一種基于可信第三方的公平非抵賴信息交換協議

1接收方優先的非抵賴協議隨著互聯網電子商務和互聯網銀行等服務的普及，以前的網絡安全服務，如信息加密和身份認證，不能完全滿足安全的需求。隨著新的網絡安全服務《公平補償聲明》的制定，它引起了人們的注意并迅速發展。所謂的“公平補償協議”意味著信息發送者可以接收接收方接收信息的證據，接收者還可以獲得接收方發送信息的證據。換句話說，雙方都不能否認參與信息交換的意見。根據公鑰和數字簽名的技術基礎，公平補償協議主要分為兩種類型：需ttp協議和不瑾樣協議。其中,需TTP協議又可以分為以下幾種:(1)inlineTTP:TTP參與協議中的每次信息傳輸,這將給網絡造成較大的負擔,并且當TTP負載過大時,會影響協議執行的效率.(2)onlineTTP:TTP參與每次協議,但不參與每次傳輸以便減輕一些網絡負擔.(3)offlineTTP:TTP平時不參與協議,僅在出現爭議時才參與.(4)transparentTTP:從得到的信息發送與接收證據上并不能看出TTP是否參與了本次協議.上述需TTP協議在安全性方面都有著明顯的不足,協議能否順利進行主要依賴于TTP,如果TTP受到攻擊,那么,協議將失效,特別不適合無中心的移動自組網絡,因此迫切需要無需TTP的公平非抵賴協議.無需TTP協議的優點在于既可以避免網絡在TTP處發生擁塞,又可以避免協議對TTP可信度的依賴.事實上,TTP的可信度是很難評估的,如果TTP被惡意節點攻破,輕則造成拒絕服務,使協議不能繼續運行,重則簽發虛假的證據,帶來不可估量的損失.因此,無需TTP的非抵賴協議一直是人們研究的熱點,并做了大量工作,但直到1999年,才由Markowitch和Roggeman提出了一種較完整的ε概率型無需TTP的非抵賴協議.當協議結束時,發送雙方都收到對方參與本次信息交換的證據或雙方都收不到該證據的概率為1-ε.然而,在此協議中,信息交換雙方的地位是不對等的,接收方有更多的機會(取決于接收方的計算能力)欺騙發送方,即得到發送方證據的同時而不返回自己接收信息的證據,從而,破壞了協議的公平性,因此,它稱之為接收方優先的非抵賴協議.本文在分析了接收方優先的概率型無需TTP非抵賴協議安全性缺陷的基礎上,設計了一種發送方優先的協議,并根據雙方的計算能力提出了一種可協商的無需可信第三方的公平非抵賴信息交換協議以克服當前協議所存在的安全問題.2接收方安全保證該協議是由Markowitch和Roggeman在1999年提出的.假設Alice需要發送一段明文m給Bob,首先,她選擇一個會話密鑰k,并用k加密m得到密文c.然后,Alice隨機選擇一個值n(例如可以根據幾何分布選擇n,這個n對Bob保密,并決定了本次協議迭代的次數)和n-1個等分布的獨立隨機變量ri(i=1,2,…,n-1),ri的值應與密鑰k為同一數量級.設SA(),SB()分別是Alice和Bob的簽名函數,f為消息標志,lp為協議標志,則協議中相關符號如表1所示.在協議開始時,Alice首先發給Bob密文c和相應的證據EOO,Bob返回EOR給Alice,表示他收到了密文c.然后,Alice依次發出所選的n-1個隨機變量ri及相應的證據EORk,I,Bob在每次接收到ri時,必須立即向Alice發送其收到ri的證據EORk,i,否則,Alice將不會發送下一個ri值,并中止協議.最后Alice向Bob發送會話密鑰k以及相應證據EOOk,n,因為Bob不知道n的值,不能區分k與前面的隨機變量ri的區別,因此,他會依舊向Alice發送有關本次接收的證據EORk,n.Alice在收到此證據后停止發送,Bob在等待一段時間后即可計算m=Dk(c).當協議結束時,Alice和Bob都得到所需的證據,即該協議滿足非抵賴要求.然而該協議存在著下列兩個缺點,影響其安全性:(1)Bob雖然不知道Alice選擇的n值,但是可以去猜測這個值.不妨設其猜測的值為n′,這樣,當他接收到Alice發出的rn′時,他將不會發送接收證據EORn′.設Bob猜對的概率為ε,則Bob收到Alice發送的消息m和相關證據NRO,但同時Alice卻沒有收到Bob接收消息的證據NRR的概率為ε,亦即協議公平性被破壞的概率為ε,并且當公平性被破壞時,只可能由發送方Alice受到損失,因為,除非協議正常完成,否則Alice都將無法得到Bob接收消息的證據.也就是說在安全保證方面,接收方有著較高的優先級.雖然可以通過合理選擇n使ε為一個很小的數值,但在某些情況下仍然可能威脅到系統特別是發送方Alice的安全性.(2)如果消息的接收方Bob有足夠的計算能力,那么他除了猜測n值,還可以利用更直接有效的攻擊方式,即在每次收到ri值時,用該值對密文c解密(計算Dri(c)),如果解密成功(即ri=k),Bob就不再向發送方Alice返回自己的接收證據.Alice為了防止Bob的這種做法,需要設置一個截止期deadline,當他發送完一個ri后,要求在deadline到達之前收到Bob接收ri的證據,否則Alice認為Bob有意欺騙而終止協議.因此,協議的安全性建立在假設接收方Bob不能在deadline之前使用ri完成解密計算的基礎上.通常由Alice估計接收方Bob的計算能力,然后選擇合適的加密機制以及deadline的大小來確保Bob不能在deadline之前解密成功.但如果Bob的計算能力超出了Alice的預計,則Alice將無法防止Bob可能的欺騙.由上可知:在該協議中,發送方面臨的安全風險要大于接收方.因為接收方可以利用猜測n值或進行解密計算來避免向發送方返回自己的接收證據,從而違背協議公平性的要求.而相對來說,發送方卻難以在逃避自己的簽名義務的同時獲得對方的接收證據,因而在信息交換過程中處于弱勢地位.3數據發送方式在某些情況下,發送方不愿采用上面的協議,比如接收方擁有很強的計算能力,可以輕易利用自己在該協議的優勢地位完成欺騙,因此,我們設計了一種發送方優先的非抵賴協議,并分析了其安全性.當發送方Alice需要向接收方Bob發送消息m時,首先,她選擇一會話密鑰k,并用k加密m,得到密文c=Ek(m).然后,將密文c和對c的簽名發給Bob,Bob收到后發給Alice自己接收到密文c的證據.最后,Alice向Bob發送會話密鑰k,Bob收到k后,首先計算接收到k的證據EORk,但是并不立即向Alice發送EORk,而是選擇n-1個獨立隨機變量ri(這些值應與EORk為同一數量級),然后,依次向Alice發送這n-1個值,而每次Alice收到一個ri時,首先計算hash(k,ri)(hash()為單向哈希函數),然后,發給Bob對ri和hash(k,ri)的簽名.如果Bob在一段時間內沒有收到Alice的上述應答,就會停止后面的發送.最后,Bob向Alice發送EORk,由于Alice無法區分,仍會向Bob發出相應簽名,Bob在收到簽名時結束協議,信息交換完成.協議用到的符號見表2(SA(),SB()分別是Alice和Bob的簽名函數,f為消息標志,lp為協議標志,h為單向hash函數).在本協議中,Bob在收到Alice發出的密文c及對密文的簽名EOO后,發給Alice密文c的接收簽名EOR.接著Alice發給Bob密鑰k,Bob在收到以后,為了獲得Alice對密鑰k的簽名,必須向Alice返回對密鑰k的接收簽名EORk,但為了防止Alice的欺騙,在發EORk之前先發n-1個獨立隨機值,Alice對收到的每個隨機值ri及EORk都做同樣的處理:首先使用單向hash函數將k與ri綁定,即計算hash(k,ri),然后對ri和hash(k,ri)簽名,并返回給Bob.Bob在每發送一個ri值后,等待一個deadline時間,如果過期仍未收到Alice的應答則終止協議.如此當i=n時,所得簽名也即Alice發送密鑰k的證據EOOk.當協議順利完成后,Alice得到了Bob接收密文c的證據EOR=SB(fEOR,A,lp,c)和接收密鑰k的證據EORk=SB(fEORk,A,lp,k),EOR和EORk可以證明Bob接收到消息m.同時,Bob也得到了Alice發送密文c的證據EOO=SA(fEOO,B,lp,c)和發送密鑰k的證據EOOk=SA(fEOOk,EORk,h(k,EORk),B,lp,k),這樣就實現了雙方均不可抵賴的要求.協議安全性分析:(1)為什么EOOk可以作為Alice發送密鑰k的證據.當Alice企圖否認發送密鑰k時,Bob可以提供給公正方EOOk,公正方使用Alice的公鑰解開Alice的簽名,得到k,EORk和h(k,EORk),然后用Bob的公鑰驗證EORk是否的確是Bob對k的有效簽名,如果是,公正方計算h(k,EORk),然后與Alice的計算結果相比較,如果相等則說明簽名有效.(2)Bob在收到Alice發送的密文c和密鑰k以后,如果不向Alice發送自己對k的接收證據EORk,那么他同樣得不到Alice發送k的證據EOOk,Alice完全可以否認發送過該消息,因此不會破壞協議的公平性.(3)Bob向Alice發送自己收到k的證據EORk之前,必須向Alice發送n-1個獨立隨機變量,由于Alice無法區分這些變量和EORk,因此Alice會返回發送k的證據EOOk.但是,如第2節所述,Alice可以使用猜測n值或使用Bob的公鑰驗證EOOk的方法(能否奏效取決于Alice的計算能力與Bob采用的deadline)來進行欺騙,因此,本協議是發送方占優的協議.(4)Alice每收到Bob發來的ri值,都要返回接收ri的證據EOOri=SA(fri,ri,h(k,ri),B,lp,k),雖然該簽名包含了k的信息,但Bob并不能使用它來充當Alice發送k的證據.因為公正方首先會使用Bob的公鑰去驗證ri是否的確是Bob對k的簽名,如果不是,則該證據無法證明Alice發送過k.與第2節的協議相比,本協議是一種發送方優先的協議,也就是說發送方有機會采取欺騙方式:猜測n值(成功率為ε)或解密報文(取決其運算能力)來逃避自己的簽名義務,破壞協議的公平性.因此,本協議比較適合發送方的計算能力遠小于接收方的情況.4信息交換過程本節提出了一種基于計算能力的可協商的公平非抵賴協議,它將第2節和第3節的協議進行結合,并根據雙方的計算能力來協商決定誰能在信息交換中居于優勢地位.Alice首先將密文c和對c的簽名發送給Bob,然后Bob返回接收c的簽名和自己是否愿意接受發送方優先協議的標志.Alice檢查這個標志,如果Bob同意發送方優先,那么協議剩余過程按第3節中發送方優先的方式進行.如果標志顯示Bob不同意發送方優先而Alice認為Bob的計算能力不足以在deadline之內解密c,他就可以選擇接收方優先的協議,向Bob發送自己選擇的n-1個獨立隨機值,并且以后的步驟都按第2節中接收方優先的協議進行.反之,如果Alice不愿意采取接收方優先的協議,那么他將此決定通知Bob,如果Bob愿意更改自己的決定,接下來將按發送方優先的協議進行,否則由于雙方都認為對方的計算能力可以在deadline內完成解密運算,并且不愿意承擔由此造成的安全風險,本次信息交換將被取消.協議過程如圖1.其中FLAG1為Bob第一次是否同意發送方優先的標志,FLAG2為Bob在第二次得到通知時是否同意更改決定的標志(1表示同意,0表示否).INFORM為Alice再次發給Bob是否愿意接受發送方優先的標志.其余符號見表1和表2.本協議根據信息交換雙方的計算能力,選擇采用接收方優先還是發送方優先的公平非抵賴協議,這樣就解決了由于信息發送和接收雙方計算能力不對等而造成的安全問題.協議最多采取兩次協商,增加了信息成功交換的機會.而如果在兩次協商后,雙方均不同意按對方優先的條件來交換信息,本次會話將被關閉.A→B:fEOO,B,lp,c,EOO;B→A:fEOR,A,lp,EOR,FLAG;If(FLAG=1)//B同意發送方優先,下同2.2{Label:A→B:fk,B,lp,kB→A:fr1,A,lp,1,r1A→B:fr1,B,lp,EOOri……B→A:frn-1,A,lp,n-1,rn-1A→B:frn-1,B,lp,EOOrn-1B→A:fk,B,lp,n,EORkA→B:fk,B,lp,EOOkENDSESSION}ElseIf(AagreeB)//A同意接收方優先,下同2.1{A→B:fEOOk,1,B,lp,1,r1,EOOk,1B→A:fEORk,1,A,lp,EORk,1……A→B:fEOOk,n-1,B,lp,n-1,rn-1,EOOk,n-1B→A:fEORk,n-1,A,lp,EORk,n-1A→B:fEOOk,n,B,lp,n,k,EOOk,nB→A:fEORk,n,A,lp,EORk,nENDSESSION}Else(A→B:finform,lp,INFORM)//A再次發給B通知B→A:fflag2,lp,FLAG2;If(FLAG2=1)轉至Label//B同意發送方優先,下同2.2ElseENDSESSION//雙方都不同意對方優先,終止會話圖15tp協議的非抵賴協議的安全性分析公平非抵賴信息交換協議是隨著互聯網業務的發展而出現的一種新的安全需