葛文庚

(黃淮學(xué)院 信息工程學(xué)院，河南駐馬店 463000)

0 引 言

傳統(tǒng)的加密算法以及簽名和認(rèn)證機(jī)制能夠維護(hù)數(shù)據(jù)的安全性與完整性，然而如果只采用加密技術(shù)是無法確保數(shù)據(jù)安全的，這是由于加密技術(shù)的安全強(qiáng)度依賴于信息系統(tǒng)數(shù)據(jù)安全的強(qiáng)度，但是大部分加密技術(shù)的安全性是對于其密鑰的保密，并且一般加密算法也是公開的，這就使得如果出現(xiàn)密鑰丟失的情況將會導(dǎo)致整個信息系統(tǒng)失去安全性[1]。因此，如何保護(hù)密鑰安全成為維護(hù)整個信息系統(tǒng)數(shù)據(jù)安全的關(guān)鍵問題。國內(nèi)外學(xué)者對于密鑰的管理(例如，密鑰產(chǎn)生、存儲、傳輸?shù)?問題進(jìn)行了較為豐富的研究，但是傳統(tǒng)的加密技術(shù)不能完全確保數(shù)據(jù)的保密性與完整性。秘密共享策略為密鑰管理提供了有效的安全平臺[2-3]，它包括分發(fā)者與參與者，分為秘密分發(fā)、驗(yàn)證和恢復(fù)三個階段。秘密共享策略的主要方法是：首先，分發(fā)者采用秘密分發(fā)算法給每個參與者產(chǎn)生一個份共享；然后，通過安全信道將份共享傳輸給每一個參與者，并且確定恢復(fù)秘密的授權(quán)參與者集合的訪問結(jié)構(gòu)；最后，參與者提交自己的共享，如果能夠滿足訪問結(jié)構(gòu)的要求，即可進(jìn)行秘密恢復(fù)[4]。隨著秘密共享策略的研究不斷深入，國內(nèi)外研究人員相繼提出了各類不同的秘密共享方案[5-7]。1979年，Shamir[8]和Blakley[9]分別獨(dú)立地提出了秘密共享方案，前者是基于拉格朗日插值公式，后者則是基于射影幾何學(xué)。Harn[10]給出了一種基于(t,n)門限的可驗(yàn)證多秘密共享方案，改方案可以通過驗(yàn)證識別分發(fā)者和參與者的欺騙問題。Heidarvand等人[11]通過采用雙線性映射計算方程，給出了一種公開的可驗(yàn)證多門限秘密共享方案，其可以更易識別分發(fā)者和參與者的不誠實(shí)行為。Bu等人[12]給出了一種基于NTBU算法的秘密共享方案，然而其只能恢復(fù)單個秘密且存儲量也較大。Li[13]通過利用多維空間參數(shù)和超法面交點(diǎn)構(gòu)建參與者共享主密鑰，給出了一種安全完備、直觀實(shí)用的(s,n)門限秘密共享方案。Fan等人[14]給出了一種無可信方的非線性門限秘密共享方案，主要是利用混沌算法與有限狀態(tài)自動機(jī)兩種非線性結(jié)構(gòu)，產(chǎn)生具有隨機(jī)性和動態(tài)性的子密鑰，參與者通過控制實(shí)現(xiàn)可一次一密的安全級別，可防止欺騙和合謀攻擊。而文中通過利用伯克霍夫插值多項式和離散對數(shù)安全性，給出了一種基于伯克霍夫插值多項式的秘密共享方案(a Secret Sharing scheme based on Birkhoff Interpolation Polynomial, SSBIP)，該方案能夠有效識別并防止參與者和分發(fā)者的欺詐行為，具有非常良好的適應(yīng)性。

1 背景知識介紹

下面給出伯克霍夫插值的簡要描述[15]：定義一個三元組〈X,E,C〉。其中，X={x1,…,xk}是實(shí)數(shù)域中一組給定的數(shù)，且x1

P(j)(xi)=ci,j(i,j)∈I(E)

(1)

式中，P(j)(·)表示為P(x)的第j次導(dǎo)數(shù)。RN-1[x]表示為小于N-1階的全部可能的多項式集合。

(2)

其中，|·|表示行列式運(yùn)算。

采用矢量C′對式(2)進(jìn)行變換可得：

(3)

式中，Ai(E,X,φj)是由A(E,X,φ)去除第(i+1)行與第(j+1)列得到的。根據(jù)式(3)可得：

(4)

令φ={g0(x)=1,g1(x)=x,…,gN-1(x)=xN-1}，則有g(shù)0(0)=1，gj(0)=0，其中1≤j≤N-1。由此可以計算出P(0)如下式所示：

(5)

2 SSBIP算法

秘密共享是指秘密分發(fā)者將秘密s分割成n份共享s1,s2,…,sn，并把這些共享秘密地分發(fā)給所有參與者，獲得授權(quán)的子集中的所有參與者可以通過分享自己所擁有的共享，最后共同合作恢復(fù)出初始秘密s。如果少數(shù)參與者想要實(shí)施欺詐，故意分享錯誤的共享或是由于網(wǎng)絡(luò)傳輸錯誤等原因?qū)е鹿蚕礤e誤，這種情況下即使是獲得授權(quán)的子集也無法恢復(fù)出秘密。所給SSBIP算法是一種可驗(yàn)證的秘密共享方案，主要包括系統(tǒng)初始化、秘密分發(fā)、秘密驗(yàn)證和秘密恢復(fù)四個階段。

階段一：系統(tǒng)初始化

假設(shè)U={P1,P2,…,Pn}為n個參與者的子集，它們被分成m+1個等級U0,U1,…Um。如果將U0級中的參與者是P1,P2,…P|U0|，則U1級中的參與者則是P|U0|+1,P|U0|+2,…,P|U0+U1|。且有|Ui|是Ui中參與者的個數(shù)。

階段二：秘密分發(fā)

秘密分發(fā)者生成多項式f1(·)與f2(·)，如式(6)所示：

(6)

式中，a0=s表示是所需分享的秘密，a1,…,at-1和b0,…,bt-1是Zq域中的隨機(jī)數(shù)。

階段三：秘密驗(yàn)證

為了能確?？梢曰謴?fù)出真實(shí)的秘密，則需要驗(yàn)證所接收的共享是否存在欺詐行為。所有參與者收到共享之后，則需驗(yàn)證該共享是否滿足下式：

(7)

階段四：秘密恢復(fù)

3 性能分析

3.1 可驗(yàn)證性

所給SSBIP算法的可驗(yàn)證性主要是證明在秘密恢復(fù)階段，參與者不能夠提供錯誤的共享以及證明分發(fā)者不能分發(fā)不正確的共享。

(8)

證明 伯克霍夫插值問題良好的適應(yīng)性表明在授權(quán)子集AS中的參與者的共享可以定義兩個獨(dú)立的t-1次多項式F1(x)與F2(x)滿足：

(9)

(10)

令Cj=gcj，且有j=0,1,…,t-1，則可得：

(11)

3.2 安全性

假如所給SSBIP算法受到攻擊。令B={Pβ1,…,Pβl}表示被攻擊的未授權(quán)的參與者子集，此時秘密s可以是Zq域內(nèi)的任意值。令B′=B∪{0}，其中0∈U0為一個虛假的參與者。則在B′集內(nèi)被授權(quán)的子集可以定義兩個多項式F1(·)與F2(·)。令B″為B′集中任意的已授權(quán)子集。此時，{0}也肯定為B″集中的一個成員，因此不失一般性。令B″={0,Pβ1,…,Pβt-1}，則對于任意s∈Zq，一定存在s′∈Zq，滿足下式：

gshs′=C0

(13)

同時，也存在使得F1(0)=s與F2(0)=s′的兩個唯一的多項式F1(·)與F2(·)，滿足下式：

(14)

其中，Pβi∈Uki，Uk是第k個等級，t=1,…,t-1。

假定存在兩個多項式F1(·)與F2(·)，即有：

(15)

則根據(jù)定理1可知，多項式F1+dF2(x)是唯一的t-1次多項式可以滿足下式：

(16)

4 結(jié) 語

所給SSBIP方案在Shamir門限秘密共享方案的基礎(chǔ)上，通過利用伯克霍夫插值多項式和離散對數(shù)困難性，給出了一種有效的秘密共享方案。性能分析表明，該方案中參與者不能故意或是因網(wǎng)絡(luò)傳輸錯誤等原因提供錯誤的共享，同時分發(fā)者也不能提供不正確的共享，并且所給方案廣播的參數(shù)也不會泄露有關(guān)秘密的任何信息，可以有效確保所給方案的安全性。因此，所給SSBIP方案具有非常優(yōu)良的適應(yīng)性，能應(yīng)用于各類不同的應(yīng)用系統(tǒng)中。

：

[1] 韓益亮, 岳澤輪, 楊曉元, 等. 標(biāo)準(zhǔn)模型下可證明安全的多變量加密方案[J]. 華中科技大學(xué)學(xué)報(自然科學(xué)版),2014,42(11): 47-51.

[2] 宋云, 李志慧, 李永明. 含至多四個參與者的量子密碼共享方案的最優(yōu)信息率[J]. 電子學(xué)報,2014,42(10): 1951-1956.

[3] Chae C J, Choi K N, Choi K, et al. Enhanced Biometric Encryption Algorithm for Private Key Protection in BioPKI System[J]. Journal of Central South University, 2011, 21: 4286-4290.

[4] 焦棟. 門限秘密共享策略及其應(yīng)用研究[D]. 大連：大連理工大學(xué), 2014.

[5] Massoud H D, Elham F. A Novel and Efficient Multiparty Quantum Secret Sharing Scheme Using Entangled States[J]. Sci China-Phys, Mech Astron, 2012, 55: 1828-1831.

[6] Lee Y S, Wang B J, Chent H. Quality-improved Threshold Visual Secret Sharing Scheme by Random Grids[J]. IET Image Processing, 2013, 7(2): 137-143.

[7] 藍(lán)才會, 王彩芬. 一個新的基于秘密共享的條件代理重加密方案[J]. 計算機(jī)學(xué)報,2013,36(4): 895-902.

[8] Shamir A. How to Share a Secret[J]. Communication of ACM, 1979, 22(11): 612-613.

[9] Blakley G R. Safeguarding Cryptographic Keys [C]//Proc of AFIPS 1979, National Computer Conference. New York, USA: AFIPS Press, 1979, 48: 313-317.

[10] Harn L. Efficient Sharing (Broadcasting) of Multiple Secrets[J]. IEE Computers and Digital Techniques, 1995, 142(3): 237-240.

[11] Heidarvand S, Villar J L. Public Verifiability from Pairings in Secret Sharing Schemes[C]// SAC 2008 LNCS, 2008: 294-308.

[12] 步山岳, 于坤, 王汝傳. 一種基于NTRU算法的秘密共享方案[J]. 小型微型計算機(jī)系統(tǒng), 2009,30(10): 1986-1987.

[13] 李濱. 基于多維空間參數(shù)曲線的門限秘密共享方案[J]. 浙江大學(xué)學(xué)報(理學(xué)版),2014,41(5): 518-521.

[14] 范暢, 茹鵬. 非線性一次一密(t,n)門限秘密共享方案[J]. 計算機(jī)應(yīng)用,2013,33(9): 2536-2539.

[15] 劉莉莉, 陳少田, 夏朋, 等. 一元Birkhoff型有理插值問題[J]. 吉林大學(xué)學(xué)報(理學(xué)版),2011,49(3): 369-372.

[16] Nasrollah P, Mahnaz N, Ziba E. Distributed Key Generation Protocol with Hierarchical Threshold Access Structure[J]. The Institution of Engineering and Technology, 2015, 9(4): 248-255.