多PKG环境下的实用IBE方案

原创于 2025-10-25 15:59:28 发布 · 894 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#基于身份的加密 # 多PKG # 双线性对 # BDH问题

多私钥生成器（PKG）环境下的实用的基于身份的加密

王圣宝1,2*,曹珍富3,谢琪1和刘文豪1
1杭州师范大学信息科学与工程学院，中国杭州
2北京邮电大学网络与交换技术国家重点实验室，中国北京
3上海交通大学计算机科学与工程系，中国上海

摘要

关键词 基于身份的加密（IBE）；自组织网络；公钥加密（PKE）；双线性对
*通讯王圣宝，中国杭州杭州师范大学信息科学与工程学院。电子邮件：shengbaowang@gmail.com

引言

自组织网络中的安全问题在多年研究后仍持续受到关注。基于身份的密码学的最新进展为这一问题提供了新的思路，并逐渐成为一种流行的解决方案基础[1]。

基于身份的密码学概念最早由Shamir在 1984[2,3]中提出。基于身份的密码系统的基本思想是，终端用户可以选择任意字符串（例如他们的电子邮件地址或其他在线标识符）作为其公钥。相应的私钥通过将身份与可信机构的主私钥绑定生成（称为私钥生成，简称私钥生成器，PKG）。这大大减少了密钥管理相关的开销。

2001年，Boneh和Franklin[4]首次利用椭圆曲线上的双线性配对给出了基于身份的加密（IBE）的第一个完全可行的解决方案。基于配对，酒井和幸和笠原正治在 2003[5]中提出了另一种IBE（简称 SK‐IBE）方案。然而，其在某些场景下（例如分层 IBE[6]和门限解密[7]）的适用性无法与Boneh– Franklin方案（简称BF‐IBE）相比。因此，近年来 BF‐IBE方案受到了更多的关注。

1.1.多PKG环境中的基于身份的加密

尽管基于身份的加密（IBE）消除了传统公钥基础设施中与密钥管理相关的大部分开销，但在实际部署身份基加密方案时，建立一个单一的全球私钥生成器（PKG）是不现实的，这主要是由于固有的密钥托管问题，即PKG掌握其所有用户的私钥。应用身份基加密方案的另一个困难在于分发私钥时需要在PKG与其用户之间建立安全通道。因此，为了应用身份基加密方案并同时缓解上述两个问题，每个管理域（例如，相对较小且关系紧密的组织，如大学）将设立自己的域PKG，该域PKG仅负责为本域/组织内的用户生成和分发私钥。另一方面，随着互联网和电子商务的发展，经常出现某一域内的用户需要与其他域用户进行安全通信的需求。我们将这种基于身份的加密方案的实际应用场景称为多PKG环境。

要使一个基于身份的加密方案适用于多私钥生成器环境，所需的是由全球可信第三方运行的全局设置过程G‐Setup，该过程生成并发布由支持配对的全局参数params组成的标准全局参数。

安全与通信网络安全通信网络2015；8:43–502013年3月18日在线发布于Wiley在线图书馆（wileyonlinelibrary.com）。DOI:10.1002/sec.743
版权所有©2013约翰威立父子有限公司 43

本文档由funstory.ai的开源PDF翻译库BabelDOCv0.5.10(http://yadt.io)翻译，本仓库正在积极的建设当中，欢迎star和关注。

曲线、可接受的双线性配对、公共群生成元点P以及其他常见的密码学工具，例如哈希函数和编码算法。我们注意到这是一个相当合理的要求。事实上，椭圆曲线、合适的群生成元点以及其他密码学工具已经在非基于身份的加密应用中被标准化，例如美国国家标准与技术研究院联邦信息处理标准[8]。一旦这些全局参数params被确定，每个域PKG只需生成自己的主私钥，并使用全局参数params计算相应的主公钥。

例如，教育部可以作为全国所有大学的可信第三方，而每所大学将设立自己的域PKG，为其教师和学生生成并分发私钥。

本文中，我们提出了一种使用双线性对的新基于身份的加密（IBE）方案。我们证明了该方案在多个私钥生成器（PKG）环境中更具实用性。该新的IBE 方案（以下简称M‐IBE，代表多PKGIBE或改进的 BF‐IBE）与BF‐IBE方案具有相同的设置和解密算法，但在密钥提取和加密算法上有所不同。M‐IBE方案在随机预言模型下是可证明安全的，其安全性基于标准的双线性Diffie‐Hellman（BDH）问题[4]的困难性。

1.2.论文结构

本文的其余部分组织如下。在下一节中，我们给出多 PKG环境下双线性对、相关复杂性假设和基于身份的加密方案所需的定义，以及基于身份的加密方案的相关安全定义。在第3节中，我们描述了新的基于身份的加密方案——M‐IBE方案，并在多PKG环境下将其与 BF‐IBE方案[4,9] 进行比较。在第4节中，我们证明了新M‐IBE方案的选择密文安全性可归约到标准的 BDH假设。最后，第5节给出了简要的结论。

2.预备知识

2.1.配对和修正的双线性Diffie‐Hellman假设

在本节中，我们将以更一般的形式描述配对的基本定义和性质：更多细节可在[4]中找到。

设G1是由元素P生成的循环加法群，其阶为素数 p，G2 是具有相同素数阶p的循环乘法群。我们假设在G 1 和G 2 中的离散对数问题都是困难的。

定义1.配对 一个可接受的配对e是一个双线性映射e: G1 G1! G2,，满足以下三个性质：
1.双线性：若P;Q∈G1 且a;b∈Z p，则e(aP, bQ)= e(P,Q)ab；
2.非退化：e(P,P)6¼ 1；
3.可计算：若P;Q∈G1,，则可以在多项式时间内计算 e(P,Q)ð Þ 2 G2。

通常，映射e将源自有限域上椭圆曲线的韦伊或 Tate配对。有关在实际中如何选择这些群、配对及其他参数以实现效率和安全性的更全面描述，请参见 [10,4,9,11]。

定义2.（BDH参数生成器） 。如[4],所述，我们称一个随机算法IG为BDH参数生成器，如果 IG以安全参数k> 0作为输入，在k的多项式时间内运行，并输出两个具有相同素数阶q的群G1和G2的描述，以及一个可接受的配对e: G1 G1! G2的描述。

定义3.（BDH问题） 。设G1, G2, P，以及e如前所述。在 h G1;G2;ei中的BDH问题如下：给定 hP,aP,bP,cPi，其中 a;b;c∈Z q为均匀随机选择，计算eP;Pð Þabc 2 G2。

我们新的基于配对的IBE方案的安全性依赖于前述BDH问题的困难性。然而，为了简化我们证明过程的表述，将使用以下等效形式的BDH问题，即所谓的改进的BDH问题[12]。改进的BDH问题与BDH问题相同，只是输出为eP;Pð Þa 1 bc（而不是e(P,P)abc）。

定义4.MBDH问题[12] 设G1, G2, P，以及e如前所述。在 h G1;G2;ei中的MBDH问题如下：给定 hP,aP,bP,cPi，其中a;b;c∈Z q 为均匀随机选择，计算eP;Pð Þa 1 bc2 G2。

实值函数f(l)如果对于任意整数k，当l足够大时| f(l)| < l k，则称其为可忽略的。以下MBDH假设大致指出，该问题在计算上是不可行的。

定义5.（MBDH假设） 。如[4],中所述，若 IG是一个BDH参数生成器，则算法B在解决MBDH问题上的优势AdvIG ð BÞ定义为：当算法的输入为G1;G2;e; P;aP;bP;cP时，该算法输出e(P,P)ð Þa 1 bc 2G2 的概率，其中 hG1;G2;ei是 IG对于足够大的安全参数k的输出，P为随机元素 G1,的生成元以及a;b;c∈Z q。MBDH假设是指对于所有高效算法B，AdvIG ð BÞ是可忽略的。其中，概率是基于a; b;c∈Z q的随机选择以及算法B的随机比特来衡量的。

BDH假设可以类似地定义。在[13],中，卡内蒂和霍恩伯格证明了这两个假设的判定性变体是等价的。通过使用相同的归约技术，我们证明了MBDH和 BDH假设是等价的。

引理1. 如果在hG1;G2;ei中以概率e可解MBDH问题，则在 hG1;G2;ei中以相同概率也可解BDH问题，反之亦然。

证明.（BDH假设 ⇒ MBDH假设。） 对于BDH输入 hP,aP, bP,cPi，在输入 hbP,P,cP,aPi= hQ,xQ,yQ,zQi上向 MBDH问题求解器进行查询，并输出其响应。观察到MBDH求解器将输出eQ;Qð Þx1 yz；通过代换，我们得到eQ;Q ð Þx1 yz¼ebP;bPð Þbð c=Þ bð a=Þ ¼ beP;Pð Þabc作为 BDH求解器的输出。

（MBDH假设 ⇒ BDH假设。）省略。□

2.2.多PKG环境中的基于身份的加密定义

我们在多私钥生成器（PKG）环境下的基于身份的加密（IBE）方案的定义与Boneh和Franklin[4,9]的定义略有不同，即多了一个额外的全局化简初始化算法 G‐Setup，该算法负责生成全局共识参数params。

定义6.多PKG环境中的基于身份的加密 一个在多 PKG环境中处理长度为（其中为多项式有界函数）的身份的身份基加密方案由五个多项式时间算法指定：

G‐Setup ：这是一个由全球可信第三方运行的概率算法，以安全参数作为输入，输出全局公共参数params。

设置：这是由域私钥生成器运行的一种概率算法，用于输出域的主公钥/私钥对（PPub是其主公钥，msk是其主私钥）。

密钥提取 ：这是由域私钥生成器运行的密钥生成算法，输入为主私钥msk和用户的身份ID，输出为用户的私钥dID。

加密：这是一个概率性算法，其输入为明文M、全局公共参数params、接收者的身份ID以及指定域私钥生成器的主公钥P Pub ，输出为密文C。

解密：这是一个确定性解密算法，以密文C和私钥d ID 作为输入返回明文M，如果C不是有效密文，则返回一个特殊符号 ⊥。

多PKG环境中基于身份的加密方案的安全性由挑战者 C 和攻击者 A之间进行的以下游戏定义，该游戏几乎与[4]中形式化的游戏相同。

设置。 C接收安全参数k，并运行G‐Setup和初始化算法。它输出全局公共参数params和域主公钥PPub，同时将msk保密。

查找阶段 。 A提出以下类型的查询之一：
•对IDi的密钥提取查询。 C运行密钥提取算法生成 dIDi，并将其传递给 A。
•对（IDi，Ci）的解密查询。 C通过首先查找dIDi（如有必要，可通过运行密钥提取算法）然后运行解密算法来解密密文。它返回得到的明文Mi。

挑战。一旦 A决定第一阶段结束，它将输出两个等长的明文M0和M1，以及一个身份ID*（称为挑战身份），表示希望对该身份进行挑战。唯一的限制是 A在第一阶段中不得对ID*进行过提取查询。C随机选择一位比特t∈{0,1}，并设置C*=为Encrypt(ID*,Mt)的输出。然后将C*作为挑战发送给 A。

猜测阶段 。A继续提出更多查询，如阶段1所示，但有两个限制：(i)不能对ID*发起提取查询；以及(ii)不能对(ID*,C*)发起解密查询。

输出。最后， A输出一个猜测t0 2{0,1}，如果t0=t，则赢得游戏。

我们将这类攻击者称为不可区分性‐身份‐选择密文攻击（IND‐ID‐CCA）攻击者[4,9]。如果 A无法提出解密查询，则称其为IND‐ID‐选择明文攻击（CPA）攻击者。攻击者 A针对基于身份的加密方案的优势是关于安全参数k的函数，定义为
AdvA ð kÞ ¼ Pr t0 ¼ t ½ 1=2 j j:

定义7.IBE安全性 ：如果对于任意IND‐ID‐CCA（ IND‐ID‐CPA）攻击者，AdvA kð Þ是可忽略的，则该IBE 方案是IND‐ID‐CCA安全的（IND‐ID‐CPA）。

3.提出的身份基加密方案

现在我们描述我们的M‐IBE方案——一种在多PKG环境下的实用基于身份的加密方案。与[ 9 ] ,中的研究思路相同，我们首先给出该方案的一个基本版本，该版本仅具有CPA安全性。然后，我们将该基本方案进行扩展，以获得对自适应CCA的安全性随机预言模型[14],，使用第二个藤崎‐冈本变换[15]。

3.1.具有CPA安全性的基本方案

基本M‐IBE方案的工作方式如下。

G‐Setup 。给定安全参数k，全球可信第三方执行以下操作：
(1)输出两个素数阶p的群G1和G2，一个双线性配对e: G1 G1! G2,，以及群G1的生成元P。
(2)选择一个密码学哈希函数H1: 0; 1 f g! G 1和另一个密码学哈希函数 H 2: 2! 0 G; 1 f gn，其中n为某值。消息空间是 M ¼ 0; 1 f gn。密文空间是C ¼ G 1 0; 1 P;n;H1;H2i。

设置。每个域私钥生成器执行以下操作：
(1)选择一个随机的s∈Zp。
(2)计算PPub ¼sP∈G1。域主公钥为PPub，主私钥msk为s。

密钥提取 。为了为身份ID2{0,1}*生成私钥，域 PKG首先计算QID ¼ H1 IDð Þ 2 G 1，然后将私钥dID 设置为dID= s 1QID，其中s是主私钥。‡

加密。要加密消息m 2 M，发送方随机选择一个r2Zp，并使用接收方的身份ID计算QID ¼ H1 IDð Þ 2 G 1，然后将密文设置为
C ¼ hrPPub; mH2 g r ID i; where gID ¼ e P; QID ð Þ 2 G 2 :

解密。该算法与BF‐IBE中的算法相同。使用身份ID 的私钥dID对密文C= hU,Vi2 C进行解密计算
m ¼ VH2 e U; dID ð Þ ð Þ:

一致性 ：接收者可以正确解密C以获得m
e U; dID ð Þ ¼ e rsP; s 1 QID ¼ e P; QID ð Þr:

3.2.具有CCA安全性的完整方案

在本小节中，我们利用Fujisaki和Okamoto提出的通用转换方法[15]，将前述基本方案扩展为具有适应性选择密文安全性的完整基于身份的加密方案。

我们从[16]中借用该转换的描述。这种转换从一个 IND‐CPA加密方案出发，在随机预言模型下构建出一个 IND‐CCA方案。如果我们用Epk(M,r)表示在公钥pk下使用随机比特r对消息M进行加密，其中消息集合M={0, 1}n，随机数集合为R，密文集合为C，则新的转换方案为
Ehy pk ðM Þ ¼ Epk Mjjr; H Mjjr Þ Þ;
其中Mjjr20； 1 f gnk0 0； 1 R是一个哈希函数。要解密密文C，首先使用原始解密算法获得M0 r0，然后验证Epk(M0 r0, H(M0 r0))=C 是否成立。若成立，则输出M；否则，输出拒绝符号。

现在我们描述由此得到的完整M‐IBE方案。

G‐Setup 。给定一个安全参数k，全局可信第三方执行以下操作：
(1)输出两个素数阶p的群G1和G2，一个双线性配对e: G1 G1! G2,，以及群G1的生成元P。
(2)选取三个密码学哈希函数H1: 0 1 f g!；G 1和H2: G2! 0； 1 f gn（对于某个n）以及H3: 0； 1 f g! Z p 。

消息空间是 M ¼ 0; 1 f gnk 0。密文空间是C ¼ G 1 0; 1 n;k0;H1;H2;H3i。

设置。该算法与基本M‐IBE方案中的相同。

密钥提取 。该算法与基本M‐IBE方案中的算法完全相同。

加密。要加密消息m 2 M，发送方随机选择一个s20; 1 f gk 0，利用接收方的身份ID计算QID ¼ H1 IDð Þ 2 G 1 ，设置r ¼ H3 m;sð Þ2 Z p ，最后将密文设置为
C ¼ hrPPub ; mjjs ð ÞH2 g r ID i; where gID ¼ e P; QID ð Þ 2 G 2 :

解密。该算法与Galindo的BF‐IBE变体[16]中的算法相同。使用身份ID的私钥d ID 来解密密文C ¼hU;V i 2 C，操作如下： ‡ 注意，在BF‐IBE [ 4,9 ] ,中，用户的私钥被计算为d ID = sQ ID 。

3.3.多私钥生成器环境下的身份基加密方案比较

现在我们将新的M‐IBE方案与BF‐IBE方案[4]进行比较，以表明我们的方案在多私钥生成器环境中更具实用性。

正如我们在第1节中指出的，在基于身份的加密方案（即多PKG环境）的实际应用环境中，用户向不同管理域的用户加密消息是很正常的情况。例如，对于大学A的学生Alice来说，她可能需要向来自大学B的 Bob、来自大学C的Carol，或其所属大学目前Alice 尚不知道的Emmy加密消息（但请注意，Alice已经知道Emmy的身份信息）。

现在我们将我们的新基于身份的加密方案与 BF‐IBE方案[4]在多PKG环境中进行比较。首先，两种方案中每个域PKG运行的初始化算法相同，生成相同长度的主公钥。其次，两种身份基加密方案中的解密算法也相同，所需的计算开销一致。接下来，我们讨论在实际应用中，特别是在多PKG环境中，我们不同的加密算法和密钥提取算法可能带来的意义。

在BF‐IBE[4], 中，会话密钥，即项gr ID，被计算为gr ID ¼ eP Pub ID ð Þr;;Q，其中PPub 是预期接收者所属私钥生成器的主公钥。因此，在多PKG环境中，在计算项gr ID（这需要进行相对昂贵的配对计算，是整个加密过程的主要操作）之前，BF‐IBE方案要求加密方必须首先获知以下两点：
•收件人所属的域/组织
•与收件人的域PKG相关联的主公钥

与BF‐IBE方案相比，我们的M‐IBE方案最大的区别在于其加密算法中对项g r ID ¼ eP;Q ID ð Þr的计算独立于任何私钥生成器（PKG）的主公钥P Pub 。因此，在M‐IBE方案中，加密方可以在获取接收方所属 PKG的主公钥之前就计算配对。有趣的是，加密方甚至可以在尚未知晓接收方所属域/组织的情况下预先计算gID 。

因此，我们的方案在多PKG环境中实现了一种高效的“移动中”身份基加密方案，这要求发送方（即加密者）的在线工作量非常小。我们注意到，这一特性在（基于身份的）广播（或多接收者）加密场景中尤其有用[17],即通过预先计算大部分昂贵的运算，整体性能将在很大程度上得到提升。

表I总结了我们的M‐IBE方案与BF‐IBE方案的比较。这两种基于身份的加密方案具有相同的性能特征（例如，相同的总体计算开销、主公钥长度和密文长度）以及相同的安全强度（我们将在下一节中证明，我们M‐IBE方案的IND‐ID‐CCA安全性也可以归约到 BDH假设）。然而，我们的M‐IBE方案相较于 BF‐IBE方案有一个显著优势，即其加密算法中的主导操作（即配对计算）可以预先计算（即离线计算，或在查询指定域的主公钥之前完成计算）。总之，在多私钥生成器环境中，我们的M‐IBE比BF‐IBE方案更实用。

表I.M‐IBE与BF‐IBE的比较。

方案	项目	私钥	gID	假设
BF‐IBE[4]	sQ ID	e(PPub,QID)	BDH
M‐IBE	s1QID	e(P,QID)	BDH

BDH，双线性Diffie‐Hellman；BF‐IBE，博内‐富兰克林基于身份的加密；M‐IBE，多私钥生成器基于身份的加密。

4. M‐IBE的安全性证明

现在我们评估我们的M‐IBE方案的安全性。我们证明，与原始的BF‐IBE方案[4,9]以及改进的BF‐IBE方案[16], 一样，M‐IBE方案的安全性也可以归约到BDH问题的困难性上。该归约过程类似于BF‐IBE的证明[9]，但我们将考虑Galindo发现的归约误差[16]。

我们沿着[9,16]中的类似思路证明了我们的基于身份的加密方案的安全性。该证明分三个步骤完成，可简要概括如下：（i）首先，我们证明如果存在一个 IND‐ID‐CCA攻击者，能够通过发动安全模型中定义的自适应CPA攻击来攻破该基于身份的加密方案，则必然存在一个IND‐CCA攻击者，能够以自适应CPA攻击方式攻破引理中定义的BasicPubh y方案；（ii）其次，如果存在这样的IND‐CCA攻击者，则我们在引理中表明，必然存在一个IND‐CPA攻击者能够攻破相应的BasicPub方案；（iii）最后，在引理中，我们证明如果BasicPub方案无法抵御IND‐CPA攻击者，则相应的MBDH假设不成立。

我们首先定义相关的非基于身份的公钥加密方案 BasicPub。它由三个算法描述：密钥生成、加密和解密。

密钥生成 。给定安全参数k，用户执行以下操作：
(1)选择一个随机数s∈Zp 并计算P0 ¼ sP∈G1。
(2)选取一个随机的Q0 2∈G 2。
(3)选取一个密码学哈希函数H2::G2! 0→ 1 f gn，其中n为某值。消息空间是 M ¼ 0; 1 f gn。密文空间是C ¼ G 1 0; 1 H2i，私钥是d0 ¼s1Q0 2G 1。

加密。要加密消息m 2 M，发送方随机选择一个r 2Zp，并将密文设置为
C ¼ hrP0; mH2 gr ID i; where gID ¼ e P; Q0 ð Þ 2 G 2:

解密。使用私钥d0,解密密文C ¼ hU;Vi 2 C，我们进行如下计算
m ¼ VH2 e U; d0 ð Þ ð Þ:

前述公钥加密方案的正确性可以轻松验证。我们将藤崎‐冈本变换应用于BasicPub的完整方案称为 BasicPubhy。

引理2 。设A是针对完整身份基加密方案的I ND‐ID‐CCA攻击者，其优势为e，最多进行qE次私钥提取查询、qD次解密查询和q1次哈希查询。则存在一个 IND‐CCA攻击者 B，其对BasicPub的优势至少为e/q1( 1qE/q1) e/q1。其运行时间为tB≤tA ＋ cG1 q D ＋ 1 ð Þ E ＋ qq，其中cG1表示在G1中计算一次随机乘法所需的时间。

证明。采用与[16]中结果5类似的归约方法，以及拉尔和夏尔马提出的用于模拟H1随机预言机的新技术 [18], ，我们给出如下证明。

我们展示如何通过使用针对完整M‐IBE方案的 IND‐ID‐CCA攻击者A来构建一个针对BasicPubh y的 IND‐CCA攻击者 B。设e表示 A的优势。算法 B从其挑战者处接收到公钥 hp;G1 ;G2 ;e;P;P 0 ;Q0 ;n;k 0 ;H 1 ; H 2 ;H 3i ，然后 B按如下方式为 A模拟挑战者。

设置。B给出参数A hp；G 1 ；G 2 ；e；P；n；k 0 ；H 1 ； H 2 ；H 3i 作为全局公共参数参数并将主公钥PPub 设置为P0, ，其中H1 是由 B 控制的预言机，如下所示：

H1查询 。为了响应这些查询，算法 B维护一个包含元组 h IDi,Qi,bi i的列表Hlist 1 。在初始化该列表之前， B随机选择一个j2{1,…,q1}。当 A对IDi进行H1查询时， B按如下方式处理：
如果i6¼j，它随机选取一个bi 2 Z p，设置Qi= biP0,, 将 hIDi、Qi、bii添加到列表中，并向 A返回Qi。
•否则（即i= j），它设置Qj= Q0,，将 hIDi、Qi、♠ i添加到列表中，并将Qj 提供给 A。这里，♠表示一个特殊符号。如[16], 所述，Q0 对 A是未知的，并且在G1 中均匀分布；因此，H1的输出在G1中均匀分布，并且独立于A的当前视图。

查找阶段 。 A提出以下类型的查询之一：
• 提取查询 . 当 A请求IDi的私钥时， B执行相应H1查询的算法，并得到H1(IDi)= Qi，其中 hIDi、Qi、bii 是Hlist l中的对应条目。
•如果i=j，则 B中止游戏，对BasicPubhy的攻击失败。（事件E1）
•否则， B设置di=biP并将 di发送给 A。
• 解密查询 。 B对解密查询hIDi，Cii 按如下方式响应。它运行一个H1查询算法，并令 h IDi、Qi、bii为Hlist l中的对应条目。
•如果i6¼j，则 B检索私钥di并使用解密算法解密Ci。 B将解密后的消息返回给 A。
•否则， B请求其挑战者解密 Cj并将结果转发给A。（注意：如果i=j，则Qi6¼ Q0,，且 hIDj、Cji的解密与通过BasicPubj对Chy 的解密相同。）

挑战。一旦 A决定阶段1（即查找阶段）结束，它将输出两个等长的明文M0和M1，以及一个希望被挑战的身份ID*。算法 B按如下步骤进行。
•如果i6¼j，则 B终止游戏，对BasicPubh y的攻击失败。（事件E2）
•否则， B向其自身的挑战者发送 M 0 , M1 ，并收到密文C*——即在BasicPubt下针对随机比特t2{0,1}对Mh y的加密结果。 B将C转发给A，该密文也是在完整M‐IBE方案下针对标识符ID*对 Mt的加密结果。

猜测阶段 。 A提出更多查询， B的处理方式与第一阶段相同。回顾游戏规则， A有两个限制：(i)不能对 ID*发起提取查询；以及(ii)不能对(ID *,C* )发起解密查询。

输出。最后， A输出一个关于t的猜测t0 2{0,1}。 B 将其猜测t0转发给其挑战者。

在上述模拟中，H1的行为类似于随机预言机，且提取以及解密查询均有效；因此，若 B在模拟过程中未中止（即事件 E1和E2均未发生），则A的视角与真实攻击中的视角完全相同。因此，我们有|Pr[t0=t]1/2| ≥e，该概率是相对于A、 B 以及 IND‐ID‐CCA游戏挑战者的随机比特而言的。

现在我们评估模拟不中止的概率。我们有
Pr B does not abort ½ ¼ Pr:E1∧:E2 ½ ¼ Pr:E2:E1 j Pr:E1 ½ :
与[16],中类似，我们可以得到Pr[E1]≥qE/q1,的一个上界，即在查找阶段向IDj发起提取查询的 A的概率，因为此类查询的最大次数为qE。另一方面， Pr[⌐E2|⌐E1],（即 A选择IDj作为挑战身份的概率）的下界为1/q1。因此，
Pr B does not abort ½ ≥ 1 q1 1 qE=q1 ð Þ:
这意味着B的优势至少为e/q1(1qE/q1)。□

引理3 。设 A是针对BasicPubhy的一个IND‐CCA攻击者，其优势为e，最多进行qD次解密查询和q2次哈希查询。则存在一个IND‐CPA攻击者 B，其对BasicPubhy 的优势至少为e 0 1 ð Þ 1 1= 22 qkpð ÞqD e。其运行时间为tB≤tA ＋ q2 T BasicPub ＋ ð Þlogp，其中T BasicPub是BasicPub中加密算法的运行时间。

证明。该结果是通过应用Fujisaki‐Okamoto>变换得到的，其证明可在[15]中找到。□

引理4 。设 A是针对BasicPub的一个IND‐CPA攻击者，其优势为e，并且最多对H2进行q2次查询。则存在一个算法 B，其在求解BDH问题上的优势至少为2e/q2。该算法的运行时间为tB ¼Oðt AÞ。

证明。见附录A。□
现在我们准备陈述我们完整的IBE方案的安全性。

定理1 。如果G 1 ð Þ 2 ;;G;e上的BDH问题具有(t,qH ,qD , e)‐安全性，则所提出的完整M‐IBE方案是(t,qH ,qD ,e)‐安全的。
t ＋ cG 1 2qD ＋ qH ð Þ ＋ qH O log 3 p ＋ logp ; e=q 2 H Þ-secure:

证明。这直接由引理2、3和4得出。□