基于身份的抗私鑰泄漏的廣播加密方案

于啟紅 李繼國

1(宿遷學院信息工程學院 江蘇 宿遷 223800)2(河海大學計算機與信息學院 江蘇 南京 211100)

?

基于身份的抗私鑰泄漏的廣播加密方案

于啟紅1,2李繼國2

1(宿遷學院信息工程學院 江蘇 宿遷 223800)2(河海大學計算機與信息學院 江蘇 南京 211100)

側信道攻擊引起密碼系統的部分信息泄漏，破壞很多密碼方案的安全性。在基于身份的廣播加密方案(IBBE)中，到目前為止，還沒有能抵抗側信道攻擊的安全方案。基于此，提出一個抗側信道攻擊安全的基于身份的廣播加密方案。使用雙系統加密技術，在復合階群靜態假設下在標準模型中證明了提出方案的安全性。泄漏性能分析表明，私鑰的相對泄漏率可以達到1/3。該方案具有較好的抗私鑰泄漏性能。

彈性泄漏 雙系統加密 私鑰泄漏 基于身份廣播加密

0 引 言

最近幾年，許多側信道攻擊[1-6]導致密碼系統中一些秘密信息(甚至是部分私鑰信息)泄漏給敵手。在側信道攻擊中，敵手可以通過密碼系統的實現特征來獲得系統的秘密信息。側信道攻擊呈現許多形式：電磁輻射、能量消耗、時序等。冷啟動攻擊[7]是一種特殊側信道攻擊，在這樣的攻擊中，即使設備斷電了，敵手還可以從存儲器中獲得部分信息。

為了保證密碼系統抗側信道攻擊的安全性，密碼學研究者提出了泄漏彈性密碼模型來捕獲這些攻擊。近幾年，抗泄漏(LR)密碼學已成為信息安全領域研究的熱點。

在2009年，Akavia等人正式提出了有界泄漏模型概念[8]。此后，一些相關的抗泄漏的密碼方案被提出[9-21]。Naor等給出了通過哈希證明系統(HPS)得到針對存儲攻擊安全的公鑰加密方案[9]。文獻[9]給出針對幾乎整個密鑰泄漏的選擇明文攻擊(CPA)安全方案和針對密鑰1/6泄漏的選擇密文攻擊(CCA)安全方案。Luo等人構建基于格的抗泄漏的公鑰加密方案(LR-PKE)[10]。Chen等人推廣HPS到包括匿名的特點(稱為匿名的HPS)，然后使用匿名的HPS構建抗泄漏的公鑰加密方案[11]。文獻[12]定義弱HPS概念，表明如果單向函數存在就能得到抗泄漏弱偽隨機函數、抗泄漏的消息認證碼和抗泄漏的對稱密鑰加密。方案[13-15]是關于泄漏率較高的抗泄漏公鑰加密方案。文獻[16,17]構造了可以抵抗“獲得挑戰密文后密鑰部分泄漏”攻擊的方案。文獻[18]考慮到密碼學組件之一提取器的泄漏問題。Zhang等人借助很難求逆的函數構造了抗泄漏的功能加密[19]。文獻[20,21]構造了抗泄漏的簽名方案。

自從基于身份的廣播加密概念(IBBE)[22,23]提出以來，已經有許多IBBE方案被提出[24-30]。 方案[24,25]具有很好的性能，取得常數大小的密文和密鑰。方案[26,27]考慮了分層的概念，分別提出分層的基于身份的廣播加密方案。文獻[28,29]提出匿名的基于身份的廣播加密方案。文獻[30]基于格的理論提出了前向安全的基于身份的廣播加密方案。但是，據我們所知，到目前為止，還沒有抗私鑰泄漏的IBBE方案被提出。

在本文中，提出了第一個抗私鑰泄漏的安全的基于身份廣播加密方案。在復合階群的三個靜態假設下，提出的方案是自適應安全(完全安全性)。通過雙系統加密結構[31-33]，證明方案的完全安全性。

在本文的方案中，密鑰和密文具有兩種狀態：正常態、半功能(SF)。正常的密文可以通過正常的密鑰或半功能密鑰解密。半功能的密文可以被正常的密鑰解密。在真正的游戲中，所有的密文和密鑰是正常的。證明采用混合論證技術。在證明中，借助于一系列游戲來實現。首先，密文變為半功能的；然后，密鑰逐步變為半功能的；最后，得到了這樣一個游戲：所有的私鑰和密文都是半功能的，所以攻擊者無法正確解密密文。連續兩個游戲被證明是不可區分的。這樣，可以獲得方案的安全性。如果選擇一個合適的參數，提出的方案可以容忍私鑰的1/3泄漏。

1 預備知識

文獻[34]提出組合階的雙線性群概念。假設Ψ是一個關于組合階的雙線性群的生成算法，它以安全參數λ作為輸入，生成一個復合階雙線性群Ω={N=p1p2p3,G,GT,e}，其中p1、p2、p3是三個不同的素數，滿足Log(p1)=Log(p2)=Log(p3)，G與GT都是循環群且階均為N，雙線性映射e定義如下：

(1) 雙線性：

?g,h∈G a,b∈ZNe(ga,gb)=e(g,h)ab

(2) 非退化性:?g∈G使得e(g,g)?1。

此外，針對安全參數λ來說，群G與GT中操作均是在多項式時間內有效可計算的。分別用符號Gp1、Gp2與Gp3表示群G中的階為p1、p2與p3子群。階為p1p2子群用Gp1p2表示。不失一般性，若hi∈Gpi、hj∈Gpj，當i≠j時，則e(hi,hj)為GT中單位元。例如，若h1∈Gp1，h2∈Gp2，且g是G生成元；則gp1p2可以生成Gp3，gp1p3可以生成Gp2，gp2p3可以生成Gp1。那么，存在α1,α2使得h1=(gp2p3)α1，h2=(gp1p3)α2成立，則e(h1,h2)=e(gp2p3α1,gp1p3α2)=e(gα1,gp3α2)p1p2p3=1，也就是說Gp1,Gp2與Gp3是相互正交的。

下面列出三個有用的假設。

假設1給定一個實例:

算法A攻破假設1的優勢定義為：

Adv1ψ,A(?)=|Pr[A(D1,T0)=1]-Pr[A(D1,T1)=1]|

如果任何概率多項式時間(PPT)敵手獲得優勢Adv1ψ,A(?)都是可以忽略的，那么就稱假設1成立。

事實上，T1可以表示成一個Gp1中的元素與一個Gp2中元素之積，這兩部分分別被稱為T1的Gp1部分與T1的Gp2部分。

假設2給定一個實例:

算法A攻破假設2的優勢定義為：

Adv2ψ,A(?)=|Pr[A(D2,T0)=1]-Pr[A(D2,T1)=1]|

如果任何概率多項式時間敵手獲得優勢Adv2ψ,A(?)都是可以忽略的，則稱假設2成立。

G中的階為p1p3子群用符號Gp1p3表示。T1可以唯一表示成Gp1中一個元素與Gp2中一個元素和Gp3中的一個元素之積，這三部分分別被稱為T1中的Gp1部分、T1中的Gp2部分與T1中的Gp3部分，類似地，T0可唯一表示成Gp1的一個元素與Gp3的一個元素之積。

假設3給定一個實例:

算法A攻破假設3的優勢定義為：

Adv3ψ,A(?)=|Pr[A(D3,T0)=1]-Pr[A(D3,T1)=1]|

如果任何概率多項式時間敵手獲得優勢Adv3ψ,A(?)都是可忽略的，則稱假設3成立。

2 本文方案的形式描述

在文獻[31]的基礎上，結合方案[24,25,35],我們給出基于身份的抗泄漏的廣播加密方案的形式化描述。我們的方案由以下算法組成。

Setup Setup(?,m)→(PK,MK)。該算法輸入一個安全參數?和用戶最大可能的數量m。它輸出主公鑰PK和主密鑰MK。PK對所有用戶公開。

如圖10所示，當正向及反向分別加載至CD和C′D′段卸載時，卸載路線分別沿56和5′6′進行，卸載剛度分別取K56和K5′6′；采用擬合法對卸載點56和5′6′之間的所有實測數據進行擬合，分別得到正向加載CD和反向加載C′D′段所有數據點的卸載剛度K56和K5′6′；然后再對各階段所有卸載剛度進行無量綱化處理并采用冪函數進行非線性回歸擬合，分別得到K56/K0與+Δ5/(+Δm)及K5′6′/K0′與Δ5′/(-Δm)之間的非線性關系曲線，如圖13所示。

KeyGen KeyGen(PK,MK,ID)→SKID。該算法以主公鑰PK，主密鑰MK和用戶身份ID為輸入。產生對應與ID的私鑰SKID。

Encrypt Encrypt(PK,M,S)→CT。首先，算法以公鑰PK，身份集合S={ID1,…,IDd}(d≤m)為輸入，輸出(Hdr,DK)，其中Hdr稱為頭部，DK是用于加密消息M的對稱密鑰。接著，當廣播者想加密消息M給S中的用戶時，它用DK加密消息M得到密文C。總的密文CT=(C,Hdr)，廣播者廣播CT=(C,Hdr)。

Decrypt Decrypt(PK,SKIDi,S,CT)→M。算法以主公鑰PK，私鑰SKIDi，用戶集合S和密文CT為輸入，劃分CT為(C,Hdr)。如果IDi∈S，根據Hdr計算出對稱密鑰DK，然后，用DK解密C恢復出M。

算法Setup與KeyGen由私鑰產生中心(KGC)生成，其他算法由用戶產生。KeyGenSF與EncryptSF僅用于安全性證明中。

3 本文方案安全模型

方案的安全模型通過敵手A和挑戰者B之間的游戲GameR來體現。m表示一次廣播中接收密文的最大用戶數。

在游戲GameR中：B持有一個列表L={(H,I,SK,LK)}，其中H、I、SK和LK分別表示句柄空間，身份空間，私鑰空間和泄漏量。假定H=與LK=。

初始化挑戰者運行算法Setup產生主公鑰PK和主私鑰MK。挑戰者把PK發給敵手，把MK作為秘密保存。

階段1敵手作如下詢問：

O-Create(ID)：給定一個身份ID，挑戰者在列表L中查找對應ID的項。如果ID在列表L中，算法終止。否則，挑戰者運行KeyGen算法產生私鑰SKID并更新h←h+1。把項(h,ID,SKID,0)放入列表L。

O-Leak(h,f)：敵手詢問對應于句柄h的私鑰的泄漏。敵手任意選擇一個多項式時間內可計算的函數f，函數f以私鑰為輸入，給出固定長度的輸出。

具體來說，挑戰者在列表L中找出h對應的項。不失一般性，假定找出的項為(h,ID,SKID,L)。挑戰者判定是否L+|f(SKID)|≤LSK，其中LSK是私鑰的泄漏的界。如果檢驗為真，挑戰者把f(SKID)發給敵手且用(h,ID,SKID,L+|f(SKID)|)更新(h,ID,SKID,L)。否則，挑戰者輸出⊥。

O-Reveal(h)：敵手詢問關于句柄h對應的私鑰。挑戰者在列表L中查找此項。假設查到的項為(h,ID,SKID,L)，挑戰者發送SKID給敵手。

O-Decrypt：敵手詢問關于(ID,CT)的明文，挑戰者在列表L中找到私鑰SKID，然后運行解密算法Decrypt獲得對應的明文M并發給敵手。

階段2敵手A詢問O-Create、O-Reveal和O-Decrypt。基本的限制和階段1同，此外，不能對ID∈S*或Hdr=Hdr*進行詢問。進一步，不能詢問泄漏預言機，因為如果允許這樣做的話，敵手可以選擇這樣一個泄漏函數，這個泄漏函數把解密算法作為輸入，它就可以平凡地贏得游戲。

如果在GameR中，所有的PPT敵手都只能取得可以忽略的優勢，則稱本文方案是抗私鑰泄漏安全的。

4 本文方案構造

本文方案是基于3素數的組合階群，由如下6個算法構成。子群Gp3用于隨機化密鑰。子群Gp2只用于證明中使用的半功能密鑰和密文。

具體如下：

公鑰為：

主密鑰為：

Encrypt 廣播者以消息M和接受者身份集合S=(ID1,…,IDd)為輸入。隨機選擇s∈ZN，生成密文：

其中盲化因子為e(g1,g1)αs。

Decrypt 如果用戶身份IDi是接收者集合S中的元素，即IDi∈S，則此用戶可以解密密文。首先，用密鑰計算：

(4) 最后恢復明文

5 安全性證明

定理1如果假設1-假設3成立，本文方案是標準模型中抗泄漏安全的，抵抗的私鑰泄漏量為LSK=(n-2Λ-1)λ，其中λ=logp2，n≥2是一個整數，Λ是一個正的常數。

當n比較大時，能容忍的泄漏率比較高。當n比較小時，主公鑰也比較短。具體的泄漏性能分析在第6節給出。

總體來說，我們用雙系統加密技術來證明方案的安全性。通過一系列游戲來完成證明。這些游戲都由真實的安全性游戲GameR修改而來。第一個游戲是真實的安全性游戲，最后一個游戲中敵手沒有任何優勢(因為加密一個隨機的消息)。這些游戲中相鄰兩個是不可區分的。用q表示游戲的個數。

這些游戲具體定義如下：

GameR：這是一個真實的安全性游戲。

Game0：與GameR類似，除了Game0中挑戰密文是半功能的。

Gamei(i∈[1,q])：在這個游戲中，挑戰密文是半功能的。對前i個私鑰詢問，挑戰者用半功能的私鑰回答。對其他私鑰詢問，挑戰者用正常私鑰回答。如果i=q(Gameq)，對每個私鑰詢問挑戰者都用半功能的私鑰回答。

GameF：這個游戲與Gameq幾乎一樣，除了這一點外：在GameF中廣播者加密一個隨機消息得到挑戰密文，而在Gameq中廣播者加密一個隨機的挑戰消息得到挑戰密文。

證明通過一系列游戲GameR，Gamei(i∈(0,1,…,q))和GameF，我們用引理1-引理4來證明安全性。首先，用引理1來獲得泄漏界。其次，用引理2-引理4來證明這一系列游戲是不可區分的。再者，證明攻擊者在GameF中獲得的優勢是可以忽略的。這樣，安全性便可以獲證。

表1 敵手在連續兩個游戲中獲得的優勢差異

由表1,可得：

具體來說，下面我們完成4個引理證明。

引理1私鑰泄漏的量可以達到LSK=(n-2Λ-1)λ。

證明我們用文獻[36]中的一個結論來證明這個引理。

從結論1，我們很容易得到下面的推論1。

=(n-2Λ-1)logp2=(n-2Λ-1)λ

階段2攻擊者繼續對IDi進行私鑰詢問，所受的限制是IDi?S*。

猜測A輸出關于β的猜測β′。如果β′=β，A贏得游戲。

階段1A詢問關于第i個身份IDi的私鑰。B進行如下操作：

(1) 如果i

對于攻擊者A而言，模擬是有效的。

(2) 如果i>k，B運行算法KeyGen產生正常私鑰。

若T∈Gp1p3，私鑰是正常的。若T∈G，私鑰是半功能的。

階段2攻擊者繼續進行私鑰詢問，只要IDi?S*。

猜測A輸出關于β的猜測β′。如果β′=β，A贏得游戲。

概率分析當T∈Gp1p3，B恰當模擬游戲Gamek-1。當T∈G，B恰當模擬游戲Gamek。由此可得：

公鑰為：

階段1A詢問關于第i個身份IDi∈S的私鑰，其中S={ID1,…,IDd}。B操作如下。B隨機選擇t1,…,tn+2∈ZN。半功能密鑰產生如下：

對于攻擊者A而言，模擬是有效的。

階段2攻擊者繼續詢問關于IDi的私鑰，受到的限制是IDi?S*。

猜測A輸出一個關于β的猜測β′。如果β′=β，A贏得游戲。

概率分析當T=e(g1,g1)αs，B恰當模擬游戲Gameq。當T∈Gp1，B恰當模擬游戲GameF。可得：

6 泄漏性能分析

本文方案中，p1、p2、p3都是λ比特的素數。私鑰長度為3(n+3)λ比特。私鑰的泄漏量至多為(n-2Λ-1)λ比特。此處，n≥2是一個可變整數，它用于獲得不同的泄漏彈性，Λ是一個正常數。私鑰的相對泄漏率為：

我們要強調的是：n是一個變量。如果我們要得到一個相對泄漏率較高的方案，我們可以把方案中的n設置為一個較大的數。這樣，系統的抗泄漏性能較好。但是，私鑰會相應變長。如果設置n為一個較小的數，相對泄漏率也較小。但是私鑰也相對變短。

表2給出本文的方案和文獻[31,35]的方案比較。表2給出了私鑰的大小和泄漏量等信息。

表2 本文方案和文獻[31,35]中方案的比較

文獻[35]給出一個沒有泄漏彈性的IBBE。文獻[31]提出一個抗泄漏的基于身份的加密方案(LR-IBE)，但是沒有考慮到廣播加密情況。本文方案中，我們同時考慮廣播加密和泄漏彈性問題。

7 結 語

本文給出了基于身份的抗泄漏廣播加密方案的形式化定義和安全模型。提出一個抗泄漏的基于身份廣播加密方案。本方案可以抵抗私鑰的泄漏攻擊。方案的安全性由復合階雙線性群中的三個靜態假設保證，這是第一個抗泄漏的廣播加密方案。本文給出的方案具有較好的泄漏彈性。當設置n是很大的值時，方案的私鑰的泄漏率可以達到1/3。構造素數階群假設下的安全抗泄漏基于身份的廣播加密方案是下一步的研究方向。

[1] Chen C S,Wang T,Tian J.Improving timing attack on RSA-CRT via error detection and correction strategy[J].Information Sciences,2013,232(5):464-474.

[2] Chari S,Jutla C S,Rao J R,et al.Towards sound approaches to counteract power-analysis attacks[C]//Advances in Cryptology—CRYPTO’99.Springer Berlin Heidelberg,1999:398-412.

[3] Ishai Y,Sahai A,Wagner D.Private circuits:Securing hardware against probing attacks[C]//Advances in Cryptology-CRYPTO 2003.Springer Berlin Heidelberg,2003:463-481.

[4] Rechberger C,Oswald E.Stream ciphers and side-channel analysis[C]//ECRYPT Workshop,SASC-The State of the Art of Stream Ciphers,2004:320-326.

[5] Li W,Gu D,Li J.Differential fault analysis on the ARIA algorithm[J].Information Sciences,2008,178(19):3727-3737.

[6] Gandolfi K,Mourtel C,Olivier F.Electromagnetic analysis:Concrete results[C]//Cryptographic Hardware and Embedded Systems—CHES 2001.Springer Berlin Heidelberg,2001:251-261.

[7] Halderman J A,Schoen S D,Heninger N,et al.Lest we remember:cold-boot attacks on encryption keys[J].Communications of the ACM,2009,52(5):91-98.

[8] Akavia A,Goldwasser S,Vaikuntanathan V.Simultaneous hardcore bits and cryptography against memory attacks[C]//Theory of Cryptography.Springer Berlin Heidelberg,2009:474-495.

[9] Naor M,Segev G.Public-key cryptosystems resilient to key leakage[J].SIAM Journal on Computing,2012,41(4):772-814.

[10] Luo X,Qian P,Zhu Y.Leakage-resilient IBE from lattices in the standard model[C]//Information Science and Engineering (ICISE),2010 2nd International Conference on.IEEE,2010:2163-2167.

[11] Chen Y,Zhang Z,Lin D,et al.Generalized (identity-based) hash proof system and its applications[J].Security and Communication Networks,2013,9(12):143-160.

[12] Hazay C,López-Alt A,Wee H,et al.Leakage-resilient cryptography from minimal assumptions[C]//Advances in Cryptology-EUROCRYPT 2013.Springer Berlin Heidelberg,2013:160-176.

[13] Li S,Zhang F,Sun Y,et al.Efficient leakage-resilient public key encryption from DDH assumption[J].Cluster computing,2013,16(4):797-806.

[14] Qin B,Liu S,Chen K.Efficient chosen-ciphertext secure public-key encryption scheme with high leakage-resilience[J].IET Information Security,2014,9(1):32-42.

[15] Liu S,Weng J,Zhao Y.Efficient public key cryptosystem resilient to key leakage chosen ciphertext attacks[C]//Topics in Cryptology-CT-RSA 2013.Springer Berlin Heidelberg,2013:84-100.

[16] Fujisaki E,Kawachi A,Nishimaki R,et al.Post-Challenge Leakage Resilient Public-Key Cryptosystem in Split State Model[J].IEICE Transactions on Fundamentals of Electronics,Communications and Computer Sciences,2015,98(3):853-862.

[17] Zhang Z,Chow S S M,Cao Z.Post-challenge leakage in public-key encryption[J].Theoretical Computer Science,2015,572(C):25-49.

[18] Chen D,Zhou Y,Han Y,et al.On hardening leakage resilience of random extractors for instantiations of leakage-resilient cryptographic primitives[J].Information Sciences,2014,271(7):213-223.

[19] Zhang M,Wang C,Takagi T,et al.Functional Encryption Resilient to Hard-to-Invert Leakage[J].The Computer Journal,2015,58(4):735-749.

[20] Katz J,Vaikuntanathan V.Signature schemes with bounded leakage resilience[C]//Advances in Cryptology-ASIACRYPT 2009.Springer Berlin Heidelberg,2009:703-720.

[21] Alwen J,Dodis Y,Wichs D.Leakage-resilient public-key cryptography in the bounded-retrieval model[C]//Advances in Cryptology-CRYPTO 2009.Springer Berlin Heidelberg,2009:36-54.

[22] Delerablée C.Identity-based broadcast encryption with constant size ciphertexts and private keys[C]//Advances in Cryptology-ASIACRYPT 2007.Springer Berlin Heidelberg,2007:200-215.

[23] Sakai R,Furukawa J.Identity-Based Broadcast Encryption[EB/OL].[2016-03-16].http://eprint.iacr.org/2007/217.

[24] Kim J,Susilo W,Au M H,et al.Adaptively Secure Identity-Based Broadcast Encryption With a Constant-Sized Ciphertext[J].Information Forensics and Security,IEEE Transactions on,2015,10(3):679-693.

[25] Zhang L,Hu Y,Wu Q.Adaptively Secure Identity-based Broadcast Encryption with constant size private keys and ciphertexts from the Subgroups[J].Mathematical and computer Modelling,2012,55(1):12-18.

[26] Yang C,Zheng S,Wang L,et al.Hierarchical identity-based broadcast encryption scheme from LWE[J].Communications and Networks,Journal of,2014,16(3):258-263.

[27] Liu W,Liu J,Wu Q,et al.Practical chosen-ciphertext secure Hierarchical Identity-Based Broadcast Encryption[J].International Journal of Information Security,2016,15(1):35-50.

[28] Ren Y,Niu Z,Zhang X.Fully Anonymous Identity-based Broadcast Encryption without Random Oracles[J].International Journal of Network Security,2014,16(3):247-255.

[29] Li X,Yanli R.Efficient Anonymous Identity-Based Broadcast Encryption without Random Oracles[J].International Journal of Digital Crime and Forensics (IJDCF),2014,6(2):40-51.

[30] Zhang X,Wang S,Zhang W.Forward-Secure Identity-based Broadcast Encryption Scheme from Lattice[J].Appl.Math,2015,9(4):1993-2000.

[31] Lewko A,Rouselakis Y,Waters B.Achieving leakage resilience through dual system encryption[C]//Theory of Cryptography.Springer Berlin Heidelberg,2011:70-88.

[32] Waters B.Dual system encryption:Realizing fully secure IBE and HIBE under simple assumptions[C]//Advances in Cryptology-CRYPTO 2009.Springer Berlin Heidelberg,2009:619-636.

[33] Lewko A,Waters B.New proof methods for attribute-based encryption:Achieving full security through selective techniques[C]//Advances in Cryptology-CRYPTO 2012.Springer Berlin Heidelberg,2012:180-198.

[34] Boneh D,Goh E J,Nissim K.Evaluating 2-DNF formulas on ciphertexts[C]//Theory of cryptography.Springer Berlin Heidelberg,2005:325-341.

[35] Sun J,Hu Y P.Identity-based broadcast encryption scheme using the new techniques for dual system encryption[J].Journal of Electronics and Information Technology,2011,33(5):1266-1270.

[36] Brakerski Z,Kalai Y T,Katz J,et al.Overcoming the hole in the bucket:Public-key cryptography resilient to continual memory leakage[C]//Foundations of Computer Science (FOCS),2010 51st Annual IEEE Symposium on.IEEE,2010:501-510.

IDENTITY-BASED BROADCAST ENCRYPTION WITH ANTI PRIVATE KEY LEAKAGE

Yu Qihong1,2Li Jiguo2

1(School of Information Engineering,Suqian College,Suqian 223800,Jiangsu,China)2(College of Computer and Information Engineering,Hohai University,Nanjing 211100,Jiangsu,China)

The side channel attack causes information leakage of cryptosystems, and it also destroys the security of many cryptographic schemes. There is no security scheme can resist side channel attack in identity-based broadcast encryption (IBBE). In this paper, we propose an IBBE scheme against side channel attack. The scheme uses dual system encryption technology, and we prove the safety of the proposed scheme in the standard model based on composite order bilinear group assumptions. Leakage performance analysis shows that the private key of the relative leakage rate can reach 1/3. The scheme has good performance of anti-private key leak.

Leakage-resilient Dual system encryption Private key leakage Identity-based broadcast encryption

2016-03-30。國家自然科學基金項目(61272542)；江蘇省教育廳自然科學基金項目( 14KJD52006，13KJD460007)；宿遷市工業科技支撐計劃項目(H201315，Z201450)；宿遷學院優秀青年骨干教師基金；宿遷學院科研基金項目(2016KY04)。于啟紅，講師，主研領域：計算機網絡與信息安全。李繼國，教授。

TP309

A

10.3969/j.issn.1000-386x.2016.11.065