（应用数学专业论文）不可否认协议及其逻辑验证.pdf

不可否认协议及其逻辑验证 杜红珍 摘要开放网络上的电子商务已成为现代经济活动的主要形式之一，但电子商 务基于i n t e r n e t 这样的异构环境，通信实体间互不信任，且彼此的利益、目标不相 同因而通信实体可根据其自身利益对己发生行为进行否认，且否认已成为电子 交易中最主要的威胁之一当出现此类情况时就需要网络提供不可否认服务，该 服务主要是通过不可否认协议来实现的所以设计安全实用的不可否认协议将推 动电子商务的进一步开展 本文对不可否认协议的研究背景、研究现状及其逻辑验证方法进行了介绍：对 协议涉及到的概念、分类、性质以及验证工具等进行了列总；分析了已有的几个 典型协议的设计思路、安全性；并重点提到了z g 不可否认协议的形式化分析；谈 及到优化的不可否认协议及其设计；最后，涉猎到公平交换协议，它是对不可否 认协议的推广 本论文的主要研究成果如下： 1 目前较实用的不可否认协议都离不开一个可信第三方或半可信第三方的介 入但实际网上交易时，假定存在可信第三方显然理想化了在某些环境中，即 使半可信第三方也不易找到另外，凡有一个第三方介入的协议第三方都极易受 网络h a c k e r 的攻击，若一旦第三方受到破坏，则通信崩溃，损失很大针对这些 问题，基于一个广义的秘密分享方案，首次提出一个带多个第三方的不可否认协 议，把给一个第三方的任务分散给多个第三方，大大减小了以往协议中一个第三 方受攻击的风险，同时对这多个第三方的可信度几乎无要求，只需符合本文的入 侵模型假设，故这样的第三方处处可得 2 基于一个新型的消息恢复的数字签名方案，提出一个安全高效且节省网络 资源的公平不可否认协议它具备的基本性质有：公平性、不可否认性、可终止 性、实用性、高效性、机密性等另外，协议依赖的第三方是离线工作的，它只 在意外情况下才介入，且不必完全可信因为通信实体之间交易的信息对它保 密还有，它的失误能被检测到，故该协议可实现网上交易的最优化 3 针对目前对多方公平交换协议研究很薄弱这一事实，基于z h e n g 的签密方 案，提出了一个安全高效的带离线半可信第三方的多方公平交换协议该协议具 有以下特点：它是个真正公平的多对多型( m a n y t o m a n y ) 交换协议； 涉及的第三方是离线半可信的，其失误能被检测到；它的交换拓扑对外保密( 包 括对第三方) ；与已有的同类协议相比，它交易过程灵活，更符合实际，且协议 运行只需较小的带宽，节省了网络资源，从而大大提高了其实用价值 4 构造了一种安全、高效的带盲密文的c e m b s ，基于此带盲密文c e m b s 设计出一个新型多方公平交换协议这是一个真正公平的多对多型交换协议，其 第三方是离线半可信的，且主体间交换的信息与协议的交换拓扑对外是保密的( 包 括第三方) ，协议的效率与安全性基于构造的c e m b s 的效率与安全性之上与已 有同类协议相比，它交易过程简单灵活、计算复杂度小、运行效率高 关键词：电子商务不可否认性 公平性签密c e m b s i j n o n - r e p u d i a t i o np r o t o c o l sa n dt h e i rl o g i cv e r i f i c a t i o n d uh o n g z h e n a b s t r a c t ：e l e c t r o n i cc o m m e r c eo nt h ei m e m e th a sb e e no l l eo fm a i na c t i v i t i e si n c o n t e m p o r a r ye c o n o m i cl i f e b u te - c o m m e r c ei sb a s e do nt h ei n t e r a c tw h i c hh a sl i t t l e s e c u r i t y p a r t i c i p a n t so fe l e c t r o n i ce x c h a n g e sc a nn o tt r u s te a c ho t h e r m o r e o v e r , t h e i r i n t e r e s t sa n dg o a l sa y ed i f f e r e n t f o rg a i n i n gm o r ea d v a n t a g e s , t h e yo f t e nr e p u d i a t ew h a t t h e yh a v ed o n ei ne x c h a n g e s n o w , r e p u d i a t i o nh a sb e c o m eo n eo ft h em a j o rt h r e a t si n e c o m e a e r c e i no r d e rt os o l v et h i sp r o b l e m ，t h ei n t e m e th a st op r o v i d en o n - r e p u d i a t i o n s e r v i c eb a s e do nn o n - r e p u d i a t i o np r o t o c o l s s ow e l l d e s i g n e dn o n - r e p u d i a t i o np r o t o c o l s w i l lp r o m o t et h ef u r t h e rd e v e l o p m e n to f t h ee l e c t r o n i cc o m t n c r c e t h i sp a p e rm a i n l yi n t r o d u c e sn o n - r e p u d i a t i o np r o t o c o l sf r o mf o l l o w i n ga s p e c t s ： b a c k g r o u n d , t h ec u r r e n tr e s e a r c hs i t u a t i o na n dl o g i cv e r i f i c a t i o nm e t h o d i ta l s o s t m m a a r i z e st h eb a s i cc o n c e p t s ，c l a s s i f i c a t i o n ，p r o p e r t i e sa n df o r m a la n a l y s i st o o l s a s s o c i a t e dw i t hn o n r e p u d i a t i o np r o t o c o l s i ta n a l y z e st h es e c u r i t yw e a k n e s s e sa n dt h e s e c u r i t yr e q m r e m e n t so fs e v e r a lt y p i c a d n o n r e p u d i a t i o np r o t o c o l s i te m p h a s i z e sf o r m a l a n a l y s i so fz h o n g o l l m a n nn o n - r e p u d i a t i o n i td i s c u s s e st h ed e s i g no fo p t i m i s t i c n o n - r e p u d i a t i o np r o t o c o l s h it h ee n d , t h ep a p e rd a b b l e si n f a i re x c h a n g ep r o t o c o l s w h i c ha r ce x p a n s i o n so f n o n - r e p u d i a t i o np r o t o c o l s t h em a i nc o n t r i b u t i o n sa r ea sf o l l o w s ： ( 1 ) c u r r e n t l yu s e dn o n - r e p u d i a t i o np r o t o c o l sa l w a y si n v o l v eat r u s t e dt h i r dp a r t yo r s e m i - t r u s t e dt h i r dp a r t y b u ts u p p o s i n gt r pi si d e a lt ob er e a l i z e di ne c o m m e r c e i ti s d i f f i c u l tt of i n das e m i t r u s t e dt t pi ns o m ee n v i r o n m e m s i na d d i t i o n , t h et t pc a n b e e a s i l ya t t a c k e db yh a c k e r s i fi ti ss p o i l e d ，t h ec o m m u n i c a t i o nw i l lc o l l a p s e i nr e s p o n s e t ot h e s ep r o b l e m s ，b a s e do nag e n e r a l i z e ds e c r e t ss h a r i n gs c h e m e ，an o n r e p u d i a t i o n p r o t o c o lw i t hm a n y t h i r dp a r t i e si sp r o p o s e di nt h i sp a p e r i td i s t r i b u t e so n et h i r dp a r t ys t a s kt om a n yt h i r dp a r t i e sa n dr e d u c e st h ep o s s i b i l i t yo f t h et h i r dp a r t yt ob ea t t a c k e di n c u r r e n tp r o t o c o l s m e a n w h i l ei td o e sn o td e m a n dh i 曲r e l i a b i l i t yf r o mt h e s e1 1 1 i r dp a r t i e s ， b u tc o n f o r m a t i o nt ot h ea t t a c km o d e lp r o p o s e di nt h ep a p e r , t h u s ，s u c ht h i r dp a r t i e sa r e e a s i l ya v a i l a b l e ( 2 ) b a s e do nad i g i t a ls i g n a t u r ew i t hm e s s a g er e c o v e r y , w ep r e s e n tan e wf a i r n o n - r e p u d i a f i n np r o t o c o lw i t hf e a t u r e so fs e c u r i t y , e f f i c i e n c ya n de c o n o m i c a lu s eo fn e t l l i r e s o u r c e s i th a st h ep r o p e r t i e so ff a i r n e s sn o n - r e p u d i a t i o n , s e c r e c y , t e r m i n a t i o n , e t c t h et 1 1 i r dp a r t yo f t h ep r o t o c o li n t e r v e n e si n t ot h ee x c h a n g ei nc a s eo f p r o b l e m s a n di t n e e dn o tb ec o m p l e t e l yt r u s t e d ，b e c a u s et h em e s s a g ew h i c hi se x c h a n g e db e t w e e nt h e p a r t i e si ss e c r e tt ot h et h i r dp a r t y i na d d i t i o n , i t sf a u l tc a nb ei d e n t i f i e d s ot h ep r o t o c o l c a no p t i m i z ee x c h a n g e sv i ai n t e r a c t ( 3 ) a tp r e s e n t ，t h es t u d yo fm u l t i - p a r t yf a i re x c h a n g ep r o t o c o l si sv e r yw e a k a i m i n ga ts o l v i n gt h ep r o b l e m ，w ep r e s e n tas e c u r ea n de f f i c i e n tm u l t i - p a r t yf a i r e x c h a n g ep r o t o c o lw i t ho f f - l i n es e m i - t r u s t e dt h i r dp a r t yo l lt h eb a s i so fz h e n gs c h e m e t h i sp r o t o c o lh a st h ef o l l o w i n gp r o p e r t i e s ：i ti sat r u l yf a i ra n dm a n y - t o - m a n y e x c h a n g ep r o t o c o l ；nu s e sa no f f - l i n es e m i - t r u s t e dt h i r dp a r t yw h o s ef a u l t sc a r lb e i d e n t i f i e d ；i tc a nk e e pt h ee x c h a n g et o p o l o g ys e c r e tf r o mt h et h i r dp a r t ya n do t h e r o u t s i d ep a r t i e s ； c o m p a r e dw i t ht h es i l n i l a p r o t o c o l sa v a i l a b l e ，i ti sm o r ef l e x i b l e ， p r a c t i c a la n de c o n o m i c u l ( 4 ) as e c u r ea n de f f e c t i v ec e m b sw i t hb l i n ds e c r e tc r y p t o g r a p hi sd e s i g n e di nt h i s p a p e r b a s e do nt h i sc e m b s ，w ep r o p o s ean e wm u l t i p a r t yf a i re x c h a n g ep r o t o c 0 1 i ti s ar e a l l yf a i rm a n y t o m a n ye x c h a n g ep r o t o c 0 1 i t st h i r dp a r t yi sa l lo f f - l i n es e m i t r u s t e d o n e t h ed a t ae x c h a n g e sa m o n gp a r t i c i p a n t sa n dt o p o l o g yo f p r o t o c o la r ei l n k n o w nt o o t h e r s ，i n c l u d i n gt h eo f f - s t y p i na d d i t i o n , t h ee f f i c i e n c ya n dt h es e c u r i t yo ft h e p r o t o c o ld e p e n do nt h o s eo ft h ec e m b s c o m p a r e d 、稍t 1 1s i m i l a rp r o t o c o l sa v a i l a b l e t h ep r o t o c o lh a ss i m p l ea n df l e x i b l ee x c h a n g ep r o c e s s ，s m a l lc o m p u t i n g c o m p l e x i t ya n d f u n c t i o n se f f i c i e n t l y k e y w o r d s ：e - c o m m e r c en o n - r e p u d i a t i o nf a i r n e s s s i g n c r y p t i o n c e m b s 本文用到的主要记号 x ，y表示两个消息x 和y 的链接 毋( 功用对称密钥k 对数据工的加密，算法可为d e s ，i d e a 等 只( 砷用实体b 的公钥对数据x 的加密，如r s a ，e i g a m a l 加密等 s i g 口( x )表实体b 对数据x 的签名，如d s s ，e 1 g a m a 签名等 日0 )是安全h a s h 函数 爿一b ：x 表实体a 发消息x 给b a 付b ：x 表b 通过向操作从a 处取回消息x a j x ：z 表a 把消息x 组播给集合x 内所有主体 五i ( x )对消息j 利用组加密方案进行加密密文只能由j 集合内主体解密 学位论文独创性声明 y 9 0 0 1 3 9 本人声明所呈交的学位论文是我在导师的指导下进行的研究工作及取得的研 究成果尽我所知，除文中已经注明引用的内容外，论文中不包含其他个人已经 发表或撰写过的研究成果，也不包含为获得陕西师范大学或其它教育机构的学位 或证书而使用过的材料对本文的研究做出重要贡献的个人和集体，均已在文中 作了明确说明并表示谢意 作者签名：拉丝骖日期圣! ! ：牛 学位论文使用授权声明 本人同意研究生在校攻读学位斯闻论文工作的知识产权单位属陕西师范大 学本人保证毕业离校后，发表本论文或使用本论文成果时署名单位仍为陕西师 范大学学校有权保留学位论文并向国家主管部门或其它指定机构送交论文的电 子版和纸质版；有权将学位论文用于非赢利目的的少量复制并允许论文进入学校 图书馆、院系资料室被查阅；有权将学位论文的内容编入有关数据库进行检索； 有权将学位论文的标题和摘要汇编出版。 作者签名：鸯兰! 三参 第一章绪言 随着第三代因特网全球大网格( g g g ，g r i d s ) 的广泛深入开展，人类已迈 向一个信息流行、电子流行、数字流行和网络流行的社会近年来，一种基于i n t e r n e t 上的新型交易活动一电子商务逐渐取代传统的商务活动，已被人们熟知与应用电 子商务【l 】是一种采用数字化电子方式进行商务数据交换和开发商务业务的活动狭 义上即电子交易，多用万维网( w w w ) 提供的通信手段进行交易活动，包括通过 i n t e m e t 买卖产品和提供服务电子商务可实现网上购物、实施电子订货、电子货 币支付和网上支付等 电子商务与传统商务活动相比，其功能强大，内容丰富，优点很多但同时 由于其活动是通过开放式计算机网络进行的，交易方之间不直接见面，传统的纸 质的签字、盖章票据已被电子文档、电子数据签名等替代而众所周知，电子文 档的易拷贝型、数字签名的易生成性及电子货币的匿名性等等都使网上交易充满 安全隐患这些安全问题能否解决己成为电子商务进一步开展的关键所在那么 仅仅依靠国家政策、法律手段来梓决是不现实的而密码技术是计算机网络信息 安全的基础，所以借助密码学方法，设计良好的网上通信协议，通过协议规范和 统一通信实体的各种行为，再加上政策、法律的约束，那么一个健康、安全、有 序的网上交易环境便可形成 随着电子商务的进一步开展，人们对网上通信协议提出了诸多安全要求，如 机密性、认证性、完整性、公平性、匿名性以及不可否认性等这些安全要求使 得利用密码学知识设计满足要求的密码协议愈显重要，所谓密码协议1 2 j ，是一种分 布式算法该算法定义了两个或多个实体必须遵守的行为、步骤以达到他们特定 的安全目标密码协议针对不同的目的分为密钥交换协议、认证协议、认证密钥 交换协议、电子商务协议等关于密钥交换，认证协议等目前研究较多，本文以 电子商务协议中的不可否认协议为研究对象，对其背景、发展、设计及验证等进 行了分析、总结 1 1 不可否认协议及其形式化分析的发展背景 在电子商务活动中，常有否认情况发生例如：交易的双方通过网络进行商 品交易，买方可能在收到商品后否认其已收到商品从而逃避付费，卖方可能会在 收到对方付费后却否认该事实，从而不用发货或不用承担商品的售后服务、质量 等问题另外如：在异构网络中进行电子信息的交换时，网络通信中断或交易主 体不诚实的情况时有发生，这样先收到消息的一方总可以不回复对方或否认自己 收到该消息，所以在这种情况下收、发方之间会存在收发消息的一比特或一步不 公平，当出现此类问题时则需要网络提供不可否认服务来解决不可否认服务主 要是通过设计不可否认协议来实现的所谓不可否认协议( 反拒认协议、非否认 协议) ，就是为了防止不诚实者否认他们参与了某项事务而拒绝承担相应责任而设 计的协议把防止参与方抵赖的性质称为不可否认性 3 】( n o n - r e p u d i a t i o n ) 早期的 不可否认性只是作为公平交换协议及认证邮件协议应满足的一个性质被提出 来专门为了实现不可否认性作为一个独立的协议进行研究始于二十世纪9 0 年代 末期，现对不可否认协议研究已取得较多成果 不可否认协议需实现公平性，否则可能无法防止否认公平的不可否认协议， 即在正常情况下如果交易方都诚实且协议正常结束，收、发方均拥有对方的不可 否认证据，达到交易的目的；若协议非正常结束，如通信崩溃或通信主体不诚实， 不会使一方比另一方拥有更多的优势因这种优势的存在可能导致具有优势的一 方事后进行抵赖，使处于弱势的其他方受到损失公平的不可否认协议的执行对 于收发方都是公平的，而且在协议运行结束时应能提供有效的证据用以证明主体 声称的某一行为的出现或不出现是一个不可反驳的事实 密码协议是解决网络安全问题最有效的手段之一，但设计一个能达到安全目 标，又无漏洞、冗余的协议是一件很困难的事情因为目前协议的设计还没有一 套成熟的理论，往往精心设计的协议运行时漏洞百出，达不到预期的设计要求所 以有必要对密码协议进行安全性分析，通过分析判断它是否符合设计要求，能否 达到预定的目标早期的密码协议的安全性分析采用的是非形式化方法，即将各 种已有的攻击方法用在该协议上，看这些攻击对协议能否起作用来检验其安全 性然而，攻击方法是动态的、与时俱进的，非形式化方法只能分析协议是否存 在目前已知的漏洞而无法全面客观的分析协议的安全性 目前研究密码协议的理论与方法主要有：形式化分析方法、可证明安全理论、 零知识证明理论等本文涉及的是形式化分析方法中的逻辑验证，逻辑验证是迄 今为止影响最大，应用最为广泛的协议分析方法 形式化分析 4 1 是指用数学方法描述和推理基于计算机的系统，筒言之，即规范 语言+ 形式推理其主要分为三类：逻辑验证方法、模型检测方法和定理证明方 法最早提出对密码协议进行形式化分析思想的是n e e d h a m 和s e h r o e d e r ，形式化 分析方法的代表作是b u r r o w s 、a b a d i 和n e e d h a m 的工作，他们利用知识和信念逻 辑描述和推理协议这个逻辑系统被称为b a n 逻辑嘲当时这是一个全新的方法， 用一集公式表示协议主体的信念或知识，用一集公式推理规则从原有的公式得到 新的信念公式b a n 逻辑的出现大大激发了应用形式化手段对于分析密码协议方 向的兴趣沿着这个方法，许多逻辑被构造出来如g n y 逻辑【6 】、a t 逻辑【7 1 、s v o 逻辑【8 】等( 这些称为b a n 类逻辑) ；其中s v o 逻辑是集此等逻辑之大成，它由 s y v e r s o n 和o o r s c h o t 提出，汲取了b a n 、g n y 和a t 逻辑系统的优点，具有简洁 的推理规则和公理，它为逻辑系统建立了用于推证合理性的理论模型，可用于对 不可否认协议的分析之中另外，还有为具体的协议设计特定的形式化分析工具： 如分析电子商务协议的k a i l a r 逻辑例以及分析与时间相关的协议的c s 逻辑等突 破b a n 及b a n 类逻辑对协议主体的假设的局限性而提出的k g 逻辑，以及突破 主体信念与知识的单调性而提出的n o n m o n t o n f i c 逻辑b a n 类逻辑大多是基于信 念的模态逻辑，模态逻辑在多种情况下是可判定的然而，逻辑推理方法本身有 不足，如逻辑的抽象性较高，这种抽象性往往会掩盖协议执行的状态信息，因而 难以完全反映协议运行的全貌 协议的形式化分析是保证协议正确性与安全的重要手段，能发现协议中隐藏 的逻辑漏洞不可否认协议是密码协议的一种，但目前还没有专门针对不可否认 协议的形式化分析方法现有的形式化方法都着重于对协议机密性、完整性等安 全性质的描述和分析，对协议的公平性和不可否认性等特有性质的表达和分析能 力不够强要将这些现有的形式方法用于对不可否认协议的分析，必须对协议及 方法本身要有深刻的理解 1 2 不可否认协议的相关概念与性质 1 2 1 不可否认协议的分类 根据证据交换方式的不同，不可否认协议可分为同步协议1 1 0 】和异步协议同 步协议指仅有交易方参与( 即无第三方) ，采用一种小步进的方法，交易方同步逐 步将所换信息透露给对方；异步协议是由交易方交替执行协议的每一步而完成的 协议一般认为，异步协议无第三方无法保证公平；由于在只有交易实体存在的 情况下，异步协议无法防止否认的发生，因而异步协议要保证公平必须有第三方 介入 根据是否使用可信第三方t r p ( t m s t e dt h i r dp a r t y ) 分协议为两类：无r r p 的 协议和使用t t p 的协议前者一般通过逐步交换信息来实现，交易方多通过特殊 的密码技术和知识的逐渐泄露( g r a d u a lr e l e a s eo ft h ek n o w l e d g e ) ，不经意传输 ( o b v i o u s l yt r a n s f e r ) i io 川来实现交换，它们要求通信实体问严格的时钟同步和相 近的计算能力( 但往往认为公司比个人有更强的计算能力) ，且总有方比另一方 多掌握一比特交换的消息，故这样的协议实用价值不高而用t i p 的协议，又根 据对1 1 p 的依赖程度分为中介n p ( i n l i n et t p ) 、在线1 1 甲( o n l i n e1 卯) 和离线 t r p ( o f f l i n e i 。i p ) 根据参与人数与交换拓扑可分协议为双方不可否认协议和多方不可否认协 议，其中多方不可否认协议有多个交换实体；根据交换信息数分为单对多单项交 换和单对多多项目交换 1 2 2 不可否认协议的证据 证据是一种证明材料，可单独使用，也可结合使用【1 2 , 1 3 】不可否认证据需满 足如下条件： ( 1 ) 证据的产生者可被认证 ( 2 ) 证据的完整性能被验证 ( 3 ) 证据的有效性不容抵赖 ( 4 ) 证据无法伪造 按密码体制不同，不可否认证据可分为两种类型： 安全封装s g n v ( s c c l l r ee n v e l o p ep a r t y ) ：一般基于对称密码体制，可表示为 s e n y 。沏) = 所，乓( 日( 所) ) ，这样的证据只有与发方共享密钥t 的收方才可验证其 来源与完整性，证据使用不便 数字签名：一般基于公钥密码体制，经过数字签名算法后的证据可公开验证其 有效性，故作为证据使用很方便，现不可否认证据大多采用数字签名来实现 电子交易中否认本质上有以下两种：发方否认指发送消息者否认自己发送过 某一消息；收方否认指接收者否认自己接受过某一消息，不可否认证据主要分为两 个基本证据： 发方不可否认证据n r o ( n o n - r e p u d i a t i o no f o r i g i n ) 指协议能为收方生成 证据，当有纠纷时仲裁者由此证据可得出发方是否发出过某消息 收方不可否认证据n r r ( n o n - r e p u d i a t i o no f r e c e i p t ) 指协议能为发方生成 证据，件裁者由此证据可判断收方是否收到某给定消息 另外，若协议中有第三方的介入，则还有两个证据： 提交证据n r s ( n o n - r e p u d i a t i o no fs u b m i s s i o n ) 提交证据的目的是防止提交 方( 发方或收方) 虚假地否认曾经向第三方提交过特定的消息，由提交方提供 分发证据n r d ( n o n - r e p u d i a t i o no fd e l i v e r y ) 其目的是保证发方和收方获 得( 或能获得) 合法的由第三方转发的消息，由第三方提供 一般来说，不可否认证据应包含如下成分：发送者、接受者、产生者( 不同 于发送者) 、涉及的第三方、消息本身、产生时戳、有效期等；在具体应用时可 灵活取舍 证据的有效性取决于产生证据的密钥或私钥的有效性，以及证据的有效期时 限，过此时限保存者可丢弃该证据( 不可否认证据都标明有效期) 若证据产生时 密钥是有效的，且验证时证据在有效期内，则应认为证据是有效的：反之，则无 效对密钥的有效性可用p k i 技术来维护；另外，若通信一方在协议执行毕，立 即到证书中心宣告自己的私钥泄露，申请注销证书，然后宣称并没有参加刚结束 的不可否认协议通信，在以后的争议解决中就处于有利的地位为了防止这种情 况的发生，可由安全可信的时戳服务中心为每一个要进行签名的信息加盖时间戳， 比较被签名消息的时戳和相应证书的吊销时问就可以防止这种欺骗最后，当不 可否认证据的有效期过后，保存者可抛弃该证据，从而有利于数据的管理和节省 网络资源 时戳能够提供证据何时产生且证据的密钥何时有效等信息，合法的时戳要由 一个可信中心产生，时戳必须具有如下特征： ( 1 ) 时戳与证据是关联的，对证据丝毫改动都是不可能的 ( 2 ) 对证据追加与当前日期和时间不同的时戳是不可能的 下面是一个简化时戳协议【1 4 1 协议假定：e 是需要加盖时戳的证据，t s 为时戳业务的提供者 1 ，a 斗t s ：a ，e s a ( h ( e ) ) 2 ，t s 爿：l = e s k ( 聘，a ，日( e ) ，s s 日( 日( e ) ) ，l _ l ，- l ，厶) 其中n 是a 申请时戳时的序号，。一i 是a 之前一位申请者的身份标识， l = 日( l 。) l l m r o 一。) ，t 为时戳 3 嬲j 一：l + l ，s s 镕( l + 1 ) 该协议安全性较好，因通过协议将a 对证据加盖的时戳与a 之前和之后的证 据连接，若对e 的时戳怀疑，a 可以按时戳链向前或向后逐个验证协议能阻止a 与t s 勾结加盖一个与t s 实际收到e 时间不符的时戳 1 2 3 不可否认协议的通信信道 根据不可否认协议中对通信信道质量要求的不同，可将通信信道分为3 种： 可操作信道、可恢复信道、不可靠信道可操作信道( o p e r a t i o nc h a n n e l ) 是指送 入该信道的消息一定能在一个有限且具体的时问内到达收方，这样的信道性能好， 但需专门维护，造价较高；一种是可恢复信道( 弹性信道，r e s i l i e n tc h a n n e l ) 送入 该信道的消息总能在一个有限但未知的时间内到达收方，不可否认协议多用这种 信道，尤其协议中有第三方介入时，一般都假定通信实体与第三方之间的通信信 道是可恢复的一种是不可靠信道( u n r e l i a b l ec h a n n e l ) 进入该信道的消息无任何 安全防范措施，即可能被替换、篡改甚至丢失研究在不可靠信道上进行安全电 子交易有其重要的理论意义和实用价值现协议多用一种基于f i p 的方法弥补通信 信道不可靠的不足邱操作是由z h o u j i a n y i n g 和d i e t e rg o l l i n a n 醍出【3 ，但f i p 操 作效率不高 1 2 4 不可否认协议中的第三方 一般认为，最完善的不可否认协议应是自治的，即在除交易方外再无需其他 实体介入，协议能自行执行，能自动保证参与方之闻的公平完全做到这一点似 乎是难的，s c h n e i d l 5 甚至认为这样的协议在任何场合下不存在，所以不带第三方 的协议不适合实际应用，目前大多数协议都选择带有第三方的情形所谓第三方 是指在参与交换的各主体之外的另一个主体，它的作用是帮助各交换主体公平的 完成协议，而对带有第三方的协议，在协议满足其性质的条件下，认为因对第三 方的依赖程度尽可能的少( 毕竟它不属于交易主体) ，对第三方的可信度尽可能的 降低( 因在一个开放式网络中要找一个交易主体都信任且不出错的第三方是不易 的) 目前不可否认协议的设计大都以此为目标 第三方根据其可信度划分，目前有完全可信第三方t r p 、半可信第三方 s r r p ( s 锄i _ t r p ) 及条件可信第三方【1 6 c t t p ( c o n d i t i o n a lr r p ) r r p 他不会欺骗参与交换的各个主体，也不会在交换中出现失误 s 丁r p 假定他可以出现失误，也可以独立行骗，但不会与任何交换主体勾结 以欺骗其他主体，也不会偏袒任何交换主体，且其独立行骗不会给他带来好处 c t r p 对第三方施加一定的限审4 条件；如果第三方在满足限制条件的情况下 正确行使职能，那么第三方是可信的；如果第三方在满足限制条件的情况下行为 有误，则其行为能够被协议的参与方判定出 其实，s i t p 可看为c t i p 满足下述条件：( 1 ) 第三方不与任何参与方合谋： ( 2 ) 本次交易与第三方无利害关系；( 3 ) 第三方对任何诚实的交易实体的请求可 以及时做出相应 根据对第三方的依赖程度，目前划为中介t t p 、在线m 及离线t 卯 中介订p 【l7 】作为消息传递的中介，在协议中将从一方接收的消息转发给另 一方，而交易主体问不直接进行信息的交换 在线1 1 甲1 m 不再是中介，交易主体间能进行直接的信息交换，但t t p 需 在任何情况下都要介入交易过程，即使所有交易实体都诚实、行为无误且通信正 常 离线r r p 【j 9 1 明( 脱线t r p ) ，1 m 在正常情况下不介入协议，只有当通信崩溃 或某主体违反协议或错误操作时才介入，保证协议顺利完成 中介r r p 由于参与太多往往成为通信与计算的瓶颈，且极易遭受攻击：在线 r r r p 虽较中介1 1 p 来说，工作量降低，但无论通信正常与否都要介入，在通信方 与传输信息较多的情况下，还是很容易成为通信的瓶颈，除非1 田具有非常强大 的计算与通信能力，但是如此的t 1 p 其使用代价太高，交易主体是负担不起的所 以设计协议时仍需降低对r r r p 的依赖程度；脱线r r p 克服了在线t t p 的上述缺点， 尽可能的减少了介入次数，因此也称带脱线t 1 p 的协议为优化( o p t i m i s t i c ) 协议现 在已有带在线s t t p 与脱线s t t p 的不可否认协议 综上所述，考虑设计不可否认协议时，通常认为脱线第三方好于在线第三方、 s n 甲好于r r p ，较理想的是带有脱线s t l r p 的不可否认协议笔者认为：降低对 第三方的可信度与依赖程度仍是设计不可否认协议的着眼点 另外，在电子商务活动中，若不可否认服务是由一个优化的协议支持的，则 大家知道，只有在通信崩溃或参与方不诚实时r r p 才介入：所以只要t r p 介入生 成的证据与不介入生成的证据不同，人们则会猜测1 v r p 介入的原因，认为参与方 中可能有不诚实者，故有可能给参与者带来不好声誉影响为解决此问题，现有 带透明t t p 的不可否认协议出现所谓透明t t p 【2 0 】，是在协议执行完毕，交易主 体外的人无法从证据判断出t t p 是否介入，即t t p 即使介入协议生成的证据与正 常情况下是一样的 1 2 5 不可否认协议的性质 公平性1 2 “竭在协议执行的每个阶段，参与协议的任何主体都不占优势，且 任何诚实的主体都不处于弱势；协议执行完毕，各参与方要么得到自己想要的， 要么什么也得不到公平性根据强弱程度可分为概率公平性、弱公平性、强公平 性和真正的公平 有效性( 可行性) 如果协议的参与方诚实且行为正确、通信不中断，则在协 议执行毕各参与方都能各获所需对优化的协议，则在参与方行为正确，不涉及 第三方的情况下，仍各获所需 可终止性在协议执行的任何阶段，每个参与者可在一有限时问内单方终止 协议，而不破坏公平性 机密性所发消息内容只有发方与收方知道，其他人( 包括第三方) 都不知 7 交易内容 可仲裁性仲裁机构能够根据申请方的证据对其申诉做出正确的仲裁 1 3 预备知识 1 3 1 签密方案 文献【2 3 】中提到一个签密方案，如下： 系统参数：p ，q 是大素数，j 王q p 一1 ，g 是z ：中阶数为q 的元h 为一个安 全h a s h 函数，瓦是一个带密镊 的安全h a s h 函数( e ，d ) 为带有对称密钥的加 密和解密函数设a l i c e 为签密者，m 为待签消息，b o b 为签密接收者a l i c e 有 一密钥对：( ，y d ，儿= 矿( r o o d p ) ；b o b 的密钥对为( ，几) ，y b = 矿( m o d p ) ( 其 中，为私钥，儿，儿为公钥) 签密：a l i c e 随机选择个数z 乏并计算：( 与，岛) = ( 瑶m o d p ) ，c = 瓦沏) ， ，= ( m ) rs = ( ，+ x ) m o d q ，最后签密为( c ，r ，s ) 解签密b o b 通过也 j ) 计算( 毛，k 2 ) = 日( 眦) 4r o o d p ) ，m = 瑰0 ) 当恢 ， 复了消息m 以后，再通过等式j 0 ( m ) = r 来验证签密的正确性 1 3 2 可验证的加密方案 文献( 2 4 ，2 5 中的方案： 系统参数：公开参数啊g ，v ，h ，其中”= p q ，而尸= 2 p + l ，q = 2 q + l ，p g 都 是大素数，g 瓦是一个朋阶元，v 是素数，日是安全h a s h 函数，p ，o ，p ，q 是保 密的r r p 的私钥和公钥分别是s k ，船，p k = g “m o d n 对消息m 的加密：加密者随机选取w ，令w = g m o d n ，巧= m ( p k ) ”r o o d n ， 则( 矿，巧) 就是m 得密文 可验证加密的生成：令v = ( ) m o d n ，m = m m o d n ，加密者随机选取n ，计 算a = g ”r o o d n 和a = ( ( ，k ) ) 。，令c = h ( 硎i i ( p _ i ( ) i i v m l l a l l ) ，r = 甜一州，则 ( ，c ，m ) 就是可验证加密 可验证加密的验证：验证者收到( ，) 和( ，c ，m ) 后，计算出盲密文( 矿，y ) ， 其中v = ( ) r o o d n ，然后验证者需要验证等式： c = h ( g l l l l 7 i v m i i z 7 w 愀p _ k ) 7 ) 7 ( v m ) ) ，用于说明( ，巧) 是对 m = m 9 m o d n 根的加密 盲解密：验证者收到( 形，) 和( r ，c ，m ) 后，首先验证等式 c = h ( g m ( p k ) 。i i v m i l 9 7 w 。帆麒) ) 7 ( v m ) 。) 是否成立，若成立，则计算 w 船r o o d n ，只要得到“就可以获得消息m = w “，其中v 的选取应该保证 由m