【免费下载】Shamir的kn门限秘密共享方案

秘密共享体制的发展和应用

Shamir的(k,n)门限秘密共享方案

——密码学概论课作业

1310648 许子豪

摘要：近年来，由于网络环境自身的问题，网络环境己存在严峻的安全隐患;为了避免由于网络中重要信息和秘密数据的丢失、毁灭以及被不法分子利用或恶意篡改，而无法恢复原始信息，研究者提出利用秘密共享机制对数据进行处理，从而达到保密通信中，不会因为数据的丢失、毁灭或篡改，而无法恢复原始信息的目的。从而吸引了越来越多的科研人员对该研究内容的关注。秘

密共享体制己经成为现代密码学的一个重要的研究领域，同时，它也成为信息安全中的重要的研究内容。

关键字：信息安全；秘密共享；秘钥管理。

一、秘密共享体制研究背景及意义

随着计算机和网络通信的广泛应用，人们的生活越来越依赖电子通信，使用电子方式来存储重要档案的做法也越来越普遍，随之而来产生的对各种不同档案如何管理也成了很大的问题。

秘密共享思想的最初动机是解决密钥管理的安全问题。大多情况下，一个主密钥控制多个重要文件或多个其他密钥，一旦主密钥丢失、损坏或失窃，就可能造成多个重要文件或其他密钥不可用或被窃取。为了解决这个问题，一种方法是创建该密钥的多个备份并将这些备份分发给不同的人或保存在不同的多个地方。但是这种方法并不理想，原因在于创建的备份数目越多，密钥泄漏的可能就越大但如果同时创建的备份越少，密钥全部丢失的可能也就越大。秘密共享可解决上述问题，它在不增加风险的同时提高密钥管理的可靠性。

在秘密共享方案中，将需共享的秘密分成若干秘密份额也称子密钥、碎片，并安全地分发给若干参与者掌管，同时规定哪些参与者合作可以恢复该秘密，哪些参与者合作不能得到关于该秘密的任何信息。利用秘密共享方案保管密钥具有如下优点：

（1）为密钥合理地创建了备份，克服了以往保存副本的数量越大，安全性泄露的危险越大，保存副本越小，则副本丢失的风险越大的缺点。

（2）有利于防止权力过分集中以导致被滥用的问题。

（3）攻击者必须获取足够多的子密钥才能恢复出所共享的密钥，保证了密钥的安全性和完整性。

（4）在不增加风险的情况下，增加了系统的可靠性。

秘密共享的这些优点使得它特别适合在分布式网络环境中保护重要数据的安全，是网络应用服务中保证数据安全的最重要工具之一。它不但在密钥管理上极为有用，而且在数据安全、银行网络管理及导弹控制与发射等方面有非常广泛的应用。此外，秘密共享技术与密码学的其他技术也有紧密联系，如它与数字签名、身份认证等技术结合可形成有广泛应用价值的密码学算法和安全协议。因此，对此课题的研究不但具有理论价值，而且具有广泛的实际应用价值。

二、门限秘密共享体制的研究现状及存在的问题

Shamir和Blakley于1979年分别独立地提出秘密共享的概念，并给出了(k,n)门限秘密共享方案。(k,n)门限秘密共享方案是把一个秘密分成若干秘密份额分给n个参与者掌管，这些参与者中k个或k个以上的参与者所构成的子集可以合作重构这个秘密。

Shamir的门限秘密共享方案通过构造一个k-1次多项式，并将所要共享的秘密作为这个多项式的常数项，将秘密分成n个秘密份额分别分给个参与者。

k个或k个以上的参与者合作利用插值公式可以恢复出所共享的秘密，但少于

k个参与者合作不能得到关于共享秘密的任何信息。Blakley独立提出了另一种门限秘密共享方案，他是利用多维空间中的点来建立门限方案。该方案将共享的秘密s看成k维空间中的一个点，每个子秘密为包含这个点的k-1维超平面方程，任意k个k-1维超平面的交点刚好确定共享的秘密，而k-1个子秘密即超平面仅能确定其交线，因而得不到共享秘密的任何信息。

构造（k,n）门限秘密共享方案的方法除了上述的插值法和的几何向量法以外，还有很多其他方法，如基于中国剩余定理的方法、使用矩阵法的方法等。

但最简单且最常用的还是的基于插值的门限秘密共享方案，因为该方案具有一些良好的特性。

三、Shamir的(k,n)门限秘密共享方案

Shamir提出秘密共享概念的同时，也分别给出了(k,n)门限秘密共享体制

的概念。简单地说，设秘密通过秘密共享算法分发给个成员共享，每一个成员持有一个子密钥也称为影子或秘密碎片，如果满足:

(1)任何不少于k个的合格成员通过所持有的正确的碎片都可以重构。

(2)任何k个以下的成员集都无法重构。

我们称这种方案为(k,n)门限秘密共享方案，简称为门限方案，k称为方案的门限值。

作为各种秘密共享方案中最简单实用的门限秘密共享方案，(k,n)门限秘密共享方案也是这些方案中最具有代表性和广泛应用的方案。

下面简单介绍一下这个方案：

(1)系统参数

假定n是参与者的数目，n是门限值，p是一个大素数要求p>n并且大于p 秘密s的可能的最大取值;秘密空间与份额空间均为有限域GF(p)。

(2)秘密分发

秘密分发者D给n个参与者Pi(0≤i≤n)分配份额的过程，即方案的分配

算法如下:

(i)随机选择一个GF(p)上的k-1次多项式使得f(0)=a0=s要在个参与者中

分享的秘密D对f(x)保密。

(ii)D在Zp中选择n个互不相同的非零元素x1,x2,…,xn,计算(0≤i≤n)。

(iii)将(xi,yi)分配给参与者Pi(0≤i≤n),值xi是公开的，yi作为的秘密份额，不公开。

（3）秘密重构

给定任何k个点,不妨设为前k个点（x1,y1）,(x2,y2)，…,(xk,yk).由插值公式知

则s=f(0)=a0

Shamir方案作为一种被广泛选用的门限方案，具有以下优点:

(1)k个秘密份额可以确定出整个多项式，并可计算出其他的秘密份额。

(2)在原有分享者的秘密份额保持不变的情况下，可以增加新的分享者，只要增

加后分享者的总数不超过。

(3)还可以在原有共享密钥未暴露之前，通过构造常数项仍为共享密钥的具有新

系数的次多项式，重新计算新一轮分享者的秘密份额，从而使得分享者原有的

秘密份额作废。

但同时方案存在以下问题

(1)在秘密分发阶段，不诚实的秘密分发者可分发无效的秘密份额给参与者。

(2)在秘密重构阶段，某些参与者可能提交无效的秘密份额使得无法恢复正确秘。

(3)秘密分发者与参与者之间需点对点安全通道。

四、可验证秘密共享方案

可验证秘密共享方案主要是针对基本的秘密共享方案中秘密分发者与参与

者可能不诚实的事实提出的，它是在基本的秘密共享方案的基础上，增加一些

公开承诺和验证算法，来检测试图伪造秘密份额的用户，包括秘密分发者和参

与者。

Feldman的可验证秘密共享方案

通过增加一个公开验证函数来扩展Shamir的方案，是第一个不需要可信机

构参与的非交互式可验证秘密共享方案。该方案由四部分组成系统参数、秘密

分发、验证算法和秘密重构。

(1)系统参数

p是一个大素数，q为p-1的一个大素因子，g 且为q阶元，三元组(p,q,g)是公开的，k是门限值，n是参与者数目，s为要共享的秘密，秘密空间与份额空

间均为有限域GF(p)。