DOI: http://dx.doi.org/10.1016/j.jcss.2016.11.005
单一非信任程序模型下的模幂运算安全外包
亮点
• 我们提出了一种新颖高效的模幂安全外包算法。
• 我们扩展了我们的算法以确保同时模幂运算的外包。
• 我们展示了外包加密和签名的一些应用。
摘要
云计算将大量的计算资源聚集在一起,提供廉价、高效、便捷的服务。随着云计算的发展,安全问题的重要性与日俱增。在从云服务器获取便捷的计算服务的同时,我们还需要考虑外包数据的隐私性。模幂运算是公钥密码学的基本且昂贵的操作之一。本文考虑模幂外包算法的单一不可信程序模型。在该模型下提出了一种新的模幂运算安全外包方案。在该方案中,提出了一种新的模幂逻辑分割方法。模幂运算分为几个部分,并保留一个随机值以供验证。模幂运算的指数和基数在外包过程中保持隐私。外包过程中用户的计算负担小,用户可以验证结果的可校验性高。
关键词:模幂,安全外包,不可信服务器,高可检查性
一、引言
2006年前后,谷歌和亚马逊提出“云计算”的概念,成为计算的一种基础设施。云计算是一种灵活的服务。云服务器会根据需要为用户设置合适的计算模式。用户可以通过互联网轻松获得云服务器的服务。并且可以方便地向用户提供共享的软硬件资源和信息。云计算功能强大,可以轻松解决繁重的计算任务。
在云计算环境下,智能手机等移动设备加入互联网。随着科学技术的不断发展,计算的复杂性大大增加。移动设备资源受限,如计算能力弱、电池电量有限,制约了这些设备的发展。当面对繁重的计算任务时,计算资源变得不足。资源受限设备的处理能力不适应日益复杂的计算模式。
由于云计算的巨大计算能力 Liu 等人。 (2016);张等人。 (2015);刘等人。 (2015),外包是解决这个问题的一般程序。而在云计算环境下,外包计算已成为行业领域的主流。复杂的计算任务可以外包给强大的云服务器。
在此过程中,计算的输入和输出可能是秘密的,不应由第三方获得。直接以明文形式上传机密数据不是一个好方法。因此,加密和伪装技术被用来帮助客户隐藏他们的私人数据。一种有效的方法是使用同态加密。它可以充分保护数据的隐私。对密文的操作与对明文的操作是等价的。密文形式的结果可以很容易地转换为明文形式。同态加密似乎是所有科学计算的通用方法。然而,由于其效率低、计算成本高,同态加密在安全外包科学计算方案中并未得到广泛应用。对于给定的科学计算,有必要研究安全高效的外包技术。
公钥密码学是现代密码学的重要组成部分。而公钥密码体制广泛应用于现代通信、电子商务和军事领域。公钥密码体制比对称密钥密码体制更方便灵活。将公钥密码系统应用于移动通信设备可以增强通信的安全性。但是,计算量更大。
模幂运算是公钥密码系统中最昂贵的运算之一。大量的模幂运算会降低公钥密码协议的执行效率。在大数据时代徐等人。 (2016);胡等人。 (2014),许多模幂是在多项式中计算的 Ye et al。 (2016)和双线性配对。这些操作将大量消耗资源受限设备的能量。对于资源受限的移动设备来说,计算成本太昂贵了。由于多项式和双线性对中使用了许多模幂运算。因此,研究模幂运算的外包计算是非常有必要的。在外包过程中,输入和输出不能泄露,结果需要正确计算,结果的正确性需要用户验证。
我们的贡献:在本文中,我们介绍了一种在只有单个不可信云服务器的情况下的模幂安全外包算法。在理论方面有两个主要贡献。
• 提出了一种新的单台不可信服务器的模幂运算逻辑拆分方法。
• 提出了一种安全高效的模幂运算外包方案。
以及在实践中的 3 个主要贡献:
• 外包过程中用户的计算负担低。
• 计算结果正确性的高可检验性。
• 真实计算的敏感输入和输出在外包过程中保持隐私。
本文是 Ye 和 Wang (2015) 的修订版和扩展版。本文与NBiS会议版本的主要区别Ye 和 Wang (2015) 如下:首先,我们在 3.1 节对单个不受信任的程序模型进行了更清晰的解释。其次,我们在 3.2.2 和 3.2.3 节中将所提出的算法扩展到同时模幂和多重模幂。此外,我们在第 6 节中对提出的外包算法进行了全面的实验评估。最后,我们在第 7 节中介绍了算法的具体应用,即基于属性的签名的安全外包算法。
1.1。相关工作 安全外包计算 Atallah 等人。 (2002);根纳罗等人。
(2010);周等人。 (2009)允许各方在云计算中进行一些计算,而不会泄露任何关于输入的信息,除了可能的输出。预计各方之间没有交互,每个用户的计算成本和带宽预计与功能无关。
Ben-Or 等人提出了一种隐藏输入的方案。在 1980 年代,它可以使客户从诚实但好奇的预言机 Beaver 和 Feigenbaum (1990) 获得所需的输出;海狸等人。 (1997)。然后在程序检查方面进行了一些研究,并考虑检查自适应恶意程序,例如 Blum 和 Kannan (1995);布鲁姆等人。
(1993 年)。 1992 年,Chaum 和 Pedersen Chaum 和 Pedersen (1992) 首次向观察者引入了钱包的概念。为了有效地执行昂贵的计算,在用户的计算机上安装了一个安全硬件。
为了减少本地负载,用户总是希望外包昂贵的计算任务。 2001 年,Atallah 等人。阿塔拉等人。 (2002)首先提出了许多适合科学计算和数值计算安全外包的伪装技术,如矩阵乘法、不等式、线性方程组等,这些技术保证了数据的私密性。但是,他们没有考虑计算结果的验证。
2005 年,Hohenberger 等人。 Hohenberger 和 Lysyanskaya (2005) 提出了外包的正式安全定义,并提出了 CCA2 安全外包加密方案。 2008 年,Benjamin and Atallah Benjamin and Atallah (2008) 利用同态加密构建了一个可验证的安全外包方案,用于线性代数计算。 2009 年,Gentry Gentry (2009) 首次提出了基于理想格的全同态加密方案。这个想法有助于安全外包,
但是效率很低。 2010 年,Atallah 和 Frikken Atallah 和 Frikken(2010)提出了基于 Shamir 秘密共享方案的单服务器可验证外包方案,Gennaro、Gentry 和 Parno Gennaro 等人。 (2010)提出了一种基于全同态加密的外包计算方案,适用于任意函数F,验证是非交互的。钟等人。钟等人。 (2010)提出了一种改进的通用外包计算协议,不使用乱码电路,并使用预计算产生的一些值来验证结果。 2011 年,Chung、Kalai 和 Liu Chung 等人。 (2011)提出了记忆委托的想法。但是数据长度是有限的。 2012 年,Parno、Raykova 和 Vaikuntanathan Parno 等人。 (2012)提出了一种可验证的多功能计算方案。但是,数据只能上传一次,用户必须在本地存储一些相关信息。实际上,如何安全地外包各种昂贵的计算已经引起了理论计算机科学界 Atallah 和 Frikken (2010) 的极大关注。本杰明和阿塔拉(2008);陈等人。 (2012b)。
模幂运算是公钥密码学中的基本运算之一。在密码学界,也有大量关于模幂运算安全外包的研究工作,但大多数方法都集中在定基(或固定指数)幂运算 Dijk 等人。
(2006 年)。 Clarke 等人的许多方案都使用安全的求幂外包。 (2003);鲁伊 (1997)。服务器在计算委托操作并返回结果后,应使用各种类型的证明系统来说服用户结果的正确性。 2005 年,Hohenberger 和 Lysyanskaya Hohenberger 和 Lysyanskaya (2005) 提出了一种使用两个不受信任的远程服务器外包模幂运算的算法,其中预计算 Nguyen 等人。 (2001) 和服务器辅助计算 Girault 和 Lefranc (2005);吴等人。 (2008)被使用。他们应用外包算法来保护外包加密和签名方案。但是,该方案中结果的可检查性为 1 /2。2012 年,Chen 等人。陈等人。 (2012a) 改进了 Hohenberger 和 Lysyanskaya (2005) 的方案,可检查性上升到 2 3。2015 年,Ye 等人。叶等人。 (2015)将可检查性提高到 19 /20。2014 年,Wang 等人。王等人。 (2014) 提出了一种带有单个不可信程序的模幂运算的外包方案,但返回结果的可检查性仅为 1 /2。
1.2.组织 下一节给出了外包计算的一些安全定义。在第 3 节中,提出了新的模幂运算外包算法。第四节给出了算法的安全性分析。第五节给出了一些比较。第六节给出了效率分析。第七节给出了我们的算法在基于属性的签名方案中的应用。最后,将在第 8 节中得出结论。
二、预备知识
Tim (T ) 是一个计算受限的用户,他给出了一个他会喜欢的问题,例如。他希望利用更强大但不受信任的服务器 Ursula (U) 的计算能力。 Tim 需要保护他的输入和输出的隐私,并检查他从 Ursula 收到的结果的完整性。
我们遵循安全外包算法的定义以及安全要求 Hohenberger 和 Lysyanskaya (2005)。非正式地,如果 T 将计算安全地外包给 U,则我们是 Alg 的外包安全实现,如果 (1) T 和 U 实现 Alg,即,Alg = T U 并且 (2) 假设 T 被授予 oracle 访问权一个对手 U ?它记录了它随着时间的推移的所有计算并试图做出恶意行为,我们不希望这样一个恶意的 U ? 尽管为 T U ? 执行了大部分计算,但我们不希望了解有关输入和输出的任何信息。此外,我们介绍了加密算法安全外包的正式定义。
现在我们在正式定义中捕获具有输入/输出行为的算法: