CN105306214A - 一种双线性对安全外包方法 - Google Patents

Abstract

本发明涉及信息安全领域，特别是涉及一种双线性对安全外包方法。其实现步骤包括：用户预先计算偶数组随机矢量；用户用两组随机矢量隐藏要计算的群元素，并发送给服务器U₁、U₂；服务器U₁、U₂分别计算多个双线性对，并把结果返回给用户；用户校验服务器U₁、U₂返回的结果，校验通过后恢复要计算的群元素的双线性对。本方法允许服务器U₁、U₂均不可信，提高了部署的灵活性，同时具有校验参数，提高了计算结果的验证概率，解决了实际应用中需要可信服务器，并且验证概率偏低的问题。

Description

一种双线性对安全外包方法

技术领域

本发明涉及信息安全领域，特别是涉及一种双线性对安全外包方法。

背景技术

云计算使越来越多的人能充分利用云计算资源进行复杂繁琐的计算。移动设备或其它能源受限的设备更加受益于云计算带来的好处。例如，可使用云计算去完成单个设备需要消耗较大的能量才能完成的复杂计算，如双线性对计算。将一些耗能较大的计算外包给云计算平台，并保证计算结果的正确与安全性，显然能够节约这些设备的能量消耗，在网络畅通的条件下，还可以减小计算的时间，提高运行的效率。

在计算外包中，安全性一直是人们考虑的重点。首先，用户计算的数据可能涉及到用户的私钥信息，例如外包解密等操作，所以用户待计算的数据应对服务器隐藏，即秘密性是一个安全外包方案需要满足的；其次，云服务器通常是不可信的设备，服务器上可能存在某些系统漏洞或者人为的配置，使得计算结果不完整，返回的结果不正确，所以用户需要验证服务器返回结果的正确性，即可验证性是安全外包方案需要满足的。最后，在具体实施上，有些方案要求至少有一个服务器是可信的，有些方案允许两个服务器都不可信，有些方案仅使用一个不可信服务器，这些都对实际的实施提出了要求，所以在实施上的便利性或者灵活性上安全外包解决方案是应该满足的。

GiraultandLefranc首先提出了双线性对外包的方案，其中包括了基本的盲化待计算群元素的方法。Chevalier-Mames等人提出了安全的椭圆曲线双线性对外包的算法。该算法能向服务器隐藏待计算的群元素，并通过对比获得的计算结果，进行校验。Kang等人改进了此算法，让服务器计算一系列群元素，并从服务器的返回结果中获取可校验的数据。Canard等人提出了新的方法外包双线性对运算，他们的方法中也是让服务器输出相关的两个数据来获得可验证性。上述方法有一个共同的缺点，就是用户需要在较高的计算代价下去完成结果的验证，如进行标量乘或者模幂运算。这些运算本身与双线性对的运算在能量消耗上类似，从而无助于减少移动设备的能量消耗，与外包计算的初衷相违背。

Chen等人给出了一个改进的算法，仅需要在群G₁、G₂上进行5次点加，在群G_T下进行4次乘法运算，不需要标量乘和模幂运算，使得安全外包算法有了实质性的意义。但其外包方法还可以进一步改进，一个是其方案要求至少一个服务器是可信的，其二就是可验证性方面可以进一步提高。事实上，对于数字签名等服务而言，如果用户外包签名的验证过程中的双线性对运算，而外包的返回值却可能出错，将直接导致数字签名验证算法的失效。所以，提高外包算法的可验证性是有意义的。

本发明引入了校验参数t使外包算法具有可调节的验证性。该参数的取值范围是t∈{1,2,…,s}，可验证的概率为(1-1/3s)²，当s＝4时，本发明的可验证性是84％，远高于以前50％到67％的可验证概率。同样由于校验参数的存在，我们的方案允许两台服务器都是不可信的，增强了部署的灵活性。总之，本发明提供了一种灵活和可验证的双线性对安全外包方法。

发明内容

本发明的目的在于提供一种灵活和可验证的双线性对安全外包方法。本发明引入了校验参数t使外包算法具有可调节的验证性。该参数的取值范围是t∈{1,2,…,s}，可验证的概率为(1-1/3s)²，该方法允许两个不可信的服务器提供外包服务，并提供了一种机制提高用户T的验证概率，解决了当前的解决方案需要至少一台可信服务器，并且验证概率较低的问题。

为实现上述目的，本发明给出如下方法：

(一)、该方法涉及用户T、服务器U₁、U₂三个实体，包括以下四个步骤：

S1.用户T预先计算偶数组随机矢量，每组包括五个群元素；

S2.用户T每次用两组随机矢量和一个校验参数隐藏待计算的群元素，并把隐藏后的结果发送给服务器U₁、U₂；

S3.服务器U₁、U₂分别计算多个双线性对，并把结果返回给用户T；

S4.用户T使用所述校验参数来校验服务器U₁、U₂返回的结果，校验通过后恢复要计算的群元素的双线性对运算结果。

(二)、步骤S1(即当用户T预先计算偶数组随机矢量)包括以下子步骤：

(S1a)用户T均匀随机选择其中并且q是大素数，是群G₁，G₂，G_T的阶，在群G₁，G₂上可以定义双线性对运算e:G₁×G₂→G_T；

(S1b)随后用户T计算x₁的逆元x₁ ^-1和x₂的逆元x₂ ^-1，计算标量乘运算和模幂运算其中P₁是群G₁的生成元，P₂是群G₂的生成元，e(P₁,P₂)是群G_T的生成元，这五个群元素构成了一组随机矢量；

(S1c)进而用户T均匀随机选择

(S1d)随后用户T计算x₁′的逆元计算x′₂的逆元计算标量乘运算和模幂运算这五个群元素构成了另外一组随机矢量；

(S1f)用户T通过重复上述步骤(S1a)到(S1d)生成预计算的偶数组随机矢量。

(三)、步骤S2(即用户T每次用两组随机矢量隐藏待计算的群元素，并把隐藏后的结果发送给服务器U₁、U₂)包括如下子步骤：

(S2a).用户T待计算的元素A∈G₁隐藏为u₀₁＝A+x₁P₁，其中x₁P₁来自步骤S1中子步骤(S1b)所示的随机矢量；

(S2b).用户T待计算的元素B∈G₂隐藏为其中来自步骤S1中子步骤(S1b)所示的随机矢量；

(S2c).用户T随机选择t∈{1,2,…,s}作为校验参数，其中s取值为大于等于4的整数，计算标量乘运算tA，并隐藏为其中来自于步骤S1中子步骤(S1d)所示的随机矢量；

(S2d).用户T计算随机矢量的逆元，并设置

(S2e).用户T计算随机矢量x′₁P₁的逆元，并设置u₂₁＝-x′₁P₁；

(S2f).用户T隐藏待计算的群元素B∈G₂为

(S2g).用户T用步骤S1子步骤(S1d)所示随机矢量中的群元素x₁′P₁隐藏tA，设置v₀₁＝tA+x₁′P₁；

(S2h).用户T用步骤S1子步骤(S1d)所示随机矢量中的群元素隐藏B，设置

(S2i).用户T用步骤S1子步骤(S1b)所示随机矢量中的群元素隐藏A，设置

(S2j).用户T计算随机矢量的逆元，并设置

(S2k).用户T计算随机矢量x₁P₁的逆元，并设置v₂₁＝-x₁P₁；

(S2l).用户T用步骤S1子步骤(S1b)所示随机矢量中的群元素隐藏群元素B，并设置

(S2m).用户随机选择整数i,j∈{1,2,3}，并向服务器U₁发送6个群元素u_i1,u_i2,u_(i+1mod3)1,u_(i+1mod3)2,u_(i+2mod3)1,u_(i+2mod3)2，同时向服务器U₂发送6个群元素v_j1,v_j2,v_(j+1mod3)1,v_(j+1mod3)2,v_(j+2mod3)1,v_(j+2mod3)2。

(四)、步骤S3(即服务器U₁、U₂分别计算多个双线性对，并把结果返回给用户T)包括如下子步骤：

(S3a)U₁把从用户T接收到的6个元素依次称为e₁₁,e₁₂,e₁₃,e₁₄,e₁₅,e₁₆，计算α₁＝e(e₁₁,e₁₂)，α₂＝e(e₁₃,e₁₄)和α₃＝e(e₁₅,e₁₆)，并把α₁,α₂,α₃返回给用户T；

(S3b)U₂把从用户T接收到的6个元素依次称为e₂₁,e₂₂,e₂₃,e₂₄,e₂₅,e₂₆，计算α₁′＝e(e₂₁,e₂₂)，α′₂＝e(e₂₃,e₂₄)和α′₂＝e(e₂₅,e₂₆)，并把α₁′,α′₂,α₃′返回给用户T。

(五)、步骤S4(用户T使用校验参数来校验服务器U₁、U₂返回的结果，校验通过后恢复要计算的群元素的双线性对运算结果)的子步骤包括：

(S4a).用户T把服务器U₁返回的结果称为α_i,α_i+1mod3,α_i+2mod3，把服务器U₂返回的结果称为α_j′,α′_j+1mod3,α′_j+2mod3，其中i和j与步骤S2中子步骤(S2m)所选择的值一致；

(S4b).用户T计算 $O={\mathrm{\α}}_1{\mathrm{\α}}_2^{\′}{\mathrm{\α}}_3^{\′}e{(P_1,P_2)}^{x_3+x_4-x_2}$ 和 $O^{\′}={\mathrm{\α}}_1^{\′}{\mathrm{\α}}_2{\mathrm{\α}}_{3}e{(P_1,P_2)}^{x_3^{\′}+x_4^{\′}-x_2^{\′}},$ 其中和来自步骤S1中子步骤(S1b)和(S1d)所述的随机矢量，α₁,α₂,α₃和α₁′,α′₂,α₃′是步骤S4中子步骤(S4a)中i和j代入数值后得到的元素；

(S4c).用户T使用校验参数t校验O^t是否等于O′，并且O^t∈G_Y，如果满足这两个条件，用户T输出O做为元素A和B的双线性对运算结果，否则输出错误。

附图说明

图1一种双线性对安全外包方法。

具体实施方式

该方案包括用户T，服务器U₁、U₂三个实体。首先由用户T预先计算一组符合要求的随机矢量；之后在需要计算两个元素的双线性对运算时，用户T用两组随机矢量隐藏这两个元素，并向服务器U₁、U₂发送隐藏后的矢量，要求服务器完成双线性对运算，并返回结果；最后用户T校验结果的正确性，正确的话则输出两个元素的双线性对运算结果。下面以BLS签名为例说明具体实施过程。

实施例1

双线性对运算外包服务商可以在百度云、亚马逊等云平台上建立虚拟机，建立双线性对运算的服务，我们把两个这样的服务商称为U₁、U₂，其接收6个元素，依次计算3个对运算，返回3个结果。

用户T是某经理张三的智能手机中的邮件APP。张经理需要验证来自下属的邮件，确认邮件的来源，每天需要处理的邮件比较多，因而需要减少验证算法的能量消耗，确保手机可以正常通信。张经理需要下载专用的邮件APP，其中采用了BLS验证算法来验证邮件的签名，验证过程中的双线性对运算采用了安全外包计算。

首先，双线性对运算外包服务商和邮件APP中具有相同的系统参数，例如PBC库中的类型a参数

q：

8780710799663312522437781984754049815806883199414208211028653399266475630880222957078625179422662221423155858769582317459277713367317481324925129998224791

h：

12016012264891146079388821366740534204802954401251311822919615131047207289359704531102844802183906537786776

r：730750818665451621361119245571504901405976559617

exp2：159

exp1：107

sign1：1

sign0：1

其次，邮件APP可以在第一次启动时，完成随机矢量的计算，并使用APP内嵌密钥加密存储在智能手机中。邮件APP计算随机矢量时，执行如下运算步骤：

(1)均匀随机选择其中并且q是大素数，是群G₁，G₂，G_T的阶，在群G₁，G₂上可以定义双线性对运算e:G₁×G₂→G_T；

(2)计算x₁的逆元x₁ ^-1和x₂的逆元x₂ ^-1，计算标量乘运算和模幂运算其中P₁是群G₁的生成元，P₂是群G₂的生成元，e(P₁,P₂)是群G_T的生成元，这五个群元素构成了一组随机矢量；

(3)均匀随机选择

(4)计算x₁ ^′的逆元和x^′ ₂的逆元计算标量乘运算和模幂运算这五个群元素构成了另外一组随机矢量；

通过重复上述步骤(1)到(4)生成预计算的偶数组随机矢量。

再次，当张经理通过邮件APP验证邮件的数字签名时，对于BLS签名，把邮件内容表示为M，H表示BLS签名体制中的Hash函数，定义为H:{0,1}^*→G₁，即把任意长0，1比特串映射为群G₁的元素。类似的，H(M)表示把邮件内容映射为群G₁的某个元素。发邮件的员工的公钥表示为V∈G₂。邮件的数字签名表示为δ。那么BLS验证签名的过程至少需要计算e(H(M),V)和e(δ,P2)两个对运算。

此时，邮件APP把H(M)作为第一个待计算元素A，把V作为第二个待计算元素B，从加密存储的随机矢量中解密两组，执行以下步骤完成e(H(M),V)的计算：

(a)待计算的元素A∈G₁隐藏为u₀₁＝A+x₁P₁，其中x₁P₁来自随机矢量；

(b)待计算的元素B∈G₂隐藏为其中来自随机矢量；

(c)随机选择校验参数t∈{1,2,…,s}，其中s取值为4，计算标量乘运算tA，并隐藏为 $u_{11}=tA+x_1^{\′}{x}_2^{\′-1}{x}_3^{\′}{P}_1,$ 其中来自随机矢量；

(d)计算随机矢量的逆元，并设置

(e)计算随机矢量x′₁P₁的逆元，并设置u₂₁＝-x′₁P₁；

(f)隐藏待计算的元素B∈G₂为

(g)用随机矢量中的元素x₁′P₁隐藏tA，设置v₀₁＝tA+x₁′P₁；

(h)用随机矢量中的元素隐藏B，设置

(i)用随机矢量中的元素隐藏A，设置

(j)计算随机矢量的逆元，并设置

(k)计算随机矢量x₁P₁的逆元，并设置v₂₁＝-x₁P₁；

(l)用随即矢量中的元素隐藏元素B，并设置

(m)随机选择整数i,j∈{1,2,3}，并向服务器U₁发送6个元素u_i1,u_i2,u_(i+1mod3)1,u_(i+1mod3)2,u_(i+2mod3)1,u_(i+2mod3)2，同时向服务器U₂发送6个元素v_j1,v_j2,v_(j+1mod3)1,v_(j+1mod3)2,v_(j+2mod3)1,v_(j+2mod3)2。

U₁把从邮件APP接收到的6个元素依次称为e₁₁,e₁₂,e₁₃,e₁₄,e₁₅,e₁₆，计算α₁＝e(e₁₁,e₁₂)，α₂＝e(e₁₃,e₁₄)和α₃＝e(e₁₅,e₁₆)，并把α₁,α₂,α₃返回给邮件APP；同时，U₂把从邮件APP接收到的6个元素依次称为e₂₁,e₂₂,e₂₃,e₂₄,e₂₅,e₂₆，计算α₁′＝e(e₂₁,e₂₂)，α′₂＝e(e₂₃,e₂₄)和α′₂＝e(e₂₅,e₂₆)，并把α₁′,α′₂,α₃′返回给邮件APP。

邮件APP把服务器U₁返回的结果称为α_i,α_i+1mod3,α_i+2mod3，把服务器U₂返回的结果称为α_j′,α′_j+1mod3,α′_j+2mod3，其中i和j与步骤(m)所选择的值一致；

邮件APP计算 $O={\mathrm{\α}}_1{\mathrm{\α}}_2^{\′}{\mathrm{\α}}_3^{\′}e{(P_1,P_2)}^{x_3+x_4-x_2}$ 和 $O^{\′}={\mathrm{\α}}_1^{\′}{\mathrm{\α}}_2{\mathrm{\α}}_{3}e{(P_1,P_2)}^{x_3^{\′}+x_4^{\′}-x_2^{\′}},$ 其中和来自随机矢量，α₁,α₂,α₃和α′₁,α′₂,α′₃是步骤(m)中i和j代入数值后得到的元素；

邮件APP校验O^t是否等于O′，并且O^t∈G_T，如果满足这两个条件，邮件APP输出O做为元素A和B的双线性对运算结果，否则输出错误。

采取类似的步骤，邮件APP把δ作为第一个待计算元素A，把P2作为第二个待计算元素B，从加密存储的随机矢量中解密两组，完成e(δ,P2)的计算

之后邮件APP比较e(H(M),V)和e(δ,P2)，如果相等则验证通过。

实施例2

实施例2与实施例1相同，但是基于其它的PBC库中的参数，例如类型d201，或者其它的能够定义双线性对运算的具体参数。

实施例3

实施例3与实施例1相同，但是邮件APP预先计算随机矢量的步骤可以使用其它的算法，例如NGUYEN等人提出的EBPV算法。

实施例4

实施例4与实施例1相同，但是应用环境不再是邮件APP，而是其它需要双线性对运算的密码应用，例如身份识别、远程登录等。

Claims (2)

1.一种双线性对安全外包方法，包括用户T、服务器U₁、U₂三个实体，其特征在于包括以下四个步骤：

S1.用户T预先计算偶数组随机矢量，每组包括五个群元素；

S2.用户T每次用两组随机矢量隐藏待计算的群元素，并把隐藏后的结果发送给服务器U₁、U₂；

S3.服务器U₁、U₂分别计算多个双线性对，并把结果返回给用户T；

S4.用户T使用校验参数来校验服务器U₁、U₂返回的结果，校验通过后恢复要计算的群元素的双线性对运算结果。

2.根据权利要求1所述的一种双线性对安全外包方法，其特征在于，所述的步骤S1包括如下子步骤：

(S1a).用户T均匀随机选择x₁,x₂,x₃,其中并且q是大素数，是群G₁，G₂，G_T的阶，在群G₁，G₂上可以定义双线性对运算e:G₁×G₂→G_T；

(S1b).随后用户T计算x₁的逆元x₁ ^-1和x₂的逆元x₂ ^-1，计算标量乘运算和模幂运算其中P₁是群G₁的生成元，P₂是群G₂的生成元，e(P₁,P₂)是群G_T的生成元，五个群元素构成了一组随机矢量；

(S1c).进而用户T均匀随机选择

(S1d).随后用户T计算x′₁的逆元和x′₂的逆元计算标量乘运算(x′₁P₁，x′₁x′₂ ^-1x′₃P₁，x′₁ ^-1x′₂P₂，x′₁ ^-1x′₄P₂)和模幂运算五个群元素构成了另外一组随机矢量；

(s1e).用户T通过重复步骤S1的子步骤(S1a)至(S1d)生成预计算的偶数组随机矢量；

所述步骤S2包括如下子步骤：

(S2a).用户T待计算的元素A∈G₁隐藏为u₀₁＝A+x₁P₁，其中x₁P₁来自步骤S1中子步骤(S1b)所示的随机矢量；

(S2b).用户T待计算的元素B∈G₂隐藏为其中来自步骤S1中子步骤(S1b)所示的随机矢量；

(S2c).用户T随机选择t∈{1,2,…,s}作为校验参数，其中s取值为大于等于4的整数，计算标量乘运算tA，并隐藏为其中来自于步骤S1中子步骤(S1d)所示的随机矢量；

(s2d).用户T计算随机矢量的逆元，并设置

(s2e).用户T计算随机矢量x′₁P₁的逆元，并设置u₂₁＝-x′₁P₁；

(S2f).用户T隐藏待计算的群元素B∈G₂为

(S2g).用户T用步骤S1子步骤(S1d)所示随机矢量中的群元素x′₁P₁隐藏tA，设置v₀₁＝tA+x′₁P₁；

(S2h).用户T用步骤S1子步骤(S1d)所示随机矢量中的群元素隐藏B，设置

(S2i).用户T用步骤S1子步骤(S1b)所示随机矢量中的群元素隐藏A，设置

(S2j).用户T计算随机矢量的逆元，并设置

(S2k).用户T计算随机矢量x₁P₁的逆元，并设置v₂₁＝-x₁P₁；

(S2l).用户T用步骤S1子步骤(S1b)所示随机矢量中的群元素隐藏群元素B，并设置 $v_{22}=B+$ $x_1^{-1}{x}_4{P}_2;$

(S2m).用户随机选择整数i,j∈{1,2,3}，并向服务器U₁发送6个群元素u_i1,u_i2,u_(i+1mod3)1,u_(i+1mod3)2,u_(i+2mod3)1,u_(i+2mod3)2，同时向服务器U₂发送6个群元素v_j1,v_j2,v_(j+1mod3)1,v_(j+1mod3)2,v_(j+2mod3)1,v_(j+2mod3)2；

所述的步骤S3包括如下子步骤：

(S3a).U₁把从用户T接收到的6个元素依次称为e₁₁,e₁₂,e₁₃,e₁₄,e₁₅,e₁₆，计算α₁＝e(e₁₁,e₁₂)，α₂＝e(e₁₃,e₁₄)和α₃＝e(e₁₅,e₁₆)，并把α₁,α₂,α₃返回给用户T；

(S3b).U₂把从用户T接收到的6个元素依次称为e₂₁,e₂₂,e₂₃,e₂₄,e₂₅,e₂₆，计算α′₁＝e(e₂₁,e₂₂)，α′₂＝e(e₂₃,e₂₄)和α′₂＝e(e₂₅,e₂₆)，并把α′₁,α′₂,α′₃返回给用户T；

所述步骤S4包括如下子步骤：

(S4a).用户T把服务器U₁返回的结果称为α_i,α_i+1mod3,α_i+2mod3，把服务器U₂返回的结果称为α_j′,α′_j+1mod3,α′_j+2mod3，其中i和j与步骤S2中子步骤(S2m)所选择的值一致；

(S4b).用户T计算 $O={\mathrm{\α}}_1{\mathrm{\α}}_2^{\′}{\mathrm{\α}}_3^{\′}e{(P_1,P_2)}^{x_3+x_4-x_2}$ 和 $O^{\′}={\mathrm{\α}}_1^{\′}{\mathrm{\α}}_2{\mathrm{\α}}_{3}e{(P_1,P_2)}^{x_3^{\′}+x_4^{\′}-x_2^{\′}},$ 其中和来自步骤S1中子步骤(S1b)和(S1d)所述的随机矢量，α₁,α₂,α₃和α′₁,α′₂,α′₃是步骤S4中子步骤(S4a)中i和j代入数值后得到的元素；

(S4c).用户T校验O^t是否等于O′，并且O^t∈G_T，如果满足这两个条件，用户T输出O做为元素A和B的双线性对运算结果，否则输出错误。