一个身份基加密方案(IBE)包含四个算法Setup,Extract,Encrypt,Decrypt.由于身份信息将作为用户的公钥使用,在IBE方案中需要一个私钥生成中心(private key generator,PKG).PKG利用自己的私钥为每一个身份信息提取相应的私钥.

Setup.给定安全参数n,Setup算法生成所有的系统参数param,PKG的族公钥MPK以及族密钥MSK.定义消息空间和密文空间等.

Extract.输入系统参数param,MPK,MSK 以及一个身份ID,提取算法输出身份ID的私钥sk.

Encrypt.给定param,MPK,ID,消息M,该算法输出一个密文C.

Decrypt.输入param,sk,C,该算法输出消息M.

IBE方案的语义安全性通常有两种安全需求,较弱的称为选择身份选择明文攻击下的不可区分性(IND-sID-CPA),较强的称为适应性选择身份、选择明文攻击下的不可区分性(IND-aID-CPA).IND-sID-CPA 和IND-aID-CPA 唯一的区别在于较弱的概念要求敌手要在系统参数生成前选定要挑战的身份.本节,在IBE方案的设计中将考虑IND-aID-CPA安全性,而在HIBE方案的设计中我们将考虑较弱的IND-sID-CPA安全性.

IND-aID-CPA 安全性可以由以下IND-aID-CPA 游戏定义.

Setup.挑战者运行Setup 算法生成param,族公钥MPK,族密钥MSK.系统参数param和族公钥MPK发送给敌手,MSK 由挑战者保存.(www.daowen.com)

提取询问1.敌手询问密钥提取预言机得到身份ID1,··· ,IDk对应的私钥.挑战者通过运行Extract算法适应性回复这些询问.

挑战.当敌手决定结束第一阶段的密钥提取询问,敌手随机选择两个相同长度的消息M0,M1.敌手选择一个挑战身份ID* IDi,i = 1,2,··· ,k.挑战者选择随机比特b ∈{0,1},并加密Mb得到密文Cb.挑战者发送Cb给敌手作为挑战密文.

提取询问2.敌手继续就任何ID ID*的身份信息询问密钥提取预言机,挑战者如第一阶段提取询问一样,回答这些询问.

猜测.最后,敌手输出一个猜测比特b′ ∈{0,1}.当b=b′,敌手赢得游戏.

敌手在该游戏中的优势定义为|p(b=b′)-1/2|.

一个IBE 方案称作是IND-aID-CPA安全的,假如没有PPT敌手能够在上述IND-aID-CPA游戏中赢得一个不可忽略的优势.