基于多线性diffie-hellman问题的秘密共享方案-openrepositoryof

基于多线性Diffie-Hellman问题的秘密共享方案
彭巧1, 田有亮1, 2
(通信作者: 田有亮)
贵州大学，理学院，贵阳,550025,中国1
(Email: *****************)
贵州大学，密码学与数据安全研究所，贵阳，550025，中国2
摘要：利用多线性映射的多线性对性质，基于多线性Diffie-Hellman困难问题提出一种可验证的秘密共享方案.在方案中，应用多线性映射的多线性性质对子秘密进行验证的方法来实现秘密共享的可验证性功能.同时,在理论上证明方案的正确性和安全性.更为重要的是,该方案的信息率为m/(m+1)(m为共享秘密向量的维数),是渐进最优的.与已有的方案相比,本方案在相同的安全级别下有较高的信息率.因此,从这个角度来说,该方案提高了其通信效率,能更好地满足那些对通信效率要求更高的应用场景.
关键词：可验证的秘密共享；多线性映射；MDL；MDH假设
A Secret Sharing Scheme Based on Multilinear Diffie-Hellman Assumption
Qiao Peng1, Youliang Tian 1, 2
(Corresponding author: Youliang Tian)
College of Science, Guizhou University,Guiyang ,550025,China 1
(Email: *****************)
Institute of Cryptography and Data Security, Guizhou University,Guiyang ,550025,China 2
Abstract:Using multilinear pairing properity of multilinear mapping,we propose a verifiable secret sharing scheme based on multilinear Diffie-Hellman problem.In the program,application of the method that multilinear pairing properity of multilinear mapping of the sub-secret authentication to achieve verifiable function of secret sharing.At the same time,the security and correctness of the scheme are proved theoretically.More importantly,the program's information rate is m/(m+1) (m is the dimension of the shared secret vector),which is progressive pared with the existing program,this scheme under the same security level has a higher information rate.Therefore,form this perspective,this program improves its communication efficiency and is better able to meet those higher efficiency of the communication requirements of the application scenario.
Key words: Verifiable secret sharing; Multilinear Mapping; Multilinear discrete logarithm; Multilinear Diffie-Hellman assumption
1 引言
秘密共享是一种分发、保存以及恢复秘密密钥的方法.首先提出秘密共享方案的是1979年,著名密码学家Shamir[1]和Blakley[2],他们分别基于Lagrange插值多项式和射影几何理论提出门限秘密共享方案，但该秘密共享方案中存在的2个问题.1)秘密分发者的诚实性：若分发者将错误的子秘密分发给部分或全部参与者,各参与者如何验证发送来的子秘密的真伪？2)参与者的诚实性：在恢复秘密阶段,若某些恶意的参与者提供的是假的子秘密,那其他参与者如何鉴别?对这2个问题的研究,就形成了可验证的秘密共享方案(简记为VSS).首次提出这种思想的是文献[3],而Feldman[4]的工作则使VSS方案引起了众多密码研究者的重视.但是,无论在Shamir的一般秘密共享方案中,还是在VSS方案中,都需要假设秘密分发者和各参与者之间有秘密信道(private channel),以便分发子秘密,但文献[4]的研究存在诸多不足.于是,随着双线性对技术的产生,文献[5]通过使用双线性映射计算方程,提出了一种新的公开可验证的秘密共享方案,它更容易检测出分发者和参与者的不诚实行为,解决了上述方案
的不足之处.文献[6]基于椭圆曲线上的信息论安全设计的可验证秘密共享方案,利用双线性对的双线性性质,提高了方案中子秘密验证的有效性.文献[7]基于双线性对提出公开可证明安全的秘密共享方案,但它需对每个共享秘密作与计算,因而计算量较大.不过,上述方案的安全性都是基于传统的离散对数或大数分解的密码算法.虽然在文献[9]中提出了基于NTRU 算法的秘密共享方案,但该方案只能恢复单个秘密,存储量也比较大.另外,许春香等人[10]将向量作为秘密,提出了预防欺诈的矢量空间秘密共享方案,其存储量较小,但该方案在初始化的子秘密更新阶段,始终需要一位值得信赖的分发者参与,这在实际的网络环境中是不可能的.
随着多线性映射[11-13]在公钥密码方面的成功应用,如文献[12]利用多线性映射这一实用工具,使用一次签名算法提升了加密方案的安全性.因而利用多线性映射构造秘密共享方案是一种新的尝试.从已引用的文章可看出,为了构造出计算量小、通信量更低的算法又会导致方案的信息率相对降低,几乎所有的文献的信息率为1/2,文献[6]中最高达到了2/3.而信息率是度量秘密共享方案效率的一个至关重要的因素，因而构造出信息率较高的秘密共享方案是非常重要的.鉴于以上考虑,本文在文献[6]和[10]的基础上,将m 维向量作为秘密,利用多线性映射的多线性对性质，基于求解多线性离散对数(MDL)和多线性计算性Diffie-Hellman(MDH)的困难性上,提出一个新的可验证秘密共享方案,其信息率为m /(m +1),达到了渐进最优.该方案的另一优点是秘密分发者D 不需为各位参与者计算各自的秘钥,也不需要执行复杂的交互式协议,但信息率却可达到渐进最优.另外,本方案应用多线性映射的多线性性质对子秘密进行验证,从而实现了秘密共享的可验证性功能,相对于现有基于传统的离散对数或大数分解的密码算法,该方案还具有设计合理、简单,计算量小的特性,与目前同类型的方案相比在信息率上具有较大的优越性.
2 预备知识
2.1多线性映射
定义1 设1(,)G +,2(,)G ⋅分别是阶为q 的循环加法群和循环乘法群，其中q 为素数。

则多线性映射12:n
n e G G →有以下性质：
①多线性：对所有
121,,,n g g g G ∈和
*
12,,,n q a a a Z ∈，有1122(,,,)n n n e a g a g a g =
1212(,,,)
n
a a a n n e g g g .
②非退化性：若元素1g G ∈是1G 的一个生成元，则
12(,,,)n n e g g g 是2G 的生成元.
③可计算性: 对所有121,,,n g g g G ∈，存在一个有效
的算法计算12(,,,)n n e g g g ，称映射12(,,
,)
n n e g g g 为多线性映射. 2.2 Diffie-Hellman 问题
Diffie-Hellman 问题可如下定义：对于加法循环群
G g =<>,已知G 中两个元素1g ag =和2g bg =,以及
G 的生成元g ,但不知道a 和b ,计算3g abg =是困难的.
2.3 复杂性假设
定义2 多线性离散对数问题(MDL)设G 是q 阶有限循环群,对所有1,1k i k >≤≤以及i g G ∈，给定(),,i i i g ag ，对任意的*
q a Z ∈,求解a 是困难的.
定义3 n 阶多线性映射计算Diffie- Hellman(n -MDCH 或n -MDH)问题: 在12(,,)G G e 中，其中12,G G 均是阶为p 的群，随机选取1,a ，2,
,n p a a Z ∈ 对于给定的1,,P a P 2,
,n a P a P 计算()12
2,,
,n
a a
a n e P P P G ∈.
MDH 假设可描述为：算法A 在概率多项式时间内,以不可忽略的优势求解MDH 问题是困难的.
3 本文提出的秘密共享方案
3.1方案描述
假设有秘密分发者D 需在n 个参与者1
2
{,,,P P P =
}n
P 间共享秘密向量()'''121
,,,,m
S S S S G =∈'*,i
q
S Z
∈
1,2,,i m =.仅当t 个或t 个以上的参与者联合起来才能恢
复共享秘密,任意t -1或者更少的参与者既无法重构出秘密也得不到关于秘密的任何信息.
具体方案包括以下4个部分：系统初始化、秘密分发阶段、子秘钥的验证阶段和秘密恢复阶段.
系统初始化.设1(,)G +是素数阶的加法循环群,其阶为q ，q 为素数；P 为它的生成元；设有q 阶乘法循环群2(,)G ⋅，且它与1G 之间存在多线性映射12:m
m e G G →,能被有效计
算;1G 和2G 上的离散对数都是难解的;设m 维向量构成的秘密记作'
'
''*
121(,,
,),,1,2,
,m i q S S S S G S Z i m =∈∈=.
秘密分发阶段.分发协议包括以下5个步骤.
1)秘密分发者D 公布秘密S 的承诺：
()00,C e r P S == ()''
'
*10120,,,
,,m m q e r P S S S r Z +∀∈.
2)秘密分发者D 选取1[]G x 上的次数不超过t -1的秘密多项式2
10121()t t F x F F x F x F x --=+++
+,满足S =
''01(0)(,,)m F F S S ==,多项式系数为向量11,1(,F f =
1,21,22,12,22,,,),(,,
,),,m m f f F f f f =11,1(,t t F f --= *
1,21,,,
),t t m i j q
f f f Z --∈其中{}1,
,1,i t ∈-{1,2,j ∈
,}m ,接下来计算秘密份额()12,,,i i i im S S S S ==
()F i ，*ij q
S Z ∈，其中1,
,,1,
,i n j m ==.
3)秘密分发者D 随机选取*
11,,t R q g g Z -∈,并广播
承诺(
),j j j C e g P F =()1
12,,,
,m j j j jm e g P f
f f +=,其
中1,
,1j t =-.
4)设t -1次多项式()111t t g x r r x r x --=++
+,其中0r r =，D 计算()*
,1,2,
,i q r g i Z i n =∈=.
5)秘密分发者D 秘密发送子秘钥(,)i i S r (其中
()12,,,i i i im S S S S =)给,1,2,
,i P i n =.
子秘钥的验证阶段.参与者i P 接收到(,)i i S r 后，可通过下式(1)来验证接收到的子秘密的正确性:
112(,)(,,,
,)i i m i i i im e r P S e r P S S S +=
1
1
()
j m t t i
i j j C C +-==
⋅∏ (1)
秘密恢复阶段.当至少t 个参与者i P （i N ∈且||N t ≥）拿出他们各自拥有的正确子秘密(),i i S r 后,即可利用
L a g r a n g e 插值多项式来恢复秘密S 和r ：
()()Ni i i N
Ni i
i N S L i S r L i r ∈∈⎧=⋅⎪⎨=⋅⎪⎩
∑∑ (2)
其中()Ni L i 为插值系数,且\{}
()j Ni j N i i j
x x L x x x ∈-=-∏
,
向量()12,,
,,1,2,
,i i i im S S S S i n ==.
随后可利用公开信息0C 来验证(),i i S r 的正确性：()'''01012,(,,,
,)
m m C e rP S e r P S S S +==. 3.2 正确性和安全性分析 首先证明(1)式的正确性.
证明 因为00
(),(,),i S F i C e r P S ==及(,)j j j C e g P F =
1,1,2,(,,,,)m j j j j m e r P f f f +=所以有下面的(3)式
()()111,,t i i m i t i e r P S e r P S F i F i -+-=++
+
()()()11,,,t i i i t i e r P S e r P F i e r P F i --=⋅ (3)
以及下面的(4)式
()()
1
1011,,t i i m t i e r P S e r P r iP r i P S -+-=+++()()
()1011,,,t i i t i e r P S e r iP S e r i P S --=⋅ (4)
又因为
()()()()000
,,,,i i i i i e r P S e r P S e r P S e r P S C C ⋅=⋅=⋅1
1
1111111,11,21,111,11,21,()
1(,)(,)(,)(,)(,,,,)(,,,,)
m m i i i i i m m i i m m i i e r P F i e r iP S e r P S e r iP F i C e r iP f i f i f i C e r P f f f C C ++++⋅=⋅=⋅=⋅=⋅
11
111111111111,11,21,()
1
(,)(,)(,)(,)(,,,
,)
t m t t i t t i t t i i t t t i m t t t t m i
i t e r P F i e r i P S e r P S e r i P F i C e r i P f i f i f i C C -+---------+-----⋅=⋅=⋅=⋅
则用式(3)(4)得
()()
()()()()()()()(
)(
)
()
11
11
1011111()
()
011
1
0,,[,,][,,][,,]m m t j
m i i i i i i i i i t t i t t i i i
i i i t t i t
i
j
j e r P S e r P S e r P S e r P S e r P F i e r iP S e r P F i e r i P S C C C C C C C C ++-+------=⋅=⋅⋅⋅⋅=⋅⋅⋅⋅=⋅∏
则11
()
(,)m j
t t i
i i i
j
j e r P S C C +-==⋅∏，
其中()1,,i i im S S S =,证毕.
安全性分析.
引理1 该秘密共享方案中,对在1G 上的秘密多项式
()F x 的系数011,,
,t F F F -承诺011,,,t C C C -是安全的
⇔假设MDH 成立.
证明 1) ⇒反证法.假设该方案中的承诺算法是安全的,但
MDH 假设不成立.则由MDH 假设不成立知,存在算法A ：对于1G 中已知的()*
112,,
,,,,m m R q P a P a P a a a Z ∈， 算法A 能以优势ε计算出()12
,,
,m
a a
a m e P P P .下面证明,
上述承诺算法能被算法A 攻破.然而要攻破上述承诺算法,只需从承诺i C 中计算出i F 即可.为此,在*
q Z 中随机选取2m 个元素12,,,,m ααα''
'
12,,
,m ααα,然后分别向A 提供
输入1(,,
P P α2,,)m P P αα及''
12
(,,,,P P P αα'
)m
P α. 由于该输入是随机选取的,因而由假设知A 将以优势ε分别
输出12(,,,)m m e P P P ααα和12'''
(,,,)m m e P P P ααα.
又因为''
'
12
1
2
(,
,)(,,)
m
m i m m C e P P e P P αααααα=⋅,则
由多线性映射的多线性可得()()12
,,,m
m e P P P ααα=
()
;;'
12/,,,m
i m C e P P P ααα⋅,从而可得系数向量i F .这与承
诺算法是安全的矛盾,因而假设不成立,从而MDH 假设成立.
2)⇐反证法.假设MDH 假设成立,但所提方案中的承诺算法
是不安全的.那么由承诺算法的不安全性知,存在算法B:当向算法B 输入1G 中任何随机元素1211,,,m R Q Q Q G +∈时,系数i F 能被算法B 以优势ε计算出,且i F 满足:(,i i C e F =
111)(,
,,)i m m m r P e Q Q Q ++=,若设12(,,
,i F P P αα= *),,1,2,
,m i q
P Z i m αα∈=及1122,,
,Q P Q P ββ==
11,m m Q P β++=其中*,j R q
Z β∈1,
,1j m =+.则算法B
以优势ε计算出的系数向量i F 将满足112(,,m e P P ββ+ 1112,)(,,,,)i
m m m P e P P P r P βααα++=.由多线性性可得
121
12
111
(,,
,)
(,,
,)
(,,
m m
i r m m m e P P P e P P P e P P βββααα+
+++=⇒
1
12
121()1,)(,,
,)m i m r m P e P P P αααβββ-+⋅+=,整理上式可
得111
1
11122()()
()()1(,,
,)m m i m r m e P P P αββαβαβ----+⋅⋅+
1(,,
,)m e P P P +=.
令11
11
11122211
,,,,m m m m i m a a a a r αβαβαββ----++====,则有12
1
11(,,
,)(,,
,)m a a a m m e P P P e P P P +++=,这表明算
法B 对于1G 中给定的1,,,P a P ,m a P 11(,m a P a +2,
,
a
*
1)m R p
a Z +∈,它都能够以不可忽略的优势计算出
12
1
1(,,
,)m a a a m e P P P ++.这表明MDH 假设不成立!即它与
上述假设矛盾.所以,若MDH 假设成立,则上述方案中的承诺
算法就是安全的.
综合1)和2),根据反证法可证得,所提方案中的承诺算法是安全的⇔MDH 假设成立.
引理2 所提秘密共享方案中,若MDH 假设成立,则1t -个参与者的任意组合都不可能恢复出共享秘密S .
证明：用反证法.假设1t -个参与者组合能够恢复出秘密S .不失一般性,假设这1t -个参与者记为11,,t P P -.下面证明,
对任意给定的12,,,
,m bP a P a P a P ,其中12,,,
,b a a
*
m p
a Z ∈,存在攻击者∧利用这1t -个参与者作为预言机()Oracle ,就能将12
1(,
,)
m
ba a a m e P P +计算出.不妨设12,,a a
,,m a b 是随机元素,否则就用与之不同的元素'
'1
2
',,,b a a
',m a 对12,,,,m bP a P a P a P 进行随机化.
下面为攻击者∧构建一个模拟的VSS 系统,使得当用11,,t P P -作为预言机时,可得出121(,
,)m ba a a m e P P +.构建模拟的VSS 系统分为以下5个步骤： (1) 攻击者∧设定()0112,,,,m m C e bP a P a P a P +=;通过对0C 作这样的设定,()0F =()12,,
,m a P a P a P 以及
()0g b =就可以隐含被确定出.
(2) 在*
1q
G Z ⨯中随机选取1t -组m +1维向量((1),(1)),F g
((2),(2)),
,((1),(1))F g F t g t --,则由(1)中确定的()0F
和()0g 的值,多项式()F x 和()g x 就可以被固定下来了. (3) 攻击者∧计算前1t -个多线性对()1,(,i i m i e r P S e r P +=
12,,,),1,2,
,1i i im S S S i t =-的值.
(4) 因为()0F 和()0g 的值是隐藏在承诺0C 中的,所以
()()(),,,1,
,F i g i i t t n =+的值无法被攻击者∧计算
出来；但是,攻击者∧可以根据Lagrange 插值公式计算出余下的1n t -+个(),i i e r P S 的值,其中,1,,i t t n =+.
(5) 攻击者∧计算承诺向量()1,2,,1i C i t =-.由于多
项式()F x =11
t i
i
i S F x
-=+
∑和()11
t i
i
i g x r g x
-==+
∑,故可以
得到如下方程组：
()()()()()()()()()()()()()()()()()()
()()()()()()()()()
()()()21221
2212
212
101111111111121211111111111,,,0,0,,,1,1,,,2,2,,,1,1t t t t q t t t t t t t t t t e rP S e g P F e g P F e g P F e rP S e g P F e g P F e g P F e rP S e g P F e g P F e g P F e rP S e g P F e g P F e g t P F t --------------⎧⋅=⎪
⎪⋅=⎪⎪⎪⋅=⎨⎪⎪⎪⋅⎪
⎪=--⎩
在上述1t -个方程中,攻击者∧只知道m +1维向量
()()()1,1,F g ()()()()()()2,2,,1
,1F g F t g t --的
值,而()0F 和()0g 的值是未知的,因此它无法求出向量
11,,
,t S F F -及未知量11,,
t r g g -的值.但是对于攻击者
来说,承诺值0C 是已知的,故∧利用0C 和上述方程组可以求出承诺()1,2,
,1i C i t =-.
因此,就构建出了攻击者∧的模拟的VSS 系统.当∧向这1t -个参与者(1,2,
,1)i P i t =-提供这一系统的相关信息时,这些参与者的个人观察是相互一致的.那么根据假设知这1t -个参与者可以恢复出共享秘密向量S =F (0),且它满足()()()()112,,,
,0,0m m e bP a P a P a P e g P F +=由多线性
映射的多线性性得()
()121,,
,(0,m
ba a a m e P P P e g P +=
()0)F .由于多线性对在这个模拟的VSS 系统中可以被有
效的计算,这表明MDH 问题能被这1t -个参与者求解.这与MDH 假设成立相矛盾,从而引理得证.
定理1 该秘密共享方案的安全性基于多线性映射的MDL 和MDH 的难解性.
证明 1.由引理1及其证明知,承诺011,,,t C C C -是安全的,是基于MDH 假设成立这一前提.2.在秘密分发阶段,假
设存在攻击者欲从公布的承诺011,,
,t C C C -中获取
011
,,
,t F F F -和011,,,t r r r -,则他必须要求解MDL 和MDH.3.由引理2知,对1t -参与者联合不能恢复共享秘密S
这一引理的证明也是基于多线性对的MDH 的难解性.4.攻击者欲从验证式(1)中求解子秘密(),i i S r ,必须求解MDL 和MDH.综上所述,本方案的安全性是基于多线性映射的MDL 和MDH 的难解性的. 3.3 信息率
本节主要考虑方案的信息率.我们知道信息率是协议效
率的体现,信息率越高,秘密共享体制的数据扩散程度越小，协议安全性就越高,所以我们希望能构造出信息率渐进最优的秘密共享方案.而在本方案中,由于其共享秘密为m 维向量'''11(,,),,1,
,m i S S S S G i m =∈=，所以||||S m q =⋅；
方案中子秘密为(),i i S r ，其中i
S =11(,,)i im S S G ∈,且
*
i q r Z ∈.因此,|(,)|i i S r =||||||||i i S r m q q +=⋅+.所以根
据信息率的定义知,本方案的信息率为：
()||||1|,|||||1
SS i i m q S m IR S r m q q m ⋅===→⋅++
由此可见,本文方案的信息率达到了渐进最优. 3.4 性能分析
1) 计算量上来看.本文方案的秘密分发者D 不需为各位
参与者计算相应的子秘密,而文献[14]和文献[15]以及文献[17]中均需要为各参与者计算相应的子秘密,因而本方案在子秘密的产生上节省了计算开销.在秘密分发阶段,秘密分发者需要为每一个参与者计算需要的群1G 上的多线性对次数是2t 次,且所需的主要运算和参与者数目n 成线性关系;在子秘密的验证阶段,共需要m 次多线性对运算,m 次数乘运算,本方案较文献[15]和文献[17]在计算量上有明显的优势;在秘密恢复阶段,计算量为群1G 上t 次数乘运算.另外,可发现,本文方案的主要运算开销与参与者数目成线性关系,而且在秘密分发阶段中我们对有些计算可以作预处理，这样可以大大提高秘密分发的效率.
2) 从信息率上来看.文献[15]和文献[16]中方案的信息率都是1/2;文献[17]和文献[6]的信息率分别是1/5,2/3;而本方案中应用多线性映射的多线性构造的方案其信息率几乎为1,达到了渐进最优.可见本方案在相同的安全级别下有较高的信息率,其秘密共享体制的数据扩散程度较小,安全性相对较高,因而本方案在信息率上具有明显的优势,能更好地满足那些对通信效率要求更高的应用场景.另外,本文是基于多线性映射这一工具,将一个m 维向量作为秘密而构造的可验证方案,这是构造秘密共享方案的一个新的尝试. 3)从存储量上来看.本方案存储主要包括秘密信息的存储和公开信息的存储.对于秘密分发者来说,需要保密的信息为t -1次秘密多项式()F x ,其长度为mt ，而文献[18]中需要存储的是n 次多项式的长度,存储量明显比本方案大;对于参与者来说,需要对子秘密(,)i i S r 进行保密,它是m +1维向量,其长度为m +1,与已存在方案存储量相差不大;公开信息的存储就是对承诺值的存储,其大小与参与者数目成线性比例,由于公开信息的泄露不会对系统造成任何影响,因此,可以将这些信息由一个或多个参与者共同存储,以便合理利用系统,不会给系统造成过重的存储负担.
4 结束语
在可验证秘密共享方案研究中,要构造信息论安全的且其信息率为1的秘密共享方案一直是一个挑战.本文基于多线性映射,成功构造信息率近似最优的可验证秘密共享方案.
在方案中,主要利用多线性映射的多线性性质对子秘密进行验证的方法来实现秘密共享的可验证性功能.对方案的正确性和安全性进行分析,其结果表明所提方案是信息论安全的. 参考文献：
[1] SHAMIR A. How to Share a Secret[J].Communications of the ACM,
1979, 22(11): 612-613.
[2] BLAKLEY G R. Safeguarding Cryptographic Keys[C]//Proceedings
of the National Computer Conference. Germany: Springer- Verlag, 1979，48: 313-317.
[3] CHOR B, DOLDWASSER S, MICALI S, et al. presence of faults[A].
Proc 26th IEEE Symposium on Foundations of Computer Sciences (FOCS'85)[C]. Los Angeles, 1985. 383-395.
[4] FELDMAN P. A practical scheme for non-interactive verifiable secret
sharing[A]. Proc 28th IEEE Symposium on Foundations of Computer Science (FOCS’87)[C]. 1987.427-437.
[5] HEIDARV AND S, VILLAR J L. Public verifiability from pairings in
secret sharing schemes[ C] SAC 2008, LNCS 5381: 294 308 [6] 田有亮,马建峰,彭长根.椭圆曲线上的信息论安全的可验证秘密共
享方案 [J].通信学报，2011,32(12).
TIAN Y L, MA J F, PENG C G. Information-theoretic secure verifiable
secret sharing scheme on elliptic curve group [J].Journal on Communication,2012,32（12）.
[7] MTOPA H.How to share a secret with cheaters[J].Journal of
Cryptology,1988,1(2):133-138.
[8] BONEH D, FRANKLIN M. Identity-based encryption from the Weil
pairing[J]. SIAM, J Compute, 2003, 32(3):586-615.
[9] BAI F,et al.The IMPORTANT Framework for Analyzing the Impact of
Mobility on Performance of Routing for Ad Hoc Net-works[J].Ad Hoc Networks,2003,1(4):383-403
[10] 许春香,傅小彤,肖国镇.预防欺诈的矢量空间秘密共享方案[J].西
安电子科技大学学报：自然科学版，2002,29(4):527-529. XU C X,FU X T,XIAO G Z.A vector space secret sharing scheme
against cheating[J].Journal of Xidian University:Natural Science,2002,29(4):527-529.
[11] CORON J S,LEPOINT T,TIBOUCHI M.Practical multilinear maps
over the integers[C]//Advances in Cryptology-Crypto,2013.BERLIN: SPINGER-VERLAG,2013;476-493.
[12] 张敏情,张腾飞,王绪安.基于多线性映射的可公开验证加密[J].武
汉大学学报，2014,60（6）: 507-512.
ZHANG M Q ，ZHANG T F ，WANG X A.Publicly Verifiable
Encryption in Multilinear Maps[J].Journal of Wuhan Uiversity, 2014,60(6):507-512.
[13] Coron J S,Lepoint T,Tibouchi M.Pratical multilinear maps over the
inters[C]//Advances in Cryptology-Crypto 2013.Berlin:Springer-
Verlag,2013:476-493.
[14] 田有亮,彭长根.基于双线性对的可验证秘密共享方案[J].计算机应
用, 2007, 27 (B12): 125-127.
TIAN Y L, PENG C G. Verifiable secret sharing scheme based on
bi-linear pairing[J]. Computer Applications, 2007,27(B12): 125-127.
[15] 田有亮,彭长根.基于双线性对的可验证秘密共享方案及其应用
[J].计算机工程, 2009, 35 (10): 158-161.
TIAN Y L, PENG C G. Verifiable secret sharing and its applications
based on bilinear pairings[J]. Computer Engineering, 2009, 35(10): 158-161.
[16] PEDERSON T P. Non-interactive and information theoretic secure
verifiable secret sharing[A]. Cryptology- CRYPTO’91[C]. Berlin:
Springer-Verlag, 1992.129- 140.
[17] 李慧贤,庞辽军.基于双线性变换的可证明安全的秘密共享方案[J].
通信学报, 2008, 29(10): 45-49.
LI H X, PANG L J. Provably secure secret sharing scheme based on
bilinear maps[J]. Journal on Communication, 2008,29 (10):45-50. [18] 庞辽军,王育民.基于RSA密码体制(t, n)门限秘密共享方案[J].通信
学报, 2005, 26(6): 70-73.
PANG L J,WANG Y M,(t,n)threshold secret sharing scheme
based on RSA cryptosystem[J]. Journal of China institute of
communications, 2005,26(6):70-73.(in Chinese).。