基于群簽名的高效可分割電子現(xiàn)金系統(tǒng)

康昌春

摘要：當前，電子支付的安全性已經(jīng)成為制約電子商務(wù)發(fā)展的瓶頸。電子現(xiàn)金是現(xiàn)代密碼學中旨在確保電子支付安全性的重要技術(shù)。本文基于群簽名技術(shù)構(gòu)造了“一次取款且多次分割支付”的電子現(xiàn)金系統(tǒng)。安全性分析表明，新系統(tǒng)滿足電子現(xiàn)金系統(tǒng)要求的三個重要性質(zhì)，即平衡性、匿名性和可開脫性。

關(guān)鍵詞：電子支付；電子現(xiàn)金；群簽名；匿名性

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2017）06-0221-03

1 引言

當前，電子商務(wù)已經(jīng)逐漸發(fā)展成為一種較為成熟的業(yè)務(wù)模式。在該模式下，買賣雙方的行為都在互聯(lián)網(wǎng)上進行，從而顯著節(jié)約了企業(yè)的運營成本。在整個電子交易過程中，最重要的環(huán)節(jié)是電子支付。隨著技術(shù)的進步，電子支付系統(tǒng)已經(jīng)成為確保社會經(jīng)濟良好運行的催化劑[1]。電子現(xiàn)金（e-cash）系統(tǒng)[2]是一種安全、有用的電子支付方式。此類方案在完全在線商務(wù)的實現(xiàn)中起到了重要的作用。實用的電子現(xiàn)金方案應(yīng)當是安全的、離線的、匿名的。電子現(xiàn)金系統(tǒng)涉及4類參與方（即銀行，用戶、商家和仲裁機構(gòu)）以及4個主要過程（即建立賬戶，取款，支付以及存儲）。首先與執(zhí)行賬戶建立協(xié)議。進行流通的現(xiàn)金以貨幣方式計數(shù)。通過與執(zhí)行取款協(xié)議而獲得電子貨幣，并通過與執(zhí)行支付協(xié)議而實現(xiàn)對的支付。為了存儲，需要與執(zhí)行存款協(xié)議。電子現(xiàn)金系統(tǒng)的安全性是指僅有銀行能產(chǎn)生且對于離線的系統(tǒng)，應(yīng)當能對有重復支付行為的用戶進行身份識別。重復支付（double-spending）是電子世界中出現(xiàn)的一種問題，因為是易于復制的。此外，誠實的支付者無法被誣陷有重復支付行為。該性質(zhì)稱為可開脫性（exculpability）。當商家對來自收款人的貨幣進行存儲時，銀行應(yīng)當無法對實際的支付者進行追蹤。該性質(zhì)稱為匿名性（anonymity）。

近年來，針對電子現(xiàn)金系統(tǒng)構(gòu)造的研究一直較為活躍。文獻[3]利用盲簽名技術(shù)設(shè)計了一個在線電子現(xiàn)金系統(tǒng)，該系統(tǒng)實現(xiàn)了匿名性、可控性、電子現(xiàn)金追蹤和電子現(xiàn)金所有者追蹤性。文獻[4]提出一個基于代理部分盲簽名的電子現(xiàn)金方案，該方案不但可以防止惡意用戶偽造跟蹤信息，而且可以防止惡意用戶的重復支付行為。文獻[5]提出一個滿足最優(yōu)匿名性的可傳遞電子現(xiàn)金系統(tǒng)，并且在標準模型下證明該系統(tǒng)滿足不可偽造性、最優(yōu)匿名性和不可重復花費性等性質(zhì)。文獻[6]利用直接匿名證明技術(shù)構(gòu)造了一個可授權(quán)電子現(xiàn)金系統(tǒng)。該系統(tǒng)可用于為外包計算服務(wù)付費，而且能抵抗拒絕服務(wù)攻擊。本文的研究目標是以群簽名為工具，構(gòu)造一個高效的可分割電子現(xiàn)金系統(tǒng)。此處的可分割是指用戶可以通過執(zhí)行取款協(xié)議從銀行那里獲得一個可分割使用多次的電子錢包（e-wallet）。每當在線購買商品時，用戶可以分割支出其中的一部分金額，直至電子錢包的余額為零。

2 預(yù)備知識

2.1 雙線性群以及困難假設(shè)

本文系統(tǒng)的具體構(gòu)造將使用橢圓曲線上的非對稱的對環(huán)境，其中表示素數(shù)階循環(huán)群，其中與分別為群與的生成元。此外，要求存在稱為雙線性對的可計算同構(gòu)，滿足：1）對于所有的，滿足。2）。

我們稱XDDH（the eXternal Decisional Diffie-Hellman）假設(shè)在對群上成立，條件是DDH問題在群上是困難的，即若給定元組，其中，則難以斷定究竟?jié)M足，還是為隨機元素。

SDL（Symmetric Discrete Logarithm）假設(shè)表明，給定元組，要計算是困難的。

2.2 群簽名

群簽名（Group signatures，簡稱GS）方案[7]是一類特殊的數(shù)字簽名方案。此類方案允許群成員匿名地代表整個群體對消息進行簽名。例如，公司職員可以利用這種方式對文檔簽名，使得簽名驗證者僅能獲知該文檔的確得到了某個公司職員的簽名，但不知道是哪個人簽署的。群管理員（Group Manager，簡稱GM）負責對群成員的成員身份進行管理，他有權(quán)向群體中添加新的用戶（稱為群成員）。此外，GS方案中還設(shè)置了一個打開權(quán)威，其職責是在發(fā)生爭執(zhí)時揭示簽名者的身份。此類操作稱為撤銷匿名性。在某些方案中，由群管理員統(tǒng)一負責添加成員與撤銷匿名性的任務(wù)。

GS方案是由以下算法或協(xié)議定義的，即 。其中，為系統(tǒng)建立算法，用于產(chǎn)生群公鑰和的私鑰。為用戶執(zhí)行的算法，用于向PKI（Public Key Infrastructure）[8]進行注冊，并且得到某個標準數(shù)字簽名方案下的密鑰對，其中表示用戶的身份表示。是一個由與執(zhí)行的兩方交互協(xié)議。作為交互的結(jié)果，獲得群簽名私鑰，且獲得的注冊信息。為代表群體進行簽名的算法。我們用表示使用私鑰產(chǎn)生對消息的簽名的過程。為簽名驗證算法，該算法用于判定給定的群簽名是否有效。為撤銷匿名性的算法，該算法以作為輸入，并返回用戶下標以及證明，即證明用戶產(chǎn)生了簽名。為仲裁機構(gòu)執(zhí)行的審判算法。該算法作為輸入，并輸出1或0，即表示是否判定用戶產(chǎn)生了簽名。

3 新的高效可分割電子現(xiàn)金系統(tǒng)

為了簡化系統(tǒng)設(shè)計，假設(shè)每個用戶都能通過執(zhí)行取款協(xié)議向銀行提取一個可分割使用次的電子錢包，且該的面額為美元。同時，每次可以利用支付協(xié)議向商戶支付中的一個，且該的價值為1美元。在執(zhí)行完次支付之后，可以重新與執(zhí)行取款協(xié)議。此外，維護數(shù)據(jù)庫與，其中用于對有重復支付行為的用戶進行身份追蹤，且用于判斷用戶支付的是否已經(jīng)使用過。

3.1 銀行系統(tǒng)建立算法

在系統(tǒng)建立階段，執(zhí)行以下步驟：

（1）定義雙線性群環(huán)境，其中為素數(shù)階循環(huán)群，為雙線性映射，滿足。

（2）定義抗碰撞散列函數(shù)。

（3）選取，選取，計算 ，并且設(shè)置。

（4）對于，計算，定義。

（5）定義用戶群體公鑰。

3.2 用戶系統(tǒng)建立算法

向PKI申請某標準數(shù)字簽名方案下的公私鑰對。endprint

3.3 取款協(xié)議

假設(shè)希望從自己的銀行賬戶中提取價值為美元的電子錢包，他可以與以下協(xié)議：

（1）選取隨機數(shù)，計算，并且向發(fā)送。

（2）選取，計算 。產(chǎn)生知識簽名，并且向發(fā)送。

（3）驗證是否有效以及的賬戶余額是否充足，若是，則選取，計算。產(chǎn)生知識簽名 ，向發(fā)送。在的賬戶中減去金額，并且在數(shù)據(jù)庫中寫入取款記錄。

（4）計算，并且驗證是否滿足 。若驗證成功，則保存，其中。

3.4 支付協(xié)議

假設(shè)希望向在線購買價值為1美元的商品，他可以與以下協(xié)議：

（1）假設(shè)為付款信息。選取，計算 。選取，計算序列號。需要注意的是，需要確保此前并未使用過。產(chǎn)生知識簽名。

然后，向發(fā)送。同時，將中的取值減1。

（2）驗證的有效性，同時驗證是否滿足。

（3）若驗證通過，向發(fā)貨，并且向請求存入。

（4）驗證的有效性，同時驗證是否滿足。此外，檢查是否滿足。若是，在的賬戶中存入1美元，并且將寫入數(shù)據(jù)庫。相反，判定向支付的用戶有重復支付行為，并且執(zhí)行重復者身份追蹤算法。

3.5 重復支付者身份追蹤算法

給定電子貨幣，執(zhí)行以下步驟：

（1）在數(shù)據(jù)庫中檢查是否存在表目，使得等式成立。若否，則追蹤失敗。

（2）若是，則產(chǎn)生知識簽名 。

（3）將重復支付者的真實身份，證據(jù)以及提交給仲裁機構(gòu)。

3.6 第三方仲裁算法

給定證據(jù)，執(zhí)行以下步驟：

（1）驗證是否滿足。

（2）驗證是否滿足。

（3）驗證是否有效。

（4）若上述驗證都通過，則判定執(zhí)行的“撤銷匿名性”操作有效，同時認定用戶有罪。

4 安全性分析

下面證明，本文系統(tǒng)滿足電子現(xiàn)金系統(tǒng)的三個重要性質(zhì)，即平衡（Balance）、匿名性（Anonymity）和可開脫性（Exculpability）[9]。

平衡性：該性質(zhì)表明，相對于當初從銀行中提取的貨幣，任何由與構(gòu)成的聯(lián)合都無法向銀行存入更多的貨幣。為了證明該性質(zhì)，可以令歸約算法和攻擊者共同執(zhí)行文獻[9]定義的平衡性實驗。在該實驗的執(zhí)行過程中，執(zhí)行誠實和誠實的操作，且執(zhí)行惡意的操作。采用Bichsel等人[7]的技術(shù)，容易證明若能在實驗中獲勝，則能利用破解底層Camenisch-Lysyanskaya簽名[10]的不可偽造性。

匿名性：該性質(zhì)表明任何由惡意、和構(gòu)成的聯(lián)合均無法將某個電子貨幣與其所有者（即誠實）關(guān)聯(lián)起來，也無法將它與其所有者擁有的其他電子貨幣關(guān)聯(lián)起來。為了證明該性質(zhì)，可以令和共同執(zhí)行文獻[9]定義的匿名性實驗。在該實驗的執(zhí)行過程中，執(zhí)行誠實的操作，且執(zhí)行惡意、和的操作。采用Bichsel等人[7]的技術(shù)，容易證明若能在實驗中獲勝，則能利用破解底層XDDH假設(shè)。

可開脫性：該性質(zhì)表明任何由惡意、和構(gòu)成的聯(lián)合均無法對誠實進行陷害，即誣陷該用戶重復支付了某個電子貨幣。為了證明該性質(zhì)，可以令和共同執(zhí)行文獻[9]定義的可開脫性實驗。在該實驗的執(zhí)行過程中，執(zhí)行誠實的操作，且執(zhí)行惡意、和的操作。采用Bichsel等人[7]的技術(shù)，容易證明若能在實驗中獲勝，則能利用破解底層SDL假設(shè)。

5 結(jié)語

本文基于群簽名技術(shù)提出一個允許多次分割使用的電子現(xiàn)金系統(tǒng)，從而有效地解決了電子商務(wù)中電子支付系統(tǒng)的安全問題。本文系統(tǒng)的特點是“一次取款且多次分割支付”，同時在充分保護用戶隱私的前提下，支持銀行對惡意用戶重復支付行為的有效追蹤。今后的研究重點包括進一步優(yōu)化用戶的執(zhí)行效率、探索移動互聯(lián)網(wǎng)條件下的電子現(xiàn)金系統(tǒng)構(gòu)造以及開發(fā)原型系統(tǒng)等。

參考文獻

[1]曲玉婷.電子商務(wù)中電子現(xiàn)金支付系統(tǒng)的安全問題研究[J].商場現(xiàn)代化，2015，（3）：77-79.

[2]Au M H， Wu Q， Susilo W， et al. Compact e-cash from bounded accumulator [C]//Proc of CT-RSA 2007. Berlin： Springer-Verlag， 2007： 178-195.

[3]白永祥.一種盲簽名電子現(xiàn)金系統(tǒng)方案的設(shè)計與實現(xiàn)[J]. 信息安全與通信保密， 2015， （2）：105-109.

[4]周明，王箭.基于代理部分盲簽名的離線電子現(xiàn)金方案[J].計算機與現(xiàn)代化，2015，（4）： 114-118.

[5]張江霄，李舟軍，高延武，等.基于花費鏈最優(yōu)匿名的等長可傳遞電子現(xiàn)金系統(tǒng)[J].電子學報，2015，43（9）：1805-1809.

[6]柳欣，張波.基于 DAA-A 的改進可授權(quán)電子現(xiàn)金系統(tǒng)[J].計算機研究與發(fā)展，2016，53（10）：2412-2429.

[7]Bichsel P， Camenisch J， Neven G， et al. Get shorty via group signatures without encryption [C] // Proc of SCN 2010. Springer Berlin Heidelberg， 2010： 381-398.

[8]Aymen A， Canard S. One time anonymous certificate： x.509 supporting anonymity [C] // Proc of CANS 2010. Springer Berlin Heidelberg， 2010： 334-353.

[9]Mrtens P. Practical compact e-cash with arbitrary wallet size [EB/OL]. Cryptology ePrint Archive， Report 2015/086.

[10]Camenisch J， Lysyanskaya A. Signature schemes and anonymous credentials from bilinear maps[C]//Proc of CRYPTO 2004. Berlin： Springer-Verlag， 2004： 56-72.endprint