CN112667995A

CN112667995A - 受限Paillier加密系统及其在密钥分发和身份认证中的应用方法

Info

Publication number: CN112667995A
Application number: CN202011623572.7A
Authority: CN
Inventors: 张卫明; 俞能海; 董晓娟
Original assignee: University of Science and Technology of China USTC
Current assignee: University of Science and Technology of China USTC
Priority date: 2020-12-31
Filing date: 2020-12-31
Publication date: 2021-04-16

Abstract

本发明公开了一种受限Paillier加密系统及其在密钥分发和身份认证中的应用方法，强私钥不能加密组内成员的密文数据，同时受限Paillier加密系统为基础实现了组成员身份证书的分发和密钥管理，支持密钥管理、身份证书的分发与验证，在功能上有完备性。

Description

受限Paillier加密系统及其在密钥分发和身份认证中的应用方法

技术领域

本发明涉及密码学技术领域，尤其涉及一种受限Paillier加密系统及其在密钥分发和身份认证中的应用方法。

背景技术

Paillier加密系统，是由Paillier1999年在发明的概率公钥加密系统。其算法是是同态加密算法。同态加密除了能实现数据的基本加密，还能保证在密文上直接进行操作，其结果解密后与在明文上进行操作的结果一样。人们不仅将Paillier算法用于公钥加密，还应用于各种云计算应用，从安全角度来说，用户一般会担心云服务中数据的保密存储和保密计算问题，所以不敢将敏感信息直接放在第三方云上进行处理，但是如果用的是同态加密技术，那么用户可以放心地使用，将同态加密应用到云服务中。

Paillier算法只适合一对一通信，通信双方共用一个模数N，一方用公钥加密数据，另一方用私钥解密数据。

由于Paillier算法不能用于一组成员通信。Cramer和Shoup提出了Paillier算法的一个变种，被称为改进的Paillier算法，其中一组成员可以共用一个模数N，进行通信和多方安全计算。每一个组内成员拥有一对公私钥对，可用公钥加密数据，用对应的私钥解密数据。然而，创建改进的Pailliar加密系统的参与者，往往是一个组的管理员，拥有一个强私钥，这个强私钥是原Paillier算法自带的私钥。强私钥可解密组内成员的任何密文。若组管理员是不诚信的，截获组内成员的通信加密数据，并用强私钥进行解密，便可知道通信的内容，那么加密数据的保密性不复存在。

因此，改进的Paillier算法带了一个安全问题，组管理者可解密组内成员的任何加密数据。为了提升改进Paillier加密体制的安全性，其强私钥的解密功能需要被抑制。但目前还没有限制改进Paillier加密体制的强私钥解密的方案。

发明内容

本发明的目的是提供一种受限Paillier加密系统及其在密钥分发和身份认证中的应用方法，强私钥不能解密组内成员的密文数据，同时受限Paillier加密系统为基础实现了组成员身份证书的分发和密钥管理。

本发明的目的是通过以下技术方案实现的：

一种受限Paillier加密系统，包括：

密钥生成单元，用于根据随机选取的素数生成系统的强私钥与模数，并且根据系统中的用户请求结合模数反馈各用户的弱私钥、公钥、以及用户之间的联合公钥；

加密单元，用于采用加法加密算法或者乘法加密算法对明文进行加密，得到加法密文或者乘法密文；

解密单元，用于通过单个用户的弱私钥或者系统的强私钥解密加法密文，或者拆分强私钥算法将强私钥拆分后，通过多个用户的配合使用部分强私钥加性解密算法解密加法密文，或者通过单个用户的弱私钥解密乘法密文；

密文转换单元，通过用户之间的联合公钥，将乘法密文转换为混合密文，和/或将混合密文转化为加法密文；其中，混合密文用于实现用户之间共有秘密的访问控制。

一种密钥分发和身份认证方法，基于前述的系统实现，包括：

每一个组成员U_i加入受限Paillier加密系统时，组成员选取弱私钥θ_i以及随机数r_i，并计算公钥h_i、以及利用随机数r_i加密弱私钥θ_i：

H(·)是哈希函数，g为系统的生成元；用户U_i保留数值

将加密后的弱私钥Reg_i作为注册请求发送给组管理者；组管理者预先通过拆分强私钥算法将系统的强私钥拆分为两部分，一部分为身份证书的签名密钥，另一部分为身份证书的验证密钥；接收到新加入的组成员U_i发送的Reg_i后，为新加入的组成员U_i生成身份号ID_i，并利用加密的弱私钥Reg_i、以及身份证书的签名密钥为组成员生成身份证书Cert_i，再将身份号和身份证书发给组成员；

组内成员在进行通信之前，进行身份认证：当前组成员接收其他组成员发送的公钥、身份号及身份证书，当前组成员利用来自其他组成员的信息、以及组管理者提供的验证密钥，使用部分强私钥加性解密算法计算所述其他成员加入系统时所选取的随机数r_i，再结合所述随机数r_i进行验证，从而判断所述其他组成员的身份是否为真。

由上述本发明提供的技术方案可以看出，受限Paillier加密系统中，强私钥不能解密组内成员的密文数据，确保了数据的安全性；此外，限制的Paillier加密系统不仅支持加解密，也支持密钥管理、身份证书的分发与验证，在功能上有完备性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例提供的一种受限Paillier加密系统的示意图；

图2为本发明实施例提供的混合密文用于实现用户之间共有秘密的访问控制的流程图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

本发明实施例提供一种受限Paillier加密系统，如图1所示，其主要包括：

密钥生成单元，用于根据随机选取的素数生成系统的强私钥与模数，并且根据系统中的用户请求结合模数反馈各用户的弱私钥、公钥、以及用户之间的联合公钥。

加密单元，用于采用加法加密算法或者乘法加密算法对明文进行加密，得到加法密文或者乘法密文。

解密单元，用于通过单个用户的弱私钥或者系统的强私钥解密加法密文，或者拆分强私钥算法将强私钥拆分后，通过多个用户的配合使用部分强私钥加性解密算法解密加法密文，或者通过单个用户的弱私钥解密乘法密文。乘法密文只能用单个用户的弱私钥解密，而强私钥无法解密乘法密文；弱私钥和强私钥都可解密加法密文，这是加法密文和乘法密文的特性所决定的，因此，系统中用户之间可以通过乘法加密算法加密明文数据，使得管理员无法通过强私钥解密乘法密文。

密文转换单元，通过用户之间的联合公钥，将乘法密文转换为混合密文，和/或将混合密文转化为加法密文；其中，混合密文用于实现用户之间共有秘密的访问控制。原Modified Paillier加密算法中的生成元是从[1，N²-1]中选取的整数，明文信息从[1，N-1]中选取的整数，二者的乘积模N²超出N，二者的乘积无法当做新的明文信息，无法再次被加法加密算法加密获得混合密文。本发明的生成元从[1，N-1]中选取的整数，明文信息从[1，N-1]中选取的整数，二者的乘积模N没有超出N，二者的乘积可当做新的明文信息，可再次被加法加密算法加密获得混合密文。

为了便于理解，下面针对系统各个部分的优选实施方式做详细的说明。

一、密钥生成单元。

密钥生成(KeyGen)单元中，随机选取两个素数记为p′和q′，计算两个中间参数p＝2p′+1，q＝2q′+1，从而得到系统的模数N＝pq，以及系统的强私钥λ＝lcm(p-1，q-1)＝2p′q′，lcm(x，y)表示x与y的最大公约数；选取随机数a(

a≠1，

表示[0，N²-1]中与N²互素的整数)，计算生成元g＝-a^2Nmod N。

用户选择的弱私钥范围为θ∈[1，N²/2]，并计算h＝g^θmod N，h是用户的公钥pk；

将用户U_i的公私钥对记为(pk_i，sk_i)，用户U_j的公私钥对记为(pk_j，sk_j)；用户U_i和用户U_j的联合公钥pk_ij是h_ij，其中

用户U_i的私钥sk_i与用户U_j的私钥sk_j各自为θ_i与θ_j。

二、加密单元与解密单元。

1、加法加密与解密。

1)加法加密(AddEnc)。

本发明实施例中，采用加法加密算法对明文m∈Z_N(Z_N表示0到N-1之间的整数)加密：选取一个随机数r∈[1，N/4]，计算出加法密文

AC₁，AC₂为加法密文结构的两个部分；其中AC₁＝(h^rmod N)^N(1+mN)mod N²；AC₂＝g^rmod N。

2)加法解密。

A、通过单个用户的弱私钥解密加法密文(AddDecWkey)：使用单个用户的弱私钥θ解密加法密文

得到明文m＝L{AC₁/[(AC₂)^θmod N]^N}；其中

u∈{u＜N²|u＝1mod N}；

B、通过强密钥解密加法密文(AddDecSkey)：强密钥λ解密加法密文

得到明文m＝L[(AC₁)^λ]·λ^-1mod N。因为gc d(λ，N)＝1，其中，gcd(x，y)表示x和y之间的最大公约数。

C、拆分强私钥算法将强私钥拆分后，通过多个用户的配合使用部分强私钥加性解密算法解密加法密文。

C1、拆分强私钥(SkeyS)。

通过拆分强私钥算法将强私钥λ拆分为两个部分，分别记为λ_i和λ_j，λ_i和λ_j满足下面两个限制条件：

将λ_i分配给用户U_i，将λ_j分配给用户U_j。

C2、部分强私钥加性解密的第一步(AddDecPSkey1)：

用户U_i用部分强私钥加性解密算法解密加法密文

得到加法密文的部分解密结果记为

并将{AC₁，DC₁}发送给用户U_j。

C3、部分强私钥加性解密的第二步(AddDecPSkey2)：

用户U_j用部分强私钥加性解密算法继续解密加法密文的部分解密结果DC₁，获得明文

2、乘法加密与解密

1、乘法加密(MulEnc)。

采用乘法加密算法对明文m∈Z_N(Z_N表示0到N-1之间的整数)加密：选取一个随机数r∈[1，N/4]，计算出乘法密文

MC₁，MC₂为乘法密文结构的两个部分；其中MC₁＝mh^rmod N；MC₂＝g^rmod N。

2、乘法解密(MulDec)。

通过单个用户的弱私钥θ解密乘法密文

得到明文m＝MC₁/(MC₂)^θmod N。

三、密文转换单元。

1、乘法密文转换为混合密文(MulToMix)，主要包括：

1)用户U_i计算出的乘法密文记为

其中

MC_ij，2＝g^rmod N，r是选取的随机数r∈[1，N/4]，并将

发送给用户U_j。

2)用户U_j对

执行加法加密算法，获得混合密文，记为

其中

MixC_ij，2＝g^rmod N，r_j∈[1，N/4]是选取的随机数。

2、混合密文转化为加法密文(MixToAdd)，主要包括：

1)用户U_j选取一个随机数s∈Z_2p′q′(Z_2p′q′表示0到2p′q′-1之间的整数)，计算

t₂＝g^smod N，并将{MixC_ij，1，t₁，t₂}发送给U_i。

{(MixC_ij，1)′，T₂}发送给用户U_j；其中，θ_i、θ_j为用户U_i、U_j的弱私钥。

3)用户U_j计算

计算

3、混合密文用于实现用户之间共有秘密的访问控制(ACCS)。

用户U_i和用户U_j的共有秘密S，处于加密状态，共有秘密S的混合密文为：

r和r_m是从[1，N/4]中选取的随机数；

θ_i、θ_j为U_i、U_j的弱私钥；混合密文

属于两个用户，单个用户不能直接获得S；如果用户U_j想获得b∈[1，N/8]倍的S，则用户U_i用附加因子c∈[1，N/4]控制用户U_j的访问结果，最终，用户U_j获得bS+c，执行步骤包括：

1)用户U_j选择从[1，N/4]选取两个随机数l和d，计算A＝(h_ij)^lmod N，dA^-1和

再计算

用户U_j保留A，发送{t₁，dA^-1，

}给用户U_i。

2)用户U_i计算

再计算

并记为Result_i，，发送{Result_i，

}给用户U_j。

3)用户U_j计算出

其中，λ_i和λ_j为通过拆分强私钥算法将强私钥λ拆分得到的两个部分，AddDecPSkey2为用户U_j执行的部分强私钥加性解密算法。

基于上述受限Paillier加密系统，本发明另一实施例还提供一种密钥分发和身份认证方法，应用场景如图2所示，主要说明如下：

一、密钥分发与下发身份证书。

在用户U_i加入系统时，用户U_i选择自己的弱私钥，然后将被隐藏的弱私钥当作注册请求发送给组管理者KGC。弱私钥被隐藏是为了防止KGC知道弱私钥。KGC为用户U_i生成系统身份号ID_i和身份证书Cert_i。KGC利用SkeyS算法将强密钥拆分两个部分，分别记为signk和verk。signk是身份证书的签名密钥，verk是身份证书的验证密钥。密钥分发与下发身份证书的过程如下：

1)每一个组成员U_i加入受限Paillier加密系统时，组成员从[1，N²/2]选取弱私钥θ_i以及随机数r_i∈[1，N/4]，并计算公钥

以及利用随机数r_i加密弱私钥θ_i：

H(·)是哈希函数，

g为系统的生成元；U_i保留数值

用于弱私钥的恢复，将加密后的弱私钥Reg_i作为注册请求发送给KGC。

2)KGC接收到新加入的组成员U_i发送的Reg_i后，为新加入的组成员U_i生成身份号ID_i，并利用加密的弱私钥、以及身份证书的签名密钥为组成员生成身份证书Cert_i，再将身份号和身份证书发给U_i。

具体来说：Cert_i＝{Cert_i，1，Cert_i，2}，其中

Cert_i，2＝(Cert_i，1)^signk。KGC将{ID_i，Reg_i}保留在服务器上，将{ID_i，Cert_i}发送给用户U_i。

二、恢复弱私钥。

如果用户U_i丢失了弱私钥θ_i，用户U_i可与KGC交互，利用原来的注册信息Reg_i恢复出θ_i。恢复弱私钥的过程如下：

1)组内成员U_i发送弱私钥取回请求和身份号ID_i给KGC。

2)KGC利用强私钥λ解密出组内成员U_i加入系统时所选取的随机数r_i：r_i＝AddDecSkey(Cert_i，λ)，AddDecSkey表示强密钥解密加法密文；并将随机数r_i发送给组内成员U_i。

3)组内成员U_i计算出H(r_i)和

然后验证

是否正确；若不正确，发送出错信息给KGC，否则，计算出弱私钥

三、身份认证。

组内成员U_j在与U_i在进行通信之前，进行认证U_i的身份，过程如下：

1)组成员U_i发送公钥、身份号及身份证书{h_i，ID_i，Cert_i}给组成员U_j。

2)当前组成员U_j接收其他组成员U_i发送的公钥、身份号及身份证书{h_i，ID_i，Cert_i}，当前组成员利用来自所述其他组成员的信息Cert_i、以及KGC提供的验证密钥verk，使用部分强私钥加性解密算法AddDecSkey2计算所述其他成员加入系统时所选取的随机数r_i：r_i＝AddDecSkey2(Cert_i，verk)；使用r_i进行验证等式

是否成立；如果成立，组成员U_j确信组成员U_i的身份为真，否则拒绝与组成员U_i通信。

为了说明本发明上述方案的性能，下面从安全性与运行代价两个层面进行分析，并提供运行代价的实验结果。

一、安全性分析。

1、被限制的Paillier加密体制中加法密文的安全性

复合判定假设(DCR)：给一个整数z判定其是否是一个模N²的N次剩余。如果复合判定假设(DCR)成立，则被限制的Paillier加密体制中加法密文是抗选择明文攻击的(IND-CPA)。

证明：公钥为h＝g^αmod N，随机从两个明文m₀和m₁选出一个，记为m_μ。加密m_μ获得密文{c_μ＝(h^rmod N)^N(1+m_μN)modN²；g^rmod N}。现由c_μ猜测μ＝1或0。若μ＝1，有c_μ/(1+m₁N)modN²是N次剩余；若μ＝0，有c_μ/1+m₀N modN²是N次剩余。而判定模N²的N次剩余是一个困难问题，故在无法判断μ＝1还是0，因此被限制的Paillier加密体制中AddEnc算法是抗选择明文攻击的。

2、实现共有秘密的访问控制协议(ACCS)的安全性。

所有的密文都是是抗选择明文攻击的。用户U_j和用户U_i不能利用额外信息<A，t₁，t₂，t₃>去解密密文信息。t₂可防止用户U_i计算出

使用dA^-1而不是A^-1，因为若使用A^-1，用户U_i可计算出

3、弱私钥的安全性

在用户注册阶段，弱私钥是被隐藏后，发给KGC，KGC不能知道弱密钥的信息。在弱私钥取回阶段，KGC只知道r_i仍然不知道弱私钥的信息。

4、身份认证的安全性

①身份证书的正确性：根据SkeyS，AddDecPSkey1和HAddDecPSkey2三个算法的特性，可知正确的身份证书可以通过验证。

②身份证书的可靠性：从错误的身份证书提取出的r′＝AddDecPSkey2(Cert，verk)。哈希函数具有抗强碰撞性使得H(r′)≠H(r)，所以错误的身份证书不能通过身份验证。

③身份证的不可伪造性：signk是身份证书的签名密钥，verk是身份证书的验证密钥。由Shair秘密分享方案的特性知，verk不能恢复出signk，无法伪造含signk的身份证书。

④自适应选择消息攻击下的存在性不可伪造：用两个已知的身份证书Cert₁和Cert₂构造一个合法身份证苏Cert₃，这是不允许的。由哈希函数的抗强碰撞性知H(r₁+r₂)≠H(r₁)+H(r₂)，伪造出的Cert₃无法通过验证。

二、运行代价的理论分析。

一个具有指数长度为|N|的指数运算需要1.5个N的乘法运算，也就是说若r的长度是N，计算g^r需要1.5个N的乘法运算。

表格1给出了被限制Paillier加密体制中的各个算法的计算代价。

算法	计算代价
		AddEnc	2.25\|N\|
AddDecWkey	3\|N\|
		AddDecSkey	1.5\|N\|
AddDecPSkey1	3\|N\|
		AddDecPSkey2	3\|N\|
MulEnc	0.75\|N\|
		MulDec	1.5\|N\|
MultoMix	1.875\|N\|
		MixtoAdd	3\|N\|

表1各算法的计算代价

表格2给出了共有秘密的访问控制协议(ACCS)各个用户的计算代价。

用户	计算代价
		U<sub>i</sub>	5.625\|N\|
U<sub>j</sub>	8.0625\|N\|

表2各用户的计算代价

表3给出身份证书分发和密钥管理协议(ldDis&KeyMan)、私钥取回协议(PriKeyRec)、身份认证协议(ldAuth)的计算代价。

表3各协议的计算代价

上述三类协议各自对应前文介绍的密钥分发与下发身份证书阶段、私钥恢复阶段、身份认证阶段。在私钥取回协议(PriKeyRec)中KGC的计算成本是在模N平方下的1.5|N|乘法计算量，而用户U_i的计算成本是模N下的1.5|N|乘法计算量，因此，KGC使用的成本比用户U_i要高。

三、运行代价的实验结果。

下面以|N|＝1024(实现80位安全)为具体的示例进行介绍。

本示例中，我们用个人电脑做实验采用Intel(R)Core(TM)i5-4490@3.30GHzprocessor，8GB内存和Windows7 professional操作系统。实验结果用Java构建的自定义模拟器运行1000次，然后取平均值。

表4给出了被限制Paillier加密体制中的各个算法在|N|＝1024的计算代价。

算法	计算代价(ms)
		AddEnc	9.875
AddDecWkey	8.529
		AddDecSkey	11.397
AddDecPSkey1	16.96
		AddDecPSkey2	16.939
MulEnc	1.397
		MulDec	2.634

表4实验中各算法的计算代价

表格5给出了共有秘密的访问控制协议(ACCS)各个用户在|N|＝1024的计算代价。

用户	计算代价(ms)
		U<sub>i</sub>	24.99
U<sub>j</sub>	36.58

表5实验中各用户的计算代价

表格6给出身份证书分发和密钥管理协议(IdDis&KeyMan)、私钥取回协议(PriKeyRec)、身份认证协议(IdAuth)的在|N|＝1024计算代价。

表6实验中各协议的计算代价

表格4、表格5和表格6中的计算代价在达到80比特安全下(|N|＝1024)，进行测量，以毫秒(ms)为单位，耗时少，可用于实际应用中。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例可以通过软件实现，也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解，上述实施例的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将系统的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims

1.一种受限Paillier加密系统，其特征在于，包括：

2.根据权利要求1所述的一种受限Paillier加密系统，其特征在于，密钥生成单元中，随机选取两个素数记为p′和q′，计算两个中间参数p＝2p′+1，q＝2q′+1，从而得到系统的模数N＝pq，以及系统的强私钥λ＝lcm(p-1，q-1)＝2p′q′，lcm(x，y)表示x与y的最大公约数；选取随机数