CN101873328A - 基于聚合签名的多方合同签署方法 - Google Patents

Abstract

本发明涉及一种基于聚合签名的多方合同签署协议方法，其特征在于，参与合同签署的签署者利用聚合签名和公钥密码系统广播方法完成签署过程，当任一方对其签署行为抵赖时，则由可信第三方介入解决争端。该方法需要一个离线的可信第三方的支持，且可信第三方生成凭证签名作为争端发生时恢复合同签名的授权签名。其主要步骤包括：签署者利用凭证签名生成合同-凭证聚合签名，并广播发送给其他签署者，完成承诺交换；当签署者收到其他签署者的有效合同-凭证聚合签名之后，广播发送其合同签名，完成合同签名交换；交换过程中发生争议时，签署者请求可信第三方执行争端解决方法。该方法仅需要两轮无序消息交互，方法执行效率较高，具有可证安全性。

Description

基于聚合签名的多方合同签署方法

技术领域

本发明涉及一种多方合同签署方法，特别涉及一种基于聚合签名的多方合同签署方法。

背景技术

随着计算机及其网络技术的不断进步，电子商务、移动商务已成为基于网络的现代经济活动的主要形式之一。如何在互不信任的各方之间以公平的方式通过网络进行电子数据的交换受到广泛关注，而公平交换协议是电子商务、移动商务的关键。所谓公平是指当允许两方或多方(两方以上)在利用协议交换信息时，能保证所有参与者或者得到期望的电子数据信息或者得不到任何有价值信息。公平性是大多数交换协议所必须解决的关键问题。

要实现严格的公平性，协议必须引入可信第三方(Trusted Third Party，TTP)，以此来保证协议运行的公平性。根据TTP在协议中的介入程度可将TTP分为：线上(In-line)TTP、在线(On-line)TTP和离线(Off-line)TTP。基于Off-line TTP的公平交换协议，又称为乐观公平交换协议，即假定多数情况下所有用户都诚实可信且信道及时送达消息，协议不引入TTP就能完成(对于合同签署协议而言，就是合同可以成功签署)。仅当协议运行出现争议时，TTP才介入，帮助参与者恢复应得的电子数据或保证参与者的公平性的条件下完成协议的运行。有此可以看出，乐观公平交换协议中TTP的介入程度最低，这也避免了TTP称为协议性能的瓶颈。本发明属于这一类方法。

关于乐观公平交换方法，已有专利有：

专利CN1688123A涉及一种基于标准RSA算法的优化公平的数字签名交换方法，其特征在于，参与公平交换的双方使用基于标准的RSA算法的概率签名来完成正常的公平交换步骤，当任一方对其交换行为抵赖时，则由可信第三方执行仲裁。

专利CN1877627A涉及一种由买方、卖方、银行和可信第三方(TTP)在计算机网络上共同实现的在线公平、安全的在线交易电子支付系统和方法。其特征在于，在任意两个互不信任的交易方之间进行的交易步骤可调用基于RSA的公平交换模块，可信第三方在任一交易方抵赖时执行仲裁。

专利CN101567788涉及一种抗扩环攻击的签名数据公平交换方法。其特征在于，解决了专利CN1688123A中基于RSA的签名数据的公平交易易受扩环攻击的技术问题，提供了一种抗扩环攻击的签名数据公平交换方法。

考虑下述情况：如三个及其以上用户想通过网络共同签署某个电子合同文件，上述专利方法则不适用，原因在于上述专利涉及的协议用户只能有两个。本发明基于聚合签名的多方合同签署方法可以为多个用户提供安全、高效、公平的环境确保合同签署顺利的进行。

作为公平交换协议的一种形式，多方合同签署方法是n个签署者通过网络共同签署某个合同，要求要么所有用户得到最终的有效合同，要么得不到任何有价值的信息。根据现有的技术，国际上尚没有一个基于聚合签名方案的安全、高效、公平的多方合同签署方法。

发明内容

本发明的目的在于提供一种基于聚合签名的多方合同签署方法。该方法利用广播协议实现用户之间的消息分发，利用无限制的聚合签名方案实现用户之间的合同签署，具有较少的消息发送次数和交互轮数，且具有可证安全性。

本发明所提供的基于聚合签名的多方合同签署方法是基于以下的构思：

假设n个签署者分别为P₁，P₂，…，P_n，TTP为n个签署者协商选定的离线可信第三方。TTP选择抗碰撞密码学单向哈希函数H：(0，1)^*→G₁，双线性映射e：G₁×G₁→G₂，其中G₁，G₂分别为具有相同素数阶q的加法和乘法循环群，离散对数问题在G₁和G₂上是难解的。TTP为每个合同签署者P_i指定一个数N_i，且N_i与N_j互素，

(x_T，Y_T＝x_TP)为TTP的签名验证用密钥对，其中P为加法循环群G₁的生成元，阶为q。TTP选择两个有效期T₁与T₂，且T₁＜T₂，T₂之后协议自动终止。TTP为每个参与者生成一个凭证V_i∈{0，1}^*(即如果某一签署者未履行其义务，则此凭证可用于争端发生时的解决授权)，对每个凭证V_i计算其签名为其中凭证签名有效期为T₁，l表示一次性合同签署方法标签(例如，可以是签署者身份、TTP身份、有效期等相关信息的哈希值)。同时TTP选择n个随机数

计算S_i＝r_iP，

i＝1，2，…，n。TTP公开

其中E_PK(·)为非对称加密算法，然后TTP通过安全信道分别发送消息{S_i，∑_i，T₁，T₂，V_i，l，N_i}给每个参与者P_i。

参与者P_i从TTP处获得消息

后，首先随机选择

作为签名用密钥，并计算验证用密钥Y_i＝x_iP，同时根据E_PK(·)为非对称加密算法选择密钥对(SK_i，PK_i)，并公开验证用密钥和解密用密钥(Y_i，PK_i)。然后利用从TTP处接收到的消息(S_i，∑_i，T₁，T₂，V_i，l)计算

恢复TTP对凭证V_i的签名

然后通过计算等式是否成立来验证

的有效性。

基于上述内容，本发明的基于聚合签名的多方合同签署协议方法可以通过下述步骤实现：

第一步：

对于n个签署者通过协商的具有相同意义的两个合同消息M，M′∈{0，1}^*，H(M)≠H(M′)，签署者P_i首先计算合同M的签名σ_i＝x_iH(Y_i||M)，然后利用聚合签名方法计算消息-凭证聚合签名

签署者P_i分别利用其他n-1个参与者的公钥对消息-凭证聚合签名W_i和凭证V_i进行加密得签署者者P_i利用中国剩余定理求解n-1个同余方程

$X={E_{\mathrm{PK}}}_1\left(W_i\right|\left|V\right)\left(\mathrm{mod}{N}_1\right),$

.

.

.

$X={E_{\mathrm{PK}}}_{i-1}\left(W_i\right|\left|V\right)\left(\mathrm{mod}{N}_{i-1}\right),$

$X={E_{\mathrm{PK}}}_{i+1}\left(W_i\right|\left|V\right)\left(\mathrm{mod}{N}_{i+1}\right),$

.

.

.

$X={E_{\mathrm{PK}}}_n\left(W_i\right|\left|V\right)\left(\mathrm{mod}{N}_n\right).$

由于N_i，N_j，两两互素，则n-1个同余方程组必有唯一解，记作

其中

表示除去签署者P_i之外的n-1个参与者组成的集合。之后，签署者P_i把加密消息

通过广播信道广播发送给其他n-1个签署者，记作：

$\begin{array}{c}\begin{array}{cc}M1:& P_i\⇒{\stackrel{\‾}{P}}_i\end{array}\end{array}:E_{{\stackrel{\‾}{P}}_i}\left(W_i\right|\left|V_i\right)$

此步中对n个签署者广播发送加密消息的次序没有要求，因为任意签署者P_i在没有收到其他n-1个签署者的消息-凭证聚合签名之前，都不会广播发送自己的消息签名，否则将会处于不利的情形。

当签署者P_i接收到来自其他n-1个签名者的加密消息

之后，P_i对每个

利用大素数N_i计算

得

然后利用密钥SK_i解密

从而得到其他n-1个签名者的消息-凭证聚合签名与凭证

然后验证这n-1消息-凭证聚合签名是否有效，即验证以下n-1个等式是否成立：

e(W₁，P)＝e(H(Y₁||M)，Y₁)e(H(V₁||l||T₁||T₂)，Y_T)，

.

.

.

e(W_i-1，P)＝e(H(Y_i-1||M)，Y_i-1)e(H(V_i-1||l||T₁||T₂)，Y_T)，

e(W_i+1，P)＝e(H(Y_i+1||M)，Y_i+1)e(H(V_i+1||l||T₁||T₂)，Y_T)，

.

.

.

e(W_n，P)＝e(H(Y_n||M)，Y_n)e(H(V_n||l||T₁||T₂)，Y_T).

只要有一个不成立，签署者P_i将不发送消息签名，且在时间T₂之后安全退出协议。否则，

第二步：

签署者P_i计算合同M′∈{0，1}^*的签名，即计算σ′_i＝x_iH(Y_i||M′)，然后与第一步相同，签署者P_i分别利用其他n-1个签署者的公钥

对σ′_i进行加密得

签署者P_i利用中国剩余定理求解n-1个同余方程

$X={E_{\mathrm{PK}}}_1\left({{\mathrm{\σ}}^{\′}}_i\right)\left(\mathrm{mod}{N}_1\right),$

.

.

.

$X={E_{\mathrm{PK}}}_{i-1}\left({{\mathrm{\σ}}^{\′}}_i\right)\left(\mathrm{mod}{N}_{i-1}\right),$

$X={E_{\mathrm{PK}}}_{i+1}\left({{\mathrm{\σ}}^{\′}}_i\right)\left(\mathrm{mod}{N}_{i+1}\right),$

.

.

.

$X={E_{\mathrm{PK}}}_n\left({{\mathrm{\σ}}^{\′}}_i\right)\left(\mathrm{mod}{N}_n\right).$

由于N_i，N_j，

两两互素，则n-1个同余方程组必有唯一解，记作签署者P_i通过广播信道广播发送

给其他n-1个签署者，记作：

$\begin{array}{cc}M2:& P_i\⇒{\stackrel{\‾}{P}}_i:E_{{\stackrel{\‾}{P}}_i}\left({{\mathrm{\σ}}^{\′}}_i\right)\end{array}$

当签署者P_i接收到来自其他n-1个签署者的加密合同签名

后，签署者P_i利用N_i对每个

计算

得

然后利用密钥SK_i解密从而得到其他n-1个签名者的合同签名

然后验证其他n-1参与者对合同的签名是否有效，即验证以下n-1个等式是否成立：

e(σ′₁，P)＝e(H(Y₁||M′)，Y_T)，

.

.

.

e(σ′_i-1，P)＝e(H(Y_i-1||M′)，Y_T)，

e(σ′_i+1，P)＝e(H(Y_i+1||M′)，Y_T)，

.

.

.

e(σ′_n，P)＝e(H(Y_n||M′)，Y_T).

如果n-1个等式全部成立，则合同签署成功，任一签署者P_i利用聚合签名方法计算最终合同签名为：

$\mathrm{\σ}={\mathrm{\Σ}}_{i=1}^n{{\mathrm{\σ}}^{\′}}_i.$

否则，如果签署者P_i在T_i之前未收到来自其他n-1个签署者的全部签名消息，或者验证上述n-1个等式不全部成立，则签署者p_i可以要求TTP执行争端解决子协议。

任何人可以通过验证等式

e(σ，P)＝e(H(Y₁||M′)，Y_T)e(H(Y₂||M′)，Y_T)…e(H(Y_n||M′)，Y_T)

来验证合同签名σ是否是由指定的n个签署者签署的合同。

以上描述了本发明提供的基于聚合签名的多方合同签署协议方法，本领域的技术人员可以理解，TTP虽然没有参与正常协议的交换步骤，但作为公平性和不可抵赖性的保证，TTP仍然是本发明提供的完整技术的一部分。以下描述在基于聚合签名的多方合同签署协议方法中，在加密或签名消息交换之后，可能发生的抵赖行为以及离线的TTP执行争端解决子协议的具体步骤：

第一种：

当某个签署者P_i完成广播发送第一次数据之后，即签署者P_i广播发送加密的合同-凭证聚合签名W_i与凭证V_i之后，由聚合签名算法的安全性可知，签署者P_i无法否认自己的合同-凭证聚合签名W_i。此时，最坏情况其他n-1个签署者不诚实，否认收到签署者P_i的合同-凭证聚合签名W_i与凭证V_i，即使如此，其他n-1个签署者也无法得到除W_i为签署者P_i有效的合同-凭证聚合签名之外任何有价值的消息，在没有签署者P_i或TTP帮助的情况下，无法从W_i中提取出合同签名。如果P_i在时间T₁之前没有收到来自其他n-1个签署者的合同-凭证聚合签名，只需等到时间T₂之后便可安全退出协议，因此，在正常逻辑下，此时参与合同签署协议的n个签署者不需要TTP执行争端解决方法。

第二种：

当第一次数据交换完成，签署者P_i广播发送加密合同签名

之后，说明签署者P_i确认其他n-1个签名者的合同-凭证聚合签名

为有效签名。最坏情况，其他n-1个签署者合谋，此情况下，n-1个签署者在无需发送各自合同签名的情况下即可获得最终合同签名，此时n-1个签署者可抵赖声称并未收到过来自签署者P_i的合同签名σ′_i。此时，签署者P_i可以通过发送全部n个签署者的合同-凭证聚合签名

给TTP，要求TTP执行争端解决子协议。

TTP执行争端解决子协议的过程如下：TTP首先确定签署者P_i是否在Y₁之前发送请求，检查

是否是签署者

当前的凭证且是否在有效期内，其次验证签署者P_i发送的n个签署者的合同-凭证聚合签名

是否有效，即通过验证以下n个等式是否成立：

e(W₁，P)＝e(H(Y₁||M)，Y₁)e(H(V₁||l||T||T₁)，Y_T)，

e(W₂，P)＝e(H(Y₂||M)，Y₂)e(H(V₂||l||T||T₁)，Y_T)，

.

.

.

e(W_n，P)＝e(H(Y_n||M)，Y_n)e(H(V_n||l||T||T₁)，Y_T).

如果有一等式不成立，TTP拒绝恢复签署者的合同签名；如果以上等式全部成立，则TTP恢复n个签署者各自的合同签名。其过程如下：

TTP利用自己的私钥x_T计算

σ₁＝W₁-x_AdjH(V₁||l||T₁||T₂)，

σ₂＝W₂-x_AdjH(V₂||l||T₁||T₂)，

.

.

.

σ_n＝W_n-x_AdjH(V_n||l||T₁||T₂)，

恢复n个签署者各自的合同签名σ₁，σ₂，…，σ_n，并在T₁之后T₂之前发送给n个签署者，记作

$\begin{array}{cc}M3:& \mathrm{TTP}\→P_i:{\left\{{\mathrm{\σ}}_j\right\}}_{j=1,j\≠i}^n\end{array},.$

附图说明

图1表示基于聚合签名的多方合同签署协议方法的流程图；

图2表示可信第三方执行争端解决方法的流程图。

具体实施方式

以下参照附图详细说明本发明提供的基于聚合签名的多方合同签署方法。

图1表示基于聚合签名的多方合同签署方法的完整过程。具体实现步骤如下：

步骤101表示签署者P_i向其他n-1个签署者通过广播信道广播发送其自身的合同-凭证聚合签名。同样其他签署者

也需要广播发送其自身的合同-凭证聚合签名。发送顺序无要求。

步骤102表示检查签署者P_i是否收到来自其他签署者

的全部n-1有效合同-凭证聚合签名。如果没有收到其他n-1合同-凭证聚合签名，或者收到的合同-凭证聚合签名有验证不通过的，转步骤107。否则转步骤103。

步骤103表示签署者P_i向其他n-1个签署者通过广播信道广播发送其自身的合同签名。同样其他签署者

也需要广播发送其自身的合同签名。发送顺序无要求。

步骤104表示检查签署者P_i是否收到来自其他签署者

的全部n-1有效合同签名。如果没有收到其他n-1合同签名，或者收到的合同签名有验证不通过的，转步骤105。否则转步骤107。

步骤105表示如果某个签署者P_i未收到来自其他签署者

的全部n-1有效合同签名，或收到的合同签名有验证不通过的，则签署者P_i要求TTP执行争端解决方法，来解决争端。以保证签署者在发送合同签名后的公平性。

步骤106表示TTP通过收到的某个签署者P_i的执行争端的请求，并验证消息有效性，执行争端解决方法，以保证签署者的公平性。

步骤107表示基于聚合签名的多方合同签署方法执行完毕，签署者或者得到合同签名，或者得不到任何有价值的消息。

图2表示TTP执行争端解决方法，其具体步骤如下：

步骤201表示签署者P_i提交相关信息要求TTP执行争端解决方法。

步骤202表示TTP验证来自签署者P_i提交相关信息的有效性和合法性。如果有某个验证不成立，则转步骤205。否则，转步骤203。

步骤203表示TTP利用收到的有关信息和其自身的私钥，从所有签署者的合同-凭证聚合签名中恢复出签署者各自的合同签名。

步骤204表示TTP将所有签署者的合同签名通过安全信道发送给各个签署者，帮助其解决争端，以保证签署者公平性。

步骤205表示TTP完成争端协议，保证签署者得到其他签署者的合同签名，或者得不到有效的信息。

Claims (7)

1.一种基于聚合签名的多方合同签署方法，其特征在于，参与合同签署的多个(≥3)签署者使用无限制的聚合签名方法和公钥密码系统广播方法分别实现合同的签署和消息的广播发送，当任一签署者对其签名行为抵赖时，则由可信第三方执行争端解决方法。

2.如权利1所述的基于聚合签名的多方合同签署方法，其特征在于，所述的可信第三方执行争端解决的方法为：利用密钥从合同-凭证聚合签名中恢复出签署者的合同签名。

3.如权利2所述的基于聚合签名的多方合同签署方法，其特征在于，所述的合同-凭证的聚合签名的产生方法为：可信第三方生成签署者的凭证以及对凭证的签名，签名者利用聚合签名方法产生合同签名和凭证签名的合同-凭证聚合签名。

4.如权利1所述的基于聚合签名的多方合同签署方法，其特征在于，所述的多方合同签署的实现方法为：利用聚合签名方法把所有签署者的合同签名聚合产生最终合同签名。

5.如权利1所述的基于聚合签名的多方合同签署方法，其特征在于，所述的消息分发的实现方法为：利用公钥密码系统逐个对消息进行加密，利用中国剩余定理产生唯一值，实现消息的广播发送。

6.如权利4所述的基于聚合签名的多方合同签署方法，其特征在于，所述的正常的多方合同签署方法包括以下步骤：

发送合同-凭证聚合签名：所有签署者无序广播发送合同-凭证聚合签名；

验证合同-凭证聚合签名：签署者验证其他签署者的合同-凭证聚合签名，如果验证失败则在规定时间之后退出；

发送签署者合同签名：所有签署者无序广播发送其合同签名；

验证签署者合同签名：签署者验证其他签署者的合同签名，如果验证失败，可以向可信第三方申请，执行争端解决方法。

7.如权利6所述的基于聚合签名的多方合同签署方法，其特征在于，所述的可信第三方解决争端的步骤如下：

签署者向可信第三方提交解决争端所需信息；

可信第三方验证签署者提交的信息的合法性和有效性，如果失败，则仲裁终止；

可信第三方使用自己的密钥恢复出所有签署者的合同签名；

可信第三方将恢复出的合同签名发送给所有签署者。

Images