IBE(精选四篇)
IBE 篇1
目前,CPK体制在理论上存在合谋攻击缺陷[5]。现有的防范方法有两种:(1)硬件方面。通过加强智能卡的安全性来防范合法用户的合谋,但并不合理;(2)软件方面。通过选取较大的m×h阶私钥种子矩阵,使得用户的总数量小于m×h,则即使所有的用户均合谋也无法计算出私钥种子矩阵,但该方法严重的违背了CPK体制的思想,即由单个存储单元换取m×h个用户私钥。
1 IBE-CPK方案
本文提出的新方案,即IBE-CPK方案由以下4个算法组成:Setup、Extract、Ecrypt、Decrypt。令η为BDDH假设的参数生成器。
Setup:给定安全参数k,该算法运行如下:
(1)运行参数生成器η(k),生成大素数q、q阶群G1和G2、双线性映射,随机选取G1的生成元P。
(2)随机选取a∈Zq*,令PEnc=ap∈G1*。
(3)生成如下m×h阶私钥种子矩阵PriKSM:
其中,rij在Z*q中随机选取。
根据PriKSM生成m×h阶公钥种子矩阵PubKSM:
选取函数集F={f1,f2,…,fh},令indexi=fi(ID),且有。
(4)随机选取主密钥s∈Z*q-1,计算s-1p∈G1*、s-1PEnc∈G1*。
(5)选取安全哈希函数H1:G2→{0,1}n、H2:{0,1}|q|+n→Zq*,其中n是明文空间的二进制长度,|q|是q的二进制长度。
(6)密钥中心保留priKSM和s,公开系统参数params=
Extract:给定用户的身份ID。令PKID和SKID分别表示用户的公钥和私钥,则PKID和SKID的计算方法分别如下:
(1)计算index1=f1(ID),…,indexh=fh(ID)。
(2)计算PKID=(rindex1,1P+…+rindexh,hP)∈G1*,其中rindexi,iP是pubKSM中行号为indexi列号为i的元素。
(3)计算SKID=s·(rindex1,1+…+rindexh,h)mod(q-1)∈Zq*,其中rindexi,i是priKSM中行号为indexi列号为i的元素。显然有PKID=s·SKID·P∈G1*。
Encrypt:给定用户身份ID和明文m∈M。加密过程如下:
(1)运行算法Extract(ID),生成用户的公钥PKID。
(2)选取随机数σ∈Zq*,则密文如下:
Decrypt:给定密文c。令c的4个部分分别为c1,c2,c3,c4,解密过程如下:
(1)计算
(2)验证等式:。若以上等式均成立,则c为有效明文并且m为c的正确明文。
显而易见,在上述加密算法中,双线性映射和可以一次计算并且为所有用户多次使用,因此可以不考虑它的计算开销;另一方面,双线性映射和也可以一次计算并且当为该用户再次加密传输明文时可以重复使用,即和的值只在第一次给用户ID传输密文时计算。同样的,通过分析解密算法可以发现,解密算法并不需要考虑双线性映射的开销。综上可见,IBE-CPK方案的双线性映射计算开销是比较低的。
2 IBE-CPK方案的安全性证明
安全性证明与文献[1]中的方法大致相同,只是部分细节上需要修改。
参考文献
[1]D.Boneh and M.Franklin.Identity-Based Encryption from the Weil Pairing[C].In Advances in Cryptology-Crypto 2001,Lecture Notes in Computer Science,Vol.2139,pages 231-229,Springer-Verlag,2001.
[2]D.Boneh and X.Boyen.Secure Identity Based Encryption Without Random Oracles[C].In Advances in Cryptology-Crypto 2004,Lecture Notes in Computer Science,Vol.3152,pages 443-459,Springer-Verlag,2004.
[3]J.H.Cheon.Security Analysis of the Strong Diffie-Hellman Problem[C].In Advances in Cryptology-EUROCRYPT'2006,Lecture Notes in Computer Science,Vol.4004,pages1-11,Springer-Verlag,2006.
IBE 篇2
今天继续推送关于地下车库设计的干货,该实例中主要介绍某住宅小区地下车库电气系统设计,如变配电系统、照明系统、防雷接地系统及火灾自动报警系统等。1 项目简介 某住宅小区特大型地下大底盘汽车库,其用地范围呈梯形,地形南高北低东高西低,地下两层(局部地下一层),分为南北两部分。
北部建筑面积51 22m2,停车1 284辆,防火分类Ⅰ类,4个汽车出入口,19个防火分区;南部建筑面积58 308m2,停车1 410辆,防火分类Ⅰ类,4个汽车出入口,20个防火分区;其中南部车库包括甲类常6核6二等人员掩蔽所,5个防护单元;甲类常5核5人防专业设备掩蔽部,1个防护单元。2 变配电系统 2.1 高压进线
高压进线经与供电部门协商,该小区为两路10kV进线,电源引自开关站不同母线段。自小区北侧进线,故在小区北部设一座开闭所,负责小区7座变配电所用电。2.2 车库内变配电所位置设置
根据建筑平面功能以及变配电所净高、设备运输等要求,北部1#楼与2#楼之间设1个变配电所,南部48#楼与50#楼之间设1个变配电所。2.3 低压配电系统1)分配电室位置
北部车库设3座配电室,配电室1负责防火分区1~4、12、13;配电室2负责防火分区5~7、14、15;配电室3负责防火分区8~11、16~19。
南部车库设5座配电室,配电室1负责防火分区1~3;配电室2负责防火分区4~7、11~13;配电室3负责防火分区8~9;配电室4负责防火分区10、17;配电室5负责防火分区14~16、18~20。
2)配电干线系统图自相应变配电所引出电缆至分配电室,然后分配电室引出电缆至相应的防火分区、互相没有交叉,脉络清晰。每个分配电室按照明、应急照明、动力分开自成体系。按规范明确规定,消防用电设备在最末一级配电装置处自动切换。注意两个区别:配电装置与控制装置区别,消防设备、防火分区作为末端区别。根据JGJ 16-2008《民用建筑电气设计规范》中13.9.9 条:“除消防水泵、消防电梯、防烟及排烟风机等消防设备外,各防火分区的消防用电设备,应由消防电源中的双电源或双回线路电源供电,……。”其他防火规范也有类似规定,只有《民规》明确规定“消防水泵、消防电梯、防烟及排烟风机等消防设备外”不允许以防火分区作为末端切换。3)主要用电设备
照明,2~3W/m2 ;排烟风机(或者双速风机),每个防火分区2台;补风机,每个防火分区1台;排水泵,每个防火分区2~3组;防火卷帘,每个防火分区2~3档。每个防火分区用电负荷约为40~60kW。由于每个防火分区用电设备类型相同,其配电系统也相同。以北部三四区配电干线系统图、南部二三区配电干线系统图为例,见图
1、图2。图1 北部三四区配电干线系统图 图2 南部二三区配电干线系统图 3 灯具和探测器布置
车库照明选用36W单管三基色荧光灯,采用隔行隔列布置(即品字形布置)。照明按车位、车道、功能房间(楼梯间、风机房、水泵房和配电间等)三种位置控制。车位灯采用每隔两行就地控制或集中控制,达到控制灯具数量1/
3、2/3 及全部三种模式。车道灯按车道两侧分开控制,达到控制灯具数量1/2及全部两种模式。
南、北两个车库,均为Ⅰ类汽车库,属于二级保护对象。停车区、车道采用感温探测器,呈品字形布置,防火卷帘门两侧仅采用感温探测器一种,风机房、配电间等采用感烟探测器。邻近边界区域、防排烟管道(最大尺寸为 600×400mm)适当增加探测器以满足探测半径要求和遮挡范围要求。北部车库19个防火分区,共设置30个消防接线箱、42台防排烟风机、40档防火卷帘、18组预作用报警阀、2台消火栓泵及2台喷淋泵;南部车库20个防火分区,共设置35个消防接线箱、47台防排烟风机、31档防火卷帘及25组预作用报警阀。报警信号线考虑预留15%~20%余量,地址编码及维护检修方便,按照每个消防接线箱一路;防排烟风机、消防水泵直接控制线每台一路;每组报警阀中压力开关信号线直接引至喷淋泵控制箱。
设计中依据《汽车库建筑设计规范》建立垂直式后退停车最经济车库模型,中间部位柱网采用7.8×8.1m,地下室边柱离侧墙最小距离4.3m,行车道最小距离5.5m。地下汽车库结构形式主要采用了有和无梁楼盖、梁板两种,灯具和探测器主要采取了品字形和田字形两种布置,见图
3、表1。图3 灯具和探测器布置图
表1 灯具和探测器的布置4 防雷接地系统
大底盘车库上有多层、高层住宅建筑,防雷类别为三类,外部防雷的措施采用装在建筑物上的接闪网和接闪杆;内部防雷采取防反击、防闪电电涌侵入措施(注意三类防雷建筑物不要求防闪电感应)。笔者在防雷设计时,发现建筑物侧向间距小,防雷扩大面积重合,等效面积连成一体,如何确定建筑物防雷类别成为核心问题。小区地势偏坡,绝对高程相差较大,建筑物绝对高度相差较大,防雷规范没有考虑绝对高程影响,值得深入考虑。
北部大底盘车库包括31栋单体建筑,南区大底盘车库包括34 栋单体建筑,基础采用筏板,防水采用2道3mm厚BS防水卷材。接地体无法利用车库和单体筏板基础钢筋,在车库外围设置了人工水平接地体。车库与单体基础钢筋可靠连接,车库及单体(侧向接触土壤位置)地下一层圈梁(相对室外地面-2.0m)钢筋在引下线位置与人工接地体连接。尤其位于车库中间位置单体建筑接地,一定与车库基础钢筋可靠连接(车库基础钢筋按20×20m网格连接)。
变电所的工作接地、保护接地、重复接地及弱电系统接地统一设置,接地电阻小于1Ω。5 结束语
IBE摄影师教你“拍”自然 篇3
人物简介:
刘思阳,IBE的90后自然摄影师,中国自然影像新锐力量之一。擅长自然生态微距拍摄,偏爱拍摄自然环境以及生态人文等,其摄影作品多次入围英国BBC国际野生动物摄影年赛,并在国内摄影比赛中多次获奖。现在,就让我们跟着他的镜头,感受自然之美吧!
款款双飞的赤蜓
虽是骄阳高照的夏季正午,这对赤蜓却坠入爱河。在一片安详的氛围中,它们悠然地做着波浪式的上下浮动。忽杀出一搅局者,貌似情敌。但任它使出浑身解数,也丝毫不能拆散这对恩爱的眷侣。这便是爱情的最高境界:忠贞不渝,幸福向前,乘着爱情的小舟,款款双飞。
含情脉脉的红腹锦鸡
这里是海拔1 600米处的秦岭。突然,竹丛中蹿出一对红腹锦鸡。雄鸟身上的华丽羽毛渐渐向外蓬松,彩色的披肩羽掩住头部,宛如一把抖开的折扇。它的尾巴也随之倾斜,使美丽的尾羽和尾上的覆羽显得十分明亮。它的双眼向雌鸟脉脉传情,不时地发出“咝咝”的倾慕声。
迷路无援的红白鼯鼠
立秋刚过,雨后初晴的秦岭小山城街道旁的行道树上趴着一位不速之客,原来是一只红白鼯鼠,它惊奇地望着树下围观的人群,虽然它表面显得淡定自若,但是其眼神和肢体还是流露出对陌生环境的畏惧。为了送它回家,我迅速报警,警察将这只可爱的鼯鼠送回了森林,也让我留下它的照片。
雄美于雌的红腹角雉
标准模型下抗泄漏的IBE 篇4
2001年,Shamir[1]给出第一个实用的基于身份的加密(IBE)方案,并给出IBE的正式安全性定义,该方案是IBE思想[2]被提出之后的第一个实用的方案。此后,密码学家们提出了大量的实用IBE方案[3,4,5,6,7,8,9]。这些方案的安全性的获得都是以密钥等信息要绝对保密为前提的。近期,研究者们发现边信道攻击[10,11,12]可以导致密码系统的秘密信息泄漏,这样以前设计的系统的安全性就被破坏了。因此,抗泄漏密码学方案的设计就成了一个研究热点。目前,已有一些抗泄漏的安全方案[13,14,15,16,17,18],其中有抗泄漏的加密方案[13,14,15]和抗泄漏的签名方案[16,17,18]。
在基于身份的密码体制中,Naor和Segev[13]通过构造HASH证明系统给出了基于身份的抗泄漏的选择明文攻击安全(CPA)的IBE方案。但是,对于加密方案而言,最高的安全级别是选择密文攻击安全(CCA)。所以,我们考虑构造抗泄漏的CCA安全的加密方案。
本文提出一个在标准模型下针对选择密文攻击(CCA)安全的抗泄漏的IBE。
1 预备知识
1.1 双线性映射
如果G与GT是阶为p的乘法群,其中p是一个大素数,映射e满足:
(1)双线性:对任意g,h∈G,x,y∈Zp,成立e(gx,hy)=e(g,h)xy。
(2)非退化性:e(g,g)≠1。
(3)有效性:对任意g,h∈G,e(g,h)可以有效的计算。那么就称e是双线性映射。
1.2 复杂度假设
首先定义q-ABDHE问题:
给定一个包含2q+2个元素的向量:
本文用的是这个问题的缩减版,即:输入向量中不含。明显可以看出,如果q-ABDHE问题是困难的,那么缩减的q-ABDHE问题也是困难的。称一个算法A解决缩减的q-ABDHE问题有优势ε,假如:
其中,gi表示g(αi),g'i表示g'(αi),概率值是针对所有随机选取的G生成元g、g'和随机选择的α以及攻击者随机选取额的b所得的。
缩减的q-ABDHE判定性问题如下:
一个算法B(输出b∈{0,1})解决缩减的q-ABDHE问题具有优势为ε,假如:
其中,概率值是针对所有随机选取的G生成元g,g'和随机选择的Zp中的α以及B所使用的随机值和GT中的随机值Z。
对应的分布记为对应的分布记为RABDHE。
我们说缩减的(ε,q)-ABDHE假设成立,如果多项式时间内任意攻击者只能以至多ε的优势解决群G中的q-ABDHE问题,有时简称为q-ABDHE假设成立。
1.3 提取器
随机的两个变量X、Y之间统计距离记为:
记一个变量X最小熵:
定义1提取器[19]
二元函数Ext:{0,1}u×{0,1}t→{0,1}m若成立条件:U、S分别为{0,1}m、{0,1}t均匀分布,任给A∈{0,1}u只要H∞(A)>k,就有SD((Ext(A,S),S),(U,S))≤εT(εT是可以忽略的),则称这个函数为强度为(k,εT)提取器。
结论1
对于随机变量X,Y,Z而言,Y把2η个值,η是正整数,那么:
这个结论的具体讨论可以参考文献[20]。
2 抗泄漏的IBE方案
本文所给IBE方案是基于(qID+2)-ABDHE假设的,在标准模型下是抗泄漏的和CCA安全的。
2.1 抗泄漏的IBE方案
设G和GT是阶为p的群,e:G×G→GT是双线性映射。构造的方案如下:
设置算法私钥生成中心(PKG)随机选取g,h1,h2,h3∈G和一个随机值α∈Zp,设置g1=gα∈G。H是一个单向的哈希函数,具体如下:H:G×GT×GT×GT→Zp。公共参数params和主私钥MSK如下:
私钥产生算法给定ID∈Zp,对i∈{1,2,3},PKG产生随机值rID,i∈Zp,输出私钥为:dID={(rID,i,hID,i)},i∈{1,2,3},其中。如果ID=α,PKG终止执行。PKG对相同ID产生相同的随机值rID,i。
加密算法用ID∈Zp对消息m∈GT进行加密,发送者产生随机值s,r∈Zp,设置密文:
其中β是由C的前四部分经过哈希运算得到的,具体为:
则只要e(g,g)和{e(g,hi)}(i∈{1,2,3})事先计算好或者包含在公钥参数中,那么加密就不需配对计算。
解密算法解密者收到的密文是:
为了表述方便,对密文C中的g1sg-s.ID用符号u表示(即可令u=g1sg-s.ID);对密文C中的e(g,g)s用符号v表示(即可令v=e(g,g)s);对密文C中的m⊕Ext(e(g,h1)-s,r)用符号w表示(即可令w=m⊕Ext(e(g,h1)-s,r));对密文C中的e(g,h2)se(g,h3)sβ用符号y表示(即可令y=e(g,h2)s e(g,h3)sβ)。那么,密文C就可以简单的表示为C=(u,v,w,r,y)。
具体的解密操作首先,解密者计算密文前四个部分哈希值,H(g1sg-s.ID,e(g,g)s,mExt(e(g,h1)-s,r),r)(也就是H(u,v,w,r)),把这个值记为β。接着,用自己的私钥计算,然后把这个值和密文中的最后一部分(即e(g,h2)se(g,h3)sβ或y)比较,判断它们是否相等。若它们不等,接收者放弃操作,输出失败;否则,解密出明文m=w⊕e(u,hID,1)νrID,1。
正确性
因为:
且:
即正确性成立。
2.2 安全性与抗泄漏性能
本文所给的抗泄漏IBE方案在标准模型下基于(qID+2)-ABDHE假设是CCA安全的。
定理1设q=qID+2,如果对于双线性群(G,GT,e)来说缩减的(ε,q)-ABDHE假设成立,那么,2.1节的抗泄漏的IBE方案在私钥泄漏量为λ(n)(n是系统安全参数)时是(ε',qID,qc)_CCA安全的,其中qID是私钥查询次数,qc是解密查询次数,且:
,即相对泄漏率为。m(n)是消息长度。
证明思路假设攻击者能破坏所给方案的安全性,我们就可以构造一个算法B来解决缩减的q-ABDHE问题。B把一个随机的缩减的q-ABDHE挑战(g',g'q+2,g,g1,…,gq,Z)作为输入,其中Z是e(gq+1,g')或是GT的一个随机元素。算法B的构造如下:
设置B产生度为q的随机多项式fi(x)∈Zp[x](i∈{1,2,3})。设置。把公钥params=(g,g1,h1,h2,h3,H)发给敌手。由于g,α和fi(x)(i∈{1,2,3})是随机选择的,h1、h2、h3是随机的,公钥与实际的构造是一致的。
阶段1
私钥查询A执行私钥查询。B按如下方式回答相应身份ID的查询。如果ID=α,B用α解决缩减的q-ABDHE问题。否则,用FID,i(x)(i∈{1,2,3})表示度为q-1的多项式(fi(x)-fi(ID))/(x-ID)。对i∈{1,2,3},B设置私钥(rID,i,hID,i)为,对于身份ID来说这是一个有效的私钥,因为。由于fi(x)是度为q的随机均匀多项式,所以这样产生的私钥对于敌手A来说是正确分布的。
泄漏查询对于身份ID,敌手任意选择一个概率多项式时间泄漏函数f(·),挑战者以skID为输入计算f(skID)并把它发给敌手。f(skID)输出长度是λ(n)比特。
解密查询A也执行解密查询。对于解密查询(ID,C),B产生一个对应于ID的私钥,然后用这个私钥去解密密文C。
阶段2 A执行私钥查询和解密查询。B的回应与阶段1相同。
猜测最后敌手输出一个猜测b'∈{0,1}。如果b'=b,B输出0(表示Z=e(gq+1,g'));否则B输出1。
证明
(1)首先对泄漏的界进行限定,因为,VIEW表示A的视图(所有变量联合分布)。敌手A通过泄漏查询能够获得的信息为λ(n)比特,表明泄漏Leak有2λ个值。由结论1可以推得:
给定公钥和私钥泄漏为λ(n)的情况下,根据提取器的定义只要选取强度为(log(p)-λ,εT)的提取器,就有:
(2)定理中的关于概率结果的证明可以由以下的两个引理获得。
引理1当B的输入是根据PABDHE来取样的话,模拟构造中A的视图(所有变量集合)的联合分布与和b的分布之间的区分性与真实构造中的情况是几乎相同的,至多相差概率为2λqC/p,即
当B根据PABDHE来取样输入的话。如果A只进行私钥产生查询,由前面所述,可知B的模拟对A来说是恰当的。如果A仅对询问过私钥的身份进行解密查询,由于B没有给A提供额外的信息,B的模拟在A看来是完美的。进一步,查询形式完好的密文,对于A区分模拟和真实的构造没有帮助;因为解密的正确性,形式完好的密文无论在模拟和真实的构造中都可以被接收的。
最后,询问对应于身份ID的形式不是完好的密文(u',v',w',r',y'),其中v'=e(u',g)1/(α-ID),不能提高A的区分能力,因为对于身份ID的无效私钥,密文不会通过解密检查。这样,这个引理由下列断言得到:
断言1在模拟和真实的构造中,解密预言机除了概率2λqC/p外会拒绝所有没有被A查询过身份的无效密文。
如果v'≠e(u',g)1/(α-ID),就称密文(u',v',w',r',y')是无效的密文。假设是一个无效密文(u',v',w',r',y')对应的身份ID没有被敌手A查询过。{(rID,i,hID,i):i∈{1,2,3}}是B对应于身份ID的私钥。记au'=loggu',av'=loge(g,g)v',ay'=loge(g,g)y'。如果(u',v',w',r',y')被接收,需要求:
其中β'=H(u',v',w',r')。为了计算A能够产生y'的概率,必须从A的角度考虑分布:
{(rID,i,hID,i):i∈{1,2,3}}。首先,A根据私钥的构造知道:
根据式(1)-式(4),A的任务可以重新描述为,找出y'以满足如下条件:
注意到av'-au'/(α-ID)≠0,因为密文是无效的。记z'=av'-au'/(α-ID),在实际的构造中,对于不同的身份,值rID,i,i∈{1,2,3}是独立选择的;但是,在模拟中不是这样的情况。由于fi(ID)=rID,i,A可以从(f2(x),f3(x))得到信息(rID,2,rID,3),这包括在α处从公钥(h2,h3)中得到的关于(f2(x),f3(x))的值和从q-2次私钥的查询中得到的值。我们可以用矩阵积的形式来表示这些获得的知识。
其中fi,j是多项式fi(x)中xj的系数,xk∈Zp是A提交给私钥产生预言机的第k个身份查询且xq-1=α。用f表示上边的向量,用V表示下边的矩阵。注意到V包含两个(q+1)×(q-1)的范德蒙矩阵,它的列是线性独立的。敌手看来,由于V的行数比列多四,对于f来说解空间是4维的。
让γID表示向量(1,ID,…,IDq)。用模拟者的私钥向量改写式(5),可得:
其中(au'/(α-ID))(loggh2+β'loggh3)只与公钥有关,“·”表示点积,γID‖β'γID表示连接γID和β'γID得到的2(q+1)维的向量,如果γID‖β'γID属于线性子空间V,A就可以从私钥查询中获得的知识去求出式(6)的解y'。显然,γID‖β'γID是线性独立的。这样,对于身份ID来说,如果这是第一次被查询的无效密文,接收无效密文(u',v',w',r',y')的概率为2λ/p,原因是:没有泄漏时,考虑到f是列向量V所决定的4维解空间,f被包含在式(6)和列向量V所决定的3维解线性空间中的概率仅有1/p,即H∞(ay')=Log(p)。在有泄漏时,泄漏的信息为λ比特时,H∞(ay'‖Leak)≥Log(p)-λ,因此f被包含在式(6)和列向量V所决定的3维解线性空间中的概率仅有
在模拟构造当中,每次解密预言机拒绝一个无效密文,A的第i次无效密文被接收的概率为2λ/(p-i+1)。相应地,qC个无效密文(对应的身份没有被私钥查询预言机询问过)没被拒绝的概率为qC.2λ/p。这个结果对于真实的构造也成立,因为真实的构造中敌手的效率会更低。这就证明了引理1。
引理2当B的输入是根据RABDHE来取样的话,在模拟构造中b的分布与A的视图的分布是不可区分的,概率相差至多为2qC2λ/p,即
对于(ID,Mb)的挑战密文(u,v,w,r,y)来说,记au=loggu,av=loge(g,g)v,ay=loge(g,g)y。由于(u,v,w,r,y)是由RABDHE取样产生的,在A看来(au,av)是Zp×Zp中的随机元素。从挑战密文和式(2)-式(4),A可得下式:
其中,β=H(u,v,w,r)。
证明由下列两个断言完成。
断言2如果解密预言机拒绝所有无效密文(用表示这个事件,对应的E表示没有拒绝所有无效密文),A在猜测b时至多有优势2λqC/p,即
如果没有无效密文被接收,B对解密预言机的反馈没有泄漏rID,1。进一步,A的私钥查询没有限制rID,1=f1(ID),因为f1的度为q。这样,分布Mb⊕w(关于条件b和A除w之外的视图)是均匀的。Mb⊕w作为完美的一次填充,w是随机均匀的和独立的,b是独立于A的视图的。
密文仅有的能揭示关于b的信息的部分是y,因为A把(u,v,w,r)看做是G×GT×GT中一个随机均匀的和独立的元素。V的列对应的2q-2个方程至少和式(8)正交与Zp2(q+1)的一个三维空间。在A看来,f以1/2概率包含于三维空间,因为b有两个可能的值。由于没有无效密文被接收,每个三维空间剩下至少p3-qcp2个坐标。由于H∞(rID,1‖Leak)≥Log(p)-λ,这样,A至多有优势来区分b。
断言3解密预言机没有拒绝所有无效密文的概率2λqC/p,即Pr(E)≤2λqC/p。
假设A提交一个关于未被查询的身份ID的无效密文(u',v',w',r',y'),其中(u',v',w',r',y',ID)≠(u,v,w,r,y,IDb)。记β'=H(u',v',w',r')。分三种情况考虑:
情况1(u',v',w',r')=(u,v,w,r),则哈希值也相等。如果ID=IDb,y'≠y,密文肯定被拒绝。ID≠IDb,A必须产生一个满足式(6)的y'。无论如何,对应于式(6)的向量γID‖β'γID与γIDb‖β'γIDb和V的列向量是线性无关的,类似断言1可知A不能产生这样一个y',除了具有2λ/(p-i+1)的概率外;其中(u',v',w',r',y')是第i个无效密文。记V1,…,V2q-2表示V的各个列。假设存在一个非零向量(a1,…,a2q),使得a1V1+…+a2q-2V2q-2+a2q-1(γID‖β'γID)+a2q(γIDb‖β'γIDb)是Z2(q+1)中零向量。则(a1,…,aq-1,a2q-1,a2q)和(aq,…,a2q-2,a2q-1,a2q)至少有一个是非零的,不失一般性,假设(a1,…,aq-1,a2q-1,a2q)非零,(V1,…,Vq-1,γID,γIDb)的前q+1个坐标构成一个范德蒙矩阵,但a1V1+…+aq-1Vq-1+a2q-1(γID‖β'γID)+a2q(γIDb‖β'γIDb)的前q+1个坐标是零向量,矛盾。
情况2(u',v',w',r')≠(u,v,w,r)且β=β',这破坏了哈希函数的单向性,是不可能发生的。
情况3(u',v',w',r')≠(u,v,w,r)且β≠β',对某个身份ID,A必须产生满足式(6)的一个y'。特别的,与情况1类似,当ID≠IDb时,A只能以可以忽略的概率出现这种情况。当ID=IDb时,因为β≠β',所以产生。这些向量很显然相互线性无关且与V的列也线性无关。
在有泄漏时,泄漏的信息为λ比特时,H∞(ay'‖Leak)≥Log(p)-λ,因此经过qC次解密查询拒绝无效密文的概率为:
由断言2和断言3可知。
引理2证毕。
从而定理1得证。
2.3 性能比较
通过本文方案和经典文献[4]和文献[13]的方案的比较,我们可以发现本文的方案具有更好的性能。
文献[4]给出了一个著名的基于身份的加密方案,该方案是在标准模型下针对自适应选择密文攻击(CCA)安全的。但是,该文给出的安全模型没有考虑到密钥的泄漏情况,也就是说该模型中是以密钥的绝对保密为前提的。最近几年,一些边信道攻击导致了密码系统的一些秘密信息甚至是密钥信息的部分泄漏,在这种情况下,文献[4]中的方案就不安全了。因为在密钥有泄漏的情况下,敌手获得的信息就更多了,它的攻击能力就越强。本文的方案充分考虑到了密钥信息有泄漏的情况,本文的方案在抵抗私钥泄漏的在标准模型下针对自适应选择密文攻击(CCA)安全的。所以,本文的方案要优于文献[4]的方案。
对于边信道攻击引起密钥泄漏的问题,文献[13]提出了针对选择明文攻击(CPA)抗密钥泄漏的安全方案。尽管文献[13]中方案考虑到了密钥的泄漏情况,但是他们的方案仅仅是针对CPA安全的。因为在安全模型中,方案的CPA安全性要比方案的CCA安全性弱。本文的方案是CCA安全的,并且也抵抗密钥的泄漏。因此,本文的方案要优于文献[13]的方案。
本文的方案和文献[4]的方案比较,本文的方案具有抗泄漏的性能,而文献[4]的方案不具有抗泄漏性能。和文献[13]的方案比较,虽然文献[13]的方案也具有抗泄漏性能,但是文献[13]的方案仅是CPA安全的,本文的方案的安全性却是CCA的。因此本文的方案具有更好的性能(见表1)。
3 结语
本文构造了能抵抗私钥泄漏的CCA安全的基于身份加密方案。方案的安全性基于截短的q-ABDHE假设通过线性无关的思想获得。方案的相对私钥泄漏率可以接近1/6。但是,抗泄漏的加密研究一个较新的研究方向,还有很多值得进一步研究的问题,比如如何在更为通用的假设(比如DDH假设)下构造安全的抗泄漏加密方案。
摘要:由于边信道和冷启动攻击的存在,以黑盒模型为基础的可证安全密码系统的密钥等机密信息会有泄漏,这就会导致密码方案的安全性受到破坏。针对这样的问题,提出一个标准模型下的基于身份的抗泄漏的加密方案。首先,给出抗泄漏的基于身份的加密方案的具体构造;接着,从理论上证明该方案的安全性和抗泄漏性能。方案的安全性是基于q-ABDHE假设运用线性无关的思想证明得到的,方案的抗泄漏性是通过提取器的合理使用得到的。该方案是针对选择密文攻击抗泄漏安全的,理论分析表明该方案的私钥相对泄漏率可以接近1/6。