康昌春

摘要：当前，电子支付的安全性已经成为制约电子商务发展的瓶颈。电子现金是现代密码学中旨在确保电子支付安全性的重要技术。本文基于群签名技术构造了“一次取款且多次分割支付”的电子现金系统。安全性分析表明，新系统满足电子现金系统要求的三个重要性质，即平衡性、匿名性和可开脱性。

关键词：电子支付；电子现金；群签名；匿名性

中图分类号：TP309 文献标识码：A 文章编号：1007-9416（2017）06-0221-03

1 引言

当前，电子商务已经逐渐发展成为一种较为成熟的业务模式。在该模式下，买卖双方的行为都在互联网上进行，从而显著节约了企业的运营成本。在整个电子交易过程中，最重要的环节是电子支付。随着技术的进步，电子支付系统已经成为确保社会经济良好运行的催化剂[1]。电子现金（e-cash）系统[2]是一种安全、有用的电子支付方式。此类方案在完全在线商务的实现中起到了重要的作用。实用的电子现金方案应当是安全的、离线的、匿名的。电子现金系统涉及4类参与方（即银行，用户、商家和仲裁机构）以及4个主要过程（即建立账户，取款，支付以及存储）。首先与执行账户建立协议。进行流通的现金以货币方式计数。通过与执行取款协议而获得电子货币，并通过与执行支付协议而实现对的支付。为了存储，需要与执行存款协议。电子现金系统的安全性是指仅有银行能产生且对于离线的系统，应当能对有重复支付行为的用户进行身份识别。重复支付（double-spending）是电子世界中出现的一种问题，因为是易于复制的。此外，诚实的支付者无法被诬陷有重复支付行为。该性质称为可开脱性（exculpability）。当商家对来自收款人的货币进行存储时，银行应当无法对实际的支付者进行追踪。该性质称为匿名性（anonymity）。

近年来，针对电子现金系统构造的研究一直较为活跃。文献[3]利用盲签名技术设计了一个在线电子现金系统，该系统实现了匿名性、可控性、电子现金追踪和电子现金所有者追踪性。文献[4]提出一个基于代理部分盲签名的电子现金方案，该方案不但可以防止恶意用户伪造跟踪信息，而且可以防止恶意用户的重复支付行为。文献[5]提出一个满足最优匿名性的可传递电子现金系统，并且在标准模型下证明该系统满足不可伪造性、最优匿名性和不可重复花费性等性质。文献[6]利用直接匿名证明技术构造了一个可授权电子现金系统。该系统可用于为外包计算服务付费，而且能抵抗拒绝服务攻击。本文的研究目标是以群签名为工具，构造一个高效的可分割电子现金系统。此处的可分割是指用户可以通过执行取款协议从银行那里获得一个可分割使用多次的电子钱包（e-wallet）。每当在线购买商品时，用户可以分割支出其中的一部分金额，直至电子钱包的余额为零。

2 预备知识

2.1 双线性群以及困难假设

本文系统的具体构造将使用椭圆曲线上的非对称的对环境，其中表示素数阶循环群，其中与分别为群与的生成元。此外，要求存在称为双线性对的可计算同构，满足：1）对于所有的，满足。2）。

我们称XDDH（the eXternal Decisional Diffie-Hellman）假设在对群上成立，条件是DDH问题在群上是困难的，即若给定元组，其中，则难以断定究竟满足，还是为随机元素。

SDL（Symmetric Discrete Logarithm）假设表明，给定元组，要计算是困难的。

2.2 群签名

群签名（Group signatures，简称GS）方案[7]是一类特殊的数字签名方案。此类方案允许群成员匿名地代表整个群体对消息进行签名。例如，公司职员可以利用这种方式对文档签名，使得签名验证者仅能获知该文档的确得到了某个公司职员的签名，但不知道是哪个人签署的。群管理员（Group Manager，简称GM）负责对群成员的成员身份进行管理，他有权向群体中添加新的用户（称为群成员）。此外，GS方案中还设置了一个打开权威，其职责是在发生争执时揭示签名者的身份。此類操作称为撤销匿名性。在某些方案中，由群管理员统一负责添加成员与撤销匿名性的任务。

GS方案是由以下算法或协议定义的，即 。其中，为系统建立算法，用于产生群公钥和的私钥。为用户执行的算法，用于向PKI（Public Key Infrastructure）[8]进行注册，并且得到某个标准数字签名方案下的密钥对，其中表示用户的身份表示。是一个由与执行的两方交互协议。作为交互的结果，获得群签名私钥，且获得的注册信息。为代表群体进行签名的算法。我们用表示使用私钥产生对消息的签名的过程。为签名验证算法，该算法用于判定给定的群签名是否有效。为撤销匿名性的算法，该算法以作为输入，并返回用户下标以及证明，即证明用户产生了签名。为仲裁机构执行的审判算法。该算法作为输入，并输出1或0，即表示是否判定用户产生了签名。

3 新的高效可分割电子现金系统

为了简化系统设计，假设每个用户都能通过执行取款协议向银行提取一个可分割使用次的电子钱包，且该的面额为美元。同时，每次可以利用支付协议向商户支付中的一个，且该的价值为1美元。在执行完次支付之后，可以重新与执行取款协议。此外，维护数据库与，其中用于对有重复支付行为的用户进行身份追踪，且用于判断用户支付的是否已经使用过。

3.1 银行系统建立算法

在系统建立阶段，执行以下步骤：

（1）定义双线性群环境，其中为素数阶循环群，为双线性映射，满足。

（2）定义抗碰撞散列函数。

（3）选取，选取，计算 ，并且设置。

（4）对于，计算，定义。

（5）定义用户群体公钥。

3.2 用户系统建立算法

向PKI申请某标准数字签名方案下的公私钥对。endprint

3.3 取款协议

假设希望从自己的银行账户中提取价值为美元的电子钱包，他可以与以下协议：

（1）选取随机数，计算，并且向发送。

（2）选取，计算 。产生知识签名，并且向发送。

（3）验证是否有效以及的账户余额是否充足，若是，则选取，计算。产生知识签名 ，向发送。在的账户中减去金额，并且在数据库中写入取款记录。

（4）计算，并且验证是否满足 。若验证成功，则保存，其中。

3.4 支付协议

假设希望向在线购买价值为1美元的商品，他可以与以下协议：

（1）假设为付款信息。选取，计算 。选取，计算序列号。需要注意的是，需要确保此前并未使用过。产生知识签名。

然后，向发送。同时，将中的取值减1。

（2）验证的有效性，同时验证是否满足。

（3）若验证通过，向发货，并且向请求存入。

（4）验证的有效性，同时验证是否满足。此外，检查是否满足。若是，在的账户中存入1美元，并且将写入数据库。相反，判定向支付的用户有重复支付行为，并且执行重复者身份追踪算法。

3.5 重复支付者身份追踪算法

给定电子货币，执行以下步骤：

（1）在数据库中检查是否存在表目，使得等式成立。若否，则追踪失败。

（2）若是，则产生知识签名 。

（3）将重复支付者的真实身份，证据以及提交给仲裁机构。

3.6 第三方仲裁算法

给定证据，执行以下步骤：

（1）验证是否满足。

（2）验证是否满足。

（3）验证是否有效。

（4）若上述验证都通过，则判定执行的“撤销匿名性”操作有效，同时认定用户有罪。

4 安全性分析

下面证明，本文系统满足电子现金系统的三个重要性质，即平衡（Balance）、匿名性（Anonymity）和可开脱性（Exculpability）[9]。

平衡性：該性质表明，相对于当初从银行中提取的货币，任何由与构成的联合都无法向银行存入更多的货币。为了证明该性质，可以令归约算法和攻击者共同执行文献[9]定义的平衡性实验。在该实验的执行过程中，执行诚实和诚实的操作，且执行恶意的操作。采用Bichsel等人[7]的技术，容易证明若能在实验中获胜，则能利用破解底层Camenisch-Lysyanskaya签名[10]的不可伪造性。

匿名性：该性质表明任何由恶意、和构成的联合均无法将某个电子货币与其所有者（即诚实）关联起来，也无法将它与其所有者拥有的其他电子货币关联起来。为了证明该性质，可以令和共同执行文献[9]定义的匿名性实验。在该实验的执行过程中，执行诚实的操作，且执行恶意、和的操作。采用Bichsel等人[7]的技术，容易证明若能在实验中获胜，则能利用破解底层XDDH假设。

可开脱性：该性质表明任何由恶意、和构成的联合均无法对诚实进行陷害，即诬陷该用户重复支付了某个电子货币。为了证明该性质，可以令和共同执行文献[9]定义的可开脱性实验。在该实验的执行过程中，执行诚实的操作，且执行恶意、和的操作。采用Bichsel等人[7]的技术，容易证明若能在实验中获胜，则能利用破解底层SDL假设。

5 结语

本文基于群签名技术提出一个允许多次分割使用的电子现金系统，从而有效地解决了电子商务中电子支付系统的安全问题。本文系统的特点是“一次取款且多次分割支付”，同时在充分保护用户隐私的前提下，支持银行对恶意用户重复支付行为的有效追踪。今后的研究重点包括进一步优化用户的执行效率、探索移动互联网条件下的电子现金系统构造以及开发原型系统等。

参考文献

[1]曲玉婷.电子商务中电子现金支付系统的安全问题研究[J].商场现代化，2015，（3）：77-79.

[2]Au M H， Wu Q， Susilo W， et al. Compact e-cash from bounded accumulator [C]//Proc of CT-RSA 2007. Berlin： Springer-Verlag， 2007： 178-195.

[3]白永祥.一种盲签名电子现金系统方案的设计与实现[J]. 信息安全与通信保密， 2015， （2）：105-109.

[4]周明，王箭.基于代理部分盲签名的离线电子现金方案[J].计算机与现代化，2015，（4）： 114-118.

[5]张江霄，李舟军，高延武，等.基于花费链最优匿名的等长可传递电子现金系统[J].电子学报，2015，43（9）：1805-1809.

[6]柳欣，张波.基于 DAA-A 的改进可授权电子现金系统[J].计算机研究与发展，2016，53（10）：2412-2429.

[7]Bichsel P， Camenisch J， Neven G， et al. Get shorty via group signatures without encryption [C] // Proc of SCN 2010. Springer Berlin Heidelberg， 2010： 381-398.

[8]Aymen A， Canard S. One time anonymous certificate： x.509 supporting anonymity [C] // Proc of CANS 2010. Springer Berlin Heidelberg， 2010： 334-353.

[9]Mrtens P. Practical compact e-cash with arbitrary wallet size [EB/OL]. Cryptology ePrint Archive， Report 2015/086.

[10]Camenisch J， Lysyanskaya A. Signature schemes and anonymous credentials from bilinear maps[C]//Proc of CRYPTO 2004. Berlin： Springer-Verlag， 2004： 56-72.endprint