李舟軍，張江霄，馮春輝，隋春榮

1.北京航空航天大學(xué) 軟件開(kāi)發(fā)環(huán)境國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100191

2.邢臺(tái)學(xué)院 數(shù)學(xué)與信息技術(shù)學(xué)院，河北 邢臺(tái) 054001

電子現(xiàn)金協(xié)議研究綜述*

李舟軍1，張江霄2+，馮春輝2，隋春榮2

1.北京航空航天大學(xué) 軟件開(kāi)發(fā)環(huán)境國(guó)家重點(diǎn)實(shí)驗(yàn)室，北京 100191

2.邢臺(tái)學(xué)院 數(shù)學(xué)與信息技術(shù)學(xué)院，河北 邢臺(tái) 054001

隨著互聯(lián)網(wǎng)的快速發(fā)展，電子商務(wù)的規(guī)模越來(lái)越大，電子現(xiàn)金（e-cash）作為電子商務(wù)的一種重要支付方式，吸引了國(guó)內(nèi)外很多學(xué)者對(duì)其進(jìn)行研究，并設(shè)計(jì)出具有條件性、可分性、可傳遞性和多銀行性的電子現(xiàn)金協(xié)議，因此如何設(shè)計(jì)出安全的具有各個(gè)特性的電子現(xiàn)金協(xié)議是一個(gè)非常重要的研究課題。介紹了電子現(xiàn)金協(xié)議的基本模型；從電子現(xiàn)金協(xié)議的四個(gè)特性出發(fā)，介紹了具有各個(gè)特性電子現(xiàn)金協(xié)議的定義、發(fā)展現(xiàn)狀和存在問(wèn)題，并給出每個(gè)特性在電子現(xiàn)金協(xié)議中的應(yīng)用場(chǎng)景；分析了構(gòu)造電子現(xiàn)金協(xié)議所需要的重要的密碼學(xué)原語(yǔ)，以及證明了電子現(xiàn)金協(xié)議安全的可證明安全理論；最后綜述了電子現(xiàn)金協(xié)議存在的問(wèn)題，同時(shí)探討了電子現(xiàn)金協(xié)議的最新研究方向。

電子商務(wù)；電子現(xiàn)金協(xié)議；標(biāo)準(zhǔn)模型；零知識(shí)證明；匿名性；區(qū)塊鏈

1 引言

現(xiàn)實(shí)貨幣作為人們進(jìn)行交換的一種基礎(chǔ)媒介，可以被用來(lái)購(gòu)買商品、貨物等，具有方便、及時(shí)等特點(diǎn)。隨著互聯(lián)網(wǎng)的普及，電子商務(wù)壯大起來(lái)，從而導(dǎo)致多種電子支付方式的興起，雖然方便了電子商務(wù)，但是電子支付普遍存在很大缺陷：（1）在支付過(guò)程中銀行必須在線，銀行成為快速頻繁交易的瓶頸；（2）很多電子支付不是匿名的，隨時(shí)可以查詢進(jìn)行這筆交易的用戶身份，導(dǎo)致電子商務(wù)信息的泄露。隨著網(wǎng)絡(luò)信息安全的加強(qiáng)，越來(lái)越多的人重視個(gè)人隱私，而電子支付在電子商務(wù)中的無(wú)隱私性，即想要查詢某人在哪個(gè)時(shí)段進(jìn)行了哪方面的交易，直接造成交易雙方的隱私泄露。另外，網(wǎng)絡(luò)購(gòu)物的熱潮，也使得電子支付的使用越來(lái)越頻繁，其中銀行是同時(shí)進(jìn)行大量電子支付的瓶頸所在。

電子現(xiàn)金是現(xiàn)實(shí)貨幣的電子對(duì)應(yīng)物，是能克服以上缺點(diǎn)的一種電子支付方式，利用電子現(xiàn)金，可以很方便地完成在線交易。一個(gè)完整的電子現(xiàn)金協(xié)議的一般模型由取款協(xié)議、花費(fèi)協(xié)議和存款協(xié)議三個(gè)子協(xié)議組成，包括用戶、商家和銀行三類參與者。首先，用戶從銀行提取電子現(xiàn)金；然后，用戶為獲得商品，向商家花費(fèi)該電子現(xiàn)金；最后，商家把電子現(xiàn)金存入銀行。一般電子現(xiàn)金模型如圖1。

Fig.1 Model of e-cash protocol圖1 電子現(xiàn)金協(xié)議模型

電子現(xiàn)金協(xié)議根據(jù)銀行在花費(fèi)協(xié)議中是否在線，分為在線的電子現(xiàn)金協(xié)議和離線的電子現(xiàn)金協(xié)議。其中在線的電子現(xiàn)金協(xié)議的安全性雖然高，但是當(dāng)同時(shí)有大量的、頻繁的交易時(shí)，銀行往往成為電子支付的支付瓶頸，因此對(duì)于在線電子現(xiàn)金協(xié)議的研究不多。離線的電子現(xiàn)金協(xié)議，允許花費(fèi)協(xié)議中銀行無(wú)需參與，這就減少了銀行的計(jì)算量和通信量，也就避開(kāi)了在線電子現(xiàn)金協(xié)議所存在的問(wèn)題。為了保證用戶的隱私，電子現(xiàn)金協(xié)議還具有另一個(gè)重要的基本屬性——匿名性，該屬性保證了惡意的攻擊者、商家和銀行的聯(lián)合，他們都無(wú)法知道該電子現(xiàn)金的花費(fèi)情況。這就保證了花費(fèi)用戶的隱私性。

特別是電子現(xiàn)金所具有的離線性和匿名性，使得電子現(xiàn)金的應(yīng)用受到了人們的重視。為了能更好地應(yīng)用電子現(xiàn)金，一般從四個(gè)特性來(lái)進(jìn)行電子現(xiàn)金協(xié)議的研究，即條件性、可分性、可傳遞性和多銀行性。其中的條件性允許用戶和商家基于某個(gè)未知結(jié)果的條件，根據(jù)條件結(jié)果進(jìn)行最終的花費(fèi)；可分性保證了用戶對(duì)小于已提取電子現(xiàn)金的任意面額的花費(fèi)性；可傳遞性保證了商家在收到用戶花費(fèi)的電子現(xiàn)金時(shí)，無(wú)需存入銀行，就可以直接花費(fèi)該電子現(xiàn)金；多銀行性仿照了現(xiàn)實(shí)貨幣的情況，允許電子現(xiàn)金可以在多個(gè)銀行之間進(jìn)行流通。以上的四個(gè)特性，都是為了在保證電子現(xiàn)金離線性和匿名性的前提下，對(duì)電子現(xiàn)金協(xié)議的擴(kuò)展，使得電子現(xiàn)金能更好地實(shí)現(xiàn)現(xiàn)實(shí)貨幣的功能。

安全性是電子商務(wù)的一個(gè)基礎(chǔ)保障，也是電子現(xiàn)金協(xié)議的一個(gè)重要衡量標(biāo)準(zhǔn)，一個(gè)完整的電子現(xiàn)金協(xié)議應(yīng)具有以下基本的安全屬性：匿名性、不可偽造性、不可重復(fù)花費(fèi)性和不可誣陷性。匿名性是最基礎(chǔ)的一種安全屬性；不可偽造性是指用戶、惡意的攻擊者和商家的聯(lián)合，用戶也無(wú)法花費(fèi)多于所提取的電子現(xiàn)金總額；不可重復(fù)花費(fèi)性保證了用戶、惡意的攻擊者和商家的聯(lián)合，用戶無(wú)法花費(fèi)同一個(gè)電子現(xiàn)金兩次；不可誣陷性是指銀行和惡意攻擊者聯(lián)合，也無(wú)法誣陷誠(chéng)實(shí)用戶發(fā)生了重復(fù)花費(fèi)。

如果設(shè)計(jì)的電子現(xiàn)金協(xié)議不安全，再好的特性也是沒(méi)有用的。因此電子現(xiàn)金協(xié)議被構(gòu)建后，還需要從安全證明的角度來(lái)證明協(xié)議所具有的安全性，常用的安全證明模型是隨機(jī)預(yù)言機(jī)模型和標(biāo)準(zhǔn)模型。其中的隨機(jī)預(yù)言機(jī)模型，把哈希函數(shù)看作真正的隨機(jī)函數(shù)，借助它來(lái)證明電子現(xiàn)金協(xié)議的安全性；而標(biāo)準(zhǔn)模型無(wú)需隨機(jī)預(yù)言機(jī)假設(shè)，直接把攻擊者攻破電子現(xiàn)金協(xié)議的某個(gè)安全屬性歸約到一個(gè)困難問(wèn)題上，只要攻擊者解決了該困難問(wèn)題，也就攻破了電子現(xiàn)金協(xié)議的某個(gè)安全屬性。由于標(biāo)準(zhǔn)模型下證明的合理性，基于標(biāo)準(zhǔn)模型下證明安全的電子現(xiàn)金協(xié)議才是最安全的電子現(xiàn)金協(xié)議。

本文首先圍繞電子現(xiàn)金協(xié)議的四大安全特性，從各個(gè)安全特性的定義出發(fā)，介紹具有某個(gè)安全特性的電子現(xiàn)金協(xié)議的發(fā)展現(xiàn)狀，并綜述該安全特性對(duì)應(yīng)的模型，同時(shí)指出具有該安全特性的電子現(xiàn)金協(xié)議的最新研究成果，分析存在的問(wèn)題，并提出一些建設(shè)性的解決方法。然后概述電子現(xiàn)金協(xié)議的安全性證明的兩大安全模型，并給出基于標(biāo)準(zhǔn)模型下的電子現(xiàn)金協(xié)議的最新研究成果。最后指出電子現(xiàn)金協(xié)議的最新發(fā)展方向。

2 四個(gè)安全特性的電子現(xiàn)金協(xié)議研究現(xiàn)狀

第一個(gè)電子現(xiàn)金協(xié)議由Chaum[1]在1983年提出，為了更好地模擬現(xiàn)實(shí)中的貨幣，電子現(xiàn)金應(yīng)具有以下四個(gè)安全特性：條件性、可分性、可傳遞性和多銀行性。下面分別針對(duì)電子現(xiàn)金的四個(gè)安全特性，來(lái)介紹電子現(xiàn)金的國(guó)內(nèi)外研究現(xiàn)狀。

2.1 條件電子現(xiàn)金協(xié)議

條件電子現(xiàn)金協(xié)議具有條件性，條件性是指基于某個(gè)未知結(jié)果的條件，用戶向商家花費(fèi)該電子現(xiàn)金，只有在條件結(jié)果公布后，猜對(duì)正確條件結(jié)果的一方（用戶/商家）才可以從銀行提取該電子現(xiàn)金；所構(gòu)建的電子現(xiàn)金協(xié)議可以被應(yīng)用到很多新的場(chǎng)景。如：在線賭博系統(tǒng)，假設(shè)用戶1和用戶2進(jìn)行在線賭博，用戶1認(rèn)為事件A是正確的，但是用戶2認(rèn)為事件A是錯(cuò)誤的，此時(shí)就可以利用條件電子現(xiàn)金來(lái)保證，當(dāng)事件A的正確性在公布后，只有一個(gè)用戶才能獲勝，獲得相應(yīng)的賭金。云計(jì)算中的外包計(jì)算問(wèn)題也可以利用條件電子現(xiàn)金來(lái)保證，在外包計(jì)算中，工人和計(jì)算的擁有者之間是互不信任的，工人不相信在工作完成后，擁有者會(huì)付承諾的傭金，同樣擁有者也不相信在付承諾的傭金后，工人的計(jì)算是否完整，并符合要求。條件電子現(xiàn)金協(xié)議的模型如圖2所示。

Fig.2 Model of conditional e-cash圖2 條件電子現(xiàn)金模型

2007年Shi等人[2]首次引入條件電子現(xiàn)金的概念，并構(gòu)建了第一個(gè)條件電子現(xiàn)金協(xié)議。為了提高條件電子現(xiàn)金協(xié)議的效率，Blanton[3]在2008年提出了一個(gè)高效的條件電子現(xiàn)金協(xié)議。Carbunar等人[4]借助條件電子現(xiàn)金的模型，解決了云計(jì)算中工人和計(jì)算擁有者之間的不信任問(wèn)題。2010年Li等人[5]考慮了基于多條件的條件傳遞電子現(xiàn)金，從而用戶可以在基于多個(gè)條件的情況下花費(fèi)條件電子現(xiàn)金，提高了條件可傳遞電子現(xiàn)金的實(shí)用性。2011年Carbunar等人[6]考慮了云計(jì)算中的公平付費(fèi)問(wèn)題，利用該協(xié)議，用戶和外包者之間就不用擔(dān)心付費(fèi)問(wèn)題，從而實(shí)現(xiàn)云計(jì)算中的公平付費(fèi)。2012年張江霄等人[7]構(gòu)建了一個(gè)匿名的條件電子現(xiàn)金協(xié)議，該條件電子現(xiàn)金協(xié)議解決了Blanton[3]遺留的公開(kāi)問(wèn)題，同時(shí)條件電子現(xiàn)金協(xié)議的效率很高。Chen等人[8]在2013年也構(gòu)建了一個(gè)具有可傳遞性的條件電子現(xiàn)金協(xié)議。2015年張江霄等人[9]引入新的框架，構(gòu)建了一個(gè)具有最優(yōu)匿名性的條件電子現(xiàn)金協(xié)議，并在標(biāo)準(zhǔn)模型下給出了協(xié)議的安全性證明。2016年Haddad等人[10]構(gòu)建了一個(gè)條件的多付費(fèi)協(xié)議，該協(xié)議考慮了用戶的消費(fèi)計(jì)劃，利用條件性來(lái)滿足用戶的個(gè)人消費(fèi)計(jì)劃。

通過(guò)上面分析，可知條件電子現(xiàn)金條件性有很廣泛的應(yīng)用場(chǎng)景，迫切需要研究如何構(gòu)建一個(gè)高效、安全、匿名的條件電子現(xiàn)金協(xié)議，為達(dá)到這個(gè)目標(biāo)，需要進(jìn)一步改進(jìn)條件模型，只有條件模型合理了，才能構(gòu)建出一個(gè)高效的條件電子現(xiàn)金協(xié)議。

2.2 可分電子現(xiàn)金協(xié)議

可分電子現(xiàn)金協(xié)議允許用戶可以花費(fèi)小于等于所提取電子現(xiàn)金的任意面額?？煞中允请娮蝇F(xiàn)金最重要、最基礎(chǔ)的一個(gè)特性，現(xiàn)存的可分電子現(xiàn)金協(xié)議一般都是利用一棵二叉樹(shù)來(lái)實(shí)現(xiàn)，二叉樹(shù)的根節(jié)點(diǎn)表示最大的面額，即用戶從銀行提取的最大面額的電子現(xiàn)金，二叉樹(shù)的葉子節(jié)點(diǎn)代表最小面額的電子現(xiàn)金，即單位電子現(xiàn)金1，二叉樹(shù)中的任何孩子節(jié)點(diǎn)所代表的電子現(xiàn)金總額是其父親節(jié)點(diǎn)的一半。圖3是一棵面額為8的二叉樹(shù)。

Fig.3 Binary tree with denomination of 8圖3 面額為8的二叉樹(shù)

1991年Okamoto等人[11]構(gòu)建了第一個(gè)可分電子現(xiàn)金協(xié)議。Eng等人[12]在1994年基于典型的二叉樹(shù)結(jié)構(gòu)，構(gòu)建了一個(gè)單條可分電子現(xiàn)金協(xié)議，在計(jì)算節(jié)點(diǎn)的序列號(hào)時(shí)，從二叉樹(shù)的葉子節(jié)點(diǎn)開(kāi)始計(jì)算，從而減少了用戶和銀行之間的交互次數(shù)。但是用戶花費(fèi)一個(gè)電子現(xiàn)金所需要的計(jì)算量和電子現(xiàn)金的總額成比例，因此可分電子現(xiàn)金的效率不高。隨后，在1995年Okamoto[13]又提出了一個(gè)有效的可分電子現(xiàn)金協(xié)議，該協(xié)議利用位承諾協(xié)議，基于大整數(shù)分解的困難問(wèn)題，構(gòu)建了一個(gè)有效的可分電子現(xiàn)金協(xié)議。但是該協(xié)議的開(kāi)戶效率很低，即用戶為了進(jìn)行取款協(xié)議，首先要從銀行申請(qǐng)一個(gè)一次性的電子牌照，在用戶申請(qǐng)電子牌照的過(guò)程中，效率是很低的。1998年Chan等人[14]針對(duì)Okamoto所構(gòu)造電子現(xiàn)金開(kāi)戶效率低的問(wèn)題，構(gòu)建了一個(gè)實(shí)用的可分電子現(xiàn)金協(xié)議，首先基于離散對(duì)數(shù)假設(shè)，構(gòu)建了一個(gè)有限范圍承諾，提高了開(kāi)戶協(xié)議的效率，從而在整體上提高了可分電子現(xiàn)金協(xié)議的效率。但是該協(xié)議中用戶花費(fèi)的電子現(xiàn)金是可鏈接的。陳凱等人[15]基于概率的方法構(gòu)建了一個(gè)可分電子現(xiàn)金協(xié)議。為了滿足電子現(xiàn)金協(xié)議的不可鏈接性，Nakanishi等人[16]構(gòu)建了一個(gè)具有不可鏈接性的電子現(xiàn)金協(xié)議，該協(xié)議基于群簽名協(xié)議[17]，使得用戶花費(fèi)的電子現(xiàn)金是不可鏈接的。但在基于零知識(shí)證明的簽名證明過(guò)程中，使用了切割選擇算法，導(dǎo)致該協(xié)議的效率比較低。為了撤銷重復(fù)花費(fèi)用戶的身份，該可分電子現(xiàn)金協(xié)議使用了一個(gè)可信第三方，誠(chéng)實(shí)用戶的身份也可以被可信第三方恢復(fù)出來(lái)。

為了設(shè)計(jì)第一個(gè)無(wú)可信第三方的可分電子現(xiàn)金協(xié)議，Camenisch等人[18]在2005年基于CL簽名協(xié)議，構(gòu)建了第一個(gè)無(wú)可信第三方的可分電子現(xiàn)金，但是用戶在花費(fèi)一個(gè)價(jià)值為N的電子現(xiàn)金時(shí)，需要執(zhí)行N次花費(fèi)協(xié)議，雖然達(dá)到了可分性，但是協(xié)議的整體效率很低。彭冰等人[19]基于零知識(shí)證明和強(qiáng)RSA構(gòu)建了一個(gè)可分電子現(xiàn)金協(xié)議。為了進(jìn)一步提高可分電子現(xiàn)金協(xié)議的效率，2007年Canard等人[20]構(gòu)建了一個(gè)真正匿名的可分電子現(xiàn)金協(xié)議，該協(xié)議使用了CL簽名和二叉樹(shù)，但是由于用戶在向銀行證明自己花費(fèi)路徑的正確性時(shí)，利用了零知識(shí)證明技術(shù)，從二叉樹(shù)的根節(jié)點(diǎn)逐層證明花費(fèi)路徑的正確性，所需的計(jì)算量是很大的，因此協(xié)議的效率不高。利用累加器原理，Au等人[21]在2008年構(gòu)建了一個(gè)高效的可分電子現(xiàn)金協(xié)議，從而用戶在花費(fèi)協(xié)議中，可以直接證明用戶花費(fèi)的正確性，提高了花費(fèi)協(xié)議的效率。由于在花費(fèi)協(xié)議中用戶沒(méi)有證明自己花費(fèi)路徑的正確性，因此該協(xié)議中用戶存在一定的欺騙概率，可以花費(fèi)多于所提取的電子現(xiàn)金，即該電子現(xiàn)金系統(tǒng)安全性不具有不可偽造性。2008年陳愷等人[22]構(gòu)建了一個(gè)可撤銷的可分電子現(xiàn)金協(xié)議。2009年，劉文遠(yuǎn)等人[23]基于新的二叉樹(shù)結(jié)構(gòu)，構(gòu)建了一個(gè)可直接計(jì)算的可分電子現(xiàn)金協(xié)議，該協(xié)議基于二叉樹(shù)和節(jié)點(diǎn)可直接計(jì)算技術(shù)，但是為了證明用戶花費(fèi)的正確性，所需的計(jì)算量仍然很大。為了保證可分電子現(xiàn)金協(xié)議的安全性，Canard等人[24]構(gòu)建了一個(gè)具有不可偽造性的可分電子現(xiàn)金協(xié)議。但是以上所有的可分電子現(xiàn)金協(xié)議都是基于隨機(jī)預(yù)言機(jī)模型的，現(xiàn)存的一些協(xié)議在隨機(jī)預(yù)言機(jī)模型下證明是安全的，但是無(wú)法在實(shí)際中進(jìn)行實(shí)例化，因此Belenkiy等人[25]構(gòu)建了第一個(gè)在標(biāo)準(zhǔn)模型下證明安全的電子現(xiàn)金協(xié)議。在2012年Izabachène等人[26]構(gòu)建了第一個(gè)標(biāo)準(zhǔn)模型下證明安全的可分電子現(xiàn)金協(xié)議。2013年張江霄等人[27]利用新的簽名協(xié)議，構(gòu)建了一個(gè)高效的可分電子現(xiàn)金協(xié)議。2014年張江霄等人[28]引入了一個(gè)新的二叉樹(shù)結(jié)構(gòu)，基于新的結(jié)構(gòu)，構(gòu)建了一個(gè)標(biāo)準(zhǔn)模型下證明安全的可分電子現(xiàn)金協(xié)議。2015年Canard等人在標(biāo)準(zhǔn)模型下，構(gòu)建了有效的可伸縮的可分電子現(xiàn)金協(xié)議[29]和實(shí)用的可分電子現(xiàn)金協(xié)議[30]。2016年Yang等人[31]構(gòu)建了一個(gè)實(shí)用的、匿名的、適合移動(dòng)設(shè)備的可分電子現(xiàn)金協(xié)議，該協(xié)議利用可信區(qū)域，構(gòu)建一個(gè)花費(fèi)協(xié)議效率比較高的可分電子現(xiàn)金協(xié)議。

綜上所述可知，可分電子現(xiàn)金協(xié)議的可分性是電子現(xiàn)金一個(gè)最基礎(chǔ)的屬性，但是可分電子現(xiàn)金協(xié)議的效率一般都很低，為了在標(biāo)準(zhǔn)模型下，構(gòu)建高效的、匿名的無(wú)可信第三方的電子現(xiàn)金協(xié)議，就需要進(jìn)一步優(yōu)化可分電子現(xiàn)金所基于的二叉樹(shù)模型，只有二叉樹(shù)模型優(yōu)化了，才能進(jìn)一步提高取款協(xié)議、花費(fèi)協(xié)議和存款協(xié)議的執(zhí)行效率。

2.3 可傳遞的電子現(xiàn)金協(xié)議

可傳遞的電子現(xiàn)金協(xié)議允許商家在收到用戶所花費(fèi)的電子現(xiàn)金后，無(wú)需聯(lián)系銀行，就可以直接把該電子現(xiàn)金花費(fèi)給其他用戶。因此，可傳遞電子現(xiàn)金協(xié)議減少了用戶和銀行之間的通訊次數(shù)，降低了銀行的計(jì)算量，其基本模型如圖4所示。

Fig.4 Model of transferable e-cash圖4 可傳遞電子現(xiàn)金模型

Kamoto等人[11]在1991年構(gòu)建了第一個(gè)實(shí)用的電子現(xiàn)金協(xié)議，該協(xié)議具有可傳遞性。Antwerpen[32]首次對(duì)可傳遞的電子現(xiàn)金給出一般的描述，該描述適合于構(gòu)建一大類電子付費(fèi)協(xié)議。1991年Okamoto等人[33]構(gòu)建了一個(gè)理想的不可追蹤的電子現(xiàn)金協(xié)議，該協(xié)議具有可分性、可傳遞性、匿名性等；雖然Okamoto等人構(gòu)建的可傳遞的電子現(xiàn)金協(xié)議都具有匿名性，但是都只是弱匿名性。1992年Chaum等人[34]分析了可傳遞電子現(xiàn)金協(xié)議的本質(zhì)，并得出結(jié)論：電子現(xiàn)金的長(zhǎng)度與用戶傳遞的次數(shù)成正比。正因?yàn)檫@個(gè)缺點(diǎn)，在很長(zhǎng)時(shí)間內(nèi)，可傳遞的電子現(xiàn)金協(xié)議沒(méi)有進(jìn)展。但是隨著密碼學(xué)原語(yǔ)的發(fā)展，Canard等人[35]在電子現(xiàn)金的存儲(chǔ)量和用戶與銀行的交互次數(shù)之間找到了一個(gè)平衡，構(gòu)建了兩個(gè)可傳遞的電子現(xiàn)金協(xié)議。2008年Canard等人[36]又分析了可傳遞電子現(xiàn)金協(xié)議的匿名性，認(rèn)為可傳遞電子現(xiàn)金協(xié)議的匿名性和具有其他安全屬性的電子現(xiàn)金的匿名性不同，并把可傳遞電子現(xiàn)金所具有的匿名性稱為最優(yōu)匿名性，即同時(shí)具有完美匿名性、最優(yōu)匿名性1和最優(yōu)匿名性2。以上所有的可傳遞電子現(xiàn)金協(xié)議都在標(biāo)準(zhǔn)模型下給出了安全證明。基于Groth-Sahai的非交互式零知識(shí)證明[37]，F(xiàn)uchsbauer等人[38]構(gòu)建了一個(gè)常量大小的可傳遞的電子現(xiàn)金協(xié)議。為了解決Fuchsbauer等人[38]遺留的問(wèn)題，Blazy等人[39]在2011年構(gòu)建了一個(gè)具有最優(yōu)匿名性的可傳遞電子現(xiàn)金協(xié)議，并在標(biāo)準(zhǔn)模型下給出了協(xié)議的安全性證明。2015年張江霄等人[40]引入了花費(fèi)鏈構(gòu)建法，基于新的構(gòu)建法，在標(biāo)準(zhǔn)模型下給出了一個(gè)具有最優(yōu)匿名性的長(zhǎng)度不變的可傳遞電子現(xiàn)金協(xié)議。為了實(shí)現(xiàn) 全匿名的可傳遞電子現(xiàn)金協(xié)議，張江霄等人[41]在TASE2015上構(gòu)建了一個(gè)全匿名的可傳遞電子現(xiàn)金協(xié)議。在2015年P(guān)KC（International Workshop on Public Key Cryptography）上，Baldimtsi等人[42]構(gòu)建了一個(gè)無(wú)可信第三方的完全匿名的可傳遞電子現(xiàn)金協(xié)議。

針對(duì)以上問(wèn)題，為構(gòu)建一個(gè)傳遞長(zhǎng)度是等長(zhǎng)的、高效的和匿名的可傳遞電子現(xiàn)金協(xié)議，需要使用可更新簽名協(xié)議，使得在電子現(xiàn)金傳遞過(guò)程中，可更新電子現(xiàn)金的簽名和零知識(shí)證明等，以形成一個(gè)高效的、等長(zhǎng)的和全匿名的可傳遞電子現(xiàn)金協(xié)議。

2.4 多銀行電子現(xiàn)金協(xié)議

多銀行電子現(xiàn)金協(xié)議允許用戶和商家可以在多個(gè)銀行開(kāi)賬戶，在提取電子現(xiàn)金后，用戶向商家花費(fèi)該電子現(xiàn)金。最后，商家把該電子現(xiàn)金存入銀行，由于存在多個(gè)銀行，用戶提取電子現(xiàn)金的銀行，與商家存入電子現(xiàn)金的銀行很可能是不相同的。多銀行電子現(xiàn)金協(xié)議的模型如圖5所示。

Fig.5 Model of multiple-bank e-cash圖5 多銀行電子現(xiàn)金模型

1998年Lysyanskaya等人[43]首次引入了多銀行電子現(xiàn)金的概念。為了滿足公平性，Jeong等人[44]在2000年實(shí)現(xiàn)了一個(gè)具有公平性的多銀行電子現(xiàn)金協(xié)議，并指出多銀行電子現(xiàn)金協(xié)議與一般的電子現(xiàn)金協(xié)議的匿名性是不同的，多銀行電子現(xiàn)金協(xié)議的匿名性不僅包括用戶匿名性，還包括銀行匿名性，從而更好地保護(hù)用戶的隱私。2008年Wang等人[45]構(gòu)建了一個(gè)多銀行電子現(xiàn)金協(xié)議，但是該協(xié)議不具有不可偽造性。為了進(jìn)一步提高Wang等人[45]多銀行電子現(xiàn)金協(xié)議的安全性，Chen等人[46]在2012年構(gòu)建了一個(gè)滿足不可偽造性的多銀行電子現(xiàn)金協(xié)議。2013年張江霄等人[47]在標(biāo)準(zhǔn)模型下構(gòu)建了一個(gè)多銀行電子現(xiàn)金協(xié)議。

多銀行電子現(xiàn)金協(xié)議的構(gòu)建是為了方便用戶存取，更好地模擬現(xiàn)實(shí)中的電子現(xiàn)金，這需要一個(gè)高效的群盲簽名協(xié)議，以便為構(gòu)建高效的多銀行電子現(xiàn)金協(xié)議，提供堅(jiān)實(shí)的理論基礎(chǔ)。

3 常用的密碼學(xué)原語(yǔ)

電子現(xiàn)金協(xié)議很復(fù)雜，一般包括取款子協(xié)議、花費(fèi)子協(xié)議和存款子協(xié)議，為了完成電子現(xiàn)金協(xié)議，需要很多密碼學(xué)原語(yǔ)，下面給出常用的密碼學(xué)原語(yǔ)。

（1）零知識(shí)證明

零知識(shí)證明即zero-knowledge proof，是由Goldwasser等人[48]在1985年提出的，指的是證明者不向驗(yàn)證者提供任何有用信息的前提下，驗(yàn)證者能相信證明者能證明某個(gè)論斷是正確的，如證明者在不泄露私鑰的情況下，向驗(yàn)證者證明自己知道某個(gè)公鑰的私鑰。它分為交互式零知識(shí)證明和非交互式零知識(shí)證明。由于交互式零知識(shí)證明的效率比較低，現(xiàn)在基本利用非交互式零知識(shí)證明作為構(gòu)造電子現(xiàn)金協(xié)議的基本密碼學(xué)原語(yǔ)。常用的非交互式零知識(shí)證明是Groth-Sahai（GS）證明[37]，具體描述如下：

在標(biāo)準(zhǔn)模型下給出有關(guān)雙線性群中等式的非交互式零知識(shí)證明，它適合多種雙線性群中群元素關(guān)系的等式，具體包括雙線性乘積等式、多標(biāo)量乘法等式和二次等式，其中基于SXDH（symmetric external Diffe-Heuman）假設(shè)下的雙線性乘積等式最常用，如下：

給出χ1,χ2,…,χn,Αi∈G1,y1,y2,…,yn,Βi∈G2,t3∈G3,γi,j∈Zn。下面給出雙線性等式：

然后利用雙線性乘積等式給出證明，最后證明者發(fā)送變量承諾以及相關(guān)的證明給驗(yàn)證者，驗(yàn)證者就可以驗(yàn)證所給的變量是否滿足雙線性等式。

在電子現(xiàn)金協(xié)議中，一個(gè)電子現(xiàn)金經(jīng)常由序列號(hào)、安全序列號(hào)和零知識(shí)證明組成，零知識(shí)證明可以在不泄露電子現(xiàn)金信息的前提下，證明電子現(xiàn)金是正確的，如由銀行簽發(fā)的。

（2）盲簽名

盲簽名是由Chaum[49]在1982年提出的，消息者先將簽名的消息盲化，再由簽名者對(duì)盲化的消息進(jìn)行簽名，但是簽名者并不知道所簽的消息具體是什么，最后消息者得到簽名的消息。為了便于構(gòu)造電子現(xiàn)金，它被演化成多種盲簽名，如群盲簽名、自同態(tài)盲簽名等。自同態(tài)盲簽名[50]是一個(gè)結(jié)構(gòu)保存簽名，即被簽名消息、驗(yàn)證密鑰和簽名都是由群元素組成的，從而該盲簽名可以與GS證明完美結(jié)合。

在電子現(xiàn)金協(xié)議中，電子現(xiàn)金由銀行簽發(fā)并進(jìn)行盲簽名，既保證了電子現(xiàn)金的盲化性，又允許銀行對(duì)電子現(xiàn)金進(jìn)行簽發(fā)。

（3）安全多方計(jì)算協(xié)議

安全多方計(jì)算協(xié)議由Yao[51]在1982年提出，當(dāng)兩個(gè)或者更多方參與到一起，在保護(hù)各自秘密輸入的前提下，完成這個(gè)計(jì)算或者問(wèn)題?；诎踩喾接?jì)算，可以實(shí)現(xiàn)基于多方的匿名的電子投票系統(tǒng)，從而在保證投票方身份和投票內(nèi)容保密的前提下，完成投票，也可以被用來(lái)構(gòu)建匿名的電子拍賣系統(tǒng)等。

4 電子現(xiàn)金協(xié)議的可證明理論

為了在理論上證明電子現(xiàn)金協(xié)議的安全性，需要對(duì)所構(gòu)建的電子現(xiàn)金協(xié)議進(jìn)行安全性分析，最早的安全分析方法是啟發(fā)式分析。這種安全分析方法假設(shè)利用現(xiàn)有最強(qiáng)的攻擊方法都無(wú)法破解方案，因此在現(xiàn)有計(jì)算條件下，不存在一個(gè)能夠破解該方案的攻擊者。但是啟發(fā)式分析方法只能考查密碼方案對(duì)已知攻擊手段或方法的抵抗能力，而不能確保先前所不知道的攻擊手段或方法是否能夠破解該方案。為了解決上述問(wèn)題，可證明安全理論應(yīng)運(yùn)而生。

可證明安全理論[52]以計(jì)算復(fù)雜度理論和概率論為基礎(chǔ)，通過(guò)歸約的方式對(duì)協(xié)議的安全性證明給出一個(gè)有效變換，從而將攻擊轉(zhuǎn)變成一個(gè)計(jì)算復(fù)雜性理論中困難問(wèn)題的重大突破，并分析歸約成功的概率?？勺C明安全首先確定某個(gè)方案應(yīng)滿足的安全目標(biāo)，然后根據(jù)攻擊者的能力構(gòu)建一個(gè)安全模型，并且定義它對(duì)該方案的安全性，最后利用歸約方式對(duì)攻擊者攻破協(xié)議的可能性進(jìn)行具體的概率分析。

可證明安全的思想起源于1984年Goldwasser和Micali等學(xué)者的開(kāi)創(chuàng)性工作，他們提出了語(yǔ)義安全的定義，將概率引入了密碼學(xué)[53]。粗略地說(shuō)，可證明安全理論是一種“歸約”方法[54]。使用該方法時(shí)，首先確定方案或協(xié)議的安全目標(biāo)；然后根據(jù)攻擊者的能力構(gòu)建一個(gè)安全模型；在構(gòu)建安全模型中充分考慮攻擊者的能力，并給攻擊者提供所需要的一切資源，最后指出攻擊者為了攻破協(xié)議的安全性，只有解決某個(gè)困難問(wèn)題，即把攻擊者攻破協(xié)議的能力歸約到一個(gè)困難問(wèn)題上。利用可證安全技術(shù)證明一個(gè)密碼方案安全性的基本步驟是：

（1）安全性定義，即定義密碼方案應(yīng)能抵抗的攻擊目標(biāo)；

（2）形式化定義安全模型，即嚴(yán)格定義攻擊者所掌握的攻擊手段和資源；

（3）安全性證明，即將密碼方案的安全性“歸約”到一個(gè)已知的計(jì)算難題的過(guò)程。歸約意味著針對(duì)某個(gè)密碼方案的成功攻擊者能夠被轉(zhuǎn)化為解決某個(gè)已知計(jì)算難題的有效算法，這個(gè)算法通過(guò)模擬攻擊者攻擊環(huán)境的方法來(lái)達(dá)到目的。由于相信針對(duì)某些計(jì)算難題的有效算法是不存在的，得到結(jié)論：不存在攻擊者，能夠以不可忽略的優(yōu)勢(shì)破解該密碼方案。

到現(xiàn)在為止，電子現(xiàn)金協(xié)議的安全性證明可分為基于隨機(jī)預(yù)言機(jī)模型和標(biāo)準(zhǔn)模型兩種。隨機(jī)預(yù)言機(jī)模型最早是由Bellare等人[52]于1993年提出，從Fiat等人[55]的思想中受到啟發(fā)而從哈希函數(shù)抽象出來(lái)的一種通用證明模型。它要求將密碼哈希函數(shù)看作真正的隨機(jī)函數(shù)，即對(duì)應(yīng)于不同的輸入，它的輸出是真正隨機(jī)的?，F(xiàn)有的大部分電子現(xiàn)金協(xié)議都是在隨機(jī)預(yù)言機(jī)模型下證明其安全性的。利用隨機(jī)預(yù)言機(jī)模型來(lái)證明協(xié)議的安全性的效率比較高，但是已經(jīng)有一些協(xié)議雖然在隨機(jī)預(yù)言機(jī)模型下被證明是安全的，但是在實(shí)際的方案中無(wú)法利用哈希函數(shù)來(lái)實(shí)例化，也就不能保證在實(shí)際情況下協(xié)議的安全性。標(biāo)準(zhǔn)模型無(wú)需隨機(jī)預(yù)言機(jī)假設(shè)，直接把協(xié)議歸約到一個(gè)困難問(wèn)題上，直到2008年Groth和Sahai[37]提出第一個(gè)有效的非交互式零知識(shí)證明，利用此證明技術(shù)和P簽名[56]，Belenkiy等人[25]構(gòu)建了第一個(gè)標(biāo)準(zhǔn)模型下的電子現(xiàn)金協(xié)議。Izabachène等人[26]在標(biāo)準(zhǔn)模型下構(gòu)建了第一個(gè)可分電子現(xiàn)金協(xié)議，但是其花費(fèi)協(xié)議和存款協(xié)議的效率非常低。2015年Canard[29-30]和Baldimtsi等人[42]分別在標(biāo)準(zhǔn)模型下構(gòu)建了可分電子現(xiàn)金協(xié)議和可傳遞電子現(xiàn)金協(xié)議。雖然基于標(biāo)準(zhǔn)模型的電子現(xiàn)金協(xié)議安全性比較強(qiáng)，但效率比較低。

5 電子現(xiàn)金協(xié)議現(xiàn)存的問(wèn)題和研究展望

電子現(xiàn)金作為電子商務(wù)的重要支付手段，很多學(xué)者對(duì)其進(jìn)行了研究，并從四個(gè)安全屬性：條件性、可分性、可傳遞性和多銀行性進(jìn)行研究，為了保證所構(gòu)建的協(xié)議是安全的，一般在隨機(jī)預(yù)言機(jī)模型或者標(biāo)準(zhǔn)模型下進(jìn)行證明。

綜上所述，電子現(xiàn)金協(xié)議主要存在如下問(wèn)題：

（1）現(xiàn)有的在標(biāo)準(zhǔn)模型下給出的電子現(xiàn)金協(xié)議，要么效率低下，要么不實(shí)用；

（2）現(xiàn)有的電子現(xiàn)金協(xié)議都是基于某個(gè)安全屬性進(jìn)行構(gòu)建，為了方便使用，急需具有綜合特性的電子現(xiàn)金協(xié)議；

（3）隨著移動(dòng)互聯(lián)網(wǎng)的普及，越來(lái)越多的人使用智能手機(jī)來(lái)進(jìn)行網(wǎng)絡(luò)購(gòu)物，而這都需要電子現(xiàn)金作為基礎(chǔ)。但是，由于智能手機(jī)受電池和運(yùn)行內(nèi)存的限制，需要輕量級(jí)的電子現(xiàn)金協(xié)議作為基礎(chǔ)。

因此，電子現(xiàn)金將來(lái)的研究重點(diǎn)如下：

（1）如何在標(biāo)準(zhǔn)模型下構(gòu)建具有多種復(fù)合安全屬性的高效電子現(xiàn)金協(xié)議

為了在標(biāo)準(zhǔn)模型下構(gòu)建具有多種復(fù)合安全屬性的電子現(xiàn)金協(xié)議，就需要一個(gè)有效的標(biāo)準(zhǔn)模型下的簽名方案和零知識(shí)證明方案，然后基于有效的標(biāo)準(zhǔn)模型，借用簽名和零知識(shí)證明，來(lái)構(gòu)建有效的標(biāo)準(zhǔn)模型下的具有多種復(fù)合安全屬性的電子現(xiàn)金協(xié)議。

（2）隨著智能手機(jī)和移動(dòng)支付的普及，如何構(gòu)建具有各種安全屬性的輕量級(jí)電子現(xiàn)金協(xié)議

輕量級(jí)電子現(xiàn)金協(xié)議是必經(jīng)之路，為了能構(gòu)建適合在智能手機(jī)上運(yùn)行的電子現(xiàn)金協(xié)議，這就需要考慮新的可信模型，以便可以在普通智能手機(jī)上運(yùn)行安全、可信賴的輕量級(jí)電子現(xiàn)金協(xié)議。

（3）區(qū)塊鏈技術(shù)在電子現(xiàn)金領(lǐng)域的應(yīng)用

區(qū)塊鏈技術(shù)，特別是公開(kāi)的無(wú)需許可的區(qū)塊鏈能帶來(lái)真正的電子現(xiàn)金。它被稱為是人類信用進(jìn)化史上繼血親信用、貴金屬信用、央行紙幣信用之后的第四個(gè)里程碑。區(qū)塊鏈（blockchain）首次在Nakamoto發(fā)表的文章中[57]出現(xiàn)。區(qū)塊鏈可分為三類[58]:

①區(qū)塊鏈1.0是貨幣，它的應(yīng)用都與貨幣有關(guān)，比如貨幣轉(zhuǎn)移、匯兌和支付。

②區(qū)塊鏈2.0是合約，顧名思義，區(qū)塊鏈2.0就如同合約一樣，不僅僅局限于現(xiàn)金的轉(zhuǎn)移，它覆蓋了經(jīng)濟(jì)、市場(chǎng)、金融全方面的應(yīng)用，諸如債券、股票、貸款、期貨、產(chǎn)權(quán)、智能合約和智能資產(chǎn)。

③區(qū)塊鏈3.0的應(yīng)用超越貨幣、金融、市場(chǎng)等領(lǐng)域，真正地實(shí)現(xiàn)全行業(yè)應(yīng)用覆蓋，例如政府、科學(xué)、文化、醫(yī)療和藝術(shù)等領(lǐng)域。

區(qū)塊鏈具有如下特征：去中心化（decentralized）、去信任（trustless）、集體維護(hù)（collectively maintain）、可靠數(shù)據(jù)庫(kù)（reliable database）。區(qū)塊鏈?zhǔn)侵竿ㄟ^(guò)去中心化和去信任的方式集體維護(hù)一個(gè)可靠數(shù)據(jù)庫(kù)的技術(shù)方案。該技術(shù)方案讓參與系統(tǒng)中的任意多個(gè)節(jié)點(diǎn)，把一段時(shí)間系統(tǒng)內(nèi)全部信息交流的數(shù)據(jù)，通過(guò)密碼學(xué)算法計(jì)算和記錄到一個(gè)數(shù)據(jù)庫(kù)block，并且生成該數(shù)據(jù)塊的指紋用于連接chain下個(gè)數(shù)據(jù)庫(kù)和校驗(yàn)，系統(tǒng)所有參與節(jié)點(diǎn)來(lái)共同認(rèn)定記錄是否為真。

2016年1月20日中國(guó)人民銀行專門就數(shù)字貨幣召開(kāi)了專題研討會(huì)，指出：“發(fā)行數(shù)字貨幣既可以降低傳統(tǒng)紙幣發(fā)行、流通的高昂成本，又可以提升經(jīng)濟(jì)交易活動(dòng)的便利性和透明度等作用。”區(qū)塊鏈技術(shù)為比特幣系統(tǒng)解決了數(shù)字加密貨幣領(lǐng)域長(zhǎng)期以來(lái)所必須面對(duì)的兩個(gè)重要問(wèn)題，即雙重支付問(wèn)題和拜占庭將軍問(wèn)題。區(qū)塊鏈作為未來(lái)新一代的底層基礎(chǔ)技術(shù)，除了可以被應(yīng)用到數(shù)字加密貨幣領(lǐng)域，還能延伸到金融、經(jīng)濟(jì)、科技和政治等其他領(lǐng)域。

6 結(jié)束語(yǔ)

本文首先概述了電子現(xiàn)金協(xié)議組成部分，并給出電子現(xiàn)金協(xié)議的一般模型，然后從四個(gè)安全特性出發(fā)，分析了不同安全特性的電子現(xiàn)金協(xié)議的國(guó)內(nèi)外現(xiàn)狀，并給出一些建設(shè)性的解決方法，再?gòu)碾S機(jī)預(yù)言機(jī)模型和標(biāo)準(zhǔn)模型出發(fā)，分析了當(dāng)下電子現(xiàn)金協(xié)議的安全性證明進(jìn)展。基于以上分析，給出了現(xiàn)有的電子現(xiàn)金協(xié)議存在的問(wèn)題和最新的研究進(jìn)展。

[1]Chaum D.Blind signatures for untraceable payments[C]//Proceedings of the Advances in Cryptology,Santa Barbara,USA,Aug 23-25,1982.New York:Springer Science Business Media,1983:199-203.

[2]Shi L,Carbunar B,Sion R.Conditional e-cash[C]//LNCS 4886:Proceedings of the 11th International Conference on Finan-cial Cryptography and Data Security,Scarborough,Trinidad and Tobago,Feb 12-16,2007.Berlin,Heidelberg:Springer,2007:15-28.

[3]Blanton M.Improved conditional e-payments[C]//LNCS 5037:Proceedings of the 6th International Conference on Applied Cryptography and Network Security,New York,Jun 3-6,2008.Berlin,Heidelberg:Springer,2008:188-206.

[4]Carbunar B,Tripunitara M.Conditional payments for computing markets[C]//LNCS 5339:Proceedings of the 7th International Conference on Cryptology and Network Security,Hong Kong,China,Dec 2-4,2008.Berlin,Heidelberg:Springer,2008:317-331.

[5]Li Ying,Chen Lusheng.Multi-conditional e-cash with transferability[C]//Proceedings of the 2010 International Conference on Wireless Communications,Networking and Information Security,Beijing,Jun 25-27,2010.Piscataway,USA:IEEE,2010:381-385.

[6]Carbunar B,Shi Weidong,Sion R.Conditional e-payments with transferability[J].Journal of Parallel and Distributed Computing,2011,71(1):16-26.

[7]Zhang Jiangxiao,Li Zhoujun,Guo Hua.Anonymous transferable conditional e-cash[C]//Proceedings of the 8th International ICST Conference on Security and Privacy in Communication Networks,Padua,Italy,Sep 3-5,2012.Berlin,Heidelberg:Springer,2013:45-60.

[8]Chen Xiaofeng,Li Jin,Ma Jianfeng,et al.New and efficient conditional e-payment systems with transferability[J].Future Generation Computer Systems,2014,37(7):252-258.

[9]Zhang Jiangxiao,Guo Hua,Li Zhoujun,et al.Transferable conditional e-cash with optimal anonymity in the standard model[J].IET Information Security,2014,9(1):59-72.

[10]Haddad G E,Hage H,A?meur E.E-payment plan:a conditional multi-payment scheme based on user personalization and plan agreement[C]//Proceedings of the 7th International Conference on E-Technologies:Embracing the Internet of Things,Ottawa,Canada,May 17-19,2017.Berlin,Heidelberg:Springer,2017:285-299.

[11]Okamoto T,Ohta K.Universal electronic cash[C]//LNCS 576:Proceedings of the 11th Annual International Cryptology Conference on Advances in Cryptology,Santa Barbara,USA,Aug 11-15,1991.Berlin,Heidelberg:Springer,1991:324-337.

[12]Eng T,Okamoto T.Single-term divisible electronic coins[C]//LNCS 950:Proceedings of the Workshop on the Theory and Application of Cryptographic Techniques,Perugia,Italy,May 9-12,1994.Berlin,Heidelberg:Springer,1994:306-319.

[13]Okamoto T.An efficient divisible electronic cash scheme[C]//LNCS 963:Proceedings of the 15th Annual International Cryptology Conference on Advances in Cryptology,Santa Barbara,USA,Aug 27-31,1995.Berlin,Heidelberg:Springer,1995:438-451.

[14]Chan A,Frankel Y,Tsiounis Y.Easy come-easy go divisible cash[C]//LNCS 1403:Proceedings of the 1998 International Conference on the Theory and Applications of Cryptographic Techniques,Espoo,Finland,May 31-Jun 4,1998.Berlin,Heidelberg:Springer,1998:561-575.

[15]Chen Kai,Zhang Yuqing,Xiao Guozhen.A divisible e-cash system based on probabilistic audit[J].Journal of Computer Research and Development,2000,37(6):752-757.

[16]Nakanishi T,Sugiyama Y.Unlinkable divisible electronic cash[C]//LNCS 1975:Proceedings of the 3rd International Workshop on Information Security,Wollongong,Australia,Dec 20-21,2000.Berlin,Heidelberg:Springer,2000:121-134.

[17]Camenisch J,Stadler M.Efficient group signature schemes for large groups[C]//LNCS 1296:Proceedings of the 17th Annual International Cryptology Conference on Advances in Cryptology,Santa Barbara,USA,Aug 17-21,1997.Berlin,Heidelberg:Springer,1997:410-424.

[18]Camenisch J,Hohenberger S,Lysyanskaya A.Compact ecash[C]//LNCS 3494:Proceedings of the 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques,Aarhus,Denmark,May 22-26,2005.Berlin,Heidelberg:Springer,2005:302-321.

[19]Peng Bing,Hong Fan,Cui Guohua.Divisible e-cash based on signatures of zero-knowledge proof and strong-RSA problem[J].Journal on Communications,2006,27(7):12-19.

[20]Canard S,Gouget A.Divisible e-cash systems can be truly anonymous[C]//LNCS 4515:Proceedings of the 26th Annual International Conference on the Theory and Applications of Cryptographic Techniques,Barcelona,Spain,May 20-24,2007.Berlin,Heidelberg:Springer,2007:482-497.

[21]Au M H,Susilo W,Mu Yi.Practical anonymous divisible ecash from bounded accumulators[C]//LNCS 5143:Proceedings of the 12th International Conference on Financial Cryp-tography and Data Security,Cozumel,Mexico,Jan 28-31,2008.Berlin,Heidelberg:Springer,2008:287-301.

[22]Chen Kai,Hu Yupu,Xiao Guozhen.Anonymity revocable divisible e-cash system[J].Journal of Xidian University:Natural Science,2001,28(1):57-61.

[23]Liu Wenyuan,Zhang Jiangxiao,Hu Qinghua,et al.Divisible e-cash system with direct computation and efficiency[J].Acta Electronica Sinica,2009,37(2):367-371.

[24]Canard S,Gouget A.Multiple denominations in e-cash with compact transaction data[C]//LNCS 6052:Proceedings of the 14th International Conference on Financial Cryptography and Data Security,Tenerife,Canary Islands,Jan 25-28,2010.Berlin,Heidelberg:Springer,2010:82-97.

[25]Belenkiy M,Chase M,Kohlweiss M,et al.Compact e-cash and simulatable VRFs revisited[C]//LNCS 5671:Proceedings of the 3rd International Conference on Pairing-Based Cryptography,Palo Alto,USA,Aug 12-14,2009.Berlin,Heidelberg:Springer,2009:114-131.

[26]Izabachène M,Libert B.Divisible e-cash in the standard model[C]//LNCS 7708:Proceedings of the 5th International Conference on Pairing-Based Cryptography,Cologne,Germany,May 16-18,2012.Berlin,Heidelberg:Springer,2012:314-332.

[27]Zhang Jiangxiao,Li Zhoujun,Guo Hua,et al.Efficient divisible e-cash in the standard model[C]//Proceedings of the 2013 IEEE International Conference on Green Computing and Communications and IEEE Internet of Things and IEEE Cyber,Physical and Social Computing,Beijing,Aug 20-23,2013.Piscataway,USA:IEEE,2013:2123-2128.

[28]Zhang Jiangxiao,Guo Hua,Li Zhoujun.Efficient divisible e-cash system based on reverse binary tree[J].Journal of Electronics&Information Technology,2014,36(1):22-26.

[29]Canard S,Pointcheval D,Sanders O,et al.Scalable divisible e-cash[C]//LNCS 9092:Proceedings of the 13th International Conference on Applied Cryptography and Network Security,New York,Jun 2-5,2015.Berlin,Heidelberg:Springer,2015:287-306.

[30]Canard S,Pointcheval D,Sanders O,et al.Divisible e-cash made practical[C]//LNCS 9020:Proceedings of the 18th IACR International Conference on Practice and Theory in Public-Key Cryptography,Gaithersburg,USA,Mar 30-Apr 1,2015.Berlin,Heidelberg:Springer,2015:77-100.

[31]Yang Bo,Yang Kang,Zhang Zhenfeng,et al.AEP-M:practical anonymous e-payment for mobile devices using ARM trustzone and divisible e-cash[C]//LNCS 9866:Proceedings of the 19th International Conference on Information Security,Honolulu,USA,Sep 3-6,2016.Berlin,Heidelberg:Springer,2016:130-146.

[32]Antwerpen H.Electronic cash[D].Eindhoven:Eindhoven University of Technology,1990.

[33]Okamoto T,Ohta K.Disposable zero-knowledge authentications and their applications to untraceable electronic cash[C]//LNCS 435:Proceedings of the 1989 Conference on the Theory and Applications of Cryptology,Advances in Cryptology,Santa Barbara,USA,Aug 20-24,1989.Berlin,Heidelberg:Springer,1990:481-496.

[34]Chaum D,Pedersen T.Transferred cash grows in size[C]//LNCS 658:Proceedings of the 11th Annual International Conference on the Theory and Applications of Cryptographic Techniques,Balatonfüred,Hungary,May 24-28,1992.Berlin,Heidelberg:Springer,1993:390-407.

[35]Canard S,Gouget A,Traoré J.Improvement of efficiency in(unconditional)anonymous transferable e-cash[C]//LNCS 5143:Proceedings of the 12th International Conference on Financial Cryptography and Data Security,Cozumel,Mexico,Jan 28-31,2008.Berlin,Heidelberg:Springer,2008:202-214.

[36]Canard S,Gouget A.Anonymity in transferable e-cash[C]//LNCS 5037:Proceedings of the 6th International Conference on Applied Cryptography and Network Security,New York,Jun 3-6,2008.Berlin,Heidelberg:Springer,2008:207-223.

[37]Groth J,Sahai A.Efficient non-interactive proof systems for bilinear groups[C]//LNCS 4965:Proceedings of the 27th Annual International Conference on the Theory and Applications of Cryptographic Techniques,Istanbul,Turkey,Apr 13-17,2008.Berlin,Heidelberg:Springer,2008:415-432.

[38]Fuchsbauer G,Pointcheval D,Vergnaud D.Transferable constant-size fair e-cash[C]//LNCS 5888:Proceedings of the 8th International Conference on Cryptology and Network Security,Kanazawa,Japan,Dec 12-14,2009.Berlin,Heidelberg:Springer,2009:226-247.

[39]Blazy O,Canard S,Fuchsbauer G,et al.Achieving optimal anonymity in transferable e-cash with a judge[C]//LNCS 6737:Proceedings of the 4th International Conference on Cryptology in Africa,Dakar,Senegal,Jul 5-7,2011.Berlin,Heidelberg:Springer,2011:206-223.

[40]Zhang Jiangxiao,Li Zhoujun,Gao Yanwu,et al.Transferable e-cash system of equal length with optimal anonymity based on spending chain[J].Acta Electronica Sinica,2015,43(9):1805-1809.

[41]Zhang Jiangxiao,Huo Lina,Liu Xia,et al.Transferable optimalsize fair e-cash with optimal anonymity[C]//Proceedings of the International Symposium on Theoretical Aspects of Software Engineering,Nanjing,China,Sep 12-14,2015.Piscataway,USA:IEEE,2015:139-142.

[42]Baldimtsi F,Chase M,Fuchsbauer G,et al.Anonymous transferable e-cash[C]//LNCS 9020:Proceedings of the 18th IACR International Conference on Practice and Theory in Public-Key Cryptography,Gaithersburg,USA,Mar 30-Apri 1,2015.Berlin,Heidelberg:Springer,2015:101-124.

[43]Lysyanskaya A,Ramzan Z.Group blind digital signatures:a scalable solution to electronic cash[C]//LNCS 1465:Proceedings of the 2nd International Conference on Financial Cryptography,Anguilla,British West Indies,Feb 23-25,1998.Berlin,Heidelberg:Springer,1998:184-197.

[44]Jeong I R,Lee D H.Anonymity control in multi-bank ecash system[C]//LNCS 1977:Proceedings of the 1st International Conference on Cryptology in India,Progress in Cryptology,Calcutta,India,Dec 10-13,2000.Berlin,Heidelberg:Springer,2000:104-116.

[45]Wang Shangping,Chen Zhiqiang,Wang Xiaofeng.A new certificateless electronic cash scheme with multiple banks based on group signatures[C]//Proceedings of the International Symposium on Electronic Commerce and Security,Guangzhou,China,Aug 3-5,2008.Piscataway,USA:IEEE,2008:362-366.

[46]Chen Mingte,Fan C I,Juang W S,et al.An efficient electronic cash scheme with multiple banks using group signature[J].International Journal of Innovative Computing,Information and Control,2012,8(7):4469-4482.

[47]Zhang Jiangxiao,Li Zhoujun,Guo Hua.Multiple-bank ecash without random oracles[C]//LNCS 8300:Proceedings of the 5th International Symposium on Cyberspace Safety and Security,Zhangjiajie,China,Nov 13-15,2013.Berlin,Heidelberg:Springer,2013:40-51.

[48]Goldwasser S,Micali S,Rackoff C.The knowledge complexity of interactive proof-systems[C]//Proceedings of the 17th Annual ACM Symposium on Theory of Computing,Providence,USA,May 6-8,1985.New York:ACM,1985:291-304.

[49]Chaum D.Blind signatures for untraceable payments[C]//Proceedings of the Crypto 82,Advances in Cryptology,Santa Barbara,USA,Aug 23-25,1982.Berlin,Heidelberg:Springer,1982:199-203.

[50]Abe M,Fuchsbauer G,Groth J,et al.Structure-preserving signatures and commitments to group elements[C]//LNCS 6223:Proceedings of the 30th Annual Cryptology Conference on Advances in Cryptology,Santa Barbara,USA,Aug 15-19,2010.Berlin,Heidelberg:Springer,2010:209-236.

[51]Yao A C.Protocols for secure computations[C]//Proceedings of the 23rd Annual Symposium on Foundations of Computer Science,Chicago,USA,Nov 3-5,1982.Washington:IEEE Computer Society,1982:160-164.

[52]Bellare M,Rogaway P.Random oracles are practical:a paradigm for designing efficient protocols random oracles are practical:a paradigm for designing efficient protocols[C]//Proceedings of the 1st ACM Conference on Computer and Communications Security,Fairfax,USA,Nov 3-5,1993.New York:ACM,1993:62-73.

[53]Goldwasser S,Micali S.Probabilistic encryption[J].Journal of Computer and System Sciences,1984,28(2):270-299.

[54]Feng Dengguo.Research on theory and approach of provable security[J].Journal of Software,2005,16(10):1743-1756.

[55]Fiat A,Shamir A.How to prove yourself:practical solutions to identification and signature problems[C]//LNCS 263:Proceedings of the 1986 Conference on the Theory and Applications of Cryptographic Techniques,Advances in Cryptology,Santa Barbara,USA,Aug 11-15,1986.Berlin,Heidelberg:Springer,1987:186-194.

[56]Belenkiy M,Chase M,Kohlweiss M,et al.P-signatures and noninteractive anonymous credentials[C]//LNCS 4948:Proceedings of the 5th Theory of Cryptography,New York,Mar 19-21,2008.Berlin,Heidelberg:Springer,2008:356-374.

[57]Nakamoto S.Bitcoin:a peer-to-peer electronic cash system[EB/OL].(2009).https://bitcoin.org.bitcoin.pdf.

[58]Swan M.Blockchain:blueprint for a new economy[M].Sebastopol,USA:O'Reilly Media Press,2005.

附中文參考文獻(xiàn)：

[15]陳愷,張玉清,肖國(guó)鎮(zhèn).基于概率驗(yàn)證的可分電子現(xiàn)金系統(tǒng)[J].計(jì)算機(jī)研究與發(fā)展,2000,37(6):752-757.

[19]彭冰,洪帆,崔國(guó)華.基于零知識(shí)證明簽名和強(qiáng)RSA問(wèn)題的可分電子現(xiàn)金[J].通信學(xué)報(bào),2006,27(7):12-19.

[22]陳愷,胡予濮,肖國(guó)鎮(zhèn).可撤消匿名性的可分電子現(xiàn)金系統(tǒng)[J].西安電子科技大學(xué)學(xué)報(bào):自然科學(xué)版,2001,28(1):57-61.

[23]劉文遠(yuǎn),張江霄,胡慶華,等.可直接計(jì)算的高效的可分電子現(xiàn)金系統(tǒng)[J].電子學(xué)報(bào),2009,37(2):367-371.

[28]張江霄,郭華,李舟軍.基于逆序二叉樹(shù)的高效可分電子現(xiàn)金系統(tǒng)[J].電子與信息學(xué)報(bào),2014,36(1):22-26.

[40]張江霄,李舟軍,高延武,等.基于花費(fèi)鏈最優(yōu)匿名的等長(zhǎng)可傳遞電子現(xiàn)金系統(tǒng)[J].電子學(xué)報(bào),2015,43(9):1805-1809.

[54]馮登國(guó).可證明安全性理論與方法研究[J].軟件學(xué)報(bào),2005,16(10):1743-1756.

2017-06,Accepted 2017-09.

Survey on E-Cash Scheme*

LI Zhoujun1,ZHANG Jiangxiao2+,FENG Chunhui2,SUI Chunrong2
1.State Key Laboratory of Software Development Environment,Beihang University,Beijing 100191,China
2.Mathematics and Information Technology Institute,Xingtai University,Xingtai,Hebei 054001,China
+Corresponding author:E-mail:orange_0092008@163.com

With the rapid development of the network,the scale of e-commerce is getting bigger and bigger.Electronic cash(e-cash)is an important payment method to e-commerce and attracts a lot of scholars at home and abroad to study it and design a conditional,divisible,transferable or multi-bank e-cash protocol.How to design a safe e-cash protocol with various characteristics is a very important research topic.This paper firstly introduces the basic model of the e-cash protocol.Secondly,this paper introduces the definition,development status and existing problems of the e-cash protocol from various characteristics and gives the application of the e-cash protocol.Thirdly,the important cryptographic primitives are given to construct the e-cash protocol and the provable security theory is described to prove the security of the e-cash protocol.Finally,the problems of the e-cash protocol are summarized and the latest research direction is given.

e-commerce;e-cash scheme;standard model;zero-knowledge proofs;anonymity;blockchain

10.3778/j.issn.1673-9418.1706050

*The Social Science Foundation of Hebei Province under Grant No.HB16TQ016(河北省社會(huì)科學(xué)基金項(xiàng)目).

CNKI網(wǎng)絡(luò)優(yōu)先出版:2017-09-05,http://kns.cnki.net/kcms/detail/11.5602.TP.20170905.1205.008.html

LI Zhoujun,ZHANG Jiangxiao,FENG Chunhui,et al.Survey on e-cash scheme.Journal of Frontiers of Computer Science and Technology,2017,11(11)：1701-1712.

A

TP309

LI Zhoujun was born in 1963.He received the Ph.D.degree in computer from National University of Defense Technology in 1999.Now he is a professor and Ph.D.supervisor at Beihang University,and the senior member of CCF.His research interests include network and information security,etc.

李舟軍（1963—），男，湖南湘潭人，1999年于國(guó)防科技大學(xué)獲得計(jì)算機(jī)博士學(xué)位，現(xiàn)為北京航空航天大學(xué)教授、博士生導(dǎo)師，CCF高級(jí)會(huì)員，主要研究領(lǐng)域?yàn)榫W(wǎng)絡(luò)與信息安全。

ZHANG Jiangxiao was born in 1983.He received the Ph.D.degree in network information security from Beihang University in 2014.Now he is a lecturer at Xingtai University,and the member of CCF.His research interests include e-commerce,e-cash and block-chain,etc.

張江霄（1983—），男，河北邢臺(tái)人，2014年于北京航空航天大學(xué)獲得網(wǎng)絡(luò)信息安全博士學(xué)位，現(xiàn)為邢臺(tái)學(xué)院數(shù)學(xué)與信息技術(shù)學(xué)院講師，CCF會(huì)員，主要研究領(lǐng)域?yàn)殡娮由虅?wù)，電子現(xiàn)金，區(qū)塊鏈等。

FENG Chunhui was born in 1964.She is a professor at Xingtai University.Her research interest is database technology.馮春輝（1964—），女，河北隆堯人，邢臺(tái)學(xué)院數(shù)學(xué)與信息技術(shù)學(xué)院教授，主要研究領(lǐng)域?yàn)閿?shù)據(jù)庫(kù)技術(shù)。

SUI Chunrong was born in 1969.She received the M.S.degree from Hebei University in 1993.Now she is an associate professor at Xingtai University.Her research interest is computer network.

隋春榮（1969—），女，黑龍江虎林人，1993年于河北大學(xué)獲得碩士學(xué)位，現(xiàn)為邢臺(tái)學(xué)院數(shù)學(xué)與信息技術(shù)學(xué)院副教授，主要研究領(lǐng)域?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)。