[发明专利]基于陷门二元单向函数的广播加密方法及装置

权利要求书

1.一种基于陷门二元单向函数的广播加密方法，其特征在于，所述广播加密方法包括以下步骤：

S1：初始化算法Setup：以安全参数n作为输入，通过陷门构造函数TrapGen输出公钥pk和主秘钥msk；

S2：密钥提取算法Extract：每个用户具有唯一的序列号i,以公钥pk，主秘钥msk和用户的序列号i作为输入，利用陷门二元单向函数TB-OWF构造用户的私钥sk_i，并且输出用户的私钥sk_i；

S3：加密算法Encrypt:以公钥pk和消息M作为输入，通过多重带误差学习Multi-LWE的加密方案，对消息M进行加密，输出密文C；

S4：解密算法Decrypt:用户以密文C和用户唯一的序列号i以及各自的私钥sk_i作为输入，然后用户利用私钥sk_i，利用带误差的概率解密算法，解密密文C获得消息M；

所述S2中密钥提取算法Extract的实现方法具体为:

在上为每个用户i选择一个随机元素o_i，σ和ξ是高斯分布的参数，结合所述的公钥pk，主秘钥msk以及用户唯一的序列号i，通过陷门二元单向函数TB-OWF中存在的陷门，计算高斯原像采样算法SamplePre(a,T,u+co_i,σ,ξ),得到短向量d_i并且满足ad_i＝u+co_i,由此得到用户的私钥sk_i＝(o_i,d_i)。

2.根据权利要求1所述的广播加密方法，其特征在于，所述S1中初始化算法Setup的实现方法具体为：

利用安全参数n，计算基于环R＝Z[x]/＜f(x)＞上的环上带误差学习RLWE陷门构造函数TrapGen，得到二元组(a,T)，其中，与a相关的陷门然后随机选择在R_q上获取均匀随机多项式样本u，并令pk＝(a,c,u)，主秘钥msk的值等于陷门T,

其中，R_q是表示环R中多项式系数的算术运算是按模q执行的，q是一个大素数；

a是环Rq上的m维向量；

c是环Rq上随机选择的m维向量；

u是环Rq上的随机选择的常量；

代表R_q上的环元素是m维向量，m是整数且m1；

Z[x]是整数多项式；

f(x)是多项式，f(x)＝(xⁿ+1)，其中，n是2的幂。

3.根据权利要求2所述的广播加密方法,所述陷门二元单向函数TB-OWF中，给定和对任意TB-OWF函数f:X×Y→Z表示为f(x,y)＝ax+cy＝z，其陷门为高斯原像采样算法SamplePre中的T，其特征在于:所述陷门二元单向函数TB-OWF包括以下性质：

1)易于计算：对于每一对输入(x,y)，存在有效算法A，在多项式时间计算出函数值z＝A(x,y)；

2)不可逆性：

a.给定z，对于任意的y，计算出x使得f(x,y)＝z的概率是可忽略的；

b.给定z，对于任意的x，计算出y使得f(x,y)＝z的概率是可忽略的；

3)存在陷门：给定z，对于任意的y，存在多项式时间算法g和陷门T，计算出x＝g_T(z,y)满足z＝f(x,y)。

4.根据权利要求1所述的广播加密方法，其特征在于，所述S3中加密算法Encrypt的实现方法具体为：在R_q中选择一个随机值s，然后选择噪音向量e属于误差分布χ，e'和e”属于误差分布χ^m，利用所述公钥pk和消息M∈{0,1}ⁿ且转化为R₂中的向量，通过多重带误差学习Multi-LWE的加密方案对消息M进行加密，加密算法为：

输出密文C＝(c,t,z)；

根据公钥对消息M进行封装计算得到环Rq上的常量c，t、z是环Rq上的m维向量；c、t、z共同组成了密文C。