李磊 王育民
西安电子科技大学综合业务网国家重点实验室 陕西 710071
非否认协议广泛应用于电子商务、认证电子邮件等领域。自 Zhou等人提出的公平的不可否认协议起,非否认协议得到了深入而广泛的研究。最初非否认协议的研究仅限于对双方非否认协议的研究,随着研究的深入,多方非否认协议成为研究的热点。多方非否认协议通常指有一个发送方多个接收方的非否认协议,根据发送的消息不同,可分为发送相同消息的多方非否认协议MPNR_S协议)和发送不同消息的多方非否认协议(MPNR_D协议)。
协议由exchange、abort和recovery三个子协议组成。在参与方都诚实和信道可靠的情况下,只需使用exchange子协议就可以完成信息交换,但在参与方不诚实或其它异常情况下,需要运行辅助的子协议,来保证协议公平。
协议采用自由加密假定,即一个密文只能用一种方式看待。此外,协议假定可信第三方与协议参与者之间使用弹性信道,而除TTP外的协议参与者之间的信道为不可靠信道。协议中的发送者、所有接收者集合和可信第三方分别使用O、R和T代表。A→B代表用户A向用户B单播一个消息,A⇒S代表用户A向集合S中的用户广播一个消息。使用uA代表用户A的公钥,vA代表用户A的私钥,{m}k代表用密钥k对m加密,h(m)代表抗碰撞攻击的单向哈希函数,ES(m) 代表用群加密机制对m加密,只有集合S中的用户才能解密。
为了能够自适应相同消息和不同消息的情况,协议设计集合Gi代表接收相同消息的接收者集合,使用N代表接收者的数量,I代表需要发送的不同消息的数量。
初始化集合Gi的作用是将接收者按照待接收消息不同分别划入集合Gi。过程如下:
其中,mi代表第i个不同的消息,mRj代表接收者Rj待接收的消息。初始化过程逐个考查接收者待接收的消息,将接收相同消息的接收者加入集合Gi中。最后形成I个集合,每个集合中的接收者接收相同的消息。
显然当I=1时,所有接收者都在同一个集合中,协议退化为 MPNR_S协议;当I=N时,所有集合Gi中,都只有一个接收者,协议退化为MPNR_D协议。
1.O⇒Gi:l,O,Gi,T,{mi}ki,EGi(ni),h(k),{l,k}uT,EOOi. i∈{1,I}
2.Ri→O:l,O,EORi.
3.O⇒R':l,ER'(k).
其中,ni是O为每个接收者集合选择的随机数,ki=k⊕ni是加密mi的密钥,k由O选择,l=h(O,R,T,{m1}k1,{m2}k2...,k)是 协 议 运 行 的 惟 一 标 识 符 ,EOOi={l,{l,k}uT,h({mi}ki),h(k),h(ni)}vO是 发 方 证 据 ,EORi={l,{l,k}uT,h({mi}ki),h(k),h(ni)}vRi是Ri的接收方证据,R'代表成功向O发送了正确的EORi的接收者集合。
发送exchange子协议消息1一段时间后,如果O没有收到来自Ri的EORi,则将Ri加入集合R'',发起abort子协议,向可信第三方要求与R''内的接收者终止协议。
1.O→T:l,O,R'',T,h({mi}ki,h(k),Abortreq
2.T: FOR all Ri∈R''IF(Ri∈R''R)THENretrievesEORi;ELSEaddRiintoR''A;
3.T→O:l,R''A,allretrievedEORi,Abortcon
其中,R''R代表在TTP收到abort请求之前,已经通过recovery子协议,从可信第三方处获得了k的接收者集合,R''A代表经过可信第三方确认的,终止协议的接收者集合。Abortreq={l,R''}vO代表O向可信第三方发送的终止协议请求,Abortcon={l,R'',R''A,Abortreq}vT代表可信第三方向O确认与R''A中的接收者终止协议。
通过exchange子协议,iR如果没有收到来自O的密钥k或收到的k不正确,则可以发起recovery子协议,要求可信第三方协助完成协议。
1.Ri→T:l,O,Ri,T,h({mi}k),h(k),
{l,k}uT,EOOi,EORi,RecovRiT: IF (Ri∈R''A)THEN
2.T→Ri:l,Abortreq,AbortRi
ELSEaddRiintoR''R;
2'.T→Ri:l,{k}uRi
其中RecovRi={l,{l,k}uT}vRi代表Ri向可信第三方发出的recovery请求,AbortRi={l,Ri,EORi,Abortreq}vT代表可信第三方通知Ri协议已经终止的证据。
发方不可否认:如果O否认曾经向Ri发送消息mi,则Ri可以出示证据NRO=(l,T,mi,ni,k,EOOi),通过 l,T,mi,ni,k验证EOOi={l,{l,k}uT,h({mi}ki),h(k),h(ni)}vO,即可证明O确实曾经向Ri发送消息mi。
收方不可否认:如果Ri否认收到了来自O的消息mi,则O可以出示证据NRR=(l,T,mi,ni,k,EORi),通过l,T,mi,ni,k验证EORi={l,{l,k}uT,h({mi}ki),h(k),h(ni)}vRi,此时,如果Ri不能出示AbortRi,即可证明Ri确实收到了mi,但如果Ri出示了AbortRi,则说明O在收到EORi后,没有把k发给Ri,而抢先要求可信第三方终止了与Ri的协议,因此,应判定Ri没有收到mi。
在协议参与方都诚实的情况下,显然协议会按照exchange子协议运行,即使信道不可靠,也可以由about子协议和recovery子协议弥补,由此前对于协议的描述可知,协议运行只有两种结果:①O获得NRR且Ri获得NRO;②O没有获得EORi且Ri没有获得k。两种结果下,协议都公平。
如果O不诚实,则O希望获得NRR,但不提供k给Ri。如果O伪造 exchange子协议的消息 1,显然得不到有效的EORi。如果O伪造exchange子协议的消息3或者不发送消息3, Ri可以通过可信第三方获得k或者AbortRi,都不影响协议公平性。
如果Ri不诚实,则Ri希望不提供正确的EORi给O,转而从可信第三方得到k。不论Ri发送错误的EORi给O或者不发送EORi给O,O都会要求可信第三方终止与Ri的协议,abort子协议运行的结果只有两个:①O获得Abortcon,稍后可信第三方仅将AbortRi发送给Ri;②Ri已经获得k,O从可信第三方处获得EORi。由于在Ri的recovery请求中包含了与EORi内容相同的EOOi,因此, Ri不可能通过欺骗可信第三方而使O获得伪造的EORi。abort子协议运行的两种结果,都不影响协议公平性。
非否认协议的效率分析中,通常把公钥运算量、通信量以及可信第三方资源占用量作为考查的重要指标。由于通过exchange子协议正常完成交换的用户数远大于使用abort子协议和recovery子协议的用户数,因此本文对效率的分析仅考虑exchange子协议。本文协议与一个MPNR_S协议和一个MPNR_D协议的比较如下。
在发送I个消息给N个接收者时,MPNR_S协议需运行I个实例,每个实例发送一个消息,而本文协议仅需运行一次,可信第三方也仅需存储一次协议状态。MPNR_S协议的每个实例都需要使用一个k加密消息,本文协议仅需使用一个k,但需要为每个消息选择in并加密。MPNR_S协议每个实例需要广播发送消息一次,广播发送密钥一次,I个实例需要2I次广播,而本文协议依次广播I个消息,但只需1次广播发送密钥。具体比较如表1所示。
表1 与MPNR_S协议比较
与MPNR_S协议相比,本文协议以增加一次公钥运算的较小代价,减少了 1I- 次广播通信量,并且大大降低了可信第三方的资源占用量。
在发送I个消息给N个接收者时,虽然 MPNR_D协议和本文协议都只需运行一次,但 MPNR_D协议需要为每个接收者计算 EOOi,选择 ni并加密,而本文协议仅需为每个集合 Gi进行这些公钥运算。MPNR_D协议需要依次单播消息给所有接收者,而本文协议需要依次广播消息给 Gi,对EORi和密钥的发送,两协议都需要N次单播和一次广播。具体比较如表2所示。
表2 与MPNR_D协议比较
与 MPNR_D协议相比,本文协议减少了2N-I次的公钥运算,增加了I次广播,减少了N次广播。
通过将接收相同消息的接收者划入集合Gi,然后依次向Gi广播发送消息的方法,本文提出了一个自适应多方非否认协议。协议在 1I=时退化为MPNR_S协议,在I N= 时退化为MPNR_D协议。在1IN<<时,与MPNR_S协议和MPNR_D协议相比,本文协议在公钥运算量、通信量以及可信第三方资源占用量等方面,效率均有提高。
[1] ZHOU J,GOLLMANN D.A fair non-repudiation protocol[C]//in Proceedings of the 1996 IEEE Symposium on Security and Privacy.Oakland.1996.
[2] KREMER S,MARKOWITCH O.A multi-party non-repudiation protoco[C]//in 15th International Conference on Information Security. Beijing.China.IFIP World Computer Congress.2000.
[3] MARKOWITCH O,KREMER S.A Multi-party Optimistic Non-repudiation Protocol[C]//in Information Security and Cryptology - ICISC 2000:Third International Conference. Seoul,Korea:Spinger-Verlag.2001.
[4] FERRER-GOMILA J L,PAYERAS-CAPELL M,and HUGUETROTGER L.A Realistic Protocol for Multi-party Certified Electronic Mail[C]//in Proceedings of Information Security Conference.Sao Paulo:Springer.2002.
[5] ZHOU J,ONIEVA J,and LOPEZ J.Optimized multi-party certified email protocols[J].Information Management and Computer Security.2005.
[6] WANG H,WANG R.Improvement of a multi-party certified email protocol[J].Chinese Journal of Electronics.2007.
[7] 李磊,杨加喜,王育民.支持透明离线TTP的多方非否认协议[J]吉林大学学报(工学版).2009.
[8] ONIEVA J,ZHOU J,CARBONELL M,et al.a multi-party non-repudiation protocol for exchange of different messages[C]// in 18th IFIP International Information Security Conference.Athens.Greece.2003.
[9] ONIEVA J A,ZHOU J,and LOPEZ J.Non-repudiation protocols for multiple entities[J].Computer Communications. 2004.