孫艷賓，谷利澤，孫燕，卿斯?jié)h，楊義先，陳廣輝

(1. 北京郵電大學(xué) 網(wǎng)絡(luò)與交換技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室信息安全中心，北京 100876；2. 北京郵電大學(xué) 網(wǎng)絡(luò)與信息攻防技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室，北京 100876；3. 石家莊陸軍指揮學(xué)院 軍事運(yùn)籌中心，石家莊 050084；4. 北京大學(xué) 軟件與微電子學(xué)院，北京 102600)

1 引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，如何在互不信任的各方之間以公平的方式通過(guò)網(wǎng)絡(luò)進(jìn)行電子數(shù)據(jù)的交易受到廣泛關(guān)注。公平交易是指當(dāng)兩方或多方在利用協(xié)議交易信息時(shí)，能保證其參與者或者得到期望的電子數(shù)據(jù)信息或者得不到任何有用的信息。公平交易協(xié)議(FEP)是實(shí)現(xiàn)公平交易的關(guān)鍵，在設(shè)計(jì)公平交易協(xié)議時(shí)，公平性是最基本的也是最難實(shí)現(xiàn)的安全性質(zhì)。

公平交易協(xié)議一直是安全協(xié)議領(lǐng)域的研究熱點(diǎn)，研究人員提出了很多不同的解決方案。公平交易協(xié)議大致分為2類：逐步公平交易協(xié)議和帶可信第三方(TTP)的公平交易協(xié)議。由于逐步公平交易協(xié)議[1,2]需要逐步釋放相關(guān)秘密消息和假設(shè)交易雙方擁有相同的計(jì)算能力，因此對(duì)交易雙方并不能實(shí)現(xiàn)真正的公平性。目前，研究人員關(guān)注的重點(diǎn)是帶TTP的公平交換協(xié)議。根據(jù)TTP介入的程度和介入的方式可把帶 TTP的公平交換協(xié)議分為以下 2大類：On-line TTP公平交易協(xié)議[3～5]和Off-line公平交易協(xié)議[6～8]。其中，On-line TTP需要介入交易過(guò)程，幫助參與者完成公平交易，經(jīng)常在交易雙方之間扮演一個(gè)強(qiáng)制中介的角色；而Off-line TTP正常情況下不介入交易過(guò)程，只有當(dāng)某個(gè)參與者不誠(chéng)實(shí)或者交易雙方發(fā)生糾紛時(shí)才介入，以保證協(xié)議順利完成。

目前對(duì)公平交易協(xié)議的研究中 TTP一直是制約其執(zhí)行效率的一個(gè)瓶頸，因此降低對(duì)TTP的依賴是目前公平交易協(xié)議的研究重點(diǎn)，而能夠設(shè)計(jì)出無(wú)需 TTP又能保證公平的交易協(xié)議一直是設(shè)計(jì)公平交易協(xié)議的目標(biāo)。Chen等在文獻(xiàn)[9]中提出了并發(fā)簽名(CS)，這一新穎的概念為實(shí)現(xiàn)上述目標(biāo)提供了一種途徑。即，無(wú)需第三方參與即可實(shí)現(xiàn)參與者雙方公平的交換簽名的目的。Susilo等在文獻(xiàn)[10]中指出：在文獻(xiàn)[9]中，如果交易雙方都誠(chéng)實(shí)，任何第三方在keystone公布之前都能區(qū)分出2個(gè)模糊簽名的真正簽署方，從而文獻(xiàn)[9]中并發(fā)簽名方案并沒(méi)有達(dá)到真正的模糊性。為了實(shí)現(xiàn)真正的模糊性，Susilo等對(duì)文獻(xiàn)[9]中的并發(fā)簽名方案進(jìn)行了改進(jìn)，利用Schnorr環(huán)簽名和雙線性對(duì)構(gòu)造了 2個(gè)完美的并發(fā)簽名(PCS)方案。然而文獻(xiàn)[9, 10]中的交易協(xié)議僅實(shí)現(xiàn)了弱公平性，原因在于：交換雙方各自生成相應(yīng)消息的模糊簽名并發(fā)送給對(duì)方，而初始簽名者擁有相關(guān)秘密消息keystone。如果初始簽名者不公布秘密消息keystone，則雙方的模糊簽名無(wú)法綁定到其真實(shí)的簽名者(即任何第三方，在 keystone公布之前，他只能判斷2個(gè)模糊簽名是由交易雙方所生成，而無(wú)法區(qū)分出具體的簽署方)。從而初始簽名者可以選擇對(duì)自己有利的時(shí)機(jī)公布keystone。

Chen等在文獻(xiàn)[11]中基于Schnorr環(huán)簽名PCS方案[10]構(gòu)造了一個(gè)簡(jiǎn)潔高效且無(wú)需 TTP參與的公平交易協(xié)議(簡(jiǎn)記為CQQY協(xié)議)。交易雙方起初交換相關(guān)數(shù)據(jù)的模糊簽名，然后發(fā)起者公布秘密消息keystone (keystone公布之前任何第三方無(wú)法區(qū)分出2個(gè)模糊簽名的真正簽署者)，2個(gè)模糊簽名同時(shí)綁定到交易雙方，之后另一方發(fā)送解密商品的密鑰，從而實(shí)現(xiàn)雙方公平得到對(duì)方物品的目的。同時(shí)Chen等人通過(guò)分析，聲稱協(xié)議能保證弱公平性、不可否認(rèn)性以及不可濫用性。

不可濫用性[12～15]作為公平交易協(xié)議所需滿足的條件越來(lái)越受到研究者的關(guān)注。而不可濫用性是指交易的任何一方都不能向第三方證明他有能力使交易內(nèi)容生效或無(wú)效，即任意參與方都不能向第三方證明他得到了另一參與方對(duì)交易內(nèi)容的承諾。CQQY協(xié)議的不可濫用性是通過(guò) PCS方案[10]的模糊性來(lái)實(shí)現(xiàn)的。

本文通過(guò)分析指出在2個(gè)參與者都誠(chéng)實(shí)可信的情況下，CQQY協(xié)議并不滿足不可濫用性。即CQQY協(xié)議中交易雙方產(chǎn)生的2個(gè)模糊簽名，在keystone公布之前，任意第三方都能區(qū)分出2個(gè)模糊簽名的真正簽署方。從而其中一個(gè)參與者可以向第三者聲稱得到了另外一方對(duì)交易內(nèi)容的承諾。根據(jù)PCS方案的思想，本文對(duì)CQQY協(xié)議進(jìn)行了改進(jìn)，改進(jìn)的公平交易協(xié)議在保證公平性、安全性、不可否認(rèn)性的基礎(chǔ)上滿足不可濫用性。

2 預(yù)備知識(shí)

2.1 完美并發(fā)簽名算法

文獻(xiàn)[10]中的基于 Schnorr環(huán)簽名的完美并發(fā)簽名（PCS）方案包括：參數(shù)建立，模糊簽名算法，模糊驗(yàn)證算法及其驗(yàn)證算法。其具體算法如下。

1) 參數(shù)建立：設(shè)置消息與 keystone空間，M=K={0 ,1}*，F(xiàn)=。隨機(jī)選擇2個(gè)大素?cái)?shù) p , q滿足q( p - 1 )，q階生成元 g ∈Zp，散列函數(shù)H1, H2∶{0 ,1}* → Zq， xi和 yi為 公 私 鑰 對(duì) ， 且= gximodp ， i = 1 ,2。

2) 模糊簽名算法：輸入?yún)?shù)為(yi, yj, xi, s, m)，輸 出模 糊簽 名 σ = ( c, s′, s)。 而 s = H1(k),k ∈ K,m∈M，

3) 模糊驗(yàn)證算法：輸入（ σ , yi, yj, m ），如果成立，則輸出“接受”，否則輸出“拒絕”。

4) 驗(yàn)證算法：輸入(k, S)，此處k∈K，S =(σ,yi, yj, m)。首先執(zhí)行keystone驗(yàn)證算法：如果 H1( k ) = s 成立，則i為初始簽名者；如果H1( k ) = s ′成立，則j為初始簽名者；如果前2種情況都不成立，則k無(wú)效，輸出“拒絕”。如果k驗(yàn)證通過(guò)以后，執(zhí)行模糊驗(yàn)證算法，如果模糊驗(yàn)證算法輸出“接受”，則最終驗(yàn)證算法輸出“接受”，否則輸出“拒絕”。

2.2 公平交易協(xié)議

基于上述簽名算法，陳廣輝等人提出了一個(gè)無(wú)需 TTP參與的可以交易數(shù)字商品的公平交易(CQQY)協(xié)議[11]。協(xié)議假設(shè)用戶 A和商家B之間的信道為安全信道，且分別有各自的銀行賬戶。其協(xié)議簡(jiǎn)要步驟如下：

step 1 A →B∶(σA, mA)；

step 3 A → B ∶ (k, k′)；

step 4 B→ A ∶ k′′。

其中， mA表示用戶 A把訂單信息連同面值為數(shù)字商品價(jià)格的電子支票一起生成的消息；σA表示用戶A利用模糊簽名算法生成的關(guān)于消息 mA的模糊簽名；mB= H2(mB′)表示對(duì)已加密的商品內(nèi)容 m ′B做散列運(yùn)算的結(jié)果；σB表示用戶B利用模糊簽名算法生成的關(guān)于消息 mB′的模糊簽名；k與k′分別表示A和B的秘密消息keystone；k′表示B加密商品的密鑰。協(xié)議的詳細(xì)過(guò)程請(qǐng)參閱文獻(xiàn)[11]。

3 CQQY協(xié)議的不可濫用性分析

CQQY協(xié)議是一個(gè)高效簡(jiǎn)潔的無(wú)需 TTP參與的公平交易協(xié)議，但當(dāng)A和B均誠(chéng)實(shí)時(shí)，協(xié)議并不滿足不可濫用性，原因在于協(xié)議不滿足模糊性。即，任意的第三者在keystone公布之前，都能區(qū)分出2個(gè)簽名的真實(shí)簽署方。

考慮下面的場(chǎng)景：假設(shè)A和B均誠(chéng)實(shí)的按照協(xié)議的步驟執(zhí)行公平交易協(xié)議，則在執(zhí)行 step3之前，A得到B的簽名消息 (σB, m ′B,)，B得到A的簽名消息(σA, mA)。因?yàn)?A與 B均誠(chéng)實(shí)，則(σA, yA, yB, mA)與(σB, yA, yB, mB′ )均可通過(guò)模糊驗(yàn)證算法驗(yàn)證。從而可得下面結(jié)論。

結(jié)論1 協(xié)議參與雙方均誠(chéng)實(shí)時(shí)，CQQY協(xié)議不滿足不可濫用性，即，任意第三者在秘密消息keystone公布之前都能區(qū)分出(σA, yA, yB, mA)與(σB, yA, yB, mB′ )的真正簽署方。

證明 由于假設(shè)A，B誠(chéng)實(shí)，則(σA, yA, yB, mA)與(σB, yA, yB, mB′ )為A，B的真實(shí)簽名，即可通過(guò)模糊驗(yàn)證算法驗(yàn)證。由2個(gè)模糊簽名可知，消息 mA與是不相同的，第三者可以通過(guò)區(qū)分這2個(gè)消息來(lái)區(qū)分2個(gè)簽名的真正簽署方。由于是B的商品的散列值，第三者可以從商家B的網(wǎng)站上下載被加密的商品，并通過(guò)公開(kāi)的散列函數(shù) H2(·)計(jì)算加密商品的散列值，然后分別與 mA， m ′B進(jìn)行比較，即可分辨出2個(gè)簽名的真正簽署方。最壞情況，第三者計(jì)算商家B網(wǎng)站上所有被加密商品的散列值，逐一對(duì)比，由于B的商品有限，則在有限的時(shí)間內(nèi)，第三者仍可分辨出2個(gè)簽名的真正簽署方。通過(guò)上述方法，當(dāng)A收到(σB, yA, yB, mB′ )后，可以對(duì)第三者聲稱已得到B的簽名消息，且第三者可以進(jìn)行驗(yàn)證并相信(σB, yA, yB, mB′ )是B對(duì) mB′的簽名。同樣，B收到(σA, yA, yB, mA)后也可以通過(guò) mA向第三者聲稱得到了A的簽名消息。因此，CQQY協(xié)議不滿足不可濫用性。

從結(jié)論的分析過(guò)程以及完美并發(fā)簽名的定義出發(fā)，對(duì)CQQY協(xié)議進(jìn)行了改進(jìn)。

4 改進(jìn)的CQQY協(xié)議

根據(jù)完美并發(fā)簽名的思想，本文對(duì)CQQY協(xié)議進(jìn)行了改進(jìn)，改進(jìn)的公平交易(ICQQY)協(xié)議的具體過(guò)程如下。

step1 A→B∶ (σA,m)：當(dāng)用戶A在B的網(wǎng)站上選中想要的商品后，用戶下載被加密的商品 mB′和訂單信息，并把訂單信息連同電子支票一起生成消息 mA，同時(shí)計(jì)算 mB= H2(m ′B)并與 mA級(jí)聯(lián)為消息m，記為 m =mA||mB。隨機(jī)選擇keystone k∈K，計(jì)算 s2= H1( k)。輸入 ( yA, yB, xA,s2, m )運(yùn)行模糊簽名算法，輸出 σA= ( c, s1, s2)，并發(fā)送(σA, m)給B。

step2 B →A∶(σB,m,)：當(dāng)B收到A的消息后，從m中分離出 mA與 mB，然后檢查訂單信息、A的身份以及電子支票等信息，若任何一項(xiàng)驗(yàn)證不通過(guò)(包括對(duì) mB的確認(rèn))，則退出；否則，B運(yùn)行模糊驗(yàn)證算法驗(yàn)證(σA, yA, yB,m)，若輸出“拒絕”，則退出；否則，B隨機(jī)選擇 t ∈Zq，計(jì)算輸入 ( yB, yA, xB,s1′, m)運(yùn)行模糊簽名算法，輸出σB= ( c′, s1′ , s2′)，最后B 發(fā)送 (σB, m,)給A。

step3 A → B ∶ (k, k′)：在A收到 (σB, m,)之后，計(jì)算 r =modp,k ′ = r m od q ，驗(yàn)證 s1′ ( s2+H1(k'))modq是否成立；輸入運(yùn)行模糊驗(yàn)證算法，若輸出“拒絕”則退出；若輸出“接受”，則發(fā)送(k, k′)給B。

step4 B→ A ∶ k′′：當(dāng)B收到(k, k′)后，此時(shí)2個(gè)模糊簽名σA與σB可以同時(shí)綁定到各自的簽署方，則B發(fā)送加密商品的秘密密鑰k′給A。

當(dāng)A收到k′后，即可解密加密的商品。同時(shí)，當(dāng)(k, k′)公開(kāi)發(fā)布后，任何第三者都可驗(yàn)證s2= H1( k), s1′ = ( s2+ H1( k ′ ))mod q 是否成立，并分別輸入(σA, yA, yB,m)與(σB, yA, yB,m)運(yùn)行模糊驗(yàn)證算法，若均輸出“接受”，則 2個(gè)簽名合法，否則簽名無(wú)效。

5 對(duì)ICQQY協(xié)議的分析

ICQQY協(xié)議的公平性與 CQQY協(xié)議的公平性分析相同，在此不再贅述，詳細(xì)過(guò)程請(qǐng)參閱文獻(xiàn)[11]。下面將對(duì)ICQQY協(xié)議的不可否認(rèn)性、安全性、不可濫用性進(jìn)行分析，其具體過(guò)程如下。

1) 不可否認(rèn)性。

定理1[10]假設(shè)離散對(duì)數(shù)問(wèn)題是困難的，則在隨機(jī)預(yù)言模型中完美的并發(fā)簽名方案在選擇消息攻擊下是存在不可偽造的。

證明 略(詳細(xì)過(guò)程參閱文獻(xiàn)[10])。

由于 ICQQY協(xié)議是基于 PCS方案[10]構(gòu)造的,因此由定理1很容易得到下面的定理。

定理2 ICQQY協(xié)議滿足不可否認(rèn)性。

證明 在ICQQY協(xié)議step1、step2消息中，A、B的簽名均為模糊簽名，任意第三方不能區(qū)分簽名的真正簽署方，而keystone公開(kāi)以后，則 2個(gè)簽名通過(guò)驗(yàn)證算法同時(shí)綁定到各自的簽署方，2個(gè)簽名同時(shí)生效。由定理1可知模糊簽名方案是不可偽造的，因此很容易得出 ICQQY協(xié)議滿足不可否認(rèn)性。

2) 安全性。

ICQQY協(xié)議與 CQQY協(xié)議中信道的假設(shè)是相同的，即用戶A與商家B之間的信道為安全信道，而在實(shí)際的網(wǎng)上交易中可以通過(guò)加密信道來(lái)實(shí)現(xiàn)，同時(shí)由定理1可知協(xié)議所用的并發(fā)簽名方案是不可偽造的，因而可以保證交易的安全性。

3) 不可濫用性。

定理 3[10]在完美的并發(fā)簽名方案中，秘密消息keystone公布之前，雙方的簽名是模糊的。

證明 略(詳細(xì)過(guò)程參閱文獻(xiàn)[10])。

通過(guò)對(duì)CQQY協(xié)議的分析可知，CQQY協(xié)議的不可濫用性的設(shè)計(jì)思想是利用 PCS簽名的模糊性來(lái)實(shí)現(xiàn)的（由前面分析可知CQQY協(xié)議并不滿足不可濫用性），而ICQQY協(xié)議仍然沿用了這一思想來(lái)實(shí)現(xiàn)不可濫用性。

定理 4 ICQQY協(xié)議滿足不可濫用性，即，任意第三者在秘密消息keystone公布之前無(wú)法區(qū)分模糊簽名(σA, yA, yB,m)與(σB, yA, yB,m)的真正簽署方。

證明 在ICQQY協(xié)議中，假設(shè)用戶A和B都誠(chéng)實(shí)，且分別計(jì)算模糊簽名并發(fā)給對(duì)方后，A、B雙方同時(shí)擁有(σA, yA, yB,m)與(σB, yA, yB,m)。由前面的分析可知，(σA, yA, yB,m)與(σB, yA, yB,m)都能通過(guò)模糊驗(yàn)證算法驗(yàn)證，同時(shí)由定理3可知，PCS簽名在秘密消息 keystone公布之前是滿足模糊性的，因此，ICQQY協(xié)議中，A、B中的一方在不公布秘密消息keystone的情況下，無(wú)法向第三者證明另外一方對(duì)協(xié)議交換的內(nèi)容做了承諾。因?yàn)?個(gè)簽名都可以通過(guò)模糊驗(yàn)證算法的驗(yàn)證，且對(duì)于第三者來(lái)說(shuō)，在秘密消息keystone公布之前(σA, yA, yB,m)與(σB, yA, yB,m)沒(méi)有任何區(qū)別，因此對(duì)于任意第三者在秘密消息公布之前都不能區(qū)分出2個(gè)模糊簽名(σA, yA, yB,m)與(σB, yA, yB,m)的真正簽署方。因此ICQQY協(xié)議滿足不可濫用性。

4) 效率。

ICQQY協(xié)議與CQQY協(xié)議相同，不需要可信第三方，從而避免了利用可信第三方交易的瓶頸，且雙方之間只需4次通信。與 CQQY協(xié)議相比，ICQQY協(xié)議中交易雙方只有用戶A增加了消息的散列以及消息的級(jí)聯(lián)運(yùn)算，且運(yùn)算都可以在線下進(jìn)行，從而并未增加交易協(xié)議的信息量，因此ICQQY協(xié)議仍保持了CQQY協(xié)議的簡(jiǎn)潔高效特性。

6 結(jié)束語(yǔ)

Chen等在文獻(xiàn)[11]中提出了一個(gè)簡(jiǎn)潔高效的基于并發(fā)簽名的公平交易協(xié)議，此協(xié)議無(wú)需可信第三參與，且可進(jìn)行數(shù)據(jù)條目的交易。通過(guò)對(duì)此協(xié)議進(jìn)行分析，發(fā)現(xiàn)此協(xié)議并不滿足不可濫用性。進(jìn)而根據(jù)PCS方案的思想對(duì)此協(xié)議進(jìn)行了改進(jìn)。改進(jìn)的協(xié)議滿足公平性、不可否認(rèn)性、安全性以及不可濫用性，且保持了原有協(xié)議簡(jiǎn)潔高效的特點(diǎn)。

[1] BLUM M. How to exchange (secret) keys[J]. ACM Transactions on Computer Systems, 1983, 1(2)∶175-193.

[2] EVEN S, GOLDREICH O, LEMPEL A. A randomized protocol for signing contracts[J]. Communications of the ACM, 1985, 28(6)∶637-647.

[3] FRANKLIN M K, REITER M K. Fair exchange with a semi-trusted third party[A]. The 4th ACM Conference on Computer and Communications Security[C]. ACM Press, 1997. 1-5.

[4] ZHANG N, SHI Q. Achieving non-repudiation of receipt [J]. The Computer Journal, 1996, 39(10)∶844-853.

[5] ZHOU J Y, GOLLMANN D. A fair non-repudiation protocol[A]. IEEE Symposium on Security and Privacy, Research in Security and Privacy[C]. IEEE CSP, 1996. 55-61.

[6] ASOKAN N, SHOUP V, WAIDNER M. Asynchronous protocols for optimistic fair exchange[A]. Proceedings of the IEEE Symposium on Research in Security and Privacy[C]. 1998. 86-99.

[7] ASOKAN N, SHOUP V, WAIDNER M. Optimistic fair exchange of digital signatures[J]. IEEE Journal on Selected Areas in Communications, 2000, 18(4)∶593-610.

[8] BAO F, DENG R H, MAO W. Efficient and practical fair exchange protocols with off-line TTP[A]. Proceedings of 1998 IEEE Symposium on Security and Privacy [C]. Akland, USA, 1998. 77-85.

[9] CHEN L, KUDLA C, PATERSON K G. Concurrent signatures[A].Eurocrypt 2004[C]. LNCS 3027, Spriger-Verlag, Berlin, 2004. 287-305.

[10] SUSILO W, MU Y, ZHANG F. Perfect concurrent signature schemes[A].ICICS 2004[C]. Springer-Verlag, Berlin, 2004. 14-26.

[11] 陳廣輝, 卿斯?jié)h, 齊志峰等. 新穎的基于并發(fā)簽名的公平交易協(xié)議[J].通信學(xué)報(bào), 2008, 29(7)∶ 39-43.CHEN G H, QING S H, QI Z F, et al. Novel fair exchange protocol based on concurrent signature[J]. Journal on Communications. 2008,29(7)∶ 39-43.

[12] GARAY J A, JAKOBSSON M, MACKENZIE P. Abuse-free optimistic contract signing[A]. CRYPTO'99[C]. Springer- Verlag, Berlin Heidelberg 1999. 449-466.

[13] GAO W, LI F, XU B H. An abuse-free optimistic fair exchange protocol based on BLS signature[A]. CIS2008[C]. 2008. 841-845.

[14] WANG G L. An abuse-free fair contract signing protocol based on the RSA signature[A]. WWW2005[C]. Chiba, Japan, 2005. 412-421.

[15] WANG G L. An abuse-free fair exchange protocol based on rsa signature[J]. IEEE Transactions on Information Forensics and Security,2009, 5(1)∶158-168.