李磊 王育民

西安電子科技大學(xué)綜合業(yè)務(wù)網(wǎng)國家重點(diǎn)實(shí)驗(yàn)室 陜西 710071

0 引言

非否認(rèn)協(xié)議廣泛應(yīng)用于電子商務(wù)、認(rèn)證電子郵件等領(lǐng)域。自 Zhou等人提出的公平的不可否認(rèn)協(xié)議起，非否認(rèn)協(xié)議得到了深入而廣泛的研究。最初非否認(rèn)協(xié)議的研究僅限于對雙方非否認(rèn)協(xié)議的研究，隨著研究的深入，多方非否認(rèn)協(xié)議成為研究的熱點(diǎn)。多方非否認(rèn)協(xié)議通常指有一個發(fā)送方多個接收方的非否認(rèn)協(xié)議，根據(jù)發(fā)送的消息不同，可分為發(fā)送相同消息的多方非否認(rèn)協(xié)議MPNR_S協(xié)議)和發(fā)送不同消息的多方非否認(rèn)協(xié)議(MPNR_D協(xié)議)。

1 自適應(yīng)多方非否認(rèn)協(xié)議

協(xié)議由exchange、abort和recovery三個子協(xié)議組成。在參與方都誠實(shí)和信道可靠的情況下，只需使用exchange子協(xié)議就可以完成信息交換，但在參與方不誠實(shí)或其它異常情況下，需要運(yùn)行輔助的子協(xié)議，來保證協(xié)議公平。

1.1 基本假定和符號說明

協(xié)議采用自由加密假定，即一個密文只能用一種方式看待。此外，協(xié)議假定可信第三方與協(xié)議參與者之間使用彈性信道，而除TTP外的協(xié)議參與者之間的信道為不可靠信道。協(xié)議中的發(fā)送者、所有接收者集合和可信第三方分別使用O、R和T代表。A→B代表用戶A向用戶B單播一個消息，A?S代表用戶A向集合S中的用戶廣播一個消息。使用uA代表用戶A的公鑰，vA代表用戶A的私鑰，{m}k代表用密鑰k對m加密，h(m)代表抗碰撞攻擊的單向哈希函數(shù)，ES(m) 代表用群加密機(jī)制對m加密，只有集合S中的用戶才能解密。

為了能夠自適應(yīng)相同消息和不同消息的情況，協(xié)議設(shè)計集合Gi代表接收相同消息的接收者集合，使用N代表接收者的數(shù)量，I代表需要發(fā)送的不同消息的數(shù)量。

1.2 初始化集合Gi

初始化集合Gi的作用是將接收者按照待接收消息不同分別劃入集合Gi。過程如下：

其中，mi代表第i個不同的消息，mRj代表接收者Rj待接收的消息。初始化過程逐個考查接收者待接收的消息，將接收相同消息的接收者加入集合Gi中。最后形成I個集合，每個集合中的接收者接收相同的消息。

顯然當(dāng)I=1時，所有接收者都在同一個集合中，協(xié)議退化為 MPNR_S協(xié)議；當(dāng)I=N時，所有集合Gi中，都只有一個接收者，協(xié)議退化為MPNR_D協(xié)議。

1.3 exchange子協(xié)議

1.O?Gi:l,O,Gi,T,{mi}ki,EGi(ni),h(k),{l,k}uT,EOOi. i∈{1,I}

2.Ri→O:l,O,EORi.

3.O?R':l,ER'(k).

其中，ni是O為每個接收者集合選擇的隨機(jī)數(shù)，ki=k⊕ni是加密mi的密鑰，k由O選擇，l=h(O,R,T,{m1}k1,{m2}k2...,k)是 協(xié) 議 運(yùn) 行 的 惟 一 標(biāo) 識 符 ，EOOi={l,{l,k}uT,h({mi}ki),h(k),h(ni)}vO是 發(fā) 方 證 據(jù) ，EORi={l,{l,k}uT,h({mi}ki),h(k),h(ni)}vRi是Ri的接收方證據(jù)，R'代表成功向O發(fā)送了正確的EORi的接收者集合。

1.4 abort子協(xié)議

發(fā)送exchange子協(xié)議消息1一段時間后，如果O沒有收到來自Ri的EORi，則將Ri加入集合R''，發(fā)起abort子協(xié)議，向可信第三方要求與R''內(nèi)的接收者終止協(xié)議。

1.O→T:l,O,R'',T,h({mi}ki,h(k),Abortreq

2.T: FOR all Ri∈R''IF(Ri∈R''R)THENretrievesEORi;ELSEaddRiintoR''A;

3.T→O:l,R''A,allretrievedEORi,Abortcon

其中，R''R代表在TTP收到abort請求之前，已經(jīng)通過recovery子協(xié)議，從可信第三方處獲得了k的接收者集合，R''A代表經(jīng)過可信第三方確認(rèn)的，終止協(xié)議的接收者集合。Abortreq={l,R''}vO代表O向可信第三方發(fā)送的終止協(xié)議請求，Abortcon={l,R'',R''A,Abortreq}vT代表可信第三方向O確認(rèn)與R''A中的接收者終止協(xié)議。

1.5 recovery子協(xié)議

通過exchange子協(xié)議，iR如果沒有收到來自O(shè)的密鑰k或收到的k不正確，則可以發(fā)起recovery子協(xié)議，要求可信第三方協(xié)助完成協(xié)議。

1.Ri→T:l,O,Ri,T,h({mi}k),h(k),

{l,k}uT,EOOi,EORi,RecovRiT: IF (Ri∈R''A)THEN

2.T→Ri:l,Abortreq,AbortRi

ELSEaddRiintoR''R;

2'.T→Ri:l,{k}uRi

其中RecovRi={l,{l,k}uT}vRi代表Ri向可信第三方發(fā)出的recovery請求，AbortRi={l,Ri,EORi,Abortreq}vT代表可信第三方通知Ri協(xié)議已經(jīng)終止的證據(jù)。

2 協(xié)議分析

2.1 不可否認(rèn)性

發(fā)方不可否認(rèn)：如果O否認(rèn)曾經(jīng)向Ri發(fā)送消息mi，則Ri可以出示證據(jù)NRO=(l,T,mi,ni,k,EOOi)，通過 l,T,mi,ni,k驗(yàn)證EOOi={l,{l,k}uT,h({mi}ki),h(k),h(ni)}vO，即可證明O確實(shí)曾經(jīng)向Ri發(fā)送消息mi。

收方不可否認(rèn)：如果Ri否認(rèn)收到了來自O(shè)的消息mi，則O可以出示證據(jù)NRR=(l,T,mi,ni,k,EORi)，通過l,T,mi,ni,k驗(yàn)證EORi={l,{l,k}uT,h({mi}ki),h(k),h(ni)}vRi，此時，如果Ri不能出示AbortRi，即可證明Ri確實(shí)收到了mi，但如果Ri出示了AbortRi，則說明O在收到EORi后，沒有把k發(fā)給Ri，而搶先要求可信第三方終止了與Ri的協(xié)議，因此，應(yīng)判定Ri沒有收到mi。

2.2 公平性

在協(xié)議參與方都誠實(shí)的情況下，顯然協(xié)議會按照exchange子協(xié)議運(yùn)行，即使信道不可靠，也可以由about子協(xié)議和recovery子協(xié)議彌補(bǔ)，由此前對于協(xié)議的描述可知，協(xié)議運(yùn)行只有兩種結(jié)果：①O獲得NRR且Ri獲得NRO；②O沒有獲得EORi且Ri沒有獲得k。兩種結(jié)果下，協(xié)議都公平。

如果O不誠實(shí)，則O希望獲得NRR，但不提供k給Ri。如果O偽造 exchange子協(xié)議的消息 1，顯然得不到有效的EORi。如果O偽造exchange子協(xié)議的消息3或者不發(fā)送消息3， Ri可以通過可信第三方獲得k或者AbortRi，都不影響協(xié)議公平性。

如果Ri不誠實(shí)，則Ri希望不提供正確的EORi給O，轉(zhuǎn)而從可信第三方得到k。不論Ri發(fā)送錯誤的EORi給O或者不發(fā)送EORi給O，O都會要求可信第三方終止與Ri的協(xié)議，abort子協(xié)議運(yùn)行的結(jié)果只有兩個：①O獲得Abortcon，稍后可信第三方僅將AbortRi發(fā)送給Ri；②Ri已經(jīng)獲得k，O從可信第三方處獲得EORi。由于在Ri的recovery請求中包含了與EORi內(nèi)容相同的EOOi，因此， Ri不可能通過欺騙可信第三方而使O獲得偽造的EORi。abort子協(xié)議運(yùn)行的兩種結(jié)果，都不影響協(xié)議公平性。

3 與其它協(xié)議的比較

非否認(rèn)協(xié)議的效率分析中，通常把公鑰運(yùn)算量、通信量以及可信第三方資源占用量作為考查的重要指標(biāo)。由于通過exchange子協(xié)議正常完成交換的用戶數(shù)遠(yuǎn)大于使用abort子協(xié)議和recovery子協(xié)議的用戶數(shù)，因此本文對效率的分析僅考慮exchange子協(xié)議。本文協(xié)議與一個MPNR_S協(xié)議和一個MPNR_D協(xié)議的比較如下。

3.1 與MPNR_S協(xié)議比較

在發(fā)送I個消息給N個接收者時，MPNR_S協(xié)議需運(yùn)行I個實(shí)例，每個實(shí)例發(fā)送一個消息，而本文協(xié)議僅需運(yùn)行一次，可信第三方也僅需存儲一次協(xié)議狀態(tài)。MPNR_S協(xié)議的每個實(shí)例都需要使用一個k加密消息，本文協(xié)議僅需使用一個k，但需要為每個消息選擇in并加密。MPNR_S協(xié)議每個實(shí)例需要廣播發(fā)送消息一次，廣播發(fā)送密鑰一次，I個實(shí)例需要2I次廣播，而本文協(xié)議依次廣播I個消息，但只需1次廣播發(fā)送密鑰。具體比較如表1所示。

表1 與MPNR_S協(xié)議比較

與MPNR_S協(xié)議相比，本文協(xié)議以增加一次公鑰運(yùn)算的較小代價，減少了 1I- 次廣播通信量，并且大大降低了可信第三方的資源占用量。

3.2 與MPNR_D協(xié)議比較

在發(fā)送I個消息給N個接收者時，雖然 MPNR_D協(xié)議和本文協(xié)議都只需運(yùn)行一次，但 MPNR_D協(xié)議需要為每個接收者計算 EOOi，選擇 ni并加密，而本文協(xié)議僅需為每個集合 Gi進(jìn)行這些公鑰運(yùn)算。MPNR_D協(xié)議需要依次單播消息給所有接收者，而本文協(xié)議需要依次廣播消息給 Gi，對EORi和密鑰的發(fā)送，兩協(xié)議都需要N次單播和一次廣播。具體比較如表2所示。

表2 與MPNR_D協(xié)議比較

與 MPNR_D協(xié)議相比，本文協(xié)議減少了2N-I次的公鑰運(yùn)算，增加了I次廣播，減少了N次廣播。

4 結(jié)論

通過將接收相同消息的接收者劃入集合Gi，然后依次向Gi廣播發(fā)送消息的方法，本文提出了一個自適應(yīng)多方非否認(rèn)協(xié)議。協(xié)議在 1I=時退化為MPNR_S協(xié)議，在I N= 時退化為MPNR_D協(xié)議。在1IN＜＜時，與MPNR_S協(xié)議和MPNR_D協(xié)議相比，本文協(xié)議在公鑰運(yùn)算量、通信量以及可信第三方資源占用量等方面，效率均有提高。

[1] ZHOU J,GOLLMANN D.A fair non-repudiation protocol[C]//in Proceedings of the 1996 IEEE Symposium on Security and Privacy.Oakland.1996.

[2] KREMER S,MARKOWITCH O.A multi-party non-repudiation protoco[C]//in 15th International Conference on Information Security. Beijing.China.IFIP World Computer Congress.2000.

[3] MARKOWITCH O,KREMER S.A Multi-party Optimistic Non-repudiation Protocol[C]//in Information Security and Cryptology - ICISC 2000:Third International Conference. Seoul,Korea:Spinger-Verlag.2001.

[4] FERRER-GOMILA J L,PAYERAS-CAPELL M,and HUGUETROTGER L.A Realistic Protocol for Multi-party Certified Electronic Mail[C]//in Proceedings of Information Security Conference.Sao Paulo:Springer.2002.

[5] ZHOU J,ONIEVA J,and LOPEZ J.Optimized multi-party certified email protocols[J].Information Management and Computer Security.2005.

[6] WANG H,WANG R.Improvement of a multi-party certified email protocol[J].Chinese Journal of Electronics.2007.

[7] 李磊,楊加喜,王育民.支持透明離線TTP的多方非否認(rèn)協(xié)議[J]吉林大學(xué)學(xué)報(工學(xué)版).2009.

[8] ONIEVA J,ZHOU J,CARBONELL M,et al.a multi-party non-repudiation protocol for exchange of different messages[C]// in 18th IFIP International Information Security Conference.Athens.Greece.2003.

[9] ONIEVA J A,ZHOU J,and LOPEZ J.Non-repudiation protocols for multiple entities[J].Computer Communications. 2004.