CN104754570A - 一种基于移动互联网络的密钥分发和重构方法与装置 - Google Patents

Abstract

本发明提供一种基于移动互联网络的密钥分发和重构方法，其包括如下步骤；S1、构造基于身份的密钥封装模型以及可验证随机函数；S2、对密钥进行分发；S3、对密钥进行重构。设计可计算防合谋均衡方法，构建协议的防合谋带熵博弈模型，防止参与者合谋攻击；构建密码协议的通信博弈模型，弥补广播通信网络下构建的密码协议不能在移动互联环境中实现的缺陷；研究适用于可验证随机函数的密钥封装机制，设计无需公钥基础设施的理性密钥共享协议，在移动互联环境中保证计算的公平性和交付性；最后，利用可证明安全理论对协议进行安全分析和证明。

Description

一种基于移动互联网络的密钥分发和重构方法与装置

技术领域

本发明涉及移动互联网安全技术领域，尤其是一种基于移动互联网络的密钥分发和重构方法与装置

背景技术

密钥共享是网络安全领域研究的重要内容，也是许多安全协议的基石。在经典密钥共享协议中，假设一些参与者是诚实的，另一些参与者是恶意的。诚实者始终遵守协议，恶意者可任意偏离协议。而在现实中，把协议的安全性建立在假设和依靠某人是诚实的基础之上，则是非常危险的。常识告诉我们，即使平时人们认为的诚实者，也会有欺诈，甚至和他人合谋进行欺骗的行为。经典密钥共享算法有两种类型，在一定条件下一种是有可信者参与的方案。另一类是没有可信者参与，由所有参与者自身来共同完成的方案。第一类方案的优点是简单和高效，但缺点是在分布式环境下，很难找到大家都信任的可信者，实际上，如果协议中总是有可信者的话，那么许多密码协议就没存在的必要了。另外，在网络环境下，即使能找到这样的可信者，也会成为黑客攻击的对象和性能的瓶颈。第二类方案的优点是符合实际，缺点是虽然协议可以利用一些可验证的方法，发现参与者偏离协议的行为，但仅能在参与者偏离协议的行为发生之后，而不能事先采取防护措施来保证参与者没有偏离协议的动机。长期以来，这些缺陷得不到解决，一直困扰着密码学研究者，是信息安全领域研究的热点问题。

为了解决上述研究中所遇到的问题，一些研究方案将博弈论与密码学相结合。这些研究又分为两大类，一类是利用密码学协议来解决博弈论中的问题，在博弈过程中，常常需要有外在的可信实体(也称中介者)参与，该类研究通过使用密码协议来替代博弈论相关均衡中可信的中介者的角色。另一类是利用博弈论来解决密码算法中的困难问题和公开问题。通过结合博弈论，对密码协议建立博弈模型，这样改进了传统密码学协议中的缺陷和不合理的假设，也开辟了密码学一个崭新的研究方向。

当前，随着移动互联网络的迅速发展，人们能够轻易享受到智能手机和平板电脑等移动设备提供的便利服务，但是智能手机在提供快捷便利服务的同时也更容易暴露人们的隐私，侧如智能手机可以轻易地泄露用户的电话号码、短信信息以及存在于手机中图片和视频等个人信息，移动设备用户对隐私性的要求远高于PC端用户，高隐私性决定了移动互联网终端应用的特点——数据共享时要保障认证客户的有效性，也要保证信息的安全性。目前现存的密钥共享协议对计算复杂性要求比较高，而平板电脑和智能手机等移动设备在计算资源和处理器速度、内存大小和磁盘容量等方面比较薄弱，因此目前已有的密钥共享协议均不能有效应用于移动互联网络中。鉴于此，我们提出了移动互联网络下的密钥共享技术。

现有技术方案

密钥共享是信息安全领域的重要研究内容，密钥共享的思想将密钥以某种方式拆分，拆分后的每个子份额由不同的参与者拥有，只有若干个参与者协同合作才能恢复密钥，这样达到防止密钥过于集中和容忍入侵的目的。经典的(m，n)门限密钥共享方案由Shamir和Blakeley于1979年分别基于多项式插值法和多维空间点的特性提出，方案要求大于或等于m人方可重构出秘密，少于m人合作得不到秘密，但其存在分发者和参与者欺骗的问题。针对成员欺骗问题，Chor等人提出可验证的密钥共享(Verifiable Secret Sharing，简称VSS)，Feldman、Pedersen分别提出一种能防止分发者和参与者欺骗的可验证的密钥共享方案。但是VSS方案只能起到事后验证而不能起到事先预防的作用。例如，在密钥重构过程中，一个参与者A广播一个错误的子份额，而其他m-1个人广播了正确的子份额。这样欺骗者A就能独自得到密钥，尽管其欺骗行为在事后能被可验证的方法发现(但为时已晚)，同样也会出现2个或多个人合谋欺骗或者不发送子密钥份额，这样，合谋集团将独得密钥。此后，刘木兰等人提出一种基于图的秘密共享方案。张志芳对乘性的线性密钥共享体制和并行的安全多方计算体制进行了研究。Hou等人提出一种可视密钥共享方案。Mahabir等人提出一种公开可验证方案。Herranz等人，Shao等人，Fatemi等人对多密钥共享方案进行了研究，但上述方案都不能预防参与者合谋和欺骗。庞辽军等人提出一种基于ID的门限多重秘密共享方案。裴庆祺等人提出一种基于身份的自证实的秘密共享方案。上述两种方案虽然可以防止成员合谋和欺骗，但在重构过程中需要指定的秘密计算者，然而在网络环境下要找到大家都信任的秘密计算者是非常困难的，即使找到这样的可信者，也可能成为协议执行的瓶颈，同时也会成为黑客集中攻击的对象。

博弈论是现代数学的一个分支，也是运筹学的重要组成内容，主要研究决策主体的行为发生直接相互作用时的决策以及这种决策的均衡问题，在很多学科都有重要的应用。Halpern和Teague在计算机理论界顶级会议STOC上，首次将博弈论引入密钥共享和安全多方计算，用以弥补经典秘密共享和多方计算方案的缺陷。Halpern和Teague认为所设计的理性密码协议必须是多轮的，并且使得参与者不知道协议在哪一轮结束，从而才能使他们有合作的动机。但他们设计的理性秘密共享方案需要参与者人数大于等于3，并且协议在一定条件下需要重启，这样分发者需要重新分发秘密份额，相当于需要分发者一直在线。另外，他们的方案在3个成员参与的情况下，不能防止两个成员合谋。在多于3个成员参与的情况下，不能防止组长之间的合谋攻击。此后，一系列文献对理性密钥共享协议和理性安全多方计算协议进行了研究，田有亮等人基于贝叶斯博弈提出一种密钥共享方案，但方案工作在(2，2)环境，不能应用于多人情况。张恩等人基于双线性对提出一种理性密钥共享方案，无需分发者在线，也不需要可信者参与密钥重构，但方案需工作在同时广播条件下，同时广播是一个比较强的条件，在因特网环境中难以实现，需要广播信道的还有一系列文献。Maleka等人提出一种基于重复博弈的密钥共享方案，通过考虑所有阶段博弈得益的贴现值之和来对密钥共享建立模型，但参与者在最后一轮可以通过欺骗，以较高的概率获得密钥。另外他们的方案不能防止参与者合谋攻击，如果有两个合谋者拥有的多项式次数相差为1的话，那么合谋者能合谋得到秘密，同时阻止其他参与者获得秘密。Kol等人利用二次剩余难题设计了有意义/无意义的加密算法，同时利用了安全多方计算等工具，构造了一种理性密钥共享方案。但该方案中的参与者有可能在安全多方计算阶段合谋欺骗。Kol等人采用信息论安全的方法设计了一种密钥共享方案，在他们的方案中不需要可计算假设，他们将每一轮分成多个阶段，在前一些轮中放的是随机的假秘密，将真正的秘密放在了长份额中。但方案不能防止拥有短份额的人和拥有长份额人的合谋攻击。One等人设计的方案需要少量的诚实者和多数理性者参与，另外方案不能防止成员合谋攻击。Fuchsbauer等人的方案和张恩等人的方案，虽然无需同时广播通信条件，但是也没有对合谋者的动机、收益和防合谋均衡进行研究，并且不能完美的模拟广播通信网络。Abraham等人提出一种防合谋理性密钥共享协议，博弈分成3个阶段，在每个阶段，博弈方将信息发给中间人，中间人计算信息后将结果发给每个博弈方，但方案要求中间人必须是大家都信任的。Micali等人的方案同样需要有可信者参与密钥重构过程。William等人在异步信道下提出了两种密钥共享方案，但方案需要有诚实的参与者，然而在分布式网络环境中，保证参与者始终是诚实的，则是非常困难的。

综上所述，目前针对理性密钥共享的研究已有一些科研成果，但仍存在一些亟待解决的问题，主要包括：

①在参与者合谋动机、合谋收益度量、防合谋博弈均衡和防合谋博弈算法方面缺乏分析与研究，不能有效地防止成员合谋攻击；

②目前大多数协议建立在广播信道基础上，不能在移动互联网络环境中实现，不利于协议的推广和应用；

③目前现存协议需要公钥证书环境，计算复杂，效率低，不能适用于处理速度、内存空间相对薄弱的移动设备(如智能手机、平板电脑、PDA等)。

发明内容

针对以上问题，本专利在以下方面进行了理论和方法研究：结合博弈论、信息论、密码算法，在移动互联通信网络基础上针对理性密钥共享协议防合谋方法、网络通信方式和密钥封装机制等关键理论进行研究和改进，设计可计算防合谋均衡方法，构建协议的防合谋博弈模型，防止参与者合谋攻击；构建密码协议的通信博弈模型，弥补广播通信网络下构建的密码协议不能在移动互联环境中实现的缺陷，本发明提供一种基于移动互联网络的密钥分发和重构方法与装置，研究适用于可验证随机函数的密钥封装机制，设计无需公钥基础设施的理性密钥共享协议，在移动互联环境中保证计算的公平性和交付性；最后，利用可证明安全理论对协议进行安全分析和证明。

提供一种基于移动互联网络的密钥分发和重构方法，其包括如下步骤：

S1、构造基于身份的密钥封装模型以及可验证随机函数；

S2、对密钥进行分发；

S3、对密钥进行重构。

在本发明所述的基于移动互联网络的密钥分发和重构方法中，所述步骤S1中构造基于身份的密钥封装模型包括：

基于身份的密钥封装机制允许一个发送者和一个接收者共同协商一个会话密钥K，其通过4个如下运算规则定义：Setup(1^k)以安全的参数作为输入，输出一个主密钥对(mpk，msk)；KeyDer(msk，ID)算法运用主私钥对每一个ID计算出sk_ID；Encap(mpk，ID)算法用来计算出一个随机的会话密钥以及密文C；Decap(C，sk_ID)允许接收者解开密文的封装从而返回会话密钥K；

在所述4个运算规则中：

Setup(1^k)：k是一个安全的参数，G₁，G₂是素数阶为q的两个双线性群，e：G₁×G₁→G₂表示双线性映射，其中g是G₁的生成元，g∈G₁，然后从中随机挑选得到h＝g^s，进而输出一个主密钥对(mpk＝(g，h)，msk＝s)；

KeyDer(msk，ID)：密钥产生算法构造一个密钥

Encap(mpk，ID)：密钥封装算法从Z_q中取出一个随机的t值，t←Z_q；然后计算一个随机的会话密钥K＝e(g，g)^t及相对应的密文C，C＝(g^sg^ID)^t；

Decap(C，sk_ID)：解封装算法，用密钥sk_ID从密文C中计算会话密钥K，K＝e(C，sk_ID)。

在本发明所述的基于移动互联网络的密钥分发和重构方法中，所述步骤S1中构造可验证随机函数包括：

Gen(1^k)运行(mpk，msk)←Setup(1^k)，选择一个任意的身份ID₀∈ID，其中ID是身份空间，然后计算C₀←Encp(mpk，ID₀)；接下来设置vpk＝(mpk，C₀)和vsk＝msk；

Func_vsk(x)计算π_x＝(sk_x，aux_x)＝KeyDer(msk，x)和y＝Decap(C₀，π_x)；返回(y，π_x)，其中y是输出，π_x是一个证据；

Ver(vpk，x，y，π_x)通过计算(C，K)＝Encap(mpk，x，aux_x)并且验证是否K＝Decap(C，π_x)，从而检验π_x是否是x的有效证据；然后通过计算是否Decap(C₀，π_x)＝y来验证y的正确性；如果以上两个验证都是正确的话，那么这个算法就返回1，否则的话返回0。

在本发明所述的基于移动互联网络的密钥分发和重构方法中，所述步骤S2包括如下子步骤：

假设有n个参与者P_i(i＝1，2，…，n)，密钥为L，ID_i∈ID(i＝1，…，n)作为P_i的身份，设d_i作为P_i的私钥，是一个抗碰撞哈希函数；

分发者根据参数λ的几何分布，随机选取一个整数r^real∈Z_p，然后计算Gen(1^k)从而得到d_i；

分发者选取素数p，利用拉格朗日差值算法构建两个n-1阶的多项式，第一个是利用n个数值对 $\left({\mathrm{ID}}_1\right||r^{\mathrm{real}},E_{d_1}\left(r^{\mathrm{real}}\right)),...,\left({\mathrm{ID}}_n\right||r^{\mathrm{real}},E_{d_n}\left(r^{\mathrm{real}}\right))$ 构建W(x)，另一个是利用n个数值对 $\left({\mathrm{ID}}_1\right||(r^{\mathrm{real}}+1),E_{d_1}(r^{\mathrm{real}}+1)),...,{\mathrm{ID}}_n\left|\right|(r^{\mathrm{real}}+1),E_{d_n}(r^{\mathrm{real}}+1))$ 构建W′(x)：

$W\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{E}_{d_i}\left(r^{\mathrm{real}}\right)\underset{j=1,j\≠i}{\overset{n}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_j\right|\left|r^{\mathrm{real}}\right)}{h\left({\mathrm{ID}}_i\right|\left|r^{\mathrm{real}}\right)-h\left({\mathrm{ID}}_j\right|\left|r^{\mathrm{real}}\right)}\mathrm{mod}p$

$\begin{array}{c}{W}^{\′}\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{E}_{d_i}(r^{\mathrm{real}}+1)\underset{j=1,j\≠i}{\overset{n}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_j\right|\left|(r^{\mathrm{real}}+1)\right)}{h\left({\mathrm{ID}}_i\right|\left|(r^{\mathrm{real}}+1)\right)-h\left({\mathrm{ID}}_j\right|\left|(r^{\mathrm{real}}+1)\right)}\mathrm{mod}p\\ =a_0^{r^{\mathrm{real}}+1}+a_1^{r^{\mathrm{real}}+1}x+a_2^{r^{\mathrm{real}}+1}{x}^2+...+a_{n-1}^{r^{\mathrm{real}}+1}{x}^{n-1}\end{array}$

今 $M^{r^{\mathrm{real}}}=W\left(0\right),\mathrm{value}=l\⊕M^{r^{\mathrm{real}}}$

分发者从[0，p-1]-h(ID_i||r)(r＝1，2，...，r^real)中选择(n-t)个最小的整数m₁，…，m_n-t并且计算W(m_k)和W′(x)(k＝1，2，...n-t)；

分发者公布(m_k，W(m_k)，(m_k，W′(m_k))(k＝1，2，...n-t)、value、(j＝0，1，...n-1)一系列值，并且发送d_i给p_i。

在本发明所述的基于移动互联网络的密钥分发和重构方法中，所述步骤S3包括如下子步骤：

设 $T=\{p_{a_i},p_{a_2},...,p_{a_t}\}$ 是t个参与者，是 $p_{a_i}(1\≤i\≤t)$ 的子份额，在第r(r＝0，1，…，)轮，参与者执行协议如下：

当r≡i(modt)时，t个参与者按照 $p_{a_{i+1}},p_{a_{i+2}},...,p_{a_i},p_{a_1},p_{a_t},...,p_{a_t}(0\≤i\≤t-1)$ 的顺序发送子密钥；

从得到发送的密钥，如果 $\mathrm{VEF}({\mathrm{vpk}}_i,r,E_{d_{a_i}}\left(r\right),{\mathrm{\π}}_{d_{a_i}}\left(r\right))=0$ 则得出不是的有效证据，即存在合谋欺骗，然后参与者利用t个数值对 $(\left({\mathrm{ID}}_{a_1}\right||(r-1),E_{d_{a_1}}(r-1)),...,(\left({\mathrm{ID}}_{a_t}\right||(r-1),E_{d_{a_t}}(r-1\left)\right)$ 和n-t个数值对(m₁，W(m₁))，...，(m_n-t，W(m_n-t))就可以唯一确定一个(n-l)阶的多项式如下：

$\begin{array}{c}B\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}(r-1)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|(r-1)\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|(r-1)\right)-m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}W\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}{m_i-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}\mathrm{mod}p\end{array}$

令M^r-1＝B(0)，则可以重构密钥然后终止协议；如果则是的有效证据，即没有成员欺骗，继续协议；

利用t个数值对和n-t个数值对(m₁，W′(m₁))，...，(m_n-t，W′(m_n-t))，则可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}{B}^{\′}\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}\left(r\right)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|r\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|r\right)-m_i}\\ +\underset{t=1}{\overset{n-t}{\mathrm{\Σ}}}{W}^{\′}\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}{d_{a_i}-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}\mathrm{mod}p\\ =b_0^r+b_1^{r}x+b_2^r{x}^2+...+b_{n-1}^r{x}^{n-1}\end{array}$

如果 $h\left(b_j^r\right)\≠h\left(a_j^{\mathrm{real}+1}\right)(j=\mathrm{0,1},...,n-1)$ 则继续协议，如果 $h\left(b_j^r\right)=h\left(a_j^{r^{\mathrm{real}}+1}\right)$ 则r＝r^real+1，利用t个数值对 $(\left({\mathrm{ID}}_{a_t}\right|\left|r^{\mathrm{real}}\right),E_{d_{a_1}}\left(r^{\mathrm{real}}\right)),...,(\left({\mathrm{ID}}_{a_t}\right|\left|r^{\mathrm{real}}\right),E_{d_{a_t}}\left(r^{\mathrm{real}}\right))$ 和n-t个数值对(m₁，W(m₁))，...，(m_n-t，W(m_n-t))可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}{B}^{\mathrm{real}}\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}\left(r^{\mathrm{real}}\right)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({{\mathrm{ID}}_a}_j\right|\left|r^{\mathrm{real}}\right)}{h\left({{\mathrm{ID}}_a}_i\right|\left|r^{\mathrm{real}}\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|r^{\mathrm{real}}\right)-m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}W\left(m_i\right)\underset{j=1,j\≠1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}{d_{a_i}-h\left({{\mathrm{ID}}_a}_j\right|\left|r^{\mathrm{real}}\right)}\mathrm{mod}p\end{array}$

令则重构出密钥结束协议。

本发明还提供一种基于移动互联网络的密钥分发和重构装置，其包括如下模块：

密钥封装模型及可验证随机函数构造模块，用于构造基于身份的密钥封装模型以及可验证随机函数；

密钥分发模块，用于对密钥进行分发；

密钥重构模块，用于对密钥进行重构。

在本发明所述的基于移动互联网络的密钥分发和重构装置中，所述密钥封装模型及可验证随机函数构造模块中构造基于身份的密钥封装模型包括：

基于身份的密钥封装机制允许一个发送者和一个接收者共同协商一个会话密钥K，其通过4个如下运算规则定义：Setup(1^k)以安全的参数作为输入，输出一个主密钥对(mpk，msk)；KeyDer(msk，ID)算法运用主私钥对每一个ID计算出sk_ID；Encap(mpk，ID)算法用来计算出一个随机的会话密钥以及密文C；Decap(C，sk_ID)允许接收者解开密文的封装从而返回会话密钥K；

在所述4个运算规则中：

Setup(1^k)：k是一个安全的参数，G₁，G₂是素数阶为q的两个双线性群，e：G₁×G₁→G₂表示双线性映射，其中g是G₁的生成元，g∈G₁，然后从中随机挑选得到h＝g^s，进而输出一个主密钥对(mpk＝(g，h)，msk＝s)；

KeyDer(msk，ID)：密钥产生算法构造一个密钥

Encap(mpk，ID)：密钥封装算法从Z_q中取出一个随机的t值，t←Z_q；然后计算一个随机的会话密钥K＝e(g，g)^t及相对应的密文C，C＝(g^sg^ID)^t；

Decap(C，sk_ID)：解封装算法，用密钥sk_ID从密文C中计算会话密钥K，K＝e(C，sk_ID)。

在本发明所述的基于移动互联网络的密钥分发和重构装置中，所述密钥封装模型及可验证随机函数构造模块中构造可验证随机函数包括：

Gen(1^k)运行(mpk，msk)←Setup(1^k)，选择一个任意的身份ID₀∈ID，其中ID是身份空间，然后计算C₀←Encp(mpk，ID₀)；接下来设置vpk＝(mpk，C₀)和vsk＝msk；

Func_vsk(x)计算π_x＝(sk_x，aux_x)＝KeyDer(msk，x)和y＝Decap(C₀，π_x)；返回(y，π_x)，其中y是输出，π_x是一个证据；

Ver(vpk，x，y，π_x)通过计算(C，K)＝Encap(mpk，x，aux_x)并且验证是否K＝Decap(C，π_x)，从而检验π_x是否是x的有效证据；然后通过计算是否Decap(C₀，π_x)＝y来验证y的正确性；如果以上两个验证都是正确的话，那么这个算法就返回1，否则的话返回0。

在本发明所述的基于移动互联网络的密钥分发和重构装置中，所述密钥分发模块包括：

n个参与者P_i(i＝1，2，…，n)，密钥为L，ID_i∈ID(i＝1，…，n)作为P_i的身份，设d_i作为P_i的私钥，是一个抗碰撞哈希函数；

分发者根据参数λ的几何分布，随机选取一个整数r^real∈Z_P，然后计算Gen(1^k)从而得到d_i：

分发者选取素数p，利用拉格朗日差值算法构建两个n-1阶的多项式，第一个是利用n个数值对 $\left({\mathrm{ID}}_1\right||r^{\mathrm{real}},E_{d_1}\left(r^{\mathrm{real}}\right)),...,\left({\mathrm{ID}}_n\right||r^{\mathrm{real}},E_{d_n}\left(r^{\mathrm{real}}\right))$ 构建W(x)，另一个是利用n个数值对 $\left({\mathrm{ID}}_1\right||(r^{\mathrm{real}}+1),E_{d_1}(r^{\mathrm{real}}+1)),...,{\mathrm{ID}}_n\left|\right|(r^{\mathrm{real}}+1),E_{d_n}(r^{\mathrm{real}}+1))$ 构建W′(x)：

$W\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{E}_{d_i}\left(r^{\mathrm{real}}\right)\underset{j=1,j\≠i}{\overset{n}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_j\right|\left|r^{\mathrm{real}}\right)}{h\left({\mathrm{ID}}_i\right|\left|r^{\mathrm{real}}\right)-h\left({\mathrm{ID}}_j\right|\left|r^{\mathrm{real}}\right)}\mathrm{mod}p$

$\begin{array}{c}{W}^{\′}\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{E}_{d_i}(r^{\mathrm{real}}+1)\underset{j=1,j\≠i}{\overset{n}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_j\right|\left|(r^{\mathrm{real}}+1)\right)}{h\left({\mathrm{ID}}_i\right|\left|(r^{\mathrm{real}}+1)\right)-h\left({\mathrm{ID}}_j\right|\left|(r^{\mathrm{real}}+1)\right)}\mathrm{mod}p\\ =a_0^{r^{\mathrm{real}}+1}+a_1^{r^{\mathrm{real}}+1}x+a_2^{r^{\mathrm{real}}+1}{x}^2+...+a_{n-1}^{r^{\mathrm{real}}+1}{x}^{n-1}\end{array}$

今 $M^{r^{\mathrm{real}}}=W\left(0\right),\mathrm{value}=l\⊕M^{r^{\mathrm{real}}}$

分发者从[0，p-1]-h(ID_i||r)(r＝1，2，...，r^real)中选择(n-t)个最小的整数m₁，…，m_n-t并且计算W(m_k)和W′(x)(k＝1，2，…n-t)；

分发者公布(m_k，W(m_k)，(m_k，W′(m_k))(k＝1，2，...n-t)、value、(j＝0，1，...n-1)一系列值，并且发送d_i给p_i。

在本发明所述的基于移动互联网络的密钥分发和重构装置中，所述密钥重构模块包括：

在 $T=\{p_{a_i},p_{a_2},...,p_{a_t}\}$ 是t个参与者，是 $p_{a_i}(1\≤i\≤t)$ 的子份额，在第r(r＝0，1，…，)轮时，参与者执行协议如下：

当r≡i(modt)时，t个参与者按照 $p_{a_{i+1}},p_{a_{i+2}},...,p_{a_i},p_{a_1},p_{a_2},...,p_{a_i}(0\≤i\≤t-1)$ 的顺序发送子密钥；

从得到发送的密钥，如果则得出不是的有效证据，即存在合谋欺骗，然后参与者利用t个数值对 $(\left({\mathrm{ID}}_{a_1}\right||(r-1),E_{d_{a_1}}(r-1)),...,(\left({\mathrm{ID}}_{a_t}\right||(r-1),E_{d_{a_t}}(r-1\left)\right)$ 和n-t个数值对(m₁，W(m₁))，...，(m_n-t，W(m_n-t))就可以唯一确定一个(n-l)阶的多项式如下：

$\begin{array}{c}B\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_t}}(r-1)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|(r-1)\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|(r-1)\right)-m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}W\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}{m_i-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}\mathrm{mod}p\end{array}$

令M^r-1＝B(0)，则可以重构密钥然后终止协议；如果则是的有效证据，即没有成员欺骗，继续协议；

利用t个数值对和n-t个数值对(m₁，W′(m₁))，...，(m_n-t，W′(m_n-t))，则可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}{B}^{\′}\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}\left(r\right)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|r\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|r\right)-m_i}\\ +\underset{t=1}{\overset{n-t}{\mathrm{\Σ}}}{W}^{\′}\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}{d_{a_i}-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}\mathrm{mod}p\\ =b_0^r+b_1^{r}x+b_2^r{x}^2+...+b_{n-1}^r{x}^{n-1}\end{array}$

如果 $h\left(b_j^r\right)\≠h\left(a_j^{\mathrm{real}+1}\right)(j=\mathrm{0,1},...,n-1)$ 则继续协议，如果 $h\left(b_j^r\right)=h\left(a_j^{r^{\mathrm{real}}+1}\right)$ 则r＝r^real+1，利用t个数值对 $(\left({\mathrm{ID}}_{a_t}\right|\left|r^{\mathrm{real}}\right),E_{d_{a_1}}\left(r^{\mathrm{real}}\right)),...,(\left({\mathrm{ID}}_{a_t}\right|\left|r^{\mathrm{real}}\right),E_{d_{a_t}}\left(r^{\mathrm{real}}\right))$ 和n-t个数值对(m₁，W(m₁))，...，(m_n-t，W(m_n-t))可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}{B}^{\mathrm{real}}\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}\left(r^{\mathrm{real}}\right)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({{\mathrm{ID}}_a}_j\right|\left|r^{\mathrm{real}}\right)}{h\left({{\mathrm{ID}}_a}_i\right|\left|r^{\mathrm{real}}\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}{r}^{\mathrm{real}}\right)-m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}W\left(m_i\right)\underset{j=1,j\≠1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}{d_{a_i}-h\left({{\mathrm{ID}}_a}_j\right|\left|r^{\mathrm{real}}\right)}\mathrm{mod}p\end{array}$

今则重构出密钥结束协议。

本发明在以下方面进行理论和方法研究：结合博弈论、信息论、密码算法，在移动互联通信网络基础上针对理性密钥共享协议防合谋方法、网络通信方式和密钥封装机制等关键理论进行研究和改进，设计可计算防合谋均衡方法，构建协议的防合谋带熵博弈模型，防止参与者合谋攻击；构建密码协议的通信博弈模型，弥补广播通信网络下构建的密码协议不能在移动互联环境中实现的缺陷；研究适用于可验证随机函数的密钥封装机制，设计无需公钥基础设施的理性密钥共享协议，在移动互联环境中保证计算的公平性和交付性；最后，利用可证明安全理论对协议进行安全分析和证明。在本发明所述的基于移动互联网络的密钥分发与重构方法与装置中，具有以下优势：

(1)针对移动互联网络中移动用户欺诈及合谋问题，本发明在结合传统经典密码算法基础上，提出可计算防合谋均衡的设计方法，构建预防移动用户合谋的博弈框架和模型，使得理性的移动用户依据自身收益得失，没有动机欺诈及合谋偏离协议，可为防合谋研究提供新的解决方法。这一效果是在具体方案中，密钥分发者根据几何分布将秘密值放入r^*轮，几何分布的参数为λ(一次贝努利实验中秘密出现的概率)，λ的值取决于参与者的收益，如果参与者在博弈中合谋的期望收益很大，则可将λ设小一点，增加协议的期望执行轮数以增大参与者背离协议的风险。参与者不清楚秘密值在那一轮出现，移动用户选择欺诈及合谋的收益没有其遵守协议的收益大，因此理性的移动用户没有动机合谋偏离协议所保证的。

(2)针对现有理性密钥共享协议中数据发送机制无法有效应用于移动互联网的缺陷，本发明设计了密钥分发和重构的方法，设置了移动用户博弈信号，可以促使移动用户正确发送数据。这一效果是在本发明方案中，密钥分发者利用插值法构造两个多项式，一个用于重构密钥，另一个用于重构博弈信号标示，将信号标志放在协议某一轮中，将秘密值放在标志位的上一轮，这样可以保证在移动互联网络环境中，当某个移动用户重构出信号标志时，说明所有移动用户在上一轮都已经重构出秘密。这样可以促使移动用户有正确发送信息的动机。

(3)针对公钥基础设施(PKI)效率低下，不宜在移动设备中应用的问题，在移动互联网络环境下构建基于身份的密钥封装和恢复方法，设计适合于移动互联网络的可验证随机函数，提出无需公钥证书的理性密钥共享协议框架和模型，方案具有良好的鲁棒性和较佳的并发处理能力，最终在移动设备间能够公平地重构密钥，具有较高的应用价值，这一效果是由方案中无需公钥证书的密钥封装机制、可验证随机函数和密钥分发和重构方法所保证的。

附图说明

图1是本发明的移动互联网环境下理性密钥共享方案拓扑图；

图2是本发明的基于身份密钥封装的可验证随机函数构造图；

图3是本发明的移动互联网环境下理性密钥共享方案图。

具体实施方式

本发明的原理如下，

随着移动互联网和密码协议的应用在国民生产生活中所占比重日益增加，本方案的研究将会在很大程度上提高移动互联网络的安全性和可用性，可为解决移动互联网络环境中密钥共享问题提供新的解决途径，为丰富和完善理性密码协议提供理论基础和技术依据，对国民经济和社会发展产生较深远的影响。移动互联网络环境下理性密钥共享方案的网络拓扑如图1所示。

本专利首先研究适用于可验证随机函数的基于身份密钥封装机制，设计无需公钥基础设施的理性密钥共享协议，使得技术方案可以在移动互联网络环境下使用；通过构造可验证的随机函数，完善了加密过程中存在的信息缺失或篡改的弊端，大大加强了在移动互联网络环境下使用的安全性。基于身份密钥封装的可验证随机函数构造如图2所示

1)基于身份密钥封装的可验证随机函数

可验证随机函数的概念是Micali，Rabin和Vadhan首先提出来的，可验证随机函数(VRF)是伪随机并且可验证的，对于它输出的正确性，能提供一个非交互的验证证据。

基于身份的密钥封装模型

基于身份的密钥封装模型的概念是William等人在异步信道下提出的。基于身份的密钥封装机制允许一个发送者和一个接收者共同协商一个会话密钥K。他是通过4个运算规则定义的：Setup(1^k)以安全的参数作为输入，输出一个主密钥对(mpk，msk)；KeyDer(msk，ID)算法运用主私钥对每一个ID计算出sk_ID；Encap(mpk，ID)算法用来计算出一个随机的会话密钥以及密文C；Decap(C，sk_ID)允许接收者解开密文的封装从而返回会话密钥K。一个可用于可验证随机函数构造的基于身份的密钥封装算法如下：

Setup(1^k)：k是一个安全的参数，G₁，G₂是素数阶为q的两个双线性群。此外，让e：G₁×G₁→G₂表示双线性映射。其中g是G₁的生成元，g∈G₁。然后算法从中随机挑选得到h＝g^s，进而输出一个主密钥对(mpk＝(g，h)，msk＝s)。

KeyDer(msk，ID)：密钥产生算法构造一个密钥

Encap(mpk，ID)：密钥封装算法从Z_q中取出一个随机的t值，t←Z_q。然后计算一个随机的会话密钥K＝e(g，g)^t及相对应的密文C，C＝(g^sg^ID)^t。

Decap(C，sk_ID)：解封装算法，用密钥sk_ID从密文C中计算会话密钥K，K＝e(C，sk_ID)。

2)可验证随机函数构造

Gen(1^k)运行(mpk，msk)←Setup(1^k)，选择一个任意的身份ID₀∈ID，其中ID是身份空间，然后计算C₀←Encp(mpk，ID₀)。接下来设置vpk＝(mpk，C₀)和vsk＝msk。

Func_vsk(x)计算π_x＝(sk_x，aux_x)＝KeyDer(msk，x)和y＝Decap(C₀，π_x)。返回(y，π_x)，其中y是输出，π_x是一个证据。

Ver(vpk，x，y，π_x)通过计算(C，K)＝Encap(mpk，x，aux_x)并且验证是否K＝Decap(C，π_x)，从而检验π_x是否是x的有效证据。然后通过计算是否Decap(C₀，π_x)＝y来验证y的正确性。如果以上两个验证都是正确的话，那么这个算法就返回1，否则的话返回0。

为了能让以上构造方法适用于移动互联网络，我们进一步对以上方法进行改进，把以上适用两方的基于身份的可验证随机函数拓展到多方参与的情景当中，这样一来就可以在我们的移动互联模型中得到应用。

假设p₁，...，p_n是n个参与者，ID_i∈ID(i＝1，...，n)对应每一个人的身份，其中ID是身份空间，d_i是每一个p_i的私钥。

Gen(1^k)：以安全参数k为输入，返回mpk_i，msk_i并且计算然后设d_i＝msk_i。

计算 ${\mathrm{\π}}_{d_i}\left(x\right)=({\mathrm{sk}}_x^i,{\mathrm{aux}}_x^i)=\mathrm{KeyDer}({\mathrm{msk}}_i,x),E_{d_i}\left(x\right)=\mathrm{Decap}(C_i,{\mathrm{\π}}_x)$ 的值。其中为VRF的输出，为证据。

首先要验证对于x，是否是正确的。计算 $(C_i,K_i)=\mathrm{Encap}({\mathrm{mpk}}_i,x,{\mathrm{auk}}_x^i)$ 并且验证 $K_i=\mathrm{Decap}(C_i,{\mathrm{\π}}_{d_i}\left(x\right)).$ 然后通过检验的正确与否来验证y的正确性。如果两个验证都通过的话，算法返回1，否则的话返回0。

3)移动互联网络环境下理性密钥共享方案设计

依据基于身份密钥封装的可验证随机函数的构造方案，我们设计了移动互联网络环境下的理性密钥共享方案，填补了现有大多数协议建立在广播信道基础上，不能在移动互联网络环境中实现的技术空白，设计方案如图3所示

密钥分发阶段

(1)假设有n个参与者P_i(i＝1，2，…，n)，密钥为L，ID_i∈ID(i＝1，…，n)作为P_i的身份。设d_i作为P_i的私钥，是一个抗碰撞哈希函数。

(2)分发者根据参数λ的几何分布，随机选取一个整数r^real∈Z_p，然后计算Gen(1^k)从而得到d_i。

(3)分发者选取素数p，利用拉格朗日差值算法构建两个(n-1)阶的多项式。第一个是利用n个数值 $\left({\mathrm{ID}}_1\right||r^{\mathrm{real}},E_{d_1}\left(r^{\mathrm{real}}\right)),...,\left({\mathrm{ID}}_n\right||r^{\mathrm{real}},E_{d_n}\left(r^{\mathrm{real}}\right))$ 构建W(x)，另一个是利用n个数值 构建W′(x)：

$W\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{E}_{d_i}\left(r^{\mathrm{real}}\right)\underset{j=1,j\≠i}{\overset{n}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_j\right|\left|r^{\mathrm{real}}\right)}{h\left({\mathrm{ID}}_i\right|\left|r^{\mathrm{real}}\right)-h\left({\mathrm{ID}}_j\right|\left|r^{\mathrm{real}}\right)}\mathrm{mod}p$

$\begin{array}{c}{W}^{\′}\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{E}_{d_i}(r^{\mathrm{real}}+1)\underset{j=1,j\≠i}{\overset{n}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_j\right|\left|(r^{\mathrm{real}}+1)\right)}{h\left({\mathrm{ID}}_i\right|\left|(r^{\mathrm{real}}+1)\right)-h\left({\mathrm{ID}}_j\right|\left|(r^{\mathrm{real}}+1)\right)}\mathrm{mod}p\\ =a_0^{r^{\mathrm{real}}+1}+a_1^{r^{\mathrm{real}}+1}x+a_2^{r^{\mathrm{real}}+1}{x}^2+...+a_{n-1}^{r^{\mathrm{real}}+1}{x}^{n-1}\end{array}$

令 $M^{r^{\mathrm{real}}}=W\left(0\right),\mathrm{value}=l\⊕M^{r^{\mathrm{real}}}$

(4)分发者从[0，p-1]-h(ID_i||r)(r＝1，2，...，r^real)中选择(n-t)个最小的整数m₁，…，m_n-t并且计算W(m_k)和W′(x)(k＝1，2，...n-t)。

(5)分发者公布(m_k，W(m_k)，(m_k，W′(m_k))(k＝1，2，...n-t)、value、(j＝0，1，...n-1)一系列值，并且发送d_i给p_i。

密钥重构阶段

设 $T=\{p_{a_i},p_{a_2},...,p_{a_t}\}$ 是t个参与者，是 $p_{a_i}(1\≤i\≤t)$ 的子份额。在第r(r＝0，1，…，)轮，参与者执行协议如下：

(1)当r≡i(modt)时，t个参与者按照 $p_{a_{i+1}},p_{a_{i+2}},...,p_{a_t},p_{a_1},p_{a_2},...,p_{a_i}(0\≤i\≤t-1)$ 的顺序发送子密钥。

(2)从得到发送的密钥，如果则得出不是的有效证据，即存在合谋欺骗，然后参与者利用t个数值对 $(\left({\mathrm{ID}}_{a_1}\right||(r-1),E_{d_{a_1}}(r-1)),...,(\left({\mathrm{ID}}_{a_t}\right||(r-1),E_{d_{a_t}}(r-1\left)\right)$ 和n-t个数值对(m₁，W(m₁))，...，(m_n-1，W(m_n-t))就可以唯一确定一个(n-l)阶的多项式如下：

$\begin{array}{c}B\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}(r-1)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|(r-1)\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|(r-1)\right)-m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}W\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}{m_i-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}\mathrm{mod}p\end{array}$

令M^r-1＝B(0)，则可以重构密钥然后终止协议。如果则是的有效证据，即没有成员欺骗，继续协议。

(3)利用t个数值对和n-t个数值对(m₁，W′(m₁))，…，(m_n-t，W′(m_n-t))，则可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}{B}^{\′}\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}\left(r\right)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|r\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|r\right)-m_i}\\ +\underset{t=1}{\overset{n-t}{\mathrm{\Σ}}}{W}^{\′}\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}{d_{a_i}-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}\mathrm{mod}p\\ =b_0^r+b_1^{r}x+b_2^r{x}^2+...+b_{n-1}^r{x}^{n-1}\end{array}$

(4)如果则继续协议，如果则r＝r^real+1，利用t个数值对 $(\left({\mathrm{ID}}_{a_t}\right|\left|r^{\mathrm{real}}\right),E_{d_{a_1}}\left(r^{\mathrm{real}}\right)),...,(\left({\mathrm{ID}}_{a_t}\right|\left|r^{\mathrm{real}}\right),E_{d_{a_t}}\left(r^{\mathrm{real}}\right))$ 和n-t个数值对(m₁，W(m₁))，...，(m_n-t，W(m_n-t))可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}{B}^{\mathrm{real}}\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}\left(r^{\mathrm{real}}\right)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({{\mathrm{ID}}_a}_j\right|\left|r^{\mathrm{real}}\right)}{h\left({{\mathrm{ID}}_a}_i\right|\left|r^{\mathrm{real}}\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|r^{\mathrm{real}}\right)-m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}W\left(m_i\right)\underset{j=1,j\≠1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}{d_{a_i}-h\left({{\mathrm{ID}}_a}_j\right|\left|r^{\mathrm{real}}\right)}\mathrm{mod}p\end{array}$

令则重构出密钥结束协议。

本发明具有以下优点：

(1)针对移动用户欺诈和合谋攻击问题，提出防欺诈博弈策略模型和概率效用模型，提出可计算防合谋均衡的设计方法，构建预防参与者合谋的博弈框架和模型，使得理性的参与者依据自身收益得失，没有动机合谋偏离协议，可为移动互联环境防合谋研究提供新的解决方法。

(2)针对现有理性密钥共享协议中数据发送机制无法有效应用于移动互联网的缺陷，设计了密钥分发和重构的方法，设置了移动用户博弈信号，可以促使移动用户正确发送数据。确保协议能在移动互联网络环境中实现，因此更利于协议的推广和应用。

(3)针对公钥基础设施(PKI)效率低下，不宜在移动设备中应用的问题，在移动互联网络环境下构建基于身份的密钥封装和恢复方法，提出无需公钥证书的可验证随机函数及理性密钥共享协议框架和模型，方案具有良好的鲁棒性和较佳的并发处理能力，最终在移动设备间能够公平地重构密钥，目前尚未检索到有相关文献，具有较高的应用价值。

在本发明中的一些术语的解释：

1.Shamir门限秘密共享算法

Shamir于1979年基于Lagrange插值公式构造一种经典的门限秘密共享算法：

(1)协议初始化阶段：分发者从GF(q)中选取n个不同的非零元素x₁，...，x_n，然后将x_i分配给参与者p_i，其中q为素数且q＞n；

(2)秘密分发阶段：从GF(q)随机选择m-1个元素a₁，...，a_m-1，构造m-1次多项式其中s代表秘密，计算y_i＝h(x_i)，1≤i≤n，然后将y_i秘密发送给p_i；

(3)秘密重构阶段：n个参与者中的任意m个可以重构多项式h(x)如下：

$\begin{array}{c}h\left(x\right)=y_1\frac{(x-x_2)(x-x_3)\·\·\·(x-x_m)}{(x_1-x_2)(x_1-x_3)\·\·\·(x_1-x_m)}+y_2\frac{(x-x_1)(x-x_3)\·\·\·(x-x_m)}{(x_2-x_1)(x_2-x_3)\·\·\·(x_2-x_m)}\\ +\·\·\·+y_m\frac{(x-x_1)(x-x_2)\·\·\·(x-x_{m-1})}{(x_t-x_1)(x_t-x_2)\·\·\·(x-x_{m-1})}\\ =\underset{i=1}{\overset{m}{\mathrm{\Σ}}}{y}_i\underset{1\≤j\≤m,j\≠i}{\mathrm{\Π}}\frac{x-x_j}{x_i-x_j}\end{array}$

其中秘密s＝h(0)。

2.哈希函数

哈希(Hash)函数在中文中有很多译名，有些人根据Hash的英文原意译为“散列函数”或“杂凑函数”，有些人干脆把它音译为“哈希函数”，还有些人根据Hash函数的功能译为“压缩函数”、“消息摘要函数”、“指纹函数”、“单向散列函数”等等。

Hash算法是把任意长度的输入数据经过算法压缩，输出一个尺寸小了很多的固定长度的数据，即哈希值。哈希值也称为输入数据的数字指纹或消息摘要等。Hash函数一般具备以下的性质：

1、给定输入数据，很容易计算出它的哈希值；

2、反过来，给定哈希值，倒推出输入数据则很难，计算上不可行。这就是哈希函数的单向性，在技术上称为抗原像攻击性；

3、给定哈希值，想要找出能够产生同样的哈希值的两个不同的输入数据，(这种情况称为碰撞，Collision)，这很难，计算上不可行，在技术上称为抗碰撞攻击性。

3.双线性对

双线性对的概念和性质

定义：设G₁和G₂是2个阶为素数p的循环群，令g为G₁的生成元。如果e：G₁×G₁→G₂满足：

(1)双线性性：对任意的u，v∈G₁和有e(u^a，v^b)＝e(u，v)^ab。

(2)非退化性：e(g，g)≠1。

(3)可计算性：对任何u，v∈G₁，都存在有效的算法来计算e(u，v)。

则称e为双线性映射。双线性映射可以由Weil映射和Tate映射得到。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其他实施例的不同之处，各个实施例之间相同相似部分互相参见即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能性一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应超过本发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机储存器、内存、只读存储器、电可编程ROM、电可檫除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其他形式的存储介质中。

可以理解的是，对于本领域的普通技术人员来说，可以根据本发明的技术构思做出其它各种相应的改变与变形，而所有这些改变与变形都应属于本发明权利要求的保护范围。

Claims (10)

1.一种基于移动互联网络的密钥分发和重构方法，其特征在于，其包括如下步骤：

S1、构造基于身份的密钥封装模型以及可验证随机函数；

S2、对密钥进行分发；

S3、对密钥进行重构。

2.如权利要求1所述的基于移动互联网络的密钥分发和重构方法，其特征在于，所述步骤S1中构造基于身份的密钥封装模型包括：

基于身份的密钥封装机制允许一个发送者和一个接收者共同协商一个会话密钥K，其通过4个如下运算规则定义：Setup(1^k)以安全的参数作为输入，输出一个主密钥对(mpk，msk)；KeyDer(msk，ID)算法运用主私钥对每一个ID计算出sk_ID；Encap(mpk，ID)算法用来计算出一个随机的会话密钥以及密文C；Decap(C，sk_ID)允许接收者解开密文的封装从而返回会话密钥K；

在所述4个运算规则中：

Setup(1^k)：k是一个安全的参数，G₁，G₂是素数阶为q的两个双线性群，e：G₁×G₁→G₂表示双线性映射，其中g是G₁的生成元，g∈G₁，然后从中随机挑选得到h＝g^s，进而输出一个主密钥对(mpk＝(g，h)，msk＝s)；

KeyDer(msk，ID)：密钥产生算法构造一个密钥

Encap(mpk，ID)：密钥封装算法从Z_q中取出一个随机的t值，t←Z_q；然后计算一个随机的会话密钥K＝e(g，g)^t及相对应的密文C，C＝(g^sg^ID)^t；

Decap(C，sk_ID)：解封装算法，用密钥sk_ID从密文C中计算会话密钥K，K＝e(C，sk_ID)。

3.如权利要求1所述的基于移动互联网络的密钥分发和重构方法，其特征在于，所述步骤S1中构造可验证随机函数包括：

Gen(1^k)运行(mpk，msk)←Setup(1^k)，选择一个任意的身份ID₀∈ID，其中ID是身份空间，然后计算C₀←Encp(mpk，ID₀)；接下来设置vpk＝(mpk，C₀)和vsk＝msk；

Func_vsk(x)计算π_x＝(sk_x，aux_x)＝KeyDer(msk，x)和y＝Decap(C₀，π_x)；返回(y，π_x)，其中y是输出，π_x是一个证据；

Ver(vpk，x，y，π_x)通过计算(C，K)＝Encap(mpk，x，aux_x)并且验证是否K＝Decap(C，π_x)，从而检验π_x是否是x的有效证据；然后通过计算是否Decap(C₀，π_x)＝y来验证y的正确性；如果以上两个验证都是正确的话，那么这个算法就返回1，否则的话返回0。

4.如权利要求1所述的基于移动互联网络的密钥分发和重构方法，其特征在于，所述步骤S2包括如下子步骤：

假设有n个参与者P_i(i＝1，2，…，n)，密钥为L，ID_i∈ID(i＝1，…，n)作为P_i的身份，设d_i作为P_i的私钥，是一个抗碰撞哈希函数；

分发者根据参数^λ的几何分布，随机选取一个整数r^real∈Z_p，然后计算Gen(1^k)从而得到d_i；

分发者选取素数p，利用拉格朗日差值算法构建两个n-1阶的多项式，第一个是利用n个数值对构建W(x)，另一个是利用n个数值对构建W′(x)：

$W\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{E}_{d_i}\left(r^{\mathrm{real}}\right)\underset{j=1,j\≠i}{\overset{n}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_j\right|\left|r^{\mathrm{real}}\right)}{h\left({\mathrm{ID}}_i\right|\left|r^{\mathrm{real}}\right)-h\left({\mathrm{ID}}_j\right|\left|r^{\mathrm{real}}\right)}\mathrm{mod}p$

$\begin{array}{c}{W}^{\′}\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{E}_{d_i}(r^{\mathrm{real}}+1)\underset{j=1,j\≠i}{\overset{n}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_j\right|\left|(r^{\mathrm{real}}+1)\right)}{h\left({\mathrm{ID}}_i\right|\left|(r^{\mathrm{real}}+1)\right)-h\left({\mathrm{ID}}_j\right|\left|(r^{\mathrm{real}}+1)\right)}\mathrm{mod}p\\ =a_0^{r^{\mathrm{real}}+1}+a_1^{r^{\mathrm{real}}+1}x+a_2^{r^{\mathrm{real}}+1}{x}^2+...+a_{n-1}^{r^{\mathrm{real}}+1}{x}^{n-1}\end{array}$

令 $M^{r^{\mathrm{real}}}=W\left(0\right),\mathrm{value}=l\⊕M^{r^{\mathrm{real}}}$

分发者从[0，p-1]-h(ID_i||r)(r＝1，2，...，r^real)中选择(n-t)个最小的整数m₁，...，m_n-t并且计算W(m_k)和W′(x)(k＝1，2，...n-t)；

分发者公布(m_k，W(m_k)，(m_k，W′(m_k))(k＝1，2，...n-t)、value、(j＝0，1，...n-1)一系列值，并且发送d_i给p_i。

5.如权利要求1所述的基于移动互联网络的密钥分发和重构方法，其特征在于，所述步骤S3包括如下子步骤：

设是t个参与者，是(1≤i≤t)的子份额，在第r(r＝0，1，…，)轮，参与者执行协议如下：

当r≡i(modt)时，t个参与者按照(0≤i≤t-1)的顺序发送子密钥；

$p_{a_j}\∈T$ 从 $p_{a_i}\∈T$ 得到发送的密钥，如果 $\mathrm{VER}({\mathrm{vpk}}_i,r,E_{d_{a_i}}\left(r\right),{\mathrm{\π}}_{d_{a_i}}\left(r\right))=0$ 则得出不是的有效证据，即存在合谋欺骗，然后参与者利用t个数值对和n-t个数值对(m₁，W(m₁))，...，(m_n-t，W(m_n-t))就可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}B\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}(r-1)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|(r-1)\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|(r-1)\right)-m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}W\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}{m_i-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}\mathrm{mod}p\end{array}$

令M^r-1＝B(0)，则可以重构密钥然后终止协议；如果则是的有效证据，即没有成员欺骗，继续协议；

利用t个数值对和n-t个数值对(m₁，W′(m₁))，...，(m_n-t，W′(m_n-t))，则可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}{B}^{\′}\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}\left(r\right)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|r\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|r\right)m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}{W}^{\′}\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}{d_{a_i}-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}\mathrm{mod}p\\ =b_0^r+b_1^{r}x+b_2^r{x}^2+...+b_{n-1}^r{x}^{n-1}\end{array}$

如果 $h\left(b_j^r\right)\≠h\left(a_j^{\mathrm{real}+1}\right)(j=\mathrm{0,1},...,n-1)$ 则继续协议，如果 $h\left(b_j^r\right)=h\left(a_j^{r^{\mathrm{real}}+1}\right)$ 则r＝r^real+1，利用t个数值对 和n-t个数值对(m₁，W(m₁))，...，(m_n-t，W(m_n-t))可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}{B}^{\mathrm{real}}\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}\left(r^{\mathrm{real}}\right)\underset{j=1,j\≠t}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|r^{\mathrm{real}}\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|r^{\mathrm{real}}\right)-m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}W\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}{d_{a_i}-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}\mathrm{mod}p\end{array}$

令 $M^{r^{\mathrm{real}}}=B^{\mathrm{real}}\left(0\right),$ 则重构出密钥 $l=\mathrm{value}\⊕M^{r^{\mathrm{real}}},$ 结束协议。

6.一种基于移动互联网络的密钥分发和重构装置，其特征在于，其包括如下模块：

密钥封装模型及可验证随机函数构造模块，用于构造基于身份的密钥封装模型以及可验证随机函数；

密钥分发模块，用于对密钥进行分发；

密钥重构模块，用于对密钥进行重构。

7.如权利要求6所述的基于移动互联网络的密钥分发和重构装置，其特征在于，所述密钥封装模型及可验证随机函数构造模块中构造基于身份的密钥封装模型包括：

基于身份的密钥封装机制允许一个发送者和一个接收者共同协商一个会话密钥K，其通过4个如下运算规则定义：Setup(1^k)以安全的参数作为输入，输出一个主密钥对(mpk，msk)；KeyDer(msk，ID)算法运用主私钥对每一个ID计算出sk_ID；Encap(mpk，ID)算法用来计算出一个随机的会话密钥以及密文C；Decap(C，sk_ID)允许接收者解开密文的封装从而返回会话密钥K；

在所述4个运算规则中：

Setup(1^k)：k是一个安全的参数，G₁，G₂是素数阶为q的两个双线性群，e：G₁×G₁→G₂表示双线性映射，其中g是G₁的生成元，g∈G₁，然后从中随机挑选得到h＝g^s，进而输出一个主密钥对(mpk＝(g，h)，msk＝s)；

KeyDer(msk，ID)：密钥产生算法构造一个密钥

Encap(mpk，ID)：密钥封装算法从Z_q中取出一个随机的t值，t←Z_q；然后计算一个随机的会话密钥K＝e(g，g)^t及相对应的密文C，C＝(g^sg^ID)^t；

Decap(C，sk_ID)：解封装算法，用密钥sk_ID从密文C中计算会话密钥K，K＝e(C，sk_ID)。

8.如权利要求1所述的基于移动互联网络的密钥分发和重构装置，其特征在于，所述密钥封装模型及可验证随机函数构造模块中构造可验证随机函数包括：

Gen(1^k)运行(mpk，msk)←Setup(1^k)，选择一个任意的身份ID₀∈ID，其中ID是身份空间，然后计算C₀←Encp(mpk，ID₀)；接下来设置vpk＝(mpk，C₀)和vsk＝msk；

Func_vsk(x)计算π_x＝(sk_x，aux_x)＝KeyDer(msk，x)和y＝Decap(C₀，π_x)；返回(y，π_x)，其中y是输出，π_x是一个证据；

Ver(vpk，x，y，π_x)通过计算(C，K)＝Encap(mpk，x，aux_x)并且验证是否K＝Decap(C，π_x)，从而检验π_x是否是x的有效证据；然后通过计算是否Decap(C₀，π_x)＝y来验证y的正确性；如果以上两个验证都是正确的话，那么这个算法就返回1，否则的话返回0。

9.如权利要求1所述的基于移动互联网络的密钥分发和重构装置，其特征在于，所述密钥分发模块包括：

n个参与者P_i(i＝1，2，…，n)，密钥为L，ID_i∈ID(i＝1，…，n)作为P_i的身份，设d_i作为P_i的私钥，是一个抗碰撞哈希函数；

分发者根据参数^λ的几何分布，随机选取一个整数r^real∈Z_p，然后计算Gen(1^k)从而得到d_i；

分发者选取素数p，利用拉格朗日差值算法构建两个n-1阶的多项式，第一个是利用n个数值对构建W(x)，另一个是利用n个数值对构建W′(x)：

$W\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{E}_{d_i}\left(r^{\mathrm{real}}\right)\underset{j=1,j\≠i}{\overset{n}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_j\right|\left|r^{\mathrm{real}}\right)}{h\left({\mathrm{ID}}_i\right|\left|r^{\mathrm{real}}\right)-h\left({\mathrm{ID}}_j\right|\left|r^{\mathrm{real}}\right)}\mathrm{mod}p$

$\begin{array}{c}{W}^{\′}\left(x\right)=\underset{i=1}{\overset{n}{\mathrm{\Σ}}}{E}_{d_i}(r^{\mathrm{real}}+1)\underset{j=1,j\≠i}{\overset{n}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_j\right|\left|(r^{\mathrm{real}}+1)\right)}{h\left({\mathrm{ID}}_i\right|\left|(r^{\mathrm{real}}+1)\right)-h\left({\mathrm{ID}}_j\right|\left|(r^{\mathrm{real}}+1)\right)}\mathrm{mod}p\\ =a_0^{r^{\mathrm{real}}+1}+a_1^{r^{\mathrm{real}}+1}x+a_2^{r^{\mathrm{real}}+1}{x}^2+...+a_{n-1}^{r^{\mathrm{real}}+1}{x}^{n-1}\end{array}$

令 $M^{r^{\mathrm{real}}}=W\left(0\right),\mathrm{value}=l\⊕M^{r^{\mathrm{real}}}$

分发者从[0，p-1]-h(ID_i||r)(r＝1，2，...，r^real)中选择(n-t)个最小的整数m₁，...，m_n-t并且计算W(m_k)和W′(x)(k＝1，2，...n-t)；

分发者公布(m_k，W(m_k)，(m_k，W′(m_k))(k＝1，2，...n-t)、value、(j＝0，1，...n-1)一系列值，并且发送d_i给p_i。

10.如权利要求1所述的基于移动互联网络的密钥分发和重构装置，其特征在于，所述密钥重构模块包括：

在是t个参与者，是(1≤i≤t)的子份额，在第r(r＝0，1，…，)轮时，参与者执行协议如下：

当r≡i(modt)时，t个参与者按照(0≤i≤t-1)的顺序发送子密钥；

$p_{a_j}\∈T$ 从 $p_{a_i}\∈T$ 得到发送的密钥，如果 $\mathrm{VER}({\mathrm{vpk}}_i,r,E_{d_{a_i}}\left(r\right),{\mathrm{\π}}_{d_{a_i}}\left(r\right))=0$ 则得出不是的有效证据，即存在合谋欺骗，然后参与者利用t个数值对和n-t个数值对(m₁，W(m₁))，...，(m_n-t，W(m_n-t))就可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}B\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}(r-1)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|(r-1)\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|(r-1)\right)-m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}W\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}{m_i-h\left({\mathrm{ID}}_{a_j}\right|\left|(r-1)\right)}\mathrm{mod}p\end{array}$

令M^r-1＝B(0)，则可以重构密钥然后终止协议；如果则是的有效证据，即没有成员欺骗，继续协议；

利用t个数值对和n-t个数值对(m₁，W′(m₁))，...，(m_n-t，W′(m_n-t))，则可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}{B}^{\′}\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}\left(r\right)\underset{j=1,j\≠i}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|r\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|r\right)m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}{W}^{\′}\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}{d_{a_i}-h\left({\mathrm{ID}}_{a_j}\right|\left|r\right)}\mathrm{mod}p\\ =b_0^r+b_1^{r}x+b_2^r{x}^2+...+b_{n-1}^r{x}^{n-1}\end{array}$

如果 $h\left(b_j^r\right)\≠h\left(a_j^{\mathrm{real}+1}\right)(j=\mathrm{0,1},...,n-1)$ 则继续协议，如果 $h\left(b_j^r\right)=h\left(a_j^{r^{\mathrm{real}}+1}\right)$ 则r＝r^real+1，利用t个数值对和n-t个数值对(m₁，W(m₁))，...，(m_n-t，W(m_n-t))可以唯一确定一个(n-1)阶的多项式如下：

$\begin{array}{c}{B}^{\mathrm{real}}\left(x\right)=\underset{i=1}{\overset{t}{\mathrm{\Σ}}}{E}_{d_{a_i}}\left(r^{\mathrm{real}}\right)\underset{j=1,j\≠t}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}{h\left({\mathrm{ID}}_{a_i}\right|\left|r^{\mathrm{real}}\right)-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}\underset{j=1}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_i}{h\left({\mathrm{ID}}_{a_i}\right|\left|r^{\mathrm{real}}\right)-m_i}\\ +\underset{i=1}{\overset{n-t}{\mathrm{\Σ}}}W\left(m_i\right)\underset{j=1,j\≠i}{\overset{n-t}{\mathrm{\Π}}}\frac{x-m_j}{m_i-m_j}\underset{j=1}{\overset{t}{\mathrm{\Π}}}\frac{x-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}{d_{a_i}-h\left({\mathrm{ID}}_{a_j}\right|\left|r^{\mathrm{real}}\right)}\mathrm{mod}p\end{array}$

令 $M^{r^{\mathrm{real}}}=B^{\mathrm{real}}\left(0\right),$ 则重构出密钥 $l=\mathrm{value}\⊕M^{r^{\mathrm{real}}},$ 结束协议。