基于代理的多方公平交換簽名方案

任雙廷,王 箭

(南京航空航天大學 計算機科學與技術學院，江蘇 南京 210016)

基于代理的多方公平交換簽名方案

任雙廷,王 箭

(南京航空航天大學 計算機科學與技術學院，江蘇 南京 210016)

在公平交換方案中，允許兩個或者多個參與者以一種公平的方式進行信息交換。所謂公平是指：所有參與者都能得到所要交換的信息，或者所有參與者都無法得到所要交換的信息。提出一種基于代理的多方公平交換簽名方案。在該方案中，參與者首先以一種公平的方式進行授權交換，一旦授權交換成功，則每個參與者可以代表其他參與者對指定的文件進行代理多簽名，從而公平地實現了多方公平交換簽名中每個參與者對其他參與者的約束，以及實現了多方公平交換簽名。相對于其他的多方公平交換方案，該方案的原理既可應用于一對多類型的多方公平交換簽名方案，也可應用于多對多類型的多方公平交換簽名方案。此外，該多簽名的公平交換并不依賴于可信或半可信的第三方，從而消除了公平交換簽名的應用瓶頸。

代理；多方公平；公平交換；授權

1 概 述

1996年，N.Asokan等首先對多方公平交換協議進行了研究[1]，此后，多方公平交換協議的研究受到了國內外學者的廣泛關注。針對應用場景的不同，多方公平交換協議又可以分為兩類，即一對多的公平交換協議[2-6]和多對多的公平交換協議[7-13]。此外，多方公平交換協議和兩方公平交換協議比較類似，又可根據是否使用第三方分為三類，即不帶可信第三方的多方公平交換協議、在線可信第三方的公平交換協議以及離線可信第三方的公平交換協議。1996年，N.Asokan在原有兩方公平交換方案的基礎上再次給出了多方公平交換的概念[14],方案允許多個參與者公平地交換電子信息。與兩方公平交換協議類似：不帶可信第三方的多方公平交換協議難以實現真正的公平，而在使用第三方的多方公平交換協議中，協議的安全性又過于依賴可信第三方的安全性。一旦可信第三方出現安全問題，整個協議都將失去其應有的價值，也就是說，可信第三方的使用成為制約多方公平交換協議應用的瓶頸[15-17]。針對這一問題，又有一些學者提出了半可信第三方的概念[10-12]，但仍然未能很好地解決可信第三方的問題。

代理簽名最早由Mambo等在1996年提出[18]，是指：在一個簽名方案中，原始簽名人通過代理權限的授予，使得代理簽名人具有代表原始簽名人進行簽名的權力，即，允許原始簽名人將自身的簽名權力委托給代理簽名人。有時人們需要一個代理人同時代表若干個原始簽名人進行簽名，這就是代理多簽名體制[19-25]。

文中提出一種基于代理的多方公平交換簽名協議。在該協議中，每個參與者首先與其他參與者交換他們的授權，一旦授權交換成功，參與者就可以依據所獲得的授權進行代理簽名，從而代替其他參與者對某一指定文件進行代理多簽名。最終，每個參與者能得到對其他參與者具有約束效力的簽名。相對于已提出的公平交換簽名協議，所提方案不需要用到可信第三方，而且可以實現簽名的多方公平交換。

2 前提知識

2.1 符號介紹

i：序號為i的參與者。

PB：一個用于展示消息的公共平臺,可以被看作如同網絡般的一個公共環境而不是可信第三方。

Wij：由i制作的將要發送給j的授權。

Vij：參與者i的一般簽名，j為i所發送授權的接收方。在這里,文中并沒有指定特殊的簽名方案,在實踐中,要求所選擇的簽名方案都能被參與者雙方所接受。

EPK_abolish：用公鑰PK對某一數據進行加密后得到的密文。在實踐中,所選擇的加密方案必須是參與者雙方都能夠接受的。

PMVi：由i所制作的代理多簽名。文中并沒有給出確切的代理簽名方案,在實踐中,應該由參與者共同協商決定。

Vi_abolish：i所制作的一般簽名。

2.2 假 設

公平：在n個參與者中，要么所有參與者都能制作出對其他n-1個參與者具有約束力的代理多簽名；要么所有參與者都不能得到對其他參與者具有約束力的代理多簽名。

3 基于授權的多方公平交換簽名方案

3.1 簡 述

所提方案原理為：首先，每個參與者都制作n-1個授權，并將它們發送給相應的其他參與者，以期實現授權的多方公平交換。交換成功則執行下一步，即，所有參與者使用來自其他參與者的授權代表其他參與者制作具有約束力的代理簽名；交換不成功,則所有參與者所得到的授權將在生效前被撤銷，任何人都無法據此得到對其他參與者具有約束力的代理多簽名，從而實現了簽名的多方公平交換。

3.2 對授權的多方公平交換的分類

由于所提方案是以授權的公平交換為基礎的，所以對授權的交換公平性及應對方略進行如下分類。

(1)所有參與者都是誠實的，則他們能夠實現對授權的公平交換；

(2)參與者中的某一個是不誠實的，則所有參與者所得到的授權都將在生效前被撤銷；

(3)多個參與者是不誠實的，此種情況可以歸類到2當中。

從以上分類可知：如果所有參與者都能實現授權的公平交換，他們就可以使用得到的授權代表其他參與者制作具有約束效力的代理多簽名，否則，所有授權都將在生效前被撤銷，任何人都無法從中得到對其他人具有約束力的代理多簽名，從而達到公平交換簽名的效果。

3.3 定 義

該方案中具有兩類實體參與者i和公告牌PB。

定義：該方案是一個元組(Init,Authorization,AuthorizationVerifying,ProxyMulti-Signature,Recovery)。

(1)Init(初始化):算法輸入安全參數1k(k∈N),產生系統公共參數params。

(2)Authorization(授權發送):參與者制作n-1個授權(Wi1,Vi1),…,(Wi(n-1),Vi(n-1))，并分發給其他相應的參與者。

(3)AuthorizationVerifying(授權驗證):參與者對所有接收到的授權進行驗證，一旦出現驗證不成立的情況,則分以下兩種情況進行處理：還未發送自己制作的授權，則終止協議；已發送自己制作的授權，則啟動恢復協議。

(4)Recovery(恢復):算法發送警報消息到PB,撤銷所有已交換授權的有效性。

(5)ProxyMulti-Signature(代理多簽名):每個參與者使用已得到的合法授權代表其他參與者行使簽名權，產生對其他參與者具有約束效力的代理多簽名。

3.4 簽名方案

(1)Init(初始化)：所有參與者協商確定時間參數TO，Tabolish，TE，Tabolish

(2)Authorization(授權發送)：序號為1的參與者制定n-1個授權(W12,V12),…,(W1n,V1n)并分發給相應的參與者，W1j= (ID1,IDj,scope1,TO,TE,EPK_abolish, etc)。其中，EPK_abolish為用PK對Tabolish進行加密后得到的密文。然后序號為1的參與者將所有制作的授權以及簽名分別發送給相應的其他參與者。

for(i=2,i<=n,i++)

1→i:W1i,V1i

此后，序號為2的參與者重復序號為1的參與者的操作，依此類推。

(3)AuthorizationVerifying(授權驗證)。每個接受者對已得到的授權進行驗證：在時間TO前，所有參與者都得到了來自其他參與者的合法授權，則授權的公平交換過程結束。在時間TE后，每個參與者啟用代理多簽名算法：使用得到的授權代表其他n-1個參與者行使代理多簽名，從而每個參與者都得到了對其他n-1個參與者都具有約束效力的簽名(代理多簽名)；一旦在時間TO后，有參與者沒能得到其本應得到的所有合法授權，則該參與者可啟動恢復算法。

(4)Recovery(恢復)：在時間TE前對EPK_abolish進行解密，得到Tabolish，并將其和自己的簽名一起發送給PB，從而在交換過程中產生的所有授權都被撤銷。任何人都不能再使用簽名所得到的授權行使代理簽名權，也即任何人都無法得到對其他參與者具有約束效力的簽名(代理簽名)。

(5)ProxyMulti-Signature(代理多簽名)：超過時間TE后，每個參與者使用已得到的合法授權代表其他參與者行使簽名權，產生對其他參與者具有約束效力的代理多簽名。

for(j=1,j<=n,j++)

doPMVj

時間TE之后，PB不再接受任何來自該次代理多簽名活動的警報信息。

4 方案分析

針對多方公平交換簽名的攻擊方式多種多樣，然而，不管攻擊者的攻擊方式多么變化多端，他們的目的卻是一致的，即在不付出代價的前提下,獲得來自對方的有效證據。

文中假定PB和發起者之間可以在指定時間內完成交互，并且PB和參與者之間是同步的。這個條件并不難達到,可以把實現這一條件作為發起多方公平交換簽名方案的必要條件。需要指出的是,在所提方案中,對于接收者不同步、系統錯誤或者系統延遲等問題都可以當作一種欺騙手段來處理。

插入攻擊：這種攻擊方式是指攻擊者在指定步驟內退出系統。

攻擊者接收到一個或者某幾個或者全部其他參與者的授權后即刻退出，拒不分發自己的授權,從而導致了其他參與者在時間TO前無法獲得來自該參與者的任何證據。根據系統規則,其他參與者可以通過恢復算法在時間TE前撤銷他們所發給攻擊者的授權。這些授權將在生效前被撤銷。

攻擊者在接收完其他參與者的授權,并分發自己對其他參與者的授權后，即刻推出系統。在這種情況下，攻擊者與所有其他參與者完成了授權的多方公平交換。

延遲攻擊：攻擊者在接收到其他參與者的授權后并沒有在TO前分發授權給其他參與者，此類攻擊方式可歸類到插入攻擊方式中。最終，攻擊者無法獲得來自其他參與者的有效授權。

錯誤授權：攻擊者發送錯誤的授權給其他參與者,其他參與者可以在下一步前對接收到的授權進行檢查,如果不是自己需要的就終止協議，或啟動恢復算法。這種情況下,任何一方參與者都無法得到來自其他參與者的有效授權。

虛假警報：如果所有參與者在完成了授權的交換后,攻擊者仍然發送了警報消息,則所有參與者的授權都將被同時取消,從而所有參與者(包括攻擊者)都不能得到來自其他參與者的有效授權(在時間TE之前)。

釣魚攻擊：在釣魚攻擊中，攻擊者將自己偽裝成某個原廠商的網站以期獲得敏感信息(如信用卡信息)。特別地，攻擊者可以偽裝成可信的接收者，從而在電子交易中獲得原廠商的某些敏感信息。為此，攻擊者會建立一個與接收者的網站類似的虛假在線網站，并邀請用戶在其網站上進行網絡購物，從而獲得敏感信息。攻擊者可以利用這些敏感信息做一些有利于自身的活動，而不需經過持有者的授權(這里指信用卡信息)。

然而，文中所提方案是通過授權的多方公平交換來達到多方公平交換簽名的效果。在授權生效前，授權以及相應的簽名會被驗證，從而避免了上述攻擊情況的發生。

糾紛解決可以被分為兩個方面:

(1)某個或某些參與者聲稱接收到了某個消息,而其他參與者否認發送了消息；

(2)某個或某些參與者聲稱發送了某個消息,而其他參與者并不承認接收到了該消息。

在該方案中,如果無法得到有效的授權,任何參與者都無法從該欺騙行為中得到利益。

從以上討論可知,在交換結束后,要么參與者都能得到來自其他參與者的有效授權,從而代表其他參與者制作一個對他們具有約束力的代理多簽名，要么參與者都無法得到來自其他參與者的有效授權，都無法制作相應的對其他參與者具有約束力的代理多簽名，從而達到了公平交換簽名的效果。

5 比 較

文中所提方案與當前幾類多方公平交換簽名方案的比較見表1。

表1 所提方案與幾類多方公平交換簽名方案的比較

從以上對比可以看出：在線可信第三方的公平交換方案中，無論交易雙方是誠實的還是不誠實的，在公平交換過程中都需要可信第三方的參與；在離線可信第三方公平交換方案中，一旦交換過程中出現不公平現象，就必須要有可信第三方的參與。即，第三方的參與成為該種方案的一個應用瓶頸。而所提方案，無論在交換過程中是否有不公平現象出現，都無需可信第三方的參與，參與方本身即可實現交換的最終公平性。因此，相對于前面的方案，所提方案消除了可信第三方必須參與的瓶頸，具有更廣闊的應用前景。

需要指出的是，雖然無可信第三方的多方公平交換簽名方案不需要可信第三方，但該類方案并不能實現真正的公平，實施時要求交換的參與者具有相同的計算能力。因此計算量大，不易于實踐，目前已經不再是受關注對象。

6 結束語

通過對代理多簽名和授權技術的使用，提出了一種多方公平交換授權協議，并在此基礎上達到了多方公平交換簽名的效果。在該協議中,惡意行為不能給攻擊者帶來任何利益，而誠實的參與者也不會遭受損失。協議允許參與者以一種公平的方式實現授權的相互交換，在此基礎上，通過制作基于所得授權的代理簽名，每個參與者都可以得到一個對其他參與者具有約束力的代理多簽名；否則，所有參與者都無法得到來自其他參與者的有效授權，也就無法制作出對其他參與者具有約束力的有效代理多簽名。文中實現了簽名的多方公平交換，而無需用到可信第三方。然而，如何找到一個更有效的方式來實現授權的撤銷(當出現不公平時)是未來工作的一個方面。

[1]AsokanN,SchuterM,WaidnerM.Optimisticprotocolsformulti-partyfairexchange[R].Zurich:IBMResearchDivision,1996.

[2]OnievaJ,ZhouJianying,LopezJ.Non-repudiationprotocolsformultipleentities[J].ComputerCommunications,2004,27(16):1608-1616.

[3]KremerS,MarkowitchO.Amulti-partynon-repudiationprotocol[C]//ProceedingsoftheIFIPTC11fifteenthannualworkingconferenceoninformationsecurityforglobalinformationinfrastructures.Netherlands:Kluwer,2000:271-280.

[4] 韓志耕,羅軍舟.一個公平的多方不可否認協議[J].計算機學報,2008,31(10):1705-1715.

[5] 劉義春.P2P組合交易的公平支付協議[J].計算機工程,2008,34(18):171-173.

[6]WangY,AuMH,SusiloW.Attribute-basedoptimisticfairexchange:Howtorestrictbrokerswithpolicies[J].TheoreticalComputerScience,2014,527(3):83-96.

[7]KhillI,KimJ,HanJ,etal.Multi-partyfairexchangeprotocolusingringarchitecturemodel[J].Computers&Security,2001,20(5):422-439.

[8]FranklinM,TsudikG.Securegroupbarter:multi-partyfairexchangewithsemi-trustedneutralparties[C]//Secondinternationalconferenceonfinancialcryptography.[s.l.]:[s.n.],1998:90-102.

[9]BaoFeng,DengR,NguyenKQ,etal.Multi-partyfairexchangewithanoff-linetrustedneutralparty[C]//Proceedingsofthe10thinternationalworkshopondatabase&expertsystemsapplications.Washington,DC:IEEEComputerSocietyPress,1999:858-862.

[10] 杜紅珍,張建中.一個新的帶離線半可信第三方的多方公平交換協議[J].計算機應用研究,2006,23(8):248-250.

[11] 李艷平,張建中.帶離線半可信第三方的多方交換協議[J].西安電子科技大學學報,2004,31(5):811-814.

[12]ZhangMinqing,XiaoHaiyan,YangXiaoyuan.ID-basedfairmulti-partyexchangeprotocol[C]//Internationalconferenceonmeasuringtechnologyandmechatronicsautomation.[s.l.]:IEEE,2010:402-405.

[13]LiuY,HuH.Animprovedprotocolforoptimisticmulti-partyfairexchange[C]//Internationalconferenceonelectronicandmechanicalengineeringandinformationtechnology.[s.l.]:IEEE,2011:4864-4867.

[14]AsokanN,SchunterM,WaidnerM.Optimisticprotocolsformulti-partyfairexchange[J].Biotechniques,1996,37(1):72-88.

[15] 伊麗江,肖 鴻.一個高效的帶有脫線半可信第三方的多方公平交換協議[J].西安電子科技大學學報,2000,27(6):745-748.

[16]González-DeleitoN,MarkowitchO.Anoptimisticmulti-partyfairexchangeprotocolwithreducedtrustrequirements[C]//Proceedingsofthe4thinternationalconferenceoninformationsecurityandcryptology.[s.l.]:[s.n.],2001:258-267.

[17]González-DeleitoN,MarkowitchO.Exclusion-freenessinmulti-partyexchangeprotocols[J].LectureNotesinComputerScience,2002,2433:200-209.

[18]MamboM,UsudaK,OkamotoE.Proxysignatures:delegationofthepowertosignmessages[J].IEICETransactionsonFun-damentals of Electronics Communications and Computer Sciences,1996,E79-A(9):1338-1354.

[19] Yi L,Xiao G,Bai G.Proxy multi-signature scheme:a new type of proxy signature scheme[J].Electronics Letters,2000,36(6):527-528.

[20] Li X,Chen K.ID-based multi-proxy signature,proxy multi-signature and multi-proxy multi-signature schemes from bilinear pairings[J].Applied Mathematics & Computation,2005,169(1):437-450.

[21] Cao Feng,Cao Zhenfu.A secure identity-based proxy multi-signature scheme[J].Information Sciences,2009,179(3):292-302.

[22] Sun Y,Xu C,Yang Y B.Improvement of a proxy multi-signature scheme without random oracles[J].Computer Communications,2011,34(3):257-263.

[23] Cao H J,Wang H S,Li P F.Quantum proxy multi-signature scheme using genuinely entangled six qubits state[J].International Journal of Theoretical Physics,2013,52(4):1188-1193.

[24] He Du,Jian Wang.An anonymous but accountable proxy multi-signature scheme[J].Journal of Software,2013,8(8):1867-1874.

[25] Tang Pengzhi,Deng Junlei,Li Xiaoxiong.Based on bilinear bairing of proxy multi-signature scheme[J].Journal of Hebei Normal University:Natural Science Edition,2013,37(2):134-137.

Proxy-based Multi-party Fair Exchange Signature Scheme

REN Shuang-ting,WANG Jian

(College of Computer Science and Technology,Nanjing University of Aeronautics and Astronautics, Nanjing 210016,China)

A multi-party fair exchange protocol allows parties to exchange items in a fair way,which means that all of the parties obtain the other’s items or neither party does.A novel protocol for multi-party fair exchanging signature without a Trusted Third Party (TTP) is proposed.In this protocol,participants exchange their warrants firstly.Then,each participant is able to sign a proxy multi-signature on behalf of its opponents.Owing to the proxy multi-signature’s characteristics,the scheme achieves the desired effect of multi-party fair exchange of digital signatures.Besides,the principle of it can be used at both 1-to-n and n-to-n multi-party fair exchange signature protocols.Differing from existing fair exchange schemes,the scheme can be realized without the use of a TTP,which makes it more practical.

proxy;fair multi-party;fair exchange;warrant

2014-12-03

2015-06-18

時間：2017-01-04

江蘇省普通高校研究生科研創新計劃資助項目(CXZZ12_0161);中央高?；究蒲袠I務費專項資金;江蘇省高校優勢學科建設工程資助項目

任雙廷(1988-)，男，碩士生，研究方向為信息安全等；王 箭，教授，研究方向為信息安全等。

http://www.cnki.net/kcms/detail/61.1450.TP.20170104.1017.002.html

TP301

A

1673-629X(2017)01-0080-04

10.3969/j.issn.1673-629X.2017.01.