文档介绍:. 1 密钥分配与密钥协商密钥分配密钥协商9. 1. 1 密钥分配Kerboros密钥分配协议是一种在线式密钥分配协议(on-line key distributionprotocol)。所谓在线(on-line) 指的是, 当两个用户U 和V 想要进行保密通信时, 就根据协议产生一个新的密钥, 而不是事先确定一个密钥。Kerboros密钥分配协议中消息的传送见教材p1819. 1. 2 密钥协商Diffie-Hellman 密钥交换协议是一个典型的密钥协商协议,描述如下:设p 是一个大素数, α∈Zp是一个本原元. p 和α公开①用户U 随机选取aU,1 ≤aU≤p?2②用户U 计算并将结果传送给用户V③用户V 随机选取aV,1≤aV≤p ?2④用户V 计算并将结果传送给用户U⑤用户U 计算用户V 计算Diffie-Hellman 密钥交换协议容易受到主动的对手的中间入侵攻击假设W 是一个主动的对手,其中间入侵攻击如上图所示9. 2 秘密分享(在第10章讲)Shamir的(t,w)门限方案(t;w)门限方案中的密钥重建利用Lagrange插值公式重建(t;w) 门限方案中的密钥主要内容9. 2. 1 Shamir 的(t,w) 和w 为正整数,t ≤w。一个(t;w) 门限方案是一种在w 个参与者中分享一个密钥k 的方法, 使得任意t 个参与者在给出他们的秘密份额后可以恢复密钥k, 而任意t -1 个参与者在给出他们的秘密份额后不能恢复密钥k。设p 是一个素数, p > w + 1。Shamir 的(t,w) 门限方案描述如下:① D 从Zp中选取w 个不同的非零元D 将分配给参与者可以公开。②如果D 要让参与者分享一个密钥, 则D 秘密地随机选取t -1 个元素③对D 计算其中④ D 将秘密地分配给9. 2. 2 (t,w) 门限方案中的密钥重建可以写成矩阵的形式为设系数矩阵为A。显然, A 是一个Vandermonde矩阵,系数矩阵A 的行列式为因为互不相同, 所以线性方程组有唯一解,这说明任意t 个参与者能够重建密钥k。而任t - 1 个参与者得不到密钥k的任何信息9. 2. 3 利用Lagrange 插值公式重建(t,w) 门限方案中的密钥过点可以唯一地确定一个次数至多为t-1 的多项式。根据Lagrange 插值公式容易验证因为密钥k = a(0), 所以令则9. 3 身份识别Guillou-Quisquater协议:见教材p191