一種基于彩票內容保護的電子彩票方案的改進

(華南理工大學 理學院， 廣州 510640)

摘 要：設計了一種對彩票內容進行保護的電子彩票方案，可以使彩票發行商在兌獎前不知道彩民的投注內容。通過采用電子現金協議，電子彩票方案可以在銀行離線的情況下運行，并由于電子現金的盲性，更好地保護了彩票購買者的個人隱私。通過采用hash鏈方法，可以公開驗證所有投注彩票，防止發行商偽造彩票、偽造銷售額、偽造中獎獎金以及防范其內部人員攻擊。該電子彩票方案具有隱私性、不可偽造性、不可重復性、可追蹤、不可否認性、公開驗證性等安全特點。

關鍵詞：電子彩票；hash鏈；電子現金協議

中圖分類號：TP309文獻標志碼：A

文章編號：1001-3695(2009)04-1506-03

Improvement of electronic lottery scheme based on protecting content of lotteries

TANG Xi-lin， GUO Hai-gen

(College of Science， South China University of Technology， Guangzhou 510640， China)

Abstract:This paper designed an electronic lottery scheme which could protect the content of lotteries.This scheme could ensure that the lottery issuers know nothing about relevant information of lotteries before cash in the bonus. By adopting an electronic cash protocol，this scheme could ran under the off-line bank. Because the anonymity of the electronic cash，it could protect the purchasers’ privacy better. By adopting the hash chain，all the lotteries could be verified publicly，prevented the issuers from forging lotteries，the sales，the bonus as well as attacks from their own staff. There are many security properties in this scheme，such as privacy，un-forgeable，non-repeatable，traceable，non-repudiation，publicly verification and so on.

Key words:electronic lottery；hash chain；electronic cash protocol

0 引言

如今的電子商務不再局限于狹義的商務范疇，更多的表現與居民生活息息相關的各種服務，網上的彩票交易——電子彩票也將成為不可缺少的業務之一。通過互聯網發放彩票，可以使投注者不受時間、地域的限制，隨時進行投注、查詢、兌獎，免去了投注者往返投注站之間的勞頓，同時也可以大大降低彩票的發行成本。

本文以中國福利彩票為應用背景，根據彩票的獎金分配方法，彩票可以分為固定獎彩票和浮動獎彩票兩種。固定獎彩票的隱私保護易于實現，而對于浮動獎彩票則沒有辦法回避發行商在兌獎前知道投注號碼，除非投注號碼不讓發行方保管。在普通彩票的發行中，發行商在搖獎前可以預先獲得彩民的全部投注號碼，這樣彩民就有一個疑慮是：彩票發行商是否控制開獎號碼？例如，中國福利彩票是通過搖獎的方式，如果發行商對搖獎機做了手腳可以預先設定想要搖出的號碼，則對彩民是不公平的。消除這種疑慮的方法有兩種：a）有完全可信的公證方監控搖獎以及搖獎機的隨機性；b）如果沒有完全可信的公證方，則可以采取的措施是讓彩票發行方在兌獎前不知道彩票的投注號碼。文獻[1~3]的電子彩票方案都是直接將彩票投注內容發送給銀行和發行商，使其提前可以知道所有的彩票內容，文獻[4]雖然用了秘密共享門限方案，但不能阻止發行商提前知道彩票內容。本文就文獻［5］稍作改進提出一種新的基于彩票內容保護的電子彩票方案。改進1：在鏈的最后一個節點加入投注承諾，使得發行商不能在此節點偽造彩票。改進2：采用電子現金作為支付手段，使得其具有文獻［5］的特點，即發行商在兌獎前不能獲得任何投注彩票內容號碼，可以有效防止發行商偽造彩票和虛構銷售額，同時保證彩票不可偽造性，防止發行商、投注者以及入侵者攻擊，具有隱私性、公平性、不可抵賴性、公開驗證等安全特點。除此之外，還具有銀行離線的特點，因此銀行沒有特殊功能，只是一般存取錢的地方，即不存在銀行與發行商勾結欺騙彩民的行為，此外，發行商也不會因為每次如此微型支付雇傭銀行加大彩票發行開支，并且由于電子現金的盲性，更好地保護和隱藏了購買者的個人信息。改進3：本文采用了公布平臺，使得任何人隨時隨地可以驗證數據的合法性。

1 符號說明

a)P代表投注者，U代表彩票發行商，B代表銀行；PKP、SKK分別代表投注者的公鑰和私鑰，link(PKP)代表連接P公鑰PKP的信息，PKU、SKU分別代表彩票發行商的公鑰和私鑰，PKB、SKB分別代表銀行的公鑰和私鑰。

b)Info代表彩票內容，包括彩票類型號、第幾期、投注方式、投注號碼、投注時間(TP)。

c)R是隨機數，N代表相應的投注數，Seq代表彩票的流水號，BU為獎金。

d)Minfo為電子現金信息，包括電子現金的相應數目(M)，電子現金的隨機惟一字符串(X)，電子現金的鑒別位字符串(I1，I2，…，In)；b1，b2，…，bn為選擇字符串，S、S′為兩個不同的識別字符串，AP為彩民兌獎的賬戶。SKB{Minfo}為銀行對電子現金簽名。

e)H{D}表示使用hash函數對D進行運算。

2 電子現金協議描述

秘密分割技術可以用來在數字現金中隱藏名字、賬號等信息。

a)Alice對給定數量的貨幣準備n張匿名電子現金。每張電子現金均包含了一個不同的隨機惟一字符串X，X足夠長，足以使得有兩個字符串相同的機會微乎其微。在每張電子現金上也有對鑒別位字符串I1，I2，…，In。這些字符串對中的每一個均按如下方式產生：Alice創造一個給出她的名字、賬號AP等其他信息以及其他銀行希望見到的鑒別信息的字符串；接著，她用秘密分割協議將其分成兩部分IiL、IiR；然后，使用一種位承諾協議傳送每一部分。

b)Alice用盲簽名協議隱蔽所有n張電子現金，并將它們全部給銀行。

c)銀行要求Alice恢復出隨機的n-1張電子現金并確認它們都是合格的。銀行檢查總數、惟一字符串并要求Alice出示所有鑒別字符串。

d)如果銀行對Alice沒有任何進行欺騙的企圖感到滿意，則在余下的一張隱蔽電子現金上簽名。銀行把這張隱蔽電子現金交回Alice，并從她的賬戶上扣除這筆錢。

e)Alice恢復這張電子現金，并在一個商人那里花掉它。

f)商人驗證銀行的簽名以及確信這張電子現金是合法的。

g)商人要求Alice隨機揭示電子現金上每個鑒別字符串的左半或右半。實際上，商人給Alice一個隨機的n位選擇字符串b1，b2，…，bn。Alice根據bi是0還是1公開Ii的左半或右半。

h)Alice同意。

i)商人拿著這張電子現金來到銀行。

j)銀行驗證這個簽名并檢查它的數據以確信有相同惟一字符串的電子現金先前沒有被存過。如果沒有，銀行把這筆錢劃到商人的賬上。銀行在它的數據庫中記下這個惟一字符串和所有識別信息。如果這個惟一字符串在數據庫中，銀行就拒收這張電子現金。接著，它把電子現金上的識別字符串同它數據庫中存的相比較。如果相同，銀行知道是商人復制了電子現金；如果不同，銀行知道是買電子現金的人影印了它，并且銀行可以根據第一個商人和第二個商人交出的識別字符串S，S′，揭露Alice的身份。

3 Hash鏈

為了保證所有彩票數據的合法性、完整性、不可竄改、可公開驗證等安全特征，提出了實時構造一條包含所有投注彩票內容的hash鏈，其結構如式(1)所示：

Hn=H{0，rand}n=0

H{Seq|H{inf o，R，N，TP}，Hn-1} 0＜n≤max(1)

其中：rand是初始隨機數；n為第n張彩票；max為當期彩票發行時間結束時的累計彩票數。整條hash鏈需要在彩票發行時間結束時實時公布。

4 基于固定獎金彩票的發行方案

4.1 購買彩票

首先彩民需要在彩票銷售主頁上注冊，并下載相應的軟件，然后彩民就可以通過離線軟件的輔助進行選號，獲得投注彩票inf o，并生成隨機數R，數據{inf o，R}秘密保存，是將來中獎后兌獎的根據。選完號后連線進行如下步驟：

a)P→U:link(PKP)，PKU{SKP{H{inf o，R，N，TP}，SKB{Minfo}，TP}}。

b)彩票發行商首先通過自己的私鑰解密，再根據link(PKP)找到PKP，驗證彩民簽名的合法性；如果簽名合法，驗證銀行的簽名以及確信這張電子現金是合法的；如果兩者都合法，保存簽名數據。

c)U→P:PKP{SKU{Seq，H{inf o，R，N，TP}，TP，HSeq-1，N，M，Minfo，TU，b1，b2，…，bn}}。

d)彩民首先根據自己的私鑰解密，驗證彩票發行商的簽名是否合法；如果合法，保存簽名，并且根據彩票發行商的隨機n位選擇字符串b1，b2，…，bn的提問，公開相應的Ii的左半或右半，即識別字符串S。

e)彩票發行商收到彩民的選擇字符串答復（識別字符串）S，并保存S，并且在線實時公布

(Seq，H{inf o，R，N，TP}，M)。

4.2 消息公布和驗證階段

彩票銷售時間一截止，彩票發行商必須實時公布整條hash鏈和銷售總金額，確保投注彩票消息的完整性，并且在彩票銷售截止時間以后，任何人都不能偽造和添加合法彩票。在公布中獎號碼之前，彩票發行商拿著彩民的電子現金到銀行兌錢，銀行可以根據自己的簽名，電子現金上惟一字符串、識別字符串判斷電子現金的合法性，如果合法，保存相應的數據，并且把錢劃到發行商的賬號。在此期間，如有不合法的彩民，發行商可以在公布平臺上公布(Seq，H{inf o，R，N，TP}，M)不合法，不具有兌獎資格。

4.3 公布中獎號碼及兌獎

這里的中獎號碼假設使用傳統的搖獎機在公正監督下開獎。中獎號碼產生后，發行商不知道投注彩票的具體號碼，只有等到中獎用戶來兌獎時才能確定。其兌獎過程如下：

a)投注彩民驗證自己的彩票inf o是否中獎，這一步可以在軟件的幫助下進行。

b)P→U:PKU{Seq，inf o，R，S′，SKU{Seq，H{inf o，R，N，TP}，TP，HSeq-1，N，M，Minf o，TU，b1，b2，…，bn}}。S′為不同于S的識別字符串。

c)彩票發行商U解密，通過Seq檢索到相應的彩票數據，然后將保存的數據Minf o，TP與中獎者發送過來的inf o，R計算H{inf o，R，N，TP}；然后與投注時保存的H{inf o，R，N，TP}進行比較，看是否相等，如果相等，則為合法彩票。

d)U→P:PKP{SKU{Seq，inf o，R，H{inf o，R，N，TP}，TP，TU，BU，T′U，SKB{Minf o}，S，S′}}。

e)彩民驗證此簽名的合法性并保存，這是他將來沒有收到獎金的依據。

f)U→B:PKB{SKU{SKB{Minf o}，S′，BU，T′U}，link{PKP}}。

g)銀行B通過電子現金的兩個不同的識別字符串的某個位的左右公開信息恢復彩民的銀行賬號AP。

h)B→P:PKP{SKB{BU，AP，TB，SKU{SKB{Minf o}，

S，S′，BU，T′U}} 。

i)中獎彩民向銀行發出簽收信息。

5 安全分析

1)任何人不可能偽造一張合法的中獎彩票 因為數據Seq，H{inf o，R，N，TP}，M已經被發行商保存并在公布臺上公布，并且如果想要虛構一張合法的中獎彩票，則需要H{inf o，R，N，TP}=H{inf o′，R′，N，TP}，這里所采用的hash運算具有強抗碰撞能力，即當{inf o，R}≠{inf o′，R′}時，一定有：H{inf o，R，N，TP}≠{inf o′，R′，N，TP}，所以任何人在事后無法偽造中獎彩票?；诖嗽?，任何人也不能因為沒有中獎而虛構投注金額。

2)任何人不能冒充中獎者領取獎金 如果想要冒領，則入侵者需要合法的中獎數據inf o，R，Minf o，S，S′，入侵者沒有中獎者，發行商的私鑰，則無法得到上述中獎彩票信息；即使入侵者得到合法中獎信息，那么有銀行根據S，S′得到是中獎者的銀行賬號AP，而不是入侵者的賬號，入侵者得不到任何的好處，所以任何人無法冒充中獎者領取獎金到自己的賬戶，即使是發行方內部人員也不能成功。

3)發行方不能否認中獎 投注者在投注是獲得發行商的簽名，通過這個簽名信息，中獎者可以向可信第三方提供證據。所以發行商不能否認中獎消息的有效性。

4)投注者不能用空白電子現金欺騙發行商和銀行 在消息公布和驗證階段，如果發現投注者有欺騙行為，發行商可以在公布臺上公布此投注者為不合法用戶，沒有參與資格。

5)發行商不能偽造銷售額 因為在銷售結束的第一時間里hash鏈即得到公布，并且hash鏈節點是按流水號遞增的，所以任何人都可以驗證hash鏈是否完整正確，確保了發行商不能偽造銷售額；必要時，可以通過公證部門檢驗電子現金的簽名，統計銷售額。

6)任何人不能偽造中獎金額 中獎信息可以通過公布平臺和hash鏈找到，需要投注者、發行商提供inf o，R，由于hash鏈的不可改變性及hash函數的單向性，投注者和發行商不能構造中獎節點：當N′≠N，R′≠R使得H{inf o，R′，N′，TP}=H{inf o，R，N，TP}。

6 結束語

本文以電子現金作為支付手段，并可以在銀行離線的情況下運行，且由于電子現金的盲性，更好地保護和隱藏了購買者的個人信息；如果結合電子現金的可分性，就會給購買者和銀行帶來很大的便利。本文還基于hash函數的單向性特點構造投注彩票的hash鏈，并基于位承諾的思想設計了一個較完善的固定獎電子彩票協議，可有效防止各種攻擊，具有公平性、不可抵賴性、公開驗證等安全特點。

參考文獻：

［1］

KOBAYASHI K，MORITA H，HAKUTA M，et al.An electronic soccer lottery system that uses bit commitment[J].IEICE Trans on Information and Systems，2000，E83-D(5):980-987.

[2]劉加東，何明星.電子彩票的一種發行方案[J]. 計算機應用研究，2005，22(10):63-64.

[3]卞智玲.基于半信任下的電子彩票方案[J].福州大學學報：自然科學版，2006，34(4):496-500.

[4]FOUQUE P A，POUPARD G，STERN J.Sharing decryption in the context of voting or lotteries[C]//Proc of the 4th International Conference on Financial Cryptography.London，UK:Springer-Verlag，2001:90-104.

［5］薛海峰，卿斯漢，張煥國.一種基于彩票內容保護的電子彩票方案[J].計算機工程與應用，2007，43(21):26-28.

[6]SCHNEIER B.應用密碼學：協議、算法與C源程序[M].吳世忠，祝世雄，張文政，等譯. 北京：機械工業出版社，2000:100-102.