CN107430829B

CN107430829B - 份额恢复系统、装置、方法以及存储介质

Info

Publication number: CN107430829B
Application number: CN201680015306.1A
Authority: CN
Inventors: 五十岚大; 千田浩司; 菊池亮; 滨田浩气
Original assignee: Nippon Telegraph and Telephone Corp
Current assignee: Nippon Telegraph and Telephone Corp
Priority date: 2015-03-18
Filing date: 2016-02-01
Publication date: 2020-12-01
Anticipated expiration: 2036-02-01
Also published as: EP3258458B1; WO2016147718A1; EP3258458A1; CN107430829A; JP5968484B1; US20180053442A1; EP3258458A4; JP2016173534A; US10885814B2

Abstract

提供对Shamir秘密分散的高效的份额恢复技术。n台份额恢复装置p₀、…、p_n‑1生成若复原则成为随机数r的Shamir秘密分散值的份额[r]_i。k台份额恢复装置σ₀、…、σ_k‑1从份额[a]_i减去份额[r]_i而计算份额[b]_i。份额恢复装置τ_k从份额恢复装置σ₀、…、σ_k‑1接收份额[b]₀、…、[b]_k‑1。份额恢复装置τ_k使用份额[b]₀、…、[b]_k‑1恢复份额[b]_k、…、[b]_k+m‑1。m‑1台份额恢复装置τ_k+1、…、τ_k+m‑1从份额恢复装置τ_k接收份额[b]_j。m台份额恢复装置τ_k、…、τ_k+m‑1将份额[r]_j与份额[b]_j相加而计算份额[a]_j。

Description

份额恢复系统、装置、方法以及存储介质

技术领域

本发明涉及秘密分散技术，特别地，涉及在进行了秘密分散的分散值之中一部分的份额(share)丢失了的情况下恢复该丢失了的份额的技术。

背景技术

所谓秘密分散，指将数据变换为分割成多个的分散值，若使用一定个数以上的份额则能够复原原先的数据，从不足一定个数的份额一概不能复原原先的数据的技术。再者，将进行了秘密分散的多个值的组称为分散值，将分散值中的1个片段称为份额。作为秘密分散的例子，可列举Shamir秘密分散(Shamir's Secret Sharing)、复制型秘密分散(Replicated Secret Sharing)等。

所谓恢复，是在由于保有份额的方面(party)变得不能利用等而丢失了一部分的份额时，从可利用的一定数量的份额不丧失隐匿性地重构变得不能利用的一部分份额的方法。作为现有的恢复技术，例如可列举专利文献1、非专利文献1中记载的方法。

现有技术文献

专利文献

专利文献1：日本专利第4305049号说明书

非专利文献

非专利文献1：K.V.Rashmi,N.B.Shah,and P.V.Kumar,“Optimal Exact-Regenerating Codes for Distributed Storage at the MSR and MBR Points via aProduct-Matrix Construction”,CoRR,vol.abs/1005.4178,2010.

发明内容

发明要解决的课题

专利文献1、非专利文献1中记载的现有技术需要专用的编码。因此，与Shamir秘密分散等不同，不能应用于秘密计算。此外，就专利文献1的方法而言，各方面的平均通信量为O(n)，效率低。

本发明的目的在于，鉴于这一点，提供对Shamir秘密分散的高效的份额恢复技术。

用于解决课题的方案

为了解决上述的课题，本发明的份额恢复系统是包含n台份额恢复装置p₀、…、p_n-1在内的份额恢复系统，设n≥2k-1，设m≤n-k，设i是0以上小于k的各整数，设j是k+1以上小于k+m的各整数，设[a]₀、…、[a]_n-1是通过Shamir秘密分散将信息a分割为n个的份额，设σ₀、…、σ_k-1是保持正当的份额[a]₀、…、[a]_k-1的k台份额恢复装置，设τ_k、…、τ_k+m-1是保持不正当的份额[a]_k、…、[a]_k+m-1的m台份额恢复装置，份额恢复装置σ_i包含：随机数生成单元，生成若复原则成为随机数r的Shamir秘密分散值[r]的份额[r]_i；以及隐匿化单元，从份额[a]_i减去份额[r]_i，计算若复原则成为值b的Shamir秘密分散值[b]的份额[b]_i，份额恢复装置τ_k包含：随机数生成单元，生成Shamir秘密分散值[r]的份额[r]_k；份额通信单元，从份额恢复装置σ₀、…、σ_k-1接收Shamir秘密分散值[b]的份额[b]₀、…、[b]_k-1；恢复单元，使用份额[b]₀、…、[b]_k-1恢复Shamir秘密分散值[b]的份额[b]_k、…、[b]_k+m-1；以及复原单元，将份额[r]_k与份额[b]_k相加而计算份额[a]_k，份额恢复装置τ_j包含：随机数生成单元，生成Shamir秘密分散值[r]的份额[r]_j；份额通信单元，从份额恢复装置τ_k接收Shamir秘密分散值[b]的份额[b]_j；以及复原单元，将份额[r]_j与份额[b]_j相加而计算份额[a]_j。

发明效果

就本发明的份额恢复技术而言，恢复Shamir秘密分散的份额时的方面平均通信量是1域要素。此外，即使在丢失了多个份额的情况下平均通信量也不会变化。因此，根据本发明，能够高效地恢复Shamir秘密分散的份额。

附图说明

图1是例示份额恢复系统的功能结构的图。

图2是例示第一实施方式的份额恢复装置的功能结构的图。

图3是例示第一实施方式的份额恢复方法的处理流程的图。

图4是例示第二实施方式的份额恢复装置的功能结构的图。

图5是例示失配检测单元的功能结构的图。

图6是例示第二实施方式的份额恢复方法的处理流程的图。

图7是例示失配检测方法的处理流程的图。

具体实施方式

在实施方式的说明之前，说明本说明书中的标记方法以及本发明的基本的思路。

[标记方法]

p_i表示持有第i个份额的方面。

P＝(p₀,…,p_n-1)表示持有份额的n方面整体的集合。

σ_i∈P表示持有正当的份额的工作中的方面。

τ_i∈P表示丢失了正当的份额的故障中的方面。

[·]^x(方括号)表示明文·的基于Shamir秘密分散的分散值。x表示明文空间的要素数。在x＝p时，省略x，表示为[·]。p是作为组Z_p的位数的素数。

[·]_i表示Shamir秘密分散值[·]中的、方面p_i∈P所持有的份额。

[Shamir秘密分散]

Shamir秘密分散(Shamir's Secret Sharing)是(k,n)-秘密分散之一。(k,n)-秘密分散是将被输入的明文分割为n个分散值分散到n个方面予以保持，只要备齐任意的k个份额则能够复原明文，从不足k个份额得不到与明文有关的一切信息的秘密分散。此时，n、k是1以上的整数，n＝2k-1。与Shamir秘密分散有关的细节请参照下述参考文献1。

〔参考文献1〕A.Shamir,“How to share a secret”,Communications of theACM,vol.22(11),pp.612-613,1979.

在Shamir秘密分散中，对第i个方面p_i分配坐标x_i，使用随机数r_i通过下式将明文a分散。

[算式1]

Shamir秘密分散的优点在于数据容量小。另一方面，缺点在于域的要素数必须是n+1以上，使用不了mod 2。

以下，详细说明本发明的实施方式。再者，在附图中对具有相同的功能的结构单元附加相同的编号，省略重复说明。

[第一实施方式]

如图1所例示的，第一实施方式的份额恢复系统包含n(≥3)台份额恢复装置1₁、…、1_n。在本方式中，份额恢复装置1₁、…、1_n分别连接到通信网络2。通信网络2是构成为所连接的各装置彼此可通信的线路交换方式或者分组交换方式的通信网络，例如能够使用互联网、LAN(Local Area Network)、WAN(Wide Area Network)等。再者，各装置不是必须能够经由通信网络2在线通信。例如也可以构成为，将向份额恢复装置1_i(i∈{1,…,n})输入的信息存储到磁带、USB存储器等的移动式记录介质，从该移动式记录介质离线输入。

如图2所例示的，份额恢复装置1包含份额存储单元10、随机数生成单元11、隐匿化单元12、份额通信单元13、恢复单元14、以及复原单元15。

份额恢复装置1例如是使具有中央运算处理装置(CPU:Central ProcessingUnit)、主存储装置(RAM:Random Access Memory)等的公知或者专用的计算机读入特别的程序而构成的特别的装置。份额恢复装置1例如基于中央运算处理装置的控制而执行各处理。被输入到份额恢复装置1的数据、通过各处理得到的数据例如被储存到主存储装置，储存在主存储装置中的数据被根据需要被读出至中央运算处理装置，利用于其他处理。份额恢复装置1的各处理单元也可以至少一部分由集成电路等的硬件构成。

份额恢复装置1所包括的份额存储单元10例如是由诸如RAM(Random AccessMemory)等的主存储装置、硬盘、光盘或者闪存存储器(Flash Memory)这样的半导体存储器元件构成的辅助存储装置，或者能够由关系数据库、键值存储(Key Value Store)等的中间件构成。

参照图3，说明第一实施方式的份额恢复方法的处理手续。

以下，将σ₀、…、σ_k-1设为从工作中的份额恢复装置中任意地选择出的k台份额恢复装置，将τ_k、…、τ_k+m-1(m≤n-k)设为故障中的m台份额恢复装置。即，在信息a的Shamir秘密分散值[a]之中，份额[a]₀、…、[a]_k-1是正当的份额，[a]_k、…、[a]_k+m-1是破损或者丢失了的份额。σ₀、…、σ_k-1、τ_k、…、τ_k+m-1是在逻辑上表示份额恢复装置的作用的标号，至于哪个份额恢复装置1₁、…、1_n与哪个份额恢复装置σ₀、…、σ_k-1、τ_k、…、τ_k+m-1对应，在执行时任意地确定。

至少k台份额恢复装置σ_i(i＝0、…、k-1)的份额存储单元10中存储有将信息a通过Shamir秘密分散分割为n个的分散值[a]中的第i个份额[a]_i。信息a是域F的要素，域F是modp的数的集合。再者，p是素数。

在步骤S11中，n台份额恢复装置p_i(i＝0、…、n-1)的随机数生成单元11生成若复原则成为随机数r的Shamir秘密分散值[r]的份额[r]_i。份额[r]_i被向隐匿化单元12及复原单元15传送。就份额[r]_i的生成而言，必须在不论从哪个份额恢复装置p_i，随机数r均被隐匿的状态下进行。例如，能够像以下那样生成份额[r]_i。首先，份额恢复装置p_j(j＝0、…、n-1)分别生成随机数r_j。接着，份额恢复装置p_j分别通过Shamir秘密分散将随机数r_j分割，生成随机数r_j的分散值[r_j]。然后，份额恢复装置p_i(i＝0、…、n-1)分别计算[r]_i＝Σ_j<n[r_j]_i，得到随机数r的份额[r]_i。若这样构成，则任一个份额恢复装置p₀、…、p_n-1均不知晓随机数r，而能够得到随机数r的份额[r]_i。

在步骤S12_i中，k台份额恢复装置σ_i(i＝0、…、k-1)的隐匿化单元12从存储在份额存储单元10中的份额[a]_i减去随机数生成单元11输出的份额[r]_i，计算Shamir秘密分散的份额[b]_i。即，计算[b]_i＝[a]_i-[r]_i。份额恢复装置σ_i的份额通信单元13将份额[b]_i向份额恢复装置τ_k发送。在步骤S13_k中，份额恢复装置τ_k的份额通信单元13从份额恢复装置σ₀、…、σ_k-1接收k个份额[b]₀、…、[b]_k-1。

在步骤S14_k中，份额恢复装置τ_k的恢复单元14使用从份额恢复装置σ₀、…、σ_k-1接收到的k个份额[b]₀、…、[b]_k-1，恢复m个份额[b]_k、…、[b]_k+m-1。份额恢复装置τ_k的份额通信单元13将m-1个份额[b]_j(j＝k+1、…、k+m-1)向份额恢复装置τ_j发送。在步骤S13_j中，份额恢复装置τ_j(j＝k+1、…、k+m-1)的份额通信单元13从份额恢复装置τ_k接收份额[b]_j。

具体而言，份额恢复装置τ_k的恢复单元14像以下那样进行份额的恢复。恢复单元14对j＝k、…、k+m-1，通过下式计算份额[b]_j。

[算式2]

这里，λ_σ,i,j是在公知的拉格朗日插补中从坐标x₀、…、x_k-1的函数值f(x₀)、…、f(x_k-1)(＝[a]₀、…、[a]_k-1)计算坐标x_j的函数值f(x_j)时应该与函数值f(x_i)相乘的系数。λ_σ,i,j能够通过下式计算。

[算式3]

在步骤S15_k中，份额恢复装置τ_k的复原单元15将随机数生成单元11输出的份额[r]_k与恢复单元14输出的份额[b]_k相加，计算份额[a]_k。即，计算[a]_k＝[b]_k+[r]_k。同样，在步骤S15_j中，m-1台份额恢复装置τ_j(j＝k+1、…、k+m-1)的复原单元15将随机数生成单元11输出的份额[r]_j与从份额恢复装置τ_k接收到的份额[b]_j相加，计算份额[a]_j。即，计算[a]_j＝[b]_j+[r]_j。

在本方式的份额恢复系统及方法中，在处理中使用随机数r，但该随机数r最后被取消，所以在恢复了份额时无需再次生成工作中的方面的份额。此外，恢复了的份额是与丢失前相同的份额，所以数据的版本管理不会恶化。

本方式的份额恢复系统以及方法的性能如以下所述。通信量是通过下式计算的比特数。其中，m是丢失了的份额的个数，|p|是为了表示素数p而所需的比特数。

[算式4]

整体的回合数(round number)为2。随机数生成量是通过下式计算的比特数。

[算式5]

[第二实施方式]

如图1所例示的，第二实施方式的份额恢复系统包含n(≥3)台份额恢复装置3₁、…、3_n。

如图4所例示的，份额恢复装置3_i(i＝1、…、n)和第一实施方式同样包含份额存储单元10、随机数生成单元11、隐匿化单元12、份额通信单元13、恢复单元14、以及复原单元15，还包含失配检测单元16。如图5所例示的，失配检测单元16包含公开随机数生成单元161、共享随机数计算单元162、校验和计算单元163、随机数分散值生成单元164、判定值计算单元165、判定值通信单元166、判定值恢复单元167、以及失配判定单元168。

参照图6，以与第一实施方式的差异为中心说明第二实施方式的份额恢复方法的处理手续。

在步骤S16中，n台份额恢复装置p_i(i＝0、...、n-1)的失配检测单元16验证存储在份额存储单元10中的信息a的分散值[a]中是否存在失配，确定持有不正当的份额的份额恢复装置τ_k、...、τ_k+m-1。此外，同时，从持有正当的份额的份额恢复装置中选择进行份额的恢复的k台份额恢复装置σ₀、...、σ_k-1。

在步骤S11以后的处理中，持有不正当的份额的份额恢复装置τ_k、...、τ_k+m-1和从持有正当的份额的n-m台份额恢复装置中选择出的k台份额恢复装置σ₀、...、σ_k-1通过第一实施方式中说明的方法进行不正当的份额的恢复。

参照图7，更详细地说明失配检测单元16检测分散值的失配的处理手续。

在步骤S161中，n台份额恢复装置p_i(i＝0、...、n-1)的公开随机数生成单元161生成随机数s_i。所生成的随机数s_i被公开，使得能够从其他n-1台份额恢复装置p_i′(i′＝0、...、n-1、i≠i′)参照。

在步骤S162中，n台份额恢复装置p_i的共享随机数计算单元162使用将自身生成的随机数s_i和其他n-1台份额恢复装置p_i′公开的随机数s_i′合并的n个随机数s₀、...、s_n-1，通过下式计算共享随机数s。

[算式6]

s：＝∑_i＜ns_i

在步骤S163中，n台份额恢复装置p_i的校验和计算单元163将存储在份额存储单元10中的份额[a]_i设为[a]_i：＝([a₀]i，...，[a_m-1]_i)，使用共享随机数计算单元162算出的共享随机数s，通过下式计算校验和[c]_i。

[算式7]

[c]_i：＝∑_j＜m-1s^j+1[a_j]_i+s^m+1[a_m-1]_i

在步骤S164中，n台份额恢复装置p_i的随机数分散值生成单元164生成若复原则成为随机数r′的Shamir秘密分散值[r′]的份额[r′]_i。份额[r′]_i的生成方法通过与上述的随机数生成单元11同样的处理进行即可。

在步骤S165中，n台份额恢复装置p_i的判定值计算单元165从校验和计算单元163算出的校验和[c]_i中减去随机数分散值生成单元164生成的份额[r′]_i，计算若复原则成为判定值d的Shamir秘密分散值[d]的份额[d]_i＝[c-r′]_i。份额彼此的减法运算能够无份额恢复装置p₀、...、p_n-1间的通信地进行。

在步骤S166a中，n-1台份额恢复装置p₁、...、p_n-1的判定值通信单元166将判定值计算单元165算出的份额[d]_i向份额恢复装置p₀发送。在步骤S166b中，份额恢复装置p₀的判定值通信单元166从n-1台份额恢复装置p₁、…、p_n-1接收n-1个份额[d]₁、…、[d]_n-1。

在步骤S167中，n台份额恢复装置p_i的判定值恢复单元167从k个份额[d]₀、…、[d]_k-1恢复n-k个份额[d]'_k、…、[d]'_n-1。和上述的恢复单元14同样，份额的恢复方法能够使用拉格朗日插补进行。

在步骤S168中，n台份额恢复装置p_i的失配判定单元168对j'＝k、…、n-1，判定从份额恢复装置p_j'接收到的份额[d]_j'和恢复了的份额[d]'_j'是否一致。对全部j'＝k、…、n-1，若[d]_j'＝[d]'_j'成立则判定为没有失配，若对任一个j'为[d]_j'≠[d]'_j'，则判定为有失配。在判定为没有失配的情况下，输出表示该含义的信息(例如从k个份额[d]₀、…、[d]_k-1复原了的判定值d等)，结束处理。

在判定为有失配的情况下，从n台份额恢复装置p_i中选择2k-1台份额恢复装置，对全部2k-1台的份额恢复装置的组合，通过上述的失配检测单元16的处理手续反复进行失配检测。由此，在检出了失配的情况下，能够检测到共通地进行了处理的份额恢复装置所保持的份额是不正当的份额。

根据第二实施方式的份额恢复系统及方法，在份额偶发地比特反转了的情况下、份额被攻击者篡改了的情况下等，即使全部份额恢复装置均处于工作中，也能够恢复份额。特别地，在诸如通过取份额本体的哈希值而进行篡改检测这样的方法中，不能应对诸如篡改份额本体和哈希值这二者这样的攻击，但是若是本方式的方法，则除非全部份额被一致地篡改，否则能够检测失配，所以是有效的。此外，就失配检测单元的处理而言，不论份额的数据量如何，均通信量为O(1)，回合数为O(1)，所以效率高。

不言而喻，本发明不限定于上述的实施方式，在不脱离本发明的宗旨的范围能够适当变更。在上述实施方式中说明的各种处理不仅可以按照记载的顺序以时序予以执行，也可以根据执行处理的装置的处理能力或者根据需要并行地或者单独地予以执行。

[程序、记录介质]

在通过计算机实现上述实施方式中说明的各装置中的各种处理功能的情况下，通过程序记述各装置所应该具有的功能的处理内容。然后，通过用计算机执行该程序，在计算机上实现上述各装置中的各种处理功能。

记述了该处理内容的程序能够预先记录在计算机可读取的记录介质中。作为计算机可读取的记录介质，例如也可以是磁记录装置、光盘、光磁记录介质、半导体存储器等任意的计算机可读取的记录介质。

此外，该程序的流通例如是通过销售、转让、借贷记录了该程序的DVD、CD-ROM等的移动式记录介质等进行的。进一步，也可以设为下述结构，即，通过将该程序预先储存在服务器计算机的存储装置中，经由网络从服务器计算机将该程序转发到其他计算机，从而使该程序流通。

执行这样的程序的计算机例如首先将记录在移动式记录介质的程序或者从服务器计算机转发的程序暂时储存在自身的存储装置中。然后，在执行处理时，该计算机读取储存在自身的记录介质中的程序，执行遵循读取出的程序的处理。此外，作为该程序的其他执行方式，可以是计算机从移动式记录介质直接读取程序，执行遵循该程序的处理，进一步，也可以是每当该计算机被从服务器计算机转发程序时，依次执行遵循接收到的程序的处理。此外，也可以设为通过从服务器计算机不进行向该计算机的程序的转发、仅基于其执行指示和结果获取实现处理功能的、所谓ASP(Application Service Provider)型的服务而执行上述的处理的结构。再者，假设本方式中的程序中包含有助于电子计算机所进行的处理之用的信息且比照程序的准程序(不是对计算机的直接的指令，但是是具有对计算机的处理进行规定的性质的数据等)。

此外，在本方式中，设为通过在计算机上执行规定的程序而构成本装置，但是也可以以硬件方式实现这些处理内容的至少一部分。

Claims

1.一种份额恢复系统，是包含n台份额恢复装置p₀、…、p_n-1的份额恢复系统，

设n≥2k-1，设m≤n-k，设i是0以上且小于k的各整数，设j是k+1以上且小于k+m的各整数，设[a]₀、…、[a]_n-1是将信息a通过Shamir秘密分散而分割为n个的份额，设σ₀、…、σ_k-1是持有正当的份额[a]₀、…、[a]_k-1的k台份额恢复装置，设τ_k、…、τ_k+m-1是持有不正当的份额[a]_k、…、[a]_k+m-1的m台份额恢复装置，

上述份额恢复装置σ_i包含：

随机数生成单元，生成若复原则成为随机数r的Shamir秘密分散值[r]的份额[r]_i；以及

隐匿化单元，从上述份额[a]_i减去上述份额[r]_i，计算若复原则成为值b的Shamir秘密分散值[b]的份额[b]_i，

上述份额恢复装置τ_k包含：

随机数生成单元，生成上述Shamir秘密分散值[r]的份额[r]_k；

份额通信单元，从上述份额恢复装置σ₀、…、σ_k-1接收上述Shamir秘密分散值[b]的份额[b]₀、…、[b]_k-1；

恢复单元，使用上述份额[b]₀、…、[b]_k-1恢复上述Shamir秘密分散值[b]的份额[b]_k、…、[b]_k+m-1；以及

复原单元，将上述份额[r]_k与上述份额[b]_k相加，计算上述份额[a]_k，

上述份额恢复装置τ_j包含：

随机数生成单元，生成上述Shamir秘密分散值[r]的份额[r]_j；

份额通信单元，从上述份额恢复装置τ_k接收上述Shamir秘密分散值[b]的份额[b]_j；以及

复原单元，将上述份额[r]_j与上述份额[b]_j相加，计算上述份额[a]_j。

2.如权利要求1所述的份额恢复系统，

上述恢复单元对j'＝k、…、k+m-1，通过拉格朗日插补从上述份额[b]₀、…、[b]_k-1求[b]_j'，从而恢复上述份额[b]_k、…、[b]_k+m-1。

3.如权利要求1或2所述的份额恢复系统，

上述份额恢复装置p₀、…、p_n-1还包含：

公开随机数生成单元，生成随机数s_i，并公开上述随机数s_i；

共享随机数计算单元，生成上述随机数s₀、…、s_n-1的总和、即共享随机数s；

校验和计算单元，使用上述共享随机数s和上述份额[a]_i计算份额[c]_i＝Σσ_i<msⁱ⁺¹[a]_i；

随机数分散值生成单元，生成若复原则成为随机数r'的Shamir秘密分散值[r']的份额[r']_i；

判定值计算单元，从上述份额[c]_i减去上述份额[r']_i，计算若复原则成为判定值d的Shamir秘密分散值[d]的份额[d]_i；

判定值恢复单元，从k个份额[d]₀、…、[d]_k-1恢复n-k个份额[d]'_k、…、[d]'_n-1；以及

失配判定单元，对h＝k、…、n-1，判定上述份额[d]_h和上述份额[d]'_h是否一致。

4.一种份额恢复装置，

设n≥2k-1，设m≤n-k，设i是0以上且小于k的各整数，设[a]₀、…、[a]_n-1是将信息a通过Shamir秘密分散而分割为n个的份额，设m是不正当的份额的个数，

所述份额恢复装置包含：

随机数生成单元，生成若复原则成为随机数r的Shamir秘密分散值[r]的份额[r]_i；

隐匿化单元，从上述份额[a]_i减去上述份额[r]_i，计算若复原则成为值b的Shamir秘密分散值[b]的份额[b]_i；

份额通信单元，从k台其他份额恢复装置接收上述Shamir秘密分散值[b]的份额[b]₀,…,[b]_k-1，或者从其他份额恢复装置接收上述Shamir秘密分散值[b]的份额[b]_i；

复原单元，将上述份额[b]_i与上述份额[r]_i相加，计算上述份额[a]_k。

5.一种份额恢复方法，

设n≥2k-1，设m≤n-k，设i是0以上且小于k的各整数，设j是k+1以上且小于k+m的各整数，设i'是0以上且小于n的各整数，设j'是k以上且小于k+m的各整数，设[a]₀、…、[a]_n-1是通过Shamir秘密分散将信息a分割为n个的份额，设σ₀、…、σ_k-1是持有正当的份额[a]₀、…、[a]_k-1的k台份额恢复装置，设τ_k、…、τ_k+m-1是持有不正当的份额[a]_k、…、[a]_k+m-1的m台份额恢复装置，

上述份额恢复方法包含：

随机数生成步骤，n台份额恢复装置p_i'生成若复原则成为随机数r的Shamir秘密分散值[r]的份额[r]_i'；

隐匿化步骤，k台份额恢复装置σ_i从上述份额[a]_i减去上述份额[r]_i，计算若复原则成为值b的Shamir秘密分散值[b]的份额[b]_i；

第一份额通信步骤，份额恢复装置τ_k从上述份额恢复装置σ₀、…、σ_k-1接收上述Shamir秘密分散值[b]的份额[b]₀、…、[b]_k-1；

恢复步骤，上述份额恢复装置τ_k使用上述份额[b]₀、…、[b]_k-1恢复上述Shamir秘密分散值[b]的份额[b]_k、…、[b]_k+m-1；

第二份额通信步骤，m-1台份额恢复装置τ_j从上述份额恢复装置τ_k接收上述份额[b]_j；以及

复原步骤，m台份额恢复装置τ_j'将上述份额[r]_j'与上述份额[b]_j'相加而计算上述份额[a]_j'。

6.一种存储了程序的计算机可读取的记录介质，该程序用于通过由计算机执行而在计算机上实现作为权利要求4所述的份额恢复装置的处理功能。