CN101873212A - 门限秘密信息分配、还原装置及方法 - Google Patents

Abstract

本发明公开了一种门限秘密信息分配装置，用于将秘密信息分成n个信息份额，包括：秘密信息分割装置，用于将秘密信息分割成p-1份，p为素数且大于等于n-1，随机信息串产生装置，用于(k-1)×(p-1)个随机信息串，分配矩阵产生装置和信息份额产生装置，还公开了一种门限秘密信息还原装置，用于当已知至少任意k个信息份额时，将秘密信息还原，包括：还原矩阵产生装置、信息份额还原装置和秘密信息组合装置；还公开了一种门限秘密信息分配、还原的方法。本发明即每个份额的尺寸和原秘密一样大，通过取素数p≥n-1，从而减少随机数资源的浪费和计算开销，提高了分配份额的效率。

Description

门限秘密信息分配、还原装置及方法

技术领域

本发明涉及信息安全技术领域，特别涉及一种门限秘密信息分配、还原装置及方法。

背景技术

秘密共享是信息安全和数据保密的重要手段，它在重要信息和秘密数据的安全保存、传输及合法利用中起着关键作用。(k，n)门限秘密共享概念由Shamir^[2]和Blakley^[3]提出，其基本思想是，一个秘密被n个人共享，且满足：①只有k个或更多的参与者联合可以重构该秘密；②任意少于k个参与者不能得到该秘密的任何信息。满足①、②的方案被称为完美(Perfect)的秘密共享方案。除此外，如果再满足③每个参与者所持有份额的尺寸和原秘密一样大，该方案称为理想(Ideal)的秘密共享方案。Shamir的方案就是一个理想的秘密共享方案。

(k，n)门限密码共享方案中，可以取任何消息(高考卷子、遗嘱、军事机密或金融系统的密码)，并把它分成n部分，每部分叫做原来密码的“影子”或共享(shares)，这样它们中的任何k个共享(shares)能够用来重构消息，而任何少于k个共享(shares)的条件下不能得到任何关于该秘密的信息。

实现(k，n)门限秘密共享方案的方法除了Shamir和Blakey的方案外，还有基于中国剩余定理的Asmuth-Bloom法^[4]、使用矩阵乘法的Karnin-Green-Hellman方法^[5]，基于多维空间球的几何方案^[6]等。但是，这些方案多是基于珈罗瓦域或素数域上的运算完成的，运算负载相对比较大，也限制了秘密分享方案在高性能的存储领域，低成本的智能卡、RFID领域的应用，比如文献[7]的实验数据表明编码8K字节的数据，Shamir秘密共享(GF(2¹⁶⁰)中)，方案为(t＝6，n＝10)编码速度要比AES加密编码慢近70倍以上，进而作者明确指出因为高的计算负担，Shamir的秘密分享方案在普通数据的存储领域几乎没用。所以更高性能的秘密分享方案仍然是学术届和产业届的研究和应用的一个重点。

文献[8]给出一个高效的用XOR就实现秘密分享的方案。但它不是理想的秘密共享方案，而且每个参与者的份额尺寸是原秘密的组合数倍。最近Kurihara等在文献[1]给出一个优秀的工作，只用XOR运算实现(k，n)阈值秘密共享方案，而且是完美的和理想的。他们声称在门限(3，11)下，4.5M字节数据的分享和还原速度比Shamir的方案(GF(2⁶⁴)中)快900倍。

如果没有特别说明，以下内容中做如下符号约定：

XOR都表示比特异或；|x|表示x的长度；p是一个素数，p≥n，

表示要被共享的秘密，它将按长度被等分成p-1份，s₀，s₁，s₂，…s_p-2；d表示每小份秘密s_i的长度，即

群

即元素为长度为d(bit)的二进制串，所以，s_i∈G，

所有变量下标的操作都在有限域GF(p)中进行。

下面简单介绍一下Kurihara等的(k，n)秘密共享方案，该方案的份额分发(Distribution)过程如下：

(1)首先找到一个素数p≥n，比如n＝5，p＝5；n＝8，p＝11。

(2)将秘密

按长度等分成p-1份s₀，s₁，s₂，…s_p-2，记每份的长度为d(bit)，如果秘密的长度不是p-1的整数倍，可以填补0。

(3)生成(k-1)×(p-1)+k-2个d(bit)的随机串

r_i，0∈{0，1}^d(0≤i≤p-2)和r_i，j∈{0，1}^d(0≤i≤p-1，1≤j≤k-2)

(4)将(k-1)×(p-1)+k-2个d(bit)的随机串r_i，j连同p-1个d(bit)的s_i放入一个p×p的方阵中(如图1所示)，其中随机串r_i，j(0≤j≤k-2)依次放到前(k-1)列，最后把p-1份s₀，s₁，s₂，…s_p-2放入最后一列，即第p列。此外再假设所有在(k-1)列和p列中间的列为虚拟的0列(即每个元素都是0，实际上不需要存在，只是虚拟占位列而已)。需要注意的是这里的第一列的最后一行，以及第p列的最后一行也是虚拟的0元素。

(5)沿着从0到n-1的n种不同的斜率直线，所过结点的异或和得到n个分享份额

(0≤l≤n-1)。每个份额也是由p-1个d(bit)长小部分组成，每个小部分都是沿着p-1条同样斜率直线依次计算出来的。注意这里的下标计算是在有限域GF(p)中进行的，所以图1中的b，c部分中的阵列都是同样的a部分阵列垒起来的。

(6)将这n个共享份额

(0≤l≤n-1)通过秘密信道送给n个参与者，完成秘密分发的过程。

由以上过程可以看出，整个分享份额产生过程中，只需要XOR运算就可以完成，所以速度相当快。

但经过我们的分析和证明，该方案中使用了不必要的随机数，最后一行的k-2个d比特的随机数(图1中的r_4，1r_4，2)是多余的，它们只会导致对随机数资源的浪费和不必要计算开销，而不会增加任何安全性。

现有技术的参考文献如下：

[1]Kurihara，J.，Kiyomoto，S.，Fukushima，K.，and Tanaka，T.：ANew(k，n)-Threshold Secret Sharing Scheme and Its Extension.InProceedings of the 11th international Conference on information Security(Taipei，Taiwan)(2008)；

[2]Shamir，A.：How to share a secret.Commun.ACM 22(11)，612-613(1979)；

[3]Blakley，G.R.：Safeguarding cryptographic keys.In：Proc.AFIPS，vol.48，313-317(1979)；

[4]Asmuth C.Bloom J.：A Modular Approach to Key Safeguarding.IEEE Trans.Information Theory，29(2)，208-210(1983)；

[5]Karnin E D.Green J W.Hellman M E.：On Sharing Secret SystemIEEE Trans.Information Theory，29(1)，35-41(1983)；

[6]T.C.Wu and W.H.He：A geometric approach for sharing secrets.Computer and Security 14(2)，135-145.(1995)；

[7]Subbiah，A.and Blough，D.M.：An approach for fault tolerantand secure data storage in collaborative work environments.InProceedings of the 2005 ACM Workshop on Storage Security andSurvivability.(2005)；

[8]M.Ito，A.Saito，and T.Nishizeki.：Secret sharing schemerealizing general access structure.In Proceedings of the IEEE GlobalCommunication Conference(1987)；

[9]Gui-Liang Feng，Robert H.Deng，Feng Bao，Jia-Chen Shen：New Efficient MDS Array Codes for RAID Part I：Reed-Solomon-LikeCodes for Tolerating Three Disk Failures，IEEE Transactions onComputers，54(9)，1071-1080.(2005)。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何在进行秘密信息分配时减少产生的随机数串，从而去掉不必要的随机数资源的浪费和减少秘密信息分配装置在产生n个信息份额时的计算开销，提高分配效率。

(二)技术方案

一种门限秘密信息分配装置，用于将秘密信息

分为n个信息份额，包括：

秘密信息分割装置，用于将所述秘密信息分割成p-1份：s₀，s₁，s₂，…，s_p-2，p为大于或等于n-1的素数；

随机信息串产生装置，用于产生(k-1)×(p-1)个随机信息串r_i，j，其中，0≤i≤p-2，0≤j≤k-2，k≤n；

分配矩阵产生装置，用于产生一个分配矩阵H_k×n，所述H_k×n为k×n个块的二元分块矩阵，每块为(p-1)×(p-1)的矩阵；

信息份额产生装置，用于根据所述s₀，s₁，s₂，…s_p-2、r_i，j和H_k×n产生n个信息份额

并将这n个信息份额通过秘密信道发送给n个不同的参与者。

一种门限秘密信息还原装置，用于当至少同时已知上述k个信息份额时，还原所述秘密信息

包括：

还原矩阵产生装置，用于根据已知的k个信息份额

产生k×k的二元还原矩阵H_k×k，0≤t1，t2，...tk≤n-1，所述H_k×k由H_k×n中具有与k个信息份额下标t1，t2，...tk相同块列下标的k个块列组成，其中每一块列包含p-1列；

信息份额还原装置，用于根据所述k个信息份额和H_k×k的逆矩阵还原s₀，s₁，s₂，…s_p-2；

秘密信息组合装置，用于将所述s₀，s₁，s₂，…s_p-2按分割时的顺序组合成秘密信息

一种门限秘密信息分配方法，所述方法将一秘密信息

分成n个信息份额，包括以下步骤：

S101：将所述秘密信息

分割成p-1份：s₀，s₁，s₂，…s_p-2，p为大于或等于n-1的素数；

S102：产生(k-1)×(p-1)个随机信息串r_i，j，其中，0≤i≤p-2，0≤j≤k-2，k≤n；

S103：产生一个k×n的分配矩阵H_k×n，所述h_k×n为k×n个块的分块矩阵，每块为(p-1)×(p-1)的矩阵；

S104：对所述s₀，s₁，s₂，…s_p-2、r_i，j和H_k×n产生n个信息份额

并将这n个信息份额通过秘密信道发送给n个不同的参与者。

其中，所述步骤S101中将所述秘密信息

平均分割成p-1份。

其中，所述随机信息串r_i，j为与

分割后的每一份长度相同的包含0和1的随机串。

其中，所述步骤S103中二元分配矩阵h_k×n产生方式为：

定义循环置换矩阵当a＝(b+u)modp时取值为1，否则为0，其中0≤u≤p-1，0≤b≤p-1，e取值0或1；

将

去掉最后一行和最后一列得到

其中m＝p-1；

将

和单位矩阵I_m组合成二元分配矩阵H_k×n如下：

其中，所述步骤S103中二元分配矩阵H_k×n产生方式为：

定义循环置换矩阵

当a＝(b+u)modp时

取值为1，否则为0，其中0≤u≤p-1，0≤b≤p-1，e取值0或1；

将去掉最后一行和最后一列得到

其中m＝p-1，p≥n；

将

和单位矩阵I_m组合成二元分配矩阵H_k×n如下：

一种门限秘密信息还原方法，所述方法当至少同时已知上述方法中的k个信息份额时，还原所述秘密信息

包括以下步骤：

S201：根据已知的k个信息份额

产生k×k的二元还原矩阵H_k×k，0≤t1，t2，...tk≤n-1，所述H_k×k由H_k×n中具有与k个信息份额下标t1，t2，...tk相同块列下标的k个块列组成，其中每一块列包含p-1个普通列；

S202：根据所述k个信息份额和H_k×k的逆矩阵还原s₀，s₁，s₂，…s_p-2；

S203：将所述s₀，s₁，s₂，…s_p-2按分割时的顺序组合成秘密信息

(三)有益效果

本发明是理想的秘密信息分配方案，即每个份额的尺寸和原秘密一样大，通过取素数p≥n-1，从而减少随机数资源的浪费和计算开销，提高了分配份额的效率；同时，节约了门限秘密信息分配装置的成本，降低了能耗(尤其是像手机这样的电池供电产品)。

附图说明

图1为Kurihara方案在(k＝3，n＝5，p＝5)时秘密分发的图形表示，(只示例了3个份额的产生)，沿着从0到4的5种不同的斜率直线，所过结点的异或和得到5个分享份额。每个份额也是由4个d(bit)长的小部分组成，每个小部分都是沿着4条同样斜率直线依次计算出来的；

图2是根据本发明实施例的一种门限秘密信息分配装置结构示意图；

图3是根据本发明实施例的一种门限秘密信息还原装置结构示意图；

图4是根据本发明实施例的一种门限秘密信息分配方法流程图；

图5是图4中方案为(k＝3，n＝5，p＝5)时秘密分发的图形表示(只示例了3个份额的产生)；

图6是根据本发明实施例的一种门限秘密信息还原方法流程图。

具体实施方式

本发明提出的门限秘密信息分配、还原装置及方法，结合附图和实施例说明如下。

如图2所示，为本发明的门限秘密信息分配装置，该装置包括：秘密信息分割装置，用于将所述秘密信息

(如高考试卷)分割成p-1份，s₀，s₁，s₂，…s_p-2，所述p为大于等于n-1的素数，优选分割方式为等长均分；随机信息串产生装置，用于产生(k-1)×(p-1)个随机信息串r_i，j，其中，0≤i≤p-2，0≤j≤k-2；随机信息串优选为长度与等长均分后发每个s_i相等且包含为0和1的随机串；分配矩阵产生装置，用于产生一个k×n块的包含0和1的二元分配矩阵H_k×n，该矩阵优选为以单位块矩阵及其循环置换矩阵为子块构成的类范德蒙矩阵，最后构成由0和1组成的k(p-1)×n(p-1)的二元矩阵；信息份额产生装置，用于根据所述s₀，s₁，s₂，…s_p-2、r_i，j和H_k×n产生n个信息份额

并将这n个信息份额通过秘密信道发送给n个不同的参与者。

如图3所示，为本发明的门限秘密信息还原装置，该装置在已知上述分配装置产生的至少任意k个不同的信息份额时，可将秘密信息

还原，具体包括：还原矩阵产生装置，用于根据已知的k个信息份额，产生二元还原矩阵H_k×k，所述H_k×k为H_k×n中与k个信息份额下标对应的k个块列组成；信息份额还原装置，用于根据所述k个信息份额和H_k×k的逆矩阵还原s₀，s₁，s₂，…s_p-2；秘密信息组合装置，用于将所述s₀，s₁，s₂，…s_p-2按分割时的顺序组合成秘密信息

本发明还公开了一种门限秘密信息分配方法，该方法将一秘密信息

分配成n个信息份额，当至少需要有任意k(k≤n)个信息份额才能还原秘密信息

如图4所示，同样以高考试卷为例进行说明。

步骤S101，将所述秘密信息

分割成p-1份，s₀，s₁，s₂，…s_p-2，所述p为大于等于n-1的素数。高考试卷作为秘密信息，在本发明的门限秘密信息分配装置中以向量的形式存储，记为

按上述步骤将

分割成p-1份，即s₀，s₁，s₂，…s_p-2。为了达到理想的秘密信息分配方案，本实施例中采用等长均分段方式，即每份s_i(0≤i≤p-2)长度为dbit，

若不能整除，则可在末位补0。

步骤S102，产生(k-1)×(p-1)个随机信息串r_i，j，其中，0≤i≤p-2，0≤j≤k-2，其中r_i，j∈{0，1}，即为包含0和1的随机数串，其每个r_i，j长度与s_i相同。

步骤S103，产生一个k×n的二元分配矩阵H_k×n。该矩阵的产生方式具体为：

定义循环置换矩阵

当a＝(b+u)modp时

取值为1，否则为0，其中0≤u≤p-1，0≤b≤p-1，关于循环置换矩阵及其代数的定理的详细证明可以参考[9]；

将去掉最后一行和最后一列得到

其中m＝p-1；

将

和单位矩阵I_m组合成二元分配矩阵H_k×n(类范德蒙矩阵)如下：

当p≥n时，二元分配矩阵H_k×n还可以为：

由此可见，矩阵H_k×n的代数描述类似范德蒙矩阵，它是一个具有k×n块的分块矩阵，每块是m×m的子矩阵，所以实际上H是一个km×nm的矩阵。

步骤S104，根据所述s₀，s₁，s₂，…s_p-2、r_i，j和H_k×n将所述高考试卷信息向量

分成了n个信息份额

即

乘号“×”在向量之间的操作为内积运算，群

即元素为长度为dbit的二进制串(包含0和1的串)，内积操作定义为：令

是像

这样的交换群，0是其单位元。令g∈G，h∈{0，1}，定义：h×g＝g×h＝g(if h＝1)|0(if h＝0)，再令是G中的向量，

是{0，1}中的向量，定义群上的向量与GF(2)上向量的内积：

由定义可见，整个内积的计算只用XOR操作即可完成。矩阵H_k×n的行数为k(p-1)，与r_i，j、s₀，s₁，s₂，…s_p-2的个数相同，列数为n(p-1)，因此，

的含义为：在向量(r_i，j)和(s₀，s₁，s₂，…s_p-2)中，和H_k×n中的对应与1作内积运算的元素才按比特位做异或运算，否则不做异或运算。由有上述步骤可知每个

(0≤l≤n-1)都包含p-1个长度也为d bit的元素，这样n个份额就一共有n(p-1)个这样长度的元素，所有份额的所有元素个数理所应当的和H_k×n的列数一致，并将这n个信息份额通过秘密信道发送给n个不同的参与者。

如考虑(k＝3，n＝5)的方案，即将上述高考试卷的信息分成5个信息份额，至少需要任意3个信息份额时，即可还原。当n＝5时，素数p可取值为5，将试卷信息分成4份：(s₀，s₁，s₂，s₃)。生成(3-1)×(5-1)＝8个与s_i长度相同的包含0和1的随机数串，(r_0，0，r_1，0，r_2，0，r_3，0)，(r_0，1，r_1，1，r_2，1，r_3，1)。根据步骤S103中的二元分配矩阵的产生方法，产生

如下：

$I_5=\left[\begin{array}{ccccc}1& 0& 0& 0& 0\\ 0& 1& 0& 0& 0\\ 0& 0& 1& 0& 0\\ 0& 0& 0& 1& 0\\ 0& 0& 0& 0& 1\end{array}\right]$ $E_5=\left[\begin{array}{ccccc}0& 0& 0& 0& 1\\ 1& 0& 0& 0& 0\\ 0& 1& 0& 0& 0\\ 0& 0& 1& 0& 0\\ 0& 0& 0& 1& 0\end{array}\right]$ $E_5^2=\left[\begin{array}{ccccc}0& 0& 0& 1& 0\\ 0& 0& 0& 0& 1\\ 1& 0& 0& 0& 0\\ 0& 1& 0& 0& 0\\ 0& 0& 1& 0& 0\end{array}\right]$ $E_5^3=\left[\begin{array}{ccccc}0& 0& 1& 0& 0\\ 0& 0& 0& 1& 0\\ 0& 0& 0& 0& 1\\ 1& 0& 0& 0& 0\\ 0& 1& 0& 0& 0\end{array}\right]$ $E_5^4=\left[\begin{array}{ccccc}0& 1& 0& 0& 0\\ 0& 0& 1& 0& 0\\ 0& 0& 0& 1& 0\\ 0& 0& 0& 0& 1\\ 1& 0& 0& 0& 0\end{array}\right]$

根据上述类范德蒙矩阵，产生的H_3×5如下：

按步骤S104中的运算公式可得到：

(c_0，0，c_1，0，c_2，0，c_3，0)，(c_0，1，c_1，1，c_2，1，c_3，1)，(c_0，2，c_1，2，c_2，2，c_3，2)，(c_0，3，c_1，3，c_2，3，c_3，3)，(c_0，4，c_1，4，c_2，4，c_3，4)

＝(r_0，0，r_1，0，r_2，0，r_3，0)，(r_0，1，r_1，1，r_2，1，r_3，1)，(s₀，s₁，s₂，s₃)×H_3×5

二元矩阵H_3×5是一个12行20列的矩阵，所以上式等号右边的3个向量共有12个群G中的元素组成的“大向量”正好可以乘H_3×5的一列，易见这全部是由XOR操作完成，这样计算出一共有20个元素的“大向量”(上式等号左边)，再把这“大向量”连续有序的每4个一组(p-1，且p＝5)，分成5个向量(n＝5)，也就是由高考试卷信息

产生的5个信息份额，可以通过安全信道分配给5个参与者。

上述门限秘密分配方法的效果可以用图5来解释，将所述r_i，j连同p-1个d(bit)的s_i放入一个p×p的方阵中，其中随机串r_i，j(0≤j≤k-2)依次放到前(k-1)列，最后把p-1份s₀，s₁，s₂，…s_p-2放入第p列，设所有在(k-1)列和p列中间的列为虚拟的0列，且最后一行全是0元素。以所述方阵的前p-1行的第一个元素为起点，取从0到-(n-2)的n-1种不同的斜率直线，当斜率为h时，将h个相同的方阵叠加到含有起点的方阵的上部，所述h取0到-(n-2)中整数之一，每一种斜率直线所过结点(即向量中的元素)的异或和可得到n-1个分享份额

每个份额是由p-1个bit长度为d的串组成，每个串都是沿着n-1条斜率中同样斜率直线经过的元素依次进行异或计算出来的，

下标的计算是在有限域GF(p)中进行的。图5为本发明的方案为(k＝3n＝5，p＝5)时秘密分发的图形表示(只示例了3个份额的产生)，与图1的区别有阵列中最后一行的元素全是0元素，沿着从0到3的4种不同的斜率直线，所过结点的异或和得到4个分享份额。每个份额也是由4个d(bit)长的串组成，每个串都是沿着4条同样斜率直线依次计算出来的。再把第(k-2)号列(从0开始计算列号，例子中1号列为第二列)的随机数拿出来作为一个份额，一共5个份额。

本发明的门限秘密信息还原方法如图6所示，当至少同时已知上述分配方法所述k个信息份额时，还原所述秘密信息

同样以高考试卷信息

为例。

步骤S201，根据已知的高考试卷信息

的k个信息份额

产生二元还原矩阵H_k×k，所述H_k×k为H_k×n中与k个信息份额下标对应的k个块列组成。在有限域GF(2)中，矩阵H_k×n中任何k“块列”都是线性无关的，所以这k“块列”也形成一个满秩为km＝k(p-1)的矩阵，即H_k×k在GF(2)上可逆，存在逆矩阵

步骤S202，根据所述k个信息份额和H_k×k的逆矩阵还原s₀，s₁，s₂，…s_p-2，即和分配时一样，向量

中和H_k×n中的对应与1作内积运算的元素才按比特位做异或运算，否则不做异或运算。

步骤S203，用于将所述s₀，s₁，s₂，…s_p-2按分割时的顺序组合成高考试卷的秘密信息

采用上述(k＝3，n＝5)的方案，若已知高考试卷信息被分配后的(c_0，1，c_1，1，c_2，1，c_3，1)，(c_0，2，c_1，2，c_2，2，c_3，2)，(c_0，3，c_1，3，c_2，3，c_3，3)3个份额，根据这3个份额产生二元还原矩阵H_k×k，H_k×k为H_k×n的第1～3号块列(从0开始计算，即中间3个块列)，中间3个块列的GF(2)中的逆矩阵如下：

$\left[\begin{array}{cccccccccccc}0& 1& 0& 1& 0& 1& 1& 1& 0& 1& 1& 1\\ 0& 1& 1& 1& 1& 0& 1& 1& 1& 0& 1& 1\\ 1& 1& 1& 0& 1& 1& 0& 1& 1& 1& 0& 1\\ 1& 0& 1& 0& 1& 1& 1& 0& 1& 1& 1& 0\\ 0& 1& 1& 1& 1& 0& 0& 1& 1& 0& 1& 1\\ 0& 1& 0& 0& 0& 0& 1& 0& 0& 0& 0& 1\\ 0& 0& 1& 0& 1& 0& 0& 0& 0& 1& 0& 0\\ 1& 1& 1& 0& 1& 1& 0& 1& 1& 0& 0& 1\\ 1& 0& 1& 0& 1& 1& 1& 0& 1& 1& 0& 0\\ 0& 1& 1& 1& 1& 0& 0& 1& 1& 0& 1& 0\\ 1& 1& 1& 0& 0& 1& 0& 1& 1& 0& 0& 1\\ 0& 1& 0& 1& 0& 0& 1& 1& 0& 1& 1& 1\end{array}\right]$

由步骤S202中公式可得到：

$(r_{\mathrm{0,0}},r_{1,0},r_{\mathrm{2,0}},r_{\mathrm{3,0}}),(r_{\mathrm{0,1}},r_{\mathrm{1,1}},r_{\mathrm{2,1}},r_{\mathrm{3,1}}),(s_0,s_1,s_2,s_3)$

$=(c_{\mathrm{0,1}},c_{\mathrm{1,1}},c_{\mathrm{2,1}},c_{\mathrm{3,1}}),(c_{\mathrm{0,2}},c_{\mathrm{1,2}},c_{\mathrm{2,2}},c_{\mathrm{3,2}}),(c_{\mathrm{0,3}},c_{\mathrm{1,3}},c_{\mathrm{2,3}},c_{\mathrm{3,3}})\×H_{3\×3}^{-1}$

还原出s₀，s₁，s₂，s₃后，按分割时的顺序组合成高考试卷信息

本发明还可将任何秘密信息，如遗嘱、军事机密和金融系统密码等按上述方法进行份额分配和还原。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。

Claims (8)

1.一种门限秘密信息分配装置，用于将秘密信息

分为n个信息份额，其特征在于，包括：

秘密信息分割装置，用于将所述秘密信息

分割成p-1份：s₀，s₁，s₂，…，s_p-2，p为大于或等于n-1的素数；

随机信息串产生装置，用于产生(k-1)×(p-1)个随机信息串r_i，j，其中，0≤i≤p-2，0≤j≤k-2，k≤n；

分配矩阵产生装置，用于产生一个分配矩阵H_k×n，所述H_k×n为k×n个块的二元分块矩阵，每块为(p-1)×(p-1)的矩阵；

信息份额产生装置，用于根据所述s₀，s₁，s₂，…s_p-2、r_i，j和H_k×n产生n个信息份额

并将这n个信息份额通过秘密信道发送给n个不同的参与者。

2.一种门限秘密信息还原装置，用于当至少同时已知权利要求1所述k个信息份额时，还原所述秘密信息

其特征在于，包括：

还原矩阵产生装置，用于根据已知的k个信息份额

产生k×k的二元还原矩阵H_k×k，0≤t1，t2，...tk≤n-1，所述H_k×k由H_k×n中具有与k个信息份额下标t1，t2，...tk相同块列下标的k个块列组成，其中每一块列包含p-1列；

信息份额还原装置，用于根据所述k个信息份额和H_k×k的逆矩阵还原s₀，s₁，s₂，…s_p-2；

秘密信息组合装置，用于将所述s₀，s₁，s₂，…s_p-2按分割时的顺序组合成秘密信息

3.一种门限秘密信息分配方法，所述方法将一秘密信息

分成n个信息份额，其特征在于，包括以下步骤：

S101：将所述秘密信息

分割成p-1份：s₀，s₁，s₂，…s_p-2，p为大于或等于n-1的素数；

S102：产生(k-1)×(p-1)个随机信息串r_i，j，其长度与

分割后的每一份长度相同，其中，0≤i≤p-2，0≤j≤k-2，k≤n；

S103：产生一个k×n的分配矩阵H_k×n，所述H_k×n为k×n个块的分块矩阵，每块为(p-1)×(p-1)的包含0和1的二元矩阵；

S104：对所述s₀，s₁，s₂，…s_p-2、r_i，j和H_k×n产生n个信息份额

并将这n个信息份额通过秘密信道发送给n个不同的参与者。

4.如权利要求3所述的门限秘密信息分配方法，其特征在于，所述步骤S101中将所述秘密信息

平均分割成p-1份。

5.如权利要求4所述的门限秘密信息分配方法，其特征在于，所述随机信息串r_i，j为包含0和1的随机串。

6.如权利要求3所述的门限秘密信息分配方法，其特征在于，所述步骤S103中二元分配矩阵H_k×n产生方式为：

定义循环置换矩阵当a＝(b+u)mod p时

取值为1，否则为0，其中0≤u≤p-1，0≤b≤p-1，e取值0或1；

将

去掉最后一行和最后一列得到

其中m＝p-1；

将

和单位矩阵I_m组合成二元分配矩阵H_k×n如下：

7.如权利要求3所述的门限秘密信息分配方法，其特征在于，所述步骤S103中二元分配矩阵H_k×n产生方式为：

定义循环置换矩阵

当a＝(b+u)mod p时

取值为1，否则为0，其中0≤u≤p-1，0≤b≤p-1，e取值0或1；

将

去掉最后一行和最后一列得到

其中m＝p-1，p≥n；

将

和单位矩阵I_m组合成二元分配矩阵H_k×n如下：

8.一种门限秘密信息还原方法，所述方法当至少同时已知权利要求3所述的k个信息份额时，还原所述秘密信息

其特征在于，包括以下步骤：

S201：根据已知的k个信息份额

产生k×k的二元还原矩阵H_k×k，0≤t1，t2，...tk≤n-1，所述H_k×k由H_k×n中具有与k个信息份额下标t1，t2，...tk相同块列下标的k个块列组成，其中每一块列包含p-1个普通列；

S202：根据所述k个信息份额和H_k×k的逆矩阵还原s₀，s₁，s₂，…s_p-2；

S203：将所述s₀，s₁，s₂，…s_p-2按分割时的顺序组合成秘密信息

Images