辛 丹，顧純祥，鄭永輝，光 焱，康元基

(1.信息工程大學(xué)，河南鄭州 450002； 2.數(shù)學(xué)工程與先進(jìn)計(jì)算國家重點(diǎn)實(shí)驗(yàn)室，江蘇無錫 214125)

利用RLWE構(gòu)造基于身份的全同態(tài)加密體制

辛 丹1，顧純祥1，鄭永輝2，光 焱1，康元基1

(1.信息工程大學(xué)，河南鄭州 450002； 2.數(shù)學(xué)工程與先進(jìn)計(jì)算國家重點(diǎn)實(shí)驗(yàn)室，江蘇無錫 214125)

全同態(tài)加密為云計(jì)算中數(shù)據(jù)全生命周期隱私保護(hù)等難題的解決都提供了新的思路.公鑰尺寸較大是現(xiàn)有全同態(tài)加密體制普遍存在的問題.本文將基于身份加密的思想和全同態(tài)加密體制相結(jié)合，利用環(huán)上容錯(cuò)學(xué)習(xí)問題(Ring Learning With Errors，RLWE)，其中將環(huán)的參數(shù)m擴(kuò)展到任意正整數(shù)，提出了一種基于身份的全同態(tài)加密體制.體制以用戶身份標(biāo)識(shí)作為公鑰，在計(jì)算效率和密鑰管理方面都具有優(yōu)勢(shì)，安全性在隨機(jī)喻示模型下可規(guī)約為判定性RLWE問題難解性假設(shè).

全同態(tài)加密；基于身份加密；環(huán)上容錯(cuò)學(xué)習(xí)問題

1 引言

全同態(tài)加密(fully homomorphic encryption)允許用戶在不解密的情況下，對(duì)密文進(jìn)行任意次的運(yùn)算，從而得到相對(duì)應(yīng)明文進(jìn)行運(yùn)算后加密的結(jié)果.這種新型加密技術(shù)，為很多難題的解決都提供了新的思路，例如云計(jì)算的隱私保護(hù)問題、密文檢索等.2009年，Craig Centry[1]基于“理想格”(ideal lattice)成功構(gòu)造出第一個(gè)真正意義上的全同態(tài)加密體制，這一成果使該領(lǐng)域研究取得突破性進(jìn)展.

參考Gentry的設(shè)計(jì)模式和理念，學(xué)術(shù)界基于不同的代數(shù)結(jié)構(gòu)和數(shù)學(xué)難題提出了一系列的同態(tài)加密算法[2～4]，但現(xiàn)有體制公鑰尺寸通常比較大，密鑰的有效管理一直是體制應(yīng)用面臨的一個(gè)難題.基于身份加密[5](identity-based encryption)利用用戶的唯一身份標(biāo)識(shí)(如E-mail地址等)作為公鑰，用戶私鑰由可信第三方生成，具有不依賴公鑰證書進(jìn)行密鑰管理的優(yōu)勢(shì).2010年美密會(huì)上，Naccache[6]將基于身份的全同態(tài)加密體制設(shè)計(jì)列為待解決的重要問題之一.

Gentry等人[7]基于格上容錯(cuò)學(xué)習(xí)問題[8](Learning With Errors，LWE)設(shè)計(jì)了一種基于身份的同態(tài)加密體制，僅支持有限次加法和一次乘法的同態(tài)運(yùn)算.文獻(xiàn)[9]提出基于對(duì)偶Regev 體制構(gòu)造全同態(tài)加密體制，并借助對(duì)偶Regev體制的加解密密鑰的特點(diǎn)實(shí)現(xiàn)基于身份加密，在計(jì)算效率上有所提升，但運(yùn)算公鑰(evaluation key)尺寸過大.2013年，Gentry 等人[10]提出了一種利用近似特征向量構(gòu)造基于身份的全同態(tài)加密方案，并使?jié)M足一定條件的基于身份加密體制(如文獻(xiàn)[11])增加全同態(tài)運(yùn)算能力，但該方案密文擴(kuò)張嚴(yán)重.光焱等人[12]利用前像可采樣陷門單向函數(shù)[11]提取私鑰的方式和重線性化方法[13]，設(shè)計(jì)了一個(gè)基于身份的全同態(tài)加密體制，簡稱GZG14體制.但該體制不能進(jìn)行多比特加密.

Brakerski和Vaikuntanathan[14]提出了一個(gè)基于環(huán)上容錯(cuò)學(xué)習(xí)問題的全同態(tài)加密體制.以該體制為首的一些體制[15,16]在環(huán)的參數(shù)m的選擇上更偏愛選用m=2k(n=m/2仍然是2的方冪)，此時(shí)多項(xiàng)式Φm(X)=Xn+1分布稀疏，模多項(xiàng)式運(yùn)算可以高效得通過快速傅里葉變換技術(shù)[17](Fast Fourier Transform，F(xiàn)FT)進(jìn)行.但這一特點(diǎn)也導(dǎo)致了在相同安全級(jí)別下，由于m只能取2的方冪，體制公鑰尺寸以及計(jì)算時(shí)間大都比實(shí)際需要高得多，并且這種多項(xiàng)式也影響了單指令多數(shù)據(jù)(Single Instruction Multiple Data,SIMD)技術(shù)[18]的運(yùn)用.但是當(dāng)環(huán)的參數(shù)m取任意正整數(shù)時(shí)，分圓多項(xiàng)式是不規(guī)則的，分布較密集，且多項(xiàng)式系數(shù)較大，并且多項(xiàng)式模運(yùn)算存在很大的擴(kuò)張系數(shù)[19](expansion factor)，從而影響體制加解密效率.Lyubashevsky等人[20]提出的標(biāo)準(zhǔn)嵌入(canonical embedding)將分圓域上的元素映射成復(fù)數(shù)域上的向量，則域上元素的加法和乘法運(yùn)算便轉(zhuǎn)換成向量的逐比特計(jì)算.同時(shí)，通過張量分解技術(shù)[21](tensorial decomposition)將分圓域分解為素?cái)?shù)子域的張量積，多項(xiàng)式模運(yùn)算可以轉(zhuǎn)換到較簡單的素?cái)?shù)子域中進(jìn)行.

本文根據(jù)Gentry等人[11]提出的前像可采樣陷門單向函數(shù)，設(shè)計(jì)了環(huán)上基于身份的私鑰提取算法，對(duì)每一個(gè)身份標(biāo)識(shí)，生成對(duì)應(yīng)的用戶私鑰，通過“密鑰轉(zhuǎn)換”技術(shù)使基于身份的半全同態(tài)加密體制實(shí)現(xiàn)多級(jí)(leveled)同態(tài)運(yùn)算.和一般全同態(tài)加密體制相比，無須使用公鑰證書進(jìn)行身份認(rèn)證，能夠有效克服公鑰尺寸對(duì)于體制應(yīng)用效率的影響.與現(xiàn)有基于身份的全同態(tài)加密體制相比，本文體制可以進(jìn)行多比特加密，支持SIMD技術(shù).最后，證明體制在隨機(jī)喻示模型，判定性RLWE問題假設(shè)的前提下選擇明文安全的(Chosen Plaintext Attack，CPA).

2 基礎(chǔ)知識(shí)

2.1 符號(hào)說明及相關(guān)基礎(chǔ)定義

表1 代數(shù)結(jié)構(gòu)的描述

2.2 RLWE問題

Lyubashevsky等人[21]給出了環(huán)R上理想格最壞情況下最短向量近似問題(worst-case approximate Shortest Vector Problem，SVP)到計(jì)算性環(huán)上容錯(cuò)學(xué)習(xí)問題的量子規(guī)約，接著給出了計(jì)算性環(huán)上容錯(cuò)學(xué)習(xí)問題到判定性環(huán)上容錯(cuò)學(xué)習(xí)問題(Decision Ring Learning With Errors，DRLWE)的一般性規(guī)約.

定義2(RLWE分布)

定義3(RLWE問題)

定義4(DRLWE問題)

定理5(DRLWE問題難解性假設(shè))

χ=?p·ψ?ω+pR∨分布是通過連續(xù)高斯分布p·ψ上的點(diǎn)離散到pR∨的陪基上生成的.由于分解基的最大特征值至多為1，在離散化過程中對(duì)高斯分布參數(shù)影響較小，所以當(dāng)噪聲取自R∨時(shí)，一般選擇分解基進(jìn)行高斯采樣.

2.3 前像可采樣陷門單向函數(shù)

文獻(xiàn)[12]給出了一般格上的前像可采樣陷門單向函數(shù)，將離散正態(tài)分布映射到近似均勻分布上，且滿足在擁有陷門的情況下，能夠從近似均勻分布上將原始離散正態(tài)分布恢復(fù)出來.首先給出陷門的生成方式.

(1)

在命題6的基礎(chǔ)上定義函數(shù)fA：

定義7(前像可采樣陷門單向函數(shù))

3 基于身份的全同態(tài)加密體制模型

本小節(jié)根據(jù)光焱等人提出的基于身份的全同態(tài)加密體制模型[13]，該模型結(jié)合了基于身份加密和全同態(tài)加密兩種特點(diǎn).在格上構(gòu)造一般全同態(tài)加密體制時(shí)，密鑰生成的順序是首先隨機(jī)選擇私鑰，然后根據(jù)格上困難(例如LWE問題)計(jì)算生成用戶公鑰.而在基于身份加密體制中，公私鑰對(duì)的產(chǎn)生順序恰好相反，首先根據(jù)身份標(biāo)識(shí)id得到公鑰pkid，隨后以id或pkid作為私鑰提取算法的輸入，計(jì)算出相應(yīng)的身份私鑰.例如，文獻(xiàn)[12]提出了一種格上基于身份的公鑰加密體制，通過引入哈希函數(shù)和前像可采樣陷門單向函數(shù)，分別實(shí)現(xiàn)從身份信息到公鑰的轉(zhuǎn)換以及提取私鑰的功能.

定義9(基于身份的全同態(tài)加密體制模型)

基于身份的全同態(tài)加密體制IBFHE由5個(gè)算法組成，分別是初始化、私鑰提取、加密、解密和密文運(yùn)算，即IBFHE={Setup，Extract，Enc，Dec，Eval}.

初始化算法Setup：輸入安全參數(shù)1λ，算法輸出加密體制的一對(duì)公開參數(shù)param、主私鑰msk.

私鑰提取算法Extract：輸入公開參數(shù)param、主私鑰msk和身份標(biāo)識(shí)id，為每一個(gè)身份標(biāo)識(shí)id輸出一個(gè)身份私鑰skid.

加密算法Enc：輸入公開參數(shù)param、身份標(biāo)識(shí)id和明文消息μ，輸出與身份標(biāo)識(shí)id相關(guān)的密文c.

解密算法Dec：輸入與身份標(biāo)識(shí)id相關(guān)的密文c和id對(duì)應(yīng)的身份私鑰skid，輸出明文消息μ.

密文運(yùn)算算法Eval：輸入運(yùn)算f:{0,1}t→{0,1}和屬于同一身份標(biāo)識(shí)id加密的一組密文c1,c2,…,ct，輸出新的密文c，且滿足Decskid(c)=f(Decskid(c1),…,Decskid(ct)).

定義10(基于身份的全同態(tài)加密體制的IND-CPA安全性)

由于密文同態(tài)運(yùn)算屬性，因此任何全同態(tài)加密體制都不可能抵抗適應(yīng)性選擇密文攻擊(CCA2)，IBFHE體制采用傳統(tǒng)的選擇明文攻擊下的不可區(qū)分性(IND-CPA).IND-CPA攻擊游戲如下：

初始化：挑戰(zhàn)者C調(diào)用IBFHE.Setup算法，輸出體制的公開參數(shù)param和主私鑰，將param交給攻擊者A.

階段1：A任意選擇身份標(biāo)識(shí)idi∈{0,1}*訪問私鑰提取喻示，得到對(duì)應(yīng)的私鑰skidi，并將idi加入到身份列表P.

階段2：攻擊者A自由選擇身份id′∈{0,1}*，要求id′≠id*，獲得相應(yīng)的私鑰skid′.

猜測(cè)過程：A猜測(cè)目標(biāo)密文c*所對(duì)應(yīng)的明文，輸出猜測(cè)結(jié)果b′，若b′=b，則攻擊者在游戲中獲勝.

攻擊者在游戲中獲勝的概率為Pr|AdvGame[A]|，其優(yōu)勢(shì)為AdvCPA[A]=|Pr|AdvGame[A]|-1/2|，若對(duì)于任意一個(gè)多項(xiàng)式時(shí)間的A，AdvCPA[A]可忽略，則該體制是IND-CPA安全的.

4 體制構(gòu)造

4.1 基礎(chǔ)同態(tài)加密體制

解密算法IBSHE.Dec(c,e)：輸入密文c、私鑰e，計(jì)算x=(ρ+ve)modp，輸出明文消息μ=t·xmodpR.

有兩個(gè)明文消息μ,μ′∈Rp，噪聲x←?p·ψ?t-1μ+pR∨，x′←?p·ψ?t-1μ′+pR∨，加密結(jié)果分別為c=(ρ,v)，c′=(ρ′,v′).對(duì)應(yīng)變量Y的多項(xiàng)式分別為c(Y)=ρ+vY，c′(Y)=ρ′+v′Y.

同態(tài)加法IBSHE.Add：

c(Y)+c′(Y)=ρ+vY+ρ′+v′Y=ρ+ρ′+(v+v′)Y

(2)

將私鑰e代入：

Dece[c(Y)+c′(Y)] =ρ+ve+ρ′+v′e

=x+x′+pxe+px′e

(3)

同態(tài)乘法IBSHE.Mult：

c(Y)·c′(Y) =(ρ+vY)×(ρ′+v′Y)

=ρρ′+(ρv′+ρ′v)Y+vYv′Y

(4)

將私鑰e代入：

Dece[c(Y)·c′(Y)] =(ru+x-rpTAe+pxe)

×(r′u+x′-r′pTAe+px′e)

=x·x′+2p2xex′e+xpx′e+x′pxe

(5)

4.2 密鑰轉(zhuǎn)換技術(shù)

通過一次同態(tài)乘法，密文向量維數(shù)從l+1增加到l2+l+1，可以預(yù)見，隨著同態(tài)乘法的繼續(xù)進(jìn)行，密文元素乘指數(shù)增長，下面介紹密鑰轉(zhuǎn)換技術(shù)可以使密文的元素個(gè)數(shù)保持不變.

(3)對(duì)于i∈[bj]，ρ=(ρ(i))i∈[bj]，V=(v1,…,vbj)，計(jì)算IBSHE.Enc(A,id,0)=(ρ(i),vi)，并滿足c(s′) modp=f(i)←?p·ψ?pR∨，f=(f(i))i∈[bj]，且〈x,f〉足夠??；

(6)

4.3 基于身份的全同態(tài)加密體制

初始化算法IBFHE.Setup(1λ,1L)：輸入安全參數(shù)λ，以及電路層數(shù)L.調(diào)用IBFHE.Setup(1λ)算法輸出公開參數(shù)param，主私鑰msk.

加密算法IBFHE.Enc(A,id,μ)：利用R-IBSHE.Enc(A,id,μ)，輸出得到初始密文c=(ρ,v),使用額外的信息來標(biāo)識(shí)密文所處的電路層，例如ci=(ρi,vi,i)，其中i表示密文所處的層級(jí).

解密算法IBFHE.Dec(ci,ei)：對(duì)于密文ci=(ρi,vi,i)，私鑰為ei由密文所在的層級(jí)決定，計(jì)算xi=(ρi+viei)modp，恢復(fù)明文消息μ=ti·ximodpR.

密文運(yùn)算算法IBFHE.Eval(f,c1,…,ct,evkid)：任意f運(yùn)算都可以表示為同態(tài)乘法與任意次的加法運(yùn)算的組合形式.同態(tài)加法直接調(diào)用IBSHE.Add算法.在進(jìn)行同態(tài)乘法時(shí)，必須先獲得此層級(jí)的運(yùn)算密鑰δi→i+1，再調(diào)用IBSHE.Mult算法進(jìn)行運(yùn)算.

5 體制分析

5.1 正確性與安全性分析

(7)

則解密正確，c(ei)模p得到噪聲xi，利用μ=ti·ximodpR恢復(fù)出明文.

定理11 設(shè)m=λ，n=φ(m)，q=poly(n)≥2，l≥5nlogq，在隨機(jī)喻示模型，DRLWEn,l,q,χ問題假設(shè)的前提下IBFHE體制是IND-CPA安全的.

證明 使用基于游戲的證明方法，用AdvGame[A]來定義攻擊者A在下列游戲中的優(yōu)勢(shì).

AdvCPA[A]=

(8)

|AdvGame1[A]-AdvCPA[A]|=0

(9)

|AdvGame2[A]-AdvGame1[A]|

(10)

|AdvGame3[A]-AdvGame2[A]|=DRLWEn,l,q,χAdv[A]

(11)

(12)

在Game 4中，挑戰(zhàn)者C公鑰和密文都是均勻隨機(jī)選取的，與明文空間無關(guān)，所以在Game 4中A的優(yōu)勢(shì)為零，即AdvGame4[A]=0.

在上述游戲中，C在挑戰(zhàn)階段之外的其他階段中的行為均與Game 0相同.因此，在DRLWEn,l,q,χ假設(shè)成立的情況下，AdvCPA[A]可忽略，IBFHE體制是IND-CPA安全的.

5.2 效率分析

本文提出的IBFHE體制將基于身份的思想引入全同態(tài)加密體制中，相比之下，Brakerski[14]提出的方案在實(shí)際應(yīng)用過程中，必須借助公鑰證書進(jìn)行合法性認(rèn)證，還包括公鑰證書分發(fā)、管理等開銷，且參數(shù)m的選擇必須是2的方冪.與現(xiàn)有的基于身份的全同態(tài)加密體制GZG14相比，IBFHE體制支持Rp上的多比特加密.

選取GZG14體制作為參照對(duì)象，體制在實(shí)現(xiàn)L級(jí)同態(tài)運(yùn)算的情況下，通過以下三個(gè)方面綜合比較IBFHE體制的優(yōu)勢(shì).

計(jì)算復(fù)雜度方面：GZG14體制加密時(shí)主要進(jìn)行5n2logq+n乘法和5n2logq+n次加法，解密時(shí)進(jìn)行5nlogq乘法和5nlogq次加法；IBFHE體制主要進(jìn)行5n2logq+5n3logqlogn乘法和5n2logq+5nlogq次加法，解密時(shí)進(jìn)行5n2logqlogn乘法和nlogq次加法.如表2所示.

表2 效率分析對(duì)比

綜合以上從三個(gè)方面對(duì)IBFHE體制進(jìn)行分析，同GZG14體制相比，雖然體制的計(jì)算復(fù)雜度稍高，但是體制的優(yōu)勢(shì)主要集中體現(xiàn)加密的明文空間上，實(shí)現(xiàn)了多比特加密.

6 結(jié)束語

全同態(tài)加密為解決云計(jì)算數(shù)據(jù)隱私保護(hù)問題、密文檢索等難題提供了一個(gè)新的思路.本文在任意分圓環(huán)的代數(shù)特性上，利用RLWE構(gòu)造了一種基于身份的全同態(tài)加密體制，將身份標(biāo)識(shí)作為用戶公鑰，從而使身份認(rèn)證和管理不依靠公鑰證書，并且具備全同態(tài)運(yùn)算的能力.與利用LWE構(gòu)造的同類體制相比，支持多比特加密以及SIMD技術(shù).最后，給出了體制在隨機(jī)喻示模型下的安全性證明，將安全性規(guī)約到判定性RLWE問題的難解性上.

[1]Gentry C.Fully homomorphic encryption using ideal lattices[A].Proceedings of 41rd ACM Symposium on Theory of Computing(STOC2009)[C].Bethesda,Maryland,USA:Springer Berlin Heidelberg,2009.169-178.

[2]Coron J S,Naccache D,Tibouchi M.Public key compression and modulus switching for fully homomorphic encryption over the integers[A].Proceedings of the 31st Annual Eurocrypt Conference[C].Cambridge,United Kingdom:Springer Berlin Heidelberg,2012.446-464.

[3]Brakerski Z，Vaikuntanathan V.Efficient fully homomorphic encryption from (standard) LWE[J].SIAM Journal on Computing,2014,43(2):831-871.

[4]López-Alt A,Tromer E,Vaikuntanathan V.On-the-fly multiparty computation on the cloud via multikey fully homomorphic encryption[A].Proceedings of the 44th Annual ACM Symposium on Theory of Computing[C].New York,USA:ACM,2012.1219-1234.

[5]Shamir A.Identity-based cryptosystems and signature schemes[A].Advances in Cryptology[C].Santa Barbara,USA:Springer Berlin Heidelberg,1985.47-53.

[6]Naccache D.Is theoretical cryptography any good in practice? Invited talk at Crypto/CHES 2010[EB/OL].http://www.iacr.org/workshops/ches/ches2010,2010-08-17.

[7]Gentry C,Halevi S,Vaikuntanathan V.A simple BGN-type cryptosystem from LWE[A].Advances in Cryptology-EUROCRYPT 2010[C].French Riviera:Springer Berlin Heidelberg,2010.506-522.

[8]Regev O.On lattices,learning with errors,random linear codes,and cryptography[A].Proceeding of 37th Annual ACM Symposium on the Theory of Computing[C].Baltimore,MD,USA:ACM,2005.84-93.

[9]Brakerski Z.Fully homomorphic encryption without modulus switch-ing from classical GapSVP[A].Advances in Cryptology-CRYPTO 2012[C].Santa Barbara,CA,USA:Springer Berlin Heidelberg，2012.868-886.

[10]Gentry C,Sahai A,Waters B.Homomorphic encryption from learning with errors:Conceptually-simpler,asymptotically-faster,attribute-based[A].Proceedings of the 33th Annual International Cryptology Conference[C].Santa Barbara,USA:Springer Berlin Heidelberg,2013.75-92.

[11]Gentry C,Peikert C,Vaikuntanathan V.Trapdoors for hard lattices and new cryptographic constructions[A].Proceedings of the Fortieth Annual ACM Symposium on Theory of Computing[C].Victoria,British Columbia,Canada:ACM,2008.197-206.

[12]光焱,祝躍飛,顧純祥，等.利用容錯(cuò)學(xué)習(xí)問題構(gòu)造基于身份的全同態(tài)加密體制[J].通信學(xué)報(bào),2014,35(2):111-117. Guang Yan,Zhu Yue-fei,Gu Chun-xiang，et al.Identity-based fully homomorphic encryption from LWE problem[J].Journal on Communications,2014,35(2):111-117.

[13]Zvika Brakerski,Vinod Vaikuntanathan.Efficient fully homomorphic encryption from (standard) LWE[A].Proceedings of the IEEE 52nd Annual Symposium on Foundations of Computer Science[C].Palm Springs,California,USA:IEEE,2011.97-106.

[14]Brakerski Z,Vaikuntanathan V.Fully homomorphic encryption from ring-LWE and Security for key dependent messages[A].Advances in Cryptology-CRYPTO 2011[C].Santa Barbara,CA,USA:Springer Berlin Heidelberg，2011.505-524.

[15]Lyubashevsky V,Peikert C,Regev O.On Ideal Lattices and Learning with Errors over Rings[A].Advances in Cryptology-EUROCRYPT 2010[C].French Riviera:Springer Berlin Heidelberg,2010.1-23.

[16]Peikert C,Rosen A.Lattices that admit logarithmic worst-case to average-case connection factors[A].Proceedings of the 39th Annual ACM Symposium on Theory of Computing[C].San Diego,CA:ACM,2007.478-487.

[17]Lyubashevsky V,Micciancio D,Peikert C,et al.SWIFFT:A modest proposal for FFT hashing[A].Fast Software Encryption,15th International Workshop,FSE 2008[C].Lausanne,Switzerland:Springer Berlin Heidelberg,2008.54-72.

[18]Smart N P,Vercauteren F.Fully homomorphic SIMD operations[J].Designs,Codes and Cryptography ,2014,71(1):57-81.

[19]Lyubashevsky V,Micciancio D.Generalized compact knapsacks are collision resistant[A].33rd International Colloquium,ICALP 2006,Automata,Languages and Programming[C].Venice,Italy：Springer,2006.144-155.

[20]Lyubashevsky V,Peikert C,Regev O.On ideal lattices and learning with errors over rings[J].Journal of the ACM (JACM),2013,60(6):43.

[21]Lyubashevsky V,Peikert C,Regev O.A toolkit for ring-LWE cryptography[A].EUROCRYPT,2013[C].Athens,Greece:Springer,2013.35-54.

辛 丹 女，1991年8月出生于陜西西安.現(xiàn)為信息工程大學(xué)碩士研究生.主要研究方向?yàn)槿瑧B(tài)加密,在國內(nèi)外期刊發(fā)表學(xué)術(shù)論文2篇.

E-mail：xindan625@126.com

顧純祥(通信作者) 男，1976年出生于安徽霍山.現(xiàn)為信息工程大學(xué)副教授，研究生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)與信息安全,在國內(nèi)外重要期刊和會(huì)議上發(fā)表相關(guān)學(xué)術(shù)論文30余篇，其中被SCI收錄20余篇.

E-mail：gcxiang5209@alinyun.com

鄭永輝 男，1976年出生于江西樂平.現(xiàn)為信息工程大學(xué)講師，主要研究方向?yàn)槊艽a學(xué)、網(wǎng)絡(luò)與信息安全,在國內(nèi)外重要期刊和會(huì)議上發(fā)表相關(guān)學(xué)術(shù)論文10余篇.

E-mail：yonghui.zh@163.com

光 焱 男，1983年出生于河南新鄉(xiāng).現(xiàn)為信息工程大學(xué)講師，主要研究方向?yàn)槊艽a學(xué)、網(wǎng)絡(luò)與信息安全,在國內(nèi)外重要期刊和會(huì)議上發(fā)表相關(guān)學(xué)術(shù)論文10余篇.

E-mail：gyinarmy@126.com

康元基 男，1992年出生于內(nèi)蒙古牙克石.現(xiàn)為信息工程大學(xué)研究生，主要研究方向?yàn)槊艽a學(xué)、網(wǎng)絡(luò)與信息安全.

Identity-Based Fully Homomorphic Encryption from Ring Learning with Errors Problem

XIN Dan1，GU Chun-xiang1，ZHENG Yong-hui2，GUANG Yan1，KANG Yuan-ji1

(1.InformationEngineeringUniversity,Zhengzhou,Henan450002,China; 2.StateKeyLaboratoryofMathematicalEngineeringandAdvancedComputing,Wuxi,Jiangsu214125,China)

Fully homomorphic encryption provides a new idea on the solution of many problems,such as the whole life cycle of data privacy protection on cloud computing.Currently,the existing fully homomorphic encryption schemes share a common flaw of large size public keys.We construct an identity-based fully homomorphic encryption which compromises the merits of both kinds of encryption from ring learning with errors to work in arbitrary cyclotomic rings.To make user’s identity as the unique public key,our scheme has advantage in computational efficiency and key management.The security of our scheme strictly reduces to hardness of decision ring learning with problem solving in the random oracle model.

fully homomorphic encryption;identity-based;ring learning with errors

2015-04-09;

2015-06-29;責(zé)任編輯：梅志強(qiáng)

河南省科技創(chuàng)新杰出青年基金(No.134100510002);河南省基礎(chǔ)與前沿技術(shù)研究(No.142300410002);數(shù)學(xué)工程與先進(jìn)計(jì)算國家重點(diǎn)實(shí)驗(yàn)室開放基金資助

TN918.1

A

0372-2112 (2016)12-2887-07

??學(xué)報(bào)URL:http://www.ejournal.org.cn

10.3969/j.issn.0372-2112.2016.12.011