環lwe上ntru型的全同態加密方法

環lwe上ntru型的全同態加密方法
【專利摘要】本發明公開了一種環LWE上NTRU型的全同態加密方法，經過定義參數；進行一個部分同態的加密過程；進行無需啟動的全同態加密過程等步驟。通過密鑰交換和模交換技術，在加密過程中運用加法加密和乘法加密，輸出密文的噪音小于輸入密文的噪音，起到了更新密文的作用，但其實現的效率要由于啟動的過程，從而實現了無需啟動的全同態加密方法，加密效率高，獲得的密文也較短。
【專利說明】環LWE上NTRU型的全同態加密方法
【技術領域】
[0001]本發明涉及加密方法領域，具體地講是一種環LWE上NTRU型的全同態加密方法。【背景技術】
[0002]全同態加密能夠在不知道密鑰的情況下，對密文進行任意函數的計算，這一特殊性質使得全同態加密有廣泛的應用需求，例如；云計算安全、數據庫密文搜索、安全多方計算、密文數據可編程系統等等。在云計算環境下應用全同態加密，用戶可以將加密后的數據外包給云端，然后云端可以根據用戶的請求(例如查詢、統計等)，做相應的計算(是對密文進行的，一般形式的加密是不能對密文進行計算的，只有全同態加密才可以)，再將結果返回給用戶，用戶解密后就可以得到想要的結果。用戶因為自己的數據被加密而沒有暴露給云端，其數據隱私安全性得到了保障，云端因為無需解密就可以對密文做任意運算處理，從而實現了云計算的安全。全同態加密研究受到學術界和工業界的極大關注，具有重要的科學意義與應用價值。
[0003]全同態加密早在1978年就由Rivest, Adleman和Dertouzos提出，之后就成為密碼學界的一個開放難題，被譽為密碼學界的“圣杯”。隨后相繼產生過許多同態加密方案，這些方案要么是滿足加法同態，要么是滿足乘法同態，還有一些能夠同時滿足有限次加法與乘法的同態方案，但是沒有一個是全同態的(全同態的“全”指的是能夠對任意函數進行計算)。直到2009年Gentry突破性的構造出第一個全同態加密方案。Gentry是在電路計算模型下，基于理想格構造全同態加密方案的。盡管全同態加密方案實現了，但是Gentry的方案有兩個缺陷:第一是效率差(漸進復雜度約為δλ 6)，其中λ是安全參數)；第二是構造方案的過程中所依賴的兩個假設(循環安全問題和稀疏子集和問題)沒有被人們深入的研究過。所以Gentry的方案就像是一塊帶有瑕疵的白玉，盡管具有突破性的意義，但也存在一些問題。
[0004]Gentry的構造方法分為三步:第一步,構造一個Somewhat同態加密方案，即只能執行有限次乘法與加法計算；第二步，壓縮解密電路，即簡化解密電路，使得解密電路的深度小于Somewhat同態方案所能執行的電路深度；第三步，啟動方案，即每次密文計算后，對密文同態執行解密電路，似的所得密文的噪音始終保持在一個固定的大小上，相當于降噪。
[0005]第一代全同態加密方案遵循Gentry最初的構造方法。第二代全同態加密方案基于LWE問題或RLWE問題，構造形式更加簡單。尤其是在BGV方案中，引入了一個有效的噪音管理技術:模交換技術，使得無需啟動就能夠約減密文的噪音。其原理是每次密文乘積后，對密文向量乘以一個比例因子進行縮小。使用模交換技術可以獲得指數級乘法層數的噪音的提高，與密鑰交換技術結合，可以獲得無需啟動的層次型全同態加密方案。
[0006]NTRU加密方案是最早的加密方案之一，而且以高效著稱，因此構造NTRU上的全同態加密方案非常有意義，現有技術沒有基于NTRU上的全同態加密方案。基于以上對于全同態加密方法的分析，現有技術的全同態加密方法也還存在加密效率差，密文太長的缺陷。
【發明內容】

[0007]本發明要解決的技術問題是，提供一種加密效率高、密文較短的環LWE上NTRU型的全同態加密方法。
[0008]本發明的技術解決方案是，提供以下步驟的環LWE上NTRU型的全同態加密方法，包括以下步驟:
[0009]一、定義參數:[0026](四)解密；假設密文c是在第j層電路，對應的密鑰&對私鑰sk進行解密得到明文m，
[0027](五)加法過程:假設Cl、C2的解密密鑰是fj;即在同一層電路，若不在同一層電路可以進行密鑰交換；令Q 一 Q + 七，C3的密鑰是&，將C3的密鑰設為即f'」再通過約減密文噪音的方法，得出新的密文C4 ；
[0028](六)乘法過程:假設Cl、C2的解密密鑰是fj;即在同一層電路，若不在同一層電路可以進行密鑰交換；令O— Q 3的密鑰是//=/，再通過約減密文噪音的方法，得出新的密文C4。
[0029]采用本發明的方法，與現有技術相比，本發明具有以下優點:本發明通過密鑰交換和模交換技術，在加密過程中運用加法加密和乘法加密，輸出密文的噪音小于輸入密文的噪音，起到了更新密文的作用，但其實現的效率要由于啟動的過程，從而實現了無需啟動的全同態加密方法，加密效率高，獲得的密文也較短。
[0030]作為改進,所述的約減密文噪音的方法包含兩步:第一步是密鑰交換，將密文轉換成下一層電路的密文，密鑰由f轉變成&+1，C1對應的密鑰是&+1，對應的模是qp第二步進行模交換，約減密文的噪音，C2對應的密鑰是4+1，對應的模是;fJ+1取值較小，選取自高斯分布X，從而保證了模交換的有效性。
[0031]作為改進，所述的密鑰交換包含兩個過程:第一個過程是輸入兩個密鑰和模，輸出輔助信息以保證交換；第二個過程是輸入輔助信息和初始密文，輸出一個新密文，初始密文和新密文是對同一明文的加密。
【具體實施方式】
[0032]下面就具體實施例對本發明作進一步說明。
[0033]本發明的環LWE上NTRU型的全同態加密方法，包括以下步驟:
[0034]一、定義參數:
[0035]對于整數q，定義4 = (-q/2,q/2] η 2，加密是在fl = ?[χ]/φ(χ)β? Rq = R/qR 上進行的，其中Φ(χ) = X η+1是分圓多項式，η是2的冪次方，q是素數且qe 2;
[0036]若多項式f e R且滿足I I f I I A B,則稱f是B邊界的；
[0037]{ xn} (n e N)是一個R上的分布集合，若對于任意f 一 Xn都有I |f| I ?≤B，則稱{ X n}是B邊界分布，即一個R上的B邊界分布輸出一個B邊界多項式；
[0038]高斯分WDzv具有以下性質:對于沒e M，任意實數r > W(Vf1-1),有:
;環尺=上元素的乘積有如下性質: IIsiIIitIi, ||s.t (mod φ(χ))||00 < η * Moa.HtHco; χ 是 R
上的B邊界分布，且S1,…Sk— X，則有ΣΙ Si是I^1Bk邊界的；
[0040]二、進行一個部分同態的加密過程；
[0041](一 )參數建立:選擇μ位模q,以及η = ( λ，μ )和高斯分布X = χ ( λ，μ )，使得這些參數能夠保障在環LWE上獲得2λ安全；令只=Z[x]/(xre + 1)，參數params = (q,η, χ )；
[0042]( 二 )密鑰的生成:選取f ’ 一 χ，計算f — 2f ’ +1使得f = I (mod2);若f?在Rq中是不可逆的，則重新選取f’，設置私鑰sk = f e R ;
[0043](三)公鑰的生成:選取g— X，設置公鑰pk = h = 2grJ e Rq ；
[0044](四)加密:選取s，e— χ，輸出密文c — hs+2e+m e Rq,即使公鑰加一位信息m得到密文c ；
[0045](五)解密:計算μ — fc e Rq ;輸出 m — μ mod2 ；
[0046]由于 fc = fhs+2fe+fm = 2gs+2fe+fm,若 I |fc| | ?< q/2,則 μ = fc, μ (mod2)=fm(mod2) = m,所以只要滿足I |fc| | ?< q/2,則上述步驟正確；
[0047]三、進行無需啟動的全同態加密過程；
[0048](一)參數建立:L是電路的層數，令 μ = μ ( λ , L) = Θ (log λ +1gL),對j = 0，…，L，獲得遞減的模序列％，…，％，每一層使用相同的高斯分布χ和環R = Z[x]/(xn + I)，參數 params」={q」，入，x，n} (j = O,…，L)；
[0049](二)密鑰公鑰的生成:以步驟二的第二步的方法生成密鑰fj;以步驟二的第三步的方法生成公鑰比Λ--卜乃2 e 士/，對//和fj+1進行密鑰交換，令密鑰sk包括公鑰Pk包含hj和，其中j = 0，...，L，當j = L時沒有ζ，電路每一層有相應的公鑰與私鑰三元組(％，fp’
[0050](三)加密:對公鑰pk加一位信息m進行加密；
[0051](四)解密；假設密文c是在第j層電路，對應的密鑰f」，對私鑰sk進行解密得到明文m，
[0052](五)加法過程:假設C1、C2的解密密鑰是f」，即在同一層電路，若不在同一層電路可以進行密鑰交換 '奶一 q + Q e Rqj} C3的密鑰是fj，將C3的密鑰設為j2即f，再通過約減密文噪音的方法，得出新的密文C4 ；
[0053](六)乘法過程:假設Cl、C2的解密密鑰是fj;即在同一層電路，若不在同一層電路可以進行密鑰交換；令.C1 3的密鑰是//=石2，再通過約減密文噪音的方法，得出新的密文C4。
[0054]所述的約減密文噪音的方法包含兩步:第一步是密鑰交換，將密文轉換成下一層電路的密文，密鑰由轉變成Gpf1對應的密鑰是4+1，對應的模是qp第二步進行模交換，約減密文的噪音，f2對應的密鑰是4+1，對應的模是;fJ+1取值較小，選取自高斯分布X，從而保證了模交換的有效性。
[0055]所述的密鑰交換包含兩個過程:第一個過程是輸入兩個密鑰和模，輸出輔助信息以保證交換；第二個過程是輸入輔助信息和初始密文，輸出一個新密文，初始密文和新密文是對同一明文的加密。
[0056]以上僅就本發明較佳的實施例作了說明，但不能理解為是對權利要求的限制。本發明不僅局限于以上實施例，其具體結構允許有變化。總之，凡在本發明獨立權利要求的保護范圍內所作的各種變化均在本發明的保護范圍內。
【權利要求】
1.一種環LWE上NTRU型的全同態加密方法，其特征在于:包括以下步驟: 一、定義參數: 對于整數q，定義
2.根據權利要求1所述的環LWE上NTRU型的全同態加密方法，其特征在于:所述的約減密文噪音的方法包含兩步:第一步是密鑰交換，將密文轉換成下一層電路的密文，密鑰由 轉變成4+1，C1對應的密鑰是4+1，對應的模是qp第二步進行模交換，約減密文的噪音，C2對應的密鑰是4+1，對應的模是qj+1 ;fJ+1取值較小，選取自高斯分布X。
3.根據權利要求2所述的環LWE上NTRU型的全同態加密方法，其特征在于:所述的密鑰交換包含兩個過程:第一個過程是輸入兩個密鑰和模，輸出輔助信息以保證交換;第二個過程是輸入輔助信息和初始密文，輸出一個新密文，初始密文和新密文是對同一明文的加密。
【文檔編號】H04L9/32GK103475472SQ201310322018
【公開日】2013年12月25日 申請日期:2013年7月22日 優先權日:2013年7月22日
【發明者】陳智罡, 潘鐵軍, 奚李峰, 金冉, 宋新霞 申請人:浙江萬里學院