李菊雁;马春光;赵乾
【摘 要】在格上利用2个不同的加密方案及拉格朗日插值多项构造了一个可重新拆分的门限多代理者的代理重加密方案,即在密文输入输出面与重加密面的加密方案是不同的,这使噪音的界有更宽的选择范围.另外,门限多代理者不仅保证了重加密密钥的安全性,而且当个别代理不能提供正常服务时,重加密方案仍能正确工作.该方案证明是IND-UniRTPRE-CPA安全的.%Two different encryption schemes and Lagrange polynomial were used to construct a resplittable threshold multi-broker proxy re-encryption scheme on the lattice,namely the encryption in the ciphertext input and output side was different from the encryption in the re-encryption side which make the bound of noise was more relaxed.Threshold multi proxy not only ensure the safety of re-encryption key,but also ensure re-encryption scheme can still work even if the individual proxy could not provide normal services.The scheme is proven IND-UniRTPRE-CPA secure.
【期刊名称】《通信学报》
【年(卷),期】2017(038)005
【总页数】8页(P157-164)
无铁硫酸铝【关键词】代理重加密;门限多代理者;容错学习问题;IND-UniRTPRE-CPA安全
【作 者】李菊雁;马春光;赵乾
【作者单位】哈尔滨工程大学计算机科学与技术学院,黑龙江哈尔滨150001;哈尔滨工程大学计算机科学与技术学院,黑龙江哈尔滨150001;中国科学院信息工程研究所信息安全国家重点实验室,北京100093;哈尔滨工程大学计算机科学与技术学院,黑龙江哈尔滨150001
【正文语种】中 文
【中图分类】速录器TP309
随着云计算的发展,越来越多的用户选择将数据加密后存储在云中,因此,如何灵活地共享存储在云中加密的数据成为一个挑战。代理重加密为云数据加密共享提供了一种有效的解决方案。门限密码技术可以用于密钥托管,并且能有效地增强数字签名服务器及认证服
务器的安全性和可靠性,在数字签名、认证及秘密恢复系统中也有着重要的应用。当用户将云中的数据共享时,并不能保证代理的诚实(计算),而门限密码可以允许个别代理的不诚实或不正常工作,因此,研究门限多代理者的代理重加密方案具有重要的现实意义。
代理重加密(PRE)是公钥加密的一个扩展。在一个PRE方案中,代理者(一般为半诚实的)获得一个从授权者Alice 到受理者Bob的代理重加密密钥和Alice的一个密文,在不对解密的情况下输出一个Bob的输出密文,使Bob对解密得到的明文和Alice对解密得到的明文相同,而代理者不能获得任何明文信息[1]。PRE最近引起了广泛的研究[2~10]。格密码是一种抗量子计算攻击的公钥密码体制。自从Regev[11]在量子归约下证明了容错学习(LWE, learning with error)问题至少与最坏情况的近似因子为的求格最短向量(SVP)问题、最短线性无关向量(SIVP)问题的变体一样困难,其中,是 LWE 实例中与扰动分布的方差有关的参数。基于LWE的格上代理重加密方案引起了广泛的关注。
Xagawa[2]在格上构造了第一个双向的PRE方案,并证明方案是CPA安全的,但是该方案不能抵抗合谋攻击。Aono等[3]利用Lindner[12]的加密方案在格上构造了一个密钥隐私的PRE方案(KP-PRE)。Singh等[4]指出Aono等[3]的方案在主密钥安全模型下是不安全的,
紫外线吸收剂329
即当代理者和受理者共谋时可以攻击授权者的密钥。Nishimak等[5]分别利用Lindner等[12]的加密方案和Regev[11]的加密方案构造了2个密钥隐私的PRE方案,即Reg-to-Reg方案和LP-to-LP方案。Jiang等[6]利用Gentry等[13]的加密方案构造了一个抗共谋攻击的PRE方案,并且证明该方案在标准模型下是CPA安全的。周潭平等[8]构造了一个全同态代理加密方案。Singh等[9]构造了一个基于身份的单向PRE。苏等[10]构造了一个面向移动云计算的多要素代理重加密方案。但是这些PRE方案的构造,都只是利用一个加密方案,即在密文输入输出面的加密方案与重加密面的加密方案是相同的。本文将利用2个不同的加密方案构造一个代理重加密方案,即加密算法与重加密算法是不同的。
门限密码的思想是由Desmedt等[14]在1989年首次提出的。一个(t, u)门限公钥加密方案(TPKE)指的是在一个公钥加密方案中,密钥被分给u个不同的用户,只有当至少t个用户共同解密时,才能正确对密文进行解密。可重新拆分的门限公钥加密方案指的是在门限公钥加密方案中引入了一个新的算法——Tsplit。可重新拆分的门限公钥加密方案(RTPKE)由Hanaoka等[15]在2012年首次提出,在RTPKE中,如果随机算法Tsplit输出的共享腐败私钥的个数小于t,则私钥的拆分能做任意多项式次。但是在TPKE中,私钥的拆分只能在密钥生成算法中执行一次。
Singh等[16]在格上构造了一个RTPKE,并证明其是在LWE假设下是CPA安全的。楼圣铭等[17]首次将代理重加密与门限密码和基于身份密码相结合,提出第一个基于身份的门限多代理者的代理重加密方案。但是其安全性是基于q增加双线性Diffie-Hellman指数的。
本文的主要贡献是,首先在格上利用2个不同的加密方案构造一个门限多代理者的代理重加密方案,即利用Regev[11]的加密方案和Lindner[12]的加密方案构造一个重加密方案,在密文输入输出时的加密方案是Lindner[12]的加密方案,而在重加密时利用的是Regev[11]的加密方案,这使噪音的界有更宽的选择范围。其次是在格上将PRE与门限密码结合。最后证明该方案是选择明文攻击下不可区分(IND-UniRTPRE-CPA)安全的。
本文中的数、列向量、矩阵分别记为、、X。()表示对数向下、向上和四舍五入取整。、分别表示向量、矩阵的转置,向量的内积记为,表示k阶单位矩阵。,,[k]表示集合,表示向量的模,当p=2时,V的l2模||V||2指的是V的欧几里得模,||||2简记为||V||,当p=∞时,V的l∞模||V||∞指的是V中元素的最大量级。对于概率分布而言,表示依概率分布选取,对于集合S,表示在集合S上均匀随机选取。
对于2个矩阵,规定是X与Y的按列连接。对于2个矩阵,规定是X与Y的按行连接。对于任
意的向量,记。
对于向量,规定
其中,。对于矩阵A,表示用函数依次作用于A的列。
hcpl2630引理1[5](leftover hash引理)设为素数,假设D为上最小熵为的分布,那么和的统计距离
其中,,,。
定义1[11] 对于整数,向量及一个上的误差分布,选取及,输出,该分布为。的判定问题为,以不可忽略的优势区分m个来自的取样和m个上的均匀随机取样是困难的。
定义2[18] 对于一个给定在整数上的分布全体,如果是可忽略的,则称为B界的。
定义3[16] 拉格朗日插值多项是 ,其中,, 为给定的n+1对数,其中。
s602定理1[16] 在二维平面中,对于给定的个不同的点,其中,,存在且仅存在一个次多项式,使,。
Nishimak等[5]指出在一个单跳的单向代理重加密方案中,存在2种类型的密文,一种是输入密文,记作,另一种是输出密文,记作。代理可以把输入密文转换成输出密文,而不可以把输出密文转换成另外的密文,Nishimak等[5]构造的方案包括2个公钥加密方案和一个重加密方案(将一个方案的输入密文转化为另一个方案的密文)。本文类似于Nishimak等[5]构造的代理重加密方案,也研究一种称为2种格式的重加密方案,并借鉴了Singh等[16]构造的RTPKE,楼等[17]构造的基于身份的门限多代理者的代理重加密方案。可重新拆分的门限多代理者的代理重加密方案为定义4。
定义4一个单向的可重新拆分的门限多代理者的代理重加密方案(UniRTPRE)由以下10个算法组成。
1) 初始化阶段Setup():对给定的安全参数k,输出公共参数。
2) 加/解密密钥生成算法Gen:对于给定的pp, 输出一对加密/解密密钥。
3) 输出面的加密算法:对于给定的、和明文, 输出一个输出面的密文。
纯植物洗面奶
4) 输出面的解密算法:对于给定输出面的和, 输出明文或错误符号。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议