CN113242129B - 一种基于格加密的端到端数据机密性和完整性保护方法 - Google Patents

Abstract

本发明涉及一种基于格加密的端到端数据机密性和完整性保护方法，采用自主设计基于格的密钥协商算法，实现终端与终端之间密钥协商，生成安全的会话密钥；通过自主设计基于R‑LWE难题的加解密算法，实现终端与终端之间的数据加解密，完成数据机密性保护，并且可防止量子计算攻击；通过自主设计基于R‑LWE难题的PDP完整性验证算法，实现终端与终端之间数据签名生成、标签证据聚合、以及数据完整性验证，同时支持批量验证，降低标签生成开销，完成数据完整性保护，并且可防止量子计算攻击；本发明可以实现端到端数据机密性和完整性保护，同时防止量子计算攻击，同时通过设计一种基于格的密钥协商方法，使得本方法更加高效、安全、实用。

Description

一种基于格加密的端到端数据机密性和完整性保护方法

技术领域

本发明涉及计算机网络通信领域以及网络安全领域，特别涉及基于格加密的端到端数据机密性和完整性保护方法。

背景技术

随着量子计算的快速发展，格密码被认为是目前最有前途的抵抗量子计算机攻击的密码体制。格理论主要是由Ajtai提出的，证明了格上困难问题在一般情况下的困难性等价于最差情况下的困难性。之后，基于格理论的密码方案迅速发展。目前对格密码的研究主要集中在基于格的密码方案设计以及格上困难问题的求解等。基于格的密码方案设计主要包括加密算法、签名算法和密钥协商算法三个方面。基于格的密码方案主要有以下优势：第一，基于格的加密、签名和密钥协商算法能够有效抵抗量子计算攻击；第二，基于格理论设计的算法更加简单高效。基于格密码的端到端数据传输方案目前还很少，传统的端到端数据传输方案主要基于传统的密码学难题，无法抵抗量子计算攻击，端到端数据的机密性和完整性也无法得到保证。本专利主要针对端到端数据传输设计了一种基于格加密的数据机密性和完整性保护方法，该方法基于格难题，可以抵抗量子计算攻击，并且简单高效，同时可以实现数据传输过程数据机密性和完整性保护。

专利申请CN201610494970.0一种基于标识密码系统的前向端到端安全即时通信方法，该方法包括注册部分，建立会话通道，双方正式通信；在注册部分，密钥生成中心生成系统参数，为每台设备生成并分发密钥；在建立会话通道部分，由通信的任意一方发送第一个消息，发起加密通道的建立；另一方回复消息后，完成认证过程，并完成零时密钥和会话密钥的初始化；在双方正式通信部分，会话密钥按照协议所阐述的策略更新临时密钥和会话密钥；该方法基于标识的密码系统，使用双线性对的方式进行密钥协商；于是该方法的密钥协商和加密阶段都无法抵抗量子计算攻击，并且该方法无法保证传输过程中数据的完整性；

专利申请CN201711287004.2端到端认证及密钥协商方法、装置及系统，该系统包括第一通信设备和第二通信设备，其中第一通信设备用语想第二通信设备发送第一条消息，第一条消息包括第一密钥生成参数，第二通信设备用语对第一条通信设备进行身份认证并接收第一通信设备发送的第一条消息，根据第二密钥生成参数以及第一条消息中包含的第一密钥生成参数生成安全参数，第二通信设备向第一通信设备发送第二条消息，第二条消息包括第二密钥生成参数；第一通信设备用语对第二通信设备进行身份认证，并接收第二条消息，根据第一条密钥生成参数和第二条消息中的第二密钥生成参数生成安全参数，以实现端到端的身份认证以及密钥协商；该方法存在中间人攻击、以及无法抵抗量子计算攻击；

专利申请201710815182.1一种基于格密码的双向认证密钥协商方法与系统，该方法设计了一种基于格密码的数字证书；其次，初始化参与密钥协商双方的格证书以及双方的参数，然后互相交换对方的证书并认证，若认证失败，则直接退出，不进行下一步操作；若认证成功，互相交换参数，根据自己的参数与对方的参数计算出会话密钥；该发明所公开的方法，设计了一种格证书，让格证书参与了认证过程，同时还设计了一种基于格密码的密钥协商方法；但是该方案需要过多的交互过程，在实际中很难实现，协商过程过于复杂，参数取值过大，增加了系统的开销。同时，该方案只涉及密钥协商，没有涉及传输过程数据的机密性和完整性保证问题；

专利申请201811017203.6基于容器的即时通信软件的端到端加密系统及方法，该方法包括数据处理模块、密钥管理模块、数据加解密模块、密码算法模块、Hook处理模块和沙盒模块；该方法保证用户本地数据的存储安全，以及保证用户数据的传输安全；用户可以选择是否对数据进行加密，以及用户可以自定义密钥，并可定期进行密钥更新修改；该方案也存在许多问题，一方面，如果在传输的过程中，攻击者将密文进行篡改，则接收端收到的密文则是错误的，于是解密得到的数据也是错误的；另一方面，随着量子计算机的发展，现有的加密算法无法抵抗量子计算攻击，所以该方法在量子计算环境下是不安全的；

专利申请202011041819.4适用于即时通信的端到端加密方法及系统，该系统包括信息发送方生成源链密钥并对源链密钥加密发送给信息接收方，信息接收方解获取源链密钥明文；信息发送方和接收方均利用所述源链密钥通过相同的加密算法生成相同的会话密钥和子链密钥，信息发送方利用会话密钥对信息加密并发送给信息接收方，信息接收方利用会话密钥解密获取信息明文；该系统保证了每条信息使用不同的密钥加密，可以实现一次一密，提高了系统的安全性；如果该系统中源链密钥在加密传输的过程中被攻击获取，则以后的加解密都是无效的，即该系统是不安全的；并且该系统没有保证密文的完整性，以及该方案无法防止量子计算攻击；

专利申请CN202010707091.8一种端到端的数据安全传输网络通信方法及装置，该方法利用NAT穿透技术在终端和网络附属存储设备之间简历点对点的虚拟数据传输连接通道，基于UDP协议进行自有数据封包格式的数据传输；在传输过程中，利用预设的对称加密算法在数据发送方将原始数据和加密密钥进行加密运算处理后，得到加密密文，并将加密密文发送给接收方；该方法中加密算法使用传统的对称加密方法，并且需要通信双方预先分发好密钥，预先分发密钥在实际系统中不可取；并且该方法没有保证传输过程中数据的完整性，一旦完整性被破坏，则接收方收到的数据是错误的；此外，该方案基于传统的密码学难题，不能防止量子计算攻击；

专利申请202011344414.8一种基于混合加密算法的电力数据隐私通信方法，该方法中发送方随机生成AES会话密钥，并使用会话密钥对待传输的电力数据明文m进行加密，得到密文M；发送方采用椭圆加密算法会话密钥进行加密，得到加密后的密钥，并使用数字签名；将密文M与加密后的密钥及数字签名一起发送给接收方；接收方使用ECC解密算法解密出会话密钥并进行签名验证；若签名验证通过，则使用会话密钥对密文M进行解密，得到原电力数据m；若签名不通过，返回错误信息。该发明通过混合加密，保证数据的机密性和完整性，但是该方案还存在很多的问题，一方面该方案采用椭圆加密算法对会话密钥进行加密，无法抵抗量子计算攻击；另一方面采用会话密钥直接对数据进行加密，同样无法抵抗量子计算攻击，并且效率比较低。

专利申请202011026219.0一种认证加密方法、验证解密方法和通信方法；发送端的认证加密方法包括：生成可重复使用的初始向量；根据明文和附属数据，结合所述、共享密钥生成消息认证码；根据初始向量和消息认证码结合共享密钥生成密钥流；根据密钥流对明文进行加密，将获得的密文和所述消息认证码、附属数据、初始向量发送至接收端；接收端的验证解密方法包括：根据消息认证码、初始向量结合共享密钥生成密钥流；根据密钥流解析密文，生成明文；根据明文和初始向量，结合共享密钥、生成消息认证码；判断两个消息认证码是否一致，如果一致，输出明文；该方案使用共享密钥在实际中是不可行的，容易遭受攻击，则无法保证数据的机密性，并且，该方案无法抵抗量子计算攻击。

专利申请202011090575.9一种云存储公开审计方法，提供了一种云存储公开审计方法，其中包括通过采用基于格的云存储公开审计方法并结合轻量级认证技术，将完整性审计工作委托给一个能够获悉公钥的可信第三方来完成；由于该方法基于格难题，因此一方面该方法能够抵抗量子计算攻击，具有较好的安全性，另一方面终端用户所需要的计算开销较小，文件上传与验证过程的效率较高；但是，该方案没有考虑公开审计过程中的数据隐私保护问题；

期刊《计算机研究与发展》2017.10期论文“RAKA:一种新的基于Ring-LWE的认证密钥协商协议”，该论文基于环上带错误学习问题困难假设，采用调和技术构造了一种新的认证密钥协商协议RAKA，该方案采用格上陷门函数技术提供了单向认证功能,并且在Ring-LWE假设下证明是安全的；该方案的安全性是基于格上困难问题，因此可以抵抗量子计算攻击；但该研究内容存在以下缺陷：第一、该方案协商过程中没有身份认证，不能抵抗中间人攻击；第二、该方案采用陷门函数，运算复杂度高；第三，该方案只涉及密钥协商，没有涉及传输保证数据的机密性和完整性；

期刊《西安电子科技大学学报》2015.01期论文“两方量子密钥协商协议的改进”，针对Hsueh和Chen的基于最大纠缠态两方量子密钥协商协议存在安全漏洞，即发送方可单方控制共享密钥的问题，通过增加接收方的幺正操作给出了一个改进方案.利用幺正操作来代替对发送方的安全检测，这从根本上满足了量子密钥协商中各参与者都贡献于共享密钥的生成和分配这一基本要求，从而使其抗发送方攻击的安全性依赖于基本物理原理而非检测光子技术。该方案可有效抵抗外部攻击和参与者攻击；但该研究内容存在以下缺陷：第一、该方案借助了安全检测技术和幺正操作，不适用于一般情形下；第二、此研究只涉及密钥协商，不涉及后续数据传输，无法保证传输数据的机密性和完整性。

发明内容

针对上述提到的量子计算攻击和端到端数据机密性和完整性保护问题，本发明基于格加密设计了一种端到端数据机密性和完整性保护方法。该方法适用于任何端到端数据加密，整个密钥协商，数据加解密，数据完整性验证过程，都是基于格难题设计的，在实现数据机密性和完整性保护的同时，还能够抵抗量子计算攻击。

为了达到以上目的，本发明提供如下技术方案：

本发明提供一种基于格加密的端到端数据机密性和完整性保护方法，基于格的参数生成模块，终端A基于格的密钥协商模块，终端B基于格的密钥协商模块，基于R-LWE的加密模块，基于R-LWE的解密模块，基于R-LWE的PDP签名生成模块，以及基于R-LWE的PDP完整性验证模块，其特征在于：

所述的基于格的参数生成模块负责定义基于格难题的参数，定义基于误差学习难题R-LWE难题的环R，足够大的奇素数q，格上的离散高斯分布参数，以及陷门函数生成算法等相关参数，从而完成基于格的参数生成；

所述的终端A基于格的密钥协商模块负责与终端B基于格的密钥协商模块进行密钥协商，主要负责生成终端A基于格的密钥协商模块自己的公私钥对，将公钥发送给终端B基于格的密钥协商模块，在接收到终端B基于格的密钥协商模块的公钥后计算出一个值，对该值进行变换和MD5处理后得到会话密钥；

所述的终端B基于格的密钥协商模块负责与终端A基于格的密钥协商模块进行密钥协商，主要负责生成终端B基于格的密钥协商模块自己的公私钥对，将公钥发送给终端A基于格的密钥协商模块，在接收到终端A基于格的密钥协商模块的公钥后计算一个值，对该值进行变换和MD5处理后得到会话密钥；

所述的基于R-LWE的加密模块负责对明文数据块进行加密处理，主要采用终端A基于格的密钥协商模块协商得到的会话密钥对明文数据块进行加密，然后将密文传递给基于R-LWE的PDP签名生成模块生成标签；

所述的基于R-LWE的解密模块负责根据基于R-LWE的PDP完整性验证模块所接收的密文，使用会话密钥对密文进行解密，得到明文消息；

所述的基于R-LWE的PDP签名生成模块负责对基于R-LWE的加密模块所生成的密文产生对应的标签，并将多个密文标签进行聚合生成标签证据，然后将多个密文和标签证据聚合后发送给基于R-LWE的PDP完整性验证模块；

所述的基于R-LWE的PDP完整性验证模块负责验证收到来自基于R-LWE的PDP签名生成模块的多个密文和标签证据，判断密文是否完整，若判断密文完整，则将密文传递给基于R-LWE解密模块，否则将密文丢弃。

作为本发明进一步改进，所述的基于格的参数生成模块包括初始化参数的选择，陷门函数的生成。首先，设定

其中n为2的幂次方，f(x)在有理域内不可约；令

为整数多项式对f(x)取余的环，其中R为小于n阶的多项式；q＝1mod2n为足够大的公共素数，通过求余所得，使得

其中R_q的元素为系数为{0，···,q-1}的多项式；

为误差分布，H为哈希函数，

H₂:{0,1}^*→R_q；陷门函数生成算法为RLWETrapGen(n,q)，其中，n＝k+2，输入为k和q，选择随机数a∈R_q，确定ν＝(ν₁,ν₂,···,ν_k)和ρ＝(ρ₁,ρ₂,···,ρ_k)，其中

输出为C＝(a,1,g₁-(aρ₁+ν₁),···,g_k-(aρ_k+ν_k))和陷门T_C＝(ρ,ν)，其中，g＝(g₁,g₂,···,g_k)；Cha(·)是一个输入为x∈Z_p，输出为y＝Cha(x)∈{0,1}的函数。Mod₂(·)是一个输入为x∈Z_p和y，输出为k＝Mod₂(x,y)∈{0,1}的函数。

作为本发明的进一步改进，所述的终端A基于格的密钥协商模块主要负责与所述终端B基于格的密钥协商模块进行密钥协商生成会话密钥。终端A基于格的密钥协商模块选择随机数a∈R_q，从χ中选择误差向量e_i，选择私钥s_i∈R_q，公钥为p_i＝a·s_i+2e_i∈R_q，其中

然后将公钥发送给所述终端B基于格的密钥协商模块；终端B基于格的密钥协商模块生成公私钥对后，将终端B基于格的密钥协商模块的公钥及协商信息发送给终端A基于格的密钥协商模块，终端A基于格的密钥协商模块收到终端B基于格的密钥协商模块的公钥p_j和w_j,e_p后，计算出一个值k_i＝(p_j·s_i+2e_p)·e_p+2e_i'，其中

接着计算σ_i＝mod₂(k_i,w_i)∈{0,1}ⁿ，最后计算出会话密钥sk_i＝MD5(σ_i)。

作为本发明的进一步改进，所述的终端B基于格的密钥协商模块主要负责与所述的终端A基于格的密钥协商模块进行密钥协商生成会话密钥；终端B基于格的密钥协商模块选择随机数a∈R_q，从χ中选择误差向量e_j，选择私钥s_j∈R_q，公钥为p_j＝a·s_j+2e_j∈R_q，其中

在收到来自终端A基于格的密钥协商模块的协商信息后，计算k_j＝(p_i·s_j+2e_p)·e_p+2e'_j，其中

w_j＝Cha(k_j)∈{0,1}ⁿ，然后计算σ_j＝mod₂(k_j,w_j)∈{0,1}ⁿ，最后计算会话密钥sk_j＝MD5(σ_j)；密钥协商完成，会话密钥为sk＝sk_i＝sk_j。

作为本发明的进一步改进，所述的基于R-LWE的加密模块主要采用对称加密，选择明文消息M＝{m₁,m₂,···,m_n}，m_i∈{0,1}，sk为所述的终端A基于格的密钥协商模块协商生成的会话密钥，e_i满足

在环上选择随机数a∈R_q；所述的基于R-LWE的加密模块生成密文c_i＝(a·sk+e_i+m_i)modM，然后将生成的密文块传递给基于R-LWE的PDP签名生成模块生成标签，完成完整性保护。

作为本发明的进一步改进，所述的基于R-LWE的解密模块接收基于R-LWE的PDP完整性验证模块验证后的密文，利用协商所得会话密钥sk进行解密；解密过程通过计算

其中e_i为误差向量，可以忽略不计，最后得到明文消息。

作为本发明的进一步改进，所述的基于R-LWE的PDP签名生成模块包括标签生成模块和标签聚合模块；负责生成密文的标签，并根据PDP技术聚合标签生成标签证据。

所述的标签生成模块选择向量g＝(2⁰,2¹,…,2^k-1)，通过RLWETrapGen(n,q)算法生成向量

和门陷T_C，其中q和n是两个整数；

是一个随机置换函数，其中

根据终端A基于格的密钥协商模块所生成的会话密钥生成签名密钥：sk_sig＝(Τ(ν),T(ρ))，其中

对于多个来自基于R-LWE加密模块密文数据块C＝{c₁,c₂,…,c_L}，计算c_i′＝r_ic_i，其中r_i＝H₁(i)；随机选择a∈R_q，并计算B＝(a,1,g₁-(aρ₁+v₁),…,g_k-(aρ_k+v_k))；计算h_i＝H₂(i)+Cc_i′，其中1≤i≤L，H₂:{0,1}^*→R_q；最后计算c_i′的标签t_i＝RLWESamplePre(B,T,h_i,s)，其中s是高斯抽样参数；

所述的标签聚合模块根据标签生成模块生成的标签计算签名证据

其中d_i＝H_κ(i)，然后将Γ＝{δ,c}发送给基于R-LWE的PDP完整性验证模块。

作为本发明的进一步改进，所述的基于R-LWE的PDP完整性验证模块接收到基于R-LWE的PDP签名生成模块信息后，计算

其中ξ＝RLWESamplePre(C,T_C,w,s)，w←_U R_q；然后判断μ′＝Bδ是否成立，如果该等式成立，则表明收到的多个密文都是完整的，并将密文发送给基于R-LWE的解密模块；否则表明密文的完整性被破坏，于是将密文数据丢弃。

有益效果

与现有技术相比，本发明的有益效果在于：本发明提供了一种基于格加密的端到端数据机密性和完整性保护方法；本发明基于格难题完成密钥协商，数据加密和数据完整性验证，可以有效抵抗量子计算攻击。在密钥协商过程，终端的公私钥是基于格难题构建的，在传输的过程可以有效抵抗量子计算攻击，协商得到的会话密钥只有双方知道，同时可防止中间人攻击，安全性非常高。加密过程采用基于R-LWE难题的格加密，非常简单高效，加密工作量小，并且可以抵抗量子计算攻击。同时，基于R-LWE的PDP数据完整性验证可以实现批量验证，降低标签的通信开销；并且该方法基于格上的R-LWE难题实现，可以防止抗量子计算攻击。本发明功能完整，既能保证数据的机密性，又能保证数据的完整性，并且可以防止量子计算攻击。

附图说明

图1是本发明的整体框图。

图2是本发明的密钥协商模型图。

图3是本发明的加解密流程图。

图4是本发明的标签证据生成流程图。

图5是本发明的标签证据验证流程图。

具体实施方式

下面结合附图与具体实施方式对本发明作进一步详细描述：

如图1所示为本发明的整体框图，本发明提供了一种基于格加密的端到端数据机密性和完整性保护方法，包括基于格的参数生成模块1，终端A基于格的密钥协商模块2，终端B基于格的密钥协商模块3，基于R-LWE的加密模块4，基于R-LWE的解密模块5，基于R-LWE的PDP签名生成模块6以及基于R-LWE的PDP完整性验证模块7。基于格的参数生成模块1主要负责系统初始化参数的选择和陷门函数的生成。终端A基于格的密钥协商模块2和终端B基于格的密钥协商模块3进行交互，主要完成基于格难题的密钥协商，得到会话密钥，为后面的加解密及完整性验证提供密钥。基于R-LWE的加密模块4和基于R-LWE的解密模块5进行交互，主要完成端到端数据基于R-LWE的加解密，保证数据的机密性，并且抵抗量子攻击。基于R-LWE的PDP签名生成模块6和基于R-LWE的PDP完整性验证模块7进行交互，主要完成基于R-LWE的PDP完整性验证，保证数据的完整性，同时可以抵抗量子计算攻击。

所述的基于R-LWE的PDP签名生成模块6包括标签生成模块6-1和标签聚合模块6-2；标签生成模块主要负责生成密文的标签，标签聚合模块主要负责并根据PDP技术聚合标签生成标签证据，然后将标签证据发送给基于R-LWE的PDP完整性验证模块7进行完整性验证，根据标签证据来判断受到的密文是否完整，来确保密文消息的完整性。该标签的生成基于R-LWE难题，所以完整性验证模块能够抵抗量子攻击。

基于格的参数生成模块完成初始化参数的选择，陷门函数的生成。首先，设定

其中n为2的幂次方，f(x)在有理域内不可约；令

为整数多项式对f(x)取余的环，其中R为小于n阶的多项式；q＝1mod2n为足够大的公共素数，通过求余所得，使得

其中R_q的元素为系数为{0，···,q-1}的多项式；

为误差分布，H为哈希函数，

H₂:{0,1}^*→R_q；陷门函数生成算法为RLWETrapGen(n,q)，其中，n＝k+2，输入为k和q，选择随机数a∈R_q，确定ν＝(ν₁,ν₂,···,ν_k)和ρ＝(ρ₁,ρ₂,···,ρ_k)，其中

输出为C＝(a,1,g₁-(aρ₁+ν₁),···,g_k-(aρ_k+ν_k))和陷门T_C＝(ρ,ν)，其中，g＝(g₁,g₂,···,g_k)；Cha(·)是一个输入为x∈Z_p，输出为y＝Cha(x)∈{0,1}的函数。Mod₂(·)是一个输入为x∈Z_p和y，输出为k＝Mod₂(x,y)∈{0,1}的函数。

如图2所示为本发明的密钥协商模型图。终端A基于格的密钥协商模块选择随机数a∈R_q，从χ中选择误差向量e_i，选择私钥s_i∈R_q，公钥为p_i＝a·s_i+2e_i∈R_q，其中

然后将公钥发送给所述终端B基于格的密钥协商模块；终端B基于格的密钥协商模块选择随机数a∈R_q，从χ中选择误差向量e_j，选择私钥s_j∈R_q，公钥为p_j＝a·s_j+2e_j∈R_q，其中

在收到来自终端A基于格的密钥协商模块的协商信息后，计算k_j＝(p_i·s_j+2e_p)·e_p+2e'_j，其中

w_j＝Cha(k_j)∈{0,1}ⁿ，然后计算σ_j＝mod₂(k_j,w_j)∈{0,1}ⁿ，最后计算会话密钥sk_j＝MD5(σ_j)；终端A基于格的密钥协商模块收到终端B基于格的密钥协商模块的公钥p_j和w_j,e_p后，计算出一个值k_i＝(p_j·s_i+2e_p)·e_p+2e_i'，其中

接着计算σ_i＝mod₂(k_i,w_i)∈{0,1}ⁿ，最后计算出会话密钥sk_i＝MD5(σ_i)。到此，密钥协商完成，会话密钥为sk＝sk_i＝sk_j。上述的密钥协商是基于格难题中的R-LWE难题，该难题已经被证明可以抵抗量子计算攻击，所以整个密钥协商能够抵抗量子计算攻击。该密钥协商只需要两轮即可完成，提高了系统效率，同时安全性得到了保证，协商的密钥只有双方知晓，并且可以抵抗中间人攻击。

如图3所示为本发明的加解密流程图。基于R-LWE的加密模块主要采用对称加密，选择明文消息M＝{m₁,m₂,···,m_n}，m_i∈{0,1}，sk为所述的终端A基于格的密钥协商模块协商生成的会话密钥，e_i满足

在环上选择随机数a∈R_q；所述的基于R-LWE的加密模块生成密文c_i＝(a·sk+e_i+m_i)modM，然后将生成的密文块传递给基于R-LWE的PDP签名生成模块生成标签，完成完整性保护。基于R-LWE的解密模块接收基于R-LWE的PDP完整性验证模块验证后的密文，利用协商所得会话密钥sk进行解密；解密过程通过计算

其中e_i为误差向量，可以忽略不计，最后得到明文消息。加解密过程采用对称加密，一次可以完成多比特加密，简单高效，节省系统开销。密钥是通过密钥协商得到的，同时保证了密钥的安全性。整个加解密过程基于R-LWE难题，不仅保证了数据的机密性，而且可以抵抗量子计算攻击。

如图4所示为本发明的标签证据生成流程图。标签生成模块选择向量g＝(2⁰,2¹,…,2^k-1)，通过RLWETrapGen(n,q)算法生成向量

和门陷T_C，其中q和n是两个整数；

是一个随机置换函数，其中

根据终端A基于格的密钥协商模块所生成的会话密钥生成签名密钥：sk_sig＝(Τ(ν),T(ρ))，其中

对于多个来自基于R-LWE加密模块密文数据块C＝{c₁,c₂,…,c_L}，计算c_i′＝r_ic_i，其中r_i＝H₁(i)；随机选择a∈R_q，并计算B＝(a,1,g₁-(aρ₁+v₁),…,g_k-(aρ_k+v_k))；计算h_i＝H₂(i)+Cc_i′，其中1≤i≤L，H₂:{0,1}^*→R_q；最后计算c_i′的标签t_i＝RLWESamplePre(B,T,h_i,s)，其中s是高斯抽样参数；所述的标签聚合模块根据标签生成模块生成的标签计算签名证据

其中d_i＝H_κ(i)，然后将Γ＝{δ,c}发送给基于R-LWE的PDP完整性验证模块。

如图5所示为本发明的的标签证据验证流程图。基于R-LWE的PDP完整性验证模块接收到基于R-LWE的PDP签名生成模块信息后，计算

其中ξ＝RLWESamplePre(C,T_C,w,s)，w←_U R_q；然后判断μ′＝Bδ是否成立，如果该等式成立，则表明收到的多个密文都是完整的，并将密文发送给基于R-LWE的解密模块；否则表明密文的完整性被破坏，于是将密文数据丢弃。完整性验证过程采用基于R-LWE的PDP数据完整性验证，可以完成批量验证，降低标签的通信开销；同时该方法是基于格上的R-LWE难题实现，可以防止量子计算攻击。

Claims (8)

1.一种基于格加密的端到端数据机密性和完整性保护方法，包括基于格的参数生成模块(1)，终端A基于格的密钥协商模块(2)，终端B基于格的密钥协商模块(3)，基于R-LWE的加密模块(4)，基于R-LWE的解密模块(5)，基于R-LWE的PDP签名生成模块(6)，以及基于R-LWE的PDP完整性验证模块(7)，其特征在于：

所述的基于格的参数生成模块(1)负责定义基于格难题的参数，定义基于误差学习难题R-LWE难题的环R，足够大的奇素数_q，格上的离散高斯分布参数，以及陷门函数生成算法的 相关参数，从而完成基于格的参数生成；

所述的终端A基于格的密钥协商模块(2)负责与终端B基于格的密钥协商模块(3)进行密钥协商，负责生成终端A基于格的密钥协商模块(2)自己的公私钥对，将公钥发送给终端B基于格的密钥协商模块(3)，在接收到终端B基于格的密钥协商模块(3)的公钥后计算出一个值，对该值进行变换和MD5处理后得到会话密钥；

所述的终端B基于格的密钥协商模块(3)负责与终端A基于格的密钥协商模块(2)进行密钥协商，负责生成终端B基于格的密钥协商模块(3)自己的公私钥对，将公钥发送给终端A基于格的密钥协商模块(2)，在接收到终端A基于格的密钥协商模块(2)的公钥后计算一个值，对该值进行变换和MD5处理后得到会话密钥；

所述的基于R-LWE的加密模块(4)负责对明文数据块进行加密处理，采用终端A基于格的密钥协商模块(2)协商得到的会话密钥对明文数据块进行加密，然后将密文传递给基于R-LWE的PDP签名生成模块(6)生成标签；

所述的基于R-LWE的解密模块(5)负责根据基于R-LWE的PDP完整性验证模块(7)所接收的密文，使用会话密钥对密文进行解密，得到明文消息；

所述的基于R-LWE的PDP签名生成模块(6)负责对基于R-LWE的加密模块(4)所生成的密文产生对应的标签，并将多个密文标签进行聚合生成标签证据，然后将多个密文和标签证据聚合后发送给基于R-LWE的PDP完整性验证模块(7)；

所述的基于R-LWE的PDP完整性验证模块(7)负责验证收到来自基于R-LWE的PDP签名生成模块(6)的多个密文和标签证据，判断密文是否完整，若判断密文完整，则将密文传递给基于R-LWE解密模块(5)，否则将密文丢弃。

2.根据权利要求1所述的一种基于格加密的端到端数据机密性和完整性保护方法，其特征在于：所述的基于格的参数生成模块(1)包括初始化参数的选择，陷门函数的生成；首先，设定

其中n为2的幂次方，f(x)在有理域内不可约；令

为整数多项式对f(x)取余的环，其中R为小于n阶的多项式；q＝1mod2n为足够大的公共素数，通过求余所得，使得

其中R_q的元素为系数为{0，…,q-1}的多项式；

为误差分布，H为哈希函数，

H₂:{0,1}^*→R_q；陷门函数生成算法为RLWETrapGen(n,q)，其中，n＝k+2，输入为k和q，选择随机数a∈R_q，确定ν＝(ν₁,ν₂,…,ν_k)和ρ＝(ρ₁,ρ₂,…,ρ_k)，其中

输出为C＝(a,1,g₁-(aρ₁+ν₁),…,g_k-(aρ_k+ν_k))和陷门T_C＝(ρ,ν)，其中，g＝(g₁,g₂,…,g_k)；Cha(·)是一个输入为x∈Z_p，输出为y＝Cha(x)∈{0,1}的函数； Mod₂(·)是一个输入为x∈Z_p和y，输出为k＝Mod₂(x,y)∈{0,1}的函数。

3.根据权利要求1所述的一种基于格加密的端到端数据机密性和完整性保护方法，其特征在于：所述的终端A基于格的密钥协商模块(2)负责与所述终端B基于格的密钥协商模块(3)进行密钥协商生成会话密钥；终端A基于格的密钥协商模块(2)选择随机数a∈R_q，从χ中选择误差向量e_i，选择私钥s_i∈R_q，公钥为p_i＝a·s_i+2e_i∈R_q，其中

然后将公钥发送给所述终端B基于格的密钥协商模块(3)；终端B基于格的密钥协商模块(3)生成公私钥对后，将终端B基于格的密钥协商模块(3)的公钥及协商信息发送给终端A基于格的密钥协商模块(2)，终端A基于格的密钥协商模块(2)收到终端B基于格的密钥协商模块(3)的公钥p_j和w_j,e_p后，计算出一个值k_i＝(p_j·s_i+2e_p)·e_p+2e′_i，其中

接着计算σ_i＝mod₂(k_i,w_i)∈{0,1}ⁿ，最后计算出会话密钥sk_i＝MD5(σ_i)。

4.根据权利要求1所述的一种基于格加密的端到端数据机密性和完整性保护方法，其特征在于：所述的终端B基于格的密钥协商模块(3)负责与所述的终端A基于格的密钥协商模块(2)进行密钥协商生成会话密钥；终端B基于格的密钥协商模块(3)选择随机数a∈R_q，从χ中选择误差向量e_j，选择私钥s_j∈R_q，公钥为p_j＝a·s_j+2e_j∈R_q，其中

在收到来自终端A基于格的密钥协商模块(2)的协商信息后，计算k_j＝(p_i·s_j+2e_p)·e_p+2e′_j，其中

w_j＝Cha(k_j)∈{0,1}ⁿ，然后计算σ_j＝mod₂(k_j,w_j)∈{0,1}ⁿ，最后计算会话密钥sk_j＝MD5(σ_j)；密钥协商完成，会话密钥为sk＝sk_i＝sk_j。

5.根据权利要求1所述的一种基于格加密的端到端数据机密性和完整性保护方法，其特征在于：所述的基于R-LWE的加密模块(4)采用格加密方法，选择明文消息M＝{m₁,m₂,…,m_n}，m_i∈{0,1}，sk为所述的终端A基于格的密钥协商模块(2)协商生成的会话密钥，e_i满足

在环上选择随机数a∈R_q；所述的基于R-LWE的加密模块(4)生成密文c_i＝(a·sk+e_i+m_i)modM，然后将生成的密文块传递给基于R-LWE的PDP签名生成模块(6)生成标签，完成完整性保护。

6.根据权利要求1所述的一种基于格加密的端到端数据机密性和完整性保护方法，其特征在于：所述的基于R-LWE的解密模块(5)接收基于R-LWE的PDP完整性验证模块(7)验证后的密文，利用协商所得会话密钥sk进行解密；解密过程通过计算

其中e_i为误差向量，可以忽略不计，最后得到明文消息。

7.根据权利要求1所述的一种基于格加密的端到端数据机密性和完整性保护方法，其特征在于：所述的基于R-LWE的PDP签名生成模块(6)包括标签生成模块(6-1)和标签聚合模块(6-2)；负责生成密文的标签，并根据PDP技术聚合标签生成标签证据；

所述的标签生成模块(6-1)选择向量g＝(2⁰,2¹,…,2^k-1)，通过RLWETrapGen(n,q)算法生成向量

和门陷T_C，其中q和n是两个整数；

是一个随机置换函数，其中

根据终端A基于格的密钥协商模块(2)所生成的会话密钥生成签名密钥：sk_sig＝(Τ(ν),T(ρ))，其中

对于多个来自基于R-LWE加密模块(4)密文数据块C＝{c₁,c₂,…,c_L}，计算c′_i＝r_ic_i，其中r_i＝H₁(i)；随机选择a∈R_q，并计算B＝(a,1,g₁-(aρ₁+v₁),…,g_k-(aρ_k+v_k))；计算h_i＝H₂(i)+Cc′_i，其中1≤i≤L，H₂:{0,1}^*→R_q；最后计算c′_i的标签t_i＝RLWESamplePre(B,T,h_i,s)，其中s是高斯抽样参数；

所述的标签聚合模块(6-2)根据标签生成模块(6-1)生成的标签计算签名证据

其中d_i＝H_κ(i)，然后将Γ＝{δ,c}发送给基于R-LWE的PDP完整性验证模块(7)。

8.根据权利要求1所述的一种基于格加密的端到端数据机密性和完整性保护方法，其特征在于：所述的基于R-LWE的PDP完整性验证模块(7)接收到基于R-LWE的PDP签名生成模块(6)信息后，计算

其中ξ＝RLWESamplePre(C,T_C,w,s)，w←_UR_q；然后判断μ′＝Bδ是否成立，如果该等式成立，则表明收到的多个密文都是完整的，并将密文发送给基于R-LWE的解密模块(5)；否则表明密文的完整性被破坏，于是将密文数据丢弃。

Images