高效的強隱私保護和可轉讓的屬性票據方案

封化民，史瑞，袁峰，李艷俊，楊旸

（1.北京郵電大學網絡空間安全學院，北京 100876；2.北京電子科技學院信息安全研究所，北京 100070；3.中國航天科工集團第二研究院706 所，北京 100854；4.中國電子科技集團第十五研究所，北京 100846；5.福州大學數學與計算機科學學院，福建 福州 350108）

0 引言

隨著手機、平板電腦、可穿戴設備等移動終端和互聯網技術的快速發展，電子票據正迅速普及并為人們的生活帶來了極大的便利。目前，電子票據已成為交通、娛樂等行業的許多公司登記、處理和銷售票據的一種趨勢。此外，在云環境下，電子票據還可以作為訪問在線服務的一種憑證。例如，Han等[1]利用電子票據構造了一個在線的匿名單登錄系統。相比于傳統的紙質票據，電子票據可存儲在移動設備上，不需要消耗紙質，減少了資源浪費，有助于實現碳達峰和碳中和；電子票據可在線購買和驗證，減少了復雜的線下交易，提升了用戶體驗。

與匿名的紙質票據相比，電子票據的主要安全隱患是用戶隱私信息的泄露。在電子票據系統中，用戶數據（如姓名、住址、身份證號碼、電話和其他屬性信息等）可能會被收集和濫用。此外，傳統的電子票據[2-8]模型都假設賣方的身份是公開的，但這也可能泄露用戶的很多信息，例如，美國電子駕照簽發者的身份中可能包含用戶的郵政編碼，進而可以推測出用戶的家庭住址。因此，為了更全面地保護用戶隱私，杜絕惡意的驗票方根據賣方身份推測用戶信息的可能，有必要隱藏賣方的身份。2021年8 月，我國頒布了《中華人民共和國個人信息保護法》，使保護用戶信息權益變得更加重要。為了保護用戶隱私，國內外學者使用假名[9]、盲簽名[10]、群簽名[11]、隨機化簽名[12-14]和匿名證書[2，8]等技術設計了很多電子票據方案，但是已有方案都僅提供了用戶的匿名性，卻不支持賣方的匿名性。

屬性票據作為電子票據的一種特殊類型，可提供基于屬性泄露的票據購買方式，這種方式在保證認證性的同時實現了個人信息的最小化泄露。例如，學生購買優惠票時只需泄露學生屬性，而姓名、學號和所在學院等信息都應保密；殘疾人購買優惠票時只需泄露殘疾屬性，而不需要泄露更多的患病細節和其他個人信息；軍人在購買優惠票時只需泄露軍人屬性，而具體的服役單位、軍銜和職務等信息都應保密。屬性票據提高了電子票據使用的靈活性，是電子票據方案應該具備的一個重要功能。Han等[2]第一次提出了支持屬性策略的電子票據方案，但是其方案使用了復雜的零知識證明（ZKP，zero knowledge proof），使票據購買算法的計算消耗隨著用戶屬性數量的增加線性增長。

非實名紙質票據的另一重要特點是可轉讓性，如電影票、景區門票、排隊票等；用戶可以方便地將票據贈送給其他用戶（如朋友、家人等）。目前，已有的可轉讓電子票據方案[5-6]都使用簽名鏈的方式構造票據轉讓算法，使票據轉讓和票據驗證算法的計算消耗都隨著票據轉讓次數的增加呈線性增長。

為了解決電子票據方案存在的上述問題，本文提出了一個高效的強隱私保護且支持屬性策略和票據轉讓功能的電子票據方案，主要貢獻如下。

1)強隱私保護。該方案既能保護用戶的匿名性，也在票據驗證中保護了賣方的匿名性。這使惡意的驗票方無法從票據驗證中獲得用戶和賣方的任何信息，這種強隱私保護特征彌補了已有電子票據方案在用戶隱私保護方面的不足。

2)可轉讓的屬性票據。該方案支持基于屬性泄露的售票策略，用戶可以通過泄露個人部分屬性從賣方匿名地購買任何符合售票策略的票據。該方案支持靈活的票據轉讓功能，用戶可以將票據轉讓給任何已注冊的用戶，賣方也可在發布票據時禁止票據轉讓。

3)高效的算法。與文獻[2]方案相比，該方案將票據購買算法的計算復雜度從O(n)降低到O(n-k)。與文獻[5-6]方案相比，該方案將票據轉讓和票據驗證算法的計算復雜度從O(t)降低到O(1)。其中，n、k、t分別為用戶屬性數量、泄露屬性數量和票據轉讓次數。

4)高效的雙花檢測和追蹤。對于可轉讓電子票據，雙花者可能是票據轉讓鏈中的任何用戶，該方案結合“施諾爾（Schnorr）技巧”[15]和公鑰加密技術實現了票據轉讓鏈中所有雙花用戶的身份追蹤。

本文使用MIRACL（multiprecision integer and rational arithmetic C/C++library）實現了該方案，并與已有的屬性票據[2]和可轉讓票據[5]方案進行了效率對比；實驗結果表明，所提方案在功能和效率上都優于已有方案。

Quercia 等[16]利用Chaum[10]盲簽名提出了一種用于移動交易的電子票據方案。Rupp 等[17]基于Chaum[10]盲簽名和Boneh 等[18]短簽名方案衍生出來一種保護隱私的預支付方案。Milutinovic 等[19]基于Abe 等[20]的盲簽名、Pedersen[21]的秘密共享和Camenisch 等[12]的匿名證書提出了一種保護用戶隱私的電子票據方案。這些方案都可以保護用戶隱私，但與本文方案不同，它們不支持屬性票據，不能保護賣方隱私，不支持高效的票據轉讓，且出現重復消費后無法對惡意用戶進行身份追蹤。

Nakanishi 等[22]基于Camenisch 群簽名提出了一種電子優惠券方案。Vives-Guasch 等[23]利用Boneh 群簽名提出了一種自動收費系統。Heydt-Benjamin 等[3]使用匿名證書、電子現金和代理重新加密技術實現了公共交通電子票據系統的安全性和隱私性。Arfaoui等[7]將Bonyeh-Boyen 簽名[24]與Camenisch 等[12]的匿名證書方案相結合，提出了一種保護隱私的近場通信移動票據系統。Vives-Guasch 等[25]使用輕量級加密技術和具有近場通信能力的移動電話提出了一個電子票據系統。這些方案可以實現用戶和票據的匿名性，但與本文方案不同，它們不支持屬性票據，不能保護賣方隱私，也不支持高效的票據轉讓。

Han 等[2]基于Bonyeh-Boyen 簽名[24]的范圍證明提出了一個基于屬性證書的隱私保護電子票據方案。Han 的方案支持屬性策略和雙花用戶的身份追蹤，但是與本文方案不同，它不能保護賣方隱私，也不支持高效的票據轉讓，且其票據購買算法的計算消耗和通信消耗都隨用戶屬性數量的增大呈線性增加。

Vives-Guasch 等[5]使用群簽名構造了匿名和可轉讓的電子票據方案；Payeras-Capella 等[6]測試了文獻[5]方案的性能。文獻[5]方案實現了可轉讓的匿名票據，但是與本文方案不同，它們不支持屬性票據，不能保護賣方隱私，且其票據轉讓和驗證算法的計算消耗隨著票據轉讓次數的增加呈線性增加。

1 預備知識

1.1 雙線性對

1.2 零知識的知識簽名

對于任意的多項式時間非確定性（NP，non-deterministic polynomial）關系R，NP 語言LR={y:?x，(x，y)∈R}的零知識的知識簽名（ZKSoK，zero knowledge signature of knowledge）[26]定義為π=ZKSoK{(x，y)∈R}(m)。如果知識簽名滿足正確性、可模擬性和可提取性，則知識簽名是模擬提取安全[26]的。

1.3 離散對數假設

離散對數假設是指給定二元組g，gx∈G，其中，任意概率多項式時間（PPT，probabilistic polynomial time）敵手求解x的概率是可忽略的。

1.4 集合承諾

集合承諾（SC，set commitment）[27-28]由初始化、計算承諾、打開承諾、打開子集、驗證子集算法組成。在標準模型下，集合承諾滿足正確性、綁定性、隱藏性和被打開子集的不可偽造性。

1.5 等價類上的結構保持簽名

等價類上的結構保持簽名（SPS-EQ，structure-preserving signature on equivalence class）[27]由初始化、密鑰生成、簽名、修改簽名和驗簽算法組成。在一般群模型下，SPS-EQ 簽名滿足正確性、不可偽造性和簽名適應性，且其明文空間是類隱藏的。

1.6 動態可延展簽名

動態可延展簽名（DMS，dynamically malleable signatures）[29]由初始化、密鑰生成、簽名、驗證延展密鑰、延展簽名和驗簽算法組成。在一般群模型下，DMS 簽名具有正確性、不可偽造性和完美的派生隱私性。

2 方案和安全模型

2.1 方案模型

如圖1 所示，可轉讓的屬性票據方案包括證書中心（CA，certificate authority）、用戶（U，user）、賣方（S，seller）和驗票方（V，verifier）四類實體。CA 執行系統初始化（步驟1)），產生售票策略集合，并向U和S 簽發證書（步驟2)和步驟3)）；S 是票據賣方，它從CA 獲取公鑰證書（步驟2)），并根據CA 公布的售票策略向U 銷售票據（步驟4)）；U 是擁有多個屬性的用戶，它從CA 獲取屬性證書（步驟3)），并根據售票策略匿名的從S 購買票據（步驟4)）；V 是驗票方，它負責驗證票據的合法性（步驟6)），并檢查票據是否是重復消費，若是重復消費則追蹤用戶的公鑰（步驟7)）。U 可以將票據轉讓給其他可信用戶（步驟5)），任何擁有票據（從S 購買或由其他用戶轉讓）的已注冊用戶都可以向V 匿名地消費票據（步驟6)）。

圖1 可轉讓屬性票據的方案模型

表1 定義了常用的符號。一個可轉讓的屬性票據方案包括7 個算法，具體介紹如下。

表1 符號定義

1)系統初始化：Setup(1λ)→(pp，msk，S)。CA執行系統初始化算法，輸入安全參數λ，輸出系統參數pp、主私鑰msk和售票策略集合S。

2)賣方注冊：SR eg(S(ssk，spk，pp)?CA(msk，pp))→creds。S 與CA 交互執行賣方注冊算法。S產生賣方私鑰ssk和公鑰spk，S 輸入ssk、spk和pp；CA 輸入msk和pp。若算法執行成功，S 獲得公鑰證書creds，否則返回⊥。

3)用戶注冊：UReg(U(usk，upk，A，pp)?CA(msk，pp))→credu。U 與CA 交互執行用戶注冊算法。U 產生用戶私鑰usk和公鑰upk，輸入usk、u pk、p p和用戶屬性集合A=；CA 輸入msk和pp。若算法執行成功，U 獲得屬性證書credu，否則返回⊥。

4)票據購買：Issue(U(usk，credu，A，D，pp)?S(ssk，creds，pp))→(tkt，f，tk)。U 與S 交互執行票據購買算法。為了證明U 符合售票策略集合S中的一條策略，U 需要泄露屬性集合 D?A。S 設置票據轉讓標識f，若f=1則允許U 轉讓票據，否則禁止轉讓。若算法執行成功，U 獲得票據tkt、票據轉讓標識f和轉讓密鑰tk，否則返回⊥。

5)票據轉讓：Transfer(U(ssk，tkt，tk，f，pp)?U′(ssk′，pp))→(tkt′，f，tk′)。U 與用戶U′交互執行票據轉讓算法。U 輸入ssk、t kt、f、t k和pp，U′輸入私鑰ssk′和pp。若算法執行成功，U′獲得票據tkt′、轉讓標識f和轉讓密鑰tk′，否則返回⊥。

6)票據驗證：Show(U(ssk，credu，tkt，pp)?V(pp))→(b，tid，ds)。U與V交互執行票據驗證算法。若票據驗證成功，V 輸出b=1、票據標識tid和追蹤雙花信息ds，否則輸出b=0。

7)雙花追蹤：DsTrace(tid，ds，tid′，ds′)→(upk，upk′)。V?輸入?2?個票據驗證算法的輸出(tid，ds)和(tid′，ds′)，若tid=tid′，則檢測到重復消費，V 執行雙花追蹤算法，輸出重復消費者的公鑰。

2.2 威脅模型

CA 在系統中是完全可信的實體。S 是誠實且好奇的，它誠實地按照CA 發布的售票策略集合為用戶售票，但好奇用戶的真實身份和屬性信息。U是惡意的，它可能偽造票據或重復消費票據，但在票據轉讓協議中，票據轉讓用戶U和接受轉讓用戶U′之間是互信的。V 是誠實且好奇的，它誠實地驗證票據，檢測重復消費并追蹤惡意用戶公鑰，但它好奇用戶和賣方的真實身份。

2.3 安全模型

電子票據方案應滿足以下安全要求：用戶證書和票據的不可偽造性、誠實用戶的不可鏈接性和驗票算法中賣方身份的不可鏈接性。為了準確地定義上述安全需求，本文使用基于游戲[12-15，27，29]的方法定義了電子票據方案的安全模型。

全局變量：使用集合HU、CU、USK、UPK 分別記錄誠實用戶編號、惡意用戶編號、用戶私鑰和用戶公鑰；使用集合HS、CS、SSK、SPK分別記錄誠實賣方編號、惡意賣方編號、賣方私鑰和賣方公鑰；使用列表LU=(UI，UC，UA)記錄注冊用戶編號、用戶證書和屬性集合；使用列表LS=(SI，SC)記錄注冊賣方編號和賣方證書；使用列表LT=(TI，TKT，TK，TF)記錄用戶編號、票據、票據轉讓密鑰和轉讓標識。

預言機：下面給出安全定義中使用的預言機。

OHS(j)：輸入賣方編號j。若j∈CS或j∈HS，則返回⊥，否則產生誠實賣方j的密鑰對(SSK[j]，SPK[j])，將j添加到HS，返回SPK[j]。

OSR(j)：輸入賣方編號j。若j?HS，則返回⊥，否則執行賣方注冊算法creds←SReg(S(SSK[j]，SPK[j]，pp)?CA(ms k，pp))，將(j，creds)添加到LS。

OCS(j)：輸入賣方編號j。若j?HS，則返回⊥，否則將j從HS 刪除并添加到CS，返回SSK[j]和(SI[k]，SC[k])，其中SI[k]=j。

OHU(i)：輸入用戶編號i。若i∈CU或i∈HU，則返回⊥，否則產生誠實用戶i的密鑰(USK[i]，UPK[i])，將i添加到HU，返回UPK[i]。

OUR(i，A)：輸入用戶編號i和屬性集合A。若i?HU，則返回⊥，否則執行用戶注冊算法credu?←?UR?eg(U(USK[i]，UPK[i]，A，pp)?C A(msk，pp))，將(i，credu，A)添加到LU。

OCU(i)：輸入用戶編號i。若i?HU，則返回⊥，否則將i從HU 刪除并添加到CU，返回USK[i]和(UI[k]，UC[k]，UA[k])，其中UI[k]=i。

OIss(i，j，I，f)：輸入用戶編號i、賣方編號j、符合售票策略的屬性集合索引I和票據轉讓標識f。若i?HU或j?HS，則返回⊥，否則執行票據購?買?算?法?(tkt，f，tk)←Issue(U(USK[i]，UC[k]，UA[k]，D，pp)?S(SSK[j]，SC[k′]，pp))，其中D=(ai)i∈I，UI[k]=i，SI[k′]=j，將(i，tkt，tk，f)添加到LT。

OIss.U(i，j，I，f)：輸入用戶編號i和符合售票策略的屬性集合索引I。若i?HU，則返回⊥，否則敵手A 模擬賣方j與誠實用戶i交互執行票據購買協 議(tkt，f，tk)←Issue(U(USK[i]，UC[k]，UA[k]，D，pp)?A(j，·))，其中D=(ai)i∈I，UI[k]=i，將(i，tkt，tk，f)添加到LT。

OIss.S(i，j，I，f)：輸入賣方編號j和符合售票策略的屬性集合索引I。若j?HS，則返回⊥，否則敵手A 模擬用戶i與誠實賣方j交互執行票據購買算法(tkt，f，tk)←Issue(A(i，D，·))?S(SSK[j]，SC[k′]，pp))其中D=(ai)i∈I，SI[k′]=j，將(i，tkt，tk，f)添加到LT。

OTra(i，i′)：輸入用戶編號i和i′。若i?HU或i′?HU，則返回⊥，否則執行票據轉讓算法(tkt′，f，tk′)←Transfer (U(U SK[i]，TKT[k]，TK[k]，TF[k]，pp)?U′(U SK[k′]，pp))，其中TI[k]=i，TI[k′]=i′，將(i′，tkt′，tk′，f)添加到LT。

OShw(i)：輸入用戶編號i。若i?HU，則返回⊥，否則敵手A 模擬驗票方與誠實用戶i交互執行票據驗證算法(b，tid，ds)←Show(U(ssk，credu，tkt，pp)? A(·))，返回(b，tid，ds)。

不可偽造性：不可偽造性保護誠實的賣方和驗票方不受惡意用戶的攻擊。

定義1在Expunf(A，λ)（如圖2 所示）中，如果對于任意的PPT 敵手A，存在可忽略函數ε(λ)，使

圖2 不可偽造性實驗

則電子票據方案是不可偽造的。

匿名性：匿名性保護誠實的用戶不受惡意賣方和惡意驗票方的攻擊。

定義2在(A，λ，b)和(A，λ，b)中（如圖3 所示），如果對于任意的PPT 敵手A，存在可忽略函數ε(λ)，使

圖3 匿名性實驗

則電子票據方案是匿名的。

3 設計思想和方案構造

3.1 設計思想

本文方案的構造使用了集合承諾[27-28]、SPS-EQ簽名[27]、DMS 簽名[29]和“Schnorr 技巧”[15]，主要面臨的挑戰是如何將它們結合，并構造出具有以下特點的電子票據方案。1)在票據購買算法中，為了符合基于屬性的售票策略，在用戶注冊時首先利用集合承諾將用戶屬性信息聚合為一個承諾，再使用SPS-EQ 簽名將屬性承諾和用戶公鑰簽名；在票據購買算法中，利用集合承諾打開子集算法和SPS-EQ 修改簽名算法，高效地實現了匿名的屬性泄露證明。2)在票據驗證算法中，為了隱藏賣方公鑰和證書，使用SPS-EQ 簽名簽發賣方公鑰證書；利用SPS-EQ 簽名可同時隨機化消息和簽名的特點，在票據驗證時用戶不需要獲取賣方私鑰就可以對賣方的公鑰和證書隨機化，用戶僅增加了少量計算就隱藏了賣方的公鑰和證書。3)為了支持靈活的票據轉讓功能，使用DMS 簽名簽發票據；在票據轉讓時，執行DMS 簽名的延展簽名算法，實現了常數復雜度的票據轉讓和票據驗證。4)為了支持票據出現雙花時的身份追蹤，在票據驗證算法中，首先使用公鑰加密算法將用戶公鑰upk 加密，再使用“Schnorr 技巧”將加密密鑰ek 隱藏起來。如果V檢測到任何2 個相同tid 的票據，則立即識別到重復消費，并計算出所有雙花用戶的公鑰。

3.2 方案構造

1)系統初始化：Setup(1λ)→(pp，msk，S)。如圖4 所示，CA 執行系統初始化算法。

2)賣方注冊：SR eg(S(ssk，spk，pp)?CA(msk，pp))→creds。如圖5 所示，S 與CA 交互執行賣方注冊算法。

圖5 賣方注冊

3)用?戶?注?冊：UReg(U(usk，upk，A，pp)?CA(msk，pp))→credu。如圖6 所示，U 與CA 交互執行用戶注冊算法。

圖6 用戶注冊

4)票據購買：Issue(U(usk，credu，A，D，pp)?S(ssk，creds，pp))→(tkt，f，tk)。如圖7 所示，U 與S交互執行票據購買算法。

圖7 票據購買

5)票?據?轉?讓：Transfer(U(ssk，tkt，tk，f，pp)?U′(ssk′，pp))→(tkt′，f，tk′)。如圖8 所示，當f=1時，轉讓用戶U 與接受用戶U′交互執行票據轉讓算法。

圖8 票據轉讓

6)票據驗證：Show(U(ssk，credu，tkt，pp)?V(pp))→(b，tid，ds)。如圖9 所示，U 與V 交互執行票據驗證算法。

圖9 票據驗證

7)雙花追蹤：DsTrace(tid，ds，tid′，ds′)→(upk，upk′)。若tid=tid′，則V 檢測到重復消費。此時，V 計算，輸出upk=

4 安全性分析

4.1 不可偽造性

定理1已知π1，π1′，π2，π3，π4是知識簽名，如果SPS-EQ簽名和DMS簽名在選擇消息攻擊模型下是不可偽造的，集合承諾的被打開子集是不可偽造的，且離散對數問題在G1上是難解的，那么電子票據方案是不可偽造的。

證明在不可偽造性實驗Expunf(A，λ)中，證明區分了4 種類型的敵手。

引理1如果存在類型1 的敵手A 以概率ε贏得不可偽造性游戲，那么存在挑戰者C 以相同的概率偽造了SPS-EQ 簽名。

證明C 執行SPS-EQ 簽名的不可偽造性游戲，獲得參數pp ′=(ppbp，mpku)；C 使用pp′作為參數產生系統剩余參數(ppsc，mpks，w)和msk=(q，msks)。C 將參數pp=(pp′，ppsc，mpks，w)發送給A。C 能夠不限次數地訪問SPS-EQ 簽名預言機OSign(·)，并向A模擬預言機OHS，OSR，OHU，OCU，OIss，OIss.S，OTra，OShw。因為C 擁有所有用戶、賣方和部分CA 的私鑰，所以這些預言機的執行與真實的游戲是一致的。

OUR(i，A)。對于用戶注冊預言機，C 計算屬性集合A 的承諾Cu，將(Cu，UPK[i])發送給OSign(·)，獲得簽名σu；C 將(i，credu，A)添加到LU。

如果敵手以ε的概率偽造了證書，并在票據購買算法中通過構造知識簽名π3通過了S 的驗證，或在票據驗證算法中通過構造知識簽名π4通過了V 的驗證。因為π3，π4是知識簽名，所以C 可執行知識提取器獲取證據(usk，v)，其中upk*=upkv。因為此處考慮類型1 的偽造，所以對?i∈HU ∪CU，UC[i]≠，C沒有詢問過等價類的簽名。因為C 的模擬不會中斷，所以C 以ε的概率偽造了SPS-EQ 簽名的消息簽名對。證畢。

引理2如果存在類型2 的敵手A 以概率ε贏得不可偽造性游戲，那么存在挑戰者C 以相同的概率偽造了集合承諾的打開子集證明。

證明C 執行集合承諾的不可偽造性游戲，獲得參數pp ′=(ppsc，g，)；C 使用pp′作為參數產生系統剩余參數(GT，e，mpku，mpks，w)和msk=(msku，msks)。C 將參數pp 發送給A。因為任何參與實體根據集合承諾的參數都可計算承諾，所以所有預言機的執行都與真實的游戲是一致的。

引理3如果存在類型3 的敵手A 以概率ε贏得不可偽造性游戲，那么存在挑戰者C 以的概率計算出G1上的離散對數，其中m為誠實賣方的數量。

證明設(G1，g，gx)是一個離散對數挑戰，C使用(G1，g)作為參數產生剩余參數，并將參數pp發送給A。在不可偽造性游戲中，C 猜測誠實用戶i*∈HU，游戲結束時如果敵手偽造了i*的證書，C可通過知識提取器獲得x。C 向A 模擬預言機。

OHS，OSR，OIss.S，OTra。因為C 知道賣方和CA 的私鑰，所以這些預言機的執行與真實的游戲一致。

OHU(i)。如果i≠i*，預言機的執行與真實的游戲是一致的；如果i=i*，C 設置UPK[i]=gx。

OCU(i)。如果i≠i*，預言機的執行與真實的游戲是一致的；如果i=i*，返回⊥。

OUR(i，A)，OIss(i，j，I，f)，OShw(i)。如果i≠i*，那么這些預言機的執行與真實的游戲是一致的；如果i=i*，C 模擬知識簽名π2，π3和π4。

因為此處考慮類型3 的偽造，如果敵手以ε的概率偽造了誠實用戶i的證書，并在票據購買算法中通過構造知識簽名π3通過了S 的驗證，或在票據驗證算法中通過構造知識簽名π4通過了V 的驗證。如果i≠i*，游戲中斷；否則，因為π3，π4是知識簽名，C 可執行知識提取器獲取證據(usk，v)，其中usk=x。因為游戲中斷的概率為m-，所以C 以的概率計算出離散對數。證畢。

引理4如果存在類型4 的敵手A 以概率ε贏得不可偽造性游戲，那么存在挑戰者C 以的概率偽造了DMS 簽名，其中m為誠實賣方的數量。

證明C 執行DMS 簽名的不可偽造性游戲，獲得參數(ppbp，spk*)。C 使用ppbp作為參數產生系統剩余參數，并將參數pp 發送給A。在DMS 簽名的不可偽造性游戲中，C 能夠不限次數地訪問DMS簽名預言機OSign(·)。在電子票據的不可偽造性游戲中，C猜測誠實賣方j*∈HS，如果游戲結束時敵手偽造了賣方j*簽發的票據，C 就獲得了一個偽造的DMS 簽名。C 向A 模擬預言機。

OHU，OUR，OCU，OTra，OShw。因為C 知道CA和用戶的私鑰，所以這些預言機的執行與真實的游戲一致。

OHS(j)。如果j≠j*，預言機的執行與真實的游戲是一致的；如果j=j*，令SPK[j]=spk*。

OSR(j)。如果j≠j*，預言機的執行與真實的游戲是一致的；如果j=j*，C 模擬知識簽名π2。

OIss(i，j，I，f)，OIss.S(i，j，I，f)。如果j≠j*，預言機的執行與真實的游戲是一致的；如果j=j*，C 模擬知識簽名π2；收到用戶的購票申請后，C 通過知識提取器從知識簽名π3中提取(z，usk，dsrnd，ek，tid′，r0，…，r3)；C 隨機選取tid′′，計算tid=tid ′+tid′，設置票據有效期VP∈Zp，將(usk，dsrnd，ek，tid，VP)和(r0，…，r3)分別發送DMS 簽名預言機OSign(·)，并獲得簽名(h，δ1)和，δ2)；然后C 計算

最后，敵手以ε的概率偽造了誠實賣方j簽發的票據，并在票據驗證算法中通過構造知識簽名π4通過了V 的驗證。如果j≠j*，游戲中斷；如果j=j*，因為π4是知識簽名，C 可執行知識提取器獲取證據(usk*，dsrnd*，ek*)。因為此處考慮類型4的偽造，對，C 沒有詢問過(usk*，dsrnd*，ek*，tid*，VP*)的DMS 簽名，其中tid*和VP*是敵手在票據驗證時泄露的。因為C中斷的概率為m-，所以C 以的概率偽造了消息(usk*，dsrnd*，ek*，tid*，VP*)的DMS 簽名證畢。

4.2 匿名性

定理2已知，π3，π4是知識簽名，如果SPS-EQ簽名滿足簽名適應性和明文空間的類隱藏性，DMS簽名具有完美的派生隱私性，那么電子票據方案滿足匿名性。

證明在匿名性實驗(A，λ，b)中，敵手A 模擬惡意的驗票方，試圖在票據驗證算法中區分賣方身份。在匿名性實驗(A，λ，b)中，敵手A模擬惡意的賣方，試圖在票據購買或票據驗證算法中區分用戶身份。

引理5在實驗(A，λ，b)中，如果SPSEQ 簽名滿足簽名適應性和明文空間的類隱藏性，那么電子票據方案滿足匿名性。

證明挑戰者C 執行(pp，msk，S)←Setup(1λ)產生CA 私鑰和系統參數，并將(pp，S)發送給A。在匿名性游戲中，C 猜測A 要區分的誠實賣方j*∈HS。通過定義不可區分的游戲序列的方式可以證明，在最后的游戲中A 成功的概率是可忽略的。

Game0。與(A，λ，b)相同。

Game1。在預言機OIss、OIss.U、OShw中，如果j=j*，使用SPS-EQ 的簽名算法代替修改簽名算法，其他操作與Game0相同。因為C 知道CA 的私鑰，所以上述代替可以實現。因為SPS-EQ 簽名滿足簽名適應性和明文空間的類隱藏性，因此

Game2。在預言機OIss、OIss.U、OShw中，如果j=j*，使用DMS 的簽名算法代替延展簽名算法，其他操作與Game1相同。因為C 知道S 的私鑰，所以上述代替可以實現。因為DMS 簽名具有完美的派生隱私性，所以

Game3。在預言機OIss、OIss.U、OShw中，如果j=j*，模擬知識簽名π1′，π3，π4，其他操作與Game2相同。因為知識簽名的模擬是完美的，因此

Game4。m是誠實賣方的數量，在游戲的第一階段，敵手A 輸出2 個賣方j0和j1。在第二階段，C隨機選擇b∈{0，1}，如果jb≠j*則返回⊥，否則A 猜測票據賣方jb，其他的操作與Game3相同。因為Game4返回失敗的概率為m-，所以。當jb=j*時，因為知識簽名的模擬是完美的，SPS-EQ 簽名滿足簽名適應性和明文空間的類隱藏性，且DMS 簽名具有完美的派生隱私性，所以

5 效率分析

5.1 理論分析

表2 將本文方案與最近提出的電子票據方案和屬性證書方案在功能上進行了比較，其中√表示支持，×表示不支持，—表示不涉及此項。文獻[19]方案實現了匿名性和雙花檢測，但是不支持屬性票據和可轉讓票據，不能實現賣方的匿名性和雙花追蹤。文獻[3，21]方案實現了匿名性、雙花追蹤和雙花檢測，但是不支持屬性票據、可轉讓票據和雙花追蹤。文獻[12-14]方案支持匿名性和屬性證書，但是其屬性泄露證明使用了ZKP。文獻[2]方案支持匿名性、屬性票據、雙花追蹤和雙花檢測，并給出了正式的安全證明，但是其不支持票據轉讓，屬性泄露證明使用了ZKP 實現。文獻[5-6]方案支持可轉讓票據、雙花檢測和雙花追蹤，但是其不支持屬性票據和賣方的匿名性，并且該方案使用簽名鏈實現票據轉讓，導致票據轉讓和票據驗證算法的計算復雜度隨著轉讓次數的增加線性增長。本文方案不僅支持匿名性、屬性票據、可轉讓、雙花檢測和雙花追蹤等功能，而且使用SPS-EQ 簽名實現了高效的屬性泄露證明和賣方的匿名性，使用DMS 簽名實現了常數復雜度的票據轉讓和票據驗證。

表2 功能比較

表3將本文方案與文獻[2]方案在效率上進行了比較，其中n和k分別為用戶屬性數量和泄露屬性數量。本文方案將票據購買算法中用戶的計算復雜度從O(n)降低到O(n-k)，將賣方的計算復雜度從O(n)降低到O(k)。

表3 與文獻[2]方案的效率比較

表4 將本文方案與文獻[5-6]方案在票據轉讓和票據驗證算法的效率上進行了比較，其中t為票據轉讓次數。本文方案將票據轉讓算法中用戶U′的計算復雜度從O(t)降低到O(1)，將票據驗證算法中驗票方的計算復雜度從O(t)降低到O(1)，實現了常數復雜度的票據轉讓和票據驗證。

表4 與文獻[5-6]方案的效率比較

5.2 實驗分析

使用基于數論的密碼庫MIRACL和Type-3雙線性對實現了本文方案。其中橢圓曲線使用AES-100比特安全級別的Barreto-Naehrig 曲線（BN-256）。實驗平臺為HUAWEI MateBook，CPU 為AMD Ryzen-5 4600H，時鐘頻率為3.0 GHz；操作系統為64 位Ubuntu Kylin 16.04，運行內存為16 GB，實現語言為C/C++，編譯器為GCC/G++。

圖10 將本文方案與文獻[2]方案中的算法運行時間進行了對比，其中測試時設置用戶屬性數量n=10，泄露屬性數量k=3。1-CA 表示系統初始化算法；2-S 表示賣方注冊算法的賣方計算部分，2-CA表示賣方注冊算法的CA 計算部分；3-U 表示用戶注冊算法的用戶計算部分，3-CA 表示用戶注冊算法的CA 計算部分；4-U 表示票據購買算法的用戶計算部分，4-S 表示票據購買算法的賣方計算部分；5-U 表示票據驗證算法的用戶計算部分，5-V 表示票據驗證算法的驗票方計算部分。由圖10 可知，本文方案各個算法的運行時間僅分別為文獻[2]方案的4%、10%、45.6%、4%、16.6%、5.8%、4.3%、3.7%和16.4%。

圖10 運行時間比較

圖11 是隨著用戶屬性數量的增多，本文方案和文獻[2]方案中的票據購買算法運行時間對比，其中在測試時設置泄露屬性數量k=5，用戶屬性數量n={20，40，60，80，100}。其中圖11(a)為票據購買算法用戶計算部分的比較，圖11(b)為票據購買算法賣方計算部分的比較。由圖11(a)可知，本文方案和文獻[2]方案的用戶計算時間都隨用戶屬性數量的增加線性增長，但是本文方案的時間消耗僅約為文獻[2]方案的6%。由圖11(b)可知，文獻[2]方案的賣方計算時間隨用戶屬性數量的增加線性增長，但是本文方案的計算時間（約為107 ms）與屬性數量無關，且本文方案的時間消耗僅約為文獻[2]方案的4%。

圖11 票據購買算法運行時間比較

圖12 是隨著票據轉讓次數的增加，本文方案和文獻[5]方案中的票據轉讓和票據驗證算法運行時間的對比，其中測試時設置用戶屬性數量n=10，泄露屬性數量k=3，轉讓次數t={2，4，6，8，10}。其中圖12(a)為票據轉讓算法轉讓用戶計算部分的比較，圖12(b)為票據轉讓算法受讓用戶計算部分的比較，圖12(c)為票據驗證算法用戶計算部分的比較，圖12(d)為票據驗證算法驗票方計算部分的比較。由圖12(a)可知，本文方案和文獻[5]方案的票據轉讓算法的轉讓用戶計算時間都與轉讓次數無關，其中本文方案和文獻[5]方案耗時分別約2.5 ms和129 ms，本文方案的時間消耗僅約為文獻[5]方案的2%。由圖12(b)可知，文獻[5]方案的受讓用戶的計算時間隨著轉讓次數的增加線性增長，但是本文方案的計算時間（約為48 ms）與轉讓次數無關，且本文方案的時間消耗僅約為文獻[5]方案的9%。由圖12(c)可知，本文方案和文獻[5]方案的票據驗證算法的用戶計算時間都與轉讓次數無關，其中本文方案和文獻[5]方案耗時分別約42 ms和37 ms，2 種方案的時間消耗基本相當。由圖12(d)可知，文獻[5]方案的驗證方計算時間隨著轉讓次數的增加線性增長，但是本文方案的計算時間（約為170 ms）與轉讓次數無關，且本文方案的時間消耗僅約為文獻[5]方案的34%。

圖12 票據轉讓和驗證算法中票據轉讓次數與運行時間關系

以上分析和比較表明，本文方案與目前最新的電子票據方案相比，計算開銷顯著降低。

6 結束語

本文構造了高效的強隱私保護且支持屬性策略和票據轉讓功能的電子票據方案。與目前的電子票據方案相比，本文方案不僅支持匿名性、屬性票據、可轉讓、雙花檢測和雙花追蹤等功能，而且顯著降低了票據購買算法的計算消耗，實現了常數復雜度的票據轉讓和驗證算法，并以較少的計算代價實現了賣方的匿名性。