环lwe上ntru型的全同态加密方法

文档序号:8002987阅读:1446来源:国知局
环lwe上ntru型的全同态加密方法
【专利摘要】本发明公开了一种环LWE上NTRU型的全同态加密方法,经过定义参数;进行一个部分同态的加密过程;进行无需启动的全同态加密过程等步骤。通过密钥交换和模交换技术,在加密过程中运用加法加密和乘法加密,输出密文的噪音小于输入密文的噪音,起到了更新密文的作用,但其实现的效率要由于启动的过程,从而实现了无需启动的全同态加密方法,加密效率高,获得的密文也较短。
【专利说明】环LWE上NTRU型的全同态加密方法
【技术领域】
[0001]本发明涉及加密方法领域,具体地讲是一种环LWE上NTRU型的全同态加密方法。【背景技术】
[0002]全同态加密能够在不知道密钥的情况下,对密文进行任意函数的计算,这一特殊性质使得全同态加密有广泛的应用需求,例如;云计算安全、数据库密文搜索、安全多方计算、密文数据可编程系统等等。在云计算环境下应用全同态加密,用户可以将加密后的数据外包给云端,然后云端可以根据用户的请求(例如查询、统计等),做相应的计算(是对密文进行的,一般形式的加密是不能对密文进行计算的,只有全同态加密才可以),再将结果返回给用户,用户解密后就可以得到想要的结果。用户因为自己的数据被加密而没有暴露给云端,其数据隐私安全性得到了保障,云端因为无需解密就可以对密文做任意运算处理,从而实现了云计算的安全。全同态加密研究受到学术界和工业界的极大关注,具有重要的科学意义与应用价值。
[0003]全同态加密早在1978年就由Rivest, Adleman和Dertouzos提出,之后就成为密码学界的一个开放难题,被誉为密码学界的“圣杯”。随后相继产生过许多同态加密方案,这些方案要么是满足加法同态,要么是满足乘法同态,还有一些能够同时满足有限次加法与乘法的同态方案,但是没有一个是全同态的(全同态的“全”指的是能够对任意函数进行计算)。直到2009年Gentry突破性的构造出第一个全同态加密方案。Gentry是在电路计算模型下,基于理想格构造全同态加密方案的。尽管全同态加密方案实现了,但是Gentry的方案有两个缺陷:第一是效率差(渐进复杂度约为δλ 6),其中λ是安全参数);第二是构造方案的过程中所依赖的两个假设(循环安全问题和稀疏子集和问题)没有被人们深入的研究过。所以Gentry的方案就像是一块带有瑕疵的白玉,尽管具有突破性的意义,但也存在一些问题。
[0004]Gentry的构造方法分为三步:第一步,构造一个Somewhat同态加密方案,即只能执行有限次乘法与加法计算;第二步,压缩解密电路,即简化解密电路,使得解密电路的深度小于Somewhat同态方案所能执行的电路深度;第三步,启动方案,即每次密文计算后,对密文同态执行解密电路,似的所得密文的噪音始终保持在一个固定的大小上,相当于降噪。
[0005]第一代全同态加密方案遵循Gentry最初的构造方法。第二代全同态加密方案基于LWE问题或RLWE问题,构造形式更加简单。尤其是在BGV方案中,引入了一个有效的噪音管理技术:模交换技术,使得无需启动就能够约减密文的噪音。其原理是每次密文乘积后,对密文向量乘以一个比例因子进行缩小。使用模交换技术可以获得指数级乘法层数的噪音的提高,与密钥交换技术结合,可以获得无需启动的层次型全同态加密方案。
[0006]NTRU加密方案是最早的加密方案之一,而且以高效著称,因此构造NTRU上的全同态加密方案非常有意义,现有技术没有基于NTRU上的全同态加密方案。基于以上对于全同态加密方法的分析,现有技术的全同态加密方法也还存在加密效率差,密文太长的缺陷。
【发明内容】

[0007]本发明要解决的技术问题是,提供一种加密效率高、密文较短的环LWE上NTRU型的全同态加密方法。
[0008]本发明的技术解决方案是,提供以下步骤的环LWE上NTRU型的全同态加密方法,包括以下步骤:
[0009]一、定义参数:[0026](四)解密;假设密文c是在第j层电路,对应的密钥&对私钥sk进行解密得到明文m,
[0027](五)加法过程:假设Cl、C2的解密密钥是fj;即在同一层电路,若不在同一层电路可以进行密钥交换;令Q 一 Q + 七,C3的密钥是&,将C3的密钥设为即f'」再通过约减密文噪音的方法,得出新的密文C4 ;
[0028](六)乘法过程:假设Cl、C2的解密密钥是fj;即在同一层电路,若不在同一层电路可以进行密钥交换;令O— Q 3的密钥是//=/,再通过约减密文噪音的方法,得出新的密文C4。
[0029]采用本发明的方法,与现有技术相比,本发明具有以下优点:本发明通过密钥交换和模交换技术,在加密过程中运用加法加密和乘法加密,输出密文的噪音小于输入密文的噪音,起到了更新密文的作用,但其实现的效率要由于启动的过程,从而实现了无需启动的全同态加密方法,加密效率高,获得的密文也较短。
[0030]作为改进,所述的约减密文噪音的方法包含两步:第一步是密钥交换,将密文转换成下一层电路的密文,密钥由f转变成&+1,C1对应的密钥是&+1,对应的模是qp第二步进行模交换,约减密文的噪音,C2对应的密钥是4+1,对应的模是;fJ+1取值较小,选取自高斯分布X,从而保证了模交换的有效性。
[0031]作为改进,所述的密钥交换包含两个过程:第一个过程是输入两个密钥和模,输出辅助信息以保证交换;第二个过程是输入辅助信息和初始密文,输出一个新密文,初始密文和新密文是对同一明文的加密。
【具体实施方式】
[0032]下面就具体实施例对本发明作进一步说明。
[0033]本发明的环LWE上NTRU型的全同态加密方法,包括以下步骤:
[0034]一、定义参数:
[0035]对于整数q,定义4 = (-q/2,q/2] η 2,加密是在fl = ?[χ]/φ(χ)β? Rq = R/qR 上进行的,其中Φ(χ) = X η+1是分圆多项式,η是2的幂次方,q是素数且qe 2;
[0036]若多项式f e R且满足I I f I I A B,则称f是B边界的;
[0037]{ xn} (n e N)是一个R上的分布集合,若对于任意f 一 Xn都有I |f| I ?≤B,则称{ X n}是B边界分布,即一个R上的B边界分布输出一个B边界多项式;
[0038]高斯分WDzv具有以下性质:对于沒e M,任意实数r > W(Vf1-1),有:
;环尺=上元素的乘积有如下性质: IIsiIIitIi, ||s.t (mod φ(χ))||00 < η * Moa.HtHco; χ 是 R
上的B边界分布,且S1,…Sk— X,则有ΣΙ Si是I^1Bk边界的;
[0040]二、进行一个部分同态的加密过程;
[0041](一 )参数建立:选择μ位模q,以及η = ( λ,μ )和高斯分布X = χ ( λ,μ ),使得这些参数能够保障在环LWE上获得2λ安全;令只=Z[x]/(xre + 1),参数params = (q,η, χ );
[0042]( 二 )密钥的生成:选取f ’ 一 χ,计算f — 2f ’ +1使得f = I (mod2);若f?在Rq中是不可逆的,则重新选取f’,设置私钥sk = f e R ;
[0043](三)公钥的生成:选取g— X,设置公钥pk = h = 2grJ e Rq ;
[0044](四)加密:选取s,e— χ,输出密文c — hs+2e+m e Rq,即使公钥加一位信息m得到密文c ;
[0045](五)解密:计算μ — fc e Rq ;输出 m — μ mod2 ;
[0046]由于 fc = fhs+2fe+fm = 2gs+2fe+fm,若 I |fc| | ?< q/2,则 μ = fc, μ (mod2)=fm(mod2) = m,所以只要满足I |fc| | ?< q/2,则上述步骤正确;
[0047]三、进行无需启动的全同态加密过程;
[0048](一)参数建立:L是电路的层数,令 μ = μ ( λ , L) = Θ (log λ +1gL),对j = 0,…,L,获得递减的模序列%,…,%,每一层使用相同的高斯分布χ和环R = Z[x]/(xn + I),参数 params」={q」,入,x,n} (j = O,…,L);
[0049](二)密钥公钥的生成:以步骤二的第二步的方法生成密钥fj;以步骤二的第三步的方法生成公钥比Λ--卜乃2 e 士/,对//和fj+1进行密钥交换,令密钥sk包括公钥Pk包含hj和,其中j = 0,...,L,当j = L时没有ζ,电路每一层有相应的公钥与私钥三元组(%,fp’
[0050](三)加密:对公钥pk加一位信息m进行加密;
[0051](四)解密;假设密文c是在第j层电路,对应的密钥f」,对私钥sk进行解密得到明文m,
[0052](五)加法过程:假设C1、C2的解密密钥是f」,即在同一层电路,若不在同一层电路可以进行密钥交换 '奶一 q + Q e Rqj} C3的密钥是fj,将C3的密钥设为j2即f,再通过约减密文噪音的方法,得出新的密文C4 ;
[0053](六)乘法过程:假设Cl、C2的解密密钥是fj;即在同一层电路,若不在同一层电路可以进行密钥交换;令.C1 3的密钥是//=石2,再通过约减密文噪音的方法,得出新的密文C4。
[0054]所述的约减密文噪音的方法包含两步:第一步是密钥交换,将密文转换成下一层电路的密文,密钥由转变成Gpf1对应的密钥是4+1,对应的模是qp第二步进行模交换,约减密文的噪音,f2对应的密钥是4+1,对应的模是;fJ+1取值较小,选取自高斯分布X,从而保证了模交换的有效性。
[0055]所述的密钥交换包含两个过程:第一个过程是输入两个密钥和模,输出辅助信息以保证交换;第二个过程是输入辅助信息和初始密文,输出一个新密文,初始密文和新密文是对同一明文的加密。
[0056]以上仅就本发明较佳的实施例作了说明,但不能理解为是对权利要求的限制。本发明不仅局限于以上实施例,其具体结构允许有变化。总之,凡在本发明独立权利要求的保护范围内所作的各种变化均在本发明的保护范围内。
【权利要求】
1.一种环LWE上NTRU型的全同态加密方法,其特征在于:包括以下步骤: 一、定义参数: 对于整数q,定义
2.根据权利要求1所述的环LWE上NTRU型的全同态加密方法,其特征在于:所述的约减密文噪音的方法包含两步:第一步是密钥交换,将密文转换成下一层电路的密文,密钥由 转变成4+1,C1对应的密钥是4+1,对应的模是qp第二步进行模交换,约减密文的噪音,C2对应的密钥是4+1,对应的模是qj+1 ;fJ+1取值较小,选取自高斯分布X。
3.根据权利要求2所述的环LWE上NTRU型的全同态加密方法,其特征在于:所述的密钥交换包含两个过程:第一个过程是输入两个密钥和模,输出辅助信息以保证交换;第二个过程是输入辅助信息和初始密文,输出一个新密文,初始密文和新密文是对同一明文的加密。
【文档编号】H04L9/32GK103475472SQ201310322018
【公开日】2013年12月25日 申请日期:2013年7月22日 优先权日:2013年7月22日
【发明者】陈智罡, 潘铁军, 奚李峰, 金冉, 宋新霞 申请人:浙江万里学院
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1