格上可撤銷的基于身份的適應(yīng)性安全的加密方案

張彥華胡予濮 江明明 來齊齊

(西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)理論與關(guān)鍵技術(shù)國家重點(diǎn)實(shí)驗(yàn)室 西安 710071)

格上可撤銷的基于身份的適應(yīng)性安全的加密方案

張彥華*胡予濮 江明明 來齊齊

(西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)理論與關(guān)鍵技術(shù)國家重點(diǎn)實(shí)驗(yàn)室 西安 710071)

用戶撤銷是基于身份的加密(IBE)方案在實(shí)際應(yīng)用中所必須解決的問題。Chen等人在ACISP 2012上給出了第1個(gè)格上可撤銷的基于身份的加密(RIBE)方案，但其只能達(dá)到選擇性安全。利用Agrawal等人在歐密2010上給出的IBE方案，該文構(gòu)造出一個(gè)格上適應(yīng)性安全的RIBE方案，從而解決了Chen等人提出的公開問題；進(jìn)一步指出利用Singh等人在SPACE 2012上給出的塊方法，可以有效地縮短該方案的公鑰尺寸。

密碼學(xué)；基于身份加密；用戶撤銷；格；適應(yīng)性身份安全

1 引言

1984年，Shamir[1]首次提出基于身份的公鑰密碼(Identity Based Encryption, IBE)體制。在此密碼體制中，用戶的身份標(biāo)志符(如姓名、e-mail地址等)可以看作公鑰，而相應(yīng)的私鑰由可信中心來產(chǎn)生。IBE消除了對(duì)用戶證書的需求和依賴，極大地簡化了密鑰管理。基于雙線性Diffie-Hellman假設(shè), Boneh等人[2]于2001年給出了第1個(gè)有效的IBE方案。自此以后，IBE引起了眾多學(xué)者的廣泛關(guān)注，很多基于身份的加密和簽名方案被提出[35]-。

系統(tǒng)用戶的公私鑰因各種原因有時(shí)需要被撤銷并替換為新的密鑰，例如：與公鑰相對(duì)應(yīng)的私鑰被偷了；用戶丟失了私鑰或者不再是一個(gè)合法用戶。為解決密鑰撤銷和更新問題，文獻(xiàn)[2]提出消息的發(fā)送者在進(jìn)行加密時(shí)可將當(dāng)前的有效時(shí)間添加到身份信息中，并且消息的接收者周期性地獲得新密鑰。然而，上述方法需要可信中心執(zhí)行非撤銷用戶的線性級(jí)別的工作量，并且可信中心需要與每一位非撤銷用戶建立安全信道來發(fā)送更新后的密鑰。最近，Boldyreva等人[6]給出了一個(gè)選擇性安全的可撤銷的基于身份的加密(Revocable Identity Based Encryption, RIBE)方案，使得可信中心執(zhí)行非撤銷用戶的對(duì)數(shù)級(jí)別的工作量，這有效地減輕了可信中心的負(fù)擔(dān)，并且第1次獲得非交互的密鑰撤銷，發(fā)送者和接收者的效率也得以有效提高。隨后，Libert和Vergnaud[7]采用類似的密鑰撤銷方法將文獻(xiàn)[6]改進(jìn)為適應(yīng)性安全。

近年來，基于格構(gòu)造新型密碼系統(tǒng)因具有較高的漸進(jìn)效率、運(yùn)算簡單、抗量子攻擊和存在最壞情況下的隨機(jī)實(shí)例等特點(diǎn)，成為后量子時(shí)代密碼領(lǐng)域的研究熱點(diǎn)，并取得了一系列研究成果[811]-。Chen等人[12]構(gòu)造出第1個(gè)基于格的RIBE方案，但是他們僅獲得選擇性安全。該文利用Agrawal等人[13]的IBE方案，構(gòu)造出一個(gè)格上適應(yīng)性安全的RIBE方案，從而解決了Chen等人提出的如何構(gòu)造格上適應(yīng)性安全的RIBE方案的公開問題；進(jìn)一步指出，利用Singh等人[14]給出的塊方法，可以有效地縮短本文方案的公鑰尺寸。

2 基礎(chǔ)知識(shí)

2.1 格

定義1 設(shè)b1,b2,···,bm是?n上m個(gè)線性無關(guān)的向量，格Λ定義為所有這些向量的整數(shù)線性組合構(gòu)成的集合，即其中向量組b1,b2,···,bm構(gòu)成格Λ的一組基B。

定義 3 對(duì)任意s＞0，定義以向量c為中心，s為參數(shù)的格Λ上的離散高斯分布為

2.2 相關(guān)算法和困難問題

引理1[8]存在概率多項(xiàng)式時(shí)間(Probabilistic Polynomial Time, PPT)算法SampG，輸入格Λ的一組基B，參數(shù)s ≥||·ω(log2n )以及中心c∈?n，輸出一個(gè)統(tǒng)計(jì)接近的格向量。

引理2[8]設(shè)n是正整數(shù)，素?cái)?shù)q≥2, m≥q，對(duì)于除了至多2q-n的部分之外所有的A∈以及任意s≥ω(log2n )，向量u= Aemodq 的分布統(tǒng)計(jì)接近上的均勻分布，其中e∈D?m,s。

引理3[9]設(shè)n是正整數(shù)，素?cái)?shù)q≥2, m＞5nlog2q，存在PPT算法TrapG(q,n)，輸出矩陣其中A在上是統(tǒng)計(jì)均勻的，TA是格(A)的陷門基，且滿足

引理4[9]設(shè)n是正整數(shù)，素?cái)?shù)q≥2, m＞(n+1)log2q+ω(log2n)，則分布(A,AR,RΤw)和 (A,B,RΤw)是統(tǒng)計(jì)不可區(qū)分的。其中上的均勻隨機(jī)矩陣，

引理5[13]設(shè)n是正整數(shù)，素?cái)?shù)q＞2, m≥2nlog2q，存在PPT算法SampL(A,M,TA,u,s)，輸出向量e∈?m+m1，且e的分布與統(tǒng)計(jì)不可區(qū)分。其中矩陣TA是格(A)的陷門基，向量u∈，高斯參數(shù)s＞|||，矩陣。特別的，

引理 6[13]設(shè)n是正整數(shù)，素?cái)?shù)q＞2, m＞n，存在PPT算法SampR(A,B,R,TB,u,s)，輸出向量e∈?2m，且e的分布與DΛuq(F2),s統(tǒng)計(jì)不可區(qū)分。其中矩陣A,B∈?,R ∈{1,-1}m×m,TB是格(B)的陷門基，向量u∈，高斯參數(shù)s＞||||(log2m)，矩陣F2=(AAR+B)。特別地，e∈(F2)。

定義4[15]判定性差錯(cuò)學(xué)習(xí)問題(Decisional Learning With Errors, DLWE) 設(shè)n是正整數(shù)，q為素?cái)?shù)，對(duì)任意α＞0，定義Ψα為中心為0，方差為α/2π的[0,1)上的正態(tài)分布，對(duì)應(yīng)的?q上的離散分布為。設(shè)χ為?q上的差錯(cuò)分布，定義As,X為(ui,vi)=(ui,s+xi)∈?×?q上的分布，其中ui∈是隨機(jī)選取的向量，xi∈?q依分布X獨(dú)立隨機(jī)選取。(?q,n,X)-DLWE是指區(qū)分偽隨機(jī)分布As,X和×?q上的真隨機(jī)分布。

2.3 撤銷二叉樹結(jié)構(gòu)

BT表示二叉樹，Root表示根節(jié)點(diǎn)，若v是葉子節(jié)點(diǎn)，則Path(v)表示v到Root的路徑上所有節(jié)點(diǎn)的集合(包含v和Root)。若θ非葉子節(jié)點(diǎn)，則θl和θr分別表示它的左右子節(jié)點(diǎn)，每個(gè)用戶對(duì)應(yīng)一個(gè)葉子節(jié)點(diǎn)。算法KUNo用來計(jì)算密鑰更新時(shí)二叉樹BT所需要更新的節(jié)點(diǎn)的最小集合。算法KUNo(BT, RL,t):X,Y←?(空集合)；?(vi,ti)∈RL ，若ti≤t，添加θ∈Path(vi)到集合X; ?θ∈X，若θl?X ，添加θl到集合Y；若θr?X，添加θr到集合Y；若Y=0，添加Root到集合Y；返回Y。

3 格上適應(yīng)性安全的RIBE方案

3.1 方案構(gòu)造

系統(tǒng)建立：輸入安全參數(shù)1n和最大用戶數(shù)N；運(yùn)行算法TrapG(q,n)生成隨機(jī)矩陣A0∈?qn×m和格(A0)的陷門基TA0，且；選取l+1個(gè)均勻隨機(jī)矩陣A1,A2,···,Al及B∈，選取n維均勻隨機(jī)向量u∈，輸出公開參數(shù)PP= (A0,A1,···,Al,B,u)和主私鑰MK=TA0。

用戶密鑰生成：輸入公開參數(shù)PP，主私鑰MK，用戶身份id=(b1,b2,···,bl)∈{1,-1}l，撤銷列表RL和狀態(tài)ST；從BT上選取一個(gè)空的葉子節(jié)點(diǎn)v，將用戶id存儲(chǔ)在該節(jié)點(diǎn)，令?θ∈ Path(v)，若uθ,1,uθ,2為空，隨機(jī)選取uθ,1∈, uθ,2=u-uθ,2，并存儲(chǔ)在節(jié)點(diǎn)θ；運(yùn)行算法SampL(A0,Aid,TA0,uθ,1,s)得向量eθ,1∈，輸出SKid={(θ,eθ,1)}θ∈Path(v)和ST。

密鑰更新：輸入公開參數(shù)PP，主私鑰MK，密鑰更新時(shí)間t=(t1,t2,…,tl)∈{1,-1}l，撤銷列表RL和狀態(tài)ST；令KUNo(BT,RL,t)，若uθ,1,uθ,2為空，隨機(jī)選取uθ,1∈,uθ,2=u-uθ,2,并存儲(chǔ)在節(jié)點(diǎn)θ；運(yùn)行算法SampL(A0,At,TA0,uθ,2,s )得向量eθ,2∈，輸出

解密密鑰生成：輸入私鑰SKid={(i,ei,1)}i∈I和更新密鑰KUt={(j,ej,2)}j∈J，其中I和J是節(jié)點(diǎn)集；若存在(i,j)使得i=j，則輸出DKid,t=(ei,1,ej,2)；否則，DKid,t←⊥。由于i=j，簡記DKid,t=(e1,e2)。

加密：輸入公開參數(shù)PP，用戶身份id，密鑰更新時(shí)間t和消息m∈{0,1}；選取n維均勻隨機(jī)向量s∈和l個(gè)均勻隨機(jī)矩陣Ri∈{1,-1}m×m,i= 1,2,…,l；令，選取差錯(cuò)量和差錯(cuò)向量；令，輸出密文CTid,t,m=(c0,

解密：輸入公開參數(shù)PP，解密密鑰DKid,t= (e1,e2)和密文CTid,t,m=(c0,c1)；令，其中計(jì)算，若，輸出1；否則，輸出0。

用戶撤銷：輸入用戶身份id，密鑰更新時(shí)間t，撤銷列表RL和狀態(tài)ST，添加id對(duì)應(yīng)節(jié)點(diǎn)v與時(shí)間t到撤銷列表RL，并輸出新的撤銷列表RL。

3.2 參數(shù)設(shè)置

3.3 安全性證明

解密的正確性顯然成立。利用類似文獻(xiàn)[13]的Abort-Resistant哈希函數(shù)：設(shè)q為素?cái)?shù)，令()?:Ηh(id)，其中hi∈?q。

定理 若(?q,n,)-DLWE假設(shè)成立，則本文的RIBE方案是適應(yīng)性身份選擇明文攻擊安全的。

證明 將敵手分為兩類：第1類，敵手詢問過挑戰(zhàn)身份id?，但是要求在時(shí)間t?該用戶已被撤銷；第2類，敵手從未詢問過挑戰(zhàn)身份id?。本文用隨機(jī)比特k∈{0,1}作為對(duì)敵手類型的一個(gè)猜測(cè)，Wi表示敵手在Gamei中正確猜測(cè)出挑戰(zhàn)比特這一事件，即在Gamei結(jié)束時(shí)，r′=r。

Game 0 Game 0是一個(gè)攻擊本文方案的攻擊者與挑戰(zhàn)者進(jìn)行的適應(yīng)性身份選擇明文攻擊的游戲。

Game 1 改變矩陣Ai,i=1,2,…,l 的生成方式，挑戰(zhàn)者在系統(tǒng)建立階段選取l個(gè)矩陣∈{1, -1}m×m和l個(gè)量hi∈?q,i=1,2,…,l ，構(gòu)造矩陣Ai=A0+hiB∈，其中i=1,2,…,l 。矩陣僅用來構(gòu)造矩陣Ai和挑戰(zhàn)密文。令R?=(||…|)，由引理4可知，(A0,A0·R?,(R?)Ty)和統(tǒng)計(jì)不可區(qū)分，其中

Game 2 在Game 2中，添加一個(gè)在敵手看來獨(dú)立的終止事件，其他與在Game 1中一樣。對(duì)用戶身份集I=(id?,id1,…,idQ)和密鑰更新時(shí)間集J= (t?,t1,…,tQ), Game 2中的挑戰(zhàn)者進(jìn)行如下操作：

(1)系統(tǒng)建立階段，挑戰(zhàn)者隨機(jī)選擇一個(gè)哈希函數(shù)h∈H并秘密保留，其他與在Game 1中一樣。

(2)挑戰(zhàn)者對(duì)敵手的用戶身份，密鑰更新詢問的應(yīng)答和挑戰(zhàn)密文的生成與在Game 1中一樣。

(3)猜測(cè)階段，終止檢查：檢查是否Hh(id?)=0,(idi)≠0,H(t?)=0,H(ti)≠0，若不滿足，挑戰(zhàn) h h者返回隨機(jī)比特r′∈{0,1}，然后終止游戲。人為終止：引入該操作是為了使得游戲終止概率增大，若存在人為終止，挑戰(zhàn)者選擇隨機(jī)比特r′∈{0,1}，然后終止游戲。令ε(·)表示沒有發(fā)生游戲終止的概率，ε(·)∈[εmin,εmax]。

引理7[13]假設(shè)Wi表示敵手在Gamei中正確猜測(cè)出挑戰(zhàn)比特這一事件，即在Gamei結(jié)束時(shí)，r=r′，則|Pr[W2]-1/2|≥εmin|Pr[W1]-1/2|-1/ 2(εmax-εmin)，若存在人為終止，(εmax-εmin)≤αmin|Pr[W1]-1/2|，因此

Game 3 改變每個(gè)節(jié)點(diǎn)的uθ,1,uθ,2的生成方式，對(duì)用戶身份id滿足Hh(id)=0和密鑰更新時(shí)間t滿足Hh(t)=0的詢問，挑戰(zhàn)者作如下返回：若k=0，模擬與第1類敵手的游戲：若θ∈Path(v)，運(yùn)行算法SampG(B?,s,0)得，令uθ,1=Fid·eθ,1,uθ,2=u-uθ,1,uθ,2= u-uθ,1，并存儲(chǔ)在節(jié)點(diǎn)θ；若θ?Path(v)，運(yùn)行算法SampG(B?,s,0)得，令uθ,2=Ft·eθ,2,uθ,1=u-uθ,2，并存儲(chǔ)在節(jié)點(diǎn)θ。在密鑰更新時(shí)間t?，用戶id?已被撤銷，因此KUNo(BT,RL,t?)∩Path(v?)=?，挑戰(zhàn)者用{(θ,eθ,1)}θ∈Path(v)和{(θ,eθ,2)}θ∈KUNo(BT,RL,t)作為對(duì)用戶身份id和密鑰更新時(shí)間t詢問的應(yīng)答。若k=1，模擬與第2類敵手的游戲：運(yùn)行算法SampG(B?,s,0)得eθ,2，令uθ,2=Ft·eθ,2,uθ,1=u-uθ,2，并存儲(chǔ)在節(jié)點(diǎn)θ。由于用戶id?從未被詢問過，因此挑戰(zhàn)者用{(θ,eθ,2)}θ∈KUNo(BT,RL,t)作為對(duì)密鑰更新時(shí)間t詢問的返回。

由引理1可知，eθ,1和eθ,2的分布統(tǒng)計(jì)接近,s。Fid和Ft可以看作上的隨機(jī)矩陣，由引理2可知，uθ,1和uθ,2是上統(tǒng)計(jì)均勻的。敵手無法區(qū)分挑戰(zhàn)者的模擬類型，挑戰(zhàn)者有1/2的概率正確模擬，因此，若游戲被正確模擬，Game 2和Game 3是不可區(qū)分的。

Game 4 改變A0和B的生成方式，選取隨機(jī)矩陣∈，運(yùn)行算法TrapG生成矩陣B∈和格(B)的陷門基TB。Ai,i=1,2,…,l 的構(gòu)造與在Game 3中一樣，即

其中∈?q

挑戰(zhàn)者用陷門基TB對(duì)用戶身份id的密鑰詢問和更新密鑰時(shí)間t的更新密鑰詢問進(jìn)行應(yīng)答：若H(id)≠0，運(yùn)行算法SampR(A0,hidB,Rid,TB,uθ,1,s )得eθ,1；若H(t)≠0，運(yùn)行算法SampR(A0,htB, TB,uθ,2,s)得eθ,2；若H(id)=0或者H(t)=0，與在Game 3中一樣生成eθ,1或者eθ,2，并發(fā)送給敵手。挑戰(zhàn)階段，挑戰(zhàn)者檢查挑戰(zhàn)身份id?=(,…,)和密鑰更新時(shí)間t?=(,…,)是否滿足H(id?)=0, H(t?)=0。若不滿足，挑戰(zhàn)者與在Game 3中一樣，終止游戲，并返回一個(gè)隨機(jī)比特r′∈{0,1}。猜測(cè)階段，挑戰(zhàn)者與在Game 3中一樣，執(zhí)行人為終止。在敵手看來，Game 3和Game 4統(tǒng)計(jì)不可區(qū)分，因此，敵手的優(yōu)勢(shì)是相同的，即

接下來利用DLWE問題的困難性證明對(duì)于PPT敵手來說，Game 4和Game 5是統(tǒng)計(jì)不可區(qū)分的。

假設(shè)存在一個(gè)PPT敵手A能以不可忽略的優(yōu)勢(shì)區(qū)分Game 4和Game 5，本文利用敵手A來構(gòu)造求解DLWE問題的算法B。模擬者B得到一系列樣本(ui,vi)∈×?q，其中i=0,1,···,m 。

系統(tǒng)建立：模擬者B利用樣本生成隨機(jī)矩陣A0∈，矩陣A0的第i列是向量ui,i=1,2,…,m ，將樣本向量u0作為公共隨機(jī)矩陣u∈；與Game 4 一樣生成矩陣B和利用隨機(jī)選擇的hi和構(gòu)造公共矩陣Ai,i=1,2,…,l ；將公開參數(shù)PP=(A0,A1,…,Al,B,u)發(fā)送給敵手A。

詢問階段：模擬者B對(duì)敵手A多項(xiàng)式次用戶密鑰生成，密鑰更新和密鑰撤銷詢問的應(yīng)答與Game 4一樣。

挑戰(zhàn)階段：敵手A提交挑戰(zhàn)身份id?，密鑰更新時(shí)間t?和信息m?∈{0,1}，模擬者B操作如下：v0,v1,···,vm表示DLWE問題中的m+1個(gè)樣本分量，令，盲化消息比特得令；選取隨機(jī)比特r∈{0,1}，若r=0，將發(fā)送給敵手，反之，隨機(jī)選擇，并發(fā)送給敵手。

若DLWE問題中的分布是偽隨機(jī)的，那么c?的分布與在Game 4 中一樣。此時(shí)，由樣本定義知道其中的分布為。因此，上述定義的滿足

上式右端是Game 4中挑戰(zhàn)密文的c1；又由v0=s+x ，其中x的分布為，上述定義中的滿足=s+x+m?，是Game 4中挑戰(zhàn)密文的c0。

若DLWE問題中的分布是真隨機(jī)的，則v0是?q上均勻的，v?是上均勻的。由Left over hash引理可知上述定義的是上獨(dú)立均勻的。因此，挑戰(zhàn)密文的分布與在Game 5中一樣是?q×上均勻的。

猜測(cè)階段：多項(xiàng)式次適應(yīng)性詢問結(jié)束之后，敵手A猜測(cè)與之交互的是Game 4 還是Game 5。模擬者B輸出A的猜測(cè)作為對(duì)DLWE問題的求解。

因此，B求解DLWE問題的優(yōu)勢(shì)與A區(qū)分Game 4和Game 5的優(yōu)勢(shì)相同。由于Pr[W5]=1/2，可得

由式(3)，式(4)，式(5)和式(6)可得

由于不存在PPT算法有效求解DLWE問題，因此本文的方案是適應(yīng)性身份選擇明文攻擊安全的。

Singh等人在文獻(xiàn)[14]中利用塊方法將Agrawal等人的IBE方案的公鑰尺寸有效縮短。利用類似的塊方法，可以進(jìn)一步改善本文的方案，縮短公鑰尺寸，構(gòu)造方法為：

4 結(jié)束語

本文利用Agrawal等人的IBE方案和撤銷二叉樹結(jié)構(gòu)，構(gòu)造出一個(gè)格上適應(yīng)性安全的RIBE方案。在標(biāo)準(zhǔn)模型下證明了方案的安全性是基于格上DLWE問題，從而解決了Chen等人提出的公開問題；又利用Singh等人的塊技術(shù)，可以將本文的RIBE方案的公鑰尺寸進(jìn)一步縮短，從而提高效率。

[1] Shamir A. Identity-based crypto systems and signature schemes[C]. Crypto 1984, Lecture Notes in Computer Science, Santa Barbara, USA, 1985, 196: 47-53.

[2] Boneh D and Franklin M. Identity-based encryption from the weil pairing[C]. Crypto 2001, Lecture Notes in Computer Science, California, USA, 2001, 2139: 213-229.

[3] Paterson K G and Schuldt J C N. Efficient identity based signatures secure in the standard model[C]. Proceedings of the 11th Australasian Conference on Information Security and Privacy, Lecture Notes in Computer Science, Melbourne, Australia, 2006, 4058: 207-222.

[4] Boneh D, Raghunathan A, and Segev G. Function-private identity-based encryption: hiding the function in functional encryption[C]. Crypto 2013, Lecture Notes in Computer Science, Santa Barbara, USA, 2013, 8043: 461-478.

[5] Tessaro S and Wilson D A. Bounded-Collusion identitybased encryption from semantically-secure public-key encryption: generic constructions with short ciphertexts[C]. Proceedings of the 17th International Conference on Practice and Theory in Public-Key Cryptography, Buenos Aires, Argentina, 2014, 8383: 257-274.

[6] Boldyreva A, Goyal V, and Kumar V. Identity-basedencryption with efficient revocation[C]. Proceedings of the 15th ACM Conference on Computer and Communications Security, Alexandria, USA, 2008: 417-426.

[7] Libert B and Vergnaud D. Adaptive-ID secure revocable identity-based encryption[C]. Proceedings of the Cryptographers’ Track at the RSA Conference, Lecture Notes in Computer Science, San Francisco, USA, 2009, 5473: 1-15.

[8] Gentry C, Peikert C, and Vaikuntanathan V. Trapdoors for hard lattice and new cryptographic constructions[C]. Proceedings of the Symposium on Theory of Computing, Victoria, Canada, 2008: 197-206.

[9] Alwen J and Peikert C. Generating shorter bases for hard random lattices[C]. Proceedings of the 26th International Symposium on Theoretical Aspects of Computer Science, Freiburg, Germany, 2009: 535-553.

[10] Micciancio D and Peikert C. Trapdoors for lattices: simpler, tighter, faster, smaller[C]. Eurocrypt 2012, Lecture Notes in Computer Science, Cambridge, UK, 2012, 7237: 700-718.

[11] Boyen X. Attribute-based functional encryption on lattices [C]. Proceedings of the 10th Theory of Cryptography Conference, Lecture Notes in Computer Science, Tokyo, Japan, 2013, 7785: 122-142.

[12] Chen J, Lim H W, Ling S, et al.. Revocable identity-based encryption from lattices[C]. Proceedings of the 17th Australasian Conference on Information Security and Privacy, Lecture Notes in Computer Science, Wollongong, Australia, 2012, 7372: 390-403.

[13] Agrawal S, Boneh D, and Boyen X. Efficient lattice (H)IBE in the standard model[C]. Eurocrypt 2010, Lecture Notes in Computer Science, Riviera, France, 2010, 6110: 553-572.

[14] Singh K, Pandurangan C, and Banerjee A K. Adaptively secure efficient lattice (H)IBE in standard model with short public parameters[C]. Proceedings of the Second International Conference on Security, Privacy and Applied Cryptography Engineering, Chennai, India, 2012: 153-172.

[15] Regev O. On lattices, learning with errors, random linear codes, and cryptography[C]. Proceedings of the Symposium on Theory of Computing, Baltimore, USA, 2005: 84-93.

張彥華： 男，1989年生，碩博連讀生，研究方向?yàn)楦窆€密碼的設(shè)計(jì)與分析.

胡予濮： 男，1955年生， 博士生導(dǎo)師，教授，研究方向?yàn)樾畔踩?、網(wǎng)絡(luò)安全.

江明明： 男，1984年生， 博士，研究方向?yàn)楦窆€密碼、數(shù)字簽名.

A Lattice-based Revocable Adaptive-ID Secure Encryption Scheme

Zhang Yan-hua Hu Yu-pu Jiang Ming-ming Lai Qi-qi
(State Key Laboratory of Integrated Service Networks, Xidian University, Xi’an 710071, China)

User revocation is crucial to the practical application of Identity Based Encryption (IBE). The first Revocable Identity Based Encryption (RIBE) scheme from lattice is given by Chen et al. in ACISP 2012, but its security can only be proved in the selective-ID model. Using the IBE scheme suggested by Agrawal et al. in EUROCPYPT 2010, this paper constructs a lattice-based adaptive-ID secure RIBE scheme, so as to solve a problem left open by Chen et al.. This paper also points out that using the blocking technique given by Singh et al. in SPACE 2012, the public key size can be reduced effectively.

Cryptography; Identity Based Encryption (IBE); User revocation; Lattice; Adaptive-ID secure

TP309

A

1009-5896(2015)02-0423-06

10.11999/JEIT140421

2014-03-31收到，2014-06-19改回

國家自然科學(xué)基金(61173151, 61173152)資助課題

*通信作者：張彥華 yhzhangxidian@163.com