【免费下载】Shamir的kn门限秘密共享方案

一、秘密共享研究背景及意义

安全中的重要的研究内容。

始信息的目的。从而吸引了越来

关键字：信息安全；秘密共享；秘钥管理。

秘密共享的发展和应用

Shamir的(k,n)门限秘密共享方案

13108 许子豪

共享可解决上述问题，它在不增加风险的同时提高密钥管理的可靠性。

越多的科研人员对该研究内容的关注。秘

哪些参与者合作不能得到关于该秘密的任何信息。利用秘密共享方案保管密钥

秘密共享思想的最初动机是解决密钥管理的安全问题。大多情况下，一个随着计算机和网络通信的广泛应用，人们的生活越来越依赖电子通信，使

并安全地分发给若干参与者掌管，同时规定哪些参与者合作可以恢复该秘密，

可能就越大但如果同时创建的备份越少，密钥全部丢失的可能也就越大。秘密

个地方。但是这种方法并不理想，原因在于创建的备份数目越多，密钥泄漏的

方法是创建该密钥的多个备份并将这些备份分发给不同的人或保存在不同的多

可能造成多个重要文件或其他密钥不可用或被窃取。为了解决这个问题，一种

主密钥控制多个重要文件或多个其他密钥，一旦主密钥丢失、损坏或失窃，就

用电子方式来存储重要档案的做法也越来越普遍，随之而来产生的对各种不同

密共享己经成为现代密码学的一个重要的研究领域，同时，它也成为信息

理，从而达到保密通信中，不会因为数据的丢失、毁灭或篡改，而无法恢复原

恶意篡改，而无法恢复原始信息，研究者提出利用秘密共享机制对数据进行处

为了避免由于网络中重要信息和秘密数据的丢失、毁灭以及被不法分子利用或

档案如何管理也成了很大的问题。

——密码学概论课作业

摘 要：近年来，由于网络环境自身的问题，网络环境己存在严峻的安全隐患;

在秘密共享方案中，将需共享的秘密分成若干秘密份额也称子密钥、碎片，

安全性和完整性。

（4）在不增加风险的情况下，增加了系统的可靠性。

（2）有利于防止权力过分集中以导致被滥用的问题。

二、门限秘密共享的研究现状及存在的问题

超平面仅能确定其交线，因而得不到共享秘密的任何信息。

Shamir和Blakley于1979年分别地提出秘密共享的概念，并给出了

的危险越大，保存副本越小，则副本丢失的风险越大的缺点。

k个或k个以上的参与者合作利用插值公式可以恢复出所共享的秘密，但少于

外，还有很多其他方法，如基于中国剩余定理的方法、使用矩阵法的方法等。

秘密共享的这些优点使得它特别适合在分布式网络环境中保护重要数据的Shamir的门限秘密共享方案通过构造一个k-1次多项式，并将所要共享的

方程，任意k个k-1维超平面的交点刚好确定共享的秘密，而k-1个子秘密即

的秘密s看成k维空间中的一个点，每个子秘密为包含这个点的k-1维超平面

门限秘密共享方案，他是利用空间中的点来建立门限方案。该方案将共享

秘密作为这个多项式的常数项，将秘密分成n个秘密份额分别分给个参与者。

份额分给n个参与者掌管，这些参与者中k个或k个以上的参与者所构成的子

(k,n)门限秘密共享方案。(k,n)门限秘密共享方案是把一个秘密分成若干秘密

数字签名、身份认证等技术结合可形成有广泛应用价值的密码学算法和安全协

广泛的应用。此外，秘密共享技术与密码学的其他技术也有紧密联系，如它与

上极为有用，而且在数据安全、银行网络管理及导弹控制与发射等方面有非常

安全，是网络应用服务中保证数据安全的最重要工具之一。它不但在密钥管理

k个参与者合作不能得到关于共享秘密的任何信息。Blakley提出了另一种

（3）攻击者必须获取足够多的子密钥才能恢复出所共享的密钥，保证了密钥的

（1）为密钥合理地创建了备份，克服了以往保存副本的数量越大，安全性泄露

议。因此，对此课题的研究不但具有理论价值，而且具有广泛的实际应用价值。

构造（k,n）门限秘密共享方案的方法除了上述的插值法和的几何向量法以

集可以合作重构这个秘密。

值公式知

(2)秘密分发(1)系统参数

分享的秘密D对f(x)保密。

三、Shamir的(k,n)门限秘密共享方案下面简单介绍一下这个方案：

秘密分发者D给n个参与者Pi(0≤i≤n)分配份额的过程，即方案的分配Shamir提出秘密共享概念的同时，也分别给出了(k,n)门限秘密共享假定n是参与者的数目，n是门限值，p是一个大素数要求p>n并且大于p我们称这种方案为(k,n)门限秘密共享方案，简称为门限方案，k称为方案作为各种秘密共享方案中最简单实用的门限秘密共享方案，(k,n)门限秘密(i)随机选择一个GF(p)上的k-1次多项式 使得f(0)=a0=s要在个参与者中

算法如下:

的门限值。

份额，不公开。

些良好的特性。

(2)任何k个以下的成员集都无法重构。

持有一个子密钥也称为影子或秘密碎片，如果满足:

共享方案也是这些方案中最具有代表性和广泛应用的方案。

秘密s的可能的最大取值;秘密空间与份额空间均为有限域GF(p)。

(1)任何不少于k个的合格成员通过所持有的正确的碎片都可以重构。

的概念。简单地说，设秘密通过秘密共享算法分发给个成员共享，每一个成员

但最简单且最常用的还是的基于插值的门限秘密共享方案，因为该方案具有一

（3）秘密重构

(iii)将(xi,yi)分配给参与者Pi(0≤i≤n),值xi是公开的，yi作为的秘密

(ii)D在Zp中选择n个互不相同的非零元素x1,x2,…,xn,计算 (0≤i≤n)。

给定任何k个点,不妨设为前k个点（x1,y1）,(x2,y2)，…,(xk,yk).由插

与者。

(1)系统参数

则s=f(0)=a0

秘密份额作废。

间均为有限域GF(p)。

四、可验证秘密共享方案

可验证秘密共享方案主要是针对基本的秘密共享方案中秘密分发者与参与

但同时方案存在以下问题

加后分享者的总数不超过。

分发、验证算法和秘密重构。

(3)秘密分发者与参与者之间需点对点安全通道。

Shamir方案作为一种被广泛选用的门限方案，具有以下优点:

(1)k个秘密份额可以确定出整个多项式，并可计算出其他的秘密份额。

(1)在秘密分发阶段，不诚实的秘密分发者可分发无效的秘密份额给参与者。

构参与的非交互式可验证秘密共享方案。该方案由四部分组成系统参数、秘密

公开承诺和验证算法，来检测试图伪造秘密份额的用户，包括秘密分发者和参

者可能不诚实的事实提出的，它是在基本的秘密共享方案的基础上，增加一些

系数的次多项式，重新计算新一轮分享者的秘密份额，从而使得分享者原有的

公开的，k是门限值，n是参与者数目，s为要共享的秘密，秘密空间与份额空

(3)还可以在原有共享密钥未暴露之前，通过构造常数项仍为共享密钥的具有新

(2)在原有分享者的秘密份额保持不变的情况下，可以增加新的分享者，只要增

(2)在秘密重构阶段，某些参与者可能提交无效的秘密份额使得无法恢复正确秘。

通过增加一个公开验证函数来扩展Shamir的方案，是第一个不需要可信机

p是一个大素数，q为p-1的一个大素因子，g 且为q阶元，三元组(p,q,g)是

Feldman的可验证秘密共享方案

是正确的，否则说明收到的秘密份额不正确。

各参与者在收到秘密份额后，可通过检验等式

体方案在安全性、效率和实用性上顾此失彼），有待进一步研究和探讨。

当k个参与者P1，P2，…，Pk合作来恢复秘密时，每一个参与者Pj，公

（2）为了使门限签名方案的更新效率提高，且能保持抗合谋性质，本文方案所以它仅是计算上安全的。

（1）大部分秘密共享方案是基于点对点安全通道和广播通道的，通信代价较

果丰富，取得了较多的研究成果，但在方案的设计中，还存在一些问题（如具

开他的份额sj给其他合作者，每个合作者都可通过验证等式(1)是否成立来检

是否成立来验证秘密份额的正确性。如果相等，则说明成员Pi收到的秘密份额

虽然到目前为止门限秘密共享及其在秘钥传输、门限签名中的应用研究成

然后计算各秘密份额si=f(xi)(modq)并秘密地发送给参与者，同时公开承

随机选择一个GF(p)上的k-1次多项式 使得f(0)=a0=s要在个参与者中分

由于该方案公开了 mod p，它的安全性依赖于有限域上的离散对数难题，

都较高且能抗合谋攻击的门限签名方案有待进一步研究。

价。但目前对于基于部分广播通道的秘密共享方案还不是很多。

大，牺牲了方案的部分通信效率。因此，设计一个通信效率和更新效率

在秘密份额的分发过程中对秘密份额进行了复杂的处理，使其通信量变

大，基于部分广播通道的秘密共享方案可有效减少通道数，降低通信代

五、展望

(4)秘密重构

(3)验证算法

(2)秘密分发

验秘密份额的有效性。

享的秘密D对f(x)保密。

诺信息 mod p,其中j=(0,1,2,…,k-1)

个重要的研究方向性。

（3）本文提出的门限签名方案假设可信中心的存在，系统的初始化以及秘钥

心很难，因此对于无可信中心的抗合谋攻击的门限签名方案的研究时一

的分发都是由可信中心完成。但在现实生活中，找到一个完全的可信中