柳 欣 張 波

1(山東青年政治學(xué)院信息工程學(xué)院 濟(jì)南 250103)2(山東省高校信息安全與智能控制重點(diǎn)實(shí)驗(yàn)室(山東青年政治學(xué)院) 濟(jì)南 250103)3(濟(jì)南大學(xué)信息科學(xué)與工程學(xué)院 濟(jì)南 250022) (lxonne@163.com)

?

基于DAA-A的改進(jìn)可授權(quán)電子現(xiàn)金系統(tǒng)

柳 欣1,2張 波3

1(山東青年政治學(xué)院信息工程學(xué)院 濟(jì)南 250103)2(山東省高校信息安全與智能控制重點(diǎn)實(shí)驗(yàn)室(山東青年政治學(xué)院) 濟(jì)南 250103)3(濟(jì)南大學(xué)信息科學(xué)與工程學(xué)院 濟(jì)南 250022) (lxonne@163.com)

當(dāng)前，已有的可授權(quán)電子現(xiàn)金系統(tǒng)通信效率不高，同時(shí)其公平交換子協(xié)議要求使用低效的cut-and-choose證明技術(shù)且集中式的可信第三方(trusted third party, TTP)容易遭受拒絕服務(wù)攻擊.此外，多個(gè)相關(guān)的公平支付系統(tǒng)或者要求使用cut-and-choose證明技術(shù)，或者使用了具有安全性缺陷的可驗(yàn)證加密技術(shù).利用基于屬性的自盲化證書(shū)系統(tǒng)構(gòu)造了一個(gè)具有屬性的直接匿名證明(direct anonymous attestation with attributes, DAA-A)方案，然后基于該方案構(gòu)造了滿(mǎn)足更強(qiáng)可開(kāi)脫性的可授權(quán)電子現(xiàn)金系統(tǒng).為了提高用戶(hù)端在支付過(guò)程中的運(yùn)算效率，使用了Arfaoui等人的集合關(guān)系證明協(xié)議，同時(shí)利用預(yù)計(jì)算技術(shù)對(duì)用戶(hù)的知識(shí)簽名進(jìn)行了效率優(yōu)化.為了避免執(zhí)行低效的cut-and-choose證明，設(shè)計(jì)了一個(gè)支持分布式TTP的樂(lè)觀公平交換子協(xié)議.通過(guò)與Golle-Mironov模型相結(jié)合，新系統(tǒng)可以應(yīng)用于外包計(jì)算領(lǐng)域.與已有同類(lèi)系統(tǒng)相比，新系統(tǒng)同時(shí)滿(mǎn)足允許多次支付、無(wú)需使用cut-and-choose技術(shù)和用戶(hù)無(wú)狀態(tài)性等多個(gè)理想性質(zhì).此外，新系統(tǒng)的公平交換子協(xié)議引入了分布式TTP，即考慮了拒絕服務(wù)攻擊的風(fēng)險(xiǎn).

可授權(quán)電子現(xiàn)金；直接匿名證明；公平交換；cut-and-choose證明；外包計(jì)算

直接匿名證明(direct anonymous attestation, DAA)方案[4-6]是當(dāng)前可信計(jì)算技術(shù)的一個(gè)重要分支.在此類(lèi)方案中，嵌入了可信平臺(tái)模塊(trusted platform module, TPM)芯片的用戶(hù)主機(jī)平臺(tái)(Host)可以向驗(yàn)證者證明自己掌握有效的認(rèn)證令牌.本質(zhì)上講，該令牌是由發(fā)布權(quán)威為T(mén)PM私鑰頒發(fā)的數(shù)字證書(shū).認(rèn)證過(guò)程的主要運(yùn)算由Host承擔(dān)，且TPM僅執(zhí)行少量關(guān)鍵性的運(yùn)算.具有屬性的直接匿名證明(direct anonymous attestation with attributes, DAA-A)[5]是對(duì)DAA方案的擴(kuò)展，即用戶(hù)的認(rèn)證令牌是關(guān)于TPM私鑰k0和用戶(hù)屬性向量(k1,k2,…,kn)的數(shù)字證書(shū).同時(shí)，在認(rèn)證過(guò)程中，用戶(hù)可以靈活設(shè)置由“公開(kāi)”屬性和“隱藏”屬性構(gòu)成的集合，從而符合了隱私保護(hù)的最小信息泄露原則.本文認(rèn)為，可以將DAA-A方案作為設(shè)計(jì)可授權(quán)電子現(xiàn)金系統(tǒng)的有效本原.具體原因包括4點(diǎn)：

1) 在DAA-A方案中，TPM與Host是2個(gè)不同的實(shí)體,只要TPM保持誠(chéng)實(shí)，即使在Host被攻破的情況下，仍然可以保護(hù)用戶(hù)不受陷害;

2) 可授權(quán)電子現(xiàn)金系統(tǒng)的取款和支付協(xié)議分別對(duì)應(yīng)于DAA-A方案的用戶(hù)注冊(cè)和簽名協(xié)議;

3) DAA-A方案允許用戶(hù)有選擇性地對(duì)個(gè)人敏感屬性進(jìn)行隱藏，從而有利于將個(gè)人信息的泄露降低至最低程度;

4) DAA-A方案容易與其他的可信計(jì)算技術(shù)(如基于TPM的群托管協(xié)議[7])相結(jié)合，從而設(shè)計(jì)出效率更高的公平交換協(xié)議.

我們認(rèn)為，Camenisch等人[1]的系統(tǒng)(簡(jiǎn)稱(chēng)原始系統(tǒng))存在2個(gè)主要缺點(diǎn)：1)該系統(tǒng)是基于強(qiáng)RSA假設(shè)設(shè)計(jì)的，因此用戶(hù)在支付過(guò)程中的通信效率不高.2)背書(shū)元素end與數(shù)字商品之間的交換是基于Asokan等人[8]的樂(lè)觀公平交換協(xié)議實(shí)現(xiàn)的，從而繼承了后者的4個(gè)缺點(diǎn)，即:①要求用戶(hù)在交換過(guò)程中執(zhí)行低效的cut-and-choose證明過(guò)程;②要求交換雙方在發(fā)生爭(zhēng)執(zhí)的情況下向可信第三方(trusted third party, TTP)申請(qǐng)仲裁，即必須無(wú)條件地信任TTP;③TTP本身是集中式的，因此容易遭受拒絕服務(wù)攻擊;④交換雙方都可能成為爭(zhēng)議解決子協(xié)議的發(fā)起者，因此用戶(hù)必須保持狀態(tài)[9].

除了原始系統(tǒng)之外，相關(guān)的代表性文獻(xiàn)總結(jié)如下：在文獻(xiàn)[10]中，Blanton提出一個(gè)改進(jìn)的有條件電子現(xiàn)金系統(tǒng).此類(lèi)系統(tǒng)將標(biāo)準(zhǔn)電子現(xiàn)金系統(tǒng)的支付協(xié)議替換為有條件的轉(zhuǎn)移協(xié)議.該協(xié)議要求付款方與收款方共同參與，且收款方最終將獲得一筆有條件的付款，即該付款僅能在某個(gè)公開(kāi)條件R得到滿(mǎn)足后才能得到兌現(xiàn).Blanton的系統(tǒng)[10]與可授權(quán)電子現(xiàn)金系統(tǒng)[1]的2個(gè)主要區(qū)別是：1)要求由TTP宣布條件R是否得到滿(mǎn)足;2)允許收款人將所得的有條件的付款轉(zhuǎn)移給他人.然而，Blanton的系統(tǒng)效率不高且要求付款方與收款方完全信任TTP.在文獻(xiàn)[11]中，Chen等人基于可授權(quán)電子現(xiàn)金技術(shù)[1]和Golle-Mironov外包計(jì)算模型[12]提出一個(gè)公平的有條件支付系統(tǒng).該系統(tǒng)允許用戶(hù)將運(yùn)算任務(wù)分為多項(xiàng)更小的任務(wù)，并將所得任務(wù)連同未經(jīng)授權(quán)的電子貨幣coin′外包給志愿的計(jì)算機(jī)(稱(chēng)為worker).每當(dāng)worker完成任務(wù)并返回正確的運(yùn)算結(jié)果，用戶(hù)會(huì)對(duì)事先支付的coin′提供授權(quán).考慮到雙方相互并不信任，該系統(tǒng)還提供了借助TTP確保交換過(guò)程公平性的機(jī)制.然而，Chen等人的系統(tǒng)存在3個(gè)主要缺點(diǎn)：1)底層的可授權(quán)電子現(xiàn)金系統(tǒng)是基于Brands電子現(xiàn)金系統(tǒng)構(gòu)造的.但是，后者的安全性尚未得到完全證明[13]，而且不支持多次支付.因此，用戶(hù)需要在每次外包運(yùn)算之前重新執(zhí)行取款協(xié)議.2)TTP并非完全可信，即TTP有可能會(huì)與用戶(hù)或worker進(jìn)行合謀.3)該系統(tǒng)的公平交換協(xié)議是基于Ateniese[9]的關(guān)于離散對(duì)數(shù)的可驗(yàn)證加密方案實(shí)現(xiàn)的.需要指出的是，Ateniese的技術(shù)存在缺陷，因?yàn)槠涞讓蛹用芊桨竷H滿(mǎn)足較弱的語(yǔ)義安全性[14].在文獻(xiàn)[15]中，Carbunar等人提出一個(gè)適用于外包運(yùn)算環(huán)境的公平支付系統(tǒng).該系統(tǒng)存在3個(gè)主要缺點(diǎn)：1)底層電子現(xiàn)金系統(tǒng)不滿(mǎn)足匿名性，因此無(wú)法保護(hù)用戶(hù)的隱私;2)為了驗(yàn)證用戶(hù)預(yù)先支付的電子貨幣是否有效，用戶(hù)需要與worker執(zhí)行低效的cut-and-choose證明協(xié)議;3)并未引入爭(zhēng)議解決機(jī)制，即未考慮worker有可能不向用戶(hù)提供外包運(yùn)算結(jié)果的情況.最近，Küpcü[16]提出一個(gè)新的公平支付系統(tǒng).在外包運(yùn)算開(kāi)始之前，用戶(hù)與worker需要事先在同一家銀行開(kāi)設(shè)賬戶(hù).銀行負(fù)責(zé)對(duì)雙方賬戶(hù)余額進(jìn)行托管，且worker需要為自己提供錯(cuò)誤運(yùn)算結(jié)果的惡意行為支付罰金.需要指出的是，為了實(shí)現(xiàn)對(duì)錯(cuò)誤結(jié)果的檢測(cè)，該系統(tǒng)要求用戶(hù)將同一個(gè)任務(wù)外包給多個(gè)worker，因此顯著增加了用戶(hù)的通信和運(yùn)算耗費(fèi).

本文著重研究了基于DAA-A技術(shù)設(shè)計(jì)可授權(quán)電子現(xiàn)金系統(tǒng)的問(wèn)題以及如何利用所得系統(tǒng)解決外包運(yùn)算環(huán)境下的公平支付問(wèn)題.具體貢獻(xiàn)體現(xiàn)在4個(gè)方面：

1) 本文提出新的可授權(quán)電子現(xiàn)金系統(tǒng)安全模型.已有的安全模型[1]是基于模擬方式定義的.新的安全模型是基于游戲方式定義的，且考慮了用戶(hù)端Host被攻破而TPM芯片保持誠(chéng)實(shí)的情況，即定義了更強(qiáng)的可開(kāi)脫性.

2) 本文基于Ringers等人[17]的自盲化證書(shū)系統(tǒng)具體實(shí)現(xiàn)了文獻(xiàn)[5]中的DAA-A方案框架.然后，基于所得DAA-A方案構(gòu)造了改進(jìn)的可授權(quán)電子現(xiàn)金系統(tǒng)，使得用戶(hù)在支付階段只需執(zhí)行雙線(xiàn)性群G1上的高效運(yùn)算.

3) 本文提出與可授權(quán)電子現(xiàn)金系統(tǒng)緊密結(jié)合的公平交換協(xié)議.該協(xié)議支持用戶(hù)利用背書(shū)元素end購(gòu)買(mǎi)商家的數(shù)字商品m，且允許雙方在發(fā)生爭(zhēng)執(zhí)時(shí)向分布式的TTP申請(qǐng)仲裁.同時(shí)，用戶(hù)只是爭(zhēng)議解決子協(xié)議的被動(dòng)參與方，因此無(wú)需保持狀態(tài).

4) 本文提出新系統(tǒng)的具體應(yīng)用實(shí)例，即構(gòu)造了支持用戶(hù)購(gòu)買(mǎi)外包運(yùn)算結(jié)果的公平支付系統(tǒng).

1 預(yù)備知識(shí)

3) 屬性空間上的簽名方案以及基于屬性的自盲化證書(shū)系統(tǒng).最近，Ringers等人[17]提出一個(gè)簽名方案，該方案由密鑰產(chǎn)生、簽名、驗(yàn)證3個(gè)步驟構(gòu)成：

Step1. 簽名者選取Q∈RG2，選取a,a0,a1,…,an,z∈R*p，設(shè)置A=Qa,A0=Qa0,A1=Qa1,A2,…,An=Qan,Z=Qz.簽名者設(shè)置公鑰為(Q,A,A0,A1,…,An,Z)，私鑰為(a,a0,a1,…,an,z).

Step2. 給定屬性向量(k0,k1,…,kn)，簽名者選取κ∈R*p,K∈RG1，計(jì)算.最后，輸出簽名(κ,K,S,S0,S1,…,Sn,T).

Step3. 給定屬性向量(k0,k1,…,kn)和對(duì)應(yīng)的簽名(κ,K,S,S0,S1,…,Sn,T)，驗(yàn)證者驗(yàn)證是否同時(shí)滿(mǎn)足：

此外，Ringers等人利用上述方案構(gòu)造了基于屬性的自盲化證書(shū)系統(tǒng).該系統(tǒng)允許用戶(hù)多次展示關(guān)于屬性向量(k0,k1,…,kn)的證書(shū)，并且根據(jù)需要定義向驗(yàn)證者揭示的屬性集合.

4) 關(guān)于離散對(duì)數(shù)的可驗(yàn)證加密技術(shù).假設(shè)證明者P與驗(yàn)證者V共享公開(kāi)元素gm，且P額外掌握秘密元素m，使得(gm,m)滿(mǎn)足離散對(duì)數(shù)關(guān)系R.假設(shè)Enc表示Camenisch-Shoup公鑰加密方案[14]的加密算法，且pk表示TTP在該方案下的公鑰.在文獻(xiàn)[14]中，Camenisch等人提出關(guān)于離散對(duì)數(shù)的可驗(yàn)證加密技術(shù).利用該項(xiàng)技術(shù)，P可以向V提供Encp k(m)，并且向V證明2項(xiàng)事實(shí)：①Encp k(m)是利用pk產(chǎn)生的關(guān)于秘密元素m的Camenisch-Shoup方案密文;②秘密元素m是元素gm關(guān)于底數(shù)g的離散對(duì)數(shù).

5) 基于TPM的可驗(yàn)證群托管協(xié)議.假設(shè)發(fā)送方P擁有公開(kāi)元素cmt，且cmt滿(mǎn)足某個(gè)性質(zhì)R.在文獻(xiàn)[7]中，Tate等人提出基于TPM的可驗(yàn)證群托管協(xié)議.在該協(xié)議中，P向接收方V提供關(guān)于秘密證據(jù)end的托管密文escrow，并且能使得后者確信P掌握證據(jù)end，滿(mǎn)足(cmt,end)∈R.同時(shí)，當(dāng)自己與某個(gè)符合特定訪(fǎng)問(wèn)結(jié)構(gòu)Γ的恢復(fù)代理集合進(jìn)行合作時(shí)，就能得到證據(jù)end；相反，則無(wú)法獲得有關(guān)end的任何有用信息.Tate等人指出，可以利用(k,n)門(mén)限技術(shù)實(shí)現(xiàn)訪(fǎng)問(wèn)結(jié)構(gòu)Γ，并且提供了該協(xié)議在R為離散對(duì)數(shù)關(guān)系情況下的具體實(shí)例.此外，Tate等人強(qiáng)調(diào)，若end為P在公平交換過(guò)程中的秘密信息，則可以利用該協(xié)議取代低效的cut-and-choose證明技術(shù)和可驗(yàn)證加密技術(shù).該協(xié)議的顯著特點(diǎn)是，P利用TPM芯片產(chǎn)生托管密文escrow，并且使用存儲(chǔ)于TPM內(nèi)部受保護(hù)區(qū)域中的證明身份密鑰(attestation identity key)AIK產(chǎn)生對(duì)escrow的簽名，從而利用V對(duì)TPM芯片本身的信任取代了經(jīng)典cut-and-choose證明技術(shù)借助驗(yàn)證雙方的多輪交互而實(shí)現(xiàn)的統(tǒng)計(jì)上的信任.

2 改進(jìn)的可授權(quán)電子現(xiàn)金系統(tǒng)

2.1 設(shè)計(jì)思想

1) 在Avoine等人的協(xié)議中，用戶(hù)需要在交換(Exchange)子協(xié)議中使用Stadler[24]的公開(kāi)可驗(yàn)證的秘密分享方案和基于離散對(duì)數(shù)的可驗(yàn)證加密方案.然而，Stadler的可驗(yàn)證加密方案因?yàn)槭褂昧藘H滿(mǎn)足語(yǔ)義安全性的ElGamal加密方案而存在安全隱患[14].同時(shí)，該方案要求用戶(hù)執(zhí)行低效的cut-and-choose證明.為了提高用戶(hù)端運(yùn)算效率，本文使用了基于TPM的可驗(yàn)證群托管協(xié)議[7].

2) 在Avoine等人的協(xié)議中，商家同樣需要在恢復(fù)(Recovery)子協(xié)議中使用Stadler的可驗(yàn)證加密方案.基于上述原因，本文使用了效率更高且滿(mǎn)足選擇密文攻擊(chosen-ciphertext attack, CCA)安全性的Camenisch-Shoup可驗(yàn)證加密方案[14].

2.2 本文系統(tǒng)的參與方

本文系統(tǒng)的執(zhí)行過(guò)程涉及以下參與方，即用戶(hù)U、銀行B、商家M以及TTPP1,P2,…,Pn，其中U的角色可以劃分為T(mén)PM芯片與主機(jī)Host.

2.3 本文系統(tǒng)的符號(hào)描述

1) 假設(shè)所有的參與方都利用安全信道進(jìn)行通信[23].

2) 假設(shè)U的TPM芯片是由誠(chéng)實(shí)制造廠(chǎng)商根據(jù)公開(kāi)標(biāo)準(zhǔn)生產(chǎn)的，且滿(mǎn)足5個(gè)性質(zhì)：①TPM本身具備抗篡改性;②TPM使用的公鑰加密算法滿(mǎn)足CCA安全性;③TPM使用的數(shù)字簽名算法在自適應(yīng)選擇消息攻擊下滿(mǎn)足不可偽造性;④TPM利用抗碰撞的單向函數(shù)產(chǎn)生消息摘要;⑤可信CA已經(jīng)為T(mén)PM的密鑰AIK頒發(fā)了數(shù)字證書(shū)cert(AIK)[7].

2.5 本文系統(tǒng)的詳細(xì)描述

2.5.1 系統(tǒng)建立(Setup)

可信算法執(zhí)行以下步驟：

Step3. 定義抗碰撞的散列函數(shù)H1:{0,1}*→p,H2:{0,1}*→G1,H3:{0,1}*→p,H4:{0,1}*→{0,1}ω′;

基于彈性梁彎曲理論建立小麥莖稈在橫向受迫條件下的力學(xué)模型，如圖2為單株小麥莖稈在受橫向載荷F下發(fā)生彎曲時(shí)的示意圖，XL為單株小麥莖稈在橫向力F的作用下，麥穗頂端的撓度值。

2.5.2 銀行系統(tǒng)建立(Setup for Bank)

B執(zhí)行以下步驟：

Step1. 選取a,a0,a1,a2,z∈R*p，設(shè)置A=Qa,Z=Qz,Ai=Qai,i=0,1,2;

Step2. 選取ξ∈R*p，設(shè)置Y=Q′ξ;

Step4. 初始化公開(kāi)列表RL={};

Step5. 定義skB=(a,a0,a1,a2,z,ξ),pkB=(A,A0,A1,A2,Z,Y).

2.5.3 用戶(hù)系統(tǒng)建立(Setup for Bank)

U(TPM+Host)執(zhí)行以下步驟：

Step3. 選取帶密鑰的散列函數(shù)Hash以及密鑰hk.

2.5.4 取款(Withdraw)

為了提取可支付的電子錢(qián)包，U(TPM+Host)與B執(zhí)行以下步驟：

Step1.Host向B發(fā)送取款請(qǐng)求reqWithdraw,B選取nB∈Rp,K∈RG1，計(jì)算S=Ka,Si=Kai,i=0,1,2，并且向Host發(fā)送(ID,nB,K,S,S0,S1,S2).

Step4.B驗(yàn)證π1是否有效，若是，則選取κ″∈R

2.5.5 現(xiàn)金分割(Splitcoin)

假設(shè)U(TPM+Host)希望向M支付一個(gè)電子貨幣,它需要與M共同執(zhí)行以下步驟：

Step1.Host向M發(fā)送支付請(qǐng)求reqSpend.

Step2.M選取nM∈R*p，并且返回nM.

Step4.Host與TPM聯(lián)合產(chǎn)生知識(shí)簽名

2.5.6 支付(Spend)

在該協(xié)議中，U(TPM+Host)向M支付未經(jīng)授權(quán)的電子貨幣,雙方的具體步驟如下：

Step1.Host向M發(fā)送cmt,coin′.

Step3. 對(duì)于i=1,2,…,|RL|，M驗(yàn)證是否滿(mǎn)足t≠bki,0，其中ki,0∈RL.

Step4. 若上述檢查通過(guò)，則M保存cmt,coin′.

2.5.7 重構(gòu)(Reconstruction)

2.5.8 存款(Deposit)

假設(shè)M獲得了U支付的coin.為了實(shí)現(xiàn)存款，M與B執(zhí)行如下步驟：

Step1.M向B發(fā)送coin.

Step3. 若驗(yàn)證通過(guò)，則B將coin作為已支付的電子貨幣進(jìn)行保存，并且將相應(yīng)金額存入M的賬戶(hù),同時(shí)，B向M返回確認(rèn)信息;否則，B向M返回失敗信息.

2.5.9 身份追蹤(Identify)

2.6 公平交換協(xié)議的詳細(xì)描述

2.6.1 交換(Exchange)

假設(shè)U(TPM+Host)希望向M購(gòu)買(mǎi)數(shù)字商品m，且m可以編碼為ρ上的整數(shù).為此，M已經(jīng)向U提供了關(guān)于m的描述信息descr(m)=gm，其中g(shù)為ρ階循環(huán)群Υ的生成元，滿(mǎn)足×2-ω′-ω″-1[25]且參數(shù)ω′與ω″分別用于定義底層Camenisch-Shoup可驗(yàn)證加密方案的知識(shí)證明協(xié)議的挑戰(zhàn)空間以及控制該協(xié)議的零知識(shí)性.而且，U已經(jīng)利用支付協(xié)議向M提供了cmt,coin′.對(duì)于i=1,2,…,n，假設(shè)TTP中Pi已經(jīng)公開(kāi)了自己在某CCA安全的加密方案(Enc,Dec)下的公鑰pki.在當(dāng)前協(xié)議中，U與M將實(shí)現(xiàn)關(guān)于end和m的公平交換.此外，符號(hào)Time表示交換交易的截止時(shí)間，且Timemax表示M在恢復(fù)子協(xié)議中發(fā)送給任何參與方的消息總是能在Timemax時(shí)間內(nèi)送達(dá).雙方具體交換過(guò)程如下：

Step1.1. 產(chǎn)生隨機(jī)數(shù)r，并將r保存在其內(nèi)部受保護(hù)區(qū)域.

Step1.3. 產(chǎn)生r在(k,n)-Shamir門(mén)限方案下的秘密份額r1,r2,…,rn，即選取s1,s2,…,sk-1∈R*p，定義.對(duì)于i=1,2,…,n，計(jì)算ri=F(i).

Step1.4. 對(duì)于i=1,2,…,n，執(zhí)行以下步驟：

Step1.4.1. 設(shè)置hCond=H3(ConditionU)；

Step1.4.3. 利用AIK中的私鑰SKA產(chǎn)生關(guān)于ci的簽名SignSKA(ci)，并且設(shè)置Ci=(ci,SignSKA(ci)).

Step2.1. 驗(yàn)證由隱私CA頒發(fā)的證書(shū)cert(AIK)是否有效；

Step2.2. 對(duì)于i=1,2,…,n，將Ci分離為Ci=(ci,SignSKA(ci))的形式，并且驗(yàn)證簽名SignSKA(ci)是否有效；

Step3. 在接收到m之后，Host驗(yàn)證是否滿(mǎn)足gm=descr(m)，若是，則向M發(fā)送end；否則，Host一直等待直至Time時(shí)刻，從而終止當(dāng)前交換過(guò)程.

2.6.2 恢復(fù)(Recovery)

在Time-Timemax時(shí)刻之前，M與P1,P2,…,Pn共同執(zhí)行以下步驟：

3 知識(shí)簽名的具體實(shí)現(xiàn)過(guò)程

本節(jié)介紹知識(shí)簽名π1,π2的實(shí)現(xiàn)過(guò)程.在具體執(zhí)行過(guò)程中，我們采用文獻(xiàn)[6]中的方式實(shí)現(xiàn)了TPM與Host間的運(yùn)算任務(wù)分配.此外，π3的實(shí)現(xiàn)可以直接根據(jù)文獻(xiàn)[14,25]中的技術(shù)得出.

3.1 π1的具體實(shí)現(xiàn)過(guò)程

1)π1的產(chǎn)生過(guò)程如下：

Step1.Host選取κ′,k1,k2∈R*p，并且向TPM發(fā)送(ID,cntID,nB,S,S0,S1,S2,κ′,k1,k2).

Step5.Host輸出π1=(c,sκ′,sk0,sk1,sk2).

2)π1的驗(yàn)證過(guò)程如下：

Step1. 將π1分離為π1=(c,sκ′,sk0,sk1,sk2)的形式;

3.2 π2的具體實(shí)現(xiàn)過(guò)程

1)π2的產(chǎn)生過(guò)程如下：

Step2.TPM計(jì)算私鑰k0=H1(DAASeed‖cntID‖ID)，計(jì)算t=bk0.TPM選取rk0,rk0×(J+k2)∈R

Step3.Host選取rβ,rκ,rk1,rk2,rend,rJ,rend×(J+k1),rend×(J+k2),rl,rν∈Rp，計(jì)算：

然后，Host向TPM發(fā)送(R1,R2,R4,R5,…,R10,rβ,rκ,rk1,rk2,rend,rJ,rend×(J+k1),rend×(J+k2),rl,rν);

Step5.Host輸出π2=(c,sβ,sκ,sk0,sk1,sk2,send,sJ,send×(J+k1),sk0×(J+k2),send×(J+k2),sl,sν).

2)π2的驗(yàn)證過(guò)程如下：

Step1. 將π2分離為π2=(c,sβ,sκ,sk0,sk1,sk2,send,sJ,send×(J+k1),sk0×(J+k2),send×(J+k2),sl,sν)的形式;

Step2. 計(jì)算:

3.3 π2實(shí)現(xiàn)過(guò)程的效率優(yōu)化

為了進(jìn)一步提高π2實(shí)現(xiàn)過(guò)程的效率，可以采用文獻(xiàn)[6]的方式將π2的實(shí)現(xiàn)過(guò)程劃分為預(yù)計(jì)算階段和在線(xiàn)計(jì)算階段.優(yōu)化后的π2實(shí)現(xiàn)過(guò)程如下：

1) 在預(yù)計(jì)算階段

2) 在線(xiàn)計(jì)算階段

Step3.Host計(jì)算R6,R8，并且向TPM發(fā)送(R1,R2,R4,R5,…,R10,rβ,rκ,rk1,rk2,rend,rJ,rend×(J+k1),rend×(J+k2),rl,rν);

Step4.TPM計(jì)算并且向Host發(fā)送(c,sβ,sκ,sk0,sk1,sk2,send,sJ,send×(J+k1),sk0×(J+k2),send×(J+k2),sl,sν);

Step5.Host輸出π2=(c,sβ,sκ,sk0,sk1,sk2,send,sJ,send×(J+k1),sk0×(J+k2),send×(J+k2),sl,sν).

引理1. 在隨機(jī)預(yù)言模型下，可以在多項(xiàng)式時(shí)間內(nèi)從知識(shí)簽名π2中提取出秘密知識(shí)，使得以下等式成立，即

(1)

(2)

(3)

(4)

(5)

(6)

(7)

(8)

(9)

(10)

(11)

(12)

(13)

(14)

(15)

(16)

(17)

(18)

(19)

(20)

(21)

(22)

根據(jù)式(17)、式(22)得出:

(23)

(24)

證畢.

Step1.選取J∈R{1,2,…,M},l∈R*p，并且設(shè)置；

Step2.選取α,β∈R*p，并且設(shè)置；

證畢.

4 本文系統(tǒng)的安全性分析

4.1 新的可授權(quán)電子現(xiàn)金系統(tǒng)的安全模型

1) 正確性.首先，U通過(guò)與B執(zhí)行取款協(xié)議而獲得電子貨幣coin.在交易之前，B利用現(xiàn)金分割協(xié)議將coin轉(zhuǎn)化為(end,cmt,coin′)的形式，使得end與cmt滿(mǎn)足單向群同態(tài)關(guān)系cmt=φ(end).然后，U利用支付協(xié)議向M支付(cmt,coin′).在完成交易后，M獲得end，滿(mǎn)足cmt=φ(end).此時(shí)，M可以利用重構(gòu)算法將coin′轉(zhuǎn)換為coin.此后，當(dāng)M利用coin與B執(zhí)行存款協(xié)議時(shí)，該協(xié)議一定會(huì)取得成功.

① 初始化.B執(zhí)行系統(tǒng)建立和銀行系統(tǒng)建立算法.然后，B向A提供params,pkB.

② 詢(xún)問(wèn).在該階段，B為A模擬預(yù)言機(jī)Hash(·),Withdraw(·),Spend(·)和Corrupt(·)的執(zhí)行過(guò)程：

Ⅰ Hash詢(xún)問(wèn).當(dāng)接收到A提供的(i,M)，B在散列函數(shù)Hi(i=1,2)的值域上選取隨機(jī)元素，并將該元素返回給A.

ⅡWithdraw詢(xún)問(wèn).該詢(xún)問(wèn)分2種情況：

情況2. 當(dāng)接收到A提供的用戶(hù)身份U*，TPM私鑰k0和att，B代表B與A執(zhí)行取款協(xié)議，并且將TPM私鑰k0加入列表RL.

ⅢSpend詢(xún)問(wèn).該詢(xún)問(wèn)分2種情況：

情況1. 當(dāng)接收到A提供的用戶(hù)身份U，B代表U與A執(zhí)行現(xiàn)金分割和支付協(xié)議.

3) 匿名性.假設(shè)敵手A能攻破B*,M*和U*.對(duì)于A而言，它無(wú)法將U的取款、現(xiàn)金分割和支付操作關(guān)聯(lián)起來(lái)，也無(wú)法將U執(zhí)行的2次取款操作關(guān)聯(lián)起來(lái).在實(shí)驗(yàn)執(zhí)行過(guò)程中，A充當(dāng)B*,M*和U*的角色，且B充當(dāng)U的角色.詳細(xì)步驟如下：

① 初始化.B執(zhí)行系統(tǒng)建立和銀行系統(tǒng)建立算法.然后，B向A提供params,pkB,skB.

② 詢(xún)問(wèn)階段1.在該階段，B為A模擬預(yù)言機(jī)Hash(·),Withdraw(·),Spend(·)和Corrupt(·)的執(zhí)行過(guò)程：

Ⅰ Hash詢(xún)問(wèn).模擬過(guò)程與平衡性實(shí)驗(yàn)相同.

ⅡWithdraw詢(xún)問(wèn).當(dāng)接收到A提供的用戶(hù)身份U和att，B代表U與A執(zhí)行取款協(xié)議.

ⅢSpend詢(xún)問(wèn).當(dāng)接收到A提供的用戶(hù)身份U，B代表U與A執(zhí)行現(xiàn)金分割和支付協(xié)議.

ⅣCorrupt詢(xún)問(wèn).當(dāng)接收到A提供的用戶(hù)身份U，B返回該用戶(hù)的TPM私鑰k0，att和電子錢(qián)包，并將k0加入列表RL.

⑤ 結(jié)束.A輸出挑戰(zhàn)用戶(hù)下標(biāo)b′.最終，A獲勝的條件是b′=b.

① 初始化.B執(zhí)行系統(tǒng)建立算法.然后，B向A提供params，并且接受后者提供的pkB.

② 詢(xún)問(wèn).在該階段，B為A模擬預(yù)言機(jī)Hash(·),Withdraw(·),Spend(·)和Corrupt(·)的執(zhí)行過(guò)程：

Ⅰ Hash詢(xún)問(wèn).模擬過(guò)程與平衡性實(shí)驗(yàn)相同.

ⅢSpend詢(xún)問(wèn).該詢(xún)問(wèn)分2種情況：

情況1. 當(dāng)接收到A提供的用戶(hù)身份U，B代表U與A執(zhí)行現(xiàn)金分割和支付協(xié)議.

③ 結(jié)束.A輸出coin1與coin2.最終，A的獲勝條件是同時(shí)滿(mǎn)足：

Ⅰcoin1與coin2均能通過(guò)存款協(xié)議的驗(yàn)證過(guò)程;

Ⅱcoin1與coin2含有相同的貨幣序列號(hào);

Ⅲ 當(dāng)利用coin1與coin2執(zhí)行身份追蹤算法時(shí)，將揭示某個(gè)誠(chéng)實(shí)用戶(hù)的身份.

定理1. 在隨機(jī)預(yù)言模型下，只要XKEA假設(shè)、XDH假設(shè)和離散對(duì)數(shù)假設(shè)成立，則新的可授權(quán)電子現(xiàn)金系統(tǒng)滿(mǎn)足正確性、平衡性、匿名性和可開(kāi)脫性.

證明. 假設(shè)B在各安全性質(zhì)實(shí)驗(yàn)之前自行創(chuàng)建列表HU,CU,RL,Swallet，分別用于存放誠(chéng)實(shí)TPM的私鑰、被攻破的TPM的私鑰、被廢除的TPM的私鑰以及用戶(hù)提取的電子錢(qián)包.

1) 正確性.該性質(zhì)容易觀察得出.限于篇幅，省略了具體過(guò)程.

2) 平衡性.B以底層屬性空間上的簽名方案公鑰(Q,A,A0,A1,A2,Z)作為輸入.B利用系統(tǒng)建立算法中的方式產(chǎn)生params中的剩余參數(shù).B選取ξ∈R*p，設(shè)置Y=Q′ξ，并且定義集合}.B初始化列表RL.B設(shè)置pkB=(Q,A,A0,A1,A2,Z),skB=(*,*,*,*,*,ξ)，其中，*表示未知元素.最后，B向A提供params,pkB.在當(dāng)前實(shí)驗(yàn)中，B為A提供以下的預(yù)言服務(wù)：

① Hash詢(xún)問(wèn).當(dāng)接收到A提出的關(guān)于Hi(i=1,2)的散列詢(xún)問(wèn)，B分別返回在p(或G1)上選取的隨機(jī)元素.同時(shí)，B需要確保所提供的回答滿(mǎn)足一致性.

②Withdraw詢(xún)問(wèn).對(duì)該詢(xún)問(wèn)的回答分為2種情況：

③Spend詢(xún)問(wèn).對(duì)該詢(xún)問(wèn)的回答分為2種情況：

情況1. B以誠(chéng)實(shí)用戶(hù)Uj的身份與A執(zhí)行現(xiàn)金分割和支付協(xié)議.

Ⅰcoin*可以通過(guò)存款協(xié)議的有效性驗(yàn)證過(guò)程;

Ⅱ 對(duì)于每個(gè)kj,0∈CU，滿(mǎn)足kj,0∈RL;

Ⅲcoin*并非通過(guò)向B提出Spend詢(xún)問(wèn)而產(chǎn)生的.

① Hash詢(xún)問(wèn).模擬方式同平衡性實(shí)驗(yàn).

②Withdraw詢(xún)問(wèn).當(dāng)接收到A的詢(xún)問(wèn)內(nèi)容Uj,att，B與A執(zhí)行取款協(xié)議.在該過(guò)程中，B充當(dāng)Uj的角色，且A充當(dāng)B*的角色.最后，B設(shè)置HU←HU∪{kj,0},Swallet←Swallet∪{((kj,0,kj,1,kj,2),κj,Sj,0,Sj,1,Sj,2,Tj,Jj=0)}.

③Spend詢(xún)問(wèn).當(dāng)接收到A的詢(xún)問(wèn)內(nèi)容Uj，B分為3種情況進(jìn)行處理：

情況1. 滿(mǎn)足j?{j0,j1}.B利用所掌握的Uj的TPM私鑰和電子錢(qián)包誠(chéng)實(shí)地與A執(zhí)行現(xiàn)金分割和支付協(xié)議.

情況2. 滿(mǎn)足j=j0.B選取r∈R*p，設(shè)置r.B丟棄在取款協(xié)議中產(chǎn)生的TPM私鑰.B借助對(duì)隨機(jī)預(yù)言機(jī)輸出的控制能力模擬產(chǎn)生cmt,coin′，并且將它們提供給A.coin′中的知識(shí)簽名

情況3. 滿(mǎn)足j=j1.B選取r∈R*p，設(shè)置r.剩余的模擬過(guò)程與情況2相同.

④Corrupt詢(xún)問(wèn).當(dāng)A請(qǐng)求攻破Uj，若j?{j0,j1}，則B將對(duì)應(yīng)的TPM私鑰kj,0和電子錢(qián)包返回給A，并且設(shè)置CU←CU∪{kj,0},RL←RL∪{kj,0}.否則，B模擬失敗.

① Hash詢(xún)問(wèn).模擬方式同平衡性實(shí)驗(yàn).

情況1. 滿(mǎn)足j≠j*，B在取款協(xié)議中選取kj,0，并且以誠(chéng)實(shí)方式與A合作產(chǎn)生知識(shí)簽名π1.最后，B設(shè)置HU←HU∪{kj,0},Swallet←Swallet∪{((kj,0,kj,1,kj,2),κj,Sj,0,Sj,1,Sj,2,Tj,Jj=0)}.

Ⅲ B設(shè)置HU←HU∪{kj*,0},Swallet←Swallet∪{((kj*,0,kj*,1,kj*,2),κj*,Sj*,0,Sj*,1,Sj*,2,Tj*,Jj*=0)}，其中kj*,0為未知元素.

③Spend詢(xún)問(wèn).B分為2種情況進(jìn)行處理：

情況1. B以誠(chéng)實(shí)用戶(hù)Uj的身份與A執(zhí)行現(xiàn)金分割和支付協(xié)議.此時(shí)，若滿(mǎn)足j≠j*，則B利用所掌握的TPM私鑰和電子錢(qián)包以誠(chéng)實(shí)方式產(chǎn)生cmt,coin′，并將它們提供給A.若滿(mǎn)足j=j*，則B模擬產(chǎn)生cmt,coin′，并將它們提供給A.

④Corrupt詢(xún)問(wèn).當(dāng)A請(qǐng)求攻破Uj，若j≠j*，則B將對(duì)應(yīng)的TPM私鑰kj,0，att和電子錢(qián)包返回給A，并且設(shè)置CU←CU∪{kj,0},RL←RL∪{kj,0}.否則，B模擬失敗.

證畢.

定理2. 假設(shè)k表示底層Shamir門(mén)限方案的門(mén)限值，在滿(mǎn)足|B2|

證明.

1) 完備性.該性質(zhì)表明，當(dāng)U與M均保持誠(chéng)實(shí)時(shí)，U會(huì)在交換協(xié)議結(jié)束后獲得所期望的數(shù)字商品m.同時(shí)，M會(huì)獲得U的秘密元素end.觀察得出，在U與M保持誠(chéng)實(shí)的情況下，該性質(zhì)一定會(huì)得到滿(mǎn)足.若由于通信延遲而導(dǎo)致U的消息message3無(wú)法在Time-Timemax之前及時(shí)送達(dá)，M將執(zhí)行恢復(fù)子協(xié)議.根據(jù)條件|B2|

2) 公平性.該性質(zhì)表明，當(dāng)在U與M中至少有一方保持誠(chéng)實(shí)時(shí)，在交換協(xié)議結(jié)束后，或者是U得到m且M得到end，或者U與M均未獲得有關(guān)m與end的任何信息.公平性的證明過(guò)程分2種情況：

①U保持誠(chéng)實(shí)且M*是惡意的.需要指出的是，由于U是誠(chéng)實(shí)的，因此消息message1是采用正確方式產(chǎn)生的.此時(shí)，分為2種子情況：

ⅠM*提供的消息message2是錯(cuò)誤的.此時(shí)，U可以借助驗(yàn)證等式gm=descr(m)而發(fā)覺(jué)這一點(diǎn)，此時(shí)它不再向M*發(fā)送消息message3，而是一直等待直至Time時(shí)刻.若M*選擇不運(yùn)行恢復(fù)子協(xié)議，則任何參與方都無(wú)法獲得有關(guān)商品m的任何有用信息.顯然，此時(shí)整個(gè)交換過(guò)程是公平的.若M*選擇在Time-Timemax時(shí)刻之后執(zhí)行恢復(fù)子協(xié)議，由于只有Pi∈B2才會(huì)為M*提供關(guān)于Ci的解密服務(wù).根據(jù)條件|B2|

②U*是惡意的且M是誠(chéng)實(shí)的.此時(shí)，分為2種子情況：

ⅠU*提供的消息message1是錯(cuò)誤的(或已經(jīng)丟失).顯然，M能借助底層可驗(yàn)證群托管協(xié)議的SigVerifier算法發(fā)覺(jué)這一點(diǎn)，因此它決定不向U*提供message2.此時(shí)，整個(gè)交換過(guò)程將在Time時(shí)刻后終止.顯然，此時(shí)整個(gè)交換過(guò)程是公平的.

3) 時(shí)效性.該性質(zhì)表明，整個(gè)交換過(guò)程最終一定會(huì)終止.由于設(shè)置了超時(shí)時(shí)間Time，因此本文協(xié)議滿(mǎn)足該性質(zhì).

4) 保密性.該性質(zhì)表明，任何其他的參與方都無(wú)法獲得有關(guān)m與end的任何有用信息.若恢復(fù)子協(xié)議并未得到執(zhí)行，則表明信息交換僅發(fā)生在U與M之間.此時(shí)，被動(dòng)參與方Pi∈(B1∪B2∪B3∪B4)無(wú)法獲得有關(guān)m與end的任何有用信息.若恢復(fù)子協(xié)議得到執(zhí)行，則某些Pi∈(B1∪B2∪B3∪B4)會(huì)獲得Ci∈message1的解密結(jié)果.盡管k個(gè)合謀的Pi能恢復(fù)r，但由于它們不掌握d，因此無(wú)法恢復(fù)end.顯然，根據(jù)π3的零知識(shí)性和底層Camenisch-Shoup加密方案的安全性，它們也無(wú)法揭示m.

證畢.

5 改進(jìn)的有條件的公平支付系統(tǒng)

在本節(jié)，我們基于第2節(jié)的可授權(quán)電子現(xiàn)金系統(tǒng)提出改進(jìn)的有條件的公平支付系統(tǒng).與可授權(quán)電子現(xiàn)金系統(tǒng)相比，新的支付系統(tǒng)需要增加運(yùn)算任務(wù)產(chǎn)生算法，且該算法使用了Golle等人[11-12]的技術(shù).同時(shí)，需要對(duì)原有的現(xiàn)金分割、支付和公平交換協(xié)議做出修改.限于篇幅，我們僅著重描述本節(jié)公平支付系統(tǒng)與第2節(jié)電子現(xiàn)金系統(tǒng)的主要差別：

2) 現(xiàn)金分割協(xié)議.在該協(xié)議中，除了向workeri提供cmt,coin′，Host還需要提供運(yùn)算任務(wù)Fi=(f,Di,Mi)以及輔助程序Si.

6 本文系統(tǒng)的性能分析

在本節(jié)，我們以實(shí)現(xiàn)外包計(jì)算環(huán)境下的公平支付為應(yīng)用目標(biāo)，對(duì)本文系統(tǒng)與已有的相關(guān)系統(tǒng)[1,10-11,15-16]進(jìn)行了比較.首先，我們?cè)诒?中提供了它們?cè)?個(gè)重要性質(zhì)方面的比較結(jié)果.在運(yùn)算平臺(tái)方面，本文系統(tǒng)要求部署在可信計(jì)算平臺(tái)上，而其他系統(tǒng)都是針對(duì)PC機(jī)平臺(tái)設(shè)計(jì)的.在文獻(xiàn)[1,16]和本文系統(tǒng)中，用戶(hù)通過(guò)執(zhí)行取款協(xié)議而獲得可以多次支付的電子錢(qián)包，而其他系統(tǒng)則僅支持單次支付.文獻(xiàn)[1]系統(tǒng)的公平交換過(guò)程以及文獻(xiàn)[10,15]系統(tǒng)的支付過(guò)程均要求用戶(hù)與worker執(zhí)行低效的cut-and-choose證明.為了避免執(zhí)行該項(xiàng)證明，文獻(xiàn)[11,16]系統(tǒng)使用了可驗(yàn)證加密技術(shù)，而本文系統(tǒng)則采用了基于TPM的群托管技術(shù).文獻(xiàn)[11,15]和本文系統(tǒng)都使用了Golle-Mironov外包計(jì)算模型，其他系統(tǒng)則未采用該模型.為了保護(hù)用戶(hù)隱私，多數(shù)系統(tǒng)都滿(mǎn)足取款和支付過(guò)程的匿名性，但文獻(xiàn)[15]系統(tǒng)除外.文獻(xiàn)[10,15]系統(tǒng)均未提供用戶(hù)與worker間的公平交換機(jī)制，其余系統(tǒng)均借助TTP實(shí)現(xiàn)了公平交換過(guò)程.然而，僅有本文系統(tǒng)考慮了拒絕服務(wù)攻擊的風(fēng)險(xiǎn).最后，本文系統(tǒng)與文獻(xiàn)[11]系統(tǒng)的一個(gè)優(yōu)勢(shì)是，用戶(hù)無(wú)需在公平交換過(guò)程中保持狀態(tài)，從而有利于在移動(dòng)設(shè)備上進(jìn)行部署.

Table 1 Main Properties Comparison of the Related Systems

在表2中，我們提供了本文系統(tǒng)與已有系統(tǒng)的通信耗費(fèi)比較結(jié)果，且比較過(guò)程中假定以80 b安全性為目標(biāo).文獻(xiàn)[1,11,15-16]系統(tǒng)是在p階橢圓曲線(xiàn)群G和RSA群N上構(gòu)造的，而文獻(xiàn)[10]和本文系統(tǒng)是在雙線(xiàn)性群(G1,G2)和RSA群N上構(gòu)造的.對(duì)于文獻(xiàn)[1,11,15-16]系統(tǒng)，選取|p|=160 b，且N上的元素長(zhǎng)度為1024 b.對(duì)于文獻(xiàn)[10]和本文系統(tǒng)，假設(shè)(G1,G2)是采用MNT曲線(xiàn)實(shí)現(xiàn)的，群G1上的元素長(zhǎng)度為171 b[26].對(duì)于文獻(xiàn)[1,10-11,15-16]系統(tǒng)，散列函數(shù)的輸出長(zhǎng)度為160 b.對(duì)于本文系統(tǒng)，散列函數(shù)H1,H2,H3,H4的輸出長(zhǎng)度分別為160 b,171 b,160 b,512 b.文獻(xiàn)[1,10,15]系統(tǒng)使用了cut-and-choose證明技術(shù)，根據(jù)文獻(xiàn)[8]結(jié)論，該項(xiàng)證明要求至少迭代執(zhí)行40輪.需要指出的是，文獻(xiàn)[11,15]和本文系統(tǒng)的外包運(yùn)算過(guò)程都使用了Golle-Mironov模型，因此要求用戶(hù)在公平交換過(guò)程中向worker提供由檢查點(diǎn)構(gòu)成的集合.在表2中，我們采用了文獻(xiàn)[15]的估算方法，即假設(shè)該集合中檢查點(diǎn)的數(shù)量為10.為了獲得具體的通信耗費(fèi)估算結(jié)果，我們采用了文獻(xiàn)[12]中的外包運(yùn)算任務(wù)實(shí)例，即給定80 b對(duì)稱(chēng)加密方案下的密文CT和明文PT，要求尋找與PT相匹配的密鑰.此外，符號(hào)Sol表示worker提供的外包運(yùn)算結(jié)果，其通信耗費(fèi)設(shè)為|Sol|.正如引言中所述，文獻(xiàn)[16]系統(tǒng)要求用戶(hù)將同一個(gè)運(yùn)算任務(wù)外包給多個(gè)worker，因此用戶(hù)在支付和公平交換過(guò)程中的通信耗費(fèi)需要乘以一個(gè)為θ>1的因子.

Table 2 Communication Cost Comparison of the Related Systems

在表3中，我們提供了本文系統(tǒng)與已有系統(tǒng)的運(yùn)算耗費(fèi)比較結(jié)果.在比較中，我們僅統(tǒng)計(jì)代價(jià)較高的指數(shù)運(yùn)算和對(duì)運(yùn)算，而且不再區(qū)分單指數(shù)運(yùn)算和多指數(shù)運(yùn)算.我們采用如下方式將所有運(yùn)算都估算為RSA群上的指數(shù)運(yùn)算：在使用MNT曲線(xiàn)的情況下，1次群G1和群GT上的指數(shù)運(yùn)算分別相當(dāng)于0.1次和1次RSA群的指數(shù)運(yùn)算[26].1次對(duì)運(yùn)算相當(dāng)于10次RSA群的指數(shù)運(yùn)算[26].1次群G上的指數(shù)運(yùn)算相當(dāng)于 0.1次RSA群的指數(shù)運(yùn)算.文獻(xiàn)[1,10,15]系統(tǒng)的cut-and-choose證明過(guò)程和本文系統(tǒng)的公平交換過(guò)程都要求使用CCA安全的公鑰加密系統(tǒng).在比較過(guò)程中，我們統(tǒng)一采用了RSA-OAEP加密方案.該方案解密過(guò)程的運(yùn)算耗費(fèi)相當(dāng)于1次RSA群的指數(shù)運(yùn)算，而加密過(guò)程高效得多(其效率約為前者的18～19倍[27]).此外，本文系統(tǒng)的公平交換過(guò)程要求TPM利用AIK中的私鑰部分產(chǎn)生數(shù)字簽名，我們使用了RSA簽名方案.同時(shí)，TPM需要利用(k,n)-Shamir方案對(duì)背書(shū)元素end進(jìn)行秘密分享.采用文獻(xiàn)[7]的估算方法，我們選取n=2.如上所述，對(duì)于文獻(xiàn)[16]系統(tǒng)，用戶(hù)在支付和公平交換過(guò)程中的運(yùn)算耗費(fèi)需要乘以一個(gè)為θ的因子.最后，我們?cè)诒?中用上標(biāo)*和 **分別指示本文系統(tǒng)中TPM和Host的運(yùn)算耗費(fèi).同時(shí)，上標(biāo)+指示采用預(yù)計(jì)算技術(shù)后的運(yùn)算耗費(fèi).

Table 3 Computation Cost Comparison of the Related Systems (Number of Exponential Operations)

Note: *indicates the computation cost of TPM;**indicates the computation cost of Host; +indicates the computation cost by using the technique of pre-computation.

7 總 結(jié)

針對(duì)已有的可授權(quán)電子現(xiàn)金系統(tǒng)通信效率不高且要求使用低效cut-and-choose證明技術(shù)的問(wèn)題，本文基于DAA-A技術(shù)提出一個(gè)改進(jìn)的可授權(quán)電子現(xiàn)金系統(tǒng)，并利用所得系統(tǒng)解決了外包運(yùn)算環(huán)境下的公平支付問(wèn)題.與已有同類(lèi)系統(tǒng)相比，本文系統(tǒng)的優(yōu)勢(shì)是可以部署于可信計(jì)算平臺(tái)，而且同時(shí)滿(mǎn)足允許多次支付、無(wú)需使用cut-and-choose技術(shù)和用戶(hù)匿名性等實(shí)用性質(zhì).此外，本文系統(tǒng)的公平交換子協(xié)議可以有效抵抗拒絕服務(wù)攻擊，且無(wú)需要求用戶(hù)保持狀態(tài).效率分析表明，在支付和公平交換階段，本文系統(tǒng)用戶(hù)端的運(yùn)算和通信耗費(fèi)接近于高效的文獻(xiàn)[11]系統(tǒng).在采用預(yù)計(jì)算技術(shù)后，用戶(hù)端在支付階段的運(yùn)算性能顯著優(yōu)于其他系統(tǒng).

[1]Camenisch J, Lysyanskaya A, Meyerovich M. Endorsed e-cash[C] //Proc of IEEE S&P 2007. Piscataway, NJ: IEEE, 2007: 101-115

[2]Camenisch J, Hohenberger S, Lysyanskaya A. Compact e-cash[G] //LNCS 3494: Proc of EUROCRYPT 2005. Berlin: Springer, 2005: 302-321

[3]Yu Yulei, Dong Xiaolei, Cao Zhenfu. A trustee-based and efficient divisible e-cash scheme[J]. Journal of Computer Research and Development, 2015, 52(10): 2304-2312 (in Chinese)(虞郁磊, 董曉蕾, 曹珍富. 基于可信第三方的高效可分電子現(xiàn)金方案[J]. 計(jì)算機(jī)研究與發(fā)展, 2015, 52(10): 2304-2312)

[4]Yang Bo, Feng Dengguo, Qin Yu, et al. Research on direct anonymous attestation scheme based on trusted mobile platform[J]. Journal of Computer Research and Development, 2014, 51(7): 1436-1445 (in Chinese)(楊波, 馮登國(guó), 秦宇, 等. 基于可信移動(dòng)平臺(tái)的直接匿名證明方案研究[J]. 計(jì)算機(jī)研究與發(fā)展, 2014, 51(7): 1436-1445)

[5]Chen L, Urian R. DAA-A: Direct anonymous attestation with attributes[G] //LNCS 9229: Proc of TRUST 2015. Berlin: Springer, 2015: 228-245

[6]Desmoulins N, Lescuyer R, Sanders O. Direct anonymous attestations with dependent basename opening[G] //LNCS 8813: Proc of CANS 2014. Berlin: Springer, 2014: 206-221

[7]Tate S R, Vishwanathan R. Efficient verifiable escrow and fair exchange with trusted hardware[EB/OL]. (2013-05-29) [2015-11-01]. http://eprint.iacr.org/2013/427

[8]Asokan M, Shoup V, Waidner M. Optimistic fair exchange of digital signatures[J]. IEEE Journal on Selected Areas in Communications, 2000, 18(4): 593-610

[9]Ateniese G. Verifiable encryption of digital signatures and applications[J]. ACM Trans on Information and System Security, 2004, 7(1): 1-20

[10]Blanton M. Improved conditional e-payments[G] //LNCS 5037: Proc of ACNS 2008. Berlin: Springer, 2008: 188-206

[11]Chen Xiaofeng, Li Jin, Susilo W. Efficient fair conditional payments for outsourcing computations[J]. IEEE Trans on Information Forensics and Security, 2012, 7(6): 1687-1694

[12]Golle P, Mironov I. Uncheatable distributed computations[G] //LNCS 2020: Proc of CT-RSA 2001. Berlin: Springer, 2001: 425-440

[13]Baldimts F, Lysyanskaya A. On the security of one-witness blind signature schemes[G] //LNCS 8270: Proc of ASIACRYPT 2013. Berlin: Springer, 2013: 82-99

[14]Camenisch J, Shoup V. Practical verifiable encryption and decryption of discrete logarithms[G] //LNCS 2729: Proc of CRYPTO 2003. Berlin: Springer, 2003: 126-144

[15]Carbunar B, Tripunitara M V. Payments for outsourced computations[J]. IEEE Trans on Parallel and Distributed Systems, 2012, 23(2): 313-320

[16]Küpcü A. Incentivized outsourced computation resistant to malicious contractors[EB/OL]. (2014-12-12) [2016-03-01]. http://eprint.iacr.org/2014/992

[17]Ringers S, Verheul E, Hoepman J H. An effcient self-blindable attribute-based credentials[EB/OL]. [2016-01-03]. https://sietseringers.net/files/abc.pdf

[18]Hwang J Y, Chen L, Cho H S, et al. Short dynamic group signature scheme supporting controllable linkability[J]. IEEE Trans on Information Forensics and Security, 2015, 10(6): 1109-1124

[19]Camenisch J, Chaabouni R, Shelat A. Efficient protocols for set membership and range proofs[G] //LNCS 5350: Proc of ASIACRYPT 2008. Berlin: Springer, 2008: 234-252

[20]Boneh D, Boyen X. Short signatures without random oracles and the SDH assumption in bilinear groups[J]. Journal of Cryptology, 2008, 21(2): 149-177

[21]Arfaoui G, Lalande J F, Traoré J, et al. A practical set-membership proof for privacy-preserving NFC mobile ticketing [C]//Proc of PETS 2015. Berlin: De Gruyter Press, 2015: 25-45

[22]Boudot F. Efficient proofs that a committed number lies in an interval[G] //LNCS 1807: Proc of EUROCRYPT 2000. Berlin: Springer, 2000: 431-444

[23]Avoine G, Vaudena S. Optimistic fair exchange based on publicly verifiable secret sharing[G] //LNCS 3108: Proc of ACISP 2004. Berlin: Springer, 2004: 74-85

[24]Stadler M. Publicly verifiable secret sharing[G] //LNCS 1070: Proc of EUROCRYPT 1996. Berlin: Springer, 1996: 190-199

[25]Liu J K, Tsang P P, Wong D S, et al. Universal custodian-hiding verifiable encryption for discrete logarithms[G] //LNCS 3935: Proc of ICISC 2005. Berlin: Springer, 2006: 389-409

[26]Boyen X. A tapestry of identity-based encryption: Practical frameworks compared[J]. International Journal of Applied Cryptography, 2008, 1(1): 3-21

[27]Lauter K. The advantages of elliptic curve cryptography for wireless security[J]. IEEE Wireless Communications, 2004, 11(1): 62-67

Liu Xin, born in 1978. PhD and associate professor. Member of China Computer Federation. His main research interests include cryptography and information security.

Zhang Bo, born in 1981. PhD and Lecturer. His main research interests include cryptography and information security (zbsdu@126.com).

附錄A. 知識(shí)簽名π3的具體實(shí)現(xiàn)過(guò)程

1)π3的產(chǎn)生過(guò)程如下：

R4=grm,

Step3.M在上計(jì)算sr′=rr′+cr,sm=rm+cm,ss=rs+cs.

Step4.M輸出π3=(c,sr′,sm,ss).

2)π3的驗(yàn)證過(guò)程如下：

Step1. 將π3分離為π3=(c,sr′,sm,ss)的形式.

Step2. 計(jì)算

Improved Endorsed E-Cash System with DAA-A

Liu Xin1,2and Zhang Bo3

1(SchoolofInformationEngineering,ShandongYouthUniversityofPoliticalScience,Jinan250103)2(KeyLaboratoryofInformationSecurityandIntelligentControlinUniversitiesofShandong(ShandongYouthUniversityofPoliticalScience),Jinan250103)3(SchoolofInformationScienceandEngineering,UniversityofJinan,Jinan250022)

At present, the existing endorsed e-cash system has a low communication efficiency, and its fair exchange protocol employs inefficient cut-and-choose proofs. In addition, the centralized TTP (trusted third party) is vulnerable to denial-of-service attacks. So far, several related fair payment systems have been proposed. Unfortunately, some of them use cut-and-choose proofs, and the others adopt verifiable encryption schemes with security flaw. Inspired by the idea of self-blindable attribute-based credentials, a concrete DAA-A (direct anonymous attestation with attributes) scheme is constructed. Based on the new DAA-A scheme, an improved endorsed e-cash system is proposed, which achieves a high level of exculpability. In order to improve users’ computational efficiency in the spending process, the set-membership proof by Arfaoui et al’s is adopted, and the efficiency of user’s signature of knowledge is also optimized with the technique of pre-computation. In order to bypass the expensive cut-and-choose proof, a new optimistic fair exchange sub-protocol supporting distributed TTPs is provided. Furthermore, if combined with the Golle-Mironov model, the new system also suits for the environment of outsourcing computing. Compared with the previous similar ones, the new system meets several desirable properties simultaneously, i.e., it supports multiple payments, and does not depend on cut-and-choose proofs and allows users to be stateless, etc. What’s more, the fair exchange protocol of the new system considers the risk of denial-of-service attacks.

endorsed e-cash; direct anonymous attestation; fair exchange; cut-and-choose proofs; outsourced computation

2016-06-14；

2016-08-10

山東省自然科學(xué)基金項(xiàng)目(ZR2015FL023,ZR2014FL011)；山東省高等學(xué)?？萍加?jì)劃項(xiàng)目(J14LN61)；山東青年政治學(xué)院博士科研啟動(dòng)經(jīng)費(fèi)資助項(xiàng)目(14A007)

TP309

This work was supported by the Natural Science Foundation of Shandong Province of China (ZR2015FL023,ZR2014FL011), the Project of Shandong Province Higher Educational Science and Technology Program (J14LN61), and the Doctoral Research Start-up Funding Project of Shandong Youth University of Political Science (14A007).