基于区块链的公平三方合同签署

最新推荐文章于 2025-10-28 16:05:58 发布

原创最新推荐文章于 2025-10-28 16:05:58 发布 · 594 阅读

16 ·

CC 4.0 BY-SA版权

文章标签：

#区块链 # 合同签署 # 可验证加密 # 惩罚机制 # 隐私保护

基于区块链的公平三方合同签署协议

摘要

合同签署允许多个互不信任的实体以公平有效的方式签署预定义的数字合同。这是商业环境中重要的密码学服务，其中合同签署协议的关键属性是公平性。现有解决方案引入可信第三方（TTP）来解决公平性问题。然而，TTP的存在成为瓶颈，因为它可能成为单点故障，或遭受外部或内部攻击。本文提出了一种基于区块链原语的公平三方合同签署协议，为设计无需可信第三方（TTP）的公平协议提供了新方案。我们提出的构造利用可验证加密签名和区块链来实现公平交换。因此，若不诚实方在接收到当前输出后中止协议，则将受到金钱处罚。此外，合同内容的隐私可在公有链上得到保护。

关键词 ：合同签署 · Blockchain · Verifiable加密签名 · Penalty

1 引言

合同签署协议是一种通信协议，允许多个参与者签署一份数字合同。合同签署协议的一个重要属性是公平性，它允许参与者以全有或全无的方式交换已签署的合同。也就是说，在协议结束时，相关参与者要么获得有效合同，要么什么有用的信息都得不到。这意味着不诚实的参与者无法比诚实的参与者获得更多优势。在面对面的合同签署中，这种公平性很容易实现。然而，由于计算机网络中缺乏信任，存在许多不可忽视的安全威胁[12,13,23]。因此，以公平的方式进行电子合同签署已成为一个具有挑战性的问题。

文献中已提出了多种电子合同签署方案[5,10,11,14,16–18]，主要有两种解决方案来解决现有协议中的公平性问题。第一种是无可信第三方协议[15]，即参与者通过“逐位”方式交换他们对合同的签名。在此场景中，协议中的各方在多轮中逐步披露其秘密。如果任何一方未能完成交换，仍可通过搜索签名的剩余位来完成。尽管该方法具有去除可信第三方的优点，但由于其较高的通信开销，不适合实际应用。另一种解决方案是引入一个在线或离线的可信第三方（TTP）来调解签名交换。在合同签署协议中，TTP可使签名过程的执行更简单高效。在在线TTP环境[6]下，主要问题是当系统中有多个参与者时，TTP会成为系统的瓶颈。采用离线TTP的合同签署协议[2,3,5,10,14,16,17]更为实用，其中TTP仅在发生争议时才介入，称为乐观合同签署。

现有解决方案似乎存在缺陷。在这些协议中，一些要求参与者运行额外协议以保证公平性，这可能比标准协议昂贵得多（尤其是在通信开销方面）；另一些则需要依赖必须被信任的外部方，例如在乐观协议中，每当发生争议时，该方都需要联系可信第三方。总之，所有这些协议都存在一个弱点，即诚实方必须付出额外努力来防止对手作弊。区块链为解决信任问题提供了一种方案，它被提出作为比特币[19]的底层技术。比特币是一种点对点的去中心化数字货币系统，利用密码学工具构建了一个无需可信第三方的货币体系。其新颖且开放的设计吸引了越来越多的关注。由于比特币系统的优势，它适用于设计公平协议。最近，安德里乔维奇[1]展示了如何利用比特币的优势来设计公平多方计算。据我们所知，目前似乎还没有基于比特币区块链的公平合同签署协议的相关研究。

1.1 我们的贡献

本文提出了一种基于区块链的公平三方合同签署协议。与以往的研究不同，所提出的协议无需第三方来保证公平性。本文的贡献如下：

– 我们构建了一个具有惩罚机制的公平三方合同签署协议。该协议结合了门限公钥加密和可验证加密技术，以保护合同内容隐私。同时，利用区块链完成公平交换。所提出的协议能够在不诚实方在接收到当前输出后中止时，使其受到金钱处罚。与以往工作不同，本协议无需银行或可信第三方来保证公平性。相比现有方案，所提出结构的设定更加实用。

– 在我们所提出的协议中，合同相对于区块链的隐私可以得到保护。各方仅将解密份额发布到区块链上。因此，公有链上的节点只能获知一些解密份额。由于节点从未获得加密项，故无法解密已签署合同的加密内容。最后，该合同签署协议仅需常数轮数的通信轮次。所提出的结构的设置比之前的方案更高效。

1.2 组织

本文其余部分组织如下：第2节给出了一些预备知识，第3节给出了所提出的公平三方合同签署协议。第4节进行了安全性分析和性能分析，最后第5节给出结论。

2 预备知识

在本节中，我们首先概述门限ElGamal加密和可验证加密签名。然后，我们介绍区块链概念的一些内容。

2.1 门限ElGamal加密

由于[16]，一个门限加密方案包含四个概率多项式时间算法：密钥生成、验证、解密和加密。在本文中，我们将采用ElGamal门限加密方案（即 k= n）来构建我们的协议。假设有 n个参与者参与该方案。他们事先已就素数 p和 q达成一致，其中 q | p −1。令 g是 Z ∗ q的一个生成元， Zp是一个具有大素数阶 p的群。

– 密钥生成 ：每一方随机选择xi ∈ Z p，私钥集合为 SK={x1, x2,··· xn}。计算 hi= g xi。在[16,20]完成后，每一方对 hi进行承诺并广播给所有参与者。将这些公开验证密钥记为 P V K={h1,···, hn}。公钥为 PK=（g, h），其中 h=∏ n i=1= g∑ x i。

– 加密：给定消息 m，该方随机选择 r ∈ Z q，并计算 a= g r, b= mhr。密文为 E=（a, b）。

– 验证：验证算法由输入公开验证密钥P V K、密文 E以及属于参与方i的解密份额 di= g rx i运行。如果 logg hi= logg di，则输出 valid；否则输出 invalid。

– 解密：解密算法输入 n个解密份额 di, i ∈{1,··· n}。然后计算 d=∏ di，并按如下方式解密密文：
$$
m= \frac{b}{d} = \frac{mhr}{g^{r\sum x_i}} = \frac{mhr}{hr}
$$

2.2 可验证加密签名

可验证加密签名允许一方对其消息签名进行加密，而接收方无需执行任何解密操作即可验证该签名。Asokan等人[4]正式提出了可验证加密签名的概念。Boneh等人[8]通过可验证地加密BLS签名，提出了首个非交互式可验证加密签名方案[9]。最近，邵等人[21]提出了首个可验证加密的离散对数签名方案。

在本节中，我们将结合邵等人的可验证加密签名与门限加密来描述该方案。如第2.1节所述，考虑一个 k选 n的门限加密方案，使用单个公钥对消息进行加密，而相应的私钥则由一组 n解密者共享。只有当其中k个解密者共同协作时，才能解密消息。假设每个参与方均已获得公钥 h，且相应的私钥已在它们之间分配完毕。此处我们考虑 k= n的情况。参与方 P1希望运行一个可验证加密签名方案，将其加密后的签名发送给 P2。 P2可使用公钥 h以及 P1的公钥来验证签名的有效性，而无需执行解密操作。一个可验证加密签名方案包含四个概率多项式时间算法：初始化、密钥生成、可验证加密签名生成、可验证加密签名验证、解密[8,21]。

– 初始化 ：在输入安全参数后，生成公钥哈希函数和系统参数。

– 密钥生成 ：给定系统参数，参与者生成用于签署合同的密钥对(x′ i, yi)。然后，他们共同生成门限加密的公钥 h。

– 可验证加密签名生成 ：对于消息 M ∈{0, 1}∗，签名者 Pi使用其私钥 x′ i计算签名(M, σ)，然后利用门限加密的公钥 h生成 VESi。

– 可验证加密签名验证 ：在接收到消息 M的可验证加密签名后，验证者根据公钥 yi和 h检查关于 VESi的验证方程。

– 解密：解密算法输入所有参与者的 n个解密份额。然后，每个参与者使用解密份额提取签名。

2.3 区块链

区块链本质上是点对点网络上的一个分布式数据库。它维护着不断增长的区块，用于记录数据，并能防止这些数据被篡改和修改。区块链最初被用于比特币，而比特币是由中本聪在 2008[19]中提出的概念。它是比特币系统的核心组成部分。区块链的发明使得比特币成为首个无需依赖可信权威的电子货币[22]。

示意图0

地址和交易是比特币系统的两个组成部分。系统中的每个用户都拥有一对密钥对。比特币地址是用户公钥的哈希值。私钥用于对交易进行签名，公钥用于验证签名。一笔交易包含若干输入和输出。交易的输入脚本是一个签名，输出脚本是一个验证算法，用于控制币是否能够被赎回。在实际系统中，用户可以灵活定义条件。在标准交易中，输入脚本仅是使用发送方的私钥生成的签名，输出脚本则通过接收方的公钥实现签名验证。如果时间 t 为 0，则表示该交易已锁定且最终确定。例如，图1展示了两笔交易之间的关系。

3 提出的公平合同签署协议

在本节中，我们介绍了一种具体的三方合同签署协议构造。三个参与者分别表示为 PA, PB, PC。我们假设所有参与者都可能是诚实的或恶意的。我们定义，只有当 PA收到了其他两方对合同的签名时，该方才获得有效合同。如果 PA仅收到一方的签名，例如 PB，则该合同无效。我们提出的公平合同签署协议应满足完备性、公平性、及时性、不可否认性和保密性[3]的安全性要求。

我们假设参与者之间的所有消息均可可靠传输。我们的协议不要求消息按顺序传输。我们还假设参与者之间的通信信道是容错的。容错性指的是在没有全局时钟的异步通信模型中，消息可能被任意延迟，但最终会在有限时间内到达。为了避免争议，我们协议中的截止时间应包含消息在通信信道中可能被延迟的时间。

3.1 我们的协议

在本节中，我们提出了一种具有惩罚机制的公平三方合同签署协议。在详细描述本协议之前，我们首先介绍一些符号。本协议涉及三个参与方，记为 Pi, i ∈{A, B, C}。他们事先已就合同 M达成一致。用 σi表示参与方 Pi, i ∈{A, B, C}使用其私钥对合同 M所生成的签名。 VESi是在公钥 h下对 Pi签署合同的可验证加密签名。在本协议中，我们利用区块链网络来保证公平性。

下文中，用 Ti表示一笔比特币交易。 Pi −−S→ q ,t Pj表示由 Pi生成的一笔含 q币的存款交易，只有当提供 Sj时，该交易才能被 Pj领取。在时间 t之后， Pi可以取回该存款。

我们不会详细描述合同中的协议内容以及币的数量。这可能需要各方通过安全通道进行多轮通信。所有参与方应就协议中每个阶段的截止时间达成一致。

我们的协议包含四个阶段，具体如下。

– 密钥生成

在此阶段，各方共同参与为可验证加密签名算法生成一个公钥。他们首先协商确定一个素数 p−阶子群 Zp ⊂ Z∗ q，其中 q是一个大素数。假设 g是 Zp的一个生成元。然后每个 Pi, i ∈{A, B, C}执行以下步骤：

• 首先，参与方PA随机选择 x1 ∈ Zp作为他的私钥。他计算h1= gx1。然后他随机选择一个字符串 r1并对其做出承诺C1= C(h1, r1) 给 h1，如下完成：[16,20]将 C1发送给参与方 PB和 PC。当双方都收到承诺后， PA打开承诺 C1。 PB和 PC获得 PA的 h1。

• PB和 PC重复与 PA相同的过程。最后，所有参与方都拥有公钥集合 {h1, h2, h3}。门限加密的公钥h计算如下：
$$
h=∏^3_1 hi=∏^3_1 g^{xi}= g^{\sum_i xi}= g^x
$$
这里，我们设x=∑i xi。所有参与方都知道公钥，但除非他们共同协作，否则无法找到私钥x=∑i xi。

– 签名交换

在此阶段，每个 Pi, i ∈{A, B, C}计算关于合同 M的签名 σi。然后，其运行第2.2节中描述的可验证加密签名方案来加密 σi。最后， Pi将加密后的签名 VESi发送给其他参与方。假设系统已生成两个公钥哈希函数：H:{0, 1} ∗ → Z ∗ q , H1: ZP → Z ∗ p 。 Pi按如下方式生成可验证加密签名。

首先，参与方PA随机选择 x′ 1 ∈ Z ∗ q 作为他的私钥，并计算y1= g x′ 1。 h是在第一阶段生成的公钥。

对于合同 M ∈{0, 1}∗，参与方PA随机选择三个整数 r1、 t11、 t12 ∈ Z∗ q。计算签名 σ1= H(M)x′ 1, a1= yr1 1, b1=hr1， c1= σ1b x′ 1 H(M)b)t11， r13= yt12 1 ， r14= ht12，h11= H1(H(M) g， y1， h， r11， r12， r13， r14)， s11= t11 − h11x′1， s12= t12 −h11r1，该合同的可验证加密签名为 VES1=(a1， b1， c1， h11， s11， s12)。

在收到合同 M′ 的可验证加密签名 VES1=(a1, b1, c1, h11, s11, s12) 后，接收方 Pj 计算 r1′1=yh11 1 gs11, r1′2= ch11 1(H(M)b1)s11, r1′3= ah11 1 ys12 1, r1′4= bh11 1 hs12, h′11=H1(H(M) g, y1,h, r1′1, r1′2, r1′3, r1′4)。如果 h11= h′11，则接受该加密签名；否则，他中止该协议。

• Pj, j ∈{B, C}重复 PA执行的相同过程。最后，每个 Pi, i ∈{A, B, C}收到可验证加密签名集合VESi, i ∈{1, 2, 3}。如果在时间 t1之前发生任何错误，即其他参与方未收到可验证加密 VESi，他可以中止协议。

– 共享交换

在此阶段，各方将向其他方发送解密份额以解密每个 VESi。这里，我们将利用比特币的特殊性质来保证交换的公平性。如果一个不诚实方在收到所有份额后中止协议，他将受到金钱处罚。首先，每个Pi应通过比特币系统发起一笔存款交易，以承诺其将公开解密份额 Si=(axi 1, axi 2, axi 3)。如果他在截止时间前未公开秘密份额Si，则将被处罚，而其他各方将获得补偿。在所有各方完成存款后，他们将通过索赔交易逐步公开其秘密份额 Si。存款和索赔的过程如图3所示，并附有详细描述。

• 存款。该过程始于每一方收到来自另一方的所有可验证加密签名 VESi。如果出现任何错误或协议交换已被中止，则无法继续执行。存款协议的过程可以描述为：

PA S1∧S2∧S3 −−−−−−−→ q,τ3 PC (1)
PB S1∧S2∧S3 −−−−−−−→ q,τ3 PC (2)
PC S1∧S2 −−−−→ 2q,τ2 PB (3)
PB S1 −−→ q,τ 1 PA (4)

可以分为两个步骤。公式(1)和(2)是第一步。即，参与方PA、 PB同时向接收方 PC存入 q币的存款。该存款交易仅当PC能够在第 τ3轮提供秘密值 S1、 S2、 S3时才能被索赔。作为第二步，参与方 PC向收款方 PB存入 2q币的存款，当 PB在第 τ2轮生成 S1, S2时可进行索赔。参与方 PB向收款方 PA存入 q币的存款，当 PA在第 τ1轮生成 S1时可进行索赔。此处为 τ3< τ2< τ1。具体细节如下所述。

∗ 对于 i ∈{A, B}， Pi执行以下操作。

PA准备一笔未被赎回的交易 T 1，该交易只能通过 PA所知的密钥赎回。然后 PA根据图2中描述的某个条件构建一笔新的包含 q币的交易 T 1 dep。他将其保密，并创建另一笔具有锁定时间 τ3的交易 T 1 ref。
PA向 PC发送正文[T 1 ref]，并请求 PC进行签名。 PC对[T 1 ref]进行签名，并将已签名交易发回给 PA。如果在截止时间前，已签名的[T 1 ref]未到达 PA，则 PA中止操作。在收到已签名的[T 1 ref]后，PA将交易 T 1 dep发布到账本。这表明当 PC不诚实的时候， PA可以取回其存款。
PB同时进行存款交易 T 2 dep 。该过程与上述步骤相同。为了更好地理解此步骤，图2以比特币语法展示了此步骤的详细信息。

∗ 这是第二步。此步骤在交易 {T i dep, i ∈{1, 2}} k= C B Pk 出现在账本上之后开始。对于to，执行以下操作：

参与方 PC准备一笔未赎回的交易 T 3 ，该交易只能由 PC知晓的密钥赎回。然后 PC根据与步骤1不同的某些条件构建一笔新的交易 T 3 dep，包含 2q币。 PC创建另一笔交易 T 3 ref，其锁定时间为 τ2。 PC将主体[T 3 ref]发送给 PB，并要求 PB进行签名。 PB 对[T 3 ref]进行签名，并将已签名交易发回给 PC。如果已签名的[T 3 ref]在截止时间前未到达 PC，则 PC中止。在收到已签名的[T 3 ref]后， PC将交易 T 3 dep发布到账本。图3展示了此步骤的详细信息。
参与方PA PB 还准备了另一笔未花费的交易 T 2 ′ 并构建一笔新的交易 T 2 ′ dep ，包含 q币。然后他重复与 PC相同的过程。 PB将交易 T 2 ′ dep发布到账本。此步骤如图4所示。

如果在时间t2之前发生任何问题，即其他参与方未存款，则该协议可以中止。

• 索赔。等待所有参与方PA完成存款后，所有参与方PA开始以相反方向进行索赔交易。参与方PA 首先执行如下所述的索赔交易。他准备一笔交易 T 2 ′ cla 并将其发布到账本。当该交易出现在账本上时， PB, PC 收集 S1。如果交易T 2 ′ cla 未出现在账本上， PB 将在第 τ1+ 1 轮前等待并取回其存款。

∗ 然后，参与方PA PB使用 S1 和 S2 创建交易 T 3 cla 以索赔其存款。当该交易出现在账本上时， PA, PC收取 S2。如果交易 T 3 cla 未出现在账本上，则 PB在第 τ2+ 1 轮等待后拿回其存款。

最后，参与方 PC使用 S1, S2创建交易 T 1 cla和 T 2 cla索赔其存款。当该交易出现在账本上时，PA, PB收取 S3。如果交易 T 1 cla和 T 2 cla未出现在账本上，则 PA和 PB等待至第 τ3+1轮后取回其存款。 PA发布交易 T 1 re f 并等待至第τ3+ 1轮后取回其存款。

如果在时间 t3之前发生任何问题，即如果有参与者未发起索赔交易，则意味着某人的解密份额尚未公开，此时协议可以中止。

– 解密

在此阶段， Pi在收到所有必要值后可以解密每个 VESi。他可以获得其他参与方对合同 M的签名。 σi的解密过程如下：
$$
σi= ci / \prod_{k=1}^{3} axk_i = σib^{x′ i} / \prod {k=1}^{3} xk = σib^{x′_i} / x_i / a^{x_i}
$$

4 对我们所提出方案的分析

4.1 安全分析

定理1. 所提出的三方合同签署协议满足公平性属性。

证明. 在我们的协议中，公平性由以下两点保证：(1) 所有参与方获得有效的已签署合同，或仅获得其他方对合同的可验证签名。(2) 如果不诚实方不遵守协议，则诚实方将获得补偿，且不诚实方必须支付罚款。

我们证明第一个结论。假设门限加密方案和可验证签名方案都是安全的。我们假设参与方P_i是不诚实的，在签名交换阶段收到另外两方的 VESi后，拒绝向其他两方发送自己的 VESi。在这种情况下，另外两方将等待至截止时间，然后可以中止协议。根据协议，后续阶段无法继续执行。尽管P_i已经获得了其他各方的 VES_j ，但他没有用于密文的共享密钥。因此，如果第3阶段没有执行，他们仅能获得他人对合同的可验证签名。

接下来，我们证明第二个结论。在协议结束时，所有诚实方将获得所有份额 Si，而无需支付任何罚款。发布了自己的份额但未获得所有解密份额的诚实方将获得 q币的补偿。如果每个未发布自己份额的诚实方都能取回其存款，则没有被收买的参与方能够获得所有份额。共有三种情况：

– 参与方 PA 未发布其份额 S1。这意味着索赔阶段尚未执行，没有任何一方获得所有份额。

– 参与方 PB 未发布其份额 S2。存在两种情况。第一种情况是，PA 已发起索赔交易，且 PB 收到了份额 S1。在此情况下，PB 只需发布自己的份额 S2 即可取回存款。否则，他将向 PA 支付 q 币。第二种情况是，PA 未发布其份额。在此情况下，PB 不发起索赔交易，且没有任何一方获得 S2。

– 参与方 PC 未发布其份额 S3。在这种情况下，意味着 PC 是第一个获得所有份额的一方。如果 PC 是不诚实的并中止协议，则 PA 和 PB 无法获得 PC 的份额。但他们在时间 τ3 之后均可取回存款。这是因为当 PA 发布 S1 时，它从 PB 获得 q 币；而当 PB 发布 S2 时，他从 PC 获得 2q 币。此时，双方均已获得补偿。

4.2 性能分析

接下来，我们对所提出的协议进行性能分析。在我们的协议中，每个参与方Pi向其他两个参与方发送一条可验证加密信息。最后，他将包含解密份额的交易广播到区块链上。每个参与方发送的消息数量为 Pi，其中O（n）中的 n为参与方的数量。如果有 n个参与方，则总消息复杂度为 O（n²）。此外，我们的协议仅需要常数轮数。表1给出了我们的协议与先前工作的比较。

表1. 与先前方案的比较。

方案	通信复杂度	消息复杂度	可信第三方（TTP）
方案 [5]	O(n³)	O(n²)	Yes
方案 [14]	O(n³)	O(n)	Yes
方案 [17]	O(n³)	O(n)	Yes
方案 [18]	O(n²)	O(n)	Yes
我们的方案	O(n²)	O(1)	No

首先，我们提出的协议是基于区块链的，无需可信第三方（TTP），这与所有其他需要可信第三方（TTP）来解决争议的方案具有独特的模型差异。可信第三方（TTP）的存在会成为瓶颈，因为它可能成为单点故障，或遭受外部或内部攻击。其次，[14]是首个解决方案公平乐观多方法律合同签署协议。在该协议中，所需消息总数为 O(n³)，通信复杂度为 O(n²)轮，其中 n是参与者数量。然而，Garay的[14]方案效率非常低下。另一种在[5]中提出的方案，其效率依赖于不诚实方的数量。我们考虑最坏情况，即不诚实方的数量为 n−1，此时需要(n+1)n(n+1) (O(n³))条消息和 n+1轮数。文献[18]将轮次复杂度降低至 O(n³)，但仍需要O(n³)条消息。文献[17]提出了一种基于乐观模型的线性公平多方法律合同签署协议，其消息复杂度下界为 O(n²)，且轮次复杂度非常数。综上所述，所提出的协议比现有方案更高效。

表2. 各方案之间的比较。

属性	方案 [5]	方案 [14]	方案 [17]	方案 [18]	我们的方案
公平性	Weak	√	√	√	√
及时性	√	√	√	√	√
不可否认性	√	√	√	√	√
保密性	√	√	√	√	√

如表2所示，Chadha 等人提出的方案 [14] 在 n > 4 时不满足公平性属性。方案 [5] 假设可信第三方（TTP）需知晓不诚实方的数量，且所有诚实方均不能中止协议。在此情况下，若部分诚实方希望中止协议，则无法保证其他诚实方的公平性，因此方案 [5] 在公平性方面较弱。综上所述，我们所提出的方案能够满足所有安全属性。

5 结论

多方合同签署是电子数据交换的一种实际应用。合同签署协议的一个关键属性是公平性。现有解决公平性问题的方案需要可信第三方（TTP）参与争议处理。区块链作为比特币的底层技术，为解决第三方的信任问题提供了方案。本文提出了一种基于区块链的公平三方合同签署协议。该方案使参与者能够在无需仲裁员的情况下以公平的方式签署合同，同时能够保护合同内容的隐私。