一種安全的三方公平電子合同方案

摘要：為了有效地生成三方公平電子合同中交易者的電子簽名，保護合同內容，應用了基于身份的簽密算法，該方案引入一個可信的第三方進行密鑰生成和分發，相對于通常利用CA體制的電子合同，大大減少了認證次數，效率更高。

關鍵詞：電子合同； 基于身份； 簽密

中圖法分類號：TP309．2文獻標識碼：A

文章編號：1001－3695(2007)01-0170-04

在電子商務中，電子合同與書面合同的一個很大的不同就是交易雙方不一定要見面，并可通過互聯網來簽定電子合同。電子合同要從法律上解決以下幾個問題：①電子簽名問題。電子簽名是數據形式，符號與手書簽名沒有內在聯系，簽訂確認書仍沒有擺脫手書簽名的束縛。②電子證據效力問題。由于電子數據的易消失性、局限性、易改動性，對電子證據的效力難以確認。③電子認證問題。需要建立參與合同的用戶都信服的電子認證機構。④對合同內容的保護問題。作為敏感信息的電子合同內容，在交易雙方進行網上交易時，要通過加密傳輸，其信息的外泄會導致雙方經濟損失。

通過互聯網訂立電子合同的一個最大難點就是交易雙方的身份確認問題。關于這個問題，可以通過認證中心來解決，并且很多國家都已經實施了該項措施。由于認證中心所處的位置，要求它必須具有公正、權威、可信賴性，并且，認證中心所承擔的義務和責任必須得到法律的承認。

為了保障合同當事人的利益，需要制定公平的電子合同協議。對于一個電子合同協議，如果按照該協議簽定電子合同，任意一個合同當事人不會因為其他當事人的作弊或通信線路故障而使自己處于不利地位，就稱之為公平電子合同協議[1]。

在公平的電子合同協議中，合同的參與者除了交易雙方外還需要有一個可信的第三方(Trusted Third Party，TTP)。該協議的基本思想是合同雙方通過交換信息進行合同協商，當發生通信故障或者是合同中的一方在簽訂合同的過程中發現自己處于不利地位時，可請求TTP及時作出公平載決。通常的做法是由在法律上取得合法地位的認證機構（CA）提供這項服務。CA確保證書的可靠性并達到法律要求的安全性標準。在實際應用中，它在安全性方面滿足要求，但在使用上暴露出很多弊端，如CA認證中心在進行密鑰驗證和分發時過于煩瑣，影響交易的速度；證書的管理也比較麻煩等。因此，用戶非常需要有一個相對簡單、快速、實用的簽名驗證系統，做到可以用相對小的投入來滿足電子合同的安全性要求。

基于身份的加密體制(IBE)是一種能以任意字符串作為有效公鑰的公鑰加密體制。與CA體系相比，它的特點是：以表明身份的字符串為公鑰，不依賴于數字證書，減少了存儲和處理公鑰的容量和周期；認證機制簡單、高效，密鑰管理較為簡便。因此，本文引用基于身份的簽密算法，應用在電子合同中。

1基于身份的密碼體制介紹

當前有效且可證安全的基于身份的密碼體制中，D. Bonh和M. Franklin[2]提出的基于身份的加密和F.Hess[3]提出的簽名體制具有代表性。這些體制的構造使用了雙線性映射，其安全都是基于文獻[2]中定義的雙線性DiffieHellman(BDH)問題或類似問題。

1．1雙線性映射

實際應用中，可以利用橢圓曲線上的Weil對或Tate對構造有效的雙線性映射，并進而構造安全高效的基于身份的密碼體制[2~4]。

對基于身份的密碼體制，參數生成器Gen是隨機的多項式時間算法，輸入為安全參數k∈N（標記為1k），輸出為滿足上述性質的群G1和G2，以及雙線性映射。

在電子合同協議中，交易雙方要經常更換雙方對合同的簽名，要保證合同的安全以及交易雙方的簽名效率，同時，還要保證合同內容的保密性。為此，我們的主要工作是在協議中引入基于身份的簽密算法[5]，用每個用戶的身份標志來設定用戶的私鑰，利用用戶私鑰對合同進行簽名；利用用戶身份標志構造用戶公鑰，為各用戶所共享，并用來驗證簽名。由TTP選擇有效的Hash算法，以保證合同的安全保密性。

2．2TTP初始化

TTP運行參數生成器Gen(1k)（這里k為系統的安全系數）生成q階群G1和G2及雙線性映射，隨機選擇G1的生成元P；隨機選擇s∈F*q作為系統主密鑰，計算系統公鑰Ppub=sP，并選擇適當的Hash函數；然后將以上這些參數公布給參與合同的用戶。

2．3用戶初始化

用戶A將自己的身份標志IDA∈{0，1}*(可以是A的身份證號碼，也可以是A的電子郵箱地址)公布給TTP和用戶B；TTP利用系統參數para，計算QA=H1(IDA)∈G1，生成用戶A的私鑰SA=sQA，并通過安全渠道發送給用戶A。

用戶B的初始化步驟與A相同。

2．4電子合同的執行

協議的執行分為10個階段，描述如下：

對于情況（1），A，B，C的狀態均為(0，0)。這時合同當事人都沒有證明曾經簽訂過合同M的證據M1和M2，同時也都沒有用來生成可以請求TTP裁決合同有效M3的M1。在協議執行的階段（10）之后，都不能收到TTP發送的合同有效裁決M3，所以協議執行完后合同當事人都不可能擁有曾經成功簽訂過合同M的證據。因而，這種情況下狀態為(0，0)的當事人不會處于不利地位。

對于情況（2），如果狀態為(1，0)的當事人利用M1生成裁決合同有效的請求并發送給TTP，則在協議執行的階段（10），所有當事人都可以收到TTP發送的證明曾經成功簽訂過合同M的證據M3，狀態為(0，0)的當事人不會處于不利地位；如果狀態為(1，0)的當事人都沒有向TTP發送裁決合同有效請求，則在協議執行的階段（10），所有當事人都不能收到TTP發送的證明曾經成功簽訂過合同M的證據M3，狀態為(0，0)的當事人同樣不會處于不利地位。對于情況（3）和情況（4），在協議執行的階段（7）之后狀態為(1，1)的當事人已經擁有了證明曾經成功簽訂過合同M的證據M1和M2；而狀態為(0，0)的當事人沒有用來生成可以請求TTP裁決合同有效M3的M1，在協議執行的階段（10）之后，不能收到TTP發送的合同有效裁決M3，這種情況下對狀態為(0，0)的當事人不利。根據定理可知，這種不利是因狀態為(0，0)的當事人沒有嚴格按照協議執行造成的。

對于情況（5），在協議執行的階段（7）之后狀態為(1，1)的當事人已經擁有了證明曾經成功簽訂過合同M的證據M1和M2；而狀態為(0，0)的當事人沒有用來生成可以請求TTP裁決合同有效M3的M1；狀態為(1，0)的當事人和狀態為(1，1)的當事人串通不向TTP發送裁決合同有效請求，在協議執行的（10）之后，狀態為(1，0)的當事人不能收到TTP發送的合同有效裁決M3，這種情況下對狀態為(0，0)的當事人不利。根據定理可知，這種不利是因狀態為(0，0)的當事人沒有嚴格按照協議執行造成的。

通過對以上各種情況的分析，可知狀態為(0，0)的當事人不會處于不利地位。

同樣地，狀態為(1，0)的當事人如果不嚴格按照協議執行，其結果將不會使自己處于有利地位，相反還可能使自己處于不利地位。因為在協議執行的階段（8），可能出現合同當事人A，B，C三者具有(1，1)，(1，0)兩種狀態的情況。這時狀態為(1，1)的當事人擁有證明曾經成功簽訂過合同M的證據M1和M2；狀態為(1，0)的當事人只有按照協議利用M1生成裁決合同有效請求，并發送給TTP，才能在協議執行的階段（10）收到TTP發送的證明曾經成功簽訂過合同M的證據M3。如果狀態為(1，0)的當事人不按照協議規定向TTP發送裁決合同有效請求，在協議執行的階段（10）就收不到TTP發送的證明曾經成功簽訂過合同M的證據M3，這樣會因為別人擁有證明曾經成功簽訂過合同M的證據而自己沒有，從而使自己處于不利地位。

根據以上的結論分析可知，合同當事人不嚴格按照協議執行的結果不但沒給自己帶來任何好處，反而會使自己處于不利地位。合同當事人無論在階段（8）的狀態如何，只要嚴格按照協議執行都不會處于不利地位。在協議執行完之后，如果嚴格按照協議執行的合同當事人沒有證明成功簽訂過電子合同M的證據，則其他合同當事人也都不會擁有證明成功簽訂過電子合同M的證據，因而本協議是公平的。

2．4．3協議的效率分析

對于實際應用中，大多數情況下合同當事人都是很誠實守信的，都會按照協議規定的去做，特別是當合同當事人理解了協議的公平性，知道自己的作弊行為不會給自己帶來什么好處之后，那些想作弊的人也不會作弊。對于一個實用高效的公平電子合同協議，必須保證當合同當事人都誠實地按照協議規定去做時，電子合同的簽訂才會高效快捷。若本協議中當合同當事人都誠實守信地按照規定去做時，不需要TTP參與，當事人之間傳輸的信息也只有8條，而當事人增加到n(n>3)時，當事人之間傳輸的信息也只有4(n-1)條，在階段(8)完成后即可停止協議。TTP只是在有人作弊或通信線路出現故障時才參與協議的執行，這大大降低了TTP成為瓶頸的概率，因而本協議是高效實用的。

多于三方的公平電子合同執行與本協議類似，只要與B，C的地位相同即可保證協議的公平性。

2．4．4協議的有效性分析

在本協議中，對于任意一對用戶A，B來講，用戶B在收到用戶A的簽密合同后，只需利用A的公鑰即可進行有效性驗證。因此，任何一對用戶之間能夠安全地通信，不需要保存密鑰目錄，使用者能夠以一種完全獨立的方法對他所發送的文件進行簽密，以及解密和驗證他所收到的文件。對于以密文方式傳輸的合同M，只有擁有私鑰的人才能夠獲取其內容，由于私鑰的唯一性及基于可信第三方信任的前提，所以方案的機密性可以得到保證。

由于用戶的私鑰除了本人外，任何人都是不可能得到的（計算上不可行），簽名具有唯一性。所以，對于仲裁人來講，只要簽訂合同的一方能夠證明曾經與對方簽訂過合同，就可判定雙方曾經簽訂過合同，而在這里可由私鑰的唯一性來保證。

用戶B對合同的簽密方法和用戶A對合同的驗證方法與上相同。

2．4．5協議所用簽密算法性能分析

在本文協議中，進行加/解密運算時，可驗證加密的實現效率決定了公平交換的效率。通常的加密方案涉及多項數據和多次模指數運算[7，8]，而本文所用的簽密體制只有橢圓曲線上的乘法運算和對偶運算，對簽密合同的驗證只需要雙線性映射運算，所選擇的大素數q只要160位，安全強度等于1 024位的RSA的強度。如果要加密長度為n的消息，以|G|來表示加密體制中所選的交換群的階。用本文簽密方法和先加密后簽名的算法(以BF加密算法和文獻[6]中的一個類Hess簽名算法為例)比較如表1所示。

表1兩種加密算法的比較

表2兩種算法計算量的比較

3結束語

本文給出了基于身份的簽密算法在電子合同中的應用，引入TTP來生成系統公鑰，解決了電子合同協議執行過程中，合同雙方密鑰生成、分發和簽名驗證的問題。方案類似于一個理想的郵件系統：如果知道某人的名字和地址，就可以給他發送只有他能讀的信息，并且能夠驗證簽名是不是他所提供的。該方案中用戶私鑰由自己保存，不需要證書，克服了傳統的CA證書體制下認證手續煩瑣，效率較低的弊端，對使用者來說更加透明，能夠被對密鑰或協議一無所知的人有效地使用。相比傳統的CA認證方案，這種方案能夠在一個合理的邏輯步驟內同時完成數字簽名和公鑰加密兩項功能，而其計算代價要遠遠低于先簽名后加密，因而它是實現既保密又認證地傳輸及存儲消息的較為理想的方法，其更高效實用。該方案在實施上較傳統的分兩步實現的方法有顯著提高，可以有效地實現安全匿名性，因而在現實環境中有良好的應用前景。所存在的不足是，由于TTP既是密鑰的生成者，又是仲裁者，對合同執行的影響過大，這也是基于身份的加密體制的一個難點問題，還需要進一步研究。

參考文獻：

［1］楊義先，鈕心忻.網絡安全理論與技術[M].北京：人民郵電出版社，2003.270277.

［2］D Bonh， M Franklin. IdentityBased Encryption from Weil Pairing[C].Advances in Cryptology， CRYPTO2001，Lecture Notes in Computer Science，SpringerVerlag， 2001.213229.

［3］F Hess.Efficient IdentityBased Signature Schemes Based on Pairings[A]. K Nyerg， H Heys.Selected Areas in Cryptography the 9th Annual International Workshop， SAC2002， LNCS[C]. SpringerVerlag， 2003.310324.

［4］Sattam S AlRiyami， Kenneth G Paterson. Certificateless Public Key Cryptography[EB/OL].http：//eprint.iacr.org/2003/126.pdf.

［5］Benoit L， JeanJacques Q.New IdentityBased Signcryption Schemes from Pairings[EB/OL]. http：//eprint.iacr.org/2003/023.

［6］J C Cha， J H Cheon.An IdentityBased Signature from Gap DiffieHellman Groups[EB/OL].http：//eprint.iacr.org/2002/018.

［7］Caminisch J，Shoup V. Practice Verifiable Encryption and Decryption of Discrete Logarithms[C].Proceedings of CRYPTO2003，SpringerVerlag，2003.

［8］Atenise G. Efficient Verifiable Encryption (and Fair Exchange) of Digital Signatures[C].Singapore:Proceedings of the 6th ACM Confe￣rence on Computer and Communications Security，1999.138146.

［9］Xavier Boyen. Multipurpose IdentityBased Signcryption[EB/OL]. http：//eprint.iacr.org/2003/163.pdf.

作者簡介：

劉永杰（1976），男，新疆昌吉人，碩士研究生，主要研究方向為信息安全；

李芳（1975），女，新疆烏魯木齊人，教師，主要研究方向為信息教育；

周玉潔，女，河南南陽人，教授，主要研究方向為信息安全。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文