電子現金協議研究綜述*

李舟軍，張江霄，馮春輝，隋春榮

1.北京航空航天大學 軟件開發環境國家重點實驗室，北京 100191

2.邢臺學院 數學與信息技術學院，河北 邢臺 054001

電子現金協議研究綜述*

李舟軍1，張江霄2+，馮春輝2，隋春榮2

1.北京航空航天大學 軟件開發環境國家重點實驗室，北京 100191

2.邢臺學院 數學與信息技術學院，河北 邢臺 054001

隨著互聯網的快速發展，電子商務的規模越來越大，電子現金（e-cash）作為電子商務的一種重要支付方式，吸引了國內外很多學者對其進行研究，并設計出具有條件性、可分性、可傳遞性和多銀行性的電子現金協議，因此如何設計出安全的具有各個特性的電子現金協議是一個非常重要的研究課題。介紹了電子現金協議的基本模型；從電子現金協議的四個特性出發，介紹了具有各個特性電子現金協議的定義、發展現狀和存在問題，并給出每個特性在電子現金協議中的應用場景；分析了構造電子現金協議所需要的重要的密碼學原語，以及證明了電子現金協議安全的可證明安全理論；最后綜述了電子現金協議存在的問題，同時探討了電子現金協議的最新研究方向。

電子商務；電子現金協議；標準模型；零知識證明；匿名性；區塊鏈

1 引言

現實貨幣作為人們進行交換的一種基礎媒介，可以被用來購買商品、貨物等，具有方便、及時等特點。隨著互聯網的普及，電子商務壯大起來，從而導致多種電子支付方式的興起，雖然方便了電子商務，但是電子支付普遍存在很大缺陷：（1）在支付過程中銀行必須在線，銀行成為快速頻繁交易的瓶頸；（2）很多電子支付不是匿名的，隨時可以查詢進行這筆交易的用戶身份，導致電子商務信息的泄露。隨著網絡信息安全的加強，越來越多的人重視個人隱私，而電子支付在電子商務中的無隱私性，即想要查詢某人在哪個時段進行了哪方面的交易，直接造成交易雙方的隱私泄露。另外，網絡購物的熱潮，也使得電子支付的使用越來越頻繁，其中銀行是同時進行大量電子支付的瓶頸所在。

電子現金是現實貨幣的電子對應物，是能克服以上缺點的一種電子支付方式，利用電子現金，可以很方便地完成在線交易。一個完整的電子現金協議的一般模型由取款協議、花費協議和存款協議三個子協議組成，包括用戶、商家和銀行三類參與者。首先，用戶從銀行提取電子現金；然后，用戶為獲得商品，向商家花費該電子現金；最后，商家把電子現金存入銀行。一般電子現金模型如圖1。

Fig.1 Model of e-cash protocol圖1 電子現金協議模型

電子現金協議根據銀行在花費協議中是否在線，分為在線的電子現金協議和離線的電子現金協議。其中在線的電子現金協議的安全性雖然高，但是當同時有大量的、頻繁的交易時，銀行往往成為電子支付的支付瓶頸，因此對于在線電子現金協議的研究不多。離線的電子現金協議，允許花費協議中銀行無需參與，這就減少了銀行的計算量和通信量，也就避開了在線電子現金協議所存在的問題。為了保證用戶的隱私，電子現金協議還具有另一個重要的基本屬性——匿名性，該屬性保證了惡意的攻擊者、商家和銀行的聯合，他們都無法知道該電子現金的花費情況。這就保證了花費用戶的隱私性。

特別是電子現金所具有的離線性和匿名性，使得電子現金的應用受到了人們的重視。為了能更好地應用電子現金，一般從四個特性來進行電子現金協議的研究，即條件性、可分性、可傳遞性和多銀行性。其中的條件性允許用戶和商家基于某個未知結果的條件，根據條件結果進行最終的花費；可分性保證了用戶對小于已提取電子現金的任意面額的花費性；可傳遞性保證了商家在收到用戶花費的電子現金時，無需存入銀行，就可以直接花費該電子現金；多銀行性仿照了現實貨幣的情況，允許電子現金可以在多個銀行之間進行流通。以上的四個特性，都是為了在保證電子現金離線性和匿名性的前提下，對電子現金協議的擴展，使得電子現金能更好地實現現實貨幣的功能。

安全性是電子商務的一個基礎保障，也是電子現金協議的一個重要衡量標準，一個完整的電子現金協議應具有以下基本的安全屬性：匿名性、不可偽造性、不可重復花費性和不可誣陷性。匿名性是最基礎的一種安全屬性；不可偽造性是指用戶、惡意的攻擊者和商家的聯合，用戶也無法花費多于所提取的電子現金總額；不可重復花費性保證了用戶、惡意的攻擊者和商家的聯合，用戶無法花費同一個電子現金兩次；不可誣陷性是指銀行和惡意攻擊者聯合，也無法誣陷誠實用戶發生了重復花費。

如果設計的電子現金協議不安全，再好的特性也是沒有用的。因此電子現金協議被構建后，還需要從安全證明的角度來證明協議所具有的安全性，常用的安全證明模型是隨機預言機模型和標準模型。其中的隨機預言機模型，把哈希函數看作真正的隨機函數，借助它來證明電子現金協議的安全性；而標準模型無需隨機預言機假設，直接把攻擊者攻破電子現金協議的某個安全屬性歸約到一個困難問題上，只要攻擊者解決了該困難問題，也就攻破了電子現金協議的某個安全屬性。由于標準模型下證明的合理性，基于標準模型下證明安全的電子現金協議才是最安全的電子現金協議。

本文首先圍繞電子現金協議的四大安全特性，從各個安全特性的定義出發，介紹具有某個安全特性的電子現金協議的發展現狀，并綜述該安全特性對應的模型，同時指出具有該安全特性的電子現金協議的最新研究成果，分析存在的問題，并提出一些建設性的解決方法。然后概述電子現金協議的安全性證明的兩大安全模型，并給出基于標準模型下的電子現金協議的最新研究成果。最后指出電子現金協議的最新發展方向。

2 四個安全特性的電子現金協議研究現狀

第一個電子現金協議由Chaum[1]在1983年提出，為了更好地模擬現實中的貨幣，電子現金應具有以下四個安全特性：條件性、可分性、可傳遞性和多銀行性。下面分別針對電子現金的四個安全特性，來介紹電子現金的國內外研究現狀。

2.1 條件電子現金協議

條件電子現金協議具有條件性，條件性是指基于某個未知結果的條件，用戶向商家花費該電子現金，只有在條件結果公布后，猜對正確條件結果的一方（用戶/商家）才可以從銀行提取該電子現金；所構建的電子現金協議可以被應用到很多新的場景。如：在線賭博系統，假設用戶1和用戶2進行在線賭博，用戶1認為事件A是正確的，但是用戶2認為事件A是錯誤的，此時就可以利用條件電子現金來保證，當事件A的正確性在公布后，只有一個用戶才能獲勝，獲得相應的賭金。云計算中的外包計算問題也可以利用條件電子現金來保證，在外包計算中，工人和計算的擁有者之間是互不信任的，工人不相信在工作完成后，擁有者會付承諾的傭金，同樣擁有者也不相信在付承諾的傭金后，工人的計算是否完整，并符合要求。條件電子現金協議的模型如圖2所示。

Fig.2 Model of conditional e-cash圖2 條件電子現金模型

2007年Shi等人[2]首次引入條件電子現金的概念，并構建了第一個條件電子現金協議。為了提高條件電子現金協議的效率，Blanton[3]在2008年提出了一個高效的條件電子現金協議。Carbunar等人[4]借助條件電子現金的模型，解決了云計算中工人和計算擁有者之間的不信任問題。2010年Li等人[5]考慮了基于多條件的條件傳遞電子現金，從而用戶可以在基于多個條件的情況下花費條件電子現金，提高了條件可傳遞電子現金的實用性。2011年Carbunar等人[6]考慮了云計算中的公平付費問題，利用該協議，用戶和外包者之間就不用擔心付費問題，從而實現云計算中的公平付費。2012年張江霄等人[7]構建了一個匿名的條件電子現金協議，該條件電子現金協議解決了Blanton[3]遺留的公開問題，同時條件電子現金協議的效率很高。Chen等人[8]在2013年也構建了一個具有可傳遞性的條件電子現金協議。2015年張江霄等人[9]引入新的框架，構建了一個具有最優匿名性的條件電子現金協議，并在標準模型下給出了協議的安全性證明。2016年Haddad等人[10]構建了一個條件的多付費協議，該協議考慮了用戶的消費計劃，利用條件性來滿足用戶的個人消費計劃。

通過上面分析，可知條件電子現金條件性有很廣泛的應用場景，迫切需要研究如何構建一個高效、安全、匿名的條件電子現金協議，為達到這個目標，需要進一步改進條件模型，只有條件模型合理了，才能構建出一個高效的條件電子現金協議。

2.2 可分電子現金協議

可分電子現金協議允許用戶可以花費小于等于所提取電子現金的任意面額?？煞中允请娮蝇F金最重要、最基礎的一個特性，現存的可分電子現金協議一般都是利用一棵二叉樹來實現，二叉樹的根節點表示最大的面額，即用戶從銀行提取的最大面額的電子現金，二叉樹的葉子節點代表最小面額的電子現金，即單位電子現金1，二叉樹中的任何孩子節點所代表的電子現金總額是其父親節點的一半。圖3是一棵面額為8的二叉樹。

Fig.3 Binary tree with denomination of 8圖3 面額為8的二叉樹

1991年Okamoto等人[11]構建了第一個可分電子現金協議。Eng等人[12]在1994年基于典型的二叉樹結構，構建了一個單條可分電子現金協議，在計算節點的序列號時，從二叉樹的葉子節點開始計算，從而減少了用戶和銀行之間的交互次數。但是用戶花費一個電子現金所需要的計算量和電子現金的總額成比例，因此可分電子現金的效率不高。隨后，在1995年Okamoto[13]又提出了一個有效的可分電子現金協議，該協議利用位承諾協議，基于大整數分解的困難問題，構建了一個有效的可分電子現金協議。但是該協議的開戶效率很低，即用戶為了進行取款協議，首先要從銀行申請一個一次性的電子牌照，在用戶申請電子牌照的過程中，效率是很低的。1998年Chan等人[14]針對Okamoto所構造電子現金開戶效率低的問題，構建了一個實用的可分電子現金協議，首先基于離散對數假設，構建了一個有限范圍承諾，提高了開戶協議的效率，從而在整體上提高了可分電子現金協議的效率。但是該協議中用戶花費的電子現金是可鏈接的。陳凱等人[15]基于概率的方法構建了一個可分電子現金協議。為了滿足電子現金協議的不可鏈接性，Nakanishi等人[16]構建了一個具有不可鏈接性的電子現金協議，該協議基于群簽名協議[17]，使得用戶花費的電子現金是不可鏈接的。但在基于零知識證明的簽名證明過程中，使用了切割選擇算法，導致該協議的效率比較低。為了撤銷重復花費用戶的身份，該可分電子現金協議使用了一個可信第三方，誠實用戶的身份也可以被可信第三方恢復出來。

為了設計第一個無可信第三方的可分電子現金協議，Camenisch等人[18]在2005年基于CL簽名協議，構建了第一個無可信第三方的可分電子現金，但是用戶在花費一個價值為N的電子現金時，需要執行N次花費協議，雖然達到了可分性，但是協議的整體效率很低。彭冰等人[19]基于零知識證明和強RSA構建了一個可分電子現金協議。為了進一步提高可分電子現金協議的效率，2007年Canard等人[20]構建了一個真正匿名的可分電子現金協議，該協議使用了CL簽名和二叉樹，但是由于用戶在向銀行證明自己花費路徑的正確性時，利用了零知識證明技術，從二叉樹的根節點逐層證明花費路徑的正確性，所需的計算量是很大的，因此協議的效率不高。利用累加器原理，Au等人[21]在2008年構建了一個高效的可分電子現金協議，從而用戶在花費協議中，可以直接證明用戶花費的正確性，提高了花費協議的效率。由于在花費協議中用戶沒有證明自己花費路徑的正確性，因此該協議中用戶存在一定的欺騙概率，可以花費多于所提取的電子現金，即該電子現金系統安全性不具有不可偽造性。2008年陳愷等人[22]構建了一個可撤銷的可分電子現金協議。2009年，劉文遠等人[23]基于新的二叉樹結構，構建了一個可直接計算的可分電子現金協議，該協議基于二叉樹和節點可直接計算技術，但是為了證明用戶花費的正確性，所需的計算量仍然很大。為了保證可分電子現金協議的安全性，Canard等人[24]構建了一個具有不可偽造性的可分電子現金協議。但是以上所有的可分電子現金協議都是基于隨機預言機模型的，現存的一些協議在隨機預言機模型下證明是安全的，但是無法在實際中進行實例化，因此Belenkiy等人[25]構建了第一個在標準模型下證明安全的電子現金協議。在2012年Izabachène等人[26]構建了第一個標準模型下證明安全的可分電子現金協議。2013年張江霄等人[27]利用新的簽名協議，構建了一個高效的可分電子現金協議。2014年張江霄等人[28]引入了一個新的二叉樹結構，基于新的結構，構建了一個標準模型下證明安全的可分電子現金協議。2015年Canard等人在標準模型下，構建了有效的可伸縮的可分電子現金協議[29]和實用的可分電子現金協議[30]。2016年Yang等人[31]構建了一個實用的、匿名的、適合移動設備的可分電子現金協議，該協議利用可信區域，構建一個花費協議效率比較高的可分電子現金協議。

綜上所述可知，可分電子現金協議的可分性是電子現金一個最基礎的屬性，但是可分電子現金協議的效率一般都很低，為了在標準模型下，構建高效的、匿名的無可信第三方的電子現金協議，就需要進一步優化可分電子現金所基于的二叉樹模型，只有二叉樹模型優化了，才能進一步提高取款協議、花費協議和存款協議的執行效率。

2.3 可傳遞的電子現金協議

可傳遞的電子現金協議允許商家在收到用戶所花費的電子現金后，無需聯系銀行，就可以直接把該電子現金花費給其他用戶。因此，可傳遞電子現金協議減少了用戶和銀行之間的通訊次數，降低了銀行的計算量，其基本模型如圖4所示。

Fig.4 Model of transferable e-cash圖4 可傳遞電子現金模型

Kamoto等人[11]在1991年構建了第一個實用的電子現金協議，該協議具有可傳遞性。Antwerpen[32]首次對可傳遞的電子現金給出一般的描述，該描述適合于構建一大類電子付費協議。1991年Okamoto等人[33]構建了一個理想的不可追蹤的電子現金協議，該協議具有可分性、可傳遞性、匿名性等；雖然Okamoto等人構建的可傳遞的電子現金協議都具有匿名性，但是都只是弱匿名性。1992年Chaum等人[34]分析了可傳遞電子現金協議的本質，并得出結論：電子現金的長度與用戶傳遞的次數成正比。正因為這個缺點，在很長時間內，可傳遞的電子現金協議沒有進展。但是隨著密碼學原語的發展，Canard等人[35]在電子現金的存儲量和用戶與銀行的交互次數之間找到了一個平衡，構建了兩個可傳遞的電子現金協議。2008年Canard等人[36]又分析了可傳遞電子現金協議的匿名性，認為可傳遞電子現金協議的匿名性和具有其他安全屬性的電子現金的匿名性不同，并把可傳遞電子現金所具有的匿名性稱為最優匿名性，即同時具有完美匿名性、最優匿名性1和最優匿名性2。以上所有的可傳遞電子現金協議都在標準模型下給出了安全證明?；贕roth-Sahai的非交互式零知識證明[37]，Fuchsbauer等人[38]構建了一個常量大小的可傳遞的電子現金協議。為了解決Fuchsbauer等人[38]遺留的問題，Blazy等人[39]在2011年構建了一個具有最優匿名性的可傳遞電子現金協議，并在標準模型下給出了協議的安全性證明。2015年張江霄等人[40]引入了花費鏈構建法，基于新的構建法，在標準模型下給出了一個具有最優匿名性的長度不變的可傳遞電子現金協議。為了實現 全匿名的可傳遞電子現金協議，張江霄等人[41]在TASE2015上構建了一個全匿名的可傳遞電子現金協議。在2015年PKC（International Workshop on Public Key Cryptography）上，Baldimtsi等人[42]構建了一個無可信第三方的完全匿名的可傳遞電子現金協議。

針對以上問題，為構建一個傳遞長度是等長的、高效的和匿名的可傳遞電子現金協議，需要使用可更新簽名協議，使得在電子現金傳遞過程中，可更新電子現金的簽名和零知識證明等，以形成一個高效的、等長的和全匿名的可傳遞電子現金協議。

2.4 多銀行電子現金協議

多銀行電子現金協議允許用戶和商家可以在多個銀行開賬戶，在提取電子現金后，用戶向商家花費該電子現金。最后，商家把該電子現金存入銀行，由于存在多個銀行，用戶提取電子現金的銀行，與商家存入電子現金的銀行很可能是不相同的。多銀行電子現金協議的模型如圖5所示。

Fig.5 Model of multiple-bank e-cash圖5 多銀行電子現金模型

1998年Lysyanskaya等人[43]首次引入了多銀行電子現金的概念。為了滿足公平性，Jeong等人[44]在2000年實現了一個具有公平性的多銀行電子現金協議，并指出多銀行電子現金協議與一般的電子現金協議的匿名性是不同的，多銀行電子現金協議的匿名性不僅包括用戶匿名性，還包括銀行匿名性，從而更好地保護用戶的隱私。2008年Wang等人[45]構建了一個多銀行電子現金協議，但是該協議不具有不可偽造性。為了進一步提高Wang等人[45]多銀行電子現金協議的安全性，Chen等人[46]在2012年構建了一個滿足不可偽造性的多銀行電子現金協議。2013年張江霄等人[47]在標準模型下構建了一個多銀行電子現金協議。

多銀行電子現金協議的構建是為了方便用戶存取，更好地模擬現實中的電子現金，這需要一個高效的群盲簽名協議，以便為構建高效的多銀行電子現金協議，提供堅實的理論基礎。

3 常用的密碼學原語

電子現金協議很復雜，一般包括取款子協議、花費子協議和存款子協議，為了完成電子現金協議，需要很多密碼學原語，下面給出常用的密碼學原語。

（1）零知識證明

零知識證明即zero-knowledge proof，是由Goldwasser等人[48]在1985年提出的，指的是證明者不向驗證者提供任何有用信息的前提下，驗證者能相信證明者能證明某個論斷是正確的，如證明者在不泄露私鑰的情況下，向驗證者證明自己知道某個公鑰的私鑰。它分為交互式零知識證明和非交互式零知識證明。由于交互式零知識證明的效率比較低，現在基本利用非交互式零知識證明作為構造電子現金協議的基本密碼學原語。常用的非交互式零知識證明是Groth-Sahai（GS）證明[37]，具體描述如下：

在標準模型下給出有關雙線性群中等式的非交互式零知識證明，它適合多種雙線性群中群元素關系的等式，具體包括雙線性乘積等式、多標量乘法等式和二次等式，其中基于SXDH（symmetric external Diffe-Heuman）假設下的雙線性乘積等式最常用，如下：

給出χ1,χ2,…,χn,Αi∈G1,y1,y2,…,yn,Βi∈G2,t3∈G3,γi,j∈Zn。下面給出雙線性等式：

然后利用雙線性乘積等式給出證明，最后證明者發送變量承諾以及相關的證明給驗證者，驗證者就可以驗證所給的變量是否滿足雙線性等式。

在電子現金協議中，一個電子現金經常由序列號、安全序列號和零知識證明組成，零知識證明可以在不泄露電子現金信息的前提下，證明電子現金是正確的，如由銀行簽發的。

（2）盲簽名

盲簽名是由Chaum[49]在1982年提出的，消息者先將簽名的消息盲化，再由簽名者對盲化的消息進行簽名，但是簽名者并不知道所簽的消息具體是什么，最后消息者得到簽名的消息。為了便于構造電子現金，它被演化成多種盲簽名，如群盲簽名、自同態盲簽名等。自同態盲簽名[50]是一個結構保存簽名，即被簽名消息、驗證密鑰和簽名都是由群元素組成的，從而該盲簽名可以與GS證明完美結合。

在電子現金協議中，電子現金由銀行簽發并進行盲簽名，既保證了電子現金的盲化性，又允許銀行對電子現金進行簽發。

（3）安全多方計算協議

安全多方計算協議由Yao[51]在1982年提出，當兩個或者更多方參與到一起，在保護各自秘密輸入的前提下，完成這個計算或者問題。基于安全多方計算，可以實現基于多方的匿名的電子投票系統，從而在保證投票方身份和投票內容保密的前提下，完成投票，也可以被用來構建匿名的電子拍賣系統等。

4 電子現金協議的可證明理論

為了在理論上證明電子現金協議的安全性，需要對所構建的電子現金協議進行安全性分析，最早的安全分析方法是啟發式分析。這種安全分析方法假設利用現有最強的攻擊方法都無法破解方案，因此在現有計算條件下，不存在一個能夠破解該方案的攻擊者。但是啟發式分析方法只能考查密碼方案對已知攻擊手段或方法的抵抗能力，而不能確保先前所不知道的攻擊手段或方法是否能夠破解該方案。為了解決上述問題，可證明安全理論應運而生。

可證明安全理論[52]以計算復雜度理論和概率論為基礎，通過歸約的方式對協議的安全性證明給出一個有效變換，從而將攻擊轉變成一個計算復雜性理論中困難問題的重大突破，并分析歸約成功的概率。可證明安全首先確定某個方案應滿足的安全目標，然后根據攻擊者的能力構建一個安全模型，并且定義它對該方案的安全性，最后利用歸約方式對攻擊者攻破協議的可能性進行具體的概率分析。

可證明安全的思想起源于1984年Goldwasser和Micali等學者的開創性工作，他們提出了語義安全的定義，將概率引入了密碼學[53]。粗略地說，可證明安全理論是一種“歸約”方法[54]。使用該方法時，首先確定方案或協議的安全目標；然后根據攻擊者的能力構建一個安全模型；在構建安全模型中充分考慮攻擊者的能力，并給攻擊者提供所需要的一切資源，最后指出攻擊者為了攻破協議的安全性，只有解決某個困難問題，即把攻擊者攻破協議的能力歸約到一個困難問題上。利用可證安全技術證明一個密碼方案安全性的基本步驟是：

（1）安全性定義，即定義密碼方案應能抵抗的攻擊目標；

（2）形式化定義安全模型，即嚴格定義攻擊者所掌握的攻擊手段和資源；

（3）安全性證明，即將密碼方案的安全性“歸約”到一個已知的計算難題的過程。歸約意味著針對某個密碼方案的成功攻擊者能夠被轉化為解決某個已知計算難題的有效算法，這個算法通過模擬攻擊者攻擊環境的方法來達到目的。由于相信針對某些計算難題的有效算法是不存在的，得到結論：不存在攻擊者，能夠以不可忽略的優勢破解該密碼方案。

到現在為止，電子現金協議的安全性證明可分為基于隨機預言機模型和標準模型兩種。隨機預言機模型最早是由Bellare等人[52]于1993年提出，從Fiat等人[55]的思想中受到啟發而從哈希函數抽象出來的一種通用證明模型。它要求將密碼哈希函數看作真正的隨機函數，即對應于不同的輸入，它的輸出是真正隨機的?，F有的大部分電子現金協議都是在隨機預言機模型下證明其安全性的。利用隨機預言機模型來證明協議的安全性的效率比較高，但是已經有一些協議雖然在隨機預言機模型下被證明是安全的，但是在實際的方案中無法利用哈希函數來實例化，也就不能保證在實際情況下協議的安全性。標準模型無需隨機預言機假設，直接把協議歸約到一個困難問題上，直到2008年Groth和Sahai[37]提出第一個有效的非交互式零知識證明，利用此證明技術和P簽名[56]，Belenkiy等人[25]構建了第一個標準模型下的電子現金協議。Izabachène等人[26]在標準模型下構建了第一個可分電子現金協議，但是其花費協議和存款協議的效率非常低。2015年Canard[29-30]和Baldimtsi等人[42]分別在標準模型下構建了可分電子現金協議和可傳遞電子現金協議。雖然基于標準模型的電子現金協議安全性比較強，但效率比較低。

5 電子現金協議現存的問題和研究展望

電子現金作為電子商務的重要支付手段，很多學者對其進行了研究，并從四個安全屬性：條件性、可分性、可傳遞性和多銀行性進行研究，為了保證所構建的協議是安全的，一般在隨機預言機模型或者標準模型下進行證明。

綜上所述，電子現金協議主要存在如下問題：

（1）現有的在標準模型下給出的電子現金協議，要么效率低下，要么不實用；

（2）現有的電子現金協議都是基于某個安全屬性進行構建，為了方便使用，急需具有綜合特性的電子現金協議；

（3）隨著移動互聯網的普及，越來越多的人使用智能手機來進行網絡購物，而這都需要電子現金作為基礎。但是，由于智能手機受電池和運行內存的限制，需要輕量級的電子現金協議作為基礎。

因此，電子現金將來的研究重點如下：

（1）如何在標準模型下構建具有多種復合安全屬性的高效電子現金協議

為了在標準模型下構建具有多種復合安全屬性的電子現金協議，就需要一個有效的標準模型下的簽名方案和零知識證明方案，然后基于有效的標準模型，借用簽名和零知識證明，來構建有效的標準模型下的具有多種復合安全屬性的電子現金協議。

（2）隨著智能手機和移動支付的普及，如何構建具有各種安全屬性的輕量級電子現金協議

輕量級電子現金協議是必經之路，為了能構建適合在智能手機上運行的電子現金協議，這就需要考慮新的可信模型，以便可以在普通智能手機上運行安全、可信賴的輕量級電子現金協議。

（3）區塊鏈技術在電子現金領域的應用

區塊鏈技術，特別是公開的無需許可的區塊鏈能帶來真正的電子現金。它被稱為是人類信用進化史上繼血親信用、貴金屬信用、央行紙幣信用之后的第四個里程碑。區塊鏈（blockchain）首次在Nakamoto發表的文章中[57]出現。區塊鏈可分為三類[58]:

①區塊鏈1.0是貨幣，它的應用都與貨幣有關，比如貨幣轉移、匯兌和支付。

②區塊鏈2.0是合約，顧名思義，區塊鏈2.0就如同合約一樣，不僅僅局限于現金的轉移，它覆蓋了經濟、市場、金融全方面的應用，諸如債券、股票、貸款、期貨、產權、智能合約和智能資產。

③區塊鏈3.0的應用超越貨幣、金融、市場等領域，真正地實現全行業應用覆蓋，例如政府、科學、文化、醫療和藝術等領域。

區塊鏈具有如下特征：去中心化（decentralized）、去信任（trustless）、集體維護（collectively maintain）、可靠數據庫（reliable database）。區塊鏈是指通過去中心化和去信任的方式集體維護一個可靠數據庫的技術方案。該技術方案讓參與系統中的任意多個節點，把一段時間系統內全部信息交流的數據，通過密碼學算法計算和記錄到一個數據庫block，并且生成該數據塊的指紋用于連接chain下個數據庫和校驗，系統所有參與節點來共同認定記錄是否為真。

2016年1月20日中國人民銀行專門就數字貨幣召開了專題研討會，指出：“發行數字貨幣既可以降低傳統紙幣發行、流通的高昂成本，又可以提升經濟交易活動的便利性和透明度等作用?！眳^塊鏈技術為比特幣系統解決了數字加密貨幣領域長期以來所必須面對的兩個重要問題，即雙重支付問題和拜占庭將軍問題。區塊鏈作為未來新一代的底層基礎技術，除了可以被應用到數字加密貨幣領域，還能延伸到金融、經濟、科技和政治等其他領域。

6 結束語

本文首先概述了電子現金協議組成部分，并給出電子現金協議的一般模型，然后從四個安全特性出發，分析了不同安全特性的電子現金協議的國內外現狀，并給出一些建設性的解決方法，再從隨機預言機模型和標準模型出發，分析了當下電子現金協議的安全性證明進展?；谝陨戏治?，給出了現有的電子現金協議存在的問題和最新的研究進展。

[1]Chaum D.Blind signatures for untraceable payments[C]//Proceedings of the Advances in Cryptology,Santa Barbara,USA,Aug 23-25,1982.New York:Springer Science Business Media,1983:199-203.

[2]Shi L,Carbunar B,Sion R.Conditional e-cash[C]//LNCS 4886:Proceedings of the 11th International Conference on Finan-cial Cryptography and Data Security,Scarborough,Trinidad and Tobago,Feb 12-16,2007.Berlin,Heidelberg:Springer,2007:15-28.

[3]Blanton M.Improved conditional e-payments[C]//LNCS 5037:Proceedings of the 6th International Conference on Applied Cryptography and Network Security,New York,Jun 3-6,2008.Berlin,Heidelberg:Springer,2008:188-206.

[4]Carbunar B,Tripunitara M.Conditional payments for computing markets[C]//LNCS 5339:Proceedings of the 7th International Conference on Cryptology and Network Security,Hong Kong,China,Dec 2-4,2008.Berlin,Heidelberg:Springer,2008:317-331.

[5]Li Ying,Chen Lusheng.Multi-conditional e-cash with transferability[C]//Proceedings of the 2010 International Conference on Wireless Communications,Networking and Information Security,Beijing,Jun 25-27,2010.Piscataway,USA:IEEE,2010:381-385.

[6]Carbunar B,Shi Weidong,Sion R.Conditional e-payments with transferability[J].Journal of Parallel and Distributed Computing,2011,71(1):16-26.

[7]Zhang Jiangxiao,Li Zhoujun,Guo Hua.Anonymous transferable conditional e-cash[C]//Proceedings of the 8th International ICST Conference on Security and Privacy in Communication Networks,Padua,Italy,Sep 3-5,2012.Berlin,Heidelberg:Springer,2013:45-60.

[8]Chen Xiaofeng,Li Jin,Ma Jianfeng,et al.New and efficient conditional e-payment systems with transferability[J].Future Generation Computer Systems,2014,37(7):252-258.

[9]Zhang Jiangxiao,Guo Hua,Li Zhoujun,et al.Transferable conditional e-cash with optimal anonymity in the standard model[J].IET Information Security,2014,9(1):59-72.

[10]Haddad G E,Hage H,A?meur E.E-payment plan:a conditional multi-payment scheme based on user personalization and plan agreement[C]//Proceedings of the 7th International Conference on E-Technologies:Embracing the Internet of Things,Ottawa,Canada,May 17-19,2017.Berlin,Heidelberg:Springer,2017:285-299.

[11]Okamoto T,Ohta K.Universal electronic cash[C]//LNCS 576:Proceedings of the 11th Annual International Cryptology Conference on Advances in Cryptology,Santa Barbara,USA,Aug 11-15,1991.Berlin,Heidelberg:Springer,1991:324-337.

[12]Eng T,Okamoto T.Single-term divisible electronic coins[C]//LNCS 950:Proceedings of the Workshop on the Theory and Application of Cryptographic Techniques,Perugia,Italy,May 9-12,1994.Berlin,Heidelberg:Springer,1994:306-319.

[13]Okamoto T.An efficient divisible electronic cash scheme[C]//LNCS 963:Proceedings of the 15th Annual International Cryptology Conference on Advances in Cryptology,Santa Barbara,USA,Aug 27-31,1995.Berlin,Heidelberg:Springer,1995:438-451.

[14]Chan A,Frankel Y,Tsiounis Y.Easy come-easy go divisible cash[C]//LNCS 1403:Proceedings of the 1998 International Conference on the Theory and Applications of Cryptographic Techniques,Espoo,Finland,May 31-Jun 4,1998.Berlin,Heidelberg:Springer,1998:561-575.

[15]Chen Kai,Zhang Yuqing,Xiao Guozhen.A divisible e-cash system based on probabilistic audit[J].Journal of Computer Research and Development,2000,37(6):752-757.

[16]Nakanishi T,Sugiyama Y.Unlinkable divisible electronic cash[C]//LNCS 1975:Proceedings of the 3rd International Workshop on Information Security,Wollongong,Australia,Dec 20-21,2000.Berlin,Heidelberg:Springer,2000:121-134.

[17]Camenisch J,Stadler M.Efficient group signature schemes for large groups[C]//LNCS 1296:Proceedings of the 17th Annual International Cryptology Conference on Advances in Cryptology,Santa Barbara,USA,Aug 17-21,1997.Berlin,Heidelberg:Springer,1997:410-424.

[18]Camenisch J,Hohenberger S,Lysyanskaya A.Compact ecash[C]//LNCS 3494:Proceedings of the 24th Annual International Conference on the Theory and Applications of Cryptographic Techniques,Aarhus,Denmark,May 22-26,2005.Berlin,Heidelberg:Springer,2005:302-321.

[19]Peng Bing,Hong Fan,Cui Guohua.Divisible e-cash based on signatures of zero-knowledge proof and strong-RSA problem[J].Journal on Communications,2006,27(7):12-19.

[20]Canard S,Gouget A.Divisible e-cash systems can be truly anonymous[C]//LNCS 4515:Proceedings of the 26th Annual International Conference on the Theory and Applications of Cryptographic Techniques,Barcelona,Spain,May 20-24,2007.Berlin,Heidelberg:Springer,2007:482-497.

[21]Au M H,Susilo W,Mu Yi.Practical anonymous divisible ecash from bounded accumulators[C]//LNCS 5143:Proceedings of the 12th International Conference on Financial Cryp-tography and Data Security,Cozumel,Mexico,Jan 28-31,2008.Berlin,Heidelberg:Springer,2008:287-301.

[22]Chen Kai,Hu Yupu,Xiao Guozhen.Anonymity revocable divisible e-cash system[J].Journal of Xidian University:Natural Science,2001,28(1):57-61.

[23]Liu Wenyuan,Zhang Jiangxiao,Hu Qinghua,et al.Divisible e-cash system with direct computation and efficiency[J].Acta Electronica Sinica,2009,37(2):367-371.

[24]Canard S,Gouget A.Multiple denominations in e-cash with compact transaction data[C]//LNCS 6052:Proceedings of the 14th International Conference on Financial Cryptography and Data Security,Tenerife,Canary Islands,Jan 25-28,2010.Berlin,Heidelberg:Springer,2010:82-97.

[25]Belenkiy M,Chase M,Kohlweiss M,et al.Compact e-cash and simulatable VRFs revisited[C]//LNCS 5671:Proceedings of the 3rd International Conference on Pairing-Based Cryptography,Palo Alto,USA,Aug 12-14,2009.Berlin,Heidelberg:Springer,2009:114-131.

[26]Izabachène M,Libert B.Divisible e-cash in the standard model[C]//LNCS 7708:Proceedings of the 5th International Conference on Pairing-Based Cryptography,Cologne,Germany,May 16-18,2012.Berlin,Heidelberg:Springer,2012:314-332.

[27]Zhang Jiangxiao,Li Zhoujun,Guo Hua,et al.Efficient divisible e-cash in the standard model[C]//Proceedings of the 2013 IEEE International Conference on Green Computing and Communications and IEEE Internet of Things and IEEE Cyber,Physical and Social Computing,Beijing,Aug 20-23,2013.Piscataway,USA:IEEE,2013:2123-2128.

[28]Zhang Jiangxiao,Guo Hua,Li Zhoujun.Efficient divisible e-cash system based on reverse binary tree[J].Journal of Electronics&Information Technology,2014,36(1):22-26.

[29]Canard S,Pointcheval D,Sanders O,et al.Scalable divisible e-cash[C]//LNCS 9092:Proceedings of the 13th International Conference on Applied Cryptography and Network Security,New York,Jun 2-5,2015.Berlin,Heidelberg:Springer,2015:287-306.

[30]Canard S,Pointcheval D,Sanders O,et al.Divisible e-cash made practical[C]//LNCS 9020:Proceedings of the 18th IACR International Conference on Practice and Theory in Public-Key Cryptography,Gaithersburg,USA,Mar 30-Apr 1,2015.Berlin,Heidelberg:Springer,2015:77-100.

[31]Yang Bo,Yang Kang,Zhang Zhenfeng,et al.AEP-M:practical anonymous e-payment for mobile devices using ARM trustzone and divisible e-cash[C]//LNCS 9866:Proceedings of the 19th International Conference on Information Security,Honolulu,USA,Sep 3-6,2016.Berlin,Heidelberg:Springer,2016:130-146.

[32]Antwerpen H.Electronic cash[D].Eindhoven:Eindhoven University of Technology,1990.

[33]Okamoto T,Ohta K.Disposable zero-knowledge authentications and their applications to untraceable electronic cash[C]//LNCS 435:Proceedings of the 1989 Conference on the Theory and Applications of Cryptology,Advances in Cryptology,Santa Barbara,USA,Aug 20-24,1989.Berlin,Heidelberg:Springer,1990:481-496.

[34]Chaum D,Pedersen T.Transferred cash grows in size[C]//LNCS 658:Proceedings of the 11th Annual International Conference on the Theory and Applications of Cryptographic Techniques,Balatonfüred,Hungary,May 24-28,1992.Berlin,Heidelberg:Springer,1993:390-407.

[35]Canard S,Gouget A,Traoré J.Improvement of efficiency in(unconditional)anonymous transferable e-cash[C]//LNCS 5143:Proceedings of the 12th International Conference on Financial Cryptography and Data Security,Cozumel,Mexico,Jan 28-31,2008.Berlin,Heidelberg:Springer,2008:202-214.

[36]Canard S,Gouget A.Anonymity in transferable e-cash[C]//LNCS 5037:Proceedings of the 6th International Conference on Applied Cryptography and Network Security,New York,Jun 3-6,2008.Berlin,Heidelberg:Springer,2008:207-223.

[37]Groth J,Sahai A.Efficient non-interactive proof systems for bilinear groups[C]//LNCS 4965:Proceedings of the 27th Annual International Conference on the Theory and Applications of Cryptographic Techniques,Istanbul,Turkey,Apr 13-17,2008.Berlin,Heidelberg:Springer,2008:415-432.

[38]Fuchsbauer G,Pointcheval D,Vergnaud D.Transferable constant-size fair e-cash[C]//LNCS 5888:Proceedings of the 8th International Conference on Cryptology and Network Security,Kanazawa,Japan,Dec 12-14,2009.Berlin,Heidelberg:Springer,2009:226-247.

[39]Blazy O,Canard S,Fuchsbauer G,et al.Achieving optimal anonymity in transferable e-cash with a judge[C]//LNCS 6737:Proceedings of the 4th International Conference on Cryptology in Africa,Dakar,Senegal,Jul 5-7,2011.Berlin,Heidelberg:Springer,2011:206-223.

[40]Zhang Jiangxiao,Li Zhoujun,Gao Yanwu,et al.Transferable e-cash system of equal length with optimal anonymity based on spending chain[J].Acta Electronica Sinica,2015,43(9):1805-1809.

[41]Zhang Jiangxiao,Huo Lina,Liu Xia,et al.Transferable optimalsize fair e-cash with optimal anonymity[C]//Proceedings of the International Symposium on Theoretical Aspects of Software Engineering,Nanjing,China,Sep 12-14,2015.Piscataway,USA:IEEE,2015:139-142.

[42]Baldimtsi F,Chase M,Fuchsbauer G,et al.Anonymous transferable e-cash[C]//LNCS 9020:Proceedings of the 18th IACR International Conference on Practice and Theory in Public-Key Cryptography,Gaithersburg,USA,Mar 30-Apri 1,2015.Berlin,Heidelberg:Springer,2015:101-124.

[43]Lysyanskaya A,Ramzan Z.Group blind digital signatures:a scalable solution to electronic cash[C]//LNCS 1465:Proceedings of the 2nd International Conference on Financial Cryptography,Anguilla,British West Indies,Feb 23-25,1998.Berlin,Heidelberg:Springer,1998:184-197.

[44]Jeong I R,Lee D H.Anonymity control in multi-bank ecash system[C]//LNCS 1977:Proceedings of the 1st International Conference on Cryptology in India,Progress in Cryptology,Calcutta,India,Dec 10-13,2000.Berlin,Heidelberg:Springer,2000:104-116.

[45]Wang Shangping,Chen Zhiqiang,Wang Xiaofeng.A new certificateless electronic cash scheme with multiple banks based on group signatures[C]//Proceedings of the International Symposium on Electronic Commerce and Security,Guangzhou,China,Aug 3-5,2008.Piscataway,USA:IEEE,2008:362-366.

[46]Chen Mingte,Fan C I,Juang W S,et al.An efficient electronic cash scheme with multiple banks using group signature[J].International Journal of Innovative Computing,Information and Control,2012,8(7):4469-4482.

[47]Zhang Jiangxiao,Li Zhoujun,Guo Hua.Multiple-bank ecash without random oracles[C]//LNCS 8300:Proceedings of the 5th International Symposium on Cyberspace Safety and Security,Zhangjiajie,China,Nov 13-15,2013.Berlin,Heidelberg:Springer,2013:40-51.

[48]Goldwasser S,Micali S,Rackoff C.The knowledge complexity of interactive proof-systems[C]//Proceedings of the 17th Annual ACM Symposium on Theory of Computing,Providence,USA,May 6-8,1985.New York:ACM,1985:291-304.

[49]Chaum D.Blind signatures for untraceable payments[C]//Proceedings of the Crypto 82,Advances in Cryptology,Santa Barbara,USA,Aug 23-25,1982.Berlin,Heidelberg:Springer,1982:199-203.

[50]Abe M,Fuchsbauer G,Groth J,et al.Structure-preserving signatures and commitments to group elements[C]//LNCS 6223:Proceedings of the 30th Annual Cryptology Conference on Advances in Cryptology,Santa Barbara,USA,Aug 15-19,2010.Berlin,Heidelberg:Springer,2010:209-236.

[51]Yao A C.Protocols for secure computations[C]//Proceedings of the 23rd Annual Symposium on Foundations of Computer Science,Chicago,USA,Nov 3-5,1982.Washington:IEEE Computer Society,1982:160-164.

[52]Bellare M,Rogaway P.Random oracles are practical:a paradigm for designing efficient protocols random oracles are practical:a paradigm for designing efficient protocols[C]//Proceedings of the 1st ACM Conference on Computer and Communications Security,Fairfax,USA,Nov 3-5,1993.New York:ACM,1993:62-73.

[53]Goldwasser S,Micali S.Probabilistic encryption[J].Journal of Computer and System Sciences,1984,28(2):270-299.

[54]Feng Dengguo.Research on theory and approach of provable security[J].Journal of Software,2005,16(10):1743-1756.

[55]Fiat A,Shamir A.How to prove yourself:practical solutions to identification and signature problems[C]//LNCS 263:Proceedings of the 1986 Conference on the Theory and Applications of Cryptographic Techniques,Advances in Cryptology,Santa Barbara,USA,Aug 11-15,1986.Berlin,Heidelberg:Springer,1987:186-194.

[56]Belenkiy M,Chase M,Kohlweiss M,et al.P-signatures and noninteractive anonymous credentials[C]//LNCS 4948:Proceedings of the 5th Theory of Cryptography,New York,Mar 19-21,2008.Berlin,Heidelberg:Springer,2008:356-374.

[57]Nakamoto S.Bitcoin:a peer-to-peer electronic cash system[EB/OL].(2009).https://bitcoin.org.bitcoin.pdf.

[58]Swan M.Blockchain:blueprint for a new economy[M].Sebastopol,USA:O'Reilly Media Press,2005.

附中文參考文獻：

[15]陳愷,張玉清,肖國鎮.基于概率驗證的可分電子現金系統[J].計算機研究與發展,2000,37(6):752-757.

[19]彭冰,洪帆,崔國華.基于零知識證明簽名和強RSA問題的可分電子現金[J].通信學報,2006,27(7):12-19.

[22]陳愷,胡予濮,肖國鎮.可撤消匿名性的可分電子現金系統[J].西安電子科技大學學報:自然科學版,2001,28(1):57-61.

[23]劉文遠,張江霄,胡慶華,等.可直接計算的高效的可分電子現金系統[J].電子學報,2009,37(2):367-371.

[28]張江霄,郭華,李舟軍.基于逆序二叉樹的高效可分電子現金系統[J].電子與信息學報,2014,36(1):22-26.

[40]張江霄,李舟軍,高延武,等.基于花費鏈最優匿名的等長可傳遞電子現金系統[J].電子學報,2015,43(9):1805-1809.

[54]馮登國.可證明安全性理論與方法研究[J].軟件學報,2005,16(10):1743-1756.

2017-06,Accepted 2017-09.

Survey on E-Cash Scheme*

LI Zhoujun1,ZHANG Jiangxiao2+,FENG Chunhui2,SUI Chunrong2
1.State Key Laboratory of Software Development Environment,Beihang University,Beijing 100191,China
2.Mathematics and Information Technology Institute,Xingtai University,Xingtai,Hebei 054001,China
+Corresponding author:E-mail:orange_0092008@163.com

With the rapid development of the network,the scale of e-commerce is getting bigger and bigger.Electronic cash(e-cash)is an important payment method to e-commerce and attracts a lot of scholars at home and abroad to study it and design a conditional,divisible,transferable or multi-bank e-cash protocol.How to design a safe e-cash protocol with various characteristics is a very important research topic.This paper firstly introduces the basic model of the e-cash protocol.Secondly,this paper introduces the definition,development status and existing problems of the e-cash protocol from various characteristics and gives the application of the e-cash protocol.Thirdly,the important cryptographic primitives are given to construct the e-cash protocol and the provable security theory is described to prove the security of the e-cash protocol.Finally,the problems of the e-cash protocol are summarized and the latest research direction is given.

e-commerce;e-cash scheme;standard model;zero-knowledge proofs;anonymity;blockchain

10.3778/j.issn.1673-9418.1706050

*The Social Science Foundation of Hebei Province under Grant No.HB16TQ016(河北省社會科學基金項目).

CNKI網絡優先出版:2017-09-05,http://kns.cnki.net/kcms/detail/11.5602.TP.20170905.1205.008.html

LI Zhoujun,ZHANG Jiangxiao,FENG Chunhui,et al.Survey on e-cash scheme.Journal of Frontiers of Computer Science and Technology,2017,11(11)：1701-1712.

A

TP309

LI Zhoujun was born in 1963.He received the Ph.D.degree in computer from National University of Defense Technology in 1999.Now he is a professor and Ph.D.supervisor at Beihang University,and the senior member of CCF.His research interests include network and information security,etc.

李舟軍（1963—），男，湖南湘潭人，1999年于國防科技大學獲得計算機博士學位，現為北京航空航天大學教授、博士生導師，CCF高級會員，主要研究領域為網絡與信息安全。

ZHANG Jiangxiao was born in 1983.He received the Ph.D.degree in network information security from Beihang University in 2014.Now he is a lecturer at Xingtai University,and the member of CCF.His research interests include e-commerce,e-cash and block-chain,etc.

張江霄（1983—），男，河北邢臺人，2014年于北京航空航天大學獲得網絡信息安全博士學位，現為邢臺學院數學與信息技術學院講師，CCF會員，主要研究領域為電子商務，電子現金，區塊鏈等。

FENG Chunhui was born in 1964.She is a professor at Xingtai University.Her research interest is database technology.馮春輝（1964—），女，河北隆堯人，邢臺學院數學與信息技術學院教授，主要研究領域為數據庫技術。

SUI Chunrong was born in 1969.She received the M.S.degree from Hebei University in 1993.Now she is an associate professor at Xingtai University.Her research interest is computer network.

隋春榮（1969—），女，黑龍江虎林人，1993年于河北大學獲得碩士學位，現為邢臺學院數學與信息技術學院副教授，主要研究領域為計算機網絡。