格是欧氏空间中的离散加法子群。格中的困难问题及其求解算法,在公钥密码学中发挥着日益重要的作用。从分析的角度来说,格基约化算法的提出,使得基于大数分解、离散对数等经典困难问题的公钥密码方案的分析工作,可以在问题转换之后通过求解格中短向量的方法来完成。从设计的角度来说,小整数解（Small Integer Solution,SIS）问题和带错学习（Learning With Errors,LWE）问题的提出,使得基于格中困难问题的公钥密码方案设计,具有了可证明安全的性质,并且攻破格密码方案意味着能够求解最坏情况（Worst Case）下的格中困难问题。本文研究公钥加密方案基于格的分析与设计。具体来说,格分析方面研究RSA公钥加密方案的安全性分析,格设计方面则研究可撤销的分层级的基于身份的加密（Revocable Hierarchical Identity-Based Encryption,RHIBE）的方案构造与安全性证明。1.基于格的RSA安全性分析主要依赖于Coppersmith方法。通过运用Copper-smith 方法以及优化其中的格构造,本文主要研究了共享中间数位比特情形下隐式分解问题的求解,部分比特泄露下RSA变体模数N=prqs的分解,Bx-Ay=z的小值解及其在RSA分析中的应用。主要结果如下:（1）改进了 RSA分析中隐式分解问题在共享中间数位比特情形下的求解结果。隐式分解问题主要研究两个RSA模数的未知素因子共享比特的情形,也可以推广到更多RSA模数的情形。在2010年的PKC会议上,Faugere等人通过求解三维格中的最短非零向量,首次得到了共享比特为中间数位比特时的分析结果,之后在2015年被彭力强等人利用两次格基约化技术的方法改进。本文把Coppersmith方法直接运用于共享中间数位比特情形下隐式分解问题的求解,通过优化其中的格构造得到了更好的分析结果,进一步拓宽了攻击RSA适用的条件范围。（2）改进了部分比特泄露下RSA变体模数N=prqs的分解结果。采用模数N=prqs的RSA变体加密方案,在解密速度上要优于标准的RSA加密方案,因此研究该变体方案的安全性也十分重要。2015年,卢尧等人得到了在素因子部分比特泄露下RSA变体模数N=prqs的分解结果。2016年,Coron等人指出,当r或s足够大时,分解N=prqs所需给定的比特是能够通过穷尽搜索得到的。该结果之后又在2018年被Coron与Zeitoun改进。本文把上面三个工作统一为同一个推广结果,即推广结果中参数的不同取值将直接对应这三个不同的工作。进一步,通过优化Coppersmith方法中的格构造,本文对推广结果进行了改进。在最好的情况下,本文结果在分解N=prqs时只需要给定Coron与Zeitoun要求的大约一半比特。（3）研究了整系数方程Bx-Ay=z求小值解（x,y,z）=（x0,y0,z0）的条件,及其在RSA分析中的应用。在求小值解上,本文指出Wiener的连分数方法,May与Ritzenhofen在二维格求最短非零向量的方法,以及Coppersmith方法,三者所得结果在去掉可忽略项后是一致的。接着,本文基于Coppersmith方法,在特殊情况下给出了方程Bx-Ay=z求小值解的两种改进。作为这两种改进的应用,得到了新的RSA分析结果,包括广义隐式分解问题的分析结果,素因子部分比特泄露下的攻击,素因子和解密指数的部分比特位同时泄露下的攻击等。2.作为基于身份的加密（Identity-Based Encryption,IBE）的推广,RHIBE额外支持密钥撤销与密钥代理两种实践中重要的密码学功能。基于LWE困难问题假设,本文主要研究了 RHIBE方案的简化设计,主要结果如下:利用格工具设计了两个新的RHIBE方案,并且都满足抵抗解密密钥泄露（Decryption Key Exposure Resistance,DKER）的安全特性。满足 DKER 的 RHIBE方案设计,最初都基于双线性或者多线性映射。2019年,Katsumata等人设计了第一个基于格的满足DKER的RHIBE方案。本文在该方案的基础上,设计了两个更为简单高效的新方案。通过重新定义身份空间与时期空间,本文的第一个RHIBE方案,相比于Katsumata等人的方案,在公共参数、主私钥、身份私钥、密钥更新信息方面,所需的存储空间更少。而二者在安全性上完全一样,都是在标准模型下实现了选择身份安全。本文的第二个RHIBE方案,采用了格基代理技术,使得在密钥代理的过程中不会扩展格基矩阵的维数。因此该方案中使用的矩阵、向量,其维数并不随着相应层级的增长而增长,从而大幅降低了存储空间。除此之外,该方案还在随机预言机模型下实现了适应身份安全。