中文模板

Size: px

Start display at page:

Download "中文模板"

媚韦
7 years ago
Views:

1 ISSN , CODEN RUXUEW E-mal: Journal of Software, Vol9, No8, August 008, pp DOI: 0374/SPJ Tel/Fax: y Journal of Software All rghts reserved 基于 Wel 对的多接收者公钥加密方案鲁力 +, 胡磊 ( 中国科学院研究生院信息安全国家重点实验室, 北京 00049) Mult-Recpent Pulc Key Encrypton Scheme Based on Wel Parng LU L +, HU Le (State Key Laoratory of Informaton Securty, Graduate Unversty, The Chnese Academy of Scences, Beng 00049, Chna) + Correspondng author: E-mal: lulru@gmalcom Lu L, Hu L Mult-Recpent pulc key encrypton scheme ased on Wel parng Journal of Software, 008, 9(8): Astract: Ths paper proposes a multple-recpent pulc key encrypton, called parng-ased mult-recpent encrypton (PBMRE) The proposed scheme s constructed on Wel parng on ellptc curves and the Shamr s secrets sharng scheme As a result, a prvate key for decrypton can e converted to multple users prvate keys y secrets sharng, and reconstructed y the lnear property of Wel Parng n decryptons Through an analyss, t s shown that ths scheme s effcent and can effectvely defend aganst decphers collaoratng Based on the Gap-BDH (gap-lnear Dffe-Hellman) assumpton and the random oracle model, a strct securty proof s presented statng that the scheme has the ndstngushalty under adaptve chosen cphertext attack, 简称 (IND-CCA) Key words: mult-recpent pulc key encrypton; secret sharng; Wel parng; Gap-BDH (gap-lnear Dffe-Hellman) assumpton 摘要 : 提出了一种多接收者公钥加密方案, 称为基于双线性映射的多接收者公钥加密 (parng-ased mult-recpent encrypton, 简称 PBMRE) 该方案使用椭圆曲线上的 Wel 对和 Shamr 的秘密分享方法来构造利用秘密分享方法处理私钥, 可以将一个解密私钥转换成多个用户私钥利用 Wel 对的双线性, 在解密时可以重新组合解密私钥经过分析, 给出的多接收者公钥加密方案效率高, 并且能抵抗多个接收者的合谋攻击基于间隙双线性 Dffe-Hellman 假设, 证明了该体制具有抗自适应选择密文攻击的不可区分安全性 (ndstngushalty under adaptve chosen cphertext attack, 简称 IND-CCA) 关键词 : 多接收者公钥加密 ; 秘密分享 ;Wel 对 ; 间隙双线性 Dffe-Hellman 假设中图法分类号 : TP309 文献标识码 : A Internet 的发展促进了对广播传输服务的需求, 例如, 在付费电视应用中, 提供服务的公司希望只有授权用户才能享受服务, 而用户也希望他们收到的服务内容不会暴露给未获授权的用户因此, 产生了对安全广播传输的需求对于安全广播, 大多数密码体制的实现方法如下 : Supported y the Natonal Natural Scence Foundaton of Chna under Grant Nos , ( 国家自然科学基金 ) Receved ; Accepted

2 60 Journal of Software 软件学报 Vol9, No8, August 008 假设有 n 个接收者, 记为,,n, 每个接收者的公私钥对记为 (pk,sk ) 对于发送给接收者的明文 M, 发送者用的公钥 pk 加密为 C 在进行了 n 次加密后, 发送者将密文 C=C,,C n 广播接收者收到密文 C 后, 将子密文 C 提取出来, 并使用私钥 sk 解密获得明文 M 这样的公钥加密被称为多接收者公钥加密体制 [ 3] 对于广播加密, 可以使用上面所述的多接收者加密体制来构造即对明文 M, 使用每个接收者的公钥 pk, =,,n, 分别加密 n 次, 并将 (C,,C n ) 作为密文广播 [,3] 但是, 该体制对于每个明文 M 至少需要 n 次加密运算, 效率很低在本文中, 我们基于椭圆曲线上的 Wel 对构造了一种多接收者公钥加密方案, 称为基于 Wel 对的多接收者公钥加密 (parng-ased mult-recpent encrypton, 简称 PBMRE) 该方案的主要思想是将单个解密钥拆分到多个私钥集合中, 每个私钥集合对应一个解密者我们使用 Shamr 的秘密分享方案来分拆解密钥, 以使不同的解密者获得不同的解密钥 [4] 基于双线性 Dffe-Hellman 问题的困难性, 我们在标准模型下证明了 PBMRE 具有抗选择明文攻击的语义安全性 (ndstngushalty under chosen plantext attack, 简称 IND-CPA) 并且, 基于间隙双线性 Dffe-Hellman (gap-lnear Dffe-Hellman, 简称 Gap-BDH) 困难假设, 我们在随机谕示 (random oracle) 模型下证明了 PBMRE 的扩展方案具有抗自适应选择密文攻击的语义安全性 (ndstngushalty under adaptve chosen cphertext attack, 简称 IND-CCA) 经过分析, 我们的体制还能抵抗解密者的合谋攻击 : 即使所有的解密者合谋, 他们也不能恢复完整的解密私钥本文第节介绍相关工作第节为背景知识第 3 节详细描述 PBMRE 的构造第 4 节讨论方案的效率和抗合谋攻击的安全性第 5 节给出 PBMRE 的严格安全性证明第 6 节总结全文相关工作 [,5] 多接收者公钥加密的概念最初是由 Bellare 和 Baudron 等人提出来的他们的结论表明, 在单接收者情况下, 公钥加密方案的安全性可以推广到多接收者情况因此, 语义安全的多接收者公钥加密方案可以简单地用单接收者情况下语义安全的加密方案来构造其主要思想为 : 使用 n 个不同的公钥对同一明文加密 n 次得到广播密文, 接收者再使用自己的私钥解密该广播密文显然, 对于一条广播消息, 该方案需要加密 n 次, 不适用于大规模的消息广播后来,Kurosawa [3] 提出了一种称为随机性重用的技术来提高基于 ElGamal [6] 的多接收者公钥加密 [] 方案的效率 Bellare 等人改进了 Kurosawa 的结果, 并提出了一般化的测试方法以判定一个单接收者方案是否可以使用随机性重用技术来构造高效的多接收者方案但是, 他们的方法只是以提高多次重复加密的效率为目的, 未能实现单一加密公钥对应多个解密私钥的功能, 因此, 加密效率的提高很有限 [7] 从 00 年第一个实用的基于身份的公钥加密体制提出以后, 出现了一些基于身份的多接收者公钥加密方案, 如 Chen [8] 和 Smart [9] 等人的方案但是, 这些工作都没有给出适当的形式化安全性模型及安全性证明 Mu [0] 和 Baek [] 分别在 003 年和 005 年给出了两个具有形式化安全性证明的基于身份多接收者公钥加密体制, 但 Mu 的方案正确性存在问题目前看来, 正确且有形式化安全性证明的方案仅有 Beak 的方案 [] 本文的主要贡献在于, 与 Baek 的基于身份的多接收者公钥加密方案相比, 给出了一个一般的 ( 不以基于身份公钥加密方案为基础 ) 多接收者公钥加密方案, 实现了一个加密公钥对应多个解密私钥的功能, 并且给出了严格的形式化安全模型和安全证明与一般的多接收者公钥加密方案相比, 本文的方案对广播消息仅需要次公钥加密, 但可以使用多个不同的解密钥解密, 效率获得了极大的提高背景知识下面介绍在构造和分析 PBMRE 方案中所用到的数学工具和困难性假设定义双线性 Dffe-Hellman 判定假设 (BDDH(lnear determnaton Dffe-Hellman assumpton) 假设 ) 设 G 和 G 分别是加法和乘法群, 其阶均为素数 p 设 p 为 G 的生成元假设 e:g G G 为双线性映射, 即对所有的 Q,R G 和 a, Z p 满足 e(aq,r)=e(q,r) a, 并且 e(p,p) [7] 假定挑战者随机选择 a,,c,z Z p, 如果不存在多项

3 鲁力等 : 基于 Wel 对的多接收者公钥加密方案 6 式时间算法能以不可忽略的概率区分四元组 (ap,p,cp,e(p,p) ac ) 和 (ap,p,cp,e(p,p) z ), 则 BDDH 假设对 (G,G,e) 成立定义间隙双线性 Dffe-Hellman 问题 (Gap-BDH prolem) [] 设 G,G 和 e 如定义中所示给定 (P,aP,P,cP), 在双线性 Dffe-Hellman 判定谕示 (BDDH oracle) 的帮助下, 求解 e(p,p) ac 即为 Gap-BDH 问题其中,BDDH 谕示如下 : 输入 (P,aP,P,cP,K), 如果 K=e(P,P) ac, 则 BDDH 谕示输出, 否则输出 0 若 A 为敌手, 其求解 Gap-BDH 问题的优势定义为 Gap-BDH O Pr[ BDDH ac Adv = A ( P, ap, P, cp) = e( P, P) ] A 设 A 在时间 t 内询问 BDDH 谕示最多 q 0 次, 若 A 求解 Gap-BDH 问题的优势不小于 ε, 则称 A 为 Gap-BDH 问题的 (t,q 0,ε) 解法如果 Gap-BDH 问题不存在 (t,q 0,ε) 解法, 则称该问题为 (t,q 0,ε) 困难的除了椭圆曲线点群上的 Wel 对以外, 我们构造 PBMRE 的另一个工具是 Shamr 的秘密分享体制 [] 秘密分享是将主秘密分成若干碎片, 并将这些碎片分布到多个参与者手中, 而这些参与者可以使用他们所掌握的碎片恢复主秘密为便于叙述, 我们引入如下记号 : 设 Γ 为有限乘法群 Z p 的子集, 其中 p 为素数设拉格朗日插值多项式,Γ ( Γ ) 为设 Γ =m, 则 m 次多项式 q(x) Z p [x] 可以描述为 x, Γ ( x) = Γ Γ, q ( x) = q( ), ( x) 显然, q(0) = q( ), Γ (0) 在 PBMRE 体制中, 我们用 q(0) 表示主秘密 3 方案描述 Γ 我们首先给出一种具有抗选择明文攻击安全性 (IND-CPA) 的方案 PBMRE-CPA, 然后, 使用文献 [3] 中的方法将其扩展为具有抗自适应选择密文攻击安全性 (IND-CCA) 的方案 PBMRE-CCA 3 PBMRE-CPA 该方案由 3 种算法组成, 分别是密钥生成 (key generaton) 加密 (encrypton) 和解密 (decrypton) Key Generaton: 选择两个阶均为素数 p 的群 G 和 G ( 其中,G 为加法群,G 为乘法群 ), 使得存在双线性映射 e:g G G, 且 G 中 Dffe-Hellman 计算问题困难 [7] 设 P 是 G 的生成元随机选择两个元素 Q,R G 假设 E 为消息加密者 ( 即发送者 ), 存在 d 个解密者 ( 即接收者 ), 记为 D,D,,D d 设 a 和为两个正整数在 Z p 中随机选择 a+d 个不同的元素, 记为 t,,t a,t,,,t,,,t d,,,t d, 并设 Γ EC={t,,t a }, DC ={t,,,t, } 随机选择 s Z p 作为主秘密设 m=a+, 随机选择 m 次多项式 q(x) Z p [x], 其常数项为 s, 即 q(0)=s 计算 EK= {q(t )P,,q(t a )P},DK ={q(t, )(R+Q),,q(t, )(R+Q)} 最后计算 P 0 =sp 并输出公共参数 (p,g,g,e,p,q,r,p 0,EC) 接收者 D 获得解密私钥 DK Encrypton: 随机选择 r Z p 并计算密文 : 其中,r EK={rq(t )P,,rq(t a )P} (U,V,W,X)=(rP,rQ,e(P 0,R) r M,r EK) Decrypton: 每个接收者 D 知道 Γ =EC DC 因此, 对每个 Γ,D 可以计算出,Γ (0) 于是,D 计算明文 : M = ev (, P) W 0 a, (0),, (0) (, ( ) ) t Γ ( (, )( ), ) t kγ er+ Qrqt P eqt k R+ Q U = k= 通过 Wel 对的双线性和拉格朗日插值, 容易验证上式等于

4 6 Journal of Software 软件学报 Vol9, No8, August PBMRE-CCA ev (, P) W eqp (, ) W W er (, P) M = M er ( + QsP, ) erp (, ) eqp (, ) erp (, ) erp (, ) r r = = = r r r r r 该方案同样由 3 个算法组成 : 密钥生成 (key generaton) 加密 (encrypton) 和解密 (decrypton) l Key Generaton: 选择两个哈希函数 {} l H G 和 H :{} {}, 其余与 CPA 方案相同输出公共参数 (p,g,g,e,p,q,r,p 0,EC,H,H ) 计算 : Encrypton: 分别从 G 和 : 中随机选择 S G 和 Z p r Z p 计算密文 C=(U,V,W,W,σ,X) 如下 : (rp,rq,e(p 0,R) r S,M H (S),H (S,M,U,V,W,W ),r EK) Decrypton: 对解密者 D, 由 Γ =EC DC,D 对每个 Γ 计算,Γ (0) 将密文分拆为 (U,V,W,W,σ,X) 的形式后,D S = e( V, P ) W 0 a t t k e R + Q rq t P 0 (0) (0),, Γ e q t, k R + Q U ),, Γ (, ( ) ) ( ( )( ), = k= M =W H (S ), σ =H (S,M,U,V,W,W ) 验证 σ =σ 是否成立, 如果成立, 则接收 M 为合法明文 ; 否则拒绝该密文 4 讨论在本节中, 我们讨论抵抗解密者合谋攻击的安全性和算法效率 4 合谋攻击如上一节中所述,m 次多项式 q(x) Z p [x] 用来在 a+d 个碎片中隐藏主秘密 s 由门限秘密分享的性质, a+d 个碎片中任取 m 个可以恢复主秘密 s, 但少于 m 个就得不到 s 的任何信息显然, 由于 <m, 任何一个解密者 D 都不能恢复主秘密 s 另外, 若 d<m, 则即使所有的解密者合谋也不能恢复主秘密 s 由 d<m 和 a+=m, 我们可以得到 a>(d ) 如果 =, 则 a==m 为加密者保留的主秘密碎片的最小数目当然, 我们可以选择任意满足 > 和 a>(d ) 的参数 (a,,d), 但是这样会降低通信和计算效率 4 计算效率加密一个明文 M,PBMRE 需要次 Wel 对的计算 ( 如果预先计算 e(p 0,R) 则加密时无须计算 Wel 对 ) a+ 次椭圆曲线点群 G 上的倍点运算 ( 计算 rp,rq,rq(t )P,,rq(t a )P) 和次乘法群 G 上的指数运算 ( 计算 e(p 0,R) r ) 在解密时,PBMRE 看似需要 m=a+ 次 Wel 对的计算, 但是, 我们可以将解密过程写成如下形式 ( 这里仅以 PBMRE-CPA 为例, 在 PBMRE-CCA 中类似的变化也成立 ): e( V, P0 ) W M = a e R + Q, t rq t P e t q t k R + Q U, (0) ( ) k, (0) (, )( ), Γ, Γ = k = 解密过程修改后, 我们只需要 3 次 Wel 对的运算 a+ 次点乘运算 ( 计算 0) rq( t 0) q( t ) ( R + Q), k ) 和 3 次 G 中的运算 ( 次乘法和次除法 ) t, (, k Γ, k 5 安全性证明, t (, Γ ) P, a 和本节给出 PBMRE-CPA 和 PBMRE-CCA 的安全性证明首先, 在标准模型下, 我们在双线性 Dffe-Hellman 假设 (BDDH) 下证明 PBMRE-CPA 具有 IND-CPA 安全性 ; 然后, 在随机谕示模型下, 基于间隙 Dffe-Hellman 假设,

5 鲁力等 : 基于 Wel 对的多接收者公钥加密方案 63 我们证明 PBMRE-CCA 具有 IND-CCA 安全性定理如果存在攻击 PBMRE-CPA 的 IND-CPA 多项式时间敌手 A, 其优势为 ε, 运行时间为 t, 则以 A 为子程序可以构造求解 BDDH 问题的算法, 其优势为 ε, 运行时间为 t =O(t) 证明 : 我们以 A 为基础来构造求解 BDDH 问题的算法 B 设 BDDH 问题的实例 (P,G,G,e,aP,P,cP,Z 0,Z ), 其中,Z 0 =e(p,p) ac,z =e(p,p) z,z 为中随机选择的元素记算法 B 区分 (P,aP,P,cP,Z 0 ) 和 (P,aP,P,cP,Z ) 的优势为 ε 设 B 的运行时间为 t B 按照如下方法生成一个 CPA 方案实例 B 选择合适的参数 α,β,d 和 m, 满足 β<m,βd<m 和 α+β=m 这里,d 表示解密者个数 Phase : B 设 P 0 =ap 和 R=P 随机选择 γ Z p 和 m 次多项式 q(x) Z p [x] 另外,B 随机选择 Z p 的一个子集, 记为 EC, 使得 EC =α 然后,B 计算 Q=γP 并输出系统公共参数 (p,q,r,p,p 0,e,G,G,EC) 给 A Challenge Phase: A 选择两个等长明文 M 0 和 M 并发送给 BB 收到后按如下过程生成目标密文 C : 随机选择 u,v {}; 返回 C =(cp,βcp,z v M u,{q() cp EC}) 对于 Z v, 如果 v= 因为 Z v M =e(p,p) ac M =e(ap,p) c M =e(p 0,R) r M u, 则 C 是 M u 的合法密文如果 v=, 则 Z v M u =e(p,p) z M u 由于 z 的随机性,A 不能得到关于 u 的任何信息 Z v ) Guess: 收到 A 的猜测 u 后, 如果 u =u, 则 B 输出 (P,aP,P,cP,Z v ) 作为正确的 BDDH 组 ; 否则输出 (P,aP,P,cP, 我们分析 B 的优势如果 v=, 则 A 不能得到关于 u 的任何信息因此, Pr[ u = u v = ] = Pr[ u u v = ] =, 并且 B 猜测正确的 BDDH 组的成功概率是 Pr[ B Success v = ] = 如果 v=b 返回 M u 的合法密文由定理中所述的条件,A 攻击 CPA 方案的优势为 ε 因此, Pr[ u = u v = 0] = + ε, B 猜测正确的 BDDH 组的成功概率为 Pr[ B Success v = 0] = + ε 综上,B 区分 BDDH 组的优势为 Pr[ B Success] = Pr[ B Success v = 0] + Pr[ B Success v = ] = Pr[ B Success v = 0] + Pr[ B Success v = ] = + ε + = ε 显然, 当 A 攻击过程结束时,B 马上给出计算结果, 所以 t =O(t) 定理假设存在多项式时间 t 内攻击 PBMRE-CCA 的 IND-CCA 敌手 A, 其优势为 ε 设 A 对随机谕示 H 和 H 最多分别作和次查询, 并且对解密谕示最多作 q d 次查询, 则以 A 为子程序可以构造算法 B 求解间 qh q H 隙 Dffe-Hellman 问题 (Gap-BDH), 其优势为 ε, 运行时间为 t 若 l 和 l 分别代表哈希函数 H 和 H 的输出长度 q qh q d H 那么 t =O(t), ε ε l l l qh 证明 : 在文献 [3] 中, 对公钥加密体制的安全性定义了明文检测攻击下的单向性 (oneway-ness under plantext checkng attack, 简称 OW-PCA) 这一概念简单来说, 一个公钥加密体制称为 (t,q 0,ε ) 安全是指对任何攻击时间为 t 的敌手 B, 向明文检测谕示 (plantext checkng oracle, 简称 PC) 最多作 q 0 次查询后,B 找到给定密文所对应的明文的优势不大于 ε PC 谕示的输入为明密文对 (C,M), 如果 C 是 M 的密文, 则输出, 否则输出 0 Z p

6 64 Journal of Software 软件学报 Vol9, No8, August 008 在 Gap-BDH 问题困难性假设下, 易知 CPA 方案是 OW-PCA 安全敌手得到公共输入参数中的 (P,R,P 0 ) 和给定密文 (U,V,W,r EK) 后, 如果能找到某个明文 M, 则通过 PC 谕示检测 (P,U,R,P 0,W/M ) 是否为 BDH 组如果是, 则该敌手就攻破了 CPA 方案的单向安全性以该敌手为子程序, 我们可以构造算法来求解 Gap-BDH 问题假设一个 IND-CCA 敌手 A 在多项式时间 t 内攻击 CCA 方案的优势为 ε, 对 H,H 和解密谕示最多分别作 q, q 和 q d 次查询我们以 A 为子程序来构造 CPA 方案的 OW-PCA 敌手 B H H 假设 B 得到 CPA 方案的公共参数 (p,q,p,r,p 0,G,G,e,EC) 和目标密文 C =(U,V,W,X )=(r P,r Q, r e( P0, R) S, r EK )B 模拟 A 的目标系统, 与 A 进行如下 IND-CCA 攻击过程 Phase : B 模拟 IND-CCA 攻击的公共参数 (p,q,p,r,p 0,G,G,e,EC,H,H ), 并提供给 A 这里,H 和 H 是由 B 控制的随机谕示, 其控制方法如下 : H : 初始,B 置表 H ( q H 为空, 表中的数据项格式为 (S,K), 其中 K=H (S) B 收到 A 的查询 S ) 以后 : 如果 (S,K ) 已经存在于 H 表中, 则返回 K ; 否则, 用 PC 谕示检测目标密文 C =(U,V,W,X ) 是否为 S 的密文如果是, 则返回 S 并终止 A 的攻击过程 (B 已经找到目标密文 C 所对应的明文 B 的攻击成功 ); 否则, 随机选择 K {} l ; 将 (S,K ) 放入 H 中, 并返回 K H : 初始,B 置表 H 为空, 表中的数据项格式为 (S,M,U,V,W,W ) B 收到 A 的查询 ( S, M, U, V, W, W )( q ) 以后 : H 如果 (( S, M, U, V, W, W ), ) σ 在表 H 中, 则返回 σ ; 否则, 用 PC 谕示检测目标密文 C 是否为 S 的密文 : 如果是, 则返回 S 并终止 A 的攻击过程 (B 已经找到目标密文 C 所对应的明文 ); 否则, 随机选择 σ {} l ; 将 (( S, M, U, V, W, W ), ) σ 放入 H 中并返回 σ Phase : B 回答 A 的解密查询如下 : 收到一个解密查询 C = ( U, V, W, W, r EK, σ )( qd) 以后 : 如果 (( S, M, U, V, W, W ), ) σ 存在于 H 中 : 使用 H 谕示计算 H (S ) 并验证 H ( S ) M = W 是否成立 ; 如果不成立, 则拒绝该密文 C ; 如果成立, 则使用 PC 谕示验证 ( U, V, W, r EK) 是否为 S 所对应的密文 : 否则, 拒绝该密文 C 如果是, 则返回 M ; 否则, 拒绝该密文 Phase 3: B 收到 A 发送的两个等长明文 (M 0,M ) 以后, 用 CPA 方案的目标密文 C 构造 CCA 的合法密文 C : 随机选择 {}; l 随机选择 K {}, 并置 H (S )=K ; l 随机选择 σ {}, 并置 ( S, M, U, V, W 返回 C = ( U, V, W, K M, σ, r EK), W ) = σ Phase 4: B 回答 A 的询问过程与 Phase 和 Phase 相同 ;

7 鲁力等 : 基于 Wel 对的多接收者公钥加密方案 65 Phase 5: 收到 A 对的猜测以后, 如果 =, 则 B 在止, 不输出任何信息 H 中均匀随机选择一个 S 并输出 ; 如果, 则 B 终在上面的攻击过程中,B 对解密谕示的模拟与真实环境下近似相同但有一种情况除外 : 如果敌手 A 不需要查询 H 就能正确猜测到 H 输出, 那么,A 可以生成合法的密文, 但解密谕示会拒绝 A 所提交的合法密文, 这与真 l 实环境下的解密谕示不同该情况发生的概率为 / 我们记在整个攻击过程中,A 没有查询 H 而正确猜测 H 输出的事件为 GuessH 在与 A 进行上述攻击过程以后,B 在下述情况下会给出目标密文 C 的正确解密 : A 以 S 向 H 查询 H (S ) 时,B 发现 C 是 S 对应的密文该情况发生的概率为 A 以 ( S, M, U, V, W, W ) 向 H 查询 H ( S, M, U, V, W, W ) 时,B 发现 C 是 S 对应的密文该情况发生的概率为 q H l 3 在 A 的攻击过程结束时, 如果 A 攻击成功, 则 B 在 H 中均匀随机选择一个 S 作为目标密文 C 的明文这时,GuessH 事件没有发生将上述 3 个事件分别记作 E,E 和 E 3, 则 Pr[ B Success] = Pr[ E]Pr[ B Success E] + Pr[ E]Pr[ B Success E] + Pr[ E3]Pr[ B Success E 3 ] ( Pr[ E ] Pr[ E ])Pr[ B Success E ] H 3 qh q H Pr[ ] l l = GuessH qh qh q H Pr[ = l l ] Pr[ GuessH ] q qd 由于在整个攻击过程中,A 最多进行 q d 次解密询问, 所以, Pr[ GuessH ] 因此, l qd qh q H ε = Pr[ B Success] ε l l l qh 当 A 攻击过程结束时,B 马上给出计算结果, 所以 t =O(t) 6 结束语为了实现安全广播中数据机密性的要求, 本文给出了一种基于 Wel 对的可证安全的多接收者公钥加密方案 (PBMRE) 基于间隙双线性 Dffe-Hellman 假设, 经过严格安全性证明, 该方案具有抗自适应选择密文攻击语义安全性效率分析表明, 与以前的方案相比, 该方案加解密效率更高, 并具有可证明安全性的特点, 可用于高效的安全数据广播加密 q H l References: [] Bellare M, Boldyreva A, Mcal S Pulc-Key encrypton n a mult-user settng: Securty proofs and mprovements In: Preneel B, ed Advances n Cryptology EUROCRYPT 000 Berln: Sprnger-Verlag, [] Bellare M, Boldyreva A, Staddon J Mult-Recpent encrypton schemes: Securty notons and randomness re-use In: Desmedt Y, ed Proc of the Pulc Key Cryptography PKC 003, the 6th Int l Workshop on Theory and Practce n Pulc Key Cryptography Berln: Sprnger-Verlag, [3] Kurosawa K Mult-Recpent pulc-key encrypton wth shortened cphertext In: Naccache D, ed Proc of the Pulc Key Cryptography PKC 0 the 5th Int l Workshop on Practce and Theory n Pulc Key Cryptosystems Berln: Sprnger-Verlag,

8 66 Journal of Software 软件学报 Vol9, No8, August 008 [4] Feng DG Research on theory and approach of provale securty Journal of Software, 005,6(0): (n Chnese wth Englsh astract) [5] Baudron O, Pontcheval D, Stern J Extended notons of securty for multcast pulc key cryptosystems In: Montanar U, ed Proc of the Automata, Languages and Programmng, the 7th Int l Colloquum Berln: Sprnger-Verlag, [6] ElGamal T A pulc key cryptosystem and a sgnature scheme ased on dscrete logarthms IEEE Trans on Informaton Theory, 985,IT-3(4): [7] Boneh D, Frankln M Identty-Based encrypton from the wel parng In: Klan J, ed Advances n Cryptology CRYPTO 0 the st Annual Int l Cryptology Conf Berln: Sprnger-Verlag, [8] Chen L, Harrson K, Soldera D, Smart NP Applcatons of multple trust authortes n parng ased cryptosystems In: Davda GI, ed Proc of the Infrastructure Securty, Int l Conf, InfraSec 00 Berln: Sprnger-Verlag, [9] Smart NP Access control usng parng ased cryptography In: Joye M, ed Proc of the Topcs n Cryptology CT-RSA 003, the Cryptographers Track at the RSA Conf 003 Berln: Sprnger-Verlag, 003, [0] Mu Y, Suslo W, Ln YX Identty-Based roadcastng In: Johansson T, ed Proc of the Progress n Cryptology INDOCRYPT 003, 4th Int l Conf on Cryptology n Inda Berln: Sprnger-Verlag, [] Baek J, Safav-Nan R, Suslo W Effcent mult-recever dentty-ased encrypton and ts applcaton to roadcast encrypton In: Vaudenay S, ed Proc of the Pulc Key Cryptography PKC 005, the 8th Int l Workshop on Theory and Practce n Pulc Key Cryptography Berln: Sprnger-Verlag, [] Shamr A How to share a secret ACM Communcatons, 979,():6 63 [3] Okamoto T, Pontcheval D REACT: Rapd enhanced-securty asymmetrc cryptosystem transform In: Naccache D, ed Proc of the Topcs n Cryptology CT-RSA 0 the Cryptographer s Track at RSA Conf 00 Berln: Sprnger-Verlag, 附中文参考文献 : [4] 冯登国可证明安全性理论与方法研究软件学报,005,6(0): 鲁力 (978-), 男, 贵州铜仁人, 博士, 讲师, 主要研究领域为密码学, 网络安全胡磊 (967-), 男, 博士, 教授, 博士生导师, 主要研究领域为密码学

Ctpu

Ctpu 二委任出席安全理事会的代表副代表候补代表和代理代表 2010 年 8 月 1 日至 2011 年 7 月 31 日期间委任出席安全理事会的代表副代表候补代表和代理代表如下 : * 奥地利海因茨菲舍尔先生 ( 奥地利联邦总统 ) 米夏埃尔施平德埃格