在标准模型下计算安全的抗内存泄漏的多级秘密共享方法

摘要

本发明公开了在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，涉及计算机信息安全技术领域，本发明的利用物理不可克隆函数以及模糊提取器的联合作用，提取出相同的随机均匀分布的字符串，即产生可靠的秘密份额，使得在内存泄露的环境下，该秘密共享方法能够达到安全性要求。同时，该秘密共享方法使得每个参与者的秘密份额能够被多次使用，且用以恢复多个秘密。本技术方案不是像现有技术一样将长期秘密份额保存在非易失性的内存里的这一思想，而是构造了一个适用于一般存取结构的抗内存泄露的可验证多级秘密共享方法。

说明书

技术领域

本发明涉及计算机信息安全技术领域，具体而言，涉及在标准模型下计算安全的抗内存泄漏的多级秘密共享方法。

背景技术

秘密共享是信息安全和数据保密中的重要手段，也是现代密码学领域的重要分支。秘密共享方法一般是在一组参与者中设计一个份额生成算法和秘密；重构算法，其中授权的参与者子集可以重构秘密，非授权的参与者集合不能得到秘密的任何信息。早前的大部分秘密共享均是门限秘密共享，即授权参与者子集中的人数一致，这个适用于参与者权力相当时，所以在实际应用中有一定的局限。

同时，很多秘密共享方法一次只能共享一个秘密，然而很多情况下，比如密钥分配机构需要为不同的保险柜分配不同的密钥，此时有三种方法：一种是为每一个密钥分别建立一个单秘密共享方法，但每个参与者的子份额太多；另一种秘密共享方法是一次性恢复多个秘密，这类方法的使用和控制不够灵活实用；还有一种是多级秘密共享方法，每一级存取结构恢复一个秘密，这样较单秘密共享不仅提高效率，而且非常实用。

从安全性角度考虑，一方面，多秘密共享安全性分为信息论安全和计算安全。信息论安全的秘密共享方法中攻击者拥有无限的计算能力，但对于每一个参与者P

发明内容

本发明的目的在于利用物理不可克隆函数(PhysicalUnclonable Functions,PUFs)以及模糊提取器(Fuzzy Extractor，FE)的联合作用，提取出相同的随机均匀分布的字符串，即产生可靠的秘密份额，构造了一个适用于一般存取结构的抗内存泄露的可验证多级秘密共享方法。

本发明的实施例是这样实现的：

在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，包括：

利用物理不可克隆函数以及模糊提取器提取出相同的随机均匀分布的字符串，产生可靠的秘密份额。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述提取的方法包括：初始化阶段、份额生成阶段和秘密重构阶段。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述初始化阶段包括：

令P＝{P

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，当诚实的分发者D想要根据多级存取结构Γ

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，f(z,s)具有以下重要的性质：

当已知z和s时，f(z,s)的函数值易于计算；

已知s和f(z,s)，z的计算在计算上是不可行的；

在s未知的情况下，对于任意z，计算f(z,s)是计算不可行的；

已知s的情况下，找到z

已知z和f(z,s)，计算s是计算不可行的；

已知任意多对的(z

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述份额生成阶段包括：

每个参与者P

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，在得到所有的份额(sh

对每一个存取结构Γ

运行密钥生成算法k

随机选择一个向量u

计算

公开输出out

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述秘密重构阶段包括：

固定一个j(1≤j≤m)，假设授权集

对每一个参与者

参与者

诚实的秘密生成者DC在收到A中参与者

诚实的秘密生成者DC从公告牌上下载

诚实的秘密生成者DC下载c

本发明实施例至少具有如下优点或有益效果：

本发明针对现有的秘密共享方法中的存取结构很多都以门限访问结构 (特殊的理想存取结构)为主，适用范围受到一定局限；秘密重构算法中，每个参与者的秘密份额不能够被多次使用；在内存泄露的环境下，现有的秘密共享方法无法达到安全性要求，随机预言机模型下安全方案现实中无法构建具体实例等问题。本发明的利用物理不可克隆函数以及模糊提取器的联合作用，提取出相同的随机均匀分布的字符串，即产生可靠的秘密份额，使得在内存泄露的环境下，该秘密共享方法能够达到安全性要求。同时，该秘密共享方法使得每个参与者的秘密份额能够被多次使用，且用以恢复多个秘密。本技术方案不是像现有技术一样将长期秘密份额保存在非易失性的内存里的这一思想，而是构造了一个适用于一般存取结构的抗内存泄露的可验证多级秘密共享方法。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法一实施例的流程图；

图2为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法另一实施例的流程图；

图3为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法一实施例中物理不可克隆函数与模糊提取器的结合构造示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在本发明实施例的描述中，需要说明的是，若出现术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该发明产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

此外，若出现术语“水平”、“竖直”、“悬垂”等术语并不表示要求部件绝对水平或悬垂，而是可以稍微倾斜。如“水平”仅仅是指其方向相对“竖直”而言更加水平，并不是表示该结构一定要完全水平，而是可以稍微倾斜。

在本发明实施例的描述中，“多个”代表至少2个。

在本发明实施例的描述中，还需要说明的是，除非另有明确的规定和限定，若出现术语“设置”、“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

实施例

请参照图1-3，本实施例提供一种在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，利用物理不可克隆函数以及模糊提取器提取出相同的随机均匀分布的字符串，产生可靠的秘密份额。

请参照图1，图1为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法一实施例的流程图，在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述提取的方法包括：初始化阶段、份额生成阶段和秘密重构阶段。

请参照图2和图3，图2为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法另一实施例的流程图，图3为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法一实施例中物理不可克隆函数与模糊提取器的结合构造示意图。在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述初始化阶段包括：

令P＝{P

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，当诚实的分发者D想要根据多级存取结构Γ

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，f(z,s)具有以下重要的性质：

当已知z和s时，f(z,s)的函数值易于计算；

已知s和f(z,s)，z的计算在计算上是不可行的；

在s未知的情况下，对于任意z，计算f(z,s)是计算不可行的；

已知s的情况下，找到z

已知z和f(z,s)，计算s是计算不可行的；

已知任意多对的(z

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述份额生成阶段包括：

每个参与者P

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，在得到所有的份额(sh

对每一个存取结构Γ

运行密钥生成算法k

随机选择一个向量u

计算

公开输出out

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述秘密重构阶段包括：

固定一个j(1≤j≤m)，假设授权集

对每一个参与者

参与者

诚实的秘密生成者DC在收到A中参与者

诚实的秘密生成者DC从公告牌上下载

诚实的秘密生成者DC下载c

本实施例分别给出本发明抗内存泄漏的多级秘密共享方法的正确性和安全性证明：

正确性证明：

令

安全性证明：

构建安全模型；抗内存泄露的多级多秘密共享方法Ω＝(Stp,Dist,Rec)的计算安全性的模型是利用一个在多项式时间的内存攻击者A和一个挑战者之间的游戏G来刻画的。包括以下步骤：

初始化：攻击者A选择并公布参与者的集合以及m个存取结构，同时选择一个被挑战的参与者集合

建立：挑战者运行参数建立过程pms←Stp(1

预备阶段：攻击者发出询问请求，以获取被挑战参与者集合里参与者的份额。

挑战：挑战者随机选取b∈{0，1}并运行分发算法

猜测：攻击者A输出对b的猜测值b’。

当b’＝b时，游戏G的输出定义为1；反之定义为0。如果 MSSS

本发明所提出的抗内存泄露的多级多秘密共享方法的计算安全的证明是规约到本方法中隐含的对称加密体制∏

安全证明：

要证明本发明所描述的抗内存泄露的多级多秘密共享方法在标准模型下是计算性可证明安全的，只需证明：

对于针对本发明所描述的抗内存泄露的多级多秘密共享方法Ω

具体证明如下：

我们利用规约思想证明。令A

初始化：挑战者发起游戏G

建立：

预备阶段：

对所有j∈J

因此，对于所有的

挑战：对于所有的

猜测：攻击者A

因此，我们有

由此可知，本发明所描述的抗内存泄露的多级多秘密共享方法在标准模型下是计算性可证明安全的。

综上，本发明的实施例提供一种在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，针对现有的秘密共享方法中的存取结构很多都以门限访问结构(特殊的理想存取结构)为主，适用范围受到一定局限；秘密重构算法中，每个参与者的秘密份额不能够被多次使用；在内存泄露的环境下，现有的秘密共享方法无法达到安全性要求，随机预言机模型下安全方案现实中无法构建具体实例等问题。本发明的利用物理不可克隆函数以及模糊提取器的联合作用，提取出相同的随机均匀分布的字符串，即产生可靠的秘密份额，使得在内存泄露的环境下，该秘密共享方法能够达到安全性要求。同时，该秘密共享方法使得每个参与者的秘密份额能够被多次使用，且用以恢复多个秘密。本技术方案不是像现有技术一样将长期秘密份额保存在非易失性的内存里的这一思想，而是构造了一个适用于一般存取结构的抗内存泄露的可验证多级秘密共享方法。秘密重构算法中，该秘密共享方法使得每个参与者的秘密份额能够被多次使用，且用以恢复多个秘密，大大提高了秘密的实用效率；另外，每个参与者可以验证其它合作恢复秘密的参与者份额的有效性。同时，该方法在标准模型下是计算性可证明安全的。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其它的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。