白永祥

(1渭南職業(yè)技術學院陜西渭南714000；2西北大學信息與科技學院陜西西安710127)

0 引言

隨著網絡信息化技術的快速發(fā)展，電子支付在電子商務交易中成為核心的技術，電子現(xiàn)金以其關鍵的技術將會得到廣泛的應用。為了能跟蹤重復支付的用戶，在電子現(xiàn)金流動的過程中加入了盲化的用戶身份信息，在普通的盲簽名中，被簽名的消息整個由用戶所控制，而簽名者對此一無所知，這樣很容易造成簽名被犯罪分子利用。基于身份的公鑰密碼體制與傳統(tǒng)的密碼體制相比較在很多方面都具有更多的優(yōu)勢，通過基于身份的密碼技術來構建部分盲簽名方案[1]，并基于部分群盲簽名方案設計公平離線的電子現(xiàn)金系統(tǒng)。

1 相關概念

1.1 盲簽名

1982年，Chaum在美國密碼學會上提出了盲簽名的概念[2]。它是用戶和簽名人之間的一個交互協(xié)議，簽名人對用戶的消息進行數字簽名，但卻不知道簽名消息的具體內容，即便以后將簽名公開，也無法追蹤消息與自己執(zhí)行簽名過程之間的相互關系。

一個盲簽名體制有簽名人和用戶，一般由滿足如下條件的3個算法構成[3]:

1)初始化算法:形成系統(tǒng)參數與簽名人的公鑰、私鑰，這是一個概率多項式時間算法。

2)盲簽名生成算法:s＝Sign(m，params，pk，sk)，s代表簽名，params代表公共系統(tǒng)參數，pk，sk代表簽名者的公鑰和私鑰，Sign()是一個概率多項式時間的交互協(xié)議。

3)盲簽名驗證算法:1(0)←Verify(m，params，pk，s) ，1 表示簽名有效，0表示簽名無效。

1.2 電子現(xiàn)金

電子現(xiàn)金(Electronic Cash)又稱為電子貨幣 (Electronic Money)或數字貨幣(Digital Cash)，它是一種非常重要的電子支付系統(tǒng)，也可以被看作是現(xiàn)實貨幣的電子或數字模擬[4]。電子現(xiàn)金以數字信息形式存在，并通過計算機網絡流通，但它比現(xiàn)實的貨幣更加方便和經濟。一個電子現(xiàn)金系統(tǒng)最簡單的形式包括商家、用戶、銀行三個主體和四個安全協(xié)議過程:初始化協(xié)議、提款協(xié)議、支付協(xié)議和存款協(xié)議。

電子現(xiàn)金系統(tǒng)在其生命周期中要經過取款、支付和存款三個過程[5]，并涉及用戶(Consumer)、商家(Merchant)和銀行(Bank)三方。電子現(xiàn)金的基本流通模式有三種協(xié)議:一個是用戶與銀行執(zhí)行取款協(xié)議，用戶從注冊銀行提取電子現(xiàn)金?另一個是用戶與商家執(zhí)行支付協(xié)議支付電子現(xiàn)金?最后一種是商家與銀行執(zhí)行存款協(xié)議，將交易所得的電子現(xiàn)金存入商家的銀行賬戶。電子現(xiàn)金的基本模型如圖1所示[6]:

圖1 電子現(xiàn)金基本模型

2 研究背景

電子現(xiàn)金支付旨在網絡上重建基于現(xiàn)金型交易功能的作用，它可以使用密碼技術和盲簽名技術實現(xiàn)完全匿名，從而保護用戶的消費信息。自從1982年Chaum最早提出一個在線的基于RSA盲簽名完全匿名電子現(xiàn)金方案以來[7]，研究者們提出了各種各樣的方案。

1988年，Chaum、Fait、Naor利用切割－選擇和 RSA 盲簽名技術提出了一個在線的匿名電子現(xiàn)金方案[8]?1991年，Okamoto、ohta采用二叉樹結構表示電子現(xiàn)金和利用切割選擇技術的可分電子現(xiàn)金方案[9]?1992年，由Brands最早利用限制性盲簽名提出了一個離線的完全匿名電子現(xiàn)金方案，這是迄今為效率最高的方案之一，1993 年又進行了改進[10]?1995 年，Stadler、Brickel分別提出公平電子現(xiàn)金方案，除具備一般電子現(xiàn)金的功能外，還可跟蹤電子現(xiàn)金和所有者跟蹤協(xié)議[11]。同年Birckel、Gemmel、Kravitz引入基于可信第三方 TTP的跟蹤[12]。1996年，F(xiàn)rankel、Tsiounis、Yung基于間接證明技術提出了一個公平電子現(xiàn)金方案[13]?1997年，Davida、Frankel和Tsiounis基于零知識證明技術對上述方案進行了改進[14]，1998年，F(xiàn)rankel、Tsiounis和 Yung在文獻[15]利用同構加密的思想分兩次對上面方案進行了改進?1998年，Anna、Zulfikar在文獻[16]首先提出了基于群盲簽構造一個具有多個銀行參與發(fā)行的完全匿名電子現(xiàn)金方案?1999年，楊波等人在[17]中提出了選用靈通卡的公平電子現(xiàn)金方案。

3 方案設計

3.1 成員組成

方案由四部分組成:消費者、可信第三方(TTP)、銀行、商家。為了整個系統(tǒng)的安全性，在公共網上傳遞信息采用公鑰密碼體制。盲簽名方法用來保護用戶信息的隱私，四部組成因素具體功能如下[18]:

1)消費者(Consumer):想用電子現(xiàn)金購買商品的消費者。

2)可信第三方(TTP):是一個各方都信認的認證機構，它可以為電子現(xiàn)金生成一些認證的信息，如果發(fā)生爭執(zhí)，可以正確識別身份。

3)銀行(Bank):為消費者分配電子現(xiàn)金，并在消費者用電子現(xiàn)金購買商品后，可以為商家存款到賬戶。

4)商家(Merchant):能為消費者提供各種商品的可信賴方，并且能夠檢驗出從消費者處獲得的電子現(xiàn)金是否為銀行分發(fā)的有效電子現(xiàn)金。同時能夠把從消費者處獲得的電子現(xiàn)金傳送到銀行，存儲到自己的賬戶上。

圖2 一種公平離線的電子現(xiàn)金模型

3.2 方案中用到的符號

IDi:消費者i唯一的身份標識信息?

Ai:消費者i的銀行賬戶?

Hash(.):單向雜湊函數?

sn:唯一的貨幣標識號?

PKi/SKi:用戶i的公鑰和私鑰?

Ek(·)/Dk(·):加密/解密算法?

B(m，r):對消息進行盲因子的函數?

B－1(m，r):去盲因子函數。

3.3 協(xié)議過程

在我們的方案中，有四個協(xié)議過程:注冊、取款、支付、存款。具體過程如下:

3.3.1 注冊登記

1)客戶為了得到銀行對電子現(xiàn)金的權威認證，必須到銀行進行注冊登記，用戶通過自己的私鑰計算SC＝ESKC(IDi)產生證明書，然后使用可信第三方的公鑰加密后發(fā)送給TTP，EPKTTP(IDi，SC)?

2)TTP收到信息后，使用客戶的公鑰檢驗IDi＝EPKC(SC)是否成立，驗證通過后，TTP產生唯一的序列號sn并記錄到數據庫中?

3)TTP對sn進行簽名，然后分別使用客戶的公鑰和銀行的公鑰加密后發(fā)送給他們:

4)客戶收到TTP發(fā)送的信息后，使用自己的私鑰進行解密，再檢驗是否是由TTP生成的:

通過驗證后，客戶把序列號sn用于以后的電子現(xiàn)金貨幣中，銀行的檢驗執(zhí)行過程和客戶一樣，只是最后把序列號sn記錄入數據庫中，為以后查明重復支付作好準備。

3.3.2 取款

1)通過注冊操作以后，客戶從TTP處得到一個唯一的序列號sn，然后他就使用私鑰對銀行里的賬戶信息進行簽名?隨機選擇一個盲因子r對sn進行盲化?再使用銀行的公鑰加密后發(fā)送給銀行，以請求分發(fā)給合法的電子現(xiàn)金。

2)銀行收到客戶發(fā)送的X后，用私鑰進行解密，再用客戶的公鑰檢驗Sa，如果結果正確，則從客戶的賬號中扣除電子現(xiàn)金，并用自己的私鑰SKB對盲消息M′進行簽名，再用客戶的公鑰加密簽名后發(fā)回給客戶。

3)客戶使用私鑰對X1進行解密，然后使用去盲函數和盲因子獲得對序列號的簽名。最后客戶從銀行獲得電子現(xiàn)金(sn，S)，但是銀行不能得到除序列號外的任何信息。

3.3.3 支付

1)客戶在購買商品時，使用電子現(xiàn)金(sn，S)進行支付。為了獲得用戶想要的商家產品，客戶隨機產生一個數，并用私鑰對進行簽名，再用盲化函數和盲化因子r′實施盲化。為了安全使用商家的公鑰對電子現(xiàn)金(sn，S)進行加密[19]。

2)商家收到加密的電子現(xiàn)金后，用私鑰解密，然后對電子現(xiàn)金的有效性進行檢驗，如果有效，則商家答應給客戶商品

3)客戶收到商家的商品和S″r后，他使用盲函數和盲因子作如下運算:

最后消費者獲得了相應的商家的商品和票據，同時為了防止商家重復存儲電子現(xiàn)金，客戶要保存好收據票。

3.3.4 存款

1)商家獲得電子現(xiàn)金(sn，S)之后，他可以存儲到銀行中他的賬戶。首先商家使用銀行的公鑰PKB對(sn，S)進行加密，然后再發(fā)送給銀行。

2)銀行獲得加密的電子現(xiàn)金后，用私鑰進行解密。最后對電子現(xiàn)金進行有效性檢驗，通過檢驗后增加到商家的賬戶中去，并對電子現(xiàn)進行標記，以防止重復支付[19]。

4 方案安全性分析

下面將對我們的方案中使用的協(xié)議進行詳細分析，看是否符合對電子現(xiàn)金的各種安全性要求。

(1)防偽造性

在我們的方案中，電子現(xiàn)金只能由銀行一家權威機構發(fā)行，而且每一個電子貨幣都是由銀行用私鑰進行簽名，所以沒有任何人或機構可以簽名。

(2)反跟蹤性

盲簽名技術本身具有不可跟蹤性，在撤銷過程中，用戶使用盲化函數和隨機選擇的盲化因子r對序列號sn進行了盲化，所以銀行在對消息M進行簽名時，不能得到任何消息內容。在商家存款過程中，銀行雖然能等到有效的電子現(xiàn)金(sn，S)，但是銀行在用戶和電子現(xiàn)金中不能得到相關信息。所以我們的方案在這點上是完全滿足的。

(3)可驗證性

我們的方案基于公鑰密碼體制，所以消費者在注冊階段能夠檢驗出序列號sn是否由TTP產生，同時消費者也能通過銀行的公鑰檢驗出電子現(xiàn)金(sn，S)是否由銀行產生。在支付和存儲階段也能通過銀行的公鑰PKB檢驗出電子現(xiàn)金是否有效。

(4)防重支付

在我們的方案中，每一個電子現(xiàn)金都在銀行數據庫中有記錄，而且產生的序列號sn也在TTP處均有記錄。為了提高查找重復支付的效率，我們采用了部分盲簽名技術，這是因為部分盲簽名技術能大大減輕數據庫的大小，從而提高了查找速度。銀行從商家處收到想要存儲的電子現(xiàn)金時，首先檢查該電子現(xiàn)金是否被支付過，如果銀行發(fā)現(xiàn)該電子現(xiàn)金是重復支付的，那么便聯(lián)系TTP查出用戶的真實身份信息IDi，很容易查出那惡意使用電子現(xiàn)金的消費者賬戶。

(5)可控性

群簽名和盲簽名的無條件匿名性和不可跟蹤性也給犯罪分子的敲詐、拐騙、洗黑錢等活動提供了方便，所以設計一種可控性或公平的電子現(xiàn)金系統(tǒng)非常必要[17]。在Chaum方案中，由于序列號sn由消費者自己選擇，也沒有登記銀行數據庫，所以犯罪分子很容易的進行支付而不能被識別出身份。在我們的方案中，序列號sn由可信第三方TTP產生，比如由政府的金融部門擔任。在我們的設計中，如果犯罪分子想從受害者處敲詐現(xiàn)金，由于序列號不由他自己產生，所以犯罪分子只能恐嚇受害人從TTP處獲取。如果受害者順從的申請了sn′，犯罪分子獲取電子現(xiàn)金(sn′，S′)后釋放了人質，那么受害者可標識這是一個通過不正當手段獲取的電子現(xiàn)金。當犯罪分子在商家進行消費時，商家可以報警逮捕犯罪分子，所以如果序列號是由可信第三方產生的，可以有效防止犯罪分子不受限制的消費。

5 結語

從研究的角度分析，電子現(xiàn)金系統(tǒng)的發(fā)展將會向著高效、離線、公平和安全性更強的方向發(fā)展[20]。在現(xiàn)有的電子現(xiàn)金系統(tǒng)方案中，大多數是基于離散對數和零知識證明等方法來構造的，那么基于大整數因子分解困難問題設計部分盲簽名方案，構建公平安全的電子現(xiàn)金系統(tǒng)也是可行的研究方向。近年來，橢圓曲線密碼體制以不同于其它密碼體系的獨特優(yōu)勢，成為目前的研究熱點，所以，如何設計基于橢圓曲線密碼體制的電子現(xiàn)金系統(tǒng)有很好的發(fā)展前景。

[1] 邱衛(wèi)東，黃征，李祥學等.密碼協(xié)議基礎[M].北京:高等教育出版社，2009:74－92.

[2] Abe M，F(xiàn)ujisaki.How to Date Blind Signature.Advances in cryptology:proceedings of ASIACRYPTO′961996[C]//Heidelberg:Spring－Verlag， 1996:243－252.

[3] 蔡樂才，張仕斌，郝文化.應用密碼學[M].北京:中國電子出版社，2005:201－210.

[4] Boldyeva A.Threshold Signature，Multisignatures and Blind Signature Based on the Gap－Diffie－Hellman－Group Signature Scheme.Theory and practice of public key cryptology:proceedings of PKC 2003[C]//Heidelbeg:Spring－Verlag， 2003:31－46.

[5] Wenbo Mao.Modern Cryptography:Theory and Practice[M].Pearson Education， Inc.， publishing as Prentice Hall PTH，2004:206－218.

[6] 李順東，王道順.現(xiàn)代密碼學:理論、方法與研究前沿[M].北京:科學出版社，2009:109－123.

[7] Chaum.Blind signatures for untraceable payments[J].In Advances in Cryptology Proceedings of CRYPTO′82，Plenum，New York， 1982，21(2):199–170.

[8] Chaum， Fiat， and Naor.Untraceable electronic cash.In S.Goldwasser.Proceedings on Advances in Cryptology(Santa Barbara， California， United States)[C]//New York， Springer－Verlag 1988:319－327.

[9] T.Okamoto，K.Ohta.Universal Electronic Cash[C]//Proceedings of CRYPTO′91，LNCS 576.Germany:Springer－Verlag，1993:324－337.

[10] Brands S.An efficient off－line cash system based on the representation problem[R].Netherlands:CWITechnical Report CS－R9323，1993.

[11] M.Stadler，ect.Fair Blind Signature[C]//In Advances in Cryptology – EUROCRYPTO′95， LNCS 921.Germany:Springer－Verlag， 1995:209－219.

[12] E.Brickell， D.Gemmell， D.Kravitz.Trustee－based tracing extensions to anonymous cash and the making of anonymous change[C]//In proceedings of the 6th Annual ACM－SIAM Symposium on Discrete Algorithms.Germany:Springer－Ver-lag，1995:157－166.

[13] Frankel Y，Tsiounis Y，Yung M.Indirect discourse proofs:Achieving fair off－line e－cash[C]//Proc.of ASIACRYPTO′96.German:Springer－Verlag，1996:286－300.

[14] Davida D， Tsiounis Y，Yung M.Anonymity control in e－cash systems[C]//CRYPTO′97 proceedings， LNCS 576.Germany:Springer，1997:224－230.

[15] Frankel Y，Tsiounis Y，Yung M.Fair off－line e－cash made casy[C]//Proc.of ASIACRYPTO′98.Germany:Springer－Verlag，1998:386－396.

[16] Lysyanskaya， Anna， Zulfikar Ramzan.Group blind digital signatures:A scalable solution to electronic cash[C]//Financial Cryptography ′98， LNCS 1465.Berlin:Springer－Verlag，1998:184 – 197.

[17] 楊波，劉勝利.利用Smart卡的可撤銷匿名性的電子支付系統(tǒng)[J].電子學報，1999(6):83－86.

[18] 關振勝.公鑰基礎設施PKI及其應用[M].北京:電子工業(yè)出版社，2008:389－414.

[19] 李洪心.電子商務安全[M].大連:東北財經大學出版社，2012:152－163.

[20] 楊浩淼.快速產生安全橢圓曲線的研究[D].西安:西安電子科技大學，2013:40－50.