本發(fā)明屬于網(wǎng)絡(luò)空間安全���,尤其涉及抗量子的口令保護(hù)秘密共享方法。
背景技術(shù):
1、云存儲在互聯(lián)網(wǎng)存儲中起著非常重要的作用,如醫(yī)院采用智慧醫(yī)療的方式進(jìn)行醫(yī)療服務(wù),將醫(yī)療數(shù)據(jù)上傳到云服務(wù)器上�,用戶個(gè)人還可通過云存儲上傳相冊���、資料等等��。造成了很多的問題與安全隱患��,一方面將隱私數(shù)據(jù)存儲到云端�,若黑客攻擊云服務(wù)器所存在的安全漏洞,就會導(dǎo)致隱私數(shù)據(jù)泄露��。另一方面����,第三方云存儲的服務(wù)器可以直接獲取隱私數(shù)據(jù)。為了確保隱私數(shù)據(jù)能夠被安全地存儲和訪問,傳統(tǒng)的方法是在數(shù)據(jù)上傳前先將數(shù)據(jù)加密�,再上傳。這種加密的方式效率較低��,而且����,加密密鑰的管理也給用戶帶來了額外的存儲費(fèi)用。另一種解決方案是引入一個(gè)獨(dú)立的第三方密鑰管理系統(tǒng)���,該系統(tǒng)使用封裝-解封的方法來支持用戶管理大量的對稱數(shù)據(jù)加密密鑰來加密外包數(shù)據(jù)。但是���,采用密鑰封裝機(jī)制的方式���,敵手很容易通過中間人攻擊來獲得密鑰。采用這種方式�����,在單個(gè)第三方密鑰管理系統(tǒng)在密鑰數(shù)量很大時(shí),也會存在管理瓶頸��,于是人們研究用戶與多個(gè)服務(wù)器如何進(jìn)行認(rèn)證�。口令保護(hù)秘密共享����,為這些問題提供了一種優(yōu)雅的解決方,即利用人類易記憶的口令來控制主密鑰���,實(shí)現(xiàn)分布式的存儲秘密份額��,恢復(fù)密鑰時(shí)用戶只需要使用口令即可���。
2、當(dāng)前主流的口令保護(hù)秘密共享技術(shù)普遍依賴于因子分解�、離散對數(shù)等傳統(tǒng)數(shù)論難題,這些方法在量子計(jì)算模型下存在安全隱患����。雖然已有基于格密碼學(xué)的口令保護(hù)秘密共享方法探索,但其多為靜態(tài)設(shè)計(jì)���,缺乏密鑰份額的動態(tài)更新能力�����,易遭受持續(xù)泄漏的威脅���。
技術(shù)實(shí)現(xiàn)思路
1�����、本發(fā)明所要解決的技術(shù)問題在于克服上述現(xiàn)有技術(shù)的缺點(diǎn)�,提供一種安全性高�����、可靠性強(qiáng)�、支持動態(tài)更新的基于格的可更新私鑰口令保護(hù)秘密共享方法。
2���、解決上述技術(shù)問題所采用的技術(shù)方案由下述步驟組成:
3、(1)系統(tǒng)初始化
4�、1)生成系統(tǒng)參數(shù)
5、按下式生成采樣隨機(jī)矩陣a和隨機(jī)矩陣
6�����、
7、其中����,m為矩陣的行數(shù),n為矩陣的列數(shù)�����,q為一個(gè)大素?cái)?shù)�。
8、設(shè)置抗碰撞哈希函數(shù)h:
9����、h:{0,1}*→zq;
10���、其中��,{0,1}*表示由0和1組成的任意長度的比特串�����,zq表示由模q的整數(shù)����。
11、2)生成密鑰
12�����、按下式生成公鑰pk1����、公鑰pk2、公鑰pk:
13���、pk1=[a×k1+e|a]����,
14�����、pk2=[a×k2+e|a]
15�����、
16���、其中�,a表示m行n列的整數(shù)矩陣��,k1�����、k2表示長度為n的隨機(jī)向量����,k1,表示長度為n的隨機(jī)向量����,e表示誤差向量,e∈xm����,xm表示離散高斯分布,表示誤差向量�����,
17����、采用加密方法gsw中的powerof2方法����,生成私鑰sk2:
18�、
19、3)秘密共享主私鑰sk
20�、采用shamir秘密共享方法中的ss.share方法秘密共享主私鑰sk,生成服務(wù)器份額ski:
21�、ski=ss.share(sk),
22���、其中���,i為服務(wù)器的序號,i取值為有限的正整數(shù)��。
23�、4)生成密文與承諾
24、采用門限全同態(tài)加密方法中的門限加密方法tfhe.enc中的enc方法���,生成口令
25����、哈希密文cpw和主密鑰密文cmsk:
26、cpw=tfhe.enc(pk1,h(pw))�����,
27���、cmsk=tfhe.enc(pk2,msk),
28����、其中,pw表示口令��,msk表示主密鑰��,構(gòu)建矩陣a1和矩陣a2��。
29��、a1=[im|a]���,
30�、
31、其中����,im是單位矩陣,0m×m是零矩陣���。
32���、按下式生成服務(wù)器份額ski的承諾comi:
33、comi=[a1×ri|a2×ri+ski]�;
34、其中�����,ri表示隨機(jī)向量����,表示由模q的整數(shù)組成的m+n長的向量。
35��、5)輸出系統(tǒng)參數(shù)
36��、輸出系統(tǒng)參數(shù)st0���、sti如下:
37����、
38、sti={ski,ri}���。
39、(2)秘密恢復(fù)方法
40����、1)加密口令哈希
41、用戶u選取t+1個(gè)服務(wù)器的會話集合{sid1,sid2,…,sidj}�,j為服務(wù)器的序號,j取值為有限的正整數(shù)�����,設(shè)置服務(wù)器集合s:
42�、s={1,2���,…,t+1}���,其中���,t表示服務(wù)器的個(gè)數(shù),t取值為有限的正整數(shù)��,采樣隨機(jī)矩陣rpw���,rpw∈{0,1}n×m�����。
43���、用戶u計(jì)算密文cpw和cpw:
44、cpw=h(pw)×in+rp��,
45�、cpw=h(pw)×in+rp,
46���、rp=(rp1,0,rp1,1,…,rp1,l-1,rp2,0,rp2,1…,rpn,l-1)�,
47���、rp=(rp1,0,rp1,1,…,rp1,l-1,rp2,0,rp2,1…,rpn,l-1)�,
48、
49�����、其中���,in表示單位矩陣����,n是矩陣的維數(shù)���,n取值為有限的正整數(shù),rp表示矩陣rpw×pk1中的每一個(gè)元素二進(jìn)制分解后����,按低位到高位排列組成的n×l的向量;rp表示矩陣rpw×pk中的每一個(gè)元素二進(jìn)制分解后���,按低位到高位排列組成的n×l的向量����,l為中間變量���。
50����、2)生成密鑰
51、按下式生成公鑰pk��、私鑰sk:
52��、
53����、sk=powerof2(1|-k|),其中����,a表示隨機(jī)矩陣,表示由模q的整數(shù)組成的m行n列矩陣�����,k表示隨機(jī)向量���,表示由模q的整數(shù)組成的n長的向量��,表示噪聲向量�����,
54����、3)生成證據(jù)
55、用戶u采用零知識證明方法的nizk.p方法生成證據(jù)
56��、cpw=tfhe.enc(pk1,h(pw))��,
57��、cpw=tfhe.enc(pk,h(pw))���。
58、4)用戶發(fā)送參數(shù)
59����、用戶u將s、sidj���、cpw�����、cpw���、pk����、π1,j發(fā)送給對應(yīng)的服務(wù)器si����。
60、5)驗(yàn)證證據(jù)
61�、服務(wù)器si收到用戶u發(fā)送的參數(shù),驗(yàn)證零知識證明的證據(jù)π1,j����,如果π1,j=1成立,繼續(xù)�。
62、6)部分解密
63��、按下式確定部分解密結(jié)果pj:
64���、
65��、δj=(cpw-cpw)·rj����,
66、其中�,表示向量skj和的內(nèi)積,ej表示噪聲向量����,ej∈xm,rj表示隨機(jī)矩陣���,rj∈{0,1}(n×l)×m�����。
67���、7)生成部分解密結(jié)果的證據(jù)
68、按下式確定部分解密結(jié)果pj的密文
69���、
70、rpp=(rpp1,0,rpp1,1,…,rpp1,l-1,rpp2,0,rpp2,1…,rppn,l-1)���,
71���、其中���,rpp表示矩陣rpw×pk中的每一個(gè)元素二進(jìn)制分解后,按低位到高位排列組成的n×l的向量����。
72、采用零知識證明方法生成證據(jù)π2,j:
73���、
74�����、其中���,表示一個(gè)陳述,陳述的內(nèi)容是:密文使用公鑰pk加密部分解密結(jié)果pj得到����。
75、服務(wù)器si將sidj��、π2,j發(fā)送給用戶u。
76���、8)恢復(fù)消息
77��、用戶u收到服務(wù)器si發(fā)送的參數(shù)����,驗(yàn)證等式π2,j=1�,如果成立,采用加密方法gsw的dec方法確定部分解密結(jié)果pj:
78���、
79�、按下式恢復(fù)主密鑰msk:
80����、
81、(3)密鑰份額更新方法
82����、每個(gè)服務(wù)器si按以下步驟更新服務(wù)器密鑰份額:
83、1)生成零多項(xiàng)式
84���、按下式生成零多項(xiàng)式uj(x):
85、
86、其中���,x表示零多項(xiàng)式uj(x)的變量���,αj,k表示服務(wù)器sj隨機(jī)選取的系數(shù),αj,k∈zq����。
87、2)確定零份額
88����、按下式確定服務(wù)器sj發(fā)送給服務(wù)器si的零份額zj→i:
89、zj→i=uj(i)mod?q�,
90、按下式確定二進(jìn)制向量z:
91�����、z=(z1,z2,…,zh),
92��、
93��、其中���,zh表示零份額zj→i二進(jìn)制第h位的值��,zh值取為1或0��,h表示零份額zj→i二進(jìn)制的長度���。
94���、3)加密零份額
95、服務(wù)器sj按下式確定零份額密文cj→i:
96����、
97、其中���,x表示隨機(jī)選取的向量����,x∈{0,1}m�����,m表示向量x的維度��,表示服務(wù)器si的私鑰,表示隨機(jī)矩陣�����,et表示噪聲向量�,et∈χm���。
98�����、4)簽名零份額
99���、采用簽名方法gpv中的gsign方法,使用服務(wù)器的sj私鑰skj簽名份額密文cj→i��,得到簽名σj:
100�����、σj←gsign(skj,cj→i)�����;
101、5)廣播消息
102����、服務(wù)器sj按下式確定廣播消息msgj:
103、msgj={j,ω,cj→i,σj}����,
104、其中��,ω表示時(shí)期計(jì)數(shù)器�����,取值為有限正整數(shù)�,服務(wù)器sj將廣播消息msgj廣播給所有服務(wù)器。
105���、6)驗(yàn)證簽名
106�����、服務(wù)器si收集至少t+1個(gè)廣播消息msgj���,采用簽名方法gpv中的gverify方法���,使用公鑰pkj驗(yàn)證簽名σj:
107、gverify(pkj,σj)=1����,
108、若上式成立����,繼續(xù)�。
109、7)更新私鑰
110����、按下式更新私鑰ski':
111、
112����、zj→i=(-si,1)t×cj→i,
113�、其中,向量si表示向量的轉(zhuǎn)置��,按下式更新承諾comi':
114�、comi'=[a1×ri|a2×ri'+ski']��;
115�����、其中�����,r’i為隨機(jī)向量��,按下式更新時(shí)期計(jì)數(shù)器ω':
116�����、ω'=ω+1�����。
117��、8)更新服務(wù)器狀態(tài)
118����、按下式更新公共參數(shù)st'0:
119、
120��、按下式更新服務(wù)器狀態(tài)sti':
121��、sti'={ski',ri'}���,
122���、輸出公共參數(shù)st'0和服務(wù)器狀態(tài)sti'。
123���、在本發(fā)明的步驟(1)系統(tǒng)初始化中,所述的1)生成系統(tǒng)參數(shù)為:
124����、按下式生成采樣隨機(jī)矩陣a和隨機(jī)矩陣
125、
126�、其中,m為矩陣的行數(shù)�����,m取值為700~1024�,n為矩陣的列數(shù),n取值為784~1024,q為一個(gè)大素?cái)?shù)��,q取值為250~270��。
127�、在本發(fā)明的步驟(1)系統(tǒng)初始化中,所述的3)秘密共享主私鑰sk為:
128�����、采用shamir秘密共享方法中的ss.share方法秘密共享主私鑰sk�,生成服務(wù)器份額ski:
129、ski=ss.share(sk)���,
130�、其中��,i為服務(wù)器的序號�����,i取值為50~100��。
131���、在本發(fā)明的步驟(2)秘密恢復(fù)方法中����,所述的1)加密口令哈希為:
132、用戶u選取t+1個(gè)服務(wù)器的會話集合{sid1,sid2,…,sidj}��,j為服務(wù)器的序號���,j取值為50~100�,設(shè)置服務(wù)器集合s:
133�、s={1,2�,…,t+1},其中���,t表示服務(wù)器的個(gè)數(shù)�,t取值為100~120���,采樣隨機(jī)矩陣rpw,rpw∈{0,1}n×m��。
134��、用戶u計(jì)算密文cpw和cpw:
135、cpw=h(pw)×in+rp���,
136����、cpw=h(pw)×in+rp���,
137��、rp=(rp1,0,rp1,1,…,rp1,l-1,rp2,0,rp2,1…,rpn,l-1)�����,
138���、rp=(rp1,0,rp1,1,…,rp1,l-1,rp2,0,rp2,1…,rpn,l-1),
139�、
140、其中��,in表示單位矩陣��,n是矩陣的維數(shù)�,n取值為100~120���,rp表示矩陣rpw×pk1中的每一個(gè)元素二進(jìn)制分解后,按低位到高位排列組成的n×l的向量�����;rp表示矩陣rpw×pk中的每一個(gè)元素二進(jìn)制分解后���,按低位到高位排列組成的n×l的向量��,l為中間變量����。
141���、本發(fā)明針對數(shù)據(jù)隱私云存儲場景中密鑰管理的瓶頸�����,提出了基于格密碼學(xué)的����、可抗量子攻擊且支持密鑰份額動態(tài)更新的口令保護(hù)秘密共享方案�����。采用了零更新技術(shù)����,實(shí)現(xiàn)了口令保護(hù)秘密共享的動態(tài)更新密鑰,無需用戶參與����,只需服務(wù)器之間實(shí)現(xiàn)密鑰份額更新,通過拉格朗日插值多項(xiàng)式驗(yàn)證密鑰更新的正確性���,更新后密鑰不影響主密鑰的值����。而且系統(tǒng)可擴(kuò)展到公鑰加密的模式���,擴(kuò)大了應(yīng)用范圍�����,實(shí)現(xiàn)了抗量子性��、抗持續(xù)泄漏��、抗在線口令猜測攻擊�。該方法使用戶僅需憑借易于記憶的口令,即可安全地與多個(gè)分布式密鑰服務(wù)器進(jìn)行認(rèn)證��,進(jìn)而重構(gòu)用于解密云端隱私數(shù)據(jù)的加密密鑰�����,不僅有效地保障了用戶隱私���,而且實(shí)現(xiàn)了數(shù)據(jù)的安全存儲與可控訪問����,為云存儲技術(shù)提供了關(guān)鍵的隱私保護(hù)基礎(chǔ)設(shè)施支持���。本發(fā)明具有魯棒性好�、密鑰更新效率高��、可靠性強(qiáng)��、應(yīng)用范圍廣等優(yōu)點(diǎn)���,可用于口令保護(hù)秘密共享的隱私技術(shù)領(lǐng)域���。