基于线性方程组的秘密共享方案.doc

基于线性方程组的秘密共享方案 沈 忠 华 ，于 秀 源 （杭州师范大学理学院 ，浙 江 杭 州 ３１００３６） 摘 要 ：在 门 限 方 案 中 ，密钥被所有成员秘密共享 ，而当一定数量的成员合作时 ，该密钥可以恢复 ．一 个 （ｔ，ｎ）门限方案就是将密钥 Ｋ 分 给ｎ 个 成 员 ，而 任 意ｔ个成员合作可以生成密钥 Ｋ ，但 只 有ｔ－１个成员或者更少 的成员不能生成该密钥 ．大 多 数 （ｔ，ｎ）门限方案都基于 Ｌａｇｒａｎｇｅ插值多项式或者是同余理论 ．文章提出了一种新 的基于多元一次多项式的秘密共享门限方案 ． 关 键 词 ：密 码 学 ；秘 密 共 享 ；线 性 方 程 组 中 图 分 类 号 ：ＴＰ３０９；Ｏ１５３ ＭＳＣ２０１０：１１Ｔ７１；９４Ａ６０ 文 献 标 志 码 ：Ａ 文 章 编 号 ：１６７４－２３２Ｘ（２０１１）０２－０１０１－０５ 引 言 ０ 存储 在系统 中的所 有 密钥的安全 性可能最终取决于一 个 主密 钥 ．这 样 做 有 两 个 缺 陷 ：一 是 若 主 密 钥 偶 然 地 或 蓄 意 地 暴 露 ，整 个 系 统 就 易 受 到 攻 击 ；二是若主密钥丢 失 或 毁 坏 ，系 统 中 的 所 有 信 息 就 用 不 成 了 ．后 一 个 问 题 可 通 过 将 密 钥 的 副 本 发 给 信 得 过 的 用 户 来 解 决 ．但 这 样 做 时 ，系 统 对 背 叛 行 为 又 无 法 对 付 ．解 决 这 两 个 问 题 的 一 个 办 法 就 是 使 用 秘 密 共 享 方 案 （ｓｅｃｒｅｔｓｈａｒｉｎｇｓｃｈｅｍｅ）［１］．秘 密 共 享 方 案 是 与 密 钥 建 立 相 关 的 多 方 协 议 ．它 通 过 利 用ｎ 个 用 户 中 的ｔ 个 用 户 之 间 的 相 互 协 作 ，从 而 控 制 某 些 重 要 任 务 ，并 为 这 些 重 要 任 务 的 可 信 分 发 或 共 享 控 制 提 供 便 利 ．秘密共享的思想开 始 于将 一 个 秘 密分成若 干份 ，每 一 份 称 为 一 个 共 享 ，这 些 共 享 被 分 发 给 不 同 的 用 户 ，只有用户特定子集的共 享 共 同 提供 才能 重构初始秘密 ． 用数学的语言，秘密共享方案的基本思想如下：将密钥ｋ 按下述方式分成ｎ 个共享（ｓｈａｒｅ）ｋ１，ｋ２，…，ｋｍ ： １）已 知 任 意ｔ个ｋｉ 值 易 于 算 出ｋ； ２）已 知 任 意ｔ－１个 或 者 更 少 个 ｋｉ，??由于信 息短缺而不能决定出 ｋ．这种方法也称为 （ｔ，ｎ）门 限 （ｔｈｒｅｓｈｏｌｄ）法［２］． 将 ｎ个 共 享ｋ１，ｋ２，…，ｋｎ 分 给ｔ个 用 户 ．由于重构密钥要求至少 有ｔ个 共 享 ，故 暴 露ｔ１（ｔ１ ≤ｔ－１）个 共 享 不 会 危 及 密 钥 ，且 少 于ｔ个用 户 的组不可能合谋得到密钥 ．同 时 ，若一个共享被 丢 失 或 毁 坏 ，仍 可 恢 复 密 钥（只 要 至 少 有ｔ个 有 效 的 共 享 ）． 收 稿 日 期 ：２０１０－０９－１８ 基 金 项 目 ：国家自然科学基金项目 ；国家自然科学基金项目 ；浙江省教育厅科研项目 （Ｙ２０１０１６４９７）；杭 州 市 高 校 重点实验室科技创新项目 １１）；杭州师范大学科研项目 （２０１０ＱＮ２６）． 对 于 秘 密 共 享 方 案 ，很 多 文 献 已 有 了 较 好 的 阐 述 ，但 大 多 都 基 于 Ｌａｇｒａｎｇｅ插 值 多 项 式 的 Ｓｈａｍｉｒ方 案［１］ 和 基 于 同 余 理 论 的 Ａｓｍｕｔｈ－Ｂｌｏｏｍ 方 案［３－４］．１９８３年 Ｋａｒｎｉｎ－Ｇｒｅｅｎｅ－Ｈｅｌｌｍａｎ在 文［７］中 提 出 了 基 于 矩 阵 乘 法 的 秘 密 共 享 方 案 ，在 此 对 Ｋａｒｎｉｎ－Ｇｒｅｅｎｅ－Ｈｅｌｌｍａｎ秘密共享方案 作 进 一 步 改 进 ，提 出 一 种 新 的 基 于 线 性 多 项 式 的 门 限 方 案 ，在 方案中 借助数论中的同余 理 论 ，使 得 安 全 性 得 到 加 强 ，另 外 在 密 钥 的 选 取 上 较 之 Ｋａｒｎｉｎ－Ｇｒｅｅｎｅ－Ｈｅｌｌｍａｎ方 案 更 加 简 单 ． 门 限 函 数 众 所 周 知 ，一 个门限方案必须满足这样的条件 ：如 果 将 一 个 信 息 Ｅ分 成ｎ 个 子 信 息 ，那 么 ，对 于 给 定 的 ｔ，由ｔ个 子 信 息 可 以 完 整 地 得 到 Ｅ，而 由 任 何 少 于ｔ个 的 子 信 息 却 不 能 完 整 地 得 到 Ｅ． 把 门 限 方 案 看 作 一 个 函 数 ，那 么 ，门限方案