSK， ID）：輸入公鑰PK、主密鑰MSK、用戶身份ID，該算法將用戶身份ID散列為H（ ID）∈Zp，最終輸出

無論在IBE還是IBBE系統(tǒng)中，只要用戶的身份是ID，那么用戶的私鑰就是相同的。令SKIBE,ID表示身份為ID的用戶在IBE系統(tǒng)中的私鑰，SKIBBE,ID表示他在IBBE系統(tǒng)中的私鑰，那么有如下關(guān)系：SKID=SKIBE,ID=SKIBBE,ID。這一特點(diǎn)也緩解了管理器的負(fù)荷。

共享文件產(chǎn)生（sharing file creation）：當(dāng)IBE系統(tǒng)中的一個(gè)數(shù)據(jù)擁有者想與該系統(tǒng)中某一身份為ID的用戶共享數(shù)據(jù)，或者一個(gè)IBE系統(tǒng)中的數(shù)據(jù)擁有者想用自己的身份ID保護(hù)自己的數(shù)據(jù)時(shí)，數(shù)據(jù)擁有者執(zhí)行以下操作：首先用某個(gè)對(duì)稱加密系統(tǒng)中的一個(gè)隨機(jī)對(duì)稱會(huì)話密鑰（SSK， symmetric session key）將數(shù)據(jù)加密，然后再用共享者的身份ID，或數(shù)據(jù)擁有者自己的身份ID，將SSK加密，最后將密文上傳于CSP。具體如下。

CTID←Encrypt（PKIBE，ID， M）：輸入公鑰PKIBE、用戶身份ID、明文M∈GT，選擇一個(gè)隨機(jī)數(shù)r∈Zp，計(jì)算

輸出CTID=（C0， C1），該CTID形成了存儲(chǔ)在CSP中的共享文件。

重加密密鑰產(chǎn)生算法（ReKeyGen）：當(dāng)具有對(duì)CSP端的IBE文件有訪問權(quán)的移動(dòng)用戶（身份為ID），想授權(quán)辦公室里的其他用戶（身份集為S）訪問該IBE加密文件時(shí)，該移動(dòng)用戶必須先執(zhí)行下面的算法，從而生成一個(gè)重加密密鑰，并將其給代理者。

輸出RKID→S=（SK,E, C1′, C2′）。在生成重加密密鑰過程中，僅當(dāng)發(fā)送該密鑰時(shí)，用戶（身份為ID）才需在線，并且CSP和辦公室里的用戶（身份集為S）都沒有參與。

代理重加密（ReEnc）：移動(dòng)用戶將RKID→S發(fā)給代理者，后者用它將移動(dòng)用戶的IBE形式的密文CTID重加密，最終形成辦公室用戶的IBBE形式的密文CTS。但在代理者重加密之前，需先將共享文件從CSP上下載，具體如下。

CTS←ReEnc（PK， RKID→S，CTID）：輸入公鑰PK、IBE密文CTID、重加密密鑰RKID→S，計(jì)算

最后，輸出CTS=（C0′， C1′， C2′，E， C1）。

共享文件解密（sharing file decryption）包括以下兩點(diǎn)。

1） 原始共享文件解密

M←DecryptIBE（PKIBE，CTID，SKID）：輸入公鑰PKIBE、密文CID、私鑰SKID，計(jì)算

2） 重加密后的共享文件解密

當(dāng)身份集S中的某用戶身份為IDj，想查看存儲(chǔ)在CSP中的共享文件，代理者將相應(yīng)的文件返回給該用戶，該用戶首先解密IBBE密文獲得對(duì)稱密鑰，然后使用對(duì)稱密鑰最終解密文件。具體如下。

M←DecryptReEnc（PK， CTS， SKS）：輸入公鑰PK，身份為IDj（IDj∈S）的用戶的私鑰SKIDj，代理重加密密文，即IBBE密文CTS=（C0′， C1′， C2′，E， C1），計(jì)算

4 方案分析

4.1 安全性分析

從定理1可以看出，如果攻破IBE方案安全性的可能性可忽略，同時(shí)攻破IBBE方案安全性的可能性也可忽略，那么攻破APRE方案安全性的可能性也可以忽略，即該APRE方案抵抗來自定義1中定義的任何概率多項(xiàng)式時(shí)間的攻擊者。

在該APRE方案中的IBBE方案是文獻(xiàn)［3］中IBBE方案的變形，原IBBE方案的安全性已在文獻(xiàn)［3］得到了證明。變形后的IBBE方案與原方案不同的是，隨機(jī)數(shù)是用散列函數(shù)處理過的，同時(shí)將加密明文的對(duì)稱密鑰放到了分母上，但這并不影響原IBBE方案的安全性。該APRE方案中的IBE方案只是將文獻(xiàn)［4］中的方案稍作改動(dòng)后形成的，即只是將原方案中私鑰的指數(shù)的分母替換成了H（ ID）。將H作為一個(gè)隨機(jī)預(yù)言機(jī)，通過控制被詢問的私鑰中的隨機(jī)值，仍然可以獲得一個(gè)安全的IBE方案。

現(xiàn)在分析引入代理重加密后的APRE方案的安全性。針對(duì)攻擊APRE方案的A，構(gòu)造攻擊IBE方案或IBBE方案安全性的算法B，它可以與A交互。根據(jù)定義1，不得不回答A的RKReveal（ID→S）詢問。因此，需要調(diào)用IBE方案的密鑰產(chǎn)生預(yù)言機(jī)，將獲得的密鑰送給算法ReKeyGen，從而得到重加密密鑰。由于IBE方案的安全性定義禁止為挑戰(zhàn)身份產(chǎn)生解密密鑰，如果攻擊者A詢問挑戰(zhàn)身份ID*的重加密密鑰（安全性定義允許），那么算法B終止模擬。為了克服這個(gè)問題，讓B以一個(gè)判定型概率輸出正確的密鑰，以一個(gè)補(bǔ)充型概率輸出隨機(jī)的密鑰。那么，與文獻(xiàn)［9］類似，創(chuàng)建一個(gè)表（β∈｛0，1｝，ID，S，RK），β=1表明B輸出一個(gè)正確的密鑰，β=0表明B輸出一個(gè)隨機(jī)密鑰。需要證明，從A的角度看，正確的重加密密鑰和隨機(jī)的重加密密鑰是不可區(qū)分的。

算法B首先運(yùn)行IBBE方案［3］的初始化算法，得到公鑰PK。算法B也包含表（β，ID，S，RK），初始化時(shí)為空。算法B按如下步驟與攻擊者A交互。

設(shè)置 攻擊者A公布要攻擊的身份ID*。

初始化 算法B將公鑰PK給A。

階段1 攻擊者A提出以下詢問。

1） Reveal（ID≠ID*）。相應(yīng)地，算法B產(chǎn)生一個(gè)解密密鑰，它投擲一個(gè)隨機(jī)數(shù)β∈｛0，1｝，使β=1的概率為θ。當(dāng)β=0，或者表中存在（0，*，ID，*）時(shí)（*表示通配符），那么B中止。否則，B調(diào)用IBE方案的密鑰產(chǎn)生預(yù)言機(jī)，輸入ID，輸出ID的私鑰，并將其返回給A。最后，算法B將（β，*，ID，⊥）寫入表中。

2） RKReveal（ID→S）。算法B像在Reveal階段一樣投擲一個(gè)隨機(jī)數(shù)β∈｛0，1｝。如果β=1且ID≠ID*，或者（1，S，*，⊥）存在于表中，算法B詢問IBE方案的密鑰產(chǎn)生預(yù)言機(jī)，得到ID的私鑰，將該私鑰輸入給算法ReKeyGen，產(chǎn)生從ID到S的重加密密鑰RK，B將RK給A。否則，B返回一個(gè)隨機(jī)重加密密鑰RK=（D, R0, R1, R2），其中D是G中的一個(gè)元素，（R0， R1， R2）可以看成是某個(gè)消息的IBBE密文。最后，B將（β，ID， S， RK）存入表中。

挑戰(zhàn)階段 攻擊者A輸出2個(gè)明文M0和M1。如果對(duì)任意的S′和RK′，表中都有記錄（1，ID*，S′，RK′），那么算法B終止。否則，B將挑戰(zhàn)信息（ID*， M0，M1）送給IBE方案的加密預(yù)言機(jī)，并將挑戰(zhàn)密文返回給A。

階段2 除了定義1中禁止的詢問外，其他操作都重復(fù)階段1中的操作。

猜測階段 攻擊者輸出它的猜測b′∈｛0，1｝，同時(shí)B也輸出同樣的比特。

現(xiàn)在分析B攻破IBE方案安全性和IBBE方案安全性的概率上界。如果B沒有終止并且一直輸出正確的密鑰，那么它就完美地模擬了真實(shí)的方案。

然后，分析A區(qū)分一個(gè)正確密鑰與一個(gè)隨機(jī)密鑰的概率。隨機(jī)重加密密鑰的形式是（D，R0，R1，R2），其中DR←?G，正確重加密密鑰的形式是（SKID·F（ k），E，C1′，C2′），其中（E，C1′，C2′）是一個(gè)與k相關(guān)的IBE密文。可以看出，SKID被F（ k）隨機(jī)化了。區(qū)分這2個(gè)密鑰的唯一方法就是區(qū)分（R0，R1，R2）與（E，C1′，C2′）。然而，這等同于攻破IBBE方案的安全性。因此，A區(qū)分一個(gè)正確密鑰與一個(gè)隨機(jī)密鑰的概率是可以忽略的。

攻擊者可以成功區(qū)分出挑戰(zhàn)密文的明文信息的概率，與攻破IBE方案的安全性的概率相同。

4.2 效率分析

4.2.1 理論分析

由于指數(shù)運(yùn)算和雙線性配對(duì)在非對(duì)稱加密系統(tǒng)中開銷較大，因此主要關(guān)注它兩的開銷即可。由于辦公用戶的計(jì)算能力強(qiáng)，這里也就忽略辦公用戶解密IBBE密文的開銷，主要考慮移動(dòng)設(shè)備的計(jì)算開銷是否滿足實(shí)際需求。

從表1可以清楚地看到代理重加密機(jī)制的效率。擁有IBE密文正確的解密密鑰的數(shù)據(jù)擁有者，僅用一個(gè)指數(shù)運(yùn)算和一個(gè)配對(duì)運(yùn)算便能解密密文，這使能力有限的移動(dòng)用戶花費(fèi)較小的代價(jià)就可以獲得明文信息。此外，轉(zhuǎn)換過程中代理者也僅用一個(gè)指數(shù)運(yùn)算和一個(gè)配對(duì)運(yùn)算?？梢?，該APRE方案的實(shí)用性相對(duì)較好。

表1 APRE方案各階段的功耗

表2 相關(guān)方案的比較

表2將APRE方案與其他代理重加密方案在方案的效率、是否需要交互等方面進(jìn)行了比較。文獻(xiàn)［9］中的方案是基于IBE構(gòu)造的，它有固定長度的公私鑰、原始密文、轉(zhuǎn)換密鑰等，但它僅可以在單系統(tǒng)中進(jìn)行一對(duì)一的密文轉(zhuǎn)換。文獻(xiàn)［10］允許跨加密系統(tǒng)轉(zhuǎn)移密文，然而，數(shù)據(jù)擁有者和數(shù)據(jù)共享者在轉(zhuǎn)換過程中需要交互。與文獻(xiàn)［9］和文獻(xiàn)［10］相比，APRE方案支持一對(duì)多的跨加密系統(tǒng)的密文轉(zhuǎn)換，而且，管理器和數(shù)據(jù)共享者都不需要參與重加密密鑰的生成。這些特點(diǎn)都說明APRE方案的實(shí)用性。

4.2.2 性能分析

由于該系統(tǒng)是針對(duì)固定用戶方便快捷地訪問移動(dòng)設(shè)備的外包數(shù)據(jù)而設(shè)計(jì)的，而且目前固定用戶使用的臺(tái)式機(jī)的配置都相當(dāng)高，它們進(jìn)行雙線性群的操作也就相對(duì)較快，因而實(shí)驗(yàn)過程中忽略固定用戶在各階段的耗時(shí)情況，主要針對(duì)移動(dòng)設(shè)備的計(jì)算效率進(jìn)行實(shí)驗(yàn)?；谖墨I(xiàn)［11］的實(shí)驗(yàn)結(jié)果，在使用Intel四核i3-2130處理器，運(yùn)行頻率為3.40 GHz的臺(tái)式計(jì)算機(jī)模擬固定用戶，移動(dòng)設(shè)備由裝有安卓v4.1.2操作系統(tǒng)的三星Galaxy S3模擬，用斯坦福的PBC庫［12］進(jìn)行雙線性群的操作的環(huán)境下，一次配對(duì)運(yùn)算的耗時(shí)為0.682 s，一次GT中元素的模指數(shù)運(yùn)算的耗時(shí)為0.139 s，估算出移動(dòng)設(shè)備的加密、解密及生成重加密密鑰的耗時(shí)情況。在APRE方案中，產(chǎn)生重加密密鑰效率的高低主要取決于參數(shù)n，也就是IBBE系統(tǒng)中允許訪問代理重加密密文的用戶數(shù)。在實(shí)驗(yàn)中，分別取n=10,20,30,…,100，觀察移動(dòng)設(shè)備的加密、解密及生成重加密密鑰的耗時(shí)情況。

圖2表示移動(dòng)用戶加密原文件生成IBE共享文件和解密IBE共享文件的耗時(shí)。能夠看出，移動(dòng)用戶生成IBE共享文件的耗時(shí)為0.873 s，解密IBE共享文件的耗時(shí)為0.821 s，而且移動(dòng)用戶加、解密的耗時(shí)不隨著IBBE系統(tǒng)中有訪問權(quán)的用戶數(shù)n的增加而增大。這對(duì)計(jì)算能力受限的移動(dòng)用戶來說是完全可以承受的，而且隨著移動(dòng)設(shè)備的不斷更新?lián)Q代，其加、解密的耗時(shí)會(huì)越來越低。因此，該APRE方案完全可適用于計(jì)算資源受限的移動(dòng)用戶。

圖3表示移動(dòng)用戶生成重加密密鑰RKID→S的耗時(shí)。可以看出，生成重加密密鑰所需的時(shí)間，隨著IBBE系統(tǒng)中具有訪問代理重加密密文的用戶數(shù)n的增多而線性增長，當(dāng)n為100時(shí)，生成重加密密鑰所的耗時(shí)達(dá)37.573 s。這從第2節(jié)的重加密密鑰產(chǎn)生算法也可以看出，隨著n的增加，群G中元素的運(yùn)算個(gè)數(shù)就會(huì)隨之增多，進(jìn)而生成重加密密鑰的耗時(shí)就會(huì)增大。這表明，當(dāng)IBBE系統(tǒng)中具有訪問代理重加密密文權(quán)限的人數(shù)不是特別大的情況下，移動(dòng)用戶完全可以承擔(dān)生成重加密密鑰的開銷。因此，該APRE系統(tǒng)完全可以適用中小型企業(yè)。

圖2 移動(dòng)用戶生成和解密IBE共享文件的耗時(shí)

圖3 移動(dòng)用戶生成重加密密鑰的耗時(shí)

5 結(jié)束語

使用現(xiàn)存的IBE方案的變形方案及IBBE方案的變形方案，用密鑰隱藏技術(shù)，本文提出了一個(gè)非對(duì)稱代理重加密方案，可以為2個(gè)能力不對(duì)等的計(jì)算設(shè)備進(jìn)行加密數(shù)據(jù)的轉(zhuǎn)換，更有利于移動(dòng)用戶外包數(shù)據(jù)，方便實(shí)現(xiàn)與固定用戶的數(shù)據(jù)共享。該方案可以將簡單的IBE密文通過代理重加密轉(zhuǎn)換成復(fù)雜的IBBE密文，便于將計(jì)算受限的設(shè)備產(chǎn)生的數(shù)據(jù)轉(zhuǎn)換成計(jì)算資源充足的設(shè)備能夠解密的數(shù)據(jù)。雖然，與現(xiàn)存的其他跨加密系統(tǒng)的方案一樣，本文方案也不能抵抗代理者與被授權(quán)的數(shù)據(jù)接收者的合謀攻擊，但是它有很好的實(shí)用性。存在的不足是移動(dòng)用戶在重加密密鑰的產(chǎn)生過程中，功耗隨著共享數(shù)據(jù)的用戶數(shù)的增大而線性增長，這使該APRE方案不適用于共享者人數(shù)太大的情況。

［1］ CHU C K， CHOW S M， TZENG W G， et al. Key-aggregate cryptosystem for scalable data sharing in cloud storage［J］. IEEE Transactions on Parallel and Distributed Systems， 2014， 25（2）：468-477.

［2］ LEE B. Unified public key infrastructure supporting both certificate-based and id-based cryptography［C］//The International Conference on Availability， Reliability， and Security. 2010：54-61.

［3］ DELERABLéE C. Identity-based broadcast encryption with constant size ciphertexts and private keys［C］//The 13th International Conference on Theory and Application of Cryptology and Information Security. 2007： 200-215.

［4］ BONEH D， BOYEN X. Efficient selective-id secure identity-based encryption without random oracles［C］//The International Conference on the Theory and Applications of Cryptographic Techniques. 2004： 223-238.

［5］ DENG H， WU Q H， QIN B， et al. Asymmetric cross-cryptosystem re-encryption applicable to efficient and secure mobile access to outsourced data［C］//The 10th ACM Symposium on Information， Computer and Communications Security. 2015： 393-404.

［6］ HWU J S， CHEN R J， LIN Y B. An efficient identity-based cryptosystem for end-to-end mobile security［J］. IEEE Transactions on Wireless Communications， 2006， 5（9）：2586-2593.

［7］ DENG H， WU Q， QIN B， et al. Tracing and revoking leaked credentials： accountability in leaking sensitive outsourced data［C］//The 9th ACM Symposium on Information Computer and Communications Security. 2014： 425-434.

［8］ ATENIESE G， FU K， GREEN M， et al. Improved proxy re-encryption schemes with applications to secure distributed storage［J］. ACM Transactions on Information and System Security（TISSEC）， 2006， 9（1）： 1-30.

［9］ CHU C K， TZENG W G. Identity-based proxy re-encryption without random oracles［C］//The 10th International Conference on Information Security. 2007： 189-202.

［10］ MATSUO T. Proxy re-encryption systems for identity-based encryption［C］//The First International Conference on Pairing-Based Cryptograph. 2007： 247-267.

［11］ SHAO J， LU R， LIN X. Fine-grained data sharing in cloud computing for mobile devices［C］//Computer Communications （INFOCOM）. 2015： 2677-2685.

［12］ ［EB/OL］. http：// crypto. stanford. edu/ pbc.

郝偉（1990-），男，內(nèi)蒙古包頭人，武警工程大學(xué)碩士生，主要研究方向?yàn)楣€密碼理論與應(yīng)用。

王緒安（1981-），男，湖北荊州人，博士，武警工程大學(xué)副教授，主要研究方向?yàn)槊艽a學(xué)與信息安全。

楊曉元（1959-），男，湖南湘潭人，武警工程大學(xué)教授、博士生導(dǎo)師，主要研究方向?yàn)槊艽a學(xué)、信息安全、網(wǎng)絡(luò)安全。

吳立強(qiáng)（1986-），男，陜西藍(lán)田人，碩士，武警工程大學(xué)講師，主要研究方向?yàn)楦衩艽a學(xué)與可證明安全。

Asymmetric proxy re-encryption system achievable for office user to securely sharing outsourcing data of mobile terminal

HAO Wei1,2， WANG Xu-an1,2， YANG Xiao-yuan1,2， WU Li-qiang1,2
（1. Electronic Department Engineering， College of Chinese People's Armed Police， Xi'an 710086， China；2. Key Laboratory of Network & Information Security Engineering， College of Chinese People's Armed Police， Xi'an 710086， China）

In order to realize the office users securely share encrypted data of the mobile terminal， an asymmetric cross-cryptosystem proxy re-encryption system is proposed. In this system， mobile terminals who have the limited computing power use relatively simple identity-based encryption system， while the server and office users use more complex identity-based broadcast encryption system. This system is based on the ciphertext conversion mechanism，which enables the simple IBE ciphertext of mobile terminal to be converted into the complex IBBE ciphertext by proxy while the proxy know nothing of the plaintext. The security of this scheme can be reduced to the safety of the IBE and IBBE scheme. Theoretical and experimental analysis indicate that the scheme is useful for the mobile terminal to consume less resources to make the fixed users share the data encrypted by mobile terminal， and it is more practical.

proxy re-encryption， identity-based encryption， identity-based broadcast encryption， securely sharing

s： The National Natural Science Foundation of China（No.61272492， No.61572521）， The Natural Science Foundation of Shaanxi Province（No.2014JM8300）， The Basic Research Program of Engineering University of Chinese People's Armed Police （No.WJY201422， WJY201523）

TP309

A

10.11959/j.issn.2096-109x.2016.00099

2016-08-07；

2016-09-03。通信作者：楊曉元，15229343424@163.com

國家自然科學(xué)基金資助項(xiàng)目（No.61272492，No.61572521）；陜西省自然科學(xué)基金資助項(xiàng)目（No.2014JM8300）；武警工程大學(xué)基礎(chǔ)研究基金資助項(xiàng)目（No.WJY201422，No.WJY201523）