一种基于可验证秘密分享的密钥管理方案

文章摘要： 设P是一个大素数，g是GF(p)上阶为P-1的元素，假设产生n个子秘密，给每个子秘密提供标示码分别是ID，∈Z*P-1(i=1，2，…，n)。3．2 秘密分发阶段 (1)分发者KMC选择t个随机数a0，a1…，at-1(ai∈Z*P-1)建立一个t-1阶的多项式f(x)=a0+a1x+a2x2+…+at-1xt-1(mod p-1)，其中a0=k，并且计算f(IDi)。 (2)KMC将f(IDi)(i=1，2，…，n1)分发给CA，f(IDi)(i=n1+1，…，n1+n2)分发给用户，f(IDi)(i=n1+n2+1，…，n)分给自己。www.88dzw.com (

一种基于可验证秘密分享的密钥管理方案,标签：电子小制作,http://www.88dzw.com
    设P是一个大素数，g是GF(p)上阶为P-1的元素，假设产生n个子秘密，给每个子秘密提供标示码分别是ID，∈Z*P-1(i=1，2，…，n)。
3．2 秘密分发阶段
    (1)分发者KMC选择t个随机数a0，a1…，at-1(ai∈Z*P-1)建立一个t-1阶的多项式f(x)=a0+a1x+a2x2+…+at-1xt-1(mod p-1)，其中a0=k，并且计算f(IDi)。
    (2)KMC将f(IDi)(i=1，2，…，n1)分发给CA，f(IDi)(i=n1+1，…，n1+n2)分发给用户，f(IDi)(i=n1+n2+1，…，n)分给自己。

www.88dzw.com
    (3)同时分发者KMC对每一个子秘密f(IDi)(i=0，1，…，n)任选两个整数Xij，Yij，而Xij，Yij称作IDj对子秘密f(IDi)的检查参数。
    (4)分发者KMC为每个IDi计算出对应的检查参数Zij，然后给拥有子秘密f(IDi)的参与方，Zij满足f(IDi)=Xij+Yij×Zij；这样每个子秘密f(IDi)拥有(n-1)个检查参数磊Zij(j=1，2，…，n，j≠i)，该检查参数是在日后与他人合作恢复秘密时用来证明自己提出的子秘密的真实性，另外也拥有(n-1)对的检查参数(Xji，Yji)(j=1，2，…，n,j≠i)。
    (5)待KMC将所有的子秘密及对应的检查参数分发给CA和用户后，KMC将用户的私钥及分发给CA及用户的检查参数及子秘密全部销毁。
3．3 验证阶段
    当恢复私钥时，参与者除提供子秘密f(IDi)外，还必须对每个其他的子秘密f(IDi)提出不同检查参数Zij用来证明本身子秘密的真实性，即是否满足等式f(IDi)=Xij+Yij×Zij。若成立，说明分享者无欺骗行为；否则，令其重新发送自己手中的子秘密。
3．4 秘密备份阶段
    秘密分发完成及验证后，各方将分发到自身的私钥的秘密份额及检查参数备份到各自数据库的备份表中，即：KMC、CA的秘密数据库的密钥份额备份表及用户手中。系统根据门限值t的不同，以及分发给KMC、CA及用户保存的秘密份额的份数n1,n2,n3的不同，可以很容易实现是各方单方面恢复私钥还是双方、三方合作完成私钥的恢复。通常，为了安全，尽量避免单方面恢复情况出现。
3．5 秘密恢复阶段
    (1)不失一般性，每个参与成员将各自f(IDi)发送给合成者KMC。
    (2)KMC首先验证CA及用户提交的秘密份额f(IDi)及Zij(i=1，2，…，t,j≠i)，验证f(IDi)=Xij+Yij×Zij(i=1，2，…，t,j≠i)是否满足。若满足随后由拉格朗日插值公式求出a0=f(0)=k，并将k公布给参与秘密恢复的分享者，否则要求重发。

4 安全性分析
    方案中密钥是在KMC中产生的，KMC由国密委控制独立于CA，具有权威性。方案采用可验证的秘密分享机制，可用来检验分发及恢复过程中的欺骗问题。KMC在分发完私钥后，立即销毁产生的私钥及产生私钥的相关痕迹。另外，利用分发给每个参与者份额的数目来控制各参与方的权限，这样能够很好约束参与方的行为。

5 结语
    可验证秘密分享在保证密钥的安全性上有很好的优越性，能够利用秘密分享机制很好地将私钥分发成多个份额，降低风险。下一步工作是研究如何利用秘密分享来保障电子商务中交易的公平性以及密钥托管问题。

上一页  [1] [2]