Page 363 - 《软件学报》2025年第9期

P. 363

4274 软件学报 2025 年第 36 卷第 9 期

果. 2019 年, Cheng [26] 基于 Gap 类困难问题分析了 SM9 加密算法的安全性. 2021 年, 赖建昌等人 [27] 证明了 SM9 签
名算法的安全性, 并改进了密钥封装算法同时给出了安全性证明. 2022 年, 秦宝东等人 [28] 提出了基于仲裁的 SM9
标识加密方案, 该方案可实现对用户访问权限的快速管理. 2023 年, 朱留富等人 [29] 提出基于 SM9 的属性基签名,
离线时完成高耗时操作, 在线时进行耗时较低的运算, 同时实现了细粒度访问控制. 彭聪等人 [30] 凝练环签名和
SM9 签名算法的核心技术, 提出基于身份的环签名方案, 方案的通信开销与现有方案相比降低显著. 蒲浪等人 [31]
和张超等人 [32] 分别使用不同的方法设计了基于 SM9 的 PEKS 方案, 但均为传统公钥可搜索加密方案, 无法抵抗
关键词猜测攻击 [14] . 综上所述, 尚未见基于 SM9 的 PAEKS 方案的研究成果在国内外刊物上公开发表.
综上可知, PEKS/PAEKS 的相关研究已经取得了系列优秀成果, 但现有大部分 PAEKS 方案都基于国外的密
码算法设计, 不符合我国密码技术自主可控的发展需求. SM9 标识加密是我国自主研发的一系列基于标识的密码
算法, 其具有良好的可扩展性可与 PAEKS 技术结合, 以填补缺乏基于国密算法 PAEKS 方案的空缺.

2 预备知识

2.1 双线性对
设 N 为大素数, 群 G 1 ,G 2 ,G T 均为 N 阶循环群, 1 T 表示 G T 的生成元, 双线性映射 e : G 1 ×G 2 → G T 需满足如下
3 条性质.
∗ ab
(1) 双线性: 对于任意的元素 P 1 ∈ G 1 ,P 2 ∈ G 2 , a,b ∈ Z , 等式 e(aP 1 ,bP 2 ) = e(P 1 ,P 2 ) 恒成立.

N
(2) 非退化性: 至少存在元素 P 1 ∈ G 1 ,P 2 ∈ G 2 , 使等式 e(P 1 ,P 2 ) , 1 T 成立.
(3) 可计算性: 对于 ∀P 1 ∈ G 1 ,∀P 2 ∈ G 2 , 恒存在多项式时间算法计算 e(P 1 ,P 2 ) 的值.
G 1 = G 2 , 则此类双线性群称为对称双线性群, 否则为非对称双线性群, SM9 系列算法中使用非对称双线性
若
群, 且当 P 1 和 P 2 为生成元时, 存在有效同构映射 ψ(P 2 ) = P 1 .

2.2 安全假设
本节介绍后文安全性证明涉及的安全假设. 令 BP = (G 1 ,G 2 ,G T ,N,e,P,Q), 其中 P, Q 分别为 G 1 , G 2 的生成元.
令 λ 为系统安全参数, negl(λ) 为关于 λ 的可忽略函数.
1
定义 1. q-BDHI 安全假设 [33] . 已知 q+2 个元素 (P,Q,aQ,a Q,...,a Q), 计算群 G T 中的元素 e(P,Q) a , 其中 a ∈ Z .
q
2
∗
N
1
对于任意概率多项式时间 (probabilistic polynomial-time, PPT ) 敌手 A 求解出 e(P,Q) a 的概率是可忽略的, 即:

1
2
q
Pr[A(P,aQ,a Q,...,a Q) = e(P,Q) a ] ⩽ negl(λ) (1)
b
[34]
定义 2. DBIDH 安全假设 . 已知如下两个元组 V 1 =< P 1 ,P 2 ,[a]P i ,[b]P j ,e(P 1 ,P 2 ) a > 和 V 2 =< P 1 ,P 2 , [a]P i ,

r ∗ V 2 的
[b]P j ,e(P 1 ,P 2 ) >, 其中 a,b,r ∈ Z ,i, j ∈ {1,2}. 区分 V 1 和 V 2 是困难的. 对于任意 PPT 敌手 A 成功区分 V 1 和
N
概率是可忽略的, 即:

|Pr[A(V 1 ) = 0]−Pr[A(V 2 ) = 0]| ⩽ negl(λ) (2)
( ( ) ( ))
x x
定义 3. Gap-q-BCAA1 安全假设 [34] . 已知如下元组 V 3 = P 1 ,P 2 ,[x]P j ,t 0 , t 1 , P j ,..., t q , P j , 其中 x,q,
x+t 1 x+t q
x
t i ∈ Z , j ∈ {1,2}. 可查询 DBIDH 谕言机的情况下, 计算 e(P 1 ,P 2 ) x+t 0 是困难的. 对于任意 PPT 敌手 A 成功解决上
∗
N
述问题的概率是可忽略的, 即:

x
Pr[A(V 3 ) = e(P 1 ,P 2 ) x+t 0 ] ⩽ negl(λ) (3)

2.3 PAEKS 方案定义与系统模型
PAEKS 基于 PEKS 设计, 在关键词密文和关键词陷门生成阶段分别引入发送方私钥和发送方公钥, 限制了关
键词密文生成, 从而有效避免了内部关键词猜测攻击. 云存储中应用 PAEKS 方案, 通常包含发送方, 即数据拥有
者 (data owner, DO); 数据接收方, 即数据使用者 (data user, DU); 可信中心和云端服务器这 4 个实体. 云存储下应
用 PAEKS 时典型的系统模型如图 1 所示.

358 359 360 361 362 363 364 365 366 367 368