CN113162751A - 具备加同态性的加密方法、系统及可读存储介质 - Google Patents

Abstract

本发明涉及信息安全技术领域，具体公开了具备加同态性的加密方法、系统及可读存储介质，其中具备加同态性的加密方法中，采用群G_T中元素中g的明文M加上随机数r次幂产生主要密文C₂，其中群G_T为阶为素数N的乘法循环群。采用本发明的技术方案能够在保证安全性的同时，使加密算法具有加同态性质。

Description

具备加同态性的加密方法、系统及可读存储介质

技术领域

本发明涉及信息安全技术领域，特别涉及具备加同态性的加密方法、系统及可读存储介质。

背景技术

标识密码(identity-based encryption，IBE)是1984年Shamir提出的概念，在标识密码系统中，用户的私钥由密钥生成中心(key generation center，KGC)根据主密钥和用户标识计算得出，用户的公钥由用户标识唯一确定，从而用户不需要通过第三方保证其公钥的真实性。与基于证书的公钥密码系统相比，标识密码系统中的密钥管理环节可以适当得到简化。

标识密码体制(identity-based cryptography，IBC)算法的优势使其具有很大的发展潜力和应用前景，引起了国内外信息安全管理机构、密码专家和应用系统的关注。至2014年，国际上已有多家机构将IBC算法采纳为行业或组织的密码标准，例如RFC 5091基于身份加密标准#1；超奇异曲线在BF和BB1密码体制中的应用；RFC 5409使用BF和BB基于身份加密；密码消息语法的算法(CMS)；RFC 6267MIKEY-IBAKE；多媒体因特网(MIKEY)中基于身份的认证密钥交换(IBAKE)分发的模式；RFC 6508Sakai-Kasahara密钥加密(SAKKE)；RFC6509MIKEY-SAKKE；多媒体因特网(MIKEY)Sakai-Kasahara密钥加密；ISO/IEC 18033-5信息技术-安全技术-加密算法-第五部分：基于标识的密码；IEEE P1363.3基于对的算法加密标准(草案)。

而同态加密是一种对密文进行运算的加密方案，计算后的密文进行解密可以得到与直接对原始数据进行计算相同的结果。如今，越来越多人喜欢使用公有云或互联网存储数据。然而，不管是任何信息系统，均需要安全性来保证它的完整性、机密性、可用性。例如使用标识密码算法将数据加密后再存入数据库中，但是如果需要对加密数据进行操作或运算，则有必要对加密数据进行解密。但是，解密后的数据就不再安全了。同态加密可以很好的解决这一问题，因为它可以直接对密文进行运算，而不需要解密为明文。但现有的标识密码算法不具有加同态的性质。

发明内容

本发明提供了具备加同态性的加密方法、系统及可读存储介质，能够在保证安全性的同时，使加密算法具有加同态性质。

为了解决上述技术问题，本申请提供如下技术方案：

具备加同态性的加密方法，采用群G_T中元素中g的明文M加上随机数r次幂产生主要密文C₂，其中群G_T为阶为素数N的乘法循环群。

基础方案原理及有益效果如下：

本方案中，C₂是主要密文，即包含M的密文。不仅采用群G_T中元素中g的明文M次幂，还加上随机数r次幂产生主要密文C₂，使得主要密文C₂的安全性高。对两个主要密文C₂和C′₂进行乘法运算时，由于C₂和C′₂均为群G_T中元素，可以直接运算，即指数部分相加，因此该加密过程具有加同态性。而且，当多个主要密文C₂进行运算后，为了得到每一个参与运算的主要密文C₂，对运算结果进行破解的难度大于单独对一个未进行运算的主要密文C₂进行破解的难度，安全性更高。综上本方案能够在保证安全性的同时，使加密算法具有加同态性质。

进一步，主要密文C₂的计算过程具体为：

C₂＝g^r+M。

进一步，在主要密文C₂计算前还包括如下步骤：

A1：计算群G₁中的元素Q_B＝H₁(ID_B||hid,N)P₁+P_pub-e；其中H₁()是由密码杂凑函数H_v()派生的密码函数；ID_B是用户B的用户标识，用于唯一确定用户B的公钥；hid是用一个字节标识的私钥生成函数识别符；N是循环群G₁、G₂和G_T的阶；||表示字符串或比特串的拼接；P₁是群G₁的生成元；P_pub-e是加密主公钥；

A2：产生随机数r∈[1，N-1]；

A3：计算群G₁中的元素C₁＝[r]Q_B；

A4：计算群G_T中的元素g＝e(P_pub-e，P₂)，e是从G₁×G₂到G_T的双线性对，P₂是群G₂的生成元；

A5：计算群G_T中的元素w＝g^r；

在主要密文C₂计算后还包括如下步骤：

A7：计算C₃＝MAC(K₂，C₂)，C₃是用户单次解密的校验，MAC()是消息认证码函数，K₂是MAC()的密钥；

A8：输出密文C＝(C₁，C₂，C₃)。

本优选方案的加同态性验证如下：令关于任意两个消息M₁和M₂的密文分别为C＝(C₁＝[r₁]Q_B,C₂＝g^M1+r,C₃＝MAC(K₂,C₂))和C’＝(C₁’＝[r₂]Q_B,C₂’＝g^M2+r’,C₃’＝MAC(K₂’,C₂’))，其中C₁进行辅助解密，C₃的功能是进行解密校验。计算C^*＝(C₁ ^*＝C₁·C₁’＝[r₁+r₂]Q_B,C₂ ^*＝C₂·C₂’＝g^M1+M2+r+r’)，观察该密文可发现C^*即是关于消息M₁+M₂的一个合法密文，因此该加密过程具有加法同态性。

本方案可以直接对主要密文进行计算，直接得到多个密文相加的结果，然后再进行解密，得到多个明文相加的结果，其中每个明文中数据并不可知也不会泄露，最终得到的是多个明文相加的结果，保证了数据安全。此外，本方案中主要密文进行计算并不只限于上述论证过程中的两个主要密文，可为多个主要密文进行计算，并且最终得到的多个明文相加的结果可以进行权重运算，例如：结果为M₁+M₂+M₃+M₄，则可对结果进行权重运算即k(M₁+M₂)+M₃+M₄。

进一步，还包括秘钥产生过程：KGC产生随机数ke∈[1，N-1]作为加密主私钥，计算G₁中的元素P_pub-e＝[ke]P₁作为加密主公钥，则加密主密钥对为(ke,P_pub-e)，KGC秘密保存ke，公开P_pub-e。

进一步，还包括产生用户B的加密私钥de_B的过程：KGC计算t₁＝H₁(ID_B||hid,N)+ke，若t₁＝0则需重新产生加密主私钥，计算和公开加密主公钥，并更新已有用户的加密私钥；否则计算

然后计算de_B＝[t₂]P₂。

进一步，所述A1中，N为大于2¹⁹¹的素数。

本发明的具备加同态性的加密系统，采用上述具备加同态性的加密方法。

本发明的一种可读存储介质，所述可读存储介质存储有计算机程序，所述计算机程序被处理器执行时实现上述方法的步骤。

附图说明

图1为具备加同态性的加密方法的流程图；

图2为解密方法的流程图。

具体实施方式

下面通过具体实施方式进一步详细说明：

实施例

术语与符号：

A,B：使用公钥密码系统的两个用户。

N：循环群G₁、G₂和G_T的阶，为大于2¹⁹¹的素数。

G₁：阶为素数N的加法循环群。

P₁：群G₁的生成元。

G₂：阶为素数N的加法循环群。

P₂：群G₂的生成元。

G_T：阶为素数N的乘法循环群。

H_v()：密码杂凑函数。

H₁()：由密码杂凑函数派生的密码函数。

e：从G₁×G₂到G_T的双线性对。

hid：用一个字节标识的私钥生成函数识别符，由KGC选择并公开。

ke：加密主私钥。

P_pub-e：加密主公钥。

KDF()：密钥派生函数。

MAC()：消息认证码函数。

ID_B：用户B的标识，可以唯一确定用户B的公钥。

M：待加密的消息。

M′：解密得到的消息。

x||y：x与y的拼接，x和y是比特串或字节串。

[u]P：加法群G₁、G₂中元素P的u倍。

本实施例中，密钥产生过程如下：

KGC产生随机数ke∈[1，N-1]作为加密主私钥，计算G₁中的元素P_pub-e＝[ke]P₁作为加密主公钥，则加密主密钥对为(ke，P_pub-e)。KGC秘密保存ke，公开P_pub-e。

KGC选择并公开用一个字节表示的加密私钥生成函数识别符hid。

用户B的标识为ID_B，为产生用户B的加密私钥de_B，KGC计算t₁＝H₁(ID_B||hid，N)+ke，若t₁＝0则需重新产生加密主私钥，计算和公开加密主公钥，并更新已有用户的加密私钥；否则计算

然后计算de_B＝[t₂]P₂。

设用户A需要发送的消息为M，mlen为M的比特长度，

为分组密码算法中密钥K₁的比特长度或与mlen相等，在本实施例中被废弃。

为函数MAC()中的密钥的比特长度。

如图1所示，用户A为了加密明文M给用户B，作为加密者的用户A使用本实施例的具备加同态性的加密方法，包括如下步骤：

A1：计算群G₁中的元素Q_B＝H₁(ID_B||hid,N)P₁+P_pub-e。此处的H₁()为由密码杂凑函数H_v()派生的密码函数；ID_B是用户B的用户标识，用于唯一确定用户B的公钥；hid是用一个字节标识的私钥生成函数识别符，由KGC选择并公开；N是循环群G₁、G₂和G_T的阶，为大于2¹⁹¹的素数；||代表的是字符串或比特串的拼接；P₁是群G₁的生成元；P_pub-e是加密主公钥，详情可见密钥生成部分；

A2：产生随机数r∈[1,N-1]，此处的N是循环群G₁、G₂和G_T的阶，产生随机数用于计算密文C₁；

A3：计算群G₁中的元素C₁＝[r]Q_B，此处的Q_B为A1计算的结果，Q_B是加法循环群G₁上的元素，而[r]Q_B的含义是Q_B的r倍，同样是循环群G₁上的元素；

A4：计算群G_T中的元素g＝e(P_pub-e,P₂)，e是从G₁×G₂到G_T的双线性对，即g是群G_T上的元素；

A5：计算群G_T中的元素w＝g^r，r是A2生成的属于[1,N-1]的随机数；

A6：计算

然后计算K＝KDF(C₁||w||ID_B,klen)。K₁为K的前mlen比特，若K₁全为0，则返回A2，否则K₂为K的后

比特。计算C₂＝g^M·w。由于w＝g^r，C₂也可写成g^r+M。本实施例中，K₁后续是无用的，KDF()密钥派生函数仅用于单次解密的认证。但为了便于本方法可以与其他加密方案匹配，本实施例在此处保留对K₁是否为0的校验,在其他实施例中，也可以去掉对K₁是否为0的校验。

A7：计算C₃＝MAC(K₂,C₂)，C₃用户单次解密的校验，MAC()是消息认证码函数，K₂是MAC()的密钥；

A8：输出密文C＝(C₁,C₂,C₃)。C₁,C₂的功能主要是解密，而C₂是主要密文，主要密文指包含明文M的密文，C₁进行辅助解密,C₃的功能是进行解密校验。

如图2所示，基于具备加同态性的加密方法，本实施例还提供一种解密方法，包括如下步骤：

B1：验证C₁∈G₁是否成立，若不成立则报错并退出。C₁＝[r]Q_B，而Q_B是群G₁上的元素，所以C₁∈G₁一定成立。若不成立则说明密文C₁为非法密文，可直接报错并退出；

B2：计算群G_T中的元素w′＝e(C₁,de_B)，e是从G₁×G₂到G_T的双线性对，而由于de_B＝[t₂]P₂，可以算出e(C₁,de_B)＝e(P_pub-e,rP₂)＝g^r；

B3：计算

然后计算K＝KDF(C₁||w′||ID_B,klen)。K₁为K的前

比特，K₂为K的后

比特。本实施例中，还判断K₁是否全为0，如果全为0，保持并退出。计算g^M′＝C₂·w′^-1，从g^M′中恢复M′。此处的g^M′是一个离散对数，此处可用各种快速求解离散对数的方法，如大步小步走算法等。

B4：计算u＝MAC(K′₁,C₂)，若u≠C₃，则报错并退出。将算出的K′₁作为密钥，算出C₂的MAC值。如果K′₁正确，那么u＝C₃，同时也说明w计算正确，同理解密也正确；

B5：输出明文M′。

上述内容仅显示了单次加密M并解密得到M′的流程，因为对于不同的明文M₁,M₂来说，加密与解密流程都是一致的，不需要展示多次。

例如用户A用用户B的公钥加密明文M₁、M₂，并将密文发送给用户B，用户B利用加同态性求出M₁+M₂。为了解释加同态性，设密文1为

密文2为

C1：C₁×C′₁＝[(r+r′)])Q_B。密文C₁与C′₁均为群G₁上的元素，可直接相加；

C2：

与C1类似，但密文C₂与C′₂是群G_T上的元素，当然也可直接进行运算；

C3：w·w′＝e(C₁×C′₁,de_B)；

C4：

从

恢复出M₁+M₂。

由于从

中恢复出M₁+M₂需要解决一个求一个离散对数，这里需要采用经典的“大步-小步走算法”计算出M₁+M₂。

本实施例还提供具备加同态性的加密系统，使用上述具备加同态性的加密方法。

上述具备加同态性的加密方法如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个可读取存储介质中。基于这样的理解，本发明实现上述实施例方法中的全部或部分流程，也可以通过计算机程序来指令相关的硬件来完成，计算机程序可存储于一可读存储介质中，该计算机程序在被处理器执行时，可实现上述方法实施例的步骤。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。可读介质可以包括：能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、电载波信号、电信信号以及软件分发介质等。

在现实生活中，同态加密的应用场景越来越多，本实施例以三个场景为例，说明同态加密在现实场景中的应用。

示例1：数据聚合是无线网络传感器网络(WSNs)中采用的一种十分有效的方法，它能最大程度地减少数据传输和降低存储。使用该技术，我们可以使数据以聚合的形式在网络中传输。比如，网络并不是存储由复数个节点监测到的所有数据，而是得到一个唯一的精确值，比如它们的和。首先，由于网络中节点的存储空间有限，应在保证不丢失必要信息的前提下尽可能的减少报文的存储与传输。其次，节点的功率容量有限，但分布式数据又需要在传感器节点中传输。由于传输会影响功耗，因此必须让它最小化。最后，WSNs通常在公共环境中使用，必须保护和隐藏数据。在这种情况下，具有同态性质的密码方案可以解决上述的问题，聚合节点可以对其余节点的密文数据进行“求和”，再在网络中进行传输。密文解密后得到的结果与直接将明文相加的结果相等。由于只有一个密文，极大的降低了减少了数据传输，同时也降低了存储。

示例2：智能电表是构建用于电力生产和分配的“智能电网”的基本要素。频繁的仪表读数可优化电表，同时，也会带来一些消费者不愿意看到的“附加数据”。如，居民是否在家、几点起床或睡觉。较长时间的数据挖掘甚至会带来更多的信息，如居民正在使用哪种电器设备，何时使用等。因此，这种情况下的隐私问题更应得到相关部门的重视。利用同态加密技术，可计算用电量的总和值，使电表读数在楼栋或小区这类级别可见，不会泄露用户这一级的用电数据。同时，通过将相同级用电量总和之间比较，还能很好的利用用电数据，如是否发生故障，停电等。

示例3：深度学习的成功归功于应用于神经网络的物理硬件以及处理海量数据的算法突破。大量的收集数据对于深度学习来说无疑是非常重要的，然而这又会引发隐私问题。比如，收集的照片可以永久的放入公司的服务器，而不受照片所有者的控制；因为担心隐私和机密性问题，医院和研究中心往往不会轻易拿出自己的数据，从而使它们无法享受到联合数据集上大规模深度学习的优势。针对这一问题，同态加密仍然可以解决。Phong等人提出了一个用于保护隐私的深度学习系统，利用加法同态的特性，保证了不将数据泄露给服务方同时合并后的数据集精确度和原来保持不变。

以上的仅是本发明的实施例，该发明不限于此实施案例涉及的领域，方案中公知的具体结构及特性等常识在此未作过多描述，所属领域普通技术人员知晓申请日或者优先权日之前发明所属技术领域所有的普通技术知识，能够获知该领域中所有的现有技术，并且具有应用该日期之前常规实验手段的能力，所属领域普通技术人员可以在本申请给出的启示下，结合自身能力完善并实施本方案，一些典型的公知结构或者公知方法不应当成为所属领域普通技术人员实施本申请的障碍。应当指出，对于本领域的技术人员来说，在不脱离本发明结构的前提下，还可以作出若干变形和改进，这些也应该视为本发明的保护范围，这些都不会影响本发明实施的效果和专利的实用性。本申请要求的保护范围应当以其权利要求的内容为准，说明书中的具体实施方式等记载可以用于解释权利要求的内容。

Claims (8)

1.具备加同态性的加密方法，其特征在于，采用群G_T中元素中g的明文M加上随机数r次幂产生主要密文C₂，其中群G_T为阶为素数N的乘法循环群。

2.根据权利要求1所述的具备加同态性的加密方法，其特征在于：主要密文C₂的计算过程具体为：C₂＝g^r+M。

3.根据权利要求2所述的具备加同态性的加密方法，其特征在于：在主要密文C₂计算前还包括如下步骤：

A1：计算群G₁中的元素Q_B＝H₁(ID_B||hid，N)P₁+P_pub-e；其中H₁()是由密码杂凑函数H_v()派生的密码函数；ID_B是用户B的用户标识，用于唯一确定用户B的公钥；hid是用一个字节标识的私钥生成函数识别符；N是循环群G₁、G₂和G_T的阶；||表示字符串或比特串的拼接；P₁是群G₁的生成元；P_pub-e是加密主公钥；

A2：产生随机数r∈[1，N-1]；

A3：计算群G₁中的元素C₁＝[r]Q_B；

A4：计算群G_T中的元素g＝e(P_pub-e，P₂)，e是从G₁×G₂到G_T的双线性对，P₂是群G₂的生成元；

A5：计算群G_T中的元素w＝g^r；

在主要密文C₂计算后还包括如下步骤：

A7：计算C₃＝MAC(K₂，C₂)，C₃是用户单次解密的校验，MAC()是消息认证码函数，K₂是MAC()的密钥；

A8：输出密文C＝(C₁，C₂，C₃)。

4.根据权利要求3所述的具备加同态性的加密方法，其特征在于：还包括秘钥产生过程：KGC产生随机数ke∈[1，N-1]作为加密主私钥，计算G₁中的元素P_pub-e＝[ke]P₁作为加密主公钥，则加密主密钥对为(ke，P_pub-e)，KGC秘密保存ke，公开P_pub-e。

5.根据权利要求4所述的具备加同态性的加密方法，其特征在于：还包括产生用户B的加密私钥de_B的过程：KGC计算t₁＝H₁(ID_B||hid，N)+ke，若t₁＝0则需重新产生加密主私钥，计算和公开加密主公钥，并更新已有用户的加密私钥；否则计算

然后计算de_B＝[t₂]P₂。

6.根据权利要求3所述的具备加同态性的加密方法，其特征在于：所述A1中，N为大于2¹⁹¹的素数。

7.具备加同态性的加密系统，其特征在于，采用权利要求1-6任一项所述的具备加同态性的加密方法。

8.可读存储介质，所述可读存储介质存储有计算机程序，其特征在于，所述计算机程序被处理器执行时实现权利要求1-6任一项所述的步骤。

Images