CN105406966B - 一种门限秘密信息分配、还原、完整性验证方法及装置 - Google Patents

Abstract

本发明提供了一种门限秘密信息分配方法及装置，该方法包括：将文件分割成t个秘密信息；将t个秘密信息分别分割成p‑1个子秘密信息；将p‑1个子秘密信息分别生成(k‑1)个只包含0和1的随机信息串；根据p‑1个随机信息串向量；生成系数矩阵；根据秘密信息向量、随机信息串向量以及系数矩阵计算t×n个信息份额；对t×n个信息份额进行加密生成t×n个密文；将t×n个密文发送给n个服务器。本发明提供了一种门限秘密信息还原方法及装置，已知n个密文时还原秘密信息。本发明提了一种门限秘密信息完整性验证方法及装置，已知少量的密文，验证信息的完整性。本发明提供的门限秘密信息分配、还原、完整性验证方法及装置具有计算负荷小、效率高、安全性高的优点，节省成本。

Description

一种门限秘密信息分配、还原、完整性验证方法及装置

技术领域

本发明涉及信息安全技术领域，具体涉及一种门限秘密信息分配、还原、完整性验证方法及装置。

背景技术

为了确保数据的安全性和保密性，研究者们提出了(k,n)门限秘密共享概念，秘密共享是信息安全和数据保密的重要手段，它在重要信息和秘密数据的安全保存、传输以及合法利用中起着关键作用，在(k,n)门限秘密共享可以取任何消息，把它分成n份，每份叫做原来消息的影子或份额，并被n个不同的服务器共享，满足只有大于等于k个服务器联合可以还原出该秘密和任意少于k个服务器不能得到该秘密的任何信息这两个条件时称为完美的秘密共享方案，此外，若再满足每个服务器所持有的份额尺寸和原秘密一样大的条件时称为理想的秘密共享方案，在(k,n)门限秘密共享方案中，可以把任何消息分成n部分，每部分叫做原来消息的影子或共享。

但是实现(k,n)门限秘密共享方案的方法多是基于珈罗瓦域或素数域上的运算，运算负载相对比较大，同时，也限制了秘密分享方案在高性能的存储领域的应用，实验数据表明，编码8K字节的数据，秘密共享方案为(t＝6,n＝10)编码速度要比加密类型AES加密编码慢近70倍以上，因此，虽然(k,n)门限秘密共享方案是信息安全和数据保密的重要手段，但是因其具有较高的计算负担，在普通数据的存储领域的应用受到了很大的限制。

对此，研究者提出了一种高效的异或运算来实现秘密共享，但是，该方案中，每个参与者拥有的份额尺寸是原来的秘密信息的数倍，这不是理想的秘密共享方案，而研究者提出的另一种基于异或运算的(k,n)阈值秘密共享方案，声称采用这种方案在门限(3，11)下，4.5M字节数据的分享和还原速度比原有的门限秘密的方案快900倍，但是，这种基于异或运算的(k,n)阈值秘密共享方案有很多缺点：当k越是接近n时，该方案的秘密分发和还原的计算量越大，效率低；即使有多于k个份额参与秘密还原，但还原的计算量不能减小；不允许参与者自己选择持有的份额。

另外，随着云存储技术的迅猛发展，越来越多的人或者企业选择使用云存储环境存放自己的资料，云存储给用户带来了极大的便利，但是，由于用户在本地可能没有保存任何的数据副本，无法确保存储在云中的数据是否是安全的，因此，研究者提出的数据完整性证明成为解决这一问题的重要手段，数据完整性验证机制根据是否对数据文件采用了容错预处理分为数据持有性PDP机制和数据可恢复证明POR机制，PDP机制能快速判断远程节点上数据是否损坏，更多的注重效率，主要应用于检测大数据文件的完整性；POR机制不仅能够检测数据是否已损坏，且能恢复已损坏的数据，主要应用于重要数据的完整性确保；现有的PDP机制包括：基于MAC认证码的PDP机制、基于RSA签名的PDP机制、基于BLS签名的PDP机制、支持动态操作的PDP机制、支持多副本的PDP机制以及保护隐私的PDP机制；现有的POR机制包括：基于岗哨的POR机制、紧缩的POR机制以及支持动态操作的POR机制。

其中，支持动态操作的PDP机制包括了：Ateniese等人考虑的支持部分动态的PDP机制，该机制只能支持数据的更新，删除和追加等操作，无法实施***操作；Erway等人提出的基于跳表的PDP机制，该机制是第一种完全支持动态操作的PDP机制，但该机制存在认证路径过长，每次认证需要大量辅助信息支持，计算机代价和通信开销较大等问题；Wang等人的基于Merkle Tree的PDP机制，该机制相比跳表机制，具有更为简单的数据结构。其中，紧缩的POR机制包括：Shacham等人分别提出了针对私有验证和公开验证的数据可恢复POR机制。

相比PDP机制所要考虑的计算复杂度和通信复杂度而言，POR机制虽然降低了通信代价和验证开销，但是也增加了初始化的时间，另外，执行抽取恢复操作的人必须是可信的，若不可信，通过一定次数的验证请求后，就可一获取部分文件知识，使存储的数据文件的安全性受到威胁。

因此，现有的秘密分发和还原方案的计算量越大，效率低，即使有多于k个份额参与秘密还原，但还原的计算量不能减小，不允许参与者自己选择持有的份额，另外，现有的数据完整性验证方案不能同时满足节约初始化时间、降低运算负荷以及保证存储的数据的安全性的条件。

发明内容

本发明提供一种门限秘密信息分配、还原、完整性验证方法及装置，解决了现有技术中秘密信息分配和还原装置的计算量越大、效率低和秘密信息安全性低的问题，解决了现有的数据完整性验证方案的信息通讯量大、验证过程速度慢、成本高的问题。

第一方面，本发明提供一种门限秘密信息分配方法，所述方法包括：

将待存储文件分割成t个秘密信息：s₁,s₂,…,s_h,…,s_t，s_h为第h个秘密信息，1≤h≤t，t为预设常数；

将所述t个秘密信息分别分割成p-1个子秘密信息，得到t个秘密信息向量其中，为第h个秘密信息向量，s_hl为s_h的第f个子秘密信息，1≤f≤p-1，p为素数且p≥n-1，n为预设常数，且n为每个秘密信息生成的信息份额的个数；

将所述p-1个子秘密信息分别生成(k-1)个只包含0和1的随机信息串，得到k-1个随机信息串向量其中，r_fl为第f个子秘密信息的第个l随机信息串，1≤l≤k-1，k≤n，n为预设常数；

生成系数矩阵α^u，所述系数矩阵是在当m＝u时，根据矩阵生成，其中，当i＝(j+m)modp时e_i,j取值为1，否则取值为0，其中，0≤u≤n-1，0≤m≤p-1，0≤j≤p-1，p为素数且p≥n-1，n为预设常数；

根据所述t个秘密信息向量所述随机信息串向量以及所述系数矩阵α^u分别计算t个秘密信息的n个信息份额：其中，为第h个秘密信息的n个信息份额，y_h,g为第h个秘密信息的第g个信息份额，1≤h≤t，1≤g≤n，n为预设常数；

分别对t个秘密信息生成的t×n个信息份额进行加密处理，生成t×n个密文；

将所述t×n个密文通过秘密信道分别发送给n个不同的参与者。

其中，所述分别对t个秘密信息生成的t×n个信息份额进行加密处理，生成t×n个密文，包括：

生成随机矩阵β^u和一个伪随机函数密钥k_prf，所述伪随机函数密钥k_prf由预先设置的算法生成，所述随机矩阵是在当m＝u时，根据矩阵生成，其中，当i＝(p-u)modp或i＝(j+m)mod p时e_i,j取值为1，否则取值为0，其中，0≤m≤p-1，0≤j≤p-1；

根据所述t×n信息份额的列标与所述随机矩阵β^u生成n个随机矩阵β_u，并根据所述t×n信息份额的行标与所述伪随机函数密钥k_prf生成伪随机函数

根据所述随机矩阵β_u与所述伪随机函数分别对t个秘密信息生成的t×n个 信息份额进行加密处理，生成对应的t×n个密文其中，σ_h,g为与第h个秘密信息的第g个信息份额对应的密文，1≤h ≤t，公式为：

其中，在所述将所述t×n个密文通过秘密信道分别发送给n个不同的参与者之前，所述方法还包括：

对所述t×n个密文进行混乱加密处理，包括：

生成随机顺序混乱函数密钥key；

根据所述随机顺序混乱函数密钥key和所述t×n个密文的行标生成t个随机顺序混乱函数π_key(h)；

根据所述t个随机顺序混乱函数π_key(h)对行标相同的密文的行标顺序分别进行混乱加密，生成对应的混乱密文，公式为：

其中，1≤h≤t，h'＝π_key(h)，为混合加密生成的混 乱密文。

其中，将每个秘密信息平均分割成p-1个子秘密信息。

第二方面，本发明提供一种门限秘密信息还原方法，在已知上述一种门限秘密信息还原方法中的t×n个密文中的任意n个密文时，还原一个秘密信息，所述方法包括：

对所述任意n个密文进行解密，得到对应的未加密的n个信息份额；

生成一个运算矩阵作为还原矩阵，所述运算矩阵为(n-k+1)×(n+1)个(p-1)阶方阵的二元分块矩阵；

将所述未加密的n个信息份额组成向量组，并将所述向量组与所述还原矩阵做内积运算，计算出一个秘密信息向量；

根据所述秘密信息向量还原出子秘密信息，并将所述子秘密信息按照分割时的顺序组合成一个秘密信息。

其中，在已知任意n个行下标相同的混乱密文时，所述方法还包括：

对所述任意n个行下标相同的混乱密文进行顺序复原，得到对应的未进行混乱加密的n个密文，公式为：

其中，1≤h≤t，为未进行混乱加密的密文，为随机顺序混乱函数的反函数。

第三方面，本发明提供一种门限秘密信息完整性验证方法，所述方法包括：

向n个不同的参与者分别发送挑战请求信息，所述挑战请求信息携带有o个密文的位置坐标，其中，o为预设常数，1≤o≤n；

将从n个参与者中获取的o×n个密文按相同的密文位置组成o个向量，并根据随机顺序混乱函数π_key(h)的反函数进行顺序复原，得到n个参与者中未进行混乱加密的o×n个密文；

将所述未进行混乱加密的o×n个密文进行聚合，得到n个聚合密文；

对所述n个聚合密文进行解密，得到未加密的n个信息份额；

生成一个运算矩阵作为还原矩阵，所述运算矩阵为(n-k+1)×(n+1)个(p-1)阶方阵的二元分块矩阵；

从所述n个信息份额中多次随机选取k个信息份额，并根据多次随机选取的k个信息份额分别从所述运算矩阵中选取k阶方阵作为还原矩阵V_k×k，其中，1≤k≤n；

将每次随机选取的k个信息份额分别组成向量组，并根据还原矩阵V_k×k的逆矩阵每个向量组进行内积运算，得到多个秘密信息向量，其中，k阶方阵与k个信息份额组成向量组是一一对应的；

将每次得到的秘密信息向量还原出子秘密信息，并将所述子秘密信息按照分割时的顺序组合成秘密信息；

将多次得到的秘密信息进行比较，若多次得到的秘密信息一致，则验证n个参与者中的数据是完整的。

第四方面，本发明提供一种门限秘密信息分配装置，所述装置包括上述的一种门限秘密信息分配方法。

本发明的第五方面提供一种门限秘密信息还原装置，所述装置包括上述的一种门限秘密信息还原方法

本发明的第六方面提供一种门限秘密信息完整性验证装置，所述装置包括了上述的一种门限秘密信息完整性验证方法。

本发明提供的基一种门限秘密信息分配、还原、完整性验证方法及装置，提供的一种一种门限秘密信息分配方法及装置降低了计算负荷、提高了运算效率，同时，在将门限秘密信息分配生成的信息份额发送给云中多个服务器之前，对信息份额进行加秘密处理，提高了云存储中数据的安全性；提供的一种门限秘密信息还原方法及装置，只需随机抽取少量的信息进行秘密还原，降低了还原装置的计算负荷，提高了运算效率；提供的一种门限秘密信息完整性验证方法及装置，只需随机抽取少量的信息就进行云存储数据的完整性验证，降低了客户端和服务器的计算量，而且可以移交由经验丰富的第三方完成。

附图说明

为了更清楚地说明本公开实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些图获得其他的附图。

图1为本发明一实施例提供的一种门限秘密信息分配方法的流程图；

图2为本发明一实施例提供的方案为(k＝4n＝3,p＝5)时信息份额分发的图形示意图；

图3为本发明一实施例提供的密文和混乱密文的对比示意图；

图4为本发明一实施例提供的秘密信息完整性验证过程示意图；

图5为本发明一实施例中秘密信息分配、还原及完整性验证的总体流程图。

具体实施方式

下面将结合本公开实施例中的附图，对本公开实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本公开中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本公开保护的范围。

需要说明的是，本公开实施例中提及的字母T为转置运算符。

如图1所示，本公开一实施例提供一种门限秘密信息分配方法，该方法包括如下步骤：

S1、将待存储文件分割成t个秘密信息：s₁,s₂,…,s_h,…,s_t，s_h为第h个秘密信息，1≤h≤t，t为预设常数；

具体地，每个秘密信息可以根据用户需要分成任意比特。

S2、将所述t个秘密信息分别分割成p-1个子秘密信息，得到t个秘密信息向量其中，为第h个秘密信息向量，s_hl为s_h的第f个子秘密信息，1≤f≤p-1，p为素数且p≥n-1，n为预设常数，且n为每个秘密信息生成的信息份额的个数；

优选地，将秘密信息采用等长均分的方法分割成p-1个子秘密信息，即每个子秘密信息的长度均为dbit，其中，d＝|S_h|/(p-1)，若不能整除，则可在末位补零。

S3、将所述p-1个子秘密信息分别生成(k-1)个只包含0和1的随机信息串，得到k-1个随机信息串向量其中，r_fl为第f个子秘密信息的第个l随机信息串，1≤l≤k-1，k≤n，n为预设常数；

具体地，根据预设的规则或算法将子秘密信息生成(k-1)个只包含0和1的随机信息串。

具体地，每个随机信息串的长度与对应的子秘密信息的长度相同。

S4、生成系数矩阵α^u，所述系数矩阵是在当m＝u时，根据矩阵生成，其中，当i＝(j+m)modp时e_i,j取值为1，否则取值为0，其中，0≤u≤n-1，0≤m≤p-1，0≤j≤p-1，p为素数且p≥n-1，n为预设常数；

需要说明的是，定义一个矩阵根据矩阵的定义来生成系数矩阵α^u，具体为，当满足m＝u条件时，生成系数矩阵α^u，从0≤u≤n-1，0≤m≤p-1，p≥n-1，可以知道m的取值范围大于u的取值范围，所以，生成的系数矩阵α^u是由u和矩阵的定义唯一确定的，虽然矩阵的定义不是保密的，但是u的取值只由客户端保存，因此生成的系数矩阵α^u是保密的，提高了安全性。

S5、根据所述t个秘密信息向量所述随机信息串向量以及所述系数矩阵α^u分别计算t个秘密信息的n个信息份额：其中，为第h个秘密信息的n个信息份额，y_h,g为第h个秘密信息的第g个信息份额，1≤h≤t，1≤g≤n，n为预设常数；

具体地，对第h个秘密信息计算得到n个信息份额的公式为：

其中，

可以理解的是，每个秘密信息都生成了n个信息份额，所以，t个秘密信息一共生成了t×n个信息份额。

S6、分别对t个秘密信息生成的t×n个信息份额进行加密处理，生成t×n个密文；

S7、将所述t×n个密文通过秘密信道分别发送给n个不同的参与者。

具体地，所述参与者可以是云端的服务器、远程服务器或其它能够存储数据的设备。

可以理解的是，每个参与者都存储了t个秘密信息，即每个参与者都存储的整个待存储文件。

具体地，图2示出了方案为(k＝4n＝3,p＝5)时信息份额分发的图形表示，将(k-1)×(p-1)个d(bit)的随机串r_fl连同p-1个d(bit)的子秘密信息放入一个p×(n+1)的阵列中，其中随机串r_fl(1≤l≤k-1)依次放到前(k-1)列，最后把p-1份s₁,s₂,s_h,…s_p-1放入最后一列，即第n+1列，此外，假设所有在(k-1)列和n+1列中间的列为未知列，即每个元素都是未知量，需要计算出来的，整个阵列满足的条件是：沿着从0到n－k的n－k+1种不同的斜率直线，所过结点的异或和为向量即沿着p-1条同样斜率直线的异或和也都为向量其中，(0≤i≤t-1,0≤j≤n-1)，这里的下标计算是在有限域GF(p)中进行的，所以图中的b，c都是同样的a阵列垒起来的，当此工作完成之后，便可完成后续工作。

应说明的是，信息份额计算采用异或运算，其中乘号“×”在向量之间的操作为内 积运算，群即元素为长度为d bit的二进制串(包含0和1的串)，内积操 作定义为：令是像这样的交换群，0是其单位元。令g∈G,h∈{0,1}，定义：h ×g＝g×h＝g(ifh＝1)|0(ifh＝0)，再令是G中的向量， 是{0,1}中的向量，定义群上的向量与GF(2)上向量的内积：由定义可见，整个内积的计算只用XOR 操作即可完成。

本实施例公开的一种门限秘密信息分配方法，有效的降低了信息分配的计算负荷，提高了运算效率，同时，通过将二元运算矩阵进行切割，并用切割生成的矩阵计算得到信息份额，在计算信息份额的同时也对信息份额进行了加密处理，提高了信息份额的机密性，同时也提高了云存储数据的机密性，可有效防止敌手破坏。

在本实施例中，所述分别对t个秘密信息生成的t×n个信息份额进行加密处理，生成t×n个密文，包括如下步骤：

生成随机矩阵β^u和一个伪随机函数密钥k_prf，所述伪随机函数密钥k_prf由预先设置的算法生成，所述随机矩阵是在当m＝u时，根据矩阵生成，其中，当i＝(p-u)modp或i＝(j+m)modp时e_i,j取值为1，否则取值为0，其中，0≤m≤p-1，0≤j≤p-1；

具体地，所述随机矩阵β^u和一个伪随机函数密钥k_prf保存在客户端。

根据所述t×n信息份额的列标与所述随机矩阵β^u生成n个随机矩阵β_u，并根据所述t×n信息份额的行标与所述伪随机函数密钥k_prf生成伪随机函数

根据所述随机矩阵β_u与所述伪随机函数分别对t个秘密信息生成的t×n个 信息份额进行加密处理，生成对应的t×n个密文其中，σ_h,g为与第h个秘密信息的第g个信息份额对应的密文，1≤h ≤t，公式为：

具体地，以对第h个秘密信息生成的n个信息份额进行加密，计算公式为：

[σ_h,1,σ_h,2,…,σ_h,g,…,σ_h,n]＝f_prf(h)+[y_h,1,y_h,2,…,y_h,g,…,y_h,n]×β_u，

其中，y_h,1,y_h,2,…,y_h,g,…,y_h,n为第h个秘密信息生成的n个信息份额为，σ_h,1,σ_h,2,…,σ_h,g,…,σ_h,n为对其加密得到对应的n个的密文。

在本实施例中，在将所述t×n个密文通过秘密信道分别发送给n个不同的参与者之前，所述方法还包括步骤：对所述t×n个密文进行混乱加密处理；

对所述t×n个密文进行混乱加密处理，具体包括如下步骤：

生成随机顺序混乱函数密钥key；

具体地，所述随机顺序混乱函数密钥key根据预先设置的规则或算法生成，生成后保存在客户端。

根据所述随机顺序混乱函数密钥key和所述t×n个密文的行标生成t个随机顺序混乱函数π_key(h)；

根据所述t个随机顺序混乱函数π_key(h)对行标相同的密文的行标顺序分别进行混乱加密，生成对应的混乱密文，公式为：

其中，1≤h≤t，h'＝π_key(h)，为混合加密生成的混乱密文。

具体地，图3示出了未进行行标顺序混乱的密文和进行了行标顺序混乱得到的混乱密文，假定此时通过伪随机函数得到的密文为：{σ_1,1,σ_2,1,σ_3,1，σ_4,1，σ_1,2,σ_2,2,σ_3,2，σ_4,2，σ_1,3,σ_2,3,σ_3,3,σ_4,3}，通过3个随机顺序混乱函数π_key(i)，将密文进行顺序混乱，key为***随机产生的密钥，得到随机混乱后的密文为：{σ_2,1,σ_1,1,σ_4,1,σ_3,1,σ_1,2,σ_4,2,σ_2,2,σ_3,2,σ_2,3,σ_1,3,σ_3,3,σ_4,3}，并将混乱后的密文通过秘密通道发送给3个服务器。同理，在进行完整性挑战的时，将选中的u个密文，通过随机顺序混乱函数将顺序复原，复原后的密文为：{σ_1,1,σ_2,1,σ_3,1}，{σ_1,2,σ_2,2,σ_3,2}，{σ_1,3,σ_2,3,σ_3,3}，将复原后的密文进行进一步的操作。

应说明的是，也可以对密文的列标顺序进行混乱处理，也可以同时对密文的行标和列标的顺序进行混乱处理。

优选地，将每个秘密信息平均分割成p-1个子秘密信息。

通过在将所述密文发送给不服务器之前，对所述密文进行混乱加密处理，进一步提高了数据的安全性，使数据存储在服务器中之后具有很好的机密性，可有效防止敌手破坏。

本公开一实施例提供一种门限秘密信息还原方法，在已知上述一实施例中的t×n个密文中的任意n个密文时，还原一个秘密信息，该方法包括图中未示出的如下步骤：

A1、对所述任意n个密文进行解密，得到对应的未加密的n个信息份额；

具体地，对所述n个的密文σ_h,1,σ_h,2,…,σ_h,g,…,σ_h,n进行解密，得到对应的未加密的n信息份额y_h,1,y_h,2,…,y_h,g,…,y_h,n，其中，1≤h≤t，1≤g≤n，公式为：

A2、生成一个运算矩阵作为还原矩阵，所述运算矩阵为(n-k+1)×(n+1)个(p-1)阶方阵的二元分块矩阵；

具体地，所述运算矩阵的生成过程如下：

生成循环置换矩阵当a＝(b+u)mod p时取值为1，否则为0，其中0≤u≤p－1，0≤b≤p－1，e_a,b取值0或1，其中，0≤u≤p-1，0≤b≤p-1，p为素数且p≥n-1；

将去掉最后一行和最后一列得到其中m＝p－1；

将和单位矩阵I_m组合成二元运算矩阵如下：

其中，当p≥n时，所述产生的二元运算矩阵还为：

其中，当p≥n+1时，所述产生的二元运算矩阵还为：

A3、将所述未加密的n个信息份额组成向量组，并将所述向量组与所述还原矩阵做内积运算，计算出一个秘密信息向量；

具体地，首先根据公式：

得到：

其中，

A4、根据所述秘密信息向量还原出子秘密信息，并将所述子秘密信息按照分割时的顺序组合成一个秘密信息。

本实施例公开的一种门限秘密信息还原方法，有限域的基础上，采用异或的方式运算完成,计算速度快，效率高，当k越是接近n时，本发明的门限秘密还原的计算负荷小，效率高，同时，当多于k个份额参与秘密还原，还原装置的计算负荷也会减小。

另外，秘密信息还原的过程和上述一实施例公开的秘密信息分配过程在本质上是相同的，可用同一个部件或程序完成分发和还原。

在本实施例中，若已知任意n个行下标相同的混乱密文时，所述方法还包括如下步骤：

对所述任意n个行下标相同的混乱密文进行顺序复原，得到对应的未进行混乱加密的n个密文，公式为：

其中，1≤h≤t，为未进行混乱加密的密文，为随机顺序混乱函数的反函数。

本实施例中，通过两次解密过程实现秘密信息的还原，保证了在秘密信息的还原过程的机密性，防止在还原过程中遭到恶意攻击，导致秘密信息的损坏。

本公开一实施例提供一种门限秘密信息完整性方法，该方法包括图中未示出的如下步骤：

B1、向n个不同的参与者分别发送挑战请求信息，所述挑战请求信息携带有o个密文的位置坐标，其中，o为预设常数，1≤o≤n；

B2、将从n个参与者中获取的o×n个密文按相同的密文位置组成o个向量，并根据随机顺序混乱函数π_key(h)的反函数进行顺序复原，得到n个参与者中未进行混乱加密的o×n个密文；

B3、将所述未进行混乱加密的o×n个密文进行聚合，得到n个聚合密文；

B4、对所述n个聚合密文进行解密，得到未加密的n个信息份额；

B5、生成一个运算矩阵作为还原矩阵，所述运算矩阵为(n-k+1)×(n+1)个(p-1)阶方阵的二元分块矩阵；

B6、从所述n个信息份额中多次随机选取k个信息份额，并根据多次随机选取的k个信息份额分别从所述运算矩阵中选取k阶方阵作为还原矩阵V_k×k，其中，1≤k≤n；

B7、将每次随机选取的k个信息份额分别组成向量组，并根据还原矩阵V_k×k的逆矩阵每个向量组进行内积运算，得到多个秘密信息向量，其中，k阶方阵与k个信息份额组成向量组是一一对应的；

B8、将每次得到的秘密信息向量还原出子秘密信息，并将所述子秘密信息按照分割时的顺序组合成秘密信息；

B9、将多次得到的秘密信息进行比较，若多次得到的秘密信息一致，则验证n个参与者中的数据是完整的。

图4示出了对n个不同的参与者的位置相同的3个密文发出挑战请求信息，进行秘密信息完整性验证的过程示意图。

以k＝3，n＝4，u＝5时的信息完整性验证过程为例：

随机选取u个数据块，方便起见，服务器找到这u个向量组σ_1,j,σ_2,j…σ_u,j，并依据此前的随机顺序混乱函数计算σi,j＝σj，即：i＝π^-1key(h')将混乱的顺序复原，计算 令chal＝{σ₁,σ₂…σ_n},并将其发送给证明者，通过公式其中，1≤i≤t，1≤j≤n，得到份额y_j。

根据门限秘密分配原则可知，每3个影子可以还原秘密，令j＝1,2,3，则：

其中

V_k×k为可逆矩阵，所以我们可以通过上式计算得到秘密随机选取3个变换后的影子，得到变换秘密，比较是否相等，若相等则证明数据完整。

本实施例公开的一种门限秘密信息完整性验证方法，通过随机提取少量的数据即可进行远程服数据的完整性验证，降低了客户端和服务器的计算量，极大的提高了验证速度和效率，节省了验证成本，而且可以交由经验丰富的第三方完成。

需要说明的是，这种对加密秘密信息进行随机抽样以验证文件完整性的成功概率非常高。例如，用户要求发现数据被损坏的概率达到99％以上，则只需要从10000个文件块中抽取460个块即可达到验证目的。所以，这种随机抽样的挑战方法非常高效。

如图5所示，本发明另一公开实施例公开了秘密信息分配、还原及完整性验证的总的流程图：

C1、秘密信息分配阶段；

C2、秘密信息还原阶段；

C3、秘密信息完整性验证阶段。

本发明公开的另一实施例提供了一种门限秘密信息分配装置，该装置包括：分割模块、秘密信息向量生成模块、随机信息串向量生成模块、系数矩阵生成模块、信息份额生成模块、加密模块和发送模块；

所述分割模块，用于将待存储文件分割成t个秘密信息：s₁,s₂,…,s_h,…,s_t，s_h为第h个秘密信息，1≤h≤t，t为预设常数；

所述秘密信息向量生成模块，用于将所述t个秘密信息分别分割成p-1个子秘密信息，得到t个秘密信息向量其中，为第h个秘密信息向量，s_hl为s_h的第f个子秘密信息，1≤f≤p-1，p为素数且p≥n-1，n为预设常数，且n为每个秘密信息生成的信息份额的个数；

所述随机信息串向量生成模块，用于将所述p-1个子秘密信息分别生成(k-1)个只包含0和1的随机信息串，得到k-1个随机信息串向量其中，r_fl为第f个子秘密信息的第个l随机信息串，1≤l≤k-1，k≤n，n为预设常数；

所述系数矩阵生成模块，用于生成系数矩阵α^u，所述系数矩阵是在当m＝u时，根据矩阵生成，其中，当i＝(j+m)modp时e_i,j取值为1，否则取值为0，其中，0≤u≤n-1，0≤m≤p-1，0≤j≤p-1，p为素数且p≥n-1，n为预设常数；

所述信息份额生成模块，用于根据所述t个秘密信息向量所述随机信息串向量以及所述系数矩阵α^u分别计算t个秘密信息的n个信息份额：其中，为第h个秘密信息的n个信息份额，y_h,g为第h个秘密信息的第g个信息份额，1≤h≤t，1≤g≤n，n为预设常数；

所述加密模块，用于分别对t个秘密信息生成的t×n个信息份额进行加密处理，生成t×n个密文；

所述发送模块，用于将所述t×n个密文通过秘密信道分别发送给n个不同的参与者。

本实施例公开的一种门限秘密信息分配装置与上述一实施例公开的一种门限秘密信息分配方法的技术原理及技术效果相同，此处不再赘述。

本发明公开的另一实施例提供了一种门限秘密信息还原装置，在已知至少任意n个密文时，还原一个秘密信息，该装置包括：第一解密模块、第一还原矩阵生成模块、第一秘密信息向量还原模块和第一秘密信息还原模块；

所述第一解密模块，用于对所述任意n个密文进行解密，得到对应的未加密的n个信息份额；

所述第一还原矩阵生成模块，用于生成一个运算矩阵作为还原矩阵，所述运算矩阵为(n-k+1)×(n+1)个(p-1)阶方阵的二元分块矩阵；

所述第一秘密信息向量还原模块，用于将所述未加密的n个信息份额组成向量组，并将所述向量组与所述还原矩阵做内积运算，还原出一个秘密信息向量；

所述第一秘密信息还原模块，用于根据所述秘密信息向量还原出子秘密信息，并将所述子秘密信息按照分割时的顺序组合成一个秘密信息。

本实施例公开的一种门限秘密信息还原装置与上述一实施例公开的一种门限秘密信息还原方法的技术原理及技术效果相同，此处不再赘述。

本发明公开的另一实施例提供了一种门限秘密信息完整性验证装置，该装置包括：挑战模块、第二解密模块、聚合模块、第三解密模块、运算矩阵生成模块、第二还原矩阵生成模块、第二秘密信息向量还原模块、第二秘密信息还原模块和判断模块；

所述挑战模块，用于向n个不同的参与者分别发送挑战请求信息，所述挑战请求信息携带有o个密文的位置坐标，其中，o为预设常数，1≤o≤n；

所述第二解密模块，用于将从n个参与者中获取的o×n个密文按相同的密文位置组成o个向量，并根据随机顺序混乱函数π_key(h)的反函数进行顺序复原，得到n个参与者中未进行混乱加密的o×n个密文；

所述聚合模块，用于将所述未进行混乱加密的o×n个密文进行聚合，得到n个聚合密文；

所述第三解密模块，用于对所述n个聚合密文进行解密，得到未加密的n个信息份额；

所述运算矩阵生成模块，用于生成一个运算矩阵作为还原矩阵，所述运算矩阵为(n-k+1)×(n+1)个(p-1)阶方阵的二元分块矩阵；

所述第二还原矩阵生成模块，用于从所述n个信息份额中多次随机选取k个信息份额，并根据多次随机选取的k个信息份额分别从所述运算矩阵中选取k阶方阵作为还原矩阵V_k×k，其中，1≤k≤n；

所述第二秘密信息向量还原模块，用于将每次随机选取的k个信息份额分别组成向量组，并根据还原矩阵V_k×k的逆矩阵每个向量组进行内积运算，得到多个秘密信息向量，其中，k阶方阵与k个信息份额组成向量组是一一对应的；

所述第二秘密信息还原模块，用于将每次得到的秘密信息向量还原出子秘密信息，并将所述子秘密信息按照分割时的顺序组合成秘密信息；

所述判断模块，用于将多次得到的秘密信息进行比较，若多次得到的秘密信息一致，则验证n个参与者中的数据是完整的。

本实施例公开的一种门限秘密信息完整性验证装置与上述一实施例公开的一种门限秘密信息完整性验证方法的技术原理及技术效果相同，此处不再赘述。

需要说明的是，本文中“第一”、“第二”和“第三”仅仅用来区分名称相同的实体或操作，并不暗示这些实体或操作之间顺序或关系。

本领域普通技术人员可以理解：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明权利要求所限定的范围。

Claims (6)

1.一种门限秘密信息分配方法，其特征在于，所述方法包括：

将待存储文件分割成t个秘密信息：s₁,s₂,…,s_h,…,s_t，s_h为第h个秘密信息，1≤h≤t，t为预设常数；

将所述t个秘密信息分别分割成p-1个子秘密信息，得到t个秘密信息向量其中，为第h个秘密信息向量，s_hl为s_h的第f个子秘密信息，1≤f≤p-1，p为素数且p≥n-1，n为预设常数，且n为每个秘密信息生成的信息份额的个数；

将所述p-1个子秘密信息分别生成(k-1)个只包含0和1的随机信息串，得到k-1个随机信息串向量其中，r_fl为第f个子秘密信息的第个l随机信息串，1≤l≤k-1，k≤n，n为预设常数；

生成系数矩阵α^u，所述系数矩阵是在当m＝u时，根据矩阵生成，其中，当i＝(j+m)mod p时e_i,j取值为1，否则取值为0，其中，0≤u≤n-1，0≤m≤p-1，0≤j≤p-1，p为素数且p≥n-1，n为预设常数；

根据所述t个秘密信息向量所述随机信息串向量以及所述系数矩阵α^u分别计算t个秘密信息的n个信息份额：其中，为第h个秘密信息的n个信息份额，y_h,g为第h个秘密信息的第g个信息份额，1≤h≤t，1≤g≤n，n为预设常数；

分别对t个秘密信息生成的t×n个信息份额进行加密处理，生成t×n个密文；其中，所述分别对t个秘密信息生成的t×n个信息份额进行加密处理，生成t×n个密文，包括：

生成随机矩阵β^u和一个伪随机函数密钥k_prf，所述伪随机函数密钥k_prf由预先设置的算法生成，所述随机矩阵是在当m＝u时，根据矩阵生成，其中，当i＝(p-u)mod p或i＝(j+m)mod p时e_i,j取值为1，否则取值为0，其中，0≤m≤p-1，0≤j≤p-1；

根据所述t×n信息份额的列标与所述随机矩阵β^u生成n个随机矩阵β_u，并根据所述t×n信息份额的行标与所述伪随机函数密钥k_prf生成伪随机函数

根据所述随机矩阵β_u与所述伪随机函数分别对t个秘密信息生成的t×n个信息份额进行加密处理，生成对应的t×n个密文其中，σ_h,g为与第h个秘密信息的第g个信息份额对应的密文，1≤h≤t，公式为：

将所述t×n个密文通过秘密信道分别发送给n个不同的参与者。

2.根据权利要求1所述的方法，其特征在于，在所述将所述t×n个密文通过秘密信道分别发送给n个不同的参与者之前，所述方法还包括：

对所述t×n个密文进行混乱加密处理，包括：

生成随机顺序混乱函数密钥key；

根据所述随机顺序混乱函数密钥key和所述t×n个密文的行标生成t个随机顺序混乱函数π_key(h)；

根据所述t个随机顺序混乱函数π_key(h)对行标相同的密文的行标顺序分别进行混乱加密，生成对应的混乱密文，公式为：

其中，1≤h≤t，h'＝π_key(h)，为混合加密生成的混乱密文。

3.根据权利要求1或2所述的方法，其特征在于，将每个秘密信息平均分割成p-1个子秘密信息。

4.一种门限秘密信息还原方法，其特征在于，在已知权利要求1中所述t×n个密文中的任意n个密文时，还原一个秘密信息，所述方法包括：

对所述任意n个密文进行解密，得到对应的未加密的n个信息份额；

生成一个运算矩阵作为还原矩阵，所述运算矩阵为(n-k+1)×(n+1)个(p-1)阶方阵的二元分块矩阵；

将所述未加密的n个信息份额组成向量组，并将所述向量组与所述还原矩阵做内积运算，还原出一个秘密信息向量；

根据所述秘密信息向量还原出子秘密信息，并将所述子秘密信息按照分割时的顺序组合成一个秘密信息；

在已知任意n个行下标相同的混乱密文时，对所述任意n个行下标相同的混乱密文进行顺序复原，得到对应的未进行混乱加密的n个密文，公式为：

其中，1≤h≤t，为未进行混乱加密的密文，为随机顺序混乱函数的反函数。

5.一种门限秘密信息分配装置，其特征在于，所述装置包括：

分割模块，用于将待存储文件分割成t个秘密信息：s₁,s₂,…,s_h,…,s_t，s_h为第h个秘密信息，1≤h≤t，t为预设常数；

秘密信息向量生成模块，用于将所述t个秘密信息分别分割成p-1个子秘密信息，得到t个秘密信息向量其中，为第h个秘密信息向量，s_hl为s_h的第f个子秘密信息，1≤f≤p-1，p为素数且p≥n-1，n为预设常数，且n为每个秘密信息生成的信息份额的个数；

随机信息串向量生成模块，用于将所述p-1个子秘密信息分别生成(k-1)个只包含0和1的随机信息串，得到k-1个随机信息串向量其中，r_fl为第f个子秘密信息的第个l随机信息串，1≤l≤k-1，k≤n，n为预设常数；

系数矩阵生成模块，用于生成系数矩阵α^u，所述系数矩阵是在当m＝u时，根据矩阵生成，其中，当时e_i,j取值为1，否则取值为0，其中，0≤u≤n-1，0≤m≤p-1，0≤j≤p-1，p为素数且p≥n-1，n为预设常数；

信息份额生成模块，用于根据所述t个秘密信息向量所述随机信息串向量以及所述系数矩阵α^u分别计算t个秘密信息的n个信息份额：其中，为第h个秘密信息的n个信息份额，y_h,g为第h个秘密信息的第g个信息份额，1≤h≤t，1≤g≤n，n为预设常数；

加密模块，用于分别对t个秘密信息生成的t×n个信息份额进行加密处理，生成t×n个密文；其中，所述加密模块具体用于：

生成随机矩阵β^u和一个伪随机函数密钥k_prf，所述伪随机函数密钥k_prf由预先设置的算法生成，所述随机矩阵是在当m＝u时，根据矩阵生成，其中，当i＝(p-u)mod p或i＝(j+m)mod p时e_i,j取值为1，否则取值为0，其中，0≤m≤p-1，0≤j≤p-1；

根据所述t×n信息份额的列标与所述随机矩阵β^u生成n个随机矩阵β_u，并根据所述t×n信息份额的行标与所述伪随机函数密钥k_prf生成伪随机函数

根据所述随机矩阵β_u与所述伪随机函数分别对t个秘密信息生成的t×n个信息份额进行加密处理，生成对应的t×n个密文其中，σ_h,g为与第h个秘密信息的第g个信息份额对应的密文，1≤h≤t，公式为：

发送模块，用于将所述t×n个密文通过秘密信道分别发送给n个不同的参与者。

6.一种门限秘密信息还原装置，其特征在于，在已知至少权利要求5中所述t×n个密文中的任意n个密文时，还原一个秘密信息，所述装置包括：

第一解密模块，用于对所述任意n个密文进行解密，得到对应的未加密的n个信息份额；

第一还原矩阵生成模块，用于生成一个运算矩阵作为还原矩阵，所述运算矩阵为(n-k+1)×(n+1)个(p-1)阶方阵的二元分块矩阵；

第一秘密信息向量还原模块，用于将所述未加密的n个信息份额组成向量组，并将所述向量组与所述还原矩阵做内积运算，还原出一个秘密信息向量；

第一秘密信息还原模块，用于根据所述秘密信息向量还原出子秘密信息，并将所述子秘密信息按照分割时的顺序组合成一个秘密信息；

第二秘密信息还原模块，用于在已知任意n个行下标相同的混乱密文时，对所述任意n个行下标相同的混乱密文进行顺序复原，得到对应的未进行混乱加密的n个密文，公式为：

其中，1≤h≤t，为未进行混乱加密的密文，为随机顺序混乱函数的反函数。