（计算机科学与技术专业论文）电子商务中公平数据交换协议的设计与实现.pdf

因防纠学技术人、t u ij l 上w i ： 心论文 摘要 由于互联网络匿名性及开放性的特点，电予褒务的发蕊一骞嚣使缮人鲣在甏广阔的数 字空间内进行商务活动的同时，对信息蜜全提出了新的需求：如何防止来自交易实体的欺 诈和攻击? 英国政患支持的璜目f i d e s ( f a i ri n t e g r a t e dd a t ae x c h a n g es e r v i c e s ) ，主要研究迫予商 务中交易双方数据的公平非抵赖交换，寒保涯交易的安垒睦、 # 抵赖，| 生秘实酵公平性。宅 以常见的交易活动如电子购物、合同签定、电予签收作为基本交换模型，为不同应用系统 提 盐翼裔符合j 2 e e 和c o r b a 体系规范的安全交换组件、用户认证及入口控制组件。其 中公平交换渗议的设计篝法优化一壹怒璜目醑究静关键。 作为f i d e s 项目的主要开发成员之一，本文终老在进行系统设计每昊体实瑗豹过程 中，充分吸纳了证书验证机制简单、权威、与交换活动脱离簿特点，提出了改进后的文 牛 交换协议，并在新簸的f t d e s 项目报告中予以体现。 本文的嚣献凑以下兰令方西，蓄先，在糨始的文侔交换协议的纂础t ，在安全性及适 用性宄西对该协议的算法提出了较大蝠鹱螅改进程亮善，握燃了改邀后丧奄文 聿交换锈谈瓶 本v l 和v 2 ：其次，本文作者提供了基于j a v a2 平敬上的具体究整的协议实现：然藤，在 协议实琥的过程中，本文还蘸点考虑了消息队列的多种实现方式及相关性能比较，为协议 熬应用攥供安全稳定的实现撬裁。在本文懿最后，简簧地分析了f i d e s 项目下一阶段的研 究方向和应用前景。 关键字电子商务，公平交换，协议，r s a ，j a v a ，消息队列 i i i 【目防利、? 技术人、? ：( - 亢生院。j j 缸论文 a b s t r a c t b e c a u s eo ft h ec h a r a c t e r i s t i c so fi n t e m e ts u c ha sa n o n y m i t ya n dp u b l i c i t y , e - c o m m e r c e m a k e si t p o s s i b l ef o rm o r ea n dm o r ep e o p l et ob ei n v o l v e dd e e p l yi nc o m m e r c i a la c t i v i t i e si n c y b e r s p a c e a tt h es a m et i m e ，i ta l s op u t sf o r w a r dan e ws e c u r i t yr e q u i r e m e n t ：h o wt of i g h t f r a u da n dp r e v e n te x c h a n g ea c t i v i t i e sf r o mt h eb a r g a i n e r sm i s b e h a v i o r ? t h ef ) e sp r o j e c t ( f a i ri n t e g r a t e dd a t ae x c h a n g es e r v i c e s ) ，w i t hb r i t i s hg o v e r n m e n t s f i n a n c i a is u p p o r t i sf o c u s e do nf a i ra n dn o n r e p u d i a t i o nd a t ae x c h a n g er e s e a r c ho fb u s i n e s s p r o c e s si ne c o m m e r c e i no r d e r t oa c h i e v es e c u r i t y , f a i r n e s sa n dn o n r e p u d i a t i o n b a s e do nt h e t h r e ee l e m e n t a r yb u s i n e s sm o d e l ss u c ha se - s h o p p i n g ，c o n t r a c ts i g n i n ga n dr e c e i p tf o re - g o o d s ， t h ea i mo ft h i sp r o j e c ti st od e s i g n ，i m p l e m e n ta n dd e p l o yt h em i d d l e w a r ec o m p o n e n t ss u c ha s s e c u r ee x c h a n g ec o m p o n e n ta n du s e ra u t h e n t i c a t i o na n da c c e s sc o n t r o lc o m p o n e n t ，w h i c ha c c o r d w i t hj 2 e ea n dc o r b aa r c h i t e c t u r e a n dt h e a l g o r i t h md e s i g n a n do p t i m i z a t i o no ff a i r e x c h a n g ep r o t o c o lp l a yk e y r o l e si nt h ep r o j e c tr e s e a r c h a sad e v e l o p e ri nt h ep r o j e c tr e s e a r c ht e a m t h ea u t h o rm a k ef u l lu s eo ft h ea d v a n t a g e so f t h em e c h a n i s mo fc e r t i f i c a t e v e r i 6 c a t i o n ：e a s y t o i m p l e m e n t ，a u t h o r i z e d ，s e p a r a t ef r o mt h e e x c h a n g ed h a s e ，a n de t c ，t h e ni m p r o v em o r eo nt h eo r i g i n a la l g o r i t h m ，a n df i n a l l yt h en e w d o c u m e n te x c h a n g ep r o t o c o lc o m e si n t ob e i n g w h i c hi sp r o p o s e dt or e p l a c et h eo r i g i n a li nt h e p r o j e c tr e p o r to f t h en e wv e r s i o n t h em a i nc o n t r i b u t i o n so ft h ep a p e ra r et h r e e f o l d f i r s t t h ea u t h o rm a k e ss o m eo b v i o u s i m p r o v e m e n t so na l g o r i t h mi m p l e m e n t a t i o nf o rp r o t o c o ld e s i g n 。w h i c hh a sd i s t i n c ta d v a n t a g e s o v e rt h eo r i g i n a lf a i rd o c u m e n te x c h a n g ep r o t o c o lw i t l l a s p e c t so fs e c u r i t ya n da p p l i c a b i l i t y s e c o n d l y , t h ei n t e g r a t e dp r o t o c o li m p l e m e n t a t i o ni sa c c o m p l i s h e di nd e t a i lb a s e do nj a v a2 p l a t f o r m ( t a k et h ed o c u m e n te x c h a n g ep r o t o c o la sa ne x a m p l e ) t h i r d l y d u r i n gt h ep r o c e s so f t h e p r o t o c o li m p l e m e n t a t i o n m ep a r ) e r a l s o p u t st h ee m p h a s e so nc o n s i d e r i n gt h em u l t i p l e a c h i e v e m e n t so fm e s s a g eq u e u e sa n dr e l a t i v ec o m p a r i s o no nw o r k i n gf u n c t i o n ，w h i c hp r o v i d e t h es e c u r ea n ds t a b l em e c h a n i s m sf o r 山ep r o t o c o la p p l i c a t i o n s a tt h ee n do ft h ep a p e r t h e a u t h o rb r i e f l ya n a l y z e st h ea p p l i c a t i o nf o r e g r o u n da n dt h er e s e a r c ho b j e c t i v e so ft h ep r o j e c ti n t h ef o l l o w i n gp h a s e k e yw o r d s ：e - c o m m e r c e ，f a i re x c h a n g e ，p r o t o c o l ，r s a ，j a v a ， m e s s a g eq u e u e 独创性声明 本人声嘿孵黑交她学位论文是我本人在导烬搬导下进圣亍匏磅究王髂及双 戛 固研究成果。冬我所知，除了文中特剐加l ；之标注和致谢昀地方外，论文中不包含 其他人已缀发袭和撰写过的研究成果，擞不包含建获得麴防耪学技本大学或其它 教育撬祷的学位或证书雨使用过翡靖粹与我一同工作的同志对本研究所做的任 何贡献均已在论文中律了明确的说明并袭示谴意。 学技论文蘧晷： 整量蘧蠢空生釜圣熬鲎塞迭渣这煎逮盐妻塞翘 学位论文作者签名：左叠 日期：厶 r 年厂月2 日 学位论文版权使用授权书 本入究全了解国防辩掌技术大学有关保留，使用学位论文的规定本人授权 国防辩学技本大学可以保鬻并惫国家农关帮门或规梅遗交论文泌菱颦侮秘电子 文档，允许论文被套阋和借阏；可 ；之将学位论文的金部或部分内容编入有关数据 库进行检索，可以采用影印、缩印或扫描等复裁手段像移、j 缝学位论文。 ( 保密学位论文在解密君邋餍奉授权书) 学位论文题目： 曼量煎盘坚金是熬竖塞携犍邋数逮盐兰塞熬 学位论文作者签名：左叠 作者指导教师签名：主狴幽 毽羝：z 驴年f 疑 j 甚 日期：少。年j - 月2 五日 国防科学技术大学研究生院学f 穆论文 第一章研究背景 1 1 电子商务的安全需求 1 1 1 概述 随着电子商务的蓬勃兴起，网上商务活动正日益成为大众所接受的社会活动方式，其 内涵在不断地延伸。而由于互联网络的匿名性和开放性，电子商务的安全防范将较常规商 务活动具有不可比拟的复杂性。安全电子商务必须考虑可能遭受到的多方面的恶意攻击与 欺诈，不仅是外部的( 比如非涉及到交易活动的第三方) ，而且可能是内部的( 如交易方本 身! ) 。在防范外部攻击方面，已有许多成熟的安全机制，如数据的完整性、真实性验证， 用户认证等等。而现有许多的商务活动正暴露着越来越多的来自内部攻击的安全隐患。因 此，对于相互熟悉或陌生的交易双方，必须考虑在交易过程的同时建立一种互信机制，以 保证各自的经济利益、隐私信息等不受到侵犯。 国外电子商务的研究与应用起步早，并且借助成熟的支付体系，电子商务的市场较国 内要成熟得多。即便如此，网上的欺诈、盗用现象仍然是防不胜防。基于此，f i d e s 项目 ( f a i ri n t e g r a t e dd a t ae x c h a n g es e r v i c e s ) ，即完整的公平数据交换服务，以普遍存在 的商务活动如电子支付、合同签署等为模本，提供了建立非抵赖与实时公平交换的解决方 案。作为反欺诈和促进电子商务繁荣的四大新项目之一，( 可参见英国政府报道 n e w p r o j e c t s t o f i g h t f r a u d a n d b o o s t e - c o m m e r c h t m ) ，该项目得到英国贸易及工业部和英国国家工程 及物理科学研究委员会的资助，详情可见英国贸易及工业部的官方网站 h t t p ：w w w d t i - m i o r g u k n e w w e b f i d e s h t m 。 f i d e s 项目的关键在于公平交换协议的设计，在英国曼彻斯特大学提交的r e p o r to n t h ed e s i g n e ds y s t e ma n dm e t h o d sf o rn o n r e p u d i a t i o na n df a i rd a t ae x c h a n g e 中， 提出了涉及文件、签名以及非抵赖收据等三类交换协议，其中的签名交换协议可见本文的 第四章，初始的文件交换协议可参见 1 6 。有关该项目的体系结构及功能设计参见附录b ( f i d e s 项目) 。 作为f i d e s 项目的开发成员之一，本文作者主要负责协议的实现及交换组件的设计。 在作好具体模块实现的同时，本人还针对协议中密钥参数的限定，利用j a v a 实现求大数平 方根的算法，对初始的文件交换协议的安全性提出了质疑。同时在借鉴签名交换协议算法 的基础上，就算法的安全性、适用性及运行性能等方面对文件交换协议的设计、改进提出 自己的见解和具体实现。本人所做的阶段性工作得到了f i d e s 项目组的好评和一定程度的 肯定，该组就三类协议的设计将做进一步的调整和修正。 1 1 2 电子商务的信息安全 从互联网络的安全分层来看，信息安全有别于物理安全和网络安全，它主要考虑的是网 络的应用层，同时它和数据安全在意义上有所重叠，但又不完全一样，后者主要涉及的是 数据库安全存取及访问技术。信息安全主要有以下几个方面的问题： 1 、泄密的问题 第l 页 国防科学技术大学研究生院学位论文 若网络中传送的资金帐号、密码都是明文的，用某种软件工具，就可以看出用户的密 码和资金帐号等。 2 、抵赖的问题 交易过程中可能会存在一些争议，主要是交易方可能会抵赖。如果没有可靠的证据， 事实将无法得到澄清。 3 、篡改的问题 由于数据在t n t e r n e t 上传送，存在数据被恶意篡改的可能。这会导致交易无法达成， 或达成非理性交易。 4 、用户身份识别的问题 目前比较通行的是密码账号的方式，然而这样的话，在线账号密码数据库就会成为众 矢之的。入侵者可能采用不断猜测的方法，来入侵在线的账号密码数据库。 应该说，以上四个问题概括了电子商务中信息安全的主要方面，但不是全部。尤其以 当前业务的发展特点来看，人们对网上业务的匿名性的强烈要求已经充分显现出来。那么， 在上述四个问题的基础上，对交易的安全提出了新的问题：即交易的实时公平性( 或称强 公平性) 问题。 由于网络的匿名性，交易的双方互不信任，而要保证网上交易的顺利进行，则在实时 交易过程中不能出现一方得利而一方受到损害的情况。否则，我们将没有别的办法，以离 线的方式( 如事后协商解决等) 来恢复交易的公平。 1 2 几个主要的安全协议 1 2 1k e r b e r o s 认证系统 该系统采用可信的第三方对基于t c p i p 的网络，提供用户到服务器以及服务器到用 户的双向认证。k e r b e r o s 仍然采用传统的加密方式( 即加解密采用同一个密钥) ，并不采用 r s a 加密算法。k e r b e r o s 与网络上的每个实体共享唯一的各不相同的密钥。它的优点在于 对于实体的认证超越了以往的明文密码方式，以及优良的密钥分发管理的模式。在w i n d o w s 2 0 0 0 ，微软集成了k e r b e r o s 认证技术。 1 2 2ip s e c i p s e c 并没有定义具体的安全算法，它在i p 网上为实现各种不同的算法提供了一个开 放式的架构。目的是为i p 的通信量提供三项核心的安全服务：保密性、完整性和信息的认 证。i p s e c 使用了两个协议( a h 和e s p ) 来提供通信的安全，其中每一个都定义的不同的 i p 报文头。这两个协议分别使用了多种h a s h 、及d e s 、i d e a 和r c 4 等加密算法。i p s e c 在提供了协议的同时，也提供了运行的模式：传输模式( t r a n s p o r t m o d e ) 和隧道模式( t u n n e l m o d e ) 。从而较为完整的提供了端到端的通信安全。 第2 页 国防科学技术大学研究生院学位论文 1 。2 3s s l t l s 安全套接层协议( s s l ，s e c u r i t ys o c k e t l a y e r ) 是网景( n e t s c a p e ) 公司提出的基于w e b 应用的安全协议，它包括：服务器认证、客户认证( 可选) 、s s l 链路上的数据完整性和 s s l 链路上的数据保密性，主要采用公开密钥体制和x 5 0 9 数字证书技术来提供安全性保 证。它支持多种加密机制，如认证方面支持r s a d s a 算法，可以使用d e s - c b c ，3 d e s ， i d e a 等加密手段，在保证数据的完整性上可以采用h m a c ，m d 5 和s h a 1 等多种摘要 算法。它为多种应用层的协议如h t t p ，f t p 和t e l n e t 等提供端到端的安全服务。s s l 的安全机制有三个基本的特性：1 ) 、在建立连接过程中采用公开密钥，在会话过程中使用 专有密钥。加密的类型和强度则在两端建立连接的过程中决定；2 ) 、通过采用r s 刖d s s 公钥加密进行对方实体的认证；3 ) 、连接有完整性保护，通过使用h a s h 算法对消息的完 整性进行验证。 t l s 是s s l 的互联网络的标准版本。由于被大部分w e b 浏览器和服务器内置，s s l 得到广泛应用。 1 2 4s e t 由美国v i s a 和m a s t e r c a r d 两大信用卡组织联合国际上多家科技机构，共同制定了应用 于i m e m e t 上的以银行卡为基础进行在线交易的安全标准，即”安全电子交易” ( s e c u r ee l e c t r o n i ct r a n s a c t i o n ，简称s e t ) 。它采用公钥密码体制和x 5 0 9 数字证书标准， 是一种基于消息流的协议，用来保证公共网络上银行卡支付交易的安全性。它能保证信息 传输的机密性、真实性、完整性和不可否认性。s e t 创建了一个不依赖于传输安全机制的 协议。它为持卡者、提供认证，保证一个持卡者是一个支付卡帐户的合法用户，同时为商 家提供认证，保证商家通过一个收单行金融机构，可以接收该品牌的支付卡的交易。但是， s e t 没有提供不可否认保证，只能建议由支付卡品牌来指定特别政策来保证不可否认。 1 2 5s m i m e 即s e c u r e m u l t i p u r p o s ei n t e m e tm a i le x t e n s i o n 。与s s l 类似，它是一个面向消息传输的 安全通信协议，可以用来对消息加密或签名。同时，它提供了签名收据的安全服务。所谓 签名收据，是指发送方在发出消息的同时，发出请求返回的信号，该信号是接收方证实已 收到对方发送过来的消息。 1 2 6 简要分析 从上述的几个被广泛应用的安全协议来看，i p s e c 、s s l t l s 等都是面向网络层的协议， 采用的安全机制主要是利用i p 报文头、或者对客户i n 务器方式的连接进行加密运算，因 此无法涉及到具体的应用层内的数据保密和应用安全。“公平交换和防抵赖”这一更多的是 面向应用层的概念，对于上述两个协议来讲，很难实现。 而使用k e r b e r o s 认证的前提是首先要对各个实体( 如用户、服务器等等) 进行身份的 确认，在应用于企业内部网中意义较大，因此在w i n d o w s2 0 0 0 中使用到这一认证机制。 第3 页 国防科学技术火学研究生院学位论文 s m i m e 协议的一个明显不足是，它虽然提供了消息的证实确认机制，但是，该机制是 建立在接收方没有过失行为的基础上的，即接收方完全可以在收到消息的同时而矢口否认， 这无疑不利于发送方。 应该说，就应用的层面来讲，s e t 协议最为贴近，它是一个面向消息流的协议。但其 适用面较窄，它以银行卡为基础，而且它是p k i 体系框架下的具体实现，不太适合基础设 旋( 如统一的支付体系、p k i 体系) 尚不成熟的国情特点。 由于用户的匿名性及数据交换的实时公平性，我们无法从现有的被广泛应用的安全协 议中得到支持。因此，如何处理好数据的交换流程，以及如何运用r s a 加密算法、h a s h 算法来验证数据的真实性和前后一致性，将是协议设计的关键所在。 1 3 本文的编排结构 第1 章研究背景 从电子商务的不断变化的安全需求，以及现有成熟的安全协议的简要分析两个方面， 提出设计公平数据交换协议的必要性。 第2 章协议设计的初步分析 该章首先对类似协议的发展做了简要回顾，提出了协议的大致轮廓，以及协议应具备的 安全性及公平性的要求。 第3 章文件交换协议 该协议面向实际应用中的文件数据交换。该章详细阐述了协议的流程及恢复算法的实 现。在章节的末尾，对协议的公平性、安全性做了简要分析与验证。 第4 章签名交换协议 该协议面向实际应用中的签名数据交换。章节结构同第三章。 第5 章协议的改进 本章在归纳前两个章节的基础上，对文件交换协议提出了改进型算法( v 1 ) ，较大程度 上加强了协议的安全性能，一定程度上增强协议的适用性。 第6 章协议的实现 该章以改进后的文件交换协议( v 1 ) 为例， 加解密及数据处理与验证的实现、相关交换类、 第7 章协议实现的改进 着重分析阐述协议实现的三个主要方面： 消息队列的设计与初步实现。 本章就协议实现在实际应用中的不足，如在c 。结构的改进、获取对方的公钥参数方面、 交换数据结构的设计方面做了进一步的改进，形成改进协议( v 2 ) ，同时在消息队列实现 的多样性方面进行充实完善。 第8 章协议实现的性能比较 本章采集开发过程中的实际数据，主要对文件交换的初始协议与改进协议( v 1 ) 的安 全性能、改进协议( v 1 ) 与( v 2 ) 的运行性能进行定量的分析比较。并对多种消息队列的 实现方式及多种性能指标进行了详细深入的探讨和分析。 附录及参考文献 本文的末尾提供了协议设计中所用到的数学工具、本文的研究项目来源、部分程序源码 以及对所使用的j m s 服务提供商及产品的简要介绍。文章的最后附上参考文献，以供参考 查证之用。 第4 页 国防科学技术人学研究生院学侥论文 第二章协议设计的初步分析 2 1 公平交换协议的发展回顾 到现在为止，已经有一定数量的协议用于实现数据的公平交换， 1 9 1 0 1 4 1 5 最初开始设计公平交换协议的思路是保证交换的同时性。一种典型办法是使交换的双方以 一字节位一字节位交错的方式进行数据交换。如m a n u e lb l u m 编著的h o wt o e x c h a n g e ( s e c r e t ) k e y s ，其中用到了许多数学知识，运算相当的复杂。如果采取这种方 式，无疑大大增加了计算和通信的额外开销，对双方的设备和计算能力提出更高的要求， 极不适应实际情况的需要。 之后，有一些协议引入在线的可信任的第三方( t t p ) 的办法， 2 9 即第三方作为数 据交换的“中间站”，实时参与数据交换的全过程。交易的双方都信赖第三方，交换的数据 由第三方转送。显然，在通信量大的时候，t t p 容易成为通信的“瓶颈”。因此，只有在基 于离线的方式上考虑协议。即t t p 并不参与交换的过程，而只有在交换失败的情况下参与 数据的恢复，以保证交换的公平性。 有一些协议，通过使用离线t t p 的方式， 4 5 8 实现数据的公平交换。其设计思想 是交易的一方产生可验证可恢复的加密数据。数据的可验证性说明接收方在没有得到数据 的明文的情况下仍然能够对其的真实性进行验证，而可恢复性则意味着在对方失信或其它 非正常情况下，接收方仍然可以在离线t t p 的协助下对得到需要的数据。 在签名数据交换方面，有些协议， 3 6 引进了非抵赖签名的概念。这些签名仅通过 签发者的协助才能被验证，如签发者可以确认或否认对该签名的拥有权。该机制包括三个 部分：生成算法、确认协议和否认协议。 另外有一些协议也实现了在离线第三方的方式下的公平交换， t 4 1 5 1 6 主要的思 路是接收方在没有得到真实的签名数据的前提下，可以确认数据的真实性，同时也可以确 认在发生纠纷的情况下，由第三方来恢复数据。这种特性可以通过使用称为可确认的签名 加密的加密机制来得到。该机制实质上使用第三方的公钥对签名数据进行加密传输。 在该协议中我们同样应用这样的设计思路，值得一提的是，我们将采用基于r s a 的算 法进行签名和文件数据的恢复。而且，我们进一步对t t p 的信赖度进行限制，即它参与恢 复的数据敏感性更低，它参与信息的恢复，但并不能因此而得到交易双方所要传递的信息， 从而使其定位在非完全信赖的第三方( s t t p ) 。 2 2 协议的安全性公平性要求 在双方交易过程中，由于涉及到一些有价值的文件( 如电子货币等) ，而双方的身份具 有匿名性，则双方的交换必须遵从公平的原则，即交易的双方要么同时获得他所期望的文 件，要么双方都没有得到( 即没有造成单方的损失) 。 在协议的设计过程中，我们参照了同行曾经作过的工作，对于这一类协议，现在主要 是通过借助于可以信任的第三方( t t p ) 来实现的。根据第三方在交换的过程中担任的角色， 第5 页 鱼堕壁堂垫查盔：兰坚茎生堕堂焦堕塞 可分为在线和离线两种方式。在线方式是指t t p 实时参与交换，比如传送敏感数据，收集 验证数据等等。而离线方式则是指t t p 并不参与正常情况下的数据交换，而只有在异常情 况下，响应交易的一方的请求，协助完成交换过程。有些协议虽然实现了在线方式，但一 般是对于交换签名数据的过程( 即双方以知文件比如合同的内容) 。 协议分两步进行：首先，双方先交换用对称密钥加密的文件及相关一些用于确认和恢 复的数据项，然后才是密钥的交换。这样，对那些数据项的要求有两个，1 ) 、可用来确认 密钥是真实的( 对方确认的过程中又不能知道密钥本身的值) ；2 ) 、可恢复的，即交易的任 一方可据此在t t p 的帮助下，解开密钥。 通过总结归纳，我们得出，要实现交易双方的公平交换，必须满足以下的条件： r o ：强公正性：既在交换结束的时候，如果只得到了只的文件见，或者是通过s t t p 的帮 助得到的话，则只也同时获得了只的文件见，或者也是通过s t t p 的帮助。反过来也是如 此。 r 1 ：密钥的安全确认：只或者b 对于需要加密的数据产生可验证可恢复的相关数据项。 对于这些数据项的要求是：另一方( 包括s t t p ) 可以确认加密项的真实一致性，但通过确 认这些数据去推导出加密信息是足够难的。 r 2 ：密钥恢复的可保证性：如果一方已经确认了密钥的正确性，则应该提供了充足的方法， 保证s t t p 能够恢复加密的密钥。 r 3 ：角色限制： s t t p 仅有恢复密钥的功能，而并不能得到更多的有价值的东西，如交易 双方交换的文件等。 r 4 ：过失行为检测及容错：e h 于不能假定交易双方真实可信，则任何一方在交换过程中出 现的有意或无意的过失行为，应能自动检测到，并进行判断处理，保证公平性。 r 5 ：封闭性：非涉及到公平交换的其他方，都不能获得交换的数据。 2 3 协议的轮廓 在设计协议的过程中，我们发现，文件交换和签名交换的机制有些不同，我们将分开 来进行协议的设计。 协议应该包括两个部分：交换子协议和恢复子协议。 交换子协议是处理正常情况下数据交换的过程，在该过程中积累一定的恢复依据，以 便于出现非正常情况的数据恢复。双方都可以随时退出交换，而不影响交换的公平性前提。 恢复子协议是在非正常情况下，即交易的一方得到了对方的数据，而另一方却没有得 到，这时候，可能受到损害的一方向s t t p 请求数据的恢复。但是也必须考虑到其中的一方 可能恶意地请求数据的恢复。 由于将要使用到双方的密钥作为验证的工具，考虑到构造数学函数的因素，我们将使用 基于r s a 算法的公钥机制。 第6 页 鬯堕型兰垫查叁兰塑壅尘堕竺生笙奎 3 1 术语 第三章文件交换协议 丘( 力表示数据项j 的密文，所用的密钥为七。在本文中历( 曲可能采用r s a 算法加 解密，也可能采用d e s 对称加密算法，将根据具体情况予以注明。 ，( 力= 工2r o o d n 是一个单向函数，n 是两个大的质数的乘积，并且该函数的定义域及值 域在z ：上( 如小于并且与n 互素的正整数集，见f r a n k l i nm a t t h e wk 编著的“f a i r e x c h a n g ew i t has e m i t r u s t e dt h i r dp a r t y ”) 且假定对n 进行分解是难的。注意到 若f ( x 。) f ( x ：) ，则显然而x ：，且通过，( 曲来求得x 是足够难的。 1 1 j ( 曲是单向h a s h 函数，具体性质详见附录。 只一只：1 1 1 表明只发送消息1 1 1 给尸，。 c o 。是r 的委托条件数，它能保证交易另一方只通过s t t p 的协助进行密钥的恢复，且只 在不知道k b 的情况下能够验证其正确性。 3 2 协议假定 只拥有文件现和一个对称密钥屯( 可用于对现加解密) 。 只知道 以= ( e k 。( b ) ) ，f ( k b ) a 与此相似，只有h d a = ( e k 。( 见) ) ，f ( k a ) 。 只拥有一对公私密钥对p k 。，s 女。，与此类似，只有p 心，s 屯，且互相知道对方的公钥。 只有p t = e ，月，) 和s k , = 吐，”，) ，且只、只都持有p 的公钥证书。 假定胆= n ，。 只和只要求相互交换各自拥有的文件。 3 3 协议流程 3 3 1 交换子协议 不妨假定由只发起，流程描述如下： 1 只发送密文既( 助、机给只 2 在只成功收到既( 现) ，并经过验证后，只向只发送密文毛( 脚、饥以及。 3 只成功确认民( 脚、饥以及c o 。后，只发送吒给只， 4 只收到后，确认并用于密文的解密成功后，发送 给只 岳：只在厂( ) 域内选择一个随机数名，通过计算得到吃= ( 屯) m o d n t ，其中。1 是 第7 页 里堕型主垫查查兰堕塞生堕堂垡迨壅 满足( 。) m o d n ，= i s e s s i o n 号s n 用于对此次交换的标识。只用只的公钥础。对 s n 、饥进行加密，即& 。( 矾) 。 在收到只的数据后，只用自己的私钥砝j 对( s 见眈) 进行解密，得到s n 、饥。 同时对玩( 彩做h a s h 运算，并做如下验证： v e r i f i c a t i o n ，：检验 ( 皖( 脚) 与五d ( 见上述假定) 是否相等，即五( 屹( 历) ) = h d , 如果验证失败，则只可要求只重发消息。如果一直不成功( 可设定允许失败的次数) 。 只可以终止协议的运行。只也可自动终止，不影响交换的公平性。 如果验证成功，则只进行到下一轮。 昱：与只相似，只随机产生数，计算得到饥= ( k s - 1 ) m o d n ， 并且，在和的基础上，构造一个委托数据c d 。该数据的作用是，使得只可以 确信只能够从c o 。对进行有效恢复。关于c o 。的形成和相关验证在下节再述。然后， 只将玩( 、e 肚。( 饥，c o 。) 及册发送给只。在收到只发送来的数据后，只首先判 断玩( 脚的正确性，判断方法同v e r i f i c a t i o n1 。然后用自己的私钥s 丸解开 e 砷。( 晚，c 0 6 ) ，得到c 和饥。在验证成功的情况下( 有关验证的细节，将在下节进行 叙述) ，只转入交换的第三轮。 s u b - p r o t o c o l e 。p d _ p b i s h ，e t 妒0 ，e 醉心n b n ) e p b _ p 。：s n ，e k ( d b ) 。e 眯i h b c o b 、 e p 口4 p o ：s n ，r d 巨n _ p o ：s 月， i t e md e f i n i t i o n s e s s i o n 号 巴的文件，以及加密该文件的对称密钥 的公私钥对 p 6 的对称密钥及需要交换的文件 一产生的随机数 尸口的首轮交换数 产生的随机数 p 的首轮交换数 r 的委托数据 只的公私钥对 t a b l e1 ：d o c u m e n te x c h a n g es u b p r o t o c o 第8 页 k 娃如 ，曲 c如玩。饥饥如 里堕型堂丝查叁兰三塑窒兰堕堂壁迨塞 厶：只发送给只。只采用下列运算，得到屯。 丸+ = ( 吃r 。) m o d n ， v e r i f i c a t i o n 易验证，( 屯+ ) = 厂( 屯) 是否成立。 如果等式成立，则r 用k 。对民( 脚进行解密，从而得到见。 臣：只发送r b 给只，只采用与上述相同的办法及验证，得到k 。和d 6 。 3 3 2 恢复子协议 s u b - p r o t o c o l n 尸。+ p t ：e p k t ( s n , 屹，f ( r b ) ，c 0 6 ) 疋尸，巴：e p k a ( s i t ，r b ) 乃 p ，斗p b ：昂b ( s n ，吃) i t e md e f i n i t i o n 厂( 0 ) f ( r b ) = f ( k 。) ，( 纯1 ) = f ( k b ) ，( 饥。1 ) t a b l e2 ：o f f - l i n ek e yr e c o v e r ys u b - p r o t o c o t 1 ：在这一轮中，只将用于恢复所必要的数据传给只。其中，f ( r b ) 如上所示，通过计算 得来。另外，尼必须将一并传给只。只通过解密后，算出吃值，执行下一轮。 正：只将传给只。 乃：在必要的情况下，只也可以将值传给只。 3 4 密钥恢复 现在来看只怎样产生委托条件数c 吼，c o t , 必须满足数据恢复的公平性的要求： a 只不能通过c o 。计算得到_ ，同时，如果只不将真实的乞给只的话，只也无法算 出气。 只在产生c d 。的过程中，必须以只提供真实的屹为前提。 只首先定义以下函数： 然后计算出 p ( x ) = ( + x ) r o o d n 第9 页 国防科学技术犬学研究生院学位论文 通过v e r i f i c a t i o n 3 ，只判断只提供的数据r d 是否真实一致，间接通过只提供的 厂( ) 来验证是否真实一致。若腿r j 厅c 8 f 鲫? 验证正确，则即为所求。 3 5 分析 3 5 1 安全性分析 在只发送圯之后，只由于不知道屹的。由饥= ( 七。k ) m o d n 。可知，他并不能由 此得到屯。与此同时，只在等待从只那里传过来的c o 。，通过它，只可以确信即便只出现 恶意行为，是否仍然可以得到， 。这样，如果验证成功，只完全可以放心地进行下一轮的 数据交换。 而如果只在得到c o 。之后，不再进行数据的交换，而向只发送恢复请求的话，它必然 要通过的一致性的验证。即只必须提供真实一致的0 ，从而可以保证只也可以得到名。 在恢复子协议中，由于对c o 。= ( e p ，e p ，) 用进行只的公钥进行加密，则只无法由此计算得 到r b 。由上面的分析，如果只不提供真实一致的的话，它也不能得到。同时，由于只 对c o 。进行的验证中，使用的f ( r b ) 是由f ( r b ) = f ( k b ) 厂( 皖) 。1 m o d n , 得到，自然地，只能 够为只提供真实的 。 3 5 2 性能简要分析 p r o t o c o l0 u r p r o t o c o l n u m b e ro f m e s s a g e s4 n u m b e ro f3 e x p o n e n t i a t i o n s n u m b e ro f e s a7f o rah a s hv a l u e k e y e n c r y p t i o n s d e c r y p t i o n s 8f o ro t h e ri t e m s n u m b e ro f d e s6f o ras y m m e t r i c e n c r y p t i o n s d e c r y p t i o n sk e y n u m b e r 4 f o r d a 4 f o r d b 第1 1 页 国防科学技术大学研究生院学位论文 4 1 概述 第四章签名交换协议 在该协议里，我们采用基于r s a 的数字签名算法，包括签名数据的恢复等。数据恢复 的概念是建立在加密签名数据的可验证性和可恢复性的基础之上的。也就是说，在交换的 过程中，对方在没有得到完整数据的前提下，可以验证交换数据的正确性和真实性：而第 三方在授权的情况下，可以得到加密信息，但并不能知道双方的交易信息。由于所基于原 则的广泛适用性，交易方往往比较愿意在交换过程中发送起签名信息。值得一提的是，在 验证的过程中，并不需要任何原始证据的交互( 即不需要与上一协议相同强度的条件假设) ， 从而使得该协议的实用性更强。 公平交换的要求： p 。和p 。在离线的s t t pp 。的协助下，实现公平的数据交换，所满足的条件是：交换 结束后，如果p 。得到p 。的签名s i g n 。，或者在p 。的协助下得到的话，则同时p 。也得到 了p a 的签名s i g n 。，包括在使用p 。的情况下。 4 2 协议假定 p o 和只将对文件f 进行签名，并且希望公平交换各自对文件f 的数字签名。 注意到，如果只和只有各自不同的文件和g 需要签署，那么不妨假定只对g ， 以及只对g 签名。这不会加大协议的实现难度，因为该假定的实质是在文件数据共 知的条件假设的基础上的。 只和只各自互不信任，即有可能存在过失行为的情况，比如在没有交换自己的真实数 据的情况下妄图得到对方的有价值的数据。因此，只和只都同意使用一个离线的第 三方s t t p 只来协助他们进行数据的交换，比如在他们不能够达到交换公平的目的的情 况下。我们对只的可信对进行适当的降低，即只能假定它可以协助恢复数据，而不 能由此而获得签名双方交换的真实内容。 任何一方只( 只，只，只 ) 都有一对r s a 密钥对，表示为p k , = ( p 。n ) 和s k , = ( d ， n 。) ，其中n ，是两个足够大的质数a 和。的乘积。并且满足( e xd ) m o d ( ( p ，一1 ) x ( q ，一1 ) ) = 1 。公钥p 也是由c a 签发的，对其他方公开。 由于交换的需要，不妨假定只已经得到一个由只签发的基于r s a 加密算法的证书数 据g = ( 口。，。s b 。) ，该数据将用于签名的恢复( 将在后面论述) 。注意到，公钥口k 及相应的私钥弛。可以表示为口。= ( 岛。几。) ，蛾。= ( 以。胁。) 。其中胁。是由只 产生的两个足够大的质数的乘积，不妨假定包。与e h 相等，即e b 。= e b e b 是只的公 钥础( = ( 岛，) 中的数据项。 。可以表示为。= ( h ( s k , ，础。) a i 。) m o d 儿。 其中s k , 是只的私钥，h ( s k , ，廊。) 。是h ( s k , ，p k o 。) 模1 7 b ，的逆运算，即： ( h ( s k ，砘。) h ( s k , ，p 。) ) m o d 胁。= 1 注意到，只和只共同拥有私钥s ，只没有必要专门保存s 。，因为可以通过 第1 2 页 旦堕型堂垫查盔生塑壅尘堕主壁笙苎 况。=