CN109936435A - 具有快速同态运算过程ntru型多密钥全同态加密方法 - Google Patents

Abstract

本发明属于信息安全和隐私保护领域，具体涉及具有快速同态运算过程NTRU型多密钥全同态加密方法，包括以下步骤：步骤一：对DHS16方案进行优化，构造一个单密钥全同态加密方案；步骤二：利用LATV12方案中多密钥全同态加密方案的构造方法，将步骤一中的高效的单用户全同态加密方案转化为多密钥全同态加密方案；步骤三：在步骤二中多密钥全同态加密方案的基础上，构造独立的分布式解密过程，并在此基础上构造两轮MPC协议；本发明能够被有效应用于云计算环境下多用户间的安全多方计算，具备机密性、密文可用性、抗合谋攻击性、抗量子攻击、允许参与用户独立解密等优良特性。

Description

具有快速同态运算过程NTRU型多密钥全同态加密方法

技术领域

本发明属于信息安全和隐私保护领域，具体涉及具有快速同态运算过程NTRU型多密钥全同态加密方法。

背景技术

在当今大数据的环境下，人们越来越倾向于将大量的数据存储在功能强大的云服务器上，并将繁琐和复杂的数据计算过程委托给云进行；虽然云为大数据的存储和计算提供了便利，但是也很容易受到非法组织和用户的窥探和攻击，因此引发了一个不可忽视的安全问题：如何保护用户的个人隐私和数据安全？

全同态加密具有数据加密和密文计算的双重属性，不仅能够对数据进行加密保护，同时支持在密文状态下对其进行任意次数的计算，是解决云计算环境下隐私保护和安全处理的有效工具之一，具有重要的研究价值和广泛的应用前景。

遵循2009年gentry开创性的为全同态加密的构造所描绘的蓝图，全同态加密已经有了长足的发展；传统的全同态加密只适用于对涉及单个用户的密文进行同态计算，因为它需要参与计算的密文对应于相同的密钥；然而在许多的现实场景中，通常需要对多个用户上传到云端的数据进行安全多方计算，同时确保不暴露各个用户的数据隐私。

多密钥全同态加密(Multi-key fully homomorphic encryption，MKFHE)允许对不同用户的密文进行同态运算，运算之后的结果可以由参与计算的用户的密钥联合解密；同时，不同用户的密文间的运算过程可以委托给云离线进行，避免了执行安全多方计算协议过程中用户之间的交互过程，因此能够被有效应用于云计算环境下多用户间的安全的多方计算(multiparty computation，MPC)。

类似于单密钥全同态加密，当前多密钥全同态加密主要分为NTRU型、 GSW型和BGV型。

2012年，L′opez-Alt等人首先提出了MKFHE的概念，并利用NTRU同态加密方案的变种，构造了首个基于NTRU公钥密码系统的多密钥全同态加密方案LATV12，其安全性基于环上的RLWE(Ring-learning with errors)问题、 DSPR(Decisional Small PolynomialRatio)假设；DHS16对LATV12进行了优化，通过优化参数、特殊的环结构和模数，对LATV12的效率进行了提升；在PKC2017，Chongchitmate等人提出了能够保护电路隐私的NTRU型多密钥全同态加密方案CO17，该方案提出了构造具有电路隐私特性的MKFHE的基本框架，并在此基础上构造了一个3轮的on-the-fly MPC协议。

Clear和McGoldrick提出了首个基于误差学习问题的GSW型MKFHE，其安全性可以规约到理想格上最坏情况下的困难问题，同时该方案中密钥的数量没有上限；Mukherjee和Wichs对CM15进行了改进，提出了基于LWE的 MKFHE，该方案可以用来实现一轮的门限解密协议，并在此基础上实现了一个两轮安全多方计算MPC协议；CM15和MW16方案的缺陷在于需要提前对参与同态计算的用户的数量进行设置，并且在运算过程中无法实现实时加入新用户，这种类型的MKFHE在PS16中被称为单跳型MKFHE；同时PS16 提出了多跳MKFHE的概念：原有参与方经过同态运算后的密文，能够与新加入的参与方的密文重新进行运算，即任何参与方都可以实时、动态地加入到密文运算的过程中；BP16提出了全动态的MKFHE的概念，即参与方的数量不需要提前进行设定。

在TCC2017上，陈隆等人提出了首个基于RLWE的BGV型多跳MKFHE；该方案支持基于中国剩余定理的密文打包技术，并且对MKFHE中的密文扩展过程进行了简化，该方案可以用于构造两轮的MPC协议和门限解密协议。

相对于BGV型和GSW型MKFHE，基于NTRU的MKFHE具有以下优点： (1)方案形式简洁，易于理解；(2)效率高；(3)没有密文扩展，密文量、密钥量较少。

发明内容

本发明的目的在于提出具有快速同态运算过程NTRU型多密钥全同态加密方法，该方案允许拥有不同密钥的多用户之间的密文计算，可有效应用于当前云环境下的安全多方计算，减少各用户之间的交互，具有较高的理论价值和应用价值。

为了达到上述目的，本发明采用的技术方案如下：

1、具有快速同态运算过程NTRU型多密钥全同态加密方法，包括以下步骤：

步骤一：对DHS16方案进行优化，构造一个单密钥全同态加密方案；

步骤二：利用LATV12方案中多密钥全同态加密方案的构造方法，将步骤一中的高效的单用户全同态加密方案转化为多密钥全同态加密方案；

步骤三：在步骤二中多密钥全同态加密方案的基础上，构造独立的分布式解密过程，并在此基础上构造两轮MPC协议。

进一步的，所述步骤一中优化方式为：对于安全参数l，整数n＝n(l)，密文模数q＝q(l)，定义d-th分圆多项式φ_d(x)＝φ(x)＝xⁿ+1，其中多项式的阶n是2的幂次；定义多项式环R＝Z(x)/φ(x)、R_q＝R/qR，环R_q中的多项式的系数不超过q，以及环R上的B-bound分布c，取值于c的多项式的系数的绝对值不超过B；同态运算的电路层模数分别为q₀＝p^t＞q₁＞...＞q_t-1，其中q_i＝p^t-i，i∈{0,...,t-1}；对于分布X，x←X表示从分布X中采样得到元素 x；

(1)密钥生成：

采样多项式f′,g←c，令f＝2f′+1，采样向量计算第0层的计算密钥ζ^(i-2→i)＝ζ⁽⁰⁾mod q_i-1；

输出私钥公钥pk:＝{h,ζ⁽⁰⁾}；

(2)加密过程：

输入明文m，选择多项式s⁽⁰⁾，e⁽⁰⁾←c，输出密文：

(3)解密过程：

输入密文计算输出解密结果m′:＝μmod2；

(4)同态加法：

输入(i-1)层的密文和

(a)密文相加：

(b)模交换：其中表示

(5)同态乘法：

输入(i-2)层的密文和

(a)密文相乘：

(b)模交换：其中表示和

(c)密文乘法：

(d)重线性化：

(e)模交换：

进一步的，所述步骤二中将单密钥全同态加密方案转化为多密钥全同态加密方案的方式为：对于多项式环R＝Z(x)/xⁿ+1和R_q＝R/qR，以及环R 上B＝B(l)有界的错误分布c，同态运算的电路层模数分别为 q₀＝p^t＞q₁＞...＞q_t-1，其中q_i＝p^t-i，i∈{0,...,t-1}；

(1)密钥生成：

采样f′,g←c，令f＝2f′+1从而使得f≡1mod2，其中多项式f必须可逆，否则就对f′重新进行采样；采样计算

输出私钥假设所有的电路层都共享一个f，公钥其中ζ⁽⁰⁾表示第0层的计算密钥，其它层的计算密钥可以由ζ⁽⁰⁾以及各层的模数计算得到：

(2)加密过程：

输入明文m，选择s⁽⁰⁾,e⁽⁰⁾←c，输出密文

(3)解密过程：

输入密文c∈R_p，假设密文对应的参与方的密钥为f₁,...,f_N，计算并输出明文

μ:＝(f₁…f_N)·c(mod p)(mod 2)

(4)同态运算：

输入(i-2)层的密文假设四个密文对应的用户的公钥集分别为K₁，K₂，K₃和K₄，令K₁∪K₂∪K₃∪K₄＝{pk₁,...,pk_r}

(a)密文乘法：

(b)模交换：

(c)密文乘法：

(d)重线性化：对于v＝1,...,r，定义的二元表示：

(i)如果pk_v∈{K₁∩K₂∩K₃∩K₄}，令

(ii)如果且pk_v存在于K₁,K₂,K₃,K₄中的其中三个集合，令

(iii)如果且pk_v存在于集合K₁,K₂,K₃,K₄中的任意两个，令

最终通过迭代得到

(e)模交换：并输出密文其对应的私钥为 f₁·f₂…f_r。

进一步的，所述步骤三中MPC协议构造方式为：假设密文经过同态电路C运算之后的密文为参与运算的用户集S＝{i₁,...,i_N}，每个用户的私钥对应的明文信息为j∈[N]，则

(1)当云将经过电路C运算后的密文返回给每个用户之后，每个用户首先各自用自己的私钥对密文进行半解密，得到半解密结果由于密文c对应的解密密钥为

(2)所有用户将各自的半解密结果发送给最终来解密的合法用户，该用户接收到所有用户的半解密结果之后，计算c^-(N-1)∈R_q，以及并通过以下方式来对密文进行解密：

与现有技术相比，本发明的有益效果：

(1)构造的单密钥全同态加密方案通过分离同态乘法和重线性化技术，大幅缩减了同态计算过程中重线性化的运行次数。方案还具有支持并行，特殊模数提升效率等优点。

(2)构造了独立的分布式解密过程，使得用户在客户端独立解密，减少了解密过程中用户之间的交互过程。

(3)实验分析表明，构造的单用户全同态方案同态计算速度较DHS16 提升到2.4倍；在此基础上构造的多密钥全同态加密方案可以高效地实现两轮MPC协议，能够被有效应用于云计算环境下多用户间的安全多方计算。

附图说明

图1是本发明多密钥全同态加密方法的流程图。

具体实施方式

下面结合具体实施例对本发明做进一步详细的描述，但本发明的实施方式不限于此。

如图1所示，具有快速同态运算过程NTRU型多密钥全同态加密方法，包括以下步骤：

步骤一：对DHS16方案进行优化，构造一个单密钥全同态加密方案，大幅缩减了同态计算过程中重线性化的运行次数；

步骤二：利用LATV12方案中多密钥全同态加密方案的构造方法，将步骤一中的高效的单用户全同态加密方案转化为多密钥全同态加密方案；

步骤三：在步骤二中多密钥全同态加密方案的基础上，构造独立的分布式解密过程，减少了解密过程中用户之间的交互过程，并在此基础上构造两轮MPC协议。

初始化：对于安全参数l，整数n＝n(l)，密文模数q＝q(l)，定义d-th 分圆多项式φ_d(x)＝φ(x)＝xⁿ+1，其中多项式的阶n是2的幂次；定义多项式环R＝Z(x)/φ(x)、R_q＝R/qR(环R_q中的多项式的系数不超过q)，以及环 R上的B-bound分布c(取值于c的多项式的系数的绝对值不超过B)；同态运算的电路层模数分别为q₀＝p^t＞q₁＞...＞q_t-1，其中q_i＝p^t-i，i∈{0,...,t-1}。

(一)对NTRU型单密钥全同态加密方案DHS16进行优化

(1)密钥生成：

采样f′,g←c，令f＝2f′+1，采样计算ζ^(i-2→i)＝ζ⁽⁰⁾mod q_i-1；

输出私钥公钥pk:＝{h,ζ⁽⁰⁾}；

(2)加密过程：

输入明文m，选择s⁽⁰⁾，e⁽⁰⁾←c，输出密文：

(3)解密过程：

输入密文计算输出解密结果m′:＝μmod2；

(4)同态加法：

输入(i-1)层的密文和

(a)密文相加：

(b)模交换：其中表示

(5)同态乘法：

输入(i-2)层的密文和

(a)密文相乘：

(b)模交换：其中表示和

(c)密文乘法：

(d)重线性化：

(e)模交换：

(二)将单密钥全同态加密方案扩展为多密钥全同态加密方案

(1)密钥生成：

采样f′,g←c，令f＝2f′+1从而使得f≡1mod2，其中多项式f必须可逆，否则就对f′重新进行采样；采样计算

输出私钥(假设所有的电路层都共享一个f)，公钥其中ζ⁽⁰⁾表示第0层的计算密钥，其它层的计算密钥可以由ζ⁽⁰⁾以及各层的模数计算得到：

(2)加密过程：

输入明文m，选择s⁽⁰⁾,e⁽⁰⁾←c，输出密文

(3)解密过程：

输入密文c∈R_p，假设密文对应的参与方的密钥为f₁,...,f_N，计算并输出明文

μ:＝(f₁…f_N)·c(mod p)(mod 2)

(4)同态运算：

输入(i-2)层的密文假设四个密文对应的用户的公钥集分别为K₁，K₂，K₃和K₄，令K₁∪K₂∪K₃∪K₄＝{pk₁,...,pk_r}

(a)密文乘法：

(b)模交换：

(c)密文乘法：

(d)重线性化：对于v＝1,...,r，定义的二元表示：

(i)如果pk_v∈{K₁∩K₂∩K₃∩K₄}，令

(ii)如果且pk_v存在于K₁,K₂,K₃,K₄中的其中三个集合，令

(iii)如果且pk_v存在于集合K₁,K₂,K₃,K₄中的任意两个，令

最终通过迭代得到

(e)模交换：并输出密文其对应的私钥为 f₁·f₂…f_r。

(三)以多密钥全同态加密方案为基础，构造两轮MPC协议。

假设密文经过同态电路C运算之后的密文为参与运算的用户集 S＝{i₁,...,i_N}，每个用户的私钥对应的明文信息为j∈[N]，则

(1)当云将经过电路C运算后的密文返回给每个用户之后，每个用户首先各自用自己的私钥对密文进行半解密，得到半解密结果由于密文c对应的解密密钥为因此并不会泄露任何关于用户明文的信息。

(2)所有用户将各自的半解密结果发送给最终来解密的合法用户，该用户接收到所有用户的半解密结果之后，计算c^-(N-1)∈R_q，以及并通过以下方式来对密文进行解密：

对本发明提出的单密钥全同态加密方案和DHS中的单密钥全同态加密方案进行了效率对比，两种方案同态运行每层电路的时间数据如下：

实验表明，选取2层同态运算后做一次重线性化时，运行36层同态乘法电路的速度是DHS方案的1.9倍；选取3层同态运算后做一次重线性化时，运行36层同态乘法电路的速度是DHS方案的2.4倍；因此本方法可以更加高效的运行同态电路。

以上内容是结合具体的优选实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

Claims (4)

1.具有快速同态运算过程NTRU型多密钥全同态加密方法，包括以下步骤：

步骤一：对DHS16方案进行优化，构造一个高效的单密钥全同态加密方案；

步骤二：利用LATV12方案中多密钥全同态加密方案的构造方法，将步骤一中的高效的单用户全同态加密方案转化为多密钥全同态加密方案；

步骤三：在步骤二中多密钥全同态加密方案的基础上，构造独立的分布式解密过程，并在此基础上构造两轮MPC协议。

2.根据权利要求1所述的具有快速同态运算过程NTRU型多密钥全同态加密方法，其特征在于：所述步骤一中优化方式为：对于安全参数l，整数n＝n(l)，密文模数q＝q(l)，定义d-th分圆多项式φ_d(x)＝φ(x)＝xⁿ+1，其中多项式的阶n是2的幂次；定义多项式环R＝Z(x)/φ(x)、R_q＝R/qR，环R_q中的多项式的系数不超过q，以及环R上的B-bound分布c，取值于c的多项式的系数的绝对值不超过B；同态运算的电路层模数分别为q₀＝p^t＞q₁＞...＞q_t-1，其中q_i＝p^t-i，i∈{0,...,t-1}；对于分布X，x←X表示从分布X中采样得到元素x；

(1)密钥生成：

采样多项式f′,g←c，令f＝2f′+1，采样向量计算第0层的计算密钥ζ^(i-2→i)＝ζ⁽⁰⁾mod q_i-1；

输出私钥公钥pk:＝{h,ζ⁽⁰⁾}；

(2)加密过程：

输入明文m，选择多项式s⁽⁰⁾，e⁽⁰⁾←c，输出密文：

(3)解密过程：

输入密文计算输出解密结果m′:＝μmod2；

(4)同态加法：

输入(i-1)层的密文和

(a)密文相加：

(b)模交换：其中表示

(5)同态乘法

输入(i-2)层的密文和

(a)密文相乘：

(b)模交换：其中表示和

(c)密文乘法：

(d)重线性化：

(e)模交换：

3.根据权利要求1所述的具有快速同态运算过程NTRU型多密钥全同态加密方法，其特征在于：所述步骤二中将单密钥全同态加密方案转化为多密钥全同态加密方案的方式为：对于多项式环R＝Z(x)/xⁿ+1和R_q＝R/qR，以及环R上B＝B(l)有界的错误分布c，同态运算的电路层模数分别为q₀＝p^t＞q₁＞...＞q_t-1，其中q_i＝p^t-i，i∈{0,...,t-1}；

(1)密钥生成：

采样f′,g←c，令f＝2f′+1从而使得f≡1mod2，其中多项式f必须可逆，否则就对f′重新进行采样；采样计算

输出私钥假设所有的电路层都共享一个f，公钥其中ζ⁽⁰⁾表示第0层的计算密钥，其它层的计算密钥可以由ζ⁽⁰⁾以及各层的模数计算得到：

(2)加密过程：

输入明文m，选择s⁽⁰⁾,e⁽⁰⁾←c，输出密文

c⁽⁰⁾:＝hs⁽⁰⁾+2e⁽⁰⁾+m∈R_q0

(3)解密过程：

输入密文c∈R_p，假设密文对应的参与方的密钥为f₁,...,f_N，计算并输出明文

μ:＝(f₁…f_N)·c(mod p)(mod2)

(4)同态运算：

输入(i-2)层的密文假设四个密文对应的用户的公钥集分别为K₁，K₂，K₃和K₄，令K₁∪K₂∪K₃∪K₄＝{pk₁,…,pk_r}

(a)密文乘法：

(b)模交换：

(c)密文乘法：

(d)重线性化：对于v＝1,...,r，定义的二元表示：

(i)如果pk_v∈{K₁∩K₂∩K₃∩K₄}，令

(ii)如果且pk_v存在于K₁,K₂,K₃,K₄中的其中三个集合，令

(iii)如果且pk_v存在于集合K₁,K₂,K₃,K₄中的任意两个，令

最终通过迭代得到

(e)模交换：并输出密文其对应的私钥为f₁·f₂…f_r。

4.根据权利要求1所述的具有快速同态运算过程NTRU型多密钥全同态加密方法，其特征在于：所述步骤三中MPC协议构造方式为：假设密文经过同态电路C运算之后的密文为参与运算的用户集S＝{i₁,...,i_N}，每个用户的私钥对应的明文信息为则

(1)当云将经过电路C运算后的密文返回给每个用户之后，每个用户首先各自用自己的私钥对密文进行半解密，得到半解密结果由于密文c对应的解密密钥为

(2)所有用户将各自的半解密结果发送给最终来解密的合法用户，该用户接收到所有用户的半解密结果之后，计算c^-(N-1)∈R_q，以及并通过以下方式来对密文进行解密：