0 引言

1993年，Fiat等^[1]首先提出了广播加密的概念。在广播加密系统中，广播者能够把加密的消息通过广播信道发送给大量用户，只有授权用户能够解密获得真实的消息，而非授权用户不能获得消息。广播加密被广泛应用于付费电视、多播通信、基于卫星的电子商务等领域。自从第一个广播加密方案^[1]被提出后，许多广播加密方案相继被提出^[2-5]。

1984年，Shamir^[6]首先提出基于身份加密(Identity Based Encryption,IBE)的概念，允许用户用其接收者的身份(如IP地址、Email地址等)作为公钥对消息进行加密，从而避免了公钥证书的分配。基于身份广播加密(Identity Based Broadcast Encryption,IBBE)是IBE的一般化，可以看成将接收者由一个增加为多个的情况。2007年，Delerablée^[7]提出基于身份广播加密概念，并给出第一个随机预言基模型下可证明安全的IBBE方案，该方案取得固定大小的私钥长度和密文长度。2009年，Gentry等^[8]首先提出标准模型下完全安全的IBBE方案，该方案具有固定长度私钥，亚线性长度密文。同年，Ren等^[9]提出了标准模型下完全安全的IBBE方案，该方案具有固定公钥长度和密文长度，但私钥长度随用户数呈线性增长。2010年，Lewko等^[10]在合数阶下利用双系统密码技术提出基于身份加密方案。2012年Zhang等^[11]在合数阶下利用双系统加密技术提出基于身份广播加密方案，该方案取得固定密文长度和私钥长度的IBBE方案，在标准模型下证明方案是适应性安全的。但是，以上这些方案均为非匿名的，安全性较差。

2001年，Bellare等^[12]首先提出了匿名加密的概念，窃听者分辨不出是用哪个公钥来加密消息。2006年，Barth等^[13]提出了隐私广播加密的概念；同年，Krzywiecki等^[14]提出了隐私公钥广播加密方案，但是该方案的安全性证明并不正规。2007年，Jarecki等^[15]提出了多接收者匿名广播加密方案，该方案的构建可以被视为一个有状态的公钥广播加密方案。2010年，Yu等^[16]首次提出了密钥组播方案，用户的匿名性和通信的复杂度与接收者的数量相互独立。2012年，Libert等^[17]提出了在标准模型下匿名广播加密方案，然而该方案中的密文长度随接收者的数量呈线性增长。2013年，Zhang等^[18]在合数阶下利用双系统加密技术提出标准模型下匿名广播加密方案，该方案取得固定大小的密文长度，但是其密钥长度很长。2014年杨坤伟等^[19]在合数阶下利用双系统加密技术提出基于身份的匿名广播加密方案，且具有固定私钥长度和密文长度，但是其效率不高。

本文利用双系统加密技术，基于合数阶双线性群提出一个高效的基于身份匿名广播加密方案。

1 预备知识 1.1 合数阶双线群

Boneh等^[20]最先提出了合数阶双线群的概念。设p₁、 p₂、 p₃是三个不同的素数，G和G_T是两个阶数为N= p₁p₂p₃的循环群。定义两个群上的双线性映射为e:G×G→G_T，且具有以下性质：

1) 双线性性：e(g^a,h^b)=e(g,h)^ab，对所有的g,h∈G,a,b∈Z_N均成立。

2) 非退化性：存在g∈G，使得e(g,h)在G_T中的阶为N。

3) 存在有效的算法计算e。

设G_p1、G_p2、G_p3分别表示G中阶为p₁、 p₂、 p₃的子群，对于h_i∈G_pi和h_j∈G_pj，且i≠j时，e(h_i,h_j)是G_T中的元素。设g为G的一个生成元，h₁∈G_p1和h₂∈G_p2，那么g^p₁p₂是G_p3的一个生成元，g^p₁p₃是G_p2的一个生成元，g^p₂p₃是G_p1的一个生成元。因此对于α₁,α₂,h₁=(g^p₂p₃)^α₁和h₂=(g^p_1p3)^α₂，有e(h₁,h₂)=e(g^{p₂p₃α₁},g^p₁p_3α2)=e(g^α₁,g^p₃α₂)^p₁p₂p₃=1。

1.2 复杂性假设

设G_p1p2表示群G中阶为p₁p₂的子群。

问题1 给定双线性系统群(N= p₁p₂p₃,G,G_T,e)，随机选择g∈G_p1,X₃∈G_p3,T₁∈G_p1p2,T₂∈G_p1，D=(N,G,G_T,e,g,X₃)，由D区分T₁和T₂。

定义算法A成功解问题1的优势为：

Adv₁=Pr[A(D,T₁)=1]-Pr[A(D,T₂)=1]

定义1(假设1) 对于任意多项式时间算法A，Adv₁是可忽略的。

问题2 给定双线性系统群(N= p₁p₂p₃,G,G_T,e)，随机选择g,X₁∈G_p1，X₂,Y₂∈G_p2，X₃,Y₃∈G_p3，T₁∈G,T₂∈G_p1p3，D=(N,G,G_T,e,g,X₁X₂,X₃,Y₂Y₃)，由D区分T₁和T₂。

定义算法A攻破假设2的优势为：

Adv₂=Pr[A(D,T₁)=1]-Pr[A(D,T₂)=1]

定义2 (假设2) 对于任意多项式时间算法A，Adv₂是可以忽略的。

问题3 给定双线性系统群(N= p₁p₂p₃,G,G_T,e)，随机选择g∈G_p1,X₂,Y₂,Z₂∈G_p2,X₃∈G_p3,α,s∈Z_N, T₁=e(g,g)^αs,T₂∈G_T，D=(N,G,G_T,e,g,g^αX₂,X₃,g^sY₂,Z₂)，由D区分T₁和T₂。

定义算法A攻破假设3的优势为：

Adv₃=Pr[A(D,T₁)=1]-Pr[A(D,T₂)=1]

定义3 (假设3) 对于任意多项式时间算法A，Adv₃是可以忽略的。

1.3 双系统加密技术

2009年，Waters^[21]提出了双系统加密的概念。在双系统加密方案中，密文和密钥有两种形式，正常的和半功能的。半功能密文和密钥不在实际方案中使用，只是用于安全性证明。正常的密钥可以解密正常的和半功能的密文，正常的密文可以被正常的和半功能的密钥解密，然而半功能的密钥不能解密半功能的密文。即是说密文和密钥的半功能成分会通过另外的随机元素伪装成盲化因子相互作用。

2 基于身份匿名广播加密 2.1 基于身份匿名广播加密形式化定义

基于身份的匿名广播加密由以下4个多项式时间算法组成，具体包括：

系统建立 输入安全参数k和接收者数量m，输出主密钥MSK和系统参数PK。

密钥提取 输入主密钥MSK和用户的身份ID，输出用户的私钥d_IDi。

加密算法 输入系统参数PK和包含用户身份的集合S={ID₁,ID₂,…,ID_s}，其中s≤m，输出密文C_M，并将密文C_M发送给用户。

解密算法 输入用户身份的集合S={ID₁,ID₂,…,ID_s}，其中s≤m，与其对应的私钥和公钥，如果ID_i∈S，输出明文M。

2.2 基于身份匿名广播加密的安全模型

基于身份匿名广播加密的安全性满足选择明文攻击下的安全性。通过挑战者C和攻击者A之间的交互游戏定义，具体如下：

系统建立 挑战者C运行系统建立算法获得系统参数PK，并将系统参数发送给攻击者A。

询问阶段1 攻击者A适应性进行询问q₁,q₂,…,q_s0，其中q_i是下列之一：

1) 密钥提取询问：挑战者C运行密钥提取算法获得私钥，并发送给攻击者A。

2) 解密询问：如果ID_i∈S，挑战者C运行解密算法获得明文M，并发送给攻击者A。

挑战 攻击者A输出挑战消息M₀,M₁和挑战身份集合S₀,S₁⊆S，发送给挑战者C，C随机选择η∈{0,1}，输出密文C^*=Encrypt(params,M_η,S_η)，并发送给攻击者A。

询问阶段2 敌手A继续询问q_s0+1,…,q_t，其中q_i是下列之一：

1) 密钥提取询问：与阶段1相同，但是限制ID_i∉S₀,S₁。

2) 解密询问：与阶段1相同，但是限制C≠C^*。

猜测 最后，攻击者A输出一个猜测的η′∈{0,1}，如果η′=η，则攻击者A赢得游戏。

定义Adv_IBBE(q_S,q_D,m,A)表示攻击者A赢得上述游戏的概率。

定义4 如果Adv_IBBE(q_S,q_D,m,A)是可以忽略的，则IBBE方案是(m,q_S,q_D)-ANON-IND-ID-CCA(ANONymous INDistinguishability IDentity based Chosen Ciphertext Attack)安全。其中，q_S表示密钥提取询问次数，q_D表示解密询问次数。如果解密询问q_D=0，则IBBE方案仅是ANON-IND-ID- CPA(ANONymous INDistinguishability IDentity based Chosen Plaintext Attack)安全。

3 方案描述

系统建立 输入安全参数k和接收者数量m，随机选取g,h,u₁,u₂,…,u_m∈G_p1，则系统参数PK={g,h,u₁,u₂,…,u_m,v=e(g,g)^α}，主密钥MSK={α}。

密钥提取 给出身份ID_i∈S,S={ID₁,ID₂,…,ID_s}且s≤m，随机选择r_i∈Z_N,R_i,R′_i∈G_p3，其中1≤i≤s，计算私钥：

${{d}_{I{{D}_{i}}}}=\{{{d}_{0}},{{d}_{1}}\}=\{{{g}^{{{r}_{i}}}}{{R}_{i}},{{g}^{\alpha }}{{(h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}})}^{{{r}_{i}}}}{{{R}'}_{i}}\}$

加密算法 随机选择k∈Z_N,Z,Z′∈G_p2，计算

$\begin{align} & C=\{{{C}_{0}},{{C}_{1}},{{C}_{2}}\}=\{{{v}^{k}}M,{{(h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}})}^{k}}Z,{{g}^{k}}{Z}'\}=\{e(g, \\ & g{{)}^{\alpha k}}M,{{(h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}})}^{k}}Z,{{g}^{k}}{Z}'\} \\ \end{align}$

解密算法 对于任意用户ID_i∈S，用私钥d_IDi来解密接收到的密文C={C₀,C₁,C₂}，计算

$M={{C}_{0}}\frac{e({{d}_{0}},{{C}_{1}})}{e({{d}_{1}},{{C}_{2}})}$

4 方案分析 4.1 正确性

事实上，如果密文C={C₀,C₁,C₂}是有效的，则下式应成立：

$\begin{align} & {{C}_{0}}\frac{e\left( {{d}_{0}},{{C}_{1}} \right)}{e\left( {{d}_{1}},{{C}_{2}} \right)}=\frac{e{{\left( g,g \right)}^{\alpha k}}\centerdot M\centerdot e\left( {{g}^{{{r}_{i}}}}{{R}_{i}},{{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{k}}Z \right)}{e\left( {{g}^{\alpha }}{{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{{{r}_{i}}}}R_{i}^{'},{{g}^{k}}{{Z}^{'}} \right)} \\ & =\frac{e{{\left( g,g \right)}^{\alpha k}}\centerdot M\centerdot e\left( {{g}^{{{r}_{i}}}},{{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{k}} \right)}{e\left( {{g}^{\alpha }},{{g}^{k}} \right)\centerdot e\left( {{g}^{\alpha }},{{Z}^{'}} \right)\centerdot e\left( {{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{{{r}_{i}}}},{{g}^{k}} \right)}\centerdot \\ & \frac{e\left( {{g}^{{{r}_{i}}}},Z \right)\centerdot e\left( {{R}_{i}},{{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{k}}Z \right)}{e\left( {{\left( h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}} \right)}^{{{r}_{i}}}},{{Z}^{'}} \right)\centerdot e\left( R_{i}^{'},{{g}^{k}}{{Z}^{'}} \right)} \\ & =\frac{e{{\left( g,g \right)}^{\alpha k}}}{e\left( {{g}^{\alpha }},{{g}^{k}} \right)}\centerdot M=M \\ \end{align}$

4.2 安全性证明

基于合数阶的加密方案中，在安全性证明上，有不利用双系统加密技术的^[7]，也有利用双系统加密技术的^[18]。利用双系统加密技术具有一定的优势，在静态假设下的双系统加密技术，复杂性假设不会随着接收者数量的增加而增加，可使方案取得完全安全，效率高且思路清晰，故采用双系统加密技术来证明所提方案的安全性。

为了证明方案的安全性，设g₂表示G_p2的生成元，G_p2是半功能的空间，利用G_p2的生成元g₂来定义半功能密钥和半功能密文。

半功能密钥 根据密钥生成算法生成标准密钥d₀、d₁，随机选取β_i、 β′_i∈Z_N，令半功能密钥为：d′₀=d₀g₂^β_i,d′₁=d₁g₂^{β_i β′_i}。

半功能密文 根据加密算法生成标准密文为C₀、C₁、C₂，随机选取λ₁,λ₂∈Z_N，令半功能密文为：C′₀=C₀,C′₁=C₁g₂^λ₁λ₂,C′₂=C₂g₂^λ₂。

定义下述游戏：

Game_real：真正的IBBE安全游戏。

Game_k：受限制安全游戏，和Game_real相同，其中0≤k≤q，除了：

1) 要挑战的密文是半功能的；

2) 前k个密钥是半功能的，其他密钥是正常的。

注意：在Game₀中，所有的密钥都是正常的，挑战密文是半功能的，在Game_q中，所有的密文和密钥都是半功能的。

Game_final：和Game_q相同，除了挑战密文是G_T中的一个随机元素对应的半功能密文。

通过下述一系列的引理来证明上述游戏是不可区分的。

引理1 假设存在一个算法A使得Adv_gamerealA-Adv_game0A=ε，可以构造一个算法B以ε的优势攻破假设1。

证明 算法B接收g,T∈G_p1,X₃∈G_p3,W,L∈G_p2，B执行：

系统建立 算法B随机选取a,a₁,a₂,…,a_m,b∈Z_N，设u_i=g^a_i,h=g^b，其中1≤i≤m，将系统参数PK={g,h,u₁,u₂,…,u_m,v=e(g,g)^a}发送给A。

询问阶段1 攻击者A适应性地询问q₁,q₂,…,q_s0，在每次询问q_i中，对ID_i∈S对应的私钥进行询问，其中S={ID₁,ID₂,…,ID_s}。算法B随机选取r,t₀,t′₀∈Z_N，令${{{d}'}_{I{{D}_{i}}}}=\{{{{d}'}_{0}},{{{d}'}_{1}}\}=\{{{g}^{r}}X_{3}^{{{t}_{0}}},{{g}^{a}}{{(h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}})}^{r}}X_{3}^{{{{{t}'}}_{0}}}\}$，并发送给A。

挑战 攻击者A输出挑战消息M₀,M₁和挑战身份集合S₀,S₁⊆S，发送给算法B，B随机选择η∈{0,1}，则密文${{C}^{*}}=\{{{{C}'}_{0}},{{{C}'}_{1}},{{{C}'}_{2}}\}=\{{{M}_{\eta }}e{{(T,g)}^{a}},{{T}^{\sum\limits_{j=1}^{s}{{{a}_{j}}ID_{j}^{*}+b}}}W,TL\}$

询问阶段2 攻击者A进行询问q_s0+1,…,q_q，与询问阶段1相同，除了ID_i∉S₀,S₁。

猜测 攻击者A输出一个猜测η′∈{0,1}，如果η′=η，则攻击者A赢得游戏。

如果T∈G_p1，则C^*={C′₀,C′₁,C′₂}是正常的密文，如果T∈G_p1p2，则C^*={C′₀,C′₁,C′₂}是半功能的密文，因此，算法B能用攻击者A的猜测以ε的优势攻破假设1。

引理2 假设存在一个算法A使得Adv_gamek-1A-Adv_gamekA=ε，可以构造一个算法B以ε的优势攻破假设2。

证明 算法B接收g,X₁X₂,X₃,Y₂Y₃,T,W,L且g,X₁∈G_p1,X₂,Y₂,W,L∈G_p2,X₃,Y₃∈G_p3，B执行：

系统建立 算法B随机选取a,a₁,a₂,…,a_m,b∈Z_N，设u_i=g^a_i,h=g^b，其中1≤i≤m，将系统参数PK={g,h,u₁,u₂,…,u_m,v=e(g,g)^a}发送给A。

询问阶段1 攻击者A适应性地询问q₁,q₂,…,q_s0，在每次询问q_i中，对ID_i∈S对应的私钥进行询问，其中S={ID₁,ID₂,…,ID_s}。算法B随机选取r,t₀,t′₀∈Z_N。

1)对i ＜k，算法B构造一个半功能密钥，令${{{d}'}_{I{{D}_{i}}}}=\{{{{d}'}_{0}},{{{d}'}_{1}}\}=\{{{g}^{r}}{{({{Y}_{2}}{{Y}_{3}})}^{{{t}_{0}}}},{{g}^{a}}{{(h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}})}^{r}}{{({{Y}_{2}}{{Y}_{3}})}^{{{{{t}'}}_{0}}}}\}$，并发送给A。

2) 对i ＜k，算法 构造一个正常密钥，令${{{d}'}_{I{{D}_{i}}}}=\{{{{d}'}_{0}},{{{d}'}_{1}}\}=\{{{g}^{r}}X_{3}^{{{t}_{0}}},{{g}^{a}}{{(h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}})}^{r}}X_{3}^{{{{{t}'}}_{0}}}\}$，并发送给A。

3) 对i=k，算法B令${{{d}'}_{I{{D}_{i}}}}=\{{{{d}'}_{0}},{{{d}'}_{1}}\}=\{T,{{g}^{a}}{{T}^{\sum\limits_{j=1}^{s}{{{a}_{j}}ID_{j}^{*}+b}}}X_{3}^{{{{{t}'}}_{0}}}\}$，并发送给A。

挑战 攻击者A输出挑战消息M₀、M₁和挑战身份集合S₀,S₁⊆S，发送给算法B，B随机选择η∈{0,1}，则密文为${{C}^{*}}=\{{{{C}'}_{0}},{{{C}'}_{1}},{{{C}'}_{2}}\}=\{{{M}_{\eta }}e{{({{X}_{1}}{{X}_{2}},g)}^{a}},{{({{X}_{1}}{{X}_{2}})}^{\sum\limits_{j=1}^{s}{{{a}_{j}}ID_{j}^{*}+b}}}W,$。

询问阶段2 攻击者A进行询问q_s0+1,…,q_q，与询问阶段1相同，除了ID_i∉S₀,S₁。

猜测 攻击者A输出一个猜测η′∈{0,1}，如果η′=η，则攻击者A赢得游戏。

如果T∈G_p1p3，算法B可以完美地模拟Game_k-1，如果T∈G，算法B可以完美地模拟Game_k，因此，算法B能用攻击者A 的猜测以ε的优势攻破假设2。

引理3 假设存在一个算法A使得Adv_gameqA-Adv_gamefinalA=ε，可以构造一个算法B以ε的优势攻破假设3。

证明 算法B接收g,g^aX₂,X₃,g^sY₂,Z₂,T,W,L且g∈G_p1,X₂,Y₂,Z₂,W,L∈G_p2,X₃∈G_p3,α,s∈Z_N，B执行：

系统建立 算法B随机选取a,a₁,a₂,…,a_m,b∈Z_N，设u_i=g^a_i,h=g^b，其中1≤i≤m，将系统参数PK={g,h,u₁,u₂,…,u_m,v=e(g,g)^a=e(g^aX₂,g)}发送给A。

询问阶段1 攻击者A适应性地询问q₁,q₂,…,q_s0，对ID_i∈S对应的私钥进行询问，其中S={ID₁,ID₂,…,ID_s}。算法B随机选取r,t₀,t′₀,γ₀,γ′₀∈Z_N，令${{{d}'}_{I{{D}_{i}}}}=\{{{{d}'}_{0}},{{{d}'}_{1}}\}=\{{{g}^{r}}Z_{2}^{{{\gamma }_{0}}}X_{3}^{{{t}_{0}}},{{g}^{a}}{{X}_{2}}{{(h\prod\limits_{j=1}^{s}{u_{j}^{I{{D}_{j}}}})}^{r}}Z_{2}^{{{{{\gamma }'}}_{0}}}X_{3}^{{{{{t}'}}_{0}}}\}$，并发送给A。

挑战 攻击者A输出挑战消息M₀、M₁和挑战身份集合S₀,S₁⊆S，发送给算法B，B随机选择η∈{0,1}，则密文${{C}^{*}}=\{{{{C}'}_{0}},{{{C}'}_{1}},{{{C}'}_{2}}\}=\{{{M}_{\eta }}T,{{({{g}^{s}}Y{}_{2})}^{\sum\limits_{j=1}^{s}{{{a}_{j}}ID_{j}^{*}+b}}}W,{{g}^{s}}{{Y}_{2}}L\}$。

询问阶段2 攻击者A进行询问q_s0+1,…,q_q，与询问阶段1相同，除了ID_i∉S₀,S₁。

猜测 攻击者A输出一个猜测η′∈{0,1}，如果η′=η，则攻击者A赢得游戏。

如果T是G_T中的随机元素，则C^*={C′₀,C′₁,C′₂}是对随机消息的半功能密文，如果T=e(g,g)^as，则C^*={C′₀,C′₁,C′₂}是一个有效的半功能密文，因此，算法B能用攻击者A的猜测以ε的优势攻破假设3。

定理1 如果假设1~3都成立，所提IBBE方案是ANON-IND-ID-CPA安全的。

证明 根据引理1~3，若假设1~3成立，则Game_real和Game_final是不可区分的。攻击者在Game_real中的优势是可以忽略的。因此，本文的IBBE方案是ANON-IND-ID-CPA安全的。

4.3 效率分析

表 1为几种方案的性能对比。从表 1可看出：在密钥长度上，本文方案的密钥长度仅仅为2个群元素，而文献^[18]方案的密钥长度为|S|+1个群元素；在私钥计算量上，本文方案比文献^[19]方案少一个指数运算量；另外，v=e(g,g)^α的值可以提前计算，所以加密阶段不需要双线性运算，因此减少了运算量。

5 结语

本文利用双系统加密技术，基于合数阶双线性群，提出一个基于身份匿名广播加密方案，所提方案基于3个简单的静态假设，在标准模型中证明安全是选择明文安全的，且密钥长度仅需2个群元素。