参与者有权重的多等级秘密共享方案

{ki′v} 。
3.3 秘密恢复阶段 不 失 一 般 性 ， 假 设 集 合 L = {P1, P2,L , Ph} 的 权 重 为 ：
h
ti ( weight(L) = ∑ weight(Pi ) )，则 L 中的参与者合作可恢复共 i=1
享的秘密。恢复过程如下：
(1)L 中的每个参与者 Pj ( j = 1, 2,L , h) 从公告牌上下载公
者集合 L( weight(L) ≥ t ， t 为门限值)，其成员合作可恢复秘 密，但对于那些参与者集合 S( weight(S) < t )中的成员合作则 得不到秘密的任何信息。
3 方案描述
设 D 为秘密分发者， P = {P1, P2,L , Pn} 为 n 个参与者构成 的集合，每个参与者 Pi 的权重为 wi 。 K1, K2,L , Ks 为 s 组不 同等级的秘密，其中， Ki = {ki1, ki2 ,L , kimi }(i = 1, 2,L , s) 。 ti 为 恢复秘密 Ki 所需的门限值，且 t1 < t2 < L < ts 。不失一般性， 假设 ti − ti−1 = 1 (见可行性分析(1))。方案由系统初始化、秘密 分发和秘密恢复 3 个阶段组成。
L , ki1} 。
(5)
获
得
部
分
信
息
的
成
员
可
利
用
公
开
信
息
{k
′
jv
}
(j
= 1, 2,L
,i;v
=
2, 3,L
, mi )
，计算
k jv
=
k
′
jv
⊕ k j1
。
由(4)、(5)可知，通过参与者合作，L 中任何成员都可恢
复共享的秘密 {K j}( j = 1, 2,L ,i) 。
4 方案分析
4.1 可行性分析 方案可行性分析如下： (1)方案中假设 ti − ti−1 = 1 。若实际应用中不同门限值差
开 信 息 {Ri , yu}
(
u
= 1, 2,L
,h
且
u
≠
j
)，计算
Aij
=
Rxj i
mod N
,
Biju
=
Aij
⊕
yxj u
mod N
及
Bi′ju
=
Aij
⋅ yuxj
mod N
。将
{Biju , Bi′ju}
通过
普通信道发送给 L 中的其他成员 Pu 。
(2) Pu 利用自己的秘密份额 xu 及 Pj 的公开信息 {y j} ，计
=
g rixj
=
y ri j
(
j
= 1, 2,L
, h) 。根据
3.2
节(4)中有
关 Pj 的 公 开 信 息 {dij} 可 知 yij (x) 的 系 数 向 量 为 ：
( yij0 , yij1,L
, yijwj −1)
= (dij0, dij1,L
,
dijwj
−1
)
+
(y 1
r4ji ,4y
r2ji ,L4
,4y3rji
)
，从而可
w j个
得 h 个多项式 yij (x) 。
(4)L 中 的 任 何 成 员 利 用 h 个 同 余 式 yij (x) =
hi (x)(mod(x − y j )wj ) ，根据中国剩余定理可得唯一一个次数为
ti −1 的多项式 hi (x) = ki1 + ki−11x + L + k11xs−1 + L + ats−s xti−1 ，由多 项 式 的 前 i 个 系 数 可 得 共 享 秘 密 组 的 部 分 信 息 {k11, k21,
K1, K2,L , Ki (1≤ i ≤ s) 。分发过程如下：
(1)D
从
[
N
1 2
,
N
]
中随机选取一个整数
ri
，计算
Ri = gri mod N 。且满足 Ri ≠ y j ( j = 1, 2,L , n) 。将 {Ri} 公布在公
告牌上。
(2) D 构造一个 ts −1次多项式： hs (x) = ks1 + ks−11x + L + k21xs−2 + k11xs−1 +
算
Ai′j
=
Biju
⊕
y xu j
，然后通过等式
Bi′ju
=
Ai′j
⋅
y xu j
mod N
是否成立
来验证 Ai′j 的有效性。若等式成立，则 Ai′j = Aij 。否则， Pu 发
出抱怨，要求 Pj 重新发送。
(3)L 中的每个参与者通过(1)、(2)可得 L 中所有参与者提
供的信息
Aij
=
Rxj i
【Abstract】To solve the problems in practical application involving both weighted participants and date security level, based on Chinese remainder theorem, a hierarchical secret sharing scheme among weighted participants is proposed. It takes participants’ weight into consideration and recovers many different-level secrets in one time by using the idea of multi-secret sharing. In the recovery phase, participant’s secret shadow is allowed to reuse, and the scheme can efficiently prevent attacking from external attackers and cheating among participants. Analysis result shows that the scheme is a safe and practical sharing scheme. 【Key words】secret sharing; hierarchical; weighted difference; Chinese remainder theorem DOI: 10.3969/j.issn.1000-3428.2011.09.061
基金项目：国家自然科学基金资助项目(10571113)；陕西省自然科学 基金资助项目(2009JM8002)；陕西省教育厅科学研究计划基金资助 项目(07JK375, 2010JK829)；陕西师范大学研究生培养创新基金资助 项目(2010CXS023) 作者简介：乔晓林(1986－)，女，硕士研究生，主研方向：密码学； 张建中，教授、博士 收稿日期：2010-12-12 E-mail：qiaoxiaolin1986@163.com
(3)用 f 表示运算规则为自变量的指数减 1 而系数不变，
且 自 变 量 的 常 数 项 为 0 的 函 数 [9] ， 可 以 表 示 为 ：
f (m + nx p ) = nx p−1 )。
3.2 秘密分发阶段
该 方 案 为 一 个 (ti , n) 门 限 方 案 ， 所 共 享 的 秘 密 为 ：
2 参与者有权重的秘密共享
(1)令 P = {P1, P2,L , Pn} 为参与者集合，其中，参与者 Pi 的
权重为 wi ，即 weight(Pi ) = wi ( wi 为非负整数)；L 为集合 P 的
子集，则 weight(L) = ∑ weight(Pi ) 。 Pi∈L (2)参与者有权重的秘密共享方案。该方案对于任何参与
a1xs + a2 xs+1 +L + ats−s xts−1 mod Q 其中， a1, a2,L , ats−s 是从 ZQ 中随机选取，且 ts ≥ s (见可行性 分析(2))。
hi−1(x) = f (hi (x)) (i = s, s −1,L , 2)
(3) D 对每个参与者 Pj ，计算 yij (x) = hi (x)(mod(x − y j )wj ) ,
Hierarchical Secret Sharing Scheme Among Weighted Participants
QIAO Xiao-lin, ZHANG Jian-zhong (College of Mathematics and Information Science, Shaanxi Normal University, Xi’an 710062, China)
ti − ti−1 > 1 ，假设 ti − ti−1 = mi ，则可令 ti−1 与 ti 之间的 mi −1 个门 限值对应的秘密 K j = 0( j = ti−1 +1,ti−1 + 2,L ,ti −1) ，即在 3.2 节
3.1 系统初始化 系统初始化过程如下：
(1)秘密分发者 D 随机选取 2 个大素数 p 和 q ，并计算
N = pq
。在
[
N
1 2
,
NБайду номын сангаас
]
中随机选取一个整数
g
，满足
g[( p−1)(q−1) 2] ≡ 1mod N 。 取 一 个 大 于 N 的 素 数 Q ， 将 参 数
{N, g,Q} 公布在公告牌上。
(i = 1, 2,L
, s)
。设多项式
yij (x) =
yij0 + yij1x + L
+
y xwj −1 ijwj −1
，则
yij (x) 的系数向量为 yi′j = ( yij0 , yij1,L , yijwj −1) 。
(4)
D
计算
dij
=
( yij0 , yij1,L
,
yijw j
−1
)
−
(y 1
ri j
,y 44
r2ji ,L4
,y 43
ri j
)
，设
dij
=
wj个
(dij0,dij1,L ,dijwj−1) ，在公告牌上公布 {dij} (i =1,2,L ,s; j =1,2,L ,n) 。
(5) D 计算 ki′v = kiv ⊕ ki1 (i = 1, 2,L , s;v = 2,3,L , mi ) ，并公布
第 37 卷 第 9 期
乔晓林，张建中：参与者有权重的多等级秘密共享方案
177
(2)参与者 Pi 从 [2, N ] 中随机选取一个整数 xi 作为自己的
秘密份额，计算 yi = g xi mod N 。Pi 将 xi 保密，并发送 yi 给秘
密分发者 D。D 确保 yi ≠ y j (i ≠ j) ，然后公布 {yi} 。
1 概述
随着信息的高度社会化和商业化，信息安全问题日益突 出。1979 年，Shamir[1]和 Blakley[2]分别基于不同的方法首次 提出了秘密共享体制，由于其广泛的应用前景，一经提出便 受到学者们的普遍关注。然而，早期秘密共享方案中大多存 在着秘密份额不能重复使用和一次共享过程只能共享一个秘 密的问题。针对这些不足，文献[3-5]提出一种多秘密共享方 案。相比单秘密共享方案，多秘密共享方案优点在于：参与 者只需维护一个秘密份额就可以并行恢复多个秘密。但在上 述方案中都假设各参与者的地位、权利完全相同，然而，在 实际应用中，各参与者对同一秘密的管理权限是有差别的。 为满足实际生活中在不同参与者之间进行密钥管理的应用要 求，学者们在考虑参与者权重的情况下，提出了权重不同参 与者之间的秘密共享方案[6-8]。本文在文献[8-9]的基础上，基 于中国剩余定理，利用多秘密共享的思想，实现了一种参与 者有权重的多等级秘密共享方案。方案从参与者权重和秘密 的不同等级两方面出发，在秘密恢复阶段针对合作者集合， 构造相应次数的多项式，以实现对该门限下不同等级秘密的 同时共享。在方案执行过程中，权重达到一定门限值的参与 者集合，可以恢复相应等级及其以下等级的所有秘密，但无 法获得更高等级秘密的任何信息。另外，方案可根据实际需 要动态地调整要共享的秘密，并且在分发阶段无需重新选择 多项式。该方案为实际应用中同时涉及参与者权重和数据保 密级别两方面的问题提供了有效的解决途径。
第 37 卷 第 9 期 Vol.37 No.9
·安全技术·
计算机工程 Computer Engineering
文章编号：1000—3428(2011)09—0176—02
文献标识码：A
2011 年 5 月 May 2011
中图分类号：TP309
参与者有权重的多等级秘密共享方案
乔晓林，张建中 (陕西师范大学数学与信息科学学院，西安 710062)
摘 要：为解决实际应用中同时涉及参与者权重和数据保密级别的问题，基于中国剩余定理提出一个参与者有权重的多等级秘密共享方案。 该方案在考虑参与者权重的情况下，利用多秘密共享的思想，通过一次共享过程便可并行恢复多个不同等级的秘密。在方案的执行过程中， 每个参与者的秘密份额可以重用，同时能有效地防止外部攻击和内部欺骗。分析结果表明，该方案是一个安全、实用的秘密共享方案。 关键词：秘密共享；多等级；权重；中国剩余定理