一种抗抵赖协议的设计与实现

一种抗抵赖协议的设计与实现

它规定了抗损伤能力：抗损伤能力用于跟踪和监测网络交互操作后的责任，具体包括抗损伤能力（防止发送者否认）和带有交付证明的抗损伤能力（防止接收者否认）。电子邮件抗粘技术可以用来解决发送电子邮件时出现的抗赖问题。已有电子邮件抗抵赖技术更多关注于传输代理(mailtransportagent,MTA)间抗抵赖,如METAsignatures以及用户代理(useragent,UA)间抗抵赖,典型的如PGP,S?MIME及大部分的“可信邮件”(certifiedmail)机制.“可信邮件”机制利用不可否认协议,实现UA与UA间的抗抵赖.国外学者设计了多种“可信邮件”协议.但大部分协议都存在可信第三方TTP(trustedthirdparty)负担重、协议交互次数多、效率低的问题.Micali在2003年提出的“简单快速的公平交换协议”中,采用“不可见”TTP,一定程度上解决了效率问题,但存在一方占优的不公平问题.Ferrer-Gomila等人提出的FPH协议及对其改进后的MD协议中,采用3次会话方式,很好地解决了公平性与效率兼顾的问题.因此有必要借鉴“可信邮件机制”,引入不可否认协议,实现UA与MTA间的抗抵赖.1抗抵赖方案的正交试验在邮件传输过程中,UA用于邮件的生成和处理,MTA负责邮件的传输.UA向MTA发送邮件时使用SMTP协议;UA从MTA收取信件时常使用POP3协议.因此,UA与MTA间的抗抵赖方案必须与SMTP,POP3等协议兼容,即将抗抵赖数据添加到SMTP,POP3协议消息序列中后不影响其正常交互.根据前言中的分析,采用三段会话的TTP离线型协议,能够在保证协议公平性的前提下,最大程度减少TTP的参与,提高效率.因此,在参考FPH协议、MD协议的基础上,结合Zhou等人在文献中对以上协议安全性方面的改进,设计了UA与MTA间邮件传输双方不可否认协议NRPUM(non-repudiationprotocolbetweenUAandMTA).NRPUM为offline-TTP型不可否认协议.1.1参与协议的安全性分析根据UA与MTA间邮件传输特性,NRPUM协议的设计目标是:1)双方不可否认性,发送方不能否认自己发送过的邮件,接收方不能否认自己接收过的邮件;2)公平性,参与协议的双方要么都不获得所需要的证据,要么同时都获得证据;3)能抵御常见的篡改和重放攻击;4)尽量不延长双方等待时间.1.2控制板发送实体之间的协议NRPUM协议的设计一般基于以下假设:1)任意参加协议的实体都相信TTP是诚实的;2)协议中用到的密码和数字摘要算法都是可靠和完善的,或至少是可更换的;3)通信信道既不安全也不可靠,通信信道可能出现各种故障,入侵者也可能窃取实体之间交换的消息,但实体与TTP之间的消息可以准确无误的传送.协议的符号说明:协议中包括3方:发送者A、接收者B、可信中心T.m是主体A发给主体B的消息.用“P→Q:X”表示主体P向Q发送消息X.KA与K−1AA-1分别表示主体A的公钥与私钥.“X,Y”表示任意消息X,Y按此顺序的串接.KAB是A随机生成的A与B之间的会话密钥.{X}KAB表示使用密钥K对M进行加密运算得到的密文.H(X)表示对X使用单向散列函数(Hash函数)得到的值.{X}−1KAΚA-1表示主体A用私钥对X加密.{X}KA表示主体A用公钥对X加密.L表示会话标识,可以是随机值.1.3关于nrpum协议消息序列为了保证协议的公平性,NRPUM协议包括3部分:正常情况下的交换会话、由发送方发起申诉的撤销会话以及由接收方发起申诉的完成会话.1旋转轴接收点a型交换会话是协议的主要部分,参与主体为A和B,在双方诚实且信道正常的情况下执行.E1.A→B:m,{L,A,{{KAB}KB}KT,{SigA}KAB}KB(其中SigA={H(L,A,m,{{KAB}KB}KT)}−1KAΚA-1).收到E1后,B发送以下消息.E2.B→A:{L,SigB}K(其中SigB={H(L,A,m,{{KAB}KB}KT,{SigA}KAB)}-1KB).收到E2后,A发送以下消息.E3.A→B:{L,KAB,Sig′A}KB(其中Sig′A={H(L,KAB)}−1KAΚA-1).2kt.4.if当Alice没有在期望时间内获得正确的SigB,则与TTP执行取消会话.C1.A→T:{L,A,H(m),{{KAB}KB}KT,SigA,{H(L,A,H(m),{{KAB}KB}KT,{SigA}KAB)}−1KAΚA-1}KT.C2.IF(finished)TRETRIEVESSigBT→A:{L,SigB,{H(L,SigB)}−1KTΚΤ-1}KAELSETSTORESCANCEL;T→A:{L,{H(L,CANCEL,SigA)}−1KTΚΤ-1}KA3利用功能la,a,h,n,n,kt,siga认为其《1kt当Bob将接收方不可否认证据SigB发送给Alice后,如果在期望时间内没有收到Sig′A,则可以与T执行以下会话:F1.B→T:{L,A,H(m),{{KAB}KB}KT,{SigA}KAB,SigB,{H(L,A,H(m),{{KAB}KB}KT,{SigA}KAB,SigB)}−1KBΚB-1}KTF2.IF(cancelled)T→B:{L,{H(L,CANCEL,SigB)}−1KTΚΤ-1}KAELSETSTORES(FINISH)andSigBT→B:{L,{H(L,{KAB}KB,{H(L,{KAB}KB)}−1KTΚΤ-1}KB1.4nrpum协议的基本特性NRPUM协议具有可行性、公平性以及可追究性.以下将协议的特性进行分析:1)可行性可行性是指双方都按照协议执行交换会话后,B从消息E1中得到{SigA}KAB,从消息E3中得到KAB,通过解密运算,得到发送方不可否认证据SigA.而A则可以由消息E2得到接收方对消息的签名SigB.因此协议是可行的.2)公平性公平性是指B可得到A的签名SigA当且仅当A得到B的签名SigB.公平性包含了双方不可否认性,保证A,B中任何一方不能欺骗对方.在交换会话中,若有主体看到了{{KAB}KB}KT,协议保证该主体一定也看到了{SigA}KAB,且该主体一定是B,因为消息E1用B的公钥加密过,只有拥有私钥的B才能看到消息内容.B只有在执行了E2后才能得到KAB从而计算出SigA.协议除交换会话外还包括“取消会话”和“完成会话”,保证收发双方都有请求TTP做出合理仲裁的权利.若A在得到SigB后拒绝发送KAB.则B可发起“完成会话”,发送F1给TTP,TTP判断协议应被完成,计算出{KAB}KB发送给B.B得到{KAB}KB,计算出KAB,从而得到SigA.若B在收到E1后拒绝向A发送SigB,A可以发起“取消会话”,由TTP宣布E1无效.若B抢先向TTP发送F1企图得到{KAB}KB,TTP在验证F1中的SigB正确后才能发送{KAB}KB给B.同时也将保存SigB,A的取消请求到达,告诉A协议已完成,并将SigB发给A.综上所述,NRPUM协议保证了参与双方要么都得到所期望的证据,要么都得不到,实现了公平性.3)可追究性可追究性是指出现纠纷时,能向仲裁机构提供有效证据证实某一方的不诚实的行为.协议结束后,A可以向仲裁机构提供SigB,证实B确实收到了消息m,L以及{{KAB}KB}KT.B可以提供SigA,证明A发送过消息m,L以及{{KAB}KB}KT;还可以提供Sig′A,证明A发送过L以及{KAB}KB.4)NRPUM协议除了以上基本特性,还具有以下安全特性:①每条消息都包含会话标识,可以在一定程度上防止重放攻击;②每条消息以及会话密钥都用接收者的公钥加密过,只有接收者用私钥才能解密,保证会话标识、会话密钥等不会被他人得到;③将交换会话的消息E1中的明文m改为{m}KAB,则可实现邮件的机密性.但机密性不是本文的研究范围,因此在下一节的抗抵赖方案中,没有改变POP3与SMTP明文传输邮件的特性.1.5协议交互次数对NRPUM协议性能的分析如下:1)对可信第三方的信赖程度较轻,TTP不参与交换会话,因而不会成为系统瓶颈.2)尽可能减少协议交互次数.正常情况下协议只需3次数据交互即可完成一次通信,协议的交互次数少于Zhou和Gollmann协议、Abadi协议等In-line,On-line协议.2基于nrpum协议的电子邮件抗损伤SMTP和POP3是应用范围最广泛的两种邮件传输协议.本节阐述如何将NRPUM协议封装到SMTP,POP3协议中.2.1控制消息为了将NRPUM消息与SMTP,POP3消息区分开来,设计了以下消息结构,如图1所示:在图1中,序号域为整数,32b长.PCI(protocolcontrolinformation)指“协议控制消息”,包括若干保留位以及3个标志位:EXC,CAN,FIN,当消息属于交换会话时EXC位被设置为1;当消息属于取消会话时CAN被设置为1;当消息属于结束会话时FIN位被设置为1.SDU(servicedataunit)服务数据单元中包含NRPUM的消息,该域长度可选.NRPUM消息将被按照以上格式封装在SMTP,POP3消息中发送.2.2smtp.3.3.3存在附加抗抵赖消息本节以SMTP协议为例,介绍NRPUM消息是如何被封装到邮件传输协议中的.在正常情况下,UA与MTA间执行NRPUM协议中的交换会话,如图2所示.UA在最后一行邮件后附加抗抵赖消息NRPUM.E1.MTA在收到上面的消息,解密验证后,发送SMTP应答码“250OK”与NRPUM.E2.UA验证NRPUM.E2,回复SMTP命令,如“QUIT”以及NRPUM.E3.当UA端发送完邮件后(图2中(1)处),如果在规定时间内没有收到MTA的有效回复,UA发起“Cancel”会话.当MTA端发送完接收方不可否认证据后(图2中(2)处),如果在规定时间内没有收到UA端的有效回复,那么MTA就向TTP发起“Finish”会话.2.3基于nrpum协议的电子邮件抗护剂的实现和验证为了验证设计方案的可行性,本节将详细阐述基于NRPUM协议的邮件抗抵赖方案的实现情况.2.3.1抗抵赖模块ta和mapper产品采用IntelX86(PentiumⅣ1.7GHz,512MB)的计算机作为硬件平台.采用微软的SPI(serviceproviderinterface)技术,实现UA端的抗抵赖模块.该技术可以捕获Outlook,Foxmai等UA在SMTP,POP3协议中对Winsock函数的调用,然后调用抗抵赖模块,对消息进行修改.sendmail与qpopper是世界上应用范围最广泛的邮件服务器软件,分别提供SMTP服务和POP3服务,因而我们采用修改sendmail8.12.10和qpopper4.0.7源码的方法实现MTA端的抗抵赖模块.证书授权机构CA采用OpenSSL-0.9.7e源码包中自带的CA运行实例.2.3.2实验结果分析为了验证实现的系统是否能达到抗抵赖的目标,以下从不可否认交互功能与证据保存功能两方面对实现的系统进行了验证,并选取了部分实验结果截图进行证明.1)发送方收到伪造的接收方不可否认证据(以SMTP为例).UA发送邮件后,令邮件服务