《安全协议》课件8非否认协议.ppt

1、1非否认协议n非否认协议是为了防止不诚实者否认他们参与了某项事务而拒绝承担相应的责任而设计的协议。要求：(1)确保通信主体不能对通信事件抵赖；(2)确保在协议执行的任何阶段，任何通信主体不能获得优于其他主体的好处。n实现第一个:通过使协议通信各方获得可证明通信事件或动作发生过的证据，以防止利益方抵赖；实现第二个:保证协议的公平性。2非否认服务n非否认服务的目的是为某一特定事件的参与双方提供证据，使他们对自己的行为负责。非否认服务可以通过协议的形式提供。n为了使通信的参与方对他们的行为负责，要求：(1)发送方非否认，即提供一种保护使得发送方不能否认他发送过某条消息；(2)接收方非否认，即提供一种

2、保护使得接收方不能否认他接收过某条消息。n非否认服务还应当满足公平性，即如果服务在任何一步异常终止，则发送方和接收方都不能得到额外的利益。n一旦通信双方发生了争执，就需要由仲裁中心解决争端3非否认服务n非否认服务收集、维护、公布和验证那些与某个事件或动作相关的不可抵赖的证据，并将这些证据用于解决参与通信的双方的争执。n非否认证据：(1)发送方非否认证据(evidence of origin，EOO)，非否认服务向接收方提供不可抵赖的证据，证明接收到的消息的来源。(2)接收方非否认证据(evidence of receipt，EOR)，非否认服务向发送方提供不可抵赖的证据，证明接收方已收到了某条

3、信息。4非否认协议的步骤n非否认协议必须提供无可辩驳的证据快速解决纠纷。非否认协议中，一个可信的第三方(TTP)帮助完成这个目标。为了实现非否认服务，非否认协议必须包含如下步骤：(1)服务请求：一个计划好的非否认服务的应用必须在关键行为发生之前被承认。(2)证据产生：证据产生与关键行为相关联，而且由一方或操作一致的某几方组成的群体来完成。关键行为的潜在否定者的那一方需要参与证据产生，可信第三方也应该参与。5非否认协议的步骤 (3)证据传递和储存。关键行为发生后，证据已经产生，证据要被传递到最终需要使用的一方或几方，或被可信第三方储存可能作为将来的参考。(4)证据验证。为了让各方信任证据将会足以

4、应付纠纷引发的事件，有必要核对被传递的或被可信地保存着的证据。(5)纠纷解决。纠纷可发生在那些阶段之后不久(如在同一个通信会话中)但更可能发生在之后很久(如几年以后)。如果这一阶段发生的话，必须找回证据，重新核实它，然后解决纠纷。这里需要一个仲裁者，假定为一个第三方，如法庭。6非否认协议的性质 (1)非否认性n在电子交易中两种可能性的情况：消息可能是真实的或伪造的；消息可能是发送给接收方或者根本没有发送；消息可能到达接收方或者在发送过程中丢失；消息到达接收方时可能是完整的或者是被破坏的；消息可能到达或者被延迟发送。7非否认协议的性质 否认拥有某个消息；否认发送过某个消息；否认接收到某个消息；否

5、认在规定的时间内收到或发送过消息。n非否认服务的目的是为特定事件的参与双方提供证据，非否认服务可以由非否认协议提供。8非否认协议的性质 (2)可追究性n可追究性在某些情况下可以看作是对非否认性的另一个角度的陈述。比如，一个主体不能向其他方否认自己曾经参与通信事件A的话，那么当它否认参与事件A时，而这样的否认又影响了其他方的利益，那么其他方就可以追究它参与过事件A的责任。可以保证这种追究有效的协议我们称之为具有可追究性。9非否认协议的性质 (3)公平性n定义1：一个协议是公平的，当协议结束时它提供给消息发送方和接收方合法的不可反驳的证据，同时在协议运行的任何阶段任何一方不能获得优于对方的好处。n

6、定义2：一个协议是强公平的，它满足定义1。以强公平性为设计目标的协议，无论在执行过程或者执行完毕后，都不会让通信各方获得优于其他方的好处。10非否认协议的性质n定义3：一个协议是弱公平的，如果协议或者到达强公平的结果，或者协议中的通信方有机会通过不正当的行为获得优于其余各方的好处，但其余的通信方可以向仲裁机构证明对方的不正当行为或可以通过正当行为抵消自己已经获得的优势。n定义4：一个非否认协议是概率公平的，如果协议或者达到弱公平协议的结果，或者一方仅有小到可忽略的机会通过不正当行为获得优于其他方的好处。11非否认协议的性质 (4)时限性n如果参与一次通信的各方主体中，至少有一方是诚实的，那么协

7、议应该在有限的时间内完成。时限性如果不能得以满足，可能会影响到公平性。n由于非否认协议中往往要求参与通信的各方保留一定的证据，而通信方的计算和存储资源是有限的，因此，任何的通信方都不可能永远保存一些尚未完成的通信所产生的部分证据，相反，通信方需要在一定期限后能够删除这些部分证据，而又不能损害己方的利益。这样的效果需要具有时限性的协议来保证。12非否认协议的性质 (5)非滥用性n即协议中的通信方没有权利在任何时刻向协议以外的实体证明他可以随意选择终止或完成协议。打个比方，甲方想通过数字合同来卖房子给乙方，乙方已经签订，但是甲方仍未签订，甲方此时将乙方的订单给丙方看，欲以此来显示自己可以将房子以合

8、同中的价格卖给乙方，而游说丙方以高于乙方的价格来买房子。这是乙方不愿意看到的情况。如果合同协议能杜绝这样的情况，那么我们称该合同协议具有非滥用性。13一个非否认协议的例子nrab：请求发起本次非否认协议的标志，例如序列号；nr1：EOO标志；nr2：EOR标志；ni1：A拥有Kab的标志；ni2：B拥有Kab且A发送M的标志；ni3：B收到M的标志；nSENVa()：主体A的安全封装。SENV表示数据项的一种具有特殊构造的集合，使接收方可以验证其来源与完整性。n这里需要强调的是，标志rab、r1和r2是通常意义下的标志。标志i1、i2和i3用来表示消息的发送者相信该标志所指明的事实，只有可信第

9、三方TTP才能在他发送的消息中使用这些特殊的标志i1、i2和i3。因此，主体A收到TTP发送的i1标志时，他也相信i1指明的事实。14一个非否认协议的例子ABTTP12345615一个非否认协议的例子n1.A TTP：rab，Na nA向TTP请求发起非否认协议。n2.TTP A：SENVa(i1，Na，Nttp，Kab)nTTP通过安全封装向A发送会话密钥Kab。n3.A B：M Kab，EOO=SENVa(r1，Nttp，M Kab)nA向B发送EOO及 M Kab。如果B由于某种原因不同意接收消息M，他可以在此终止协议的运行，不会引起任何争议。n4.B TTP：EOO，EOR=SENVb

10、(r2，Nb，M Kab)n如果B在第(3)步后同意继续执行协议，就将收到的EOO转发给TTP，并向TTP发送EOR。16一个非否认协议的例子n5.TTP B：SENVb(i2，Nb，Kab)n如果TTP证实EOO与EOR的正确性，就通过安全封装协议向B发送Kab，并通知B：TTP相信A在协议的本次运行中发送了消息M。否则，TTP终止协议的执行，不会引起协议的任何争议。n6.TTP A：SENVa(i3，Na)n如果TTP证实EOO与EOR的正确性，就通知A：TTP相信B收到了消息M。否则，TTP终止协议的执行，不会引起任何争议。17一个非否认协议的例子n上述非否认协议执行结束时，主体A通过可

11、信第三方TTP发送的新鲜的会话密钥Kab，成功地发送 M Kab给主体B。B解密 M Kab之后，成功地收到消息M。并且，A不能否认他发送过消息M；B也不能否认收到过消息M。协议执行结束后如果发生争议，可以通过TTP或ADJ进行公平的仲裁。TTP和ADJ记可以是两个不同的角色，也可以是同一个角色，根据具体的应用环境决定。18非否认协议中的可信第三方n三类TTP协议nTTP的角色n一个简单的例子19三类TTP协议n内联TTP(inline TTP)非否认协议:TTP 参与协议交互过程中每一条消息的传输。协议中，TTP扮演协议主体之间的中介角色。协议主体之间不交换任何信息，协议主体之间所交换的消息

12、都通过TTP进行。此外，TTP直接提供可信第三方的各种服务。n在线TTP(online TTP)非否认协议:TTP 参与协议的每一次运行，但并不参与交互过程中每一条消息的传输。每次需要提供可信第三方的服务时，TTP都直接参与。n离线TTP(offline TTP)非否认协议:如果TTP只在协议执行出现非正常情况或者网络出现错误的时候参与协议。20TTP的角色n(1)证书中心 证书中心负责为参加认证的主体颁发公开密钥证书，公开密钥证书中包含主体名、主体的公开密钥、公开密钥的有效期等。n(2)公证中心 参与协议的主体相信公证中心能够提供正确的证据，并为他们验证数据的正确性和数据交换的正确性。n(3

13、)交付中心 作为交付中心，参与协议的主体相信TTP能正确地将消息传送给对方并提供相应的证据。21TTP的角色n(4)仲裁中心 可信第三方服务的最终目的是解决有关某一事件是否发生的争议。仲裁中心能够根据争议双方提供的证据作出正确的判断。除非争议发生，仲裁中心一般不参与可信第三方服务。n(5)时戳中心 可信第三方提供在非否认证据中加入可信时戳的服务。22一个简单的例子nf EOO：EOO字段，说明该消息发送EOO证据；nf EOR：EOR字段，说明该消息发送EOR证据；nEOO=f EOO，TTP，B，m KA-1nEOD=f EOR，A，B，m KTTP-123ABTTP13224一个简单的例子

14、nA TTP：f EOO，TTP，B，m，EOOnTTP B：f EOO，TTP，B，m，EOOnTTP A：f EOD，A，B，EODn在上述协议中，TTP作为交付中心，忠实地将A发送的消息传送给B，并向A提供非否认交付证据EOD。当然，EOD与EOR是不同的。25Markowitch和和Roggeman协议协议n假设Alice想发送消息m和起源的非否认证据给Bob来交换Bob接受的非否认证据，在这个协议中，在协议结束之前，Alice不会发现对自己不利而中止协议。类似地，如果Bob在最后一次发送时中止了协议，他不会得到任何利益。Bob进行欺骗的唯一方法是获取Alice的消息和相应的起源非否认

15、证据来猜测协议中交换的次数。这个交换次数是由Alice随机选取的。26Markowitch和和Roggeman协议协议 在这个协议中会产生如下的证据：n密文c来源的证据：EOO=SigA(fEOO，B，l，c)；n密文c接收的证据：EOR=SigB(fEOR，A，l，c)；n值vi来源的证据：EOOk,i=SigA(fEOOk,i，B，l，vi)；n值vi接收的证据：EORk,i=SigB(fEORk,i，A，l，vi)；n起源证据的非否认：NRO=EOO，EOOk,n；n接受证据的非否认：NRR=EOR，EORk,n。27Markowitch和和Roggeman协议协议n1.AB：fEOO，

16、B，l，c，EOOn2.BA：fEOR，A，l，EORn3.AB：fEOOk,1，B，l，1，r1，EOOk,1n4.BA：fEORk,1，A，l，EORk,1nn2n-1.AB：fEOOk,n-1，B，l，n 1，rn-1，EOOk,n-1n2n.BA：fEORk,n-1，A，l，EORk,n-1n2n+1.AB：fEOOk,n，B，l，n，rn，EOOk,nn2n+2.BA：fEORk,n，A，l，EORk,n28Markowitch和和Roggeman协议协议nn保密nB测试发送过来的随机数vi是否为正确的密钥所花费的时间足够长,超过规定的发生EORk,i 的时限n当B正确猜测出n的值时

17、(不发送最后一条消息),协议失败29Zhou-Gollman协议nA B：Sa(fNRO|B|l|c)nB A：Sb(fNRR|A|l|c)nA T：Sa(fSUB|B|l|K)nB T：St(fCON|A|B|l|K)nA T：St(fCON|A|B|l|K)30Zhou-Gollman协议TTPAB1234531Zhou-Gollman协议n其中A为发送方，B为接收方，T为可信第三方 TTP(trusted third party)，是在执行协议的过程中，发送方、接收方和仲裁方都信任的实体。Sx()表示用x的私有密钥签名。m为A要发送给B的数据，c为使用K对m加密形成的密文EK(m)。l是

18、协议运行的标签，fNRO、fNRR、fSUB、fCON为协议每一步执行时产生的特殊标识。32Online TTP非否认协议CMP1协议nEOO=A，B，TTP，M KA-1nEOR=A，B，TTP，h(M)KB-1nEOD=B，M，EOR KTTP-1n1.A B：A，B，TTP，h(M)，K KTTP，EOO Kn2.B TTP：EOR，K KTTP，EOO Kn3.TTP B：EOO KTTP-1n4.TTP A：EOD33ABTTP132434Online TTP非否认协议CMP1协议n其中，A和B表示邮件发送方与接收方，K为会话密钥，KA、KA-1、KB、KB-1、KTTP、KTTP-

19、1为发送方与接收方A、B可信第三方TTP的公钥、私钥。35Online TTP非否认协议CMP1协议n第一步，电子邮件发送方A选择一个会话密钥K，把消息M的摘要h(M)、签名后的消息M用K加密的 M KA 1 K以及加密的会话密钥 K K TTP发送给B；n第二步，B对h(M)签名，并连同后两部分转发给TTP。TTP收到后，通过解密获取 M KA-1；n第三步，TTP将 M KA-1用自己的私有密钥签名后传送给B；n第四步，TTP将B签过名的摘要和 B，M 用自己的私有密钥签名后传送给A。36Online TTP非否认协议CMP1协议n当协议正常结束时，B获得EOO，A获得EOR与EOD。因此CMP1协议满足可追究性。n在通信信道可靠的情形下，最终协议将正常终止。此时，B通过EOO可以证明A发送了M。A通过EOR可以证明B收到了h(M)；通过EOD可以证明TTP向B交付了M。二者结合，A可以证明B收到了M。此时，CMP1协议满足公平性。n但是，如果通信信道不可靠，则协议的第三步或第四步有可能未成功执行。此时，或者B收到EOO但A未收到(EOR，EOD)；或者A收到(EOR，EOD)但B未收到EOO。此时，CMP1协议不满足公平性。