何粒波，盧震宇，耿貞偉，秦志光

(1.電子科技大學(xué)信息與軟件工程學(xué)院 成都 610054；2.云南電網(wǎng)有限責(zé)任公司信息中心 昆明 650000)

代理重加密機(jī)制是文獻(xiàn)[1]提出的一種特殊的公鑰加密體制。在代理重加密的加密系統(tǒng)里，一個(gè)由Bob公鑰生成的密文可由不可信的代理服務(wù)器轉(zhuǎn)化為在Alice公鑰下生成的密文，Alice可使用自己的私鑰解密出明文。在整個(gè)代理重加密的過程中，代理服務(wù)器無法解密密文或獲取任何用戶的私鑰。由于密文轉(zhuǎn)化的功能，這一加密系統(tǒng)非常適用于構(gòu)建針對(duì)云計(jì)算的安全數(shù)據(jù)共享方案。為提高代理重加密方案的安全性和效率，大量的代理重加密體制陸續(xù)出現(xiàn)[2-7]。但在基于傳統(tǒng)公鑰證書框架下提出的代理重加密體制本身存在著復(fù)雜的公鑰證書管理的缺陷(如證書的生成、傳輸、驗(yàn)證、存儲(chǔ)及廢除)。于是，文獻(xiàn)[8]在2007年提出了第一個(gè)基于身份基的代理重加密體制。隨后，這一研究領(lǐng)域成為熱點(diǎn)。學(xué)術(shù)界涌現(xiàn)了大量的基于身份基的代理重加密體制[9-11]，在這種加密體制里，由于公鑰可以直接由用戶的屬性(如用戶的電子郵件)生成，所以避免了使用基于公鑰加密的代理重加密體制里復(fù)雜的公鑰基礎(chǔ)。但是由于私鑰是由私鑰生成中心生成的，所以基于身份的代理重加密體制存在著密鑰托管問題。鑒于此，文獻(xiàn)[12]在2010年提出了第一個(gè)無證書代理重加密體制。這種加密體制可以避免采用復(fù)雜的公鑰管理體制，也解決了密鑰托管問題，從而使得代理重加密這一密碼學(xué)原語被更加廣泛地應(yīng)用于不同的場(chǎng)景中。

隨著社會(huì)工程學(xué)與邊信道攻擊的快速發(fā)展，用戶的私鑰面臨著前所未有的威脅。一旦用戶私鑰泄露，整個(gè)公鑰密碼體制的安全性將面臨滅頂威脅。文獻(xiàn)[13]提出了第一個(gè)密鑰隔離的公鑰密碼體制，在系統(tǒng)里增加了一個(gè)物理安全的部件(稱之為協(xié)助器)，整個(gè)系統(tǒng)的時(shí)間分為n個(gè)碎片，在每一個(gè)時(shí)間片里，協(xié)助器生成一個(gè)新的協(xié)助器私鑰，作為用戶私鑰的一部分，通過這種方法，用戶的私鑰在每一個(gè)時(shí)間片里被更新。即使前面時(shí)間片的私鑰暴露了，也不會(huì)泄露后面時(shí)間片的私鑰?？紤]到目前有的代理重加密方案都未考慮密鑰泄露帶來的威脅，本文結(jié)合密鑰隔離的思想提出具有抗密鑰泄露功能的無證書代理重加密方案。本文的貢獻(xiàn)如下：1)通過結(jié)合密鑰隔離和無證書代理重加密方案，給出了密鑰隔離無證書代理重加密方案的形式化定義和安全模型；2)采用構(gòu)建于橢圓曲線密鑰體制上的雙線性映射工具，提出了一個(gè)密鑰隔離無證書代理重加密方案的具體方案；3)在隨機(jī)預(yù)言機(jī)模型中給出了所提方案的安全性證明，同時(shí)采用Miracl庫函數(shù)具體實(shí)現(xiàn)了該方案，實(shí)驗(yàn)結(jié)果表明該方案高效實(shí)用；4)利用該方案設(shè)計(jì)了一個(gè)基于云計(jì)算的適用于移動(dòng)互聯(lián)網(wǎng)的安全數(shù)據(jù)共享協(xié)議。

2 形式化定義和安全模型

本章討論了密鑰隔離無證書代理重加密體制(KI-CLPRE)的形式化定義、KI-CLPRE體制的IND-CPA安全證明模型及相關(guān)困難問題假設(shè)。

2.1 形式化定義

KI-CLPRE體制由以下11個(gè)算法構(gòu)成：

Setup：算法輸入安全參數(shù)k，輸出系統(tǒng)參數(shù)params、master-key和master-helper-key。

SetSecretVal：算法輸入params，用戶A身份輸出秘密值

HelperKeyUpdate：算法輸入params，masterhelper-key，用戶A身份IDA和時(shí)間周期i，輸出用戶A的第i個(gè)時(shí)刻的協(xié)助器密鑰

PartialKeyExtract：算法輸入params，master-key和用戶A身份IDA，輸出用戶A的部分密鑰

SetPrivateKey：算法輸入params、iψ、EA、SA和時(shí)間周期i，輸出用戶A第i個(gè)時(shí)刻的密鑰

SetPublicKey：算法輸入params、PA和SA，算法輸出用戶A公鑰

SetReEncKey：算法輸入PKA、SKA、PKB，用戶A的身份IDA，用戶B的身份IDB和時(shí)間周期i，輸出第i個(gè)時(shí)刻的重加密密鑰

Encrypt：算法輸入params、明文m、用戶A身份IDA、PKA和時(shí)間周期i，輸出第i個(gè)時(shí)刻的

ReEncrypt：算法輸入 params、 RKA→B、和時(shí)間周期i，輸出第i個(gè)時(shí)刻的

Decrypt1：算法輸入params、RKA→B、和時(shí)間周期i，輸出明文m。

Decrypt2：算法輸入params、SKA和時(shí)間周期i，輸出明文m。

2.2 安全模型

本文定義KI-CLPRE的IND-CPA語義安全模型。在這個(gè)安全模型里，攻擊者可被分為兩類：第一類攻擊者A1和第二類攻擊者A2。第一類攻擊者A1代表惡意的第三方，它不能獲得master-key和masterhelper-key，但是它能夠知道秘密值，可以任意值重置公鑰；第二類攻擊者A2代表一個(gè)誠實(shí)但好奇的密鑰生成中心，可以獲得master-key和master-helperkey，不能得知秘密值，所以不能替換公鑰。在代理重加密的加密體制里有兩種不同級(jí)別的密文，據(jù)此，本文將分別建立KI-CLPRE在IND-CPA游戲中對(duì)一級(jí)密文和二級(jí)密文的安全模型。

在KI-CLPRE體制中攻擊者可能執(zhí)行的預(yù)言機(jī)：

Set-Secret-Value：攻擊者A輸入?yún)?shù)ID，詢問預(yù)言機(jī)Set-Secret-Value，挑戰(zhàn)者S返回秘密值給A。

Helper-Key-Update：攻擊者A輸入?yún)?shù)ID和時(shí)間周期i，詢問預(yù)言機(jī)Helper-Key-Update，挑戰(zhàn)者S返回用戶的第i個(gè)時(shí)刻的協(xié)助器密鑰iψ=給A。

Partial-Key-Extract：攻擊者A輸入?yún)?shù)ID，詢問預(yù)言機(jī)Partial-Key-Extract，挑戰(zhàn)者S返回用戶的部分密鑰給A。

Set-Private-Key：攻擊者A輸入?yún)?shù)ID和時(shí)間周期i，詢問預(yù)言機(jī)Set-Private-Key，挑戰(zhàn)者S返回用戶第i個(gè)時(shí)刻的密鑰給A。

Set-Public-Key：攻擊者A輸入?yún)?shù)ID，詢問預(yù)言機(jī)Set-Public-Key，挑戰(zhàn)者S返回輸出用戶公鑰給A。

Set-ReEncrypt-Key：攻擊者A輸入?yún)?shù)ID和時(shí)間周期i，詢問預(yù)言機(jī)Set-ReEncrypt-Key，挑戰(zhàn)者S返回輸出第i個(gè)時(shí)刻的重加密密鑰RKA→B=給A。

Public-Key-Replace：A可以通過詢問Public-Key-Replace預(yù)言機(jī)，用自己選擇的秘密值來重置公鑰PA。

game1_level1_ciphertext(第一類攻擊者A1基于一級(jí)密文對(duì)于KI-CLPRE體制的IND-CPA游戲)：

系統(tǒng)建立階段：輸入安全系數(shù)k，挑戰(zhàn)者S執(zhí)行Setup算法，并返回除了master-key和masterhelper-key的系統(tǒng)參數(shù)params給A1。

第一階段：A1適當(dāng)詢問以下的預(yù)言機(jī)：Helper-Key-Update、Partial-Key-Extract、Set-Private-Key、Set-Public-Key、Set-ReEncrypt-Key、Public-Key-Replace。詢問這些預(yù)言機(jī)時(shí)，A1需要遵守對(duì)其的行為限定規(guī)則。

挑戰(zhàn)階段：一旦A1決定第一階段結(jié)束，A1選擇一個(gè)挑戰(zhàn)身份*ID進(jìn)行挑戰(zhàn)，并輸出兩個(gè)等長的明文挑戰(zhàn)者S隨機(jī)地選擇一個(gè)比特，并計(jì)算出挑戰(zhàn)的密文并將密文C?返回給A1。

猜測(cè)階段：最后，A1輸出一個(gè)猜測(cè)比特如果b′=b，則A1獲勝。

對(duì)A1的行為限定規(guī)則：攻擊者A1為外部用戶，所以無法獲取密鑰生成中心的主密鑰，但可以用任意值替換用戶公鑰。特別的，A1無法替換挑戰(zhàn)中的用戶ID?的公鑰。

游戲game2_level1_ciphertext(第二類攻擊者A2基于一級(jí)密文對(duì)于KI-CLPRE體制的IND-CPA游戲)與游戲game1_level1_ciphertext類似，不再贅述。

game1_level2_ciphertext(第一種類型的攻擊者基于二級(jí)密文對(duì)于KI-CLPRE體制的IND-CPA游戲)：

系統(tǒng)建立階段：輸入安全系數(shù)k，挑戰(zhàn)者S執(zhí)行Setup算法，并返回除了master-key和masterhelper-key的系統(tǒng)參數(shù)params給A1。

第一階段：A1適當(dāng)詢問以下的預(yù)言機(jī)：Helper-Key-Update、Partial-Key-Extract、Set-Private-Key、Set-Public-Key、Set-ReEncrypt-Key、Public-Key-Replace。詢問這些預(yù)言機(jī)時(shí)，A1需要遵守對(duì)其的行為限定規(guī)則。

挑戰(zhàn)階段：一旦A1決定第一階段結(jié)束，A1選擇一個(gè)挑戰(zhàn)身份ID?進(jìn)行挑戰(zhàn)，并輸出兩個(gè)等長的明文挑戰(zhàn)者S隨機(jī)地選擇一個(gè)比特并計(jì)算出挑戰(zhàn)的密文并將密文C*返回給A1。

猜測(cè)階段：最后，A1輸出一個(gè)猜測(cè)比特如果b′=b，則A1獲勝。

對(duì)A1的行為限定規(guī)則：攻擊者A1為外部用戶，所以無法獲取密鑰生成中心的主密鑰，但可以用任意值替換用戶公鑰。特別的，A1無法替換挑戰(zhàn)中的用戶ID?的公鑰。

游戲game2_level2_ciphertext (第二類攻擊者A2基于二級(jí)密文對(duì)于KI-CLPRE體制的IND-CPA游戲)與游戲game1_level2_ciphertext類似，不再贅述。

2.3 相關(guān)困難問題

計(jì)算Diffie-Hellman(CDH)問題：給定一個(gè)階為q的循環(huán)群G，g為它的生成元。隨機(jī)選定的值，給定計(jì)算出abg的值非常困難。

3 方案構(gòu)造

本文在無證書代理重加密體制CLPRE[14]的基礎(chǔ)上構(gòu)造了具有密鑰隔離功能的密鑰隔離無證書代理重加密體制KI-CLPRE。具體方案如下：

1)Setup(k)： 給定一個(gè)安全參數(shù)k，Setup算法運(yùn)行如下：

輸入一個(gè)安全參數(shù)k，生成一個(gè)q階的乘法循環(huán)群G。選擇一個(gè)群G的生成元g。

選擇加密哈希函數(shù)：

4 安全證明

證明：將規(guī)約到計(jì)算Diffie-Hellman困難問題上進(jìn)行安全證明。設(shè)定計(jì)算Diffie-Hellman問題，挑戰(zhàn)者S利用攻擊者A1來計(jì)算出。當(dāng)game1_level1_ciphertext游戲開始后，由于攻擊者A1為外部用戶，所以該攻擊者無法獲取密鑰生成中心的主密鑰master-key。挑戰(zhàn)者S設(shè)定y=gx=ga，并且模擬哈希函數(shù)為隨機(jī)預(yù)言機(jī)。之后，設(shè)置在仿真試驗(yàn)中，挑戰(zhàn)者需要在一個(gè)時(shí)間片內(nèi)猜測(cè)目標(biāo)明文中的每一位。在挑戰(zhàn)階段，挑戰(zhàn)者S返回一個(gè)一級(jí)密文

其中：

顯然，在ξ中均為已知，所以可以得到xrg即為CDH問題的解，即攻擊者A1只有在解決CDH問題之后才能對(duì)所提方案中的一級(jí)密文進(jìn)行解密。故本文的方案在隨機(jī)預(yù)言機(jī)模型下是CPA安全的。

證明：將規(guī)約到計(jì)算Diffie-Hellman困難問題上進(jìn)行安全證明。設(shè)定計(jì)算Diffie-Hellman問題，挑戰(zhàn)者S利用攻擊者A2來計(jì)算出。當(dāng)game1_level1_ciphertext游戲開始后，由于攻擊者A2為惡意的密鑰生成中心，所以該攻擊者可以獲取密鑰生成中心的主密鑰master-key，但無法獲得用戶的密鑰等參數(shù)。挑戰(zhàn)者S設(shè)定并且模擬哈希函數(shù)為隨機(jī)預(yù)言機(jī)。之后，設(shè)置在仿真試驗(yàn)中，挑戰(zhàn)者需要在一個(gè)時(shí)間片內(nèi)猜測(cè)目標(biāo)明文中的每一位。在挑戰(zhàn)階段，挑戰(zhàn)者S返回一個(gè)一級(jí)密文

其中：

顯然，在ξ中g(shù)SA、及均為已知，所以挑戰(zhàn)者可以獲得ZArg即為CDH困難性問題的解。即攻擊者A2只有在解決CDH問題之后才能對(duì)本文方案中的一級(jí)密文進(jìn)行解密。故本文的方案在隨機(jī)預(yù)言機(jī)模型下是CPA安全的。

證明：將規(guī)約到計(jì)算Diffie-Hellman困難問題上進(jìn)行安全性證明。由于本文方案中一級(jí)密文與二級(jí)密文加密算法一致，所以安全性證明與定理1類似，不再贅述。攻擊者A1只有在解決CDH問題之后才能對(duì)所提方案中的二級(jí)密文進(jìn)行解密。故本文的方案在隨機(jī)預(yù)言機(jī)模型下是CPA安全的。

證明：將規(guī)約到計(jì)算Diffie-Hellman困難問題上進(jìn)行安全性證明。由于本文方案中一級(jí)密文與二級(jí)密文加密算法一致，所以安全性證明與定理2類似，不再贅述。攻擊者A2只有在解決CDH問題之后才能對(duì)所提方案中的二級(jí)密文進(jìn)行解密。故本文的方案在隨機(jī)預(yù)言機(jī)模型下是CPA安全的。

5 性能分析

在密鑰隔離無證書代理重加密體制KI-CLPRE方案中，A方和B方由KGC周期性得提供一個(gè)協(xié)助器密鑰，從而得以在每個(gè)時(shí)間片更新各自的重加密密鑰。該方法雖然增加了方案的執(zhí)行時(shí)間，但是由于每個(gè)時(shí)間片的重加密密鑰都得以更新，所以即使單個(gè)時(shí)間片的重加密密鑰被泄露，卻仍然保密了其他時(shí)間片的重加密密鑰，減少了系統(tǒng)在復(fù)雜環(huán)境下密鑰泄露問題，提高了方案的安全性。接下來，將本文的方案與文獻(xiàn)[12]和文獻(xiàn)[14]的方案進(jìn)行性能和安全的對(duì)比分析。

te代表在群G中指數(shù)運(yùn)算的執(zhí)行時(shí)間，tp代表對(duì)運(yùn)算的執(zhí)行時(shí)間，分別代表群中元素的長度以及群TG元素的長度，代表隨機(jī)數(shù)的長度，代表消息m的長度，代表簽名的長度。

由表1可知，就執(zhí)行效率而言，在文獻(xiàn)[14]和文獻(xiàn)[12]的方案中Encrypt、SetReEncrypt、算法的執(zhí)行時(shí)間分別為，而在本文的方案中，執(zhí)行上述算法的時(shí)間為4te、4te、te、3te、te，由此可知，本文方案和文獻(xiàn)[14]的方案相當(dāng)，而明顯高于文獻(xiàn)[12]的方案。就重加密密鑰、原始密文以及轉(zhuǎn)換密文長度而言，本文方案中的長度為而文獻(xiàn)[14]和文獻(xiàn)[12]的方案中對(duì)應(yīng)長度分別為以及上述結(jié)論同樣成立。就功能來說，本文方案在基于CDH困難問題的前提下能夠達(dá)到CPA安全，并且能提供無證書和抗密鑰泄露兩種功能。雖然安全性達(dá)不到文獻(xiàn)[12]方案中的CCA安全，但是文獻(xiàn)[12]的方案不能提供抗密鑰泄露和無證書兩種功能，并且效率明顯低于本文的方案。文獻(xiàn)[14]的方案在性能方面和本文方案大致相當(dāng)，但沒有提供抗密鑰泄露的功能。

綜上所述，本文方案和文獻(xiàn)[14]的方案相比，具有更多功能，比文獻(xiàn)[12]的方案在效率方面具有明顯的優(yōu)勢(shì)。表2給出了與表1相對(duì)應(yīng)的定量分析，該數(shù)據(jù)證實(shí)了上述性能分析結(jié)論。圖1～圖4是幾種方案在加密的消耗時(shí)間、一級(jí)密文解密時(shí)間以及二級(jí)密文解密時(shí)間方面的比較。本文方案通過周期性得更新密鑰，提供了密鑰隔離功能，減緩了在復(fù)雜環(huán)境下的密鑰泄露問題。

表1 本文方案和文獻(xiàn)[14]、文獻(xiàn)[12]方案的性能對(duì)比

表2 對(duì)表1性能定量分析的對(duì)比

圖2 不同方案一級(jí)密文解密所需時(shí)間的比較

圖3 不同方案二級(jí)密文解密所需時(shí)間的比較

圖4 應(yīng)用場(chǎng)景

6 應(yīng)用場(chǎng)景

基于無證書的密鑰隔離代理重加密系統(tǒng)可以應(yīng)用到受到私鑰泄露問題困擾的一系列實(shí)際環(huán)境中。達(dá)到取消證書機(jī)構(gòu)、避免密鑰托管問題和降低密鑰泄露的危害的目的。

將本文方案部署到手機(jī)郵件應(yīng)用程序，如圖4所示，該環(huán)境下系統(tǒng)對(duì)時(shí)間分片。每個(gè)用戶持有手機(jī)和對(duì)應(yīng)的充電器，充電器作為協(xié)助器，密鑰分發(fā)中心(KGC)負(fù)責(zé)生成用戶的部分私鑰。例如，在該系統(tǒng)中，用戶Alice想給用戶Bob發(fā)送一份郵件m。首先，KGC將Alice的公鑰PA部分私鑰EA發(fā)給Alice，然后Alice在自己的手機(jī)上生成秘密值SA，并使用充電器生成時(shí)間片i下的協(xié)助器密鑰ψA,i，利用這三部分信息，Alice將私鑰更新為對(duì)應(yīng)系統(tǒng)時(shí)間片i下的私鑰同理，Bob按照這種方式得到自己的公私鑰對(duì)。Alice計(jì)算出由Alice到Bob的重加密密鑰RKA→B和郵件m對(duì)應(yīng)的密文CA,i，將RKA→B和CA,i發(fā)送給重加密服務(wù)器。重加密服務(wù)器將CA,i轉(zhuǎn)換為Bob使用自己的私鑰就可以解密CB,i得到m。假設(shè)惡意的攻擊者M(jìn)alice想偷看Alice發(fā)給Bob的郵件，Malice偷取了Bob的手機(jī)，但由于Malice無法得到Bob的充電器(協(xié)助器)，因此無法得到最新的私鑰，所以即使手機(jī)丟失，加密的內(nèi)容仍然能保持機(jī)密性。

7 結(jié)束語

KI-CLPRE體制是將密鑰隔離的功能嵌入到代理重加密體制而形成的。這種新的體制將時(shí)間分為n個(gè)時(shí)間片，在每個(gè)時(shí)間片周期性得更新用戶的密鑰和重加密密鑰，即使在某個(gè)時(shí)期，用戶的密鑰或重加密密鑰被泄露，也不會(huì)影響到系統(tǒng)在其它的時(shí)間片的安全性。從而，KI-CLPRE體制的私鑰暴露問題在惡劣的實(shí)際環(huán)境中得到了減少。本文首先形式化定義了KI-CLPRE體制，并給出了安全模型和相關(guān)困難問題假設(shè)。接著，給出了KI-CLPRE體制的具體結(jié)構(gòu)。最后，在隨機(jī)預(yù)言機(jī)模型里，論證了KI-CLPRE體制在IND-CPA游戲里的安全性。