1、第 21 卷第 4 期2022 年12 月广州大学学报(自然科学版)Journal of Guangzhou University(Natural Science Edition)Vol 21No 4Dec2022收稿日期:2022-09-30;修回日期:2022-10-09基金项目:国家自然科学基金资助项目(62032005,U21A20466,61902191,61972094);福建省自然科学基金资助项目(2020J02016);福建省科协第二届青年人才托举工程资助项目作者简介:崔岩(1997),男,硕士研究生 E-mail:crocky829 gmail com*通信作者 E-mail
2、:xyhuang81 gmail com引文格式:崔岩,黄欣沂,赖建昌,等 公钥广播加密研究综述 J 广州大学学报(自然科学版),2022,21(4):53-67文章编号:1671-4229(2022)04-0053-15公钥广播加密研究综述崔岩1,黄欣沂2*,赖建昌3,宁建廷1(1 福建师范大学 计算机与网络空间安全学院,福建 福州350117;2 香港科技大学(广州),广东 广州511400;3 东南大学 网络空间安全学院,江苏 南京211189)摘要:近年来,随着网络带宽的不断增加,大数据、云计算、外包计算等新兴应用得到飞速发展,同时也带来了更多的安全挑战,传统的点对点安全传输已无法满足
3、错综复杂的网络环境,一对多安全传输变得极为重要。广播加密允许数据拥有者向一组选定的接收者安全分享数据,仅需运行一次加密算法并将密文发布到广播信道,监听此信道的授权用户均可解密获取明文,未授权用户即使合谋也无法正确解密,极大地减少了计算和通信开销。公钥广播加密相比于对称广播加密具有灵活性高、应用范围广等优点,近年来受到广泛关注。文章回顾了公钥广播加密的相关研究历史,从公钥广播加密的应用场景出发,重点介绍了公钥广播加密的系统模型和典型方案,包括标识广播加密、匿名广播加密、叛逆者追踪广播加密和可撤销广播加密,并阐述了各类公钥广播加密的原理和特征。最后,讨论了公钥广播加密的应用场景和未来的研究方向,旨
4、在促进公钥广播加密的研究与发展。关键词:广播加密;公钥密码;标识密码;匿名性;可追踪性;可撤销性中图分类号:TP 309.7文献标志码:AA survey on public-key broadcast encryptionCUI Yan1,HUANG Xin-yi2*,LAI Jian-chang3,NING Jian-ting1(1 College of Computer and Cyber Security,Fujian Normal University,Fuzhou 350117,China;2 The Hong Kong University of Science and Tech
5、nology,Guangzhou 511400,China;3 School of Cyber Science and Engineering,Southeast University,Nanjing 211189,China)Abstract:ecently,with the increasing of network bandwidth,emerging applications such as big da-ta,cloud computing and outsourcing computing are growing rapidly At the same time,it brings
6、 moresecurity challenges Traditional point-to-point secure transmission cannot satisfy the requirement ofnetwork,and one to many secure transmission has become extremely important Broadcast encryptionallows a data owner to securely share the same data with a group of selected users by running the en
7、-cryption algorithm once and publishing the ciphertext to a public broadcast channel All authorized us-ers listening to the channel can decrypt the ciphertext successfully and unauthorized users cannot learnthe plaintext even if they collude Broadcast encryption greatly reduces computational and com
8、munica-tion overheads Compared with symmetric broadcast encryption,public key broadcast encryption hasthe advantage of flexibility and has received widespread attention in recent years This paper examinespublic key broadcast encryption comprehensively We begin with the application scenarios of publi
9、ckey broadcast encryption and focus on system models and typical schemes including identity-based广州大学学报(自然科学版)第 21 卷broadcast encryption,anonymous broadcast encryption,traitor tracing broadcast encryption,and revo-cable broadcast encryption We also show how they work and the characteristics of vario
10、us schemesFinally,the application scenarios and future research directions are given,which aim to promote theresearch of public key broadcast encryptionKey words:broadcast encryption;public key cryptography;identity-based cryptography;anonymity;traceability;revocability广播加密的概念由 Fiat 等 1提出,假设 Alice 想
11、要向大量接收者发送相同的消息,若采用多次执行加密算法并将密文依次发送给接收者的方法,虽然可实现一对多加密,但加密和解密的计算代价高昂且通信代价随着接收者的数量增加而线性增加。随着付费直播、数字产品、在线会议的迅速发展,点对点的加密方式已经逐渐不能满足互联网环境的通信需求,亟需一对多或多对多的安全通信方式。广播加密是一种支持在不安全的公开信道上实现多用户数据安全共享的加密技术,适用于一对多安全传输场景。广播加密的工作方式为:数据拥有者首先选取一组接收者,运行广播加密算法,将加密得到的密文发布到公开信道,监听该信道的所有用户均可获取密文,但只有授权用户可利用解密密钥正确解密,未授权用户不能从密文中
12、获取任何明文信息。广播加密在付费电视、数字版权保护及区块链等领域广泛使用。根据加密和解密过程中密钥的不同,广播加密可分为对称广播加密和公钥广播加密。在对称广播加密中,广播者只能是可信机构,该机构负责生成并分发已授权用户的解密密钥,因此,对称广播加密在实际应用中局限性较大,应用范围窄。公钥广播加密允许系统内任意用户作为数据拥有者,且数据拥有者可指定任意系统内一个用户集合作为数据接收者,只有集合内的用户可以解密。由于系统中任意用户均可作为发送者运行加密算法,更具一般性且灵活。因此,公钥广播加密具有更加广泛的应用,得到了专家学者的广泛关注和研究。公钥广播加密为多用户数据安全共享的典型方法技术,其研究
13、方向主要可概括为 2 个方向:(1)根据广播加密的应用场景需求不同或功能不同,可分为标识广播加密、匿名广播加密、叛逆者追踪广播加密,以及可撤销广播加密等;(2)从算法本身对广播加密方案进行优化,可分为2 类:对算法安全性的研究,例如选择密文攻击、自适应安全性等;对算法效率的研究,包括加密和解密算法的时间复杂度、公共参数大小、私钥长度以及密文长度等。评估广播加密方案的优劣通常从方案满足的安全属性、方案的计算和通信代价进行分析。一个健壮的广播加密系统应满足如下安全属性:(1)权限控制:系统用户的添加或删除由可信中心执行,用户的解密权限由加密者(数据拥有者)决定。(2)抗合谋攻击:任何数量的非授权接
14、收者即使合谋都无法解密获取加密数据的内容。(3)接收者无状态:在系统的整个生命周期内接收者无需改变自己的设置,解密操作只能按照系统初始设置进行。Wong 等 2于 2000 年基于逻辑层次树结构提出了组播密钥管理方案,该方案也称为有状态广播加密。在该系统中,接收者需利用接收到的组密钥解密广播密文。若组内成员发生变化,即有成员新加入系统或离开系统,为保证系统安全性,所有用户的组密钥必须更新;若利用该方案实现无状态广播加密,则通信代价和计算开销极高,且可信中心知道每个接收者的信息,无法实现匿名等功能,灵活性较差。因此,本文不考虑该类型的广播加密。另一种广播加密称为静态广播加密 3,该机制需要在系统
15、建立阶段确定接收者集合,每个用户的私钥生成都与其他所有授权接收者的公钥相关,应用场景较为有限,本文同样不考虑该类型的广播加密。本文着重关注近年来公钥广播加密的研究进展,阐述了公钥广播加密的研究历史、形式化定义和典型构造,旨在推动广播加密的研究与发展。1基于 PKI 的广播加密一对多加密传输最早由 Berkovits 4提出,在文献 4 中,利用拉格朗日插值,可将任意秘密分享方案转换成秘密广播方案。随后 Fiat 等1在 1993 年提出“广播加密”的概念并给出了广播加密的形式化定义和安全模型,同时给出了对称广播加密方案的具体构造。然而由于对称广播加密的局限性较大,近年来对广播加密的研究主要围绕
16、公钥广播加密展开。公钥广播45第 4 期崔岩等:公钥广播加密研究综述加密(Public Key Broadcast Encryption,PKBE)的概念由Naor 等5首次提出,传统公钥广播加密方案通常为基于证书的密码方案,为确保用户公钥的真实有效性,公钥基础设施(Public Key Infrastructure,PKI)应运而生。PKI 中通常包含一个证书认证机构(Certificate Authori-ty,CA),负责为用户签发证书。文献 5中的方案利用门限秘密共享技术,实现了有效叛逆者追踪,最多撤销 t个用户的解密权限,满足 t 抗合谋攻击的安全性。1 1公钥广播加密定义公钥广播加密包括 3 个过程:(1)Setup(,n):输入安全参数,广播接收者人数 n,输出 n 个私钥 k1,k2,kn和一个公钥 PK。(2)Encrypt(S,PK):以授权接收者集合 S 1,2,n 和公钥 PK 为输入,输出二元组(Hdr,K),其中,Hdr 称为首部;K 为加密密钥,用于加密广播内容。已知广播消息为 M,利用会话密钥 K 加密消息 M 得到密文CM,则整个广播内容为(S,Hdr