CN111049644B - 一种基于混淆激励机制的理性公平秘密信息共享方法 - Google Patents

Abstract

本发明属于信息处理技术领域，公开了一种基于混淆激励机制的理性公平秘密信息共享方法，采用t‑1阶多项式对分发的秘密K_m(1≤m≤N)进行拆分；当且仅当理性用户P_i拥有t个子秘密，才能重构出K_m；当理性用户P_i分发子秘密k_i ^m时，如果其不交互秘密分发者指定的交互的子秘密k_i ^m，由于存在承诺信息，其余理性用户均可正确的识别出P_i的欺骗行为，并且在之后的交互过程中均不会发送其拥有的子秘密给理性用户P_i；而当收到不少于t‑1个其余理性用户发送的关于K_m的子秘密后，就可利用拉格朗日插值法重构出秘密K_m。本发明有效约束理性用户自利性行为，实现公平的秘密共享大量；计算开销较小，具有较好的实用性。

Description

一种基于混淆激励机制的理性公平秘密信息共享方法

技术领域

本发明属于信息处理技术领域，尤其涉及一种基于混淆激励机制的理性公平秘密信息共享方法。

背景技术

目前，最接近的现有技术：随着移动通信技术的不断发展，云计算、物联网、车联网、船联网等新兴技术不断普及。在给人们带来便捷生活的同时，对用户的隐私保护也提出了新的挑战。为了有效地保护万物互联时代下用户的个人隐私，多方参与的分布式密码方案受到了国内外学者的广泛关注。(t,n)秘密共享是多方参与的分布式密码方案的重要组成。其基本思想是：将共享秘密K拆分成n份子秘密分发给不同的用户，使得任意不少于t个的用户在一起就可恢复出共享秘密K，而任意少于t个的用户即使合谋也得不到关于共享秘密K的任何信息。它已被广泛地用于保护移动通信、数据查询、云存储、广告推送等应用中的用户隐私。

在传统秘密共享的研究中，均假设用户是诚实或恶意的。然而，在现实中，用户既不是诚实的，也不是恶意的，而是自利的。自利的用户总是追求最大化自身利益。因此，若在现实应用中使用传统秘密共享方案，当t-1个用户发送自己的子秘密后，由于剩余的n-t+1个用户已能重构出共享秘密，因此他们将不再发送自己的子秘密。此时，对已发送子秘密的用户来说，他们将无法重构出共享秘密。这显然是不公平的。极大地影响了传统秘密共享的实用性。为了设计更贴近现实的秘密共享方案，Halpern和Teague将博弈论的理性用户引入到传统秘密共享的研究中，通过分析自利的理性用户参与理性秘密共享时的偏好，首次提出了理性秘密共享的概念。随后，理性秘密共享得到了国内外学者的广泛研究。然而，在使用现有的理性秘密共享方案时，仍不能确保所有用户都能重构出共享秘密；甚至还会出现，发送子密钥的用户重构出一个虚假的秘密并将其视为真实共享秘密的极端情形。例如，某公司财务总监使用现有理性秘密共享方案将该公司的财务账目作为共享秘密拆分后分发给该公司的会计和出纳，当需要重构财务账单时，就可能会出现先发送自己拥有的子秘密的会计不能恢复出财务账单，而不发送自己拥有的子秘密的出纳却能恢复出财务账单的情形，使得出纳能通过修改财务账单来掩盖自己的腐败行为；又如某公司将未来的发展计划作为共享秘密拆分给产品研发和产品销售经理进行保存，当要恢复研发计划时，销售经理就可能通过发送错误的子秘密欺骗研发经理，使其将重构出的错误的发展计划视为真实的计划，影响公司发展，使得销售经理能通过上述欺骗行为非法获取来自其他竞争公司的额外收益。造成上述问题的根本原因是：由于忽略了理性用户的自利性行为，导致现有理性秘密共享的公平性定义蕴含着允许用户不正确地发送自己拥有的子秘密也能重构出共享秘密的不公平情形。

目前理性秘密共享是将自利的理性用户引入到传统秘密共享中，在现实环境中实现公平的秘密重构，使得所有用户均能获得共享秘密。然而，由于忽略了理性用户的自利性行为，现有理性秘密共享的公平性定义中蕴含着用户不发送子秘密也能获得共享秘密的不公平情形；导致在使用以该定义为指导所设计的理性秘密共享方案时，并不能确保所有用户均能获得共享秘密；甚至还会出现发送错误子秘密欺骗其他用户，导致其将重构出的虚假的共享秘密视为真实秘密的极端情形。

综上所述，现有技术存在的问题是：现有的理性秘密共享方法存在在使用以该定义为指导所设计的理性秘密共享方案时，并不能确保所有用户均能获得共享秘密；甚至还会出现发送错误子秘密欺骗其他用户，导致将重构出的虚假的共享秘密视为真实秘密的极端情形。

解决上述技术问题的难度：

理性秘密共享是为了研究更贴近现实使用的秘密共享。如何有效地约束理性用户的自利性行为，促使所有理性用户均将自己拥有的子秘密正确地发送给其余用户，是实现公平理性秘密共享的关键。然而，现有研究为了实现公平的理性秘密共享，均依赖可信第三方。由于在现实环境中，完全可信的第三方难以找到，因此现有的研究并不适用。为了设计更实用的理性秘密共享方法，如何在不依赖可信第三方的同时，有效约束理性用户的自利性行为，是亟待解决的关键问题。

解决上述技术问题的意义：

本发明首先通过在秘密分发阶段分发虚假的子秘密来混淆真实的子秘密，使得理性用户在收到子秘密集合后难以猜测出真实的子秘密，并在秘密重构阶段通过惩罚未正确发送自己拥有的子秘密的理性用户在随后交互中不会收到任何其余用户发送的子秘密的方法，在不依赖可信第三方的情形下实现了公平的理性秘密共享。由于现实环境中，完全可信的第三方难以找到，因此本发明具有更好的实用性，可在现实环境中实现公平的秘密共享。

发明内容

针对现有技术存在的问题，本发明提供了一种基于混淆激励机制的理性公平秘密信息共享方法。

本发明是这样实现的，一种基于混淆激励机制的理性公平秘密信息共享方法，所述基于混淆激励机制的理性公平秘密信息共享方法包括以下步骤：

第一步，采用t-1阶多项式对分发的秘密K_m(1≤m≤N)进行拆分(其中只有一个秘密是真实的共享秘密K^real)，根据方程组解的性质，当且仅当理性用户P_i拥有t个子秘密，才能重构出K_m，否则不能得到关于秘密K_m的任何信息；

第二步，当理性用户P_i分发子秘密k_i ^m时，如果其不交互秘密分发者指定的交互的子秘密k_i ^m，由于存在承诺信息，其余理性用户均可正确的识别出P_i的欺骗行为；

第三步，而当收到不少于t-1个其余理性用户发送的关于K_m的子秘密后，就可利用拉格朗日插值法重构出秘密K_m。

第四步，当理性用户重构出所有的秘密K_m后，从中选择数量最多的秘密K′作为真实的共享秘K^real。

进一步，所述基于混淆激励机制的理性公平秘密信息共享方法通过让秘密分发者Dealer为每个理性用户分发包含多个虚假子秘密的子秘密集合，使得理性用户在秘密重构阶段中无法确认重构出的秘密是否是真实的共享秘密；一旦理性用户在秘密重构阶段中未将自己拥有的子秘密正确地发送给其余用户或不发送任何子秘密给其余用户，则该用户在随后的子秘密交互过程中将受到惩罚，不会收到其余理性用户发送的任何子秘密；

令

是秘密分发者Delaer给理性用户P_i(1≤i≤n)分发的子秘密集合，其中真实的子秘密

N是正整数；策略

表示理性用户P_i发送其拥有的第k(1≤k≤N)个子秘密所选择的策略。

进一步，所述基于混淆激励机制的理性公平秘密信息共享方法的混淆激励机制

是个二元组，其中：

(1)

是在理性秘密重构阶段的第k轮交互中，每个理性用户P_i在混淆激励机制M_obf下选择策略

所构成的策略组合；

(2)

是理性用户P_i在混淆激励机制下选择策略

后所获得的反馈，其满足：

其中，j≠i且理性用户P_j在秘密重构阶段的第k轮交互中比理性用户P_i后进行策略的选择；

表示理性用户P_i在第k轮交互中将自己拥有的子秘密正确地发送给其余用户；

表示理性用户P_i在第k轮交互中未将自己拥有的子秘密正确地发送给其余用户；

表示理性用户P_i在第k轮交互中不发送任何子秘密给其余用户；

表示理性用户P_j在第k轮交互中将自己拥有的子秘密正确地发送给用户P_i；

表示理性用户P_j在第k轮交互中不发送任何子秘密给用户P_i；

当在秘密重构阶段是采用同步通信信道进行子秘密交互，所有用户同时选择自己的策略时，只需将上述混淆激励机制中的

修改为：

混淆机制将根据理性用户P_i在第k轮交互中选择的策略

在第k+1轮交互中给予反馈。

进一步，所述基于混淆激励机制的理性公平秘密信息共享方法的由理性秘密分发协议和理性秘密重构协议组成。

进一步，所述理性秘密分发协议在秘密分发阶段，秘密分发者Dealer根据共享的真实秘密K_real生成若干虚假秘密K^1-fake,K^2-fake,…,K^N′-fake为每个理性用户P_i生成子秘密集合k_set_i，使得有N″个子秘密k^i′-fake的个数比真实子秘密

的个数少1个。其中，N′是正整数且N′≥2；N″＜N；K^i′-fake表示生成的第i′个虚假秘密，1≤i′≤N′；

是关于真实共享秘密K_real的子秘密；k^i′-fake∈k_set_i是关于虚假秘密K^i′-fake的子秘密；具体协议如下所示：

步骤一，秘密分发者Dealer根据真实共享秘密K^real生成N′个虚假秘密K^1-fake,K^{2 -fake},…,K^N′-fake，并利用K^1-fake,K^2-fake,…,K^N′-fake,K^real生成分发秘密集合K＝{K₁,K₂,…,K_N}。其中，N′≥2且是正整数；K₁,K₂,…,K_N是重复使用N+1个共享秘密K^1-fake,K^2-fake,…,K^N′-fake,K^real而构成的一个共享秘密排列，其满足；

1)

有：

2)

有：K_N-k,K_N-k+1,…,K_N≠K^real；

3)N″和k是两个随机正整数且2≤N″＜N′、1≤k≤N；

步骤二，秘密分发者Dealer构造N个t-1阶多项式f₁(x),f₂(x),…,f_N(x)，使得：

并利用这些多项式将分发秘密K_m∈K拆分成n份子秘密

其中，

1≤i≤n；

步骤三，秘密分发者Dealer选择安全的签名函数sign(·)，并利用自己的私钥Dealer_SK为子秘密

计算承诺信息

其中，ID_i是理性用户P_i的身份；“||”是连接符；

步骤四，秘密分发者Dealer为理性用户生成子秘密集合

和承诺信息集合

将子秘密集合k_set_i发送给理性用户P_i；将承诺信息集合c_set_i和签名验证函数verf(·)发送给所有的理性用户。

进一步，所述理性秘密重构协议当要重构共享秘密时，所有的理性用户根据收到的子秘密集合进行交互，在第m轮交互中，每个理性用户P_i发送其子秘密集合k_set_i中的第m个子秘密

其余理性用户收到P_i发送的子秘密后，利用验证函数verf(·)和秘密分发者的公钥Dealer_PK验证子秘密的正确性；若发现理性用户P_i未正确地发送子秘密

则在之后的第m+1轮至第n轮交互中，其余理性用户均不在发送任何子秘密给理性用户P_i，若确认理性用户P_i正确地发送子秘密

则继续进行交互，直至将所有的子秘密都交互完毕后，从重构出的诸多秘密中挑选重复数量最多的作为真实的共享秘密；具体协议如下所示；

步骤一，在任意第m轮子秘密交互中，当轮到理性用户P_i发送子秘密时；

1)对于已行动过的理性用户P_i′；

若收到理性用户P_i′发送的子秘密

且确认该子秘密的正确性，则将

发送给理性用户P_i′；

若收到理性用户P_i′发送的子秘密

但确认该子秘密不是秘密分发者Dealer指定发送的子秘密，则不发送任何子秘密给理性用户P_i′；

若未收到理性用户P_i′发送的子秘密

则不发送任何子秘密给理性用户P_i′；

2)对于还未行动过的理性用户P_j，则发送自己拥有的子秘密

步骤二，理性用户P_j∈P_-i收到子秘密

后，利用秘密分发者Dealer的公钥Dealer_PK、验证函数verf(·)以及承诺信息

验证该子秘密的正确性，即P_i发送的子秘密

是否就是秘密分发者Dealer指定的在第m轮中发送的子秘密：

1)若

则表示理性用户P_i在第m轮交互中，正确地发送了自己拥有的子秘密，则广播消息“Honest”；

2)若

则表示理性用户P_i在第m轮交互中，未正确地发送自己拥有的子秘密，则广播消息“Fake”；

若理性用户P_j未收到任何子秘密，则广播消息“Silent”；

步骤三，理性用户发送完自己拥有的子秘密

后，则轮到下一位未行动的理性用户P_i+1发送自己拥有的子秘密；

步骤四，当在第m轮中交互中收到子其余理性用户发送的子秘密

后：

1)若t-1≤n′≤n-1，即至少有t-1个其余理性用户正确地发送自己拥有的子秘密，则利用朗格朗日插值法恢复共享秘密K_m；

2)若n′＜t-1，即仅有不多于t-2个其余理性用户正确地发送自己拥有的子秘密，此时无法恢复出共享秘密K_m，交互终止；

步骤五，当重构出分发的秘密K₁,K₂,…,K_N后，将重构出数量最多的秘密K′视为真实的共享秘密K^real，其中，

有|K′|＝|K^real|≥|K″|，协议终止。

本发明的另一目的在于提供一种应用所述基于混淆激励机制的理性公平秘密信息共享方法的信息数据处理终端。

综上所述，本发明的优点及积极效果为：本发明通过分析理性用户的自利性行为，结合秘密共享的存取结构，给出了适用于理性用户参与的秘密共享的理性公平性定义，并从理论上证明了该公平性定义未蕴含着任何不公平的情形。此外，为表明所提出的理性公平性定义具有实用性，本发明通过在秘密分发阶段为每个理性用户发送大量虚假子秘密，使得理性用户难以准确猜测出正确共享子秘密，一旦理性用户不发送自己拥有的子秘密，其在未来的秘密重构轮中将不会收到任何子秘密的方法，设计了一个理性公平的理性秘密共享方案。

本发明证明现有的公平性定义蕴含着允许用户不正确地发送自己拥有的子秘密也能重构出共享秘密的不公平行为。并结合秘密共享的存取结构，给出了理性公平性的形式化定义。以提出的理性公平性定义为指导，设计了一个混淆激励机制，并构造了一个理性公平的秘密共享方案。理论证明所提方案能有效约束理性用户的自利性行为，实现公平的秘密共享大量实验表明使用本发明时，秘密分发者和理性用户所需的计算开销较小，具有较好的实用性。

本发明结合秘密共享的存取结构，形式化定义了秘密共享的理性公平性。并以此为指导，通过在秘密分发阶段为每个理性用户发送大量虚假子秘密，使得理性用户难以准确猜测出真实共享子秘密的方法，设计一个混淆激励机制，并提出一个理性公平的秘密共享方案。理论分析和大量实验表明，本发明能有效地约束理性用户在秘密重构阶段的自利性行为，确保所有用户能获得真实的共享秘密，高效地实现公平的秘密共享。

附图说明

图1是本发明实施例提供的基于混淆激励机制的理性公平秘密信息共享方法流程图。

图2是本发明实施例提供的系统结构示意图；

图中：(a)秘密分发阶段；(b)秘密重构阶段。

图3是本发明实施例提供的计算开销的平均计算时延示意图；

图中：(a)秘密分发者所需的平均计算时延；(b)理性用户所需的平均计算时延。

图4是本发明实施例提供的门限值影响的平均计算时延示意图；

图中：(a)秘密分发者所需的平均计算时延；(b)理性用户所需的平均计算时延。

图5是本发明实施例提供的理性用户数量的平均计算时延示意图；

图中：(a)秘密分发者所需的平均计算时延；(b)理性用户所需的平均计算时延。

图6是本发明实施例提供的分发秘密数量的平均计算时延示意图；

图中：(a)秘密分发者所需的平均计算时延；(b)理性用户所需的平均计算时延。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

针对现有技术存在的问题，本发明提供了一种基于混淆激励机制的理性公平秘密信息共享方法，下面结合附图对本发明作详细的描述。

如图1所示，本发明实施例提供的基于混淆激励机制的理性公平秘密信息共享方法包括以下步骤：

S101：采用t-1阶多项式对分发的秘密K_m进行拆分，根据方程组解的性质，当且仅当理性用户P_i拥有t个子秘密，才能重构出K_m，否则不能得到关于秘密K_m的任何信息；

S102：当理性用户P_i分发子秘密k_i ^m时，如果其不交互秘密分发者指定的交互的子秘密k_i ^m(无论是自己伪造的子秘密，或者分发应在其余轮交互的子秘密k_i ^m，或者分发其余理性用户发送的子秘密k_j ^m)，由于存在承诺信息，其余理性用户均可正确的识别出P_i的欺骗行为；

S103：而当收到不少于t-1个其余理性用户发送的关于K_m的子秘密后，就可利用拉格朗日插值法重构出秘密K_m；

S104：当理性用户重构出所有的秘密K_m后，从中选择数量最多的秘密K′作为真实的共享秘K^real。

下面结合具体实施例对本发明的技术方案作详细的描述。

1预备知识

1.1系统模型

理性秘密共享由两部分组成，分别是秘密分发阶段和秘密重构阶段。在这两个阶段中，本发明均采用无需可信第三方的分布式结构，如图2所示。

(1)秘密分发阶段

当要在理性用户P₁,P₂,…,P_n间共享秘密K时，秘密分发者Dealer首先在有限域F_q上随机选择t-1个元素a₁,a₂,…,a_t-1，构造多项式

使得f(0)＝K∈F_q。随后，为理性用户P_i计算f(i)，然后将子秘密k_i＝(i,f(i)modq)秘密地分发给理性用户P_i。当所有的理性用户P_i确认收到子秘密k_i后，秘密分发者Dealer销毁共享秘密K，共享秘密分发结束。其中，q＞n是大素数；1≤i≤n。

(2)秘密重构阶段

当要恢复共享秘密K时，理性用户P₁,P₂,…,P_n分别交互各自在秘密分发阶段中获得子秘密，即理性用户P_i将自己获得的子秘密k_i发送给理性用户P_j，而理性用户P_j在收到子秘密k_i后就发送自己拥有的子秘密k_j。所有的理性用户交互完各自拥有的子秘密后，就可利用拉格朗日插值法计算

重构出共享秘密K。其中，

是拉格朗日插值基函数；i≠j且1≤i,j≤n。

2.2理性秘密重构博弈

在理性秘密共享中，影响其公平性的主要原因是理性用户为了追求自身利益最大化，在理性秘密重构阶段中可能会发送错误的子秘密或者不发送任何子秘密给其余理性用户。为更好地分析理性用户在理性秘密重构阶段中的策略选择，本发明结合扩展型博弈模型，给出理性秘密重构博弈的形式化模型。

定义1(理性秘密重构博弈模型)。理性秘密重构博弈G_S＝{P,A,F,H,U,Θ}是一个六元组，具体解释如下：

(1)P＝{P₁,P₂,…,P_n}是参与秘密重构的理性用户集合。其中,P_i表示第i个理性用户；P_-i＝{P₁,…,P_i-1,P_i+1,…,P_n}称为理性用户P_i的对手集合，是由理性用户P_i外的其余用户组成的集合；1≤i≤n。

(2)A＝{A₁,A₂,…,A_n}是理性用户的策略集合。

是理性用户P_i的策略集合，其中

表示理性用户P_i将自己拥有的子秘密正确地发送给其余用户；

表示理性用户P_i未将自己拥有的子秘密正确地发送给其余用户；

表示理性用户P_i不发送任何子秘密给其余用户。策略组合a＝(a₁,a₂,…,a_n)是由每个理性用户P_i选择一个策略a_i∈A_i所组成的向量。

(3)H是历史序列集合。

其表示在某时刻时已行动的理性用户所选择的策略组成的策略组合。在h之后的可能出现的所有策略组合记为A(h)＝{a|(h,a)∈H}。空字符

表示理性秘密重构博弈G_S开始。如果某历史h′∈H使得A(h′)＝φ，则该历史h′称为终止的(即表示理性秘密重构博弈G_S结束)，其中φ是空集合；Z表示由所有终止的历史组成的集合。

(4)F:(H/Z)→P是理性用户分配函数。它为未终止的历史h∈H/Z指定下一个选择策略的理性用户P_i∈P。当所有用户同时进行策略选择，即采用同步信道通信时，

(5)U＝{u₁,u₂,…,u_n}是理性用户的收益集合。u_i:A₁×A₂×…×A_n→{W_i ⁺,W_i,W_i ^-,W_i ^--}是理性用户P_i参与理性秘密重构博弈G_S所得到的收益。其中，W_i ⁺表示理性用户P_i重构出共享秘密，而其余理性用户未能重构出共享秘密时的收益；W_i表示理性用户P_i重构出共享秘密，而其余理性用户也能重构共享秘密时的收益；W_i ^-表示理性用户P_i未能重构出共享秘密，而其余理性用户也未能重构出共享秘密时的收益；W_i ^--表示理性用户P_i未能重构出共享秘密，而其余理性用户却重构出共享秘密时的收益。

(6)Θ＝{θ₁,θ₂,…,θ_n}是理性用户的偏好集合。其中，θ_i＝W_i ⁺≥W_i≥W_i ^-≥W_i ^--表示理性用户P_i参与理性秘密重构博弈G_S时的自利性偏好，即：理性用户P_i首先希望只有自己能重构出共享秘密；其次，在自己获得共享秘密的同时，尽可能地让其余用户不能重构出共享秘密。

2.3存取结构

为更一般化地分析参与理性秘密重构的理性用户集合中的哪些子集可重构出共享秘密，下面给出存取结构的相关概念。

定义2(存取结构)。设P＝{P₁,P₂,…,P_n}是n个用户集合。对于任意给定的非空集合

如果其满足单调性，即：

当

时，

且

有A′∈AS；

则称集合AS为P上的存取结构。其中，2^P表示集合P的全部子集构成的集合。

定义3(最小存取结构)。令集合AS为用户集合P上的最小存取结构，则称集合：

为存取结构AS上的最小存取结构。

基于上述定义，可给出任意用户P_i∈P关于用户集合P的最小存取结构，简称用户P_i的最小存取结构。

定义4(用户P_i的最小存取结构)。令集合AS_m是用户集合P上的最小存取结构，如果集合

满足：

有P_i∈A，则称该集合

是用户P_i的最小存取结构。

在(t,n)理性秘密共享中，它的存取结构是由参与秘密重构的用户数量不少于t的用户集合所构成的，即

最小存取结构AS_m＝{P″∈P||P″|＝t}是由t个参与秘密重构的用户所组成的集合构成的；而参与者P_i的最小存取结构为

且P_i∈P″′}。

3理性公平性

3.1现有理性秘密共享公平性的缺陷

在现有理性秘密共享的研究中，其公平性可表述为：在理性秘密重构博弈结束时，所有的理性用户均获得共享秘密，或没有任何理性用户能获得共享秘密。为便于论述现有理性秘密共享公平性定义的缺陷，本发明先给出现有理性秘密共享公平性的定义。

定义4(现有理性秘密共享的公平性)。假设执行某理性秘密共享方案在n个理性用户P₁,P₂,…,P_n间共享秘密。如果对任意的理性用户P_i来说，当理性秘密重构结束时，其获得的收益u_i满足：

或

那么就称该理性秘密共享方案是公平的。其中，a_i∈A_i表示理性用户P_i在执行理性秘密重构时选择的策略；

是由理性用户P_i的对手P_j∈P_-i参与理性秘密重构时选择的策略a_j∈A_j所构成的策略组合；i≠j且1≤i,j≤n。

下面利用反证法证明上述公平性定义未能充分考虑理性用户的自利性行为，存在“允许理性用户不发送自己的子秘密也能获得共享秘密”或“发送错误的子秘密欺骗其余理性用户，将重构出错误的共享秘密当作真实共享秘密”的不公平情形。

定理1，在理性用户均是自利的情形下，现有理性秘密共享的公平性定义存在“允许理性用户不发送自己的子秘密也能获得共享秘密”或“发送错误的子秘密欺骗其余理性用户，将重构出错误的共享秘密当作真实共享秘密”的不公平情形。

证明，令P＝{P₁,P₂,…,P_n}表示参与理性秘密重构的用户集合；

表示参与理性秘密重构博弈G_S中正确地发送子秘密的用户集合，即理性用户

参与理性秘密重构博弈G_S时选择策略

表示在参与理性秘密重构博弈G_S时未正确地发送子秘密的理性用户集合，即理性用户

参与理性秘密重构博弈G_S时选择策略

其中，1≤l≤k；1≤k≤n-1；1≤q≤n-k-1；

(1)当t≤k≤n-1，即至少已有t个理性用户将自己拥有的子秘密正确地发送给其余理性用户时：

a)若理性用户P_i选择策略

即未将自己拥有的子秘密正确地发送给其余用户，那么理性用户P_i、

和

的收益u_i、

和

分别为：

故策略组合

满足现有理性秘密共享的公平性。

同理，若理性用户P_i选择策略

即不发送任何子秘密给其余理性用户，那么理性用户P_i、

和

的收益u_i、

和

分别为：

故策略组合

也满足现有理性秘密共享的公平性。

显然，当有k≥t个理性用户

已将自己的拥有的子秘密正确地发送给其余理性用户时，对于理性用户P_i来说，有：

和

其中，当发送错误的子秘密能欺骗其余理性用户将重构出错误的秘密视为真实的共享秘密或考虑发送子秘密需要消耗理性用户的通信成本时，上式不等号成立。

因此，理性用户P_i在参与理性秘密重构博弈G_S时，不会选择策略

(2)当t＝n时，即理性用户必须要拥有n个子秘密才能重构出共享秘密。此时，对于理性用户P_i来说，若k＜n-1，即少于n-1个理性用户将自己的拥有子秘密正确地发送给其余理性用户，则理性用户P_i、

和

的收益u_i、

和

分别满足：

故策略组合

现有理性秘密共享的公平性。其中，a_i∈A_i。

若k＝n-1，即已有n-1个理性用户将自己的拥有子秘密正确地发送给其余理性用户，则理性用户P_i和

的收益u_i和

分别满足：

此时，只有策略组合

满足现有理性秘密共享的公平性。

综上所述，当t≠n且至少有t个用户将自己拥有的子秘密正确地发送给其余用户时，现有理性秘密共享的公平性定义就存在“允许理性用户不发送自己的子秘密也能获得共享秘密”或“发送错误的子秘密欺骗其余理性用户，将重构出错误的共享秘密当作真实共享秘密”的不公平情形。

3.2理性公平性

通过上述分析发现，当t＝n时，由于理性秘密共享具有特殊的最小存取结构AS_m＝P，即所有的理性用户均要将自己的拥有的子秘密正确地发送给其他人时，可实现公平的理性秘密共享。因此，本发明通过引入用户的最小存取结构，给出秘密共享的理性公平性定义，其形式化描述如下所示。

定义5(理性公平性)。一个(t,n)理性秘密共享方案被称为是理性公平的，当且仅当对于任意理性用户P_i(1≤i≤n)来说，当理性秘密重构结束时，

其收益u_i满足：

(1)

(2)

或

其中，a_i,a′_i∈A_i是理性用户P_i参加理性秘密重构时所选择的策略且a_i≠a′_i；

是理性用户P_i的关于理性秘密共享的最小存取结构；

表示用户集合P′中其余理性用户

参加博弈G_S选择的策略

组成的策略组合；1≤j≤t-1且e_j≠i。

在上述理性公平性的形式化定义中，条件(1)是为了确保理性用户的自利性，即参加理性秘密共享时(或更准确地说，是参加理性秘密重构时)，理性用户P_i总是在追求自身利益的最大化；条件(2)是为了确保理性秘密重构的公平性，对执行过程进行约束，即当任意t个理性用户进行理性秘密重构时，他们均能重构出真实的共享秘密或均未重构出共享秘密。

下面证明本发明给出的理性公平性定义并不蕴含任何不公平的情形。

定理2，在理性用户均是自利的情形下，本发明提出的理性公平性定义中未蕴含任何关于理性秘密重构的不公平的情形。

证明，令P＝{P₁,P₂,…,P_n}表示参与理性秘密重构的用户集合。

是集合P中任意一个包含有理性用户P_i的用户集合，且

现假设理性用户

参与理性秘密重构。此时，当所有的理性用户均将自己拥有的子秘密正确地发送给其余理性用户时，即理性用户P_i和

选择策略

和

时，其收益满足：

其中，

下面证明对于理性用户P_i来说，当其参与理性秘密重构时，不存在其他策略a_i′∈A_i且

使得；

同时成立。

反证法，存在一个其他的策略

使得上式成立。由于已有t-1个用户

将自己拥有的子秘密正确地发送给其余用户，故对于理性用户P_i来说，无论其如何选择自己的策略，他都能拥有t个子秘密，从而重构出共享秘密。因此，当理性用户P_i选择策略

时，其收益为：

然而，对于其余任意的理性用户

来说，由于在理性用户P_i选择的策略

即未将自己拥有的子秘密正确地发送给其余理性用户，因此理性用户

只能拥有t-1个子秘密，不能重构出共享秘密。此时，理性用户

的收益为：

显然，这与假设矛盾，因此对于理性用户P_i来说，当其参与理性秘密重构时，并不存在其他的策略a_i′∈A_i且

使得：

同时成立。

综上所述，在理性用户均是自利的情形下，本发明提出的理性公平性定义中未蕴含任何关于理性秘密重构博弈的不公平的情形。

4、理性公平的秘密共享方案，为进一步表明本发明所提的理性公平性定义具有实用性，基于混淆思想，设计一个理性公平的秘密共享方案。

4.1混淆激励机制

本发明基于机制设计模型，设计了一个混淆激励机制来约束理性用户在理性秘密重构阶段的自利性行为。基本思想如下：通过让秘密分发者Dealer为每个理性用户分发包含多个虚假子秘密的子秘密集合，使得理性用户在秘密重构阶段中无法确认重构出的秘密是否是真实的共享秘密；一旦理性用户在秘密重构阶段中未将自己拥有的子秘密正确地发送给其余用户或不发送任何子秘密给其余用户，则该用户在随后的子秘密交互过程中将受到惩罚，不会收到其余理性用户发送的任何子秘密。

令

是秘密分发者Delaer给理性用户P_i(1≤i≤n)分发的子秘密集合，其中真实的子秘密

N是正整数；策略

表示理性用户P_i发送其拥有的第k(1≤k≤N)个子秘密所选择的策略。本发明设计的混淆激励机制如下所示。

定义5(混淆激励机制)。针对基于异步通信的理性秘密共享，混淆激励机制

是个二元组，其中：

(1)

是在理性秘密重构阶段的第k轮交互中，每个理性用户P_i在混淆激励机制M_obf下选择策略

所构成的策略组合。

(2)

是理性用户P_i在混淆激励机制下选择策略

后所获得的反馈，其满足：

其中，j≠i且理性用户P_j在秘密重构阶段的第k轮交互中比理性用户P_i后进行策略的选择；

表示理性用户P_i在第k轮交互中将自己拥有的子秘密正确地发送给其余用户；

表示理性用户P_i在第k轮交互中未将自己拥有的子秘密正确地发送给其余用户；

表示理性用户P_i在第k轮交互中不发送任何子秘密给其余用户；

表示理性用户P_j在第k轮交互中将自己拥有的子秘密正确地发送给用户P_i；

表示理性用户P_j在第k轮交互中不发送任何子秘密给用户P_i。

当在秘密重构阶段是采用同步通信信道进行子秘密交互，即所有用户同时选择自己的策略时，只需将上述混淆激励机制中的

修改为：

即可也就是说，混淆机制将根据理性用户P_i在第k轮交互中选择的策略

在第k+1轮交互中给予反馈。

4.2本发明的方案，基于混淆激励机制的理性公平秘密信息共享方法

下面基于上述混淆激励机制，构造一个理性公平的秘密共享方案。该方案适用于异步通信情形。在本发明中，所有的理性用户在理性秘密重构阶段依次发送自己拥有的子秘密。当交互完成后，理性用户从重构出的秘密中找出重复数量最多的秘密作为真实的共享秘密。具体方案如下所示，由理性秘密分发协议和理性秘密重构协议组成。

4.2.1理性秘密分发协议

为了防止理性用户在秘密重构阶段中猜测出真实的共享秘密K_real，在秘密分发阶段，秘密分发者Dealer根据共享的真实秘密K_real生成若干虚假秘密K^1-fake,K^2-fake,…,K^N′-fake为每个理性用户P_i生成子秘密集合k_set_i，使得有N″个子秘密k^i′-fake的个数比真实子秘密

的个数少1个。其中，N′是正整数且N′≥2；N″＜N；K^i′-fake表示生成的第i′个虚假秘密，1≤i′≤N′；

是关于真实共享秘密K_real的子秘密；k^i′-fake∈k_set_i是关于虚假秘密K^i′-fake的子秘密。具体协议如下所示。

步骤一，秘密分发者Dealer根据真实共享秘密K^real生成N′个虚假秘密K^1-fake,K^{2 -fake},…,K^N′-fake，并利用K^1-fake,K^2-fake,…,K^N′-fake,K^real生成分发秘密集合K＝{K₁,K₂,…,K_N}。其中，N′≥2且是正整数；K₁,K₂,…,K_N是重复使用N+1个共享秘密K^1-fake,K^2-fake,…,K^N′-fake,K^real而构成的一个共享秘密排列，其满足；

1)

有：

2)

有：K_N-k,K_N-k+1,…,K_N≠K^real；

3)N″和k是两个随机正整数且2≤N″＜N′、1≤k≤N。

步骤二，秘密分发者Dealer构造N个t-1阶多项式f₁(x),f₂(x),…,f_N(x)，使得：

并利用这些多项式将分发秘密K_m∈K拆分成n份子秘密

其中，

1≤i≤n。

步骤三，秘密分发者Dealer选择安全的签名函数sign(·)，并利用自己的私钥Dealer_SK为子秘密

计算承诺信息

其中，ID_i是理性用户P_i的身份；“||”是连接符。

步骤四，秘密分发者Dealer为理性用户生成子秘密集合

和承诺信息集合

然后将子秘密集合k_set_i发送给理性用户P_i；将承诺信息集合c_set_i和签名验证函数verf(·)发送给所有的理性用户。

4.2.2理性秘密重构协议

当要重构共享秘密时，所有的理性用户根据收到的子秘密集合进行交互，即在第m轮交互中，每个理性用户P_i发送其子秘密集合k_set_i中的第m个子秘密

其余理性用户收到P_i发送的子秘密后，利用验证函数verf(·)和秘密分发者的公钥Dealer_PK验证子秘密的正确性。若发现理性用户P_i未正确地发送子秘密

则在之后的第m+1轮至第n轮交互中，其余理性用户均不在发送任何子秘密给理性用户P_i。若确认理性用户P_i正确地发送子秘密

则继续进行交互，直至将所有的子秘密都交互完毕后，从重构出的诸多秘密中挑选重复数量最多的作为真实的共享秘密。具体协议如下所示。

步骤一，在任意第m轮子秘密交互中，当轮到理性用户P_i发送子秘密时；

1)对于已行动过的理性用户P_i′，

若收到理性用户P_i′发送的子秘密

且确认该子秘密的正确性，则将

发送给理性用户P_i′。

若收到理性用户P_i′发送的子秘密

但确认该子秘密不是秘密分发者Dealer指定发送的子秘密，则不发送任何子秘密给理性用户P_i′。

若未收到理性用户P_i′发送的子秘密

则不发送任何子秘密给理性用户P_i′。

2)对于还未行动过的理性用户P_j，则发送自己拥有的子秘密

步骤二，理性用户P_j∈P_-i收到子秘密

后，利用秘密分发者Dealer的公钥Dealer_PK、验证函数verf(·)以及承诺信息

验证该子秘密的正确性，即P_i发送的子秘密

是否就是秘密分发者Dealer指定的在第m轮中发送的子秘密：

1)若

则表示理性用户P_i在第m轮交互中，正确地发送了自己拥有的子秘密，则广播消息“Honest”；

2)若

则表示理性用户P_i在第m轮交互中，未正确地发送自己拥有的子秘密，则广播消息“Fake”。

若理性用户P_j未收到任何子秘密，则广播消息“silent”。

步骤三，理性用户发送完自己拥有的子秘密

后，则轮到下一位未行动的理性用户P_i+1发送自己拥有的子秘密。

步骤四，当在第m轮中交互中收到子其余理性用户发送的子秘密

后：

1)若t-1≤n′≤n-1，即至少有t-1个其余理性用户正确地发送自己拥有的子秘密，则利用朗格朗日插值法恢复共享秘密K_m。

2)若n′＜t-1，即仅有不多于t-2个其余理性用户正确地发送自己拥有的子秘密，此时无法恢复出共享秘密K_m，交互终止。

步骤五，当重构出分发的秘密K₁,K₂,…,K_N后，将重构出数量最多的秘密K′视为真实的共享秘密K^real，其中，

有|K′|＝|K^real|≥|K″|，协议终止。

4.3时间复杂度分析

本发明将承诺信息的验证视为计算承诺信息的一个逆计算，故它们具有相同的时间复杂度，用O(sign)表示。

在秘密分发阶段中，秘密分发者Dealer首先需要生成分发秘密集合K＝{K₁,K₂,…,K_N}，并利用t-1阶多项式将秘密K_m拆分成

因此，每拆分一个秘密K_m需要O(n)次计算。那么，拆分秘密分发秘密集合K中的N个秘密所需的计算复杂度为O(n·N)。随后，为了防止理性用户在秘密重构阶段中进行欺骗，秘密分发者Dealer还需要为每个子秘密

计算承诺信息

因此计算承诺信息所需的计算复杂度为O(n·N·sign)。

在秘密重构阶段，当理性用户P_i收到其余理性用户P_j∈P_-i发送的子秘密

后，需利用验证函数verf(·)和秘密分发者的公钥Dealer_PK验证子秘密的正确性，即计算

故每验证一个子秘密就需O(sign)计算复杂度。而每个理性用户P_j需发送N个子秘密

因此，为了验证其余理性用户发送的子秘密的正确性，每个理性用户P_i共需O((n-1)·N·sign)＝O(n·N·sign)次计算。当在任意第m轮交互完成后，理性用户P_i需利用收到的子秘密重构出分发秘密K_m，故重构出所有分发秘密K₁,K₂,…,K_N所需的计算复杂度为O(N)。此外，从重构出的分发秘密K₁,K₂,…,K_N中统计每个秘密重复出现的次数，并通过查找出现次数最多的秘密为真实的共享秘密K^real，故从重构出的分发秘密K₁,K₂,…,K_N中识别出共享秘密K^real所需的计算复杂度为O(N)。

综上所述，当使用本发明在n个理性用户间共享秘密时，

(1)对于秘密分发者来说，其所需的计算复杂度为：

O_Dealer＝O(n·N)+O(n·N·sign)＝O(n·N·sign)；

(2)对于理性用户来说，其所需的计算复杂度为：

O_user＝O(n·N·sign)+O(N)+O(N)＝O(n·N·sign)。

下面结合实验对本发明的技术效果作详细的描述。

本发明利用Miracl密码学软件开发包对该方案进行模拟实验。该密码学软件开发包是目前最常采用的一种密码学开发包，其已定义了大量的与密码学相关的基础函数，如大整数的生成、素数的判断等。

本实验首先在有限域F_q上随机构造t-1阶多项式

使得f_m(0)＝K_m；并利用该多项式通过计算

将分发秘密K_m拆分成n份子秘密

其中，q是大素数；多项式系数a₀,a₁,…,a_t-1∈F_q；1≤i≤n。此外，还选用国家密码管理局公布的SM2椭圆曲线公钥密码算法为每个子秘密

进行签名生成承诺信息

并通过计算

来验证理性用户发送的子秘密的正确性。本实验设定秘密分发者的密钥长度为256bit；理性用户P_i的身份信息ID_i长度为8bit；当前重构轮数m的表示长度为8bit。针对不同长度的q值，即|q|＝256和|q|＝512，通过变化门限值t、理性用户数量n和重构交互轮数N，分别进行100次实验。实验所用算法均采用C++编程语言实现，实验环境为Intel Core i5-45903。30GHz CPU，8GB DDR4-2400 RAM，操作系统为Windows 7-64bit。

1、本发明所需的计算开销

首先通过实验表明本发明所需的计算时延较低，具有较好的实用性。在该部分实验中，设置2≤t＝n≤20；秘密重构交互轮数N＝20。

当参与秘密共享的理性用户数量增多时，秘密分发者Dealer在秘密分发阶段中需构造t-1阶多项式

将分发秘密K_m拆分的子秘密

的数量也随之增多。此外，随着拆分的子秘密数量的不断增多，秘密分发者Dealer需要计算的承诺信息

的数量也在不断增多。造成了秘密分发者Dealer所需计算时延的增加，如图2(a)所示。

此外，对于理性用户P_i来说，其所需的计算开销也随着门限值t和理性用户数量n的增加而呈递增趋势，如图2(b)所示。这是因为在秘密重构阶段中，(1)理性用户数量的增加意味着P_i收到其余理性用户发送的子秘密数量就在增多，导致其利用承诺信息验证收到子秘密的正确性所需的计算开销就在增多。(2)当收到其余理性用户发送的子秘密且验证了它们的正确性后，理性用户P_i需利用拉格朗日插值法计算

恢复出秘密K_m。其中，

因此，当门限值t增大时，理性用户重构出秘密K_m所需的计算时延也呈上升趋势。无论门限值t和理性用户数量n如何变化，在使用本发明实现公平的理性秘密共享时，秘密分发者Dealer和理性用户P_i所需的计算时延是十分有限的。例如，当|q|＝256且t＝n＝20时，秘密分发者Dealer所需的计算时延为2397.077ms；理性用户P_i重构出正确共享秘密所需的计算时延是907.517ms；而当|q|＝512且t＝n＝20时，秘密分发者Dealer所需的计算时延为6795.287ms；理性用户P_i重构出正确共享秘密所需的计算时延是1121.946ms。这说明本发明具有较好的实用性。

2、门限值t对本发明的影响

下面分析当使用本发明共享秘密时，门限值t对秘密分发者Dealer和理性用户P_i所需计算时延的影响；在该部分实验中，设定n＝N＝20，实验结果如图3所示。

对于秘密分发者Dealer来说，当要将秘密K_m拆分成子秘密

进行分发时，首先需要从有限域F_q中挑选t-1个系数a_{1_m},a_{2_m},…,a_{t-1_m}构造t-1阶多项式

其中K_m∈F_q；然后在利用该多项式计算子秘密

因此，随着门限值t的增加，秘密分发者Dealer构造t-1阶多项式以及计算

所需的计算时延也随之增加。例如，当|q|＝256且门限t从2变化到20时，秘密分发者Dealer所需的计算时延从759.349ms提升至2397.077ms；而当|q|＝512时，随着门限t值的变化，秘密分发者Dealer所需的计算时延也从976.937ms提升至6795.287ms。

对于理性用户P_i来说，随着门限值t产生变化，在收到其余理性用户发送的子秘密后，利用拉格朗日插值法计算

恢复出秘密K_m所需要的加法运算、乘法运算以及乘法运算的逆运算次数也在增多，从而导致理性用户P_i所需的计算时延也随之增大。其中，

例如，当|q|＝256和|q|＝512，且门限t从2增加到20时，理性用户所需的计算时延分别从803.650ms和841.620ms提升至907.517ms和1121.946ms。

3、理性用户数量n对本发明的影响，实验用于分析当使用本发明实现公平的秘密共享时，理性用户数量n对秘密分发者Dealer和理性用户所需计算开销的影响。其中，设定t＝2和N＝20。实验结果如图5所示。当秘密分发者Dealer使用本发明实现秘密共享时，其首先要根据理性用户数量n将要分发的秘密K_m拆分成n份子秘密

其中

随后为了防止理性用户在秘密重构阶段中欺骗其余理性用户，秘密分发者Dealer还要通过计算

为每个子秘密

生成承诺信息。因此，秘密分发者Dealer所需的计算时延随着理性用户数量n的增多而增大。例如，当|q|＝256时，随着n从2变换至20，秘密分发者Dealer所需的计算时延从79/167ms增加到2397/077ms；而当|q|＝512时，秘密分发者Dealer所需的计算时延则从108/700ms提高到6795/287ms。

在秘密重构阶段的任意第m轮交互中，在收到其余理性用户P_i′∈P_-i发送的子秘密

后，理性用户P_i需要计算

来验证子秘密

的正确性。因此，随着用户数量的增多，每个理性用户在秘密重构阶段中收到的子秘密数量就随之增多，使其验证这些子秘密正确性所需的计算次数也就随之增多。这就导致理性用户所需的计算时延也随之理性用户数量的增多而增大。例如，当|q|＝256和|q|＝512时，随之n从2增大至20，理性用户所需的计算时延分别从69.978ms和73.799ms增加到803.650ms和841.620ms。

4、分发秘密数量N对本发明的影响，最后简要分析分发的秘密数量N对本发明所需平均计算时延的影响。在实验中，设定t＝n＝2。实验结果如图6所示。在秘密分发阶段中，秘密分发者Dealer为了防止理性用户正确地猜测出真实的共享秘密K^real，首先生成了一个包含大量虚假秘密的分发秘密集合K＝{K₁,K₂,…,K_N}，然后再构造不同的t-1阶段多项式将这N个秘密进行拆分。并为拆分后的每个子秘密

通过计算

生成承诺信息

因此，秘密分发者Dealer所需的计算开销随着分发秘密数量N的增多而增大。例如，当|q|＝256和|q|＝512时，随着N从5增大至95，秘密分发者Dealer所需的计算时延分别从22.728ms和36.341ms增加到1140.885ms和3232.608ms。

对于理性用户P_i来说，当N从5增大至95时，其所需的计算时延也随之增大。例如，当|q|＝256和|q|＝512时，理性用户P_i所需的计算时延也分别从17.494ms和18.450ms增加到881.598ms和1113.592ms。造成上述现象的原因是：在秘密重构阶段中，在收到其余理性用户P_j发送的子秘密

后，理性用户P_i都要验证这些子秘密的正确性。因此，随着分发秘密数量的增多，理性用户所需的计算时延也随之增大。

现有理性秘密共享的公平性定义未能充分考虑理性用户的自利性行为，从而导致该公平性定义允许出现“发送子密钥的理性用户无法恢复出共享密钥，而不发送子密钥的用户却能重构出共享密钥”的不公平情形；甚至还会出现“发送错误的子秘密欺骗其余理性用户，使其将重构出的错误秘密视为真实共享秘密”的极端情形。因此，以该公平性定义为指导所设计出的方案在实际使用时，并不能实现公平的秘密共享。为了解决该问题，本发明通过分析理性用户的自利性行为，将最小存取结构引入到理性秘密重构中，形式化地定义了秘密共享的理性公平性。为表明所提出的理性公平性的实用性，本发明以理性公平性定义为指导，通过在秘密分发阶段为每个理性用户发送大量虚假子秘密，使得理性用户难以准确猜测出真实共享子秘密的方法，设计一个混淆激励机制，并构造了理性公平的秘密共享方案。理论分析和大量实验表明，本发明能有效地约束理性用户在秘密重构阶段中的自利性行为，确保所有用户均能重构出真实的共享，高效地实现公平的秘密共享。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (3)

1.一种基于混淆激励机制的理性公平秘密信息共享方法，其特征在于，所述基于混淆激励机制的理性公平秘密信息共享方法包括以下步骤：

第一步，采用t-1阶多项式对分发的秘密K_m(1≤m≤N)进行拆分(其中只有一个秘密是真实的共享秘密K^real)，根据方程组解的性质，当且仅当理性用户P_i拥有t个子秘密，才能重构出K_m，否则不能得到关于秘密K_m的任何信息；

第二步，当理性用户P_i分发子秘密k_i ^m时，如果其不交互秘密分发者指定的交互的子秘密k_i ^m，由于存在承诺信息，其余理性用户均可正确的识别出P_i的欺骗行为；

第三步，当收到不少于t-1个其余理性用户发送的关于K_m的子秘密后，就可利用拉格朗日插值法重构出秘密K_m；

第四步，当理性用户重构出所有的秘密K_m后，从中选择数量最多的秘密K′作为真实的共享秘K^real；

所述基于混淆激励机制的理性公平秘密信息共享方法的混淆激励机制

是个二元组，其中：

(1)

是在理性秘密重构阶段的第k轮交互中，每个理性用户P_i在混淆激励机制M_obf下选择策略

所构成的策略组合；

(2)

是理性用户P_i在混淆激励机制下选择策略

后所获得的反馈，其满足：

其中，j≠i且理性用户P_j在秘密重构阶段的第k轮交互中比理性用户P_i后进行策略的选择；

表示理性用户P_i在第k轮交互中将自己拥有的子秘密正确地发送给其余用户；

表示理性用户P_i在第k轮交互中未将自己拥有的子秘密正确地发送给其余用户；

表示理性用户P_i在第k轮交互中不发送任何子秘密给其余用户；

表示理性用户P_j在第k轮交互中将自己拥有的子秘密正确地发送给用户P_i；

表示理性用户P_j在第k轮交互中不发送任何子秘密给用户P_i；

当在秘密重构阶段是采用同步通信信道进行子秘密交互，所有用户同时选择自己的策略时，只需将上述混淆激励机制中的

修改为：

混淆机制将根据理性用户P_i在第k轮交互中选择的策略

在第k+1轮交互中给予反馈；

所述基于混淆激励机制的理性公平秘密信息共享方法的由理性秘密分发协议和理性秘密重构协议组成；

所述理性秘密分发协议在秘密分发阶段，秘密分发者Dealer根据共享的真实秘密K_real生成若干虚假秘密K^1-fake,K^2-fake,…,K^N′-fake为每个理性用户P_i生成子秘密集合k_set_i，使得有N″个子秘密k^i′-fake的个数比真实子秘密k_i ^real的个数少1个，其中，N′是正整数且N′≥2；N″＜N；K^i′-fake表示生成的第i′个虚假秘密，1≤i′≤N′；k_i ^real∈k_set_i是关于真实共享秘密K_real的子秘密；k^i′-fake∈k_set_i是关于虚假秘密K^i′-fake的子秘密；具体协议如下所示：

步骤一，秘密分发者Dealer根据真实共享秘密K^real生成N′个虚假秘密K^1-fake,K^2-fake,…,K^N′-fake，并利用K^1-fake,K^2-fake,…,K^N′-fake,K^real生成分发秘密集合K＝{K₁,K₂,…,K_N}，其中，N′≥2且是正整数；K₁,K₂,…,K_N是重复使用N+1个共享秘密K^1-fake,K^2-fake,…,K^N′-fake,K^real而构成的一个共享秘密排列，其满足；

1)

有：

2)

有：K_N-k,K_N-k+1,…,K_N≠K^real；

3)N″和k是两个随机正整数且2≤N″＜N′、1≤k≤N；

步骤二，秘密分发者Dealer构造N个t-1阶多项式f₁(x),f₂(x),…,f_N(x)，使得：

并利用这些多项式将分发秘密K_m∈K拆分成n份子秘密

其中，k_i ^m＝f_m(i)；1≤i≤n；

步骤三，秘密分发者Dealer选择安全的签名函数sign(·)，并利用自己的私钥Dealer_SK为子秘密k_i ^m计算承诺信息

其中，ID_i是理性用户P_i的身份；“||”是连接符；

步骤四，秘密分发者Dealer为理性用户生成子秘密集合

和承诺信息集合

将子秘密集合k_set_i发送给理性用户P_i；将承诺信息集合c_set_i和签名验证函数verf(·)发送给所有的理性用户；

所述理性秘密重构协议当要重构共享秘密时，所有的理性用户根据收到的子秘密集合进行交互，在第m轮交互中，每个理性用户P_i发送其子秘密集合k_set_i中的第m个子秘密k_i ^m；其余理性用户收到P_i发送的子秘密后，利用验证函数verf(·)和秘密分发者的公钥Dealer_PK验证子秘密的正确性；若发现理性用户P_i未正确地发送子秘密k_i ^m，则在之后的第m+1轮至第n轮交互中，其余理性用户均不在发送任何子秘密给理性用户P_i，若确认理性用户P_i正确地发送子秘密k_i ^m，则继续进行交互，直至将所有的子秘密都交互完毕后，从重构出的诸多秘密中挑选重复数量最多的作为真实的共享秘密；具体协议如下所示；

步骤一，在任意第m轮子秘密交互中，当轮到理性用户P_i发送子秘密时；

1)对于已行动过的理性用户P_i′；

若收到理性用户P_i′发送的子秘密

且确认该子秘密的正确性，则将k_i ^m发送给理性用户P_i′；

若收到理性用户P_i′发送的子秘密

但确认该子秘密不是秘密分发者Dealer指定发送的子秘密，则不发送任何子秘密给理性用户P_i′；

若未收到理性用户P_i′发送的子秘密

则不发送任何子秘密给理性用户P_i′；

2)对于还未行动过的理性用户P_j，则发送自己拥有的子秘密k_i ^m；

步骤二，理性用户P_j∈P_-i收到子秘密k_i ^m后，利用秘密分发者Dealer的公钥Dealer_PK、验证函数verf(·)以及承诺信息

验证该子秘密的正确性，即P_i发送的子秘密k_i ^m是否就是秘密分发者Dealer指定的在第m轮中发送的子秘密：

1)若

则表示理性用户P_i在第m轮交互中，正确地发送了自己拥有的子秘密，则广播消息“Honest”；

2)若

则表示理性用户P_i在第m轮交互中，未正确地发送自己拥有的子秘密，则广播消息“Fake”；

3)若理性用户P_j未收到任何子秘密，则广播消息“Silent”；

步骤三，理性用户发送完自己拥有的子秘密k_i ^m后，则轮到下一位未行动的理性用户P_i+1发送自己拥有的子秘密；

步骤四，当在第m轮中交互中收到子其余理性用户发送的子秘密

后：

1)若t-1≤n′≤n-1，即至少有t-1个其余理性用户正确地发送自己拥有的子秘密，则利用朗格朗日插值法恢复共享秘密K_m；

2)若n′＜t-1，即仅有不多于t-2个其余理性用户正确地发送自己拥有的子秘密，此时无法恢复出共享秘密K_m，交互终止；

步骤五，当重构出分发的秘密K₁,K₂,…,K_N后，将重构出数量最多的秘密K′视为真实的共享秘密K^real，其中，

有|K′|＝|K^real|≥|K″|，协议终止。

2.如权利要求1所述的基于混淆激励机制的理性公平秘密信息共享方法，其特征在于，所述基于混淆激励机制的理性公平秘密信息共享方法通过让秘密分发者Dealer为每个理性用户分发包含多个虚假子秘密的子秘密集合，使得理性用户在秘密重构阶段中无法确认重构出的秘密是否是真实的共享秘密；一旦理性用户在秘密重构阶段中未将自己拥有的子秘密正确地发送给其余用户或不发送任何子秘密给其余用户，则该用户在随后的子秘密交互过程中将受到惩罚，不会收到其余理性用户发送的任何子秘密；

令

是秘密分发者Delaer给理性用户P_i(1≤i≤n)分发的子秘密集合，其中真实的子秘密k_i ^real∈k_set_i，N是正整数；策略

表示理性用户P_i发送其拥有的第k(1≤k≤N)个子秘密所选择的策略。

3.一种应用权利要求1～2任意一项所述基于混淆激励机制的理性公平秘密信息共享方法的信息数据处理终端。

Images