CN109361513B - 一种针对Shamir秘密共享的用户权重分配方法 - Google Patents

Abstract

本发明公开了一种针对Shamir秘密共享的用户权重分配方法，包括构造OBDD结构，借助OBDD完成对秘密共享策略的刻画；提出剪除规则、删除规则、合并规则等化简规则，从有序二叉决策图中分别提取表示授权用户组合集的授权子OBDD和表示非授权用户组合集的非授权子OBDD；根据授权子OBDD和非授权子OBDD分别求取最小授权用户组合集MIN和最大非授权用户组合集MAX，以MIN和MAX为基础求出授权用户组合和非授权用户组合间的权重不等式；通过求解不等式计算出用户权重及秘密分享阈值。本发明方法能够完成对任意形式秘密共享策略的刻画、高效实现任意数量用户间的权重分配，并能够借助于子图重构及结构化简，降低算法的时空复杂度，进一步提高权重分配效率。

Description

一种针对Shamir秘密共享的用户权重分配方法

技术领域

本发明涉及信息安全技术领域，具体是一种针对Shamir秘密共享中用户权重的分配方法。

背景技术

秘密共享是密码学中的重要原语之一，最早由Shamir和Blakley于1979年基于代数学和几何学分别提出。其基本思想是将秘密以适当的方式拆分成多个子秘密，不同的子秘密由不同的参与者保存，只有符合条件的多个参与者共同协作才能恢复秘密消息，从而实现对信息的保护与保密。

伴随着信息技术的不断发展以及网络场景的愈发复杂，尤其是云计算、分布式存储、大数据等技术的兴起，秘密共享显现出了更为广阔的应用前景，因此广大的科研工作者对其展开了深入研究，并提出了许多功能更加完善、安全性更高的秘密共享方案。例如，针对不同用户权限不同的问题，提出了带权重的Shamir秘密共享方案；针对分发者和参与者不诚实的问题，提出了可验证秘密共享的概念；针对子秘密复用问题提出了子秘密可复用的可验证秘密共享方案；将Shamir秘密共享方案应用于数据外包、属性基加密、代理重加密、电子投票协议、密钥托管协议等密码算法或协议的设计与实现中，协助保证信息的安全、完整及可用。

虽然不断有新的研究成果被提出，但是通过分析可以发现，此类成果着重研究秘密共享方案的性能增强、功能扩展和应用场景部署等方面，针对如何确定用户权重的研究较少，而用户权重的确定是Shamir秘密共享方案在实际应用部署中需要最先解决的问题之一。

发明内容

本发明的目的是针对现有技术的不足，而提供一种针对Shamir秘密共享的用户权重分配方法，该方法通过构造有序二叉决策图(Ordered Binary Decision Diagram，OBDD)结构，借助OBDD完成对秘密共享策略的刻画，实现任意数量用户间的权重分配，并借助子图重构及结构化简，降低算法的时空复杂度、进一步提高权重分配效率。

实现本发明目的的技术方案是：

一种针对Shamir秘密共享的用户权重分配方法，包括如下步骤：

(1)构造OBDD结构；

假设Shamir秘密共享阈值为t，秘密共享策略借助于布尔函数f表示，基于布尔函数f构造OBDD结构；

在OBDD结构中存在根结点、中间结点和终结点三类节点；根结点和中间结点统称为非终结点，非终结点使用四元组<id,i,low,high>表示，其中id为结点编号，i为结点中所含变量编号，low和high分别为左、右孩子结点；

当非终结点中所含变量取值为0时，能够沿0边到达其左孩子结点，相反的，当非终结点中所含变量取值为1时，能够沿1边到达其右孩子结点；

终结点有两个，记为

和

分别用于表示布尔常量0和1，终结点没有边；

基于布尔函数f构造OBDD结构，其中非终结点表示用户，非终结点的1边表示用户参与秘密共享、0边表示用户不参与秘密共享；

并进一步给出以下定义：

有效路径：在

之间的某条路径上，若变量按照OBDD构造时定义的变量序出现，则称该路径为一条有效路径，有效路径代表了授权用户组合；

无效路径：在

之间的某条路径上，若变量按照OBDD构造时定义的变量序出现，则称该路径为一条无效路径，无效路径代表了非授权用户组合；

在不引起歧义的情况下，使用P_i同时代表路径和用户组合，对于路径P_i，使用一组形式为(x_j,edge_j)的二元组进行表示，其中x_j用于记录结点中用户编号，edge_j用于记录结点边值，当edge_j取值为1时表示用户x_j存在于P_i所代表的用户组合，否则表示用户x_j不存在于P_i所代表的用户组合。

(2)提出剪除规则、删除规则和合并规则，基于OBDD结构分别构造表示授权用户组合集的授权子OBDD和表示非授权用户组合集的非授权子OBDD；

其中授权子OBDD的构造规则如下：

(2.1.1)剪除规则：从终结点

开始，自下而上剪除与有效路径无关的结点和边；

(2.1.2)删除规则1：对于非终结点u，如果满足u.low＝u.high，则将指向非终结点u的所有边连接至u.low，然后删除非终结点u；

(2.1.3)删除规则2：对于非终结点u，如果满足u.low＝1，则将指向非终结点u的所有边连接至[1]，然后删除非终结点u；

(2.1.4)合并规则：对于非终结点u＝<id_u,i_u,low_u,high_u>和非终结点v＝<id_v,i_v,low_v,high_v>，如果(i_u＝i_v)∧(low_u＝low_v)∧(high_u＝high_v)，则将指向非终结点u的所有边连接至非终结点v，然后删除非终结点u；

上述规则需重复执行，直至授权子OBDD不再变化；

基于OBDD构造非授权子OBDD的规则如下：

(2.2.1)剪除规则：从终结点

开始，自下而上剪除与无效路径无关的结点和边；

(2.2.2)删除规则1：对于非终结点u，如果满足u.low＝u.high，则删除u.low；

(2.2.3)删除规则2：对于非终结点u，如果满足u.low＝0，则将指向非终结点u的所有边连接至

然后删除非终结点u；

(2.2.4)合并规则：对于非终结点u＝<id_u,i_u,low_u,high_u>和非终结点v＝<id_v,i_v,low_v,high_v>，如果(i_u＝i_v)∧(low_u＝low_v)∧(high_u＝high_v)，则将指向非终结点u的所有边连接至结点v，然后删除非终结点u；

上述规则需重复执行，直至非授权子OBDD不再变化。

(3)基于授权子OBDD和非授权子OBDD分别求取最小授权用户组合集MIN和最大非授权用户组合集MAX；

基于授权子OBDD可以求取最小授权用户组合集，记为MIN；同理，借助于非授权子OBDD可以求取最大非授权用户组合集，记为MAX；

基于授权子OBDD求取MIN的步骤如下：

(3.1.1)通过遍历授权子OBDD获得全部有效路径，假设共有v条，记为V＝{V₁,V₂,…,V_i…,V_v}；

(3.1.2)对于某条有效路径V_i中的二元组(x_j,edge_j)，若edge_j＝1则将x_j存入集合Min_i，最终得到最小授权用户组合Min_i＝{x_j|(x_j,edge_j)∈V_i且edge_j＝1}；

(3.1.3)根据全部有效路径求得MIN＝{Min₁,Min₂,…,Min_v}；

同理，基于非授权子OBDD求取最大非授权用户组合集MAX，求取MAX的步骤如下：

(3.2.1)通过遍历非授权子OBDD获得全部无效路径，假设共有f条，记为F＝{F₁,F₂,…,F_i…,Ff}；

(3.2.2)对于某条无效路径F_i中的二元组(x_j,edge_j)，若edge_j＝1则将x_j存入集合Max_i，最终得到Max_i＝{x_j|(x_j,edge_j)∈F_i且edge_j＝1}；

(3.2.3)根据全部无效路径求得MAX＝{Max₁,Max₂,…,Max_f}。

(4)计算用户权重及秘密分享阈值

在进行用户权重计算之前，进行以下约定：将用户x_i的份额表示为s_i，满足s_i>0；对于用户组合Min、Max，使用|Min|、|Max|表示组合内所有用户拥有权重之和；

在Shamir秘密共享机制中，任意授权用户组合均可完成秘密重构，而任意非授权用户组合均无法完成秘密重构，因此必然满足①

满足|Min_i|≥t；②

满足|Max_j|<t；

因此可以借助于多个多项式表示权限分配需满足的条件，即：

|Min_i|>|Max_j|，其中Min_i∈MIN、Max_j∈MAX；

进一步地，通过求解上述多项式便可得出各参与方的具体权重，并将Shamir秘密共享阈值t设置为集合{|Min_i||Min_i∈MIN}中元素的最小取值。

通过上述技术方案可以看出，本发明采用OBDD结构实现对秘密共享策略的刻画，并借助于子图同构及结构化简使得OBDD简洁高效；由于OBDD结构能够刻画任意形式的布尔函数，因此本发明方法能够实现任意数量用户间的权重计算。此外，由于本发明方法能够借助于子图同构以及新提出的多个化简规则实现对OBDD的化简，因此使得其时间复杂度和空间复杂度显著降低，保证OBDD简洁高效的同时，进一步提升权重计算效率。

附图说明

图1是本发明针对Shamir秘密共享的用户权重分配方法流程图；

图2是实施例中OBDD结构中存在子图同构示意图；

图3是实施例中同构子图合并后得到的新OBDD结构示意图；

图4是实施例中根据实例1中的访问策略所构造的OBDD结构示意图；

图5是实施例中根据实例2构造的授权子OBDD结构示意图；

图6是实施例中根据实例2构造的非授权子OBDD结构示意图。

具体实施方式

下面结合实施例和附图，对本发明的内容作进一步的详细说明，但不是对本发明的限定。

现有技术中，Shamir(t,n)秘密共享的实现思路为：将秘密s分解成n份子秘密，当不少于t份子秘密相互联合时可以恢复出s，而任意少于t份的子秘密相互联合无法恢复出s。

Shamir秘密共享方案，主要包括秘密拆分、秘密重构两个过程：

(1)秘密拆分

秘密拆分过程主要由秘密分发者将秘密s分解成n份子秘密，并分别交由n个不同用户{p₁,p₂,…,p_n}持有；

具体有以下操作：秘密分发者选择有限域F_q(其中q≥n)，随机从F_q中选择并公开n个互不相同的非零元素x₁,x₂,…,x_n；随机从F_q中选择并公开(t-1)个元素a₁,a₂,…,a_t-1，构造(t-1)次多项式f(x)＝s+a₁x+a₂x²+…+a_t-1x^t-1，计算子秘密f(x_i)(1≤i≤n)并发送给秘密持有者p_i(1≤i≤n)；

(2)秘密重构

不失一般性，假设参与秘密重构的用户为{p₁,p₂,…,p_t}；秘密持有者p_i(1≤i≤t)分别提供子秘密(x_i,f(x_i))，借助于Lagrange插值法可以恢复出秘密拆分过程中所构造的多项式

继而计算出秘密s＝f(0)。

加权Shamir秘密共享：此类机制可表示为(t,n,w)，其中t为秘密分享门限值，n为参与秘密共享的用户总量，w代表用户权值分配函数。假设秘密持有者p_i(1≤i≤n)的权重为w_i(1≤i≤n)，加权门限秘密共享方案的具体含义是指，对于某一用户组合P’，如果满足

则用户组合P’可以完成秘密恢复；否则无法完成秘密恢复。

实施例

参照图1，本发明针对Shamir秘密共享的用户权重分配方法，实现的基本依据是：假设秘密共享阈值为t，那么任意授权用户组合所拥有的权值之和应不小于t，且任意非授权用户组合所拥有的权值之和必须小于t，本发明方法具体包括如下步骤：

(1)构造OBDD结构，假设Shamir秘密共享阈值为t，秘密共享策略借助于布尔函数f表示，基于布尔函数f构造OBDD结构。

OBDD是一种用来规范化表示布尔函数f的有向无环图，由结点和边组成，其性质如下：

①共包含根结点、中间结点和终结点三类节点，根结点和中间结点统称为非终结点；

②根结点root表示f；

③非终结点可使用四元组<id,i,low,high>表示，其中id为结点编号，i为结点中所含变量编号，low和high分别为左、右孩子结点；

当非终结点中所含变量取值为0时，能够沿0边到达其左孩子结点，相反的，当非终结点中所含变量取值为1时，能够沿1边到达其右孩子结点；

④终结点有两个，记为

和

分别用于表示布尔常量0和1，终结点没有边；

⑤在图形化表示中，非终结点使用圆圈○表示，终结点使用方框□表示，非终结点与左、右孩子结点间分别使用虚线和实线连接；

OBDD中结点的构造如下：

struct node{

unsigned short ndex；//变量编号

unsigned short id；//结点编号

struct node*low；//0分枝子结点

struct node*high；//1分枝子结点

double val；//终结点取值为0或者1

}；

子图同构：给定OBDD结构中的两个非终结点u＝<id_u,i_u,low_u,high_u>和v＝<id_v,i_v,low_v,high_v>；非终结点u和v代表的子图分别为G_u和G_v，G_u和G_v同构(表示为

)是指(i_u＝i_v)

根据以上定义，在图2所示的OBDD中，非终结点u和v所代表的子图是同构的，即

若将同构子图进行合并，可以得出图3所示的OBDD。

借助于OBDD完成对秘密共享策略的刻画，采用香农展开定理：该定理是OBDD的基本构造准则，其数学表达如下：f(x₁,x₂,…,x_i,…,x_n)＝x_i·f(x₁,x₂,…,1,…,x_n)+x_i’·f(x₁,x₂,…,0,…,x_n)；

按照香农定理将全部变量(x_i(1≤i≤n))展开，将得到唯一的OBDD结构，但是在展开之前需要预先定义变量的展开顺序。

假设共有n个参与者，记为X＝{x₁,x₂,…,x_n}，以布尔函数形式表述的秘密共享策略为f(x₁,x₂,…,x_n)，OBDD中的变量序为π:x₁<x₂<…<x_n。基于香农展开定理，OBDD的构造可由以下递归算法实现：

算法1.根据秘密共享策略构造OBDD

在上述算法中，node表示OBDD中的结点，Computed-table用于存储递归算法执行过程中所构造的结点；借助于Computed-table，该算法能够判定子图重构并合并重复结点，保证OBDD简洁高效。

由以上叙述可见，在本发明中构造的OBDD结构中，非终结点用于表示用户，结点的1边表示用户参与秘密共享、0边表示用户不参与秘密共享；

有效路径：在

之间的某条路径上，若变量严格按照OBDD构造时定义的变量序出现，则称该路径为一条有效路径，有效路径代表了授权用户组合；

无效路径：在

之间的某条路径上，若变量严格按照OBDD构造时定义的变量序出现，则称该路径为一条无效路径，无效路径代表了非授权用户组合；

在不引起歧义的情况下，使用P_i同时代表路径和用户组合，对于路径P_i，使用一组形式为(x_j,edge_j)的二元组进行表示，其中x_j用于记录结点中用户编号，edge_j用于记录结点边值，当edge_j取值为1时表示用户x_j存在于P_i所代表的用户组合，否则表示用户x_j不存在于P_i所代表的用户组合。

实例1：假设秘密s由项目组{总监,副总监,员工1,员工2}中的全体人员共享，总监和其他任意一名项目组成员可以重构该秘密，副总监和其他任意两名项目组成员也可以重构该秘密；

首先对项目组成员进行编号，如下表所示：

表1.秘密共享成员及其编号

基于上表可以得出与秘密重构策略相对应的布尔函数f＝x₁·(x₂+x₃+x₄)+x₂·(x₁x₃+x₁x₄+x₃x₄)，最终根据算法1得出图4所示OBDD。

(2)提出剪除规则、删除规则和合并规则，基于OBDD结构分别构造表示授权用户组合集的授权子OBDD和表示非授权用户组合集的非授权子OBDD；

其中授权子OBDD的构造规则如下：

(2.1.1)剪除规则：从终结点0开始，自下而上剪除与有效路径无关的结点和边；

(2.1.2)删除规则1：对于非终结点u，如果满足u.low＝u.high，则将指向非终结点u的所有边连接至u.low，然后删除非终结点u；

(2.1.3)删除规则2：对于非终结点u，如果满足u.low＝1，则将指向非终结点u的所有边连接至1，然后删除非终结点u；

(2.1.4)合并规则：对于OBDD结构中的非终结点u＝<id_u,i_u,low_u,high_u>和非终结点v＝<id_v,i_v,low_v,high_v>，如果(i_u＝i_v)∧(low_u＝low_v)∧(high_u＝high_v)，则将指向非终结点u的所有边连接至非终结点v，然后删除非终结点u；

上述规则需重复执行，直至授权子OBDD不再变化；

基于OBDD构造非授权子OBDD的规则如下：

(2.2.1)剪除规则：从终结点1开始，自下而上剪除与无效路径无关的结点和边；

(2.2.2)删除规则1：对于非终结点u，如果满足u.low＝u.high，则删除u.low；

(2.2.3)删除规则2：对于非终结点u，如果满足u.low＝0，则将指向非终结点u的所有边连接至0，然后删除非终结点u；

(2.2.4)合并规则：对于OBDD结构中的非终结点u＝<id_u,i_u,low_u,high_u>和非终结点v＝<id_v,i_v,low_v,high_v>，如果(i_u＝i_v)∧(low_u＝low_v)∧(high_u＝high_v)，则将指向非终结点u的所有边连接至结点v，然后删除非终结点u；

上述规则需重复执行，直至非授权子OBDD不再变化。

实例2：基于以上规则，根据实例1中的OBDD可以构造出图5所示的授权子OBDD和图6所示的非授权子OBDD。

(3)基于授权子OBDD和非授权子OBDD分别求取最小授权用户组合集MIN和最大非授权用户组合集MAX；

基于授权子OBDD求取MIN的步骤如下：

(3.1.1)通过遍历授权子OBDD获得全部有效路径，假设共有v条，记为V＝{V₁,V₂,…,V_i…,V_v}；

(3.1.2)对于某条有效路径V_i中的二元组(x_j,edge_j)，若edge_j＝1则将x_j存入集合Min_i，最终得到最小授权用户组合Min_i＝{x_j|(x_j,edge_j)∈V_i且edge_j＝1}；

(3.1.3)根据全部有效路径求得MIN＝{Min₁,Min₂,…,Min_v}；

同理，基于非授权子OBDD求取最大非授权用户组合集MAX，求取MAX的步骤如下：

(3.2.1)通过遍历非授权子OBDD获得全部无效路径，假设共有f条，记为F＝{F₁,F₂,…,F_i…,F_f}；

(3.2.2)对于某条无效路径F_i中的二元组(x_j,edge_j)，若edge_j＝1则将x_j存入集合Max_i，最终得到Max_i＝{x_j|(x_j,edge_j)∈F_i且edge_j＝1}；

(3.2.3)根据全部无效路径求得MAX＝{Max₁,Max₂,…,Max_f}。

实例3：基于实例2中求得的授权子OBDD和非授权子OBDD，可以按照以上步骤分别得出全部的有效路径、无效路径、最小授权用户组合、最大非授权用户组合、最小授权组合集MIN、最大非授权组合集MAX；

共有4条有效路径：

对应的最小授权用户组合分别记为Min₁＝{x₂,x₃,x₄}、Min₂＝{x₁,x₄}、Min₃＝{x₁,x₃}、Min₄＝{x₁,x₂}；最小授权组合集MIN＝{{x₂,x₃,x₄},{x₁,x₄},{x₁,x₃},{x₁,x₂}}；

共有4条无效路径：

对应的最大非授权用户组合分别记为Max₁＝{x₃,x₄}、Max₂＝{x₂,x₄}、Max₃＝{x₂,x₃}、Max₄＝{x₁}，最大非授权组合集MAX＝{{x₃,x₄},{x₂,x₄},{x₂,x₃},{x₁}}。

(4)计算用户权重及秘密分享阈值

在进行用户权重计算之前，首先进行以下约定：将用户x_i的份额表示为s_i，满足s_i>0；对于用户组合Min、Max，使用|Min|、|Max|表示组合内所有用户拥有权重之和；

在Shamir秘密共享机制中，任意授权用户组合均可完成秘密重构，而任意非授权用户组合均无法完成秘密重构，因此必然满足①

满足|Min_i|≥t；②

满足|Max_j|<t，因此可以借助于多个多项式表示权限分配需满足的条件，即：

|Min_i|>|Max_j|，其中Min_i∈MIN、Max_j∈MAX，

进一步地，通过求解上述多项式便可得出各参与方的具体权重，并将Shamir秘密共享阈值t设置为集合{|Min_i||Min_i∈MIN}中元素的最小取值。

实例4：计算Shamir秘密共享中用户权重

由实例3可知，在MIN中共有4组授权用户组合，在MAX中共有4组非授权用户组合，按照上述权重计算方法，可以得出如下多项式：

|Min₁|>|Max₁|，|Min₂|>|Max₁|，|Min₃|>|Max₁|，|Min₄|>|Max₁|，

|Min₁|>|Max₂|，|Min₂|>|Max₂|，|Min₃|>|Max₂|，|Min₄|>|Max₂|，

|Min₁|>|Max₃|，|Min₂|>|Max₃|，|Min₃|>|Max₃|，|Min₄|>|Max₃|，

|Min₁|>|Max₄|，|Min₂|>|Max₄|，|Min₃|>|Max₄|，|Min₄|>|Max₄|；

即

s₂+s₃+s₄>s₃+s₄，s₁+s₄>s₃+s₄，s₁+s₃>s₃+s₄，s₁+s₂>s₃+s₄，

s₂+s₃+s₄>s₂+s₄，s₁+s₄>s₂+s₄，s₁+s₃>s₂+s₄，s₁+s₂>s₂+s₄，

s₂+s₃+s₄>s₂+s₃，s₁+s₄>s₂+s₃，s₁+s₃>s₂+s₃，s₁+s₂>s₂+s₃，

s₂+s₃+s₄>s₂，s₁+s₄>s₂，s₁+s₃>s₂，s₁+s₂>s₂。

对上述多项式进行约简及整合，得出s₁>s₂>0，s₁>s₃>0，s₁>s₄>0，s₁+s₂>s₃+s₄，s₁+s₃>s₂+s₄，s₁+s₄>s₂+s₃。

若添加约束条件minimize t，则求将份额计算转换为整数规划问题，即

minimize t

通过求解上述问题可得s₁＝2,s₂＝1,s₃＝1,s₄＝1,t＝3；需要指出的是，约束条件可以进行其他设置，如minimize∑(s_i)、minimize max(s_i)。

以上对本发明实施例所提供的一种针对Shamir秘密共享的用户权重分配方法进行了详细介绍，本发明中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。

Claims (1)

1.一种针对Shamir秘密共享的用户权重分配方法，其特征在于，该方法包括如下步骤：

(1)构造OBDD结构；

假设Shamir秘密共享阈值为t，秘密共享策略借助于布尔函数f表示，基于布尔函数f构造OBDD结构；

在OBDD结构中存在根结点、中间结点和终结点三类节点，根结点和中间结点统称为非终结点；根结点root表示f；非终结点使用四元组<id,i,low,high>表示，其中id为结点编号，i为结点中所含变量编号，low和high分别为左、右孩子结点；

当非终结点中所含变量取值为0时，能够沿0边到达其左孩子结点，相反的，当非终结点中所含变量取值为1时，能够沿1边到达其右孩子结点；

终结点有两个，记为

和

分别用于表示布尔常量0和1，终结点没有边；

基于布尔函数f构造OBDD结构，其中非终结点表示用户，非终结点的1边表示用户参与秘密共享、0边表示用户不参与秘密共享；

并进一步给出以下定义：

有效路径：在

之间的某条路径上，若变量按照OBDD构造时定义的变量序出现，则称该路径为一条有效路径，有效路径代表了授权用户组合；

无效路径：在

之间的某条路径上，若变量按照OBDD构造时定义的变量序出现，则称该路径为一条无效路径，无效路径代表了非授权用户组合；

在不引起歧义的情况下，使用P_i同时代表路径和用户组合，对于路径P_i，使用一组形式为(x_j,edge_j)的二元组进行表示，其中x_j用于记录结点中用户编号，edge_j用于记录结点边值，当edge_j取值为1时表示用户x_j存在于P_i所代表的用户组合，否则表示用户x_j不存在于P_i所代表的用户组合；

(2)提出剪除规则、删除规则和合并规则，基于OBDD结构分别构造表示授权用户组合集的授权子OBDD和表示非授权用户组合集的非授权子OBDD；

所述授权子OBDD的构造规则如下：

(2.1.1)剪除规则：从终结点

开始，自下而上剪除与有效路径无关的结点和边；

(2.1.2)删除规则1：对于非终结点u，如果满足u.low＝u.high，则将指向非终结点u的所有边连接至u.low，然后删除非终结点u；

(2.1.3)删除规则2：对于非终结点u，如果满足u.low＝1，则将指向非终结点u的所有边连接至

然后删除非终结点u；

(2.1.4)合并规则：对于OBDD结构中的非终结点u＝<id_u,i_u,low_u,high_u>和非终结点v＝<id_v,i_v,low_v,high_v>，如果(i_u＝i_v)∧(low_u＝low_v)∧(high_u＝high_v)，则将指向非终结点u的所有边连接至非终结点v，然后删除非终结点u；

上述规则需重复执行，直至授权子OBDD不再变化；

非授权子OBDD的构造规则如下：

(2.2.1)剪除规则：从终结点

开始，自下而上剪除与无效路径无关的结点和边；

(2.2.2)删除规则1：对于非终结点u，如果满足u.low＝u.high，则删除u.low；

(2.2.3)删除规则2：对于非终结点u，如果满足u.low＝0，则将指向非终结点u的所有边连接至

然后删除非终结点u；

(2.2.4)合并规则：对于OBDD结构中的非终结点u＝<id_u,i_u,low_u,high_u>和非终结点v＝<id_v,i_v,low_v,high_v>，如果(i_u＝i_v)∧(low_u＝low_v)∧(high_u＝high_v)，则将指向非终结点u的所有边连接至结点v，然后删除非终结点u；

上述规则需重复执行，直至非授权子OBDD不再变化；

(3)基于授权子OBDD和非授权子OBDD分别求取最小授权用户组合集MIN和最大非授权用户组合集MAX；

所述基于授权子OBDD求取最小授权用户组合集MIN，求取MIN的步骤如下：

(3.1.1)通过遍历授权子OBDD获得全部有效路径，假设共有v条，记为V＝{V₁,V₂,…,V_i…,V_v}；

(3.1.2)对于某条有效路径V_i中的二元组(x_j,edge_j)，若edge_j＝1则将x_j存入集合Min_i，最终得到最小授权用户组合Min_i＝{x_j|(x_j,edge_j)∈V_i且edge_j＝1}；

(3.1.3)根据全部有效路径求得MIN＝{Min₁,Min₂,…,Min_v}；

同理，基于非授权子OBDD求取最大非授权用户组合集MAX，求取MAX的步骤如下：

(3.2.1)通过遍历非授权子OBDD获得全部无效路径，假设共有f条，记为F＝{F₁,F₂,…,F_i…,F_f}；

(3.2.2)对于某条无效路径F_i中的二元组(x_j,edge_j)，若edge_j＝1则将x_j存入集合Max_i，最终得到Max_i＝{x_j|(x_j,edge_j)∈F_i且edge_j＝1}；

(3.2.3)根据全部无效路径求得MAX＝{Max₁,Max₂,…,Max_f}；

(4)计算用户权重及秘密分享阈值；

首先进行以下约定：将用户x_i的份额表示为s_i，满足s_i>0；对于用户组合Min、Max，使用|Min|、|Max|表示组合内所有用户拥有权重之和；

在Shamir秘密共享机制中，任意授权用户组合可完成秘密重构，而任意非授权用户组合无法完成秘密重构，因此必然满足①

满足|Min_i|≥t；②

满足|Max_j|<t，因此借助多个多项式表示权限分配需满足的条件，即：

|Min_i|>|Max_j|，其中Min_i∈MIN、Max_j∈MAX；

通过求解上述多项式便可得出各参与方的具体权重，并将Shamir秘密共享阈值t设置为集合{|Min_i||Min_i∈MIN}中元素的最小取值。

Images