| 理性公平的秘密共享方案_刘海 |
| 来源:一起赢论文网 日期:2021-01-27 浏览数:1986 【 字体: 大 中 小 大 中 小 大 中 小 】 |
|
第43卷 第8期2020年8月计 算 机 学 报CHINESE JOURNAL OF COMPUTERSVol.43 No.8August 2020 收稿日期:2019-08-28;在线发布日期:2020-02-13.本课题得到国家自然科学基金(U1708262,U1736203,U1836205,61772008)、国家重点研发计划(2017YFB0801805)、贵州省科技计划项目(黔科合基础[2020]1Y265)、贵州财经大学校级科研基金项目(2019XYB17)资助.刘 海,博士,主要研究方向为隐私保护和安全协议设计.E-mail:liuhai4757@163.com.李兴华(通信作者),博士,教授,主要研究领域为网络与信息安全、隐私保护和密码学.E-mail:xhli1@mail.xidian.edu.cn.田有亮,博士,教授,主要研究领域为博弈论、密码学与安全协议.雒 彬,博士研究生,主要研究方向为信任评估和隐私保护.马建峰,博士,长江学者特聘教授,主要研究领域为网络与信息安全、编码理论、密码学.彭长根,博士,教授,主要研究领域为数据隐私保护.理性公平的秘密共享方案刘 海1),2),3) 李兴华4),5) 田有亮3),6) 雒 彬4),5) 马建峰3),4),5) 彭长根3),6)1)(贵州财经大学信息学院 贵阳 550025)2)(贵州财经大学数据与高性能计算国际联合研究中心 贵阳 550025)3)(贵州大学公共大数据国家重点实验室 贵阳 550025)4)(西安电子科技大学网络与信息安全学院 西安 710071)5)(西安电子科技大学综合业务网理论及关键技术国家重点实验室 西安 710071)6)(贵州大学计算机科学与技术学院 贵阳 550025)摘 要 理性秘密共享是将自利的理性用户引入到传统秘密共享中,力图在现实环境中实现公平的秘密重构,使得所有用户均能获得共享秘密.然而,由于忽略了理性用户的自利性行为,现有理性秘密共享的公平性定义允许出现用户不发送子秘密也能获得共享秘密的不公平情形.这导致在使用以该定义为指导所设计的理性秘密共享方案时,并不能确保所有用户均能获得共享秘密;甚至还会出现发送错误子秘密欺骗其他用户,导致其他用户将重构出的虚假的共享秘密视为真实秘密的极端情形.为解决该问题,本文结合秘密共享的存取结构,形式化定义了秘密共享的理性公平性.并以此为指导,通过在秘密分发阶段为每个理性用户发送大量虚假子秘密,使得理性用户难以准确猜测出真实共享子秘密的方法,设计一个混淆激励机制,并提出一个理性公平的秘密共享方案.理论分析和大量实验表明,该方案能有效地约束理性用户在秘密重构阶段的自利性行为,确保所有用户能获得真实的共享秘密,高效地实现公平的秘密共享.关键词 理性秘密共享;理性公平;混淆;存取结构;激励机制中图法分类号TP391 DOI号10.11897/SP.J.1016.2020.01517Rational Fair Secret Sharing SchemeLIU Hai 1),2),3) LI Xing-Hua4),5) TIAN You-Liang3),6) LUO Bin4),5)MA Jian-Feng3),4),5) PENG Chang-Gen3),6)1)(School of Information,Guizhou University of Finance and Economics,Guiyang 550025)2)(International Joint Research Center for Data Science and High-Performance Computing,Guizhou University of Finance and Economics,Guiyang 550025)3)(State Key Laboratory of Public Big Data,Guizhou University,Guiyang 550025)4)(School of Cyber Engineering,Xidian University,Xi′an 710071)5)(State Key Laboratory of Integrated Services Networks,Xidian University,Xi′an 710071)6)(College of Computer Science and Technology,Guizhou University,Guiyang 550025)Abstract With the development of communication technologies,the advanced technologies likecloud computing and IoT(Internet of Things)are emerging,which bring convenience and becomepart of our daily life.Unfortunately,when enjoying the convenient life,the users’privacy maydisclose because they need to provide some individual sensitive data.To protect the users’privacyeffectively,the cryptography participating in multi-user has attracted more attention,especiallysecret sharing.Secret sharing is one of the most common and classical distributed cryptographicschemes,which allows the certain number of users can obtain the secret together,but any subsetof users of size less than the prescribed number cannot obtain the secret even they collude withothers.In traditional secret sharing,the users are regarded as either honest or malicious.Honestusers follow the prescribed scheme faithfully,whereas malicious users behave in arbitrarymanners.However,in real applications,the users are selfish and always try to maximize theirprofits,which coincides with the selfish characteristic of rational users in game theory.Underthis circumstance,rational secret sharing is proposed by introducing selfish users into traditionalsecret sharing,which assumes that the users prefer to obtain the secret above all else,otherwiseprefer the fewest number of other users to obtain the secret.The purpose is to realize the fairsecret reconstruction in real applications.Unfortunately,when directly adopting the existingrational secret sharing schemes,some unfair solutions arise,which lead that some of the usersreconstruct the secret but not send the shares,whereas the others cannot obtain the secret aftersending the shares.More seriously,some of the users can cheat the other users into viewing afake secret as the real.The crucial reason is that,the users’selfish behaviors are not consideredcompletely in the existing fairness definition of rational secret sharing,and the existing schemesare devised under the guidance of this fairness definition.To address this problem,this paperformalizes rational fairness of secret sharing by combining it with the minimum access structure,and demonstrates that the proposed definition allows the users to reconstruct the real secret onlywhen both of them send the shares honestly.Furthermore,to show that the proposed fairnessdefinition is meaningful,an incentive obfuscation mechanism is devised and an advanced rationalsecret sharing scheme is presented.In the proposal,agreat quantity of fake shares are generatedfor rational users to make them not able to identify the real one,and the users are punished bynot receiving any shares in the future when they do not send the shares honestly.In this way,none of users deviates from the scheme prescribed,thereby realizing the fair secret reconstruction.Through the comparisons of the existing schemes in applicable scenarios,reconstruction rounds,requirements on trust users,computation of rational users’payments,and other complicatedcryptographic tools,the advantages of our scheme are analyzed to illustrate the usability.Additionally,the extensive experiments illustrate that the computation overhead and communicationcost of the presented scheme are limited,indicating that our scheme can realize the fair secretreconstruction efficiently.Keywords rational secret sharing;rational fairness;obfuscation;access structure;incentivemechanism1 引 言随着移动通信技术的不断发展,云计算、物联网、车联网、船联网等新兴技术不断普及.这在给人们带来便捷生活的同时,对用户的隐私保护也提出了新的挑战.为了有效保护万物互联时代下用户的个人隐私,多方参与的分布式密码方案受到了国内外学者的广泛关注[1].(t,n)秘密共享是多方参与的分布式密码方案的重要组成.其基本思想是:将共享秘密K 拆分成n 份子秘密分发给不同的用户,使得任意不少于t个的用户在一起就可恢复出共享秘密K,而任意少于t个的用户即使合谋也得不到关于共享秘密K 的任何信息.它已被广泛地用于保护移动通信[2]、数据查询[3]、云存储[4]、广告推送[5]等应用中的用户隐私.在传统秘密共享的研究中,均假设用户是诚实或恶意的[6].然而,在现实中,用户既不是诚实的,也不是恶意的,而是自利的.自利的用户总是追求自身利益最大化.因此,若在现实应用中使用传统秘密共1518 计 算 机 学 报 2020年享方案,当t-1个用户发送自己的子秘密后,由于剩余的n-t+1个用户已能重构出共享秘密,因此他们将不再发送自己的子秘密.此时,对已发送子秘密的用户来说,他们将无法重构出共享秘密.这显然是不公平的,从而极大地影响了传统秘密共享的实用性.为了设计更贴近现实的秘密共享方案,Halpern和Teague[7]将博弈论的理性用户引入到传统秘密共享的研究中,通过分析自利的理性用户参与秘密共享时的偏好,首次提出理性秘密共享的概念.随后,理性秘密共享得到了国内外学者的广泛研究[8-11].然而,在使用现有的理性秘密共享方案时,仍不能确保所有用户都能重构出共享秘密;甚至还会出现发送子秘密的用户重构出一个虚假的秘密并将其视为真实共享秘密的极端情形.例如,某公司财务总监使用现有理性秘密共享方案将公司的财务账目作为共享秘密拆分后分发给公司的会计和出纳,当需要重构财务账单时,就可能会出现先发送自己拥有的子秘密的会计不能恢复出财务账单,而不发送自己拥有的子秘密的出纳却能恢复出财务账单的情形,使得出纳能通过修改财务账单来掩盖自己的腐败行为;又如某公司将未来的发展计划作为共享秘密拆分给产品研发和产品销售经理进行保存,当要恢复研发计划时,销售经理就可能通过发送错误的子秘密欺骗研发经理,使其将重构出的错误的发展计划视为真实的计划,影响公司发展,使得销售经理能通过上述欺骗行为非法获取来自其他竞争公司的额外收益.造成上述问题的根本原因是:由于忽略了理性用户的自利性行为,导致现有理性秘密共享的公平性定义允许出现“用户不正确地发送自己拥有的子秘密也能重构出共享秘密”的不公平情形.为解决上述问题,本文通过分析理性用户的自利性行为,结合秘密共享的存取结构,给出了适用于理性用户参与的秘密共享的理性公平性定义,并从理论上证明了该公平性定义只允许出现“用户正确地发送自己拥有的子秘密给其余用户”的情形.此外,为表明所提出的理性公平性定义具有实用性,本文通过在秘密分发阶段为每个理性用户发送大量虚假子秘密,使得理性用户难以准确猜测出正确共享子秘密,一旦理性用户不发送自己拥有的子秘密,其在未来的秘密重构轮中将不会收到任何子秘密的方法,设计了一个理性公平的理性秘密共享方案.本文的主要贡献如下:(1)证明现有的公平性定义允许出现“用户不正确地发送自己拥有的子秘密也能重构出共享秘密”的不公平情形.并结合秘密共享的存取结构,给出了理性公平性的形式化定义.(2)以提出的理性公平性定义为指导,设计了一个混淆激励机制,并构造了一个理性公平的秘密共享方案.理论证明所提方案能有效约束理性用户的自利性行为,实现公平的秘密共享.(3)大量实验表明使用本方案时,秘密分发者和理性用户所需的计算代价和通信开销较小,具有较好的实用性.2 相关工作根据理性用户在秘密重构阶段交互时使用的通信类型,现有理性秘密共享方案可分为两类:基于同步通信的理性秘密共享方案和基于异步通信的理性秘密共享方案.2.1 基于同步通信的理性秘密共享方案Halpern和Teague[7]将博弈论中的理性用户引入到传统秘密共享中,提出了理性秘密共享的概念.他们通过分析理性用户参与秘密重构时的偏好,利用随机交互真实子秘密和虚假子秘密的方法设计了一个(t,n)理性秘密共享方案.然而,他们的方案并不适用于t=n=2的情形.为解决上述问题,Gordon和Katz[12]在理性秘密重构中引入“观察员”来监视每轮通信中各理性用户的策略选择,并在后通信轮中对理性用户的选择策略进行指引,从而设计了首个(2,2)理性秘密共享方案.Abraham 等人[13]指出理性用户在参与秘密重构时可能会合谋.为防止该情形的发生,他们在秘密分发阶段为每个理性用户分发多个秘密,并通过引入可信第三方来指定每轮交互的子秘密,提出防合谋的理性秘密共享方案.为不依赖可信第三方实现公平的理性秘密共享,Maleka等人[14]将理性秘密重构阶段的交互过程视为多轮重复博弈,设计了一个随机交互轮数的理性秘密共享方案.随后,Maleka等人[15]又指出在实际应用中,往往需要共享多个秘密,而重复使用上述方案将消耗理性用户大量的计算和通信资源.因此,他们在理性用户参与重复博弈时的收益函数中引入折扣因子,使得理性用户的收益随着交互轮数的增多而逐步减少,从而提出适用于多秘密共享的理性秘密共享方案.当使用上述方案时,理性用户在秘密重构阶段中需进行多轮交互.为减少交互轮数,Micali和Shelat[16]基于密封拍卖模型,设计了一个只需6轮交互的理性秘密共享方案.Tian等人[17]考虑理性用8期 刘 海等:理性公平的秘密共享方案 1519户拥有的背景知识会影响其参与理性秘密重构时的策略选择,结合不完全信息博弈模型,提出了一个仅需1轮交互的理性秘密共享方案.然而,若直接使用该方案,即使所有的理性用户均诚实地参与秘密重构,也可能会出现没有任何用户能重构出共享秘密的特殊情形.为解决上述问题,Zhang和Liu[18]采用多轮重复博弈的思想,通过不断调整理性用户参与秘密重构时选择不同策略的概率,实现公平的理性秘密重构.Asharov和Lindell[19]指出原有方案为了确保公平性,均假设秘密分发者Dealer能准确地获知每个理性用户的收益函数,从而降低了方案的实用性.因此,他们利用安全多方计算,提出了一个不依赖理性用户收益的理性秘密共享方案.但是该方案仅适用于n3的情形.此外,Nojoumian等人[20]将理性秘密共享视为一类特殊的社会活动,提出社会理性秘密共享的概念.随后,Nojoumian和Stinson[21]将信誉值作为一种特殊的货币,设计了仅需1轮交互的社会理性秘密共享方案.并且,为提高社会理性秘密共享方案的可用性,Nojoumian[22]通过数据拟合的方法,给出了社会理性秘密共享中理性用户的收益函数.然而,在现实应用中,如云存储数据访问控制、基于群组的位置服务查询等,同步通信难以实现,从而导致该类理性秘密共享方案的实用性较低.2.2 基于异步通信的理性秘密共享方案Kol和Naor[23]利用健忘传输、安全多方计算等密码技术构造了首个适用于异步通信的理性秘密共享方案.在他们的方案中,每次交互只有一个理性用户发送子秘密,且不依赖可信第三方.但是,理性秘密分发者Dealer和理性用户的计算代价较大.为降低理性用户的资源消耗,Kol和Naor[24]采用逆向归纳方法分析了理性用户在多轮子秘密交互过程中的策略选择,设计了信息论安全的理性秘密共享方案.为降低秘密分发者Dealer的资源消耗,Fuchsbauer等人[25]通过引入可验证的随机函数(verifiablerandom function)让理性用户在秘密重构阶段中不能确定其他理性用户发送的子秘密的正确性,使得理性用户不会偏离预定方案的执行.Zhang 和Liu[26]通过让理性用户只有遵从预定方案的执行,才能正确地获知子秘密交互轮数的方法来实现公平的理性秘密共享.Cai和Shi[27]通过让秘密分发者Dealer在秘密分发阶段对分发的子秘密进行概率加密(probability encryption),避免后发送子秘密的理性用户能先验证重构出的共享秘密的真实性,从而确保理性秘密共享公平性.但是上述方案均要求秘密分发者Dealer准确地获知理性用户参与秘密重构的收益函数.除上述采用密码技术来实现公平的理性秘密共享外,Wang和Cai[28]通过让理性用户重复交互相同子秘密的方法,不断调整理性用户的策略选择,从而确保所有理性用户均能重构出共享秘密.Yu和Zhou[29]指出需防止多个理性用户在子秘密交互中合谋.因此,他们通过分析理性用户在重复交互相同子秘密过程中的偏好变化,提出概率安全和公平的理性秘密共享方案.Wang和Xu[30]考虑理性用户在理性秘密共享中的长远收益,通过减少理性用户长远收益的方法来约束理性用户的自利性行为.Jin等人[31]指出当理性用户考虑自己的长期收益时,理性用户参与秘密共享的收益函数将发生改变.因此,他们综合考虑理性用户短期收益(即是否重构出共享)和长远收益,给出理性用户的混合收益函数.为降低秘密分发者Dealer和理性用户的资源开销,Ong等人[32]通过引入诚实的参与用户,通过将参与用户划分为不同的群组,使得每个群组中均存在诚实用户,从而提出了需2轮交互的理性秘密共享方案.Dani等人[33]通过让理性用户延迟重构共享秘密的方法,设计了仅需1个子秘密交互轮的理性秘密共享方案.Tian等人[34]分析理性用户拥有的背景知识对其策略选择的影响,将理性用户信誉的增减作为一种奖惩,构造了仅需1轮交互的理性秘密共享方案.Kawachi等人[35]通过在秘密分发阶段分发不同的共享秘密,并指定理性用户在秘密重构阶段中发送子秘密的先后顺序,提出了仅需3轮子秘密交互就能实现公平的理性秘密共享.但是上述方案均要求存在可信第三方/用户.此外,Sourya等人[36]对理性用户在秘密重构阶段选择“不发送任何子秘密”的策略进行分析,探讨了理性用户选择该策略时的收益.Zhang等人[37]、Sourya和Ruj[38]分别针对理性用户通信受限特殊情形下的理性秘密共享方案进行研究.Liu等人[39]将机制设计模型引入到理性秘密共享方案的设计,给出了设计理性秘密共享方案的参考模型.然而,上述所有理性秘密共享方案在设计时均使用现有理性秘密共享的公平性定义为指导.由于现有理性秘密共享的公平性定义允许“理性用户不发送子秘密也能重构出共享秘密”,因此以该公平性定义为指导而设计出的理性秘密共享方案在实际使用时,会出现“发送子密钥的理性用户无法恢复出共享密钥,而不发送子密钥的用户却能重构出共享密钥”的不公平情形;甚至还会出现“发送错误的子秘1520 计 算 机 学 报 2020年密欺骗其余理性用户,使其将重构出的错误秘密视为真实共享秘密”的极端情形.3 预备知识3.1 系统模型理性秘密共享由两个阶段组成,分别是秘密分发阶段和秘密重构阶段.在这两个阶段中,本文均采用无需可信第三方的分布式结构,如图1所示.图1 系统结构(1)秘密分发阶段当要在理性用户P1,P2,…,Pn间共享秘密K时,秘密分发者Dealer在有限域Fq上随机选择t-1个元素a1,a2,…,at-1构造多项式f(x)=K+Σt-1i=1aixi,并计算f(i);然后将子秘密ki=(i,f(i)modq)秘密地分发给理性用户Pi.当所有理性用户Pi收到子秘密ki后,秘密分发者Dealer销毁共享K,秘密分发结束.其中,K∈Fq;q>n是大素数;1in.(2)秘密重构阶段当要恢复共享秘密K 时,理性用户Pi将自己获得的子秘密ki发送给理性用户Pj,而理性用户Pj在收到子秘密ki后就发送自己拥有的子秘密kj.所有的理性用户交互完各自拥有的子秘密后,就可利用拉格朗日插值法计算K=f(0)=Σti=1li(0)f(i)重构出共享秘密K.其中,li(x)=Πtj=1,j≠ix-ii-j是拉格朗日插值基函数;i≠j且1i,jn.3.2 理性秘密重构博弈在理性秘密共享中,影响其公平性的主要原因是理性用户为了追求自身利益最大化,在秘密重构阶段中可能会发送错误的子秘密或者不发送任何子秘密给其余理性用户.为更好地分析理性用户在理性秘密重构阶段中的策略选择,本文结合扩展型博弈模型,给出理性秘密重构博弈的形式化模型.定义1(理性秘密重构博弈模型). 理性秘密重构博弈GS={P,A,F,H,U,Θ}是一个六元组,具体解释如下:(1)P={P1,P2,…,Pn}是参与秘密重构的理性用户集合.其中,Pi表示第i 个理性用户;P-i={P1,…,Pi-1,Pi+1,…,Pn}称为理性用户Pi的对手集合,是由理性用户Pi外的其余用户组成的集合;1in.(2)A={A1,A2,…,An}是理性用户的策略集合.Ai={ahonesti ,afakei ,aslienti }是理性用户Pi的策略集合,其中ahonesti表示理性用户Pi将自己拥有的子秘密正确地发送给其余用户;afakei表示理性用户Pi未将自己拥有的子秘密正确地发送给其余用户;asilenti表示理性用户Pi不发送任何子秘密给其余用户.策略组合a=(a1,a2,…,an)是由每个理性用户Pi选择一个策略ai∈Ai所组成的向量.(3)H 是历史序列集合.h∈H,其表示在某时刻时已行动的理性用户所选择的策略组成的策略组合.在h 之后的可能出现的所有策略组合记为A(h)={a|(h,a)∈H}.空字符h-∈H,表示理性秘密重构博弈GS开始.如果某历史h′∈H 使得A(h′)=,则该历史h′称为终止的(即表示理性秘密重构博弈GS结束),其中 是空集合.Z 表示由所有终止的历史组成的集合.(4)F:(H/Z)→P 是理性用户分配函数.它为未终止的历史h∈H/Z 指定下一个选择策略的理性用户Pi∈P.当所有用户同时进行策略选择,即采用同步信道通信时,F(h-)=P.(5)U ={u1,u2,…,un}是理性用户的收益集合.ui:A1×A2×…×An→{W +i ,Wi,W -i ,W --i }是理性用户Pi参与理性秘密重构博弈GS所得到的收益.其中,W +i表示理性用户Pi重构出共享秘密,而其余理性用户未能重构出共享秘密时的收益;Wi表示理性用户Pi重构出共享秘密,而其余理性用户也能重构共享秘密时的收益;W -i表示理性用户Pi未能重构出共享秘密,而其余理性用户也未能重构出共享秘密时的收益;W --i表示理性用户Pi未能重构8期 刘 海等:理性公平的秘密共享方案 1521出共享秘密,而其余理性用户却重构出共享秘密时的收益.(6)Θ={θ1,θ2,…,θn}是理性用户的偏好集合.其中,θi=W +i WiW -i W --i表示理性用户Pi参与理性秘密重构博弈GS时的自利性偏好,即:理性用户Pi首先希望只有自己能重构出共享秘密;其次,在自己获得共享秘密的同时,尽可能地让其余用户不能重构出共享秘密.3.3 存取结构为更一般化地分析参与理性秘密重构的理性用户集合中的哪些子集可重构出共享秘密,下面给出存取结构的相关概念.定义2(存取结构). 设P={P1,P2,…,Pn}是n个用户组成的用户集合.对于任意给定的非空集合AS2P,如果其满足单调性,即:当A∈AS 时,A′∈2P 且A A′,有A′∈AS则称集合AS 为P 上的存取结构.其中,2P 表示集合P 的全部子集构成的集合.定义3(最小存取结构). 令集合AS 为用户集合P 上的存取结构,则称集合ASm={A∈AS|A′∈2P,A′AA′AS}为存取结构AS 上的最小存取结构.基于上述定义,可给出任意用户Pi∈P 关于用户集合P 的最小存取结构,简称用户Pi的最小存取结构.定义4(用户Pi的最小存取结构). 令集合ASm是用户集合P 上的最小存取结构,如果集合ASPmiASm满足:A∈ASPi m ,有Pi∈A,则称该集合ASPi m是用户Pi的最小存取结构.在(t,n)理性秘密共享中,它的存取结构是由参与秘密重构的用户数量不少于t的用户集合所构成的,即AS={P′P|P′ t};最小存取结构ASm={P″∈P|P″ =t}是由t个参与秘密重构的用户所组成的集合构成的;而参与者Pi的最小存取结构为ASPi m ={P∈AS|P∈ASm且Pi∈P}.3.4 机制设计机制设计[40]是微观经济学中的重要组成,其主要研究的是如何设计合理的机制,使得参与社会经济活动的用户在追求个人收益最大化的同时,实现机制设计者的期望目标.其形式化定义如下所示.定义5(机制). 机制M ={o,p}是一个二元组,具体解释如下:(1)o是机制M 的分配规则.即机制根据参与社会经济活动的每个用户Pi所选择的策略ai,计算得到相应的输出结果o(a).其中,1in;n表示参与社会经济活动的用户数量;a=(a1,a2,…,an).(2)p={p1,p2,…,pn}是机制M 的支付规则.即机制M 根据用户Pi选择的策略ai,提供给用户Pi的一个转移支付pi.4 理性公平性4.1 现有理性秘密共享公平性的缺陷在现有理性秘密共享的研究中,其公平性可表述为:当理性秘密重构博弈结束时,所有的理性用户均获得共享秘密,或没有任何理性用户能获得共享秘密.为便于论述现有理性秘密共享公平性定义的缺陷,本文先给出现有理性秘密共享公平性的定义,详细内容可参考文献[19].定义6(现有理性秘密共享的公平性). 假设执行某理性秘密共享方案在n个理性用户P1,P2,…,Pn间共享秘密.如果对任意的理性用户Pi来说,当理性秘密重构结束时,其获得的收益ui满足:ui(ai,aP-i)=Wi或ui(ai,aP-i)=W -i .那么就称该理性秘密共享方案是公平的.其中,ai∈Ai表示理性用户Pi在执行理性秘密重构时选择的策略;aP-i=(a1,…,ai-1,ai+1,…,an)是由理性用户Pi的对手Pj∈P-i参与理性秘密重构时选择的策略aj∈Aj所构成的策略组合;i≠j且1i,jn.下面利用反证法证明上述公平性定义存在缺陷.命题1. 当理性用户均是自利时,现有理性秘密共享的公平性定义允许“理性用户不发送自己的子秘密也能获得共享秘密”或“发送错误的子秘密欺骗其余理性用户,将重构出错误的共享秘密当作真实共享秘密”.证明. 令P={P1,P2,…,Pn}表示参与理性秘密重构的用户集合;P′={Pj1,Pj2,…,Pjk}表示参与理性秘密重构博弈GS中正确地发送子秘密的用户集合,即理性用户Pjl∈P′参与理性秘密重构博弈GS时选择策略ahonestjl ;珚P′= {Pm1,Pm2,…,Pmn-k-1}表示在参与理性秘密重构博弈GS时未正确地发送子秘密的理性用户集合,即理性用户Pjl∈珚P′参与理性秘密重构博弈GS时选择策略aothermq ≠ahonestmq ∈Amq.其中,1lk;1kn-1;1qnk-1;P′∪珚P′∪{Pi}=P.(1)当tkn-1,即至少已有t个理性用户将自己拥有的子秘密正确地发送给其余理性用户时:若理性用户Pi选择策略afakei ,即未将自己拥有的子秘密正确地发送给其余用户,那么理性用户1522 计 算 机 学 报 2020年Pi、Pjl和Pmq的收益ui、ujl和umq分别为ui(afakei ,ahonestj1 ,…,ahontestjk ,aotherm1 ,…,aothermn-k-1)=Wi;ujl(afakei ,ahonestj1 ,…,ahonestjk ,aotherm1 ,…,aothermn-k-1)=Wjl;umq(afakei ,ahonestj1 ,…,ahonestjk ,aotherm1 ,…,aothermn-k-1)=Wmq.故策略组合(afakei ,ahonestj1 ,…,ahonestjk ,aotherm1 ,…,aothermn-k-1)满足现有理性秘密共享的公平性.同理,若理性用户Pi选择策略asilenti ,即不发送任何子秘密给其余理性用户,那么理性用户Pi、Pjl和Pmq的收益ui、ujl和umq分别为ui(asilenti ,ahonestj1 ,…,ahontestjk ,aotherm1 ,…,aothermn-k-1)=Wi;ujl(asilenti ,ahonestj1 ,…,ahonestjk ,aotherm1 ,…,aothermn-k-1)=Wjl;umq(asilenti ,ahonestj1 ,…,ahonestjk ,aotherm1 ,…,aothermn-k-1)=Wmq.故策略组合(asilenti ,ahonestj1 ,…,ahonestjk ,aotherm1 ,…,aothermn-k-1)也满足现有理性秘密共享的公平性.显然,当有kt个理性用户Pj1,Pj2,…,Pjk已将自己的拥有的子秘密正确地发送给其余理性用户时,对于理性用户Pi来说,有ui(afakei ,ahonestj1 ,…,ahontestjk ,aotherm1 ,…,aothermn-k-1)ui(ahonesti ,ahonestj1 ,…,ahontestjk ,aotherm1 ,…,aothermn-k-1)和ui(asilenti ,ahonestj1 ,…,ahontestjk ,aotherm1 ,…,aothermn-k-1)ui(ahonesti ,ahonestj1 ,…,ahontestjk ,aotherm1 ,…,aothermn-k-1). 其中,当发送错误的子秘密能欺骗其余理性用户将重构出错误的秘密视为真实的共享秘密或考虑发送子秘密需要消耗理性用户的通信成本时,上式不等号成立.因此,理性用户Pi在参与理性秘密重构博弈GS时,不会选择策略ahonesti .(2)当t=n时,即理性用户必须要拥有n 个子秘密才能重构出共享秘密.此时,对于理性用户Pi来说,若k<n-1,即少于n-1个理性用户将自己的拥有子秘密正确地发送给其余理性用户,则理性用户Pi、Pjl和Pmq的收益ui、ujl和umq分别满足:ui(ai,ahonestj1 ,…,ahontestjk ,aotherm1 ,…,aothermn-k-1)=Wi;ujl(ai,ahonestj1 ,…,ahonestjk ,aotherm1 ,…,aothermn-k-1)=Wjl;umq(ai,ahonestj1 ,…,ahonestjk ,aotherm1 ,…,aothermn-k-1)=W-mq.故策略组合(ai,ahonestj1 ,…,ahonestjk ,aotherm1 ,…,aothermn-k-1)满足现有理性秘密共享的公平性.其中,ai∈Ai.若k=n-1,即已有n-1个理性用户将自己的拥有子秘密正确地发送给其余理性用户,则理性用户Pi和Pjl的收益ui和ujl分别满足:ui(ahonesti ,ahonestj1 ,…,ahontestjk )=Wiujl(ahonesti ,ahonestj1 ,…,ahontestjk )=Wj烅烄烆l;ui(afakei ,ahonestj1 ,…,ahontestjk )=W +iujl(afakei ,ahonestj1 ,…,ahontestjk )=W --j烅烄烆l;ui(asilenti ,ahonestj1 ,…,ahontestjk )=W +iujl(asilenti ,ahonestj1 ,…,ahontestjk )=W --j烅烄烆l.此时,只有策略组合(ahonesti ,ahonestj1 ,…,ahontestjk )满足现有理性秘密共享的公平性.综上所述,现有理性秘密共享的公平性定义允许“理性用户不发送自己的子秘密也能获得共享秘密”或“发送错误的子秘密欺骗其余理性用户,将重构出错误的共享秘密当作真实共享秘密”. 证毕.4.2 理性公平性通过上述分析发现,当t=n 时,由于理性秘密共享具有特殊的最小存取结构ASm={P},即所有的理性用户均要将自己的拥有的子秘密正确地发送给其余用户时,可实现公平的理性秘密共享.因此,本文通过引入用户的最小存取结构,给出秘密共享的理性公平性定义,其形式化描述如下所示.定义7(理性公平性). 一个(t,n)理性秘密共享方案被称为是理性公平的,当且仅当对于任意理性用户Pi(1in)来说,当理性秘密重构结束时,P′={Pe1,Pe2,…,Pet-1,Pi}∈ASPmi,其选择策略ai的收益ui满足:(1)ui(ai,aP′-i)ui(a′i,aP′-i);(2)ui(ai,aP′-i)=Wi或ui(ai,aP′-i)=W -i .其中,ai,a′i∈Ai是理性用户Pi参加理性秘密重构时所选择的策略且ai≠a′i;P′={Pe1,Pe2,…,Pet-1,Pi}是理性用户Pi的关于理性秘密共享的最小存取结构;P-i={Pe1,Pe2,…,Pet-1};aP′-i=(ae1,ae2,…,aet-1)表示用户集合P′中其余理性用户Pej参加博弈GS选择的策略aej组成的策略组合;1jt-1且ej≠i.在上述理性公平性的形式化定义中,条件(1)是为了说明当理性用户Pi在秘密重构阶段中可选择策略ai和a′i时,会根据自利性原则,选择策略ai来追求自身收益最大化;条件(2)是为了确保理性秘密重构的公平性,对执行过程进行约束,即当任意t个理性用户进行理性秘密重构时,他们均能重构出真实的共享秘密或均未重构出真实的共享秘密.下面证明本文给出的理性公平性定义不允许出现任何不公平的情形.命题2. 当理性用户均是自利时,本文提出的理性公平性定义仅允许“理性用户将自己拥有的子秘密正确地发送给其余用户”.证明. 与命题1证明相似,令集合P′={Pe1,8期 刘 海等:理性公平的秘密共享方案 1523Pe2,…,Pet-1,Pi}是任意一个包含理性用户Pi的用户集合,且P ^ =t.假设理性用户在秘密重构阶段未正确地将自己拥有的子秘密发送给其余理性用户,即选择策略a′i≠ahonesti .此时,若其余t-1个用户Pe1,Pe2,…,Pet-1将自己拥有的子秘密正确地发送给其余用户时,理性用户选择策略a′i的收益为ui(a′i,ahonestP ^-i )=W +i . 而对于理性用户Pej来说,其收益为uej(ahoneste1 ,…,ahonestej-1,ahonestej ,ahonestej+1,…,ahonestet-1,a′i)=W --ej .其中,1jt-1.显然,ui(a′i,ahonestP ^-i )≠uej(a′i,ahonestP ^-i ).故当理性用户选择策略a′i≠ahonesti时,并不满足理性公平性.因此,当理性用户均是自利的时,本文提出的理性公平性定义中仅允许“理性用户将自己拥有的子秘密正确地发送给其余用户”. 证毕.5 理性公平的秘密共享方案为进一步表明本文所提的理性公平性定义具有实用性,本节基于混淆思想,设计一个理性公平的秘密共享方案.5.1 混淆激励机制本文基于机制设计模型,设计一个混淆激励机制来约束理性用户在理性秘密重构阶段的自利性行为.基本思想如下:通过让秘密分发者Dealer为每个理性用户分发包含多个虚假子秘密的子秘密集合,使得理性用户在秘密重构阶段的交互完成前难以确认重构出的哪个秘密是真实的共享秘密;一旦理性用户在秘密重构阶段中未将自己拥有的子秘密正确地发送给其余用户或不发送任何子秘密,则该用户在随后的子秘密交互过程中将受到惩罚,不会收到其余理性用户发送的任何子秘密.令策略a(k)i表示理性用户Pi发送其拥有的第k(1kN)个子秘密所选择的策略,其中N 是正整数.本文设计的混淆激励机制如下所示.定义8(混淆激励机制). 针对基于异步通信的理性秘密共享,混淆激励机制Mobf={o(k),p(k)i }是个二元组,其中:(1)o(k)=(a(k)1 ,a(k)2 ,…,a(k)n )是在理性秘密重构阶段的第k轮交互中,每个理性用户Pi在混淆激励机制Mobf下选择策略a(k)i所构成的策略组合.(2)p(k)i是理性用户Pi在混淆激励机制下选择策略a(k)i后所获得的转移支付,其满足:p(k)i (a(k)i )=a(k)-honestj→i ,a(k)i =a(k)-honestia(k)-silentj→i ,a(k)i ∈{a(k)-fakei ,a(k)-silenti烅烄烆},其中,j≠i且理性用户Pj在秘密重构阶段的第k 轮交互中比理性用户Pi后进行策略的选择;a(k)-honesti表示理性用户Pi在第k 轮交互中将自己拥有的子秘密正确地发送给其余用户;a(k)-fakei表示理性用户Pi在第k 轮交互中未将自己拥有的子秘密正确地发送给其余用户;a(k)-silenti表示理性用户Pi在第k 轮交互中不发送任何子秘密给其余用户;a(k)-honestj→i表示理性用户Pj在第k 轮交互中将自己拥有的子秘密正确地发送给用户Pi;a(k)-silentj→i表示理性用户Pj在第k 轮交互中不发送任何子秘密给用户Pi.当理性用户在秘密重构阶段中同步发送自己拥有的子秘密时(即所有用户同时选择自己的策略),我们只需将上述混淆激励机制中的p(k)i修改为p(k)i (a(k)i )=a(k+1)-honestj→i ,a(k)i =a(k)-honestia(k+1)-silentj→i ,a(k)i ∈{a(k)-fakei ,a(k)-silenti烅烄烆},也就是说,混淆机制将根据理性用户Pi在第k 轮交互中选择的策略a(k)i ,在第k+1轮交互中给予转移支付.5.2 我们的方案下面基于上述混淆激励机制,构造一个理性公平的秘密共享方案.该方案由理性秘密分发协议和理性秘密重构协议组成.5.2.1 理性秘密分发协议为防止理性用户在秘密重构阶段中猜测出真实的共享秘密Kreal,在秘密分发阶段,秘密分发者Dealer首先生成虚假秘密K1-fake,K2-fake,…,KN′-fake,并利用这N′个虚假秘密和真实的共享秘密Kreal为每个理性用户Pi生成子秘密集合k_seti.确保理性用户在秘密重构阶段中至少能重构出一个虚假秘密Kfake∈{K1-fake,K2-fake,…,KN′-fake},使得重构出该虚假秘密Kfake的次数仅比重构出的真实秘密Kreal的次数少1次.其中,具体协议如下所示.Step 1.秘密分发者Dealer根据真实共享秘密Kreal生成N′个虚假秘密K1-fake,K2-fake,…,KN′-fake,并利用K1-fake,K2-fake,…,KN′-fake,Kreal生成分发秘密集合K={K1,K2,…,KN}.其中,N′2且是正整数;K1,K2,…,KN是重复使用N′+1个共享秘密K1-fake,K2-fake,…,KN′-fake,Kreal而构成的一个共享秘密排列,其满足:(1)Ki′1-fake,Ki′2-fake,…,Ki′N″-fake∈K,有|Ki′1-fake|=|Ki′2-fake|=…=|Ki′N″-fake|=|Kreal|-1; (2)KN -k,KN -k+1,…,KN∈K,有|KN -k|=|KN -k+1|=…=|KN|<|Kreal|-1;1524 计 算 机 学 报 2020年 (3)N′和k 是两个随机正整数且1kN.Step 2.秘密分发者Dealer构造N 个t-1阶多项式f1(x),f2(x),…,fN(x),使得fm(x)≠fm′(x), m ≠m′,fl(x)=Km +Σt-1r=1arxr,1m 烅烄烆N并利用这些多项式将分发秘密Km∈K 拆分成n 份子秘密km1,km2,…,kmn .其中,kmi =fm(i);1in.Step 3.秘密分发者Dealer选择安全的签名函数sign(·),并利用自己的私钥DealerSK为子秘密kmi计算承诺信息c mi =signDealerSK (kmi ‖IDi‖m).其中,IDi是理性用户Pi的身份;“‖”是连接符.Step 4.秘密分发者Dealer为理性用户生成子秘密集合k_seti={k1i,k2i,…,kNi }和承诺信息集合c_seti={c1i,c2i,…,cNi }.然后将子秘密集合k_seti发送给理性用户Pi;将承诺信息集合c_seti和签名验证函数verf(·)发送给所有的理性用户.5.2.2 理性秘密重构协议当要重构共享秘密时,所有的理性用户根据收到的子秘密集合进行交互,即在第m 轮交互中,每个理性用户Pi发送其子秘密集合k_seti中的第m个子秘密kmi .其余理性用户收到Pi发送的子秘密后,利用验证函数verf(·)和秘密分发者的公钥DealerPK验证子秘密的正确性.若发现理性用户Pi未正确地发送子秘密kmi ,则在之后的第m+1轮至第n轮交互中,其余理性用户均不再发送任何子秘密给理性用户Pi.若确认理性用户Pi正确地发送子秘密kmi ,则继续进行交互,直至将所有的子秘密都交互完毕后,从重构出的诸多秘密中挑选重复数量最多的作为真实的共享秘密.具体协议如下所示.Step 1.在任意第m 轮子秘密交互中,当轮到理性用户Pi发送子秘密时,(1)对于已行动过的理性用户Pi′,①若收到理性用户Pi′发送的子秘密kmi′,且确认该子秘密的正确性,则将kmi发送给理性用户Pi′.②若收到理性用户Pi′发送的子秘密kmi′,但确认该子秘密不是秘密分发者Dealer指定发送的子秘密,则不发送任何子秘密给理性用户Pi′.③若未收到理性用户Pi′发送的子秘密kmi′,则不发送任何子秘密给理性用户Pi′.(2)对于还未行动过的理性用户Pj,则发送自己拥有的子秘密kmi .Step 2.理性用户Pj∈P-i收到子秘密kmi后,利用秘密分发者Dealer的公钥DealerPK、验证函数verf(·)以及承诺信息cmi验证该子秘密的正确性,即Pi发送的子秘密kmi是否就是秘密分发者Dealer指定的在第m 轮中发送的子秘密:(1)若verfDealerPK (cmi ,IDi,m)=kmi ,则表示理性用户Pi在第m 轮交互中,正确地发送了自己拥有的子秘密,则广播消息“Honest”;(2)若verfDealerPK (cmi ,IDi,m)≠kmi ,则表示理性用户Pi在第m 轮交互中,未正确地发送自己拥有的子秘密,则广播消息“Fake”.若理性用户Pj未收到任何子秘密,则广播消息“silent”.Step 3.理性用户发送完自己拥有的子秘密kmi后,则轮到下一位未行动的理性用户Pi+1发送自己拥有的子秘密.Step 4.当在第m 轮交互中收到子其余理性用户发送的子秘密kmi1,kmi2,…,kmin′后:(1)若t-1n′n-1,即至少有t-1个其余理性用户正确地发送自己拥有的子秘密,则利用朗格朗日插值法恢复共享秘密Km.(2)若n′<t-1,即仅有不多于t-2个其余理性用户正确地发送自己拥有的子秘密,此时无法恢复出共享秘密Km,交互终止.Step 5.若在交互过程中所有理性用户均已能正确地识别出真实的共享秘密,则协议终止.否则,重构出所有的秘密K1,K2,…,KN后,若K′,K″∈{K1,K2,…,KN},有|K′|>|K″|,则将K′视为真实的共享秘密Kreal.值得注意的是,通过修改理性用户发送子秘密的先后顺序,本方案也可适用于同步通信情形.6 方案分析本方案采用t-1阶多项式对分发的秘密Km(1iN)进行拆分.此时,根据方程组解的性质,当且仅当理性用户Pi拥有t个子秘密,才能重构出Km,否则不能得到关于秘密Km的任何信息.此外,当理性用户Pi分发子秘密kmi时,如果其不交互秘密分发者指定交互的子秘密kmi (无论是自己伪造的子秘密,或者分发应在其余轮交互的子秘密km′i ,或者分发其余理性用户发送的子秘密kmj ),由于存在承诺信息cmi =signDealerSK (kmi‖IDi‖m),其余理性用户均可正确地识别出Pi的欺骗行为.而当收到不少于t-1个其余理性用户发送的关于Km的子秘密后,就可利用拉格朗日插值法重构出秘密Km.因此,本方案是安全的和正确的.下面,详细给8期 刘 海等:理性公平的秘密共享方案 1525出本方案的公平性证明.6.1 公平性定理1. 当理性用户的自利性偏好满足:W +i WiW -i W --i时,若N 足够大,那么本方案是理性公平的.证明. 不妨设任意t个用户Pi1,Pi2,…,Pit参与理性秘密重构.其中,理性用户Pig在秘密分发阶段获得的子秘密集合为k_setig{k1ig,k2ig,…,kNig},1gt.下面证明在任意第m 轮中,理性用户Pig均会选择策略a(m)-honestig ,即将子秘密kmig发送给其余理性用户.由于在秘密分发者构造的分发秘密集合K 中,生成的虚假秘密Ki′1-fake,Ki′2-fake,…,Ki′N″-fake和真实的秘密Kreal间满足:|Ki′1-fake|=|Ki′2-fake|=…=|Ki′N″-fake|=|Kreal|-1,即虚假秘密Ki′1-fake,Ki′2-fake,…,Ki′N″-fake和真实秘密Kreal的数量只相差1个.此外,在分发秘密集合K 中,KN -k,KN -k+1,…,KN≠Kreal.其中,k是一个随机数.因此,不失一般性地,在任意第m(m≠N)轮交互中,每个理性用户Pig都不能正确地识别出真实的共享秘密Kreal,即Prig[Km′=Kreal|Km′∈{K1,K2,…,Km}]=ε,其中,ε是可忽略的.而一旦理性用户Pi在第m 轮中不发送子秘密kmi给其余理性用户,在之后的交互中将不会有任何理性用户给其发送子秘密.那么,对理性用户Pig来说,在第m 轮中,分别选择策略a(m)-honestig 、a(m)-fakeig和a(m)-silentig的收益满足:uig(a(m)-honestig )Wiguig(a(m)-fakeig )=uig(a(m)-silentig ).因此,在第m 轮中,理性用户Pig只会选择策略a(m)-honestig .在进行第N 轮交互时,由于|Ki′1-fake|=|Ki′2-fake|=…=|Ki′N″-fake|=|Kreal|-1KN -k,KN -k+1,…,KN≠K 烅烄烆real ,则在之前重构出的秘密K1,K2,…,KN -1中,一定存在一个Km″使得其重复的数量最多,即Km″∈{K1,K2,…,KN -1},有|Km″|= max 1珦m N-1|K珦m|.此时,理性用户Pig已识别出真实的共享秘密Kreal.因此,理性用户Pig分别选择策略a(N)-honestig 、a(N)-fakeig和a(N)-silentig的收益满足:uig(a(N)-honestig )=uig(a(N)-fakeig )=uig(a(N)-silentig )=Wig.所以,在第N 轮交互中,理性用户没有动机偏离预定的理性秘密重构协议,故会选择策略a(N)-honestig .综上所述,当理性用户的自利性偏好满足:W +i WiW -i W --i时,若N 足够大,那么本方案是理性公平的. 证毕.6.2 时间复杂性本文将承诺信息的验证视为计算承诺信息的一个逆计算,故它们具有相同的时间复杂性,用OTime(sign)表示.在分发阶段中,秘密分发者Dealer首先需要生成分发秘密集合K={K1,K2,…,KN},并利用t-1阶多项式将秘密Km拆分成km1,km2,…,kmn .因此,每拆分一个秘密Km需要OTime(n)次计算.那么,拆分秘密分发秘密集合K 中的N 个秘密所需的计算复杂性为OTime(n·N).随后,为防止理性用户在秘密重构阶段中进行欺骗,秘密分发者Dealer还需要为每个子秘密kmi (1in,1mN)计算承诺信息cmi =signDealerSK (kmi ‖IDi‖m).因此计算承诺信息所需的计算复杂性为OTime(n·N·sign).在重构阶段中,当理性用户Pi收到其余理性用户Pj∈P-i发送的子秘密kmj后,需利用验证函数verf(·)和秘密分发者的公钥DealerPK验证子秘密的正确性,即计算verfyDealerPK (cmj ,IDj,m)=kmj ,故每验证一个子秘密就需OTime(sign)计算复杂性.而每个理性用户Pj需发送N 个子秘密k1j,k2j,…,kNj .因此,为验证其余理性用户发送的子秘密的正确性,理性用户Pi共需OTime((n-1)·N·sign)=OTime(n·N·sign)次计算.当在任意第m 轮交互完成后,理性用户Pi需利用收到的子秘密km1,km2,…,kmn重构出分发秘密Km,至多需要OTime(n)次计算.因此,重构出所有分发秘密K1,K2,…,KN所需的计算复杂性为OTime(n·N).此外,从重构出的分发秘密K1,K2,…,KN中统计每个秘密重复出现的次数,并通过查找出现次数最多的秘密得到真实的共享秘密Kreal,故从重构出的分发秘密K1,K2,…,KN中识别出共享秘密Kreal所需的计算复杂性为OTime(N).综上所述,当使用本方案在n 个理性用户间共享秘密时,(1)对于秘密分发者来说,其所需的计算复杂性为OTimeDealer=OTime(n·N)+OTime(n·N·sign)=OTime(n·N·sign). (2)对于理性用户来说,其所需的计算复杂性为OTimeUser=OTime(n·N·sign)+OTime(n·N)+OTime(N)=OTime(n·N·sign).6.3 通信复杂性令|kmi|和|cmi|分别表示发送的子秘密kmi和承诺信息c mi的长度,其中1in 且1mN.不妨设,i≠j和m≠m′,下式1526 计 算 机 学 报 2020年|kmi |=|kmj |=|km′i |=|k||cmi |=|cmj |=|cm′i |=|sign烅烄烆|成立,即秘密分发者Dealer为每个用户分发在子秘密的长度以及承诺信息长度均相等.下面简要分析本方案的通信复杂性.在分发阶段中,秘密分发者Dealer在将子秘密集合k_seti={k1i,k2i,…,kNi }分发给每个理性用户Pi后,还需将承诺信息集合c_seti={c1i,c2i,…,cNi }和签名验证函数verf(·)发送给所有的理性用户.因此,秘密分发者Dealer的通信复杂性为OCommDealer=OComm(n·N·|k|)+OComm(n·N·sign )+OComm(verfy )=OComm(n·N·|max|)+OComm(|verfy|),其中,|max|=max{|k|,|sign|};OComm(n·N·|k|)表示分发子秘密时的通信复杂性;OComm(n·N·|sign|)表示发送承诺信息所需要的通信复杂性;OComm(|verfy|)表示发送验证函数verfy(·)所需的复杂性;|verfy|表示发送的验证函数verfy(·)长度.在重构阶段中,每个理性用户Pi仅需将自己拥有的子秘密k1i,k2i,…,kmi发送给其余理性用户,因此理性用户Pi的通信复杂性为OCommUser =OComm(N·|k|).6.4 方案对比下面通过与现有适用于异步通信的理性秘密共享方案进行对比,进一步说明本方案在实现理性公平性的同时还具有较好的可用性.具体对比如表1所示.表1 方案对比理性公平性可信用户重构阶段中的交互轮数重构交互轮数依赖关于理性用户收益的计算使用其它密码技术实用情形方案[23] × × N √ 安全多方计算、健忘传输、零知识证明t,n2方案[25] × × N √ 可验证随机函数t,n2方案[26] × × N √ — t,n2方案[32] × × 2 √ — t,n2方案[35] × × 3 √ — t=n3本方案× × N √ — t,n2 方案[23]是首个适用于异步通信的理性秘密共享方案,但是该方案由于使用安全多方计算协议、健忘传输协议和零知识证明来约束理性用户在秘密重构阶段的自利性行为,导致其计算复杂性较高.为降低理性用户的计算代价,方案[25]通过构造可验证随机函数(Verifiable Random Function,VRF)使得理性用户直至交互完成才能确定其他理性用户发送的子秘密的正确性,从而确保每个理性用户均不会偏离预定方案的执行.随后,方案[26]为了避免使用可验证随机函数,进一步降低秘密分发者Dealer的计算代价,通过让秘密分发者Dealer将为每个理性用户分发的子秘密再次进行拆分,使得理性用户只有在交互结束后才能获知如何正确地重构出子秘密,从而确保每个用户均能重构出共享秘密.然而,当使用上述三个方案时,在秘密分发阶段中,Dealer需要根据每个理性用户的收益函数来确定他们在秘密重构阶段中的交互轮数,即交互轮数N 满足:N=max{N1,N2,…,Nn}.其中,1in 且Ni =W +i -W -iWi-W -i.但是,在现实应用中,准确地掌握每个理性用户Pi的收益(即W +i 、Wi和W -i )是较为困难的.一旦不能准确地设定交互轮数N,那么在秘密重构阶段中就可能会出现“正确发送子秘密的理性用户未能重构出真实的共享秘密,而未正确发送子秘密的用户却能重构出真实共享秘密”的不公平情形.为降低理性用户在秘密重构阶段中的交互轮数,方案[32]通过将参与秘密重构的理性用户划分成不同群组的方式来进行交互,提出了一个仅需两轮交互的理性秘密共享方案.但是,在实际应用中,完全可信的用户较难找到.此外,在使用该方案时,还可能会出现“正确发送子秘密和不正确发送子秘密的用户均不能重构出共享秘密”的极端情形,从而导致“空威胁(empty threat)”情形的出现,即没有理性用户发送自己拥有的子秘密给其余理性用户.方案[35]通过让秘密分发者Dealer在秘密分发阶段指定理性用户在秘密重构阶段中发送子秘密先后顺序的方法,提出了一个无需可信用户参与且仅需3轮交互的理性秘密共享方案.然而,该方案在使用时,依然可能会出现“不发送子密钥的用户仍能重构出共享密钥”的不公平情形.此外,该方案仅适用于t=n>2的特殊情形.本方案通过在秘密分发阶段为每个理性用户发送大量虚假子秘密,使得理性用户难以准确猜测出真实共享子秘密的方法,在无需可信用户参与且不依赖其他密码技术(如安全多方计算、可验证随机函数等)的情形下实现了理性公平的秘密重构.此外,8期 刘 海等:理性公平的秘密共享方案 1527在使用本方案时,秘密分发者Dealer也无需准确地知道每个理性用户的收益函数,即可通过生成随机数的方式确定秘密重构阶段的交互轮数.综上所述,本方案具有较好的可用性.7 实 验为说明上述提出的理性公平的秘密共享方案具有较好的实用性,本文利用Miracl密码学软件开发包对该方案进行模拟实验.该密码学软件开发包是目前最常采用的一种密码学开发包,其定义了大量与密码学相关的基础函数,如大整数的生成、素数的判断等.本实验首先在有限域Fq上随机构造t-1阶多项式fm(x)=Σt-1j=0aj_mxj,使得fm(0)=Km;并利用该多项式通过计算kmi =(i,fm(i)modq),将分发秘密Km拆分成n份子秘密km1,km2,…,kmn .其中,q是大素数;多项式系数a0,a1,…,at-1∈Fq;1in.此外,还选用国家密码管理局公布的SM2椭圆曲线公钥密码算法为每个子秘密kmi进行签名生成承诺信息c mi =signDealerSK (kmi‖IDi‖m),并通过计算verfDealerPK (cmi′,IDi′,m)来验证理性用户发送的子秘密的正确性.本实验设定秘密分发者的密钥长度为256bit;理性用户Pi的身份信息IDi长度为8bit;当前重构轮数m的表示长度为8bit.针对不同长度的q 值,即|q|=256和|q|=512,通过变化门限值t、理性用户数量n和重构交互轮数N,分别进行100次实验.实验所用算法均采用C++编程语言实现,实验环境为IntelCore i5-4590 3.30GHz CPU,8GB DDR4-2400RAM,操作系统为Windows 7-64bit.7.1 本方案所需的计算代价和通信开销我们通过与方案[26]进行对比,表明本方案在无需准确地知道理性用户的收益函数且能实现理性公平的秘密重构的同时,并未增加秘密分发者Dealer和理性用户Pi的计算代价和通信开销,从而进一步说明本方案具有较好的实用性.如表1所示,方案[26]是现有最好的理性秘密共享方案之一.该方案无需可信用户参与,也无需使用其他复杂的秘密技术(如安全多方计算、可验证随机函数),且适用于异步通信情形.在该部分实验中,设置2t=n20;秘密重构交互轮数N=20.在本方案中,秘密分发者Dealer生成N 个共享秘密K1,K2,…,KN,然后将每个秘密Km拆分成n份km1,km2,…,kmn并计算每个子秘密kmi对应的承诺信息cmi ,共拆分n·N 次;随后,秘密分发者Dealer通过点对点通信方式将子秘密kmi发送给理性用户Pi,然后广播所有的承诺信息.而在方案[26]中,秘密分发者首先将共享秘密Kreal拆分成n 份kreal1 ,kreal2 ,…,krealn ,然后再将每个子秘密kreali拆分成N 份子秘密k1-reali ,k2-reali ,…,kN-reali并计算其相应的承诺信息,共拆分n·N+1次;随后,秘密分发者Dealer将子秘密kmi以及相应的承诺信息c mi通过点对点通信的方式发送给理性用户Pi.其中,1in;1mN.因此,秘密分发者Dealer使用本方案时,由于拆分共享秘密的次数比使用方案[26]时少1次,其所需的平均计算代价较低;而由于需要发送的子秘密和承诺信息数量与使用方案[26]时相同,故其所需的通信开销也相同.如图2(a)所示.例如,当n=20且|q|=512时,若使用本方案,秘密分发者Dealer所需的平均计算代价和通信开销分别为6.795s和214.156Kb;若使用方案[26],其所需的平均计算代价和通信开销分别为7.128s和216.763Kb.如图2(b)所示.由此可见,对于秘密分发者Dealer来说,不仅无需准确地知道每个理性用户的收益函数,其所需的计算代价和通信开销也未增加.图2 秘密分发者的平均计算代价和通信开销此外,如图3所示,使用本方案和方案[26]时,理性用户所需的平均计算代价基本相同;而使用本方案时理性用户所需的平均通信开销低于使用方案[26]时所需的通信开销.造成上述现象的原因是:当使用本方案时,由于秘密分发者将所有子秘密的承诺信息进行广播,因此在秘密重构阶段中,理性用1528 计 算 机 学 报 2020年户Pi仅需发送自己拥有的子秘密kmi给其余用户;而使用方案[26]时,由于秘密分发者仅将子秘密kmi对应的承诺信息cmi发送给理性用户Pi,故理性用户Pi需在秘密重构阶段中将自己拥有的子秘密kmi和c mi发送给其余用户来表明自己的诚实行为.此外,无论使用本方案还是方案[26],在验证其余理性用户发送的子秘密km1,…,kmi-1,kmi ,…,kmn的正确性后,理性用户Pi均采用插值法恢复出共享秘密Km.例如,当n=20且|q|=512时,若使用本方案,理性用户所需的平均计算代价和通信开销分别为1.122s和5.719Kb;若使用方案[26],其所需的平均计算代价和通信开销分别为1.131s和10.708Kb.因此,本方案也未增加理性用户的平均计算代价和通信开销.图3 理性用户的平均计算代价和通信开销综上所述,与方案[26]相比,本方案在实现理性公平性且不要求秘密分发者Dealer准确获知理性用户的收益函数的同时,还未增加秘密分发者Dealer和理性用户的平均计算代价和通信开销.这表明本方案具有较好的实用性.7.2 门限值t对本方案的影响下面分析门限值t对本方案所需平均计算代价和通信开销的影响.在该部分实验中,设定n=N=20.对于秘密分发者Dealer来说,当要将秘密Km拆分成子秘密km1,km2,…,kmi进行分发时,首先需要从有限域Fq中挑选t-1个系数a1_m,a2_m,…,at-1_m构造t-1阶多项式fm(x)=Km+Σt-1j=1aj_mxj,并计算子秘密kmi =(i,fm(i)modq).其中Km∈Fq;1in;1mN.因此,随着门限值t的增加,秘密分发者Dealer构造t-1阶多项式以及计算kmi所需的计算代价也随之增加.但是,无论门限值t如何变化,秘密分发者Dealer需要发送的子秘密数量以及承诺信息数量均不会发生变化,故秘密分发者Dealer所需的平均通信开销并不随着门限值t的变化而变化.例如,当阈值t从2变化到20且|q|分别为256和512时,其平均计算代价分别从0.759s和0.977s提升至2.397s和6.795s,如图4(a)所示;而所需平均通信开销则保持不变,分别为150.045Kb和220.136Kb,如图4(b)所示.图4 阈值t对秘密分发者的影响对于理性用户Pi来说,随着阈值t的变化,其在收到其余理性用户发送的子秘密后,利用拉格朗日插值法计算f(x)=Σti=1li(x)fm(i)恢复出秘密Km所需要的加法运算、乘法运算以及乘法运算的逆运算次数也在增多,从而导致理性用户Pi所需的计算代价也随之增大.其中,li(x)=Πtj=1,j≠ix-ii-j;1mN.但是,理性用户需要发送的子秘密数量并不随着阈值t的变化而改变.综上所述,理性用户的平均计算代价随着阈值t的增大而增加,而其平均通信开销随着阈值t的增大而保持不变.如图5所示.值得强调的是,在本实验中,秘密分发者Dealer和理性用户的平均通信开销出现波动的原因是:针对不同的阈值t,随机生成的多项式系统不同,使得8期 刘 海等:理性公平的秘密共享方案 1529图5 阈值t对理性用户的影响计算出的子秘密的长度发生改变,从而导致秘密分发者Dealer和理性用户发送子秘密所需的平均通信开销也随之波动.7.3 理性用户数量n对本方案的影响本部分实验用于分析当使用本方案实现公平的秘密共享时,理性用户数量n 对秘密分发者Dealer和理性用户所需计算代价的影响.其中,设定t=2和N=20.如图6所示,当参与秘密共享的理性用户数量增多,即阈值n 变大时,秘密分发者Dealer在秘密分发阶段中需将共享秘密Km(1mN)拆分并发送的子秘密kmi (1im)的数量也随之增多.同时,为了防止理性用户在秘密分发阶段发送错误的子秘密给其余用户,秘密分发者Dealer还要为每个子秘密kmi计算相应的承诺信息c mi =signDealerSK (kmi‖IDi‖m).因此,随着拆分的子秘密数量的不断增多,秘密分发者Dealer需要计算和发送的承诺信息的数量也在不断增加.这就造成了秘密分发者Dealer所需的计算代价和通信开销随着n的变大而增加.在秘密重构阶段的任意第m 轮交互中,随着理性用户数量n的增加,理性用户Pi需要接收到其余理性用户发送的子秘密数量也随之增多.每当理性用户Pi收到一个其余理性用户Pj发送来的子秘密kmj ,其都要计算verfDealerPK (cmj ,IDj,m)来验证该子秘密的正确性.因此,理性用户所需的平均计算代价随着理性用户数量n 的增加而不断提高.如图7所图6 阈值n对秘密分发者的影响图7 阈值n对理性用户平均计算代价的影响示.但是,在本方案中,理性用户Pi是通过广播通信将自己拥有的子秘密发送给其余用户,其需要发送的子秘密数量仅受分发秘密数量N 的影响.因此,当理性用户数量n 增多时,理性用户的平均通信开销的变化趋势与图5(b)所示相同,保持不变.7.4 分发秘密数量N 对本方案的影响最后简要分析分发的秘密数量N 对本方案所需平均计算代价和通信开销的影响.设定t=n=2.对于秘密分发者Dealer来说,随着分发秘密数量N 的增多,其需要拆分和发送的子秘密数量以及关于这些子秘密的承诺信息数量也随之增加.因此,随之阈值N 的增大,秘密分发者Dealer的平均计算代价和通信开销也在不断提高.如图8所示.而对于理性用户来说,随着分发秘密数量N 的增多,其在秘密重构阶段中需要交互的子秘密数量也不断增加.这就使得理性用户在秘密重构阶段收到其余理性用户发送的子秘密数量也随之增多,从而提高了理性用户验证其余用户发送子秘密的正确性所需1530 计 算 机 学 报 2020年的计算代价.综上所述,理性用户的平均计算代价和通信开销随着阈值N 的增大而提高.如图9所示.图8 阈值N 对秘密分发者的影响图9 阈值N 对理性用户的影响8 总 结现有理性秘密共享的公平性定义未能充分考虑理性用户的自利性行为,从而导致该公平性定义允许出现“发送子密钥的理性用户无法恢复出共享密钥,而不发送子密钥的用户却能重构出共享密钥”的不公平情形;甚至还会出现“发送错误的子秘密欺骗其余理性用户,使其将重构出的错误秘密视为真实共享秘密”的极端情形.因此,以该公平性定义为指导所设计出的方案在实际使用时,并不能实现公平的秘密共享.为了解决该问题,本文通过分析理性用户的自利性行为,将最小存取结构引入到理性秘密重构中,形式化地定义了秘密共享的理性公平性.为表明所提出的理性公平性的实用性,本文以理性公平性定义为指导,通过在秘密分发阶段为每个理性用户发送大量虚假子秘密,使得理性用户难以准确猜测出真实共享子秘密的方法,设计一个混淆激励机制,并构造了理性公平的秘密共享方案.理论分析和大量实验表明,本方案能有效地约束理性用户在秘密重构阶段中的自利性行为,确保所有用户均能重构出真实的共享密钥,高效地实现公平的秘密共享.参考文献[1] Cao Z F.New Directions of Modern Cryptography.Florida:CRC Press,2012[2] Fu A,Qin N,Wang Y,et al.Nframe:A privacy-preservingwith non-frameability handover authentication protocol basedon(t,n)secret sharing for LTE/LTE—A networks.WirelessNetworks,2017,23(7):2165-2176[3] Maitraye D,Nusrat J M,Sharmin A,et al.A novel secretsharing approach for privacy-preserving authenticated diseaserisk queries in genomic databases//Proceedings of the 42ndAnnual International Conference on Computer Software andApplications(COMPSAC 2018).Tokyo,Japan,2018:645-654[4] Liu H,Li X H,Xu M F,et al.A fair data access controltowards rational users in cloud storage.Information Sciences,2017,418:258-271[5] Leon J H,Gamze T,Zekeriya E.BAdASS:Preservingprivacy in behavioural advertising with applied secret sharing//Proceedings of the 12th International Conference on ProvableSecurity(ProvSec 2018).Jeju,South Korea,2018:397-405[6] Mahdi C.Nearly optimal robust secret sharing.Designs,Codes and Cryptography,2019,87(8):1777-1796[7] Halpern J,Teague V.Rational secret sharing and multipartycomputation:Extended abstract//Proceedings of the 36thAnnual ACM Symposium on Theory of Computing (STOC2004).Chicago,USA,2004:623-632[8] Dodis Y, Rabin T. Cryptography and Game Theory.Cambridge:Cambridge University Press,2007[9] Katz J.Bridging game theory and cryptography:Recent resultsand future directions//Proceedings of the 5th InternationalConference on Theory of Cryptography (TCC 2008).NewYork,USA,2008:251-2728期 刘 海等:理性公平的秘密共享方案 1531[10] Nanavati N R,Jinwala D C.A game theory based repeatedrational secret sharing scheme for privacy preserving distributeddata mining//Proceedings of the 10th International Conferenceon Security and Cryptography(SECRYPT 2013).Reykjavík,Iceland,2013:512-517[11] Nanavati N R,Lalwani P,Jinwala D C.Game-theoreticprivacy preserving constructions for rational and malicioussecret sharing models for collaborative frequent itemsetmining.International Journal of Knowledge Engineering andData Mining,2017,4(3/4):320-346[12] Gordon S D,Katz J.Rational secret sharing,revisited//Proceedings of the 5th International Conference on Securityand Cryptography for Networks(SCN 2006).Maiori,Italy,2006:229-241[13] Abraham I,Dolev D,Gonen R,et al.Distributed computingmeets game theory:Robust mechanisms for rational secretsharing and multiparty computation//Proceedings of the 25thAnnual ACM Symposium on Principles of DistributedComputing(PODC 2006).Denver,USA,2006:53-62[14] Maleka S,Amjed S,Rangan C P.The deterministic protocolfor rational secret sharing//Proceedings of the 22nd IEEEInternational Symposium on the Parallel and DistributedProcessing(IPDPS 2008).Miami,USA,2008:1-7[15] Maleka S,Shareef A,Rangan C P.Rational secret sharingwith repeated games//Proceedings of the 4th InternationalConference on Information Security Practice and Experience(ISPEC 2008).Sydney,Australia,2008:334-346[16] Micali S,Shelat A.Purely rational secret sharing(extendedabstract)//Proceedings of the 6th International Conferenceon Theory of Cryptography (TCC 2009).San Francisco,USA,2009:54-71[17] Tian Y L,Ma J F,Peng C G,et al.One-time rational secretsharing scheme based on Bayesian game.Wuhan UniversityJournal of Natural Sciences,2011,16(5):430-434[18] Zhang Z F,Liu M L.Rational secret sharing as extensivegames.Science China Information Sciences,2013,56(3):1-13[19] Asharov G,Lindell Y.Utility dependence in correct and fairrational secret sharing.Journal of Cryptology,2011,24(1):157-202[20] Nojoumian M,Stinson D R,Grainger M.Unconditionallysecure social secret sharing scheme.IET Information Security,2010,4(4):202-211[21] Nojoumian M,Stinson D R.Socio-rational secret sharing asa new direction in rational cryptography//Proceedings of the3rd International Conference on Decision and Game Theoryfor Security (GameSec 2012).Budapest,Hungary,2012:18-37[22] Nojoumian M.Generalization of socio-rational secret sharingwith a new utility function//Proceedings of the 20th InternationalConference on Privacy,Security and Trust(PST 2014).Toronto,Canada,2014:338-341[23] Kol G,Naor M.Cryptography and game theory:Designprotocols for exchanging information//Proceedings of the 5thInternational Conference on Theory of Cryptography(TCC’08).New York,USA,2008:320-339[24] Kol G, Naor M.Games for exchanging information//Proceedings of the 40th Annual ACM Symposium on Theoryof Computing(STOC’08).New York,USA,2008:423-432[25] Fuchsbauer G,Katz J,Naccache D.Efficient rational secretsharing in standard communication networks//Proceedings ofthe 7th International Conference on Theory of Cryptography(TCC 2010).Zurich,Switzerland,2010:419-436[26] Zhang Z F,Liu M L.Unconditionally secure rational secretsharing in standard communication networks//Proceedings ofthe 13th Annual International Conference on InformationSecurity and Cryptology(ICISC 2010).Seoul,Korea,2010:355-369[27] Cai Y Q,Shi H L.Rational secret sharing scheme based onprobability encryption without trusted center.Journal ofNetworks,2011,6(6):899-903[28] Wang J,Cai Y Q.A rational secret sharing scheme based onrepeated game//Proceedings of the 7th International Conferenceon Computational Intelligence and Security (CIS 2011).Sanya,China,2011:615-619[29] Yu Y,Zhou Z F.An efficient rational secret sharing protocolresisting against malicious adversaries over synchronouschannels//Proceedings of the 8th International Conferenceon Information Security and Cryptology (Inscrypt 2012).Beijing,China,2012:69-89[30] Wang Y L,Xu Q L.2-out-of-2rational secret sharing inextensive form//Proceedings of the 7th International Conferenceon Computational Intelligence and Security(CIS 2011).Sanya,China,2011:847-851[31] Jin J H,Zhou X,Ma C G,et al.A rational secret sharingrelying on reputation//Proceedings of the 2016InternationalConference on Intelligent Networking and CollaborativeSystems(INCoS 2016).Ostrawva,Czech Republic,2016:384-387[32] Ong S J,Parkes D C,Rosen A,et al.Fairness with anhonest minority and a rational majority//Proceedings of the6th International Conference on Theory of Cryptography(TCC 2009).San Francisco,USA,2009:36-53[33] Dani V,Movahedi M,Rodriguez Y,et al.Scalable mechanismfor rational secret sharing.Distributed Computing,2015,28(3):171-187[34] Tian Y L,Peng C G,Lin D D,et al.Bayesian mechanismfor rational secret sharing scheme.Science China InformationSciences,2015,58(5):1-13[35] Kawachi A,Okamoto Y,Tanaka K,et al.General constructionsof rational secret sharing with expected constant-roundreconstruction.The Computer Journal,2017,60(5):711-728[36] Sourya J D,Ruj S,Pal A K.Should silence be heard?Fairrational secret sharing with silent and non-silent players//Proceedings of the 13th International Conference on Cryptologyand Network Security (CANS 2014).Heraklion,Greece,2014:240-2551532 计 算 机 学 报 2020年[37] Zhang En,Yuan P Y,Du J.Verifiable rational secret sharingscheme in mobile networks.Mobile Information Systems,2015,462345:1-7[38] Sourya J D,Ruj S.Failure tolerant rational secret sharing//Proceedings of the 30th International Conference on AdvancedInformation Networking and Applications (AINA 2016).Montana,Switzerland,2016:925-932[39] Liu H,Li X H,Ma J F,et al.Reconstruction methodologyfor rational secret sharing based on mechanism design.Science China Information Sciences,2017,60(8):1-3[40] Nisan N.Algorithmic mechanism design.Games and EconomicBehavior,2001,35:166-196LIU Hai, Ph.D. His researchinterests include privacy protection andsecurity protocol design.LI Xing-Hua,Ph.D.,professor.His research interestsinclude network and information security,privacy protectionand cryptography.TIAN You-Liang,Ph.D.,professor.His research interestsinclude game theory,cryptography and security protocols.LUO Bin,Ph.D.candidate.Her research interestsinclude privacy protection and trust evaluation.MA Jian-Feng,Ph.D.,Yangtze river scholar professor.His research interests include network and informationsecurity,coding theory and cryptography.PENG Chang-Gen,Ph.D.,professor. His researchinterest is data privacy protection.Background With the development of communication technologies,emerging technologies like cloud computing and IoT(Internetof Things)arise,which bring convenience and become partof our daily life.However,when enjoying the convenientlife,the users’privacy may disclose because they need toprovide some individual data.To protect the users’privacyeffectively,the cryptography participating in multi-player hasattracted more attention,especially secret sharing.In traditional secret sharing,the users are regarded aseither honest or malicious.Honest users follow the prescribedprotocol faithfully, whereas malicious users behave inarbitrary manners.However,in real applications,the usersare selfish and always try to maximize their profits,whichcoincides with the selfish characteristic of rational users ingame theory.Under this circumstance,rational secret sharingis proposed at the intersection of game theory and traditionalsecret sharing,which has been used widely,such as in thefield of location privacy protection and data access control ofcloud storage.Unfortunately,due to the lack of adequate considerationabout the users’selfish behaviors,the existing fairnessdefinition of rational secret sharing implies some unfairsolutions,which allows some of the users to reconstruct thesecret but not send the shares,whereas the others cannotobtain the secret after sending the shares.More seriously,some of the users can cheat,making the other users view afake secret as the real.Therefore,the existing rational secretsharing schemes cannot realize the fair secret sharing.Toaddress this problem,this paper formalizes rational fairnessof secret sharing by introducing into the access structure.Based on the proposed definition of rational fairness asguidance,through the generation of a great quantity of fakeshares for rational users to make them not able to identify thereal one,an incentive obfuscation mechanism is devised and anovel rational secret sharing scheme is presented.Theoreticalanalysis demonstrates that our scheme can motivate theusers to send their shares honestly and make both of themreconstruct the real secret,thereby guarantee the fairness ofrational secret sharing.Additionally,the extensive experimentsillustrate that the computation overhead and communicationcost of the proposal are limited,which shows that thepresented scheme is applicable.This work was sponsored in party by the National NaturalScience Foundation of China under Grant(Nos.U1708262,U1736203, U1836205, 61772008),the National KeyResearch and Development Program of China under Grant(No.2017YFB0801805),the Science and Technology Programof Guizhou Province under Grant (No.[2020]1Y265),theResearch Foundation of Guizhou University of Finance andEconomics under Grant(No.2019XYB17).8期 刘 海等:理性公平的秘密共享方案 1533 |
| [返回] |
下一篇:基于双注意力机制和迁移学习的跨领域推荐模型_柴玉梅