環(huán)lwe上ntru型的全同態(tài)加密方法
【專利摘要】本發(fā)明公開了一種環(huán)LWE上NTRU型的全同態(tài)加密方法，經(jīng)過定義參數(shù)；進(jìn)行一個部分同態(tài)的加密過程；進(jìn)行無需啟動的全同態(tài)加密過程等步驟。通過密鑰交換和模交換技術(shù)，在加密過程中運(yùn)用加法加密和乘法加密，輸出密文的噪音小于輸入密文的噪音，起到了更新密文的作用，但其實(shí)現(xiàn)的效率要由于啟動的過程，從而實(shí)現(xiàn)了無需啟動的全同態(tài)加密方法，加密效率高，獲得的密文也較短。
【專利說明】環(huán)LWE上NTRU型的全同態(tài)加密方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及加密方法領(lǐng)域，具體地講是一種環(huán)LWE上NTRU型的全同態(tài)加密方法?！颈尘凹夹g(shù)】
[0002]全同態(tài)加密能夠在不知道密鑰的情況下，對密文進(jìn)行任意函數(shù)的計(jì)算，這一特殊性質(zhì)使得全同態(tài)加密有廣泛的應(yīng)用需求，例如；云計(jì)算安全、數(shù)據(jù)庫密文搜索、安全多方計(jì)算、密文數(shù)據(jù)可編程系統(tǒng)等等。在云計(jì)算環(huán)境下應(yīng)用全同態(tài)加密，用戶可以將加密后的數(shù)據(jù)外包給云端，然后云端可以根據(jù)用戶的請求(例如查詢、統(tǒng)計(jì)等)，做相應(yīng)的計(jì)算(是對密文進(jìn)行的，一般形式的加密是不能對密文進(jìn)行計(jì)算的，只有全同態(tài)加密才可以)，再將結(jié)果返回給用戶，用戶解密后就可以得到想要的結(jié)果。用戶因?yàn)樽约旱臄?shù)據(jù)被加密而沒有暴露給云端，其數(shù)據(jù)隱私安全性得到了保障，云端因?yàn)闊o需解密就可以對密文做任意運(yùn)算處理，從而實(shí)現(xiàn)了云計(jì)算的安全。全同態(tài)加密研究受到學(xué)術(shù)界和工業(yè)界的極大關(guān)注，具有重要的科學(xué)意義與應(yīng)用價(jià)值。
[0003]全同態(tài)加密早在1978年就由Rivest, Adleman和Dertouzos提出，之后就成為密碼學(xué)界的一個開放難題，被譽(yù)為密碼學(xué)界的“圣杯”。隨后相繼產(chǎn)生過許多同態(tài)加密方案，這些方案要么是滿足加法同態(tài)，要么是滿足乘法同態(tài)，還有一些能夠同時(shí)滿足有限次加法與乘法的同態(tài)方案，但是沒有一個是全同態(tài)的(全同態(tài)的“全”指的是能夠?qū)θ我夂瘮?shù)進(jìn)行計(jì)算)。直到2009年Gentry突破性的構(gòu)造出第一個全同態(tài)加密方案。Gentry是在電路計(jì)算模型下，基于理想格構(gòu)造全同態(tài)加密方案的。盡管全同態(tài)加密方案實(shí)現(xiàn)了，但是Gentry的方案有兩個缺陷:第一是效率差(漸進(jìn)復(fù)雜度約為δλ 6)，其中λ是安全參數(shù))；第二是構(gòu)造方案的過程中所依賴的兩個假設(shè)(循環(huán)安全問題和稀疏子集和問題)沒有被人們深入的研究過。所以Gentry的方案就像是一塊帶有瑕疵的白玉，盡管具有突破性的意義，但也存在一些問題。
[0004]Gentry的構(gòu)造方法分為三步:第一步,構(gòu)造一個Somewhat同態(tài)加密方案，即只能執(zhí)行有限次乘法與加法計(jì)算；第二步，壓縮解密電路，即簡化解密電路，使得解密電路的深度小于Somewhat同態(tài)方案所能執(zhí)行的電路深度；第三步，啟動方案，即每次密文計(jì)算后，對密文同態(tài)執(zhí)行解密電路，似的所得密文的噪音始終保持在一個固定的大小上，相當(dāng)于降噪。
[0005]第一代全同態(tài)加密方案遵循Gentry最初的構(gòu)造方法。第二代全同態(tài)加密方案基于LWE問題或RLWE問題，構(gòu)造形式更加簡單。尤其是在BGV方案中，引入了一個有效的噪音管理技術(shù):模交換技術(shù)，使得無需啟動就能夠約減密文的噪音。其原理是每次密文乘積后，對密文向量乘以一個比例因子進(jìn)行縮小。使用模交換技術(shù)可以獲得指數(shù)級乘法層數(shù)的噪音的提高，與密鑰交換技術(shù)結(jié)合，可以獲得無需啟動的層次型全同態(tài)加密方案。
[0006]NTRU加密方案是最早的加密方案之一，而且以高效著稱，因此構(gòu)造NTRU上的全同態(tài)加密方案非常有意義，現(xiàn)有技術(shù)沒有基于NTRU上的全同態(tài)加密方案?；谝陨蠈τ谌瑧B(tài)加密方法的分析，現(xiàn)有技術(shù)的全同態(tài)加密方法也還存在加密效率差，密文太長的缺陷。
【發(fā)明內(nèi)容】

[0007]本發(fā)明要解決的技術(shù)問題是，提供一種加密效率高、密文較短的環(huán)LWE上NTRU型的全同態(tài)加密方法。
[0008]本發(fā)明的技術(shù)解決方案是，提供以下步驟的環(huán)LWE上NTRU型的全同態(tài)加密方法，包括以下步驟:
[0009]一、定義參數(shù):[0026](四)解密；假設(shè)密文c是在第j層電路，對應(yīng)的密鑰&對私鑰sk進(jìn)行解密得到明文m，
[0027](五)加法過程:假設(shè)Cl、C2的解密密鑰是fj;即在同一層電路，若不在同一層電路可以進(jìn)行密鑰交換；令Q 一 Q + 七，C3的密鑰是&，將C3的密鑰設(shè)為即f'」再通過約減密文噪音的方法，得出新的密文C4 ；
[0028](六)乘法過程:假設(shè)Cl、C2的解密密鑰是fj;即在同一層電路，若不在同一層電路可以進(jìn)行密鑰交換；令O— Q 3的密鑰是//=/，再通過約減密文噪音的方法，得出新的密文C4。
[0029]采用本發(fā)明的方法，與現(xiàn)有技術(shù)相比，本發(fā)明具有以下優(yōu)點(diǎn):本發(fā)明通過密鑰交換和模交換技術(shù)，在加密過程中運(yùn)用加法加密和乘法加密，輸出密文的噪音小于輸入密文的噪音，起到了更新密文的作用，但其實(shí)現(xiàn)的效率要由于啟動的過程，從而實(shí)現(xiàn)了無需啟動的全同態(tài)加密方法，加密效率高，獲得的密文也較短。
[0030]作為改進(jìn),所述的約減密文噪音的方法包含兩步:第一步是密鑰交換，將密文轉(zhuǎn)換成下一層電路的密文，密鑰由f轉(zhuǎn)變成&+1，C1對應(yīng)的密鑰是&+1，對應(yīng)的模是qp第二步進(jìn)行模交換，約減密文的噪音，C2對應(yīng)的密鑰是4+1，對應(yīng)的模是;fJ+1取值較小，選取自高斯分布X，從而保證了模交換的有效性。
[0031]作為改進(jìn)，所述的密鑰交換包含兩個過程:第一個過程是輸入兩個密鑰和模，輸出輔助信息以保證交換；第二個過程是輸入輔助信息和初始密文，輸出一個新密文，初始密文和新密文是對同一明文的加密。
【具體實(shí)施方式】
[0032]下面就具體實(shí)施例對本發(fā)明作進(jìn)一步說明。
[0033]本發(fā)明的環(huán)LWE上NTRU型的全同態(tài)加密方法，包括以下步驟:
[0034]一、定義參數(shù):
[0035]對于整數(shù)q，定義4 = (-q/2,q/2] η 2，加密是在fl = ?[χ]/φ(χ)β? Rq = R/qR 上進(jìn)行的，其中Φ(χ) = X η+1是分圓多項(xiàng)式，η是2的冪次方，q是素?cái)?shù)且qe 2;
[0036]若多項(xiàng)式f e R且滿足I I f I I A B,則稱f是B邊界的；
[0037]{ xn} (n e N)是一個R上的分布集合，若對于任意f 一 Xn都有I |f| I ?≤B，則稱{ X n}是B邊界分布，即一個R上的B邊界分布輸出一個B邊界多項(xiàng)式；
[0038]高斯分WDzv具有以下性質(zhì):對于沒e M，任意實(shí)數(shù)r > W(Vf1-1),有:
;環(huán)尺=上元素的乘積有如下性質(zhì): IIsiIIitIi, ||s.t (mod φ(χ))||00 < η * Moa.HtHco; χ 是 R
上的B邊界分布，且S1,…Sk— X，則有ΣΙ Si是I^1Bk邊界的；
[0040]二、進(jìn)行一個部分同態(tài)的加密過程；
[0041](一 )參數(shù)建立:選擇μ位模q,以及η = ( λ，μ )和高斯分布X = χ ( λ，μ )，使得這些參數(shù)能夠保障在環(huán)LWE上獲得2λ安全；令只=Z[x]/(xre + 1)，參數(shù)params = (q,η, χ )；
[0042]( 二 )密鑰的生成:選取f ’ 一 χ，計(jì)算f — 2f ’ +1使得f = I (mod2);若f?在Rq中是不可逆的，則重新選取f’，設(shè)置私鑰sk = f e R ;
[0043](三)公鑰的生成:選取g— X，設(shè)置公鑰pk = h = 2grJ e Rq ；
[0044](四)加密:選取s，e— χ，輸出密文c — hs+2e+m e Rq,即使公鑰加一位信息m得到密文c ；
[0045](五)解密:計(jì)算μ — fc e Rq ;輸出 m — μ mod2 ；
[0046]由于 fc = fhs+2fe+fm = 2gs+2fe+fm,若 I |fc| | ?< q/2,則 μ = fc, μ (mod2)=fm(mod2) = m,所以只要滿足I |fc| | ?< q/2,則上述步驟正確；
[0047]三、進(jìn)行無需啟動的全同態(tài)加密過程；
[0048](一)參數(shù)建立:L是電路的層數(shù)，令 μ = μ ( λ , L) = Θ (log λ +1gL),對j = 0，…，L，獲得遞減的模序列％，…，％，每一層使用相同的高斯分布χ和環(huán)R = Z[x]/(xn + I)，參數(shù) params」={q」，入，x，n} (j = O,…，L)；
[0049](二)密鑰公鑰的生成:以步驟二的第二步的方法生成密鑰fj;以步驟二的第三步的方法生成公鑰比Λ--卜乃2 e 士/，對//和fj+1進(jìn)行密鑰交換，令密鑰sk包括公鑰Pk包含hj和，其中j = 0，...，L，當(dāng)j = L時(shí)沒有ζ，電路每一層有相應(yīng)的公鑰與私鑰三元組(％，fp’
[0050](三)加密:對公鑰pk加一位信息m進(jìn)行加密；
[0051](四)解密；假設(shè)密文c是在第j層電路，對應(yīng)的密鑰f」，對私鑰sk進(jìn)行解密得到明文m，
[0052](五)加法過程:假設(shè)C1、C2的解密密鑰是f」，即在同一層電路，若不在同一層電路可以進(jìn)行密鑰交換 '奶一 q + Q e Rqj} C3的密鑰是fj，將C3的密鑰設(shè)為j2即f，再通過約減密文噪音的方法，得出新的密文C4 ；
[0053](六)乘法過程:假設(shè)Cl、C2的解密密鑰是fj;即在同一層電路，若不在同一層電路可以進(jìn)行密鑰交換；令.C1 3的密鑰是//=石2，再通過約減密文噪音的方法，得出新的密文C4。
[0054]所述的約減密文噪音的方法包含兩步:第一步是密鑰交換，將密文轉(zhuǎn)換成下一層電路的密文，密鑰由轉(zhuǎn)變成Gpf1對應(yīng)的密鑰是4+1，對應(yīng)的模是qp第二步進(jìn)行模交換，約減密文的噪音，f2對應(yīng)的密鑰是4+1，對應(yīng)的模是;fJ+1取值較小，選取自高斯分布X，從而保證了模交換的有效性。
[0055]所述的密鑰交換包含兩個過程:第一個過程是輸入兩個密鑰和模，輸出輔助信息以保證交換；第二個過程是輸入輔助信息和初始密文，輸出一個新密文，初始密文和新密文是對同一明文的加密。
[0056]以上僅就本發(fā)明較佳的實(shí)施例作了說明，但不能理解為是對權(quán)利要求的限制。本發(fā)明不僅局限于以上實(shí)施例，其具體結(jié)構(gòu)允許有變化?？傊?，凡在本發(fā)明獨(dú)立權(quán)利要求的保護(hù)范圍內(nèi)所作的各種變化均在本發(fā)明的保護(hù)范圍內(nèi)。
【權(quán)利要求】
1.一種環(huán)LWE上NTRU型的全同態(tài)加密方法，其特征在于:包括以下步驟: 一、定義參數(shù): 對于整數(shù)q，定義
2.根據(jù)權(quán)利要求1所述的環(huán)LWE上NTRU型的全同態(tài)加密方法，其特征在于:所述的約減密文噪音的方法包含兩步:第一步是密鑰交換，將密文轉(zhuǎn)換成下一層電路的密文，密鑰由 轉(zhuǎn)變成4+1，C1對應(yīng)的密鑰是4+1，對應(yīng)的模是qp第二步進(jìn)行模交換，約減密文的噪音，C2對應(yīng)的密鑰是4+1，對應(yīng)的模是qj+1 ;fJ+1取值較小，選取自高斯分布X。
3.根據(jù)權(quán)利要求2所述的環(huán)LWE上NTRU型的全同態(tài)加密方法，其特征在于:所述的密鑰交換包含兩個過程:第一個過程是輸入兩個密鑰和模，輸出輔助信息以保證交換;第二個過程是輸入輔助信息和初始密文，輸出一個新密文，初始密文和新密文是對同一明文的加密。
【文檔編號】H04L9/32GK103475472SQ201310322018
【公開日】2013年12月25日 申請日期:2013年7月22日 優(yōu)先權(quán)日:2013年7月22日
【發(fā)明者】陳智罡, 潘鐵軍, 奚李峰, 金冉, 宋新霞 申請人:浙江萬里學(xué)院