CN111211897A

CN111211897A - 一种基于随机预言模型的时间控制加密安全增强方法

Info

Publication number: CN111211897A
Application number: CN201911328594.8A
Authority: CN
Inventors: 袁科; 王亚慧; 周黎鸣; 闫永航; 李征; 黄雅冰; 柴秀丽
Original assignee: Henan University
Current assignee: Henan University
Priority date: 2019-12-20
Filing date: 2019-12-20
Publication date: 2020-05-29
Anticipated expiration: 2039-12-20
Also published as: CN111211897B

Abstract

本发明提供一种基于随机预言模型的时间控制加密安全增强方法。该方法包括：时间服务器根据给定的安全参数k和随机选择的生成元，生成系统参数和时间服务器公私钥对；系统用户根据时间服务器发布的公开参数生成用户公钥；发送者根据给定的待发送消息、接收者公钥、时间服务器公钥和发布时间，运行预设加密算法得到密文，将密文发送至接收者；时间服务器生成随机数，并根据随机数和时间服务器私钥生成时间陷门，以及将时间陷门广播给所有系统用户；接收者根据收到的密文，接收者私钥和发布时间对应的时间陷门，运行预设解密算法恢复消息。本发明可做到关于时间服务器私钥的一次一密，极大增强时间服务器私钥的安全性，增强TRE的安全性与有效性。

Description

一种基于随机预言模型的时间控制加密安全增强方法

技术领域

本发明涉及时间控制加密技术领域，尤其涉及一种基于随机预言模型的时间控制加密安全增强方法。

背景技术

时间控制加密(TRE，Timed-Release encryption)是一种由发送者指定未来解密时间的密码原语，即发送者加密一个消息并发送给接收者，任何用户包括接收者在指定时间之前不能解密。如今TRE已经成为一项基本技术，结合多种其他技术被应用于更加多元化与细粒度的场景来控制敏感数据的存储与访问。

最新研究进展表明，TRE技术手段的实现从基于数学难题，扩展到基于物理量子加密、物理不可区分混淆电路与基于区块链的方式。特别是加密模型中的无时间服务器方式，由不能做到精准时间控制发展到可以进行精准时间控制。时间服务器方式初始基于二次剩余问题构造，后续方案几乎都是基于双线性对类困难问题构造。目前主流TRE方案都是采用双线性对构造，其中基于随机预言机模型的TRE方案大多采用BDH问题构造，基于标准模型的TRE方案大多采用BDHI问题构造。基于两种问题构造的方案安全性都是基于椭圆曲线离散对数问题(ECDLP)。基于随机预言机模型的非交互式时间控制加密方案是由时间服务器定时发布时间陷门来实现的。时间陷门由公开的哈希函数和私密的参数生成，相应的参数保护依赖于双线性对类数学困难问题。

Blake等人、Dent等人、Cheon等人和K.Chalkias等人等在随机预言模型中，基于BDH问题构造了时间控制加密方案，时间T的哈希函数使用时间服务器私钥进行类似于加密的运算，生成时间陷门。已知采用时间服务器的方案都存在着关于时间服务器私钥的大量明文密文对，虽然解决双线性类数学困难问题目前来说是困难的，攻击者在拥有大量陷门和时间序列的情况下，根据选择明文攻击或选择密文攻击时间服务器私钥机密性将受到严重挑战，具体为：

消息m用密钥k根据加密函数进行加密可以得到密文c＝E_k(m)，则消息m＝D_k(c)。相应的时间陷门可以写成S_T＝E_s(H(T)),则H(T)＝D_s(S_T)；其中，S_T相当于密文，H(T)相当于明文。攻击者拥有大量明文密文对的情况下，随着查询次数的增加，时间服务器的私钥s的安全性逐渐下降。如果s暴露了，即使由S_T尝试恢复H(T)是个困难问题，但是由于时间陷门个数的有限性，攻击者可以相应的按照时间先后获取的时间陷门来顺序尝试，很快就会对应上相应的H(T)，导致H(T)泄露。攻击者一旦知道私钥也会导致密文提前解密；接收者一旦与攻击者相勾结，接收者就可以随意生成指定时间的时间陷门。

发明内容

为解决现有加密方案中攻击者在拥有大量明文密文对的情况下，随着查询次数的增加，时间服务器的私钥s的安全性逐渐下降的问题，本发明提供一种基于随机预言模型的时间控制加密安全增强方法。

本发明提供一种基于随机预言模型的时间控制加密安全增强方法，该方法包括：

步骤1：时间服务器根据给定的安全参数k和随机选择的生成元，生成系统参数和时间服务器公私钥对；

步骤2：系统用户根据时间服务器发布的公开参数生成用户公钥；

步骤3：发送者根据给定的待发送消息、用户公钥、时间服务器公钥和发布时间，运行预设加密算法得到密文，将密文发送至接收者；

步骤4：时间服务器生成随机数，将所述随机数作为时间服务器会话私钥，并根据所述随机数和时间服务器私钥生成时间陷门，以及将所述时间陷门广播至所有系统用户；

步骤5：接收者根据收到的密文，使用接收者私钥和发布时间对应的时间陷门，运行预设解密算法恢复消息。

进一步地，所述系统参数params为：params＝{k,q,G₁,G₂,e,P,H₁,H₂,n}；所述时间服务器公私钥对为(ts_pub,ts_priv)；其中，G₁为有限域上的椭圆曲线离散对数加法群，G₂为有限域离散对数乘法群，q为G₁与G₂的阶且q为素数，映射e:G₁×G₁→G₂是双线性映射，

为随机选择的生成元，H₁和H₂为Hash函数，H₁:{0,1}^*→G₁，H₂:G₂→{0,1}ⁿ，n是明文长度，ts_priv为时间服务器私钥，

ts_pub为时间服务器公钥，ts_pub＝(P,sP)。

进一步地，步骤2具体为：

任一系统用户，生成一个随机数

作为其用户私钥

以时间服务器公钥ts_pub作为输入，计算得到其用户公钥upk＝(aP,asP)。

进一步地，步骤3具体为：

步骤3.1a：发送者确定待发送消息M、接收者公钥upk、时间服务器公钥ts_pub和发布时间T；

步骤3.2a：发送者随机选取

计算U＝rP，rasP和U'＝rH₁(T)；

步骤3.3a：发送者计算得到K＝e(rasP,H₁(T))＝e(P,H₁(T))^ras；

步骤3.4a：发送者计算得到密文

其中，upk_r＝(aP,asP)，ts_pub＝sP，T∈{0,1}^*。

进一步地，步骤4具体为：

步骤4.1：时间服务器在固定间隔时间的每一个发布时间T，都随机生成一个随机数

作为发布时间T对应的时间服务器会话私钥

步骤4.2：时间服务器按照式(1)生成发布时间T对应的时间陷门S_T：

S_T＝(s+R)·H₁(T) (1)

步骤4.3：时间服务器计算随机数R和生成元P的乘积，作为时间服务器会话公钥

步骤4.4：时间服务器在T时刻将

广播至所有系统用户。

进一步地，步骤5具体为：

步骤5.1a：接收者接收密文C＝<U,V>，确定用户私钥usk和与发布时间T对应的时间陷门S_T；

步骤5.2a：接收者计算K₁＝e(U,S_T)^a＝e(rP,(s+R)H₁(T))^a＝e(P,H₁(T))^ar(s+R)，K₂＝e(U',RP)^a＝e(rH₁(T),RP)^a＝e(H₁(T),P)^arP；

步骤5.3a：计算

恢复消息M；

其中，

进一步地，所述预设加密算法包括PKE.Enc算法和Enc算法，步骤3具体为：

步骤3.1b：运行PKE.Enc，输入用户公钥upk＝uP和待发送消息M生成密文C_PKE＝Enc(M,uP)；

步骤3.2b：运行Enc，输入C_PKE，ts_pub＝sP和发布时间T生成C_PKE·e(H₁(T),f(·)·ts_pub)；

步骤3.3b：计算

C_BDH-ES-TRE＝C_pub·e(H₁(T),f(·)·ts_pub)＝C_PKE·e(H₁(T),f(·)·sP)；

步骤3.4b：返回密文C＝(C_BDH-ES-TRE,f(·)·P)。

进一步地，所述预设解密算法包括PKE.Dec算法和Dec算法，步骤5具体为：

步骤5.1b：运行PKE.Dec，输入用户私钥usk＝u和C_PKE生成M＝Dec(C_PKE,u)；

步骤5.2b：运行Dec，输入S_T，时间服务器会话私钥

和u生成

s为时间服务器私钥；

步骤5.3b：计算

步骤5.4b：若步骤5.3b中的等式不成立，则返回⊥并结束；否则返回明文M。

本发明的有益效果：

(1)在本发明中，时间服务器每次在生成时间陷门的过程中，时间服务器先随机生成随机数，用该随机数和时间服务器私钥结合生成时间陷门。由于每次生成的随机数是不同的，因此每次生成陷门使用的密钥也是不同的，由此可知本发明真正的做到了一次一密。这样攻击者每次最多有一次机会解密，就算解密成功也得不到私钥。如果私钥暴露了，攻击者在不知道随机数的情况下仍然无法提前解密密文，也无法生成任意指定时间的时间陷门。因此，本发明提供的基于随机预言模型的时间控制加密安全增强方法使时间服务器私钥被破解的概率大大降低，满足抗量子需求，进而密文在指定时间到达之前无法破解，保护了机密数据。

(2)此外，通过对本发明提出的方法进行安全证明和效率分析可知：和现有方案(如Chan和Blake提出的基于随机预言模型的BP-TRE方案和由Chalkias等提出的AnTRE方案)相比，本发明提出的BDH-ES-TRE方案在时间消耗上最大增长35％，做到了关于时间服务器私钥的一次一密，使时间服务器私钥的安全性得到极大增强，进而增强了TRE的安全性与有效性。由于BDH-ES-TRE方案与BP-TRE方案与中接收者公钥和密文的字节长度一样，因此本发明在通信成本以及存储成本上没有额外增加。

附图说明

图1为本发明实施例提供的一种随机预言模型的时间控制加密安全增强方法的流程示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明中涉及两个阶段：用户公私钥产生阶段和数据通信阶段。在用户公私钥产生阶段，将用户统一称为系统用户，泛指任一用户。在数据通信阶段，将发送消息的系统用户称为发送者，将接收消息的系统用户称为接收者。

实施例1

本发明实施提供一种基于随机预言模型的时间控制加密安全增强方法(简称BDH-ES-TRE)，包括：

S101：时间服务器根据给定的安全参数k和随机选择的生成元，生成系统参数和时间服务器公私钥对；

S102：系统用户根据时间服务器发布的公开参数生成自己的用户公钥；

具体地，本步骤中所述的公开参数属于步骤S101生成的系统参数和时间服务器公私钥对中的可以被公开的参数。

S103：发送者根据给定的待发送消息、用户公钥、时间服务器公钥和发布时间，运行预设加密算法得到密文，将密文发送至接收者；

S104：时间服务器生成随机数，将所述随机数作为时间服务器会话私钥，并根据所述随机数和时间服务器私钥生成时间陷门，以及将所述时间陷门广播至所有系统用户；

S105：接收者根据收到的密文，使用接收者私钥和发布时间对应的时间陷门，运行预设解密算法恢复消息。

在本发明实施例中，时间服务器每次在生成时间陷门的过程中，时间服务器先随机生成随机数，用该随机数和时间服务器私钥结合生成时间陷门。由于每次生成的随机数是不同的，因此每次生成陷门使用的密钥也是不同的，由此可知本发明实施例真正的做到了一次一密。这样攻击者每次最多有一次机会解密，就算解密成功也得不到私钥。如果私钥暴露了，攻击者在不知道随机数的情况下仍然无法提前解密密文，也无法生成任意指定时间的时间陷门。因此，本发明实施例提供的基于随机预言模型的时间控制加密安全增强方法使时间服务器私钥被破解的概率大大降低，满足抗量子需求，进而密文在指定时间到达之前无法破解，保护了机密数据。

实施例2

在上述实施例1的基础上，本发明实施例提供一种基于随机预言模型的时间控制加密安全增强方法，包括以下步骤：

S201：运行Setup算法：给定安全参数k，算法输出系统参数params＝{k,q,G₁,G₂,e,P,H₁,H₂,n}和时间服务器公私钥对(ts_pub,ts_priv)。其中，G₁为有限域上的椭圆曲线离散对数加法群，G₂为有限域离散对数乘法群，G₁与G₂阶为素数q，映射e:G₁×G₁→G₂为双线性映射；Hash函数H₁:{0,1}^*→G₁，H₂:G₂→{0,1}ⁿ，其中n是明文长度；时间服务器随机选取生成元

时间服务器私钥

其对应公钥ts_pub＝(P,sP)，params和ts_pub是公开参数。

S202：运行User-KeyGen算法：某系统用户生成一个随机数

作为该用户私钥

以公开参数(时间服务器公钥ts_pub)为输入，计算出该系统用户的公钥upk＝(aP,asP)。

S203：运行Enc算法：给定消息M，一个接收者的公钥upk_r＝(aP,asP)，时间服务器的公钥ts_pub＝sP和一个发布时间T∈{0,1}^*，发送者进行如下操作：

①随机选取

计算U＝rP，rasP和U'＝rH₁(T)；

②计算K＝e(rasP,H₁(T))＝e(P,H₁(T))^ras；

③得到密文

其中，K、U、U'、V均为中间参数，U和V共同组成了密文C，分别表示密文的前半部分与后半部分；U'的作用是为了能够恢复出消息M；K的作用是为了加密消息M。

S204：运行TS-Rel算法：在时间实例T∈{0,1}^*上进行。时间服务器每发布一个时间陷门S_T前生成一个随机数

作为发布时间T对应的时间服务器会话私钥

随后生成发布时间T对应的时间陷门S_T＝(s+R)·H₁(T)。计算随机数R和生成元P的乘积，作为时间服务器会话公钥

并在T时刻将

广播至所有系统用户。

S205：运行Dec算法：给定一个密文C＝<U,V>，使用接收者的私钥usk_r和发布时间T对应的时间陷门S_T，接收者进行如下操作：

①计算K₁＝e(U,S_T)^a＝e(rP,(s+R)H₁(T))^a＝e(P,H₁(T))^ar(s+R)，

②计算

恢复消息M。

如果C是正确密文，则

其中K＝e(P,H₁(T))^ras。解密正确性验证如下：

应该注意的一点是：当用户的公钥由G₁中的两个点组成(G₁×G₁)，而不是一个点(如传统的加密方案)时，在第一次使用任何公钥(用于向未知接收者发送)时，发送者必须验证此两点公钥的有效性，以确保接收者能够解密消息。即：验证e(aP,asP)＝e(P,asP)，为了确保用户公钥的形式为a×sP，以及的确需要时间陷门。在这里没有进行验证，是因为即使公钥形式不正确，接收者也由于未知的随机数无法生成时间陷门，从而解密密文。对方案安全性没有增加。

实施例3

在上述实施例1的基础上，本发明实施例提供一种基于随机预言模型的时间控制加密安全增强方法，在介绍本发明实施例提供的方法之前，先做如下定义：ξPKE＝(Setup,Enc,Dec)是公钥加密算法，其中：

Setup：生成系统公钥以及用户的公私钥对(upk,usk)＝(uP,u)，

P是G₁的生成元，G₁是加法群。

Enc：使用用户公钥uP加密明文，得到密文C_PKE＝Enc(M,uP)。

Dec：使用用户私钥u解密明文，得到明文M＝Dec(C_PKE,u)。

本发明中出现的PKE加密方案都默认为该定义的一般化公钥加密方案，PKE方案中的算法用PKE.Setup、PKE.Enc和PKE.Dec表示。

该方法具体包括以下步骤：

S301：运行Setup算法：输入是1^k，k是安全参数；具体为：

S3011：运行Setup，输入k生成系统参数和时间服务器私钥ts_priv＝s；

S3012：随机选择生成元P∈G₁；

S3013：设置时间服务器公钥ts_pub＝sP并返回(ts_pub,ts_priv)；

S3014：运行Setup，输入系统参数生成用户私钥u；

S3015：设置upk＝up并返回(upk,usk)。

S302：运行Enc算法：输入upk,ts_pub,T,M；具体为：

S3021：运行PKE.Enc，输入用户公钥upk和消息M生成密文C_PKE＝Enc(M,uP)；

S3022：运行Enc，输入C_PKE，ts_pub和T生成C_PKE·e(H₁(T),f(·)·ts_pub)；

S3023：计算

C_BDH-ES-TRE＝C_pub·e(H₁(T),f(·)·ts_pub)＝C_PKE·e(H₁(T),f(·)·sP)；

S3024：返回密文C＝(C_BDH-ES-TRE,f(·)·P)。

S303：运行Release算法：输入ts_priv，时间点T∈{0,1}^*；具体为：

S3031：周期运行Release生成随机数

然后输入ts_priv，时间点T，生成时间陷门S_T＝(s+R)H₁(T)，计算R与P的乘积生成时间服务器会话公钥

S3032：返回S_T。

S304：运行Dec算法：输入usk，S_T和

具体为：

S3041：运行PKE.Dec，输入用户私钥u和C_PKE生成M＝Dec(C_PKE,u).

S3042：运行Dec，输入S_T，

和u生成

S3043：计算

S3044：如果等式不成立返回⊥并结束，否则返回明文M。

具体地，BDH-ES-TRE方案的形式化定义如下：设k为安全参数，一个基本的基于随机预言模型的时间控制加密增强安全方案包括时间服务器、发送者、接收者3个实体，以及算法4元组ξBDH-ES-TRE＝(Setup,Enc,Release,Dec)。Setup算法以k为输入，输出系统参数、时间服务器的公钥和相应的私钥(ts_pub,ts_priv)、用户的公钥和相应的私钥(upk,usk)。加密算法PKE.Enc输入用户公钥upk，消息M，输出密文C_PKE。Enc将参数T和ts_pub引入PKE.Enc，输出密文C。Release算法生成随机数

然后取ts_priv,R,时间点T∈{0,1}^*作为输入，并输出时间陷门S_T。解密算法PKE.Dec使用用户的私钥解密密文C_PKE得到M，Dec将参数S_T和

引入PKE.Dec，得到明文M或⊥。如果(ts_pub,ts_priv)＝Setup(k)，(upk,usk)＝Setup(k)，S_T＝Release(ts_priv,T,R)成立，对于任意M，这些算法满足

在BDH-ES-TRE系统中，时间服务器不与用户交互。在系统启动时，时间服务器运行Setup算法生成ts_pub并发布它。系统启动后，时间服务器周期性地生成R、

S_T并发布和广播S_T。在启动之后，任何发送者在加密和解密过程中不与服务器交互，而只接收S_T。

下面给出本发明提供的一种基于随机预言模型的时间控制加密安全增强方法的安全性证明过程：

1)给出P,sP，求s困难，为ECDLP问题。

2)给出(P,sP)和(aP,asP)，求a困难。论据为：假如有一个多项式时间算法

可以解决上述问题，可依照以下方法解决ECDLP问题：给出P和aP，随机选择一个b可以很容易的计算出bP和baP(baP＝abP)，使用

可以得出

因此，该问题至少是基于ECDLP困难问题的，因此如果公开公钥，用户私钥a仍然是安全的。

3)现在假定一个非诚实的接收者尝试从(s+R)H₁(T_i)中得出(s+R')H₁(T),T_i≠T。若将H₁(T)重写为w_iH₁(T_i)，问题就成为从H₁(T_i)、w_iH₁(T_i)、(s+R)H₁(T_i)中得出(s+R')H₁(T_i)，如果R＝R'，该问题相当于在GDH群上计算DH问题，从特定密钥更新出新的密钥是困难的；由于在每发布一个时间陷门之前都会生成一个随机数R，因此R≠R'，进而接收者更不可能更新出新的密钥。虽然只有在H₁为随机预言模型的情况下，从密钥更新列表{sH₁(T₁),...,sH₁(T_i),...}中破解T₁,...,T_i之外的释放时间的密文的可能性才可以忽略。但是，从新密钥更新列表{(s+R₁)H₁(T₁),...,(s+R_i)H₁(T_i),...}中破解T₁,...,T_i之外的释放时间的密文的可能性在任何情况下都可以忽略。

4)解密时间锁定属性的粗略证明如下：假定将H₁()作为一个随机预言模型，可以假定一个非诚实的接收者不能利用其他密钥更新知识，从他的角度看，对于一个给定的释放时间点T，H₁(T)只是一个在G₁中的任意点。如果使用另一个哈希函数H₁'()将双线性对的长度与消息的长度相匹配，它也将被建模为随机预言机。

对于非诚实的接收者，他的挑战是在没有相对应的(s+R)H₁(T)情况下解密密文。为了解密密文，他需要从他所知道的rP,sP,a,RP中计算出e(P,H₁(T))^ar(s+R)和e(H₁(T),P)^arP。我们可以使用

实现该目标，也就是

和

我们可以使用

解决BDH问题。BDH问题是从xP,yP,zP中得到e(P,P)^xyz。可以设置H₁(T)＝zP,a＝1,把他们和xP,yP作为一个问题实例给

然后

也就是说，可以使用

作为解决BDH问题的子程序，因此只要BDH问题是困难的，接收者甚至使用他的私钥也不能在特定释放时间之前解密消息，除非他和时间服务器勾结。

5)在TRE中，一个接收者的消息保密性是有保证的，并且很少有时间服务器能够解密发送给接收者的大量加密消息。对于在T时刻用户希望窃听消息，时间服务器只能在一开始给所有用户它选择的格式为P＝H₁(T)的生成元欺骗用户。因此，成功进行大规模窃听的可能性可忽略不计。事实上，如果一个发送者可以避免在T时刻使用H₁(T)＝P的方法，就可以消除这种担忧。T和T+1的差别很小，但它们在H₁()下的像差异很大。

下面给出本发明提供的一种基于随机预言模型的时间控制加密安全增强方法的效率分析过程：

本效率分析过程将本发明提出的BDH-ES-TRE方案与现有的两种非交互式服务器方案进行了比较：由Chan和Blake提出的基于随机预言模型的BP-TRE方案和由Chalkias等提出的AnTRE方案。AnTRE方案的主要优点是计算成本低和存储成本低，但是时间陷门中没有随机数，所以与其他方案一样，存在大量关于时间与时间陷门的明密文对。

为了计算每个协议所需的计算时间，将让BP表示配对操作，PM_ec和PA_ec分别表示G₁中的点乘法和和操作。Exp_ec和PA_ec分别表示G₂中的幂运算和积运算。H₁表示将任意长度的二进制字符串映射到

H₂表示将任意长度的二进制字符串映射到G₁，H₃表示将G₂元素映射到由0和1组成的log² _p长度的字符串，Inv表示

上的模逆运算。基于MIRACL开源库实现了上述基本操作。其中，椭圆曲线在有限域F_q上采用超奇异椭圆曲线(q是512位的大素数，其素数p是160位的素数)。双线性映射采用Tate对算法，将上述椭圆曲线离散对数子群映射到

上的离散对数子群(阶仍为素数p)。

程序运行环境：Intel(R)Core(TM)i7-2600 CPU3.4GHz处理器，8GB内存，Microsoft visual studio 2010。以987654321作为随机数种子，为使结果不与计算机性能相关，以Exp_ec的耗时作为基本比重，计算每种运算耗时相对于Exp_ec耗时的(近似)比值，并统计每种运算的相对耗时如表2.1所示。

表1 双线性对相关基本运算相对于点乘运算的耗时统计表

我们讨论的场景为：解密时间对于发送者以及接收者来说是已知的，发送者以确定的时间对消息进行加密，当解密时间到达后，接收者接收时间陷门进行解密。但解密时间对攻击方保密，攻击方只能猜测密文的解密时间。

假设发送者在时间T对密文加密，H₁(T)和e(P,H₁(T))可以预先计算，则BDH-ES-TRE方案的TS-Rel阶段中需要以下操作：1个PM_ec计算S_T＝(s+R)H₁(T)，1个PM_ec计算

TS-Rel阶段的总成本为2。在加密阶段需要以下操作：3个PM_ec计算rP、rasP、rH₁(T)、1个Exp_ec计算K＝e(P,H₁(T))，1个H₃计算

Enc阶段的总成本为6.4441。在解密阶段，接收者必须计算：1个Exp_ec和1个BP计算K₁＝e(U,S_T)^a，1个Exp_ec和1个BP计算K₂＝e(U',RP)^a，1个Div_ec计算

1个H₃计算

Dec阶段总成本为8.8233。在AnTRE方案中，假定e(P,P)和H₁(T)可以预先计算，各阶段需要的操作及时间成本已详细在表2中列出。表2总结了在T已知情况下BDH-ES-TRE方案与AnTRE方案计算成本的比较。

表2 BP-TRE、BDH-ES-TRE和AnTRE计算成本的比较

结论：从表2中可以看出，在上述讨论的情形下，BDH-ES-TRE方案与BP-TRE方案相比，时间增长率为25％；BDH-ES-TRE方案与AnTRE方案相比，时间增长率为35％，但是BDH-ES-TRE方案在安全性上却做到了一次一密，安全性能比已有的方案大大提升。因为两种方案(BDH-ES-TRE方案和BP-TRE)中接收者公钥和密文的字节长度一样，因此改进的BDH-ES-TRE方案在通信成本以及存储成本上没有额外增加。与AnTRE方案相比，BDH-ES-TRE方案的密文字节长度较短，但是接收者的公钥长度略长。

最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的思想和范围。

Claims

1.一种基于随机预言模型的时间控制加密安全增强方法，其特征在于，包括：

2.根据权利要求1所述的方法，其特征在于，所述系统参数params为：params＝{k,q,G₁,G₂,e,P,H₁,H₂,n}；所述时间服务器公私钥对为(ts_pub,ts_priv)；其中，G₁为有限域上的椭圆曲线离散对数加法群，G₂为有限域离散对数乘法群，q为G₁与G₂的阶且q为素数，映射e:G₁×G₁→G₂是双线性映射，