基于Shamir秘密共享的可驗(yàn)證多秘密共享模型

1、基于Shamir秘密共享的可驗(yàn)證多秘密共享模型摘要:多秘密共享技術(shù)影響著信息安全和密碼學(xué)在新型網(wǎng)絡(luò)應(yīng)用中的發(fā)展。分析了兩種YCH改進(jìn)和一種基于齊次線性遞歸的多秘密共享方案，基于Shamir秘密共享提出并實(shí)現(xiàn)了一種新的可驗(yàn)證的多秘密共享模型，該模型在秘密合成階段的時(shí)間復(fù)雜度為O(kt2)，優(yōu)于兩種YCH改進(jìn)模型(O(t3)(tk) O(k3)(tk),O(k(n+k)2)，實(shí)際模擬中秘密合成時(shí)間則少于其他三種模型，并且分析了四種模型在時(shí)間復(fù)雜度、可驗(yàn)證性和公開值等方面的優(yōu)劣性。在nk時(shí)，新模型所需公開值小于其他三種模型，實(shí)驗(yàn)結(jié)果表明，新模型在秘密分發(fā)時(shí)間和秘密合成時(shí)間方面均優(yōu)于其他三種模型。關(guān)

2、鍵 詞: 多秘密共享；lagrange插值；齊次線性遞歸； Shamir秘密共享中圖分類號(hào): TP393文獻(xiàn)標(biāo)識(shí)碼: AVerifiable multi-secret sharing scheme based on Shamir secret sharingAbstract: The development of the information security and cryptography in the new network applications is influenced by multi-secret sharing technology. In this paper, we

3、analyse two kinds of improved YCH and a multi-secret sharing solution based on homogeneous linear recursion, and we propose and realize a new verifiable multi-secret sharing model based on Shamir secret sharing, the time complexity of this model in the phase of secrets recovery is O(kt2), which is s

4、uperior to other two kinds of improved YCH model (O(t3)(tk) O(k3)(tk) ,O(k(n+k)2), the time of secrets synthesis in the actual simulation is less than the other three models, and we also analyse the advantages and disadvantages of the four models on the time complexity ,verifiability and open values

5、. When n k, the open values which the new model needs are fewer than that of the other three models, the experimental results show that the new model is better than the other three models on the time of secrets distribution and secrets recovery.Key words: Multi-secret sharing;Lagrange interpolation

6、polynomial;Homogeneous linear recursion; Shamir secret sharing1 引言秘密共享在導(dǎo)彈發(fā)射、電子商務(wù)、電子選舉和安全多方計(jì)算等方面有著廣泛的應(yīng)用。A.Shamir1和G.Blakley2分別在有限域的多項(xiàng)式插值和有限幾何的基礎(chǔ)之上提出了秘密共享的概念。由于Shamir的(t,n)門限秘密共享機(jī)制是最簡單、最有效也是最實(shí)用的一種秘密共享機(jī)制3，Shamir秘密共享機(jī)制成為秘密共享研究的主流。但傳統(tǒng)的秘密共享只能保護(hù)一個(gè)秘密信息，于是多秘密共享方案被Blundo4等人提出，在多秘密共享方案中，每個(gè)成員只需要分配一個(gè)秘密份額，便可以同時(shí)共享

7、多個(gè)秘密。在隨后的幾年中，多秘密共享得到了迅速發(fā)展。Jackson5等人將所有的多秘密共享模型分為一次性模型和可重復(fù)使用模型。所謂一次性模型，即在每次秘密恢復(fù)之后，成員的秘密份額泄露，必須給每個(gè)成員重新分配秘密份額。而可重用模型可以避免這個(gè)問題，在可重用模型中，每次秘密恢復(fù)之后，無需重新分配秘密份額，也能保證每個(gè)成員秘密份額的安全性和有效性。但是當(dāng)時(shí)提出的大多數(shù)模型都是一次性模型。基于此問題， He等人6提出了一種多階段秘密共享方案，該方案期望通過運(yùn)用單項(xiàng)函數(shù)來保護(hù)秘密份額并使得秘密按照一定次序順次恢復(fù)。方案需要k個(gè)插值函數(shù)，每個(gè)插值函數(shù)的常數(shù)項(xiàng)gi(0)為秘密pi，因此重復(fù)性工作很多。該方案

8、中需要的公開值個(gè)數(shù)為kt個(gè)。隨后Harn提出了一種改進(jìn)模型7，改進(jìn)后的模型需要的公開值個(gè)數(shù)為k(n-t)個(gè)，改進(jìn)方案適用于t的數(shù)目近似于n的情況下。但實(shí)際上這兩種模型都是一次性模型，并不適合實(shí)際應(yīng)用8，并且公開值的個(gè)數(shù)也沒明顯的減少。Chien等人9提出了一種基于分組碼的多秘密共享模型，模型中運(yùn)用單向雙值函數(shù)保護(hù)秘密份額，保證了該模型的可重用性，在秘密恢復(fù)階段通過解n+p-t個(gè)方程，秘密可被同時(shí)恢復(fù)出來。該方案將公開值降低到n+p-t+1個(gè)。Yang等人10認(rèn)為Chien提出的模型雖然減少了公開值的個(gè)數(shù)，但并非建立在Shamir模型基礎(chǔ)之上。于是他們給出一種基于Shamir模型的改進(jìn)模型YCH

9、模型，該模型分為兩種情況考慮，當(dāng)pt時(shí)，構(gòu)建t-1次插值多項(xiàng)式，算法需要n+1個(gè)公開值，當(dāng)pt時(shí)，構(gòu)建p-1次插值多項(xiàng)式，算法需要n+p-t個(gè)公開值。此方案同樣利用了雙值單向函數(shù)，也同樣通過解方程組來同時(shí)恢復(fù)所有秘密，因此在秘密恢復(fù)階段的時(shí)間復(fù)雜度與9基本相同。顯然，當(dāng)pk時(shí)，新模型所需的公開值個(gè)數(shù)少于其他三種模型。另外，新模型在秘密分發(fā)階段的時(shí)間復(fù)雜度小于H模型，而在秘密合成階段，新模型與D模型同為時(shí)間復(fù)雜度最小的模型。通過實(shí)驗(yàn)進(jìn)一步對(duì)四種模型在計(jì)算時(shí)間方面進(jìn)行了分析，可以看出D模型和新模型都為計(jì)算時(shí)間較少，且穩(wěn)定性較好的模型，新模型在秘密合成階段的計(jì)算時(shí)間少于D模型，在秘密合成階段，僅t值

10、很大時(shí)新模型的合成時(shí)間在小范圍內(nèi)多于D模型，其他情況下均與D模型基本相同。本文其余部分結(jié)構(gòu)如下：第2節(jié)介紹三種模型，給出本文提出的新模型，并對(duì)四種模型進(jìn)行了理論分析；第3節(jié)給出實(shí)驗(yàn)數(shù)據(jù)，并對(duì)四種模型在計(jì)算時(shí)間方面做進(jìn)一步分析；最后為結(jié)論和展望。2 四種模型及其理論分析本文選擇實(shí)現(xiàn)的三種模型都利用離散對(duì)數(shù)的難解性實(shí)現(xiàn)秘密份額的保護(hù)和驗(yàn)證，而用不同的方法實(shí)現(xiàn)了秘密分發(fā)和秘密恢復(fù)，因此能夠更好地分析出多秘密共享模型中，由于秘密分發(fā)與秘密恢復(fù)方法的不同，對(duì)整體方案在公開值、時(shí)間復(fù)雜度等方面的影響。2.1 Z模型此模型在YCH模型的基礎(chǔ)上進(jìn)行改進(jìn)，考慮到成員欺騙問題，添加了驗(yàn)證，不需要單獨(dú)開設(shè)安全信道。

11、而秘密分發(fā)與秘密恢復(fù)方法與YCH模型中提出的方法基本相同。方案中p1,p2,pk為k個(gè)待保護(hù)的秘密。M1,M2,Mn 為n個(gè)參與秘密共享的成員。D為秘密分發(fā)者。具體方案如下：2.1.1 初始化階段D選擇兩個(gè)強(qiáng)素?cái)?shù)p和q，計(jì)算N=pq；在N1/2,N中隨機(jī)選擇一個(gè)整數(shù)g(g與p,q互素)；發(fā)布g,N。每個(gè)Mi在2,N中隨機(jī)選擇一個(gè)整數(shù)si作為自己的秘密份額，計(jì)算Ri= gsi mod N，并將Ri 和標(biāo)識(shí)號(hào)IDi 傳送給D。D必須保證RiRj(MiMj)，否則D要通知Mi重新選擇秘密份額，直到所有Ri都符合條件以后，發(fā)布(IDi ,Ri)。2.1.2 秘密分發(fā)階段1) D在2,N中隨機(jī)選擇一個(gè)整

12、數(shù)s0，s0與p-1和q-1互素。s0f = 1 mod (N)，計(jì)算f；2) 計(jì)算R0=gs0 mod N，計(jì)算Ii= Ris0mod N，(i=1,2,n)；3) 公布R0 ,f,當(dāng)kt時(shí)隨機(jī)選擇素?cái)?shù)Q，隨機(jī)在0,Q中選擇整數(shù)a1,a2,at-k 。用p1,p2,pk,a1 ,a2,at-k做系數(shù)，構(gòu)造t-1階多項(xiàng)式如下：h(x)= p1+p2x+pkxk-1+a1xk+a2xk+1+at-kxt-1 mod Q 計(jì)算yi=h(Ii)modQ(i=1,2,n)；公布y1,y2,yn。當(dāng)kt時(shí)隨機(jī)選擇大于N的素?cái)?shù)Q，用p1,p2,pk 做系數(shù)構(gòu)建k-1階多項(xiàng)式：h(x)= p1 + p2x

13、+pkxk-1 mod Q 計(jì)算yi=h(Ii) mod Q (i= 1,2,n),計(jì)算h(i)mod Q (i=1,2,k-t),公布 y1,y2,yn, h(1),h(2),h(k-t)。2.1.3 秘密恢復(fù)和驗(yàn)證階段1) Mi計(jì)算Ii = R0si mod N，作為自己的子秘密；2) 每個(gè)參與秘密恢復(fù)的成員都可以驗(yàn)證其他參與成員給出的子秘密是否有效，如果Ii f = Ri mod N 說明Ii為有效，否則Mi可能有欺騙行為。3) 當(dāng)kt時(shí)，通過(Ii ,yi)構(gòu)建插值函數(shù)如下： = p1+p2x+pkxk-1+a1xk+a2xk+1 + +at-kxt-1 mod Q 當(dāng)kt時(shí)，通過(I

14、i ,yi)和(i,h(i)構(gòu)造插值函數(shù)如下： = p1 + p2x +pkxk-1 mod Q2.2 H模型此模型秘密分發(fā)階段將秘密作為插值點(diǎn)構(gòu)造n+k-t次lagrange插值多項(xiàng)式，秘密合成階段再次使用lagrange插值多項(xiàng)式將k個(gè)秘密恢復(fù)出來。模型子秘密驗(yàn)證和安全信道問題的解決方法與Z模型相同。p1,p2,pk,M1,M2,Mn ,D的意義也同Z模型10。DC為秘密恢復(fù)者。2.2.1 初始化階段D選擇兩個(gè)強(qiáng)素?cái)?shù)p和q，計(jì)算N=pq；隨機(jī)選擇一個(gè)大于N的素?cái)?shù)Q；在N1/2,N中隨機(jī)選擇一個(gè)整數(shù)g(gp,gq)；發(fā)布g,N,Q。每個(gè)Mi 在2,N中隨機(jī)選擇一個(gè)整數(shù)si作為秘密份額，并計(jì)算

15、Ri=gsi mod N；在k,Q-1中隨機(jī)選取IDi作為身份標(biāo)識(shí)，并把Ri 和IDi 發(fā)送給D。D要確保RiRj (MiMj)，否則D通知Mi 重新選擇秘密份額，發(fā)布Ri ,IDi。2.2.2 秘密分發(fā)階段1) D在2,N中隨機(jī)選取s0 ，s0與p-1和q-1互素，計(jì)算R0=gs0 mod N；2) s0f = 1 mod(N)，Ii = Ris0 mod N，D計(jì)算f和Ii，公布f,R0；3)用(0,p1),(1,p2),(k-1,pk),(ID1,I1), (ID2,I2),(IDn ,In)構(gòu)造n+k-1階多項(xiàng)式：h(x) = a0 + a1x +an+k-1x n+k-1 mod Q

16、 4) 在k,Q-1-IDi |i=1,2,n中依次選取n+k-t個(gè)最小的素?cái)?shù)d1,d2,dn+k-t，計(jì)算并發(fā)布h(d1),h(d2),h(dn+k-t)。2.2.3 秘密恢復(fù)階段1) 每個(gè)參與秘密恢復(fù)的成員計(jì)算I i =R0si mod N,作為子秘密，并將I i 發(fā)送給DC；2) 子秘密驗(yàn)證階段與Z模型11相同。3) DC用與秘密分發(fā)階段相同的方法選取n+k-t個(gè)最小的素?cái)?shù)d1,d2,dn+k-t，利用(d1,h(d1),(d2,h(d2),(dn+k-t,h(dn+k-t),(ID1,I1),(ID2, I 2),(IDt ,I t)構(gòu)造lagrange插值多項(xiàng)式如下： = a0 +

17、a1x +an+k-1x n+k-1 mod Q4) 計(jì)算pi =h(i-1) mod Q ( i=1,2,k)。2.3 D模型該模型在秘密分發(fā)階段運(yùn)用齊次線性遞歸，將k個(gè)秘密與遞歸數(shù)列聯(lián)系在一起，在秘密合成階段通過lagrange插值得到輔助方程，將遞歸數(shù)列和k個(gè)秘密恢復(fù)出來。模型中驗(yàn)證階段和安全信道問題同Z和H模型的解決方法相同，M1 ,M2 ,Mn ,D的意義也與Z和H模型相同。P1, P2,Pk 為k個(gè)秘密。2.3.1 初始化階段D選擇兩個(gè)強(qiáng)素?cái)?shù)p1和p2，計(jì)算 p1, p2；在N1/2,N中選擇一個(gè)整數(shù)g ，g的階為素?cái)?shù)p(pN)；選擇整數(shù)0，構(gòu)造輔助方程：(x-)t = xt +

18、a1xt-1 + + at = 0 D選擇素?cái)?shù)q(qpai (i=1,2,t)，發(fā)布N, g, q,。每個(gè)Mi 在2,N中隨機(jī)選擇整數(shù)si作為秘密份額，計(jì)算Ri=gsi mod N，并將(Ri ,i)傳送給D。D要確保RiRj (Miz Mj)，否則通知Mi重新選擇秘密份額，發(fā)布R1,R2,Rn 。2.3.2 秘密分發(fā)階段1) D隨機(jī)選擇一個(gè)整數(shù)f，f和(N)互素，計(jì)算s0使其 滿足s0f = 1 mod (N)。2) 計(jì)算R0=gs0 mod N，計(jì)算Ii=Ris0mod N (i=1,2,n)。3) 構(gòu)造齊次線性遞歸方程組： 4) 計(jì)算ui (tin+k)。5) 計(jì)算yi=Ii - ui-

19、1 (tt)時(shí)間復(fù)雜度秘密分發(fā)O(nt) (kt)O(n+k-t)(n+k)2)O(n+k-t)t)O(n+k)t)O(n+k-t)k) (kt)秘密合成O(t3) (kt)O(k(n+k) 2)O(kt2)O(kt2)O(k3) (kt)通過表1可以看出當(dāng)nk時(shí)，D模型和本文模型的公開值個(gè)數(shù)較少，且此時(shí)本文模型更優(yōu)于D模型。D模型秘密分發(fā)階段的時(shí)間復(fù)雜度最小， H模型在秘密分發(fā)階段的時(shí)間復(fù)雜度最大。在秘密合成階段D模型和本文模型的時(shí)間復(fù)雜度最小。當(dāng)t值很大時(shí)，Z模型的秘密合成時(shí)間復(fù)雜度最大，當(dāng)n值和k值很大時(shí)，H模型秘密合成時(shí)間復(fù)雜度最大。3 實(shí)驗(yàn)與討論實(shí)驗(yàn)環(huán)境為Lenovo QiTianM

20、6900；CPU：Inter Core 2 Duo，E7500 2.93GHz；內(nèi)存：2038MB RAM；編程工具為Microsoft Visual Studio 2008。分別考察成員個(gè)數(shù)(n)、門限值(t)和秘密個(gè)數(shù)(k)對(duì)四種模型的秘密分發(fā)時(shí)間(TD)和秘密恢復(fù)時(shí)間(TR)的影響，并進(jìn)一步分析四個(gè)模型在計(jì)算時(shí)間方面的性能。Fig.1 secret distrubiting time, t=5,k=5圖1 秘密分發(fā)時(shí)間，t=5 k=5Fig.2 secret recovering time, t=5 k=5圖2 秘密恢復(fù)時(shí)間，t=5 k=5首先，分析成員個(gè)數(shù)n對(duì)秘密分發(fā)時(shí)間和秘密合成時(shí)間

21、的影響。圖1給出了此情況下的四種模型的秘密分發(fā)時(shí)間曲線，可以看出隨著n的增加，Z模型、D模型和本文模型秘密分發(fā)時(shí)間緩慢增加。H模型的秘密分發(fā)時(shí)間迅速增加。Z模型、D模型和本文模型在此情況下秘密分發(fā)時(shí)間基本相同，且均好于H模型。圖2給出了成員個(gè)數(shù)n對(duì)秘密恢復(fù)時(shí)間的影響曲線。由于k和t不改變，Z模型、D模型和本文模型的秘密合成時(shí)間基本不變。此時(shí)，t和k的值相同，Z模型、D模型、本文模型的秘密合成時(shí)間大致相同，且均好于H模型。綜合對(duì)圖1和圖2的分析，在t和k不變且數(shù)值較小時(shí)，n變換時(shí)，Z模型，D模型，本文模型表現(xiàn)較好，H模型表現(xiàn)較差。Fig.3 secret distrubiting time,k=

22、5 n=50圖3 秘密分發(fā)時(shí)間，k=5 n=50Fig.4 secret recovering time,k=5 n=50圖4 秘密恢復(fù)時(shí)間，k=5 n=50其次，考察門限值t對(duì)秘密分發(fā)時(shí)間與秘密合成時(shí)間的影響。通過圖3可以看出，隨著t的增加，Z模型和本文模型秘密的分發(fā)時(shí)間緩慢增加，H模型的秘密分發(fā)時(shí)間迅速下降。開始時(shí)由于輔助計(jì)算的增多，D模型秘密分發(fā)時(shí)間緩慢上升，后來隨著t的增加又緩慢下降。當(dāng)門限值t的值小于40時(shí)，D模型所用秘密分發(fā)時(shí)間最少，此后順次為本文模型、Z模型和H模型。由于H模型的秘密分發(fā)時(shí)間隨t的增加逐漸減少，當(dāng)t值增加到40后，所用秘密分發(fā)時(shí)間逐漸少于Z模型，而t達(dá)到43左右，

23、所用秘密分發(fā)時(shí)間逐漸少于本文模型。圖4展示了門限值t對(duì)秘密恢復(fù)時(shí)間的影響?？梢婋S著t的增加，D模型和本文模型的秘密合成時(shí)間逐漸增加。此時(shí)tk，Z模型的時(shí)間復(fù)雜度為O(k3)，隨著t的增大，Z模型秘密合成時(shí)間增加。從時(shí)間復(fù)雜度分析，Z模型所用秘密合成時(shí)間的增加幅度應(yīng)該與D模型和本文模型基本相同。但實(shí)際上Z模型的秘密合成時(shí)間隨著t的增加大幅度增加，原因是，Z模型在秘密合成階段需要求解方程組來得到k個(gè)秘密，而系數(shù)矩陣中有t組行向量為(0,Ii,Iit-1)，因此隨著t的增加需要求解的大數(shù)冪方增加，Z模型的秘密合成時(shí)間會(huì)大幅度增加。從時(shí)間復(fù)雜度分析，在n和k不變時(shí)，H模型的秘密和成時(shí)間應(yīng)該保持不變，但

24、實(shí)際上隨著t的增加H模型的秘密合成時(shí)間也逐漸增加。其原因是，在秘密合成階段需要t個(gè)IDi和n+k-t個(gè)di作為插值點(diǎn)的x分量，x分量要進(jìn)行大量的乘法運(yùn)算，而ID的值要遠(yuǎn)遠(yuǎn)大于d的值，因此，t的增加使得H模型的秘密合成時(shí)間增加。當(dāng)t25后合成時(shí)間少于D模型，在t45后合成時(shí)間少于本文模型。綜合對(duì)圖3和圖4的分析，在k和n不變，t變化時(shí)，D模型和本文模型表現(xiàn)較好，H模型和Z模型分別在秘密分發(fā)階段和秘密合成階段所用時(shí)間最多。Fig.5 secret distrubiting time,t=5 n=50圖5 秘密分發(fā)時(shí)間，t=5 n=50Fig.6 secret recovering time,t=5

25、 n=50圖6 秘密恢復(fù)時(shí)間，t=5 n=50最后，討論秘密個(gè)數(shù)k對(duì)秘密分發(fā)時(shí)間與秘密合成時(shí)間的影響，結(jié)果分別如圖5和圖6所示。從圖5可以看出，隨著k的增加，D模型和本文模型的秘密分發(fā)時(shí)間以極小的幅度增加。Z模型的分發(fā)時(shí)間相對(duì)前兩種模型，增加幅度較大。此時(shí)n值很大，H模型所用的分發(fā)時(shí)間在開始時(shí)就達(dá)到400ms左右，隨著k逐漸增加，H模型的秘密分發(fā)時(shí)間增加幅度非常大。從時(shí)間復(fù)雜度分析，當(dāng)kt時(shí)，Z模型秘密分發(fā)的時(shí)間應(yīng)該少與本文模型，但實(shí)際上本文模型所用的分發(fā)時(shí)間較少。原因是，在分發(fā)階段Z模型需要計(jì)算h(Ii)，屬于大數(shù)，計(jì)算開銷較大，而本文模型只需計(jì)算h(i)即可。從圖6中可以看出，隨著k的增加

26、，D模型和本文模型的秘密合成時(shí)間都增加的非常緩慢，僅由輔助計(jì)算的增加引起了合成時(shí)間的增加。H模型的增加幅度略比D模型和本文模明顯。由于此時(shí)kt，Z模型的時(shí)間復(fù)雜度為O(k3)，隨著k的增大，Z模型秘密合成時(shí)間大幅度增加。從時(shí)間復(fù)雜度分析，Z模型在此情況下的合成時(shí)間曲線應(yīng)該與僅t變化時(shí)秘密合成時(shí)間曲線相同。但實(shí)際上，顯然當(dāng)前情況下秘密合成時(shí)間較少。原因同樣是Ii 的冪方的計(jì)算引起的，在此情況下由于t值很小，大數(shù)冪方的計(jì)算相對(duì)較少，因此所用的合成時(shí)間與t變化時(shí)相比明顯減少。綜合對(duì)圖5和圖6的分析，此情況下D模型和本文模型表現(xiàn)較好。H模型和Z模型分別在秘密分發(fā)和秘密合成階段所用時(shí)間最多。從以上分析中

27、不難看出，H模型和Z模型都不穩(wěn)定，都會(huì)出現(xiàn)計(jì)算時(shí)間最多的情況，不是適合于實(shí)際應(yīng)用的模型。在任何情況下，D模型和本文模型下的秘密分發(fā)時(shí)間和合成時(shí)間都相對(duì)較少，屬于穩(wěn)定性較好的模型。在秘分發(fā)階段，D模型和本文模型所用時(shí)間基本相同，僅當(dāng)t值很大時(shí)，本文模型的秘密分發(fā)時(shí)間大于D模型，但在實(shí)驗(yàn)范圍內(nèi)，穩(wěn)定在200ms之內(nèi)，仍然好于其他兩種模型。而在秘密合成階段，本文模型所用時(shí)間均少于D模型。在秘密分發(fā)階段，由于有秘密分發(fā)者參與，硬件配置較好，而在秘密合成階段秘密分發(fā)者無法參與，考慮到成員組件本身的硬件制約以及秘密恢復(fù)的緊急性要求，秘密恢復(fù)階段的計(jì)算時(shí)間應(yīng)為考慮的重點(diǎn)。因此從計(jì)算時(shí)間上考慮，在上述四種模型

28、中，本文模型為最優(yōu)模型。4 結(jié)束語隨著多秘密共享的迅速發(fā)展，亟需對(duì)原有模型在公開值、可驗(yàn)證性、計(jì)算時(shí)間等方面進(jìn)行對(duì)比分析，并提出一種更適合于實(shí)際應(yīng)用的優(yōu)質(zhì)模型。本文實(shí)現(xiàn)了三種已有的可驗(yàn)證多秘密共享模型，基于Shamir秘密共享提出并實(shí)現(xiàn)了一個(gè)新的(t,n)可驗(yàn)證多秘密共享模型。對(duì)四種模型在公開值、可驗(yàn)證性、時(shí)間復(fù)雜度等方面進(jìn)行了理論分析，新模型在nk時(shí)需要的公開值最少，且秘密合成階段的時(shí)間復(fù)雜度僅為O(kt2)，好于H模型和Z模型。通過實(shí)驗(yàn)?zāi)M對(duì)四種模型，并分析四種模型秘密分發(fā)時(shí)間與秘密恢復(fù)時(shí)間隨著n、t和k的改變而變化的情況。分析結(jié)果表明新模型在秘密恢復(fù)階段所用計(jì)算時(shí)間最少，在實(shí)驗(yàn)范圍內(nèi)秘密

29、分發(fā)時(shí)間也能穩(wěn)定在200ms之內(nèi)，僅在t值很大時(shí)，秘密分發(fā)時(shí)間多于D模型。實(shí)驗(yàn)驗(yàn)證了新模型在計(jì)算時(shí)間方面優(yōu)于其他三種模型。下一步將研究動(dòng)態(tài)的多秘密共享方案，即參與者集合可以動(dòng)態(tài)變化，而無需重新分配秘密份額仍能保證秘密共享模型的可用性和安全性的方案。參考文獻(xiàn):1 A.Shamir, How to share a secret, Communications of the ACM 22 (11) (1979) 612-613.2 G.Blakley, Safeguarding cryptographic keys, Proc.AFIPS 1979 National Computer Confere

30、nce, AFIPS Press, New York, 1979,pp. 313-317.3 劉木蘭，張志芳著。 秘密共享體制和安全多方計(jì)算。電子工業(yè)出版社2008年2月第一版。4 Blundo C.,De Santis A.,Di Crescenzo G.,Giorgio Gaggia A.,Vaccaro U. Multi-secret sharing schemes, Advances in Cryptology CRYPTO94,Y.G.Desmedt,ed.,Lecture Noters in Comuputer Science 839, pp.(1994),150-163.5 W.

31、-A.Jackson, K.M. Martin, C.M. OKeefe, On sharing many secrets, Asiacrypt94 917 (1994) 42-54.6 J. He, E. Dawson, Multistage secret sharing based on one-way function, Electronics Letters 30 (19) (1994) 1591-1592.7 L. Harn, Comment: Multistage secret sharing based on one-way function, Electronics Letters 31 (4) (1995) 262.8 T.-Y.Chang, M.-S.HWang, W.-P.Yang, A new multi-stage secret sh