基于RSA的可验证的动态多重秘密共享方案

可验证匿名秘密共享及带权动态秘密共享的研究独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作及取得的研究成果。

据我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得宝镰久：婚或其他教育机构的学位或证书而使用过的材料。

与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明确的说明并表示谢意。

学位论文作者签名：易嘶、签字日期：矽J1年5月fg日学位论文版权使用授权书本学位论文作者完全了解玄《卷久穴孚有关保留、使用学位论文的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁盘，允许论文被查阅和借阅。

本人授权承瀚以将学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位论文。

：保密的学位论文在解密后适用本授权书I学位论文作者签名：扔激．导师签名：喈多‖X日签字日期：签字日期：如f2年5-月f ‖／二年，月／莎日学位论文作者毕、世去向：工作单位：电话：通讯地址：邮编：安徽大学硕士学位论文摘要摘要所谓秘密共享，就是将秘密信息分割成多个子秘密分发给团体中的成员，当且仅当特定的多个成员合作时才能恢复出原来的秘密信息，而在其他情况下，和秘密相关的任何信息都不会被泄露。

秘密共享是保障信息安全的一种重要的技术手段，可以看做是一种将信息按照一定规则分割保存的方法。

秘密共享可以不通过加密解密技术就可以保证信息的安全，因此效率很高，有着重要的研究价值。

秘密共享在现实生活中有着广泛的应用，比如银行保险库的密码保管，导弹的发射，重要会议的密钥分配管理，电子拍卖等等。

随着秘密共享研究的不断深入，应用环境的不同，出现了多个秘密共享的分支，最早出现的是可验证秘密共享方案，他是用来解决在秘密分发过程中，分发者与参与方之间，各参与方之间的欺诈问题的。

随后为了防止在长周期的秘密共享中，份额固定不变会降低方案的安全性能，动态秘密共享就出现了。

收稿日期:2009209221;修回日期:2009211209 作者简介:贺军(19712),男,副教授,硕士,主要研究方向为数据库技术、信息安全(hejun_1971@ );李丽娟(19572),教授,硕导,主要研究方向为指纹技术、信息安全;李喜梅(19732),女,讲师,主要研究方向为数据库技术、信息安全.两种实用的可验证多秘密共享方案贺　军1,李丽娟2,李喜梅1(11怀化职业技术学院计算机与信息工程系,湖南怀化418000;21湖南大学计算机与通信学院,长沙410082)摘　要:基于齐次线性递归构造了两个新的可验证多秘密共享方案,新方案由参与者自己选取各自的秘密份额,降低了分发者的计算量,避免了使用安全信道。

与最近的两个类似方案相比,新方案的公开值和计算量都更有优势,安全分析也表明新方案可以抵抗常见的攻击。

关键词:密码学;秘密共享;可验证性;多秘密共享中图分类号:TP309 文献标志码:A 文章编号:100123695(2010)0521882203doi:10.3969/j .issn .1001Ο3695.2010.05.079T wo p ractical verifiable multi Οsecret sharing schemesHE Jun 1,L IL i Οjuan 2,L I Xi Οmei1(1.D ept .of Co m puter &Infor m ation Engineering,Huaihua V ocational &Technical College,Huaihua Hunan 418000,China;2.College ofCo m puter &Co mm unication,Hunan U niversity,Changsha 410082,China )Abstract:This paper p r oposed t w o verifiable multi Οsecret sharing sche mes based on the homogeneous linear recursi on tech 2nique .I n the sche mes,the partici pants chose their own secret shares which not only decreased the computati onal cost of the dealer but als o avoid the using of security channel .Compared with the t w o recent si m ilar schemes,the schemes had advantages on public values and computati onal cost .Security analysis shows that the sche mes can resist t o the attacks available .Key words:cryp t ography;secret sharing;verificati on;multi Οsecret sharing 秘密共享对于保护秘密信息免受丢失、破坏或落入敌手等情况都发挥着重要作用,这一技术自从1979年被Sha m ir [1]和B lakley [2]独立提出以后,已经发展成为现代密码学的重要分支。

一种有效的可验证的门限多秘密分享方案
甘元驹;彭银桥;沈玉利;施荣华
【期刊名称】《计算机工程与设计》
【年(卷),期】2005(026)008
【摘要】针对多数秘密共享方案不能同时防止秘密管理者和秘密成员的欺骗,以及子秘密重构时计算量大等问题,提出了一种安全有效的解决方案.在该方案中,每个分享者只需拥有一个秘密影子就可以和其它分享者共享多个秘密信息,此外,方案提供了有效抵御秘密管理者欺骗和成员欺骗的解决方法.方案的安全性是基于求离散对数和RSA大整数因式分解的困难性.与其它已有的方案相比,此方案的优点在于计算量低和子秘密重构时采用了并行算法.
【总页数】3页(P1994-1996)
【作者】甘元驹;彭银桥;沈玉利;施荣华
【作者单位】湛江海洋大学,信息学院,广东,湛江,524088;湛江海洋大学,信息学院,广东,湛江,524088;湛江海洋大学,信息学院,广东,湛江,524088;中南大学,信息工程学院,湖南,长沙,410075
【正文语种】中文
【中图分类】TP309
【相关文献】
1.一个可验证的门限多秘密分享方案 [J], 何明星;范平志;袁丁
2.基于广义可验证秘密分享的RSA门限签名方案 [J], 王莉;于秀源;吴铤
3.一个可验证的门限多秘密分享方案 [J], 何明星;范平志;袁丁
4.一个可验证的门限多秘密分享方案 [J], 何明星;范平志;袁丁
5.一种有效的(t,n)门限可验证多密钥共享方案 [J], 王斌;宋朝霞
因版权原因，仅展示原文概要，查看原文内容请购买。

基于RSA的可验证的动态多重秘密共享方案
王锋;张建中
【期刊名称】《计算机应用研究》
【年(卷),期】2008(025)006
【摘要】针对现有秘密共享方案存在的缺陷,基于RSA加密体制和离散对数难题,提出了一个可验证的动态门限多重秘密共享方案. 该方案能够实现多重秘密共享,灵活地更新群组密钥,动态地加入新的参与者.在方案的实现过程中,能及时检测和识别SD对参与者以及参与者之间的欺骗,从而提高了重构秘密的成功率和方案的效率, 因而有较高的安全性和实用性.
【总页数】4页(P1806-1808,1811)
【作者】王锋;张建中
【作者单位】陕西师范大学,数学与信息科学学院,西安,710062;陕西师范大学,数学与信息科学学院,西安,710062
【正文语种】中文
【中图分类】TP309
【相关文献】
1.可验证的(t,n)门限多重秘密共享方案 [J], 张艺林;张建中
2.基于RSA的一般访问结构多重秘密共享方案 [J], 张来顺;周洪伟;原锦辉
3.一个可验证的多重秘密共享方案 [J], 李瑞;张建中
4.基于RSA的防欺诈的动态多重秘密共享方案 [J], 郭振;张建中
5.基于线性码上的动态可验证的秘密共享方案 [J], 郭玉娟;李志慧;赖红
因版权原因，仅展示原文概要，查看原文内容请购买。

一个可验证的动态多秘密共享方案张硕英1，刘锋2（1.山东工商学院计算机科学与技术学院，山东烟台246005；2.山东工商学院数学与信息科学学院，山东烟台246005）摘 要：利用结合RSA密码体制和ElGamal签名算法的签密体制、异或运算和Hash函数等工具，提出一个安全的动态可验证多秘密共享方案。

方案中的参与者获得子秘密份额时，验证其来源和有效性，避免得到无效的子秘密份额。

方案在不安全信道环境下具有一定的抗干扰能力，可以防止非法用户的参与。

同时可以防止参与者和分发者的欺骗行为。

方案具有高效性和灵活性，同时在秘密分发过程更具安全性。

关键词：多秘密共享；可验证的；动态的；密码学中图分类号： TN911.22文献标识码：AA verifiable and dynamic multi-secret sharing schemeZhang Shuoyi ng1, L iu Feng2（1. School of Computer Science and Technology , Shandong Technology and Business University, Shandong Yantai 246005;2. School of Mathema and Information Science, Shandong Technology and Business University, Shandong Yantai 246005）Abstract: Using the RSA cryptosystem and ElGamal signature algorithm, XOR operation and hash function, a dynamic and verifiable multi-secret sharing scheme has been proposed. When the participant obtains the sub secret share, it verifies its source and validity to avoid getting the invalid sub secret share.The scheme has a certain anti-interference ability in the insecure channel environment, which can prevent the participation of illegal users. At the same time, it can prevent participants and distributors from cheating. This scheme is efficient and flexible, and is more secure in secret distribution process.Key words: secret sharing; verifiable; dynamic; cryptography1 引言计算机网络的兴起给人们的生活提供了巨大的便利，保存重要信息不再使用易丢失或破损的纸张，使用电子设备保存重要信息成为现在最为普遍的做法。

基于 RSA 算法的动态双身份认证的设计与实现摘要：针对网络通信中相互身份认证困难的问题，提出一种基于 RSA 算法的动态双身份认证方案，比其他基于公钥体制的身份认证方案相比，具有安全性更高、方便简洁、认证时间少等优点，并通过 VC++实现了基于该方案的系统关键词：密码体制；RSA 算法；身份认证；公1、RSA 加密算法及身份认证目前网络通信主要提供五种安全服务，即身份认证服务、访问控制服务、机密性服务、完整性服务和抗否认性服务。

其中，身份认证作为安全应用系统的第一道防线，是最重要的安全服务，所有其它的安全服务都依赖于该服务，它的失败可能导致整个系统的失败网络应用系统中通信双方的身份认证问题，传统的做法是采用用户名加口令来验证登录用户的身份，但是由于口令在使用过程中很容易被窃取、暴力攻击和猜测，存在较大的安全隐患；另外这种认证方式只能完成单方面的身份认证，即只能解决服务器验证客户端身份的问题，无法解决客户端验证服务器身份的问题，因此不能完全满足互联网业务应用的需要。

公钥加密算法的安全性主要是基于复杂的数学难题。

目前比较流行的主要有两类[2] ：一类是基于大整数因子分解系统，以 RSA 为典型代表，它是目前被研究和应用得最为广泛的公钥算法，经过长年的攻击考验，该算法已被普遍认为是目前最优秀的公钥方案之一2、RSA 工作原理[1]如下：（1）任意选取两个不同的大质数 p 和 q，计算乘积 r=p*q（2）任意选取一个大整数 e，e 与(p-1)*(q-1)互质，整数 e 用做加密密钥。

注意 e 的选取是很容易的，例如所有大于 p 和q 的质数都可用.（3）确定解密密钥 d，由d*e=1 mod((p-1)*(q-1))，根据 e，p 和q 可以容易地计算出 d（4）公开整数 r 和 e，但是不公开 d（5）将明文 P(假设 P 是一个小于 r 的整数)加密为密文 C，计算方法为 C=Pe mod r（6）将密文 C 解密为明文 P，计算方法为 P=cd mod r然而，只根据 r 和 e(不是 p 和 q)要计算出 d 是不可能的，因此，任何人都可对明文进行加密，但只有授权用户(知道 d)才可对密文解密。

基于RSA算法的动态双身份认证的设计与实现曹锦梅（新疆医科大学高等职业技术学院，新疆830000）摘要：针对网络通信中相互身份认证困难的问题，提出一种基于RSA算法的动态双身份认证方案，比其他基于公钥体制的身份认证方案相比，具有安全性更高、方便简洁、认证时间少等优点，并通过VC++实现了基于该方案的系统。

关键词：密码体制；RSA算法；身份认证；公钥1、RSA加密算法及身份认证目前网络通信主要提供五种安全服务，即身份认证服务、访问控制服务、机密性服务、完整性服务和抗否认性服务。

其中，身份认证作为安全应用系统的第一道防线，是最重要的安全服务，所有其它的安全服务都依赖于该服务，它的失败可能导致整个系统的失败。

网络应用系统中通信双方的身份认证问题，传统的做法是采用用户名加口令来验证登录用户的身份，但是由于口令在使用过程中很容易被窃取、暴力攻击和猜测，存在较大的安全隐患；另外这种认证方式只能完成单方面的身份认证，即只能解决服务器验证客户端身份的问题，无法解决客户端验证服务器身份的问题，因此不能完全满足互联网业务应用的需要。

公钥加密算法的安全性主要是基于复杂的数学难题。

目前比较流行的主要有两类[2]：一类是基于大整数因子分解系统，以RSA为典型代表，它是目前被研究和应用得最为广泛的公钥算法，经过长年的攻击考验，该算法已被普遍认为是目前最优秀的公钥方案之一。

2、RSA工作原理[1]如下：（1）任意选取两个不同的大质数p和q，计算乘积r=p*q；（2）任意选取一个大整数e，e与(p-1)*(q-1)互质，整数e用做加密密钥。

注意e的选取是很容易的，例如所有大于p和q的质数都可用.；（3）确定解密密钥d，由d*e=1 mod((p-1)*(q-1))，根据e，p和q可以容易地计算出d；（4）公开整数r和e，但是不公开d；（5）将明文P(假设P是一个小于r的整数)加密为密文C，计算方法为C=Pe mod r；（6）将密文C解密为明文P，计算方法为P=cd mod r；然而，只根据r和e(不是p和q)要计算出d是不可能的，因此，任何人都可对明文进行加密，但只有授权用户(知道d)才可对密文解密。

—143—一种动态门限多组秘密共享方案乔晓林，张建中(陕西师范大学数学与信息科学学院，西安 710062)摘 要：基于Shamir 门限方案和RSA 密码体制提出一种动态门限多组秘密共享方案。

该方案中的多秘密分发者可根据所共享秘密的重要性，动态调整恢复该秘密时的门限值，使m 组秘密根据不同的门限值在n 个参与者中共享。

方案可以灵活地增加或删除成员，无需更改其他成员的秘密份额。

任何人可在秘密重构阶段验证每个合作的参与者是否进行欺诈，且无需专门的验证协议。

关键词：动态秘密共享；门限方案；多秘密共享；RSA 密码体制Dynamic Threshold Multi-group-secret Sharing SchemeQIAO Xiao-lin, ZHANG Jian-zhong(College of Mathematics and Information Science, Shaanxi Normal University, Xi’an 710062, China)【Abstract 】Based on Shamir’s threshold scheme and the RSA cryptosystem, a dynamic threshold multi-group-secret sharing scheme is proposed. In the proposed scheme, the dealer can adjust the threshold value depending on the secure level of different sharing value, so m groups of secrets can be shared among n participants. The shadows of other participants do not need to be changed when a participant is added or deleted. Anybody is allowed to check whether a cooperative participant provides the true information or not in the recovery phase, and it doesn’t need to design special verification algorithm.【Key words 】dynamic secret sharing; threshold scheme; multi-secret sharing; RSA cryptosystem计 算 机 工 程 Computer Engineering 第36卷 第22期Vol.36 No.22 2010年11月November 2010·安全技术·文章编号：1000—3428(2010)22—0143—02文献标识码：A中图分类号：TP309.21 概述秘密共享为重要信息的安全保存和合法利用提供了一种有效途径，是信息安全方向的研究热点，并在现代密码学领域具有重要地位。

收稿日期:2007-04-28;修回日期:2007-07-18 基金项目:国防科技重点实验室基金资助项目(51436050404QT 2202)作者简介:赖欣(1977-),女,四川德阳人,博士研究生,主要研究方向为密码学、信息安全(lxr zg@);何大可(1944-),男,重庆人,教授,博导,主要研究方向为密码学、信息安全.基于RSA 的多重签密方案*赖 欣,何大可(西南交通大学信息安全与国家网格计算实验室,成都610031)摘 要:指出原有多重签密方案存在的缺陷,并提出一种新的基于RSA 的多重签密方案。

本方案以RS A 密码体制为基础,借鉴了原有多重签密方案的结构特点。

改善了原有多重签密方案的缺陷,在安全性上实现了消息保密性、不可伪造性、不可否认等特性,同时考虑了原始消息的安全发送问题。

在同等安全下,本方案比传统的先签名再加密方式,在执行效率和执行灵活性方面具有更多优势。

基于RSA 密码体制的广泛应用,方案简洁且易于建立,适合在电子政务和电子商务环境下为消息的安全传递提供认证加密保护。

关键词:签密;多重签密;RSA;承诺方案;保密性;不可伪造性;不可否认中图分类号:TN 918.2 文献标志码: A 文章编号:1001-3695(2008)06-1836-03Mu lt i-signcr ypt ion sch em e based on RS ALAI Xin,HE Da-ke(Infor mation Security &National C omputing Gr id L abor ator y,South w es t Jiaotong Univers ity,Chengdu 610031,China)Abst ract :This pa per point ed out t he w ea knes ses of t he prev ious m ult i-signcry pt ion schem es.And then present ed a new m ult i-s ig ncryption schem e.T he new s chem e w as bas ed on t he RS A and used t he previous schem es'struct ural feat ure for reference.The m odel cons idered t he securit y of orig inal m es sag e t ransm itt ing and im proved t he weaknes ses of previous s chem es.The new s chem e prov ided m es sag e confident ialit y,unforg ea bilit y,non-repudiat ion s ervices.At the sa m e securit y lev el t he new s chem e w as m ore efficient and flexible tha n t radit iona l "sig nat ure t hen encry pt ion"approa ch.Due to the w idely use of RS A,the new s chem e w as sim ple a nd could be s et up ea sily.It ’s fit to prov ide useful cry ptographic protect ion for m ess ag e circula tion in E-com m erce and E-g ov ernm ent env ironm ent.Key words :s ig ncryption;m ulti-s ig ncryption;RS A;com m it m ent schem e;confident ia lity ;unforg ea bility ;non-repudiat ion 多重签密是多用户环境下对签密技术的一种扩展。

一个可验证的门限多秘密分享方案何明星1，2，范平志1，袁丁1，3（1.西南交通大学计算机与通信工程学院，四川成都，610031；2.四川工业学院计算机科学与工程系，四川成都，610039；3.四川大学电子信息学院，四川成都，610065）摘要：基于离散对数计算和大整数分解的困难性，利用RSA 加密体制提出了一个新的门限多秘密分享方案.该方案通过零知识证明等协议来防止秘密分发者和秘密分享者的欺诈行为，因而是一个可验证的门限多秘密分享方案.该方案还具有：秘密影子可重复使用；子秘密影子可离线验证；供分享的秘密不须事先作预计算等特点.该方案可用于会议密钥（秘密）分配、安全多方计算、门限数字签名等应用领域.关键词：秘密分享；门限体制；离散对数；RSA 加密体制；零知识证明中图分类号：TN918文献标识码：A文章编号：0372-2112（2002）04-0540-04A Verifiable Multiple Secrets Sharing SchemeHE Ming-xing 1，2，FAN Ping-zhi 1，YUAN Ding 1，3（1.Southwest Jiaotong Uniuersity ，Chengdu ，Sichuan 610031，China ；2.Sichuan Uniuersity of Science and Technology ，Chengdu ，Sichuan 610039，China ；3.Sichuan Uniuersity ，Chengdu ，Sichuan 610063，China ）Abstract ：A new muitipie secrets sharing scheme ，based on the intractabiiity of the discrete iogarithm（DL ）and the RSA en-cryption aigorithm is presented ，in which the participants'shadows remain secret and can be reused ，even if aii subshadows are made pubiic.Meanwhiie ，by using a zero-knowiedge proof protocoi ，the vaiidity verification of shadow and subshadow is aiso provided to pre-vent both deaier cheating and other participant cheating ，and any freeiy given secrets without pre-computation by deaier can be recon-structed.The scheme can be appiied to many areas such as conference key distribution ，secure muiti-part-computation ，threshoid signa-ture etc.Key words ：muiti-secret sharing ；threshoid scheme ；discrete iogarithm ；RSA ；zero-knowiedge proof!引言秘密分享在现代密码学中占有重要的地位.秘密分享的基本问题是如何给参与者集合的每个参与者适当分配子秘密（秘密影子），使得只要根据一定的授权存取结构汇集其中一部分参与者的子秘密经过计算就可恢复秘密.在秘密分享方案中，门限秘密分享方案是应用较广也是研究最早、成果最多的一种秘密分享方案.具体地说，（I ，n ）门限秘密分享是分发者在n 个参与者即所谓秘密分享者中把一个或多个秘密分拆成若干个子秘密，分配给各个参与者，使得这n 个参与者中任何I 个合作就可恢复秘密，但任何少于I 个的参与者都无法获得该秘密.最早的秘密分享方案是在1979年由Shamir 和Biakiey 分别基于Lagrange 插值多项式和射影几何理论独立提出的［1］.20多年来，门限秘密分享方案的研究与设计受到人们的广泛关注，取得了长足的进步，其应用涉及通信密钥管理、安全多方计算、金融网安全、电子商务等诸多领域［1，2］.虽然Shamir 和Biakiey 的方案奠定了门限方案的基础，但M Tom-pa 与H Woii［3］发现他们的方案不能防止秘密分发者与分享者的欺诈行为，而且分享者所得到的秘密影子（Shadow ）只能使用一次，若有多个秘密则需多次分发秘密影子.1985年Chor等人提出了一个可防止分发者（Deaier ）欺诈的秘密分享方案，但这个方案不能防止分享者的欺诈［4］.之后各种防欺诈秘密分享方案陆续提出［5~10］，其中大部分方案仅能防止分发者或分享者一方的欺诈，而且这些方案只能一次分享一个秘密.Harn 1995年提出了一个多秘密分享方案能同时防止分发者与分享者的欺诈［8］.在Harn 的方案中，秘密分发者给每一个分享者一个秘密影子，然后分享者再由此计算秘密子影子（Subshadow ）分发给他的门限合作者，这样即使公开子秘密影子，秘密影子也可保密.但Harn 方案的缺点是对于每个供分享的秘密都须事先作预计算.而且子秘密影子的认证都是各方在线合作的，从而计算量和通信量均很大，导致方案实施的困难.本文的贡献在于利用RSA 加密体制以及零知识证明等收稿日期：2000-12-29；修回日期：2002-01-31基金项目：国家自然科学基金（No.69825102）第4期2002年4月电子学报ACTA ELECTRONICA SINICA Voi.30No.4Aprii 2002协议，设计了一个具有较好综合性能的多秘密门限分享方案，主要有以下特点：（1）秘密影子可重复使用；（2）子秘密影子可离线验证；（3）可检测秘密分发者与分享者的欺诈行为；（4）不需事先对秘密进行预计算.!预备知识在给出方案之前，首先介绍本文用到的一些定义、记号与相关知识.定义"秘密分发者（Dealer）指把一个或多个秘密分发给I个秘密分享者的人或服务器.比如网上会议的大会主席.定义!公告栏（NB）指存放公开参数或数据的媒介.系统各方均可访问公告栏上的内容，但只有秘密分发者才能修改或更新公告栏上的内容.记秘密分发者为Pd ，S=｛S1，S2，…，Sm｝为m个待分发秘密S的集合，G=｛P1，P2，…，PI｝是I个秘密分享者P的集合.假设传送秘密影子的信道是安全可靠的.W!G是G中t 个秘密分享者的集合，t为门限值.I表示P的身份标识号（比如，1，2，…，m）.对于秘密分发者Pd 与秘密分享者集合G=｛P1，P2，…，P I｝之间的一个可验证的秘密分享方案，应满足以下要求：（1）如果秘密分发者遵循分发协议且各秘密分享者P遵循协议，则P可正确收到Pd的秘密信息.（2）对于同一个秘密S的分配方案，两个合法秘密分享者集合W1!G与W2!G，（这里I W1I=I W2I=t）恢复出的秘密是相同的.（3）秘密分享者可检测秘密分发者的欺诈行为.（4）秘密分享者可检测其他分享者的欺诈行为.零知识证明协议所谓零知识证明，是指一方（证明者）向另一方（验证方）证明某个论断正确的一种协议，同时要求在证明过程中不暴露证明方任何其它信息.零知识证明在设计密码协议时是非常有用的.在此，先介绍本文中要用到的零知识证明协议［2］.设!是一个循环群（设其阶为m），g是!的生成元，h是!的一个元素.该零知识证明协议可以满足以下要求：证明者在已知G、g、H、h且H=h S的条件下向验证者证明他知道S，而且有以g为底元素G的离散对数等于以h 为底H的离散对数S，即G=g S，同时证明者不会泄露S的信息.协议描述如下：设A是证明者，B是验证者，证明者A随机选取r并计算x=g r和x'=h r.令c=H'（g，h，G，H，x，x'），其中H'是一个hash函数.他先计算y=r+cS，再把数据对（c，y）传给验证者B作为证据.验证者收到（c，y）后验证c =H'（g，h，G，H，g y/G c，h y/H c）是否成立.若是则B认为A 知道S；否则B认为A不知道S.#方案描述基于第2节的准备，本节提出多秘密分享方案.设秘密分发者Pd 有m个待分发的秘密S=｛S1，S2，…，Sm｝，Pd需要将这m个秘密分发给G=｛P1，P2，…，PI｝中的t个授权的秘密分享者，这些分享者的集合为W.方案包含以下四个模块：初始化；秘密影子的生成算法；秘密子影子的生成算法；秘密恢复算法.初始化秘密分发者Pd创建公告栏并定义如下参数：p，g为P d秘密选择的两个不同的强大素数，即p=2p' +1，g=2g'+1，且p'，g'仍为大素数；N=pg发布在公告栏上；N'=p'g'，由Pd保密；e，d为秘密分发者Pd的RSA公钥和私钥，满足ed=1mod"（N），其中"是Euler函数.即d由P d保密，而e发布在公告栏上；g为ZN中阶为N'的生成元，发布在公告栏上.H'是一个公开的hash算法.秘密影子的生成算法首先，Pd随机生成（t-1）次多项式f（x）=a+a1x+…+a t-1x t-1mod N'，a I"Z N'，0<a I< N'-1，然后计算检测向量!=（10，11，…，1t-1），其中1I=g a I mod N（I=0，1，…，t-1）（1）并在公告栏NB上公开V.令I=#PI"G\｛P｝（I-I I）mod N'（2）这里I表示分享者P的身份标识号.注意到p'、g'是两个大素数，应有I I-I I I<p'，I I-I I I<g'于是I-I I与p'、g'分别互素，而p'、g'也互素，因而I与N'=p'g'互素，从而I-1mod N'存在.于是对于秘密分享者P"G，P d可按如下定义为其计算秘密影子x=f（I）·I-1mod N'（3）并通过安全信道给P发送｛g I mod N，x｝，P d同时为P计算公钥y=g x mod N（4）将其发布在NB上.当P"G收到P d发来的秘密影子后，通过下式对x的有效性进行验证（g I）x=#t-1I=0（1I）I I（mod N）（5a）若式（5a）不成立，则可检测到秘密分发者Pd有对P的欺诈行为（Pd传递的秘密影子不满足式（4）或者式（3））.事实上，任何一个参与者也可通过验证下式是否成立（y）#PI"G\｛P｝（I-II）=#t-1I=0（1I）I I（mod N）（5J）来对Pd的公钥发布是否存在欺诈行为进行检测.秘密子影子的生成算法首先，对任意待分配的秘密Si （i=1，2，…，m），Pd随机选取相应的整数ri"Z N'，再随机选取gi"Z N'，计算c i=（gg i）d mod N（6）h i=g a0i r i-S i（mod N）（7）然后Pd在NB上发布四元组（ci，ri，gi，hi）.为了恢复秘密Si，每个秘密分享者P须为秘密Si计算子影子Ii：I i =g x i mod N（8）c i =c x i mod N（9）P再随机选取整数r i "［1，N］并计算c'i =H'（g，g i，y，I i ，g r i ，g r i i），y i =r i +c i 'x.最后，将四元组（I i ，c i ，c i '，y i ）传给W中的其他所有合作者，作为向合作者证明秘密子影子I i 计145第4期何明星：一个可验证的门限多秘密分享方案算正确的证据.每个秘密分享者P 在收到其他所有合作者P j 传来的四元组（I ij ，c ij ，c ij '，y ij ）后可首先按下式离线检测秘密子影子I ij 的正确性：c e i j =y j I ij （mod N ）（10）若式（10）不成立，则可断定秘密分享者P j 伪造秘密S i 的子影子I ij .若式（10）满足，则可认为秘密子影子I ij 是正确的.在安全性要求更高的情况下，为了进一步加强安全性（以防对式（10）的其它攻击），P 可以利用第2节中描述的零知识证明协议再次检测P j 所传子影子的（I ij ，c ij ）的合法性.例如，P j 想欺骗接收者P 以使接收方P 不能恢复正确的秘密，他可能用虚假秘密影子x j '代替自己的真秘密影子x j ，计算虚假秘密子影子：I'ij =g x'j i mod N ，也即P 可能收到信息I'ij =g x'j i mod N.但注意到P j 的公钥y j =g x j mod N 是发布在NB 上的，于是P 可以利用第2节中介绍的零知识证明协议来检验是否有x j '=x j ，而不会泄露P j 的秘密影子x j ，这只需将协议中的（g ，h ，G ，H ）替换为（g ，g i ，y j ，I ij ）即可.这时根据P j 的证据（c ij '，y ij ），P 可以检验下式是否成立：c'ij =H'（g ，g i ，y j ，I ij ，g y ij /y c'ij j ，g y ij i /I c'ij ij ）（11）若成立，则确认子影子的合法性.否则，则认为P j 有欺诈行为.秘密恢复算法W 中的每个秘密分享者P 现在可以从NB 上获得｛r i ，h i ｝，从W 中的其他分享者P j 处收到I ij .于是P 可以离线独立计算S i =（!P j"WI jij ）r i -h i mod N （12）其中!j =!P j "W \｛P j｝（-I I ）·!P I"G \W（I j -I I ）（13）因为由下面定理1即可保证：如果秘密分发者遵循分发协议且秘密分享者遵循协议，则P 可正确恢复P d 发送的秘密信息S i .定理1W 中的每个秘密分享者可通过式（12）恢复秘密S i " .证明有了t 个秘密子影子I ij ，与 j （j =1，2，…t ），由Lagrange 插值公式易知a 0=f （0）=#P j"W jf （I j ）!P I"W \｛P j｝（-I I ）（I j -I I ）-1=#P j"W f （I j ）!P I"G \｛P j｝（I j -I I ）-1!P I"G \W （I j -I I ）!P I"W \｛P j｝（-I I ）=#P j"W f （I j ）I -1j !j =#P j"W （x j !j ）（mod N'）于是由下面的推导可得S'i =S iS'i =（!P j"WI !j ij ）r i -h i =（!P j"W （g x j i ）!j ）r i -h i=g #P j"W x j !j i r i -h i =g a 0i r i -h i =S i （mod N ）4安全性分析上述方案的安全性是基于离散对数计算和大数分解的困难性的，因而是计算安全的.尽管子影子I ij 在恢复秘密S i 的计算中在门限组W 中是公开的，但P j 的秘密影子x j 仍可保密.因为由式（8），若已知I ij ，g i 求解x j 等价于离散对数的计算.同样，知道秘密S i 也不会影响其余的秘密S t 的安全性，因为不同的秘密S i 有不同的g i ，r i 来对其进行随机化，因此每个秘密分享者可以利用同一个秘密影子重复产生不同的子影子来恢复不同的秘密，而系统的安全性不会受到影响.欺诈检测一个可验证的秘密分享方案应该为每个秘密分享者提供验证的能力，比如验证：（a ）秘密分发者所提供的秘密影子是属实的；（6）一个秘密分享者发送给另一个秘密分享者的秘密子影子是属实的［4，5，7，8，10］.事实上，在实际通信中，秘密分发者可能给分享者提供虚假的秘密影子；一个秘密分享者也可能给另一个秘密分享者发送虚假的秘密子影子.下面的定理可保证本方案所提供的检测方法的正确性.定理2秘密分发者对秘密影子的伪造可由每个分享者根据式（5a ）识别.证明因为x j =f （I j ）I -1j mod N'，有（g I j）x j=g I j f （I j ）I -1j=gf （I j ）=g#t -1I =0a I I Ij=!t-1I =0（1I ）（I j ）I（mod N ）定理3（子影子离线检测）若子影子I ij 真，则式（10）即c e i j =y j I ij （mod N ）成立.亦即若等式c e i j =y j I ij （mod N ）不成立，则P j 必有欺诈.证明显然有c e i j =（c x j i ）c =（（gg i ）d ）x j e =（g x j ）de g x ji =y j I ij mod N 由此可知，若秘密分享者企图伪造子影子I ij 而逃过检测必须知道RSA 加密体制的私钥，这又等价于破译RSA 因而是困难的.定理4第2节中的零知识证明是正确的.因而若式（11）成立，则可确认P j 所传子影子的合法性.否则可确认P j 有欺骗行为.证明（1）假设（c ，y ）是有效证据，显然有c =H'（g ，h ，G ，H ，g y /G c ，h y /H c ）.（2）反之，若c =H'（g ，h ，G ，H ，g y /G c ，h y /H c ），令x =g y /G ，x'=h y /H c ，由于 是循环群，生成元为g ，因而 中任何一个元素可用g 的幂来表示，于是设有整数 ， ， ， 使得h =g ，H =g ，x =g ，x'=g ，根据x ，x'的定义，可得x =g y /G =g ，x'=h y /H c =g ，即g y -Sc =g ，g y - c =g，从而y -Sc = mod m ， y - c = mod m ，因此可得 - =c （-S ）mod m ，注意到c 为由hash 函数得到的随机值，所以 -S =0modm ，故H =g =g S =h S ，由已知G =g S ，这说明G 与H 相对于底数g ，h 有共同的离散对数.再者，若有必要，子影子的合法性检测可通过式（10）与式（11）两次验证，更进一步加强了本方案的安全性.5结论文中提出的多秘密门限分享方案，具有比较满意的特性，可用于会议秘密分配、安全分布式计算、电子商务等应用领域.若考虑把本方案作适当的改进还可用于具有不同权限（如大会不同密级的文件分发）的秘密分享解决方案.同时，由于它是基于离散对数计算和大数分解的困难性的，所以总体上是计算安全的.当然，本方案是在假定安全信道已存在的情况245电子学报2002年下着重讨论如何检测秘密分发者与秘密分享者的欺诈行为的.若考虑秘密分发者与秘密分享者之间所传信息的认证功能，以避免中间截获攻击，可以采取签名或签密的办法［9］对方案进行加强.感谢Ericsson研究院Roif.J.Bium，Andras Mahes，Gorian Seiander博士对本文初稿的建设性评论.参考文献：［1］E F Brickeii，D M Daveport.On the ciassification of idea secret sharing scheme［J］.J Cryptoiogy，1991，4（2）：123-134.［2］P A Fougue，G Poupard，J Stern.Sharing decryption in the context of voting or iotteries［A］.Proceedings of Financiai Cryptography2000［C］.Beriin：Springer Veriag，2000.90-104.［3］M Tompa，H Woii.How to share a secret with cheaters［J］.Journai of Cryptoiogy，1988，1（2）：133-138.［4］B Chor，S Goidwasser，S Micaii，B Awerbuch.Veriabie secret sharing and achieving simuitaneity in the presence of fauits［A］.Proceedings of26th FOCS［C］.1985.251-260.［5］M Stadier.Pubiiciy verifiabie secret sharing［A］.Advances in cryptoio-gy-Eurocrypt'96［C］.Beriin：Springer Veriag，1996.190-199.［6］R G E Pinch.Oniine muitipie secret sharing［J］.Eiectronics Letters，1996，32（12）：1087-1088.［7］R Gennaro，S Micaii.Verifiabie secret sharing as secure computation ［A］.Advances in cryptoiogy-Crypto'94［C］.Beriin：Springer Veriag，1995.168-182.［8］L Harn.Efficient sharing of muitipie secrets［J］.IEE Proc-Comput Digit Tech，1995，142（3）：237-240.［9］张福泰，王育民，郑东.用签密构造可验证秘密分享方案［A］.CCICS’2001论文集［C］.北京：科学出版社，2001.244-248.［10］F Boudot，J Traor'.Efficient pubiiciy verifiabie secret sharing schemes with fast or deiayed recovery［A］.Lecture Notes in Computer Science1726［C］.Beriin：Springer Veriag，1999.87-102.作者简介：何明星男，1964年生于四川省南江县，1990年获重庆大学应用数学专业硕士学位，现为四川工业学院计算机科学与工程系副教授，西南交通大学计算机与通信工程学院通信与信息系统专业博士生，主要研究兴趣为网络与信息安全、电子商务.范平志男，1994年获英国Huii大学通信工程专业博士学位，现为西南交通大学计算机与通信工程学院教授，博士生导师，IEEE高级会员，国家杰出青年基金获得者，主要研究兴趣为移动通信、无线IP、网络与信息安全.（上接第535页）参考文献：［1］U M Maurer.Secret key agreement by pubiic discussion from common information［J］.IEEE Trans IT，1993，39（3）：733-742.［2］M J Gander，U M Maurer.On the secret key rate of binary random vari-abies［A］.Proc.of the1994IEEE Symp on Information Theory［C］.1994.351.［3］U M Maurer.Protocois for secret key agreement based on common in-formation［A］.Advances in Cryptoiogy-CRYPTO’92，Lecture Notes inComputer Science［C］.Beriin：Springer-Veriag，1993.740：461-470.［4］Christian Cachin.Enropy measures and unconditionai security in cryp-tography［D］.ETH，1997.［5］Stefan rmation-theoreticaiiy and computationaiiy secure key agreement in sryptography［D］.ETH，1999.345第4期何明星：一个可验证的门限多秘密分享方案一个可验证的门限多秘密分享方案作者：何明星， 范平志， 袁丁作者单位：何明星(西南交通大学计算机与通信工程学院,四川成都,610031四川工业学院计算机科学与工程系,四川成都,610039)， 范平志(西南交通大学计算机与通信工程学院,四川成都,610031)， 袁丁(西南交通大学计算机与通信工程学院,四川成都,610031四川大学电子信息学院,四川成都,610065)刊名：电子学报英文刊名：ACTA ELECTRONICA SINICA年，卷(期)：2002,30(4)被引用次数：29次1.E F Brickell;D M Daveport On the classification of idea secret sharing scheme 1991(02)2.P A Fouque;G Poupard;J Stern Sharing decryption in the context of voting or lott eries 20003.M Tompa;H Woll How to share a secret with cheaters 1988(02)4.B Chor;S Goldwasser;S Micali;B Awerbuch Veriable secret sharing and achieving si multaneity in the presence of faults 19855.M Stadler Publicly verifiable secret sharing 19966.R G E Pinch Online multiple secret sharing[外文期刊] 1996(12)7.R Gennaro;S Micali Verifiable secret sharing as secure computation 19958.L Harn Efficient sharing of multiple secrets[外文期刊] 1995(03)9.张福泰;王育民;郑东用签密构造可验证秘密分享方案 200110.F Boudot;J Traor′Efficient publicly verifiable secret sharing schemes with fas t or delayed recovery 19991.潘红艳.蔡光兴一个新的基于门限RSA的分布式认证服务方案[期刊论文]-科技信息2010(7)2.张旭.赵翔探讨引入素域建立的门限RSA方案[期刊论文]-硅谷2009(4)3.李国文.李大兴.LI Guo-wen.LI Da-xing一种可验证的门限RSA签名方案[期刊论文]-计算机应用研究2007,24(5)4.崔竞松.彭蓉.CUI Jing-Song.PENG Rong门限RSA中的子密钥优化分配算法[期刊论文]-计算机学报2005,28(6)5.郭振.张建中.GUO Zhen.ZHANG Jian-zhong基于RSA的防欺诈的动态多重秘密共享方案[期刊论文]-计算机工程与应用2010,46(12)6.王贵林.卿斯汉.王明生Shoup门限RSA签名方案的改进[期刊论文]-计算机研究与发展2002,39(9)7.毕越.侯整风.BI Yue.HOU Zhengfeng一个基于向量空间秘密共享的新成员加入协议[期刊论文]-计算机工程与应用2011,47(16)8.韩忠.Han Zhong基于RSA门限密码体制[期刊论文]-计算机光盘软件与应用2010(16)9.张鹏门限数字签名相关特性研究[学位论文]200410.张文芳.何大可.王小敏.郑宇.Zhang Wen-fang.He Da-ke.Wang Xiao-min.Zheng Yu基于新型秘密共享方法的高效RSA门限签名方案[期刊论文]-电子与信息学报2005,27(11)1.晋玉星.茹秀娟一个新的广义秘密共享方案[期刊论文]-计算机工程 2009(17)2.陈桂强.王丽琴一种分布式动态的多秘密共享方案[期刊论文]-微计算机信息 2008(6)3.雷跃荣.詹旭.杜玲艳群密钥分配技术研究[期刊论文]-四川理工学院学报（自然科学版） 2008(2)4.陈桂强.王丽琴.袁志成.刘钰.马艳丽一种动态(t,n)门限的多级多秘密共享方案[期刊论文]-通信技术 2009(7)5.彭银桥.甘元驹.周继承基于广义接入结构的防欺诈多秘密分享方案[期刊论文]-计算机工程 2006(13)6.左振元.谢琪一种动态(t,n)门限多秘密分享方案的分析[期刊论文]-杭州师范学院学报(自然科学版) 2008(6)7.高萍.李伟华基于身份的Ad Hoc网络群签名算法设计[期刊论文]-计算机仿真 2008(7)8.甘元驹.谢仕义.付东洋防欺诈的动态(t,n)门限多秘密共享方案[期刊论文]-四川大学学报（工程科学版） 2006(6)9.莫乐群.姚国祥无可信中心的(t,n)门限签名方案的安全性分析[期刊论文]-计算机工程与设计 2009(21)10.甘元驹.谢仕义.付东洋.李小立防欺诈的广义多秘密分享方案[期刊论文]-电子科技大学学报 2008(1)11.黄东平.刘铎.王道顺.戴一奇一种安全的门限多秘密共享方案[期刊论文]-电子学报 2006(11)12.杜红珍.张建中一个高效的广义动态多秘密分享机制[期刊论文]-计算机应用研究 2006(7)13.谢琪.于秀源.王继林一种安全有效的(t,n)多秘密共享认证方案[期刊论文]-电子与信息学报 2005(9)14.李雄.李志慧动态防欺诈的多组秘密共享方案[期刊论文]-计算机工程与应用 2008(27)15.黄东平.刘铎.戴一奇安全的多级门限多秘密共享[期刊论文]-清华大学学报（自然科学版） 2007(4)16.黄挚雄.黎群辉.危韧勇.李志勇一种防欺骗的广义多秘密分享方案[期刊论文]-铁道学报 2007(6)17.肖攸安.李腊元数字签名技术的研究[期刊论文]-武汉理工大学学报(交通科学与工程版) 2002(6)18.宋法根.刘振海.梅江林一种改进的BLP模型[期刊论文]-制造业自动化 2012(16)19.张建中.侯建春一个新的可验证的（t,n）多秘密共享方案[期刊论文]-陕西师范大学学报：自然科学版 2012(5)20.张青坡.王立鹏.陈鲁生可用于公开信道的密钥共享方案[期刊论文]-计算机工程与应用 2005(8)21.赵恒.权义宁.胡予濮一种新的P2P数据共享解密授权方案[期刊论文]-西安电子科技大学学报（自然科学版）2005(5)22.于佳.李大兴.范玉玲基于加法共享的可验证秘密再分发协议[期刊论文]-计算机研究与发展 2006(1)23.刘锋.何业锋.程学翰动态的(t,n)门限多秘密分享方案[期刊论文]-计算机应用研究 2008(1)24.甘元驹.谢仕义.沈玉利.周美娟基于RSA与DLP可证实的多秘密分享方案[期刊论文]-小型微型计算机系统 2006(3)25.魏楚元安全群组通信中分布式密钥管理协议的研究[学位论文]硕士 200526.白凤伟.闫德勤.张鑫彦.郑宏亮二次剩余下改进He-Dawson的多秘密共享方案[期刊论文]-计算机工程与应用2011(13)27.甘元驹.谢仕义.沈玉利.周美娟基于RSA与DLP可证实的多秘密分享方案[期刊论文]-小型微型计算机系统 2006(3)28.何明星面向群组的分布式密钥管理协议[期刊论文]-西华大学学报（自然科学版） 2006(6)29.赵恒P2P网络中信誉体制的安全性研究[学位论文]硕士 2005引用本文格式：何明星.范平志.袁丁一个可验证的门限多秘密分享方案[期刊论文]-电子学报 2002(4)。