(t，n)门限方案是一种在n个参与者之间分配密钥的方法，任何t(门限值，t＞1)个或多于t个的参与者都可以合作重构密钥，如果少于t个则不能进行重构。

定义1  参与者(Participant)

参与者是指参与门限方案的个人或其他实体(例如计算机、通信节点等)。

定义2  秘密信息(Secret Information，SI)

(t，n)门限方案的秘密信息是需要私密传输的数据。可以通过一些方法将原始数据或在原始数据基础上计算出的派生信息分割为n个部分，分配给n个参与者。系统的密钥是一种秘密信息。

定义3  分配密钥(Key Assigned，KA)

指(t，n)门限方案将密钥分配给各个参与者，任何不少于t个的参与者，将其持有的分配密钥KA组合在一起，可以恢复出秘密信息SI。

为了实现(t，n)门限方案，可以选定一些元素e_i构成一个集合全集U={e_i}，i=1、2…，使集合中的元素两两不同。集合的全体元素共同用于生成秘密信息。将集合中的元素e_i分配给n个参与者(p₁，p₂，…，p_n)，分得的集合分别为S₁、S₂、…、S_n。n个参与者组成的集合为$ S=\bigcup\limits_{j}^{{}}{{{S}_{j}}}$，1≤j≤n，每个元素e_i可以多次分配给不同的参与者。只需保证分配后t个或更多的参与者将各自持有的集合合并在一起，去除重复的元素后，能够恢复出全集U。

因此，可以考虑将集合U中的元素e_i只分配给其中的t-1个参与者，这样就保证在少于t个参与者的情况下，不能恢复出全集U。而t个或更多参与者合作，能够恢复出全集U。

步骤1  随机选取两两不同的N=C_n^t-1个元素组成集合U={e_i}，1≤i≤N。

步骤2  记录N=C_n^t-1种组合的排列C=[C_i]，

步骤3  将元素e_i分配给p_j，当且仅当有序集合C_i中c_i，j=0，即p_j分配到的元素组成的集合为S_j。

示例：构造基于集合划分的(2，3)门限方案

步骤1  选取两两不同的N=C₃¹=3个元素组成全集U={7，11，23}。

步骤2  记录N=C_n^t-1=3种组合的有序排列：

步骤3  将元素e_i分配给p_i，当且仅当有序集合C_i中c_i=0，1≤i≤3。

得到表 1所示的分配方案。

分配的结果为：

如果少于两个参与者则不能恢复出集合U。

当不少于2时给出自己的集合，

定理1  ASC方法能成功恢复全集U。

证明  按照分配方法，集合U中的任意元素e_i分配给了n个参与者中的n-t+1个参与者，1≤i≤N。当不少于t个参与者给出所持有的集合时，至少其中有一个参与者具有元素e_i。从而在它们组合的集合U′中会存在该元素。

因为以上元素e_i具有任意性，因此在集合U′中包含所有的元素e_i，1≤i≤N。故U′=U。

定理2  ASC构造的门限方案是所用元素最少的方案。

证明  用反证法证明。

一方面，如果将全集U中的元素e_k整体去掉，得到集合U′=U-{e_k}。

假设使用ASC方法分配元素后，去掉集合U中的一个元素e_k，仍能满足(t，n)门限方案。

选取其中的t个参与者，其中只有一个参与者具有元素e_k。不失一般性，设该参与者为p_v，1≤v≤n。

因为t个参与者所持有的集合，可以组合为集合U，所以除去p_v持有的集合，其他t-1个参与者中，必定可以组合出除了元素e_k之外的其他元素，即这t-1个参与者能够组合出U′=U-{e_k}。此时其门限值不再是t，这与假设矛盾。

另一方面，如果从ASC方法产生的参与者原始集合S中将某一个元素e_i去掉，那么S中将存在n-t个元素e_i，有t个参与者没有分配到元素e_i。如果刚好选中了没有分配到元素e_i的这t个参与者，则会因为缺少元素e_i，从而无法计算出秘密信息。

综合以上两方面可见ASC方法是所用元素最少的。

例如，用ASC方法构造的(5，6)门限方案如表 2所示，其中“√”表示分配，“×”表示未分配。

若去除元素e₂，U′=U-{e₂}={e₁，e₃，…，e₁₅}。若选择p₁、p₂、p₃、p₅，则S₁∪S₂∪S₃∪S₅={e₁，e₃，…，e₁₅}=U′。因此只要4个参与者给出所持的集合即可恢复出密钥集合U′。这时不满足门限值为5的条件，故不能去除元素e₂。同理也不能去除其他的元素。

推论  构造(t，n)门限方案至少需要C_n^t-1个元素。

证明  ASC方法将最少的元素个数分配给各个参与者。由定理1知，不能再缩减元素。因此，构造(t，n)门限方案至少需要C_n^t-1个元素。

ASC方法在已知t和n的情况下，选取C_n^t-1个元素来构造分配方案。有时为了增强安全性，可以使用d×C_n^t-1个元素来构建加密方案。d为安全系数，d∈I⁺，d越大所需元素越多，整体安全性越好。

步骤1  使用ASC方法生成前1、…、C_n^t-1个元素的分配方案。

步骤2  对于第C_n^t-1+1、…、2C_n^t-1个元素，可以将这些元素编号。对于编号为u的元素e_u，按照元素e_{u mod (N+1)}的分配方案进行分配。

步骤3  对于第2C_n^t-1+1、…、3C_n^t-1个元素，也采用步骤2操作进行分配，直到所有的元素分配完毕。

例如，d=3即安全系数为3时，用ASC-2方法构造的(5，6)门限方案如表 3所示，其中“√”表示分配，“×”表示未分配。

ASC-2的正确性证明如下。

定理3  ASC-2方法能成功恢复全集U。

证明  对于第1、…、C_n^t-1个元素，采用ASC方法进行分配，因此能恢复出包含这些元素的集合U₁。对于第C_n^t-1+1、…、2C_n^t-1个元素，对于编号为u的元素e_u，按照元素e_{u mod (N+1)}的分配方案进行分配C_n^t-1+1≤u≤2C_n^t-1。因此，这些元素将一一对应到1、…、C_n^t-1各个元素的分配方法。也相当于采用ASC方法进行分配，因此能恢复出包含这些元素的集合U₂。

同理，可以恢复出U₃、…、U_d，进而可以得到全集U=$ \bigcup\limits_{i=1}^{d}{{{U}_{i}}}$。

步骤1  输入门限值t，参与者数量n和安全系数d。

步骤2  选取两两不同的N(N=d*C_n^t-1，d∈I⁺)个大质数组成全集U={e_i}。通过元素相乘来生成秘密信息，P_key=hash(∏{e|e∈U})。hash()为哈希函数(如SHA-256^[21]等)。利用秘密信息P_key对信息进行加密。

步骤3  按照ASC-2方法生成参与者原始集合S={S_j}，1≤j≤n。

步骤4  将参与者的原始集合S_j分配给参与者p_j。

步骤1  对于参与者p_j，利用自己的参与者原始集合S_j，将元素相乘得到生成信息I_j，I_j=$ \prod\limits_{i}^{{}}{\{s|s\in {{S}_{j}}\}}$，1≤j≤n。

步骤2  在计算秘密信息时，对于愿意参与的参与者，检查是否有参与者公开了生成信息，若没有，则公开自己的生成信息；若已有其他参与者公开了生成信息，则获取该信息。如果获取到多个生成信息，则选择数值最大的一个，记为I′。

步骤3  对自己的参与者原始集合中每个元素做除法，生成信息I′，如果余数不为零，则把这个元素值乘以生成信息，得到新的生成信息。如果余数为零，则忽略重新选取I′。对每一个元素都进行这样的处理，得到处理后的生成信息I″。若I″≠I′则公开I″。

步骤4  所有参与者都经过步骤1到步骤3的处理后，可以得到一个最大的生成信息I_max。如果有不少于t个参与者参与了以上过程，则I_max将是唯一的，可用于生成秘密信息P_key=hash(I_max)。

定理4  RecoverProcess能正确地计算出P_key。

证明  使用ASC-2方法生成各个参与者的原始集合S_j，1≤j≤n，当不少于t个参与者将自身S_j组合在一起时，可以得到全集U。

对于有t个参与者的秘密信息恢复，分别记为p₁、p₂、…、p_t，1≤t≤n。它们一起进行RecoverProcess操作。

第1个参与者p₁计算出生成信息I₁，并公开给下一个参与者：

第2个参与者p₂收到生成信息I₁，计算出生成信息I₂，并公开给下一个参与者：

第3个参与者p₃收到生成信息I₂，计算I₃，并公开给下一个参与者：

重复以上过程，最后得到：

可见P_key=hash(I_t)。

有多于t个参与者参与秘密信息的恢复时，计算出的秘密信息也将是P_key。

因此RecoverProcess能正确地计算出P_key。

在恢复秘密信息的过程中，参与者会给出一些信息，这些信息如果设计不当，可能会泄露自己的参与者原始集合。进而导致身份的泄露。此处，作者证明STSA的安全性，保证不会导致泄露这些信息。

因为选择的元素个数N=d*C_n^t-1，d∈I⁺。可以保证分配给各个参与者的原始集合，两两之间至少有两个元素是不相同的。

每个参与者公开出去的是元素的乘积信息。如果想要通过该信息恢复参与者的原始集合，则要进行大数分解。因为选择的是大质数，要分解至少两个大质数的乘积，是一个困难问题^[22-23]。RSA算法也是基于分解大素数的困难性进行设计的^[24]。在当前计算能力条件下，STSA具有安全性。所以其他参与者都不能将公开的生成信息还原为参与者的原始集合S。

最后，得到的秘密信息是一个经过哈希运算后的秘密信息P_key，P_key也不能反向计算出全集U。

因此，从STSA协议公开的生成信息不能恢复参与者原始集合，也不能找出参与者的身份。

本节通过程序验证第1节提出的ASC方法和第2节提出的STSA安全门限方案的正确性和可行性。程序主要包括秘密信息分配、恢复过程以及安全性分析，确保在不少于t个参与者的情况下能够正确恢复秘密信息，并在少于t个参与者的情况下无法恢复。

本节使用Python实现STSA安全门限方案，针对这样一个应用场景：在控制系统中存在多个控制器，对于一些关键操作，需要得到不低于门限值个数的控制器允许，才能执行某些关键操作，即使用STSA安全(t，n)门限方案，当有不少于t个控制器允许执行时，系统才执行关键操作。同时保证控制器隐私安全。不能暴露有哪些控制器参与，也不能暴露参与控制器所持有的分配密钥。

设控制器个数为n，门限值为t，安全系数为d。为了安全性可以把质数选得更大。更大的质数需要更多的时间来完成计算。元素分配并计算秘密信息的伪代码如下。

step 1：  input(t，n，d) #输入参数门限值t，参与者数量n，安全系数d

step2：  N=CalCombiNum(n，t-1) #计算组合数量

step3：  PrimeNumbers=GenPrimeNumbers(d*N) #选择d*N个大质数

step4：  pAssignedElements=ASC-2(PrimeNumbers) #将d*N个大质数按照ASC-2方法分配给n个参与者

step5：  Pkey=1

step6：  for i in range(0，len(PrimeNumbers)，1)：

step7：    Pkey *=PrimeNumbers[i]

step8：  Pkey=hashlib.sha256(str(Pkey).encode(‘utf8’).hexdigest() #step5-8计算加密秘密信息，并用于对信息的加密

在具有至少t个参与者进行秘密信息恢复时，恢复秘密信息的伪代码如下。

step1：  defRecoverSI(listParticipants)：#定义恢复秘密信息的函数，listParticipants变量是参与者的列表

step2：

    I=1

step3：    for i in range(0，len(pAssignedElements[0])，1)：

step4：      I *=pAssignedElements[listParticipants[0]][i] #计算出第1个参与者的生成信息，并存储到I中

step5：    for j in range(1，len(listParticipants)，1)：#参与者

step6：      for i in range(0，len(pAssignedElements[0])，1)：#参与者原始集合

step7：        tmp=pAssignedElements[listParticipants[j]][i]

step8：        if I % tmp！=0：

step9：          I*=tmp

step10：  I=hashlib.sha256(str(I).encode(‘utf8’).herdigest() #step5-10其他的参与者根据接收到的生成信息进行操作，最后计算出来总的生成信息，并更新I

step11：  output(I) #输出恢复后的秘密信息I

step12：  return(I==P_key) #返回恢复是否成功的结果

正确性验证分为两个部分，第一部分验证任何不少于t个参与者分配密钥均能够恢复出秘密信息，第二部分验证任何少于t个参与者分配密钥均不能恢复出秘密信息。其伪代码如下。

step1：  listPall=list(range(0，n) #列出所有的参与者

step2：  listPnotLessThanT=[]

step3：  for j in range(0，n-t+1，1)：

step4：    for listTmp in itertools.combinations(list1，t+j)：

step5：      listPnotLessThanT.append (list(listTmp)) #step2-5找出所有不少于t个参与者的组合，保存在listParticipants中

step6：

    forlistP in listPnotLessThanT：

step7：    rst=RecoverSI(listP)

step8：    assert(rst) #step 6-8验证不少于t个参与者时，恢复秘密信息。失败则触断言

step9：  listPLessThanT=[]

step10：    for j in range(1，t，1)：

step11：      for listTmp in itertools.combinations(list1，t-j) #step9-12找出所有少于t个参与者的组合，保存在ElistPLessThanT中

step12：        listPLessThanT.append (list(listTmp))

step13：    for listP in listPLessThanT：

step14：      rst=RecoverSI(listP)

step15：      assert(not rst)

程序运行可验证如下结论：

1) 任何不少于t个参与者分配密钥能够恢复出秘密信息；

2) 任何少于t个参与者分配密钥不能恢复出秘密信息。

因此STSA方案能够实现(t，n)门限方案。

完整的代码见https://gitee.com/Tinff/stsa。

在t=5，n=9，d=8和random.seed(8)条件下，所有元素设置为质数，并通过random.randint(2×10⁹，1×10¹²)随机选取。通过全集计算出的生成信息为：2890598305722666517047028717…610659266369935568447466787931154490249772448835511389518428177466854885371913775108342128188841193082564964107609119955768334887946319783756928805770191458773836148493443(共有7030十进制位)，这是一个非常大的整数。SHA256计算后的加密秘密信息和恢复秘密信息都为：3d974c5fba1201295d1aac36cdf5c938a78a910e4e23a467cb05f2e10736c618。

在安全系数大于1(d＞1)的条件下，参与者给出的生成信息为多个质数的乘积。质数的大小是可以选择的。如果选择大质数，其他参与者就很难分解出该乘积。因此其他参与者很难恢复出参与者的原始集合。如果要求的安全性更高可以设置更大的安全系数d或选择更大的质数来形成全集U。

可见能够实现(t，n)门限方案的秘密信息计算和恢复。经过程序验证，并能够保证安全性。

计算机配置为英特尔Core i7-7700 @ 3.60 GHz四核、内存8 GB (DDR42400 MHz)。在t=5，n=9时，不同质数取值范围和设置不同安全系数(d=2，4，6，8)的运行性能如图 1所示。在安全系数d=2，质数取值范围设置为(2×10⁸，1×10¹⁰)时，不同门限值(t=4，5，6，7，8，9)和参与者数量(n=9，10，11，12，13，14)下的运行性能如图 2所示。

图 1展示了STSA方案在t=5，n=9参数配置下的性能特征，重点分析安全系数d=2、4、6、8与质数取值范围对运算时间的双重影响。实验结果表明，当质数取值范围为(2×10¹⁰，1×10¹²)，安全系数d从2递增至8时，运算时间呈现近似指数增长的趋势，这是因为本方法中元素数量随d值增大而增加，导致集合划分、秘密计算及恢复等环节的计算复杂度显著提升。同时，质数范围的扩展也会加剧运算耗时，因为大质数在模乘、取余等运算中需要更多计算资源。实验结论表明：提升安全系数d或采用更大的质数范围虽然可以增强安全性，但是会导致运算效率的下降，实际部署需根据应用场景在安全性与性能之间寻求平衡。

图 2呈现了STSA方案在安全系数d=2、质数范围(2×10⁸，1×10¹⁰)的条件下，运算时间随门限值t和参与方数量n的动态关系。实验表明：运算时长与参与方数量n呈显著正相关，当n由9增至14时，ASC-2方法的运算时间增长较快，同时秘密恢复阶段需处理更多参与方的信息交互，导致计算量急剧升高。相较而言，门限值t从4提升至9时运算时长增幅较缓，主要因为t值增加仅线性扩展了恢复阶段的验证步骤。该结论揭示了在此参数框架下，系统效率对参与方规模更为敏感。实际部署于多控制器系统时，须通过n与t的协同配置实现安全门限与运算效能的动态平衡。

针对当前一些(t，n)门限方案的设计和实现复杂性的问题，本文提出一种简单、易理解、易实现的门限方案。首先使用ASC集合分配方法分配N=C_n^t-1个元素给n个参与者，进而设计ASC-2方法将安全系数为d的全集元素分配给各个参与者，在数学上证明了ASC和ASC-2方法的正确性。在ASC-2基础上提出了STSA安全(t，n)门限方案，也在数学上证明了STSA方案的正确性和安全性。相较于传统门限方案，STSA避免了高次插值和矩阵运算等复杂操作，降低了计算资源消耗，具有较强的理论意义。此外，STSA方案还为物联网终端、边缘设备等资源受限的场景提供了新的思路和实践路径，拓展了门限方案在隐私保护和多方计算中的应用潜力。

针对多控制器执行关键操作的应用场景，使用Python实现了STSA(t，n)门限方案。实现的STSA安全(t，n)门限方案，可以实现只有不少于t个控制器允许执行时，系统才执行关键操作；少于t个时则不能执行关键操作。同时该方案可保证控制器隐私安全，未暴露参与控制器及所持有的分配密钥。通过程序验证的方式，确认了STSA方案的正确性和安全性，同时也实现了其他学者提出的一些门限方案。

开展了多个STSA方案的性能实验并进行了分析。STSA运算时间随安全系数d，质数选取范围的增大而增加；随参与者数量n增大而急速增加；随门限值t的增大而缓慢增加。本文主要提出并验证了STSA的可行性。接下来的工作包括：增强在抗量子攻击方面的能力；对算法进行进一步优化，提升时间效率；在分配密钥复用方面探讨STSA方案与其他密码学协议的结合，特别是零知识证明和同态加密等技术，以增强其在更广泛场景下的应用能力。