一种基于(k,n)门限秘密分享的失效份额恢复方法

摘要

本发明涉及一种基于(k,n)门限秘密分享的失效份额恢复方法。当第r个份额持有者P

说明书

技术领域

本发明属于密钥管理技术领域，涉及一种秘密分享的份额恢复方法，具体是一种基于(k,n)门限秘密分享的失效份额恢复方法。

背景技术

秘密分享是一种将秘密分割存储的密码技术，目的是阻止秘密过于集中，以达到分散风险和容忍入侵的目的，是信息安全和数据保密中的重要手段。在许多现实场合中，人们都希望对于具有重要价值物件的访问权限不能只由一个人掌握。例如：某个银行有3位出纳，他们每天都要开启保险库。为了安全起见，银行规定至少有两位出纳在场才能开启保险库。这样就可以防止保险库钥匙的意外丢失或损坏，或者每位出纳可能出现的监守自盗行为。

在各种密码体制中也有类似的考虑，不论哪种密码方案，解秘密钥都是需要严格保密的。有时一个密钥控制多个重要文件，也可能是一个主密钥控制着存储在系统中的所有密钥。一旦密钥丢失，或者持有该密钥的人处于某种原因无法提供密钥(如死亡、辞职等)，或者存有该密钥的设备损坏，都会造成多个重要文件不能打开。解决这些问题的一种方法是创建该密钥的多个备份并将这些备份分发给不同的人，或者保存在不同的地方。但是这种方案并不理想，原因在于创建的备份数目越多，密钥泄露的可能性就越大。

秘密分享技术提供了一种在不增加风险的前提下提高可靠性的办法来解决上述问题。(k,n)门限的秘密分享技术是由Shamir在1979年提出的：将秘密分解为n个份额并将这些份额分发给不同的人掌管，在秘密丢失的情况下，只有聚集k个或以上的份额就能完全恢复出原始秘密；其中，k,n为大于2的正整数，且n>＝k。

经秘密分享产生的各个份额也有丢失或损坏的可能性，在份额丢失或损坏后，份额的持有者当然有权利再次要求持有有效份额。但是，如果恢复出原始秘密，并按照秘密分享的方法将份额重新计算一次，将使得原始秘密完全暴露。

发明内容

本发明的目的就是针对现有技术的不足，提供一种在利用(k,n)门限的秘密分享技术时能够不暴露原始秘密，且不改变其他份额的前提下，恢复出丢失份额的技术方法。当丢失份额数量小于等于n-k时，均可使用本方法恢复。

为实现上述目的，本发明的技术方案如下：设秘密为整数s，确定(k,n)门限的秘密分享方案为在有限域下的多项式为f(x)，则f(0)＝a₀＝s，f(x)＝a_k-1x^k-1+a_k-2x^k-2+…+a₁x+a₀，n个份额分别为f(1),f(2),…,f(n)，且分别由n个不同的持有者P₁,P₂,…,P_n掌握，第r个份额持有者P_r的份额丢失或损坏(1≤r≤n)，即份额f(r)失效，恢复步骤如下，所述步骤都在有限域modp下运算：

S1、任意选择k个有效份额的持有者，记作P₁,P₂,…,P_k，其持有份额记作F₍₁₎,F₍₂₎,……,F_(k)；

S2、上述每一个有效份额持有者P_i(1≤i≤k)，均需要各自确定一个k-1阶多项式g_i(x)，所述多项式g_i(x)满足条件：(1)g_i(0)≠0；(2)g_i(r)＝0；

S3、每一个有效份额持有者P_i根据确定的g_i(x)，计算出g_i(1),g_i(2),…,g_i(k)，并分发给对应的有效份额持有者p₁,p₂,…,p_k；

S4、每一个有效份额持有者P_i作如下计算：g₁(i)+g₂(i)+…+g_k(i)+F(i)＝h(i)；

S5、将获得的数据集{h(i),1≤i≤k}进行拉格朗日插值多项式算法得到一个k-1阶多项式h(x)；

S6、计算得出h(r)的值，即是份额丢失者P_r的份额。

所述方法中失效份额数量小于等于n-k个。

本发明的有益效果是提供了一种基于(k,n)门限秘密分享的失效份额恢复方法，不大于n-k个份额失效后，可以在不暴露秘密的前提下得到恢复，增强了秘密分享技术的实用性；且该方法步骤简单，便于操作。

附图说明

图1是本发明所述的失效份额恢复方法的步骤示意图。

具体实施方式

下面结合附图，对本发明的实施作进一步的描述。如图1所示，当第r个份额持有者P_r的份额f(r)失效时，首先选择k个有效份额的持有者p₁,p₂,…,p_k，其有效份额分别为F₍₁₎,F₍₂₎,……,F_(k)；对每一个有效份额持有者p_i，各自确定一个k-1阶多项式g_i(x)，g_i(x)满足条件：(1)g_i(0)≠0；(2)g_i(r)＝0，计算出g_i(1),g_i(2),…,g_i(k)，并分发给对应的有效份额持有者p₁,p₂,…,p_k；计算g₁(i)+g₂(i)+…+g_k(i)+F(i)＝h(i)；将获得的数据集{h(i),1≤i≤k}进行拉格朗日插值多项式算法得到一个k-1阶多项式h(x)；计算得出h(r)的值，即是丢失的份额。

实施例一

假设：1、需要进行分享的秘密为1；2、秘密分享体系的门限为(3,n)，其中n为大于3的整数；3、所有运算在模7整数有限域上进行；4、确定秘密分享体系的多项式为f(x)＝2x²+3x+1。

根据假设得到份额持有者P₁～P₄的份额分别为f(1)＝6,f(2)＝1,f(3)＝0,f(4)＝3。当份额持有者P₄的份额f(4)丢失或损坏后，可以按照如下步骤恢复：

S1、选择k个有效份额的持有者，即3个有效份额持有者，记作p₁,p₂,p₃，其持有份额记作F₍₁₎,F₍₂₎,F₍₃₎，即F₍₁₎＝f₍₁₎＝6，F₍₂₎＝f₍₂₎＝1，F₍₃₎＝f₍₃₎＝1；

S2、对份额持有者p₁任意选取满足条件g₁(r)＝g₁(4)＝0和g₁(0)≠0的多项式：g₁(x)＝x²+6x+2；

对份额持有者p₂任意选取满足条件g₂(r)＝g₂(4)＝0和g₂(0)≠0的多项式：g₂(x)＝2x²+2x+2；

对份额持有者p₃任意选取满足条件g₃(r)＝g₃(4)＝0和g₃(0)≠0的多项式：g₃(x)＝3x²+x+4；

S3、根据确定的g₁(x)计算得到g₁(1)＝2，g₁(2)＝4，g₁(3)＝1，并分别分发给有效份额持有者p₁,p₂,p₃；

根据确定的g₂(x)计算得到g₂(1)＝6，g₂(2)＝0，g₂(3)＝5，并分别分发给p₁,p₂,p₃；

根据确定的g₃(x)计算得到g₃(1)＝1，g₃(2)＝4，g₃(3)＝6，并分别分发给p₁,p₂,p₃；

S4、份额持有者p₁作如下计算：h(1)＝g₁(1)+g₂(1)+g₃(1)+F(1)＝6+2+6+1＝1；

份额持有者p₂作如下计算：h(2)＝g₁(2)+g₂(2)+g₃(2)+F(2)＝1+4+0+4＝2；

份额持有者p₃作如下计算：h(3)＝g₁(3)+g₂(3)+g₃(3)+F(3)＝0+1+5+6＝5；

S5、将得到的h(1),h(2),h(3)进行拉格朗日多项插值算法得出一个2阶多项式h(x)＝x²+5x+2。

S6、计算得到h(4)＝16+20+2＝3，即为失效的份额f(4)。

实施例二

假设：1、需要进行分享的秘密为1；2、秘密分享体系的门限为(4,6)；2、需要进行分享的秘密为1；3、所有运算在模11整数有限域上进行；4、确定秘密分享体系的多项式为f(x)＝x³+2x²+3x+1。

根据假设得到份额持有者P₁～P₆的份额分别为f(1)＝7，f(2)＝1，f(3)＝0，f(4)＝10，f(5)＝4，f(6)＝10。当份额持有者P₃和P₄的份额f(3)和f(4)丢失或损坏后，可以按照如下步骤恢复：

首先恢复持有者P₃的份额f(3)，步骤如下：

S1、选择k个有效份额的持有者，即4个有效份额持有者，记作p₁,p₂,p₃,p₄，其持有份额记作F₍₁₎,F₍₂₎,F₍₃₎,F₍₄₎，即F₍₁₎＝f₍₁₎＝7，F₍₂₎＝f₍₂₎＝7，F₍₃₎＝f₍₅₎＝4，F₍₄₎＝f₍₆₎＝10；

S2、对份额持有者p₁任意选取满足条件g₁(r)＝g₁(3)＝0和g₁(0)≠0的多项式：g₁(x)＝x³+3x²+7x+2；

对份额持有者p₂任意选取满足条件g₂(r)＝g₂(3)＝0和g₂(0)≠0的多项式：g₂(x)＝x³+2x²+6x+3；

对份额持有者p₃任意选取满足条件g₃(r)＝g₃(3)＝0和g₃(0)≠0的多项式：g₃(x)＝2x³+x²+3x+5；

对份额持有者p₄任意选取满足条件g₄(r)＝g₄(3)＝0和g₄(0)≠0的多项式：g₄(x)＝3x³+x²+6x+2；

S3、根据确定的g₁(x)计算得到g₁(1)＝2，g₁(2)＝3，g₁(3)＝6，g₁(4)＝5，并分别分发给p₁,p₂,p₃,p₄；

根据确定的g₂(x)计算得到g₂(1)＝1，g₂(2)＝9，g₂(3)＝10，g₂(4)＝8，并分别分发给p₁,p₂,p₃,p₄；

根据确定的g₃(x)计算得到g₃(1)＝0，g₃(2)＝9，g₃(3)＝9，g₃(4)＝7，并分别分发给p₁,p₂,p₃,p₄。

根据确定的g₄(x)计算得到g₄(1)＝0，g₄(2)＝9，g₄(3)＝9，g₄(4)＝7，并分别分发给p₁,p₂,p₃,p₄；

S4、份额持有者p¹作如下计算：h(1)＝g₁(1)+g₂(1)+g₃(1)+g₄(1)+F(1)＝2+1+0+1+7＝0；

份额持有者p₂作如下计算：h(2)＝g₁(2)+g₂(2)+g₃(2)+g₄(2)+F(2)＝3+9+9+9+1＝9；

份额持有者p₃作如下计算：h(3)＝g₁(3)+g₂(3)+g₃(3)+g₄(3)+F(3)＝6+10+9+3+4＝10；

份额持有者p₄作如下计算：h(4)＝g₁(4)+g₂(4)+g₃(4)+g₄(4)+F(4)＝5+8+7+7+10＝4；

S5、将得到的h(1),h(2),h(3),h(4)进行拉格朗日多项插值算法得出一个3阶多项式h(x)＝8x³+9x²+3x+2。

S6、计算得到h(3)＝0，即为失效的份额f(3)。

恢复持有者P₄的份额f(4)，步骤如下：

S1、同上，选择k个有效份额的持有者，即4个有效份额持有者，记作p₁,p₂,p₃,p₄，其持有份额记作F₍₁₎,F₍₂₎,F₍₃₎,F₍₄₎，即F₍₁₎＝f₍₁₎＝7，F₍₂₎＝f₍₂₎＝7，F₍₃₎＝f₍₅₎＝4，F₍₄₎＝f₍₆₎＝10；

S2、对份额持有者p₁任意选取满足条件g₁(r)＝g₁(4)＝0和g₁(0)≠0的多项式：g₁(x)＝x³+2x²+3x+2；

对份额持有者p₂任意选取满足条件g₂(r)＝g₂(4)＝0和g₂(0)≠0的多项式：g₂(x)＝x³+3x²+10x+3；

对份额持有者p₃任意选取满足条件g₃(r)＝g₃(4)＝0和g₃(0)≠0的多项式：g₃(x)＝2x³+x²+10x+3；

对份额持有者p₄任意选取满足条件g₄(r)＝g₄(4)＝0和g₄(0)≠0的多项式：g₄(x)＝2x³+2x²+3x+4；

S3、根据确定的g₁(x)计算得到g₁(1)＝8，g₁(2)＝2，g₁(3)＝5，g₁(4)＝0，并分别分发给p₁,p₂,p₃,p₄

根据确定的g₂(x)计算得到g₂(1)＝5，g₂(2)＝9，g₂(3)＝10，g₂(4)＝1，并分别分发给p₁,p₂,p₃,p₄；

根据确定的g₃(x)计算得到g₃(1)＝5，g₃(2)＝10，g₃(3)＝9，g₃(4)＝3，并分别分发给p₁,p₂,p₃,p₄；

根据确定的g₄(x)计算得到g₄(1)＝0，g₄(2)＝1，g₄(3)＝0，g₄(4)＝9，并分别分发给p₁,p₂,p₃,p₄；

S4、份额持有者p¹作如下计算：h(1)＝g₁(1)+g₂(1)+g₃(1)+g₄(1)+F(1)＝8+5+5+0+7＝3；

份额持有者p₂作如下计算：h(2)＝g₁(2)+g₂(2)+g₃(2)+g₄(2)+F(2)＝2+9+10+1+1＝1；

份额持有者p₃作如下计算：h(3)＝g₁(3)+g₂(3)+g₃(3)+g₄(3)+F(3)＝5+10+9+10+4＝6；

份额持有p₄作如下计算：h(4)＝g₁(4)+g₂(4)+g₃(4)+g₄(4)+F(4)＝0+1+3+9+10＝1；

S5、将得到的h(1),h(2),h(3),h(4)进行拉格朗日多项插值算法得出一个3阶多项式h(x)＝7x³+10x²+7x+1。

S6、计算得到h(4)＝10，即为失效的份额f(4)。

以上结合对本发明进行了示例性描述，显然本发明具体实现并不受上述方式的限制，只要采用了本发明的方法构思和技术方案进行的各种非实质性的改进，或未经改进将本发明的构思和技术方案直接应用于其它场合的，均在本发明的保护范围之内。