CN108632033B - 一种外包计算中基于随机加权酉矩阵的同态加密方法 - Google Patents

Abstract

本发明公开了一种外包计算中基于随机加权酉矩阵的同态加密方法。本方法与基本酉矩阵方法一样，既有全同态加密特性，又能应用于非整数域计算，同时具有全数域的诚实性校验特性，还有更好的安全性。相比经典密码学方案只能应用于整数域，本方法同样可以应用于任何矩阵可以操作的数域，包括实数，复数等；相比现有同类型加密方法，本方案不仅具有全同态特性，而且因为采用了加权酉矩阵，在不会给加密后计算引入病态条件数同时，又能抗针对酉矩阵不变性的统计攻击，例如特征值攻击，矩阵迹攻击等，从而具有真实的校验特性。本方法适合于任何矩阵加密，因为同态性好，特别适用于计算与加密独立的应用场合，例如外包计算。

Description

一种外包计算中基于随机加权酉矩阵的同态加密方法

技术领域

本发明属于信息安全技术领域，涉及一种加密方法，具体涉及一种外包计算中基于随机加权酉矩阵的对称钥同态加密方法，应用于计算外包领域。

背景技术

加密方法有一类同态加密，特别适用于计算与加密分开的场合，例如外包计算。从表面上看，基于共享经济，外包计算客户与服务提供商获得了良好的共赢结果。但实际上，计算客户外包数据所有敏感信息均有泄漏可能，特别是当前网络链路开放，存在服务提供商不可信，或者服务器计算环境感染恶意病毒可能。

不过，当前基于经典密码学假设的方法，例如大数分解假设，离散对数假设，椭圆曲线假设，格基假设等，均基于整数域，明显不能覆盖非整数域计算。当前矩阵加密的方法，多基于随机可逆矩阵。随机可逆矩阵的范数不能确定。可能会直接造成计算结果的病态。例如，在计算中，假设寄存器为16位，会吸收小于2^-16的误差，会溢出大于于2¹⁶的整数。一个正常的方程求解结果是：

但是当方程等式两边同乘一个相同矩阵时，结果可能就变得不可控：

一个看似正确的等式两边的同一矩阵，结果可能造成完成错误的输出。这会造成加密计算的解密结果之间存在不可预测的结果。

但是，采用酉矩阵方法，虽然有效控制矩阵范数，但是可能导致一些统计攻击，例如加密前后的矩阵，迹不变，特征值不变。有可能造成计算结果的被攻击。

发明内容

为了解决上述技术问题，本发明提出了一种加权酉矩阵的加密方法，结合当前随机逆矩阵的随机性，与酉矩阵的不变性，平衡安全性与数值分析需求。

本发明所采用的技术方案是：一种外包计算中基于随机加权酉矩阵的同态加密方法，其特征在于，包括以下步骤：

步骤1：参数准备；

加密用户输入待加密矩阵集合{P_i}、安全控制参数K及q；与范数控制界ω＝(ω₁,ω₂)；其中，2＜K≤{P_i}中矩阵最大行或列维度的一半，q≥2；设m是矩阵集合{P_i}中所有不同行或列维度的个数，记不同维度数N＝{n₁,…,n_m}；获得参数集合{K,q,ω,N,m}；

步骤2：生成密钥；

加密用户根据参数集合{K,q,ω,N,m}，对每个维度n_i∈N，生成随机加权酉矩阵集合

其中，

是一对互逆加权酉矩阵；

步骤2.1：用户选择一个随机序列{k₁,…,k_s}，其中，随机序列满足条件2≤k_i≤K，

步骤2.2：用户随机选择酉矩阵序列{M₁,...,M_s}，其中，每个矩阵M_i均应满足条件Dim(M_i)＝k_i，即每个矩阵M_i维度与随机序列{k₁,…,k_s}对应位置整数k_i相同，同时要求每个M_i元素至少有熵值q；

步骤2.3：用户端随机生成序列

其中，每个元素σ_i满足条件ω₁≤σ_i≤ω₂；

中的每个元素必须充分随机，即从ω＝(ω₁,ω₂)中均匀随机选择；

步骤2.4：生成两个随机排列

其中

长度均为n_i，每个元素均随机不相同地取自然数序列{1,…,n_i}；根据两个随机排列

生成两个n_i×n_i初等变换矩阵

其中矩阵的每个元素是

如果

如果

生成方法与

同理；

步骤2.5：输出

其中，diag{M₁,...,M_m}表示由矩阵序列{M₁,...,M_m}形成的块对角阵；

表示由

形成的对角阵；

步骤2.6：

步骤2.7：执行步骤2.1-步骤2.6共m次，获得

步骤3：加密；

用户端得到

后，以C_i＝R_LP_iR_R ^-1方式加密所有{P_i}中的矩阵，其中R_L,

是适合每个P_i相应计算的矩阵通称；得到与{P_i}一一对应的{C_i}。

本发明与现有技术的最大相比有如下的优点与有益效果：

(1)本发明综合酉矩阵与随机逆矩阵的安全性；

(2)抵抗对酉矩阵的统计攻击，抵抗对随机逆矩阵的随机攻击；

(3)引入参数范数控制界ω＝(ω₁,ω₂)，控制外包计算的范数界，以小概率病态，以大概率良态，从而以较大概率通过安全校验，而随机逆矩阵范数不可预测。让设计算法的用户提供ω＝(ω₁,ω₂)可信度大于机器随机选择，因为用户总有方法可以控制方程是否病态，例如多次试算。

(4)引入新的参数ω，在同一条件下G(λ)，降低K,q要求。

附图说明

图1为本发明实施例的外包计算流程图。

具体实施方式

为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。

假设某用户存在一组数据{P_i}＝{P_1(r×l),P_2(l×l),P_3(l×l),(P_4(l×l)}，一个计算任务f₁({P_i})＝P₁(P₂-P₃)÷P₄，其中P_i角标表示矩阵行列数，例如P_1(r×l)，表示P₁是(r×l)矩阵。用户给定安全目标G，以及目标下安全参数λ。假设用户选择互联网云服务器，如图1，本发明提供的一种外包计算中基于随机加权酉矩阵的同态加密方法，包括以下步骤：

步骤1：参数准备；

加密用户输入待加密矩阵集合{P_i}，安全控制参数K及q；与范数控制界ω＝(ω₁,ω₂)；这时明显{P_i}中所有不同行或列维度的个数m＝2，记不同维度数N＝{n₁＝r,n₂＝l}；获得参数集合{K,q,ω,N,m}；设K＝6及q＝10

例如，设从ω中随机取值的熵值是t＝10，本方法抗随机猜测攻击时，最坏以概率

失败。其中n＝min(r，l)

步骤2：生成密钥；

加密用户根据参数集合{K,q,ω,N,m}，对每个维度n_i∈N，生成随机加权酉矩阵集合

其中，

是一对互逆加权酉矩阵。

步骤2的具体实现包括以下子步骤：

步骤2.1：用户选择一个随机序列{k₁,…,k_s}，其中，随机序列满足条件2≤k_i≤K，

步骤2.2：用户随机选择酉矩阵序列{M₁,...,M_s}，其中，每个矩阵M_i均应满足条件Dim(M_i)＝k_i，即每个矩阵M_i维度与随机序列{k₁,…,k_s}对应位置整数k_i相同，同时要求每个M_i元素至少有熵值q；

步骤2.3：用户端随机生成序列{σ₁,...,σ_ni}，其中，每个元素σ_i满足条件ω₁≤σ_i≤ω₂；

中的每个元素必须充分随机，即从ω＝(ω₁,ω₂)中均匀随机选择；

步骤2.4：生成两个随机排列

其中

长度均为n_i，每个元素均随机不相同地取自然数序列{1,…,n_i}；根据两个随机排列

生成两个n_i×n_i初等变换矩阵

其中矩阵的每个元素是

如果

如果

生成方法与

同理；

例如：当n_i＝3，设

则

因为

所以

其他同理。

步骤2.5：输出

其中，diag{M₁,...,M_m}表示由矩阵序列{M₁,...,M_m}形成的块对角阵；

表示由

形成的对角阵；

步骤2.6：

步骤2.7：执行步骤2.1-步骤2.6共m＝2次，获得

步骤3：加密；

用户端得到

后，以C_i＝R_LP_iR_R ^-1方式加密所有{P_i}中的矩阵，其中R_L,

是适合每个P_i相应计算的矩阵通称；得到与{P_i}一一对应的{C_i}。

本发明支持全数域全同态计算：若需要按计算逻辑f_i，在数据{P_i}上，计算结果f_i({P_i})，本方法支持用相同计算逻辑f_i，在加密后数据{C_i}上计算f_i({C_i})，且满足f_i({P_i})＝R_L ^-1f_i({C_i})R_R，其中R_L，

即f_i({C_i})是f_i({P_i})的密文。本方法全同态计算，即允许f_i中包括加，减，乘，除，括号操作。本方法全同态计算可以运行于实数，复数域，并不限于整数域。因此本方法可用于包括外包计算在内的应用，提供计算与加密完全独立的隐私保护。即用户可以外包f_i({C_i})给任意有能力计算实体计算，而不用担心会泄漏{P_i}；又可以较小计算代价得到f_i({P_i})；

本发明支持全数域的计算诚信检验：记计算实体为S，记f_i,s({C_i})为计算实体S计算f_i({C_i})的结果。当S不诚实时，f_i({C_i})结果不是真实的f_i({C_i})。但是，用户可以重复步骤1-3用不同密钥加密同一f_i({P_i})，在同一S得到不同f_i,S({C_i})，通过解密不同f_i,S({C_i})，得到不同f_i,S({P_i})＝R_L ^-1f_i,s({C_i})R_R，若S诚实，所有不同f_i,s({P_i})间误差会非常小，反之，所有不同f_i,s({P_i})间差错会非常大。本方法之所以支持外包同态计算检验是因为

中虽均加权酉矩阵，在用户权值控制参数ω＝(ω₁,ω₂)保护下不会造成f_i({C_i})计算结果病态，从而误差检验法成立。当用户安全目标是抗时，S不诚实，通过随机猜测攻击，能通过诚信校验的概率小于

这一概率可以忽略。

本实施例的用户有矩阵集合{P_i}、安全控制参数K及q，以及矩阵范数控制界限ω＝(ω₁,ω₂)，经由本专利公开方法，生成一组随机加权酉矩阵对

中不同维度的矩阵对个数m，等于计算任务中出现的矩阵集合{P_i}中所有不同维度个数；以C_i＝R_LP_iR_R ^-1方式加密所有{P_i}中的矩阵，其中

是适合每个P_i相应计算的矩阵通称；得到与{P_i}一一对应的{C_i}。因为计算维度不预知，且每个维度矩阵对在

中有且仅有一组，因此采用通用表达不影响形式与结论；得到{C_i}后按原有逻辑表达不变，得到新的加密后的计算任务f_i({C_i})；这一计算任务可以交由任一有计算能力的实体进行计算；当用户得到返回的计算结果f_i,S({C_i})后，以f_i,E({P_i})＝R_L ^-1f_i,S({C_i})R_R方法进行解密，R_L,

这一加密方法不限于整数域，可以应用于任何矩阵适用计算数域；由于加密矩阵中

均为加权酉矩阵，通过用户的范数控制界ω＝(ω₁,ω₂)，控制

不会引入病态条件数，因此本专利公布的方法，有同态性，能覆盖所有数域，能抗针对酉矩阵不变性的统计攻击，例如特征值攻击，矩阵迹攻击，还能得到良好的校验特性。

本发明区别于同类方法的特征在于：

1)适合所有数域；

2)该方法结果概率可靠；参数适当，以大概率可靠；

3)在结果概率可靠条件下，保证了校验真实概率可靠；

4)提高安全性，结合了当前随机矩阵与酉矩阵安全性的优点；

5)抗针对酉矩阵矩阵的统计攻击。

应当理解的是，本说明书未详细阐述的部分均属于现有技术。

应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。

Claims (1)

1.一种外包计算中基于随机加权酉矩阵的同态加密方法，其特征在于，包括以下步骤：

步骤1：参数准备；

加密用户输入待加密矩阵集合{P_i}，安全控制参数K及q，和范数控制上下界集合ω＝(ω₁，ω₂)；其中，2＜K≤{P_i}中矩阵最大行或列维度的一半，q≥2；设m是矩阵集合{P_i}中所有不同行或列维度的个数，记不同维度数N＝{n₁，...，n_m}；获得参数集合{K，q，ω，N，m}；

步骤2：生成密钥；

加密用户根据参数集合{K，q，ω，N，m}，对每个维度n_i∈N，生成随机加权酉矩阵集合

其中，

是一对互逆加权酉矩阵；

步骤2的具体实现包括以下子步骤：

步骤2.1：用户选择一个随机序列{k₁，...，k_s}，其中，随机序列满足条件2≤k_i≤K，

步骤2.2：用户随机选择酉矩阵序列{M₁，...，M_s}，其中，每个矩阵M_i均应满足条件Dim(M_i)＝k_i，即每个矩阵M_i维度与随机序列{k₁，...，k_s}对应位置整数k_i相同，同时要求每个M_i元素至少有熵值q；

步骤2.3：用户端随机生成序列

其中，每个元素σ_i满足条件ω₁≤σ_i≤ω₂；

中的每个元素必须充分随机，即从ω＝(ω₁，ω₂)中均匀随机选择；

步骤2.4：生成两个随机排列

其中

长度均为ni，每个元素均随机不相同地取自然数序列{1，...，n_i}；根据两个随机排列

生成两个n_i×n_i初等变换矩阵

其中矩阵的每个元素，如果

则元素

如果

则元素

生成方法与

同理；

步骤2.5：输出

其中，diag{M₁，...，M_m}表示由矩阵序列{M₁，...，M_m}形成的块对角阵；

表示由

形成的对角阵；

步骤2.6：

步骤2.7：执行步骤2.1-步骤2.6共m次，获得

步骤3：加密；

用户端得到

后，以C_i＝R_LP_iR_R ^-1方式加密所有{P_i}中的矩阵，其中

是适合每个P_i相应计算的矩阵通称；得到与{P_i}一一对应的{C_i}。

Images