CN101882992B

CN101882992B - 门限秘密信息分配、还原方法及装置

Info

Publication number: CN101882992B
Application number: CN 201010211898
Authority: CN
Inventors: 吕春利; 孙明理; 田立军; 伍强; 孙秀丽
Original assignee: China Agricultural University
Current assignee: China Agricultural University
Priority date: 2010-06-21
Filing date: 2010-06-21
Publication date: 2012-12-12
Anticipated expiration: 2030-06-21
Also published as: CN101882992A

Abstract

本发明公开了一种门限秘密信息分配方法，将秘密信息分成n个信息份额，包括：将秘密信息分割成p-1份，p为素数且大于等于n-1；产生(k-1)×(p-1)个随机信息串；产生一个(n-k+1)×(n+1)个块的二元运算矩阵；根据p-1份秘密信息、随机信息串和二元运算矩阵生成n个信息份额，并分发到n个参与者。本发明还公开了一种门限秘密信息还原方法，当已知至少任意k个信息份额时，将秘密信息还原。本发明还公开了一种门限秘密信息分配装置和还原装置。本发明当k越是接近n时，本发明的门限秘密分配和还原装置的计算负荷小，效率高；且分配和还原可用同一装置来完成。

Description

门限秘密信息分配、还原方法及装置

技术领域

本发明涉及信息安全技术领域，特别涉及一种门限秘密信息分配、还原装置及方法。

背景技术

秘密共享是信息安全和数据保密的重要手段，它在重要信息和秘密数据的安全保存、传输及合法利用中起着关键作用。(k，n)门限秘密共享概念由Shamir^[2]和Blakley^[3]提出，其基本思想是，一个秘密被n个人共享，且满足：①只有k个或更多的参与者联合可以重构该秘密；②任意少于k个参与者不能得到该秘密的任何信息。满足①、②的方案被称为完美(Perfect)的秘密共享方案。除此外，如果再满足③每个参与者所持有份额的尺寸和原秘密一样大，该方案称为理想(Ideal)的秘密共享方案。Shamir的方案就是一个理想的秘密共享方案。

(k，n)门限密码共享方案中，可以取任何消息(高考卷子、遗嘱、军事机密或金融系统的密码)，并把它分成n部分，每部分叫做原来密码的“影子”或共享(shares)，这样它们中的任何k个共享(shares)能够用来重构消息，而任何少于k个共享(shares)的条件下不能得到任何关于该秘密的信息。

实现(k，n)门限秘密共享方案的方法除了Shamir和Blakey的方案外，还有基于中国剩余定理的Asmuth-Bloom法^[4]、使用矩阵乘法的Karnin-Green-Hellman方法^[5]，基于多维空间球的几何方案^[6]等。但是，这些方案多是基于珈罗瓦域或素数域上的运算完成的，运算负载相对比较大，也限制了秘密分享方案在高性能的存储领域，低成本的智能卡、RFID领域的应用，比如文献[7]的实验数据表明编码8K字节的数据，Shamir秘密共享(GF(2¹⁶⁰)中)，方案为(t＝6，n＝10) 编码速度要比AES加密编码慢近70倍以上，进而作者明确指出因为高的计算负担，Shamir的秘密分享方案在普通数据的存储领域几乎没用。所以更高性能的秘密分享方案仍然是学术届和产业届的研究和应用的一个重点。

文献[8]给出一个高效的用异或(XOR)就实现秘密分享的方案。但它不是理想的秘密共享方案，而且每个参与者的份额尺寸是原秘密的组合数倍。最近Kurihara等在文献[1]给出一个优秀的工作，只用XOR运算实现(k，n)阈值秘密共享方案，而且是完美的和理想的。他们声称在门限(3，11)下，4.5M字节数据的分享和还原速度比Shamir的方案(GF(2⁶⁴)中)快900倍。

但Kurihara等的方案有如下缺点：

1、当k越是接近n时，该方案的秘密分发和还原的计算量越大，效率低；

2、即使有多于k个份额参与秘密还原，但还原的计算量不能减小；

3、不允许参与者自己选择持有的份额。

现有技术的参考文献如下：

[1]Kurihara，J.，Kiyomoto，S.，Fukushima，K.，and Tanaka，T.：ANew(k，n)-Threshold Secret Sharing Scheme and Its Extension.InProceedings of the 11th international Conference on infornation Security(Taipei，Taiwan)(2008)

[2]Shamir，A.：How to share a secret.Commun.ACM 22(11)，612-613(1979)

[3]Blakley，G.R.：Safeguarding cryptographic keys.In：Proc.AFIPS，vol.48，313-317(1979)

[4]Asmuth C.Bloom J.：A Modular Approach to Key Safeguarding.IEEE Trans.Information Theory，29(2)，208-210(1983)

[5]Karnin E D.Green J W.Hellman M E.：On Sharing Secret SystemIEEE Trans.Information Theory，29(1)，35-41(1983)

[6]T.C.Wu and W.H.He：A geometric approach for sharing secrets.Computer and Security 14(2)，135-145.(1995).

[7]Subbiah，A.and Blough，D.M.：An approach for afult tolerantand secure data storage in collaborative work environments.InProceedings of the 2005 ACM Wbrkshop on Storage Security andSurvivability.(2005).

[8]M.Ito，A.Saito，and T.Nishizeki.：Secret sharing schemerealizing general access structure.In Proceedings of the IEEE GlobalCommunication Conference(1987)

[9]Gui-Liang Feng，Robert H.Deng，Feng Bao，Jia-Chen Shen：New Efficient MDS Array Codes for RAID Part I：Reed-Solomon-LikeCodes for Tolerating Three Disk Failures，IEEE Transactions onComputers，54(9)，1071-1080.(2005)

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：当k越是接近n时，如何减轻门限秘密分配装置和还原装置的计算负荷，提高效率。

(二)技术方案

一种门限秘密信息分配方法，所述方法将一秘密信息

分成n个信息份额，包括以下步骤：

S101：将所述秘密信息分割成p-1份：s₀，s₁，s₂，…，s_p-2，并设置秘密信息向量

p为大于或等于n-1的素数；

S102：产生(k-1)×(p-1)个随机信息串r_i，l，其长度与

分割后的每一份长度相同，并设置随机串信息向量组

其中，0≤i≤p-2，l1＝l＝0，1，…，k-2，k≤n；

S103：产生一个运算矩阵H_{(n-k+1)×(n+1)}，所述H_{(n-k+1)×(n+1)}为(n-k+1)×(n+1)个块的二元分块矩阵，每块为(p-1)×(p-1)的矩阵；该矩阵不必保密可以公开。

S104：根据所述

和H_{(n-k+1)×(n+1)}计算出向量组

其中，l2=k-1,k,…,n-1，将

和组成n个信息份额

并通过秘密信道发送给n个不同的参与者。

其中，所述步骤S101中将所述秘密信息

平均分割成p-1份。

其中，所述随机信息串r_i，l为包含0和1的随机串。

其中，所述步骤S103中二元运算矩阵H_{(n-k+1)×(n+1)}产生方式为：

定义循环置换矩阵

当a=(b+u)modp时e_a,b取值为1，否则为0，其中0≤u≤p-1，0≤b≤p-1；

将

去掉最后一行和最后一列得到

其中m=p-1；

将

和单位矩阵I_m组合成二元运算矩阵H_{(n-k+1)×(n+1)}如下：

其中，当p≥n时，所述产生的二元运算矩阵H_{(n-k+1)×(n+1)}为：

或

其中，当p≥n+1时，所述产生的二元运算矩阵H_{(n-k+1)×(n+1)}为：

或

其中，所述步骤S104中具体计算方式为：

随机串信息向量组

所求的未知向量组

和秘密信息向量

组成向量组

所述向量组

与所述H_{(n-k+1)×(n+1)}的转置矩阵作内积，使内积的结果全为0，计算出

一种门限秘密信息还原方法，所述方法当至少同时已知上述k个信息份额时，还原所述秘密信息包括以下步骤：

S201：产生二元运算矩阵H_{(n-k+1)×(n+1)}作为还原矩阵，所述H_{(n-k+1)×(n+1)}产生方式为：

定义循环置换矩阵

将

去掉最后一行和最后一列得到

其中m=p-1；

将

和单位矩阵I_m组合成二元运算矩阵H_{(n-k+1)×(n+1)}如下：

S202：根据所述k个信息份额

组成向量组该向量组和还原矩阵H_{(n-k+1)×(n+1)}做内积运算，使内积的结果全为0，计算出

从而还原s₀,s₁,s₂,…s_p-2，其中，0≤t1,t2,…tk,tk+1≤n-1；

S203：将所述s₀,s₁,s₂,…s_p-2按分割时的顺序组合成秘密信息

一种门限秘密信息分配装置，用于将秘密信息

分为n个信息份额，包括：

秘密信息分割装置，用于将所述秘密信息

分割成p-1份：s₀,s₁,s₂,…,s_p-2，并设置秘密信息向量

p为大于或等于n-1的素数；

随机信息串产生装置，用于产生(k-1)×(p-1)个随机信息串r_i，l，并设置随机串信息向量组

其中，0≤i≤p-2，l1=l＝0,1,…,k-2，k≤n；

运算矩阵产生装置，用于产生一个运算矩阵H_{(n-k+1)×(n+1)}，所述H_{(n-k+1)×(n+1)}为(n-k+1)×(n+1)个块的二元分块矩阵，每块为(p-1)×(p-1)的矩阵，所述H_{(n-k+1)×(n+1)}产生方式为：

定义循环置换矩阵

将

去掉最后一行和最后一列得到

其中m=p-1；

将

和单位矩阵I_m组合成二元运算矩阵H_{(n-k+1)×(n+1)}如下：

信息份额产生装置，用于根据所述和H_{(n-k+1)×(n+1)}计算出向量组

其中，l2=k-1,k,…,n-1，将和

组成n个信息份额

并通过秘密信道发送给n个不同的参与者，计算向量组

的方式如下：

随机串信息向量组

所求的未知向量组

和秘密信息向量组成向量组

所述向量组

一种门限秘密信息还原装置，用于当至少同时已知上述分配装置产生的k个信息份额时，还原所述秘密信息包括：

还原矩阵产生装置，用于产生运算矩阵H_{(n-k+1)×(n+1)}作为还原矩阵，所述H_{(n-k+1)×(n+1)}产生方式为：

定义循环置换矩阵

将

去掉最后一行和最后一列得到

其中m=p-1；

将

和单位矩阵I_m组合成二元运算矩阵H_{(n-k+1)×(n+1)}如下：

信息份额还原装置，用于根据所述k个信息份额组成向量组

({\overset{&RightArrow;}{c}}_{0}, \cdot \cdot \cdot, {\overset{&RightArrow;}{c}}_{t 1}, \cdot \cdot \cdot, {\overset{&RightArrow;}{c}}_{t 2}, \cdot \cdot \cdot, {\overset{&RightArrow;}{c}}_{tk}, {\overset{&RightArrow;}{c}}_{tk + 1}, \cdot \cdot \cdot, {\overset{&RightArrow;}{c}}_{n}),

该向量组和还原矩阵 H_{(n-k+1)×(n+1)}的转置矩阵做内积运算，使内积的结果全为0，计算出

从而还原s₀，s₁，s₂，…s_p-2，其中，0≤t1，t2，…tk，tk+1≤n-1；

秘密信息组合装置，用于将所述s₀，s₁，s₂，…s_p-2按分割时的顺序组合成秘密信息

(三)有益效果

本发明具有如下有益效果：

1、当k越是接近n时，本发明的门限秘密分配和还原装置的计算负荷小，效率高；

2、若有多于k个份额参与秘密还原，但还原装置的计算负荷会减小；

3、秘密分发和还原的过程本质上是相同的，可用同一个部件(或程序)完成分发和还原。

附图说明

图1是根据本发明实施例的一种门限秘密信息分配装置结构示意图；

图2是根据本发明实施例的一种门限秘密信息还原装置结构示意图；

图3是根据本发明实施例的一种门限秘密信息分配方法流程图；

图4是图3中方案为(k＝2，n＝4，p＝5)时秘密分发的图形表示；

图5是根据本发明实施例的一种门限秘密信息还原方法流程图。

具体实施方式

本发明提出的门限秘密信息分配、还原装置及方法，结合附图和实施例说明如下。

如图1所示，为本发明的门限秘密信息分配装置，该装置包括：秘密信息分割装置，用于将所述秘密信息

(如高考试卷)分割成p-1份：s₀，s₁，s₂，…，s_p-2，并设置秘密信息向量 p为大于或等于n-1的素数，优选分割方式为等长均分；随机信息串产生装置，用于产生(k-1)×(p-1)个随机信息串r_i，l，并设置随机串信息向量组其中，0≤i≤p-2，l1＝l＝0，1，…，k-2，k≤n，随机信息串优选为长度与等长均分后发每个s_i相等且包含为0和1的随机串；运算矩阵产生装置，用于产生一个运算矩阵H_{(n-k+1)×(n+1)}，所述H_{(n-k+1)×(n+1)}为(n-k+1)×(n+1)个块的只包含0和1的二元分块矩阵，每块为(p-1)×(p-1)的矩阵，该矩阵优选为以单位块矩阵及其循环置换矩阵为子块构成的类范德蒙矩阵，最后构成由0和1组成的(n-k+1)(p-1)×(n+1)(p-1)的二元矩阵；该矩阵不必保密可以公开。信息份额产生装置，用于根据所述

和H_{(n-k+1)×(n+1)}计算出向量组

其中，l2＝k-1，k，…，n-1，将

和组成n个信息份额

并通过秘密信道发送给n个不同的参与者，或者参与者自己选择持有的份额。

如图2所示，为本发明的门限秘密信息还原装置，该装置在已知上述分配装置产生的至少任意k个不同的信息份额时，可将秘密信息

还原，具体包括：还原矩阵产生装置，用于产生上述运算矩阵H_{(n-k+1)×(n+1)}，即该矩阵和分配装置产生的矩阵完全相同，且必须相同；信息份额还原装置，用于根据所述k个信息份额

和还原矩阵H_{(n-k+1)×(n+1)}还原s₀，s₁，s₂，…s_p-2，

组成向量组

({\overset{&RightArrow;}{c}}_{0}, \cdot \cdot \cdot, {\overset{&RightArrow;}{c}}_{t 1}, \cdot \cdot \cdot, {\overset{&RightArrow;}{c}}_{t 2}, \cdot \cdot \cdot, {\overset{&RightArrow;}{c}}_{tk}, {\overset{&RightArrow;}{c}}_{tk + 1}, \cdot \cdot \cdot, {\overset{&RightArrow;}{c}}_{n}),

该向量组和还原矩阵H_{(n-k+1)×(n+1)}的转置矩阵做内积运算，使内积的结果全为0，计算出向量

从而还原s₀，s₁，s₂，…s_p-2，其中，0≤t1，t2，…tk，tk+1≤n-1；秘密信息组合装置，用于将所述s₀，s₁，s₂，…s_p-2按分割时的顺序组合成秘密信息

本发明还公开了一种门限秘密信息分配方法，该方法将一秘密信息

分配成n个信息份额，当至少需要有任意k(k≤n)个信息份额才能还原秘密信息如图3所示，同样以高考试卷为例进行说明。

步骤S101，将所述秘密信息

分割成p-1份，s₀，s₁，s₂，…s_p-2，所述p为大于等于n-1的素数。高考试卷作为秘密信息，在本发明的门限秘密信息分配装置中以向量的形式存储，记为

按上述步骤将分割成p-1份，即s₀，s₁，s₂，…s_p-2。同时设置一个秘密信息向量

为了达到理想的秘密信息分配方案，本实施例中采用等长均分段方式，即每份s_i(0≤i≤p-2)长度为d bit，

若不能整除，则可在末位补0。

步骤S102，产生(k-1)×(p-1)个随机信息串r_i，l，同时设置一个随机串信息向量组

(共有k-1个向量)，其中，0≤i≤p-2，l1＝l＝0，1，…，k-2，其中r_i，l＝{0，1}^d，即为包含0和1的随机数串，其每个r_i，l长度与s_i相同。

步骤S103，产生一个运算矩阵H_{(n-k+1)×(n+1)}，所述H_{(n-k+1)×(n+1)}为(n-k+1)×(n+1)个块的二元分块矩阵，每块为(p-1)×(p-1)的矩阵，该矩阵不必保密可以公开。具体产生方式为：

定义循环置换矩阵

当a＝(b+u)mod p时e_a，b取值为1，否则为0，其中0≤u≤p-1，0≤b≤p-1，关于循环置换矩阵及其代数的定理的详细证明可以参考[9]；

将去掉最后一行和最后一列得到

其中m＝p-1；

将

和单位矩阵I_m组合成二元运算矩阵H_{(n-k+1)×(n+1)}(类范德蒙矩阵)如下：

当p≥n时，H_{(n-k+1)×(n+1)}还可以为：

当p≥n+1时，H_{(n-k+1)×(n+1)}还可以为：

由此可见，矩阵H_{(n-k+1)×(n+1)}的代数描述类似范德蒙矩阵，它是一个具有(n-k+1)×(n+1)块的分块矩阵，每块是m×m的子矩阵，所以实际上H是一个(n-k+1)m×(n+1)m的矩阵。

步骤S104，根据所述和H_{(n-k+1)×(n+1)}计算出向量组 (共有n-k+1个向量)，其中，l2＝k-1，k，…，n-1，具体计算方式为：将

和

组成n个信息份额并连同

组成向量组

{\overset{&RightArrow;}{c}}_{0}, {\overset{&RightArrow;}{c}}_{1}, {\overset{&RightArrow;}{c}}_{2}, \cdot \cdot {\overset{&RightArrow;}{c}}_{n - 1}, {\overset{&RightArrow;}{c}}_{n},

计算公式如下：

({\overset{&RightArrow;}{c}}_{0}, {\overset{&RightArrow;}{c}}_{1}, {\overset{&RightArrow;}{c}}_{2}, \cdot \cdot {\overset{&RightArrow;}{c}}_{n - 1}, {\overset{&RightArrow;}{c}}_{n}) \times H_{(n - k + 1) (n + 1)}^{T} = \overset{&RightArrow;}{0} - - - (1)

其中，表示

中前k-1个向量(l1＝l＝0，1，…，k-2)，

为

中的后n-k+1个所求的未知向量(l2＝k-1，k，…，n-1)，根据上述计算公式(1)可解出从而生成n个信息份额，并将这n个信息份额通过秘密信道发送给n个不同的参与者。乘号“×”在向量之间的操作为内积运算，群

即元素为长度为d bit的二进制串(包含0和1的串)，内积操作定义为：令是像

这样的交换群，0是其单位元。令g∈G，h∈{0，1}，定义：h×g＝g×h＝g(if h＝1)|0(if h＝0)，再令

是G中的向量，

是{0，1}中的向量，定义群上的向量与GF(2)上向量的内积：

\overset{&RightArrow;}{w} \times \overset{&RightArrow;}{v} = \overset{&RightArrow;}{v} \times \overset{&RightArrow;}{w} = (w_{0} \times v_{0}) &CirclePlus; (w_{1} \times v_{1}) &CirclePlus; \cdot \cdot \cdot &CirclePlus; (w_{n - 1} \times v_{n - 1}),

由定义可见，整个内积的计算只用XOR操作即可完成。

如考虑(k＝2，n＝4)的方案，即将上述高考试卷的信息分成4个信息份额，至少需要任意2个信息份额时，即可还原。当n＝4时，则素数p可取值为5，将试卷信息

分成4份：(s₀，s₁，s₂，s₃)，并设置一个秘密信息向量

生成(2-1)×(5-1)＝4个与s_i长度相同的包含0和1的随机数串(r_0，0，r_1，0，r_2，0，r_3，0)，并设置一个随机串信息向量

根据步骤S103中的二元运算矩阵的产生方法，产生

如下：

I_{5} = [\begin{matrix} 1 & 0 & 0 & 0 & 0 \\ 0 & 1 & 0 & 0 & 0 \\ 0 & 0 & 1 & 0 & 0 \\ 0 & 0 & 0 & 1 & 0 \\ 0 & 0 & 0 & 0 & 1 \end{matrix}]

E_{5} = [\begin{matrix} 0 & 0 & 0 & 0 & 1 \\ 1 & 0 & 0 & 0 & 0 \\ 0 & 1 & 0 & 0 & 0 \\ 0 & 0 & 1 & 0 & 0 \\ 0 & 0 & 0 & 1 & 0 \end{matrix}]

E_{5}^{2} = [\begin{matrix} 0 & 0 & 0 & 1 & 0 \\ 0 & 0 & 0 & 0 & 1 \\ 1 & 0 & 0 & 0 & 0 \\ 0 & 1 & 0 & 0 & 0 \\ 0 & 0 & 1 & 0 & 0 \end{matrix}]

E_{5}^{3} = [\begin{matrix} 0 & 0 & 1 & 0 & 0 \\ 0 & 0 & 0 & 1 & 0 \\ 0 & 0 & 0 & 0 & 1 \\ 1 & 0 & 0 & 0 & 0 \\ 0 & 1 & 0 & 0 & 0 \end{matrix}]

E_{5}^{4} = [\begin{matrix} 0 & 1 & 0 & 0 & 0 \\ 0 & 0 & 1 & 0 & 0 \\ 0 & 0 & 0 & 1 & 0 \\ 0 & 0 & 0 & 0 & 1 \\ 1 & 0 & 0 & 0 & 0 \end{matrix}]

由于此时p≥n+1，当然满足p≥n和p≥n-1的条件，可以采用上述三种二元运算矩阵H_{(n-k+1)×(n+1)}任意一种，此处以第三种二元运算矩阵H_{(n-k+1)×(n+1)}为例，根据上述第三种类范德蒙矩阵，产生的矩阵H_3×5如下：

根据公式(1)，得到以下计算方程：

({\overset{&RightArrow;}{c}}_{0}, {\overset{&RightArrow;}{c}}_{1}, {\overset{&RightArrow;}{c}}_{2}, {\overset{&RightArrow;}{c}}_{3}, {\overset{&RightArrow;}{c}}_{4}) \times {[\begin{matrix} I_{m} & I_{m} & I_{m} & I_{m} & I_{m} \\ I_{m} & E_{m}^{1} & E_{m}^{2} & E_{m}^{3} & E_{m}^{4} \\ I_{m} & E_{m}^{2} & E_{m}^{4} & E_{m}^{1} & E_{m}^{3} \end{matrix}]}^{T} = \overset{&RightArrow;}{0}

其中，

为所求未知向量，如下表所示：

表1

的向量模式

在求解时可以进行移项处理，如以下公式所示，其中

的计算在编码领域也成为伴随式计算(the syndrome computation)。由此可见，整个计算只需要XOR计算。

({\overset{&RightArrow;}{c}}_{1}, {\overset{&RightArrow;}{c}}_{2}, {\overset{&RightArrow;}{c}}_{3}) \times {[\begin{matrix} I_{m} & I_{m} & I_{m} \\ E_{m}^{1} & E_{m}^{2} & E_{m}^{3} \\ E_{m}^{2} & E_{m}^{4} & E_{m}^{1} \end{matrix}]}^{T} = ({\overset{&RightArrow;}{c}}_{0}, {\overset{&RightArrow;}{c}}_{4}) \times {[\begin{matrix} I_{m} & I_{m} \\ I_{m} & E_{m}^{4} \\ I_{m} & E_{m}^{3} \end{matrix}]}^{T} = ({\overset{&RightArrow;}{y}}_{0}, {\overset{&RightArrow;}{y}}_{1}, {\overset{&RightArrow;}{y}}_{2})

下一步，再计算

计算公式如下：

\begin{matrix} ({\overset{&RightArrow;}{c}}_{1}, {\overset{&RightArrow;}{c}}_{2}, {\overset{&RightArrow;}{c}}_{3}) = ({\overset{&RightArrow;}{y}}_{0}, {\overset{&RightArrow;}{y}}_{1}, {\overset{&RightArrow;}{y}}_{2}) \times {[\begin{matrix} I_{m} & I_{m} & I_{m} \\ E_{m}^{1} & E_{m}^{3} & E_{m}^{3} \\ E_{m}^{2} & E_{m}^{4} & E_{m}^{1} \end{matrix}]}^{- 1 T} = \\ (y_{0,0}, y_{1,0}, y_{2,0}, y_{3,0}, y_{0,1}, y_{1,1}, y_{2,1}, y_{3,1}, y_{0,2}, y_{1,2}, y_{2,2}, y_{3,2}) \times {[\begin{matrix} 0 & 0 & 1 & 1 & 1 & 1 & 0 & 1 & 1 & 1 & 0 & 0 \\ 0 & 1 & 0 & 1 & 0 & 1 & 0 & 0 & 1 & 0 & 1 & 0 \\ 1 & 0 & 0 & 1 & 1 & 1 & 1 & 1 & 1 & 0 & 0 & 1 \\ 0 & 1 & 1 & 1 & 0 & 1 & 0 & 1 & 0 & 1 & 1 & 1 \\ 0 & 1 & 0 & 1 & 0 & 1 & 1 & 0 & 1 & 0 & 1 & 0 \\ 0 & 1 & 1 & 1 & 0 & 1 & 0 & 1 & 1 & 1 & 1 & 1 \\ 1 & 1 & 1 & 0 & 1 & 0 & 1 & 1 & 0 & 0 & 1 & 0 \\ 0 & 1 & 0 & 1 & 1 & 1 & 0 & 0 & 1 & 0 & 1 & 1 \\ 1 & 1 & 1 & 0 & 1 & 0 & 1 & 1 & 0 & 1 & 1 & 0 \\ 0 & 1 & 1 & 0 & 0 & 0 & 0 & 1 & 0 & 1 & 0 & 1 \\ 0 & 1 & 0 & 1 & 0 & 1 & 0 & 0 & 1 & 0 & 1 & 1 \\ 0 & 0 & 1 & 1 & 1 & 0 & 0 & 1 & 1 & 1 & 0 & 0 \end{matrix}]}^{T} \end{matrix}

上述计算中需要在GF(2)中求矩阵的逆，显然这个逆矩阵也是一个二元矩阵，所以整个计算也是XOR完成。最后将步骤S102随机产生的向量

连同刚刚计算出来的

这4个分享份额通过秘密信道发送给n个参与者，或者参与者自己选择持有的份额。完成分享份额的产生和分发过程。

上述门限秘密信息分配方法的效果可以用图4来解释，将(k-1)×(p-1)个d(bit)的随机串r_i，l连同p-1个d(bit)的s_i放入一个p×(n+1)的阵列中，其中随机串r_i，l(0≤l≤k-2)依次放到前(k-1)列，最后把p-1份s₀，s₁，s₂，…s_p-2放入最后一列，即第n+1列。此外再假设所有在(k-1)列和n+1列中间的列为未知列(即每个元素都是未知量，需要计算出来的)。整个阵列满足的条件是：沿着从0到n-k的n-k+1种不同的斜率直线，所过结点的异或和全为0。即沿着p-1条同样斜率直线的异或和都为0。注意这里的下标计算是在有限域GF(p)中进行的，所以图4中的b，c都是同样的a阵列垒起来的。信息分发者计算完成后，将这阵列中的前n列的信息(即包含k-1个生成的随机数列(columns)，以及后来计算出来的n-k+1列的信息)作为n个共享份额

(0≤l≤n-2)，通过秘密信道送给n个参与者，完成秘密分发的过程。图4为本发明的方案为(k＝2，n＝4，p＝5)时秘密分发的图形表示。

本发明的门限秘密信息还原方法如图5所示，当至少同时已知上述分配方法所述k个信息份额时，还原所述秘密信息同样以高考试卷信息

为例，包括以下步骤：

步骤S201，产生一个和分配时运算矩阵一样的H_{(n-k+1)×(n+1)}，所述H_k×n为(n-k+1)×(n+1)个块的二元分块矩阵，每块为(p-1)×(p-1)的矩阵，，该矩阵和秘密信息分配时产生的矩阵(p≥n-1、p≥n和p≥n+1时的三种矩阵之一)完全相同。

步骤S202，根据所述高考试卷信息

的k个信息份额

和还原矩阵H_{(n-k+1)×(n+1)}还原s₀，s₁，s₂，…s_p-2，其中，0≤t1，t2，…tk≤n-1。具体计算方式与分配方法中的计算方式相同，即利用公式(1)，只不过此时将已知的k个信息份额

代入(1)式左边的

相应的向量，而s₀，s₁，s₂，…s_p-2作为其中一个未知向量来求解。

步骤S203，将所述解出的s₀，s₁，s₂，…s_p-2按分割时的顺序组合成高考试卷的秘密信息

由上述秘密信息分配和还原的方法可看出，二者计算公式一样，所用的矩阵H_{(n-k+1)×(n+1)}也相同，即分配和还原方法的本质是一样的，因此，本发明的门限秘密信息分配装置和还原装置，可以用一个装置(即门限秘密信息分配装置)来实现，只是在做分配和还原时所知的向量不一样。

以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定。

Claims

1.一种门限秘密信息分配方法，所述方法将一秘密信息

分成n个信息份额，其特征在于，包括以下步骤：

S101：将所述秘密信息

分割成p-1份：s₀,s₁,s₂,…,s_p-2，并设置秘密信息向量

p为大于或等于n-1的素数；

S102：产生(k-1)×(p-1)个随机信息串r_i，l，其长度与

分割后的每一份长度相同，并设置随机串信息向量组

其中，0≤i≤p-2，l1=l=0,1,…,k-2，k≤n；

S103：产生一个运算矩阵H_{(n-k+1)×(n+1)}，所述H_{(n-k+1)×(n+1)}为(n-k+1)×(n+1)个块的二元分块矩阵，每块为(p-1)×(p-1)的矩阵，其中二元运算矩阵H_{(n-k+1)×(n+1)}产生方式为：

定义循环置换矩阵当a=(b+u)modp时e_a,b取值为1，否则为0，其中0≤u≤p-1，0≤b≤p-1；

将

去掉最后一行和最后一列得到

其中m=p-1；

将

和单位矩阵I_m组合成二元运算矩阵H_{(n-k+1)×(n+1)}如下：

S104：根据所述

和H_{(n-k+1)×(n+1)}计算出向量组

其中，l2=k-1,k,…,n-1，将

和

组成n个信息份额

并通过秘密信道发送给n个不同的参与者，计算向量组

的方式如下：

随机串信息向量组

所求的未知向量组和秘密信息向量

组成向量组

所述向量组与所述H_{(n-k+1)×(n+1)}的转置矩阵作内积，使内积的结果全为0，计算出

2.如权利要求1所述的门限秘密信息分配方法，其特征在于，所述步骤S101中将所述秘密信息

平均分割成p-1份。

3.如权利要求2所述的门限秘密信息分配方法，其特征在于，所述随机信息串r_i，l为包含0和1的随机串。

4.如权利要求1所述的门限秘密信息分配方法，其特征在于，当p≥n时，所述产生的二元运算矩阵H_{(n-k+1)×(n+1)}为：

或

5.如权利要求1所述的门限秘密信息分配方法，其特征在于，当p≥n+1时，所述产生的二元运算矩阵H_{(n-k+1)×(n+1)}为：

或

6.一种门限秘密信息还原方法，所述方法当至少同时已知权利要求1所述的k个信息份额时，还原所述秘密信息

其特征在于，包括以下步骤：

S201：产生二元运算矩阵H_{(n-k+1)×(n+1)}作为还原矩阵，其中二元运算矩阵H_{(n-k+1)×(n+1)}产生方式为：

定义循环置换矩阵

将

去掉最后一行和最后一列得到

其中m=p-1；

将

和单位矩阵I_m组合成二元运算矩阵H_{(n-k+1)×(n+1)}如下：

S202：根据所述k个信息份额

组成向量组

该向量组和还原矩阵H_(n-k+1)×(n+ ₁₎的转置矩阵做内积运算，使内积的结果全为0，计算出

从而还原s₀,s₁,s₂,…s_p-2，其中，0≤t1,t2,…tk,tk+1≤n-1；

7.一种门限秘密信息分配装置，用于将秘密信息分为n个信息份额，其特征在于，包括：

秘密信息分割装置，用于将所述秘密信息分割成p-1份：s₀,s₁,s₂,…,s_p-2，并设置秘密信息向量p为大于或等于n-1的素数；

随机信息串产生装置，用于产生(k-1)×(p-1)个随机信息串r_i，l，并设置随机串信息向量组其中，0≤i≤p-2，l1=l＝0,1,…,k-2，k≤n；

定义循环置换矩阵

将

去掉最后一行和最后一列得到其中m=p-1；

将

和单位矩阵I_m组合成二元运算矩阵H_{(n-k+1)×(n+1)}如下：

信息份额产生装置，用于根据所述

和H_{(n-k+1)×(n+1)}计算出向量组

其中，l2=k-1,k,…,n-1，将

和

组成n个信息份额

并通过秘密信道发送给n个不同的参与者，计算向量组

的方式如下：

随机串信息向量组

所求的未知向量组

和秘密信息向量组成向量组

所述向量组

8.一种门限秘密信息还原装置，用于当至少同时已知权利要求7所述k个信息份额时，还原所述秘密信息

其特征在于，包括：

定义循环置换矩阵

=(e_a,b)_p×p，当a=(b+u)modp时e_a,b取值为1，否则为0，其中0≤u≤p-1，0≤b≤p-1；

将去掉最后一行和最后一列得到

其中m=p-1；

将

和单位矩阵I_m组合成二元运算矩阵H_{(n-k+1)×(n+1)}如下：

信息份额还原装置，用于根据所述k个信息份额

组成向量组该向量组和还原矩阵H_{(n-k+1)×(n+1)}的转置矩阵做内积运算，使内积的结果全为0，计算出从而还原s₀,s₁,s₂,…s_p-2，其中，0≤t1,t2,…tk,tk+1≤n-1；

秘密信息组合装置，用于将所述s₀,s₁,s₂,…s_p-2按分割时的顺序组合成秘密信息