到目前为止，我们讲述的基于服务器的协议包括三个组成部分：一个服务器和两个用户。这种情况一种很自然的推广就是允许多于两个用户，多个用户间的密钥建立称为群组密钥建立。另外一种推广是使用多个服务器，这样的结构至少有以下两个潜在的好处：如果一个或多个服务器不可用，用户仍能建立会话密钥；如果一个或多个服务器不可信，用户仍能建立好的密钥。

宫力（Gong）提出了一些不同的协议，这些协议具有相同的基本结构。所有这些协议的特点是：用户A和B选择密钥材料，n个服务器S1，S2，…，Sn作为变换中心使一个用户的密钥材料对其他用户可用。A初始和每个服务器Si共享一个长期密钥KA，i，同样的B和Si共享KB，i。

当一些服务器变得不可用，仍需保证能恢复正确的密钥，A和B就都用门限策略分割他们的秘密。具体来说，A选择一个秘密x并把它分割成x1，x2，…，xn，这样x就可由任何t份秘密恢复。类似的，B选择一个秘密y并把它分割成y1，y2，…，yn。图4.20是Gong协议的简化版本。对每个服务器消息2和消息3重复进行，这样n个服务器总共有2n+3条消息。A接收到每个服务器发来的份额，就可以恢复B的秘密y，B也类似地恢复x。会话密钥定义为KAB=h（x，y）。

(www.daowen.com)

图4.20　简化的Gong多服务器协议

为了防止恶意服务器干扰协议，A和B对所有的份额形成一个交叉校验和。x的交叉校验和是cc（x）=（h（x1），h（x2），…，h（xn）），h是单向函数。服务器Si收到的交叉校验和cci（x）可能不等于正确的cc（x）值。当B从服务器Si接收到一个校验和cci（x），他便为来自其他任何服务器Sj的每个xj计算h（xj），并同cci（x）中的值作比较，如果相同，则为Sj分配一个信任点。当B完成所有的验证后，他保留那些有最大信任点的服务器发来的份额。用户需要t个份额来恢复秘密。这个过程可以保证只有一半响应的服务器是诚实的，且其中的t个可用就可以正确地恢复秘密。