CN104301103A - 基于环Zn圆锥曲线公钥密码体制的多重密码恢复方法 - Google Patents

Abstract

本发明涉及一种基于环Zn圆锥曲线公钥密码体制的多重密码恢复方法。该多重密码恢复方法包括以下步骤：初始化步骤：设置基于环Zn圆锥曲线C_n(a，b)的密码参数；秘密分配步骤：设将多秘密集合S分成不同的v个等级，每个等级中有w_j个秘密，设置同一个等级的多秘密集合S中的子秘密集合S_j使得至少t_j个秘密共享者合作才能重构该子秘密集合S_j，由点(1，S_j1)，(2，S_j2)，...， 共w_j+m个点通过如下w_j+m-1阶多项式获取子秘密集合所对应的所有信息R_j和点(m+w_j-t_j)的值并将其公布在公告牌NB上，

Description

基于环Zn圆锥曲线公钥密码体制的多重密码恢复方法

技术领域

本发明属于信息安全技术领域，具体涉及一种基于环Zn圆锥曲线公钥密码体制的多重密码恢复方法。

背景技术

秘密共享是一种将秘密分割存储的密码技术，该技术的目的是阻止秘密过于集中，从而达到分散风险和容忍入侵的目的，是信息安全和数据保密中的重要手段，尤其是在防止重要信息和秘密数据的丢失、毁坏、被恶意修改或被不法分子利用中起着非常关键的作用。秘密共享的基本思想就是将秘密以适当的方式拆分，拆分后的每一个份额由不同的参与者管理，单个参与者无法恢复秘密信息，只有若干个参与者一同协作才能恢复秘密消息。更重要的是，当其中一定级别的参与者出现问题而无法参与协作时，秘密仍可以完整恢复。利用这种秘密共享体制保管秘密时，一方面有利于防止权力过分集中以致被滥用，另一方面，由于攻击者必须获得足够多的子秘密才能恢复出共享秘密，而这往往非常困难。特别是有些子秘密由于人为因素或自然灾害等而遭到破坏时，其他的子秘密持有者联合仍可恢复出共享秘密，由此保证共享秘密的安全性和完整性。因此秘密共享体制在密钥管理、数据安全、银行网络管理以及导弹控制与发射等方面具有非常广泛的应用。此外，秘密共享体制与数字签名、身份认证以及其他密码技术的结合可形成具有广泛应用价值的密码算法和安全协议，由此进一步拓宽了秘密共享体制的应用领域。因此秘密共享体制的研究不但具有很重要的理论意义，而且在我国经济和社会各个领域都具有非常广阔的应用前景。

自1979年密码共享的概念被提出来，人们在秘密共享理论和秘密共享技术与应用方面取得了丰硕的成果。如基于Diffie-Hellman密码体制的秘密共享方案、基于椭圆曲线密码体制的秘密共享方案、基于圆锥曲线密码体制的秘密共享方案、基于中国剩余定理的秘密共享方案等。但是，这些方案存在如下缺陷：在共享过程中，一次秘密共享只能共享一个秘密，当秘密被重构后，每个参与者的秘密份额同时也会被披露，如果要共享另一个秘密，秘密分发者必须为每个参与者分配新的秘密份额。但是，在密钥分发过程中并不能防止密钥分发者对参与者的欺骗，即参与者不能验证其秘密份额的真实性，另外，密钥重构过程中也不能防止不诚实的参与者对密钥重构者的欺骗，即密钥重构者不能验证重构信息的真实性。并且，密钥被重构后，秘密分发者要重新分发子密钥给参与者，即参与者的子秘密只能使用一次。为此现有技术中提出了多种解决方案，但是这些解决方案大都要求分发者和各参与者成员之间有秘密信道，以便分发共享秘密，这样就降低了方案的适用范围。因此，急需一种基于环Zn圆锥曲线公钥密码体制的多重密码恢复方法，以解决现有技术中存在的上述问题。

发明内容

为了解决现有技术存在的上述问题，本发明提供了一种基于环Zn圆锥曲线公钥密码体制的多重密码恢复方法。采用这种多重密码恢复方法安全性高、实用性强。

本发明所采用的技术方案为：

一种基于环Zn圆锥曲线公钥密码体制的多重密码恢复方法，其包括以下步骤：

初始化步骤：设置基于环Zn圆锥曲线C_n(a，b)的密码参数，根据所述密码参数在公告牌NB上公布秘密共享者的身份信息{ID_i，y_i}；

秘密分配步骤：设 $S=\{s_{11},s_{12},...,s_{{1w}_j},...,s_{v1},s_{v2},...,s_{{\mathrm{vw}}_v}\},$ 其中s_jk∈C_n(a，b)，将多秘密集合S分成不同的v个等级，每个等级中可以有w_j个秘密，设置同一个等级的多秘密集合S中的子秘密集合S_j使得至少t_j个秘密共享者合作才能重构所述子秘密集合S_j，由点(1，S_j1)，(2，S_j2)，...， 共w_j+m个点通过如下w_j+m-1阶拉格朗日插值多项式获取所述子秘密集合S_j所对应的的所有信息R_j和点(m+w_j-t_j)的值并将其公布在公告牌NB上，

$\begin{array}{c}{f}_j\left(x\right)=(\underset{k=1}{\overset{w_j}{\mathrm{\Σ}}}{S}_{\mathrm{jk}}\underset{l=1,l\≠k}{\overset{w_j}{\mathrm{\Π}}}\frac{x-l}{k-l}\underset{i=1}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_i}{k-{\mathrm{ID}}_i}+\underset{l=1,}{\overset{m}{\mathrm{\Σ}}}{y}_i^{r_j}\underset{l=1,l\≠i}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_l}{{\mathrm{ID}}_i-{\mathrm{ID}}_l}\underset{k=1}{\overset{w_j}{\mathrm{\Π}}}\frac{x-k}{{\mathrm{ID}}_i-k})\mathrm{mod}n\\ =(a_0+a_{1}x+a_2{x}^2+...+a_{m+w_j-1}{x}^{m+w_j-1})\mathrm{mod}n\end{array};$

秘密重构步骤：所述子秘密集合S_j所对应的所有的所述信息R_j获取验证后，将所述w_j+m个点的值带入所述w_j+m-1阶拉格朗日插值多项式恢复所述子秘密集合S_j中的单个密钥S_jk，并且根据获得相应的所有密钥。

优选地，在初始化步骤中包括构造所述密码参数的步骤：秘密管理分配中心SMDC选择两个大的奇素数P，q，计算n＝pq；然后选择参数a和b，构造

圆锥曲线C_n(a，b)，确定其基点G及其阶N_n；接着选择单向函数H()，将所述密码参数a，b，C_n(a，b)，G，N_n，n及H()放入公告牌牌NB。

优选地，所述初始化步骤中还包括：构造所述密码参数步骤之后的获取所述秘密共享者的信息y_i的步骤：所述秘密共享者P_i随机选择任一整数x_i为共享子密钥，并且保证2＜x_i＜N_n，通过公式获取信息y_i，所述秘密共享者P_i保密整数x_i并将信息y_i发送给所述秘密管理分配中心SMDC，所述秘密管理分配中心SMDC接收所述信息y_i，并且判断所有的所述秘密共享者的信息y_i是否有重复，若有重复则重新获取整数x_i，直到信息y_i没有重复，执行下一步；公告秘密共享者信息y_i的步骤：秘密管理分配中心SMDC从[1，m]中为所有的所述秘密共享者选取互不相同的整数ID_i作为他的身份标识，其中m为秘密共享者的数目，然后所述秘密管理分配中心SMDC在所述公告牌牌NB上公布所有的所述秘密共享者的身份信息{ID_i，y_i}。

优选地，所述秘密分配步骤中包括：第一步骤：所述秘密管理分配中心SMDC随机选取一个整数r_j∈C_n(a，b)，计算第二步骤：由(1，S_j1)，(2，S_j2)...， 共w_j+m个点构造如下的所述w_j+m-1阶拉格朗日插值多项式：

$\begin{array}{c}{f}_j\left(x\right)=(\underset{k=1}{\overset{w_j}{\mathrm{\Σ}}}{S}_{\mathrm{jk}}\underset{l=1,l\≠k}{\overset{w_j}{\mathrm{\Π}}}\frac{x-l}{k-l}\underset{i=1}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_i}{k-{\mathrm{ID}}_i}+\underset{l=1,}{\overset{m}{\mathrm{\Σ}}}{y}_i^{r_j}\underset{l=1,l\≠i}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_l}{{\mathrm{ID}}_i-{\mathrm{ID}}_l}\underset{k=1}{\overset{w_j}{\mathrm{\Π}}}\frac{x-k}{{\mathrm{ID}}_i-k})\mathrm{mod}n\\ =(a_0+a_{1}x+a_2{x}^2+...+a_{m+w_j-1}{x}^{m+w_j-1})\mathrm{mod}n\end{array};$

第三步骤：所述秘密管理分配中心SMDC计算{f_j(m+w_j+1)，f_j(m+w_j+2)，…，f_j(m+w_j+(m+w_j-t_j))}共(m+w_j-t_j)个点的值，并将所述秘密共享的所述多秘密S_jk的所述信息R_j和所述(m+w_j-t_j)个点的值公布在所述公告牌NB上。

优选地，所述秘密重构步骤中包括，设定P中要重构子秘密集合S_j的t_j个成员的集合W，执行如下步骤：步骤一：所述秘密共享者P_i∈W从所述公告牌NB上获取所述信息R_j，并计算再随机选取一个整数d_i∈C_n(a，b)，计算： $C_{\mathrm{ji}}=H(G,R_j,y_i,A_{\mathrm{ji}},G^{d_i},R_j^{d_i}),$ B_ji＝d_i+x_iC_jimod n，将{A_ji，B_ji，C_ji}发送给所述秘密恢复者SR；步骤二：所述秘密恢复者SR收到所述集合W中所有成员的{A_ji，B_ji，C_ji}后，验证等式： $C_{\mathrm{ji}}=H(G,R_j,y_i,A_{\mathrm{ji}},G^{B_{\mathrm{ji}}}{y}_i^{{-C}_{\mathrm{ji}}},R_j^{B_{\mathrm{ji}}}{A}_{\mathrm{ji}}^{{-C}_{\mathrm{ji}}})$ 是否成立。若成立，则表示所述秘密共享者提供的{A_ji，B_ji，C_ji}有效；若不成立，则要求所述秘密共享者重发{A_ji，B_ji，C_ji}，直到上述等式成立，执行下一步骤，否则执行出错处理；步骤三：所述秘密恢复者SR从所述公告牌NB上获取t_j个点(ID_i，A_ji)，其中i∈W，并且获取所述子秘密集合S_j的其他的公开信息{f_j(m+w_j+1)，f_j(m+w_j+2)，…，f_j(m+w_j+(m+w_j-t_j))}，以得出如下点值：

{(m+w_j+1，f_j(m+w_j+1))，(m+w_j+2，f_j(m+w_j+2))，...，(m+w_j+(m+w_j-t_j)，f_j(m+w_j+(m+w_j-t_j)))}，共(m+w_j-t_j)个点。

优选地，采用(X_i，Y_i)表示所述m+w_j个点的坐标值，其中，i＝1，2，…，m+w_j，将所述m+w_j个点的数值对带入所述w_j+m-1阶拉格朗日插值多项式以通过如下表达式恢复出所述单个密钥S_jk，其中，j＝1，2，…，v，k＝1，2，…，w_j，

$S_{\mathrm{jk}}=f_j\left(k\right)=\underset{i=1}{\overset{m+w_j}{\mathrm{\Σ}}}{Y}_i\underset{l=1,l\≠i}{\overset{m+w_j}{\mathrm{\Σ}}}\frac{k-X_l}{X_i-X_l}\mathrm{mod}n$

然后根据得到相应的所有密钥。

优选地，所述秘密重构步骤之前还包括添加新共享成员步骤，新共享成员P_m+1随机选择任一整数x_m+1作为新共享子密钥，且保证2＜x_m+1＜N_n，计算新成员p_m+1保密整数x_m+1并将信息y_m+1发送给所述秘密管理分配中心SMDC，所述秘密管理分配中心SMDC接收所述新共享成员P_m+1的信息y_m+1并且判断信息y_m+1是否与原有成员的信息y_i重复，若有重复则新成员P_m+1重新选择整数x_m+1，直至不重复时，秘密管理分配中心SMDC为新共享成员P_m+1设置身份标识ID_m+1，然后所述秘密管理分配中心SMDC在所述公告牌NB公告所述新共享成员P_m+1的身份信息(ID_m+1，y_m+1)；并且所述秘密管理分配中心SMDC执行所述秘密分配步骤将所述新共享成员所对应的信息R_j和该点的值公布在公告牌NB上。

优选地，所述密码重构步骤之前还包括删减原有共享成员P_i的步骤，所述秘密管理分配中心SMDC根据需删减的原有共享成员P_i的身份信息执行所述共享秘密分配步骤中的第二步骤和第三步骤，将公布在公告牌NB上原有共享成员P_i相关的信息R_j和该点的值进行相应的更新操作。

优选地，所述密码重构步骤之前还包括秘密更新步骤，具体为重新执行一次秘密分配步骤，以将所述子秘密集合S_j所对应的新的所有信息R_j和所对应的(m+w_j-t_j)个点的值公布在所述公告牌NB上。

本发明的有益效果为：对于任一需要重构的子秘密集合S_j，任意t_j个成员联合便可成功恢复，而少于t_j个秘密共享者，则不能得到子秘密集合S_j的任何信息。由上述w_j+m-1阶拉格朗日插值多项式可知，要重构该式，必须要知道m+w_j个满足方程Y_i＝f_j(X_i)的不同点(X_i，Y_i)，从秘密分配步骤可知，公告牌NB上已经公布了(m+w_j-t_j)个符合条件的点，再需要t_j个不同于已知的点才可重构该多项式f_j(x)。例如，如果恢复者已经得到了t_j-1个秘密共享者的信息，也就是说他已经获得了另外t_j-1个符合条件的点，这就意味着他再获得一个符合条件的点，他就可以恢复出多项式f_j(x)，继而恢复出子秘密集合S_j。但是，整数x_i是秘密共享者自己选取且保密的，基于圆锥曲线离散对数的困难性，又由秘密分配步骤的 $R_j=G^{r_j}\mathrm{mod}n,$ 秘密重构步骤的 $A_{\mathrm{ji}}=R_j^{x_i}\mathrm{mod}n$ 及B_ji＝d_i+x_iC_jimod n可知，除了秘密管理分配中心SMDC和秘密共享者P_i之外任何人都无法获取{A_ji，B_ji，C_ji}，也就是说他无法构造出多项式f_j(x)，即他无法计算出S_jk，相应地也无法恢复出子秘密集合S_j，由此提高了秘密共享的安全性。

具体实施方式

本发明提供的基于环Zn圆锥曲线公钥密码体制的多重密码恢复方法包括初始化步骤、秘密分配步骤以及秘密恢复步骤。下面将详细地描述本发明的多重密码恢复方法及其各个步骤。

需要说明的是，本申请中的多密码恢复方法涉及的用户包括秘密管理分配中心SMDC，负责共享秘密的管理和分配；秘密共享者集合P＝{P₁，P₂，…，P_m}，可以共享秘密管理中心SMDC分配的共享秘密；公告牌NB，用于存放公开的参数或数据，所有用户均可以访问公告牌NB上的信息，但只有秘密管理分配中心SMDC可以修改或更新其公告牌上的内容；秘密恢复者SR，其收到秘密共享者的合法信息后，负责恢复密钥。

本申请的多重密码恢复方法包括的初始化步骤：设置基于环Zn圆锥曲线C_n(a，b)的密码参数，根据密码参数在公告牌NB上公布秘密共享者的身份信息{ID_i，y_i}；

秘密分配步骤：设 $S=\{s_{11},s_{12},...,s_{{1w}_j},...,s_{v1},s_{v2},...,s_{{\mathrm{vw}}_v}\},$ 其中s_jk∈C_n(a，b)，将多秘密集合S分成不同的v个等级，每个等级中可以有w_j个秘密，设置同一个等级的多秘密集合S中的子秘密集合S_j使得至少t_j个秘密共享者合作才能重构该子秘密集合S_j，由点(1，S_j1)，(2，S_j2)，...， 共w_j+m个点通过如下w_j+m-1阶拉格朗日插值多项式获取子秘密集合S_j所对应所有信息R_j和点(m+w_j-t_j)的值并将其公布在公告牌NB上，

$\begin{array}{c}{f}_j\left(x\right)=(\underset{k=1}{\overset{w_j}{\mathrm{\Σ}}}{S}_{\mathrm{jk}}\underset{l=1,l\≠k}{\overset{w_j}{\mathrm{\Π}}}\frac{x-l}{k-l}\underset{i=1}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_i}{k-{\mathrm{ID}}_i}+\underset{l=1,}{\overset{m}{\mathrm{\Σ}}}{y}_i^{r_j}\underset{l=1,l\≠i}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_l}{{\mathrm{ID}}_i-{\mathrm{ID}}_l}\underset{k=1}{\overset{w_j}{\mathrm{\Π}}}\frac{x-k}{{\mathrm{ID}}_i-k})\mathrm{mod}n\\ =(a_0+a_{1}x+a_2{x}^2+...+a_{m+w_j-1}{x}^{m+w_j-1})\mathrm{mod}n\end{array}---\left(1\right)$

秘密重构步骤：根据子秘密集合S_j所对应的所有的的信息R_j获取验证后，将w_j+m个点的值带入上述公式(1)的w_j+m-1阶拉格朗日插值多项式恢复子秘密集合S_j中的单个密钥S_jk，并且根据获得相应的所有密钥。

作为优选的实施例，在初始化步骤中包括构造密码参数步骤：秘密管理分配中心SMDC选择两个大的奇素数P，q，计算n＝pq；然后选择参数a和b，构造圆锥曲线C_n(a，b)，确定其基点G及其阶N_n；接着选择单向函数H()，将密码参数a，b，C_n(a，b)，G，N_n，n及H()放入公告牌NB。由此完成构造密码参数步骤，并且将上述密码参数公布在公告牌NB上。

进一步地，初始化步骤中还包括：构造密码参数步骤之后的获取秘密共享者信息y_i的步骤：每一个秘密共享者P_i随机选择任一整数x_i为共享子密钥，即作为P_i的私有密钥，即，并且保证2＜x_i＜N_n，通过公式获取信息y_i，秘密共享者P_i保密整数x_i并将信息y_i发送给秘密管理分配中心SMDC，秘密管理分配中心SMDC接收信息y_i判断所有秘密共享者的信息y_i是否有重复，若有重复则重新获取整数x_i，直到信息y_i没有重复，执行下一步；公告秘密共享者信息y_i的步骤：秘密管理分配中心SMDC从[1，m]中为所有秘密共享者选取互不相同的整数ID_i作为其身份标识，其中m为秘密共享者的数目，然后秘密管理分配中心SMDC在公告牌NB上公布所有的秘密共享者的身份信息{ID_i，y_i}。

作为优选地，秘密分配步骤中包括：第一步骤：秘密管理分配中心SMDC随机选取一个整数r_j∈C_n(a，b)，计算

第二步骤：由(1，S_j1)，(2，S_j2)...， 共w_j+m个点构造如下的w_j+m-1阶拉格朗日插值多项式：

$\begin{array}{c}{f}_j\left(x\right)=(\underset{k=1}{\overset{w_j}{\mathrm{\Σ}}}{S}_{\mathrm{jk}}\underset{l=1,l\≠k}{\overset{w_j}{\mathrm{\Π}}}\frac{x-l}{k-l}\underset{i=1}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_i}{k-{\mathrm{ID}}_i}+\underset{l=1,}{\overset{m}{\mathrm{\Σ}}}{y}_i^{r_j}\underset{l=1,l\≠i}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_l}{{\mathrm{ID}}_i-{\mathrm{ID}}_l}\underset{k=1}{\overset{w_j}{\mathrm{\Π}}}\frac{x-k}{{\mathrm{ID}}_i-k})\mathrm{mod}n\\ =(a_0+a_{1}x+a_2{x}^2+...+a_{m+w_j-1}{x}^{m+w_j-1})\mathrm{mod}n\end{array}---\left(1\right)$

第三步骤：秘密管理分配中心SMDC计算{f_j(m+w_j+1)，f_j(m+w_j+2)，…，f_j(m+w_j+(m+w_j-t_j))}共(m+w_j-t_j)个点的值，并将秘密共享的子秘密集合S_j所对应的所有的信息R_j和上述(m+w_j-t_j)个点的值公布在公告牌NB上。

作为优选的实施例，秘密重构步骤中包括，设定P中要重构多秘密S_jk的t_j个成员的集合W，执行如下步骤：步骤一：秘密共享者P_i∈W从公告牌NB上获取信息R_j，并计算再随机选取一个整数d_i∈C_n(a，b)，计算： $C_{\mathrm{ji}}=H(G,R_j,y_i,A_{\mathrm{ji}},G^{d_i},R_j^{d_i}),$ B_ji＝d_i+x_iC_jimod n，将{A_ji，B_ji，C_ji}发送给秘密恢复者SR；步骤二：秘密恢复者SR收到集合W中所有成员的{A_ji，B_ji，C_ji}后，验证等式： $C_{\mathrm{ji}}=H(G,R_j,y_i,A_{\mathrm{ji}},G^{B_{\mathrm{ji}}}{y}_i^{{-C}_{\mathrm{ji}}},R_j^{B_{\mathrm{ji}}}{A}_{\mathrm{ji}}^{{-C}_{\mathrm{ji}}})$ 是否成立。若成立，则表示秘密共享者提供的{A_ji，B_ji，C_ji}有效；若不成立，则要求秘密共享者重发{A_ji，B_ji，C_ji}，直到上述等式成立，执行下一步骤，否则执行出错处理。例如会提示秘密恢复者SR，秘密共享者中存在欺作行为。步骤三：当集合W中所有成员的{A_ji，B_ji，C_ji}通过验证后，秘密恢复者SR从公告牌NB上获取t_j个点(ID_i，A_ji)，其中i∈W，并且获取子秘密集合S_j的其他的公开信息{f_j(m+w_j+1)，f_j(m+w_j+2)，…，f_j(m+w_j+(m+w_j-t_j))}，以得出如下点值：

{(m+w_j+1，f_j(m+w_j+1))，(m+w_j+2，f_j(m+w_j+2))，...，(m+w_j+(m+w_j-t_j)，f_j(m+w_j+(m+w_j-t_j)))}，共(m+w_j-t_j)个点。

优选地，采用(X_i，Y_i)表示m+w_j个点的坐标值，其中，i＝1，2，…，m+w_j，将m+w_j个点的数值对带入w_j+m-1阶拉格朗日插值多项式以通过如下表达式恢复出单个密钥S_jk，其中，j＝1，2，…，v，k＝1，2，…，w_j，

$S_{\mathrm{jk}}=f_j\left(k\right)=\underset{i=1}{\overset{m+w_j}{\mathrm{\Σ}}}{Y}_i\underset{l=1,l\≠i}{\overset{m+w_j}{\mathrm{\Σ}}}\frac{k-X_l}{X_i-X_l}\mathrm{mod}n---\left(2\right)$

然后根据得到相应的所有密钥。

优选地，秘密重构步骤之前还包括添加新共享成员步骤，新共享成员P_m+1随机选择任一整数x_m+1作为新共享子密钥，且保证2＜x_m+1＜N_n，计算新共享成员P_m+1保密整数x_m+1并将信息y_m+1发送给秘密管理分配中心SMDC，秘密管理分配中心SMDC接收新共享成员P_m+1的信息y_m+1并且判断整数y_m+1是否与原有共享成员的整数y_i重复，若有重复则新成员P_m+1重新选择整数x_m+1，直至不重复时，秘密管理分配中心SMDC为新共享成员P_m+1设置身份标识ID_m+1，然后秘密管理分配中心SMDC在公告牌NB上公告新共享成员P_m+1的身份信息(ID_m+1，y_m+1)；并且秘密管理分配中心SMDC执行秘密分配步骤单独将新共享成员所对应的信息R_j和该点的值公布在公告牌NB上。

添加新共享成员步骤中，秘密管理分配中心SMDC执行秘密分配步骤具体为：1)随机选取一个整数r_j∈C_n(a，b)，计算

2)由(1，S_j1)，(2，S_j2)，…， 共w_j+m+1个点构造w_j+m阶拉格朗日插值多项式：

3)秘密管理分配中心SMDC计算{f_j(m+w_j+1)，f_j(m+w_j+2)，…，f_j(m+w_j+(m+1+w_j-t_j))}共(m+1+w_j-t_j)个点的值，并将共享的多秘密S_jk所对应的所有信息R_j和上述(m+1+w_j-t_j)个点的值公布在公告牌NB上。

优选地，密码重构步骤之前还包括删减原有共享成员P_i的步骤，秘密管理分配中心SMDC根据需删减的原有共享成员P_i的身份信息执行秘密分配步骤中的第二步骤和第三步骤，将公告牌NB上原有共享成员P_i所对应的信息R_j和对应点的值进行相应的更新操作。

优选地，密码重构步骤之前还包括秘密更新步骤，具体为重新执行一次秘密分配步骤，以将所有的秘密共享者所对应的多秘密的信息R_j和所对应的(m+w_j-t_j)个点的值并将其公布在公告牌NB上。由此在公告牌上公布了多秘密集合所对应的新的所有信息R_j和所对应的(m+w_j-t_j)个点的值。

该多密码恢复方法的安全性基于有限群上计算离散对数的困难性和单向函数求逆的难题，秘密共享成员可以共享多个密钥，可以增加新秘密共享成员或者删减其中的原有秘密共享成员而不必改变其它的原有秘密共享成员的任何信息。另外，可以根据秘密的不同等级动态地调整多秘密恢复时的门限值t_j，即不同等级的子秘密集合S_j可以设置不同的门限值t_j。

由此可以看出，本发明的多密码恢复方法具有较高的安全性和动态性，可以高效地检测秘密管理者与分享者的欺作行为，可以对秘密共享成员进行身份认证，并且可以验证秘密共享成员的子密钥的正确性。此外，该多密码恢复方法无需在管理者和参与者之间建立安全信道，可以方便地增加和删除秘密共享成员而无需修改其他原有秘密共享成员的任何信息，进一步地，可以定期更新共享秘密而无需修改共享成员的任何信息。还可以根据需要将共享秘密分成不同的等级，秘密管理分配中心SMDC可以根据秘密的不同等级调整其门限值t_j，对于同一等级的子秘密集合S_j，秘密管理分配中心SMDC可以一次完成该子秘密集合的分配、恢复或更新操作。所以，本发明方法具有更广泛的应用价值，特别是在群组密钥管理方面更具较大的优势。

本发明不局限于上述最佳实施方式，任何人在本发明的启示下都可得出其他各种形式的产品，但不论在其形状或结构上作任何变化，凡是具有与本申请相同或相近似的技术方案，均落在本发明的保护范围之内。

Claims (9)

1.一种基于环Zn圆锥曲线公钥密码体制的多重密码恢复方法，其特征在于，包括以下步骤：

初始化步骤：设置基于环Zn圆锥曲线C_n(a，b)的密码参数，根据所述密码参数在公告牌(NB)上公布秘密共享者的身份信息{ID_i，y_i}；

秘密分配步骤：设 $S=\{s_{11},s_{12},...,s_{{1w}_j},...,s_{v1},s_{v2},...,s_{{\mathrm{vw}}_v}\},$ 其中s_jk∈C_n(a，b)，将多秘密集合S分成不同的v个等级，每个等级中可以有w_j个秘密，设置同一个等级的多秘密集合S中的子秘密集合S_j使得至少t_j个秘密共享者合作才能重构所述子秘密集合S_j，由点(1，S_j1)，(2，S_j2)，...， 共w_j+m个点通过如下w_j+m-1阶拉格朗日插值多项式获取所述子秘密集合S_j所对应的所有信息R_j和(m+w_j-t_j)个点的值并将其公布在公告牌(NB)上，

$\begin{array}{c}{f}_j\left(x\right)=(\underset{k=1}{\overset{w_j}{\mathrm{\Σ}}}{S}_{\mathrm{jk}}\underset{l=1,l\≠k}{\overset{w_j}{\mathrm{\Π}}}\frac{x-l}{k-l}\underset{i=1}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_i}{k-{\mathrm{ID}}_i}+\underset{l=1,}{\overset{m}{\mathrm{\Σ}}}{y}_i^{r_j}\underset{l=1,l\≠i}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_l}{{\mathrm{ID}}_i-{\mathrm{ID}}_l}\underset{k=1}{\overset{w_j}{\mathrm{\Π}}}\frac{x-k}{{\mathrm{ID}}_i-k})\mathrm{mod}n\\ =(a_0+a_{1}x+a_2{x}^2+...+a_{m+w_j-1}{x}^{m+w_j-1})\mathrm{mod}n\end{array};$

秘密重构步骤：所述子秘密集合S_j所对应的所有的所述信息R_j获取验证后，将所述w_j+m个点的值带入所述w_j+m-1阶拉格朗日插值多项式恢复所述子秘密集合S_j中的单个密钥S_jk，并且根据获得相应的所有密钥。

2.根据权利要求1所述的多重密码恢复方法，其特征在于，在初始化步骤中包括构造所述密码参数的步骤：秘密管理分配中心(SMDC)选择两个大的奇素数P，q，计算n＝pq；然后选择参数a和b，构造圆锥曲线C_n(a，b)，确定其基点G及其阶N_n；接着选择单向函数H()，将所述密码参数a，b，C_n(a，b)，G，N_n，n及H()放入公告牌(NB)。

3.根据权利要求2所述的多重密码恢复方法，其特征在于，所述初始化步骤中还包括所述构造密码参数步骤之后的步骤：

获取所述秘密共享者的信息y_i的步骤：所述秘密共享者P_i随机选择任意整数x_i为共享子密钥，并且保证2＜x_i＜N_n，通过公式获取所述信息y_i，所述秘密共享者P_i保密整数x_i并将所述信息y_i发送给所述秘密管理分配中心(SMDC)，所述秘密管理分配中心(SMDC)接收所述信息y_i并且判断所有的所述秘密共享者的所述信息y_i是否有重复，若有重复则重新获取整数x_i，直到信息y_i没有重复，执行下一步；

公告秘密共享者信息y_i的步骤：所述秘密管理分配中心(SMDC)从[1，m]中为所有的所述秘密共享者P_i选取互不相同的整数ID_i作为其身份标识，其中m为秘密共享者的数目，然后所述秘密管理分配中心(SMDC)在所述公告牌(NB)上公布所有的所述秘密共享者的身份信息{ID_i，y_i}。

4.根据权利要求1至3中任一项所述的多重密码恢复方法，其特征在于，所述秘密分配步骤中包括：

第一步骤：所述秘密管理分配中心(SMDC)随机选取一个整数r_j∈C_n(a，b)，计算 $R_j=G^{r_j}\mathrm{mod}n;$

第二步骤：由(1，S_j1)，(2，S_j2)...， 共w_j+m个点构造如下的所述w_j+m-1阶拉格朗日插值多项式：

$\begin{array}{c}{f}_j\left(x\right)=(\underset{k=1}{\overset{w_j}{\mathrm{\Σ}}}{S}_{\mathrm{jk}}\underset{l=1,l\≠k}{\overset{w_j}{\mathrm{\Π}}}\frac{x-l}{k-l}\underset{i=1}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_i}{k-{\mathrm{ID}}_i}+\underset{l=1,}{\overset{m}{\mathrm{\Σ}}}{y}_i^{r_j}\underset{l=1,l\≠i}{\overset{m}{\mathrm{\Π}}}\frac{x-{\mathrm{ID}}_l}{{\mathrm{ID}}_i-{\mathrm{ID}}_l}\underset{k=1}{\overset{w_j}{\mathrm{\Π}}}\frac{x-k}{{\mathrm{ID}}_i-k})\mathrm{mod}n\\ =(a_0+a_{1}x+a_2{x}^2+...+a_{m+w_j-1}{x}^{m+w_j-1})\mathrm{mod}n\end{array};$

第三步骤：所述秘密管理分配中心(SMDC)计算{f_j(m+w_j+1)，f_j(m+w_j+2)，…，f_j(m+w_j+(m+w_j-t_j))}共(m+w_j-t_j)个点的值，并将所述子秘密集合S_j所对应的所有的所述信息R_j和所述(m+w_j-t_j)个点的值公布在所述公告牌(NB)上。

5.根据权利要求4所述的多重密码恢复方法，其特征在于，所述秘密重构步骤中包括，设定P中要重构所述子秘密集合S_j的t_j个成员的集合W，执行如下步骤：

步骤一：所述秘密共享者P_i∈W从所述公告牌(NB)上获取所述信息R_j，并计算再随机选取一个整数d_i∈C_n(a，b)，计算：

$C_{\mathrm{ji}}=H(G,R_j,y_i,A_{\mathrm{ji}},G^{d_i},R_j^{d_i}),$ B_ji＝d_i+x_iC_jimod n

将{A_ji，B_ji，C_ji}发送所述秘密恢复者(SR)；

步骤二：所述秘密恢复者(SR)收到所述集合W中所有成员的{A_ji，B_ji，C_ji}后，验证等式： $C_{\mathrm{ji}}=H(G,R_j,y_i,A_{\mathrm{ji}},G^{B_{\mathrm{ji}}}{y}_i^{{-C}_{\mathrm{ji}}},R_j^{B_{\mathrm{ji}}}{A}_{\mathrm{ji}}^{{-C}_{\mathrm{ji}}})$ 是否成立。若成立，则表示所述秘密共享者提供的{A_ji，B_ji，C_ji}有效；若不成立，则要求所述秘密共享者重发{A_ji，B_ji，C_ji}，直到上述等式成立，执行下一步骤，否则执行出错处理；

步骤三：当所述集合W中所有成员的{A_ji，B_ji，C_ji}通过验证后，所述秘密恢复者(SR)从所述公告牌(NB)上获取t_j个点(ID_i，A_ji)，其中i∈W，并且获取所述子秘密集合S_j的其他的公开信息{f_j(m+w_j+1)，f_j(m+w_j+2)，…，f_j(m+w_j+(m+w_j-t_j))}，以得出如下点值：

{(m+w_j+1，f_j(m+w_j+1))，(m+w_j+2，f_j(m+w_j+2))，...，(m+w_j+(m+w_j-t_j)，f_j(m+w_j+(m+w_j-t_j)))}，共(m+w_j-t_j)个点。

6.根据权利要求5所述的多重密码恢复方法，其特征在于，采用(X_i，Y_i)表示所述m+w_j个点的坐标值，其中，i＝1，2，…，m+w_j，将所述m+w_j个点的数值对带入所述w_j+m-1阶拉格朗日插值多项式以通过如下表达式恢复出所述单个密钥S_jk，其中，j＝1，2，…，v，k＝1，2，…，w_j，

$S_{\mathrm{jk}}=f_j\left(k\right)=\underset{i=1}{\overset{m+w_j}{\mathrm{\Σ}}}{Y}_i\underset{l=1,l\≠i}{\overset{m+w_j}{\mathrm{\Σ}}}\frac{k-X_l}{X_i-X_l}\mathrm{mod}n$

然后根据得到相应的所有密钥。

7.根据权利要求5所述的多重密码恢复方法，其特征在于，所述秘密重构步骤之前还包括添加新共享成员P_m+1步骤，新共享成员P_m+1随机选择任一整数x_m+1作为新共享子密钥，且保证2＜x_m+1＜N_n，计算新共享成员P_m+1保密整数x_m+1并将信息y_m+1发送给所述秘密管理分配中心(SMDC)，所述秘密管理分配中心(SMDC)接收所述新共享成员P_m+1的信息y_m+1并且判断信息y_m+1是否与原有共享成员的信息y_i重复，若有重复则新成员P_m+1重新选择整数x_m+1，直至不重复时，秘密管理分配中心(SMDC)为新共享成员P_m+1设置身份标识ID_m+1，然后所述秘密管理分配中心(SMDC)在所述公告牌(NB)公告所述新共享成员P_m+1的身份信息(ID_m+1，y_m+1)；并且所述秘密管理分配中心(SMDC)执行所述秘密分配步骤单独将所述新共享成员所对应的信息R_j和该点的值公布在所述公告牌(NB)上。

8.根据权利要求5所述的多重密码恢复方法，其特征在于，所述密码重构步骤之前还包括删减原有共享成员P_i的步骤，秘密管理分配中心(SMDC)根据需删减的原有共享成员P_i的身份信息执行所述共享秘密分配步骤中的第二步骤和第三步骤，将公布在公告牌(NB)上所述原有共享成员P_i所对应的信息R_j和对应点的值进行相应的更新操作。

9.根据权利要求5所述的多重密码恢复方法，其特征在于，所述密码重构步骤之前还包括秘密更新步骤，具体为重新执行一次秘密分配步骤，以将所述子秘密集合S_j所对应的新的所有信息R_j和所对应的(m+w_j-t_j)个点的值公布在所述公告牌(NB)上。