白永祥

(1渭南職業(yè)技術(shù)學(xué)院陜西渭南714000；2西北大學(xué)信息與科技學(xué)院陜西西安710127)

0 引言

隨著網(wǎng)絡(luò)信息化技術(shù)的快速發(fā)展，電子支付在電子商務(wù)交易中成為核心的技術(shù)，電子現(xiàn)金以其關(guān)鍵的技術(shù)將會(huì)得到廣泛的應(yīng)用。為了能跟蹤重復(fù)支付的用戶，在電子現(xiàn)金流動(dòng)的過(guò)程中加入了盲化的用戶身份信息，在普通的盲簽名中，被簽名的消息整個(gè)由用戶所控制，而簽名者對(duì)此一無(wú)所知，這樣很容易造成簽名被犯罪分子利用?；谏矸莸墓€密碼體制與傳統(tǒng)的密碼體制相比較在很多方面都具有更多的優(yōu)勢(shì)，通過(guò)基于身份的密碼技術(shù)來(lái)構(gòu)建部分盲簽名方案[1]，并基于部分群盲簽名方案設(shè)計(jì)公平離線的電子現(xiàn)金系統(tǒng)。

1 相關(guān)概念

1.1 盲簽名

1982年，Chaum在美國(guó)密碼學(xué)會(huì)上提出了盲簽名的概念[2]。它是用戶和簽名人之間的一個(gè)交互協(xié)議，簽名人對(duì)用戶的消息進(jìn)行數(shù)字簽名，但卻不知道簽名消息的具體內(nèi)容，即便以后將簽名公開，也無(wú)法追蹤消息與自己執(zhí)行簽名過(guò)程之間的相互關(guān)系。

一個(gè)盲簽名體制有簽名人和用戶，一般由滿足如下條件的3個(gè)算法構(gòu)成[3]:

1)初始化算法:形成系統(tǒng)參數(shù)與簽名人的公鑰、私鑰，這是一個(gè)概率多項(xiàng)式時(shí)間算法。

2)盲簽名生成算法:s＝Sign(m，params，pk，sk)，s代表簽名，params代表公共系統(tǒng)參數(shù)，pk，sk代表簽名者的公鑰和私鑰，Sign()是一個(gè)概率多項(xiàng)式時(shí)間的交互協(xié)議。

3)盲簽名驗(yàn)證算法:1(0)←Verify(m，params，pk，s) ，1 表示簽名有效，0表示簽名無(wú)效。

1.2 電子現(xiàn)金

電子現(xiàn)金(Electronic Cash)又稱為電子貨幣 (Electronic Money)或數(shù)字貨幣(Digital Cash)，它是一種非常重要的電子支付系統(tǒng)，也可以被看作是現(xiàn)實(shí)貨幣的電子或數(shù)字模擬[4]。電子現(xiàn)金以數(shù)字信息形式存在，并通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)流通，但它比現(xiàn)實(shí)的貨幣更加方便和經(jīng)濟(jì)。一個(gè)電子現(xiàn)金系統(tǒng)最簡(jiǎn)單的形式包括商家、用戶、銀行三個(gè)主體和四個(gè)安全協(xié)議過(guò)程:初始化協(xié)議、提款協(xié)議、支付協(xié)議和存款協(xié)議。

電子現(xiàn)金系統(tǒng)在其生命周期中要經(jīng)過(guò)取款、支付和存款三個(gè)過(guò)程[5]，并涉及用戶(Consumer)、商家(Merchant)和銀行(Bank)三方。電子現(xiàn)金的基本流通模式有三種協(xié)議:一個(gè)是用戶與銀行執(zhí)行取款協(xié)議，用戶從注冊(cè)銀行提取電子現(xiàn)金?另一個(gè)是用戶與商家執(zhí)行支付協(xié)議支付電子現(xiàn)金?最后一種是商家與銀行執(zhí)行存款協(xié)議，將交易所得的電子現(xiàn)金存入商家的銀行賬戶。電子現(xiàn)金的基本模型如圖1所示[6]:

圖1 電子現(xiàn)金基本模型

2 研究背景

電子現(xiàn)金支付旨在網(wǎng)絡(luò)上重建基于現(xiàn)金型交易功能的作用，它可以使用密碼技術(shù)和盲簽名技術(shù)實(shí)現(xiàn)完全匿名，從而保護(hù)用戶的消費(fèi)信息。自從1982年Chaum最早提出一個(gè)在線的基于RSA盲簽名完全匿名電子現(xiàn)金方案以來(lái)[7]，研究者們提出了各種各樣的方案。

1988年，Chaum、Fait、Naor利用切割－選擇和 RSA 盲簽名技術(shù)提出了一個(gè)在線的匿名電子現(xiàn)金方案[8]?1991年，Okamoto、ohta采用二叉樹結(jié)構(gòu)表示電子現(xiàn)金和利用切割選擇技術(shù)的可分電子現(xiàn)金方案[9]?1992年，由Brands最早利用限制性盲簽名提出了一個(gè)離線的完全匿名電子現(xiàn)金方案，這是迄今為效率最高的方案之一，1993 年又進(jìn)行了改進(jìn)[10]?1995 年，Stadler、Brickel分別提出公平電子現(xiàn)金方案，除具備一般電子現(xiàn)金的功能外，還可跟蹤電子現(xiàn)金和所有者跟蹤協(xié)議[11]。同年Birckel、Gemmel、Kravitz引入基于可信第三方 TTP的跟蹤[12]。1996年，F(xiàn)rankel、Tsiounis、Yung基于間接證明技術(shù)提出了一個(gè)公平電子現(xiàn)金方案[13]?1997年，Davida、Frankel和Tsiounis基于零知識(shí)證明技術(shù)對(duì)上述方案進(jìn)行了改進(jìn)[14]，1998年，F(xiàn)rankel、Tsiounis和 Yung在文獻(xiàn)[15]利用同構(gòu)加密的思想分兩次對(duì)上面方案進(jìn)行了改進(jìn)?1998年，Anna、Zulfikar在文獻(xiàn)[16]首先提出了基于群盲簽構(gòu)造一個(gè)具有多個(gè)銀行參與發(fā)行的完全匿名電子現(xiàn)金方案?1999年，楊波等人在[17]中提出了選用靈通卡的公平電子現(xiàn)金方案。

3 方案設(shè)計(jì)

3.1 成員組成

方案由四部分組成:消費(fèi)者、可信第三方(TTP)、銀行、商家。為了整個(gè)系統(tǒng)的安全性，在公共網(wǎng)上傳遞信息采用公鑰密碼體制。盲簽名方法用來(lái)保護(hù)用戶信息的隱私，四部組成因素具體功能如下[18]:

1)消費(fèi)者(Consumer):想用電子現(xiàn)金購(gòu)買商品的消費(fèi)者。

2)可信第三方(TTP):是一個(gè)各方都信認(rèn)的認(rèn)證機(jī)構(gòu)，它可以為電子現(xiàn)金生成一些認(rèn)證的信息，如果發(fā)生爭(zhēng)執(zhí)，可以正確識(shí)別身份。

3)銀行(Bank):為消費(fèi)者分配電子現(xiàn)金，并在消費(fèi)者用電子現(xiàn)金購(gòu)買商品后，可以為商家存款到賬戶。

4)商家(Merchant):能為消費(fèi)者提供各種商品的可信賴方，并且能夠檢驗(yàn)出從消費(fèi)者處獲得的電子現(xiàn)金是否為銀行分發(fā)的有效電子現(xiàn)金。同時(shí)能夠把從消費(fèi)者處獲得的電子現(xiàn)金傳送到銀行，存儲(chǔ)到自己的賬戶上。

圖2 一種公平離線的電子現(xiàn)金模型

3.2 方案中用到的符號(hào)

IDi:消費(fèi)者i唯一的身份標(biāo)識(shí)信息?

Ai:消費(fèi)者i的銀行賬戶?

Hash(.):單向雜湊函數(shù)?

sn:唯一的貨幣標(biāo)識(shí)號(hào)?

PKi/SKi:用戶i的公鑰和私鑰?

Ek(·)/Dk(·):加密/解密算法?

B(m，r):對(duì)消息進(jìn)行盲因子的函數(shù)?

B－1(m，r):去盲因子函數(shù)。

3.3 協(xié)議過(guò)程

在我們的方案中，有四個(gè)協(xié)議過(guò)程:注冊(cè)、取款、支付、存款。具體過(guò)程如下:

3.3.1 注冊(cè)登記

1)客戶為了得到銀行對(duì)電子現(xiàn)金的權(quán)威認(rèn)證，必須到銀行進(jìn)行注冊(cè)登記，用戶通過(guò)自己的私鑰計(jì)算SC＝ESKC(IDi)產(chǎn)生證明書，然后使用可信第三方的公鑰加密后發(fā)送給TTP，EPKTTP(IDi，SC)?

2)TTP收到信息后，使用客戶的公鑰檢驗(yàn)IDi＝EPKC(SC)是否成立，驗(yàn)證通過(guò)后，TTP產(chǎn)生唯一的序列號(hào)sn并記錄到數(shù)據(jù)庫(kù)中?

3)TTP對(duì)sn進(jìn)行簽名，然后分別使用客戶的公鑰和銀行的公鑰加密后發(fā)送給他們:

4)客戶收到TTP發(fā)送的信息后，使用自己的私鑰進(jìn)行解密，再檢驗(yàn)是否是由TTP生成的:

通過(guò)驗(yàn)證后，客戶把序列號(hào)sn用于以后的電子現(xiàn)金貨幣中，銀行的檢驗(yàn)執(zhí)行過(guò)程和客戶一樣，只是最后把序列號(hào)sn記錄入數(shù)據(jù)庫(kù)中，為以后查明重復(fù)支付作好準(zhǔn)備。

3.3.2 取款

1)通過(guò)注冊(cè)操作以后，客戶從TTP處得到一個(gè)唯一的序列號(hào)sn，然后他就使用私鑰對(duì)銀行里的賬戶信息進(jìn)行簽名?隨機(jī)選擇一個(gè)盲因子r對(duì)sn進(jìn)行盲化?再使用銀行的公鑰加密后發(fā)送給銀行，以請(qǐng)求分發(fā)給合法的電子現(xiàn)金。

2)銀行收到客戶發(fā)送的X后，用私鑰進(jìn)行解密，再用客戶的公鑰檢驗(yàn)Sa，如果結(jié)果正確，則從客戶的賬號(hào)中扣除電子現(xiàn)金，并用自己的私鑰SKB對(duì)盲消息M′進(jìn)行簽名，再用客戶的公鑰加密簽名后發(fā)回給客戶。

3)客戶使用私鑰對(duì)X1進(jìn)行解密，然后使用去盲函數(shù)和盲因子獲得對(duì)序列號(hào)的簽名。最后客戶從銀行獲得電子現(xiàn)金(sn，S)，但是銀行不能得到除序列號(hào)外的任何信息。

3.3.3 支付

1)客戶在購(gòu)買商品時(shí)，使用電子現(xiàn)金(sn，S)進(jìn)行支付。為了獲得用戶想要的商家產(chǎn)品，客戶隨機(jī)產(chǎn)生一個(gè)數(shù)，并用私鑰對(duì)進(jìn)行簽名，再用盲化函數(shù)和盲化因子r′實(shí)施盲化。為了安全使用商家的公鑰對(duì)電子現(xiàn)金(sn，S)進(jìn)行加密[19]。

2)商家收到加密的電子現(xiàn)金后，用私鑰解密，然后對(duì)電子現(xiàn)金的有效性進(jìn)行檢驗(yàn)，如果有效，則商家答應(yīng)給客戶商品

3)客戶收到商家的商品和S″r后，他使用盲函數(shù)和盲因子作如下運(yùn)算:

最后消費(fèi)者獲得了相應(yīng)的商家的商品和票據(jù)，同時(shí)為了防止商家重復(fù)存儲(chǔ)電子現(xiàn)金，客戶要保存好收據(jù)票。

3.3.4 存款

1)商家獲得電子現(xiàn)金(sn，S)之后，他可以存儲(chǔ)到銀行中他的賬戶。首先商家使用銀行的公鑰PKB對(duì)(sn，S)進(jìn)行加密，然后再發(fā)送給銀行。

2)銀行獲得加密的電子現(xiàn)金后，用私鑰進(jìn)行解密。最后對(duì)電子現(xiàn)金進(jìn)行有效性檢驗(yàn)，通過(guò)檢驗(yàn)后增加到商家的賬戶中去，并對(duì)電子現(xiàn)進(jìn)行標(biāo)記，以防止重復(fù)支付[19]。

4 方案安全性分析

下面將對(duì)我們的方案中使用的協(xié)議進(jìn)行詳細(xì)分析，看是否符合對(duì)電子現(xiàn)金的各種安全性要求。

(1)防偽造性

在我們的方案中，電子現(xiàn)金只能由銀行一家權(quán)威機(jī)構(gòu)發(fā)行，而且每一個(gè)電子貨幣都是由銀行用私鑰進(jìn)行簽名，所以沒(méi)有任何人或機(jī)構(gòu)可以簽名。

(2)反跟蹤性

盲簽名技術(shù)本身具有不可跟蹤性，在撤銷過(guò)程中，用戶使用盲化函數(shù)和隨機(jī)選擇的盲化因子r對(duì)序列號(hào)sn進(jìn)行了盲化，所以銀行在對(duì)消息M進(jìn)行簽名時(shí)，不能得到任何消息內(nèi)容。在商家存款過(guò)程中，銀行雖然能等到有效的電子現(xiàn)金(sn，S)，但是銀行在用戶和電子現(xiàn)金中不能得到相關(guān)信息。所以我們的方案在這點(diǎn)上是完全滿足的。

(3)可驗(yàn)證性

我們的方案基于公鑰密碼體制，所以消費(fèi)者在注冊(cè)階段能夠檢驗(yàn)出序列號(hào)sn是否由TTP產(chǎn)生，同時(shí)消費(fèi)者也能通過(guò)銀行的公鑰檢驗(yàn)出電子現(xiàn)金(sn，S)是否由銀行產(chǎn)生。在支付和存儲(chǔ)階段也能通過(guò)銀行的公鑰PKB檢驗(yàn)出電子現(xiàn)金是否有效。

(4)防重支付

在我們的方案中，每一個(gè)電子現(xiàn)金都在銀行數(shù)據(jù)庫(kù)中有記錄，而且產(chǎn)生的序列號(hào)sn也在TTP處均有記錄。為了提高查找重復(fù)支付的效率，我們采用了部分盲簽名技術(shù)，這是因?yàn)椴糠置ず灻夹g(shù)能大大減輕數(shù)據(jù)庫(kù)的大小，從而提高了查找速度。銀行從商家處收到想要存儲(chǔ)的電子現(xiàn)金時(shí)，首先檢查該電子現(xiàn)金是否被支付過(guò)，如果銀行發(fā)現(xiàn)該電子現(xiàn)金是重復(fù)支付的，那么便聯(lián)系TTP查出用戶的真實(shí)身份信息IDi，很容易查出那惡意使用電子現(xiàn)金的消費(fèi)者賬戶。

(5)可控性

群簽名和盲簽名的無(wú)條件匿名性和不可跟蹤性也給犯罪分子的敲詐、拐騙、洗黑錢等活動(dòng)提供了方便，所以設(shè)計(jì)一種可控性或公平的電子現(xiàn)金系統(tǒng)非常必要[17]。在Chaum方案中，由于序列號(hào)sn由消費(fèi)者自己選擇，也沒(méi)有登記銀行數(shù)據(jù)庫(kù)，所以犯罪分子很容易的進(jìn)行支付而不能被識(shí)別出身份。在我們的方案中，序列號(hào)sn由可信第三方TTP產(chǎn)生，比如由政府的金融部門擔(dān)任。在我們的設(shè)計(jì)中，如果犯罪分子想從受害者處敲詐現(xiàn)金，由于序列號(hào)不由他自己產(chǎn)生，所以犯罪分子只能恐嚇受害人從TTP處獲取。如果受害者順從的申請(qǐng)了sn′，犯罪分子獲取電子現(xiàn)金(sn′，S′)后釋放了人質(zhì)，那么受害者可標(biāo)識(shí)這是一個(gè)通過(guò)不正當(dāng)手段獲取的電子現(xiàn)金。當(dāng)犯罪分子在商家進(jìn)行消費(fèi)時(shí)，商家可以報(bào)警逮捕犯罪分子，所以如果序列號(hào)是由可信第三方產(chǎn)生的，可以有效防止犯罪分子不受限制的消費(fèi)。

5 結(jié)語(yǔ)

從研究的角度分析，電子現(xiàn)金系統(tǒng)的發(fā)展將會(huì)向著高效、離線、公平和安全性更強(qiáng)的方向發(fā)展[20]。在現(xiàn)有的電子現(xiàn)金系統(tǒng)方案中，大多數(shù)是基于離散對(duì)數(shù)和零知識(shí)證明等方法來(lái)構(gòu)造的，那么基于大整數(shù)因子分解困難問(wèn)題設(shè)計(jì)部分盲簽名方案，構(gòu)建公平安全的電子現(xiàn)金系統(tǒng)也是可行的研究方向。近年來(lái)，橢圓曲線密碼體制以不同于其它密碼體系的獨(dú)特優(yōu)勢(shì)，成為目前的研究熱點(diǎn)，所以，如何設(shè)計(jì)基于橢圓曲線密碼體制的電子現(xiàn)金系統(tǒng)有很好的發(fā)展前景。

[1] 邱衛(wèi)東，黃征，李祥學(xué)等.密碼協(xié)議基礎(chǔ)[M].北京:高等教育出版社，2009:74－92.

[2] Abe M，F(xiàn)ujisaki.How to Date Blind Signature.Advances in cryptology:proceedings of ASIACRYPTO′961996[C]//Heidelberg:Spring－Verlag， 1996:243－252.

[3] 蔡樂(lè)才，張仕斌，郝文化.應(yīng)用密碼學(xué)[M].北京:中國(guó)電子出版社，2005:201－210.

[4] Boldyeva A.Threshold Signature，Multisignatures and Blind Signature Based on the Gap－Diffie－Hellman－Group Signature Scheme.Theory and practice of public key cryptology:proceedings of PKC 2003[C]//Heidelbeg:Spring－Verlag， 2003:31－46.

[5] Wenbo Mao.Modern Cryptography:Theory and Practice[M].Pearson Education， Inc.， publishing as Prentice Hall PTH，2004:206－218.

[6] 李順東，王道順.現(xiàn)代密碼學(xué):理論、方法與研究前沿[M].北京:科學(xué)出版社，2009:109－123.

[7] Chaum.Blind signatures for untraceable payments[J].In Advances in Cryptology Proceedings of CRYPTO′82，Plenum，New York， 1982，21(2):199–170.

[8] Chaum， Fiat， and Naor.Untraceable electronic cash.In S.Goldwasser.Proceedings on Advances in Cryptology(Santa Barbara， California， United States)[C]//New York， Springer－Verlag 1988:319－327.

[9] T.Okamoto，K.Ohta.Universal Electronic Cash[C]//Proceedings of CRYPTO′91，LNCS 576.Germany:Springer－Verlag，1993:324－337.

[10] Brands S.An efficient off－line cash system based on the representation problem[R].Netherlands:CWITechnical Report CS－R9323，1993.

[11] M.Stadler，ect.Fair Blind Signature[C]//In Advances in Cryptology – EUROCRYPTO′95， LNCS 921.Germany:Springer－Verlag， 1995:209－219.

[12] E.Brickell， D.Gemmell， D.Kravitz.Trustee－based tracing extensions to anonymous cash and the making of anonymous change[C]//In proceedings of the 6th Annual ACM－SIAM Symposium on Discrete Algorithms.Germany:Springer－Ver-lag，1995:157－166.

[13] Frankel Y，Tsiounis Y，Yung M.Indirect discourse proofs:Achieving fair off－line e－cash[C]//Proc.of ASIACRYPTO′96.German:Springer－Verlag，1996:286－300.

[14] Davida D， Tsiounis Y，Yung M.Anonymity control in e－cash systems[C]//CRYPTO′97 proceedings， LNCS 576.Germany:Springer，1997:224－230.

[15] Frankel Y，Tsiounis Y，Yung M.Fair off－line e－cash made casy[C]//Proc.of ASIACRYPTO′98.Germany:Springer－Verlag，1998:386－396.

[16] Lysyanskaya， Anna， Zulfikar Ramzan.Group blind digital signatures:A scalable solution to electronic cash[C]//Financial Cryptography ′98， LNCS 1465.Berlin:Springer－Verlag，1998:184 – 197.

[17] 楊波，劉勝利.利用Smart卡的可撤銷匿名性的電子支付系統(tǒng)[J].電子學(xué)報(bào)，1999(6):83－86.

[18] 關(guān)振勝.公鑰基礎(chǔ)設(shè)施PKI及其應(yīng)用[M].北京:電子工業(yè)出版社，2008:389－414.

[19] 李洪心.電子商務(wù)安全[M].大連:東北財(cái)經(jīng)大學(xué)出版社，2012:152－163.

[20] 楊浩淼.快速產(chǎn)生安全橢圓曲線的研究[D].西安:西安電子科技大學(xué)，2013:40－50.