APP下载

面向理性用户的秘密重构设计模型

2021-12-08刘海田有亮唐莹JianbingNi马建峰

通信学报 2021年11期
关键词:信誉重构秘密

刘海,田有亮,唐莹,Jianbing Ni,马建峰

(1.贵州财经大学信息学院,贵州 贵阳 550025;2.中国科学院软件研究所可信计算与信息保障实验室,北京 100190;3.贵州大学公共大数据国家重点实验室,贵州 贵阳 550025;4.贵州财经大学发展规划与学科建设办公室,贵州 贵阳 550025;5.女王大学电子与计算机学院,金斯顿 K7L 3N6)

1 引言

随着通信技术的不断发展,边缘计算[1]、雾计算[2]、云计算[3]等多方参与的互联网服务也在不断普及。为保护多方参与的互联网服务数据的安全性和用户的隐私性,作为分布式密码体制重要组成的秘密共享得到了广泛研究[4-8]。

理性秘密共享方案[9]是将博弈论中的自利用户与传统秘密共享相结合而提出的一种更适用于现实应用的秘密共享方案。其目的是解决传统秘密共享方案在现实应用中,由于受到“利益最大化”的驱使,导致理性用户选择自利的行动策略,从而无法实现公平的秘密重构(即不能确保所有用户均能重构出共享秘密)的问题。然而,若直接使用现有理性秘密共享方案[9-29],会出现如下不公平的情形[30-32]。

1) 发送自己拥有的子秘密的用户无法恢复共享秘密,而未发送自己拥有的子秘密的用户却能恢复共享秘密,即仅有部分参与理性秘密共享的理性用户能恢复共享秘密。

2) 所有参与秘密共享的理性用户均未能恢复出真实的共享秘密,但是某些理性用户可通过欺骗行为,使其他发送自己拥有的子秘密的用户会重构出一个错误的共享秘密,并将该错误的共享秘密视为真实的共享秘密。

造成上述问题的根本原因是:在现有研究中,由于缺乏有效的秘密重构设计模型,方案设计者在设计理性秘密共享方案时(或更准确地说,设计理性秘密重构协议时),往往依赖个人经验,不能充分考虑理性用户在“利益最大化”驱使下的策略选择,从而难以实现公平的理性秘密重构。

为解决上述问题,本文首先通过构建理性秘密重构博弈模型,结合理性用户的自利性偏好,分析自利的理性用户执行秘密重构协议时追求“利益最大化”的策略选择,构造出3 种不同应用场景下面向理性用户的秘密重构设计模型,并从理论上证明了所提设计模型的有效性。此外,为表明所提设计模型的实用性,本文还基于所提设计模型构造了一个公平的秘密重构协议。本文的主要贡献如下。

1) 提出面向纯理性用户环境的理性秘密重构设计模型,并证明该模型能帮助设计者综合考虑用户的自利行为,从而构造不依赖第三方且能确保公平性的理性秘密重构协议。

2) 构造面向信誉环境的理性秘密重构设计模型,并证明了该模型的有效性,能协助设计者构建基于信誉的理性秘密重构协议,实现公平的秘密重构。

3) 构造面向可信用户环境的理性秘密重构设计模型,并证明该模型可帮助设计者有效约束理性用户的自利性,从而设计适用于具有可信用户参与的理性秘密重构协议。

2 相关工作

根据约束理性用户在秘密重构阶段的自利行为的方法,现有理性秘密重构协议可大致分为:面向纯理性用户环境的理性秘密重构协议、面向信誉环境的理性秘密重构协议和面向可信用户环境的理性秘密重构协议。

2.1 面向纯理性用户环境的理性秘密重构协议

面向纯理性用户环境的理性秘密重构协议是指参与执行该类协议的用户均是理性用户,无可信用户参与且无信誉系统。该类理性秘密重构协议最早是由Halpern 和Teague[10]提出的,其基本思想是:每个理性用户在秘密重构阶段中发送包含大量虚假子秘密和真实子秘密的秘密集合给其余用户,使所有用户只有遵循协议的执行,才能分辨出真实的子秘密,从而共同恢复出共享秘密。在他们的方案中,每个理性用户采用“投硬币”的方式确定是否交互真实的子秘密。若有理性用户不发送子秘密,则终止交互。采用上述方法,所有理性用户只能遵循协议的执行,直至每个理性用户同时发送真实的子秘密给其余用户;否则,将没有任何用户能恢复出共享秘密。然而,该方案并不适用于t=n=2 的情形。其中,t表示门限值,即表示可恢复共享秘密所需的最少子秘密数量;n表示分发的子秘密的总数量。为解决该问题,Maleka 等[11-12]通过每多交互一轮将增加用户的通信开销从而降低用户的最终收益的方法,不断地调整理性用户选择遵循协议执行的概率,从而实现公平的理性秘密重构。

然而,上述重构协议仅适用于同步通信的情形。为解决该问题,Kol 和Naor[13-14]通过让先发送子秘密的用户可获知交互真实子秘密,而后发送子秘密的用户不能获知交互真实子秘密的方法,设计了适用于异步通信的理性秘密重构协议。随后,Fuchsbauer 等[15]通过让理性用户在秘密重构阶段中随机验证其余理性用户发送子秘密正确性的方法,降低理性用户执行秘密重构协议时的计算开销。Cai和Shi[16]让秘密分发者利用概率加密的方法对分发的子秘密进行加密,分别降低秘密分发者在秘密分发阶段和理性用户在秘密重构阶段的计算开销。Dani 等[17]通过让理性用户延迟收到其余用户发送的子秘密的方法来激励其遵循协议的执行,设计了一个仅需一轮交互的理性秘密重构协议。Kawachi等[18]提出的理性秘密重构协议中,通过指定理性用户在秘密重构阶段中交互子秘密的先后顺序,使理性用户通过3 轮交互就可恢复共享秘密。

此外,Zhang 和Liu[19]对理性秘密重构协议的概率安全性进行研究;Zhang 等[20]、De 和Ruj[21]分别提出了适用于通信资源受限场景的理性重构协议。田有亮等[22]探讨了理性用户的风险偏好函数对秘密重构博弈结果的影响。

2.2 面向信誉环境的理性秘密重构协议

面向信誉环境的理性秘密重构协议最早是由Nojoumian 等[23]提出的,其基本思想是:将秘密重构视为一类特殊的社会活动,通过对理性用户的信誉(即其长期收益)的增减来约束他们在秘密重构中的自利性。因此,该类协议又称为社会理性秘密重构协议。随后,Nojoumian[24]采用数据拟合的方法,构造参与社会理性秘密重构的理性用户的收益函数。Wang 和Xu[25]、Tian 等[26]分别结合贝叶斯博弈模型,分析了理性用户在执行社会理性秘密重构协议时的策略选择。Wang 和Cai[27]指出理性用户可能会进行多次社会理性秘密重构活动。因此,他们结合重复博弈模型设计了一个适用于多秘密重构的社会理性秘密重构协议。Yu 和Zhou[28]对执行社会理性秘密重构协议中的合谋行为进行研究,设计了概率安全的社会理性秘密共享协议。彭长根等[29]通过综合理性用户的长期收益和短期收益,设计了一个适用于无秘密分发者场景的分布式理性秘密重构协议。随后,Jin 等[33]研究发现当理性用户考虑自己的长期收益时,理性用户参与秘密重构的收益函数将发生改变。因此,他们对文献[24]构造的收益函数进行修改,给出理性用户的混合收益函数。此外,Nojoumian 等[34]还对社会理性秘密重构协议的无条件安全性进行研究。

2.3 面向可信用户环境的理性秘密重构协议

面向可信用户环境的理性秘密重构协议的基本是思想是:在秘密重构的过程中,由可信用户充当“仲裁者”来判断每个理性用户交互的子秘密的正确性,确保遵循协议执行的理性用户能恢复共享秘密;而偏离协议执行的理性用户不能恢复共享秘密。Gordon 和Katz[35]通过让秘密分发者Dealer 在重构协议执行过程中观察用户的行为,使只有当所有理性用户均发送自己的子秘密给其余用户时,他们才能进入真实子秘密的交互阶段。然而,Abraham等[36]研究发现,在使用上述协议时,由于理性用户需经过多轮交互来不断提高自己选择“诚实地发送子秘密”的信念,故该协议的交互轮数较多,极大地增加了理性用户的通信负担。为减少交互轮数,降低理性用户的通信开销,Micali 和Shelat[37]基于拍卖模型,通过让理性用户将自己拥有的子秘密发送给“拍卖官”,由其恢复共享秘密,并根据用户发送的子秘密正确性来确定哪些用户可获得共享秘密。Ong 等[38]通过将理性用户分成2 个不同的群组,使每个不同的群组中均存在诚实的可信用户,由这些可信用户监测理性用户在秘密重构中所选择的策略,设计了一个仅需2 轮交互的秘密重构协议。然而,Zhang 和Liu[39]研究发现,当直接使用上述理性秘密重构协议时,会出现所有理性用户均不发送子秘密的特殊情形。因此,他们结合序贯纳什均衡设计了一个可避免上述“空威胁”情形的理性秘密重构协议。

但是,在设计上述理性秘密重构协议时,由于缺乏有效的参考模型,设计者只能根据自己的经验来设计理性秘密重构协议,未能有效地约束理性用户追求“利益最大化”的自利行为(面向可信用户环境的理性秘密共享协议除外)。这就导致如果直接使用上述理性秘密重构协议,就可能会出现如下不公平的情形:1) 正确发送子秘密的用户未能获得共享秘密,而未发送子秘密的用户却能获得共享秘密,即仅有部分理性用户能恢复共享秘密;2) 虽然所有参与秘密共享的理性用户均未能恢复真实的共享秘密,但是某些理性用户可通过欺骗行为,使其他发送自己拥有的子秘密的用户会重构出一个错误的共享秘密,并将该错误的共享秘密视为真实的共享秘密。

3 预备知识

3.1 秘密共享

(t,n) 门限秘密共享方案由秘密分发协议和秘密重构协议组成。其中,分发协议是由秘密分发者Dealer 执行,其目的是将共享秘密S拆分成n份子秘密s1,s2,…,sn后,分别将子秘密si(1≤i≤n)分发给用户Pi;而秘密重构协议主要是由n个用户P1,P2,…,Pn共同执行,其目的是让每个用户Pi将秘密分发者Dealer 分发的子秘密si交互给其余用户Pj(j≠i),从而共同恢复共享秘密S。为更好地分析用户执行秘密重构协议时的策略,下面给出门限秘密共享的形式化描述模型。

定义1(门限秘密共享方案)门限秘密共享方案ΓSS={,ΠDis,ΠRes}是一个三元组,具体解释如下。

①对于秘密分发者Dealer 来说,在确定持有子秘密的用户以及门限值t后,可通过拆分函数Dis(⋅)将共享秘密S拆分成n份子秘密s1,s2,…,sn。即

② 对于用户Pi(1≤i≤n)来说,当秘密分发者Dealer 执行完成秘密分发协议ΠDis后,其可获得子秘密si。即

3)ΠRes=ΠRes(P,Res(⋅),s1,s2,…,sn)是秘密重构协议。其中,Res(⋅)是秘密重构函数,它满足以下性质。

①对每个执行秘密重构协议的用户Pi(1≤i≤n)来说,若将自己拥有的子秘密发送给其余用户,那么最终获得的子秘密数量应不少于t个;若不将自己拥有的子秘密发送给其余用户,则最终获得的子秘密数量应不多于t−1个,即

②对每个执行秘密重构协议的用户Pi(1≤i≤n)来说,如果其拥有的子秘密数量不少于t个,则通过秘密重构函数Res(⋅)就能正确地恢复共享秘密S;否则,将不能得到关于共享秘密S的任何信息。即

其中,符号“⊥”表示空信息。

3.2 秘密重构中的理性用户

从秘密共享的形式化模型可以看出,当秘密分发者Dealer 执行秘密分发协议ΠDis后,每个用户Pi仅获得一个子秘密si。为能恢复共享秘密S,用户Pi在执行完秘密重构协议ΠRes时,至少要获得其他t−1个用户拥有的子秘密。因此,用户Pi在执行秘密重构协议时所选择的行动策略将直接影响其最终拥有的子秘密数量。为更清晰地分析理性用户执行秘密重构协议时所选择的行动策略,本文首先给出理性用户的形式化模型。

定义2(理性用户)参与执行秘密重构协议的理性用户Pi={θi,Ai,ωi,ui}是一个四元组,具体解释如下。

1)θi表示理性用户Pi执行秘密重构协议时的个人偏好。即自利的理性用户首先总是希望自己能获得共享秘密;其次,希望在自己获得共享秘密的同时让尽可能少的其余用户也获得共享秘密。若令表示理性用户Pi独自获得共享秘密时的收益;Ui表示所有参与秘密重构的理性用户都获得共享秘密时理性用户Pi的收益;表示所有参与秘密重构的理性用户都未获得共享秘密时理性用户Pi的收益;表示其他参与秘密重构的理性用户Pj(j≠i)获得共享秘密,而自己却未获得共享秘密时的收益;表示所有参与秘密重构的理性用户都未获得共享秘密,但是有部分理性用户将重构出的错误秘密认为是真实共享秘密时理性用户Pi的收益,则”。

3)ωi表示理性用户Pi在执行秘密重构协议时所拥有的背景知识。显然,不同的理性用户所拥有的背景知识是不同的。因此,∀ 1 ≤i,j≤n且i≠j,有ωi≠ωj。

4)ui表示理性用户Pi执行完秘密重构协议时的收益函数。

在执行秘密重构协议时,理性用户Pi在其个人偏好θ i的影响下,总在追求自身利益的最大化。因此,在执行秘密重构协议的过程中,理性用户Pi选择的行动策略ai∈Ai应遵循如下原则。

3.3 理性秘密重构博弈

当执行秘密重构协议时,自利的理性用户总是遵循“利益最大化”原则来选择自己的行动策略。从理性用户的形式化模型中可以发现,其自身利益最大化受2 个因素的影响:1) 自己是否获得共享秘密;2) 其余用户是否获得共享秘密。因此,为更好地约束理性用户执行秘密重构协议的自利行为,本文形式化描述理性秘密重构博弈模型。

定义3(理性秘密重构博弈)理性秘密重构博弈GRes={P,H,F,u}是一个四元组,具体解释如下。

1)P={P1,P2,…,Pn}是参与理性秘密重构博弈GRes的用户集合。其中,Pi∈P表示第i(1≤i≤n)个理性用户。

2)H是秘密重构博弈过程的历史序列集合。∀h=(al,am,…,aj)∈H,其表示在某时刻已选择行动策略的理性用户Pl,Pm,…,Pj所选择的行动策略al,am,…,aj组成的策略组合。在h之后的形成的所有行动策略组合记为A(h)={a|(h,a)∈H}。空字符Φ∈H,表示理性秘密重构博弈GRes的开始时刻。如果对于任意的历史h′∈H使A(h′)=∅,则称该历史h′是终止的,即表示理性秘密重构博弈GRes结束。Z表示由所有终止的历史组成的集合。其中,Pl,Pm,…,Pj∈P;符号“∅”表示空集。

3)F:(H/Z)→P是参与理性秘密重构博弈GRes的策略选择顺序函数。其含义是:为未终止的历史h∈H/Z指派下一个选择行动策略的理性用户Pi∈P。若采用同步通信信道,即所有理性用户同时选择参与理性秘密重构博弈GRes的行动策略时,F(Φ)=P。

4)u=(u1,u2,…,un)是理性秘密重构博弈结束时,每个理性用户Pi获得的最终收益ui组成的收益组合。

下面,结合理性秘密重构博弈模型,给出理性秘密重构的公平性、安全性和正确性模型。

定义4(理性秘密重构的公平性)一个理性秘密重构博弈GRes是公平的,若∀Pi,Pj∈P和a∈Z,有

其中,i≠j。

定义5(理性秘密重构的安全性)一个理性秘密重构博弈GRes是安全的,若∀Pi∈P和,有

4 理性秘密重构设计模型与面向不同环境的设计模型

4.1 理性秘密重构设计模型

结合理性用户模型和理性秘密重构博弈模型,本文给出理性秘密重构设计模型,具体如下。

定义7(理性秘密重构设计模型)理性秘密重构设计模型M={F,u,p}是一个三元组,具体解释如下。

1)F是执行理性秘密重构协议时,各理性用户Pi选择策略ai的先后顺序。

2)u=(u1,u2,…,un)是理性秘密重构协议执行结束时,每个理性用户Pi选择策略ai所获得的收益ui组成的收益组合。

3)p=(p1,p2,…,pn)是设计的理性秘密重构协议根据理性用户Pi所选择的策略ai返回给其的额外收益pi所组成的组合。

简单来说,在上述理性秘密重构设计模型中,p=(p1,p2,…,pn)是根据参与执行秘密重构协议的用户选择执行策略的先后顺序以及可能选择的策略,协议设计者需要设计的额外收益组合,从而通过该额外收益组合来约束理性用户的自利性。在该模型中,要求协议设计者结合用户选择策略的先后顺序F来设计额外收益组合p的原因如下。

以异步通信情形为例。在本文中,若理性用户能准确地知道共享秘密将在哪轮重构交互中被恢复,则称该重构轮为“已知最后重构轮”。

在异步通信情形下的理性秘密重构博弈中,由于后选择策略的理性用户可观察到在其之前已进行策略选择的理性用户选择的策略,故在已知最后重构轮中,当有t−1 个理性用户Pi选择策略时(即将自己拥有的子秘密si正确地发送给其余用户),剩余的理性用户Pj(j≠i)由于其自利性,将选择策略,即不将自己拥有的子秘密正确地发送给其余用户。因此,对于所有选择策略的理性用户Pk来说,此时他们的收益uk=。然而,对于理性用户Pi来说,其收益为。

由此可知,若要设计出公平的理性秘密重构协议,协议设计者不仅要考虑参与执行秘密重构协议的理性用户可能选择的策略,更要根据这些理性用户在执行秘密重构协议时选择策略的先后顺序来设计额外收益组合。这样才能有效地约束理性用户的自利行为,确保所有理性用户均能重构出共享秘密。

为进一步证明所给出的理性秘密重构设计模型的有效性,本文针对面向纯理性用户环境、面向信誉环境以及面向可信用户环境分别给出适用于异步通信情形的理性秘密重构协议的设计模型。

4.2 面向纯理性用户环境的设计模型

当所有用户均是理性的,且无信誉系统时,可使用下述设计模型来构造公平的理性秘密重构协议。

定义8(面向纯理性用户环境的设计模型)面向纯理性用户环境的理性秘密重构设计模型M={F,u,p}是一个三元组,具体解释如下。

1)F:若i

2)u=(u1,u2,…,un)是执行完理性秘密重构协议后用户的收益组合。它满足

其中,1≤i≤n。

3)p=(p1,p2,…,pn)是设计的理性秘密重构约束机制根据用户Pi选择的策略ai,返回给理性用户Pi的额外收益pi(ai)所组成的额外收益组合。它满足

其中,ui(i←i+0)表示理性用户Pi选择行动策略的顺序(无论是在该次重构博弈的第k+1轮中,还是在新开设的重构博弈的第一轮中)保持不变时的收益;ui(i←i∧k=1)表示理性用户Pi在新开始的重构博弈的第一轮中率先选择行动策略时的收益。此时,原来的其余理性用户Pj(1≤j≤i−1)选择策略的顺序分别向后顺延一位。此时,由于所有用户均未能重构出真实的共享秘密,故理性用户iP选择的行动策略ia时的额外收益均为。

值得注意的是,在使用上述模型时,需对秘密分发协议做相应的约束。具体约束如下。

在秘密分发协议执行之前,秘密分发者Dealer首先选择一个随机数Round 作为执行该理性秘密重构协议时所需的最大交互轮数;然后在[1,Round−1]中随机选择整数K作为能重构出真实共享秘密的重构轮数。此外,秘密分发者Dealer 在理性用户P1,P2,…,Pt−1中任选b个理性用户Pim发送子秘密集合{sim_(1),…,sim_(K),sim_(K+1)},给其余用户发送子秘密集合。其中,;l是正整数;si_(k)是真实共享秘密S对应的子秘密,1≤j≤n。当j=im时,sj_(K+1)为重构协议的执行终止符;而其余的子秘密均是错误的子秘密。此外,秘密分发者Dealer 还需分发可验证所有子秘密正确性的验证信息。当所有理性收到执行终止符时,即可知道在第K轮中重构出真实的共享秘密S。

本文将上述重构协议设计模型所对应的重构约束机制称为纯理性机制,下面证明该机制能帮助协议设计者有效约束理性用户的自利行为。

定理1在异步通信情形下的(t,n)理性秘密共享重构博弈GRes中,纯理性机制能有效约束理性用户的自利行为。

证明在纯理性机制中,只有理性用户Pim知道何时能正确地重构出真实的共享秘密S。因此,本文首先证明理性用户Pim在纯理性机制的约束下的策略选择。

由于理性用户Pim明确知道真实的共享秘密S是在已知重构轮——第k轮交互中才能恢复,因此在第k轮之前的交互轮k′中,其选择策略和的最终收益分别为

其中,1≤k′

综上所述,根据其自利性,理性用户Pim在已知重构轮中只会选择策略。

此时,其最终收益满足

通过上述证明可以得出,本文给出的面向纯理性用户环境的设计模型能帮助协议设计者有效地约束理性用户的自利行为,使设计出的理性秘密重构协议是公平的。

4.3 面向信誉环境的设计模型

在信誉环境中,假设每个理性用户Pi具有一个公开可见的信誉值ri,且ri将会根据理性用户Pi在社会活动中的行为被其余用户进行提高或降低。令R={r1,r2,…,rn}为理性秘密重构博弈中理性用户的信誉值集合;并且在秘密分发阶段中,秘密分发者Dealer 已分发相应的验证信息给理性用户,使他们可验证收到的子秘密和重构出的共享秘密的正确性。那么,面向信誉环境的理性秘密共享重构协议的设计参考模型如下。

定义9(面向信誉环境的设计模型)面向信誉环境的理性秘密重构设计模型M={F,u,p}是一个三元组,具体解释如下。

1)F:若ri≤rj,则理性用户Pi在执行理性秘密重构协议时比理性用户Pj先进行策略的选择。

2)u=(u1,u2,…,un)是执行完理性秘密重构协议时用户的收益组合。它满足

其中,1≤i≤n。

3)p=(p1,p2,…,pn)是设计的理性秘密重构约束机制根据用户Pi选择的策略ai,返回给理性用户的额外收益pi(ai)所组成的额外收益组合。它满足

其中,rmin=min{ui(ri←ri+n−1)}表示理性用户Pi的信誉值ri提升n−1时其获得的最小收益;rmax=max{ui(ri←ri−n+1)}表示理性用户Pi的信誉值ri降低n−1时的最大评估;“←”表示赋值。

显然,通过不断调整用户信誉值提高和降低的额度,一定存在一个最小的n′ 使成立。为便于描述,本文假设n′=n。本文将上述设计参考模型所对应的重构约束机制称为信誉机制。下面,将证明所提出的信誉机制能帮助协议设计者有效地约束理性用户在理性秘密重构博弈GRes的已知最后重构轮中的自利行为,实现公平的理性秘密重构。

定理2在异步通信情形下的(t,n)理性秘密共享重构博弈GRes中,信誉机制能有效约束理性的自利行为。

证明 1) 在已知最后重构轮中,当有t个理性用户Pj已选择行动策略时,理性用户Pi选择行动策略和的收益为

此时,他选择行动策略和使其自身信誉变化收益满足

因此,理性用户的最终收益满足

故自利的理性用户Pi不会选择行动策略。

2) 在已知最后重构轮中,有t−1个理性用户Pj已选择行动策略。

①若t=n,理性用户Pi是已知最后重构轮中最后选择行动策略的理性用户。那么,理性用户Pi选择行动策略和的收益为

那么,理性用户iP的最终收益为

② 若t≠n,即理性用户Pi不是已知最后重构轮中最后选择行动策略的用户。那么,通过上述分析可知,理性用户Pn将会选择行动策略。此时,与有t个理性用户Pj已选择行动策略的情形相同,故理性用户Pi不会选择行动策略。

3) 在已知最后重构轮中,有k(0≤k≤t−1)个理性用户Pj已选择策略。

①如果k=t−2,对于理性用户Pi来说,若i=n,那么理性用户Pi在已知最后重构中选择行动策略和的收益为

此时,理性用户iP的最终收益为

② 若t≠n,i=n−1时,理性用户Pi的最终收益与“当有t−1个理性用户Pj已选择行动策略”情形中i=n的最终收益相同。此时,理性用户Pi不会选择行动策略。

那么,根据逆向归纳法可知,当k=0 且i=1时,理性用户Pi仍只会选择行动策略。

4.4 面向可信用户环境的设计模型

当有可信用户参与理性秘密重构协议的执行时,可利用可信用户作为“仲裁者”来监督协议的执行过程。这不仅能降低执行理性秘密重构协议时理性用户的交互轮数,还能有效约束理性用户的自利性。假设在秘密分发阶段中,秘密分发者Dealer分发验证信息给所有的理性用户,使他们可验证收到的子秘密和重构出的共享秘密的正确性。那么,适用于具有可信用户环境的理性秘密重构协议设计参考模型如下所示。

定义10(面向可信用户环境的设计模型)面向可信用户环境的理性秘密重构设计模型M={F,u,p}是一个三元组,具体解释如下。

1)F:若i

2)u=(u1,u2,…,un)是执行完理性秘密重构协议后用户的收益组合。它满足

其中,1≤i≤n;策略表示可信用户Ph将恢复出的共享秘密S发送给理性用户Pi(i≠h,1≤i≤n);策略表示理性用户Pi未将正确的子秘密si发送给可信用户Ph;策略表示可信用户Ph保持沉默。

3)p=(p1,p2,…,pn)是设计的理性秘密重构约束机制根据用户Pi选择的行动策略ai,返回给理性用户的额外收益p i(ai)所组成的额外收益组合。它满足

本文将上述重构协议设计模型所对应的重构约束机制称为可信机制,下面证明该机制能帮助协议设计者有效约束理性用户的自利行为。

定理3在异步通信情形下的(t,n)理性秘密共享重构博弈GRes中,可信机制能有效约束理性的自利行为。

证明由于验证信息的存在,使可信用户可验证理性用户发送的子秘密的正确性。因此,理性用户无法欺骗诚实用户。并且,由于可信用户将根据理性用户选择的行动策略决定是否将重构出的共享秘密S发送给理性用户。如果理性用户Pi选择策略,即不发送自己拥有的子秘密给诚实用户Ph,其最终获得收益为

如果理性用户Pi选择策略,即发送自己拥有的子秘密给可信用户Ph,其最终获得收益为

值得注意的是,在上述给出的面向纯理性用户环境、面向信誉环境和面向可信用户环境的理性秘密重构协议设计模型中,仅需将各设计模型中发送子秘密的顺序F调整为所有理性用户同时发送各自拥有的子秘密,就可用于同步通信情形下的理性秘密重构协议的设计。

5 设计实例

为表明所给出的设计模型具有可用性,本文将根据给出的面向信誉环境的设计模型来构造一个公平的理性秘密重构协议。

5.1 公平的理性秘密重构协议

假设在秘密分发阶段中,秘密分发者Dealer 利用Shamir 方案[40]中的方法将共享秘密S进行拆分;利用可公开验证秘密共享[41]的思想,选择单向承诺函数C(⋅)和承诺值C(si);最后,秘密分发者Dealer将子秘密si秘密地发送给理性用户Pi,并广播发送C(⋅)和C(si)。那么,本文所构造的理性秘密重构协议如下。

步骤1根据理性用户的信誉值的高低决定发送子秘密的先后顺序。即若ri≤rj,则理性用户Pi将先发送自己的子秘密si。

步骤2Pi发送自己的子秘密si给其余用户Pk(k≠i);并等待接收其余理性用户Pk发送的消息Infok并观察自己的信誉值ri。

步骤3Pi等待接收理性用户Pj发送的子秘密sj,并利用承诺函数验证其正确性。

步骤4当理性用户Pi收到所有正确的子秘密后,利用拉格朗日插值法重构出共享秘密S。

5.2 协议分析

1) 公平性

由定理2 可知,在基于异步信道通信的(t,n)理性秘密共享重构博弈中,信誉机制可有效地约束理性用户在已知最后重构轮中的自利行为。即∀Pi,Pj∈P,有

在提出的理性秘密重构协议中,当理性用户Pi恶意地改变理性用户Pj的信誉值rj时,其余理性用户将会通过合理地降低理性用户Pi的信誉值ir来提升自己的最终收益。因此,对于理性用户Pi来说,由于其自利性,他将不会对rj进行恶意操作。因此,本文所提出的理性秘密共享协议的公平性将得以保证。

2) 正确性

由于承诺函数C(⋅)的存在,使理性用户可在秘密分发阶段中验证秘密分发者所分发的子秘密正确性。而在秘密重构阶段中,理性用户也可通过收到的承诺验证其余理性用户发送的子秘密的正确性。

因此,本文提出的协议可确保理性用户均接收到正确的子秘密,从而使协议执行完成时所有理性用户均可重构出正确的共享秘密。

3) 安全性

由于该协议是基于多项式函数对共享秘密进行拆分的,那么根据线性方程组解的性质可知,即使用户获得数量少于t个的子秘密也不能得到关于共享秘密S的任何信息。即

因此,本文提出的基于信誉的理性秘密重构协议也是安全的。

6 结束语

由于缺少设计参考模型,导致协议设计者在设计理性秘密重构协议时往往依赖个人经验,难以充分考虑理性用户在“利益最大化”驱使下的策略选择。这就导致如果直接使用现有的理性秘密重构协议,不仅只有部分理性用户能恢复共享秘密,甚至还会出现部分理性用户将错误的秘密视为真实共享秘密的极端情形。为解决上述问题,本文基于理性用户的形式化模型,通过构建理性秘密重构博弈模型来分析自利的用户在执行秘密重构协议时追求“利益最大化”的策略选择,分别提出了适用于不同应用场景的理性秘密重构协议设计模型。理论证明和实例设计分别说明了本文给出的设计模型的有效性和实用性。

猜你喜欢

信誉重构秘密
基于单片机MCU的IPMI健康管理系统设计与实现
视频压缩感知采样率自适应的帧间片匹配重构
长城叙事的重构
高盐肥胖心肌重构防治有新策略
信誉如“金”
北京的重构与再造
愿望树的秘密(二)
지수형:신뢰는 배달에 경쟁력을 실어준다池水炯:信誉,让外卖更具竞争力
江苏德盛德旺食品:信誉为翅飞五洲
我心中的秘密