技術領域

本發明涉及信息安全技術和集成電路設計領域。尤其涉及一種秘密共享硬件實現方法及裝置。

背景技術

作為信息安全和數據保密的重要手段，秘密共享正被廣泛地應用與經濟、軍事、行政等各部門，它在重要信息和秘密數據的安全保存、傳輸及合法利用中起著關鍵作用。

（k，n)門限秘密共享概念由Shamir和Blakley提出，其基本思想是，一個秘密被n個人共享，且滿足：只有k個或更多的參與者聯合才可以重構該秘密；任意少于k個參與者都不能得到該秘密的任何信息。這種（k，n)門限秘密共享不僅可應用于金融系統的密碼管理、軍事機密等高安全要求，也適用于遺囑、商業信息等信息共享。

然而，目前市場上秘密共享主要采用軟件實現。這些方法安全度低，容易被攻破，非常不適合金融、涉密機構等安全要求高的用戶使用。為此，研制一種可擴展、低成本的秘密共享的硬件實現方法及裝置顯得十分重要。

發明內容

本發明所要解決的技術問題是針對現有技術的不足，提供一種可擴展、低成本、安全度高的秘密共享硬件實現方法及裝置。

本發明解決上述技術問題的技術方案如下：一種秘密共享硬件實現秘密拆分的方法，包括如下步驟：

步驟A1：根據應用類型在微處理器中設置秘密信息、門限（k,n）參數和操作信息，微處理器根據操作信息為待分成的n個子秘密分配身份標識；

步驟A2：微處理器將秘密信息、門限（k,n）參數和身份標識按照預定格式封裝成拆分運算數據包，發送給秘密共享模塊，并將所述門限（k,n）參數存儲到Flash模塊中；

步驟A3：秘密共享模塊根據操作信息，按照門限(k,n)參數將秘密拆分成n個子秘密；

步驟A4:微處理器依次將n個子秘密及其對應的身份標識通過智能卡模塊寫入n個相應的智能卡中。

在上述技術方案的基礎上，本發明還可以做如下改進。

進一步，步驟A3中秘密共享模塊根據操作信息，按照門限參數將秘密拆分成n個子秘密的具體步驟為：

步驟A3.1：總線接口自動解析所述數據包，將數據包中的操作信息存入控制單元，將秘密信息和參數信息存入存儲器；

步驟A3.2：控制單元根據操作信息啟動內部狀態機，內部狀態機控制大數模乘單元和大數模加單元的運算過程；

步驟A3.3：大數模乘單元和大數模加單元根據內部狀態機的控制從存儲器中獲取所需數據進行運算，將秘密拆分成n個子秘密；

步驟A3.4：將運行結果存入存儲器中，同時控制單元產生中斷通過總線接口發送給微處理器，提示運算完成。

本發明解決上述技術問題的一個方案：一種秘密共享硬件實現秘密組合的方法，包括如下步驟：

步驟B1：將至少k個智能卡依次插入智能卡模塊，微處理器通過智能卡模塊讀取至少k個智能卡中的子秘密和相應身份標識，微處理器同時并從Flash模塊中讀取門限（k,n）參數；

步驟B2：微處理器將至少k子秘密、身份標識和門限（k,n）參數封裝成組合運算數據包，并發送給秘密共享模塊；

步驟B3：秘密共享模塊將至少k個子秘密組合成秘密；

步驟B4：微處理器從秘密共享模塊讀取組合的秘密。

進一步，步驟B3中秘密共享模塊將至少k個子秘密組合成秘密的具體步驟為：

步驟B3.1：總線接口自動解析所述數據包，將數據包中的操作信息存入控制單元，將子秘密信息和參數信息存入存儲器；

步驟B3.2：控制單元根據操作信息啟動內部狀態機，內部狀態機控制大數模乘單元和大數模加單元的運算過程；

步驟B3.3：大數模乘單元和大數模加單元根據內部狀態機的控制從存儲器中獲取所需數據進行運算，將至少k個子秘密組合成秘密；

步驟B3.4：將運行結果存入存儲器中，同時控制單元產生中斷通過總線接口發送給微處理器，提示運算完成。

本發明解決上述技術問題的技術方案如下：一種秘密共享硬件實現裝置，包括微處理器、秘密共享模塊、Flash模塊和智能卡模塊；

所述微處理器通過AHB總線分別與秘密共享模塊、Flash模塊和智能卡模塊連接；

所述微處理器，其用于協調和控制秘密共享模塊、Flash模塊和智能卡模塊；

所述秘密共享模塊，其用于根據微處理器的命令實現秘密的拆分和組合；

所述Flash模塊，其用于存放不同應用的門限（k,n）參數；

所述智能卡模塊，其用于根據微處理器的命令實現對智能卡的讀寫。