數(shù)據(jù)加密的制作方法
【專利摘要】提供了用于在數(shù)據(jù)處理系統(tǒng)(1)中在公鑰下加密秘密數(shù)據(jù)的公鑰加密方法和裝置���。秘密數(shù)據(jù)被提供為消息(m),該消息(m)包括滿足雙線性映射ê:G1xG2→GT的基群對(duì)G1,G2的至少一個(gè)元素���,其中GT是目標(biāo)群���。使用所述公鑰來加密消息(m)以產(chǎn)生加密消息(c)���。使用加密消息(c)和所述雙線性映射來生成一致性成分(v),從而一致性成分(v)允許在不展現(xiàn)加密消息的情況下對(duì)加密消息的驗(yàn)證�。輸出密文(ct)包括加密消息(c)和一致性成分(v)。
【專利說明】數(shù)據(jù)加密
【技術(shù)領(lǐng)域】
[0001]本發(fā)明總體上涉及數(shù)據(jù)加密����,并且提供了用于在數(shù)據(jù)處理系統(tǒng)中的秘密數(shù)據(jù)的公鑰加密的方法和裝置。
【背景技術(shù)】
[0002]公鑰加密基本上是目標(biāo)在于保護(hù)數(shù)據(jù)處理系統(tǒng)中傳送的數(shù)據(jù)的任何安全協(xié)議中的重要密碼工具�����。加密方案依賴于秘鑰對(duì)�,也就是私鑰和公鑰,其與系統(tǒng)中通信的特定方相關(guān)聯(lián)���。一方的公鑰可用于方案的所有用戶��,而私鑰對(duì)該方是保持秘密的����。當(dāng)在基本的消息收發(fā)過程(其中發(fā)送者希望與接收者通信,同時(shí)保持消息數(shù)據(jù)對(duì)其他人秘密)中使用時(shí)�����,發(fā)送者可以使用接收者的公鑰經(jīng)由密碼編碼過程對(duì)秘密數(shù)據(jù)進(jìn)行加密�。安全依賴于這樣的前提,即���,使用秘鑰對(duì)的相應(yīng)私鑰僅可以將所產(chǎn)生的密文解密為用于恢復(fù)原始明文消息����,即��,秘密數(shù)據(jù)���。由此�����,僅擁有該秘鑰的授權(quán)接收者才可以解密密文從而展現(xiàn)秘密數(shù)據(jù)��。加密方案還可以在其他場景中使用����,例如�,用于在可信第三方(TTP)的公鑰下加密數(shù)據(jù),以使得所產(chǎn)生的密文的接收者可以應(yīng)用于TTP以在特定環(huán)境下解密密文�。可以開發(fā)這樣的系統(tǒng)���,例如用于在用戶行為不當(dāng)(例如�����,沒有支付賬單)的情況下�����,允許向密文的接收者展現(xiàn)在密文中加密的用戶標(biāo)識(shí)數(shù)據(jù)�。
[0003]在實(shí)踐中��,由加密方案提供的安全的等級(jí)基本上取決于攻擊者在不知曉秘鑰的情況下可以從密文推導(dǎo)出信息的程度���。實(shí)際上���,用于加密方案的當(dāng)前實(shí)際標(biāo)準(zhǔn)安全觀念稱為“針對(duì)選擇密文攻擊的安全”(CCA)。這是在以下可能性的方面定義的,即�����,在指定約束(允許對(duì)用于攻擊者所選擇的密文的解密的解密數(shù)據(jù)庫進(jìn)行受限訪問)下操作的名義上的攻擊者可以檢測到兩個(gè)消息(明文)中的哪一個(gè)與給定密文相對(duì)應(yīng)的可能性?����,F(xiàn)在�����,CCA安全是標(biāo)準(zhǔn)要求����,因?yàn)闈M足較弱安全觀念的方案,例如����,所謂的“語義安全”(針對(duì)選擇明文攻擊的安全(CPA)),已經(jīng)被證明易受到特定類型的攻擊�。
[0004]存在很多有效的公鑰加密方案,但是多數(shù)需要使用某些種類的哈希函數(shù)�����,諸如抗沖突哈希函數(shù)或者密碼哈希函數(shù)。特別地�,CCA安全加密方案通常通過語義安全加密方案而獲得,該方案通過添加防止攻擊者在沒有檢測的情況下修改觀察到的密文的一致性檢查而實(shí)現(xiàn)���。最終的密文包含由明文消息的加密而產(chǎn)生的加密消息和使用哈希函數(shù)由加密消息生成的一致性檢查部分�����。密文的接收者可以認(rèn)證一致性部分對(duì)于加密消息正確,并且由此認(rèn)證加密消息(即�����,由發(fā)送者有效計(jì)算并且沒有被攻擊者修改)���。雖然這提供了 CCA安全的基礎(chǔ)�,但是這些方案中哈?��;蛘哳愃坪瘮?shù)的使用防止了對(duì)所產(chǎn)生的密文進(jìn)行特定證明�。特別地�����,在沒有實(shí)際展現(xiàn)輸入和輸出的情況下,無法提供這些函數(shù)的輸入與輸出之間的特定關(guān)系���。因此����,在沒有展現(xiàn)密文本身的情況下�,例如無法證明密文已經(jīng)被有效計(jì)算。這在高級(jí)安全協(xié)議中是重要的要求����,在高級(jí)安全協(xié)議中,必須進(jìn)行特定的證明�,同時(shí)保留高度私密等級(jí)。具體地��,某些協(xié)議要求用戶不展現(xiàn)密文而可以提供關(guān)于該密文的特定性質(zhì)的證據(jù)�����。例如�����,用戶可以僅需要證明其擁有有效計(jì)算的密文���,而不將密文展現(xiàn)給認(rèn)證方����。還可能需要附加的證明,例如�,在密文中加密的消息滿足特定要求,以免向認(rèn)證方展現(xiàn)該事實(shí)之外的其他事情��。
[0005] 在以下文獻(xiàn)中描述了基于哈希函數(shù)的CCA安全加密方案的示例:“A PracticalPublic Key Cryptosystem Provably Secure against Adaptive Chosen CiphertextAttack”�����,R.Cramer 和 V.Shoup, CRYPTO ' 98,13-25 頁��,Springer-Verlag, 1998 ;以及��,“Design and Analysis of Practical Public-Key Encryption Schemes Secureagainst Adaptive Chosen Ciphertext Attack��,�����,�,R.Cramer 和 V.Shoup, SIAM Journalon Computing, 33:167-226����,2001�。也描述了 Cramer-Shoup加密方案的無哈希變量�����。在該無哈希方案中��,通過如下來避免哈希:將密文中的某些部分(素?cái)?shù)階數(shù)組中的元素)作為比特序列來處理�����,將序列切分為比特塊�����,并且將切分的值作為數(shù)值取模素?cái)?shù)階來處理�,其繼而被饋送到特定函數(shù)求值?���;旧希撨^程建立了專用的哈希函數(shù)��,其將允許輸入與輸出之間的特定關(guān)系的證明�����,但是需要輸入與輸出二者都完全展現(xiàn)。這當(dāng)然會(huì)達(dá)到證明輸入與輸出之間的關(guān)系的目的��,因?yàn)槿绻叨歼M(jìn)行了展現(xiàn)��,可以很容易地對(duì)輸入的適當(dāng)函數(shù)進(jìn)行求值�,并且針對(duì)給定輸出檢查結(jié)果。線性Cramer-Shoup加密方案還在以下文獻(xiàn)中進(jìn)行了描述:“A Cramer-Shoup Encryption Scheme fromthe Linear Assumption andfrom Progressively Weaker Linear Variants��,�����,�,H.Shacham, 2007�����,Cryptology ePrintArchive, R印ort2007/074����。該方案的安全性基于決策性線性假設(shè)(DLIN),并且關(guān)鍵地依賴于哈希函數(shù)的使用�,并且再一次防止在不展現(xiàn)密文的情況下證明���。
[0006]在數(shù)字簽名領(lǐng)域,可以在不展現(xiàn)簽名的情況下向認(rèn)證方證明簽名的知識(shí)�。允許知識(shí)的此類證明的簽名方案可以實(shí)現(xiàn)為多種方式。一個(gè)示例在實(shí)現(xiàn)簽名方案中使用雙線性群����。該“結(jié)構(gòu)保留”簽名方案在以下文獻(xiàn)中進(jìn)行了討論:“Structure-PreservingSignatures and Commitments to Group Elements,���,���,Abe 等,CRYPTO 2010, LNCS6223�����,209-236 頁�,2010。
[0007]迄今為止�����,沒有可切實(shí)可行的加密方案,使得擁有密文和密文被有效計(jì)算的證明的用戶能夠在不展現(xiàn)此類有效計(jì)算的密文的情況下而向認(rèn)證方證明他擁有該密文�。
【發(fā)明內(nèi)容】
[0008]本發(fā)明的一個(gè)方面提供了一種用于在數(shù)據(jù)處理系統(tǒng)中在公鑰下加密秘密數(shù)據(jù)的公鑰加密方法。該方法包括:
[0009]提供作為消息的秘密數(shù)據(jù)����,消息包括滿足雙線性映射§:GlXG2 — Gt的基群對(duì)G1, G2的至少一個(gè)元素,其中Gt是目標(biāo)群���;
[0010]使用所述公鑰來加密消息��,以產(chǎn)生加密消息��;
[0011]使用加密消息和所述雙線性映射來生成一致性成分����,從而一致性成分允許在不展現(xiàn)加密消息的情況下對(duì)加密消息的驗(yàn)證�;以及
[0012]輸出包括加密消息和一致性成分的密文。
[0013]具體化本發(fā)明的公鑰加密方法使用雙線性映射��,來生成針對(duì)密文中的加密消息的一致性成分���。加密消息通過消息的公鑰加密來產(chǎn)生,該消息包括滿足雙線性映射到目標(biāo)群的基群對(duì)的一個(gè)或多個(gè)元素��。繼而,使用加密消息和雙線性映射來生成一致性成分�,從而所產(chǎn)生的一致性成分可以用于驗(yàn)證加密消息而不需要展現(xiàn)加密消息本身。這提供了高效加密方案的基礎(chǔ)���,該方案既是CCA安全的又允許對(duì)密文做出證明��,例如�,密文已經(jīng)被有效計(jì)算��,而不需要在證明中展現(xiàn)密文本身����。該方案由此可以視為“結(jié)構(gòu)保留加密方案”,其中��,術(shù)語“結(jié)構(gòu)保留”此處在特定結(jié)構(gòu)被構(gòu)造為允許進(jìn)行此類證明的整體密文中的情況下使用���。
[0014]通常�����,執(zhí)行具體化本發(fā)明的加密方法的數(shù)據(jù)處理系統(tǒng)可以包括一個(gè)或多個(gè)(本地化或者分布式)設(shè)備或者組件用于處理數(shù)據(jù)���,并且秘密數(shù)據(jù)可以包括要被保護(hù)避免未授權(quán)訪問的任何數(shù)據(jù)���。在一些實(shí)施方式中,將秘密數(shù)據(jù)提供為包括群元素的消息的步驟可以包括編碼步驟����,從而輸入用戶數(shù)據(jù)被編碼從而獲得包含表示用戶數(shù)據(jù)的群元素的消息。在其他實(shí)施方式中����,可以在系統(tǒng)中簡單地提供表示秘密數(shù)據(jù)的消息,例如���,存儲(chǔ)在系統(tǒng)存儲(chǔ)器中�,以用于在加密過程中使用���。在任何情況下����,消息通常包括基群G1, G2的一個(gè)或多個(gè)元素��,其中����,G1可以等于或者不等于G2。
[0015]可以使用除了加密消息和雙線性映射的一個(gè)或多個(gè)其他項(xiàng)目來生成一致性成分����,并且最終的密文可以包括一個(gè)或多個(gè)附加成分以及加密消息和一致性成分。雖然��,可以設(shè)想其中可以向驗(yàn)證方展現(xiàn)一致性成分以便驗(yàn)證(仍然秘密的)加密消息的場景���,但是在優(yōu)選實(shí)施方式中���,一致性成分允許在不展現(xiàn)一致性成分或者加密消息的情況下進(jìn)行加密消息的驗(yàn)證。這通過一致性成分中的雙線性映射是易于實(shí)現(xiàn)的�����。更一般地���,優(yōu)選的是����,可以在不展現(xiàn)密文的任何成分的情況下驗(yàn)證加密消息����,從而可以證明有效密文的擁有��,同時(shí)保持整個(gè)密文的私密性��。再一次����,通過使用雙線性映射��,可以按照這樣的方式生成一致性成分�����。
[0016]可以按照任何方便的方式使用公鑰來加密消息��,以產(chǎn)生將要被包括在密文中的加密消息��。在下文詳述的優(yōu)選實(shí)施方式中��,加密消息包括基群對(duì)的至少一個(gè)元素����,并且通過向加密消息應(yīng)用雙線性映射來生成一致性成分。然而�,如已經(jīng)指示的,在生成一致性成分時(shí)可以使用其他項(xiàng)目���。例如�,具體化本發(fā)明的方法通常將包括步驟:生成隨機(jī)成分,該隨機(jī)成分繼而在產(chǎn)生最終密文時(shí)使用�。特別地��,可以使用該隨機(jī)成分來生成一致性成分���。這樣的隨機(jī)成分可以包括基群對(duì)G1, G2的至少一個(gè)元素���,并且一致性成分的生成可以包括向隨機(jī)成分應(yīng)用雙線性映射。隨機(jī)成分繼而可以被包括作為最終輸出密文的成分�����。
[0017]出于加密方案的使用相關(guān)的實(shí)踐原因��,要被加密的消息可以與標(biāo)簽相關(guān)聯(lián)���。標(biāo)簽的使用在加密應(yīng)用中是已知的�,例如用于允許具體上下文信息與業(yè)務(wù)相關(guān)聯(lián)����。在下文描述的優(yōu)選加密方法中���,在生成相應(yīng)的一致性成分時(shí)使用與給定消息相關(guān)聯(lián)的標(biāo)簽。更具體地����,這樣的標(biāo)簽與基群對(duì)G1, G2的至少一個(gè)元素相對(duì)應(yīng),并且一致性成分的生成包括向與標(biāo)簽相對(duì)應(yīng)的元素應(yīng)用雙線性映射。
[0018]由具體化本發(fā)明的加密方法產(chǎn)生的密文可以向存儲(chǔ)器輸出��,并且存儲(chǔ)用于隨后的證明協(xié)議�����。備選地�,例如,密文可以發(fā)送至遠(yuǎn)程方��,該遠(yuǎn)程方繼而可以在證明協(xié)議中使用密文�����,同時(shí)保持密文的私密性�����。例如,可以經(jīng)由數(shù)據(jù)通信信道向另一設(shè)備發(fā)送密文��,在該另一設(shè)備中�,密文最終在證明協(xié)議中使用。在任何情況下�,具體化本發(fā)明的方法可以包括步驟:執(zhí)行加密消息的知識(shí)的加密證明,并且使用一致性成分用于加密消息的驗(yàn)證�。這樣的證明通常可以通過理想化地不在該過程中展現(xiàn)一致性成分�,按照各種方式使用一致性成分用于驗(yàn)證�����。因此�����,優(yōu)選的方法執(zhí)行加密消息和驗(yàn)證加密消息的一致性成分二者的知識(shí)的加密證明�����。本發(fā)明還提供了用于提供密文的知識(shí)的方法�,包括:接收通過根據(jù)本發(fā)明的第一方面的方法產(chǎn)生的密文,執(zhí)行加密消息的知識(shí)的加密證明����,并且使用一致性成分用于加密消息的驗(yàn)證���。
[0019]本發(fā)明的另一方面提供了一種計(jì)算機(jī)程序,包括用于使得計(jì)算機(jī)執(zhí)行根據(jù)本發(fā)明的前述方面的方法的程序代碼裝置��?��?梢岳斫?,術(shù)語“計(jì)算機(jī)”在一般的意義上使用��,并且包括具有用于實(shí)現(xiàn)計(jì)算機(jī)程序的數(shù)據(jù)處理能力的任何設(shè)備��、組件或者系統(tǒng)�,并且由此可以包括單個(gè)設(shè)備或者設(shè)備的分布式系統(tǒng)的一個(gè)或多個(gè)處理器。另外��,具體化本發(fā)明的計(jì)算機(jī)程序可以構(gòu)成獨(dú)立的程序或者程序集�,或者可以是較大的程序或者程序集的一部分,并且例如可以提供為在計(jì)算機(jī)可讀介質(zhì)中實(shí)現(xiàn)�����,計(jì)算機(jī)可讀介質(zhì)諸如磁盤或者用于在計(jì)算機(jī)中加載的電子傳輸���。計(jì)算機(jī)程序的程序代碼裝置可以包括指令集的任何語言�、代碼或者記法的任何表示,指令集用于使得計(jì)算機(jī)�,直接地、或者在執(zhí)行以下中的一種或者二者之后�����,執(zhí)行所考慮的方法(a)轉(zhuǎn)換為另一語言�����、代碼或者注釋和(b)在不同的材料形式中再現(xiàn)���。
[0020]本發(fā)明的又一方面提供了用于在公鑰下加密秘密數(shù)據(jù)的裝置。該裝置包括:存儲(chǔ)器�,用于將秘密數(shù)據(jù)存儲(chǔ)為消息,該消息包括滿足雙線性映射g:GlXG2 — Gt的基群對(duì)G1, G2的至少一個(gè)元素���,其中Gt是目標(biāo)群�;以及控制邏輯��,適于:
[0021]使用所述公鑰來加密消息以產(chǎn)生加密消息�;
[0022]使用加密消息和所述雙線性映射來生成一致性成分,從而一致性成分允許在不展現(xiàn)加密消息的情況下對(duì)加密消息的驗(yàn)證;以及
[0023]輸出包括加密消息和一致性成分的密文�。
[0024]一般地,在此參考本發(fā)明的一個(gè)方面的實(shí)施方式描述了本發(fā)明的特征���,相應(yīng)的特征可以在本發(fā)明的另一方面的實(shí)施方式中提供�。
【專利附圖】
【附圖說明】
[0025]現(xiàn)在將通過示例的方式參考附圖描述本發(fā)明的優(yōu)選實(shí)施方式�,在附圖中:
[0026]圖1是用于實(shí)現(xiàn)具體化本發(fā)明的方法的示例性數(shù)據(jù)處理系統(tǒng)的示意圖;
[0027]圖2示出了由實(shí)現(xiàn)具體化本發(fā)明的加密/解密過程的系統(tǒng)設(shè)備執(zhí)行的步驟����;以及
[0028]圖3示出了具體化本發(fā)明的示例性加密應(yīng)用中的系統(tǒng)設(shè)備之間的交互。
【具體實(shí)施方式】
[0029]圖1是示出要描述的基于加密的技術(shù)的操作中涉及的主要組件的數(shù)據(jù)處理系統(tǒng)的簡化示意圖�����。出于本說明書的目的����,考慮示例性系統(tǒng)1,其包括三方PU P2和P3���,分別由附圖中相應(yīng)計(jì)算機(jī)2��、3和4表示���。計(jì)算機(jī)2實(shí)現(xiàn)了具體化要描述的示例中的用于加密秘密數(shù)據(jù)的本發(fā)明的加密裝置���。計(jì)算機(jī)2包括控制邏輯6,用于一般地控制計(jì)算機(jī)的操作并且實(shí)現(xiàn)加密過程的關(guān)鍵步驟�����。計(jì)算機(jī)2還包括用于存儲(chǔ)加密過程中使用的數(shù)據(jù)的存儲(chǔ)器6和通信接口 7��。計(jì)算機(jī)3包括用于控制計(jì)算機(jī)3���、存儲(chǔ)器9和通信接口 10的操作的控制邏輯
8��?�?刂七壿?包括用于在下文描述的場景中加密從計(jì)算機(jī)2接收的消息的功能?�?刂七壿?還包括在下文描述的另一場景中用于實(shí)現(xiàn)與認(rèn)證方的證明協(xié)議的功能�����,認(rèn)證方此處由計(jì)算機(jī)4表示���。特別地��,控制邏輯8可以在將要描述的場景中實(shí)現(xiàn)與認(rèn)證方4的零知識(shí)證明(ZKP)協(xié)議�����。認(rèn)證方計(jì)算機(jī)4具有控制邏輯11�����,用于一般地控制計(jì)算機(jī)��,并且包括用于認(rèn)證由計(jì)算機(jī)3做出的證明的功能���。認(rèn)證方計(jì)算機(jī)還包括在這些過程中使用的存儲(chǔ)器12以及通信接口 13�����。
[0030]在系統(tǒng)I的操作中���,計(jì)算機(jī)2、3和4可以經(jīng)由其相應(yīng)的通信接口通過數(shù)據(jù)通信網(wǎng)絡(luò)15進(jìn)行通信(其中�����,網(wǎng)絡(luò)15實(shí)際上可以包括多個(gè)組成網(wǎng)絡(luò)和/或互聯(lián)網(wǎng))。這些計(jì)算機(jī)的控制邏輯5���、8�����、11配置用于實(shí)現(xiàn)下文描述的加密過程的適當(dāng)步驟�����。通常����,該控制邏輯可以在硬件或者軟件或者其組合中實(shí)現(xiàn)�����,并且實(shí)現(xiàn)各方Pl至P3的設(shè)備的精確形式在很大程度上與描述的過程的基本操作部相關(guān)����。然而����,在該特定示例中����,假設(shè)這些設(shè)備由通用計(jì)算機(jī)實(shí)現(xiàn)���,并且控制邏輯5��、8和11由相應(yīng)的計(jì)算機(jī)程序?qū)崿F(xiàn)�,這些相應(yīng)的計(jì)算機(jī)程序?qū)⒅鳈C(jī)配置用于執(zhí)行所描述的功能���。通過此處的描述�����,適當(dāng)?shù)能浖?duì)本領(lǐng)域技術(shù)人員易見���。
[0031]首先,將在直接的通信操作的上下文中描述具體化本發(fā)明的加密方案�,從而,充當(dāng)“發(fā)送者”的一方Pl需要向“接收者” 一方P2發(fā)送消息��,同時(shí)保持所考慮的數(shù)據(jù)的私密性���。該操作中的關(guān)鍵步驟在圖2中示出�����。由發(fā)送者計(jì)算機(jī)2執(zhí)行的步驟在該圖的左側(cè)示出��,并且由接收者計(jì)算機(jī)3執(zhí)行的步驟在右側(cè)示出���。該操作使用與接收者3相關(guān)聯(lián)的秘鑰對(duì)(sk����,pk)�。兩個(gè)秘鑰對(duì)接收者3都是已知的,并且在接收者存儲(chǔ)器9中保持�����。秘鑰pk是公鑰�,其在系統(tǒng)I中由接收者3公布。該秘鑰因此可以被發(fā)送者2訪問����,并且存儲(chǔ)在發(fā)送者存儲(chǔ)器6中。秘鑰sk是私鑰�,并且對(duì)接收者3保持是秘密的。
[0032]在消息收發(fā)操作的第一步驟即步驟(a)中,發(fā)送者2的加密邏輯5構(gòu)造要被傳送的包括秘密數(shù)據(jù)的消息m�。在該步驟中���,秘密數(shù)據(jù)由一對(duì)代數(shù)群的一個(gè)或者多個(gè)元素表示��,下文將進(jìn)一步描述����。在適當(dāng)?shù)臅r(shí)候�,該步驟可以包括任何方便的編碼過程,用以將秘密數(shù)據(jù)編碼為群元素��。在任何情況下���,所產(chǎn)生的(一個(gè)或多個(gè)群元素)集合作為消息m存儲(chǔ)在存儲(chǔ)器6中���。在過程的步驟(b)中,發(fā)送者計(jì)算機(jī)2的加密邏輯5使用接收者的公鑰pk對(duì)消息m進(jìn)行加密���,從而產(chǎn)生加密消息C�。加密過程下文詳述�。接下來,在步驟(c)中,加密邏輯生成用于加密消息的一致性成分V�����。如下文詳述�,使用加密消息c和與從其構(gòu)造消息m的代數(shù)群相關(guān)聯(lián)的雙線性映射來生成一致性成分。包括加密消息c和其認(rèn)證成分V 二者的密文ct形成邏輯5的加密過程的輸出���。在步驟(d)中�,經(jīng)由發(fā)送者計(jì)算機(jī)2的通信接口 7通過網(wǎng)絡(luò)15向接收者計(jì)算機(jī)3發(fā)送密文ct����。密文由計(jì)算機(jī)3經(jīng)由其通信接口 10接收,并且存儲(chǔ)在存儲(chǔ)器9中���。繼而在步驟(e)中�����,接收機(jī)3的解密邏輯8確定密文是否有效���。特別地,解密邏輯8確定一致性成分V對(duì)于密文中的加密消息c是否正確(即�����,是否與其一致)。以下給出該過程的細(xì)節(jié)����。如果一致 性成分被確定為正確����,則確認(rèn)了加密消息有效,即����,其已經(jīng)被發(fā)送者有效計(jì)算,并且經(jīng)過網(wǎng)絡(luò)15時(shí)沒有被篡改���。假設(shè)步驟(e)中密文被驗(yàn)證����,則解密邏輯8進(jìn)行到步驟(f)��,使用其私鑰sk來解密加密消息C��。解密過程恢復(fù)原始消息m�,并且從而恢復(fù)由發(fā)送者2發(fā)送的秘密數(shù)據(jù)。(需要注意,初始用于將數(shù)據(jù)編碼為消息元素的任何編碼方案將是發(fā)送者和接收者公知的���,從而在需要的情況下��,可以由邏輯8執(zhí)行將消息元素解碼為用戶數(shù)據(jù))�。
[0033]在下文中�����,將描述以上加密方案的特定優(yōu)選實(shí)現(xiàn)�����,包括基礎(chǔ)的加密過程的細(xì)節(jié)����。
[0034]出于該方案的目的,消息m至少包括一對(duì)基群G1, G2的至少一個(gè)兀素,該一對(duì)基群61�,62滿足雙線性映射§:61成2 — 61,其中�����,Gt是目標(biāo)群����。為了簡化該示例����,GjPG2取相同群���,由G表示��。特別地��,G和Gt表示素?cái)?shù)階q的群,其具有非退化���、有效可計(jì)算雙線性映射e:GxG — Gto
[0035]所描述的方案在決策性線性假設(shè)(DLIN)下是安全的���。這一假設(shè)是本領(lǐng)域公知的,并且可以表示如下:使得G為素?cái)?shù)階q的群����;gl,g2�����,g3 —G;并且r,s�����,t — Z,���。以下兩種分布是
計(jì)算上不可區(qū)分的:(G,龜歲2St f^2 f Mg r Mt-'Si£3 )�����。[0036]為了簡化該示例���,方案將被描述為加密作為G中的單個(gè)群元素的消息m。該方案還支持標(biāo)簽���。特別地�,消息m被視作與基群對(duì)G1, G2 (此處是相同的群G)的至少一個(gè)元素相對(duì)應(yīng)的標(biāo)簽相關(guān)聯(lián)����。標(biāo)簽的使用在加密領(lǐng)域中是公知的,并且在此不需要詳細(xì)討論�����。可以理解�,標(biāo)簽允許附加信息與消息相關(guān)聯(lián)。例如���,標(biāo)簽可以用于將上下文信息附接到業(yè)務(wù)上��,從而允許包括相同消息m的不同業(yè)務(wù)能夠通過使用每個(gè)業(yè)務(wù)中的不同標(biāo)簽而區(qū)分開�����。為了簡化該示例�,假設(shè)標(biāo)簽L是基群對(duì)中(并且從而此處在單個(gè)群G中)的單個(gè)群元素����。
[0037]要在該方案中使用的秘鑰對(duì)(sk���,pk)生成如下:
[0038]KeyGen(1-):選擇隨機(jī)群生成器g����,
【權(quán)利要求】
1.一種用于在數(shù)據(jù)處理系統(tǒng)(I)中在公鑰下加密秘密數(shù)據(jù)的公鑰加密方法����,所述方法包括: 提供作為消息(m)的所述秘密數(shù)據(jù)��,所述消息(m)包括滿足雙線性映射LG1XG2 — Gt的基群對(duì)G1, G2的至少一個(gè)元素��,其中Gt是目標(biāo)群���; 使用所述公鑰來加密所述消息(m),以產(chǎn)生加密消息(c)���; 使用所述加密消息(c)和所述雙線性映射來生成一致性成分(V)�,從而所述一致性成分(V)允許在不展現(xiàn)所述加密消息的情況下對(duì)所述加密消息的驗(yàn)證�;以及輸出包括所述加密消息(c)和所述一致性成分(V)的密文(ct)。
2.根據(jù)權(quán)利要求1所述的方法���,其中����,所述一致性成分(V)以這樣的方式生成�,以使得允許在不展現(xiàn)所述一致性成分(V)的情況下對(duì)所述加密消息(c)的驗(yàn)證。
3. 根據(jù)權(quán)利要求1或2所述的方法��,其中���,所述加密消息(c)包括所述基群對(duì)的至少一個(gè)元素�����,并且其中�����,所述一致性成分(V)通過向所述加密消息(C)應(yīng)用所述雙線性映射而生成�����。
4.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法�,所述一致性成分(V)包括所述目標(biāo)群的至少一個(gè)元素。
5.根據(jù)權(quán)利要求1至3中任一項(xiàng)所述的方法���,其中���,所述一致性成分(V)包括來自相應(yīng)基群的至少一對(duì)元素���。
6.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法�����,包括:生成隨機(jī)成分��,并且使用所述隨機(jī)成分來生成所述一致性成分(V)���,其中��,所述密文(ct)包括所述隨機(jī)成分��。
7.根據(jù)權(quán)利要求6所述的方法���,其中,所述隨機(jī)成分包括所述基群對(duì)的至少一個(gè)元素���,并且其中�,所述一致性成分(V)的生成包括向所述隨機(jī)成分應(yīng)用所述雙線性映射���。
8.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法�,其中����,所述一致性成分(V)以這樣的方式生成,以使得允許在不展現(xiàn)所述密文(ct)的情況下對(duì)所述加密消息(C)的驗(yàn)證��。
9.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法,其中�,所述消息(m)與對(duì)應(yīng)于所述基群對(duì)的至少一個(gè)元素的標(biāo)簽相關(guān)聯(lián),所述方法包括使用與所述標(biāo)簽相對(duì)應(yīng)的所述至少一個(gè)元素來生成所述一致性成分(V)��。
10.根據(jù)權(quán)利要求9所述的方法���,其中��,所述一致性成分(V)的生成包括:向與所述標(biāo)簽相對(duì)應(yīng)的所述至少一個(gè)元素應(yīng)用所述雙線性映射�。
11.根據(jù)前述權(quán)利要求中任一項(xiàng)所述的方法��,包括:執(zhí)行所述加密消息(C)的知識(shí)的加密證明����,并且使用所述一致性成分(V)用于所述加密消息的驗(yàn)證。
12.—種用于提供密文的知識(shí)的方法����,所述方法包括: 接收通過權(quán)利要求1至10中任一項(xiàng)所述的方法所產(chǎn)生的密文(ct);以及執(zhí)行所述加密消息(C)的知識(shí)的加密證明,并且使用所述一致性成分(V)用于所述加密消息的驗(yàn)證�。
13.根據(jù)權(quán)利要求11或12所述的方法,包括:執(zhí)行所述加密消息(c)和驗(yàn)證所述加密消息的一致性成分(V) 二者的知識(shí)的加密證明����。
14.一種計(jì)算機(jī)程序,包括用于使得計(jì)算機(jī)執(zhí)行任何前述權(quán)利要求的方法的程序代碼>J-U裝直�。
15.一種用于在公鑰下加密秘密數(shù)據(jù)的裝置(2),所述裝置包括:用于將所述秘密數(shù)據(jù)存儲(chǔ)為消息(m)的存儲(chǔ)器(6)�,所述消息(m)包括滿足雙線性映射LG1XG2 — Gt的基群對(duì)G1, G2的至少一個(gè)元素,其中Gt是目標(biāo)群����;以及,控制邏輯(5)��,適于: 使用所述公鑰來加密所述消息(m)以產(chǎn)生加密消息(c)�����; 使用所述加密消息(c)和所述雙線性映射來生成一致性成分(V)�,從而所述一致性成分(V)允許在不展現(xiàn)所述加密消息的情況下對(duì)所述加密消息的驗(yàn)證;以及輸出包括所述加密消息(c)和所述一致性成分(V)的密文(ct)�����。
【文檔編號(hào)】H04L9/32GK103493428SQ201280018931
【公開日】2014年1月1日 申請日期:2012年4月13日 優(yōu)先權(quán)日:2011年4月29日
【發(fā)明者】J·L·卡梅尼施, K·哈拉蘭比夫 申請人:國際商業(yè)機(jī)器公司