CN112800438A - 在标准模型下计算安全的抗内存泄漏的多级秘密共享方法 - Google Patents

Abstract

本发明公开了在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，涉及计算机信息安全技术领域，本发明的利用物理不可克隆函数以及模糊提取器的联合作用，提取出相同的随机均匀分布的字符串，即产生可靠的秘密份额，使得在内存泄露的环境下，该秘密共享方法能够达到安全性要求。同时，该秘密共享方法使得每个参与者的秘密份额能够被多次使用，且用以恢复多个秘密。本技术方案不是像现有技术一样将长期秘密份额保存在非易失性的内存里的这一思想，而是构造了一个适用于一般存取结构的抗内存泄露的可验证多级秘密共享方法。

Description

在标准模型下计算安全的抗内存泄漏的多级秘密共享方法

技术领域

本发明涉及计算机信息安全技术领域，具体而言，涉及在标准模型下计算安全的抗内存泄漏的多级秘密共享方法。

背景技术

秘密共享是信息安全和数据保密中的重要手段，也是现代密码学领域的重要分支。秘密共享方法一般是在一组参与者中设计一个份额生成算法和秘密；重构算法，其中授权的参与者子集可以重构秘密，非授权的参与者集合不能得到秘密的任何信息。早前的大部分秘密共享均是门限秘密共享，即授权参与者子集中的人数一致，这个适用于参与者权力相当时，所以在实际应用中有一定的局限。

同时，很多秘密共享方法一次只能共享一个秘密，然而很多情况下，比如密钥分配机构需要为不同的保险柜分配不同的密钥，此时有三种方法：一种是为每一个密钥分别建立一个单秘密共享方法，但每个参与者的子份额太多；另一种秘密共享方法是一次性恢复多个秘密，这类方法的使用和控制不够灵活实用；还有一种是多级秘密共享方法，每一级存取结构恢复一个秘密，这样较单秘密共享不仅提高效率，而且非常实用。

从安全性角度考虑，一方面，多秘密共享安全性分为信息论安全和计算安全。信息论安全的秘密共享方法中攻击者拥有无限的计算能力，但对于每一个参与者P_i，|sh_i|≥|s|。显然此时，当秘密是一个大的隐私文件，在不安全信道上传输大的消息或存储大量数据时，这种方法的效率是很低的。而在计算安全的秘密共享方法中，攻击者的计算能力是有限的，但其份额的大小是小于秘密的，这样的安全性在很多实际问题中更具有实用性。另一方面，现有的秘密共享方法安全性分析均是基于授权集中参与者的份额没有任何泄露这一前提。而实际中，参与者的长期秘密份额通常保管在非易失性的内存中，如ROM、闪存等。而计算机系统在执行相应计算时，会泄露相关的特征信息，恶意敌手经过长期观察、收集结果并进行一系列技术分析，最终有可能推断出上述长期秘密份额的部分信息，即非易失性内存内容会泄露，即使非易失性的内存里的秘密份额没有进行计算，存储的比特也有可能遭到泄露，比如通过解封芯片或者冷启动攻击。由此可见，敌手可以通过内存攻击得到非易失性的内存里的秘密信息，此时秘密共享安全性分析的假设便不再成立。因此，研究抗内存泄露的多级秘密共享方法，在理论和实际中均具有重要的价值。同时，由于在随机预言机模型中,哈希函数被看作为一个完全随机的理想模型,是一个很强的要求。因此在随机预言机模型下是可证安全的秘密共享方法在具体应用中却无法构造出相应的实例。因此,如何构造具有较高安全性及较好现实意义的标准模型计算安全的抗内存泄漏的秘密共享,是亟待解决的问题。

发明内容

本发明的目的在于利用物理不可克隆函数(PhysicalUnclonable Functions,PUFs)以及模糊提取器(Fuzzy Extractor，FE)的联合作用，提取出相同的随机均匀分布的字符串，即产生可靠的秘密份额，构造了一个适用于一般存取结构的抗内存泄露的可验证多级秘密共享方法。

本发明的实施例是这样实现的：

在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，包括：

利用物理不可克隆函数以及模糊提取器提取出相同的随机均匀分布的字符串，产生可靠的秘密份额。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述提取的方法包括：初始化阶段、份额生成阶段和秘密重构阶段。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述初始化阶段包括：

令P＝{P₁,K,P_n}为n个参与者的集合，q是一个大素数，每个参与者均拥有一个不可克隆函数(logq,logq,d,d',m)-PUF_i:{0,1}^logq→{0,1}^logq，该函数基于物理系统来实现单向输出，每个PUF_i能够根据激励信号与自身随机性确定唯一的一个响应。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，当诚实的分发者D想要根据多级存取结构Γ₁,K,Γ_m在参与者集合P中共享m个秘密s₁,K,s_m；假设M(K,M,ψ)是一个相对于目标向量υ₁,K,υ_m可计算多级存取结构Γ₁,K,Γ_m中的授权集对应的布尔函数的单调张成方案，其中M是一个有限域K上的d×l阶矩阵，且ψ(i)＝P_i；设∏₁＝(∏₁.Gen,∏₁.Enc,∏₁.Dec)是一个安全的对称加密体制；令x_i为每个参与者持有的公开的身份信息，其满足dis_ham(x_i,x_j)>d'，设d'＝1；设FE＝(FE.Gen,FE.rep)表示一个(logq,d,m)的模糊提取器；令f(z,s)是一个双变量单向函数，其函数值是一个固定长度的比特串。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，f(z,s)具有以下重要的性质：

当已知z和s时，f(z,s)的函数值易于计算；

已知s和f(z,s)，z的计算在计算上是不可行的；

在s未知的情况下，对于任意z，计算f(z,s)是计算不可行的；

已知s的情况下，找到z₁≠z₂且满足f(z₁,s)＝f(z₂,s)是计算不可行的；

已知z和f(z,s)，计算s是计算不可行的；

已知任意多对的(z_i，f(z_i,s))，计算f(z,s)是计算不可行的，其中z≠z_i。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述份额生成阶段包括：

每个参与者P_i计算r_i＝PUF_i(x_i)，(sh_i,hd_i)

FE.Gen(r_i)，并且将sh_i秘密分发给诚实的分发者D，而后P_i在其内存中保存帮助信息hd_i。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，在得到所有的份额(sh₁,sh₂,K,sh_n)后，诚实的分发者D按照以下步骤在n个参与者中共享m个秘密

对每一个存取结构Γ_j，任意选择一个整数z_j并计算y_j,i＝f(z_j,sh_i)，其中 1≤j≤m,1≤i≤n；

运行密钥生成算法k_j←Gen(1^λ)；

随机选择一个向量u_j且其满足υ_ju_j＝k_j，其中

，1≤j≤m；

计算

及c_j＝Enc(k_j,s_j)，其中M_i是M的第i行；

公开输出out_put＝{z_j,c_j,l_j,i,f(z_j,y_j,i)}。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述秘密重构阶段包括：

固定一个j(1≤j≤m)，假设授权集

中的参与者想要一起重构秘密s_j，则按照以下步骤：

对每一个参与者

计算，

及

其中1≤v≤c；

参与者

将

秘密地发送给指定的诚实的秘密生成者DC；

诚实的秘密生成者DC在收到A中参与者

发送的伪份额后，再从公告牌上下载

并计算等式

如果相等，则表明参与者

是诚实的；

诚实的秘密生成者DC从公告牌上下载

并计算

因为A∈Γ_j，且目标向量

V_i指由参与者P_i所对应的矩阵M的第i行所张成的线性空间，故存在一个向量

使得ω_A·M_A＝υ_j；基于此，DC计算

诚实的秘密生成者DC下载c_j并计算s_j＝Dec(k_j,c_j)。

本发明实施例至少具有如下优点或有益效果：

本发明针对现有的秘密共享方法中的存取结构很多都以门限访问结构 (特殊的理想存取结构)为主，适用范围受到一定局限；秘密重构算法中，每个参与者的秘密份额不能够被多次使用；在内存泄露的环境下，现有的秘密共享方法无法达到安全性要求，随机预言机模型下安全方案现实中无法构建具体实例等问题。本发明的利用物理不可克隆函数以及模糊提取器的联合作用，提取出相同的随机均匀分布的字符串，即产生可靠的秘密份额，使得在内存泄露的环境下，该秘密共享方法能够达到安全性要求。同时，该秘密共享方法使得每个参与者的秘密份额能够被多次使用，且用以恢复多个秘密。本技术方案不是像现有技术一样将长期秘密份额保存在非易失性的内存里的这一思想，而是构造了一个适用于一般存取结构的抗内存泄露的可验证多级秘密共享方法。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法一实施例的流程图；

图2为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法另一实施例的流程图；

图3为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法一实施例中物理不可克隆函数与模糊提取器的结合构造示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。通常在此处附图中描述和示出的本发明实施例的组件可以以各种不同的配置来布置和设计。

因此，以下对在附图中提供的本发明的实施例的详细描述并非旨在限制要求保护的本发明的范围，而是仅仅表示本发明的选定实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。

在本发明实施例的描述中，需要说明的是，若出现术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系，或者是该发明产品使用时惯常摆放的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”、“第三”等仅用于区分描述，而不能理解为指示或暗示相对重要性。

此外，若出现术语“水平”、“竖直”、“悬垂”等术语并不表示要求部件绝对水平或悬垂，而是可以稍微倾斜。如“水平”仅仅是指其方向相对“竖直”而言更加水平，并不是表示该结构一定要完全水平，而是可以稍微倾斜。

在本发明实施例的描述中，“多个”代表至少2个。

在本发明实施例的描述中，还需要说明的是，除非另有明确的规定和限定，若出现术语“设置”、“安装”、“相连”、“连接”应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或一体地连接；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

实施例

请参照图1-3，本实施例提供一种在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，利用物理不可克隆函数以及模糊提取器提取出相同的随机均匀分布的字符串，产生可靠的秘密份额。

请参照图1，图1为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法一实施例的流程图，在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述提取的方法包括：初始化阶段、份额生成阶段和秘密重构阶段。

请参照图2和图3，图2为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法另一实施例的流程图，图3为本发明在标准模型下计算安全的抗内存泄漏的多级秘密共享方法一实施例中物理不可克隆函数与模糊提取器的结合构造示意图。在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述初始化阶段包括：

令P＝{P₁,K,P_n}为n个参与者的集合，q是一个大素数，每个参与者均拥有一个不可克隆函数(logq,logq,d,d',m)-PUF_i:{0,1}^logq→{0,1}^logq，该函数基于物理系统来实现单向输出，每个PUF_i能够根据激励信号与自身随机性确定唯一的一个响应。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，当诚实的分发者D想要根据多级存取结构Γ₁,K,Γ_m在参与者集合P中共享m个秘密s₁,K,s_m；假设M(K,M,ψ)是一个相对于目标向量υ₁,K,υ_m可计算多级存取结构Γ₁,K,Γ_m中的授权集对应的布尔函数的单调张成方案，其中M是一个有限域K上的d×l阶矩阵，且ψ(i)＝P_i；设∏₁＝(∏₁.Gen,∏₁.Enc,∏₁.Dec)是一个安全的对称加密体制；令x_i为每个参与者持有的公开的身份信息，其满足dis_ham(x_i,x_j)>d'，设d'＝1；设 FE＝(FE.Gen,FE.rep)表示一个(logq,d,m)的模糊提取器；令f(z,s)是一个双变量单向函数，其函数值是一个固定长度的比特串。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，f(z,s)具有以下重要的性质：

当已知z和s时，f(z,s)的函数值易于计算；

已知s和f(z,s)，z的计算在计算上是不可行的；

在s未知的情况下，对于任意z，计算f(z,s)是计算不可行的；

已知s的情况下，找到z₁≠z₂且满足f(z₁,s)＝f(z₂,s)是计算不可行的；

已知z和f(z,s)，计算s是计算不可行的；

已知任意多对的(z_i，f(z_i,s))，计算f(z,s)是计算不可行的，其中z≠z_i。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述份额生成阶段包括：

每个参与者P_i计算r_i＝PUF_i(x_i)，(sh_i,hd_i)

FE.Gen(r_i)，并且将sh_i秘密分发给诚实的分发者D，而后P_i在其内存中保存帮助信息hd_i。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，在得到所有的份额(sh₁,sh₂,K,sh_n)后，诚实的分发者D按照以下步骤在n个参与者中共享m个秘密

对每一个存取结构Γ_j，任意选择一个整数z_j并计算y_j,i＝f(z_j,sh_i)，其中 1≤j≤m,1≤i≤n；

运行密钥生成算法k_j←Gen(1^λ)；

随机选择一个向量u_j且其满足υ_ju_j＝k_j，其中

1≤j≤m；

计算

及c_j＝Enc(k_j,s_j)，其中M_i是M的第i行；

公开输出out_put＝{z_j,c_j,l_j,i,f(z_j,y_j,i)}。

在本发明的一些实施例中，在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，所述秘密重构阶段包括：

固定一个j(1≤j≤m)，假设授权集

中的参与者想要一起重构秘密s_j，则按照以下步骤：

对每一个参与者

计算，

及

其中1≤v≤c；

参与者

秘密地发送给指定的诚实的秘密生成者DC；

诚实的秘密生成者DC在收到A中参与者

发送的伪份额后，再从公告牌上下载

并计算等式

如果相等，则表明参与者

是诚实的；

诚实的秘密生成者DC从公告牌上下载

并计算

因为A∈Γ_j，且目标向量

V_i指由参与者P_i所对应的矩阵M的第i行所张成的线性空间，故存在一个向量

使得ω_A·M_A＝υ_j；基于此，DC计算

诚实的秘密生成者DC下载c_j并计算s_j＝Dec(k_j,c_j)。

本实施例分别给出本发明抗内存泄漏的多级秘密共享方法的正确性和安全性证明：

正确性证明：

令

是存取结构Γ_j的一个授权集。根据不可克隆函数 (logq,logq,d,d',m)-PUF’s的噪音上界的性质，

其中1≤v≤c。又根据(logq,d,m)模糊提取器的正确性要求，可得

因此参与者可以利用各自的伪份额

正确地恢复秘密s_j。

安全性证明：

构建安全模型；抗内存泄露的多级多秘密共享方法Ω＝(Stp,Dist,Rec)的计算安全性的模型是利用一个在多项式时间的内存攻击者A和一个挑战者之间的游戏G来刻画的。包括以下步骤：

初始化：攻击者A选择并公布参与者的集合以及m个存取结构，同时选择一个被挑战的参与者集合

建立：挑战者运行参数建立过程pms←Stp(1^λ,P,Γ₁,Γ₂,K,Γ_m)，而后将pms 发送给攻击者A。同时，攻击者可以询问预言机O，该预言机输入的是|C| 个自适应选择的多项式大小的泄露函数

输出的是泄露份额

其中1≤i_v≤n,，1≤v≤|C|，

是参与者

存储在其非易失性 内存中的秘密信息。攻击者A提交两个长度相同的秘密

要求如果

则有s⁰＝s¹,j∈{1,2,K,m}。

预备阶段：攻击者发出询问请求，以获取被挑战参与者集合里参与者的份额。

挑战：挑战者随机选取b∈{0，1}并运行分发算法

最后将

发送给攻击者A。此时，攻击者可以继续询问预言机O。

猜测：攻击者A输出对b的猜测值b’。

当b’＝b时，游戏G的输出定义为1；反之定义为0。如果 MSSS_A,Ω(λ)＝1，我们称攻击者A的攻击成功。如果对任何多项式时间的攻击者A,存在一个可忽略的函数negl，使得

那么就称该抗内存泄露的多级多秘密共享方法Ω＝(Stp,Dist,Rec)是计算安全的。

本发明所提出的抗内存泄露的多级多秘密共享方法的计算安全的证明是规约到本方法中隐含的对称加密体制∏₁的安全性。

安全证明：

要证明本发明所描述的抗内存泄露的多级多秘密共享方法在标准模型下是计算性可证明安全的，只需证明：

对于针对本发明所描述的抗内存泄露的多级多秘密共享方法Ω₁的任何攻击者A₁(A₁可以进行完全内存攻击，即可以获取全部的秘密信息)，A₁选择被挑战的参与者集合

以及两个长度相同的秘密

则都存在针对对称加密体制∏₁的窃听攻击的攻击者

有

具体证明如下：

我们利用规约思想证明。令A₁是针对本发明所描述的抗内存泄露的多级多秘密共享方法Ω₁的攻击者，我们将要构造针对对称加密体制∏₁的多消息窃听攻击的攻击者A_∏1，多消息窃听攻击下对称加密体制∏₁的安全模型是由挑战者和攻击者A_∏1间的游戏G₁刻画的。同时，上述的构造过程将用A₁作为子程序，具体过程如下：

初始化：挑战者发起游戏G₁并随机选取β∈{0，1}。攻击者A₁通过选择并 公布参与者的集合以及m个存取结构发起游戏G。同时A₁公布一个被挑战 的参与者集合

其中

不失一般性，不妨设

建立：

充当游戏G的挑战者。

首先选择一个大于n的素数p,且

其中M是对称加密体制∏₁的明文空间，而后其运行参数建立过程 pms←Stp(1^λ,P,Γ₁,Γ₂,K,Γ_m)，最后将pms发送给攻击者A₁。令

从本发明所描述的抗内存泄露的多级多秘密共享方法设计中可以看出，每个参与者在他的非易失性的内存里都会存储一个帮助信息hd_i。攻击者A₁能够计算

由于攻击者A₁可以进行完全内存攻击，因此他可以通过询问预言机O获得

但是根据物理不可克隆函数的不可预测性以及模糊提取器FE的安全性，攻击者A₁不能以不可忽略的区分真正的份额

和均匀随机分布U_m，其中1≤κ≤n-d。最后，攻击者A₁输出两个不同的多秘密

使得所有满足

的下标j都有

且令

预备阶段：

运行密钥生成算法k_j←Gen(1^λ)，其中j∈J^*。

构造一个单调张成方案MSPM(K,M,ψ)并且考虑一个双变量单向函数f(z,s)。A_∏1随机选择向量

使得υ_ju_j＝k_j，对所有j∈J^*，计算

其中1≤γ≤d。

计算并公布z_j及

j∈J^*。

定义游戏G₁里μ＝l-|J^*|个密钥。

对所有j∈J^*，游戏G₁的挑战者运行μ次密钥生成算法

对每一个腐化的参与者

随机选择

1≤γ≤d，满足以下条件：对固定的一个j，如果有系数x_γ，使得

则

满足

在这种情况下，以

为系数矩阵的线性方程组有解，即至少存在一组解

使得：

因此，对于所有的

的值完全可以作为单调张成方案中未知函数

的份额。

挑战：对于所有的

向游戏G₁的挑战者提交两个向量组

及

收到

作为回复。

计算

以及

1≤γ≤d。基于此，

就完全地模拟了份额生成协议

其中b＝β且

猜测：攻击者A₁输出对b的猜测值b’∈{0，1}(游戏G)；攻击者

输出对β的猜测值β’＝b'(游戏G₁)。

因此，我们有

由此可知，本发明所描述的抗内存泄露的多级多秘密共享方法在标准模型下是计算性可证明安全的。

综上，本发明的实施例提供一种在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，针对现有的秘密共享方法中的存取结构很多都以门限访问结构(特殊的理想存取结构)为主，适用范围受到一定局限；秘密重构算法中，每个参与者的秘密份额不能够被多次使用；在内存泄露的环境下，现有的秘密共享方法无法达到安全性要求，随机预言机模型下安全方案现实中无法构建具体实例等问题。本发明的利用物理不可克隆函数以及模糊提取器的联合作用，提取出相同的随机均匀分布的字符串，即产生可靠的秘密份额，使得在内存泄露的环境下，该秘密共享方法能够达到安全性要求。同时，该秘密共享方法使得每个参与者的秘密份额能够被多次使用，且用以恢复多个秘密。本技术方案不是像现有技术一样将长期秘密份额保存在非易失性的内存里的这一思想，而是构造了一个适用于一般存取结构的抗内存泄露的可验证多级秘密共享方法。秘密重构算法中，该秘密共享方法使得每个参与者的秘密份额能够被多次使用，且用以恢复多个秘密，大大提高了秘密的实用效率；另外，每个参与者可以验证其它合作恢复秘密的参与者份额的有效性。同时，该方法在标准模型下是计算性可证明安全的。

以上仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

对于本领域技术人员而言，显然本申请不限于上述示范性实施例的细节，而且在不背离本申请的精神或基本特征的情况下，能够以其它的具体形式实现本申请。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本申请的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化囊括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。

Claims (8)

1.在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，其特征在于，包括：

利用物理不可克隆函数以及模糊提取器提取出相同的随机均匀分布的字符串，产生可靠的秘密份额。

2.根据权利要求1所述的在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，其特征在于，所述提取的方法包括：初始化阶段、份额生成阶段和秘密重构阶段。

3.根据权利要求2所述的在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，其特征在于，所述初始化阶段包括：

令P＝{P₁,K,P_n}为n个参与者的集合，q是一个大素数，每个参与者均拥有一个不可克隆函数(logq,logq,d,d',m)-PUF_i:{0,1}^logq→{0,1}^logq，该函数基于物理系统来实现单向输出，每个PUF_i能够根据激励信号与自身随机性确定唯一的一个响应。

4.根据权利要求3所述的在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，其特征在于，当诚实的分发者D想要根据多级存取结构Γ₁,K,Γ_m在参与者集合P中共享m个秘密s₁,K,s_m；假设M(K,M,ψ)是一个相对于目标向量υ₁,K,υ_m可计算多级存取结构Γ₁,K,Γ_m中的授权集对应的布尔函数的单调张成方案，其中M是一个有限域K上的d×l阶矩阵，且ψ(i)＝P_i；设Π₁＝(Π₁.Gen,Π₁.Enc,Π₁.Dec)是一个安全的对称加密体制；令x_i为每个参与者持有的公开的身份信息，其满足dis_ham(x_i,x_j)＞d'，设d'＝1；设FE＝(FE.Gen,FE.rep)表示一个(logq,d,m)的模糊提取器；令f(z,s)是一个双变量单向函数，其函数值是一个固定长度的比特串。

5.根据权利要求4所述的在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，其特征在于，f(z,s)具有以下重要的性质：

当已知z和s时，f(z,s)的函数值易于计算；

已知s和f(z,s)，z的计算在计算上是不可行的；

在s未知的情况下，对于任意z，计算f(z,s)是计算不可行的；

已知s的情况下，找到z₁≠z₂且满足f(z₁,s)＝f(z₂,s)是计算不可行的；

已知z和f(z,s)，计算s是计算不可行的；

已知任意多对的(z_i，f(z_i,s))，计算f(z,s)是计算不可行的，其中z≠z_i。

6.根据权利要求2所述的在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，其特征在于，所述份额生成阶段包括：

每个参与者P_i计算

并且将sh_i秘密分发给诚实的分发者D，而后P_i在其内存中保存帮助信息hd_i。

7.根据权利要求6所述的在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，其特征在于，在得到所有的份额(sh₁,sh₂,K,sh_n)后，诚实的分发者D按照以下步骤在n个参与者中共享m个秘密

对每一个存取结构Γ_j，任意选择一个整数z_j并计算y_j,i＝f(z_j,sh_i)，其中1≤j≤m,1≤i≤n；

运行密钥生成算法k_j←Gen(1^λ)；

随机选择一个向量u_j且其满足υ_ju_j＝k_j，其中

1≤j≤m；

计算

及c_j＝Enc(k_j,s_j)，其中M_i是M的第i行；

公开输出out_put＝{z_j,c_j,l_j,i,f(z_j,y_j,i)}。

8.根据权利要求2所述的在标准模型下计算安全的抗内存泄漏的多级秘密共享方法，其特征在于，所述秘密重构阶段包括：

固定一个j(1≤j≤m)，假设授权集

中的参与者想要一起重构秘密s_j，则按照以下步骤：

对每一个参与者

K,

计算，

及

其中1≤v≤c；

参与者

将

秘密地发送给指定的诚实的秘密生成者DC；

诚实的秘密生成者DC在收到A中参与者

发送的伪份额后，再从公告牌上下载

并计算等式

如果相等，则表明参与者

是诚实的；

诚实的秘密生成者DC从公告牌上下载

并计算

因为A∈Γ_j，且目标向量

V_i指由参与者P_i所对应的矩阵M的第i行所张成的线性空间，故存在一个向量ω_A＝(ω₁,Kω,_c∈)Z^c使得ω_A·M_A＝υ_j；基于此，DC计算

诚实的秘密生成者DC下载c_j并计算s_j＝Dec(k_j,c_j)。

Images