一种动态门限多组秘密共享方案

一个安全高效的门限多重秘密共享方案
庞辽军;王育民
【期刊名称】《计算机科学》
【年(卷),期】2006(033)001
【摘要】秘密共享在信息安全和数据保密中起着重要的作用.本文基于Shamir的门限方案提出一个新的(t,n)多重秘密共享方案,p个秘密被n个参与者所共享,至少t个参与者联合可以一次性重构这p个秘密,而且参与者秘密份额长度与每个秘密长度相同.与现有方案比较,该方案具有秘密重构计算复杂度低,所需公共信息量小的优点.方案的安全性是基于Shamir的门限方案的安全性.分析表明本文的方案是一个安全、有效的方案.
【总页数】3页(P66-68)
【作者】庞辽军;王育民
【作者单位】西安电子科技大学综合业务网国家重点实验室,西安,710071;西安电子科技大学综合业务网国家重点实验室,西安,710071
【正文语种】中文
【中图分类】TP3
【相关文献】
1.门限多重影子秘密共享方案及应用 [J], 杨捷
2.多重门限的图像秘密共享方案 [J], 李鹏;马培军;苏小红;刘峰
3.一个动态门限多重秘密共享方案 [J], 王天成;张建中
4.自选子密钥的动态门限多重秘密共享方案 [J], 白雪鹏;刘焕平
5.基于门限签名体制的多重秘密共享方案 [J], 王云;张秉儒;芦殿军
因版权原因，仅展示原文概要，查看原文内容请购买。

一个可验证的动态多秘密共享方案作者：张硕英刘锋来源：《网络空间安全》2020年第11期摘要：利用结合RSA密码体制和ElGamal签名算法的签密体制、异或运算和Hash函数等工具，提出一个安全的动态可验证多秘密共享方案。

方案中的参与者获得子秘密份额时，验证其来源和有效性，避免得到无效的子秘密份额。

方案在不安全信道环境下具有一定的抗干扰能力，可以防止非法用户的参与。

同时可以防止参与者和分发者的欺骗行为。

方案具有高效性和灵活性，同时在秘密分发过程更具安全性。

关键词：多秘密共享;可验证的;动态的;密码学中图分类号： TN911.22 文献标识码：AAbstract： Using the RSA cryptosystem and ElGamal signature algorithm， XOR operation and hash function， a dynamic and verifiable multi-secret sharing scheme has been proposed. When the participant obtains the sub secret share， it verifies its source and validity to avoid getting the invalid sub secret share. The scheme has a certain anti-interference ability in the insecure channel environment， which can prevent the participation of illegal users. At the same time， it can prevent participants and distributors from cheating. This scheme is efficient and flexible， and is more secure in secret distribution process.Key words： secret sharing; verifiable; dynamic; cryptography1 引言计算机网络的兴起给人们的生活提供了巨大的便利，保存重要信息不再使用易丢失或破损的纸张，使用电子设备保存重要信息成为现在最为普遍的做法。

!""#$%%%&%%’( )#$$&***+,#清华大学学报-自然科学版./012345678329-":2;0<:5.=*%%>年第(>卷第(期*%%>=?@A B(>=#@B(+’,(%’C*&’C(安全的多级门限多秘密共享黄东平=刘铎=戴一奇-清华大学计算机科学与技术系=北京$%%%D(.收稿日期E*%%F&%$&*%基金项目E国家G八六三H高科技项目-*%%’I I$$($F%.作者简介E黄东平-$C>>J.=男-汉.=四川=博士研究生K通讯联系人E戴一奇=教授=L&M72A E N O P Q R5<@S O B:1B R1234567B<N6B:3摘要E为克服已有门限方案只能在同一级门限下共享秘密的限制!利用离散对数计算和大数分解的困难性!提出一种可认证的多级门限多秘密共享方案"通过一个多项式共享秘密!该多项式在不同级门限中退化为不同的低阶多项式"与已有诸多秘密共享方案相比!该方案可以同时有多级门限值!而在同级门限下又可以有多个秘密"恢复任意一级门限的任意一个秘密都不会影响其他未恢复秘密的安全性"该方案只要求每个参与者掌握一个子秘密!管理和使用都比较方便"关键词E多级门限#多秘密共享#认证#分发者欺骗#参与者欺骗中图分类号E0#C$D文献标识码E I 文章编号E$%%%&%%’(-*%%>.%(&%’C*&%+T U V W X U Y W Z[\]Z U^U Z[_X U‘_a Z bY W Z[\]‘U V X U[‘_c X\d ef g h i j k l m n o p m n=q r gk s l=k h r t p u p-v U w c X[Y U d[a x y a Y w W[U X T V\U d V U c d bz U V_d a Z a e{=z‘\d e_W c|d\^U X‘\[{=}U\~\d e!"""#$=y_\d c.%&‘[X c V[E I9<S2’27(A<M6A R2&A<9<AR5S<15@A N M6A R2&1<:S<R157S234 1:5<M<(71<N@3R5<23R S7:R7(2A2R O@’R5<N21:S<R<A@47S2R5M73N 23R<4<S’7:R@S2)7R2@3*71N<9<A@+<N R@<A2M237R<A2M2R7R2@31@’+S<92@61R5S<15@A N1:5<M<1R57R1<:S<R1:73@3A O(<157S<N23R5< 17M<A<9<AR5S<15@A N B05<1<:S<R17S<157S<N*2R57+@A O3@M27A *52:5N<4<3<S7R<1R@7A@*<S@S N<S+@A O3@M27A’@S N2’’<S<3R R5S<15@A N1B)@M+7S<N*2R5+S<92@611:5<M<1=R5211:5<M< 12M6A R73<@61A OM723R7231M6A R2&A<9<A R5S<15@A N173NM6A R2+A<1<:S<R1’@S R5<17M<R5S<15@A NA<9<A B05<S<:@9<S O@’73O157S<N1<:S<R@3 73OR5S<15@A NA<9<A*2A A3@R A<7,73O@R5<S63&S<:@9<S<N1<:S<R B05< 1O1R<M21<712A O M7374<N73N61<116(&1<:S<R(<:761<@3A O@3< 16(&1<:S<R3<<N(<,<+R’@S<7:5+7S R2:2+73R B-U{.a X b‘E M6A R2&A<9<A R5S<15@A N/M6A R2&1<:S<R157S234/ 76R5<3R2:7R2@3/N<7A<S:5<7R234/+7S R2:2+73R:5<7R234秘密共享研究如何给共享参与者集合中的每个成员子秘密=使得每个授权子集里的参与者都拿出自己的子秘密时可以恢复秘密=而非授权子集的成员则不可能得到秘密信息K$C>C年"57M2S0$1和2A7,A<O0*1首先提出门限秘密共享方案后=秘密共享得到了大量研究K在-3=4.门限秘密共享方案中=一个秘密被分成4份=分发给4个参与者=4个参与者中的任意3个合作可以恢复秘密信息=而少于3个却无法恢复K文0+1等提出在线秘密共享机制=引入公告牌-#2.发布一些辅助信息=这些辅助信息进一步丰富了秘密共享的内容=之后被大量用于多秘密共享5分发者认证5参与者认证等问题中K研究人员注意到防止欺骗的重要性=进而提出了一些具有认证功能的方案0(C1K另外一些研究工作考虑了子秘密的复用问题=使得同一组子秘密可以完成多重秘密的共享=简化了密钥分配管理工作0FC1K文0$%1利用中国剩余定理和"57M2S秘密共享方案0$1提出多级门限的秘密共享K该方案可以设定多个门限值6$=6*=7=68=在69门限值下=原方案会退化为一个-69=4.情形的"57M2S门限秘密共享方案K 另外=参与者只需要掌握一个子秘密=比较利于参与者管理和使用子秘密/但每个门限值只能共享一个秘密K也就是说=当某69个参与者合作=恢复出秘密:9后=该系统就无法在用于共享其他-69=4.秘密了K 本文在文0$%1基础上提出一种改进方案=该方案中=同样可以有多级门限=而每级门限下可以共享多个秘密=恢复任意一个秘密不影响其他共享秘密的安全性K!多级门限多秘密共享方案!B!参数准备$.设方案共有8级门限为6$=6*=7=68=秘密分发者!选定"#$个不同的强的大素数%&’%$’(’%"’即对每一个%)’有*)+,%)-$./0也是大素数’令1)+2)3+&%3’14)+2)3+&*3’其中$5)5"6选取一个整数7使得89:1",7.+14"’其中89:1",7.表示7模1"的阶6另外’选取一个小于所有%)的大素数*6公布;1)<$5)5"=7和*60.随机选择正整数>&’满足?>&@8:14)A&’$’)+$’0’(’"6B .分发者随机选择C $-$个正整数>$’>0’(’>C $-$D 14"6对于)+$’0’(’"-$’按如下方式选择>C )’>C )#$’(’>C )#$-$?>3E F 3G 14),@8:14".H ,$.其中F 3为任意正整数’3+C )’C )#$’(’C )#$-$6计算I )+7>),@8:1".’其中)+&’$’(’C "-$6公布;I )<&5)5C "-$6J .定义一个C "-$次多项式为K ,L .+M C "-$)+&>)L )H,0.N .O +;P $’P 0’(’P Q<是参与者的集合’其基数Q 即为共享参与者个数6在R*/0S 里选取Q 个两两不同的非零整数;L $’(’L Q <’求T )+K ,L ).6计算U )+2P 3DV ’P 3AP),L )-L 3.’并求得W )+T )U -$),@8:14".’W )将是参与者P )的子秘密’计算X )+7W),@8:1".6参与者公布;L )<$5)5Q 和;X )<$5)5Q 并通过安全信道将W )发送给参与者P )6Y .参与者P )通过下式验证子密钥的真实性?X )+7W),@8:1".’,B .,X ).2P 3DV ’P 3AP),L )-L 3.E2C "-$3+&I L3)3,@8:1".H ,J .Z H [秘密的共享设需要共享一个门限为)的秘密\)3’要求\)3D*6分发者随机选取一整数]’计算\^)3+\)3#]*,@8:1).6选取一个密钥对_)3和‘)3’使得_)3‘)3E $,@8:14).’计算a )3+7_)3,@8:1).’b )3+\)3-a >&)3,@8:1).6分发者公布;‘)3’a )3’b )3<6Z H c 秘密的恢复任意C )个参与者V d +;P $’(’P C )<合作就可以恢复出秘密\)36参与者通过其子秘密生成的影子信息恢复秘密’而不必暴露子秘密本身’从而子秘密可以复用以共享多个秘密6恢复过程如下?$.参与者从公告牌下载‘)3=a )3和1)e 0.参与者P f 计算并出示其影子信息g )3’f+,a )3.Wf ,@8:1).e B .其余参与者可以通过如下等式验证P f出示的影子信息是否真实?X f E g ‘)3)3’f,@8:1).H ,N .因为在P f诚实的前提下’有g ‘)3)3’f E ,a W f )3.‘)3E 7_)3W f ‘)3E 7Wf ,@8:1).’而另一方面’由于1)h 1"’有X f E ,7W f @8:1".,@8:1).E 7Wf ,@8:1).’因此可以通过式,N .验证用户P f提供的影子信息6J .恢复秘密的操作者计算6i )3’f +2P XDV dj ;P f<,-L X .k 2P XDV j Vd,L f -L X.’,Y .l )3+2P fDVd,g )3’f.i )3’f@8:1)’,m .\)3+l )3#b )3@8:1)’,n .则\)3即为共享的秘密6计算过程中’可以通过,l )3.‘)3E I &,@8:1).,o .验证l )3的正确性6[方案分析[H Z 方案正确性在参数准备的步骤$.中要求分发者选取一个7使得89:1",7.+14"’这样的7一定能取得到?显然可以取得7)使得89:%),7).+*)’其中&5)5"e 由中国剩余定理’一定存在7使得7E 7),@8:%).’容易证明7即满足89:1",7.+14"6下面证明式,n .得到的的确是共享的秘密\)36定理Z 在方案的所有参与者都诚实而正确地执行协议的前提下’以上所述方案得到的\)3确实是秘密分发者所共享的秘密6证明在计算式,m .中’由于l )3E 2P fDVd,L )3’f.i)3’fE2P fDVd,a )3.W fi )3’f,@8:1).’而W f i )3’f E2P XDV dj ;P f<,-L X .k 2P XDV j Vd,L f -L X.k T f k 2P XDV ’P XAPf,L f -L X p q .-$ET fk 2P X DV d j ;P f<,-L X .,L f -L X .,@8:14".H注意到14)h 14"’因此有W f i )3’f E T fk 2P XDV dj ;P f<,-L X .,L f -L X .,@8:14).’Bo N 黄东平’等?安全的多级门限多秘密共享!"#$%&’(#)*+,#-./0’12345*-6另一方面,由选择7的方式不难发现2834*’7-945*,有:*+.’7;*+-/0’1234*-<因此,该过程恢复得到的的确是共享的秘密=*+<>6>安全性分析为安全性讨论的方便,不妨设有限域上的离散对数问题是困难的,?@AB C C D公钥密码系统是安全的<下面分几种情形讨论本方案的安全性<C -从E 0直接破解得到/0不可行<如果某攻击者能从E 0得到/0,即对于给定的7和E 0,它能得到一个/0,使得7/0.E 0’1234F -,显然对于任意0G *G F ,均有7/0.E 0’123H *-,也即该攻击者具有了求解有限域上的离散对数问题的能力,与题设矛盾<I -通过参与者的认证信息得到其子秘密是不可行的<容易由C -的方法证明,不再赘述<J -直接从公开的E 0得K /*+’1234*-是不可行的<如果某攻击者可以得到K /0*+’1234*-,由于’K /0*+-L *+.E 0’1234C -,该攻击者具有了根据一个?@A 公钥密码系统的密文和公钥计算明文的能力,这与M ?@A 是安全的N 矛盾<O -通过已经恢复的一个同门限级不能得到同门限级的另一个秘密<也就是说,攻击者不能因为参与者"#曾经出示过的’K *+-(#’1234*-而得到’K *+P -(#’1234*-<假设攻击者具有这样的能力,也即对于任意给定的/P Q L P和L R ,攻击者可以求得/R ,使得’/P -L P.’/R -L R’1234C -<那么,任意给定密文/P 和公钥L 后,攻击者可以任意选取一个公钥L P ,令L R 9L P S L,能得到/R ,使得’/P -L P .’/R -L R ’1234C -成立,那么有’/R -L./P ’1234C -<对于任意的密文和公钥,该攻击者都能得到明文,与M ?@A 密码系统是安全的N 矛盾<T -少于U *个参与者不能得*级门限里的秘密<本文的秘密共享机制恢复秘密需要的其实是7;*+S /0’1234*-,那么参与者需要能根据掌握的子秘密恢复出/0’12345*-<不难发现,多项式系数满足/+.0’12345*-,其中+9U *,V,U F W C ,还有U *个未知系数,但此时知道的点少于U *个,无法在大量可能的多项式中唯一确定原多项式,无法恢复秘密<X 结论本文提出了一个拥有多级门限的多秘密共享方案<每级门限可以共享多个密码,恢复某一门限下的某一秘密=*+不会影响该级门限下其他未恢复秘密=*+P 以及其他级门限下的秘密=*P +R 的安全性,而实现这一切,参与者需要掌握的都是同一个子秘密,从而方便了密钥管理<参考文献’Y Z [Z \Z ]^Z _-B C D @‘a 1b 8A 6c 2d e 2f ‘a 8g a f g h 8g e B i D 6j k F F "l *m /U *k l n k oU K Lp j q,C r s r ,>>’C C -tu C I u C J 6B I D v w a x w g y z ?6@a {g |}a 83b ~|h 8y!e 2|8a !‘b h x g y f B "D #$82h g g 3b ~|f2{%a e b 2~a w "21!}e g 8"2~{g 8g ~h g 6&2~e ’a w g ,%i tA ()$@$8g f f ,C r s r ,O *tJ C J J C s 6B J D )e 2&,@a b e 2A ,%b f ‘b +g x b ,6@g h 8g e f ‘a 8b ~|f h ‘g 1g 8g a w b +b ~||g ~g 8a w a h h g f f f e 8}h e }8g B "D #$82h g g 3b ~|f )---z w 2.g h 21/*s 6,2x y 2,i a !a ~t )---$8g f f ,C r *s 6r r C 0I 6B O D @e a 3w g 8&6$}.w b h w y ’g 8b {b a .w g f g h 8g e f ‘a 8b ~|B "D #A 3’a ~h g fb ~"8y !e 2w 2|y 0-}82h 8y !e /r u 6v g 8w b ~t @!8b ~|g 81g 8w a |,C r r u t C r 0C r r 6B T D v 2}32e (a .8b h g ,,8a 282i a h 3}g f 6-{{b h b g ~e !}.w b h w y ’g 8b {b a .w gf g h 8g e f ‘a 8b ~|f h ‘g 1g f d b e ‘{a f e 283g w a y g 38g h 2’g 8yB "D #4g h e }8g %2e g fb ~"21!}e g 8@h b g ~h gC s I u 6v g 8w b ~t@!8b ~|g 81g 8w a |,C r r r t *s C 0I 6B u D 4b ~,5,6},"6,‘8g f ‘2w 3’g 8b {b a .w g1}w e b f g h 8g e f ‘a 8b ~|f h ‘g 1g .a f g 32~{ah e 28b +a e b 2~b ~e 8a h e a .b w b e y a ~33b f h 8g e g w 2|a 8b e ‘1123}w 2a h 21!2f b e g !82.w g 1f Bi D 6788H #k mjk F 9"U :*7*U ;L m Kl k &,C r r r ,<=>’T -tI u O I u *6B s D 何明星,范平志,袁丁6一个可验证的门限多秘密共享方案B i D 6电子学报,I 00I ,X ?’O -tT O 0T O J 6c -&b ~|@b ~|,(A %$b ~|+‘b ,5A A %B b ~|6A ’g 8b {b a .w g 1}w e b !w g f g h 8g e f f ‘a 8b ~|f h ‘g 1g B i D 6p m U /8&L m U #k l *m /C *l *m /,I 00I ,X ?’O -tT O 0T O J 6’b ~"‘b ~g f g -B*D 施荣华6一种多密钥共享认证方案B i D 6计算机学报,I 00J ,>>’T -tT T I T T u 6@)?2~|‘}a 6A 1}w e b f g h 8g ef ‘a 8b ~|a }e ‘g ~e b h a e b ~|f h ‘g 1g B i D 6j K *l L n L D k "#l /&k oj k F 9"U L #n ,I 00J ,>>’T -t T T I T T u 6’b ~"‘b ~g f g -B r D "c A %z ,b ~|y b ,c 6A %z &b ~f ‘b a ~|,5A %z 6g b !a ~|6A ~b 1!82’g 1g ~e 2~e ‘g 4b ~06~’e ,~-e ‘8g f ‘2w 3’g 8b {b a .w g 1}w e b 0f g h 8g e f ‘a 8b ~|f h ‘g 1gB i D 6p 99&*L ;q/U K L F /U *m n /l ;j k F 9"U /U *k l ,I 00T ,<>X ’C -tC u r C s *6B C 0D "c A %"‘a 2d g b ,"c A %z "‘b ~h ‘g ~6A f h ‘g 1g {28e ‘8g f ‘2w 31}w e b 0f g h 8g e f ‘a 8b ~|B i D 6p 99&*L ;q/U K L F /U *m n /l ;j k F 9"U /U *k l ,I 00T ,<>>’C -tC C O 6B C C D?b ’g f e ?4,@‘a 1b 8A ,A 3w g 1a ~46A 1g e ‘23{282.e a b ~b ~|3b |b e a w f b |~a e }8g f a ~3!}.w b h x g y h 8y !e 2f y f e g 1B i D 6j k F F "l *m /U *k lk op j q,C r s *,><tC I 0C I u 6Or T 清华大学学报’自然科学版-I 00s ,O s ’O -。

一个可验证的门限多秘密共享方案庞辽军;李慧贤;李志洁;王育民【期刊名称】《哈尔滨工业大学学报》【年(卷),期】2008(40)9【摘要】针对Lin-Wu方案容易受恶意参与者攻击的缺点,基于大整数分解和离散对数问题的难解性,提出了一个新的可验证(t,n)门限多秘密共享方案,有效地解决了秘密分发者和参与者之间各种可能的欺骗.在该方案中,秘密分发者可以动态的增加共享的秘密;各参与者的秘密份额可以重复使用,每个参与者仅需保护一个秘密份额就可以共享多个秘密.与现有方案相比,该方案在预防各种欺骗时所需的指数运算量更小,而且,每共享一个秘密仅需公布3个公共值.分析表明该方案比现有方案更具吸引力,是一个安全有效的秘密共享方案.【总页数】4页(P1462-1465)【作者】庞辽军;李慧贤;李志洁;王育民【作者单位】西安电子科技大学,计算网络与信息安全教育部重点实验室,西安,710071;西安电子科技大学,智能信息处理研究所,西安,710072;西北工业大学,计算机学院,西安,710072;大连民族学院,计算机科学与工程学院,大连,116600;西安电子科技大学,计算网络与信息安全教育部重点实验室,西安,710071【正文语种】中文【中图分类】TP918【相关文献】1.一种可验证的（t，n）门限秘密共享方案 [J], 史英杰2.基于特征值的可验证特殊门限秘密共享方案 [J], 张艳硕;李文敬;陈雷;毕伟;杨涛3.可验证的(n,n)门限量子秘密共享方案 [J], 麻敏;李志慧;徐廷廷4.可验证的Asmuth-Bloom门限秘密共享方案 [J], 程宇;刘焕平5.N个Shamir门限秘密共享方案组合的通用可验证性设计 [J], 郭涌浩;卫宏儒因版权原因，仅展示原文概要，查看原文内容请购买。

参与者有权重的动态多重秘密共享方案 兰建青;张建中 【期刊名称】《计算机工程与应用》 【年(卷),期】2009(045)033 【摘 要】The paper proposes a dynamic threshold multi-secret sharing scheme among weighted participants based on Chinese remainder theorem.Each participant's secret shadow is selected and kept by the participant himself and the shadows don't need to change when the shared secret is renewed,and many secrets can be recovered in one time.Dealer can check whether each participant provides the true information,and a participant can be freely accepted or fired,so a secure channel between them is Unnecessary.%基于中国剩余定理,提出了一个参与者有权重的动态门限多重秘密共享方案.该方案中参与者的子秘密由自己选取和保存,每个参与者的子秘密可以多次使用,并且一次可以恢复多个秘密.在秘密分发和恢复过程中都可验证参与者是否进行了欺诈.该方案可以灵活地增加或删除成员,且不需要安全信道.

【总页数】3页(P81-82,107) 【作 者】兰建青;张建中 【作者单位】陕西师范大学,数学与信息科学学院,西安,710062;陕西师范大学,数学与信息科学学院,西安,710062

【正文语种】中 文 【中图分类】TP309 【相关文献】 1.参与者有权重的动态多级多秘密共享方案 [J], 韩冬 2.动态的的权重不同参与者之间的多秘密共享方案 [J], 张艳硕;刘卓军 3.参与者权重不同的防欺诈的动态秘密共享方案 [J], 张艳硕;刘卓军;柴凤娟 4.参与者有权重的多重秘密共享方案 [J], 王伟;周顺先 5.参与者有权重的动态多重秘密广义门限方案 [J], 张艳硕;刘卓军

一种安全的多使用门限多秘密共享方案①张　剑1,2, 林昌露1,2, 丁　健1,2, 林修慧1,2, 李朝珍1,21(福建师范大学 数学与信息学院, 福州 350117)2(福建师范大学 福建省网络安全与密码技术重点实验室, 福州 350007)通讯作者: 林昌露摘　要: 在多秘密共享方案中, 通常会生成大量公开值来保障多个秘密安全正确地重构, 同时参与者也需要保存大量信息. 为减少公开值的个数以及参与者所需保存的信息量, 本文基于中国剩余定理和Shamir(t , n )-门限秘密共享方案设计了一个子秘密可多使用的门限存取结构多秘密共享方案. 根据中国剩余定理将多项式产生的子秘密信息进行聚合生成公开值, 减少了公开值的个数; 应用转换值的方法和离散对数对参与者子秘密信息进行保护. 构造了具有以下特点的多秘密共享方案: 可一次共享多个秘密; 不同的秘密可对应不同门限的存取结构; 参与者可验证所恢复秘密值的正确性; 公开值个数更少; 参与者存储一个子秘密且子秘密可以多次使用.关键词: 秘密共享; 中国剩余定理; 门限存取结构; 可验证性; 多秘密引用格式: 张剑,林昌露,丁健,林修慧,李朝珍.一种安全的多使用门限多秘密共享方案.计算机系统应用,2021,30(5):276–281. /1003-3254/7904.htmlSecure Multi-Use Threshold Multi-Secret Sharing SchemeZHANG Jian 1,2, LIN Chang-Lu 1,2, DING Jian 1,2, LIN Xiu-Hui 1,2, LI Chao-Zhen 1,21(College of Mathematics and Informatics, Fujian Normal University, Fuzhou 350117, China)2(Fujian Provincial Key Lab of Network Security & Cryptology, Fujian Normal University, Fuzhou 350007, China)Abstract : In a multi-secret sharing scheme, a large number of public values are generated to ensure the secure and correct reconstruction of multi-secrets, and participants also need to keep a large amount of information. In order to reduce the number of public values and the information that participants should keep, this study designs a multi-secret sharing scheme based on the Chinese Remainder Theorem (CRT) and Shamir (t , n )-threshold secret sharing scheme in which shares can be used more than once. Specifically, the shares generated by polynomials are aggregated to generate public values by CRT, which reduces the number of public values. Transformed value and discrete logarithms are used to protect the shares of participants. In a multi-secret sharing scheme, multiple secrets can be shared at one time; different secrets can be shared in access structures with different thresholds; participants can verify the secrets recovered; the number of public values is fewer; each participant only needs to store one share which can be used repeatedly.Key words : secret sharing; Chinese Remainder Theorem (CRT); threshold access structure; verifiability; multi-secret秘密共享是网络通信中保护信息隐私性和安全性的一种非常有效的密码技术, 通过秘密共享技术可以实现将秘密信息共享给多个参与者. 1979年, Shamir [1] 和B l a k l e y [2]最先分别提出了门限秘密共享的概念.Shamir 则是利用有限域上的多项式设计的秘密共享方案, 而Blakey 利用超几何问题构造了秘密共享方案.计算机系统应用 ISSN 1003-3254, CODEN CSAOBNE-mail: Computer Systems & Applications,2021,30(5):276−281 [doi: 10.15888/ki.csa.007904] ©中国科学院软件研究所版权所有.Tel: +86-10-62661041① 基金项目: 国家自然科学基金 (U1705264); 福建省自然科学基金 (2019J01275); 广西可信软件重点实验室研究课题(KX202039)Foundation item: National Natural Science Foundation of China (U1705264); Natural Science Foundation of Fujian Province (2019J01275); Research Project of Guangxi Key Laboratory of Trusted Software (KX202039)收稿时间: 2020-09-18; 修改时间: 2020-10-13; 采用时间: 2020-10-16; csa 在线出版时间: 2021-04-28276Benaloh 和Leichter [3], Ito 等[4]分别提出基于授权集和非授权集的秘密共享方案, 实现了一般存取结构上的秘密共享. 为了防止秘密共享中参与者的欺骗行为, Chor 等[5]提出了可验证的秘密共享方案, 之后Stadler [6]提出了公开可验证秘密共享方案. 通常的秘密共享方案中,秘密分发者将秘密分为多份子秘密, 并按照一定的分发方式发送给参与者, 使得授权集中的参与者联合时可以恢复秘密, 非授权集中的参与者联合时不能恢复秘密.这些秘密共享方案均为单秘密的共享方案, 执行一次共享算法只能共享一个秘密, 但实际中经常需要共享多个秘密, 若采用这些共享方案则需要多次执行共享算法,从而使计算、存储和通信等方面的效率降低.(t ,n )k (k ,t ,n )(t ,n )t −1由于单秘密共享方案的局限性, 使得众多学者提出并研究多秘密共享. 1994年, He 和Dawson [7]基于单向函数提出了一个多阶段的-门限多秘密共享方案, 执行一次共享算法可共享多个秘密, 但该方案被Geng 等[8]证明子秘密不是多次使用的, 恢复全部的秘密后,参与者所保存的子秘密信息完全泄露, 即子秘密是一次性的. Shao [9]基于多项式方法提出了共享个秘密的-门限多秘密共享方案, 只需少量的公开值即可,但该方案实现的多秘密共享在秘密恢复阶段所有秘密同时恢复, 若参与者在保护秘密方面有疏漏, 则有可能会造成秘密信息的泄露. Wang 等[10]提出了一个可验证的门限多秘密共享方案, 该方案在实现Shao 方案[9]功能的基础上增加了参与者对分发者的验证以及参与者之间的验证功能, 并且子秘密可重复使用. 很多学者对可验证秘密共享方案进行研究, 曹阳等[11]提出了一种基于大整数分解可公开验证的秘密共享方案, 彭咏等[12]研究了一类基于格的可验证秘密共享方案. Harn 和Hsu [13]提出了基于双线性多项式的-门限多秘密共享方案, Zhang 等[14]证明了该方案在恢复一个秘密之后, 其余未恢复的秘密可由个参与者进行重构得到, 同时对其进行改进, 提出了新的秘密共享方案并解决了Harn 和Hsu [13]方案中的安全隐患. 这些方案实现的多秘密共享对应的存取结构为单一门限的门限存取结构, 事实上在不同的存取结构中共享多个秘密具有更强的实用性, 因此有很多学者研究了关于多存取结构的多秘密共享方案.2007 年, Geng 等[8]在He 和Dawson 方案[7]的基础上进行改进, 提出了多存取结构上参与者子秘密可多次使用的门限多秘密共享方案, 使得参与者子秘密在恢S 1,S 2,···,S k S 1S k 复一轮多秘密之后, 子秘密的信息仍是保密的, 从而子秘密具有可多次使用的性质. 为了防止参与者在秘密恢复时的不诚实行为, Chen 等[15]提出了一个可验证的门限多秘密方案, 该方案可对参与者发送的子秘密进行验证, 防止参与者的欺骗行为, 但子秘密不具有多次使用的性质. Mashhadi [16]基于线性反馈移位寄存器提出了一个多步的秘密共享方案, 该方案在秘密重构阶段可采用求解范德蒙方程和计算Lagrange 插值两种方法进行秘密恢复, 但秘密恢复必须按照固定的顺序进行.Zarepour-Ahmadabadi 等[17]提出一个具有可信第三方的渐进门限秘密共享方案, 多个秘密按照预设的顺序进行重构, 并且每个秘密对应不同的存取结构, 若秘密恢复顺序为, 对应的门限值逐渐变大, 即门限值最小, 门限值最大. 该方案与前面几个多秘密方案相比公开值最少, 但该方案需要借助可信第三方实现多秘密共享, 参与者存储的子秘密包含两部分, 且子秘密不具有多次使用的性质. 考虑多秘密方案在公开值个数、多秘密恢复的顺序性、存取结构的多样性以及子秘密的多使用性等方面存在的问题, 本文提出一个更加高效的多秘密共享方案, 具有如下特点:(1)参与者存储的子秘密只有一份;(2)参与者的子秘密可多次使用;(3)不同的秘密对应不同的存取结构;(4)秘密重构时可按任意顺序进行恢复;(5)实现多秘密的公开值个数少.本文应用中国剩余定理, 将其作为公开值聚合的工具来减少公开值的个数, 基于多项式的方法提出了一个子秘密可多次使用的门限多秘密共享方案, 其中参与者只需存储一个子秘密即可, 同时公开值的个数与其他方案相比也是最少的, 并且不同的秘密可对应不同的门限值, 在秘密恢复时可以按照任意的顺序进行秘密的重构, 不需要按照特定的顺序, 具有更好的灵活性.文中剩余部分按照如下安排: 第1节介绍相关的预备知识; 第2节介绍方案的具体构造以及方案的安全性分析; 第3节对几个多秘密共享方案进行比较分析; 第4节是方案的总结.1 预备知识(t ,n )这一部分将分别对存取结构, 中国剩余定理, 离散对数问题和Shamir -门限秘密共享方案等内容进行简单的介绍.2021 年 第 30 卷 第 5 期计算机系统应用2771.1 存取结构P ={P 1,P 2,···,P n }Γ(⊂2P )P 2P P ¯Γ=2P −Γ设n 个参与者的集合为, 存取结构为的一族可以恢复出秘密S 的子集的集合, 这些集合称为授权集, 为的幂集. 不能恢复出秘密的参与者集合为非授权集, 所有非授权集的集合为非存取结构, 记作 .存取结构Γ具有单调性, 即:(t ,n )Γ={A ⊂P||A |≥t }对于一个-门限秘密共享方案而言, 任意大于等于t 个参与者可恢复秘密S , 任意小于t 个参与者不能恢复秘密S , 即其存取结构为.若一个秘密共享方案满足:∀A ∈Γ(1)正确性: 对于, A 中参与者的子秘密联合可正确恢复出秘密S ;∀B ∈¯Γ(2)安全性: 对于, B 中的参与者联合不能得到关于秘密S 的任何信息.则称该方案为完备的秘密共享方案[18].1.2 中国剩余定理中国剩余定理(Chinese Reminder Theorem)[19]又称孙子定理, 简记为CRT, 是中国古代求解一次同余式的方法. 中国剩余定理基本内容表述如下:m 1,m 2,···,m n r 1,r 2,···,r n r i ∈Z m i (i =1,2,···,n )Z m i m i 随机选择两两互素的整数, 对于任意的整数, 满足, 为整数模的剩余类群. 则下列同余方程组:Y =n ∑i =1r i ·M i ·b i (mod M )M =n ∏i =1m i ,M i =M /m i ,b i =M −1i (mod m i )Y =CRT (r 1,r 2,···,r n )在模M 下有唯一解, 其中, , 记为.1.3 离散对数问题F q q g F ∗q a =g k (mod q )a ∈F q a ∈F q k =log g a (mod q )设为有限域, 为一个素数, 为乘法群中的生成元, 任取一个整数k , 则计算可知.反之, 已知, 要计算, 称为离散对数问题[20].由于对一般阶数较大的有限域上离散对数问题至今没有一个高效的求解算法, 所以在密码方案的构造过程中, 总是假设在有限域上求解离散对数问题是困难的.(t ,n )1.4 Shamir -门限秘密共享方案(t ,n )t t −1p >n p >n P 1,P 2,···,P n Shamir -门限秘密共享方案[1]根据门限值构造次多项式, 将秘密 (p 为大素数, )作为常数项, 计算n 个点处的函数值作为n 个参与者的子秘密. 将秘密拆分为n 份并发送给n 个参与者,使得任意大于等于t 个参与者可以重构出秘密S , 任意少于t 个参与者不能得到秘密S 的任何信息. 具体秘密分发及重构过程如下:秘密分发阶段:t −1(1)分发者D 选择一个次多项式a 0=S a 1,a 2,···,a t −1F p 其中, 为秘密值, 为随机选择的中的元素;f (i )P i (i =1,2,···,n )(2) D 计算作为参与者的子秘密, 并通过安全信道分别发送给对应的参与者.秘密重构阶段:P 1,P 2,···,P t f (1),f (2),···,f (t )(3)不妨假设进行秘密重构的参与者为,分别将子秘密安全地发送给秘密重构者C ;(4)秘密重构者C 根据Lagrange 插值公式计算得到秘密:(t ,n )Shamir -门限秘密共享方案满足:f (x )(1)任意大于等于t 个参与者可以根据Lagrange 插值公式重构出多项式, 从而可正确恢复出秘密S ,满足正确性;f (x )(2)任意少于t 个参与者无法重构出多项式,因此无法重构得到关于秘密S 的任何信息, 满足安全性条件.(t ,n )因此, Shamir -门限方案是完备秘密共享方案.2 方案构造与分析S 1,S 2,···,S k ∈F p S j (j =1,2,···,k )t j Γj ={A ⊂P||A |≥t j }(t ,n )本节介绍方案的具体构造, 证明了方案的正确性和安全性、子秘密可多次使用性. 设k 个秘密为, 每个秘密对应的存取结构为门限值为的门限存取结构, 即. 本文选择转换值的方法进行秘密隐藏, 同时根据Shamir-门限方案的分发算法为参与者提供伪子秘密, 引计算机系统应用2021 年 第 30 卷 第 5 期278入中国剩余定理将多项式生成的n 个函数值进行聚合作为公开值, 从而达到最大程度减少公开值个数的目的.2.1 具体构造m 1,m 2,···,m n m i ≥p (i =1,2,···,n )p |(q −1)F q h (·)分发者选取素数p 和两两互素的正整数, 使得. 选择满足的素数q , 取的p 阶元g , 以及公开的单向Hash 函数.x 1,x 2,···,x n ∈F ∗p P 1,P 2,···,P n S j (j =1,2,···,k )随机选择为参与者的公开信息. 对秘密的共享如下:(1)秘密分发阶段分发者进行如下操作:a j ,a j ,1,a j ,2,···,a j ,t j −1∈F p ① 随机选择元素, 构造多项式:f j (x )=a j +a j ,1x +a j ,2x 2+···+a j ,t j −1x t j −1(mod p );f j (x )x 1,x 2,···,x n f j (x 1),f j (x 2),···,f j (x n )② 计算在处的值, 并根据中国剩余定理计算公开值:PS j =(f j (x 1),f j (x 2),···,f j (x n ))CRT ;a j g a j (mod p )V j =S j ⊕g a j ③ 根据g 与随机值, 计算, 计算并公开转换值, 这里⊕为比特的异或运算;m i P i ,i =1,2,···,n S j h j =h (S j )④ 将作为子秘密通过安全信道发送给参与者, 计算并公开秘密的Hash 值.(2)秘密重构阶段t j P j 1,P j 2,···,P j t j S j P j ,i (i =1,2,···,t j )S H j ,i (i =1,2,···,t j )任意个参与者要重构秘密, 参与重构的参与者发送伪子秘密给恢复者, 由恢复者进行秘密的计算. 参与者和恢复者分别进行以下操作:P j ,i (i =1,2,···,t j )PS j f j (x j ,i )≡PS j (mod m j ,i )S H j ,i ≡g f j (x j ,i )(mod p )① 参与者: 参与秘密重构的参与者根据公开值计算, 之后计算伪子秘密并发送给恢复者.② 恢复者: 根据参与者发送的伪子秘密, 恢复者计算:b i =t j∏k =1,k ix j ,kx j ,k −x j ,i V j S j =V j ⊕g a j S j S j 其中, . 再根据转换值计算恢复秘密, 并将秘密返回给参与重构的全部参与者.(3)秘密验证阶段S j h (S j )=h j 参与者收到恢复者发送的秘密时, 可通过验证等式是否成立来判断所恢复秘密的正确性.2.2 方案分析(t ,n )本文方案的安全性与Shamir -门限方案的安全性一致, 同时方案的构造是基于中国剩余定理的性质和有限域上离散对数求解的困难性. 定理2.1证明了方案的正确性、安全性, 定理2.2分析了子秘密的可多次使用性.S j (t j ,n )定理2.1. 在共享秘密时, 本文构造的方案是安全的-门限秘密共享方案.证明: 分别从门限方案的正确性和安全性证明本文的方案是一个完备的秘密共享方案:t j S j (1)正确性: 任意大于等于个参与者可以正确恢复出秘密;t j S j (2) 安全性: 任意少于个参与者无法得到关于秘密的任何信息.t j PS j f j (x j ,i )≡PS j (mod m j ,i ),i =1,2,···,t j S H j ,i ≡g f j (x j ,i )(mod p )方案正确性: 在进行秘密重构时, 任意至少个参与者参与, 根据公开值与子秘密分别进行计算, 再计算伪子秘密发送给恢复者. 恢复者根据参与者发送的信息计算:S j V j S j =V j ⊕g a j S j 再根据公开信息中对应的转换值, 恢复者可进行比特的异或运算从而恢复秘密.S u ,S v (u v )V u =S u ⊕g a u ,V v =S v ⊕g a v a u ,a v S u S v 方案安全性: 对于不同的秘密, 分别对应不同的公开转换值, 这里均为分发者构造多项式选取的随机值. 因此, 不同的秘密重构时是相互独立的, 当参与者恢复秘密时,不能得到关于秘密的任何信息.P 1,P 2,···,P t j −1S j S j g f j (1),g f j (2),···,g f j (t j −1)f j (x )t j −1t j −1t j −1f j (x )g a j S j =V j ⊕g a j t j −1S j 假设想重构秘密, 包含秘密部分信息的只有参与者提供的伪子秘密. 由于为次多项式, 故只有个参与者时, 只能构造个方程, 无法计算多项式, 从而不能计算得到. 又因为, 所以任意个参与者不能得到秘密的任何信息.P i 1m i 1P i 2m i 2P i 1P i 2m i 2S j PS j f j (x i 2)S H ji 2t j t j S j 设参与者的子秘密为, 参与者的子秘密为, 根据中国剩余定理的性质, 由于参与者无法得到参与者的子秘密, 因此不能由秘密的公开值得到, 即不能得到对应的伪子秘密. 从而只有当参与者个数达到门限值才能得到至少个伪子秘密进行秘密重构, 从而恢复秘密.2021 年 第 30 卷 第 5 期计算机系统应用279定理2.2. 本文构造的方案中, 参与者的子秘密具有安全性; 在秘密重构阶段不会泄露参与者保存的子秘密信息, 子秘密具有重复使用性.S j P i f j (x i )≡PS j (mod m i )P i f j 1(x i ),···,f jl (x i )证明: 在重构秘密时, 参与者根据公开值计算, 若攻击者能够得到参与者的多个信息, 即有同余方程组:P i m i m i S H j ,i ≡g f j (x i )(mod p )S H j ,i f j (x i )P i f j (x i )m i 可以得到关于参与者的子秘密的部分信息,甚至得到子秘密. 但本方案中参与者发送给秘密恢复者的伪子秘密为, 由于求解有限域上离散对数问题是困难问题, 根据伪子秘密无法求解, 因此攻击者无法得到与参与者在秘密重构阶段产生的任何信息, 进而无法获取上述同余方程组, 保证了参与者的子秘密在秘密重构阶段的私密性. 因此参与者的子秘密具有可重复使用性,若再次执行秘密共享方案, 可不改变参与者的子秘密,仍能进行安全的多秘密共享. 从而减少子秘密分发时产生的通信量, 并且参与者无需增加信息的存储量.3 方案比较本文构造的方案中应用中国剩余定理作为聚合生成公开值的工具, 将根据Shamir(t ,n )-门限方案生成的n 个伪子秘密进行聚合产生一个公开值. 因此k 个秘密对应产生k 个聚合的公开值以及k 个转换值, 只需要2k 个公开值即可共享多个秘密, 在分发多秘密时, 每个参与者只需存储一个子秘密即可, 并且参与者所存储的子秘密可多次使用. 同时每个秘密可对应不同的存取结构, 实现了多存取结构的秘密共享. 在秘密恢复阶段, 本文的方案不需要按照固定顺序进行秘密重构, 在需要恢复哪个秘密时, 根据对应的公开值进行重构即可. 因此可以减少一次性重构全部秘密和固定顺序重构秘密带来的安全隐患.n 2表1中对比的3个方案均为子秘密可多使用的多秘密共享方案. 其中Geng 等的方案[8]应用单向函数以及离散对数问题, 保护子秘密的安全性, 但所产生的公开值个数为, 同时该方案中的秘密值是根据构造的多项式常数项求模指数运算得到的, 不具有一般性.Wang 等的方案[10]利用RAS 算法实现, 参与者参与重2k 构秘密时, 根据子秘密计算一个伪子秘密发送给重构者, 通过伪子秘密无法计算子秘密信息, 实现了子秘密的保护, 但在秘密重构阶段该方案一次恢复全部秘密.Mashhadi 方案[16]在秘密恢复时限制了秘密的重构顺序, 恢复某个秘密必须先恢复前面所有的秘密. 本方案共享的秘密可以为任意信息, 每个秘密可选择不同的存取结构进行共享, 可灵活地根据需要在秘密分发阶段选择合适的门限存取结构. 在共享秘密时, 根据不同的门限值构造随机多项式生成秘密的掩盖值, 对秘密进行隐藏生成的公开值个数为, 远小于其他几个方案产生的公开值个数, 并且不同秘密在共享时为相互独立的, 因此在秘密重构时可根据需要恢复对应的秘密值.表1 子秘密可多使用秘密共享方案对比方案公开值个数秘密恢复顺序存取结构Geng 等[8]n 2任意顺序多存取结构Wang 等[10]2n +m −t +1一次恢复单一存取结构Mashhadi [16]≤k (n −t 1+2)固定顺序多存取结构本文方案2k任意顺序多存取结构2(k −t )∑ki =1(n −t i +1)2k Shao 的方案[9]构造两个不同的多项式, 产生的公开值为个, 但Shao 的方案子秘密不具有多使用性, 并且所有秘密为一次性全部恢复的; Chen 等的方案[15]虽然在秘密恢复时可以按任意顺序恢复, 但其公开值个数为, 大于本方案的; Zarepour-Ahmadabadi 等的方案[17]公开值个数为k 个, 但需要可信第三方参加秘密重构, 并且参与者的子秘密不具有多使用性. 表2中通过3个方案的比较, 说明了本方案与其他几种公开值个数较少的多秘密共享方案在秘密恢复、存取结构、参与者保存的子秘密个数以及子秘密的安全性等方面进行对比具有更好的性质.表2 多秘密共享方案性能对比方案秘密恢复顺序存取结构参与者子秘密个数子秘密多使用性Shao [9]一次性恢复单一存取结构1不可多使用Chen 等[15]任意顺序多存取结构1不可多使用Zarepour-Ahmadabadi 等[17]固定顺序多存取结构2不可多使用本文方案任意顺序多存取结构1可多使用4 结论(t ,n )本文基于Shamir -门限秘密共享方案, 应用中国剩余定理作为聚合的工具生成公开值, 提出了一个计算机系统应用2021 年 第 30 卷 第 5 期280子秘密可多次使用的多秘密共享方案. 该方案一次分发多个秘密, 每个秘密可以对应不同的门限结构, 同时参与者只存储一个子秘密. 在秘密重构阶段可根据需要恢复对应的秘密, 参与者根据不同秘密的公开值信息进行计算, 生成伪子秘密参与秘密重构, 最后根据对应的转换值计算得到秘密. 同时参与者可以根据公开的Hash 函数对恢复的秘密进行计算, 通过与分发者的公开承诺值进行比较对所恢复的秘密进行验证. 分析表明, 与现有的部分多秘密共享方案相比, 本文的方案在公开值个数以及子秘密的多使用性等方面有更好的性能.参考文献Shamir A. How to share a secret. Communications of theACM, 1979, 22(11): 612–613. [doi: 10.1145/359168.359176]1Blakley GR. Safeguarding cryptographic keys. Proceedingsof the AFIPS 1979 National Computer Conference. New York, NY, USA. 1979.313–317. [doi: 10.1109/AFIPS.1979.98]2Benaloh J, Leichter J. Generalized secret sharing andmonotone functions. Advances in Cryptology. New York,NY, USA. 1988. 27–35. [doi: 10.1007/0-387-34799-2_3]3Ito M, Saito A, Nishizeki T. Secret sharing scheme realizinggeneral access structure. Electronics and Communications in Japan (Part Ⅲ-Fundamental Electronic Science), 1989, 72(9):56–64. [doi: 10.1002/ecjc.4430720906]4Chor B, Goldwasser S, Micali S, et al . Verifiable secretsharing and achieving simultaneity in the presence of faults.26th Annual Symposium on Foundations of Computer Science. Portland, OR, USA. 1985. 383–395. [doi: 10.1109/SFCS.1985.64]5Stadler M. Publicly verifiable secret sharing. InternationalConference on Advances in Cryptology. Saragossa, Spain. 1996. 190–199. [doi: 10.1007/3-540-68339-9_17]6He J, Dawson E. Multistage secret sharing based on one-wayfunction. Electronics Letters, 1994, 30(19): 1591–1592. [doi:10.1049/el:19941076]7Geng YJ, Fan XH, Fan H. A new multi-secret sharingscheme with multi-policy. The 9th International Conference on Advanced Communication Technology. Okamoto, Kobe,8Japan. 2007.1515–1517. [doi: 10.1109/ICACT.2007.358655]Shao J. Efficient verifiable multi-secret sharing scheme basedon hash function. Information Sciences, 2014, 278: 104–109.[doi: 10.1016/j.ins.2014.03.025]9Wang N, Cai YY, Fu JS, et al . Information privacyprotection based on verifiable (t , n )-threshold multi-secret sharing scheme. IEEE Access, 2020, 8: 20799–20804. [doi:10.1109/ACCESS.2020.2968728]10曹阳. 基于大整数分解可公开验证的秘密共享方案. 计算机系统应用, 2016, 25(3): 271–273.11彭咏, 邵培南, 李翔, 等. 基于格的可验证秘密共享方案. 计算机系统应用, 2020, 29(1): 225–230. [doi: 10.15888/ki.csa.007208]12Harn L, Hsu CF. (t , n ) multi-secret sharing scheme based onbivariate polynomial. Wireless Personal Communications,2017, 95(2): 1495–1504. [doi: 10.1007/s11277-016-3862-z ]13Zhang T, Ke XZ, Liu YX. (t , n ) multi-secret sharing schemeextended from Harn-Hsu ’s scheme. Eurasip Journal on Wireless Communications and Networking, 2018, 2018(1):71. [doi: 10.1186/s13638-018-1086-5]14Chen D, Lu W, Xing WW, et al . An efficient verifiablethreshold multi-secret sharing scheme with different stages.IEEE Access, 2019, 7: 107104–107110. [doi: 10.1109/ACCESS.2019.2929090]15Mashhadi S. How to fairly share multiple secrets stage bystage. Wireless Personal Communications, 2016, 90(1):93–107. [doi: 10.1007/s11277-016-3332-7]16Zarepour-Ahmadabadi J, Shiri-Ahmadabadi M, Miri A, et al .A new gradual secret sharing scheme with diverse access structure. Wireless Personal Communications, 2018, 99(3):1329–1344. [doi: 10.1007/s11277-017-5187-y ]17Tassa T. Hierarchical threshold secret sharing. Journal ofCryptology, 2007, 20(2): 237–264. [doi: 10.1007/s00145-006-0334-8]18Odlyzko AM. Discrete logarithms in finite fields and theircryptographic significance. Proceedings of EUROCRYPT 84A Workshop on Advances in Cryptology. Paris, France.1985. 224–314. [doi: 10.1007/3-540-39757-4_20]19Trotter H. Book Review: A course in computationalalgebraic number theory. Bulletin of the American Mathematical Society, 1994, 31(2): 312–318. [doi: 10.1090/S0273-0979-1994-00542-7]202021 年 第 30 卷 第 5 期计算机系统应用281。

一种动态安全的多重密钥门限共享方案
张燕燕
【期刊名称】《计算机工程与应用》
【年(卷),期】2007(043)034
【摘要】给出了一种动态安全的多重密钥门限共享方案,在该方案中成员可以安全有效地共享多个密钥,具有动态安全性,能够在不改变共享秘密的前提下,周期性更新成员的子密钥,攻击者需要在更新周期内完成攻击过程,任意t个授权成员联合在任意时刻都可以恢复共享密钥,采用可验证的秘密共享方法能够有效地抵御管理者欺骗和成员欺骗,最后证明了方案的正确性和机密性.
【总页数】4页(P156-158,179)
【作者】张燕燕
【作者单位】山东政法学院,信息科学与技术系,济南,250014
【正文语种】中文
【中图分类】TP393
【相关文献】
1.一种改进的多重密钥共享的门限方案 [J], 李锋;李大兴
2.一个无可信中心的动态(t,n)门限密钥共享方案 [J], 周孟创;余昭平
3.一种动态(t,n)门限多重秘密共享方案 [J], 刘晓莉;张建中;郝修清
4.自选子密钥的动态门限多重秘密共享方案 [J], 白雪鹏;刘焕平
5.托管者有权重的动态门限多重密钥托管方案 [J], 李林;曹瑀;李志华
因版权原因，仅展示原文概要，查看原文内容请购买。

基于细胞自动机的动态多秘密共享方案周由胜;王锋;卿斯汉;杨义先;钮心忻【期刊名称】《计算机研究与发展》【年(卷),期】2012(49)9【摘要】针对现有基于细胞自动机多秘密共享方案存在安全性较低和可扩展性较差的问题,提出了一种可验证的动态门限多秘密共享方案.方案中参与者的子秘密可以在多次秘密共享过程中重复使用,减少了秘密分发者的计算负担;在不改变现有参与者子秘密的前提下,可动态加入新参与者和新共享秘密;在秘密分发和重构过程中,能够实现参与者对秘密分发者以及秘密重构者对参与者的验证,及时检测和识别分发者对参与者以及参与者对重构者的欺骗,提高了重构秘密的成功率以及方案的安全性.%In order to solve the problem that the previous cellular automata based multi-secret sharing schemes are unsecure and inflexible, a verifiable dynamic multi-secret sharing scheme is presented in this paper. In the proposed scheme, the shares of participants can be reused so that the computation cost of the dealer is reduced. New participants or new secrets can be added into the system without updating the shares of original participants. Cheating of dealer and participant can be detected and identified during the process of distributing the shares and reconstructing the secret. These features contribute to improve the success probability of constructing secret and security.【总页数】6页(P1999-2004)【作者】周由胜;王锋;卿斯汉;杨义先;钮心忻【作者单位】重庆邮电大学计算机科学与技术学院重庆400065;网络与信息攻防技术教育部重点实验室(北京邮电大学) 北京 100876;德州学院数学系山东德州253023;网络与信息攻防技术教育部重点实验室(北京邮电大学) 北京 100876;中国科学院软件研究所北京 100190;网络与信息攻防技术教育部重点实验室(北京邮电大学) 北京 100876;网络与信息攻防技术教育部重点实验室(北京邮电大学) 北京100876【正文语种】中文【中图分类】TP309【相关文献】1.基于LUC密码体制的动态多秘密共享方案 [J], 张伟;杜伟章2.基于双线性对的动态门限多秘密共享方案 [J], 黄伟达;姚国祥;沈瑞雪3.基于细胞自动机的动态云实时模拟 [J], 范晓磊;张立民;张兵强;张媛4.基于细胞自动机的实体肿瘤生长动态建模 [J], 胡日查;阮晓钢5.基于细胞自动机的震时人员动态分布评估方法研究 [J], 肖东升;许国徽;胡远东因版权原因，仅展示原文概要，查看原文内容请购买。

动态的可验证彩色可视多重秘密共享门限方案
张艳硕;刘卓军
【期刊名称】《计算机应用》
【年(卷),期】2007(27)12
【摘要】提出了动态可验证的彩色可视多重秘密共享方案.该方案共享多幅秘密图像,使得任意t个或更多的子秘密能够恢复秘密图像,而任意t-1或者少于t个子秘密却得不到有关图像的任意信息.该方案通过一次秘密共享就可以实现对多个秘密图像的共享.方案中每个参与者的子秘密可多次使用,秘密更新时,无需更新参与者的子秘密,同时,可以灵活增加或删除某个参与者.
【总页数】3页(P2937-2939)
【作者】张艳硕;刘卓军
【作者单位】北京电子科技学院基础学科教学部,北京,100070;中国科学院数学机械化重点实验室,北京,100080;中国科学院数学机械化重点实验室,北京,100080【正文语种】中文
【中图分类】TP309
【相关文献】
1.可验证的(t,n)门限多重秘密共享方案 [J], 张艺林;张建中
2.改进的动态可验证的(t,n)门限秘密共享方案 [J], 赖红;李志慧;郭玉娟
3.一个动态门限多重秘密共享方案 [J], 王天成;张建中
4.基于RSA的可验证的动态多重秘密共享方案 [J], 王锋;张建中
5.自选子密钥的动态门限多重秘密共享方案 [J], 白雪鹏;刘焕平
因版权原因，仅展示原文概要，查看原文内容请购买。

一个可验证的门限多秘密分享方案何明星1，2，范平志1，袁丁1，3（1.西南交通大学计算机与通信工程学院，四川成都，610031；2.四川工业学院计算机科学与工程系，四川成都，610039；3.四川大学电子信息学院，四川成都，610065）摘要：基于离散对数计算和大整数分解的困难性，利用RSA 加密体制提出了一个新的门限多秘密分享方案.该方案通过零知识证明等协议来防止秘密分发者和秘密分享者的欺诈行为，因而是一个可验证的门限多秘密分享方案.该方案还具有：秘密影子可重复使用；子秘密影子可离线验证；供分享的秘密不须事先作预计算等特点.该方案可用于会议密钥（秘密）分配、安全多方计算、门限数字签名等应用领域.关键词：秘密分享；门限体制；离散对数；RSA 加密体制；零知识证明中图分类号：TN918文献标识码：A文章编号：0372-2112（2002）04-0540-04A Verifiable Multiple Secrets Sharing SchemeHE Ming-xing 1，2，FAN Ping-zhi 1，YUAN Ding 1，3（1.Southwest Jiaotong Uniuersity ，Chengdu ，Sichuan 610031，China ；2.Sichuan Uniuersity of Science and Technology ，Chengdu ，Sichuan 610039，China ；3.Sichuan Uniuersity ，Chengdu ，Sichuan 610063，China ）Abstract ：A new muitipie secrets sharing scheme ，based on the intractabiiity of the discrete iogarithm（DL ）and the RSA en-cryption aigorithm is presented ，in which the participants'shadows remain secret and can be reused ，even if aii subshadows are made pubiic.Meanwhiie ，by using a zero-knowiedge proof protocoi ，the vaiidity verification of shadow and subshadow is aiso provided to pre-vent both deaier cheating and other participant cheating ，and any freeiy given secrets without pre-computation by deaier can be recon-structed.The scheme can be appiied to many areas such as conference key distribution ，secure muiti-part-computation ，threshoid signa-ture etc.Key words ：muiti-secret sharing ；threshoid scheme ；discrete iogarithm ；RSA ；zero-knowiedge proof!引言秘密分享在现代密码学中占有重要的地位.秘密分享的基本问题是如何给参与者集合的每个参与者适当分配子秘密（秘密影子），使得只要根据一定的授权存取结构汇集其中一部分参与者的子秘密经过计算就可恢复秘密.在秘密分享方案中，门限秘密分享方案是应用较广也是研究最早、成果最多的一种秘密分享方案.具体地说，（I ，n ）门限秘密分享是分发者在n 个参与者即所谓秘密分享者中把一个或多个秘密分拆成若干个子秘密，分配给各个参与者，使得这n 个参与者中任何I 个合作就可恢复秘密，但任何少于I 个的参与者都无法获得该秘密.最早的秘密分享方案是在1979年由Shamir 和Biakiey 分别基于Lagrange 插值多项式和射影几何理论独立提出的［1］.20多年来，门限秘密分享方案的研究与设计受到人们的广泛关注，取得了长足的进步，其应用涉及通信密钥管理、安全多方计算、金融网安全、电子商务等诸多领域［1，2］.虽然Shamir 和Biakiey 的方案奠定了门限方案的基础，但M Tom-pa 与H Woii［3］发现他们的方案不能防止秘密分发者与分享者的欺诈行为，而且分享者所得到的秘密影子（Shadow ）只能使用一次，若有多个秘密则需多次分发秘密影子.1985年Chor等人提出了一个可防止分发者（Deaier ）欺诈的秘密分享方案，但这个方案不能防止分享者的欺诈［4］.之后各种防欺诈秘密分享方案陆续提出［5~10］，其中大部分方案仅能防止分发者或分享者一方的欺诈，而且这些方案只能一次分享一个秘密.Harn 1995年提出了一个多秘密分享方案能同时防止分发者与分享者的欺诈［8］.在Harn 的方案中，秘密分发者给每一个分享者一个秘密影子，然后分享者再由此计算秘密子影子（Subshadow ）分发给他的门限合作者，这样即使公开子秘密影子，秘密影子也可保密.但Harn 方案的缺点是对于每个供分享的秘密都须事先作预计算.而且子秘密影子的认证都是各方在线合作的，从而计算量和通信量均很大，导致方案实施的困难.本文的贡献在于利用RSA 加密体制以及零知识证明等收稿日期：2000-12-29；修回日期：2002-01-31基金项目：国家自然科学基金（No.69825102）第4期2002年4月电子学报ACTA ELECTRONICA SINICA Voi.30No.4Aprii 2002协议，设计了一个具有较好综合性能的多秘密门限分享方案，主要有以下特点：（1）秘密影子可重复使用；（2）子秘密影子可离线验证；（3）可检测秘密分发者与分享者的欺诈行为；（4）不需事先对秘密进行预计算.!预备知识在给出方案之前，首先介绍本文用到的一些定义、记号与相关知识.定义"秘密分发者（Dealer）指把一个或多个秘密分发给I个秘密分享者的人或服务器.比如网上会议的大会主席.定义!公告栏（NB）指存放公开参数或数据的媒介.系统各方均可访问公告栏上的内容，但只有秘密分发者才能修改或更新公告栏上的内容.记秘密分发者为Pd ，S=｛S1，S2，…，Sm｝为m个待分发秘密S的集合，G=｛P1，P2，…，PI｝是I个秘密分享者P的集合.假设传送秘密影子的信道是安全可靠的.W!G是G中t 个秘密分享者的集合，t为门限值.I表示P的身份标识号（比如，1，2，…，m）.对于秘密分发者Pd 与秘密分享者集合G=｛P1，P2，…，P I｝之间的一个可验证的秘密分享方案，应满足以下要求：（1）如果秘密分发者遵循分发协议且各秘密分享者P遵循协议，则P可正确收到Pd的秘密信息.（2）对于同一个秘密S的分配方案，两个合法秘密分享者集合W1!G与W2!G，（这里I W1I=I W2I=t）恢复出的秘密是相同的.（3）秘密分享者可检测秘密分发者的欺诈行为.（4）秘密分享者可检测其他分享者的欺诈行为.零知识证明协议所谓零知识证明，是指一方（证明者）向另一方（验证方）证明某个论断正确的一种协议，同时要求在证明过程中不暴露证明方任何其它信息.零知识证明在设计密码协议时是非常有用的.在此，先介绍本文中要用到的零知识证明协议［2］.设!是一个循环群（设其阶为m），g是!的生成元，h是!的一个元素.该零知识证明协议可以满足以下要求：证明者在已知G、g、H、h且H=h S的条件下向验证者证明他知道S，而且有以g为底元素G的离散对数等于以h 为底H的离散对数S，即G=g S，同时证明者不会泄露S的信息.协议描述如下：设A是证明者，B是验证者，证明者A随机选取r并计算x=g r和x'=h r.令c=H'（g，h，G，H，x，x'），其中H'是一个hash函数.他先计算y=r+cS，再把数据对（c，y）传给验证者B作为证据.验证者收到（c，y）后验证c =H'（g，h，G，H，g y/G c，h y/H c）是否成立.若是则B认为A 知道S；否则B认为A不知道S.#方案描述基于第2节的准备，本节提出多秘密分享方案.设秘密分发者Pd 有m个待分发的秘密S=｛S1，S2，…，Sm｝，Pd需要将这m个秘密分发给G=｛P1，P2，…，PI｝中的t个授权的秘密分享者，这些分享者的集合为W.方案包含以下四个模块：初始化；秘密影子的生成算法；秘密子影子的生成算法；秘密恢复算法.初始化秘密分发者Pd创建公告栏并定义如下参数：p，g为P d秘密选择的两个不同的强大素数，即p=2p' +1，g=2g'+1，且p'，g'仍为大素数；N=pg发布在公告栏上；N'=p'g'，由Pd保密；e，d为秘密分发者Pd的RSA公钥和私钥，满足ed=1mod"（N），其中"是Euler函数.即d由P d保密，而e发布在公告栏上；g为ZN中阶为N'的生成元，发布在公告栏上.H'是一个公开的hash算法.秘密影子的生成算法首先，Pd随机生成（t-1）次多项式f（x）=a+a1x+…+a t-1x t-1mod N'，a I"Z N'，0<a I< N'-1，然后计算检测向量!=（10，11，…，1t-1），其中1I=g a I mod N（I=0，1，…，t-1）（1）并在公告栏NB上公开V.令I=#PI"G\｛P｝（I-I I）mod N'（2）这里I表示分享者P的身份标识号.注意到p'、g'是两个大素数，应有I I-I I I<p'，I I-I I I<g'于是I-I I与p'、g'分别互素，而p'、g'也互素，因而I与N'=p'g'互素，从而I-1mod N'存在.于是对于秘密分享者P"G，P d可按如下定义为其计算秘密影子x=f（I）·I-1mod N'（3）并通过安全信道给P发送｛g I mod N，x｝，P d同时为P计算公钥y=g x mod N（4）将其发布在NB上.当P"G收到P d发来的秘密影子后，通过下式对x的有效性进行验证（g I）x=#t-1I=0（1I）I I（mod N）（5a）若式（5a）不成立，则可检测到秘密分发者Pd有对P的欺诈行为（Pd传递的秘密影子不满足式（4）或者式（3））.事实上，任何一个参与者也可通过验证下式是否成立（y）#PI"G\｛P｝（I-II）=#t-1I=0（1I）I I（mod N）（5J）来对Pd的公钥发布是否存在欺诈行为进行检测.秘密子影子的生成算法首先，对任意待分配的秘密Si （i=1，2，…，m），Pd随机选取相应的整数ri"Z N'，再随机选取gi"Z N'，计算c i=（gg i）d mod N（6）h i=g a0i r i-S i（mod N）（7）然后Pd在NB上发布四元组（ci，ri，gi，hi）.为了恢复秘密Si，每个秘密分享者P须为秘密Si计算子影子Ii：I i =g x i mod N（8）c i =c x i mod N（9）P再随机选取整数r i "［1，N］并计算c'i =H'（g，g i，y，I i ，g r i ，g r i i），y i =r i +c i 'x.最后，将四元组（I i ，c i ，c i '，y i ）传给W中的其他所有合作者，作为向合作者证明秘密子影子I i 计145第4期何明星：一个可验证的门限多秘密分享方案算正确的证据.每个秘密分享者P 在收到其他所有合作者P j 传来的四元组（I ij ，c ij ，c ij '，y ij ）后可首先按下式离线检测秘密子影子I ij 的正确性：c e i j =y j I ij （mod N ）（10）若式（10）不成立，则可断定秘密分享者P j 伪造秘密S i 的子影子I ij .若式（10）满足，则可认为秘密子影子I ij 是正确的.在安全性要求更高的情况下，为了进一步加强安全性（以防对式（10）的其它攻击），P 可以利用第2节中描述的零知识证明协议再次检测P j 所传子影子的（I ij ，c ij ）的合法性.例如，P j 想欺骗接收者P 以使接收方P 不能恢复正确的秘密，他可能用虚假秘密影子x j '代替自己的真秘密影子x j ，计算虚假秘密子影子：I'ij =g x'j i mod N ，也即P 可能收到信息I'ij =g x'j i mod N.但注意到P j 的公钥y j =g x j mod N 是发布在NB 上的，于是P 可以利用第2节中介绍的零知识证明协议来检验是否有x j '=x j ，而不会泄露P j 的秘密影子x j ，这只需将协议中的（g ，h ，G ，H ）替换为（g ，g i ，y j ，I ij ）即可.这时根据P j 的证据（c ij '，y ij ），P 可以检验下式是否成立：c'ij =H'（g ，g i ，y j ，I ij ，g y ij /y c'ij j ，g y ij i /I c'ij ij ）（11）若成立，则确认子影子的合法性.否则，则认为P j 有欺诈行为.秘密恢复算法W 中的每个秘密分享者P 现在可以从NB 上获得｛r i ，h i ｝，从W 中的其他分享者P j 处收到I ij .于是P 可以离线独立计算S i =（!P j"WI jij ）r i -h i mod N （12）其中!j =!P j "W \｛P j｝（-I I ）·!P I"G \W（I j -I I ）（13）因为由下面定理1即可保证：如果秘密分发者遵循分发协议且秘密分享者遵循协议，则P 可正确恢复P d 发送的秘密信息S i .定理1W 中的每个秘密分享者可通过式（12）恢复秘密S i " .证明有了t 个秘密子影子I ij ，与 j （j =1，2，…t ），由Lagrange 插值公式易知a 0=f （0）=#P j"W jf （I j ）!P I"W \｛P j｝（-I I ）（I j -I I ）-1=#P j"W f （I j ）!P I"G \｛P j｝（I j -I I ）-1!P I"G \W （I j -I I ）!P I"W \｛P j｝（-I I ）=#P j"W f （I j ）I -1j !j =#P j"W （x j !j ）（mod N'）于是由下面的推导可得S'i =S iS'i =（!P j"WI !j ij ）r i -h i =（!P j"W （g x j i ）!j ）r i -h i=g #P j"W x j !j i r i -h i =g a 0i r i -h i =S i （mod N ）4安全性分析上述方案的安全性是基于离散对数计算和大数分解的困难性的，因而是计算安全的.尽管子影子I ij 在恢复秘密S i 的计算中在门限组W 中是公开的，但P j 的秘密影子x j 仍可保密.因为由式（8），若已知I ij ，g i 求解x j 等价于离散对数的计算.同样，知道秘密S i 也不会影响其余的秘密S t 的安全性，因为不同的秘密S i 有不同的g i ，r i 来对其进行随机化，因此每个秘密分享者可以利用同一个秘密影子重复产生不同的子影子来恢复不同的秘密，而系统的安全性不会受到影响.欺诈检测一个可验证的秘密分享方案应该为每个秘密分享者提供验证的能力，比如验证：（a ）秘密分发者所提供的秘密影子是属实的；（6）一个秘密分享者发送给另一个秘密分享者的秘密子影子是属实的［4，5，7，8，10］.事实上，在实际通信中，秘密分发者可能给分享者提供虚假的秘密影子；一个秘密分享者也可能给另一个秘密分享者发送虚假的秘密子影子.下面的定理可保证本方案所提供的检测方法的正确性.定理2秘密分发者对秘密影子的伪造可由每个分享者根据式（5a ）识别.证明因为x j =f （I j ）I -1j mod N'，有（g I j）x j=g I j f （I j ）I -1j=gf （I j ）=g#t -1I =0a I I Ij=!t-1I =0（1I ）（I j ）I（mod N ）定理3（子影子离线检测）若子影子I ij 真，则式（10）即c e i j =y j I ij （mod N ）成立.亦即若等式c e i j =y j I ij （mod N ）不成立，则P j 必有欺诈.证明显然有c e i j =（c x j i ）c =（（gg i ）d ）x j e =（g x j ）de g x ji =y j I ij mod N 由此可知，若秘密分享者企图伪造子影子I ij 而逃过检测必须知道RSA 加密体制的私钥，这又等价于破译RSA 因而是困难的.定理4第2节中的零知识证明是正确的.因而若式（11）成立，则可确认P j 所传子影子的合法性.否则可确认P j 有欺骗行为.证明（1）假设（c ，y ）是有效证据，显然有c =H'（g ，h ，G ，H ，g y /G c ，h y /H c ）.（2）反之，若c =H'（g ，h ，G ，H ，g y /G c ，h y /H c ），令x =g y /G ，x'=h y /H c ，由于 是循环群，生成元为g ，因而 中任何一个元素可用g 的幂来表示，于是设有整数 ， ， ， 使得h =g ，H =g ，x =g ，x'=g ，根据x ，x'的定义，可得x =g y /G =g ，x'=h y /H c =g ，即g y -Sc =g ，g y - c =g，从而y -Sc = mod m ， y - c = mod m ，因此可得 - =c （-S ）mod m ，注意到c 为由hash 函数得到的随机值，所以 -S =0modm ，故H =g =g S =h S ，由已知G =g S ，这说明G 与H 相对于底数g ，h 有共同的离散对数.再者，若有必要，子影子的合法性检测可通过式（10）与式（11）两次验证，更进一步加强了本方案的安全性.5结论文中提出的多秘密门限分享方案，具有比较满意的特性，可用于会议秘密分配、安全分布式计算、电子商务等应用领域.若考虑把本方案作适当的改进还可用于具有不同权限（如大会不同密级的文件分发）的秘密分享解决方案.同时，由于它是基于离散对数计算和大数分解的困难性的，所以总体上是计算安全的.当然，本方案是在假定安全信道已存在的情况245电子学报2002年下着重讨论如何检测秘密分发者与秘密分享者的欺诈行为的.若考虑秘密分发者与秘密分享者之间所传信息的认证功能，以避免中间截获攻击，可以采取签名或签密的办法［9］对方案进行加强.感谢Ericsson研究院Roif.J.Bium，Andras Mahes，Gorian Seiander博士对本文初稿的建设性评论.参考文献：［1］E F Brickeii，D M Daveport.On the ciassification of idea secret sharing scheme［J］.J Cryptoiogy，1991，4（2）：123-134.［2］P A Fougue，G Poupard，J Stern.Sharing decryption in the context of voting or iotteries［A］.Proceedings of Financiai Cryptography2000［C］.Beriin：Springer Veriag，2000.90-104.［3］M Tompa，H Woii.How to share a secret with cheaters［J］.Journai of Cryptoiogy，1988，1（2）：133-138.［4］B Chor，S Goidwasser，S Micaii，B Awerbuch.Veriabie secret sharing and achieving simuitaneity in the presence of fauits［A］.Proceedings of26th FOCS［C］.1985.251-260.［5］M Stadier.Pubiiciy verifiabie secret sharing［A］.Advances in cryptoio-gy-Eurocrypt'96［C］.Beriin：Springer Veriag，1996.190-199.［6］R G E Pinch.Oniine muitipie secret sharing［J］.Eiectronics Letters，1996，32（12）：1087-1088.［7］R Gennaro，S Micaii.Verifiabie secret sharing as secure computation ［A］.Advances in cryptoiogy-Crypto'94［C］.Beriin：Springer Veriag，1995.168-182.［8］L Harn.Efficient sharing of muitipie secrets［J］.IEE Proc-Comput Digit Tech，1995，142（3）：237-240.［9］张福泰，王育民，郑东.用签密构造可验证秘密分享方案［A］.CCICS’2001论文集［C］.北京：科学出版社，2001.244-248.［10］F Boudot，J Traor'.Efficient pubiiciy verifiabie secret sharing schemes with fast or deiayed recovery［A］.Lecture Notes in Computer Science1726［C］.Beriin：Springer Veriag，1999.87-102.作者简介：何明星男，1964年生于四川省南江县，1990年获重庆大学应用数学专业硕士学位，现为四川工业学院计算机科学与工程系副教授，西南交通大学计算机与通信工程学院通信与信息系统专业博士生，主要研究兴趣为网络与信息安全、电子商务.范平志男，1994年获英国Huii大学通信工程专业博士学位，现为西南交通大学计算机与通信工程学院教授，博士生导师，IEEE高级会员，国家杰出青年基金获得者，主要研究兴趣为移动通信、无线IP、网络与信息安全.（上接第535页）参考文献：［1］U M Maurer.Secret key agreement by pubiic discussion from common information［J］.IEEE Trans IT，1993，39（3）：733-742.［2］M J Gander，U M Maurer.On the secret key rate of binary random vari-abies［A］.Proc.of the1994IEEE Symp on Information Theory［C］.1994.351.［3］U M Maurer.Protocois for secret key agreement based on common in-formation［A］.Advances in Cryptoiogy-CRYPTO’92，Lecture Notes inComputer Science［C］.Beriin：Springer-Veriag，1993.740：461-470.［4］Christian Cachin.Enropy measures and unconditionai security in cryp-tography［D］.ETH，1997.［5］Stefan rmation-theoreticaiiy and computationaiiy secure key agreement in sryptography［D］.ETH，1999.345第4期何明星：一个可验证的门限多秘密分享方案一个可验证的门限多秘密分享方案作者：何明星， 范平志， 袁丁作者单位：何明星(西南交通大学计算机与通信工程学院,四川成都,610031四川工业学院计算机科学与工程系,四川成都,610039)， 范平志(西南交通大学计算机与通信工程学院,四川成都,610031)， 袁丁(西南交通大学计算机与通信工程学院,四川成都,610031四川大学电子信息学院,四川成都,610065)刊名：电子学报英文刊名：ACTA ELECTRONICA SINICA年，卷(期)：2002,30(4)被引用次数：29次1.E F Brickell;D M Daveport On the classification of idea secret sharing scheme 1991(02)2.P A Fouque;G Poupard;J Stern Sharing decryption in the context of voting or lott eries 20003.M Tompa;H Woll How to share a secret with cheaters 1988(02)4.B Chor;S Goldwasser;S Micali;B Awerbuch Veriable secret sharing and achieving si multaneity in the presence of faults 19855.M Stadler Publicly verifiable secret sharing 19966.R G E Pinch Online multiple secret sharing[外文期刊] 1996(12)7.R Gennaro;S Micali Verifiable secret sharing as secure computation 19958.L Harn Efficient sharing of multiple secrets[外文期刊] 1995(03)9.张福泰;王育民;郑东用签密构造可验证秘密分享方案 200110.F Boudot;J Traor′Efficient publicly verifiable secret sharing schemes with fas t or delayed recovery 19991.潘红艳.蔡光兴一个新的基于门限RSA的分布式认证服务方案[期刊论文]-科技信息2010(7)2.张旭.赵翔探讨引入素域建立的门限RSA方案[期刊论文]-硅谷2009(4)3.李国文.李大兴.LI Guo-wen.LI Da-xing一种可验证的门限RSA签名方案[期刊论文]-计算机应用研究2007,24(5)4.崔竞松.彭蓉.CUI Jing-Song.PENG Rong门限RSA中的子密钥优化分配算法[期刊论文]-计算机学报2005,28(6)5.郭振.张建中.GUO Zhen.ZHANG Jian-zhong基于RSA的防欺诈的动态多重秘密共享方案[期刊论文]-计算机工程与应用2010,46(12)6.王贵林.卿斯汉.王明生Shoup门限RSA签名方案的改进[期刊论文]-计算机研究与发展2002,39(9)7.毕越.侯整风.BI Yue.HOU Zhengfeng一个基于向量空间秘密共享的新成员加入协议[期刊论文]-计算机工程与应用2011,47(16)8.韩忠.Han Zhong基于RSA门限密码体制[期刊论文]-计算机光盘软件与应用2010(16)9.张鹏门限数字签名相关特性研究[学位论文]200410.张文芳.何大可.王小敏.郑宇.Zhang Wen-fang.He Da-ke.Wang Xiao-min.Zheng Yu基于新型秘密共享方法的高效RSA门限签名方案[期刊论文]-电子与信息学报2005,27(11)1.晋玉星.茹秀娟一个新的广义秘密共享方案[期刊论文]-计算机工程 2009(17)2.陈桂强.王丽琴一种分布式动态的多秘密共享方案[期刊论文]-微计算机信息 2008(6)3.雷跃荣.詹旭.杜玲艳群密钥分配技术研究[期刊论文]-四川理工学院学报（自然科学版） 2008(2)4.陈桂强.王丽琴.袁志成.刘钰.马艳丽一种动态(t,n)门限的多级多秘密共享方案[期刊论文]-通信技术 2009(7)5.彭银桥.甘元驹.周继承基于广义接入结构的防欺诈多秘密分享方案[期刊论文]-计算机工程 2006(13)6.左振元.谢琪一种动态(t,n)门限多秘密分享方案的分析[期刊论文]-杭州师范学院学报(自然科学版) 2008(6)7.高萍.李伟华基于身份的Ad Hoc网络群签名算法设计[期刊论文]-计算机仿真 2008(7)8.甘元驹.谢仕义.付东洋防欺诈的动态(t,n)门限多秘密共享方案[期刊论文]-四川大学学报（工程科学版） 2006(6)9.莫乐群.姚国祥无可信中心的(t,n)门限签名方案的安全性分析[期刊论文]-计算机工程与设计 2009(21)10.甘元驹.谢仕义.付东洋.李小立防欺诈的广义多秘密分享方案[期刊论文]-电子科技大学学报 2008(1)11.黄东平.刘铎.王道顺.戴一奇一种安全的门限多秘密共享方案[期刊论文]-电子学报 2006(11)12.杜红珍.张建中一个高效的广义动态多秘密分享机制[期刊论文]-计算机应用研究 2006(7)13.谢琪.于秀源.王继林一种安全有效的(t,n)多秘密共享认证方案[期刊论文]-电子与信息学报 2005(9)14.李雄.李志慧动态防欺诈的多组秘密共享方案[期刊论文]-计算机工程与应用 2008(27)15.黄东平.刘铎.戴一奇安全的多级门限多秘密共享[期刊论文]-清华大学学报（自然科学版） 2007(4)16.黄挚雄.黎群辉.危韧勇.李志勇一种防欺骗的广义多秘密分享方案[期刊论文]-铁道学报 2007(6)17.肖攸安.李腊元数字签名技术的研究[期刊论文]-武汉理工大学学报(交通科学与工程版) 2002(6)18.宋法根.刘振海.梅江林一种改进的BLP模型[期刊论文]-制造业自动化 2012(16)19.张建中.侯建春一个新的可验证的（t,n）多秘密共享方案[期刊论文]-陕西师范大学学报：自然科学版 2012(5)20.张青坡.王立鹏.陈鲁生可用于公开信道的密钥共享方案[期刊论文]-计算机工程与应用 2005(8)21.赵恒.权义宁.胡予濮一种新的P2P数据共享解密授权方案[期刊论文]-西安电子科技大学学报（自然科学版）2005(5)22.于佳.李大兴.范玉玲基于加法共享的可验证秘密再分发协议[期刊论文]-计算机研究与发展 2006(1)23.刘锋.何业锋.程学翰动态的(t,n)门限多秘密分享方案[期刊论文]-计算机应用研究 2008(1)24.甘元驹.谢仕义.沈玉利.周美娟基于RSA与DLP可证实的多秘密分享方案[期刊论文]-小型微型计算机系统 2006(3)25.魏楚元安全群组通信中分布式密钥管理协议的研究[学位论文]硕士 200526.白凤伟.闫德勤.张鑫彦.郑宏亮二次剩余下改进He-Dawson的多秘密共享方案[期刊论文]-计算机工程与应用2011(13)27.甘元驹.谢仕义.沈玉利.周美娟基于RSA与DLP可证实的多秘密分享方案[期刊论文]-小型微型计算机系统 2006(3)28.何明星面向群组的分布式密钥管理协议[期刊论文]-西华大学学报（自然科学版） 2006(6)29.赵恒P2P网络中信誉体制的安全性研究[学位论文]硕士 2005引用本文格式：何明星.范平志.袁丁一个可验证的门限多秘密分享方案[期刊论文]-电子学报 2002(4)。

(t,n)门限的动态秘密共享方案许春根;杨彦炯;窦本年;韩牟【期刊名称】《计算机工程与应用》【年(卷),期】2009(045)022【摘要】Secret sharing is one of the important way to save securely important information and data.In this paper,it discusses some typical schemes on the threshold secret sharing scheme,and analyzes the shortcomings of these scheme in applications.InAmir-Herzberg's dynamic scheme,when all of shareholders want to update,then they can update the old secret shadow.This paper presents a threshold dynamic secret sharing scheme to improve Amir-Herzberg's dynamic scheme,and some of the shareholders (maybe less than the threshold) can update the old secret shadow with new secret shadows periodically.This scheme has a better flexibility under the specific condition.%秘密共享是安全地保存信息和数据的一种重要方法,介绍了一些典型的门限秘密共享方案以及分析了它们的一些不足.在Amir-Herzberg动态方案中必须所有参与者要求更新子秘密时,才可以发起更新子秘密.对Amir-Herzberg动态方案进行了改进,只要参与者中的部分人(甚至少于门限值)就可发起更新子秘密,此方案在某些条件下更具有灵活性.【总页数】3页(P66-67,171)【作者】许春根;杨彦炯;窦本年;韩牟【作者单位】南京理工大学应用数学系,南京210094;南京理工大学紫金学院,南京210094;南京理工大学应用数学系,南京210094;南京理工大学计算机学院,南京210094【正文语种】中文【中图分类】TP309.2【相关文献】1.抗欺诈的动态(t,n)门限秘密共享方案 [J], 贾秀芹;赖红2.一种动态门限多组秘密共享方案 [J], 乔晓林;张建中3.基于双线性对的动态门限多秘密共享方案 [J], 黄伟达;姚国祥;沈瑞雪4.改进的动态可验证的(t,n)门限秘密共享方案 [J], 赖红;李志慧;郭玉娟5.自选子密钥的动态门限多重秘密共享方案 [J], 白雪鹏;刘焕平因版权原因，仅展示原文概要，查看原文内容请购买。