2. 保密通信重点实验室, 四川 成都 610041;
3. 综合业务网理论及关键技术国家重点实验室(西安电子科技大学), 陕西 西安 710071
2. Science and Technology on Communication Security Laboratory, Chengdu 610041, China;
3. State Key Laboratory of Integrated Service Networks(Xidian University), Xi'an 710071, China
隐私保护是大数据时代受到广泛关注的一个问题.对隐私保护问题的解决程度, 直接决定了移动网络、社交网络、位置服务等多种新型应用的推广程度[1].目前, 隐私保护的一个重要研究方向是新型有效的隐私保护算法的设计[2].其中, 如何发掘新型密码学理论与技术, 并进一步将其用于设计能够对身份和数据等隐私信息进行更加有效保护的方案和协议, 也是一个值得深入研究的问题.尤其是在量子计算机对传统密码方案和协议的潜在威胁日益严重的情况下, 如何设计具有后量子安全隐私保护特性的密码学方案和协议具有更加紧迫的意义.
基于身份的哈希证明系统是由Alwen等人在2010年Eurocrypt会议上提出的一种新的密码学原型[3].通过使用基于身份的哈希证明系统, 可以更加简单且高效地构造多种密码学方案.而这些方案普遍具备抗密钥泄露攻击、加密或接收者身份匿名等优良的隐私保护性质[3, 4].由于存在广泛的密码学和隐私保护应用价值, 基于身份的哈希证明系统自提出以来, 在国内外密码学领域受到了广泛关注.
基于身份的哈希证明系统由两个基本模块组成:子集合成员关系问题和投影哈希函数.其中, 子集合成员关系问题是指一个全集合C的子集V中的元素与另外一个子集Vʹ中的元素是计算不可区分的.投影哈希函数需要具备两个性质:投影性和光滑性.投影性是指在以V中的元素作为输入时, 投影哈希函数有公开和私有两种不同的计算方式, 但两种计算方式得到的结果是相同的.光滑性是指在以Vʹ中的元素作为输入时, 投影哈希函数的输出值与相应的均匀分布是统计不可区分的.在实际使用中, 用户直接使用V中的元素作为投影哈希函数的输入.但在安全性证明过程中需要将V中的元素替换为Vʹ中的元素作为投影哈希函数的输入, 从而证明所构造的加密方案是安全的.
目前, 关于基于身份的哈希证明系统构造的研究已有诸多进展.2010年, Alwen等人首次提出基于身份的哈希证明系统的概念, 并且基于3个不同的困难假设提出了3种不同的基于身份的哈希证明系统构造方法[3].之后, Chow等人基于判定型双线性DH假设, 构造了3个基于身份的哈希证明系统[5].Chen等人基于不同的困难假设提出了多个基于身份的哈希证明系统[6, 7].另外, 他们还提出基于身份的可提取哈希证明系统的概念[8, 9], 并利用这一概念构造基于求解型困难假设的基于身份密钥封装机制.
通过对已有基于身份的哈希证明系统进行分析得知, 尽管已有众多基于传统数论假设的基于身份的哈希证明系统的构造方法, 但相对而言, 基于后量子假设的基于身份的哈希证明系统的构造相对较少.并且已有基于格困难假设的基于身份的哈希证明系统的效率较低, 尤其是较大的密文尺寸会导致所构造的相关加密方案的效率较低.在量子计算机对传统密码系统的潜在威胁日益严峻的情况下, 如何基于格构造效率更高的基于身份的哈希证明系统是一个亟待解决的研究问题.
为了能够降低格上基于身份的哈希证明系统的密文尺寸, 本文首先基于标准LWE假设, 在标准模型下构造了一个新的哈希证明系统, 并利用随机格上离散高斯分布与光滑参数的性质, 证明其是光滑的; 再在随机谕言机的作用下, 利用Gentry等人所提出的原像抽样函数对身份私钥进行提取[10], 从而得到一个光滑并且密文尺寸较小的基于身份的哈希证明系统.作为对所构造的新型哈希证明系统的扩展, 本文也在标准模型下提出一个可更新的哈希证明系统.最后, 详细分析本文所提出的新型构造的效率, 并与已有相关构造进行对比.
1 预备知识和基本概念 1.1 基本概念和符号文中,
定义1(格)[10]. 一个m维格是实数域
$\Lambda = \mathcal{L}({{\bf{B}}}) = \{ {{\bf{Bc}}} = \sum\nolimits_{i \in [m]} {{c_i} \cdot {{{\bf{b}}}_i}} :{{\bf{c}}} \in {\mathbb{Z}^m}\} .$ |
事实上, 一个m维格拥有多组不同的基.一般地, 将二范数较大的基称为公开基, 而将二范数较小的基称为陷门基.给定格
定义2(对偶格)[10]. 给定一个m维格Λ, 定义其对偶格
${\Lambda ^ * } = \{ {{\bf{x}}} \in {\mathbb{R}^m}:\forall {{\bf{v}}} \in \Lambda ,\langle {{\bf{x}}},{{\bf{v}}}\rangle \in \mathbb{Z}\} .$ |
注意到
事实上, m维整数空间
${\Lambda ^ \bot }({{\bf{A}}}) = \{ {{\bf{e}}} \in {\mathbb{Z}^m}:{{{\bf{A}}}^T}{{\bf{e}}} = 0\bmod q\} ,$ |
$\Lambda ({{\bf{A}}}) = \{ {{\bf{y}}} \in {\mathbb{Z}^m}:\exists {{\bf{s}}} \in \mathbb{Z}_q^n{\text{s}}.{\text{t}}.{{\bf{y}}} = {{\bf{As}}}\bmod q\} .$ |
注意到,
引理1(陷门生成)[11-13].给定正整数
$ \left\| {{{{\bf{\tilde{T}}}}}_{{\bf{A}}}} \right\|\le O(\sqrt{n\log q})和\left\| {{{\bf{T}}}_{{\bf{A}}}} \right\|\le O(n\log q). $ |
当
引理2. 若
$\mathop {\Pr }\limits_{{\bf{x}}\leftarrow \mathbb{Z}_{q}^{m}}\,\left[ \text{dist(}{\bf{x}},\Lambda ({\bf{A}})\text{)}\le {\sqrt{q}}/{4}\; \right]\le \frac{1}{{{q}^{2n+{m}/{2}\;}}}.$ |
证明:在
$\mathop {\Pr }\limits_{{\bf{x}}\leftarrow \mathbb{Z}_{q}^{m}}\,\left[ \text{dist(}{\bf{x}},\Lambda ({\bf{A}})\text{)}\le {\sqrt{q}}/{4}\; \right]\le {{\left( \frac{\sqrt{q}}{2} \right)}^{m}}\cdot \frac{{{q}^{n}}}{{{q}^{m}}}=\frac{1}{{{2}^{m}}}\cdot \frac{{{q}^{n}}}{{{q}^{{m}/{2}\;}}}\le \frac{1}{{{q}^{3n}}}\cdot \frac{{{q}^{n}}}{{{q}^{{m}/{2}\;}}}=\frac{1}{{{q}^{2n+{m}/{2}\;}}}.$ |
引理3. 给定正整数
$\text{dist}(a\cdot {{\bf{y}}},\Lambda ({{\bf{A}}}))>{\sqrt{q}}/{4}\;.$ |
证明:对于任意向量
$\Pr \left[ \text{dist}({a}'\cdot {{\bf{{y}}}'},\Lambda ({{\bf{A}}}))\le {\sqrt{q}}/{4}\;\wedge \text{dist}(a\cdot {{\bf{y}}},\Lambda ({{\bf{A}}}))\le {\sqrt{q}}/{4}\; \right]\le \frac{1}{{{q}^{4n+m}}}.$ |
最终, 以上概率的联合边界至多为
定义3(高斯函数)[10]. 给定任意实数
$\forall x\in {{\mathbb{R}}^{n}},{{\rho }_{r,{{\bf{c}}}}}({{\bf{x}}})=\exp \left( -\text{ }\!\!\pi\!\!\text{ }{{{\left\| {{\bf{x}}}-{{\bf{c}}} \right\|}^{2}}}/{{{r}^{2}}}\; \right).$ |
此时, 称c为该高斯函数的中心, r为偏差.在这两个参数分别取0和1的情况下, 可以被默认省略表示.
对于任意离散集合
${\rho _{r,{{\bf{c}}}}}(A) = \sum\nolimits_{{{{\bf{x}}}} \in A} {{\rho _{r,{{{\bf{c}}}}}}({{{\bf{x}}}})} .$ |
定义4(格上的离散高斯分布)[10]. 对于任意
$\forall {{{\bf{x}}}} \in \Lambda ,{D_{\Lambda ,r,{{{\bf{c}}}}}}({{{\bf{x}}}}) = \frac{{{\rho _{r,{{\bf{c}}}}}({{\bf{x}}})}}{{{\rho _{r,{{\bf{c}}}}}(\Lambda )}}.$ |
引理4(格上的离散高斯抽样)[10]. 给定一个m维格
在此用
引理5[3]. 给定一个m维格
$\Delta [({{\bf{e}}},{{{\bf{A}}}^T} \cdot {{\bf{e}}}),({\text{SampleISIS}}({{\bf{A}}},{{\bf{T}}},{{\bf{u}}},r),{{\bf{u}}})] \leqslant negl(n).$ |
下面给出光滑参数的重要概念.
定义5(光滑参数)[14]. 对于任意格
利用对偶格在二范数下最小非零向量的长度
引理6(光滑参数的上界)[15]. 对于任意m维格
$ {{\eta }_{\epsilon }}(\Lambda )\le \frac{\sqrt{{m\log (2m(1+{1}/{\epsilon }\;))}/{\text{ }\!\!\pi\!\!\text{ }}\;}}{{{\lambda }_{1}}({{\Lambda }^{*}})}. $ |
此时, 对于任意函数
引理7(光滑参数的性质)[14]. 对于任意m维格
$ \mathop {\Pr }\limits_{{\bf{x}} \leftarrow {D_{\Lambda ,s,{\bf{c}}}}({\bf{x}})} \,\left[ {{\left\| {\bf{x}}-{\bf{c}} \right\|}^{2}}>s\sqrt{m} \right]\le \frac{1+\epsilon }{1-\epsilon }\cdot {{2}^{-m}}. $ |
引理8[10]. 令
引理9(光滑参数的性质)[10]. 假如矩阵AT的列向量可以生成
引理10(LWE假设)[16]. 令q是一个素数, 随机、均匀选取矩阵
$({{\bf{A}}},{{\bf{A}}} \cdot {{\bf{s}}} + {{\bf{e}}}){ \approx _c}({{\bf{A}}},{{\bf{u}}}),$ |
其中, 向量u是从
引理11(
$\left| \langle {\bf{x}},{\bf{y}}\rangle \right|\le \left\| {\bf{x}} \right\|\cdot \alpha q\cdot \omega (\sqrt{\log n})+\left\| {\bf{x}} \right\|\cdot {\sqrt{n}}/{2}\;.$ |
进一步地, 如果选取x是与y方向相同的单位向量, 就能够以极大的概率得到
本文利用密钥封装机制描述基于身份的哈希证明系统.令C, V, Vʹ, K, SK, PK是非空可数集合.其中,
定义6(投影哈希函数)[19, 20]. 对于任意
定义7(光滑性)[19, 20]. 给定投影哈希函数Hsk, 随机选取
定义8(哈希证明系统)[19, 20]. 一个哈希证明系统由以下3个算法(Param, Pub, Priv)组成.
Param(1n):给定安全参数n, 输出参数
Pub
Priv(sk, c):给定私钥sk和密文, 输出k=Hsk(c).
一般地, 哈希证明系统要求子集合成员关系问题是困难的, 即合法密文
在此基础上, 结合基于身份的思想可以得到以下基于身份的哈希证明系统的定义.
定义9(基于身份的哈希证明系统)[10]. 一个哈希证明系统由以下5个算法(Setup, KeyGen, Encap, Encap*, Decap)组成.
Setup(1n):给定安全参数n, 输出一对主公钥mpk和主私钥msk, 并且生成参数
KeyGen(mpk, msk, id):对于任意身份
Encap(mpk, id):对于任意身份
Encap*(mpk, id):对于任意身份
Decap(mpk, skid, c):给定身份私钥skid和密文c, 该解封装算法输出
与哈希证明系统不同, 基于身份的哈希证明系统的合法密文与非法密文的不可区分需要通过一个攻击者和挑战者之间的交互式游戏进行定义和论证, 并且该游戏的交互过程要求攻击者可以得到包括挑战身份在内的所有身份的私钥.该交互式游戏可以具体描述如下.
Setup:挑战者可以运行系统生成算法Setup(1n)得到一个主公私钥对(mpk, msk), 并且将主公钥mpk发送给攻击者.
KeyGen1:攻击者可以适应性地选择身份
Challenge:攻击者选取任意身份
KeyGen2:与第1个阶段的身份私钥询问相同, 攻击者可以适应性地选择身份
Output:攻击者输出一个比特
如果b=bʹ, 则认为攻击者赢得了游戏.注意到, 在以上游戏中, 挑战者对于相同的身份
基于LWE的哈希证明系统HPS=(Param, Pub, Priv)可以按如下方式进行具体描述.
Param(1n):给定安全参数n, 输出参数
●
●
● SK是
● 对于任意私钥
Pub(pk, c, w):给定一个合法密文
Priv(sk, c):给定密文c:=x和私钥sk:=v, 计算
由引理4可知, 在
与文献[6, 7, 10]中的基于格的哈希证明系统相类似, 本节所提构造中的模数是安全参数的亚指数, 并且
定理1. 给定安全参数n, 令
证明:整个证明过程可被分为以下3个部分:子集合成员关系问题、正确性和光滑性.
引理12(子集和成员不可区分). 上述基于LWE的哈希证明系统所对应的子集和成员关系问题是计算困难的.
证明:给定
$ V=\{{\bf{As}}+{\bf{e}}\bmod q:{\bf{s}}\leftarrow \mathbb{Z}_{q}^{n},{\bf{e}}\leftarrow \bar{\psi }_{\beta }^{m}\},其中,\beta q\ge 2\sqrt{n} $ |
和
${V}'=\{{\bf{As}}+{\bf{e}}\bmod q:{\bf{s}}\leftarrow \mathbb{Z}_{q}^{n},\left\| {\bf{e}} \right\|\ge {\sqrt{q}}/{4}\;\}.$ |
显然, 所有密文的集合C是
$\Lambda ({{\bf{A}}}) = \{ {{\bf{y}}} \in {\mathbb{Z}^m}:\exists {{\bf{s}}} \in \mathbb{Z}_q^n{\text{ s}}.{\text{t}}.{{\bf{y}}} = {{\bf{As}}}\bmod q\} .$ |
同时注意到, 合法密文集合V中的所有元素到格
$\left\| {\bf{e}} \right\|\le \beta q\cdot \omega (\sqrt{\log m})+{\sqrt{m}}/{2}\;.$ |
相对而言, 非法密文集合Vʹ中的元素到格
引理13(正确性). 上述基于LWE的哈希证明系统满足正确性的要求.
证明:给定公开矩阵
$ \begin{eqnarray*} \langle {{\bf{v}}},{{\bf{x}}}\rangle \bmod q &=& \langle {{\bf{v}}},{{\bf{x}}} = {{\bf{As}}} + {{\bf{e}}}\rangle \bmod q \hfill \\ &=& (\langle {{\bf{v}}},{{\bf{As}}}\rangle + \langle {{\bf{v}}},{{\bf{e}}}\rangle )\bmod q \hfill \\ &=& (\langle {{{\bf{A}}}^T}{{\bf{v}}},{{\bf{s}}}\rangle + \langle {{\bf{v}}},{{\bf{e}}}\rangle )\bmod q \hfill \\ & =& (\langle {{\bf{y}}},{{\bf{s}}}\rangle + \langle {{\bf{v}}},{{\bf{e}}}\rangle )\bmod q. \hfill \\ \end{eqnarray*}$ |
由引理7可知, 对于
注意到, 由于
$\frac{{4d}}{q} < \frac{{4rm}}{q} = \frac{{8n\sqrt q \omega (\sqrt {\log m} )\omega (\log n)}}{q} = \frac{{8n\sqrt q \omega (\sqrt {\log m} )\omega (\log n)}}{{{2^{\omega (\log n)}}}} \leqslant negl(n).$ |
因此, 对于任意合法密文向量
引理14(光滑性). 上述基于LWE的哈希证明系统满足光滑性的要求.
证明:根据非法密文集合Vʹ的定义可知, 对于任意非法密文向量
$ {{\eta }_{\epsilon }}({{\Lambda }^{\bot }}({\bf{{A}}'}))\le {\omega (\sqrt{\log m})}/{\left( \frac{1}{q}\cdot \lambda (\Lambda ({\bf{{A}}'})) \right)}\;\le \sqrt{q}\omega (\sqrt{\log m}). $ |
由引理8和引理9可知, 对于任意
$({{{\bf{A}}}^T} \cdot {{\bf{v}}},\langle {{\bf{v}}},{{\bf{x}}}\rangle \bmod q){ \approx _s}({{{\bf{A}}}^T} \cdot {{\bf{v}}},u),$ |
其中, u是
综上所述, 由上面3个引理可知, 定理1成立.证毕.
3 基于LWE假设的基于身份的哈希证明系统 3.1 基于LWE假设的基于身份的哈希证明系统的构造在基于身份的哈希证明系统的构造中, 需要用到随机谕言机
Setup(1n):运行引理1中的陷门生成算法TrapGen生成矩阵
KeyGen(mpk, id, msk):令
Encap(mpk, id):令
Encap*(mpk, id):随机选取
Decap(c, skid):给定
定理2. 给定安全参数n, 令
证明:对于正确性而言, 给定合法密文
$ \begin{eqnarray*} \langle {{\bf{v}}},{{\bf{x}}}\rangle \bmod q &=& \langle {{\bf{v}}},{{\bf{x}}} = {{\bf{As}}} + {{\bf{e}}}\rangle \bmod q \hfill \\ & =& (\langle {{\bf{v}}},{{\bf{As}}}\rangle + \langle {{\bf{v}}},{{\bf{e}}}\rangle )\bmod q \hfill \\ & =& (\langle {{{\bf{A}}}^T}{{\bf{v}}},{{\bf{s}}}\rangle + \langle {{\bf{v}}},{{\bf{e}}}\rangle )\bmod q \hfill \\ & =& (\langle {{\bf{u}}},{{\bf{s}}}\rangle + \langle {{\bf{v}}},{{\bf{e}}}\rangle )\bmod q. \hfill \\ \end{eqnarray*} $ |
由引理13可知, 在上述定理2的参数设置下,
对于光滑性而言, 给定任意非法密文
$ {{\eta }_{\epsilon }}({{\Lambda }^{\bot }}({\bf{{A}}'}))\le {\omega (\sqrt{\log m})}/{\left( \frac{1}{q}\cdot {{\lambda }_{1}}({\bf{{A}}'}) \right)}\;\le \sqrt{q}\omega (\sqrt{\log m}). $ |
由引理5可知, 对于均匀随机向量
$({{{\bf{A}}}^T} \cdot {{\bf{v}}},\langle {{\bf{v}}},{{\bf{x}}}\rangle \bmod q){ \approx _s}({{{\bf{A}}}^T} \cdot {{\bf{v}}},u),$ |
其中, u是
对于合法密文和非法密文的计算不可区分问题而言, 可以建立一个从有效的判定型LWE问题到有效区分合法密文和非法密文问题的黑盒归约.即给定一个有效区分合法密文和非法密文的攻击者
Setup:
KeyGen1:
Challenge:
KeyGen2:
Output:
在真实的游戏中, 对于某个身份id, 攻击者
进一步地, 如果
综上所述, 本节所提出的IB-HPS是光滑的.证毕.
4 基于LWE假设的可更新哈希证明系统通常, 哈希证明系统可以直接用来构造抵抗密钥泄露攻击的加密方案.但是前面提到的两个基于格的哈希证明系统只能用来构造相对泄露模型和有界泄露模型下的加密方案.为了进一步构造能够抵抗连续泄露攻击的加密方案, 本节将第3节中所提出的哈希证明系统扩展为可更新的哈希证明系统.
注意到, Yang等人已经给出了一种构造可更新的哈希证明系统的方法[21].为了实现对密钥的安全更新, Yang等人提出了一种新的抽样方法, 并且要求私钥具有两种不可区分性质.但是, Yang等人所提出的可更新哈希证明系统并不能抵抗潜在的量子攻击威胁.因此, 如何设计具有后量子安全性的可更新哈希证明系统是一个有意义的研究问题.
通过对第3节中所提出的基于LWE哈希证明系统进行分析得知, 利用已有的高斯抽样算法SampleISIS的特性, 可以很容易地对其私钥进行更新.并且由算法SampleISIS的输出值服从独立离散高斯分布的特性可以证明, 该更新方法是安全的.但该构造中需要引入更新密钥作为算法SampleISIS的输入.
4.1 可更新哈希证明系统的构造基于LWE的可更新哈希证明系统UHPS=(Param, Pub, Priv, KeyUpd)可按如下方式进行具体描述.
Param(1n):给定安全参数n, 输出参数
●
● SK是
● 对于任意私钥
●
Pub(pk, c, w):给定一个合法密文
Priv(sk, c):给定密文
KeyUpd(T, sk):对于
与第3节中的哈希证明系统相类似, 该可更新哈希证明系统中的所有操作都是可以有效完成的.
下面对本构造中用到的更新过程进行如下注解.首先, 原有私钥和更新私钥所对应的公钥是完全一样的; 其次, 对应于一个公钥的所有不同私钥都是独立同分布的; 最后, 陷门矩阵T被作为更新密钥进行使用, 即在没有T的情况下, 私钥是没有办法更新的.因此, 在直接利用该可更新哈希证明系统构造抗泄露加密方案时, 必须假设更新过程是可以免受泄露攻击的.
4.2 可更新哈希证明系统的证明定理3. 给定安全参数n, 令
本节从计算和存储代价两个方面出发, 在表 1~表 3中详细对比分析本文3个新型构造和已有相关构造的差别.为了使得该对比分析更加公平, 本文将所有参与对比分析的哈希证明系统的封装密钥调整为1个比特.我们用[7]a和[7]b分别表示文献[7]中的哈希证明系统和基于身份的哈希证明系统.
此时, 用n表示安全参数, m是n的一个函数, 例如令
通过对表 1进行分析得知, 本文第3节的构造与已有相关构造相比, 在解封装计算和密文尺寸方面具有一定的优势.通过对表 2进行分析得知, 本文第4节的构造与已有相关构造相比, 在其他参数相等的前提下, 密文尺寸具有明显优势.因此, 利用基于身份的哈希证明系统所构造的方案将具有更高的效率优势.在表 3中, 虽然本文第5节的构造在效率方面不具有优势, 但由于该构造是基于LWE假设的, 所以能够抵抗潜在的量子计算攻击.
6 结论为了构造密文尺寸较小的可用于构造隐私保护方案的基于身份的哈希证明系统, 本文首先基于标准LWE假设, 在标准模型下成功构造了一个新的哈希证明系统, 并利用随机格上离散高斯分布与光滑参数的性质, 证明其是光滑的; 再在随机谕言机的作用下, 利用原像抽样函数将其推广得到基于身份的哈希证明系统.作为对所构造的新型哈希证明系统的进一步扩展, 本文也在标准模型下提出一个可更新的哈希证明系统.最后, 通过详细分析对比与已有相关构造的差别可知, 本文构造的哈希证明系统具有一定的效率优势, 并且可以抵抗潜在的量子计算攻击.
但本文构造的3个哈希证明系统所用到的模数都是亚指数的, 因此存储和计算效率仍然相对较低.如何构造模数是多项式的哈希证明系统是进一步的研究方向.
[1] |
Feng DG, Zhang M, Li H. Big data security and privacy protection. Ji Suan Ji Xue Bao/Chinese Journal of Computers, 2014, 37(1): 246–258(in Chinese with English abstract).
http://web.xidian.edu.cn/xyzhu |
[2] |
Peng CG, Ding HF, Zhu YJ, Tian YL, Fu ZF. Information entropy models and privacy metrics methods for privacy protection. Ruan Jian Xue Bao/Journal of Software, 2016, 27(8): 1891-1903(in Chinese with English abstract). http://www.jos.org.cn/1000-9825/5096.htm [doi: 10.13328/j.cnki.jos.005096] |
[3] |
Alwen J, Dodis Y, Naor M, Segev G, Walfish S, Wichs D, Walfish, S, Wichs, D. Public-Key encryption in the bounded-retrieval model. In: Gilbert H, ed. Proc. of the 29th Annual Int'l Conf. on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2010). Berlin: Springer-Verlag, 2010. 113-134. |
[4] |
Naor M, Segev G. Public-Key cryptosystems resilient to key leakage. In: Halevi S, ed. Proc. of the 29th Annual Int'l Cryptology Conf. (CRYPTO 2009). Berlin: Springer-Verlag, 2010. 18-35. |
[5] |
Chow SM, Dodis Y, Rouselakis Y, Waters B. Practical leakage-resilient identity-based encryption from simple assumptions. In: Al-Shaer E, Keromytis AD, Shmatikov V, eds. Proc. of the 17th ACM Conf. on Computer and Communications Security (CCS 2010). New York: ACM, 2010. 152-161. |
[6] |
Chen Y, Zhang ZY, Lin DD, Cao ZF. Anonymous identity-based hash proof system and its applications. In: Takagi T, Wang GL, Qin ZG, Jiang SQ, Yu Y, eds. Proc. of the 6th Int'l Conf. on Provable Security (ProvSec 2012). Berlin: Springer-Verlag, 2010. 143-160. |
[7] |
Chen Y, Zhang ZY, Lin DD, Cao ZF. Generalized (identity-based) hash proof system and its applications. Security and Communication Networks, 2016, 9(12): 1698-1716. |
[8] |
Chen Y, Zhang ZY, Lin DD, Cao ZF. Identity-Based extractable hash proofs and their applications. In: Boureanu I, Owesarski P, Vaudenay S, eds. Proc. of the 12th Int'l Conf. on Applied Cryptography and Network Security (ACNS 2012). Berlin: Springer-Verlag, 2012. 153-170. |
[9] |
Chen Y, Zhang ZY, Lin DD, Cao ZF. CCA-Secure IB-KEM from identity-based extractable hash proof system. The Computer Journal, 2014, 57(10): 1537–1556.
[doi:10.1093/comjnl/bxt090] |
[10] |
Gentry C, Peikert C, Vaikuntanathan V. Trapdoors for hard lattices and new cryptographic constructions. In: Dwork C, ed. Proc. of the 40th Annual ACM Symp. on Theory of Computing (STOC 2008). New York: ACM, 2010. 197-206. |
[11] |
Katz J, Vaikuntanathan V. Smooth projective hashing and password-based authenticated key exchange from lattices. In: Matsui M, ed. Proc. of the 15th Int'l Conf. on the Theory and Application of Cryptology and Information Security (ASIACRYPT 2009). Berlin: Springer-Verlag, 2009. 636-652. |
[12] |
Ajtai M. Generating hard instances of the short basis problem. In: Bratko I, Dzeroski S, eds. Proc. of the 16th Int'l Conf. on Machine Learning (ICALP 1999). Berlin: Springer-Verlag, 1999. 1-9. |
[13] |
Alwen J, Peikert C. Generating shorter bases for hard random lattices. Theory of Computing Systems, 2011, 48(3): 535-553. |
[14] |
Micciancio D, Regev O. Worst-Case to average-case reductions based on gaussian measures. SIAM Journal on Computing, 2007, 37(1): 267-302. |
[15] |
Peikert C. Limits on the hardness of lattice problems in lp norms. Computational Complexity, 2008, 17(2): 300–351.
[doi:10.1007/s00037-008-0251-3] |
[16] |
Regev O. On lattices, learning with errors, random linear codes, and cryptography. Journal of the ACM, 2009, 56(6): 34:1–34:40.
https://www.researchgate.net/publication/221591132_On_Lattices_Learning_with_Errors_Random_Linear_Codes_and_Cryptography |
[17] |
Agrawal S, Boneh D, Boyen X. Lattice basis delegation in fixed dimension and shorter-ciphertext hierarchical IBE. In: Rabin T, ed. Proc. of the 30th Annual Cryptology Conf. (CRYPTO 2010). Berlin: Springer-Verlag, 2010. 98-115. |
[18] |
Agrawal S, Boneh D, Boyen X. Efficient lattice (H)IBE in the standard model. In: Gilbert H, ed. Proc. of the 29th Annual Int'l Conf. on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2010). Berlin: Springer-Verlag, 2010. 553-572. |
[19] |
Cramer R, Shoup V. Universal hash proofs and a paradigm for adaptive chosen ciphertext secure public-key encryption. In: Knudsen LR, ed. Proc. of the 21st Annual Int'l Conf. on the Theory and Applications of Cryptographic Techniques (EUROCRYPT 2002). Berlin: Springer-Verlag, 2002. 45-64. |
[20] |
Hofheinz D, Kiltz E. Secure hybrid encryption from weakened key encapsulation. In: Menezes A, ed. Proc. of the 27th Annual Int'l Cryptology Conf. (CRYPTO 2007). Berlin: Springer-Verlag, 2007. 553-571. |
[21] |
Yang RP, Xu QL, Zhou Y., Zhang R, Hu C, Yu Z. Updatable hash proof system and its applications. In: Proc. of the 20th European Symp. on Research in Computer Security (ESORICS 2015). Berlin: Springer-Verlag, 2015. 266-285. |
[1] |
冯登国, 张敏, 李昊. 大数据安全与隐私保护. 计算机学报, 2014, 37(1): 246–258.
http://web.xidian.edu.cn/xyzhu
|
[2] |
彭长根, 丁红发, 朱义杰, 田有亮, 符祖峰. 隐私保护的信息熵模型及其度量方法. 软件学报, 2016, 27(8): 1891-1903. http://www.jos.org.cn/1000-9825/5096.htm [doi: 10.13328/j.cnki.jos.005096]
|