康昌春

摘要：當(dāng)前，電子支付的安全性已經(jīng)成為制約電子商務(wù)發(fā)展的瓶頸。電子現(xiàn)金是現(xiàn)代密碼學(xué)中旨在確保電子支付安全性的重要技術(shù)。本文基于群簽名技術(shù)構(gòu)造了“一次取款且多次分割支付”的電子現(xiàn)金系統(tǒng)。安全性分析表明，新系統(tǒng)滿足電子現(xiàn)金系統(tǒng)要求的三個(gè)重要性質(zhì)，即平衡性、匿名性和可開脫性。

關(guān)鍵詞：電子支付；電子現(xiàn)金；群簽名；匿名性

中圖分類號：TP309 文獻(xiàn)標(biāo)識碼：A 文章編號：1007-9416（2017）06-0221-03

1 引言

當(dāng)前，電子商務(wù)已經(jīng)逐漸發(fā)展成為一種較為成熟的業(yè)務(wù)模式。在該模式下，買賣雙方的行為都在互聯(lián)網(wǎng)上進(jìn)行，從而顯著節(jié)約了企業(yè)的運(yùn)營成本。在整個(gè)電子交易過程中，最重要的環(huán)節(jié)是電子支付。隨著技術(shù)的進(jìn)步，電子支付系統(tǒng)已經(jīng)成為確保社會(huì)經(jīng)濟(jì)良好運(yùn)行的催化劑[1]。電子現(xiàn)金（e-cash）系統(tǒng)[2]是一種安全、有用的電子支付方式。此類方案在完全在線商務(wù)的實(shí)現(xiàn)中起到了重要的作用。實(shí)用的電子現(xiàn)金方案應(yīng)當(dāng)是安全的、離線的、匿名的。電子現(xiàn)金系統(tǒng)涉及4類參與方（即銀行，用戶、商家和仲裁機(jī)構(gòu)）以及4個(gè)主要過程（即建立賬戶，取款，支付以及存儲(chǔ)）。首先與執(zhí)行賬戶建立協(xié)議。進(jìn)行流通的現(xiàn)金以貨幣方式計(jì)數(shù)。通過與執(zhí)行取款協(xié)議而獲得電子貨幣，并通過與執(zhí)行支付協(xié)議而實(shí)現(xiàn)對的支付。為了存儲(chǔ)，需要與執(zhí)行存款協(xié)議。電子現(xiàn)金系統(tǒng)的安全性是指僅有銀行能產(chǎn)生且對于離線的系統(tǒng)，應(yīng)當(dāng)能對有重復(fù)支付行為的用戶進(jìn)行身份識別。重復(fù)支付（double-spending）是電子世界中出現(xiàn)的一種問題，因?yàn)槭且子趶?fù)制的。此外，誠實(shí)的支付者無法被誣陷有重復(fù)支付行為。該性質(zhì)稱為可開脫性（exculpability）。當(dāng)商家對來自收款人的貨幣進(jìn)行存儲(chǔ)時(shí)，銀行應(yīng)當(dāng)無法對實(shí)際的支付者進(jìn)行追蹤。該性質(zhì)稱為匿名性（anonymity）。

近年來，針對電子現(xiàn)金系統(tǒng)構(gòu)造的研究一直較為活躍。文獻(xiàn)[3]利用盲簽名技術(shù)設(shè)計(jì)了一個(gè)在線電子現(xiàn)金系統(tǒng)，該系統(tǒng)實(shí)現(xiàn)了匿名性、可控性、電子現(xiàn)金追蹤和電子現(xiàn)金所有者追蹤性。文獻(xiàn)[4]提出一個(gè)基于代理部分盲簽名的電子現(xiàn)金方案，該方案不但可以防止惡意用戶偽造跟蹤信息，而且可以防止惡意用戶的重復(fù)支付行為。文獻(xiàn)[5]提出一個(gè)滿足最優(yōu)匿名性的可傳遞電子現(xiàn)金系統(tǒng)，并且在標(biāo)準(zhǔn)模型下證明該系統(tǒng)滿足不可偽造性、最優(yōu)匿名性和不可重復(fù)花費(fèi)性等性質(zhì)。文獻(xiàn)[6]利用直接匿名證明技術(shù)構(gòu)造了一個(gè)可授權(quán)電子現(xiàn)金系統(tǒng)。該系統(tǒng)可用于為外包計(jì)算服務(wù)付費(fèi)，而且能抵抗拒絕服務(wù)攻擊。本文的研究目標(biāo)是以群簽名為工具，構(gòu)造一個(gè)高效的可分割電子現(xiàn)金系統(tǒng)。此處的可分割是指用戶可以通過執(zhí)行取款協(xié)議從銀行那里獲得一個(gè)可分割使用多次的電子錢包（e-wallet）。每當(dāng)在線購買商品時(shí)，用戶可以分割支出其中的一部分金額，直至電子錢包的余額為零。

2 預(yù)備知識

2.1 雙線性群以及困難假設(shè)

本文系統(tǒng)的具體構(gòu)造將使用橢圓曲線上的非對稱的對環(huán)境，其中表示素?cái)?shù)階循環(huán)群，其中與分別為群與的生成元。此外，要求存在稱為雙線性對的可計(jì)算同構(gòu)，滿足：1）對于所有的，滿足。2）。

我們稱XDDH（the eXternal Decisional Diffie-Hellman）假設(shè)在對群上成立，條件是DDH問題在群上是困難的，即若給定元組，其中，則難以斷定究竟?jié)M足，還是為隨機(jī)元素。

SDL（Symmetric Discrete Logarithm）假設(shè)表明，給定元組，要計(jì)算是困難的。

2.2 群簽名

群簽名（Group signatures，簡稱GS）方案[7]是一類特殊的數(shù)字簽名方案。此類方案允許群成員匿名地代表整個(gè)群體對消息進(jìn)行簽名。例如，公司職員可以利用這種方式對文檔簽名，使得簽名驗(yàn)證者僅能獲知該文檔的確得到了某個(gè)公司職員的簽名，但不知道是哪個(gè)人簽署的。群管理員（Group Manager，簡稱GM）負(fù)責(zé)對群成員的成員身份進(jìn)行管理，他有權(quán)向群體中添加新的用戶（稱為群成員）。此外，GS方案中還設(shè)置了一個(gè)打開權(quán)威，其職責(zé)是在發(fā)生爭執(zhí)時(shí)揭示簽名者的身份。此類操作稱為撤銷匿名性。在某些方案中，由群管理員統(tǒng)一負(fù)責(zé)添加成員與撤銷匿名性的任務(wù)。

GS方案是由以下算法或協(xié)議定義的，即 。其中，為系統(tǒng)建立算法，用于產(chǎn)生群公鑰和的私鑰。為用戶執(zhí)行的算法，用于向PKI（Public Key Infrastructure）[8]進(jìn)行注冊，并且得到某個(gè)標(biāo)準(zhǔn)數(shù)字簽名方案下的密鑰對，其中表示用戶的身份表示。是一個(gè)由與執(zhí)行的兩方交互協(xié)議。作為交互的結(jié)果，獲得群簽名私鑰，且獲得的注冊信息。為代表群體進(jìn)行簽名的算法。我們用表示使用私鑰產(chǎn)生對消息的簽名的過程。為簽名驗(yàn)證算法，該算法用于判定給定的群簽名是否有效。為撤銷匿名性的算法，該算法以作為輸入，并返回用戶下標(biāo)以及證明，即證明用戶產(chǎn)生了簽名。為仲裁機(jī)構(gòu)執(zhí)行的審判算法。該算法作為輸入，并輸出1或0，即表示是否判定用戶產(chǎn)生了簽名。

3 新的高效可分割電子現(xiàn)金系統(tǒng)

為了簡化系統(tǒng)設(shè)計(jì)，假設(shè)每個(gè)用戶都能通過執(zhí)行取款協(xié)議向銀行提取一個(gè)可分割使用次的電子錢包，且該的面額為美元。同時(shí)，每次可以利用支付協(xié)議向商戶支付中的一個(gè)，且該的價(jià)值為1美元。在執(zhí)行完次支付之后，可以重新與執(zhí)行取款協(xié)議。此外，維護(hù)數(shù)據(jù)庫與，其中用于對有重復(fù)支付行為的用戶進(jìn)行身份追蹤，且用于判斷用戶支付的是否已經(jīng)使用過。

3.1 銀行系統(tǒng)建立算法

在系統(tǒng)建立階段，執(zhí)行以下步驟：

（1）定義雙線性群環(huán)境，其中為素?cái)?shù)階循環(huán)群，為雙線性映射，滿足。

（2）定義抗碰撞散列函數(shù)。

（3）選取，選取，計(jì)算 ，并且設(shè)置。

（4）對于，計(jì)算，定義。

（5）定義用戶群體公鑰。

3.2 用戶系統(tǒng)建立算法

向PKI申請某標(biāo)準(zhǔn)數(shù)字簽名方案下的公私鑰對。endprint

3.3 取款協(xié)議

假設(shè)希望從自己的銀行賬戶中提取價(jià)值為美元的電子錢包，他可以與以下協(xié)議：

（1）選取隨機(jī)數(shù)，計(jì)算，并且向發(fā)送。

（2）選取，計(jì)算 。產(chǎn)生知識簽名，并且向發(fā)送。

（3）驗(yàn)證是否有效以及的賬戶余額是否充足，若是，則選取，計(jì)算。產(chǎn)生知識簽名 ，向發(fā)送。在的賬戶中減去金額，并且在數(shù)據(jù)庫中寫入取款記錄。

（4）計(jì)算，并且驗(yàn)證是否滿足 。若驗(yàn)證成功，則保存，其中。

3.4 支付協(xié)議

假設(shè)希望向在線購買價(jià)值為1美元的商品，他可以與以下協(xié)議：

（1）假設(shè)為付款信息。選取，計(jì)算 。選取，計(jì)算序列號。需要注意的是，需要確保此前并未使用過。產(chǎn)生知識簽名。

然后，向發(fā)送。同時(shí)，將中的取值減1。

（2）驗(yàn)證的有效性，同時(shí)驗(yàn)證是否滿足。

（3）若驗(yàn)證通過，向發(fā)貨，并且向請求存入。

（4）驗(yàn)證的有效性，同時(shí)驗(yàn)證是否滿足。此外，檢查是否滿足。若是，在的賬戶中存入1美元，并且將寫入數(shù)據(jù)庫。相反，判定向支付的用戶有重復(fù)支付行為，并且執(zhí)行重復(fù)者身份追蹤算法。

3.5 重復(fù)支付者身份追蹤算法

給定電子貨幣，執(zhí)行以下步驟：

（1）在數(shù)據(jù)庫中檢查是否存在表目，使得等式成立。若否，則追蹤失敗。

（2）若是，則產(chǎn)生知識簽名 。

（3）將重復(fù)支付者的真實(shí)身份，證據(jù)以及提交給仲裁機(jī)構(gòu)。

3.6 第三方仲裁算法

給定證據(jù)，執(zhí)行以下步驟：

（1）驗(yàn)證是否滿足。

（2）驗(yàn)證是否滿足。

（3）驗(yàn)證是否有效。

（4）若上述驗(yàn)證都通過，則判定執(zhí)行的“撤銷匿名性”操作有效，同時(shí)認(rèn)定用戶有罪。

4 安全性分析

下面證明，本文系統(tǒng)滿足電子現(xiàn)金系統(tǒng)的三個(gè)重要性質(zhì)，即平衡（Balance）、匿名性（Anonymity）和可開脫性（Exculpability）[9]。

平衡性：該性質(zhì)表明，相對于當(dāng)初從銀行中提取的貨幣，任何由與構(gòu)成的聯(lián)合都無法向銀行存入更多的貨幣。為了證明該性質(zhì)，可以令歸約算法和攻擊者共同執(zhí)行文獻(xiàn)[9]定義的平衡性實(shí)驗(yàn)。在該實(shí)驗(yàn)的執(zhí)行過程中，執(zhí)行誠實(shí)和誠實(shí)的操作，且執(zhí)行惡意的操作。采用Bichsel等人[7]的技術(shù)，容易證明若能在實(shí)驗(yàn)中獲勝，則能利用破解底層Camenisch-Lysyanskaya簽名[10]的不可偽造性。

匿名性：該性質(zhì)表明任何由惡意、和構(gòu)成的聯(lián)合均無法將某個(gè)電子貨幣與其所有者（即誠實(shí)）關(guān)聯(lián)起來，也無法將它與其所有者擁有的其他電子貨幣關(guān)聯(lián)起來。為了證明該性質(zhì)，可以令和共同執(zhí)行文獻(xiàn)[9]定義的匿名性實(shí)驗(yàn)。在該實(shí)驗(yàn)的執(zhí)行過程中，執(zhí)行誠實(shí)的操作，且執(zhí)行惡意、和的操作。采用Bichsel等人[7]的技術(shù)，容易證明若能在實(shí)驗(yàn)中獲勝，則能利用破解底層XDDH假設(shè)。

可開脫性：該性質(zhì)表明任何由惡意、和構(gòu)成的聯(lián)合均無法對誠實(shí)進(jìn)行陷害，即誣陷該用戶重復(fù)支付了某個(gè)電子貨幣。為了證明該性質(zhì)，可以令和共同執(zhí)行文獻(xiàn)[9]定義的可開脫性實(shí)驗(yàn)。在該實(shí)驗(yàn)的執(zhí)行過程中，執(zhí)行誠實(shí)的操作，且執(zhí)行惡意、和的操作。采用Bichsel等人[7]的技術(shù)，容易證明若能在實(shí)驗(yàn)中獲勝，則能利用破解底層SDL假設(shè)。

5 結(jié)語

本文基于群簽名技術(shù)提出一個(gè)允許多次分割使用的電子現(xiàn)金系統(tǒng)，從而有效地解決了電子商務(wù)中電子支付系統(tǒng)的安全問題。本文系統(tǒng)的特點(diǎn)是“一次取款且多次分割支付”，同時(shí)在充分保護(hù)用戶隱私的前提下，支持銀行對惡意用戶重復(fù)支付行為的有效追蹤。今后的研究重點(diǎn)包括進(jìn)一步優(yōu)化用戶的執(zhí)行效率、探索移動(dòng)互聯(lián)網(wǎng)條件下的電子現(xiàn)金系統(tǒng)構(gòu)造以及開發(fā)原型系統(tǒng)等。

參考文獻(xiàn)

[1]曲玉婷.電子商務(wù)中電子現(xiàn)金支付系統(tǒng)的安全問題研究[J].商場現(xiàn)代化，2015，（3）：77-79.

[2]Au M H， Wu Q， Susilo W， et al. Compact e-cash from bounded accumulator [C]//Proc of CT-RSA 2007. Berlin： Springer-Verlag， 2007： 178-195.

[3]白永祥.一種盲簽名電子現(xiàn)金系統(tǒng)方案的設(shè)計(jì)與實(shí)現(xiàn)[J]. 信息安全與通信保密， 2015， （2）：105-109.

[4]周明，王箭.基于代理部分盲簽名的離線電子現(xiàn)金方案[J].計(jì)算機(jī)與現(xiàn)代化，2015，（4）： 114-118.

[5]張江霄，李舟軍，高延武，等.基于花費(fèi)鏈最優(yōu)匿名的等長可傳遞電子現(xiàn)金系統(tǒng)[J].電子學(xué)報(bào)，2015，43（9）：1805-1809.

[6]柳欣，張波.基于 DAA-A 的改進(jìn)可授權(quán)電子現(xiàn)金系統(tǒng)[J].計(jì)算機(jī)研究與發(fā)展，2016，53（10）：2412-2429.

[7]Bichsel P， Camenisch J， Neven G， et al. Get shorty via group signatures without encryption [C] // Proc of SCN 2010. Springer Berlin Heidelberg， 2010： 381-398.

[8]Aymen A， Canard S. One time anonymous certificate： x.509 supporting anonymity [C] // Proc of CANS 2010. Springer Berlin Heidelberg， 2010： 334-353.

[9]Mrtens P. Practical compact e-cash with arbitrary wallet size [EB/OL]. Cryptology ePrint Archive， Report 2015/086.

[10]Camenisch J， Lysyanskaya A. Signature schemes and anonymous credentials from bilinear maps[C]//Proc of CRYPTO 2004. Berlin： Springer-Verlag， 2004： 56-72.endprint