邵棟陽(yáng)，亢保元，王佳強(qiáng)

(天津工業(yè)大學(xué) 計(jì)算機(jī)科學(xué)與軟件學(xué)院，天津 300387)(*通信作者電子郵箱dongyang_shao@163.com)

0　引言

得益于互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展，電子貨幣方案作為一種重要的支付手段，逐步得到了人們的重視。Chaum借助盲簽名的思想構(gòu)造了第一個(gè)電子貨幣方案[1]并對(duì)電子貨幣方案進(jìn)行了深入研究[2-3]。大部分電子貨幣使用盲簽名構(gòu)造，傳統(tǒng)公鑰簽名使用證書(shū)，為了減少證書(shū)和證書(shū)管理的成本，Shamir[4]提出了基于身份的密碼體制，Al-Riyami等[5]提出了無(wú)證書(shū)公鑰密碼，Abe等[6]提出了部分盲簽名概念。目前電子貨幣方案的主要研究集中在如何保證安全性和提高效率上。一個(gè)安全的電子貨幣方案應(yīng)該滿(mǎn)足公平性、不可偽造性、不可追蹤性、匿名性和不可重復(fù)花費(fèi)等特性[7]。

一個(gè)傳統(tǒng)的電子支付協(xié)議需要三個(gè)參與者：顧客、銀行和商家。當(dāng)顧客想從商家那里買(mǎi)東西時(shí)，首先計(jì)算商品所需價(jià)格并向銀行申請(qǐng)取款；然后由銀行核實(shí)顧客身份后制作簽名貨幣并發(fā)給顧客；最后，顧客用得到的電子貨幣與商家進(jìn)行交易。顧客和商家交易過(guò)程中需要銀行參與的方案稱(chēng)為在線(xiàn)電子貨幣方案，而交易過(guò)程中不需要銀行參與的方案稱(chēng)為離線(xiàn)電子貨幣方案。在線(xiàn)電子貨幣能夠更好地避免電子貨幣的二次花費(fèi)，但是交易階段銀行的介入會(huì)大大降低方案的效率。所以，目前主流方案基本都是離線(xiàn)電子貨幣方案[8-10]，但離線(xiàn)電子貨幣方案需要一種有效的二次花費(fèi)檢測(cè)和追蹤方法。

隨著互聯(lián)網(wǎng)的發(fā)展，人們熱衷于網(wǎng)上購(gòu)買(mǎi)音像等數(shù)字商品。在針對(duì)數(shù)字商品的電子貨幣方案中，為了保證公平性，一般還需要一個(gè)仲裁者。當(dāng)出現(xiàn)顧客或商家違反方案條款的行為，產(chǎn)生交易糾紛時(shí)，仲裁者可以出面支持公道，并解決糾紛。例如，當(dāng)出現(xiàn)顧客把電子貨幣發(fā)給商家，而商家沒(méi)有給顧客數(shù)字商品這種情況時(shí)，顧客可以請(qǐng)求仲裁者仲裁，以討回購(gòu)買(mǎi)的數(shù)字商品。因此，公平性是面向數(shù)字商品的電子貨幣方案的一個(gè)必不可少的安全特性。

2013年，Yang等[11]提出了一個(gè)認(rèn)證加密方法，并使用這個(gè)認(rèn)證加密的方法提出了一個(gè)電子貨幣方案，他們聲稱(chēng)此方案能夠抵抗重放攻擊、中間人攻擊、假冒攻擊、身份盜竊攻擊。然而，2015年Chaudhry等[12]指出Yang等的電子貨幣方案容易受到假冒攻擊，并提出了一個(gè)改進(jìn)方案。在研究了Chaudhry等的方案之后發(fā)現(xiàn)，該方案無(wú)法保證消費(fèi)者的匿名性，同時(shí)也無(wú)法解決交易糾紛和實(shí)現(xiàn)二次花費(fèi)追蹤。2015年,Liu等[13]提出了一個(gè)基于銀行代理的離線(xiàn)電子貨幣方案，筆者在研究后發(fā)現(xiàn)該方案中的用戶(hù)可以偽造電子貨幣。本文在指出基于橢圓曲線(xiàn)認(rèn)證加密方案和銀行委托離線(xiàn)電子貨幣方案中缺點(diǎn)的同時(shí)，對(duì)這兩個(gè)電子貨幣方案提出了相應(yīng)的改進(jìn)方案。

1　預(yù)備知識(shí)

1.1　橢圓曲線(xiàn)

設(shè)Fp是p階有限域，其中素?cái)?shù)p≥2160，a,b∈Fp，并滿(mǎn)足Δ=4a3+27b2≠0。橢圓曲線(xiàn)是指滿(mǎn)足方程y2=x3+ax+b的點(diǎn)和一個(gè)無(wú)窮遠(yuǎn)點(diǎn)的集合。本文中使用橢圓曲線(xiàn)上的點(diǎn)(kx,ky)的橫坐標(biāo)kx作為密鑰進(jìn)行加密。

1.2　雙線(xiàn)性對(duì)

設(shè)q為一個(gè)大素?cái)?shù)，G1為q階的加法循環(huán)群，G2位q階的乘法循環(huán)群，p為G1的生成元，e:G1×G1→G2是一個(gè)雙線(xiàn)性映射，它具有以下性質(zhì)：

1)雙線(xiàn)性性：對(duì)于任意P,Q,R∈G1和a,b∈Zq都有：

e(P+Q,R)=e(P,R)e(Q,R)

e(aP,bQ)=e(P,abQ)=e(abP,Q)=e(P,Q)ab

2)非退化性：存在P,Q∈G1使得e(P,Q)≠1。

3)可計(jì)算性：對(duì)于所有P,Q∈G1，存在計(jì)算e(P,Q)的有效算法。

1.3　困難性假設(shè)

1)離散對(duì)數(shù)問(wèn)題：P,Q∈G1，Q=nP，已知P，Q求n在計(jì)算上是不可行的。

2　Chaudhry方案的不足與改進(jìn)

2.1　Chaudhry方案

2.1.1初始化階段

在這個(gè)階段系統(tǒng)設(shè)置橢圓曲線(xiàn)Ep(a,b)，加密解密算法Ek(·)/Dk(·)，橢圓曲線(xiàn)的基點(diǎn)P，單向的哈希函數(shù)H，公開(kāi)Ep(a,b),Ek(·),Dk(·),P,H，每個(gè)參與者i(i∈{b,m,u})都有自己的個(gè)人身份IDi和私鑰di，并計(jì)算和公布公鑰Yi=di×P。

2.1.2選購(gòu)階段

2.1.3取款階段

當(dāng)銀行B收到(C1,R,T1)，首先計(jì)算K=dbR(Yu+T1P)=(kx,ky)，得到kx并解密Dkx(C1)=(IDu‖m‖p‖kx‖T1)。隨后B檢驗(yàn)時(shí)戳T1和kx是否和解密C1所得一致，如果一致則B驗(yàn)證有效，否則扔棄信息。隨后B選一個(gè)有效期E并計(jì)算M=m‖E，并用私鑰對(duì)M作簽名DS，加密得C2=Ekx(DS‖E‖kx‖T2)。最后B把C2發(fā)送給U，并把{DS，M}存入數(shù)據(jù)庫(kù)。

2.1.4交易階段

2.1.5存錢(qián)階段

在有效期E之前，M需要把支付憑證發(fā)給銀行B，U如果沒(méi)有收到商品則有權(quán)向B申訴，B就會(huì)把錢(qián)從臨時(shí)賬戶(hù)返還U賬戶(hù)。過(guò)了有效日期E之后，B會(huì)把錢(qián)轉(zhuǎn)給M賬戶(hù)。然后，B把{DS,M}從其數(shù)據(jù)庫(kù)中刪除。

2.1.6糾紛解決階段

2.2　Chaudhry方案的不足

Chaudhry的方案宣稱(chēng)可以抵御重放攻擊、仿冒攻擊和中間人攻擊，但筆者研究發(fā)現(xiàn)其方案主要有以下三個(gè)缺點(diǎn)：

1)系統(tǒng)不能保證匿名。

2)TTP無(wú)法解決糾紛。

在糾紛解決階段,TTP需要得到商家M的私鑰，但暴露自己的私鑰是一件不安全的行為；并且顧客和商家進(jìn)行申訴時(shí)，只能驗(yàn)證顧客和商家身份，并不能進(jìn)行仲裁。

3)無(wú)法追蹤二次花費(fèi)。

在存錢(qián)階段，在有效期E之前，商家M需要把支付憑證發(fā)給銀行B，過(guò)了有效日期E之后，B會(huì)把錢(qián)轉(zhuǎn)給M賬戶(hù)，然后把{DS,M}從數(shù)據(jù)庫(kù)刪除。如果在有效期之前顧客使用電子貨幣進(jìn)行二次花費(fèi)，則銀行無(wú)法轉(zhuǎn)賬給商家也無(wú)法追蹤二次花費(fèi)。

2.3　Chaudhry方案的改進(jìn)方案

針對(duì)Chaudhry方案的問(wèn)題，提出以下改進(jìn)方案，該方案主要由四個(gè)實(shí)體參與：銀行B、顧客U、商家M和仲裁J，并由以下六個(gè)階段組成：初始化階段、取錢(qián)階段、支付階段、存錢(qián)階段、二次花費(fèi)追蹤和糾紛仲裁。

2.3.1初始化階段

在這個(gè)階段系統(tǒng)設(shè)置橢圓曲線(xiàn)Ep(a,b)，加密解密算法Ek(·)/Dk(·)，橢圓曲線(xiàn)的基點(diǎn)P，單向的哈希函數(shù)H，公開(kāi)Ep(a,b),Ek(·),Dk(·),P,H，每個(gè)參與者i都有自己的個(gè)人身份IDi和私鑰di，并計(jì)算和公布公鑰Yi=di×P。

2.3.2取錢(qián)階段

當(dāng)銀行B收到(C1,R,T1)，首先B計(jì)算K=dbR(Yu+T1P)=(kx,ky)，隨后解密Dkx(C1)=(IDu‖m‖p‖kx‖r1‖r2‖T1)。然后B檢驗(yàn)時(shí)戳T1和kx是否和解密C1所得一致。如果一致則B驗(yàn)證有效，否則扔棄信息。然后B從U賬戶(hù)取p轉(zhuǎn)移至一個(gè)臨時(shí)賬戶(hù)，隨機(jī)選擇α∈Zq，計(jì)算：V1=α·r1，V2=r2·Yb，V3=r1·Yb，V=α·IDu，選一個(gè)有效期E計(jì)算M=m‖V1‖V2‖V3‖E。然后B用私鑰對(duì)M作簽名DS，并計(jì)算C2=Ekx(DS‖E‖kx‖V1‖V2‖V3‖T2),最后B發(fā)送給U，并在數(shù)據(jù)庫(kù)中存儲(chǔ){DS,M,V}。

2.3.3支付階段

2.3.4存錢(qián)階段

在有效期E之前，商家M需要把支付憑證{DS,β,δ,c}發(fā)給銀行B，首先銀行B檢驗(yàn)DS是否使用過(guò)：如果沒(méi)使用過(guò)則把p轉(zhuǎn)到臨時(shí)賬戶(hù)，并記錄為使用過(guò)；如果使用過(guò)則進(jìn)行二次花費(fèi)追蹤。U如果沒(méi)有收到商品則有權(quán)向J申請(qǐng)仲裁。過(guò)了有效日期E之后，銀行B把錢(qián)從臨時(shí)賬戶(hù)轉(zhuǎn)到商家M賬戶(hù)。

2.3.5二次花費(fèi)追蹤

假設(shè)兩次花費(fèi)憑證為{DS,β,δ,c}和{DS,β′,δ′,c}，銀行查詢(xún)數(shù)據(jù)庫(kù)找到相應(yīng){DS,M,V}，從M中得到V1，并計(jì)算α=V1(β-β′)(δ-δ′)-1，IDu=α-1V即找到二次花費(fèi)顧客。

首先，人際情緒管理受到社會(huì)標(biāo)準(zhǔn)和期待等文化因素的影響，不同文化背景下的個(gè)體在人際情緒管理方面存在顯著的差異.相比個(gè)體主義文化，集體主義文化中的人們更多地關(guān)注他人的情緒，但是自己遇到情緒問(wèn)題時(shí)，尋求外部支持的意愿卻很小[23].因此，未來(lái)需要進(jìn)一步開(kāi)展跨文化研究，以增進(jìn)對(duì)人際情緒管理的理解.

2.3.6糾紛仲裁

2.4　新方案的安全性分析

2.4.1正確性

取錢(qián)階段，顧客U計(jì)算R=r(du+T1)-1和K=r×Yb=(kx,ky)，銀行B計(jì)算：

K=dbR(Yu+T1P)=dbr(du+T1)-1(du+T1)P=

dbrP=r×Yb

支付階段，顧客U計(jì)算：

δ=r1·β+r2

銀行B算：

β·V3‖V3‖T‖c)=

r2·Yb-β·V3‖V3‖T‖c)=

由上可知驗(yàn)證等式正確。

2.4.2匿名性

在支付階段用戶(hù)U不需要把公鑰Yu發(fā)給商家M，而是選擇一個(gè)隨機(jī)數(shù)r′來(lái)盲化自己的身份，從而在買(mǎi)商品時(shí)不會(huì)暴露自己的身份。銀行存儲(chǔ)的信息{DS,M,V}同樣也不包含顧客身份，如沒(méi)有二次花費(fèi)，銀行無(wú)法直接追蹤到貨幣使用者。

2.4.3 重放攻擊

假設(shè)攻擊者截獲顧客U發(fā)給銀行B的(C,R,T)，想要把截獲的信息再次發(fā)給銀行B，銀行B接收到(C,R,T)之后首先檢驗(yàn)時(shí)戳T，如果過(guò)期，銀行B直接丟棄信息。

2.4.4 假冒攻擊

3　Liu方案的不足與改進(jìn)

由于篇幅所限，本文不再詳細(xì)回顧Liu等的方案，具體可參考文獻(xiàn)[13]中的介紹。在該離線(xiàn)電子貨幣方案中有五個(gè)實(shí)體：中心銀行O、分支銀行P、仲裁J、顧客U和商家M。

3.1　Liu方案的不足

1)電子貨幣方案中取錢(qián)階段，用戶(hù)可以偽造電子貨coin=(val,ω,R3,R4,R5,V)。

事實(shí)上，在取錢(qián)階段第二步，用戶(hù)可以取μ=aP-hPKP，μ1=bP-hH1(ω,RO)，V=aRO+b(PKO+PKP)，也可滿(mǎn)足雙線(xiàn)性映射驗(yàn)證等式：

e(V,P)=e(μ+hPKP,RO)·

e(μ1+hH1(ω,RO),PKO+PKP)

2)電子貨幣方案中取錢(qián)階段，代理銀行委托可信平臺(tái)模塊(Trusted Platform Module, TPM)計(jì)算驗(yàn)證，之后TPM把取錢(qián)金額傳給代理銀行P，如果用戶(hù)賬戶(hù)余額不足，TPM則進(jìn)行了無(wú)意義的計(jì)算，銀行在委托TPM前沒(méi)有驗(yàn)證余額是否充足。

3)電子貨幣方案中離線(xiàn)支付階段，商家M不知道μ、μ1和RO，無(wú)法驗(yàn)證雙線(xiàn)性等式。

3.2　Liu方案的改進(jìn)

改進(jìn)方案包括取錢(qián)階段和離線(xiàn)支付階段，其中初始化階段、銀行代理階段、開(kāi)戶(hù)階段、二次花費(fèi)檢測(cè)與原方案相同。

3.2.1取錢(qián)階段

4)分支銀行P驗(yàn)證TPM傳來(lái)的val和之前顧客U傳來(lái)的val是否相等，如果相等則P計(jì)算V′=(rP+D)dP，并把V′傳給顧客U。

5)顧客U計(jì)算V=r1·V′，并驗(yàn)證e(V,P)?=e(μ+hPKP,RO)e(μ1+hH1(ω,RO),PKO+PKP)，如果相等則U獲得電子貨幣coin=(val,ω,μ,μ1,RO,R3,R4,R5,V)。

3.2.2離線(xiàn)支付階段

1)顧客U把coin發(fā)給商家M。

2)商家M通過(guò)驗(yàn)證等式e(V,P)?=e(μ+hPKP,RO)e(μ1+hH1(ω,RO),PKO+PKP)來(lái)確定coin是否合法。如果等式不成立則M拒絕電子貨幣coin，如果等式成立則繼續(xù)交易。

3)M隨機(jī)選擇一個(gè)c∈{0,1}*發(fā)給顧客U。

4)顧客計(jì)算(ζ,τ)給M,ζ=H3(coin‖c)，τ=r4+r3ζ。

5)當(dāng)M收到(ζ,τ)，驗(yàn)證：ζ?=H3(val‖w‖μ‖μ1‖RO‖R3‖(τPKP-ζR3)‖R5‖c),如果等式成立，M接收離線(xiàn)電子貨幣(coin,ζ,τ,c)。

4　結(jié)語(yǔ)

本文研究分析了Chaudhry等提出的基于橢圓曲線(xiàn)認(rèn)證加密的電子貨幣方案和Liu等提出的銀行委托離線(xiàn)電子貨幣方案。利用橢圓曲線(xiàn)認(rèn)證加密和雙線(xiàn)性對(duì)，給出了兩個(gè)改進(jìn)的電子貨幣方案，使電子貨幣具有離線(xiàn)支付和二次花費(fèi)追蹤功能。理論分析表明，新方案中電子貨幣不可偽造，同時(shí)可以抵御重放攻擊和假冒攻擊，也可保證用戶(hù)的匿名性和交易的公平性。在接下來(lái)的研究中，還需進(jìn)一步完善所提方案的安全性，提高其效率，使得電子貨幣方案在電子支付中具有實(shí)用價(jià)值。

參考文獻(xiàn):

[1]CHAUM D. Blind signatures for untraceable payments [C]// CRYPTO 1983: Proceedings of the 1983 Workshop on the Theory and Application of Cryptographic Techniques. Boston: Springer, 1983: 199-203.

[2]CHAUM D, den BOER B, VAN HEYST E, et al. Efficient offline electronic checks [C]// EUROCRYPT 1989: Proceedings of the 1989 Workshop on the Theory and Application of Cryptographic Techniques, LNCS 434. Berlin: Springer, 1990: 294-301.

[3]CHAUM D, FIAT A, NAOR M. Untraceable electronic cash [C]// CRYPTO 1988: Proceedings of the 1988 Workshop on the Theory and Application of Cryptographic Techniques, LNCS 403. New York: Springer, 1990: 319-327.

[4]SHAMIR A. Identity-based cryptosystems and signature schemes [C]// CRYPTO 1984: Proceedings of the 1984 Workshop on the Theory and Application of Cryptographic Techniques, LNCS 196. Berlin: Springer, 1985: 47-53.

[5]AL-RIYAMI S S, PATERSON K G. Certificateless public key cryptography [C]// ASIACRYPT 2003: Proceedings of the 9th International Conference on the Theory and Application of Cryptology and Information Security, LNCS 2894. Berlin: Springer, 2003: 452-443.

[6]ABE M, FUJISAKI E. How to date blind signatures [C]// ASIACRYPT 1996: Proceedings of the 1996 International Conference on the Theory and Application of Cryptology and Information Security, LNCS 1163. Berlin: Springer, 1996: 244-251.

[7]ESLAMI Z, TALEBI M. A new untraceable off-line electronic cash system [J]. Electronic Commerce Research and Applications, 2011, 10(1): 59-66.

[8]LUO J N, YANG M H, HUANG S-Y. An unlinkable anonymous payment scheme based on near field communication [J].Computers and Electrical Engineering, 2016, 49: 198-206.

[9]YANG J-H, LIN P-Y. A mobile payment mechanism with anonymity for cloud computing [J]. Journal of Systems and Software, 2016, 116: 69-74.

[10]POURGHOMI P, SAEED M Q, GHINEA G. A secure cloud-based NFC mobile payment protocol [J]. International Journal of Advanced Computer Science and Application, 2014, 5(10): 24-31.

[11]YANG J-H, CHANG Y-F, CHEN Y-H. An efficient authenticated encryption scheme based on ecc and its application for electronic payment [J]. Information Technology And Control, 2013, 42(4): 315-324.

[12]CHAUDHRY S A, FARASH M S, NAQVI H, et al. A secure and efficient authenticated encryption for electronic payment systems using elliptic curve cryptography [J]. Electronic Commerce Research, 2016, 16(1): 113-139.

[13]LIU J H, HU Y.A new off-line electronic cash scheme for bank delegation [C]// ICIST 2015: Proceedings of the 5th International Conference on Information Science and Technology. Piscataway, NJ: IEEE, 2015: 186-191.