CN105450394A - 一种基于门限秘密共享的份额更新方法及装置 - Google Patents

Abstract

本发明提供一种基于门限秘密共享的份额更新方法及装置，方法包括：接收更新池，所述更新池由客户端对更新元进行N次(t,n)门限秘密共享生成的N×n个更新元份额组成，N和n均为预设常数；接收更新秘密请求，更新秘密请求中携带密钥k_prf；根据更新秘密请求中携带的密钥k_prf，基于预先存储的I个秘密份额的位置坐标及预先存储的伪随机函数f，生成长度均为N比特的I个伪随机数；根所述I个伪随机数的每个比特和所述更新池中的每个更新元份额，计算预先存储的每个秘密份额的更新量；根据更新量，得到预先存储的每个秘密份额更新后的秘密份额。本发明提供一种基于门限秘密共享的份额更新方法及装置，减少份额更新的计算负荷，提高更新速度，并且不改变原秘密份额本身。

Description

一种基于门限秘密共享的份额更新方法及装置

技术领域

本发明涉及信息技术安全领域，具体涉及一种基于门限秘密共享的份额更新方法及装置。

背景技术

秘密共享是信息安全和数据保密的重要手段，它在重要信息和秘密数据的安全保存、传输以及合法利用中起着关键作用，近年来，随着研究的深入和云存储技术的发展，典型的秘密共享方案是由Shamir和Blakley提出的(t,n)门限秘密共享概念，其基本思想是将共享秘密S分成n个份额秘密分发给不同的参与者，满足只有大于等于t个服务器联合才能重构共享的秘密，而任意少于t个服务器不能得到该秘密的任何信息。

近年来，随着秘密共享技术研究的深入和云存储技术的发展，秘密共享技术被应用到远程数据存储方面，越来越多的人或者企业选择使用云存储环境存放自己的资料，给用户带来了极大的便利，但是在实际应用中，共享秘密往往具有较长的生命周期，敌手可以通过长期不断的攻击得到足够数量的影子秘密，从而重建共享秘密，使云存储中的数据的安全性受到威胁。

上述问题的一种简单解决思路是定期更新共享秘密，目前已有方案多侧重影子秘密更新的正确性以及防欺诈、防合谋等功能特性，而忽略更新过程中计算、带宽等性能要求，存在计算负荷较大，运算效率低的缺陷，限制了其应用范围，同时，为了保证侵犯服务器的敌手在现时间段内不会学习到上个时间段存储的份额，这一过程必须非常迅速地完成才能，而现有方案的运算效率低，很难满足快速更新的要求，而且就计算和网络通讯的复杂性而言，份额更新是一个代价昂贵的过程，因此，急需构造一种低通讯量、高效率、高灵活度以及具有快速份额更新功能的可更新秘密共享方案。

发明内容

本发明提供一种基于门限秘密共享的份额更新方法及装置，解决了现有份额更新方案通讯量大、计算负荷较高以及运算效率低的问题。

第一方面，本发明提供一种基于门限秘密共享的份额更新方法，所述方法包括：

接收更新池，所述更新池由客户端对更新元进行N次(t,n)门限秘密共享生成的N×n个更新元份额组成，N和n均为预设常数，t为门限值；

接收更新秘密请求，所述更新秘密请求中携带密钥k_prf；

根据所述更新秘密请求中携带的密钥k_prf，基于预先存储的I个秘密份额的位置坐标以及预先存储的伪随机函数f，生成长度均为N比特的I个伪随机数；

根据所述I个伪随机数的每个比特和所述更新池中的每个更新元份额，计算预先存储的每个秘密份额的更新量；

根据所述更新量，计算所述预先存储的每个秘密份额更新后的秘密份额。

其中，所述更新量的计算公式为：

$\mathrm{Re}share\[m\]\[i\]=\underset{k=1}{\overset{N}{\Σ}}{a}_i\[k\]\×{\stackrel{\→}{u}}_m\[k\]=\underset{r=1}{\overset{c}{\Σ}}{\stackrel{\→}{u}}_{m,i}\[k_{t_r}\],$

其中，a_i[k]为第i个伪随机数的第k个比特，a_i[k]的值为0或1，1≤i≤I，为客户端对更新元进行第k次(t,n)门限秘密共享生成的第m个更新元份额，1≤k≤N，1≤m≤n， 为时对应的更新元份额，c为元素a_i[k]为1的数量。

其中，所述方法还包括：

按照预设的时间长度T将预先存储的I个秘密份额的生存周期划分为多个子生存周期；

在当前子生存周期过程中，生成当前子生存周期秘密份额的更新量；

根据所述当前子生存周期秘密份额的更新量，得到当前子生存周期的秘密份额更新后的秘密份额。

其中，在所述获取更新池之前，所述方法还包括：

接收客户端发送的I×n个秘密份额；所述I×n个秘密份额的秘密共享方式与所述N×n个更新元份额的秘密共享方式相同。

其中，所述方法还包括：

接收客户端发送的读取秘密份额请求；

根据所述读取秘密份额请求，向客户端传输更新后的t个秘密份额，以使客户端根据所述更新后的秘密份额进行(t,n)门限秘密还原,得到还原后的原秘密信息。

第二方面，本发明还提供一种基于门限秘密共享的份额更新装置，所述装置包括：

更新池接收模块，用于接收更新池，所述更新池由客户端对更新元进行N次(t,n)门限秘密共享生成的N×n个更新元份额组成，N和n均为预设常数，t为门限值；

更新请求接收模块，用于接收更新秘密请求，所述更新秘密请求中携带密钥k_prf；

伪随机数生成模块，用于根据更新秘密请求中携带的密钥k_prf，基于预先存储的I个秘密份额的位置坐标以及预先存储的伪随机函数f，生成长度均为N比特的I个伪随机数；

更新量生成模块，用于根据所述I个伪随机数的每个比特和所述更新池中的每个更新元份额，计算预先存储的每个秘密份额的更新量；

份额更新模块，用于根据所述更新量，得到所述预先存储的每个秘密份额更新后的秘密份额。

其中，所述更新量的计算公式为：

$\mathrm{Re}share\[m\]\[i\]=\underset{k=1}{\overset{N}{\Σ}}{a}_i\[k\]\×{\stackrel{\→}{u}}_m\[k\]=\underset{r=1}{\overset{c}{\Σ}}{\stackrel{\→}{u}}_{m,i}\[k_{t_r}\],$

其中，a_i[k]为第i个伪随机数的第k个比特，a_i[k]的值为0或1，1≤i≤I，为客户端对更新元进行第k次(t,n)门限秘密共享生成的第m个更新元份额，1≤k≤N，1≤m≤n， 为时对应的更新元份额，c为元素a_i[k]为1的数量。

其中，所述装置还包括：

周期划分模块，用于按照预设的时间长度T将预先存储的I个秘密份额的生存周期划分为多个子生存周期；

周期更新量生成模块，用于在当前子生存周期过程中，生成当前子生存周期秘密份额的更新量；

周期份额更新模块，用于根据所述当前子生存周期秘密份额的更新量，得到当前子生存周期的秘密份额更新后的秘密份额。

其中，所述装置还包括：

份额接收模块，用于接收客户端发送的I×n个秘密份额；所述I×n个秘密份额的秘密共享方式与所述N×n个更新元份额的秘密共享方式相同。

其中，所述装置还包括：

份额请求接收模块，用于接收客户端发送的读取秘密份额请求；

发送模块，用于根据所述读取秘密份额请求，向客户端传输更新后的t个秘密份额，以使客户端根据所述更新后的秘密份额进行(t,n)门限秘密还原,得到还原后的原秘密信息。

本发明提供的一种基于门限秘密共享的份额更新方法及装置，通过运用异或运算进行门限秘密共享，在不改变服务器原始存储文件的情况下仅用很少的数据量即可更新很大的信息份额，降低了份额更新时的信息传输量，提高了份额更新的速度和效率，同时，将云端服务器中的秘密份额的较长的生存周期划分为多个子生存周期，在每个子生存周期过程中自动进行份额更新操作，提高了份额更新的灵活度，进一步地，提高了云端服务器中的数据的安全性。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。

图1为本发明一实施例提供的一种基于门限秘密共享的份额更新方法的流程图；

图2为本发明一实施例提供的更新量生成过程的流程图；

图3为本发明一实施例提供的云端n个服务器存储秘密份额的整体的排列示意图；

图4为本发明一实施例提供的客户端和云端服务器进行交互的流程图；

图5为本发明一实施例提供的一种基于门限秘密共享的份额更新装置的结构示意图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

需要说明的是，本公开实施例中提及的字母T为转置运算符，本公开实施例中提及的服务器可为业务服务器、远程服务器、云端服务器以及其它服务器类型，本公开实施例中的服务器的数量为多个。

如图1所示，本公开一实施例提供了一种基于门限秘密共享的份额更新方法，该方法包括如下步骤：

S1、接收更新池，所述更新池由客户端对更新元进行N次(t,n)门限秘密共享生成的N×n个更新元份额组成，N和n均为预设常数，t为门限值；

优选地，更新元为只包含0的信息串或其它对服务器中存储的秘密份额没有改变的更新元形式；

具体地，客户端生成更新池的过程为：

客户端对更新元进行N次(t,n)门限秘密共享，每次均得到n个更新元份额：其中，为第k次门限秘密共享得到的第m个更新元份额；

其中，每次对更新元进行(t,n)门限秘密共享得到n个更新元份额的计算过程为：

$\left[\begin{array}{c}{\stackrel{\→}{u}}_1\[k\]\\ {\stackrel{\→}{u}}_2\[k\]\\ .\\ .\\ .\\ {\stackrel{\→}{u}}_n\[k\]\end{array}\right]=H_{n\×t}\left[\begin{array}{c}{\stackrel{\→}{r}}_1^{\′}\\ .\\ .\\ .\\ {\stackrel{\→}{r}}_t^{\′}\\ \stackrel{\→}{0}\end{array}\right]where$

基于所述N×n个更新份额生成更新池：其中，第k次(t,n)门限秘密共享生成的n个更新元份额为： $U\[k\]=({\stackrel{\→}{u}}_1\[k\],{\stackrel{\→}{u}}_2\[k\],\mathrm{...},{\stackrel{\→}{u}}_m\[k\],\mathrm{...},{\stackrel{\→}{u}}_n\[k\]),$ 为客户端对更新元进行第k次(t,n)门限秘密共享生成的第m个更新元份额，1≤k≤N，1≤m≤n，N和n均为预设常数，t为门限值；

将所述更新池通过秘密信道分别传输到云端的n个服务器P₁,P₂,…,P_m,…,P_n中，其中， ${\tilde{p}}_m={\stackrel{\→}{u}}_m\[1\],{\stackrel{\→}{u}}_m\[2\],\mathrm{...},{\stackrel{\→}{u}}_m\[k\],\mathrm{...},{\stackrel{\→}{u}}_m\[N\].$

需要说明的是，t为门限值，满足只有大于等于t个服务器联合才能重构共享的秘密，而任意少于t个服务器不能得到该秘密的任何信息。

需说明的是，本实施例中，乘号“×”在向量之间的操作为内积运算，其操作可以是定义在像或({0,1}^d,+)这样的交换群上，进行异或或加法等运算。例如，令是像这样的交换群，{0,1}^d表示长度为dbit的二进制串(包含0和1的串)，0是其单位元。令b∈G,a∈{0,1}，定义：a×b＝b×a＝b(ifa＝1)|0(ifa＝0)，再令 $\stackrel{\→}{x}=(x_0,x_1,\mathrm{...}{x}_{n-1})$ 是G中的向量， $\stackrel{\→}{r}=(r_0,r_1,\mathrm{...}{r}_{n-1})$ 是{0,1}中的向量，定义群上的向量与GF(2)上向量的内积： $\stackrel{\→}{r}\×\stackrel{\→}{x}=\stackrel{\→}{x}\×\stackrel{\→}{r}=(r_0\×x_0)\⊕(r_1\×x_1)\⊕\mathrm{...}\⊕(r_{n-1}\×x_{n-1}).$

S2、接收更新秘密请求，所述更新秘密请求中携带密钥k_prf；

具体地，客户端根据预设的算法或规则生成更新密钥k_prf，将所述更新密钥k_prf发送给云端的多个服务器，每个服务器根据接收到的更新密钥开始运行预先存储的伪随机函数f，根据所述更新密钥k_prf及每个服务器中存储的秘密份额的位置坐标生成I个伪随机数。

应说明的是，客户端将生成的更新密钥k_prf发送给远端服务器后便立即将所述更新密钥k_prf销毁，以保证在更新过程中更新密钥k_prf不被窃取，提高更新过程的安全性。

具体地，在服务器接收更新秘密请求时，秘密份额开始新一轮的更新操作，根据更新秘密请求携带的密钥k_prf、预先存储的I个秘密份额的位置坐标以及预先存储的伪随机函数f生成I个伪随机数。

S3、根据所述更新秘密请求中携带的密钥k_prf，基于预先存储的I个秘密份额的位置坐标以及预先存储的伪随机函数f，生成长度均为N比特的I个伪随机数；

具体地，I个伪随机数为 $f_{k_{prf}}\left(1\right),f_{k_{prf}}\left(2\right),\mathrm{...},f_{k_{prf}}\left(i\right),\mathrm{...},f_{k_{prf}}\left(I\right),$ I个伪随机数均为长度为Nbit的0、1字符串，为第i个秘密份额的位置坐标对应的伪随机数，a_i[k]为第i个伪随机数的第k个比特，a_i[k]的值为0或1，1≤i≤I。

需要说明的是，的具体的排列形式由密钥k_prf值和秘密份额的位置坐标i唯一确定。

S4、根据所述I个伪随机数的每个比特和所述更新池中的每个更新元份额，计算预先存储的每个秘密份额的更新量；

S5、根据所述更新量，计算所述预先存储的每个秘密份额更新后的秘密份额。

具体地，更新后的秘密份额的计算公式为：

${\stackrel{\→}{y}}_{m,i}^{,}={\stackrel{\→}{y}}_{m,i}\⊕\mathrm{Re}share\[m\]\[i\],$

其中，为每个服务器中原来存储的秘密份额。

需要说明的是，本实施例中的运算符号为异或运算符或求和运算符，但本实施例不限定运算符号的具体运算形式，本领域技术人员可以根据实际情况利用本实施例的思想，通过其它的运算形式，计算更新后的秘密份额。

本实施例公开的一种基于门限秘密共享的秘密信息更新方法，通过运用异或运算进行(t,n)门限秘密共享并计算更新量，将包含0的信息串作为更新元，在不改变服务器原始存储文件的情况下仅用很少的数据量即可更新很大的信息份额，降低了份额更新时的信息传输量，提高了份额更新的速度和效率。

在本实施例中，更新量的计算公式为：

$\mathrm{Re}share\[m\]\[i\]=\underset{k=1}{\overset{N}{\Σ}}{a}_i\[k\]\×{\stackrel{\→}{u}}_m\[k\]=\underset{r=1}{\overset{c}{\Σ}}{\stackrel{\→}{u}}_{m,i}\[k_{t_r}\],$

其中，a_i[k]为第i个伪随机数的第k个比特，a_i[k]的值为0或1，1≤i≤I，为客户端对更新元进行第k次(t,n)门限秘密共享生成的第m个更新元份额，1≤k≤N，1≤m≤n， 为时对应的更新元份额，c为元素a_i[k]为1的数量。

需要说明的是，本实施例中的运算符号Σ为异或运算或者求和运算，与上述公开实施例中公开的运算符号的表示的运算形式相同，但本实施例不限定运算符号Σ的具体运算形式，本领域技术人员可以根据实际情况利用本实施例的思想，通过其它的运算形式，计算更新量。

如图2所示，更新量的生成过程为：服务器根据接收到的更新密钥k_prf开始运行伪随机函数f，根据所述更新密钥k_prf及每个服务器中存储的秘密份额的位置坐标生成长度为Nbit的I个伪随机数，然后得到每个伪随机数的N个比特，并根据更新池中的更新份额进行运算，生成更新量。

在本实施例中，所述方法还包括图中未示出的如下步骤Q1至Q3：

Q1、按照预设的时间长度T将预先存储的I个秘密份额的生存周期划分为多个子生存周期；

需要说明的是，本实施例中将每个子生存周期的长度均划分为时间长度T，但本实施例不限定子生存周期的具体时间长度，每个子生存周期的时间长度也可以不同，本领域技术人员可以根据实际情况对生存周期进行划分。

具体地，以区间[Γ_τ-1,Γ_τ]中周期更新为例说明将服务器中的秘密份额划分为多个子生存周期进行自动更新的过程：

在区间[Γ_τ-1,Γ_τ]中，第τ个更新点为Γ_τ＝Γ₀+τT(τ＝0,1,2,…)，当每个子生存周期刚开始时，进行一次份额更新操作，每次更新时生成新的更新量Reshare^(τ)[m][i]，其中1≤m≤n，1≤i≤I，可以理解的是，经过τ个子生存周期后所加的全部更新量为则第τ个子生存周期后，份额更新为

Q2、在当前子生存周期过程中，生成当前子生存周期秘密份额的更新量；

优选地，在每个子生存周期开始时进行秘密份额更新。

需要说明的是，本实施例中优选为在每个子生存周期开始时进行秘密份额更新，但不仅限于在每个子生存周期开始时进行秘密份额更新，本领域技术人员可根据实际情况在每个自生存周期过程中的任意时刻进行秘密份额更新。

Q3、根据所述当前子生存周期秘密份额的更新量，得到当前子生存周期的秘密份额更新后的秘密份额。

在本实施例中，在步骤S1：“接收更新池，所述更新池由客户端对更新元进行N次(t,n)门限秘密共享生成的N×n个更新元份额组成，N和n均为预设常数，t为门限值”之前，所述方法还包括如下步骤：

接收客户端发送的I×n个秘密份额；所述I×n个秘密份额的秘密共享方式与所述I×n个更新元份额的秘密共享方式相同。

其中，客户端发送的I×n个秘密份额，具体包括如下步骤：

将一个秘密信息分割成I个文件块：s₁,s₂,…,s_i,…,s_I，其中，s_i为第i个文件块，1≤i≤I，I为预设常数；

将所述I个文件块分别分割成p-1个子文件块，得到对应I个文件块向量其中，为第i个文件块向量，s_iφ为s_i的第φ个子文件块，1≤φ≤p-1，p为素数且p≥n+1，n为预设常数；

生成(p-1)×(t-1)个只包含0和1的随机信息串，构成p-1个随机信息串向量：其中，为第l个随机信息串向量， 为第l个子秘密份额的第个随机信息串，1≤l≤p-1，t≤n；

生成系数矩阵所述系数矩阵为当u＝m-1时，根据矩阵生成，其中，当i＝(j+u)modp时e_i,j取值为1，否则取值为0，其中，0≤u≤p-1，0≤j≤p-1；可见，在整数环上的矩阵乘法构成一个交换群，其中I_P-1为单位元。

根据所述I个文件块向量所述p-1个随机信息串向量以及所述α^m计算得到I×n个秘密份额；

将所述I×n个秘密份额分别发送到n个服务器，每个服务器得到I个秘密份额。

应说明的是，步骤S1中的更新元的长度与该处的文件块的长度相等。

如图3示出了云端n个服务器存储秘密份额的整体排列，即将每个文件块生成的n个秘密份额分别发送给云端n个服务器，具体地，以一个文件块为例，计算秘密份额的公式为：

$f\left(x\right)=\stackrel{\→}{r_1}+x\×\stackrel{\→}{r_2}+\mathrm{...}+x^{t-2}\×{\stackrel{\→}{r}}_{t-1}+x^{t-1}\×{\stackrel{\→}{s}}_i,$

其中，令则可计算出份额计算如下：

${\stackrel{\→}{y}}_m=f\left(x_m\right)=f\left({\mathrm{\α}}^m\right)={\[y_{1,m},y_{2,m},\mathrm{...},y_{p-1,m}\]}^T,$

即得到文件块S_i的n个份额1≤m≤n，1≤i≤I

$\left[\begin{array}{c}{\stackrel{\→}{y}}_{1,i}\\ {\stackrel{\→}{y}}_{2,i}\\ .\\ .\\ .\\ {\stackrel{\→}{y}}_{n,i}\end{array}\right]=H_{n\×t}\×\left[\begin{array}{c}{\stackrel{\→}{r}}_1\\ .\\ .\\ .\\ {\stackrel{\→}{r}}_{t-1}\\ {\stackrel{\→}{s}}_i\end{array}\right],$

其中，

其中，所述方法还包括如下步骤：

接收客户端发送的读取秘密份额请求；

根据所述读取秘密份额请求，向客户端传输更新后的t个秘密份额，以使客户端根据所述更新后的秘密份额进行(t,n)门限秘密还原,得到还原后的原秘密信息。

具体地，进行秘密信息还原的计算公式为：

$\left[\begin{array}{c}{\stackrel{\→}{y}}_{{\mathrm{\λ}}_1,i}^{\left(\mathrm{\τ}\right)}\\ {\stackrel{\→}{y}}_{{\mathrm{\λ}}_2,i}^{\left(\mathrm{\τ}\right)}\\ .\\ .\\ .\\ {\stackrel{\→}{y}}_{{\mathrm{\λ}}_t,i}^{\left(\mathrm{\τ}\right)}\end{array}\right]=V_{t\×t}\×\left[\begin{array}{c}{\stackrel{\→}{r}}_1+{{\stackrel{\→}{r}}_1}^{\left(1\right)}+\mathrm{...}+{{\stackrel{\→}{r}}_1}^{\left(\mathrm{\τ}\right)}\\ {\stackrel{\→}{r}}_2+{{\stackrel{\→}{r}}_2}^{\left(1\right)}+\mathrm{...}+{{\stackrel{\→}{r}}_2}^{\left(\mathrm{\τ}\right)}\\ .\\ .\\ .\\ {\stackrel{\→}{s}}_i+n\·\stackrel{\→}{0}\end{array}\right],$

其中，是从中任意选择的t个更新后的份额，1≤m≤n，V_t×t是根据此t个份额从上述H_n×t中取t行的方阵，V_t×t具体为：

具体地，图4示出了客户端和云端服务器进行交互的流程图，下面以一个秘密信息为个人通讯录，当(t＝3,n＝4)时的技术方案为例说明具体交互过程：

秘密份额分配阶段：将其分成I个文件块s₁,s₂,…,s_i,…,s_I，将每一个文件块用(t＝3,n＝4)门限秘密信息分配的方法产生4个秘密份额，而每一个服务器P_m持有相应份额其中1≤i≤I,1≤m≤4；

以文件块S₁为例，得到用(t＝3,n＝4)门限秘密信息分配方法，包括图中未示出的如下步骤：

A1、取p＝5，将S₁分割成4份s₁,s₂,s₃,s₄，令

A2、生成4×2个只包含0和1的随机信息串r_l,j，1≤l≤4， ${\stackrel{\→}{r}}_1={(r_{1,1},r_{2,1},r_{3,1},r_{4,1})}^T,{\stackrel{\→}{r}}_2={(r_{1,2},r_{2,2},r_{3,2},r_{4,2})}^T;$

A3、产生系数矩阵 ${\mathrm{\α}}^m={\tilde{E}}_{p-1}^{m-1}(1\≤m\≤4).$ 当u＝m-1，得 ${\tilde{E}}_{p-1}^u={\tilde{E}}_{p-1}^{m-1},$ 其中定义如下：当i＝(j+u)modp时e_i,j取值为1，否则为0，其中0≤u≤p-1，0≤j≤p-1：

$e_{i,j}=\left\{\begin{array}{cc}1,& \begin{array}{cc}for& i=(j+u)\mathrm{mod}p\end{array}\\ 0,& otherwise\end{array}\right.,$

A4、根据上述得到的α^m可以计算得到份额1≤m≤4,计算公式如下：

$f\left(x\right)=\stackrel{\→}{r_1}+x\×\stackrel{\→}{r_2}+x^2\×\stackrel{\→}{s_1}=\left[\begin{array}{c}{r}_{1,1}\\ r_{2,1}\\ r_{3,1}\\ r_{4,1}\end{array}\right]+x\×\left[\begin{array}{c}{r}_{1,2}\\ r_{2,2}\\ r_{3,2}\\ r_{4,2}\end{array}\right]+x^2\×\left[\begin{array}{c}{s}_1\\ s_2\\ s_3\\ s_4\end{array}\right],$

令1≤m≤4，客户端由如下公式计算f(α^m)：

${\stackrel{\→}{y}}_{1,1}=f\left(E_4^0\right)=\left[\begin{array}{c}{r}_{1,1}\\ r_{2,1}\\ r_{3,1}\\ r_{4,1}\end{array}\right]+\left[\begin{array}{c}{r}_{1,2}\\ r_{2,2}\\ r_{3,2}\\ r_{4,2}\end{array}\right]+\left[\begin{array}{c}{s}_1\\ s_2\\ s_3\\ s_4\end{array}\right],{\stackrel{\→}{y}}_{2,1}=f\left(E_4^1\right)=\left[\begin{array}{c}{r}_{1,1}\\ r_{2,1}\\ r_{3,1}\\ r_{4,1}\end{array}\right]+\left[\begin{array}{c}0\\ r_{1,2}\\ r_{2,2}\\ r_{3,2}\end{array}\right]+\left[\begin{array}{c}{s}_4\\ 0\\ s_1\\ s_2\end{array}\right]$

${\stackrel{\→}{y}}_{3,1}=f\left(E_4^2\right)=\left[\begin{array}{c}{r}_{1,1}\\ r_{2,1}\\ r_{3,1}\\ r_{4,1}\end{array}\right]+\left[\begin{array}{c}{r}_{4,2}\\ 0\\ r_{1,2}\\ r_{2,2}\end{array}\right]+\left[\begin{array}{c}{s}_2\\ s_3\\ s_4\\ 0\end{array}\right],{\stackrel{\→}{y}}_{4,1}=f\left(E_4^3\right)=\left[\begin{array}{c}{r}_{1,1}\\ r_{2,1}\\ r_{3,1}\\ r_{4,1}\end{array}\right]+\left[\begin{array}{c}{r}_{3,2}\\ r_{4,2}\\ 0\\ r_{1,2}\end{array}\right]+\left[\begin{array}{c}0\\ s_1\\ s_2\\ s_3\end{array}\right]$

准备更新池阶段：以N＝10为例，更新池生成过程包括以下步骤：

B1：用户对更新元“0”进行10次(t＝3,n＝4)门限秘密共享，将生成的N个份额集合(即“0”的份额集合)，记为U＝{U[1],U[2]…U[k]…U[10]}，其中每一个份额集合U[k]包含n＝4个份额，记为1≤k≤10。通过安全的秘密信道将U传输给远程的多个服务器。

应需说明的是，本实施例为了表达方便，取N＝10，实际情况下，N最好取100以上的整数，可按照用户需求而定。

份额更新阶段：一个更新操作时需要产生更新量Reshare(m,i)，1≤i≤I,1≤m≤4，以i＝1即Reshare(m,1)为例，对份额的更新份额步骤如下：

C1、客户端秘密地运行密钥生成算法，生成的密钥k_prf作为更新请求秘密地传给服务器。服务器运行伪随机函数f，根据密钥k_prf和服务器中预先存储的文件块位置坐标i，生成伪随机数 $f_{k_{prf}}\left(i\right)=a_i\[1\]a_i\[2\]...a_i\[k\]...a_i\[N\],$ 1≤i≤I。

以N＝10，i＝1为例， $f_{k_{prf}}\left(1\right)=a_1\[1\]a_1\[2\]...a_1\[k\]...a_1\[10\]=1010100011.$

其中，客户端生成的密钥k_prf仅用户知道，在客户端将密钥k_prf发送给服务器后，立即销毁密钥k_prf。

C2、将A1和A2得到的U与进行相乘运算，可得到更新量Reshare[m][1]，1≤m≤4,记第一次更新时的更新量为 ${\stackrel{\→}{R}}^{\left(1\right)}\[m\]\[1\]={\mathrm{Reshare}}^{\left(1\right)}\[m\]\[1\],$ 则有：

$\left[\begin{array}{c}{\stackrel{\→}{R}}^{\left(1\right)}\[1\]\[1\]\\ {\stackrel{\→}{R}}^{\left(1\right)}\[2\]\[1\]\\ {\stackrel{\→}{R}}^{\left(1\right)}\[3\]\[1\]\\ {\stackrel{\→}{R}}^{\left(1\right)}\[4\]\[1\]\end{array}\right]=U\[1\]+U\[3\]+U\[5\]+U\[9\]+U\[10\]=\left[\begin{array}{c}{\stackrel{\→}{u}}_1\[1\]\\ {\stackrel{\→}{u}}_2\[1\]\\ {\stackrel{\→}{u}}_3\[1\]\\ {\stackrel{\→}{u}}_4\[1\]\end{array}\right]+\left[\begin{array}{c}{\stackrel{\→}{u}}_1\[3\]\\ {\stackrel{\→}{u}}_2\[3\]\\ {\stackrel{\→}{u}}_3\[3\]\\ {\stackrel{\→}{u}}_4\[3\]\end{array}\right]\left[\begin{array}{c}{\stackrel{\→}{u}}_1\[5\]\\ {\stackrel{\→}{u}}_2\[5\]\\ {\stackrel{\→}{u}}_3\[5\]\\ {\stackrel{\→}{u}}_4\[5\]\end{array}\right]+\left[\begin{array}{c}{\stackrel{\→}{u}}_1\[9\]\\ {\stackrel{\→}{u}}_2\[9\]\\ {\stackrel{\→}{u}}_3\[9\]\\ {\stackrel{\→}{u}}_4\[9\]\end{array}\right]+\left[\begin{array}{c}{\stackrel{\→}{u}}_1\[10\]\\ {\stackrel{\→}{u}}_2\[10\]\\ {\stackrel{\→}{u}}_3\[10\]\\ {\stackrel{\→}{u}}_4\[10\]\end{array}\right]$

C3、每个服务器P_m对自身存储的秘密份额进行更新。

具体地，将步骤A3中得到的更新量Reshare[m][i]加到秘密份额y_m,i上从而实现一次更新。

本实施例中，选取第τ＝1个更新点Γ₁＝Γ₀+T，则第一行秘密份额更新后的份额为 ${\stackrel{\→}{y}}_{m,1}^{\left(1\right)}={\stackrel{\→}{y}}_{m,1}\⊕{\stackrel{\→}{R}}^{\left(1\right)}\[m\]\[1\].$

秘密还原阶段：当分发者需要得到秘密信息时，要求服务器返回更新后的份额，对份额进行门限秘密还原即可恢复原秘密信息。秘密还原如下：

$\begin{array}{cc}\left[\begin{array}{c}{\stackrel{\→}{y}}_{1,1}^{\left(1\right)}\\ {\stackrel{\→}{y}}_{2,1}^{\left(1\right)}\\ {\stackrel{\→}{y}}_{3,1}^{\left(1\right)}\end{array}\right]=V_{3\×3}\×\left[\begin{array}{c}{\stackrel{\→}{r}}_1+{{\stackrel{\→}{r}}_1}^{\left(1\right)}\\ {\stackrel{\→}{r}}_2+{{\stackrel{\→}{r}}_2}^{\left(1\right)}\\ {\stackrel{\→}{s}}_i+\stackrel{\→}{0}\end{array}\right]where& V_{3\×3}=\left[\begin{array}{ccc}1& E_4^0& E_4^0\\ 1& E_4^1& E_4^2\\ 1& E_4^2& E_4^4\end{array}\right]\end{array}$

得到原秘密信息且原秘密信息未被改变。

如图5所示，本公开另一实施例提供了一种基于门限秘密共享的份额更新装置，该装置包括：更新池接收模块51、更新请求接收模块52、伪随机数生成模块53、更新量生成模块54以及份额更新模块55；

更新池接收模块51，用于接收更新池，所述更新池由客户端对更新元进行N次(t,n)门限秘密共享生成的N×n个更新元份额组成，N和n均为预设常数，t为门限值；

更新请求接收模块52，用于接收更新秘密请求，所述更新秘密请求中携带密钥k_prf；

伪随机数生成模块53，用于根据更新秘密请求中携带的密钥k_prf，基于预先存储的I个秘密份额的位置坐标以及预先存储的伪随机函数f，生成长度均为N比特的I个伪随机数；

更新量生成模块54，用于根据所述I个伪随机数的每个比特和所述更新池中的每个更新元份额，计算预先存储的每个秘密份额的更新量；

份额更新模块55，用于根据所述更新量，得到所述预先存储的每个秘密份额更新后的秘密份额。

在本实施例中，所述更新量的计算公式为：

$\mathrm{Re}share\[m\]\[i\]=\underset{k=1}{\overset{N}{\Σ}}{a}_i\[k\]\×{\stackrel{\→}{u}}_m\[k\]=\underset{r=1}{\overset{c}{\Σ}}{\stackrel{\→}{u}}_{m,i}\[k_{t_r}\],$

其中，a_i[k]为第i个伪随机数的第k个比特，a_i[k]的值为0或1，1≤i≤I，为客户端对更新元进行第k次门限秘密共享生成的第m个更新元份额，1≤k≤N，1≤m≤n， 为时对应的更新元份额，c为元素a_i[k]为1的数量。

在本实施例中，所述装置还包括图中未示出的：周期划分模块56、周期更新量生成模块57以及周期份额更新模块58；

周期划分模块56，用于按照预设的时间长度T将预先存储的I个秘密份额的生存周期划分为多个子生存周期；

周期更新量生成模块57，用于在当前子生存周期过程中，生成当前子生存周期秘密份额的更新量；

周期份额更新模块58，用于根据所述当前子生存周期秘密份额的更新量，得到当前子生存周期的秘密份额更新后的秘密份额。

在本实施例中，所述装置还包括图中未示出的：份额接收模块50，

份额接收模块50，用于接收客户端发送的I×n个秘密份额；所述I×n个秘密份额的秘密共享方式与所述N×n个更新元份额的秘密共享方式相同。

所述客户端发送的I×n个秘密份额，包括：

将一个秘密信息分割成I个文件块：s₁,s₂,…,s_i,…,s_I，其中，s_i为第i个文件块，1≤i≤I，I为预设常数；

将所述I个文件块分别分割成p-1个子文件块，得到对应I个文件块向量其中，为第i个文件块向量，s_iφ为s_i的第φ个子文件块，1≤φ≤p-1，p为素数且p≥n-1，n为预设常数；

生成(p-1)×(t-1)个只包含0和1的随机信息串，构成p-1个随机信息串向量：其中，为第l个随机信息串向量， 为第l个子秘密份额的第个随机信息串，1≤l≤p-1，t≤n；

生成系数矩阵所述系数矩阵为当u＝m-1时，根据矩阵生成，其中，当i＝(j+u)modp时e_i,j取值为1，否则取值为0，其中，0≤u≤p-1，0≤j≤p-1；

根据所述I个文件块向量所述p-1个随机信息串向量以及所述α^m计算得到I×n个秘密份额；

将所述I×n个秘密份额分别发送到n个服务器，每个服务器得到I个秘密份额。

需要说明的是，本实施例是在客户端向多个服务器发送更新池之前，先向多个服务器发送秘密份额，但也可以由客户端同时向多个服务器发送秘密份额和更新池，也可以先由客户端向多个服务器发送更新池，再由客户端向多个服务器发送秘密份额。本领域技术人员可以根据实际情况决定秘密份额和更新池的发送顺序。

在本实施例中，所述装置还包括图中未示出的：份额请求接收模块和发送模块；

份额请求接收模块，用于接收客户端发送的读取秘密份额请求；

发送模块，用于根据所述读取秘密份额请求，向客户端传输更新后的秘密份额，以使客户端根据所述更新后的秘密份额还原秘密信息。

具体地，在本实施例中所述更新元的长度与所述文件块的长度对应相等。

应说明的是，每次进行更新时，用户仅用了几KB的数据量即可更新GB量级的存储数据，减少了传输更新数据的通讯开销。

本实施例公开的一种基于门限秘密共享的秘密信息更新装置，通过运用异或运算进行门限秘密共享并计算更新量，将包含0的信息串作为更新元，在不改变服务器原始存储文件的情况下仅用很少的数据量即可更新很大的信息份额，降低了份额更新时的信息传输量，提高了份额更新的速度和效率，同时，通过将服务器中存储的秘密份额的生存周期划分为多个子生存周期，在每个自生存周期进行自动份额更新，提高了份额更新的灵活度。

本领域普通技术人员可以理解：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明权利要求所限定的范围。

Claims (10)

1.一种基于门限秘密共享的份额更新方法，其特征在于，所述方法包括：

接收更新池，所述更新池由客户端对更新元进行N次(t,n)门限秘密共享生成的N×n个更新元份额组成，N和n均为预设常数，t为门限值；

接收更新秘密请求，所述更新秘密请求中携带密钥k_prf；

根据所述更新秘密请求中携带的密钥k_prf，基于预先存储的I个秘密份额的位置坐标以及预先存储的伪随机函数f，生成长度均为N比特的I个伪随机数；

根据所述I个伪随机数的每个比特和所述更新池中的每个更新元份额，计算预先存储的每个秘密份额的更新量；

根据所述更新量，计算所述预先存储的每个秘密份额更新后的秘密份额。

2.根据权利要求1所述的方法，其特征在于，所述更新量的计算公式为：

$\mathrm{Re}share\[m\]\[i\]=\underset{k=1}{\overset{N}{\Σ}}{a}_i\[k\]\×{\stackrel{\→}{u}}_m\[k\]=\underset{r=1}{\overset{c}{\Σ}}{\stackrel{\→}{u}}_{m,i}\[k_{t_r}\],$

其中，a_i[k]为第i个伪随机数的第k个比特，a_i[k]的值为0或1，1≤i≤I，为客户端对更新元进行第k次(t,n)门限秘密共享生成的第m个更新元份额，1≤k≤N，1≤m≤n，为时对应的更新元份额，c为元素a_i[k]为1的数量。

3.根据权利要求1所述的方法，其特征在于，所述方法还包括：

按照预设的时间长度T将预先存储的I个秘密份额的生存周期划分为多个子生存周期；

在当前子生存周期过程中，生成当前子生存周期秘密份额的更新量；

根据所述当前子生存周期秘密份额的更新量，得到当前子生存周期的秘密份额更新后的秘密份额。

4.根据权利要求1-3任一项所述的方法，其特征在于，在所述获取更新池之前，所述方法还包括：

接收客户端发送的I×n个秘密份额；所述I×n个秘密份额的秘密共享方式与所述N×n个更新元份额的秘密共享方式相同。

5.根据权利要求1-4任一项所述的方法，其特征在于，所述方法还包括：

接收客户端发送的读取秘密份额请求；

根据所述读取秘密份额请求，向客户端传输更新后的t个秘密份额，以使客户端根据所述更新后的秘密份额进行(t,n)门限秘密还原,得到还原后的原秘密信息。

6.一种基于门限秘密共享的份额更新装置，其特征在于，所述装置包括：

更新池接收模块，用于接收更新池，所述更新池由客户端对更新元进行N次(t,n)门限秘密共享生成的N×n个更新元份额组成，N和n均为预设常数，t为门限值；

更新请求接收模块，用于接收更新秘密请求，所述更新秘密请求中携带密钥k_prf；

伪随机数生成模块，用于根据更新秘密请求中携带的密钥k_prf，基于预先存储的I个秘密份额的位置坐标以及预先存储的伪随机函数f，生成长度均为N比特的I个伪随机数；

更新量生成模块，用于根据所述I个伪随机数的每个比特和所述更新池中的每个更新元份额，计算预先存储的每个秘密份额的更新量；

份额更新模块，用于根据所述更新量，得到所述预先存储的每个秘密份额更新后的秘密份额。

7.根据权利要求6所述的装置，其特征在于，所述更新量的计算公式为：

$\mathrm{Re}share\[m\]\[i\]=\underset{k=1}{\overset{N}{\Σ}}{a}_i\[k\]\×{\stackrel{\→}{u}}_m\[k\]=\underset{r=1}{\overset{c}{\Σ}}{\stackrel{\→}{u}}_{m,i}\[k_{t_r}\],$

其中，a_i[k]为第i个伪随机数的第k个比特，a_i[k]的值为0或1，1≤i≤I，为客户端对更新元进行第k次(t,n)门限秘密共享生成的第m个更新元份额，1≤k≤N，1≤m≤n，为时对应的更新元份额，c为元素a_i[k]为1的数量。

8.根据权利要求6所述的装置，其特征在于，所述装置还包括：

周期划分模块，用于按照预设的时间长度T将预先存储的I个秘密份额的生存周期划分为多个子生存周期；

周期更新量生成模块，用于在当前子生存周期过程中，生成当前子生存周期秘密份额的更新量；

周期份额更新模块，用于根据所述当前子生存周期秘密份额的更新量，得到当前子生存周期的秘密份额更新后的秘密份额。

9.根据权利要求6-8任一项所述的装置，其特征在于，所述装置还包括：

份额接收模块，用于接收客户端发送的I×n个秘密份额；所述I×n个秘密份额的秘密共享方式与所述N×n个更新元份额的秘密共享方式相同。

10.根据权利要求6-9任一项所述的装置，其特征在于，所述装置还包括：

份额请求接收模块，用于接收客户端发送的读取秘密份额请求；

发送模块，用于根据所述读取秘密份额请求，向客户端传输更新后的t个秘密份额，以使客户端根据所述更新后的秘密份额进行(t,n)门限秘密还原，得到还原后的原秘密信息。