[发明专利]一种对诚实参与者公平的理性多秘密分享方法

摘要

本发明提出了一种对诚实参与者公平的理性多秘密分享方法，所述方法包括系统参数设置模块、分发者认证模块、秘密分发模块、秘密重构模块；系统参数设置模块生成系统的公开参数以及分发者和参与者的公钥，公开参数发送给其他模块；分发者认证模块通过比特承诺协议验证分发者；秘密分发模块主要是分发者将子秘密分发给相应的参与者；秘密重构模块主要用于验证子秘密的正确性，并将具有欺骗行为的参与者从重构秘密的参与者集合中删除，并判断是否为有意义轮，从而重构出秘密。如果想要共享新的秘密，则只需要公开随机选取的参数和承诺值。此方案解决了对诚实参与者的不公平问题，并能高效的实现多秘密的分享。

主权项

1.一种对诚实参与者公平的理性多秘密分享方法，其特征在于，具体步骤如下：步骤A，系统参数设置：步骤A1：选择两个大素数p和q，满足q能整除(p-1)，选择非零模p剩余类环Z_p^*={1,2,…,p-2,p-1}，Z_p^*的生成元为g且满足g^q=1modp；选取一个正整数M，M为因网络错误允许最多发送的次数；公开参与者的公钥，用于验证其他参与者广播子秘密时发送的签名；步骤A2：令需要共享的r个秘密分别为K₁,K₂,…,K_r，r为共享秘密的个数，r是正整数，随机选择r个随机数m₁,m₂,…,m_r，计算T_j=K_j-m_j^ld,j=1,2,…,r，公布T_j、m_j和其中l=n!，d为实际共享的秘密值；步骤A3：秘密分发者对n个参与者分别选取n个互不相等的x_i∈Z_p={0,1,2,…,p-1}作为参与者的身份并公开，每个参与者用P_i表示,i=1,2,…,n；步骤B，分发者认证：步骤B1：分发者向参与者P_i随机发送两个字符串s_i1和s_i2，计算H(s_i1||s_i2||x_i)并公开，其中H(·)为单向函数，||表示字符串级联；步骤B2：参与者P_i接收到分发者发送的s_i1和s_i2，计算H(s_i1||s_i2||x_i)并与步骤B1公开的H(s_i1||s_i2||x_i)进行比较，若不相等则承诺的信息不对，认证失败；若相等，则进入分配阶段；步骤C，秘密分发：秘密分发分为多轮执行，分发者在每一轮都构造一个t-1次多项式f(x)=d'+a₁x+a₂x²+…+a_t-1x^t-1，在每一轮执行中分发正确秘密的概率为β,0<β<1，即d'=d的概率为β，d_i'=f(x_i)modp为分发者分发给参与者P_i的子秘密，公开d、d'保密，其中d为真正的秘密值，d'为实际共享的秘密值；同时公开和L为执行轮次；步骤D，秘密重构：步骤D1：参与者接收分发者分发的子秘密d_i'，通过承诺值验证是否与分发者分发的一样，然后计算并对自己的身份进行签名sign(x_i)，将{x_i,sign(x_i),m_j,S_ij}发送给其他的参与者；具体步骤如下：步骤D1-1：P_i将从分发者那接收到的子秘密d_i'进行计算与公开的比较，相同则接受d_i'，否则拒绝d_i'；步骤D1-2：P_i计算Sij=mjdi′modp;]]>步骤D1-3：选取其中δ₁,δ₂为安全参数且有0≤δ₁≤1，0≤δ₂≤1，计算b_ij=H(g,m_j,S_ij,W_i,w',m')，在整数环Z上计算y_ij=c_ij+b_ijd_i'，P_i公开验证值{y_ij,b_ij}；步骤D1-4：参与者P_i广播{x_i,sign(x_i),m_j,S_ij}，其中sign(x_i)是对x_i的签名；步骤D2：P_i接收其他参与者广播的子秘密，并用其他参与者公开的承诺值验证是否和其发送的子秘密相同，如果相同且参与者人数不小于t则重构秘密值，否则在下一轮将欺骗的参与者从重构秘密的参与者集合中排除；利用公开承诺值验证重构的秘密是否为有效的秘密值，如果不是有效的秘密值则进入下一轮继续交互，否则通过对秘密值的运算得出共享的秘密；具体步骤如下：步骤D2-1：如果没有接收到某个参与者的子秘密，则在下一轮将该参与者从重构秘密的参与者集合中排除；步骤D2-2：对其他参与者发送的信息中的签名进行验证，防止有参与者冒充其他参与者，若发现有冒充则在下一轮将冒充的参与者从重构秘密的参与者集合中排除；步骤D2-3：计算并和公开的b_ij进行比较，若不相等则要求重新发送且次数不超过M次，否则在下一轮将参与者P_i从重构秘密的参与者集合中排除；若相等则接收到的S_ij与P_i提供一致；步骤D2-4：计算并与公开的比较，若不一致则参与者P_i欺骗，则在下一轮将P_i从重构秘密的参与者集合中排除；步骤D2-5：设最终实际参与者人数为n'，若n'<t则终止协议；若n'≥t则重构出秘密值；取l=n!，在整数环Z上计算出再利用Sj=Πi=1tSijαi=Πi=1tmjαidi′=mjΣi=1tαidi′=mjlΣi=1tβidi′=mjldmodp]]>计算出S_j，然后利用K_j'=T_j-m_j^ldmodp=T_j-S_j计算出共享秘密，若则得到秘密，若不相等则进入下一轮交互。