環(huán)lwe上ntru型的全同態(tài)加密方法
【專利摘要】本發(fā)明公開了一種環(huán)LWE上NTRU型的全同態(tài)加密方法�,經(jīng)過定義參數(shù);進行一個部分同態(tài)的加密過程����;進行無需啟動的全同態(tài)加密過程等步驟。通過密鑰交換和模交換技術��,在加密過程中運用加法加密和乘法加密�����,輸出密文的噪音小于輸入密文的噪音�����,起到了更新密文的作用�,但其實現(xiàn)的效率要由于啟動的過程���,從而實現(xiàn)了無需啟動的全同態(tài)加密方法,加密效率高����,獲得的密文也較短。
【專利說明】環(huán)LWE上NTRU型的全同態(tài)加密方法
【技術領域】
[0001]本發(fā)明涉及加密方法領域��,具體地講是一種環(huán)LWE上NTRU型的全同態(tài)加密方法�����?���!颈尘凹夹g】
[0002]全同態(tài)加密能夠在不知道密鑰的情況下�,對密文進行任意函數(shù)的計算,這一特殊性質使得全同態(tài)加密有廣泛的應用需求����,例如;云計算安全�、數(shù)據(jù)庫密文搜索、安全多方計算����、密文數(shù)據(jù)可編程系統(tǒng)等等�����。在云計算環(huán)境下應用全同態(tài)加密���,用戶可以將加密后的數(shù)據(jù)外包給云端,然后云端可以根據(jù)用戶的請求(例如查詢��、統(tǒng)計等)����,做相應的計算(是對密文進行的,一般形式的加密是不能對密文進行計算的��,只有全同態(tài)加密才可以)��,再將結果返回給用戶��,用戶解密后就可以得到想要的結果�����。用戶因為自己的數(shù)據(jù)被加密而沒有暴露給云端�,其數(shù)據(jù)隱私安全性得到了保障�����,云端因為無需解密就可以對密文做任意運算處理���,從而實現(xiàn)了云計算的安全。全同態(tài)加密研究受到學術界和工業(yè)界的極大關注�,具有重要的科學意義與應用價值。
[0003]全同態(tài)加密早在1978年就由Rivest, Adleman和Dertouzos提出��,之后就成為密碼學界的一個開放難題��,被譽為密碼學界的“圣杯”����。隨后相繼產(chǎn)生過許多同態(tài)加密方案,這些方案要么是滿足加法同態(tài)���,要么是滿足乘法同態(tài),還有一些能夠同時滿足有限次加法與乘法的同態(tài)方案�,但是沒有一個是全同態(tài)的(全同態(tài)的“全”指的是能夠對任意函數(shù)進行計算)。直到2009年Gentry突破性的構造出第一個全同態(tài)加密方案�。Gentry是在電路計算模型下,基于理想格構造全同態(tài)加密方案的���。盡管全同態(tài)加密方案實現(xiàn)了�,但是Gentry的方案有兩個缺陷:第一是效率差(漸進復雜度約為δλ 6),其中λ是安全參數(shù))�����;第二是構造方案的過程中所依賴的兩個假設(循環(huán)安全問題和稀疏子集和問題)沒有被人們深入的研究過����。所以Gentry的方案就像是一塊帶有瑕疵的白玉,盡管具有突破性的意義��,但也存在一些問題���。
[0004]Gentry的構造方法分為三步:第一步,構造一個Somewhat同態(tài)加密方案���,即只能執(zhí)行有限次乘法與加法計算;第二步��,壓縮解密電路���,即簡化解密電路����,使得解密電路的深度小于Somewhat同態(tài)方案所能執(zhí)行的電路深度;第三步���,啟動方案�,即每次密文計算后����,對密文同態(tài)執(zhí)行解密電路,似的所得密文的噪音始終保持在一個固定的大小上�����,相當于降噪�。
[0005]第一代全同態(tài)加密方案遵循Gentry最初的構造方法。第二代全同態(tài)加密方案基于LWE問題或RLWE問題�,構造形式更加簡單。尤其是在BGV方案中���,引入了一個有效的噪音管理技術:模交換技術���,使得無需啟動就能夠約減密文的噪音。其原理是每次密文乘積后����,對密文向量乘以一個比例因子進行縮小。使用模交換技術可以獲得指數(shù)級乘法層數(shù)的噪音的提高�,與密鑰交換技術結合,可以獲得無需啟動的層次型全同態(tài)加密方案���。
[0006]NTRU加密方案是最早的加密方案之一��,而且以高效著稱�,因此構造NTRU上的全同態(tài)加密方案非常有意義�,現(xiàn)有技術沒有基于NTRU上的全同態(tài)加密方案?;谝陨蠈τ谌瑧B(tài)加密方法的分析,現(xiàn)有技術的全同態(tài)加密方法也還存在加密效率差���,密文太長的缺陷���。
【發(fā)明內容】
[0007]本發(fā)明要解決的技術問題是,提供一種加密效率高�、密文較短的環(huán)LWE上NTRU型的全同態(tài)加密方法。
[0008]本發(fā)明的技術解決方案是�,提供以下步驟的環(huán)LWE上NTRU型的全同態(tài)加密方法,包括以下步驟:
[0009]一����、定義參數(shù):[0026](四)解密���;假設密文c是在第j層電路,對應的密鑰&對私鑰sk進行解密得到明文m�����,
[0027](五)加法過程:假設Cl�����、C2的解密密鑰是fj;即在同一層電路�����,若不在同一層電路可以進行密鑰交換���;令Q 一 Q + 七���,C3的密鑰是&,將C3的密鑰設為即f'」再通過約減密文噪音的方法���,得出新的密文C4 ��;
[0028](六)乘法過程:假設Cl���、C2的解密密鑰是fj;即在同一層電路,若不在同一層電路可以進行密鑰交換�;令O— Q 3的密鑰是//=/,再通過約減密文噪音的方法�,得出新的密文C4。
[0029]采用本發(fā)明的方法����,與現(xiàn)有技術相比,本發(fā)明具有以下優(yōu)點:本發(fā)明通過密鑰交換和模交換技術�,在加密過程中運用加法加密和乘法加密,輸出密文的噪音小于輸入密文的噪音�����,起到了更新密文的作用�����,但其實現(xiàn)的效率要由于啟動的過程���,從而實現(xiàn)了無需啟動的全同態(tài)加密方法����,加密效率高,獲得的密文也較短����。
[0030]作為改進,所述的約減密文噪音的方法包含兩步:第一步是密鑰交換,將密文轉換成下一層電路的密文���,密鑰由f轉變成&+1�,C1對應的密鑰是&+1�,對應的模是qp第二步進行模交換,約減密文的噪音�,C2對應的密鑰是4+1,對應的模是;fJ+1取值較小��,選取自高斯分布X����,從而保證了模交換的有效性。
[0031]作為改進����,所述的密鑰交換包含兩個過程:第一個過程是輸入兩個密鑰和模,輸出輔助信息以保證交換���;第二個過程是輸入輔助信息和初始密文��,輸出一個新密文����,初始密文和新密文是對同一明文的加密。
【具體實施方式】
[0032]下面就具體實施例對本發(fā)明作進一步說明�。
[0033]本發(fā)明的環(huán)LWE上NTRU型的全同態(tài)加密方法�����,包括以下步驟:
[0034]一���、定義參數(shù):
[0035]對于整數(shù)q��,定義4 = (-q/2,q/2] η 2��,加密是在fl = ?[χ]/φ(χ)β? Rq = R/qR 上進行的����,其中Φ(χ) = X η+1是分圓多項式�,η是2的冪次方,q是素數(shù)且qe 2;
[0036]若多項式f e R且滿足I I f I I A B,則稱f是B邊界的�����;
[0037]{ xn} (n e N)是一個R上的分布集合,若對于任意f 一 Xn都有I |f| I ?≤B���,則稱{ X n}是B邊界分布�����,即一個R上的B邊界分布輸出一個B邊界多項式����;
[0038]高斯分WDzv具有以下性質:對于沒e M���,任意實數(shù)r > W(Vf1-1),有:
;環(huán)尺=上元素的乘積有如下性質: IIsiIIitIi, ||s.t (mod φ(χ))||00 < η * Moa.HtHco; χ 是 R
上的B邊界分布�,且S1,…Sk— X�����,則有ΣΙ Si是I^1Bk邊界的�;
[0040]二、進行一個部分同態(tài)的加密過程����;
[0041](一 )參數(shù)建立:選擇μ位模q,以及η = ( λ�,μ )和高斯分布X = χ ( λ��,μ )����,使得這些參數(shù)能夠保障在環(huán)LWE上獲得2λ安全;令只=Z[x]/(xre + 1)����,參數(shù)params = (q,η, χ );
[0042]( 二 )密鑰的生成:選取f ’ 一 χ��,計算f — 2f ’ +1使得f = I (mod2);若f?在Rq中是不可逆的���,則重新選取f’,設置私鑰sk = f e R ;
[0043](三)公鑰的生成:選取g— X�����,設置公鑰pk = h = 2grJ e Rq �;
[0044](四)加密:選取s,e— χ���,輸出密文c — hs+2e+m e Rq,即使公鑰加一位信息m得到密文c �����;
[0045](五)解密:計算μ — fc e Rq ;輸出 m — μ mod2 �;
[0046]由于 fc = fhs+2fe+fm = 2gs+2fe+fm,若 I |fc| | ?< q/2,則 μ = fc, μ (mod2)=fm(mod2) = m,所以只要滿足I |fc| | ?< q/2,則上述步驟正確;
[0047]三����、進行無需啟動的全同態(tài)加密過程;
[0048](一)參數(shù)建立:L是電路的層數(shù)��,令 μ = μ ( λ , L) = Θ (log λ +1gL),對j = 0���,…���,L,獲得遞減的模序列%�,…,%����,每一層使用相同的高斯分布χ和環(huán)R = Z[x]/(xn + I),參數(shù) params」={q」����,入�,x��,n} (j = O,…�,L);
[0049](二)密鑰公鑰的生成:以步驟二的第二步的方法生成密鑰fj;以步驟二的第三步的方法生成公鑰比Λ--卜乃2 e 士/�,對//和fj+1進行密鑰交換,令密鑰sk包括公鑰Pk包含hj和�����,其中j = 0����,...,L����,當j = L時沒有ζ�����,電路每一層有相應的公鑰與私鑰三元組(%��,fp’
[0050](三)加密:對公鑰pk加一位信息m進行加密��;
[0051](四)解密;假設密文c是在第j層電路�,對應的密鑰f」,對私鑰sk進行解密得到明文m�����,
[0052](五)加法過程:假設C1��、C2的解密密鑰是f」����,即在同一層電路,若不在同一層電路可以進行密鑰交換 '奶一 q + Q e Rqj} C3的密鑰是fj����,將C3的密鑰設為j2即f,再通過約減密文噪音的方法����,得出新的密文C4 ;
[0053](六)乘法過程:假設Cl����、C2的解密密鑰是fj;即在同一層電路,若不在同一層電路可以進行密鑰交換;令.C1 3的密鑰是//=石2�����,再通過約減密文噪音的方法��,得出新的密文C4����。
[0054]所述的約減密文噪音的方法包含兩步:第一步是密鑰交換,將密文轉換成下一層電路的密文���,密鑰由轉變成Gpf1對應的密鑰是4+1,對應的模是qp第二步進行模交換��,約減密文的噪音����,f2對應的密鑰是4+1��,對應的模是;fJ+1取值較小����,選取自高斯分布X����,從而保證了模交換的有效性�����。
[0055]所述的密鑰交換包含兩個過程:第一個過程是輸入兩個密鑰和模,輸出輔助信息以保證交換�;第二個過程是輸入輔助信息和初始密文���,輸出一個新密文���,初始密文和新密文是對同一明文的加密�。
[0056]以上僅就本發(fā)明較佳的實施例作了說明��,但不能理解為是對權利要求的限制����。本發(fā)明不僅局限于以上實施例�,其具體結構允許有變化��。總之���,凡在本發(fā)明獨立權利要求的保護范圍內所作的各種變化均在本發(fā)明的保護范圍內���。
【權利要求】
1.一種環(huán)LWE上NTRU型的全同態(tài)加密方法��,其特征在于:包括以下步驟: 一、定義參數(shù): 對于整數(shù)q�����,定義
2.根據(jù)權利要求1所述的環(huán)LWE上NTRU型的全同態(tài)加密方法,其特征在于:所述的約減密文噪音的方法包含兩步:第一步是密鑰交換�,將密文轉換成下一層電路的密文����,密鑰由 轉變成4+1,C1對應的密鑰是4+1�,對應的模是qp第二步進行模交換���,約減密文的噪音��,C2對應的密鑰是4+1��,對應的模是qj+1 ;fJ+1取值較小��,選取自高斯分布X�。
3.根據(jù)權利要求2所述的環(huán)LWE上NTRU型的全同態(tài)加密方法�����,其特征在于:所述的密鑰交換包含兩個過程:第一個過程是輸入兩個密鑰和模��,輸出輔助信息以保證交換;第二個過程是輸入輔助信息和初始密文��,輸出一個新密文���,初始密文和新密文是對同一明文的加密。
【文檔編號】H04L9/32GK103475472SQ201310322018
【公開日】2013年12月25日 申請日期:2013年7月22日 優(yōu)先權日:2013年7月22日
【發(fā)明者】陳智罡, 潘鐵軍, 奚李峰, 金冉, 宋新霞 申請人:浙江萬里學院