[发明专利]基于陷门二元单向函数的广播加密方法及装置

说明书

本发明提供了一种基于陷门二元单向函数的广播加密方法及装置，主要涉及到陷门二元单向函数TB‑OWF的大规模群组下用户密钥提取方法，以及基于环上带误差学习RLWE的困难性假定，设计了基于格的多重带误差学习Multi‑LWE的加密方案，并且本发明进一步证明了该方案在标准模型下，具有针对敌手选择的明文攻击或者合谋攻击(IND‑CPA‑CA)具有语义安全性。本发明所提出的基于RLWE的广播加密方案，在不知道陷门的情况下，私钥的求解变得十分困难。采用多重带误差学习Multi‑LWE加密方案，提高了加密效率以及密文的安全性。广播加密系统中，用户的数量无限，加密方案更加简化。

【技术领域】

本发明涉及信息安全技术领域，尤其涉及一种基于陷门二元单向函数的广播加密方法及装置，并且具有抗合谋攻击。

【背景技术】

2005年，Regev首次提出了带误差学习(LWE)问题，作为一个可归约到格上最坏情形困难问题的一般情形困难问题，在格密码学中被广泛使用。LWE问题分为两种，一种是LWE的搜索性问题，记为search-LWE，另一种是LWE的判定性问题，也叫做decision-LWE问题，在密码学系统应用中，多数是基于LWE的判定性问题。在此基础上，关于环上带误差学习(RLWE)的困难问题是由Lyubaskevsky，Peikert和Regev在2010年的欧密会上提出的，RLWE问题克服了LWE问题的公钥长度大，密文扩展率高的缺点，被广泛应用到密码学方案设计中。

除此之外，单向陷门函数也是保证密码方案的安全性中常用的一项技术，陷门单向函数是一类有陷门的特殊的单向函数，利用单向函数的不可逆性，它在一个方向上易于计算而反方向却难于计算，但是,如果知道这个陷门，就能够很容易在另一个方向上计算出这个函数。

广播加密的核心思想是广播者将消息加密通过广播方式发送给大量用户，每一个合法的接收者利用其私钥解密出相应的明文来，对于不属于该群组的任意非法用户，均不能成功进行如上的解密操作，广播加密方案已经得到了广泛的应用，包括付费电视系统、CD/DVD等有版权资料的分发等，广播加密领域最早由Fiat和Naor正式引入，并受到广泛关注。

由于广播加密是面向群体的，而合谋攻击最有可能发生在敌手和一些拥有有效密钥的内奸之间，因此，在面向群体的密码系统的研究中必须考虑合谋攻击，如何将的密文安全地分享给一个任意选定的接收者集合,是广播加密关心的问题。

为了解决广播加密的合谋攻击问题，本发明主要依靠上述两种技术，提出一种基于陷门二元单向函数的广播加密方法，提供一种基于陷门二元单向函数的密钥提取方法，并基于RLWE的困难性假定，设计了安全的多重带误差学习Multi-LWE的加密方案，并且本方案进一步证明了该方案在标准模型下，具有针对敌手选择的明文攻击或者合谋攻击(IND-CPA-CA)具有语义安全性。

【发明内容】

有鉴于此，本发明提供了一种基于陷门二元单向函数的广播加密方法及装置，该方案主要涉及到陷门二元单向函数的密钥提取方法，以及基于RLWE的困难性假定，设计了多重带误差学习Multi-LWE的加密方案，并且本方案进一步证明了该方案在标准模型下，具有针对敌手选择的明文攻击或者合谋攻击(IND-CPA-CA)具有语义安全性。

如上所述的方面和任一可能的实现方式，进一步提供一种抗合谋攻击的广播加密方法，所述广播加密方法包括以下步骤：

S1：初始化算法Setup：以安全参数n作为输入，通过陷门构造函数TrapGen，输出公钥pk和主秘钥msk；

S2：密钥提取算法Extract：每个用户具有唯一的序列号i,以公钥pk，主秘钥msk和用户的序列号i作为输入，利用陷门二元单向函数TB-OWF，构造用户的私钥sk_i，并且输出用户的私钥sk_i；

S3：加密算法Encrypt:以公钥pk和消息M作为输入，通过多重带误差学习Multi-LWE的加密方案，对消息M进行加密，输出密文C。