N个Shamir门限秘密共享方案组合的通用可验证性设计

基于Shamir秘密共享的可验证多秘密共享模型摘要:多秘密共享技术影响着信息安全和密码学在新型网络应用中的发展。

分析了两种YCH改进和一种基于齐次线性递归的多秘密共享方案，基于Shamir秘密共享提出并实现了一种新的可验证的多秘密共享模型，该模型在秘密合成阶段的时间复杂度为O(k×t2)，优于两种YCH改进模型(O(t3)(t>k)O(k3)(t≤k),O(k×(n+k)2))，实际模拟中秘密合成时间则少于其他三种模型，并且分析了四种模型在时间复杂度、可验证性和公开值等方面的优劣性。

在n>k时，新模型所需公开值小于其他三种模型，实验结果表明，新模型在秘密分发时间和秘密合成时间方面均优于其他三种模型。

关键词: 多秘密共享；lagrange插值；齐次线性递归；Shamir秘密共享中图分类号: TP393 文献标识码: AVerifiable multi-secret sharing scheme based on Shamir secretsharingAbstract:The development of the information security and cryptography in the new network applications is influenced by multi-secret sharing technology. In this paper, we analyse two kinds of improved YCH and a multi-secret sharing solution based on homogeneous linear recursion, and we propose and realize a new verifiable multi-secret sharing model based on Shamir secret sharing, the time complexity of this model in the phase of secrets recovery is O(k×t2), which is superior to other two kinds of improved YCH model (O(t3)(t>k) O(k3)(t≤k) ,O(k×(n+k)2)), the time of secrets synthesis in the actual simulation is less than the other three models, and we also analyse the advantages and disadvantages of the four models on the time complexity ,verifiability and open values. When n> k, the open values which the new model needs are fewer than that of the other three models, the experimental results show that the new model is better than the other three models on the time of secrets distribution and secrets recovery.Key words:Multi-secret sharing;Lagrange interpolation polynomial;Homogeneous linear recursion; Shamir secret sharing1引言秘密共享在导弹发射、电子商务、电子选举和安全多方计算等方面有着广泛的应用。

Shamir秘密共享⽅案（Python）Shamir’s Secret Sharing scheme is an important cryptographic algorithm that allows private information— “secrets” — to be distributedsecurely amongst an untrusted network.Shamir’s method for secret sharing relies on polynomial interpolation, which is an algebraic method of estimating unknown values in a gapbetween two known data points — without needing to know anything about what is on either side of those points.SSS encodes a “secret” into a polynomial, then splits it into pieces and distributes it It’s possible to use polynomial interpolation to efficientlyreconstruct that secret without requiring every single share. Instead only the threshold is needed, which provides enough points of data tocorrectly estimate the values between gaps in the encrypted shares.Shamir秘密共享⽅案，叫做Shamir Secret Sharing, SSS。

一种可验证和高效的多秘密共享门限方案步山岳;王汝传【期刊名称】《计算机科学》【年(卷),期】2011(038)001【摘要】已公开的门限多秘密共享方案大都是利用RSA,ECC等公钥体制来提高安全性,其占用的资源较多,速度慢.提出了一种新的多秘密共享(t,n)门限方案,该方案是在shamir秘密共享方案的基础上,利用拉格朗日插值多项式方法进行秘密分割和重构,利用NTUR算法和单向散列函数进行数据合法性验证.方案设计简单、计算量小、存储量少,能有效检测出各种欺骗、伪造行为,以确保恢复的秘密是安全和可信的.%In most of the multi-secret sharing schemes alreadypublished,RSA,ECC or other public key cryptosystems are used to improve security. But such schemes would take up lots of resources and result inlow speed. We proposed a new multi-secret sharing(t,n) threshold scheme based on shamir secret-sharing scheme, using the Lagrange interpolating polynomial to split and reconstruct the secrets and the NTRU and one-way hashing function to verify the validity of data. The scheme is simple in design and requires limited calculation and limited storage space. It can detect effectively a variety of cheating or forgery behaviors and guarantee that the reconstruction of the secret is the secure and trustworthy.【总页数】4页(P100-103)【作者】步山岳;王汝传【作者单位】淮阴工学院计算机工程学院,淮安,223002;南京邮电大学计算机学院,南京,210003【正文语种】中文【中图分类】TP309【相关文献】1.一种可验证的（t，n）门限秘密共享方案 [J], 史英杰2.一种安全的公开可验证门限多秘密共享方案 [J], 刘佳;韩文报3.高效可验证的门限多秘密共享体制 [J], 李雄;李志慧;彭清艳4.一种基于大数分解和求解离散对数的可验证(k,n)门限秘密共享方案 [J], 马春波;何大可5.一种高效的可验证的多秘密共享方案 [J], 贾小军因版权原因，仅展示原文概要，查看原文内容请购买。

秘密共享体制的发展和应用Shamir的(k,n)门限秘密共享方案——密码学概论课作业1310648 许子豪摘要：近年来，由于网络环境自身的问题，网络环境己存在严峻的安全隐患;为了避免由于网络中重要信息和秘密数据的丢失、毁灭以及被不法分子利用或恶意篡改，而无法恢复原始信息，研究者提出利用秘密共享机制对数据进行处理，从而达到保密通信中，不会因为数据的丢失、毁灭或篡改，而无法恢复原始信息的目的。

从而吸引了越来越多的科研人员对该研究内容的关注。

秘密共享体制己经成为现代密码学的一个重要的研究领域，同时，它也成为信息安全中的重要的研究内容。

关键字：信息安全；秘密共享；秘钥管理。

一、秘密共享体制研究背景及意义随着计算机和网络通信的广泛应用，人们的生活越来越依赖电子通信，使用电子方式来存储重要档案的做法也越来越普遍，随之而来产生的对各种不同档案如何管理也成了很大的问题。

秘密共享思想的最初动机是解决密钥管理的安全问题。

大多情况下，一个主密钥控制多个重要文件或多个其他密钥，一旦主密钥丢失、损坏或失窃，就可能造成多个重要文件或其他密钥不可用或被窃取。

为了解决这个问题，一种方法是创建该密钥的多个备份并将这些备份分发给不同的人或保存在不同的多个地方。

但是这种方法并不理想，原因在于创建的备份数目越多，密钥泄漏的可能就越大但如果同时创建的备份越少，密钥全部丢失的可能也就越大。

秘密共享可解决上述问题，它在不增加风险的同时提高密钥管理的可靠性。

在秘密共享方案中，将需共享的秘密分成若干秘密份额也称子密钥、碎片，并安全地分发给若干参与者掌管，同时规定哪些参与者合作可以恢复该秘密，哪些参与者合作不能得到关于该秘密的任何信息。

利用秘密共享方案保管密钥具有如下优点：（1）为密钥合理地创建了备份，克服了以往保存副本的数量越大，安全性泄露的危险越大，保存副本越小，则副本丢失的风险越大的缺点。

（2）有利于防止权力过分集中以导致被滥用的问题。

（3）攻击者必须获取足够多的子密钥才能恢复出所共享的密钥，保证了密钥的安全性和完整性。

秘密共享体制的发展和应用Shamir的(k,n)门限秘密共享方案——密码学概论课作业1310648 许子豪摘要：近年来，由于网络环境自身的问题，网络环境己存在严峻的安全隐患;为了避免由于网络中重要信息和秘密数据的丢失、毁灭以及被不法分子利用或恶意篡改，而无法恢复原始信息，研究者提出利用秘密共享机制对数据进行处理，从而达到保密通信中，不会因为数据的丢失、毁灭或篡改，而无法恢复原始信息的目的。

从而吸引了越来越多的科研人员对该研究内容的关注。

秘密共享体制己经成为现代密码学的一个重要的研究领域，同时，它也成为信息安全中的重要的研究内容。

关键字：信息安全；秘密共享；秘钥管理。

一、秘密共享体制研究背景及意义随着计算机和网络通信的广泛应用，人们的生活越来越依赖电子通信，使用电子方式来存储重要档案的做法也越来越普遍，随之而来产生的对各种不同档案如何管理也成了很大的问题。

秘密共享思想的最初动机是解决密钥管理的安全问题。

大多情况下，一个主密钥控制多个重要文件或多个其他密钥，一旦主密钥丢失、损坏或失窃，就可能造成多个重要文件或其他密钥不可用或被窃取。

为了解决这个问题，一种方法是创建该密钥的多个备份并将这些备份分发给不同的人或保存在不同的多个地方。

但是这种方法并不理想，原因在于创建的备份数目越多，密钥泄漏的可能就越大但如果同时创建的备份越少，密钥全部丢失的可能也就越大。

秘密共享可解决上述问题，它在不增加风险的同时提高密钥管理的可靠性。

在秘密共享方案中，将需共享的秘密分成若干秘密份额也称子密钥、碎片，并安全地分发给若干参与者掌管，同时规定哪些参与者合作可以恢复该秘密，哪些参与者合作不能得到关于该秘密的任何信息。

利用秘密共享方案保管密钥具有如下优点：（1）为密钥合理地创建了备份，克服了以往保存副本的数量越大，安全性泄露的危险越大，保存副本越小，则副本丢失的风险越大的缺点。

（2）有利于防止权力过分集中以导致被滥用的问题。

（3）攻击者必须获取足够多的子密钥才能恢复出所共享的密钥，保证了密钥的安全性和完整性。

华中科技大学硕士学位论文一种可验证的门限多秘密共享方案的设计与实现姓名：***申请学位级别：硕士专业：信息安全指导教师：***20090526华中科技大学硕士学位论文摘要随着计算机网络技术的快速发展和电子商务、电子政务的兴起，对重要信息、敏感信息的保护越来越受到整个社会的高度重视。

秘密共享是实现信息安全和数据保密的重要手段之一，它将责任进行分散，提高系统的安全性和健壮性。

在论述了门限秘密共享的产生以及目前国内外的发展状况的基础上，仔细研究分析了门限秘密共享方案、可验证的秘密共享方案和可验证的多秘密共享方案的优点和不足。

针对这些方案中存在的问题和不足，利用RSA 公钥密码算法理论设计了一种可验证的门限多秘密共享方案，并对其安全性进行了分析。

该方案具有以下特点：秘密共享的参与者能够对秘密分发者分发的可验证份额进行验证，防止秘密分发者试图分发假的可验证份额对参与者进行欺诈。

各合格子集中的参与者成员，能够对彼此提供的秘密子份额进行相互验证，防止了不诚实的参与者企图通过提供假的子份额对其他参与秘密恢复的成员的欺诈。

秘密分发者可以动态增加共享的秘密，秘密分发者不需要重新进行可验证秘密份额的分发，各参与者的可验证秘密份额可以重复使用，每个参与者只需保护好一个可验证秘密份额就可以共享多个秘密。

此外，探讨了方案所涉及的一些基本理论，如RSA 公钥密码算法、生成元的求解方法、伪随机数发生器、大素数的选择算法等。

在Windows XP 系统下，借助VC++ 6.0 开发工具和Oracle 9i 数据库建立了该方案的原型系统，试验结果表明，方案是正确和可行的，同时具有很好的安全性和健壮性。

最后进行了总结和展望。

关键词：秘密共享，RSA 公钥算法，可验证秘密共享华中科技大学硕士学位论文AbstractWith the rapid development of computer Network Technology and the rise of e-commerce and e-government, the protection of sensitive information and important information is increasingly attached great importance to society as a whole. Secret sharing is one of the important means to achieve information security and data confidentiality, with it the responsibility dispersed, the system security and robustness can be improved.Based on the discussion of the threshold secret sharing of the produce and the current state of development at home and abroad, careful analysis of the threshold secret sharing scheme, verifiable secret sharing scheme and the number of verifiable secret sharing scheme of the strengths and weaknesses of. Programs for these problems and lack of use of RSA public key cryptographic algorithm, a theoretical threshold verifiable multi-secret sharing scheme and its security analysis. The program is characterized by the following：Secret sharing of the participants were able to distribute the secret share distribution of the secret for authentication, to prevent the Density distribution of the distribution of false attempt to share the secret of the participants in fraud.Members of the various participants in the secret recovery phase, can provide the secret of each other sub-share for mutual authentication to prevent participants in the dishonest attempt to leave through the provision of sub-share participation of other members of the secret fraud recovery.Dynamic secret can increase the distribution of shared secret, the secret is no need for re-distribution of secret distribution, the participants share the secret can be re-used, just to protect each participant shares a secret can be shared on a number of secrets.In addition, the program explored some of the basic theory, such as the RSA public key cryptography algorithm, the solution generator, pseudo-random number generator, large prime numbers, such as the choice of algorithm. In the Windows XP system, using VC++ 6.0 development tool and Oracle 9i database to establish a prototype system of the华中科技大学硕士学位论文program, test results show that the program is correct and feasible, at the same time has good security and robustness. Finally, a summary and outlook.Key words：Secret sharing，RSA public key algorithm，Verifiable secret sharing独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。

一个新的可验证多秘密共享方案随着信息传输和存储的需求不断增加，如何保护隐私和安全成为了一个重要的议题。

在许多情况下，多方需要共享一些敏感信息，但又不希望任何一方能够单独掌握所有的信息。

为了解决这个问题，提出了一种新的可验证多秘密共享方案。

这个方案基于Shamir的秘密共享方案和零知识证明技术，具有以下特点：1.多秘密共享的可靠性：在该方案中，多个秘密被拆分成多个部分，并分别分发给不同的参与方。

每个参与方只能获得部分秘密，需要所有参与方齐心协力才能还原出完整的秘密。

这种方式保证了秘密的安全性和可靠性。

2.可验证性和不可篡改性：在方案中，每个参与方都可以通过零知识证明来验证其他参与方所持有的信息是否正确，从而确保了信息的真实性。

此外，方案还具有不可篡改性，任何一方都无法伪造或篡改信息。

3.高度的隐私保护：由于每个参与方只持有部分秘密，其他方无法单独获知完整的信息。

即使有些参与方相互合谋，也无法还原出完整的秘密信息。

这种设计保护了秘密信息的隐私。

4.动态性和灵活性：该方案能够应对不同场景下的需求，灵活地扩展参与方的数量和秘密的复杂度。

而且，方案还支持动态添加或移除参与方，保证了系统的灵活性。

5.高效性和低成本：相比传统的密钥分发方式，该方案减少了信息的传输和存储成本，提高了通信效率和系统的可扩展性。

同时，采用零知识证明技术也减少了通信量和计算开销。

在该方案中，每个参与方首先将自己的秘密进行拆分，并分发给其他参与方。

每个参与方之间通过零知识证明验证所持有的信息的正确性，然后合作还原出完整的秘密。

在整个过程中，每个参与方都可以通过公开的验证算法来验证其他方的行为，确保信息的真实性和完整性。

总的来说，这个可验证多秘密共享方案结合了Shamir的秘密共享方案和零知识证明技术，具有可靠性、可验证性、隐私保护、动态性、高效性和低成本等优点。

在信息安全和隐私保护领域具有重要的应用前景。

一个新的可验证多秘密共享方案张佳;刘焕平【摘要】提出了一个新的多秘密共享方案,该方案设计思想为简洁清晰,同时又保留了文献[9]的一些优点,所以在实际情况中可被广泛应用.【期刊名称】《哈尔滨师范大学自然科学学报》【年(卷),期】2010(026)003【总页数】3页(P34-36)【关键词】(t,n)门限方案;多秘密共享;安全信道;可验证性【作者】张佳;刘焕平【作者单位】哈尔滨师范;哈尔滨师范【正文语种】中文1979年,shamir[1]和 Blakley[2]首先提出了秘密共享这一概念.前者[1]是建立在拉格朗日差值公式基础上的方案,而后者[2]是基于多维空间点的性质而提出的.对于n 个参与者共享一个秘密S,只有参与者人数≥t时才能恢复秘密S,而参与者人数≤t-1时则不能恢复该秘密.要想再共享一个秘密,则要求秘密的分发者重新分发秘密分额给每一个参与者,在实际应用中这样做往往会带来很多的工作量,以及高的费用.于是便提出了多秘密共享方案[3～6].在多秘密共享方案中,秘密分发者只需分发一次秘密份额给参与者,就可同时恢复多个秘密.在实际情况中,有时秘密分发者或参与者不一定都是诚实的,于是就要求秘密共享方案具有可验证性.在 1995年,Harn[6]就提出可验证的多秘密共享方案.但在此方案中,为了验证秘密份额的正确,要求参与者核对 n!/((nt)!t!)个方程,并且共享秘密要被事先固定,这在实际应用中是很难满足的.2004年,C.-C. Yang,TYChang,M.S.Hwang[8]提出了一个简单有效的多秘密共享方案—YCH方案,但该方案不能检测欺骗者.2007年,J-J.Zhao,J.-J.Zhang ,R.Zhao[9]在文[8]的基础上,利用三次传输协议[10],给出了一个可验证多秘密共享方案—ZZZ方案,该方案克服了 YCH方案的不足,并且每个参与者的影子可自行选取,避免了使用安全信道.在该文中,笔者对文献[9]的方案做了一些修改,给出了一个新的秘密共享方案,该方案在设计思想上更为简洁清晰,除了计算量需要较大的开销外,该方案保留了文献[9]其他优点.2.1 三次传送协议Alice想通过一个公共信道发送一个密钥 K给BOb.首先,Alice选取一个能表示 K 的充分大的素数p,并将其公布.从而Bob(或其他任何人)都能下载它,Bob下载了p.现在Alice和Bob要完成下列动作.(1)Alice选取一个满足 god(a,p-1)=1的随机数a,Bob选取一个满足 gcd(b,p-1)=1的随机数b,记a和b模p-1的逆分别为a-1和b-1.(2)Alice发送K1≡Ka(modp)给 Bob.(3)Bob发送K2≡(modp)给 Alice.(4)Alice发送K3≡(modp)给 Bob.(5)Bob计算K≡(modp).在协议的最后,Alice和Bob都拥有密钥 K.2.2ZZZ方案回顾2.2.1 参数假设设参与者集合M={M1,M2,…,Mn}.分发者D.用P1,P2,…,Pk表示共享的k个秘密.D随机选取两个大素数p和q,计算N=pq,满足:攻击者在知道N的情况下要得出p和q是计算上不可行的. D在[N1/2,N]中随机选取一个整数g,并使得(g,p)=1,(g,q)=1.D在[2,N]中随机选取一个整数s0,使得(s0,q-1)=1,(s0,p-1)=1,并计算R0=gs0modN,以及计算最小正整数f,使得s0×f=1modφ(N),其中φ(N)是欧拉函数[9].然后保密s0,公开N,g,R0,f.2.2.2 秘密分发(1)Mi随机选取n个整数s1,s2,…,sn⊂ [2, N],作为自己的秘密份额,计算Ri=以及Ii=,i=1,2,…,n.并公开Ri.同时Mi将Ri和自己的身份信息IDi发给D.D要保证:当Mi≠Mj时,Ri≠Rj.一旦相等,D将要求Mi重新选取si.并公开{(IDi,Ri)}.(2)k≤t时,选择一个素数Q,并构造一个t-1的多项式h(x)modQ,即h(x)=P1+P2x+…+ Pkxk-1+a1xk++…+,其中0<P1,P2,…,Pk,a1,a2,…,at-k <Q.计算 yi= h(Ii)modQ,i=1,2,…,n.并公开(y1,y2,…,yn).k>t时,选择一个素数Q,并构造一个k-1的多项式h(x)=modQ,即h(x)=P1+P2x+…+Pkxk-1modQ,其中0<N,P1,P2,…,Pk<Q.计算yi=h(Ii)modQ,i=1,2,…,n.同时计算h(i)modQ,i=1,2,k-t.并公开(y1,y2,…,yn,h(1),h(2),…,h(k-t)).2.2.3 秘密恢复阶段只有参与者人数大于等于t时才能恢复秘密.不失一般性,设M1,M2,…,Mt可以恢复这k个秘密.(1)Mi利用自己的秘密份额si及公开值R0,计算I0′=(2)任何人都可验证Mi的真实性.即:如果(Ii′)f=RimodN,则证明Ii′是真实的.否则,Mi便是骗子.(3)多项式h(x)modQ可按如下步骤被唯一确定3.1 参数假设方案中的符号M、P1、P2、…、Pk、φ(N)、N,g, R0,f、s0意义与 ZZZ方案中符号的意义相同.3.2 秘密的分发(1)Mi随机选取n个整数s1,s2,…,sn⊂ [2, N],作为自己的秘密份额,同时计算Ri=,i=1,2,…,n[9],并公开Ri.(2)Mi随机选取n个整数u1,u2,…,un∈[k, N-1],作为自己的公开身份信息.Mi将提供Ri和ui给D,D要保证当Mi≠Mj时,Ri≠Rj.一旦相等,D将要求Mi重新选取si.同时,D计算Ii=.i=1,2,…,n并保密Ii.(3)D利用n+k对(0,P1),(1,P2),…,(k-1,Pk),(u1,I1),(u2,I2),…,(un,In),通过拉格朗日差值公式可以得到一个n+k-1次的多项式于是可知Pi=h(i-1),i=1,2,…,n.(4)D再从[k,N-1]-{ui|i=1,2,…,n}中选出n+k-t个最小的整数d1,d2,…,dn+k-t,并计算h(di),i=1,2,…,n+k-t,并公开h(di).3.3 秘密的验证及恢复阶段首先,执行ZZZ方案中秘密恢复阶段的(1)、(2)步骤.(3)为了恢复这k个秘密,则至少需要有t个参与者才可以,任意≤t-1个参与者都不能恢复秘密.不失一般性,假设有t个参与者Mi1,Mi2,…, Mit,其中i1,i2,…,it⊂{1,2,…,n}.从而便可以得到 t对(ui,Ii′),i=i1,i2,…,it.接下来找出n+k-t个最小的整数d1,d2,…, dn+k-t∈[k,N-1]-{ui|i=1,2,…,n}.从而又得到n+k-t对(di,h(di)).这样便得到n+k对值,于是可利用拉格朗日差值公式,得到一个n+k-1次的多项式h(x)= a0+a1x+…+an+k-1xn+k-1modN.从而便可恢复出k个秘密.(1)共享算法:由于Ii=,Ri=以及R0=gs0modN,所以Ii==,所以每一个参与者Mi都可利用自己的si和公开的R0来计算Ii.(2)验证算法:通过欧拉定理gφ(N)=1modN和s0×f=1modφ(N),如果Mi不是骗子,则(Ii′)f= = =Ri.(1)根据离散对数求解难,可知:在已知g和Ri的情况下,想从Ri=gsimodN,i=1,2,…,n中求出si是困难的.同理可知:想从Ii′=R0SimodN中求出si也是困难的.(2)方案满足(t,n)门限方案:只有当参与者人数≥t时才能恢复秘密,任意≤t-1个参与者都不能恢复秘密.(3)方案中,参与者自己选择秘密份额si,从而D不会成为骗子,同时整个系统不需要一个安全信道.通过对参考文献[9]方案的修改,提出了一个新的实际可验证的多秘密共享方案.该方案在设计思想上更为简洁清晰,同时又保留了参考文献[9]的一些优点,进而可被广泛应用.A new verifiable multi-secret sharing scheme was proposed,which thought is more concise and clear than literature[9]and retains some advantages of the literature[9],so in practice can be used widely.【相关文献】[1] Shamir A..How to share a munications of the ACM,1979,22(11):612-613.[2] Blakley G..Safeguarding cryptographic keys.Proc AFIPS 1979 National Computer Conference,AFIPS Press,New York,1979: 313-317.[3] He J.,Dawson E.Multistage secret sharing based on one-wayfunction.ElectronicsLetters,1994,30(19):1591-1592.[4] Harn ment:Multistage secret sharing based on onewayfunction.ElectronicsLetters,1995,31(4):262. [5] Harn L.Efficient sharing(broadcasting)of multiple secrets. IEE Proceedings– Computers and Digital Techniques,1995, 142(3):237-240.[5] He J.Dawson E.Multisecret-sharing scheme based on onewayfunction.ElectronicsLetters,1995,31(2):93– 95.[6] Harn L.Efficient sharing(broadcasting)of multiple secrets [J].IEEput.Digit.Tech,1995,142(3):237-240.[7] Chen L.,Gollman D.,J.Mitchell C.,W ild P.Secret sharing with reusablepolynomials[A].Proceedingsof the SecondAustralisian Conference on Information Security and Privacy-ACISP′97[C].ACISP,Australia,1997.[8] Yang C.C.,Chang T.Y.,HwangM.S.,A(t,n)multi-secret sharingput,2004,151:483-490.[9] Zhao Jianjie,ZhangJianzhong,Zhao Rong,A practical verifiable multi-secret sharing puter Standards&Interfaces,2007,29:138-141.[10]TrappeW.,Washington L.C.王金龙,王鹏,林昌露,译.密码学与编码理论.北京:人民邮电出版社,2008.[11]Chien H.Y.,Tseng J.K.A practical(t,n)multi-secret sharing scheme.I EI CE Transactions on Fundamentals of E-lectronics,Communications and Computer 83-A,2000,12: 2762-2765.[12]ChorB.,Goldwasser S.,Micali S.,Awerbuch B.Verifiable secret sharing and achieving simultaneity in the presence of faults.Proc.26th IEEE Symp.FOCS,1985:251-260.[13]Tan K.J.,Zhu H.W.,Gu S.J.Cheater identification in(t, n)threshold puter Communications,1999,22: 762-765.[14]PangLiaojun,Wang Yumin.A new(t,n)multi-secret sharing scheme based on Shamir's secret sharing.Applied Mathematics and Computation,2005,167:840-848.。

一个高效的门限共享验证签名方案及其应用
张彰;蔡勉;肖国镇
【期刊名称】《通信学报》
【年(卷),期】2003(024)005
【摘要】基于离散对数问题提出一个新的门限共享验证签名方案,该方案是ElGamal签名方案和Shamir门限方案的结合.在该方案中,n个验证者中任意t个可以验证签名的有效性,而t-1个或更少的验证者不能验证签名的有效性.伪造该方案的签名等价于伪造ElGamal签名.与已有方案相比,该方案的签名效率更高.最后基于该门限共享验证签名方案提出一个新的口令共享认证方案.
【总页数】6页(P134-139)
【作者】张彰;蔡勉;肖国镇
【作者单位】西安电子科技大学,综合业务网国家重点实验室,陕西,西安,710071;西安电子科技大学,综合业务网国家重点实验室,陕西,西安,710071;中科院研究生院,信息安全国家重点实验室,北京,100039;西安电子科技大学,综合业务网国家重点实验室,陕西,西安,710071
【正文语种】中文
【中图分类】TN918.1
【相关文献】
1.对一个门限共享验证签名方案的安全性分析 [J], 庄德文;陈勤
2.一个门限共享验证签名方案伪造攻击 [J], 李继国;张亦辰;李继广
3.一个可重复使用的门限共享验证签名方案 [J], 李云华;陈鲁生
4.一个(t,n)门限签名-(k,m)门限验证的群签名方案 [J], 庞辽军;李慧贤;王育民
5.一种共享验证门限的多代理多重签名方案 [J], 赵之洛;缪祥华;唐鸣;张斌
因版权原因，仅展示原文概要，查看原文内容请购买。

基于Shamir秘密共享的安全取证服务器方案杨晓元;季称利;秦晴;胡予濮【期刊名称】《计算机工程与应用》【年(卷),期】2005(041)022【摘要】为解决计算机取证系统现有方案中没有考虑到取证信息可能在传输过程中及取证服务器中被破坏这一安全性问题,提出了基于Shamir秘密共享的安全取证服务器方案.方案首次将Shamir秘密共享的思想引入计算机取证中,利用Shamir(n,t)算法共享取证信息m成n份,然后将n份信息传输并分别储存于n个独立的服务器,从而有效提高了取证信息在传输过程、存储过程及存储区内的安全性.n个独立的取证存储区使系统可以在取证存储区的破坏数不超过n-t时仍能完成取证审计,提高了取证信息在取证服务器中的安全性,增强了系统的容错、容侵性能.【总页数】3页(P147-149)【作者】杨晓元;季称利;秦晴;胡予濮【作者单位】武警工程学院网络与信息安全重点实验室,西安,710086;武警工程学院网络与信息安全重点实验室,西安,710086;武警工程学院网络与信息安全重点实验室,西安,710086;西安电子科技大网络信息安全教育部重点实验室,西安,710071【正文语种】中文【中图分类】TP393.08【相关文献】1.基于Shamir秘密共享方案的数字水印算法 [J], 牛少彰;钮心忻;杨义先2.基于秘密共享的具有签名功能的电子取证方案* [J], 李想;范玉妹3.基于Shamir秘密共享方案和零水印的音频水印算法 [J], 周鸿飞;杨晓元;魏立线4.N个Shamir门限秘密共享方案组合的通用可验证性设计 [J], 郭涌浩;卫宏儒5.基于Shamir秘密共享的多重签名方案计算捷径 [J], 祁传达;金晨辉因版权原因，仅展示原文概要，查看原文内容请购买。

一个可验证的门限多秘密分享方案何明星1，2，范平志1，袁丁1，3（1.西南交通大学计算机与通信工程学院，四川成都，610031；2.四川工业学院计算机科学与工程系，四川成都，610039；3.四川大学电子信息学院，四川成都，610065）摘要：基于离散对数计算和大整数分解的困难性，利用RSA 加密体制提出了一个新的门限多秘密分享方案.该方案通过零知识证明等协议来防止秘密分发者和秘密分享者的欺诈行为，因而是一个可验证的门限多秘密分享方案.该方案还具有：秘密影子可重复使用；子秘密影子可离线验证；供分享的秘密不须事先作预计算等特点.该方案可用于会议密钥（秘密）分配、安全多方计算、门限数字签名等应用领域.关键词：秘密分享；门限体制；离散对数；RSA 加密体制；零知识证明中图分类号：TN918文献标识码：A文章编号：0372-2112（2002）04-0540-04A Verifiable Multiple Secrets Sharing SchemeHE Ming-xing 1，2，FAN Ping-zhi 1，YUAN Ding 1，3（1.Southwest Jiaotong Uniuersity ，Chengdu ，Sichuan 610031，China ；2.Sichuan Uniuersity of Science and Technology ，Chengdu ，Sichuan 610039，China ；3.Sichuan Uniuersity ，Chengdu ，Sichuan 610063，China ）Abstract ：A new muitipie secrets sharing scheme ，based on the intractabiiity of the discrete iogarithm（DL ）and the RSA en-cryption aigorithm is presented ，in which the participants'shadows remain secret and can be reused ，even if aii subshadows are made pubiic.Meanwhiie ，by using a zero-knowiedge proof protocoi ，the vaiidity verification of shadow and subshadow is aiso provided to pre-vent both deaier cheating and other participant cheating ，and any freeiy given secrets without pre-computation by deaier can be recon-structed.The scheme can be appiied to many areas such as conference key distribution ，secure muiti-part-computation ，threshoid signa-ture etc.Key words ：muiti-secret sharing ；threshoid scheme ；discrete iogarithm ；RSA ；zero-knowiedge proof!引言秘密分享在现代密码学中占有重要的地位.秘密分享的基本问题是如何给参与者集合的每个参与者适当分配子秘密（秘密影子），使得只要根据一定的授权存取结构汇集其中一部分参与者的子秘密经过计算就可恢复秘密.在秘密分享方案中，门限秘密分享方案是应用较广也是研究最早、成果最多的一种秘密分享方案.具体地说，（I ，n ）门限秘密分享是分发者在n 个参与者即所谓秘密分享者中把一个或多个秘密分拆成若干个子秘密，分配给各个参与者，使得这n 个参与者中任何I 个合作就可恢复秘密，但任何少于I 个的参与者都无法获得该秘密.最早的秘密分享方案是在1979年由Shamir 和Biakiey 分别基于Lagrange 插值多项式和射影几何理论独立提出的［1］.20多年来，门限秘密分享方案的研究与设计受到人们的广泛关注，取得了长足的进步，其应用涉及通信密钥管理、安全多方计算、金融网安全、电子商务等诸多领域［1，2］.虽然Shamir 和Biakiey 的方案奠定了门限方案的基础，但M Tom-pa 与H Woii［3］发现他们的方案不能防止秘密分发者与分享者的欺诈行为，而且分享者所得到的秘密影子（Shadow ）只能使用一次，若有多个秘密则需多次分发秘密影子.1985年Chor等人提出了一个可防止分发者（Deaier ）欺诈的秘密分享方案，但这个方案不能防止分享者的欺诈［4］.之后各种防欺诈秘密分享方案陆续提出［5~10］，其中大部分方案仅能防止分发者或分享者一方的欺诈，而且这些方案只能一次分享一个秘密.Harn 1995年提出了一个多秘密分享方案能同时防止分发者与分享者的欺诈［8］.在Harn 的方案中，秘密分发者给每一个分享者一个秘密影子，然后分享者再由此计算秘密子影子（Subshadow ）分发给他的门限合作者，这样即使公开子秘密影子，秘密影子也可保密.但Harn 方案的缺点是对于每个供分享的秘密都须事先作预计算.而且子秘密影子的认证都是各方在线合作的，从而计算量和通信量均很大，导致方案实施的困难.本文的贡献在于利用RSA 加密体制以及零知识证明等收稿日期：2000-12-29；修回日期：2002-01-31基金项目：国家自然科学基金（No.69825102）第4期2002年4月电子学报ACTA ELECTRONICA SINICA Voi.30No.4Aprii 2002协议，设计了一个具有较好综合性能的多秘密门限分享方案，主要有以下特点：（1）秘密影子可重复使用；（2）子秘密影子可离线验证；（3）可检测秘密分发者与分享者的欺诈行为；（4）不需事先对秘密进行预计算.!预备知识在给出方案之前，首先介绍本文用到的一些定义、记号与相关知识.定义"秘密分发者（Dealer）指把一个或多个秘密分发给I个秘密分享者的人或服务器.比如网上会议的大会主席.定义!公告栏（NB）指存放公开参数或数据的媒介.系统各方均可访问公告栏上的内容，但只有秘密分发者才能修改或更新公告栏上的内容.记秘密分发者为Pd ，S=｛S1，S2，…，Sm｝为m个待分发秘密S的集合，G=｛P1，P2，…，PI｝是I个秘密分享者P的集合.假设传送秘密影子的信道是安全可靠的.W!G是G中t 个秘密分享者的集合，t为门限值.I表示P的身份标识号（比如，1，2，…，m）.对于秘密分发者Pd 与秘密分享者集合G=｛P1，P2，…，P I｝之间的一个可验证的秘密分享方案，应满足以下要求：（1）如果秘密分发者遵循分发协议且各秘密分享者P遵循协议，则P可正确收到Pd的秘密信息.（2）对于同一个秘密S的分配方案，两个合法秘密分享者集合W1!G与W2!G，（这里I W1I=I W2I=t）恢复出的秘密是相同的.（3）秘密分享者可检测秘密分发者的欺诈行为.（4）秘密分享者可检测其他分享者的欺诈行为.零知识证明协议所谓零知识证明，是指一方（证明者）向另一方（验证方）证明某个论断正确的一种协议，同时要求在证明过程中不暴露证明方任何其它信息.零知识证明在设计密码协议时是非常有用的.在此，先介绍本文中要用到的零知识证明协议［2］.设!是一个循环群（设其阶为m），g是!的生成元，h是!的一个元素.该零知识证明协议可以满足以下要求：证明者在已知G、g、H、h且H=h S的条件下向验证者证明他知道S，而且有以g为底元素G的离散对数等于以h 为底H的离散对数S，即G=g S，同时证明者不会泄露S的信息.协议描述如下：设A是证明者，B是验证者，证明者A随机选取r并计算x=g r和x'=h r.令c=H'（g，h，G，H，x，x'），其中H'是一个hash函数.他先计算y=r+cS，再把数据对（c，y）传给验证者B作为证据.验证者收到（c，y）后验证c =H'（g，h，G，H，g y/G c，h y/H c）是否成立.若是则B认为A 知道S；否则B认为A不知道S.#方案描述基于第2节的准备，本节提出多秘密分享方案.设秘密分发者Pd 有m个待分发的秘密S=｛S1，S2，…，Sm｝，Pd需要将这m个秘密分发给G=｛P1，P2，…，PI｝中的t个授权的秘密分享者，这些分享者的集合为W.方案包含以下四个模块：初始化；秘密影子的生成算法；秘密子影子的生成算法；秘密恢复算法.初始化秘密分发者Pd创建公告栏并定义如下参数：p，g为P d秘密选择的两个不同的强大素数，即p=2p' +1，g=2g'+1，且p'，g'仍为大素数；N=pg发布在公告栏上；N'=p'g'，由Pd保密；e，d为秘密分发者Pd的RSA公钥和私钥，满足ed=1mod"（N），其中"是Euler函数.即d由P d保密，而e发布在公告栏上；g为ZN中阶为N'的生成元，发布在公告栏上.H'是一个公开的hash算法.秘密影子的生成算法首先，Pd随机生成（t-1）次多项式f（x）=a+a1x+…+a t-1x t-1mod N'，a I"Z N'，0<a I< N'-1，然后计算检测向量!=（10，11，…，1t-1），其中1I=g a I mod N（I=0，1，…，t-1）（1）并在公告栏NB上公开V.令I=#PI"G\｛P｝（I-I I）mod N'（2）这里I表示分享者P的身份标识号.注意到p'、g'是两个大素数，应有I I-I I I<p'，I I-I I I<g'于是I-I I与p'、g'分别互素，而p'、g'也互素，因而I与N'=p'g'互素，从而I-1mod N'存在.于是对于秘密分享者P"G，P d可按如下定义为其计算秘密影子x=f（I）·I-1mod N'（3）并通过安全信道给P发送｛g I mod N，x｝，P d同时为P计算公钥y=g x mod N（4）将其发布在NB上.当P"G收到P d发来的秘密影子后，通过下式对x的有效性进行验证（g I）x=#t-1I=0（1I）I I（mod N）（5a）若式（5a）不成立，则可检测到秘密分发者Pd有对P的欺诈行为（Pd传递的秘密影子不满足式（4）或者式（3））.事实上，任何一个参与者也可通过验证下式是否成立（y）#PI"G\｛P｝（I-II）=#t-1I=0（1I）I I（mod N）（5J）来对Pd的公钥发布是否存在欺诈行为进行检测.秘密子影子的生成算法首先，对任意待分配的秘密Si （i=1，2，…，m），Pd随机选取相应的整数ri"Z N'，再随机选取gi"Z N'，计算c i=（gg i）d mod N（6）h i=g a0i r i-S i（mod N）（7）然后Pd在NB上发布四元组（ci，ri，gi，hi）.为了恢复秘密Si，每个秘密分享者P须为秘密Si计算子影子Ii：I i =g x i mod N（8）c i =c x i mod N（9）P再随机选取整数r i "［1，N］并计算c'i =H'（g，g i，y，I i ，g r i ，g r i i），y i =r i +c i 'x.最后，将四元组（I i ，c i ，c i '，y i ）传给W中的其他所有合作者，作为向合作者证明秘密子影子I i 计145第4期何明星：一个可验证的门限多秘密分享方案算正确的证据.每个秘密分享者P 在收到其他所有合作者P j 传来的四元组（I ij ，c ij ，c ij '，y ij ）后可首先按下式离线检测秘密子影子I ij 的正确性：c e i j =y j I ij （mod N ）（10）若式（10）不成立，则可断定秘密分享者P j 伪造秘密S i 的子影子I ij .若式（10）满足，则可认为秘密子影子I ij 是正确的.在安全性要求更高的情况下，为了进一步加强安全性（以防对式（10）的其它攻击），P 可以利用第2节中描述的零知识证明协议再次检测P j 所传子影子的（I ij ，c ij ）的合法性.例如，P j 想欺骗接收者P 以使接收方P 不能恢复正确的秘密，他可能用虚假秘密影子x j '代替自己的真秘密影子x j ，计算虚假秘密子影子：I'ij =g x'j i mod N ，也即P 可能收到信息I'ij =g x'j i mod N.但注意到P j 的公钥y j =g x j mod N 是发布在NB 上的，于是P 可以利用第2节中介绍的零知识证明协议来检验是否有x j '=x j ，而不会泄露P j 的秘密影子x j ，这只需将协议中的（g ，h ，G ，H ）替换为（g ，g i ，y j ，I ij ）即可.这时根据P j 的证据（c ij '，y ij ），P 可以检验下式是否成立：c'ij =H'（g ，g i ，y j ，I ij ，g y ij /y c'ij j ，g y ij i /I c'ij ij ）（11）若成立，则确认子影子的合法性.否则，则认为P j 有欺诈行为.秘密恢复算法W 中的每个秘密分享者P 现在可以从NB 上获得｛r i ，h i ｝，从W 中的其他分享者P j 处收到I ij .于是P 可以离线独立计算S i =（!P j"WI jij ）r i -h i mod N （12）其中!j =!P j "W \｛P j｝（-I I ）·!P I"G \W（I j -I I ）（13）因为由下面定理1即可保证：如果秘密分发者遵循分发协议且秘密分享者遵循协议，则P 可正确恢复P d 发送的秘密信息S i .定理1W 中的每个秘密分享者可通过式（12）恢复秘密S i " .证明有了t 个秘密子影子I ij ，与 j （j =1，2，…t ），由Lagrange 插值公式易知a 0=f （0）=#P j"W jf （I j ）!P I"W \｛P j｝（-I I ）（I j -I I ）-1=#P j"W f （I j ）!P I"G \｛P j｝（I j -I I ）-1!P I"G \W （I j -I I ）!P I"W \｛P j｝（-I I ）=#P j"W f （I j ）I -1j !j =#P j"W （x j !j ）（mod N'）于是由下面的推导可得S'i =S iS'i =（!P j"WI !j ij ）r i -h i =（!P j"W （g x j i ）!j ）r i -h i=g #P j"W x j !j i r i -h i =g a 0i r i -h i =S i （mod N ）4安全性分析上述方案的安全性是基于离散对数计算和大数分解的困难性的，因而是计算安全的.尽管子影子I ij 在恢复秘密S i 的计算中在门限组W 中是公开的，但P j 的秘密影子x j 仍可保密.因为由式（8），若已知I ij ，g i 求解x j 等价于离散对数的计算.同样，知道秘密S i 也不会影响其余的秘密S t 的安全性，因为不同的秘密S i 有不同的g i ，r i 来对其进行随机化，因此每个秘密分享者可以利用同一个秘密影子重复产生不同的子影子来恢复不同的秘密，而系统的安全性不会受到影响.欺诈检测一个可验证的秘密分享方案应该为每个秘密分享者提供验证的能力，比如验证：（a ）秘密分发者所提供的秘密影子是属实的；（6）一个秘密分享者发送给另一个秘密分享者的秘密子影子是属实的［4，5，7，8，10］.事实上，在实际通信中，秘密分发者可能给分享者提供虚假的秘密影子；一个秘密分享者也可能给另一个秘密分享者发送虚假的秘密子影子.下面的定理可保证本方案所提供的检测方法的正确性.定理2秘密分发者对秘密影子的伪造可由每个分享者根据式（5a ）识别.证明因为x j =f （I j ）I -1j mod N'，有（g I j）x j=g I j f （I j ）I -1j=gf （I j ）=g#t -1I =0a I I Ij=!t-1I =0（1I ）（I j ）I（mod N ）定理3（子影子离线检测）若子影子I ij 真，则式（10）即c e i j =y j I ij （mod N ）成立.亦即若等式c e i j =y j I ij （mod N ）不成立，则P j 必有欺诈.证明显然有c e i j =（c x j i ）c =（（gg i ）d ）x j e =（g x j ）de g x ji =y j I ij mod N 由此可知，若秘密分享者企图伪造子影子I ij 而逃过检测必须知道RSA 加密体制的私钥，这又等价于破译RSA 因而是困难的.定理4第2节中的零知识证明是正确的.因而若式（11）成立，则可确认P j 所传子影子的合法性.否则可确认P j 有欺骗行为.证明（1）假设（c ，y ）是有效证据，显然有c =H'（g ，h ，G ，H ，g y /G c ，h y /H c ）.（2）反之，若c =H'（g ，h ，G ，H ，g y /G c ，h y /H c ），令x =g y /G ，x'=h y /H c ，由于 是循环群，生成元为g ，因而 中任何一个元素可用g 的幂来表示，于是设有整数 ， ， ， 使得h =g ，H =g ，x =g ，x'=g ，根据x ，x'的定义，可得x =g y /G =g ，x'=h y /H c =g ，即g y -Sc =g ，g y - c =g，从而y -Sc = mod m ， y - c = mod m ，因此可得 - =c （-S ）mod m ，注意到c 为由hash 函数得到的随机值，所以 -S =0modm ，故H =g =g S =h S ，由已知G =g S ，这说明G 与H 相对于底数g ，h 有共同的离散对数.再者，若有必要，子影子的合法性检测可通过式（10）与式（11）两次验证，更进一步加强了本方案的安全性.5结论文中提出的多秘密门限分享方案，具有比较满意的特性，可用于会议秘密分配、安全分布式计算、电子商务等应用领域.若考虑把本方案作适当的改进还可用于具有不同权限（如大会不同密级的文件分发）的秘密分享解决方案.同时，由于它是基于离散对数计算和大数分解的困难性的，所以总体上是计算安全的.当然，本方案是在假定安全信道已存在的情况245电子学报2002年下着重讨论如何检测秘密分发者与秘密分享者的欺诈行为的.若考虑秘密分发者与秘密分享者之间所传信息的认证功能，以避免中间截获攻击，可以采取签名或签密的办法［9］对方案进行加强.感谢Ericsson研究院Roif.J.Bium，Andras Mahes，Gorian Seiander博士对本文初稿的建设性评论.参考文献：［1］E F Brickeii，D M Daveport.On the ciassification of idea secret sharing scheme［J］.J Cryptoiogy，1991，4（2）：123-134.［2］P A Fougue，G Poupard，J Stern.Sharing decryption in the context of voting or iotteries［A］.Proceedings of Financiai Cryptography2000［C］.Beriin：Springer Veriag，2000.90-104.［3］M Tompa，H Woii.How to share a secret with cheaters［J］.Journai of Cryptoiogy，1988，1（2）：133-138.［4］B Chor，S Goidwasser，S Micaii，B Awerbuch.Veriabie secret sharing and achieving simuitaneity in the presence of fauits［A］.Proceedings of26th FOCS［C］.1985.251-260.［5］M Stadier.Pubiiciy verifiabie secret sharing［A］.Advances in cryptoio-gy-Eurocrypt'96［C］.Beriin：Springer Veriag，1996.190-199.［6］R G E Pinch.Oniine muitipie secret sharing［J］.Eiectronics Letters，1996，32（12）：1087-1088.［7］R Gennaro，S Micaii.Verifiabie secret sharing as secure computation ［A］.Advances in cryptoiogy-Crypto'94［C］.Beriin：Springer Veriag，1995.168-182.［8］L Harn.Efficient sharing of muitipie secrets［J］.IEE Proc-Comput Digit Tech，1995，142（3）：237-240.［9］张福泰，王育民，郑东.用签密构造可验证秘密分享方案［A］.CCICS’2001论文集［C］.北京：科学出版社，2001.244-248.［10］F Boudot，J Traor'.Efficient pubiiciy verifiabie secret sharing schemes with fast or deiayed recovery［A］.Lecture Notes in Computer Science1726［C］.Beriin：Springer Veriag，1999.87-102.作者简介：何明星男，1964年生于四川省南江县，1990年获重庆大学应用数学专业硕士学位，现为四川工业学院计算机科学与工程系副教授，西南交通大学计算机与通信工程学院通信与信息系统专业博士生，主要研究兴趣为网络与信息安全、电子商务.范平志男，1994年获英国Huii大学通信工程专业博士学位，现为西南交通大学计算机与通信工程学院教授，博士生导师，IEEE高级会员，国家杰出青年基金获得者，主要研究兴趣为移动通信、无线IP、网络与信息安全.（上接第535页）参考文献：［1］U M Maurer.Secret key agreement by pubiic discussion from common information［J］.IEEE Trans IT，1993，39（3）：733-742.［2］M J Gander，U M Maurer.On the secret key rate of binary random vari-abies［A］.Proc.of the1994IEEE Symp on Information Theory［C］.1994.351.［3］U M Maurer.Protocois for secret key agreement based on common in-formation［A］.Advances in Cryptoiogy-CRYPTO’92，Lecture Notes inComputer Science［C］.Beriin：Springer-Veriag，1993.740：461-470.［4］Christian Cachin.Enropy measures and unconditionai security in cryp-tography［D］.ETH，1997.［5］Stefan rmation-theoreticaiiy and computationaiiy secure key agreement in sryptography［D］.ETH，1999.345第4期何明星：一个可验证的门限多秘密分享方案一个可验证的门限多秘密分享方案作者：何明星， 范平志， 袁丁作者单位：何明星(西南交通大学计算机与通信工程学院,四川成都,610031四川工业学院计算机科学与工程系,四川成都,610039)， 范平志(西南交通大学计算机与通信工程学院,四川成都,610031)， 袁丁(西南交通大学计算机与通信工程学院,四川成都,610031四川大学电子信息学院,四川成都,610065)刊名：电子学报英文刊名：ACTA ELECTRONICA SINICA年，卷(期)：2002,30(4)被引用次数：29次1.E F Brickell;D M Daveport On the classification of idea secret sharing scheme 1991(02)2.P A Fouque;G Poupard;J Stern Sharing decryption in the context of voting or lott eries 20003.M Tompa;H Woll How to share a secret with cheaters 1988(02)4.B Chor;S Goldwasser;S Micali;B Awerbuch Veriable secret sharing and achieving si multaneity in the presence of faults 19855.M Stadler Publicly verifiable secret sharing 19966.R G E Pinch Online multiple secret sharing[外文期刊] 1996(12)7.R Gennaro;S Micali Verifiable secret sharing as secure computation 19958.L Harn Efficient sharing of multiple secrets[外文期刊] 1995(03)9.张福泰;王育民;郑东用签密构造可验证秘密分享方案 200110.F Boudot;J Traor′Efficient publicly verifiable secret sharing schemes with fas t or delayed recovery 19991.潘红艳.蔡光兴一个新的基于门限RSA的分布式认证服务方案[期刊论文]-科技信息2010(7)2.张旭.赵翔探讨引入素域建立的门限RSA方案[期刊论文]-硅谷2009(4)3.李国文.李大兴.LI Guo-wen.LI Da-xing一种可验证的门限RSA签名方案[期刊论文]-计算机应用研究2007,24(5)4.崔竞松.彭蓉.CUI Jing-Song.PENG Rong门限RSA中的子密钥优化分配算法[期刊论文]-计算机学报2005,28(6)5.郭振.张建中.GUO Zhen.ZHANG Jian-zhong基于RSA的防欺诈的动态多重秘密共享方案[期刊论文]-计算机工程与应用2010,46(12)6.王贵林.卿斯汉.王明生Shoup门限RSA签名方案的改进[期刊论文]-计算机研究与发展2002,39(9)7.毕越.侯整风.BI Yue.HOU Zhengfeng一个基于向量空间秘密共享的新成员加入协议[期刊论文]-计算机工程与应用2011,47(16)8.韩忠.Han Zhong基于RSA门限密码体制[期刊论文]-计算机光盘软件与应用2010(16)9.张鹏门限数字签名相关特性研究[学位论文]200410.张文芳.何大可.王小敏.郑宇.Zhang Wen-fang.He Da-ke.Wang Xiao-min.Zheng Yu基于新型秘密共享方法的高效RSA门限签名方案[期刊论文]-电子与信息学报2005,27(11)1.晋玉星.茹秀娟一个新的广义秘密共享方案[期刊论文]-计算机工程 2009(17)2.陈桂强.王丽琴一种分布式动态的多秘密共享方案[期刊论文]-微计算机信息 2008(6)3.雷跃荣.詹旭.杜玲艳群密钥分配技术研究[期刊论文]-四川理工学院学报（自然科学版） 2008(2)4.陈桂强.王丽琴.袁志成.刘钰.马艳丽一种动态(t,n)门限的多级多秘密共享方案[期刊论文]-通信技术 2009(7)5.彭银桥.甘元驹.周继承基于广义接入结构的防欺诈多秘密分享方案[期刊论文]-计算机工程 2006(13)6.左振元.谢琪一种动态(t,n)门限多秘密分享方案的分析[期刊论文]-杭州师范学院学报(自然科学版) 2008(6)7.高萍.李伟华基于身份的Ad Hoc网络群签名算法设计[期刊论文]-计算机仿真 2008(7)8.甘元驹.谢仕义.付东洋防欺诈的动态(t,n)门限多秘密共享方案[期刊论文]-四川大学学报（工程科学版） 2006(6)9.莫乐群.姚国祥无可信中心的(t,n)门限签名方案的安全性分析[期刊论文]-计算机工程与设计 2009(21)10.甘元驹.谢仕义.付东洋.李小立防欺诈的广义多秘密分享方案[期刊论文]-电子科技大学学报 2008(1)11.黄东平.刘铎.王道顺.戴一奇一种安全的门限多秘密共享方案[期刊论文]-电子学报 2006(11)12.杜红珍.张建中一个高效的广义动态多秘密分享机制[期刊论文]-计算机应用研究 2006(7)13.谢琪.于秀源.王继林一种安全有效的(t,n)多秘密共享认证方案[期刊论文]-电子与信息学报 2005(9)14.李雄.李志慧动态防欺诈的多组秘密共享方案[期刊论文]-计算机工程与应用 2008(27)15.黄东平.刘铎.戴一奇安全的多级门限多秘密共享[期刊论文]-清华大学学报（自然科学版） 2007(4)16.黄挚雄.黎群辉.危韧勇.李志勇一种防欺骗的广义多秘密分享方案[期刊论文]-铁道学报 2007(6)17.肖攸安.李腊元数字签名技术的研究[期刊论文]-武汉理工大学学报(交通科学与工程版) 2002(6)18.宋法根.刘振海.梅江林一种改进的BLP模型[期刊论文]-制造业自动化 2012(16)19.张建中.侯建春一个新的可验证的（t,n）多秘密共享方案[期刊论文]-陕西师范大学学报：自然科学版 2012(5)20.张青坡.王立鹏.陈鲁生可用于公开信道的密钥共享方案[期刊论文]-计算机工程与应用 2005(8)21.赵恒.权义宁.胡予濮一种新的P2P数据共享解密授权方案[期刊论文]-西安电子科技大学学报（自然科学版）2005(5)22.于佳.李大兴.范玉玲基于加法共享的可验证秘密再分发协议[期刊论文]-计算机研究与发展 2006(1)23.刘锋.何业锋.程学翰动态的(t,n)门限多秘密分享方案[期刊论文]-计算机应用研究 2008(1)24.甘元驹.谢仕义.沈玉利.周美娟基于RSA与DLP可证实的多秘密分享方案[期刊论文]-小型微型计算机系统 2006(3)25.魏楚元安全群组通信中分布式密钥管理协议的研究[学位论文]硕士 200526.白凤伟.闫德勤.张鑫彦.郑宏亮二次剩余下改进He-Dawson的多秘密共享方案[期刊论文]-计算机工程与应用2011(13)27.甘元驹.谢仕义.沈玉利.周美娟基于RSA与DLP可证实的多秘密分享方案[期刊论文]-小型微型计算机系统 2006(3)28.何明星面向群组的分布式密钥管理协议[期刊论文]-西华大学学报（自然科学版） 2006(6)29.赵恒P2P网络中信誉体制的安全性研究[学位论文]硕士 2005引用本文格式：何明星.范平志.袁丁一个可验证的门限多秘密分享方案[期刊论文]-电子学报 2002(4)。

门限多重秘密共享方案
周洪伟;郭渊博;李沁
【期刊名称】《计算机工程与设计》
【年(卷),期】2008(029)008
【摘要】基于Shamir的门限方案、RSA密码体制以及Hash函数,提出了一个新的门限多重秘密共享方案.参与者的秘密份额是由各参与者自己选择,并且只需维护一份秘密份额即可实现对多个秘密的共享,每个参与者也可以是秘密分发者,只要正确选择参数不会影响到各个参与者所共享的秘密安全性.在秘密恢复过程中,秘密恢复者能够验证其它参与者是否进行了欺骗.方案的安全性是基于Shamir的门限方案、RSA密码体制以及Hash函数的安全性.分析结果表明,该方案是一个安全、实用的秘密共享方案.
【总页数】3页(P1946-1947,1951)
【作者】周洪伟;郭渊博;李沁
【作者单位】解放军信息工程大学,电子技术学院,河南,郑州,450004;解放军信息工程大学,电子技术学院,河南,郑州,450004;河南省电视台,河南,郑州,450008
【正文语种】中文
【中图分类】TP309
【相关文献】
1.门限多重影子秘密共享方案及应用 [J], 杨捷
2.一种新型的门限多重秘密共享方案 [J], 杨捷;李继国
3.自选子密钥的动态门限多重秘密共享方案 [J], 白雪鹏;刘焕平
4.基于门限签名体制的多重秘密共享方案 [J], 王云;张秉儒;芦殿军
5.一种新的(t,n)门限多重秘密共享方案 [J], 李金凤
因版权原因，仅展示原文概要，查看原文内容请购买。

基于SM2与SM4签密的可验证秘密共享方案
高岩;黄成杭;梁佐泉;冯四风
【期刊名称】《河南理工大学学报:自然科学版》
【年(卷),期】2022(41)5
【摘要】经典的Shamir秘密共享方案,部分参与者提供无效的子秘密导致秘密重构失败,为此,设计一种基于SM2与SM4签密的可验证秘密共享方案。

分发者将秘密拆分为n个子秘密,然后使用SM2与SM4签密方案对子秘密进行签密,生成的n 个签密数据依次分发给n个参与者;当需要恢复原始秘密时,任意t个参与者参与秘密重构可以恢复原始秘密,重构前先对参与者的签密数据进行解签密,验证失败则拒绝重构;解密得到的t个子秘密可以重构恢复原始秘密。

方案可以根据实际需要动态设置门限值t和参与者n的取值。

仿真实验验证了方案的正确性、安全性和不可伪造性。

【总页数】7页(P146-152)
【作者】高岩;黄成杭;梁佐泉;冯四风
【作者单位】河南理工大学计算机科学与技术学院;普华诚信信息技术有限公司【正文语种】中文
【中图分类】TP309.2
【相关文献】
1.基于签密的可验证向量空间多秘密共享方案
2.基于双线性配对的可验证签密方案
3.基于身份的可验证环签密方案
4.基于组可验证签密的非否认秘密传输协议
5.基于SM2与RSA签密的秘密共享方案
因版权原因，仅展示原文概要，查看原文内容请购买。