專利名稱:一種具有容錯功能的密碼學(xué)分布式計算與分步檢驗方法
技術(shù)領(lǐng)域:
本發(fā)明涉及了一種具有容錯功能的密碼學(xué)分布式計算與分步檢驗方法,對于處理分布式系統(tǒng)中數(shù)據(jù)的安全處理,特別是多方安全數(shù)據(jù)處理,提供了一種高效的支持,且該方法具有很好的容錯能力;此方法可以應(yīng)用到諸如容錯計算、分布式計算、網(wǎng)格計算等領(lǐng)域。
背景技術(shù):
分布式計算是近年提出的一種新的計算方式。所謂分布式計算就指參與計算的不是一臺計算機,而是一個由多臺計算機構(gòu)成的網(wǎng)絡(luò),這些計算機互相共享信息,并協(xié)同完成計算任務(wù)。分布式計算比起其它算法具有以下幾個優(yōu)點不同種類和不同地域間的數(shù)據(jù)資源動態(tài)獲取與共享;可把程序放在最適合運行它的計算機上,實現(xiàn)計算負(fù)載平衡;其中,共享資源和平衡負(fù)載是計算機分布式計算的核心思想之一。分布式計算結(jié)構(gòu)是計算機與網(wǎng)絡(luò)發(fā)展的必然結(jié)果,能夠滿足開放、動態(tài)、松耦合的網(wǎng)絡(luò)環(huán)境下多層次、全方位的數(shù)據(jù)共享與協(xié)助處理,同時也是地域分散企事業(yè)單位的必然要求,如銀行或民航結(jié)算系統(tǒng)、政務(wù)系統(tǒng)、人口檔案系統(tǒng)、身份證管理系統(tǒng)等都具有分布式特征。
由于分布式系統(tǒng)中資源的開放性,分布式計算更易于受到攻擊,個別節(jié)點的異常能導(dǎo)致整個系統(tǒng)的癱瘓,因此分布式計算系統(tǒng)的安全一直是極為緊迫的問題。在現(xiàn)實生生活中,有許許多多的分布式計算系統(tǒng),不僅需要計算處理的速度較快,而且對于計算本身的安全性提出了很高的要求,這就要求我們既要考慮計算的實現(xiàn)效率,更要考慮計算的安全性和正確性。隨著網(wǎng)絡(luò)的進(jìn)一步發(fā)展和完善,網(wǎng)絡(luò)可以給提供越來越多的服務(wù),極大地方便了我們的生活,而如何保證這種網(wǎng)絡(luò)服務(wù)安全性也提出了很大的挑戰(zhàn)。
另一方面,分布式系統(tǒng)具有將計算任務(wù)問題在不同點上分散處理的特點,也能夠提供一般計算機系統(tǒng)所沒有的安全性,例如,通過提供數(shù)據(jù)冗余并把數(shù)據(jù)分散存儲,可以避免單個或多個節(jié)點的癱瘓,實現(xiàn)容錯容災(zāi)、災(zāi)難恢復(fù);再比如,可以通過布置多個節(jié)點構(gòu)成CA系統(tǒng)(CA是證書的簽發(fā)機構(gòu),它是PKI的核心),通過各個節(jié)點之間的合作計算可以實現(xiàn)所謂的“可信中心”,即便個別節(jié)點被敵手攻破,也不足以進(jìn)行欺騙和偽造。
鑒于以上分析,為了解決分布式計算中存在的安全隱患,同時充分利用分布式系統(tǒng)所具有的安全優(yōu)勢,本發(fā)明將涉及分布式計算環(huán)境下的數(shù)據(jù)共享方法、以及一種新的容錯計算與分步檢驗方法。本發(fā)明把網(wǎng)絡(luò)提供的每種服務(wù)視為一種計算過程的實現(xiàn),如同CPU實現(xiàn)簡單代數(shù)運算一樣,分布式計算中的復(fù)雜任務(wù)也是由簡單地分布式代數(shù)運算實現(xiàn)的,這些運算包括有限域內(nèi)的加、減、乘、除運算,而加與減、乘與除是相同的,因此,在實現(xiàn)中只需要考慮有限域內(nèi)的加法和乘法運算。為此,本發(fā)明實現(xiàn)了一種分布式數(shù)據(jù)的安全共享方法,以及該共享下的快速“加法”和“乘法”算法,并為了實現(xiàn)安全性,該算法分步容錯和檢驗功能。這些安全分布式算法的實現(xiàn),將為其它分布式算法的構(gòu)造提供基礎(chǔ)。
對于分布式計算的安全性要求,可以考慮這樣一個情景在一個簡單網(wǎng)絡(luò)商品銷售中,參與者包括購買者、銷售商、銀行,購買者提供購買信息和電子貨幣、銷售商接收購買信息并請求銀行進(jìn)行貨幣轉(zhuǎn)賬、銀行將貨幣轉(zhuǎn)賬到銷售商、再由銷售商發(fā)送產(chǎn)品給購買者。這是一個典型的分布式系統(tǒng),在這一過程中,各參與者的輸入信息需要保護(hù)隱私,例如,購買者的電子貨幣及金額、銷售商銷售記錄、銀行賬戶信息就是隱私信息,需要進(jìn)行保密;同時,該銷售過程是三方通過計算將用戶的電子貨幣中扣除購買商品金額,將該資金轉(zhuǎn)賬到銷售商,并將剩余電子貨幣返還購買者,這一計算過程要求保證計算結(jié)果的正確性。由此可知,一個分布式計算的基本安全要求包括兩部分 1、保證各計算參與方輸入秘密的隱私性; 2、保證分布式計算結(jié)果的正確性; 同時,作為一種實用系統(tǒng)還要保證系統(tǒng)計算的高效率性。
本發(fā)明的目的在于提供一種分布式條件下的加法和乘法的高效安全數(shù)據(jù)處理方法。本發(fā)明借鑒了密碼學(xué)中安全多方計算的思想,安全多方計算是安全協(xié)議構(gòu)造的理論基礎(chǔ),這種算法可以應(yīng)用到近來興起的電子商務(wù)、電子政務(wù)、網(wǎng)上交易、甚至軍用網(wǎng)絡(luò)中。
安全多方計算協(xié)議要解決的問題可以描述如下n名互不相信的參與者(P1,P2,…,Pn),希望共同計算某個約定的函數(shù)y=f(x1,x2,…,xn),每個參與者Pi提供函數(shù)的一個輸入xi,出于安全考慮,要求參與者提供的輸入對其他人保密,最終,忠實成員獲得y。A.C.Yao于1982年最早提出了兩方安全計算協(xié)議。此后,Goldreich等提出了可以計算任意函數(shù)的基于密碼學(xué)安全模型的安全多方計算協(xié)議,證明了存在被動攻擊者時n-Secure的協(xié)議是存在的;存在主動攻擊時(n-1)-Secure的協(xié)議是存在的;D.Chaum,C.Crepeau和I.Damgard中對信息論安全模型下的安全多方計算進(jìn)行了研究,證明了在被動攻擊下(n-1)-Secure的協(xié)議是存在的,在主動攻擊下([n/2-1])-secure的協(xié)議是存在的。此后,許多學(xué)者在如何提高安全多方計算協(xié)議的效率,如何對安全多方計算進(jìn)行形式化的定義,如何對通用的安全多方計算協(xié)議進(jìn)行剪裁使之能更有效地適用于不同的應(yīng)用環(huán)境,新的安全多方計算協(xié)議的構(gòu)造方法,安全多方計算攻擊者結(jié)構(gòu)定義等方面進(jìn)行了研究。
目前所提方案通常都是基于Boolean代數(shù)的理論研究結(jié)果,目前國內(nèi)外尚沒有可以實用化的方案和系統(tǒng),研究還是主要針對被動敵手(竊聽)或是設(shè)備故障下的運行安全,已有研究中存在的主要問題包括沒有考慮計算的連續(xù)性、主動攻擊下沒有較為系統(tǒng)的方法、無法支持一般數(shù)據(jù)共享下的計算、計算復(fù)雜性高、通信代價高等。特別是,已有計算方法建立在拜占庭一致協(xié)議之上,成員之間通信量較大,而且,這些方案易于受到主動攻擊,例如,數(shù)據(jù)篡改、增加延遲、非忠實執(zhí)行等。針對這些問題,本發(fā)明提出了一種分布式計算環(huán)境下的容錯計算與分步檢驗方法。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種具有容錯功能的密碼學(xué)分布式計算與分步檢驗方法,使得安全多方數(shù)據(jù)處理過程高效而準(zhǔn)確,既提高了效率,同時又保證了安全性和一致性。此外,本發(fā)明的方法還實現(xiàn)了對于傳輸信息的檢錯和糾錯的處理,在算法的執(zhí)行過程中,加入了糾錯碼的思想,使得整個過程的正確性得到保證。
本發(fā)明的技術(shù)方案為 一種具有容錯功能的密碼學(xué)分布式計算與分步檢驗方法,其步驟為 1)每個成員獨立完成所具有共享的運算; 2)各成員按照所需的訪問結(jié)構(gòu),通過數(shù)據(jù)隨機選擇生成隨機多項式或隨機矩陣,并對該隨機多項式或隨機矩陣誘導(dǎo)出的數(shù)據(jù)進(jìn)行相互間的交換; 3)各成員利用接收到的所述隨機多項式或隨機矩陣數(shù)據(jù)生成聯(lián)合隨機多項式或聯(lián)合隨機矩陣; 4)采用所述聯(lián)合隨機多項式或聯(lián)合隨機矩陣對步驟1)的計算結(jié)果進(jìn)行再共享,并將該再共享結(jié)果分發(fā)到各成員; 5)判斷整個計算任務(wù)是否結(jié)束,如果沒有結(jié)束則重復(fù)上述步驟1)~4),如果結(jié)束則每個成員對收到的再共享數(shù)據(jù)進(jìn)行組合與重構(gòu),獲得最終計算結(jié)果的新共享; 6)每個成員通過彼此交換所述新共享,重構(gòu)出真實的最終計算結(jié)果。
所述通過數(shù)據(jù)隨機選擇生成隨機多項式,并對該隨機多項式誘導(dǎo)出的數(shù)據(jù)進(jìn)行相互間的交換方法為任意成員Pi構(gòu)造一隨機二元多項式hi(x,y)=ξ′i,1xy+...+ξ′i,t-1(xy)t-1+v′i,1y+...+v′i,t-1yt-1,并將計算結(jié)果發(fā)送給每一個成員,其中xj和xk為成員標(biāo)識ID的數(shù)學(xué)表示,t為非正常成員總數(shù),且滿足n≥3t+1,k=1,2,...,n,i=1,2,...,n,j=1,2,...,n,n為參與計算的成員總數(shù)。
所述各成員利用接收到的所述隨機多項式數(shù)據(jù)生成聯(lián)合隨機多項式的方法為所述成員Pi根據(jù)接收到的n*n個數(shù)據(jù)hI(xi,xk)計算并根據(jù)獲得的n個數(shù)據(jù){hi(x1),hi(x2),...,hi(xn)}生成聯(lián)合隨機二元多項式hi(y)=ξ1xiy+...+ξt-1(xiy)t-1+v1y+...+vt-1yt-1,其中l(wèi)∈1,2,...,n,k∈1,2,...,n, 所述步驟4)的實現(xiàn)方法為所述成員Pi根據(jù)數(shù)據(jù){hi(x1),hi(x2),…,hi(xn)}計算生成一組共享片段
并將
發(fā)送給成員Pj。
所述步驟5)中新共享的生成方法為所述成員Pj利用接收的一組共享片段
計算其中,為重組向量。
所述方法中,采用基于糾錯碼的檢驗方法驗證所述步驟2)中的隨機二元多項式,其方法為Pj利用接收的一組共享片段
計算r=1,2,...,n-2t+1,如果該等式不為零,即可找出出錯的成員,進(jìn)而利用Reed-Solomon碼中的Welch-Berlekamp算法定位并改正錯誤;其中,wi為成員標(biāo)識的數(shù)學(xué)表示。
所述步驟2)中,對該隨機多項式誘導(dǎo)出的數(shù)據(jù)進(jìn)行相互間的交換時,當(dāng)某一成員Pj接收到成員Pi發(fā)送的隨機二元多項式hi(xj,xk)后,所述成員Pj檢測集合{hi(xj,x1),hi(xj,x2),...hi(xj,xn)}并糾正錯誤;進(jìn)一步的,所述成員Pj利用所述聯(lián)合隨機二元多項式hi(x)檢測所述數(shù)據(jù)集合{hi(x1),hi(x2),...hi(xn)}上的錯誤。
所述步驟4)中,將該再共享結(jié)果分發(fā)到各成員時,每一個成員Pj通過檢驗所述共享片段
驗證共享的一致性。
所述方法中,采用一個誠實驗證者并利用所有所述新共享驗證所述最終計算結(jié)果的一致性。
進(jìn)一步的,所述步驟2)中,隨機多項式誘導(dǎo)出的數(shù)據(jù)進(jìn)行相互間的交換時遵循可驗證安全分享協(xié)議 1)分享的分配發(fā)起者選取兩個Zq上的至多為t-1次的隨機多項式 其中,對于待檢驗秘密值s,u,令a0=s,b0=u,發(fā)起者對多項式保密但公布相關(guān)的承諾發(fā)起者通過秘密信道將分享si=f(xi),ui=g(xi)分配給Pi; 2)分享的驗證Pi利用Cj的值計算利用g,h,si,ui,Pi計算承諾并驗證方程E(si,ui)=Ei,如果發(fā)起者收到來自參與者的抱怨則將拒絕本次執(zhí)行; 其中,aj和bj為多項式f(x)和g(x)的隨機系數(shù)(j=0,...,t-1),n為參與計算的成員總數(shù),t為非正常成員總數(shù),xk為成員標(biāo)識ID的數(shù)學(xué)表示;g為群Gp中的生成元,h是一個公開參數(shù),并滿足x=loggh,x作為密鑰被系統(tǒng)保密。
本發(fā)明是建立在分布式數(shù)據(jù)或秘密共享基礎(chǔ)之上,所謂數(shù)據(jù)共享或秘密共享是指一種將秘密分發(fā)到一組成員手中,使得只有指定的成員組合才能重構(gòu)出秘密,而其他成員或成員之間無法恢復(fù)出秘密的安全技術(shù)。而這種指定的成員組合被稱為“訪問結(jié)構(gòu)”,而且,不同的數(shù)據(jù)按照其安全要求確定訪問結(jié)構(gòu),因此不同數(shù)據(jù)所具有的訪問結(jié)構(gòu)是不同的。本發(fā)明的一個設(shè)計特點在于,能夠?qū)μ幱诠蚕頎顟B(tài)的數(shù)據(jù)進(jìn)行計算的同時,并不限制具體的“數(shù)據(jù)共享方法”與“訪問結(jié)構(gòu)”。
本發(fā)明認(rèn)為任何復(fù)雜的分布式計算任務(wù)可分解為一系列簡單的分布式代數(shù)運算,這些計算包括數(shù)值之間的加、減、乘、除,對于每個這種簡單代數(shù)運算保持計算安全的情況,才能保證整個分布式運算安全。因此,本發(fā)明主要解決這些簡單代數(shù)運算的分布式運算方法,具體而言,本發(fā)明對于每個分布式運算分為下面5個階段 ●第1步,計算階段 分布式環(huán)境中的每個成員獨立完成所具有共享的運算(加法、減法、乘法或除法等); ●第2步,配置階段 各成員按照所需的訪問結(jié)構(gòu),通過數(shù)據(jù)隨機選擇生成隨機多項式或隨機矩陣,并對該多項式或矩陣誘導(dǎo)出的數(shù)據(jù)進(jìn)行相互間的交換; ●第3步,重組合階段 各成員利用接收到的隨機多項式或隨機矩陣數(shù)據(jù),生成各成員共同生成的聯(lián)合隨機多項式或聯(lián)合隨機矩陣; ●第4步,再共享階段 對第一步計算結(jié)果,采用聯(lián)合隨機多項式或聯(lián)合隨機矩陣進(jìn)行再共享,并將該再分享結(jié)果分發(fā)到各成員; ●第5步,重構(gòu)階段 每個成員對收到的再分享數(shù)據(jù)進(jìn)行組合與重構(gòu),獲得最終計算結(jié)果的新共享。
對于上述五步運算后的結(jié)果,每個成員可通過彼此交換共享,重構(gòu)出真實的計算結(jié)果。
本發(fā)明的一個特點在于,對參加計算的每名成員所執(zhí)行的計算過程是一樣的,并保證上述步驟在各成員內(nèi)部獨立執(zhí)行。整個運算任務(wù)是通過各成員共同計算完成的,各成員運行相同的5個階段,并通過上述5個步驟實現(xiàn)對于每個成員之間的協(xié)同。
本發(fā)明的一個顯著特征在于,所采用的聯(lián)合隨機多項式或矩陣,可以是一般二元隨機多項式、具有交叉項的精簡二元多項式、一般訪問結(jié)構(gòu)矩陣,可以達(dá)到抵御主動敵手攻擊的目的,也可以在被動敵手環(huán)境下采用一元多項式。
本發(fā)明的另一個特點在于,能夠保證安全計算的連續(xù)性,防止訪問結(jié)構(gòu)的改變,并能通過二次共享改變結(jié)果的訪問結(jié)構(gòu)。所謂計算連續(xù)性是指兩次或多次運算之間是否能夠平穩(wěn)過渡。由于本文所述分布式計算依靠數(shù)據(jù)的共享方式,可以證明某些運算將會使運算前后的“訪問結(jié)構(gòu)”發(fā)生改變,從而無法使計算后的共享結(jié)果用于后續(xù)計算,即便是對于具有相同訪問結(jié)構(gòu)的兩個數(shù)據(jù)進(jìn)行運算,也會產(chǎn)生訪問結(jié)構(gòu)上的變化,例如“乘除”運算。本發(fā)明采用了“配置階段”、“重組合階段”和“再共享階段”對第一階段計算結(jié)果獲得的“訪問結(jié)構(gòu)”改變的共享進(jìn)行二次共享,并將通過“重構(gòu)階段”解除第一次共享,使得第二次共享的訪問結(jié)構(gòu)代替了第一次共享的訪問結(jié)構(gòu),這種方法所獲得的共享結(jié)構(gòu)是通過“二次共享”的訪問結(jié)構(gòu)指定的,因此能夠保證計算的連續(xù)性。此外,通常計算在上述步驟中只需完成前1至4步,第四步中的結(jié)果即可用于以后的運算。而在每次運算中第五步是可選的,只有在整個計算任務(wù)結(jié)束后可運行最后一步,為所有成員提供最終計算結(jié)果。
本發(fā)明的另一個特點在于,能夠?qū)崿F(xiàn)對計算錯誤、敵手攻擊的防范。在以上5個步驟中,需要進(jìn)行3次數(shù)據(jù)交換 ●第一次是第3步中隨機多項式或隨機矩陣交換; ●第二次是第4步中對聯(lián)合隨機多項式或聯(lián)合隨機矩陣; ●第三次是第5步中的再共享的交換與重構(gòu)。
本發(fā)明強調(diào)安全性的要求,在算法的執(zhí)行中利用了密碼學(xué)承諾驗證和糾錯碼的思想,加入了一個驗證協(xié)議,做到在每一步的執(zhí)行中實現(xiàn)驗證。驗證協(xié)議的執(zhí)行也分為三個步驟 ●在第3步重組合階段,在每個成員收到信息之后,該成員可以利用糾錯碼的方法檢測并糾正傳輸中的錯誤; ●在第4步再共享階段,每個成員可以驗證分享的一致性,因此可以找到一些配置階段和再分享階段中出現(xiàn)的偶然錯誤和群組錯誤; ●在第5步重構(gòu)階段,每個成員得到聯(lián)合隨機多項式或聯(lián)合隨機矩陣的共享,可以通過糾錯碼驗證結(jié)果的一致性。
本發(fā)明的另一個特點在于,只需要較少的計算復(fù)雜性和通信復(fù)雜性。本發(fā)明所采用的計算只涉及整數(shù)或有限域內(nèi)的隨機數(shù)選擇、加法、乘法、冪運算,其中涉及到的冪運算可分解為有限次的加法和乘法運算,實現(xiàn)簡單。在上述5步驟中進(jìn)行了3次數(shù)據(jù)交換,考慮到第5步只在所有計算完成后使用,因此,每次運算只需要完成2次交換,相比于多輪Byzantine協(xié)商協(xié)議,通信量又較大減少。
本發(fā)明的一個顯著特征在于,所提方法不限于基于“門限或閾值”訪問結(jié)構(gòu)的多項式分享下的多方計算方法,同樣適用于一般情況下的線性共享方案和訪問結(jié)構(gòu),例如,數(shù)據(jù)張成算法、信息擴散算法、一般線性秘密共享、可乘線性秘密共享,并支持具有一般訪問結(jié)構(gòu)下的秘密共享構(gòu)造。
本發(fā)明的積極效果 綜上所述,本發(fā)明的方法和協(xié)議實現(xiàn)了算法的高效性、容錯性和協(xié)議的安全性。在一般代數(shù)(包括加、減、乘、除)運算過程中,本發(fā)明克服了傳統(tǒng)的算法中需要考慮拜占庭一致性協(xié)議執(zhí)行的通信量巨大,算法效率低下的問題;本發(fā)明的另一特點在于提出了乘除運算的降階方法;在驗證階段,本發(fā)明實現(xiàn)了對運算每個步驟正確性的檢驗;在秘密分享階段,本發(fā)明采用了可驗證的秘密分享體制,從而在秘密的分享之初便實現(xiàn)了算法正確性和合法性。
圖1是本發(fā)明方法的流程圖。
圖2是本發(fā)明方法具體實施時的示意圖。
具體實施例方式 下面結(jié)合具體的實施例和示意圖對本發(fā)明中的運算過程做進(jìn)一步的描述,該過程適用于其他分布式代數(shù)運算,如加、減、數(shù)乘、乘、除、冪運算等。
在本實施例中,假定存在n名成員參與計算,兩兩成員之間存在一條鏈路,并且假定網(wǎng)絡(luò)時延可忽略不計,每名成員具有一個唯一性身份標(biāo)識IDi,并且該標(biāo)識可表示為正數(shù)xi用于計算。同時,假定上述系統(tǒng)中可能存在至多有t名成員可被敵手控制或出現(xiàn)了設(shè)備或網(wǎng)絡(luò)故障,并滿足n≥3t+1。
為了實現(xiàn)多方計算,首先需要將保密的計算輸入分發(fā)到各成員手中,這里采用了基于t次隨機多項式的分享方案,具體線性共享和重構(gòu)方法如下 線性共享與重構(gòu)在域Gq中,給定一個秘密值s,發(fā)送者隨機選取t-1個隨機數(shù)(r1,r2,...,ri-1),構(gòu)成方程fs(x)=s+r1x+...+ri-1xt-1。對于分布式計算中的任意成員Pi(其中i=[1,n],n為成員總數(shù)),具有身份標(biāo)識IDi,那么,該成員所獲得秘密s的共享值為ci=fs(IDi)。如果有m(m≥t)名成員希望由他們所具有的共享{s1,s2,...,sm}恢復(fù)出原始秘密值s,那么可求解出其中稱(r1,r2,...,rn)為一個重組向量。
在實現(xiàn)了將一些計算輸入分發(fā)到各成員手中之后,我們希望實現(xiàn)這些輸入之間的運算,這里以加法和乘法為例進(jìn)行說明如下 通常的多方計算在域Gq中,給定兩個秘密值a,b,分別通過兩個t-1次多項式fa(x),fb(x)被分成分享片段a1,a2,...,an和b1,b2,...,bn,其中每個成員Pi具有ai,bi,i=1,2,...,n,成員希望計算a+b和ab。根據(jù)多項式的性質(zhì)可以得到 fa(x)和fb(x)的和為 fa+b(x)=fa(x)+fb(x)=(a+b)+γ1x+...+γi-1xt-1(1) fa(x)和fb(x)的乘積為 fab(x)=fa(x)fb(x)=ab+λ1x+...+λ2(t-1)x2(t-1)(2) Lagrange插值公式允許我們可以分別通過t和(2t-1)個不同的共享決定fa+b(x)和fab(x)。但是,為了計算連續(xù)性的需要,希望保持多項式的次數(shù)不變,即將(2)式變?yōu)閠-1次多項式。
為了實現(xiàn)本發(fā)明中的功能,將選擇一個關(guān)于x和y均為t-1次的二元隨機多項式g(x,y),其中g(shù)(0,0)=c,同時,還要保證所有成員都能夠獲得該多項式,并且,該多項式是隨機生成的,而不是由某個成員指派的,因此,需要所有成員共同來構(gòu)造該多項式,并稱該多項式為“二元隨機聯(lián)合多項式”。不失一般性,假設(shè)對于任意成員Pi(i=1,2,...,n)有,可知,gi(y)是一個對于y的t-1次多項式。再由gi(y)生成得到g(x,y),為了防止發(fā)起者能夠得到他人信息,我們在運算中加入一個配置階段,具體算法如下 計算協(xié)議(Computation Protocol) ■算法輸入n名成員共同完成運算c=aΘb,其中,a和b為秘密輸入,Θ可表示加、減、乘、除等運算。對于每名成員Pi(i=1,2,...,n),它具有秘密輸入的一對共享ai和bi; ■算法輸出計算得到結(jié)果c=aΘb,并且每名成員獲得結(jié)果c的分享c1,c2,...,cn。
●計算階段 已知兩個秘密值a,b的分享片段a1,a2,...,an和b1,b2,...,bn,對于i=1,2,...,n,任意成員Pi計算 ●配置階段 每一個成員Pi,采用偽隨機數(shù)算法構(gòu)造一個隨機二元多項式 hi(x,y)=ξ′i,1xy+...+ξ′i,t-1(xy)t-1+v′i,1y+...+v′i,t-1yt-1(4) 用于計算hi(xj,xk),其中,xj和xk為成員標(biāo)識ID的數(shù)學(xué)表示。并給成員Pj(j=1,2,...,n)發(fā)送hi(xj,xk),其中k=1,2,...,n。
●重組合階段 然后,Pi收集所有發(fā)送給他的hl(xi,xk),其中,l∈1,2,...,n和k∈1,2,...,n,即Pi總共接受到n*n個數(shù)據(jù),并根據(jù)上述數(shù)據(jù)計算 由此,Pi獲得n個數(shù)據(jù){hi(x1),hi(x2),...,hi(xn)}。它的生成多項式為聯(lián)合隨機二元多項式hi(y)=ξ1xiy+...+ξt-1(xiy)i-1+v1y+...+vt-1yt-1(6) 其中,和 ●再共享階段 任意成員Pi利用t-1次的聯(lián)合隨機二元多項式hi(y)對
進(jìn)行再共享,即對{hi(x1),hi(x2),...,hi(xn)}計算 最后生成一組共享片段
并將
發(fā)送給Pj。
●重構(gòu)階段 對于任意成員Pj(j=1,2,...,n),獲得一組共享片段
利用該組數(shù)據(jù)計算 其中,為重組向量。
通過上述步驟,每名成員Pi獲得c=aΘb的共享ci,所有共享c1,c2,...,cn決定c=ab。
在上述計算過程中,希望第2步中各成員生成的隨機多項式是真實的和可信的,而不是一些隨機數(shù),或者是敵手篡改后的數(shù)據(jù),并且,希望在不知道秘密或其分享的任何信息的情況下做到這種驗證。顯然,可以利用密碼學(xué)中的零知識證明實現(xiàn),但可以利用一種更為簡單的驗證方法,并保證沒有錯誤概率,具體方法如下 (1)基于糾錯碼的檢驗方法 這里通過糾錯碼(Error Correcting Codes)理論進(jìn)行驗證。如果配置階段是正確的,并且在再分享階段Pi發(fā)送的分享到Pj;然后,當(dāng)Pj接收得到序列
該序列中數(shù)據(jù)應(yīng)該是同一個多項式fj(x)=g(x,wj)中的點,該多項式關(guān)于x是2t-2次的。因此Pj可以通過利用接收的值計算方程 其中,wi為成員標(biāo)識的數(shù)學(xué)表示。如果該等式不為零,即可找出哪個值出錯。進(jìn)而利用Reed-Solomon碼中的Welch-Berlekamp算法可定位并改正錯誤。上述驗證方法可以驗證錯誤并糾正錯誤。
根據(jù)上述糾錯碼思想并結(jié)合本發(fā)明,上述算法中的第2、4、5步分別包含一個校驗,分別記為V1,V2,V3準(zhǔn)則。這些準(zhǔn)則定義如下 驗證協(xié)議(Verification Protocol) ●準(zhǔn)則V1在配置階段,每個成員Pj收到hi(xj,xk),i,k∈[1,n],他能夠利用糾錯碼的理論在集合{hi(xj,x1),hi(xj,x2),...hi(xj,xn)}檢測并糾正錯誤,因為這些元素通過生成多項式hi(x,y)連接。如果某個錯誤發(fā)生,打印從數(shù)據(jù)Pi到Pj的數(shù)據(jù)。更進(jìn)一步,Pj可以通過多項式hi(x)檢測集合{hi(x1),hi(x2),...hi(xn)}上的錯誤。
●準(zhǔn)則V2在再共享階段,每一個Pj通過檢驗共享
驗證共享的一致性,這些分享由二元多項式gi(x)=g(x,xi)生成。這樣的驗證可以找到在配置和再共享階段的偶然性錯誤和群組錯誤。
●準(zhǔn)則V3在重構(gòu)階段,每個參與者Pi只得到降階多項式的一個共享ci,結(jié)果的一致性可以在一個誠實驗證者的幫助下利用所有分享得到驗證。
這些準(zhǔn)則沒有基于困難問題的假設(shè)而只依賴于糾錯碼的概念。驗證協(xié)議保證誠實成員可以解開唯一的秘密。
(2)基于可驗證共享的檢驗方法 可驗證安全共享在協(xié)議構(gòu)造和安全多方計算中起著重要的作用。本發(fā)明所提實施例的另一個有效攻擊是對第二步中對隨機多項式結(jié)構(gòu)的修改,包括增加常數(shù)項、增加多項式次數(shù)、增加無關(guān)項等。如何檢驗這些攻擊采用信息論安全是困難而且費事的,這里我們提出一種基于計算安全的檢測方法。本方法是將多項式共享框架和Gp上的承諾函數(shù)(Commitment)結(jié)合起來設(shè)計實現(xiàn)的,并且依靠有限域上求解對數(shù)問題困難假設(shè),而不需要進(jìn)行成員間的交互,因此,該方法也稱為非交互性可驗證安全共享協(xié)議。
在本實施例中,這種安全共享協(xié)議能夠保證成員將隨機多項式分配給系統(tǒng)中各成員,并且必須保證隨機多項式的正確性和合法性,同時他也解決了從域Gp中有效共享一個秘密的問題。為了達(dá)到此目標(biāo),假設(shè)群Gp,生成元為g,h是一個公開參數(shù),并滿足x=loggh,其中,x作為密鑰被系統(tǒng)保密。所提可驗證安全分享協(xié)議定義如下 可驗證安全分享協(xié)議(VSSP) ●分享的分配發(fā)起者選取兩個Zq上的至多為t-1次的隨機多項式 其中a0=s,b0=u。發(fā)起者對多項式保密但公布相關(guān)的承諾發(fā)起者通過秘密信道將分享si=f(xi),ui=g(xi)分配給Pi。
●分享的驗證Pi利用Cj的值計算利用g,h,si,ui,Pi計算承諾并驗證方程 E(si,ui)=Ei 如果發(fā)起者收到來自參與者的抱怨,他將拒絕這次執(zhí)行。
上面協(xié)議成立的原因在于在第二步中檢驗隨機多項式時,成員Pi須將等式f(x)改為等式(4)中的hi(x,y),這會導(dǎo)致多項式項數(shù)增加,g(x)也應(yīng)相應(yīng)調(diào)整為hi(x,y)形式,并保證同時,另s=0,u=0,以保證常數(shù)項為空。再分享的驗證中,
權(quán)利要求
1.一種具有容錯功能的密碼學(xué)分布式計算與分步檢驗方法,其步驟為
1)每個成員獨立完成所具有共享的運算;
2)各成員按照所需的訪問結(jié)構(gòu),通過數(shù)據(jù)隨機選擇生成隨機多項式或隨機矩陣,并對該隨機多項式或隨機矩陣誘導(dǎo)出的數(shù)據(jù)進(jìn)行相互間的交換;
3)各成員利用接收到的所述隨機多項式或隨機矩陣數(shù)據(jù)生成聯(lián)合隨機多項式或聯(lián)合隨機矩陣;
4)采用所述聯(lián)合隨機多項式或聯(lián)合隨機矩陣對步驟1)的計算結(jié)果進(jìn)行再共享,并將該再共享結(jié)果分發(fā)到各成員;
5)判斷整個計算任務(wù)是否結(jié)束,如果沒有結(jié)束則重復(fù)上述步驟1)~4),如果結(jié)束則每個成員對收到的再共享數(shù)據(jù)進(jìn)行組合與重構(gòu),獲得最終計算結(jié)果的新共享;
6)每個成員通過彼此交換所述新共享,重構(gòu)出真實的最終計算結(jié)果。
2.如權(quán)利要求1所述的方法,其特征在于所述通過數(shù)據(jù)隨機選擇生成隨機多項式,并對該隨機多項式誘導(dǎo)出的數(shù)據(jù)進(jìn)行相互間的交換方法為任意成員Pi構(gòu)造一隨機二元多項式并將計算結(jié)果發(fā)送給每一個成員,其中xj和xk為成員標(biāo)識ID的數(shù)學(xué)表示,t為非正常成員總數(shù),且滿足n≥3t+1,k=1,2,...,n,i=1,2,...,n,j=1,2,...,n,n為參與計算的成員總數(shù)。
3.如權(quán)利要求2所述的方法,其特征在于所述各成員利用接收到的所述隨機多項式數(shù)據(jù)生成聯(lián)合隨機多項式的方法為所述成員Pi根據(jù)接收到的n*n個數(shù)據(jù)hl(xi,xk)計算并根據(jù)獲得的n個數(shù)據(jù){hi(x1),hi(x2),…,hi(xn)}生成聯(lián)合隨機二元多項式hi(y)=ξ1xiy+…+ξt-1(xiy)t-1+v1y+…+vt-1yt-1,其中l(wèi)∈1,2,…,n,k∈1,2,…,n,
4.如權(quán)利要求3所述的方法,其特征在于所述步驟4)的實現(xiàn)方法為所述成員Pi根據(jù)數(shù)據(jù){hi(x1),hi(x2),…,hi(xn)}計算生成一組共享片段
并將
發(fā)送給成員Pj。
5.如權(quán)利要求4所述的方法,其特征在于所述步驟5)中新共享的生成方法為所述成員Pj利用接收的一組共享片段
計算其中,為重組向量。
6.如權(quán)利要求4所述的方法,其特征在于采用基于糾錯碼的檢驗方法驗證所述步驟2)中的隨機二元多項式,其方法為Pj利用接收的一組共享片段
計算如果該等式不為零,即可找出出錯的成員,進(jìn)而利用Reed-Solomon碼中的Welch-Berlekamp算法定位并改正錯誤;其中,wi為成員標(biāo)識的數(shù)學(xué)表示。
7.如權(quán)利要求3所述的方法,其特征在于所述步驟2)中,對該隨機多項式誘導(dǎo)出的數(shù)據(jù)進(jìn)行相互間的交換時,當(dāng)某一成員Pj接收到成員Pi發(fā)送的隨機二元多項式hi(xj,xk)后,所述成員Pj檢測集合{hi(xj,x1),hi(xj,x2),…h(huán)i(xj,xn)}并糾正錯誤;進(jìn)一步的,所述成員Pj利用所述聯(lián)合隨機二元多項式hi(x)檢測所述數(shù)據(jù)集合{hi(x1),hi(x2),…h(huán)i(xn)}上的錯誤。
8.如權(quán)利要求4所述的方法,其特征在于所述步驟4)中,將該再共享結(jié)果分發(fā)到各成員時,每一個成員Pj通過檢驗所述共享片段
驗證共享的一致性。
9.如權(quán)利要求1所述的方法,其特征在于采用一個誠實驗證者并利用所有所述新共享驗證所述最終計算結(jié)果的一致性。
10.如權(quán)利要求1所述的方法,其特征在于所述步驟2)中,隨機多項式誘導(dǎo)出的數(shù)據(jù)進(jìn)行相互間的交換時遵循可驗證安全分享協(xié)議
1)分享的分配發(fā)起者選取兩個Zq上的至多為t-1次的隨機多項式
其中,對于待檢驗秘密值s,u,令a0=s,b0=u,發(fā)起者對多項式保密但公布相關(guān)的承諾發(fā)起者通過秘密信道將分享si=f(xi),ui=g(xi)分配給Pi;
2)分享的驗證Pi利用Cj的值計算利用g,h,si,ui,Pi計算承諾并驗證方程E(si,ui)=Ei,如果發(fā)起者收到來自參與者的抱怨則將拒絕本次執(zhí)行;
其中,aj和bj為多項式f(x)和g(x)的隨機系數(shù)(j=0,…,t-1),n為參與計算的成員總數(shù),t為非正常成員總數(shù),xk為成員標(biāo)識ID的數(shù)學(xué)表示;g為群Gp中的生成元,h是一個公開參數(shù),并滿足x=loggh,作為密鑰被系統(tǒng)保密。
全文摘要
本發(fā)明公開了一種具有容錯功能的密碼學(xué)分布式計算與分步檢驗方法,屬于分布式計算領(lǐng)域,本發(fā)明的方法為1)每個成員獨立完成所具有共享的運算;2)各成員按照所需的訪問結(jié)構(gòu),生成隨機多項式并對該隨機多項式誘導(dǎo)出的數(shù)據(jù)進(jìn)行交換;3)各成員利用接收到的隨機多項式數(shù)據(jù)共同生成的聯(lián)合隨機多項式;4)采用聯(lián)合隨機多項式對步驟1)的計算結(jié)果進(jìn)行再共享,并將該再共享結(jié)果分發(fā)到各成員;5)每個成員對收到的再共享數(shù)據(jù)進(jìn)行組合與重構(gòu),獲得最終計算結(jié)果的新共享;6)每個成員通過交換新共享,重構(gòu)出真實的計算結(jié)果。本發(fā)明的方法具有高效性、容錯性和協(xié)議的安全性,克服了傳統(tǒng)算法通信量巨大、效率低的問題,同時保證安全計算的連續(xù)性。
文檔編號H04L29/08GK101325596SQ200810111190
公開日2008年12月17日 申請日期2008年6月12日 優(yōu)先權(quán)日2007年11月13日
發(fā)明者巖 朱, 王懷習(xí), 馮榮權(quán), 維 鄒 申請人:北京大學(xué)