基于身份的广播代理重加密及其在云邮件中的应用

近年来，针对灵活的应用提出了一系列扩展代理重加密（PRE），如条件重加密（CPRE）、基于身份重加密（IPRE）和广播重加密（BPRE）。本文结合CPRE、IPRE和BPRE，提出了一种通用原语——基于条件身份的广播PRE（Conditional Identity-based Broadcast PRE，CIBPRE），并将其语义安全性形式化。CIBPRE允许发送方通过指定多个接收方的身份来对消息进行加密，发送方可以将重新加密密钥委托给代理，这样他就可以将初始密文转换为新的密文，并将新的密文传递给一组新的目标接收方。此外，重新加密密钥可以与一个条件相关联，这样只有匹配的密文才能重新加密，这允许原始发送方以细粒度的方式对其远程密文实施访问控制。提出了一种安全有效的CIBPRE方案。在实例化方案中，初始密文、重新加密密文和重新加密密钥的大小都是恒定的，并且生成重新加密密钥的参数与任何初始密文的原始接收方无关。最后，我们展示了CIBPRE在安全云电子邮件系统中的一个应用，该应用优于现有的基于Pretty Good Privacy协议或基于身份加密的安全电子邮件系统。

索引术语：代理重加密，云存储，基于身份的加密，广播加密，安全云电子邮件

PRE（Proxy Re-Encryption）[1]为发送方存储和共享数据提供了一种安全、灵活的方法。用户可以使用自己的公钥对文件进行加密，然后将密文存储在一个诚实但好奇的服务器中。确定接收方后，发送方可以将与接收方关联的重新加密密钥委托给服务器作为代理。然后代理将初始密文重新加密到预期的接收方。最后，接收方可以用她的私钥解密得到的密文。PRE的安全性通常保证：（1）服务器/代理或非预期的接收者都不能了解关于（重新）加密文件的任何有用信息，（2）在收到重新加密密钥之前，代理不能以有意义的方式重新加密初始密文。

许多努力为PRE配备多种能力。早期的PRE是在传统的公钥基础设施设置中提出的，这会导致复杂的证书管理[2]。为了解决这个问题，提出了几种基于身份的预（IPRE）方案[3]、[4]、[5]、[6]、[7]、[8]，以便接收方的可识别身份可以作为公钥。发送方和代理只需要知道接收方的身份，而不是获取和验证接收方的证书，这在实践中更方便。

PRE和IPRE允许单接收器。如果有更多的接收器，系统需要多次调用PRE或IPRE。为了解决这一问题，[9]提出了广播PRE (BPRE)的概念。BPRE的工作方式与PRE和IPRE类似，但更通用。相比之下，BPRE允许发送方向接收方集合生成初始密文，而不是单个接收方。而且，发送方可以委托与另一个接收方集关联的重新加密密钥，以便代理可以重新加密到。

上述PRE方案只允许以全或无的方式执行重加密过程。代理可以重新加密所有初始密文，也可以不加密。这种对重新加密的密文的粗略控制可能会限制PRE系统的应用。为了填补这一空白，一个被称为条件预预(CPRE)的精细概念被提出。在CPRE方案[6]、[7]、[8]、[9]、[10]、[11]、[12]、[13]中，发送方可以对其初始密文实施细粒度的重加密控制。发送方通过将条件与重新加密密钥相关联来实现此目标。只有满足指定条件的密文才能由持有相应重加密密钥的代理重新加密。

最近的一种有条件代理广播重加密方案[14]允许发送方控制重新加密初始密文的时间。当发送方生成重加密密钥对初始密文进行重加密时，发送方需要将初始密文的原始接收方身份作为输入。实际上，这意味着发送方必须在本地记住接收方所有初始密文的身份。这一要求使得该方案只适用于内存有限或移动发送方，而只适用于特殊应用。

本文结合IPRE、CPRE和BPRE的优点，改进了基于条件身份的广播PRE (Conditional Identity-based Broadcast PRE, CIBPRE)，使其应用更加灵活。在CIBPRE系统中，可信密钥生成中心(KGC)对CIBPRE的系统参数进行初始化，并为用户生成私钥。为了安全地将文件共享给多个接收者，发送者可以根据接收者的身份和文件共享条件对文件进行加密。如果稍后发送方还想与其他接收方共享与相同条件相关的一些文件，发送方可以将标记为该条件的重新加密密钥委托给代理，并且生成重新加密密钥的参数与这些文件的原始接收方无关。然后，代理可以将符合条件的初始密文重新加密到结果接收集。在CIBPRE中，除了初始授权的接收方可以用自己的私钥解密初始密文来访问文件外，新授权的接收方也可以用自己的私钥解密重新加密的密文来访问文件。注意，初始的密文可以在保密的情况下远程存储。发送方不需要重复下载和重新加密，而是将单个密钥匹配条件委托给代理。这些特性使CIBPRE成为保护远程存储文件的通用工具，特别是当随着时间的推移有不同的接收端来共享文件时。

我们为CIBPRE系统定义了一个实用的安全概念。直观地说，没有相应的私钥，人们无法了解隐藏在初始或重新加密的CIBPRE密文中的明文;如果初始密文和密钥关联的条件不同，则无法通过重加密密钥正确地重加密。我们通过选择id和选择明文攻击（IND-sID-CPA）下的标准不可区分性正式定义了这些安全需求。我们通过试图破坏CIBPRE方案的挑战者和攻击者之间的博弈来模拟对抗性部署环境。挑战者和攻击者都被建模为概率多项式时间（PPT）算法。如果攻击者只有微不足道的优势来赢得这场博弈，那么CIBPRE方案是IND-sID-CPA安全的。

在上述对手模型中，我们提出了一个有效的CIBPRE，该CIBPRE被证明是安全的。在基于身份的广播加密（IBBE）方案是安全的，且决策双线性Diffie-Hellman（DBDH）假设成立的情况下，证明了所提出的CIBPRE方案的IND-sID-CPA安全性。我们提出的CIBPRE方案具有恒定大小的初始和重新加密密文，并消除了最近在[14]中研究的约束。

云邮件系统允许企业租用云SaaS服务来构建邮件系统。它比传统的内部部署解决方案便宜得多，可扩展得多。2014年，Radicati集团[17]公布了2014年至2018年云商务邮件的全球营收预测。图1显示，到2018年，云商务电子邮件市场预计将产生近170亿美元。

2012年，Proofpoint集团[18]使用了一个经济模型，该模型估计了与传统的内部电子邮件系统相比，云电子邮件系统的可量化成本节约机会。Proofpoint模型计算两个系统在购置时以及四年期间的费用，如软件许可成本、硬件和存储成本、服务费用、运营费用。表1总结了使用经济模型的储蓄。请注意，本表中的NAS (Network Attached Storage)和CAS (Content-addressable Storage)是两种不同的技术，它们通常应用于许多存储系统。

云邮件系统以其优越的特性成为一种很有前景的重要应用。我们用CIBPRE构建了一个加密的云邮件系统。它允许用户发送加密的电子邮件给多个收件人，存储他的加密电子邮件在一个电子邮件服务器，审查他的历史加密电子邮件，转发他的历史加密电子邮件的预期主题多个新的收件人。此外，为了达到这个目标，额外的电子邮件标题的成本是不变的。与现有的PGP（Privacy Good Privacy）协议[15]和基于身份加密（Identity-Based Encryption，IBE）协议[16]等方法相比，我们的cibpre系统具有实现友好、通信效率高的特点。

在PGP中，发送方首先验证接收方的证书，并通过接收方的公钥加密电子邮件;然后接收方用他的私钥解密收到的电子邮件。IBE避免了PGP的证书验证。使用IBE，发件人可以直接使用收件人的电子邮件地址对电子邮件进行加密。虽然PGP和IBE都保留了云邮件的安全性，但性能不如CIBPRE。当发送方向多个接收方发送加密邮件时，CIBPRE生成的密文大小不变。相比之下，PGP和IBE的大小都与接收器数量成线性关系。当发送方希望将历史加密的电子邮件转发给多个接收方时，CIBPRE只需要发送方生成一个重加密密钥（大小不变）并将密钥发送给云，然后云将电子邮件重新加密并为这些接收方生成一个大小不变的密文。相比之下，使用PGP或IBE，发送方必须从云中获取历史上加密的电子邮件并解密，然后再逐一对这些接收方重新加密。因此，CIBPRE非常适合用于构建加密的云邮件系统，我们提出的CIBPRE方案比PGP和IBE更方便地保持云邮件系统的安全性。

第一种PRE方案是由Blaze、Bleumer和Strauss在[1]中提出的。在此基础上，在传统的公钥设置中提出了[19]、[20]、[21]、[22]、[23]、[24]、[25]等PRE方案。这些PRE方案需要证书来证明公钥的有效性。用户在加密明文之前必须验证证书。

为了避免验证公钥证书的开销，结合基于身份加密[16]的思想，提出了[3]、[4]、[5]等几种IPRE方案。在假设哈希函数是完全随机的随机oracle (RO)模型中，[3]中的方案被证明是安全的。相比之下，[4]中的方案在标准模型中被证明是安全的。在[5]中，该方案被证明具有更强的安全性，即在标准模型中对选择密文攻击的不可区分性。

上述PRE方案只允许以粗粒度的方式共享数据。也就是说，如果用户将一个重新加密密钥委托给代理，那么所有密文都可以重新加密，然后预期用户可以访问;否则，任何密文都不能被重新加密或被其他人访问。这个问题在最近的CPRE方案[6]，[8]，[9]，[10]，[11]，[12]，[13]中得到了解决，允许细粒度的数据共享。证明了[8]、[12]、[13]方案对选择密文攻击是安全的。[6]，[7]，[8]中的条件身份预(CIPRE)方案结合了CPRE和IPRE的基本思想。类似地，[9]中的两种条件广播预(CBPRE)方案结合了CPRE和广播加密的概念，分别对选择明文攻击和选择密文攻击具有安全性。除了细粒度的数据共享，这些CBPRE方案的一个额外优势是，它允许一个人以更有效的方式与多个用户共享数据。

在最近的PRE方案中还实现了其他几个可选属性。[13]、[24]、[25]中的PRE方案附加了一个属性，即密文接收方是匿名的。[26]、[27]方案实现了多用途双向重加密。一个密文可以被重新加密多次。通过一个重加密密钥实现两个用户之间的双向共享。具体来说，如果Alice将一个重新加密密钥委托给一个代理，用于将她的密文重新加密给Bob。重新加密密钥还可以将Bob的密文重新加密到Alice。在随机oracle模型和标准模型下，这两种PRE方案分别在选择密文攻击下是安全的。而[21]中的PRE方案是多用途的单向PRE方案，禁止双向重加密。[28]的工作定义了PRE的一般概念，称为确定性有限自动机函数PRE (DFA based FPRE)，并提出了一个具体的基于DFA的FPRE系统。[29]最近的工作提出了基于云的可撤销的基于身份的代理重新加密，支持用户撤销和解密权限的授权。

第2节回顾了[30]中的IBBE方案及其可证明的安全性。第三节定义了CIBPRE的概念及其语义安全性。在第2节IBBE方案的基础上，第4节给出了CIBPRE的一个实例。第5节证明了其语义安全性。第6节比较了现有PRE方案的性能。第7节介绍了基于cibpre的云邮件系统及其优点。第8节对本文进行总结。