CN113141249B - 一种门限解密方法、系统及可读存储介质 - Google Patents

Abstract

本发明涉及信息安全技术领域，具体为一种门限解密方法、系统及可读存储介质，其中方法包括：B1：验证C₁是否满足椭圆曲线方程，若不满足，则报错并退出；B2：计算椭圆曲线点S＝[h]C₁，若S是无穷远点，则报错并退出；B3：计算椭圆曲线点[d_B]C₁＝(x₂,y₂)；B4：计算[M′]G＝C₂‑[d_B]C₁，从[M′]G中恢复出M′；B5：计算u＝Hash(x₂||M′||y₂)，若u≠C₃，则报错并退出；B6：输出明文M′。本方案实现对采用同态加密方法进行加密的信息进行解密。

Description

一种门限解密方法、系统及可读存储介质

技术领域

本发明涉及信息安全技术领域，具体为一种门限解密方法、系统及可读存储介质。

背景技术

同态加密是一种对密文进行运算的加密方案，计算后的密文进行解密可以得到与直接对原始数据进行计算相同的结果。如今，越来越多人喜欢使用公有云或互联网存储数据。然而，不管是任何信息系统，均需要安全性来保证它的完整性、机密性和可用性。最简单直接的方式是将数据加密后再存入数据库中，但是如果需要对加密数据进行操作或运算，则有必要对加密数据进行解密。但是，解密后的数据就不再安全了。同态加密可以很好的解决这一问题，因为它可以直接对密文进行运算，而不需要解密为明文。

门限密码体制(Threshold cryptosystem)中，私钥(Private key)信息被分发给n位参与者。只有当大于t(n≥t≥1)位参与者同时认可签名或解密操作时，才能恢复密钥完成签名或解密，从而提高方案安全性。门限密码一般分为需要可信中心与不需要可信中心两类。当可信中心存在时，可以方便地实现秘密分发，减少小组成员之间的通信量和计算量；但一个被小组内所有成员信任的可信中心并不是一直存在的，此时需要小组成员联合实现对秘密的分享，即无可信中心方案。

1994年，Santis，Desmedt，Frankel等人第一个具有完全门限功能和拥有安全性证明的系统。在早期，只有某些数据高度敏感的组织(例如证书颁发机构)才使用此技术。最早的实现之一是Certco在90年代完成的，目的是按计划部署原始的安全电子交易。但是，2012年10月，在许多大型公共网站密码密文遭到破坏之后，RSA Security宣布它将发布软件，以使该技术可供公众使用。2019年3月，美国国家标准技术研究院(NIST)举办了一个关于阈值密码学的研讨会，以就应用达成共识并定义规范。NIST在11月发布了路线图草案“towardsthe standardization of threshold schemes for cryptographic primitives”，即NISTIR 8214A。

因为基于椭圆曲线上离散对数问题的困难性要高于一般乘法群上的离散对数问题的困难性，且椭圆曲线所基于的域的运算位数要远小于传统离散对数的运算位数，椭圆曲线密码体制比原有的密码体制(如RSA和DSA)更具优越性。

虽说的门限解密、门限签名等方案早已存在，不过在隐私保护等领域，原本的加密算法并不具备同态性质。为此提出了一种同态加密方法，该方法以全新的方法产生主要密文，形成安全性更高的具有加同态性质的加密方法。在此方案的基础上，需要实现它的门限解密。

发明内容

本发明的目的之一在于提供一种门限解密方法，对采用同态加密方法进行加密的信息进行解密。

本发明提供的基础方案一：门限解密方法，包括如下内容：

B1：验证C₁是否满足椭圆曲线方程，若不满足，则报错并退出；

B2：计算椭圆曲线点S＝[h]C₁，若S是无穷远点，则报错并退出；

B3：计算椭圆曲线点[d_B]C₁＝(x₂，y₂)；

B4：计算[M′]G＝C₂-[d_B]C₁，从[M′]G中恢复出M′；

B5：计算u＝Hash(x₂||M′||y₂)，若u≠C₃，则报错并退出；

B6：输出明文M′。

说明：本方案中涉及术语和符号的含义：

A，B：使用公钥密码系统的两个用户；

n：基点G的阶；

P_B：用户B的公钥；

d_B：用户B的私钥；

x||y：x与y的拼接，x和y是比特串或字节串；

[k]P：椭圆曲线上的点P的k倍点；

M：待加密的消息；

M′：解密得到的消息；

KDF()：密钥派生函数；

Hash()：密码杂凑函数；

基础方案一的有益效果：本方案是针对同态加密方法提出的门限解密方法，本方案计算[M′]G＝C₂-[d_B]C₁，从[M′]G中恢复出M′；以此可以对采用同态加密方法进行加密的明文M进行解密。

本方案中椭圆曲线上的基点G的阶可相当于Shamir(t，n)门限秘密共享方案中的GF(p)，GF(p)是元素个数为大素数p的有限域；本方案中解密私钥d_B可相当于Shamir(t，n)门限秘密共享方案中的秘密信息s，

对于Shamir(t，n)门限秘密共享方案中存在可信中心和不存在可信中心这两种情况，由于P_B＝[d_B]G，本方案中[d_B]C₁＝(x₂，y₂)，因此本方案可以结合Shamir(t，n)门限秘密共享方案，求解解密私钥d_B，从而获得解密公钥P_B，因此本方案可以支持这两种情况，进行同态加密的门限解密。

进一步，所述S＝[h]C₁中，h为1。

有益效果：S＝[h]C₁中，h为1，与同态加密方法相对应，h可忽略，以此减少计数处理难度。

进一步，还包括秘钥生成步骤，如果存在可信中心，则可信中心随机选择d_B∈[1，n-1]作为解密私钥，其中n是椭圆曲线基点G的阶，并计算加密公钥P_B＝[d_B]G，将P_B公开，具体包括如下内容：

D1、可信中心随机选择一个t-1次多项式：

其中，

且令a₀＝d_B；

D2、可信中心在GF(p)中选择n个不为0且互不相同的元素{x₁，x₂…，x_n}，并计算：y_i＝f(x_i)，i＝0，1，2…，n；

D3、可信中心将第i个点(x_i，y_i)分发给第i名参与者P_i，其中，y_i是P_i的秘密份额值；

D4、最后，可信中心计算公钥P_B＝[d_B]G，并公开P_B。

有益效果：可信中心给n位参与者{P₁，P₂…，P_n}分发秘密份额，使得n个中的任意t位以上参与者才可以重构出秘密信息s，而任意小于等于t位的参与者不能重构出s，关于密钥以及明文的任何信息并且算法执行过程中不泄露私钥与参与者的私钥信息。

进一步，所述秘钥生成步骤，如果不存在可信中心，则参与者P_i联合决定并生成随机的共享秘密值s，

s为解密私钥d_B，具体包括如下内容：

E1、Pi_选择一个t-1次多项式：

其中i＝0，1，2…，n，且P_i选择的随机值为s_i＝f_i(0)；

E2、P_i计算y_i，j，j＝f_i(j)，并将其安全地发送给参与者P_j；

P_j收到所有y_i，j，其中y_i，j为P_j自己构造所得，计算P_j最终的共享秘密份额y_j＝y_1，j+y_2，j+…+y_n，jmod p；

秘密重构：

已知t份秘密份额(x_i，y_i)，令t＝0，1，2…，t，由拉格朗日差值公式重构出多项式f(x_i)：

由f(x)，得出秘密值s，即私钥d_B；

由于s＝f(0)，因此有

令

因此就有/>

E3、通过y₁，y₂…，y_n中的任意t份秘密份额便，利用Shamir方案恢复出联合生成的随机秘密值s，由s，得出公钥P_B，并公布P_B。

有益效果：在不存在可信中心时，参与者P_i联合决定并生成随机的共享秘密值s，

s为解密私钥d_B，关于密钥以及明文的任何信息并且算法执行过程中不泄露私钥与参与者的私钥信息，保证信息的安全。

进一步，所述E3中，当t＝2时，且id₁与id₂为参与者，则计算出公钥

有益效果：秘钥生成步骤中，两位参与者同时认可签名或解密操作时，才能恢复密钥完成签名，从而提高方案安全性。

进一步，所述B3中，当t＝2时，且id₁与id₂共同解密，则

有益效果：解密过程中，两位参与者同时认可签名或解密操作时，才能恢复密钥完成解密，从而提高方案安全性。

本发明的目的之二在于提供一种门限解密系统，对采用同态加密方法进行加密的信息进行解密。

本发明提供基础方案二：一种门限解密系统，采用上述门限解密方法。

基础方案二的有益效果：本系统采用上述门限解密方法，可以实现对采用同态加密方法进行加密的信息进行解密。

本发明的目的之三在于提供一种门限解密可读存储介质，对采用同态加密方法进行加密的信息进行解密。

本发明提供基础方案三：一种门限解密可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现任一项上述门限解密方法的步骤。

基础方案三的有益效果：门限解密可读存储介质，所述可读存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现任一项上述门限解密方法的步骤，以便于门限解密方法的应用。

附图说明

图1为本发明一种门限解密方法实施例中同态加密方法的流程图；

图2为本发明一种门限解密方法实施例的流程图；

图3为本发明一种门限解密方法实施例中存在可信中心密钥分发流程图；

图4为本发明一种门限解密方法实施例中不存在可信中心密钥分发流程图；

图5为本发明一种门限解密方法实施例中密钥门限解密流程图。

具体实施方式

下面通过具体实施方式进一步详细说明：

实施例：门限解密方法，本门限解密方案是针对同态加密方法提出的门限解密方法。

说明：本方案中涉及术语和符号的含义：

A，B：使用公钥密码系统的两个用户。

n：基点G的阶。

P_B：用户B的公钥。

d_B：用户B的私钥。

x||y：x与y的拼接，x和y是比特串或字节串。

[k]P：椭圆曲线上的点P的k倍点。

M：待加密的消息。

M′：解密得到的消息。

KDF()：密钥派生函数。

Hash()：密码杂凑函数。

设A需要发送给B的消息为M，klen为M的比特长度，用户B的密钥对包括其私钥d_B和公钥P_B＝[d_B]G，为了对明文M进行加密，如图1所示，作为加密者的用户A应实现同态加密方法，包括如下内容：

A1：产生随机数k∈[1，n-1]，其中n是椭圆曲线基点G的阶；如果椭圆曲线上一点P，存在最小的正整数n使得数乘nP＝O∞，则n将称为P的阶；若n不存在，则P是无限阶的。本实施例中使用国家密码管理局批准的随机数发生器。

A2：计算椭圆曲线点C₁＝[k]G＝(x₁，y₁)，其中[k]G指进行一个倍点运算，即C₁＝[k]G是椭圆曲线基点G的k倍点；C₁的作用主要是配合B的私钥d_B进行密文解密。

A3：计算椭圆曲线点S＝[h]P_B，若S是无穷远点，则报错并退出；其中h为1，故h可以省略；本步骤主要是为了判断B的公钥P_B是否是无穷远点，若是无穷远点，说明B的公钥P_B不是合法的，可能需要重新生成。

A4：计算椭圆曲线点[k]P_B＝(x₂，y₂)，然后计算T＝KDF(x₂||y₂，klen)，若T为全0比特串，则返回A1。其中计算B的公钥P_B的k倍点，由于A3已经判断了P_B不是无穷远点，所以无需判断[k]P_B是否为无穷远点；KDF()为密钥派生函数，klen为发送消息为比特串M的比特长度；密钥派生函数调用密码杂凑算法。由于现有加密算法中需要进行M与T的异或操作，与一个全为0的字符串异或肯定是不合理的，本实施例中后续的操作即使T为0也不会造成影响，即T后续是无用的，但是在解密时可以通过T来进行[k]P_B的校验。因此为了便于本方法与其他加密方案尽可能匹配，本实施例在此处保留对T的计算和判断，在其他实施例中，也可以去掉对T的计算和判断。

A5：计算C₂＝[M]G+[k]P_B。计算椭圆曲线上的两个倍点并将它们进行椭圆曲线加法，[M]G与[k]P_B分别是椭圆曲线基点G的M倍点和B用户公钥P_B的k倍点。[M]G的目的是将M放入曲线中，使之满足椭圆曲线的加法，实现加同态的性质。C₂的形式与EC-ElGamal的密文形式基本一致，因此可以采用类似于EC-ElGamal的形式证明本方案中提出的加同态方法是安全的。

A6：计算C₃＝Hash(x₂||M||y₂)，其中Hash()为密钥杂凑函数，C₃的目的是为了进行单次加解密的解密校验。但是由于Hash()是一个密钥杂凑函数，并不满足加同态的性质。故C₃并不满足加同态解密校验。

A7：输出密文C＝(C₁，C₂，C₃)。C₁，C₂的功能是解密，而C₂是主要密文，C₁进行辅助解密，C₃的功能是进行解密校验。现有加密方案的密文是将C₁，C₂，C₃转化为字符串，并将它们拼接，但本加密方案并保留了它们原本的形式，但也可以将它们进行转化，这是密文形式的问题，不影响解密。

如图2所示，作为解密者的用户B，用户B采用本方案的门限解密方法进行解密，包括如下内容：

B1：验证C₁是否满足椭圆曲线方程，若不满足则报错并退出。由上述加密过程可知C₁是一个椭圆曲线基点G的随机数倍点，故一定满足椭圆曲线方程。如果不满足，说明密文C₁是一个错误的密文。

B2：计算椭圆曲线点S＝[h]C₁，若S是无穷远点，则报错并退出；S＝[h]C₁中，h为1，与加密方案一样为1，同样可以省略。

B3：计算椭圆曲线点[d_B]C₁＝(x₂，y₂)，计算T＝KDF(x₂||y₂，klen)，若T为全0比特串，则报错并退出。其中，在经过的B1与B2的C₁合法校验之后，进行C₁的d_B倍点运算，由于P_B＝[d_B]G，易得[d_B]C₁＝[k]P_B，可用C₂与[d_B]G还原出[M]G。本实施例中，此处的对T的计算和判断对应加密方案的A4中的对T的计算和判断，可用来校验[d_B]C₁。在其他实施例中，若加密方案中去掉对T的计算和判断，解密方案中也可对应去掉对T的计算和判断。

B4：计算[M′]G＝C₂-[d_B]C₁，从[M′]G中恢复出M′，[M′]G是一个离散对数。可用各种快速求解离散对数的方法，如大步小步走算法等。

B5：计算u＝Hash(x₂||M′||y₂)，若u≠C₃，则报错并退出。将解得明文M′与[d_B]C₁的坐标(x₂，y₂)进行字符串或比特串的拼接，再进行密钥杂凑函数计算。如果明文M′与[d_B]C₁正确，那么u＝C₃。

B6：输出明文M′。

本实施中只阐述单次加密明文M并解密得到消息M’的流程，对于不同的明文M₁，M₂来说，加密与解密流程都是一致的，本实施例中不再赘述。

本实施例中用户A和用户B的公钥加密明文为M₁和M₂，用户A利用上述加密方法将密文明文进行加密发送给用户B，用户B利用上述解密方法求出M₁+M₂，具体如下所示：

设密文一为(C₁＝kG，C₂＝[M₁]G+[k]P_B，C₃)，密文二为(C′₁＝k′G，C′₂＝[M₂]G+[k′]P_B，C′₃)。

C1：C₁×C′₁＝[(k+k′)]G。密文C₁与C′₁是椭圆曲线上的两个点，对C₁与C′₁采用椭圆曲线的加法规则，得到[(k+k′)]G；

C2：C₂×C′₂＝[M₁+M₂]G+[k+k′]P_B，与C₁类似，密文C₂与C′₂也是椭圆曲线上的两个点，对C₂与C′₂采用椭圆曲线的加法规则，得到[M₁+M₂]G+[k+k′]P_B；

C3：[k+k′]P_B＝[d_B](C₁×C′₁)，由于P_B＝[d_B]G；

C4：[M_i+M₂]G＝C₂×C′₂-[d_B](C₁×C′₁)，从[M_i+M₂]G恢复出M_i+M₂。

由于从[M₁+M₂]G中恢复出M₁+M₂需要解决一个求一个离散对数。

门限密钥生成

在Shamir(t，n)门限秘密共享方案中，GF(p)是元素个数为大素数p的有限域，本方案中等于椭圆曲线上的基点G的阶；秘密信息s，

本方案中为解密私钥d_B。可信中心给n位参与者{P₁，P₂…，P_n}分发秘密份额，使得n个中的任意t位或以上参与者才可以重构出秘密信息s，而任意小于t位的参与者不能重构出s。对于Shamir(t，n)门限秘密共享方案中存在可信中心和不存在可信中心这两种情况：

存在可信中心

可信中心随机选择d_B∈[1，n-1](n是椭圆曲线基点G的阶)作为解密私钥，并计算加密公钥P_B＝[d_B]G，将P_B公开。如图3所示，具体包括如下内容：

D1、可信中心随机选择一个t-1次多项式：

其中，

且令a₀＝d_B。

D2、可信中心在GF(p)中选择n个不为0且互不相同的元素{x₁，x₂…，x_n}，并计算：y_i＝f(x_i)，i＝0，1，2…，n，即找出曲线f(x)上的n个点。一般地，可直接令x_i＝i，或者x_i＝ID_i，其中ID_i表示参与者P_i的身份信息。

D3、可信中心将第i个点(x_i，y_i)分发给第i名参与者P_i，其中，y_i是P_i的秘密份额值，因此需要秘密且安全地分发。

D4、可信中心计算公钥P_B＝[d_B]G，并公开P_B。

不存在可信中心

在某些应用场景中，不存在或我们不希望有可信中心，这个时候就需要参与者P_i联合决定并生成随机的共享秘密值s。如图4所示，具体包括如下内容：

E1、P_i选择一个t-1次多项式：

其中i＝0，1，2…，n，且P_i选择的随机值为s_i＝f_i(0)。

E2、P_i计算y_i，j，j＝f_i(j)，随后将其安全地发送给参与者P_j；

P_j收到所有y_i，j后，其中y_i，j为P_j自已构造所得，计算P_j最终的共享秘密份额y_j＝y_1，j+y_2，j+…+y_n，jmod；

秘密重构：

已知t份秘密份额(x_i，y_i)，令t＝0，1，2…，t，由拉格朗日差值公式便重构出多项式f(x_i)：

只要确定f(x)，便可得出秘密值s，即私钥d_B。

由于s＝f(0)，因此有

一般地，令

因此就有/>

E3、通过y₁，y₂…，y_n中的任意t份秘密份额便，利用Shamir方案恢复出联合生成的随机秘密值s，由s，得出公钥P_B，并公布P_B；由于私钥信息不可泄露，直接恢复的是公钥P_B。本实施例中，当t＝2时，且参与者id₁与id₂可计算出公钥

将公钥P_B公开。

如图5所示，将Shamir门限方案与同态加密方案的结合，所述B3中，当t＝2时，且id₁与id₂共同解密，由于私钥不可泄露，恢复的是解密所需要的[d_B]C₁，

然后计算[M′]G＝C₂-[d_B]C₁，从[M′]G中恢复出明文M′。

本实施例还提供门限解密系统，使用上述门限解密方法。

上述门限解密方法如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，计算机程序可存储于一可读存储介质中，该计算机程序在被处理器执行时，可实现上述方法实施例的步骤。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。

以上所述的仅是本发明的实施例，方案中公知的具体结构及特性等常识在此未作过多描述，所属领域普通技术人员知晓申请日或者优先权日之前发明所属技术领域所有的普通技术知识，能够获知该领域中所有的现有技术，并且具有应用该日期之前常规实验手段的能力，所属领域普通技术人员可以在本申请给出的启示下，结合自身能力完善并实施本方案，一些典型的公知结构或者公知方法不应当成为所属领域普通技术人员实施本申请的障碍。应当指出，对于本领域的技术人员来说，在不脱离本发明结构的前提下，还可以作出若干变形和改进，这些也应该视为本发明的保护范围，这些都不会影响本发明实施的效果和专利的实用性。本申请要求的保护范围应当以其权利要求的内容为准，说明书中的具体实施方式等记载可以用于解释权利要求的内容。

Claims (5)

1.一种门限解密方法，其特征在于：包括如下内容：

B1：验证C₁是否满足椭圆曲线方程，若不满足，则报错并退出；其中C₁是一个椭圆曲线基点G的随机数倍点；

B2：计算椭圆曲线点S＝[h]C₁，若S是无穷远点，则报错并退出；其中S＝[h]C₁中，h为1；

B3：计算椭圆曲线点[d_B]C₁＝(x₂，y₂)；其中d_B是用户的私钥；

B4：计算[M′]G＝C₂-[d_B]C₁，从[M′]G中恢复出M′；其中G是基点，C₂是主要密文；

B5：计算u＝Hash(x₂||M′||y₂)，若u≠C₃，则报错并退出；其中C₃是进行解密校验的密文；

B6：输出明文M′；

秘钥生成步骤，如果存在可信中心，则可信中心随机选择d_B∈[1，n-1]作为解密私钥，其中n是椭圆曲线基点G的阶，并计算加密公钥P_B＝[d_B]G，将P_B公开，具体包括如下内容：

D1、可信中心随机选择一个t-1次多项式：

其中，

且令a₀＝d_B；

D2、可信中心在GF(p)中选择n个不为0且互不相同的元素{x₁，x₂…，x_n}，并计算：y_i＝f(x_i)，i＝0，1，2…，n；

D3、可信中心将第i个点(x_i，y_i)分发给第i名参与者P_i，其中，y_i是P_i的秘密份额值；

D4、最后，可信中心计算公钥P_B＝[d_B]G，并公开P_B。

如果不存在可信中心，则参与者P_i联合决定并生成随机的共享秘密值s，

s为解密私钥d_B，具体包括如下内容：

E1、P_i选择一个t-1次多项式：

其中i＝0，1，2…，n，且P_i选择的随机值为s_i＝f_i(0)；

E2、P_i计算y_i，j，j＝f_i(j)，并将其安全地发送给参与者P_j；

P_j收到所有y_i，j，其中y_i，j为P_j自己构造所得，计算P_j最终的共享秘密份额y_j＝y_1，j+y_2，j+…+y_n，jmod p；

秘密重构：

已知t份秘密份额(x_i，y_i)，令t＝0，1，2…，t，由拉格朗日差值公式重构出多项式f(x_i)：

由f(x)，得出秘密值s，即私钥d_B；

由于s＝f(0)，因此有

令

因此就有/>

E3、通过y₁，y₂…，y_n中的任意t份秘密份额便，利用Shamir方案恢复出联合生成的随机秘密值s，由s，得出公钥P_B，并公布P_B。

2.根据权利要求1所述的门限解密方法，其特征在于：所述E3中，当t＝2时，且id₁与id₂为参与者，则计算出公钥

3.根据权利要求2所述的门限解密方法，其特征在于：当t＝2时，且id₁与id₂共同解密，则所述B3中，

4.一种门限解密系统，其特征在于：用于实现权利要求1至3中任一项所述的门限解密方法的步骤。

5.一种门限解密可读存储介质，存储有计算机程序，其特征在于：所述计算机程序被处理器执行时实现权利要求1至3中任一项所述的门限解密方法的步骤。

Images