張瑞麗,李順東

(陜西師范大學(xué)計算機(jī)科學(xué)學(xué)院,西安710119)

基于可鏈接環(huán)簽名的電子消費方案

張瑞麗,李順東

(陜西師范大學(xué)計算機(jī)科學(xué)學(xué)院,西安710119)

在當(dāng)今電子消費系統(tǒng)中,經(jīng)常出現(xiàn)由于多次消費而導(dǎo)致效率較低甚至金額紊亂的現(xiàn)象,為解決這一問題,提出一種新的電子消費方案。該方案基于雙線性對和可鏈接環(huán)簽名,運用可鏈接環(huán)簽名的高效安全性,能夠判斷簽名正確與否,并檢測出同一用戶的有限金額是否重復(fù)花費的功能,通過取款、消費、存款3個階段,使消費者、商家及銀行三方的交易相互聯(lián)系,完成電子消費過程。分析結(jié)果表明,該方案安全、可行,能實現(xiàn)用戶的匿名性及無法重復(fù)花費性,滿足電子消費的基本要求。與Liu等人提出的方案(Wuhan University Journal of Natural Sciences, 2013,No.2)相比,計算成本較低,效率較高。

電子消費;環(huán)簽名;可鏈接環(huán)簽名;匿名性;重復(fù)花費

1 概述

隨著網(wǎng)絡(luò)的迅速發(fā)展,各種電子活動應(yīng)運而生,而80%的電子活動是以消費為主[1],電子消費可以使用戶足不出戶就能通過網(wǎng)絡(luò)進(jìn)行消費,如購物、充值、轉(zhuǎn)賬等。與此同時,電子消費是否被第三者知道,用戶的金額是否到達(dá)對方等安全問題成了人們重視并必須解決的問題。為了解決這些問題,則需要用到數(shù)字簽名的相關(guān)性質(zhì)。在數(shù)字簽名[2-4]研究的初期,多數(shù)研究是以群簽名[5]為基礎(chǔ)的,但由于群簽名需要管理群成員,建立及刪除成員耗資較大,因此其效率較低,實用性不高。自環(huán)簽名[6]的概念被提出后,人們更多地是單純對環(huán)簽名方案的研究,而對實際環(huán)簽名的應(yīng)用研究較少。隨著用戶的需求,環(huán)簽名的應(yīng)用愈加廣泛,在保證完全匿名的前提下,由于環(huán)簽名無法判斷2個信息是否由同一人簽名,因此在此基礎(chǔ)上產(chǎn)生了可鏈接環(huán)簽名,它是在2004年由Liu[7]首次提出,方案可以判斷2個簽名是否由同一人所簽,其主要目的是防止用戶在消費過程中進(jìn)行重復(fù)花費,所以對可鏈接環(huán)簽名的研究意義重大。Au在此基礎(chǔ)上對可鏈接環(huán)簽名進(jìn)行認(rèn)證[8],進(jìn)一步證明其高效性、匿名性及不可偽造性。由于可鏈接環(huán)簽名的日益成熟,它更多地被應(yīng)用于實際中。2013年,Liu再次提出一種完全無條件匿名的可鏈接環(huán)簽名方案[9],使其安全性更高。

首個電子現(xiàn)金系統(tǒng)[10]由Chaum于1982年提出,該方案基于盲簽名,滿足匿名性,并能通過在線檢測的方式防止重復(fù)花費的問題,但只能在線檢測,所以應(yīng)用非常有限,1990年Chaum等人再次對此方案進(jìn)行改進(jìn)[11],使其在離線狀態(tài)下仍然可以檢測,此方案將電子現(xiàn)金的研究推向高潮。但由于此時興起的電子現(xiàn)金大多數(shù)基于群簽名或群盲簽名[12-13],其缺點顯而易見,因此利用環(huán)簽名設(shè)計電子現(xiàn)金系統(tǒng)非常有必要。2007年孟純煜等人設(shè)計了一種電子現(xiàn)金方案[14],此方案較之前的方案效率有所提高,但它基于RSA,效率提高仍然有限制。此后,Liu提出了一種利用代理盲簽名設(shè)計的離線電子現(xiàn)金方案[15],使得電子現(xiàn)金方案愈加成熟。本文利用雙線性對的性質(zhì)和可鏈接環(huán)簽名設(shè)計一種安全高效的電子消費方案。該方案滿足電子消費的基本條件:正確性,匿名性,不可偽造性,離線性以及無法重復(fù)花費性。

2 預(yù)備知識

2.1 雙線性對

設(shè)G1是一個由P生成的且階為素數(shù)q的循環(huán)加法群,G2是一個循環(huán)乘法群,階仍為q。映射e:G1×G1→G2是一個雙線性映射,且滿足以下3個性質(zhì):

(1)雙線性:?P,Q∈G1,?a,b∈Z*q,e(aP,bQ)=e(P,Q)ab;

(2)非退化性:存在P,Q∈G1,使得e(P,Q)≠1;

(3)可計算性:對于所有的P,Q∈G1,存在有效的算法計算e(P,Q)。

2.2 問題的困難性描述

對一些問題的困難性描述如下:

(1)離散對數(shù)問題(DLP):任取Q∈G1,尋找n∈,使得Q=nP;

(2)判定性Diffie-Hellman問題(DDHP):對于a,b,c∈,X∈G1,給定(cX,aX,bX),判斷c≡abmodq;

(3)計算性Diffie-Hellman問題(CDHP):對于a,b∈,X∈G1,給定(X,aX,bX),計算abX;

(4)Gap Diffie-Hellman問題(GDHP):在多項式時間內(nèi),對于群G1上的DDHP易解決而CDHP難解決,則稱群G1為GDH群。

假設(shè)DLP問題和CDHP問題是困難的,則在多項式時間內(nèi)DLP問題、CDHP問題均無法被解決。

3 電子消費方案設(shè)計

本文提出的電子消費方案包括5個步驟:初始化階段,取款階段,消費階段,商家驗證階段,存款階段,該方案的資金流向如圖1所示。

圖1 電子消費資金流向

方案具體描述如下:

(1)初始化階段

設(shè)P是G1的一個生成元;雙線性映射e:G1×G1→G2,H1:{0,1}*→,H2:{0,1}*→G1,H3:均為哈希函數(shù)。銀行隨機(jī)選擇一個作為其私鑰,令Q=sP作為其公鑰。系統(tǒng)將系統(tǒng)參數(shù)集合{G1,G2,e,q,P,Q,H1,H2}公開,同時將s作為主密鑰。

(2)取款階段

此階段是消費者進(jìn)行電子消費的第一步,向銀行申請取款,從自己的銀行賬戶上提取電子現(xiàn)金。為了保證在消費者匿名的前提下,獲得帶有銀行簽名的合法電子現(xiàn)金,銀行必須確信電子現(xiàn)金中包含必要的用戶身份及足夠的金額之后,與消費者交互執(zhí)行以下盲簽名協(xié)議:

1)消費者提取相關(guān)信息:取款金額m,時間t,然后隨機(jī)選取盲化因子r∈,計算U=rQH1(m||t),消費者將U發(fā)送至銀行。

2)銀行收到信息后,用自己的私鑰s對U進(jìn)行簽名,計算U1=sU,將U1傳回給消費者。

3)消費者進(jìn)行去盲運算,U=U1/r,得到電子現(xiàn)金m。

(3)消費階段

此階段是消費者與商家之間進(jìn)行交易的階段。

1)假設(shè)有k個消費者,將他們的身份信息集合設(shè)為L,并存入消費者數(shù)據(jù)庫,則L={L1,L2,…,Lk},計算Qi=H2(Li)作為消費者的公鑰。

2)消費者隨機(jī)選取V∈G1,計算初始值:v=c0=e(V,P)。

3)為其他消費者隨機(jī)選擇Xi∈G1,計算:ci+1= [e(U,H3(ci)Qi)·e(Xi,P)]。

4)形成環(huán):ci+1=[e(U,H3(ci)Qi)·e(Xi,P)]=v。

5)解出Xi,令:X=∑Xi。

6)輸出信息:(L;X;c1,c2,…,ck)。

(4)商家驗證階段

商家收到消費請求信息后,進(jìn)行以下驗證:

1)將收到的身份信息L與數(shù)據(jù)庫中的身份信息匹配,以檢查其是否正確。

3)將收到的簽名與數(shù)據(jù)庫中原有的簽名進(jìn)行一一對比,判斷兩者是否相等,如果相等,說明是同一個消費者想要重復(fù)花費,商家拒絕;如果不等,說明是一個新的消費者,則商家接受此電子金額,并將其簽名信息存入消費者數(shù)據(jù)庫,以備與之后的消費者信息比較。

(5)存款階段

商家將此簽名信息發(fā)送至銀行,銀行檢測:如果商家沒有存過此金額,則接受此金額;否則,認(rèn)為商家想要重復(fù)存款,拒絕。

4 方案分析

4.1 正確性

本文方案基于環(huán)簽名,滿足完全匿名性:

序列{ci}環(huán)簽名的驗證過程和產(chǎn)生過程中是一致的,因此,有ck+1=c0。

4.2 匿名性

本文方案基于環(huán)簽名,在消費者取款階段,隨機(jī)選取盲化因子r∈對取款信息進(jìn)行盲化,商家和銀行若想從接收到的數(shù)據(jù)中得到消費者的相關(guān)信息U,必須知道盲因子r,而r是消費者隨機(jī)選取并保密的,從而保證了電子消費的匿名性。

4.3 不可偽造性

假設(shè)攻擊者A的身份信息LA不在公鑰集合L中,但是如果他要偽造一個有效的消費信息,他只能或者偽造一個LA∈L,或者執(zhí)行以下過程:

(1)攻擊者A詢問私鑰生成中心,它給A輸出p個私鑰,利用已知的參數(shù)和Li(Li?L,i=1,2,…,p),返回其對應(yīng)的公鑰Qi=H2(Li)。

(2)令r=|L|,i=0,1,…,k-2,模仿真實消費者的支付階段過程,產(chǎn)生環(huán)序列,即執(zhí)行支付階段的(c)。

(3)隨機(jī)選取c0∈,并指定:c0=[e(U,H3(ck-1)Qk-1)·e(Xk-1,P)]。

(4)輸出消費信息:(L;X;c1,c2,…,ck)。

若A完成上述步驟(1),并得到((Lm,Sm)),使得H2(Lm)=H2(Ln),Ln∈L,那么他能夠偽造一個有效的舉報信息,但是,由于H2是隨機(jī)預(yù)言機(jī),私鑰生成中心產(chǎn)生的隨機(jī)數(shù)是均勻分布的,因此此詢問無法得到任何結(jié)果。所以,式(3)中的等式c0=[e(U,H3(ck-1)Qk-1)·e(Xk-1,P)]正確的概率只有1/p,因此,此消費信息是不可偽造的。

4.4 離線性

在本文方案中,取款階段,商家無需參與,只需消費者與銀行交易;支付階段,只需消費者與商家交易;在存款階段,只需銀行與商家交易。可見,在此電子消費方案的每個階段只需要相關(guān)的人員參與即可,因此本文系統(tǒng)完全可以在離線狀態(tài)下使用,提高了整個電子消費系統(tǒng)的便捷性。

4.5 無法重復(fù)花費性

由于消費者的身份信息一直是匿名的,商家無法知道,只有通過環(huán)簽名的可鏈接性,執(zhí)行商家驗證中的步驟(3),如果發(fā)現(xiàn)一個消費者重復(fù)花費,根據(jù)其公鑰Qi信息,可以從密鑰數(shù)據(jù)庫中查到他的真實身份,從而控制他的重復(fù)花費行為。

4.6 效率分析

在本文的效率分析中,假設(shè)哈希函數(shù)的計算成本為H,橢圓曲線上的乘法的計算成本為MC,一個加密和解密算法的計算成本為AED,雙線性對的計算成本為Pa,本文方案與其他方案的計算成本比較結(jié)果如表1所示。

表1 本文方案與文獻(xiàn)[15]方案的計算成本比較

文獻(xiàn)[15]方案采用代理簽名,每次代理簽名中都會有原始簽名者的參與,簽名權(quán)在必要時需要轉(zhuǎn)移或撤銷,所以通信量大,計算復(fù)雜性高。由于本文方案基于雙線性對且沒有代理階段,所以哈希過程和雙線性的計算成本大大減少,在支付階段采用環(huán)簽名,沒有群簽名的群建立、群管理及群撤銷等階段,另外在存款階段,通過簡單快速的方法進(jìn)行驗證。綜合考慮,本文方案符合電子消費的基本要求且效率較高。

5 結(jié)束語

電子消費方案的應(yīng)用在網(wǎng)絡(luò)快速發(fā)展的當(dāng)今越來越廣泛,用戶對其的要求與期望也越來越高,因此,電子消費方案的功能也隨之更加便捷、完善。本文通過應(yīng)用雙線性的性質(zhì)對及可鏈接環(huán)簽名,設(shè)計了一種新的電子消費方案,該方案將消費者的相關(guān)信息形成環(huán)后與商家進(jìn)行電子交易,滿足消費者的匿名性;由于交易時只需要相關(guān)實體參與即可,因此該電子消費系統(tǒng)滿足離線操作,使得系統(tǒng)更加簡易、效率更高;在電子消費過程中,利用可鏈接環(huán)簽名對重復(fù)花費的行為進(jìn)行檢測,避免消費者的重復(fù)花費行為而引起資金流動混亂。由于本文沒有考慮系統(tǒng)故障時電子現(xiàn)金的流向,因此如何使得電子現(xiàn)金在突發(fā)故障的情況下仍能成功交易將是今后研究的重點。

[1] Turban E.電子商務(wù):管理視角[M].嚴(yán)建援,譯.北京:機(jī)械工業(yè)出版社,2010.

[2] 張煥國,王張宣.密碼學(xué)引論[M].武漢:武漢大學(xué)出版社,2009.

[3] 趙澤茂.數(shù)字簽名理論[M].北京:科學(xué)出版社,2007.

[4] Rivest R L.Shamir A,Adleman L.A Method for Obtaining Digital Signatures and Public-key Cryptosystems[J]. Communications of the ACM,1976,21(2):120-126.

[5] 劉丹妮,王興偉,郭 磊,等.一種群簽名方案的分析及改進(jìn)[J].東北大學(xué)學(xué)報,2010,31(2):189-192.

[6] Rivest R L,Shamir A.How to Leak a Secret[C]//Proc. of Asiacrypt'01.Berlin,Germany:Springer-Verlag,2001: 552-565.

[7] Liu J K,Wei V K,Wong D S.Linkable Spontaneous Anonymous Group Signature for Ad Hoc Groups[C]//Proc.of ACISP'04.Berlin,Germany:Springer,2004:325-335.

[8] Au M H,Liu J K,Susilo W,et al.Certificate Based(Linkable)Ring Signature[C]//Proc.of ISPEC'07.Berlin, Germany:Springer,2007:79-92.

[9] Liu J,Au M,Susilo W,et al.Linkable Ring Signature with Unconditional Anonymity[J].IEEE Transactions on Knowledge and Data Engineering,2013,26(1):157-165.

[10] Chaum D.Blind Signatures for Untraceable Payments [C]//Proc.of CRYPTO'82.Santa Barbara,USA: Springer,1982:199-203.

[11] Chaum D,Fiat A,Naor M.Untraceable Electronic Cash [C]//Proc.ofCRYPTO'88.New York,USA: Springer,1990:319-327.

[12] Canard S,Traoré J.On Fair E-cash Systems Based on Group Signature Schemes[C]//Proc.of ACISP'03. Berlin,Germany:Springer,2003:237-248.

[13] Yu Tao.Multivariate Threshold Group Signature Scheme Withstanding Conspiracy Attack[C]//Proc.of ICADE'12. [S.l.]:IEEE Press,2012:114-118.

[14] 孟純煜,殷新春,宋春來.利用可鏈接環(huán)簽名的電子現(xiàn)金支付方案[J].揚州大學(xué)學(xué)報:自然科學(xué)版,2007,10 (2):54-56.

[15] Liu Jianwei,Qiu Xiufeng.A Proxy Blind Signature Scheme and an Off-line Electronic Cash Scheme[J]. Wuhan University Journal of Natural Sciences,2013,18 (2):117-125.

編輯 金胡考

Electronic Consumption Scheme Based on Linkable Ring Signature

ZHANG Rui-li,LI Shun-dong
(School of Computer Science,Shaanxi Normal University,Xi'an 710119,China)

In existed electronic consumption system,multi-consumption often occurs and causes low efficiency even cash disorder.For tackling this trouble,this paper proposes a new efficient and safe electronic consumption scheme.The scheme is based on bilinear pairings and linkable ring signature.Linkable ring signature has the efficiency and the security of ring signature.The scheme can check whether the signature is correct or not.It can detect the same user uses limited amount of cash repeatedly,by the three stages of designing,consuming and saving,connects the transaction of consumers, businesses and banks each other,and makes electronic consumption go on.The scheme can preserve the user's anonymity,prevent multiple consuming,and satisfy the basic requirement of electronic consuming.Analysis and proof show that the scheme is more feasible and efficient than the scheme proposed by Liu,etc.(Wuhan University Journal of Natural Sciences,2013,No.2).

electronic consumption;ring signature;linkable ring signature;anonymity;multiple consuming

1000-3428(2014)09-0170-04

A

TP309

10.3969/j.issn.1000-3428.2014.09.034

國家自然科學(xué)基金資助面上項目“高性能保密計算算法與協(xié)議研究”(61070189);國家自然科學(xué)基金資助面上項目“云計算與云存儲若干關(guān)鍵問題研究”(61272435)。

張瑞麗(1989-),女,碩士研究生,主研方向:密碼學(xué),信息安全;李順東,教授、博士生導(dǎo)師。

2013-10-15

2013-11-07E-mail:15029034846@126.com