Page 463 - 《软件学报》2025年第8期

P. 463

3886 软件学报 2025 年第 36 卷第 8 期

(2) 产生秘密份额
分发者计算 n 个秘密份额: s i = S mod p i i ∈ [1,n], 并把份额分发给每个参与者.
,
(3) 恢复秘密
对于一个参与者的授权集合 A, 通过唯一的整数 S 来重构秘密 s, 可构造如下同余方程组:


 S ≡ s 1 (mod p 1 )





 S ≡ s 2 (mod p 2 )


 .
 . .

 .






 S ≡ s i (mod p i )
根据中国剩余定理, 可知该方程组在 [0, M −1] 内有唯一解 S, 再根据式 S = s+up 0 即可恢复出共享秘密 s.

1.3 高效 WRSS [28]
本节介绍高效加权斜坡秘密共享方案 (weighted ramp secret-sharing scheme, WRSS). WRSS 旨在解决传统门
限秘密共享方案中所有参与者平等的局限性. WRSS 在秘密共享方案中引入权重, 以反映参与者的不同权力或信
任级别. 这种方案的基本思想是将秘密信息分成多个部分, 并且每个部分有一个相关联的权重. 只有当收集到的部
分的权重总和达到预设的权重门限时, 才能恢复原始的秘密. 具体结构如下.
λ , 此方案基于中国剩余定理, 它
设 F p 0 是一个有限域, 其中 p 0 ≈ 2 为它的阶. 假设要秘密共享的秘密为 s ∈ F p 0
是非线性的, 这些秘密份额 s i , 满足 0 ⩽ s i < p i −1, 其中 p i 是对所有参与者的表示. 下面介绍基于中国剩余定理的
n 个参与方的 WRSS 的构造.
(1) 访问结构. 设在 n 个参与方的 WRSS 中, 每个参与者都有与之对应的权重 w i . 存在重构门限 T 和秘密门限
⩽ t, 则表示为未经授权. 在 WRSS 中, 一组总体权
t, 如果一组参与者的总体权重 ⩾ T , 将获得授权; 如果总体权重
重属于 (t,T) 的各参与者可以了解到关于该秘密的部分信息. 其中, 重构门限 T 和秘密门限 t 定义如下.
∑
重构门限 T . 如果 w i ⩾ T , 则设置集合 A ∈ A 是授权的.
i∈A
∑
秘密门限 t. 如果 w i ⩽ t, 则设置集合 ¯ A ∈ ¯ A 是未经授权的.
i∈B
(2) 参数. 该方案参数为一组整数 p 1 , p 2 ,..., p n 以及整数 L, U L 表示 [0,L−1] 上的均匀分布. 要求所有的 (包
p i
括 p 0 ) 都要互素. 这些参数定义了以下两个乘积, 其中, P max < P min :

   
∏  ∏ 
       

P max = max   p i,P min = min   p i.

   
¯ A∈ ¯ A A∈A
i∈ ¯ A i∈A
(3) 共享秘密. 共享秘密 s, 需要选择一个随机整数构成:

S = s+ p 0 ·U L ,
其中, U L 表示 [0,L−1] 上的均匀分布, 第 i 方的秘密份额应为:

s i = S mod p i .
∑
(4) 重构秘密. 对于授权的集合 A ∈ A, 使用中国剩余定理, 可以找到一组拉格朗日系数 {λ i } i∈A 使得 S = λ i · s i .
i∈A
之后可重构秘密 s 为:

s = S mod p 0 .

1.4 SM2 数字签名算法
SM2 数字签名算法是我国自主研发的椭圆曲线公钥密码算法, 于 2016 年成为国家密码标准. SM2 椭圆曲线
( ) ( )
;
数字签名算法的系统参数包括: 有限域 F q ; 椭圆曲线 E F q 方程; 有 a,b ∈ F q G = (x G ,y G )(G , O) 为 E F q 上的基
点, 其中 x G 和 y G 为 F q 中的元素; G 的阶 n. 用户 A 的杂凑值为 Z A = H 256 (ENTL A ∥ID A ∥a∥b∥x G ∥y G ∥x A ∥y A ), 其中 H 256
为 SM3 密码杂凑算法, ID A 为用户 A 位长为 entlen A 的可辨别标识, ENTL A 为 entlen A 转换的 2B 数据.
SM2 数字签名算法包含 3 部分, 分别为密钥生成、签名算法和验证算法. 算法具体描述如下.

458 459 460 461 462 463 464 465 466 467 468