CN107547199B - 网上竞标系统完善前向安全可否认密钥交换协议实现方法 - Google Patents

Abstract

本发明公开了一种网上竞标系统完善前向安全可否认密钥交换协议实现方法，包括下述步骤：S1、定义非交互式指定验证方知识证明，其具有完备性、特殊可靠性、自适应零知识、不可伪造性和对称性，其中不可为造性和对称性分别让构造的协议具有完善前向安全性和完全可否认性；S2、构造非交互式指定验证方知识证明方案；S3、通过Diffie‑Hellman式协议来构造一轮可否认认证密钥交换协议，该协议同时具有完善前向安全性和完全可否认性。本发明构造了一个完全可否认前向安全的一轮认证密钥交换协议，其在安全性和效率上达到了一个良好的结合，满足了当前电子竞标系统的需求。

Description

网上竞标系统完善前向安全可否认密钥交换协议实现方法

技术领域

本发明涉及完善前向安全认证的技术领域，更具体地说，涉及一种网上竞标系统完善前向安全可否认密钥交换协议实现方法。

背景技术

网上竞标系统已经被广泛应用，但用户的隐私和权益在竞标系统中还没有得到很好的保护。因此，迫切需要设计一种用于保护用户隐私和权益，同时具有完善前向安全认证协议，满足网上竞标环境中的可否认前向安全应用需求，以防止恶意接收者泄露秘密，以及非法的第三方欺诈、威胁发送者。属于信息安全领域。

随着国内电子商务的发展，从20世纪90年电子商务在我国正式开展以来，电子商务的发展非常迅猛。在电子商务交易中，不可否认性被认为是电子商务交易的重要属性。但是，不可否认性使得协议的参与方与特定行为和身份相连，不能够保护用户的隐私，因此在一些需要保护用户隐私和商业机密的业务中，例如电子竞标，不可否认性并不适用，可否认性更能切实满足应用需要。

在电子竞标中，协议的双方必须能够互相确认对方身份才能保证竞标协议的正常运行，并在确认身份的情况下商议密钥用于机密信息(如标价)的加密。但是，在电子竞标的过程中，出价人和拍卖人的地位是不对等的，为了防止拍卖人(消息接收方)获得不正常的价格优势(将价格暴露给其他出价人以提高获益)，拍卖人获利(将收到的信息篡改，然后向第三方证明)或者恶意的第三方欺诈、威胁发送者，需要在协议中制定规则，让拍卖人无法向第三方证明某个出价来自特定出价者，恶意的第三方无法确认发送者的身份。也就是说，通信记录应该是可以否认的。

在互联网时代，由于网上招投标的规范性、严谨性、高效性，网上竞标系统被广泛应用，但用户的隐私和权益在这些系统中还没有得到很好的保护。因此，迫切需要设计一种用于保护用户隐私和权益的认证协议，满足竞标系统的可否认前向安全应用需求。

2006年，Raimondo等人扩展了Dwork等人对可否认性的定义性工作，从可否认认证扩展到了可否认密钥交换协议，并正式地证明了SKEME方案具有完全可否认性，SIGMA是部分可否认的。2008年Jaing和Safavi-Naini也提出了一个高效的可否认的密钥交换协议，他们使用的安全模型是Bellare-Rogaway模型和Dwork等人文中模型的结合模型(属于安全性较弱的模型)。同时这些工作都没有考虑到完善前向安全(PFS)。当密钥泄露后，意味着密码体制安全性的彻底丧失，损害是巨大的。

2010年，Hao提出来的YAK协议，协议是结合了Diffie-Hellman式密钥交换协议和零知识证明方案的一轮认证密钥交换协议。该协议使用了Schnorr签名作为PoK方案来构造，允许发送者不泄露地证明证据的知识，因而该协议是无法达到完全可否认的。YAK协议弱前向安全的，没达到完善前向安全性。

2011年，Cremers和Feltz提出了用签名的方法来构造一轮认证密钥协议是可能同时获得完善前向安全和可否认性的，但是他们所构造的方案仅仅是对等次数的否认性，远远没达到完全可否认性。因为数字签名是一种通用的认证手段，其一个重要的性质是任何一个人持有相关签名的公钥都可以确认该签名真实与否，并能独自地向第三方证明改签名属于某个签名者。换个角度，签名者无法抵赖之前自己签过名的信息。显然地，当使用数字签名来构造认证密钥交换协议必然会丧失完全可否认性。

2011年，Boyd和Nietop提出了一种使用消息认证码来构造完善前向安全认证密钥交换的通用构造方法。但是这种构造方法需要参与者特地互享一个额外的密钥，显然是增加了协议负担的。并且到目前为止也不知道该构造方式是否总是完全可否认的，作者没有给出相应的证明说明。

2015年，Florian Bergsma等人提出了ORKE协议，该协议具有良好的安全性质，达到完善前向安全，但是并不具有完全可否认性，因为协议中同样的是使用签名方案来构造协议从而丧失完全可否认性。

由上述分析可知，目前没有任何一轮认证密钥交换同时具有完全可否认性和完善前向安全性以满足网上竞标系统的可否认前向安全应用需求。

发明内容

本发明的主要目的在于克服现有技术的缺点与不足，提供一种网上竞标系统完善前向安全可否认密钥交换协议实现方法，构造一个完全可否认前向安全的一轮认证密钥交换协议，在安全性和效率上达到了一个良好的结合以满足竞标系统的需求。

为了达到上述目的，本发明采用以下技术方案：

本发明一种网上竞标系统完善前向安全可否认密钥交换协议实现方法，出价人与拍卖人在密钥协商时，提供了可否认性，同时协商用于机密信息的加密的密钥是完善前向安全，包括下述步骤：

S1、定义了非交互式指定验证方知识证明以满足电子竞标系统的安全、公平和隐私的需求，其具有完备性、特殊可靠性、自适应零知识、不可伪造性和对称性，其中不可为造性和对称性分别让构造的协议具有完善前向安全性和完全可否认性；

S2、构造非交互式指定验证方知识证明方案，该过程借鉴Diffie-Hellman模型和HMQV协议，使得竞标双方在密钥协商后，所有加密信息具有强的安全性——完善前向安全，另外，非交互式指定验证方知识证明方案中的证明和验证算法是对称的，即双方都可以生成有效的证明和进行验证，这就使得出价人与拍卖者在密钥协商时所产生的所有信息都是可否认的，所以出价人和拍卖者不能利用密钥协商的信息以及加密的信息来获取不正当的利益，设G＝<g>是一个阶为素数q的乘法循环群，其中q的长度为k比特,g为该群的生成元，H:{0,1}^*→Z_q是一个抗碰撞的哈希函，L＝{x:x＝g^w,w∈Z_q}∈NP，语言L的验证属于NP问题，对应的证据关系为R_L，公共值x的证据集合为W_L(x)＝{w:x＝g^w}，其中Z_q为小于q的整数集合，在该语言上的非交互式指定验证方知识证明方案为Π＝(Setup,Gen,P,V)，R_L(x,w)成立当且仅当x∈L和w∈W_L(x)；

S3、通过Diffie-Hellman式协议来构造一轮可否认认证密钥交换协议，协议使用S2构造的非交互式指定验证方知识证明方案作为组件，使得协议同时具有完善前向安全性和完全可否认性，协议的具体描述如下：

S31、协议的创建：k∈N，为安全参数，N为自然数集合，G＝<g>是一个阶为q乘法循环群，H:{0,1}^*→Z_q，是哈希函数，λ为常数，Π＝(Setup,Gen,P,V)是一个非交互式指定验证方知识证明方案，定义公共参数

S32、密钥生成KGen(pp)：对于任意的通讯方密钥生成算法KGen(pp)随机的选取u∈Z_q，令并输出(u,g^u)；

S33、协议执行：协议在和双方之间执行，其中为发起方，和为回应方，双方分别持有各自相应的私/公密钥对和

作为优选的技术方案，出价人与拍卖人在密钥协商时，提供了可否认性，同时协商用于机密信息的加密的密钥是完善前向安全，步骤S1具体为：

令pp为公共参数，和分别是证明方和确认方的私/公钥对，对于语言L∈NP(对应W_L(x))和证据关系R_L，如果Setup,Gen,P,V是概率多项式时间PPT算法，并满足下述性质，则证明系统Π＝(Setup,Gen,P,V)是一个非交互式指定验证方知识证明方案，

完备性：对于任意x∈L,w∈W_L(x)和公共参数pp←Setup(1^|x|)，有：

其中ρ为

特殊可靠性：存在一个可访问证明方预言机和一个进行知识提取的PPT算法ε，对于任意x∈L，公共参数pp←Setup(1^|x|)且对于任意的证明方

则有：

其中ρ为poly(p_x)为p_x的多项式；

自适应零知识：对于任意的非均匀PPT攻击者A＝(A₁,A₂)，任意的x∈L，w∈W_L(x)，公共参数为pp←Setup(1^|x|)，存在一个模拟器S＝(S₁,S₂)使得下式结果计算可忽略：

其中ρ为τ是S₂使用的附加信息；

不可伪造性：任意可以访问验证预言机V_SIM(·)和证明预言机的PPT攻击者A，对于任意x∈L,w∈W_L(x)和公共参数pp←Setup(1^|x|)，存在一个可忽略函数μ满足：

其中ρ为

对称性：对于任意x∈L,w∈W_L(x)，公共参数为pp←Setup(1^|x|)，存在一个PPT的算法B满足：

其中ρ为

作为优选的技术方案，出价人与拍卖人在密钥协商时，提供了可否认性，同时协商用于机密信息的加密的密钥是完善前向安全，步骤S2的具体为：

S21、创建：初始化算法Setup(1^k):

S211、选择安全的群的参数(G,g,q)

S212、选择目标抗碰撞哈希函数H

S213、定义pp＝(G,g,q,H)，并输出它

S22、生成：密钥生成算法

S221、随机选择并令

S222、输出

S23、证明：证明算法

S231、随机选择r∈_R Z_q并计算R＝g^r

S232、计算和h＝H(σ,R)

S233、计算z＝r+w·h，并输出π＝(R,z)

S24、验证：验证算法

S241、计算和h′＝H(σ′,R)

S242、计算Z′＝R·x^h′

S243、如果Z′＝g^z输出1，否则输出0

方案Π满足完备性，特殊可靠性，自适应零知识，不可伪造性，对称性。

作为优选的技术方案，出价人与拍卖人在密钥协商时，提供了可否认性，同时协商用于机密信息的加密的密钥是完善前向安全，步骤S33中，协议的执行步骤如下：

S331、激活阶段，随机选择x∈Z_q计算X＝g^x，生成证明并将发送给

S332、接收并验证与否，如果相等，执行下面的步骤：(a)随机选择y∈Z_q，计算Y＝g^y，生成证明并将发送给(b)计算并令否则，停止；

S333、接收 验证与否，如果相等，计算并令否则，停止。

本发明与现有技术相比，具有如下优点和有益效果：

1、本发明使用非传统的显式认证技术来构造协议，提出了一个非交互式指定认证方知识证明(DV-PoK)方案来构造协议。该方案具有完备性、特殊可靠性、自适应零知识、不可伪造性和对称性。其中不可为造性和对称性分别让本发明构造的协议同时具有完善前向安全性和完全可否认性。而目前没有任何一轮认证密钥交换同时具有完全可否认性和完善前向安全性以满足网上竞标系统的可否认前向安全应用需求。

2、完备性是协议的基本要求，特殊可靠性通过倒带技术构造一个提取器来暴露证明里的证据来获得，不可伪造性通过借鉴Diffie-Hellman模型和HMQV用随机性和哈希混淆来实现，对称性则通过对称参数选择以及哈希函数的随机性实现。上述的构造技巧使得发明更加简洁，易于实现。

3、本发明构造的协议具有完善前向安全性，即竞标双方中的一方因某种原因，如木马，黑客攻击等，泄露了自己的长期私钥，也不会造成之前密钥协商的的会话密钥的泄露，也就不会泄泄漏以前竞标的通讯内容。相较于传统的竞标系统的加密方案，本发明具有更强的安全性。

4、与当前开放式电子竞标系统和密封式电子竞标系统不同，开放式电子竞标系统投标价是公开的，使得出价人和拍卖人的地位不对等，并且暴露了出价人的隐私。当前基于数字签名的密封式电子竞标系统在密钥协商时不具有可否认性，拍卖人(消息接收方)可能将价格暴露给其他出价人以提高获益。本发明采用的可否认认证密钥交换协议，可否认性保护了出价人的信息，同时防止拍卖人获得不正常的价格优势。

5、本发明使用一轮认证协议来认证，认证需要的交互次数少，并且协议使用非交互式指定认证方知识证明(DV-PoK)方案来构造协议，DV-PoK运行过程中分别以两次指数操作和三次指数操作的代价来进行证明和验证计算，使得本发明在确保安全和完全可否认性的前提下，具有很高的效率。

附图说明

图1是本发明的流程图；

图2是本发明DAKE协议的描述示意图。

具体实施方式

下面结合实施例及附图对本发明作进一步详细的描述，但本发明的实施方式不限于此。

实施例

本发明定义了非交互式指定验证方知识证明(DV-PoK)并提出了一个高效的非交互式指定验证方知识证明方案，然后通过结合非交互式指定验证方知识证明(DV-PoK)方案和Diffie-Hellman式协议来构造一轮可否认认证密钥交换协议(DAKE协议)，该协议同时具有完善前向安全性和完全可否认性。如图1所示，具体包括下述步骤：

非交互式指定验证方知识证明(DV-PoK)定义：

本发明正式地定义了非交互式指定认证方知识证明的概念，其具有完备性、特殊可靠性、自适应零知识、不可伪造性和对称性。其中不可为造性和对称性分别让本发明构造的协议具有完善前向安全性和完全可否认性。

定义(DV-PoK)令pp为公共参数，和分别是证明方和确认方的私/公钥对。对于语言L∈NP(对应W_L(x))和证据关系R_L，如果Setup,Gen,P,V是PPT算法，并满足下述性质，则证明系统Π＝(Setup,Gen,P,V)是一个非交互式指定验证方知识证明方案。

完备性：对于任意x∈L,w∈W_L(x)和公共参数pp←Setup(1^|x|)，则有：

其中ρ为

特殊可靠性：存在一个可访问证明方预言机进行知识提取的PPT算法ε，对于任意x∈L，公共参数pp←Setup(1^|x|)且对于任意的

则有

其中ρ为

自适应零知识：对于任意的非均匀PPT攻击者A＝(A₁,A₂)，任意的x∈L，w∈W_L(x)，公共参数为pp←Setup(1^|x|)，存在一个模拟器S＝(S₁,S₂)使得下式结果计算可忽略：

其中ρ为τ是S₂使用的附加信息。

不可伪造性：任意可以访问验证预言机V_SIM(·)和证明预言机的PPT攻击者A，对于任意x∈L,w∈W_L(x)和公共参数pp←Setup(1^|x|)，存在一个可忽略函数μ满足：

其中ρ为

对称性：对于任意x∈L,w∈W_L(x)，公共参数为pp←Setup(1^|x|)，存在一个PPT的算法B满足：

其中ρ为

非交互式指定验证方知识证明(DV-PoK)方案构造：

该过程借鉴Diffie-Hellman模型和HMQV协议，使得竞标双方在密钥协商后，所有加密信息具有强的安全性——完善前向安全，另外，非交互式指定验证方知识证明方案中的证明和验证算法是对称的，即双方都可以生成有效的证明和进行验证，这就使得出价人与拍卖者在密钥协商时所产生的所有信息都是可否认的，所以出价人和拍卖者不能利用密钥协商的信息以及加密的信息来获取不正当的利益

G＝<g>是一个阶为素数q的乘法循环群，其中q的长度为k比特，H:{0,1}^*→Z_q是一个抗碰撞的哈希函。L＝{x:x＝g^w,w∈Z_q}∈NP对应的证据关系为R_L，公共值x的证据集合为W_L(x)＝{w:x＝g^w}，其上的非交互式指定验证方知识证明方案为Π＝(Setup,Gen,P,V)，R_L(x,w)

成立当且仅当x∈L和w∈W_L(x)。方案具体构造如下：

创建：Setup(1^k):

1、选择安全的群的参数(G,g,q)

2、选择目标抗碰撞哈希函数H

3、定义pp＝(G,g,q,H)，并输出它

生成：

1、随机选择并令

2、输出

证明：

1、随机选择r∈_R Z_q并计算R＝g^r

2、计算和h＝H(σ,R)

3、计算z＝r+w·h，并输出π＝(R,z)

验证：

1、计算和h′＝H(σ′,R)

2、计算Z′＝R·x^h′

3、如果Z′＝g^z输出1，否则输出0

方案Π满足完备性，特殊可靠性，自适应零知识，不可伪造性，对称性。

DAKE协议步骤：

协议包括协议的创建，密钥的生成和协议的执行，图2展示了本发明的协议，具体描述如下：

协议的创建：k∈N为安全参数，G＝<g>是一个阶为q乘法循环群，H:{0,1}^*→Z_q，

是哈希函数，Π＝(Setup,Gen,P,V)是一个DV-PoK方案。定义公共参数

密钥生成KGen(pp)：对于任意的通讯方算法随机的选取u∈Z_q，令 并输出(u,g^u)。

协议执行：协议在(发起方)和(回应方)双方之间执行，双方分别持有各自相应的密钥对和协议的执行过程如下：

1、激活阶段，随机选择x∈Z_q计算X＝g^x，生成并将发送给

2、接收 验证与否，如果相等，执行下面的步骤：(a)随机选择y∈Z_q，计算Y＝g^y，生成并将发送给(b)计算和令否则，停止。

3、接收 验证与否，如果相等，计算并令否则，停止。

不难发现双方计算获得的秘密值是相等的因此，他们拥有相同的会话密钥

本发明使用非传统的显式认证技术来构造协议。提出了一个非交互式指定认证方知识证明(DV-PoK)方案来构造协议。该方案具有完备性、特殊可靠性、自适应零知识、不可伪造性和对称性。其中不可为造性和对称性分别让我们构造的协议同时具有完善前向安全性和完全可否认性。

完备性是协议的基本要求，特殊可靠性通过倒带技术构造一个提取器来暴露证明里的证据来获得，不可伪造性通过借鉴Diffie-Hellman模型和HMQV用随机性和哈希混淆来实现，对称性则通过对称参数选择以及哈希函数的随机性实现。

上述实施例为本发明较佳的实施方式，但本发明的实施方式并不受上述实施例的限制，其他的任何未背离本发明的精神实质与原理下所作的改变、修饰、替代、组合、简化，均应为等效的置换方式，都包含在本发明的保护范围之内。

Claims (4)

1.一种网上竞标系统完善前向安全可否认密钥交换协议实现方法，其特征在于，出价人与拍卖人在密钥协商时，提供了可否认性，同时协商用于机密信息的加密的密钥是完善前向安全，包括下述步骤：

S1、定义了非交互式指定验证方知识证明，其具有完备性、特殊可靠性、自适应零知识、不可伪造性和对称性，其中不可为造性和对称性分别让构造的协议具有完善前向安全性和完全可否认性；

S2、构造非交互式指定验证方知识证明方案，设G＝<g>是一个阶为素数q的乘法循环群，其中q的长度为k比特,g为该群的生成元，H:{0,1}^*→Z_q是一个抗碰撞的哈希函数，L＝{x:x＝g^w,w∈Z_q}∈NP，语言L的验证属于NP问题，对应的证据关系为R_L，公共值x的证据集合为W_L(x)＝{w:x＝g^w}，其中Z_q为小于q的整数集合，在该语言上的非交互式指定验证方知识证明方案为Π＝(Setup,Gen,P,V)，R_L(x,w)成立当且仅当x∈L和w∈W_L(x)；

S3、通过Diffie-Hellman式协议来构造一轮可否认认证密钥交换协议，协议使用S2构造的非交互式指定验证方知识证明方案作为组件，使得协议同时具有完善前向安全性和完全可否认性，协议的具体描述如下：

S31、协议的创建：k∈N，为安全参数，N为自然数集合，G＝<g>是一个阶为q乘法循环群，H:{0,1}^*→Z_q，是哈希函数，λ为常数，Π＝(Setup,Gen,P,V)是一个非交互式指定验证方知识证明方案，定义公共参数

S32、密钥生成KGen(pp)：对于任意的通讯方密钥生成算法KGen(pp)随机的选取u∈Z_q，令并输出(u,g^u)；

S33、协议执行：协议在和双方之间执行，其中为发起方，和为回应方，双方分别持有各自相应的私/公密钥对和

2.根据权利要求1所述网上竞标系统完善前向安全可否认密钥交换协议实现方法，其特征在于，步骤S1具体为：

令pp为公共参数，和分别是证明方和确认方的私/公钥对，对于语言L∈NP(对应W_L(x))和证据关系R_L，如果Setup,Gen,P,V是概率多项式时间PPT算法，并满足下述性质，则证明系统Π＝(Setup,Gen,P,V)是一个非交互式指定验证方知识证明方案，

完备性：对于任意x∈L,w∈W_L(x)和公共参数pp←Setup(1^|x|)，有：

其中ρ为

特殊可靠性：存在一个可访问证明方预言机和一个进行知识提取的PPT算法ε，对于任意x∈L，公共参数pp←Setup(1^|x|)且对于任意的证明方

则有：

其中ρ为poly(p_x)为p_x的多项式；

自适应零知识：对于任意的非均匀PPT攻击者A＝(A₁,A₂)，任意的x∈L，w∈W_L(x)，公共参数为pp←Setup(1^|x|)，存在一个模拟器S＝(S₁,S₂)使得下式结果计算可忽略：

其中ρ为τ是S₂使用的附加信息；

不可伪造性：任意可以访问验证预言机V_SIM(·)和证明预言机的PPT攻击者A，对于任意x∈L,w∈W_L(x)和公共参数pp←Setup(1^|x|)，存在一个可忽略函数μ满足：

其中ρ为

对称性：对于任意x∈L,w∈W_L(x)，公共参数为pp←Setup(1^|x|)，存在一个PPT的算法B满足：

其中ρ为

3.根据权利要求1所述网上竞标系统完善前向安全可否认密钥交换协议实现方法，其特征在于，步骤S2的具体为：

S21、创建：初始化算法Setup(1^k):

S211、选择安全的群的参数(G,g,q)

S212、选择目标抗碰撞哈希函数H

S213、定义pp＝(G,g,q,H)，并输出它

S22、生成：密钥生成算法

S221、随机选择并令

S222、输出

S23、证明：证明算法

S231、随机选择r∈_R Z_q并计算R＝g^r

S232、计算和h＝H(σ,R)

S233、计算z＝r+w·h，并输出π＝(R,z)

S24、验证：验证算法

S241、计算和h′＝H(σ′,R)

S242、计算Z′＝R·x^h'

S243、如果Z′＝g^z输出1，否则输出0

方案Π满足完备性、特殊可靠性、自适应零知识、不可伪造性和对称性。

4.根据权利要求1所述网上竞标系统完善前向安全可否认密钥交换协议实现方法，其特征在于，步骤S33中，协议的执行步骤如下：

S331、激活阶段，随机选择x∈Z_q计算X＝g^x，生成证明并将发送给

S332、接收并验证与否，如果相等，执行下面的步骤：(a)随机选择y∈Z_q，计算Y＝g^y，生成证明并将发送给(b)计算并令否则，停止；

S333、接收 验证与否，如果相等，计算并令否则，停止。