云外包密钥共享装置及方法
云外包密钥共享装置及方法
【技术领域】
[0001] 本发明设及云外包服务中加密技术领域,特别设及一种云外包密钥共享装置及方 法。
【背景技术】
[0002] 密钥共享是网络安全领域研究的重要内容,也是许多安全协议的基石。在经典密 钥共享协议中,假设一些参与者是诚实的,另一些参与者是恶意的。诚实者始终遵守协议, 恶意者可任意偏离协议。经典密钥共享算法有两种类型:一类是有可信者参与密钥重构的 方案;另一类是没有可信者参与密钥重构,由所有参与者自身来共同完成的方案。无论是有 可信者参与的密钥重构方案还是没有可信者参与密钥重构的方案,都存在一个比较严重的 问题:在密钥重构过程中,不能事先采取防护措施来保证参与者没有偏离协议的动机,运样 一来,参与者的信息隐私性、安全性受到威胁,无法得到正确的结果。针对运一问题,一些研 究方案将博弈论与密码学相结合,通过结合博弈论,对密码协议建立博弈模型,运样改进了 传统密码学协议中的缺陷和不合理的假设,并且使得理性的参与者依据自身收益得失没有 动机偏离协议。然而现存的经典密钥共享和理性密钥共享方案,在密钥分发和重构阶段需 要大量耗时的运算,不能有效适用于计算能力薄弱的智能手机、平板电脑、PDA等设备中。
[0003] 近年来随着云计算的迅猛发展,云外包计算成为企业和学术界研究热点,在云外 包计算环境中,计算能力薄弱的云租户将大量复杂、耗时的计算外包给具有强大计算能力 的云服务提供商(CSP)来完成,云租户可W享受无限制的计算资源,云服务提供商则可W按 需收费。目前云外包方案有两类:一类是针对通用计算功能的方案;另一类是针对特定的计 算功能的方案。通用的云外包计算不能针对具体的问题提供高效的解决方法,尚无法应用 在实际云外包环境中。
[0004] 本发明针对密钥共享特性,提出一种云外包密钥共享方法,并给出具体的实现步 骤。可W有效防止云租户的恶意行为并验证云服务提供商计算结果,该方法将大量复杂、耗 时的计算外包给具有强大计算能力的云服务提供商(CSP)来完成,计算能力薄弱的云租户 只需进行少量解密运算就可W得到重构的密钥,极大提高了密钥分发和重构效率,具有较 高的理论意义和应用价值。
[000引现有技术方案
[0006]密钥共享是信息安全领域的重要研究内容,密钥共享的思想将密钥W某种方式拆 分,拆分后的每个子份额由不同的参与者拥有,只有若干个参与者协同合作才能恢复密钥, 运样达到防止密钥过于集中和容忍入侵的目的。经典的(m,n) 口限密钥共享方案由化amir [l]([l]Shamir A.How to share a secret[J].Communications of the ACM,1979,22 (1):612-613.)和Blakeley[2]([2]Blakeley G R.Safeguarding cryptogra地ic keys [C].Proceedings of the National Computer Conference,New York:AFIPS Press, 1979:313-317.)于1979年分别基于多项式插值法和多维空间点的特性提出。方案要求大于 或等于m人方可重构出密钥,少于m人合作得不到密钥。但文献[1-2]存在分发者和参与者欺 骗的问题。针对成员欺骗问题,Chor等人[3]([3]Chor B,Goldwasser S,Micali S.Verifiable Secret Sharing and Achieving Simultaneity in the Presence of Faults[C].Proceedings of the 26th Annual Symposium on Foundations of Computer Science,Washington,DC: IEEE Computer Society ,1985:383-395 ·)提出可验证的密钥共 享(Verifiable Secret Sharing,简称VSS),Feldman[4]([4]Feldman Ρ·Α practical scheme for non-interactive verifiable secret sharing[C].Proceedings of the 28th Symposium on Foundations of Computer Science,Los Angeles:IEEE Computer Society,1987:427-437.)>Pedersen[5]([5]Pedersen T P.Distributed provers with applications to undeniable sign过tures[C].Proceedings of Eurocrypt'91,Lecture Notes in Computer Science,LNCS 547,Springer-Verlag,1991:221-238.)分别提出一种 能防止分发者和参与者欺骗的可验证的密钥共享方案。但是VSS方案只能起到事后验证而 不能起到事先预防的作用。例如,在密钥重构过程中,一个参与者A广播一个错误的子份额, 而其他m-1个人广播了正确的子份额。这样欺骗者A就能独自得到密钥,尽管其欺骗行为在 事后能被可验证的方法发现(但为时已晚),同样也会出现2个或多个人合谋欺骗或者不发 送子密钥份额,这样,合谋集团将独得密钥。此后,刘木兰等人f6]([6巧IJ木兰,肖亮亮,张志 芳.一类基于图上随机游动的密钥共享体制[J].中国科学E猜:信息科学,2007,37(2) :199-208.)提出一种基于图的密钥共享方案。张志芳[7]([7]张志芳.密钥共享与安全多方计算 [D].中国科学院数学与系统科学研究院博±论文,2007.)对乘性的线性密钥共享体制和并 行的安全多方计算体制进行了研究dHou等人[8]([8]Hou Y C,Quan Z Y Tsai C F,Tseng A Υ.Block-based progressive visual secret sharing[J]. Information Sciences, 2013,233( 1):290-304.)提出一种可视密钥共享方案aMahabir等人[9] ([9]Mahabir P J, Ayineedi V,民eihaneh S N.Paillier-based publicly verifiable (non-interactive) secret sharing.Desings codes and c:ryptography.2014,73(2) :529-540.)提出一种公 开可验证方案nHerranz等人[10]([10]Herranz J,Ruiz A,Saez G.New results and applications for multi - secret sharing schemes . Desings codes and cryptography .2014,73(3) :841-864. ),Shao等人[ll]([ll]Shao J,Efficient verifiable multi-secret sharing scheme based on hash function. Information Sciences ,2014,278( 10): 104-109 · ),Fatemi等人[12] ([12]Fatemi M,Ghasemi 民 Eghlidos T.Efficient multistage secret sharing scheme using bilinear map. Information security, lET,2014,8(4) :224-229.)对多密钥共享方案进行了研究,但 文献[1-12]中的方案都不能预防参与者合谋和欺骗。庞迁军等人[13] ([13]庞迁军,裴庆 棋,焦李成,王育民.基于ID的口限多重秘密共享方案[J].软件学报,2008,19(10) :2739-2745.)提出一种基于ID的口限多重秘密共享方案。裴庆棋等人[14]([14]裴庆棋,马建峰, 庞迁军,张红斌.基于身份自证实的秘密共享方案[J].计算机学报,2010,33(1) :152-156.) 提出一种基于身份的自证实的秘密共享方案。文献[13-14]的方案虽然可W防止成员合谋 和欺骗,但在重构过程中需要大量耗时的工作效率非常化。
[0007] Halpern和Teague[15]([15巧alpern J,Teague V.Rational Secret Sharing and Multiparty Computation[C].Proceedings of the 36th Annual ACM Symposium on Hieoiy of Computing(ST0C),New York:ACM F*ress,2004:623-632.)在计算机理论界顶级 会议STOC上,首次将博弈论引入密钥共享和安全多方计算,用W弥补经典密钥共享和多方 计算方案的缺陷。化Ipern和Teague[l引认为所设计的理性密码协议必须是多轮的,并且使 得参与者不知道协议在哪一轮结束,从而才能使他们有合作的动机。但他们设计的理性密 钥共享方案需要参与者人数大于等于3,并且协议在一定条件下需要重启,运样分发者需要 重新分发密钥子份额,相当于需要分发者一直在线。另外,他们的方案在3个成员参与的情 况下,不能防止两个成员合谋。此后,一系列文献[16-34] ([ 16]Tian Youl iang,Ma Jianfeng,Peng Changgen,et.al.One-time rational secret sharing scheme based on bayesian game[J].Wuhan University Journal of Natural Sciences,2011,16(5):43〇-434. [17]张恩,蔡永泉.基于双线性对的可验证的理性秘密共享方案[J].电子学报,2012, 40(5):1050-1054.[18]Tian Youliang,Ma Jianfeng,Peng Changgen,Jiang Qi.Fair(t, n)threshold secret sh aring scheme[J].lET Information Security.2013,7(2):106-112.[19]Zhang En,Cai Yongquan. A New Rational Secret Sharing[J]. China Communications,2010,7(4):18-22.[20]Zhang Zhifang,Liu Mulan.民ational secret sharing as extensive games[J]. Science China Information Sciences,2013,56(3): 1-13.[21]Cai Yongquan,Peng Xiaoyu.民ational Secret Sharing Protocol with Fairness[J].Chinese Journal of Electronics .2012,21(1):149-152.[22]Yu Yang, Zhou Zhanfei.An Efficient 民ational Secret Sharing Protocol 民esisting against Malicious Adversaries over Synchronous Channels[C]. Information Security Cryptology LNCS 7763,2013:69-89.[23]Cai C,Wang B J,Ditta Allah and Yang Yi.A rational secret sharing scheme against coalition based on nash equilibrium and neighbor's strategy.Chinese Journal of Electronics,2014,23(3):564-568. [24]Zhang E打,Cai Yongquan. Collusion-free 民ational Secure Sum Protocol[J] ?Chinese Journal of Electronics,2013,22(3):563-566.[25]Maleka S'Amjed S, 民angan C P.民ational Secret Sharing with 民epeated Games[C]. In 4th Information Security Practice and Experience Conference,LNCS 4991,Springer-Verlag,2008: 334-346.[26]Kol G,Naor M.Cryptography and Game Theory:Designing Protocols for Exchanging Information[C]. In the Proceedings of the 5th Theory of Glyptography Conference.Springer-Verlag,2008:320-339.[27化ol G,Naor M.Games for exchanging information[C].Proceedings of the 40th Annual ACM Symposium on 化6〇巧 of Computing,New York:ACM Press,2008:423-432.[28]0ne S J,Parkes D, 民osen A,Vadhan S.Fairness with an honest minority and a rational majority[C] .Proc.6th Theory of Cryptography Conference,LNCS 5444,Springer-Verlag,2009: 36-53.[29]Fuchsbauer G,Katz J,Naccache D.Eficient 民ational Secret Sharing in the Standard Communication Networks[C].Proc.7th Theory of Cryptography Conference,LNCS 5978,Springer-Verlag,2010:419-436.[30]Zhang En,Cai Yongquan.民ational Multi-Secret Sharing Scheme in Standard Point-to-Point Communication Networks. International Journal of Foundations of Computer Science,2013,24(6):879-897.[31]Abraham I,Dolev D'Gonen R,HaIpern J.Distributed computing meets game theory:robust mechanisms for rational secret sharing and multiparty computation[C].Proc.25th ACM Symp.Principles of Distributed Computing,2006,pp.53-62.[32]Micali S,Shelat A.Purely Rational Secret Sharing[C]. In 6th Theory of Cryptography Conference,LNCS 5444, Springer-Verlag,2009:54-71.[33]William K.MOses Jr,and C.Pandu 民angan.民ational Secret Sharing over an Asynchronous Broadcast Channel with Information Theoretic Security[J]. International Journal of Network Security&Its Applications,2011,3(6):1-18.[34]William K.MOses Jr,and C.Pandu 民angan.secret sharing with honest players over an asynchronous channel[J].Advances in Network Security and Applications-Communications in Computer and Information Science, 2011,196( 1):414-426.)对理性密钥共享协议和理性安全多方计算协议[35-38] ([35 jGennaro 民,Gentry C,Pamo B.Non - interactive Verifiable Computing : Outsourcing Computation to Untrusted Workers.In CRYPTO'2010丄NCS 6223,2010: 465-482.[36]Parno B,民aykova M,Vaikuntanathan V.How to Delegate and Verify in Public:Verifiable Computation from Attribute-Based Encryption. Theory of Cryptography. Springer Berlin Heidelberg,2012:422-439.[37]Shafi G,Yael K, 民aluca A P,Vinod V.Encryption.In Proceedings of the 44th Annual ACM Symposium on Theory of Computing,2013:555-564.[38]Lopez A.Tromer E,Vaikuntanathan V.On-the-Fly Multiparty Computation on the Cloud via Multikey Fully Homomorphic Encryption.Proceedings of the 44th Annual ACM Symposium on Theory of Computing, 2012:1219-1234.)进行了研究,田有亮等人[16]基于贝叶斯博弈提出一种密钥 共享方案,但方案工作在(2,2)环境,不能应用于多人情况。张恩等人[17]基于双线性对提 出一种理性密钥共享方案,无需分发者在线,也不需要可信者参与密钥重构,但方案需工作 在同时广播条件下,同时广播是一个比较强的条件,在因特网环境中难W实现,需要广播信 道的还有一系列文献[15,17-25] DMaleka等人[25]提出一种基于重复博弈的密钥共享方 案,通过考虑所有阶段博弈得益的贴现值之和来对密钥共享建立模型,但参与者在最后一 轮可W通过欺骗,W较高的概率获得密钥。另外他们的方案不能防止参与者合谋攻击,如果 有两个合谋者拥有的多项式次数相差为1的话,那么合谋者能合谋得到密钥,同时阻止其他 参与者获得密钥。Kol等人[26]利用二次剩余难题设计了有意义/无意义的加密算法,同时 利用了安全多方计算等工具,构造了一种理性密钥共享方案。但该方案中的参与者有可能 在安全多方计算阶段合谋欺骗。Kol等人[27]采用信息论安全的方法设计了一种密钥共享 方案,在他们的方案中不需要可计算假设,他们将每一轮分成多个阶段,在前一些轮中放的 是随机的假秘密,将真正的秘密放在了长份额中。但方案不能防止拥有短份额的人和拥有 长份额人的合谋攻击D〇ne等人[28]设计的方案需要少量的诚实者和多数理性者参与,另外 方案不能防止成员合谋攻击。Fuchsbauer等人[29]的方案和张恩等人[30]的方案,虽然无 需同时广播通信条件,但是也没有对合谋者的动机、收益和防合谋均衡进行研究,并且不能 完美的模拟广播通信网络。Abraham等人[31]提出一种防合谋理性密钥共享协议,博弈分成 3个阶段,在每个阶段,博弈方将信息发给中间人,中间人计算信息后将结果发给每个博弈 方,但方案要求中间人必须是大家都信任的。Micali等人[32]的方案同样需要有可信者参 与密钥重构过程。William等人[33-34]在异步信道下提出了两种密钥共享方案,但方案需 要有诚实的参与者,然而在分布式网络环境中,如何保证参与者始终是诚实的,则是非常困 难的。
[0008] W上经典密钥共享和理性密钥共享方案,在密钥分发和重构阶段需要大量耗时的 运算,尚不能很好的适用于计算能力薄弱的智能手机、平板电脑、PDA等设备中,因此无法满 足用户个性化需求及适应当前云计算的迅猛发展,为了进一步提高计算效率,云外包计算 应运而生并很快成为学术界研究的热点,在云外包计算环境中,计算能力薄弱的云租户利 用移动设备收集信息,当需要对收集的信息进行大量复杂、耗时计算时,将计算外包给具有 强大计算能力的云服务提供商(CSP)来完成相关任务,运样租户可W享受无限制的计算资 源,CSP则根据租户计算任务按需收取相应报酬。Gennaro[35]在标准模型下,基于混淆电路 和全同态提出一种适合于单个租户的可验证外包计算协议。方案增加了离线的预处理阶 段,构造了具有全同态解密功能的混淆电路,租户能够验证CSP返回结果的正确性和完整 性。Parno等[36]提出一种公开代理和验证的方案,方案基于属性加密,但该方案不能保证 属性的隐私。Glodwasser等[37]提出一种基于RLWE问题的单密钥功能加密,并在功能加密 基础上设计了公开可验证方案。Lopez等[38]在环LWE困难问题基础上,提出一种on-the-fly安全多方计算协议,用户将密文存储在云中,CSP可W动态选择计算功能,但其方案在解 密阶段需要租户交互执行MPC协议。Gordon等[39]([39]Gordon S D,Katz J,Liu F H,et al.Multi-Client Verifiable Computation with Stronger Security Guarantees. In TCC,2015:144-168.)结合具有两个输出结果的属性加密、混淆和代理不经意传输等加密方 法,提出一种具有强安全保证的多租户验证外包计算。为了进一步提高效率和实际应用推 广,文献[40-43]([40]Li J,Huang X Y,Li J W,et al.Securely outsourcing attribute-based encryption with check曰biltiy. IEEE Transactions on Parallel and Distributed Systems,2014,25(8) :2201-2210. [41]胡杏,裴定一,唐春明.可验证安 全外包矩阵计算及其应用[J].中国科学:信息科学,2013,43(7) :842-852. [42]Zhang F G, Xu Μ,Liu S L.Efficient computation outsourcing for inverting a class of homomorphic functions . Information Sciences ,2014,286(1):19-28.[43]Chen X F, Huang X Y,Line J,et al.New Algorithms for Secure Outsourcing of Large-Scale Systems of Linear Equations. IEEE Transactions on Information Forensics and Security. 2015,10(1) :69-78.)对具体地外包科学计算问题进行了研究。目前尚没有针对 密钥共享协议的高效、安全的云外包方案。
[0009] 现有技术由如下Ξ个主要缺点:
[0010] (1)现有密钥共享技术在密钥分发和重构阶段需要大量耗时的运算,尚不能很好 的适用于计算能力薄弱、内存空间相对小的智能手机、平板电脑、PDA等设备中,无法满足用 户个性化需求及适应当前云计算的迅猛发展;
[0011] (2)现有保证云租户诚实遵守协议的方法采用承诺方案、零知识证明和多方投币 协议,需要租户多轮交互,实用性不高;
[0012] (3)现有验证云服务商计算结果的方法采用概率证明或非交互论证,验证方法复 杂、效率低下。
【发明内容】
[0013] 有鉴于此,本发明提供一种云外包密钥共享装置及方法。
[0014] -种云外包密钥共享装置,其包括如下单元:
[0015] 密钥分发单元,用于通过分发者加密密钥子份额并且对密文数字签名,然后采取 单向哈希函数对密钥进行单向哈希操作,将结果发送给云租户;
[0016] 云外包计算单元,用于通过云租户发送子份额给云服务提供商,云服务提供商通 过签名验证算法验证云租户数据,接下来云服务提供商运用全同态技术对密文进行操作, 并将最终结果返回给云租户;
[0017] 解密验证单元,用于通过云租户将计算结果解密,并通过单向哈希函数验证云服 务提供商计算结果的正确性。
[0018] 在本发明所述的云外包密钥共享装置中,所述密钥分发单元包括:
[0019] 可信任的密钥分发者运行公私钥产生算法得到密钥对(pkd,skd),进而通过密钥产 生算法Keygen( ik)得到(pk,sk,ek),其中k为安全参数;
[0020] 分发者从GF(q)中随机选择m-1个元素 ai,K,am-i,构造 m-1次多项;ι?
y 其中S为密钥;
[0021 ]分发者计算yi = f (Xi)然后通过加密算法Enc(pk,Xi I |yi)得到密文Ci,并进行数字 签名 一
[002引分发者将元组佔,01,]1(3),31〇发送给口1,其中11(?)为单向哈希函数。
[0023] 在本发明所述的云外包密钥共享装置中,所述云外包计算单元包括:
[0024] 由m个云租户分别将(Ci,〇i)iem发给云服务提供商S;
[00巧]S运行签名验证算法"办A (c,A),如果成功则进行下一步,如果失败则拒绝执行计 算,并将Pi的欺骗行为进行广播;
[0026] 云服务提供者S运用全同态加密技术进行密文计算:
[0027] C: =Eval(C,(ci,Pki,eki),Κ,(Cm,pkm,ekm)),运里参与者公钥和计算密钥相同分 别为(pk,ek),然后广播密文C。
[0028] 在本发明所述的云外包密钥共享装置中,解密验证单元包括:
[0029] 云租户运行解密算法Dec(ski,K,skm,c)得到
,运里云租户私 钥相同均为sk;
[0030] 云租户检验Ms)和h(f(0))是否相等,从而验证云服务提供商S计算结果的正确 性。
[0031] 本发明还提供一种云外包密钥共享方法,其包括如下步骤:
[0032] S1、通过分发者加密密钥子份额并且对密文数字签名,然后采取单向哈希函数对 密钥进行单向哈希操作,将结果发送给云租户;
[0033] S2、通过云租户发送子份额给云服务提供商,云服务提供商通过签名验证算法验 证云租户数据,接下来云服务提供商运用全同态技术对密文进行操作,并将最终结果返回 给云租户;
[0034] S3、通过云租户将计算结果解密,并通过单向哈希函数验证云服务提供商计算结 果的正确性。
[0035] 在本发明所述的云外包密钥共享方法中,所述步骤SI包括:
[0036] 可信任的密钥分发者运行公私钥产生算法得到密钥对(pkd,skd),进而通过密钥产 生算法Keygen( ik)得到(pk,sk,ek),其中k为安全参数;
[0037] 分发者从GF(q)中随机选择m-1个元素 ai,Κ,am-i,构造 m-1次多项式
<i<n,其中S为密钥;
[003引分发者计算yi = f(xi)然后通过加密算法Enc(pk,xi||yi)得到密文ci,并进行数字 签名 S如 *>,) 一 0·,;
[0039] 分发者将元组佔,〇1,}1(3),310发送给口1,其中}1(')为单向哈希函数。
[0040] 在本发明所述的云外包密钥共享方法中,所述S2包括:
[004。 由m个云租户分别将(Ci,0i)iem发给云服务提供商S;
[0042] 8运行签名验证算法^^峨*,(£,,巧),如果成功则进行下一步,如果失败则拒绝执行计 算,并将Pi的欺骗行为进行广播;
[0043] 云服务提供者S运用全同态加密技术进行密文计算:
[0044] C: =Eval(C,(ci,pki,eki),Κ,(Cm,pkm,ekm)),运里参与者公钥和计算密钥相同分 别为(pk,ek),然后广播密文C。
[004引在本发明所述的云外包密钥共享方法中,所述S3包括:
[0046] 云租户运行解密算法〇6(3(341,1(,3心,(3)得到
,运里云租户私 钥相同均为sk;
[0047] 云租户检验Ms)和h(f(0))是否相等,从而验证云服务提供商S计算结果的正确 性。
[0048] 本发明提供的云外包密钥共享装置及方法,该发明专利首次将密钥共享方案扩展 到云上,结合近几年快速兴起的云外包安全计算理念,提出了一种基于云外包环境的密钥 共享装置与方法。
[0049] 1.该方法充分借助云计算的强大计算能力,将密钥共享中复杂、耗时的密钥重构 过程交给云服务提供商进行计算,避免了云租户自身设备计算资源有限,计算能力薄弱的 劣势。运样安全、高效、灵活的实现了云租户间的密钥共享过程。非常适合当前迅猛发展的 云计算和社交网络环境。目前尚未检索到将云计算外包和密钥共享相结合的研究方案。
[0050] 2.在密钥分发阶段,分发者对密钥子份额进行加密并对密文数字签名,然后将签 名信息和对密钥的哈希值发给云租户。在重构阶段,云租户将密钥子份额的密文和分发者 的签名发给云服务提供商,云服务提供商通过签名验证算法验证云租户发过来的数据,运 样能够达到检验云租户和分发者恶意行为的目的。另外在密钥重构过程中,云租户之间不 需要进行多轮交互。因此比现有云外包方案中采用的复杂的承诺方案、零知识证明等方法 更加高效和实用。
[0051] 3.在密文计算过程中,云服务提供商通过使用改进的全同态加密算法对密文进行 运算 ,云租户收到云服务提供商返回的密文计算结果后,对密文计算结果进行解密并进行 哈希操作,然后和原有密钥哈希结果进行对比,从而验证云服务提供商计算正确性,防止云 服务提供商在密钥共享过程中产生的欺诈行为。相比较现有复杂的非交互论证等验证方法 更加切合实际。
【附图说明】
[0052] 图1为本发明实施例的基于云外包的密钥共享方法网络拓扑图;
[0053] 图2为本发明实施例的基于云外包环境的安全密钥共享方案图。
【具体实施方式】
[0054] 如图1所示,本方案在密钥分发阶段由分发者加密密钥子份额并且对密文数字签 名,然后采取单向哈希函数对密钥进行单向哈希操作,将结果发送给云租户。在密钥重构阶 段,云租户发送子份额给云服务提供商,云服务提供商通过签名验证算法验证云租户数据, 接下来云服务提供商运用全同态技术对密文进行操作,并将最终结果返回给云租户。在解 密验证阶段云租户将计算结果解密,并通过单向哈希函数验证云服务提供商计算结果的正 确性。整个云外包密钥共享过程,云租户只需少量的解密和验证操作,云租户之间无需交 互,实现了安全、高效的密钥共享。基于云外包的密钥共享装置和方法设计如下:
[0055] 云外包密钥共享方案设计
[0056] 该发明专利结合数字签名,多密钥全同态算法,单向哈希函数等算法,设计了云外 包环境下的密钥共享方案,现有密钥共享协议在密钥分发和重构阶段需要大量耗时的运 算,尚不能很好的适用于计算能力薄弱的智能手机、平板电脑、PDA等设备中,该发明专利针 对该类问题,设计了基于云外包环境的密钥共享方法,可W促使计算能力薄弱的云租户有 效分享和重构密钥,有很强的实用价值,设计方案如图2所示:
[0057] 云外包密钥共享方案具体实施步骤如下:
[0058] 密钥分发阶段:
[0059] 步骤1:可信任的密钥分发者运行公私钥产生算法得到密钥对(pkd,skd),进而通过 密钥产生算法KeygenQk)得到(94,34,日1〇,其中4为安全参数(为了降低客户端认证和计算 开销,本发明方案采用轻量级无需CA认证的ΡΚΙ[39]),不同于文献[3引本发明方案依据密 钥共享的特性,云租户使用相同的公私钥对,运样能够进一步提高云租户端计算和认证效 率。
[0060] 步骤2 :分发者从GFU)中随机选择m-1个元素,构造 m-1次多项式,
如,其中S为密钥。
[0061]步骤3:分发者计算yi = f (Xi)然后通过加密算法E:nc(pk,Xi I I yi)得到密文Ci,并进 行数字签名
[006引步骤4:分发者将元组(Ci,0i,h(s),sk)发送给Pi,其中h( ·)为单向哈希函数。
[0063] 云外包计算阶段:
[0064] 步骤1:由m个云租户分别将(Ci,〇i)iEm发给云服务提供商S。
[0065] 步骤2: S运行签名验证算挂
'如果成功则进行下一步,如果失败 则拒绝执行计算,并将Pi的欺骗行为进行广播。
[0066]步骤3:云服务提供者S运用全同态加密技术进行密文计算:c: =Eval(C,(ci,pki, eki),…,(cm,pkm,ekm)),运里参与者公钥和计算密钥相同分别为(pk,ek),然后广播密文c。
[0067] 密钥解密验证阶段:
[006引步骤1 :云租户运行解密算法D e C ( S k 1,…,S k m,C )得到
,运里云租户私钥相同均为sk。
[0069] 步骤2:云租户检验h(s)和h(f(0))是否相等,从而验证云服务提供商S计算结果的 正确性。
[0070] 本发明实施例相对于现有技术,具有如下优点:
[0071] (1)该发明提出一种云外包密钥共享装置和方法,将传统密钥共享方案扩展到云 上,该发明将大量复杂、耗时的计算外包给具有强大计算能力的云服务提供商(CSP)来完 成,计算能力薄弱的云租户只需进行少量解密运算,租户之间无需复杂的交互和验证,从而 提高了密钥共享分发和重构效率,具有很强的实用价值。
[0072] (2)在本发明方案中,分发者对每位云租户的密钥子份额进行加密并数字签名,云 租户和云服务提供商可W利用分发者的公钥对数字签名进行验证,因此恶意的云租户不能 用错误的输入信息欺骗云服务提供商。该验证方法简洁、高效,无需复杂的承诺方案、零知 识证明等方法,就能达到检验参与者恶意行为的目的。。
[0073] (3)云租户对云服务提供商(CSP)返回的密文结果进行解密并验证结果的正确性, 当h(s)和h(f(0))相等时,云租户能够确认CSP计算结果是正确的,否则认为CSP计算结果是 错误的,由于单向哈希函数的性质,一个或者多个云租户合谋不能从推导出任何关于的有 用信息。该验证方法可W有效检验CSP的恶意行为,因此CSP有正确执行协议的动机,最终所 有云租户都能公平和正确的重构密钥。
[0074] 可W理解的是,对于本领域的普通技术人员来说,可W根据本发明的技术构思做 出其它各种相应的改变与变形,而所有运些改变与变形都应属于本发明权利要求的保护范 围。
【主权项】
1. 一种云外包密钥共享装置,其特征在于,其包括如下单元: 密钥分发单元,用于通过分发者加密密钥子份额并且对密文数字签名,然后采取单向 哈希函数对密钥进行单向哈希操作,将结果发送给云租户; 云外包计算单元,用于通过云租户发送子份额给云服务提供商,云服务提供商通过签 名验证算法验证云租户数据,接下来云服务提供商运用全同态技术对密文进行操作,并将 最终结果返回给云租户; 解密验证单元,用于通过云租户将计算结果解密,并通过单向哈希函数验证云服务提 供商计算结果的正确性。2. 如权利要求1所述的云外包密钥共享装置,其特征在于,所述密钥分发单元包括: 可信任的密钥分发者运行公私钥产生算法得到密钥对(pkd,skd),进而通过密钥产生算 法Keygen( Ik)得到(pk,sk,ek),其中k为安全参数; 分发者从GF(q)中随机选择m-Ι个元素ai,K,am-i,构造m-Ι次多项式η,其中s为密钥; 分发者计算yi = f(Xi)然后通过加密算法Enc (pk,Xi I I yi)得到密文Ci,并进行数字签名分发者将元组((^,〇^]1(8),81〇发送给?1,其中11(>)为单向哈希函数。3. 如权利要求2所述的云外包密钥共享装置,其特征在于,所述云外包计算单元包括: 由m个云租户分别将(Cl,〇i) iEm发给云服务提供商S; S运行签名验证算法加果成功则进行下一步,如果失败则拒绝执行计算, 并将欺骗行为进行广播; 云服务提供者S运用全同态加密技术进行密文计算: c: = Eval(C,(ci,pki,eki),K,(Cm,pkm,ekm)),这里参与者公钥和计算密钥相同分别为 (口1^,61〇,然后广播密文(3〇4. 如权利要求3所述的云外包密钥共享装置,其特征在于,解密验证单元包括: 云租户运行解密算法Dec(SkhKdk^c)得到这里云租户私钥相 同均为sk; 云租户检验h(s)和h(f(0))是否相等,从而验证云服务提供商S计算结果的正确性。5. -种云外包密钥共享方法,其特征在于,其包括如下步骤: 51、 通过分发者加密密钥子份额并且对密文数字签名,然后采取单向哈希函数对密钥 进行单向哈希操作,将结果发送给云租户; 52、 通过云租户发送子份额给云服务提供商,云服务提供商通过签名验证算法验证云 租户数据,接下来云服务提供商运用全同态技术对密文进行操作,并将最终结果返回给云 租户; 53、 通过云租户将计算结果解密,并通过单向哈希函数验证云服务提供商计算结果的 正确性。6. 如权利要求5所述的云外包密钥共享方法,其特征在于,所述步骤Sl包括: 可信任的密钥分发者运行公私钥产生算法得到密钥对(pkd,skd),进而通过密钥产生算 法Keygen( Ik)得到(pk,sk,ek),其中k为安全参数; 分发者从GF(q)中随机选择m-1个元素ai,K,am-i,构造m-1次多项式η,其中s为密钥; 分发者计算yi = f(Xi)然后通过加密算法Enc (pk,Xi I I yi)得到密文Ci,并进行数字签名分发者将元组((^,〇^]1(8),81〇发送给?1,其中11(>)为单向哈希函数。7. 如权利要求6所述的云外包密钥共享方法,其特征在于,所述S2包括: 由m个云租户分别将(Ci,〇i) iEm发给云服务提供商S; S运行签名验证算法1如果成功则进行下一步,如果失败则拒绝执行计算, 并将欺骗行为进行广播; 云服务提供者S运用全同态加密技术进行密文计算: c: = Eval(C,(ci,pki,eki),K,(Cm,pkm,ekm)),这里参与者公钥和计算密钥相同分别为 (口1^,61〇,然后广播密文(3〇8. 如权利要求7所述的云外包密钥共享方法,其特征在于,所述S3包括: 云租户运行解密算法Dec(SkhKdk^c)得到这里云租户私钥相 同均为sk; 云租户检验h(s)和h(f(0))是否相等,从而验证云服务提供商S计算结果的正确性。
【专利摘要】一种云外包密钥共享装置,其包括如下单元:密钥分发单元,用于通过分发者加密密钥子份额并且对密文数字签名,然后采取单向哈希函数对密钥进行单向哈希操作,将结果发送给云租户;云外包计算单元,用于通过云租户发送子份额给云服务提供商,云服务提供商通过签名验证算法验证云租户数据,接下来云服务提供商运用全同态技术对密文进行操作,并将最终结果返回给云租户;解密验证单元,用于通过云租户将计算结果解密,并通过单向哈希函数验证云服务提供商计算结果的正确性。本发明还提供一种云外包密钥共享方法。
【IPC分类】H04L29/08, H04L9/32, H04L29/06, H04L9/08
【公开号】CN105491006
【申请号】CN201510770988
【发明人】张恩, 刘亚鹏, 段新涛, 彭杰, 孙林, 朱文焌, 王英杰, 代丽萍, 罗冰, 李锐, 申晓雪
【申请人】河南师范大学
【公开日】2016年4月13日
【申请日】2015年11月13日
【技术领域】
[0001] 本发明设及云外包服务中加密技术领域,特别设及一种云外包密钥共享装置及方 法。
【背景技术】
[0002] 密钥共享是网络安全领域研究的重要内容,也是许多安全协议的基石。在经典密 钥共享协议中,假设一些参与者是诚实的,另一些参与者是恶意的。诚实者始终遵守协议, 恶意者可任意偏离协议。经典密钥共享算法有两种类型:一类是有可信者参与密钥重构的 方案;另一类是没有可信者参与密钥重构,由所有参与者自身来共同完成的方案。无论是有 可信者参与的密钥重构方案还是没有可信者参与密钥重构的方案,都存在一个比较严重的 问题:在密钥重构过程中,不能事先采取防护措施来保证参与者没有偏离协议的动机,运样 一来,参与者的信息隐私性、安全性受到威胁,无法得到正确的结果。针对运一问题,一些研 究方案将博弈论与密码学相结合,通过结合博弈论,对密码协议建立博弈模型,运样改进了 传统密码学协议中的缺陷和不合理的假设,并且使得理性的参与者依据自身收益得失没有 动机偏离协议。然而现存的经典密钥共享和理性密钥共享方案,在密钥分发和重构阶段需 要大量耗时的运算,不能有效适用于计算能力薄弱的智能手机、平板电脑、PDA等设备中。
[0003] 近年来随着云计算的迅猛发展,云外包计算成为企业和学术界研究热点,在云外 包计算环境中,计算能力薄弱的云租户将大量复杂、耗时的计算外包给具有强大计算能力 的云服务提供商(CSP)来完成,云租户可W享受无限制的计算资源,云服务提供商则可W按 需收费。目前云外包方案有两类:一类是针对通用计算功能的方案;另一类是针对特定的计 算功能的方案。通用的云外包计算不能针对具体的问题提供高效的解决方法,尚无法应用 在实际云外包环境中。
[0004] 本发明针对密钥共享特性,提出一种云外包密钥共享方法,并给出具体的实现步 骤。可W有效防止云租户的恶意行为并验证云服务提供商计算结果,该方法将大量复杂、耗 时的计算外包给具有强大计算能力的云服务提供商(CSP)来完成,计算能力薄弱的云租户 只需进行少量解密运算就可W得到重构的密钥,极大提高了密钥分发和重构效率,具有较 高的理论意义和应用价值。
[000引现有技术方案
[0006]密钥共享是信息安全领域的重要研究内容,密钥共享的思想将密钥W某种方式拆 分,拆分后的每个子份额由不同的参与者拥有,只有若干个参与者协同合作才能恢复密钥, 运样达到防止密钥过于集中和容忍入侵的目的。经典的(m,n) 口限密钥共享方案由化amir [l]([l]Shamir A.How to share a secret[J].Communications of the ACM,1979,22 (1):612-613.)和Blakeley[2]([2]Blakeley G R.Safeguarding cryptogra地ic keys [C].Proceedings of the National Computer Conference,New York:AFIPS Press, 1979:313-317.)于1979年分别基于多项式插值法和多维空间点的特性提出。方案要求大于 或等于m人方可重构出密钥,少于m人合作得不到密钥。但文献[1-2]存在分发者和参与者欺 骗的问题。针对成员欺骗问题,Chor等人[3]([3]Chor B,Goldwasser S,Micali S.Verifiable Secret Sharing and Achieving Simultaneity in the Presence of Faults[C].Proceedings of the 26th Annual Symposium on Foundations of Computer Science,Washington,DC: IEEE Computer Society ,1985:383-395 ·)提出可验证的密钥共 享(Verifiable Secret Sharing,简称VSS),Feldman[4]([4]Feldman Ρ·Α practical scheme for non-interactive verifiable secret sharing[C].Proceedings of the 28th Symposium on Foundations of Computer Science,Los Angeles:IEEE Computer Society,1987:427-437.)>Pedersen[5]([5]Pedersen T P.Distributed provers with applications to undeniable sign过tures[C].Proceedings of Eurocrypt'91,Lecture Notes in Computer Science,LNCS 547,Springer-Verlag,1991:221-238.)分别提出一种 能防止分发者和参与者欺骗的可验证的密钥共享方案。但是VSS方案只能起到事后验证而 不能起到事先预防的作用。例如,在密钥重构过程中,一个参与者A广播一个错误的子份额, 而其他m-1个人广播了正确的子份额。这样欺骗者A就能独自得到密钥,尽管其欺骗行为在 事后能被可验证的方法发现(但为时已晚),同样也会出现2个或多个人合谋欺骗或者不发 送子密钥份额,这样,合谋集团将独得密钥。此后,刘木兰等人f6]([6巧IJ木兰,肖亮亮,张志 芳.一类基于图上随机游动的密钥共享体制[J].中国科学E猜:信息科学,2007,37(2) :199-208.)提出一种基于图的密钥共享方案。张志芳[7]([7]张志芳.密钥共享与安全多方计算 [D].中国科学院数学与系统科学研究院博±论文,2007.)对乘性的线性密钥共享体制和并 行的安全多方计算体制进行了研究dHou等人[8]([8]Hou Y C,Quan Z Y Tsai C F,Tseng A Υ.Block-based progressive visual secret sharing[J]. Information Sciences, 2013,233( 1):290-304.)提出一种可视密钥共享方案aMahabir等人[9] ([9]Mahabir P J, Ayineedi V,民eihaneh S N.Paillier-based publicly verifiable (non-interactive) secret sharing.Desings codes and c:ryptography.2014,73(2) :529-540.)提出一种公 开可验证方案nHerranz等人[10]([10]Herranz J,Ruiz A,Saez G.New results and applications for multi - secret sharing schemes . Desings codes and cryptography .2014,73(3) :841-864. ),Shao等人[ll]([ll]Shao J,Efficient verifiable multi-secret sharing scheme based on hash function. Information Sciences ,2014,278( 10): 104-109 · ),Fatemi等人[12] ([12]Fatemi M,Ghasemi 民 Eghlidos T.Efficient multistage secret sharing scheme using bilinear map. Information security, lET,2014,8(4) :224-229.)对多密钥共享方案进行了研究,但 文献[1-12]中的方案都不能预防参与者合谋和欺骗。庞迁军等人[13] ([13]庞迁军,裴庆 棋,焦李成,王育民.基于ID的口限多重秘密共享方案[J].软件学报,2008,19(10) :2739-2745.)提出一种基于ID的口限多重秘密共享方案。裴庆棋等人[14]([14]裴庆棋,马建峰, 庞迁军,张红斌.基于身份自证实的秘密共享方案[J].计算机学报,2010,33(1) :152-156.) 提出一种基于身份的自证实的秘密共享方案。文献[13-14]的方案虽然可W防止成员合谋 和欺骗,但在重构过程中需要大量耗时的工作效率非常化。
[0007] Halpern和Teague[15]([15巧alpern J,Teague V.Rational Secret Sharing and Multiparty Computation[C].Proceedings of the 36th Annual ACM Symposium on Hieoiy of Computing(ST0C),New York:ACM F*ress,2004:623-632.)在计算机理论界顶级 会议STOC上,首次将博弈论引入密钥共享和安全多方计算,用W弥补经典密钥共享和多方 计算方案的缺陷。化Ipern和Teague[l引认为所设计的理性密码协议必须是多轮的,并且使 得参与者不知道协议在哪一轮结束,从而才能使他们有合作的动机。但他们设计的理性密 钥共享方案需要参与者人数大于等于3,并且协议在一定条件下需要重启,运样分发者需要 重新分发密钥子份额,相当于需要分发者一直在线。另外,他们的方案在3个成员参与的情 况下,不能防止两个成员合谋。此后,一系列文献[16-34] ([ 16]Tian Youl iang,Ma Jianfeng,Peng Changgen,et.al.One-time rational secret sharing scheme based on bayesian game[J].Wuhan University Journal of Natural Sciences,2011,16(5):43〇-434. [17]张恩,蔡永泉.基于双线性对的可验证的理性秘密共享方案[J].电子学报,2012, 40(5):1050-1054.[18]Tian Youliang,Ma Jianfeng,Peng Changgen,Jiang Qi.Fair(t, n)threshold secret sh aring scheme[J].lET Information Security.2013,7(2):106-112.[19]Zhang En,Cai Yongquan. A New Rational Secret Sharing[J]. China Communications,2010,7(4):18-22.[20]Zhang Zhifang,Liu Mulan.民ational secret sharing as extensive games[J]. Science China Information Sciences,2013,56(3): 1-13.[21]Cai Yongquan,Peng Xiaoyu.民ational Secret Sharing Protocol with Fairness[J].Chinese Journal of Electronics .2012,21(1):149-152.[22]Yu Yang, Zhou Zhanfei.An Efficient 民ational Secret Sharing Protocol 民esisting against Malicious Adversaries over Synchronous Channels[C]. Information Security Cryptology LNCS 7763,2013:69-89.[23]Cai C,Wang B J,Ditta Allah and Yang Yi.A rational secret sharing scheme against coalition based on nash equilibrium and neighbor's strategy.Chinese Journal of Electronics,2014,23(3):564-568. [24]Zhang E打,Cai Yongquan. Collusion-free 民ational Secure Sum Protocol[J] ?Chinese Journal of Electronics,2013,22(3):563-566.[25]Maleka S'Amjed S, 民angan C P.民ational Secret Sharing with 民epeated Games[C]. In 4th Information Security Practice and Experience Conference,LNCS 4991,Springer-Verlag,2008: 334-346.[26]Kol G,Naor M.Cryptography and Game Theory:Designing Protocols for Exchanging Information[C]. In the Proceedings of the 5th Theory of Glyptography Conference.Springer-Verlag,2008:320-339.[27化ol G,Naor M.Games for exchanging information[C].Proceedings of the 40th Annual ACM Symposium on 化6〇巧 of Computing,New York:ACM Press,2008:423-432.[28]0ne S J,Parkes D, 民osen A,Vadhan S.Fairness with an honest minority and a rational majority[C] .Proc.6th Theory of Cryptography Conference,LNCS 5444,Springer-Verlag,2009: 36-53.[29]Fuchsbauer G,Katz J,Naccache D.Eficient 民ational Secret Sharing in the Standard Communication Networks[C].Proc.7th Theory of Cryptography Conference,LNCS 5978,Springer-Verlag,2010:419-436.[30]Zhang En,Cai Yongquan.民ational Multi-Secret Sharing Scheme in Standard Point-to-Point Communication Networks. International Journal of Foundations of Computer Science,2013,24(6):879-897.[31]Abraham I,Dolev D'Gonen R,HaIpern J.Distributed computing meets game theory:robust mechanisms for rational secret sharing and multiparty computation[C].Proc.25th ACM Symp.Principles of Distributed Computing,2006,pp.53-62.[32]Micali S,Shelat A.Purely Rational Secret Sharing[C]. In 6th Theory of Cryptography Conference,LNCS 5444, Springer-Verlag,2009:54-71.[33]William K.MOses Jr,and C.Pandu 民angan.民ational Secret Sharing over an Asynchronous Broadcast Channel with Information Theoretic Security[J]. International Journal of Network Security&Its Applications,2011,3(6):1-18.[34]William K.MOses Jr,and C.Pandu 民angan.secret sharing with honest players over an asynchronous channel[J].Advances in Network Security and Applications-Communications in Computer and Information Science, 2011,196( 1):414-426.)对理性密钥共享协议和理性安全多方计算协议[35-38] ([35 jGennaro 民,Gentry C,Pamo B.Non - interactive Verifiable Computing : Outsourcing Computation to Untrusted Workers.In CRYPTO'2010丄NCS 6223,2010: 465-482.[36]Parno B,民aykova M,Vaikuntanathan V.How to Delegate and Verify in Public:Verifiable Computation from Attribute-Based Encryption. Theory of Cryptography. Springer Berlin Heidelberg,2012:422-439.[37]Shafi G,Yael K, 民aluca A P,Vinod V.Encryption.In Proceedings of the 44th Annual ACM Symposium on Theory of Computing,2013:555-564.[38]Lopez A.Tromer E,Vaikuntanathan V.On-the-Fly Multiparty Computation on the Cloud via Multikey Fully Homomorphic Encryption.Proceedings of the 44th Annual ACM Symposium on Theory of Computing, 2012:1219-1234.)进行了研究,田有亮等人[16]基于贝叶斯博弈提出一种密钥 共享方案,但方案工作在(2,2)环境,不能应用于多人情况。张恩等人[17]基于双线性对提 出一种理性密钥共享方案,无需分发者在线,也不需要可信者参与密钥重构,但方案需工作 在同时广播条件下,同时广播是一个比较强的条件,在因特网环境中难W实现,需要广播信 道的还有一系列文献[15,17-25] DMaleka等人[25]提出一种基于重复博弈的密钥共享方 案,通过考虑所有阶段博弈得益的贴现值之和来对密钥共享建立模型,但参与者在最后一 轮可W通过欺骗,W较高的概率获得密钥。另外他们的方案不能防止参与者合谋攻击,如果 有两个合谋者拥有的多项式次数相差为1的话,那么合谋者能合谋得到密钥,同时阻止其他 参与者获得密钥。Kol等人[26]利用二次剩余难题设计了有意义/无意义的加密算法,同时 利用了安全多方计算等工具,构造了一种理性密钥共享方案。但该方案中的参与者有可能 在安全多方计算阶段合谋欺骗。Kol等人[27]采用信息论安全的方法设计了一种密钥共享 方案,在他们的方案中不需要可计算假设,他们将每一轮分成多个阶段,在前一些轮中放的 是随机的假秘密,将真正的秘密放在了长份额中。但方案不能防止拥有短份额的人和拥有 长份额人的合谋攻击D〇ne等人[28]设计的方案需要少量的诚实者和多数理性者参与,另外 方案不能防止成员合谋攻击。Fuchsbauer等人[29]的方案和张恩等人[30]的方案,虽然无 需同时广播通信条件,但是也没有对合谋者的动机、收益和防合谋均衡进行研究,并且不能 完美的模拟广播通信网络。Abraham等人[31]提出一种防合谋理性密钥共享协议,博弈分成 3个阶段,在每个阶段,博弈方将信息发给中间人,中间人计算信息后将结果发给每个博弈 方,但方案要求中间人必须是大家都信任的。Micali等人[32]的方案同样需要有可信者参 与密钥重构过程。William等人[33-34]在异步信道下提出了两种密钥共享方案,但方案需 要有诚实的参与者,然而在分布式网络环境中,如何保证参与者始终是诚实的,则是非常困 难的。
[0008] W上经典密钥共享和理性密钥共享方案,在密钥分发和重构阶段需要大量耗时的 运算,尚不能很好的适用于计算能力薄弱的智能手机、平板电脑、PDA等设备中,因此无法满 足用户个性化需求及适应当前云计算的迅猛发展,为了进一步提高计算效率,云外包计算 应运而生并很快成为学术界研究的热点,在云外包计算环境中,计算能力薄弱的云租户利 用移动设备收集信息,当需要对收集的信息进行大量复杂、耗时计算时,将计算外包给具有 强大计算能力的云服务提供商(CSP)来完成相关任务,运样租户可W享受无限制的计算资 源,CSP则根据租户计算任务按需收取相应报酬。Gennaro[35]在标准模型下,基于混淆电路 和全同态提出一种适合于单个租户的可验证外包计算协议。方案增加了离线的预处理阶 段,构造了具有全同态解密功能的混淆电路,租户能够验证CSP返回结果的正确性和完整 性。Parno等[36]提出一种公开代理和验证的方案,方案基于属性加密,但该方案不能保证 属性的隐私。Glodwasser等[37]提出一种基于RLWE问题的单密钥功能加密,并在功能加密 基础上设计了公开可验证方案。Lopez等[38]在环LWE困难问题基础上,提出一种on-the-fly安全多方计算协议,用户将密文存储在云中,CSP可W动态选择计算功能,但其方案在解 密阶段需要租户交互执行MPC协议。Gordon等[39]([39]Gordon S D,Katz J,Liu F H,et al.Multi-Client Verifiable Computation with Stronger Security Guarantees. In TCC,2015:144-168.)结合具有两个输出结果的属性加密、混淆和代理不经意传输等加密方 法,提出一种具有强安全保证的多租户验证外包计算。为了进一步提高效率和实际应用推 广,文献[40-43]([40]Li J,Huang X Y,Li J W,et al.Securely outsourcing attribute-based encryption with check曰biltiy. IEEE Transactions on Parallel and Distributed Systems,2014,25(8) :2201-2210. [41]胡杏,裴定一,唐春明.可验证安 全外包矩阵计算及其应用[J].中国科学:信息科学,2013,43(7) :842-852. [42]Zhang F G, Xu Μ,Liu S L.Efficient computation outsourcing for inverting a class of homomorphic functions . Information Sciences ,2014,286(1):19-28.[43]Chen X F, Huang X Y,Line J,et al.New Algorithms for Secure Outsourcing of Large-Scale Systems of Linear Equations. IEEE Transactions on Information Forensics and Security. 2015,10(1) :69-78.)对具体地外包科学计算问题进行了研究。目前尚没有针对 密钥共享协议的高效、安全的云外包方案。
[0009] 现有技术由如下Ξ个主要缺点:
[0010] (1)现有密钥共享技术在密钥分发和重构阶段需要大量耗时的运算,尚不能很好 的适用于计算能力薄弱、内存空间相对小的智能手机、平板电脑、PDA等设备中,无法满足用 户个性化需求及适应当前云计算的迅猛发展;
[0011] (2)现有保证云租户诚实遵守协议的方法采用承诺方案、零知识证明和多方投币 协议,需要租户多轮交互,实用性不高;
[0012] (3)现有验证云服务商计算结果的方法采用概率证明或非交互论证,验证方法复 杂、效率低下。
【发明内容】
[0013] 有鉴于此,本发明提供一种云外包密钥共享装置及方法。
[0014] -种云外包密钥共享装置,其包括如下单元:
[0015] 密钥分发单元,用于通过分发者加密密钥子份额并且对密文数字签名,然后采取 单向哈希函数对密钥进行单向哈希操作,将结果发送给云租户;
[0016] 云外包计算单元,用于通过云租户发送子份额给云服务提供商,云服务提供商通 过签名验证算法验证云租户数据,接下来云服务提供商运用全同态技术对密文进行操作, 并将最终结果返回给云租户;
[0017] 解密验证单元,用于通过云租户将计算结果解密,并通过单向哈希函数验证云服 务提供商计算结果的正确性。
[0018] 在本发明所述的云外包密钥共享装置中,所述密钥分发单元包括:
[0019] 可信任的密钥分发者运行公私钥产生算法得到密钥对(pkd,skd),进而通过密钥产 生算法Keygen( ik)得到(pk,sk,ek),其中k为安全参数;
[0020] 分发者从GF(q)中随机选择m-1个元素 ai,K,am-i,构造 m-1次多项;ι?
y 其中S为密钥;
[0021 ]分发者计算yi = f (Xi)然后通过加密算法Enc(pk,Xi I |yi)得到密文Ci,并进行数字 签名 一
[002引分发者将元组佔,01,]1(3),31〇发送给口1,其中11(?)为单向哈希函数。
[0023] 在本发明所述的云外包密钥共享装置中,所述云外包计算单元包括:
[0024] 由m个云租户分别将(Ci,〇i)iem发给云服务提供商S;
[00巧]S运行签名验证算法"办A (c,A),如果成功则进行下一步,如果失败则拒绝执行计 算,并将Pi的欺骗行为进行广播;
[0026] 云服务提供者S运用全同态加密技术进行密文计算:
[0027] C: =Eval(C,(ci,Pki,eki),Κ,(Cm,pkm,ekm)),运里参与者公钥和计算密钥相同分 别为(pk,ek),然后广播密文C。
[0028] 在本发明所述的云外包密钥共享装置中,解密验证单元包括:
[0029] 云租户运行解密算法Dec(ski,K,skm,c)得到
,运里云租户私 钥相同均为sk;
[0030] 云租户检验Ms)和h(f(0))是否相等,从而验证云服务提供商S计算结果的正确 性。
[0031] 本发明还提供一种云外包密钥共享方法,其包括如下步骤:
[0032] S1、通过分发者加密密钥子份额并且对密文数字签名,然后采取单向哈希函数对 密钥进行单向哈希操作,将结果发送给云租户;
[0033] S2、通过云租户发送子份额给云服务提供商,云服务提供商通过签名验证算法验 证云租户数据,接下来云服务提供商运用全同态技术对密文进行操作,并将最终结果返回 给云租户;
[0034] S3、通过云租户将计算结果解密,并通过单向哈希函数验证云服务提供商计算结 果的正确性。
[0035] 在本发明所述的云外包密钥共享方法中,所述步骤SI包括:
[0036] 可信任的密钥分发者运行公私钥产生算法得到密钥对(pkd,skd),进而通过密钥产 生算法Keygen( ik)得到(pk,sk,ek),其中k为安全参数;
[0037] 分发者从GF(q)中随机选择m-1个元素 ai,Κ,am-i,构造 m-1次多项式
<i<n,其中S为密钥;
[003引分发者计算yi = f(xi)然后通过加密算法Enc(pk,xi||yi)得到密文ci,并进行数字 签名 S如 *>,) 一 0·,;
[0039] 分发者将元组佔,〇1,}1(3),310发送给口1,其中}1(')为单向哈希函数。
[0040] 在本发明所述的云外包密钥共享方法中,所述S2包括:
[004。 由m个云租户分别将(Ci,0i)iem发给云服务提供商S;
[0042] 8运行签名验证算法^^峨*,(£,,巧),如果成功则进行下一步,如果失败则拒绝执行计 算,并将Pi的欺骗行为进行广播;
[0043] 云服务提供者S运用全同态加密技术进行密文计算:
[0044] C: =Eval(C,(ci,pki,eki),Κ,(Cm,pkm,ekm)),运里参与者公钥和计算密钥相同分 别为(pk,ek),然后广播密文C。
[004引在本发明所述的云外包密钥共享方法中,所述S3包括:
[0046] 云租户运行解密算法〇6(3(341,1(,3心,(3)得到
,运里云租户私 钥相同均为sk;
[0047] 云租户检验Ms)和h(f(0))是否相等,从而验证云服务提供商S计算结果的正确 性。
[0048] 本发明提供的云外包密钥共享装置及方法,该发明专利首次将密钥共享方案扩展 到云上,结合近几年快速兴起的云外包安全计算理念,提出了一种基于云外包环境的密钥 共享装置与方法。
[0049] 1.该方法充分借助云计算的强大计算能力,将密钥共享中复杂、耗时的密钥重构 过程交给云服务提供商进行计算,避免了云租户自身设备计算资源有限,计算能力薄弱的 劣势。运样安全、高效、灵活的实现了云租户间的密钥共享过程。非常适合当前迅猛发展的 云计算和社交网络环境。目前尚未检索到将云计算外包和密钥共享相结合的研究方案。
[0050] 2.在密钥分发阶段,分发者对密钥子份额进行加密并对密文数字签名,然后将签 名信息和对密钥的哈希值发给云租户。在重构阶段,云租户将密钥子份额的密文和分发者 的签名发给云服务提供商,云服务提供商通过签名验证算法验证云租户发过来的数据,运 样能够达到检验云租户和分发者恶意行为的目的。另外在密钥重构过程中,云租户之间不 需要进行多轮交互。因此比现有云外包方案中采用的复杂的承诺方案、零知识证明等方法 更加高效和实用。
[0051] 3.在密文计算过程中,云服务提供商通过使用改进的全同态加密算法对密文进行 运算 ,云租户收到云服务提供商返回的密文计算结果后,对密文计算结果进行解密并进行 哈希操作,然后和原有密钥哈希结果进行对比,从而验证云服务提供商计算正确性,防止云 服务提供商在密钥共享过程中产生的欺诈行为。相比较现有复杂的非交互论证等验证方法 更加切合实际。
【附图说明】
[0052] 图1为本发明实施例的基于云外包的密钥共享方法网络拓扑图;
[0053] 图2为本发明实施例的基于云外包环境的安全密钥共享方案图。
【具体实施方式】
[0054] 如图1所示,本方案在密钥分发阶段由分发者加密密钥子份额并且对密文数字签 名,然后采取单向哈希函数对密钥进行单向哈希操作,将结果发送给云租户。在密钥重构阶 段,云租户发送子份额给云服务提供商,云服务提供商通过签名验证算法验证云租户数据, 接下来云服务提供商运用全同态技术对密文进行操作,并将最终结果返回给云租户。在解 密验证阶段云租户将计算结果解密,并通过单向哈希函数验证云服务提供商计算结果的正 确性。整个云外包密钥共享过程,云租户只需少量的解密和验证操作,云租户之间无需交 互,实现了安全、高效的密钥共享。基于云外包的密钥共享装置和方法设计如下:
[0055] 云外包密钥共享方案设计
[0056] 该发明专利结合数字签名,多密钥全同态算法,单向哈希函数等算法,设计了云外 包环境下的密钥共享方案,现有密钥共享协议在密钥分发和重构阶段需要大量耗时的运 算,尚不能很好的适用于计算能力薄弱的智能手机、平板电脑、PDA等设备中,该发明专利针 对该类问题,设计了基于云外包环境的密钥共享方法,可W促使计算能力薄弱的云租户有 效分享和重构密钥,有很强的实用价值,设计方案如图2所示:
[0057] 云外包密钥共享方案具体实施步骤如下:
[0058] 密钥分发阶段:
[0059] 步骤1:可信任的密钥分发者运行公私钥产生算法得到密钥对(pkd,skd),进而通过 密钥产生算法KeygenQk)得到(94,34,日1〇,其中4为安全参数(为了降低客户端认证和计算 开销,本发明方案采用轻量级无需CA认证的ΡΚΙ[39]),不同于文献[3引本发明方案依据密 钥共享的特性,云租户使用相同的公私钥对,运样能够进一步提高云租户端计算和认证效 率。
[0060] 步骤2 :分发者从GFU)中随机选择m-1个元素,构造 m-1次多项式,
如,其中S为密钥。
[0061]步骤3:分发者计算yi = f (Xi)然后通过加密算法E:nc(pk,Xi I I yi)得到密文Ci,并进 行数字签名
[006引步骤4:分发者将元组(Ci,0i,h(s),sk)发送给Pi,其中h( ·)为单向哈希函数。
[0063] 云外包计算阶段:
[0064] 步骤1:由m个云租户分别将(Ci,〇i)iEm发给云服务提供商S。
[0065] 步骤2: S运行签名验证算挂
'如果成功则进行下一步,如果失败 则拒绝执行计算,并将Pi的欺骗行为进行广播。
[0066]步骤3:云服务提供者S运用全同态加密技术进行密文计算:c: =Eval(C,(ci,pki, eki),…,(cm,pkm,ekm)),运里参与者公钥和计算密钥相同分别为(pk,ek),然后广播密文c。
[0067] 密钥解密验证阶段:
[006引步骤1 :云租户运行解密算法D e C ( S k 1,…,S k m,C )得到
,运里云租户私钥相同均为sk。
[0069] 步骤2:云租户检验h(s)和h(f(0))是否相等,从而验证云服务提供商S计算结果的 正确性。
[0070] 本发明实施例相对于现有技术,具有如下优点:
[0071] (1)该发明提出一种云外包密钥共享装置和方法,将传统密钥共享方案扩展到云 上,该发明将大量复杂、耗时的计算外包给具有强大计算能力的云服务提供商(CSP)来完 成,计算能力薄弱的云租户只需进行少量解密运算,租户之间无需复杂的交互和验证,从而 提高了密钥共享分发和重构效率,具有很强的实用价值。
[0072] (2)在本发明方案中,分发者对每位云租户的密钥子份额进行加密并数字签名,云 租户和云服务提供商可W利用分发者的公钥对数字签名进行验证,因此恶意的云租户不能 用错误的输入信息欺骗云服务提供商。该验证方法简洁、高效,无需复杂的承诺方案、零知 识证明等方法,就能达到检验参与者恶意行为的目的。。
[0073] (3)云租户对云服务提供商(CSP)返回的密文结果进行解密并验证结果的正确性, 当h(s)和h(f(0))相等时,云租户能够确认CSP计算结果是正确的,否则认为CSP计算结果是 错误的,由于单向哈希函数的性质,一个或者多个云租户合谋不能从推导出任何关于的有 用信息。该验证方法可W有效检验CSP的恶意行为,因此CSP有正确执行协议的动机,最终所 有云租户都能公平和正确的重构密钥。
[0074] 可W理解的是,对于本领域的普通技术人员来说,可W根据本发明的技术构思做 出其它各种相应的改变与变形,而所有运些改变与变形都应属于本发明权利要求的保护范 围。
【主权项】
1. 一种云外包密钥共享装置,其特征在于,其包括如下单元: 密钥分发单元,用于通过分发者加密密钥子份额并且对密文数字签名,然后采取单向 哈希函数对密钥进行单向哈希操作,将结果发送给云租户; 云外包计算单元,用于通过云租户发送子份额给云服务提供商,云服务提供商通过签 名验证算法验证云租户数据,接下来云服务提供商运用全同态技术对密文进行操作,并将 最终结果返回给云租户; 解密验证单元,用于通过云租户将计算结果解密,并通过单向哈希函数验证云服务提 供商计算结果的正确性。2. 如权利要求1所述的云外包密钥共享装置,其特征在于,所述密钥分发单元包括: 可信任的密钥分发者运行公私钥产生算法得到密钥对(pkd,skd),进而通过密钥产生算 法Keygen( Ik)得到(pk,sk,ek),其中k为安全参数; 分发者从GF(q)中随机选择m-Ι个元素ai,K,am-i,构造m-Ι次多项式η,其中s为密钥; 分发者计算yi = f(Xi)然后通过加密算法Enc (pk,Xi I I yi)得到密文Ci,并进行数字签名分发者将元组((^,〇^]1(8),81〇发送给?1,其中11(>)为单向哈希函数。3. 如权利要求2所述的云外包密钥共享装置,其特征在于,所述云外包计算单元包括: 由m个云租户分别将(Cl,〇i) iEm发给云服务提供商S; S运行签名验证算法加果成功则进行下一步,如果失败则拒绝执行计算, 并将欺骗行为进行广播; 云服务提供者S运用全同态加密技术进行密文计算: c: = Eval(C,(ci,pki,eki),K,(Cm,pkm,ekm)),这里参与者公钥和计算密钥相同分别为 (口1^,61〇,然后广播密文(3〇4. 如权利要求3所述的云外包密钥共享装置,其特征在于,解密验证单元包括: 云租户运行解密算法Dec(SkhKdk^c)得到这里云租户私钥相 同均为sk; 云租户检验h(s)和h(f(0))是否相等,从而验证云服务提供商S计算结果的正确性。5. -种云外包密钥共享方法,其特征在于,其包括如下步骤: 51、 通过分发者加密密钥子份额并且对密文数字签名,然后采取单向哈希函数对密钥 进行单向哈希操作,将结果发送给云租户; 52、 通过云租户发送子份额给云服务提供商,云服务提供商通过签名验证算法验证云 租户数据,接下来云服务提供商运用全同态技术对密文进行操作,并将最终结果返回给云 租户; 53、 通过云租户将计算结果解密,并通过单向哈希函数验证云服务提供商计算结果的 正确性。6. 如权利要求5所述的云外包密钥共享方法,其特征在于,所述步骤Sl包括: 可信任的密钥分发者运行公私钥产生算法得到密钥对(pkd,skd),进而通过密钥产生算 法Keygen( Ik)得到(pk,sk,ek),其中k为安全参数; 分发者从GF(q)中随机选择m-1个元素ai,K,am-i,构造m-1次多项式η,其中s为密钥; 分发者计算yi = f(Xi)然后通过加密算法Enc (pk,Xi I I yi)得到密文Ci,并进行数字签名分发者将元组((^,〇^]1(8),81〇发送给?1,其中11(>)为单向哈希函数。7. 如权利要求6所述的云外包密钥共享方法,其特征在于,所述S2包括: 由m个云租户分别将(Ci,〇i) iEm发给云服务提供商S; S运行签名验证算法1如果成功则进行下一步,如果失败则拒绝执行计算, 并将欺骗行为进行广播; 云服务提供者S运用全同态加密技术进行密文计算: c: = Eval(C,(ci,pki,eki),K,(Cm,pkm,ekm)),这里参与者公钥和计算密钥相同分别为 (口1^,61〇,然后广播密文(3〇8. 如权利要求7所述的云外包密钥共享方法,其特征在于,所述S3包括: 云租户运行解密算法Dec(SkhKdk^c)得到这里云租户私钥相 同均为sk; 云租户检验h(s)和h(f(0))是否相等,从而验证云服务提供商S计算结果的正确性。
【专利摘要】一种云外包密钥共享装置,其包括如下单元:密钥分发单元,用于通过分发者加密密钥子份额并且对密文数字签名,然后采取单向哈希函数对密钥进行单向哈希操作,将结果发送给云租户;云外包计算单元,用于通过云租户发送子份额给云服务提供商,云服务提供商通过签名验证算法验证云租户数据,接下来云服务提供商运用全同态技术对密文进行操作,并将最终结果返回给云租户;解密验证单元,用于通过云租户将计算结果解密,并通过单向哈希函数验证云服务提供商计算结果的正确性。本发明还提供一种云外包密钥共享方法。
【IPC分类】H04L29/08, H04L9/32, H04L29/06, H04L9/08
【公开号】CN105491006
【申请号】CN201510770988
【发明人】张恩, 刘亚鹏, 段新涛, 彭杰, 孙林, 朱文焌, 王英杰, 代丽萍, 罗冰, 李锐, 申晓雪
【申请人】河南师范大学
【公开日】2016年4月13日
【申请日】2015年11月13日
最新回复(0)