CN1845164A - 无需第三方的公平安全电子交易方法 - Google Patents

Abstract

本发明公开了一种公平安全电子商务方法，主要解决当前电子交易的第三方有可能出现合谋欺骗造成公平性差的问题。该方法采用了取消第三方的方案，使电子交易在无信任的网络环境下由买卖双方直接进行，即交易双方采用密码算法，特别是同时生效签名算法，对包括电子订单、电子支票、服务承诺等交易信息进行一系列的操作，并将结果通过网络传输给对方，双方各自保存交易证据，以分别实现数字商品和实物商品的公平、安全交易。本发明交易程序简单，公平性强，对于数字商品，买家在其支付的电子支票生效的同时就可得到数字商品；而对于实物商品，只要买家出示能够使电子支票生效的关键证据就可得到所购的实物商品。

Description

无需第三方的公平安全电子交易方法

技术领域

本发明属于信息安全领域，涉及电子商务，具体地说是一种无需第三方的公平安全电子商务交易方法，可用于对各种实物商品和数字商品的电子商务交易。

背景技术

随着计算机网络和通信技术的发展，人们逐渐通过网络来进行交流，交换各自的信息。网络支付、电子商务等新的交换形式随之出现。目前电子支付的安全问题日益成为制约电子商务发展的瓶颈，这一问题在我国突出体现为实现电子支付的公平性。现实世界交换中的欺诈行为在网络环境下并没有消失，相反，由于参与者形式的变化和交换方式的变化，欺诈行为变得更难识别和防范，这是对公平交换提出的严峻挑战。研究如何实现安全的公平交换，也成为电子商务研究的重要问题。

举个例子，A想通过Internet付费向商家M定购一件他看中的商品，但是他担心M在收了钱之后不付货，而且他希望他的定购信息和他的账户信息不被第三方知道；M则担心A可能使用假的支付手段对他进行欺骗；双方都担心对方可能会否认参与这次交易，从而逃避应该承担的责任。为了消除双方的顾虑，在文献Aggregate andverifiably encrypted signatures from bilinear maps(In Advances in Cryptology-EUROCRYPT 2003，LNCS vol.2656，Springer-Verlag，2003，pp.416-432)和文献Round-optimal and abuse free optimistic multi-party contract signing(In Proc.of Automata，Languages and Programming，2000，pp.524-535)中人们引入了可信第三方TTP(TrustedThird Party)这一假定角色，来传递信息、保存证据、提供时戳等，从而保证实现电子商务的各种安全目标，如公平性、非否认性、可追究性等。

可信第三方依据其参与交易的时机可分为在线和离线：在线TTP参与每一次协议的运行，但不介入每次消息的传递，每次需要提供第三方服务时TTP都会直接参与。离线TTP在正常情况下不介入协议，只有在某方有不诚实或错误行为或网络失败等异常情况下，即必须提供可信第三方时才介入协议，帮助生成必要证据，保证协议公平。

目前对离线TTP的研究主要集中于强调如何在实现公平性的同时，减少协议对第三方的依赖，以便使协议有更好的适用性。这方面的研究体现在两个方面：一是降低第三方的数据通信量，另一个是降低对第三方可信度的要求。

文献A fair non-repudiation protocol(Proceedings of the 1996 IEEE Symposium onSecurity and Privacy，IEEE Computer Press，Oakland，CA，1996.pp.55-61)提出了轻量级第三方的思想，目的是将第三方由消息交换代理变为密钥交换代理，而消息的密文直接在交换方之间传输，这显然降低了通过第三方的数据量。

另一方面，Franklin在文献Secure Group Barter：Multi-Party Fair Exchange WithSemi-Trusted Neutral Parties([A].Proceeding Of FCp98[C].Berlin：Springer-Verlag，1998.pp.90-102)中提出了半可信第三方STTP(Semi-Trusted Third Party)的协议，半可信第三方是指第三方可以出错或欺骗但不能与协议中其它参与者共谋进行欺骗。在整个交换过程中，除非交换双方主动将信息透露给第三方，第三方不能了解所要交换的信息内容。由于交换的信息对第三方保密，提高了交换的安全性。尽管对第三方可信赖程度的要求有所降低，却并不能完全摆脱。如果出现了第三方自身原因的错误行为，交易的公平性将面临威胁。

以上协议涉及的第三方都是由单个个体来担当，该个体的可信度将直接决定协议的公平性，文献Optimistic Fair Exchange Based on Publicly Verifiable Secret Sharing(ACISP 2004，LNCS 3108，Springer-Verlag Berlin Heidelberg 2004.pp.74～85.)将第三方扩展为由若干个体所构成的一个集合，从而进一步降低对单个个体的可信度的依赖。只要集合中一部分个体值得信赖，就可以保证交易的公平性。

以上这些交易方法均要涉及可信第三方，而事实上人们对涉及可信第三方的公平交换方案心存疑虑，其原因是在互联网这个无信任的环境下，不仅买卖双方之间无法相互信任，任何可能进入交易过程的第三方也无法令人放心，因为谁也不能保证第三方不会出错、欺骗甚至合谋。因此，人们急切期盼彻底摆脱可信第三方，而且依然能够满足公平性和安全性的电子交易方法。

发明的内容

本发明的目的是提供一种无需第三方的电子商务方法与系统，使交易可以在无信任的网络环境下由买卖双方直接进行，交易证据由双方各自保存，以解决当前电子支付的公平性和安全问题，保证电子商务的健康发展。

实现本发明目的的技术方案是：

交易双方采用密码算法，特别是同时生效签名算法，对包括电子订单、电子支票、服务承诺等交易信息进行一系列的操作，并将结果通过网络传输给对方以分别实现对数字商品和实物商品的交易。

实现该数字商品的安全交易方法，按如下过程进行：

1)顾客对订单进行普通数字签名，将其发送给商家；

2)商家用商品密钥k₁对数字商品进行加密，再将加密结果、服务承诺书及k₁的哈希值f₁一起打包，并进行普通数字签名后，发送给买家；

3)买家利用商家发来的f₁对足额电子支票进行同时生效签名后，发送给商家；

4)商家通过公开商品密钥k₁使电子支票生效；

5)买家利用商品密钥k₁解密密文得到数字商品。

实现该实物商品安全交易的方法，按如下过程进行：

1)买家首先对订单进行普通数字签名，然后生成随机比特串k₃，并得到k₃的哈希值f₃，利用f₃生成电子支票的同时生效签名，再将这两个签名文件发给商家；

2)商家利用买家发来的f₃生成服务承诺书的同时生效签名，发送给买家，之后再通知自己的配送部门送货；

3)买家当面检查送来的商品，如果满意就公开随机比特串k₃，并向送货人出示服务承诺书；

4)送货人验证服务承诺书上商家的签名，如果验证通过就交货，并索要经买家签名的收据，然后返回，将随机比特串k₃及收据交给商家；

5)商家利用随机比特串k₃向银行兑现电子支票。

所述的电子订单，是指买家提交给商家的定购文件，内容包括所购商品的名称、型号、数量、价格等信息。

所述的电子支票，是指买家提供给商家的支付票据，内容包含支付金额、结算方式。

所述的服务承诺，是指由商家向买家提供的一份文件，对该商品进行必要的准确描述，例如，所提供商品的型号、性能特征、生产厂家、生产日期。无论对于数字商品还是实物商品，这些信息应使阅读的人能够确定其所描述的商品，不至于同另一商品产生混淆，另外还应当包含交货期限、售后服务承诺。

所述的同时生效签名，是指两人间进行的签名交换算法，满足“要么两个签名同时生效，要么都不生效”。

本发明与已有的电子商务方法比较具有如下优点：

1)由于彻底摒弃了一般意义上的第三方，使交易可以在无信任的网络环境下由买卖双方直接进行，且交易证据由双方各自保存，避免了共谋行为的发生，增强了安全性。

2)由于在交易过程中无需第三方来传递或保存任何信息，当受损方自己掌握了对方有欺骗行为的证据后就可以有把握地起诉对方，也就是说，本发明所保证的公平性根本不须依靠信任来支撑。

3)由于设置了完整的电子商务体系，既实现了数字商品交易，又实现了实物商品交易，且交易程序简单，即对于数字商品，买家在其支付的电子支票生效的同时可得到数字商品；而对于实物商品，买家得到商品的唯一条件就是出示能够使电子支票生效的关键证据。

4)系统设计简洁性，交易运行步骤只有5～6步，只涉及买卖双方，而且算法复杂度低，便于实现。

附图说明

图1是本发明数字产品交易过程图

图2是本发明实物商品交易过程图

图3是本发明买家对订单签名过程图

图4是本发明商家验证订单签名过程图

图5是本发明商家生成商品密文包及其签名过程图

图6是本发明买家验证密文包的签名过程图

图7是本发明买家生成电子支票的同时生效签名过程图

图8是本发明商家验证电子支票的同时生效签名过程图

图9是本发明买家取得数字商品过程图

图10是本发明买家对订单和电子支票分别签名过程图

图11是本发明商家对服务承诺书进行同时生效签名过程图

图12是本发明买家对商品收据签名过程图

具体实施方式

为了更清楚地阐述本发明的实施方式，这里先介绍同时生效签名原理。同时生效签名由五部分组成，详细描述如下：

1)建立包括密钥在内的所有参数

首先选择两个大素数p，q，并满足q|p-1，g是群Z_p ^*的一个q阶元；

再选择两个单向Hash函数H₁，H₂：{0，1}^*→Z_q；

接着选择私钥x∈Z_q，公钥y＝g^xmod p；

假设参与交换的一方是甲方，参与交换的另一方是乙方，那么甲方将得到私钥x_A∈Z_q和公钥 $y_A=g^{x_A}\mathrm{mod}p,$ 而乙方将得到私钥x_B∈Z_q和公钥 $y_B=g^{x_B}\mathrm{mod}p.$

2)甲方生成签名

所涉及的参数有：甲方的私钥x_A，乙方的公钥y_B，t是一个随机数且t∈Z_q，k是一个随机比特串，f是k的哈希值，即f＝H₂(k)。另外，h，h_A，w_A是没有具体涵义的数字。

如果甲方要对消息M_A签名，则首先随机地选择一个比特串k，计算该k的哈希值f，即

                  f＝H₂(k)                                  (1)

再选择一个随机数t∈Z_q，然后计算：

$h\≡H_1\left(\left(g^t{y}_B^f\mathrm{mod}p\right)\right|\left|M_A\right)$ (‖表示比特串联)               (2)

                  h_A≡(h-f)modq                             (3)

                  w_A≡(t-h_Ax_A)modq                          (4)

这样甲方就得到对消息M_A的签名S_A，即S_A＝(w_A，h_A，f，y_A，y_B，M_A)。甲方秘密地持有比特串k，而将S_A交给乙方。

3)乙方证实甲方的签名并生成自己的签名做交换

假设乙方收到甲方传来的签名S_A＝(w_A，h_A，f，y_A，y_B，M_A)，他首先查看被签名的文件M_A的内容。如果对内容满意，接着检查h_A与f是否相等，如果相等，则证实甲方传来的签名是错误的，协议中止；如果不等，乙方接着计算下面的等式是否成立：

$h_A+f\≡\left(H_1\left(\left(g^{w_A}{y}_A^{h_A}{y}_B^f\mathrm{mod}p\right)\right|\left|M_A\right)\right)\mathrm{mod}q---\left(5\right)$

如果不成立，则也证实甲方传来的签名是错误的，协议中止；反之，证实甲方传来的签名是正确的。这是因为：

$H_1\left(\left(g^{w_A}{y}_A^{h_A}\mathrm{mod}p\right)\right|\left|M_A\right)$

$\≡H_1\left(\left(g^{t-h_A{x}_A}{g}^{h_A{x}_A}{y}_B^f\mathrm{mod}p\right)\right|\left|M_A\right)$

$\≡H_1\left(\left(g^t{y}_B^f\mathrm{mod}p\right)\right|\left|M_A\right)---\left(6\right)$

$\≡h$

$\≡(h_A+f)\mathrm{mod}q$

证实甲方的签名正确之后，乙方生成自己对消息M_B的签名，方法与甲方生成签名时类似，只是他不可以自己产生哈希值f，而是必须直接利用甲方交给他的那个f。最后他得到自己对消息M_B的签名S_B＝(w_B，h_B，f，y_B，y_A，M_B)，将S_B传给甲方Alice。

4)甲方证实乙方的签名S_B的正确性

甲方收到乙方Bob的签名S_B后也像一样证实签名的正确性，这其中她还要确保所用的f就是她原来的k的哈希值f，否则协议中止。如果甲方通过证实算法认定乙方的签名是正确的，那么她可将原先秘密保留的比特串k告知或将k公开。

5)验证者验证签名人的身份

验证者可以是任何人，他利用被公开的比特串k和一个签名S_A或S_B，验证该签名的生成人的身份。验证者得到签名S＝(w，a₁，a₂，y_B，y_A，M)时，他并不知道这个S究竟是甲方的签名S_A还是乙方的签名S_B，为了验证，验证者还必须得到k，然后他首先运行证实算法，即验证等式：

$a_1+a_2\≡\left(H_1\left(\left(g^w{y}_A^{a_1}{y}_B^{a_2}\mathrm{mod}p\right)\right|\left|M\right)\right)\mathrm{mod}q---\left(7\right)$

是否成立。如果不成立，验证失败；如果成立，再计算出H₂(k)并分别将a₁，a₂同H₂(k)的值比较，如果a₁＝H₂(k)，那么验证者可以确定乙方是该签名的生成者，甲方是接收者；反过来，如果a₂＝H₂(k)，则可以确定甲方是该签名的生成者，乙方是接收者。这是因为在生成签名时H₂(k)的值是作为接收方的公钥的幂指数进入运算的，所以在验证时，只有同样的运算方法才能使等式成立。

所述同时生效签名的最大特点是：在k公开之前，尽管甲方和乙方内心清楚一个签名是由他们两个中的哪一个生成的，但是他们都没有能力向一个局外人证明这一点。在局外人看来，无论是甲方还是乙方，都有可能生成象S＝(w，a₁，a₂，y_B，y_A，M)这样一个签名，但就是不能确定究竟是由谁生成的。而一旦得到了正确的k，局外人就可以确定一个签名的生成人和接收人。这样，这一对交换的签名也就同时生效了。该同时生效签名的实现方式不止上述一种，可因应用场合而灵活选用。

以下结合附图对数字商品交易和实物商品交易的过程进行详细的描述。

一.数字商品交易实施过程

假设买家Alice想从商家Bob那里购买一部数字电影作品，其过程按图1进行：

1)买家Alice对订单签名

首先，买家Alice通过浏览Bob的网站，选择想购买的电影并下载其订单，用普通数字签名对订单进行签名；如图3所示：买家Alice首先对订单进行哈希，再用自己的RSA私钥对哈希结果加密，得到密文₁，再将密文₁、自己的RSA公钥证书、订单三者一起传给商家Bob。

2)商家Bob对订单签名进行验证

如图4所示：商家Bob收到Alice的签名订单后，首先由公钥证书取得Alice的公钥，以此公钥解密密文₁，再对订单做哈希，将哈希结果与解密结果比较，如果二者一致，则验证通过，进入下一步，否则退出。

3)商家Bob生成商品密文包及其签名

商家Bob确认订单签名后，进行如图5所示的操作：

首先随机选择一个商品密钥k₁，用k₁对数字电影进行对称加密，得到密文₂，再以哈希函数作用于k₁，得到f₁＝H₂(k₁)；

然后将密文₂、服务承诺书及f₁三个文件打包；

接着对该文件包进行两种操作：一是求得其哈希值，再以自己的RSA私钥对该哈希值加密，得到密文₃，二是随机选择一个会话密钥k₂，用k₂对该包进行对称加密，得到密文₄；

再接着用买家Alice的RSA公钥对会话密钥k₂加密得到数字信封；

最后商家Bob将密文₃、数字信封以及密文₄一起发送给买家Alice。

4)商家Bob对密文包的签名进行验证

买家Alice收到商家Bob传来的三个文件后，进行如图6所示的操作：

首先用自己的RSA私钥解密数字信封，取得会话密钥k₂；

接着用k₂解密密文₄得到一个文件包，进一步求得该包的哈希值；

再接着，买家Alice用商家Bob的RSA公钥将密文₃解密；

最后将这个解密结果与所得到的哈希值进行比较，如果不一致，交易中止；如果一致，买家Alice便打开那个文件包，取得密文₂、服务承诺书及f₁。

5)买家Alice生成电子支票的同时生效签名

买家Alice审阅服务承诺书，如果对其中的内容满意，就按照图7所示，用同时生效签名算法对电子支票进行签名，即Alice利用自己的私钥x_A和商家Bob的公钥y_B、随机值t以及由Bob传来的f₁，对电子支票M进行下面三个运算：

$h=H_1\left(\left(g^t{y}_B^{f_1}\mathrm{mod}p\right)\right|\left|M\right);$

                h_A≡(h-f₁)modq；                          (9)

                w_A≡(t-h_Ax_A)modq                          (10)

值得一提的是，签名时使用的参数f₁就是商家Bob交给她的那个f₁。最后，她将生成的签名电子支票S_A＝(wA，h_A，f₁，y_A，y_B，M)发送给商家Bob。

6)商家验证电子支票的同时生效签名

商家Bob对来自买家Alice的签名电子支票S_A＝(w_A，h_A，f₁，y_A，y_B，M)进行验证。如图8所示，该过程包含三个比较算法：首先比较f₁与h₁是否不等，如果相等，则验证失败，退出交易；如果不等，再验证式

$(h_A+f_1)\mathrm{mod}q=H_1\left(\left(g^{w_A}{y}_A^{h_A}{y}_B^{f_1}\mathrm{mod}p\right|\left|\right)M\right)\mathrm{mod}q---\left(11\right)$

和式

                      f₁＝H₂(k₁)                           (12)

是否同时成立，如果两个等式不能同时成立，则验证失败，退出交易；如果能同时成立，则验证通过。然后，Bob把商品密钥k₁发送给买家Alice，再将该签名电子支票以及k₁发送给银行，要求转账或取款

7)买家取得数字商品

如图9所示：买家Alice收到商家Bob发来的商品密钥k₁后，利用商品密钥k₁对密文₂解密得到数字电影，完成整个数字商品交易过程。

本发明的数字商品交易方法具有明显的公平性和安全性，其分析如下：

1)公平性

在交易的第1、第2步无论出于什么原因中止，双方都不比对方占有什么利益优势。第4步虽然买家Alice得到了密文₂，但由于没有商品密钥k₁，所以还无法得到数字电影。如果此刻中止交易，她依然不能占优。第6步，商家Bob得到了买家Alice的签名电子支票，尽管他可以不给买家Alice发送商品密钥k₁，而是直接将签名电子支票及商品密钥k₁交给银行来获得资金，但是买家Alice还是可以从银行那里得到商品密钥k₁，这是因为当买家Alice向银行查询自己的账目时，银行不得不向买家Alice出示商品密钥k₁来证明该电子支票的确是由Alice签名授权支付给商家Bob的。第7步，如果买家Alice正确地履行了前面的步骤却没有得到服务承诺书中描述的那部电影，这时她可以起诉商家Bob。她的证据就是她在第4步中收到的由商家Bob签名的服务承诺书。

2)交换内容的保障

交易中可能会有恶意欺骗发生。假如商家Bob得到的是空头支票，那么这个空头支票本身就是起诉买家Alice的有力证据。尽管支票是假的，但买家Alice的签名是真实的。另一种可能是买家Alice得到的是假冒电影。那么她可以拿由商家Bob签名的服务承诺书作为证据，起诉商家Bob的欺骗行为。

3)不可否认性

如果商家Bob诚实，买家Alice不能诬陷他，即买家Alice事后不能否认自己收到了正确的数字电影，因为首先密文₂经过了商家Bob的签名，不能被篡改；其次正确的商品密钥k₁也在银行也有记录。正确的密文₂被正确的商品密钥k₁解密，结果当然正确。

反过来，如果买家Alice诚实，商家Bob也不能诬陷Alice提供假支票，因为只有知道商品密钥k₁的人，才能使该电子支票生效，而只有商家Bob知道商品密钥k₁。另外该签名电子支票在验证的时候，必须有商家Bob的公钥，Bob是该电子支票的指定接收人，而不是别人。可见商家Bob的诬陷也不会有合理的证据。所以商家Bob不能否认自己收到了真实有效的电子支票。

4)交换内容的私密性

只有买家Alice才能打开数字信封取得密文₂，其他人得不到密文₂，当然更谈不上得到数字电影了，所以数字电影的私密性能够保证。窃听者即使得到买家Alice签名的电子支票，可如果没有商品密钥k₁，这个电子支票是模糊的，不知谁是其接收人，所以没有什么价值；即使窃听者得到了商品密钥k₁，他也不能改变电子支票的接收人指定为商家Bob这一事实。可见窃听是徒劳的。

综上所述，本发明的电子交易方法即使在双方互不信任的环境下也能够保障交易的公平性和安全性，并且不需要任何第三方的参与。

二.实物商品交易过程

假设买家Alice通过浏览商家Bob的电子商务网站，想从Bob那里购买一台笔记本电脑，其操作过程按图2进行：

1)买家Alice对订单和电子支票分别签名

买家Alice浏览商家Bob在网站对各种型号的电脑的描述，从中选择某种自己想购买的电脑；下载该电脑的订单，用普通数字签名RSA对订单签名；接着对一张面额与电脑价格相等的电子支票进行同时生效签名；在两个签名都正确生成后，将它们传给商家Bob，如图10所示。由于买家Alice是这个同时生效签名的发起方，所以她秘密地持有随机比特串k₃，暂时不公开，而只将k₃的哈希值f₃＝H₂(k₃)传给商家Bob。

2)商家Bob对服务承诺书进行同时生效签名

商家Bob收到买家Alice的签名订单后，他即可确信Alice想购买电脑；接着，商家Bob对买家Alice的电子支票签名进行证实；证实通过后，商家Bob利用与买家Alice相同的f₃以及自己的私钥等参数，对服务承诺书进行同时生效签名，将签过名的服务承诺书传给买家Alice，如图11所示。此时，他即可通知自己的配送部门给买家Alice送货。

3)买家Alice对服务承诺书签名进行证实

买家Alice收到商家Bob传来的签过名的服务承诺书后，通过证实确信Bob如实地生成了该签名，然后等待送货。

4)买家Alice收货并提供签名收据

送货人将电脑送来后，买家Alice当面检查电脑与商家Bob在网站对其的描述是否一致；如果她对电脑满意，则将商家Bob签过名的服务承诺书和自己原先保留的秘密随机比特串k₃一起出示给送货人供其验证；送货人通过运行同时生效签名的验证过程，验证商家Bob对服务承诺书的签名，如果验证表明确实是Bob的签名，送货人交出电脑；买家Alice收下电脑，并用RSA数字签名算法对收据签名，并连同随机比特串k₃的值一起交给送货人带回，如图12所示。

5)商家Bob通过银行转账

由于送货人是商家Bob的雇员，他会将签名收据及随机比特串k₃交给Bob，完成自己的任务；商家Bob则可将k₃及由买家Alice签名的电子支票交给银行来进行转账或提款。至此，交易成功结束。

本发明的实物商品交易方法具有明显的公平性和安全性，其分析如下：

1)公平性

在买家Alice出示随机比特串k₃之前的第1、2、3步，由于电子支票的签名和服务承诺书的签名都没有生效，所以无论交易如何中止，双方都不会获得有价值的东西。在第4步，买家Alice出示了正确的随机比特串k₃之后，如果送货人拒绝交出电脑，那么买家Alice可以向法庭起诉商家Bob，她的证据是已经生效的服务承诺书，而商家Bob却拿不出相应的收据，无疑买家Alice将赢得官司。另外一种情况是买家Alice收下电脑却拒绝提供收据，这类似于抢劫，考虑到买家Alice和送货人是面对面执行交换，出现上述情况的可能性应该可以忽略。第5步，商家Bob当然不会主动中止交易，否则，只能给自己带来损失。

2)交换内容的保障

无疑，为了欺骗对方，用假的内容进行交换，能够给自己带来不当得益，使对方蒙受损失。本发明的解决方法是：假如商家Bob用一台假的电脑来进行交易，买家Alice在第4步对电脑进行检查时能够觉察这一欺骗行为，她就不会交出随机比特串k₃，当然也就不会有所损失。即使在交出随机比特串k₃之后发现电脑与服务承诺书的描述不符，买家Alice也可以凭借生效的服务承诺书起诉商家Bob的欺骗行为。而如果商家Bob收到的电子支票是假的，他也同样可以以此假支票和买家Alice收到电脑后提供的收据一起作为证据，起诉Alice的欺骗行为。

3)不可否认性

买家Alice收下电脑后，必须提供收据，收据采用的也是普通RSA数字签名，这决定了买家Alice不能事后否认收下电脑这一事实。一旦她出示了随机比特串k₃，并且该k₃经过送货人的验证，为正确的k₃，那么Alice就不能否认她对电子支票的签名。而如果买家Alice是诚实的，商家Bob也不能否认他收到了有效的电子支票。因为首先，在第2步商家Bob已经对买家Alice送来的电子支票进行了证实，否则交易已经中止了。其次，既然电子支票证实算法通过了，又有了第5步得到的随机比特串k₃，而且这个k₃的正确性已经由送货人当着买家Alice的面验证了。所以商家Bob不能诬陷买家Alice没有支出有效电子支票。

从以上分析可知交易方法满足公平性并且是安全、实用的。

尽管在两个方案中都涉及到银行，并且银行都保存了重要参数k₁或k₃，银行这一行为的动机，完全是为了证明自己对电子支票所进行的操作是有依据的。它不得不这样做，因为客户并不信任它。银行也没有从事金融以外的任何类似可信第三方的活动，所以银行不是一个可信第三方角色。当然，在实物商品方案中所涉及的送货人更不是可信第三方了，他只和商家有契约关系。买家并不信任他，而他也不需要得到买家的信任。所以，本发明的电子商务交易方法是不需要可信第三方的公平、安全的方法，为突破制约电子商务发展瓶颈提供巨大的发展空间。

Claims (2)

1.一种无需第三方的数字商品公平安全交易方法，按如下过程进行：

1)顾客对订单进行普通数字签名，将其发送给商家；

2)商家用商品密钥k₁对数字商品进行加密，再将加密结果、服务承诺书及k₁的哈希值f₁一起打包，并进行普通数字签名后，发送给买家；

3)买家利用商家发来的f₁对足额电子支票进行同时生效签名后，发送给商家；

4)商家通过公开商品密钥k₁使电子支票生效；

5)买家利用商品密钥k₁解密密文得到数字商品。

2.一种无需第三方的实物商品公平安全交易方法，按如下过程进行：

1)买家首先对订单进行普通数字签名，然后生成随机比特串k₃，并得到k₃的哈希值f₃，利用f₃生成电子支票的同时生效签名，再将这两个签名文件发给商家；

2)商家利用买家发来的f₃生成服务承诺书的同时生效签名，发送给买家，之后再通知自己的配送部门送货；

3)买家当面检查送来的商品，如果满意就公开随机比特串k₃，并向送货人出示服务承诺书；

4)送货人验证服务承诺书上商家的签名，如果验证通过就交货，并索要经买家签名的收据，然后返回，将随机比特串k₃及收据交给商家；

5)商家利用随机比特串k₃向银行兑现电子支票。

Images