一个公平的多方不可否认协议韩志耕罗军舟(东南大学计算机科学与工程学院南京210096)摘要实用的多方不可否认协议必须具备存活性、公平性、时限性、无排斥性和保密性。本文指出现有典型协议，如KM,OZCL和OZL均无法提供时限性和无排斥性，而且易遭受服务失效等攻击，致使它们不能成为实用的协议。为此，给出一个新协议NKM，其基于无需全局时钟同步机制支持的时间段概念实现时限性，借助双重群加密技术确保具备保密性的同时不丢失无排斥性，利用证据链技术既可高效维护协议证据，又能避开服务失效和回放攻击；同时还形式化验证了该协议的安全性，并对协议部署时将牵涉到的安全问题进行了考虑。与现有协议相比，NKM在安全性和性能方面均存在优势，可成为实用的协议。关键词多方不可否认;时限性;无排斥性;服务失效攻击;回放攻击中图分类号TP3931．引言不可否认服务是ISO定义的五项安全服务之一，用于收集、维护、验证与一个事件或行为相关的不可抵赖的证据,以便解决有关该事件或行为是否发生的纠纷。与其它安全服务不同，不可否认服务不是用来防止非法用户的攻击，而是为了防止通信对方的欺骗行为。单纯的数字签名等不可否认机制只能防止发送方否认，更一般意义上的不可否认要通过专门的不可否认协议来实现。由于不可否认提供的电子证据的法律效力必须得到社会法规的承认才有意义，使得对不可否认协议的研究一直落后于其它密码协议。通常认为实用的不可否认协议至少应具备不可否认性、公平性、时限性、保密性等基本性质。实现不可否认协议的关键在于如何确保协议公平，本课题得到国家自然科学基金会重大研究计划项目(90604004)、江苏省自然科学基金重点项目(BK2007708)、江苏省“网络与信息安全”重点实验室(BM2003201)及科技部国际科技合作项目经费的资助.韩志耕,男,1976年生,博士研究生,研究方向为网络安全.E-mail:hanzgnit@seu.edu.cn.罗军舟,男,1960年生,博士,教授,博士生导师,研究方向为协议工程、网络安全、网络管理、网格计算等.目前通常的做法是在协议中引入TTP(TrustedThirdParty)[1]。当前的研究主要集中在确保协议公平的同时，进一步降低协议对TTP的依赖[2][3][4]。多方涉入电子商务导致多方不可否认服务成为当前研究热点，但至今仍无一个成熟通用的多方模型。多方协议与两方协议相比，除了实体数量存在差别，协议的基本性质也不尽相同[5]，通常多方协议还应具备无排斥性[6]。虽然目前在多方公平交换协议上存在一些研究，但针对多方不可否认协议的研究却很少。现有多方不可否认协议多数采用一对多协议拓扑结构，协议的构造通常借助于扩展两方不可否认协议得到[5][7][8]。文献[9]提出了一个著名的两方不可否认协议(ZG)，协议提出后得到了广泛讨论，主要包括：基于多种方法验证安全性[10]，多个协议变体[11]，如何避免回放攻击和服务失效攻击[12][13][14]。ZG的主要缺陷在于不具备时限性，[15]借助让收发双方都可限制消息发送的办法改进过该协议，但[16]指出该方法高度依赖于全局时钟同步，难于部署，为此提出使用基于相对时钟概念的时间段技术重新改进了ZG(新协议简称NZG)。为使ZG可用于多方场合，[5]通过多方扩展ZG，首次提出多方不可否认协议(KM)。此后，对KM研究包括：[7][8]考虑到其在单轮执行中只能组播单条消息，并易遭受回放攻击，通过扩充KM提出了OZCL和OZL协议；[17]为使KM能高效部署，基于面向事件的仿真模型对各实体引入的超时进行了量化评估。然而，本文指出KM,OZCL和OZL均不具备时限性和无排斥性，也易遭受服务失效等攻击，无法真正实用；为此在现有协议基础上，通过多方扩展NZG，提出新协议NKM。本文第2节指出现有典型协议KM,OZCL和OZL存在的诸多缺陷；第3节给出本文所采用的信道模型和双重群加密方案；第4节提出NKM协议，并讨论了协议执行及纠纷解决；第5节形式化验证NKM安全性；第6节将NKM与现有协议进行比较，并给出部署中相关安全问题的对策；最后一节总结全文，并指出下一步工作。2．现有典型协议的缺陷2.1．KM协议KM是ZG的多方扩展[5].T用于标识实体A及集合B′中成员B′j获取K和Conk的最终期限。协议执行后，A收集到证据{EOO,ConK},B′j收集到证据{EOR...