门限秘密信息分配、还原装置及方法

专利名称：门限秘密信息分配、还原装置及方法
技术领域：
本发明涉及信息安全技术领域，特别涉及一种门限秘密信息分配、还原装置及方 法。
背景技术：
秘密共享是信息安全和数据保密的重要手段，它在重要信息和秘密数据的安全保 存、传输及合法利用中起着关键作用。(k，n)门限秘密共享概念由Shamir[2]和Blakley[3] 提出，其基本思想是，一个秘密被n个人共享，且满足①只有k个或更多的参与者联合可以 重构该秘密；②任意少于k个参与者不能得到该秘密的任何信息。满足①、②的方案被称为 完美(Perfect)的秘密共享方案。除此外，如果再满足③每个参与者所持有份额的尺寸和 原秘密一样大，该方案称为理想(Ideal)的秘密共享方案。Shamir的方案就是一个理想的 秘密共享方案。(k，n)门限密码共享方案中，可以取任何消息(高考卷子、遗嘱、军事机密或金融 系统的密码)，并把它分成n部分，每部分叫做原来密码的“影子”或共享(shares)，这样它 们中的任何k个共享(shares)能够用来重构消息，而任何少于k个共享(shares)的条件 下不能得到任何关于该秘密的信息。实现(k，n)门限秘密共享方案的方法除了 Shamir和Blakey的方案外，还有基于 中国剩余定理的Asmuth-Bloom法[4]、使用矩阵乘法的Karnin-Green-Hellman方法[5]，基于 多维空间球的几何方案[6]等。但是，这些方案多是基于珈罗瓦域或素数域上的运算完成的， 运算负载相对比较大，也限制了秘密分享方案在高性能的存储领域，低成本的智能卡、RFID 领域的应用，比如文献[7]的实验数据表明编码8K字节的数据，Shamir秘密共享(GF(216°) 中)，方案为(t = 6，n= 10)编码速度要比AES加密编码慢近70倍以上，进而作者明确指 出因为高的计算负担，Shamir的秘密分享方案在普通数据的存储领域几乎没用。所以更高 性能的秘密分享方案仍然是学术届和产业届的研究和应用的一个重点。文献[8]给出一个高效的用X0R就实现秘密分享的方案。但它不是理想的秘密共 享方案，而且每个参与者的份额尺寸是原秘密的组合数倍。最近Kurihara等在文献[1]给 出一个优秀的工作，只用X0R运算实现(k，n)阈值秘密共享方案，而且是完美的和理想的。 他们声称在门限(3，11)下，4. 5M字节数据的分享和还原速度比Shamir的方案(GF (264)中) 快900倍。如果没有特别说明，以下内容中做如下符号约定十、X0R都表示比特异或；|x|表 示x的长度；P是一个素数，P ^ n，？表示要被共享的秘密，它将按长度被等分成p-1份，s0, Sl，s2,…Sp_2 ；d表示每小份秘密Si的长度，即d =- 1)；群(G,十)=({0，1广，十)，即元 素为长度为d(bit)的二进制串，所以，SiEGjeG^1 ；所有变量下标的操作 都在有限域GF(p)中进行。下面简单介绍一下Kurihara等的(k，n)秘密共享方案，该方案的份额分发 (Distribution)过程如下
(1)首先找到一个素数ρ≥彡n，比如η = 5，ρ = 5 ;n = 8，ρ = 11。(2)将秘密？按长度等分成ρ-Ι份sQ，S1, s2，"·8ρ_2，记每份的长度为d(bit)，如果 秘密的长度不是P-I的整数倍，可以填补0。(3)生成(k-1) X (P-I)+k-2 个 d(bit)的随机串rij0 e {0，l}d(0 ≤ i ≤ p-2)和巧,」e {0，l}d(0 ≤ i ≤ p-1,1 ≤ j ≤ k-2)(4)将(k-1) X (p-1)+k-2 个 d(bit)的随机串 ^jj 连同 p_l 个 d(bit)的 Si 放入 一个pXp的方阵中(如图1所示)，其中随机串巧,」(0≤j≤k-2)依次放到前(k-Ι)列， 最后把P-I份Stl，S1, S2,…sp_2放入最后一列，即第P列。此外再假设所有在(k-Ι)列和P 列中间的列为虚拟的0列(即每个元素都是0，实际上不需要存在，只是虚拟占位列而已)。 需要注意的是这里的第一列的最后一行，以及第P列的最后一行也是虚拟的0元素。(5)沿着从0到n-1的η种不同的斜率直线，所过结点的异或和得到η个分享份额 (0 ≤ 1 ≤ n-1)。每个份额也是由P-I个d (bit)长小部分组成，每个小部分都是沿着P-I
条同样斜率直线依次计算出来的。注意这里的下标计算是在有限域GF(p)中进行的，所以 图1中的b，c部分中的阵列都是同样的a部分阵列垒起来的。(6)将这η个共享份额6 (0彡1彡n-1)通过秘密信道送给η个参与者，完成秘密 分发的过程。由以上过程可以看出，整个分享份额产生过程中，只需要XOR运算就可以完成，所 以速度相当快。但经过我们的分析和证明，该方案中使用了不必要的随机数，最后一行的k-2个d 比特的随机数(图1中的IY1I^2)是多余的，它们只会导致对随机数资源的浪费和不必要计 算开销，而不会增加任何安全性。现有技术的参考文献如下[1]Kurihara, J. , Kiyomoto, S. , Fukushima, K. , and Tanaka, Τ. :ANew(k, η)-Threshold Secret Sharing Scheme and Its Extension. InProceedings of the Ilth international Conference on information Security(Taipei, Taiwan)(2008)；[2]Shamir, A. :How to share a secret. Commun. ACM 22 (11)，612-613 (1979)；[3]Blakley,G. R. Safeguarding cryptographic keys. In :Proc. AFIPS,vol. 48, 313-317(1979)；[4]Asmuth C. Bloom J. :A Modular Approach to Key Safeguarding. IEEE Trans. Information Theory,29 (2),208-210 (1983)；[5]Karnin E D.Green J W. Hellman M Ε. :0n Sharing Secret SystemIEEE Trans. Information Theory,29 (1),35-41(1983)；[6]Τ. C. Wu and W. H. He :A geometric approach for sharing secrets. Computer and Security 14 (2)，135-145. (1995)；[7]Subbiah,A. and Blough,D. M. :An approach for fault tolerantand secure data storage in collaborative work environments. InProceedings of the 2005 ACM Workshop on Storage Security andSurvivability. (2005)；[8]M. Ito, A. Saito, and T. Nishizeki. :Secret sharing schemerealizing general access structure. In Proceedings of the IEEE GlobalCommunicationConference(1987)；[9]Gui-Liang Feng, Robert H. Deng, Feng Bao, Jia-Chen Shen :New Efficient MDS Array Codes for RAID Part I :Reed-SoIomon-LikeCodes for Tolerating Three Disk Failures, IEEE Transactions onComputers,54(9),1071-1080. (2005)。

发明内容
(一)要解决的技术问题本发明要解决的技术问题是如何在进行秘密信息分配时减少产生的随机数串， 从而去掉不必要的随机数资源的浪费和减少秘密信息分配装置在产生η个信息份额时的 计算开销，提高分配效率。( 二 )技术方案一种门限秘密信息分配装置，用于将秘密信息 分为η个信息份额，包括秘密信息分割装置，用于将所述秘密信息 分割成ρ-1份:s0，S1, S2,…，sp_2，ρ为 大于或等于n-1的素数；随机信息串产生装置，用于产生(k_l) X (ρ-1)个随机信息串&」，其中， O≤ i≤ p-2，O≤ j≤ k-2，k≤ η ；分配矩阵产生装置，用于产生一个分配矩阵Hkxn，所述Hkxn为kXn个块的二元分 块矩阵，每块为(Ρ-1) X (P-I)的矩阵；信息份额产生装置，用于根据所述Stl，S1, s2, "I^ri,彳和礼^产生η个信息份 额孓忑，52,· · 并将这η个信息份额通过秘密信道发送给η个不同的参与者。一种门限秘密信息还原装置，用于当至少同时已知上述k个信息份额时，还原所 述秘密信息？,包括还原矩阵产生装置，用于根据已知的k个信息份额(泛,^2，…，& )，产生kX k的 二元还原矩阵Hkxk，O ( tl，t2，· · · tk ( n-1，所述Hkxk由Hkxn中具有与k个信息份额下标 tl，t2，. . . tk相同块列下标的k个块列组成，其中每一块列包含ρ-1列；信息份额还原装置，用于根据所述k个信息份额和Hkxk的逆矩阵还原Stl，S15S2,…
Sp-2 ‘秘密信息组合装置，用于将所述S0, S1, S2,…sp_2按分割时的顺序组合成秘密信息 S。一种门限秘密信息分配方法，所述方法将一秘密信息？分成η个信息份额，包括以 下步骤SlOl 将所述秘密信息？分割成ρ-1份sQ，S1, S2,…sp_2，ρ为大于或等于n-1的 素数；S102 产生(k-1) X (ρ-1)个随机信息串巧」，其中，0≤ i≤ p_2，0≤ j≤ k-2, k ≤ η ；S103 产生一个kXn的分配矩阵Hkxn，所述hkXn为kXn个块的分块矩阵，每块为 (ρ-1) X (ρ-1)的矩阵；3104:对所述％，81，82，…8ρ_2、α,」和 Hkxn 产生 η 个信息份额斤。，。，···，I —)，
并将这η个信息份额通过秘密信道发送给η个不同的参与者。
其中，所述步骤SlOl中将所述秘密信息？平均分割成P-I份。其中，所述随机信息串rq为与？分割后的每一份长度相同的包含0和1的随机其中，所述步骤S103中二元分配矩阵hkxn产生方式为定义循环置换矩阵巧=KtXxp，当a = (b+u)modp时巧取值为1，否则为0，其中 0彡u彡ρ-1，0彡b彡p-l，e取值 或1 ；将巧去掉最后一行和最后一列得到忙，其中m = p-1 ；将巧和单位矩阵Im组合成二元分配矩阵Hkxn如下 其中，所述步骤S103中二元分配矩阵Hkxn产生方式为定义循环置换矩阵
时巧取值为1，否则为0，其中
e取值 或1 ；将巧去掉最后一行和最后一列得到巧，其中m = p-1，p^n；将和单位矩阵Im组合成二元分配矩阵Hkxn如下 一种门限秘密信息还原方法，所述方法当至少同时已知上述方法中的k个信息份 额时，还原所述秘密信息？，包括以下步骤S201 根据已知的k个信息份额( 2,…，产生kXk的二元还原矩阵
，所述Hkxk由Hkxn中具有与k个信息份额下标tl，t2，. . . tk相同 块列下标的k个块列组成，其中每一块列包含p-1个普通列；S202 根据所述k个信息份额和Hkxk的逆矩阵还原s0, S1, S2, ... sp_2 ；S203 将所述s0，S1, S2,…sp_2按分割时的顺序组合成秘密信息？。(三)有益效果本发明是理想的秘密信息分配方案，即每个份额的尺寸和原秘密一样大，通过取 素数ρ >n-l，从而减少随机数资源的浪费和计算开销，提高了分配份额的效率；同时，节约 了门限秘密信息分配装置的成本，降低了能耗(尤其是像手机这样的电池供电产品)。


图1为Kurihara方案在(k = 3，n = 5，p = 5)时秘密分发的图形表示，(只示例 了 3个份额的产生)，沿着从0到4的5种不同的斜率直线，所过结点的异或和得到5个分 享份额。每个份额也是由4个d(bit)长的小部分组成，每个小部分都是沿着4条同样斜率 直线依次计算出来的；图2是根据本发明实施例的一种门限秘密信息分配装置结构示意图；图3是根据本发明实施例的一种门限秘密信息还原装置结构示意图；图4是根据本发明实施例的一种门限秘密信息分配方法流程图；图5是图4中方案为(k = 3，n = 5，p = 5)时秘密分发的图形表示(只示例了 3 个份额的产生)；图6是根据本发明实施例的一种门限秘密信息还原方法流程图。
具体实施例方式本发明提出的门限秘密信息分配、还原装置及方法，结合附图和实施例说明如下。如图2所示，为本发明的门限秘密信息分配装置，该装置包括秘密信息分割装 置，用于将所述秘密信息？(如高考试卷)分割成P-I份，S0, S1, S2, "·ν2，所述P为大于 等于η-1的素数，优选分割方式为等长均分；随机信息串产生装置，用于产生(k-1) X (p-1) 个随机信息串，其中，0 ( i ( p-2,0 ( j ( k-2 ；随机信息串优选为长度与等长均分后 发每个Si相等且包含为0和1的随机串；分配矩阵产生装置，用于产生一个kXn块的包含 0和1的二元分配矩阵Hkxn，该矩阵优选为以单位块矩阵及其循环置换矩阵为子块构成的类 范德蒙矩阵，最后构成由0和1组成的k(p-l) Xn(p-l)的二元矩阵；信息份额产生装置，用 于根据所述Stl，Sl，s2，…^、!^和Hkxn产生η个信息份额W。，。，···，并将这η个 信息份额通过秘密信道发送给η个不同的参与者。如图3所示，为本发明的门限秘密信息还原装置，该装置在已知上述分配装置产 生的至少任意k个不同的信息份额时，可将秘密信息？还原，具体包括还原矩阵产生装置， 用于根据已知的k个信息份额，产生二元还原矩阵Hkxk,所述Hkxk为Hkxn中与k个信息份额 下标对应的k个块列组成；信息份额还原装置，用于根据所述k个信息份额和Hkxk的逆矩 阵还原Stl, S1, s2,…sp_2 ；秘密信息组合装置，用于将所述Stl，S1, S2,…sp_2按分割时的顺序 组合成秘密信息？。本发明还公开了一种门限秘密信息分配方法，该方法将一秘密信息？分配成η个 信息份额，当至少需要有任意k(k ^ η)个信息份额才能还原秘密信息？，如图4所示，同样 以高考试卷为例进行说明。步骤S101，将所述秘密信息？分割成p-1份，s0，S1, S2,…sp_2，所述ρ为大于 等于 η-1的素数。高考试卷作为秘密信息，在本发明的门限秘密信息分配装置中以向量的形式存 储，记为5 ,按上述步骤将5分割成P-I份，即s0，S17S2,…^。为了达到理想的秘密信息分配
方案，本实施例中采用等长均分段方式，即每份Si(C)彡i彡ρ-2)长度为dbit，i/ = p|/(p-l),
若不能整除，则可在末位补0。步骤S102，产生(k-1) X (p-1)个随机信息串巧,」，其中，0彡i彡p_2，0彡j彡k_2，其中ru e {0,1}，即为包含O和1的随机数串，其每个长度与Si相同。步骤S103，产生一个kXn的二元分配矩阵HkXn。该矩阵的产生方式具体为定义循环置换矩阵
，当a = (b+u)modp时
取值为1，否则为0，其中 0彡u彡p-1,0 ( b ( p-1，关于循环置换矩阵及其代数的定理的详细证明可以参考[9]；将
去掉最后一行和最后一列得到￡，其中m = p-1 ；将
和单位矩阵Im组合成二元分配矩阵Hkxn(类范德蒙矩阵)如下 当ρ彡η时，二元分配矩阵Hkxn还可以为 由此可见，矩阵Hkxn的代数描述类似范德蒙矩阵，它是一个具有kXn块的分块矩 阵，每块是mXm的子矩阵，所以实际上H是一个kmXnm的矩阵。步骤S104，根据所述sQ，Sl，s2，'"V2Ji,」和HkxJf所述高考试卷信息向量云分成了 η 个信息份额(？。，&，··· ,cn_x),即(？。，&,·.. ,cn.x)= ( nj, SqAW ) χΗ ο<η。 乘号“X”在向量之间的操作为内积运算，群( ，Φ)=({0，1广, )，即元素为长度为dbit的 二进制串(包含0和1的串)，内积操作定义为令(G ,Θ )是像《0，l}d， )这样的交换群，0 是其单位元。令 g e G，h e {0，1}，定义hXg = gXh = g(if h = 1) 0(if h = 0)，再 令f = (v。,Vl，".Vn.丨)是G中的向量，访= (Iivmvmv1)是{0,1}中的向量，定义群上的向量与 GF(2)上向量的内积:wxf = vxw = (w0xv0)十(W1XV1)十…十(MV1XVp1)，由定义可见，整 个内积的计算只用XOR操作即可完成。矩阵Hkxn的行数为k(p-l)，与1^.、％，S1, s2,…sp_2 的个数相同，列数为n(p-l)，因此，(。，。，·" U= ( nj, S0,SVS2,---S^2 ) x历印的 含义为在向量(rd和(Stl，Sl，s2，…sp_2)中，和Hkxn中的对应与1作内积运算的元素才 按比特位做异或运算，否则不做异或运算。由有上述步骤可知每个。n-1)都包 含P-I个长度也为d bit的元素，这样η个份额就一共有η (p-1)个这样长度的元素，所有 份额的所有元素个数理所应当的和Hkxn的列数一致，并将这η个信息份额通过秘密信道发 送给η个不同的参与者。如考虑(k = 3，η = 5)的方案，即将上述高考试卷的信息分成5个信息份额，至少需要任意3个信息份额时，即可还原。当η = 5时，素数ρ可取值为5，将试卷信息云分成 4份(sQ，S1, S2, S3)。生成(3-1) X (5-1) = 8个与Si长度相同的包含O和1的随机数串， (r0,。，rlj0, r2,。，r3,0)，(roa, ria, r2jl, r3a)。根据步骤S103中的二元分配矩阵的产生方法， 产生巧如下 根据上述类范德蒙矩阵，产生的H3x5如下 按步骤S104中的运算公式可得到(C〇，0，cI,0' C2,0，C3,0)，(coa, C1A, C2a, C3a)，(C0，2，ο1 2, c2，2，c3，2)，(C0，3，Cu3, c2，3，c3，
3)，(C0，4，C1,4，c2，4，c3，4)— (r0，0，r1 0 r2，0，r3，0)，(r0 1 r2,T3^，(s0，S1 s2，s3) XH3x5二元矩阵H3x5是一个12行20列的矩阵，所以上式等号右边的3个向量共有12个 群G中的元素组成的“大向量”正好可以乘H3x5的一列，易见这全部是由XOR操作完成，这 样计算出一共有20个元素的“大向量”(上式等号左边)，再把这“大向量”连续有序的每4 个一组(P-1，且ρ = 5)，分成5个向量(η = 5)，也就是由高考试卷信息云产生的5个信息 份额，可以通过安全信道分配给5个参与者。上述门限秘密分配方法的效果可以用图5来解释，将所述ri, J连同P-I个d(bit) 的&放入一个pXp的方阵中，其中随机串1^.(0彡j彡k-2)依次放到前(k-Ι)列，最后把 p-1份S0，S1, S2,…sp_2放入第P列，设所有在(k-Ι)列和P列中间的列为虚拟的0列，且最 后一行全是0元素。以所述方阵的前P-I行的第一个元素为起点，取从0到-(Π-2)的n-1 种不同的斜率直线，当斜率为h时，将h个相同的方阵叠加到含有起点的方阵的上部，所述h 取0到-(Π-2)中整数之一，每一种斜率直线所过结点(即向量中的元素)的异或和可得到 n-1个分享份额
，每个份额是由p-1个bit长度为d的串组成，每个串都 是沿着n-1条斜率中同样斜率直线经过的元素依次进行异或计算出来的，？/下标的计算是 在有限域GF(p)中进行的。图5为本发明的方案为(k = 3η = 5，ρ = 5)时秘密分发的图形表示(只示例了 3个份额的产生)，与图1的区别有阵列中最后一行的元素全是O元素， 沿着从O到3的4种不同的斜率直线，所过结点的异或和得到4个分享份额。每个份额也 是由4个d(bit)长的串组成，每个串都是沿着4条同样斜率直线依次计算出来的。再把第 (k-2)号列(从O开始计算列号，例子中1号列为第二列)的随机数拿出来作为一个份额， 一共5个份额。本发明的 门限秘密信息还原方法如图6所示，当至少同时已知上述分配方法所述 k个信息份额时，还原所述秘密信息j。同样以高考试卷信息云为例。步骤3201，根据已知的高考试卷信息云的1^个信息份额(己1, ,2，···，。)，产生二 元还原矩阵Hkxk,所述Hkxk为Hkxn中与k个信息份额下标对应的k个块列组成。在有限域 GF⑵中，矩阵Hkxn中任何k “块列”都是线性无关的，所以这k “块列”也形成一个满秩为 km = k (p-1)的矩阵，即Hkxk在GF (2)上可逆，存在逆矩阵//丄。步骤S202，根据所述k个信息份额和Hkxk的逆矩阵还原sQ，S1, S2, "·ν2，即 (H j, SQ,SVS2,'·-S^2 ) =(cn,ct2,-,clk) χ 祐 L，和分配时一样，向量( 2，…，
中和Hkxn中的对应与1作内积运算的元素才按比特位做异或运算，否则不做异或运算。步骤S203，用于将所述Stl，S1, S2,…sp_2按分割时的顺序组合成高考试卷的秘密 fn 息jS。采用上述(k = 3，η = 5)的方案，若已知高考试卷信息被分配后的(Ccm, C1,1； C2, 1，C3a)，(c0,2' Clj2, C2j2, C3j2)，(CQ,3，C1,3，C2,3，C3j3) 3 个份额，根据这 3 个份额产生二元还原矩 阵Hkxk，Hkxk为Hkxn的第1 3号块列(从0开始计算，即中间3个块列)，中间3个块列 的GF (2)中的逆矩阵如下 由步骤S202中公式可得到 还原出sQ，S1, S2, S3后，按分割时的顺序组合成高考试卷信息5。本发明还可将任何秘密信息，如遗嘱、军事机密和金融系统密码等按上述方法进 行份额分配和还原。以上实施方式仅用于说明本发明，而并非对本发明的限制，有关技术领域的普通 技术人员，在不脱离本发明的精神和范围的情况下，还可以做出各种变化和变型，因此所有等同的技术方案也属于本发明的范畴，本发明的专利保护范围应由权利要求限定
权利要求
一种门限秘密信息分配装置，用于将秘密信息分为n个信息份额，其特征在于，包括秘密信息分割装置，用于将所述秘密信息分割成p-1份s0，s1，s2，…，sp-2，p为大于或等于n-1的素数；随机信息串产生装置，用于产生(k-1)×(p-1)个随机信息串ri，j，其中，0≤i≤p-2，0≤j≤k-2，k≤n；分配矩阵产生装置，用于产生一个分配矩阵Hk×n，所述Hk×n为k×n个块的二元分块矩阵，每块为(p-1)×(p-1)的矩阵；信息份额产生装置，用于根据所述s0，s1，s2，…sp-2、ri，j和Hk×n产生n个信息份额并将这n个信息份额通过秘密信道发送给n个不同的参与者。FSA00000160214400011.tif,FSA00000160214400012.tif,FSA00000160214400013.tif
2.一种门限秘密信息还原装置，用于当至少同时已知权利要求1所述k个信息份额时， 还原所述秘密信息？,其特征在于，包括还原矩阵产生装置，用于根据已知的k个信息份额···,&)，产生kXk的二元 还原矩阵 ，所述Hkxk由Hkxn中具有与k个信息份额下标 相同块列下标的k个块列组成，其中每一块列包含p-1列；信息份额还原装置，用于根据所述k个信息份额和Hkxk的逆矩阵还原Stl，S15S2,…sp_2 ；秘密信息组合装置，用于将所述Stl，S1, s2,…sp_2按分割时的顺序组合成秘密信息？。
3.一种门限秘密信息分配方法，所述方法将一秘密信息？分成η个信息份额，其特征在 于，包括以下步骤5101将所述秘密信息 分割成P-I份=Stl，S1, S2,…sp_2，P为大于或等于Π-1的素数；5102产生(k-1) X (p-1)个随机信息串rq，其长度与？分割后的每一份长度相同，其 中，0 彡 i 彡 p-2,0 彡 j 彡 k-2, k ^ η ；5103产生一个kXn的分配矩阵Hkxn，所述Hkxn SkXn个块的分块矩阵，每块为 (p-1) X (P-I)的包含0和1的二元矩阵；5104对所述sQ，Sl，s2，…Sp-^riij和Hkxn产生η个信息份额 ，并将 这η个信息份额通过秘密信道发送给η个不同的参与者。
4.如权利要求3所述的门限秘密信息分配方法，其特征在于，所述步骤SlOl中将所述 秘密信息？平均分割成P-I份。
5.如权利要求4所述的门限秘密信息分配方法，其特征在于，所述随机信息串为包 含0和1的随机串。
6.如权利要求3所述的门限秘密信息分配方法，其特征在于，所述步骤S103中二元分 配矩阵Hkxn产生方式为定义循环置换矩阵 当a = (b+u)mod ρ时巧取值为1，否则为0，其中 0彡u彡ρ-1，0彡b彡p-l，e取值 或1 ；将巧去掉最后一行和最后一列得到￡,其中m = p-1 ；将￡和单位矩阵Im组合成二元分配矩阵Hkxn如下
7.如权利要求3所述的门限秘密信息分配方法，其特征在于，所述步骤S103中二元分 配矩阵Hkxn产生方式为定义循环置换矩阵g=0#)w，当a = (b+u)mod ρ时《取值为1，否则为0，其中 0≥ u≥ρ-1，0≥b≥p-l，e取值 或1 ；将^^去掉最后一行和最后一列得到五；,其中m = p-1，p^n； 将￡和单位矩阵Im组合成二元分配矩阵Hkxn如下
8.一种门限秘密信息还原方法，所述方法当至少同时已知权利要求3所述的k个信息 份额时，还原所述秘密信息？,其特征在于，包括以下步骤5201根据已知的k个信息份额( 2，···，？,J ,产生kXk的二元还原矩阵Hkxk, 0彡tl，t2，. . . tk≥n-1，所述Hkxk由Hkxn中具有与k个信息份额下标tl，t2，. . . tk相同 块列下标的k个块列组成，其中每一块列包含p-1个普通列；5202根据所述k个信息份额和Hkxk的逆矩阵还原Stl，S1, s2,…sp_2 ；5203将所述Stl，S1, s2,…sp_2按分割时的顺序组合成秘密信息？。
全文摘要
本发明公开了一种门限秘密信息分配装置，用于将秘密信息分成n个信息份额，包括秘密信息分割装置，用于将秘密信息分割成p-1份，p为素数且大于等于n-1，随机信息串产生装置，用于(k-1)×(p-1)个随机信息串，分配矩阵产生装置和信息份额产生装置，还公开了一种门限秘密信息还原装置，用于当已知至少任意k个信息份额时，将秘密信息还原，包括还原矩阵产生装置、信息份额还原装置和秘密信息组合装置；还公开了一种门限秘密信息分配、还原的方法。本发明即每个份额的尺寸和原秘密一样大，通过取素数p≥n-1，从而减少随机数资源的浪费和计算开销，提高了分配份额的效率。
文档编号H04L9/08GK101873212SQ20101020054
公开日2010年10月27日 申请日期2010年6月9日 优先权日2010年6月9日
发明者伍强, 吕春利, 孙明理, 孙秀丽, 田利军 申请人:中国农业大学