一個(gè)改進(jìn)的防欺詐多組秘密共享方案

馬翠　高勇善　張?jiān)辉啤」L友

摘 要 針對(duì)HZ（HOU Jianchun， ZHANG Jianzhong）方案不能有效驗(yàn)證分發(fā)者欺詐與一次將所有秘密都重構(gòu)出來的缺陷，提出一個(gè)新的防欺詐多組秘密共享方案，其優(yōu)點(diǎn)是：系統(tǒng)不需要安全信道，參與者可有效識(shí)別其他參與者或秘密分發(fā)者是否存在欺詐行為，可驗(yàn)證信息在傳輸過程中是否被篡改，共享一組秘密時(shí)，其他組秘密不被泄露，參與者的子秘密可反復(fù)使用等。與現(xiàn)有的方案比較，具有復(fù)雜性低、安全性高、實(shí)用性強(qiáng)的特點(diǎn)。

關(guān)鍵詞 多組秘密共享 防欺詐 安全性

中圖分類號(hào)：TP309文獻(xiàn)標(biāo)識(shí)碼：A

0引言

秘密共享對(duì)信息的安全存儲(chǔ)、傳輸與利用具有非常重要的作用，是信息安全技術(shù)研究的一個(gè)重要課題。自1979年A.Shamir和G.Blakky提出門限秘密共享方案以來，許多學(xué)者針對(duì)不同的應(yīng)用背景給出了多種秘密共享方案，譬如，動(dòng)態(tài)門限秘密共享、防欺詐的多秘密共享等。2004年，Yang等利用二元單向函數(shù)，給出一種改進(jìn)的多秘密共享方案，簡稱YCH方案;2007年，Zhao等對(duì)YCH方案進(jìn)行改進(jìn)，給出一個(gè)實(shí)用的多重秘密共享方案;2012年，Hou等利用安全的hash函數(shù)與對(duì)數(shù)的難解性，給出一個(gè)改進(jìn)的可驗(yàn)證的多秘密共享方案，簡稱HZ方案。HZ方案不僅繼承了前者的優(yōu)點(diǎn)，而且把YCH方案與Zhao方案中的兩類情況合二為一，因此，到目前為止，該方案是比較高效的一個(gè)方案，但遺憾的是該方案仍存在著以下不足：

（1）一次就把所有秘密都重構(gòu)了出來，不能滿足一次重構(gòu)部分秘密而其他秘密仍處于安全狀態(tài)的要求。

（2）如果分發(fā)者D公布的是真實(shí)的，但在秘密分發(fā)階段，構(gòu)造多項(xiàng)式函數(shù)時(shí)，將數(shù)對(duì)中的一個(gè)或部分改成，根據(jù)HZ方案的驗(yàn)證方法這種情況是驗(yàn)證不出來的。這樣個(gè)重構(gòu)秘密的參與者中如果包括了一個(gè)或多個(gè)，他們合作將無法構(gòu)造出正確的多項(xiàng)式函數(shù)，也就無法重構(gòu)出共享的秘密。

本文針對(duì)上述問題，對(duì)HZ方案進(jìn)行了改進(jìn)，提出一種防欺詐多組秘密共享方案，該方案除了具有HZ方案的全部優(yōu)點(diǎn)（如參與者只需保留一份子秘密，不需要安全信道等）外，還可一次共享部分秘密，確保其他秘密不被泄露，同時(shí)可根據(jù)共享秘密的多少與實(shí)際情況設(shè)定不同的共享門限;有效防止參與者之間以及秘密分發(fā)者的欺詐行為，可驗(yàn)證在信息傳輸過程中信息是否被篡改。

1新方案的描述

1.1參數(shù)說明

是共享的秘密組集合，，其中是第組共享秘密，，每組秘密根據(jù)不同的門限進(jìn)行多秘密共享，其中，; 是參與者集合，且 ，其中是第個(gè)參與者，;是秘密分發(fā)者;表示方案所需的公告牌，公告牌上面的信息只有秘密分發(fā)者有權(quán)添加、刪除與修改，其他任何人只有權(quán)閱讀與下載;表示歐拉函數(shù)，表示比特串鏈接。

1.2系統(tǒng)初始化

（1）分發(fā)者隨機(jī)選取兩個(gè)滿足RSA密碼體制安全性要求的強(qiáng)素?cái)?shù)，計(jì)算;隨機(jī)選取大素?cái)?shù)，使?jié)M足：，其中;，并確保在有限域上離散對(duì)數(shù)問題難解;設(shè)是有限域的一個(gè)生成元;在公告牌上公布。

（2）分發(fā)者隨機(jī)選取素?cái)?shù)，使與互素，求整數(shù)，使?jié)M足：，將銷毀，把作為私玥秘密保存;選取一個(gè)安全的hash函數(shù)，記作;在上公布。

（3）參與者，隨機(jī)選取自己的子秘密份額，計(jì)算;隨機(jī)選取自己的身份標(biāo)識(shí);將進(jìn)行秘密保存，把通過普通信道發(fā)送給秘密分發(fā)者。

（4）分發(fā)者收到后，確保若，有，成立，否則要求相應(yīng)的參與者重新選擇自己的子秘密份額與身份標(biāo)識(shí)，直到符合要求為止;隨機(jī)選擇整數(shù)，計(jì)算，，，將秘密保存;在公告牌上公布。

1.3 秘密分發(fā)階段

（1）分發(fā)者根據(jù)個(gè)數(shù)對(duì)與，利用Lagrange插值公式構(gòu)造次多項(xiàng)式函數(shù)

（1）

其中，。

（2）在中依次選取個(gè)最小的素?cái)?shù)計(jì)算， ，，，其中，;在公告牌上公布， 。

1.4信息驗(yàn)證與秘密重構(gòu)階段

不失一般性，設(shè)表示個(gè)參與者構(gòu)成的集合，他們將合作重構(gòu)出秘密組。

1.4.1對(duì)秘密分發(fā)者的驗(yàn)證

里面的任意一個(gè)參與者首先在公告牌上下載，利用自己的秘密份額與身份標(biāo)識(shí)，通過等式（2）驗(yàn)證分發(fā)者是否公布了虛假的（或在信息傳輸過程中是否被篡改），若等式成立，是誠實(shí)的（或沒有被篡改），否則，存在著欺詐行為（或被篡改），要求進(jìn)行更改（或重新發(fā)送），直到驗(yàn)證通過。

（2）

其次，在公告牌上下載 ，利用自己的身份標(biāo)識(shí)，通過等式（3）驗(yàn)證分發(fā)者是否在構(gòu)造多項(xiàng)式函數(shù)（1）的過程中使用了虛假的，若等式成立，則沒有欺詐行為，否則，是不誠實(shí)的，要求分發(fā)者更改，使。

（3）

最后，在公告牌上下載 ，通過等式（4）驗(yàn)證分發(fā)者是否公布了虛假信息，若等式成立，公布的信息是真實(shí)的，否則是虛假的。

（4）

1.4.2參與者之間的相互驗(yàn)證

參與者，在公告牌上下載，利用自己的秘密份額，計(jì)算，并向中的其他參與者廣播他的份額，其他參與者可以通過等式（5）來驗(yàn)證提供的信息是否真實(shí)。若等式成立，說明提供的信息是真實(shí)的，否則，進(jìn)行了欺詐，提供了假的份額。

（5）

1.4.3秘密重構(gòu)

分發(fā)者與秘密重構(gòu)的所有參與者都通過了驗(yàn)證后，每個(gè)參與者利用所有參與者提供的個(gè)數(shù)對(duì)與在公告牌上下載的個(gè)數(shù)對(duì)，根據(jù)Lagrange插值公式構(gòu)造出次多項(xiàng)式函數(shù)（1）。

利用多項(xiàng)式函數(shù)（1），計(jì)算，，即第個(gè)秘密組被重構(gòu)出來。

2方案分析

2.1驗(yàn)證等式正確性分析

定理1：參與秘密重構(gòu)的每一位參與者都可以通過等式（2）驗(yàn)證分發(fā)者公布的的真實(shí)性， 也可以驗(yàn)證在系統(tǒng)初始化階段的（3）中， 是否在傳輸過程中被篡改。

證明：因，所以參與秘密重構(gòu)的每一位參與者都可以通過等式（2）驗(yàn)證分發(fā)者公布的的真實(shí)性。

因?yàn)?/p>

所以參與秘密重構(gòu)的每一位參與者都可以通過等式（2）驗(yàn)證在系統(tǒng)初始化階段的（3）中是否在傳輸過程中被篡改。

定理2：參與秘密重構(gòu)的每一位參與者都可以通過等式（3）驗(yàn)證分發(fā)者在構(gòu)造多項(xiàng)式函數(shù)（1）的過程使用的真實(shí)性。

證明

定理3：參與秘密重構(gòu)的每一位參與者都可以通過等式（4）驗(yàn)證分發(fā)者公布的數(shù)對(duì)，的真實(shí)性。

證明與定理2類似，略。

定理4：除之外的參與者都可以通過等式（5）驗(yàn)證參與者提供的份額的真實(shí)性。

證明可以由分發(fā)者計(jì)算的公式中直接得出，略。

2.2安全性分析

（1）參與者的子秘密與身份標(biāo)識(shí)由自己選擇，在系統(tǒng)初始化階段，傳輸給分發(fā)者的是，根據(jù)離散對(duì)數(shù)的難解性可知利用是很難得到的。

（2）參與者可以利用等式（2）驗(yàn)證分發(fā)者是否公布了虛假的，或在傳輸中過程中是否被惡意篡改。保證了分發(fā)者公布信息的真實(shí)性。

（3）在秘密重構(gòu)階段， 參與者提供給其他參與者的是，由二元單向函數(shù)- Hash函數(shù)的安全性知，從中得到的子秘密份額是不可能的;所以子秘密份額可以重復(fù)使用。

（4）由定理1-4知方案能夠有效防止參與者與分發(fā)者之間互相欺詐。

（5）在秘密分發(fā)階段，分發(fā)者利用了個(gè)數(shù)據(jù)點(diǎn)根據(jù)Lagrange插值公式構(gòu)造了次多項(xiàng)式函數(shù)是以Shamir門限方案為基礎(chǔ)的，所以當(dāng)且僅當(dāng)有個(gè)或多于個(gè)參與者聯(lián)合才能得到多項(xiàng)式函數(shù)，恢復(fù)出秘密。

2.3性能分析

本文提出的多組秘密共享方案利用了安全的二元單向函數(shù)-Hash函數(shù)與離散對(duì)數(shù)的難解性，具有與HZ方案同等的安全性，且繼承了HZ方案的無需安全信道、子秘密可以反復(fù)使用等所有優(yōu)點(diǎn)，并彌補(bǔ)了HZ方案的不足：

（1）利用本方案可以重構(gòu)多組秘密，重構(gòu)每組秘密時(shí)，可以選擇不同的門限，在執(zhí)行方案時(shí)，只需要選擇不同的參數(shù)，更新、， ，就可以重構(gòu)出其他組秘密。由于選擇了不同的參數(shù)，即使參與者集合、參與者的身份標(biāo)識(shí)、子秘密份額、公鑰等信息保持不變，其中任何一組秘密的重，與其他組秘密的安全性沒有任何影響。

（2）假設(shè)只有一組秘密，可以利用本方案重構(gòu)出部分秘密，其他秘密仍然是安全的，克服了HZ方案中一次將所有秘密重構(gòu)出來的缺憾。具體步驟是：選取所需重構(gòu)的部分秘密，將其組成一個(gè)秘密組，執(zhí)行該方案就可以實(shí)現(xiàn)上述要求。

（3）本方案利用驗(yàn)證等式（3），可有效防止分發(fā)者的欺詐行為，增強(qiáng)了方案的安全性。

3結(jié)束語

本方案在HZ方案的基礎(chǔ)上，給出一個(gè)新的防欺詐多組秘密共享方案。該方案能夠在改變有限參數(shù)的基礎(chǔ)上，重構(gòu)多組秘密，增加了對(duì)秘密分發(fā)者欺詐行為發(fā)生的驗(yàn)證等式，減少了分發(fā)者發(fā)生欺詐的機(jī)會(huì)。多組秘密共享，解決了一次重構(gòu)部分秘密，而其他秘密不被泄露的問題。因此，該方案在一定程度上提高了系統(tǒng)的安全性與實(shí)用性，為進(jìn)一步研究多秘密共享提供了一個(gè)新的思路。

基金項(xiàng)目：本研究受山東省語言文字應(yīng)用科研項(xiàng)目（YYWZGL2018B057）資助。

參考文獻(xiàn)

[1] Shamir，A.Howto Share a Secret[J].Communications of the ACM，1979，22（11）：612-613.

[2] Blakley G.r.Safeguarding Cryptographic Key[c]. Proceedings of the National Computer Conference Chicago，USA：American Federation of Information Processing SOCIETIES，1979：313-317.

[3] He Ji，DAWSON E.MULTISTAGE Secret-sharing Based on One-way Function[J].Electronic Letters，1995，31（02）：93-95.

[4] 龐療軍，李慧賢，王育民.動(dòng)態(tài)門限多重秘密共享體制[J].計(jì)算機(jī)工程，2008，34（05）：164-165.

[5] Yang C.C.&T.Y.Chang&Hwang M S.A （t? ? n） multi-secret sharing scheme[J].Applied Mathematics and Computation，2004，151（02）：483-490.

[6] Harn，L.Efficient sharing（broadcasting）of multiply secret[J].Computers and Digital Techniques，1995，142（13）：237-240.

[7] 王家玲，朱艷琴，羅喜召.對(duì)一種VMSS方案的分析與改進(jìn)[J].計(jì)算機(jī)應(yīng)用與軟件，2010，27（01）：8-10.

[8] 王鋒，周由勝，谷利澤，楊義先.一個(gè)群組驗(yàn)證的多策略門限數(shù)字簽名方案[J].計(jì)算機(jī)研究與發(fā)展，2012，49（03）：499-505.

[9] 趙建軍，張建中.一種新的可驗(yàn)證的多秘密共享方案[J].計(jì)算機(jī)工程與應(yīng)用，2007，43（04）：131-133.

[10] 侯建春，張建中.一個(gè)改進(jìn)的可驗(yàn)證的多秘密共享方[J].計(jì)算機(jī)工程與應(yīng)用，2012，48（14）：94-97.