一种可证安全的密钥隔离无证书代理重加密方案.docx

1、电子科技大学学报JournalofUniversityofElectronicScienceandTechnologyofChina一种可证安全的密钥隔离无证书代理重加密方案何粒波1，卢震宇2,耿贞伟1,秦志光1(1.电子科技大学信息与软件工程学院成都610054；2.云南电网有限责任公司信息中心昆明65()000)【摘要】在代理重加密体制里，一个不可信的代理服务器将用Alice公钥加密的密文转换为用Bob公钥加密的密文，同时该代理服务器无法获知明文及相关用户的私钥。无证书代理重加密体制能够同时避免传统公钥基础设施中复杂的公钥证书管理和基于身份加密中的密钥托管问题。考虑到用户私钥泄露可能带来的

2、危害，该文提出了具有密钥隔离功能的无证书代理重加密体制，随机预言机模型中的安全证明和模拟实验表明该方案是高效安全的。同时，设计了基于云计算的移动互联网中的安全数据共享方案。关键词无证书公钥加密体制；云计算；密钥隔离；移动互联网；代理重加密加密体制中图分类号TP309文献标志码Adoi:l0.3969/j.issn.l001-0548.2018.04.021AnEfficientKey-InsulatedProxyRe-EncryptionSchemeinCertificatelessCryptographyHELi-boILUZhen-yu2,GENGZhen-wei1,andQINZhi-g

3、uang1(1.SchoolofInformationandSoftwareEngineering,UniversityofElectronicScienceandTechnologyofChinaChengdu610054;2.InformationCenterofYunnanPowerGridCo.,LtdKunming650000)AbstractInaproxyre-encryptionscheme,anuntrustedproxycanconverttheciphertextencryptedbyAlicetotheciphertextencryptedbyBob.Certifica

4、telessproxyre-encryptionschemehastheadvantagesthatavoidingthecomplicatedpublickeyinfrastructure(PKI)andsolvingtheproblemofkey-escrowinidentity-basedcryptography.Todealwiththedisastrousresultofkeyleakage,acertificatelessproxyre-encryptionschemefeaturedwithkeyinsulatedfunctionhasbeenproposedinthispape

5、r.Securityproofintherandomoraclemodelandexperimentresultsdemonstratethattheproposedschemeissecureandpractical.Atlast,asecuredatasharingschemeforcloud-basedmobileInternethasalsobeengivenbasedontheproposedencryptionscheme.Keywordscertificatelesscryptography;cloudcomputing;key-insulated;mobileinternet;

6、proxyreencryption收稿日期：2016-12-26；修回日期：2017-05-15基金项目：国家自然科学基金(61003230,61370026,61133()16,61272527)作者简介：何粒波(1981-),女，博士生，主要从事密码学和网络安全方面的研究.代理重加密机制是文献1提出的一种特殊的公钥加密体制。在代理重加密的加密系统里，一个由Bob公钥生成的密文可由不可信的代理服务器转化为在Alice公钥下生成的密文，Alice可使用自己的私钥解密出明文。在整个代理重加密的过程中，代理服务器无法解密密文或获取任何用户的私钥。由于密文转化的功能，这一加密系统非常适用于构建针对云

7、计算的安全数据共享方案。为提高代理重加密方案的安全性和效率，大量的代理重加密体制陆续出现27】。但在基于传统公钥证书框架下提出的代理重加密体制本身存在着复杂的公钥证书管理的缺陷(如证书的生成、传输、验证、存储及废除)。于是，文献8在2007年提出了第一个基于身份基的代理重加密体制。随后，这一研究领域成为热点。学术界涌现了大量的基于身份基的代理重加密体制在这种加密体制里，由于公钥可以直接由用户的属性(如用户的电子邮件)生成，所以避免了使用基于公钥加密的代理重加密体制里复杂的公钥基础。但是由于私钥是由私钥生成中心生成的，所以基于身份的代理重加密体制存在着密钥托管问题。鉴于此，文献12在2010年提

8、出了第一个无证书代理重加密体制。这种加密体制可以避免采用复杂的公钥管理体制，也解决了密钥托管问题，从而使得代理重加密这一密码学原语被更加广泛地应用于不同的场景中。随着社会工程学与边信道攻击的快速发展，用户的私钥面临着前所未有的威胁。一旦用户私钥泄露，整个公钥密码体制的安全性将面临灭顶威胁。文献13提出了第一个密钥隔离的公钥密码体制，在系统里增加了一个物理安全的部件（称之为协助器），整个系统的时间分为个碎片，在每一个时间片里，协助器生成一个新的协助器私钥，作为用户私钥的一部分，通过这种方法，用户的私钥在每一个时间片里被更新。即使前面时间片的私钥暴露了，也不会泄露后面时间片的私钥。考虑到目前有的代

9、理重加密方案都未考虑密钥泄露带来的威胁，本文结合密钥隔离的思想提出具有抗密钥泄露功能的无证书代理重加密方案。本文的贡献如下：1）通过结合密钥隔离和无证书代理重加密方案，给出了密钥隔离无证书代理重加密方案的形式化定义和安全模型；2）采用构建于椭圆曲线密钥体制上的双线性映射工具，提出了一个密钥隔离无证书代理重加密方案的具体方案；3）在随机预言机模型中给出了所提方案的安全性证明，同时采用Miracl库函数具体实现了该方案，实验结果表明该方案高效实用；4）利用该方案设计了一个基于云计算的适用于移动互联网的安全数据共享协议。2形式化定义和安全模型本章讨论了密钥隔离无证书代理重加密体制（KI-CLPRE）

10、的形式化定义、KI-CLPRE体制的IND-CPA安全证明模型及相关困难问题假设。2.1形式化定义KI-CLPRE体制由以下11个算法构成：Setup:算法输入安全参数k,输出系统参数params、master-key和master-helper-key。SetSecretVai:算法输入params,用广1A身份IDa，输出秘密值SA=（zAfvjoHelperKeyUpdate:算法输入params，master-helper-key,用户*身份IDa和时间周期，输出用户A的第，个时刻的协助器密钥入=tH2（ID"）oPartialKeyExtract:算法输入params，ma

11、ster-key和用户A身份IDa，输出用户A的部分密钥（P,场）=（皿，a）°SetPrivateKey:算法输入params>、EA>SA和时间周期L输出用户A第，个时刻的密钥SKAi=（DAi,）=（tAi,zA,vA）。SetPublicKey:算法输入params、F川和是，算法输出用户A公钥PKa=W0,/）。SetReEncKey:算法输入PKa、SK人、PK,用户A的身份IDr用户8的身份1庇和时间周期，输出第，个时刻的重加密密钥PK人*=（上-5（丛）+zA）modq。Encrypt:算法输入params、明文m、用户A身份IDa、PKa和时间周期i，输

12、出第i个时刻的Cm=（。1,”C2J）°ReEncrypt:算法输入params、RKatB、CAi=（C1J,S）和时间周期，输出第，个时刻的C=（/,d）。Ba,i2,/Decrypti:算法输入params、RK4>Cu=（C|j，S）和时间周期，输出明文moDecrypt:算法输入params>CAJ=c2i）>SK”和时间周期Z,输出明文mo2.2安全模型本文定义KLCLPRE的IND.CPA语义安全模型。在这个安全模型里，攻击者可被分为两类：第一类攻击者A和第二类攻击者A?。第一类攻击者A|代表恶意的第三方，它不能获得master-key和master-

13、helper-key/但是它能够知道秘密值，可以任意值重置公钥；第二类攻击者A2代表一个诚实但好奇的密钥生成中心，可以获得master-key和master-helper-key,不能得知秘密值，所以不能替换公钥。在代理重加密的加密体制里有两种不同级别的密文，据此，本文将分别建立KI-CLPRE在IND-CPA游戏中对一级密文和二级密文的安全模型。在KI-CLPRE体制中攻击者可能执行的预言机：Set-Secret-Value:攻击者A输入参数ID,询问预言机Set-Secret-Value,挑战者S返回秘密值SA=（zA,uQ给A。Helper-Key-Update:攻击者A输入参数ID和时

14、间周期，询问预言机Helper-Key-Update,挑战者S返回用户的第i个时刻的协助器密钥化=r/72（IDA,0给AoPartial-Key-Extract:攻击者A输入参数ID,询问预言机Partial-Key-Extract,挑战者S返回用户的部分密钥（Pa,&）=（幼0）给入。Set-Private-Key:攻击者A输入参数ID和时间周期，询问预言机Set-Private-Key,挑战者S返回用户第，个时刻的密钥SKa=（Daj,S,）=（S，Za，*）给AoSet-Public-Key:攻击者A输入参数ID,询问预言机Set-Public-Key,挑战者S返回输出用户公钥

15、PKa=（皿,"渺人）给A。Set-ReEncrypt-Key:攻击者A输入参数ID和时间周期，询问预言机Set-ReEncrypt-Key,挑战者S返回输出第i个时刻的重加密密钥RKa-b=(tAH5(/A)+zA)modq给A。Public-Key-Replace:A可以通过询问Public-Key-Replace预言机，用自己选择的秘密值来重置公钥4。对于一级密文Caq=(C“，C2J)，本文分别对两类攻击者建立不同的IND-CPA游戏来论证KI-CLPRE体制的安全性。game1_level1_ciphertext(第一类攻击者A基于一级密文对于KLCLPRE体制的IND-C

16、PA游戏)：系统建立阶段：输入安全系数k,挑战者S执行Setup算法，并返回除了master-key和masterhelper-key的系统参数params给Ai。第一阶段：A适当询问以下的预言机：Helper-Key-Update、Partial-Key-Extract、Set-Private-Key>Set-Public-Key、Set-ReEncrypt-Key、Public-Key-Replace。询问这些预言机时，A需要遵守对其的行为限定规则。挑战阶段：一旦A】决定第一阶段结束，A】选择一个挑战身份ID*进行挑战，并输出两个等长的明文所。，物o挑战者S随机地选择一个比特/?e0

17、,l,并计算出挑战的密文C*=C*=(c*,c*),A,i,i2,/并将密文C*返回给Ap猜测阶段：最后，A】输出一个猜测比特&0,1，如果b'=b,则A】获胜。对A的行为限定规则：攻击者A为外部用户，I1所以无法获取密钥生成中心的主密钥，但可以用任意值替换用户公钥。特别的，A无法替换挑战中的用户ID*的公钥。游戏game2_levell_ciphertext(第二类攻击者A2基于一级密文对于KLCLPRE体制的IND-CPA游戏)与游戏game1_level1_ciphertext类似，不再赘述。对于二坂密文Cf=(cf9cf),本文分别对两类B,i1,/2,i攻击者建立不同

18、的IND-CPA游戏来论证KI-CLPRE体制的安全性。game1_level2_ciphertext(第一种类型的攻击者Ai基于二级密文对于KLCLPRE体制的1ND-CPA游戏)：系统建立阶段：输入安全系数k,挑战者S执行Setup算法，并返回除Tmaster-key和master-helper-key的系统参数params给Ai。第一阶段：A.适当询问以下的预言机：Helper-Key-Update、Partial-Key-Extract、Set-Private-Key、Set-Public-Key、Set-ReEncrypt-Key、Public-Key-Replaceo询问这些预言机

19、时，Ai需要遵守对其的行为限定规则。挑战阶段：一旦A决定第一阶段结束，A选择一个挑战身份id*进行挑战，并输出两个等长的明文0挑战者S随机地选择一个比特“£0,1并计算出挑战的密文C*,并将密文C*返回给A|。猜测阶段：最后，A】输出一个猜测比特况0,1,如果b'=b,则A】获胜。对A的行为限定规则：攻击者A为外部用户，所以无法获取密钥生成中心的主密钥，但可以用任意值替换用户公钥。特别的，A】无法替换挑战中的用户ID*的公钥。游戏game2_level2_ciphertext(第二类攻击者A2基于二级密文对于KLCLPRE体制的IND-CPA游戏)与游戏game1Jevel2

20、_ciphertext类似,不再赘述。2.3相关困难问题计算Diffie-Hellman(CDH)问题：给定一个阶为q的循环群G,g为它的生成元。随机选定Q,况0,1,.,0-1的值,给定g,ga,gb,计算出gab的值非常困难。3方案构造本文在无证书代理重加密体制CLPRE,41的基础上构造了具有密钥隔离功能的密钥隔离无证书代理重加密体制KLCLPREo具体方案如下：1)Setup(k):给定一个安全参数k,Setup算法运行如下：输入一个安全参数k,生成一个g阶的乘法循环群G。选择一个群G的生成元g。随机选取xeZ*,x是KGC的master-key并计算出y="。随机选取reZ

21、；,丁是协助器的master-helper-key并计算出d。选择加密哈希函数：H;0,l*xZ+Z；;"3：Gt0,1,其中为某个整数；H4:Z+x(0,1*Z；H-GtZ%系统参数是params=(p,q,g.y.S.H,H2,H39H4)，master-key=xmaster-helper-key=t。2JA.i2) SetSecretKey(params,ID4):输入params，用户A身份ID,算法随机选择z算法输AAAci出SA=(zA,*)作为秘密值。3) HelperKeyUpdate(z,params,master-helper-key,IDG:输入params,

22、master-helper-key和用户A身份皿,在各个时间周期Ze0,1,2,1,算法周期生成一个协助器密钥入=州2(1。,/)O算法输出S做为用户A的协助器密钥。4) PartialKeyExtract(params,master-keyDa):输入params,master-key和用户A身份ID,算法随机得选择sgZ*，并计算出w=必和3a=sa+AaAxH(ID0)modq。算法输出(P,E)=(口，6»)。1AAAAAA5) SetPrivateKey(z,params,y/,E,S):输入AAparamsSa,在各个时间周期ie0,l,n-1，算法生成t=s+xH(ID

23、，萨')+A,iAIAtH2(1DaJ)o算法输出用户A的密钥SK人广(Daj,Sa)=(知,Zr,U人)。6) SetPublicKey(params,PA.SA):输入params,尸人和七。算法计算A§Za和。人=矿"。算法输出用户A的公钥PK,=(袱,外0)。7) SetReEncKey(z,params,SKA/,IDA,PKA,IDfi,PKQ：输入params,PK人=(切.外,/),SKa=,PK=(/,，),用户A的身份和AAABBBBA用户B的身份ID时在各个时间周期，60,1,2,.,-1，算法计算/心=PK,ID,PK)。算法输出在箱时亥血寸

24、时重知密密ABB钥RKa_>b=(Ci%(/,)+z人)modq。8) Encrypt(z,params,ID4,PK4,m):输入params,明文m,用户A身份IDa，PKa=(稣m"在各个时间周期旭0,1,2,，-1,算法计算Y=co%(叫,饥)3伍(2侦)和丫=火如用)o选择一个A,iAA*A,i*A随机数reZ并且计算，算法输出&=>")。9) ReEncrypt。',params,RKatb,Caj):输入params,RKA_,B和Caj=Cu，d)，在各个时间周期ie(0,1,2,.,/?-!,教法计登cR*z和设置d=c。1,/

25、2,i2,i算法输出C*=(c>c,)o10) Decryptj(z,params,SKB,CBJ:输入params,SKfi=,PKA=)和*=c,),在各个时间周期i昌0,1,2,.,-1，算法计算m=c,2i©H/XABj),这里Xe=H(W气小。ID,Pk,ID,PK)。算法输出m.4AAAABB11) Decrypt(z,params,SK,C):输入2AA,iparams，C-(c,c)和SK=Q,z,u)。在各A,i1,/2JAAAA个时间周期ic0,1,2,1,算法计算m=c2i®化铲川")*)。算法输出仇。4安全证明定理1设哈希函数为随机预

26、言机。考虑计算Diffie-Hellman困难问题假设，KI_CLPRE体制对于攻击者A】关于一级密文C=(c,c)在随机预言机模型中是CPA安全的。A,iIJ2,i证明：将规约到计算Diffie-Hellman困难问题上进行安全证明。设定计算Diffie-Hellman问题，挑战者S利用攻击者A来计算出/(g,g)沥。当gamel_1levell_ciphertext游戏开始后，由于攻击者Ai为外部用户，所以该攻击者无法获取密钥生成中心的主密钥master-key0挑战者S设定y=gA=ga并且模拟哈希函数比，浜2，打3，%,出为随机预言机。之后，设置职=g。在仿真试验中，挑战者需要在一个时

27、间片内猜测目标明文中的每一位。在挑战阶段，挑战者S返回一个一级密文Cu=(CU,C2/.):c=nf®H(Yr)=m®H好)r)其中:S=(©AyMUD八,仇(m，i)gZA)r=显然，在&中Q,Aj为已知,所以可以得到g"即为CDH问题的解，即攻击者0只有在解决CDH问题之后才能对所提方案中的一级密文进行解密。故本文的方案在随机预言机模型下是CPA安全的。定理2设哈希函数H】，,理，,丛为随机预言机。考虑计算Diffie-Hellman困难问题假设，KI_CLPRE体制对于攻击者A2关于一级密文CAJ=c2j)在随机预言机模型中是CPA安全的。

28、证明：将规约到计算Diffie-Hellman困难问题上进行安全证明。设定计算Diffie-Hellman问题，挑战者S利用攻击者A?来计算出e(g,g)ab0当gamel_level1.ciphertext游戏开始后，由于攻击者A2为恶意的密钥生成中心，所以该攻击者可以获取密钥生成中心的主密钥master-key，但无法获得用户的密钥等参数。挑战者S设定y=gl=妒，并且模拟哈希函数比，息用3，%，%为随机预言机。之后，设置/=。在仿真试验中，挑战者需要在一个时间片内猜测目标明文中的每一位。在挑战阶段，挑战者S返H一个一级密文Ca产（CJ,C2i）:S=矛H2（Y；）=耳（"以微）

29、其中：HJ）g=（/“）y=（69yHi（IDA0A）$H2（IDA,DgZAy=（gS"sxHl（IDa,a）AgrH2IE>4gZAy显然，在§中g、及g电（IDN）及均为已知，所以挑战者可以获得g有即为CDH困难性问题的解。即攻击者A2只有在解决CDH问题之后才能对本文方案中的一级密文进行解密。故本文的方案在随机预言机模型下是CPA安全的。定理3设哈希函数为随机预言机。考虑计算Diffie-Hellman困难问题假设，KLCLPRE体制对于攻击者Ai关于二级密文*=«,<）在随机预言机模型中是CPA安全的。证明：将规约到计算Diffie-Hell

30、man困难问题上进行安全性证明。由于本文方案中一级密文与二级密文加密算法一致，所以安全性证明与定理1类似，不再赘述。攻击者Ai只有在解决CDH问题之后才能对所提方案中的二级密文进行解密。故本文的方案在随机预言机模型下是CPA安全的。定理4设哈希函数凯，出，理，,电为随机预言机。考虑计算Diffie-Hellman困难问题假设，KI.CLPRE体制对于攻击者A2关于二级密文C据=«,<）在随机预言机模型中是CPA安全的。证明：将规约到计算Diffie-Hellman困难问题上进行安全性证明。由于本文方案中一级密文与二级密文加密算法一致，所以安全性证明与定理2类似，不再赘述。攻击者

31、A2只有在解决CDH问题之后才能对所提方案中的二级密文进行解密。故本文的方案在随机预言机模型下是CPA安全的。5性能分析在密钥隔离无证书代理重加密体制KI-CLPRE方案中，A方和3方由KGC周期性得提供一个协助器密钥，从而得以在每个时间片更新各自的重加密密钥。该方法虽然增加了方案的执行时间，但是由于每个时间片的重加密密钥都得以更新，所以即使单个时间片的重加密密钥被泄露，却仍然保密了其他时间片的重加密密钥，减少了系统在复杂环境下密钥泄露问题，提高了方案的安全性。接下来，将本文的方案与文献12和文献14的方案进行性能和安全的对比分析。代表在群G中指数运算的执行时间，",代表对运算的执行

32、时间，|G|,|G|分别代表群G中元素的长度以及群G元素的长度，|ZJ代表随机数的长度，|刑代表消息m的长度，切|代表签名的长度。由表1可知，就执行效率而言，在文献14和文献12的方案中Encrypt>SetReEncrypt>ReEncrypt>Decrypt】、Decrypt2算法的执行时间分别为3七、3"、t,、3te、te和6te>4te>6tp、tp+4。、2匕+4，而在本文的方案中，执行上述算法的时间为>4矽、L、3,、孩,由此可知，本文方案和文献14的方案相当，而明显高于文献12的方案。就重加密密钥、原始密文以及转换密文长度而言，本文

33、方案中|C/、pK21、|C；.|的长度为p|+网、ZGI+网，而文献14和文献12的方案中对应长度分别为|G|+树、|Z、|G|+"|以及3|G|+1卜十|、3|G|、|G|+20|+依|+树,上述结论同样成立。就功能来说，本文方案在基于CDH困难问题的前提下能够达到CPA安全，并且能提供无证书和抗密钥泄露两种功能。虽然安全性达不到文献方案中的CCA安全，但是文献12的方案不能提供抗密钥泄露和无证书两种功能，并且效率明显低于本文的方案。文献14的方案在性能方面和本文方案大致相当，但没有提供抗密钥泄露的功能。综上所述，本文方案和文献14的方案相比，具有更多功能，比文献12的方案在效率

34、方面具有明显的优势。表2给出了与表1相对应的定量分析，该数据证实了上述性能分析结论。图1图4是几种方案在加密的消耗时间、一级密文解密时间以及二级密文解密时间方面的比较。本文方案通过周期性得更新密钥，提供了密钥隔离功能，减缓了在复杂环境下的密钥泄露问题。表1本文方案和文献14、文献12方案的性能对比Scheme文献14文献12本文方案Encrypt3t<6rt.VSetReEncrypt4。4八ReEncryptte&pteDecryptj3/,G+4.3teDecrypt?te2%+也|g|+h狷+时+E|G|+同lRKU怀j3|削lc-lQ时|g|+2|g+|洲+|(r|GW表

35、2对表1性能定量分析的对比Scheme文献14文献12本文方案Encrypt3.54ms7.08ms4.72msSetReEncrypt354ms4.72ms4.72msReEncrypt1.18ms87.9ms1.18msDecrypt3.54ms1937ms3.54msDecrypt?1.18ms34.02ms1.18msG,2048bits4256bits2048bitsRJ160bits3072bits160bits*2048bits4256bits2048bits2000r180()1600、1400-12001()0()8006004002000T文献14的方案7。文献12的方案-

36、惑=本文方案j1130405060708090100请求次数图2不同方案一级密文解密所需时间的比较ooooooOooooooO8765432回i拯另100"0102030405060708090100请求次数图1不同方案加密所需时间的比较图3不同方案二级密文解密所需时间的比较KGC图4应用场景6应用场景基于无证书的密钥隔离代理重加密系统可以应用到受到私钥泄露问题困扰的一系列实际环境中。达到取消证书机构、避免密钥托管问题和降低密钥泄露的危害的目的。将本文方案部署到手机邮件应用程序，如图4所示，该环境下系统对时间分片。每个用户持有手机和对应的充电器，充电器作为协助器，密钥分发中心(KGC

37、)负责生成用户的部分私钥。例如，在该系统中，用户Alice想给用户Bob发送一份邮件秫。首先，KGC将Alice的公钥PA部分私钥Ea发给Alice,然后Alice在自己的手机上生成秘密值Sa，并使用充电器生成时间片，下的协助器密钥利用这三部分信息，Alice将私钥更新为对应系统时间片，下的私钥SKa。同理，Bob按照这种方式得到自己的公私钥对。Alice计算出由Alice到Bob的重加密密钥RK和邮件对应的密文Cu，将RKaf和C®发送给重加密服务器。重加密服务器将G,转换为,Bob使用自己的私钥就可以解密C庭得到m。假设恶意的攻击者Malice想偷看Alice发给Bob的邮件，M

38、alice偷取了Bob的手机，但由于Malice无法得到Bob的充电器(协助器)，因此无法得到最新的私钥,所以即使手机丢失，加密的内容仍然能保持机密性。7结束语KI-CLPRE体制是将密钥隔离的功能嵌入到代理重加密体制而形成的。这种新的体制将时间分为个时间片，在每个时间片周期性得更新用户的密钥和重加密密钥，即使在某个时期，用户的密钥或重加密密钥被泄露，也不会影响到系统在其它的时间片的安全性。从而，KI-CLPRE体制的私钥暴露问题在恶劣的实际环境中得到了减少。本文首先形式化定义了KI-CLPRE体制，并给出了安全模型和相关困难问题假设。接着，给出了KI-CLPRE体制的具体结构。最后，在随机预

39、言机模型里，论证了KI-CLPRE体制在IND-CPA游戏里的安全性。参考文献1BLAZEM,BLEUMERG,STRAUSSM.DivertibleprotocolsandatomicproxycryptographyC/InternationalConferenceontheTheoryandApplicationsofCryptographicTechniques.Berlin,Heidelberg:Springer,1998:127-144.2 DENGRH,WENGJ,LIUS,etal.Chosen-ciphertextsecureproxyre-encryptionwithout

40、pairingsC/InternationalConferenceonCryptologyandNetworkSecurity.Berlin,Heidelberg:Springer,2008:1-17.3 SUNJ,HUY.Chosen-ciphertextsecurebidirectionalproxybroadcastre-encryptionschemesfJ.InternationalJournalofInformation&CommunicationTechnology,2016,8(4):405-419.|4LIUQ,WANGG,WUJ.Time-basedproxyre-

41、encryptionschemeforsecuredatasharinginacloudenvironmentJ.InformationSciences,2014,258(3):355-370.5 HAYASHIR,MATSUSHITAT,YOSHIDAT,etal.Unforgeabilityofre-encryptionkeysagainstcollusionattackinproxyre-encryptionCl/InternationalWorkshoponSecurity.Berlin,Heidelberg:Springer,2011:210-229.6 WUX,XUL,ZHANGX.Poster:acertificatelessproxyreencryptionschemeforcloud-baseddatasharingC/Proceedingsofthe18thACMConferenceonComputerandComm