CN111917547A - 基于陷门二元单向函数的广播加密方法及装置 - Google Patents

Abstract

本发明提供了一种基于陷门二元单向函数的广播加密方法及装置，主要涉及到陷门二元单向函数TB‑OWF的大规模群组下用户密钥提取方法，以及基于环上带误差学习RLWE的困难性假定，设计了基于格的多重带误差学习Multi‑LWE的加密方案，并且本发明进一步证明了该方案在标准模型下，具有针对敌手选择的明文攻击或者合谋攻击(IND‑CPA‑CA)具有语义安全性。本发明所提出的基于RLWE的广播加密方案，在不知道陷门的情况下，私钥的求解变得十分困难。采用多重带误差学习Multi‑LWE加密方案，提高了加密效率以及密文的安全性。广播加密***中，用户的数量无限，加密方案更加简化。

Description

基于陷门二元单向函数的广播加密方法及装置

【技术领域】

本发明涉及信息安全技术领域，尤其涉及一种基于陷门二元单向函数的广播加密方法及装置，并且具有抗合谋攻击。

【背景技术】

2005年，Regev首次提出了带误差学习(LWE)问题，作为一个可归约到格上最坏情形困难问题的一般情形困难问题，在格密码学中被广泛使用。LWE问题分为两种，一种是LWE的搜索性问题，记为search-LWE，另一种是LWE的判定性问题，也叫做decision-LWE问题，在密码学***应用中，多数是基于LWE的判定性问题。在此基础上，关于环上带误差学习(RLWE)的困难问题是由Lyubaskevsky，Peikert和Regev在2010年的欧密会上提出的，RLWE问题克服了LWE问题的公钥长度大，密文扩展率高的缺点，被广泛应用到密码学方案设计中。

除此之外，单向陷门函数也是保证密码方案的安全性中常用的一项技术，陷门单向函数是一类有陷门的特殊的单向函数，利用单向函数的不可逆性，它在一个方向上易于计算而反方向却难于计算，但是,如果知道这个陷门，就能够很容易在另一个方向上计算出这个函数。

广播加密的核心思想是广播者将消息加密通过广播方式发送给大量用户，每一个合法的接收者利用其私钥解密出相应的明文来，对于不属于该群组的任意非法用户，均不能成功进行如上的解密操作，广播加密方案已经得到了广泛的应用，包括付费电视***、CD/DVD等有版权资料的分发等，广播加密领域最早由Fiat和Naor正式引入，并受到广泛关注。

由于广播加密是面向群体的，而合谋攻击最有可能发生在敌手和一些拥有有效密钥的内奸之间，因此，在面向群体的密码***的研究中必须考虑合谋攻击，如何将的密文安全地分享给一个任意选定的接收者集合,是广播加密关心的问题。

为了解决广播加密的合谋攻击问题，本发明主要依靠上述两种技术，提出一种基于陷门二元单向函数的广播加密方法，提供一种基于陷门二元单向函数的密钥提取方法，并基于RLWE的困难性假定，设计了安全的多重带误差学习Multi-LWE的加密方案，并且本方案进一步证明了该方案在标准模型下，具有针对敌手选择的明文攻击或者合谋攻击(IND-CPA-CA)具有语义安全性。

【发明内容】

有鉴于此，本发明提供了一种基于陷门二元单向函数的广播加密方法及装置，该方案主要涉及到陷门二元单向函数的密钥提取方法，以及基于RLWE的困难性假定，设计了多重带误差学习Multi-LWE的加密方案，并且本方案进一步证明了该方案在标准模型下，具有针对敌手选择的明文攻击或者合谋攻击(IND-CPA-CA)具有语义安全性。

如上所述的方面和任一可能的实现方式，进一步提供一种抗合谋攻击的广播加密方法，所述广播加密方法包括以下步骤：

S1：初始化算法Setup：以安全参数n作为输入，通过陷门构造函数TrapGen，输出公钥pk和主秘钥msk；

S2：密钥提取算法Extract：每个用户具有唯一的序列号i,以公钥pk，主秘钥msk和用户的序列号i作为输入，利用陷门二元单向函数TB-OWF，构造用户的私钥sk_i，并且输出用户的私钥sk_i；

S3：加密算法Encrypt:以公钥pk和消息M作为输入，通过多重带误差学习Multi-LWE的加密方案，对消息M进行加密，输出密文C。

S4：解密算法Decrypt:用户以密文C和用户唯一的序列号i以及各自的私钥sk_i作为输入，然后用户利用私钥sk_i，利用带误差的概率解密算法，解密广播密文C获得消息M。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述S1中初始化算法Setup的实现方法具体为：

利用安全参数n，计算基于环R＝Z[x]/＜f(x)＞上的RLWE陷门构造函数TrapGen(n)得到二元组(a,T)，其中，安全参数n是由整数表示的密码算法强度，通常表示密码***中密码参数的最小长度，

与a相关的陷门

然后随机选择

在R_q上获取均匀随机多项式样本u，并令pk＝(a,c,u)，主秘钥msk的值等于陷门T。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述S2中密钥提取算法Extract的实现方法具体为:

在R_q ^m上为每个用户i选择一个随机元素o_i，σ和ξ是高斯分布的参数，结合所述的公钥pk，主秘钥msk以及用户唯一的序列号i，计算高斯原像采样算法SamplePre(a,T,u+co_i,σ,ξ),得到短向量d_i并且满足ad_i＝u+co_i,由此得到用户的私钥sk_i＝(o_i,d_i)。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述S2中的陷门二元单向函数TB-OWF的具体实现方法为：给定

和

对任意

TB-OWF函数f:X×Y→Z表示为f(x,y)＝ax+cy＝z，其陷门为高斯原像采样算法SamplePre中的T，所述陷门二元单向函数TB-OWF满足以下性质：

1)易于计算：对于每一对输入(x,y)，存在有效算法A，在多项式时间计算出函数值z＝A(x,y)；

2)不可逆性：a.给定z，对于任意的y，计算出x使得f(x,y)＝z的概率是可忽略的；b.给定z，对于任意的x，计算出y使得f(x,y)＝z的概率是可忽略的；

3)存在陷门：给定z，对于任意的y，存在多项式时间算法g和陷门T，计算出x＝g_T(z,y)满足z＝f(x,y)。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述S3中加密算法Encrypt的实现方法具体为：在R_q中选择一个随机值s，然后选择噪音向量e属于误差分布χ，e'和e”属于误差分布χ^m，利用所述公钥pk和消息M∈{0,1}ⁿ且转化为R₂中的向量，通过多重带误差学习Multi-LWE的加密方案对消息M进行加密，加密算法为：

输出密文C＝(c,t,z)。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述S3中多重带误差学习Multi-LWE的加密方案的构造方法为：

I：根据RLWE的困难性问题假设形式，令函数LWE(x)＝xs+e，其中s∈R_q，e是χ分布的样本,将公钥pk＝(a,c,u)代入有：

LWE(a)＝as+e,

LWE(u)＝us+e',

LWE(c)＝cs+e”,

其中，e属于误差分布χ，e'，e”均为取自χ^m分布的样本；

II：由私钥sk满足的关系式ad＝u+co，可得到

LWE(a)d＝LWE(u)+LWE(c)o；

III：将消息M与式LWE(u)组合，得到密文C＝(c,t,z)。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述S4中解密算法Decrypt的实现方法具体为：利用密文C和私钥sk_i计算c'＝zd_i-to_i∈R_q；然后计算r＝c-c'∈R_q，如果r中的第i个分量r_i更接近0而不是

消息M中的第i个分量M_i为0，否则为1。

如上所述的方面和任一可能的实现方式，进一步提供一种实现方式，所述S4中带误差的概率解密算法具体为：

对于用户的私钥sk_i＝(o_i,d_i)及所有足够小的噪声项e、e'、e”，根据私钥满足的关系式ad_i＝u+co_i，可得c'＝zd_i-to_i∈R_q，即

c'＝zd_i-to_i＝(as+e”)d_i-(cs+e')o_i＝us+e”d_i-e'o_i,

计算r＝c-c'∈R_q，r表示为

在满足误差限定即

的条件下，当M_i＝0时，

当M_i＝1时，

算法正确的解密并输出正确的消息M。

如上所述的方面和任一可能的实现方式，进一步提供一种抗合谋攻击的广播加密装置，所述装置包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的抗合谋攻击的广播加密的处理程序，所述抗合谋攻击的广播加密的处理程序被所述处理器执行时实现任一项所述的抗合谋攻击的广播加密方法的步骤。

如上所述的方面和任一可能的实现方式，进一步提供一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有抗合谋攻击的广播加密的处理程序，所述抗合谋攻击的广播加密的处理程序被处理器执行时实现任一项所述的抗合谋攻击的广播加密方法的步骤。

与现有技术相比，本发明可以获得包括以下技术效果：

1)本发明所提出的基于RLWE的广播加密方案，采用陷门二元单向函数来构造私钥，在不知道陷门的情况下，私钥的求解变得十分困难。

2)本发明采用多重带误差学习Multi-LWE加密方案，提高了加密效率以及密文的安全性。

3)本发明的广播加密***中，用户的数量是无限的。公钥和密文的大小是恒定的，私钥是短向量，使得加密方案更加简化。

4)本发明的广播加密方案在叛逆者合谋下的选择明文攻击是符合语义安全的。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有技术效果。

【附图说明】

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明一个实施例提供的广播加密方法的流程图。

【具体实施方式】

为了更好的理解本发明的技术方案，下面结合附图对本发明实施例进行详细描述。

应当明确，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。

本发明提供一种基于陷门二元单向函数的广播加密方法、装置及可读存储介质。本发明具体通过以下技术方案实现：

首先对主要的符号以及引用的已有的算法解释：

首先定义多项式f(x)＝(xⁿ+1)，其中，n是2的幂，定义R＝Z[x]/＜f(x)＞，R是一个分圆多项式环，环元素是至多n-1维且具有整数系数的多项式，选一个足够大的素数q＝1mod2n，令R_q＝R/qR是一个环，其中多项式系数的算术运算是按模q执行的，系数表示为区间(-q/2,q/2)内的整数，对于任何整数m＞1,

代表R_q上的环元素是列向量或者是矩阵，定义a[k]是环元素a的第k个分量。

本法明涉及到的函数的概率是可忽略(negligible)，其定义如下：

函数ε(n)是概率可忽略的，如果对于任意的正整数c，存在一个整数N，那么对所有的n＞N，|ε(n)|＜1/n^c成立。

本发明所涉及到的基于环LWE的判定性问题(R-DLWE)，其定义为：对于一个素数q和一个定义在环上的分布χ，判定RLWE问题实例是访问未指定的挑战数O，它或者是一个带有均匀选择的常量s的噪音伪随机样本O_s，或者是一个均匀样本O_$,具体如下：

O_s：输出的样本形式为(a,b)＝(a,as+e)∈R_q×R_q，其中s是R_q上的均匀分布的固定值，整个调用过程中保持不变，a是R_q上均匀选取的，e是χ分布的样本。

O_$：输出真正的均匀随机样本(a,b)∈R_q×R_q。

本发明涉及到基于环R＝Z[x]/＜f(x)＞上的RLWE陷门构造函数TrapGen，其输入参数是(κ,q)，其中，κ是安全参数，q是一个素数且q＝2^k(k∈)，算法输出一个统计上接近均匀分布的向量a，

以及陷门矩阵T，

本发明涉及到高斯原像采样算法SamplePre，其输入参数为(a,T,u,σ,ξ)，其中，T是a的陷门且a与陷门T是根据算法TranGen生成的，u是目标参数，σ和ξ是两个高斯参数，算法输出一个向量

且满足ax＝u。

对于任何m维的格Λ，任意实数ε＞0，光滑参数η_ε(Λ)是最小的实数σ＞0且满足ρ_1/σ(Λ^*\{0})≤ε。对于向量c∈R^m，ξ相关实数ε∈(0,1)并且σ≥η_ε(Λ)，向量

服从误差分布χ^m，则满足如下等式

本发明涉及到陷门单向函数，陷门一元单向函数的定义如下：

函数f:X→Y被称为陷门一元单向函数，如果满足

1)易于计算：对于每一个输入x，存在有效算法A，在多项式时间计算出函数值y＝A(x)。

2)不可逆性：对于指定的y，计算出x＝f^-1(y)的概率是可忽略的。

3)存在陷门：对于任意的y，存在多项式时间算法g和陷门T，计算出x＝g_T(y)且y＝f(x)。

本发明涉及一种RLWE的公钥广播方案，该方案由4个子算法构成：如图1所示：

S1：初始化算法Setup：以安全参数n作为输入，通过陷门构造函数TrapGen，输出公钥pk和主秘钥msk。

S2：密钥提取算法Extract：每个用户具有唯一的序列号i,以公钥pk，主秘钥msk和用户的序列号i作为输入，利用陷门二元单向函数TB-OWF构造用户的私钥sk_i，并且输出用户的私钥sk_i。

S3：加密算法Encrypt:以公钥pk和消息M作为输入，通过多重带误差学习Multi-LWE的加密方案，对消息M进行加密，输出密文C。

S4：解密算法Decrypt:用户以密文C和用户序列号i以及各自的私钥sk_i作为输入，然后用户利用私钥sk_i，利用带误差的概率解密算法，来解密广播密文C获得消息M。

所述初始化算法Setup的实现方法为：利用安全参数n，计算基于环R＝Z[x]/＜f(x)＞上的RLWE陷门构造函数TrapGen(n)，得到二元组(a,T)，其中，

与a相关的陷门

然后随机选择

在R_q上获取均匀随机多项式样本u，并令pk＝(a,c,u)，主秘钥msk的值等于陷门T。

所述密钥提取算法Extract的实现方法为：在R_q ^m上为每个用户i选择一个随机元素o_i，σ和ξ是高斯分布的参数，结合所述的公钥pk，msk以及用户序列号i，计算高斯原像采样算法SamplePre(a,T,u+co_i,σ,ξ),得到短向量d_i并且满足ad_i＝u+co_i,由此得到用户的私钥sk_i＝(o_i,d_i)。

进一步的，本发明在构造私钥时，涉及到陷门二元单向函数TB-OWF，在所述私钥满足的关系式中，令私钥二元组为未知数(x,y)，令u为未知数z，则私钥二元组满足的关系式为ax＝z+cy，由此，私钥二元组满足陷门二元单向函数f(x,y)＝ax-cy。在没有陷门T的情况下，难以获取私钥，由此保证了广播加密中用户密钥的安全性。

进一步的，本发明提出了陷门二元单向函数TB-OWF的定义为：给定

和

对任意

TB-OWF函数f:X×Y→Z表示为f(x,y)＝ax+cy＝z，陷门为高斯原像采样算法SamplePre中的T，其特征在于：

1)易于计算：对于每一对输入(x,y)，存在有效算法A，在多项式时间计算出函数值z＝A(x,y)；

2)不可逆性：a.给定z，对于任意的y，计算出x使得f(x,y)＝z的概率是可忽略的；b.给定z，对于任意的x，计算出y使得f(x,y)＝z的概率是可忽略的；

3)存在陷门：给定z，对于任意的y，存在多项式时间算法g和陷门T，计算出x＝g_T(z,y)满足z＝f(x,y)。

所述加密算法Encrypt的实现方法为：在R_q中选择一个随机值s，然后选择噪音向量e属于误差分布χ，e'和e”属于误差分布χ^m，利用所述公钥pk和消息M∈{0,1}ⁿ且转化为R₂中的向量，，通过多重带误差学习Multi-LWE的加密方案对消息M进行加密，所述加密算法为

输出密文C＝(c,t,z)。

进一步的，多重带误差学习Multi-LWE的加密方案的构造如下：

首先，根据RLWE的困难性问题假设形式，令函数LWE(x)＝xs+e，其中s∈R_q，e是χ分布的样本,将公钥pk＝(a,c,u)代入有：

LWE(a)＝as+e,

LWE(u)＝us+e',

LWE(c)＝cs+e”,

其中，e，e'，e”都是取自χ^m分布的样本；

然后，由私钥sk满足的关系式ad＝u+co可近似得到LWE(a)d＝LWE(u)+LWE(c)o。最后，将消息M与式LWE(u)组合，得到密文

C＝(c,t,z)。

所述解密算法Decrypt的实现方法为：利用密文C和私钥sk_i计算c'＝zd_i-to_i∈R_q；然后计算r＝c-c'∈R_q，如果r中的第i个分量r_i更接近0而不是

消息M中的第i个分量M_i为0，否则为1。

进一步的，为了确保本发明方案的正确性，在解密解密算法Decrypt中利用了带误差的概率解密算法，对于用户的私钥sk_i＝(o_i,d_i)及所有足够小的噪声项e、e'、e”，根据私钥满足的关系式ad_i＝u+co_i，可得c'＝zd_i-to_i∈R_q，即

c'＝zd_i-to_i＝(as+e”)d_i-(cs+e')o_i＝us+e”d_i-e'o_i,

然后计算r＝c-c'∈R_q，r可以表示为

在满足误差限定即

的条件下，当M_i＝0时，

当M_i＝1时，

算法正确的解密并

输出正确的消息M。

进一步的，本发明的广播加密方案的密文在抗选择明文攻击下是符合语义安全的，安全性是通过以下敌手A和挑战者之间的以下游戏来定义的：

1)敌手A首先输出他想要攻击的第i个接收者。

2)挑战者运行Setup算法来获得公钥pk,然后把公钥发送给敌手A。

3)敌手A发送两个消息M₀和M₁给挑战者，挑战者随机选择b，b∈{0,1}，

并且运行加密函数Encrypt(pk,M_b)算法来获得密文C^*，然后挑战者把密文C^*

发送给敌手A。

4)敌手A输出关于b的猜测b'，b'∈{0,1}，如果b＝b'，敌手就赢得了游戏。

接收者用他们自己的私钥解密加密的消息，在这个游戏中，敌手A可以知道所有用户的密钥，本发明把这样的敌手称为IND-CPA-CA敌手，定

义

作为敌手A赢得了上述游戏，并且有

本发明证明了广播加密方案对IND-CPA-CA是语义安全的。

实施例1：

为了叙述的方便，本发明首先给出一些符号上的说明。记R是是一个分圆多项式环，并且定义定义R＝[x]/＜f(x)＞，其中，多项式f(x)＝(xⁿ+1)，n是2的幂。R_q表示R中多项式系数的算术运算是按模q执行的，即R_q＝R/qR，其中，q是一个大素数且满足q＝1模2n，记

代表R_q上的环元素是列向量或者是矩阵，其中，m是整数且m＞1，定义a[k]是环元素a的第k个分量。

本发明所提出的抗合谋攻击的广播加密方案是定义在环上的，基于RLWE困难性假设进行设计的，***包括一组用户且用户的数量是无限的，设n是安全参数，公钥和密文的大小是恒定的，私钥是短向量。

1)初始化算法：首先，***管理者根据安全参数n调用RLWE的陷门构造函数TrapGen(n)生成(a,T)，其中

T是与a的陷门，然后他随机选择一个c，

以及一个多项式样本u，u∈R_q，最后生成一个公钥pk＝(a,c,u)主秘钥msk＝T。

2)提取算法：每个用户的序列号为i，***管理者为为每个用户随机选择元素o_i，o_i∈R^m，并且σ和ξ是高斯分布的参数，调用高斯原像抽样算法SamplePre(a,T,u+co_i,σ,ξ)为每个用户产生一个短向量d_i并且满足ad_i＝u+co_i，***管理者为每个用户分配私钥sk_i＝(o_i,d_i)。

3)加密算法：对于消息M，发送者随机选择一个秘密s，s∈R_q，然后选择误差噪音向量e，e'和e”，e属于误差分布χ，e'和e”属于误差分布χ^m，利用公钥pk,按照如下方法计算密文：

密文C＝(c,t,z)。

4)解密算法：接收者接收到发送者发送的密文之后，如果接收者是有效的用户，则接收者可以利用自己的私钥计算下面的等式

c'＝zd_i-to_i＝(as+e”)d_i-(cs+e')o_i,

＝us+e”d_i-e'o_i∈R_q

然后计算r，

限定误差

接收者可以正确的解密并输出正确的消息M，如果r中的第i个分量r_i更接近0而不是

消息M中的第i个分量M_i为0，否则为1。

本发明可以证明本发明的广播加密方案在基于RLWE的困难性假设的条件下，选择明文攻击或者合谋攻击是符合语义安全的。

假设存在一个PPT敌手A，它以优势ε破坏本发明BE方案的IND-CPA-CA安全性，即

即存在一个模拟器算法B，它可以以不可忽略的概率解决R-DLWER_q,χ问题。

回顾R-DLWE的定义，一个R-DLWER_q,χ问题实例可以作为样本数据O，它可以是真的随机数O_$，也可以是关于秘密s∈R_q的一个噪音伪随机数O_s，B查询R-DLWE数据O(·)共2m+1次，得到一组R-DLWE样本，为

对于数据O_s满足y_i＝u_is+e_i，对于数据O_$有y_i∈R_q，利用

下面的游戏来描述B的构造。

1)初始化Init：敌手A宣布要攻击的第i^*个接收者，然后将i^*发送给B。

2)配置Setup：B开始执行，首先，从R-DLWE中得到2m+1(u_i,y_i)∈R_q×R_q，i∈[0,2m]；其次，分配第0个R-DLWE样本u₀成为公共多项式样本u，u＝u₀；接着，设置a的第i行为u_i，从R-DLWE样本i∈[1,m]得到

然后，再通过设置c的第i行为u_i,从R-DLWE样本i∈[m+1,2m]中得到

最后B返回公钥pk＝(a,c,u)给敌手。

3)挑战Challenge：A发送两个消息M₀,M₁∈{0,1}给B，B随机选择b^*∈{0,1}，用DLWE来计算

t^*＝y₁，z^*＝y₂并且有y₀∈R，

以及

最后B返回挑战密文C^*＝(c^*,t*,z^*)。

4)猜想Guess：敌手输出关于b^*的猜想b'，如果b'＝b*，B输出1，否则输出0。

三元组(a,c,u)在实际攻击中的统计分布接近均匀分布，因为三元组中的每一个都是在上述模拟器中随机选择的，接下来，从两个方面分析了模拟器的有效性，如果一个数据O对于s是伪随机数(O＝O_s)的R-DLWE的例子,本发明有y₀＝us+e，y₁＝cs+e'以及y₂＝as+e”。

根据以上假设，对于有效密文，敌手A可以以不可忽略的优势ε猜测正确的b^*因此，B在这个游戏中成功的概率明显大于1/2即Pr[b'＝b^*|O＝O_s]≥1/2+ε。另一种是数据O从均匀分布(O＝O_$)中选择的R-DLWE实例，即y_i∈R_q，挑战密文

总是均匀选取的，因此，敌手A可以以1/2的概率猜测b^*，所以B就以1/2的概率赢得游戏，即

Pr[b'＝b^*|O＝O_$]＝1/2,

然后，本发明通过计算得到

这意味着B以不可忽略的概率ε/2赢得了比赛，由此证明本发明的方案对IND-CPA-CA是语义安全的。

以上对本申请实施例所提供的一种半自动焊接成型装置，进行了详细介绍。以上实施例的说明只是用于帮助理解本申请的方法及其核心思想；同时，对于本领域的一般技术人员，依据本申请的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本申请的限制。

如在说明书及权利要求书当中使用了某些词汇来指称特定组件。本领域技术人员应可理解，硬件制造商可能会用不同名词来称呼同一个组件。本说明书及权利要求书并不以名称的差异来作为区分组件的方式，而是以组件在功能上的差异来作为区分的准则。如在通篇说明书及权利要求书当中所提及的“包含”、“包括”为一开放式用语，故应解释成“包含/包括但不限定于”。“大致”是指在可接收的误差范围内，本领域技术人员能够在一定误差范围内解决所述技术问题，基本达到所述技术效果。说明书后续描述为实施本申请的较佳实施方式，然所述描述乃以说明本申请的一般原则为目的，并非用以限定本申请的范围。本申请的保护范围当视所附权利要求书所界定者为准。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的商品或者***不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种商品或者***所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的商品或者***中还存在另外的相同要素。

应当理解，本文中使用的术语“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。

上述说明示出并描述了本申请的若干优选实施例，但如前所述，应当理解本申请并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述申请构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本申请的精神和范围，则都应在本申请所附权利要求书的保护范围内。

Claims (10)

1.一种基于陷门二元单向函数的广播加密方法，其特征在于，所述广播加密方法包括以下步骤：

S1：初始化算法Setup：以安全参数n作为输入，通过陷门构造函数TrapGen输出公钥pk和主秘钥msk；

S2：密钥提取算法Extract：每个用户具有唯一的序列号i,以公钥pk，主秘钥msk和用户的序列号i作为输入，利用陷门二元单向函数TB-OWF构造用户的私钥sk_i，并且输出用户的私钥sk_i；

S3：加密算法Encrypt:以公钥pk和消息M作为输入，通过多重带误差学习Multi-LWE的加密方案，对消息M进行加密，输出密文C；

S4：解密算法Decrypt:用户以密文C和用户唯一的序列号i以及各自的私钥sk_i作为输入，然后用户利用私钥sk_i，利用带误差的概率解密算法，解密密文C获得消息M。

2.根据权利要求1所述的广播加密方法，其特征在于，所述S1中初始化算法Setup的实现方法具体为：

利用安全参数n，计算基于环R＝Z[x]/＜f(x)＞上的环上带误差学习RLWE陷门构造函数TrapGen，得到二元组(a,T)，其中，

与a相关的陷门

然后随机选择

在R_q上获取均匀随机多项式样本u，并令pk＝(a,c,u)，主秘钥msk的值等于陷门T。

3.根据权利要求1所述的广播加密方法，其特征在于，所述S2中密钥提取算法Extract的实现方法具体为:

在

上为每个用户i选择一个随机元素o_i，σ和ξ是高斯分布的参数，结合所述的公钥pk，主秘钥msk以及用户唯一的序列号i，通过陷门二元单向函数TB-OWF中存在的陷门，计算高斯原像采样算法SamplePre(a,T,u+co_i,σ,ξ),得到短向量d_i并且满足ad_i＝u+co_i,由此得到用户的私钥sk_i＝(o_i,d_i)。

4.根据权利要求3所述的广播加密方法,所述陷门二元单向函数TB-OWF中，给定

和

对任意

TB-OWF函数f:X×Y→Z表示为f(x,y)＝ax+cy＝z，其陷门为高斯原像采样算法SamplePre中的T，其特征在于:所述陷门二元单向函数TB-OWF包括以下性质：

1)易于计算：对于每一对输入(x,y)，存在有效算法A，在多项式时间计算出函数值z＝A(x,y)；

2)不可逆性：

a.给定z，对于任意的y，计算出x使得f(x,y)＝z的概率是可忽略的；

b.给定z，对于任意的x，计算出y使得f(x,y)＝z的概率是可忽略的；

3)存在陷门：给定z，对于任意的y，存在多项式时间算法g和陷门T，计算出x＝g_T(z,y)满足z＝f(x,y)。

5.根据权利要求1所述的广播加密方法，其特征在于，所述S3中加密算法Encrypt的实现方法具体为：在R_q中选择一个随机值s，然后选择噪音向量e属于误差分布χ，e'和e”属于误差分布χ^m，利用所述公钥pk和消息M∈{0,1}ⁿ且转化为R₂中的向量，通过多重带误差学习Multi-LWE的加密方案对消息M进行加密，加密算法为：

输出密文C＝(c,t,z)。

6.根据权利要求5所述的广播加密方法，其特征在于，所述S3中多重带误差学习Multi-LWE的加密方案的构造方法为：

I：根据RLWE的困难性问题假设形式，令函数LWE(x)＝xs+e，其中s∈R_q，e是χ分布的样本,将公钥pk＝(a,c,u)代入有：

LWE(a)＝as+e,

LWE(u)＝us+e',

LWE(c)＝cs+e”,

其中，e，e'，e”均为取自χ^m分布的样本；

II：由私钥sk满足的关系式ad＝u+co，可得到

LWE(a)d＝LWE(u)+LWE(c)o；

III：将消息M与式LWE(u)组合，得到密文C＝(c,t,z)。

7.根据权利要求2所述的广播加密方法，其特征在于，所述S4中解密算法Decrypt的实现方法具体为：

利用密文C和私钥sk_i计算c'＝zd_i-to_i∈R_q，然后计算r＝c-c'∈R_q，如果r中的第i个分量r_i更接近0而不是

消息M中的第i个分量M_i为0，否则为1。

8.根据权利要求7所述的广播加密方法，其特征在于，所述S4中带误差的概率解密算法具体为：

对于用户的私钥sk_i＝(o_i,d_i)及所有足够小的噪声项e、e'、e”，根据私钥满足的关系式ad_i＝u+co_i，可得c'＝zd_i-to_i∈R_q，即

c'＝zd_i-to_i＝(as+e”)d_i-(cs+e')o_i＝us+e”d_i-e'o_i,

计算r＝c-c'∈R_q，r表示为

在满足误差限定即

的条件下，当M_i＝0时，

当M_i＝1时，

算法正确的解密并输出正确的消息M。

9.一种抗合谋攻击的广播加密装置，其特征在于，所述装置包括存储器、处理器以及存储在所述存储器上并可在所述处理器上运行的基于陷门二元单向函数的广播加密的处理程序，所述一种基于陷门二元单向函数的广播加密的处理程序被所述处理器执行时实现如权利要求1至8中任一项所述的基于陷门二元单向函数的广播加密方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有基于陷门二元单向函数的广播加密的处理程序，所述基于陷门二元单向函数的广播加密的处理程序被处理器执行时实现如权利要求1至8中任一项所述的基于陷门二元单向函数的广播加密方法的步骤。

Images