基于橢圓曲線盲簽名的電子現金系統設計

[摘要] 利用橢圓曲線盲簽名算法，可獲得比RSA算法更高的的安全性；銀行與認證中心CA聯合實現電子現金的匿名控制，必要時可對問題現金及非法使用者進行追蹤，揭露其身份；方案在設計時同時考慮了SET協議的運作模式，更適合人們的消費習慣和電子商務發展的需要。

[關鍵詞] 電子現金 橢圓曲線 盲簽名 匿名控制 安全性

一、引言

電子商務的發展離不開先進的支付手段，電子現金作為電子支付的關鍵技術，自80年代中期以來已取得了很大的研究成果。其安全性和可靠性主要依靠密碼技術來實現，如零知識證明、盲數字簽名等，早期的電子現金系統主要基于RSA、DLP公鑰密碼技術，如DigiCash公司的eCashTM ，NIST也于1991年將DSA算法作為數字簽名的標準。1985年，N. Koblitz和V. Miller分別獨立提出了橢圓曲線密碼體制(ECC)，利用有限域上橢圓曲線的點構成的群實現了離散對數密碼算法，由于其具有計算量小，處理速度快、存儲空間占用小、帶寬要求低等優點，在電子現金應用領域得到廣泛關注，SET協議的制定者已把它作為下一代SET協議中缺省的公鑰密碼算法。

考慮到SET協議將成為事實上電子商務支付的標準，我們認為電子現金應符合SET模式。由于在SET中只涉及四個對象：用戶U、銀行Bank、商家Shop和認證中心CA，所以電子現金應該是在線、支持認證中心(CA)并由CA實現匿名性的控制，本文將利用基于橢圓曲線盲簽名，設計一安全、實用、匿名可控的電子現金系統。

一、橢圓曲線盲簽名算法（ECDSA）

橢圓曲線數字簽名一般是將基于離散對數的簽名體制如Schnoor、EIGamal、DSA以及導出變種形式移植到橢圓曲線上，在文獻[4]中也給出了多種簽名方案及盲簽名方案。

設p是一個大素數，a，b∈GF(p)， 滿足4a3+27b2≠0。橢圓曲線E(a，b)(GF(p))可定義為點集(x，y)∈GF(p)*GF(p)，滿足y2=x3+ax+b，我們定義一個零元，用O表示，這樣，這些點構成了一個阿貝爾群。G是E(a，b)(GF(p))中的一個階為q的元素。d ∈RZn*，是簽名私鑰，Q=dG是簽名驗證公鑰。Rx(A)表示點A的x坐標值，H是一個單向HASH函數，H:{0，1}*→{0，1}k，我們用來表示兩個串的連接。系統的參數為｛p，a，b，G，q， Q，d，H｝。

橢圓曲線的Schnoor（ECDSA）盲簽名體制可描述如下：

發送方隨機選擇一個整數k∈RZn*，計算kG；

接收方隨機選擇γ，δ∈RZn*，計算：A=kG+γG+δQ，t= Rx(A)modn，c=H(mt)，c’=c-δ，將c’送出。

發送方計算：s’=k-c’d。

接收方計算：s=s’+γ。

由于γ，δ是隨機選擇的，所以簽名者不會知道簽名的內容，盲簽名的形式為（c，s）。從上過程可看出，kG可預先計算，當c’到來時，僅需一次乘法和一次加法運算就可完成簽名，因此計算量小、運算速度快，簽名結果也較短，比較適合電子現金系統使用。

二、電子現金系統方案設計

對于CA認證中心，需要使用系統參數建立ECDSA的數字簽名。隨機選擇xca∈GF(q)*作為自己的私鑰，然后計算pca=xcaG，將pca作為自己的公開密鑰。同樣，銀行、用戶的私鑰分別為xb、xu，公鑰分別為pb、pu。將pca、pb、pu公開。

1.注冊（Registration）

用戶提交自己的信息，由CA使用ECDSA進行簽名，用于向用戶提供包含其身份信息的電子執照。 在取款時必須出示該簽名。設ID為用戶標識信息，包含姓名、身份證號等。注冊過程即用戶向認證中心提供個人可信信息，存案備查。即I= ECDSA(xcaH(ID)) ，此時，I 相當于一個簡單的數字證書。

2.取款協議（Withdrawal Protocol）

電子現金的核心協議，用戶從自己的銀行賬戶上提取電子現金。為了保證用戶匿名的前提下獲得帶有銀行簽名的合法電子現金，用戶將與銀行交互執行盲簽名協議，同時銀行必須確信電子現金上包含必要的用戶身份。

設m為用戶的取款信息，是個五元組｛數量，面值，賬號，時間，CA的簽名I｝。取款信息中的I ，向銀行表明自己是一個合法的用戶，銀行利用CA的公開密鑰pca來驗證，這就保證了取款時用戶必須提供自己的正確信息，從而在構造電子現金時嵌入這些信息，而銀行又不知道信息的具體內容，用戶的隱私也得到了保護。其后的工作是使用ECDSA盲簽名來完成取款過程。描述如下：

(1)用戶：任選 z∈RZq*，計算T=ECDSA(xu(m))，，C=zG，c= Rx(C) ∥Ry(C)，將(m，T)送銀行。

(2)銀行:用pb驗證簽名，Verify(pu(T))；任選 k∈RZq*，計算Φ=kG， S=ECDSA(xb(Φ))

(3)用戶：收到(Φ，S)后，驗證，Verify(pb(Φ))；θ，δ∈RZq*，計算A=Φ+θG+δpb，h=Rx(A)≠0mod q，e=H(c∥h)，e＇=e-δ；將e＇送出；

(4)銀行：計算s’=k-e’xb；

(5)用戶：計算s=s’+θ；驗證e=H(c∥(Rx(epb+sG) mod q))；驗證推導過程略。上式如果成立，(e，s)即為盲簽名結果。

此時，銀行就可以記錄下（I，Φ，（m，T））存入自己的數據庫，同時從用戶的賬戶上減去相應的取款數。

由上，得出電子現金的結構：Coin={c，e，s，I}

3.存款協議

存款的過程比較簡單，經過一段交易周期后，商家將收到的電子現金到銀行處進行存儲。商家將在支付中得到的電子現金Coin={c，e，s，I}和自己的賬號傳遞給銀行，銀行首先對電子現金進行有效期檢查，確認是否有效，然后使用核驗自己和認證中心的簽名｛e，s｝，若無誤，則開始搜索電子現金數據庫，如搜索失敗，表明此電子現金是第一次使用，銀行將此{c，e，s，I}和交易日期時間存入數據庫，并將此現金的數額存入商家的帳戶。

若搜索成功，則表明在用戶和商家中肯定有一個是欺詐者。若新發送來的電子現金的交易日期、時間與搜索到的相同，說明商家在重復存儲該電子現金。否則說明用戶在重復使用同一電子現金。

三、電子現金身份揭露

CA的存在，也使得對電子現金及其使用者的追蹤變得容易，省去了許多復雜的計算。

1.重復使用者的揭露

銀行知道電子現金的結構{c，e，s，I}，發現重用的現金后，即從中提取出I信息，發送給CA，因I是CA對用戶注冊信息的簽名，故CA有能力解密I，求出ID，然后將其發送給銀行。銀行以c為關鍵字從自己的數據庫中查找，找到（m，T），形成如下結構信息｛ID，Φ，（m，T）｝，這實際上是用戶的身份識別信息。

2.問題現金追蹤

當出現利用電子現金進行洗錢、詐騙等問題時，需要跟蹤現金的使用，用戶提交他的ID給銀行，問題現金消費時，一定會出現相同的ID，銀行計算出Φ＝kG，可實現跟蹤。

四、安全性分析

由于CA的引入，強化了安全保證，在電子現金中同時嵌入了CA和銀行的簽名，增加了偽造的難度，也滿足了匿名性的要求。方案安全性建立在橢圓曲線對數（ECDLP）分解之上的，強度高于RSA方法，其分解是非常困難的，目前還沒有有效的方法，本方案是安全的。

注意到參數域RZq*，單向函數H以及公鑰pu、pb、pca、ps均是公開的，攻擊者當然可以得到這些信息；同時注冊、取款、存款等交易業務過程均在公共網絡平臺之上，即存在可能的不安全信道，攻擊者可能截獲（Φ，S）、（M，C）；從取款協議中可看出，由于δ、θ是隨機選取的，e= H(c∥(Rx (Φ+θG+δpb))， 因此偽造電子現金的簽名相當于分解ECDLP難題。

如果攻擊者截獲了用戶發給商家的Coin信息，意味著現金的丟失，解決辦法是在支付協議中商家對用戶進行質詢。商家發給用戶（M，C），用戶響應（ε，M’），由于計算中對于F=fG 、C=zG，f和z是任選的，如前所述，攻擊者想得知f、z是困難的，無法計算出ε=f－M’ z mod q，故無法正確回答商家的質詢，所以他也無法花費，商家更不會受騙而發貨。

五、結語

本文設計的電子現金系統，結合SET協議模式，使用橢圓曲線盲簽名（ECDSA），安全實用，符合目前電子現金的支付模式，能實現電子現金的匿名可撤銷性；缺點是需要認證中心CA一直在線，與其他方案相比，多了注冊環節，且完成一次取款、支付到存款的過程需要５次簽名，６次驗證，因而效率有待于提高。

參考文獻:

[1]V.S Miller:use of elliptic curve in cryptography[A].Advances in cryptology－CRYPTO’85[C].springer-verlag，1984，417～426

[2]張方國王常杰王育民:基于橢圓曲線的數字簽名與盲簽名[J].通信學報， 2001，22(8):22～28

[3]Davida，Y.frakel，Y.Tsiouns:Myung，Anonymity Control in E-cash systems[A]. in Finacial Cryptography’97[C]，(LNCS 1318)，1～16，Springer-verlag.1997

[4]郭濤李之棠彭建芬吳世忠:基于橢圓曲線的盲簽名與離線電子現金協議[J].通信學報， 2003， 24(9):142～146

[5]蔡滿春楊義先胡正名:基于橢圓曲線密碼體制的一種電子現金方案[J].北京郵電大學學報， 2004，27(2):44～47