可外包解密和成员撤销的身份基加密方案

王占君　马海英　王金华　李燕

摘 要：针对可撤销成员的身份基加密（RIBE）方案中密钥更新效率较低，且解密的工作量较大，难以应用于轻量级设备的问题，提出了一个可外包解密和成员撤销的身份基加密方案（RIBE-OD）。首先，生成一个完全二叉树，为这棵树的每个节点指定一个一次多项式。然后，将基于指数逆模式构造的身份基加密（IBE）方案和完全子树方法相结合，利用该一次多项式计算所有用户的私钥和未撤销用户的更新密钥，撤销用户因不能获得与之匹配的更新密钥而失去解密能力。其次，利用外包解密技术修改密钥生成算法，增加密文转换算法，从而将大部分解密运算量安全外包给云服务器，轻量级设备仅需少量运算即可解密密文。最后，基于判定双线性Diffie-Hellman逆转（DBDHI）假设，证明了所提方案的安全性。与BGK方案相比，该方案的密钥更新效率提高了85.7%，轻量级设备的解密过程减少到一个椭圆曲线指数运算，非常适合于轻量级设备解密密文。

关键词：身份基加密;成员撤销;完全子树方法;外包解密技术;轻量级设备

中图分类号：
TP309.7文献标志码：A

Revocable identity-based encryption scheme with outsourcing decryption and

member revocation

WANG Zhanjun1， MA Haiying2*， WANG Jinhua1， LI Yan2

（1. School of Sciences， Nantong University， Nantong Jiangsu 226019， China;

2. School of Information Science and Technology， Nantong University， Nantong Jiangsu 226019， China）

Abstract：
For the drawbacks of low key updating efficiency and high decryption cost of the Revocable Identity-Based Encryption （RIBE）， which make it unsuitable for lightweight devices， an RIBE with Outsourcing Decryption and member revocation （RIBE-OD） was proposed. Firstly， a full binary tree was created and a random one-degree polynomial was picked for each node of this tree. Then， the one-degree polynomial was used to create the private keys of all the users and the update keys of the unrevoked users by combining the IBE scheme based on exponential inverse model and the full subtree method， and the revoked users decryption abilities were deprived due to not obtaining their update keys. Next， the majority of decryption calculation was securely outsourced to cloud servers after modifying the private key generation algorithm by the outsourcing decryption technique and adding the ciphertext transformation algorithm. The lightweight devices were able to decrypt the ciphertexts by only performing a little simple computation. Finally， the proposed scheme was proved to be secure based on the Decisional Bilinear Diffie-Hellman Inversion （DBDHI） assumption. Compared with Boldyreva-Goyal-Kumar （BGK） scheme， the proposed scheme not only improves the efficiency of key updating by 85.7%， but also reduces the decryption cost of lightweight devices to an exponential operation of elliptic curve， so it is suitable for lightweight devices to decrypt ciphertexts.

Key words：
Identity-Based Encryption （IBE）; member revocation; full subtree method; outsourcing decryption technology; lightweight device

0 引言

1984年，文獻[1]首次提出了身份基加密机制（Identity-Based Encryption， IBE）的概念。在IBE中，用户可以使用一个唯一的字符串（例如家庭住址、身份证号、E-mail地址等）表示自己的身份信息，密钥生成中心（Key Generation Center， KGC）利用该身份信息和系统主密钥为其生成用户私钥，加密者利用接收者身份信息和系统公钥加密消息。IBE删除了传统公钥加密机制中证书验证过程，提高了加密效率。2001年，文献[2]利用椭圆曲线上的双线性映射提出了第一个实用且可行的IBE方案，并在随机预言模型下证明了此方案的安全性。随后，学者们提出了许多实用的IBE方案[2-4]。依据密文和私钥的构造模式不同，身份基加密可分为交换隐藏、全域哈希和指数逆三种类型[3]。其中，基于指数逆模式构造的IBE方案效率较高，因此，本文采用文献[5]提出的基于指数逆模式构造的IBE方案来构造本文的方案。然而，在实际应用中用户私钥可能会泄漏、丢失或者到期，因此，IBE需要提供一种有效的成员撤销机制。

针对IBE的成员撤销问题，现有的解决方案利用完全子树和子集差分方法可以实现成员撤销[6]。由于利用完全子树撤销方法，用户仅需存储较短的私钥，文献[7]基于该方法提出了成员撤销的IBE方案。该IBE方案利用用户身份和时间进行加密，KGC根据最新成员撤销列表，周期性地发布未撤销用户的更新密钥，使得未撤销用户利用相应的更新钥可以重构自己的解密密钥。由于更新密钥的工作量过大，导致KGC可能构成系统的瓶颈，该文献[7]方案仅满足选择身份模型下的安全性。为了提高系统的安全性，文献[8-12]方案提出适应性安全的可撤销IBE方案。文献[13-14]提出了可撤销身份基加密的通用性构架。文献[15]提出了可撤销成员的属性基在线离线加密方案， 为了抵制密钥泄漏攻击，文献[16]方案提出了抗连续辅助输入泄漏的属性基加密方案。然而，现有可撤销身份基加密方案中密钥更新效率较低，且成员撤销的引入极大增加了解密的工作量，解密过程需要执行一些椭圆曲线上的双线性对和幂乘复杂运算，使得轻量级设备难以胜任解密工作。

为了提高解密效率，文献[17]首次提出了可外包解密的属性基加密方案，将解密运算中双线性对和幂乘复杂计算的大部分工作量外包给半可信的第三方服务器，轻量级设备仅需执行少量解密运算即可恢复明文。文献[18]提出了可外包解密的属性基在线/离线加密方案。外包解密技术可以借助半可信第三方高性能计算设备对大部分解密工作进行预处理，极大地减少了轻量级终端设备的解密开销。学者们提出了许多可外包解密的IBE方案。然而，现有的可外包解密IBE方案都不能实现成员撤销，很难满足实际应用中成员撤销的需求。

本文提出了一种高效可外包解密和成员撤销的身份基加密（Revocable Identity-Based Encryption scheme with Outsourcing Decryption， RIBE-OD）方案。该方案将文献[5]的IBE方案和完全子树方法相结合，实现用户撤销。首先，生成一个完全二叉树，该二叉树上每个节点都被指定一个一次多项式f（x）=ax+1，利用这个一次多项式将常数1分解成两个份额f（id）和f（T），其中，id是用户的身份，T表示时间且其值大于1，份额f（id）用于生成用户私钥，份额f（T）用于生成用户的更新密钥。密钥生成中心利用完全子树方法周期性地为未撤销用户生成一个覆盖集合，覆盖集合中的每个用户都可以获得一个更新密钥，未撤销用户能够利用其私钥和更新密钥计算出一个有效的解密密钥，然而，撤销用户因不能获得更新密钥而丧失解密能力。由于所有撤销用户都拥有不相同的份额f（id），即使他们联合起来也不能重构解密密钥，从而该方案可以抵抗联合攻击。在此基础上，利用外包解密技术修改密钥生成算法，输出一个身份私钥和一个转换密钥。增加密文转换算法，半可信第三方云服务器利用转换密钥对大部分解密运算量进行处理。轻量级设备仅需执行一个简单的指数运算即可解密密文，极大地提高了轻量级设备的解密效率。基于判定双线性Diffie-Hellman逆转（Decisional Bilinear Diffie-Hellman Inversion， DBDHI）假设，证明了所提方案的安全性。与相关知名方案比较，本文方案不仅提高了密钥更新的效率，而且极大减少了轻量级设备的解密开销。

本文方案特别适用于移动云计算环境中，轻量级设备获取机密信息，同时减少了密钥生成中心密钥更新的工作量。当成员私钥丢失、到期或被他人盗取时，本文方案能够有效撤销这些成员，未撤销成员能够解密指定的密文。由于现有可撤销身份基加密方案的解密算法需要执行许多复杂的双线性对运算，而轻量级设备是由电池供电，因此，这些可撤销的身份加密方案不适合轻量级设备解密密文。本文方案通过增加一个密文转化算法，在保证不泄露用户机密信息的前提下，将大部分的解密运算量外包给云服务器，轻量级移动设备仅需执行少量运算即可解密密文。

1 预备知识

双线性群 假定G与GT为素数p阶的循环群，g为G的生成元，e：
G × G → GT是一个映射，满足以下三个条件，那么将（G，GT）称为双线性群。

1）双线性性：对u，v∈G，σ，β∈Zp，有e（uσ，vβ）=e（u，v）σβ。

2）非退化性：e（g，g） ≠ 1。

3）可計算性：群G和GT中的乘法以及映射e都是在多项式时间内可计算的。

2（l+1）-DBDHI假设 设g为G的生成元，α∈Zp，给定（2l+4）元组（g，gα，gα2，gα3，…，gα2（l+1），Z），如果任意多项式时间敌手A确定Z=e（g，g）1/α或Z为GT的随机元素的优势都是可以忽略的，则称2（l+1）-DBDHI假设成立。

2 RIBE-OD的定义和安全性模型

一个可外包解密和成员撤销的身份基加密（RIBE-OD）方案由初始化（Setup）、加密 （Enc）、私钥产生（Genkey）、密钥更新 （Updatekey）、解密密钥生成（Derivekey）、密文转换（Trans）、解密（Dec）、成员撤销（Revoke）算法构成。

Setup（1λ，Nmax） → （PK，MSK，LR，ST）：
KGC运行该初始化算法，输入安全参数1λ与用户最大个数Nmax，输出系统公钥PK（Public Key），系统主密钥MSK（Master Secret Key），撤销列表LR（List of Revocation）和当前状态ST（STate）。

Enc（PK，id，T，M） → CTid，T：
该加密算法输入系统公钥PK、时间T、消息M与身份id，输出密文CTid，T。

Genkey （PK，MSK，id，ST ） → （SKid，TKid，ST′）：
KGC运行私钥产生算法，输入系统公钥PK、系统主密钥MSK、身份id与状态ST，输出私钥SKid，转换密钥TKid和更新后的状态ST′。

Updatekey（T，PK，MSK，LR，ST ） → UKT，R：
KGC运行更新密钥产生算法，输入当前时间T、系统公钥PK、系统主密钥MSK、撤销列表LR与状态ST，输出T时刻的更新密钥UKT，R，其中R是T时刻的撤销用户身份集合。

Derivekey（UKT，R，SKid，PK）→（DKid，T，TKid，T ）/⊥：
该解密密钥生成算法输入更新钥UKT，R，用户私钥SKid与系统公钥PK，输出解密密钥和中间密钥对（DKid，T，TKid，T ）或失败符号⊥。

Trans（CTid，T，PK，TKid′，T′）→CT′/⊥：该密文转换算法输入密文CTid，T，系统公钥PK和中间密钥TKid′，T′，当id=id′且T= T′时，输出中间密文CT′;否则输出失败符号⊥。

Dec（CTid，T，PK，DKid′，T′）→M/⊥：
该解密算法输入密文CTid，T，系统公钥PK与解密密钥DKid′，T′，当id=id′且T=T′时，输出消息M;否则输出失败符号⊥。

Revoke（id，T，LR，ST）→LR′：
KGC运行成员撤销算法，输入身份id、时间T、撤销列表LR与状态ST，输出更新之后的成员撤销列表LR′。

RIBE-OD的安全性由敌手A与挑战者C的攻防游戏定义：

开始 敌手A提交挑战身份id*、挑战时间T*和T*时的撤销列表LR*给挑战者C。

初始化 挑战者C运行Setup算法，生成系统公钥PK、系统主密钥MSK、撤销列表LR与状态ST，并且把系统公钥PK发送给敌手A。

阶段一 敌手A可以适应性地询问下面三个预言机：

1）私钥生成预言机OSK（·）：敌手A将身份id提交给挑战者C，C运行Genkey（PK，MSK，id，ST ）算法，发送SKid给敌手A，当敌手A提交身份id*给C时，若id*∈R*时则发送SKid*;若id*R *时发送TKid*。

2）更新密钥生成预言机OUK（·）：敌手A提交时间T给C，C运行Updatekey（T，PK，MSK，LR，ST ）算法生成UKT，R，并将其发送给敌手A。

3）撤销成员预言机ORev（·，·）：敌手A将身份id与时间T提交给C，C使用Revoke（id，T，LR，ST ）算法，并且发送新的撤销列表LR′给敌手A。假若敌手A询问过SKid*，则C必须在T*时刻之前撤销身份id*的私钥。

挑战 敌手A将两个长度相等的消息M0，M1发送给C，C随机选择μ∈{0，1}，运行Enc（PK，id*，T*，Mμ）并且把CT*id*，T*发送给敌手A。

阶段二 与阶段一相同。

猜测 敌手A输出μ的猜测值μ′，若μ=μ′，则表示敌手A赢得此次安全性游戏。

敌手的优势AdvA=Pr[μ=μ′]-1/2。假若任意多项式时间里敌手A赢得了上述安全性游戏的优势都是可忽略的，则称该RIBE-OD方案在选择撤销身份列表模型下是安全的。

3 RIBE-OD方案的详细设计

本文方案利用完全子树方法撤销用户。首先生成一棵完全二叉树，每个节点指定一个一次多项式f（x），使得f（0）=1。每个用户被指定到一个叶子节点，获得从其叶子节点到根节点路径上每个节点处的身份私钥。利用X=e（g，g）s加密消息。给定T时刻的撤销用户集合R，密钥生成中心计算出非撤销用户的覆盖集合，为覆盖集合中的每个节点生成更新密钥，使得未撤销用户利用更新密钥可以计算X f（T），利用身份私钥计算X f（id），由于f（x）为一次函数，利用X f（T）和X f（id）可以算出X f（0），可以成功解密密文。特别地，撤销用户仅能计算X f（id），由于其他撤销用户私钥中的身份与密文中的身份不相同，即使任意多个撤销用户联合起来也得不到f（x）上的其他点，不能重构函数f（x），所以无法获知f（0）的值，导致撤销用户解密失败。所以，本方案成功地阻止了撤销用户的解密，满足了抗联合攻击性。具体方案设计如下：

1）Setup（1λ，Nmax）。該初始化算法输入安全参数1λ和用户最大个数Nmax，给定一个素数p阶的双线性群e：
G×G→GT，且G的生成元是g。随机选取x1，x2 ∈Zp*，计算X1 =gx1，X2=gx2。建立两个列表：一个用于存放（id，u）的用户列表LU（List of Users），另一个用于存放（u， fu（x））的函数列表LF（List of Functions）。选择Hash函数H：
{0，1}*→ Zp，然后，生成一棵完全二叉树BT（Binary Tree），使其至少有Nmax个叶子节点。对该树的任意节点u，随机选择一个一次函数fu（x），使得fu（0）=1，并存放（u， fu（x））到LF。最后，输出系统主密钥MK=（x1，x2，LF）、撤销用户列表LR、状态ST=（BT，LU）、系统公钥PK=（g，X1，X2，e（g，g），H）。

2）Enc（PK，id，T，M）。该加密算法输入系统公钥PK、身份id、时间T与消息M，计算：

C=Me（g，g）s

C1 = （X1gH（id））s

C2=（X2gT）s（1）

输出密文：

CTid，T=（C，C1，C2）（2）

3）Genkey（PK，MSK，id，ST ）。该密钥生成算法输入系统公钥PK、系统主密钥MSK、身份id与状态ST=（BT，LU）。首先，选择一个未使用的叶子节点u，并且保存这个元组（id，u）到LU中。然后，随机选择一个δ∈ Zp*，对于任意节点v ∈ Path（u），检索LF={（u， fu（x））|u ∈ BT}，计算：

Dv=gfv（H（id））/δ（x1+H（id））（3）

最后，输出更新的状态ST与用户私钥SKid={Path（u），{δ，Dv}v ∈ Path（u）}，用户转换钥TKid={Path（u），{Dv}v∈ Path（u）}。

4）Updatekey（T，PK，MSK，LR，ST ）。该更新密钥产生算法输入当前时间T、系统公钥PK、系统主密钥MSK、撤销列表LR与状态ST。首先，利用LR定义T时间的撤销用户集合R，即如果存在（id′，T′）∈LR且T ′≤ T，则id′∈R，根据用户撤销列表LR 给出撤销集合索引RI（Revocation Index），得到撤销用户的覆盖集合CVRI。随后，对任意v∈CVRI，计算：

Ev=gfv（T）/（x2+T）（4）

最后，输出更新的状态和更新钥UKT，R={CVRI，{Ev}v∈CVRI }。

5）Derivekey（UKT，R，SKid，PK）。该解密密钥生成算法输入更新密钥UKT，R = {CVRI，{Ev}v∈CVRI }，用户私钥SKid={Path（u），{δ，Dv}v ∈ Path（u）和系统公钥PK。如果idR， 由完全子树方法得v ∈ Path（u） ∩ CVRI，计算解密密钥DKid，T和中间密钥TKid，T，其中：

DKid，T=（δ，Dv，Ev）=（δ，gfv（H（id））δ（x1+H（id）），gfv（T）x2+T）（5）

TKid，T =（Dv，Ev）=（gfv（H（id））δ（x1+H（id）），gfv（T）x2+T）（6）

否则输出⊥。

6）Trans（CTid，T，PK，TKid′，T′）。该密文转换算法输入密文CTid，T、系统公钥PK和中间密钥TKid′，T′，当id=id′且T=T′时，计算：

C1′ =e（C1，Dv）TT-H（id）=e（g，g）sfv（H（id））Tδ（T-H（id））（7）

C2′=e（C2，Ev）H（id）H（id）-T=e（g，g）sfv（T）H（id）H（id）-T（8）

输出中间密文CT′=（C，C1′，C2′） ;否则输出失败符号⊥。

7）Dec（CTID，T，DKID（，T（，PK）。该解密算法输入密文CTID，T、解密钥DKID′，T′与系统公钥PK，当密文CTID，T未被转换为中间密文CT′=（C，C1′，C2′）时，首先运行密文转换算法得到CT′=（C，C1′，C2′）;否则，计算：

M=C/（C1′δC2′）（9）

8）Revoke（id，T，LR，ST）。撤销算法输入身份id、时间T、撤销列表LR和状态ST =（BT，LU），如果（id，*）LU，则输出失败符号⊥;否则，将（id，T）加入到LR，最后输出更新后的撤销列表LR′。

4 RIBE-OD方案的安全性证明

定理1 假设2（l+1）-DBDHI成立，则本文的RIBE-OD方案在选择撤销身份列表模型下是安全的。

证明 若存在一个敌手A可以破解RIBE-OD方案，则可以构造一个算法D来攻破2（l+1）-DBDHI假设。

开始 敌手A提交挑战身份id*、挑战时间T*与T*时刻的挑战撤销列表LR*。

初始化 D得到（g，gα，gα2，…，gα2（l+1），Z），其中Z=e（g，g）1/α或Z∈GT。D生成一棵完全二叉树、函数列表LF与用户列表LU。将id*指定一个随机叶子节点u*，并保存（id*，u*）到LU。设T*时刻撤销列表为LR*，如果id*∈R*，则定义FixedSubset（id*）={Path（u*）};否则定义FixedSubset（id*）=。令函数列表LF如下所示：

1）当z∈FixedSubset（id*）时，随机选择y∈Zp，隐式地将（x=H （id*），αy）保存在函数列表LF中;

2）当zFixedSubset（id*）时，随机选取y∈Zp，隐式地将（x=T*，αy）保存在函數列表LF中，特别地，一次函数fu（x）是由（0，1）与（x，αy）两个点所确定。

D设置一个撤销列表LR与状态ST =（BT，LU），随机选取π1，π2∈{1，2，…，l}，Iπ1，w1，…，wπ1-1，wπ1+1，wl∈Zp ，当i≠π1时，则定义Ii = Iπ1-wi，系统的运行时间T1，…，Tπ2-1，Tπ2 =T*，…，Tl，计算2（l-1）次多项式：

f（z）=∏li=1，i≠π1（z+wi）∏li=1，i≠π2（z+T-Ti）=∑2l-2i=0cizi（10）

构建生成元：

P=∏2l-2i=0gciαi=gf（α）（11）

若i∈{1，2，…，l}＼{π1}，D计算：

f1，i（z）=f（z）z+wi=∑2l-3j=0d1，i，j zj（12）

P1α+wi=gf（α）α+wi=H1，i=∏2l-3j=0gd1，i， j α j（13）

Pαα+wi=gαf（α）α+wi=Hα1，i=∏2l-3j=0gd1，i， j α j（14）

若i∈{1，2，…，l}＼{π 2}，D计算：

f2，i（z）=f（z）z+Ti=∑2l-3j=0d2，i，jzj（15）

P1α+T-Ti=gf（α）α+T-Ti=H2，i=∏2l-3j=0gd2，i， j α j（16）

Pαα+T-Ti=gαf（α）α+T-Ti=Hα2，i=∏2l-3j=0gd2，i， j α j+1（17）

D设定Pub1 =P-α -Iπ1 ，Pub2=P-α -T*，其中：

WMW（Wang-Ma-Wang）方案[19]提出了一种可外包解密身份基在线离线加密方案，该方案主要运用在轻量级设备上，不能实现撤销用户，而本文所提的方案有效地解决了撤销用户问题。WMW方案在进行解密计算中所耗费的计算代价与本文所提的方案都是执行了一个椭圆曲线上的幂乘运算，这些都是相对简单的计算过程，因此解决了在传统基于身份加密方案中撤销用户计算负担过大的问题。

综上所述，与两个相关方案相比，本文方案不仅提高了成员撤销过程中密钥更新的效率，而且减轻了轻量级设备的解密负担，更能满足IBE在实际应用中的隐私保护需求。表格（有表名）表1 本文方案与相关方案的功能和性能比较

Tab. 1 Comparison of function and performance of proposed

scheme and other related schemes

方案解密代价密钥更新代价能否撤销BGK方案2E+4P7r log（Nmax/r）E√SE方案3P3r log（Nmax/r）E√WMW方案1E—×本文方案1Er log（Nmax/r）E√

6 结语

本文提出了一个可外包解密和成员撤销的身份基加密方案，首先将文献[5]的身份基加密方案和完全子树方法相结合，为未撤销用户生成更新密钥，撤销用户因不能获得与之匹配的更新密钥而失去解密能力，从而实现用户撤销。在此基础上，利用外包解密技术修改密钥生成算法，增加密文转换算法，从而将大部分解密运算量安全外包给云服务器，轻量级设备仅需少量运算即可解密密文，极大地提高了轻量级设备的解密效率，且云服务器得不到关于明文的任何信息。基于DBDHI假设，证明了所提方案的安全性。与相关知名方案比较，比较结果表明，本文方案不仅提高了成员撤销过程中密钥更新的效率，而且极大减少了轻量级设备的解密开销，适合于轻量级设备解密密文。然而，该方案的加密算法需要执行椭圆曲线上的3个指数运算，对轻量级设备构成一定的计算负担，未来将进一步考慮如何降低加密算法的复杂度。此外，我们可以利用基于智能卡的密码认证方法[20]改进用户加入过程，增强系统的安全性。

参考文献 （References）

[1]SHAMIR A. Identity-based cryptosystems and signature schemes [C]// Proceedings of the 1984 Workshop on the Theory and Application of Cryptographic Techniques， LNCS 196. Berlin：
Springer， 1984：
47-53.

[2]BONEH D， FRANKLIN M. Identity-based encryption from the Weil pairing [J]. SIAM Journal of Computing， 2001， 32（3）：
586-615.

[3]WARTERS B. Dual system encryption：
realizing fully secure IBE and HIBE under simple assumptions [C]// Proceedings of the 2009 Annual International Cryptology Conference， LNCS 5677. Berlin：
Springer， 2009：
619-636.

[4]BOYEN X. General Ad Hoc encryption from exponent inversion IBE [C]// Proceedings of the 2007 Annual International Conference on the Theory and Applications of Cryptographic Techniques， LNCS 4515. Berlin：
Springer， 2007：
394-411.

[5]SAKAI R， KASAHARA M. ID-based cryptosystems with pairing over pairing over elliptic curve [EB/OL]. [2019-05-18]. https：//eprint.iacr.org/2003/054.pdf.

[6]NAOR D， NAOR M， LOTSPIECH J. Revocation and tracing schemes for stateless receivers [C]// Proceedings of the 2001 Annual International Cryptology Conference， LNCS 2139. Berlin：
Springer， 2001：
41-62.

[7]BOLDYREVA A， GOYAL V， KUMAR V. Identity-based encryption with efficient revocation [C]// Proceedings of the 15th ACM Conference on Computer and Communications Security. New York：
ACM， 2008：
417-426.

[8]LIBERT B， VERGNAUD D. Adaptive-ID secure revocable identity-based encryption [C]// Proceedings of the 2009 Cryptographers Track at the RSA Conference， LNCS 5473. Berlin：
Springer， 2009：
1-15.

[9]SEO J H， EMURA K. Revocable identity-based encryption revisited：
security model and construction [C]// Proceedings of the 2013 International Workshop on Public Key Cryptography， LNCS 7778. Berlin：
Springer， 2013：
216-234.

[10]LEE K， LEE D H， PARK J H. Efficient revocable identity-based encryption via subset difference methods [J]. Designs， Codes and Cryptography， 2017， 85（1）：
39-76.

[11]WANG C， LI Y， XIA X， et al. An efficient and provable secure revocable identity-based encryption scheme [J]. PloS One， 2014， 9（9）：
Article No. e106925.

[12]LEE K. Revocable hierarchical identity-based encryption with adaptive security [EB/OL]. [2019-05-18]. https：//eprint.iacr.org/2016/749.pdf.

[13]LEE K. A generic construction for revocable identity-based encryption with subset difference methods [EB/OL]. [2019-05-19]. https：//eprint.iacr.org/2019/798.pdf.

[14]MA X， LIN D. A generic construction of revocable identity-based encryption [EB/OL]. [2019-04-15]. https：//eprint.iacr.org/2019/299.pdf.

[15]MA H， WANG Z， WANG J. Efficient ciphertext-policy attribute-based online/offline encryption with user revocation [J]. Security and Communication Networks， 2019， 2019：
Article No. 8093578.

[16]馬海英，曾国荪，包志华，等.抗连续辅助输入泄漏的属性基加密方案[J].计算机研究与发展，2016，53（8）：1867-1878.（MA H Y， ZENG G S， BAO Z H， et al. Attribute-based encryption scheme resilient against continuous auxiliary-inputs leakage [J]. Journal of Computer Research and Development， 2016， 53（8）：
1867-1878.）

[17]GREEN M， HOHENBERGER S， WATERS B. Outsourcing the decryption of ABE ciphertexts [C]// Proceedings of the 20th USENIX Conference on Security. Berkeley：
USENIX Association， 2011：
34-34.

[18]WANG Z， MA H， WANG J. Attribute-based online/offline encryption with outsourcing decryption [J]. Journal of Information Science and Engineering， 2016， 32（6）：
1595-1611.

[19]王占君，马海英，王金华.移动云计算中基于身份的轻量级加密方案[J].计算机工程与应用，2018，54（19）：72-76.（WANG Z J， MA H Y， WANG J H. Identity-based lightweight encryption scheme in mobile cloud computing [J]. Computer Engineering and Applications， 2018， 54（19）：
72-76.）

[20]WANG D， WANG P. Two birds with one stone：
two-factor authentication with security beyond conventional bound [J]. IEEE Transactions on Dependable and Secure Computing， 2018， 15（4）：
708-722.

This work is partially supported by the National Natural Science Foundation of China （61402244）， the Natural Science Independent Research and Development Project of Nantong University （13230132）， the Jiangsu Graduate Research and Innovation Program （SJCX19_0981）.

WANG Zhanjun， born in 1978， M. S.， lecturer. His research interests include public key cryptography， algebra.

MA Haiying， born in 1977， Ph. D.， associate professor. Her research interests include public key cryptography， privacy protection.

WANG Jinhua， born in 1962， Ph. D.， professor. His research interests include combinatorial mathematics， cryptography.

LI Yan， born in 1996， M. S. candidate. Her research interests include cryptography， blockchain application.

收稿日期：2019-07-15;修回日期：2019-09-08;录用日期：2019-09-09。基金项目：国家自然科学基金基金项目（61402244）;南通大学自然科学自主研发项目（13230132）;江苏省研究生科研创新计划项目（SJCX19_0981）。

作者简介：王占君（1978—），男，河南鹤壁人，讲师，硕士，主要研究方向：公钥密码学、代数; 马海英（1977—），女，河南新乡人，副教授，博士，CCF会员，主要研究方向：公钥密码学、隐私保护; 王金华（1962—），男，江苏南通人，教授，博士生导师，博士，主要研究方向：组合数学、密码学; 李燕（1996—），女，江苏盐城人，硕士研究生，主要研究方向：密码学、区块链应用。

文章编号：1001-9081（2019）12-3563-06DOI：10.11772/j.issn.1001-9081.2019071215