本發(fā)明涉及信息安全技術(shù)領(lǐng)域�,具體涉及一種改進的格上基于身份的全同態(tài)加密方法���,該方法支持云環(huán)境下的隱私信息檢索和密文計算,可用于保護云端數(shù)據(jù)和用戶隱私����。
背景技術(shù):
近幾年,云計算受到廣泛關(guān)注���,而它在實現(xiàn)中遇到的問題之一就是如何保證數(shù)據(jù)的私密性�,全同態(tài)加密可以很好地解決這個技術(shù)難題�。利用同態(tài)加密來保護數(shù)據(jù)的私密性,這個概念最早由R.Rivest等人于1978年提出����。直到2009年,IBM研究員C.Gentry基于理想格提出第一個全同態(tài)加密方案��,此后�����,具備類似功能的密碼方案的設(shè)計成為密碼學(xué)研究領(lǐng)域的熱點��。
全同態(tài)加密作為公鑰加密的一種���,需要考慮在云環(huán)境和安全多方計算中身份認(rèn)證的問題�����,一般方法是引入公鑰證書�����,但同時�����,證書中心的存在也為整個密碼系統(tǒng)帶來存儲�、計算��、通信與管理等方面的額外開銷�,而且已有的全同態(tài)加密體制普遍存在公鑰尺寸過大的問題,因此與證書相關(guān)的開銷將嚴(yán)重影響全同態(tài)加密體制在實際應(yīng)用中的效率�。雖然近幾年該體制的計算效率得到更進一步的優(yōu)化,但對于公鑰尺寸過大的問題�����,目前仍無根本的解決方案����。
基于身份加密體制(IBE,Identity-based Encryption)使用用戶的唯一身份標(biāo)識(如手機號碼���,郵箱地址等)作為公鑰,用戶的私鑰由可信第三方私鑰生成中心(KGC,Key Generation Center)利用系統(tǒng)主私鑰生成�,因此無需公鑰證書,所以IBE體制消除了與證書有關(guān)的計算和存儲�����,可以更有效的管理密鑰��,減小密鑰尺寸���。因此��,研究者們開始研究如何將基于身份加密的思想與全同態(tài)加密相結(jié)合�。然而��,以往的基于身份的全同態(tài)加密(IBFHE,Identity-based Fully Homomorphic Encryption)方案都需要借助運算密鑰來實現(xiàn)����,并非真正意義上的IBFHE方案�。
2013年C.Gentry等人利用特征向量的方法構(gòu)造出一個新型的全同態(tài)加密方案��,并提出一個轉(zhuǎn)化機制��,滿足相應(yīng)轉(zhuǎn)化條件的格上IBE方案可轉(zhuǎn)化為格上IBFHE方案��,轉(zhuǎn)化后的方案成功的消除了運算密鑰�,實現(xiàn)了真正意義上的IBFHE方案���。因此���,在構(gòu)造格上IBFHE方案之前需要先構(gòu)造一個能夠滿足轉(zhuǎn)化條件的格上IBE方案。
然而����,現(xiàn)有的大多格上IBE方案在原像采樣過程方面,原像采樣算法復(fù)雜度過高�����,需要執(zhí)行高精度實數(shù)的正交化迭代運算��;在陷門生成方面��,陷門生成算法復(fù)雜度過高���、運行時間過長��,輸出“質(zhì)量”(指陷門的Gram-Schimt正交范數(shù)的最大值)不理想���,不能夠滿足實際應(yīng)用�����。為使格上IBFHE更具有實際應(yīng)用可行性���,必須解決陷門生成過程低效和原像采樣過程復(fù)雜的問題。
技術(shù)實現(xiàn)要素:
本發(fā)明的目的是克服現(xiàn)有技術(shù)的不足�����,提供一種改進的格上基于身份的全同態(tài)加密方法�����,首先將新型陷門函數(shù)與對偶LWE算法相結(jié)合��,構(gòu)造出格上IBE方案���,然后利用特征向量的思想將格上IBE方案轉(zhuǎn)化為格上IBFHE方案�����。
為達到上述目的�����,本發(fā)明采用如下加密方案:
系統(tǒng)建立算法Setup(1n)→(MPK,MSK):輸入安全參數(shù)n�,運行陷門生成算法TrapGen(1n,1m,q,H)��,輸出均勻隨機矩陣A和格Λ⊥(A)的陷門矩陣R�,輸出MPK=(A,u),MSK=R��。
用戶密鑰提取算法Extract(MPK,MSK,id)→e:輸入系統(tǒng)主公鑰和主私鑰(MPK,MSK)�,密鑰生成中心調(diào)用原像采樣算法SampleL(A,Hid·G,R,u,σ),輸出e�����,輸出用戶密鑰v=(1,-e)�。
同態(tài)加密算法Enc(MPK,id,μ∈{0,1})→C:輸入系統(tǒng)主公鑰MPK=(A,u),用戶身份id�����,明文消息μ,為加密μ∈{0,1}�,構(gòu)造矩陣C′,矩陣的行為調(diào)用基于身份加密方案中的加密算法IBE-Enc算法生成0的N個密文�����,每行的密文形式為:Ci′=(c0,c1T)����。將構(gòu)造后密文矩陣進行噪音校平操作(Flatten)后輸出。
同態(tài)解密算法Dec(C,v)→μ:輸入用戶密鑰v和需要解密的密文C����,輸出明文μ。
同態(tài)運算算法Eval(f,C1,C2,...,Ct)→Cf:輸入運算函數(shù)f:{0,1}t→{0,1}和屬于同一身份id的一組密文(C1,C2,...,Ct)���,輸出為一個新的密文Cf�����。
本發(fā)明具有以下優(yōu)點和積極效果:
1)本發(fā)明是一種基于高效安全的陷門函數(shù)所構(gòu)造的加密方法���,在陷門生成和原像采樣的階段具有較低的復(fù)雜度�,且所生成的格的維數(shù)更低���,從而使與格的維數(shù)相關(guān)的其它參數(shù)依次被優(yōu)化����。
2)本發(fā)明是一種具有更高安全性的加密方法��,所基于的難題可歸約至格上最短無關(guān)向量問題(SIVP)�����,且SIVP近似因子縮小倍��,因此本方法所基于的難題具有更高的難解性�����。
3)本發(fā)明是一種利用特征向量思想轉(zhuǎn)化的格上基于身份的全同態(tài)加密方法����,消除了以往格上基于身份的全同態(tài)加密方法中運算密鑰的問題�����,從而本發(fā)明的公私鑰尺寸更加短小。
附圖說明
圖1是一種改進的格上基于身份的全同態(tài)加密模型圖���。
具體實施方式
以下結(jié)合實施例和附圖對本發(fā)明作進一步描述���。
本發(fā)明的基本參數(shù)包括一個公開的均勻隨機矩陣和其陷門其中n是安全參數(shù),m=O(nlogq)��,w=nk�����,模數(shù)q=q(n)�����;一個構(gòu)造公開的矩陣其中In是n×n單位矩陣�����,F(xiàn)RD編碼函數(shù)設(shè)L為本方案可以同態(tài)運算的最大電路深度�,模數(shù)q=q(n,L),令N=(m+1)·l�,對任意維向量a,b�����,BitDecomp(a)表示N維向量其中ai,j表示ai分量的第j個二進制位,表示BitDecomp的逆運算��,F(xiàn)latten(a)=BitDecomp(BitDecomp-1(a))��,且有以下等式成立:<BitDecomp(a),Powersof 2(b)>=<a,b>����,<a,Powersof 2(b)>=<BitDecomp-1(a),b>=<Flatten(a),Powersof 2(b)>���。
本發(fā)明所設(shè)計的算法流程具體如下�,首先構(gòu)造一個格上基于身份的加密方案iIBE:
系統(tǒng)建立算法iIBE-Setup(1n):選取均勻隨機矩陣選取n維均勻隨機向量運行陷門生成算法TrapGen(1n,1m,q,H)���,輸出矩陣和格Λ⊥(A)的陷門矩陣輸出MPK=(A,u)��,MSK=R�����。
用戶密鑰提取算法iIBE-Extract(MPK,MSK,id):利用FRD編碼函數(shù)將用戶身份id映射為一個可逆矩陣運行原像采樣算法SampleL(A,Hid·G,R,u,σ)��,輸出用戶密鑰e��,滿足Aide=u����,其中
加密算法IBE-Enc(MPK,id,b):為加密明文消息b∈{0,1},選取均勻隨機向量選取均勻隨機矩陣計算其中容錯量容錯向量輸出密文
解密算法IBE-Dec(MPK,e,CT):計算如果輸出1����,否則輸出0。
檢驗正確性:方案解密算法的輸出為:
等式右邊的error-term為N維容錯向量�����。當(dāng)b=1時�,則輸出b=b′=1;當(dāng)b=0時�����,則輸出b=b′=0����。解密正確,證明完畢��。
安全性上���,該方案具備滿足標(biāo)準(zhǔn)模型下選擇身份選擇明文攻擊的語義安全(IND-sID-CPA)��。
在iIBE方案的基礎(chǔ)上�,我們構(gòu)造基于身份的全同態(tài)加密方案IBFHE,方案的具體算法流程如下:
系統(tǒng)建立算法IBFHE-Setup(1n,1L):調(diào)用iIBE-Setup算法����,輸出MPK=(A,u),MSK=R���。
用戶密鑰生成算法IBFHE-KeyGen(R,id):調(diào)用iIBE-Extract算法生成用戶密鑰����,重新定義用戶密鑰e為并令
同態(tài)加密算法IBFHE-Enc(MPK,id,μ∈{0,1}):為加密μ∈{0,1}�,構(gòu)造矩陣矩陣的行為調(diào)用iIBE-Enc算法生成0的N個密文�,每行的密文形式為:Ci′=(c0,c1T)。輸出
其中ΙN為N維單位矩陣�����。
同態(tài)解密算法IBFHE-Dec(C,v):計算已知v的前l(fā)個系數(shù)為1,2,...,2l-1�,令v[i]=2i∈(q/4,q/2],Ci為C的第i行���。計算xi←<Ci,v>��,輸出μ=xi/v[i]�����。
同態(tài)運算算法IBFHE-Eval(f,C1,C2,...,Ct):算法的輸入為運算函數(shù)f:{0,1}t→{0,1}和屬于同一身份id的一組密文(C1,C2,...,Ct)�����,輸出為一個新的密文Cf��。
同態(tài)加法:
同態(tài)乘法:
其中
檢驗正確性:方案解密算法的輸出為:
xi/v[i]=<Ci,v>/v[i]=<(μ·(ΙN)i+BitDecomp(Ci′)),v>/v[i]=μ·v[i]/v[i]=μ
由上式看出�,解密算法的輸出正確恢復(fù)出明文μ,則解密正確����,證明完畢。
安全性上���,該方案具備滿足標(biāo)準(zhǔn)模型下選擇身份選擇明文攻擊的語義安全(IND-sID-CPA)���。
本發(fā)明一種改進的格上基于身份的全同態(tài)加密方法,利用新型陷門函數(shù)和特征向量的思想進行設(shè)計���,具有陷門生成簡單高效���,原像采樣復(fù)雜度低的特點�,且消除了運算密鑰使本發(fā)明的公私鑰尺寸更小���。
本文所描述的實施例和附圖意在用于示范目的���,以幫助讀者理解本方法的原理和發(fā)明人為了促進全同態(tài)加密應(yīng)用而貢獻出的思路,且應(yīng)被理解為不局限于這種具體的示例和條件��。另外���,凡根據(jù)本發(fā)明精神實質(zhì)所做的等價物或擴展�����,都應(yīng)涵蓋在本發(fā)明的保護范圍內(nèi)。