基于多线性映射的可公开验证密钥封装方案

◆吕立群 杨晓元

（武警工程大学电子技术系 陕西 710086）

基于多线性映射的可公开验证密钥封装方案

◆吕立群 杨晓元

（武警工程大学电子技术系 陕西 710086）

密钥封装机制（KEM）与数据封装机制（DEM）共同组成了混合加密，有效解决了公钥加密计算效率低和对称加密私钥分发的问题。密钥封装机制的安全性和效率直接影响混合加密的安全性和效率。本文利用多线性映射构造了一种基于身份的密钥封装方案，在标准模型下证明了方案的适应性选择密文安全性。方案可公开验证且密钥与密文长度均为常数，具有较高的效率。

密钥封装；选择密文安全；可公开验证；多线性映射

0 引言

基于身份加密(IBE)自1984年被Shamir等人提出以来，一直是公钥密码学研究的热点问题。在基于身份的密码体制中，用户的公钥可以是任意的字符串，基于身份的密码体制不需要数字证书，简化了用户公钥的管理过程。但类似的也存在着加解密速度慢、效率不高等问题。密钥封装机制KEM与公钥加密体制类似。但同传统的密钥封装机制相比，基于身份的密钥封装机制不需要使用数字证书，因此具有很好的应用前景。

密钥封装机制使用是开放的、不安全的信道，对于密钥封装机制的主动攻击不仅有窃听、截获，甚至可以篡改信道中的数据，从而获取有价值的信息。为了提高效率，Boneh与Katz提出了利用消息验证码（MAC）来代替一次签名系统[5]。如何在不引入一次签名系统和消息验证码的情况下达到选择密文安全值得进一步的研究。Boyen等人提出可以利用哈希函数以及密文内部的结构来极高方案的安全性[5]。

2003年以来基于证书的密钥封装方案、基于签密的密钥封装等方案[2,3]相继被提出。其中Wang等利用多线性映射构造了一种基于身份的密钥封装方案[4]，方案的密文与私钥长度均为1个群元素，解密是仅需一次对运算，方案的存储与运算效率都较高，但是方案的安全性仅达到选择明文安全性，因此，如何构造高效的具有选择密文安全性的KEM值得进一步研究。

本文利用Boyen等人提出的思想以及多线性映射，构造了一种适应性选择密文安全的基于身份的可公开验证的密钥封装方案。方案的密文与私钥长度短且为固定长度，没有使用一次签名系统或消息验证码，方案的计算效率较高且可公开验证。

1 多线性判定Diffie-Hellman假设

算法A在安全参数 下解决MDDH假设的优势定义为：

定义2 MDDH假设指出，不存在多项式时间算法A，其具有不可忽略的优势可以解决MDDH问题。

2 基于身份的密钥封装机制的定义

一个基于身份的密钥封装方案可以由如下四个算法描述：

(PK,MSK)←Setup(λ)：系统建立算法Setup以安全参数λ为输入，输出公钥PK和主私钥MSK。：私钥生成算法KeyGen以公钥PK,主私钥MSK和用户身份ID∈I作为输入（I为用户的身份空间），输出其对应的私钥SkID。

(C,K)←Encap(pk,ID)：封装算法Encap以公钥PK和用户身份ID作为输入，输出密文C与密钥K∈K，其中K为密钥空间。

K←Decap(C, SkID)：解封装算法Decap以密文C和用户私钥SkID作为输入，输出密钥K或无效符号⊥。

基于身份的密钥封装方案需满足解密一致性。即对任意：

3 算法构造

新算法构造如下：

（1）系统建立Setup(λ)：输入系统安全参数λ，身份的比特位数n生成群组（G1，…Gn），群的阶为p,gi为群Gi的生成元，其中g=g1。选取哈希函数H0：G1→ZP。随机选择（b1,0，b1,1）,…,其中随机选取计算故系统公钥 PK=。系统主私钥MSK=

（2）私钥生成KeyGen(PK,MSK,ID)：输入系统主私钥MSK，身份ID=，系统公钥PK，计算用户身份ID对应的私钥

（3）密钥封装Encap(PK,ID)：输入公钥PK，用户的身份ID，哈希函数H0，随机选取t∈Zp计算：

最终计算出密文 C=（C0,C1），封装的对称密钥

（4）解封装Decap(PK,C, SkID)：用户输入公钥PK，私钥SkID以及密文C：

①计算密文C0的哈希值w=H0（C0）；

②公开验证密文C的有效性：验证等式 e（C0，u1u2w）=e（C1,g）是否成立，若不相等，则说明密文C无效，输出⊥；

4 效率分析

在本节主要通过计算开销和通信开销两方面来分析新方案的性能，并给出了所构造方案与已有基于身份的密钥封装方案的效率分析对比。在性能比较中，仅考虑耗时的多线性对运算（用P表示一次多线性对运算的时间），一次签名的开销（用TS表示签名的计算开销，S表示签名的通信开销）以及哈希函数运算开销（用T1表示），Gi表示一个群G中的元素。通过对比可以看出，同文献[4]相比，本文方案在未引入一次性签名的基础上，达到了IND-sID-CCA2安全性，同时降低了密文长度与加解密的计算开销。同方案[5]相比，本文方案在达到标准模型下IND-sID-CCA2安全和可公开验证的基础上，仍然保持了很高的效率。在通信开销方面，新方案的密文长度仅增加一个群中的元素，私钥长度不变。在计算开销方面，仅增加了一次哈希函数运算和两次多线性对运算。

5 结束语

本文构造了一个可公开验证的基于身份的密钥封装方案，并且在标准模型下证明了方案的适应性选择密文安全性。本文方案未引入一次签名算法，仅使用哈希函数，通过密文内部的验证机制达到了可公开验证性和选择密文安全性。分析表明，本文方案在牺牲较小效率的代价下，达到了较好的安全性，适宜在实际通信中使用。

[1]Chen L,ChengZ,Malone-Lee J.An efficient ID-KEM based on the Sakai-Kasahara key construction[J].IEE Proceedings-Information Security，2006.

[2]陈明.标准模型下基于身份的多接收者签密密钥封装方案[J].计算机工程与科学，2015.

[3]王斌斌，段娜，张晓丽.标准模型下基于身份的签密密钥封装[J].计算机应用与软件，2015.

[4]张敏情，张腾飞，王绪安.基于多线性映射的可公开验证加密方案[J]. 武汉大学学报: 理学版，2014.

[5]Wang H，Wu L，Zheng Z，et al. Identity-Based Key-Encapsulation Mechanism from MultilinearMaps[J]. IACR Cryptology ePrint Archive，2013.