兩個電子貨幣方案的分析與改進

邵棟陽，亢保元，王佳強

(天津工業大學 計算機科學與軟件學院，天津 300387)(*通信作者電子郵箱dongyang_shao@163.com)

0　引言

得益于互聯網技術的飛速發展，電子貨幣方案作為一種重要的支付手段，逐步得到了人們的重視。Chaum借助盲簽名的思想構造了第一個電子貨幣方案[1]并對電子貨幣方案進行了深入研究[2-3]。大部分電子貨幣使用盲簽名構造，傳統公鑰簽名使用證書，為了減少證書和證書管理的成本，Shamir[4]提出了基于身份的密碼體制，Al-Riyami等[5]提出了無證書公鑰密碼，Abe等[6]提出了部分盲簽名概念。目前電子貨幣方案的主要研究集中在如何保證安全性和提高效率上。一個安全的電子貨幣方案應該滿足公平性、不可偽造性、不可追蹤性、匿名性和不可重復花費等特性[7]。

一個傳統的電子支付協議需要三個參與者：顧客、銀行和商家。當顧客想從商家那里買東西時，首先計算商品所需價格并向銀行申請取款；然后由銀行核實顧客身份后制作簽名貨幣并發給顧客；最后，顧客用得到的電子貨幣與商家進行交易。顧客和商家交易過程中需要銀行參與的方案稱為在線電子貨幣方案，而交易過程中不需要銀行參與的方案稱為離線電子貨幣方案。在線電子貨幣能夠更好地避免電子貨幣的二次花費，但是交易階段銀行的介入會大大降低方案的效率。所以，目前主流方案基本都是離線電子貨幣方案[8-10]，但離線電子貨幣方案需要一種有效的二次花費檢測和追蹤方法。

隨著互聯網的發展，人們熱衷于網上購買音像等數字商品。在針對數字商品的電子貨幣方案中，為了保證公平性，一般還需要一個仲裁者。當出現顧客或商家違反方案條款的行為，產生交易糾紛時，仲裁者可以出面支持公道，并解決糾紛。例如，當出現顧客把電子貨幣發給商家，而商家沒有給顧客數字商品這種情況時，顧客可以請求仲裁者仲裁，以討回購買的數字商品。因此，公平性是面向數字商品的電子貨幣方案的一個必不可少的安全特性。

2013年，Yang等[11]提出了一個認證加密方法，并使用這個認證加密的方法提出了一個電子貨幣方案，他們聲稱此方案能夠抵抗重放攻擊、中間人攻擊、假冒攻擊、身份盜竊攻擊。然而，2015年Chaudhry等[12]指出Yang等的電子貨幣方案容易受到假冒攻擊，并提出了一個改進方案。在研究了Chaudhry等的方案之后發現，該方案無法保證消費者的匿名性，同時也無法解決交易糾紛和實現二次花費追蹤。2015年,Liu等[13]提出了一個基于銀行代理的離線電子貨幣方案，筆者在研究后發現該方案中的用戶可以偽造電子貨幣。本文在指出基于橢圓曲線認證加密方案和銀行委托離線電子貨幣方案中缺點的同時，對這兩個電子貨幣方案提出了相應的改進方案。

1　預備知識

1.1　橢圓曲線

設Fp是p階有限域，其中素數p≥2160，a,b∈Fp，并滿足Δ=4a3+27b2≠0。橢圓曲線是指滿足方程y2=x3+ax+b的點和一個無窮遠點的集合。本文中使用橢圓曲線上的點(kx,ky)的橫坐標kx作為密鑰進行加密。

1.2　雙線性對

設q為一個大素數，G1為q階的加法循環群，G2位q階的乘法循環群，p為G1的生成元，e:G1×G1→G2是一個雙線性映射，它具有以下性質：

1)雙線性性：對于任意P,Q,R∈G1和a,b∈Zq都有：

e(P+Q,R)=e(P,R)e(Q,R)

e(aP,bQ)=e(P,abQ)=e(abP,Q)=e(P,Q)ab

2)非退化性：存在P,Q∈G1使得e(P,Q)≠1。

3)可計算性：對于所有P,Q∈G1，存在計算e(P,Q)的有效算法。

1.3　困難性假設

1)離散對數問題：P,Q∈G1，Q=nP，已知P，Q求n在計算上是不可行的。

2　Chaudhry方案的不足與改進

2.1　Chaudhry方案

2.1.1初始化階段

在這個階段系統設置橢圓曲線Ep(a,b)，加密解密算法Ek(·)/Dk(·)，橢圓曲線的基點P，單向的哈希函數H，公開Ep(a,b),Ek(·),Dk(·),P,H，每個參與者i(i∈{b,m,u})都有自己的個人身份IDi和私鑰di，并計算和公布公鑰Yi=di×P。

2.1.2選購階段

2.1.3取款階段

當銀行B收到(C1,R,T1)，首先計算K=dbR(Yu+T1P)=(kx,ky)，得到kx并解密Dkx(C1)=(IDu‖m‖p‖kx‖T1)。隨后B檢驗時戳T1和kx是否和解密C1所得一致，如果一致則B驗證有效，否則扔棄信息。隨后B選一個有效期E并計算M=m‖E，并用私鑰對M作簽名DS，加密得C2=Ekx(DS‖E‖kx‖T2)。最后B把C2發送給U，并把{DS，M}存入數據庫。

2.1.4交易階段

2.1.5存錢階段

在有效期E之前，M需要把支付憑證發給銀行B，U如果沒有收到商品則有權向B申訴，B就會把錢從臨時賬戶返還U賬戶。過了有效日期E之后，B會把錢轉給M賬戶。然后，B把{DS,M}從其數據庫中刪除。

2.1.6糾紛解決階段

2.2　Chaudhry方案的不足

Chaudhry的方案宣稱可以抵御重放攻擊、仿冒攻擊和中間人攻擊，但筆者研究發現其方案主要有以下三個缺點：

1)系統不能保證匿名。

2)TTP無法解決糾紛。

在糾紛解決階段,TTP需要得到商家M的私鑰，但暴露自己的私鑰是一件不安全的行為；并且顧客和商家進行申訴時，只能驗證顧客和商家身份，并不能進行仲裁。

3)無法追蹤二次花費。

在存錢階段，在有效期E之前，商家M需要把支付憑證發給銀行B，過了有效日期E之后，B會把錢轉給M賬戶，然后把{DS,M}從數據庫刪除。如果在有效期之前顧客使用電子貨幣進行二次花費，則銀行無法轉賬給商家也無法追蹤二次花費。

2.3　Chaudhry方案的改進方案

針對Chaudhry方案的問題，提出以下改進方案，該方案主要由四個實體參與：銀行B、顧客U、商家M和仲裁J，并由以下六個階段組成：初始化階段、取錢階段、支付階段、存錢階段、二次花費追蹤和糾紛仲裁。

2.3.1初始化階段

在這個階段系統設置橢圓曲線Ep(a,b)，加密解密算法Ek(·)/Dk(·)，橢圓曲線的基點P，單向的哈希函數H，公開Ep(a,b),Ek(·),Dk(·),P,H，每個參與者i都有自己的個人身份IDi和私鑰di，并計算和公布公鑰Yi=di×P。

2.3.2取錢階段

當銀行B收到(C1,R,T1)，首先B計算K=dbR(Yu+T1P)=(kx,ky)，隨后解密Dkx(C1)=(IDu‖m‖p‖kx‖r1‖r2‖T1)。然后B檢驗時戳T1和kx是否和解密C1所得一致。如果一致則B驗證有效，否則扔棄信息。然后B從U賬戶取p轉移至一個臨時賬戶，隨機選擇α∈Zq，計算：V1=α·r1，V2=r2·Yb，V3=r1·Yb，V=α·IDu，選一個有效期E計算M=m‖V1‖V2‖V3‖E。然后B用私鑰對M作簽名DS，并計算C2=Ekx(DS‖E‖kx‖V1‖V2‖V3‖T2),最后B發送給U，并在數據庫中存儲{DS,M,V}。

2.3.3支付階段

2.3.4存錢階段

在有效期E之前，商家M需要把支付憑證{DS,β,δ,c}發給銀行B，首先銀行B檢驗DS是否使用過：如果沒使用過則把p轉到臨時賬戶，并記錄為使用過；如果使用過則進行二次花費追蹤。U如果沒有收到商品則有權向J申請仲裁。過了有效日期E之后，銀行B把錢從臨時賬戶轉到商家M賬戶。

2.3.5二次花費追蹤

假設兩次花費憑證為{DS,β,δ,c}和{DS,β′,δ′,c}，銀行查詢數據庫找到相應{DS,M,V}，從M中得到V1，并計算α=V1(β-β′)(δ-δ′)-1，IDu=α-1V即找到二次花費顧客。

首先，人際情緒管理受到社會標準和期待等文化因素的影響，不同文化背景下的個體在人際情緒管理方面存在顯著的差異.相比個體主義文化，集體主義文化中的人們更多地關注他人的情緒，但是自己遇到情緒問題時，尋求外部支持的意愿卻很小[23].因此，未來需要進一步開展跨文化研究，以增進對人際情緒管理的理解.

2.3.6糾紛仲裁

2.4　新方案的安全性分析

2.4.1正確性

取錢階段，顧客U計算R=r(du+T1)-1和K=r×Yb=(kx,ky)，銀行B計算：

K=dbR(Yu+T1P)=dbr(du+T1)-1(du+T1)P=

dbrP=r×Yb

支付階段，顧客U計算：

δ=r1·β+r2

銀行B算：

β·V3‖V3‖T‖c)=

r2·Yb-β·V3‖V3‖T‖c)=

由上可知驗證等式正確。

2.4.2匿名性

在支付階段用戶U不需要把公鑰Yu發給商家M，而是選擇一個隨機數r′來盲化自己的身份，從而在買商品時不會暴露自己的身份。銀行存儲的信息{DS,M,V}同樣也不包含顧客身份，如沒有二次花費，銀行無法直接追蹤到貨幣使用者。

2.4.3 重放攻擊

假設攻擊者截獲顧客U發給銀行B的(C,R,T)，想要把截獲的信息再次發給銀行B，銀行B接收到(C,R,T)之后首先檢驗時戳T，如果過期，銀行B直接丟棄信息。

2.4.4 假冒攻擊

3　Liu方案的不足與改進

由于篇幅所限，本文不再詳細回顧Liu等的方案，具體可參考文獻[13]中的介紹。在該離線電子貨幣方案中有五個實體：中心銀行O、分支銀行P、仲裁J、顧客U和商家M。

3.1　Liu方案的不足

1)電子貨幣方案中取錢階段，用戶可以偽造電子貨coin=(val,ω,R3,R4,R5,V)。

事實上，在取錢階段第二步，用戶可以取μ=aP-hPKP，μ1=bP-hH1(ω,RO)，V=aRO+b(PKO+PKP)，也可滿足雙線性映射驗證等式：

e(V,P)=e(μ+hPKP,RO)·

e(μ1+hH1(ω,RO),PKO+PKP)

2)電子貨幣方案中取錢階段，代理銀行委托可信平臺模塊(Trusted Platform Module, TPM)計算驗證，之后TPM把取錢金額傳給代理銀行P，如果用戶賬戶余額不足，TPM則進行了無意義的計算，銀行在委托TPM前沒有驗證余額是否充足。

3)電子貨幣方案中離線支付階段，商家M不知道μ、μ1和RO，無法驗證雙線性等式。

3.2　Liu方案的改進

改進方案包括取錢階段和離線支付階段，其中初始化階段、銀行代理階段、開戶階段、二次花費檢測與原方案相同。

3.2.1取錢階段

4)分支銀行P驗證TPM傳來的val和之前顧客U傳來的val是否相等，如果相等則P計算V′=(rP+D)dP，并把V′傳給顧客U。

5)顧客U計算V=r1·V′，并驗證e(V,P)?=e(μ+hPKP,RO)e(μ1+hH1(ω,RO),PKO+PKP)，如果相等則U獲得電子貨幣coin=(val,ω,μ,μ1,RO,R3,R4,R5,V)。

3.2.2離線支付階段

1)顧客U把coin發給商家M。

2)商家M通過驗證等式e(V,P)?=e(μ+hPKP,RO)e(μ1+hH1(ω,RO),PKO+PKP)來確定coin是否合法。如果等式不成立則M拒絕電子貨幣coin，如果等式成立則繼續交易。

3)M隨機選擇一個c∈{0,1}*發給顧客U。

4)顧客計算(ζ,τ)給M,ζ=H3(coin‖c)，τ=r4+r3ζ。

5)當M收到(ζ,τ)，驗證：ζ?=H3(val‖w‖μ‖μ1‖RO‖R3‖(τPKP-ζR3)‖R5‖c),如果等式成立，M接收離線電子貨幣(coin,ζ,τ,c)。

4　結語

本文研究分析了Chaudhry等提出的基于橢圓曲線認證加密的電子貨幣方案和Liu等提出的銀行委托離線電子貨幣方案。利用橢圓曲線認證加密和雙線性對，給出了兩個改進的電子貨幣方案，使電子貨幣具有離線支付和二次花費追蹤功能。理論分析表明，新方案中電子貨幣不可偽造，同時可以抵御重放攻擊和假冒攻擊，也可保證用戶的匿名性和交易的公平性。在接下來的研究中，還需進一步完善所提方案的安全性，提高其效率，使得電子貨幣方案在電子支付中具有實用價值。

參考文獻:

[1]CHAUM D. Blind signatures for untraceable payments [C]// CRYPTO 1983: Proceedings of the 1983 Workshop on the Theory and Application of Cryptographic Techniques. Boston: Springer, 1983: 199-203.

[2]CHAUM D, den BOER B, VAN HEYST E, et al. Efficient offline electronic checks [C]// EUROCRYPT 1989: Proceedings of the 1989 Workshop on the Theory and Application of Cryptographic Techniques, LNCS 434. Berlin: Springer, 1990: 294-301.

[3]CHAUM D, FIAT A, NAOR M. Untraceable electronic cash [C]// CRYPTO 1988: Proceedings of the 1988 Workshop on the Theory and Application of Cryptographic Techniques, LNCS 403. New York: Springer, 1990: 319-327.

[4]SHAMIR A. Identity-based cryptosystems and signature schemes [C]// CRYPTO 1984: Proceedings of the 1984 Workshop on the Theory and Application of Cryptographic Techniques, LNCS 196. Berlin: Springer, 1985: 47-53.

[5]AL-RIYAMI S S, PATERSON K G. Certificateless public key cryptography [C]// ASIACRYPT 2003: Proceedings of the 9th International Conference on the Theory and Application of Cryptology and Information Security, LNCS 2894. Berlin: Springer, 2003: 452-443.

[6]ABE M, FUJISAKI E. How to date blind signatures [C]// ASIACRYPT 1996: Proceedings of the 1996 International Conference on the Theory and Application of Cryptology and Information Security, LNCS 1163. Berlin: Springer, 1996: 244-251.

[7]ESLAMI Z, TALEBI M. A new untraceable off-line electronic cash system [J]. Electronic Commerce Research and Applications, 2011, 10(1): 59-66.

[8]LUO J N, YANG M H, HUANG S-Y. An unlinkable anonymous payment scheme based on near field communication [J].Computers and Electrical Engineering, 2016, 49: 198-206.

[9]YANG J-H, LIN P-Y. A mobile payment mechanism with anonymity for cloud computing [J]. Journal of Systems and Software, 2016, 116: 69-74.

[10]POURGHOMI P, SAEED M Q, GHINEA G. A secure cloud-based NFC mobile payment protocol [J]. International Journal of Advanced Computer Science and Application, 2014, 5(10): 24-31.

[11]YANG J-H, CHANG Y-F, CHEN Y-H. An efficient authenticated encryption scheme based on ecc and its application for electronic payment [J]. Information Technology And Control, 2013, 42(4): 315-324.

[12]CHAUDHRY S A, FARASH M S, NAQVI H, et al. A secure and efficient authenticated encryption for electronic payment systems using elliptic curve cryptography [J]. Electronic Commerce Research, 2016, 16(1): 113-139.

[13]LIU J H, HU Y.A new off-line electronic cash scheme for bank delegation [C]// ICIST 2015: Proceedings of the 5th International Conference on Information Science and Technology. Piscataway, NJ: IEEE, 2015: 186-191.