CN111342976A

CN111342976A - 一种可验证的理想格上门限代理重加密方法及系统

Info

Publication number: CN111342976A
Application number: CN202010144160.9A
Authority: CN
Inventors: 吴立强; 韩益亮; 杨晓元; 柳曙光; 李宁波
Original assignee: Engineering University of Chinese Peoples Armed Police Force
Current assignee: Engineering University of Chinese Peoples Armed Police Force
Priority date: 2020-03-04
Filing date: 2020-03-04
Publication date: 2020-06-26
Anticipated expiration: 2040-03-04
Also published as: CN111342976B

Abstract

本发明属于数据加密和隐私保护技术领域，公开了一种可验证的理想格上门限代理重加密方法及系统，包括以下步骤：通过KeyGen算法生成第一公私密钥和第二公私密钥；根据第一公钥将原始消息加密生成密文；根据第一私钥和第二公钥通过ReKeyGen算法生成代理密钥，将代理密钥分割为若干密钥份额并对每个密钥份额通过同态签名技术进行签名，得到若干密钥份额签名；将密文根据若干密钥份额转化为若干密文份额，将若干密钥份额签名转化为若干密文份额签名；根据每个密文份额签名验证对应密文份额的合法性；将合法的密文份额组合为重加密密文；根据第二私钥将重加密密文解密，得到原始消息，具有“高可用、低信任、强安全”优势，能够有效抵抗量子攻击且加密效率较高。

Description

一种可验证的理想格上门限代理重加密方法及系统

技术领域

本发明属于数据加密和隐私保护技术领域，涉及一种可验证的理想格上门限代理重加密方法及系统。

背景技术

代理重加密(Proxy Re-Encryption，PRE)是密文间的一种转换机制，在无需解密的情况下，由一个半可信的代理将授权者的密文转换为被授权者可以解密的密文，从而实现密态的消息分享。代理重加密本质上就是解密权限的转换，因此，将门限的思想引入到代理重加密系统中，将重加密权限进行拆分并委托给多个节点，只有满足一定数量的节点进行重加密操作时，才能成功完成密文转换，这就形成了门限代理重加密方案(ThresholdProxy Re-Encryption，TPRE)。TPRE能够有效降低或避免了单一代理完全掌握转换密钥而导致的权限滥用、密钥丢失或自身被完全控制等安全风险，使系统的容错率和安全性得到较大提高。

Singh等的论文(Singh K,Rangan C P,Banerjee AK.Lattice-based identity-based resplittable threshold public key encryption scheme[J].InternationalJournal of Computer Mathematics,2014,93(2):1-19.公开日期：2014年5月28日)在格上构造了一个门限加密方案，并证明在LWE假设下方案是CPA安全的，且具有可验证性。可验证性是门限密码方案的一个重要属性，即可以识别出伪造或者错误的密文份额，从而有效过滤非法密文份额，但是这个方案是针对普通加密的。李菊雁等发表论文(李菊雁,马春光,赵乾.格上可重新拆分的门限多代理者的代理重加密方案[J].通信学报,2017,38(5):157-164。公开日期：2017年5月10日)将门限作用于代理密钥上，在格上利用2个不同的加密方案及Shamir秘密共享方法构造了一个可重新拆分的门限多代理者代理重加密方案，其采用基于离散对数困难问题的判定性Diffie-Hellman假设来验证密文份额的合法性。这种技术存在两种缺陷，一是基于离散对数假设的验证方法无法抵抗量子攻击，因此整体方案不是完全可抗量子攻击的；二是验证中涉及大量的指数运算，效率较低，影响了方案的整体性能。

发明内容

本发明的目的在于克服上述现有技术在进行密文份额验证的时候，采用的是基于离散对数困难问题的零知识证明方法，无法抵抗量子攻击且效率较低的缺点，提供一种可验证的理想格上门限代理重加密方法及系统。

为达到上述目的，本发明采用以下技术方案予以实现：

本发明一方面，一种可验证的理想格上门限代理重加密方法，包括以下步骤：

S1：通过KeyGen算法生成第一公私密钥和第二公私密钥，第一公私密钥包括第一公钥和第一私钥，第二公私密钥包括第二公钥和第二私钥；

S2：根据第一公钥将原始消息加密生成密文；

S3：根据第一私钥和第二公钥通过ReKeyGen算法生成代理密钥，将代理密钥分割为若干密钥份额，并对每个密钥份额通过同态签名技术进行签名，得到若干密钥份额签名；

S4：将密文根据若干密钥份额转化为若干密文份额，将若干密钥份额签名转化为若干密文份额签名；

S5：根据每个密文份额签名验证对应密文份额的合法性；

S6：将合法的密文份额组合为重加密密文；

S7：根据第二私钥将重加密密文解密，得到原始消息。

本发明可验证的理想格上门限代理重加密方法进一步的改进在于：

所述S2的具体方法为：

根据第一公钥将原始消息通过Enc加密算法加密生成密文；

所述S4的具体方法为：

将密文根据若干密钥份额通过PreEnc算法转化为若干密文份额，将若干密钥份额签名通过PreEnc算法转化为若干密文份额签名；

所述S7的具体方法为：

根据第二私钥通过Dec算法将重加密密文解密，得到原始消息。

所述S5的具体方法为：

根据每个密文份额签名通过Verify算法验证对应密文份额的合法性。

所述S3中将代理密钥分割为若干密钥份额的具体方法为：

通过Shamir门限方法将代理密钥分割为若干密钥份额。

所述S6的具体方法为：

将合法的密文份额通过Comb算法组合为重加密密文。

本发明另一方面，一种可验证的理想格上门限代理重加密系统，包括第一用户、第二用户、存储服务器和若干代理服务器；第二用户、存储服务器和若干代理服务器均与第一用户连接，存储服务器和若干代理服务器均连接；

第一用户，用于生成第一公私密钥，第一公私密钥包括第一公钥和第一私钥，根据第一公钥将原始消息加密生成密文并发送至存储服务器；根据第一私钥和接收的第二用户发送的第二公钥生成代理密钥，将代理密钥分割为若干个密钥份额，并通过同态签名技术对每个密钥份额进行签名，得到若干密钥份额签名；将密钥份额和对应的密钥份额签名，并一一对应地分发给若干代理服务器；

第二用户，用于生成第二公钥和第二私钥，并将第二公钥发送至第一用户；接收存储服务器发送的重加密密文，并解密重加密密文得到原始消息；

代理服务器，用于接收存储服务器发送的密文和第一用户发送的密钥份额和对应的密钥份额签名，根据接收的密钥份额将密文转换为密文份额，将密钥份额签名转化为密文份额签名，并将密文份额和密文份额签名发送至存储服务器；

存储服务器，用于接收第一用户发送的密文并发送至每个代理服务器，用于接收并验证每个代理服务器发送的密文份额和密文份额签名，将验证合法的密文份额组合为重加密密文并发送至第二用户。

与现有技术相比，本发明具有以下有益效果：

通过生成第一公私密钥和第二公私密钥，再利用第一公钥将原始消息加密生成密文；然后根据第一私钥和第二公钥生成代理密钥，将代理密钥分割为若干密钥份额，并对每个密钥份额进行签名，将密文根据若干密钥份额转化为若干密文份额，将若干密钥份额签名转化为若干密文份额签名；根据每个密文份额签名验证对应密文份额的合法性，然后将合法的密文份额组合为重加密密文并根据第二私钥将重加密密文解密，得到原始消息，进而实现了原始密文的解密权限的转换，完成代理重加密。其中，通过KeyGen算法生成第一公私密钥和第二公私密钥，通过ReKeyGen算法生成代理密钥，这样得到的代理密钥是服从正态分布的2个m维多项式向量，之后对这些向量进行秘密分割后生成代理服务器的密钥份额，利用代理密钥份额和密文份额的同态性完成密文整体转化，与现有的标准格上方案相比，本方案利用理想格基循环紧凑的特性，在代理密钥尺寸(2m个多项式)上更为紧凑，进而在计算效率上也更为高效。同时，采用格上同态签名技术来实现可验证性，代理服务器拥有代理密钥份额和相对应的签名，在提供重加密密文份额的同时，还转化代理密钥份额的签名用于后续计算重加密密文份额的签名，通过同态签名的不可伪造性有效保证了代理转化的诚实性；避免了现有其他方案采用的零知识证明技术的效率不高、交互过程复杂的缺陷，采用格上同态签名技术，一是验证效率比较高，二是可以采用格上具体同态签名方案进行实例化，可抵抗量子计算机的分析。

进一步的，通过Enc加密算法根据第一公钥将原始消息加密生成密文；通过PreEnc算法将密文根据若干密钥份额转化为若干密文份额，通过PreEnc算法将若干密钥份额签名转化为若干密文份额签名；其中，Enc加密算法和PreEnc算法生成的密文形式都是的长度仅仅为2个环多项式，具有密文尺寸短，可节省存储服务器的存储空间开销和网络传输的通信带宽。

进一步的，根据每个密文份额签名验证对应密文份额的合法性时采用了Verify算法，Verify算法中估值电路、新消息(对应密文份额)和新签名(对应密文份额签名)必须相一致，进而能够及时发现代理的不诚实或者恶意的转化行为，而从降低对代理的信任。

进一步，在密钥分割和密文重构过程中，采用Shamir秘密方法，其是(k，n)门限的，即如果共有n个代理服务器，只需要其中的k个诚实提供密文份额转化，就能够恢复出完整的密文。因此方案满足高可用，在一个或者多个代理因为自身故障或遭受拒绝服务攻击等原因造成不可用的情况下，仍然能够完成密文转化任务。

附图说明

图1为本发明的方法流程图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

首先给出一些符号的定义和说明，以及使用到的算法名词的解释。

为了使方法具有更好的通用性，以Π_HS＝(HS:KeyGen；HS:Sign；HS:SignEval；HS:Verify)抽象表示同态签名方案。代理服务器数量为N，门限值为k，设η＝(N！)²。设定安全整数n≥256，素数q≥n³满足2n|(q-1)，

f(x)＝xⁿ+1，

为系数为整数的多项式集合，

是模多项式f(x)的多项式环，

是模f(x)且系数在

上的多项式环，明文空间为

其中整数p≥2为消息模数。定义R_q上的离散均匀分布为

R_q上的高斯噪声分布为χ_δ，选择一个伪随机函数

其输入为系数模q的2个多项式，prfk表示密钥；输出是系数为模整数r的2个多项式。这些参数标记为公共参数PP。

KeyGen算法：密钥产生算法，用来生成第一用户、第二用户的公私钥对。输入是安全参数，输出是用户公私钥对。

ReKeyGen算法：代理密钥产生算法，用来生成代理服务器的密钥份额。输入是第一用户的私钥、第二用户的公钥、密钥份额总数N、门限值k，输出是从第一用户到第二用户的N个代理密钥份额。

Enc算法：加密算法，用来将一个明文加密成相应的密文。输入是用户的公钥和待加密的消息，输出相应的密文。

Dec算法：解密算法，用来将一个密文解密为相应的明文。输入用户的私钥和密文，输出解密消息。

PreEnc算法：重加密算法，用来将第一个用户的密文转化为一个第二用户对应的密文份额。输入第一用户的密文和一个代理密钥份额，输出第二用户对应的一个密文份额。

Verify算法：验证算法，用来判断第二用户的密文份额是否合法。输入一个用户密文份额，输出1表示密文份额合法，否则输出0表示份额非法。

Comb算法：组合算法，将密文份额组合成一个完整的密文。输入包含若干个合法的密文份额，如果份额数量大于门限值，输出一个完整的密文，否则不输出任何信息。

下面结合附图对本发明做进一步详细描述：

参见图1，本发明可验证的理想格上门限代理重加密方法，包括以下步骤：

步骤1：第一用户和第二用户均分别使用理想格上密钥产生算法KeyGen算法生成第一用户的公私钥对和第二用户的公私钥对。第一用户和第二用户的具体执行均如下：

TPRE.KeyGen(n,PP)：设定安全整数n，通过KeyGen算法得到公共参数PP，随机选择多项式

和离散高斯分布的s、e←χ_δ，计算b＝a·s+pe∈R_q，输出公私钥对(pk＝(a,b),sk＝(s))，其中，pk＝(a,b)为公钥，sk＝(s)为私钥，“·”运算定义为x·y＝(x₁·y,x₂·y,…x_m·y)∈R^m，x∈R^m,y∈R。

步骤2：调用Enc加密算法，输入第一用户的公钥，得到第一用户的密文。

具体执行如下：

TPRE.Enc(pk_A,m)：根据第一用户的公钥pk_A＝(a,b)和待加密的消息m∈R_q，待加密的消息m∈R_q的系数

调用加密算法Enc，随机选择多项式v,e₀,e₁∈χ_e，通过下式得到第一用户的一个密文

c₀＝b·v+pe₀+m∈R_q

c₁＝a·v+pe₁∈R_q

步骤3：当第一用户决定将解密权限授权给第二用户时，第一用户通过自己的私钥和第二用户的公钥，采用ReKeyGen算法生成代理密钥PK_A->B，然后第一用户采用Shamir门限方法将PK_A->B分割为N个密钥份额，N是整数，并用同态签名技术对N个密钥份额签名，最后将N个密钥份额和N个密钥份额的签名一一对应的分发给N个代理服务器。

具体执行如下：

TPRE.ReKeyGen(sk_A,pk_B,N,k)：输入第一用户的私钥sk_A、第二用户的公钥pk_B、密钥份额总数N和门限值k，通过ReKeyGen算法得到从第一用户到第二用户的代理密钥份额{kFrag_i}(1≤i≤N)。具体如下：

①对于i＝{1,2,...,m}，第二用户随机选择多项式β_i和e_i←χ_δ，并根据第二用户的私钥s_b，得到θ_i＝β_i·s_b+pe_i∈R_q，将

作为第二用户的公钥发送给第一用户。

②第一用户根据接收的

计算γ＝θ_i-Power2(s_A)∈R_q ^m，得到代理密钥

其中，如果设一个多项式y∈R_q，

“|”表示矩阵或者向量的纵向联结。

③将代理密钥

逐系数进行Shamir秘密分割。具体方法是：对于满足1≤i≤mn的每一个整数序号i，随机选择多项式

它的次数等于k-1且l_i(0)＝β_i，再随机选择多项式

它的次数等于k-1且w_i(0)＝γ_i。系统中共有N个代理服务器，对于每一个序号为j的代理服务器，它的密钥份额为

符号

表示Shamir门限方法中秘密值S的第i个份额。

④调用同态签名算法HS.KeyGen(n,d^hs,N)生成验证密钥hsvk和签名密钥hssk，选择N个互相独立的密钥prfk₁,prfk₂…prfk_N，对于i＝{1,2,...,N}，设

使用签名密钥hssk对x_i进行签名，得到签名

⑤公开验证密钥hsvk用来验证签名，将密钥份额

通过安全信道发送给各个代理服务器。

在上述过程中，第二用户提供的(β,θ)可以看作是第二用户的公钥，可预先公开，第一用户单独即可完成代理密钥生成，不需要任何可信第三方或者交互过程，因此方案满足非交互性。

步骤4：代理服务器使用自己的密钥份额对第一用户的密文采用PreEnc算法转化得到第二用户对应的密文份额，同时转化密钥份额签名得到密文份额签名，最终生成结果保存在存储服务器上。

具体执行如下：

TPRE.PreEnc(ct_A,{kFrag_i})：输入第一用户的密文

和代理服务器自己的密钥份额

通过PreEnc算法转化得到第二用户对应的密文份额，具体如下：

①计算

定义设多项式x∈R_q，向量x_i∈R₂(i＝1,2...m)，使

运算定义为

②计算

③计算

则

④利用同态签名算法HS.KeyGen对密钥份额进行估值，估值电路为：

计算：

输出第二用户对应的密文份额

转化后的

长度不变，仍然为2个多项式，同时附带着重加密密文份额的所对应签名。

步骤5：存储服务器使用Verify算法验证密文份额的合法性。

具体执行如下：

TPRE.Verify({cFrag_i}):输入一个密文份额cFrag_i，计算：

输出1表示密文份额合法，否则0表示份额非法。

步骤6：存储服务器集成k个合法密文份额，k是整数且k≤N，采用Comb算法组合出一个完整重加密密文。

具体执行如下：

TPRE.Comb({cFrag_i}_i∈S)：假设提供密文份额的代理服务器集合为S，|S|＝k'表示其数量。如果k'＜k，输出空消息的符号⊥；否则计算一个完整密文。

①对于i∈S中每一个解密份额{cFrag_i}，计算TPRE.Verify({cFrag_i})，若验证失败，输出⊥并退出。

②使用{cFrag_i}(i∈S)进行Shamir秘密重构。方法是遍历

以提供密文份额代理服务器的编号和密文份额作为Shamir门限方法的输入参数，计算Lagrange系数为：

计算

③输出第二用户可解密的完整密文：

重构出的完整密文ct_B的长度仅仅为2个环多项式，成功转化为第二用户密文的关键是利用代理密钥份额和密文份额的同态性。

步骤7：第二用户用自己的私钥，采用Dec算法，解密转化后的重加密密文，得到原始消息。具体执行如下：

TPRE.Dec(ct_B,sk_B):输入第二用户的私钥sk_B＝s和密文

计算t＝c₀-s·c₁∈R_q，以及m'＝t(modp)，输出解密消息m'或者⊥。

如果第一用户需要解密自己的密文，那么只需要在上述Dec算法中输入自己的私钥sk_A，其余过程不变，也可以解密出明文m。

方法性能

(1)正确性

如果第一用户加解密自己的密文，那么直接使用c₀-c₁·s解密：

只要噪声p(e·v+e₀-s·e₁)不超过q/2，其值mod p后仍然能够恢复出m。通过一次转换之后，Bob对应的密文可以表示为：

因为

则

使用Bob的私钥s_B重加密密文

可以验证，采用合适的参数选择当噪声

小于q/2时，转化后密文是可以正确解密的。

(2)可验证性

如果一个代理服务器是不诚实的，那么该代理服务器伪造一个错误重加密密文份额，同时通过选择(任意的)估值电路得到相应的签名，表面上看，这里的密文份额、签名以及估值电路是一致的，满足同态签名的性质。但是在验证时，正确的估值电路实质上通过原始密文定义的，是确定的，因此无法和伪造的电路相对应，验证失败。同态签名技术能够验证密文转化的正确性。

本发明另一方面，可验证的理想格上门限代理重加密系统，包括第一用户、第二用户、存储服务器和若干代理服务器；第一用户与第二用户、存储服务器和若干代理服务器均连接，存储服务器和若干代理服务器均连接。

第一用户，用于通过理想格上密钥产生算法KeyGen算法生成第一公钥和第一私钥，根据第一公钥和原始消息通过Enc加密算法生成密文并发送至存储服务器；根据第一私钥和接收的第二用户发送的第二公钥通过ReKeyGen算法生成代理密钥，通过Shamir门限方法将代理密钥分割为若干个密钥份额，并通过同态签名技术对每个密钥份额进行签名，得到若干密钥份额签名；将密钥份额和对应的密钥份额签名一一对应的分发给若干代理服务器。

第二用户，用于通过理想格上密钥产生算法KeyGen算法生成第二公钥和第二私钥，并将第二公钥发送至第一用户；接收存储服务器发送的重加密密文，并通过Dec算法解密重加密密文得到原始消息。

代理服务器，用于接收存储服务器发送的密文和第一用户发送的密钥份额和对应的密钥份额签名，根据接收的密钥份额通过PreEnc算法将密文转换为密文份额，将密钥份额签名转化为密文份额签名，并将密文份额和密文份额签名发送至存储服务器。

存储服务器，用于接收第一用户发送的密文并发送至每个代理服务器，用于接收并通过Verify算法验证每个代理服务器发送的密文份额和密文份额签名，将验证合法的密文份额通过Comb算法组合为重加密密文并发送至第二用户。

本发明可验证的理想格上门限代理重加密方法，利用理想格基循环紧凑的特性，对服从正态分布的2个m维多项式向量进行Shamir秘密分割，生成代理服务器的密钥份额，利用代理密钥份额和密文份额的同态性完成密文整体转化，与标准格上方案相比，在密钥尺寸(2m个多项式)、密文长度(2个多项式)上更为紧凑，在计算效率上也更为高效。在功能扩展上，可验证性要求在不泄露代理服务器密钥份额的情况下完成密文合法性的公开验证，通常采用的方法是零知识证明技术，但是效率不高、交互过程复杂。本发明可验证的理想格上门限代理重加密方法中采用格上同态签名技术来实现可验证性，代理服务器拥有重加密密钥份额和相对应的签名，在提供重加密密文份额的同时，还通过重加密密钥份额的签名来计算重加密密文份额的签名，计算电路是由原始密文来定义，因此验证过程中估值电路、新消息(对应重加密密文份额)和新签名(对应重加密密文份额的签名)必须相一致，通过同态签名的不可伪造性有效保证了代理转化的诚实性。另外，引入了一个小值域的带密钥伪随机函数(方案中的

)，一方面使估值后的签名具有一定的随机性，可有效防止重加密密钥及其签名的泄露，另一方面，伪随机函数的值域范围有限，能够确保明文被正确恢复。

本发明可验证的理想格上门限代理重加密方法具有“高可用、低信任、强安全”优势，“高可用”是指即使在一个或者多个代理不可用的情况下，仍然能够完成密文转化任务；“低信任”是指通过公开的验证算法，能够及时发现代理的不诚实或者恶意的转化行为，而从降低对代理的信任；“强安全”是方案完全基于理想格构造，具备抗量子攻击的能力。因此，本发明可成为密态信息分享的关键技术，适用于云存储中密文访问控制、分布式密钥管理、多方安全计算、去中心化网络等场景。

以上内容仅为说明本发明的技术思想，不能以此限定本发明的保护范围，凡是按照本发明提出的技术思想，在技术方案基础上所做的任何改动，均落入本发明权利要求书的保护范围之内。

Claims

1.一种可验证的理想格上门限代理重加密方法，其特征在于，包括以下步骤：

S2：根据第一公钥将原始消息加密生成密文；

S5：根据每个密文份额签名验证对应密文份额的合法性；

S6：将合法的密文份额组合为重加密密文；

S7：根据第二私钥将重加密密文解密，得到原始消息。

2.根据权利要求1所述的可验证的理想格上门限代理重加密方法，其特征在于，所述S2的具体方法为：

根据第一公钥将原始消息通过Enc加密算法加密生成密文；

所述S4的具体方法为：

所述S7的具体方法为：

3.根据权利要求1所述的可验证的理想格上门限代理重加密方法，其特征在于，所述S5的具体方法为：

4.根据权利要求1所述的可验证的理想格上门限代理重加密方法，其特征在于，所述S3中将代理密钥分割为若干密钥份额的具体方法为：

通过Shamir门限方法将代理密钥分割为若干密钥份额。

5.根据权利要求1所述的可验证的理想格上门限代理重加密方法，其特征在于，所述S6的具体方法为：

将合法的密文份额通过Comb算法组合为重加密密文。

6.一种可验证的理想格上门限代理重加密系统，其特征在于，包括第一用户、第二用户、存储服务器和若干代理服务器；第二用户、存储服务器和若干代理服务器均与第一用户连接，存储服务器和若干代理服务器均连接；