摘要

在PRE代理重加密系统[4]中,由Alice授权的代理可以在不看到底层明文的情况下,将Alice的密文转换为Bob的密文。PRE发现了许多需要授权的实际应用。但是,它不足以处理需要细粒度委托的场景。为了克服现有PRE系统的局限性,我们引入了条件代理重加密(C-PRE)的概念,即只有满足Alice设定的特定条件的密文才能被代理转换,然后由Bob解密。我们形式化了它的安全模型,提出了一个高效的C-PRE方案,并在三商双线性Diffie-Hellman假设下证明了该方案的选择密文安全性。我们进一步扩展该构造,以稍微高一些的开销允许多个条件。
关键字
有条件代理重加密,双线性配对,选择密文安全

引言

代理重加密(PRE)的概念最初是由Blaze、Bleumer和Strauss在[4]中引入的。在PRE系统中,允许Bob在授权代理的帮助下为Alice破译公钥加密。具体来说,Alice通过给代理一个重加密的密钥来授权代理。然后,代理可以将爱丽丝的公钥下的任何密文转换为鲍勃的公钥下的密文。需要在整个转换过程中保持对Alice加密的语义安全性,这样代理就不会获得有关所涉及的纯文本消息的信息。
代理重加密已经发现了许多实际应用,例如加密的电子邮件转发、安全的分布式文件系统和加密垃圾邮件的外包过滤。我们使用加密的电子邮件转发作为一个例子来说明PRE的使用,并激励我们的工作。想象一下,部门经理爱丽丝要去度假。她委托秘书鲍勃处理日常邮件。在收到的电子邮件中,有些可能是用爱丽丝的公钥加密的。传统的公钥加密方案不允许Bob处理这样的电子邮件,遵循一个人的私钥永远不应该与他人共享的安全规范。使用PRE系统,爱丽丝可以简单地给电子邮件服务器一个重新加密的密钥。对于加密的传入电子邮件,电子邮件服务器(即PRE术语中的代理)将其转换为对Bob的加密。然后Bob可以使用他的秘钥阅读这封电子邮件。当爱丽丝回来时,她指示电子邮件服务器停止转换。
现有的PRE概念并不能促进灵活的授权。假设Alice指示Bob只处理主题包含紧急关键字的电子邮件。对于其他邮件,Alice更喜欢回到办公室后自己看。显然,现有的PRE方案不能满足这种需求。为了显示进一步的动机,我们考虑这样的情况:Alice希望Bob只处理带有关键字市场的邮件,而希望Charlie只处理带有关键字销售的邮件。由于信任电子邮件服务器来执行Alice指定的访问控制策略,因此使用现有的PRE要求对电子邮件服务器进行信任升级。我们观察到这种信任模型在许多应用中是不现实的。
在本文中,我们引入了条件代理重加密(C-PRE)的概念,据此Alice对委托有一个细粒度的控制。因此,Alice可以根据消息附加的条件灵活地将解密能力分配给她的委托对象Bob,并且使用的代理的信任度不高于现有的PRE方案。

我们的研究结果

我们的贡献包括对有条件代理重新加密及其安全概念的正式定义。简单地说,C-PRE方案涉及三个主体:委托(比如用户Ui)、代理和被委托(比如用户Uj),类似于现有的PRE系统。发送方使用Ui的公钥w对发送给Ui的消息进行加密。为了授权Uj对与w相关的加密进行解密,Ui给了代理一个部分重加密密钥rki,j和一个条件密钥cki,w对应于条件w。这两个密钥形成了代理用来进行密文翻译的秘密陷门。代理无法翻译那些对应的条件密钥不可用的密文。因此,Ui通过适当释放条件键对委托进行灵活控制。
我们还利用双线性对构造了一个具体的C-PRE方案。在3商双线性Diffie-Hellman(3-QBDH)假设下,我们证明了它在随机oracle模型中的选择密文安全性。我们进一步将这个基本方案扩展为具有多个条件的有条件代理重加密(MC-PRE)。在MC-PRE系统中,具有部分重加密密钥的代理可以翻译与多个条件相关的密文,当且仅当他拥有所有所需的条件密钥。所提出的MC-PRE方案是相当有效的,因为密文长度和使用的双线性对的数量与条件的数量无关。

相关工作

在Blaze、Bleumer和Strauss[4]的开创性工作中,他们提出了¯rst双向PRE方案(关于双向/单向PRE的定义,请参阅备注1)。2005年,Ateniese等人[1,2]提出了一种基于双线性对的单向PRE方案。这两种方案都只能抵抗选择明文攻击(CPA)。然而,应用程序通常需要安全性来抵御选择密文攻击(CCA)。为了填补这一空白,Canetti和Hohenberger[8]利用双线性对构造了一个cca安全的双向PRE方案。随后,Libert和Vergnaud[18]提出了一个基于双线性对的cca安全的单向PRE方案。最近,Deng等人[11]提出了一个cca安全的双向无配对PRE方案。所有这些结构都是标准的PRE方案,因此不能在细粒度级别上控制代理。在结对08中,Libert和Vergnaud[17]引入了可跟踪代理重新加密的概念,其中泄露其重新加密密钥的恶意代理可以被识别。
在基于身份的场景中也研究了代理重加密。基于elgamal型公钥加密系统[13]和Boneh- boyen的基于身份的加密系统[5],Boneh, Goh和Matsuo[7]描述了一种混合代理重加密系统。在Boneh和Franklin的基于身份的加密系统[6]的基础上,Green和Ateniese[15]在随机oracle模型中提出了CPA和cca安全的基于身份的代理重加密(IB-PRE)方案。Chu和Tzeng[9]给出了CPA和cca安全的IB-PRE方案的构造,这些方案没有随机的预言符。
另一项相关工作是由Mambo和冈本[19]引入的代理加密密码系统。在代理加密方案[19,16,12]中,委托方允许被委托方在代理的帮助下解密自己想要的密文:对委托方的加密先由代理部分解密,然后由被委托方完全解密。但是,该方案要求被委托方对来自Alice的每一次委托都拥有一个额外的秘密。相比之下,代理重新加密系统中的被委托方只需要像标准PKE中那样拥有自己的私钥。

文章组织

本文的其余部分组织如下。第2节介绍双线性对和相关的复杂性假设。在第三节中,我们正式给出了C-PRE系统的定义和安全性概念。在第4节中,我们提出了一个C-PRE方案,并在3-QBDH假设下证明了它的选择密文安全性。在第5节中,我们进一步扩展了我们的C-PRE方案,获得了一个具有多个条件的有条件代理重加密方案。最后,第六部分列举了一些有待解决的问题,并对本文进行了总结。