基于承諾的可驗證公平性微支付

劉憶寧 趙全玉

?

基于承諾的可驗證公平性微支付

劉憶寧*①②趙全玉①

①(桂林電子科技大學數學與計算科學學院 桂林 541004)②(桂林電子科技大學廣西可信軟件重點實驗室 桂林 541004)

微支付交易具有交易量極大且單次交易額極小的特點，使得復雜的認證協議不適用于微支付。Micali等人(2002)提出的基于概率選擇微支付方案，把微支付聚合成宏支付，大幅提高了微支付的效率。Liu-Yan在(2013)提出了保證所有參與者的數據融入概率選擇結果的生成, 而且使得所有參與者可以驗證結果的公平性。然而，Liu-Yan方案中銀行可能獲得額外利益，從而破壞了協議的公平性。該文首先分析了Liu-Yan方案的安全威脅，并且以“1個用戶-1個商家”的模型代替Liu-Yan方案中“大量用戶-1個商家”的模型，以數據承諾技術為基礎保障結果的公平性與可驗證性。

微支付；承諾；公平性；可驗證性

1 引言

電子支付方案是電子交易中實現各方支付信息正確、安全、保密進行的規則和約定，通常包含3方參與：用戶(U)，商家(M)，銀行(B)[1]。電子支付方案分為宏支付和微支付方案，宏支付交易金額較大、安全性要求高，通常使用數字簽名、公鑰加密等實現安全性；微支付交易金額小、效率性要求高，支付金額甚至遠遠小于支付能耗的成本。微支付交易對效率性要求高，因此并不能照搬宏支付方案來實施。

微支付是實現電子交易實時支付的一種技術[2]，應用非常廣泛，如流量收費，歌曲下載等。交易所需支付的金額小，如果每次交易都采用常規計費方式(身份認證等)代價太大。微支付交易在滿足一定安全性前提下，要求交易過程盡量簡單，通訊能耗盡量低。因此微支付的一些性質被提出，如：安全性，高效性，隱私性[9]，公平性[10,11]等。

1997年，Rivest等人[12]提出基于Payword的高效微支付方案，但在該方案中，商家無法聚合不同用戶的微支付進行兌換。Rivest基于概率選擇的微支付[13]中，大量用戶和商家共同選擇一個用戶支付賬單，實現大量用戶的微支付以較小概率轉化成某一用戶的宏支付，如：每次交易時1000個用戶和商家共同選擇一個用戶，每個用戶被選中的概率是0.001，那么每個用戶平均1000次交易中有一次被選中，被選中后需要支付之前的賬單。但文獻[13]存在兩個弱點：(1)如何保證用戶被選擇的公平性；(2)如何防止用戶超額支付。文獻[14]提出MR1, MR2, MR3。MR1保證了用戶和商家公平的選擇用戶，但存在用戶超額支付的情況；MR2解決了超額扣除用戶金額的風險，但惡意用戶和商家會合謀攻擊銀行；MR3把計算中心轉移到銀行，但并未解決超額扣除的問題。另外在MR2和MR3中，用戶使用私鑰對每次交易進行簽名并發送給商家，可能會泄露用戶身份，破壞協議的隱私性。同時數字簽名計算比hash鏈和對稱加密更加復雜，影響在移動終端中的使用。

Liu-Yan(2013)提出一種基于hash函數[15,16]和插值多項式的微支付方案[17]。該方案使用插值多項式生成可驗證性隨機數來選擇支付用戶，保護了隱私性，降低了計算負擔。但該方案存在安全威脅。銀行可以定向的選擇用戶, 謀取非法利益；另外，Liu-Yan方案很難實現大量用戶同步操作，而且用戶數增加時，計算負擔會大幅度增加。本文提出基于承諾的可驗證公平性微支付方案，商家和用戶利用承諾協同生成一個小概率的結果，而且用戶可以驗證這個結果的公平性，該方案不僅滿足其他安全特性，還具有更好的公平性。

2 Liu-Yan方案

2.1 Liu-Yan方案

在Liu-Yan方案中，有3個參與者：用戶(U)，商家(M)，銀行(B)，分為4個階段：注冊階段，支付階段，概率選擇階段，驗證階段。在方案中，每次交易值為1分，每個用戶以的概率被選中去支付其賬單，每次交易都在1000個用戶中選擇一個用戶。

(1)注冊階段：

(3)概率選擇階段：

2.2 Liu-Yan方案的分析

Liu-Yan方案中被選擇去支付的用戶U和M都可以驗證是否參與生成，但其安全性存在風險。1000個用戶中一些用戶的賬單，另外一些, B每次選擇其中一個用戶支付賬單，而給商家充值1000分。

表1 次選擇得到賬單大于1000分用戶的概率

表1 次選擇得到賬單大于1000分用戶的概率

(次數)123456 概率1/23/47/815/1631/3263/64

在Liu-Yan方案中，需要大量用戶同步共同選擇一個進行宏支付的用戶，同步性要求太強，限制了方案的實用性?，F實生活中更多是用戶和商家之間的雙方交易，如果每次選擇1000個用戶來生成多項式，交易時間不統一會使得完成交易的時間大幅度增加。Liu-Yan方案中假設用戶為1000個，則需要生產一個1001次多項式?，F實生活中單筆商品或服務的價格極低，但交易量極大的微支付交易越來越多，也就需要更多用戶的微支付才能以更小概率轉化成某一個用戶的宏支付，生成的多項式次數更高，計算復雜度增加，使得交易的開銷大幅提升。為了降低計算復雜度，提高交易效率，降低同步性，并且防止銀行通過選擇特定用戶來謀取利益，本文提出基于承諾的可驗證公平性微支付方案。

3 基于承諾的可驗證公平性微支付方案

3.1 承諾

承諾方案是密碼學領域中的一個重要工具, 承諾函數的性質使承諾在零知識證明，安全多方計算，身份認證等方面得到廣泛的應用。通常承諾方案應滿足兩個目標：

滿足以上目標的承諾方案很多，其至少應該包括：承諾階段和打開階段。假設承諾雙方為Alice, Bob，承諾階段：Alice根據承諾函數計算，并將發給Bob。打開階段：當Alice需要打開承諾，Alice公布消息, Bob可以驗證承諾值是由生成的。

3.2 基于承諾的可驗證公平性微支付方案

基于承諾的可驗證公平性微支付方案中，有3個參與者：用戶(U)，商家(M)，銀行(B)，對應的公鑰、私鑰分別為：,,。本文以hash函數作為承諾函數，這不影響基于其它承諾方案微支付協議的各項安全性質。交易過程分為4個階段：注冊階段(與Liu-Yan方案相同)、概率選擇階段、支付階段、驗證階段。具體步驟如下：

4 效率性及和安全性分析

4.1 效率性分析

微支付的效率性包括計算效率和通訊效率，沒有使用復雜的數字簽名進行認證的協議是高效的。方案中可驗證性隨機數生成的主要運用hash運算，采用分層結構運算，大幅度降低了整體的計算量。本方案根據自己選擇的隨機數來生成可驗證性隨機數，降低了用戶驗證隨機數的計算量，在普通的移動終端上也可以瞬間完成。

假設1000個人需要和商家完成交易，每個人和商家交易1000次，那么每人有一次被選中支付賬單。假設1000個被選中的人中有1個人要求驗證參與生成，比較Liu-Yan方案和本文方案中1000人每人交易1000次的總的計算量和通訊量，發現簽名運算的次數、生成hash鏈的條數、驗證hash運算的次數和數據通訊量相差不大。本文方案在生成的時間和驗證階段計算上有很大優勢，比較結果如表2所示。

表2 1000人每人交易1000次生成R的時間和驗證階段計算比較

由表2可知：本文方案在計算時間和驗證計算上更加高效。另外Liu-Yan方案中用戶人數成倍數增加時，生成可驗證性隨機數的計算負擔大幅度增加。利用電腦參數為：系統：Ubuntu 14.04.3LTS, CPU: 2.50 GHz，內存：8 G的電腦分別計算生成可驗證性隨機數的時間，得到表3。本文中hash函數以SHA-256為例。

表3 生成可驗證性隨機數R的時間(ms)

4.2 安全性分析

4.2.1 SVO邏輯語法和公理 安全性分析是安全協議的基本組成部分，本文利用SVO邏輯對方案進行安全性分析。SVO邏輯定義了消息語言和公式語言。以,和分別表示消息，公鑰和私鑰，P和Q表示協議的實體。在消息語言中，以表示消息。表4中介紹SVO邏輯使用的符號。

表4 SVO邏輯語法的符號說明

4.2.2 SVO邏輯的形式化分析

(1) SVO邏輯對安全協議給出了4種安全目標：

(2)初始化假設：

(3)協議分析：

(3)

(5)

(7)

(9)

4.2.3 公平性分析 公平的目的在于確保協議參與各方的地位和作用平等，參與各方擁有的能力是相同的。微支付協議公平性指參與者在任何時刻都不會得到特別的好處。

命題2 本文方案對U, M和B都是公平的。

在Liu-Yan方案中，B可以特定選擇用戶，從中謀取利益，對U和M是不公平。在本文方案中U, M和B都是公平的參與交易，所以本文方案比Liu-Yan方案具有更好的公平性。 證畢

5 結束語

本文對Liu-Yan基于插值多項式的微支付方案進行分析，提出了基于承諾的可驗證公平性微支付方案。在本文方案中，用戶和商家利用承諾協同生成概率驗證性的結果，決定用戶是否需要支付之前賬單。用戶和商家都可以驗證是否參與生成結果，和Liu-Yan方案相比，本文方案除了滿足安全性、隱私性、可驗證性和高效性外，還具有更好的公平性。

[1] YANG Chingnung and WU Chihcheng. MSRC: Micropayment scheme with ability to return changes[J]., 2013, 58(1/2): 96–107. doi: 10.1016/j.mcm.2012.07.010.

[2] 王濤, 姚松濤, 郭荷清. 安全微支付技術應用于分布式系統安全審計的研究[J]. 通信學報, 2005, 26(5): 118-121.

WANG Tao, YAO Songtao, and GUO Heqing. Research on the application of secure micropayment technology in security auditing of distributed system[J]., 2005, 26(5): 118-121.

[3] GHAFOORI Z, DEHGHAN M, and NOURHOSEINI M. PPayWord: A Secure and Fast P2P Micropayment Scheme for Video Streaming[M]. Springer International Publishing Switzerland, Springer International Publishing, 2014: 79-91. doi: 10.1007/978-3-319-10903-9_7.

[4] HWANG Shinjia. Security Flaws of Off-Line Micro Payment Scheme with Dual Signatures[M]. Springer Science Business Media Dordrecht, Springer Netherlands, 2014: 905-909. doi: 10.1007/978-94-007-7262-5_103.

[5] CHA Byungrae, LEE Sanghun, PARK Soobong,Design of micropayment to strengthen security by 2 factor authentication with mobile and wearable devices[J]., 2015, 109(7): 28-32. doi: org/10.14257/astl.2015.109.07.

[6] DECKER C and WATTENHOFER R. A Fast and Scalable Payment Network with Bitcoin Duplex Micropayment Channels[M]. Springer International Publishing Switzerland, Springer International Publishing, 2015: 3-18. doi: 10.1007/ 978-3-319-21741-3_1.

[7] CHEUNG Helen and YANG Cungang. A secure electronic payment protocol for wireless mesh networks[J]., 2014, 6(5): 1-22.doi: 10.5121/ijnsa.2014.6501.

[8] YEN Sungming, LIN Hsichug, CHEN Yenchang,PayStar: A denomination flexible micropayment scheme[J]., 2014, 259: 160-169. doi: 10.1016/ j.ins.2013.07.031.

[9] BIRYUKOV A and PUSTOGAROV I. Proof-of-Work as Anonymous Micropayment: Rewarding a Tor Relay[M]. Springer Verlag Berlin Heidelberg, Springer Berlin Heidelberg, 2015: 445-455. doi: 10.1007/978-3-662-47854-7_27.

[10] 樊利民, 廖建新. 公平的移動小額支付協議[J]. 電子與信息學報, 2007, 29(11): 2599-2602.

FAN Limin and LIAO Jianxin. Fair mobile micropayment protocol[J]., 2007, 29(11): 2599-2602.

[11] 萬仁福, 李方偉, 朱江. 一種適用于移動環境的認證和支付協議[J]. 電子與信息學報, 2005, 27(3): 498-501.

WAN Renfu, LI Fangwei, and ZHU Jiang. An efficient authentication and payment protocol for mobile communication[J].&, 2005, 27(3): 498-501.

[12] RIVEST R L and SHAMIR A. Payword and micromint: Two simple micropayment scheme[C].International Workshop on Security Protocols, Springer-Verlag, 1997, 1189: 69-87. doi:10.1007/3-540-62494-5_6.

[13] RIVEST R L. Electronic lottery tickets as micropayments[C]. International Conference on Financial Cryptography, Springer Berlin Heidelberg, 1997: 307-314. doi:10.1007/ 3-540-63594-7_87.

[14] SILVIO M and RIVEST R L. Micropayment Revisited[C]. Topics in Cryptology CT-RSA 2002, Springer Berlin Heidelberg, 2002: 149-163. doi: 10.1007/3-540-45760-7_11.

[15] RAFAEL M, HOMERO T, JOEL R,. P2PM-pay: Person to person mobile payment scheme controlled by expiration date[J]., 2015, 85(1): 289-304.doi: 10.1007/s11277-015-2738-y.

[16] LIU Yining, HU Lei, and LIU Heguo. A micropayment scheme based on weighted multi-dimensional hash chain[J].(), 2006, 23(5): 791-794. doi: 10.1007/s11767-005-0219-2.

[17] LIU Yining and YAN Jihong. A lightweight micropayment scheme based on Lagrange interpolation formula[J]., 2013, 6(8): 955-960. doi: 10.1002/sec.643.

[18] SAZE G. Generation of key pre-distribution schemes using secret sharing scheme[J]., 2003, 128(1): 239-249. doi: 10.1016/S1571-0653(04)00173-8.

Verifiable Fairness Micropayment Scheme Based on Commitment

LIU Yining①②ZHAO Quanyu①

①(,,541004,)②(,,541004,)

Due to the large transaction number and tiny value in micropayment, it is not practical to authenticate each transaction. Micali. (2002) propose a lottery-based micropayment to integrate multiple micropayment to one macro-payment that is worth using complicated authentication. Liu-Yan scheme (2013) guarantees the result is verifiable by involving all participants’ data. However, there still exists a flaw that the malicious bank maybe obtain the illegal benefit by controlling the specific purchaser not be selected to execute the macro-payment, moreover, this attack can not be detected. In this paper, the flaw is firstly described, then, an improved version is proposed. Specifically the model “multiple purchasers to 1 merchant”in Liu-Yan’s scheme is replaced with a new model “1 purchaser to 1 merchant”, which guarantees the fairness and verifiability for all using the commitment technique.

Micropayment; Commitment; Fairness; Verifiability

TP309

A

11009-5896(2017)03-0743-06

10.11999/JEIT160300

2016-03-31；改回日期：2016-07-29；

2016-10-09

劉憶寧 ynliu@guet.edu.cn

國家自然科學基金(61363069, 61301166, 61662016)，桂林電子科技大學研究生教育創新計劃(2016YJCX44)，廣西研究生教育創新計劃(YCSZ2015149)

The National Natural Science Foundation of China (61363069, 61301166, 61662016), The Innovation Project of GUET Graduate Education (2016YJCX44), The Innovation Project of Guangxi Graduate Education (YCSZ2015149)

劉憶寧： 男，1973年生，教授，博士，博士生導師，主要研究方向為輕量級安全協議.

趙全玉： 男，1989年生，碩士生，研究方向為微支付協議、電子投票協議.