9公平交换协议

无仲裁者的同时签约(非面对面)


令p’ 为Bob在前一步中从Alice那里收到消 息的概率。Bob发送给Alice一份p = p’ + b 或1中较小的已签署消息。 Alice和Bob继续交替执行步骤(5)和步骤(6)， 直到双方都收到p = 1的消息，或者已通过 在第(1)步中达成一致的日期。
无仲裁者的同时签约(面对面)


如果忽视掉这个协议的一个明显问题( Alice 的名字比Bob长)，这个协议照样有效。 在每一方都签了几个字母之后，或许可以让 法官相信双方已签了合约，虽然如此，细节 却是模糊的。当然在只签了第一个字母后他 们确实不受约束，正如在签了全名之后他们 理所当然受合约约束一样。在协议中哪一点 上他们算是正式签约呢？在签了他们名字的 一半之后？三分之二之后？四分之三之后？
公平交换协议的基本模型
P 输入iP、dQ、Q Q
输入iQ、dP、P 经过公平交换
输出iQ ， 其中dQ = desc(Q) 或者 取消
输出iP ， 其中dP = desc(P)
Βιβλιοθήκη Baidu
取消
公平交换协议的基本要求



有效性：如果两个参与者行为正确，在不 涉及第三方的情况下，仍能获得各自所需 的东西。 秘密性：交换必须保护用户的隐私信息。 高效实用性：协议的效率要高，以保证实 用性。 不可否认性：在进行有效的交换后，交换 的任何一方都不能对他所传递和收到的信 息进行否认。

Alice和Bob想订立一个合约。他们已经同意了 其中的措词，但每个人都想等对方签名后再签 名。如果是面对面的，这很容易：两人一起签。 如果距离远的，他们可以用一个仲裁者。
同时签约

与仲裁员签订合同
Alice
SignA(C) SignA(C), SignA(C) SignB(SignA(C))
Trend
无需仲裁者的同时签约(使用密 码技术)



(6)Alice和Bob用收到的密钥解密他们能解的那一 半消息。他们确信解密消息是有效的。(验证) (7)Alice和Bob都把所有2 n个DES密钥的第一个比 特发送给对方。 (验证) (8)Alice和Bob对所有2 n个DES密钥的第二个比特、 第三个比特。重复步骤(7)，如此继续下去，直到 所有DES密钥的所有比特都被传送出去。 (验证) (9)Alice和Bob解密剩余一半消息对，合约被签署。 (10)Alice和Bob交换在第(5)步的不经意传输中使用 的私钥，并且各方验证对方没有欺骗。
公平交换协议
曹天杰 tjcao@cumt.edu.cn
中国矿业大学计算机学院
公平交换协议的基本概念

公平交换协议的定义 公平交换协议的基本模型 公平交换协议的基本要求
公平交换协议的定义


假设Alice想在Bob公司购买一张机票。Alice首先发出一 个预订请求，Bob公司确认后向Alice发出一个通知。 问题：Alice发出了预订请求，但后来没有购买机票， Bob公司受损；另一方面，若Bob公司收到了预订请求， 却将机票卖给了别人，那么Alice只好延期旅行。 如果只有一方诚实的执行协议，就无法保证双方的利益 不受损失。即使Alice的请求和Bob公司的通知都具有不 可否认性，也不能完全解决协议的公平性，这是因为双 方的行为不具有同时性。若Alice首先发出一个不可否认 请求，而Bob没有进行响应，于是，Alice就面临风险； 如果她在别处预订，就有可能买到两张机票；如果不预 订，则有可能面临没有机票的风险。
无仲裁者的同时签约(非面对面)

如果这个协议不能顺利完成，任何一方 都可把合约拿给法官，并同时递上另一 方的最后签的消息，法官在看合约之前 在0或1之间随机选择一个。如果这个值 小于另一方签名的概率，则双方都受合 约约束。如果这个值大于那个概率，则 双方都不受约束(法官接着保存这个值， 以防需判定涉及同一合约的其它事件)。 这就是以概率p受合约约束的意思。
无仲裁者的同时签约(非面对面)


在这个协议中，Alice和Bob交换一系列 下面这种形式的签名消息：“我同意我 以概率p接受这个合约约束。” 消息的接方可以把它提交给法官，法官 用概率p考虑被签署的合约。
无仲裁者的同时签约(非面对面)



Alice和Bob就签约应当完成的日期达成一致意见。 Alice和Bob确定一个双方都愿意用的概率差。例 如，Alice可以决定她不愿以超过Bob概率2%以上 的概率受合约约束。叫Alice的概率差为a，叫 Bob的概率差为b。 Alice发送给Bob一份p = a的已签消息。 Bob送给Alice一份p = a + b已签署的消息。 令p’ 为Alice在前一步中从Bob那里收到消息的 概率。Alice发送给Bob一份p = p’ + a或1中较小 的已签署消息。
无仲裁者的同时签约(非面对面)

随着协议的进行，Alice和Bob都以越来越大 的概率同意接受合约约束。例如，Alice还定 义她的的a为2%，Bob可以定义他的b为 1%(如果他们选择较大的增量则更好；我们 会在这里停留片刻)。Alice的第一份消息可 能声明她以2%的概率受约束，Bob可能回答 他以3%的概率接受约束。Alice的下一份消 息可能声明她以5%的概率受约束，等等，直 到双方都以100%的概率受约束。
公平交换协议的基本要求



终止性：在协议执行的任何时间，每个参加 者可以单方面中止协议而不破坏公平性。 第三方可验证性：发生纠纷时第三方可以进 行仲裁，对不诚实的一方可以进行制裁。同 时，如果第三方不诚实使得该协议对Alice不 公平，则Alice可以向仲裁者证明第三方的不 公正行为。 无滥用性：在多方公平交换模型中，参与交 换的任意子集在协议的任何时刻，都无法向 第三者证明他们有能力中止(或完成)协议。
同时签约
想要以价格 X 卖股票 可以, 愿意以价格 X 买 stock broker customer
在股票交易市场，签约是交易的有效证明
同时签约

带有仲裁者的同时签约(非面对面) 无仲裁者的同时签约(面对面) 无仲裁者的同时签约(非面对面) 无仲裁者的同时签约(使用密码技术)
带有仲裁者的同时签约(非面对面)
无仲裁者的同时签约(面对面)

如果Alice和Bob正面对面坐着，那么他们可以这样来签约： (1) Alice签上她名字的第一个字母，并把合约递给Bob； (2) Bob签上他名字的第一个字母，并把合约递给Alice； (3) Alice签上她名字的第二个字母，并把合约递给Bob； (4) Bob签上他名字的第二个字母，并把合约递给Alice； (5) 这样继续下去，直到Alice和Bob都签上他们的全名。

需要存在相应的安全机制来保证交换顺利进行。这 种安全机制就是公平交换协议。
公平交换协议的基本模型


假设desc ( )为交换商品的描述函数(对输入 的任何一个交换商品，返回一个对该物品的 描述)，P、Q为参与双方，他们的交换物品 用iP、iQ表示，期望得到的对方交换物品描 述为dP、dQ。公平交换问题描述如下： 交换之前P输入iP、dQ、Q， Q输入iQ、dP、P， 代表P想用iP跟Q交换描述为dQ的交换物品， Q想用iQ跟P交换描述为dP的交换物品。交换 之后P输出iQ，Q输出iP。
不经意传输协议
1. 2.
3.
4.
5.
6.
Alice产生两个 public-key/private-key 密钥对。她把公 钥发送给Bob。 Bob 首先选择一个 DES 密钥 ，然后随机选择Alice一个 公钥加密密钥并发送它。 Alice 解密 Bob的密钥两次,每一次使用她的一个私钥进 行解密，得到一DES密钥 和一无意义的随机密钥 Alice用得到的两个密钥加密她的两条消息 ,一个使用真 正的DES密钥，而另一个使用无意义的随机密钥，并将 它们发送 Bob Bob 使用DES 密钥解密，一个他可以阅读，另一个是乱 码 (注： Alice爱丽丝不知道Bob能够读取哪一个) 最后, Alice 必须把她的私钥给 Bob，以便Bob能确认 Alice没有欺骗他，她没有在第4步用两个密钥加密发送 相同的消息。
Bob
SignB(C) SignB(SignA(C)), SignB(SignA(C))
带有仲裁者的同时签约



(1) Alice签署合约的一份副本并发送给Trent。 (2) Bob签署合约的一份副本并发送给Trent。 (3) Trent发送一份消息给Alice和Bob，指明彼此都已签约。 (4) Alice签署合约的两份副本并发送给Bob。 (5) Bob签署合约的这两份副本，自己留下一份，并把另一 份发送给Alice。 (6) Alice和Bob都通知Trent他们每个人都有了一份有他们 两人合签的合约副本。 (7) Trent撕毁在每一份上只有一个签名的两份合约副本。
无仲裁者的同时签约(面对面)

因为Alice或Bob都不能指出她或他受约束的 准确点，他们每一位至少有些担心她或他在 整个协议上都受合约约束。Bob在任一点上都 无法说：“你签了四个字母而我只签了三个， 你受约束，但我不受。”Bob也没有理由不继 续这个协议。而且，他们继续得越久，法官 裁决他们受合约约束的概率越大。另外，也 不存在不继续执行这个协议的理由。毕竟他 们都想签约，他们只是不想先于另一方签约。
公平交换协议的定义

当一个系统涉及到两个或者多个互不信任的主体， 就要考虑满足所有主体的安全性。


从主体利益的角度考虑，如果一个系统不会损害其中任何 一个诚实主体的利益，那么该系统具有公平性。 从交换的结果考虑，如果在交换结束后，要么每一方都得 到了他所期待的信息或者物品，要么每一方都没有得到任 何有意义的东西，我们也认为系统具有公平性。
无需仲裁者的同时签约(使用密 码技术)



(3)Alice和Bob二者用每个DES密钥对加密他们的消 息对，左半消息用密钥对中的左密钥，右半消息用 密钥对中的右密钥。 (4)Alice和Bob相互发送给对方2 n份加密消息，弄 清哪份消息是哪对消息的哪一半。 (5)Alice和Bob利用每一对密钥的不经意传输协议相 互送给对方，即Alice送给Bob或用于独立地加密n 对消息中每一对左半消息的密钥；或用于加密右半 消息的密钥。Bob也这样做。
公平交换协议的基本要求

公平性：在交换结束后，要么每一方都得到他所期 待的物品(或服务)，要么每一方都没有得到任何有 意义的东西。公平性又分为强公平性和弱公平性。 强公平性：在协议的任何阶段，参与协议的任何诚 实的主体都不处于劣势。交换结束后，参与交换的 各方或者得到自己想要得到的东西，或者都没有得 到任何有用的东西。 弱公平性：在协议执行的某个阶段，即使诚实的主 体处于某种程度的不公平，在以后的争论中，诚实 的主体可以向仲裁者提供协议中的证据恢复公平性。
无需仲裁者的同时签约(使用密 码技术)


(1)Alice和Bob二者随机选择2 n个DES密钥， 分成一对对的。 (2)Alice和Bob都产生n对消息，例如Ln和Rn： “这是我的第i个签名的左半部分”和：“这 是我的第i个签名的右半部分。”标识符i从1 取到n。每份消息可能也包含合约的数字签 名以及时戳。如果另一方能产生一个单签名 对的两半Li和Ri，那么就认为合约已被签署。
无需仲裁者的同时签约(使用密 码技术)


假设Alice想要欺骗。 在第（4）步和第（5）步中， Alice可以通过送给Bob一批毫无意义的比特字符串来破 坏 这个协议。Bob能在第（6）步中发现这一点 如果Alice非常聪明，她可以正确地送出每对的一半， 但送一 个毫无意义的字符串作为另一半。Bob只有 50%的机会收到正确的一半，故Alice可以50%的概率 进行欺骗。但是，这只有在只有一对密钥的情况下起 作用。如果有两对密钥 ，这类欺骗可在25%的概率成 功。这就是n必须很大的原因。Alice必须正确地猜出n 次 不经意传输协议的结果；她有2n分之一的机会成功。
带有仲裁者的同时签约

这个协议奏效是因为Trent防止了双方中的某 一方进行欺骗。如果在步骤(5)中Bob拒绝签约， Alice可以向Trent要求一份已经由Bob签署的 合约副本。如果在步骤(4)中Alice拒绝签名， Bob也可以这么做。当在步骤(3)中Trent指明 他收到了两份合约，Alice和Bob知道彼此已受 到和约的约束。如果Trent在步骤(1)和(2)中没 有收到这两份合约，他便撕掉已收到的那份， 则两方都不受合约约束。