CN112631552A - 基于不均匀随机源的随机数生成、再生方法及电子装置 - Google Patents

Abstract

本发明公开了一种基于不均匀随机源的随机数生成、再生方法及电子装置，利用门限抽取技术，集合

中任意(τ+1)个成员均可依据随机源特征，运行Gen算法生成均匀的随机字符串cR和公开的辅助字符串cP；任意(τ+1)个成员均可依据随机源特征借助cP运行Rep算法恢复所抽取的随机串cR；而少于(τ+1)个成员则无法生成和恢复所抽取的随机串cR。本发明恢复的随机串cR具有极高准确性，防止恶意篡改cP影响抽取的随机串cR，且随机串cR能够均匀分布。

Description

基于不均匀随机源的随机数生成、再生方法及电子装置

技术领域

本发明属于信息安全技术领域，具体涉及一种基于不均匀随机源的随机数生成、再生方法及电子装置。

背景技术

随着计算机技术和信息安全技术的推广，企业界信息安全意识的逐步加强。密码学对于保护信息安全起着越来越重要的作用。

随机性对于许多密码***和协议的安全性都是至关重要的。密码学中使用的随机密钥通常很长，不易于管理(生成，存储，记忆等)。生物数据(指纹，声音等)不会被遗忘或丢失并且很难伪造的事实使它们更加安全。这些生物数据具有随机性，但是不够均匀，且每次读取都会带有一定的噪声，不能直接用于密码***。如何利用这生物数据获取均匀随机的字符串是模糊抽取技术关注的内容。获取的随机均匀字符串可以直接用于密码***，可以用于身份认证，加密存储，访问控制，数字钱包等等。

模糊抽取器FE由一对算法(Gen；Rep)组成。它的工作原理如下:生成算法Gen将某个源的读取w作为输入，并输出一个公开的辅助串P和一个提取的近乎均匀的串R；再现算法Rep将同一源的公开辅助串P和同一源的再次读取w’作为输入(w’是w的噪声版本,如指纹的两次读取)。如果w和w’足够接近，它会重构出R。模糊抽取器的安全性要求R在统计上(或计算上)与均匀抽取器是不可区分的，甚至是给定公共帮助字符串P为条件。使用模糊抽取器FE，可以调用Gen从噪声源生成随机密钥R和公共帮助字符串P，然后存储帮助字符串P(公共)，并在加密应用程序中使用密钥R。请注意，用户不必存储R。每当再次需要键R时，他只需重新读取(噪声)源并调用Rep在P的帮助下重新生成R。

目前存在的FE多只考虑单用户的情形,用户Alice使用自己的指纹抽取一个或者多个密钥用于加密.但是对于用户是一个集合的情况鲜有讨论.比如对于公司一个部门,有n个人,想要借助一个FE来抽取密钥，只有集合中一部分人联合一起可以运行Gen和Rep来生成和恢复正确的密钥，这在门限密码中十分重要。在门限密码中，例如分布式密钥生成，门限签名和门限公钥加密等，只要多数参与者是诚实的，密码***可以继续运行，而敌手破坏少数参与者不会破坏整个***的安全性。通常，在一些门限密码***中，各参与者需要正确安全地存储密钥片段，但这在实践中确实很难。

发明内容

基于上述问题，本发明提出了一种基于不均匀随机源的随机数生成、再生方法及电子装置，利用门限抽取技术，达到只有大于门限个参与者才能运行生成算法或再生算法以抽取或重现一个随机串的目的，从而使随机数可以借助随机源再生，无需存储密钥片段。

本发明的技术内容包括：

一种基于不均匀随机源的随机数生成方法，其步骤包括：

1)采集群组P中各成员i的随机源特征w_i，并生成私钥csk；

2)依据公共参数pp、私钥csk、各随机源特征w_i及门限值τ，每一成员i获得个人辅助字符串IP_i；

3)采集群组S中的各成员j的随机源特征w′_j，并根据公共参数pp、随机源特征w′_j及个人辅助字符串IP_j，其中S是P的一个子集，|S|＞τ，τ为门限值，随机源特征w′_j与随机源特征w_j之间的差异在设定范围内，随机源特征w_j为各成员j在步骤1所获取的相应随机源特征w_i，个人辅助字符串IP_j为各成员j在步骤2所获取的相应个人辅助字符串IP_i，生成共用辅助串cP与随机字符串cR。

进一步地，随机源包括：物理上不可克隆函数、量子信息或生物信息。

进一步地，生物信息包括：指纹，虹膜或声音。

进一步地，通过以下步骤生成公共参数pp：

1)给定安全参数λ，选取一哈希函数H；

2)选取一个同态的平均情况下的强抽取器Ext，生成随机种子k；

3)利用一个有限素域生成算法与安全参数λ，生成大素数p、群G及群G的生成元g；

4)获取公共参数pp＝(k，p，g，G，H)。

进一步地，通过以下策略生成私钥csk：

1)从群G中随机选取私钥csk；

2)从Z_p[x]随机选取τ阶多项式

使其满足csk＝f(0)，其中

为多项式f(x)的系数。

进一步地，通过以下步骤获得个人辅助字符串IP_i：

1)对于群组P中各成员i及随机源特征w_i，计算安全草图s_i＝SS.Gen(w_i)，密钥sk_i＝Ext(w_i，k),私钥片段csk_i＝f(i)，其中SS.Gen为同态的安全草图算法SS的一子算法，Ext为同态平均情况下的强抽取器，随机种子k为公共参数pp中的一参数，f(·)为生成私钥csk的τ阶多项式；

2)计算密文ct_i＝SKE.Enc(pp，sk_i，csk_i)，其中SKE.Enc为密钥移动安全的私钥加密方案SKE的一子算法；

3)计算哈希值h_i＝H(sk_i，s_i，ct_i0，其中哈希函数H为公共参数pp中的一参数，得到个人辅助字符串IP_i＝(s_i，ct_i，h_i0。

进一步地，通过以下步骤生成共用辅助串cP与随机字符串cR：

1)对于群组S中各成员j，依据随机源特征w′_j与个人辅助字符串IP_j＝(s_j，ct_j，h_j)，计算指纹恢复值

与密钥恢复值

其中安全草图s_j＝SS.Gen(w_j)，SS.Gen为同态的安全草图算法SS的一子算法，密文ct_j＝SKE.Enc(pp，sk_j，csk_j)，SKE.Enc为密钥移动安全的私钥加密方案SKE的一子算法，密钥sk_j＝Ext(w_j，k),Ext为同态平均情况下的强抽取器，随机种子k为公共参数pp中的一参数，私钥片段csk_j＝f(j)，f(·)为生成私钥csk的τ阶多项式，哈希值h_j＝H(sk_j，s_j，ct_j)，哈希函数H为公共参数pp中的一参数，SS.Rec为同态的安全草图算法SS的一子算法；

2)若哈希值

成立，则计算私钥片段恢复值

其中SKE.Dec为密钥移动安全的私钥加密方案SKE的一子算法；

3)依据私钥片段恢复值

通过拉格朗日插值法恢复私钥csk；

4)从群G中随机选取x，计算指数X＝g^x，其中群G与生成元g分为公共参数pp中的一参数，得到随机字符串cR：＝X^csk，并计算h＝H(csk，X)，并令共用辅助串cP：＝(X，h)，得到共用辅助串cP与随机字符串cR。

一种基于不均匀随机源的随机数再生方法，其步骤包括：

1)采集群组S′中的各成员l的随机源特征w′_l，获取各成员l的个人辅助字符串IP_l，其中群组S′是群组P的一个子集，|S′|＞τ，τ为门限值，随机源特征w′_l与随机源特征w_l之间的差异在设定范围内，随机源特征w_l与个人辅助字符串IP_l分为各成员l通过上述方法获取的相应随机源特征w_i与相应个人辅助字符串IP_i；

2)根据公共参数pp、随机源特征w′_l、个人辅助字符串IP_l与与通过上述方法获取的共用辅助串cP，再生随机字符串cR。

进一步地，通过以下步骤再生随机字符串cR：

1)对于集合S′中各成员l，依据随机源特征w′_l与个人辅助字符串IP_l＝(s_l，ct_l，h_l)，计算指纹恢复值

与密钥恢复值

其中安全草图s_l＝SS.Gen(w_l)，SS.Gen为同态的安全草图算法SS的一子算法，密文ct_l＝SKE.Enc(pp，sk_l，csk_l)，SKE.Enc为密钥移动安全的私钥加密方案SKE的一子算法，密钥sk_l＝Ext(w_l，k),Ext为同态平均情况下的强抽取器，随机种子k为公共参数pp中的一参数，私钥片段csk_l＝f(l)，f(·)为生成私钥csk的τ阶多项式，哈希值h_l＝H(sk_l，s_l，ct_l)，哈希函数H为公共参数pp中的一参数，SS.Rec为同态的安全草图算法SS的一子算法；

2)若哈希值

成立，则计算私钥片段恢复值

其中SKE.Dec为密钥移动安全的私钥加密方案SKE的一子算法；

3)依据私钥片段恢复值

通过拉格朗日插值法恢复私钥csk′；

4)利用共用辅助串cP：＝(X，h)，计算哈希值h′＝H(csk′，X)，其中X＝g^x，x为从群G中选取的随机数，群G与生成元g分为公共参数pp中的一参数，哈希值h＝H(csk，X)；

5)若h＝h′，则再生随机字符串cR：＝X^csk′。

一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行上述所述的方法。

一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机以执行上述所述的方法。

与现有技术相比，本发明具有以下特性：

1.正确性：任意τ个成员记为S，运行Gen生成(cP,cR)，S利用cP运行Rep后所得的随机串为cR’,则cR不等于cR’的概率是可忽略的；

2.门限性：只有大于τ个成员才能生成合法的cP,cR，少于等于τ个成员不能获取合法的辅助串和随机串；

3.完备性：假设集合S1(|S1|>τ)运行Gen生成(cP,cR)，对任意一个集合S2，不等于S1，只要|S2|>τ，利用cP，S2可以恢复出对应于cP的随机串cR；

4.不一致检测性：1)随机源特征的不一致性，集合内的成员在Gen/Rep使用与注册时不一样的随机源，即汉明距离dist(w,w’)>t；2)不一致的iP和cP。对于错误或者被修改过的辅助串能够检测出来，以防止恶意篡改影响抽取的随机串cR；

5.可重复使用性：使用同一随机源抽取多次，cR依然近乎均匀分布。

6.噪声容忍性。通常同一随机源的两次读取w′_l和w_l并不完全相同，但是二者之间的汉明距离足够小，即汉明距离dist(w，w′)≤t。本发明能够容忍一定的噪声，利用w′_l可以正确运行生成算法和再生算法。

附图说明

图1Gen算法和Rep算法运行生成随机串和恢复随机串的示意图。

具体实施方式

为了使本发明的目的、技术方案更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。

本发明的基于不均匀随机源(如指纹,虹膜)的随机数生成、再生方法，如图1所示，除了应用Gen和Rep算法之外，还有一个Init算法用于生成***所需的公共参数，和一个Register算法，用于成员注册指纹，获取部分***状态，称为个人辅助串iP(即群成员的身份)，τ个成员利用指纹和辅助串可以运行Gen生成的辅助串称为公共辅助串cP和抽取出的随机串cR。同样地，τ个成员利用指纹、个人辅助串iP和公共辅助串cP可以运行Rep以再生随机串cR。这里iP和cP均可以公开。

以不均匀随机源是指纹为例，在门限模糊抽取技术(ThFE)的定义中，

是指纹的度量空间，m是分布W在

上的最小熵，

是所抽取的随机字符串所在的集合，t是两个指纹之间允许的最大距离。对于一个集合S，令指纹集合w_S＝{w_i：i∈S}，个人辅助串集合iP_S＝{iP_i：i∈S}。

本实施例利用一个同态的平均情况下的

-强抽取器Ext，一个同态的

-secure sketch(安全草图)SS,其包含两个子算法SS.Gen和SS.Rec，一个密钥移动安全的私钥加密方案SKE，

为一个有限素域生成算法(DDH计算假设成立)，下为具体的

构造。

1.Init(1^λ)→pp：输入安全参数，选取一个hash函数

从Ext的种子集合中随机选取种子k,根据安全参数运行

算法获得参数(p，g，G),输出公共参数

2.

输入公共参数，所有群成员的指纹

门限值τ，从Z_p中随机选取私钥csk，从Z_p[x]随机选取τ阶多项式

使得f(0)＝csk，其中a_l为多项式f(x)的系数。对于每一个

计算其安全草图s_i＝SS.Gen(w_i),密钥sk_i＝Ext(w_i，k),利用f(x)计算一个私钥片段csk_i＝f(i),计算密文ct_i←SKE.Enc(pp，sk_i，csk_i),哈希值

计算

的个人辅助串iP_i：＝(s_i，ct_i，h_i)，最后输出所有成员的个人辅助串

3.Gen(pp，w_S，iP_S)→(cP，cR)：输入公共参数，集合S的指纹w_S，个人辅助字符串iP_S，令iP_i：＝(s_i，ct_i，h_i),计算指纹恢复值

密钥恢复值

验证

是否成立。如果S中有τ+1个成员验证通过，则可以正确恢复私钥片段

再利用拉格朗日插值恢复私钥csk,并选取随机数

计算其指数X＝g^x,则随机串为cR：＝X^csk,计算哈希值

令辅助串cP：＝(X，h).返回(cP，cR).

4.Rep(pp，w_S，iP_S，cP)→cR：输入公共参数，集合S的指纹w_S，个人辅助字符串iP_S，类似于Gen算法，首先恢复csk，验证

是否成立，若是，则输出cR：＝X^csk。

下面给出一个算法实例,并给出实验数据验证本发明的实用性.

本发明使用基于BCH线性纠错码来构造基于syndrome的安全草图SS。每个指纹w由一个540比特的字符串模拟，并分为27个20比特的块分别计算安全草图，最终得到160比特的草图。这种构造最多可以容忍15比特错误(每个块可以容忍3个比特的错误)。此外，

生成的素数p为3072比特，私钥加密SKE也在群Z_p中执行。

定义为Ext(x，k)：＝x₀+x₁k₁+x₂k₂,其中k_i从Z_p随机选取,利用Ext,每一个指纹被映射到Z_p.实验运行环境(AMDPRO A10-8770 R7,10COMPUTE CORES 4C+6G,3.5GHz),编程语言为Go.

表1本发明的运行时间

在本实验中，所抽取的字符串大小为：个人辅助字符串iP_i为6560比特；共用辅助串cP为3328比特；抽取的随机字符串cR为3072比特。对于不同的门限值，ThFE***算法运行时间见表1。对于一个有61个成员的群组，门限值20，Register算法总共花费约4秒为所有群成员计算辅助字符串。Gen算法和Rep算法需要花费约0.8秒来提取和再现随机字符串。由此可见,本发明在实际应用中是实用的，而不仅仅是理论设计。时间复杂度和空间复杂度都是可以接受的。

本发明可以应用于联合访问控制，例如基于区块链给出本发明用于联合访问控制。

联合访问控制允许集合

中一定数量的成员联合授予某数据文件访问权。我们利用门限模糊抽取技术给出基于区块链的联合访问控制机制。假设集合

将数据文件D存储在区块链上，而Bob(不在集合内)希望访问数据D。为简单起见，假设该集合有一个共用账号(公钥/私钥对)用于创建和签名交易。Bob在链上提交访问请求，希望获得D的访问权限。集合

联合运行门限模糊抽取器，抽取一个随机字符串cR作为密钥，利用认证的对称加密方案AEnc对D进行加密。然后，

将D的所有辅助字符串(iP,cP)和密文存储在区块链上。当Bob请求访问时，τ+1个集合成员可以通过回复密钥cR联合授予访问权限。由于密钥的请求和传递过程是在区块链上进行的，可能会出现争议，因为该集合或Bob可能会欺诈对方。我们可以借助智能合约，采用零知识证明和承诺方案保证双方的消息可验证。所有从集合发出的消息都通过智能合同以零知识的形式进行验证，然后记录在链上。

提供以上实施例仅仅是为了描述本发明的目的，而并非要限制本发明的范围。本发明的范围由所附权利要求限定。不脱离本发明的精神和原理而做出的各种等同替换和修改，均应涵盖在本发明的范围之内。

Claims (10)

1.一种基于不均匀随机源的随机数生成方法，其步骤包括：

1)采集群组P中各成员i的随机源特征w_i，并生成私钥csk；

2)依据公共参数pp、私钥csk、各随机源特征w_i及门限值τ，每一成员i获得个人辅助字符串IP_i；

3)采集群组S中的各成员j的随机源特征w′_j，并根据公共参数pp、随机源特征w′_j及个人辅助字符串IP_j，其中S是P的一个子集，|S|＞τ，τ为门限值，随机源特征w′_j与随机源特征w_j之间的差异在设定范围内，随机源特征w_j为各成员j在步骤1所获取的相应随机源特征w_i，个人辅助字符串IP_j为各成员j在步骤2所获取的相应个人辅助字符串IP_i，生成共用辅助串cP与随机字符串cR。

2.如权利要求1所述的方法，其特征在于，随机源包括：物理上不可克隆函数、量子信息或生物信息；生物信息包括：指纹，虹膜或声音。

3.如权利要求1所述的方法，其特征在于，通过以下步骤生成公共参数pp：

1)给定安全参数λ，选取一哈希函数H；

2)选取一个同态的平均情况下的强抽取器Ext，生成随机种子k；

3)利用一个有限素域生成算法与安全参数λ，生成大素数p、群G及群G的生成元g；

4)获取公共参数pp＝(k，p，g，G，H)。

4.如权利要求3所述的方法，其特征在于，通过以下策略生成私钥csk：

1)从群G中随机选取私钥csk；

2)从Z_p[x]随机选取τ阶多项式

使其满足csk＝f(0)，其中a_l为多项式f(x)的系数。

5.如权利要求1所述的方法，其特征在于，通过以下步骤获得个人辅助字符串IP_i：

1)对于群组P中各成员i及随机源特征w_i，计算安全草图s_i＝SS.Gen(w_i)，密钥sk_i＝Ext(w_i，k)，私钥片段csk_i＝f(i)，其中SS.Gen为同态的安全草图算法SS的一子算法，Ext为同态平均情况下的强抽取器，随机种子k为公共参数pp中的一参数，f(·)为生成私钥csk的τ阶多项式；

2)计算密文ct_i＝SKE.Enc(pp，sk_i，csk_i)，其中SKE.Enc为密钥移动安全的私钥加密方案SKE的一子算法；

3)计算哈希值h_i＝H(sk_i，s_i，ct_i)，其中哈希函数H为公共参数pp中的一参数，得到个人辅助字符串IP_i＝(s_i，ct_i，h_i)。

6.如权利要求1所述的方法，其特征在于，通过以下步骤生成共用辅助串cP与随机字符串cR：

1)对于群组S中各成员j，依据随机源特征w′_j与个人辅助字符串IP_j＝(s_j，ct_j，h_j)，计算指纹恢复值

与密钥恢复值

其中安全草图s_j＝SS.Gen(w_j)，SS.Gen为同态的安全草图算法SS的一子算法，密文ct_j＝SKE.Enc(pp，sk_j，csk_j)，SKE.Enc为密钥移动安全的私钥加密方案SKE的一子算法，密钥sk_j＝Ext(w_j，k)，Ext为同态平均情况下的强抽取器，随机种子k为公共参数pp中的一参数，私钥片段csk_j＝f(j)，f(·)为生成私钥csk的τ阶多项式，哈希值h_j＝H(sk_j，s_j，ct_j)，哈希函数H为公共参数pp中的一参数，SS.Rec为同态的安全草图算法SS的一子算法；

2)若哈希值

成立，则计算私钥片段恢复值

其中SKE.Dec为密钥移动安全的私钥加密方案SKE的一子算法；

3)依据私钥片段恢复值

通过拉格朗日插值法恢复私钥csk；

4)从群G中随机选取x，计算指数X＝g^x，其中群G与生成元g分为公共参数pp中的一参数，得到随机字符串cR：＝X^csk，并计算h＝H(csk，X)，并令共用辅助串cP：＝(X，h)，得到共用辅助串cP与随机字符串cR。

7.一种基于不均匀随机源的随机数再生方法，其步骤包括：

1)采集群组S′中的各成员l的随机源特征w′_l，获取各成员l的个人辅助字符串IP_l，其中群组S′是群组P的一个子集，|S′|＞τ，τ为门限值，随机源特征w′_l与随机源特征w_l之间的差异在设定范围内，随机源特征w_l与个人辅助字符串IP_l分为各成员l通过权利要求1-6中任一方法获取的相应随机源特征w_i与相应个人辅助字符串IP_i；

2)根据公共参数pp、随机源特征w′_l、个人辅助字符串IP_l与与通过权利要求1-6中任一方法获取的共用辅助串cP，再生随机字符串cR。

8.如权利要求7所述的方法，其特征在于，通过以下步骤再生随机字符串cR：

1)对于集合S′中各成员l，依据随机源特征w′_l与个人辅助字符串IP_l＝(s_l，ct_l，h_l)，计算指纹恢复值

与密钥恢复值

其中安全草图s_l＝SS.Gen(w_l)，SS.Gen为同态的安全草图算法SS的一子算法，密文ct_l＝SKE.Enc(pp，sk_l，csk_l)，SKE.Enc为密钥移动安全的私钥加密方案SKE的一子算法，密钥sk_l＝Ext(w_l，k)，Ext为同态平均情况下的强抽取器，随机种子k为公共参数pp中的一参数，私钥片段csk_l＝f(l)，f(·)为生成私钥csk的τ阶多项式，哈希值h_l＝H(sk_l，s_l，ct_l)，哈希函数H为公共参数pp中的一参数，SS.Rec为同态的安全草图算法SS的一子算法；

2)若哈希值

成立，则计算私钥片段恢复值

其中SKE.Dec为密钥移动安全的私钥加密方案SKE的一子算法；

3)依据私钥片段恢复值

通过拉格朗日插值法恢复私钥csk′；

4)利用共用辅助串cP：＝(X，h)，计算哈希值h′＝H(csk′，X)，其中X＝g^x，x为从群G中选取的随机数，群G与生成元g分为公共参数pp中的一参数，哈希值h＝H(csk，X)；

5)若h＝h′，则再生随机字符串cR：＝X^csk′。

9.一种存储介质，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行权利要求1-8中任一所述方法。

10.一种电子装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行如权利要求1-8中任一所述方法。

Images