CN113300835A

CN113300835A - 一种加密方案接收者确定方法、主动秘密分享方法

Info

Publication number: CN113300835A
Application number: CN202110436715.1A
Authority: CN
Inventors: 徐海霞; 闫楚依; 李佩丽
Original assignee: Institute of Information Engineering of CAS
Current assignee: Institute of Information Engineering of CAS
Priority date: 2021-04-22
Filing date: 2021-04-22
Publication date: 2021-08-24
Anticipated expiration: 2041-04-22
Also published as: CN113300835B

Abstract

本发明公开了一种加密方案接收者确定方法、主动秘密分享方法。本发明的接收者确定方法为：1)加密系统中的发送者使用安全参数λ、时间t和一设定的底层困难性问题的困难度ω计算后获取一公共参数pp，pp包含一解密密钥answer以及通过对解密密钥answer进行底层困难性问题运算得到的加密密钥clue；2)发送者使用加密密钥clue对待发送消息m进行加密得到密文c并产生一非交互零知识证明π，用于证明密文c确为消息m由clue加密得到且解密密钥answer与加密密钥clue具有一致性，然后将加密密钥clue、密文c与证明π广播至公开信道；3)所有参与者在困难度ω与时间t内通过求解困难性问题竞争成为接收者。

Description

一种加密方案接收者确定方法、主动秘密分享方法

技术领域

本发明属于信息安全技术领域，尤其涉及一种具有竞争机制的加密方案接收者确定方法、具有竞争机制且委员会逐步形成的主动秘密分享方法及相应存储介质与电子装置，具体为利用Shamir秘密分享(Shamir Secret-Sharing)，分布式随机数生成，非交互零知识证明(Non-Interactive Zero-Knowledge Proofs)等技术来实现本方法。

背景技术

进入21世纪以来，随着互联网、云计算、大数据、人工智能等技术的快速发展，数字化水平的提高，社会对公平性的追求也随之提高，故分布式概念也越来越受产业界与学术界的关注，其所呈现的内聚性、透明性等特性，与当今社会的发展需求相吻合。但现阶段仍无法达到完全分布式，即仍需超级节点或可信第三方的参与来协助完成任务。

可信第三方的存在一方面有违公平性，另一方面可信第三方需承受被攻击或破坏的风险。目前，一般由权威机构(如政府部门)充当可信第三方。虽然由权威机构的信誉背书，但是仍有被敌手攻击(如DDoS攻击)的风险，且一旦攻击成功，敏感信息泄露，后果不堪设想，继而考虑使用秘密分享解决此问题。

秘密分享是由Shamir在1979年提出的，随后在Shamir的方案上又提出很多新的秘密分享类型。根据委员会的形成方式，首先由Canetti和Herzberg在“Maintainingsecurity in the presence of transient faults”中提出了静态委员会的秘密分享方案，后在此基础上，Ostrovsk y和Yung在“How to withstand mobile virus attacks”中提出一种在委员会内，秘密分享值可不断更新的主动秘密分享方案(Proactive SecretSharing，PSS)，是可以抗动态敌手的，但是内部成员并没有进行周期性的替换，随后有一批可以替换内部成员的动态主动秘密分享方案(Dynamic Proactive Secret Sharing，DPSS)接踵而至。由于区块链的出现，在区块链上进行动态秘密分享的方案应运而出。Calypso使用门限加密技术构建DPSS进行秘钥管理与机密信息保存。Dfinity在动态委员会中，实现了随机信标但是全局秘密每轮均需更新。在D PSS中，委员会成员是由外部输入指定的，而非协议本身确定，故Benhamouda和Gentry等人在“Can a Public Blockchain Keep aSecret”中提出了一种委员会逐步形成的主动秘密分享方案(Evolving-Committee PSS，ECPSS)，将委员会成员的确定嵌入在协议本身中，但E CPSS在委员会选举的过程中，有两种不同角色的参与方，一种是提名者委员会，拥有自我选择的能力；另一种是秘密持有者委员会，是由提名者委员会选举得到的。但是这首先就需要将整个系统中的参与者分成两部分，一部分人充当提名者，一部分人充当秘密持有者，而秘密持有者只能被动地等待提名者为自己提名，且自身还要承担被DDoS攻击的风险，这样容易降低系统参与者的积极性。其次在ECPSS中需要使用中心化的公钥基础设施(PKI)，而此有悖于分布式系统的构造初衷。本发明提出了一种新的具有竞争机制的加密方案、具有竞争机制且委员会逐步形成的主动秘密分享方法及相应存储介质与电子装置，具有接收者强匿名性以抵抗DDoS攻击，且只有一种角色，即秘密持有者，秘密持有者委员会成员由个人争取得到，以提高参与者积极性，同时无需使用PKI等基础设施。

本发明借助了密码学中的Shamir秘密分享方案，分布式随机数生成，非交互零知识证明等密码学技术来实现构建:

1.Shamir秘密分享方案

设p是大素数，消息空间

参与者集合为{1,2,…,n}。Shamir(th,n)门限秘密共享的算法操作如下：

·秘密分享：输入

取λ₀＝σ，令F(x)＝λ₀+λ₁x+…+λ_t-1x^t-1，计算参与者i的分享值σ_i:(i,F(i))，输出(σ₁,σ₂,…,σ_n)；

·秘密重构：输入

其中

对于点(i₁,F(i₁)),…,(i_th,F(i_th))，其中

利用拉格朗日插值公式，计算：

2.分布式随机数生成

本发明对Aggelos在“Ouroboros：A provably secure proof-of-stakeblockchain protocol”提出的分布式随机数生成方法进行了改造以适配本发明。

·承诺阶段：

1)每位参与者选择一随机数u_i,i∈[1,n],n为参与者总数；

2)计算承诺c_i←Com(u_i；r_i),r_i是计算承诺时用到的随机种子；

3)将u_i分成n份为

并用其他参与者公钥加密得到

后广播；

·打开承诺阶段：所有参与者打开承诺并广播；

·恢复阶段：

1)所有参与者检查其余参与者是否均打开了承诺；

2)若第i个人没有打开，则其余参与者解密对应的密文

id为其余参与者标识，得到

后广播，此时所有人均可恢复u_i；

3)此时每位参与者均得到了其余参与者的随机数，进行异或操作得到最终的随机数

3.非交互零知识证明

令语言类

可满足关系

其中

为{0,1}^*×{0,1}^*的子集当且仅当

中元素(x,ω)可以在poly(|x|)时间内进行判定，且

一个对于NP语言类

的非交互零知识论证系统包含(CRS,P,V)三个PPT时间的算法且有如下性质：

·完整性：对于每个

有：

Pr[σ←CRS(1^λ)；V(σ,x,P(σ,x,ω))＝1]＝1

·健壮性：对于每个PPT时间的功能

且对于所有算法P^*，都存在一可忽略函数v当且仅当对于所有的安全参数λ：

其中

是一随机功能。

·零知识性：对于所有PPT时间的敌手

存在PPT时间的模拟器

和一可忽略函数v当且仅当对于所有的安全参数λ：

发明内容

本发明的目的在于提供一种具有竞争机制的加密方案接收者确定方法、具有竞争机制且委员会逐步形成的主动秘密分享方法及相应存储介质与电子装置，使得系统内每位参与者均可通过自身能力成为秘密持有者委员会成员，提高了系统参与度与公平性；同时秘密持有者委员会成员在分享秘密给下轮成员时，具有接收者强匿名性，提高了系统抗DDoS等攻击的能力，降低了秘密持有者的安全风险。

一种具有竞争机制的加密方案接收者确定方法，适用于多人参与的网络系统与待传输消息短期内需保持机密的通信场景，其步骤包括：

1.发送者使用安全参数λ、一设定的时间t，具体时间由实例化后的困难性问题不同而不同，和一设定的底层困难性问题的困难度ω进行初始化，计算后获取一公共参数pp，pp中包含一解密密钥answer与一在设定的困难度下，通过对解密密钥answer进行底层困难性问题运算得到的加密密钥clue，此时加密密钥并不对应具体接收者；

2.发送者使用加密密钥clue对待发送消息m进行加密得到密文c并产生一非交互零知识证明π，证明密文c确为消息m由clue加密得到且解密密钥answer与加密密钥clue具有一致性，即加密密钥clue确实由解密密钥answer通过底层困难性问题运算得到，将加密密钥clue，密文c与证明π广播至公开信道；

3.加密系统内所有参与者在特定困难度ω与时间t内通过求解困难性问题竞争成为接收者；

4.发送者在限定的时间t后使得消息m不再机密，可公开发布消息或降低消息秘密级别。

进一步地，发送者采用候选单向函数对上述解密密钥answer进行底层困难性问题运算得到上述加密密钥clue。

进一步地，发送者采用与底层困难性问题相对应的加密方案对上述待发送消息m进行加密。

进一步地，发送者采用Sigma协议结合Fiat-Shamir方法获取所述证明π。

进一步地，所述参与者在特定困难度ω与时间t内通过求解困难性问题竞争成为接收者的方法，其步骤包括：

31)验证上述证明，若证明通过验证则进入步骤32)，否则停机；

32)在上述限定的时间t与困难度ω下，验证求解得到的结果是否通过选定的候选单向函数运算后与加密密钥相等，若相等则成为接收者，否则失败停机。

一种具有竞争机制的加密方案接收者确定方法实例化，使用ElGamal加密方案进行实例化，适用于多人参与的网络系统与待传输消息短期内需保持机密的通信场景，其步骤包括：

1.发送者限定参与者求解ElGamal加密方案底层困难性问题(离散对数问题)的时间为

N为离散对数问题中的群的阶，限定困难度

小于目前计算机的最大算力并且ω>poly(t)，其中poly(t)为关于t的任意多项式，意为在时间t与算力ω下不可暴力破解困难性问题；

2.发送者计算非交互零知识证明π的公共参数pp_NIZK；

3.发送者产生ElGamal的私钥

p为一大素数，

表示与素数p互素的且小于p的乘法群，产生公钥y＝g^x mod p,g为小于p的随机数；

4.发送者令answer：＝x,clue：＝(y,pp_NIZK)，公开clue并保持answer机密；

5.发送者选择一随机数

对待发送消息m进行加密得到密文c：＝(C₁,C₂)＝(g^r mod p,clue.y^r m mod p)并使用clue.pp_NIZK生成上述证明π，公开(c,π)；

6.所有系统参与者对上述证明π进行验证，如果验证通过则进入步骤7否则停机；

7.所有系统参与者在限定的时间t与限定的困难度ω下进行离散对数问题求解，若解得answer，即有g^answer＝clue.y，则成为接收者并进入步骤8，否则停机；

8.使用ElGamal解密得到

9.发送者在限定的时间t后使得消息m不再机密。

进一步地，采用Sigma协议结合Fiat-Shamir方法获取所述证明π。

一种具有竞争机制且委员会逐步形成的主动秘密分享方法，适用于多人参与的网络系统，其步骤包括：

1.设定更新时间为t_update，具体时间由实例化后的困难性问题不同而不同，当参与者总人数数量n_total满足n_total≥MAX{2·th+1,1+th·[1+ln(th-1)]}后执行步骤2；th为Shamir秘密分享方法的门限；

2.仅初始化使用可信第三方作为庄家指定k₀个秘密持有者并初始化其状态；

3.仅第一轮每位秘密持有者分别选择一随机数

作为本人的秘密分享；

4.秘密分享系统参与者共同生成下轮秘密持有者个数与秘密持有者的加密密钥，此时由于不使用公钥基础设施等故加密密钥不会与具体节点或用户绑定，即不进行映射操作；

5.本轮秘密持有者按照步骤4中的下轮秘密持有者个数为即将成为接收者的参与者重分享其自身分享值并用加密密钥加密，安全擦除自身分享值等秘密信息后广播至公开信道(此时并未确定具体节点，但已知数量与加密时所用到的公钥)；

6.所有参与者在限定时间t与困难度ω下进行困难性问题求解，若解得answer，则成为下轮秘密持有者(即接收者)，也就是竞争成为可以解密重分享值的接收者；

7.下轮秘密持有者通过解得的answer对加密后的重分享值解密得到对应于自身的重分享后的秘密分享值；

8.当大于th个秘密持有者进行合作时可根据需求重构全局秘密σ；

9.若已到更新时间t_update则返回步骤1，否则检查当前系统内参与者数量是否满足n_total≥MAX{2·th+1,1+th·[1+ln(th-1)]}，若满足则循环步骤4-9，否则等待系统内参与者数量满足上式后再循环步骤4-9。

进一步地，采用门限为th的Shamir秘密分享方法进行上述秘密分享；

进一步地，上述庄家指定的秘密持有者分别选择的随机数可插值成为一度为(th-1)的多项式F₀且F₀(0)＝σ,σ为全局秘密；

进一步地，上述重分享方法为，本轮秘密持有者随机选择一度为(th-1)的多项式

r为当前轮数，i∈[1,K_r]，其中K_r为第r轮秘密持有者人数，使得

并令重分享值

K_r+1为第r+1轮秘密持有者人数。

进一步地，采用改造的Aggelos在2017年CRYPTO密码会议发表的“Ouroboros：A provably secure proof-of-stake blockchain protocol”中提出的分布式随机数生成方法(该方法已在背景技术中进行详细描述)，使系统参与者共同随机地生成下轮秘密持有者个数与秘密持有者的加密密钥；

进一步地，采用上述一种具有竞争机制的加密方案对秘密重分享后的分享值进行加密；

进一步地，采用上述一种具有竞争机制的加密方案中的竞争机制(一种具有竞争机制的加密方案中的步骤3)在限定时间与困难度下使得部分参与者成为下轮秘密持有者。

一种具有竞争机制且委员会逐步形成的主动秘密分享方法的实例化，使用上述一种具有竞争机制的加密方案实例化进行实例化，适用于多人参与的网络系统，其步骤包括：

1.仅初始化使用庄家指定k₀个秘密持有者

并分别给予令牌

(仅给初始化中的秘密持有者分配令牌)，设定更新时间为

设定参与者总人数数量满足n_total≥MAX{2·th+1,1+th·[1+ln(th-1)]}后执行步骤2；

2.每位秘密持有者分别选择一随机数

作为本人的秘密分享；

3.通过分布式随机数生成算法，系统内所有参与者生成下一轮秘密持有者个数K_r+1，r为当前轮数，并循环调用分布式随机数生成算法，生成公共参数与加密密钥

是大素数，

为小于

的随机数；

4.本轮秘密持有者

随机选择一度为(th-1)的多项式

使得

并令重分享值

使用上述一种具有竞争机制的加密方案实例化进行加密得到密文

5.本轮秘密持有者

使用上述一种具有竞争机制的加密方案实例化生成一致性证明π_i；

6.若r＝0，则本轮秘密持有者

使用非交互零知识证明生成拥有令牌b_i的证明，若r>0，则本轮秘密持有者

使用非交互零知识证明生成拥有上述

的证明，记为

7.本轮秘密持有者

安全擦除自身分享值以及其他机密信息后广播

8.所有系统参与者使用上述一种具有竞争机制的加密方案实例化的步骤6与步骤7在限定的时间与困难度下求解任意一

若解得任意一

则成为下一轮秘密持有者，进入步骤9；

9.下一轮秘密持有者

从K_r个密文中分别提取第j个密文

并使用解得的

解密得到

10.下一轮秘密持有者

计算自身秘密分享值为

λ_m为K_r个点的拉格朗日插值系数。

11.若已到更新时间t_update则返回步骤1，否则检查当前系统内参与者数量是否满足n_total≥MAX{2·th+1,1+th·[1+ln(th-1)]}，若满足则循环步骤3-11，否则等待系统内参与者数量满足上式后再循环步骤3-11。

进一步地，采用改造的Aggelos在“Ouroboros：A provably secure proof-of-stake blockc hain protocol”中提出的分布式随机数生成方法使系统参与者共同生成下轮秘密持有者个数与秘密持有者的加密密钥；

进一步地，采用Sigma协议结合Fiat-Shamir方法获取所述证明π_i与

一种存储介质，该存储介质中存有执行上述方法的计算机程序。

一种电子装置，包括存储器与处理器，所述存储器中存有执行上述方法的计算机程序，所述处理器对上述方法的计算机程序进行处理。

与现有技术相比，本发明的创造性在于：

1)本发明基于Benhamouda的委员会逐步形成的主动秘密分享方案，在此基础上提出了具有竞争机制的加密方案、具有竞争机制且委员会逐步形成的主动秘密分享方法及相应存储介质与电子装置。本发明将Benhamouda方案中的两种身份(提名者委员会与秘密持有者委员会)合并为一种——秘密持有者委员会，这使得参与者可以自由竞争成为秘密持有者，而不需要被动地等待提名者提名，可以极大程度上提高参与者的积极性。

2)本发明与Benhamouda的方案相比也不需要使用公钥基础设施PKI，所有系统内参与者都可以分布式地确定下轮秘密持有者的人数与加密密钥。

3)本发明具有接收者强匿名性，其加密密钥与传统公钥加密不同，不能由公钥来对应接收者的节点或身份，只为接收者确定了一种“能力”，这极大地提高了匿名性，即敌手不能预先从加密密钥推知接收者的具体节点或身份以进一步发动DDoS等攻击而且保证了当前秘密持有者委员会内的成员也互不知彼此身份，防止了共谋攻击。

4)本发明具有较强的公平性，关注持有秘密者的能力，这与属性加密不同，因为属性加密的公钥虽然由属性计算得到，但每个人的具体属性在系统创立之初已由可信第三方规定好，并非凭参与者的能力而动态争取的。但在本发明中，参与者只要有能力解决在特定情况下的困难性问题即可成为接收者，无需可信第三方的参与。

附图说明

图1为秘密重分享示意图；

图2为下轮秘密持有者竞争流程图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面通过具体实施例对本发明构造做进一步说明。

方案具体设计如下：

1.初始阶段：

1)限定参与者求解ElGamal加密方案底层困难性问题(离散对数问题)的时间为

N为离散对数问题中的群的阶，限定困难度

小于目前计算机的最大算力并且ω>poly(t)；

2)仅初始化使用庄家指定k₀个秘密持有者

并分别给予令牌

(仅给初始化中的秘密持有者分配令牌)，设定更新时间为

3)每位秘密持有者

随机选择一分享值

k₀个秘密持有者的

可重构全局秘密σ并且可插值出一度为(th-1)的多项式F₀且有F₀(0)＝σ。

2.确定下轮秘密持有者个数与公共参数：

所有系统内参与者通过分布式随机数生成算法，生成下轮秘密持有者个数为k₁，公共参数与加密密钥

为大素数，

为小于

的随机数。

3.秘密重分享：

将本轮秘密持有者

的分享值

重分享为k₁份，有

1)随机选择一度为(th-1)的多项式

且有

2)令

4.加密传输：

1)本轮秘密持有者

对

进行加密，得到密文

并产生一致性证明π_i与本轮秘密持有者身份证明

2)本轮秘密持有者

擦除分享值等秘密信息后，广播

5.下轮秘密持有者竞争阶段：

所有系统参与者在限定时间t与困难度ω下进行离散对数问题求解，若求得

则成为下轮秘密持有者，否则停机。

6.下轮秘密分享值重构阶段：

1)下轮秘密持有者

提取广播信道中第j个密文

后使用求得的

解密得到

2)下轮秘密持有者

计算其分享值为

λ_m为k₁个点的拉格朗日插值系数。

若已到更新时间t_update则返回初始阶段，否则检查当前系统内参与者数量是否满足n_total≥MAX{2·th+1,1+th·[1+ln(th-1)]}，若满足则循环阶段2-6，否则等待系统内参与者数量满足上式后再循环阶段2-6。

通过上面的方案描述可以看出，系统中只有一种角色为秘密持有者，且无需PKI等基础设施，所有参与者都可凭能力竞争成为下轮秘密持有者，这提高了系统的参与度与公平性。在进行加密时所有参与者都不知下轮接收者的具体身份，其接收者地位由竞争产生，这提高了系统的匿名性，极大降低了节点被DDoS攻击或系统内产生共谋攻击等风险。

以上实施例仅用以说明本发明的技术方案而非对其进行限制，本领域的普通技术人员可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明的精神和范围，本发明的保护范围应以权利要求书所述为准。

Claims

1.一种加密方案接收者确定方法，其步骤包括：

1)加密系统中的发送者使用安全参数λ、设定的时间t和一设定的底层困难性问题的困难度ω计算后获取一公共参数pp，pp中包含一解密密钥answer以及通过对解密密钥answer进行底层困难性问题运算得到的加密密钥clue；

2)发送者使用加密密钥clue对待发送消息m进行加密得到密文c并产生一非交互零知识证明π，用于证明密文c确为消息m由clue加密得到且解密密钥answer与加密密钥clue具有一致性，即加密密钥clue确实由解密密钥answer通过底层困难性问题运算得到，然后将加密密钥clue、密文c与证明π广播至公开信道；

3)加密系统中的所有参与者在困难度ω与时间t内通过求解困难性问题竞争成为接收者；其中，各参与者验证收到的证明π，若验证通过则在时间t与困难度ω下，验证求解得到的结果是否通过选定的候选单向函数运算后与加密密钥clue相等，若相等则成为接收者。

2.如权利要求1所述的方法，其特征在于，若使用底层问题为离散对数问题的加密算法进行实例化，则时间t满足：