一种基于可信第三方的公平非抵赖信息交换协议

一种基于可信第三方的公平非抵赖信息交换协议

1接收方优先的非抵赖协议随着互联网电子商务和互联网银行等服务的普及，以前的网络安全服务，如信息加密和身份认证，不能完全满足安全的需求。随着新的网络安全服务《公平补偿声明》的制定，它引起了人们的注意并迅速发展。所谓的“公平补偿协议”意味着信息发送者可以接收接收方接收信息的证据，接收者还可以获得接收方发送信息的证据。换句话说，双方都不能否认参与信息交换的意见。根据公钥和数字签名的技术基础，公平补偿协议主要分为两种类型：需ttp协议和不瑾样协议。其中,需TTP协议又可以分为以下几种:(1)inlineTTP:TTP参与协议中的每次信息传输,这将给网络造成较大的负担,并且当TTP负载过大时,会影响协议执行的效率.(2)onlineTTP:TTP参与每次协议,但不参与每次传输以便减轻一些网络负担.(3)offlineTTP:TTP平时不参与协议,仅在出现争议时才参与.(4)transparentTTP:从得到的信息发送与接收证据上并不能看出TTP是否参与了本次协议.上述需TTP协议在安全性方面都有着明显的不足,协议能否顺利进行主要依赖于TTP,如果TTP受到攻击,那么,协议将失效,特别不适合无中心的移动自组网络,因此迫切需要无需TTP的公平非抵赖协议.无需TTP协议的优点在于既可以避免网络在TTP处发生拥塞,又可以避免协议对TTP可信度的依赖.事实上,TTP的可信度是很难评估的,如果TTP被恶意节点攻破,轻则造成拒绝服务,使协议不能继续运行,重则签发虚假的证据,带来不可估量的损失.因此,无需TTP的非抵赖协议一直是人们研究的热点,并做了大量工作,但直到1999年,才由Markowitch和Roggeman提出了一种较完整的ε概率型无需TTP的非抵赖协议.当协议结束时,发送双方都收到对方参与本次信息交换的证据或双方都收不到该证据的概率为1-ε.然而,在此协议中,信息交换双方的地位是不对等的,接收方有更多的机会(取决于接收方的计算能力)欺骗发送方,即得到发送方证据的同时而不返回自己接收信息的证据,从而,破坏了协议的公平性,因此,它称之为接收方优先的非抵赖协议.本文在分析了接收方优先的概率型无需TTP非抵赖协议安全性缺陷的基础上,设计了一种发送方优先的协议,并根据双方的计算能力提出了一种可协商的无需可信第三方的公平非抵赖信息交换协议以克服当前协议所存在的安全问题.2接收方安全保证该协议是由Markowitch和Roggeman在1999年提出的.假设Alice需要发送一段明文m给Bob,首先,她选择一个会话密钥k,并用k加密m得到密文c.然后,Alice随机选择一个值n(例如可以根据几何分布选择n,这个n对Bob保密,并决定了本次协议迭代的次数)和n-1个等分布的独立随机变量ri(i=1,2,…,n-1),ri的值应与密钥k为同一数量级.设SA(),SB()分别是Alice和Bob的签名函数,f为消息标志,lp为协议标志,则协议中相关符号如表1所示.在协议开始时,Alice首先发给Bob密文c和相应的证据EOO,Bob返回EOR给Alice,表示他收到了密文c.然后,Alice依次发出所选的n-1个随机变量ri及相应的证据EORk,I,Bob在每次接收到ri时,必须立即向Alice发送其收到ri的证据EORk,i,否则,Alice将不会发送下一个ri值,并中止协议.最后Alice向Bob发送会话密钥k以及相应证据EOOk,n,因为Bob不知道n的值,不能区分k与前面的随机变量ri的区别,因此,他会依旧向Alice发送有关本次接收的证据EORk,n.Alice在收到此证据后停止发送,Bob在等待一段时间后即可计算m=Dk(c).当协议结束时,Alice和Bob都得到所需的证据,即该协议满足非抵赖要求.然而该协议存在着下列两个缺点,影响其安全性:(1)Bob虽然不知道Alice选择的n值,但是可以去猜测这个值.不妨设其猜测的值为n′,这样,当他接收到Alice发出的rn′时,他将不会发送接收证据EORn′.设Bob猜对的概率为ε,则Bob收到Alice发送的消息m和相关证据NRO,但同时Alice却没有收到Bob接收消息的证据NRR的概率为ε,亦即协议公平性被破坏的概率为ε,并且当公平性被破坏时,只可能由发送方Alice受到损失,因为,除非协议正常完成,否则Alice都将无法得到Bob接收消息的证据.也就是说在安全保证方面,接收方有着较高的优先级.虽然可以通过合理选择n使ε为一个很小的数值,但在某些情况下仍然可能威胁到系统特别是发送方Alice的安全性.(2)如果消息的接收方Bob有足够的计算能力,那么他除了猜测n值,还可以利用更直接有效的攻击方式,即在每次收到ri值时,用该值对密文c解密(计算Dri(c)),如果解密成功(即ri=k),Bob就不再向发送方Alice返回自己的接收证据.Alice为了防止Bob的这种做法,需要设置一个截止期deadline,当他发送完一个ri后,要求在deadline到达之前收到Bob接收ri的证据,否则Alice认为Bob有意欺骗而终止协议.因此,协议的安全性建立在假设接收方Bob不能在deadline之前使用ri完成解密计算的基础上.通常由Alice估计接收方Bob的计算能力,然后选择合适的加密机制以及deadline的大小来确保Bob不能在deadline之前解密成功.但如果Bob的计算能力超出了Alice的预计,则Alice将无法防止Bob可能的欺骗.由上可知:在该协议中,发送方面临的安全风险要大于接收方.因为接收方可以利用猜测n值或进行解密计算来避免向发送方返回自己的接收证据,从而违背协议公平性的要求.而相对来说,发送方却难以在逃避自己的签名义务的同时获得对方的接收证据,因而在信息交换过程中处于弱势地位.3数据发送方式在某些情况下,发送方不愿采用上面的协议,比如接收方拥有很强的计算能力,可以轻易利用自己在该协议的优势地位完成欺骗,因此,我们设计了一种发送方优先的非抵赖协议,并分析了其安全性.当发送方Alice需要向接收方Bob发送消息m时,首先,她选择一会话密钥k,并用k加密m,得到密文c=Ek(m).然后,将密文c和对c的签名发给Bob,Bob收到后发给Alice自己接收到密文c的证据.最后,Alice向Bob发送会话密钥k,Bob收到k后,首先计算接收到k的证据EORk,但是并不立即向Alice发送EORk,而是选择n-1个独立随机变量ri(这些值应与EORk为同一数量级),然后,依次向Alice发送这n-1个值,而每次Alice收到一个ri时,首先计算hash(k,ri)(hash()为单向哈希函数),然后,发给Bob对ri和hash(k,ri)的签名.如果Bob在一段时间内没有收到Alice的上述应答,就会停止后面的发送.最后,Bob向Alice发送EORk,由于Alice无法区分,仍会向Bob发出相应签名,Bob在收到签名时结束协议,信息交换完成.协议用到的符号见表2(SA(),SB()分别是Alice和Bob的签名函数,f为消息标志,lp为协议标志,h为单向hash函数).在本协议中,Bob在收到Alice发出的密文c及对密文的签名EOO后,发给Alice密文c的接收签名EOR.接着Alice发给Bob密钥k,Bob在收到以后,为了获得Alice对密钥k的签名,必须向Alice返回对密钥k的接收签名EORk,但为了防止Alice的欺骗,在发EORk之前先发n-1个独立随机值,Alice对收到的每个随机值ri及EORk都做同样的处理:首先使用单向hash函数将k与ri绑定,即计算hash(k,ri),然后对ri和hash(k,ri)签名,并返回给Bob.Bob在每发送一个ri值后,等待一个deadline时间,如果过期仍未收到Alice的应答则终止协议.如此当i=n时,所得签名也即Alice发送密钥k的证据EOOk.当协议顺利完成后,Alice得到了Bob接收密文c的证据EOR=SB(fEOR,A,lp,c)和接收密钥k的证据EORk=SB(fEORk,A,lp,k),EOR和EORk可以证明Bob接收到消息m.同时,Bob也得到了Alice发送密文c的证据EOO=SA(fEOO,B,lp,c)和发送密钥k的证据EOOk=SA(fEOOk,EORk,h(k,EORk),B,lp,k),这样就实现了双方均不可抵赖的要求.协议安全性分析:(1)为什么EOOk可以作为Alice发送密钥k的证据.当Alice企图否认发送密钥k时,Bob可以提供给公正方EOOk,公正方使用Alice的公钥解开Alice的签名,得到k,EORk和h(k,EORk),然后用Bob的公钥验证EORk是否的确是Bob对k的有效签名,如果是,公正方计算h(k,EORk),然后与Alice的计算结果相比较,如果相等则说明签名有效.(2)Bob在收到Alice发送的密文c和密钥k以后,如果不向Alice发送自己对k的接收证据EORk,那么他同样得不到Alice发送k的证据EOOk,Alice完全可以否认发送过该消息,因此不会破坏协议的公平性.(3)Bob向Alice发送自己收到k的证据EORk之前,必须向Alice发送n-1个独立随机变量,由于Alice无法区分这些变量和EORk,因此Alice会返回发送k的证据EOOk.但是,如第2节所述,Alice可以使用猜测n值或使用Bob的公钥验证EOOk的方法(能否奏效取决于Alice的计算能力与Bob采用的deadline)来进行欺骗,因此,本协议是发送方占优的协议.(4)Alice每收到Bob发来的ri值,都要返回接收ri的证据EOOri=SA(fri,ri,h(k,ri),B,lp,k),虽然该签名包含了k的信息,但Bob并不能使用它来充当Alice发送k的证据.因为公正方首先会使用Bob的公钥去验证ri是否的确是Bob对k的签名,如果不是,则该证据无法证明Alice发送过k.与第2节的协议相比,本协议是一种发送方优先的协议,也就是说发送方有机会采取欺骗方式:猜测n值(成功率为ε)或解密报文(取决其运算能力)来逃避自己的签名义务,破坏协议的公平性.因此,本协议比较适合发送方的计算能力远小于接收方的情况.4信息交换过程本节提出了一种基于计算能力的可协商的公平非抵赖协议,它将第2节和第3节的协议进行结合,并根据双方的计算能力来协商决定谁能在信息交换中居于优势地位.Alice首先将密文c和对c的签名发送给Bob,然后Bob返回接收c的签名和自己是否愿意接受发送方优先协议的标志.Alice检查这个标志,如果Bob同意发送方优先,那么协议剩余过程按第3节中发送方优先的方式进行.如果标志显示Bob不同意发送方优先而Alice认为Bob的计算能力不足以在deadline之内解密c,他就可以选择接收方优先的协议,向Bob发送自己选择的n-1个独立随机值,并且以后的步骤都按第2节中接收方优先的协议进行.反之,如果Alice不愿意采取接收方优先的协议,那么他将此决定通知Bob,如果Bob愿意更改自己的决定,接下来将按发送方优先的协议进行,否则由于双方都认为对方的计算能力可以在deadline内完成解密运算,并且不愿意承担由此造成的安全风险,本次信息交换将被取消.协议过程如图1.其中FLAG1为Bob第一次是否同意发送方优先的标志,FLAG2为Bob在第二次得到通知时是否同意更改决定的标志(1表示同意,0表示否).INFORM为Alice再次发给Bob是否愿意接受发送方优先的标志.其余符号见表1和表2.本协议根据信息交换双方的计算能力,选择采用接收方优先还是发送方优先的公平非抵赖协议,这样就解决了由于信息发送和接收双方计算能力不对等而造成的安全问题.协议最多采取两次协商,增加了信息成功交换的机会.而如果在两次协商后,双方均不同意按对方优先的条件来交换信息,本次会话将被关闭.A→B:fEOO,B,lp,c,EOO;B→A:fEOR,A,lp,EOR,FLAG;If(FLAG=1)//B同意发送方优先,下同2.2{Label:A→B:fk,B,lp,kB→A:fr1,A,lp,1,r1A→B:fr1,B,lp,EOOri……B→A:frn-1,A,lp,n-1,rn-1A→B:frn-1,B,lp,EOOrn-1B→A:fk,B,lp,n,EORkA→B:fk,B,lp,EOOkENDSESSION}ElseIf(AagreeB)//A同意接收方优先,下同2.1{A→B:fEOOk,1,B,lp,1,r1,EOOk,1B→A:fEORk,1,A,lp,EORk,1……A→B:fEOOk,n-1,B,lp,n-1,rn-1,EOOk,n-1B→A:fEORk,n-1,A,lp,EORk,n-1A→B:fEOOk,n,B,lp,n,k,EOOk,nB→A:fEORk,n,A,lp,EORk,nENDSESSION}Else(A→B:finform,lp,INFORM)//A再次发给B通知B→A:fflag2,lp,FLAG2;If(FLAG2=1)转至Label//B同意发送方优先,下同2.2ElseENDSESSION//双方都不同意对方优先,终止会话图15tp协议的非抵赖协议的安全性分析公平非抵赖信息交换协议是随着互联网业务的发展而出现的一种新的安全需