CN107294696A - 针对Leveled全同态密钥分配方法 - Google Patents

Abstract

本发明属于数据共享技术领域，公开了一种针对Leveled全同态密钥分配方法，包括：密钥生成中心KGC为群成员计算签名公私钥并公开系统参数；密钥生成中心KGC给群成员分发签名密钥群成员进行群共享密钥的协商；中间结点利用群共享密钥进行同态密钥参数的共享，每一个群成员利用同态密钥参数进行计算，完成同态密钥的分配。本发明实现了同态密钥在群用户中的共享，群以外的用户无法得到该密钥，可用于群用户共享隐私数据的检索中。

Description

针对Leveled全同态密钥分配方法

技术领域

本发明属于数据共享技术领域，尤其涉及一种针对Leveled全同态密钥分配方法。

背景技术

用户隐私数据检索是指用户将自己的隐私数据存储到不可信的第三方服务器上，例如云服务器。为了在不泄露隐私数据的前提下，完成对数据的检索工作，这里不仅需要对数据加密，而且要对加密数据进行一定的处理，同态加密算法正好满足这种需求。若多个用户参与完成共享数据检索工作，同态加密算法使用的前提是必须实现多用户之间的同态密钥的共享。在群用户共享隐私数据检索中，现有的方案只是针对单个的检索用户来说，每个用户有一套自己独特的密钥系统，相互之间没有任何干预，对于群用户共享的隐私数据来说，这样的方式将导致每个用户都必须有一对公私钥，这不仅增加密钥管理的负担，同时给利用同态加密的检索技术带来复杂的处理。与此同时，已有的密钥协商和分配技术只是利用同态的性质来完成，针对同态加密算法的密钥分配的技术尚未出现。以上的问题不利于密文检索技术的发展和使用。

综上所述，现有技术存在的问题是：对于多个用户共享的数据，在检索时依旧需要每个用户持有不同的检索密钥，由此带来密钥管理的负担；在基于同态的密文检索技术中，密文运算需要对应同一个公钥，多个密钥使检索十分困难。

发明内容

针对现有技术存在的问题，本发明提供了一种针对Leveled全同态密钥分配方法。

本发明是这样实现的，一种针对Leveled全同态密钥分配方法，所述针对Leveled全同态密钥分配方法包括以下步骤：

(1)密钥生成中心KGC为群成员计算签名公私钥并公开系统参数；

(2)密钥生成中心KGC给群成员分发签名密钥；

(3)群成员进行群共享密钥的协商；

(4)中间结点利用群共享密钥进行同态密钥参数的共享，每一个群成员利用同态密钥参数进行计算，最后完成同态密钥的分配。

进一步，所述针对Leveled全同态密钥分配方法具体包括以下步骤：

(1)系统初始化：

(1a)密钥生成中心KGC运行Sig_Gen(1^λ)算法，为群成员u_i生成签名和验证所需的密钥，其中λ表示安全参数；

(1b)密钥生成中心KGC选择素数p,q满足p＝2q+1，并构造有限域其中表示整数集合；

(1c)密钥生成中心KGC生成乘法循环群计算其子群并选取G_q的生成元g；

(1d)密钥生成中心KGC选取整数集合上的离散高斯分布χ；

(1e)密钥生成中心KGC公开系统参数

(2)签名密钥分发

(2a)密钥生成中心KGC通过安全信道将签名密钥(SK_i,HK_i,TK_i)发送给对应的群成员u_i；

(2b)密钥生成中心KGC公布所有群成员的验证密钥(PK_i,HK_i)；

(3)群共享密钥协商

采用星型群密钥协商结构，假设有T个群成员，各自身份信息为{ID₀,...,ID_i,...,ID_T-1}，选取计算能力强的群成员作为中间结点u₀，其余的群成员u_i(i＝1,2...T-1)作为低能量结点；

(3a)每个低能量结点u_i本地计算步骤如下：

(3a1)每个低能量结点u_i选择随机数预先计算随机数x_i的逆元并且按照下式计算本地验证元素δ_i：

其中，PK₀表示中间结点u₀的公钥，p表示模数，mod表示模操作；

(3a2)每个低能量结点u_i按照下式计算中间值y_i和结点u_i的签名值σ_i：

σ_i＝Sign(SK_i,y_i||ID_i)；

其中，g表示子群G_q的生成元，Sign(·)表示Shamir-Tauman签名算法，SK_i表示低能量结点u_i的私钥，ID_i表示低能量结点u_i的身份信息，||表示级联操作；

(3a3)每个低能量结点u_i得到一组本地数据(x_i,x_i ^-1,δ_i,y_i,σ_i)，并将签名(y_i,σ_i)发送给中间结点u₀；

(3b)中间结点u₀计算步骤如下：

(3b1)对每一个签名(y_i,σ_i)，中间结点u₀运行Verify(PK_i,y_i,σ_i)算法，检查低能量结点u_i的签名值σ_i的正确性，其中，PK_i表示u_i的公钥，若u_i的签名值σ_i正确，则继续步骤(3b2)；否则，拒绝u_i的请求；

(3b2)中间结点u₀随机选择秘密值按照下式计算部分群密钥M：

其中，SK₀表示u₀的私钥；

(3b3)对于i＝1,2,...T-1，中间结点u₀计算公开值z_i和线上验证元素δ_i'：

(3b4)中间结点u₀按照下式计算检测值C和群共享密钥K：

其中，H(·)表示单向哈希函数，表示异或操作，表示连乘操作；

(3b5)中间结点u₀将检测值C、公开值z_i和线上验证元素δ_i'，(i＝1,2,...T-1)进行广播；

(3c1)每一个低能量结点u_i在接收到步骤(3b5)的数据以后，验证如下等式是否成立：

δ_i＝δ_i'；

若等式成立，则继续步骤(3c2)，否则，中断本次密钥协商；

(3c2)每个低能量结点u_i按照下式计算部分验证群密钥M'：

(3c3)每个低能量结点u_i按照下式计算哈希值C'：

(3c4)每个低能量结点u_i验证如下等式是否成立：

C＝C'；

若等式成立，则继续步骤(3c5)，否则，中断本次密钥协商；

(3c5)每个低能量结点u_i计算群验证共享密钥K'：

中间结点和每个低能量结点得到相同的群共享密钥K＝K'；

(4)Leveled全同态密钥分配

Leveled全同态计算深度为L，密钥分配步骤如下：

(4a1)中间结点u₀选取L+1个n维部分私钥向量s'_j←χⁿ，(j＝0,1,...L)，令私钥向量s_j＝(1,s'_j)，将L+1个私钥向量s_j表示为一个私钥矩阵P，其中，χ表示离散高斯分布；

(4a2)中间结点u₀选取均匀随机分布的N行n列矩阵和N维的误差向量e←χ^N，其中，表示有限域；

(4a3)中间结点u₀利用群共享密钥K，进行如下公式的计算：

E₁＝E(K,P)；

E₂＝E(K,e)；

其中，E₁表示私钥矩阵密文，E₂表示误差密文，E(·)表示AES对称加密算法；

(4a4)中间结点u₀将(E₁,E₂,A')进行广播；

(4b1)每个低能量结点u_i收到中间结点u₀的广播信息，解密得到私钥矩阵P和误差向量e；

(4b2)每个低能量结点u_i取出私钥矩阵的第一行，s₀＝(1,s'₀)，按照下式计算部分公钥b：

b＝A's'₀+2e；

(4b3)每个低能量结点得到共享公钥A如下：

A＝[b||-A']；

其中，||表示级联操作。

(4c)中间结点u₀进行步骤(4b2)的操作，可计算得到共享公钥A。

进一步，所述(1a)中的密钥生成中心KGC运行Sig_Gen(1^λ)算法包括如下步骤：

(1a1)先为每一个群成员u_i随机选择私钥按下式计算公钥PK_i：

(1a2)运行陷门哈希族的密钥生成算法得到哈希密钥HK_i和陷门密钥TK_i；

(1a3)最终群成员u_i的签名密钥是(SK_i,HK_i,TK_i)，验证密钥(PK_i,HK_i)。

进一步，所述(3a2)中的Shamir-Tauman签名算法是通过将任意普通的签名算法和陷门哈希相结合形成的在线/离线签名算法，包括如下步骤：

签名分为两个阶段：

离线：

(a)选择随机数对计算哈希值其中表示消息空间，表示随机种子选取空间，h(·)表示随机哈希函数；

(b)运行普通签名算法S，利用私钥SK_i对哈希值进行签名，输出离线签名

(c)存储随机数对(f_i',r_i')，哈希值和离线签名∑_i；

在线：

(a)取出离线阶段步骤(c)存储的内容；

(b)寻找使其满足

(c)最终的签名值为σ_i＝(r,∑_i)。

进一步，所述(3b1)中的中间结点u₀运行Verify(PK_i,y_i,σ_i)算法先利用验证密钥(PK_i,HK_i)计算利用普通验证算法V检验离线签名∑_i的正确性。

本发明的另一目的在于提供一种应用所述针对Leveled全同态密钥分配方法的用户隐私数据检索系统。

本发明的另一目的在于提供一种应用所述针对Leveled全同态密钥分配方法的云服务器。

本发明的优点及积极效果为：本发明首次实现了同态密钥在群用户中的共享，在以前的密钥共享方案中，并没有针对同态密钥的共享，只是普通的对称密钥的共享，所以本发明是首次实现该功能。并且群以外的用户无法获得该密钥。本发明的群共享密钥协商协议，解决了中间人伪造攻击，通过嵌入通信双方提前计算的验证元素δ，使得攻击者无法伪造出公开值z_i，从而提高了协议的安全性。本发明实际上在一次协议中实现了双密钥的共享，可用于群用户共享隐私数据的检索，如下所示：

附图说明

图1是本发明实施例提供的针对Leveled全同态密钥分配方法流程图。

图2是本发明实施例提供的协议采用的结构图。

图3是本发明实施例提供的群共享密钥协商的过程图。

图4为是本发明实施例提供的Leveled全同态密钥分配的过程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

下面结合附图对本发明的应用原理作详细的描述。

如图1所示，本发明实施例提供的针对Leveled全同态密钥分配方法包括以下步骤：

S101：密钥生成中心KGC为群成员计算签名公私钥并公开系统参数；

S102：密钥生成中心KGC给群成员分发签名密钥；

S103：群成员进行群共享密钥的协商；

S104：中间结点利用群共享密钥进行同态密钥参数的共享，每一个群成员利用同态密钥参数进行计算，最后完成同态密钥的分配。

下面结合附图对本发明的应用原理作进一步的描述。

本发明实施例提供的针对Leveled全同态密钥分配方法的实现步骤如下。

步骤1，系统初始化。

(1a)密钥生成中心KGC运行Sig_Gen(1^λ)算法包括如下步骤：

(1a1)先为每一个群成员u_i随机选择私钥然后按下式计算公钥PK_i：

(1a2)运行陷门哈希族的密钥生成算法得到哈希密钥HK_i和陷门密钥TK_i；

(1a3)最终群成员u_i的签名密钥是(SK_i,HK_i,TK_i)，验证密钥(PK_i,HK_i)。

(1b)密钥生成中心KGC选择素数p,q满足p＝2q+1，并构造有限域其中表示整数集合；

(1c)密钥生成中心KGC生成乘法循环群计算其子群并选取G_q的生成元g；

(1d)密钥生成中心KGC选取整数集合上的离散高斯分布χ；

(1e)密钥生成中心KGC公开系统参数

步骤2，签名密钥分发

(2a)密钥生成中心KGC通过安全信道将签名密钥(SK_i,HK_i,TK_i)发送给对应的群成员u_i；

(2b)密钥生成中心KGC公布所有群成员的验证密钥(PK_i,HK_i)。

步骤3，群共享密钥协商

参照图2，采用星型群密钥协商结构，假设有T个群成员，各自身份信息为{ID₀,...,ID_i,...,ID_T-1}，选取计算能力强的群成员作为中间结点u₀，其余的群成员u_i(i＝1,2...T-1)作为低能量结点。

如图3所示，具体协商步骤如下：

(3a)每个低能量结点u_i本地计算步骤如下：

(3a1)每个低能量结点u_i选择随机数预先计算随机数x_i的逆元并且按照下式计算本地验证元素δ_i：

其中，PK₀表示中间结点u₀的公钥，p表示模数，mod表示模操作；

(3a2)每个低能量结点u_i按照下式计算中间值y_i和结点u_i的签名值σ_i：

σ_i＝Sign(SK_i,y_i||ID_i)；

其中，g表示子群G_q的生成元，Sign(·)表示Shamir-Tauman签名算法，SK_i表示低能量结点u_i的私钥，ID_i表示低能量结点u_i的身份信息，||表示级联操作；

Shamir-Tauman签名算法是通过将任意普通的签名算法和陷门哈希相结合形成的在线/离线签名算法，包括如下步骤：

签名分为两个阶段：

离线：

(a)选择随机数对计算哈希值其中表示消息空间，表示随机种子选取空间，h(·)表示随机哈希函数；

(b)运行普通签名算法S，利用私钥SK_i对哈希值进行签名，输出离线签名

(c)存储随机数对(f_i',r_i')，哈希值和离线签名∑_i；

在线：

(a)取出离线阶段步骤(c)存储的内容；

(b)寻找使其满足

(c)最终的签名值为σ_i＝(r,∑_i)；

(3a3)每个低能量结点u_i得到一组本地数据(x_i,x_i ^-1,δ_i,y_i,σ_i)，并将签名(y_i,σ_i)发送给中间结点u₀；

(3b)中间结点u₀计算步骤如下：

(3b1)对每一个签名(y_i,σ_i)，中间结点u₀运行Verify(PK_i,y_i,σ_i)算法先利用验证密钥(PK_i,HK_i)计算然后利用普通验证算法V检验离线签名∑_i的正确性，从而确定低能量结点u_i签名值σ_i的正确性，其中，PK_i表示u_i的公钥，若u_i的签名值σ_i正确，则继续步骤(3b2)；否则，拒绝u_i的请求；

(3b2)中间结点u₀随机选择秘密值按照下式计算部分群密钥M：

其中，SK₀表示u₀的私钥；

(3b3)对于i＝1,2,...T-1，中间结点u₀计算公开值z_i和线上验证元素δ_i'：

(3b4)中间结点u₀按照下式计算检测值C和群共享密钥K：

其中，H(·)表示单向哈希函数，表示异或操作，表示连乘操作；

(3b5)中间结点u₀将检测值C、公开值z_i和线上验证元素δ_i'，(i＝1,2,...T-1)进行广播；

(3c1)每一个低能量结点u_i在接收到步骤(3b5)的数据以后，验证如下等式是否成立：

δ_i＝δ_i'；

若等式成立，则继续步骤(3c2)，否则，中断本次密钥协商；

(3c2)每个低能量结点u_i按照下式计算部分验证群密钥M'：

(3c3)每个低能量结点u_i按照下式计算哈希值C'：

(3c4)每个低能量结点u_i验证如下等式是否成立：

C＝C'；

若等式成立，则继续步骤(3c5)，否则，中断本次密钥协商；

(3c5)每个低能量结点u_i计算群验证共享密钥K'：

最终，中间结点和每个低能量结点得到相同的群共享密钥K＝K'。

步骤4，Leveled全同态密钥分配

设Leveled全同态计算深度为L，参照图4，密钥分配步骤如下：

(4a1)中间结点u₀选取L+1个n维部分私钥向量s'_j←χⁿ，(j＝0,1,...L)，令私钥向量s_j＝(1,s'_j)，将L+1个私钥向量s_j表示为一个私钥矩阵P，其中，χ表示离散高斯分布；

(4a2)中间结点u₀选取均匀随机分布的N行n列矩阵和N维的误差向量e←χ^N，其中，表示有限域；

(4a3)中间结点u₀利用群共享密钥K，进行如下公式的计算：

E₁＝E(K,P)；

E₂＝E(K,e)；

其中，E₁表示私钥矩阵密文，E₂表示误差密文，E(·)表示AES对称加密算法；

(4a4)中间结点u₀将(E₁,E₂,A')进行广播；

(4b1)每个低能量结点u_i收到中间结点u₀的广播信息，解密得到私钥矩阵P和误差向量e；

(4b2)每个低能量结点u_i取出私钥矩阵的第一行，即s₀＝(1,s'₀)，按照下式计算部分公钥b：

b＝A's'₀+2e；

(4b3)每个低能量得到结点共享公钥A如下：

A＝[b||-A']；

其中，||表示级联操作。

(4c)中间结点u₀进行步骤(4b2)的操作，可计算得到共享公钥A。

下面集合安全性和效率分析对本发明的应用效果作详细的描述。

1、安全性分析：

本发明采用的协议可以抵抗被动攻击，被动攻击是指一个敌手通过窃取广播信道上传送的信息建立协商密钥的行为。在群共享密钥协商过程中进行了两轮通信，出现在广播信道的信息泄露之后，由于安全性建立在判定性的Diffie-Hellman问题假设的基础上，所以最后生成的群共享密钥K是安全的；之后利用K在广播信道上发送同态密钥所需参数的密文，由于敌手无法获得K，所以该密文是安全的，即除了群成员可以安全地计算出密钥，其余任何的被动敌手都无法获得密钥。

本发明采用的协议可以抵抗中间人伪造攻击，由于低能量结点采用了Shamir-Tauman签名算法，可以实现中间结点每个低能量结点的认证功能，由于线上验证元素δ_i'不能被伪造(基于离散对数问题)通过低能量结点的认证，中间结点将线上验证元素δ_i'与秘密值m进行计算，不仅完成低能量结点对中间结点的认证，而且保证秘密值m的不可伪造性，从而有效抵抗中间人伪造攻击

2、效率分析

如图3和图4所示，本发明的效率如下表1所示：

其中，T_ver表示Verify()算法的运行时间，T_exp表示模指数运算时间，T_H表示单向哈希函数运算时间；T_mul表示模乘运算，T_sig表示Shamir-Tauman签名算法(离线)运行时间，T_enc表示AES加密时间，T_dec表示AES解密时间，k表示单向哈希函数输出比特长度，T表示群成员人数，L表示同态运算深度，N表示维数。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种针对Leveled全同态密钥分配方法，其特征在于，所述针对Leveled全同态密钥分配方法包括以下步骤：

(1)密钥生成中心KGC为群成员计算签名公私钥并公开系统参数；

(2)密钥生成中心KGC给群成员分发签名密钥；

(3)群成员进行群共享密钥的协商；

(4)中间结点利用群共享密钥进行同态密钥参数的共享，每一个群成员利用同态密钥参数进行计算，最后完成同态密钥的分配。

2.如权利要求1所述的针对Leveled全同态密钥分配方法，其特征在于，所述针对Leveled全同态密钥分配方法具体包括以下步骤：

(1)系统初始化：

(1a)密钥生成中心KGC运行Sig_Gen(1^λ)算法，为群成员u_i生成签名和验证所需的密钥，其中λ表示安全参数；

(1b)密钥生成中心KGC选择素数p,q满足p＝2q+1，并构造有限域其中表示整数集合；

(1c)密钥生成中心KGC生成乘法循环群计算其子群并选取G_q的生成元g；

(1d)密钥生成中心KGC选取整数集合上的离散高斯分布χ；

(1e)密钥生成中心KGC公开系统参数

(2)签名密钥分发

(2a)密钥生成中心KGC通过安全信道将签名密钥(SK_i,HK_i,TK_i)发送给对应的群成员u_i；

(2b)密钥生成中心KGC公布所有群成员的验证密钥(PK_i,HK_i)；

(3)群共享密钥协商

采用星型群密钥协商结构，假设有T个群成员，各自身份信息为{ID₀,...,ID_i,...,ID_T-1}，选取计算能力强的群成员作为中间结点u₀，其余的群成员u_i(i＝1,2...T-1)作为低能量结点；

(3a)每个低能量结点u_i本地计算步骤如下：

(3a1)每个低能量结点u_i选择随机数预先计算随机数x_i的逆元并且按照下式计算本地验证元素δ_i：

<mrow> <msub> <mi>&amp;delta;</mi> <mi>i</mi> </msub> <mo>=</mo> <msup> <msub> <mi>PK</mi> <mn>0</mn> </msub> <msub> <mi>x</mi> <mi>i</mi> </msub> </msup> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>;</mo> </mrow>

其中，PK₀表示中间结点u₀的公钥，p表示模数，mod表示模操作；

(3a2)每个低能量结点u_i按照下式计算中间值y_i和结点u_i的签名值σ_i：

<mrow> <msub> <mi>y</mi> <mi>i</mi> </msub> <mo>=</mo> <msup> <mi>g</mi> <msub> <mi>x</mi> <mi>i</mi> </msub> </msup> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>;</mo> </mrow>

σ_i＝Sign(SK_i,y_i||ID_i)；

其中，g表示子群G_q的生成元，Sign(·)表示Shamir-Tauman签名算法，SK_i表示低能量结点u_i的私钥，ID_i表示低能量结点u_i的身份信息，||表示级联操作；

(3a3)每个低能量结点u_i得到一组本地数据(x_i,x_i ^-1,δ_i,y_i,σ_i)，并将签名(y_i,σ_i)发送给中间结点u₀；

(3b)中间结点u₀计算步骤如下：

(3b1)对每一个签名(y_i,σ_i)，中间结点u₀运行Verify(PK_i,y_i,σ_i)算法，检查低能量结点u_i的签名值σ_i的正确性，其中，PK_i表示u_i的公钥，若u_i的签名值σ_i正确，则继续步骤(3b2)；否则，拒绝u_i的请求；

(3b2)中间结点u₀随机选择秘密值按照下式计算部分群密钥M：

<mrow> <mi>M</mi> <mo>=</mo> <msup> <mi>g</mi> <mrow> <msub> <mi>SK</mi> <mn>0</mn> </msub> <mrow> <mo>(</mo> <mi>m</mi> <mo>-</mo> <mn>1</mn> <mo>)</mo> </mrow> </mrow> </msup> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>;</mo> </mrow>

其中，SK₀表示u₀的私钥；

(3b3)对于i＝1,2,...T-1，中间结点u₀计算公开值z_i和线上验证元素δ_i'：

<mrow> <msub> <mi>z</mi> <mi>i</mi> </msub> <mo>=</mo> <msup> <msub> <mi>y</mi> <mi>i</mi> </msub> <mrow> <msub> <mi>SK</mi> <mn>0</mn> </msub> <mo>&amp;CenterDot;</mo> <mi>m</mi> </mrow> </msup> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>;</mo> </mrow>

<mrow> <msup> <msub> <mi>&amp;delta;</mi> <mi>i</mi> </msub> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msup> <msub> <mi>y</mi> <mi>i</mi> </msub> <mrow> <msub> <mi>SK</mi> <mn>0</mn> </msub> </mrow> </msup> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>;</mo> </mrow>

(3b4)中间结点u₀按照下式计算检测值C和群共享密钥K：

<mrow> <mi>C</mi> <mo>=</mo> <mi>H</mi> <mrow> <mo>(</mo> <mi>M</mi> <mo>&amp;CirclePlus;</mo> <msub> <mi>z</mi> <mn>1</mn> </msub> <mo>...</mo> <mo>&amp;CirclePlus;</mo> <msub> <mi>z</mi> <mrow> <mi>T</mi> <mo>-</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> <mo>;</mo> </mrow>

<mrow> <mi>K</mi> <mo>=</mo> <mi>M</mi> <msubsup> <mo>&amp;Pi;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mrow> <mi>T</mi> <mo>-</mo> <mn>1</mn> </mrow> </msubsup> <msub> <mi>z</mi> <mi>i</mi> </msub> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>;</mo> </mrow>

其中，H(·)表示单向哈希函数，表示异或操作，表示连乘操作；

(3b5)中间结点u₀将检测值C、公开值z_i和线上验证元素δ_i'，(i＝1,2,...T-1)进行广播；

(3c1)每一个低能量结点u_i在接收到步骤(3b5)的数据以后，验证如下等式是否成立：

δ_i＝δ_i'；

若等式成立，则继续步骤(3c2)，否则，中断本次密钥协商；

(3c2)每个低能量结点u_i按照下式计算部分验证群密钥M'：

<mrow> <msup> <mi>M</mi> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msup> <mrow> <mo>(</mo> <mfrac> <msub> <mi>z</mi> <mi>i</mi> </msub> <msub> <mi>&amp;delta;</mi> <mi>i</mi> </msub> </mfrac> <mo>)</mo> </mrow> <mrow> <msup> <msub> <mi>x</mi> <mi>i</mi> </msub> <mrow> <mo>-</mo> <mn>1</mn> </mrow> </msup> </mrow> </msup> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>;</mo> </mrow>

(3c3)每个低能量结点u_i按照下式计算哈希值C'：

<mrow> <msup> <mi>C</mi> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <mi>H</mi> <mrow> <mo>(</mo> <msup> <mi>M</mi> <mo>&amp;prime;</mo> </msup> <mo>&amp;CirclePlus;</mo> <msub> <mi>z</mi> <mn>1</mn> </msub> <mo>...</mo> <mo>&amp;CirclePlus;</mo> <msub> <mi>z</mi> <mrow> <mi>T</mi> <mo>-</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> <mo>;</mo> </mrow>

(3c4)每个低能量结点u_i验证如下等式是否成立：

C＝C'；

若等式成立，则继续步骤(3c5)，否则，中断本次密钥协商；

(3c5)每个低能量结点u_i计算群验证共享密钥K'：

<mrow> <msup> <mi>K</mi> <mo>&amp;prime;</mo> </msup> <mo>=</mo> <msup> <mi>M</mi> <mo>&amp;prime;</mo> </msup> <msubsup> <mo>&amp;Pi;</mo> <mrow> <mi>i</mi> <mo>=</mo> <mn>1</mn> </mrow> <mrow> <mi>T</mi> <mo>-</mo> <mn>1</mn> </mrow> </msubsup> <msub> <mi>z</mi> <mi>i</mi> </msub> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>=</mo> <msup> <mi>g</mi> <mrow> <msub> <mi>SK</mi> <mn>0</mn> </msub> <mo>&amp;CenterDot;</mo> <mi>m</mi> <mo>&amp;CenterDot;</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>+</mo> <msub> <mi>x</mi> <mn>1</mn> </msub> <mo>+</mo> <mn>....</mn> <mo>+</mo> <msub> <mi>x</mi> <mrow> <mi>T</mi> <mo>-</mo> <mn>1</mn> </mrow> </msub> <mo>)</mo> </mrow> </mrow> </msup> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>;</mo> </mrow>

中间结点和每个低能量结点得到相同的群共享密钥K＝K'；

(4)Leveled全同态密钥分配

Leveled全同态计算深度为L，密钥分配步骤如下：

(4a1)中间结点u₀选取L+1个n维部分私钥向量s'_j←χⁿ，(j＝0,1,...L)，令私钥向量s_j＝(1,s'_j)，将L+1个私钥向量s_j表示为一个私钥矩阵P，其中，χ表示离散高斯分布；

(4a2)中间结点u₀选取均匀随机分布的N行n列矩阵和N维的误差向量e←χ^N，其中，表示有限域；

(4a3)中间结点u₀利用群共享密钥K，进行如下公式的计算：

E₁＝E(K,P)；

E₂＝E(K,e)；

其中，E₁表示私钥矩阵密文，E₂表示误差密文，E(·)表示AES对称加密算法；

(4a4)中间结点u₀将(E₁,E₂,A')进行广播；

(4b1)每个低能量结点u_i收到中间结点u₀的广播信息，解密得到私钥矩阵P和误差向量e；

(4b2)每个低能量结点u_i取出私钥矩阵的第一行，s₀＝(1,s'₀)，按照下式计算部分公钥b：

b＝A's'₀+2e；

(4b3)每个低能量结点得到共享公钥A如下：

A＝[b||-A']；

其中，||表示级联操作；

(4c)中间结点u₀进行步骤(4b2)的操作，可计算得到共享公钥A。

3.如权利要求2所述的针对Leveled全同态密钥分配方法，其特征在于，所述(1a)中的密钥生成中心KGC运行Sig_Gen(1^λ)算法包括如下步骤：

(1a1)先为每一个群成员u_i随机选择私钥按下式计算公钥PK_i：

<mrow> <msub> <mi>PK</mi> <mi>i</mi> </msub> <mo>=</mo> <msup> <mi>g</mi> <mrow> <msub> <mi>SK</mi> <mi>i</mi> </msub> </mrow> </msup> <mi>mod</mi> <mi> </mi> <mi>p</mi> <mo>;</mo> </mrow>

(1a2)运行陷门哈希族的密钥生成算法得到哈希密钥HK_i和陷门密钥TK_i；

(1a3)最终群成员u_i的签名密钥是(SK_i,HK_i,TK_i)，验证密钥(PK_i,HK_i)。

4.如权利要求2所述的针对Leveled全同态密钥分配方法，其特征在于，所述(3a2)中的Shamir-Tauman签名算法是通过将任意普通的签名算法和陷门哈希相结合形成的在线/离线签名算法，包括如下步骤：

签名分为两个阶段：

离线：

(a)选择随机数对计算哈希值其中表示消息空间，表示随机种子选取空间，h(·)表示随机哈希函数；

(b)运行普通签名算法S，利用私钥SK_i对哈希值进行签名，输出离线签名

(c)存储随机数对(f_i',r_i')，哈希值和离线签名∑_i；

在线：

(a)取出离线阶段步骤(c)存储的内容；

(b)寻找使其满足

(c)最终的签名值为σ_i＝(r,∑_i)。

5.如权利要求2所述的针对Leveled全同态密钥分配方法，其特征在于，所述(3b1)中的中间结点u₀运行Verify(PK_i,y_i,σ_i)算法先利用验证密钥(PK_i,HK_i)计算利用普通验证算法V检验离线签名∑_i的正确性。

6.一种应用权利要求1～5任意一项所述针对Leveled全同态密钥分配方法的用户隐私数据检索系统。

7.一种应用权利要求1～5任意一项所述针对Leveled全同态密钥分配方法的云服务器。