李 國(guó)，殷俊鋒，李 靜

(中國(guó)民航大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，天津 300300)

0 引 言

“秘密共享”[1,2]描述了將秘密信息S進(jìn)行分割，分割后的部分信息稱為一個(gè)共享“share”。將share分發(fā)給具有保密權(quán)限的人員(稱為“參與者”)，每個(gè)參與者持有其中的一個(gè)share分片，即秘密信息的一部分。部分參與者將持有的share分片結(jié)合起來(lái)，就能恢復(fù)秘密信息S。

拉丁方的數(shù)學(xué)結(jié)構(gòu)[3]也被用來(lái)探究建立秘密共享方案的模型，構(gòu)建了基于拉丁方特性的秘密共享方案[4-6]?；诶》健芭R界集”[7]的秘密共享方案通過(guò)分發(fā)“臨界集”來(lái)實(shí)現(xiàn)秘密共享，但找到一個(gè)階數(shù)n較大的拉丁方臨界集是非常困難的，這使得基于拉丁方臨界集的秘密共享方案初始化和重構(gòu)難以實(shí)現(xiàn)。此外用于秘密共享的拉丁方臨界集直接暴露也使得該類型的秘密共享方案存在缺陷。

針對(duì)早前一系列拉丁方秘密共享方案存在的問(wèn)題，本文提出了一種拉丁方秘密共享方案。該方案利用拉丁方“輪廓與合適的自合痕”可唯一恢復(fù)該拉丁方的特性，將隨機(jī)生成的部分拉丁方與特殊自合痕構(gòu)造的拉丁方經(jīng)過(guò)合痕轉(zhuǎn)換后作為“秘密”，從該秘密拉丁方中隨機(jī)選擇“輪廓”，經(jīng)過(guò)合痕轉(zhuǎn)換后構(gòu)造門限方案進(jìn)行秘密共享。對(duì)于秘密的重構(gòu)則需收集一定數(shù)量的share分片來(lái)進(jìn)行秘密拉丁方的恢復(fù)。本方案初始化階段簡(jiǎn)單易操作，在秘密拉丁方的重構(gòu)階段也簡(jiǎn)化了不必要的步驟，同時(shí)引入了秘密分片的保護(hù)措施，提高了秘密共享的安全性。此外還在秘密共享方案的容錯(cuò)性和秘密共享的多級(jí)方案等方面有所提高。

1 相關(guān)知識(shí)

1.1 拉丁方

(1)由正整數(shù)和0組成的n行n列的方陣，在這個(gè)方陣?yán)?，恰有n種不同的元素，每一種不同的元素在同一行或同一列里只出現(xiàn)一次。用i,j∈{0,1,2,…,n-1}且n>1分別表示元素k在第i行，第j列的索引。則方陣中任意一個(gè)元素k可以用三元組(i,j∶k)來(lái)表示。

如圖1所示，左側(cè)拉丁陣第2行第1列的元素2可以表示為(2,1∶2)。當(dāng)i,j∈{1,2,…,n}且n>2時(shí)，右側(cè)拉丁陣第2行第2列的元素3可以使用(2,2∶3)來(lái)表示。

圖1 3階拉丁方

(2)部分拉丁方：設(shè)N是n個(gè)不同元素的集合，P是一個(gè)n階方陣，若N中的每一個(gè)元素在P中只出現(xiàn)一次，則稱P是定義在N上的一個(gè)部分n階拉丁方，P中有些位置可以為“空”[8]。圖2是在不同位置元素為空的部分3階拉丁方。

圖2 部分3階拉丁方

1.2 合痕與自合痕

含有n個(gè)元素的有限群A的全體置換做成的群，叫作n次對(duì)稱群，通常記為Sn。令I(lǐng)n=Sn×Sn×Sn，其中Sn是作用于[n]的n次對(duì)稱群[9]。對(duì)于每一個(gè)映射θ=(α,β,γ)∈In。令三元組(i，j∶k)表示拉丁方L中i行，j列的元素k。當(dāng)三元組通過(guò)α交換行的索引，β交換列的索引，γ交換元素符號(hào)后得到一個(gè)新的拉丁方θ(L)，即：θ(L)=θ((i’,j’∶k’))=(α(i),β(j)∶γ(k))，i，j∈Zn。

則這種映射θ被稱為合痕，經(jīng)過(guò)合痕轉(zhuǎn)換后的拉丁方θ(L)與拉丁方L是合痕的。而拉丁方L經(jīng)過(guò)映射θ轉(zhuǎn)換后得到的所有同階拉丁方稱為L(zhǎng)的合痕類[10]。

如果θ=(α,β,γ)∈In滿足θ(L)=L，即拉丁方L經(jīng)過(guò)合痕轉(zhuǎn)換得到該拉丁方L本身，則這種特殊的合痕θ是拉丁方L的一個(gè)自合痕，即：L(i，j∶k)=θ(L)=θ((i’，j’∶k’))=(α(i),β(j)∶γ(k))，i，j∈Zn。

1.3 輪 廓

在拉丁方L中挑選部分三元組集合構(gòu)成一個(gè)部分拉丁方P，在一個(gè)合適的自合痕θ作用下經(jīng)過(guò)循環(huán)置換可以重構(gòu)拉丁方L，則稱這個(gè)部分拉丁方P為“輪廓”，使用“C”來(lái)表示[11]。

算法1： 輪廓C與合適的自合痕θ生成拉丁方L。

輸入： 輪廓C， 自合痕θ

輸出： 拉丁方L

(1)L ← n×n arrays

(2) for i← 0 to n-1

(3) for j← 0 to n-1

(4) if(C[i][j]≠null)

(5) for k∈{0,1,…,n-1}

(6) L[i][j]←θk(C[i][j])

(7) endfor

(8) endif

(9) endfor

(10) endfor

(11) return L

例如：當(dāng)自合痕θ=((012),(012),(012))的時(shí)候，使用算法1從輪廓C經(jīng)過(guò)循環(huán)置換可以得到拉丁方陣L。圖3是(C,θ)生成拉丁方L的具體過(guò)程[12]。

圖3 輪廓C與合適的自合痕θ生成拉丁方L

2 拉丁方秘密共享方案

2.1 方案初始化步驟

利用拉丁方“輪廓與合適的自合痕”可唯一恢復(fù)該拉丁方的特性，將隨機(jī)生成的部分拉丁方P與特殊自合痕ξ構(gòu)造的先導(dǎo)拉丁方Lpre經(jīng)過(guò)合痕轉(zhuǎn)換后生成的拉丁方L作為“秘密S”，從該秘密拉丁方L中選擇部分三元組得到輪廓C與合適的自合痕θ，隨后將經(jīng)過(guò)合痕轉(zhuǎn)換后的C’中的三元組集合進(jìn)行隨機(jī)分割，得到的碎片稱為“share”。由唯一具有分發(fā)授權(quán)的參與者將share分片隨機(jī)分發(fā)給其它N個(gè)參與者δ1,δ2,…,δN。 δ持有的部分信息作為秘密拉丁方的共享“share”。該拉丁方秘密共享方案主要有以下4步：

步驟1 在特殊自合痕ξ下生成先導(dǎo)拉丁方Lpre。隨機(jī)構(gòu)造一個(gè)n階部分拉丁方P。令i∈{0，1，…，n/2-1}，隨機(jī)選擇ki∈{0，n/2}。得到P的三元組集合A[12]，即：A={(n/2-1-i,i∶ki)，(n-1-i，n/2+i∶ki)，(n-1-i,i∶n/2-ki)，(n/2-1-i，n/2+i∶n/2-ki).}以n=6為例，從三元組集合A中得到部分拉丁方P

令特殊自合痕ξ=(τ,τ,τ)，τ=(0,1,…,n/2-1)(n/2,n/2+1,…,n-1)。定理1和算法1保證了(P,ξ)生成拉丁方Lpre。當(dāng)n=6時(shí)，ξ=((012)(345),(012)(345),(012)(345))，部分拉丁方P與特殊自合痕ξ可以得到秘密拉丁方L的先導(dǎo)拉丁方Lpre

定理1 令D=(di,j)是一個(gè)部分n階拉丁方陣，其中包含2n個(gè)已經(jīng)定義的元素，每個(gè)元素都屬于{0，n/2}。當(dāng)且僅當(dāng)：

(1)每個(gè)塊M11、M12、M21和M22都精確地包含n/2個(gè)元素；

(2)如果(i,j,di,j)和(i’,j’,d’i,j)是一個(gè)塊中的兩個(gè)不同的項(xiàng)，那么j-j’≡i-i’(mod n/2)

然后，(D,ξ)生成一個(gè)拉丁方。(特別注意的是定理1必須保證在n≡2(mod4)情況下成立。)

證明：這是一個(gè)定理的特殊情況[13]。

步驟2 隨機(jī)生成秘密拉丁方L與自合痕θ；

隨機(jī)生成一個(gè)合痕Φ，令L=Φ(Lpre)，將拉丁方L作為秘密S。根據(jù)引理1可知：由Lpre的特殊自合痕ξ=(τ,τ,τ)與合痕Φ進(jìn)行運(yùn)算，可以得到L=Φ(Lpre)的自合痕θ=ΦξΦ-1。例如：隨機(jī)生成Φ=((15234),(134),(1243))，則秘密拉丁方L

由引理1可知，Lpre的特殊自合痕ξ與合痕Φ和Φ-1經(jīng)過(guò)循環(huán)置換得到L=Φ(Lpre)的自合痕θ=ΦξΦ-1=((053)(124),(032)(154),(024)(135))。

引理1令λ∈S3。令θ、Φ∈In，并且L是一個(gè)n階拉丁方。然后：

(1)當(dāng)且僅當(dāng)ΦξΦ-1∈Atp(Φ(L))時(shí)，θ∈Atp(L)；

(2)當(dāng)且僅當(dāng)θλ∈Atp(Lλ)時(shí)，θ∈Atp(L)。

引理1的證明在文獻(xiàn)[14]。

步驟3 利用秘密拉丁方L的輪廓C得到C’；

在拉丁方L中選擇m∈(n2/3≤m≤n2/2且N取整數(shù))個(gè)三元組得到輪廓C，再隨機(jī)生成合痕Φ’，令C’=Φ’(C)。利用C’包含的三元組構(gòu)造(K，N)門限秘密共享方案。

例如在L中挑選15個(gè)三元組組成輪廓C，隨機(jī)生成合痕Φ’=((145),(14352),(1423))

將輪廓C包含的三元組在合痕Φ’下進(jìn)行合痕轉(zhuǎn)換得到C’

由于輪廓C是秘密拉丁方L的一部分，將C直接分發(fā)給參與者后每個(gè)參與者就得到了秘密拉丁方L的一部分信息，相當(dāng)于直接暴露了秘密S的一部分，一個(gè)不懷好意的攻擊者極有可能利用這些裸露的share分片進(jìn)行攻擊從而得到整個(gè)秘密拉丁方L。為了避免這一情況的發(fā)生，進(jìn)行上述操作，經(jīng)過(guò)合痕轉(zhuǎn)換后的C’不包含秘密拉丁方L的任何信息，避免了在之前的拉丁方秘密共享方案中share分片等重要信息的直接暴露，增加了秘密拉丁方L的安全性，防止部分秘密分片的泄露危害整個(gè)秘密的安全，進(jìn)而保證了秘密S的足夠安全。

步驟4 將C’進(jìn)行隨機(jī)分發(fā)；

根據(jù)(K,N)門限秘密共享方案[15]的要求由具有安全權(quán)限的分發(fā)者將C’隨機(jī)分發(fā)給N個(gè)參與者(K值可以根據(jù)實(shí)際情況的要求進(jìn)行隨機(jī)選擇)，得到δ1-δN的三元組集合，每個(gè)參與者得到的share分片所包含的信息量是相同的。

例如在K=4，N=5時(shí)構(gòu)造(4，5)門限秘密共享方案，將C’分為5份：δ1-δ5，每個(gè)δ中包含了3個(gè)三元組集合，每一份的詳細(xì)構(gòu)造如下

δ1=((0，0∶5)，(3，0∶0)，(4，2∶2)), δ2=((1，0∶3)，(3，3∶4)，(2，5∶5)), δ3=((1，3∶1)，(4，5∶0)，(2，4∶2)), δ4=((1，4∶0)，(4，1∶5)，(2，2∶1)), δ5=((5，4∶3)，(0，3∶2)，(5，1∶4)).

在早期的拉丁方秘密共享方案中，含有秘密的share分片不能丟失，不能損毀，缺少任何一個(gè)share分片就不能進(jìn)行秘密的恢復(fù)?；诖耍疚闹性诿孛芊职l(fā)過(guò)程中利用門限秘密共享方案增加了早前拉丁方秘密共享方案所沒(méi)有的“容錯(cuò)性”，K個(gè)或者多于K個(gè)share分片結(jié)合在一起就能夠恢復(fù)秘密拉丁方L。因此本方案可以容忍一定數(shù)量的share分片丟失或損毀，剩余的share分片同樣能夠恢復(fù)秘密拉丁方L。

對(duì)于前文構(gòu)造的(4，5)門限秘密共享方案來(lái)說(shuō)：任意得到δ1-δ5中的4個(gè)share分片，就可以利用本文中的拉丁方秘密共享方案的恢復(fù)過(guò)程解得秘密拉丁方L，進(jìn)而得到秘密S。該拉丁方秘密共享方案的“容錯(cuò)性”極大減少了秘密丟失的風(fēng)險(xiǎn)，有力提高了秘密保護(hù)的安全性。

經(jīng)過(guò)拉丁方秘密共享方案的初始化步驟后，每個(gè)參與者可以得到C’的一部分信息share分片，自合痕θ與合痕Φ’是公開的。但這種公開是有條件的，為了秘密的足夠安全，不會(huì)把θ與Φ’公開給所有人，只會(huì)將它們公開給具有權(quán)限的參與者。換句話說(shuō)，本方案選擇將θ、Φ’與C’一起分發(fā)給參與者。圖4描述了該拉丁方秘密共享方案的初始化流程。(PRNG是偽隨機(jī)數(shù)發(fā)生器)。

圖4 方案初始化流程

2.2 秘密拉丁方L的重構(gòu)

秘密拉丁方L的重構(gòu)是初始化的逆過(guò)程，首先收集部分參與者持有的“share”分片結(jié)合組成C’，由隨機(jī)合痕Φ’經(jīng)過(guò)運(yùn)算得到Φ’-1。C’與Φ’-1經(jīng)過(guò)循環(huán)置換的逆過(guò)程得到輪廓C，C與自合痕θ利用算法1恢復(fù)秘密拉丁方L，進(jìn)而得到秘密S。方案的主要過(guò)程有以下兩步：

步驟1 根據(jù)(K,N)門限秘密共享方案的要求，任意收集K到N個(gè)參與者持有的share分片組合起來(lái)得到C’，同時(shí)得到自合痕θ與合痕Φ’，將合痕Φ’求逆得到Φ’-1

θ=((053)(124),(032)(154),(024)(135))， Φ’-1=((541),(25341),(3241))；

C’與Φ’-1經(jīng)過(guò)循環(huán)置換的逆過(guò)程得到輪廓C

步驟2 將輪廓C中的元素使用三元組表示，與自合痕θ結(jié)合，使用算法1根據(jù)拉丁方的定義經(jīng)過(guò)循環(huán)置換后就能夠重構(gòu)秘密拉丁方L，得到秘密S。以下是輪廓C中的三元組集合通過(guò)自合痕θ進(jìn)行循環(huán)置換的詳細(xì)步驟

通過(guò)上述的運(yùn)算可以得到秘密拉丁方L各個(gè)位置元素的三元組集合，因此就能重構(gòu)秘密拉丁方L，得到秘密S

在之前的秘密共享方案中，一個(gè)很重要的問(wèn)題就是無(wú)法保證收集share分片的正確性，由此恢復(fù)的秘密正確性受到質(zhì)疑。在本文秘密拉丁方的重構(gòu)過(guò)程中，如果得到的輪廓C與自合痕θ不能重構(gòu)拉丁方L，證明收集的share分片出現(xiàn)了錯(cuò)誤，需要重新收集正確的share分片。換句話說(shuō)，拉丁方L具有“自檢測(cè)性”。這個(gè)特性避免了使用錯(cuò)誤的share分片去重構(gòu)拉丁方L，并且對(duì)于恢復(fù)秘密的正確性也有足夠的保證。圖5描述了秘密拉丁方L重構(gòu)S的流程。

圖5 方案重構(gòu)流程

2.3 分片泄露后的秘密保護(hù)措施

以往的拉丁方秘密共享方案中沒(méi)有考慮秘密分片泄露后如何進(jìn)行秘密的恢復(fù)保護(hù)。例如一個(gè)參與者不小心把自己持有的share分片泄露出去，某些不懷好意的攻擊者極有可能利用這些泄露的share分片進(jìn)行攻擊從而得到需要保護(hù)的秘密。為了秘密的安全，需要將這些有可能泄露的秘密進(jìn)行替代或者使用新的方法再次進(jìn)行加密，這個(gè)過(guò)程是非常耗費(fèi)時(shí)間以及其它資源的。能否在share分片泄露后丟棄這些具有潛在泄密風(fēng)險(xiǎn)的share分片，同時(shí)進(jìn)行share分片的更新，使用新的share分片來(lái)進(jìn)行秘密共享，在不更換秘密的情況下盡最大可能進(jìn)行秘密的保護(hù)是值得考慮的。

本文的拉丁方秘密共享方案可以有效解決這一問(wèn)題，假如部分share分片由于某些未知原因丟失或者泄露，為了保護(hù)秘密的安全，可以實(shí)行以下“分片泄露后的秘密保護(hù)措施”，對(duì)本方案進(jìn)行如下的改進(jìn)：

(1)即對(duì)于泄露的分片，同樣將它們收集起來(lái)，運(yùn)行秘密拉丁方L重構(gòu)過(guò)程的第一步：利用門限秘密共享方案將δ1-δN收集起來(lái)組成C’，運(yùn)行恢復(fù)過(guò)程C=Φ’-1(C’)得到輪廓C，將失去作用的C’和Φ’丟棄。

(2)重新生成一個(gè)隨機(jī)合痕Φ’，重復(fù)初始化過(guò)程的第3、4步，再將輪廓C使用Φ’進(jìn)行合痕轉(zhuǎn)換生成新的C’，對(duì)C’構(gòu)造門限秘密共享方案進(jìn)行重新分發(fā)。

例如：假若由于某些原因載有秘密信息的share分片泄露，先采取措施(1)，通過(guò)拉丁方重構(gòu)過(guò)程中的第一步得到輪廓C

再采取措施(2)，重新生成一個(gè)新的合痕Φ’=((2543),(13245),(254)，得到新的C’

得到C’后通過(guò)初始化階段的步驟4進(jìn)行秘密分片的重新分發(fā)。對(duì)于秘密拉丁方L的恢復(fù)則通過(guò)拉丁方的重構(gòu)過(guò)程。使用分片泄露后的秘密保護(hù)措施，無(wú)需修改輪廓C，也不用更新秘密拉丁方L就能得到新的share分片，避免了秘密分片泄露帶來(lái)的安全隱患。如果分片沒(méi)有泄露，也可以進(jìn)行分片的定期更新，處于動(dòng)態(tài)變化中的share分片有力提高了秘密共享方案的安全性。

本文中拉丁方秘密共享方案的一個(gè)潛在的重要應(yīng)用是將秘密拉丁方L作為加密密鑰，share分片的更新措施可以用于加密密鑰的保護(hù)。通過(guò)該拉丁方秘密共享方案將密鑰分片進(jìn)行分發(fā)，若部分密鑰分片泄露或者丟失，可以將泄露的密鑰分片進(jìn)行丟棄、更新操作。通過(guò)該方案，可以在不改變加密密鑰的情況下進(jìn)行密鑰分片的更新，避免了密鑰更新帶來(lái)的重新解碼加密數(shù)據(jù)、生成新的加密密鑰、再進(jìn)行重新加密的巨大工作量，有力保護(hù)了密鑰與加密數(shù)據(jù)的安全，節(jié)約了大量的時(shí)間資源。

3 方案分析

3.1 安全性分析

(1)暴力攻擊

攻擊者可能會(huì)使用大量的計(jì)算資源通過(guò)系統(tǒng)的組合秘密的所有可能性，直到得到秘密。對(duì)于拉丁方秘密共享方案來(lái)說(shuō)，為得到秘密拉丁方L，攻擊者會(huì)使用暴力攻擊手段對(duì)一個(gè)n階拉丁方的所有可能排列進(jìn)行一一遍歷，直到得到所需要的秘密拉丁方L。盡管在理論上存在這種可能性，但是在實(shí)際情況下一個(gè)n階拉丁方的合痕類數(shù)量是非常巨大的。例如一個(gè)n階拉丁方陣，第1行有n!種填充方式，對(duì)于第2行第1列，有n-1個(gè)數(shù)字可以填充，第2行第2個(gè)數(shù)字有n-2種填充方式，以此類推：拉丁陣第2行一共有(n-1)!種填充方式。第3行有(n-2)!種,…,第n行有2!種。因此對(duì)于一個(gè)n階拉丁方陣，符合要求的拉丁方陣數(shù)量是：n!(n-1)!(n-2)!…2!。以下是階數(shù)n在8到12的拉丁方及其合痕類的數(shù)量

n=8:數(shù)量：108,776,032,459,082,956,800； n=9:數(shù)量：9!×8!×7!×6!×5!×4!×3!×2!； n=10:數(shù)量：10!×9!×8!×7!×6!×5!×…×2!；

n=11:數(shù)量：11!×10!×9!×8!×7!×6!×5!×…×2!；

n=12:數(shù)量：12!×11!×10!×9!×8!× 7!×6!×5!×…×2!；

根據(jù)現(xiàn)有的知識(shí)，得到階數(shù)n較大的拉丁方的全部可能排列是非常困難的，因此在數(shù)量如此巨大的拉丁方中通過(guò)使用暴力攻擊的方式對(duì)n階拉丁方的全部可能排列進(jìn)行一一遍歷，進(jìn)而來(lái)找到秘密拉丁方是幾乎“不可能”的。因此可以認(rèn)為該拉丁方秘密共享方案是足夠安全的，可以有效抵御攻擊者的暴力破解攻擊。

(2)部分參與者的背叛

對(duì)于(K,N)門限秘密共享方案來(lái)說(shuō)由K個(gè)或多于K個(gè)參與者所持有的share分片上的信息可以重構(gòu)秘密S，而少于K個(gè)參與者持有的share分片就無(wú)法得到秘密S。

本文中的拉丁方秘密共享方案中使用了門限秘密共享方案進(jìn)行share分片的分發(fā)，因此如果其中一部分參與者共同發(fā)生背叛行為，將自身持有的share分片結(jié)合起來(lái)，對(duì)秘密拉丁方L進(jìn)行恢復(fù)，這在理論上是可行的，但必須要求有K個(gè)或者K個(gè)以上的參與者共同背叛才能達(dá)到這種效果，少于K個(gè)參與者持有的share分片上的信息無(wú)法進(jìn)行秘密拉丁方L的重構(gòu)，即不可能得到秘密拉丁方L。例如拉丁方秘密共享方案中在share分片分發(fā)階段構(gòu)造的(4,5)門限方案中，只有4個(gè)及4個(gè)以上的參與者共同背叛，它們持有的share集合所包含的信息才能夠得到輪廓C，而少于4個(gè)的share組合并不能得到秘密拉丁方L。因此在拉丁方秘密共享方案中部分share分片信息的泄露不會(huì)影響秘密拉丁方L的安全，但為了避免這種潛在的風(fēng)險(xiǎn)，要求在選擇參與者的時(shí)候應(yīng)盡量避免這種大規(guī)模參與者背叛情況的發(fā)生，從而保證秘密的絕對(duì)安全。

(3)C’丟失

在循環(huán)結(jié)構(gòu)(n/2)(n/2)下，n次對(duì)成群Sn中的可能的置換數(shù)量是“n!(2!(n/2)2)=2(n-1)!/n”。因此，n階拉丁方L的合痕類數(shù)量可以表示為“(2(n-1)!/n)3”。n階拉丁方L的自合痕θ的集合用“Atp(L)”表示，通過(guò)“軌道-穩(wěn)定集”定理，n階拉丁方L的合痕類數(shù)量也可以表示為“is(L)=n!3/Atp(L)”[16]。

在已知n的情況下，表1給出了n階拉丁方中合適的合痕、自合痕等數(shù)據(jù)。

表1 n階拉丁方合痕、自合痕的數(shù)量

假設(shè)在某種情況下，共享的share全部丟失，被不法的攻擊者獲得，攻擊者利用這些share分片得到了C’。為獲得秘密拉丁方L，攻擊者必須還要得到合痕Φ’與自合痕θ，從合痕類中猜測(cè)Φ’的正確則的概率是1/is(L)，由表1可知：即使是在n=10的情況下這種可能性也是非常小的。這樣就很難從C’中得到正確的輪廓C，因此通過(guò)暴力攻擊手段得到輪廓C是不可能的。即使在某種可能性很小的情況下攻擊者得到了Φ’，進(jìn)而得到了輪廓C，但是沒(méi)有自合痕θ的參與恢復(fù)拉丁方L同樣是不可能的，這樣的秘密保護(hù)機(jī)制被稱為“雙重防護(hù)”。此外，還可以對(duì)自合痕θ和合痕Φ’進(jìn)行切割后隨機(jī)的分發(fā)給參與者，沒(méi)有二者的參與同樣不能恢復(fù)秘密，進(jìn)一步提升安全性。

3.2 秘密共享方案的多級(jí)方案

在信息系統(tǒng)中很多有重要價(jià)值的信息往往需要進(jìn)行加密來(lái)保護(hù)信息的安全，信息的使用者需要在密鑰的配合下對(duì)密文進(jìn)行解密操作才能獲得想要的信息。對(duì)于加密后的重要數(shù)據(jù)，不懷好意的攻擊者需要使用一切手段獲得加密密鑰，一旦密鑰丟失，密文就會(huì)有極大的概率丟失，因此對(duì)于加密密鑰的保護(hù)是信息系統(tǒng)的重中之重。為了保證密鑰的絕對(duì)安全，需要將密鑰分發(fā)給具有不同權(quán)限級(jí)別的參與者。只有不同權(quán)限級(jí)別的參與者共同分享自己持有的子密鑰時(shí)才能得到原始密鑰，換句話說(shuō)，任何一個(gè)參與者僅僅通過(guò)自身持有的子密鑰并不能得到唯一的密鑰，因此秘密共享方案在密鑰保護(hù)方面也有潛在的應(yīng)用。

使用本文中的拉丁方秘密共享方案，可以構(gòu)造安全性更高的秘密保護(hù)的多級(jí)方案。如圖6所示，秘密拉丁方L作為一個(gè)密鑰K，恢復(fù)L需要3部分?jǐn)?shù)據(jù)的協(xié)助，包括“C’，θ和Φ’”。拉丁方秘密共享方案將C’進(jìn)行分發(fā)，對(duì)于θ，Φ’來(lái)說(shuō)，是公開的(但這種公開是有條件的，僅僅向獲得權(quán)限的參與者公開，無(wú)權(quán)限人員并不能得到該數(shù)據(jù))。在秘密共享的多級(jí)方案中，放棄這種公開，并且規(guī)定了兩種級(jí)別的權(quán)限：高級(jí)權(quán)限P1與普通權(quán)限P2。P1所持有的share分片重要性高于P2。隨后將自合痕θ與Φ’分發(fā)給P1級(jí)的參與者，C’分發(fā)給P2級(jí)別的參與者。只有P2級(jí)的參與者結(jié)合生成的C’與P1級(jí)的參與者持有的自合痕θ與Φ’相結(jié)合，才能恢復(fù)秘密拉丁方L，進(jìn)而得到密鑰K。3個(gè)條件缺少其中的任何一個(gè)，均不能得到密鑰K，這極大提高了密鑰K的安全性，同時(shí)為拉丁方在秘密共享的多級(jí)方案應(yīng)用提供了可能。

圖6 秘密共享的多級(jí)方案

4 結(jié)束語(yǔ)

本文提出了一種拉丁方秘密共享方案，利用拉丁方的輪廓與合適自合痕可唯一恢復(fù)該拉丁方的特性，將具有自合痕轉(zhuǎn)換性質(zhì)的拉丁方作為“秘密”，將合痕轉(zhuǎn)換后的輪廓進(jìn)行秘密共享。本方案使得拉丁方秘密共享方案的初始化和秘密重構(gòu)簡(jiǎn)單易行，同時(shí)減少了秘密共享過(guò)程中數(shù)據(jù)的規(guī)模，避免了秘密分片的直接暴露，增加了秘密的安全性。隨機(jī)選擇輪廓中三元組的數(shù)量構(gòu)造(k,N)門限秘密共享方案，為秘密提供了足夠的冗余來(lái)提高方案的容錯(cuò)性，解決了早前拉丁方秘密共享方案任何一個(gè)秘密分片丟失后秘密就會(huì)完全丟失的問(wèn)題。同時(shí)該方案還在秘密共享的多級(jí)方案、秘密分片泄露保護(hù)等方面進(jìn)行了推廣。

本文的拉丁方秘密共享方案僅僅考慮了在n=2(mod 4)的情況下，未來(lái)的一個(gè)研究方向是將n進(jìn)一步推廣到任意的正整數(shù)值。另外秘密共享方案共同的不足在于返回過(guò)程中識(shí)別哪些share是不正確的，在該方案中，錯(cuò)誤的share組成的輪廓在恢復(fù)階段是不能得到唯一拉丁方的，但這個(gè)驗(yàn)證發(fā)生在了恢復(fù)的最后階段，能否在share收集階段驗(yàn)證其正確性也是值得思考的。