CN105024821A - 格上可撤销的基于身份的加密方法 - Google Patents

Abstract

本发明公开了一种格上可撤销的基于身份的加密方法，具体包括以下步骤：步骤1、建立算法；步骤2、私钥生成算法；步骤3、更新密钥生成算法；步骤4、解密密钥生成算法；步骤5、加密算法；步骤6、解密算法；步骤7、撤销算法，本发明添加了用户身份撤销机制，可以有效地实现用户的身份管理；本发明是基于格上的LWE困难问题，可以抵抗量子攻击，并具有较高的计算效率，证明了方案是适应性安全的，将方案的安全性规约到LWE困难问题，解决了现有技术中存在的加密方法致使用户私钥泄露且难以抵抗量子攻击的问题。

Description

格上可撤销的基于身份的加密方法

技术领域

本发明属于信息安全技术领域，具体涉及一种格上可撤销的基于身份的加密方法。

背景技术

基于身份密码体制克服了传统的公钥密码体制中公钥证书的维护、更新和撤销等问题。基于身份的密码体制从根本上改变了传统的公钥体制架构中证书的管理和运作。基于身份的密码***与普通的公钥***相比不同之处在于，基于身份的密码体制***中实体公开身份信息是实体的唯一标识，用户的公钥可以通过身份信息导出。这些方案在一些企事业单位中有良好的应用前景，如个人与个人之间，个人与商家之间、商家与商家、企业与企业之间的业务交流，或者是政府部门之间的电子政务来往等。

为了保证拥有大量用户的加密***的安全性，身份撤销机制是很必要的。***用户公钥被撤销有多种原因：第一，用户的私钥泄露；第二，该用户不再是一个合法的用户，这种情况下需要撤销该用户。比如在一个企业管理***中，某个员工从该企业辞职，则需要从该***中撤销该用户，或者某个员工篡改数据或者泄露企业隐私，违反了该企业的规章制度，也需要从该***中撤销该用户。

鉴于上述的实际问题，可撤销的基于身份的加密方法研究是很实用的。在现实生活中，像这样的例子很多，比如像保密局、各类企业、商业、通信等等领域。在这些情况下，撤销公钥-私钥对并且用新的密钥来代替是很重要的。可撤销的基于身份加密在基于身份加密方案中提供了有效的撤销方法，可信权威定期地发布非撤销用户的更新密钥，并且只有用户拥有最新的更新密钥，他才可以正确的解密密文。因此，随着互联网产品的快速发展以及广泛使用，研究可撤销的基于身份加密有很好的发展前景。

发明内容

本发明的目的是提供一种格上可撤销的基于身份的加密方法，解决了现有技术中存在的加密方法致使用户私钥泄露且难以抵抗量子攻击的问题。

本发明所采用的技术方案是，格上可撤销的基于身份的加密方法，具体按照以下步骤实施：

步骤1、***建立；

步骤2、私钥生成；

步骤3、更新密钥生成；

步骤4、解密密钥生成；

步骤5、加密；

步骤6、解密；

步骤7、撤销。

本发明的特点还在于，

步骤1具体按照以下步骤实施：

步骤(1.1)、输入安全参数λ，以及用户的最大个数N，设置参数m＝2n log q， $\mathrm{\&sigma;}=max(l_1,l_2)m\mathrm{\&omega;}\left(\sqrt{\log m}\right),\mathrm{\&alpha;}<\frac{1}{5}\left(1+\mathrm{\&omega;}\left(\sqrt{\log m}\right)\right){\left(O\left(\left(l_1+l_2\right)\mathrm{\&sigma;}m\right)+1\right)}^{-1},$ $q>10\sqrt{m}(1+\mathrm{\&omega;}(\sqrt{\log m}\left)\right)\left(O\right(\left(l_1+l_2\right)\mathrm{\&sigma;}m)+1),$ 令用户身份 $id=\{b_1,...,b_{l_1}\}\&Element;{\{-1,1\}}^{l_1},$ 时间段定义φ为一对一的映射：φ(id)＝d,d∈{1,…,N}；

步骤(1.2)、使用基于格的陷门生成算法TrapGen(q,n)，生成一个均匀随机n×m维的矩阵以及格的短基并且满足 $\left|\right|{\tilde{T}}_{A_0}\left|\right|\&le;O\left(\sqrt{n\log q}\right);$

步骤(1.3)、选择l₁+l₂+2个均匀随机n×m维的矩阵

步骤(1.4)、选择均匀随机向量

步骤(1.5)、撤销列表RL初始设置为状态ST存储当前***中的用户信息，令其中包含用户身份、身份索引、身份对应的随机向量、时间对应的随机向量，初始设置

步骤(1.6)、输出公共参数PP和主密钥MK：

$PP=\{A_0,A_1,...,A_{l_1},C_1,...C_{l_2},B_1,B_2,u\},MK=\left\{T_{A_0}\right\}.$

步骤2具体按照以下步骤实施：

步骤(2.1)、输入公共参数PP、主密钥MK和一个用户的身份 $id=\{b_1,...,b_{l_1}\}\&Element;{\{-1,1\}}^{l_1},$ 状态ST；

步骤(2.2)、如果身份id不在状态ST中，通过计算φ(id)＝d，得到索引d，均匀随机选择令并且添加到状态ST中；如果身份id在状态ST中，从状态ST中检索然后，令

步骤(2.3)、抽样 $e_{id,d}\&LeftArrow;SampleLeft(A_0,A_{id},T_{A_0},u_{d_1},\mathrm{\&sigma;}),$ e_id,d的分布统计接近于其中F_id＝A₀||A_id，并且这里记号||表示级联运算；

步骤(2.4)、输出身份id的初始私钥和更新的状态ST。

步骤3具体按照以下步骤实施：

步骤(3.1)、输入公共参数PP、主密钥MK和时间段撤销列表RL、状态ST；

步骤(3.2)、定义在时间段t内撤销用户身份集即对于任意的t′≤t，如果存在(id′,t′)满足(id′,t′)∈RL，则添加(id′,t′)到撤销用户身份集R中；

步骤(3.3)、令

步骤(3.4)、对于所有的从ST中检索四元组抽样e_t,d的分布统计接近于其中F_t＝A₀||C_t，并且这里记号||表示级联运算；

步骤(3.5)、输出时间段t内的更新密钥并且公开它们。

步骤4具体按照以下步骤实施：

步骤(4.1)、输入私钥SK_id、更新密钥UK_t；

步骤(4.2)、如果和对应相同的索引d，输出解密密钥DK_id,t:＝(SK_id,KU_t)，否则，终止。

步骤5具体按照以下步骤实施：

步骤(5.1)、输入公共参数PP、身份时间 $t=\{t_1,...,t_{l_2}\}\&Element;{\{-1,1\}}^{l_2},$ 以及消息m∈{0,1}；

步骤(5.2)、令这里记号||表示级联运算；

步骤(5.3)、选择均匀随机向量

步骤(5.4)、选择l₁+l₂个均匀随机矩阵R_i←{-1,1}^m×m，对于i＝1,…,l₁+l₂，定义 $R_{id}={\mathrm{\&Sigma;}}_{i=1}^{l_1}{b}_i{R}_i\&Element;{\{-l_1,...,l_1\}}^{m\&times;m},R_t={\mathrm{\&Sigma;}}_{i=1}^{l_2}{t}_i{R}_{l_1+i}\&Element;{\{-l_2,\mathrm{...},l{2}_{}\}}^{m\&times;m};$

步骤(5.5)、选择噪音向量令令

步骤(5.6)、输出密文

步骤6具体按照以下步骤实施：

步骤(6.1)、输入公共参数PP、解密密钥DK_id,t、以及密文CT＝(c₀,c₁)；

步骤(6.2)、如果密文CT_id,t和解密密钥DK_id,t对应不同的身份和时间，则终止，否则进行下述步骤：

步骤(6.2.1)、把c₁解析成

步骤(6.2.2)、计算

步骤(6.2.3)、比较整数w和的大小，如果则输出1，否则，输出0。

步骤7具体为：

输入身份 $id=\{b_1,...,b_{l_1}\}\&Element;{\{-1,1\}}^{l_1},$ 时间 $t=\{t_1,...,t_{l_2}\}\&Element;{\{-1,1\}}^{l_2},$ 撤销列表RL、状态ST，然后将(id,t)添加到撤销列表RL中。

本发明的有益效果是，格上可撤销的基于身份的加密方法，基于格，可以抵抗量子攻击，并且具有较高的计算效率，本发明适应性身份安全的，较先前的方案相比，其安全性更高一筹，由于添加了用户身份撤销机制，可以有效地实现用户的身份管理，来保证整个加密***的安全性。

具体实施方式

下面结合具体实施方式对本发明进行详细说明。

本发明格上可撤销的基于身份的加密方法，具体按照以下步骤实施：

步骤1、***建立：

具体按照以下步骤实施：

步骤(1.1)、输入安全参数λ，以及用户的最大个数N，设置参数m＝2n log q， $\mathrm{\&sigma;}=max(l_1,l_2)m\mathrm{\&omega;}\left(\sqrt{\log m}\right),\mathrm{\&alpha;}<\frac{1}{5}(1+\mathrm{\&omega;}(\sqrt{\log m}\left)\right){\left(O\right(\left(l_1+l_2\right)\mathrm{\&sigma;}m)+1)}^{-1},$ $q>10\sqrt{m}(1+\mathrm{\&omega;}(\sqrt{\log m}\left)\right)\left(O\right(\left(l_1+l_2\right)\mathrm{\&sigma;}m)+1).$ 令用户身份 $id=\{b_1,...,b_{l_1}\}\&Element;{\{-1,1\}}^{l_1},$ 时间段定义φ为一对一的映射：φ(id)＝d,d∈{1,…,N}；

步骤(1.2)、使用基于格的陷门生成算法TrapGen(q,n)，生成一个均匀随机n×m维的矩阵以及格的短基并且满足 $\left|\right|{\tilde{T}}_{A_0}\left|\right|\&le;O\left(\sqrt{n\log q}\right);$

步骤(1.3)、选择l₁+l₂+2个均匀随机n×m维的矩阵

步骤(1.4)、选择均匀随机向量

步骤(1.5)、撤销列表RL初始设置为状态ST存储当前***中的用户信息，令其中包含用户身份、身份索引、身份对应的随机向量、时间对应的随机向量，初始设置

步骤(1.6)、输出公共参数PP和主密钥MK：

$PP=\{A_0,A_1,...,A_{l_1},C_1,...C_{l_2},B_1,B_2,u\},MK=\left\{T_{A_0}\right\};$

步骤2、私钥生成：

具体按照以下步骤实施：

步骤(2.1)、输入公共参数PP、主密钥MK和一个用户的身份 $id=\{b_1,...,b_{l_1}\}\&Element;{\{-1,1\}}^{l_1},$ 状态ST；

步骤(2.2)、如果身份id不在状态ST中，通过计算φ(id)＝d，得到索引d，均匀随机选择令并且添加到状态ST中；如果身份id在状态ST中，从状态ST中检索然后，令

步骤(2.3)、抽样e_id,d的分布统计接近于其中F_id＝A₀||A_id，并且这里记号||表示级联运算；

步骤(2.4)、输出身份id的初始私钥和更新的状态ST；

步骤3、更新密钥生成：

具体按照以下步骤实施：

步骤(3.1)、输入公共参数PP、主密钥MK和时间段撤销列表RL、状态ST；

步骤(3.2)、定义在时间段t内撤销用户身份集即对于任意的t′≤t，如果存在(id′,t′)满足(id′,t′)∈RL，则添加(id′,t′)到撤销用户身份集R中；

步骤(3.3)、令

步骤(3.4)、对于所有的从ST中检索四元组抽样e_t,d的分布统计接近于其中F_t＝A₀|C_t，并且

步骤(3.5)、输出时间段t内的更新密钥并且公开它们。

步骤4、解密密钥生成：

具体按照以下步骤实施：

步骤(4.1)、输入私钥SK_id、更新密钥UK_t；

步骤(4.2)、如果和对应相同的索引d，输出解密密钥DK_id,t:＝(SK_id,KU_t)，否则，终止；

步骤5、加密：

具体按照以下步骤实施：

步骤(5.1)、输入公共参数PP、身份时间 $t=\{t_1,...,t_{l_2}\}\&Element;{\{-1,1\}}^{l_2},$ 以及消息m∈{0,1}；

步骤(5.2)、令这里记号||表示级联运算；

步骤(5.3)、选择均匀随机向量

步骤(5.4)、选择l₁+l₂个均匀随机矩阵R_i←{-1,1}^m×m，对于i＝1,…,l₁+l₂，定义 $R_{id}={\mathrm{\&Sigma;}}_{i=1}^{l_1}{b}_i{R}_i\&Element;{\{-l_1,...,l_1\}}^{m\&times;m},R_t={\mathrm{\&Sigma;}}_{i=1}^{l_2}{t}_i{R}_{l_1+i}\&Element;{\{-l_2,...,l_2\}}^{m\&times;m};$

步骤(5.5)、选择噪音向量令令

步骤(5.6)、输出密文

步骤6、解密：

具体按照以下步骤实施：

步骤(6.1)、输入公共参数PP、解密密钥DK_id,t、以及密文CT＝(c₀,c₁)；

步骤(6.2)、如果密文CT_id,t和解密密钥DK_id,t对应不同的身份和时间，则终止，否则进行下述步骤：

步骤(6.2.1)、把c₁解析成

步骤(6.2.2)、计算

步骤(6.2.3)、比较整数w和的大小，如果则输出1，否则，输出0；

步骤7、撤销，具体为：

输入身份 $id=\{b_1,...,b_{l_1}\}\&Element;{\{-1,1\}}^{l_1},$ 时间 $t=\{t_1,...,t_{l_2}\}\&Element;{\{-1,1\}}^{l_2},$ 撤销列表RL、状态ST，然后将(id,t)添加到撤销列表RL中。

下面分析本发明格上可撤销的基于身份的加密方法的安全性：

(1)正确性验证：

方案的正确性推导过程如下：

定理：上述正确性证明中的误差项 $x-e_{id,d}^T\left[\begin{array}{c}y\\ z_1\end{array}\right]-e_{t,d}^T\left[\begin{array}{c}y\\ z_2\end{array}\right]$ 的界限为 $\mathrm{\&alpha;}q(1+w(\sqrt{\log m}\left)\right)\left(O\right(\left(l_1+l_2\right)\mathrm{\&sigma;}m)+1).$

证明：为了证明误差项的界限，简记e_id＝e_id,d,e_t＝e_t,d，令e_id＝(e_id,1|e_id,2),e_t＝(e_t,1|e_t,2)，其中由左抽样算法得到： $\left|\right|e_{id}\left|\right|\&le;\mathrm{\&sigma;}\sqrt{2m},\left|\right|e_t\left|\right|\&le;\mathrm{\&sigma;}\sqrt{2m},$ 则有 $e_{id,1},e_{id,2},e_{t,1},e_{t,2}\&le;\mathrm{\&sigma;}\sqrt{m},$ 因为 $R_{id}=\underset{i=1}{\overset{l_1}{\&Sigma;}}{b}_i{R}_i,$ 由引理4得到，引理4如下描述：

引理4：令R是m×m维矩阵，其中的元素是从{-1,1}^m×m中随机选取的，则存在一个大的常数C，满足

$\mathrm{Pr}\&lsqb;s_R=\left|\right|R|{|}_R>C\sqrt{m}\&rsqb;\&le;e^{-2m}$

则有 $\left|\right|R_{id}\left|\right|\&le;\underset{i=1}{\overset{l_1}{\&Sigma;}}\left|\right|b_i{R}_i\left|\right|\&le;l_{1}O\left(\sqrt{m}\right),$ 同理 $\left|\right|R_t\left|\right|\&le;l_{2}O\left(\sqrt{m}\right),$ 则有

$\left|\right|e_{id,1}+R_{id}{e}_{id,2}\left|\right|\&le;\left|\right|e_{id,1}\left|\right|+\left|\right|R_{id}{e}_{id,2}\left|\right|\&le;\mathrm{\&sigma;}\sqrt{m}(1+O(l_1\sqrt{m}\left)\right)\&le;O\left(l_1\mathrm{\&sigma;}m\right),$

$\left|\right|e_{t,1}+R_t{e}_{t,2}\left|\right|\&le;\left|\right|e_{t,1}\left|\right|+\left|\right|R_t{e}_{t,2}\left|\right|\&le;\mathrm{\&sigma;}\sqrt{m}(1+O(l_2\sqrt{m}\left)\right)\&le;O\left(l_2\mathrm{\&sigma;}m\right),$

利用引理5，引理5描述如下：

引理5：令e是中的向量，则|e^Ty|的值为[0,q-1]中的整数，并且以不可忽略的概率满足

$\left|e^{T}y\right|\&le;\left|\right|e\left|\right|q\mathrm{\&alpha;}w\left(\sqrt{\log m}\right)+\left|\right|e\left|\right|\sqrt{m/2}$

误差项被界定为

$\begin{array}{c}\left|x-{e_{id}}^T\left[\begin{array}{c}y\\ z_1\end{array}\right]-{e_t}^T\left[\begin{array}{c}y\\ z_2\end{array}\right]\right|\&le;\left|x\right|+\left|{(e_{id,1}+R_{id}{e}_{id,2})}^{T}y\right|+\left|{(e_{t,1}+R_t{e}_{t,2})}^{T}y\right|\\ \&le;\frac{1}{2}+q\mathrm{\&alpha;}\mathrm{\&omega;}\left(\sqrt{\log m}\right)+\left|\right|(e_{id,1}-R_{id}{e}_{id,2})\left|\right|\&CenterDot;(\frac{\sqrt{m}}{2}+q\mathrm{\&alpha;}\mathrm{\&omega;}(\sqrt{\log m}\left)\right)+\left|\right|(e_{t,1}-R_t{e}_{t,2})\left|\right|\&CenterDot;(\frac{\sqrt{m}}{2}+q\mathrm{\&alpha;}\mathrm{\&omega;}(\sqrt{\log m}\left)\right)\\ =\frac{1}{2}+q\mathrm{\&alpha;}\mathrm{\&omega;}\left(\sqrt{\log m}\right)+\left(\right|\left|\right(e_{id,1}-R_{id}{e}_{id,2}\left)\right||+|\left|\right(e_{t,1}-R_t{e}_{t,2}\left)\right|\left|\right)(\frac{\sqrt{m}}{2}+q\mathrm{\&alpha;}\mathrm{\&omega;}(\sqrt{\log m}\left)\right)\\ \&le;(1+|\left|\right(e_{id,1}-R_{id}{e}_{id,2}\left)\right||+|\left|\right(e_{t,1}-R_t{e}_{t,2}\left)\right|\left|\right)(\frac{\sqrt{m}}{2}+q\mathrm{\&alpha;}\mathrm{\&omega;}(\sqrt{\log m}\left)\right)\\ \&le;\left(O\right(\left(l_1+l_2\right)\mathrm{\&sigma;}m)+1)(\frac{\mathrm{\&alpha;}q}{4}+q\mathrm{\&alpha;}\mathrm{\&omega;}(\sqrt{\log m}\left)\right)\\ <\left(O\right(\left(l_1+l_2\right)\mathrm{\&sigma;}m)+1)\left(\mathrm{\&alpha;}q\right(1+\mathrm{\&omega;}\left(\sqrt{\log m}\right)\left)\right)\end{array}$

上述的误差项的界限为

为了保证方案的正确性，通过设置参数q,n,m,σ,α，确保误差项是小于q/5，方案中的参数估计过程如下：

(1.1)误差项需小于q/5，也就是说 $\mathrm{\&alpha;}<\frac{1}{5}(1+(\mathrm{\&omega;}\sqrt{\log m}\left)\right){\left(O\right(\left(l_1+l_2\right)\mathrm{\&sigma;}m)+1)}^{-1},$

(1.2)陷门生成算法需满足m>2n log q，

(1.3)对于左抽样算法和右抽样算法，σ要保证是足够大的，即 $\mathrm{\&sigma;}>\left|\right|{\tilde{T}}_A\left|\right|max(l_1,l_2)\sqrt{m}w\left(\sqrt{\log m}\right)=max(l_1,l_2)m\mathrm{\&omega;}\left(\sqrt{\log m}\right),$

(1.4)使用学者Regev的约减过程，需满足

为了满足上述的要求，设置参数如下：

(a)、m＝2n log q，

(b)、 $\mathrm{\&sigma;}=max(l_1,l_2)m\mathrm{\&omega;}\left(\sqrt{\log m}\right),$

(c)、噪声参数 $\mathrm{\&alpha;}<\frac{1}{5}(1+\mathrm{\&omega;}(\sqrt{\log m}\left)\right){\left(O\right(\left(l_1+l_2\right)\mathrm{\&sigma;}m)+1)}^{-1},$

(d)、模数q是一个素数并且满足：

$q>10\sqrt{m}(1+\mathrm{\&omega;}(\sqrt{\log m}\left)\right)\left(O\right(\left(l_1+l_2\right)\mathrm{\&sigma;}m)+1).$

(2)安全性验证：

定理：如果存在一个概率多项式时间算法A在INDr-ID-CPA下以优势ε>0攻破RIBE方案，则存在概率多项式时间算法B以至多以的优势判定问题。

证明：如果敌手A以不可忽略的优势攻破方案，则挑战者B可以借助敌手A来判定问题。证明过程是在一系列游戏之间进行的，第一个游戏和安全模型中的INDr-ID-CPA游戏相同，在最后一个游戏中，敌手的优势A是0，只要证明一个概率多项式时间敌手A是不能区分任意两个游戏的，即证明了敌手以可忽略的优势赢得原始的INDr-ID-CPA游戏。在第i个游戏中，令W_i表示敌手在该游戏中正确猜测挑战比特，i＝1,2,3,4。

游戏0：挑战者B选择l₁+l₂+2个随机矩阵生成公共参数PP和主密钥MK。在挑战阶段，挑战者生成挑战密文CT^*。令对于i＝1,…l₁+l₂，表示创建密文CT^*时使用的l₁+l₂个短暂的随机矩阵。

游戏1：在游戏1中，挑战者改变生成公共参数矩阵A_i,C_j的方式，对i∈{1,…,l₁},j∈{1,…,l₂}。挑战者在建立阶段选择随机矩阵并且选择l₁+l₂个随机标量其中i＝1,…,l₁+l₂。接下来，像游戏0一样生成矩阵A₀,B₁,B₂，对于i＝1,…l₁,j＝1,…,l₂，构造矩阵A_i,C_j如下：

游戏中剩余的参数不变。注意到是在建立阶段提前选择的，并且关于挑战身份id^*的知识是不需要的。

引理3：假设m>(n+1)logq+w(logn)，q是素数。令是均匀选择的，令R是m×m维的矩阵，在{-1,1}^m×m modq上均匀选择的。接着，对于所有的向量分布(A,AR,R^Tw)是统计接近于分布(A,B,R^Tw)的。

通过使用引理3，证明游戏0和游戏1是不可区分的。观察在游戏1中，矩阵仅仅被用来构造矩阵A_i,C_j以及构造挑战密文CT^*中用到的误差向量 $z_1\&LeftArrow;{\left(R_{id}^{*}\right)}^{T}y,z_2\&LeftArrow;{\left(R_t^{*}\right)}^{T}y,{R_{id}}^{*}={\mathrm{\&Sigma;}}_{i=1}^{l_1}{b}_i{R_i}^{*},{R_t}^{*}={\mathrm{\&Sigma;}}_{i=1}^{l_2}{t}_i{R_{l_1+i}}^{*}.$ 接下来令通过使用引理3，有分布(A₀,A₀R^*,(R^*)^Ty)和是统计接近的，其中A_i′,C_j′是上的均匀随机矩阵，i∈[l₁],j∈[l₂]。接着令z＝(z₁|z₂)，则有分布和是统计接近的。因此，从敌手的角度来看，矩阵A₀R_i ^*是接近于均匀的，并且独立于z，所以(1)式中定义的A_i,C_j是接近于均匀的，这就意味着从敌手的角度来看，它们是随机独立均匀矩阵，就像游戏0中一样。这就证明了

Pr[W₀]＝Pr[W₁]

游戏2：游戏2是类似于游戏1，除了增加了一个终止事件，该事件是独立于敌手的角度的。令Q^id是私钥询问的最大次数，|T|是时间空间的大小，并且时间空间是关于λ的多项式，令q32(|T|+Q^id)。不失一般性，因为时间空间T是关于λ的多项式，假设敌手对所有的时间t∈T的更新密钥都进行询问，并且挑战者对重复的询问能做出相同的回答。因此假设(t₁,…,t_|T|)是时间询问元组，其中的元素是按递增顺序排列的。

在游戏2中，挑战者行为如下：

1、建立阶段是等同于游戏1的，除了挑战者也要选择2个随机的哈希函数H₁,H₂∈H_wat，并且保留它。

2、挑战者回答私钥询问和密钥更新询问，并且像游戏1中一样直接给出挑战密文。

3、挑战者随机猜测i^*∈[|T|]，满足敌手的第i^*次更新密钥询问是关于t^*的，因此，挑战者正确猜测的概率是1/|T|。

4、挑战者猜测敌手是来自下述的哪种类型：

类型1：敌手询问挑战身份id^*，但是该身份在t^*时间段或者之前已经撤销。

类型2：敌手在任何时间都不询问目标身份id^*。

挑战者正确猜测敌手的类型的概率是1/2。如果猜测结果是类型1，游戏2中的挑战者随机猜测j′∈[Q^id]，满足敌手的第j′次私钥询问是关于id^*的，因此挑战者正确猜测的概率是1/Q^id。令j^*＝|T|+j′。

1、令Q＝Q^id+|T|。在最终的猜测阶段，敌手输出猜测结果r′∈{0,1}。挑战者进行如下步骤：

1)令e₁＝(t₁,…,t_|T|),其中(t₁,…,t_|T|)和分别对应时间询问和身份询问。令

2)终止检测：一旦输入e₁,e₂，对于身份询问，挑战者检测H₁是否满足E_J(H₁)，对于时间询问，H₂是否满足E_J(H₂)。如果至少一个不满足的话，挑战者用一个新的{0,1}中的比特来重写r′，并且终止游戏。注意到，敌手从来没有见过H₁,H₂，如果终止事件发生的话，敌手也不能学到任何信息。

3)人工终止：挑战者抽样一个比特Γ∈{0,1}，满足Pr[Γ＝1]＝γ(e)，其中函数γ(·)在文献[1]中给出定义。如果Γ＝1，挑战者用一个新的{0,1}中的比特来重写r′，并且由于人工终止，挑战者终止游戏。

这就完成了游戏2的描述。注意到，终止条件是由两个哈希函数H₁,H₂来确定，并且它们是独立于敌手的角度的。对于询问元组e，令ε(e)是终止事件(或者真实的或者人工的)不发生的概率，令是标量，满足其中b表示的是面对哪种类型的敌手。ε(e)是游戏2中终止事件(或者真实的或者人工的)不发生的概率。设置

$\mathrm{\&Delta;}b=\left\{\begin{array}{c}\frac{1}{2\left|T\right|},b=2\\ \frac{1}{2\left|T\right|\&CenterDot;Q^{id}},b=1\end{array}\right.$

上述表示的是挑战者正确猜测敌手的类型的概率。

如果没有人工干预的话，有可以推得

${\mathrm{\&epsiv;}}_{max}^{\left(b\right)}-{\mathrm{\&epsiv;}}_{\min }^{\left(b\right)}=\left\{\begin{array}{c}{\mathrm{\&Delta;}}_1\&CenterDot;(2Q/q^3-Q^2/q^4),b=1\\ {\mathrm{\&Delta;}}_2\&CenterDot;Q/q^2,b=2\end{array}\right.$

上述概率是不可忽略的，并且导致没有一个好的下界。因此应用waters的方法来添加人工终止。通过使用这个策略，则有 ${\mathrm{\&epsiv;}}_{max}^{\left(b\right)}-{\mathrm{\&epsiv;}}_{\min }^{\left(b\right)}<{\mathrm{\&epsiv;}}_{\min }^{\left(b\right)}.\left|\mathrm{Pr}\&lsqb;W_1\&rsqb;-\frac{1}{2}\right|,$ 因此

$\mathrm{Pr}\&lsqb;W_2\&rsqb;-\frac{1}{2}\&GreaterEqual;{\mathrm{\&epsiv;}}_{min}\left|\mathrm{Pr}\&lsqb;W_1\&rsqb;-\frac{1}{2}\right|-\frac{1}{2}({\mathrm{\&epsiv;}}_{max}-{\mathrm{\&epsiv;}}_{min})\&GreaterEqual;\frac{1}{2}{\mathrm{\&epsiv;}}_{min}\left|\mathrm{Pr}\&lsqb;W_1\&rsqb;-\frac{1}{2}\right|$

则有

$\mathrm{Pr}\&lsqb;W_2\&rsqb;-\frac{1}{2}\&GreaterEqual;\left\{\begin{array}{c}\frac{\left|\mathrm{Pr}\&lsqb;W_1\&rsqb;-\frac{1}{2}\right|}{8q^2\left|T\right|Q^{id}},b=1\\ \frac{\left|\mathrm{Pr}\&lsqb;W_1\&rsqb;-\frac{1}{2}\right|}{8q\left|T\right|},b=2\end{array}\right.$

由上式知，游戏1和游戏2以可忽略的优势可以区分。

游戏3：现在，挑战者改变游戏2中的A₀,B₁,B₂的选择方式，在游戏3中，生成矩阵A₀是一个上的随机矩阵，而生成矩阵B₁,B₂是使用TrapGen算法，满足B₁,B₂是上的随机矩阵，并且挑战者拥有的陷门和的陷门对于i＝1,…,l₁,j＝1,…,l₂，A_i,C_j的构造和游戏2中一样，即

挑战者回答私钥询问如下：

私钥询问：游戏3中，对于身份挑战者使用陷门来回答私钥询问：

(1)如果身份id不在状态ST中，通过计算φ(id)＝d，得到索引d，均匀随机选择令并且添加状态ST中；如果身份id在状态ST中，则从状态ST中检索

(2)构造(1)式中的接着有注意到h_id＝H_ID(id)，其中H_ID是定义在H_wat中的哈希函数族，通过使用

(3)如果h_id＝0，挑战者终止游戏，并且假装输出一个随机比特r′∈{0,1}，如游戏2。否则，接着执行下步。

(4)抽样e_id,d的分布统计接近于其中F_id＝A₀|A_id。

(5)输出私钥

更新密钥询问：游戏3中，对于时间段挑战者使用陷门来回答更新密钥询问：

(1)定义在时间段t内撤销用户身份集也就是说，对于任意的t′≤t，如果存在(id′,t′)满足(id′,t′)∈RL，则添加(id′,t′)到R中。

(2)构造(1)式中的接着有注意到h_t＝H_T(t)，其中H_T是定义在H_wat中的哈希函数族，通过使用

(3)如果h_t＝0，挑战者终止游戏，并且假装输出一个随机比特r′∈{0,1}，如游戏2。否则，接着执行下步。

(4)对于所有的从ST中检索四元组抽样e_t,d的分布统计接近于其中F_t＝A₀|C_t。

(5)输出更新密钥并且公开它们。

对于安全游戏的其他阶段，游戏3和游戏2是等同的。在挑战阶段，挑战者检测是哪种类型的敌手。

1)如果敌手属于类型2，挑战者检测是否挑战时间满足如果不满足，挑战者如游戏2一样终止游戏。

2)如果敌手属于类型1，挑战者检测是否挑战时间满足 $h_{t^{*}}=1+\underset{i=1}{\overset{l_2}{\&Sigma;}}{t}_i^{*}{h}_{l_1+i}=0,$ 并且挑战身份 $id=\{b_1,...,b_{l_1}\}\&Element;{\{-1,1\}}^{l_1}$ 满足如果不满足，挑战者如游戏2一样终止游戏。

接着证明游戏3中使用SampleRight算法得到的结果和游戏2中使用SampleLeft算法得到的结果是不可区分的。首先考虑私钥询问的回答，因为在私钥生成的第3步中，h_id是非0的，矩阵也是h_idB₁的陷门。此外，B₁的秩为n，则h_idB₁的秩以很高的概率也为n。定理3中描述了，当 $\mathrm{\&sigma;}>\left|\right|{\tilde{T}}_{B_1}\left|\right|\&CenterDot;s_{R_{id}^{*}}\&CenterDot;w\left(\sqrt{\log m}\right),s_{R_{id}^{*}}=\left|\right|R_{id}^{*}|{|}_R\&le;\underset{i=1}{\overset{l_1}{\&Sigma;}}|\left|R_i^{*}\right|{|}_R=O\left(l_1\sqrt{m}\right),$ 生成的短向量e的分布是接近于像游戏2中的一样。回顾定理1中有因此，在参数估计中，选择足够大的σ满足抽样需求。更新密钥询问的过程也是类似的。

因为游戏2和游戏3从敌手的角度看是一致的，游戏3中敌手的优势和游戏2中是一样的，即

Pr[W₂]＝Pr[W₃]

游戏4：游戏4是等同于游戏3的，除了挑战密文(c₀ ^*,c₁ ^*)是在上随机选取的元素。因为挑战密文总是在密文空间上的新的随机元素，因此在这个游戏中敌手的优势为0。

留下来的任务就是证明游戏3和游戏4是计算不可区分的，通过使用一个LWE问题的规约。如果终止事件发生，游戏明显是不可区分的。因此，它主要集中在不引起终止的一系列询问中。

LWE问题的规约：假设敌手有不可忽略的优势来区分游戏3和游戏4，通过使用敌手来构造一个LWE算法，记为B。

回顾LWE问题的实例是通过一个抽样预言机O提供的，该预言机要么是完全随机的预言机O_$，要么是带噪音的伪随机预言机O_s。挑战者B使用敌手来区分两个游戏，其过程如下：

实例化：B询问预言机O，得到回答。对于i＝0,…,m，一个新的对

建立：B构造***的公共参数PP如下：

1、利用先前给出的LWE问题的m个实例，令A₀的第i列是LWE问题实例中的n维向量u_i，对于i＝1,…,m。

2、指定LWE实例的第0个抽样成为随机n维向量

3、构造公共参数的剩余项，即就是A_i,C_j,B₁,B₂的构造像游戏3中的一样，通过使用随机标量h_i,s_i和随机矩阵R_i ^*。

4、发送公共参数PP＝(A₀,A₁,…A_l,C₁,…,C_l,B₁,B₂)给敌手。

询问：挑战者像游戏3中一样回答私钥询问和更新密钥询问，如果必要的话，包含终止游戏。

挑战：当敌手给出一个消息比特b^*∈{0,1}，以及一个挑战身份—时间对令id^*＝(b₁ ^*,…,b_l ^*),t^*＝(t₁ ^*,…,t_l ^*)。构造一个对应于目标(id^*,t^*)的挑战密文，如下：

1、令v₀,…,v_m是来自LWE实例的分量，设置

2、盲化消息比特，通过令

3、令其中R_i ^*，i>0是在建立阶段生成的。4、令

5、发送密文CT^*＝(c₀ ^*,c₁ ^*)给敌手。

接下来讨论，当LWE预言机是伪随机预言机的时候，即O＝O_s，则有CT^*的分布和游戏3中的分布是一致的，只有当终止事件没有发生的时候满足。首先，因为 $h_{{\mathrm{id}}^{*}}=0,s_{t^{*}}=0,$

则有

$\begin{array}{c}{F}_{{\mathrm{id}}^{*},t^{*}}=\left(A_0\right|B_1+\underset{i=1}{\overset{l_1}{\&Sigma;}}{b_i}^{*}{A}_i|B_2+\underset{i=1}{\overset{l_2}{\&Sigma;}}{t_i}^{*}{C}_i)=\left(A_0\right|A_0{R_{{\mathrm{id}}^{*}}}^{*}+h_{{\mathrm{id}}^{*}}{B}_1|A_0{R_{t^{*}}}^{*}+s_{t^{*}}{B}_2)\\ =\left(A_0\right|A_0{R_{{\mathrm{id}}^{*}}}^{*}\left|A_0{R_{t^{*}}}^{*}\right)\end{array}$

其次，通过O_s的定义，知道对于一些随机噪音向量分布在因此，在第3步中定义的满足

$\begin{array}{c}{c_1}^{*}=\left[\begin{array}{c}{v}^{*}\\ {\left({R_{{\mathrm{id}}^{*}}}^{*}\right)}^T{v}^{*}\\ {\left({R_{t^{*}}}^{*}\right)}^T{v}^{*}\end{array}\right]=\left[\begin{array}{c}{A}_0^{T}s+y\\ {\left({R_{{\mathrm{id}}^{*}}}^{*}\right)}^T{A}_0^{T}s+{\left({R_{{\mathrm{id}}^{*}}}^{*}\right)}^{T}y\\ {\left({R_{t^{*}}}^{*}\right)}^T{A}_0^{T}s+{\left({R_{t^{*}}}^{*}\right)}^{T}y\end{array}\right]=\left[\begin{array}{c}{A}_0^{T}s+y\\ {\left(A_0{R_{{\mathrm{id}}^{*}}}^{*}\right)}^{T}s+{\left({R_{{\mathrm{id}}^{*}}}^{*}\right)}^{T}y\\ {\left(A_0{R_{t^{*}}}^{*}\right)}^{T}s+{\left({R_{t^{*}}}^{*}\right)}^{T}y\end{array}\right]\\ ={\left(F_{{\mathrm{id}}^{*},t^{*}}\right)}^{T}s+\left[\begin{array}{c}y\\ {\left({R_{{\mathrm{id}}^{*}}}^{*}\right)}^{T}y\\ {\left({R_{t^{*}}}^{*}\right)}^{T}y\end{array}\right]\end{array}$

并且等式的右边是游戏3中有效的挑战密文的c₁部分。我们也注意到，这恰好是游戏3中挑战密文的c₀部分。

当O＝O_$，v₀是均匀分布在上的，v^*是均匀分布在上的。因此，上述步骤3中定义的是均匀且独立分布在因此，挑战密文总是均匀分布在上的，和游戏4中的一样。

猜测：之后允许进行额外的询问，敌手进行猜测。如果敌手赢得游戏，则挑战者借助敌手解决了LWE问难问题。

我们已经讨论过，当O＝O_$，敌手的角度和游戏4一样，当O＝O_s，敌手的角度和游戏3一样。因此，解决LWE问题的挑战者的优势和敌手区分游戏3和游戏4的优势是一样的。这就完成了算法B的描述，并且完成了我们的证明。

可撤销的基于身份加密(RIBE)方法的正确性定义如下：对所有的由Setup(1^k,n)算法生成的PP，RL，ST，MK，对任意的id，由PriKeyGen(PP,MK,id,ST)算法生成的SK_id，对任意的t和RL，由KeyUpd(PP,MK,t,RL,ST)算法生成的KU_t，对任意的id_c，t_c和m，由Enc(PP,id_c,t_c,m)算法生成的CT_id,t，需要满足：

(1)如果则DecKeyGen(SK_id,KU_t)→DK_id,t。

(2)如果id∈RL，则以不可忽略的优势DecKeyGen(SK_id,KU_t)→⊥。

(3)如果则Dec(PP,DK_id,t,CT_id,t)→m。

(4)如果则以不可忽略的优势解密算法输出终止符，即Dec(PP,DK_id,t,CT_id,t)→⊥。

Claims (8)

1.格上可撤销的基于身份的加密方法，其特征在于，具体按照以下步骤实施：

步骤1、***建立；

步骤2、私钥生成；

步骤3、更新密钥生成；

步骤4、解密密钥生成；

步骤5、加密；

步骤6、解密；

步骤7、撤销。

2.根据权利要求1所述的格上可撤销的基于身份的加密方法，其特征在于，所述步骤1具体按照以下步骤实施：

步骤(1.1)、输入安全参数λ，以及用户的最大个数N，设置参数m＝2nlogq， $\mathrm{\&sigma;}=\max (l_1,l_2)m\mathrm{\&omega;}\left(\sqrt{\log m}\right),\mathrm{\&alpha;}<\frac{1}{5}(1+\mathrm{\&omega;}(\sqrt{\log m}\left)\right){\left(O\right(\left(l_1+l_2\right)\mathrm{\&sigma;}m)+1)}^{-1},$ $q>10\sqrt{m}(1+\mathrm{\&omega;}(\sqrt{\log m}\left)\right)\left(O\right(\left(l_1+l_2\right)\mathrm{\&sigma;}m)+1).$ 令用户身份 $id=\{b_1,...,b_{l_1}\}\&Element;{\{-1,1\}}^{l_1},$ 时间段定义φ为一对一的映射：φ(id)＝d,d∈{1,…,N}；

步骤(1.2)、使用基于格的陷门生成算法TrapGen(q,n)，生成一个均匀随机n×m维的矩阵以及格的短基并且满足 $\left|\right|{\tilde{T}}_{A_0}\left|\right|\&le;O\left(\sqrt{n\log q}\right);$

步骤(1.3)、选择l₁+l₂+2个均匀随机n×m维的矩阵

步骤(1.4)、选择均匀随机向量

步骤(1.5)、撤销列表RL初始设置为状态ST存储当前***中的用户信息，令其中包含用户身份、身份索引、身份对应的随机向量、时间对应的随机向量，初始设置

步骤(1.6)、输出公共参数PP和主密钥MK：

$PP=\{A_0,A_1,\mathrm{...},A_{l_1,}{C}_1,\mathrm{...},C_{l_2},B_1,B_2,u\},MK=\left\{T_{A_0}\right\}.$

3.根据权利要求1所述的格上可撤销的基于身份的加密方法，其特征在于，所述步骤2具体按照以下步骤实施：

步骤(2.1)、输入公共参数PP、主密钥MK和一个用户的身份 $id=\{b_1,\mathrm{...},b_{l_1}\}\&Element;{\{-1,1\}}^{l_1},$ 状态ST；

步骤(2.2)、如果身份id不在状态ST中，通过计算φ(id)＝d，得到索引d，均匀随机选择令并且添加到状态ST中；如果身份id在状态ST中，从状态ST中检索然后，令

步骤(2.3)、抽样 $e_{id,d}\&LeftArrow;SampleLeft(A_0,A_{id},T_{A_0},u_{d_1},\mathrm{\&sigma;}),$ e_id,d的分布统计接近于其中F_id＝A₀||A_id，并且这里记号||表示级联运算；

步骤(2.4)、输出身份id的初始私钥和更新的状态ST。

4.根据权利要求1所述的格上可撤销的基于身份的加密方法，其特征在于，所述步骤3具体按照以下步骤实施：

步骤(3.1)、输入公共参数PP、主密钥MK和时间段撤销列表RL、状态ST；

步骤(3.2)、定义在时间段t内撤销用户身份集即对于任意的t′≤t，如果存在(id′,t′)满足(id′,t′)∈RL，则添加(id′,t′)到撤销用户身份集R中；

步骤(3.3)、令

步骤(3.4)、对于所有的从ST中检索四元组抽样e_t,d的分布统计接近于其中F_t＝A₀|C_t，并且

步骤(3.5)、输出时间段t内的更新密钥并且公开它们。

5.根据权利要求1所述的格上可撤销的基于身份的加密方法，其特征在于，所述步骤4具体按照以下步骤实施：

步骤(4.1)、输入私钥SK_id、更新密钥UK_t；

步骤(4.2)、如果和对应相同的索引d，输出解密密钥DK_id,t:＝(SK_id,KU_t)，否则，终止。

6.根据权利要求1所述的格上可撤销的基于身份的加密方法，其特征在于，所述步骤5具体按照以下步骤实施：

步骤(5.1)、输入公共参数PP、身份时间 $t=\{t_1,\mathrm{...},t_{l_2}\}\&Element;{\{-1,1\}}^{l_2},$ 以及消息m∈{0,1}；

步骤(5.2)、令这里记号||表示级联运算；

步骤(5.3)、选择均匀随机向量

步骤(5.4)、选择l₁+l₂个均匀随机矩阵R_i←{-1,1}^m×m，对于i＝1,…,l₁+l₂，定义 $R_{id}={\&Sigma;}_{i=1}^{l_1}{b}_i{R}_i\&Element;{\{-l_1,\mathrm{...},l_1\}}^{m\&times;m},R_t={\&Sigma;}_{i=1}^{l_2}{t}_i{R}_{l_1+i}\&Element;{\{-l_2,\mathrm{...},l_2\}}^{m\&times;m};$

步骤(5.5)、选择噪音向量令令

步骤(5.6)、输出密文

7.根据权利要求1所述的格上可撤销的基于身份的加密方法，其特征在于，所述步骤6具体按照以下步骤实施：

步骤(6.1)、输入公共参数PP、解密密钥DK_id,t、以及密文CT＝(c₀,c₁)；

步骤(6.2)、如果密文CT_id,t和解密密钥DK_id,t对应不同的身份和时间，则终止，否则进行下述步骤：

步骤(6.2.1)、把c₁解析成

步骤(6.2.2)、计算

步骤(6.2.3)、比较整数w和的大小，如果则输出1，否则，输出0。

8.根据权利要求1所述的格上可撤销的基于身份的加密方法，其特征在于，所述步骤7具体为：

输入身份 $id=\{b_1,\mathrm{...},b_{l_1}\}\&Element;{\{-1,1\}}^{l_1},$ 时间 $t=\{t_1,\mathrm{...},t_{l_2}\}\&Element;{\{-1,1\}}^{l_2},$ 撤销列表RL、状态ST，然后将(id,t)添加到撤销列表RL中。