郭宇燕，董 婕，江明明

（1.淮北師范大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，安徽 淮北 235000；2.淮北師范大學(xué) 物理與電子信息學(xué)院，安徽 淮北 235000）

0 引言

廣播加密（Broadcast Encryption，簡(jiǎn)稱BE）最早由Fiat等提出［1］. BE支持發(fā)送方為多個(gè)已授權(quán)的接收方發(fā)送加密數(shù)據(jù). 基于證書(shū)加密（Certificate-based Encryption，簡(jiǎn)稱CBE）的概念由Gentry［2］提出，其不僅能有效避免基于身份加密（Identity-based Encryption，簡(jiǎn)稱IBE）中的密鑰分配和密鑰托管問(wèn)題，還能避免傳統(tǒng)公鑰加密（Public-key Encryption，簡(jiǎn)稱PKE）中的證書(shū)管理和第三方查詢問(wèn)題. 許多CBE 方案［3-7］被提出.

敵手通過(guò)觀測(cè)以及利用密碼執(zhí)行的物理特性來(lái)獲取信息的攻擊方式被稱為側(cè)信道攻擊［8-10］. 但在該攻擊下，大部分傳統(tǒng)基于證書(shū)廣播加密方案（Certificate-based Broadcast Encryption，簡(jiǎn)稱CBBE）是不安全的. 近年來(lái)，密碼學(xué)者們提出很多抗泄漏密碼學(xué)方案［11-16］. 但是，針對(duì)抗持續(xù)泄漏的CBBE 研究較少.因此，構(gòu)造安全又高效的抗持續(xù)泄漏CBBE方案很有必要.

1 預(yù)備知識(shí)

2 抗泄漏CBBE方案的安全模型

本文提出一個(gè)CBBE 泄漏安全模型，該模型中有2類敵手：假設(shè)A1表示類型1敵手，模擬未經(jīng)CA 認(rèn)證的用戶；A2表示類型2 敵手，模擬能獲得主密鑰的惡意CA. 該模型中的2 類敵手都可以獲取部分私鑰，私鑰允許最大的泄漏量為n比特，其中n∈N 且小于私鑰長(zhǎng)度.

3 抗持續(xù)泄漏CBE方案

4 安全性證明

通過(guò)以下2個(gè)定理證明該方案針對(duì)2類敵手均滿足自適應(yīng)選擇密文安全.

定理1 若敵手A1在最多發(fā)出qC次證書(shū)詢問(wèn)和qD次解密詢問(wèn)后，能夠以至少ε的優(yōu)勢(shì)贏得游戲1，必定存在具有優(yōu)勢(shì)ε的算法B來(lái)解決判定截?cái)鄎-ABDHE問(wèn)題，其中q=qC+qD+1.

證明 假設(shè)B包含元組(p,G,GT,e,g,gα,gα2,...,gαq,g',g'αq+2,T)，B模擬游戲1中的挑戰(zhàn)者與A1交互，目的是判斷T=e(g,g')αq+1是否成立.

初始化階段：B執(zhí)行初始化算法生成(p,G,GT,e). 任取g∈G，計(jì)算gT.B選擇2 個(gè)q階多項(xiàng)式f1(x),f2(x)∈Zp[x]，計(jì)算h1=gf1(x)，h2=gf2(x).B選擇上述4種哈希函數(shù)，將params 返回給A1.

公鑰詢問(wèn)：若L1中存在( )IDi,PKi,SKi,Tagi形式的元組，則B將PKi返回給A1.B使用私鑰生成算法生成用戶IDi的私鑰SKi和公鑰PKi. 然后，B以( )IDi,PKi,SKi,0 的形式添加新元組到L1，同時(shí)將PKi返回給A1.

定理2 若敵手A2在最多發(fā)出qS次私鑰詢問(wèn)和qD次解密詢問(wèn)后，能以至少ε的優(yōu)勢(shì)贏得游戲2.那么，肯定存在一種具有ω(1 -1/N)qS+qDε/N優(yōu)勢(shì)的算法B用于解決判定1-BDHI問(wèn)題.ω表示當(dāng)前已授權(quán)的接收方的值.

證明與定理1類似可證.

5 結(jié)語(yǔ)

本文構(gòu)造一個(gè)可證明安全的抗持續(xù)泄漏CBBE 方案，在標(biāo)準(zhǔn)模型下，基于判定截?cái)鄎-ABDHE 問(wèn)題和判定1-BDHI問(wèn)題證明該方案的安全性. 將構(gòu)造更安全以及效率更高的抗持續(xù)泄漏CBBE方案作為進(jìn)一步的研究方向. 另外，構(gòu)造固定密文大小的抗持續(xù)泄漏CBBE 方案是一個(gè)重要的研究方向，以及接收方的隱私保護(hù)也是抗持續(xù)泄漏CBBE的具有挑戰(zhàn)性的研究方向.