盧 宇 汪學(xué)明

(貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 貴州 貴陽(yáng) 550025)

一種新的基于HECC的多方公平交換協(xié)議

盧 宇 汪學(xué)明*

(貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 貴州 貴陽(yáng) 550025)

為了提高多方公平交換協(xié)議的安全性和運(yùn)行效率，提出一種新的基于HECC的多方公平交換協(xié)議。利用基于超橢圓曲線雙線性對(duì)的身份簽名方案，提高了協(xié)議的運(yùn)行效率；通過(guò)HECC的門(mén)限秘密共享技術(shù)確保了交易過(guò)程中的安全性。最后用改進(jìn)的Kailar邏輯對(duì)新的多方公平交換協(xié)議進(jìn)行形式化分析，結(jié)果表明新的多方公平交換協(xié)議不僅滿(mǎn)足公平性、抗合謀性等，而且具有可追究性。

HECC 門(mén)限秘密共享 雙線性對(duì) 多方公平交換協(xié)議 Kailar邏輯

0 引 言

隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,公平交換在電子交易和數(shù)字版權(quán)管理中越來(lái)越重要。電子商品的公平交換對(duì)于交易雙方尤其重要，如果在交易過(guò)程中每一方收到預(yù)期的信息或任何一方收到對(duì)方的任何有用的信息項(xiàng)，協(xié)議才是公平的[1]。由于網(wǎng)上交易人數(shù)的不斷擴(kuò)大,多方的公平交換協(xié)議成為信息安全領(lǐng)域的研究熱點(diǎn)。

文獻(xiàn)[2,4]利用第三方是離線的情況下，使用不同技術(shù)提高安全性和效率。但此方案存在第三方欺詐，且采用傳統(tǒng)的公鑰密碼學(xué)，在密鑰管理方面需要消耗大量的存儲(chǔ)空間，管理復(fù)雜。針對(duì)上述問(wèn)題，文獻(xiàn)[3,5]運(yùn)用身份信息作為公鑰大大減少了公鑰認(rèn)證的復(fù)雜性。每個(gè)用戶(hù)使用用戶(hù)標(biāo)識(shí)作為他的公鑰,用戶(hù)的公鑰可以直接從他的用戶(hù)標(biāo)識(shí)計(jì)算而不是從頒發(fā)機(jī)構(gòu)(CA)出具的證書(shū)中提取，簡(jiǎn)化了傳統(tǒng)公鑰密碼復(fù)雜的密鑰托管問(wèn)題，提高了運(yùn)行效率。

本文在前人工作基礎(chǔ)上提出一種新的多方公平交換協(xié)議，該協(xié)議采用基于HECC的身份簽名方案提高運(yùn)行效率和安全性，同時(shí)采用基于HECC門(mén)限秘密共享技術(shù)和離線半可信第三方以確保協(xié)議公平進(jìn)行。該方案不僅可以保證公平和整個(gè)交易的不可抵賴(lài)性，更重要的是能夠滿(mǎn)足交換保密的拓?fù)溥@個(gè)多方公平交換協(xié)議的特征。

1 基于HECC的身份簽名方案

設(shè)Fp為有限域，C為Fp上虧格為g的超橢圓曲線，J(C,Fp)是它的除子類(lèi)群(Jacobian商群)，Jacobian的階為#J(C,Fp)=hq。為滿(mǎn)足安全性需要，q為位數(shù)至少為160bit的大素?cái)?shù)，h為較小的余因子[9]。

設(shè)G∈J(C,Fp)是q階元素，并且G可表示為：

稱(chēng)G為J(C,Fp)的基點(diǎn)，故以G為生成元、q為階構(gòu)成的是J(C,Fp)的一個(gè)循環(huán)子群，在該循環(huán)子群上建立基于HECC的身份簽名方案。

2) 私鑰提取：由PKG完成。用戶(hù)身份輸入ID∈{0,1}*，PKG計(jì)算QID=H1(ID)，dID=sQID，把dID作為用戶(hù)的私鑰。

2 一種新的基于HECC的多方公平交換協(xié)議

馮陽(yáng)等基于拉格朗日差值多項(xiàng)式并利用超橢圓曲線離散對(duì)數(shù)問(wèn)題的難解性，提出一種新的基于HECC的(t,n)門(mén)限秘密共享方案[10]。本文基于HECC的身份簽名方案和門(mén)限秘密共享技術(shù)提出了一種新的基于HECC的多方公平交換協(xié)議。

2.1 基本符號(hào)

Pi:本次交易的參與者，其身份ID為IDi，i=1,2,…,n。

off-TTP:離線的半可信第三方。

A:Pi準(zhǔn)備交易對(duì)象集合。

A′:Pi確定的最終交易對(duì)象集合。

EN:每次交易的交易號(hào)。

ET(·):用off-TTP的公鑰加密信息。

Pi→A:m:Pi發(fā)送消息m給A中的各主體。

H(·):單向哈希函數(shù)。

SignPi:對(duì)Pi基于身份的簽名。

EPi(·):用Pi的公鑰加密信息。

2.2Exchange協(xié)議

為了防止信息被替換，應(yīng)該設(shè)立一個(gè)權(quán)威的公告牌用來(lái)顯示基礎(chǔ)信息，在協(xié)議開(kāi)始前各主體Pi準(zhǔn)備好要交換的信息mi和五元組{IDi,EN,H(mi),Ti,Sign}。五元組被公布在目錄服務(wù)上，H(mi)是為了驗(yàn)證收到消息的正確性，Ti是每次交易的時(shí)間限制，Sign是權(quán)威機(jī)構(gòu)對(duì)前面四元組簽名。協(xié)議步驟如下：

步驟1

Pi→Pj:m1=IDi,IDj,EN,Ti1,SignPi(IDi,IDj,EN,Ti),i≠j,j∈A

步驟2

Pj→Pi:m2=EPi(IDj,IDi),EN,Tj1,yesSignPi(m1,EPi(IDj,IDi),EN,Tj,yes),i≠j,j∈A′

步驟3

Pi→Pj:m3={m3′={EPj(IDi,IDj),EN,Ti2,EPj(Xi1),ET(Xi2)}SignPi(m3′)},i≠j,j∈A′

步驟4

Pj→Pi:m4={m4′={EPi(IDj,IDi),EN,Tj2,EPi(Xj1),ET(Xj2)}SignPj(m3,m4′)},i≠j,j∈A′

步驟5

Pi→Pj:m5={m5′={EPj(IDi,IDj),EN,Ti,EPj(Xi2)}SignPi(m4,m5′)},i≠j,j∈A′

步驟6

Pj→Pi:m6={m6′={EPi(IDj,IDi),EN,Tj,EPi(Xj2)}SignPj(m5,m6′)},i≠j,j∈A′

2.3Resolve子協(xié)議

若在交易過(guò)程中任意主體在發(fā)送了自己的信息后收不到來(lái)自其他主體的有效消息，在這種情況下可以向off-TTP求助。

Pi→off-TTP:rm1=EN,IDi,IDj,T,m4,m5,SignPi(EN,IDi,IDj,T,m4,m5)。off-TTP檢查rm1，并且驗(yàn)證信息是否正確。如果正確，off-TTP檢查時(shí)間是否超時(shí)。

如果是：

off-TTP→Pi:rm2=EN,IDi,IDj,T,EPi(Xi2),SignT(EN,IDi,IDj,T,EPi(Xi2))，之后Pi可以用Xi1、Xi2恢復(fù)出Xi并且計(jì)算出mi。否則：

off-TTP→Pi:rm2′=EN,IDi,IDj,T,wait,SignT(EN,IDi,IDj,T,wait)

3 協(xié)議分析

3.1 安全性分析

1) 抗合謀性：協(xié)議接收者相互之間的透明性，大家不知道相互之間的接收者集合，只有交易者自己才知道。因此用交易對(duì)象的公鑰加密交易者的身份標(biāo)識(shí)，入侵者就算截獲了傳送的消息也不知道該消息是傳給誰(shuí)的。

2) 公平性：協(xié)議中假若某主體發(fā)送自己有價(jià)值的消息出去后沒(méi)有收到其他交易主體發(fā)來(lái)的有價(jià)值的消息或者其他主體不誠(chéng)實(shí)，這時(shí)可以向第三方請(qǐng)求幫助獲得剩下的半個(gè)子秘密，通過(guò)基于HECC門(mén)限秘密共享技術(shù)的恢復(fù)函數(shù)恢復(fù)出秘密，并通過(guò)收到的簽名(S,h)計(jì)算出真實(shí)信息。

3) 交易拓?fù)浔Ｃ苄裕憾喾焦浇粨Q協(xié)議特有性質(zhì)是交易拓?fù)浔Ｃ苄裕總€(gè)交易方都不希望自己的交易信息被外界所知道，包括第三方也不行。本協(xié)議采用網(wǎng)陣交易拓?fù)浣Y(jié)構(gòu)，并且所交易信息采用HECC門(mén)限秘密共享技術(shù)。

3.2 協(xié)議可追究性形式化分析

定理1 在假設(shè)Γ1和Γ2下，對(duì)線束協(xié)議P和Q與公式φ、θ、ψ而言，如果Γ1├φ[P]xθ、Γ2├θ[Q]xψ，那么Γ1∪Γ2├θ[P;Q]xψ成立。

其中，P;Q是線束協(xié)議P和Q的串行合成。Γ1├φ[P]xθ成立的含義是：x在運(yùn)行線束P之前若φ成立，那么在執(zhí)行線束P后θ也成立，假設(shè)前提是Γ[11]。

本協(xié)議的兩個(gè)過(guò)程：(1) 只執(zhí)行了Exchange協(xié)議，記為Exchange1；(2) 遇到突發(fā)情況，就啟動(dòng)Resolve協(xié)議，記為Exchange2。通過(guò)線束概念和改進(jìn)的Kailar邏輯可以表示協(xié)議的可追究性目標(biāo)為：

Γ├Start(Pi)[P(Pi,Pj,off-TTP)Pi(θ1∧θ2)]

(1)

式中，P是本協(xié)議，可由Exchange1和Exchange2串行合成；θ1為PiCanprovePjClaimsXj;θ2為PjCanprovePiClaimsXi;Γ為假設(shè)前提。

使用改進(jìn)的Kailar邏輯方法[12]，先證明Exchange1和Exchange2安全性目標(biāo)是否滿(mǎn)足，然后由定理1證明上述目標(biāo)是否成立。

3.2.1Exchange1過(guò)程可追究性分析

只完成Exchange1協(xié)議。若要滿(mǎn)足可追究性，即使得：

Γ1├Start(Pi)[Exchange1(Pi,Pj,off-TTP)Pi(θ1∧θ2)]

(2)

成立。

協(xié)議分析過(guò)程如下：

1) 協(xié)議分析的準(zhǔn)備

(1) 列出初始擁有集合

(2) 列出初始假設(shè)集合Γ1

① 基本假設(shè)

B1PiCanprovePK(Pj,KPj)

B2PjCanprovePK(Pi,KPi)

② 可信假設(shè)

T1PiCanprovePjControlsmatch(EPi(Xj1),EPi(Xj2))

T2PjCanprovePiControlsmatch(EPj(Xi1),EPj(Xi2))

③ 協(xié)議理解假設(shè)

C1PiClaims(EPj(Xi1),EPj(Xi2))?Pi

Claimsmatch(EPj(Xi1),EPj(Xi2))

C2PiClaims(EPj(Xi1),EPj(Xi2))∧Pi

Claimsmatch(EPj(Xi1),EPj(Xi2))?PiClaimsXi

C3PiHas(EPi(Xj1),EPi(Xj2))∧PjClaimsEPi(Xj1)?PjClaimsmatch(EPi(Xj1),EPi(Xj2))

③ 列舉EOO和EOR

EOO=SignPi(EPi(Xj1),EPi(Xj2))

EOR=SignPj(EPj(Xi1),EPj(Xi2))

2) 可追究性分析

(1) 列舉可追究目標(biāo)

式(2)成立協(xié)議滿(mǎn)足可追究性，即滿(mǎn)足：

Γ1├Start(Pi)[Exchange1(Pi,Pj,off-TTP)Piθ1]

(3)

Γ1├Start(Pi)[Exchange1(Pi,Pj,off-TTP)Piθ2]

(4)

(2) 討論EOO與EOR是否滿(mǎn)足可追究性。假設(shè)EOO∈OPj，即：

SignPi(EPi(Xj1),EPi(Xj2))∈OPj

故：

PjHasSignPi(EPi(Xj1),EPi(Xj2))∈OPj

(5)

由簽名公理、B2和式(5)可得：

PjCanprove(PiClaims(EPi(Xj1),EPi(Xj2)))

(6)

由C2和式(6)可得：

PjCanprove(PiClaimsmatch(EPi(Xj1),EPi(Xj2)))

(7)

由管轄公理、T1和式(7)可得：

PjCanprovematch(EPi(Xj1),EPi(Xj2))

(8)

由C2、連接公理和式(8)可得：

PjCanprovePiClaimsXi

(9)

通過(guò)上式可得式(4)成立，即EOO使協(xié)議具有可追究性。同理可得EOR也是。

3) 協(xié)議是否滿(mǎn)足可追究性

由上可知，若相應(yīng)的EOR、EOO都能被Pi、Pj獲得，則協(xié)議具有可追究性。

3.2.2Exchange2過(guò)程可追究性分析

協(xié)議執(zhí)行了Exchange協(xié)議和Resolve協(xié)議。若要滿(mǎn)足可追究性，即使得：

Γ2├Start(Pi)[Exchange2(Pi,Pj,off-TTP)Pi(θ1∧θ2)]

(10)

成立。

Pi可以通過(guò)下面兩種方式啟動(dòng)Resolve協(xié)議：(1)Exchange協(xié)議執(zhí)行步驟5后，Pi沒(méi)有收到Pj的任何回復(fù)；(2)Pi跳過(guò)步驟5直接執(zhí)行Resolve協(xié)議。以上兩種情況中參與方Pi都已獲得φ1=SignPj(EPi(Xj1),ET(Xj2))。由于此時(shí)Exchange協(xié)議中步驟5已經(jīng)執(zhí)行，故Pj已獲得φ2=SignPi(EPj(Xi1),EPj(Xi2))，即在Pi發(fā)起Resolve協(xié)議時(shí)，有：

(AHasφ1)∧(BHasφ2)

(11)

成立。

協(xié)議此時(shí)可通過(guò)由協(xié)議Exchange及Resolve串行合成而得。式(10)要成立，需下式：

(12)

協(xié)議形式化分析步驟如下：

1) 協(xié)議分析的準(zhǔn)備

(1) 列出初始擁有集合

① 基本假設(shè)

B3Pi,PjCanprovePK(off-TTP,Koff-TTP)

② 可信假設(shè)

T3Pi,PjCanproveoff-TTPControlsrecover(ET(Xi2),ET(Xj2))

③ 協(xié)議理解假設(shè)

C4 off-TTP Claims(Xi2,Xj2)?off-TTP Claims recover(ET(Xi2),ET(Xj2))

C5recover(ET(Xi2),ET(Xj2))∧PiClaimsEPj(Xi1)∨PjClaimsEPi(Xj1)?PiClaimsXi∨PjClaimsXj

(3) 列舉EOO和EOR

EOO=SignT(ET(Xi2))

EOR=SignT(ET(Xj2))

2) 可追究性分析

(1) 列舉可追究目標(biāo)

(13)

(2) 討論EOO與EOR是否滿(mǎn)足可追究性。假設(shè)EOO∈OPj，即SignT(ET(Xi2))∈OPj，故:

PjHasSignT(ET(Xi2))

(14)

由B3、簽名公理和式(14)有：

PjCanprove(off-TTPClaimsXi2)

(15)

由C4、連接公理和式(15)有：

off-TTPClaimsrecoverET(Xi2)

(16)

由式(16)、T3和管轄公理有：

PjClaimsrecoverET(Xi2)

(17)

由OPj可知：

PjHasSignPi(EPj(Xi1))

(18)

由B3、簽名公理和式(18)有：

PjCanprove(PiClaimsEPj(Xi1))

(19)

由式(19)、式(17)和C6有：

PjCanprovePiClaimsXi

(20)

成立，即EOO的設(shè)計(jì)滿(mǎn)足可追究性。同理可得EOR也滿(mǎn)足。

(3) 協(xié)議是否滿(mǎn)足可追究性

通過(guò)定理1、式(11)和式(20)得式(10)成立，即協(xié)議在執(zhí)行了Resolve協(xié)議后具有可追究性。

討論Exchange1、Exchange2兩個(gè)過(guò)程的證明結(jié)果可知，新的多方公平交換協(xié)議具有可追究性。

4 協(xié)議執(zhí)行效率分析

在網(wǎng)上交易的過(guò)程中，用戶(hù)希望在發(fā)出交易信息后能夠很快地獲得相應(yīng)的交換信息。交易過(guò)程的處理速度與通信開(kāi)銷(xiāo)、協(xié)議的計(jì)算代價(jià)有關(guān)。

(1) 通信開(kāi)銷(xiāo)。協(xié)議的通信開(kāi)銷(xiāo)通常用傳送消息數(shù)目及協(xié)議交互的輪次來(lái)衡量。協(xié)議采用樂(lè)觀的離線第三方，只需要3次交互即可完成交易。正常情況下用戶(hù)之間不需要第三方實(shí)時(shí)參與，用戶(hù)之間相互認(rèn)證通過(guò)后自行交易，只需要3次交互即可完成。本文提出的交易方式減少了用戶(hù)之間交換信息的等待時(shí)間，減少對(duì)第三方的依賴(lài)，通信開(kāi)銷(xiāo)更小。

(2) 計(jì)算代價(jià)。協(xié)議的計(jì)算代價(jià)主要產(chǎn)生于簽名、驗(yàn)證簽名、加解密和哈希等密碼運(yùn)算，其中以簽名和驗(yàn)證簽名最為消耗資源。假設(shè)有n個(gè)協(xié)議參與方，記Pa為雙線性對(duì)運(yùn)算時(shí)間，Pm為G1群上點(diǎn)乘時(shí)間，忽略其他計(jì)算消耗，與文獻(xiàn)[6]的效率比較見(jiàn)表1所示。

表1 協(xié)議的效率分析

由表1可見(jiàn)，本協(xié)議的消息輪次、簽名生成時(shí)間、簽名驗(yàn)證時(shí)間都比文獻(xiàn)[6]小。從計(jì)算效率上來(lái)看，本文利用超橢圓曲線除子群運(yùn)算及其Weil對(duì)或Tate對(duì)來(lái)實(shí)現(xiàn)，計(jì)算速度快，具有一定的效率優(yōu)勢(shì)。因此，本文所提方案在通信效率和時(shí)間效率上都有較大提高。

5 結(jié) 語(yǔ)

本文采用了基于HECC的(t,n)門(mén)限秘密共享方案和基于HECC雙線性對(duì)的身份簽名方案，構(gòu)建了一種新的基于HECC的多方公平交換協(xié)議。與之前的方案相比，其在安全性和效率、抗合謀性方面都得到提高。同時(shí)采用改進(jìn)的Kailar邏輯對(duì)其進(jìn)行形式化證明分析，證明結(jié)果顯示本協(xié)議具有可追究性。下一步工作將考慮對(duì)該協(xié)議進(jìn)行模型檢測(cè)分析并對(duì)它在電子商務(wù)中的具體應(yīng)用展開(kāi)研究。

[1]Draper-GilG,ZhouJ,Ferrer-GomilaJL,etal.Anoptimisticfairexchangeprotocolwithactiveintermediaries[J].InternationalJournalofInformationSecurity,2013,12(4):299-318.

[2]LiuY,HuH.AnImprovedProtocolforOptimisticMulti-partyFairExchange[C]//2011InternationalConferenceonElectronicandMechanicalEngineeringandInformationTechnology,2011:4864-4867.

[3]ZhangL,WuQ,QinB.Identity-BasedOptimisticFairExchangeintheStandardModel[J].SecurityandCommunicationsNetworks,2013,6(8):1010-1020.

[4]HuangQ,YangG,WongDS,etal.Anewefficientoptimisticfairexchangeprotocolwithoutrandomoracles[J].InternationalJournalofInformationSecurity,2012,11(1):53-63.

[5]YounTY,ChangKY.ID-BasedOptimisticFairExchangeSchemeBasedonRSA[J].ETRIJournal,2014,36(4):673-681.

[6] 樊玫玫,彭長(zhǎng)根.一種基于身份的多方公平交換協(xié)議[J].計(jì)算機(jī)應(yīng)用,2009,29(2):367-369.

[7] 趙洋,秦志光,藍(lán)天,等.基于可驗(yàn)證加密機(jī)制的多方公平交換協(xié)議[C]//全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì),2007:650-655.

[8] 陸衛(wèi)新,汪學(xué)明.超橢圓曲線上的Ate對(duì)變種及其計(jì)算的研究[J].計(jì)算機(jī)工程與設(shè)計(jì),2014,35(5):1578-1582.

[9] 施萬(wàn)海,游林.一類(lèi)超奇異超橢圓曲線的Tate對(duì)實(shí)現(xiàn)[J].杭州電子科技大學(xué)學(xué)報(bào),2013,33(6):33-36.

[10] 馮陽(yáng),汪學(xué)明.基于HECC的門(mén)限秘密共享方案研究[J].信息安全與技術(shù),2015,6(2):18-20,27.

[11]MitchellJC,DattaA.Securityanalysisofnetworkprotocols:Compositionalreasoningandcomplexity-theoreticfoundations[D].USA:StanfordUniversity,2005.

[12] 卿斯?jié)h.一種電子商務(wù)協(xié)議形式化分析方法[J].軟件學(xué)報(bào),2005,16(10):1757-1765.

A NEW MULTI-PARTY FAIR EXCHANGE PROTOCOL BASED ON HECC

Lu Yu Wang Xueming*

(CollegeofComputerScienceandTechnology,GuizhouUniversity,Guiyang550025,Guizhou,China)

A new multi-party fair exchange protocol based on HECC is proposed in order to improve the security and efficiency of multi-party fair exchange protocol. The protocol efficiency is improved by applying identity signature scheme based on the hyperelliptic curve bilinear pairings and the security in transaction process is ensured by means of HECC threshold secret sharing technology. Finally,after analyzing the new multi-party fair exchange protocol by the improved Kailar logic formal, the results show that the fairness, collusion-resistance and accountability are satisfied in the new multi-party fair exchange protocol.

HECC Threshold secret sharing Bilinear pairings Multi-party fair exchange protocol Kailar logic

2015-09-30。國(guó)家自然科學(xué)基金項(xiàng)目(61163049)；貴州省自然科學(xué)基金項(xiàng)目(黔科合J字[2011]2197號(hào))。盧宇，碩士生，主研領(lǐng)域：網(wǎng)絡(luò)與信息安全。汪學(xué)明，教授。

TP309.7

A

10.3969/j.issn.1000-386x.2017.02.054