CN105071938A - 一种基于门限秘密共享的组认证方法 - Google Patents

Abstract

本发明公开了一种基于门限秘密共享的组认证方法，将n个组成员记为{U_i|i＝1,2,…,n}；由秘密分发者SD利用(t,n)门限秘密共享方案为每个组成员U_i生成并分发两个秘密份额(s_1i,s_2i)；并为组认证服务器AS生成并分发2*(t-1)个秘密份额(s_1i,s_2i)，i＝n+1,……,n+t-1；在进行认证时，若需要对m个用户进行认证，则每个被认证用户U_i利用自己的秘密份额s_1i,s_2i生成2个令牌；组认证服务器可以对待认证的m个用户进行统一认证和逐一认证。利用该方法不但可以一次性验证所有用户是否全部合法，还可以在有非组成员存在的情况下快速有效地确定所有非组成员。

Description

一种基于门限秘密共享的组认证方法

技术领域

本发明涉及信息安全技术领域，尤其涉及一种基于门限秘密共享的组认证方法。

背景技术

目前，(t,n)门限秘密共享的基本思想是将一个秘密分割成n个秘密份额,并将每一个份额分发给一个参与者，只有t(t≤n)个或t个以上的参与者合作才能恢复秘密，少于t个参与者无法恢复秘密，其中t为门限值。(t,n)门限秘密共享方案有很多种实现方式，其中应用最为广泛的就是Shamir秘密共享方案：

该方案假定D是秘密分发者，n是参与者的数目,t是门限值，p是大素数且远大于n；秘密空间与份额空间均为有限域GF(p)，Shamir的(t,n)门限秘密共享方案分为两个组成部分：

第一部分、秘密分发阶段：

(1)秘密分发者D随机选择一个GF(p)上的t-1次多项式f(x)：f(x)＝a_t-1x^t-1+…+a₂x²+a₁x+a₀modp,其中a₀＝f(0)＝s,s为秘密，D将f(x)保密；

(2)D在有限域GF(p)中选择n个互不相同的非零元素x_l,x₂,…,x_n,计算s_i＝f(x_i),1≤i≤n。

(3)将s_i,(l≤i≤n)秘密分配给参与者U_i，值x_i是U_i的***息，s_i为U_i的秘密份额。

第二部分、秘密重构阶段：

任何m，(n≥m≥t)，个参与者，比如，{U₁，U₂,…，U_m}，可以利用他们的秘密份额{s_l,s₂,…,s_m}通过Lagrange插值公式modp计算f(0)而恢复共享的秘密s。

进一步的，在基于门限秘密共享的方案中，组认证用以验证一个用户是否属于某个预先定义的组，现有技术中的组认证方案为：

(1)秘密份额生成：

假设共有n个组成员，记为{U_i|i＝1,2,…,n}，组管理员在GF(p)上选择k(kt>n-1)个t-1次多项式，f_l(x),l＝1,2,…,k，其中p是大素数，利用k个多项式对每一个参与者U_i生成k个秘密份额f_l(x_i),l＝1,2,…,k，其中x_i,i＝1,2,…,k是***息。对于任意的秘密s，管理员寻找k个数对(w_j,d_j)，j＝1,2,…k，令公开w_j,d_j,j＝1,2,…k,以及s的单向哈希值H(s)，其中H(.)是一个单向哈希函数。

(2)秘密重构：

在认证阶段，如果有m个用户参与认证，每个用户U_i,i＝1,2,…m利用自己的k个秘密份额生成令牌 $c_i={\mathrm{\Σ}}_{j=1}^k{d}_j{f}_j\left(x_i\right){\Π}_{r=1,r\≠i}^m(w_j-x_r)/(x_i-x_r)\mathrm{mod}p$ 并将令牌分发给其他参与者,成员收集齐m个c_i之后计算如果H(s)＝H(s’),则m个成员全部合法；如果H(s)≠H(s’)则组内必有非法成员。

在上述组认证过程中，组管理员要选择k个多项式并为每个组成员生成k个秘密份额，同时k的大小受制于门限t和总的组成员数n，即kt>n-1,因而方案不够灵活，同时也使得多项式管理以及秘密份额的分发过程复杂化；另外，该方案可以一次性验证所有用户是否全部为合法组成员，但是如果有非法用户(非组成员)存在，该方案无法确定其数量，更无法确定具体的非法用户。正因为上述现有技术的方案多项式管理复杂而且没有解决快速找到非组成员的问题，使得上述方案只能应用于组认证的前期预处理，其应用范围及实用性大大降低。

发明内容

本发明的目的是提供一种基于门限秘密共享的组认证方法，利用该方法不但可以一次性验证所有用户是否全部合法，还可以在有非组成员存在的情况下快速有效地确定所有非组成员。

一种基于门限秘密共享的组认证方法，所述方法包括：

将n个组成员记为{U_i|i＝1,2,…,n}；

由秘密分发者SD利用(t,n)门限秘密共享方案对每个组成员U_i生成并分发两个秘密份额(s_1i,s_2i)，i＝1,2,…,n；

向组认证服务器AS生成并分发2*(t-1)个秘密份额(s_1i,s_2i),i＝n+1,n+2,…,n+t-1，并生成两个秘密s_a、s_b，其中，s_a＝f({s_1i|i∈I_h}),s_b＝f({s_2i|i∈I_h}),f为秘密恢复函数，I_h为{1,2,…,n}的包含h个元素的子集，其中t<＝h<＝n；同时令s₁和s₂分别为s_a和s_b的线性组合；

秘密分发者公开数对(a₁,b₁),(a₂,b₂),以及s₁，s₂的单向哈希值H(s₁)，H(s₂)；

在进行认证时，若组认证服务器需要对m个用户进行认证，则每个被认证用户U_i利用自己的秘密份额s_1i,s_2i生成2个令牌为：

c_1i＝g(a₁,b₁,s_1i,s_2i,{U_j|j∈I_m},{U_k|k＝n+1,n+2,…,n+t-1},r_1i),

c_2i＝g(a₂,b₂,s_1i,s_2i,U_i,{U_k|k＝n+1,n+2,…,n+t-1},r_2i)；其中，1≤m≤n，r_1i,r_2i为随机数，g为令牌生成函数；

并将生成的令牌通过***道提交给组认证服务器AS；

由组认证服务器对待认证的m个用户进行统一认证，以判断是否存在非法用户；如果存在非法用户，则用逐一认证找出所有具体的非法用户。

由上述本发明提供的技术方案可以看出，利用该方法不但可以一次性验证所有用户是否全部合法，还可以在有非组成员存在的情况下快速有效地确定所有非组成员。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他附图。

图1为本发明实施例所提供基于门限秘密共享的组认证方法流程示意图；

图2为本发明所举实例中秘密份额分发示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

下面将结合附图对本发明实施例作进一步地详细描述，如图1所示为本发明实施例所提供基于门限秘密共享的组认证方法流程示意图，在该方案中包含有一个秘密分发者(SD，ShareDistributor)，一个组认证服务器(AS，AuthenticationServer),以及n个组成员{U_i|i＝1,2…n}，其中AS与各个被认证用户之间通过***道进行通信，接收被认证用户的认证令牌，以完成对各个用户的认证，且SD与AS之间以及SD与每个成员之间存在安全信道，SD通过安全信道向AS以及各组成员分发秘密份额，参考图1，所述组认证方法包括：

步骤11：进行初始化，将n个组成员记为{U_i|i＝1,2,…,n}；

步骤12:由秘密分发者SD利用(t,n)门限秘密共享方案对每个组成员U_i生成并分发两个秘密份额(s_1i,s_2i)，i＝1,2,…,n；

步骤13：SD为组认证服务器AS生成并分发2*(t-1)个秘密份额(s_1i,s_2i),i＝n+1,n+2,…,n+t-1,SD生成两个秘密s_a、s_b；

在该步骤中，s_a＝f({s_1i|i∈I_h}),s_b＝f({s_2i|i∈I_h}),f为秘密恢复函数，I_h为{1,2,…,n}的包含h个元素的子集，其中t<＝h<＝n；

步骤14：令s₁和s₂分别为s_a和s_b的线性组合，秘密分发者SD公开数对(a₁,b₁),(a₂,b₂),以及s₁，s₂的单向哈希值H(s₁)，H(s₂)；

该步骤中，同时令s₁和s₂分别为s_a和s_b的线性组合，比如s₁＝a₁s_a+b₁s_b,s₂＝a₂s_a+b₂s_b；

此后的认证过程不再需要秘密分发者SD的参与。

步骤15：在进行认证时，若组认证服务器AS需要对m个用户进行认证，则每个被认证用户U_i利用自己的秘密份额s_1i,s_2i生成2个令牌；

在该步骤中，具体生成的2个令牌为：

c_1i＝g(a₁,b₁,s_1i,s_2i,{U_i|i∈I_m},{U_k|k＝n+1,n+2,…,n+t-1},r_1i),

c_2i＝g(a₂,b₂,s_1i,s_2i,U_i,{U_k|k＝n+1,n+2,…,n+t-1},r_2i)；其中，1≤m≤n，r_1i,r_2i为随机数，g为令牌生成函数；

步骤16：将生成的令牌通过***道提交给组认证服务器AS；

步骤17：由组认证服务器AS对待认证的m个用户进行统一认证，以判断是否存在非法用户，如果存在非法用户，则用逐一认证找出具体的非法用户。

在该步骤中，具体进行统一认证和逐一认证的方法为：

首先在进行统一认证时，组认证服务器AS利用自己的2*(t-1)个秘密份额生成相应的令牌：

c_as＝g(a₁,b₁,{U_i|i∈I_m},{(s_1k,s_2k,U_k|k＝n+1,n+2,…,n+t-1},r_j),r_j为随机数；

所述组认证服务器利用公式s₁’＝f’({c_1i|i∈I_m},c_as)计算s₁’以及H(s₁’),f’为另一个秘密恢复函数；

若H(s₁)＝H(s₁’)，则所有被认证的m个用户通过认证，为组成员；

若H(s₁)≠H(s₁’)，则至少存在一个用户为非组成员，由所述组认证服务器再对所有m个用户进行逐一认证，具体包括：

针对每个被认证用户U_i重新生成1个令牌c_i＝g(U_i,a₂,b₂,{(s_1k,s_2k,U_k|k＝n+1,n+2,…,n+t-1},r_i),g为令牌生成函数，r_i为随机数；

再由所述组认证服务器计算s₂’＝f’(c_2i,c_i)以及H(s₂’)，其中f’为秘密恢复函数；

若H(s₂)＝H(s₂’)，则该进行认证的U_i是合法的组成员，否则为非组成员。

通过上述的组认证方法，在每个用户一次性提交令牌之后，既可以对所有用户进行统一组认证，也可以单独对每个用户进行逐一认证；即该组认证方案不但能一次性验证所有组成员是否全部合法，而且在有不合法成员存在时，也可以快速确定所有不合法的用户。

下面以具体的实例对上述认证方法进行详细说明，本实例是以Shamir’s(t,n)门限秘密共享为基础实现上述组认证方案，具体如下：

首先进行初始化，假设方案中共有n个组成员，记为{U_i|U_i∈GF(p),U_i≠0，U_i≠1，i＝1,2,…,n}，其中p为一个大素数，GF(p)为一有限域。q为另一个大整数，并且p>nq²+q。

秘密分发者SD在GF(p)中选择两个t-1次多项式和 a_i,b_i∈GF(p),为每一个组成员U_i生成2个秘密份额f₁(U_i),f₂(U_i),i＝1,2,…,n,并通过安全信道将f₁(U_i),f₂(U_i)秘密地分发给U_i；

同时SD为组认证服务器AS生成2*(t-1)个秘密份额，f₁(U_k),f₂(U_k),k＝n+1,n+2,…,n+t-1；

然后，SD在GF(p)上随机选择两个数对(a₁,b₁)，(a₂,b₂)，组成两个秘密s₁＝{a₁f₁(0)+b₁f₂(1)}modp，s₂＝{a₂f₁(0)+b₂f₂(1)}modp，使得s₁和s₂均在Zq上。

最后，SD计算s₁和s₂的单向哈希值H(s₁),H(s₂),并公开(a₁,b₁)，(a₂,b₂)，单向哈希函数H(.)，如图2所示的秘密份额分发图，图2中：秘密分发者SD分别针对各个组成员U_i生成(s_1i,s_2i)，i＝1,2,…,n。

然后由组认证服务器AS先进行统一认证，假设m(m>＝1)个用户{U_i|U_i∈GF(p),i∈I_m}参与认证，每个参与认证的用户U_i计算2个令牌：

$\begin{array}{c}{c}_{1i}=\left(a_1{f}_1\right(U_i){\&Pi;}_{j\&Element;I_m,j\&NotEqual;i}\frac{-U_j}{U_i-U_j}{\&Pi;}_{k=n+1}^{n+t-1}\frac{-U_k}{U_i-U_k}+b_1{f}_2\left(U_i\right){\&Pi;}_{j\&Element;I_m,j\&NotEqual;i}\frac{1-U_j}{U_i-U_j}{\&Pi;}_{k=n+1}^{n+t-1}\frac{1-U_k}{U_i-U_k}+\\ r_{1i}q)\mathrm{mod}p,\end{array}$

$c_{2i}=\left(a_2{f}_1\right(U_i){\&Pi;}_{k=n+1}^{n+t-1}\frac{-U_k}{U_i-U_k}+b_2{f}_2(U_i){\&Pi;}_{k=n+1}^{n+t-1}\frac{1-U_k}{U_i-U_k}+r_{2i}q)\mathrm{mod}p,$ i＝1,2…m，其中,r_1i,r_2i是U_i在Zq上选择的随机数，U_i将上述两个令牌通过***道发送给组认证服务器AS。

组认证服务器AS利用自己的秘密份额计算令牌：

$\begin{array}{c}{c}_{as}=\\ {\&Sigma;}_{i=n+1}^{n+t-1}\&lsqb;a_1{f}_1\left(U_i\right){\&Pi;}_{k=n+1,k\&NotEqual;i}^{n+t-1}\frac{-U_k}{U_i-U_k}{\&Pi;}_{j\&Element;I_m}\frac{-U_j}{U_i-U_j}+b_1{f}_2\left(U_i\right){\&Pi;}_{k=n+1,k\&NotEqual;i}^{n+t-1}\frac{1-U_k}{U_i-U_k}{\&Pi;}_{j\&Element;I_m}\frac{1-U_j}{U_i-U_j}\&rsqb;+\\ rq\left(\mathrm{mod}p\right),\end{array}$

其中，r是在Zq上选择的随机数。

组认证服务器AS利用收到的各个用户的令牌c_i(i∈I_m)以及自己的令牌c_as恢复秘密 $s_1^{\&prime;}=({\&Sigma;}_{i\&Element;I_m}{c}_{1i}+c_{as})\mathrm{mod}p\mathrm{mod}q.$

如果H(s′₁)＝H(s₁)，则所有用户通过认证；

如果H(s′₁)≠H(s₁)，则组内必定存在非法用户(即非组成员)，然后再进行逐一认证，如果存在非法用户，则AS在无需进一步交互情况下可对各个用户进行逐一认证，具体验证过程如下：

AS在对用户U_i进行认证时，利用自己的秘密份额生成令牌c_i,

$\begin{array}{c}{c}_i\{{\&Sigma;}_{j=n+1}^{n+t-1}\&lsqb;a_2{f}_1\left(U_j\right){\&Pi;}_{k=n+1,k\&NotEqual;j}^{n+t-1}\frac{-U_k}{U_j-U_k}\frac{-U_i}{U_j-U_i}+b_2{f}_2\left(U_j\right){\&Pi;}_{k=n+1,k\&NotEqual;j}^{n+t-1}\frac{1-U_k}{U_j-U_k}\frac{1-U_i}{U_j-U_i}\&rsqb;+\\ r_{i}q\}\mathrm{mod}p\end{array}$

其中，r_i为AS在Zq上均匀选择的某个随机数。

然后，AS计算s′₂＝(c_2i+c_i)modpmodq以及H(s′₂)；

如果H(s′₂)＝H(s₂)，则U_i为组成员，否则U_i为非法用户(非组成员)，此方法可以在o(n)时间内验证出所有非法用户。

上述实施例的方案是以Shamir’s(t,n)门限秘密共享为基础实现的，具体实现中可以任何(t,n)门限秘密共享方案为基础进行相应的实现，这里不做限制。

综上所述，本发明所述的基于门限秘密共享的组认证方法具有如下优点：

1)通过将秘密份额随机化来构造组认证令牌，避免了每个组成员持有过多秘密份额问题，降低了令牌构造的复杂度，提高了方案的灵活性；

2)该方案在每个用户一次性提交令牌之后，既可以对用户进行统一组认证，也可以单独对每个用户进行逐一认证；

3)该方案可以在O(1)时间内快速验证所有组成员是否合法，如果有不合法成员，服务器可以在O(n)时间内快速确定所有不合法的用户；

4)每个组成员只需要持有两个秘密份额，降低了秘密份额的分发和管理的代价；

5)该方案不依赖任何公钥算法，相对基于公钥的组认证方案更加安全可靠。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明披露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求书的保护范围为准。

Claims (2)

1.一种基于门限秘密共享的组认证方法，其特征在于，所述方法包括：

将n个组成员记为{U_i|i＝1,2,…,n}；

由秘密分发者SD利用(t,n)门限秘密共享方案对每个组成员U_i生成并分发两个秘密份额(s_1i,s_2i)，i＝1,2,…,n；

秘密分发者SD为组认证服务器AS生成并分发2*(t-1)个秘密份额(s_1i,s_2i),i＝n+1,n+2,…,n+t-1，且秘密分发者SD生成两个秘密s_a、s_b，其中，s_a＝f({s_1i|i∈I_h}),s_b＝f({s_2i|i∈I_h}),f为秘密恢复函数，I_h为{1,2,…,n}的包含h个元素的子集，其中t<＝h<＝n；

令s₁和s₂分别为s_a和s_b的线性组合，秘密分发者SD公开数对(a₁,b₁),(a₂,b₂),以及s₁，s₂的单向哈希值H(s₁)，H(s₂)；

在进行认证时，若组认证服务器AS需要对m个用户进行认证，则每个被认证用户U_i利用自己的秘密份额s_1i,s_2i生成2个令牌为：

c_1i＝g(a₁,b₁,s_1i,s_2i,{U_i|i∈I_m},{U_k|k＝n+1,n+2,…,n+t-1},r_1i),

c_2i＝g(a₂,b₂,s_1i,s_2i,U_i,{U_k|k＝n+1,n+2,…,n+t-1},r_2i)；其中，1≤≤m≤n，r_1i,r_2i为随机数，g为令牌生成函数；

并将生成的令牌通过***道提交给组认证服务器AS；

由组认证服务器AS对待认证的m个用户进行统一认证，以判断是否存在非法用户，如果存在非法用户，则用逐一认证找出所有具体的非法用户。

2.根据权利要求1所述基于门限秘密共享的组认证方法，其特征在于，所述由组认证服务器AS对待认证的m个用户进行统一认证，以判断是否存在非法用户，如果存在非法用户，则用逐一认证找出具体的非法用户，具体包括:

在进行统一认证时，组认证服务器利用自己的2*(t-1)个秘密份额生成相应的令牌：

c_as＝g(a₁,b₁,{U_i|i∈I_m},{(s_1k,s_2k,U_k|k＝n+1,n+2,…,n+t-1},r_as),r_as为随机数；

所述组认证服务器利用公式s₁’＝f’({c_1i|i∈I_m},c_as)计算s₁’以及H(s₁’),f’为秘密恢复函数；

若H(s₁)＝H(s₁’)，则所有被认证的m个用户通过认证，为组成员；

若H(s₁)≠H(s₁’)，则至少存在一个用户为非组成员，由所述组认证服务器再对所有m个用户进行逐一认证，具体包括：

针对U_i重新生成1个令牌c_i＝g(U_i,a₂,b₂,{(s_1k,s_2k,U_k|k＝n+1,n+2,…,n+t-1},r_i),g为令牌生成函数，r_i为随机数；

再由所述组认证服务器计算s₂’＝f’(c_2i,c_i)以及H(s₂’)，其中f’为秘密恢复函数；

若H(s₂)＝H(s₂’)，则该被认证用户U_i是合法的组成员，否则为非组成员。