CN113254971B - 一种基于揭序加密的多数据类型密文比较方法 - Google Patents

Abstract

本发明提供一种基于揭序加密的多数据类型密文比较方法，包括系统建立算法ORE.Setup、加密算法ORE.Encrypt、解密算法ORE.Decrypt、比较算法ORE.Compare、以及多种数据类型的密文比较方法；其中，运用了伪随机函数F和对称加密算法，由于函数F是伪随机安全的，这使得本发明能够达到IND‑OCPA安全，即有序的选择明文攻击不可区分安全。并进一步针对不同数据结构，为多种数据类型的消息设计了不同的编码和解码方式，实现了整数、字符串、浮点数的密文比较。

Description

一种基于揭序加密的多数据类型密文比较方法

技术领域

本发明涉及加密技术领域，具体而言，涉及一种基于揭序加密的多数据类型密文比较方法。

背景技术

人工智能技术的兴起，将大数据与计算机技术相结合，从海量数据中获得有价值的信息，充分提升了数据的利用价值，但是明文状态下的数据挖掘是造成数据隐私泄露的直接原因，给个人或者组织带来不可预料的损失。研究学者们尝试利用新型密码技术来保护挖掘运算中的数据的隐私安全，包括同态加密技术、安全多方计算、保形加密、保序加密、揭序加密等。

保序加密(Order Preserving Encryption，OPE)是指密文保留原有明文顺序的加密技术，能够对密文执行比较运算，来判断相应明文的大小关系。能够在密文信息情况下，实现对数据的比较、排序。可以应用于数据库加密、密态统计等场景下范围查询、近邻检索等。

2004年，Agrawal等人首次提出了保序加密的概念，是指密文保留原有明顺序的加密方案。同时，Agrawal等人并构造了第一个完整的保序加密体制，但是未给出保序加密的安全性定义和方案的可证明安全。2009年，Boldyreva等人深入研究了保序加密的可证明安全，并构造了第一个可证明安全的保序加密方案(BCLO方案)。随后，Boldyreva等人在美密会上分析了保序加密的单向安全性、随机保序函数安全性，并指出如果保序加密为了只泄露顺序信息和等值信息，算法必须产生足够大的密文。也即，密文空间必须相对明文空间扩张一定的大小，以保障安全性。2013年，Dongxi Liu等人提出了一种非线性的保序加密体系，能够提升对密文数据库顺序搜索请求的响应。之后，Teranishi等人提出了另一种非线性的OPE算法，他们在密文中插入了随机大小的区间，并且证明了这种方法相较部分明文不可分辨的随机保序函数来说具有很强的安全性。

在保序加密基础上进一步发展，揭序加密(Order Revealing Encryption，ORE)被提出。采用该密码技术，可以通过专门的比较函数来从密文判断出明文的大小，但是密文不一定保序。2015年，美国斯坦福大学的Boneh等人首次提出了揭序加密，类似与保序加密，是一种支持在密文间运算以比较对应明文大小的加密方法，他们给出了基于多线性映射的揭序加密方案，并证明达到了IND-OCPA安全。2016年，美国斯坦福大学Nathan Chenette等人在著名国际会议Fast Software Encryption上所提出CLWW揭序加密方案，是第一个基于伪随机函数的高效保序加密方案。

保序加密和揭序加密作为能够执行对密文比较和排序的新型加密技术，国内对该技术的研究较少，主要涉及保序加密算法设计与分析、数据库加密应用、云存储安全的应用。

发明内容

本发明旨在提供一种基于揭序加密的多数据类型密文比较方法，以解决上述技术问题。

本发明提供的一种基于揭序加密的多数据类型密文比较方法，包括：

步骤1，系统建立算法ORE.Setup(k)→(PP,sk)：

输入安全参数k，选择一个参数M≥3，令明文比特长度为n；

选择一个带密钥的伪随机函数

表示密钥空间，

表示剩余类环；一个对称加密算法symmetricAlg＝(symmetricAlg.Encrypt，symmetricAlg.Decrypt，)，令公共参数PP＝(n，M，F，symmetricAlg)并随机选择一个私钥sk；

步骤2，加密算法ORE.Encrypt(PP，sk，m)→c：

输入公共参数PP、私钥sk和明文m，令明文m的二进制表达为m＝(b₀b₁b₂…b_n-1)₂，即

计算：

c_data＝symmetricAlg.Encrypt(k，m)；

u_ore，i＝F(sk，(i，b₀b₁b₂…b_i-1||0^n-i))+b_imod M，i＝0，1，…，n-1；

输出密文c＝(c_data，(u_ore，0，u_ore，1，...，u_ore，n-1))；

步骤3，解密算法ORE.Decrypt(PP，sk，c)→m：

输入公共参数PP、密文c＝(c_data，(u_ore，0，u_ore，1，...，u_ore，n-1))和私钥sk，计算输出明文m＝symmetricAlg.Decrypt(sk，c_data)；

步骤4，比较算法ORE.Compare(PP，c，c′)→b：

输入公共参数PP以及两个密文c＝(c_data，(u_ore，0，u_ore，1，...，u_ore，n-1))和c′＝(c′_data，(u′_ore，0，u′_ore，1，...，u′_ore，n-1))，令与两个密文对应的明文分别为m、m′，则：

如果对于所有的i＝0，1，...，n-1，u_ore，i＝u′_ore，i，则输出b＝0，说明m＝m′；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i，那么当u′_ore，i＝u_ore，i+1modM，则输出b＝1，说明m＞m′；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i，那么当u′_ore，i≠u_ore，i+1modM，则输出b＝2，说明m＜m′。

进一步的，采用分组密码算法AES₁₂₈来实例化所述基于揭序加密的多数据类型密文比较方法中的伪随机函数F和对称加密算法；该分组密码算法AES₁₂₈包括密钥扩展算法AES₁₂₈.KeySchedule(key)→key_exp、加密算法AES₁₂₈.Encrypt(key_exp，m)→c、解密算法AES₁₂₈.Decrypt(key_exp，c)→m；其中，密钥key的比特长度为128；key_exp由10个128比特的轮子密钥组成，共计1280比特；明文m的比特长度n为128。

进一步的，步骤1系统建立算法ORE.Setup(k)→(PP，sk)具体包括：

(1-1)输入安全参数k，即128比特的密钥key；

(1-2)运行AES₁₂₈.KeySchedule(key)→key_exp；

(1-3)根据用户所需要的数据类型，可以选取n＝1，2，...，128；在此我们假设使用C语言的unsigned int类型，支持32位整型的比较运算，即明文的比特长度n＝32；

(1-4)令M＝4；

(1-5)选择AES₁₂₈.Encrypt({0，1}¹²⁸⁰，{0，1}⁸||{0，1}³¹||0⁸⁹)作为伪随机函数F；

(1-6)选择(AES₁₂₈.Encrypt，AES₁₂₈.Decrypt)作为对称加密算法symmetricAlg；

(1-7)输出密钥sk＝key_exp，公共参数PP＝{n，M，F，symmetricAlg}。

进一步的，可以通过预先设置公共参数PP＝{n，M，F，symmetricAlg}，系统建立算法只运行分组密码算法AES₁₂₈中的密钥扩展算法AES₁₂₈.KeySchedule(key)→key_exp，将系统建立算法简化为ORE.Setup(key)→sk。

进一步的，步骤2加密算法ORE.Encrypt(PP，sk，m)→c具体包括：

(2-1)输入公共参数PP＝(n，M，F，symmetricAlg)、1280比特的私钥sk和明文m；

(2-2)在明文m右边填96个0，得到一个128比特的数据m₁₂₈＝m||0⁹⁶；

(2-3)运行分组密码算法AES₁₂₈中的加密算法得到128比特数据密文c_data＝AES₁₂₈.Encrypt(sk，m₁₂₈)；

(2-4)将32比特明文表示为二进制m＝(b₀b₁b₂…b_n-1)₂，即

(2-5)从i＝0，1，2，...，31，依次执行操作①、②：

①如果i＝0，则令128比特数据tmp＝0¹²⁸；如果1≤i≤31，将i表示成1个8比特数据，则令tmp＝i||b₀b₁b₂…b_i-1||0^120-i；

②计算u_ore，i＝(AES₁₂₈.Encrypt(sk，tmp)+b_i)mod M；

(2-6)令揭序密文为u_ore＝(u_ore，0，u_ore，1，...，u_ore，n-1)；

(2-7)输出192比特密文c＝(c_data，u_ore)。

进一步的，步骤3解密算法ORE.Decrypt(PP，sk，c)→m具体包括：

(3-1)输入公共参数PP＝(n，M，F，symmetricAlg)、1280比特的私钥sk、密文c＝(c_data，u_ore)；

(3-2)运行分组密码算法AES₁₂₈中的解密算法得到128比特数据m～＝AES₁₂₈.Decrypt(sk，c_data)；

(3-3)截取128比特数据m～最左边32比特数据，作为明文m；

(3-4)输出32比特明文m。

进一步的，步骤4比较算法ORE.Compare(PP，c，c′)→b具体包括：

(4-1)输入公共参数PP＝{n，M，F，symmetricAlg}，两个192比特密文c＝(c_data，u_ore)、c′＝(c′_data，u′_ore)，则有：

如果对于所有的i＝0，1，...，n-1，使得u_ore，i＝u′_ore，i，则输出b＝0；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i：那么当u′_ore，i＝u_ore，i+1modM，则输出b＝1；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i，那么当u′_ore，i≠u_ore，i+1modM，则输出b＝2；

(4-2)输入2比特的结果数据b∈{0，1，2}；令与两个密文对应的明文分别为m、m′，当b＝0，则m＝m′；当b＝1，则m＞m′；当b＝2，则m＜m′。

在一个实施例中，当明文m是无符号位数据类型，则执行步骤2加密算法时不需要对明文m进行编码，直接将明文m输入到加密算法中；执行步骤3解密算法后，不需要对解密得到的明文m进行解码，直接将解密得到的明文m从高位到低位依次存放在消息存储空间中。

在一个实施例中，当对类型为字符型或整型数据的明文m执行步骤2加密算法前，采用以下方法进行编码：

①提取明文m的符号位、有效数值位分别为sign、data；

②如果符号为0，则把该数据编码为1，即m_sign＝1；如果符号位为1，则把数据编码为0，即m_sign＝0；

③令m_data＝data||0^127-len；如果明文m为字符型数据，则len＝7；如果明文m为整型数据，则len＝31；

④)编码m_code＝m_sign||m_data；

⑤输出编码后的明文m_code；

将编码后的明文m_code经过步骤2加密算法和步骤3解密算法后，采用以下方法进行解码：

①根据数据类型设置的明文m_code符号位、有效数值位分别为sign、data；

②如果明文m_code最左边比特值为1，则符号位sign＝0；如果明文m_code最左边比特值为0，则符号位sign＝1；

③如果明文m_code为字符型数据，则data为m_code从左边到右边第2至8比特，data＝m_data[1：8]；如果明文m_code为整型数据，则data为m_code从左边到右边第2至32比特，data＝m_data[2：32]；

④解码m＝sign||data；

⑤输出解码后的明文m。

在一个实施例中，当对类型为浮点数类型数据的明文m执行步骤2加密算法前，采用以下方法进行编码：

①提取明文m的符号位、指数位、有效数值位分别为sign、exp、data；

②如果符号位sign＝0，则把该明文m编码为1，即m_sign＝1；data_new＝data；如果符号位sign＝1，则把该明文m编码为0，即m_sign＝0；并将data取补码，即data_new＝补码(data)；

③令m_exp＝exp，m_data＝data_new；

④编码m_code＝m_sign||m_exp||m_data||0^128-x，当明文m为float类型时，x＝32；当明文m为double类型时，x＝64；

⑤输出编码后的m_code；

将编码后的m_code经过步骤2加密算法和步骤3解密算法后，采用所述编码方法的逆运算进行解码，得到明文m。

综上所述，由于采用了上述技术方案，本发明的有益效果是：

1、本发明具有较高的安全性：由于函数

是伪随机安全的条件下，使得本发明能够达到IND-OCPA安全，即有序的选择明文攻击不可区分安全。再进一步，本发明选择了全轮的分组密码算法AES₁₂₈作为伪随机函数来实例化，并且分组密码算法AES₁₂₈被证明是具有伪随机安全的，因此本发明给出的实例化方案能够满足IND-OCPA安全。在IND-OCPA模型下，敌手攻击的计算复杂度不低于2¹²⁸。

2、本发明针对不同数据结构，为多种数据类型的消息设计了不同的编码和解码方式，能够在数据加密状态下，支持对字符型、无符号字符型、整型、无符号整型、单精度浮点数、双精度浮点数等多种数据类型的密文数据的比较、排序，可以应用于数据库加密、密态统计等场景下范围查询、近邻检索等。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明实施例技术原理的明文比较大小过程示意图。

图2为本发明实施例技术原理的密文比较大小过程示意图。

图3为本发明实施例的基于揭序加密的多数据类型密文比较方法的整体流程图。

图4为本发明实施例的加密算法流程图。

图5为本发明实施例的解密算法流程图。

图6为本发明实施例的比较算法流程图。

图7为本发明实施例的字符型和整型数据的存储模式示意图。

图8为本发明实施例的浮点数类型数据的存储模式示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明是在揭序加密方案的基础上，提供一种基于揭序加密的多数据类型密文比较方法，从而为多种数据类型在密文域的密文比较和排序提供方法，可以应用于数据库加密、密态统计等场景下的范围查询、临近搜索等。首先介绍本发明基于揭序加密的多数据类型密文比较方法的技术原理：

对于两个二进制表达的无符号整数B＝(b₀b₁b₂…b_n-1)₂和B′＝(b′₀b′₁b′₂…b′_n-1)₂，即

如图1所示，在明文情况下比较B和B′的大小，可以将两个数按照从高位到低位进行同位置逐比特比较。如果在某个位置首次发生不同，那么该位置比特值较大的数据，是大的数；反之，是小的数。

为了在不泄露明文的情况下，密文比较两个数的大小也采用如图1所示的原理，只是用当前位置所有前序高位来生成一个随机掩码来隐藏当前位置的信息。令U、U′分别为B、B′的加密结果。假设在明文比较时，在第7个位置首次发生同位置比特值不同。假设b₇＝0，b′₇＝1，则可以判断B＜B′。如图2所示，在加密状态下，由于从0至6个位置都是相同的，则X′₇＝X₇。则肯定满足U′₇＝U₇+1mod M。那么根据明文的情况，可以判断出B＜B′。

基于上述原理，本发明提出一种基于揭序加密的多数据类型密文比较方法，如图3所示，包括系统建立算法ORE.Setup、加密算法ORE.Encrypt、解密算法ORE.Decrypt、比较算法ORE.Compare，具体地：

步骤1，系统建立算法ORE.Setup(k)→(PP，sk)：

输入安全参数k，选择一个参数M≥3，令明文比特长度为n；

选择一个带密钥的伪随机函数

表示密钥空间，

表示剩余类环；一个对称加密算法symmetricAlg＝(symmetricAlg.Encrypt，symmetricAlg.Decrypt，)，令公共参数PP＝(n，M，F，symmetricAlg)并随机选择一个私钥sk；

步骤2，加密算法ORE.Encrypt(PP，sk，m)→c：

输入公共参数PP、私钥sk和明文m，令明文m的二进制表达为m＝(b₀b₁b₂…b_n-1)₂，即

计算：

c_data＝symmetricAlg.Encrypt(k，m)；

u_ore，i＝F(sk，(i，b₀b₁b₂…b_i-1||0^n-i))+b_imod M，i＝0，1，…，n-1；

输出密文c＝(c_data，(u_ore，0，u_ore，1，...，u_ore，n-1))；

步骤3，解密算法ORE.Decrypt(PP，sk，c)→m：

输入公共参数PP、密文c＝(c_data，(u_ore，0，u_ore，1，...，u_ore，n-1))和私钥sk，计算输出明文m＝symmetricAlg.Decrypt(sk，c_data)；

步骤4，比较算法ORE.Compare(PP，c，c′)→b：

输入公共参数PP以及两个密文c＝(c_data，(u_ore，0，u_ore，1，...，u_ore，n-1))和c′＝(c′_data，(u′_ore，0，u′_ore，1，...，u′_ore，n-1))，令与两个密文对应的明文分别为m、m′，则：

如果对于所有的i＝0，1，...，n-1，使得u_ore，i＝u′_ore，i，则输出b＝0，说明m＝m′；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i：那么当u′_ore，i＝u_ore，i+1modM，则输出b＝1，说明m＞m′；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i，那么当u′_ore，i≠u_ore，i+1modM，则输出b＝2，说明m＜m′。

实施例

本实施例采用分组密码算法AES₁₂₈来实例化上述基于揭序加密的多数据类型密文比较方法中的伪随机函数F和对称加密算法；该分组密码算法AES₁₂₈包括密钥扩展算法AES₁₂₈.KeySchedule(key)→key_exp、加密算法AES₁₂₈.Encrypt(key_exp，m)→c、解密算法AES₁₂₈.Decrypt(key_exp，c)→m；其中，密钥key的比特长度为128；key_exp由10个128比特的轮子密钥组成，共计1280比特；明文m的比特长度n为128。由此，本实施例的基于揭序加密的多数据类型密文比较方法包括：

步骤1，系统建立算法ORE.Setup(k)→(PP，sk)：

(1-1)输入安全参数k，即128比特的密钥key；

(1-2)运行AES₁₂₈.KeySchedule(key)→key_exp；

(1-3)根据用户所需要的数据类型，可以选取n＝1，2，...，128；在此我们假设使用C语言的unsigned int类型，支持32位整型的比较运算，即明文的比特长度n＝32；

(1-4)令M＝4；

(1-5)选择AES₁₂₈.Encrypt({0，1}¹²⁸⁰，{0，1}⁸||{0，1}³¹||0⁸⁹)作为伪随机函数F；

(1-6)选择(AES₁₂₈.Encrypt，AES₁₂₈.Decrypt)作为对称加密算法symmetricAlg；

(1-7)输出密钥sk＝key_exp，公共参数PP＝{n，M，F，symmetricAlg}。

需要注意的是，在一些实施例中，为了实现方便可以预先设置公共参数PP＝{n，M，F，symmetricAlg}，系统建立算法只需要运行分组密码算法AES₁₂₈中的密钥扩展算法AES₁₂₈.KeySchedule(key)→key_exp，此时可将系统建立算法简化为ORE.Setup(key)→sk。

步骤2，如图4所示，加密算法ORE.Encrypt(PP，sk，m)→c：

(2-1)输入公共参数PP＝(n，M，F，symmetricAlg)、1280比特的私钥sk和明文m；

(2-2)在明文m右边填96个0，得到一个128比特的数据m₁₂₈＝m||0⁹⁶；

(2-3)运行分组密码算法AES₁₂₈中的加密算法得到128比特数据密文c_data＝AES₁₂₈.Encrypt(sk，m₁₂₈)；

(2-4)将32比特明文表示为二进制m＝(b₀b₁b₂…b_n-1)2，即

(2-5)从i＝0，1，2，...，31，依次执行操作①、②：

①如果i＝0，则令128比特数据tmp＝0¹²⁸；如果1≤i≤31，将i表示成1个8比特数据，则令tmp＝i||b₀b₁b₂…b_i-1||0^120-i；

②计算u_ore，i＝(AES₁₂₈.Encrypt(sk，tmp)+b_i)mod M；

(2-6)令揭序密文为u_ore＝(u_ore，0，u_ore，1，...，u_ore，n-1)；

(2-7)输出192比特密文c＝(c_data，u_ore)。

步骤3，如图5所示，解密算法ORE.Decrypt(PP，sk，c)→m：

(3-1)输入公共参数PP＝(n，M，F，symmetricAlg)、1280比特的私钥sk、密文c＝(c_data，u_ore)；

(3-2)运行分组密码算法AES₁₂₈中的解密算法得到128比特数据m～＝AES₁₂₈.Decrypt(sk，c_data)；

(3-3)截取128比特数据m～最左边32比特数据，作为明文m；

(3-4)输出32比特明文m。

步骤4，如图6所示，比较算法ORE.Compare(PP，c，c′)→b：

(4-1)输入公共参数PP＝{n，M，F，symmetricAlg}，两个192比特密文c＝(c_data，u_ore)、c′＝(c′_data，u′_ore)，则有：

如果对于所有的i＝0，1，...，n-1，使得u_ore，i＝u′_ore，i，则输出b＝0；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i：那么当u′_ore，i＝u_ore，i+1modM，则输出b＝1；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i，那么当u′_ore，i≠u_ore，i+1modM，则输出b＝2；

(4-2)输入2比特的结果数据b∈{0，1，2}；令与两个密文对应的明文分别为m、m′，当b＝0，则m＝m′；当b＝1，则m＞m′；当b＝2，则m＜m′。

上述步骤2加密算法和步骤3解密算法中，会涉及对数据的编码和解码，用途是：编码时，根据消息数据类型(包括无符号整型、有符号整型、单精度浮点数、单精度浮点数、字符类型等)进行编码为明文。解码时，将解密的明文结果解码为消息数据类型。编码用于加密之前，解码用于解密之后。

在实际应用时，需要将数据类型保持一致，或者采用IEEE754国际标准实现数据类型之间的转换。

(1)数据类型的编码与解码

支持的数据类型：字符型char、无符号字符型unsigned char、整型int、无符号整型unsigned int、单精度浮点数float、双精度浮点数double。

需要根据编译器对数据类型的存储模式进行解析。一般可以采用两种方法进行编码与解码：①将需要比较的数据集转换到同一个正整数空间中，并在正整数空间可以保持数据的偏序关系；②将需要比较的数据集分段为{符号位，指数位，数据位}，然后将每个分段的数据转换到各个分段位上的同一个正整数空间中，并在各个分段位的正整数空间可以保持数据的偏序关系。

1)无符号位数据类型编码与解码

主要包括无符号字符型unsigned char、无符号整型unsigned int等类型。一般情况，编译器直接存储其数据二进制表达，无需编码和解码过程，或者说编码和解码是一个恒等变换。因此当明文m是无符号位数据类型，则执行步骤2加密算法时不需要对明文m进行编码，可以直接将明文m输入到加密算法中；执行步骤3解密算法后，不需要对解密得到的明文m进行解码，直接将解密得到的明文m从高位到低位依次存放在消息存储空间中。

2)字符型与整型数据的编码与解码

符号位：最左边1比特位符号位，0表示正数，1表示负数。

有效数值位：当符号位为0时，7位或31比特数据位直接存储有效数据的二进制形式；当符号为1时，7位或者31比特数据位存储的是有效数据的补码，如图7所示。

由此，当对为字符型或整型数据的明文m执行步骤2加密算法前，采用以下方法进行编码：

①提取明文m的符号位、有效数值位分别为sign、data；

②如果符号为0，则把该数据编码为1，即m_sign＝1；如果符号位为1，则把数据编码为0，即m_sign＝0；

③令m_data＝data||0^127-len；如果明文m为字符型数据，则len＝7；如果明文m为整型数据，则len＝31；

④)编码m_code＝m_sign||m_data；

⑤输出编码后的明文m_code。

则当对为字符型或整型数据的明文m编码后得到的明文m_code经过步骤2加密算法和步骤3解密算法后，采用以下方法进行解码：

①根据数据类型设置的明文m_code符号位、有效数值位分别为sign、data；

②如果明文m_code最左边比特值为1，则符号位sign＝0；如果明文m_code最左边比特值为0，则符号位sign＝1；

③如果明文m_code为字符型数据，则data为m_code从左边到右边第2至8比特，data＝m_data[1：8]；如果明文m_code为整型数据，则data为m_code从左边到右边第2至32比特，data＝m_data[2：32]；

④解码m＝sign||data；

⑤输出解码后的明文m。

3)浮点数类型数据的编码与解码

符号位：最左边1比特位符号位，0表示正数，1表示负数。

指数位：从左到右，紧接着符号位的数据是指数位。float类型的指数位共8位，偏移量为127；double类型类型的指数位共11位，偏移量为1023。

数值位：从左到右，紧接着指数位的数据是数值位，float类型的数值位共23位，double类型类型的指数位共52位，如图8所示。

由此，当对为浮点数类型数据的明文m执行步骤2加密算法前，采用以下方法进行编码：

①提取明文m的符号位、指数位、有效数值位分别为sign、exp、data；

②如果符号位sign＝0，则把该明文m编码为1，即m_sign＝1；data_new＝data；如果符号位sign＝1，则把该明文m编码为0，即m_sign＝0；并将data取补码，即data_new＝补码(data)；

③令m_exp＝exp，m_data＝data_new；

④编码m_code＝m_sign||m_exp||m_data||0^128-x，当明文m为float类型时，x＝32；当明文m为double类型时，x＝64；

⑤输出编码后的m_code。

当对为浮点数类型数据的明文m编码后得到的明文m_code经过步骤2加密算法和步骤3解密算法后，进行解码的方法为上述编码方法的逆运算，在此不再赘述。

至此，本实施例实现了一种，基于揭序加密的多数据类型密文比较方法，其具有如下有益效果：

1、本发明具有较高的安全性：由于函数

是伪随机安全的条件下，使得本发明能够达到IND-OCPA安全，即有序的选择明文攻击不可区分安全。再进一步，本发明选择了全轮的分组密码算法AES₁₂₈作为伪随机函数来实例化，并且分组密码算法AES₁₂₈被证明是具有伪随机安全的，因此本发明给出的实例化方案能够满足IND-OCPA安全。在IND-0CPA模型下，敌手攻击的计算复杂度不低于2¹²⁸。

2、本发明针对不同数据结构，为多种数据类型的消息设计了不同的编码和解码方式，能够在密文下，支持对字符型、无符号字符型、整型、无符号整型、单精度浮点数、双精度浮点数等多种数据类型的密文数据的比较、排序，可以应用于数据库加密、密态统计等场景下范围查询、近邻检索等。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (7)

1.一种基于揭序加密的多数据类型密文比较方法，其特征在于，包括：

步骤1，系统建立算法ORE.Setup(k)→(PP，sk)：

输入安全参数k，选择一个参数M≥3，令明文比特长度为n；

选择一个带密钥的伪随机函数

表示密钥空间，

表示剩余类环；一个对称加密算法symmetricAlg＝(symmetricAlg.Encrypt，symmetricAlg.Decrypt)，令公共参数PP＝(n，M，F，symmetricAlg)，并随机选择一个私钥sk；

步骤2，加密算法ORE.Encrypt(PP，sk，m)→c：

输入公共参数PP、私钥sk和明文m，令明文m的二进制表达为m＝(b₀b₁b₂...b_n-1)₂，即

计算：

c_data＝symmetricAlg.Encrypt(k，m)；

u_ore，i＝F(sk，(i，b₀b₁b₂...b_i-1||0^n-i))+b_imod M，i＝0，1，...，n-1；

输出密文c＝(c_data，(u_ore，0，u_ore，1，...，u_ore，n-1))；

步骤3，解密算法ORE.Decrypt(PP，sk，c)→m：

输入公共参数PP、密文c＝(c_data，(u_ore，0，u_ore，1，...，u_ore，n-1))和私钥sk，计算输出明文m＝symmetricAlg.Decrypt(sk，c_data)；

步骤4，比较算法ORE.Compare(PP，c，c′)→b：

输入公共参数PP以及两个密文c＝(c_data，(u_ore，0，u_ore，1，...，u_ore，n-1))和c′＝(c′_data，(u′_ore，0，u′_ore，1，...，u′_ore，n-1))，令与两个密文对应的明文分别为m、m′，则：

如果对于所有的i＝0，1，...，n-1，u_ore，i＝u′_ore，i，则输出b＝0，说明m＝m′；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i，那么当u′_ore，i＝u_ore，i+1 mod M，则输出b＝1，说明m＞m′；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i，那么当u′_ore，i≠u_ore，i+1 mod M，则输出b＝2，说明m＜m′；

当明文m是无符号位数据类型，则执行步骤2加密算法时不需要对明文m进行编码，直接将明文m输入到加密算法中；执行步骤3解密算法后，不需要对解密得到的明文m进行解码，直接将解密得到的明文m从高位到低位依次存放在消息存储空间中；

当对为字符型或整型数据的明文m执行步骤2加密算法前，采用以下方法进行编码：

①提取明文m的符号位、有效数值位分别为sign、data；

②如果符号为0，则把该数据编码为1，即m_sign＝1；如果符号位为1，则把数据编码为0，即m_sign＝0；

③令m_data＝data||0^127-len；如果明文m为字符型数据，则len＝7；如果明文m为整型数据，则len＝31；

④编码m_code＝m_sign||m_data；

⑤输出编码后的明文m_code；

将编码后的明文m_code经过步骤2加密算法和步骤3解密算法后，采用以下方法进行解码：

①根据数据类型设置明文m_code的符号位、有效数值位分别为sign、data；

②如果明文m_code最左边比特值为1，则符号位sign＝0；如果明文m_code最左边比特值为0，则符号位sign＝1；

③如果明文m_code为字符型数据，则data为m_code从左边到右边第2至8比特，data＝m_data[1：8]；如果明文m_code为整型数据，则data为m_code从左边到右边第2至32比特，data＝m_data[2：32]；

④解码m＝sign||data；

⑤输出解码后的明文m；

当对为浮点数类型数据的明文m执行步骤2加密算法前，采用以下方法进行编码：

①提取明文m的符号位、指数位、有效数值位分别为sign、exp、data；

②如果符号位sign＝0，则把该明文m编码为1，即m_sign＝1；data_new＝data；如果符号位sign＝1，则把该明文m编码为0，即m_sign＝0；并将data取补码，即data_new＝补码(data)；

③令m_exp＝exp，m_data＝data_new；

④编码m_code＝m_sign||m_exp||m_data||0^128-x，当明文m为float类型时，x＝32；当明文m为double类型时，x＝64；

⑤输出编码后的m_code；

将编码后的m_code经过步骤2加密算法和步骤3解密算法后，采用所述编码方法的逆运算进行解码，得到明文m。

2.根据权利要求1所述的基于揭序加密的多数据类型密文比较方法，其特征在于，采用分组密码算法AES₁₂₈来实例化所述基于揭序加密的多数据类型密文比较方法中的伪随机函数F和对称加密算法；该分组密码算法AES₁₂₈包括密钥扩展算法AES₁₂₈.KeySchedule(key)→key_exp、加密算法AES₁₂₈.Encrypt(key_exp，m)→c、解密算法AES₁₂₈.Decrypt(key_exp，c)→m；其中，密钥key的比特长度为128；key_exp由10个128比特的轮子密钥组成，共计1280比特；明文m的比特长度n为128。

3.根据权利要求2所述的基于揭序加密的多数据类型密文比较方法，其特征在于，步骤1系统建立算法ORE.Setup(k)→(PP，sk)具体包括：

(1-1)输入安全参数k，即128比特的密钥key；

(1-2)运行AES₁₂₈.KeySchedule(key)→key_exp；

(1-3)根据用户所需要的数据类型，选取n＝1，2，...，128；使用C语言的unsigned int类型，支持32位整型的比较运算，即明文的比特长度n＝32；

(1-4)令M＝4；

(1-5)选择AES₁₂₈.Encrypt({0，1}¹²⁸⁰，{0，1}⁸||{0，1}³¹||0⁸⁹)作为伪随机函数F；

(1-6)选择(AES₁₂₈.Encrypt，AES₁₂₈.Decrypt)作为对称加密算法symmetricAlg；

(1-7)输出密钥sk＝key_exp，公共参数PP＝{n，M，F，symmetricAlg}。

4.根据权利要求3所述的基于揭序加密的多数据类型密文比较方法，其特征在于，通过预先设置公共参数PP＝{n，M，F，symmetricAlg}，系统建立算法只运行分组密码算法AES₁₂₈中的密钥扩展算法AES₁₂₈.KeySchedule(key)→key_exp，将系统建立算法简化为ORE.Setup(key)→sk。

5.根据权利要求3所述的基于揭序加密的多数据类型密文比较方法，其特征在于，步骤2加密算法ORE.Encrypt(PP，sk，m)→c具体包括：

(2-1)输入公共参数PP＝(n，M，F，symmetricAlg)、1280比特的私钥sk和明文m；

(2-2)在明文m右边填96个0，得到一个128比特的数据m₁₂₈＝m||0⁹⁶；

(2-3)运行分组密码算法AES₁₂₈中的加密算法得到128比特数据密文c_data＝AES₁₂₈.Encrypt(sk，m₁₂₈)；

(2-4)将32比特明文表示为二进制m＝(b₀b₁b₂...b_n-1)₂，即

(2-5)从i＝0，1，2，...，31，依次执行操作①、②：

①如果i＝0，则令128比特数据tmp＝0¹²⁸；如果1≤i≤31，将i表示成1个8比特数据，则令tmp＝i||b₀b₁b₂...b_i-1||0^120-i；

②计算u_ore，i＝(AES₁₂₈.Encrypt(sk，tmp)+b_i)mod M；

(2-6)令揭序密文为u_ore＝(u_ore，0，u_ore，1，...，u_ore，n-1)；

(2-7)输出192比特密文c＝(c_data，u_ore)。

6.根据权利要求5所述的基于揭序加密的多数据类型密文比较方法，其特征在于，步骤3解密算法ORE.Decrypt(PP，sk，c)→m具体包括：

(3-1)输入公共参数PP＝(n，M，F，symmetricAlg)、1280比特的私钥sk、密文c＝(c_data，u_ore)；

(3-2)运行分组密码算法AES₁₂₈中的解密算法得到128比特数据m～＝AES₁₂₈.Decrypt(sk，c_data)；

(3-3)截取128比特数据m～最左边32比特数据，作为明文m；

(3-4)输出32比特明文m。

7.根据权利要求6所述的基于揭序加密的多数据类型密文比较方法，其特征在于，步骤4比较算法ORE.Compare(PP，c，c′)→b具体包括：

(4-1)输入公共参数PP＝{n，M，F，symmetricAlg}，两个192比特密文c＝(c_data，u_ore)、c′＝(c′_data，u′_ore)，则有：

如果对于所有的i＝0，1，...，n-1，使得u_ore，i＝u′_ore，i，则输出b＝0；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i：那么当u′_ore，i＝u_ore，i+1 mod M，则输出b＝1；

如果找到最小的i∈{0，1，...，31}，使得u_ore，i≠u′_ore，i，那么当u′_ore，i≠u_ore，i+1 mod M，则输出b＝2；

(4-2)输入2比特的结果数据b∈{0，1，2}；令与两个密文对应的明文分别为m、m′，当b＝0，则m＝m′；当b＝1，则m＞m′；当b＝2，则m＜m′。

Images