（应用数学专业论文）关于不可否认协议中第三方的研究.pdf

关于不可否认协议中第三方的研究 任艳丽 摘要：随着开放式网络的迅速发展，安全服务变得越来越重要。对于电子 通信协议，人们提出诸多安全要求，不可否认就是其中之一。由于协议中主体 具有不同的利益出发点，因此有可能根据其自身需要在事后否认所进行的交易 行为，从而给对方造成经济损失，或推卸己方的责任。不可否认协议就是为了 防止不诚实者否认他们参与了某项事务而拒绝承担相应的责任而设计的协议。 在电子数据交易中，借助数字签名与密钥保护技术，发方的否认比较好解 决，但实现收方的否认却很难。所以最初的不可否认协议只是考虑如何迫使收 方返回给发方收到消息的不可否认证据，而未考虑某方有意中断协议是否会占 有优势，即协议的公平性。近年来，人们提出的不可否认协议都在一定程度上 满足公平性。 目前对于不可否认协议的研究，一般有两种：一是双方同时进行( 或接近同时) 的秘密交换；另一种是借助予一个可信第三方( r r p ) 。第一种方法实现起来较为 麻烦，它要求协议双方具有同等的计算能力，这是不现实的，因此大多数协议 是基于一个可信任的第三方( 册) 。本文首先介绍了不可否认协议中的基本定 义，然后对不可否认协议中的册进行了分析，指出了册在i n l i n e 、o n l i n e 、 o f f i i n e 协议中所起的作用，同时也从一个侧面反映了不可否认协议的发展进程。 主要研究成果如下： 1 运用组加密方案构造了一个不含可信第三方的公平的多方不可否认协 议。该协议不是秘密的逐渐泄露，能抵抗外部攻击与内部否认，安全高效。其 中发方拥有一个称为( p u b ) 的公开对外系统，由公告栏、密钥库和记录处三部分 组成。p u b 不同于可信第三方，它从属于发方，不是独立的一方。除记录处 外，发方可以对它进行修改和写操作。公告栏的存在克服了信道传递消息的不 足，记录处的存在使它在发送完消息后，不能随便对公告栏和密钥库进行修改。 2 基于一类新型的c e m b s 设计出一个含透明可信第三方的不可否认协议。 在含脱线可信第三方的不可否认协议中，为了避免网络传输失败给参与方造成 的不良影响，要求力甲生成的不可否认证据与正常情况下通信双方生成的证据 一摸一样，即t f p 是透明的。该协议仅从证据上看不出t t p 是否参与过此次协 议，防止了t t p 的参与暴鼯如协议双方可能有一方不诚实，造成参与方名誉受 损，并且协议具有保密性、有效性、公平性与不可否认性。 3 ，基于门限r s a 数字签名方案，首次提出了一个含多个脱线丁r p 的公平的不 可否认协议。在实际生活中，假设存在可信第三方显然太理想化了，在某些环 境中，即使要找到个脱线的半可信第三方也是很难的。该协议与以前的不可 否认协议相比，特点是把一个t t p 的任务分散到r 个r r p ，减少了对一个t t p 的依赖，还可以检测出不诚实的r r p ，并且实现了t t p 的透明性。 关键词：网络安全数字签名不可否认r r p h r e s e a c ha b o u tt t po f n o n r e p u d i a t i o np r o t o c o l s r a ny a n l i a b s t r a c t ：w i t ht h er a p i dd e v e l o p m e n to f o p e nn e t w o r k s s e c u r es e r v i c e sa r e b e c o m i n g m o r ea n dm o r ec r u c i a lt om a n y a p p l i c a t i o n s p e o p l eh a v ep r o p o s e dal o to f s e c u r er e q u e s t s ，n o n - r e p u d i a t i o ni so n eo ft h e m b e c a u s et h a t p r i n c i p a lp a r t o fa p r o t o c o lh a sd i f f e r e n tb e n e f i ts t a r t i n gp o i n t ，t h e yp r o b a b l yd e n yp r e v i o u st r a n s a c t i o n s a c c o r d i n gt ot h e i ro w n n e e d i tm a y b r i n ga b o u tt h eo t h e rp a r t se c o n o m i cl o s sa n d s h i r ki t so w nr e s p o n s i b i l i t i e s n o n - r e p u d i a t i o np r o t o c o l sa r et h ep r o t o c o l s ，w h i c h g u a r da g a i n s td i s h o n e s tp a r t yd e n i n gt h e i rp a r t i c i p a t i n gi nc e r t a i nb u s i n e s sa n dr e f u s e t ou n d e r t a k er e l e v a n td u t i e s i ne l e c t r o n i cd i g i t a le x c h a n g e s ，i ti se a s yt os o l v et h es e n d e r sr e p u d i a t i o nw i t h t h eh e l po f d i g i t a ls i g n a t u r ea n dk e y - p r o t e c t i o nt e c h n o l o g y , b u ti ti sd i f f i c u l tt os o l v e t h er e c e i v e r s r e p u d i a t i o n t h e r e f o r e ，t h eo r i g i n a ln o n - r e p u d i a t i o np r o t o c o l so n l y c o n s i d e rh o wt of o r o et h er e c e i v e rt or e t u r nt h es e n d e rn o n r e p u d i a t i o no f r e c e i p t e v i d e n c e s ，b u ti t i s i g n o r e d t oc o n s i d e rw h e t h e rc e r t a i n p a r t yw o u l dt a k e o n a d v a n t a g eo rn o ti fh ei sd e s t i n e dt oc h e a t t h a ti st os a y , t h ep r o t o c o l sf a i r n e s s i n r e c e n ty e a r s ，n o n - r e p u d i a t i o np r o t o c o l sa 1 1s a t i s f yf a i r n e s si ns o m e d e g r e e n o w a d a y st h e r ea r et w om e t h o d sa b o u tt h er e s e a r c ho f n o n - r e p u d i a t i o np r o b l e m s o n ei st h a tb o t hs i d e sc a r r yo u ts e c r e te x c h a n g ea tt h es a m et i m e ( o r n e a r i n gs a m e t i m e ) t h eo t h e rn e e d sat r u s t e dt h i r dp a r t y t h ef i r s ti sc o m p l i c a t e dt ob er e a l i z e d b e c a u s et h a ti t r e q u e s t sb o t hs i d e sh a v es a m ec o m p u t i n gc a p a c i t y s oi ti sn o ta r e a l i t y t h e r e f o r em o s to f t h en o n - r e p u d i m i o n p r o t o c o l sa r eb a s e do nat r u s t e dt h i r d p a r t y 。t h i sp a p e ri n t r o d u c e se s s e n t i a ld e f i n i t i o n so fn o n r e p u d i a t i o np r o t o c o l sf i r s t ， a n da n a l y z e st h et r u s t e dt h i r dp a r t y , a n dp o i n t so u ti t sf u n c t i o ni ni n l i n e ，o n l i n ea n d o f f - l i n ep r o t o c o l s t h em a i nc o n t r i b u t i o n sa r ef o l l o w s ： l + p r o p o s i n gaf a i rm u l t i - p a r t yn o n - r e p u d i a t i o np r o t o c o lw i t h o u tt r u s t e dt h i r d p a r t yu s i n gg r o u pe n c r y p t i o ns c h e m e w i t h o u tb i t - b y b i te x c h a n g e ，t h ep r o t o c o lc a n r e s i s ta t t a c k sf r o mo u t s i d e r sa n dd e n i a lf r o mi n s i d e r s ，s oi t i ss e c u r ea n de m c i e n t t h es e n d e rh a sap u b l i cs y s t e mn a m e da sp u b ，a n di ti s c o m p o s e do f b u l l e t i nb o a r d ， m k e ys t o r a g e a n dr e c o r d i n gp l a c e p u bi sd i f f e r e n tf r o mt r u s t e dt h i r dp a r t y ，a n di t b e l o n g st ot h es e n d e ra n d i ti sn o ti n d e p e n d e n t n l es e n d e rm a y r e c t i f ya n dw r i t et o i t e x c e p tr e c o r d i n gp l a c e t h e e x i s t e n c eo fb u l l e t i nb o a r dc a no v e r c o m et h e d e f i c i e n c y o fc h a n n e l s ，a n dt h e r e c o r d i n gp l a c e c a n g u a r da g a i n s t t h es e n d e r r e e t i f y i n gb u l l e t i nb o a r da n dk e ys t o r a g ea f t e rs e n d i n gm e s s a g e s 2 d e s i g n i n gan o n r e p u d i a t i o np r o t o c o lw i t hat r a n s p a r e n tt t p o nt h eb a s i so f an e wc e m b s i nm a n yn o n - r e p u d i a t i o np r o t o c o l sw i t ho f f - l i n et r u s t e dt l l i r dp a r t y , t h e yr e q u e s tt h a te v i d e n c e so ft t pa r es a m et ot h o s eo fb o t hs i d e si na b n o r m a l s i t u a t i o n si no r d e rt oa v o i db a dp u b l i c i t yo fn e t w o r kt r a n s m i s s i o n sf a i l u r et ob o t h s i d e s t h a ti st os a y , t h et t pi s t r a n s p a r e n t t k sm e a n st h a ta t t h ee n do ft h e p r o t o c o l ，b yo n l yl o o k i n ga t t h ep r o d u c e de v i d e n c e s ，i ti s i m p o s s i b l et o d e c i d e w h e t h e rt h et t pd i di n t e r v e n ei nt h ep r o t o c o le x e c u t i o no rn o t i tg u a r da g a i n s tt h a t t h ei n t e r v e n t i o no ft h et t p m a y b ed u et oac h e a t i n gp a r t ya n de x e r tab a d p u b l i c i t y a n dt h ep r o t o c o lh a ss e c u r i t y , e f f e c t i v e n e s s ，f a i r n e s sa n d n o n - r e p u d i a t i o n 3 af a i rn o n - r e p u d i a t i o np r o t o c o lw i t hm a n yo f f - l i n et t p sb a s e do bar s a d i g i t a ls i g n i t u r es c h e m ei s f i r s tp r o p o s e d s u p p o s i n gt h ee x i s t e n c eo ft t p si st o o i d e a lt ob er e a l i z e di nr e a ll i f e i ti sd i f f i c u l tt of i n da no f f - l i n es e m i - t r u s t e dt h i r d r r pi ns o m ee n v i r o n m e n t s i nc o n t r a s tt ot h ep r e v i o u sp r o t o c o l s 。i td i v e r t so n e r r p st a s kt ott t p , a n dd e c r e a s e st h ed e p e n d e n c eo ft h ep r o t o c o lt oo n e1 t r p i t c a nt e s td i s h o n e s tt t p s ，a n di tr e a l i z e st t p st r a n s p a r e n c y k e y w o r d s ：i n t e r a c ts e c u r i t yd i g i t a ls i g n a t u r en o n - r e p u d i a t i o n r r p 学位论文独创性声明 y 7 2 8 二9 7 本人声明所呈交的学位论文是我在导师的指导下进行的研究工作及取得的研 究成果尽我所知，除文中已经注明引用的内容外，论文中不包含其蚀个人已经发表 或撰写过的研究成果，也不包含为获得陕西师范大学或其它教育机构的学位或证 书而使用过的材料对本文的研究儆出重要贡献的个人和集体，均已在文中作了明 确说明并表示谢意 作者签名，丝抱透丑目掰；2 丛堕：垒 学位论文使用授权声明 本人同意研究生在校攻读学位期间论文工作的知识产权单位属陕西师范大学 本人保证毕业鸯校后，发表本论文或使用本论文成果对署名单位仍为陕西师范大 学学校有权保留学位论文并向国家主管部门或其它指定机构送交论文的电子版 和纸质版，有权将学位论文用于非赢利目的的少量复制并允许论文进入学校图书 馆、院系资料室被查阅l 有权将学位论文的内容编入有关数据库进行检索；有权 将学位论文的标题和摘要汇编出版 作者签名： 第一章绪言 近十年来，开放式网络的发展导致了一种新型的交易活动一电子商务的迅 速兴起。狭义的电子商务是指电子交易，即通过提供的通信手段进行商业交易， 如网上购物，电子支付，网上预定等【1 l 。不过，要让两个身处异地的主体或代 表主体的计算机终端协同完成一次交易或一项任务，需要规范和统一通信系统 中各参与方的各种行为，这些标准和规范就是网络通信协议忙i 。 1 1 背景介绍 随着网络应用的不断深入和电子交易的实际要求，人们对电子通信协议提出 诸多安全要求，如认证性、机密性、完整性、不可否认性等。其中，认证性、 机密性、完整性已经得到人们的广泛研究，关于不可否认性的研究是近些年才 开始的。 不可否认协议( 又称反拒认协议) 就是为了防止不诚实者否认他们参与了某 项事务而拒绝承担相应的责任而设计的协议。我们称此防止参与方抵赖的性质 为不可否认性。不可否认主要分为两类：发送者不可否认和接收者不可否认。 发送者不可否认保证消息的发送者事后不能否认他发送过此消息；接收者不可 否认则保证接收到消息的方不能否认他确实接收过此消息。公平的不可否认 还要保证在协议执行过程中通信各方始终处于平等的位置上，不允许其中一方 比其余任何一方具有更大优势。因为这种优势的存在可能导致具有优势的方 事后进行抵赖，使处于弱势的一方蒙受损失。 早期的不可否认只是作为公平交换协议及认证邮件协议应满足的一个性质 被提出来，专门为了实现不可否认性作为个独立的协议进行研究始于二十世 纪九十年代末期。因为在非面对面的异构网络中，先收到消息的一方总可以不 回复发方而否认自己曾收到过该消息，所以电子数据交易的收发方之间总存在 收发消息的一步或一6 f f 不公平，导致电子消息与收到该消息的不可否认证据在 异构网络的交换成为一个棘手的问题，这也正是我们研究不可否认协议的原因 所在。 在电子数据交易中，借助数字签名与密钥保护技术，发方的否认比较好解 决，但实现收方的否认却很难。所以最初的不可否认协议只是考虑如何迫使收 方返回给发方收到消息的不可否认证据，而末考虑某方有意中断协议是否会占 有优势，即协议的公平性。后来人们发现不可否认协议必须实现公平性，否则 连不可否认性也不能保证。近年来，人们提出的不可否认协议都在一定程度上 满足公平性。我们定义公平的不可否认协议为：若交易双方都诚实且协议正常运 行结束后，发方与收方均拥有不可否认证据，达到交易的目的：若协议非正常结 束，也不会使一方比另一方占有更大的优势，即诚实的参与方不会受骗或蒙受 损失。交易结束后，若一方否认发送或接收过消息，仲裁机构可根据抱怨方提 供的不可否认证据明确地判决纠纷，确认或驳回该方的申诉。 除不可否认协议外，文件交换协议，签合同协议及认证邮件协议同样需要 满足公平性。早期提供公平性的协议基于期望消息的逐渐泄露。1 3 , 4 1 这些协议要 求通信双方具有相同或相关的计算能力，所以实践起来很不现实，而且协议经 常需要大量的消息传递。概率协议的出现改善了这一现状，1 3 , 6 1 它不需要双方有 相同的计算能力，但传递消息的数目仍对协议的安全性至关重要。不可否认协 议实现公平性的另一个方法是使用一个可信任的第三方( i m p ) 。首先使用这种方 法的协议基于一个i n l i n e 力甲【，1 ，它作为一个传递中介，参与协议的每一步执行， 但是玎 p 过多的参与容易造成通信和计算瓶颈。为了减少订p 的参与，文献r 8 ， 9 】使用了o n l i n e 丌p ，z 了- p 参与协议的执行，但不介入每次消息的传递。后来， o f f i i n e 册的提出更好地解决了这个问题。m i c a l i 1 0 和a s o k a n 1 l 】分别在认证 邮件协议和公平交换协议中使用了q 豁糯乃p ，协议正常进行时刃p 不参与协 议，只有在一方不诚实或通信中断时才参与协议，这种使用o f f l i n e 订 p 的协议 也成为优化协议。很快这种协议也在不可否认协议中得到实施。1 1 2 - 1 t l 。最近， 又有人提出使用t r a n s p a r e n t 力p ，在协议结束后，仅从证据上看不出乃p 是否 参与协议。这个性质在电子商务协议中是很有用的。因为t r a n s p a r e n t 刀p 参与 协议可能是由于某一方不诚实，有意欺诈，也可能是由于网络传输失败，使用 t r a n s p a r e n t 丁7 p ，可以避免对协议参与方造成不良的社会影响。另外，作者首次 提出了协议可以使用多个刀甲，以前一个t i p 的任务可以由多个t t p 协调完成， 降低了可能由t t p 带来欺骗的可能性，协议还可以检测出不诚实的册。并且 咒p 是透明的。 本文首先介绍了不可否认协议中的基本定义。然后对不可否认协议中的 力p 进行了分析，指出了力甲在i n l i n e 、o n l i n e 、o f f i i n e 协议中所起的作用，同 时也从一个侧面反映了不可否认协议的发展进程。 2 1 2 基本定义 1 2 1 通信信道 一般说来，信道可分为三种：不可靠信道，可恢复信道与可操作信道。在不 可靠信道中，通信没有保证，数据可能丢失。在可恢复信道中，数据在有限但 不确定的时闯内到达。也就是说，数据可能被拖延，但最终传送成功。在可操 作信道中，数据在一已知的、确定的时间内到达。显然，在异构网络中是不现 实的。 1 2 2 基本概念 收方不可否认一个不可否认协议能实现收方不可否认当且仅当他能为发方生 发方不可否认 概率公平性 弱公平性 强公平性 真正的公平 时效性 成不可否认证据，仲裁者由此证据可判断收方是否收到过此消 息。 一个不可否认协议能实现发方不可否认当且仅当他能为收方生 成不可否认证据，仲裁者由此证据可判断发方是否发送过此消 息。 在协议执行末，协议实现强公平性的概率大于等于l 一占，其中占 为一个无穷小量。此类协议不需引进力甲且能保证协议实现高 概率的公平性。 指该协议或者能提供强公平性，或者某参与方通过不正当手段 获得相对其余各方的优势，其余参与方都能向仲裁方证明该方 的不正当行为，从而抵消该方获得的优势。 指协议执行完毕后，要麽发方拥有收方不可否认证据且收方拥 有发方发送的消息及发方不可否认证据，要麽双方均得不到任 何有价值的消息。 指协议能提供强公平性且当交换成功时协议中产生的证据与交 易方式无关。 指所有诚实的的参与方都能在一有限的时间内在协议的某执行 点上终止协议而无损公平性，所以又称可终止性。该性质使得 参与方能够在一有限的时间内自主结束协议，避免了某主体不 知道协议是否结束或自己终止协议能否保证公平性而被动无限 可追究性 1 2 3 乃p 的参与 i n l i n e 乃p o n l i n e p o f l l i n e 玎 p t r a n s p a r e n t 力甲 期等待的这种情形，确保协议具有使用价值。 指某个主体能向第三方证明另方对某个消息负有责任。 在协议中刀甲将一方接收的消息转发给另一方，充当每一条 消息的传递中介，而交换主体之间不进行任何消息的交换。 在协议进行过程中z 7 p 参与协议，但不是每次都介入消息的传 递。 在正常情况下丁了不介入协议，只有在某方不诚实或网络失败 等异常情况下才参与协议，帮助生成证据，保证协议的公平性。 通信异常时，7 7 p 参与协议，生成与收发双方一模一样的证 据。这样，仅从证据上看不出乃甲是否参与协议。 完全可信第三方完全可信第三方本身不会进行欺诈，而且不会与通信一方联合 起来欺骗其余各方。 半可信第三方半可信第三方不会与通信一方联合起来欺骗其余各方，但它本 身可以进行欺诈。 1 3 预备知识 1 3 1 一类新型的c e m b s c e m b s ( c e r t i f i c a t eo fe n c r y p t e dm e s s a g eb e i n g a s i g n a t u r e ) 是文献 1 5 中提出的一种重要的密码构造部件，它在构造公平交换协议中具有重要的应用 价值。构造a 嬲的目的是让消息m 的接收方确信：某个加密的消息c 确实是 发送方对消息肘的签名( 设签名为s ) ，接收方却无法获得这个真实的签名s ： 但是，借助于一个可信第三方( t i p ) ，接收方可以获得该真实的签名s 。 本文用到的新型c e m b s 的构造方法使用了r s a 密码体制，其基本思想是利 用e 次根的可验证加密| 1 6 , t ? l 。此类新型c e m b s 的构造过程如下所述： 令p = r s a ，s = 兄姒 系统初始化 系统的初始化阶段主要是乃p 生成自己的公开指数和r s j 公开模( 注意： t t p 无需生成对应的秘密指数，也就是说册没有必要生成对应的私钥) ，一和 四分别生成自己的签名用密钥对的过程。其过程如下所示： 丌p 生成自己的公开指数e m 和r s a 公开模n t t p ，其中：p m 与庐( 7 7 p ) 互索 彳生成自己的签名用密钥对p “和s l ，其中：p k = ( e a ，n ) ，s k j = ( d a , ) b 生成自己的签名用密钥对p 和j k ，其中：肚。= ( e b ) ， s k = ( d 日，疗日) 需要说明的是：删公钥的真实性和完整性既可以使用p 目中的公钥证书 来保证 1 8 1 ，也可以使用其他的物理分发技术来保证，在此不复赘述a 为了使系统正常工作，除了生成以上的基本参数之外，刀甲还需要为爿和 丑分别生成一对辅助e i g a m a l 密钥对【1 9 ，2 “，这些辅助的密钥对用于c e m b s 证书 c e r t 的生成过程中。其生成过程如下： 为了表示的方便，我们记m 。= n , r , ex 啊， 则有n 册一= 1 7 - p xr l ，舯口= n t t e x n 占 册生成一个生成元乳e z 怖。，g 。的阶比较大， 册随机选择一个钆， 乃z 怖，乃保密：门1 p 计算y = g “m o d 册j ，将n 和乳公开乃p 公 开一的辅助公钥( _ y 。，乳，聊j ) ，而保密一的辅助私钥( ：j ，朗，矾，聊j ) 同理， t p 生成一个生成元g 口e z ，g b 的阶比较大刀p 随机选择 一个，z 。，保密：t p 计算儿= g 口“r o o d ，口，将y 日和踟公开。 刀? 公开口的辅助公钥( 蜘，岛，_ 。口) ，而保密丑的辅助私钥 ( ，y b 如，。) 。 签名 设待签名的消息为肘，a 对该消息的签名为s ，签名过程如下： s = s i g n ( m ，s k ) = ( ( 肘) ) “r o o d n 这里，日是一个公开的、赢强度的单向h a s h 函数日；： o ，1 ) 一 o ，l ，- 的 输出长度f 至少为1 2 8 比特在本文下面的叙述中，h 的含义相同。不复说明。 加密 设一使用力甲的公钥蹦m 对s 加密后的密文为c _ 。a 进行如下计 算：c = ( 胀m ，s ) = j ”m o d 册。 这里需要特别说明的是：上式中的j 剐加密运算不是在传统的环z 。中进 行的，而是在。中进行的。从上式我们可以看出，s 实质上是c 一在乙。中 的一个p 。次根。 c e m b s 的生成 4 在生成c e m b s 的过程中需要用到乃p 为其生成的e i g a m a l 辅助公钥 ( y 。，9 4 ，n ) 。a随机选取一个 女，k z ， ：计 算：厂= ( g j ) m o d m j = s ( y 4 ) m o d m ，_ 实质上，( y ，d ) 加密了c 。在。中的一个p 。次根( 即a 对消息m 的签名 s ) 。为了向b 证明这一点，彳随机选取国e ( o ，1 ，f2 t 篇j ：这里，是上 面描述中提到的h a s h 函数的输出长度，占为一个安全参数，建议占i 拍j 的值取 f z 。彳计算： c = h ( c l l y 占| | g j 4 m o d 册j l lj ，j 。”m o d 聊，j ) ，= 出一c k 令c e r t = ( ，占，r ，c ) ，由上可以看出c e r t 的结构十分简洁。 c e m b s 的验证 曰使用 肘，c a ，c e r t ) 来进行如下检查： c = 日( c a0y 忪g ar y m o d m 0y _ 怖( j ”q ) r o o d j ) c a = ( 片( m ”r o o d n 如果上述两式成立，则表明c e r t 是c 。的c e m b s 证书。由文献 2 1 可以知 道：这实际上是爿和b 之间的一个统计零知识协议。【矧 在上面所给出的新型c e m b s 的构造和验证过程中，仅仅涉及了少量的r s a 运算、离散对数运算以及h a s h 函数运算，从而使得它在实际的密码工程中有很 强的实用性。 1 3 2 门限r s a 密码方案 r s a 签名体制 r s a 签名体制1 2 3 1 是美国麻省理工学院三位教授r i v e s t ，s h a m i r 及a d l e m a n 提出的，被视为现今民间及商业上使用最广泛的公开密钥密码系统及数字签名 系统。 密钥产生 ( 1 ) 每位使用者，如4 ，任意选择两个大素数p 。及钆，并求出其乘积 n = p q a ( 2 ) 任意选择一接数e j 使得e 。与互素，p 。为加密密钥，并求出在l 中 的乘法逆元以，即e a d 。；1 r o o d t a 。根据欧拉定理，指数函数在模中所有元 素阶的最小公倍数乃= i c m ( p 。- 1 ，q - 1 ) 。 ( 3 ) 4 将( ，。) 公布为其公开密钥，并将d 秘密保存为其私有密钥。事实 上，p 。，q 可以毁去不用，以增加安全性。 6 数字签名 设a 欲将文件m 签名，则a 利用其秘密密钥d 。，对m 加以签名得签名文s ： 签名：d ( m ) = s = 脚“( m o d n j ) 并将m 与签名文s 送给曰。口收到m 与s 后，利用a 的公开密钥( e 。，n a ) 进 行验证： e a ( s ) = s “= m ( m o d n a ) 若d = 脚。，则验证正确，否则验证失败。 由于任何人均可利用a 的公开密钥进行验证，且只有一知道d 。来产生s 。 因此，当彳与b 发生争论时，仲裁者可以做出公正的判断。 门限数字签名 门限签名体制是数字签名体制与秘密共享方案结合的产物。在一个( ，) - 门 限签名体制中，签名密钥d 被划分为，个密钥份额，分别由，个参与者或份额持 有者日，只鼻掌管，当且仅当t 个或更多个份额持有者共同合作，可以完成签 名，但是，简单地利用( f ，) 门限秘密秘密共享方案实现密钥d 的这种分享是不 恰当的。因为，当需要利用该密钥对某文件签名时，该密钥不允许被恢复，否 则密钥就会被签名的执行者知晓，因而以后可以单独签名，这是不行的。为了 真正实现密钥合理的分散管理，必须有这样一种机制，使得当参与签名的份额 持有者足够多时，他们可利用所掌握的密钥份额计算“部分签名”，这些部分签 名可用来生成真正的签名，而不泄露任何有关密钥或密钥份额的有用信息。现 在已有许多方案可有效实现这种门限签名体制，并能抵抗外部敌人的各种攻击。 但是，如何防止合法的份额持有者对系统的恶意行为是一个长期困扰人们的问 题。 文献【2 4 】是门限签名方案具有开创意义的研究成果，其中引入了r s a 门限签 名体制。文献 2 5 n 对这一体制作了进一步研究与探讨，文献【2 6 】针对前述体制 的缺点，提出了一个更为有效的方案。文献 2 7 1 以文献【2 6 】中的方案为基础，建 立可抵抗恶意份额持有者攻击的门限签名方案。作者运用文献 2 7 v p 方案，提出 了一个含多个可信第三方的不可否认协议。 1 4 论文章节安排 第二章：介绍了无需t p 参与的不可否认协议，其中有早期的电子签合同协议， 还有作者提出的一个协议。 第三章：介绍了利用i n l i n e 与o n l i n e 刀的不可否认协议，其中有c o f f e y s a i d h a 7 协议、挂号电子邮件协议，还有一个是基于公告牌的反拒认协议。 第四章：介绍了使用脱线m 的不可否认协议，第一个协议是目前提出的第一 个公平的不可否认协议，但它不满足时效性。另一个协议以带盲密文 的可验证加密为基础，使协议一方可以单方面终止协议却又不破坏公 平性。 第五章：介绍了使用透明刀? 的不可否认协议，第一个协议使用一个基于g p s 方案的数字签名，是一个双方不可否认协议：第二个协议基于一类新型 的c e m b s ，是一个多方不可否认协议。 第六章：介绍了使用多个册的不可否认协议。在协议中，由一个册完成的 任务，只能由t 个t t p 协调完成，而且可以从，个册中任意选取，个可 信任的册进行交互，并且玎p 是透明的。 本章小结 本章主要介绍了不可否认协议的研究背景、研究现状和研究意义，给出了不 可否认协议中的基本定义，总结了各种类型的力甲在不可否认协议中的作用， 并对论文的章节安排作了简要介绍。 8 第二章无需御的不可否认协议 早期的无需力甲且能实现不可否认的协议是在公平交换协议和电子签合同 协议的框架中给出。在8 0 年代中期，公平交换协议使双方间秘密交换得到迅速 发展，其基本思想是双方轮流发送消息的比特串( 需设双方交换的消息等长) ，直 到交换完最后的比特串，它要求交易双方的计算能力相同。而在实际生活中， 这种假设显然太强。 2 1 电子签合同协议 1 9 9 0 年，b e n o r 等人在电子签合同协议中提出特权交换垆】。其基本思想 是双方协商好所要签定的合同内容，发方发送一签名消息，声称以概率 p = a ( o a 1 ) 认可合同有效，收方选一8 ( 0 占 n r s ：e o r ( 4 ) n r s a ： 乙) e ( 5 ) 爿on r s ：“。，e 0 0 ，p g o r f 。 f ( 6 ) n r s 嚣： 6 ，p e o r x 一) ( 7 ) 口叶t s a ： s p e o r x ( 8 ) t s n 斗b ： e o r ( 9 ) 0 _ n r s ： 6 ，e o r k 。 ( 1 0 ) i v r s 哼b ： e 0 0 也 ( 1 i ) n r s a ： e o r 也 在协议的第1 步，a 生成p e 0 0 ，并用t s a 的公开密钥加密后发送给t s a 。 在c o f f e y 一踟瑚铀协议中，除第3 步外，所有的消息均用接收者的公开密钥加密 1 4 传送。 第2 步，t s a 对pe o o 力n 上时戳并签名，形成完全的e 0 0 ，然后发送给 a 。 第3 步，a 向n r s 发送e o r ，请求进行与b 的通信。 第4 步，n r s 生成临时值圯，并发送给一。 第5 步， a 将 n o ，e 0 0 ，p e o r ) 签名后发送给n r s 。 第6 步，n r s 通过m 校验e 0 0 的新鲜性后，生成一个临时值m 。n r s 对 。，p e o r 签名，并发送给b 。 第7 步，占对 p e o r 签名，并发送给t s a 。 第8 步，t s a 对spe o r 加入时戳并签名。形成完全的e o r ，然后发送 绘口。 第9 步， 口将 n b ，e o r ) 签名后发送给n r s 。n r s 通过m 校验e o r 的新 鲜性。 第1 0 步与第1 l 步n r s 分别向b 与a 发送e 0 0 和e o r 。 该协议定义了两种不同的力甲角色，即提供时戳中心服务的刀? 角色t s a ， 提供非否认证据和可追究服务的z 了p 角色n r s a 4 1 。 时戳中心承担的任务比较明确，也比较简单。协议中共有四个步骤与t s a 相 关，即第1 、2 、7 、8 步。从分析知，z 黝的任务是在证据中加入可信时戳， 形成完整的e 0 0 和e o r 。其操作流程是，协议主体一或b 向t s a 提出服务请求 并向t s a 发送消息m ，t s a 对m 加入可信时戳，形成竹= ( 脚，t s a ，时戳) ，对打签 名后发送给主体爿或曰。 n i t s 则提供通常的肿服务，保证协议的可追究性与公平性等。由于 c o f f e y s a i d h a 协议是i n l i n e 肿协议，聊参与协议的每一步运行，因此刀 p 的负担很重。当协议正常结束时，丑获得e 0 0 ，a 获得e o r 。因此， c o f f e y s a i d h a 协议满足可追究性。在通信信道可靠的情况下，最终协议将正常 终止。此时，占通过e 0 0 可以证明发送了m 。a 通过e o r 可以证明收到了m 。 因此， c o f f e y s a i d h a 协议满足公平性。在通信信道不可靠的情况下协议的 第l o 步与第1 l 步有可能未成功执行。此时，或者b 收到e 0 0 而a 未收到e o r ： 或者a 收到e o r 而曰未收到e 0 0 。所以，c o f f e y s a i d h a 协议不满足公平性。 此外，由于在协议执行过程中，m 必须暴露给册，因此， c o f f e y s a i d h a 协 议未能有效保护a 与曰之间传送消息的隐私性。 另外c o f f e y 一勋i 砌盯协议的效率很低。因为t 除第3 步外，所有的步骤都进 行公开密钥加密运算。另外，彳传送给口的消息，需要通过卵中再传送次， 进一步降低了协议的效率。 为了进一步减少的参与，认证邮件协议【3 5 】与电子支付协j , s 1 3 6 首先使用了 o n l i n e 册。下面介绍使用o n l i n e 肿的不可否认协议。 3 2c m p l 协议 1 9 9 5 年，d e n g 等人提出了挂号电子邮件协议c m p i1 3 6 j 。协议如下： e 0 0 = f 爿，且玎t p ，脚) n e o r = a ，且z ”， ( 珊) f 一 e o d = ( 口，i n ，e o r f 。 o ) a _ b ：爿，最刀只敝掰) 扎， e 0 0 i ( 2 ) b 寸册：e o r ，m 。， e o o ( 3 ) t t p 啼b ： e 0 0 f 膏。 ( 4 ) t t p 斗a ：e o d ，e o r 在协议的第1 步，a 生成发送埘的非否认证据e 0 0 ；生成随机会话密钥k ， 并用七将e 0 0 加密；计算邮件m 的摘要 沏) ；用t i p 的公开密钥加密k ；然后将消 息( 1 ) 发给曰。第2 步，口生成收到满足h ( m ) 的消息的非否认证据e o r ，并将 消息( 2 ) 发送给刀甲。乃p 收到消息( 2 ) 后。通过两次解密运算获得e 0 0 ，并校 验彳签名的有效性。同时，t t p 对e o r 校验丑签名的有效性。然后，玎p 通 过由e 0 0 获得的m 计算摘要h ( m ) ，并与e o r 中的h ( m ) 进行比较。如果二者一 致，则册在第3 步与第4 步分别向丑与a 发送消息( 3 ) 和( 4 。 在挂号电子协议中，至少需要交换4 条消息。邮件发送方爿至少需要发送一 条包含( 坍，e 0 0 ) 的消息。邮件接收方曰至少需要发送一条包含e o r 的消息。作 为可信投递发方的力p ，担任交换( m ，e o o ) 和e o d 的角色，至少需要发送两条 消息。当协议正常结束时，占获得e 0 0 ，a 获得e o