基于群簽名的高效可分割電子現金系統

康昌春

摘要：當前，電子支付的安全性已經成為制約電子商務發展的瓶頸。電子現金是現代密碼學中旨在確保電子支付安全性的重要技術。本文基于群簽名技術構造了“一次取款且多次分割支付”的電子現金系統。安全性分析表明，新系統滿足電子現金系統要求的三個重要性質，即平衡性、匿名性和可開脫性。

關鍵詞：電子支付；電子現金；群簽名；匿名性

中圖分類號：TP309 文獻標識碼：A 文章編號：1007-9416（2017）06-0221-03

1 引言

當前，電子商務已經逐漸發展成為一種較為成熟的業務模式。在該模式下，買賣雙方的行為都在互聯網上進行，從而顯著節約了企業的運營成本。在整個電子交易過程中，最重要的環節是電子支付。隨著技術的進步，電子支付系統已經成為確保社會經濟良好運行的催化劑[1]。電子現金（e-cash）系統[2]是一種安全、有用的電子支付方式。此類方案在完全在線商務的實現中起到了重要的作用。實用的電子現金方案應當是安全的、離線的、匿名的。電子現金系統涉及4類參與方（即銀行，用戶、商家和仲裁機構）以及4個主要過程（即建立賬戶，取款，支付以及存儲）。首先與執行賬戶建立協議。進行流通的現金以貨幣方式計數。通過與執行取款協議而獲得電子貨幣，并通過與執行支付協議而實現對的支付。為了存儲，需要與執行存款協議。電子現金系統的安全性是指僅有銀行能產生且對于離線的系統，應當能對有重復支付行為的用戶進行身份識別。重復支付（double-spending）是電子世界中出現的一種問題，因為是易于復制的。此外，誠實的支付者無法被誣陷有重復支付行為。該性質稱為可開脫性（exculpability）。當商家對來自收款人的貨幣進行存儲時，銀行應當無法對實際的支付者進行追蹤。該性質稱為匿名性（anonymity）。

近年來，針對電子現金系統構造的研究一直較為活躍。文獻[3]利用盲簽名技術設計了一個在線電子現金系統，該系統實現了匿名性、可控性、電子現金追蹤和電子現金所有者追蹤性。文獻[4]提出一個基于代理部分盲簽名的電子現金方案，該方案不但可以防止惡意用戶偽造跟蹤信息，而且可以防止惡意用戶的重復支付行為。文獻[5]提出一個滿足最優匿名性的可傳遞電子現金系統，并且在標準模型下證明該系統滿足不可偽造性、最優匿名性和不可重復花費性等性質。文獻[6]利用直接匿名證明技術構造了一個可授權電子現金系統。該系統可用于為外包計算服務付費，而且能抵抗拒絕服務攻擊。本文的研究目標是以群簽名為工具，構造一個高效的可分割電子現金系統。此處的可分割是指用戶可以通過執行取款協議從銀行那里獲得一個可分割使用多次的電子錢包（e-wallet）。每當在線購買商品時，用戶可以分割支出其中的一部分金額，直至電子錢包的余額為零。

2 預備知識

2.1 雙線性群以及困難假設

本文系統的具體構造將使用橢圓曲線上的非對稱的對環境，其中表示素數階循環群，其中與分別為群與的生成元。此外，要求存在稱為雙線性對的可計算同構，滿足：1）對于所有的，滿足。2）。

我們稱XDDH（the eXternal Decisional Diffie-Hellman）假設在對群上成立，條件是DDH問題在群上是困難的，即若給定元組，其中，則難以斷定究竟滿足，還是為隨機元素。

SDL（Symmetric Discrete Logarithm）假設表明，給定元組，要計算是困難的。

2.2 群簽名

群簽名（Group signatures，簡稱GS）方案[7]是一類特殊的數字簽名方案。此類方案允許群成員匿名地代表整個群體對消息進行簽名。例如，公司職員可以利用這種方式對文檔簽名，使得簽名驗證者僅能獲知該文檔的確得到了某個公司職員的簽名，但不知道是哪個人簽署的。群管理員（Group Manager，簡稱GM）負責對群成員的成員身份進行管理，他有權向群體中添加新的用戶（稱為群成員）。此外，GS方案中還設置了一個打開權威，其職責是在發生爭執時揭示簽名者的身份。此類操作稱為撤銷匿名性。在某些方案中，由群管理員統一負責添加成員與撤銷匿名性的任務。

GS方案是由以下算法或協議定義的，即 。其中，為系統建立算法，用于產生群公鑰和的私鑰。為用戶執行的算法，用于向PKI（Public Key Infrastructure）[8]進行注冊，并且得到某個標準數字簽名方案下的密鑰對，其中表示用戶的身份表示。是一個由與執行的兩方交互協議。作為交互的結果，獲得群簽名私鑰，且獲得的注冊信息。為代表群體進行簽名的算法。我們用表示使用私鑰產生對消息的簽名的過程。為簽名驗證算法，該算法用于判定給定的群簽名是否有效。為撤銷匿名性的算法，該算法以作為輸入，并返回用戶下標以及證明，即證明用戶產生了簽名。為仲裁機構執行的審判算法。該算法作為輸入，并輸出1或0，即表示是否判定用戶產生了簽名。

3 新的高效可分割電子現金系統

為了簡化系統設計，假設每個用戶都能通過執行取款協議向銀行提取一個可分割使用次的電子錢包，且該的面額為美元。同時，每次可以利用支付協議向商戶支付中的一個，且該的價值為1美元。在執行完次支付之后，可以重新與執行取款協議。此外，維護數據庫與，其中用于對有重復支付行為的用戶進行身份追蹤，且用于判斷用戶支付的是否已經使用過。

3.1 銀行系統建立算法

在系統建立階段，執行以下步驟：

（1）定義雙線性群環境，其中為素數階循環群，為雙線性映射，滿足。

（2）定義抗碰撞散列函數。

（3）選取，選取，計算 ，并且設置。

（4）對于，計算，定義。

（5）定義用戶群體公鑰。

3.2 用戶系統建立算法

向PKI申請某標準數字簽名方案下的公私鑰對。endprint

3.3 取款協議

假設希望從自己的銀行賬戶中提取價值為美元的電子錢包，他可以與以下協議：

（1）選取隨機數，計算，并且向發送。

（2）選取，計算 。產生知識簽名，并且向發送。

（3）驗證是否有效以及的賬戶余額是否充足，若是，則選取，計算。產生知識簽名 ，向發送。在的賬戶中減去金額，并且在數據庫中寫入取款記錄。

（4）計算，并且驗證是否滿足 。若驗證成功，則保存，其中。

3.4 支付協議

假設希望向在線購買價值為1美元的商品，他可以與以下協議：

（1）假設為付款信息。選取，計算 。選取，計算序列號。需要注意的是，需要確保此前并未使用過。產生知識簽名。

然后，向發送。同時，將中的取值減1。

（2）驗證的有效性，同時驗證是否滿足。

（3）若驗證通過，向發貨，并且向請求存入。

（4）驗證的有效性，同時驗證是否滿足。此外，檢查是否滿足。若是，在的賬戶中存入1美元，并且將寫入數據庫。相反，判定向支付的用戶有重復支付行為，并且執行重復者身份追蹤算法。

3.5 重復支付者身份追蹤算法

給定電子貨幣，執行以下步驟：

（1）在數據庫中檢查是否存在表目，使得等式成立。若否，則追蹤失敗。

（2）若是，則產生知識簽名 。

（3）將重復支付者的真實身份，證據以及提交給仲裁機構。

3.6 第三方仲裁算法

給定證據，執行以下步驟：

（1）驗證是否滿足。

（2）驗證是否滿足。

（3）驗證是否有效。

（4）若上述驗證都通過，則判定執行的“撤銷匿名性”操作有效，同時認定用戶有罪。

4 安全性分析

下面證明，本文系統滿足電子現金系統的三個重要性質，即平衡（Balance）、匿名性（Anonymity）和可開脫性（Exculpability）[9]。

平衡性：該性質表明，相對于當初從銀行中提取的貨幣，任何由與構成的聯合都無法向銀行存入更多的貨幣。為了證明該性質，可以令歸約算法和攻擊者共同執行文獻[9]定義的平衡性實驗。在該實驗的執行過程中，執行誠實和誠實的操作，且執行惡意的操作。采用Bichsel等人[7]的技術，容易證明若能在實驗中獲勝，則能利用破解底層Camenisch-Lysyanskaya簽名[10]的不可偽造性。

匿名性：該性質表明任何由惡意、和構成的聯合均無法將某個電子貨幣與其所有者（即誠實）關聯起來，也無法將它與其所有者擁有的其他電子貨幣關聯起來。為了證明該性質，可以令和共同執行文獻[9]定義的匿名性實驗。在該實驗的執行過程中，執行誠實的操作，且執行惡意、和的操作。采用Bichsel等人[7]的技術，容易證明若能在實驗中獲勝，則能利用破解底層XDDH假設。

可開脫性：該性質表明任何由惡意、和構成的聯合均無法對誠實進行陷害，即誣陷該用戶重復支付了某個電子貨幣。為了證明該性質，可以令和共同執行文獻[9]定義的可開脫性實驗。在該實驗的執行過程中，執行誠實的操作，且執行惡意、和的操作。采用Bichsel等人[7]的技術，容易證明若能在實驗中獲勝，則能利用破解底層SDL假設。

5 結語

本文基于群簽名技術提出一個允許多次分割使用的電子現金系統，從而有效地解決了電子商務中電子支付系統的安全問題。本文系統的特點是“一次取款且多次分割支付”，同時在充分保護用戶隱私的前提下，支持銀行對惡意用戶重復支付行為的有效追蹤。今后的研究重點包括進一步優化用戶的執行效率、探索移動互聯網條件下的電子現金系統構造以及開發原型系統等。

參考文獻

[1]曲玉婷.電子商務中電子現金支付系統的安全問題研究[J].商場現代化，2015，（3）：77-79.

[2]Au M H， Wu Q， Susilo W， et al. Compact e-cash from bounded accumulator [C]//Proc of CT-RSA 2007. Berlin： Springer-Verlag， 2007： 178-195.

[3]白永祥.一種盲簽名電子現金系統方案的設計與實現[J]. 信息安全與通信保密， 2015， （2）：105-109.

[4]周明，王箭.基于代理部分盲簽名的離線電子現金方案[J].計算機與現代化，2015，（4）： 114-118.

[5]張江霄，李舟軍，高延武，等.基于花費鏈最優匿名的等長可傳遞電子現金系統[J].電子學報，2015，43（9）：1805-1809.

[6]柳欣，張波.基于 DAA-A 的改進可授權電子現金系統[J].計算機研究與發展，2016，53（10）：2412-2429.

[7]Bichsel P， Camenisch J， Neven G， et al. Get shorty via group signatures without encryption [C] // Proc of SCN 2010. Springer Berlin Heidelberg， 2010： 381-398.

[8]Aymen A， Canard S. One time anonymous certificate： x.509 supporting anonymity [C] // Proc of CANS 2010. Springer Berlin Heidelberg， 2010： 334-353.

[9]Mrtens P. Practical compact e-cash with arbitrary wallet size [EB/OL]. Cryptology ePrint Archive， Report 2015/086.

[10]Camenisch J， Lysyanskaya A. Signature schemes and anonymous credentials from bilinear maps[C]//Proc of CRYPTO 2004. Berlin： Springer-Verlag， 2004： 56-72.endprint