一種新的基于HECC的多方公平交換協議

盧 宇 汪學明

(貴州大學計算機科學與技術學院 貴州 貴陽 550025)

一種新的基于HECC的多方公平交換協議

盧 宇 汪學明*

(貴州大學計算機科學與技術學院 貴州 貴陽 550025)

為了提高多方公平交換協議的安全性和運行效率，提出一種新的基于HECC的多方公平交換協議。利用基于超橢圓曲線雙線性對的身份簽名方案，提高了協議的運行效率；通過HECC的門限秘密共享技術確保了交易過程中的安全性。最后用改進的Kailar邏輯對新的多方公平交換協議進行形式化分析，結果表明新的多方公平交換協議不僅滿足公平性、抗合謀性等，而且具有可追究性。

HECC 門限秘密共享 雙線性對 多方公平交換協議 Kailar邏輯

0 引 言

隨著網絡技術的飛速發展,公平交換在電子交易和數字版權管理中越來越重要。電子商品的公平交換對于交易雙方尤其重要，如果在交易過程中每一方收到預期的信息或任何一方收到對方的任何有用的信息項，協議才是公平的[1]。由于網上交易人數的不斷擴大,多方的公平交換協議成為信息安全領域的研究熱點。

文獻[2,4]利用第三方是離線的情況下，使用不同技術提高安全性和效率。但此方案存在第三方欺詐，且采用傳統的公鑰密碼學，在密鑰管理方面需要消耗大量的存儲空間，管理復雜。針對上述問題，文獻[3,5]運用身份信息作為公鑰大大減少了公鑰認證的復雜性。每個用戶使用用戶標識作為他的公鑰,用戶的公鑰可以直接從他的用戶標識計算而不是從頒發機構(CA)出具的證書中提取，簡化了傳統公鑰密碼復雜的密鑰托管問題，提高了運行效率。

本文在前人工作基礎上提出一種新的多方公平交換協議，該協議采用基于HECC的身份簽名方案提高運行效率和安全性，同時采用基于HECC門限秘密共享技術和離線半可信第三方以確保協議公平進行。該方案不僅可以保證公平和整個交易的不可抵賴性，更重要的是能夠滿足交換保密的拓撲這個多方公平交換協議的特征。

1 基于HECC的身份簽名方案

設Fp為有限域，C為Fp上虧格為g的超橢圓曲線，J(C,Fp)是它的除子類群(Jacobian商群)，Jacobian的階為#J(C,Fp)=hq。為滿足安全性需要，q為位數至少為160bit的大素數，h為較小的余因子[9]。

設G∈J(C,Fp)是q階元素，并且G可表示為：

稱G為J(C,Fp)的基點，故以G為生成元、q為階構成的是J(C,Fp)的一個循環子群，在該循環子群上建立基于HECC的身份簽名方案。

2) 私鑰提?。河蒔KG完成。用戶身份輸入ID∈{0,1}*，PKG計算QID=H1(ID)，dID=sQID，把dID作為用戶的私鑰。

2 一種新的基于HECC的多方公平交換協議

馮陽等基于拉格朗日差值多項式并利用超橢圓曲線離散對數問題的難解性，提出一種新的基于HECC的(t,n)門限秘密共享方案[10]。本文基于HECC的身份簽名方案和門限秘密共享技術提出了一種新的基于HECC的多方公平交換協議。

2.1 基本符號

Pi:本次交易的參與者，其身份ID為IDi，i=1,2,…,n。

off-TTP:離線的半可信第三方。

A:Pi準備交易對象集合。

A′:Pi確定的最終交易對象集合。

EN:每次交易的交易號。

ET(·):用off-TTP的公鑰加密信息。

Pi→A:m:Pi發送消息m給A中的各主體。

H(·):單向哈希函數。

SignPi:對Pi基于身份的簽名。

EPi(·):用Pi的公鑰加密信息。

2.2Exchange協議

為了防止信息被替換，應該設立一個權威的公告牌用來顯示基礎信息，在協議開始前各主體Pi準備好要交換的信息mi和五元組{IDi,EN,H(mi),Ti,Sign}。五元組被公布在目錄服務上，H(mi)是為了驗證收到消息的正確性，Ti是每次交易的時間限制，Sign是權威機構對前面四元組簽名。協議步驟如下：

步驟1

Pi→Pj:m1=IDi,IDj,EN,Ti1,SignPi(IDi,IDj,EN,Ti),i≠j,j∈A

步驟2

Pj→Pi:m2=EPi(IDj,IDi),EN,Tj1,yesSignPi(m1,EPi(IDj,IDi),EN,Tj,yes),i≠j,j∈A′

步驟3

Pi→Pj:m3={m3′={EPj(IDi,IDj),EN,Ti2,EPj(Xi1),ET(Xi2)}SignPi(m3′)},i≠j,j∈A′

步驟4

Pj→Pi:m4={m4′={EPi(IDj,IDi),EN,Tj2,EPi(Xj1),ET(Xj2)}SignPj(m3,m4′)},i≠j,j∈A′

步驟5

Pi→Pj:m5={m5′={EPj(IDi,IDj),EN,Ti,EPj(Xi2)}SignPi(m4,m5′)},i≠j,j∈A′

步驟6

Pj→Pi:m6={m6′={EPi(IDj,IDi),EN,Tj,EPi(Xj2)}SignPj(m5,m6′)},i≠j,j∈A′

2.3Resolve子協議

若在交易過程中任意主體在發送了自己的信息后收不到來自其他主體的有效消息，在這種情況下可以向off-TTP求助。

Pi→off-TTP:rm1=EN,IDi,IDj,T,m4,m5,SignPi(EN,IDi,IDj,T,m4,m5)。off-TTP檢查rm1，并且驗證信息是否正確。如果正確，off-TTP檢查時間是否超時。

如果是：

off-TTP→Pi:rm2=EN,IDi,IDj,T,EPi(Xi2),SignT(EN,IDi,IDj,T,EPi(Xi2))，之后Pi可以用Xi1、Xi2恢復出Xi并且計算出mi。否則：

off-TTP→Pi:rm2′=EN,IDi,IDj,T,wait,SignT(EN,IDi,IDj,T,wait)

3 協議分析

3.1 安全性分析

1) 抗合謀性：協議接收者相互之間的透明性，大家不知道相互之間的接收者集合，只有交易者自己才知道。因此用交易對象的公鑰加密交易者的身份標識，入侵者就算截獲了傳送的消息也不知道該消息是傳給誰的。

2) 公平性：協議中假若某主體發送自己有價值的消息出去后沒有收到其他交易主體發來的有價值的消息或者其他主體不誠實，這時可以向第三方請求幫助獲得剩下的半個子秘密，通過基于HECC門限秘密共享技術的恢復函數恢復出秘密，并通過收到的簽名(S,h)計算出真實信息。

3) 交易拓撲保密性：多方公平交換協議特有性質是交易拓撲保密性，每個交易方都不希望自己的交易信息被外界所知道，包括第三方也不行。本協議采用網陣交易拓撲結構，并且所交易信息采用HECC門限秘密共享技術。

3.2 協議可追究性形式化分析

定理1 在假設Γ1和Γ2下，對線束協議P和Q與公式φ、θ、ψ而言，如果Γ1├φ[P]xθ、Γ2├θ[Q]xψ，那么Γ1∪Γ2├θ[P;Q]xψ成立。

其中，P;Q是線束協議P和Q的串行合成。Γ1├φ[P]xθ成立的含義是：x在運行線束P之前若φ成立，那么在執行線束P后θ也成立，假設前提是Γ[11]。

本協議的兩個過程：(1) 只執行了Exchange協議，記為Exchange1；(2) 遇到突發情況，就啟動Resolve協議，記為Exchange2。通過線束概念和改進的Kailar邏輯可以表示協議的可追究性目標為：

Γ├Start(Pi)[P(Pi,Pj,off-TTP)Pi(θ1∧θ2)]

(1)

式中，P是本協議，可由Exchange1和Exchange2串行合成；θ1為PiCanprovePjClaimsXj;θ2為PjCanprovePiClaimsXi;Γ為假設前提。

使用改進的Kailar邏輯方法[12]，先證明Exchange1和Exchange2安全性目標是否滿足，然后由定理1證明上述目標是否成立。

3.2.1Exchange1過程可追究性分析

只完成Exchange1協議。若要滿足可追究性，即使得：

Γ1├Start(Pi)[Exchange1(Pi,Pj,off-TTP)Pi(θ1∧θ2)]

(2)

成立。

協議分析過程如下：

1) 協議分析的準備

(1) 列出初始擁有集合

(2) 列出初始假設集合Γ1

① 基本假設

B1PiCanprovePK(Pj,KPj)

B2PjCanprovePK(Pi,KPi)

② 可信假設

T1PiCanprovePjControlsmatch(EPi(Xj1),EPi(Xj2))

T2PjCanprovePiControlsmatch(EPj(Xi1),EPj(Xi2))

③ 協議理解假設

C1PiClaims(EPj(Xi1),EPj(Xi2))?Pi

Claimsmatch(EPj(Xi1),EPj(Xi2))

C2PiClaims(EPj(Xi1),EPj(Xi2))∧Pi

Claimsmatch(EPj(Xi1),EPj(Xi2))?PiClaimsXi

C3PiHas(EPi(Xj1),EPi(Xj2))∧PjClaimsEPi(Xj1)?PjClaimsmatch(EPi(Xj1),EPi(Xj2))

③ 列舉EOO和EOR

EOO=SignPi(EPi(Xj1),EPi(Xj2))

EOR=SignPj(EPj(Xi1),EPj(Xi2))

2) 可追究性分析

(1) 列舉可追究目標

式(2)成立協議滿足可追究性，即滿足：

Γ1├Start(Pi)[Exchange1(Pi,Pj,off-TTP)Piθ1]

(3)

Γ1├Start(Pi)[Exchange1(Pi,Pj,off-TTP)Piθ2]

(4)

(2) 討論EOO與EOR是否滿足可追究性。假設EOO∈OPj，即：

SignPi(EPi(Xj1),EPi(Xj2))∈OPj

故：

PjHasSignPi(EPi(Xj1),EPi(Xj2))∈OPj

(5)

由簽名公理、B2和式(5)可得：

PjCanprove(PiClaims(EPi(Xj1),EPi(Xj2)))

(6)

由C2和式(6)可得：

PjCanprove(PiClaimsmatch(EPi(Xj1),EPi(Xj2)))

(7)

由管轄公理、T1和式(7)可得：

PjCanprovematch(EPi(Xj1),EPi(Xj2))

(8)

由C2、連接公理和式(8)可得：

PjCanprovePiClaimsXi

(9)

通過上式可得式(4)成立，即EOO使協議具有可追究性。同理可得EOR也是。

3) 協議是否滿足可追究性

由上可知，若相應的EOR、EOO都能被Pi、Pj獲得，則協議具有可追究性。

3.2.2Exchange2過程可追究性分析

協議執行了Exchange協議和Resolve協議。若要滿足可追究性，即使得：

Γ2├Start(Pi)[Exchange2(Pi,Pj,off-TTP)Pi(θ1∧θ2)]

(10)

成立。

Pi可以通過下面兩種方式啟動Resolve協議：(1)Exchange協議執行步驟5后，Pi沒有收到Pj的任何回復；(2)Pi跳過步驟5直接執行Resolve協議。以上兩種情況中參與方Pi都已獲得φ1=SignPj(EPi(Xj1),ET(Xj2))。由于此時Exchange協議中步驟5已經執行，故Pj已獲得φ2=SignPi(EPj(Xi1),EPj(Xi2))，即在Pi發起Resolve協議時，有：

(AHasφ1)∧(BHasφ2)

(11)

成立。

協議此時可通過由協議Exchange及Resolve串行合成而得。式(10)要成立，需下式：

(12)

協議形式化分析步驟如下：

1) 協議分析的準備

(1) 列出初始擁有集合

① 基本假設

B3Pi,PjCanprovePK(off-TTP,Koff-TTP)

② 可信假設

T3Pi,PjCanproveoff-TTPControlsrecover(ET(Xi2),ET(Xj2))

③ 協議理解假設

C4 off-TTP Claims(Xi2,Xj2)?off-TTP Claims recover(ET(Xi2),ET(Xj2))

C5recover(ET(Xi2),ET(Xj2))∧PiClaimsEPj(Xi1)∨PjClaimsEPi(Xj1)?PiClaimsXi∨PjClaimsXj

(3) 列舉EOO和EOR

EOO=SignT(ET(Xi2))

EOR=SignT(ET(Xj2))

2) 可追究性分析

(1) 列舉可追究目標

(13)

(2) 討論EOO與EOR是否滿足可追究性。假設EOO∈OPj，即SignT(ET(Xi2))∈OPj，故:

PjHasSignT(ET(Xi2))

(14)

由B3、簽名公理和式(14)有：

PjCanprove(off-TTPClaimsXi2)

(15)

由C4、連接公理和式(15)有：

off-TTPClaimsrecoverET(Xi2)

(16)

由式(16)、T3和管轄公理有：

PjClaimsrecoverET(Xi2)

(17)

由OPj可知：

PjHasSignPi(EPj(Xi1))

(18)

由B3、簽名公理和式(18)有：

PjCanprove(PiClaimsEPj(Xi1))

(19)

由式(19)、式(17)和C6有：

PjCanprovePiClaimsXi

(20)

成立，即EOO的設計滿足可追究性。同理可得EOR也滿足。

(3) 協議是否滿足可追究性

通過定理1、式(11)和式(20)得式(10)成立，即協議在執行了Resolve協議后具有可追究性。

討論Exchange1、Exchange2兩個過程的證明結果可知，新的多方公平交換協議具有可追究性。

4 協議執行效率分析

在網上交易的過程中，用戶希望在發出交易信息后能夠很快地獲得相應的交換信息。交易過程的處理速度與通信開銷、協議的計算代價有關。

(1) 通信開銷。協議的通信開銷通常用傳送消息數目及協議交互的輪次來衡量。協議采用樂觀的離線第三方，只需要3次交互即可完成交易。正常情況下用戶之間不需要第三方實時參與，用戶之間相互認證通過后自行交易，只需要3次交互即可完成。本文提出的交易方式減少了用戶之間交換信息的等待時間，減少對第三方的依賴，通信開銷更小。

(2) 計算代價。協議的計算代價主要產生于簽名、驗證簽名、加解密和哈希等密碼運算，其中以簽名和驗證簽名最為消耗資源。假設有n個協議參與方，記Pa為雙線性對運算時間，Pm為G1群上點乘時間，忽略其他計算消耗，與文獻[6]的效率比較見表1所示。

表1 協議的效率分析

由表1可見，本協議的消息輪次、簽名生成時間、簽名驗證時間都比文獻[6]小。從計算效率上來看，本文利用超橢圓曲線除子群運算及其Weil對或Tate對來實現，計算速度快，具有一定的效率優勢。因此，本文所提方案在通信效率和時間效率上都有較大提高。

5 結 語

本文采用了基于HECC的(t,n)門限秘密共享方案和基于HECC雙線性對的身份簽名方案，構建了一種新的基于HECC的多方公平交換協議。與之前的方案相比，其在安全性和效率、抗合謀性方面都得到提高。同時采用改進的Kailar邏輯對其進行形式化證明分析，證明結果顯示本協議具有可追究性。下一步工作將考慮對該協議進行模型檢測分析并對它在電子商務中的具體應用展開研究。

[1]Draper-GilG,ZhouJ,Ferrer-GomilaJL,etal.Anoptimisticfairexchangeprotocolwithactiveintermediaries[J].InternationalJournalofInformationSecurity,2013,12(4):299-318.

[2]LiuY,HuH.AnImprovedProtocolforOptimisticMulti-partyFairExchange[C]//2011InternationalConferenceonElectronicandMechanicalEngineeringandInformationTechnology,2011:4864-4867.

[3]ZhangL,WuQ,QinB.Identity-BasedOptimisticFairExchangeintheStandardModel[J].SecurityandCommunicationsNetworks,2013,6(8):1010-1020.

[4]HuangQ,YangG,WongDS,etal.Anewefficientoptimisticfairexchangeprotocolwithoutrandomoracles[J].InternationalJournalofInformationSecurity,2012,11(1):53-63.

[5]YounTY,ChangKY.ID-BasedOptimisticFairExchangeSchemeBasedonRSA[J].ETRIJournal,2014,36(4):673-681.

[6] 樊玫玫,彭長根.一種基于身份的多方公平交換協議[J].計算機應用,2009,29(2):367-369.

[7] 趙洋,秦志光,藍天,等.基于可驗證加密機制的多方公平交換協議[C]//全國網絡與信息安全技術研討會,2007:650-655.

[8] 陸衛新,汪學明.超橢圓曲線上的Ate對變種及其計算的研究[J].計算機工程與設計,2014,35(5):1578-1582.

[9] 施萬海,游林.一類超奇異超橢圓曲線的Tate對實現[J].杭州電子科技大學學報,2013,33(6):33-36.

[10] 馮陽,汪學明.基于HECC的門限秘密共享方案研究[J].信息安全與技術,2015,6(2):18-20,27.

[11]MitchellJC,DattaA.Securityanalysisofnetworkprotocols:Compositionalreasoningandcomplexity-theoreticfoundations[D].USA:StanfordUniversity,2005.

[12] 卿斯漢.一種電子商務協議形式化分析方法[J].軟件學報,2005,16(10):1757-1765.

A NEW MULTI-PARTY FAIR EXCHANGE PROTOCOL BASED ON HECC

Lu Yu Wang Xueming*

(CollegeofComputerScienceandTechnology,GuizhouUniversity,Guiyang550025,Guizhou,China)

A new multi-party fair exchange protocol based on HECC is proposed in order to improve the security and efficiency of multi-party fair exchange protocol. The protocol efficiency is improved by applying identity signature scheme based on the hyperelliptic curve bilinear pairings and the security in transaction process is ensured by means of HECC threshold secret sharing technology. Finally,after analyzing the new multi-party fair exchange protocol by the improved Kailar logic formal, the results show that the fairness, collusion-resistance and accountability are satisfied in the new multi-party fair exchange protocol.

HECC Threshold secret sharing Bilinear pairings Multi-party fair exchange protocol Kailar logic

2015-09-30。國家自然科學基金項目(61163049)；貴州省自然科學基金項目(黔科合J字[2011]2197號)。盧宇，碩士生，主研領域：網絡與信息安全。汪學明，教授。

TP309.7

A

10.3969/j.issn.1000-386x.2017.02.054