基于可鏈接環簽名的電子消費方案

張瑞麗,李順東

(陜西師范大學計算機科學學院,西安710119)

基于可鏈接環簽名的電子消費方案

張瑞麗,李順東

(陜西師范大學計算機科學學院,西安710119)

在當今電子消費系統中,經常出現由于多次消費而導致效率較低甚至金額紊亂的現象,為解決這一問題,提出一種新的電子消費方案。該方案基于雙線性對和可鏈接環簽名,運用可鏈接環簽名的高效安全性,能夠判斷簽名正確與否,并檢測出同一用戶的有限金額是否重復花費的功能,通過取款、消費、存款3個階段,使消費者、商家及銀行三方的交易相互聯系,完成電子消費過程。分析結果表明,該方案安全、可行,能實現用戶的匿名性及無法重復花費性,滿足電子消費的基本要求。與Liu等人提出的方案(Wuhan University Journal of Natural Sciences, 2013,No.2)相比,計算成本較低,效率較高。

電子消費;環簽名;可鏈接環簽名;匿名性;重復花費

1 概述

隨著網絡的迅速發展,各種電子活動應運而生,而80%的電子活動是以消費為主[1],電子消費可以使用戶足不出戶就能通過網絡進行消費,如購物、充值、轉賬等。與此同時,電子消費是否被第三者知道,用戶的金額是否到達對方等安全問題成了人們重視并必須解決的問題。為了解決這些問題,則需要用到數字簽名的相關性質。在數字簽名[2-4]研究的初期,多數研究是以群簽名[5]為基礎的,但由于群簽名需要管理群成員,建立及刪除成員耗資較大,因此其效率較低,實用性不高。自環簽名[6]的概念被提出后,人們更多地是單純對環簽名方案的研究,而對實際環簽名的應用研究較少。隨著用戶的需求,環簽名的應用愈加廣泛,在保證完全匿名的前提下,由于環簽名無法判斷2個信息是否由同一人簽名,因此在此基礎上產生了可鏈接環簽名,它是在2004年由Liu[7]首次提出,方案可以判斷2個簽名是否由同一人所簽,其主要目的是防止用戶在消費過程中進行重復花費,所以對可鏈接環簽名的研究意義重大。Au在此基礎上對可鏈接環簽名進行認證[8],進一步證明其高效性、匿名性及不可偽造性。由于可鏈接環簽名的日益成熟,它更多地被應用于實際中。2013年,Liu再次提出一種完全無條件匿名的可鏈接環簽名方案[9],使其安全性更高。

首個電子現金系統[10]由Chaum于1982年提出,該方案基于盲簽名,滿足匿名性,并能通過在線檢測的方式防止重復花費的問題,但只能在線檢測,所以應用非常有限,1990年Chaum等人再次對此方案進行改進[11],使其在離線狀態下仍然可以檢測,此方案將電子現金的研究推向高潮。但由于此時興起的電子現金大多數基于群簽名或群盲簽名[12-13],其缺點顯而易見,因此利用環簽名設計電子現金系統非常有必要。2007年孟純煜等人設計了一種電子現金方案[14],此方案較之前的方案效率有所提高,但它基于RSA,效率提高仍然有限制。此后,Liu提出了一種利用代理盲簽名設計的離線電子現金方案[15],使得電子現金方案愈加成熟。本文利用雙線性對的性質和可鏈接環簽名設計一種安全高效的電子消費方案。該方案滿足電子消費的基本條件:正確性,匿名性,不可偽造性,離線性以及無法重復花費性。

2 預備知識

2.1 雙線性對

設G1是一個由P生成的且階為素數q的循環加法群,G2是一個循環乘法群,階仍為q。映射e:G1×G1→G2是一個雙線性映射,且滿足以下3個性質:

(1)雙線性:?P,Q∈G1,?a,b∈Z*q,e(aP,bQ)=e(P,Q)ab;

(2)非退化性:存在P,Q∈G1,使得e(P,Q)≠1;

(3)可計算性:對于所有的P,Q∈G1,存在有效的算法計算e(P,Q)。

2.2 問題的困難性描述

對一些問題的困難性描述如下:

(1)離散對數問題(DLP):任取Q∈G1,尋找n∈,使得Q=nP;

(2)判定性Diffie-Hellman問題(DDHP):對于a,b,c∈,X∈G1,給定(cX,aX,bX),判斷c≡abmodq;

(3)計算性Diffie-Hellman問題(CDHP):對于a,b∈,X∈G1,給定(X,aX,bX),計算abX;

(4)Gap Diffie-Hellman問題(GDHP):在多項式時間內,對于群G1上的DDHP易解決而CDHP難解決,則稱群G1為GDH群。

假設DLP問題和CDHP問題是困難的,則在多項式時間內DLP問題、CDHP問題均無法被解決。

3 電子消費方案設計

本文提出的電子消費方案包括5個步驟:初始化階段,取款階段,消費階段,商家驗證階段,存款階段,該方案的資金流向如圖1所示。

圖1 電子消費資金流向

方案具體描述如下:

(1)初始化階段

設P是G1的一個生成元;雙線性映射e:G1×G1→G2,H1:{0,1}*→,H2:{0,1}*→G1,H3:均為哈希函數。銀行隨機選擇一個作為其私鑰,令Q=sP作為其公鑰。系統將系統參數集合{G1,G2,e,q,P,Q,H1,H2}公開,同時將s作為主密鑰。

(2)取款階段

此階段是消費者進行電子消費的第一步,向銀行申請取款,從自己的銀行賬戶上提取電子現金。為了保證在消費者匿名的前提下,獲得帶有銀行簽名的合法電子現金,銀行必須確信電子現金中包含必要的用戶身份及足夠的金額之后,與消費者交互執行以下盲簽名協議:

1)消費者提取相關信息:取款金額m,時間t,然后隨機選取盲化因子r∈,計算U=rQH1(m||t),消費者將U發送至銀行。

2)銀行收到信息后,用自己的私鑰s對U進行簽名,計算U1=sU,將U1傳回給消費者。

3)消費者進行去盲運算,U=U1/r,得到電子現金m。

(3)消費階段

此階段是消費者與商家之間進行交易的階段。

1)假設有k個消費者,將他們的身份信息集合設為L,并存入消費者數據庫,則L={L1,L2,…,Lk},計算Qi=H2(Li)作為消費者的公鑰。

2)消費者隨機選取V∈G1,計算初始值:v=c0=e(V,P)。

3)為其他消費者隨機選擇Xi∈G1,計算:ci+1= [e(U,H3(ci)Qi)·e(Xi,P)]。

4)形成環:ci+1=[e(U,H3(ci)Qi)·e(Xi,P)]=v。

5)解出Xi,令:X=∑Xi。

6)輸出信息:(L;X;c1,c2,…,ck)。

(4)商家驗證階段

商家收到消費請求信息后,進行以下驗證:

1)將收到的身份信息L與數據庫中的身份信息匹配,以檢查其是否正確。

3)將收到的簽名與數據庫中原有的簽名進行一一對比,判斷兩者是否相等,如果相等,說明是同一個消費者想要重復花費,商家拒絕;如果不等,說明是一個新的消費者,則商家接受此電子金額,并將其簽名信息存入消費者數據庫,以備與之后的消費者信息比較。

(5)存款階段

商家將此簽名信息發送至銀行,銀行檢測:如果商家沒有存過此金額,則接受此金額;否則,認為商家想要重復存款,拒絕。

4 方案分析

4.1 正確性

本文方案基于環簽名,滿足完全匿名性:

序列{ci}環簽名的驗證過程和產生過程中是一致的,因此,有ck+1=c0。

4.2 匿名性

本文方案基于環簽名,在消費者取款階段,隨機選取盲化因子r∈對取款信息進行盲化,商家和銀行若想從接收到的數據中得到消費者的相關信息U,必須知道盲因子r,而r是消費者隨機選取并保密的,從而保證了電子消費的匿名性。

4.3 不可偽造性

假設攻擊者A的身份信息LA不在公鑰集合L中,但是如果他要偽造一個有效的消費信息,他只能或者偽造一個LA∈L,或者執行以下過程:

(1)攻擊者A詢問私鑰生成中心,它給A輸出p個私鑰,利用已知的參數和Li(Li?L,i=1,2,…,p),返回其對應的公鑰Qi=H2(Li)。

(2)令r=|L|,i=0,1,…,k-2,模仿真實消費者的支付階段過程,產生環序列,即執行支付階段的(c)。

(3)隨機選取c0∈,并指定:c0=[e(U,H3(ck-1)Qk-1)·e(Xk-1,P)]。

(4)輸出消費信息:(L;X;c1,c2,…,ck)。

若A完成上述步驟(1),并得到((Lm,Sm)),使得H2(Lm)=H2(Ln),Ln∈L,那么他能夠偽造一個有效的舉報信息,但是,由于H2是隨機預言機,私鑰生成中心產生的隨機數是均勻分布的,因此此詢問無法得到任何結果。所以,式(3)中的等式c0=[e(U,H3(ck-1)Qk-1)·e(Xk-1,P)]正確的概率只有1/p,因此,此消費信息是不可偽造的。

4.4 離線性

在本文方案中,取款階段,商家無需參與,只需消費者與銀行交易;支付階段,只需消費者與商家交易;在存款階段,只需銀行與商家交易。可見,在此電子消費方案的每個階段只需要相關的人員參與即可,因此本文系統完全可以在離線狀態下使用,提高了整個電子消費系統的便捷性。

4.5 無法重復花費性

由于消費者的身份信息一直是匿名的,商家無法知道,只有通過環簽名的可鏈接性,執行商家驗證中的步驟(3),如果發現一個消費者重復花費,根據其公鑰Qi信息,可以從密鑰數據庫中查到他的真實身份,從而控制他的重復花費行為。

4.6 效率分析

在本文的效率分析中,假設哈希函數的計算成本為H,橢圓曲線上的乘法的計算成本為MC,一個加密和解密算法的計算成本為AED,雙線性對的計算成本為Pa,本文方案與其他方案的計算成本比較結果如表1所示。

表1 本文方案與文獻[15]方案的計算成本比較

文獻[15]方案采用代理簽名,每次代理簽名中都會有原始簽名者的參與,簽名權在必要時需要轉移或撤銷,所以通信量大,計算復雜性高。由于本文方案基于雙線性對且沒有代理階段,所以哈希過程和雙線性的計算成本大大減少,在支付階段采用環簽名,沒有群簽名的群建立、群管理及群撤銷等階段,另外在存款階段,通過簡單快速的方法進行驗證。綜合考慮,本文方案符合電子消費的基本要求且效率較高。

5 結束語

電子消費方案的應用在網絡快速發展的當今越來越廣泛,用戶對其的要求與期望也越來越高,因此,電子消費方案的功能也隨之更加便捷、完善。本文通過應用雙線性的性質對及可鏈接環簽名,設計了一種新的電子消費方案,該方案將消費者的相關信息形成環后與商家進行電子交易,滿足消費者的匿名性;由于交易時只需要相關實體參與即可,因此該電子消費系統滿足離線操作,使得系統更加簡易、效率更高;在電子消費過程中,利用可鏈接環簽名對重復花費的行為進行檢測,避免消費者的重復花費行為而引起資金流動混亂。由于本文沒有考慮系統故障時電子現金的流向,因此如何使得電子現金在突發故障的情況下仍能成功交易將是今后研究的重點。

[1] Turban E.電子商務:管理視角[M].嚴建援,譯.北京:機械工業出版社,2010.

[2] 張煥國,王張宣.密碼學引論[M].武漢:武漢大學出版社,2009.

[3] 趙澤茂.數字簽名理論[M].北京:科學出版社,2007.

[4] Rivest R L.Shamir A,Adleman L.A Method for Obtaining Digital Signatures and Public-key Cryptosystems[J]. Communications of the ACM,1976,21(2):120-126.

[5] 劉丹妮,王興偉,郭 磊,等.一種群簽名方案的分析及改進[J].東北大學學報,2010,31(2):189-192.

[6] Rivest R L,Shamir A.How to Leak a Secret[C]//Proc. of Asiacrypt'01.Berlin,Germany:Springer-Verlag,2001: 552-565.

[7] Liu J K,Wei V K,Wong D S.Linkable Spontaneous Anonymous Group Signature for Ad Hoc Groups[C]//Proc.of ACISP'04.Berlin,Germany:Springer,2004:325-335.

[8] Au M H,Liu J K,Susilo W,et al.Certificate Based(Linkable)Ring Signature[C]//Proc.of ISPEC'07.Berlin, Germany:Springer,2007:79-92.

[9] Liu J,Au M,Susilo W,et al.Linkable Ring Signature with Unconditional Anonymity[J].IEEE Transactions on Knowledge and Data Engineering,2013,26(1):157-165.

[10] Chaum D.Blind Signatures for Untraceable Payments [C]//Proc.of CRYPTO'82.Santa Barbara,USA: Springer,1982:199-203.

[11] Chaum D,Fiat A,Naor M.Untraceable Electronic Cash [C]//Proc.ofCRYPTO'88.New York,USA: Springer,1990:319-327.

[12] Canard S,Traoré J.On Fair E-cash Systems Based on Group Signature Schemes[C]//Proc.of ACISP'03. Berlin,Germany:Springer,2003:237-248.

[13] Yu Tao.Multivariate Threshold Group Signature Scheme Withstanding Conspiracy Attack[C]//Proc.of ICADE'12. [S.l.]:IEEE Press,2012:114-118.

[14] 孟純煜,殷新春,宋春來.利用可鏈接環簽名的電子現金支付方案[J].揚州大學學報:自然科學版,2007,10 (2):54-56.

[15] Liu Jianwei,Qiu Xiufeng.A Proxy Blind Signature Scheme and an Off-line Electronic Cash Scheme[J]. Wuhan University Journal of Natural Sciences,2013,18 (2):117-125.

編輯 金胡考

Electronic Consumption Scheme Based on Linkable Ring Signature

ZHANG Rui-li,LI Shun-dong
(School of Computer Science,Shaanxi Normal University,Xi'an 710119,China)

In existed electronic consumption system,multi-consumption often occurs and causes low efficiency even cash disorder.For tackling this trouble,this paper proposes a new efficient and safe electronic consumption scheme.The scheme is based on bilinear pairings and linkable ring signature.Linkable ring signature has the efficiency and the security of ring signature.The scheme can check whether the signature is correct or not.It can detect the same user uses limited amount of cash repeatedly,by the three stages of designing,consuming and saving,connects the transaction of consumers, businesses and banks each other,and makes electronic consumption go on.The scheme can preserve the user's anonymity,prevent multiple consuming,and satisfy the basic requirement of electronic consuming.Analysis and proof show that the scheme is more feasible and efficient than the scheme proposed by Liu,etc.(Wuhan University Journal of Natural Sciences,2013,No.2).

electronic consumption;ring signature;linkable ring signature;anonymity;multiple consuming

1000-3428(2014)09-0170-04

A

TP309

10.3969/j.issn.1000-3428.2014.09.034

國家自然科學基金資助面上項目“高性能保密計算算法與協議研究”(61070189);國家自然科學基金資助面上項目“云計算與云存儲若干關鍵問題研究”(61272435)。

張瑞麗(1989-),女,碩士研究生,主研方向:密碼學,信息安全;李順東,教授、博士生導師。

2013-10-15

2013-11-07E-mail:15029034846@126.com