王衛(wèi)紅，李　鵬

(浙江工業(yè)大學 計算機科學與技術學院，浙江 杭州 310023)

基于IC卡的比特幣支付方式設計與實現(xiàn)

王衛(wèi)紅，李鵬

(浙江工業(yè)大學 計算機科學與技術學院，浙江 杭州 310023)

摘要：為了讓比特幣的使用更加便捷并提高比特幣支付的安全性，借助存儲安全和使用便捷的IC卡作為支付工具，設計了基于IC卡的比特幣支付方式.通過使用主密鑰間接加密使用口令和賬戶私鑰機制，解決了使用口令簡單導致私鑰加密安全度降低的問題；通過分級確認性地址機制，解除了一卡一賬戶限制，增強了IC卡賬戶交易的匿名性.為了改進交易簽名安全性過度依賴系統(tǒng)隨機數(shù)的弱點，設計了基于密鑰和消息唯一確定的交易簽名隨機數(shù)方案，實現(xiàn)了基于IC卡的比特幣私鑰安全存儲和比特幣交易的安全支付.通過實際的刷卡支付實驗，表明上述方案效果良好.

關鍵詞：比特比支付；IC卡；交易選擇

Design and implement of the Bitcoin payment system based on IC card

WANG Weihong, LI Peng

(College of Computer Science and Technology, Zhejiang University of Technology, Hangzhou 310023, China)

Abstract:IC card with its high security, portability and other virtues has become a most widely used payment tool in the financial field. In order to cope with increasingly wide application of the Bitcoin, this research designs Bitcoin payment system based on the IC card in order to improves its safety and convenience. The master key encryption is used to indirectly encrypt password and account private key, avoiding using simple password to cause the reduced safety of private key encryption. Using hierarchical deterministic address will enhance the anonymity of the IC card account. The uniquely determined transaction signature random number scheme based on the key and message will achieve Bitcoin private key secure storage based on IC card and secure payment of Bitcoin transactions.

Key words:Bitcoin payment;IC card;transaction selection

2008年，一位自稱日裔美籍的工程師“中本聰”在密碼學網(wǎng)站的郵件組列表中發(fā)表了一篇論文[1]，描述了比特幣的電子現(xiàn)金系統(tǒng)并發(fā)行了比特幣[2].比特幣是一種基于密碼學的無中性化、高匿名性[3]以及高安全[4]性的電子貨幣，通過工作量證明機制[5-6]來實現(xiàn)比特幣的產(chǎn)出與分配.利用簽名機制和時間戳服務器來驗證每一筆交易，確保貨幣的不可偽造和重復支付.比特幣在電子商務中優(yōu)勢明顯，比特幣支付及時到賬無需用戶等待.跨國支付無需各國金融機構參與，用戶不用等待交易批準或擔心賬戶被限制.比特幣不受任何機構監(jiān)管，用戶可以完全按照自己的方式來開展業(yè)務和進行交易.2014年，比特幣陸續(xù)進入各大主流市場，TigerDirect，Lord & Taylor，Overstock，PayPal等都表示會接受比特幣.2014年3月，荷蘭跨國零售商巨Spar在荷蘭最大的城市之一的阿納姆建立了第一個支持比特幣支付的超市.據(jù)統(tǒng)計全球已經(jīng)有超過1 400家實體商店加入比特幣支付行列.截止2014年12月，發(fā)行的比特幣已超過1 350萬枚，世值超過50億美元，日交易額超過500萬美元[7].

IC卡憑借體積小、容量大、安全性高、可靠性強以及壽命長等優(yōu)點，已經(jīng)成為金融領域內(nèi)最廣泛使用的支付工具[8-9].因此使用IC卡作為比特幣支付的工具不僅可以使支付變得更加簡單便捷，而且使用離線IC卡存儲私鑰會比軟件錢包更加安全.加之目前各類IC卡終端也日漸成熟，多樣的IC卡支付手段也將為比特幣日后的線下交易提供良好的技術基礎.2014年9月，澳大利亞比特幣公司CoinJar推出一款比特幣借記卡“Swipe”卡，該卡允許用戶在ATM和終端上使用電子貨幣，但是用戶預存入卡內(nèi)的電子貨幣將被轉化為澳元.

1比特幣支付方式分析

比特幣支付全功能錢包功能如圖1所示，目前比特幣錢包或比特幣支付方式都實現(xiàn)了全功能錢包的全部或者部分功能.

圖1　全功能錢包示意圖Fig.1　Full-service wallet

根據(jù)用戶是否掌握賬戶私鑰，可以分為鏈上錢包和鏈下錢包.鏈下錢包是一款純粹的中心化錢包，用戶并不擁有自己比特幣賬戶的私鑰.但是鏈下錢包效率高，可以實時到賬，可以通過中心節(jié)點避免比特幣被雙花.鏈下錢包由服務提供商統(tǒng)一管理賬戶私鑰，用戶無需為私鑰安全而操心.但是錢包公司可能遭受來自黑客的攻擊.

目前使用的絕大多數(shù)錢包都是鏈上錢包，因為鏈上錢包用戶可以擁有比特幣賬戶私鑰，讓用戶對賬戶有足夠的自主權和透明度.根據(jù)使用的情況不同，又可以分為本地錢包，在線錢包和冷錢包.

比較主流的是本地錢包和在線錢包.本地錢包直接安裝在電腦或者手機上.BTC-Core錢包是比特幣官方提供的一款全功能比特幣錢包，包含比特幣支付所需要的所有功能，錢包初始化時會在地址池中生成100個備用地址，以便用于日后交易或者找零.用戶在完全使用這些地址之后必須對該錢包進行備份，否者就會發(fā)生丟幣的危險.本地錢包使用簡單，但是由于錢包設備一直處于聯(lián)網(wǎng)狀態(tài)，電腦或者手機容易被人植入木馬，黑客可以通過網(wǎng)絡盜取你的錢包文件，從而導致賬戶被盜.

由于在線錢包并不需要客戶端，所以在線錢包比本地錢包具有更強的易用性.在線錢包在瀏覽器端用用戶口令加密比特幣賬戶私鑰后并將其保存至服務器，使用時從服務器端下載密鑰文件，并用瀏覽器解密.雖然服務器同樣容易受到黑客的攻擊，但是服務器上保存著的是加密后的用戶私鑰.在安全性上會有所提高，但是加密后的私鑰同樣有被黑客破解的風險.

冷錢包非常安全，但是成本高，易用性差.像傳統(tǒng)的Armory，需要一臺不聯(lián)網(wǎng)的電腦專門安裝Armory連線端.使用時需要通過介質在離線電腦和在線電腦之間做數(shù)據(jù)交換.但是介質同樣有攜帶木馬或者病毒的風險.Trezor硬件錢包是一款類似于網(wǎng)銀U頓的工具，可以實現(xiàn)離線存儲比特幣，并可以在連網(wǎng)的電腦上安全使用該設備.

2IC卡文檔結構設計

2.1IC卡文檔結構

比特幣卡主要用于記錄比特幣賬戶信息以及IC卡和終端相互驗證信息.其存儲的數(shù)據(jù)主要分為3類：用戶數(shù)據(jù)、認證數(shù)據(jù)和賬戶數(shù)據(jù)，如圖2所示.

圖2　IC卡文件結構設計Fig.2　The document structure of the card

用戶數(shù)據(jù)包括，控制該模塊讀取的控制數(shù)據(jù)，用戶的姓名，電話等基本的用戶數(shù)據(jù).

認證數(shù)據(jù)包括：控制數(shù)據(jù)、用戶口令hash值、認證密鑰和賬戶主公鑰.用戶口令hash值用于驗證卡片在使用時用戶輸入的使用口令.在IC卡遺失情況下，避免非法用戶暴力破解用戶口令的情況，卡內(nèi)只保存口令hash值并不保存加密口令.認證密鑰用于IC卡和終端之間的安全認證.用戶在使用時需要通過賬戶主公鑰，查詢其子公鑰上各個賬戶的余額.

賬戶數(shù)據(jù)包括：讀取控制、主密鑰密文和主私鑰密文.通過主私鑰密文、主密鑰密文和用戶使用口令等參數(shù)解密得到比特幣賬戶的主私鑰.再由主私鑰根據(jù)比特幣協(xié)議中使用的橢圓曲線算法[10-11]得到比特幣賬戶地址.擁有比特幣賬戶的私鑰就能對該賬戶下的比特幣進行使用.

2.2主密鑰密文、主私鑰密文加解密過程

加密：首先隨機生成一個32字節(jié)隨機主密鑰，然后使用用戶口令和主密鑰生成參數(shù)對主密鑰進行AES-256-CBC加密，得到主密鑰密文.使用主密鑰和賬戶主私鑰進行AES-256-CBC加密得到主私鑰密文，如圖3所示.

圖3　主密鑰密文、主私鑰密文加解密過程Fig.3　The encryption of the master private key

解密：從賬戶數(shù)據(jù)內(nèi)讀取主密鑰密文，從刷卡終端讀入用戶使用口令，從終端安全模塊中讀入主密鑰生成參數(shù).用使用口令和主密鑰生成參數(shù)將主密鑰密文還原成主密鑰.然后從IC卡中讀取主私鑰密文，使用主密文將主私鑰密文還原成私鑰.

修改口令：輸入新口令和舊口令，用舊口令結合主密鑰密文和主密鑰密文生成參數(shù)解密出主密鑰，使用新口令重新加密主密鑰得到新主密鑰密文，然后刪除主密鑰，保存新主密鑰密文而終止.整個過程中主密鑰和私鑰密文都沒變，變化的是主密鑰密文.

由于用戶的使用口令基本為6位數(shù)字密碼，如果用使用口令直接加密32字節(jié)賬戶私鑰，將使得系統(tǒng)的安全度大大降低.因此引入32字節(jié)主密鑰對使用口令和賬戶私鑰進行間接關聯(lián).賬戶私鑰的加密參數(shù)由6位數(shù)字參數(shù)提升至32字節(jié)隨機數(shù)，使得私鑰變得不可暴力破解.

3交易模型

3.14層確定性地址機制

比特幣交易全網(wǎng)公開，所有的有效交易都會被打包進比特幣塊鏈.因此任何一個用戶都能根據(jù)公開的比特幣地址查詢關于該賬戶的余額和交易歷史.雖然比特幣的匿名性保證了用戶身份的匿名，但是公開的交易卻無法保證賬戶的匿名.為了不讓其他用戶窺探賬戶隱私，比特幣規(guī)范建議用戶盡量不要使用重復的地址進行交易或者找零.同一地址被使用的次數(shù)越多，該地址的相關性就越容易暴露.由于IC卡容量有限，只能保存一定數(shù)量私鑰，且不容易頻繁備份.為了解決一卡一號的限制問題，采用分級確定性地址機制，IC卡只需要保存擴展主私鑰，通過相對應的鏈碼實現(xiàn)各層子密鑰對的分散.其規(guī)范被定義為比特幣改進協(xié)議Bip32[12].32字節(jié)擴展碼每次分散都能得到232個子密鑰對，也就是232個獨立子賬戶，足夠用戶的日常使用.

由于分層確定性地址機制生成的密碼樹過于龐大,無法在實際情況中使用，定義如下的4層分散路徑作為比特幣IC卡的地址機制：

/purpose/account/change/address

其中為了不和Bip44[13]協(xié)議沖突，purpose設為常數(shù)45.表明該路徑通過IC卡使用分級確定性地址支付.

account代表賬戶，用戶可以根據(jù)使用目的的不同設置不同的賬戶.account下標從0開始.隨著使用依次增加，只有上一個下標的地址被完全使用后才能使用新賬戶的地址.

change=0時為外鏈，表明該地址對外可見，作為比特幣收款地址.change=1為內(nèi)鏈，表明該地址對外不可見，只用于賬戶內(nèi)部找零.

address為分層確定性地址機制中的下標值.

將分層確定性地址規(guī)范為4層路徑地址，不僅對得每一層地址的作用進行規(guī)范，同時還有利于設計地址探測算法.IC卡在使用時通過刷卡系統(tǒng)獲取卡內(nèi)賬戶主公鑰，主公鑰根據(jù)地址探測規(guī)則查找子公鑰賬戶，并得知賬戶余額.設計地址探測規(guī)則如下：

1) 導入賬戶主公鑰，令account=0.

2) 根據(jù)擴展碼分散求得change層密鑰對.

3) 掃描該層所有外鏈，如果外鏈上有歷史交易則繼續(xù)掃描下一個外鏈.如果連續(xù)20個地址上都沒有歷史交易.則停止地址探測過程.

4) 如果該賬戶的所有外鏈上都有歷史交易，這將account值加1，回到2).

由于系統(tǒng)在使用交易地址的時候要求優(yōu)先使用低下標賬戶地址，只有低下標賬戶的地址被完全使用之后才會被允許使用高下標賬戶的地址，因此保證了地址探測規(guī)則的有效性.

3.2交易選擇機制

在支付比特幣時需要在眾多收入交易中選擇一筆或者多筆作為該交易的輸入值，不同選擇算法各有利弊.主要使用的算法有以下幾種.

3.2.1后進先出算法

指即使在交易未被確認的情況下也優(yōu)先使用最近收到的交易.該算法會增加該筆交易接受者的風險，因為該筆交易使用的比特幣未被網(wǎng)絡確認，所以這些比特幣可能會被雙花.而且如果前一筆交易因在網(wǎng)絡中被篡改而導致確認失敗時，將直接導致后一筆交易無效.

3.2.2先進先出算法

指在交易選擇時優(yōu)先選擇最早被確定的交易.越早確認的比特幣在網(wǎng)絡中是越穩(wěn)定的，因為如果要改變這些比特幣的交易就需要修改越多被確認的比特幣區(qū)塊.另外一個好處就是穩(wěn)定性高的交易在使用時可以申請無交易費交易，但是目前系統(tǒng)中交易費已經(jīng)很低，所以這個優(yōu)勢也不是十分明顯.

3.2.3融合避免算法

由于比特幣交易賬單全網(wǎng)公開，所以用戶都能通過網(wǎng)絡查看和跟蹤某個地址的交易情況.如果在交易中使用多個輸入交易，則這些交易的發(fā)出者都能探知彼此的信息.在一筆交易中使用多筆輸入交易的方式稱為交易融合.融合避免算法就是在交易時盡可能少得選擇輸入交易的個數(shù)，因此系統(tǒng)會選擇比將要花費的比特幣多且接近該金額的最少數(shù)量的交易作為這筆交易的輸入交易.為了最大程度的保護用戶的敏感信息，系統(tǒng)使用融合避免算法來進行交易的選擇.

3.3交易簽名隨機數(shù)問題

比特幣在使用時需要使用賬戶私鑰對交易進行簽名，以便讓網(wǎng)絡上的各節(jié)點驗證該筆交易的合法性.簽名數(shù)據(jù)包括：上一筆交易的交易標識、輸出交易下標、全公鑰腳本、接收者公鑰腳本以及交易金額等.使用輸入交易1和用戶私鑰簽名交易數(shù)據(jù)生成交易2的過程如圖4所示.

圖4　交易簽名Fig.4　Transaction signment

比特幣協(xié)議中規(guī)定使用橢圓曲線數(shù)字簽名算法(ECDSA)對數(shù)據(jù)進行簽名.使用參數(shù)(p,a,b,G,N)定義一個ECDSA算法，使用的橢圓曲線為secp256k1[14].

在參數(shù)(p,a,b,G,N)中：p為一個大素數(shù)；G為橢圓曲線的基點；N為點G的階，使得NG=0∞；a,b為橢圓方程系數(shù).

定義k為橢圓曲線加密算法私鑰；e為數(shù)據(jù)簽名哈希值；m為簽名算法所需隨機數(shù)；R,S分別為簽名算法輸出值，其計算式為

R=mG

(1)

(2)

簽名時如果隨機數(shù)m足夠隨機，則該算法是安全的.如果m值不夠隨機而導致同一賬戶使用相同m值簽名，將導致用戶私鑰的泄露.假設2次數(shù)據(jù)哈希值分別為e1,e2,并使用相同的隨機值m簽署,代入式(1，2)得到

R1=mG

(3)

(4)

R2=mG

(5)

(6)

2014年，比特幣交易網(wǎng)站blockchain.info和安卓系統(tǒng)都曾出現(xiàn)隨機數(shù)漏洞，blockchain.info由于使用重復隨機值簽署同一賬戶交易的漏洞使得大量用戶私鑰泄露.因此交易的安全性很大程度上依賴系統(tǒng)隨機數(shù)生成算法的安全性，但是在有限的條件下生成無限多且足夠隨機的m值并不那么容易.為了減小隨機數(shù)對交易簽名的影響，設計了基于賬戶私鑰和交易消息的確定性隨機數(shù)簽名算法.因為對于比特幣交易而言m可以是不隨機的，只要滿足保密且唯一這兩個條件就能安全簽名.因此確定m的計算式為

m=SHA(k+e)

(7)

式中：e為交易消息哈希值；k為賬戶私鑰；SHA為哈希256算法.因為賬戶私鑰是保密的，且交易消息哈希值e是確定唯一的.所以對于賬戶私鑰而言m是保密且唯一的.而且哈希函數(shù)做為單向函數(shù)，無法進行逆向推導，因此并不會降低賬戶私鑰的安全性.

4實現(xiàn)

系統(tǒng)采用Mifare S50卡作為實驗卡，S50非接觸式卡符合MIFAREI的國際標準，卡與讀寫器之間的通訊采用國際通用的DES和RES保密交叉算法，具有極高的保密性能.卡片中的密碼是受保護、不可讀的，只有知道密碼的用戶才能修改它.卡中的EEPROM存儲區(qū)分為16個扇區(qū)，每個扇區(qū)都有自己的訪問密碼，用戶可根據(jù)扇區(qū)的不同應用設定不同的密碼.

圖5為設計的IC卡、采用的讀寫器和POS機，讀卡器需要完成對防碰撞[15]、密鑰驗證和塊讀寫等操作.圖6為IC卡讀寫系統(tǒng)部分功能截圖，通過讀寫系統(tǒng)初始化IC卡，將賬戶數(shù)據(jù)、用戶數(shù)據(jù)和驗證數(shù)據(jù)分別寫入IC卡數(shù)據(jù)塊并為不同的扇區(qū)設置不同的讀寫權限.

圖5　IC與讀寫設備Fig.5　Read /write devices

圖6　IC卡讀寫系統(tǒng)Fig.6　 Read/write system

交易時通過讀卡設備讀取IC卡內(nèi)的賬戶主公鑰，按照賬戶探測算法查詢所有有效賬戶，賬戶余額以及相應的收入交易.當要對比特幣進行使用時，在交易欄中輸入比特幣交易地址和交易金額.確定支付后在終端輸入IC卡使用口令，再驗證使用口令無誤后解密賬戶主私鑰，并簽署交易發(fā)轉至比特幣P2P網(wǎng)絡.圖7展示使用低費率向另一地址支付0.2 mBTC的過程.之后就能在網(wǎng)上查詢到該筆交易的具體信息.圖8為Blockchain交易網(wǎng)站上查詢到的關于剛剛支付的交易的詳細信息，交易顯示從地址115F2VbXncJHeZoud7aGAZz8eUzAw61pDd向地址1HmLXESLP51gYKrtr35CS8UpBH4NxzemMj支付0.2 mBTC，收取0.01 mBTC作為手續(xù)費，并找零0.79 mBTC.

圖7　比特幣支付圖Fig.7　Sends satoshis

圖8　BlockChain上顯示的交易信息Fig.8　Details of the transaction on blockchain.info

分析：基于IC卡的比特幣支付方式是一種介于本地錢包和冷錢包之間的一款支付工具，IC卡類似于冷錢包用于離線保存賬戶私鑰，確保私鑰不受木馬或惡意軟件的攻擊.刷卡終端是一個本地交易簽名工具，負責比特幣賬戶私鑰的解密并對交易進行簽名.IC卡和終端需要通過PSAM安全控制模塊實現(xiàn)安全訪問，確保IC卡數(shù)據(jù)不被泄露.基于IC卡的比特幣支付采用無中心化支付，并不需要中心節(jié)點驗證IC卡以及卡內(nèi)賬戶的有效性，IC卡的有效性由PSAM卡驗證，卡內(nèi)賬戶有效性由比特幣網(wǎng)絡驗證.所有IC卡賬戶內(nèi)的余額只要使用IC卡內(nèi)部私鑰簽名就能使用.產(chǎn)生的交易滿足比特幣交易標準格式，交易將直接發(fā)送至比特幣P2P網(wǎng)絡，由網(wǎng)絡內(nèi)的各個節(jié)點驗證交易的有效性.目前只有Cryptex card和Swipe card能實現(xiàn)比特幣交易.但是Cryptex card和Swipe card主要是使用現(xiàn)有的ATM機等設備實現(xiàn)比特幣和現(xiàn)實貨幣之間的轉換且都是純中性化的解決方案.使用智能卡支付比特幣的研究方興未艾，2015年初Xapo公司將推出一款比特幣借記卡.筆者是采用無中心化驗證IC卡方案,對比特幣智能卡支付的一種新探索.

5結論

采用IC卡作為比特幣的支付手段，在加強了支付安全性的同時也便捷了比特幣的使用.系統(tǒng)采用了類似軟件錢包的支付邏輯，通過IC卡還原賬戶私鑰并簽署交易，通過比特幣網(wǎng)絡直接實現(xiàn)比特幣的支付.IC卡內(nèi)直接存儲賬戶私鑰，且并不需要中性化機構驗證，不同于純中心化的Cryptex card和Swipe card等現(xiàn)存的比特幣借記卡.相對于Cryptex card和Swipe card，筆者設計的方式讓用戶有對賬戶更大的自由度和透明度.但是該卡不具備比特幣和現(xiàn)實貨幣之間的兌換功能.通過現(xiàn)有的POS機，刷卡器等多種終端設備進行支付實現(xiàn)，證明基于IC卡的比特幣支付便捷且安全.

參考文獻：

[1]NAKAMOTO S. Bitcoin: a peer-to-peer electronic cash system[J]. Consulted,2008(1):28-38.

[2]MIERS I, GARMAN C, GREEN M, et al. Zerocoin: anonymous distributed e-cash from bitcoin[C]//Security and Privacy. Piscataway: IEEE,2013:397-411.

[3]REID F, HARRIGAN M. An analysis of anonymity in the bitcoin system[C]// Security and Privacy in Social Networks. Berlin: Springer,2013.

[4]RON D, SHAMIR A. Quantitative analysis of the full bitcoin transaction graph[C]// Financial Cryptography and Data Security. Berlin: Springer,2013.

[5]BACK A. Hashcash-a denial of service counter-measure[EB/OL].[2002-08-01]．http://www.hashcash.org/ papers/hashcash.pdf.

[6]DWORK C, NAOR M. Pricing via processing or combatting junk mail[C]//Advances in Cryptology — CRYPTO’ 92. Berlin: Springer,1993.

[7]BARBER S, BOYEN X, SHI E，et al. Bitter to better-how to make bitcoin a better currency[C]// Financial Cryptography and Data Security. Berlin: Springer,2012．

[8]王履濤.我國銀行卡業(yè)務發(fā)展研究[D].北京：首都經(jīng)濟貿(mào)易大學,2010.

[9]陳杰,應時彥,朱華.基于MFRC522的RFID讀卡器設計[J].浙江工業(yè)大學學報,2014,42(6):616-620

[10]JR, LENSTRA H W. Factoring integers with elliptic curves[J]. Annals of Mathematics,1986,171(3):649-673.

[11]MONTGOMERY P L. Speeding the pollard and elliptic curve methods of factorization[J].Mathematics of Computation,1987,48(177):243-264.

[12]PIETER W S. Hierarchical deterministic wallets[EB/OL].[2012-02-11]. https://github.com/bitcoin/bips/blob/master/bip-0032.mediawiki.

[13]MAREK P, PAVOL R. Multi-account hierarchy for deterministic wallets[EB/OL].[2014-04-24]. https://github.com/bitcoin/bips/blob/master/bip-0044.mediawiki.

[14]Certicomcorp.Recommended elliptic curve domain parameters[EB/OL].[2000-09-20].http://perso.univ-rennes1.fr/sylvain.duquesne/master/standards/sec2_final.pdf.

[15]周曉,曹美玲,李杰，等.一種標簽防沖突算法設計[J].浙江工業(yè)大學學報,2011,39(6):679-682.

(責任編輯：陳石平)

文章編號：1006-4303(2015)06-0618-06

中圖分類號：TP399

文獻標志碼：A

作者簡介：王衛(wèi)紅(1969—)，男，浙江臨海人，教授，研究方向為空間信息服務和網(wǎng)絡信息安全，E-mail：wwh@zjut.edu.cn.

基金項目：國家自然科學專項基金資助項目(61340058)；浙江省自然科學基金資助項目(LZ14F020001)

收稿日期：2015-03-12