(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210899024.X (22)申请日 2022.07.28 (71)申请人 上海光之树科技有限公司 地址 200433 上海市杨 浦区国和路6 0号 (72)发明人 袁晨　夏长达　沈敏均　夏家骏　 张珣　张佳辰　 (74)专利代理 机构 广州鼎贤知识产权代理有限 公司 44502 专利代理师 刘莉梅 (51)Int.Cl. H04L 9/08(2006.01) (54)发明名称 带鲁棒性的多人秘密分享方法 (57)摘要 本发明公开了一种带鲁棒性的多人秘密分 享方法， 在秘密分发环节， 多项式f(x)为t次多项 式， 保证了任意t个人无法知 道完整的秘密信息； 在秘密恢复环节， 诚实的参与方之间可以使 得等 式满足要求， 从而永远会保留在集合S中， 而恶 意 敌人最终若留在S中， 说明其至少通过了一个诚 实参与方的认证， 根据哈希函数的防碰撞属性， 该恶意敌手持有的秘密份额f(i)大概率是正确 的， 从而认定留在S中的各参与方持有的秘密份 额f(i)都是正确的， 最终可根据至少t+1个S中的 秘密份额构造 出多项式f(x)， 并输 出f(0)为恢复 得到的所述秘密s。 通过上述方法增加了秘密分 享的鲁棒 性。 权利要求书1页 说明书4页 附图1页 CN 115225270 A 2022.10.21 CN 115225270 A 1.一种带鲁棒 性的多人秘密分享方法， 其特 征在于， 步骤 包括： S1， 诚实参与方D随机生成一个t次多项式f(x)使得f(0)＝s， 并将秘密s分解为N个份 额 ， 然 后 使 用 认 证 函 数 h 对 每 个 所 述 份 额 f (i) 进 行 认 证 ， 认 证 结 果 记 为 然后将所述份额f(i)、 认证所述份额f(i)时使用的N 把钥匙ki1，…， kij，…， kiN和所述认证结果形成为综合信息Zi分发给持有方Pi， i＝1， 2， 3， … N， j表示第j把所述钥匙， j＝1， 2， 3， …N， t表示敌手数量； S2， 每个所述持有方Pi接收到秘密恢复指令后， 广播持有的综合信息， 广播的信息记为 Z′i， 然后所述诚实参与方D提取出每条广 播信息Z′i中携带的每把钥匙ki1，…， kij，…， kiN以 通过所述认证函数h对Z ′i中携带的份额f ′(i)进行认证， 得到认证结果， 记为 然后对于固定的i， 判断是否存在至少t+1个j使得 以下等式(1)不成立， 若是， 则判定所述持有方Pi持有的所述份额f(i)损坏， 然后转入步骤S3； 若否， 则转入步骤S3； 公式(1)中， 表示使用Z ′i携带的第j把钥匙k ′ij对Z′i中携带的f ′(i)进行认证 的认证结果； S3， 返回步骤S2， 使用所述认证函数h继续对下一个持有方的广播信息中携带的份额进 行认证， 直至 完成对所有所述持有方的份额认证， 然后转入步骤S4； S4， 基于判 定未损坏的关联每个所述持有方Pi的所述份额f(i)， 构造所述多项 式f(x)， 并输出f(0)为恢复得到的所述秘密s。 2.根据权利要求1所述的带鲁棒 性的多人秘密分享方法， 其特 征在于， N+1＝2 t+2。 3.根据权利要求1所述的带鲁棒性的多人秘密分享方法， 其特征在于， 为所述 份额f(i)的哈希值， 所述认证函数h为哈希函数。 4.根据权利要求1所述的带鲁棒性的多人秘密分享方法， 其特征在于， 步骤S4中， 通过 以下公式(2)构造所述多 项式f(x)： 公式(2)中， S表示 步骤S2中判定未损坏的所述份额f(i)指代的i元 素的集合。权　利　要　求　书 1/1 页 2 CN 115225270 A 2带鲁棒性的多人 秘密分享方 法 技术领域 [0001]本发明涉及信息安全技 术领域， 具体涉及一种带鲁棒 性的多人秘密分享方法。 背景技术 [0002]目前， 多方安全计算中使用的秘密分享方案， 以加性秘密分享和Shamir秘密分享 为主。 加性秘密分享将一个秘密s表达为 其中， 每个xi是对秘密s分解后分发给 每个参与者的秘密份额。 而Shamir秘密分享中， 通过生 成一个t次随机多项式f(x)， 并使 得f (0)＝s， f(i)＝xi， i表示的第i个秘密 份额分发对象。 但加性秘密分享和Shamir秘密分享不 具有容错机制， 若有恶意敌手对秘密分享过程进行破坏， 需要额外的步骤进行纠错和秘密 恢复， 这在一定程度上增 加了多方安全的计算 开销和通讯开销。 发明内容 [0003]本发明以增加秘密分享的鲁棒性， 即便秘密分享过程有恶意敌手破坏， 也依然能 够恢复出原来的秘密为目的， 提供了一种带鲁棒 性的多人秘密分享方法。 [0004]为达此目的， 本发明采用以下技 术方案： [0005]提供一种带鲁棒 性的多人秘密分享方法， 步骤 包括： [0006]S1， 诚实参与方D随机生成一个t次多项式f(x)使得f(0)＝s， 并将秘密s分解为N个 份额 ， 然 后使 用认证函数 h 对每 个所 述 份额f (i) 进行 认证 ， 认证结 果 记为 然后将所述份额f(i)、 认证所述份额f(i)时使用的N 把钥匙ki1，…， kij，…， kiN和所述认证结果形成为综合信息Zi分发给持有方Pi， i＝1， 2， 3， … N， j表示第j把所述钥匙， j＝1， 2， 3， …N， t表示敌手数量； [0007]S2， 每个所述持有方Pi接收到秘密恢复指令后， 广播持有的综合信息， 广播的信息 记为Z′i， 然后所述诚实参与方D提取出每条广播信息Z ′i中携带的每把钥匙ki1，…， kij，…， kiN以通过所述认证函数h对Z ′i中携带的份额f ′(i)进行认证， 得到认证结果， 记为 然后对于固定的i， 判断是否存在至少t+1个j使得 以下等式(1)不成立， [0008]若是， 则判定所述持有方Pi持有的所述份额f(i)损坏， 然后转入步骤S3； [0009]若否， 则转入步骤S3； [0010] [0011]公式(1)中， 表示使用Z′i携带的第 j把钥匙k ′ij对Z′i中携带的f ′(i)进行 认证的认证结果； [0012]S3， 返回步骤S2， 使用所述认证函数h继续对下一个持有方的广播信息中携带的份 额进行认证， 直至 完成对所有所述持有方的份额认证， 然后转入步骤S4； [0013]S4， 基于判定未损坏的关联每个所述持有方Pi的所述份额f(i)， 构造所述多项式f (x)， 并输出f(0)为恢复得到的所述秘密s。说　明　书 1/4 页 3 CN 115225270 A 3