基于同态hash的数据多副本持有性证明方案_李超零

基于多分支认证树的多用户多副本数据持有性证明方案查雅行;罗守山;卞建超;李伟
【期刊名称】《通信学报》
【年(卷),期】2015(036)011
【摘要】在云存储环境下,如何高效、动态地完成对多用户多副本数据的完整性验证是一个挑战性问题.基于双线性代数映射的签名机制和多分支认证树特性,提出了一种新的多用户多副本数据持有性证明方案.该方案通过使用随机掩码技术对密文进行处理确保数据隐私性,采用多分支认证树来提高数据分块的签名效率,能够支持数据动态更新操作.此外,引入第三方审计者对多用户多副本数据进行批量审计以减少计算开销.最后,分析表明本方案具有较高的安全性和效率.
【总页数】12页(P80-91)
【作者】查雅行;罗守山;卞建超;李伟
【作者单位】北京邮电大学信息安全中心,北京100876;灾备技术国家工程实验室,北京100876;北京邮电大学信息安全中心,北京100876;灾备技术国家工程实验室,北京100876;北京邮电大学信息安全中心,北京100876;灾备技术国家工程实验室,北京100876;北京邮电大学信息安全中心,北京100876;灾备技术国家工程实验室,北京100876
【正文语种】中文
【中图分类】TP309.2
【相关文献】
1.一种动态数据多副本持有性证明方案 [J], 李超零;陈越;余洋;刘虎;王成良
2.一种多副本动态数据持有性证明方案 [J], 任静思;王劲林;陈晓;叶晓舟
3.基于B+树的动态数据持有性证明方案 [J], 李昊宇;张龙军;李庆鹏
4.基于同态hash的数据多副本持有性证明方案 [J], 李超零;陈越;谭鹏许;杨刚
5.基于BLS的多用户多副本数据持有性批量审计 [J], 陈何峰;林柏钢;杨旸;吴阳因版权原因，仅展示原文概要，查看原文内容请购买。

一种改进的多用户多副本数据完整性验证方案
潘洪志;方群;何昕
【期刊名称】《信息安全研究》
【年(卷),期】2018(004)006
【摘要】在云存储环境中,为了保护用户数据安全,云服务提供商会把用户数据进行冗余备份,然后分别存储在不同的节点上.为了解决用户副本安全这个问题,使用随机掩码对用户数据进行数据隐私处理,采用自适应Trie树结构来提高数据块的签名效率,设计保护用户冗余副本的数据完整性验证方案.该方案能够实现数据动态更新,提高了数据验证效率,通过委托可信的第三方对数据进行批量审计.仿真实验结果表明,该方案具有可行性和高效性.
【总页数】7页(P526-532)
【作者】潘洪志;方群;何昕
【作者单位】安徽师范大学计算机与信息学院安徽芜湖241002;安徽师范大学计算机与信息学院安徽芜湖241002;网络与信息安全安徽省重点实验室(安徽师范大学)安徽芜湖241002;安徽师范大学计算机与信息学院安徽芜湖241002;网络与信息安全安徽省重点实验室(安徽师范大学)安徽芜湖241002
【正文语种】中文
【中图分类】TP309
【相关文献】
1.一种隐私保护的多副本完整性验证方案 [J], 刘婷婷;赵勇
2.一种改进的云存储数据完整性验证方案 [J], 戴颖玲;陈俊杰;周德华;陈杰朗
3.云存储环境的多副本数据完整性验证方案 [J], 李昊宇;张龙军;李庆鹏
4.云存储环境的多副本数据完整性验证方案 [J], 李昊宇;张龙军;李庆鹏;
5.一种改进的多用户多副本数据完整性验证方案 [J], 潘洪志;方群;何昕;;;;;
因版权原因，仅展示原文概要，查看原文内容请购买。

基于同态哈希函数的云数据完整性验证算法
周锐;王晓明
【期刊名称】《计算机工程》
【年(卷),期】2014(040)006
【摘要】云存储已经成为未来存储发展的一种趋势,但也带来新的安全挑战,如云服务提供商可能出于某种目的篡改数据.为确保云数据的完整性,提出一种基于同态哈希函数的云数据完整性检查算法.该算法在可信第三方的审计下,通过聚合多个RSA 签名,对云数据进行完整性验证.为不泄露用户数据信息,采用同态线性认证与随机掩蔽技术,实现隐私保护.分析结果表明,该算法不仅能有效地抵抗服务器的恶意攻击,而且支持数据更新,与现有审计算法相比,该算法在验证过程中能减少计算代价,在批量审计中降低通信量,从而提高验证的效率.
【总页数】6页(P64-69)
【作者】周锐;王晓明
【作者单位】暨南大学计算机科学系,广州510632;暨南大学计算机科学系,广州510632
【正文语种】中文
【中图分类】TP309
【相关文献】
1.基于同态哈希函数的隐私保护性公钥审计算法 [J], 牛淑芬;王彩芬;杜小妮;王光玉
2.一种基于双线性对的云数据完整性验证算法 [J], 邓晓鹏;马自堂;高敏霞
3.无线传感器数据融合技术中基于同态哈希函数的数据完整性算法 [J], 牛淑芬;王彩芬;杜小妮
4.基于RASL的云存储数据完整性验证算法 [J], 唐明;张娇蓉
5.共享模式下会计信息化的云数据完整性验证算法 [J], 王燕玲
因版权原因，仅展示原文概要，查看原文内容请购买。

基于编码Hash同态性的数据持有性证明方案徐碧晗;郑东;任方【期刊名称】《计算机工程与应用》【年(卷),期】2017(053)021【摘要】为了保证用户在云存储服务器中数据的完整性,在分析已有数据持有性证明方案的基础上,提出了一种基于编码Hash同态性的数据持有性证明方案.通过将伪随机数与数据块进行"捆绑"作为标签来固定数据块位置,同时引进一种基于编码的Hash,并利用同态性来完成数据持有性验证.该方案的安全性依赖于译码的NP 完全问题,可抵抗量子攻击,较传统的基于Hash同态性的数据持有性证明方案更难被攻破,同时通过理论分析,算法时间开销比以往方案更快,更有效.%In order to verify the integrity of the data that users have stored in the storage server, based on analysis of existing Provable Data Possession(PDP)scheme and a homomorphic encoding hash function, this scheme puts forward a PDP solution. By pseudo-random number with the data block"bundling"as a tag to fix the position of the block, while the introduction of Hash function based on an encoding, this scheme also uses the homomorphic to complete data possession verification. The security of this scheme is dependent on NP-complete decoding against quantum attacks. It is more difficult to be broken than the traditional homomorphic hashing based PDP method. In theory, the algorithm scheme is more faster and effective.【总页数】7页(P91-97)【作者】徐碧晗;郑东;任方【作者单位】西安邮电大学通信与信息工程学院,西安 710121;西安邮电大学无线网络安全技术国家工程实验室,西安 710121;西安邮电大学通信与信息工程学院,西安 710121;西安邮电大学无线网络安全技术国家工程实验室,西安 710121;西安邮电大学通信与信息工程学院,西安 710121;西安邮电大学无线网络安全技术国家工程实验室,西安 710121【正文语种】中文【中图分类】TP309.2【相关文献】1.一种基于同态Hash的数据持有性证明方法 [J], 陈兰香2.基于多分支认证树的多用户多副本数据持有性证明方案 [J], 查雅行;罗守山;卞建超;李伟3.基于B+树的动态数据持有性证明方案 [J], 李昊宇;张龙军;李庆鹏4.基于同态hash的数据多副本持有性证明方案 [J], 李超零;陈越;谭鹏许;杨刚5.多云存储中基于身份的数据持有性公开证明方案 [J], 姜林美因版权原因，仅展示原文概要，查看原文内容请购买。

华中科技大学硕士学位论文摘要当前云计算和云平台应用不断普及，很多用户在云端存储数据。

鉴于云端非可信性，为确保敏感数据的安全，用户通常进行加密数据云存储，但是这样丧失了数据的可用性，完全同态加密算法的出现能够实现在加密数据上的搜索和计算等操作。

另外针对云服务提供商返回结果的不确定性，有必要对相关返回结果进行验证，保证结果的有效可用性，从而促进云计算的良好发展。

对基于环上错误学习问题的一种完全同态加密算法进行分析，提出数字提取部分算法改进，对自举过程进行调序，使其深度降低，效率提升。

利用上面提出的改进完全同态加密算法，构造了云环境下可验证关键词搜索方案。

首先对关键词集合进行完全同态加密处理，然后构建安全反向索引，并引入审计方利用默克尔哈希树进行搜索结果的验证，确保了云端搜索结果可信性。

最后对方案的安全性进行分析，并给出简单模拟结果。

对上述提出的云环境可验证关键词搜索方案展开扩展研究，创建出云环境下可验证函数计算方案，对原始数据集合进行完全同态加密，将计算函数转化为参数方程。

针对计算函数暴露给云服务提供商的问题，利用了多项式因式分解方法来验证结果，并给出了安全性分析和实验性能评估对比分析。

关键词：云计算，全同态加密，可验证搜索，可验证计算华中科技大学硕士学位论文AbstractCurrently, cloud computing and cloud platform applications are becoming popular, and many users store data in the cloud. In view of the non-trustworthiness of the cloud, in order to ensure the security of sensitive data, users usually perform encrypted data cloud storage, but this loses the availability of data. The emergence of a fully homomorphic encryption algorithm enables operations such as searching and computing on encrypted data. In addition, for the uncertainty of the return results of cloud service providers, it is necessary to verify the relevant return results to ensure the effective availability of the results, thus promoting the good development of cloud computing.A fully homomorphic encryption algorithm based on the RLWE problem is analyzed. The algorithm of digital extraction is improved, and the bootstrapping process is sequenced to reduce the depth and improve the efficiency.Using the improved fully homomorphic encryption algorithm proposed above, a verifiable keyword search method in cloud environment is constructed. Firstly, the keyword sets are encrypted homomorphically, and then the security reverse index is constructed. The auditor is used to verify the search results by using the Merkle hash tree to ensure the credibility of the cloud search results. Finally, the security of the solution and a simple simulation result are given in the article.The cloud environment verifiable keyword search scheme proposed above is extended, and a verifiable function calculation scheme in the cloud environment is created. The original data sets are encrypted homomorphically, and the calculation function is transformed into a parametric equation. Aiming at the problem that the calculation function is exposed to the cloud service provider, the polynomial factorization method is used to verify the result, and the security analysis and experimental performance evaluation comparison analysis are given in the article.Key words: Cloud computing, Fully homomorphic encryption, Verifiable search, Verifiable computing华中科技大学硕士学位论文目录摘要 (I)Abstract (II)1 绪论1.1 研究背景及意义 (1)1.2 国内外研究现状 (2)1.3 研究目标与内容 (5)1.4 论文的组织结构 (6)2 预备知识2.1 全同态加密 (8)2.2 默克尔哈希树 (9)2.3 可验证搜索 (10)2.4 多项式分解 (12)2.5 可验证计算 (12)2.6 本章小结 (14)3 改进全同态加密算法3.1 原始全同态算法 (15)3.2 改进全同态算法 (19)3.3 本章小结 (25)4 结合全同态的可验证搜索4.1 模型概述 (26)4.2 数据预处理 (27)4.3 关键词搜索 (29)4.4 可验证设计 (30)华中科技大学硕士学位论文4.5 安全性分析 (33)4.6 简单性能模拟 (35)4.7 本章小结 (36)5 结合全同态的可验证计算5.1 问题引入 (37)5.2 模型及概述 (38)5.3 详细设计 (40)5.4 安全性分析 (43)5.5 实验性能评估 (44)5.6 本章小结 (48)6 总结与展望6.1 全文总结 (49)6.2 未来展望 (50)致谢 (51)参考文献 (52)华中科技大学硕士学位论文1 绪论1.1 研究背景及意义伴随网络信息的迭代更新，我们需要存储和处理的数据量越来越大、维度越来越多，如果仅靠个人或者组织在本地进行操作，花费的时间和资源以及运作效率都是难题。

基于密码算法同态性的数据持有性证明方法概述：数据持有性证明是指在云计算等分布式场景中，验证数据提供者是否真正拥有所宣称的数据。

为了保护数据隐私，提高数据验证的效率和安全性，基于密码算法同态性的数据持有性证明方法被提出。

本文将介绍同态加密算法以及如何利用同态性实现高效的数据持有性证明。

一、同态加密算法简介同态加密算法是指在保持数据加密状态下，能够进行加法和乘法等算术运算的加密算法。

常见的同态加密算法有部分同态加密和完全同态加密。

1. 部分同态加密部分同态加密允许进行有限次的同态运算，通常包括加法和乘法，但运算次数有限。

常见的部分同态加密算法有ElGamal加密算法和Paillier加密算法。

2. 完全同态加密完全同态加密不限制同态运算的次数，可以进行任意次数的加法和乘法运算，并还原出正确的结果。

目前，基于理想格的完全同态加密方案是目前最为先进和有效的方案。

二、数据持有性证明方法基于密码算法同态性的数据持有性证明方法利用同态加密算法，实现了高效、安全、隐私保护的数据持有性验证。

1. 数据持有性证明过程（1）数据提供者将数据进行同态加密后，向验证者发送加密后的数据。

（2）验证者随机选择一个数并向数据提供者发送。

（3）数据提供者将该数用同态加密算法运算后返回给验证者。

（4）验证者根据数据提供者返回的结果，验证数据持有性。

2. 数据持有性证明原理基于密码算法同态性的数据持有性证明方法核心原理是，数据提供者可以通过同态加密算法对接收到的数进行运算，然后返回给验证者，验证者可以通过解密后的结果和预期结果进行比较，从而验证数据是否来自真正的数据提供者。

三、基于同态性的数据持有性证明优势1. 高效性基于密码算法同态性的数据持有性证明方法能够减少不必要的数据传输和计算开销，提高了数据验证的效率。

2. 安全性同态加密算法能够保证数据在传输和计算过程中的安全性，避免了数据泄露和篡改的风险。

3. 隐私保护性同态加密算法允许数据提供者在加密的状态下进行运算，不需要将明文数据暴露给验证者，保护了数据的隐私。

密码学报 I S S N 2095-7025 C N 10-1195/T NJournal of Cryptologic Research, 2020, 7(5): 683-697 ©《密码学报》编辑部版权所有.E-m a i l:j c r@c a c r n e t.o r g.c n h t t p://w w w.j c r.c a c r n e t.o r g.c nT e l/F a x:+86-10-82789618—个基于N T R U的多密钥同态加密方案#李瑞琪'贾春福W1.南开大学网络空间安全学院，天津3003502.天津市网络与数据安全技术重点实验室，天津300350通信作者：贾春福，E-m a i l:cfjia@n a n k a i.e d u.c n摘要：当前有关多密钥全同态加密的研究仍存在很多问題有待解决，如现有多密钥全同态加密方案的构造方法较为复杂；在云计算环境下，用户端的计算开销较大.针对上述问题，利用工具向量（g a d g e t v e c t o r)和比特分解（b i t d e c o m p o s i t i o n)技术，提出了一个基于N T R U的层级多密钥全同态加密方案，并给出了噪声增长与安全性的分析.该方案可以将之前方案中在同态运算阶段应用的重线性化（r e l i n e a r i z a t i o n)技木或密文扩张过程移除，进而在生成参数和密钥时元需生成运算密钥（e v a l u a t i o n k e y)或密文扩张所需的公共参数.同时，可以证明能够利用G e n t r y的b o o t s t r a p p i n g定理将该方案转化为完全的多密钥全同态加密方案.此外，该方案允许加密一个环中元素而不仅是1比特，从而可以利用中国剩余定理将该方案转化为支持批处理的多密钥同态加密方案.该方案与现有多密钥同态加密方案对比结果显示，该方案更加简洁，用户端的计算开铕相对较低.关键词：全同态加密；多密钥；N T R U;比特分解；批•处理中图分类号：T P309.7 文献标识码：A D O I: 10.13868/j.c n k i.j c r.000399中文引用格式：李瑞琪，贾春福.一个基于N T R U的多密钥同态加密方案问.密码学报.2020, 7(5): 683-697.[D O I: 10.13868/j.c n k i.j c r.000399]英文引用格式：L I R Q,J I A C F.A m u l t i-k e y h o m o m o r p h i c e n c r y p t i o n s c h e m e b a s e d o n N T R U[J j.J o u r n a l o f C r y p t o l o g i c R e s e a r c h, 2020, 7(5): 683-697. [D O I: 10.13868/j.c n k i.j c r.000399]A M u lti-k ey H om om orp h ic E n cryp tion S ch em eB ased on N T R UL I R u i-Q i1'2,J I A C h u n-F u1，21. College of C yb er Science, N ankai University, T ianjin 300350, C hina2. T ianjin Key L ab o rato ry of N etw ork an d D a ta Security Technology, T ian jin300350, C hinaC orresponding au th o r: JIA C hun-Fu, E-mail: cfjia@A b s t r a c t:T h e r e a r e m a n y p r o b l e m s t o b e s o l v e d o n t h e t o p i c o f m u l t i-k e y f u l l y h o m o m o r p h i c e n c r y p t i o n s c h e m e s.T h e e x i s t i n g M K F H E s c h e m e s a r e u s u a l l y c o m p l i c a t e d a n d dif f i c u l t t o i m p l e m e n t, w h i c h c a n c a u s e e x p e n s i v e c o m p u t a t i o n a l o v e r h e a d f o r u s e r s i n t h e c l o u d c o m p u t i n g e n v i r o n m e n t. T h i s p a p e r p r e s e n t s a l e v e l e d m u l t i-k e y f u l l y h o m o m o r p h i c e n c r y p t i o n s c h e m e b a s e d o n N T R U,a n d a n a l y z e s its n o i s e g r o w t h a n d s e c u r i t y.T h e g a d g e t v e c t o r a n d b i t d e c o m p o s i t i o n t e c h n i q u e s a r e u s e d +基金项目：国家重点研发计划（2018YFA0704703);国家自然科学基金（61972215, 61702399, 61972073);天津市自然科学基金（17JCZDJC30500)Foundation: National Key Research and Development Program of China (2018YFA0704703); National N atural Science Foundation of China (61972215, 61702399, 61972073); N atural Science Foundation of Tianjin M unicipality (17JCZDJC30500)收稿日期：2019-09-05 定稿日期：2019-12-02684Jem m a/ 〇//?esecirc/i 密码学报 Vol.7，No.5, O ct.2020i n t h e p r o p o s e d s c h e m e s u c h t h a t r e l i n e a r i z a t i o n o r c i p h e r t e x t e x t e n s i o n p r o c e d u r e c a n b e a v o i d e dd u r i n g t he h o m o m o r p h i c e v a l u a t i o n,a n d t h e r e is n o n e e d t o g e n e r a t e e v a l u a t i o n k e y o r p u b l i c c o m m o np a r a m e t e r s r e q u i r e d d u r i n g c i p h e r t e x t e x t e n s i o n.It c a n b e s h o w n t h a t,u s i n g G e n t r y’s b o o t s t r a p p i n g t h e o r e m,t h e p r o p o s e d s c h e m e c a n b e t r a n s f o r m e d i n t o a p u r e m u l t i-k e y f u l l y h o m o m o r p h i c e n c r y p t i o n s c h e m e.M o r e o v e r,t h e p r o p o s e d s c h e m e c a n e n c r y p t a r i n g e l e m e n t r a t h e r t h a n a s i n g l e b i t,s o it c a n b e c o n v e r t e d i n t o a b a t c h e d m u l t i-k e y h o m o m o r p h i c e n c r y p t i o n s c h e m e u s i n g C h i n e s e R e m a i n d e rT h e o r e m.T h e p r o p o s e d s c h e m e is c o m p a r e d w i t h e x i s t i n g o n e s,a n d t h e c o m p a r i s o n s h o w s t h a t t h e p r o p o s e d s c h e m e is m o r e c o n c i s e a n d u s e r s h a v e l o w e r c o m p u t a t i o n a l o v e r h e a d i n t h e c l o u d c o m p u t i n ge n v i r o n m e n t.K e y w o r d s:f u l l y h o m o m o r p h i c e n c r y p t i o n;m u l t i-k e y;N T R U;b i t d e c o m p o s i t i o n;b a t c hi引言全同态加密（F u l l y H o m o m o r p h i c E n c r y p t i o n,F H E)是-•种新型密码学工具，其支持在加密信息上 进行任意函数运算，并且解密后得到的结果与在明文上执行相应运算的结果一致.全同态加密的特性使其 能够广泛应用于云计算、物联网等多种计算场景.同态加密的思想最初由R i v e s t等人⑴在1978年提 出（最初的概念被称作“p r i v a c y h o m o m o r p h i s m”)，但在此之后一直都没有具体的构造方法，直到2009年 G e n t r y才构造出了第一个全同态加密方案I2'3!.在G e n t r y的开创性工作之后，一系列关于全同态加密的 研究成果相继出现+81.多密钥全同态加密（M u l t i-K e y F u l l y H o m o m o r p h i c E n c r y p t i o n,M K F H E)是 F H E 在多用户场景 下的一种推广，其支持多方用户以各自的密钥对消息进行加密，得到的密文可以一起参与运算，运算结束 后将各参与方的密钥收集起来得到联合密钥，再用联合密钥对结果密文进行解密.M K F H E在安全多方计 算中有着重要应用.当前有关N1K F H E方案构造的研宄主要可以分为以下三类：•基于N T R U方案.L6p e z等首次提出了 M K F H E的概念，并且构造了第一个M K F H E方案下称L T V12方案)，该方案是基于N T R U加密体制队叫的.作者利用重线性化（r e l i n e a r i z a t i o n)和模交换（m o d u l u s s w i t c h i n g)技术获得一个层级多密钥全同态加密（l e v e l e d M K F H E)方案.•基于 G e n t r y-S a h a i-W a t e r s (G S W)方案.2015 年，C l e a r 等丨叫构造了一个以 G S W 方案[7’12丨为基础的M K F H E方案，随后M u k h e r j e e等1131对C l e a r的方案进行了改进.由于这两个方案需 要在进行密文运算前就确定所有参与的用户，因此这两个方案被称作单跳的（s i n g l e-h o p).相对应 地，P e i k e r t等[141在2016年提出了多跳的（m u l t i-h o p)M K F H E方案（下称P S16方案)，其支持 运算得到的结果密文继续参与到接下来的计算中，也支持新用户中途加入运算.同年，B r a k e r s k i 等1151提出了与多跳类似的概念---全动态（f u l l y d y n a m i c),并构造了一个全动态的M K F H E方案（下称B P16方案)，该方案支持任意用户在任意时刻加入运算.多跳与全动态的区别仅在于是 否需要在同态计算前输入参与运算的用户数的上限..基于B r a k e r s k i-G e n t r y-V a i k u n t a n a t h a n (B G V)方案.2017 年，C h e n 等[16】提出了一个基于B G V问方案的M K F H E方案（下称C Z W17方案).该方案支持加密环中的元素而不只是1比特，并且该方案能够加入批处理机制.上述三种类型的方案推动了 M K F H E的研究，但仍然存在着一定的问题.这些方案存在的最主要问 题是，参与运算的用户除了生成公私钥以及对消息进行加解密外，还需产生大量额外的参数以保证多密 钥的同态密文计算能够进行，例如L T V12方案、B P16方案和C Z W17方案中需要用户生成运算密钥(e v a l u a t i o n k e y),P S16方案贝I]需要用户生成e x t e n s i o n k e y或冗余的密文，这增加了用户端的计算开销. 另外，基于B G V和基于G S W的方案都需要进行密文扩张，因为这两类方案中解密密钥的维数会随着用户数的增加而增加，这使得密文的尺寸也要随之增加才能正确解密.为了解决上述问题，我们提出了一种新的多密钥同态加密方案，利用工具向量和相应的分解函数将 N T R U方案转化成l e v e l e d M K F H E方案.本文所提方案的主要优势在于：李瑞琪等：一个基于n t r u的多密钥同态加密方案685•用户端只需要生成公钥和私钥以及对消息进行加解密，并不需要生成e v a l u a t i o n k e y或其他额外 的参数，减轻了用户端的计算负担.•使用比特分解技术来构造H E方案，这使得密文加法和乘法能够简单地实现，不需要加入其它辅助 技术（如r e l i n e a r i z a t i o n);也使得N T R U直接转化为l e v e l e d M K F H E方案，从而不需要m o d u l u s s w i t c h i n g技术.整个方案更加简洁、易于实现.•不需要进行密文扩张，即密文的（最大）尺寸是不变的.•支持加密环中的元素而并不只是1比特，因而本方案可以扩展成支持批处理的M K F H E方案.另夕卜，我们的方案是一个l e v e l e d M K F H E方案，仍需要利用G e n t r y的b o o t s t r a p p i n g定理将l e v e l e d M K F H E方案转化为一个完全的M K F H E方案.2预备知识本文中我们使用加粗大写字母表示矩阵，如M;使用加粗小写字母表示向量，如1；.在矩阵中，表示位于第i行第j列的元素；在向量中，表示向量中的第i个元素.矩阵和向量中的元素标号从1开始.本文中运算符“•”表示矩阵乘法，包括矩阵-矩阵乘法和标量矩阵乘法（向量可以看作n x 1或者 1x n的矩阵).令必m〇r)为分圆多项式，其次数为n =#(•；)为欧拉函数.本文涉及到的所有运算均在环7? =Z[a：V〈0m(x)〉中进行，令：=尺/研，&中元素的系数都在区间{-L g/2」，...，k/2」}内.定义环中元素 a=a…-i x n_1 +a…—2X n-2 +---h a#+a〇 的无穷范数为 ||a||〇〇 =m a x|a i|.下面的引理给出了环尺中多项式加法和乘法后范数的增长情况：引理1令只=Z[x^〈0m(x)〉，对于任意的a,6 G仏c G Z，有||a+b\\〇〇 < ||a||〇〇+ ||^>||〇〇||c-a||〇〇 < |c| • ||a||〇〇||a•b\\〇c<S■H a l l o o•||6||〇〇其中5是一个只与环丑有关的常数，称作环常数.2.1离散高斯分布我们将均值为0、标准差为r的离散高斯分布记作Z)Z n，r.在本文中唯一需要用到的有关离散高斯分 布的性质是，从中抽取的样本的范数大概率在某一范围内.由此我们可以定义如下的概念：定义1网如果一族分布丨X n^e N满足P r[||e||〇〇 >B] =n e g l(n)e—X n则称其为s界分布.而离散高斯分布有如下性质：引理2 W令n e N.对于满足r >u;(v/I^)的离散高斯分布〇Z n,T•，有P r[||x|U >< 2~"+1X i— D jr n r本文中所涉及到的离散高斯分布均定义为B界分布.由引理2可知，离散高斯分布£>z n,r■是一个 界分布.另外，结合定义1和引理1可以直接得到下面的推论.686Jo u m a/ 〇/C n/pbZ即zc 7?e<searc/i 密码学报 Vol.7,No.5, O c t.2020推论1间令i? =Z l#〈办m(a〇>.令X为丑上的S界分布，设/i,/2,...，A — X，有f c<s k~i B k2.2 R1A V E问题与D S P R•假设环上带错学习问题（R i n g L e a r n i n g W i t h E r r o r s,R L W E)最初是由L y u b a s h e v s k y等丨17丨提出的，判别版本的R L W E问题定义如下：定义2 1171设1/(入）为集合X上的均匀分布.给定一个秘密多项式s e—个上的分布X，我们定义一个A x上的分布九,x:随机选取a叫仏)，随机抽取…个差错e — X，输出(a，b=a.s+e).判别版本的RLW E问题（记作DRLWE^)定义为：当s — [/(&)时，区分儿,x与U(凡,x 7?9)两个分布.F面的定理阐述了问题D R I A V E+x的困难性，即区分4S,X与[/(/^ x这两个分布是困难的.定理1令么n(a〇为分圆多项式，其次数为n =V5(m).令a > 0, 9为素数且满足g = 1m o d m和a g 2w(v l^).那么，存在一个多项式时间的量子规约算法，将7? =Z丨〇:]/〈冷m〇r)〉中理想格上的近似 因子为 <5(^/^/〇)的近似最短线性无关向量问题（A p p r o x i m a t e S h o r t e s t I n d e p e n d e n t V e c t o r P r ob l e m,A p p r o x i m a t e-S I V P)规约到D R L W E q问题，其中分布x为满足r >的离散高斯分布D z'r.文献[18]中的引理2证明了秘密多项式s并不必须从上的均匀分布中随机选取，而是可以从选 取差错e的分布x中选取，因此在本方案中，为减缓噪声的增长速度，s和e均从分布x中选取.L c j p e z 等在文献间中介绍了D S P R(D e c i s i o n a l S m a l l P o l y n o m i a l R a t i o)问题，定义如下：定义3间令0(x)G Z[.r]是次数为r i的多项式，9为素数，x是环i? =Z M/W O e)〉上的一个分布.D S P R问题（记作D S P R^J定义为区分以下两个分布：•h=3/一1服从的分布，其中/,5是从分布X中随机选取的（这里要求/在中可逆)；•/?<(上的均匀分布.此前有关N T R U的研宄19’1Q，19 211己经证明，当</>(〇：)为任意分圆多项式，分布x为离散高斯分布 为分圆多项式的次数)，并且r > ^.P〇l y(n)时，D S P R a9,x问题是困难的（即定义3中的两个 分布在统计意义上是接近的).然而，为了能够进行多密钥同态密文计算，我们需要进行如下的假设：假设1令是次数为n的分圆多项式，分布x为离散高斯分布假设当r =p o l y(n)时,D S P R n x问题仍是困难的.2.3多密钥同态加密-个多密钥同态加密方案包含四个算法（K e y G e n，E n c，D e c,E v a l),具体描述如下：•(P k，s k)i K e y G e n(l A):给定安全参数A，输出公钥p k和私钥s k;•c— E n c(p k，m):输入消息明文m和公钥p k，输出密文c;•m:=D e c(s k i，s k2，...,s k；v，c):输入密文c，以及密文所对应的运算参与方的私钥s k b s l^.^s k i v，输出消息明文m;•(c*，S):= ，(c t，S t)):算法的输入包括一个电路C，以及f个元组(C i，S,)，i e {1，...，<}.每个元组中包括一个密文c,和其对应的用户（密钥）集合算法的输出为结果密文f和其对应的用户（密钥）集合S=U S,:(在用户（密钥）集合中可以找到任意参与运 算的用户的公私钥).2.4 B o o t s t r a p p i n gG e n t r y在文献[2,3]中提出了 “b o o t s t r a p p i n g”技术，该技术利用重加密的思想更新密文，从而控制 噪声膨胀以保证解密正确性，进而实现任意次的密文同态运算.G e n t r y的b o o t s t r a p p i n g定理也可以用于 多密钥的场景.具体来说，该技术要求H E方案能够对“增强解密电路（a u g m e n t e d d e c r y p t i o n c i r c u i t,)”进行处理，同时也需要该H E方案具存弱循环安全性（w e a k l y c i r c u l a r s e c u r e).有关b o o t s t r a p p i n g技术 的更多细节参见文献[2,3].李瑞琪等：一个基于N T R U的多密钥同态加密方案687定义4令£为一个多密钥同态加密方案.该方案的增强解密电路/C1，C2定义为/C l，C2(sk i,sk2,... ,skyv) = 5.Dec(ski,sk2,... ,sk^, c i)A.Dec(sk i,sk2,••• ,skyv,C2)定义5如果一个公钥加密方案在敌手获得其私钥的所有比特的密文时仍然是I N D-C P A安全的，则称该方案具有弱循环安全性.结合定义4和5,可以得到多密钥版本的b o o t s t r a p p i n g定理如下：定理2如果一个多密钥同态加密方案能够同态运行其增强解密电路，并且具有弱循环安全性，那么该 方案就能转化为一个完全的多密钥全同态加密方案.2.5工具向量和比特分解函数文献丨22]中提出了“工具向量（g a d g e t v e c t o r)”沒及其对应的比特分解函数它们最初是用来操作中的整数的.本文中，我们将这两个概念推广到多项式环中使用，并且基不局限为2.对于模数（7和基令々=「l o g^l.定义工具向量为分=(1,〇;,〇;2,…，o A—1相应的分解函数 g_1定义为：g ' :R q^R e J xl此函数的输入为凡中的一个多项式a,输出一个随机（歹l l)向量x1€ 乂〃1满足g .a:1' =a m o(i q.对于行向量v e9—Y r)表示将g-1作用于v的每一个分量从而得到一个矩阵V e2.6中国剩余定理与批处理中国剩余定理（C h i n e s e R e m a i n d e r T h e o r e m,C R T)是一个重要的工具，该定理内容如下：定理3 %设只是•个环，是尺中两两互素的理想，于是有R ^=j ik=<s>i=lRh其中 <8^=1 畀表示笛卡尔积，即区)〉=1 耷={(〇丨，a2，...，a fc)|c U= 1，...，*}.假设p A—个素数且满足（P，m) =\以及/ = 1 mod m，那么对于分圆多项式0m〇r)，有必m(a:)=r t=1 m odp，其中每个/iOr)的次数为d.根据中国剩余定理可知R p =Z p[x]/0,…(i) =Zp[x]/f\(x)®Z p[x]//2(x)®®Zp[x]/f k{x) ^ (F p d)f c每一个Z p M A A b)可以看作一个“明文槽”，利用该同构可以将A：个F p(i中的明文用/?p中的一个元素 来表示，并且有如下性质：设（a0，a i，…，a n W b o A,... e (F p d)f c是两组明文，它们对应的中的元素分别是a，b，于是计算a+b相当于计算（a〇+b〇，a i +b i，…，a j t-i +b n)，计算a6相当于计 算（a〇f e〇，a i6i，...，afc—i(u'—i).利用上述原理，文献[24]提出了支持 S I M D(S i n g l e I n s t r u c t i o n M u l t i p l e D a t a)操作的H E方案.在此基础上，文献丨25]利用/?p上的自同构映射a(;r)并结合B e n e§/\V a k s i n a n置換网络，可以使明文槽中的元素进行任意置换（p e r m u t a t i o n).具体来说，伽罗瓦群G a l(Q[;c]/<^m(:r))中的元素为 自同构映射14：^，丨6忑；1，该伽罗瓦群包含了一个子群£； = {：1：4；^>=0，1，...，£^—1}.文献[25]证明了商群//=G a l〇Q丨可以使明文槽中存储的消息进行轮换（r o t a t i o n).因此，以群//所包 含的自同构映射为基础再结合B e n e S/W a k s m a n置换网络，b]"以实现明文槽中兀素的任意置换.3基于N T R U的多密钥同态加密方案3.1 N T R U 方案我们首先介绍N T R U方案，这是构造我们的M K F H E 方案的基础.688JoumaZ 〇/CVypioZogic _R esearc/i 密码学报 Vol.7, No.5,O ct. 2020给定安全参数A,设存在多项式时间的算法输出以下参数：素数g =g(A),分圆多项式0m(a〇(次数为 n=n(A) =W m))，5(；\)界分布X.方案的明文空间为=H p,p为小整数（例如2或3)，方案所涉及 到的所有运算均在环〈也中进行.N T R U方案由以下三个算法组成：•N T R U.K e y G e n(l A):随机抽取多项式/'，g卜x,令/ := p/' + 1.如果/在&中不可逆，那么重新抽取输出公钥和私钥pk := h =p g f^1 6 R q,s k := / 6•N T R U.E n c(p k，/i):随机抽取多项式s，e i x.输出密文c=hs+pe+fi €R q.N T R_U.D e c(s k，c):计算//=/.c6 输出H=fi'm o d p当l l/c丨丨〇c <g/2时，解密的结果是正确的，这是由于此时/c m o d g=/c.3.2基于N T R U的多密钥同态加密方案这一小节介绍我们的基于N T R U的多密钥同态加密方案.给定安全参数A，设存在多项式时间的算法，输出素数9 =以A)，分圆多项式次数为n =W m) =rz(A)),S(A)界分布 x.设基为 ％ 心=「l o g^^l，工具向量为 g = (l，w,w2，...明文空 间为，令p为小整数且满足p S w <g,所有的运算均在中进行.我们的多密钥同态加密方案包括以下四个算法：•M K H E.K e y G e n(l A):调用 N T R U.K e y G e n(l A),输出公钥和私钥p k~h =p g f-1 €R q,s k:= f e R•M K H E.E n c(p k,"):随机抽取々组S i，ei — x用于计算N T R U.E n c(/i，0)来得到々个“0的密文”，然后将得到的•^个0的密文组成一个向量C〇e最后输出密文c-.= c〇 +ng £R l q xlq•M K H E.D e c^s k^s k^，…，s k j v,c):析取每个私钥s k,:得到s k i = /i，令联合私钥为s k := / = /i/2…//v.计算并输出明文H =N T R U.D e c(/,c[l])•M K H E.E v a W C J c u A M c i&V.d c^S t)):设密文C l对应的用户（密钥）集合为&，密文c2对应的用户（密钥）集合为密文加法为C a d d =M K H E.A d d(c i,C2) =c i +C2 €R\x l,>密文乘法为c m u it =M K H E.M u l t(c U i c2) =c i •g~\c2)e同时，也需要输出c a d d和c m u l t对应的用户（密钥）集合S=&U S 2.李瑞琪等：一个基于N T R U的多密钥同态加密方案689 4方案分析本节将对我们提出的M K F H E方案的有关性质进行分析.4.1同态性分析设C，C为两个密文，其对应的明文分别为叫/i，对应的公私钥分别为令c a d d =C+占，C m u丨t =c.下面我们将说明使用联合密钥/= / . /可以将c a d d解密得到Ai+将C mult解密得到"•/i.对于加法我们有C a d d =C-f-C使用/= / ./解密C a d d时，需计算/ •C a d d[l],可得/*C a d d[l] =//•C(〇)[l]+//•C(〇)[l]+//(/X-h p>)g[l]由加密过程可知和是0的密文，于是有/ •c⑶[1]m o d p= 0和/•m o d p= 0.另外己知/三1 m o d p,/三1 m o d= 1,因此可以推出/ •c ad d[l]m o d p=p,从而加法正确.对于乘法我们有C m u l t= ^ 'Q(c)=(C(〇)-y_1(c)=C(〇) -^_1(c)+/i-c=C(〇) •p_1(c)+m(C(〇) +A•^)=c(〇) •g~\c)-I-[I•C(〇)I I-fl-g使用/=/•/解密c m u l t时，需计算/.c m u l t[l]•设f1⑷得到的矩阵为C e'可得/ •C m u l t[l] =f f^ +//(M•C(〇)[l])+//(/X•同样，我们己知c(〇)【l]和5(〇)[l]是0的密文，因此/ .c(0)[l]m o d p=0, /.m o d p=0.再加上己知 / e 1m o d p,/e 1m o d p,= 1，故可以推出/ •c m l,it[l]m o d p=n -fi从而乘法正确.在文献间的最初构造中，密文c2 +£需要使用联合私钥/2 ./解密，而密文c+52需要使用联合 私钥/./2解密，也就是说联合私钥会随着运算电路的变化而变化.但我们希望联合私钥仅与参与用户有 关，而与运算电路无关.在文献[8]中，作者利用r e l i n e a d z a t i o n技术解决了这个问题.而在本文中，我们 的M K F H E方案不需要额外添加任何技术就可以使得联合私钥只与参与用户有关，不受运算电路的影响. 下面我们来说明这一点.事实上只需证明在本方案中，仅使用私钥/就能正确解密密文c,nult =c.即可.690Jem m a/ 〇/CVyptoZopz'c /?esearc/i 密码学报 Vol.7, No.5,O c t.2020与上文类似，我们可将c•g q(c)表示为C •分_1(C)=c(0) •分一 1(c)+/X •〇(〇)+"•"•分设c=g—y c)e只&以' 用/解密时有/. Cmult[l] =/E c[i，l]c(0)[i] + /(" • c(〇)[l]) + / . /i •"己知 / .c(〇)[l]m o d p= 0, / s 1m o d p，故可以推出/ ■c m u it[l]m o d p=n-fi以上的推导说明了无论有多少个用同一公钥加密的密文相乘，解密时只需使用原私钥，这就意味着本方案 中的联合私钥与运算电路无关.4.2安全性分析N T R U型密码方案的安全性是基于RLW E问题的.在本方案中，考虑由公钥和密文向量中的一个 元素组成的二元组（/i =P S/_1,cM=/is+pe +a//^.若h是从上的均匀分布中选取的，并且 S,e — X，那么此时可以看作是从分布儿,x中选取的，因此我们需要保证选取的S和/能够使 得/i z p p/-1的分布与上的均匀分布是统计意义上接近的.文献[9，10，19-21]己经证明当r >M.p o l y h)时，D S P R^.m问题是困难的（即定义3中的两个 分布在统计意义上是接近的).然而正如前文所述，在多密钥场景中无法将r设定为r >.P〇l y(n),因此我们需要D S P R假设（即假设1),将r设定为P〇l y(n：).尽管D S P R假设未被证明是困难的，但是当 <j=2—,e G (0, D时，到目前为止仍然没有高效的方法去解决D S P R假设1261.根据定理1,我们可以得到如下的关于本方案安全性的结论.定理4当为分圆多项式，次数为n;x为离散高斯分布■〇z»,r，其中r =p o l y(n);g = 2n，e 6 (0, |)时，在D R L W E^与D S P R_,X的假设下，本方案是I N D-C P A安全的.4.3噪声分析在这一小节中，我们将分析执行同态运算的过程中，密文噪声的增长情况.首先，对密文的噪声进行定 义：定义6设c为一个密文，/为其对应的私钥.密文c的噪声定义为n o i s e(c) = ||/■c[l]||〇〇对于所有N T R U类型的方案，解密正确需要满足条件||/ .c||〇〇 $g/2.因此在本方案中，正确解密需 要保证密文噪声满足n o i s e(c X g/2.下面的引理给出了执行一次同态运算后密文噪声的增长幅度.引理3令c，c'是两个密文，它们对应的明文分别是&//，对应的用户（密钥）集合分别为令c和d之间执行一次同态运算（加法或乘法）后得到的密文所对应的用户（密钥）集合为S=氏U S2,且 ■S中包含i V个用户（密钥).解密c a d d =c+c'和c m u l t =c.g-H c')可以分别得到//+//和"■//.如 果 n o i s e(c) £i?，n o i s e(c’）幺五，那么进行一次同态运算后，有 n o i s e(c a d d)，n o i s e(c m u it) <参数p，w，5,n，B的定义见3.2节.证明：已知每个用户最初的私钥/,的范数上界为p s+i./S根据推论1可知l l/s||〇c <李瑞琪等：一个基于N T R U 的多密钥同态加密方案6911)N < W p S 广.对于加法有=||/sius2(c[l] + 〇[1])||〇〇=ll/saNSiC/si • c[l]) + /s!\s2(/f» ' cflD H oo<<5||/slW I/Sl 'CW IIO O +列/S ||oc ||/S2< 2{2p 5B )NE其中灸\而表示集合的差，即S 2 -&.显然我们可以得到2(2p 5S )N J 5 <，因此加法情况结论成立.对于乘法，令得到的矩阵为C ' e 丑^〃9,我们有< ^q\\f s C '[l , l]C(〇)[l]||cx3 + ||m /s C (〇)[1]||o o + ||/s /i M l |c< ^<5-^ll/sc(〇)[l]ll 〇〇 + <5|ll/sC(〇)[l ]||〇〇 + <52(^)2||/s ||< (^^2 + |)5II^s 2\S i (/S i C(〇)[1])||o o + <52(|)2||/s ||〇〇< ^+ \){2p 5B)N E + 5(^f (2pSB)N <(^n +^-5+^)(2P 6B )N E< 2p 2b 〇nS (2pSB)NE< (2pumSB)2NE其中，已知c '[i ，fc ] e 扎，以及e 丑p ，从而有丨1匚'[1，句|丨〇〇 < w /2,以及h l l o c l l /Z I U s p /2. c(0)，c ，(〇)是与c ，c ，在同一层的（〇的）密文，故而它们的上界一致，即||/C (0)K f i j /c h K 五.当 g = 2n<，e G (0, 时，上式中倒数第三个不等号成立；w > 1时，w + 1 < 2i V ，7V + 2幺2A T ，最后一个不我们注意到噪声中有项，如果我们依照文献[9,10,19-21]设定r > ^.p o l y (n )，再根据引理2, 可以得到S > v ^.p o l y (n )，那么当i V > 1时噪声不可能小于g /2,因此我们需要D S P R 假设（即假设1)， 将 r 设置为 r = p o l y (n )，即 S = p o l y (n ).下面的引理表明了本方案是一个l e v e l e d MK F H E 方案，同时也说明了在进行多方同态运算前，需要 预先设定用户数和运算电路深度的上界.引理4令9 = 2"'££(0，§)，乂为5界分布且丑=口〇以(〇).当密钥（用户）数斤和方案允许运算 的电路的深度i 满足本方案是一个l e v e l e d M K F H E 方案.证明：引理3给出了一次同态运算后密文噪声的增长情况，于是我们可以从初始密文中的噪声五〇 < 4p 2<5S 2开始计算L 层（乘法）运算后密文噪声的大小.经过i 层运算后，密文噪声增长为n o i s e (c m u i t ) — \\fs ■ c m u it [l ]||c x j等号成立.N L < 0{n e / l o g n ){(2p 〇jn 6B )2N )LE 〇 < (2pu ;n 6B )2N L +2692JournaZ 〇/CVyptok^ic i?esearc/i 密码学报 Vol.7, No.5, O ct. 2020为了能够正确解密，我们需要保证g g/2.已知p = 0(l)，w = 0(1),B =p o l y(n)，并 且文献[3]指出大多数情况下环常数<5满足<5=P〇l y(n)(这就要求我们选取满足此项要求的分圆多项式).根据上述条件可得N L < 0(l o g q/l o g n) =0(n£/l o g n)□4.4完全的多密钥全同态加密上文中我们得到的方案是一个l e v e l e d M K F H E方案.在这一小节中我们将说明，可以利用G e n t r y 所提出的b o o t s t r a p p i n g定理，将丨e v e l e d M K F H E方案转化为完全的M K F H E方案.G e n t r y在其开创性的工作％31中提出了 b o o t s t r a p p i n g定理，该定理指出如果一个同态加密方案能 够同态运行自己的增强解密电路，那么该方案就能够转化为一个完全的全同态加密方案.因此，需要对本 方案的解密电路的深度进行衡量.下面的引理给出了本方案解密电路深度的上界.弓丨理5本方案的解密电路可以用G F(2)上的深度为C»(l〇g i V.(l o g l〇g g+l〇g r a))的算术电路来实现.证明：假设c是密文，其对应的私钥集合为{/^方,...，/；v}，那么解密c的过程可以表示为NM K H E.DecC/i,/2,•■•,f N,c[l]) =c[l] ■/,i=l文献[4]己经证明，两个仏中的多项式的乘法可以通过深度为〇(l〇g l〇g g+l〇gn)的布尔电路来实 现.7V个多项式相乘可以通过深度为l o g7V的二叉树来实现，因此解密过程的布尔电路的深度为0(l o g7V• (l o g l o g^ +l〇g n))□根据上文的结论，我们得到定理5.定理5当g = 2n'e G(0，|)，x为召界分布且召=P〇M n)时，存在一个支持iV$1/^7^. (ne/2/l〇g n)个用户（C为常数)，安全性基于DRLWEg,x与DSPR^,X假设，且满足弱循环安全性的多 密钥全同态加密方案.证明：根据G e n t r y的b o o t s t r a p p i n g定理，要达到完全的全同态加密，解密电路的深度需要小于方 案能够同态运行的电路的深度，即对于某个常数C〉0,有如下不等式l o g A^•(l o g l o g^ +l o g n) <C•1〇S qN• log n当 .h e/2/1〇g几）时，有l o g N•(l o g l o g q+l o g n) ■N•l o g n <N2 •l o g n•(l o g l o g q+l o g n).C n e_ . . 2<2* ' 1^2^ '+€)'loS n<C-n€=C•l o g q从而得到定理中的结论.□4.5批处理利用中国剩余定理和文献I24j中提出的S I M D技术，可以将本方案转化为一个支持批处理的多密钥 同态加密方案.当选取合适的参数p和分圆多项式时，我们可以通过C R T将一组明文，//；〇映射为一个多项式，抖)，然后将"加密得到密文c.根据同态加密和C R T映射的特 性，并行加法和乘法可以分别通过密文加法和乘法实现.因此在本小节中，我们将主要讨论如何进行置换 运算.文献I25j提出了以自同构映射为基础来实现置换的方法，其中自同构映射是核心技术，下文将介绍 自同构映射在本方案中的应用.设密文C对应的明文为/i,对应的密钥为/ =/i/j…知，因此我们可知f(x)c(x) = n(x)g + pe(x)+(/>m(x)k(x)其中以办知⑷^/^^将自同构^:^:^:^泛^作用于该等式可得f(x l)c(xl)=n{xz)g+pe(xl)+(p m(xl)k(xl)己知0m〇r)能够整除彡€Z L从而我们可以将看作关于密钥/(V)的密文•然而 我们需要的密文应当是对应于密钥/(a〇的密文，因此我们在进行置换运算时，需要借助于密钥交换技术 (k e y s w i t c h i n g),将密文c〇c2)转化为一个新的密文c' =K e y S w i t c h W：^)),使得新密文能够用/⑷解密.下面将说明本方案中为实现置换运算所需要的密钥交换过程.设密文c(a;)对应的联合密钥为/⑷=/i(a;)/2(a〇•••/"(〇;)，密钥交换过程K e y S w i t c h k h1》分为 以下2步：•拥有密钥力的用户首先计算=M K H E.E n c^k，/^;^))，然后每个用户将各自的计算结果c t 发送到云端.•云端计算c，=c/i '9~\c h) ■■g~1{c f N)-g'^c^1))得到的计算结果c'即是所需的密文.下面说明K e y S w i t c h k W))输出的密文能够用联合密钥/解密.由加密过程可知，可以表示为 c/j =c(〇),A +其中是对应于/)的0的密文.于是有c/i'9_1(c/2) =c(0)i/l^~\〇/2) + f2{x')c{0)j2 + f i(x l)f2(xl)g在这个等式中，可以看作是对应于密钥A的0的密文，/2(;^)£：(0),/2可以看作是对应于 密钥/2的〇的密文，因此前两项之和.9_1(<；/2)+/2〇^)<=(0),/2可以看作对应于密钥/l/2的0的密文，我们将其记作c(0),/l/2，于是C/l的结果可以写作C/i' 9_1(c/2) =C(〇),/l/2+f i(x l)f2(x')g以此类推，我们能够得出c'可以表示为c，=c(〇),h h-f N+/i(x l)M x t)' ■'/n(x')c(x')=C(〇)i/l/2'-/jV f(X )C(X )其中C W A/l./i v是对应于密钥/ = /1/2...力V的0的密文.显然，当密文噪声不超过上界时，c'能够用 f =h f2. —f N 解密.5方案对比本节中我们将对比本方案与其他经典方案在性能上的差异.首先简要对比本方案与D o r f i z等人在2016年提出的方案（下称D S16方案）之间的异同.本方 案与D S16方案使用了类似的技术（即比特分解）来处理噪声的增长，但是不同之处在于D S16方案使用 了B i t D e c o m p、F l a t t e n等函数进行比特分解；本方案则利用工具向量g及其相对应的分解函数进行分解，此项差异造成了两个方案的密文大小以及同态运算的复杂度有所不同.设表示分圆多项式的 次数，g表示模数，那么D S16方案中密文的尺寸为0(n l o g3 g)，本方案中密文的尺寸为0(n l o g2g).相较 于D S16方案，本方案中的密文尺寸相对较小.在同态运算过程中，D S16方案需进行（维数为l o g q的，元 素为多项式的）矩阵加法和矩阵乘法，本方案则进行的是（维数为l o g g的，元素为多项式的）向量加法和 矩阵-向量乘法.相比之下，本方案的计算复杂度较低.另外，D S16方案讨论的是单密钥场景下的同态加 密算法，不需要D S P R假设；而本方案是多密钥场景下的基于N T R U的冋态加密方案，无法避免D S P R 假设.下面我们将与经典的多密钥同态加密方案进行对比.5.1与LTV12方案的比较本方案与L T V12方案都是基于N T R U的M K F H E方案，既有共同点也有不同点.两个方案在噪 声增长、可同态运行的电路深度等方面有着类似的结论，但是二者是利用不同的技术达成的.L T V12方 案利用r e lin e a r iz a tio n技术消除了联合私钥中的平方项，同时也实现了 key s w itc h in g的功能；又使用 了m o d u lu s s w itc h in g技术，将N T R U方案转化为一个leveled M K F H E方案.这两项技术的使用使 得L T V12方案必须在生成公私钥的同时生成运算密钥，并且在进行每一次同态运算（加法或乘法）时都 需要执行re lin e a riz a tio n操作，每一层同态运算后都要进行m odulus s w itc h in g,才能使得方案成为一个 leveled M K F H E方案.而本方案使用了工具向量和比特分解技术，使得实现同态运算所需的操作变得非 常简单，不需要额外的技术，并且直接将N T R U方案转化为一个leveled M K F H E方案.另外，实现本方案 的同态运算过程仅需要普通的多项式加法和乘法，以及一个将多项式分解的函数.相较于LTV12 方案，本方案更易于理解和代码实现.表1中列出了本方案与L T V12方案的一些基本参数之间的对比，其中n表示分圆多项式的次数，9 表示模数.从表1中可以看到，我们的方案不需要运算密钥，而L T V12方案需要尺寸为0(n l o g3g)的运 算密钥.虽然本方案在同态运算过程中的密文的尺寸是大于L T V12方案的（表1中密文尺寸一行)，但是 运算后得到的最终密文（解密时所需的密文）的尺寸与L T V12方案相同（表1中最终密文尺寸一行).表1与L T V12方案的基本性质的比较Table 1 Comparisons of basic properties with LTV12 scheme基本参数本方案L T V12方案公钥尺寸0{n\o g q)0(n log g)密文尺寸0(n log2 q)0(n log g)最终密文尺寸0(n log q)0(n log g)运算密钥/0(n log3 q)下面我们将对比本方案与L T V12方案在云计算场景下，用户端和云端分别所需执行的操作.将同 态加密算法应用于云计算场景时，用户端需要执行的主要操作是生成密钥和同态计算所需的参数（即运 行K e y G e n算法)，加密（E n c)和解密（D e c);云端进行的操作则是对用户上传的密文进行同态运算.我们 对两个方案在用户端所需的操作进行比较，因为在云计算场景中，我们希望用户端的开销能够尽可能地降 低.比较结果如表2所示.我们将表2中所列出的密钥生成和加密两个过程中用户端所做的操作综合起来进行对比：若加密1比特，本方案中用户端所需的全部操作是随机生成2个多项式，进行l o g g次多项式乘法和21〇g g次多项式 加法；L T V12方案中用户端所需的全部操作是随机生成2(l o g2 g+l o g(?)个多项式，进行6 l o g2<7+1次多。

一种基于ELGamal签名和零知识证明的身份认证方案
周先存; 侯整风
【期刊名称】《《微计算机信息》》
【年(卷),期】2004(20)5
【摘要】身份认证是网络安全技术的一个重要组成部分。

本文根据一种改进的ELGamal签名方案和零知识证明思想,提出一种高效的用户认证方案。

该方案不仅具有较低的计算复杂度,而且具有很高的安全性。

【总页数】2页(P114-114,16)
【作者】周先存; 侯整风
【作者单位】皖西学院
【正文语种】中文
【中图分类】TP391.4
【相关文献】
1.一种基于改进型ELGamal数字签名的身份认证方案 [J], 陈卫;孟浩
2.一种基于ElGamal数字签名的身份认证方案 [J], 姚传茂;叶震;申建;陈爱群
3.基于ElGamal数字签名的身份认证方案 [J], 符茂胜;侯正风
4.基于ElGamal数字签名的零知识证明身份鉴别方案 [J], 张晓敏;张建中
5.一种基于ElGamal数字签名的身份认证方案 [J], 喻镝;祁明;张益新
因版权原因，仅展示原文概要，查看原文内容请购买。

基于ECC的区块链数据共享系统设计
林洁和;张绍华;李超;戴炳荣
【期刊名称】《计算机工程与科学》
【年(卷),期】2022(44)5
【摘要】区块链技术通过在对等网络环境下构建不可伪造、不可篡改和可追溯的链式数据结构的模式,解决了传统数据共享所存在的数据泄露、数据篡改和数据难溯源等问题。

然而现存的区块链数据共享方案还存在成本高、效率低和安全性差等问题,对此提出了一个基于椭圆曲线加密算法ECC的区块链数据共享方案并进行了系统设计。

该方案依靠ECC算法来保证数据传输过程的安全性,改善现有方案所存在的问题。

利用Solidity编程语言编写对应的智能合约,基于以太坊平台对数据共享系统进行了仿真和测试,验证了方案的正确性和安全性。

【总页数】9页(P810-818)
【作者】林洁和;张绍华;李超;戴炳荣
【作者单位】上海海洋大学信息学院;上海计算机软件技术开发中心
【正文语种】中文
【中图分类】TP311
【相关文献】
1.基于区块链的高价值数据共享系统设计
2.基于区块链的真实世界数据共享系统研究
3.基于区块链的医疗数据共享安全平台的设计与实现
4.基于改进ECC的区块链物流节点认证技术
5.基于区块链的数据共享管理系统设计
因版权原因，仅展示原文概要，查看原文内容请购买。

一种基于多混沌序列的加密与云存储持有性证明算法刘凯乐;从正海;王博文【期刊名称】《计算机与现代化》【年(卷),期】2017(000)011【摘要】针对云存储数据的保密性与完整性问题,提出一种基于多混沌序列的加密与云存储持有性证明算法,该算法可对存储在云端数据进行加密的同时支持PDP校验.用户只需掌握一对由纯小数和整数组成的密钥,使用本算法生成多条混沌伪随机数序列,一次性完成云存储数据的加密、PDP校验码的生成与嵌入.由于本文算法采用伪随机数隐藏嵌入PDP校验码的位置与数值,可以支持无限次的PDP校验请求.实验表明,该算法具有较强的数据安全保护能力以及良好的数据加解密效率.%To protect the confidentiality and integrity of data stored in cloud,we propose a new data encryption and PDP verification algorithm based on multi chaos sequences,which can encrypt cloud storage data and support PDP verification at the same time.By the algorithm,users can produce multi chaos sequences by a key composed of a pure decimal and aning those sequences,they can complete cloud storage data encryption and PDP verification code embedding by running the algorithm once.Because it hides the places and values of embedded PDP verification code by chaos sequences,the algorithm supports unlimited times PDP verification request.Experiments show that the algorithm has strong ability of data security protection and outstanding efficiency of data encryption and decryption.【总页数】5页(P100-104)【作者】刘凯乐;从正海;王博文【作者单位】国家电网公司,北京100031;南瑞集团公司(国网电力科学研究院),江苏南京211106;南瑞集团公司(国网电力科学研究院),江苏南京211106【正文语种】中文【中图分类】TR309.2【相关文献】1.一种基于DCT和混沌序列的图像加密算法 [J], 燕善俊;程德强2.一种基于改进的logistic映射的混沌序列加密算法 [J], 张翌旸n;刘胜长;董妍3.一种基于复合混沌序列的实时视频流加密算法 [J], 龙敏;谭丽4.一种基于交叉混沌序列的图像加密算法 [J], 漆世钱;赵强5.一种基于复合混沌序列的图像加密算法安全分析 [J], 胡迎春;禹思敏因版权原因，仅展示原文概要，查看原文内容请购买。

《基于同态加密的密文检索技术研究》篇一一、引言随着信息技术的飞速发展，数据安全与隐私保护问题日益突出。

在大数据时代，如何确保数据的机密性、完整性和可用性成为了亟待解决的问题。

同态加密技术作为一种能够实现在密文状态下进行计算和检索的技术，为解决这一问题提供了有效的手段。

本文旨在研究基于同态加密的密文检索技术，为保障数据安全与隐私提供新的思路和方法。

二、同态加密技术概述同态加密是一种允许对密文进行计算和操作，而结果仍然保持加密状态的加密技术。

其核心思想是在不暴露明文数据的情况下，对密文数据进行计算和处理，从而得到对明文数据的某种“映射”。

同态加密技术分为部分同态和完全同态加密两种。

部分同态加密只能进行有限次数的加密运算，而完全同态加密则可以在不限制次数的条件下进行加密运算。

三、密文检索技术研究密文检索是指在不对密文进行解密的情况下，通过一定的算法和技术，从密文中提取出有用的信息。

传统的密文检索技术主要依赖于关键词匹配、向量空间模型等方法，但这些方法在处理大规模数据时存在效率低下、隐私泄露等问题。

而基于同态加密的密文检索技术，可以在保证数据安全的前提下，实现高效的密文检索。

四、基于同态加密的密文检索技术研究基于同态加密的密文检索技术主要涉及到同态加密算法、索引结构和检索算法等方面。

首先，选择合适的同态加密算法是保证密文检索安全性和效率的关键。

其次，设计合理的索引结构，将明文数据转化为密文数据并进行索引，以便于后续的检索操作。

最后，研究高效的检索算法，实现对密文数据的快速检索。

在具体实现过程中，可以采用基于树形结构的索引方法、基于布隆过滤器的快速匹配算法等技术手段，提高密文检索的效率和准确性。

同时，为了进一步保障数据安全，还可以结合其他密码学技术和隐私保护方法，如零知识证明、差分隐私等，对密文数据进行额外的保护和处理。

五、应用前景与挑战基于同态加密的密文检索技术在云计算、大数据分析、医疗健康等领域具有广泛的应用前景。