CN112926078A - 一种紧凑的多目标属性基加法同态加密方法 - Google Patents

Abstract

本发明公开了一种紧凑的多目标属性基加法同态加密方法，包括S1，密钥生成中心生成主私钥和公共参数；S2，密钥生成中心根据访问策略为用户生成私钥；S3，数据拥有者利用自己的属性以及公共参数将明文数据加密后得到相应密文并上传到云服务器；S4，云服务器将访问策略集合、密文和函数作为输入，对密文数据进行大量的加法同态处理得到密文处理结果；S5，用户组从云服务器处接收密文处理结果，利用该访问策略集合关联的私钥解密得到相应的明文处理结果。本发明解决了之前相关工作中私钥部分内容需要参与密文加法同态计算的问题，从而使得该方案在标准模型下被证明是安全的。

Description

一种紧凑的多目标属性基加法同态加密方法

技术领域

本发明涉及云计算安全技术领域，具体涉及一种紧凑的多目标属性基加法同态加密方法。

背景技术

作为IT行业的重要发展趋势之一，云计算技术充分利用信息资源并提供优质服务。云计算服务在给用户带来便利的同时，也为用户隐私带来潜在的风险，在云计算服务中，计算和数据分类被认为是最重要的两个服务，而在云计算安全领域中，计算安全和数据分享被认为是最重要的两个方向。在量子计算机时代，基于格的全同态加密和属性基加密算法分别在计算安全和数据分类安全问题上发挥着重要作用。基于格的全同态加密保证了密文同态计算，有效的解决了计算安全问题。而基于格的属性基加密实现对用户身份的细粒度访问控制，有效的解决了数据分享安全问题。

在云计算服务场景中，有时需同时考虑计算安全和数据分享安全问题。例如以下场景，数据所有者将其数据项外包给云计算服务器，并为其定义细粒度的访问控制策略，他希望服务器能够正确地处理数据项，并且只有合法的用户才能访问它们，因此需要将基于格的全同态加密和属性基加密结合起来构造基于格的属性基同态加密，同时保证计算安全和数据分享安全。

在2016年的TCC会议上，Brakerski等人首次提出了目标同态的概念并构造了目标属性基同态加密方案(Brakerski,Z.,Cash,D.,Tsabary,R.,Wee,H.:Targetedhomomorphic attribute-based encryption.In:TCC 2016,Part II.LNCS,vol.9986,pp.330–360.Springer,Heidelberg(2016).)，使得同态计算后的密文大小与计算过程中输入密文的数量无关这一紧凑性质。其中，多目标属性基同态加密方案可以同态地计算属于同一访问策略集合下的不同属性关联的密文，其中访问策略是任意多项式大小(深度有界)的布尔电路。但此方案在同态计算时需要知道私钥的部分内容。虽然公开这部分内容并不会危害安全性，但是它是使用主私钥为每个策略独立生成的，而且似乎没有一种有效的方法可以在公共参数中为所有策略提供该私钥的部分内容。在安全模型中，他们使用随机预言机来生成私钥的该部分内容，使得挑战者可以生成对应访问策略的私钥。经过相关研究和证明，Brakerski等人提出的多目标属性基同态加密方案中存在以下问题：

1、该多目标属性基同态加密方案只适用于随机预言机模型。

2、密文同态计算过程中需要获得私钥的部分内容。

上述两个问题导致了当前的多目标属性基同态加密方案在实际应用场景中的效率和安全性都较低。

发明内容

针对现有技术中的上述不足，本发明提供的紧凑的多目标属性基加法同态加密方法解决了私钥部分内容需要参与密文同态计算的问题。

为了达到上述发明目的，本发明采用的技术方案为：一种紧凑的多目标属性基加法同态加密方法，包括以下步骤：

S1、初始化阶段：将安全参数λ作为密钥生成中心的输入，进而生成主私钥msk和公共参数pp；

S2、私钥生成阶段：根据主私钥msk，在密钥生成中心根据访问策略f为用户生成与访问策略f相关的私钥sk_f；

S3、数据上传阶段：根据数据拥有者的属性x以及公共参数pp将明文数据μ加密，得到对应的密文ct并上传至云服务器；

其中，属性x∈{0,1}^l，明文数据

上标l为属性x的比特长度，

为模为p的整数域；

S4、同态计算阶段：通过云服务器将访问策略集合F、k个密文ct⁽¹⁾…ct^(k)及其关联的属性x⁽¹⁾...x^(k)作为输入，对密文ct⁽ⁱ⁾进行加法同态处理得到密文处理结果ct_sum，并传输至拥有该访问策略集合F的用户组；

其中，访问策略集合F中包含d个访问策略f，即访问策略集合F＝{f₁…f_d}，k个密文关联的属性均在该访问策略集合F中，对于每个i∈[k],j∈[d]是关于f_j(x⁽ⁱ⁾)＝0的下标索引；

S5、数据解密阶段：利用与访问策略集合F关联的私钥sk_F＝{sk_f,f∈F}对密文处理结果ct_sum进行解密得到相应的明文处理结果

实现多目标属性基加法同态加密。

进一步地，所述步骤S1具体为：

S11、定义χ是格上的离散高斯分布，

是模为q的整数域，

为由

组成的长度为n的列向量，

为由

组成的n行m列的矩阵，

为矩阵A的转置矩阵，[n]为集合{1,…,n}；

定义工具矩阵

其中，

I为单位矩阵；

定义逆函数

将大小为

的输入矩阵A的每一项

扩展为大小为

的列向量，其中，每项a由按位表示的二进制组成，满足G·G^-1(A)＝A；

定义

x∈{0,1}^l，上标l为属性x的比特长度；

S12、设

并选取参数q使得解密时噪声范围在-1/2～1/2之间；

其中，

为安全参数λ的渐进复杂度；

S13、基于步骤S11和S12中的参数，运用格陷门生成算法生成矩阵A及其陷门

随机采样矩阵序列

并定义矩阵

随机采样向量

其中，矩阵

S14、生成主私钥

和公共参数

进一步地，所述步骤S2中具体为：

S21、计算访问策略f的输出线矩阵

其中，访问策略f为由任意多项式大小的与非门组成的布尔电路，

与布尔电路的输入线相关联，且对于布尔电路中的每个门的输出线ω，u,v为该门的输入线，B_u为该输入线u的矩阵，B_v为该输入线v的矩阵，与非门的输出线矩阵计算为B_ω＝G-B_u·G^-1(B_v)，通过递归地计算每个与非门的输出线矩阵可以得到访问策略f的输出线矩阵B_f；

S22、根据陷门

从格上的离散高斯分布中采样的向量r_f满足[A||B₀+B_f]·r_f＝-v，为用户生成与访问策略f相关的私钥sk_f＝r_f。

进一步地，所述步骤S3具体为：

S31、随机采样矩阵

以及噪声行向量e_v←χ^M，并计算下列密文：

其中，χ^M为由分布χ组成的长度为M的行向量，

为长度为M的行向量且最后一项为

k为参与同态计算过程的密文个数，p为明文的最大值；

定义密文

其中0^m×M为由0组成的m×M的矩阵，0^N×M为由0组成的N×M的矩阵；

S32、对于每对a∈[n],b∈[M]，随机采样矩阵

噪声矩阵

以及噪声行向量

定义R[a,b]为步骤S31中的矩阵R中的元素，对于所有的a∈[n],b∈[M],i∈[l+1]，采样矩阵

计算噪声矩阵

并计算下列密文：

其中，χ^m×M为由分布χ组成的m×M的矩阵；

S33、基于步骤S31～S32中计算的密文，对明文数据加密后得到对应的密文

并上传至云服务器。

进一步地，所述步骤S4具体为：

S41、对于每个密文ct⁽ⁱ⁾，基于其关联的属性x⁽ⁱ⁾和访问策略f_j，计算关于访问策略f_j的密文

S42、对于每个访问策略f_j的密文

计算其扩展密文

S43、基于扩展密文

得到密文处理结果

进一步地，所述步骤S41具体为：

A1、对于属性x⁽ⁱ⁾对应的访问策略f_j，计算下列密文：

其中，

为访问策略f_j和属性x⁽ⁱ⁾的输出矩阵，且其满足公式

成立，访问策略f_j中关于与非门和属性x_u,x_v的矩阵定义为

为属性x⁽ⁱ⁾对应的密文

0^M为由0组成的长度为M的行向量，

为访问策略f_j的输出线矩阵；

其中，a∈[n],b∈[M]；

A2、基于密文

和

生成关于访问策略f_j的密文

其中，

为属性x⁽ⁱ⁾对应的密文C₀。

进一步地，所述步骤S42具体为：

B1、构造算法

将向量

和矩阵序列

作为算法输入，输出矩阵

其中，算法

的计算过程为：

对于每对a∈[n],b∈[M]，定义矩阵

其中，Z_a,b[m+N+1,b]＝u[a]是该矩阵中唯一的非零项；

计算矩阵

其满足下式成立；

B2、利用算法

计算矩阵

其中，定义扩展密文

为d×d的分块矩阵

且

其中，对于每对a∈[d],b∈[d]，单个块矩阵密文

为：

进一步地，所述步骤S5具体为：

S51、构造联合私钥

定义向量

S52、计算明文处理结果

本发明的有益效果为：

(1)本发明提供的方法，解决了现有的加密方法中私钥部分内容需要参与密文同态计算的问题，从而使得该方法在标准模型下被证明是安全的；

(2)本发明对于同一访问策略集合下的不同属性关联的密文可以进行加法同态计算，同时满足同态计算后的密文大小与计算过程中输入密文的数量无关这一紧凑性质。

附图说明

图1为本发明提供的紧凑的多目标属性基加法同态加密方法流程图。

具体实施方式

下面对本发明的具体实施方式进行描述，以便于本技术领域的技术人员理解本发明，但应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

如图1所示，一种紧凑的多目标属性基加法同态加密方法，包括以下步骤：

S1、初始化阶段：将安全参数λ作为密钥生成中心的输入，进而生成主私钥msk和公共参数pp；

S2、私钥生成阶段：根据主私钥msk，在密钥生成中心根据访问策略f为用户生成与访问策略f相关的私钥sk_f；

S3、数据上传阶段：根据数据拥有者的属性x以及公共参数pp将明文数据μ加密，得到对应的密文ct并上传至云服务器；

其中，属性x∈{0,1}^l，明文数据

上标l为属性x的比特长度，

为模为p的整数域；

S4、同态计算阶段：通过云服务器将访问策略集合F、k个密文ct⁽¹⁾...ct^(k)及其关联的属性x⁽¹⁾...x^(k)作为输入，对密文ct⁽ⁱ⁾进行加法同态处理得到密文处理结果ct_sum，并传输至拥有该访问策略集合F的用户组；

其中，访问策略集合F中包含d个访问策略f，即访问策略集合F＝{f₁…f_d}，k个密文关联的属性均在该访问策略集合F中，对于每个i∈[k],j∈[d]是关于f_j(x⁽ⁱ⁾)＝0的下标索引；

S5、数据解密阶段：利用与访问策略集合F关联的私钥sk_F＝{sk_f,f∈F}对密文处理结果ct_sum进行解密得到相应的明文处理结果

实现多目标属性基加法同态加密。

上述步骤S1具体为：

S11、定义χ是格上的离散高斯分布，

是模为q的整数域，

为由

组成的长度为n的列向量，

为由

组成的n行m列的矩阵，

为矩阵A的转置矩阵，[n]为集合{1,…,n}；

定义工具矩阵

其中，

I为单位矩阵；

定义逆函数

将大小为

的输入矩阵A的每一项

扩展为大小为

的列向量，其中，每项a由按位表示的二进制组成，满足G·G^-1(A)＝A；

定义

上标l为属性x的比特长度；

S12、设

并选取参数q使得解密时噪声范围在-1/2～1/2之间；

其中，

为安全参数λ的渐进复杂度；

S13、基于步骤S11和S12中的参数，运用格陷门生成算法生成矩阵A及其陷门

随机采样矩阵序列

并定义矩阵

随机采样向量

其中，矩阵

S14、生成主私钥

和公共参数

上述步骤S2中具体为：

S21、计算访问策略f的输出线矩阵

其中，访问策略f为由任意多项式大小的与非门组成的布尔电路，

与布尔电路的输入线相关联，且对于布尔电路中的每个门的输出线ω，u,v为该门的输入线，B_u为该输入线u的矩阵，B_v为该输入线v的矩阵，与非门的输出线矩阵计算为B_ω＝G-B_u·G^-1(B_v)，通过递归地计算每个与非门的输出线矩阵可以得到访问策略f的输出线矩阵B_f；

S22、根据陷门

从格上的离散高斯分布中采样的向量r_f满足[A||B₀+B_f]·r_f＝-v，为用户生成与访问策略f相关的私钥sk_f＝r_f。

上述步骤S3具体为：

S31、随机采样矩阵

以及噪声行向量e_v←χ^M，并计算下列密文：

其中，χ^M为由分布χ组成的长度为M的行向量，

为长度为M的行向量且最后一项为

k为参与同态计算过程的密文个数，p为明文的最大值；

定义密文

其中0^m×M为由0组成的m×M的矩阵，0^N×M为由0组成的N×M的矩阵；

S32、对于每对a∈[n],b∈[M]，随机采样矩阵

噪声矩阵

以及噪声行向量

定义R[a,b]为步骤S31中的矩阵R中的元素，对于所有的a∈[n],b∈[M],i∈[l+1]，采样矩阵

计算噪声矩阵

并计算下列密文：

其中，χ^m×M为由分布χ组成的m×M的矩阵；

S33、基于步骤S31～S32中计算的密文，对明文数据加密后得到对应的密文

并上传至云服务器。

上述步骤S4具体为：

S41、对于每个密文ct⁽ⁱ⁾，基于其关联的属性x⁽ⁱ⁾和访问策略f_j，计算关于访问策略f_j的密文

S42、对于每个访问策略f_j的密文

计算其扩展密文

S43、基于扩展密文

得到密文处理结果

具体地，步骤S41具体为：

A1、对于属性x⁽ⁱ⁾对应的访问策略f_j，计算下列密文：

其中，

为访问策略f_j和属性x⁽ⁱ⁾的输出矩阵，且其满足公式

成立，具体地，访问策略f_j中关于与非门(NAND)和属性x_u,x_v的矩阵定义为

为属性x⁽ⁱ⁾对应的密文

0^M为由0组成的长度为M的行向量，

为访问策略f_j的输出线矩阵；

其中，a∈[n],b∈[M]；

A2、基于密文

和

生成关于访问策略f_j的密文

其中，

为属性x⁽ⁱ⁾对应的密文C₀。

步骤S42具体为：

B1、构造算法

将向量

和矩阵序列

作为算法输入，输出矩阵

其中，算法

的计算过程为：

对于每对a∈[n],b∈[M]，定义矩阵

其中，Z_a,b[m+N+1,b]＝u[a]是该矩阵中唯一的非零项；

计算矩阵

其满足下式成立；

B2、利用算法

计算矩阵

其中，定义扩展密文

为d×d的分块矩阵

且

其中，对于每对a∈[d],b∈[d]，单个块矩阵密文

为：

上述步骤S5具体为：

S51、构造联合私钥

定义向量

S52、计算明文处理结果

在本发明实施例中，通过对上述方法的正确性分析表明，只要噪声范围在-1/2～1/2之内，就能得到正确的解码。

在本发明实施例中，对上述方法进行安全性分析时：首先利用属性基加密方案的选择安全性将挑战密文中关于矩阵R的加密密文

替换为全部是关于0比特的加密密文。现在矩阵R仅用于生成关于消息μ的加密密文c₀，接下来可以利用剩余哈希引理将这部分挑战密文c₀替换为全部是关于0比特的加密密文。此时，敌手没有任何优势，因为它的视角是独立于消息μ的，证得该多目标属性基加法同态加密方案在标准模型下是选择性安全的。

Claims (8)

1.一种紧凑的多目标属性基加法同态加密方法，其特征在于，包括以下步骤：

S1、初始化阶段：将安全参数λ作为密钥生成中心的输入，进而生成主私钥msk和公共参数pp；

S2、私钥生成阶段：根据主私钥msk，在密钥生成中心根据访问策略f为用户生成与访问策略f相关的私钥sk_f；

S3、数据上传阶段：根据数据拥有者的属性x以及公共参数pp将明文数据μ加密，得到对应的密文ct并上传至云服务器；

其中，属性x∈{0，1}^l，明文数据

上标l为属性x的比特长度，

为模为p的整数域；

S4、同态计算阶段：通过云服务器将访问策略集合F、k个密文ct⁽¹⁾…ct^(k)及其关联的属性x⁽¹⁾…x^(k)作为输入，对密文ct⁽ⁱ⁾进行加法同态处理得到密文处理结果ct_sum，并传输至拥有该访问策略集合F的用户组；

其中，访问策略集合F中包含d个访问策略f，即访问策略集合F＝{f₁…f_d}，k个密文关联的属性均在该访问策略集合F中，对于每个i∈[k]，j∈[d]是关于f_j(x⁽ⁱ⁾)＝0的下标索引；

S5、数据解密阶段：利用与访问策略集合F关联的私钥sk_F＝{sk_f，f∈F}对密文处理结果ct_sum进行解密得到相应的明文处理结果

实现多目标属性基加法同态加密。

2.根据权利要求1所述的紧凑的多目标属性基加法同态加密方法，其特征在于，所述步骤S1具体为：

S11、定义χ是格上的离散高斯分布，

是模为q的整数域，

为由

组成的长度为n的列向量，

为由

组成的n行m列的矩阵，

为矩阵A的转置矩阵，[n]为集合{1，…，n}；

定义工具矩阵

其中，

I为单位矩阵；

定义逆函数

将大小为

的输入矩阵A的每一项

扩展为大小为

的列向量，其中，每项a由按位表示的二进制组成，满足G·G^-1(A)＝A；

定义

x∈{0，1}^l，上标l为属性x的比特长度；

S12、设

并选取参数q使得解密时噪声范围在-1/2～1/2之间；

其中，

为安全参数λ的渐进复杂度；

S13、基于步骤S11和S12中的参数，运用格陷门生成算法生成矩阵A及其陷门

随机采样矩阵序列

并定义矩阵

随机采样向量

其中，矩阵

S14、生成主私钥

和公共参数

3.根据权利要求2所述的紧凑的多目标属性基加法同态加密方法，其特征在于，所述步骤S2中具体为：

S21、计算访问策略f的输出线矩阵

其中，访问策略f为由任意多项式大小的与非门组成的布尔电路，

与布尔电路的输入线相关联，且对于布尔电路中的每个门的输出线ω，u，v为该门的输入线，B_u为该输入线u的矩阵，B_v为该输入线v的矩阵，与非门的输出线矩阵计算为B_ω＝G-B_u·G^-1(B_v)，通过递归地计算每个与非门的输出线矩阵可以得到访问策略f的输出线矩阵B_f；

S22、根据陷门

从格上的离散高斯分布中采样的向量r_f满足[A||B₀+B_f]·r_f＝-v，为用户生成与访问策略f相关的私钥sk_f＝r_f。

4.根据权利要求3所述的紧凑的多目标属性基加法同态加密方法，其特征在于，所述步骤S3具体为：

S31、随机采样矩阵

以及噪声行向量e_v←χ^M，并计算下列密文：

其中，χ^M为由分布χ组成的长度为M的行向量，

为长度为M的行向量且最后一项为

k为参与同态计算过程的密文个数，p为明文的最大值；

定义密文

其中0^m×M为由0组成的m×M的矩阵，0^N×M为由0组成的N×M的矩阵；

S32、对于每对a∈[n]，b∈[M]，随机采样矩阵

噪声矩阵

以及噪声行向量

定义R[a，b]为步骤S31中的矩阵R中的元素，对于所有的a∈[n]，b∈[M]，i∈[l+1]，采样矩阵

计算噪声矩阵

并计算下列密文：

其中，χ^m×M为由分布χ组成的m×M的矩阵；

S33、基于步骤S31～S32中计算的密文，对明文数据加密后得到对应的密文

并上传至云服务器。

5.根据权利要求4所述的紧凑的多目标属性基加法同态加密方法，其特征在于，所述步骤S4具体为：

S41、对于每个密文ct⁽ⁱ⁾，基于其关联的属性x⁽ⁱ⁾和访问策略f_j，计算关于访问策略f_j的密文

S42、对于每个访问策略f_j的密文

计算其扩展密文

S43、基于扩展密文

得到密文处理结果

6.根据权利要求5所述的紧凑的多目标属性基加法同态加密方法，其特征在于，所述步骤S41具体为：

A1、对于属性x⁽ⁱ⁾对应的访问策略f_j，计算下列密文：

其中，

为访问策略f_j和属性x⁽ⁱ⁾的输出矩阵，且其满足公式

成立，访问策略f_j中关于与非门和属性x_u，x_v的矩阵定义为

为属性x⁽ⁱ⁾对应的密文

0^M为由0组成的长度为M的行向量，

为访问策略f_j的输出线矩阵；

其中，a∈[n]，b∈[M]；

A2、基于密文

和

生成关于访问策略f_j的密文

其中，

为属性x⁽ⁱ⁾对应的密文C₀。

7.根据权利要求6所述的紧凑的多目标属性基加法同态加密方法，其特征在于，所述步骤S42具体为：

B1、构造算法

将向量

和矩阵序列

作为算法输入，输出矩阵

其中，算法

的计算过程为：

对于每对a∈[n]，b∈[M]，定义矩阵

其中，Z_a，b[m+N+1，b]＝u[a]是该矩阵中唯一的非零项；

计算矩阵

其满足下式成立；

B2、利用算法

计算矩阵

其中，定义扩展密文

为d×d的分块矩阵

且

其中，对于每对a∈[d]，b∈[d]，单个块矩阵密文

为：

8.根据权利要求5所述的紧凑的多目标属性基加法同态加密方法，其特征在于，所述步骤S5具体为：

S51、构造联合私钥

定义向量

S52、计算明文处理结果

Images