1993年,Fiat等[1]首先提出了广播加密的概念。在广播加密系统中,广播者能够把加密的消息通过广播信道发送给大量用户,只有授权用户能够解密获得真实的消息,而非授权用户不能获得消息。广播加密被广泛应用于付费电视、多播通信、基于卫星的电子商务等领域。自从第一个广播加密方案[1]被提出后,许多广播加密方案相继被提出[2-5]。
1984年,Shamir[6]首先提出基于身份加密(Identity Based Encryption,IBE)的概念,允许用户用其接收者的身份(如IP地址、Email地址等)作为公钥对消息进行加密,从而避免了公钥证书的分配。基于身份广播加密(Identity Based Broadcast Encryption,IBBE)是IBE的一般化,可以看成将接收者由一个增加为多个的情况。2007年,Delerablée[7]提出基于身份广播加密概念,并给出第一个随机预言基模型下可证明安全的IBBE方案,该方案取得固定大小的私钥长度和密文长度。2009年,Gentry等[8]首先提出标准模型下完全安全的IBBE方案,该方案具有固定长度私钥,亚线性长度密文。同年,Ren等[9]提出了标准模型下完全安全的IBBE方案,该方案具有固定公钥长度和密文长度,但私钥长度随用户数呈线性增长。2010年,Lewko等[10]在合数阶下利用双系统密码技术提出基于身份加密方案。2012年Zhang等[11]在合数阶下利用双系统加密技术提出基于身份广播加密方案,该方案取得固定密文长度和私钥长度的IBBE方案,在标准模型下证明方案是适应性安全的。但是,以上这些方案均为非匿名的,安全性较差。
2001年,Bellare等[12]首先提出了匿名加密的概念,窃听者分辨不出是用哪个公钥来加密消息。2006年,Barth等[13]提出了隐私广播加密的概念;同年,Krzywiecki等[14]提出了隐私公钥广播加密方案,但是该方案的安全性证明并不正规。2007年,Jarecki等[15]提出了多接收者匿名广播加密方案,该方案的构建可以被视为一个有状态的公钥广播加密方案。2010年,Yu等[16]首次提出了密钥组播方案,用户的匿名性和通信的复杂度与接收者的数量相互独立。2012年,Libert等[17]提出了在标准模型下匿名广播加密方案,然而该方案中的密文长度随接收者的数量呈线性增长。2013年,Zhang等[18]在合数阶下利用双系统加密技术提出标准模型下匿名广播加密方案,该方案取得固定大小的密文长度,但是其密钥长度很长。2014年杨坤伟等[19]在合数阶下利用双系统加密技术提出基于身份的匿名广播加密方案,且具有固定私钥长度和密文长度,但是其效率不高。
本文利用双系统加密技术,基于合数阶双线性群提出一个高效的基于身份匿名广播加密方案。
1 预备知识 1.1 合数阶双线群Boneh等[20]最先提出了合数阶双线群的概念。设p1、 p2、 p3是三个不同的素数,G和GT是两个阶数为N= p1p2p3的循环群。定义两个群上的双线性映射为e:G×G→GT,且具有以下性质:
1) 双线性性:e(ga,hb)=e(g,h)ab,对所有的g,h∈G,a,b∈ZN均成立。
2) 非退化性:存在g∈G,使得e(g,h)在GT中的阶为N。
3) 存在有效的算法计算e。
设Gp1、Gp2、Gp3分别表示G中阶为p1、 p2、 p3的子群,对于hi∈Gpi和hj∈Gpj,且i≠j时,e(hi,hj)是GT中的元素。设g为G的一个生成元,h1∈Gp1和h2∈Gp2,那么gp1p2是Gp3的一个生成元,gp1p3是Gp2的一个生成元,gp2p3是Gp1的一个生成元。因此对于α1,α2,h1=(gp2p3)α1和h2=(gp1p3)α2,有e(h1,h2)=e(gp2p3α1,gp1p3α2)=e(gα1,gp3α2)p1p2p3=1。
1.2 复杂性假设设Gp1p2表示群G中阶为p1p2的子群。
问题1 给定双线性系统群(N= p1p2p3,G,GT,e),随机选择g∈Gp1,X3∈Gp3,T1∈Gp1p2,T2∈Gp1,D=(N,G,GT,e,g,X3),由D区分T1和T2。
定义算法A成功解问题1的优势为:
Adv1=Pr[A(D,T1)=1]-Pr[A(D,T2)=1]
定义1(假设1) 对于任意多项式时间算法A,Adv1是可忽略的。
问题2 给定双线性系统群(N= p1p2p3,G,GT,e),随机选择g,X1∈Gp1,X2,Y2∈Gp2,X3,Y3∈Gp3,T1∈G,T2∈Gp1p3,D=(N,G,GT,e,g,X1X2,X3,Y2Y3),由D区分T1和T2。
定义算法A攻破假设2的优势为:
Adv2=Pr[A(D,T1)=1]-Pr[A(D,T2)=1]
定义2 (假设2) 对于任意多项式时间算法A,Adv2是可以忽略的。
问题3 给定双线性系统群(N= p1p2p3,G,GT,e),随机选择g∈Gp1,X2,Y2,Z2∈Gp2,X3∈Gp3,α,s∈ZN, T1=e(g,g)αs,T2∈GT,D=(N,G,GT,e,g,gαX2,X3,gsY2,Z2),由D区分T1和T2。
定义算法A攻破假设3的优势为:
Adv3=Pr[A(D,T1)=1]-Pr[A(D,T2)=1]
定义3 (假设3) 对于任意多项式时间算法A,Adv3是可以忽略的。
1.3 双系统加密技术2009年,Waters[21]提出了双系统加密的概念。在双系统加密方案中,密文和密钥有两种形式,正常的和半功能的。半功能密文和密钥不在实际方案中使用,只是用于安全性证明。正常的密钥可以解密正常的和半功能的密文,正常的密文可以被正常的和半功能的密钥解密,然而半功能的密钥不能解密半功能的密文。即是说密文和密钥的半功能成分会通过另外的随机元素伪装成盲化因子相互作用。
2 基于身份匿名广播加密 2.1 基于身份匿名广播加密形式化定义基于身份的匿名广播加密由以下4个多项式时间算法组成,具体包括:
系统建立 输入安全参数k和接收者数量m,输出主密钥MSK和系统参数PK。
密钥提取 输入主密钥MSK和用户的身份ID,输出用户的私钥dIDi。
加密算法 输入系统参数PK和包含用户身份的集合S={ID1,ID2,…,IDs},其中s≤m,输出密文CM,并将密文CM发送给用户。
解密算法 输入用户身份的集合S={ID1,ID2,…,IDs},其中s≤m,与其对应的私钥和公钥,如果IDi∈S,输出明文M。
2.2 基于身份匿名广播加密的安全模型基于身份匿名广播加密的安全性满足选择明文攻击下的安全性。通过挑战者C和攻击者A之间的交互游戏定义,具体如下:
系统建立 挑战者C运行系统建立算法获得系统参数PK,并将系统参数发送给攻击者A。
询问阶段1 攻击者A适应性进行询问q1,q2,…,qs0,其中qi是下列之一:
1) 密钥提取询问:挑战者C运行密钥提取算法获得私钥,并发送给攻击者A。
2) 解密询问:如果IDi∈S,挑战者C运行解密算法获得明文M,并发送给攻击者A。
挑战 攻击者A输出挑战消息M0,M1和挑战身份集合S0,S1⊆S,发送给挑战者C,C随机选择η∈{0,1},输出密文C*=Encrypt(params,Mη,Sη),并发送给攻击者A。
询问阶段2 敌手A继续询问qs0+1,…,qt,其中qi是下列之一:
1) 密钥提取询问:与阶段1相同,但是限制IDi∉S0,S1。
2) 解密询问:与阶段1相同,但是限制C≠C*。
猜测 最后,攻击者A输出一个猜测的η′∈{0,1},如果η′=η,则攻击者A赢得游戏。
定义AdvIBBE(qS,qD,m,A)表示攻击者A赢得上述游戏的概率。
定义4 如果AdvIBBE(qS,qD,m,A)是可以忽略的,则IBBE方案是(m,qS,qD)-ANON-IND-ID-CCA(ANONymous INDistinguishability IDentity based Chosen Ciphertext Attack)安全。其中,qS表示密钥提取询问次数,qD表示解密询问次数。如果解密询问qD=0,则IBBE方案仅是ANON-IND-ID- CPA(ANONymous INDistinguishability IDentity based Chosen Plaintext Attack)安全。
3 方案描述系统建立 输入安全参数k和接收者数量m,随机选取g,h,u1,u2,…,um∈Gp1,则系统参数PK={g,h,u1,u2,…,um,v=e(g,g)α},主密钥MSK={α}。
密钥提取 给出身份IDi∈S,S={ID1,ID2,…,IDs}且s≤m,随机选择ri∈ZN,Ri,R′i∈Gp3,其中1≤i≤s,计算私钥:
${{d}_{I{{D}_{i}}}}=\{{{d}_{0}},{{d}_{1}}\}=\{{{g}^{{{r}_{i}}}}{{R}_{i}},{{g}^{\alpha }}{{(h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}})}^{{{r}_{i}}}}{{{R}'}_{i}}\}$ |
加密算法 随机选择k∈ZN,Z,Z′∈Gp2,计算
$\begin{align} & C=\{{{C}_{0}},{{C}_{1}},{{C}_{2}}\}=\{{{v}^{k}}M,{{(h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}})}^{k}}Z,{{g}^{k}}{Z}'\}=\{e(g, \\ & g{{)}^{\alpha k}}M,{{(h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}})}^{k}}Z,{{g}^{k}}{Z}'\} \\ \end{align}$ |
解密算法 对于任意用户IDi∈S,用私钥dIDi来解密接收到的密文C={C0,C1,C2},计算
$M={{C}_{0}}\frac{e({{d}_{0}},{{C}_{1}})}{e({{d}_{1}},{{C}_{2}})}$ |
事实上,如果密文C={C0,C1,C2}是有效的,则下式应成立:
$\begin{align} & {{C}_{0}}\frac{e\left( {{d}_{0}},{{C}_{1}} \right)}{e\left( {{d}_{1}},{{C}_{2}} \right)}=\frac{e{{\left( g,g \right)}^{\alpha k}}\centerdot M\centerdot e\left( {{g}^{{{r}_{i}}}}{{R}_{i}},{{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{k}}Z \right)}{e\left( {{g}^{\alpha }}{{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{{{r}_{i}}}}R_{i}^{'},{{g}^{k}}{{Z}^{'}} \right)} \\ & =\frac{e{{\left( g,g \right)}^{\alpha k}}\centerdot M\centerdot e\left( {{g}^{{{r}_{i}}}},{{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{k}} \right)}{e\left( {{g}^{\alpha }},{{g}^{k}} \right)\centerdot e\left( {{g}^{\alpha }},{{Z}^{'}} \right)\centerdot e\left( {{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{{{r}_{i}}}},{{g}^{k}} \right)}\centerdot \\ & \frac{e\left( {{g}^{{{r}_{i}}}},Z \right)\centerdot e\left( {{R}_{i}},{{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{k}}Z \right)}{e\left( {{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{{{r}_{i}}}},{{Z}^{'}} \right)\centerdot e\left( R_{i}^{'},{{g}^{k}}{{Z}^{'}} \right)} \\ & =\frac{e{{\left( g,g \right)}^{\alpha k}}}{e\left( {{g}^{\alpha }},{{g}^{k}} \right)}\centerdot M=M \\ \end{align}$ |
基于合数阶的加密方案中,在安全性证明上,有不利用双系统加密技术的[7],也有利用双系统加密技术的[18]。利用双系统加密技术具有一定的优势,在静态假设下的双系统加密技术,复杂性假设不会随着接收者数量的增加而增加,可使方案取得完全安全,效率高且思路清晰,故采用双系统加密技术来证明所提方案的安全性。
为了证明方案的安全性,设g2表示Gp2的生成元,Gp2是半功能的空间,利用Gp2的生成元g2来定义半功能密钥和半功能密文。
半功能密钥 根据密钥生成算法生成标准密钥d0、d1,随机选取βi、 β′i∈ZN,令半功能密钥为:d′0=d0g2βi,d′1=d1g2βi β′i。
半功能密文 根据加密算法生成标准密文为C0、C1、C2,随机选取λ1,λ2∈ZN,令半功能密文为:C′0=C0,C′1=C1g2λ1λ2,C′2=C2g2λ2。
定义下述游戏:
Gamereal:真正的IBBE安全游戏。
Gamek:受限制安全游戏,和Gamereal相同,其中0≤k≤q,除了:
1) 要挑战的密文是半功能的;
2) 前k个密钥是半功能的,其他密钥是正常的。
注意:在Game0中,所有的密钥都是正常的,挑战密文是半功能的,在Gameq中,所有的密文和密钥都是半功能的。
Gamefinal:和Gameq相同,除了挑战密文是GT中的一个随机元素对应的半功能密文。
通过下述一系列的引理来证明上述游戏是不可区分的。
引理1 假设存在一个算法A使得AdvgamerealA-Advgame0A=ε,可以构造一个算法B以ε的优势攻破假设1。
证明 算法B接收g,T∈Gp1,X3∈Gp3,W,L∈Gp2,B执行:
系统建立 算法B随机选取a,a1,a2,…,am,b∈ZN,设ui=gai,h=gb,其中1≤i≤m,将系统参数PK={g,h,u1,u2,…,um,v=e(g,g)a}发送给A。
询问阶段1 攻击者A适应性地询问q1,q2,…,qs0,在每次询问qi中,对IDi∈S对应的私钥进行询问,其中S={ID1,ID2,…,IDs}。算法B随机选取r,t0,t′0∈ZN,令
挑战 攻击者A输出挑战消息M0,M1和挑战身份集合S0,S1⊆S,发送给算法B,B随机选择η∈{0,1},则密文
询问阶段2 攻击者A进行询问qs0+1,…,qq,与询问阶段1相同,除了IDi∉S0,S1。
猜测 攻击者A输出一个猜测η′∈{0,1},如果η′=η,则攻击者A赢得游戏。
如果T∈Gp1,则C*={C′0,C′1,C′2}是正常的密文,如果T∈Gp1p2,则C*={C′0,C′1,C′2}是半功能的密文,因此,算法B能用攻击者A的猜测以ε的优势攻破假设1。
引理2 假设存在一个算法A使得Advgamek
证明 算法B接收g,X1X2,X3,Y2Y3,T,W,L且g,X1∈Gp1,X2,Y2,W,L∈Gp2,X3,Y3∈Gp3,B执行:
系统建立 算法B随机选取a,a1,a2,…,am,b∈ZN,设ui=gai,h=gb,其中1≤i≤m,将系统参数PK={g,h,u1,u2,…,um,v=e(g,g)a}发送给A。
询问阶段1 攻击者A适应性地询问q1,q2,…,qs0,在每次询问qi中,对IDi∈S对应的私钥进行询问,其中S={ID1,ID2,…,IDs}。算法B随机选取r,t0,t′0∈ZN。
1)对i <k,算法B构造一个半功能密钥,令
2) 对i <k,算法 构造一个正常密钥,令
3) 对i=k,算法B令
挑战 攻击者A输出挑战消息M0、M1和挑战身份集合S0,S1⊆S,发送给算法B,B随机选择η∈{0,1},则密文为
询问阶段2 攻击者A进行询问qs0+1,…,qq,与询问阶段1相同,除了IDi∉S0,S1。
猜测 攻击者A输出一个猜测η′∈{0,1},如果η′=η,则攻击者A赢得游戏。
如果T∈Gp1p3,算法B可以完美地模拟Gamek-1,如果T∈G,算法B可以完美地模拟Gamek,因此,算法B能用攻击者A 的猜测以ε的优势攻破假设2。
引理3 假设存在一个算法A使得AdvgameqA-AdvgamefinalA=ε,可以构造一个算法B以ε的优势攻破假设3。
证明 算法B接收g,gaX2,X3,gsY2,Z2,T,W,L且g∈Gp1,X2,Y2,Z2,W,L∈Gp2,X3∈Gp3,α,s∈ZN,B执行:
系统建立 算法B随机选取a,a1,a2,…,am,b∈ZN,设ui=gai,h=gb,其中1≤i≤m,将系统参数PK={g,h,u1,u2,…,um,v=e(g,g)a=e(gaX2,g)}发送给A。
询问阶段1 攻击者A适应性地询问q1,q2,…,qs0,对IDi∈S对应的私钥进行询问,其中S={ID1,ID2,…,IDs}。算法B随机选取r,t0,t′0,γ0,γ′0∈ZN,令
挑战 攻击者A输出挑战消息M0、M1和挑战身份集合S0,S1⊆S,发送给算法B,B随机选择η∈{0,1},则密文
询问阶段2 攻击者A进行询问qs0+1,…,qq,与询问阶段1相同,除了IDi∉S0,S1。
猜测 攻击者A输出一个猜测η′∈{0,1},如果η′=η,则攻击者A赢得游戏。
如果T是GT中的随机元素,则C*={C′0,C′1,C′2}是对随机消息的半功能密文,如果T=e(g,g)as,则C*={C′0,C′1,C′2}是一个有效的半功能密文,因此,算法B能用攻击者A的猜测以ε的优势攻破假设3。
定理1 如果假设1~3都成立,所提IBBE方案是ANON-IND-ID-CPA安全的。
证明 根据引理1~3,若假设1~3成立,则Gamereal和Gamefinal是不可区分的。攻击者在Gamereal中的优势是可以忽略的。因此,本文的IBBE方案是ANON-IND-ID-CPA安全的。
4.3 效率分析表 1为几种方案的性能对比。从表 1可看出:在密钥长度上,本文方案的密钥长度仅仅为2个群元素,而文献[18]方案的密钥长度为|S|+1个群元素;在私钥计算量上,本文方案比文献[19]方案少一个指数运算量;另外,v=e(g,g)α的值可以提前计算,所以加密阶段不需要双线性运算,因此减少了运算量。
本文利用双系统加密技术,基于合数阶双线性群,提出一个基于身份匿名广播加密方案,所提方案基于3个简单的静态假设,在标准模型中证明安全是选择明文安全的,且密钥长度仅需2个群元素。
[1] | FIAT A, NAOR M. Broadcast encryption [C]//CRYPTO 1993: Proceedings of the 13th Annual International Cryptology Conference on Advances in Cryptology. Berlin: Springer, 1993: 480-491. http://cn.bing.com/academic/profile?id=2341430007&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[2] | DODIS Y, FAZIO N. Public key broadcast encryption secure against adaptive chosen ciphertext attacks [C]//Proceedings of the 6th International Workshop on Practice and Theory in Public Key Cryptography. Berlin: Springer, 2003: 100-115. http://cn.bing.com/academic/profile?id=2164052311&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[3] | BONEH D, GENTRY C, WATERS B. Collusion resistant broadcast encryption with short ciphertexts and private keys [C]//CRYPTO 2005: Proceedings of the 25th Annual International Cryptology Conference on Advances in Cryptology, LNCS 3621. Berlin: Springer, 2005: 258-275. http://cn.bing.com/academic/profile?id=1905774212&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[4] | DELERABLÉE C, PAILLIER P, POINTCHEVAL D. Fully collusion secure dynamic broadcast encryption with constant size ciphertexts or decryption keys [C]//Proceedings of the 1st International Conference on Pairing-Based Cryptography, LNCS 4575. Berlin: Springer, 2007: 39-59. http://cn.bing.com/academic/profile?id=1534748576&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[5] | SUN J, HU Y, ZHANG L. A key-policy attribute-based broadcast encryption[J]. International Arab Journal of Information Technology, 2013, 10 (5) : 444-452. (0) |
[6] | SHAMIR A. Identity-based cryptosystems and signature schemes [C]//Proceedings of CRYPTO 1984 on Advances in Cryptology, LNCS 196. Berlin: Springer, 1984: 47-53. http://cn.bing.com/academic/profile?id=1542750204&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[7] | DELERABLÉE C. Identity-based broadcast encryption with constant size ciphertexts and private keys [C]//Proceedings of the 13th International Conference on the Theory and Application of Cryptology and Information Security on Advances in Cryptology, LNCS 4833. Berlin: Springer, 2007: 200-215. http://cn.bing.com/academic/profile?id=1601035152&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[8] | GENTRY C, WATERS B. Adaptive security in broadcast encryption systems [EB/OL]. [2015-11-23]. http://eprint.iacr.org/2008/268.pdf. (0) |
[9] | REN Y, GU D. Fully CCA2 secure identity based broadcast encryption without random oracles[J]. Information Processing Letters, 2009, 109 (11) : 527-533. doi: 10.1016/j.ipl.2009.01.017 (0) |
[10] | LEWKO A, WATERS B. New techniques for dual system encryption and fully secure HIBE with short ciphertexts [C]//TCC 2010: Proceedings of the 7th International Conference on Theory of Cryptography. Berlin: Springer, 2010: 455-479. http://cn.bing.com/academic/profile?id=1522101599&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[11] | ZHANG L Y, HU Y P, WU Q. Adaptively secure identity-based broadcast encryption with constant size private keys and ciphertexts from the subgroups[J]. Mathematical and Computer Modelling, 2012, 55 (1/2) : 12-18. (0) |
[12] | BELLARE M, BOLDYREVA A, DESAI A, et al. Key-privacy in public key encryption [C]//Proceedings of the 7th International Conference on the Theory and Application of Cryptology and Information Security on Advances in Cryptology, LNCS 2248. Berlin: Springer, 2001: 566-582. http://cn.bing.com/academic/profile?id=2110740499&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[13] | BARTH A, BONEH D, WATERS B. Privacy in encrypted content distribution using private broadcast encryption [C]//Proceedings of the 10th International Conference on Financial Cryptography and Data Security, LNCS 4107. Berlin: Springer, 2006: 52-64. http://cn.bing.com/academic/profile?id=120758129&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[14] | KRZYWIECKI L, KUBIAK P, KUTYLOWSKI M. A revocation scheme preserving privacy [C]//Proceedings of the 2nd SKLOIS Conference on Information Security and Cryptology, LNCS 4318. Berlin: Springer, 2006: 130-143. http://cn.bing.com/academic/profile?id=1761088941&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[15] | JARECKI S, LIU X. Unlinkable secret handshakes and key-private group key management schemes [C]//Proceedings of the 5th International Conference on Applied Cryptography and Network Security, LNCS 4521. Berlin: Springer, 2007: 270-287. http://cn.bing.com/academic/profile?id=1513478504&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[16] | YU S, REN K, LOU W. Attribute-based on-demand multicast group setup with membership anonymity[J]. Computer Networks, 2010, 54 (3) : 377-386. doi: 10.1016/j.comnet.2009.09.009 (0) |
[17] | LIBERT B, PATERSON K G, QUAQLIA E A. Anonymous broadcast encryption: adaptive security and efficient constructions in the standard model [C]//PKC 2012: Proceedings of the 15th International Conference on Practice and Theory in Public Key Cryptography. Berlin: Springer, 2012: 206-224. http://cn.bing.com/academic/profile?id=2115967491&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[18] | ZHANG L, WU Q, MU Y. Anonymous identity-based broadcast encryption with adaptive security [C]//Proceedings of the 5th International Symposium on Cyberspace Safety and Security, LNCS 8300. Berlin: Springer, 2013: 258-271. http://cn.bing.com/academic/profile?id=1903956265&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[19] | 杨坤伟, 李顺东. 一种基于身份的匿名广播加密方案[J]. 计算机工程, 2014, 40 (7) : 97-101. ( YANG K W, LI S D. An anonymous identity-based broadcast encryption scheme[J]. Journal of Computer Engineering, 2014, 40 (7) : 97-101. ) (0) |
[20] | BONEH D, GOH E, NISSIM K. Evaluating 2-DNF formulas on ciphertexts [C]//Proceedings of the 2nd Theory of Cryptography Conference, LNCS 3378. Berlin: Springer, 2005: 325-341. http://cn.bing.com/academic/profile?id=1798609567&encoded=0&v=paper_preview&mkt=zh-cn (0) |
[21] | WATERS B. Dual system encryption: realizing fully secure IBE and HIBE under simple assumptions [C]//Proceedings of the 29th Annual International Cryptology Conference on Advances in Cryptology, LNCS 5677. Berlin: Springer, 2009: 619-636. http://cn.bing.com/academic/profile?id=1484751769&encoded=0&v=paper_preview&mkt=zh-cn (0) |