一个公平的多方的不可否认协议

一个公平的多方的不可否认MATCH_ word word文档格式规范word作业纸小票打印word模板word简历模板免费word简历 _1714099157425_0 第 1 卷第 5 期安 全 与 环 境 学 报V o l. 1, N o. 5 , 20012001 年 10 月Jo u rna l o f Safe ty and E nv iro nm en t O c t () 文章编号: 100926094 20010520041204 Ξ 一个公平的多方的不可否认协议 邓所云胡正名钮心忻杨义先 () 北京邮电大学信息安全中心, 北京 100876 摘 要: 公平的不可否认协议解决了电子商务中信息传输的互相否认问题, 使通信各方处于平等的位置。协议对各 方都是公平的。该协议是基于组加密方法的, 由可靠的第三方产生不可否认证据, 数据交互次数少, 高效实用。 关键词: 不可否认; 多方协议; 组加密; 公平; 争议; 证据; 电子商务 中图分类号: 915. 08 文献标识码: TN A 1 引言 近 10 年来, 电子商务在促进开放式网络迅速普及的同时也提出了一些相关的网络安全问题。 它就是人们使 1, 2 用网络传输敏感信息过程中的一个安全问题。 不可否认主要防止某项事务的参与各方的任意一方在事后抵 赖, 拒绝对自己的行为负责。这对于网上交易有重要意义。不可否认有发送者不可否认和接收者不可否认。前者 是保证消息的发送者事后不能否认他发送过此消息; 后者则保证接收者不能否认他确实接收到了此消息。公平的不可否认协议还要保证在协议执行过程中, 通信各方始终处于平等的位置, 不允许其中一方比其余任意一方具有 更大优势。 因为这种优势的存在可能导致具有优势的一方事后抵赖, 使处于弱势的一方蒙受损失。 3 , 6 () 目前, 比较可行的公平的不可否认协议都是基于一个可信任的第三方 。此类协议多数是关于在两 T T P 方之间传输信息, 可信任的第三方的介入是为了保证协议的公平性。而对于多方传输信息的不可否认问题的研究 还很少。 文献8 提出了第一个多方的不可否认协议, 但是存在效率和公平性方面的缺陷。 此协议消息交互次数 过多, 这在多方协议中, 尤其在消息接收者数目较多的情况下, 会严重影响效率。 另外, 由消息发送者来确定时间 期限 , 并据此来确定能够最终得到明文消息的接收者, 这显然使消息接收者处于弱势, 对接收者来说是不公平 t 的。本文基于一个可信任的第三方, 利用组加密, 提出了一个公平的多方的不可否认协议, 从而解决了多方传输敏 感信息时各方互相抵赖问题, 保证了数据的机密性, 增强了公平性, 提高了效率。 2 基本标识符 本文采用如下标识符来描述协议: = > : 为把消息 组播给集合 内的实体 ; , 表示两个消息 A R X A X R R iX Y 和 的连接; 为接收消息的实体的集合; ′为能够最终得到消息的实体的集合; 为不可否认服务器 X Y R R N R S (() ) 2可信认的第三方; 为对消息 利用组加密方案进行加密, 加密后的密文只能由 , N o n rep u d ia t io n se rve rE R X X () ) (内的实体进行解密; 为对消息 用 函数取摘要值; 为 : 的公钥; , 为对消息用 R H X X HA SH P K A A E n c m K m ) () (对称密钥 进行加密; , 为对消息用的公钥 进行加密; 为对消息用自己的 K P E n c m P K B m B P K B S igA m A m 私钥进行签名; ?: 为给发送消息 ; ??: : 为主动给发送一次消息 , 如果 没有收到,A B X A B X A B X B A X A () 可通过网络从那里取到 相当于电子公告栏。 B B 3 协议 3. 1 组加密方案 本文利用了文献9 中的加密方案, 它是基于一个公钥加密方案和中国剩余定理的。 此方案在本文的协议中 有如下应用。 () 假设一共有 个数据接收者即 = , 最终得到明文消息的接收者的数目为 即′ = ′是|||| 的子集。p R p q R q R R Ξ 收稿日期: 2001205224 ( ) 作者简介: 邓所云1974- , 男, 博士生, 从事密码学、电子商务和网络安全研究。 ( ( ( ) ) 基 金项目: 国家重点基础研究发展规划项目 编号: 1999035805, 国家杰出青年基金项目 编号: 69425001, 国家自然科学基金项目 编号:G )69882002, 60073049 每个接收者 都有一个大整数, 对于两个不同的接收者 与 , 与互素, 且对于本协议中用于加密明 R i N i R i R j N i N j )(( 文消息的对称密钥 , > , 。每个的为公共参数。假设一未知量为, 则有?,m K N i P E n c K P K R R i N i X X P E n c K i ) () ()P K R m o d N i , 其中 1< i< p , 由于各N i 个两两互素, 由中国剩余定理得知必存在唯一解 X 即 E R K 。N R S 得 i () ) ) () ((到 后根据 ′的可以得到 , , 则 ′?, 1< < , 同样由中国剩余定理 E R K R i P E n c K P K R ′X P E n c K K R m o d M i iqi i ()() ) (得知存在唯一的解′即 ′。把 ′公布出来, ′利用′可以求出 , , 再用自己的私 X E R K N R S E R K R i N i P E n c K P K R ′i ) (() 钥进行解密就可以得到密钥 ; 而对于 ?- ′就无法利用 ′获得 , 也就无法获得明文消息。K R j R j R R E R K K 在上述组加密方案中用到了一个公钥加密方案, 对此公钥加密方案在本方案中不做具体指定, 在具体实现中 可以根据需要选择具体的公钥加密方案, 只要达到安全目的即可。 3. 2 公平的多方的不可否认协议 本协议涉及到的通信实体为消息发送方, 消息接收方组成的集合 , 能够最终得到明文消息的消息接收方 A R 组成的集合 ′以及可信任的第三方。 协议中的电子证据的核心部分是由产生的, 通信各方对他无条件信 R N R S ( ) 任。需要把消息发送给属于 的接收方, 的内容不能让第三者知道 包括要得到各数据接收方, A m R m N R SA 对此消息的电子收据; 同时, 各接收方也希望得到此消息是由 发出的电子证据。 无论在哪个不可否认协议中,A 7, 10 不可否认证据最终是通过数字签名来实现的。但通信一方在协议执行完毕后, 立即到证书中心宣告自己的私 10 钥泄漏, 申请注销证书, 他就可以宣称并没有参与刚刚结束的不可否认协议通信, 而在以后的争议解决中处于 有利地位。可以利用时间戳服务中心为每一个要进行签名的信息加盖时间戳, 比较被签名消息的时间戳和相应证 书的吊销时间来防止这种欺骗。 为了方便讨论, 本文在消息流中忽略加盖时间戳的情况。 在此协议中, 通信接收方和不可否认服务器分别有两对公私钥对, 一对公私钥对用于加解密, 另一对公 N R S () 私钥对用于签名验证, 并且这两个公钥分别对应着证书中心 颁发的数字证书; 有一对用于签名验证的公 CA A 私钥对, 并拥有此公钥对应的数字证书。本协议的主要思想是: 先用对称密钥 对消息进行加密, 再用组加密 K m 方案对 进行加密, 然后再用的加密公钥, 对已经用组加密方案加过密的 进行二次加密, 把密文传给 K N R S K R 中的消息接收者, 消息接收者处理之后传给。会根据提交数据的接收者请求公布数据的时间和自己处 N R SN R S 理数据的能力进行综合评估, 确定一个合理的时间期限 。请求公布数据的时间晚于 的接收者组成的集合为′, tt R 会从处获得所需数据, 从而进一步得到明文消息; 反之, 请求公布数据的时间早于 的接收者就会被N R S m t N R S 抛弃, 他们无法获得加密的密钥 , 也就无法得到。要是使尽量多的接收者得到消息的明文, 会把给 m K m m N R S 和 ′中接收者需要的数据公布出来。和 ′中的接收者必须从处获得相应数据以作为不可否认证据的 A R A R N R S 一部分, 为将来可能产生的争议提供证据; ′中的接收者也只有从取回数据才能得到明文消息。协议流程 R N R S m 如下: ) (( )() () , , , , , , 1= > : 1, 其中 , ; = = , = 1= R N R SL E n c m K P E n cA R M SGM SG M N N S igA M L h m K M A (() ) , ;E R K P K N R S () () ((2?其中 ?; 2 = , , 1; = ; = , , , , , ,: 2, R i N R SM SG R i R M SGP Q M SGQ S igR P P A R N R SL tR h E n c m i ) ) (() ) ) , , ;K h P E n cE R K P K N R S () () (() ) ((3′??其中, ; = = , ′, , , , , : 3, 3 = R i N R SM SGM SGY Z Z S igN R S Y Y A R N R SL h E n c m K h P E n c E R() ) ) () , , ;K P K N R S E R ′K ()4??。 : 3A N R SM SG 以下是上述协议的分析 () () () 1首先随机产生用于加密消息的对称密钥 , 用 , 作为本次协议运行的标识符。选择 , A m K h m K h m K () 作为标识符是为了防止两次协议运行标识符的冲突, 因为冲突可能会导致处的数据覆盖。若选择 作为 N R S h m 标识符, 则在所属消息空间比较小的情况下, 会导致部分信息的泄漏。然后, 对消息用密钥 进行加密。m m m K 再分别用组加密方案和的加密公钥对称密钥 进行加密。 对 进行两层加密, 这是为了防止 中的接收 N R S K K R 者在接收到之后不向提交相应消息。若 中的接收者不向提交则其无法获得密钥 ,1 2, M SGN R S R N R S M SGK () ) (也就无法得到; 即使 用自己的解密私钥对 , 进行解密, 也会因为还有一层加密的保 m N R S P E n c E R K P K N R S 护, 使无法获得密钥 , 从而保证了消息不被第三者知晓。 最后, 对整个消息进行签名, 保证消息来源N R S K m A 的真实性。 () 2接收到消息后, 先验证签名的合法性。通过后, 如果 认为即使自己把信息提交给也没 1 , R i M SGR i N R S有时间获得, 则中止协议运行; 否则, 根据自己对消息的需求情况和与之间的通信情况, 考虑一个要m R i m N R S 2001 年 10 月邓所云, 等: 一个公平的多方的不可否认协议 43 求把消息发送过来或公布出来的时间期限 , 因为有些消息在超过一定时间期限之后, 对 就会3 N R S M SGtR R i i 毫无价值, 这样也可以排除他们的通信可能受到的恶意干扰, 可以主留出充裕的通信时间。 然后, 利用 R i HA SH ) () ) ((函数对 , 和 , 取摘要, 并进行签名, 以此把中的部分与其余部分关联 2 1 E n c m K P E n c E R K P K N R S M SGM SG 起来。 ( ) ) ( ) (( 3接收到后, 验证 与 的数字签名, 然后对中的 , 和 ,2 1 N R S M SGA R i M SGE n c m K P E n c E R K ) 取摘要, 与中的两个摘要比较, 以防止可能进行的欺骗。从每个接收过来的消息中查看 2 P K N R S M SG R i N R S R i () 每个 , 进行综合评价, 选择一个合适的时间界限 最终公布数据的时间 比 早, 以此来确定集合 ′。把向 tR t tN R S t R i 提交消息中的时间 在 之后的接收者组成的集合称为 ′, 其中的实体为 ′。就用自己的解 2 N R S M SGtR t R R i N R S i () ) () () (密 私钥对 , 进行解密获得 , 然后计算出 组成消息流, 进行签名之后, 把消息 P E n c E R K P K N R S E R K E R ′K 发送给 ′或公布出来。′接收到后, 验证的数字签名, 然后比较两个摘要值, 如果比较结果3 3 M SGR i R i M SGN R S () ) ) ((正确, 就用 先计算出 , , 再用自己的解密私钥进一步解密, 获得密钥 , 再对 , 解密 E R ′K P E n c K K R ′K E n c m K i 就会获得消息。i ′需要把保存起来, 做为电子证据。3 m R M SG () () () 4其实, 3和4没有先后之分, 可以同时进行。从处获得并验证的数字签名, 然后 3, A N R S M SG N R S 把和 保存起来作为电子收据。3 M SGK 3. 3 争议解决 () 假设争议解决仲裁机构为 J J u dge。 争端一: 当发送者否认。则由 ′向 提交证据: ,3。然后由 验证中的签名信息的合法3 R i J K M SGJ M SG N R S ) ) () () (((性; 用 加密 , 得到 , , 验证 , 是否满足 , ?′′; P K R ′K P E n c K P K R ′P E n c K P K R ′P E n c K P K R ′E R K m o d N i i i i i (() ) 用密钥 加密消息, 然后取摘要值, 与中的 , 比较。 若上述验证全部通过, 则断定在撒 3 K m M SG h E n c m K A 谎。 争端二: 当接收者否认。 则由向 提交 ,3; 然后由 验证中的签名信息的合法性; 用 3 A J K M SGJ M SGN R S ) ) () () (((加密 , 得到 , , 验证 , 是否满足 , ?′′; 用密钥 P K R ′K P E n c K PL R ′P E n c K P K R ′P E n c K P K R ′E R K m o d N i iiii (() ) 加密消息, 然后取摘要值, 与中的 , 比较。 如果上述验证全部通过, 就可以断定 ′在撒 3 K m M SGh E n c m K R i 谎。 3. 4 关于 NRS 作为可信任的第三方, 参与协议运行。通信各方只能无条件信任他。为了降低由于欺骗带来的风 N R S N R S () 险, 可以采用可公开验证的秘密共享方案, 来分散对一个的依赖。如此, 由一个完成的任务, 只能p n N R S N R S 由 个来协调完成, 并可以任意从 个中选取 个信任的进行交互, 降低了可能由欺骗的p N R S n N R S p N R S N R S 可能性。 为了减轻的负荷, 可以同 中的接收者协商确定一个时间期限, 自数据公时刻算起, 若超过 N R S N R S R 此时间期限, 则可以把此次协议运行的数据删除。 4 结论 不可否认是实现电子商务的一个重要前提。 本文基于组加密, 提出了一个公平的多方的不可否认协议, 该协议解决了多方传输敏感信息的不可否认性, 保证了数据的机密性和对通信各方的公平性, 高效实用。首先, 当消息 1 由传给 之后, 如果 不向提交2 就不会得到明文消息, 从而 并不处于比有利的 M SGA R i R i N R S M SGm R i A 位置; 只要得到和 ′就都会得到相应的电子证据, 体现了公平性; 而且中有由 设定的 2, 2 N R S M SGA R i M SGR i 请求传输或公布的最晚时间期限, 与文献8 相比, 公平性增强了。其次, 该协议中消息交互次数少,3 N R S M SG 相应通信量少, 与文献8, 效率提高了。 另外, 由于消息的内容只有与 ′知道, 防止了消息的泄漏, 因 相比m A R i 此, 提高了机密性。 Ref eren ce s () . 2[. , 1997, 20 3: 2671 Zho u J and Go llm ann DE v idence and no n rep ud ia t io n J Jo u rna l o f N e tw o rk and Com p u te r A pp lica t io n s , 281 . 2[. : , 1996Zho u JN o n rep ud ia t io n D L o ndo nU n ive r sity o f L o ndo n 2 . 2[. 3 J iang X iao n ing and Ye C h engq ingE lec t ro n ic ev idence and no n rep ud ia t io n p ro to co lJ Jo u rna l o f C h ina In sit itu te o f Comm u2 ( ) () , 81 , 2000, 21 7: 76n ica t ioo n s in C h ine se 4 2. [. : 1996 Zho u J and Go llm ann DA fa ir no nrep ud ia t io n p ro to co l A InP ro ceed ing s o f IE E E Sym po sium o n Secu r ity and P r iva2 cy, C a lifo rn ia, 1996, 55, 61 . 2[. 10 Zho u J and Go llm ann DA n eff ic ien t N o nrep ud ia t io n p ro to co l A P ro ceed ing s o f th IE E E Com p u te r Secu r ity Fo unda t io n s 5 , , 1997, 126, 132W o rk shop M a ssach u se t t s 6 , . 2[. K im K P a rk S and B aek JIm p ro v ing fa irne ss and p r ivacy o f Zho uGo llm ann ’ s fa ir no nrep ud ia t io n p ro to co l A P ro ceed ing s ( ) 1999 , 1999, 140, 145o f IC P P W o rk shop s o n Secu r ity WI SEC 7 T anenbaum A S. Com p u te r N e tw o rk [M . 3 rd E d it io n. P ren t ice H a ll Inc, 1996 . 22[. 11 168 K rem e r S and M a rkow itch OA m u lt ip a r ty no n rep ud ia t io n p ro to co l A IF IP T C th A nnua lW o rk ing Co nfe rence o n In2 , 280. : 2000, 271fo rm a t io n Secu r ityB e ijing 9 1989, 15 C h io u G and C h en W . Secu re b ro adca st ing u sing th e secu re lo ck [J . IE E E T ran sac t io n s o n So f tw a re E ng inee r ing, () 8: 929, 934 10 R o e M . C ryp to g rap h y and ev idence [D . L o ndo n: U n ive r sity o f C am b r idge, 1997 - - A FA IR M UL T IPA RTY NO N REPUD IA T IO N PRO TOCOL 2222, , D EN G Suo yu n HU Zh en gm in gN IU X in x in & YA N G Y ix ian ( , , In fo rm a t io n Secu r ity C en te rB e ijin g U n ive r sity o f Po st s an d T e lecomm u n ica t io n s )100876, B e ijin g C h in a : 2 A bstra c tN o n rep u d ia t io n is o n e o f th e m o st im po r tan t p rem ise s to ach ieve e lec t ro n ic comm e rce w h ile fa irn e ss . 2is w h a t p eop le h ave b een ch a sin g du r in g e lec t ro n ic t ran sac t io nF a ir no n rep u d ia t io n p ro to co ls re so lve th e qu e s2 2t io n o f no n rep u d ia t io n du r in g th e co u r se o f t ran sfe r r in g in fo rm a t io n in e lec t ro n ic comm e rce an d m ak e a ll com 2 . , . , m u n ica t in g side s in equ a l po sit io n sT h a t is to sayth e p ro to co ls a re fa ir fo r a ll side sIn th e p re sen t p ap e ra 22. fa ir m u lt ip a r ty no n rep u d ia t io n p ro to co l b a sed o n a g ro up en c ryp t io n sch em e is in t ro du cedT h e f low o f th e . , p ro to co l an d it s an a ly sis a re g iven in th e p ap e rIn th e p ro to co leve ry side can no t h ave advan tage s o ve r o th e r , . side sb ecau se th e advan tage s can re su lt in g rea t lo ss o f o th e r side sT h e m e tho d th a t how to so lve th e d issen2 2. sio n w ith th is p ro to co l is a lso g iven in th e p re sen t p ap e rA t ru sted th ird p a r ty is u sed to gen e ra te no n rep u d ia2 2. . t io n ev iden ceW ith th is m e tho d th e n um b e r o f ex ch an ged m e ssage s is sm a llSo th is p ro to co l can ach ieve no n .rep u d ia t io n se rv ice in an eff ic ien t an d p rac t ica l w ay : 22; ; g ro up en c ryp t io n; fa irn e ss; d isp u te; e lec t ro n ic ev iden ce; Key word sno n rep u d ia t io nm u lt ip a r ty p ro to co l e lec t ro n ic comm e rce CL C n um ber: TN 915. 08 D ocum en t code: A () ()2001, . 1, . 5 : 1009- 6094 200105- 0041- 04 J ou rn a l of S af e ty a n d E n vironm ent V o lN oA r t ic le ID