一种云环境下基于秘密共享的三维模型文件的认证方法

摘要

本发明提出了一种云环境下基于秘密共享的三维模型文件的认证方法，其步骤如下：采用Lagrange插值多项式构造秘密多项式将源文件生成秘密碎片，分布式传输与存储在多个秘密参与者中；以源文件和秘密碎片为原始结构载体，利用SM3杂凑算法分别把源文件的秘密碎片生成数字摘要，并把各个秘密碎片生成的数字摘要分布式上传到云端；基于Shamir的(k,n)门限秘密共享方法恢复三维模型文件的数字摘要，对加密前和恢复后的三维模型文件的数字摘要进行一致性验证。本发明的不可见性、鲁棒性以及抗分析性均有提升，有效防止秘密共享过程中的欺诈行为；在保护文件完整性方面有着良好的性能，特别是效率方面有着较为明显的优势。

说明书

技术领域

本发明涉及云存储的技术领域，尤其涉及一种云环境下基于秘密共享的三维模型文件的认证方法。

背景技术

由于5G移动技术的不断成熟及对将来市场的深入应用，云计算对数据安全提出了更高的要求。而云存储作为云计算中基础设施与服务的一种重要形式，更是引起大部分人对私密信息在公共云端的存储安全的顾虑。三维模型数据作为虚拟现实技术的基本组成单元，近几年数据规模不断扩大，这使的越来越多的用户选择将三维模型数据及其应用移植到云中。而且三维模型设计和建模过程都属于设计者的独创性劳动，蕴含了巨大的商业价值和独立版权。特别是一些军方的工业设计，都需要对特殊设计的三维模型加以保护，以免泄露国家机密带来巨额的损失。但是，云存储环境的开放性让三维模型数据的管理者失去了对数据的安全性控制。因此，如何确保云存储环境下高危三维模型的机密性成为关键。

当前，云环境下对数据加密的方法是代理重加密和同态加密技术，代理重加密实质上是一种用于密文之间的密钥转换机制，云服务器根本无法获取用户的密钥和密文，强化了云端数据的可靠性和保密性。于是Yang等人基于代理重加密提出了一个加密方案，但该方案复杂度高，运行效率低。同态加密比起代理重加密而言，不需要数据解密就能对数据直接操作，用户不直接接触加解密。文献[李增鹏,马春光,赵明昊.抵抗自适应密钥恢复攻击的层级全同态加密[J].计算机研究与发展,2019,56(3):496-507.]提出的同态加密框架实现起来比较复杂，对适用环境要求苛刻。

然而以上方案只支持云环境下文本数据加密，并没有涉及对图像加密。与传统文件加密不同的是，图像加密不仅要保证图像失去原来的特征，还要尽可能地减少相邻像素之间的相关性。关于秘密共享图像加密算法最早是由Naor等人提出了一种新的图像加密技术，该方法的基本思想是将秘密图像分割传输，重组恢复原始图像。但是该方案的缺陷在于没有考虑到网络的延迟和丢包，会导致还原的图像失真。文献[余昭平.三噪声信道秘密共享通信系统的编码定理[J].通信学报,1993(4):71-73.]利用图像压缩提出了抗信道噪声的图像秘密共享算法，对实际信道中传输的秘密碎片进行保护，能够较好地还原图像。另外，Rastislav等提出一种门限图像秘密共享方案，可以实时处理图像数据。Li等人提出基于投影矩阵不变性的特性，通过矩阵分割成子秘密块，交给不同的参与者，协商保管原始秘密。该方案在图像保护方面具有较高的安全性，但管理不方便，适用场景受限。

针对于现有图像加密研究主要存在以下两个问题：一种是在分布式云存储环境下，一般图像加密算法的鲁棒性与准确性还存在一定的缺陷；另一种是对于三维模型等多维空间图像的隐私保护问题，目前还没有具体高效的解决方法。

发明内容

针对现有三维模型数据在云存储中存在的多个节点数据丢失或不可用的情况，节点数据极易被破坏而无法保证数据完整性的技术问题，本发明提出一种云环境下基于秘密共享的三维模型认证方法，以有效减少秘密三维模型数据在云存储和云传输过程中的欺诈行为，并能把三维模型的无损恢复。

为了达到上述目的，本发明的技术方案是这样实现的：一种云环境下基于秘密共享的三维模型文件的认证方法，其步骤如下：

步骤一：在标准图片库中选取原始STL三维模型秘密文件作为源文件，采用Lagrange插值多项式构造秘密多项式将源文件生成秘密碎片，分布式传输与存储在多个秘密参与者中；

步骤二：以源文件和秘密碎片为原始结构载体，利用中国商用密码SM3杂凑算法分别把源文件的秘密碎片生成数字摘要，并把各个秘密碎片生成的数字摘要分布式上传到云端；

步骤三：将上传到云端的秘密碎片数字摘要基于Shamir的(k,n)门限秘密共享方法恢复出三维模型文件的数字摘要，对加密前和恢复后的三维模型文件的数字摘要进行一致性验证，保护加密三维模型数据的唯一性和完整性。

所述的原始STL三维模型秘密文件采用二进制格式文件、输出形式用IEEE整数和浮点数来表示。

所述采用Lagrange插值多项式构造秘密多项式将源文件生成秘密碎片的方法为：将源文件构造出k-1个Lagrange插值多项式构成的秘密多项式组，其中，k为未知量的个数；对于秘密碎片设为Lagrange插值多项式的常数项，可得k个方程，并由多项式f(0)得出。

所述SM3杂凑算法生成数字摘要的方法为：分别提取采用Lagrange插值多项式生成的秘密碎片中的数据序列，利用SM3杂凑算法将各个数据序列进行加密生成相应的数字摘要。

所述SM3杂凑算法将任意长度的数据序列填充、迭代压缩生成固定长度的数字摘要，其实现方法为：1)数据填充：对于长度为l₁比特的消息m，SM3杂凑算法首先将比特“1”添加到消息的末尾；再添加k个“0”，k是满足l₁+1+k≡448mod512的最小的非负整数；然后再添加一个64位比特串，该比特串用长度l的二进制表示；填充后的消息m'的比特长度是512的倍数，其中，l₁<264，k为满足的最小非负整数；2)迭代压缩：将填充后的消息m'按每512bits进行分组并将每个数据分组B(i)经过逻辑运算的方式扩展为两个字串W_j和W'_j，用于SM3杂凑算法的迭代压缩函数CF，i为填充后消息的分块，分块的总个数为n；3)输出数字摘要值：ABCDEFGH←V⁽ⁿ⁾，输出256比特的数字摘要值ABCDEFG。

所述逻辑运算的处理方法为：将填充后消息m'的数据按每512bits进行分组得到m'＝B(0),B(2)…B(n-1)，其中，n＝(1+k+65)/512；将每个数据分组经过逻辑运算的方式扩展生成132个字W'₀,W'₁,W'₂,…W'₆₇和W'₀,W'₁,W'₂,…W'₆₃，这样原始数据分组B(i)扩展为两个字串W_j和W'_j，用于SM3算法的迭代压缩函数CF：V⁽ⁱ⁺¹⁾＝CF(V(i),B(i))；令A,B,C,D,E,F,G,H为字寄存器ABCDEFGH←Vⁱ，输入Vⁱ和B(i)，输出压缩值V⁽ⁱ⁺¹⁾。

所述步骤三中基于Shamir的(k,n)门限秘密共享方法恢复三维模型文件的数字摘要的方法为：利用SM3杂凑算法将各个秘密碎片生成的数字摘要y₁,…,y_n分别分发给n个不同的参与者，当客户请求源文件时，认证方法随机选择不少于k个参与者异地分布式上传，在云端进行三维模型文件的恢复；云服务器确认不少于k个参与者提供子秘密后，基于Shamir的(k,n)门限秘密共享方法恢复出源文件的数字摘要值y'。

所述步骤三中对加密前和恢复后的三维模型文件的数字摘要进行一致性验证就是对比加密前后源文件的数字摘要值来验证文件的完整性，实现方法为：

步骤1.利用SM3杂凑算法计算源文件M的数字摘要为：SM₃(M)＝y；其中，SM₃(M)表示对源文件M进行SM3杂凑算法；

步骤2.判断数字摘要值y与数字摘要值y'的关系，若y＝y'，则源文件无损恢复、完整性良好、保存到本地；若数字摘要值y≠y'，则进入步骤3；

步骤3.云服务器存储的源文件中的三维模型数据被篡改或者参与者提供的为假秘密，计算出欺骗的复杂度为Ο(n²)；系统自动提示用户在云端存储的三维模型数据已经被篡改；重新选择子秘密恢复图像，循坏步骤2。

所述基于Shamir的(k,n)门限秘密共享方法为：设GF(q)是一个有限域，q是大素数，K-1个系数x₁,x₂,…,x_K-1的选取满足x_j←_R>1x+r₂x²+r₃x³+…+r_K-1x^K-1；

其中，S为所要传输的秘密信息S＝f(0)；r₁,r₂,r₃,…,r_k-1为随机值，k为门限次数，且k小于参与者的个数N；N个参与者记为P₁,P₂,P₃,…,P_N,P_i'分配到子密钥为f(i')；如果任意k个参与者想得到秘密信息S，可根据k-1阶多项式构造方程组：

因为不同参与者i_l的密钥均不同，l≤l≤k，所以由Lagrange插值多项式构造如下多项式：

从而可得秘密信息S＝f(0)；

参与者仅需知道常数项，而无需知道整个多项式，可求出秘密信息S：

其中，f(x_j)代表密钥的值，x_j,x_l均表示输入的数据。

抵抗选择明文攻击安全的游戏模型，游戏模型包含二类参与者，分别是攻击者和挑战者初始化阶段：挑战者输入安全系数E，获取到公开信息包括参加人数N和大素数q；

训练阶段1：敌手发出对秘密S的询问，挑战者运行拉格朗日差值法产生与秘密S对应的三维模型秘密，并发给敌手；

挑战：敌手输出二个长度相等的明文M₀,M₁和一个想要挑战的秘密S'；挑战者随机选择一个比特值β←_R{0,1}，计算消息C*＝ε(M_β)，并将消息C*发送给敌手；其中，ε()表示对明文M_β加密；

训练阶段2：敌手发出对另外秘密S₁产生的询问，限制还是S≠S'，挑战者以训练阶段1中的方式回应；

猜测：敌手输出猜测β'∈{0,1}，如果β'∈β，则敌手攻击成功；敌手的优势为安全参数E的函数：

其中，Pr[]表示参数值出现的概率；如果对任何多项式时间的敌手A，存在一个可忽略的函数ε(E)，E表示安全系数，使得那么就称这个方案在选择明文攻击下具有不可区分性，称为选择明文安全。

与现有技术相比，本发明的有益效果：

(1)首次将SM3加密算法用于三维模型数据传输的完整性验证，较好地解决了恶意篡改导致模型失真问题：考虑到传统的哈希算法在云环境下不再安全高效，采用了最新的中国商用加密算法SM3杂凑算法，利用杂凑运算对数据变化的敏感性，来检测三维模型传输过程中是否被篡改，确保了三维模型数据恢复前后数据的一致性和准确性。

(2)设计了面向三维模型数据的高安全隐私保护方案：为了解决目前已有的保密计算协议大多数只保护图片的隐私性，而对三维模型的隐私保护的研究还存在很大的不足的问题，引入Shamir秘密共享算法来对三维模型数据进行隐私保护，填补现阶段针对于三维模型数据隐私保护的空白。一方面能对加密数据进行有效的分布式操作，保护子秘密安全上传到云端；另一方面，又能利用云服务器的高效性来恢复三维模型数据，降低单一服务器传输大数据文件的能量消耗，减少了三维模型传输过程中的时间开销，进而提升了系统的认证速率。

(3)利用云计算的高效性，提出一种加密访问控制策略，解决第三方云存储平台不可信问题：为了解决云存储数据泄露的问题，本发明利用云计算高效的处理能力来地执行加密操作，云服务器可以对加密的内容执行某些操作，而无需透露或学习任何敏感信息，从而提高了方案的安全性。此外，把生成的n个子秘密存放到云环境中，可以解决本地服务器不能满足大数据三维模型存储的难题，提升了方案中子秘密恢复成原始模型的效率，进而增强方案的鲁棒性。

实验分析表明，本发明的含密三维模型的不可见性、鲁棒性以及抗分析性均有提升，有效防止秘密共享过程中的欺诈行为，为云环境下保护三维模型提供一种可靠的技术手段；在保护文件完整性方面有着良好的性能，特别是效率方面有着较为明显的优势。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明的原理框图。

图2为本发明的云环境下三维模型的存储与传输。

图3为本发明的流程图。

图4为本发明的实验验证示意图，其中，(a)为三棱立体球体的源文件M图，(b)为秘密分割成5个秘密碎片的加密图，(c)为在云端恶意篡改后恢复的文件图，(d)为在云端保存良好没被篡改后恢复的文件图。

图5为本发明选择不同的参与者进行秘密共享实验结果比较图。

图6为对不同秘密共享算法的效率实验分析对比图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1和图3所示，一种云环境下基于秘密共享的三维模型认证方法，其步骤如下：

步骤一：在标准图片库中选取原始STL三维模型秘密文件作为源文件，采用Lagrange插值多项式构造秘密多项式将源文件生成秘密碎片，分布式传输与存储在多个秘密参与者中。

三维模型文件是一种典型的大数据，尤其对一些工业设计仿真、计算机动画模型等来说，云存储往往高达TB级别，因此保护云环境下的机密的三维图像完整性非常关键。本发明采用Lagrange插值多项式构造秘密多项式将三维模型文件生成秘密碎片，利用SM3杂凑算法和基于Shamir的(k,n)门限秘密共享方法进行联合加密。同时，通过对三维模型进行碎片化处理，加速了云端对每个秘密碎片的数字摘要进行秘密共享处理效率，有效地避免恶意篡改造成秘密不可还原的问题，提高了用户的隐私。所述的原始STL三维模型秘密文件采用二进制格式文件、输出形式用IEEE整数和浮点数来表示。

STL文件是一种为快速原型制造技术服务的三维模型文件。STL文件由多个三角形面片组成，每个三角形面片包括三角形各个定点的三维坐标及三角形面片的法矢量。STL文件具有两种格式---ASCII格式和二进制格式，本发明采用的二进制格式文件的长度较ASCII格式小得多，一般为其1/6，且输出形式是用IEEE整数和浮点数来表示的，比较适合做加密三维模型的形式文件格式。基于STL三维模型文件为原始结构载体，本发明提出了一种关于虚拟现实素材的认证方案，提高了云环境下三维模型数据的完整性，实现了原始的三维模型基于Shamir的(k,n)门限秘密共享云安全存储，如图2所示，数据提供者将原始STL三维模型文件传送至高安全的云服务器进行存储，并将恢复后的三维模型文件传送至数据接收者。

分布式传输是一种基于信道编码和网络编码的多节点联合传输技术，能实现对多节点数据的低能耗传输，克服节点链路不稳定、功率资源受限以及节点间可见时间有限等约束。而分布式云存储技术更是将大量的数据存储服务器集合起来，共同承担数据存储任务的实时存储模式，具有大容量、数据读取速度快、满足大规模用户同时访问的特点。因此，本发明利用分布式云计算的特点，不仅加速了三维模型文件这种大数据处理效率，进而提高了方案的安全性和灵活性。

将秘密的原始STL三维模型文件的源文件M，利用Lagrange插值多项式分成M₁,M₂，...,M_i块，i的大小与生成的数字摘要序列的长度相等。

所述采用Lagrange插值多项式构造秘密多项式将源文件生成秘密碎片的方法为：将源文件构造出k-1个Lagrange插值多项式构成的秘密多项式组，其中有k个未知量。对于秘密碎片，可设为Lagrange插值多项式的常数项，这样可得k个方程，并由f(0)得出。

步骤二：以源文件和秘密碎片为原始结构载体，利用中国商用密码SM3杂凑算法分别把源文件的秘密碎片生成数字摘要，并把各个秘密碎片生成的数字摘要分布式上传到云端。

本发明采用原始三维模型的秘密碎片作为子秘密生成数字摘要，首先用Lagrange插值多项式对原始STL三维模型文件进行秘密分割，并利用SM3杂凑算法对每个子秘密进行杂凑运算生成数字摘要。杂凑运算对数据的每一个比特的变化都非常敏感，微小的变化都会使生成的数字摘要发生巨大的变化，可有效防止秘密S在恢复的过程中，因参与者提供虚假子秘密而导致恢复的秘密失真的情况发生，确保了三维模型数据恢复前后数据的一致性和准确性。

SM3杂凑算法可以将任意长度的消息压缩成固定的长度的数字摘要。SM3杂凑算法运用不同的群运算，结合双字结合的处理方式，把消息在局部范围内快速扩散和混乱，主要是运用在对消息的预处理和压缩成Hash值中。对长度为l₁(l<264)比特的数据序列W，经过填充和迭代压缩生成杂凑值即数字摘要，杂凑值长度为256比特。

所述SM3杂凑算法生成数字摘要的方法为：该方案先采用Lagrange插值多项式把STL源文件生成多个秘密碎片数据序列，然后利用SM3杂凑算法将各个数据序列进行加密生成相应的数字摘要。利用SM3杂凑算法直接对分割后的秘密碎片进行加密，也可以利用SM3杂凑算法直接对三维模型文件加密。各个秘密碎片M₁,M₂,...,M_i数据序列分别生成的数字摘要y₁,...,y_i后，分布式地上传到云端存储，与云服务器进一步交互。

所述SM3杂凑算法将任意长度的数据序列填充、迭代压缩生成固定长度的数字摘要，其实现方法为：1)数据填充：对于长度为l₁(l<264)比特的消息m，SM3杂凑算法首先将比特“1”和添加到消息的末尾；再添加k个“0”，k是满足l₁+1+k≡448mod512的最小的非负整数。然后再添加一个64位比特串，该比特串是长度l的二进制表示。填充后的消息m’的比特长度是512的倍数，其中，l₁<264，k为满足的最小非负整数；2)迭代压缩：将填充后m’的数据按每512bits进行分组：得到m'＝B(0),B(2)...B(n-1)，其中n＝(1+k+65)/512；将每个数据分组B(i)经过逻辑运算的方式扩展生成132个字W'₀,W'₁,W'₂,…W'₆₇和W'₀,W'₁,W'₂,…W'₆₃，前后扩展了二个字符串，分别用于迭代压缩函数，这样原始数据分组B(i)扩展为两个字串W_j和W'_j，都将用于SM3算法的迭代压缩函数CF。令A,B,C,D,E,F,G,H为字寄存器ABCDEFGH←Vⁱ，压缩函数V⁽ⁱ⁺¹⁾＝CF(V(i),B(i))。i为填充后消息的分块(共n块)。3)输出数字摘要值：ABCDEFGH←V⁽ⁿ⁾，输出256比特的数字摘要值ABCDEFG。

步骤三：基于Shamir的(k,n)门限秘密共享方法将上传到云端的秘密碎片数字摘要恢复成三维模型文件的数字摘要，对加密前和恢复后的三维模型文件的数字摘要进行一致性验证，保护加密三维模型数据的唯一性和完整性。

本发明通过SM3杂凑算法和门限秘密共享相结合对恢复前后的三维模型文件进行完整性验证，确保用户接收到准确的秘密三维数据。采用Lagrange插值多项式的方法分割出三维模型的秘密碎片作为生成的数字摘要。对于三维模型文件的门限秘密共享，采用Shamir的(k,n)门限秘密共享方法作为本发明的秘密共享，将分割完成秘密碎片看作子秘密，分布式秘密上传共享到云端，实现原理图如图1所示。数据提供者将原始的三维模型文件通过Lagrange插值多项式方法分成若干个三维秘密碎片，每个三维秘密碎片通过SM3杂凑算法加密为哈希文件后上传至运动，云环境下秘密共享从n个子秘密中选择k个子秘密，通过验证哈希值恢复三维模型文件，并发送至数据消费者。

基于Shamir的(k,n)门限秘密共享方法主要是把上传到云端的三维模型文件碎片进行秘密共享。具体共包含三个部分，分别是秘密文件碎片的生成、分布式共享及上传和恢复。

所述步骤三中基于Shamir的(k,n)门限秘密共享方法恢复三维模型文件的数字摘要的方法为：将各个秘密碎片生成的数字摘要y₁,…,y_n分别分发给n个不同的参与者，当客户请求源文件时，随机选择不少于k个参与者异地分布式上传，在云端进行三维模型文件的恢复；云服务器确认不少于k个参与者提供子秘密后，基于Shamir的(k,n)门限秘密共享方法恢复出源文件的数字摘要值y'。

所述步骤三中对加密前和恢复后的三维模型文件的数字摘要进行一致性验证就是对比加密前后源文件的数字摘要值来验证文件的完整性，具体方法为：

步骤1.利用SM3杂凑算法计算源文件M的数字摘要为：SM₃(M)＝y；其中，SM₃(M)表示对源文件M进行SM3杂凑算法。

步骤2.判断数字摘要值y与数字摘要值y'的关系，若y＝y'，则源文件无损恢复、完整性良好、保存到本地；若数字摘要值y≠y'，则进入步骤3。

步骤3.云服务器存储的源文件的三维模型数据被篡改或者参与者提供的为假秘密，计算出欺骗的复杂度为Ο(n²)；系统自动提示用户在云端存储的三维模型数据已经被篡改；重新选择子秘密恢复图像，循坏步骤2。

本发明结合SM₃杂凑算法对秘密碎片进行Shamir的(k,n)门限秘密共享认证，大大减少了对源文件直接加密所耗费的时间，且保证了云环境中三维模型文件的完整性和唯一性。此外，通过对各个秘密碎片图像加密，确保了在整个三维模型文件未能正常恢复情况下部分敏感区域的数据的有效性。

所述基于Shamir的(k,n)门限秘密共享方法为：设GF(q)是一个有限域，q是大素数，k-1个系数x₁,x₂,…,x_k-1的选取满足x_j←_R>1x+r₂x²+r₃x³+…+r_k-1x^k-1；

其中，S为所要传输的秘密信息；r₁,r₂,r₃,…,r_k-1为随机值，k为门限次数，且k小于参与者的个数N；N个参与者记为P₁,P₂,P₃,…,P_N,P_i'分配到子密钥为f(i')。如果任意k个参与者想得到秘密信息S，可根据k-1阶多项式构造方程组：

因为不同参与者i_l的密钥均不同，l≤l≤k，所以可由Lagrange插值多项式构造如下多项式：

从而可得秘密信息S＝f(0)。

参与者仅需知道常数项，而无需知道整个多项式，可求出秘密信息S：

其中，f(x_j)表示密钥的值，x_j,x_l分别表示固定的数值。因此对每一个S∈GF(q)都有唯一的多项式满足式，所以已知K-1个子秘密是得不到S的任何信息，因此此方法是完全完善的。

本发明可以在选择安全模型中被证明满足选择明文攻击安全。具体证明过程是将本发明规约到构建整数规划、将秘密隐藏于目标函数的解中，并将约束条件作为秘密份额分发给参与者；当不少于K个参与者想要合作恢复秘密时，参与者可以通过共享秘密份额重构整数规划。假设敌手A能够攻破此方案，那么就存在挑战者B可以利用敌手A的优势攻破整数规划问题。由于判定整数规划问题不可解，因此假设不成立，从而证明本发明的安全性。下面给出本发明的抵抗选择明文攻击安全的游戏模型，游戏模型包含二类参与者，分别是攻击者和挑战者初始化阶段：挑战者输入安全系数E，获取到公开信息包括参加人数N和大素数q；通过这二个信息仅能推测出秘密S是在GF{q}{0}上均匀选取的一个随机值。

训练阶段1：敌手发出对秘密S的询问，挑战者运行秘密S产生算法即拉格朗日差值法产生与秘密S对应的三维模型秘密，并发给敌手；这一过程可重复多项式有界次。

挑战：敌手输出二个长度相等的明文M₀,M₁和一个想要挑战的秘密S'；但是唯一的限制是S'不在一阶段中任何测试中出现。挑战者随机选择一个比特值β←_R{0,1}，计算C*＝ε(M_β)，并将C*发送给敌手；其中，M_β代表挑战者在明文M₀,M₁中随机挑选的明文，C*＝ε(M_β)表示把明文M_β进行加密后得到的密文C*。

训练阶段2：敌手发出对另外秘密S₁产生的询问，限制还是S≠S'，挑战者以训练阶段1中的方式回应；这一过程可重复多项式有界次。

猜测：敌手输出猜测β'∈{0,1}，如果β'∈β，则敌手攻击成功；敌手的优势为安全参数E的函数：

其中，Pr[]表示里面参数值出现的概率；如果对任何多项式时间的敌手A，存在一个可忽略的函数ε(E)，使得那么就称这个方案在选择明文攻击下具有不可区分性，称为选择明文安全。

本发明主要是利用SM3杂凑算法加密速度快和基于Shamir的(k,n)门限秘密共享方法分布式共享体制的特点，将两者优势相结合，来提升验证完整性的效率。本发明采用了SM3杂凑算法生成数字摘要快的特点，避免了普通方案中可能采用的效率较低的实现架构和运算方式，较大地提高Shamir的(k,n)门限秘密共享的效率。更重要的是经过联合加密处理发现，加密数据主要受杂凑函数限制，密钥派生函数所能产生的加密数据只与SM3杂凑算法产生的摘要值长度有关，所以在对待比较大的数据的时候，SM3杂凑算法可以直接对数据加密，不需要进行分组。同时，对长度不确定的数据加密时，SM3杂凑算法不涉及补位操作，降低了算法的复杂度，也提高了算法性能。

本发明主要与传统的(t,n)门限秘密共享方案和基于投影矩阵秘密共享中对比分析，分别用T_add、T_mul、T_mod、T_exp表示在各方案中执行一次加、乘、模运算所需要的时间，T_SM3表示在执行SM3杂凑算法运算所需的时间。d为随机数，ES表示建立额外的参数。

表1计算复杂度分析

由表1所示，本发明的计算成本主要体现在拉格朗日插值法中的加法和模运算，其中最主要的运算量是在三维模型的秘密分割和恢复部分，可以通过拉格朗日插值多项式快速求解。其他的运算均为简单的加法和模运算，再加上SM3算法运算速率极快，计算复杂度可以近似于多项式求解的复杂度，相当于传统的(t,n)门限秘密共享方案的复杂度。综上所述，本发明计算效率上有着明显的优势。

为了验证本发明的有效性，从正确性分析、安全性分析和效率三个方面对本发明进行试验验证。

采用Matlab2016对三棱立体球体的三维模型M进行试验，文件格式为STL，大小为1024×1024。云储存平台利用Hadoop搭建，云服务器选用阿里云进行存储，通过在对比表2的实验数据发现，文件在云端保存良好时，在共享过程中得到数据和文件恢复过程中产生的数字摘要完全相同，能正确恢复出来原始的三维模型M。当文件在云储存中被篡改时，云端恢复出来的数字摘要完全被改变，而且后台只需通过对比恢复前后的数字摘要便可验证文件的完整性。

表2本发明产生的实验数据

由于本发明是由拉格朗日插值法还原如图4(a)的三维模型M，利用K个坐标值来确定K-1阶方程，方程的常数项就是秘密信息。如果少于K个坐标，那么无法还原方程，也无法获得秘密模型的任何信息。随机大素数q的存在，导致即使相同的STL文件也会造成每次计算不一样的模加运算，可以完美的有效的避免批量模板攻击。特别是利用SM3杂凑算法产生的数字摘要进行完整性验证，使如图4(b)的秘密碎片扩展性能进一步提升，一张秘密碎片数据的变化，就会扩散到整个传输的信息中，可以引起“雪崩效应”，从而导致整个模型的改变。在实际应用中，最坏的情况使攻击者获得子秘密碎片，并尝试着通过多项式运算和部分密文找到规律。通过源文件如图4(a)与在云端恶意篡改后恢复的文件如图4(c)的对比可得，经过秘密共享后的数据已经完全失去了源文件的所有特征，离散的数据并不具备任何规律，是不具备任何实际应用的。

在三维模型文件大小都是4840kb的效率测试中，第一，选择不同的参与者进行秘密共享，分析本发明的秘密共享效率；第二，比较常用的秘密共享方法验证三维模型文件完整性的效率，得出相应结论。测试中选取参与人数为5,10,15,20,25人作为实验一的参考样本，在实验二中选取传统的门限秘密共享和基于投影矩阵秘密共享的秘密共享效率和本发明进行对比。

1)选择不同的参与者进行秘密共享实验和分析：通过进行反复的秘密共享并取其运行时间的平均值表明，随着参与者人数的增加，分割成秘密子碎片速度降低并不明显，相反完整性验证的性能却增长速度明显，如图5所示。这是因为本发明在运算的过程中不需要对明文进行编码操作，而且在验证大数据三维模型文件完整性的时候，可以直接对数据加密，不需要分组，不涉及补位操作，降低了算法的性能，进而提高了算法的性能。

2)对不同秘密共享算法的效率实验分析：

在三维模型文件大小都是4840kb的情况下，本发明的实现效率与传统的门限秘密共享相同，但是本发明是通过比较数字摘要值来快速判断完整性的，而传统的门限秘密共享却不能快速判断三维模型文件的特征值，因此本发明效率高于传统的门限秘密共享；而且在和投影矩阵秘密共享效率对比的过程中发现本发明的效率优于计算复杂度低，节省了传输带宽，分布式云计算和存储的都优于投影矩阵秘密共享，因此虽然投影矩阵秘密共享的验证完整性速度和本方案差不多，但总时间比本发明要多。具体实验结果如图6所示。

针对于目前在云环境下三维模型隐私保护方案中，三维模型计算成本和存储开销大，传输过程中容易被窃取等问题，本发明提出一种云环境下基于秘密共享的三维模型文件的认证方法，以国产加密算法SM3杂凑算法为基础，结合杂凑函数对数据变化的敏感特性，来实现验证文件完整性的功能；通过引进分布式云存储，加快了三维模型这种大数据处理效率，进一步提高了方案的灵活率。Shamir的(k,n)门限秘密共享方法能够对使用拉格朗日插值法对模型分割成秘密碎片，对每个加密过的子碎片进行秘密共享处理，实现了模型的无损恢复。通过安全测试和效率测试中证明本发明在保护文件完整性方面有着良好的性能，特别是效率方面有着较为明显的优势。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。