李夢(mèng)慧，田有亮，馮金明

（1. 貴州大學(xué)數(shù)學(xué)與統(tǒng)計(jì)學(xué)院，貴州 貴陽 550025；2. 貴州大學(xué)密碼學(xué)與數(shù)據(jù)安全研究所，貴州 貴陽 550025；3. 貴州省公共大數(shù)據(jù)重點(diǎn)實(shí)驗(yàn)室，貴州 貴陽 550025；4. 貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽 550025)

常數(shù)輪公平理性秘密共享方案

李夢(mèng)慧1,2，田有亮2,3,4，馮金明1,2

（1. 貴州大學(xué)數(shù)學(xué)與統(tǒng)計(jì)學(xué)院，貴州 貴陽 550025；2. 貴州大學(xué)密碼學(xué)與數(shù)據(jù)安全研究所，貴州 貴陽 550025；3. 貴州省公共大數(shù)據(jù)重點(diǎn)實(shí)驗(yàn)室，貴州 貴陽 550025；4. 貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴州 貴陽 550025)

在理性秘密共享方案中，公平性是所有參與者期望的目標(biāo)?；诰鶆蚍纸M原理研究了常數(shù)輪理性秘密共享方案，結(jié)合雙線性對(duì)有關(guān)知識(shí)和雙變量單向函數(shù)構(gòu)造知識(shí)承諾方案，該方案是可驗(yàn)證的，以此來檢驗(yàn)分發(fā)者和參與者的欺騙問題。分發(fā)者分給各組參與者的子秘密份額數(shù)量最多相差1，有效約束參與者的偏離行為。參與者按照協(xié)議執(zhí)行4輪即可實(shí)現(xiàn)公平重構(gòu)秘密，一定程度上降低了公平理性秘密共享方案的通信復(fù)雜度，具有一定應(yīng)用價(jià)值。

秘密共享；通信復(fù)雜度；博弈論；雙線性對(duì)

1 引言

秘密共享方案是分布式密碼協(xié)議的基礎(chǔ)。秘密共享方案的公平性指要么所有參與者都能獲得共享秘密，要么都得不到秘密。公平性最早的研究可以追溯到Even等[1]的工作，他們非正式地證明了電子簽名交換是不可行的。Ong等[2]提出一個(gè)適用于任何門限秘密共享方案的秘密重構(gòu)協(xié)議，并且證明了當(dāng)存在少數(shù)誠實(shí)參與者和絕大多數(shù)理性參與者的情況下，該協(xié)議是公平的，參與者兩輪就可重構(gòu)秘密。Lee[3]提出了公平的理性秘密共享方案，其中惡意參與者的數(shù)量，該方案采用異步廣播信道，最終參與者有相同的概率重構(gòu)出秘密。Tian等[4]研究秘密共享協(xié)議的公平性問題，提出公平的秘密分發(fā)和重構(gòu)方案，分別在 3種攻擊模型下證明了方案的公平性和安全性。Cai等[5]提出理性秘密共享協(xié)議，解決了協(xié)議

的公平性問題。Damgard等[6]針對(duì)賄賂的情況，設(shè)計(jì)了一個(gè)三輪協(xié)議，并保證了公平性，協(xié)議要求私密的點(diǎn)對(duì)點(diǎn)通道，但是建立這些需要額外增加輪數(shù)。2012年，Asharov等[7]提出著名的五輪協(xié)議，并且保證了公平性。在擁有少數(shù)惡意者的多方情況下，Garg等[8]提出一個(gè)兩輪協(xié)議，但是該協(xié)議沒有保證公平性。2014年，De等[9]通過引入包括獲得秘密的效用和計(jì)算產(chǎn)生的花費(fèi)的混合效用模型，提出了針對(duì)偏好盡可能少的通信和計(jì)算量的“silent”成員及偏好最大化自身利益的“non-silent”成員的分發(fā)者公平理性秘密共享方案，該方案的通信復(fù)雜度與秘密分發(fā)者選取的參數(shù)β有關(guān)。隨后，Gordon等[10]指出保證輸出傳遞的三輪協(xié)議要比實(shí)現(xiàn)公平性困難，提出了門限全同態(tài)加密方案，允許參與者將彈性密文改變?yōu)榉侵兄狗降墓€，不用增加額外的輪就可以處理參與者的中止行為。2015年，劉海等[11]基于重構(gòu)順序調(diào)整機(jī)制提出公平理性秘密共享方案，該方案基于秘密分發(fā)者隨機(jī)選取重構(gòu)輪數(shù)，設(shè)計(jì)具有未知重構(gòu)輪數(shù)的理性秘密共享方案，有效約束了參與者的自利行為，并且該方案實(shí)現(xiàn)了子博弈完美均衡。

針對(duì)理性秘密共享方案的公平性問題，結(jié)合雙線性對(duì)有關(guān)知識(shí)設(shè)計(jì)知識(shí)承諾方案和雙變量單向函數(shù)構(gòu)造可驗(yàn)證的秘密共享方案，基于均勻分組原理將參與者分為每 3人一組，采用未知輪數(shù)思想進(jìn)行秘密重構(gòu)，并通過組間比較得到真正共享秘密。通過與現(xiàn)有公平理性秘密共享方案的對(duì)比分析，說明本文所提方案不僅可以實(shí)現(xiàn)公平性與安全性，而且通信復(fù)雜度更低、實(shí)用性更強(qiáng)。

2 基本知識(shí)

本節(jié)主要介紹雙變量單向函數(shù)、雙線性映射、效用函數(shù)和擴(kuò)展式博弈相關(guān)知識(shí)。

定義1 雙變量單向函數(shù)。

若 E = f( x, y)滿足以下6個(gè)性質(zhì)，則稱其為雙變量單向函數(shù)。

1) 給定x、y容易計(jì)算出 E = f( x, y)。

2) 給定x和E，很難計(jì)算出y的值。

3) 不知道y時(shí)，對(duì)任意的x，很難計(jì)算出E的值。

4) 給定y，很難找到 2個(gè)不同的 x1, x2使f( x1, y) = f( x2,y)。

5) 給出x和E，很難計(jì)算出y。

6) 給出 x1和 f( x1, y)，很難計(jì)算出 f( x2, y)的值。

定義2 雙線性映射。

設(shè) G1和 G2分別是階為素?cái)?shù)q的加法群和乘法群，P是G1的一個(gè)生成元。若映射 e: G1×G1→G2滿足以下3個(gè)條件則稱映射e為雙線性映射。1) 雙線性。對(duì) ? P, Q ∈ G1, a, b ∈有e( a P, bQ ) = e( P, Q )ab。

2) 非退化性。若P是 G1的生成元，則 e( P, P)是 G2的生成元，即e( P, P)≠ 1。

3) 可計(jì)算性。對(duì) ? P, Q ∈ G1，總存在有效的算法計(jì)算 e( P, Q)。

定義3 雙線性Diffie-Hellman問題（BDHP）。

在 (G1, G2, e)中，給定(P, a P, b P, c P)，對(duì)任意的a, b, c ∈，計(jì)算 e( P , P )abc∈ G2。

BDH假設(shè)：在求解BDH問題上，不存在PPT算法有不可忽略的優(yōu)勢(shì)。

定義4 效用函數(shù)。

在理性秘密共享協(xié)議中，理性參與者根據(jù)利益最大化采取行動(dòng)，即基于每一步收到的所有信息決定其行動(dòng)策略。本文定義理性參與者 Pi的效用函數(shù) u:{0,1}n→ S,S表示秘密重構(gòu)后所有可

i RR能的結(jié)果。向量 O :(o, o ,… ,o )∈ {0,1}n表示所有12n理性參與者秘密重構(gòu)的一個(gè)結(jié)果。當(dāng)且僅當(dāng) oi=1時(shí)，理性參與者 Pi得到了共享秘密，否則 oi= 0。理性參與者 Pi效用函數(shù) ui滿足：

1) 對(duì) ? O, O ′∈{0,1}n，如果oi＞ oi′ ，則 ui(O)＞ui(O ′)；

2) 如果 oi=oi′ 且則ui(O)＞ ui(O ′)。

因此，對(duì)理性參與者 Pi來說，首先，他想要獨(dú)得秘密；其次，想要更少的其他參與者得到秘密。本文用以下4種情況表示 Pi收益。

1) ui= U+表示理性參與者 Pi獨(dú)得共享秘密獲得的收益。

2) ui= U表示所有人都得到秘密時(shí) Pi的收益。

3) ui= U?表示所有人均沒有得到秘密時(shí) Pi的收益。

4) ui= U??表示 Pi沒有得到秘密，其余人均得到秘密時(shí)的收益。

定義5 擴(kuò)展式博弈。

擴(kuò)展式博弈是一個(gè)六元組 G ={P, A, H,F, I, U }，具體描述如下。

1) P = {P1, P2,… ,Pn}表示理性參與者集合，其中，Pi表示第i( i = 1,2,… ,n)個(gè)理性參與者，P-i表示除了理性參與者 Pi外其余所有理性參與者的集合。

2) A = {A1, A2,… ,An}表示n個(gè)理性參與者的策略集。其中， A = {a1, a2,… ,ak}是理性參與者P

iii ii的策略集，∈ A( i = 1,2,… ,k )是理性參與者P的ii第j種策略， a = (a1, a2,… ,an)表示每一個(gè)理性參與者選擇一個(gè)策略 ai∈ Ai(1 ≤i≤ n)組成的策略組合。除理性參與者Pi外，其余理性參與者的策略組合表示為 a?i= (a1, a2,… ,ai?1,ai+1,… ,an)。策略組合a = (a1, a2,…,an)和 a ′= (a1′, a2′,… ,an′ ), (ai′, a?i)= (a1,…,ai?1,ai′, ai+1,… ,an)表示理性參與者 Pi的行動(dòng)策略為 ai′，其余理性參與者策略組合為 a-i= (a1,…, ai?1,ai+1,…,an)。

3) H表示歷史序列集合。h ={ak}k=1,2,…,K∈H表示長度為K的歷史。對(duì) ?h ∈ H,h隨后可能出現(xiàn)的所有策略組合用 A( h )= {a |(h, a )∈ H}表示，若 A( h)=?，那么歷史序列h是終止的，Z表示所有終止節(jié)點(diǎn)組成的集合。

4) F: H/ Z → P表示為非終止歷史 h ∈H/ Z指定下一步采取行動(dòng)的理性參與者。

5) I = {I1, I2,… ,In}表示信息分割的集合，其中， I= {I1,I2,… ,IK}表示理性參與者P對(duì)歷史iii ii{h ∈ H| F( h) = P}的信息集。如果 h, h ′ ∈ Ij(1≤i i j≤ K)，當(dāng)理性參與者處在同一信息集中時(shí)，有A( h ) = A( h′)。

6) U = {u1, u2,… ,un}表示n個(gè)理性參與者的效用函數(shù)的集合。 ui表示理性參與者 Pi的效用函數(shù)。 ui( a)表示當(dāng)參與者采取策略組合a時(shí)， Pi的效用。

定義6 納什均衡。

在博弈三元組 Γ={N, S, U}中，策略組合a =(a1, a2,… ,an)∈A 是Γ的一個(gè)納什均衡，如果對(duì)理性參與者 Pi( i = 1,2,…, n)，所有的ai′∈ A，都有ui( a )≥ ui( ai′, a?i)成立。

3 公平理性秘密共享方案

3.1 參數(shù)假設(shè)

本方案假設(shè)秘密分發(fā)者D要在n個(gè)理性參與者 Pi( i = 1,2,… ,n)間共享秘密 S ∈,一個(gè)公開可見的公告板B用于記錄公開信息，Ui表示重構(gòu)結(jié)束后，除懲罰值外，理性參與者 Pi獲得的收益。

3.2 懲罰機(jī)制

在理性參與者重構(gòu)秘密過程中，若發(fā)生偏離協(xié)議的行為，則該參與者將會(huì)得到一個(gè)公開的懲罰值 Up＜ 0，被記錄在公告板上，并且協(xié)議終止。

定義7 懲罰機(jī)制。

如果 Pi公開的是假份額，則 Pj( j ≠ i)向其余所有理性參與者廣播 Pi是欺騙者, 并在公告板上記錄下對(duì) Pi的懲罰值注：協(xié)議開始前每個(gè)參與者均沒有獲得懲罰值。定理1 定義 7所述懲罰機(jī)制為激勵(lì)相容機(jī)制。

證明 若理性參與者 Pi偏離協(xié)議，根據(jù)懲罰機(jī)制， Pj( j ≠ i)會(huì)在公告板B上記錄對(duì) Pi的懲罰值且協(xié)議終止，即使 Pi能獲得秘密，但其得到一個(gè)公開的懲罰值，使其最終收益小于U，這與理性參與者追求自身利益最大化相矛盾。因此，理性參與者按照協(xié)議執(zhí)行是最佳策略。所以，本文利用的懲罰機(jī)制是激勵(lì)相容機(jī)制。

3.3 秘密分發(fā)協(xié)議

Step1 秘密分發(fā)者D，將理性參與者n每3個(gè)人分為一組，共k組（這里只考慮n為3的整數(shù)倍的情況），即計(jì)算= k，隨機(jī)選取r*∈ (1,k)，記= S,在集合中隨機(jī)選取 k? 1個(gè)整數(shù)，分別記為

Step2 秘密分發(fā)者 D計(jì)算并公開對(duì)所有 Si的承諾 Ci0= C( Si)= e( SiP, P + Q)，其中i= 1,2,… , k。

Step3 秘密分發(fā)者 D利用雙變量單向函數(shù)E = F( x, y)，計(jì)算 Ei= F( Si, y)，并公開 Ei和y，其中 i= 1,2,…, k。

Step4 秘密分發(fā)者 D 隨機(jī)選取 ai0,ai1, a∈ Z*,i = 1,2,… , k ，構(gòu)造多項(xiàng)式 f( x)= a +

i2q ii0a x + a x2，其中 a = S。計(jì)算并公開對(duì)系數(shù)的

i1i 2i0i承諾 Cij= C( aij)，其中 j= 1,2。

Step5 秘密分發(fā)者D隨機(jī)選取 gil(x )= bil0+ b x + b x2, l = 1,2,3，計(jì)算C =C( r )=e( r P,

il1il2il0il0il0P + Q)，其中 ril0= bil0，計(jì)算并公開對(duì)系數(shù)的承諾Cilj= C( bilj)，其中， j= 1,2。

Step6 秘密分發(fā)者D計(jì)算每個(gè)多項(xiàng)式的值，分別標(biāo)記為 (ri11,ri12,ri13) =(gi1(1),gi1(2),gi1(3)), (ri21,ri22,ri23) =(gi2(1),gi2(2),gi2(3)),(si1, si2,si3)=(fi(1), fi(2),fi(3)),(ri31,ri32,ri33) =(gi3(1),gi3(2),gi3(3))。

Step7 秘密分發(fā)者D將子秘密份額 (ri11,ri21, si1)、 (ri12,ri22,si2)、 (ri13,ri23,si3,ri33)分別分發(fā)給第i組中的3個(gè)理性參與者，且每個(gè)理性參與者只知道自己和其他參與者的份額數(shù)只相差 1，理性參與者得到份額后可利用

驗(yàn)證份額的正確性(m = 1,2,3)。

3.4 秘密重構(gòu)協(xié)議

在得到分發(fā)者分發(fā)的秘密份額后，參與者只知道自己的份額與其他成員相比至多相差 1，并不知道在第幾輪能重構(gòu)出真正有用的份額。

1) 組內(nèi)重構(gòu)協(xié)議（第i組 i= 1,2,… , k）

Round1 3個(gè)理性參與者分別公開第一個(gè)份額 (ri11,ri12,ri13)，利用式(1)驗(yàn)證子秘密份額的正確性，若理性參與者 Pi公開的子秘密份額不正確，則在公告板B上記錄 Pi是欺騙者，且給其一個(gè)懲罰值 Up，將其剔除出局，協(xié)議停止。若正確，則利用拉格朗日差值多項(xiàng)式計(jì)算 bi10。

驗(yàn)證 Ei≠ F( bi10,y)，則轉(zhuǎn)入下一輪。

Round2 3個(gè)理性參與者分別公開第二個(gè)份額 (ri21,ri22,ri23)，利用式(1)驗(yàn)證子秘密份額的正確性，若理性參與者 Pi公開的子秘密份額不正確，則在公告板B上記錄 Pi是欺騙者，且給其一個(gè)懲罰值 Up，將其剔除出局，協(xié)議停止。若正確，則利用拉格朗日差值多項(xiàng)式計(jì)算子秘密 bi20。驗(yàn)證 Ei≠ F( bi20,y)，則轉(zhuǎn)入下一輪。

Round3 3個(gè)理性參與者分別公開第一個(gè)份額 (si1,si2,si3)，利用式(2)驗(yàn)證子秘密份額的正確性，若理性參與者 Pi公開子秘密份額不正確，則在公告板B上記錄 Pi是欺騙者，且給予其一個(gè)懲罰值 Up，將其剔除出局，協(xié)議停止。若正確，則利用拉格朗日差值多項(xiàng)式計(jì)算子秘密 ai0。

若驗(yàn)證 Ei= F( ai0,y)成立,則記 ai0= Si,進(jìn)入組間重構(gòu)協(xié)議。

2) 組間重構(gòu)協(xié)議

k個(gè)組各選出一名代表依次在公告板上寫下本組在組間重構(gòu)得到的 Si( i= 1,2,… ,k)，并利用公開的雙變量單向函數(shù)值及其公開參數(shù)，驗(yàn)證該Si是否正確，若第i組公開的是正確的 Si，則第i+ 1組將本組得到的 Si+1公開，當(dāng)某個(gè) Si滿足S1＜S2＜…＜ Si?1＜Si＞ Si+1＞… ＞Sk時(shí)，理性參與者將得到共享秘密 Si= Sr*= S。

4 方案分析

下面對(duì)本文所提理性秘密共享方案的正確性、安全性和公平性進(jìn)行分析。

4.1 正確性分析

下面證明式(1)的正確性。

證明 因?yàn)?rilm= gil(m)，所以

同理可得式(2)的正確性。

在秘密份額分發(fā)階段，當(dāng)理性參與者Pi收到秘密分發(fā)者 D發(fā)送來的子秘密份額，利用式(1)和式(2)驗(yàn)證子份額的正確性，從而防止分發(fā)者的欺騙行為。在秘密重構(gòu)階段，當(dāng)Pi得到其他2個(gè)參與者的子秘密份額，首先，利用式(1)和式(2)驗(yàn)證其份額的正確性，可以防止理性參與者的欺騙行為，當(dāng)3個(gè)成員都公開正確份額時(shí)，可利用拉格朗日差值多項(xiàng)式(3)～式(5)計(jì)算出秘密 Si；然后，進(jìn)行最后一輪組間比較，最大的即為分發(fā)者要共享的真正子秘密 S，并且可以利用公告板 B上公開的雙變量單向函數(shù)的公開值，驗(yàn)證秘密 S的正確性。

4.2 安全性分析

引理1 在上述方案中，對(duì)多項(xiàng)式 fi( x)系數(shù)ai0,ai1,ai2的承諾 Ci0,Ci1,Ci2是安全的，當(dāng)且僅當(dāng)BDH假設(shè)成立。

證明 必要性（反證法）。假設(shè)本文方案中的承諾函數(shù)是安全的，但 BDH假設(shè)不成立。因?yàn)锽DH假設(shè)不成立，所以存在一個(gè)有效算法A：對(duì)群G1中給定的 P, aP, bP, cP( a, b, c ∈ Z)算法 A成功計(jì)算出 e( P, P )abc的概率為ε。接下來，證明算法 A可以攻破上述承諾函數(shù)。隨機(jī)選取α, β, γ ,α′, β′, γ ′∈ Z,分別將(P,α P,β P,γ P )和(P,α ′P, β ′P, γ′P)作為算法A的輸入，由BDH假設(shè)不成立可知，算法 A成功輸出 e( P, P)αβγ和e( P, P)α′β′γ′的概率為ε，又因 Cim= e( P, P)αβγ? e( P, P)α′β′γ′，即e( (α βγ) P, P ) =，因此得出 fim，這與承諾函數(shù)是安全的相矛盾。所以，如果上述承諾函數(shù)是安全的，則BDH假設(shè)成立。

充分性（反證法）。假設(shè)BDH假設(shè)成立，但上述方案中的承諾函數(shù)是不安全的。因此，存在有效算法B：將群 G1中的任意元素 Q1, Q2, Q3作為算法B的輸入，算法B可以成功計(jì)算出 fim的概率為ε，滿足 Cim= e( fimP, P +P )= e( Q1, Q2+Q3)。設(shè)fim=αP,α ∈ Z和Q1= α1P, Q2= α2P,Q3=α3P(α1, α ,α ∈Z)算法B能成功計(jì)算出 f的概率為ε23im且滿足 e( α1P ,α2P + α3P )= e(αP, P+P)，即為,令 a =2?1α?1，b= α， c= α + α 則算法B可以123成功計(jì)算出 e( P, P )abc，這與 BDH假設(shè)成立相矛盾。因此，如果 BDH假設(shè)成立，則本文方案中的承諾函數(shù)是安全的。

同理可得，對(duì)多項(xiàng)式系數(shù) gil(x)系數(shù)的承諾也是安全的，當(dāng)且僅當(dāng)BDH假設(shè)成立。

引理 2 任何理性參與者都不可能偽造一個(gè)秘密S*，滿足雙變量單向函數(shù) E = F( S*,y)。

證明 根據(jù)雙變量單向函數(shù)的6個(gè)性質(zhì)知，任何理性參與者都不可能偽造一個(gè) Si′使F( Si′ , y) = F( Si, y) =Ei。

4.3 公平性分析

對(duì)所有理性參與者Pi，分別考慮以下幾種情況。

1) 若參與者Pi均按照協(xié)議執(zhí)行，則所有參與者都能得到共享秘密S。

2) 在組內(nèi)重構(gòu)階段，每個(gè)參與者不知道自己的份額比其他2個(gè)成員的份額數(shù)量是多1個(gè)還是少 1，最好的策略就是按照協(xié)議執(zhí)行，可得本組的共享子秘密，才會(huì)有進(jìn)入組間重構(gòu)的機(jī)會(huì)。若有一個(gè)參與者 Pj在此階段最終重構(gòu)輪前偏離協(xié)議，公開假的子秘密份額，則該參與者不能通過承諾值驗(yàn)證，被剔除出局，并在公告板B上記錄Pj是欺騙者，且給Pj一個(gè)懲罰值Up，協(xié)議結(jié)束，所有參與者均沒有得到共享秘密。若Pj在最終重構(gòu)輪偏離協(xié)議，將被檢測(cè)出來，Pj猜中該輪是子秘密重構(gòu)輪的概率最大為，而其得到的子秘密正好是真正子秘密的概率為，其余組可以經(jīng)過組內(nèi)重構(gòu)得出子秘密，通過求和可以得到真正共享秘密S。此時(shí)，所有參與者均得到共享秘密。

3) 在組間重構(gòu)階段，若有一個(gè)參與者Pj偏離協(xié)議，則不能通過承諾值驗(yàn)證，會(huì)被剔除出局，并在公告板B上記錄Pj是欺騙者，且給Pj一個(gè)懲罰值 Up，其猜中自己重構(gòu)出的秘密是真正秘密的概率為，其他參與者通過求和可得到真正共享秘密S。此時(shí)，所有參與者均得到真正共享秘密。

4.4 納什均衡分析

定理2 如果協(xié)議的參與者均是理性的，則在BDH假設(shè)下，本文方案可以實(shí)現(xiàn)納什均衡U, U ,… ,U。

證明 在方案中的組內(nèi)重構(gòu)階段，每組內(nèi)的任意2個(gè)理性參與者子秘密份額的數(shù)量都不超過1。在本方案中第3輪之前，第i組內(nèi)的理性參與者 Pi1沒有得到組內(nèi)其他成員的所有子秘密份額，因此，所有成員均會(huì)按照協(xié)議執(zhí)行。在最后一輪時(shí)，可能會(huì)出現(xiàn)以下2種情況。

1) 若組內(nèi)所有成員的子秘密份額數(shù)都相等，在最后一輪，第i組內(nèi)的理性參與者 Pi1不確定另2個(gè)成員 Pi2、 Pi3是否擁有多1個(gè)的子秘密份額，為了重構(gòu)出完整的秘密，理性參與者均會(huì)在最后一輪廣播真實(shí)的子秘密份額。

2) 若組內(nèi)成員的子秘密份額數(shù)量相差1，記第i組內(nèi)的3個(gè)成員分別為 Pi1、Pi2、Pi3其分別擁有的子秘密份額數(shù)量分別為 di1、 di2、 di3，設(shè)di1=di2= di3?1，在最后一輪，各參與者廣播自己的子秘密份額，且期待在下一輪得到組內(nèi)其他成員的子秘密份額，在下一輪， Pi1、 Pi2已經(jīng)廣播完自己所有的子秘密份額，但此時(shí) Pi3并不知道其他2個(gè)成員的子秘密份額已經(jīng)廣播完畢，并且希望得到下一輪 Pi1、 Pi2的子秘密份額。因此，理性參與者要想得到秘密，所有參與者都需按照協(xié)議執(zhí)行。

在組間重構(gòu)階段，理性參與者依次在公告板B上公開自己重構(gòu)的秘密，若第i組理性參與者在此階段偏離協(xié)議，即使其得到真正的秘密份額S，其他參與者可以通過求和得到真正的共享秘密S，并且在公告板上記錄第 i組欺騙，給予欺騙者一個(gè)懲罰值 Up。此時(shí)，欺騙組中的每個(gè)成員獲得的最終收益為 Ui= U+ Up＜ U。因此，對(duì)理性參與者來說，最好的策略就是按照協(xié)議執(zhí)行，并得到最終收益為U。

5 方案對(duì)比

在通信復(fù)雜度、通信類型、前提假設(shè)這3個(gè)方面，將本文方案與文獻(xiàn)[5,7,9,11]方案進(jìn)行對(duì)比分析，如表1所示，其中，b為分發(fā)者隨機(jī)選取的整數(shù)，β表示概率參數(shù)，K表示分發(fā)者從(2, )Round中隨機(jī)選取的整數(shù)。

表1 本文方案與其他公平理性秘密共享方案對(duì)比

由表1可知，在通信復(fù)雜度方面，文獻(xiàn)[5,9,11]方案的通信輪數(shù)都與所選參數(shù)有關(guān)，文獻(xiàn)[7]方案至少為4輪，本文方案僅需4輪即可重構(gòu)秘密。在維護(hù)信道所需開銷方面，文獻(xiàn)[5,9,11]方案需要單一信道，本文方案需要2個(gè)信道，因此開銷要比文獻(xiàn)[5,9,11]方案稍高，但比文獻(xiàn)[7]方案中要維護(hù)點(diǎn)對(duì)點(diǎn)信道安全所需開銷要低的多，且本文方案不需要秘密分發(fā)者在線。因此，本文方案更能滿足實(shí)用性需求。

6 結(jié)束語

本文基于重復(fù)博弈構(gòu)造理性秘密共享方案，理性參與者按照協(xié)議執(zhí)行會(huì)比偏離協(xié)議獲得更多的收益。本文方案引入了懲罰機(jī)制，能夠更好地維護(hù)誠實(shí)理性參與者的利益，結(jié)合承諾方案和雙變量單向函數(shù)，可以有效地防止秘密分發(fā)者和理性參與者的欺騙行為，利用分組思想，可有效降低方案的計(jì)算量和通信復(fù)雜度，并且該方案實(shí)現(xiàn)了公平性。本文方案是在假設(shè)沒有參與者合謀的情況下構(gòu)造的，下一步將主要研究抗合謀攻擊的理性秘密共享方案。

參考文獻(xiàn)：

[1] EVEN S, YACOBI Y. Relations among public key signature schemes[R].Technion Computer Science Department Technical Report CS0175. 1980.

[2] ONG S J, PARKES D C, ROSEN A, et al. Fairness with an honest minority and a rational majority[C]//The Conference on Theory of Cryptography. 2009:36-53.

[3] LEE Y C. A simple (v, t, n)-fairness secret sharing scheme with one shadow for each participant[C]//The International Conference on Web Information Systems and Mining. 2011:384-389.

[4] TIAN Y L, MA J F, PENG C G, et al. Secret sharing scheme with fairness[C]//2011 International Joint Conference on IEEE Trust-Com-11/IEEE ICESS-11/FCST-11. 2011:494-500.

[5] CAI Y Q, PENG X Y. Rational secret sharing protocol with fairness[J]. Chinese Journal of Electronics, 2012, 21(1): 149-152.

[6] DAMG?RD I, ISHAI Y. Constant-round multiparty computation using a black-box pseudorandom generator[C]//Advances in Cryptology–CRYPTO. 2005: 378-394.

[7] ASHAROV G, JAIN A, LóPEZ-ALT A, et al. Multiparty computation with low communication, computation and interaction via threshold FHE[C]//Advances in Cryptology–EUROCRYPT. 2012: 483-501.

[8] GARG S, GENTRY C, HALEVI S, et al. Two-round secure MPC from Indistinguish ability obfuscation[M]//Theory of Cryptography. Berlin Heidelberg: Springer, 2014: 74-94.

[9] DE S J, RUJ S, PAL A K. Should silence be heard? fair rational secret sharing with silent and non-silent players[M]//Cryptology and Network Security. Beilin: Springer, 2014:240-255.

[10] GORDON.S, LIU F H, SHI E. Constant-round MPC with fairness and guarantee of output deliver[C]//Advances in Ctyptology- CTYPTO. 2015:63-82.

[11] 劉海, 李興華, 馬建峰. 基于重構(gòu)順序調(diào)整機(jī)制的理性秘密共享方案[J]. 計(jì)算機(jī)研究與發(fā)展, 2015, 52(10):2332-2340. LIU H, LI X H, MA J F. Rational secret sharing scheme based on reconstructed sequential adjustment mechanism [J]. Journal of Computer Research and Development, 2015, 52 (10): 2332-2340.

Constant-round fair rational secret sharing scheme

LI Meng-hui1,2, TIAN You-liang2,3,4, FENG Jin-ming1,2

(1. College of Mathematics and Statistics, Guizhou University, Guiyang 550025, China; 2. Institute of Cryptography & Data Security, Guizhou University, Guiyang 550025, China; 3. Key Laboratory of Public Data of Guizhou Province, Guiyang 550025, China; 4. College of Computer Science and Technology, Guizhou University, Guiyang 550025, China)

In the rational secret sharing scheme, fairness is the goal that all participants expect. Based on the principle of uniform grouping, the scheme was verified by combining bilinear pair knowledge and bivariate one-way function to verify the deception problem of the distributor and the participant.The number of sub-secret shares distributed by the distributor to each group of participants is at most one, effectively restricting the deviation behavior of the participant. In the end, participants can implement fair reconstruction secret in four rounds according to the protocol, which reduces the communication complexity of fair and rational secret sharing scheme to a certain extent, and has certain application value.

secret sharing, communication complexity, game theory, bilinear pairing

TP393

A

10.11959/j.issn.2096-109x.2017.00136

李夢(mèng)慧（1991-），女，河南焦作人，貴州大學(xué)碩士生，主要研究方向?yàn)槔硇悦孛芄蚕韰f(xié)議效率優(yōu)化。

田有亮（1982-），男，貴州盤縣人，博士，貴州大學(xué)教授，主要研究方向?yàn)槊艽a與安全協(xié)議及算法博弈論。

馮金明（1993-），男，甘肅崆峒人，貴州大學(xué)碩士生，主要研究方向?yàn)榭伤阉骷用堋?/p>

2016-10-21；

2016-12-17。通信作者：田有亮，youliangtian@163.com

國家自然科學(xué)基金資助項(xiàng)目（No.61363068）；貴州省教育廳科技拔尖人才支持基金資助項(xiàng)目（No.黔教合KY字[2016]060）

Foundation Items: The National Natural Science Foundation of China (No.61363068), The of the Science and Technology Top-notch Talent Support Project of the (No.Guizhou-Education-Contact-KY-Word [2016]060)