CN105491006B

CN105491006B - 云外包密钥共享装置及方法

Info

Publication number: CN105491006B
Application number: CN201510770988.4A
Authority: CN
Inventors: 张恩; 刘亚鹏; 段新涛; 彭杰; 孙林; 朱文焌; 王英杰; 代丽萍; 罗冰; 李锐; 申晓雪
Original assignee: Henan Normal University
Current assignee: Henan Normal University
Priority date: 2015-11-13
Filing date: 2015-11-13
Publication date: 2018-11-13
Anticipated expiration: 2035-11-13
Also published as: CN105491006A

Abstract

一种云外包密钥共享装置，其包括如下单元：密钥分发单元，用于通过分发者加密密钥子份额并且对密文数字签名，然后采取单向哈希函数对密钥进行单向哈希操作，将结果发送给云租户；云外包计算单元，用于通过云租户发送子份额给云服务提供商，云服务提供商通过签名验证算法验证云租户数据，接下来云服务提供商运用全同态技术对密文进行操作，并将最终结果返回给云租户；解密验证单元，用于通过云租户将计算结果解密，并通过单向哈希函数验证云服务提供商计算结果的正确性。本发明还提供一种云外包密钥共享方法。

Description

云外包密钥共享装置及方法

技术领域

本发明涉及云外包服务中加密技术领域，特别涉及一种云外包密钥共享装置及方法。

背景技术

密钥共享是网络安全领域研究的重要内容，也是许多安全协议的基石。在经典密钥共享协议中，假设一些参与者是诚实的，另一些参与者是恶意的。诚实者始终遵守协议，恶意者可任意偏离协议。经典密钥共享算法有两种类型：一类是有可信者参与密钥重构的方案；另一类是没有可信者参与密钥重构，由所有参与者自身来共同完成的方案。无论是有可信者参与的密钥重构方案还是没有可信者参与密钥重构的方案，都存在一个比较严重的问题：在密钥重构过程中，不能事先采取防护措施来保证参与者没有偏离协议的动机，这样一来，参与者的信息隐私性、安全性受到威胁，无法得到正确的结果。针对这一问题，一些研究方案将博弈论与密码学相结合，通过结合博弈论，对密码协议建立博弈模型，这样改进了传统密码学协议中的缺陷和不合理的假设，并且使得理性的参与者依据自身收益得失没有动机偏离协议。然而现存的经典秘密共享和理性秘密共享方案，在密钥分发和重构阶段需要大量耗时的运算，不能有效适用于计算能力薄弱的智能手机、平板电脑、PDA等设备中。

近年来随着云计算的迅猛发展，云外包计算成为企业和学术界研究热点，在云外包计算环境中，计算能力薄弱的云租户将大量复杂、耗时的计算外包给具有强大计算能力的云服务提供商(CSP)来完成，云租户可以享受无限制的计算资源，云服务提供商则可以按需收费。目前云外包方案有两类：一类是针对通用计算功能的方案；另一类是针对特定的计算功能的方案。通用的云外包计算不能针对具体的问题提供高效的解决方法，尚无法应用在实际云外包环境中。

本发明针对密钥共享特性，提出一种云外包密钥共享方法，并给出具体的实现步骤。可以有效防止云租户和恶意行为并验证云服务提供商计算结果，该方法将大量复杂、耗时的计算外包给具有强大计算能力的云服务提供商(CSP)来完成，计算能力薄弱的云租户只需进行少量解密运算就可以得到重构的密钥，极大提高了密钥分发和重构效率，具有较高的理论意义和应用价值。

现有技术方案

密钥共享是信息安全领域的重要研究内容，密钥共享的思想将密钥以某种方式拆分，拆分后的每个子份额由不同的参与者拥有，只有若干个参与者协同合作才能恢复密钥，这样达到防止密钥过于集中和容忍入侵的目的。经典的(m，n)门限密钥共享方案由Shamir[1]([1]Shamir A.How to share a secret[J].Communications of the ACM，1979，22(1)：612-613.)和Blakeley[2]([2]Blakeley G R.Safeguarding cryptographic keys[C].Proceedings of the National Computer Conference，New York：AFIPS Press，1979：313-317.)于1979年分别基于多项式插值法和多维空间点的特性提出。方案要求大于或等于m人方可重构出秘密，少于m人合作得不到秘密。但文献[1-2]存在分发者和参与者欺骗的问题。针对成员欺骗问题，Chor等人[3]([3]Chor B，Goldwasser S，MicaliS.Verifiable Secret Sharing and Achieving Simultaneity in the Presence ofFaults[C].Proceedings of the 26th Annual Symposium on Foundations of ComputerScience，Washington，DC：IEEE Computer Society，1985：383-395.)提出可验证的密钥共享(Verifiable Secret Sharing，简称VSS)，Feldman[4]([3]Chor B，Goldwasser S，Micali S.Verifiable Secret Sharing and Achieving Simultaneity in the Presenceof Faults[C].Proceedings of the 26th Annual Symposium on Foundations ofComputer Science，Washington，DC：IEEE Computer Society，1985：383-395.)、Pedersen[5]([5]Pedersen T P.Distributed provers with applications to undeniablesignatures[C].Proceedings of Eurocrypt’91，Lecture Notes in Computer Science，LNCS 547，Springer-Verlag，1991：221-238.)分别提出一种能防止分发者和参与者欺骗的可验证的密钥共享方案。但是VSS方案只能起到事后验证而不能起到事先预防的作用。例如，在密钥重构过程中，一个参与者A广播一个错误的子份额，而其他m-1个人广播了正确的子份额。这样欺骗者A就能独自得到密钥，尽管其欺骗行为在事后能被可验证的方法发现(但为时已晚)，同样也会出现2个或多个人合谋欺骗或者不发送子密钥份额，这样，合谋集团将独得密钥。此后，刘木兰等人[6]([6]刘木兰，肖亮亮，张志芳.一类基于图上随机游动的密钥共享体制[J].中国科学E辑：信息科学，2007，37(2)：199-208.)提出一种基于图的秘密共享方案。张志芳[7]([7]张志芳.密钥共享与安全多方计算[D].中国科学院数学与系统科学研究院博士论文，2007.)对乘性的线性密钥共享体制和并行的安全多方计算体制进行了研究。Hou等人[8]([8]Hou Y C，Quan Z Y Tsai C F，Tseng A Y.Block-basedprogressive visual secret sharing[J].Information Sciences，2013，233(1)：290-304.)提出一种可视密钥共享方案。Mahabir等人[9]([9]Mahabir P J，Ayineedi V，Reihaneh S N.Paillier-based publicly verifiable(non-interactive)secretsharing.Desings codes and cryptography.2014，73(2)：529-540.)提出一种公开可验证方案。Herranz等人[10]([10]Herranz J，Ruiz A，Saez G.New results and applicationsfor multi-secret sharing schemes.Desings codes and cryptography.2014，73(3)：841-864.)，Shao等人[11]([11]ShaoJ，Efficient verifiable multi-secret sharingscheme based on hash function.Information Sciences，2014，278(10)：104-109.)，Fatemi等人[12]([12]Fatemi M，Ghasemi R Eghlidos T.Efficient multistage secretsharing scheme using bilinear map.Information security，IET，2014，8(4)：224-229.)对多密钥共享方案进行了研究，但文献[1-12]中的方案都不能预防参与者合谋和欺骗。庞辽军等人[13]([13]庞辽军，裴庆祺，焦李成，王育民.基于ID的门限多重秘密共享方案[J].软件学报，2008，19(10)：2739-2745.)提出一种基于ID的门限多重秘密共享方案。裴庆祺等人[14]([14]裴庆祺，马建峰，庞辽军，张红斌.基于身份自证实的秘密共享方案[J].计算机学报，2010，33(1)：152-156.)提出一种基于身份的自证实的秘密共享方案。文献[13-14]的方案虽然可以防止成员合谋和欺骗，但在重构过程中需要大量耗时的工作效率非常低。

Halpern和Teague[15]([15]Halpern J，Teague V.Rational Secret Sharingand Multiparty Computation[C].Proceedings of the 36th Annual ACM Symposium onTheory of Computing(STOC)，New York：ACM Press，2004：623-632.)在计算机理论界顶级会议STOC上，首次将博弈论引入密钥共享和安全多方计算，用以弥补经典秘密共享和多方计算方案的缺陷。Halpern和Teague[15]认为所设计的理性密码协议必须是多轮的，并且使得参与者不知道协议在哪一轮结束，从而才能使他们有合作的动机。但他们设计的理性秘密共享方案需要参与者人数大于等于3，并且协议在一定条件下需要重启，这样分发者需要重新分发秘密份额，相当于需要分发者一直在线。另外，他们的方案在3个成员参与的情况下，不能防止两个成员合谋。此后，一系列文献[16-34]([16]Tian Youliang，Ma Jianfeng，Peng Changgen，et.al.One-time rational secret sharing scheme based on bayesiangame[J].Wuhan University Journal of Natural Sciences，2011，16(5)：430-434.[17]张恩，蔡永泉.基于双线性对的可验证的理性秘密共享方案[J].电子学报，2012，40(5)：1050-1054.[18]Tian Youliang，Ma Jianfeng，Peng Changgen，Jiang Qi.Fair(t，n)threshold secret sharing scheme[J].IET Information Security.2013，7(2)：106-112.[19]Zhang En，Cai Yongquan.A New Rational Sacret Sharing[J].ChinaCommunications，2010，7(4)：18-22.[20]Zhang Zhifang，Liu Mulan.Rational secretsharing as extensive games[J].Science China Information Sciences，2013，56(3)：1-13.[21]Cai Yongquan，Peng Xiaoyu.Rational Secret Sharing Protocol withFairness[J].Chinese Journal of Electronics.2012，21(1)：149-152.[22]Yu Yang，Zhou Zhanfei.An Efficient Rational Secret Sharing Protocol ReSiSting againstMalicious Adversaries over Synchronous Channels[C].Information SecurityCryptology LNCS 7763，2013：69-89.[23]Cai C，Wang B J，Ditta Allah and Yang Yi.Arational secret Sharing scheme ageinst coalition based on nash equilibriumand neighbor’s strategy.Chinese Journal of Electronics，2014，23(3)：564-568.[24]Zhang En，Cai Yongquan.Collusion-free Rational Secure Sum Protocol[J].Chinese Journal of Electronics，2013，22(3)：563-566.[25]Maleka S，Amjed S，Rangan C P.Rational Secret Sharing with Repeated Games[C].In 4th InformationSecurity Practice and Experience Conference，LNCS 4991，Springer-Verlag，2008：334-346.[26]Kol G，Naor M.Cryptography and Game Theory：Designing Protocols forExchanging Information[C].In the Proceedings of the 5th Theory ofCryptography Conference.Springer-Verlag，2008：320-339.[27]Kol G，Naor M.Gamesfor exchanging information[C].Proceedings of the 40th Annual ACM Symposium onTheory of Computing，New York：ACM Press，2008：423-432.[28]One S J，Parkes D，Rosen A，Vadhan S.Fairness with an honest minority and a rational majority[C].Proc.6th Theory of Cryptography Conference，LNCS 5444，Springer-Verlag，2009：36-53.[29]FuChSbauer G，Katz J，Naccache D.Eficient Rational Secret Sharing inthe Standard Communication Networks[C].Proc.7th Theory of CryptographyConference，LNCS 5978，Springer-Verlag，2010：419-436.[30]Zhang En，CaiYongquan.Rational Multi-Secret Sharing SCheme in Standard Point-to-PointCommunication Networks.International Journal of Foundations of ComputerScience，2013，24(6)：879-897.[31]Abraham I，Dolev D，Gonen R，HalpernJ.Distributed computing meets game theory：robuSt mechanisms for rationalsecret sharing and multiparty computation[C].Proc.25th ACM Symp.Principles ofDistributed Computing，2006，pp.53-62.[32]Micali S，Shelat A.Purely RationalSecret Sharing[C].In 6th Theory of Cryptography Conference，LNCS 5444，Springer-Verlag，2009：54-71.[33]William K.MOses Jr，and C.Pandu Rangan.RationalSecret Sharing over an Asynchronous Broadcast Channel with InformationTheoretic Security[J].International Journal of Network Security & ItsApplications，2011，3(6)：1-18.[34]William K.MOses Jr，and C.Pandu Rangan.secretsharing with honest players over an asynchronous channel[J].Advances inNetwork Security and Applications-Communications in Computer and InformationScience，2011，196(1)：414-426.)对理性密钥共享协议和理性安全多方计算协议[35-38]([35]Gennaro R，Gentry C，Parno B.Non-interactive Verifiable Computing：Outsourcing Computation to Untrusted Workers.In CRYPTO’2010.LNCS 6223，2010：465-482.[36]Parno B，Raykova M，Vaikuntanathan V.How to Delegate and Verify inPublic：Verifiable Computation from Attribute-Based Encryption.Theory ofCryptography.Springer Berlin Heidelberg，2012：422-439.[37]Shafi G，Yael K，Raluca A P，Vinod V.Encryption.In Proceedings of the 44th Annual ACM Symposiumon Theory of Computing，2013：555-564.[38]Lopez A，Tromer E，Vaikuntanathan V.On-the-Fly Multiparty Computation on the Cloud via Multikey Fully HomomorphicEncryption.ProceedingS of the 44th Annual ACM Symposium on Theory ofComputing，2012：1219-1234.)进行了研究，田有亮等人[16]基于贝叶斯博弈提出一种密钥共享方案，但方案工作在(2，2)环境，不能应用于多人情况。张恩等人[17]基于双线性对提出一种理性密钥共享方案，无需分发者在线，也不需要可信者参与密钥重构，但方案需工作在同时广播条件下，同时广播是一个比较强的条件，在因特网环境中难以实现，需要广播信道的还有一系列文献[15，17-25]。Maleka等人[25]提出一种基于重复博弈的密钥共享方案，通过考虑所有阶段博弈得益的贴现值之和来对密钥共享建立模型，但参与者在最后一轮可以通过欺骗，以较高的概率获得密钥。另外他们的方案不能防止参与者合谋攻击，如果有两个合谋者拥有的多项式次数相差为1的话，那么合谋者能合谋得到秘密，同时阻止其他参与者获得秘密。Kol等人[26]利用二次剩余难题设计了有意义/无意义的加密算法，同时利用了安全多方计算等工具，构造了一种理性密钥共享方案。但该方案中的参与者有可能在安全多方计算阶段合谋欺骗。Kol等人[27]采用信息论安全的方法设计了一种密钥共享方案，在他们的方案中不需要可计算假设，他们将每一轮分成多个阶段，在前一些轮中放的是随机的假秘密，将真正的秘密放在了长份额中。但方案不能防止拥有短份额的人和拥有长份额人的合谋攻击。One等人[28]设计的方案需要少量的诚实者和多数理性者参与，另外方案不能防止成员合谋攻击。Fuchsbauer等人[29]的方案和张恩等人[30]的方案，虽然无需同时广播通信条件，但是也没有对合谋者的动机、收益和防合谋均衡进行研究，并且不能完美的模拟广播通信网络。Abraham等人[31]提出一种防合谋理性密钥共享协议，博弈分成3个阶段，在每个阶段，博弈方将信息发给中间人，中间人计算信息后将结果发给每个博弈方，但方案要求中间人必须是大家都信任的。Micali等人[32]的方案同样需要有可信者参与密钥重构过程。William等人[33-34]在异步信道下提出了两种密钥共享方案，但方案需要有诚实的参与者，然而在分布式网络环境中，如何保证参与者始终是诚实的，则是非常困难的。

以上经典秘密共享和理性秘密共享方案，在密钥分发和重构阶段需要大量耗时的运算，尚不能很好的适用于计算能力薄弱的智能手机、平板电脑、PDA等设备中，因此无法满足用户个性化需求及适应当前云计算的迅猛发展，为了进一步提高计算效率，云外包计算应运而生并很快成为学术界研究的热点，在云外包计算环境中，计算能力薄弱的云租户利用移动设备收集信息，当需要对收集的信息进行大量复杂、耗时计算时，将计算外包给具有强大计算能力的云服务提供商(CSP)来完成相关任务，这样租户可以享受无限制的计算资源，CSP则根据租户计算任务按需收取相应报酬。Gennaro[35]在标准模型下，基于混淆电路和全同态提出一种适合于单个租户的可验证外包计算协议。方案增加了离线的预处理阶段，构造了具有全同态解密功能的混淆电路，租户能够验证CSP返回结果的正确性和完整性。Parno等[36]提出一种公开代理和验证的方案，方案基于属性加密，但该方案不能保证属性的隐私。Glodwasser等[37]提出一种基于RLWE问题的单密钥功能加密，并在功能加密基础上设计了公开可验证方案。Lopez等[38]在环LWE困难问题基础上，提出一种on-the-fly安全多方计算协议，用户将密文存储在云中，CSP可以动态选择计算功能，但其方案在解密阶段需要租户交互执行MPC协议。Gordon等[39]([39]Gordon S D，Katz J，Liu F H，etal.Multi-Client Verifiable Computation with Stronger Security Guarantees.InTCC，2015：144-168.)结合具有两个输出结果的属性加密、混淆和代理不经意传输等加密方法，提出一种具有强安全保证的多租户验证外包计算。为了进一步提高效率和实际应用推广，文献[40-43]([40]Li J，Huang X Y，Li J W，et al.Securely outsourcingattribute-based encryption with checkabiltiy.IEEE Transactions on Paralleland Distributed Systems，2014，25(8)：2201-2210.[41]胡杏，裴定一，唐春明.可验证安全外包矩阵计算及其应用[J].中国科学：信息科学，2013，43(7)：842-852.[42]Zhang F G，Xu M，Liu S L.Efficient computation outsourcing for inverting a class ofhomomorphic functions.Information Sciences，2014，286(1)：19-28.[43]Chen X F，Huang X Y，Line J，et al.New Algorithms for Secure Outsourcing of Larqe-ScaleSystems of Linear Equations.IEEE Transactions on Information Forensics andSecurity.2015，10(1)：69-78.)对具体地外包科学计算问题进行了研究。目前尚没有针对密钥共享协议的高效、安全的云外包方案。

现有技术由如下三个主要缺点：

(1)现有密钥共享技术在密钥分发和重构阶段需要大量耗时的运算，尚不能很好的适用于计算能力薄弱、内存空间相对小的智能手机、平板电脑、PDA等设备中，无法满足用户个性化需求及适应当前云计算的迅猛发展；

(2)现有保证云租户诚实遵守协议的方法采用承诺方案、零知识证明和多方投币协议，需要租户多轮交互，实用性不高；

(3)现有验证云服务商计算结果的方法采用概率证明或非交互论证，验证方法复杂、效率低下。

发明内容

有鉴于此，本发明提供一种云外包密钥共享装置及方法。

一种云外包密钥共享装置，其包括如下单元：

密钥分发单元，用于通过分发者加密密钥子份额并且对密文数字签名，然后采取单向哈希函数对密钥进行单向哈希操作，将结果发送给云租户；

云外包计算单元，用于通过云租户发送子份额给云服务提供商，云服务提供商通过签名验证算法验证云租户数据，接下来云服务提供商运用全同态技术对密文进行操作，并将最终结果返回给云租户；

解密验证单元，用于通过云租户将计算结果解密，并通过单向哈希函数验证云服务提供商计算结果的正确性。

在本发明所述的云外包密钥共享装置中，所述密钥分发单元包括：

可信任的密钥分发者运行公私钥产生算法得到密钥对(pk_d，sk_d)，进而通过密钥产生算法Keygen(1^k)得到(pk，sk，ek)，其中k为安全参数；

分发者从GF(q)中随机选择m-1个元素a₁，···，a_m-1，构造m-1次多项式1≤i≤n，其中s为密钥；

分发者计算y_i＝f(x_i)然后通过加密算法Enc(pk，x_i||y_i)得到密文c_i，并进行数字签名

分发者将元组(c_i，σ_i，h(s)，sk)发送给P_i，其中h(·)为单向哈希函数。

在本发明所述的云外包密钥共享装置中，所述云外包计算单元包括：

由m个云租户分别将(c_i，σ_i)_i∈m发给云服务提供商S；

S运行签名验证算法如果成功则进行下一步，如果失败则拒绝执行计算，并将P_i的欺骗行为进行广播；

云服务提供者S运用全同态加密技术进行密文计算：c：＝Eval(C，(c₁，pk₁，ek₁)，···，(c_m，pk_m，ek_m))，这里参与者公钥和计算密钥相同分别为(pk，ek)，然后广播密文c。

在本发明所述的云外包密钥共享装置中，解密验证单元包括：

云租户运行解密算法Dec(sk₁，···，sk_m，c)得到这里云租户私钥相同均为sk；

云租户检验h(s)和h(f(0))是否相等，从而验证云服务提供商S计算结果的正确性。

本发明还提供一种云外包密钥共享方法，其包括如下步骤：

S1、通过分发者加密密钥子份额并且对密文数字签名，然后采取单向哈希函数对密钥进行单向哈希操作，将结果发送给云租户；

S2、通过云租户发送子份额给云服务提供商，云服务提供商通过签名验证算法验证云租户数据，接下来云服务提供商运用全同态技术对密文进行操作，并将最终结果返回给云租户；

S3、通过云租户将计算结果解密，并通过单向哈希函数验证云服务提供商计算结果的正确性。

在本发明所述的云外包密钥共享方法中，所述步骤S1包括：

在本发明所述的云外包密钥共享方法中，所述S2包括：

由m个云租户分别将(c_i，σ_i)_i∈m发给云服务提供商S；

在本发明所述的云外包密钥共享方法中，所述S3包括：

本发明提供的云外包密钥共享装置及方法，该发明专利首次将密钥共享方案扩展到云上，结合近几年快速兴起的云外包安全计算理念，提出了一种基于云外包环境的密钥共享装置与方法。

1.该方法充分借助云计算的强大计算能力，将密钥共享中复杂、耗时的密钥重构过程交给云服务提供商进行计算，避免了云租户自身设备计算资源有限，计算能力薄弱的劣势。这样安全、高效、灵活的实现了云租户间的密钥共享过程。非常适合当前迅猛发展的云计算和社交网络环境。目前尚未检索到将云计算外包和密钥共享相结合的研究方案。

2.在密钥分发阶段，分发者对密钥子份额进行加密并对密文数字签名，然后将签名信息和对密钥的哈希值发给云租户。在重构阶段，云租户将密钥子份额的密文和分发者的签名发给云服务提供商，云服务提供商通过签名验证算法验证云租户发过来的数据，这样能够达到检验云租户和分发者恶意行为的目的。另外在密钥重构过程中，云租户之间不需要进行多轮交互。因此比现有云外包方案中采用的复杂的承诺方案、零知识证明等方法更加高效和实用。

3.在密文计算过程中，云服务提供商通过使用改进的全同态加密算法对密文进行运算，云租户收到云服务提供商返回的密文计算结果后，对密文计算结果进行解密并进行哈希操作，然后和原有密钥哈希结果进行对比，从而验证云服务提供商计算正确性，防止云服务提供商在密钥共享过程中产生的欺诈行为。相比较现有复杂的非交互论证等验证方法更加切合实际。

附图说明

图1为本发明实施例的基于云外包的密钥共享方法网络拓扑图；

图2为本发明实施例的基于云外包环境的安全密钥共享方案图。

具体实施方式

如图1所示，本方案在密钥分发阶段由分发者加密密钥子份额并且对密文数字签名，然后采取单向哈希函数对密钥进行单向哈希操作，将结果发送给云租户。在密钥重构阶段，云租户发送子份额给云服务提供商，云服务提供商通过签名验证算法验证云租户数据，接下来云服务提供商运用全同态技术对密文进行操作，并将最终结果返回给云租户。在解密验证阶段云租户将计算结果解密，并通过单向哈希函数验证云服务提供商计算结果的正确性。整个云外包密钥共享过程，云租户只需少量的解密和验证操作，云租户之间无需交互，实现了安全、高效的密钥共享。基于云外包的密钥共享装置和方法设计如下：

云外包密钥共享方案设计

该发明专利结合数字签名，多密钥全同态算法，单向哈希函数等算法，设计了云外包环境下的密钥共享方案，现有密钥共享协议在密钥分发和重构阶段需要大量耗时的运算，尚不能很好的适用于计算能力薄弱的智能手机、平板电脑、PDA等设备中，该发明专利针对该类问题，设计了基于云外包环境的密钥共享方法，可以促使计算能力薄弱的云租户有效分享和重构密钥，有很强的实用价值，设计方案如图2所示：

云外包密钥共享方案具体实施步骤如下：

密钥分发阶段：

步骤1：可信任的密钥分发者运行公私钥产生算法得到密钥对(pk_d，sk_d)，进而通过密钥产生算法Keygen(1_k)得到(pk，sk，ek)，其中k为安全参数(为了降低客户端认证和计算开销，本发明方案采用轻量级无需CA认证的PKI[39])，不同于文献[38]本文方案依据密钥共享的特性，云租户使用相同的公私钥对，这样能够进一步提高云租户端计算和认证效率。

步骤2：分发者从GF(q)中随机选择m-1个元素，构造m-1次多项式，1≤i≤n，其中s为密钥。

步骤3：分发者计算y_i＝f(x_i)然后通过加密算法Enc(pk，x_i||y_i)得到密文ci，并进行数字签名

步骤4：分发者将元组(c_i，σ_i，h(s)，sk)发送给pi，其中h(·)为单向哈希函数。

云外包计算阶段：

步骤1：由m个云租户分别将(c_i，σ_i)_i∈m发给云服务提供商S。

步骤2：S运行签名验证算法如果成功则进行下一步，如果失败则拒绝执行计算，并将pi的欺骗行为进行广播。

步骤3：云服务提供者S运用全同态加密技术进行密文计算：c：＝Eval(C，(c₁，pk₁，ek₁)，···，(c_m，pk_m，ek_m))，这里参与者公钥和计算密钥相同分别为(pk，ek)，然后广播密文c。

密钥解密验证阶段：

步骤1：云租户运行解密算法Dec(sk₁，···，sk_m，c)得到这里云租户私钥相同均为sk。

步骤2：云租户检验h(s)和h(f(0))是否相等，从而验证云服务提供商S计算结果的正确性。

本发明实施例相对于现有技术，具有如下优点：

(1)该发明提出一种云外包密钥共享装置和方法，将传统密钥共享方案扩展到云上，该发明将大量复杂、耗时的计算外包给具有强大计算能力的云服务提供商(CSP)来完成，计算能力薄弱的云租户只需进行少量解密运算，租户之间无需复杂的交互和验证，从而提高了密钥共享分发和重构效率，具有很强的实用价值。

(2)在本发明方案中，分发者对每位云租户的密钥子份额进行加密并数字签名，云租户和云服务提供商可以利用分发者的公钥对数字签名进行验证，因此恶意的云租户不能用错误的输入信息欺骗云服务提供商。该验证方法简洁、高效，无需复杂的承诺方案、零知识证明等方法，就能达到检验参与者恶意行为的目的。

(3)云租户对云服务提供商(CSP)返回的密文结果进行解密并验证结果的正确性，当h(s)和h(f(0))相等时，云租户能够确认CSP计算结果是正确的，否则认为CSP计算结果是错误的，由于单向哈希函数的性质，一个或者多个云租户合谋不能从推导出任何关于的有用信息。该验证方法可以有效检验CSP的恶意行为，因此CSP有正确执行协议的动机，最终所有云租户都能公平和正确的重构密钥。

可以理解的是，对于本领域的普通技术人员来说，可以根据本发明的技术构思做出其它各种相应的改变与变形，而所有这些改变与变形都应属于本发明权利要求的保护范围。

Claims

1.一种云外包密钥共享装置，其特征在于，其包括如下单元：

密钥分发单元，用于通过分发者加密密钥子份额并且对密文数字签名，然后采取单向哈希函数对密钥进行单向哈希操作，将签名后的密文发送给云租户；

2.如权利要求1所述的云外包密钥共享装置，其特征在于，所述密钥分发单元包括：

可信任的密钥分发者运行公私钥产生算法得到密钥分发者运行公私钥产生算法计算得到的密钥对(pk_d，sk_d)，进而通过密钥产生算法Keygen(l^k)得到(pk，sk，ek)，其中k为安全参数；

分发者从有限域GF(q)中随机选择m-1个元素a₁，…，a_m-1，构造m-1次多项式其中s为参与者之间共享的密钥；

分发者将元组(c_i，σ_i，h(s)，sk)发送给参与者P_i，其中h(·)为单向哈希函数。

3.如权利要求2所述的云外包密钥共享装置，其特征在于，所述云外包计算单元包括：

由m个云租户分别将(c_i，σ_i)_i∈m发给云服务提供商S；

云服务提供商S运用全同态加密技术进行密文计算：c：＝Eval(C，(c₁，pk₁，ek₁)，…，(c_m，pk_m，ek_m))，这里参与者公钥和计算密钥相同分别为(pk，ek)，然后广播密文c。

4.如权利要求3所述的云外包密钥共享装置，其特征在于，解密验证单元包括：

云租户运行解密算法Dec(sk₁，…，sk_m，c)得到这里云租户私钥相同均为sk；

5.一种云外包密钥共享方法，其特征在于，其包括如下步骤：

S1、通过分发者加密密钥子份额并且对密文数字签名，然后采取单向哈希函数对密钥进行单向哈希操作，将签名后的密文发送给云租户；

6.如权利要求5所述的云外包密钥共享方法，其特征在于，所述步骤S1包括：

可信任的密钥分发者运行公私钥产生算法得到密钥对(pk_d，sk_d)，进而通过密钥产生算法Keygen(l^k)得到(pk，sk，ek)，其中k为安全参数；

分发者从有限域GF(q)中随机选择m-1个元素a₁，…，a_m-1，构造m-1次多项式其中S为密钥；

7.如权利要求6所述的云外包密钥共享方法，其特征在于，所述S2包括：

由m个云租户分别将(c_i，σ_i)_i∈m发给云服务提供商S；

云服务提供商S运行签名验证算法如果成功则进行下一步，如果失败则拒绝执行计算，并将参与者P_i的欺骗行为进行广播；

8.如权利要求7所述的云外包密钥共享方法，其特征在于，所述S3包括：