加权门限秘密共享方案

!""#$%%%&%%’( )#$$&***+,#清华大学学报-自然科学版./012345678329-":2;0<:5.=*%%>年第(>卷第(期*%%>=?@A B(>=#@B(+’,(%’C*&’C(安全的多级门限多秘密共享黄东平=刘铎=戴一奇-清华大学计算机科学与技术系=北京$%%%D(.收稿日期E*%%F&%$&*%基金项目E国家G八六三H高科技项目-*%%’I I$$($F%.作者简介E黄东平-$C>>J.=男-汉.=四川=博士研究生K通讯联系人E戴一奇=教授=L&M72A E N O P Q R5<@S O B:1B R1234567B<N6B:3摘要E为克服已有门限方案只能在同一级门限下共享秘密的限制!利用离散对数计算和大数分解的困难性!提出一种可认证的多级门限多秘密共享方案"通过一个多项式共享秘密!该多项式在不同级门限中退化为不同的低阶多项式"与已有诸多秘密共享方案相比!该方案可以同时有多级门限值!而在同级门限下又可以有多个秘密"恢复任意一级门限的任意一个秘密都不会影响其他未恢复秘密的安全性"该方案只要求每个参与者掌握一个子秘密!管理和使用都比较方便"关键词E多级门限#多秘密共享#认证#分发者欺骗#参与者欺骗中图分类号E0#C$D文献标识码E I 文章编号E$%%%&%%’(-*%%>.%(&%’C*&%+T U V W X U Y W Z[\]Z U^U Z[_X U‘_a Z bY W Z[\]‘U V X U[‘_c X\d ef g h i j k l m n o p m n=q r gk s l=k h r t p u p-v U w c X[Y U d[a x y a Y w W[U X T V\U d V U c d bz U V_d a Z a e{=z‘\d e_W c|d\^U X‘\[{=}U\~\d e!"""#$=y_\d c.%&‘[X c V[E I9<S2’27(A<M6A R2&A<9<AR5S<15@A N M6A R2&1<:S<R157S234 1:5<M<(71<N@3R5<23R S7:R7(2A2R O@’R5<N21:S<R<A@47S2R5M73N 23R<4<S’7:R@S2)7R2@3*71N<9<A@+<N R@<A2M237R<A2M2R7R2@31@’+S<92@61R5S<15@A N1:5<M<1R57R1<:S<R1:73@3A O(<157S<N23R5< 17M<A<9<AR5S<15@A N B05<1<:S<R17S<157S<N*2R57+@A O3@M27A *52:5N<4<3<S7R<1R@7A@*<S@S N<S+@A O3@M27A’@S N2’’<S<3R R5S<15@A N1B)@M+7S<N*2R5+S<92@611:5<M<1=R5211:5<M< 12M6A R73<@61A OM723R7231M6A R2&A<9<A R5S<15@A N173NM6A R2+A<1<:S<R1’@S R5<17M<R5S<15@A NA<9<A B05<S<:@9<S O@’73O157S<N1<:S<R@3 73OR5S<15@A NA<9<A*2A A3@R A<7,73O@R5<S63&S<:@9<S<N1<:S<R B05< 1O1R<M21<712A O M7374<N73N61<116(&1<:S<R(<:761<@3A O@3< 16(&1<:S<R3<<N(<,<+R’@S<7:5+7S R2:2+73R B-U{.a X b‘E M6A R2&A<9<A R5S<15@A N/M6A R2&1<:S<R157S234/ 76R5<3R2:7R2@3/N<7A<S:5<7R234/+7S R2:2+73R:5<7R234秘密共享研究如何给共享参与者集合中的每个成员子秘密=使得每个授权子集里的参与者都拿出自己的子秘密时可以恢复秘密=而非授权子集的成员则不可能得到秘密信息K$C>C年"57M2S0$1和2A7,A<O0*1首先提出门限秘密共享方案后=秘密共享得到了大量研究K在-3=4.门限秘密共享方案中=一个秘密被分成4份=分发给4个参与者=4个参与者中的任意3个合作可以恢复秘密信息=而少于3个却无法恢复K文0+1等提出在线秘密共享机制=引入公告牌-#2.发布一些辅助信息=这些辅助信息进一步丰富了秘密共享的内容=之后被大量用于多秘密共享5分发者认证5参与者认证等问题中K研究人员注意到防止欺骗的重要性=进而提出了一些具有认证功能的方案0(C1K另外一些研究工作考虑了子秘密的复用问题=使得同一组子秘密可以完成多重秘密的共享=简化了密钥分配管理工作0FC1K文0$%1利用中国剩余定理和"57M2S秘密共享方案0$1提出多级门限的秘密共享K该方案可以设定多个门限值6$=6*=7=68=在69门限值下=原方案会退化为一个-69=4.情形的"57M2S门限秘密共享方案K 另外=参与者只需要掌握一个子秘密=比较利于参与者管理和使用子秘密/但每个门限值只能共享一个秘密K也就是说=当某69个参与者合作=恢复出秘密:9后=该系统就无法在用于共享其他-69=4.秘密了K 本文在文0$%1基础上提出一种改进方案=该方案中=同样可以有多级门限=而每级门限下可以共享多个秘密=恢复任意一个秘密不影响其他共享秘密的安全性K!多级门限多秘密共享方案!B!参数准备$.设方案共有8级门限为6$=6*=7=68=秘密分发者!选定"#$个不同的强的大素数%&’%$’(’%"’即对每一个%)’有*)+,%)-$./0也是大素数’令1)+2)3+&%3’14)+2)3+&*3’其中$5)5"6选取一个整数7使得89:1",7.+14"’其中89:1",7.表示7模1"的阶6另外’选取一个小于所有%)的大素数*6公布;1)<$5)5"=7和*60.随机选择正整数>&’满足?>&@8:14)A&’$’)+$’0’(’"6B .分发者随机选择C $-$个正整数>$’>0’(’>C $-$D 14"6对于)+$’0’(’"-$’按如下方式选择>C )’>C )#$’(’>C )#$-$?>3E F 3G 14),@8:14".H ,$.其中F 3为任意正整数’3+C )’C )#$’(’C )#$-$6计算I )+7>),@8:1".’其中)+&’$’(’C "-$6公布;I )<&5)5C "-$6J .定义一个C "-$次多项式为K ,L .+M C "-$)+&>)L )H,0.N .O +;P $’P 0’(’P Q<是参与者的集合’其基数Q 即为共享参与者个数6在R*/0S 里选取Q 个两两不同的非零整数;L $’(’L Q <’求T )+K ,L ).6计算U )+2P 3DV ’P 3AP),L )-L 3.’并求得W )+T )U -$),@8:14".’W )将是参与者P )的子秘密’计算X )+7W),@8:1".6参与者公布;L )<$5)5Q 和;X )<$5)5Q 并通过安全信道将W )发送给参与者P )6Y .参与者P )通过下式验证子密钥的真实性?X )+7W),@8:1".’,B .,X ).2P 3DV ’P 3AP),L )-L 3.E2C "-$3+&I L3)3,@8:1".H ,J .Z H [秘密的共享设需要共享一个门限为)的秘密\)3’要求\)3D*6分发者随机选取一整数]’计算\^)3+\)3#]*,@8:1).6选取一个密钥对_)3和‘)3’使得_)3‘)3E $,@8:14).’计算a )3+7_)3,@8:1).’b )3+\)3-a >&)3,@8:1).6分发者公布;‘)3’a )3’b )3<6Z H c 秘密的恢复任意C )个参与者V d +;P $’(’P C )<合作就可以恢复出秘密\)36参与者通过其子秘密生成的影子信息恢复秘密’而不必暴露子秘密本身’从而子秘密可以复用以共享多个秘密6恢复过程如下?$.参与者从公告牌下载‘)3=a )3和1)e 0.参与者P f 计算并出示其影子信息g )3’f+,a )3.Wf ,@8:1).e B .其余参与者可以通过如下等式验证P f出示的影子信息是否真实?X f E g ‘)3)3’f,@8:1).H ,N .因为在P f诚实的前提下’有g ‘)3)3’f E ,a W f )3.‘)3E 7_)3W f ‘)3E 7Wf ,@8:1).’而另一方面’由于1)h 1"’有X f E ,7W f @8:1".,@8:1).E 7Wf ,@8:1).’因此可以通过式,N .验证用户P f提供的影子信息6J .恢复秘密的操作者计算6i )3’f +2P XDV dj ;P f<,-L X .k 2P XDV j Vd,L f -L X.’,Y .l )3+2P fDVd,g )3’f.i )3’f@8:1)’,m .\)3+l )3#b )3@8:1)’,n .则\)3即为共享的秘密6计算过程中’可以通过,l )3.‘)3E I &,@8:1).,o .验证l )3的正确性6[方案分析[H Z 方案正确性在参数准备的步骤$.中要求分发者选取一个7使得89:1",7.+14"’这样的7一定能取得到?显然可以取得7)使得89:%),7).+*)’其中&5)5"e 由中国剩余定理’一定存在7使得7E 7),@8:%).’容易证明7即满足89:1",7.+14"6下面证明式,n .得到的的确是共享的秘密\)36定理Z 在方案的所有参与者都诚实而正确地执行协议的前提下’以上所述方案得到的\)3确实是秘密分发者所共享的秘密6证明在计算式,m .中’由于l )3E 2P fDVd,L )3’f.i)3’fE2P fDVd,a )3.W fi )3’f,@8:1).’而W f i )3’f E2P XDV dj ;P f<,-L X .k 2P XDV j Vd,L f -L X.k T f k 2P XDV ’P XAPf,L f -L X p q .-$ET fk 2P X DV d j ;P f<,-L X .,L f -L X .,@8:14".H注意到14)h 14"’因此有W f i )3’f E T fk 2P XDV dj ;P f<,-L X .,L f -L X .,@8:14).’Bo N 黄东平’等?安全的多级门限多秘密共享!"#$%&’(#)*+,#-./0’12345*-6另一方面,由选择7的方式不难发现2834*’7-945*,有:*+.’7;*+-/0’1234*-<因此,该过程恢复得到的的确是共享的秘密=*+<>6>安全性分析为安全性讨论的方便,不妨设有限域上的离散对数问题是困难的,?@AB C C D公钥密码系统是安全的<下面分几种情形讨论本方案的安全性<C -从E 0直接破解得到/0不可行<如果某攻击者能从E 0得到/0,即对于给定的7和E 0,它能得到一个/0,使得7/0.E 0’1234F -,显然对于任意0G *G F ,均有7/0.E 0’123H *-,也即该攻击者具有了求解有限域上的离散对数问题的能力,与题设矛盾<I -通过参与者的认证信息得到其子秘密是不可行的<容易由C -的方法证明,不再赘述<J -直接从公开的E 0得K /*+’1234*-是不可行的<如果某攻击者可以得到K /0*+’1234*-,由于’K /0*+-L *+.E 0’1234C -,该攻击者具有了根据一个?@A 公钥密码系统的密文和公钥计算明文的能力,这与M ?@A 是安全的N 矛盾<O -通过已经恢复的一个同门限级不能得到同门限级的另一个秘密<也就是说,攻击者不能因为参与者"#曾经出示过的’K *+-(#’1234*-而得到’K *+P -(#’1234*-<假设攻击者具有这样的能力,也即对于任意给定的/P Q L P和L R ,攻击者可以求得/R ,使得’/P -L P.’/R -L R’1234C -<那么,任意给定密文/P 和公钥L 后,攻击者可以任意选取一个公钥L P ,令L R 9L P S L,能得到/R ,使得’/P -L P .’/R -L R ’1234C -成立,那么有’/R -L./P ’1234C -<对于任意的密文和公钥,该攻击者都能得到明文,与M ?@A 密码系统是安全的N 矛盾<T -少于U *个参与者不能得*级门限里的秘密<本文的秘密共享机制恢复秘密需要的其实是7;*+S /0’1234*-,那么参与者需要能根据掌握的子秘密恢复出/0’12345*-<不难发现,多项式系数满足/+.0’12345*-,其中+9U *,V,U F W C ,还有U *个未知系数,但此时知道的点少于U *个,无法在大量可能的多项式中唯一确定原多项式,无法恢复秘密<X 结论本文提出了一个拥有多级门限的多秘密共享方案<每级门限可以共享多个密码,恢复某一门限下的某一秘密=*+不会影响该级门限下其他未恢复秘密=*+P 以及其他级门限下的秘密=*P +R 的安全性,而实现这一切,参与者需要掌握的都是同一个子秘密,从而方便了密钥管理<参考文献’Y Z [Z \Z ]^Z _-B C D @‘a 1b 8A 6c 2d e 2f ‘a 8g a f g h 8g e B i D 6j k F F "l *m /U *k l n k oU K Lp j q,C r s r ,>>’C C -tu C I u C J 6B I D v w a x w g y z ?6@a {g |}a 83b ~|h 8y!e 2|8a !‘b h x g y f B "D #$82h g g 3b ~|f2{%a e b 2~a w "21!}e g 8"2~{g 8g ~h g 6&2~e ’a w g ,%i tA ()$@$8g f f ,C r s r ,O *tJ C J J C s 6B J D )e 2&,@a b e 2A ,%b f ‘b +g x b ,6@g h 8g e f ‘a 8b ~|f h ‘g 1g 8g a w b +b ~||g ~g 8a w a h h g f f f e 8}h e }8g B "D #$82h g g 3b ~|f )---z w 2.g h 21/*s 6,2x y 2,i a !a ~t )---$8g f f ,C r *s 6r r C 0I 6B O D @e a 3w g 8&6$}.w b h w y ’g 8b {b a .w g f g h 8g e f ‘a 8b ~|B "D #A 3’a ~h g fb ~"8y !e 2w 2|y 0-}82h 8y !e /r u 6v g 8w b ~t @!8b ~|g 81g 8w a |,C r r u t C r 0C r r 6B T D v 2}32e (a .8b h g ,,8a 282i a h 3}g f 6-{{b h b g ~e !}.w b h w y ’g 8b {b a .w gf g h 8g e f ‘a 8b ~|f h ‘g 1g f d b e ‘{a f e 283g w a y g 38g h 2’g 8yB "D #4g h e }8g %2e g fb ~"21!}e g 8@h b g ~h gC s I u 6v g 8w b ~t@!8b ~|g 81g 8w a |,C r r r t *s C 0I 6B u D 4b ~,5,6},"6,‘8g f ‘2w 3’g 8b {b a .w g1}w e b f g h 8g e f ‘a 8b ~|f h ‘g 1g .a f g 32~{ah e 28b +a e b 2~b ~e 8a h e a .b w b e y a ~33b f h 8g e g w 2|a 8b e ‘1123}w 2a h 21!2f b e g !82.w g 1f Bi D 6788H #k mjk F 9"U :*7*U ;L m Kl k &,C r r r ,<=>’T -tI u O I u *6B s D 何明星,范平志,袁丁6一个可验证的门限多秘密共享方案B i D 6电子学报,I 00I ,X ?’O -tT O 0T O J 6c -&b ~|@b ~|,(A %$b ~|+‘b ,5A A %B b ~|6A ’g 8b {b a .w g 1}w e b !w g f g h 8g e f f ‘a 8b ~|f h ‘g 1g B i D 6p m U /8&L m U #k l *m /C *l *m /,I 00I ,X ?’O -tT O 0T O J 6’b ~"‘b ~g f g -B*D 施荣华6一种多密钥共享认证方案B i D 6计算机学报,I 00J ,>>’T -tT T I T T u 6@)?2~|‘}a 6A 1}w e b f g h 8g ef ‘a 8b ~|a }e ‘g ~e b h a e b ~|f h ‘g 1g B i D 6j K *l L n L D k "#l /&k oj k F 9"U L #n ,I 00J ,>>’T -t T T I T T u 6’b ~"‘b ~g f g -B r D "c A %z ,b ~|y b ,c 6A %z &b ~f ‘b a ~|,5A %z 6g b !a ~|6A ~b 1!82’g 1g ~e 2~e ‘g 4b ~06~’e ,~-e ‘8g f ‘2w 3’g 8b {b a .w g 1}w e b 0f g h 8g e f ‘a 8b ~|f h ‘g 1gB i D 6p 99&*L ;q/U K L F /U *m n /l ;j k F 9"U /U *k l ,I 00T ,<>X ’C -tC u r C s *6B C 0D "c A %"‘a 2d g b ,"c A %z "‘b ~h ‘g ~6A f h ‘g 1g {28e ‘8g f ‘2w 31}w e b 0f g h 8g e f ‘a 8b ~|B i D 6p 99&*L ;q/U K L F /U *m n /l ;j k F 9"U /U *k l ,I 00T ,<>>’C -tC C O 6B C C D?b ’g f e ?4,@‘a 1b 8A ,A 3w g 1a ~46A 1g e ‘23{282.e a b ~b ~|3b |b e a w f b |~a e }8g f a ~3!}.w b h x g y h 8y !e 2f y f e g 1B i D 6j k F F "l *m /U *k lk op j q,C r s *,><tC I 0C I u 6Or T 清华大学学报’自然科学版-I 00s ,O s ’O -。

门限共享秘密的数学设计 1.定义在密码学中,秘密共享是指一个方法用于分发一个秘密在一组参与者,每个分配一个共享的秘密。

这个秘密只能将每个人的密钥共享组合在一起才能解密;在他们自己的个人密钥是无法单独使用的。

2.目的a.给了严格的控制和消除单点漏洞。

b.个人密钥持有人不能改变/访问数据。

3.数学定义a.目标是将一些数据D 分为n 块，每块取名D1、D2…，Dn:知道的k 或多与D 的n 个模块使D 容易可计算的。

b.知道的任何k-1或更少的子块使D 完全隐藏(在某种意义上,其所有可能的值也同样无法解密)。

这个方案被称为(k,n)阈值方案。

如果k = n 然后需要所有参与者一起重建的秘密。

4.沙米尔的秘密共享：假设我们想要使用(k,n)阈值方案分享我们的秘密S,k < n 。

随意选择(k-1)系数a1,a2,a3…ak-1,让S 是a0112210.....)(--++++=k k a x a x a a x f构造一个点（i,f(i)）,i=1,2,3.....n鉴于任何子集的这些k,我们可以找到的系数的多项式插值,然后评估a0 = S,这是秘密。

例子：S=1234;n = 6和k = 3,获得随机整数 a1 = 94和a2 = 166共享密钥：(1,1494), (2,1942) (3,2598) (4,3402) (5,4414) (6,5614)我们给每个参与者不同的单点(包括x 和f(x))。

为了重构秘密任何3点就够了222220212102022212010122021010221100941661234)()3/2223/1(4414)52/312/1(3402)3/312/116/1(1942)()(3/2223/145/4*25/2/*/52/312/154/5*24/2/*/3/312/116/152/5*42/4/*/sin )4414,5(),(),3402,4(),(),1924,2(),(x x x f x x x x x x x l y x f x x x x x x x x x x x x l x x x x x x x x x x x x l x x x x x x x x x x x x l olynomialsgLagrangep U y x y x y x j j j ++=+-+---++-==+-=----=----=---=----=----=+-=----=----====∑=期待解决：1.添加用户怎么办？2.删除用户怎么办？3.我们希望持有n 块的用户互相做身份认证？基于沙米尔的门限秘密共享算法，提出动态门限秘密算法。

门限多重秘密共享方案
许春香;肖国镇
【期刊名称】《电子学报》
【年(卷),期】2004(032)010
【摘要】本文提出了一个门限多重秘密共享方案,其安全性依赖于RSA数字签名的安全性,即大数分解的困难性.该方案具有如下特点:参与者的子秘密可反复使用,可用来共享任意多个秘密;能有效预防管理员欺诈及参与者之间的互相欺骗;此外,在验证是否有欺诈行为存在的过程中,不需要执行交互协议.
【总页数】3页(P1688-1689,1687)
【作者】许春香;肖国镇
【作者单位】西安电子科技大学计算机网络与信息安全教育部重点实验室,西安,710071;西安电子科技大学计算机网络与信息安全教育部重点实验室,西
安,710071
【正文语种】中文
【中图分类】TN918.1
【相关文献】
1.门限多重影子秘密共享方案及应用 [J], 杨捷
2.一种新型的门限多重秘密共享方案 [J], 杨捷;李继国
3.自选子密钥的动态门限多重秘密共享方案 [J], 白雪鹏;刘焕平
4.基于门限签名体制的多重秘密共享方案 [J], 王云;张秉儒;芦殿军
5.一种新的(t,n)门限多重秘密共享方案 [J], 李金凤
因版权原因，仅展示原文概要，查看原文内容请购买。