一种基于门限秘密共享的组认证方法
【技术领域】
[0001] 本发明涉及信息安全技术领域,尤其涉及一种基于门限秘密共享的组认证方法。
【背景技术】
[0002] 目前,(t,n)门限秘密共享的基本思想是将一个秘密分割成n个秘密份额,并将 每一个份额分发给一个参与者,只有t (t < n)个或t个以上的参与者合作才能恢复秘密, 少于t个参与者无法恢复秘密,其中t为门限值。(t,n)门限秘密共享方案有很多种实现方 式,其中应用最为广泛的就是Shamir秘密共享方案:
[0003] 该方案假定D是秘密分发者,n是参与者的数目,t是门限值,p是大素数且远大于 n;秘密空间与份额空间均为有限域GF(p),Shamir的(t,n)门限秘密共享方案分为两个组 成部分:
[0004] 第一部分、秘密分发阶段:
[0005] (1)秘密分发者D随机选择一个GF(p)上的t-1次多项式f (x) :f (x) = at Z k… +a2x2+a1x+a0mod p,其中 a〇= f(0) = s, s 为秘密,D 将 f(x)保密;
[0006] (2)D在有限域GF(p)中选择n个互不相同的非零元素Xi, x2,…,xn,计算Si = f(Xi),1 < i < n〇
[0007](3)将Sl,(1彡i彡n)秘密分配给参与者A,值\是1^的公开信息,81为1^的秘 密份额。
[0008] 第二部分、秘密重构阶段:
[0009] 任何m,(n多m多t),个参与者,比如,仙,U2,…,UJ,可以利用他们的秘密份额 h,s2,…,sm}通过Lagrange插值公式
mod p计算f (0)而 恢复共享的秘密s。
[0010] 进一步的,在基于门限秘密共享的方案中,组认证用以验证一个用户是否属于某 个预先定义的组,现有技术中的组认证方案为:
[0011] ⑴秘密份额生成:
[0012] 假设共有n个组成员,记为{Uili = 1,2,…,n},组管理员在GF(p)上选择 k(kt>n-l)个t-1次多项式,fjx), 1 = 1,2,…,k,其中p是大素数,利用k个多项式对每一 个参与者1^生成k个秘密份额f Jxi), 1 = 1,2,…,k,其中X;,i = 1,2,…,k是公开信息。对 于任意的秘密s,管理员寻找k个数对(w_j, dj),j = 1,2,…k,4
公开w.j,d" j = 1,2,…匕以及s的单向哈希值H(s),其中H(.)是一个单向哈希函数。
[0013] (2)秘密重构:
[0014] 在认证阶段,如果有m个用户参与认证,每个用户A, i = 1,2,…!!!利用自己的k个 秘密份额生成令牌
并将令牌分发给其 他参与者,成员收集齐m个Cl2后计算
,如果H(s) =H(s'),则m个成 员全部合法;如果H(s)辛H(s')则组内必有非法成员。
[0015] 在上述组认证过程中,组管理员要选择k个多项式并为每个组成员生成k个秘密 份额,同时k的大小受制于门限t和总的组成员数n,即kt>n-l,因而方案不够灵活,同时也 使得多项式管理以及秘密份额的分发过程复杂化;另外,该方案可以一次性验证所有用户 是否全部为合法组成员,但是如果有非法用户(非组成员)存在,该方案无法确定其数量, 更无法确定具体的非法用户。正因为上述现有技术的方案多项式管理复杂而且没有解决快 速找到非组成员的问题,使得上述方案只能应用于组认证的前期预处理,其应用范围及实 用性大大降低。
【发明内容】
[0016] 本发明的目的是提供一种基于门限秘密共享的组认证方法,利用该方法不但可以 一次性验证所有用户是否全部合法,还可以在有非组成员存在的情况下快速有效地确定所 有非组成员。
[0017] -种基于门限秘密共享的组认证方法,所述方法包括:
[0018] 将n个组成员记为他| i = 1,2,…,n};
[0019] 由秘密分发者SD利用(t,n)门限秘密共享方案对每个组成员1^生成并分发两个 秘密份额(s H, s2i),i = 1,2,…,n ;
[0020] 向组认证服务器AS生成并分发2*(t-l)个秘密份额(Sll,s2l),i =n+l,n+2,… ,n+t-1,并生成两个秘密 sa、sb,其中,sa= f({s H | i G Ih}),sb= f({s 2i | i G Ih}),f 为秘密 恢复函数,Ih为{1,2, ???,n}的包含h个元素的子集,其中t〈 = h〈 = n ;同时令s JP s 2分 别为sJP s b的线性组合;
[0021] 秘密分发者公开数对(ai,!^),(a2,b2),以及Sp s2的单向哈希值H(s H(s2);
[0022] 在进行认证时,若组认证服务器需要对m个用户进行认证,则每个被认证用户A 利用自己的秘密份额s H, s2i生成2个令牌为:
[0023] cH = g (a !, b1; s^, s2i, {Uj | j G Im}, {Uk | k = n+1, n+2, ???, n+t-1},rn),
[0024] c2i = g (a 2, b2, sH, s2i, Ui, {Uk | k = n+1, n+2, ...,n+t-1},r2i);其中,1 彡 m 彡 n, rn,r2l为随机数,g为令牌生成函数;
[0025] 并将生成的令牌通过公开信道提交给组认证服务器AS ;
[0026] 由组认证服务器对待认证的m个用户进行统一认证,以判断是否存在非法用户; 如果存在非法用户,则用逐一认证找出所有具体的非法用户。
[0027] 由上述本发明提供的技术方案可以看出,利用该方法不但可以一次性验证所有用 户是否全部合法,还可以在有非组成员存在的情况下快速有效地确定所有非组成员。
【附图说明】
[0028] 为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用 的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本 领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他 附图。
[0029] 图1为本发明实施例所提供基于门限秘密共享的组认证方法流程示意图;
[0030] 图2为本发明所举实例中秘密份额分发示意图。
【具体实施方式】
[0031] 下面结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整 地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本 发明的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施 例,都属于本发明的保护范围。
[0032] 下面将结合附图对本发明实施例作进一步地详细描述,如图1所示为本发明实施 例所提供基于门限秘密共享的组认证方法流程示意图,在该方案中包含有一个秘密分发者 (SD,Share Distributor),一个组认证服务器(AS,Authentication Server),以及 n 个组 成员{A | i = 1,2-n},其中AS与各个被认证用户之间通过公开信道进行通信,接收被认证 用户的认证令牌,以完成对各个用户的认证,且SD与AS之间以及SD与每个成员之间存在 安全信道,SD通过安全信道向AS以及各组成员分发秘密份额,参考图1,所述组认证方法包 括:
[0033] 步骤11 :进行初始化,将n个组成员记为他| i = 1,2,…,n};
[0034] 步骤12:由秘密分发者SD利用(t,n)门限秘密共享方案对每个组成员A生成并 分发两个秘密份额(s H, s2i),i = 1,2,…,n ;
[0035] 步骤13 :SD为组认证服务器AS生成并分发2*(t_l)个秘密份额(Sll,s2l),i = n+1, n+2,…,n+t-1, SD 生成两个秘密 sa、sb;
[0036] 在该步骤中,sa= f ({s H | i G Ih}), sb= f ({s 2i | i G Ih}), f为秘密恢复函数,:^为 {1,2,…,n}的包含h个元素的子集,其中t〈 = h〈 = n ;
[0037] 步骤14 :令81和s 2分别为s 3和s b的线性组合,秘密分发者SD公开数对 (已1,131),(& 2,132),以及31,82的单向哈希值11(8 1),11(82);
[0038] 该步骤中,同时令sjp s 2分别为s 3和s b的线性组合,比如s a而+biSb,s2 = a2sa+b2sb;
[0039] 此后的认证过程不再需要秘密分发者SD的参与。
[0040] 步骤15 :在进行认证时,若组认证服务器AS需要对m个用户进行认证,则每个被 认证用户利用自己的秘密份额s His2i生成2个令牌;
[0041] 在该步骤中,具体生成的2个令牌为:
[0042] cH= g(a !, b1; s^, s2i, {U; | i G Im}, {Uk | k = n+1, n+2, ???, n+t-1}, rH),
[0043] c2i = g (a 2, b2, sH, s2i, Ui, {Uk | k = n+1, n+2, ...,n+t-1},r2i);其中,1 彡 m 彡 n, rm r2l为随机数,g为令牌生成函数;
[0044] 步骤16 :将生成的令牌通过公开信道提交给组认证服务器AS ;
[0045] 步骤17 :由组认证服务器AS对待认证的m个用户进行统一认证,以判断是否存在 非法用户,如果存在非法用户,则用逐一认证找出具体的非法用户。
[0046] 在该步骤中,具体进行统一认证和逐一认证的方法为:
[0047] 首先在进行统一认证时,组认