CN112291061B - 大规模物联网场景下基于分布式秘密共享的信任管理方法 - Google Patents

Abstract

本发明提出一种大规模物联网场景下基于分布式秘密共享的信任管理方法，包括：在网络上初始有n位拥有自身标识的参与者，其中，n＝t，所述参与者利用初始参数生成算法共同协商一个门限为t的秘密s并保留自己用于恢复秘密的消息；当有新加入者时，新加入的参与者利用参与者加入算法，从已加入的参与者中选取t位帮助生成消息，并且秘密s和门限t均不变，为了防止泄露，每两个参与者之间需要协商一个扰动；当参者数量大于t时，允许参与者利用参与者退出算法退出，退出后每个参与者的消息均相应地改变，但是秘密s和门限t均不变，使得退出者即便试图参与恢复秘密也无法恢复s。

Description

大规模物联网场景下基于分布式秘密共享的信任管理方法

技术领域

本发明涉及网络与信息安全领域，尤其涉及一种大规模物联网场景下基于分布式秘密共享的信任管理方法。

背景技术

在大规模物联网中，节点的计算资源和功耗差异较大，而其规模和复杂度较高，因此分层分级的模式是较为合理的管理方式。在这种模式下，各顶级管理节点地位平等，且没有在线的第三方管理者，因此需要设计一种不依赖在线可信第三方的信任管理机制，使得各顶级管理节点可以通过协同合作，在没有在线第三方参与的情况下建立彼此间的信任关系。

1)Shamir门限秘密共享算法

在Shamir门限秘密共享算法中，一共有n块，当有k或k块以上共同参与时可以恢复出秘密的方案，称为(k,n)门限方案。该算法主要是基于Lagrange插值公式构造的。他的算法基本描述如下：

(1)初始化阶段：假设一共有n位参与者，门限值为k，秘密分发者D随机选取一个大素数p，秘密空间和份额空间均为有限域GF(p)。

(2)秘密分发：首先，密钥分发者D随机在GF(p)上选择一个k-1次的多项式，使得f(0)＝a₀＝s，并将f(x)进行保密。然后，分发者D在Z_p中选择n个互不相同的非零元素x₁,x₂,…,x_n，计算出y_i＝f(x_i)(0≤i≤n)。将(x_i,y_i)分配给参与者P_i(0≤i≤n)，其中x_i公开传送，而y_i只有该参与者才知道具体的值，不公开。

(3)秘密恢复：当有大于等于k个用户要进行秘密的恢复，假设参与秘密恢复的前k个点为(x₀,y₀),(x₁,y₁),...,(x_k,y_k)，由Lagrange插值公式可以得到：

从而能恢复出秘密s＝f(0)＝a₀。

2)分布式秘密共享

为了适应没有可信第三方的情况，将所有参与者作为秘密分发者，采用分布式秘密共享方案，三个过程也做相应调整。

(1)初始化阶段：假设一共有n位参与者，每个参与者有一个公开的非零代表元素x₁，x₂，...，x_n，门限值为k(k＝n)。参与者共同选取一个大素数p，秘密空间和份额空间均为有限域GF(p)。

(2)秘密分发：首先，每个参与者x_i分别随机在GF(p)上选择一个k-1次的多项式f_i(x)，秘密多项式为

秘密s＝f(0)。然后，x_i为所有其他参与者x_j计算秘密组件f_i(x_j)并发送。最后，x_i收到所有来自其他参与者分发的秘密组件后，计算

作为自己的子秘密。

秘密恢复：秘密恢复过程与Shamir方案一致。

Shamir方案虽然可以使得秘密持有者人数高于门限，但是依赖于可信第三方，相当于需要额外的设备来进行辅助，且该设备更容易成为攻击的对象，随着可信第三方的设立，安全维护的成本也会提高。分布式秘密共享摆脱了可信第三方的依赖，但是参与者人数必须与门限一致才能保证安全，这使得在应用过程中参与者无法有效地动态更新。

发明内容

本发明目的是设计一种基于分布式秘密共享的信任管理方法，使得大规模物联网中地位平等的顶级管理节点协同合作，在不依赖在线可信第三方的情况下建立信任关系。为了能够在摆脱可信第三方的同时，使得参与者人数可以高于门限，从而实现有效的动态更新，本发明的技术方案在分布式秘密共享的基础上，增加了参与者加入算法和参与者退出算法，使得新的参与者可以加入、已有的参与者可以退出。

本发明的技术方案为：一种大规模物联网场景下基于分布式秘密共享的信任管理方法，包括：

在网络上初始有n位拥有自身标识的参与者，其中，n＝t，所述参与者利用初始参数生成算法共同协商一个门限为t的秘密s并保留自己用于恢复秘密的消息；

当有新加入者时，新加入的参与者利用参与者加入算法，从已加入的参与者中选取t位帮助生成消息，并且秘密s和门限t均不变，为了防止泄露，每两个参与者之间需要协商一个扰动；

当参者数量大于t时，允许参与者利用参与者退出算法退出，退出后每个参与者的消息均相应地改变，但是秘密s和门限t均不变，使得退出者即便参与恢复秘密也无法恢复s。

有益效果：

1)分布式：并非由可信第三方生成秘密并进行分发，而是由节点分布式生成秘密，并进行消息的共享，消除了对可信第三方的依赖。

2)公开性：不需要离线的密钥或者消息，在公开信道上进行秘密共享、私钥生成所需要的消息的传输。

3)动态性：节点可以动态地加入或退出，同时确保秘密不变。

4)公平性：新加入的节点与已加入的节点是平等的，能实现相同的功能。

5)安全性：新加入节点获得的消息不会泄露协助其加入的节点的消息；退出的节点无法泄露秘密或者其他节点的消息。

附图说明

图1为本发明的一种大规模物联网场景下基于分布式秘密共享的信任管理方法流程框图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整的描述，显然，所描述的实施例仅为本发明的一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域的普通技术人员在不付出创造性劳动的前提下所获得的所有其他实施例，都属于本发明的保护范围。

如图1所示，本发明的一种大规模物联网场景下基于分布式秘密共享的信任管理方法。初始有n(n＝t)位拥有自身标识的参与者，他们利用算法1：初始参数生成算法共同协商一个门限为t的秘密s并保留自己用于恢复秘密的消息。新加入的参与者可以利用算法2：参与者加入算法从已加入的参与者中选取t位帮助生成消息，并且秘密s和门限t均不变，为了防止泄露，每两个参与者之间需要协商一个扰动。当参者数量大于t时，可以允许参与者利用算法3：参与者退出算法退出，退出后每个参与者的消息均相应地改变，但是秘密s和门限t均不变，使得退出者即便参与恢复秘密也无法恢复s。

所述初始参数生成算法具体包括如下步骤：

n位参与者，其中第k位参与者为P_k，其中1≤k≤n，他们各携带一个公开的标识，相应的分别记为ID_k，还共享一个公开的哈希函数h(x)和一个公开的大素数p；

(1.1)所有P_k随机选择一个t-1次的多项式f_k(x)＝a_k，0+a_k，1x+…+a_k，t-1x^t-1，a_k，i∈Z_p，0≤i≤t-1，a_k，0≠0，a_k，t-1≠0；其中Z_p为整数模素数p形成的域，a_k，i为多项式的系数；

(1.2)所有P_k分别向所有其他P_k′发送f_k(ID_k′)；

(1.3)所有P_k收到了所有其他P_k′发送的f_k′(ID_k)，同时计算f_k(ID_k)，然后令

x_k取ID_k，D_k，k′＝h(f_k(ID_k′))+h(f_k′(ID_k))；秘密

每个参与者均保留恢复秘密的消息D_k，该秘密s仅当t位或以上的参与者参加时才能恢复；其中，t≤n；

(1.4)每两个参与者之间协商一个扰动，记参与者P_k所保存的与P_k′之间的扰动为D_k，k′，且D_k，k′＝D_k′，k；

所述参与者加入算法具体包括如下步骤：

现有n′位参与者，其中n′≥t，分别记为P_k，其中1≤k≤n′，他们已经协商出了秘密s；一位新的参与者P_n′+1选择其中t位，分别记为

其中1≤j≤t，1≤k₁≤k₂≤…≤k_t≤n′，来为自己生成消息D_n′+1和彼此之间的扰动

还有未参与前面过程的参与者，分别记为

1≤q≤n′-t，1≤k′₁≤k′₂≤…≤k′_n′-t≤n′，生成彼此之间的扰动

具体如下：

(2.1)新的参与者P_n′+1告知所有

“希望加入”的消息；

(2.2)所有

计算出

交由P_n′+1；其中

(2.3)P_n′+1收到q条消息后计算

接到消息后，双方均令

(2.4)P_n′+1选取n′-t个随机数

分别发送给

收到随机数后，

也向P_n′+1发送随机数

并令

所述的参与者退出算法具体包括如下步骤：

现有n″位参与者，n″＞t，他们已经协商出了秘密s；其中一位参与者P_u想要退出，他告知其他参与者P_k，1≤k≤n″，k≠u，P_k删去与P_u协商的扰动D_k，u，并让其中ID_k最小的参与者P_v生成一个不高于t-1阶、常数项为0的非0多项式f_v(x)用于修改P_k的消息D_k；具体如下：

(3.1)P_u告知所有P_k“希望退出”的消息；

(3.2)所有P_k删去携带的扰动D_k，u；

(3.3)P_v随机生成f_v(x)＝a_v，1x+…+a_v，t-1x^t-1，a_v，i∈Z_p，1≤i≤t-1，

计算f_v(ID_k)，并发给P_k，P_v自身的f_v(ID_v)仅计算即可，不用发送；

(3.4)P_k接收到f_v(ID_k)后，令D_k＝D_k+f_v(ID_k)。

应用举例

根据本发明的一个实施例，若有4家公司希望参与一个智慧城市的体系，每家公司形成一个网络节点作为参与者，分别记为P₁，P₂，P₃，P₄，他们各携带一个公开的标识ID₁，ID₂，ID₃，ID₄，并共享一个公开的哈希函数h(x)和一个公开的大素数p。

1、初始化：

(1)所有P_k(1≤k≤4)随机选择一个t-1次的多项式f_k(x)＝a_k，0+a_k，1x+…+a_k，t-1x^{t -1}，a_k，i∈Z_p，0≤i≤t-1，a_k，0≠0，a_k，t-1≠0。一共得到4个多项式f₁(x)，f₂(x)，f₃(x)，f₄(x)；因此，本发明的技术方案具有秘密共享分布式的优点。

(2)P₁通过公开信道向P₂，P₃，P₄分别发送f₁(ID₂)，f₁(ID₃)，f₁(ID₄)。P₂通过公开信道向P₁，P₃，P₄分别f₂(ID₁)，f₂(ID₃)，f₂(ID₄)。P₃，P₄同上。由于通过公开信道发送数据，因此本发明发技术方案具有公开性的优点。

(3)所有P_k(1≤k≤4)计算自己的秘密f_k(ID_k)，然后计算

(4)每两个参与者之间协商一个扰动，记参与者P_k所保存的与P_k′之间的扰动为D_k，k′，D_k，k′＝h(f_k(ID_k′))+h(f_k′(ID_k))，且D_k，k′＝D_k′，k。

2、新节点加入

现假设在新的参与者P₅加入后，又有一个新的参与者P₆需要加入。P₆首先告知P₁，P₂，P₃，P₄。

(1)P_j(1≤j≤4)计算出

交由P₆。其中

由于扰动的存在，P₆无法获得关于P₁、P₂、P₃、P₄的秘密的有关信息，因而本发明的技术方案具有安全性。

(2)P₆收到消息后计算

接到消息后，双方均令

(3)P₆选取1个随机数r_6，5，分别发送给P₅。收到随机数后，P₅也向P₆发送随机数r_5，6，并令D_5，6＝D_6，5＝r_5，6+r_6，5。这使得P₆加入后与P₁、P₂、P₃、P₄、P₅完全等价，因而本发明的技术方案具有公平性。

由于加入前后秘密并没有发生变化，因而本发明的技术方案在加入过程中具有动态性。

3、节点退出

现假设参与者P₅要退出。P₅告知所有的其他参与者。

(1)P₁删去D_1，5，P₂删去D_2，5，P₃，P₄，P₆同上。

(2)若此时ID₁最小，则P₁随机生成f₁(x)＝a_1，1x+a_1，2x²+a_1，3x³，并计算f₁(ID₂)，f₁(ID₃)，f₁(ID₄)，f₁(ID₆)发送给P₂，P₃，P₄，P₆。计算f₁(ID₁)自己保存。由于生成的多项式的常数项为0，对秘密没有影响，因而方案在退出过程中亦具有动态性。但是参与者持有的秘密已经发生了变化，使得退出的参与者无法恢复秘密，也无法泄露其他节点的消息，因而方案具有安全性。

(3)更新D₁＝D₁+f₁(ID₁)，D₂＝D₂+f₁(ID₁)，D₃＝D₃+f₁(ID₁)，D₄＝D₄+f₁(ID₁)，D₆＝D₆+f₁(ID₁)。

尽管上面对本发明说明性的具体实施方式进行了描述，以便于本技术领域的技术人员理解本发明，且应该清楚，本发明不限于具体实施方式的范围，对本技术领域的普通技术人员来讲，只要各种变化在所附的权利要求限定和确定的本发明的精神和范围内，这些变化是显而易见的，一切利用本发明构思的发明创造均在保护之列。

Claims (1)

1.一种大规模物联网场景下基于分布式秘密共享的信任管理方法，其特征在于，包括：

在网络上初始有n位拥有自身标识的参与者，其中，n＝t，所述参与者利用初始参数生成算法共同协商一个门限为t的秘密s并保留自己用于恢复秘密的消息；

当有新加入者时，新加入的参与者利用参与者加入算法，从已加入的参与者中选取t位帮助生成消息，并且之后秘密s和门限t均不变，为了防止泄露，每两个参与者之间需要协商一个扰动；

当参者数量大于t时，允许参与者利用参与者退出算法退出，退出后每个参与者用于恢复秘密的消息均相应地改变，但是秘密s和门限t均不变，使得退出者即便参与恢复秘密也无法恢复s；

所述初始参数生成算法具体包括如下步骤：

n位参与者，其中第k位参与者为P_k，其中1≤k≤n，他们各携带一个公开的标识，相应的分别记为ID_k，还共享一个公开的哈希函数h(x)和一个公开的大素数p；

(1.1)所有P_k随机选择一个t-1次的多项式f_k(x)＝a_k,0+a_k,1x+…+a_k,t-1x^t-1,a_k,i∈Z_p,0≤i≤t-1,a_k,0≠0,a_k,t-1≠0；其中Z_p为整数模素数p形成的域，a_k,i为多项式的系数；

(1.2)所有P_k分别向所有其他P_k′发送f_k(ID_k′)；

(1.3)所有P_k收到了所有其他P_k′发送的f_k′(ID_k)，同时计算f_k(ID_k)，然后令

x_k取ID_k，D_k,k′＝h(f_k(ID_k′))+h(f_k′(ID_k))；秘密

每个参与者均保留恢复秘密的消息D_k，该秘密s仅当t位或以上的参与者参加时才能恢复；其中，t≤n；

(1.4)每两个参与者之间协商一个扰动，记参与者P_k所保存的与P_k′之间的扰动为D_k,k′，且D_k,k′＝D_k′,k；

所述参与者加入算法具体包括如下步骤：

现有n′位参与者，其中n′≥t，分别记为P_k，其中1≤k≤n′，他们已经协商出了秘密s；一位新的参与者P_n′+1选择其中t位，分别记为

其中1≤j≤t,1≤k₁≤k₂≤…≤k_t≤n′，来为自己生成消息D_n′+1和彼此之间的扰动

还有未参与前面过程的参与者，分别记为

1≤q≤n′-t,1≤k′₁≤k′₂≤…≤k′_n′-t≤n′，生成彼此之间的扰动

具体如下：

(2.1)新的参与者P_n′+1告知所有

“希望加入”的消息；

(2.2)所有

计算出

交由P_n′+1；其中

(2.3)P_n′+1收到t条消息后计算

接到消息后，双方均令

(2.4)P_n′+1选取n′-t个随机数

分别发送给

收到随机数后，

也向P_n′+1发送随机数

并令

所述的参与者退出算法具体包括如下步骤：

现有n″位参与者，n″＞t，他们已经协商出了秘密s；其中一位参与者P_u想要退出，他告知其他参与者P_k，1≤k≤n″,k≠u，P_k删去与P_u协商的扰动D_k,u，并让其中ID_k最小的参与者P_v生成一个不高于t-1阶、常数项为0的非0多项式f_v(x)用于修改P_k的消息D_k；具体如下：

(3.1)P_u告知所有P_k“希望退出”的消息；

(3.2)所有P_k删去携带的扰动D_k,u；

(3.3)P_v随机生成

计算f_v(ID_k)，并发给P_k，P_v自身的f_v(ID_v)仅计算即可，不用发送；

(3.4)P_k接收到f_v(ID_k)后，令D_k＝D_k+f_v(ID_k)。

Images