秘密共享方案

shamir 原理简单介绍-回复什么是Shamir原理？Shamir原理，也称为Shamir's Secret Sharing Scheme（Shamir秘密共享方案），是一种密码学概念，用于将一个秘密信息分成多个部分，分发给多个参与方。

只有当足够数量的参与方合作，才能重构出原始的秘密信息。

这种方案被广泛应用于分布式系统、存储设备和密码学协议中，以保护重要信息不被单一参与方泄露或丢失。

Shamir原理背后的基本思想是将秘密信息转化成多项式，并使用多项式的特性来进行秘密共享。

下面我们将详细介绍Shamir原理的具体步骤和实现原理。

1. 选择一个大素数p和一个整数k，其中p必须大于共享的数量k。

这两个参数将用于确认共享的方式和信息的安全性。

2. 选择一个随机生成的多项式f(x)，其中f(x)=s+a1x+a2x^2+...+ak-1x^k-1。

其中，秘密s就是我们要进行共享的秘密信息，a1、a2...ak-1是随机生成的系数。

要使得多项式唯一确定，除秘密s外的系数应该随机生成。

3. 根据选定的素数p，计算多项式f(x)在整数范围内的值。

即计算f(1)，f(2)，f(3)...f(n)。

这些值就是我们要分发给参与方的共享秘密。

4. 将计算得到的共享秘密分发给参与方。

每个参与方将收到一对值(x,f(x))，其中x表示分享编号，f(x)表示秘密的共享值。

5. 要恢复原始的秘密信息，需要至少k个参与方合作。

这k个参与方将共享的值组合在一起，通过使用拉格朗日插值法来重建多项式f(x)并计算出秘密s。

拉格朗日插值法是一种用于通过已知数据点推测未知点的方法，它可以利用多项式的唯一性来重建多项式。

Shamir原理具有一些重要的特性：1. 保密性：只有当至少k个参与方参与时，才能恢复秘密信息。

少于k 个参与方参与时，无法获得任何关于秘密的信息。

2. 完备性：任何少于k个参与方得到的信息都无法推断出原始秘密。

3. 灵活性：可以根据需要调整k值，以提供不同级别的安全性和可靠性。

一个改进的防欺诈多组秘密共享方案随着技术的发展，互联网金融服务在人们的生活中起到了越来越重要的作用。

但是与此随之而来的欺诈行为也愈发猖獗。

为了应对这种情况，各种防欺诈技术应运而生。

在这多组秘密共享方案被广泛应用于防欺诈领域。

传统的多组秘密共享方案也存在一些不足之处，比如在安全性、效率和可扩展性方面存在一定的局限性。

有必要对现有的多组秘密共享方案进行改进，以适应日益复杂的欺诈行为。

1. 现有多组秘密共享方案的不足之处传统的多组秘密共享方案通常采用分布式存储、加密传输和权限控制等技术来保护数据的安全性。

这些方案存在一些问题，比如：- 安全性难以保证。

传统的多组秘密共享方案通常依赖于单一的安全机制来保护数据，一旦这一安全机制被破坏，整个系统的数据就会面临泄露的风险。

- 效率较低。

多组秘密共享方案可能需要花费大量的计算和存储资源来进行密钥管理、权限验证等操作，导致系统的效率较低。

- 可扩展性受限。

传统的多组秘密共享方案通常无法很好地适应数据规模的扩大，难以满足信息互联网时代大规模数据处理的需求。

针对传统多组秘密共享方案存在的问题，我们提出了一种改进的多组秘密共享方案设计。

该方案主要包括以下几个方面的改进：- 多层次的安全机制。

我们将安全机制设计为多层次的结构，不同的安全机制可以相互配合，提高整个系统的安全性。

可以采用混合加密算法来保护数据，同时引入多因素认证来加强权限验证等。

- 分布式计算架构。

改进的多组秘密共享方案采用分布式计算架构，通过合理地划分数据和任务，并利用集群计算和微服务架构等技术实现计算资源的高效利用，从而提高系统的效率。

- 弹性的扩展机制。

改进的多组秘密共享方案引入了弹性的扩展机制，可以根据实际的需求动态地扩展系统的计算和存储能力，以满足不断增长的数据规模。

为了实施改进的多组秘密共享方案，我们需要进行以下几个方面的工作：- 技术研发。

我们需要对改进的多组秘密共享方案进行技术研发，包括安全机制设计、分布式计算架构设计、弹性扩展机制设计等方面的工作，以确保方案可以在实际环境中有效地运行。

秘密共享体制的发展和应用Shamir的(k,n)门限秘密共享方案——密码学概论课作业1310648 许子豪摘要：近年来，由于网络环境自身的问题，网络环境己存在严峻的安全隐患;为了避免由于网络中重要信息和秘密数据的丢失、毁灭以及被不法分子利用或恶意篡改，而无法恢复原始信息，研究者提出利用秘密共享机制对数据进行处理，从而达到保密通信中，不会因为数据的丢失、毁灭或篡改，而无法恢复原始信息的目的。

从而吸引了越来越多的科研人员对该研究内容的关注。

秘密共享体制己经成为现代密码学的一个重要的研究领域，同时，它也成为信息安全中的重要的研究内容。

关键字：信息安全；秘密共享；秘钥管理。

一、秘密共享体制研究背景及意义随着计算机和网络通信的广泛应用，人们的生活越来越依赖电子通信，使用电子方式来存储重要档案的做法也越来越普遍，随之而来产生的对各种不同档案如何管理也成了很大的问题。

秘密共享思想的最初动机是解决密钥管理的安全问题。

大多情况下，一个主密钥控制多个重要文件或多个其他密钥，一旦主密钥丢失、损坏或失窃，就可能造成多个重要文件或其他密钥不可用或被窃取。

为了解决这个问题，一种方法是创建该密钥的多个备份并将这些备份分发给不同的人或保存在不同的多个地方。

但是这种方法并不理想，原因在于创建的备份数目越多，密钥泄漏的可能就越大但如果同时创建的备份越少，密钥全部丢失的可能也就越大。

秘密共享可解决上述问题，它在不增加风险的同时提高密钥管理的可靠性。

在秘密共享方案中，将需共享的秘密分成若干秘密份额也称子密钥、碎片，并安全地分发给若干参与者掌管，同时规定哪些参与者合作可以恢复该秘密，哪些参与者合作不能得到关于该秘密的任何信息。

利用秘密共享方案保管密钥具有如下优点：（1）为密钥合理地创建了备份，克服了以往保存副本的数量越大，安全性泄露的危险越大，保存副本越小，则副本丢失的风险越大的缺点。

（2）有利于防止权力过分集中以导致被滥用的问题。

（3）攻击者必须获取足够多的子密钥才能恢复出所共享的密钥，保证了密钥的安全性和完整性。

面向移动互联网的秘密共享方案研究一、引言随着移动互联网的快速发展，越来越多的人选择在移动设备上进行工作、学习和娱乐。

然而，随着用户数量的增加和数据交换量的增加，共享数据的安全性和隐私受到了越来越多的关注。

在这种情况下，秘密共享方案成为了一种很好的解决方案。

本文将针对面向移动互联网的秘密共享方案进行研究和探讨。

二、背景和意义现在，移动互联网已经悄然改变了人们的生活、工作和社交方式。

人们可以通过智能手机、平板电脑等移动设备轻松地进行各种操作，不再受时间、地点限制。

然而，大量的用户数据和隐私信息也相应地涌入了移动互联网中。

这些数据和信息可能包括个人身份证件、账号密码、社交网络账号、银行卡等敏感信息。

如果这些信息遭到非法分子的盗窃或滥用，后果不堪设想。

因此，如何确保移动互联网数据的安全性和隐私性，已经成为各个领域需要解决的难题。

在这种情况下，秘密共享方案成为了一种很好的解决方案。

秘密共享方案是指将一段数据拆分成多份数据，然后分别分发给多个参与者，只有当所有参与者汇聚数据后，才能得到原始数据。

通过这种方式，可以极大地提高数据的安全性和隐私性。

因此，本文将针对面向移动互联网的秘密共享方案进行研究和探讨，以期达到加强数据安全和保护用户隐私的目的。

三、秘密共享方案的基础1、Shamir秘密共享算法目前，最经典、最常用的秘密共享算法是Shamir秘密共享算法。

Shamir秘密共享算法是由以色列数学家Adi Shamir于1979年提出的，它利用插值的思想将一段数据拆分成n份数据，并将每个参与者各分配一份，只有当n份数据同时汇聚到一起，才能得到原始数据。

Shamir秘密共享算法的核心是多项式插值。

具体方法是，选取一条(n-1)次的多项式作为秘密函数，将其截取成n个点，每个参与者拥有其中的一个点。

由于多项式的插值恢复性，只有当n个点汇聚在一起时，才能重构出完整的多项式，进而得到原始的数据。

2、网络安全技术的发展随着网络技术的不断发展，安全技术也得到了不断的提升。

一个改进的防欺诈多组秘密共享方案随着互联网的发展和普及，网络安全问题也逐渐引起人们的关注。

在金融、电子商务和社交网络等领域，欺诈行为成为了一个严重的问题。

为了防止这些欺诈行为的发生，许多机构都在不断改进他们的防欺诈方案。

其中一个改进的防欺诈方案就是多组秘密共享方案。

本文将深入探讨这一方案的实现原理、优势和应用前景。

一、方案实现原理多组秘密共享方案是一种基于密码学技术的方案，通过将一个秘密信息分割成多个部分，并分发给不同的实体或设备，只有当这些部分全部被收集齐后才能还原出原始的秘密信息。

这种方案主要由两个部分组成，即秘密分割算法和秘密重构算法。

秘密分割算法的主要任务是将原始的秘密信息分割成多个部分，并生成一定数量的分割密钥。

这个过程通常采用多项式插值的方法来实现，具体来说就是通过选择一个随机的多项式，并在不同点上求出多个对应的值。

然后将这些值作为分割后的秘密信息的部分，而多项式本身的系数则作为分割密钥。

二、方案的优势多组秘密共享方案相比传统的秘密共享方案具有如下优势：1. 安全性高：多组秘密共享方案采用了密码学技术，密钥的分割和重构都是基于数学算法的，因此保密性更高，难以被攻破。

2. 可靠性强：由于秘密信息被分割成多个部分，并且需要达到一定数量的部分才能进行重构，因此即使部分秘密信息泄露，也不会导致整个秘密信息的泄露。

3. 灵活性大：多组秘密共享方案可以根据实际需求调整分割部分的数量和所需的部分数，适用性更广。

4. 容错性强：即使一些分割部分丢失或损坏，也能通过其他的分割部分和分割密钥进行秘密信息的重构，具有更好的容错性。

5. 可扩展性强：多组秘密共享方案可以扩展到多个秘密信息的共享，满足不同场景的需要。

三、方案的应用前景多组秘密共享方案具有广泛的应用前景，主要包括以下几个方面：1. 金融领域：在银行、证券等金融机构中，多组秘密共享方案可以用于保护客户的隐私信息和交易安全，防止账户被盗用和欺诈行为的发生。

一种安全的多使用门限多秘密共享方案①张　剑1,2, 林昌露1,2, 丁　健1,2, 林修慧1,2, 李朝珍1,21(福建师范大学 数学与信息学院, 福州 350117)2(福建师范大学 福建省网络安全与密码技术重点实验室, 福州 350007)通讯作者: 林昌露摘　要: 在多秘密共享方案中, 通常会生成大量公开值来保障多个秘密安全正确地重构, 同时参与者也需要保存大量信息. 为减少公开值的个数以及参与者所需保存的信息量, 本文基于中国剩余定理和Shamir(t , n )-门限秘密共享方案设计了一个子秘密可多使用的门限存取结构多秘密共享方案. 根据中国剩余定理将多项式产生的子秘密信息进行聚合生成公开值, 减少了公开值的个数; 应用转换值的方法和离散对数对参与者子秘密信息进行保护. 构造了具有以下特点的多秘密共享方案: 可一次共享多个秘密; 不同的秘密可对应不同门限的存取结构; 参与者可验证所恢复秘密值的正确性; 公开值个数更少; 参与者存储一个子秘密且子秘密可以多次使用.关键词: 秘密共享; 中国剩余定理; 门限存取结构; 可验证性; 多秘密引用格式: 张剑,林昌露,丁健,林修慧,李朝珍.一种安全的多使用门限多秘密共享方案.计算机系统应用,2021,30(5):276–281. /1003-3254/7904.htmlSecure Multi-Use Threshold Multi-Secret Sharing SchemeZHANG Jian 1,2, LIN Chang-Lu 1,2, DING Jian 1,2, LIN Xiu-Hui 1,2, LI Chao-Zhen 1,21(College of Mathematics and Informatics, Fujian Normal University, Fuzhou 350117, China)2(Fujian Provincial Key Lab of Network Security & Cryptology, Fujian Normal University, Fuzhou 350007, China)Abstract : In a multi-secret sharing scheme, a large number of public values are generated to ensure the secure and correct reconstruction of multi-secrets, and participants also need to keep a large amount of information. In order to reduce the number of public values and the information that participants should keep, this study designs a multi-secret sharing scheme based on the Chinese Remainder Theorem (CRT) and Shamir (t , n )-threshold secret sharing scheme in which shares can be used more than once. Specifically, the shares generated by polynomials are aggregated to generate public values by CRT, which reduces the number of public values. Transformed value and discrete logarithms are used to protect the shares of participants. In a multi-secret sharing scheme, multiple secrets can be shared at one time; different secrets can be shared in access structures with different thresholds; participants can verify the secrets recovered; the number of public values is fewer; each participant only needs to store one share which can be used repeatedly.Key words : secret sharing; Chinese Remainder Theorem (CRT); threshold access structure; verifiability; multi-secret秘密共享是网络通信中保护信息隐私性和安全性的一种非常有效的密码技术, 通过秘密共享技术可以实现将秘密信息共享给多个参与者. 1979年, Shamir [1] 和B l a k l e y [2]最先分别提出了门限秘密共享的概念.Shamir 则是利用有限域上的多项式设计的秘密共享方案, 而Blakey 利用超几何问题构造了秘密共享方案.计算机系统应用 ISSN 1003-3254, CODEN CSAOBNE-mail: Computer Systems & Applications,2021,30(5):276−281 [doi: 10.15888/ki.csa.007904] ©中国科学院软件研究所版权所有.Tel: +86-10-62661041① 基金项目: 国家自然科学基金 (U1705264); 福建省自然科学基金 (2019J01275); 广西可信软件重点实验室研究课题(KX202039)Foundation item: National Natural Science Foundation of China (U1705264); Natural Science Foundation of Fujian Province (2019J01275); Research Project of Guangxi Key Laboratory of Trusted Software (KX202039)收稿时间: 2020-09-18; 修改时间: 2020-10-13; 采用时间: 2020-10-16; csa 在线出版时间: 2021-04-28276Benaloh 和Leichter [3], Ito 等[4]分别提出基于授权集和非授权集的秘密共享方案, 实现了一般存取结构上的秘密共享. 为了防止秘密共享中参与者的欺骗行为, Chor 等[5]提出了可验证的秘密共享方案, 之后Stadler [6]提出了公开可验证秘密共享方案. 通常的秘密共享方案中,秘密分发者将秘密分为多份子秘密, 并按照一定的分发方式发送给参与者, 使得授权集中的参与者联合时可以恢复秘密, 非授权集中的参与者联合时不能恢复秘密.这些秘密共享方案均为单秘密的共享方案, 执行一次共享算法只能共享一个秘密, 但实际中经常需要共享多个秘密, 若采用这些共享方案则需要多次执行共享算法,从而使计算、存储和通信等方面的效率降低.(t ,n )k (k ,t ,n )(t ,n )t −1由于单秘密共享方案的局限性, 使得众多学者提出并研究多秘密共享. 1994年, He 和Dawson [7]基于单向函数提出了一个多阶段的-门限多秘密共享方案, 执行一次共享算法可共享多个秘密, 但该方案被Geng 等[8]证明子秘密不是多次使用的, 恢复全部的秘密后,参与者所保存的子秘密信息完全泄露, 即子秘密是一次性的. Shao [9]基于多项式方法提出了共享个秘密的-门限多秘密共享方案, 只需少量的公开值即可,但该方案实现的多秘密共享在秘密恢复阶段所有秘密同时恢复, 若参与者在保护秘密方面有疏漏, 则有可能会造成秘密信息的泄露. Wang 等[10]提出了一个可验证的门限多秘密共享方案, 该方案在实现Shao 方案[9]功能的基础上增加了参与者对分发者的验证以及参与者之间的验证功能, 并且子秘密可重复使用. 很多学者对可验证秘密共享方案进行研究, 曹阳等[11]提出了一种基于大整数分解可公开验证的秘密共享方案, 彭咏等[12]研究了一类基于格的可验证秘密共享方案. Harn 和Hsu [13]提出了基于双线性多项式的-门限多秘密共享方案, Zhang 等[14]证明了该方案在恢复一个秘密之后, 其余未恢复的秘密可由个参与者进行重构得到, 同时对其进行改进, 提出了新的秘密共享方案并解决了Harn 和Hsu [13]方案中的安全隐患. 这些方案实现的多秘密共享对应的存取结构为单一门限的门限存取结构, 事实上在不同的存取结构中共享多个秘密具有更强的实用性, 因此有很多学者研究了关于多存取结构的多秘密共享方案.2007 年, Geng 等[8]在He 和Dawson 方案[7]的基础上进行改进, 提出了多存取结构上参与者子秘密可多次使用的门限多秘密共享方案, 使得参与者子秘密在恢S 1,S 2,···,S k S 1S k 复一轮多秘密之后, 子秘密的信息仍是保密的, 从而子秘密具有可多次使用的性质. 为了防止参与者在秘密恢复时的不诚实行为, Chen 等[15]提出了一个可验证的门限多秘密方案, 该方案可对参与者发送的子秘密进行验证, 防止参与者的欺骗行为, 但子秘密不具有多次使用的性质. Mashhadi [16]基于线性反馈移位寄存器提出了一个多步的秘密共享方案, 该方案在秘密重构阶段可采用求解范德蒙方程和计算Lagrange 插值两种方法进行秘密恢复, 但秘密恢复必须按照固定的顺序进行.Zarepour-Ahmadabadi 等[17]提出一个具有可信第三方的渐进门限秘密共享方案, 多个秘密按照预设的顺序进行重构, 并且每个秘密对应不同的存取结构, 若秘密恢复顺序为, 对应的门限值逐渐变大, 即门限值最小, 门限值最大. 该方案与前面几个多秘密方案相比公开值最少, 但该方案需要借助可信第三方实现多秘密共享, 参与者存储的子秘密包含两部分, 且子秘密不具有多次使用的性质. 考虑多秘密方案在公开值个数、多秘密恢复的顺序性、存取结构的多样性以及子秘密的多使用性等方面存在的问题, 本文提出一个更加高效的多秘密共享方案, 具有如下特点:(1)参与者存储的子秘密只有一份;(2)参与者的子秘密可多次使用;(3)不同的秘密对应不同的存取结构;(4)秘密重构时可按任意顺序进行恢复;(5)实现多秘密的公开值个数少.本文应用中国剩余定理, 将其作为公开值聚合的工具来减少公开值的个数, 基于多项式的方法提出了一个子秘密可多次使用的门限多秘密共享方案, 其中参与者只需存储一个子秘密即可, 同时公开值的个数与其他方案相比也是最少的, 并且不同的秘密可对应不同的门限值, 在秘密恢复时可以按照任意的顺序进行秘密的重构, 不需要按照特定的顺序, 具有更好的灵活性.文中剩余部分按照如下安排: 第1节介绍相关的预备知识; 第2节介绍方案的具体构造以及方案的安全性分析; 第3节对几个多秘密共享方案进行比较分析; 第4节是方案的总结.1 预备知识(t ,n )这一部分将分别对存取结构, 中国剩余定理, 离散对数问题和Shamir -门限秘密共享方案等内容进行简单的介绍.2021 年 第 30 卷 第 5 期计算机系统应用2771.1 存取结构P ={P 1,P 2,···,P n }Γ(⊂2P )P 2P P ¯Γ=2P −Γ设n 个参与者的集合为, 存取结构为的一族可以恢复出秘密S 的子集的集合, 这些集合称为授权集, 为的幂集. 不能恢复出秘密的参与者集合为非授权集, 所有非授权集的集合为非存取结构, 记作 .存取结构Γ具有单调性, 即:(t ,n )Γ={A ⊂P||A |≥t }对于一个-门限秘密共享方案而言, 任意大于等于t 个参与者可恢复秘密S , 任意小于t 个参与者不能恢复秘密S , 即其存取结构为.若一个秘密共享方案满足:∀A ∈Γ(1)正确性: 对于, A 中参与者的子秘密联合可正确恢复出秘密S ;∀B ∈¯Γ(2)安全性: 对于, B 中的参与者联合不能得到关于秘密S 的任何信息.则称该方案为完备的秘密共享方案[18].1.2 中国剩余定理中国剩余定理(Chinese Reminder Theorem)[19]又称孙子定理, 简记为CRT, 是中国古代求解一次同余式的方法. 中国剩余定理基本内容表述如下:m 1,m 2,···,m n r 1,r 2,···,r n r i ∈Z m i (i =1,2,···,n )Z m i m i 随机选择两两互素的整数, 对于任意的整数, 满足, 为整数模的剩余类群. 则下列同余方程组:Y =n ∑i =1r i ·M i ·b i (mod M )M =n ∏i =1m i ,M i =M /m i ,b i =M −1i (mod m i )Y =CRT (r 1,r 2,···,r n )在模M 下有唯一解, 其中, , 记为.1.3 离散对数问题F q q g F ∗q a =g k (mod q )a ∈F q a ∈F q k =log g a (mod q )设为有限域, 为一个素数, 为乘法群中的生成元, 任取一个整数k , 则计算可知.反之, 已知, 要计算, 称为离散对数问题[20].由于对一般阶数较大的有限域上离散对数问题至今没有一个高效的求解算法, 所以在密码方案的构造过程中, 总是假设在有限域上求解离散对数问题是困难的.(t ,n )1.4 Shamir -门限秘密共享方案(t ,n )t t −1p >n p >n P 1,P 2,···,P n Shamir -门限秘密共享方案[1]根据门限值构造次多项式, 将秘密 (p 为大素数, )作为常数项, 计算n 个点处的函数值作为n 个参与者的子秘密. 将秘密拆分为n 份并发送给n 个参与者,使得任意大于等于t 个参与者可以重构出秘密S , 任意少于t 个参与者不能得到秘密S 的任何信息. 具体秘密分发及重构过程如下:秘密分发阶段:t −1(1)分发者D 选择一个次多项式a 0=S a 1,a 2,···,a t −1F p 其中, 为秘密值, 为随机选择的中的元素;f (i )P i (i =1,2,···,n )(2) D 计算作为参与者的子秘密, 并通过安全信道分别发送给对应的参与者.秘密重构阶段:P 1,P 2,···,P t f (1),f (2),···,f (t )(3)不妨假设进行秘密重构的参与者为,分别将子秘密安全地发送给秘密重构者C ;(4)秘密重构者C 根据Lagrange 插值公式计算得到秘密:(t ,n )Shamir -门限秘密共享方案满足:f (x )(1)任意大于等于t 个参与者可以根据Lagrange 插值公式重构出多项式, 从而可正确恢复出秘密S ,满足正确性;f (x )(2)任意少于t 个参与者无法重构出多项式,因此无法重构得到关于秘密S 的任何信息, 满足安全性条件.(t ,n )因此, Shamir -门限方案是完备秘密共享方案.2 方案构造与分析S 1,S 2,···,S k ∈F p S j (j =1,2,···,k )t j Γj ={A ⊂P||A |≥t j }(t ,n )本节介绍方案的具体构造, 证明了方案的正确性和安全性、子秘密可多次使用性. 设k 个秘密为, 每个秘密对应的存取结构为门限值为的门限存取结构, 即. 本文选择转换值的方法进行秘密隐藏, 同时根据Shamir-门限方案的分发算法为参与者提供伪子秘密, 引计算机系统应用2021 年 第 30 卷 第 5 期278入中国剩余定理将多项式生成的n 个函数值进行聚合作为公开值, 从而达到最大程度减少公开值个数的目的.2.1 具体构造m 1,m 2,···,m n m i ≥p (i =1,2,···,n )p |(q −1)F q h (·)分发者选取素数p 和两两互素的正整数, 使得. 选择满足的素数q , 取的p 阶元g , 以及公开的单向Hash 函数.x 1,x 2,···,x n ∈F ∗p P 1,P 2,···,P n S j (j =1,2,···,k )随机选择为参与者的公开信息. 对秘密的共享如下:(1)秘密分发阶段分发者进行如下操作:a j ,a j ,1,a j ,2,···,a j ,t j −1∈F p ① 随机选择元素, 构造多项式:f j (x )=a j +a j ,1x +a j ,2x 2+···+a j ,t j −1x t j −1(mod p );f j (x )x 1,x 2,···,x n f j (x 1),f j (x 2),···,f j (x n )② 计算在处的值, 并根据中国剩余定理计算公开值:PS j =(f j (x 1),f j (x 2),···,f j (x n ))CRT ;a j g a j (mod p )V j =S j ⊕g a j ③ 根据g 与随机值, 计算, 计算并公开转换值, 这里⊕为比特的异或运算;m i P i ,i =1,2,···,n S j h j =h (S j )④ 将作为子秘密通过安全信道发送给参与者, 计算并公开秘密的Hash 值.(2)秘密重构阶段t j P j 1,P j 2,···,P j t j S j P j ,i (i =1,2,···,t j )S H j ,i (i =1,2,···,t j )任意个参与者要重构秘密, 参与重构的参与者发送伪子秘密给恢复者, 由恢复者进行秘密的计算. 参与者和恢复者分别进行以下操作:P j ,i (i =1,2,···,t j )PS j f j (x j ,i )≡PS j (mod m j ,i )S H j ,i ≡g f j (x j ,i )(mod p )① 参与者: 参与秘密重构的参与者根据公开值计算, 之后计算伪子秘密并发送给恢复者.② 恢复者: 根据参与者发送的伪子秘密, 恢复者计算:b i =t j∏k =1,k ix j ,kx j ,k −x j ,i V j S j =V j ⊕g a j S j S j 其中, . 再根据转换值计算恢复秘密, 并将秘密返回给参与重构的全部参与者.(3)秘密验证阶段S j h (S j )=h j 参与者收到恢复者发送的秘密时, 可通过验证等式是否成立来判断所恢复秘密的正确性.2.2 方案分析(t ,n )本文方案的安全性与Shamir -门限方案的安全性一致, 同时方案的构造是基于中国剩余定理的性质和有限域上离散对数求解的困难性. 定理2.1证明了方案的正确性、安全性, 定理2.2分析了子秘密的可多次使用性.S j (t j ,n )定理2.1. 在共享秘密时, 本文构造的方案是安全的-门限秘密共享方案.证明: 分别从门限方案的正确性和安全性证明本文的方案是一个完备的秘密共享方案:t j S j (1)正确性: 任意大于等于个参与者可以正确恢复出秘密;t j S j (2) 安全性: 任意少于个参与者无法得到关于秘密的任何信息.t j PS j f j (x j ,i )≡PS j (mod m j ,i ),i =1,2,···,t j S H j ,i ≡g f j (x j ,i )(mod p )方案正确性: 在进行秘密重构时, 任意至少个参与者参与, 根据公开值与子秘密分别进行计算, 再计算伪子秘密发送给恢复者. 恢复者根据参与者发送的信息计算:S j V j S j =V j ⊕g a j S j 再根据公开信息中对应的转换值, 恢复者可进行比特的异或运算从而恢复秘密.S u ,S v (u v )V u =S u ⊕g a u ,V v =S v ⊕g a v a u ,a v S u S v 方案安全性: 对于不同的秘密, 分别对应不同的公开转换值, 这里均为分发者构造多项式选取的随机值. 因此, 不同的秘密重构时是相互独立的, 当参与者恢复秘密时,不能得到关于秘密的任何信息.P 1,P 2,···,P t j −1S j S j g f j (1),g f j (2),···,g f j (t j −1)f j (x )t j −1t j −1t j −1f j (x )g a j S j =V j ⊕g a j t j −1S j 假设想重构秘密, 包含秘密部分信息的只有参与者提供的伪子秘密. 由于为次多项式, 故只有个参与者时, 只能构造个方程, 无法计算多项式, 从而不能计算得到. 又因为, 所以任意个参与者不能得到秘密的任何信息.P i 1m i 1P i 2m i 2P i 1P i 2m i 2S j PS j f j (x i 2)S H ji 2t j t j S j 设参与者的子秘密为, 参与者的子秘密为, 根据中国剩余定理的性质, 由于参与者无法得到参与者的子秘密, 因此不能由秘密的公开值得到, 即不能得到对应的伪子秘密. 从而只有当参与者个数达到门限值才能得到至少个伪子秘密进行秘密重构, 从而恢复秘密.2021 年 第 30 卷 第 5 期计算机系统应用279定理2.2. 本文构造的方案中, 参与者的子秘密具有安全性; 在秘密重构阶段不会泄露参与者保存的子秘密信息, 子秘密具有重复使用性.S j P i f j (x i )≡PS j (mod m i )P i f j 1(x i ),···,f jl (x i )证明: 在重构秘密时, 参与者根据公开值计算, 若攻击者能够得到参与者的多个信息, 即有同余方程组:P i m i m i S H j ,i ≡g f j (x i )(mod p )S H j ,i f j (x i )P i f j (x i )m i 可以得到关于参与者的子秘密的部分信息,甚至得到子秘密. 但本方案中参与者发送给秘密恢复者的伪子秘密为, 由于求解有限域上离散对数问题是困难问题, 根据伪子秘密无法求解, 因此攻击者无法得到与参与者在秘密重构阶段产生的任何信息, 进而无法获取上述同余方程组, 保证了参与者的子秘密在秘密重构阶段的私密性. 因此参与者的子秘密具有可重复使用性,若再次执行秘密共享方案, 可不改变参与者的子秘密,仍能进行安全的多秘密共享. 从而减少子秘密分发时产生的通信量, 并且参与者无需增加信息的存储量.3 方案比较本文构造的方案中应用中国剩余定理作为聚合生成公开值的工具, 将根据Shamir(t ,n )-门限方案生成的n 个伪子秘密进行聚合产生一个公开值. 因此k 个秘密对应产生k 个聚合的公开值以及k 个转换值, 只需要2k 个公开值即可共享多个秘密, 在分发多秘密时, 每个参与者只需存储一个子秘密即可, 并且参与者所存储的子秘密可多次使用. 同时每个秘密可对应不同的存取结构, 实现了多存取结构的秘密共享. 在秘密恢复阶段, 本文的方案不需要按照固定顺序进行秘密重构, 在需要恢复哪个秘密时, 根据对应的公开值进行重构即可. 因此可以减少一次性重构全部秘密和固定顺序重构秘密带来的安全隐患.n 2表1中对比的3个方案均为子秘密可多使用的多秘密共享方案. 其中Geng 等的方案[8]应用单向函数以及离散对数问题, 保护子秘密的安全性, 但所产生的公开值个数为, 同时该方案中的秘密值是根据构造的多项式常数项求模指数运算得到的, 不具有一般性.Wang 等的方案[10]利用RAS 算法实现, 参与者参与重2k 构秘密时, 根据子秘密计算一个伪子秘密发送给重构者, 通过伪子秘密无法计算子秘密信息, 实现了子秘密的保护, 但在秘密重构阶段该方案一次恢复全部秘密.Mashhadi 方案[16]在秘密恢复时限制了秘密的重构顺序, 恢复某个秘密必须先恢复前面所有的秘密. 本方案共享的秘密可以为任意信息, 每个秘密可选择不同的存取结构进行共享, 可灵活地根据需要在秘密分发阶段选择合适的门限存取结构. 在共享秘密时, 根据不同的门限值构造随机多项式生成秘密的掩盖值, 对秘密进行隐藏生成的公开值个数为, 远小于其他几个方案产生的公开值个数, 并且不同秘密在共享时为相互独立的, 因此在秘密重构时可根据需要恢复对应的秘密值.表1 子秘密可多使用秘密共享方案对比方案公开值个数秘密恢复顺序存取结构Geng 等[8]n 2任意顺序多存取结构Wang 等[10]2n +m −t +1一次恢复单一存取结构Mashhadi [16]≤k (n −t 1+2)固定顺序多存取结构本文方案2k任意顺序多存取结构2(k −t )∑ki =1(n −t i +1)2k Shao 的方案[9]构造两个不同的多项式, 产生的公开值为个, 但Shao 的方案子秘密不具有多使用性, 并且所有秘密为一次性全部恢复的; Chen 等的方案[15]虽然在秘密恢复时可以按任意顺序恢复, 但其公开值个数为, 大于本方案的; Zarepour-Ahmadabadi 等的方案[17]公开值个数为k 个, 但需要可信第三方参加秘密重构, 并且参与者的子秘密不具有多使用性. 表2中通过3个方案的比较, 说明了本方案与其他几种公开值个数较少的多秘密共享方案在秘密恢复、存取结构、参与者保存的子秘密个数以及子秘密的安全性等方面进行对比具有更好的性质.表2 多秘密共享方案性能对比方案秘密恢复顺序存取结构参与者子秘密个数子秘密多使用性Shao [9]一次性恢复单一存取结构1不可多使用Chen 等[15]任意顺序多存取结构1不可多使用Zarepour-Ahmadabadi 等[17]固定顺序多存取结构2不可多使用本文方案任意顺序多存取结构1可多使用4 结论(t ,n )本文基于Shamir -门限秘密共享方案, 应用中国剩余定理作为聚合的工具生成公开值, 提出了一个计算机系统应用2021 年 第 30 卷 第 5 期280子秘密可多次使用的多秘密共享方案. 该方案一次分发多个秘密, 每个秘密可以对应不同的门限结构, 同时参与者只存储一个子秘密. 在秘密重构阶段可根据需要恢复对应的秘密, 参与者根据不同秘密的公开值信息进行计算, 生成伪子秘密参与秘密重构, 最后根据对应的转换值计算得到秘密. 同时参与者可以根据公开的Hash 函数对恢复的秘密进行计算, 通过与分发者的公开承诺值进行比较对所恢复的秘密进行验证. 分析表明, 与现有的部分多秘密共享方案相比, 本文的方案在公开值个数以及子秘密的多使用性等方面有更好的性能.参考文献Shamir A. How to share a secret. Communications of theACM, 1979, 22(11): 612–613. [doi: 10.1145/359168.359176]1Blakley GR. Safeguarding cryptographic keys. Proceedingsof the AFIPS 1979 National Computer Conference. New York, NY, USA. 1979.313–317. [doi: 10.1109/AFIPS.1979.98]2Benaloh J, Leichter J. Generalized secret sharing andmonotone functions. Advances in Cryptology. New York,NY, USA. 1988. 27–35. [doi: 10.1007/0-387-34799-2_3]3Ito M, Saito A, Nishizeki T. Secret sharing scheme realizinggeneral access structure. Electronics and Communications in Japan (Part Ⅲ-Fundamental Electronic Science), 1989, 72(9):56–64. [doi: 10.1002/ecjc.4430720906]4Chor B, Goldwasser S, Micali S, et al . Verifiable secretsharing and achieving simultaneity in the presence of faults.26th Annual Symposium on Foundations of Computer Science. Portland, OR, USA. 1985. 383–395. [doi: 10.1109/SFCS.1985.64]5Stadler M. Publicly verifiable secret sharing. InternationalConference on Advances in Cryptology. Saragossa, Spain. 1996. 190–199. [doi: 10.1007/3-540-68339-9_17]6He J, Dawson E. Multistage secret sharing based on one-wayfunction. Electronics Letters, 1994, 30(19): 1591–1592. [doi:10.1049/el:19941076]7Geng YJ, Fan XH, Fan H. A new multi-secret sharingscheme with multi-policy. The 9th International Conference on Advanced Communication Technology. Okamoto, Kobe,8Japan. 2007.1515–1517. [doi: 10.1109/ICACT.2007.358655]Shao J. Efficient verifiable multi-secret sharing scheme basedon hash function. Information Sciences, 2014, 278: 104–109.[doi: 10.1016/j.ins.2014.03.025]9Wang N, Cai YY, Fu JS, et al . Information privacyprotection based on verifiable (t , n )-threshold multi-secret sharing scheme. IEEE Access, 2020, 8: 20799–20804. [doi:10.1109/ACCESS.2020.2968728]10曹阳. 基于大整数分解可公开验证的秘密共享方案. 计算机系统应用, 2016, 25(3): 271–273.11彭咏, 邵培南, 李翔, 等. 基于格的可验证秘密共享方案. 计算机系统应用, 2020, 29(1): 225–230. [doi: 10.15888/ki.csa.007208]12Harn L, Hsu CF. (t , n ) multi-secret sharing scheme based onbivariate polynomial. Wireless Personal Communications,2017, 95(2): 1495–1504. [doi: 10.1007/s11277-016-3862-z ]13Zhang T, Ke XZ, Liu YX. (t , n ) multi-secret sharing schemeextended from Harn-Hsu ’s scheme. Eurasip Journal on Wireless Communications and Networking, 2018, 2018(1):71. [doi: 10.1186/s13638-018-1086-5]14Chen D, Lu W, Xing WW, et al . An efficient verifiablethreshold multi-secret sharing scheme with different stages.IEEE Access, 2019, 7: 107104–107110. [doi: 10.1109/ACCESS.2019.2929090]15Mashhadi S. How to fairly share multiple secrets stage bystage. Wireless Personal Communications, 2016, 90(1):93–107. [doi: 10.1007/s11277-016-3332-7]16Zarepour-Ahmadabadi J, Shiri-Ahmadabadi M, Miri A, et al .A new gradual secret sharing scheme with diverse access structure. Wireless Personal Communications, 2018, 99(3):1329–1344. [doi: 10.1007/s11277-017-5187-y ]17Tassa T. Hierarchical threshold secret sharing. Journal ofCryptology, 2007, 20(2): 237–264. [doi: 10.1007/s00145-006-0334-8]18Odlyzko AM. Discrete logarithms in finite fields and theircryptographic significance. Proceedings of EUROCRYPT 84A Workshop on Advances in Cryptology. Paris, France.1985. 224–314. [doi: 10.1007/3-540-39757-4_20]19Trotter H. Book Review: A course in computationalalgebraic number theory. Bulletin of the American Mathematical Society, 1994, 31(2): 312–318. [doi: 10.1090/S0273-0979-1994-00542-7]202021 年 第 30 卷 第 5 期计算机系统应用281。

本栏目责任编辑：梁书计算机工程应用技术安全公平理性秘密共享方案周全兴，吴冬妮，李秋贤（凯里学院，贵州凯里556011）摘要：传统秘密共享方案因未考虑参与者的自利行为而导致方案的效率较低。

为了提高秘密共享的通信效率和安全性，结合博弈论与双线性映射技术，设计公平的理性秘密共享方案。

首先，在博弈论框架下引入理性参与者并设计理性秘密共享博弈模型；其次，利用双线性映射技术保证方案和理性参与者的可验证性和公平性；最后，通过对方案进行性能分析，表明了该方案不仅保证了安全性，并且有较高的秘密共享通信效率。

关键词:理性秘密共享;博弈论;双线性映射;公平性;通信效率中图分类号：TP309文献标识码：A文章编号：1009-3044(2021)05-0250-02开放科学（资源服务）标识码（OSID ）：Safe and Fair Rational Secret Sharing Scheme ZHOU Quan-xing,WU Dong-ni,LI Qiu-xian(Kaili University,Kaili 556011,China)Abstract ：Traditional secret sharing schemes do not take into account the self-interested behavior of participants,which leads to low efficiency of the scheme.In order to improve the communication efficiency of secret sharing,game theory and bilinear mapping technology are combined to design a fair and rational secret sharing scheme.Firstly,introduce rational participants and design a ra⁃tional secret sharing game model under the framework of game theory.Secondly,this paper uses bilinear mapping technology to en⁃sure the verifiability and fairness of the solution and rational participants.Finally,the performance analysis of the scheme shows that the scheme not only guarantees safety,but also has higher communication efficiency.Key words:rational secret sharing;game theory;bilinear pairings;fairness;communication efficiency1引言近年来，秘密共享[1]已成为现代密码学的重要研究领域，在研究各类密码协议中起着越来越重要的作用。

一个新的可验证多秘密共享方案随着信息传输和存储的需求不断增加，如何保护隐私和安全成为了一个重要的议题。

在许多情况下，多方需要共享一些敏感信息，但又不希望任何一方能够单独掌握所有的信息。

为了解决这个问题，提出了一种新的可验证多秘密共享方案。

这个方案基于Shamir的秘密共享方案和零知识证明技术，具有以下特点：1.多秘密共享的可靠性：在该方案中，多个秘密被拆分成多个部分，并分别分发给不同的参与方。

每个参与方只能获得部分秘密，需要所有参与方齐心协力才能还原出完整的秘密。

这种方式保证了秘密的安全性和可靠性。

2.可验证性和不可篡改性：在方案中，每个参与方都可以通过零知识证明来验证其他参与方所持有的信息是否正确，从而确保了信息的真实性。

此外，方案还具有不可篡改性，任何一方都无法伪造或篡改信息。

3.高度的隐私保护：由于每个参与方只持有部分秘密，其他方无法单独获知完整的信息。

即使有些参与方相互合谋，也无法还原出完整的秘密信息。

这种设计保护了秘密信息的隐私。

4.动态性和灵活性：该方案能够应对不同场景下的需求，灵活地扩展参与方的数量和秘密的复杂度。

而且，方案还支持动态添加或移除参与方，保证了系统的灵活性。

5.高效性和低成本：相比传统的密钥分发方式，该方案减少了信息的传输和存储成本，提高了通信效率和系统的可扩展性。

同时，采用零知识证明技术也减少了通信量和计算开销。

在该方案中，每个参与方首先将自己的秘密进行拆分，并分发给其他参与方。

每个参与方之间通过零知识证明验证所持有的信息的正确性，然后合作还原出完整的秘密。

在整个过程中，每个参与方都可以通过公开的验证算法来验证其他方的行为，确保信息的真实性和完整性。

总的来说，这个可验证多秘密共享方案结合了Shamir的秘密共享方案和零知识证明技术，具有可靠性、可验证性、隐私保护、动态性、高效性和低成本等优点。

在信息安全和隐私保护领域具有重要的应用前景。

秘密共享作为密码学的一个原语（primitive ），广泛应用在各种密码系统的构造，比如：安全多方计算[1-2]、组认证[3]、门限密码系统[4-5]等。

最早在1979年，由Shamir [6]和Blakley [7]提出的门限秘密共享的概念。

通常来说，门限秘密共享是用来保护秘密一种手段，通过将秘密分割成n 份子份额（share ），其中任意的t 份组合在一起可以恢复出秘密。

到目前为止，提出的门限秘密共享方案，主要分为以下几类，一类是Shamir 提出的用拉格朗日差值多项式实现的门限秘密共享。

一类是Massey [8]提出的使用线性码来实现门限秘密共享。

还有一类是Mignotte [9]和Asmuth-Bloom [10]提出的用中国剩余定理实现的门限秘密共享方案。

在门限秘密共享中，任意的t 个子份额的组合能够恢复出秘密。

当参与者人数为k (k >t )个时，实际只需要用到t 个份额就可以恢复秘密。

多出的子份额对恢复秘密没有任何帮助。

这就会带来问题，当k (k >t )个参与者参与恢复秘密时，这t 个子份额到底由谁出。

在理想的通信模型下，k (k >t )个参与者同时发送子份额，就会假定k (k >t )个参与者会同时收到除自身以外的k -1个理想型(t ,k ,n )紧耦合秘密共享构造白建峰，苗付友中国科学技术大学计算机科学与技术学院，合肥230027摘要：在(t ,n )门限秘密共享恢复过程中，任意多于t 个的参与者可以恢复得到秘密。

但是在实际的应用过程中，当参与者人数为k (t ≤k ≤n )时，只需获得t 个参与者的份额（share ）即可恢复秘密，即使其中的k -t 个参与者不提供子份额。

(t ,k ,n )紧耦合秘密共享是指在(t ,n )门限秘密共享中，当参与者人数为k 时，k 个参与者作为一个整体，其中的每个人均参与到秘密恢复中，任意的k -1个参与者无法获取秘密的任何信息。

基于云外包的秘密共享方案汇报人：日期:CATALOGUE目录•引言•基础知识•基于云外包的秘密共享方案设计•方案实现与测试分析•安全性证明与性能评估•总结与展望01引言云计算技术的快速发展为秘密共享方案提供了新的研究背景。

云计算发展信息安全需求云外包优势网络信息安全形势日益严峻，秘密共享作为信息安全领域的重要技术，其研究具有重要意义。

云外包模式可以降低秘密共享方案的实施成本，提高方案的灵活性和可扩展性。

030201研究背景与意义国内学者在秘密共享方案的研究方面取得了一系列重要成果，如基于属性的秘密共享、动态秘密共享等。

国内研究现状国外学者在云外包模式下的秘密共享方案研究方面具有较高的研究水平，提出了一系列高效的方案。

国外研究现状未来秘密共享方案的研究将更加注重安全性、实用性和效率，结合云计算、大数据、人工智能等新技术进行深入研究。

发展趋势国内外研究现状及发展趋势本研究将针对云外包模式下的秘密共享方案进行深入研究，提出一种新型的方案，并对其安全性和性能进行分析和评估。

本研究旨在解决现有秘密共享方案在云外包模式下存在的安全问题，提高方案的安全性和实用性，为信息安全领域提供新的技术支持。

本研究将采用理论分析、数学建模和实验验证等方法进行研究。

首先，对云外包模式下的秘密共享方案进行理论分析，建立数学模型；其次，基于数学模型设计新型的秘密共享方案，并对其安全性和性能进行理论分析；最后，通过实验验证新型方案的有效性和优越性。

研究内容研究目的研究方法研究内容、目的和方法02基础知识秘密共享概念及原理定义秘密共享是一种将秘密信息拆分成多个份额，并分配给不同参与者的技术，只有特定数量的参与者合作才能重构出原始秘密信息。

原理秘密共享方案通常基于多项式插值、拉格朗日插值等数学方法，通过构造多项式函数并将秘密信息作为多项式的常数项，将份额分配给参与者。

当参与者数量达到门限值时，可以利用他们的份额重构出多项式，并进而计算出原始秘密信息。