CN116684062A - 基于代理重加密的云计算外包和数据动态分享方法及系统 - Google Patents

Abstract

本发明涉及云计算、网络安全技术领域，涉及一种基于代理重加密的云计算外包和数据动态分享方法及系统，包括：S1：密钥生成中心产生公私钥对，数据拥有者的数据文件经过全同态加密，并将密文上传到云代理服务器；S2：用户发送共享数据请求，数据拥有者审核同意后，利用公私钥对产生一个转换密钥；S3：用户收到同意应答后，将所要外包计算的函数发送给云代理服务器；S4：云代理服务器收到函数后对密文进行函数计算，然后利用转换密钥对函数的计算结果进行重加密；S5：用户收到重加密的密文后，使用自己的私钥解密获得相应函数在数据拥有者数据文件上的计算结果。本发明能较佳地进行云计算外包和数据动态分享。

Description

基于代理重加密的云计算外包和数据动态分享方法及系统

技术领域

本发明涉及云计算、网络安全技术领域，具体地说，涉及一种基于代理重加密的云计算外包和数据动态分享方法及系统。

背景技术

随着云计算的发展和普及，数据外包越来越流行，数据拥有者通常把数据外包给云服务器。由于数据的敏感性，外包数据都会经过加密处理，存储在云服务器上的数据都是加密数据，这严重影响了云服务器的计算服务和数据拥有者数据的共享性，因此，如何设计一个有效地保护数据和云计算数据共享方法是迫切需要解决的问题。在现有的技术中，如运用全同态加密，只能解决数据的保护和云服务器计算数据的问题，不能解决数据分享问题。多属性的基于属性的全同态加密能够同时解决数据的保护、云服务器数据计算和数据分享问题，但需要事先固定好数据分享的策略函数，数据分享的用户不具有动态性。

综上所述，现有技术存在的问题是：无法同时保证数据的隐私性、云服务器数据计算外包服务、动态分享数据服务和抵抗量子计算及攻击。难点在于：为了保护数据的隐私与安全，数据在外包给云服务器之前需要进行加密，并以密文方式存储，所以数据的计算需要在密文下进行，并且将计算结果安全的分享给用户。已有的技术一方面在数据分享安全性不够，使得攻击者可以获取数据的信息，或者基于传统计算问题构建解决办法，不能抵抗量子计算机攻击；另一方面数据请求终端用户集合固定，不具有动态性。

发明内容

本发明的内容是提供一种基于代理重加密的云计算外包和数据动态分享方法及系统，其可以抵抗量子计算机攻击和选择性明文攻击，有效地保护了云计算数据隐私与共享数据安全。

根据本发明的基于代理重加密的云计算外包和数据动态分享方法，其包括以下步骤：

S1：密钥生成中心产生数据拥有者和用户的公私钥对，数据拥有者的数据文件经过多身份的基于身份的全同态加密，并将密文上传到云代理服务器；

S2：用户发送共享数据请求给数据拥有者，数据拥有者审核同意后，利用公私钥对产生一个转换密钥发送给云代理服务器，同时返回同意应答给用户；

S3：用户收到同意应答后，将所要外包计算的函数发送给云代理服务器；

S4：云代理服务器收到函数后对密文进行函数计算，然后利用转换密钥对函数的计算结果进行重加密，并将其返回给用户；

S5：用户收到重加密的密文后，使用自己的私钥解密获得相应函数在数据拥有者数据文件上的计算结果。

作为优选，S1中，公私钥对的生成方法具体包括以下步骤：

S1.1：生成公开参数；

设参数q＝q(λ,L)，n＝n(λ,L)，χ＝χ(λ,L)，m＝m(λ,L)＝O(n·log q)，其中λ为安全参数，L为全同态运算中乘法的深度，O表示同阶无穷小，即O(n·log q)表示算法的复杂度为线性对数时间，χ＝χ(λ,L)是针对已知攻击实现至少2λ安全性的LWE的误差分布，设置N＝(m+1)·l，即l设置为对数q下取整后加1，N等于m加1后乘以l所得的结果；设公开参数为pp＝(n,q,χ,m,H)，其中H是哈希函数，将{0,1}^*映射到向量空间/>其中{0,1}^*表示任意长度的0和1字符串；

S1.2：密钥生成中心产生数据拥有者和用户的公私钥对；

利用算法TrapGen(q,n,m)分别产生矩阵对(A^n×m,T_A ^n×m)和(B^n×m,T_B ^n×m)，其中TrapGen(q,n,m)算法表示输入素数q≥2，正整数n和m≥6nlog q，输出矩阵A^n×m和以A做成的垂直向量空间的短基T_A ^n×m；数据拥有者的公钥为pk_A＝A，私钥为sk_A＝T_A，用户的公钥为pk_B＝B，私钥为T_B。

作为优选，S1中，数据拥有者对分类为w，消息为μ∈{0,1}按照下面步骤计算密文：

a、首先计算z_w ^n×1＝H(w)，z_w ^n×1表示z_w是一个n×1阶的矩阵，即一个n维行向量；设置A_w＝(z_w|A)^n×(m+1)，A_w是一个n×(m+1)阶矩阵；

b、随机选取r^1×n←Z_q ^1×n，r表示从空间Z_q ^1×n中随机选取的n维列向量，在m+1维误差分布χ^m+1中随机选取m+1维小误差行向量e₁ ^(m+1)×1←χ^m+1，然后计算ct_w＝r·A_w+e₁ ^T和CT_w＝R_N·A_w+E_N∈Z_q ^N×(m+1)，其中，T为矩阵的转置，R_N＝(r₁ ^T,…,r_N ^T)，E_N＝(e₁₁,…,e_1N)^T，r_i ^1×n∈Z_q ^{1 ×n}是从空间Z_q ^1×n中随机选取的n维列向量，e_1i ^(m+1)×1←χ^m+1是从m+1维误差分布中随机选取的m+1维行向量，i∈[N]；

c、数据拥有者进一步计算密文ψ＝Flatten(μ·I_N+BitDecomp(CT_w))，ψ是一个N×N维矩阵，其中I_N表示N×N维单位矩阵，BitDecomp(a)表示将一个任意k维列向量a∈Z_q ^1×k转换成一个k·l维列向量(a_1,0,…,a_1,l-1,a_2,0,…,a_2,l-1,…,a_k,0,…,a_k,l-1)，其中a_i,j是向量a第i个分量转换成二进制后第j个比特位的值；BitDecomp^-1(·)是BitDecomp(·)的逆运算，将一个k·l维向量转换成一个k维向量，其中运算Flatten(·)＝BitDecomp(BitDecomp^-1(·))。

作为优选，S2中，转换密钥的产生方法具体包括以下步骤：

S2.1：用户向数据拥有者发送分享数据请求，征得数据拥有者同意后，用户随机选取一个k·N×N维矩阵X∈Z_q ^k·N×N，k是一个任意的正整数，在误差分布χ^k·N随机选取一个k·N维误差向量e，即e^k·N×1←χ^k·N，然后用户设置sk_B′＝(1,-t_B)^T，其中t_B←SampleD(B,T_B,0,σ)，σ是一个参数，满足是矩阵T_B的Gram-Schmidt正交化，/>是的Gram-Schmidt范数，ω(·)是非渐进紧下确界，/>表示其阶高于/>SampleD(·)是一种抽样算法，输入一个n×m维矩阵B，m×m维短基T_B，一个n维分量都为0的行向量，和一个参数/>输出一个m维行向量；，t_B是一个m维行向量，sk_B′是一个m+1维列向量，最后将(X,-X·Powerof2^T(sk_B′)+e)发送给数据拥有者，其中Powerof2(b)表示将任意一个k维列向量b＝(b₁,…,b_k)^T∈Z_q ^1×k转换成一个k·l维列向量(b₁,2b₁,…,2^l-1b₁,…,b_k,2b_k,…,2^l-1b_k)，/>

S2.2：对每个分类标签w_i，i∈[k]，数据拥有者计算H(w_i)，令 利用自己的公私钥对(A,T_A)和抽样算法SampleD抽样一个m+1维的行向量/>即设/>i∈[k]，最后计算转换密钥/>

作为优选，S3中，函数为电路函数C。

作为优选，S4中，具体包括以下步骤：

S4.1：对布尔电路，只需要计算与非门NAND操作；如果密文ψ₁，ψ₂是属于同一标签w下消息μ₁，μ₂的密文，则NAND(ψ₁,ψ₂)＝Flatten(I_N-ψ₁ψ₂)；如果密文ψ₁，ψ₂分别是标签w₁和w₂中消息μ₁，μ₂的密文，则NAND(ψ₁,ψ₂)＝Flatten(I_N-ψ₁′ψ₂′))，其中ψ₁′、ψ₂′分别是ψ₁，ψ₂扩展矩阵，即其中矩阵对(X1,Y1)通过下面算法产生，MS_GPV.GenUnivMask(pp,w₁,μ₁)→U，MS_GPV.DeriveMask(pp,U,w₂)→(X1,Y1)；(X2,Y2)通过下面算法产生，MS_GPV.GenUnivMask(pp,w₂,μ₂)→U′，MS_GPV.DeriveMask(pp,U′,w₁)→(Y2,X2)，具体算法如下：

算法MS_GPV.GenUnivMask(pp,w₁,μ₁)：

1)对每一个i∈[l]：设x_1i为算法Blind(w₁,μ₁·2^i-1)的输出结果，Blind(w₁,μ₁·2^{i -1})表示输入一个标签w₁和一个值μ₁·2^i-1，输出一个向量Flatten(c₁+μ₁·2^i-1,c₂,…,c_m+1)，其中r表示从空间Z_q ^1×n中随机选取的n维列向量，在m+1维误差分布χ^m+1中随机选取m+1维小误差行向量e₁ ^(m+1)×1←χ^m+1；同时设y_1i是N维0列向量；

2)对每一个l<i≤N：在空间Z_q ^1×n中随机选取向量r₁′，在误差分布χ^m+1选取一个m+1维列向量f₁，对每一个j∈[N]，计算b_j ⁽ⁱ⁾＝BitDecomp^-1(Blind(w₁,p_j))，b_j ⁽ⁱ⁾是一个m+1维列向量，其中p_j是向量Powerof2(r₁′)第j个分量，让每个列向量b₁ ⁽ⁱ⁾，b₂ ⁽ⁱ⁾，…，b_N ⁽ⁱ⁾转置变成行向量，组成矩阵B⁽ⁱ⁾；设y_1i＝Flatten((0₁,…,0_i-1,μ₁,0_i+1,…,0_N)+BitDecomp((0,r₁′·A+f₁)))，0_i表示向量第i个位置分量的值为0；

3)让y₁₁，…，y_1N作为行向量组成矩阵Y₁；

4)令U＝(x₁₁,…,x_1l,Y₁,B^(l+1),…,B^(N))，输出U；

算法MS_GPV.DeriveMask(pp,U,w₂)：

(1)将输入的U拆分成(x₁₁,…,x_1l,Y₁,B^(l+1),…,B^(N))，计算H(w₂)；

(2)对每一个l<i≤N：令x_1i＝Flatten(BitDecomp(H(w₂))·B⁽ⁱ⁾)，让每个x₁₁，…，x_1N作为行向量组成矩阵X₁；

(3)输出矩阵对(X₁,Y₁)；

算法MS_GPV.GenUnivMask(pp,w₂,μ₂)：

a)对每一个i∈[l]：设y_2i为算法Blind(w₂,μ₂·2^i-1)的输出结果，Blind(w₁,μ₁·2^{i -1})表示输入一个标签w₂和一个值μ₂·2^i-1，输出一个向量Flatten(c₁′+μ₂·2^i-1,c₂′,…,c_m+1′)，其中r′表示从空间Z_q ^1×n中随机选取的n维列向量，在m+1维误差分布χ^m+1中随机选取m+1维小误差行向量e₂，即e₂ ^{(m +1)×1}←χ^m+1；同时设x_2i是N维0列向量；

b)对每一个l<i≤N：在空间Z_q ^1×n中随机选取向量r₂′，在误差分布χ^m+1选取一个m+1维列向量f₂，对每一个j∈[N]，计算b_j ^(i)′＝BitDecomp^-1(Blind(w₂,p_j′))，b_j ^(i)′是一个m+1维列向量，其中p_j′是向量Powerof2(r₂′)第j个分量，让每个列向量b₁ ^(i)′，b₂ ^(i)′，…，b_N ^(i)′转置变成行向量，组成矩阵B^(i)′；设x_2i＝Flatten((0₁,…,0_i-1,μ₂,0_i+1,…,0_N)+BitDecomp((0,r₂′·A+f₂)))，0_i表示向量第i个位置分量的值为0；

c)让x₂₁，…，x_2N作为行向量组成矩阵X₂；

d)令U′＝(y₂₁,…,y_2l,X₂,B^(l+1)′,…,B^(N)′)，输出U′；

算法MS_GPV.DeriveMask(pp,U′,w₁)：

A)将输入的U′拆分成(y₂₁,…,y_2l,X₂,B^(l+1)′,…,B^(N)′)，计算H(w₁)；

B)对每一个l<i≤N：令y_2i＝Flatten(BitDecomp(H(w₁))·B⁽ⁱ⁾′)，让每个y₂₁，…，y_2N作为行向量组成矩阵Y₂；

C)输出矩阵对(Y₂,X₂)；

S4.2：按照上面思路，计算C的密文得到ψ_C，然后计算结果ψ_B0b＝ψ_C·ck_A→B。

作为优选，S5中，解密密文分下面两种情况：

1)当密文为数据拥有者的数据密文，不是转换密文时，设密文ψ是标签w下消息的密文，则利用私钥sk_w进行解密，即计算ψ·Powerof2^T(sk_w)＝μ·Powerof2^T(sk_w)+E_N·sk_w，设v＝(v₁,…,v_N)＝Powerof2(sk_w)，v是一个N维行向量；数据拥有者用密文ψ的第i行作矩阵的行计算x_i:＝<ψ_i,v>＝μ·v_i+<e_1i,sk_w>；如果v_i＝2ⁱ∈(q/4,q/2]且|<e_1i,sk_w>|<q/8，则解密出消息

2)当密文为转换密文时，且密文是在标签w1，…,w_k下密文上进行运算C后得到的转换密文，则利用用户的私钥进行解密，即计算e_A是解密后小误差向量的和；设/>用户用密文ψ的第i行作矩阵的行计算/>如果g_i＝2ⁱ∈(q/4,q/2]且|<ψ_Ai,e>+(e_A)_i|<q/8，则解密出消息/>其中ψ_Ai，(e_A)_i分别表示矩阵ψ_A和e_A的第i行的行向量。

本发明还提供了一种基于代理重加密的云计算外包和数据动态分享系统，其采用上述的基于代理重加密的云计算外包和数据动态分享方法。

本发明的有益效果为：

为了保护数据的隐私性，运用多身份的基于身份的全同态加密，对存储在数据库中的数据进行加密处理，进而以密文的方式进行存储，在进行云计算数据分享时，云服务器按照任何用户给出的函数在密文上进行计算，然后利用转换密钥将计算结果转换成一个新的密文，并将新密文返回给用户，用户利用自己的私钥解密新密文，得到函数在明文数据上的计算结果。同时，本方法可以抵抗量子计算机攻击和选择性明文攻击，有效地保护了云计算数据隐私与共享数据安全。本发明能够提供数据计算的外包服务，大大减少了数据请求者终端用户的计算量；本发明能够提供数据的安全共享；本发明中，任何用户都可以共享数据，避免了属性加密固定分享用户集合的弊端。

附图说明

图1为实施例中一种基于代理重加密的云计算外包和数据动态分享方法的流程图。

具体实施方式

为进一步了解本发明的内容，结合附图和实施例对本发明作详细描述。应当理解的是，实施例仅仅是对本发明进行解释而并非限定。

实施例

如图1所示，本实施例提供了一种基于代理重加密的云计算外包和数据动态分享方法，其包括以下步骤：

S1：密钥生成中心产生数据拥有者和用户的公私钥对，数据拥有者的数据文件经过多身份的基于身份的全同态加密，并将密文上传到云代理服务器；

S2：用户发送共享数据请求给数据拥有者，数据拥有者审核同意后，利用公私钥对产生一个转换密钥发送给云代理服务器，同时返回同意应答给用户；

S3：用户收到同意应答后，将所要外包计算的函数(电路函数C)发送给云代理服务器；

S4：云代理服务器收到函数后对密文进行函数计算，然后利用转换密钥对函数的计算结果进行重加密，并将其返回给用户；

S5：用户收到重加密的密文后，使用自己的私钥解密获得相应函数在数据拥有者数据文件上的计算结果。

S1中，公私钥对的生成方法具体包括以下步骤：

S1.1：生成公开参数；

设参数q＝q(λ,L)，n＝n(λ,L)，χ＝χ(λ,L)，m＝m(λ,L)＝O(n·log q)，其中λ为安全参数，L为全同态运算中乘法的深度，O表示同阶无穷小，即O(n·log q)表示算法的复杂度为线性对数时间，χ＝χ(λ,L)是针对已知攻击实现至少2λ安全性的LWE的误差分布，LWE(Learing with Errors)是格上的一个经典困难问题，其困难性可以归约到数学上一个NP-Hard困难问题。设置N＝(m+1)·l，即l设置为对数q下取整后加1，N等于m加1后乘以l所得的结果。设公开参数为pp＝(n,q,χ,m,H)，其中H是哈希函数，将{0,1}^*映射到向量空间/>其中{0,1}^*表示任意长度的0和1字符串；

S1.2：密钥生成中心产生数据拥有者和用户的公私钥对；

利用算法TrapGen(q,n,m)分别产生矩阵对(A^n×m,T_A ^n×m)和(B^n×m,T_B ^n×m)，其中TrapGen(q,n,m)算法表示输入素数q≥2，正整数n和m≥6nlog q，输出矩阵A^n×m和以A做成的垂直向量空间的短基T_A ^n×m；数据拥有者的公钥为pk_A＝A，私钥为sk_A＝T_A，用户的公钥为pk_B＝B，私钥为T_B。

S1中，数据拥有者对分类为w，消息为μ∈{0,1}按照下面步骤计算密文：

a、首先计算z_w ^n×1＝H(w)，z_w ^n×1表示z_w是一个n×1阶的矩阵，即一个n维行向量。设置A_w＝(z_w|A)^n×(m+1)，A_w是一个n×(m+1)阶矩阵；

b、随机选取r^1×n←Z_q ^1×n，r表示从空间Z_q ^1×n中随机选取的n维列向量，在m+1维误差分布χ^m+1中随机选取m+1维小误差行向量e₁ ^(m+1)×1←χ^m+1，然后计算ct_w＝r·A_w+e₁ ^T和CT_w＝R_N·A_w+E_N∈Z_q ^N×(m+1)，其中，T为矩阵的转置，R_N＝(r₁ ^T,…,r_N ^T)，E_N＝(e₁₁,…,e_1N)^T，r_i ^1×n∈Z_q ^{1 ×n}是从空间Z_q ^1×n中随机选取的n维列向量，e_1i ^(m+1)×1←χ^m+1是从m+1维误差分布中随机选取的m+1维行向量，i∈[N]；

c、数据拥有者进一步计算密文ψ＝Flatten(μ·I_N+BitDecomp(CT_w))，ψ是一个N×N维矩阵，其中I_N表示N×N维单位矩阵，BitDecomp(a)表示将一个任意k维列向量a∈Z_q ^1×k转换成一个k·l维列向量(a_1,0,…,a_1,l-1,a_2,0,…,a_2,l-1,…,a_k,0,…,a_k,l-1)，其中a_i,j是向量a第i个分量转换成二进制后第j个比特位的值；BitDecomp^-1(·)是BitDecomp(·)的逆运算，将一个k·l维向量转换成一个k维向量，其中运算Flatten(·)＝BitDecomp(BitDecomp^-1(·))。

S2中，转换密钥的产生方法具体包括以下步骤：

S2.1：用户向数据拥有者发送分享数据请求，征得数据拥有者同意后，用户随机选取一个k·N×N维矩阵X∈Z_q ^k·N×N，k是一个任意的正整数，在误差分布χ^k·N随机选取一个k·N维误差向量e，即e^k·N×1←χ^k·N，然后用户设置sk_B′＝(1,-t_B)^T，其中t_B←SampleD(B,T_B,0,σ)，σ是一个参数，满足是矩阵T_B的Gram-Schmidt正交化，/>是的Gram-Schmidt范数。ω(·)是非渐进紧下确界，/>表示其阶高于/>SampleD(·)是一种抽样算法，输入一个n×m维矩阵B，m×m维短基T_B，一个n维分量都为0的行向量，和一个参数/>输出一个m维行向量。，t_B是一个m维行向量，sk_B′是一个m+1维列向量，最后将(X,-X·Powerof2^T(sk_B′)+e)发送给数据拥有者，其中Powerof2(b)表示将任意一个k维列向量b＝(b₁,…,b_k)^T∈Z_q ^1×k转换成一个k·l维列向量(b₁,2b₁,…,2^l-1b₁,…,b_k,2b_k,…,2^l-1b_k)，/>

S2.2：对每个分类标签w_i，i∈[k]，数据拥有者计算H(w_i)，令 H是哈希函数。利用自己的公私钥对(A,T_A)和抽样算法SampleD抽样一个m+1维的行向量/>即/>设/>最后计算转换密钥/>

S4中，具体包括以下步骤：

S4.1：对布尔电路，只需要计算与非门NAND操作，因为任何一个电路都可以转换成与非门；如果密文ψ₁，ψ₂是属于同一标签w下消息μ₁，μ₂的密文，则NAND(ψ₁,ψ₂)＝Flatten(I_N-ψ₁ψ₂)；如果密文ψ₁，ψ₂分别是标签w₁和w₂中消息μ₁，μ₂的密文，则NAND(ψ₁,ψ₂)＝Flatten(I_N-ψ₁′ψ₂′))，其中ψ₁′、ψ₂′分别是ψ₁，ψ₂扩展矩阵，即其中矩阵对(X1,Y1)通过下面算法产生，MS_GPV.GenUnivMask(pp,w₁,μ₁)→U，MS_GPV.DeriveMask(pp,U,w₂)→(X1,Y1)；(X2,Y2)通过下面算法产生，MS_GPV.GenUnivMask(pp,w₂,μ₂)→U′，MS_GPV.DeriveMask(pp,U′,w₁)→(Y2,X2)，具体算法如下：

算法MS_GPV.GenUnivMask(pp,w₁,μ₁)：

1)对每一个i∈[l]：设x_1i为算法Blind(w₁,μ₁·2^i-1)的输出结果，Blind(w₁,μ₁·2^{i -1})表示输入一个标签w₁和一个值μ₁·2^i-1，输出一个向量Flatten(c₁+μ₁·2^i-1,c₂,…,c_m+1)，其中r表示从空间Z_q ^1×n中随机选取的n维列向量，在m+1维误差分布χ^m+1中随机选取m+1维小误差行向量e₁ ^(m+1)×1←χ^m+1。同时设y_1i是N维0列向量；

2)对每一个l<i≤N：在空间Z_q ^1×n中随机选取向量r₁′，在误差分布χ^m+1选取一个m+1维列向量f₁，对每一个j∈[N]，计算b_j ⁽ⁱ⁾＝BitDecomp^-1(Blind(w₁,p_j))，b_j ⁽ⁱ⁾是一个m+1维列向量，其中p_j是向量Powerof2(r₁′)第j个分量，让每个列向量b₁ ⁽ⁱ⁾，b₂ ⁽ⁱ⁾，…，b_N ⁽ⁱ⁾转置变成行向量，组成矩阵B⁽ⁱ⁾；设y_1i＝Flatten((0₁,…,0_i-1,μ₁,0_i+1,…,0_N)+BitDecomp((0,r₁′·A+f₁)))，0_i表示向量第i个位置分量的值为0；

3)让y₁₁，…，y_1N作为行向量组成矩阵Y₁；

4)令U＝(x₁₁,…,x_1l,Y₁,B^(l+1),…,B^(N))，输出U；

算法MS_GPV.DeriveMask(pp,U,w₂)：

(1)将输入的U拆分成(x₁₁,…,x_1l,Y₁,B^(l+1),…,B^(N))，计算H(w₂)；

(2)对每一个l<i≤N：令x_1i＝Flatten(BitDecomp(H(w₂))·B⁽ⁱ⁾)，让每个x₁₁，…，x_1N作为行向量组成矩阵X₁；

(3)输出矩阵对(X₁,Y₁)；

算法MS_GPV.GenUnivMask(pp,w₂,μ₂)：

a)对每一个i∈[l]：设y_2i为算法Blind(w₂,μ₂·2^i-1)的输出结果，Blind(w₁,μ₁·2^{i -1})表示输入一个标签w₂和一个值μ₂·2^i-1，输出一个向量Flatten(c₁′+μ₂·2^i-1,c₂′,…,c_m+1′)，其中r′表示从空间Z_q ^1×n中随机选取的n维列向量，在m+1维误差分布χ^m+1中随机选取m+1维小误差行向量e₂，即e₂ ^{(m +1)×1}←χ^m+1。同时设x_2i是N维0列向量；

b)对每一个l<i≤N：在空间Z_q ^1×n中随机选取向量r₂′，在误差分布χ^m+1选取一个m+1维列向量f₂，对每一个j∈[N]，计算b_j ^(i)′＝BitDecomp^-1(Blind(w₂,p_j′))，b_j ^(i)′是一个m+1维列向量，其中p_j′是向量Powerof2(r₂′)第j个分量，让每个列向量b₁ ^(i)′，b₂ ^(i)′，…，b_N ^(i)′转置变成行向量，组成矩阵B^(i)′。设x_2i＝Flatten((0₁,…,0_i-1,μ₂,0_i+1,…,0_N)+BitDecomp((0,r₂′·A+f₂)))，0_i表示向量第i个位置分量的值为0；

c)让x₂₁，…，x_2N作为行向量组成矩阵X₂；

d)令U′＝(y₂₁,…,y_2l,X₂,B^(l+1)′,…,B^(N)′)，输出U′；

算法MS_GPV.DeriveMask(pp,U′,w₁)：

A)将输入的U′拆分成(y₂₁,…,y_2l,X₂,B^(l+1)′,…,B^(N)′)，计算H(w₁)；

B)对每一个l<i≤N：令y_2i＝Flatten(BitDecomp(H(w₁))·B⁽ⁱ⁾′)，让每个y₂₁，…，y_2N作为行向量组成矩阵Y₂；

C)输出矩阵对(Y₂,X₂)；

S4.2：按照上面思路，计算C的密文得到ψ_C，然后计算ψ_B0b＝ψ_C·ck_A→B(ψ_B0b就只是个符号，用其代表上面式子的计算结果而已)。

S5中，解密密文分下面两种情况：

1)当密文为数据拥有者的数据密文，不是转换密文时，设密文ψ是标签w下消息的密文，则利用私钥sk_w进行解密，即计算ψ·Powerof2^T(sk_w)＝μ·Powerof2^T(sk_w)+E_N·sk_w，设v＝(v₁,…,v_N)＝Powerof2(sk_w)，v是一个N维行向量；数据拥有者用密文ψ的第i行作矩阵的行计算x_i:＝<ψ_i,v>＝μ·v_i+<e_1i,sk_w>；如果v_i＝2ⁱ∈(q/4,q/2]且|<e_1i,sk_w>|<q/8，则解密出消息μ＝■x_i/v_i■；

2)当密文为转换密文时，且密文是在标签w1，…,w_k下密文上进行运算C后得到的转换密文，则利用用户的私钥进行解密，即计算e_A是解密后小误差向量的和；设/>用户用密文ψ的第i行作矩阵的行计算/>如果g_i＝2ⁱ∈(q/4,q/2]且|<ψ_Ai,e>+(e_A)_i|<q/8，则解密出消息/>其中ψ_Ai，(e_A)_i分别表示矩阵ψ_A和e_A的第i行的行向量。

本实施例提供了一种基于代理重加密的云计算外包和数据动态分享系统，其采用上述的基于代理重加密的云计算外包和数据动态分享方法。

系统包括数据拥有者终端，数据代理终端和数据请求者终端，其中，云代理服务器属于数据代理终端，用户属于数据请求者终端。本实施例引入全同态加密技术，数据拥有者终端对数据基于格进行全同态加密，上传至云代理服务器终端，然后引入代理重加密技术，云代理服务器对密文进行转换，使得数据拥有者能解密的密文转换成数据请求者终端用户的密文。本实施例能够抵抗云计算环境下的量子攻击，提供了云计算环境下计算外包服务，解决了云计算环境下数据文件的动态分享问题。

以上示意性的对本发明及其实施方式进行了描述，该描述没有限制性，附图中所示的也只是本发明的实施方式之一，实际的结构并不局限于此。所以，如果本领域的普通技术人员受其启示，在不脱离本发明创造宗旨的情况下，不经创造性的设计出与该技术方案相似的结构方式及实施例，均应属于本发明的保护范围。

Claims (8)

1.基于代理重加密的云计算外包和数据动态分享方法，其特征在于：包括以下步骤：

S1：密钥生成中心产生数据拥有者和用户的公私钥对，数据拥有者的数据文件经过多身份的基于身份的全同态加密，并将密文上传到云代理服务器；

S2：用户发送共享数据请求给数据拥有者，数据拥有者审核同意后，利用公私钥对产生一个转换密钥发送给云代理服务器，同时返回同意应答给用户；

S3：用户收到同意应答后，将所要外包计算的函数发送给云代理服务器；

S4：云代理服务器收到函数后对密文进行函数计算，然后利用转换密钥对函数的计算结果进行重加密，并将其返回给用户；

S5：用户收到重加密的密文后，使用自己的私钥解密获得相应函数在数据拥有者数据文件上的计算结果。

2.根据权利要求1所述的基于代理重加密的云计算外包和数据动态分享方法，其特征在于：S1中，公私钥对的生成方法具体包括以下步骤：

S1.1：生成公开参数；

设参数q＝q(λ,L)，n＝n(λ,L)，χ＝χ(λ,L)，m＝m(λ,L)＝O(n·log q)，其中λ为安全参数，L为全同态运算中乘法的深度，O表示同阶无穷小，即O(n·log q)表示算法的复杂度为线性对数时间，χ＝χ(λ,L)是针对已知攻击实现至少2λ安全性的LWE的误差分布，设置N＝(m+1)·l，即l设置为对数q下取整后加1，N等于m加1后乘以l所得的结果；设公开参数为pp＝(n,q,χ,m,H)，其中H是哈希函数，将{0,1}^*映射到向量空间/>其中{0,1}^*表示任意长度的0和1字符串；

S1.2：密钥生成中心产生数据拥有者和用户的公私钥对；

利用算法TrapGen(q,n,m)分别产生矩阵对(A^n×m,T_A ^n×m)和(B^n×m,T_B ^n×m)，其中TrapGen(q,n,m)算法表示输入素数q≥2，正整数n和m≥6nlog q，输出矩阵A^n×m和以A做成的垂直向量空间的短基T_A ^n×m；数据拥有者的公钥为pk_A＝A，私钥为sk_A＝T_A，用户的公钥为pk_B＝B，私钥为T_B。

3.根据权利要求2所述的基于代理重加密的云计算外包和数据动态分享方法，其特征在于：S1中，数据拥有者对分类为w，消息为μ∈{0,1}按照下面步骤计算密文：

a、首先计算z_w ^n×1＝H(w)，z_w ^n×1表示z_w是一个n×1阶的矩阵，即一个n维行向量；设置A_w＝(z_w|A)^n×(m+1)，A_w是一个n×(m+1)阶矩阵；

b、随机选取r^1×n←Z_q ^1×n，r表示从空间Z_q ^1×n中随机选取的n维列向量，在m+1维误差分布χ^m+1中随机选取m+1维小误差行向量e₁ ^(m+1)×1←χ^m+1，然后计算ct_w＝r·A_w+e₁ ^T和CT_w＝R_N·A_w+E_N∈Z_q ^N×(m+1)，其中，T为矩阵的转置，R_N＝(r1^T,…,r_N ^T)，E_N＝(e₁₁,…,e_1N)^T，r_i ^1×n∈Z_q ^1×n是从空间Z_q ^1×n中随机选取的n维列向量，e_1i ^(m+1)×1←χ^m+1是从m+1维误差分布中随机选取的m+1维行向量，i∈[N]；

c、数据拥有者进一步计算密文ψ＝Flatten(μ·I_N+BitDecomp(CT_w))，ψ是一个N×N维矩阵，其中I_N表示N×N维单位矩阵，BitDecomp(a)表示将一个任意k维列向量a∈Z_q ^1×k转换成一个k·l维列向量(a_1,0,…,a_1,l-1,a_2,0,…,a_2,l-1,…,a_k,0,…,a_k,l-1)，其中a_i,j是向量a第i个分量转换成二进制后第j个比特位的值；BitDecomp^-1(·)是BitDecomp(·)的逆运算，将一个k·l维向量转换成一个k维向量，其中运算Flatten(·)＝BitDecomp(BitDecomp^-1(·))。

4.根据权利要求3所述的基于代理重加密的云计算外包和数据动态分享方法，其特征在于：S2中，转换密钥的产生方法具体包括以下步骤：

S2.1：用户向数据拥有者发送分享数据请求，征得数据拥有者同意后，用户随机选取一个k·N×N维矩阵X∈Z_q ^k·N×N，k是一个任意的正整数，在误差分布χ^k·N随机选取一个k·N维误差向量e，即e^k·N×1←χ^k·N，然后用户设置sk_B′＝(1,-t_B)^T，其中t_B←SampleD(B,T_B,0,σ)，σ是一个参数，满足 是矩阵T_B的Gram-Schmidt正交化，/>是/>的Gram-Schmidt范数，ω(·)是非渐进紧下确界，/>表示其阶高于/>SampleD(·)是一种抽样算法，输入一个n×m维矩阵B，m×m维短基T_B，一个n维分量都为0的行向量，和一个参数/>输出一个m维行向量；，t_B是一个m维行向量，sk_B′是一个m+1维列向量，最后将(X,-X·Powerof2^T(sk_B′)+e)发送给数据拥有者，其中Powerof2(b)表示将任意一个k维列向量b＝(b₁,…,b_k)^T∈Z_q ^1×k转换成一个k·l维列向量(b₁,2b₁,…,2^{l- 1}b₁,…,b_k,2b_k,…,2^l-1b_k)，/>

S2.2：对每个分类标签w_i，i∈[k]，数据拥有者计算H(w_i)，令i∈[k]，利用自己的公私钥对(A,T_A)和抽样算法SampleD抽样一个m+1维的行向量/>即设/>i∈[k]，最后计算转换密钥/>

5.根据权利要求4所述的基于代理重加密的云计算外包和数据动态分享方法，其特征在于：S3中，函数为电路函数C。

6.根据权利要求5所述的基于代理重加密的云计算外包和数据动态分享方法，其特征在于：S4中，具体包括以下步骤：

S4.1：对布尔电路，只需要计算与非门NAND操作；如果密文ψ₁，ψ₂是属于同一标签w下消息μ₁，μ₂的密文，则NAND(ψ₁,ψ₂)＝Flatten(I_N-ψ₁ψ₂)；如果密文ψ₁，ψ₂分别是标签w1和w₂中消息μ₁，μ₂的密文，则NAND(ψ₁,ψ₂)＝Flatten(I_N-ψ₁′ψ₂′))，其中ψ₁′、ψ₂′分别是ψ1，ψ₂扩展矩阵，即其中矩阵对(X1,Y1)通过下面算法产生，MS_GPV.GenUnivMask(pp,w₁,μ₁)→U，MS_GPV.DeriveMask(pp,U,w₂)→(X1,Y1)；(X2,Y2)通过下面算法产生，MS_GPV.GenUnivMask(pp,w₂,μ₂)→U′，MS_GPV.DeriveMask(pp,U′,w₁)→(Y2,X2)，具体算法如下：

算法MS_GPV.GenUnivMask(pp,w₁,μ₁)：

1)对每一个i∈[l]：设x_1i为算法Blind(w₁,μ₁·2^i-1)的输出结果，Blind(w₁,μ₁·2^i-1)表示输入一个标签w₁和一个值μ₁·2^i-1，输出一个向量Flatten(c₁+μ₁·2^i-1,c₂,…,c_m+1)，其中r表示从空间Z_q ^1×n中随机选取的n维列向量，/>在m+1维误差分布χ^m+1中随机选取m+1维小误差行向量e₁ ^(m+1)×1←χ^m+1；同时设y_1i是N维0列向量；

2)对每一个l<i≤N：在空间Z_q ^1×n中随机选取向量r₁′，在误差分布χ^m+1选取一个m+1维列向量f₁，对每一个j∈[N]，计算b_j ⁽ⁱ⁾＝BitDecomp^-1(Blind(w₁,p_j))，b_j ⁽ⁱ⁾是一个m+1维列向量，其中p_j是向量Powerof2(r₁′)第j个分量，让每个列向量b₁ ⁽ⁱ⁾，b₂ ⁽ⁱ⁾，…，b_N ⁽ⁱ⁾转置变成行向量，组成矩阵B⁽ⁱ⁾；设y_1i＝Flatten((0₁,…,0_i-1,μ₁,0_i+1,…,0_N)+BitDecomp((0,r₁′·A+f₁)))，0_i表示向量第i个位置分量的值为0；

3)让y₁₁，…，y_1N作为行向量组成矩阵Y₁；

4)令U＝(x₁₁,…,x_1l,Y₁,B^(l+1),…,B^(N))，输出U；

算法MS_GPV.DeriveMask(pp,U,w₂)：

(1)将输入的U拆分成(x₁₁,…,x_1l,Y₁,B^(l+1),…,B^(N))，计算H(w₂)；

(2)对每一个l<i≤N：令x_1i＝Flatten(BitDecomp(H(w₂))·B⁽ⁱ⁾)，让每个x₁₁，…，x_1N作为行向量组成矩阵X₁；

(3)输出矩阵对(X₁,Y₁)；

算法MS_GPV.GenUnivMask(pp,w₂,μ₂)：

a)对每一个i∈[l]：设y_2i为算法Blind(w₂,μ₂·2^i-1)的输出结果，Blind(w₁,μ₁·2^i-1)表示输入一个标签w₂和一个值μ₂·2^i-1，输出一个向量Flatten(c₁′+μ₂·2^i-1,c₂′,…,c_m+1′)，其中r′表示从空间Z_q ^1×n中随机选取的n维列向量，/>在m+1维误差分布χ^m+1中随机选取m+1维小误差行向量e₂，即e₂ ^(m+1)×1←χ^m+1；同时设x_2i是N维0列向量；

b)对每一个l<i≤N：在空间Z_q ^1×n中随机选取向量r₂′，在误差分布χ^m+1选取一个m+1维列向量f₂，对每一个j∈[N]，计算b_j ^(i)′＝BitDecomp^-1(Blind(w₂,p_j′))，b_j ^(i)′是一个m+1维列向量，其中p_j′是向量Powerof2(r₂′)第j个分量，让每个列向量b₁ ^(i)′，b₂ ^(i)′，…，b_N ^(i)′转置变成行向量，组成矩阵B^(i)′；设x_2i＝Flatten((0₁,…,0_i-1,μ₂,0_i+1,…,0_N)+BitDecomp((0,r₂′·A+f₂)))，0_i表示向量第i个位置分量的值为0；

c)让x₂₁，…，x_2N作为行向量组成矩阵X₂；

d)令U′＝(y₂₁,…,y_2l,X₂,B^(l+1)′,…,B^(N)′)，输出U′；

算法MS_GPV.DeriveMask(pp,U′,w₁)：

A)将输入的U′拆分成(y₂₁,…,y_2l,X₂,B^(l+1)′,…,B^(N)′)，计算H(w₁)；

B)对每一个l<i≤N：令y_2i＝Flatten(BitDecomp(H(w₁))·B⁽ⁱ⁾′)，让每个y₂₁，…，

y_2N作为行向量组成矩阵Y₂；

C)输出矩阵对(Y₂,X₂)；

S4.2：按照上面思路，计算C的密文得到ψ_C，然后计算结果ψ_B0b＝ψ_C·ck_A→B。

7.根据权利要求6所述的基于代理重加密的云计算外包和数据动态分享方法，其特征在于：S5中，解密密文分下面两种情况：

1)当密文为数据拥有者的数据密文，不是转换密文时，设密文ψ是标签w下消息的密文，则利用私钥sk_w进行解密，即计算ψ·Powerof2^T(sk_w)＝μ·Powerof2^T(sk_w)+E_N·sk_w，设v＝(v₁,…,v_N)＝Powerof2(sk_w)，v是一个N维行向量；数据拥有者用密文ψ的第i行作矩阵的行计算x_i:＝<ψ_i,v>＝μ·v_i+<e_1i,sk_w>；如果v_i＝2ⁱ∈(q/4,q/2]且|<e_1i,sk_w>|<q/8，则解密出消息

2)当密文为转换密文时，且密文是在标签w1，…,w_k下密文上进行运算C后得到的转换密文，则利用用户的私钥进行解密，即计算e_A是解密后小误差向量的和；设/>用户用密文ψ的第i行作矩阵的行计算x_i:＝<ψ_i,/>如果g_i＝2ⁱ∈(q/4,q/2]且|<ψ_Ai,e>+(e_A)_i|<q/8，则解密出消息/>其中ψ_Ai，(e_A)_i分别表示矩阵ψ_A和e_A的第i行的行向量。

8.基于代理重加密的云计算外包和数据动态分享系统，其特征在于：其采用如权利要求1-7中任一所述的基于代理重加密的云计算外包和数据动态分享方法。