计算机网络安全技术第六章节幻灯片.ppt

4） 秘密共享 一个秘密共享方案(也称为门限方案)的工作是这样的：一个消息划分成n片，每片称为一个影子，使得任意m个影子都能重构该消息，但任意m-1个影子都不能重构该消息。它也称为(m,n)门限方案。 最常见的门限方案有：Shamir的拉格朗日插值多项式，它主要利用了有限域中的多项式方程来构造门限方案；Blakly的矢量方案，它利用了空间中的点来构造方案，消息定义为m维空间中的一个点，每一个影子是包括这个点的(m-1)维超平面的方程，任意m个这种超平面的交刚好确定这个点，Asmuth和Bloom利用素数特性来分配影子，利用中国剩余定理来恢复秘密；Karnin-Greene和Hellman的使用矩阵乘法的方案。 高级门限方案为：不同的人得到不同数目的影子，两个或更多的人得到多个影子。不论影子按何种方式分配，其中任意m个影子总能恢复秘密，然而即使有m-1个影子无论是一个人拥有还是多个人拥有都不能恢复这个秘密。 还有有骗子情况下的秘密共享及有预防情况下的秘密共享。 利用门限秘密共享进行密钥托管是很容易的，假设秘密共享密钥SSK在n个托管者之间共享，每个托管者分配一个影子，而只需其中m个托管者就可恢复秘密共享，具体的共享方案可以是上述门限共享方案中的任何一个。 在A与B开始通信时，他们通过密钥交换协议得到一个相同的会话密钥CK，在用CK加密双方通信的同时，CK及通信时间T用一个秘密共享密钥SSK进行加密，形成DRF，DRF和密文一起传送。如果G需要解密双方通信的内容，那么他只需要m个托管者协作就可得到SSK，从而用SSK解密DRF，得到通信双方的会话密钥，因此能得到双方通信的内容。 A用SSK对CK的加密可采用任何一种加密形式，而G的解密就是加密的逆运算。 甚至可根据不同的托管者的特权不同，可分配不同数目的影子，如特权大的多分配几个影子，特权小的少分配几个影子，这样也可进行高级门限密钥托管。 像秘密共享方案一样，它也可进行有骗子情况下的密钥托管和有预防情况下的密钥托管,在此不再叙述。 5） 公正密码体制 自从1979年Blakley和Shamir首次推出秘密共享方案后，各种秘密共享方案不断大量出台，Blakley和Shamir发现了秘密共享方案的一个难点是，只有每个人都泄露他们各自持有的秘密时，才能恢复出他们的共享。而公正密码体制就能去掉这个缺点，它不必泄露各自的秘密，就能恢复出他们的共享。如共享秘密是一个私人密钥对文件的签名，那么n个分享者每个人都能完成对文件的部分签名，在第n个签名后，文件便是用共享的私人密钥签名，而分享者中没有一个人能学到有关其它分享者的任何东西，而且分享者能验证的部分共享是否正确。 利用公正密码体制进行密钥托管是很容易的，在A与B进行通信时，他们通过密钥交换协议得到一个相同的会话密钥CK，在用CK加密双方通信的同时，CK及通信时间T用一个A的秘密托管密钥S进行加密，形成DRF，DRF和密文一起传送。如果G需要解密双方通信的内容，那么他只需要所有托管者协作就可得到S，从而用S解密DRF，就可得到通信双方的会话密钥，因此能得到双方通信的内容。 下面我们以基于离散对数的公钥密码体制为例，看一看A是如何分配托管密钥的，G又是如何恢复出A的托管密钥的，这种方案也可推广到其它一些公钥密码体制中去。 n个托管者共享一个素数p和一个生成元g，A的托管密钥是S，且他的公开密钥是： T = gS mod p (1) A选择n个都比p小的整数s1，s2，s3，…，sn， A的托管密钥是 S = (s1+s2+…+sn) mod p 同时他的公钥是 T = gS mod p A也要计算 ti = gsi mod p， i=1，2，…，n A的公开托管密钥是ti及相应的私人托管密钥Si。 (2) A发给每一个托管者一个私人托管密钥和相应的公开托管密钥。如发给第一个托管者的是s1和t1，他把T送给G。 (3) 每一个托管者验证 ti = gsi mod p， i=1，2，…，n 如果它成立，则该托管者对ti签名，并把它发给G，然后把si存储在一个安全的地方。 (4) 在接受到所有公开托管密钥后，G验证 T = (t1×t2 ×…×tn ) mod p 如果它成立，G同意这个公钥。 至此G知道每一个托管者都有一个有效的托管密钥，而且如果需要的话他们一起还能恢复出A的托管密钥(私人密钥)，然而无论是G还是任何单个人都不能恢复出A的托管密钥。 6．8 等级加密体制中的密钥管理 1．等级模型 　在等级加密体制中，我们把所有用户按安全等级分成组，组之间是按外向树组织，树中每一个节点对应一个组，父节点对应的组一定能解密子孙节点对应组所加密的消息，反之则一定不成立。由于节点与组之间一一对应，所以，为叙述方便，我们将节点与组视