CN105119929B

CN105119929B - 单一恶意云服务器下的安全模指数外包方法及系统

Info

Publication number: CN105119929B
Application number: CN201510570900.4A
Authority: CN
Inventors: 叶俊; 吴树林; 张金山; 魏正曦; 李科; 刘勇
Original assignee: Sichuan University of Science and Engineering
Current assignee: Sichuan University of Science and Engineering
Priority date: 2015-09-09
Filing date: 2015-09-09
Publication date: 2019-02-01
Anticipated expiration: 2035-09-09
Also published as: CN105119929A

Abstract

本发明公开了单一恶意云服务器下的安全模指数外包方法及系统，包括步骤一、用户T调用子程序Rand六次，得到六个随机对；步骤二、用户T根据子程序Rand返回的随机对将需要计算的模指数进行拆分，同时，用户T还选择随机值r并将r乘以模指数的指数得到新的模指数，并将该新的模指数也进行拆分；步骤三、用户T请求服务器U将拆分后需要计算的值分别进行计算；步骤四、用户T将服务器U返回的与u^a相关的结果，再与T保留的与u^a相关的随机值相乘，再将结果自乘r次，得到验证结果一；其次，用户T将服务器U返回的与u^ra相关的结果，再与T保留的与u^ra相关的随机值相乘得到验证结果二；最后将结果一与结果二进行比较，相等则判断服务器U正确进行计算。

Description

单一恶意云服务器下的安全模指数外包方法及系统

技术领域

本发明涉及云计算技术领域，尤其涉及一种单一恶意云服务器下的安全模指数外包方法及系统。

背景技术

近年来，云计算在IT领域快速发展，在工业技术领域中有着很好的应用，为解决计算资源受限的问题带来了很大的希望。在云环境下，外包计算允许资源受限的用户可以选择以付费的方式将繁琐的计算任务外包给计算资源丰富的服务器计算。但是外包就意味着用户数据控制权由自身向云服务提供商的转移，不可避免地产生了新的安全问题：第一，用户的某些隐私可能被泄露；第二，服务器也可能由于种种原因没有正确进行计算，从而给用户造成巨大的损失。

首先，为了保护用户的隐私，在数据外包之前，用户对需要计算的数据进行盲化，这使得服务器虽然进行了计算，却并不知道用户需要算什么，从而对用户的输入输出进行隐私保护。其次，由于经济报酬上的激励不够，服务器可能不认真地进行计算。它或者减少计算次数，返回用户一个错误的结果，或者根本不计算而返回用户一个随机值。在这种情况下，用户需要验证计算结果的正确性。这时，用户需要一些预计算的结果用来验证服务器返回的值，并且要求用户的预计算与验证过程的计算量要远远小于用户外包给服务器做计算的计算量。

模指数运算通常是由一系列的模乘所构成的。在公钥密码学中，为了安全，通常我们选择一个很大的模数。这样，使得用户很难用简单的模乘来计算模指数，即使用最高效的算法也需要消耗大量的计算时间。模指数运算是密码学中最基本的运算之一，在多项式计算与双线性对计算中需要用到大量的模指数运算，因此对模指数运算的外包研究是十分必要的。

近年来，外包计算已经成为研究的热点，许多学者在这方面做了深入的研究。安全模指数外包被应用到了许多密码学方案中。目前，针对模指数外包的主要研究如下：

Chaum等人于1992年提出了“WalletwithObservers”的概念,它允许银行在客户的计算机中安装一个安全硬件，帮助资源受限的用户完成复杂的密码运算。2001年，Atallah等人利用密码技术首次研究了数值计算和科学计算的安全外包问题，如：矩阵乘法、线性方程组等问题，但该文中并未解决计算结果的可验证性问题。2005年，Hohenberger等人首次在双不可信任模型下给出了外包计算的形式化安全定义，并给出了模指数运算的外包方案，这被认为是模指数外包的一个经典的方案，但其验证率仅仅为1/2。2012年，Chen等人在双不可信服务器模型下改进了Hohenberger等人提出的模指数外包方案，验证率提高到了2/3。2015年，Ye等人再次改进了此模型下在模指数外包方案，大大提高了计算结果的验证率(大于90％)且更多的减少了用户计算量。然而他们所用的模型都是双不可信任模型，而对单不可信任模型的研究却很少。在云计算环境下，云服务器都是不可信的，要求两个不可信的云服务器不相互勾结的假设，现实中不易实现。并且，为了使用户操作更加方便，通常我们都是将复杂的计算任务外包给一个云服务器而不两个，或者多个。因此研究单恶意云服务器环境下的安全模指数外包方案十分有意义。2014年Wang等人提出了单服务器的模指数外包方案，但是对结果的验证率只有1/2，这远远不能达到实际应用的要求。

发明内容

针对现有技术中的单服务器的模指数外包方法存在可验证性低，无法发现懒惰服务器对用户的欺骗这类的技术问题，本发明公开了一种单一恶意云服务器下的安全模指数外包方法，并公开了实现这种方法的系统。

本发明的技术方案如下：

令p，q是两个大素数，并且q能整除p-1.给出一个指数和底需要计算u^a mod p

一种单一恶意云服务器下的安全模指数外包方法，其具体包括以下的步骤：

步骤一、用户T调用子程序Rand六次，得到六个随机对令其中p是大素数；(每调用一次Rand，得到一个随机对，调用六次，得到六个随机对，素数p一般是1024 bit，称为大素数,随机对在步骤二中的逻辑拆分时使用)

步骤二、用户T根据子程序Rand返回的随机对将需要计算的模指数进行拆分，同时，用户T还选择随机值r并将r乘以模指数的指数得到新的模指数，并将该新的模指数也进行拆分；所述

步骤三、用户T请求服务器U将拆分后需要计算的值分别进行计算，并将计算结果返回给用户T；

步骤四、用户T将原来需要计算的模指数进行拆分后的公式的指数乘以r，并与新的模指数的结果进行比较，相等则判断服务器U正确进行计算，然后用户T计算出最终结果。

更进一步地，用户T将u^a进行拆分，得到u^a的逻辑拆分如下：

其中w₁＝u/v₁。

T构造方程k₅a-k₁t₁y₁＝k₃与a＝x₁+t₁y₁，然后方程组中解出x₁与t₁y₁。

同时，用户T选择随机值并将u^ra进行如下拆分：

更进一步地，用户T以任意次序请求服务器U计算

并将计算结果返回给用户T。

更进一步地，上述用户T验证的过程具体为：验证下式是否成立，

成立，则判断服务器U没有欺骗用户T，否则，判断服务器没有正确进行计算。

更进一步地，上述方法用于同时模指数外包计算。

更进一步地，上述方法用于多模指数外包计算。

本发明还公开了一种单一恶意云服务器下的安全模指数外包系统，其具体包括用户T、子程序Rand和服务器U，所述用户T调用子程序Rand六次，得到六个随机对令其中p是大素数；(每调用一次Rand，得到一个随机对，调用六次，得到六个随机对，素数p一般是1024bit，称为大素数,随机对在步骤二中的逻辑拆分时使用)，所述用户T根据子程序Rand返回的随机对将需要计算的模指数进行拆分，同时，用户T还选择随机值r并将r乘以模指数的指数得到新的模指数，并将该新的模指数也进行拆分；所述所述用户T请求服务器U将拆分后需要计算的值分别进行计算，并将计算结果返回给用户T；所述用户T将原来需要计算的模指数进行拆分后的公式的指数乘以r，并与新的模指数的结果进行比较，相等则判断服务器U正确进行计算，然后用户T计算出最终结果。

通过采用以上的技术方案，本发明的有益效果为：本发明的方法构造了一种在单恶意云服务器环境下的安全模指数外包方法，在该方法中并不需要以往模型中的双不可信云服务器不勾结的假设(因为此假设太强，现实中不易实现)，并且对计算结果的验证率极高(大于97％)(现有的方法验证率最高只有1/2，远远不能满足实际应用的需求)。

附图说明

图1为本发明的单一恶意云服务器下的安全模指数外包系统的结构示意图。

具体实施方式

下面结合说明书附图详细描述本发明的具体实施方式。

假设p，q是两个大素数，q|p-1，且u^q＝1mod p，给出任意的指数和底数计算u^a mod p，要求在外包计算过程中要求a和u的值对U保密。这是安全模指数外包方法的要求，属于现有的通用要求，在此不详细进行赘述。

如图1所示的本发明的外包模指数方法的系统架构示意图。在本发明中有三个参与方：子程序Rand，用户T，恶意的云服务器U。

子程序Rand：每次调用能诚实的返回一个形如(k,g^k)的随机对，通过对Rand的调用能提高计算效率。

恶意云服务器：计算能力很强大，但不可信任，可能返回用户一个正确的结果，也可能返回一个刻意设计的错误结果来影响用户的计算。

其中的一个实施例，需要计算的模指数为u^a

本发明公开了一种单一恶意云服务器下的安全模指数外包方法，其具体包括以下的步骤：步骤一、用户T调用子程序Rand六次，得到六个随机对令

步骤二、用户T将u^a进行拆分：

这里w₁＝u/v₁。

T计算x₁和t₁y₁，满足：

k₅a-k₁t₁y₁＝k₃和a＝x₁+t₁y₁(这个关系主要是用于对u^a进行形式变换(逻辑拆分)，其关系是事先设定的，这样可以将便于后面将部分需要计算的式子外包给云服务器，并且对输入进行保护(u与a不会泄露))

这样，可以得到u^a的逻辑拆分如下：

同时，用户T选择随机值并将u^ra进行如下拆分：

这里w₂＝u/v₂。

T计算x₂和t₂y₂，满足：

k₆ra-k₂t₂y₂＝k₄和ra＝x₂+t₂y₂(这个关系式主要是对u^ra进行形式变换(逻辑拆分)，是事先设定的，这样可以将便于后面将部分需要计算的式子外包给云服务器，并且对输入进行保护(u与a不会泄露))

这样，可以得到u^ra的逻辑拆分如下：

T构造方程k₆ra-k₂t₂y₂＝k₄与ra＝x₂+t₂y₂，然后方程组中解出x₂与t₂y₂。

步骤三、用户T以任意次序请求服务器U计算

并将计算结果返回给用户T。

步骤四、用户T验证下式是否成立，

成立，则判断服务器U没有欺骗用户T，否则，判断服务器没有正确进行计算。为了保证计算安全，t₁，t₂应该大于2^λ，这里λ为安全参数(如λ＝64)。为了减少用户的计算负担，这里r应该取很小的值，如r∈[2,11]。(在整个计算过程中用户需要15+1.5log r+1.5log t₁+1.5log t₂与6次求逆，这里，r∈[2,11]，t₁，t₂为64bit长的数据，通常情况下u^a中的a如果很小，比如小于80bit，用户可以直接用乘法计算出u^a。由于用户计算资源有限，如果a比较大，比如a是1024bit长的数据，用户就可以运用外包计算来解决此类计算。我们的外包方法可以将u^a复杂的计算量降低到不超过230次的乘法运算量，如果a是1024bit的数据，则如果用户自己计算，大约需要进行1500次的乘法运算才能得到计算结果，如果外包给服务器计算，整个过程中用户需要进行不超过230次乘法。)

另外的一个实施例，同时模指数外包方法

对任意的指数a，和底数计算u₁ ^a u₂ ^bmod p，在外包计算过程中要求a，b和u₁，u₂的值对U保密。

具体外包步骤如下：

1、T调用Rand六次，得到六个随机对令

2、T对u₁ ^a u₂ ^b进行拆分：

这里w₁＝u₁/v₁，w₂＝u₂/v₁，且x₁，x₂和t₁y₁，满足：

k₅(a+b)-k₁t₁y₁＝k₃，

a＝x₁+t₁y₁

和b＝x₂+t₁y₁。

同时，T随机选择并将(u₁ ^au₂ ^b)^r进行如下拆分：

这里w′₁＝u₁/v₂,w′₂＝u₂/v₂，且x′₁，x′₂和t₂y₂，满足：

k₆r(a+b)-k₂t₂y₂＝k₄，

ra＝x′₁+t₂y₂

和rb＝x′₂+t₂y₂。

3、T以任意次序请求服务器U计算

4、T验证如下式子是否成立

如果此式不成立，T输出“error”；否则，T计算

另外的一个实施例，多模指数外包方法

对任意的指数a₁,a₂，…,a_n和底数u₁,u₂,…,u_n，计算在外包计算过程中要求a₁,a₂，…,a_n和u₁,u₂,…,u_n的值对U保密。

具体外包步骤如下：

1、T调用Rand六次，得到六个随机对令

2、T对进行拆分：

这里w_i＝u_i/v_i，i＝1,2,...,n，且x_i和t₁y₁，满足：

k₅(a₁+a₂+...+a_n)-k₁t₁y₁＝k₃，

和a_i＝x_i+t₁y₁，i＝1,2,...,n。。

同时，T随机选择并将进行如下拆分：

这里w′_i＝u_i/v₂，i＝1,2,...,n，且x′_i和t₂y₂，满足：

k₆r(a₁+a₂+...+a_n)-k₂t₂y₂＝k₄，

和ra_i＝x′_i+t₂y₂，i＝1,2,...,n。

3、T以任意次序请求服务器U计算

其中i＝1,2,...,n。

4、T验证如下式子是否成立

如果此式不成立，T输出“error”；否则，T计算

下面通过比较来说明本发明方法的技术效果

现有的方法如下

令G为一个p阶的循环群(p为素数)，g是其生成元。a_i,j∈_R Z_p和u_i,j∈_RG(1≤i≤r,1≤j≤s)是输入，算法GExp输出

即

步骤1：T调用BPV⁺或SMBL算法(这里的算法相当于我们算法中的Rand)来产生四个随机对

(α₁,μ₁),...,(α₄,μ₄)，

其中

用户随机选择一个值χ，χ≥2^λ，这里λ是一个安全参数，例如，λ＝64。

每一对(i,j)有(1≤i≤r),(1≤j≤s)，选择一个随机的数并计算接下来的值

c_i,j＝a_i,j-b_i,jχmodp；

w_i,j＝u_i,j/μ₁；

h_i,j＝u_i,j/μ₃；

步骤2：T调用BPV⁺或SMBL算法来获得并以随机顺序将以下计算发送给服务器U：

这里

U(b_i,j,w_i,j)→C_i,j，(1≤i≤r),(1≤j≤s)；

U(c_i,j,h_i,j)→D_i,j，(1≤i≤r),(1≤j≤s)。

步骤3：T验证是否成立。如果不成立，则表示服务器U给出的结果是错误的，T输出“error”。如果成立，接下来计算结果，

从步骤2看出，只有

输出的结果能够验证，即验证

是否成立。

但是

U(b_i,j,w_i,j)→C_i,j，(1≤i≤r),(1≤j≤s)；

U(c_i,j,h_i,j)→D_i,j，(1≤i≤r),(1≤j≤s)。

输出的结果无法验证。

然而，算法所需要计算的结果中的式子并不在上述验证式子中。

因此，此现有的方法的验证率最高只有1/2。

而本发明中

输出的结果均用于验证。

即验证

是否成立。

真正的计算结果中所需要用到的式子完全出现在上述验证式子中，因此采用本发明方法的的验证率远远高于现有方法的验证率。

取r∈[2,11]，验证率的具体比较见下表

验证率

是根据公式当n＝1，n＝2时计算得出的结果。公式是根据我们的外包计算方法分析得出，服务器如果想欺骗用户，就必须给出一个错误的结果，同时能通过式子的验证，服务器计算与后，用户还需要分别计算t₁，t₂次方，由于服务器不知道t₁，t₂，因此服务器不会选择这两个结果来作弊。服务器可以针对与来作弊(其中i＝1,2,...,n)。首先服务器任意选择中的一个与中的一个，然后正确计算其结果，然后猜测出r，再随机选择一个数R，计算与这样服务器就可以用这两个错误的结果来欺骗用户。在此作弊过程中，服务器首先需要在

这2n+2个数据中选中中的一个与中的一个，这个概率为同时服务器猜中r的概率为因为r∈[2,11]。这样服务器能欺骗用户的概率为用户能验证计算结果是否正确的概率为

以上上述的具体实施例，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上上述仅为本发明的具体实施例而已，并不用于限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种单一恶意云服务器下的安全模指数外包方法，其具体包括以下的步骤：

步骤一、用户T调用子程序Rand六次，得到六个随机对令其中p是大素数；

步骤二、用户T根据子程序Rand返回的随机对将需要计算的模指数u^a进行拆分，同时，用户T还选择随机值r并将r乘以模指数的指数得到新的模指数u^ra，并将该新的模指数也进行拆分；所述

2.如权利要求1所述的单一恶意云服务器下的安全模指数外包方法，其特征在于所述用户T将u^a进行拆分，得到u^a的逻辑拆分如下：

其中w₁＝u/v₁；

T构造方程k₅a-k₁t₁y₁＝k₃与a＝x₁+t₁y₁，然后方程组中解出x₁与t₁y₁；

同时，用户T选择随机值并将u^ra进行如下拆分：

T构造方程k₆ra-k₂t₂y₂＝k₄与ra＝x₂+t₂y₂，其中，w₂＝u/v₂，然后方程组中解出x₂与t₂y₂；

3.如权利要求2所述的单一恶意云服务器下的安全模指数外包方法，其特征在于所述用户T以任意次序请求服务器U计算

并将计算结果返回给用户T。

4.如权利要求3所述的单一恶意云服务器下的安全模指数外包方法，其特征在于所述用户T验证的过程具体为：验证下式是否成立，

5.如权利要求1或者4所述的单一恶意云服务器下的安全模指数外包方法，其特征在于所述方法用于同时模指数外包计算。

6.如权利要求1或者4所述的单一恶意云服务器下的安全模指数外包方法，其特征在于所述方法用于多模指数外包计算。

7.一种单一恶意云服务器下的安全模指数外包系统，其特征在于具体包括用户T、子程序Rand和服务器U，所述用户T调用子程序Rand六次，得到六个随机对令其中p是大素数；所述用户T根据子程序Rand返回的随机对将需要计算的模指数u^a进行拆分，同时，用户T还选择随机值r并将r乘以模指数的指数得到新的模指数u^ra，并将该新的模指数也进行拆分；所述所述用户T请求服务器U将拆分后需要计算的值分别进行计算，并将计算结果返回给用户T；所述用户T将原来需要计算的模指数进行拆分后的公式的指数乘以r，并与新的模指数的结果进行比较，相等则判断服务器U正确进行计算，然后用户T计算出最终结果。