CN112073172A - 一种格上基于身份的双接收者全同态加密方法及系统 - Google Patents

Abstract

本发明实施例提供了一种格上基于身份的双接收者全同态加密方法及系统，系统包括密钥生成中心，数据加密者，第一数据接收者，第二数据接收者和云服务器，密钥生成中心进行系统初始化，分别基于第一数据接收者和第二数据接收者的身份信息，生成第一私钥和第二私钥；数据加密者基于第一接收者和第二接收者的身份信息，对明文数据进行加密；云服务器根据第一私钥或第二私钥对密文数据进行解密，且云服务器支持全同态运算。可见，能够实现双接收者的全同态加密。

Description

一种格上基于身份的双接收者全同态加密方法及系统

技术领域

本发明涉及云存储技术领域，特别是涉及一种格上基于身份的双接收者全同态加密方法及系统。

背景技术

随着互联网的发展以及云计算的应用，越来越多的人趋于将数据存储在云端，然而在这些数据中经常包含一些敏感信息，为了保护用户隐私，需要对敏感的隐私信息进行加密处理。

其中，全同态加密允许云服务器在不解密的情况下对加密数据进行有效操作，利用格密码理论构造基于属性的全同态加密不仅结合了属性基加密和全同态加密的优点，而且能够抵抗量子攻击。

然而，现有的全同态加密算法，例如GSW13同态加密算法，仅支持一对一的加密模式，由某一全同态加密公钥加密后的密文只能由某一特定的私钥才能实现解密。

发明内容

本发明实施例的目的在于提供一种格上基于身份的双接收者全同态加密方法及系统，以实现双接收者的全同态加密。具体技术方案如下：

为实现上述目的，本发明实施例提供了一种格上基于身份的双接收者全同态加密系统，其特征在于，所述系统包括：密钥生成中心，数据加密者，第一数据接收者，第二数据接收者和云服务器，

所述密钥生成中心，用于进行系统初始化，得到系统公共参数；所述密钥生成中心，还用于响应于所述第一数据接收者和所述第二数据接收者发送的私钥生成请求，分别基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，生成所述第一数据接收者的第一私钥和所述第二数据接收者的第二私钥，并将所述第一私钥发送至所述第一数据接收者，将所述第二私钥发送至所述第二数据接收者；

所述数据加密者，用于基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，对明文数据进行加密，得到密文数据，并将所述密文数据发送至云服务器；

所述第一数据接收者，用于向所述云服务器发送所述第一私钥，并接收所述云服务器根据所述第一私钥对所述密文数据进行解密得到的明文数据；所述第二数据接收者，用于向所述云服务器发送所述第二私钥，并接收所述云服务器根据所述第二私钥对所述密文数据进行解密得到的明文数据；

所述云服务器，用于根据所述第一私钥对所述密文数据进行解密得到明文数据，并将解密得到的明文数据发送至所述第一数据接收者；根据所述第二私钥对所述密文数据进行解密得到明文数据，并将解密的得到的明文数据发送至所述第二数据接收者；所述云服务器，还用于对多个密文数据进行全同态运算。

可选的，所述进行系统初始化的步骤，包括：

运行TrapGen算法生成第一矩阵A₀和系统主私钥

确定l个第一均匀随机矩阵A₁，…，A_l和一个第二均匀随机矩阵B；

确定均匀随机向量u。

可选的，所述分别基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，生成所述第一数据接收者的第一私钥和所述第二接收者的第二私钥，包括：

基于如下公式计算所述第一私钥和所述第二私钥：

id₁＝{b₁，b₂，…b_i，…b_l}

id₂＝{b′₁，b′₂，…b′_i…b′_l}

其中，id₁表示所述第一数据接收者的身份信息，id₂表示所述第二数据接收者的身份信息，b_i表示所述第一数据接收者的身份信息的第i个分量，b′_i表示所述第二数据接收者的身份信息的第i个分量，l表示预设的身份信息的信息数目，

表示第一信息矩阵；

表示第二信息矩阵；

表示第一组合矩阵，

表示第二组合矩阵；

表示第一私钥，

表示第二私钥。

可选的，所述基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，对明文数据进行加密，得到密文数据，包括：

构建加密矩阵

确定明文比特μ∈{0，1}ⁿ；

确定均匀随机向量s；

采用如下公式对明文数据进行加密：

N＝l(3m+1)

C＝Flatten[μ·I_N+BitDecomp(C′)]

其中，n，q和m均表示预设参数，R_i表示第i个预设矩阵，

表示第三信息矩阵，

表示第四信息矩阵，x表示噪声项，y表示噪声向量，C′表示构造的密文矩阵，c₀表示构造的密文矩阵每一行的左半部分；c₁表示构造的密文矩阵每一行的右半部分，c′_i表示构造的密文矩阵的每一行形式，C表示密文数据。

可选的，所述根据所述第一私钥对所述密文数据进行解密得到明文数据，包括：

设

运行Gen

算法，得到向量e1，其中，r表示预设参数；

采用如下公式进行解密：

t＝[1；-e1]

v＝poverof2(t)

Cv＝Flatten[μ·I_N+BitDecomp(C′)]·v＝μv+C′t.

x_i←<c_i，v>

其中，c_i表示密文C的第i行；v表示进行poverof2操作之后的每一项系数，x_i表示c_i和v的内积，μ表示明文数据；

所述根据所述第二私钥对所述密文数据进行解密得到明文数据，包括：

设

运行Gen

算法，得到向量e2，其中，r表示预设参数；

采用如下公式进行解密：

t＝[1；-e2]

v＝poverof2(t)

Cv＝Flatten[μ·I_N+BitDecomp(C′)]·v＝μv+C′t.

x_i←<c_i，v>

其中，c_i表示密文C的第i行；v表示进行poverof2操作之后的每一项系数，x_i表示c_i和v的内积，μ表示明文数据。

可选的，所述云服务器还用于基于如下公式对密文数据进行同态运算：

(C₁+C₂)v＝(μ₁+μ₂)v+(B₁+B₂)

C₁C₂v＝C₁(μ₂v+B₂)μ₂(μ₁v+B₁)+C₁B₂＝μ₁μ₂v+μ₂B₁+C₁B₂＝μ₁μ₂v mod q

其中，C₁表示第一密文数据，C₂表示第二密文数据，B₁表示生成第一密文数据C₁时产生的噪声，B₂表示生成第二密文数据C₂时产生的噪声。

为实现上述目的，本发实施例提供了一种格上基于身份的双接收者全同态加密方法，应用于格上基于身份的双接收者全同态加密系统中的密钥生成中心，所述方法包括：

进行系统初始化，得到系统公共参数；

响应于所述第一数据接收者和所述第二数据接收者发送的私钥生成请求，分别基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，生成所述第一数据接收者的第一私钥和所述第二数据接收者的第二私钥，并将所述第一私钥发送至所述第一数据接收者，将所述第二私钥发送至所述第二数据接收者，以使所述第一数据接收者根据所述第一私钥从云服务器获取明文数据，所述第二数据接收者根据所述第二私钥从云服务器获取明文数据。

可选的，所述分别基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，生成所述第一数据接收者的第一私钥和所述第二接收者的第二私钥，包括：

基于如下公式计算所述第一私钥和所述第二私钥：

id₁＝{b₁，b₂，…b_i，…b_l}

id₂＝{b′₁，b′₂，…b′_i…b′_l}

其中，

表示所述第一数据接收者的身份信息，

表示所述第二数据接收者的身份信息，b_i表示所述第一数据接收者的身份信息的第i个分量，b′_i表示所述第二数据接收者的身份信息的第i个分量，l表示预设的身份信息的信息数目，

表示第一信息矩阵；

表示第二信息矩阵；

表示第一组合矩阵，

表示第二组合矩阵；

表示第一私钥，

表示第二私钥。

为实现上述目的，本发明实施例提供了一种格上基于身份的双接收者全同态加密方法，应用于格上基于身份的双接收者全同态加密系统中的数据加密者，所述方法包括：

构建加密矩阵

确定明文比特μ∈{0，1}ⁿ；

确定均匀随机向量s；

采用如下公式对明文数据进行加密：

N＝l(3m+1)

C＝F1atten[μ·I_N+BitDecomp(C′)]

其中，n，q和m均表示预设参数，R_i表示第i个预设矩阵，

表示第三信息矩阵，

表示第四信息矩阵，x表示噪声项，y表示噪声向量，C′表示构造的密文矩阵，c₀表示构造的密文矩阵每一行的左半部分；c₁表示构造的密文矩阵每一行的右半部分，c′_i表示构造的密文矩阵的每一行形式，C表示密文数据。

为实现上述目的，本发明实施例还提供了一种服务器，包括处理器、通信接口、存储器和通信总线；其中，处理器、通信接口、存储器通过通信总线完成相互间的通信；

存储器，用于存放计算机程序；

处理器，用于执行存储器上所存放的程序时，实现上述任一方法步骤。

为实现上述目的，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现上述任一方法步骤。

本发明实施例有益效果：

本发明实施例提供的格上基于身份的双接收者全同态加密方法及系统，密钥生成中心可以分别为第一数据接收者和第二数据接收者生成第一私钥和第二私钥。数据加密者可以根据第一数据接收者和第二数据接收者的身份信息对密文数据进行加密，并将密文数据发送至云服务器，从而云服务器可以根据第一数据接收者的第一私钥或第二数据接收者的第二私钥，对密文数据进行解密。此外，云服务器还可以对多个密文数据进行全同态运算。可见，实现了双接收者的全同态加密。

当然，实施本发明的任一产品或方法并不一定需要同时达到以上所述的所有优点。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的实施例。

图1为本发明实施例提供的格上基于身份的双接收者全同态加密系统的一种结构示意图；

图2为本发明实施例提供的应用于密钥生成中心的格上基于身份的双接收者全同态加密方法的一种流程示意图；

图3为本发明实施例提供的应用于密钥生成中心的格式基于身份的双接收者全同态加密装置的一种结构示意图；

图4为本发明实施例提供的服务器的一种结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

为了解决现有的全同态加密仅支持一对一加密的技术问题，本发明实施例提供了一种格上基于身份的双接收者全同态加密方法及系统。

参见图1，本发明实施例提供的格上基于身份的双接收者全同态加密系统包括密钥生成中心、数据加密者、第一数据接收者、第二数据接收者和云服务器。

如图1所示，本发明实施例中，数据加密者表示拥有明文数据的用户所使用的客户端，第一数据接收者和第二数据接收者为期望获取明文数据的用户所使用的客户端。

本发明实施例中，密钥生成中心负责进行系统初始化，以得到系统公共参数，以及为第一数据接收者和第二数据接收者生成私钥。

具体的，密钥生成中心在接收到第一数据接收者发送的私钥生成请求后，可以基于第一数据接收者的身份信息，以及系统公共参数，生成第一数据接收者的第一私钥；密钥生成中心在接收到第二数据接收者发送的私钥生成请求后，可以基于第二数据接收者的身份信息，以及系统公共参数，生成第二数据接收者的第二私钥。

本发明实施例中，身份信息是用于表征用户身份的信息，例如身份证号，学号等。在加密过程中，这些身份信息可以作为加密时的公钥。

在本发明的一种实施例中，密钥生成中心可以基于如下步骤进行系统初始化：

运行TrapGen算法生成第一矩阵A₀和系统主私钥

确定l个第一均匀随机矩阵A₁，…，A_l和一个第二均匀随机矩阵B；确定均匀随机向量u。

其中，TrapGen算法是一种概率多项式算法，具体的，该概率多项式算法满足如下条件：

设q≥3，m＝[6nlog q]，存在TrapGen算法，输出

和

其中，A统计接近于

中的随机分布，T_A是

的一组基，并且满足

以及||T_A||≤O(nlog q)。m，n和q均表示预设参数，其中，q表示预设的模数。

则系统公共参数PP＝{A₀，A₁，…，A_l，B，u}。

在本发明的一种实施例中，密钥生成中心生成可以基于如下公式为第一数据接收者生成第一私钥，为第二数据接收者生成第二私钥：

id₁＝{b₁，b₂，…b_i，…b_l}

id₂＝{b′₁，b′₂，…b′_i…b′_l}

其中，id₁表示第一数据接收者的身份信息，id₂表示第二数据接收者的身份信息，b_i表示第一数据接收者的身份信息的第i个分量，b′_i表示第二数据接收者的身份信息的第i个分量，l表示预设的身份信息的信息数目，

表示第一信息矩阵；

表示第二信息矩阵；

表示第一组合矩阵，

表示第二组合矩阵；

表示第一私钥，

表示第二私钥。

其中，SampleBasis表示一种概率多项式算法，该概率多项式算法满足如下条件：

设q≥2，

且m＞2nlogq。T_A是

的一组基，那么对于

存在概率多项式算法SampleBasis(F，T_A)，其中，

是列向量集合包含了A所有列向量的矩阵，输出格基

满足：

使用这一算法得到的基T_F独立于T_A。

本发明实施例中，数据拥有者可以指定第一数据接收者和第二数据接收者，进而采用第一数据接收者和第二数据接收者的身份信息作为公钥，对自身拥有的明文数据进行加密，从而加密后的明文数据只能通过第一数据接收者或第二数据接收者的密钥才能解开。

具体的，数据拥有者可以构建加密矩阵

确定明文比特μ∈{0，1}ⁿ；确定均匀随机向量s，采用如下公式对明文数据进行加密：

N＝l(3m+1)

C＝Flatten[μ·I_N+BitDecomp(C′)]

其中，n，q和m均表示预设参数，R_i表示第i个预设矩阵，

表示第三信息矩阵，

表示第四信息矩阵，x表示噪声项，y表示噪声向量，C′表示构造的密文矩阵，c₀表示构造的密文矩阵每一行的左半部分；c₁表示构造的密文矩阵每一行的右半部分，c′_i表示构造的密文矩阵的每一行形式，C表示密文数据。

数据拥有者可以将加密得到的密文数据上传至云服务器，当第一数据接收者或第二数据接收者需要解密时，将各自的第一私钥或第二私钥发送至云服务器，云服务器根据第一私钥或第二私钥即可完成数据解密。

具体的，在根据第一私钥对密文数据进行解密的过程中，可以设

运行

算法，得到向量e1，其中，r表示预设参数且

其中，

表示一种概率多项式算法，该概率多项式算法满足如下条件：

设q≥2，

且m＞2nlogq。T_A是

的一组基，那么对于

存在概率多项式算法

其中，

是列向量集合包含了A所有列向量的矩阵，返回向量

分布与

统计不可区分，其中：

进而可以采用如下公式进行解密：

t＝[1；-e1]

v＝poverof2(t)

Cv＝Flatten[μ·I_N+BitDecomp(C′)]·v＝μv+C′t.

x_i←<c_i，v>

其中，c_i表示密文C的第i行；v表示进行poverof2操作之后的每一项系数，x_i表示c_i和v的内积，μ表示明文数据。

其中，BitDecomp表示第一操作函数，具体操作是将一个向量

的每一位a_i按照二进制形式展开，即每一个元素表示成二进制的形式：

其中

即将向量a的每一位都展开成了二进制，变成

位，整个结果一共是

位。

相应的，可以定义BitDecomp的反函数BitDecomp^-1，令：

则：

即将每一位的二进制形式又重新组合成了原来的形式。

本发明实施例中，Flatten表示第二操作函数，定义如下：

Flatten(a′)＝BitDecomp(BitDecomp^-1(a′))

这个操作将那些不是全由{0，1}构成的a′重新变成了由{0，1}元素构成，并且能够保持其一定的性质。

本发明实施例中，Powerof2表示第三操作函数，定义如下：

即将a的每一位展开成为变成

位，并且后一位是前一位的2倍。

在根据第二私钥对密文数据进行解密的过程中，可以设

后续步骤与根据第一私钥对密文数据进行解密的步骤相同。

云服务器可以将解密得到的明文数据发送至第一数据接收者或第二数据接收者。

本发明实施例提供的格上基于身份的双接收者全同态加密系统，密钥生成中心可以分别为第一数据接收者和第二数据接收者生成第一私钥和第二私钥。数据加密者可以根据第一数据接收者和第二数据接收者的身份信息对密文数据进行加密，并将密文数据发送至云服务器，从而云服务器可以根据第一数据接收者的第一私钥或第二数据接收者的第二私钥，对密文数据进行解密。此外，云服务器还可以对多个密文数据进行全同态运算。可见，实现了双接收者的全同态加密。

由于实现了双接收者的全同态加密，相比于一对一的全同态加密，能够适用于更广泛的应用场景。例如，当上传至云服务器的数据涉及国家安全、金融或医疗信息等敏感数据，需要可信第三方监管时，可以采用本发明实施例提供的双接收者的全同态加密方法，使可信第三方作为其中的一个接收者，以实现对敏感数据的监管。且由于直接采用数据接收者的身份信息作为公钥，不需要公钥证书，避免传统加密体制中证书管理的繁琐与困难，消除了与证书有关的计算和存储。

此外，本发明实施例中，应用了近似特征向量的算法，能够支持云服务器对密文数据进行全同态运算，其中全同态运算包括同态加法运算和同态乘法运算。

其中，同态加密运算可以表示为：

(C₁+C₂)v＝(μ₁+μ₂)v+(B₁+B₂)

同态乘法运算可以表示为：

C₁C₂v＝C₁(μ₂v+B₂)μ₂(μ₁v+B₁)+C₁B₂＝μ₁μ₂v+μ₂B₁+C₁B₂＝μ₁μ₂v mod q

其中，C₁表示第一密文数据，C₂表示第二密文数据，B₁表示生成C₁密文时产生的噪声，B₂表示生成C₂密文时产生的噪声，q表示预设的模数。

相应于本发明实施例提供的格上基于身份的双接收者全同态加密系统，本发明实施例还提供了一种应用于密钥生成中心的格上基于身份的双接收者全同态加密方法，参见图2，方法可以包括以下步骤：

S201：进行系统初始化，得到系统公共参数。

具体的，运行TrapGen算法生成第一矩阵A₀和系统主私钥

确定l个第一均匀随机矩阵A₁，…，A_l和一个第二均匀随机矩阵B；确定均匀随机向量u。

S202：响应于第一数据接收者和第二数据接收者发送的私钥生成请求，分别基于第一数据接收者和第二数据接收者的身份信息，以及系统公共参数，生成第一数据接收者的第一私钥和第二数据接收者的第二私钥，并将第一私钥发送至第一数据接收者，将第二私钥发送至第二数据接收者，以使第一数据接收者根据第一私钥从云服务器获取明文数据，第二数据接收者根据第二私钥从云服务器获取明文数据。

密钥生成中心生成可以基于如下公式为第一数据接收者生成第一私钥，为第二数据接收者生成第二私钥：

id₁＝{b₁，b₂，…b_i，…b_l}

id₂＝{b′₁，b′₂，…b′_i…b′_l}

其中，id₁表示第一数据接收者的身份信息，id₂表示第二数据接收者的身份信息，b_i表示第一数据接收者的身份信息的第i个分量，b′_i表示第二数据接收者的身份信息的第i个分量，l表示预设的身份信息的信息数目，

表示第一信息矩阵；

表示第二信息矩阵；

表示第一组合矩阵，

表示第二组合矩阵；

表示第一私钥，

表示第二私钥，SampleBasis表示概率多项式算法。

可见，本发明实施例提供的格上基于身份的双接收者全同态加密方法，密钥生成中心可以为第一数据接收者生成第一私钥，为第二数据接收者生成第二私钥，第一数据接收者可以仅使用第一私钥从云服务器获取明文数据，第二数据接收者也可以仅使用第二私钥从云服务器获取明文数据，能够实现双接收者全同态加密。

相应于本发明实施例提供的格上基于身份的双接收者全同态加密系统，本发明实施例还提供了一种应用于数据加密者的格上基于身份的双接收者全同态加密方法，方法可以包括以下步骤：

构建加密矩阵

确定明文比特μ∈{0，1}ⁿ；

确定均匀随机向量s；

采用如下公式对明文数据进行加密：

N＝l(3m+1)

C＝Flatten[μ·I_N+BitDecomp(C′)]

其中，n，q和m均表示预设参数，R_i表示第i个预设矩阵，

表示第三信息矩阵，

表示第四信息矩阵，x表示噪声项，y表示噪声向量，C′表示构造的密文矩阵，c₀表示构造的密文矩阵每一行的左半部分；c₁表示构造的密文矩阵每一行的右半部分，c′_i表示构造的密文矩阵的每一行形式，C表示密文数据。

可见，本发明实施例提供的应用于数据加密者的格上基于身份的双接收者全同态加密方法，根据第一数据接收者和第二数据接收者的身份信息，采用近似特征向量的算法对明文数据进行加密，加密后的密文只需用第一数据接收者的第一私钥或第二数据接收者的第二私钥即可解密，从而实现双接收者全同态加密。

本发明实施例还提供了一种应用于密钥生成中心的格上基于身份的双接收者全同态加密方法装置，参见图3，包括以下模块：

初始化模块301，用于进行系统初始化，得到系统公共参数；；

私钥生成模块302，用于响应于第一数据接收者和第二数据接收者发送的私钥生成请求，分别基于第一数据接收者和第二数据接收者的身份信息，以及系统公共参数，生成第一数据接收者的第一私钥和第二数据接收者的第二私钥，并将第一私钥发送至第一数据接收者，将第二私钥发送至第二数据接收者，以使第一数据接收者根据第一私钥从云服务器获取明文数据，第二数据接收者根据第二私钥从云服务器获取明文数据。

可见，本发明实施例提供的格上基于身份的双接收者全同态加密装置，密钥生成中心可以为第一数据接收者生成第一私钥，为第二数据接收者生成第二私钥，第一数据接收者可以仅使用第一私钥从云服务器获取明文数据，第二数据接收者也可以仅使用第二私钥从云服务器获取明文数据，能够实现双接收者全同态加密。

本发明实施例还提供了一种服务器，如图4所示，包括处理器401、通信接口402、存储器403和通信总线404，其中，处理器401，通信接口402，存储器403通过通信总线404完成相互间的通信，

存储器403，用于存放计算机程序；

处理器401，用于执行存储器403上所存放的程序时，实现如下方法步骤：

进行系统初始化，得到系统公共参数；

响应于第一数据接收者和第二数据接收者发送的私钥生成请求，分别基于第一数据接收者和第二数据接收者的身份信息，以及系统公共参数，生成第一数据接收者的第一私钥和第二数据接收者的第二私钥，并将第一私钥发送至第一数据接收者，将第二私钥发送至第二数据接收者，以使第一数据接收者根据第一私钥从云服务器获取明文数据，第二数据接收者根据第二私钥从云服务器获取明文数据。

上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect，PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture，EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

通信接口用于上述电子设备与其他设备之间的通信。

存储器可以包括随机存取存储器(Random Access Memory，RAM)，也可以包括非易失性存储器(Non-Volatile Memory，NVM)，例如至少一个磁盘存储器。可选的，存储器还可以是至少一个位于远离前述处理器的存储装置。

上述的处理器可以是通用处理器，包括中央处理器(Central Processing Unit，CPU)、网络处理器(Network Processor，NP)等；还可以是数字信号处理器(Digital SignalProcessing，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本发明实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个......”限定的要素，并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。

本说明书中的各个实施例均采用相关的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于格上基于身份的双接收者全同态加密方法、装置和服务器实施例，由于其基本相似于格上基于身份的双接收者全同态加密系统实施例，所以描述的比较简单，相关之处参见格上基于身份的双接收者全同态加密系统实施例的部分说明即可。

以上仅为本发明的较佳实施例，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均包含在本发明的保护范围内。

Claims (10)

1.一种格上基于身份的双接收者全同态加密系统，其特征在于，所述系统包括：密钥生成中心，数据加密者，第一数据接收者，第二数据接收者和云服务器，

所述密钥生成中心，用于进行系统初始化，得到系统公共参数；所述密钥生成中心，还用于响应于所述第一数据接收者和所述第二数据接收者发送的私钥生成请求，分别基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，生成所述第一数据接收者的第一私钥和所述第二数据接收者的第二私钥，并将所述第一私钥发送至所述第一数据接收者，将所述第二私钥发送至所述第二数据接收者；

所述数据加密者，用于基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，对明文数据进行加密，得到密文数据，并将所述密文数据发送至云服务器；

所述第一数据接收者，用于向所述云服务器发送所述第一私钥，并接收所述云服务器根据所述第一私钥对所述密文数据进行解密得到的明文数据；所述第二数据接收者，用于向所述云服务器发送所述第二私钥，并接收所述云服务器根据所述第二私钥对所述密文数据进行解密得到的明文数据；

所述云服务器，用于根据所述第一私钥对所述密文数据进行解密得到明文数据，并将解密得到的明文数据发送至所述第一数据接收者；根据所述第二私钥对所述密文数据进行解密得到明文数据，并将解密的得到的明文数据发送至所述第二数据接收者；所述云服务器，还用于对多个密文数据进行全同态运算。

2.根据权利要求1所述的系统，其特征在于，所述进行系统初始化的步骤，包括：

运行TrapGen算法生成第一矩阵A₀和系统主私钥

确定l个第一均匀随机矩阵A₁，…，A_l和一个第二均匀随机矩阵B；

确定均匀随机向量u。

3.根据权利要求2所述的系统，其特征在于，所述分别基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，生成所述第一数据接收者的第一私钥和所述第二接收者的第二私钥，包括：

基于如下公式计算所述第一私钥和所述第二私钥：

id₁＝{b₁，b₂，…b_i，…b_l}

id₂＝{b′₁，b′₂，…b′_i…b′_l}

其中，id₁表示所述第一数据接收者的身份信息，id₂表示所述第二数据接收者的身份信息，b_i表示所述第一数据接收者的身份信息的第i个分量，b′_i表示所述第二数据接收者的身份信息的第i个分量，l表示预设的身份信息的信息数目，

表示第一信息矩阵；

表示第二信息矩阵；

表示第一组合矩阵，

表示第二组合矩阵；

表示第一私钥，

表示第二私钥。

4.根据权利要求3所述的系统，其特征在于，所述基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，对明文数据进行加密，得到密文数据，包括：

构建加密矩阵

确定明文比特μ∈{0，1}ⁿ；

确定均匀随机向量s；

采用如下公式对明文数据进行加密：

N＝l(3m+1)

C＝Flatten[μ·I_N+BitDecomp(C′)]

其中，n，q和m均表示预设参数，R_i表示第i个预设矩阵，

表示第三信息矩阵，

表示第四信息矩阵，x表示噪声项，y表示噪声向量，C′表示构造的密文矩阵，c₀表示构造的密文矩阵每一行的左半部分；c₁表示构造的密文矩阵每一行的右半部分，c′_i表示构造的密文矩阵的每一行形式，C表示密文数据。

5.根据权利要求4所述的系统，其特征在于，所述根据所述第一私钥对所述密文数据进行解密得到明文数据，包括：

设

运行

算法，得到向量e1，其中，r表示预设参数；

采用如下公式进行解密：

t＝[1；-e1]

v＝poverof2(t)

Cv＝Flatten[μ·I_N+BitDecomp(C′)]·v＝μv+C′t.

x_i←<c_i，v>

其中，c_i表示密文C的第i行；v表示进行poverof2操作之后的每一项系数，x_i表示c_i和v的内积，μ表示明文数据；

所述根据所述第二私钥对所述密文数据进行解密得到明文数据，包括：

设

运行

算法，得到向量e2，其中，r表示预设参数；

采用如下公式进行解密：

t＝[1；-e2]

v＝poverof2(t)

Cv＝Flatten[μ·I_N+BitDecomp(C′)]·v＝μv+C′t.

x_i←<c_i，v>

其中，c_i表示密文C的第i行；v表示进行poverof2操作之后的每一项系数，x_i表示c_i和v的内积，μ表示明文数据。

6.根据权利要求5所述的系统，其特征在于，所述云服务器还用于基于如下公式对密文数据进行同态运算：

(C₁+C₂)v＝(μ₁+μ₂)v+(B₁+B₂)

C₁C₂v＝C₁(μ₂v+B₂)μ₂(μ₁v+B₁)+C₁B₂＝μ₁μ₂v+μ₂B₁+C₁B₂＝μ₁μ₂v mod q

其中，C₁表示第一密文数据，C₂表示第二密文数据，B₁表示生成第一密文数据C₁时产生的噪声，B₂表示生成第二密文数据C₂时产生的噪声。

7.一种格上基于身份的双接收者全同态加密方法，其特征在于，应用于权利要求1所述的格上基于身份的双接收者全同态加密系统中的密钥生成中心，所述方法包括：

进行系统初始化，得到系统公共参数；

响应于所述第一数据接收者和所述第二数据接收者发送的私钥生成请求，分别基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，生成所述第一数据接收者的第一私钥和所述第二数据接收者的第二私钥，并将所述第一私钥发送至所述第一数据接收者，将所述第二私钥发送至所述第二数据接收者，以使所述第一数据接收者根据所述第一私钥从云服务器获取明文数据，所述第二数据接收者根据所述第二私钥从云服务器获取明文数据。

8.根据权利要求7所述的方法，其特征在于，所述分别基于所述第一数据接收者和所述第二数据接收者的身份信息，以及所述系统公共参数，生成所述第一数据接收者的第一私钥和所述第二接收者的第二私钥，包括：

基于如下公式计算所述第一私钥和所述第二私钥：

id₁＝{b₁，b₂，…b_i，…b_l}

id₂＝{b′₁，b′₂，…b′_i…b′_l}

其中，id₁表示所述第一数据接收者的身份信息，id₂表示所述第二数据接收者的身份信息，b_i表示所述第一数据接收者的身份信息的第i个分量，b′_i表示所述第二数据接收者的身份信息的第i个分量，l表示预设的身份信息的信息数目，

表示第一信息矩阵；

表示第二信息矩阵；

表示第一组合矩阵，

表示第二组合矩阵；

表示第一私钥，

表示第二私钥。

9.一种格上基于身份的双接收者全同态加密方法，其特征在于，应用于权利要求1所述的格上基于身份的双接收者全同态加密系统中的数据加密者，所述方法包括：

构建加密矩阵

确定明文比特μ∈{0，1}ⁿ；

确定均匀随机向量s；

采用如下公式对明文数据进行加密：

N＝l(3m+1)

C＝Flatten[μ·I_N+BitDecomp(C′)]

其中，n，q和m均表示预设参数，R_i表示第i个预设矩阵，

表示第三信息矩阵，

表示第四信息矩阵，x表示噪声项，y表示噪声向量，C′表示构造的密文矩阵，c₀表示构造的密文矩阵每一行的左半部分；c₁表示构造的密文矩阵每一行的右半部分，c′_i表示构造的密文矩阵的每一行形式，C表示密文数据。

10.一种服务器，其特征在于，包括处理器、通信接口、存储器和通信总线，其中，所述处理器、所述通信接口、所述存储器通过所述通信总线完成相互间的通信；

所述存储器，用于存放计算机程序；

所述处理器，用于执行所述存储器上所存放的程序时，实现权利要求7-8或9任一所述的方法步骤。

Images